« Rev
@configmgr   692
Fwd »


Quantum Yupiter
Павел, не томи давай следующую подсказу или решение :)
Решение сразу скучно. Новых логов у меня нет на самом деле ) Следующий шаг траблшутинга скажите - я дам ответ )
Anton
дать доступ по тимвьювер )
Quantum Yupiter
дать доступ по тимвьювер )
Фу, поручик )
Anton
шо?
Quantum Yupiter
ВПНы наружу левые ) Дыра в безопасности-с
Quantum Yupiter
а на всех клиентах такое? xml-ки создаются?
На некоторых. Не создаются (по логу же видно)
Quantum Yupiter
Но первый вопрос очень правильный
Quantum Yupiter
Премьер поддержка спросила бы это на стадии первого телефонного звонка
Quantum Yupiter
Но нас тренируют специально
Sergey
эти "некоторые" чемто отличаются от рабочих? ну незнаю плитики GP/политики CM/антивирусы
Sergey
ну ну я про вполне простое сравнение к этой группе компьютеров применяются отедльыне групповые политики или политики клиента CCM
Sergey
в том смысле что вся группа компов в этой ОУ - неработает или в такой то группе
Владимир
Завтра в МТС про управление инфрой будет все через пош? Или питона чутка будет?
Anton
Там про мессенджеры больше
Anton
А через что уже , это не важно
Владимир
Понятно
Владимир
Чет народу дохрена будет смотрю :)
Владимир
Ага тут, где ты :)
Red
@skorotkov ай карамба!!! спасибо тебе ЧЕЛОВЕЧИЩЕ!!!! встал таки агент на сервак!
Red
спасибо тебе ещё раз!
Red
ну как же! указал направление! да и ваще помогал!!!
Red
спасибо!
Sergey
велкам :)
Anton
и после инжектов апдейтов все хорошо, какая-то магия с образом была ;(
Anton
https://support.microsoft.com/en-us/help/4041003/1702-clients-do-not-get-software-updates-from-configuration-manager-ca
Quantum Yupiter
https://support.microsoft.com/en-us/help/4041003/1702-clients-do-not-get-software-updates-from-configuration-manager-ca
Люблю такие статьи <Describe symptoms and errors that can occur if SUP is not in the Boundary group of the client machines.>
Евгений
Люблю такие статьи <Describe symptoms and errors that can occur if SUP is not in the Boundary group of the client machines.>
сраные ошибки типа sources are not current в сканагент.лог
Quantum Yupiter
а на всех клиентах такое? xml-ки создаются?
В общем, правильный путь имхо был бы такой: 1) Собрать ивент логи и попробовать понять, кто останавливает службу 2) Собрать трейс Procmon, это Ultimate
Quantum Yupiter
Прокмон бы показал, что служба останавливается, когда sinv (процесс wmiprvse.exe) доходит до файла psexec.exe. На этом его ловит антивирус, админы которого внесли psexec в список запретных после Пети, убивает процесс и тормозит службу. Поскольку sinv всегда требуется примерно одно время, чтобы добраться до проблемного файла, то мы видимо поразительную регулярность в inventoryagent.log
Anton
Хоспаде
Anton
кто бы мог подумать ) понятно, что они разобрались быстрее, так как знают, что они там крутили хотя бы
Sergey
я там про антивирус спрашивал
Quantum Yupiter
Ну и поскольку процесс убивается, то и отчёта нет )
Quantum Yupiter
я там про антивирус спрашивал
Настройки везде одинаковые, но не везде есть psexec
Sergey
ну ок к стати пока ловил что происходит при установки Metor приложений прокмоном понял что не так сисинтерналс рулит
Anton
ну такое делать запрет на psexec, когда не проще ли в клиентских подсетях на сетевом уровне все сделать
Sergey
лан, хороший кейс но по мен так они бы а в вирусной активности все бы это быстро увидеил и связали все в одно
Anton
ну ты это, подкидывай, интересно жи
Sergey
да и что за политика такая что процесс грохается а файл нет
Quantum Yupiter
А они не общаются
Quantum Yupiter
Ну и да, админы антивируса не умны
Anton
ну вот я бы точно не стал таким заниматься
Sergey
) ну почему бы и нет
Sergey
надо точно регить скрипткидесов
Sergey
psexec / mimikatz
Sergey
вот прямо с сайта хакер ру :)))
Sergey
и пиздить потом прилюдно
Anonymous
Ну и да, админы антивируса не умны
Ну я бы по отчетам антивируса быстро нашёл сработки, но тут как бы все в одних руках и анализировать проще.
Quantum Yupiter
Да, в больших конторах это не кейс (
Quantum Yupiter
Ну и доступа к машине обычно нет, эти логи были доставлены с машины спецпакетом
Sergey
еще заметил особенность люди занимающиеся саппортом внешних заказчиком, так быстро ориентируются Я фигею просто Мне чтобы сообразить надо сесть, открыть консоль...... только тогда мысли начинают появлятся
Sergey
и дело даже не в опыте / знаниях, хотя это конечно же .., А вот именно в образе мышления, чтоли
Quantum Yupiter
Ну тут годы опыта ещё. Кроме того, я привык пользоваться штатными тулзами типа wbemtest, потому что у заказчика может не быть WMI explorer или ещё чего
Anton
и дело даже не в опыте / знаниях, хотя это конечно же .., А вот именно в образе мышления, чтоли
Я бы сказал, просто бывают аналогичные ситуации, ну и да, ты уже знаешь что и где смотреть
Sergey
ну с опытом и аналогичными кейсами - понятно Мне кажется это помогает в .. экак это у циски называется - shoot from the hip
Quantum Yupiter
Справедливости ради кейсов, аналогичных кейсу с psexec, практически не бывает. Вообще 3rd party - источник бесконечного удовольствия
Sergey
гыгы
Quantum Yupiter
Был какой-то фашистский отечественный софт по подсматриванию и записи происходящего на экранах юзеров. Он перехватывал криво библиотеки RDP, в результате агент ConfigMgr не устанавливался с какой-то левейшей ошибкой. Основной признак: если вы копипастите ваше сообщение об ошибке в интернет/внутреннюю БД и не находите вообще ничего - это что-то очень интересное в вашем окружении
Sergey
пош тоже закрывают?
Sergey
я же могу invoke-command сделать
Sergey
имперсонироваться на той стороне
Sergey
и вжуууууууууууууууух
Quantum Yupiter
Петей не развелось пока таких умных
Sergey
как бы сказать
Sergey
все есть
Sergey
просто разработка нормального руткита, а не вот этого шифровымогающего гомна стоит денег хороших
Sergey
и можно написать так, что антивири будут плача дрочить в уголочке
Sergey
от собственной бесполезности
Anonymous
А то еще и помогут распространить
Владимир
А как вы думаете касперский продает свой продукт :)
« Rev
@configmgr   692
Fwd »