Hackeři útočili na poštovní severy Prahy i jednoho ministerstva. Mohl za to děravý Exchange

To je hnus velebnosti, jak může někdo koupit "Dell Server" bez bližší specifikace za mega? -[
Viz např. smlouva 14721685 (ty monitory jsou za cca 100k, počítače za cca 300k): https://smlouvy.gov.cz/smlouva/1472168533...

je to tam v přílohách "-DELL PowerEdge R730xd server"-...ale v kažfým případě polžoky typu "SSD disky za 20 000kč" tak to je totální výsměch...to je jak jít do autosalonu a mít na faktuře "1 auto"....ale tak je pravda,že hošani z vedení AutoContu asi nebudou největší vzor slušnosti a poctivotist...spíš naopak..možná maj vzor v Burešovi

Tak AC byla defacto rodinná firma než ji koupil Komárek, resp. jeho Kkcg. Po tomhle hodně středního managementu bylo odejito, asi chtěl Komárek vidět výsledky. Nicméně o morálce celého vedení svědčí časté zásahy policie na centrále AC v Praze kvůli kartelovym dohodám.

Neznámým jedinýho ajtíka co je v AC spokojenej.....(od skládačů,přes serveráky)...obchoďáci se tam naopak maj velmi dobře....(pokud plní)

Chápu, no všude je něco na co si můžete stěžovat. Nicméně náš IT trh je pěkně pokriven. Každou chvíli jsou s IT firmami problémy, kvůli těm kartelum. Ac, atos, cs data, tesco, možná se v některých pletu. https://www.idnes.cz/olomouc/zpravy/prerov-it-...OK systém a MPSV je kapitola zase další nebo IBM a financak 😀
Nejsem ekonom, takže nevím jestli je to malým trhem nebo že už jsou etablovani od 90.let a každý víme jak to tu tehda vypadalo, viz naše vláda 😀

Tak to su zvedavej, s kym budes mit deti

..ten eset vysvětluje, proč je v tom bordel... potřebujou nebezpečí a hrozby bu bu bu

Tak pozor, ve státní správě ten ajťák stejně jen zavolá externí firmu, která to za něj řeší. Čest výjimkám. Čili místo označení "ajťák" by se více hodilo "úředník pro ICT dodavatele". No a tomu ty platy už odpovídají mnohem víc.

opravdu si myslíš,že v statní správě jsou borci co znaj kompletně Exchange,a dokáži napsat několikstránkový powershell skript pro změnu nějakých parametréu pro desetice jejich uživatelů?

Je také nutné zvážit, co je větší riziko. Jestli by se opravdu mohli hackeři dostat na MS Exchange schovaný za nějakým tím další zabezpečením (proxy, VPN, WAF, atd.), anebo ta instalace CU od MS, která také nemusí proběhnout úspěšně, a pak třeba obnovovat celý MS Exchange ze zálohy?

Od toho je snad testovací prostředí, nebo minimálně snapshoty na úrovni VM/storage apod.
Zdar Max

Minusy od silencu co provozuji Windows server primo na zeleze :D

To by asi nevadilo, jen nechápu, co se těm lidem na tom komentáři nelíbí. Spravuji mj. i Exchange servery a nejsem blázen, abych si patch předem neotestoval.
Mám známý, co jsou Windows only, spravují i Exchange a jedou bez testovacího prostředí. Už se jim stalo, že si zajistili neplánovanou odstávku, protože bug v patchi zapříčinil problém s připojením databází.
Pak měli druhý incident, kdy přišli o jednu instanci Exchange kvůli tomu, že ho měli na fyzickém železe a zablbnul řadič a vznikla nekonzistence, kterou nebyli schopní dát dohromady (db nabořená a nešla připojit a oprava db hlásila, že problém nenalezla).
Aplikace, které znám dokonale a vím, že případný problém neohrozí business, tak patchuju rovnou a neztrácím čas s testováním bokem. Nicméně aplikace, jejichž nefunkčnost může ohrozit i business firmy, si nelajznu patchovat jen tak bez toho, aniž bych si to předem odzkoušel.
A to je i důvod virtualizace, kdy lze velmi jednoduše a rychle připravit testovací prostředí 1:1 s produkcí z aktuálního času a otestovat si tam updaty a upgrady.
Zdar Max

Dobrý den,
moc do těchto diskuzí nechodím, ale dovolím se zareagovat na několik bodů:1) Exchange Online služba čítá tisíce serverů napříč všemi kontinenty rozprostřené v desítkách regionů. Celkový stav a veškeré odstávky jsou Microsoftem komunikovány velmi transparentně (https://docs.microsoft.com/en-us/office365/servicede... ... ) včetně Root Cause Analysis a dalších. Nevěřím, že služby podobného rozsahu je možné provozovat lépe, a s vyšší dostupností. Podobné statistiky se dají najít i u dalších předních poskytovatelů mailových služeb jako třeba Google.
2) S tím souhlasím, zároveň se o infrastrukturu a služby starají lidé, kteří jednotlivým vrstvám patřičně rozumí.
3) Záleží jak moc jste ochotní poskytovateli zaplatit. Za patřičnou cenu se dá pořídit 24/7 worldwide podpora přímo od Microsoftu. Nicméně služby jsou kontinuálně hlídány proaktivním monitoringem, testy a řeší se i prediktivní maintenance. Za posledních několik let se počet výpadků, které jsou "disrupting" se minimálně pro mě, pocitově a ze zkušenosti snížil (nedokážu to nicméně podložit čísly).
4) Toto záměrně přeskočím, věčná debata CapEx vs OpEx a ROI.
5) Využití služeb je hodně spekulativní, nicméně máte možnost si vybrat třeba pouze poštovní služby, a neplatit tak za služby, které využívat nechcete.
6) Pak je otázkou, jak moc je zranitelná VPN a síťové prvky v cestě např. nedávný backdoor v gatewayích Zyxel. Spousta útoků vyžaduje aspoň běžný přístup uživatele k serveru (koukněte na https://haveibeenpwned.com/... ), před čímž vás většinou VPN neochrání (a ještě zvětší rizika - najednou jsem autentizovaný v síti a vidím na další interní servery) - když už mám heslo uživatele, dostanu se s ním jak do VPN, tak do mailu apod. Mnohem lepší z mého pohledu je implementovat Zero-Trust model, kdy se ke všem uživatelům chovám, jako by byli mimo moji síť, např. vždy vyžaduji MFA, včetně případného přístupu do VPN. Všechno toto se dá samozřejmě postavit i lokálně, ale nebude to levné, proto je atraktivnější šáhnout po nějakém hotovém řešení...

1) minulý rok byla v rámci EU, zasáhlo to i Evropu, neplánovaná odstávka během pracovního dne asi 4-5h, pár měsíců před tím pak něco podobného. Bavím se tedy o čistě regionálním problému, nikoli globálním, kde je to v součtu mnohem více neplánovaných odstávek, ale reálně to regionálně moc lidí nezasáhne.5) není bohužel pravda. Licenční politika MS ohledně O365 je natolik složitá, že je nemožné cokoli si vyspecifikovat, protože to pak vyjde dráž, než nějaký balíček, nebo to nedosahuje všech potřebných fcí. Licenční politiku a migraci na O365 jsme řešili několik měsíců a úspěšně provedli migraci jedné dceřinky. Z našich zkušeností platí to, co jsem zmínil. Licenční politiku jsme samozřejmě řešili s příslušnou certifikovanou firmou. Migraci a techniky taktéž.6) Vím o zranitelnosti Zyxelů i Fortinet routerů apod. Nicméně je třeba říci, že zranitelnost se většinou netýká vpn(ipsecu) jako takové, ale face, či jiných věcí okolo. Takže i když můžeme slyšet o milionech zranitelností, tak kolik jich při vhodném nastavení bude zneužitelných? Moc ne. Pak je tu samozřejmě ještě možnost čistšího řešení v podobě linuxu+ipsecu, či pFsense apod., které jsou celkem dost transparentní.Zdar Max

Oprava:
1) minulý rok byla v rámci EU, zasáhlo to i ČR...Zdar Max

1) Minulý rok tam výpadky byly, nevím, který konkrétně myslíte, ale pokud se nepletu, tak ty největší byly z důvodu přetížení služeb z důvodu masivního nárůstu uživatelů, když firmy migrovali do online prostředí kvůli COVIDu, a služby nebyly připravené na tak masivní a rychlé škálování. Pokud se nepletu, tak to primárně zasáhlo Microsoft Teams. Pokud se nepletu, Microsoft dává SLA na jednotlivé Microsoft 365 služby 99.9% (8h 45min výpadek ročně), ale jelikož nevím, ke kterému výpadku přímo referujete nedokážu objektivně posoudit (je možné, že se výpadek týkal třeba jen části klientů hostovaných v EU). Následně lze získat kompenzaci formou volných usage dnů.5) Přijde mi, že s cloudovými službami se to razantně zlepšilo, oproti tomu, co bylo třeba 10 let zpátky u licencování Microsoftu (ale on-premise licencování je pořád poměrně složité, a to se asi moc nezmění, jelikož se ve velkém přechází směrem k předplatným a cloudovým službám). Vždy je levnější koupit služby v nějakém balíčku, než zvlášť. Pak záleží, co zákazník potřebuje, uživatelům je možné jednotlivé služby z balíčku vypnout. Ale chápu, že spoustě zákazníkům může bohatě stačit i e-mailová služba např. od WEDOSu společně s hostingem (za ~33CZK měsíčně) nebo třeba ProfiEmail od Seznamu, který je na vlastní doméně kompletně zdarma (to je by the way, podle mého, fakt super nabídka pro spoustu malých firem, docela by mě zajímalo, jak moc je to využívané).6) Souhlasím (a rozhodně nerozporuji bezpečnost samotných transportních protokolů, spíš bych se obával o uživatelské účty, pomocí kterých k první kompromitaci v síti dochází nejvíce - např. priviledge escalation, nepoužívání Just-In-Time přístupu - bežný uživatel s admin oprávněními, apod.), že je nutné mít správně nastavené síťové prvky, primárně gateway / firewall / WAF. Je pak samozřejmě otázkou, zda tomu tak opravdu je, jelikož daný správce tomu musí dostatečně rozumět (tady pak asi dává smysl reakce pána níže ohledně platů ve státní správě, ale do toho prosím nezabíhejme). Osobně tyto věci radši svěřím do rukou lidí, kteří dané problematice rozumí do mnohem větší hloubky, než já.

1) myslím tyto výpadky:
15.7.2020 - od 17h do 23h1.10.2020 (psalo se o tom úplně všude) - výpadek od 8:00 do cca 15:00 všech online služeb v rámci části EU včetně ČR. Něco někomu přestalo fungovat do 9:00 a něco někomu začalo fungovat od 14:004.11.2020 - od cca 5h do cca 9hA to jsou jen výpadky, na které jsem jako neaktivní uživatel kápnul, protože měl někdo problém. Ty občasné záhadné výpadky, že se něco nespojí, nebo něco občas neprojde, prostě takový ten šum, na který si stěžuje dost lidí na netu, ty nepočítám. Pravda, nejvíce z toho je problémový MS Teams, ale ty zmíněné výpadky se týkaly O365.Takže těch 99.9% (8h 45min výpadek ročně) je minimálně v případě Office365 výsměch a PR kecy, který minimálně za rok 2020 nedali ani omylem v rámci ČR.2) Ne, je to přesně naopak. Dřív bylo licenční peklo u on-premise. Když už si to člověk najel, naučil a začal se v tom orientovat a vyhrál nějaké licenční rozepře, tak MS přišel s cloudovýma službama a složitost licencí vynásobil mocninou. Přes dva měsíce jednání s jednou z nejlepších akreditovaných licenčních MS a nikdy neznali odpověď na naše licenční otázky a museli je zjišťovat.
Pro představu, tady jedna firma udělala licenční matrix, aby to bylo trochu přehledný:
https://www.infusedinnovations.com/blog/secure-modern-workpl... ... Problém je, že to je jen přehled, není tam napsaný, že u této licence třeba není možný two-way sync hesel s lokálním AD, nebo že u této licence není možné napojení na nějaký systém a je potřeba vyšší edice. Nebo tam není napsáno, že tato licence lze používat čistě jen na zařízeních s maximální velikostí displeje 10" atd. A přesně toto jsou microsračky, ve kterých se topí i ty akreditovaný licenční firmy, který dřív s on-premise neměly sebemenší problém. To, co MS vymyslel za licenční politiky pro cloud, je jeden velký mega hnůj. Kdo to nechce řešit, koupí prostě ty vyšší edice a neřeší, pak ale zaplatí 25USD/user/měsíc. A slevy se nedávají. Slevy člověk dostane, když jede v tisíscích nebo desítkách tisíc. Firmy do 1000 userů jsou z pohledu nějakých slev nezajímavý.Zdar Max

Problém s licencováním je obecný a netýká se pouze Microsoftu.
Chápu, že tvé dotazy na konkrétní, ale pouze tebou zcela jistě důležitou věc, jsou důležité a že by jsi chtěl jednoznačnou odpověď.
Nicméně u MS je výklad licence vždy vázán na názor právního oddělení na centrále v USA a to vždy v konkrétním případě.
Všechny ty poradenské firmy používají spojení "domníváme se..."Nicméně i samotný Microsoft říká a respektuje, že uživatel licencuje v "dobré víře" jeho produkty.
Proto, pakliže uživatel prokáže že daný produkt licencoval dle svého přesvědčení správně a korektně tak to MS respektuje a není žádná pokuta.
Samozřejmě se to týká multilicencí apod. U produktů Azure/Off365 je to složitější, protože se očekává že uživatel je schopný si vybrat model sám, ev. si ho rozšířit dle potřeby.Konkrétně u základního AD Connect určitě nejde obousměrně synchronizace AD. jde pouze "ven". Na obousměrnou už musíš mít ADFS a další, ale hlavně musíš mít všechno v HA. V tvém případě to asi splňuješ, ale je plno firem, které má nedostatečnou infrastrukturu a očekává že pouhým lusknutím prstu, bez investic, to MS vyřeší za ně.

Problém s licencováním není obecný. MS je v tomhle hnoji na špici a vždy byl. Občas se objeví nějaká firma, co se k tomu blíží (třeba Oracle, to je také v některých případech libůstka).
Nicméně to, co MS udělal v rámci cloudu, to povznesl licenční peklo do úplně jiné dimenze. Obhajovat to tím, že i někdo ostatní má složitější licenční politiku, je fakt výsměch. Takový argument nemůže nikdo myslet vážně."U produktů Azure/Off365 je to složitější, protože se očekává že uživatel je schopný si vybrat model sám"Jak si uživatel může z toho licenčního hnoje vybrat model sám, když to nezvládá pro něj vybrat ani Microsoftí poradenská firma?
Pro obrázek jsem linkoval obraz na ten licenční matrix, který ale reálně nic neříká, protože ty jednotlivé option mají další limity, které je někdy těžké dopátrat.
Odkazovat se na používání špatného licenčního modelu v nějaké dobré víře / nevědomosti, to je prostě úlet. Takto se fakt věci řešit nedají. Jednou mám firmu a chci mít správně vypořádány licence. Jenomže MS dělá vše proto, aby se v tom nikdo nevyznal a nutil tak zřejmě k nákupu dražších licencí. Třeba ten požadavek, že lze licence používat jen na zařízeních s diplejem max 10". To je totální zhovadilost, která jednoduše nejde prostě ohlídat ani auditovat. A podobných úchyláren je tam více. K čemu takové licence vůbec vymýšlí, když jsou reálně nepoužitelné / nejdou uhlídat. Takové podmínky jen říkají, že dřív nebo poději se člověk nechtěně dostane do špatného používání licence.A k těm firmám, pokud si řeknu, že chci ty a ty fce (nechci jít níž za vyšší cenu, chci mít všechny fce jako u on-premise) a chtěl bych tedy znát, kolik mě to bude stát, tak proč to musíme řešit x měsíců, mít x schůzek a řešit rozpory mezi tím, co říká licenční firma a implementátor doporučený licenční firmou.Zdar Max

presne tak😁👍🏿👍🏿

Hups, nekdo zautocil na muj post minusama :))

Docela by mě zajímalo, jak se to technicky provádí. Má na to nějaký skript? Nebo tam tak usilovně klikal?

Evidentne nalezl skulinku a ma skript

Jde na to udelat script, prakticky ti staci zachytit request v dev tools pri kliku na (-) a pak jej jen opakovat ve smycce nebo jen otevrit v prohlizeci a F5...
Tedy tak to bylo kdyz jsem se na implementaci +/- dival naposled (uz to bude nejaka doba)