Владислав Кабак | Omegicus CIO

NebKa

Космос

Наиболее распространенными во Вселенной являются самые легкие элементы - водород и гелий. Солнце, звезды, межзвездный газ по числу атомов на 99 процентов состоят из них. На долю всех других, в том числе самых сложных «тяжелых»,


читать далее »

Принципы, законы, аксиомы

1. Постулат Хорнера:Опыт растет прямо пропорционально выведенному из строя оборудованию.2. Аксиома Кана и Орбена:Если ничто другое не помогает, прочтите, наконец, инструкцию!3. Закон Янга:Все великие открытия делаются по ошибке.4. Закон Мескимена:Всегда не хватает времени, чтобы выполнить



читать далее »

Как сделать оберег своими руками

Автор Светлана Вдовина. Светлана Вдовина (Пинск, Беларусь) оптимистичный и позитивный человек. С удовольствием делится своим рукодельным опытом. Для работы нам понадобятся: пакет прозрачный, нитки белые, вата или синтепон, веревка, клей ПВА, ножницы, соленое тесто, гречка, краска. Делаем чеснок: нарезаем пакет на квадраты разной



читать далее »

Анекдот

Отец отжог... Подруга моей маме рассказала жалостливую историю, о том как её шпицу(собачке) вырвали глаз дворовые коты. Операция стоила 40000, глаз восстановили, но он ничего не видит. отец послушал и выдал:"лучше б пуговицу пришили"


читать далее »

Природа

В среднем улье 60 000 - 120 000 пчел.


читать далее »

Мой совет:

Дрожжевое тесто будет мягким, пышным и воздушным, если непосредственно перед выпечкой в него добавить остывший вареный картофель, натертый на мелкой терке (2-3 картофелины на 1 кг муки).


читать далее »

УЧИМСЯ ШИТЬ И МОДЕЛИРОВАТЬ.

Предлагаю вам МАСТЕР КЛАСС по пошиву вот такой  юбочки с пошаговыми инструкциями.Берем выкройку прямой юбки и приступаем к моделированию.Выкройку можно взять здесь Высота кокетки равна 12см. Разрезаем где показаны ножницы,закрываем выточки и раздвигаем детали на ширину складки.В



читать далее »

Мой совет:

Чтобы вареное вкрутую яйцо нарезать аккуратными тонкими ломтиками, нужно смочить нож в холодной воде - желток не будет крошиться.


читать далее »

Анекдот

Отец приходит домой после ночной смены. Его встречaют дети и нaчинaют кричaть: - Пaпa, пaпa дaвaй поигрaем. - Дaвaйте поигрaем в "Мaвзолей" - я буду Ленин, a вы чaсовые.


читать далее »

Беспрерывное вязание с двумя разными нитями. МК

Color stranding Цвет мель   При вязание с двух или более цветов, в котором расстояние между изменениями цвета короткое, позволяя неиспользованный пряжи проводиться вместе по той стороне, называется цвет мель. Цвет мель создает ткань, которая - в сущности



читать далее »

Анекдот

- Хватит! Хватит Б%%%ь! - кричала блондинка в маршрутке, забыв слово ОСТАНОВИТЕ!


читать далее »

ДВОРЕЦ ДЛЯ РУКОДЕЛИЯ. МК ОЛЬГИ УГНИВЕНКО

Представляю Вам, дорогой гость, еще один МК моей работы "Дворец для рукоделия". Во время работы, как у любого мастера, "небольшой" бардачок на столе. Все нужно, и постепенно стол превращается в творческий хаос. Для, хотя бы, частичного



читать далее »

Мой совет:

Кафельные плитки в ванной рекомендуется протирать уксусом с водой (1 : 5). Можно использовать мыльный раствор с добавлением нашатыря.


читать далее »

Природа

В одном растении полыни горькой около 100 тысяч семян.


читать далее »

Новогодний венок из мешковины

Автор: Антонина  Гордо и дорого красуется на магазинных полках новогодний декор. Иногда игрушки милые и душевные, чаще – безжизненные, унифицированные. А Новый год и Рождество – праздники особые, и должны они пройти в атмосфере уюта и тепла. Правильный декор этого



читать далее »

Как сделать обруч с оборками

Иногда для вечернего наряда не хватает яркого и самодостаточного украшения для волос. Мы вам предлагаем сделать обруч с оборками, который будет ярким дополнением вашего наряда.   Нам понадобится: Обруч. Атласная лента (шириной 5 см) черного цвета. Швейная машинка, ножницы, нитки,



читать далее »

ВЯЗАНИЕ: РАСЧЕТ РАЗМЕРА ШАПОЧКИ

Любую модель шапочки можно связать даже не имея описания. Самое важное при этом  правильно определить размер шапочки – глубину и длину по окружности. При этом нужно принимать во внимание плотность выбранного узора. К примеру ,



читать далее »

Моделирование рукавов.

   



читать далее »

ОТКРЫТКА «МЯГКОЕ СЕРДЦЕ»

  Источник: http://barrellab.ru/



читать далее »

Грелка на чашку связанная крючком

Грелки на кружку согреют не только Ваш напиток, но и вашу душу. Руки получат только приятное тепло, — вязаный чехол не позволит обжечь ваши руки, надежно оставляя лишнее «тепло» внутри бокала. Данный практический подарок с



читать далее »

Анекдот

Муж говорит жене: "Милая, я заболел... " Жена: "Выпей отравы, тварь... . " Муж: "!!! ! ! ??? ??? " Жена: "Ой, милый, оговорилась.....Выпей отвары трав!


читать далее »

ПЛАТЬЕ С ВЕЕРНЫМ УЗОРОМ

ПЛАТЬЕ С ВЕЕРНЫМ УЗОРОМ Источник: http://barrellab.ru  



читать далее »

Космос

Когда мы смотрим на самую дальнюю из видимых звезд, мы смотрим на 4 миллиарда лет в прошлое. Свет от нее, путешествующий со скоростью почти в 300 000 км/секунду, достигает нас только через много лет.


читать далее »

Цветочное панно и Комплект полотенец с фиалками

Источник: http://era-handmade.ru/page/3



читать далее »

География

Все 14 гор, которые выше чем 8000 метров находятся в Азии.


читать далее »

Животные

Китовая акула, в отличие от большинства других акул, питается только планктоном.


читать далее »

Анекдот

У сборщика Сидорова, устанавливающего заряд на атомную бомбу, дрогнула рука. Никтоэтого не заметил. Поэтому обосрался только он.


читать далее »

Ободок из фоамирана "Нежность"

Каждая девушка может стать королевой. Нужно лишь этого захотеть, и тогда принц не заставит себя ждать. А начать можно с цветочной короны. Есть в ней что-то сказочное и романтичное. Материалы: фоамиран (3-4 цвета); проволока для летонов (№ 26-28); тейп-лента; суперклей



читать далее »

Летний шарфик с узором зигзаг

Вам потребуется Пряжа ALIZE «DIVA BATIK» № цвета: 3241, количество мотков: 3. Спицы № 4. Описание работы Набрать 227 петель. Первый ряд вязать, чередуя: 1 накид, 2 петли провязать вместе. Изнаночный ряд вязать лицевыми петлями. С 3 ряда вязать



читать далее »

Анекдот

Из переписки: -Уважаемый Пётр Васильевич! Ваши тонеры уже заказаны, ждите суки. - Эээ... Уважаемая Анастасия Валерьевна! Либо вы пропустили букву "т", либо запятую...


читать далее »

утолщенный край

Еще один наборный край, в котором четные и нечетные петли формируются по-разному. Складываем нить вдвое.Делаем скользящий узел в конце сдвоенного участка рядом с одинарным продолжением и помещаем в него пару спиц.Одинарную нить от клубка отправляем через



читать далее »

Поделки из старых капроновых колготок

Привет! Хочу продолжить тему про Корейская мастерица творит чудесные вещи. Глядя на ее работы, я набираюсь такого вдохновения для творчества, что даже во сне вижу свои творения. Но, все равно, я не берусь повторить ее работы.  Не перестаю



читать далее »

Космос

Существует теория «большого сжатия». Многие учёные установили, что материи, содержащейся во Вселенной достаточно, чтобы достичь гравитационной силы для остановки дальнейшего процесса ее расширение и начала в определенный исторический момент обратного процесса – сжатия. Согласно этой


читать далее »

Анекдот

Старый еврей лежит, чуть слышно дышит, помирает. Вдруг открывает глаза и говорит стоящему рядом внуку: — Моня, я чую запах фаршированной рыбы, принеси мне кусочек. Внук возвращается через пару минут и говорит: — Бабушка сказала:


читать далее »

Большая жирафа из остатков ткани

Насобиралось у вас много разных кусочков ткани? Тогда можете сшить такую мега жирафку высотой 175 см. Она может стать украшением детской комнаты и не только. Этот подробный мастер класс с фото Патриции Хедервиги из Словакии. Так



читать далее »

Вязание пэчворк спицами мастер-класс



читать далее »

Урок по изготовлению кулона-сумочки

Автор: alvalin   Вам понадобится:1. Пластика необходимых цветов;2. Скалка или паста-машина;3. Фольга;4. Лезвие, скальпель, на крайний случай канцелярский ножик;5. Гель Фимо (или любая другая жидкая пластика);6. Металлическая пудра. В моем случае золотого цвета. Но можно и серебро взять.



читать далее »

КОКОСОВО-ВАНИЛЬНАЯ ПЛИТКА

Состав: 10 гр натертого пчелиного воска50 гр масла какао50 гр масла ши20 гр масла кокоса10 мл масла жожобащепотка ванилина20 капель эфирного масла апельсина и 8 капель мускатного шалфея   1. Расплавьте на водяной бане воск и твердые масла.2.


читать далее »

Кожаный браслет своими руками.

Вам понадобится: - кусок кожи - ножницы - суперклей или клей для кожи - нитка - кнопка для одежды (застежка-защелка) 1. Из куска кожи вырежьте овал, размером примерно 22 х 10 см. В зависимости от размера запястья можете сделать овал длиннее



читать далее »

30 способов упаковки подарков

30 идей для упаковки ваших подарков на День рождения, Новый Год, 14 февраля и другие. Буду рад если эти идеи вас порадуют и вы получите вдохновение.                                   Источник: http://make-self.net



читать далее »

Юбка без швов (спицы)

Размер: 40/42 (44/46)Вам потребуется: пряжа «Freizeit 4-fadig» (75% шерсть «superwash», 25% полиамид, 420 м/100 г) от Junghans-Wolle: 200 г антрацитовой (ОЦ), 100 г секционно окрашенной в сине-зеленые и рыжевато-красные тона (КЦ1), 100 г меланжевой в коричневых, черных,



читать далее »

ПЕРЕДЕЛКА ОДЕЖДЫ. ЖИЛЕТ ДЛЯ ДЕВОЧКИ И ЦВЕТОК ИЗ ДЖИНСА

 Хорошая идея переделать джинсовое простенькое платье в джинсовый костюмчик.       Нашла тут http://www.craftpassion.com



читать далее »

Замечательный мастер-класс по пошиву одеяла и подушки

На ткани чертим квадратики, размер на ваше усмотрение, но чем больше квадраты, тем больше расход ткани и толще одеяло Нужно брать ткани примерно в 1,5 раза больше желаемого размера, ну это примерно, вначале и одеяло



читать далее »

Идея для хранения бижутерии



читать далее »

Анекдот

Киса! Я давно хотел Вас спросить как художник художника: Вы рисовать умеете?


читать далее »

Ухоженные и красивые ногти. Ванночки для укрепления ногтей

Когда речь заходит об аккуратности и красоте рук, ни одна женщина не хочет уступать. Потому что, смотря на ухоженность рук, можно сказать о профессии, достатке и уважении девушки к себе. В конце концов, это красиво,



читать далее »

МК, канзаши,похожи на герберы.

 Нарезаем ленту на квадратики. Складываем квадратик по диагоналиЗагибаем один уголочек .И второй.Подрезаем кончики, запаеваем зажигалкой. Получаем такие лепесточки.На одну сторону заготовки капаем клей.Вставляем второй лепесток.Продолжаем по кругу.Получится такая заготовка.Ну а дальше ваша фантазия!  http://forum.say7.info/topic39741-625.html 



читать далее »

Элегантное черное платье крючком

 



читать далее »

Разное

Жемчужины растворяются в уксусе.


читать далее »

6 рецептов от целлюлита. Готовимся к лету!

Рецепт от целлюлита №1: Жесткая мочалка   Этот рецепт от целлюлита прост и не требует каких-нибудь нереальных затрат. Нужна жесткая мочалка – можно искусственную губку с массажным слоем из ближайшего супермаркета. Во время душа или после ванны нужно


читать далее »

Декоративные панно в форме пасхального яйца из газетных трубочек

Для работы понадобятся трубочки из газет или журналов, проволока и клей, а также - краска и лак



читать далее »

Сундучок из картона. Мастер-класс



читать далее »

Мой совет:

Пятна от анилиновых красителей исчезнут, если потереть их сначала денатурированным спиртом, а потом 10-процентным раствором марганцовокислого калия. Затем пятно смыть 2-процентным раствором щавелевой кислоты или бисульфитом натрия и ополоснуть тёплой водой.


читать далее »

Животные

Петух не может петь, если не вытянет шею.


читать далее »

Природа

авайский остров Кауаи (США) знаменит наибольшим среднегодовым количеством дождливых дней – 350.


читать далее »

Пэчворк — техника лоскутного шитья

Пэчворк (лоскутное шитье)       Наверняка у вас дома есть место, где хранятся лоскутки, оставшиеся после шитья или рукоделия, или есть уже не нужная детская одежда, которая не может обрести новых хозяев. Оказывается из того, из



читать далее »

Азбука вязания

 



читать далее »

Наука

Через любую точку электрического потока за 1 секунду проходит примерно 6 242 000 000 000 000 000 электронов.


читать далее »

География

Столица штата Вермонт Монпелье - единственная в США столица штата, в которой нет ни одного МакДональдса.


читать далее »

Моделирование женской одежды.(4 часть)

      http://moldesedicasmoda.blogspot.ru/



читать далее »

Переделка футболок в стильный наряд .

Продолжаем свой экскурс по футболочным переделкам,  благодаря которым Вы всегда будете в топе :)) Давайте рассмотрим мастер-класс создания этого стильного летнего наряда, а ниже Вы увидите еще одну переделку :)   Сначала мы поучимся оригинально окрашивать футболочку. Используем:- 100%



читать далее »

История

Из 266 человек, занимавших папский престол, 33 умерли насильственной смертью.


читать далее »

Квадрат. Мотив крючком. Мастер класс



читать далее »

О, вечный ужас, вечный мрак!

Александр Блок «Балаганчик» Посвящается


читать далее »
Здесь пока пусто

Unauthorized.

TOP10 ошибок администраторов Server 2003

2011.10.08

Автор: (c)Крис Касперски ака мыщъх

О, Windows, сын ошибок трудных!
народное

Легкость установки и управления MS Server'ом создает обманчивую иллюзию, что администрировать его проще простого. Никакой командной строки! И даже обновления устанавливаются автоматически! Настоящий рай, да и только! Почему же тогда его так часто ломают?! Составив TOP10 ошибок управления Server 2003, и подробно прокомментировав каждую из них, мы надеемся помочь начинающим администраторам (хотя некоторые факты наверняка будут интересны и матерым волкам).

#1 - заплатки и обновления

Достаточно многие администраторы вообще не устанавливают никаких заплаток, считая, что никто их атаковать не будет, но это всего лишь распространенное заблуждение. Основная угроза исходит от червей, сканирующих IP адреса и выявляющих незалатанные машины, даже если это домашний сервер, на котором нет никакой конфиденциальной информации.

Обновляться все-таки надо, причем обновлять не только операционную систему, но и все используемые приложения: MS Office, Adobe Photoshop и... даже WinRAR, в которых также обнаруживаются критические ошибки, естественно, не устраняемые обновлениями от Microsoft. Следовательно, нужно составить список используемого программного обеспечения и регулярно посещать сайты производителей на предмет поиска новых заплаток.

Кстати говоря, заплатки от Microsoft содержат одну очень неприятную особенность, граничащую с ошибкой, а именно - они не проверяют номера версий замещаемых исполняемых файлов/динамических библиотек. Допустим, у нас есть две заплатки A и B, исправляющие ошибки в KERNEL32.DLL (например). Поскольку, установщик не отслеживает последовательность обновлений, то установив заплатки в обратном порядке (инсталлятор при этом даже не пикнет!), мы закроем дырку A, но откроем дырку B, поскольку, KERNEL32.DLL (как и любая другая динамическая библиотека) всегда замещается целиком, а не частями!

При автоматическом обновлении никаких проблем не возникает, т.к. заплатки ставятся в том порядке, в котором они выпускаются, но вот если мы сохраняем заплатки на локальный диск или качаем их вручную, то необходимо в "свойствах" файла найти внутреннюю версию и дату его создания, составив "план" последовательности установки заплаток. Впрочем, и тут не обходится без подводных камней. Иногда Microsoft выпускает одни и те же заплатки по нескольку раз. Допустим, сначала выходит A, исправляющая ошибки E1, E2, E3, после чего выходит B, исправляющая E4, E5, E6, а затем... выходит обновленная заплатка A', исправляющая все те же E1, E2, E3, а обновленной заплатки B - нет. Установка A' поверх уже установленной B открывает дыры E4, E5, E6. Так что с заплатками нужно быть очень внимательными и всегда читать бюллетени безопасности, чего практически никто делать не собирается.

В целях экономии трафика ряд Интернет-провайдеров устанавливает свои собственные сервера обновлений, предлагая клиентам прописать в настройках Windows Update их адреса. Соблазн на самом деле очень велик, но угроза быть атакованным еще выше! Microsoft прилагает огромные усилия для защиты своих серверов, вкладывая в безопасность нехилые деньги. Что же касается провайдеров, то... атаковать их порядка на три проще (и ведь их атакуют, подсовывая троянизированные обновления).

Выход: скачивайте заплатки только у самих поставщиков, при этом чтобы избежать вероятности "подмятия" доменного имени с перенаправлением на другой узел, не используйте DNS-сервер провайдера. Установите свой собственный DNS, напрямую обращающийся к корневым доменным серверам по TCP-протоколу и заблокируйте 53-й UDP-порт на брандмауэре для отсечения подложных DNS-ответов.

Ветки реестра

Рисунок 1. Ветки реестра, ответственные за установку адреса сервера автоматических обновлений.

#2 - баги в процессорах

Ругая Windows (и отчасти Linux) за то, что программное обеспечение наших дней дыряво как ведро без дна, мы почему-то забываем об аппаратной оснастке, считая "железо" совершенно непогрешимым. Увы, процессоры не святые. Самая громкая ошибка в Pentium была обнаружена в 1995 году и продемонстрирована на следующем примере: x - (x / y) * y, результат которого (если только y != 0) должен быть равен нулю, однако при определенных значениях x и y (x = 4195835, y = 3145727), процессор выдавал... 256! Потрясающая точность, не правда ли?!

Журналисты подхватили сенсацию, вынудив Intel пойти на замену процессоров, чего она изначально делать не хотела, доказывая, что людям, далеким от математики, точные вычисления не нужны, а вероятность проявления ошибки на произвольном (а не умышленно подготовленном) наборе данных близка у нулю.

С тех пор сообщений об ошибках в ЦП как будто бы не отмечалось. И потому заявление Theo de Raadt'а (ведущего разработчика Open-BSD), что Core2Duo содержит огромное количество ошибок, многие из которых допускают удаленный захват управления, стало очередной сенсацией года ("Intel understates the impact of these erraata [sic!] very ignificantly. Almost all operating systems will run into these bugs" - http://marc.info/?l=openbsd-misc&m=118296441702631).

Часть ошибок может быть исправлена программным путем (и разработчики OpenBSD сделали это, чего нельзя сказать о лагере NT-подобных систем), часть - обновлением микрокода процессора (для чего, в свою очередь, необходимо обновить версию BIOS, если только разработчики прошивки включили в нее обновленный микрокод), но все эти меры лишь уменьшают вероятность атаки, а оставшиеся ошибки исправляются исключительно сменой процессора на более новый (кстати говоря, также содержащий ошибки, перечисленные в секции "errata" обновленной спецификации от Intel, распространяемой на свободной основе).

Выход: почаще обновлять прошивку BIOS, в критических случаях использовать OpenBSD, разработчики которой прилагают все усилия для исправления ошибок ЦП, а еще лучше не использовать Core2Duo, поскольку это все-таки "бытовой" процессор, не отвечающий жестким требованиям серверной индустрии.

Core2Duo

Рисунок 2. Core2Duo - процессор, в котором обнаружено рекордное число критических ошибок.

#3 - излишняя сложность

Чем сложнее система, тем выше вероятность внезапных отказов и тем проще атаковать ее, найдя слабейшее звено в линии обороны. Если администратор не пользуется удаленным доступном к реестру, зачем оставлять эту службу включенной?

IIS - бесспорно, могучая вещь, однако так ли он необходим небольшой организации, обслуживающей сотни (ну, пускай даже тысячи) подключений в день? Сайт с движком на PHP - отличная штука, это современно и круто! А ошибки в скриптах (или самом PHP-интерпретаторе?). Почему бы не попробовать установить что-нибудь наподобие SMALL HTTP сервера? Бесплатный, поддерживает практически все функции, которые только могут быть нужны, обладает приятным интерфейсом, не требователен к системным ресурсам...

А ситуация, когда начинающий администратор вместо простой одноранговой сети, обслуживающей с полсотни сотрудников, разворачивает контроллер домена, работающий по принципу "сейчас опять все развалиться" - вообще живая классика.

Вывод: система должна быть предельно простой и не содержать ничего лишнего (тем не менее, стоит помнить, что иногда простота хуже воровства).

#4 - режем "в живую" без наркоза

Практически все администраторы устанавливают заплатки непосредственно на "продакшен" сервере (а в случае активной службы Windows Update это происходит автоматически), даже не задумываясь, какому они себя подвергают риску, не говоря уже про обновление прошивки BIOS.

В лучшем случае после установки очередной порции заплаток возникают разные мелкие конфликты. Неприятные, но вполне совместимые с жизнью. Гораздо хуже, если система вообще откажется грузится или "забастуют" критические приложения сторонних разработчиков, что, кстати говоря, более чем вероятно и очень часто после выпуска заплатки Microsoft следом за ней выпускает кучу инструкций по устранению конфликтов. Естественно, это относится только к популярным программным комплексам, хорошо известным на Западе. А как быть, если приложение складского учета, упакованное разработчиками неимоверно крутым протектором (чтобы злые хакеры не взломали) скручивает дулю и выдает голубой экран смерти или "всего лишь" аварийно завершает свою работу сразу же после запуска?

Выход: создать точную копию основного сервера, устанавливая заплатки/обновления сначала на ней и если после более или менее полного цикла тестирования никаких побочных эффектов не выявляется - переносить заплатки на основной сервер. Конечно, это требует дополнительных расходов и при "тугом" бюджете сервер-клон можно организовать и на виртуальной машине, не забывая, что она работает с виртуальным железом и потому потенциально не способна выявить ряд конфликтов. Однако это все же лучше, чем совсем ничего.

Экспериментальный Server 2003

Рисунок 3. Экспериментальный Server 2003, воздвигнутый под VM Ware.

#5 - пакеты обновления и дистрибутивы

Популярный способ "поднятия" упавшего сервера - установка операционной системы поверх уже имеющейся. Прием не то, чтобы хороший или красивый, однако в жестких временных рамках и отсутствии резервной копии - это единственно возможное решение.

Проблема в том, что после установки Service Pack'ов "родной" дистрибутив системы отказывается устанавливаться поверх более новой версии, предлагая либо вообще отказаться от инсталляции, либо удалить старую систему и поставить новую с нуля, переустанавливая все остальные программы, на что может уйти несколько рабочих дней (и бессонных ночей!)

К счастью, пакеты обновления могут быть интегрированы непосредственно в сам дистрибутив (чему посвящено огромное количество статей, так что мыщъх не будет повторяться, тем более, что описать процесс интеграции в двух словах все равно не получится). Желательно обновлять дистрибутивный диск при каждой установке Service Pack'а, чтобы потом лихорадочно не интегрировать его впопыхах, рискуя окончательно угробить систему, которой только полная переустановка и поможет.

Как вариант, можно заблаговременно создать образ системы с помощью штатной утилиты ntbackup.exe, а затем восстановить его с помощью все того же ntbackup.exe. Однако следует помнить, что программы, установленные после создания образа, при этом перестанут работать, а изменения настроек системы также окажутся утерянными. Так что, резервируйтесь почаще!!!

Если же система вообще отказывается запускаться, то... не беда. Распаковываем содержимое архивного файла (что можно сделать с помощью все того же ntbackup.exe) и, запустив консоль аварийного восстановления, перезаписываем файлы вручную.

Сохранение состояния системы

Рисунок 4. Сохранение состояния системы при помощи штатной утилиты ntbackup.exe.

#6 - он слишком много доверял...

Практически все Web/FTP/Mail-сервера по умолчанию устанавливают себя с привилегиями администратора, а то и системы (system), получая доступ ко всем файлам, которые только есть. Как следствие - любая ошибка конфигурации сервера, любой дефект PHP/Perl-скрипта, любая дыра самого сервера позволяет атакующему получать доступ к секретной информации или уничтожать данные.

Как защититься от этого? Очень просто! Достаточно запускать сервер из-под ограниченного аккаунта, имеющего доступ к тем и только к тем файлам, которые ему необходимы. Что это за файлы?! Во-первых, файлы самого сервера, во-вторых, публичные файлы, раздаваемые пользователям. Конечно, если в сервере или скриптах имеется дыра, то злоумышленник по-прежнему сможет изменять конфигурацию сервера, а также получать несанкционированный доступ к файлам других пользователей, не предназначенных для всяких "левых" лиц.

Тем не менее, разделение привилегий на уровне файловой системы существенно ограничивает потенциальный ущерб, наносимый злоумышленником. Кстати говоря, не следует забывать, что многие файлы по умолчанию доступны всем и потому администратору следует тщательно проверить атрибуты секретности, явно обозначив круг лиц, имеющих право на чтение/запись каждого более или менее значимого файла.

Может ли злоумышленник обойти ограничения доступа, налагаемые файловой системой? Безусловно. Но для этого ему придется найти дыру, дающую привилегии ядра или позволяющую повышать права до уровня администратора. Такие дыры действительно есть, но их сравнительно немного и Microsoft их быстро затыкает.

#7 - DEP и ASLR

Начиная с Server 2003 SP1 появилась поддержка неисполняемого стека и кучи, известная под аббревиатурой DEP (Data Execution Prevention), которая по умолчанию распространяется на все процессы (в XP же по умолчанию DEP включен только для системных компонентов).

Насколько эффективна такая защита?! Во-первых, она требует обязательной поддержки со стороны процессора, позволяющего выставлять биты NX/XD не только для целых селекторов, как это было ранее, но и на уровне отдельных страниц. Без аппаратной поддержки DEP вообще никак не работает. Во-вторых, DEP представляет собой довольно конфликтную штуку, препятствующую функционированию многих честных программ. В-третьих, вся эта защита элементарно обходится атакой типа return2libc, позволяющей атакующему вызывать API-функции, присваивающие стеку атрибуты исполняемого. Активный DEP отсекает лишь "пионерские" exploit'ы, протестированные на XP, но ни разу не нюхавшие Server 2003 SP1 и выше.

Для предотвращения атаки необходимо задействовать рандомизацию адресного пространства (Address Space Layout Randomization или, сокращенно, ASLR), реализованную в Server 2008, а также в защитных пакетах независимых производителей, работающих хоть на Windows 2000 и не требующих аппаратной поддержки NX/XD-битов. Одним из таких пакетов является Buffer-Shield, представляющий собой коммерческий порт известного проекта PaX, реализованного на большинстве UNIX-систем. Скачать бесплатную урезанную или полнофункциональную триальную версию можно с официально сайта: http://www.sys-manage.com/PRODUCTS/BufferShield/tabid/61/Default.aspx.

Активный DEP

Рисунок 5. Активный DEP на Server 2003 - это дикая головная боль на почве (не)совместимости и... никакой реальной защиты.

#8 - предсказуемость конфигурации системы

Успешность большинства атак объясняется высокой предсказуемостью конфигурации системы в установке по умолчанию. Это в мире открытых исходных текстов администратор может (и должен!) перекомпилировать все и вся, чтобы никакой хакер ни за что не догадался, по каким адресам лежат интересующие его функции.

С Windows в этом плане ситуация намного сложнее, но не полностью безнадежна. Переименование ядра - эффективный способ борьбы с rootkit'ами, определяющими адреса функций путем вызова функции LoadLibrary("ntoskrnl.exe") без проверки реального имени ядра, задаваемого через ключ "/kernel=" файла boot.ini. Рекомендуется переименовать ядро во что-то другое, например, в souriz.exe, а вместо ntoskrnl.exe положить ядро от другой версии системы, чтобы адреса экспортируемых функций отличались.

Те rootkit'ы, что правят файл непосредственно на диске, уйдут лесом, не достигнув желаемой цели (ведь ntoskrnl.exe уже никак не используется), те же rootkit'ы, что осуществляют перехват в оперативной памяти, залезут совсем не в ту степь и вызовут BSOD, что хоть и неприятно, но успешное внедрение rootkit'а было бы еще хуже.

Естественно, после переименования ядра, его необходимо обновить в кэше SFC, иначе она немедленно его восстановит, а также перед установкой пакетов обновлений выполнить откат назад, поскольку пакеты обновления (как и rootkit'ы) не проверяют реального имени ядра.

Установка системы на диск, отличный от С:, также уменьшает вероятность успешной атаки - большинство зловредных программ слишком тупы, а их создатели слишком ленивы, чтобы проверить переменные окружения, вот они и используют фиксированные абсолютные пути.

#9 - бортовой журнал капитана Немо

Реестр - крайне вредное изобретение, порождающее множество трудноразрешимых проблем. Текстовые конфигурационные файлы (традиционные для UNIX-систем) удобны тем, что в них можно оставлять комментарии и в процессе внесения изменений блокировать старые параметры символом комментария, существенно упрощая откат в случае неудачи.

А реестр?! Хорошо, если систему обслуживает всего один администратор, худо-бедно помнящий - какие параметры он менял и зачем. Когда же администраторов несколько и все они вносят изменения в реестр, работа превращается в сплошной разбор полетов "кто трогал реестр и весь его вытрогал"?

Чтобы этого не происходило, необходимо вести журнал (предпочтительнее всего на бумаге, поскольку журнал - это документ), описывающий каждое изменение конфигурации системы с указанием причин и сохранением предыдущих значений, заверенных подписью администратора. Тогда, если система начнет "выпендриваться" и вести себя нестабильно или же на ней обнаружатся черви, ломанувшиеся в широко открытые двери, всегда можно установить - кто именно их открыл и чем он руководствовался при этом.

Кстати, в нормальных фирмах у администратора есть инструкция, внятно объясняющая, какие действия он вправе выполнять, а какие - нет. Эксперименты с системой на продакшен машинах (без предварительного согласования с руководством) в общем случае строго запрещены. И это правильно!

Бумага - великая вещь

Рисунок 6. Бумага - великая вещь!

#10 - расплата за бездумность

Никакие защитные комплексы не дают 100% гарантии и от риска быть атакованным никуда не деться, увы. А потому необходимо заранее выработать четкий, хорошо продуманный и отлаженный план действий выхода из ситуации. Обнаружив на компьютере постороннюю зловредную программу, мало удалить ее из системы. Необходимо, как минимум, определить - что она успела натворить за время своей жизнедеятельности.

Помимо традиционных охранных комплексов сервер должен быть оснащен снифферами и прочими шпионами всех мастей, протоколирующих максимум возможных действий и сохраняющих результат своей деятельности на носителях однократной записи (CD/DVD-R), уничтожить которые никакой хакер не в состоянии и которые позволяет полностью реконструировать последовательность событий, прямо или косвенно связанных с атакой.

Отсутствие подобных средств существенно ослабляет безопасность системы, поскольку вспоминая слова Жеглова, можно сказать, что степень защиты определяется не стойкостью сервера к атакам, а скоростью и успешностью раскрытия всяких несанкционированных действий.

https://nebka.ru/?uid=1&post=20973