- Mesterséges Intelligencia topik
- Kínában túl sok az EV, fokozódik az árháború
- Vírusirtó topic
- 3 évig még biztosan nem rendelhetünk Xiaomi EV-t
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Rossz üzlet az EV-kölcsönzés
- A személyre szabott reklám lehet a streaming következő slágere
- Van, amit nehéz lett megtalálni a Google keresőjével
- AI generálja majd a képeket a Photoshopban
- Milyen NAS-t vegyek?
Új hozzászólás Aktív témák
-
anulu
félisten
na ácsi. valóban volt egy olyan RCE, ami OWA-n keresztül, preparált attachmenttel tudott a serverre olyan backdoort telepíteni, ami NT AUTH nevében futott. csakhogy, ezt az MS már legalább 1-1,5 éve foltozta. (az meg a securitynak erős kukoricára térdepeltetés, ha ez be tudott jutni.)
a mostani esetnél az, hogy van a serveren egy help.aspx, amiből indul, annak valahogy oda kellett jutnia. ha pedig file szinten képes valaki odamásolni, és utána az owa.config-ot módosítani, az
1) nem az Exchange hibája
2) ott vannak sokkal súlyosabb problémák isvalszeg az Exchange Online azért nem érintett(?), mert nincs olyan együttállás, hogy user NTFS szinten hozzáférhessen a mail serverhez.
amúgy meg ja, a backdoor-t nem szedi le. vállalati környezetben egy mail server újrahúzása nem több 2-3 óránál, cakk und puder. mondjuk ehhez nem 2 tál rizsért alkalmazott "mérnökök" kellenek, hanem valaki, aki tudja mit csinál.
[ Szerkesztve ]
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
anulu
félisten
minek mailboxot törölni meg restore-olni? DAG átbillent, mehet a rebuild, setup /m:recover. nagyvállalatnál azért erősen illik, hogy legyen helyreállító script, ami minimál interakció mellett a base exchange felhúzása után helyrepofozza. ha meg nincs, akkor amíg a DAG member újratelepül, addig a többiről ki lehet szedni a namespace infokat, és simán meg lehet írni azt a 8-10 PS parancsot, ami gatyába rázza.
ha meg 1 server van, akkor licensz nélkül felhúzni még1et mellé, dag, átsync, prod server rebuild, visszasync. ahol 1 vas van, ott nem szokott nagy mennyiségű és méretű mailbox sem lenni.ha az alapok rendben vannak, és van vészforgatókönyv, akkor tökmindegy, hogy 4, 8 vagy 256 Exchange server van.
[ Szerkesztve ]
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
anulu
félisten
még1 dolog. mailboxot nem törlünk
akkor mennek a lecsóba nem csak a proxy addressek, hanem az X.500 is, azt meg nem akarod hajreállítani userenként. mivel elsődlegesen ezt használja az Outlook reply-to addressnek, ha nem találja a címzett ezen attribútumát AD-ban, akkor akkora felhasználói sírás lesz, amit nem akarsz kezelni."Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
anulu
félisten
szerintem itt arra gondolt a kültő, hogy az Exchange Online nem érintett
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
anulu
félisten
alap dolog: exchange-et nem teszünk ki magában a netre.
tudok sok és nagy, globális cégről, ahol
a) rohadt elavult technológia "védi" az exchange-et
vagy
b) az ég világon semmi nem védi.ettől függetlenül nem tartom kizártnak, hogy az ellopott kódokban találtak valamit, de tudok sok olyan cégről, ahol ugyan külön van elevated és non-elevated user-e egy adminnak, viszont az előbbinek is van OWA joga. onnantól meg social enginnering, és máris megnyitja az admin a levél csatolmányát, oszt' szevasz.
és amúgy ja, a legnagyobb cégek is viszik a "mérnöki" gárdát közel és távol keletre (meg a (khmmm) kettő közé), ahol bármilyen háttérismeret és ellenállási faktor nélkül (akár csak annyi, hogy írásban jelzi, hogy valamit nem kéne), szolgaian végrehajtják azt, amit valaki kitalál. igen, akár azt is, hogy bármi nélkül ki legyen b***va egy FBA-s OWA a netre (ahol ráadásul még domaint sem kell bepötyögni, csak user name és password.mert aki ért hozzá, az drága.
[ Szerkesztve ]
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
anulu
félisten
nincs ilyen jellegű service user/password Exchange-en
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
anulu
félisten
2 dolgot tudok feltételezni, miért nem volt az EXO érintett:
a) a tenantodból nem tudsz kilépni, így nem tudod elérni SMB-n az EXO alatt futó servereket, így nem tudsz file-t írni/módosítani sem
b) attól, hogy tenant admin vagy, attól még nem vagy benne abban a groupban, amelyik local admin az Exchange servereken, ergó nem tudod módosítani a file rendszert. nincs jogod hozzá, az alatta futó Windows meg elhajt.rendesen szeparált jogkörökkel on-prem sem kellett volna, hogy ekkora problémát okozzon. szigurúan szerintem.
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
anulu
félisten
"bármilyen értelmes biztonsági szabványt betartva a mail szervered nincs neten"
nem kell a belső Exchange-et kirakni. erre van az Edge server. best practice alapján nem is rakod domainbe, szeparált VLAN, a belső Exchange-nek meg EdgeSync-el hitelesítve küldi a levelet. nem kell neki sem a 25 sem a 443-as port. ha meg megtörik (monjuk eljutnak odáig tűzfalon keresztül), akkor sem tudnak a VLAN-ból kijönni. megnézik a hosts-ban, hogy mik a belső serverek. ok. és? amúgymeg ezer és egy megoldás van arra, hogy ha történik egy serverre interaktív logon, akkor riportoljon, lelője a service-eket, mintegy védve a rendszert, akármi. valamint Edge-et ugye core serverre telepítünk, tovább csökkentve a támadási vektort.
ha meg nagyon ki kell tenni a client access-t, arra is van valag megoldás.
MS-ék az EXO-ra fókuszolnak, ez meg is látszik az on-prem cuccaik minőségén az elmúlt 2-3 évben. sima CU upgrade-nál lehet akkorákat szívni, hogy ihaj. akkor szoktam rá, hogy inkább server rebuild és új verzióval recover. minimálisan hosszabb idő, cserébe a régi hulladék local config beállítások nem maradnak ott aknamezőként.
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
anulu
félisten
kieg: a 25-ös portodat meg mondjuk levéded egy MessageLabs-szel
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
anulu
félisten
mondj olyan enterprise software-t, ami nem hemzseg az RCE-ktől.
nem kell ezer másikat mellé venni. csak végig kell gondolnia a cégnek (továbbra is enterprise-ról beszélünk, nem garázs cégekről), hogy mit is akar. általában előre gondolkodni olcsóbb, mint utólag tűzet oltani.
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
anulu
félisten
tudom, hogy láttál már sokmindent, ezt senki nem vonja kétségbe.
szerintem a felhasználót az érdekli, hogy ha elküld egy levelet, akkor az megérkezzen, és ha kap egyet, azt el tudja oldasni. ennyi és nem több. az, hogy csak a corp eszközéről, az max akkor lehet érdekes, ha máshonnan is akarja érni, az nem fog menni (ideális esetben).
nagy szervezetek a Win licenszeket fillérekért kapják. amit leírtam, abból jelentősebb költség max a MessageLabs (vagy bármi más ilyen portfoliójú cég) előfizetése lehet. cserébe a 25-ös portod előtt a FW-t úgy confolod fel, hogy csak az ő IP range-üktől fogad, minden mást eldob.
belül:
Win 2019 Standard: pár dollár/év
Edge: nem kell licenszelni
ADFS + WAP: OS része role-ként.wao, rohadt nagy költség mondjuk egy cégnek, amelyik évi sok-sok millió dollárt termel. cserébe a másik oldalon ha valami gond van, akkor MS pattan és addig melóznak rajta amíg megoldás nincs.
senki nem mondta, hogy tökéletesek az MS cuccok, személy szerint én is ipari hulladéknak tartok nagyon sok mindent (vagy legalábbis 1-1 server cucc bizonyos részeit).
arra kívántam rámutatni, hogy lett volna megoldás a kivédésre, első körben az, hogy levéded a rendszered. igen, valahogy ki és be kell, hogy menjen a levél, meg a userek el kell, hogy érjék.
nagyjából 10 éve foglalkozom kifejezetten Exchange-el. és tartom, hogy a sok hulladék között még mindig ez a leginkább enterprise-oknak való levelezési rendszer.
a nagy cégeknél azt látom amúgy fő problémának, hogy
a) aki hajlandó lenne vele úgy foglalkozni, ahogy kell, azt vagy nem fizetik meg és lelép vagy olyan dolgokat akarnak vele csináltatni, amihez nem hajlandó a nevét adni (és lelép), vagy a belét kidolgoztatják (és lelép)
b) kiviszik Indiába a L2/L3-at, merthogy "az ócsó", aztán vagy tudnak vele kezdeni valamit, vagy nem; az, hogy alul dől az egész, mert nem képesek rendben tartani az addig senkit a vezetésből nem érdekel amíg a levelek mennek és el tudják olvasni. a mérnöki gárdának meg rohadtul nincs rá ideje meg energiája, ergó azoknak kéne odafigyelni, akik bólogatni tudnak, ellentmondani ill saját véleményt megfogalmazni nem.
c) kifejezetten Exchange mérnököt már nagyon kevés helyen alkalmaznak, az meg méginkább fehér holló, aki tényleg szívvel-lélekkel csinálja. ez most meg is látszott.[ Szerkesztve ]
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
anulu
félisten
másik oldalról meg
( sajnos 
)[ Szerkesztve ]
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
anulu
félisten
sorry, de azt kell mondjam, hogy akkor nem tárgyaltok elég jól. amúgy az is kérdés, hogy milyen supportot vesztek mellé. ha mittomén vesztek x server meg y client OS-t, az egy dolog, de sok egyébbel ez a költség csökkenthető.
persze, ennek csak és kizárólag akkor van értelme, ha a plusz-t valóban ki is használjátok, egyébként csak pénzkidobás.Exchange 2007 + ISA 2006 éra óta foglalkozom Exchange net felé publikálással. <kopp-kopp-kopp> soha nem volt ezen a layeren biztonsági incidensem. cserébe nem keveset anyáztam ha valami baromságot akartak megcsináltatni.
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
anulu
félisten
-
anulu
félisten
ez egész addig működhet, amíg a user nagy ívben elkerül minden Win based cuccot (AD, file share, akármi). ha meg nem tudja elkerülni, onnantól kell CAL és csak magatokat szívatjátok.
nem tudom, hol van a szerződésetek, de ahogy írod, hogy globális cég vagytok, lehet érdemes átrakni egy másik országba, és ott tárgyalni.
[ Szerkesztve ]
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
anulu
félisten
Win-en SCCM-el (ha rendesen össze van rakva) akár self-service portal-al is tud a user magának appot telepíteni, és nem kell semmilyen elevált cucc a részéről. vagy a HD hozzárendeli a felhasználóhoz, és rövid időn belül ott lesz a gépén. akár localban, akár VPN-en, akár DirectAccess-en legyen.
és igen, ennek is az alapja az AD.
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
akkor mennek a lecsóba nem csak a proxy addressek, hanem az X.500 is, azt meg nem akarod hajreállítani userenként. mivel elsődlegesen ezt használja az Outlook reply-to addressnek, ha nem találja a címzett ezen attribútumát AD-ban, akkor akkora felhasználói sírás lesz, amit nem akarsz kezelni.
( sajnos 
)
Új hozzászólás Aktív témák
it Több mint 30 ezer amerikai, több tízezer európai és ázsiai céget érint a legutóbbi botrány, a vészhelyzeti javítás pedig nem megoldás, mert megmaradnak a hátsó kapuk.
- LG NanoCell 55NANO766QA Halvány píxel csík
- Philips 58PUS8545/12 1 ÉV GARANCIA Játék üzemmód
- Tyű-ha! HP EliteBook 850 G7 Fémházas Szuper Strapabíró Laptop 15,6" -65% i7-10610U 32/512 FHD HUN
- Bomba ár! HP EliteBook 840 G5 - i5-8G I 8GB I 128GB SSD I 14" FHD I HDMI I Cam I W10 I Gari!
- The Last of Us Part I Ps5