do IT right

Внешние обработки в 1С = полный доступ ко всем базам Надеюсь, вы прочитали мой прошлый пост, ограничили сервер 1С в правах и поставили пароль на консоль администрирования. Но остались внешние обработки. Их включают чуть ли не всем — от бухгалтера до кладовщика. И даже если вы урезали сервер 1С в правах, каждый такой пользователь может запустить обработку, которая: • откроет консольный доступ к серверу 1С → • прочитает файл конфигурации сервера → • получит оттуда адрес сервера SQL, имя пользовате...

О передаче паролей Продолжу рубрику «хозяйке на заметку». Пароли нужно не только хранить. Их ещё приходится передавать — подрядчикам, коллегам, пользователям. И вот тут начинается самое интересное. Обычно всё заканчивается одинаково: пароли оседают в почте и мессенджерах. А для злоумышленника, который получил доступ к аккаунту пользователя — это идеальная точка развития атаки. Поиск по ключевым словам работает не только у вас. И если свою почту вы ещё можете почистить, принимающая сторона чаще в...

Сегодня — про бэкапы в целом и Veeam в частности Кто не любит рутину — приходите через неделю… или даже через месяц Резервное копирование в компаниях часто строится по остаточному принципу. Вывели сервер из боевой среды, добили дисков — вот тебе и система хранения. Безопасность? Когда-то о ней не задумывались вовсе: получил доступ к одному серверу → посмотрел настройки NTBackup → зашёл в шару с бэкапами → извлёк реквизиты доступа к остальным системам. Сейчас про NTBackup помнят только деды. А во...

О хранении паролей В преддверии 8 марта открываю рубрику «хозяйке на заметку». Сегодня — о том, как и где администратору хранить пароли. Большинство компаний взламывают не через «супер-эксплойты», а через людей. И очень часто — через системных администраторов. Сделал одно неверное движение, пустил злоумышленника на компьютер… а дальше всё как в тумане. И это, конечно, моя профессиональная деформация — на самом деле администраторы попадаются на уловки не сильно чаще и не сильно реже обычных польз...

О защите централизованных систем: заключительный пост Система мониторинга (в моём примере — Zabbix) — священный грааль любого администратора. Одна из немногих, которые разворачивают для себя: чтобы понимать, что происходит в инфраструктуре, и находить причину сбоя одним взглядом на экран. Поэтому к ней и относятся соответствующе — как к продолжению себя: ставят агентов повсюду, дают доступы любым желающим и подключают всё, до чего дотягиваются. Я не буду сейчас разбирать, как именно злоумышленни...

Вообще-то у меня свой бизнес, а телеграм — это так, для души Я веду канал, чтобы вы могли сделать инфраструктуру надёжнее и безопаснее. Стараюсь не просто показывать «как надо», а объяснять, почему именно так. Если вы только подписались, имеет смысл пролистать канал назад. Многие базовые и критичные вещи я уже разбирал, и посты ещё долго не будут повторяться. Но если времени на вдумчивое погружение нет, а результат нужен быстро и без лишних экспериментов — можно пойти коротким путём: заказать ау...

Запрещай, но проверяй В 2009 году мы подсели на терминальные решения. Это когда на рабочем месте стоит тонкий клиент — мини-ПК, а сам пользователь работает на удалённом рабочем столе. Тонкие клиенты на Windows Embedded, домен, фильтр записи, запрет всего лишнего — и на выходе получаем устройство, которое пользователь не может сломать. Он заходит под доменной учётной записью → двойной клик → SSO → работает на сервере. Если что-то пошло не так — перезагрузил, и всё снова чисто. Решение получилось ...