scif_yar: (Default)
[personal profile] scif_yar
KB4025334 prevents a critical data corruption issue with NTFS sparse files in Windows Server 2016. This helps avoid data corruptions that may occur when using Data Deduplication in Windows Server 2016, although all applications and Windows components that use sparse files on NTFS benefit from applying this update. Installation of this KB helps avoid any new or further corruptions for Data Deduplication users on Windows Server 2016. This does not help recover existing corruptions that may have already happened. This is because NTFS incorrectly removes in-use clusters from the file and there is no ability to identify what clusters were incorrectly removed after the fact. Although KB4025334 is an optional update, we strongly recommend that all NTFS users, especially those using Data Deduplication, install this update as soon as possible. This fix will become mandatory in the “Patch Tuesday” release for August 2017.

For Data Deduplication users, this data corruption is particularly hard to notice as it is a so called “silent” corruption – it cannot be detected by the weekly Dedup integrity scrubbing job. Therefore, KB4025334 also includes an update to chkdsk to help identify which files are corrupted.

https://blogs.technet.microsoft.com/filecab/2017/07/20/windows-server-2016-ntfs-sparse-filedata-deduplication-users-please-install-kb4025334/
scif_yar: (Default)
[personal profile] scif_yar
В Сети стала доступна для всеобщего обозрения огромная часть внутренних сборок и элементов ядра Windows. На betaarchive.com было загружено около 32 Тбайт непубличных установочных образов и проектов программного обеспечения. Предполагается, что данные были похищены с внутренних систем Microsoft в марте этого года.

Среди утёкших данных — исходный код, который распространяется по механизму Shared Source. По словам людей, которые видели его содержимое, он включает код базовых аппаратных драйверов Windows 10 и PnP, стеки USB и Wi-Fi, а также код ядра OneCore для ARM-устройств.
https://3dnews.ru/954490
scif_yar: (Default)
[personal profile] scif_yar
WannaCry/WanaCrypt0r 2.0 is indeed triggering ET rule : 2024218 "ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response

36,000 detections of #WannaCry (aka #WanaCypt0r aka #WCry) #ransomware so far. Russia, Ukraine, and Taiwan leading. This is huge.

https://twitter.com/JakubKroustek

An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak
It's been a matter of weeks since a shady hacker crew called Shadow Brokers dumped a load of tools believed to belong to the National Security Agency (NSA). It now appears one leaked NSA tool, an exploit of Microsoft Windows called EternalBlue, is being used as one method for rapidly spreading a ransomware variant called WannaCry across the world.

https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/#3305ef5e599b

Выглядит вот так



В новостях пока тихо - только типа на западе
http://www.rbc.ru/society/12/05/2017/5915cb609a794752f6b24e9d?from=main

Дырка ETERNALBLUE MS17-010 Echo Response - закрыта в марте 2017
MS17-010: Security update for Windows SMB Server: March 14, 2017
https://support.microsoft.com/en-us/help/4013389/title

Опубликована в апреле -
14 апреля 2017 года был опубликован новый дамп от группы хакеров, именующих себя The Shadow Brokers. Среди прочего в дампе находится фреймворк FuzzBunch, позволяющий эксплуатировать опасные RCE-уязвимости ОС Windows практически в автоматическом режиме. Данная уязвимость устранена с выходом пачта MS17-010: он устраняет шесть проблем Windows SMB Server, пять из которых позволяют выполнить произвольный код через создание специального пакета Server Message Block (SMB) 1.0.
https://habrahabr.ru/company/pentestit/blog/327490/

Шагает по миру:
WanaCrypt ransomware snatches NSA exploit, fscks over Telefónica, other orgs in Spain
https://www.theregister.co.uk/2017/05/12/spain_ransomware_outbreak/


Мегафно
https://meduza.io/news/2017/05/12/sotrudniki-megafona-soobschili-o-hakerskoy-atake

МВД
http://varlamov.ru/2370148.html

АПД
Сегодня в 20:14

Сотрудник Avast Якуб Кроустек сообщает, что антивирус Avast зафиксировал уже 57 тысяч заражений по всему миру.

И так далее.

Про антивирусы:
SEP, KAV отсосали.
PA TRAPS рулил.
scif_yar: (Default)
[personal profile] scif_yar
Windows Server 2003 missing Network Store Interface Service (nsi)
There were 3 dependencies (bowser, mrxsmb10 and nsi) shown for the Lanmanworkstation service. Usually there has to be none. After finding your post here and removing the 3 items, the server started as wanted again.
https://social.technet.microsoft.com/Forums/windowsserver/en-US/4d73bd1b-0c8e-4c17-ae2e-50a1cdd215b3/windows-server-2003-missing-network-store-interface-service?forum=winservergen

Коллеги выхватили на виртуалке.
Слышал о таком выхватывании в Server 2008.
Походу, дырка неведомая.

Разовое лечение там же -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\
Edit the DependOnService key and remove NSI

Но вообще проблема так не лечится, после следующего ребута возникает снова.
scif_yar: (Default)
[personal profile] scif_yar
Неимоверной полезности хреновина
Introducing Project Sauron – Centralised Storage of Windows Events – Domain Controller Edition
https://blogs.technet.microsoft.com/russellt/2017/05/09/project-sauron-introduction/?utm_source=dlvr.it&utm_medium=twitter
scif_yar: (Default)
[personal profile] scif_yar
Очередные грустные и печальные новости о победе сил разума над силами добра.
После многолетней борьбы
- 2015
Как и год назад, отдельные представители городской администрации Мюнхена предлагают отказаться от использования операционной системы LiMux (на базе Kubuntu 12.04) в государственных учреждениях. Такое решение продвигают два члена Консервативной партии CSU. По их мнению, нынешняя система «сложна в использовании» и имеет «ограниченную функциональность».
https://geektimes.ru/post/260690/

Опять силы разума победили силы добра:
Городские власти Мюнхена приняли решение вернуться на Windows. С 2003 по 2013 год администрация постепенно внедряла специальный дистрибутив Linux под названием LiMux, созданный на базе Ubuntu.
https://xdrv.ru/news/software/21254

Munich mulls dropping Linux, returning to Windows 10
https://arstechnica.com/information-technology/2017/02/munichs-linux-deployment-once-again-in-doubt-may-switch-to-windows-10-by-2020/
scif_yar: (Default)
[personal profile] scif_yar
Для тех, у кого медленный интернет или еще какая беда - оказывается, тут случилось большое горе у одного узконишевого продукта(ТМ):
Today we are announcing an update to our support policy for Windows Server 2016 and Exchange Server 2016. At this time we do not recommend customers install the Exchange Edge role on Windows Server 2016. We also do not recommend customers enable antispam agents on the Exchange Mailbox role on Windows Server 2016 as outlined in Enable antispam functionality on Mailbox servers.

https://blogs.technet.microsoft.com/exchange/2017/03/23/exchange-server-edge-support-on-windows-server-2016-update/
scif_yar: (Default)
[personal profile] scif_yar
Читал вот этот ужоснах
https://social.technet.microsoft.com/Forums/ru-RU/ee5d6029-ae44-4c9f-812c-4b2996dedd63/-?forum=xpru

Решил написать что и как.
SRP я решил внедрять еще лет 10 назад, и внедрял с переменным успехом. Два года назад начал очередное внедрение, после пролезшего мимо антивируса шифровальщика. Данные из бекапа подняли, осадочек остался.

Что имею таки сказать.
1. Выбор applocker или Software Restriction Policies (SRP)
Без разницы.
Windows AppLocker
https://technet.microsoft.com/en-us/library/dd759117(v=ws.11).aspx
появился в семерке, когда я первые разы запускал - везде была XP. Выбора не было

2. Обучение персонала
Да, полезно - но требует обучения под роспись и действенных мер по обучению. Это бывает весьма редко, да и помогает примерно никак.

3. Защита типа "а мы не будем мапить сетевые диски диски, наделаем ярлыков" - локальные файлы все равно зашифрует, может быть неудобно.

Теперь о запуске.
1. Очевидно (но не для всех), что опыты надо сначала ставить на себе, потом на себе еще раз, потом отдельной политикой на отдельной OU.

2. SRP/applocker не отменяет антивирус

3. Вместе с политикой SRP/applocker надо писать политику распространения таска в task scheduler, которая по событию NN вызовет скрипт, который отправит вам сообщение (почта, смс, прочее) о срабатывании. Что еще туда будет записано - имя компа, имя пользователя, ип/мак, время срабатывания, прочая, прочая - дело ваше.

4. Первые полгода будет постоянно всплывать всякое говно. В частности:
4.1 Наставленный в юзерские папки софт, особенно хром и опера. Фаерфокс встречается почему-то реже. Хром еще свои репортер тулзы кладет в юзерский профиль, приходится добавлять.

4.2 обновления баз всяких кладров и прочих классификаторов для 1с и банк-клиентов.
Индивидуально надо настраивать, но они не каждый день обновляются.

4.3 Разный говнософт, который обновляется через DCOM. Это пиздец, но это есть. лечится выкидыванием софта.

4.4 Сложно с погромистами. Но решаемо.

4.5 Время от времени система толи сама сходит с ума, толи вирусня какая-то просачивается, толи что - бывают неопределяемые глюки. Возможно это вариация на тему самоудаляющейся вирусни в ворде/экселе, возможно что-то еще.

4.6 Перед началом процедур нужно административное решение, потому что иначе мозг будут выедать ложкой, со словами Я ХОЧУ TEAMVIEWER ИЗ ДОМА И НИИБЕТ.

В остальном - вполне рабочее решение, если руки не из жопы.
scif_yar: (Default)
[personal profile] scif_yar
Сходил тут на курсы по Windows server 2016

У MS появилось жалкое подобие левой что-то типа VMware Hands on Labs
http://labs.hol.vmware.com
https://labs.vmware.com/

Read more... )
Page generated Sep. 22nd, 2017 04:24 am
Powered by Dreamwidth Studios