для ЛЛ: либо убирайте приоритет с Easy Print Driver, либо поменяйте Hostname на машине, с которой заходите по RDP.
А теперь чуть подробно. У нас в конторе было 2 момента. 1) Принтер HP P1102 наотрез отказывался печать с RDP, где удаленная машина была на Win10 (С Win 7 все было хорошо). Скорее всего об этом уже писали, но повторение будет не лишним. В винде есть встроенный универсальный драйвер, через который по дефолту пытается законнектиться ваша удаленная тачка к вашему локальному принтеру. Очень много в интернете на эту тему написано. По решению - идем на удаленной машине у отключаем приоритет Easy Print Driver. Отключается эта штука через групповую политику тут: Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Перенаправление принтеров (У нас удаленная машина была на Win 10, у вас может отличаться). Ставим нужный нам драйвер принтера на удаленную! машину и все работает. На всякий случай: Easy Printer Driver не отключается, а всего лишь по приоритету становится после вашего родного драйвера, если таковой имеется. 2) У нас случился переезд. После переезда на одном из ПК в бухгалтерии не пробрасывался принтер по RDP. Если быть более точным - при вызове печати принтер отображался, но нельзя было поменять настройки(точнее они не сохранялись) и в общем списке принтеров в Параметрах или Панели управления он не отображался. Вылечилось изменением хостнема на локальной тачке.
Еще в бытность сисадмином перевел все серверы в виртуальные. И в маленьких компаниях на 3 пользователя в 1С тоже. Все, проблема шифровальщиков исчезла навсегда. Как и случайно удаленных файлов , сломанной базы 1С программистом, и прочих. Потому что к хостовой машине, на которой работает виртуалка доступа нет и все бэкапы - полностью виртуальной машины на ней. За 15 лет , как все крутится на виртуальных машинах, теперь уже на своих серверах, ни у меня , ни у клиентов, кто арендует виртуальные машины, данные ни разу потеряны не были. Хоть и ловили раз 10 шифровальщиков, раз 5 стирали базы, раз 50 базы 1С ломались. Но через час уже можно работать на последней рабочей копии системы, чаще , ночной. Еще и вторая копия улетает на резервные серверы, на всякий случай, ни разу не приходилось пользоваться второй копией, все штатно стабильно работает.
Только восстановил виртуальную машину клиента. Удивительно, как совпало, раз в полгода такое случается)
Этот пост побудило меня написать, сообщение про шифровальщики, тут на пикабу и конкретно комменты под ним.
Итак кратко вводная часть, я живу в сельской условно местности работы тут мало и не свалил я только потому что таки сложились обстоятельства с матерью ей был нужен уход, внимание и деньги она на инвалидности 2 группа. ( это ремарка сразу потому что топ комент будет надо было уехать).
Короче суть вступления в том что работы мало и уити поменять бысто и легко проблематично.
Далее по работе, тружусь на пол ставки админа в гос учреждении (социалка)(совмещение не основа основа нормальная )и вот тут в полный рост у нас по безопасности и не только "как надо" Натыкается на суровую действительность.
Дальше будет нытьё кто такое не любит не читайте сразу!
Самое главное НИКТО и ничему и НИКОГДА не учится! Вот вообще, писали тут "научил бухгалтеров" Вот завидую вам, у меня в практике всегда всё сводится к " Мы ничего знать не должны делай тыжпрограммист" Причём во всём, даже таблички в ворде.
Далее на всё это накладывается "мы так привыкли мы будем делать как нам удобнее" С той же почтой у нас веб интерфейс и ещё и на бесплатной почте и ещё и на толпу.
Далее сверху на всё это накладывается кривущий специфический софт который работает только под виндой через зад и только если "повернуться к инету задницей и снять штаны".
Далее тотальная экономия на всём, компы которым по 20 лет работают и не меняется вин хп во все поля, печать на бумаге плохого качества, на черновиках и со скрепками и наивными глазами " Это не я", отсутсвие расходников и перезаправка картриджей по месту по 40 раз. Интернет через 3г соединение на 50 человек.
И в довесок руководство которое ничего не слышит и говорит фразами "не обижайтесь девочек" Что значит не думай о защите и не смей ничему их учить и ничего менять они ж привыкли! И требования откровенных чудес, и предъявы по совсем фантастическим поводам " Ты виноват что у Министерства сервак не работает".
Ну и естественно ты всегда "плохой админ", пытаешься улучшить что то в плане безопасности и приходится чему тот учиться? Мы не должны ты плохой! У нас проблемы потому что мы ниче не учили и кладём на безопасность потому что нам так привычно? Ты виноват, а че ты чудо не сотворил.
И вообще мы наймем другого и вот он то чудо сотворит!
Сори за сумбур, я надеюсь вы понимаете о чем я писал.
В этой организации к слову работать уже больше не хочу последний год и переезд из нашего пгт...
P. S. За время работы я работал уже в 2х организациях которые прекратили существование после моего ухода :) и что характерно по одним и тем же причинам, сначало руководство "сжирает" Всех специалистов и принимает откровенно тупые решения и потом пожинает плоды в виде отсутсвия людей которые что то могут сделать и проблем по всему фронтаи сразу.
Вот нам тут рассылочка приходила недавно от одного ведомства. Может оно ?
По данным (удалено мною), в настоящее время в российском сегменте сети Интернет активно распространяется программа-шифровальщик HardBit. Семейство программ-шифровальщиков HardBit активно применяется злоумышленниками для кражи данных различных компаний, их шифрования и последующего вымогательства денежных средств для их расшифровки.
Специалисты центра расследования киберинцидентов Solar JSOC CERT выпустили подробный отчёт с анализом версий шифровальщика HardBit. Известно о применении как минимум трёх версий вредоносной программы, которые отличаются друг от друга минимальным набором параметров. Версии указываются в расширениях зашифрованных файлов: .hardbit, .hardbit2 и .hardbit3.
Расшифровать файлы, зашифрованные вредоносной программой HardBit версии 1.0, без приватного ключа невозможно. Для расшифровки файлов, модифицированных шифровальщиком HardBit версий 2.0 и 3.0, эксперты Solar JSOC CERT разработали программу-декриптор. Скачать декриптор можно по ссылке: https://github.com/solar-jsoc/HardBitDecryptor/releases/tag/.... Инструкция по его применению приведена в отчёте.
В связи с высоким уровнем угрозы заражения информационных ресурсов многих компаний шифровальщиком HardBit рекомендуем ознакомиться с отчётом, опубликованным на официальном сайте компании «Ростелеком-Солар» и доступным по ссылке: https://rt-solar.ru/analytics/reports/3676/
По вопросу как запускается криптор-шифровальщик. 1 вариант: У меня стоит простой комп - ловушка, с RDP, порт поменян. Когда злодеи находят сканерами rdp открытый, начинают перебирать пароли ботами с разных IP адресов, когда подобрали, заходят и первое что делают, отрубают антивируски и виндовую защиту, потом сканят сеть на наличие шар, если нашли подключают их дисками, облака и все что найдут. Потом ручками запускают криптора, и вуаля. Это вживую наблюдали сами. Сами заходят через впн.
Мне просто любопытно было посмотреть как они ломают, поэтому сделал такую ловушку.
2 вариант: Присылают на почту архив, в нем длинное название документа с картинкой ворда, экселя, пдф, но расширение у них pdf.exe например, человек не смотрит на расширение и запускает его. И вуаля.
Про то что тут говорят что он как вирус ползает по сетке и убивает все, нет он так не работает, тк его сразу любой антизверин увидит и грохнет. Суть его в том чтобы вы сами его запустили, и ооочень часто антивири не видят его, я брал криптора из 1 варианта, отправлял в вирус тотал, тот выдал ТОЛЬКО подозрение. Будте осторожны, делайте удаленные бэкапы, а не на флэшки которые в компе и остаются, и не в облако диск которого подключен всегда в системе, шифруют ВСЕ что видят.
В общем по сфере работы дошла инфа что только у нас в Заб.крае за начало недели 7 компаний впаялись в шифровальщика. Прям какая то дикая рассылка прет. И вся жопа в том что вирусня обновляется быстрее чем антивирусники успевают ее в свою базу добавить. Короче срабатывания 50 на 50. Чувакам которые хапанули шифру отьебнуло базы 1с, все публички, и тд. Кто то с горем пополам восстановил базы за прошлые месяцы,даже года. Кто то за большие бабки пытались расшифровать но я так понял бестолку. К слову мудачье что рассылает вирус просят за расшифровку 1 биток что по текущему курсу 2 ляма. Ну а умные люди всегда имеют свежий бэкап на съемном носителе. Так к чему это я. Бэкапьте пацаны. А и еще. По возможности бабушек и тетенек из бухгалтерии научите что не стоит все подряд письма открывать, особенно с архивами.
Эта история входит в серию про описание работы админа и рассказывает не о том, что «вот я сделала шаблон для zabbix – скачивайте», но о том, как всё это происходит.
В пятницу у меня была задача ничего не сломать, наконец-то образовалось свободное время и я занялась шаблонами на zabbix для мониторинга BGP. Есть шаблоны на cisco, а вот на huawei я нашла один какой-то шаблон. Он работал, но меня не устраивал своей малой информативностью и я начала его допиливать.
Я вообще в шаблонах заббикса полный нуб, максимум что делала — пару параметров поправить. Именно поэтому я не пошла создавать свой супер-мега шаблон с нуля, а взяла за основу чей-то. Для начала нам нужны mib от Huawei на CloudEngine 8000. Спасибо хуавею за наше счастливое настоящее — по ним есть онлайн справка.
Что такоеmib? Это Management Information Base, с ней работает snmp. Там по цифровому ключу, разделённому точками (типа 1.5.2.4.3.1) можно получить значение, которое будет характеризовать какое-то состояние какого-то компонента системы. Ну типа, у вас интерфейс поднят или нет? Или вентилятор включен или нет? Или «трафика зарегистрировано в такой-то момент столько-то килобит на таком-то интерфейсе в такую-то сторону». У каждого значения есть точный ключ, такая длинная цифровая змея. Если взять ключ и отрезать у него хвостик до какого-то знака — и обратиться по обрезанному ключу — можно получить список значений, объединенных по какому-то признаку. Например, статус всех интерфейсов в системе.
Zabbix работает с сетевыми железками через snmp, соответственно, в шаблонах там указаны mib. Чтоб заббикс мог по ним что-то считывать, он должен ещё о них знать и это своя отдельная тема. Например, на непопулярные железки надо подкладывать ему mib-файлы в определенную папочку на сервере. Но с хуавеем всё хорошо, он о них (ладно, о большинстве) сам знает.
Исходный шаблон показывал соседей BGP (и не было понятно что это пир, только теги смотреть) и статус пира в виде строки с текстом от 1 до 6. Я, во-первых, коды наизусть не особо знаю, во-вторых, хотела бы график с изменением статуса пира, а график - он только для чисел, а не для текста. Также я не поняла зачем на фактически одни и те же пиры делать обнаружение и перетащила всё в одно «обнаружение», но сделала дополнительный «прототип данных» на статус пира.
С представлением в виде чиселок вроде понятно — берем и меняем «текст» на «целое положительное» и получаем то же самое, что было, но уже в цифровом виде.
Если посмотреть у узла сети «данные», то там и график сам появится. Теперь про отображение. У прототипа данных есть «предобработка», но если там менять число на его описание, то и выходные данные снова будут текстовые и графика мы не получим. Но я же вижу, что у других шаблонов и график есть и человеческое описание. Я пошла в базовый сетевой шаблон и посмотрела как там сделано. А там у шаблона есть преобразования значений. Пилим по аналогии:
Берём из описания mib 1.3.6.1.4.1.2011.5.25.177.1.1.2.1.5 The status of the remote BGP peer, including: 1: Idle(1) 2: Connect(2) 3: Active(3) 4: Opensent(4) 5: Openconfirm(5) 6: Established(6)
И вписываем в преобразование у самого шаблона.
Ииии.. ничего не работает. Надо указать, что мы используем это преобразование в прототипе элемента данных (мне пришлось прочитать справку заббикса про преобразование значений, чтоб это найти):
Внимательный читатель заметит (есть ностальгия по старым книжкам при этих словах, да?), что мы смотрели mib 1.3.6.1.4.1.2011.5.25.177.1.1.2.1.5 а в шаблоне у нас 1.3.6.1.4.1.2011.5.25.177.1.1.2.1.5.0.1.1.1.4 — так откуда взялся 0.1.1.1.4? Я не искала ответ, что именно он означает (мне вообще кажется он про ipv4, но не суть). Главное, что прежде чем мы mib из справки пойдём вставлять в шаблоны заббикса - хорошо бы посмотреть, что он в выводе даёт. Для этого у нас есть утилита snmpwalk. Запускаем с заббикс-сервера команду просмотра mib, указывая ip роутера, и смотрим, что выдаётся.
Тут поменян community на public и в конце вырезаны белые ip-адреса соседей
Всё в конце, что не войдет в ваш SNMP OID, поселится в #SNMPINDEX, а нам там нужен только ip, соответственно весь нужный хвостик 0.1.1.1.4 включаем в SNMP OID.
Из того, что в шаблоне не было, мне захотелось добавить номер автономной системы соседа hwBgpPeerRemoteAs, MIB 1.3.6.1.4.1.2011.5.25.177.1.1.2.1.2 — сделала по аналогии. Ну и триггер на изменение статуса пира удалось сделать встроенным мастером. Выглядит он странно, но работает.
В целом, посмотрю, что ещё надо, чтоб видеть, что оно сломалось. Например, есть количество eBGP и iBGP сессий — хорошо бы его тоже отслеживать.
У меня на гитхабе профиля нет, так что кому надо, шаблон по ссылке тут (это yaml, загружать в чужой заббикс не пробовала, уже после публикации нашла, что одно свойство у меня не bgppeer, а pgppeer, но это ни на что не влияет на данном этапе, только на эстетику).
Немного воды в конце: я вообще не вдупляла в начале куда смотреть. На понимание и дабавление пары фич у меня ушла половина рабочего дня неспешного ковыряния и ещё час вечером. Это много. С другой стороны, вы посмотрели как поступает админ в случае "да я вообще х.з. как эту хрень делать". А ещё у меня в профиле есть телега, где я пишу более короткие и развлекательные посты пару-тройку раз в неделю, вдруг кому будет интересно.
На устройствах по большей части все прописано руками, в основном так чтобы для 192.168.15.х шлюзом было 192.168.15.1
Вцелом все работает, но появилась задача:
1) Сделать так чтобы (к примеру) устройства подключенные к порту ETH18 свитча CRS354 не видели ничего кроме устройств подключенных к порту ETH12 свитча CRS236 и устройств подключенных порту ETH6 роутера RB4011
2) Несколько портов (к примеру ETH21 ETH22 ETH23 в свитче CRS354) видели все что есть в сети и могли с этим всем работать.
Решил попробовать это все осуществить с помощью SWITCH RULES, хоть немного снизить нагрузку на свитчи.
Почти все что нагуглил - исходит из того что я уже в теме, хоть частично, какие-то первые шаги настроек уже сделал и вот теперь подсказка как парой правил все изменить к лучшему.
А я НИЧЕГО пока не сделал, мои знания по VLAN немного выше нуля - умею делать гостевые сети для WiFi на основе VLAN, и роутами не давать им доступа в унутрь
Может есть для подобной задачи какой-то мануал с примерами?
