• Сканирование сети на предмет выявления модулей управления ИБП APC уязвимых к Ripple20

    APC Network Management Cards and Ripple20В прошлом году компанией JSOF была публично раскрыта информация о целом наборе уязвимостей, корни которых уходят в древнюю библиотеку компании Treck, реализующую функции стека протоколов TCP/IP. Эту библиотеку на протяжении многих лет использовали разные производители аппаратного обеспечения для обеспечения работы TCP/IP во встроенном микрокоде firmware на множестве разных типов устройств. Данный пакет уязвимостей получил общее название Ripple20.

    Уязвимости, входящие в состав Ripple20, имеют разные уровни критичности и среди них есть некоторые опасные уязвимости, позволяющие удалённо вызвать отказ в обслуживании или даже получать полный доступ над устройством со всеми вытекающими последствиями.

    Данная проблема была освещена на множестве интернет-ресурсов, связанных с темой информационной безопасности. Вот некоторые из них:

    Часть вендоров на протяжении нескольких месяцев после огласки Ripple20 выпустили обновления микрокода для своих продуктов, в которых закрываются данные уязвимости. Однако некоторые производители намеренно отказались от обновления микрокода некоторых своих продуктов, снятых с текущей поддержки. Таким образом, все уязвимые устройства, не имеющие обновления, но по прежнему эксплуатируемые в рамках локальных/глобальных сетей, вошли в группу повышенных рисков нарушения режима ИБ.

    Проблема с уязвимостями Ripple20 заключается в том, что работа по снижению рисков в рамках больших корпоративных сетей с множеством устройств разных производителей и моделей, требует комплексного подхода с применением разных методик защиты, таких как обновление микрокода, ужесточение правил меж-узлового взаимодействия на уровне сети, использование систем обнаружения сетевых аномалий и т.д.

    Применительно к вопросу обновления микрокода на эксплуатируемых сетевых устройствах, требуется отдельное планирование и немалый объём работы по устройствам каждого отдельно взятого производителя и модели. В данной заметке мы рассмотрим вариант сбора информации относительно модулей управления источников бесперебойного питания (ИБП) марки APC ("APC by Schneider Electric"), которые широко используются для защиты электропитания серверного и сетевого оборудования.

    Читать далее...

  • Мониторинг SQL Server с помощью PowerShell. Часть 3. Мониторинг резервного копирования

    SQL Server Backup Monitoring with PowerShellДанный материал является переводом оригинальной статьи "MSSQLTips : Alejandro Cobar : SQL Server Backup Monitoring with PowerShell".

    В продолжение предыдущей части, рассмотрим сценарий PowerShell, который будет собирать информацию для составления перечня резервных копий баз данных SQL Server для всех серверов, подключенных в рамках нашего решения мониторинга.

    Данное решение будет сосредоточено на полном, разностном резервном копировании и копиях журналов транзакций. Если ваш вариант использования включает в себя что-то вроде резервного копирования файловой группы, то это решение должно быть настроено в соответствии с вашими требованиями.

    Читать далее...

  • Мониторинг SQL Server с помощью PowerShell. Часть 2. Мониторинг заданий SQL Server Agent

    Monitoring SQL Server with PowerShell. Part 2: Monitor SQL Server Agent JobsДанный материал является переводом оригинальной статьи "MSSQLTips : Alejandro Cobar : SQL Server Agent Job Monitoring with PowerShell".

    В продолжение предыдущей части, представляем сценарий PowerShell, реализующий сбор информации о заданиях SQL Server Agent для всех серверов, которые были зарегистрированы в рамках рассматриваемого решения по мониторингу SQL Server.

    PS-скрипт подключится к каждому экземпляру SQL Server из таблицы inventory.MasterServerList и получит данные для каждого из этих экземпляров. Соединение с каждым экземпляром SQL Server будет основано на настройках из обозначенной таблицы. Соответственно, чтобы использовать этот модуль, предварительно необходимо создать основные объекты, описанные в предыдущей части.

    Читать далее...

  • Мониторинг SQL Server с помощью PowerShell. Часть 1. Базовая настройка

    Monitoring SQL Server with PowerShell. Part 1. Basic setupДанный материал является переводом оригинальной статьи "MSSQLTips : Alejandro Cobar : Monitoring SQL Server with PowerShell Core Object Setup".

    Есть много всего, что мы можем отслеживать в SQL Server: например, резервное копирование, задания агента SQL, изменения конфигурации и т.д.. Также есть несколько различных инструментов, которые можно использовать для этого - как из числа тех, что поставляются с SQL Server, так и сторонние инструменты. Единственная проблема с большинством подходов заключается в том, что для мониторинга SQL Server используется несколько разных методов, поэтому в этой серии советов мы рассмотрим создание базового решения для мониторинга SQL Server с помощью PowerShell. Это дает нам возможность бесплатного базового мониторинга, а также предоставляет некоторые опции, которые можно будет настроить в дальнейшем по мере необходимости.

    Читать далее...

  • Решение проблемы Shared Printer Availability Alert : The print spooler failed to share printer. Error 2114. The printer cannot be used by others on the network

    The print spooler failed to share printerНа некоторых серверах на базе Windows Server 2012 R2 с ролью сервера печати была замечена проблема со службой "Print Spooler", возникающая плавающим образом. На этапе загрузки сервера от системы мониторинга SCOM приходила масса оповещений однотипного характера "Alert: Shared Printer Availability Alert".

    Читать далее...

  • Как зашифровать пароли в PowerShell

    How to Encrypt Passwords in PowerShellДанный материал является переводом оригинальной статьи "Altaro : Luke Orellana : How to Encrypt Passwords in PowerShell".

    С точки зрения компании - MSP (Managed Service Provider), управление паролями в скриптах PowerShell может быть сложной задачей. Всегда есть риск, что кто-то может найти пароль, просто получив его из кода. Тем не менее, существуют определенные сценарии, которые требуют хранить где-то пароль и ссылаться на него в скрипте для аутентификации. Например, допустим, вам необходимо регулярно запускать сценарий для группы серверов, не подключенных к домену, или вы хотите разрешить пользователям запускать определенную задачу с повышенными правами, но не хотите давать им учетные данные с повышенными правами. Существует несколько решений, связанных с этим, но следует помнить про правильный баланс между безопасностью и доступностью, и требуется определенное понимание того, является ли решение достаточно безопасным, чтобы его можно было принять. К счастью, с PowerShell есть несколько хитростей, которые мы можем использовать, чтобы скрыть наши пароли, и хотя они не являются на 100% безопасными, это все равно снижает риск.

    Читать далее...

  • 15 способов обойти политику выполнения PowerShell (PowerShell Execution Policy)

    15 Ways to Bypass the PowerShell Execution PolicyДанный материал является переводом оригинальной статьи "NetSPI : Scott Sutherland : 15 Ways to Bypass the PowerShell Execution Policy".

    По умолчанию PowerShell настроен на предотвращение выполнения сценариев PowerShell в системах Windows. Это может быть препятствием для пентестеров, системных администраторов и разработчиков, но это не обязательно. В этой статье я расскажу о 15 способах обхода политики выполнения PowerShell, не имея прав локального администратора в системе. Я уверен, что есть много методов, которые я пропустил (или просто не знаю), но надеюсь, что эта шпаргалка станет хорошим началом для тех, кто нуждается в получении информации о методах обхода.

    Читать далее...

  • Уязвимость CallStranger (CVE-2020-12695) в Universal Plug and Play (UPnP) и PowerShell скрипт для сканирования сети по протоколу SSDP

    Vulnerability CallStranger CVE-2020-12695 in SSDP UPnPНа прошлой неделе в Российском сегменте Интернета снова заговорили о проблемах безопасности в технологии Universal Plug and Play (UPnP). Например, можно ознакомится со статьями Уязвимость в UPnP, подходящая для усиления DDoS-атак и сканирования внутренней сети и Уязвимость UPnP, позволяющая сканировать сети и организовывать DDoS-атаки, признана официально. В разных источниках проблемы безопасности UPnP рассматриваются в большей степени в контексте устройств и ПО, подключенных к глобальной сети Интернет. Однако, хочется отметить тот факт, что неконтролируемые администраторами технологии UPnP несут в себе определённые риски и в рамках локальных корпоративных сетей. В этой статье мы рассмотрим простейший пример возможности эксплуатации уязвимости UPnP в локальной сети и поговорим о том, как можно выявить уязвимые устройства в сети для последующей их защиты.

    Читать далее...

  • Ошибка "SoapException: Fault occurred" при синхронизации WSUS на Windows Server 2012 R2 с онлайн каталогом Windows Update

    WSUS stop sync from Windows UpdateПри использовании WSUS на базе Windows Server 2012 R2 было замечено, что в последнее время наблюдались временные отказы при синхронизации метаданных с онлайн службой Windows Update. Синхронизация не работала несколько дней в Июле, затем в конце Июля опять заработала. И вот теперь ситуация снова повторяется, однако, судя по всему, рассчитывать на самовосстановление сервиса уже не приходится. Читать далее...

  • Резервное копирование фермы SharePoint 2016 от имени учётной записи gMSA и решение ошибок "The local farm is not accessible. Cmdlets with FeatureDependencyId are not registered" и "Object Search Service Application failed in event OnBackup"

    SharePoint 2016 Backup scriptВ одной из прошлых заметок мы рассматривали пример скриптовой реализации задачи полного резервного копирования фермы SharePoint Server 2013. И в этом примере скрипт выполнялся в контексте учётной записи фермы (SharePoint Farm service account). В этой заметке мы рассмотрим решение аналогичной задачи применительно к SharePoint Server 2016, но вместо учётной записи фермы будем использовать выделенную управляемую служебную учетную запись Group Managed Service Account (gMSA).

    Сразу отмечу тот факт, что никаких принципиальных отличий в самом ранее рассматриваемом скрипте резервного копирования при использовании в SharePoint Server 2016 нет. Основные нюансы, на которые мы обратим внимание в данной заметке, касаются особенностей выполнения задачи в контексте учётной записи gMSA и настройки прав доступа, требуемых для выполнения задачи.

    Читать далее...