Милі та пухнасті

Category: Uncategorized

  • vmNIC и Azure DNS

    Как сделать так, чтобы конкретный виртуальный адаптер vmNIC в виртуальной машине Azure использовал Azure DNS?

    Обычно настройка службы DNS виртуальных машин выполняется в виртуальной сети, и это может быть:

    • Azure DNS;
    • пользовательская служба DNS (такая, как служба DNS локальной сети или любые другие серверы DNS, заданные набором IP-адресов).

    Можно также обойти настройки DNS на уровне виртуального адаптера vmNIC и задать другой набор IP-адресов. Однако как сделать так, чтобы он использовал Azure DNS? Просто настройте его на 168.63.129.16. Это тот же самый IP-адрес, который вы указываете для ваших служб DNS в Azure для того, чтобы переадресовать запросы к Azure DNS, согласно документу, опубликованному по адресу: https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-name-resolution-for-vms-and-role-instances.

  • Публичный IP-адрес Azure

    У меня есть зарезервированный публичный IP-адрес в регионе Azure.

    Можно ли переместить его в другой регион?

    Нет. Публичные IP-адреса индивидуальны для региона и их нельзя перемещать из одного региона в другой. Точно так же вы не можете вводить собственные публичные IP-адреса в Azure. Вам потребуется свой публичный IP-адрес для каждого региона. А для регулирования работы экземпляра службы для данного региона используйте диспетчер трафика Azure Traffic Manager.

  • Обновления GDPR

    На сегодняшний день вступила в силу новая модель обрабработки персональной информации (GDPR –General Data Protection Regulation) вместо Директивы 95/46/Евросоюза действующей с 1995 года. Эта модель наделяет представителей ЕС инструментарием по управлению персональной информацией. В то же время усиливается значимость при нарушение этих требований, а неустойки достигают десятков миллионов евро либо процентную величину от валового дохода предприятия.

    Модель GDPR обладает масштабным действием и применима во всех компаниях, которые работают с  персональными данными граждан и резидентов Евросоюза, а так же не зависит от локализации этой компании. Это относится и к представительствам, и к филиалам. Кроме обработки информации еще употребляется такое положение как мониторинг поведения субъектов данных, создающее еще один критерий условий.   Модель GDPR используется компаниями, которые существуют за границами Евросоюза, в случае, когда они осуществляют контроль за поведением жителей Евросоюза.

    Такой контроль охватывает:

    • Наблюдение за представителями Евросоюза в сети интернет;
    • Применение инструментов работы с информацией для группировки отдельных индивидов и их позиции к чему-либо.

    Так же выделяются понятия Data controller и Data processor.

    Data controller имеет большую ответственность и принимают решения о персональних данных, а Data processor являются исполнителями. Как реальный пример, облачный сервис, используемый работниками, на котором хранятся данные клиентов является Data processor, а вы – Data controller.

    В законе прописано: «Персональные данные – это любые сведения, позволяющие идентифицировать личность». Понятие весьма широкое и мы понимаем, что даже IP адрес к ним относится. Стоит добавить, что выделяют группы персональных данных, относящиеся к приватным. Такая информация подразумевает такие идентификаторы как экономические, генетические, культурные, умственные и социальные.

    Выделяют шесть критериев обработки данных:

    • Правомерность и ясность. Персональная информация должна  подвергаться обработке легально и справедливо. Всю информацию нужно излагать максимально ясно и понятно;
    • Целевое назначение. Информация будет использована только для целей, заявленных компанией;
    • Минимум информации. Информацию стоит консолидировать в масштабах, не превышающих цели для обработки;
    • Достоверность. Недостоверные данные подлежат уничтожению;
    • Срочность хранения. Информация будет храниться продолжительностью не превышающей необходимую для этой цели;
    • Безопасность данных. При обработке информации должна быть обеспечена защита от недоброжелателей.

    Основные требования:

    • Предприятия должны извещать компетентные органы о любых нарушениях в срок 72 часа с момента выявления;
    • Права физических лиц в GDPR. Представители Евросоюза могут удостоверяться о факте обработки их персональной информации, имеют право настаивать  на прекращении обработки данных, а так же другой информации касательно персональных данных. В модели GDPR есть понятие  «право на забытье» (right to erasure, right to be fogotten) и оно позволяет удалить информацию и обезапаситься от утечки данных третьей стороне.
    • Перенос данных (right to data portability). Суть этого права в том, что субъект имеет право потребовать передать копию личных данных другой стороне;
    • GDPR диктует требования для получения согласия на обработку информации. Согласие должно быть четким и прозрачным, а также иметь возвратную силу и быть получено без принуждения.
    • Что касается детской категории, то их данные требуют более детальной защиты. Согласие на обработку делегируется родителям. Возрастная граница в Евросоюзе до 16 лет.
    • Контролер процедуры по защите данных должен назначаться добровольно во всех компаниях, проводящих  масштабную обработку информационных данных. Этот работник проходит регистрацию у национального регулятора.

    Если ваша компания попадает под действие европейскых норм, либо будете налаживать бизнес в страны Евросоюза,тогда вам не помешает провести аудит методов и средств обработки данных, применяемых в компании. Так же оценить уровень безопасности своих ресурсов. В случае необходимости и соответсвия GDPR, внедрить актуальные инструкции и провести обучение коллектива и предусмотреть схемы откликов на  запросы европейских управляющих органов.

    Помощь в внедрении, office@itfb.com.ua

  • Security: защита локальной сети от хакера

    Security: защита локальной сети от хакера

    Внутренние ресурсы сети могут быть компрометированы как киберпреступником, который получил доступ над одним из компонентов сети, так и сотрудником компании. Сотрудник компании для этого должен обладать необходимыми правами доступа. Конфигурация сети поможет противодействовать такого рода действиям. Для этого важна фильтрация и сегментация сетевых протоколов. Защита сети от подключения внешних устройств также играет важную роль.
    Многие компании организуют свою инфраструктуру с помощью службы каталогов Active Directory. Она позволяет администраторам с помощью групповых политик обеспечить единообразие настройки рабочей среды пользователей. Однако ошибки администраторов и пользователей могут сделать Active Directory уязвимой. Главную опасность несут слабые пароли и плохая защита ключевых учетных записей. Киберпреступники могут использовать слабости реализации механизма single sign‐on (SSO). Уязвимости есть и в подсистемах Windows tspkg, kerberos и wdigest. Они хранят закодированные учетные данные в памяти ОС. Особую опасность несет кейс, когда администраторы используют групповые политики, зашифрованные ключом AES. Но ключ шифрования общедоступен на сайте msdn.microsoft.com и киберпреступник может попросту расшифровать пароль и получить доступ (от групповых политик лучше отказаться или ограничить использование).

    Подбор учетной записи домена.

    Для получения доступа, киберпреступник может попытаться подобрать пароль доменной учетной записи. В случае, когда парольная политики уязвима, пользователь может задать простой пароль. Ограничения в парольной политике усиливает security. Может быть ограничение по количеству попыток, но нужно учесть, что хакер может делать несколько попыток на всех пользователей (этого может быть достаточно для взлома). Если администратор использует шаблон создания паролей, атакер может сгенерировать пароли по одному подобранному. Двухфакторная аутентификация помогает усилить security системы. Ее нужно использовать хотя бы на ключевых учетных записях.

    Для получения паролей киберпреступник может использовать вредоносный софт. Антивирус может заблокировать его, но права доступа могут позволять попросту отключить антивирус. Поэтому важно, когда доступ на локальных машинах и серверах ограничен.

    Таким образом, киберпреступник может получить полный доступ над доменом. Наличие строгой парольной политики, двухфакторная аутентификация и ограничение прав доступа значительно препятствуют взлому.

    Получения доступа через протоколы канального и сетевого уровня.

    Важно учитывать, что хакер может перехватывать трафик способом «человек посередине» (атака ARP Poisoning). Перехвата идентификаторов и хешей паролей учетных данных возможно через протоколы NBNS и LLMNR. Известные атаки через протоколы – NBNS Spoofing, LLMNR Spoofing и SMB Relay. Эти способы дают возможность киберпреступнику получить доступ, авторизоваться.

    Для противодействия можно просто отключить протоколы, если они не используются.

    Для защиты от SMB Relay необходимо обеспечить SMB Signing (подписывание) SMB‐пакетов на узлах сети. Отключение NBNS и LLMNR протоколов так же решает вопрос. Как пример важности установки обновлений систем, идет защита от SMB Relay. В 2008 году компания Microsoft выпустила патч. Он исключает атаку на тот компьютер, который инициирует подключение.

    Получение учетных данных через чтения дампа памяти.

    Администраторы часто используют софт для хранения паролей. Примером может быть программа PINs. Если у киберпреступника достаточно прав доступа, он может с помощью общедоступной утилиты ProcDump выделить дамп памяти процесса PINs.exe. В нем найти пароль программы PINs, и получить доступ вообще ко всем аутентификационным данным. Таким образом, киберпреступник получает доступ ко всем системам.

    Для предотвращения важно установить уровень привилегий. В этом случае хакер не сможет прочитать дамп процессов, запущенных от имени администратора. Но он сможет прочитать дамп процессов, запущенных от имени пользователя. В этом случае нужно защищать ОС от несанкционированного доступа. Обновление софта и сильная парольная политика также помогут в этом.

    Заключение

    Наиболее распространенные уязвимости, описанные в статье, вполне предсказуемы и могут быть предотвращены. Простая настройка конфигурации, требующая минимальных финансовых вложений, может значительно повысить безопасность системы.

    Вот основные принципы, которые мы рекомендуем выполнять:

    • работать по строгой парольной политике;
    • использовать двухфакторную аутентификацию;
    • предотвращать попадание конфиденциальной информации в открытый доступ;
    • отключать или защищать неиспользуемые протоколы сети;
    • разделять сеть на сегменты, максимально ограничивать привилегии пользователей и служб;
    • регулярно обновлять софт
    • устанавливать обновления систем безопасности ОС;
    • регулярно выполнять анализ защищенности web-приложений.

    Если пароли простые, то какой бы не была дорогой защита, она будет скомпрометирована. Это так называемый must done, после которого можно приступать к совершенствованию security на более высоком уровне.

  • Ограничения доступа к экземпляру базы данных Azure SQL

    Какие существуют способы ограничения доступа к экземпляру базы данных Azure SQL?

    Экземпляры базы данных Azure SQL имеют собственные сетевые экраны, которые позволяют вам указывать, кто может иметь доступ к точке подключения из общедоступной сети, (обратите внимание, что если у вас есть доступ с другого ресурса Azure, то реальное соединение выполняется по опорной сети Azure). Существует два способа настройки параметров сетевого экрана:

    • для адресов IP, через которые производится доступ к службе из общедоступной сети;
    • для служб Azure (то есть для любой службы, которая запущена в инфраструктуре Azure у любого абонента).

    Например, вы можете не разрешить доступ с какого-либо IP-адреса общего доступа. Тогда вы активируете доступ только для служб Azure.

    Если вы хотите более надежной защиты, тогда можете разрешить доступ только из определенной виртуальной сети. Для этого можно применить такой подход: вы развертываете виртуальное устройство на периметре виртуальной сети, а затем маршруты User Defined Routes задаются таким образом, чтобы трафик из общей сети шел именно по ним, и далее, задав на виртуальном устройстве набор IP-адресов общего пользования, вы на сетевом экране SQL указываете IP-адреса общего пользования виртуального устройства. Работы при этом больше, зато обеспечивается безопасное функционирование экземпляра базы данных Azure SQL, поскольку только системы, которые присоединены именно к вашей виртуальной сети, смогут использовать его.

  • Security: новые грабли для хакера

    Security: новые грабли для хакера

    Сегодня ни один бизнес не может обойтись без сетевых компьютерных технологий. И когда внутренняя сеть взаимодействует с общедоступной, появляется риск компрометации ресурсов и данных компании. Средства и методы сетевой безопасности направлены на снижение этого риска к нолю. Инфраструктура включает в себя много составляющих, и только комплексный подход может быть эффективным. Сложные методики, дорогостоящий софт, работа профессиональных специалистов не принесет нужного результата, если сетевая безопасность не устранила основные уязвимости.

    Когда целью киберпреступника является конкретный ресурс, он будет использовать все возможности. Но, понятно, ему не выгодно тратить время на поиск уязвимости 0day, когда логин и пароль можно найти обычным подбором. Поэтому одной из основных уязвимостей является парольная политика.

    Подбор аутентификационных данных для доступа к ресурсам жертвы.

    Подбор данных может быть выполнен разными путями. Администраторы для удаленного управления используют разный софт и протоколы. Для получения доступа к ним атакер применяет разные способы:

    • подбор логина и пароля,
    • загрузка вирусов через уязвимые web-приложения,
    • использование уязвимостей сетевого протокола,
    • использование общеизвестных уязвимостей (устаревший софт),
    • получение данных методами социальной инженерии,
    • поиск утечек персональных данных.

    Киберпреступник может получить информацию о софте и протоколах, которые используются в компании для удаленного управления. К примеру, Telnet, RSH, SSH – инструменты для удаленного управления, или RDP – протокол для удаленного подключения, или Radmin, Admin, Ammyy – софт для удаленного доступа. В общем, фактически, все средства для удаленного доступа или управления могут быть компрометированы, если администратор использует простой пароль или пароль по умолчанию.

    Несколько примеров на основе пентестов.

    Для подбора паролей киберпреступник использует библиотеки. В них входят такие пароли как:

     

    Так же есть примеры использования гостевого логина guest вообще без пароля. Так же есть риск, когда администратор использует пароль по умолчанию. К примеру, в СУБД и web‐серверах используются такие пароли. С другой стороны, здесь также используются простые пароли:

    Подобрав логин и пароли к серверу tomcat, киберпреступник может загрузить в систему web-интепретатор командной строки. Это дает ему полный контроль над сервером и возможность получить доступ к другим ресурсам компании.

    Получение аутентификационных данных с открытых источников.

    В ряде случаев, киберпреступник может получить данные из открытых источников компании. Это происходит из-за недочетов в хранении таких данных. Изучая web-контент, иногда можно получить много полезной информации. Это могут быть данные логина и даже пароли пользователей, версии софта и серверов, используемые инструменты, конфигурационные файлы оборудования, адреса важных систем и, если в системе безопасности большая дыра, исходные коды web‐приложений. Такого рода информации позволяет киберпреступнику понять слабые места системы защиты, и быстрее взломать её. Открытые коды web-приложений можно проанализировать на наличие уязвимостей автоматическими инструментами и вручную. Используя конкретные данные, киберпреступник использует нужные эксплоиты и даже может подготовить свои.

    Социальная инженерия.

    На сегодняшний день киберпреступники активнее используют методы социальной инженерии. Некоторые фишинговые переписки с трудом можно отличить от реальных. Могут использоваться так же телефонные разговоры, смс и другие средства связи. Фишинговые сайты и ресурсы могут быть очень похожи на реальные.

    Пример: рассылка + фишинговый сайт.

    Киберпреступник рассылает письма со ссылками на фишинговый сайт. В адресе домен похож по написанию на реальный.

    Сотрудник, получив такое письмо и внимательно изучив, может понять, что оно фальшивое. Но это происходит не всегда и, перейдя по ссылке и заполняя формы, он отправляет данные злоумышленнику.

    Домен письма может быть даже подменен на идентичный реальному. В таком виде может быть выполнена загрузка вируса вместо перехода на сайт.

    Пример: рассылка с подделкой домена.

    Есть случаи, когда киберпреступник получает данные по общению между двумя компаниями. Тогда он в своей рассылке имитирует реальную переписку с необходимой загрузкой файла. Когда сотрудник получает такое письмо, у него практически не возможности заподозрить подлог. Тем более что переписка идет постоянно, он к ней привык. Таким образом, происходит загрузка вредоносного софта в системы сотрудников.

    Получение доступа к ресурсам другими путями.

    Киберпреступник может использовать уязвимости софта и web-приложений для получения доступа к ресурсам.

    Например, web-приложения при добавлении нового пользователя позволяет добавлять файлы. Киберпреступник сможет загрузить web-интерпретатор командной строки вместо файла и получить доступ над сервером. Когда web-приложения запрещает запуск файлов с определенным расширением, киберпреступник может найти уязвимость. Например, файлы с расширением .pht не всегда добавлены в исключение, а OC Debian и Ubuntu запускает эти файлы как .php.

    Другим примером внедрения вируса является использование уязвимостей софта. Успех атаки при этом зависит от того на сколько плохо компания обновляет свой софт. Киберпреступник использует известные уязвимости и готовые, даже общедоступные эксплоиты.

    К примеру, уязвимость Heartbleed у OpenSSL. Хотя она была обнаружена в 2014 года, до сих пор большое количество серверов не обновлены и подвержены этой уязвимости. Через нее киберпреступник может получить закрытые данные, и даже логин и пароль.

    Рекомендации по защите

    Шаги повышения сетевой безопасности:

    • Парольная политика – Должна включать в себя известные библиотеки паролей. Исключать возможность использования слабого пароля. Строгий контроль над выполнением политики. Распространение ее на все доступные через сеть ресурсы.
    • Ограничение доступа по IP-адресу – Использование удаленный контроль со статического IP-адреса.
    • Контроль загружаемых файлов – Использование белого списка файлов, фильтрация данных на наличие кода и SQL запросов. Запуск файлов в песочнице.
    • Контроль утечки данных – Данные пользователей, версии софта, сервера, типы протоколов не должны быть доступны.
    • Ограничения доступа и привилегий – Пользователь должен иметь минимально нужный набор привилегий в ОС. Настройка разграничения доступа к директориям и файлам.
    • Регулярное обновление устаревшего софта
    • Использование firewall web-приложений.
    • Использование антивируса – Важно исключить права, когда пользователь может отключить антивирус.
    • Инструктаж по информационной безопасности сотрудников – Информация о фишинговой деятельности и способы ее обнаружения должны быть известны. Сотрудники должны нести ответственность за разглашение коммерческой тайны.

    Все эти шаги не исключат возможность взлома, но закроют дыры сетевой безопасности компании.

    Наша компания поможет решить проблемы безопасности, обращайтесь office@itfb.com.ua

  • Лимит Azure AD Free

    Применяется ли лимит в 500 000 объектов к версии Azure AD Free, если я использую Office 365?

    Нет. Обычно экземпляр Azure AD с бесплатными учетными записями пользователей ограничен количеством в 500000 объектов (не только учетных записей пользователей). Для удаления лимита вам нужны версии Azure AD Basic и выше. Однако если вы используете подписку абонента Azure AD с Office 365, тогда лимит в 500000 объектов также удаляется, поскольку Office 365 создает массу объектов в Azure AD. Процесс описан в документе по адресу: https://www.microsoft.com/en- us/cloud-platform/azure-active-directory-features.

  • Как взламывают веб-приложения

    Как взламывают веб-приложения

    Все типы веб-сайтов, начиная от одностраничников и заканчивая многофункциональными веб-приложениями, уязвимы для кибератак. Атаки на веб-приложения более злободневны, чем ранзомварь! Веб-приложения – это «мягкое подбрюшье» предприятия, щель в доспехах, которой киберзлоумышленники не преминут воспользоваться для своих махинаций. Уязвимости распространенных веб-компонентов, небезопасные привычки кодирования и бум автоматических эксплойтов, превратили CMS, e-commerce и другие вебплатформы в богатые охотничьи угодья для хакеров. Атаки на CMS Joomla составили в 2017 году 25% от всех вебатак, за ними следуют WordPress (10%) и Magento (7%).

    Хронология развития веб-технологий на клиентской стороне, в браузере

    Начиная с 1991 года браузеры непрерывно эволюционируют, обрастая все новыми и новыми веб-технологиями (см. рис. 1).вирусная атака на сайт Последний существенный шаг в этой эволюции – внедрение стандарта HTML5. Обновление вебстандартов влечет за собой также и обновление букета проблем с безопасностью. HTML5, позволяющий веб-страницам имитировать обычный настольный софт, не исключение. Возможности для взлома браузеров и клиентской части веб-приложений, работающих по стандарту HTML5, практически безграничны. Потому что HTML5 – это что-то вроде небольшой операционной системы, запущенной в вашем браузере.

    1. Все началось в 1991 году, когда были предложены самая первая версия HTTP-протокола, самая первая версия HTML-стандарта и самая первая версия браузера. HTTP и HTML тогда были статичными. Взаимодействие с пользователем было минимальным. Веб-программирование сводилось к тому, чтобы писать CGI-скрипты. Одно из самых больших ограничений протокола HTTP на тот момент заключалось в том, что у него не было переменных состояния, и поэтому пользователи, посещая веб-сайты, заходили на них каждый раз как в первый раз. Для устранения этого недостатка были придуманы cookie-файлы. С момента появления cookie-файлов браузеры попали в поле зрения киберзлоумышленников, поскольку в браузерах теперь появились конфиденциальные данные.
    2. По мере того как интернет развивался, от HTML стали ожидать большей динамичности. В качестве ответа на эту потребность в набор веб-технологий браузера были добавлены JavaScript и DOM. Эти нововведения значительно расширили поверхность возможных кибератак. Чуть позже стали появляться первые языки веб программирования (ASP, РНР и Perl), которые расширили поверхность возможных кибератак еще сильнее. С внедрением этих технологий вопросы целостности и конфиденциальности трафика приобрели особую актуальность. Появились первые вариации MiTM-атак. В качестве решения был предложен SSL-протокол, но как показывает практика, с ним никто так и не научился обращаться.
    3. JavaScript и CSS стали применяться в веб-приложениях повсеместно. HTML-спецификация обросла новыми технологиями: усовершенствованный DOM, расширенная модель событий, новые тэги и атрибуты. Причем все эти технологии также были встроены и в JavaScript. Так что JS тоже стал более функциональным. И закономерно более уязвимым. Перечисленные технологии стали причиной появления таких векторов атак, как XSS и CSRF. Эволюция браузерных технологий практически пересекла точку невозврата, где поверхность атаки на браузеры расширилась настолько, что манипуляции киберзлоумышленников вышли из-под контроля киберзащитников.
    4. Требования к браузеру продолжали расти, и на клиентской стороне веб-приложений появились плагины (такие, как flash), расширения и другие им подобные «толстые» компоненты. В то же время спецификации JavaScript и DOM претерпели очередное обновление, чтобы идти в ногу с этими новыми улучшениями. «Толстые» улучшения породили новые векторы атак. Стали широко использоваться наборы эксплойтов, ориентированных на JavaScript.
    5. Разработчики и пользователи нуждались в еще более «толстых» функциональных решениях. В качестве ответа на эти нужды появилась технология Ajax, которая ознаменовала начало технологии Web 2.0. DOM продолжал эволюционировать. Разработчики веб-приложений начали пользоваться XMLHttpRequest-обьектами и мощными DOM-инструментами – на клиентской стороне, в браузере. Данный этап эволюции стал поворотным. С этих пор плагины (вроде flash и им подобным) стали выходить из моды, уступая место встроенной в сами браузеры функциональности. В результате, веб-приложения стали сильнее полагаться на DOM. Соответственно, и кибератаки на DOM стремительно возросли. Появилось множество обязательных
      требований для так называемого безопасного кодирования, специфичных для клиентской части веб-приложений.
    6. Наконец, в нашей жизни появился HTML5 с его мощными спецификациями: Web Fonts, WebGL. Storage, WebSQL, Web Workers и т.п. Появились такие технологические наборы, как Flex и Silverlight. Все эти технологии не просто пришли к нам, чтобы остаться неизменными. Они продолжают непрерывно эволюционировать, чтобы удовлетворять постоянно возрастающие потребности RIA (rich internet application; обогащенное интернет-приложение). С появлением HTML5 и сопутствующих веб-технологий клиентская сторона веб-приложений «растолстела» еще сильнее. Браузеры превратились в маленькие операционные системы. Благодаря всем этим технологиям клиентская часть веб-приложений теперь может полноценно работать даже в автономном режиме. Причем не только на персональных компьютерах, но и на мобильных устройствах. Что, само собой, расширяет поверхность возможных кибератак еще сильнее.

    Итак, веб-технологии, приближаясь к своему 30-летнему юбилею, претерпели значительную эволюцию. Оглядываясь назад можно вспомнить, что все начиналось с CGI-скриптов, а теперь мы живем в эпоху облаков и RIA. HTML5, DOM L4 и XHR L2 – современные спецификации, реализованные в браузере, которые позволяют веб-приложениям быть удивительно эффективными, производительными и гибкими. Таким образом, в эпоху Web 2.0, современниками которой мы все являемся, браузерная часть веб-приложений -это смесь технологий HTML5, DOM L4 и XHR L2 (см. рис. 2), которые обеспечивают высокую интерактивность, и на сегодняшний день являются стандартом де-факто при разработке мобильного и настольного веб-софта.

    Но есть у высокой интерактивности Web 2.0 и оборотная сторона: много клиентского кода, выполняемого ни на сервере, а в браузере: FLEX, CLI или JavaScript. Более того, ингредиенты этого клиентского кода зачастую подгружаются сразу из нескольких внешних источников и перед выполнением «замешиваются» прямо в браузере. Поэтому неудивительно, что киберзлоумышленники сегодня могут совершать самые разнообразные атаки на веб-приложения, с гарантированно летальным исходом.

    Защита от взломов, обращайтесь office@itfb.com.ua

  • OpenBaseKey в системе Windows 7

    Я пытаюсь использовать функцию OpenBaseKey в системе Windows 7, но она не работает. Почему?

    Функция OpenBaseKey дает возможность работать с параметром реестра системы. Эта функция была введена в третьей версии PowerShell, поэтому она не работает в Windows 7, где используется вторая версия PowerShell.

    Пользователи Windows 7 могут применять функцию OpenRemoteBaseKey. Например, вместо команды SRegistry = [Microsoft.Win32.RegistryKey]:: OpenBaseKey (‘CurrentUser’, ‘Default’)
    можно вводить команду:

    SRegistry = [Microsoft.Win32.RegistryKey]:: OpenRemoteBaseKey ('CurrentUserVlocalhost')

    Затем вы сможете использовать параметр для взаимодействия с реестром. Например:

    $key = Sregistry.OpenSubKey (‘Software\Microsoft\lnternet Explorer’) Skey.GetSubKeyNames ()

  • Могу ли я изменить размер управляемого диска в Azure?

    Да, вы можете изменить размер на больший. Остановите работу виртуальной машины, измените размер диска на больший, а затем снова запустите виртуальную машину. Уменьшить размер управляемого Azure диска вы не можете.

    Как перейти в Azure на диск меньшего размера?

    Стандартное неуправляемое хранилище данных рекомендуется создавать с наибольшим возможным размером, например 1 Тбайт, поскольку оплачиваются только записанные данные. Но при наличии хранилища данных класса премиум и управляемых дисков (стандартных и класса премиум), которые будут основаны на размере диска, а не на количестве записанных данных, ситуация меняется.

    В Azure невозможно уменьшить размер диска, поэтому процесс, показанный ниже, является самым лучшим вариантом для перехода на диск меньшего размера:

    • Создайте меньший по размеру неуправляемый диск, основываясь на размере целевого диска.
    • Смонтируйте диск к виртуальной машине.
    • Остановите все службы, которые записывают текущие данные на диск.
    • Скопируйте данные с текущего диска данных на новый диск, например: robocopy E:\F:\*.*/j/e/sec/Xd «System Volume Information» «$RECYCLE.BIN»/Xo

    Создание виртуальной машины с управляемыми дисками

    $vmname = "TestVM"
$lPAddr = "10.1.1.11"
Write-Output "Creating VM $vmname ($IPAddr)"
$user = "iocaladmin"
$password = 'Pa55word!'
$securePassword = ConvertTo-SecureString $password -AsPlainText —Force
$cred = New-Object System.Management.Automation.
PSCredential ($user, SsecurePassword)
$rgname = "Dal-Infra-RG"
SavailSet = Get-AzureRmAvailabilitySet -Name "Dal-Infra-DC-AS"4 -ResourceGroupName $rgname $loc = "EastUS"
$networkname = "Prod-Dal-VNet"
Ssubnetname = "$networkname-Sub1"
SvnetRG = "Dal-VNets-RG"
$VNet = Get-AzureRmVirtualNetwork -Name Snetworkname -ResourceGroupName SvnetRG Ssubnet = get-azurermvirtualnetworksubnetcontig -VirtualNetwork $vnet -Name Ssubnetname SsubnetID = Ssubnet.ld
#	Create VM Object
$vm = New-AzureRmVMConfig -VMName Svmname -VMSize Svmsize -AvailabilitySetld SavailSet.Id $nic = New-AzureRmNetworklnterface -Force -Name (‘nic-’ + Svmname) -ResourceGroupName Srgname 4 -Location Sloe -Subnetld SsubnetID -PrivatelpAddress SlPAddr
#	Add NIC to VM
$vm = Add-AzureRmVMNetworklnterface -VM $vm -Id Snic.ld $vm = Set-AzureRmVMSourcelmage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version latest $vm = Set-AzureRmVMOSDisk -VM $vm -StorageAccountType StandardLRS -DiskSizelnGB 128'
-CreateOption Fromlmage -Caching ReadWrite -Name "$vmname-0S" $vm = Set-AzureRmVMOperatingSystem -VM $vm -Windows -ComputerName Svmname'
-Credential Scred -ProvisionVMAgent -EnableAutollpdate #Add data disk
SdiskConfig = New-AzureRmDiskConfig -AccountType PremiumLRS -Location Sloe -CreateOption Empty '
-DiskSizeGB 128
SdataDiskl = New-AzureRmDisk -DiskName "$vmname-data1"
-Disk SdiskConfig -ResourceGroupName SrgName $vm = Add-AzureRmVMDataDisk -VM $vm -Name "$vmname-data1" -CreateOption Attach -ManagedDiskld SdataDiskl .Id -Lun 1 #Create Virtual Machine
New-AzureRmVM -ResourceGroupName Srgname -Location Sloe -VM $vm
    • Отмонтируйте больший по размеру диск от виртуальной машины.
    • Измените букву драйвера так, чтобы она соответствовала старому диску данных.
    • Перезапустите приложение.

    Теперь вы можете подключиться к управляемым дискам. Обратите внимание, это работает только для дисков данных. Единственный способ уменьшить размер диска с операционной системой — это загрузить VHD локально, уменьшить размер раздела диска внутри гостевой операционной системы, уменьшить размер VHD, выгрузить обратно в Azure, а затем вновь создать виртуальную машину. Очевидно, что такой процесс приведет к значительному простою в работе.