IT-Security Step-by-step

VMware vSphere 6.7

Год Выпуска: 2018
Версия: 6.7
Разработчик: VMWare
Сайт разработчика: http://www.vmware.com/

Системные требования:

• CPU: x86_64 compatible


• HDD и RAM - чем больше, тем лучше

https://www.vmware.com/resources/guides.html
Архитектура: x86, amd64
Язык интерфейса: Английский


Описание
Последняя версия популярного гипервизора, что нового в версии 6.7:

• Новая архитектура: все-в-одном. Т.е. все компоненты для управления заключены в нем.


• vCenter HA кластер.


• Для простоты миграции на новый апплаенс - vCenter Server Appliance Migration tool.


• Новый API (REST-based APIs for VM Management) для упрощения автоматизации и управления инфраструктурой.


• Официальный веб-клиент vSphere Client на базе HTML5.


• Обновлены VMware Update Manager, Host Profiles и Auto Deploy. Упрощено все в обслуживании.


• Проактивный HA. При появлении проблем с хостом, хост может быть выведен в карантин, а ВМ смигрировать с него, до того, как проблема действительно выведет из строя хост.


• vSphere HA Orchestrated Restart. Политики зависимостей ВМ при перезагрузке после срабатывания HA.


• Fault Tolerance интегрирован с DRS для определения оптимального хоста и хранилища для теневой копии ВМ. А также Fault Tolerance работает через несколько сетевых адаптеров.


• Много расширений в работе DRS и др.


• Безопасная загрузка для хостов и ВМ.


• Шифрование при vMotion.


• Шифрование дисков ВМ.


• Расширенный аудит.


• Управление с помощью политик.

Более подробно на http://www.vmgu.ru/news/vmware-vsphere-67 и в блоге VMware https://blogs.vmware.com/vsphere/launch:

Знакомство с VMware vSphere 6.7!
Himanshu Singh опубликовал 2018-04-17
Мы рады сообщить, что сегодня VMware объявляет о выпуске vSphere 6.7, последней версии лидирующей в отрасли виртуализации и облачной платформы. vSphere 6.7 - эффективная и безопасная платформа для гибридных облаков, заправляющая цифровыми преобразованиями, обеспечивая простое и эффективное управление в масштабе, всеобъемлющую встроенную систему безопасности, универсальную платформу приложений и бесшовное гибридное облако. Подробнее ...

Знакомство с vCenter Server 6.7
Emad Younis опубликовал 2018-04-17

vSphere 6.7 вышел! а vCenter Server Appliance теперь используется по умолчанию. Этот выпуск полон новых улучшений для vCenter Server Appliance во всех областях. Теперь клиенты имеют больше инструментов для мониторинга. Клиент vSphere (HTML5) полон новых рабочих процессов и ближе к четности функции. Сервер vCenter Подробнее ...

Знакомство с Faster Lifecycle Management Operations в VMware vSphere 6.7
(операции управления жизненным циклом)
Eric Gray опубликовал 2018-04-17

vSphere 6.7 теперь имеет клиент HTML5 для диспетчера обновлений и добавляет инновационные технологии, которые экономят время в момент операций обслуживания хоста. Подробнее...

Знакомство с vSphere 6.7 Security
Mike Foley опубликовал 2018-04-17

Я очень рад поделиться с вами всеми новыми функциями безопасности, доступными в vSphere 6.7! Цели безопасности в 6.7 двояки. Внедряйте более «простые в использовании» функции безопасности и «отвечайте требованиям, установленным командами ИТ и безопасности клиентов». С vSphere 6.7 мы достигли обеих целей. Давайте погрузимся в некоторые подробности ...

Знакомство с vSphere with Operations Management 6.7
Kyle Ruddy опубликовал 2018-04-17

vSphere with Operations Management 6.7 имеет некоторые фантастические дополнения в магазине. От нового плагина для vSphere Client, до новых панелей мониторинга, до совершенно новой емкости! Давайте немного погрузимся в то, что включено в релиз. Подробнее ...

Знакомство с интерфейсами разработчика и автоматизации для vSphere 6.7
Kyle Ruddy опубликовал 2018-04-17

vSphere 6.7 здесь! Есть тонна обновлений и улучшений, которые можно расчесывать. Тем не менее, те, которые меня больше всего волнуют, касаются разработчика и автоматизации. В рамках выпуска vSphere 6.5 мы анонсировали новый набор API на основе RESTful. Эти новые API были полностью переписаны, чтобы они могли читать далее ...


Знакомство с vSphere 6.7 для корпоративных приложений
Sudhir Balasubramanian отправил 2018-04-17

vSphere 6.7 представляет новые функции хранения и сети, которые оказывают большое влияние на производительность корпоративных приложений - в том числе поддержка Persistent Memory (PMEM) и расширенная поддержка Remote Directory Memory Access (RDMA) - Удаленный доступ к хранилищу каталогов (RDMA). Постоянная память c помощью постоянной памяти VSphere (vSphere Persistent Memory), клиенты, использующие поддерживаемые аппаратные серверы, могут получить преимущества сверхскоростного хранения данных Подробнее ...

Продолжим тему восстановления объектов в Active Directory, начатую в предыдущей статье. Сегодня я расскажу об инструменте, который призван облегчить процесс восстановления данных и сделать его более эффективным. Речь идет о Active Directory Recycle Bin, или корзине для удаленных объектов Active Directory.

Принцип работы корзины

Для начала вспомним, как выглядит жизненный цикл объекта AD при удалении. Объект помечается как удаленный (атрибут isDeleted объекта устанавливается в true) и из него удаляются лишние атрибуты. Затем он переименовывается и перемещается в контейнер Deleted Objects, в котором хранится в течение срока жизни удаленного объекта. По истечении этого срока он удаляется окончательно.


жизненный цикл объекта при выключенной корзине AD
( Read more... )

Пять уязвимостей в Windows Graphics Component позволяют получить контроль над компьютером жертвы, лишь заманив ее на сайт с вредоносным шрифтом.

Во вторник, 10 апреля, компания Microsoft выпустила плановые ежемесячные обновления безопасности для своих продуктов. Помимо прочего, патчи исправляют ряд критических уязвимостей, пять из которых позволяют злоумышленнику получить контроль над компьютером жертвы, лишь заставив ее посетить вредоносный сайт.

Пять вышеупомянутых уязвимостей были исправлены в Windows Graphics Component. Проблемы связаны с некорректной обработкой встроенных шрифтов библиотекой шрифтов Windows и затрагивают все актуальные версии ОС от Microsoft, в том числе Windows 10 / 8.1 / RT 8.1 / 7 и Windows Server 2008 / 2012 / 2016. Все пять уязвимостей (CVE-2018-1010, CVE-2018-1012, CVE-2018-1013, CVE-2018-1015 и CVE-2018-1016) были обнаружены исследователем безопасности из Flexera Software Хоссейном Лотфи (Hossein Lotfi).

Злоумышленник может проэксплуатировать уязвимости, просто заставив жертву открыть файл или посетить сайт с вредоносным шрифтом. Жертве достаточно лишь открыть сайт в браузере, и атакующий получит контроль над ее компьютером.

В Windows Graphics Component также была исправлена уязвимость отказа в обслуживании, позволяющая атакующему вызвать сбой в работе системы.

Microsoft также выпустила исправления для критической уязвимости в Windows VBScript Engine (CVE-2018-1004), позволяющей удаленно выполнить код и затрагивающей все версии Windows. Для ее эксплуатации злоумышленник может заманить жертву на вредоносный сайт.

Уязвимости, позволяющие удаленно выполнить код и получить контроль над уязвимой системой, также были исправлены в Microsoft Office и Microsoft Excel. Еще шесть уязвимостей, включая три критические, были исправлены в Adobe Flash Player.

Подробнее: 09:25 / 11 Апреля, 2018 https://www.securitylab.ru/news/492591.php

Наносистема хранения данных. В феврале 2016 была представлена новейшая технология хранения данных, получившая название Eternal 5D. Ее уникальность заключается в том, что данные записываются на стекло в пяти измерениях. Представьте, небольшой стеклянный диск, размером с копейку, способен вместить 360 терабайт данных, и при комнатной температуре будет сохранять эти данные 14 миллиардов лет.

Через PowerShell в Windows можно запускать команды Linux

Атака через PowerShell не определяется антивирусным ПО.
Кроме того, запущенный процесс полностью работает в оперативной памяти и не оставляет данных на жестком диске.

Подробнее: https://www.securitylab.ru/analytics/492481.php

Cisco Guide to Harden Cisco IOS Devices





Оригинал:
https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html

Мы нашли крупную компанию, которая 5 лет не занималась информационной безопасностью, и она ещё жива

Примерно 5-6 лет назад там был реально крутой админ, который настроил сеть как часы и оснастил современным на тот момент оборудованием экономсегмента. Недостаток бюджета админ компенсировал хорошими конфигами и правильной архитектурой. В общем, видно, что было сделано много работы.

Потом компания разделилась на две, расширилась, в ней всё поменялось пару раз — и за всё это время сеть поддерживали на костылях. Поскольку ИТ не профильный бизнес нашего заказчика, ситуация в целом понятна. Она такая много где, но чтобы большая сеть (территориально распределённая компания, десятки филиалов) продержалась в таком виде 5 лет — я такого ещё не видел.

Собственно, и не продержалась. Нас позвали провести аудит сетевой инфраструктуры после зафиксированного случая взлома, когда их базы данных со всей представляющей коммерческую тайну информацией оказались просто скачаны. Точнее, всплыли не у тех людей.

Обстоятельства, части топологии и другие детали немного изменены, чтобы нельзя было узнать заказчика. Тем не менее пост основан на реальных событиях и максимально приближен к действительности, насколько позволили наши безопасники.

Компания представляет собой основное производство (там же серверный узел) и десятки филиалов по всей стране. В филиалах установлены тонкие клиенты, которые ходят по VPN + RDP до серверного узла, где пользователи и работают. Также в филиалах есть оборудование, которое использует сервисы и базы данных центрального узла. Если в филиале пропадает коннект, то он просто умирает до подключения сети снова.
( Read more... )

Делегирование административных задач в Active Directory / Хабрахабр

Ввиду того, что во время Хабра встречи я рассказывал об 11 различных сценариях, естественно, мне хотелось бы на каждом из этих моментов остановиться подробнее. Другими словами, начиная с этой статьи я рассмотрю большинство моментов, о которых шла речь во время предыдущего доклада. Итак…
Относительно недавно мне в Windows Live Messenger задали несколько вопросов, связанных с делегированием административных полномочий в Active Directory. Однако, прежде чем переходить к самим вопросам по этой теме, я буквально в двух словах расскажу, что же собой представляет делегирование и для чего оно нужно.

Делегирование объектов Active Directory

Более чем очевидно, что практически в каждой организации ИТ-подразделение включает в себя нескольких администраторов, и различные административные задачи должны быть распределены среди администраторов, либо, скажем, среди членов службы поддержки. Например, как в данном примере, скажем сотрудники подразделения поддержки должны вносить компьютеры в домен. Однако такая группа пользователей не должна иметь возможности выполнять остальные операции, помимо тех, которые вы хотите им разрешить.
А вот те разрешения, которые можно назначать пользователям, группам или компьютерам, иначе говоря принципалам безопасности, называются записями контроля доступа (Access Control Entry, ACE). Следовательно, с помощью ACL модифицируются разрешения доступа для объекта. Списки ACL вы можете просматривать непосредственно при помощи таких оснасток как «Active Directory – пользователи и компьютеры», «Центр администрирования Active Directory», а также в таких оснастках и средствах как «Active Directory – Сайты и службы», «Редактор ADSI», а также «LDP» (некоторые средства будут подробнее рассмотрены далее в данной статье). Если же говорить о разрешениях контроля доступа к объектам AD, то сразу следует отметить, что они разделены на стандартные разрешения и на особые разрешения. Особые разрешения представляют собой гранулированные опции, которые применяются к конкретному объекту, а стандартные разрешения доступа уже составляются из набора особых разрешений, которые разрешают, либо, наоборот, запрещают определенную функцию. Исключительно в качестве примера можно выделить такое стандартное разрешение как чтение, ведь на самом деле оно включает в себя записи таких особых разрешений как чтение разрешений, список содержимого, а также прочитать все свойства. Но это уже совсем другая тема.
Собственно, все записи ACE располагаются в дискреционном списке контроля доступа, иначе говоря, в оригинале это звучит как Discretionary Access Control List, или же, проще говоря, в списке DACL. Это список записей управления доступом, определяющий разрешения доступа для каждого принципала безопасности к объекту. В свою очередь, каждый принципал безопасности, который добавляется в объект, получает список разрешений, в котором указано, что конкретный пользователь либо группа пользователей может выполнять конкретные операции с самим объектом. Здесь всегда следует помнить то, что записи ACE, которые были назначены явным образом, всегда будут оцениваться перед унаследованными записями ACE. А также всегда следует учитывать то, что запрещающие записи всегда будут превалировать над разрешающими.
Сам по себе список DACL является составляющей списка ACL самого объекта, который еще содержит системный список контроля доступа, другими словами System Access Control List, SACL. Этот список определяет параметры аудита для объекта, включая все принципалы безопасности и операции, для которых должен выполняться аудит.
Таким образом, возвращаясь к самой теме данного раздела, делегированием административных задач называется наследование разрешений родительского объекта для принципала безопасности, созданного в Active Directory.

Пример делегирование административных полномочий

Одна из задач, которую необходимо было выполнить, представляла собой следующее: нужно было предоставить возможность определенной группе пользователей, скажем, некоему техническому персоналу, вносить компьютеры в домен и распределять эти компьютеры по различным подразделениям. В принципе, эту задачу можно назвать тривиальной, но мы незначительно изменим условия, чтобы было интересней. Что будет сделано: поскольку, по умолчанию каждый пользователь может присоединить компьютер к домену, исправим эту ситуацию таким образом, чтобы присоединять компьютеры к домену могли только лишь те пользователи, которые входят в группу безопасности «Поддержка». Следовательно, нужно выполнить следующие действия:

1. Для начала следует на контроллере домена открыть оснастку «Active Directory – пользователи и компьютеры». Здесь необходимо создать глобальную группу безопасности, члены которой смогут присоединять компьютеры пользователей к домену. Другими словами, эта группа будет выглядеть следующим образом:

Рис. 1. Свойства группы, отвечающей за присоединение компьютеров к домену
( Read more... )