Перейти к содержимому


Фото
- - - - -

Перезагрука сервера для обновления Windows Event Viewer


  • Please log in to reply
18 ответов в этой теме

#1 repsac1987

repsac1987

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 07 Апрель 2020 - 16:50

Всем привет! На виндовом серваке стоит DrWeb ES. Он попросил обнову, некоторое время перезагрузку откладывали, чтобы не в разгар рабочего процесса отправить на ребут, но, видимо, кто-то из юзеров умудрился отправить-таки на ребут. Возникла задача - выяснить кто этот убер-юзер, что смог без административных прав отправить сервер на ребут через всплывающее окно от DrWeb'а.

Возможно ли выяснить по Event-логам кто именно нажал "перезагрузить сейчас"? Если не-админ может отправить на ребут сервер без админских прав, как можно запретить такому юзеру это делать?



#2 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 825 Сообщений:

Отправлено 07 Апрель 2020 - 16:52

А какая версия ESS? В старых емнип была такая "фича", что непривилегированный пользователь мог отправить машину в ребут.


Семь раз отрежь – один раз проверь

#3 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 07 Апрель 2020 - 16:52

>Возможно ли выяснить по Event-логам кто именно нажал "перезагрузить сейчас"?
 

конечно. в актуальных версиях продуктов без прав на ребут (не админские а именно шатдаун) в ребут не отправить, даже кнопки не будет.


Сообщение было изменено Konstantin Yudin: 07 Апрель 2020 - 16:52

With best regards, Konstantin Yudin
Doctor Web, Ltd.

#4 repsac1987

repsac1987

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 07 Апрель 2020 - 16:52

А какая версия ESS? В старых емнип была такая "фича", что непривилегированный пользователь мог отправить машину в ребут.

 

DrWeb ES 11



#5 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 07 Апрель 2020 - 16:54

в энтерпрайзе логичней отключить этот балун на агентах. не их это задача.


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#6 repsac1987

repsac1987

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 07 Апрель 2020 - 16:56

>Возможно ли выяснить по Event-логам кто именно нажал "перезагрузить сейчас"?
 

конечно. в актуальных версиях продуктов без прав на ребут (не админские а именно шатдаун) в ребут не отправить, даже кнопки не будет.

 

Как с DrWeb ES 11 обновиться до актуальной? Проверил серверную часть -  10.01.0 (11-05-2017 06:00:00). Клиентская DrWeb ES 11


в энтерпрайзе логичней отключить этот балун на агентах. не их это задача.

 

Для версии 10.01.0 (11-05-2017 06:00:00) это актуально? Подскажите, плз, где это настроить?



#7 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 07 Апрель 2020 - 16:59

>11-05-2017

 

судя по дате это сертифицированная фстэк, не актуальная.


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#8 repsac1987

repsac1987

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 07 Апрель 2020 - 17:02

>11-05-2017

 

судя по дате это сертифицированная фстэк, не актуальная.

 

Подскажите, плз, есть ли мануал или описание как обновиться до актуальной?



#9 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 825 Сообщений:

Отправлено 07 Апрель 2020 - 17:39

Подскажите, плз, есть ли мануал или описание как обновиться до актуальной?

В общем случае – пойти в саппорт с голографической наклейкой на формуляре (или куда она там клеится) и документами на закупку. Иначе обновлённая версия де-юре не будет для пользователя сертифицированной.


Семь раз отрежь – один раз проверь

#10 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 825 Сообщений:

Отправлено 07 Апрель 2020 - 17:41

Вот только не факт, что там ФСТЭК, потому что с этой же датой есть и "гражданский" релиз.

Быстрый способ проверить – пойти в Администрирование – Общая конфигурация репозитория – и посмотреть там на "Базовый URI".


Сообщение было изменено Afalin: 07 Апрель 2020 - 17:42

Семь раз отрежь – один раз проверь

#11 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 825 Сообщений:

Отправлено 07 Апрель 2020 - 17:44

Посмотрел ещё лучше – так и сертификаций ФСТЭК с такой датой нет, только контора.


Семь раз отрежь – один раз проверь

#12 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 07 Апрель 2020 - 18:06

Возникла задача - выяснить кто этот убер-юзер, что смог без административных прав отправить сервер на ребут через всплывающее окно от DrWeb'а.

Возможно ли выяснить по Event-логам кто именно нажал "перезагрузить сейчас"?

Да, конечно. В журнале событий (eventvwr.exe) отображаются события перезагрузки с указанием юзера, от чьего имени был сделан ребут.


(exit 0)

#13 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 825 Сообщений:

Отправлено 07 Апрель 2020 - 18:12

Если то был балун агента, на который ткнул пользователь без необходимых привилегий, то есть подозрение, что в event viewer'е будет какой-либо "nt authority\system". Не?


Сообщение было изменено Afalin: 07 Апрель 2020 - 18:12

Семь раз отрежь – один раз проверь

#14 repsac1987

repsac1987

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 07 Апрель 2020 - 18:14

Вот только не факт, что там ФСТЭК, потому что с этой же датой есть и "гражданский" релиз.

Быстрый способ проверить – пойти в Администрирование – Общая конфигурация репозитория – и посмотреть там на "Базовый URI".

 

Базовый URI /update 



#15 repsac1987

repsac1987

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 07 Апрель 2020 - 18:16

Если то был балун агента, на который ткнул пользователь без необходимых привилегий, то есть подозрение, что в event viewer'е будет какой-либо "nt authority\system". Не?

 

Да, именно так и было - ребут от имени NT Authority\System. Просто хотел узнать под каким юзером был нажат этот балун :)



#16 repsac1987

repsac1987

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 07 Апрель 2020 - 18:18

Посмотрел ещё лучше – так и сертификаций ФСТЭК с такой датой нет, только контора.

 

Да, ключ на организацию. Как в таком случае сделать обновление серверной части DrWeb ES?



#17 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 807 Сообщений:

Отправлено 07 Апрель 2020 - 20:52

repsac1987, понятно, что ключ на организацию. Интересует, не используете ли вы какие-либо сертифицированные сборки в связи с особыми требованиями к организациям. Там свои требования. А в общем случае - штатное обновление не представляет ничего сложного и прописано в документации. В случае венды это обычно просто запуск сетапа, который предложит обновить установленный пакет. Ну и, разумеется, я бы озаботился предварительным бэкапом.



#18 repsac1987

repsac1987

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 07 Апрель 2020 - 22:04

repsac1987, понятно, что ключ на организацию. Интересует, не используете ли вы какие-либо сертифицированные сборки в связи с особыми требованиями к организациям. Там свои требования. А в общем случае - штатное обновление не представляет ничего сложного и прописано в документации. В случае венды это обычно просто запуск сетапа, который предложит обновить установленный пакет. Ну и, разумеется, я бы озаботился предварительным бэкапом.

 

Спец сборок нет, всё более-менее штатно. DrWeb ES серверный на ubuntu 16.04. Как я понял, какого-то автообновления с 10го ES на более новую версию нету?



#19 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 825 Сообщений:

Отправлено 07 Апрель 2020 - 22:18

 

Вот только не факт, что там ФСТЭК, потому что с этой же датой есть и "гражданский" релиз.

Быстрый способ проверить – пойти в Администрирование – Общая конфигурация репозитория – и посмотреть там на "Базовый URI".

 

Базовый URI /update 

 

Значит, несертифицированный. Его можно просто обновить, безо всяких юридических телодвижений. Просто скачать последний дистрибутив и обновиться согласно доке. Возможно, с предварительной тренировкой на кошках, по вкусу.


Как я понял, какого-то автообновления с 10го ES на более новую версию нету?

Да, обновления без переустановки пакетов между мажорными версиями появились, начиная с 11.


Семь раз отрежь – один раз проверь


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых