А через что уже , это не важно

Понятно

Чет народу дохрена будет смотрю :)

Завтра в МТС про управление инфрой будет все через пош? Или питона чутка будет?

в мск чтоли?

Ага тут, где ты :)

@skorotkov ай карамба!!! спасибо тебе ЧЕЛОВЕЧИЩЕ!!!! встал таки агент на сервак!

спасибо тебе ещё раз!

@skorotkov ай карамба!!! спасибо тебе ЧЕЛОВЕЧИЩЕ!!!! встал таки агент на сервак!

Да я то что сделал... Ну эээ всегда рад помочь

ну как же! указал направление! да и ваще помогал!!!

спасибо!

велкам :)

ну ну я про вполне простое сравнение к этой группе компьютеров применяются отедльыне групповые политики или политики клиента CCM

Нету, обычная политика

и после инжектов апдейтов все хорошо, какая-то магия с образом была ;(

https://support.microsoft.com/en-us/help/4041003/1702-clients-do-not-get-software-updates-from-configuration-manager-ca

https://support.microsoft.com/en-us/help/4041003/1702-clients-do-not-get-software-updates-from-configuration-manager-ca

Люблю такие статьи <Describe symptoms and errors that can occur if SUP is not in the Boundary group of the client machines.>

Люблю такие статьи <Describe symptoms and errors that can occur if SUP is not in the Boundary group of the client machines.>

сраные ошибки типа sources are not current в сканагент.лог

сраные ошибки типа sources are not current в сканагент.лог

Не такие

а на всех клиентах такое? xml-ки создаются?

В общем, правильный путь имхо был бы такой: 1) Собрать ивент логи и попробовать понять, кто останавливает службу 2) Собрать трейс Procmon, это Ultimate

В общем, правильный путь имхо был бы такой: 1) Собрать ивент логи и попробовать понять, кто останавливает службу 2) Собрать трейс Procmon, это Ultimate

ну ээ ок причина то какая?

Прокмон бы показал, что служба останавливается, когда sinv (процесс wmiprvse.exe) доходит до файла psexec.exe. На этом его ловит антивирус, админы которого внесли psexec в список запретных после Пети, убивает процесс и тормозит службу. Поскольку sinv всегда требуется примерно одно время, чтобы добраться до проблемного файла, то мы видимо поразительную регулярность в inventoryagent.log

Хоспаде

кто бы мог подумать ) понятно, что они разобрались быстрее, так как знают, что они там крутили хотя бы

я там про антивирус спрашивал

Ну и поскольку процесс убивается, то и отчёта нет )

я там про антивирус спрашивал

Настройки везде одинаковые, но не везде есть psexec

ну ок к стати пока ловил что происходит при установки Metor приложений прокмоном понял что не так сисинтерналс рулит

я там про антивирус спрашивал

а не, не спрашивал

ну такое делать запрет на psexec, когда не проще ли в клиентских подсетях на сетевом уровне все сделать

ну такое делать запрет на psexec, когда не проще ли в клиентских подсетях на сетевом уровне все сделать

не так не получится

лан, хороший кейс но по мен так они бы а в вирусной активности все бы это быстро увидеил и связали все в одно

ну ты это, подкидывай, интересно жи

да и что за политика такая что процесс грохается а файл нет

А они не общаются

ну ты это, подкидывай, интересно жи

+1

Ну и да, админы антивируса не умны

ну вот я бы точно не стал таким заниматься

) ну почему бы и нет

надо точно регить скрипткидесов

psexec / mimikatz

вот прямо с сайта хакер ру :)))

и пиздить потом прилюдно

Ну и да, админы антивируса не умны

Ну я бы по отчетам антивируса быстро нашёл сработки, но тут как бы все в одних руках и анализировать проще.

Да, в больших конторах это не кейс (

Ну и доступа к машине обычно нет, эти логи были доставлены с машины спецпакетом

еще заметил особенность люди занимающиеся саппортом внешних заказчиком, так быстро ориентируются Я фигею просто Мне чтобы сообразить надо сесть, открыть консоль...... только тогда мысли начинают появлятся

и дело даже не в опыте / знаниях, хотя это конечно же .., А вот именно в образе мышления, чтоли

Ну тут годы опыта ещё. Кроме того, я привык пользоваться штатными тулзами типа wbemtest, потому что у заказчика может не быть WMI explorer или ещё чего

и дело даже не в опыте / знаниях, хотя это конечно же .., А вот именно в образе мышления, чтоли

Я бы сказал, просто бывают аналогичные ситуации, ну и да, ты уже знаешь что и где смотреть

ну с опытом и аналогичными кейсами - понятно Мне кажется это помогает в .. экак это у циски называется - shoot from the hip

Справедливости ради кейсов, аналогичных кейсу с psexec, практически не бывает. Вообще 3rd party - источник бесконечного удовольствия

гыгы

Был какой-то фашистский отечественный софт по подсматриванию и записи происходящего на экранах юзеров. Он перехватывал криво библиотеки RDP, в результате агент ConfigMgr не устанавливался с какой-то левейшей ошибкой. Основной признак: если вы копипастите ваше сообщение об ошибке в интернет/внутреннюю БД и не находите вообще ничего - это что-то очень интересное в вашем окружении

пош тоже закрывают?

я же могу invoke-command сделать

имперсонироваться на той стороне

и вжуууууууууууууууух

Петей не развелось пока таких умных

как бы сказать

все есть

просто разработка нормального руткита, а не вот этого шифровымогающего гомна стоит денег хороших

и можно написать так, что антивири будут плача дрочить в уголочке

от собственной бесполезности

А то еще и помогут распространить

ERROR: S client not available

А как вы думаете касперский продает свой продукт :)

но выхлоп сложно получить. там уходит не менее года-полтора чтобы окупиться и выйти в плюс

Да нет смысла громоздить, если ты не АНБ или русский хакер, когда пошифровать с выкупом достаточно такого простого вируснячка

Зато какой повод был поставить апдейты для кучи контор! Мы напродавали услуг по Security пачку, ну и по установке обновлений

Да нет смысла громоздить, если ты не АНБ или русский хакер, когда пошифровать с выкупом достаточно такого простого вируснячка

выхлоп не тот

Хотите размять мозги? Помогите коллегам найти выход из сложной ситуации. Вопросы без ответов с social.technet.microsoft.com/Forums/ru-RU/home?forum=smsru - SCCM CB 1702 + SUP +WSUS - Какие для SCCM 2012 есть более гибкие построители отчётов сторонних производителей? - Восстановление SCCM 2012 R2 из резервных копий - SCCM+WSUS - Expired Updates(Истекшие обновления) - SCCM 2012 перестал собирать информацию по основному устройству. - Установка *.msu пакетов. - Unintal skype for business 2015 - Не подцепляется сертификат

? Connecting... ? login: Александр ? password: ************d| Initializing... ? ✅ Access Allowed Добро пожаловать на канал @ConfigMgr Все правила у бота @SystemCenter_Bot Подписываемся на канал ITpro News & Reviews - https://t.me/MicrosoftRus Группа SCCM User Group Russia на Facebook Telegram группы: - SCOM: Operations Manager - IT Talks: разговоры об IT - IT Flood: флуд, конкурсы. Правил нет, будьте осторожны. ?Подписываемся.

Был какой-то фашистский отечественный софт по подсматриванию и записи происходящего на экранах юзеров. Он перехватывал криво библиотеки RDP, в результате агент ConfigMgr не устанавливался с какой-то левейшей ошибкой. Основной признак: если вы копипастите ваше сообщение об ошибке в интернет/внутреннюю БД и не находите вообще ничего - это что-то очень интересное в вашем окружении

За практику успел увидеть жизнь трёх что ли или четырех вариантов подобной ДЛП.. Пош, кстати, проще вообще не открывать, чем закрывать, а psexec отломан, но никто и не знает, потому что кроме меня никто не пользовался - сам себе злобный.. Иногда воспользоваться имею желание, но не имею возможности..

? Connecting... ? login: Aleksandr Prianishnikov ? password: ************d| Initializing... ? ✅ Access Allowed Добро пожаловать на канал @ConfigMgr Все правила у бота @SystemCenter_Bot Подписываемся на канал ITpro News & Reviews - https://t.me/MicrosoftRus Группа SCCM User Group Russia на Facebook Telegram группы: - SCOM: Operations Manager - IT Talks: разговоры об IT - IT Flood: флуд, конкурсы. Правил нет, будьте осторожны. ?Подписываемся.

Configuration Manager news: Event forwarding and writing it to a SQL Database http://ccmexec.com/2017/09/event-forwarding-and-writing-it-to-a-sql-database/ “Lunch Break” @ Microsoft Ignite! https://blogs.technet.microsoft.com/enterprisemobility/2017/09/20/lunch-break-ignite/ What is SCCM CB Management Insights https://www.anoopcnair.com/what-is-sccm-cb-management-insights/ Process completed with exit code 4294770688, Unknown error (Error: FFFD0000; Source: Unknown) http://www.thesccm.com/process-completed-with-exit-code-4294770688-unknown-error-error-fffd0000-source-unknown/ MDT Wizard: Display applications by category http://www.systanddeploy.com/2017/09/mdt-wizard-display-applications-by.html Vote for Asset Intelligence Dashboard or SSRS Stats Dashboard http://feedproxy.google.com/~r/EnhansoftBlog/~3/HmZ7eNkeZrU/vote-for-asset-intelligence-dashboard-or-ssrs-stats-dashboard When was this computer imaged? https://mdtguy.wordpress.com/2017/09/20/when-was-this-computer-imaged/ ConfigMgr : Query to find SCCM client versions (ConfigMgr 2012) https://systemcenter.in/go/uncategorized/configmgr-query-to-find-sccm-client-versions-configmgr-2012/ ConfigMgr OSD FrontEnd – Version 1.2.0 released http://www.scconfigmgr.com/2017/09/19/configmgr-osd-frontend-version-1-2-0-released/

В айтитолк

@ittalks

Напомните плиз: какое обновление офиса вызывало ошибку отображения строк/столбцов в word/excel? (Если есть под рукой)

https://blog.it-kb.ru/2017/09/08/kb4011039-update-for-microsoft-word-2016-breaks-the-display-of-data-in-the-tables-in-doc-files/

оно?

Напомните плиз: какое обновление офиса вызывало ошибку отображения строк/столбцов в word/excel? (Если есть под рукой)

up

Дима, спасибо. Оно самое. Проморгали

Хотите размять мозги? Помогите коллегам найти выход из сложной ситуации. Вопросы без ответов с social.technet.microsoft.com/Forums/ru-RU/home?forum=smsru - SCCM + Baseline Vulnerability Assessmen - SCCM CB 1702 + SUP +WSUS - Какие для SCCM 2012 есть более гибкие построители отчётов сторонних производителей? - Восстановление SCCM 2012 R2 из резервных копий - SCCM+WSUS - Expired Updates(Истекшие обновления) - SCCM 2012 перестал собирать информацию по основному устройству. - Установка *.msu пакетов. - Unintal skype for business 2015

? Connecting... ? login: Pavel Semenchenko ? password: ************d| Initializing... ? ✅ Access Allowed Добро пожаловать на канал @ConfigMgr Все правила у бота @SystemCenter_Bot Подписываемся на канал ITpro News & Reviews - https://t.me/MicrosoftRus Группа SCCM User Group Russia на Facebook Telegram группы: - SCOM: Operations Manager - IT Talks: разговоры об IT - IT Flood: флуд, конкурсы. Правил нет, будьте осторожны. ?Подписываемся.

начинаю эксперимент

останавливаю все службы на секондари сайте

и делаю p2v

поднимется или нет?

делаем ставки =)

А сиквель?

Preinst /stopsite )

"В результате этого цикла завершения работы происходит автоматическая смена некоторых паролей во время повторной установки служб."

оно ещё и пароли мне сменит ?

Кто оно?

Пи ту ви?

физика в виртуалку :)