Tuesday 28 July 2020

McAfee против Windows Defender.

Всем привет.

Вчера меня порадовал в очередной раз McAfee. Дело было не столько в нем сколько в Windows Defender который никак не хотел сдавать своих позиций после того как у пользователя появился McAfee. Поэтому при очередном обновлении McAfee уже Windows Defender не выдержал и начал кричать "Караул!"

И выглядело это так:


Но когда два антивирусника сражаются за файлы одной системы жди сюрпризы. Поэтому лучше их помирить пока не поздно.

Это похоже на устаревшую сигнатуру MS или устаревшие сигнатуры Defender или устаревшую версию ENS. В любом случае что-то давно не обновлялось. Прежде всего следует обновить сами сигнатуры как ENS так и Windows Defender.

Копнули глубже - оказывается при штатной установке ENS в зависимости от версии ОС, установка ENS не всегда приводит к отключению Defender. Поддержка McAfee считает что нормальным

Обновляемся.

Friday 24 July 2020

Какие программы запускались в Windows?

Всем привет.

Время от времени нам ставят задачи выяснить какой софт запускался на компьютере пользователя. А Windows такая молодец что следит направо и налево поэтому недостатка в такой информации нету.

Итак вначале можно заглянуть сюда и увидеть что запускал конкретный пользователь:
C:\Users\UserName\Recent
А здесь Windows регистрирует общие запуски:
C:\Windows\Prefetch

Для дополнительного сбора информации пробуем использовать несколько утилит, которые не требуют инсталяции.

IEHistory Viewer хоть и не предназначен для поиска программ запущенных ранее, но может показать обращение ко многим файлам, в том числе и ЕХЕ, в системе. Достаточно изменить фильтр типов на "file" или "mk". Увы, но утилита не работает корректно в Windows 10.



ExecutedProgramsList - маленькая утилита, которая может отобразить список программ и пакетных файлов, которые ранее были запущенны в вашей системе. Автор программы известный программист Nir Sofer, который написал огромное количество бесплатных программ – ссылки на их названия будут давать параллельно по тексту.

Monday 20 July 2020

Мониторинг журналов Windows на лету.

Всем привет.

Как уже говорилось, для доступа к событиям Windows из командной строки нужно использовать команду wevtutil. Хотя эта команда универсальна, она не имеет таких функций, как tail, которые можно задействовать для извлечения новых поступающих записей. Но выход есть - использовать простой сценарий bash, который может предоставить такую же функциональность. Пример ниже.

#!/bin/bash -
#
# Описание:
# Выполнение функции наподобие tail для журнала Windows
#
# Использование: ./wintail.sh

WINLOG="Application"
LASTLOG=$(wevtutil qe "$WINLOG" //c:1 //rd:true //f:text)

while true
do
      CURRENTLOG=$(wevtutil qe "$WINLOG" //c:1 //rd:true //f:text)
      if [[ "$CURRENTLOG" != "$LASTLOG" ]]
      then
            echo "$CURRENTLOG"
            echo "----------------------------------"
            LASTLOG="$CURRENTLOG"
      fi
done

Переменная WINLOG определяет журнал Windows, который вы хотите отслеживать. Для получения списка журналов, доступных в системе в настоящее время, можете использовать команду wevtutil el.

Далее для запроса указанного файла журнала выполняется команда wevtutil. Параметр c:1 возвращает только одну запись журнала. Параметр rd:true позволяет команде считать самую последнюю запись журнала. Наконец, f:text возвращает результат в виде обычного текста, а не в формате XML, что позволяет легко читать результат с экрана.

Friday 17 July 2020

Зависание spoolsv.exe с HP LaserJet 1020.

Всем привет.

Проблема с зависанием Диспетчера печати spoolsv.exe Windows 10 на принтере HP LaserJet 1020 известна давно. Как и методы ее решения. На днях я поймал ее лично дважды поэтому набросаю свой метод решения. Ибо то что я находил в сети на мой взгляд либо до следующего сбоя, либо по методу "сносим все". 

Итак очередная попытка печати на HP LaserJet 1020 приводит к сбою (полной оcтановке службы) диспетчера печати. В журнале Application при этом фиксируется имя сбойного модуля ZSR.dll.

Имя журнала:   Application
Источник:      Application Error
Дата:          15.07.2020 15:42:39
Код события:   1000
Категория задачи:(100)
Уровень:       Ошибка
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     STACKY.forza.com
Описание:
Имя сбойного приложения: spoolsv.exe, версия: 10.0.18362.900, метка времени: 0xd44175be
Имя сбойного модуля: ZSR.dll, версия: 6.20.1625.0, метка времени: 0x462fe8cf
Код исключения: 0xc0000005
Смещение ошибки: 0x000000000002b54c
Идентификатор сбойного процесса: 0x44c
Время запуска сбойного приложения: 0x01d65aa55bec6174
Путь сбойного приложения: C:\WINDOWS\System32\spoolsv.exe
Путь сбойного модуля: C:\WINDOWS\system32\spool\DRIVERS\x64\3\ZSR.dll
Идентификатор отчета: 72ea1dfd-a8ea-49af-b1d6-4b914e6d7f41

Раз диспетчер печати остановлен то печать невозможна в принципе на любой принтер. До следующего перезапуска службы. 

Модуль C:\WINDOWS\system32\spool\DRIVERS\x64\3\ZSR.dll является частью пакета драйверов для  HP LaserJet 1020. Поэтому снести и поставить его повторно не решает  проблему. Удалить этот файл? Тогда при очередной попытке печати принтер пожалуется на его отсутствие и добавит его еще раз. Не выход.

Тогда я сделал заглушку - положил вместо оригинального пустой файл ZSR.dll с атрибутом "только для чтения". Запускаем службу. Все, сбойного кода нет и диспетчер печати spoolsv.exe больше не падает.

Успехов.

Tuesday 14 July 2020

SNMP Discovery сканер.

Всем привет.

Выбирая средства мониторинга принтеров по SNMP случайно набрел на программное чудо по названием PrintStore.

Оговорюсь сразу что я ни коей мере не рекламирую сей программный продукт, как сделано здесь, это лишь прелюдия к другой софтине того же автора (или фирмы).

В двух словах - программе PrintStore позволяет автоматизировать учет и мониторинг принтеров, МФУ, факсов и прочей техники в офисе. Существует бесплатная версия с ограничениями по количеству устройств в учете (100) и мониторинге (5) и платная, с лицензиями в зависимости от количества техники в мониторинге.

Из основных возможностей программы мне были интересны только две:

-автоматический поиск техники в сети на основе внутренней базы производителей и моделей. При этом вы и сами можете вручную добавить новую технику.

-автоматический мониторинг счетчиков принтеров по snmp с сохранением данных в базу программы. В идеале вы сканируете сеть, программа находит принтеры и опрашивает их по snmp. Далее вы добавляете найденные принтеры в систему и начинаете с ними работать.

Почему только эти? Потому что исходя из них я нашел на сайте производителя бесплатный сканер "SNMP Discovery". В целом, у сканера есть все необходимое для мониторинга принтеров и состояния катриджей к ним. Плюс, готовая база данных оборудования с картинками и с OID-ми. В принципе, вы можете добавить в эту программу учет любой техники. Просто базу данных к ней вам придется заполнять или импортировать самим. 


Что следует при этом учесть? "SNMP Discovery" не сопровождается и не развивается. Тем не менее она вполне функциональна для чтобы отсканировать вашу сеть. К моему сожалению SNMP-сканер заточен на community по умолчанию, которое обычно "public". Т.е. если в вашей сети Get-community другое то вам придется принтера добавлять вручную и потом на каждом из них в свойствах менять это значение. Если их десяток это не проблема, если их сотни то печаль - можно, конечно, изменить ваше community на "public", а после скана вернуть на свое. Тогда не будет работать мониторинг. В любом случае у программы отличная справка, разобраться можно.


В плане безопасности вашей сети вам будет в тему познакомиться с колонкой "Access", где вы увидите какие из ваших принтеров имеют полный доступ по SNMP, т.е. и на чтение параметров, и на управление. Будет повод задуматься.)

Успехов.

Friday 10 July 2020

Ansible и его соединения.

Всем привет.

Вы знаете Ansible  как одну из систем управления конфигурациями (оркестратор).

Особенность Ansible в наличии управляющего сервера (master), с которого отправляются команды или наборы инструкций (playbooks) на удаленные хосты посредством протокола SSH, или HTTPS.

Ansible решает следующие задачи:

  • правильная и быстрая настройка серверов до нужной конфигурации;
  • управление развертыванием облачных серверов (через API, с помощью Docker);
  • установка и обновление приложений;
  • координация звеньев инфраструктуры для выполнения развертываний;
  • централизованный сбор логов.

Ansible не требует установки на удаленные хосты клиента, так как подключается к ним по протоколу SSH за исключением настройки службы WinRM где подключение идет по HTTPS.

Но хватит теории. Волею случая мне довелось проверить все возможности соединения с помощью Ansible. В моем тесте участвовали:

  • Homediver, Desktop Windows 10
  • ec2-54-197-120-211.compute-1.amazonaws.com, AWS MS Server 2019
  • ec2-54-88-28-8.compute-1.amazonaws.com, AWS Ubuntu
  • appliance, VirtualBox CentOS 8
  • Ansible master, VirtualBox Debian 9


Thursday 9 July 2020

Переход на Zabbix версии 4.4.6.

Всем привет.

Недавно мне довелось переносить Zabbix с версии 3.4.11 на 4.4.6. Несмотря на то что в сети есть инструкции что такой апдейт возможен, у меня он не сработал. Не было ошибок, но и обновление не состоялось. Поэтому было принято решение пойти по более длинному пути, а именно поднимать новый Zabbix сервер рядом. Методом проб и ошибок мы пришли к следующему алгоритму действий на новом сервере.

Создать заново:
Templates of groups
Templates of hosts

Создать заново:
General/Icon mapping
General/Regular experssions

Выполнить экспорт со старого сервера и импорт на новый последовательно:
-General/Images/Background
-General/Value mapping
-Templates
-Hosts
-Maps
-Screens

Создать заново:
-Macros
-Groups of users
-Users
-Action: Autoregistration,Discovery,Triggers,Internal
-Discovery rules
-LDAPS

Установить и настроить заново:
-Scripts: mtr, nmap, traceroute.
а так же
External scripts: обычно лежат тут
/usr/lib/zabbix/externalscripts
а так же
Alert Scripts: обычно лежат тут
/usr/lib/zabbix/alertscripts

Установить и настроить заново:
Media types: email, webhooks

Представленный алгоритм ни коим образом не претендует на абсолютную истину - нам была поставлена цель и сроки переезда. Если есть более простые и надежные алгоритмы буду рад замечаниям.

Удачи.

Monday 6 July 2020

Локальная статистика печати #2.

Всем привет.

Читатель моего блога в тему мониторинга локальной печати предложил обратить внимание на PaperCut Print Logger. Утилита простая и бесплатная. Наверное как раз самое удачное решение если ваша фирма не готова закупать что либо новое в ближайшее время.

Софтинка инсталируется с одного файлика на ПК на котором работает локальный принтер. И становится службой которая работает от системной учетной записи.


А дальше все просто - статистика кто, что и когда печатал ложится в файл журнала. Его можно глянуть в браузере, а можно экспортировать в Excel формат csv. Размещение файла журнала можно в конфигураци перенаправить на общий сетевой ресурс.

Вот и все.

Friday 3 July 2020

Office 365 и зашифрованный файл.

Всем привет.

Сегодня маленький фокус от Office 365. Совсем маленький, на тему файлов закрытых паролем в Excel или Word. Так вот,  если вам прислали защищенный файл и вы его тут же захотели открыть то получите предупреждение о том что шифрование в облаке не поддерживается.


И предложение открыть файл в классической, т.е. desktop-версии, программе. А это уже зависит от того есть ли она у вас.) Потому как лицензия уровня Е1 предполагает у вас только наличие облачной версии. Ок, допустим у вас есть Office 2016, но я вам предлагаю все равно не соглашаться, а вначале скачать этот файл себе на ПК. Ибо бдительный Office 2016 назадает вам столько вопросов до самого запроса пароля, что вы сами будете не рады.

Успехов.

Wednesday 1 July 2020

Локальная статистика печати.

Всем привет. 

Zabbix это хорошо, но реалии таковы что в каждой фирме случаются принтера которые имеют USB-подключение, и тем не менее они еще и зашарены как сетевые средства печати для коллег по отделу.

Полагаем что в этом случае у вас тоже существует необходимость централизовано обрабатывать журналы печати с таких принтеров и иметь статистику использования и нагрузки на печатающие устройства.

Решить эту задачу возможно без использования дополнительного ПО, используя встроенные средства управления журналами Windows и PowerShell.

Скрипт получения данных с такого сервера печати находится здесь.

В принципе скрипт ничего особенного не делает кроме выборки событий с кодами ID 307 и ID 805 из журнала событий Windows "Microsoft-Windows-PrintService".

Чтобы скрипт выбирал информацию за определённый период и сохранял её в нужное место, необходимо его немного изменить. В скрипте, необходимо указать параметры даты, в нашем случае, будем выводить информацию за предыдущий день (PreviousDay): 
powershell.exe -command "d:\monitor_printer.ps1 localhost PreviousDay" 

Или предыдущий месяц (PreviousMonth): 
powershell.exe -command "d:\monitor_printer.ps1 localhost PreviousMonth" 

Если стоит задача выводить информацию за предыдущий месяц, или определенный период, необходимо установить соответствующие даты:
powershell.exe -command "d:\monitor_printer.ps1 localhost 06/01/2020 06/29/2020" 

Куда складывать результаты задается в:
$OutputFilenameByPrintJob
$OutputFilenameByUser

Вот такое локальное решение.

Версия на печать

Популярное