週二參加了教育局開的網路課,課程內容教了大家prtg免費版的工具,這套工具與Catcti一樣,在我手上都只有短暫存活幾天就放生了,今天測試使用的是另一套Observium。安裝方式不難,官網都有提供各版本安裝說明,底層OS我選擇學校虛擬機既有的iso檔-Ubuntu 20.04版。
資訊安全
◎Fortinet資安鐵三角初體驗
學校的FortiGate110C使用至今已12年,在產品生命週期到達後韌體版本停在v5.2就沒機會往上升了,且因無法再購買UTM授權,許多資安防護的功能只好捨棄,剩下的功用大概就僅存針對學校內外網做開門關門的動作、看看流量與行為是否有異狀而已。
不過最近李老師提供機會讓我能體驗到新款的FortiGate防火牆,12年來110C在學校從沒出過問題,操作容易上手之外,Web Filter內容過濾讓我可以專心上課再也不用想方設法去阻擋學生偷玩遊戲與連上不當網頁的問題,IPS入侵偵測在第一時間就能把危機阻斷,AV搭配校內的ApexOne防毒伺服器也讓學校即使之前在自管校網與DNS時期都幾乎沒遇過甚麼資安事件,歷年來的弱點掃描也都是完全pass,在舊版校網時甚至很高比例學校會被掃出的弱點,我們校網弱掃的報告中依舊是連一條資安風險都沒有,這些原因都讓我對Forti的產品印象大大加分,能夠試用當然是求之不得的。
◎重新檢視不斷電系統組態與pcns更新(APC SMART UPS-3000)
昨天課上到一半,前主管小張來訊告知許多學校發生停電,提醒我留意一下設備狀況,學校斷電其實即使我人不在學校,機房也不會有太大問題,斷電有UPS幫忙關機,復電雖然不能自動化開機,但也可以透過iDrac處理,這是使用DELL伺服器的優勢,只要在復電後遠端連入iDrac就能將實體主機打開,虛擬機只要有排程的也會自動啟動。學校的UPS是兩套APC SMART-UPS 3000,十多年前機房設備陸續增加後購置了兩台,當時一台35000左右,兩台含施工7萬多解決。
由於前年底購置了伺服器排程與差異備份的方案,去年底也擴充了大容量儲存設備手動做完虛擬機的離線備份,所以校內伺服器部分其實已具備線上差異備份(異機)以及離線備份這兩種方案,當災難發生時只要硬體沒有損壞,多半都能在短時間內進行復原。
◎Apex One升級Patch Build:10048
近期陸續有將AD升級到Server2019之外,辦公電腦也升級到w11,但想到防毒軟體Apex One卻仍維持去年三月新安裝的版本Build:9204,雖然w11經過幾天測試也沒發現防毒有任何不支援的問題,但畢竟時隔將近一年,Patch版本也不知又出了幾版,還是趁放寒假前全校電腦都還開著的情況下先做升級工作吧。
OfficeScan我從6.0在學校自架到現在第14版Apex One得出了一個心得,那就是一般小更新或SP1、SP2就直接上Patch,跳大版則重新安裝並做用戶端搬移,所以這回就是選擇直上Patch。
◎筆記-WSUS 連線錯誤
原本要確認幾項安全性更新是否有佈署下去,卻意外發現WSUS出現連線錯誤,Log的說明如下:
WSUS 管理主控台無法透過遠端 API 連線到 WSUS 伺服器。
請確認 Update Services 服務、IIS 和 SQL 正在此伺服器上執行。如果問題持續存在,請嘗試重新啟動 IIS、SQL 和 Update Services 服務。
WSUS 管理主控台發生未預期的錯誤。這可能是暫時性的錯誤,請嘗試重新啟動管理主控台。如果問題持續存在,請嘗試刪除 %appdata%\Microsoft\MMC\ 下的 WSUS 檔案,以移除主控台的持續性喜好設定。
System.IO.IOException — 由於未預期的封包格式,造成信號交換失敗。
◎新增Apex One(原Officescan第14版)防毒伺服器
突然在Officescan後臺發現XG版在本月將停止支援,於是上趨勢官網發現Officescan在第12版XG之後更名了,新的名稱為Apex One,在實際安裝完後發現其實就是Officescan14,環境介面也與XG大同小異,只是好奇第13版又到哪裡去了?由於沒打算透過升級方式將XG更新為Apex One,所以就直接重新安裝,順便上新的Windows Server 2019…
◎Windows Netlogon遠端協定(MS-NRPC)存在安全漏洞(CVE-2020-1472),允許攻擊者在未授權之狀況下提權至網域管理者權限
記得上個月看到消息得知AD有此資安漏洞,雖然心中有掛著這件事但礙於開學之初學校實在太忙以至於一直沒有積極處理,結果昨天收到國家資通安全會報技術服務中心發布的警訊內容也是這件事,為了保險起見還是趕緊處理一下吧…
目前校內AD是Server2016有在本次受影響範圍,針對安全性漏洞(CVE-2020-1472)微軟有針對各版本提供修補說明,對應出的知識庫編號為(KB4571694),可參照底下網站內容下載所需的修補檔案。
◎OfficeScan XG SP1重新安裝、設定與用戶端遷移
校內原本的OfficeScan XG因為當初有加入AD,後來因勒索病毒因素封鎖了smb等通訊埠導致透過Login Script Setup自動佈署Autopcc的機制失效。最近想將校內MS作業系統全面更新到Server 2016所以有了乾脆重裝OfficeScan XG的打算,記得多年前聽研習講師說過在同網段下只要監聽埠維持一樣,下次裝新機時用戶端電腦會自動透過相同監聽埠來找新主機報到,一直以來也都是透過維持相同監聽埠(54640)的方式在處理重裝officescan server後的用戶端電腦,校內幾百台電腦若要一台台去裝防毒那可不是開玩笑的。
◎網路磁碟機勒索病毒防制策略
學校在5月份時訓育組電腦不幸中了勒索病毒,不但個人電腦中獎之外,連帶影響到了提供內網檔案交換的網路磁碟機,所幸發現得早,僅磁碟機(L)教材分享區被加密完成,其餘的磁碟機M、P、S、T、U、W、X、Y、Z等磁碟逃過一劫。
◎關閉AutoPcc自動安裝前預掃設定
目前Officescan11透過AutoPcc安裝已經替系統管理員省去很多工作了,但有個點實在有些困擾,就是安裝防毒之前的預掃,在還原系統之後讓班級電腦初次重新登入時會自動安裝防毒軟體,但是安裝前的預掃會耽擱不少時間,尤其剛開學老師正忙著要使用電腦時遇到這情形,難免會抱怨一下。
今天請教了趨勢客服,預掃機制是可以關閉的,像我們的需求是重新安裝或還原系統後安裝防毒,這樣的用戶基本上是不需要預掃,預掃主要適用對象為已使用過一陣子的系統或是要更換防毒軟體,為求慎重才需要此機制。
設定方式很簡單,首先進入伺服器找到以下目錄的Autopcc.cfg設定檔
C:\Program Files (x86)\Trend Micro\OfficeScan\PCCSRV\Autopcc.cfg