Алексей Максимов, Автор в Блог IT-KB

Ошибка проверки подлинности при подключении к удалённому рабочему столу Windows RDS …"Причиной ошибки может быть исправление шифрования CredSSP"

16.05.2018 Автор:Алексей Максимов
12 527 Просмотров 3 комментария

Информация об уязвимости в провайдере безопасности CredSSP ОС Windows была опубликована 13.03.2018 в документе CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability. В этом документе можно найти ссылки на обновления безопасности, которые были выпущены для закрытия этой уязвимости. Выпущенные обновления относятся к механизмам CredSSP, как в клиентских, так и в серверных ОС Windows. При этом неправильная последовательность развёртывания обновлений, касающихся CredSSP, может привести к неожиданным последствиям.

Читать далее...
Исправляем проблему малого времени работы от батарей после смены аккумуляторов и калибровки на ИБП APC Smart-UPS 5000 (SU5000RMI5U)

28.04.2018 Автор:Алексей Максимов
63 810 Просмотров 14 комментариев

Многим администраторам, обслуживающим серверную инфраструктуру так или иначе приходилось сталкиваться в своей работе с широко распространённой линейкой источников бесперебойного питания (ИБП) Smart-UPS торговой марки APC by Schneider Electric. Многие из тех, кому самостоятельно приходилось заниматься заменой батарейных картриджей и/или (о боже!) заменой аккумуляторных батарей в батарейных картриджах в этих ИБП, хорошо знают о том, что после замены батарей нужно проводить калибровку ИБП (Runtime Calibration) для того, чтобы ИБП скорректировал расчётное время работы от батарей. Однако далеко не все знают о том, что после смены батарей на некоторых моделях "умных" ИБП APC требуются дополнительные манипуляции по сбросу внутренних регистров блока управления ИБП для того, чтобы время работы от батарей рассчитывалось действительно корректно. В этой заметке мы рассмотрим пример того, как отсутствие необходимых действий может привести к некорректной работе ИБП и то, как это можно исправить.

Читать далее...
Серверы HPE ProLiant DL380 G9 и режим охлаждения в конфигурации по умолчанию

19.04.2018 Автор:Алексей Максимов
23 556 Просмотров 15 комментариев

Настраивая контроллеры iLO4 на партии серверов HPE ProLiant DL380 G9 обратил внимание на пару моментов, касающихся режима охлаждения. Серверы поколения G9 обладают широким набором температурных сенсоров и позволяют в реальном режиме времени наглядно получать картину распределения нагрева в разных зонах серверной платформы. В моём случае все серверы установлены в одном серверном помещении (в разных шкафах) и имеют на входе (в районе лицевой панели) примерно одинаковую температуру в пределах 16-17С. Однако посмотрев на 3D-модель температурного графика я заметил, что ситуация выглядит так, как будто вентиляторы не справляются со своей работой и в некоторых зонах сервера нагрев достигает 68-70С.

Читать далее...
Удалённая эксплуатация службы Cisco Smart Install в коммутаторах Cisco Catalyst

06.04.2018 Автор:Алексей Максимов
9 328 Просмотров 1 Комментарий

Буквально на днях была опубликована любопытная статья Embedi Blog - Cisco Smart Install Remote Code Execution, описывающая пример эксплуатации уязвимости службы Smart Install в коммутаторах Cisco CVE-2018-0171, которой сам вендор присвоил критический уровень опасности. Приведённый в статье пример содержит скрипт, с помощью которого можно удалённо вызвать отказ в обслуживании устройства Cisco (краш IOS с последующей перезагрузкой устройства), на котором выполняется служба Smart Install. Это очередное напоминание сетевым администраторам о том, что к данной службе нужно строго ограничивать доступ, либо вовсе отключать её в том случае, если её функционал не используется. Безотносительно упомянутой уязвимости, в этой заметке мы рассмотрим наглядный пример несанкционированного удалённого управления коммутатором Cisco, на котором не настроено ограничение доступа к службе Smart Install.

Читать далее...
Обход некоторых видов ограничений запуска приложения через механизмы Software Restriction Policies (в режиме Unrestricted) в групповых политиках Active Directory

30.03.2018 Автор:Алексей Максимов
13 126 Просмотров 13 комментариев

Некоторые администраторы применяют в своей инфраструктуре Active Directory (AD) функционал Software Restriction Policies (SRP), имеющийся в составе Group Policy, для того, чтобы явным образом ограничивать запуск и исполнение каких-либо приложений. То есть используется сценарий ограничительных мер по типу "разрешено всё, кроме того, что явно запрещено". Например, в рамках мероприятий по противодействию новомодным комплексным шифровальщикам, у некоторых администраторов может возникнуть желание явно запретить запуск некоторых исполняемых файлов, используемых вредительским ПО, не запрещая при этом запуск всех прочих приложений и не используя механизмы проверки цифровых подписей.

В данной заметке мы поговорим о том, почему мероприятия подобного рода могут оказаться малоэффективны, наглядно продемонстрировав пример того, как любой непривилегированный пользователь может без особых сложностей обойти некоторые механизмы защиты. В качестве наглядного примера мы рассмотрим ситуацию с запретом исполнения небезызвестной утилиты PsExec из пакета PsTools Sute.

Читать далее...
Пара приёмов работы с TUI через PuTTy

28.03.2018 Автор:Алексей Максимов
5 645 Просмотров 11 комментариев

При удалённом подключении клиентом PuTTy по протоколам Telnet или SSH к какой-либо Linux-системе, железке типа СХД или другому сетевому оборудованию, в некоторых случаях может возникать небольшое ощущение дискомфорта от явлений, относящихся к "вирвиглазной" тематике. Здесь я поделюсь парой простых приёмов, делающих работу с PuTTy немножко приятней.

Читать далее...
Опрос сети на предмет поиска уязвимых версий службы управления ключами SafeNet Sentinel License Manager (HASP License Manager)

24.03.2018 Автор:Алексей Максимов
10 863 Просмотров 1 Комментарий

Многим администраторам так или иначе приходилось в своей работе сталкиваться с аппаратными ключами защиты Alladin HASP/SafeNet Sentinel и приходилось устанавливать поставляемый в составе ПО поддержки этих ключей программный пакет HASP License Manager/Sentinel License Manager. Это приложение отвечает за контроль лицензий всевозможного ПО, используемого во множестве самых разных приложений, начиная с бизнес-систем типа 1С и заканчивая разнообразными критичными для производственных процессов системами АСУ ТП.

Как правило, единожды установив это ПО, администратор не задумывается о необходимости его периодического обновления, так как не для всех очевидно то, что такое ПО может стать источником серьёзных проблем информационной безопасности, делая систему, на которой оно установлено, критически уязвимой и открывая новые векторы для возможных атак.

Читать далее...
Использование сервера с FC HBA QLogic на базе Debian GNU/Linux 9.3 и SCST в качестве СХД для томов CSV в кластере высоко-доступных виртуальных машин Hyper-V

12.03.2018 Автор:Алексей Максимов
23 752 Просмотров 20 комментариев

Имеем удалённую площадку с одним хостом виртуализации на базе гипервизора Hyper-V (Windows Server 2012 R2) и пачкой виртуальных машин, запущенных на этом хосте. Всё работает, но есть желание хоть как-то повысить доступность виртуальных машин, так как в периоды обслуживания хоста возникает необходимость выключения всех ВМ, что в некоторых ситуациях приводит к нежелательным последствиям. Логичным решением здесь выступает построение, как минимум, двух-узлового кластера высоко-доступных виртуальных машин Hyper-V на базе Windows Failover Cluster. В таком кластере виртуальные машины должны размещаться на общем дисковом томе Cluster Shared Volumes (CSV), который должен быть доступен обоим хостам виртуализации. То есть, предполагается, что для построения кластера нам потребуется какое-то внешнее дисковое хранилище (СХД), к которому могут быть подключены хосты виртуализации.

Однако в нашем случае СХД на удалённой площадке нет, но есть свободные серверы. В этой заметке мы рассмотрим пример того, как с помощью Debian GNU/Linux 9.3 и свободно-распространяемого ПО Generic SCSI Target Subsystem for Linux (SCST) из обычного сервера сделать СХД. В результате у нас появится возможность создать двух-узловой кластер высоко-доступных виртуальных машин Hyper-V с подключением к третьему серверу, который будет использоваться в качестве СХД для организации общего тома CSV.

Читать далее...
Настраиваем зависимость между службами systemd в Debian GNU/Linux 9 на примере зависимости NFS Server от QUADStor Storage Virtualization

04.03.2018 Автор:Алексей Максимов
4 645 Просмотров Комментариев нет

В процессе настройки разных сервисов в Debian GNU/Linux 9 'Stretch' может возникнуть необходимость создания зависимостей между службами systemd. В этой заметке мы рассмотрим создание такой зависимости на примере двух служб – NFS Server (nfs-server.service) и QUADStor Storage Virtualization (quadstor.service).

Читать далее...
После установки QUADStor Storage Virtualization 3.2.13 в Debian 9 перестаёт работать утилита targetcli. Ошибка "modprobe: ERROR: could not insert 'tcm_qla2xxx': Invalid argument"

04.03.2018 Автор:Алексей Максимов
2 960 Просмотров Комментариев нет

Если для построения цели SCSI Target в ОС Debian GNU/Linux 9 нами используется Linux-IO (LIO), то для настройки цели мы будем пользоваться утилитой targetcli. В случае если на сервер, где используется LIO, будет установлен пакет QUADStor Storage Virtualization (QSV), то после установки мы можем столкнуться с ошибкой при работе с утилитой targetcli "modprobe: ERROR: could not insert 'tcm_qla2xxx': Invalid argument". Аналогичную ошибку мы будем получать при попытке вручную загрузить модуль tcm_qla2xxx с помощью modprobe. Читать далее...