💡 Полезные Советы

С января 2025 года антивирус Symantec Endpoint Protection (на примере версии 14.3) перестал получать обновления через стандартный сервис LiveUpdate в РФ. Более того, при попытке установить его на новую систему ошибка обновления может привести к некорректной работе Windows, постоянно выводя на экран сообщения об ошибках Symantec и корректной работы Microsoft Defender!

Важное предупреждение перед решением:

Предлагаемый метод использует сторонний перегруженный запросами прокси-сервер (updates.comss.online). Его надежность и безопасность не могут быть гарантированы автором данной инструкции. Используйте это решение на свой страх и риск. Рекомендуется рассмотреть переход на поддерживаемый антивирус например Kaspersky Premium или Kaspersky Endpoint Security Cloud.

Инструкция по настройке прокси для LiveUpdate:

1. Запустите консоль управления Symantec с правами Администратора:
2. Нажмите Пуск.
3. Найдите ярлык "Symantec Endpoint Protection Manager" или аналогичный.
4. Щелкните по нему правой кнопкой мыши.
5. Выберите Запуск от имени администратора. Подтвердите запрос контроля учетных записей (UAC), если появится.
6. Перейдите в настройки LiveUpdate:
7. В главном окне Symantec нажмите Изменить параметры (Change Settings).
8. Перейдите в раздел Управление клиентами (Client Management).
9. Откройте вкладку LiveUpdate.
10. Настройте параметры прокси:
11. Поставьте галочку в чекбоксе Я хочу изменить свои настройки HTTP или HTTPS:.
12. В поле Прокси-сервер хоста: введите: updates.comss.online
13. В поле Порт HTTP: введите: 9999
14. В поле Порт HTTPS: введите: 9999
15. Поставьте галочку Требуется аутентификация.
16. В поле Имя пользователя: введите: comss
17. В поле Пароль: введите: club
18. Сохраните изменения: Нажмите ОК для сохранения настроек. Попробуйте НЕСКОЛЬКО раз запустить обновление вручную через LiveUpdate.

Proxy сервер (прокси сервер) — это промежуточный сервер, который выступает посредником между вашим устройством (компьютером, смартфоном) и другими серверами в интернете. Вместо прямого подключения к целевому ресурсу (сайту, сервису), вы подключаетесь к прокси, а он уже от вашего имени запрашивает данные у конечного сервера и возвращает их вам.

Основные функции и цели proxy-серверов:

• Анонимизация: Скрытие вашего реального IP-адреса от целевого сервера. Сайт видит IP прокси, а не ваш.
• Обход ограничений: Доступ к ресурсам, заблокированным по географическому признаку (геоблокировка), корпоративным правилам или интернет-цензуре.
• Кэширование: Сохранение копий часто запрашиваемых веб-страниц или файлов на самом прокси для ускорения доступа и снижения нагрузки на сеть.
• Контроль и фильтрация трафика: В корпоративных сетях или образовательных учреждениях для блокировки нежелательных сайтов, контроля доступа сотрудников, мониторинга трафика.
• Безопасность (ограниченная): Может выступать как дополнительный барьер между вашей локальной сетью и интернетом, фильтруя часть угроз (хотя полноценный файерволл безопаснее).
• Балансировка нагрузки: Распределение входящих запросов между несколькими серверами для повышения производительности и отказоустойчивости.

Основные типы proxy-серверов (классификация по ключевым признакам):

1 . По Уровню Анонимности:

Прозрачные (Transparent):

Как работают: Не скрывают ваш реальный IP-адрес. Целевой сервер видит, что вы используете прокси, но также получает ваш настоящий IP через специальные заголовки (например, X-Forwarded-For).

Зачем: В основном для кэширования и принудительного перенаправления трафика (например, в корпоративных сетях или публичных Wi-Fi без цели анонимности).

Анонимные (Anonymous):

Как работают: Скрывают ваш реальный IP-адрес. Целевой сервер видит IP прокси и знает, что это прокси (заголовки типа Via или Proxy-Connection), но не видит ваш IP.

Зачем: Базовая анонимность, обход простых географических блокировок.

Искажающие (Distorting):

Как работают: Подвид анонимных. Передают целевым серверам ваш реальный IP, но намеренно искажают его (подменяют на фальшивый) в заголовках типа X-Forwarded-For. Сам прокси при этом раскрывается.

Зачем: Попытка обмануть серверы, которые блокируют известные адреса прокси, выдавая себя за обычного пользователя с "левым" IP. Не всегда эффективно.

Элитные или Высокоанонимные (Elite или High Anonymity):

Как работают: Максимальная анонимность. Целевой сервер видит только IP прокси и не получает никаких признаков, что это прокси (нет специфических заголовков). Ваш реальный IP полностью скрыт.

Зачем: Когда нужна максимальная конфиденциальность и обход сложных систем обнаружения прокси.

2 . По Доступности:

Публичные (Public или Open) Proxy:

Бесплатные прокси, списки которых можно найти в интернете.

Плюсы: Бесплатны, легко доступны.

Минусы: Очень медленные, ненадежные (часто отключаются), перегруженные, опасные (могут логировать и воровать ваши данные, внедрять вредоносный код), часто блокируются сайтами.

Приватные (Private) Proxy:

Платные прокси, доступные только вам (или ограниченному кругу пользователей).

Плюсы: Высокая скорость, надежность, стабильность, чистота IP (меньше шансов быть заблокированными), лучше анонимность (если провайдер не ведет логи), выделенный IP или пул IP.

Минусы: Платные.

Важно помнить:

1. Не все прокси шифруют трафик! HTTP-прокси передают данные открыто. Для безопасности нужен HTTPS или VPN.
2. Доверяйте только надежным провайдерам, особенно приватных прокси. Бесплатные публичные прокси сопряжены с высокими рисками.
3. Использование прокси для обхода блокировок может нарушать правила сервисов или законодательство вашей страны. Всегда проверяйте легальность своих действий.

1 . Приоритет запретов над разрешениями: жесткое правило

Системы безопасности (например, Windows ACL) при оценке прав сначала проверяют запреты, даже если есть разрешения.

Алгоритм работы:

Шаг 1: Проверка всех явных запретов (на уровне пользователя или групп).

• Пример: Если пользователь входит в группу "MarketingDenyWrite", где запрещена запись в папку, доступ будет заблокирован.

Шаг 2: Проверка разрешений.

• Пример: Даже если пользователь состоит в группе «Editors» с правом записи, запрет из "MarketingDenyWrite" перекроет это разрешение.

Итог: Любой запрет (даже в одной из 10 групп) → доступ отклоняется.

2. Опасность явных запретов: как не заблокировать систему

Явные запреты — мощный инструмент, но их неосторожное применение приводит к катастрофическим последствиям:

• Риск самоизоляции: Если администратор добавит себя в группу с запретом на вход в систему или изменение прав, восстановление доступа потребует вмешательства другого администратора.
• Каскадные конфликты: Запрет для родительской группы (например, «AllUsers») автоматически распространится на все вложенные группы, даже если для них есть разрешения.

Совет:

Избегайте глобальных запретов. Вместо этого:

• Создавайте группы с минимальными необходимыми разрешениями (принцип наименьших привилегий).
• Используйте запреты только для точечного ограничения (например, временная блокировка конкретного пользователя).

Запреты — это "красная кнопка" в управлении правами. Используйте их осознанно, всегда предпочитая точечные разрешения. Помните: проще дать минимальный доступ и расширить его, чем исправлять последствия каскадных запретов.

Это централизованная система управления сетевыми ресурсами, разработанная Microsoft. Она предоставляет инструменты для управления пользователями, компьютерами, группами, политиками безопасности и другими объектами в доменной сети. Основные компоненты AD включают:

1 . Организационное подразделение (Organization Unit, OU):

• Определение: Логическая единица внутри домена, которая группирует объекты (пользователей, компьютеры, принтеры) для удобства администрирования.

Роль:

• Отражает структуру компании (например, отделы: "Финансы", "IT", "Маркетинг").
• Позволяет делегировать управление (например, передать права администраторам подразделения).
• Упрощает применение групповых политик (GPO) к определенным группам объектов.

Пример: text Домен: company.local ├─ OU: Финансы ├─ OU: IT └─ OU: Продажи

2 . Домен (Domain)

Определение: Группа компьютеров и устройств, объединенных общей базой данных каталога (на контроллере домена).

Роль:

• Централизованное управление учетными записями и политиками.
• Обеспечение безопасности через единую аутентификацию (Kerberos).
• Хранение данных в базе данных NTDS.dit.

Пример: Домен company.local включает все рабочие станции, серверы и пользователей компании.

3 . Дерево доменов (Domain Tree)

Определение: Иерархия доменов, связанных доверительными отношениями и образующих непрерывное пространство имен DNS.

Особенности:

• Родительские и дочерние домены (например, europe.company.local и asia.company.local).
• Общая схема и глобальный каталог.

Пример:

text Дерево: company.local (корневой домен) ├─ europe.company.local └─ asia.company.local

4 . Лес (Forest)

Определение: Набор доменных деревьев, объединенных общими схемой, конфигурацией и глобальным каталогом.

Роль:

• Максимальная граница безопасности в AD.
• Домены в лесу автоматически связаны двусторонними транзитивными доверительными отношениями.

Пример:

text Лес: Дерево 1: company.local Дерево 2: partner.org

5 . Подсеть (Subnet)

Определение: Логическое разделение сети с уникальным диапазоном IP-адресов и маской (например, 192.168.1.0/24).

Роль:

Управление сетевым трафиком через маршрутизацию.

Определение физической локации устройств для AD.

Пример: Подсеть 10.10.0.0/16 для главного офиса, 172.16.0.0/12 для филиала.

6 . Сайт (Site)

Определение: Группа подсетей, объединенных для оптимизации репликации данных и аутентификации.

Роль:

Управление репликацией между контроллерами домена (например, уменьшение трафика между географически удаленными офисами).

Клиенты обращаются к ближайшему контроллеру домена в своем сайте.

Пример:

text Сайт "Москва": Подсети: 192.168.1.0/24, 192.168.2.0/24 Сайт "Санкт-Петербург": Подсети: 10.10.1.0/24

Взаимосвязь компонентов

• OU структурируют объекты внутри домена, отражая бизнес-логику.
• Домены объединяются в деревья, а деревья — в лес для масштабирования.
• Сайты настраиваются на основе подсетей, чтобы оптимизировать сетевой трафик и репликацию.

Пример использования:

Компания с офисами в Москве и Берлине создает:

• Лес globalcorp.net.
• Дерево доменов: msk.globalcorp.net, berlin.globalcorp.net.
• Сайты "Москва" и "Берлин" с соответствующими подсетями.
• В каждом домене — OU по отделам (IT, HR), где применяются свои GPO.

Токен доступа (Access Token) — это объект безопасности Windows, который система создает при входе пользователя. Он содержит всю информацию, необходимую для проверки прав доступа к ресурсам: идентификаторы безопасности (SID) пользователя и групп, а также список привилегий (например, "Управление системой" или "Резервное копирование"). Токен "привязывается" к каждому процессу, запущенному пользователем, и используется для авторизации операций.

При изменении членства пользователя в группах Windows (добавление, удаление) новые права вступят в силу только после повторного входа в систему (log off → log on). Это связано с механизмом работы токена доступа — ключевого элемента безопасности Windows.

При входе в систему Windows генерирует для пользователя уникальный токен, который содержит:

SID пользователя — идентификатор безопасности.

Список SID групп, в которых состоит пользователь.

Привилегии (например, установка драйверов, доступ к ресурсам).

Этот токен проверяется при каждом обращении к файлам, сетевым ресурсам, реестру и другим объектам.

Почему изменения не применяются сразу?

• Токен создается только при входе и не обновляется в реальном времени.
• Если изменить членство в группах, текущий токен пользователя останется прежним.
• Система продолжит использовать старые данные до повторного входа, который сгенерирует новый токен.

Примеры из практики

1. Добавление в группу "Администраторы": Пользователь не сможет устанавливать программы или выполнять админские задачи, пока не перезайдет в систему.

2. Доступ к сетевой папке: Даже если права выданы, без повторного входа токен не будет содержать SID новой группы → доступ запрещен.

3. Исключение из группы: Пользователь сохранит доступ к ресурсам старой группы до следующего входа — токен еще содержит устаревший SID.

Операционная система "различает" пользователя не по их имени (полному или сокращенному), а по специальному уникальному номеру (идентификатору безопасности – Security Identifier, SID), который формируется в момент создания новой учетной записи.

Важно: Если удалить пользователя и создать нового с тем же именем, его SID будет другим. Поэтому права доступа, выданные старому пользователю, не перейдут новому.

SID (Security Identifier) — это структура данных переменной длины, которая уникально идентифицирует субъекта безопасности в системе Windows. В отличие от имени пользователя (например, ivan.petrov), SID:

• Не изменяется при переименовании учетной записи.
• Не повторяется даже при создании новой учетной записи с тем же именем.
• Используется для привязки прав доступа к ресурсам (файлам, папкам, реестру и т.д.).

SID имеет формат:

S-R-I-S-S..., где:

• S — префикс, обозначающий SID.
• R — версия (обычно 1).
• I — идентификатор authority (например, 5 для NT Authority).
• S-S... — подавторитеты и RID (Relative Identifier).

Пример SID локального администратора: text S-1-5-21-3623811015-3361044348-30300820-500

• S-1-5 — префикс и authority (NT Authority).
• 21-3623811015-3361044348-30300820 — уникальный идентификатор домена/компьютера.
• 500 — RID (идентификатор администратора).

Как создается SID?

Для локальных пользователей: При создании учетной записи на компьютере система генерирует уникальный SID, используя идентификатор компьютера и RID.

Для доменных пользователей: Контроллер домена генерирует SID на основе уникального идентификатора домена и RID.

Как посмотреть SID?

cmd whoami /user Вывод: cmd Имя пользователя SID ====================== ============================================== домен\ivan.petrov S-1-5-21-3623811015-3361044348-30300820-1001 В реестре SID храниться:

text HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.

В отличии от Windows:

Linux/Unix: Использует UID (User Identifier) и GID (Group Identifier) — числовые идентификаторы, аналогичные SID.

А в Active Directory: SID домена включается в SID пользователя (например, S-1-5-21-домен-1001).

Типичные проблемы и рекомендации по из решению:

Потеря доступа при удалении/создании пользователя: Всегда назначайте права группам, а не отдельным пользователям (группы имеют свои SID, которые не меняются при изменении состава).

Ошибки "Access Denied": Проверьте, не изменился ли SID пользователя (например, после восстановления из резервной копии).