Spencer's questions

Uma interrupção global foi causada quando Crowdstrike enviou um arquivo de conteúdo inválido. Isso é bem abordado em muitos outros lugares, então não vou entrar em detalhes sobre isso.

O que me interessa é se as políticas da empresa para atrasar as atualizações automáticas teriam contido a interrupção.

Crowdstrike tem uma maneira de definir políticas para limitar a versão do sensor Falcon a n-1, n-2 ou até mesmo uma construção específica. Assim, você pode atribuir um grupo de teste para obter a versão mais recente do sensor e seus grupos de produção para obter uma versão um pouco anterior.

Essa é uma prática comum usada para outros tipos de patches, como atualizações do Windows. Entendo que o ritmo seja necessariamente mais rápido para produtos de segurança da informação, mas talvez alguma forma de verificação pudesse ter sido possível.

O arquivo que causou o problema é classificado como “arquivo de conteúdo” e, portanto, é possível que não tenha sido evitado pelas políticas de atualização do sensor.

Por outro lado, o vídeo de Dave Plummer no YouTube sugeriu que Crowdstrike estava usando atualizações de conteúdo para corrigir o código do sensor sem ter que passar sempre pelo processo de aprovação de driver da Microsoft. E os números das versões dos sensores parecem aumentar bastante rapidamente. Portanto, também é possível que as políticas também controlem as atualizações de conteúdo.

Então, podemos dizer que se um cliente da Crowdstrike tivesse configurado um procedimento para testar máquinas em relação a atualizações de sensores antes de aprová-las para lançamento geral em sua empresa, que a interrupção poderia ter sido contida no(s) grupo(s) de teste?

Um bug no gpsd , no qual alguns servidores NTP dependem, é conhecido há alguns meses, mas não se tornou de conhecimento geral até recentemente, pouco antes do rollover de 24 de outubro de 2021, que pode definir os relógios de alguns servidores NTP de volta para 2002. Um patch para GPSD corrige o bug.

Como minha empresa não tem grandes necessidades de sincronização de tempo com o mundo exterior, usamos os servidores de pool NTP como nossa fonte definitiva de tempo preciso. (Tudo na rede é sincronizado com um único dispositivo na rede, que é sincronizado com os servidores do pool.)

O site do pool NTP não tem nenhuma notícia após 2019, mas curiosamente, um desses itens é sobre outro rollover de semana do GPSD que aconteceu em 2019.

Várias instituições pertencem ao pool de servidores NTP de forma voluntária e, portanto, cada uma delas terá seus próprios meios de obter a hora exata.

Sabe-se se algum desses servidores usa gpsd?

Esta outra pergunta de falha do servidor não aborda o problema, mas fornece um exemplo de por que o problema pode ser tão complicado.

Eu tenho um domínio do Active Directory (chamaremos OLD.TLD) em produção e preciso alterar o nome (por motivos que não detalharei).

Há muitos, muitos arquivos com links para um namespace DFS neste domínio. Eles usam principalmente o nome NetBIOS, então uma referência seria algo como o \\OLD\DFS\FOLDERque se refere a \\SERVER\FOLDER.

Ao final do processo, tudo estará no novo domínio ( NEW.TLD) e o servidor será SERVER.NEW.TLD. Mas é necessário \\OLD\DFSque funcione mesmo depois que o antigo domínio se foi.

Eu considerei a renomeação de domínio one-shot, alterando apenas o FQDN, mas deixando o nome NetBIOS intacto. Mas isso causará muitos estragos para as pessoas que trabalham em casa. (além disso, manterá o NetBIOS como requisito).

Então, em vez disso, pensei em migrar para um novo domínio com o ADMT.

Para investigar isso, eu:

• criou um domínio de teste TEST.TLDem uma nova floresta
• criou uma relação de confiança de floresta bidirecional entre OLD.TLDeTEST.TLD
• criou uma zona de stub de DNS OLD.TLDpara apontar paraTEST.TLD
• criou registros DNS CNAME TEST.TLDpara se referir SERVERa SERVER.OLD.TLDe OLDpara OLD.TLD. Também existem CNAMEs para apontar os controladores de domínio antigos para o domínio antigo.

Então agora, as contas TEST.TLDpodem acessar \\OLD\DFSsem problemas. Em seguida, tentei ver se conseguia enganar o domínio de teste para pensar que \\OLD\DFSestava no novo domínio. Este é um processo que imagino acontecendo como a etapa final da migração antes de remover a confiança e derrubar os controladores de domínio antigos.

• Criei um namespace DFS de domínio TEMP.TLDe adicionei algumas referências de pasta a ele, para que eu possa distinguir os dois.
• Desativado NetBIOS sobre TCP/IP emTEMP.TLD
• Alterado o registro CNAME para OLDapontar para TEST.TLD.
• limpou todos os três caches DFS, bem como o servidor DNS e os caches locais.

No entanto, quando tento acessar \\OLD\DFS, recebo todas as \\OLD.TLD\DFSpastas. Existe outra configuração que preciso alterar? É possível 'alias' um namespace DFS de domínio dessa maneira?

Parece cada vez mais que terei que renomear meu domínio do Active Directory.

Existe um processo bem conhecido para fazer essa alteração, incluindo algumas respostas muito boas sobre Server Fault ( como esta ). Eu entendo que você pode pensar que eu quero fazer uma pergunta duplicada, mas isso inclui o tópico delicado de Não desencadear uma revolução.

Herdei um domínio interno do Active Directory desde o início do Active Directory. Vamos chamá-lo ACRO.TLDcom o nome NetBIOS ACRO(abreviação de "acrônimo").

Isso foi ótimo quando todos usavam uma caixa de vovô atrás do firewall. Mas essa prática agora está obsoleta e pode causar problemas no futuro. Existem muito mais dispositivos móveis e provavelmente seria muito ruim se o domínio vazasse para a Internet em geral.

Preciso

1. vender a mudança para os gerentes
2. minimizar a interrupção dos usuários, especialmente aqueles que gostam de conveniência (consulte o requisito 1). (Mudar o nome de domínio NetBIOS de ACROseria um problema).

É provável que haja decisões tomadas no planejamento e apresentação da mudança que aumentem a chance de sucesso (ou seja, os usuários não aparecem na minha porta com forcados e tochas). Esta é claramente uma pergunta subjetiva e as melhores respostas viriam de pessoas que já haviam passado pela mudança.

Vendê-lo para a gerência provavelmente consiste em explicar o porquê por trás das Coisas Muito Ruins, combinado com "a mudança não deve ser tão ruim".

Então agora a questão é como fazer com que a mudança não seja tão ruim, ou seja, minimizar o transtorno para os usuários. Eu odeio soar em aberto, mas posso estar tropeçando em algo básico.

Nós possuímos domínios que eu chamarei COMPANYNAME.COMe COMPANYNAME.NET. Nossa presença externa na web e endereços de e-mail (o e-mail é hospedado externamente, não há Exchange) usam COMPANYNAME.COM; temos COMPANYNAME.NETcomo um amortecedor contra a ocupação de domínio.

Então eu acho que minhas melhores alternativas são

ACRO.COMPANYNAME.COM(subdomínio)
COMPANYNAME.NET

Eu prefiro ACRO.COMPANYNAME.COM, porque os usuários estão acostumados ACROe COMPANYNAME.COMestamos apenas juntando os dois. Não há necessidade de alterar o nome de domínio NetBIOS e, claro, a tela de login do Windows 10, por padrão, usa o domínio ao qual um computador está associado.

Devido à prática existente que já expus, os usuários já são treinados para usar nomes de usuário e senhas separados para login e email do Windows (provavelmente uma boa coisa com email hospedado)

Alguns dos contras são

• ACRO.COMPANYNAME.COMjá é um nome de host registrado no DNS da Internet.
• pode haver alguma confusão quando ambas as contas contêm companyname.
• um ponto problemático de potencialmente triplicar o que as pessoas precisam digitar para inserir credenciais de login.

Mas são essas barreiras reais para seguir em frente ACRO.COMPANYNAME.COM? Estou esquecendo de algo?