Category: политика

Category was added automatically. Read all entries about "политика".

vbeelokurskiy

Уроки Истории или Ложь совковой истории: о незамеченной резолюции европарламента

Пусть будет тут копия этого текста , чтобы помнить и не забывать уроки подлинной, а не отретушированной Истории.


--
Ложь совковой истории: о незамеченной резолюции европарламента

В разделе "История" находится огромное количество статей, посвященных началу Второй Мировой войны. Мы подходили к этой теме с разных сторон, опирались на различные источники и просто выстраивали логические конструкции, которые разносят в хлам совково-российскую историю войны. Как известно, суждение, содержащие взаимоисключающие составляющие, считается ложным. Таких подтверждений этой "истории"- бесконечное множество, поскольку она и есть - ложь.

Тем не менее, пациенты носятся со своими сталиными-жуковыми и дидываивале как с писаной торбой, и уже понятно, что эта часть людей не станет самостоятельно разбираться в открытых фактах и никогда не разрушит мир собственного бреда, какие бы аргументы им не приводи. Как это не странно, в связи с этим возникало ощущение того, что эту отраву нужно просто запретить как особо вредное сильнодействующее вещество, типа героина.

Причем, у нас есть нормативно-правовые акты, направленные на декоммунизацию, но это – общий документ, а вот именно того, что связано с той войной – нет. Но вот Европарламент принял резолюцию, посвященную восьмидесятилетию начала той войны и лично я на нее наткнулся совершенно случайно и думаю, что нашей прессе она была не интересна вовсе, а за поребриком ее промолчали намеренно и организованно.

По этой причине ниже будет ее полный текст, без вступительной части, где идут отсылки на международные нормы права, на которые опирался Европарламент, при составлении текста резолюции. Думаю, стоит его дочитать до конца. По ходу текста, я выделю жирным то, что считаю наиболее важным. Кстати, суды на нее тоже должны опираться, когда какая-то дрянь просит отменить переименование улицы Жукова или какого-то другого совкового мясника.

ТЕКСТ

Резолюция Европейского парламента от 19 сентября 2019 года о важности европейской памяти для будущего Европы
Collapse )

Не удивительно, что такой текст завязнет между зубов очень многой нашей дряни, которая прикинулась властью, а потому – тишина в эфире. Особенно цинично это выглядит потому, что в тексте особый упор сделан на Холокосте. В общем, как было написано в предыдущей статье, черная полоса всегда заканчивается, и тогда надо понимать, что мусор надо вывозить, начиная с уровня фундамента. Иначе – ничего не получится.

Шива

статьи по ISA - как резервная копия

Слишком часто прежние ресурсы вдруг оказываются не доступны, чтобы избежать этого в дальнейшем, решил сюда, в этот пост скопировать чужие статьи по Microsoft ISA. :)
--
[16 советов для развертывания правил доступа в Isa Server...] 16 советов для развертывания правил доступа в Isa Server...

Stone Опубликовал: Thu, Apr 3 2008 16:17
Спасибо Dave за перевод! Smile

1. Компьютер это вещь безмозглая. Вы должны проверять конфигурацию ISA сервера когда его поведение не соответствует вашим ожиданиям.

2. Разрешайте доступ выборочно. Предоставляйте доступ только для тех пользователей, внутренних источников, назначений и протоколов которые вам необходимы, и тщательно проверяйте каждое правило. Используйте запрещающие правила только в том случае, когда вы не можете проконтролировать доступ разрешающими правилами.

3. Запрещающее правило должно идти по списку раньше разрешающего правила когда они применяются к одним и тем же элементам политики как, например, пользователи или айпишники.

4. Когда вам необходимо использовать запрещающее правило явно, как например запретное правило для какого-то определенного юзера или чьего-то айпишника, то оно должно быть обработано первым.

5. Располагайте правила, которые будут обрабатываться чаще других вначале списка если это не повлияет на эффективность вашей firewall-политики. Это правила, которые имеют большую вероятность соответствия к срабатыванию, как например правила, которые прнименяются к "Всем пользователям" или "Всем аутентифицированным пользователям". Это дает возможность ISA серверу обрабатывать правила более эффективно.

6. Сделайте вашу firewall-политику как можно проще.

7. Никогда не используйте правило "Allow all To all", т.к. в этом случае ISA сервер теряет контроль доступа.

8. Не создавайте правил, которые дублируют правила системной политики.

9. Помните, что каждое правило обрабатывается независимо. Хотя правила и обрабатываются по порядку, каждое обрабатывается само по себе (отдельно) когда firewall идет по списку.

10. Никогда не давайте доступа "Для всех" к localhost. Внутренняя сеть также должна рассматриваться со стороны недоверия.

11. SecureNAT-клиенты не могут быть аутентифицированы, поэтому используйте Web proxy клиентов и Firewall-клиентов, когда необходимо аутентифицировать пользователей.

12. Если есть возможность, используйте правила, основанные на IP-адресах, а не на пользователях, потому что они обрабатываются быстрее.

13. Настраивайте клиентов как Web proxy клиентов когда вы в правилах используете Domain Name Sets или URL Sets. В противном случае, разрешающее правило доступа может быть проигнорировано из-за ошибки реверсного разрешения доменного имени и может стать причиной медленной работы.

14. Используйте фильтрацию приложений (application filtering) (таких как HTTP filter) только когда это действительно необходимо. Использование фильтров может повлиять на производительность.

15. Помните, что последним правилом в списке firewall-политики является правило "Deny All".

16. Ну и напоследок, тестируйте вашу политику сначала в "песочнице", прежде чем запускать ее в реальное использование.

Спасибо за помощь моим наставникам по ISA Server: Thomas Shinder и Ronald Beekelaar.

С Уважением, Stone

[Запрет доступа к ресурсам с помощью Site and Content Rules] Запрет доступа к ресурсам с помощью Site and Content Rules
Dave Опубликовал: Wed, Feb 16 2005 15:02
http://www.isaserver.org/tutorials
Denying_access_to_a_specific_webpages_using_Site_and_Content_rules.html

Запрет доступа к определенным Web-страницам (ну, например ко всеми любимой порнухе) с использованием Site and Content rules.

Это руководство покажет вам, как это делается с помощью Site and content rules.

Когда юзера пытаются, пытаются, пытаются куда-то залезть через ISA Server, то он (ISA) сначала проверяет, проверяет, и еще раз проверяет - а не находится ли данное содержимое в Site and Content Rules определенных специально для запрета доступа к этому содержимому (или сайту). Запросы также дозволены если (Site And Content)-правило позволяет клиенту интернет-доступ используя протокол, определенный в правиле.

Перед тем, как вы сможете настроить какое-либо (Site And Content)-правило, которое запрещает доступ к порнухе, должно быть создано и настроено Destination Set.

Destination Set. Им может быть имя компьютера, имя домена, Web-сайта, IP-адрес или диапазон IP-адресов, которое может содержать или включать пути. Правила могут быть применены к Destination Set, вот почему мы и будем их использовать !

Создание Destination Set для использования его в дальнейшем в Site and Content rule.


Кликните последовательно на:




<Пояснение>: Это имя вашего Destination Set .
Нажмите кнопку Add...
[pagebreak]



<Пояснение>: Это URL, доступ к которому вы хотите запретить всем остальным.
Теперь кликните ОК.

Ишшо раз кликните ОК.
Наш Destination Set создан !
Создание Site And Content rule используя Destination Set для запрета доступа.



Искренне надеемся, что вам не составит труда найти где находится Site And Content Rules (подсказочка: загляните в Access Policy).



Правой кнопкой кликните Site And Content Rules, затем кликните New, затем кликните Rule.



Напишите (или напечатайте) имя правила (которое мы сейчас и пытаемся создать) в специально отведенном для этого месте (называется поле для ввода). Желательно, чтобы введенное имя имело хоть какой-нибудь смысл по поводу содержимого, потому что у вас скорее всего будет несколько, или даже много правил. И чтоб в них не заблудиться....



<Пояснение 1>: Поставьте тут галочку для переадресации на другой URL. И не забудь-те это оформить в виде http://........ (вместо многоточия должен быть адрес)
<Пояснение 2>: Если URL запрещен то юзера выбросит на эту страницу.
Жмите Next.



Тут выбираем КАК мы будем запрещать доступ.
В нашем случае это первый (т.е. верхний вариант: Deny access based on destination)
Опять жмем Next.



В этом окне выбираем Specified destination set.



И из Name выбираем ИМЯ недавно созданного нами Destination Set.



И снова жмем Next !



В появившемся окне осталось обнаружить и нажать кнопку Finish (Финиш).

Теперь у нас есть созданное (site and content)-правило на основе нашего (ну, или вашего) Destination Set, которое запретит доступ к www.domainx.com

Подведем итоги.
В этом руководстве мы показали вам как создать Destination Set. Destination Set это логическое группирование имен компьютеров, имен доменов, Web-сайтов, IP-адресов или диапазонов IP-адресов, которые могут включать или сожержать пути. Потом мы использовали Destination Sets в нашем site and content rule, чтобы заблокировать доступ юзверей к определенному Web-сайту. Причина создания destination set в том, что когда мы создаем некое правило, то мы можем в него включить этот самый destination set. Это будет особенно полезно для вас или вашей конторы, когда вы можете запретить доступ к ососбено часто посещаемым сайтам, или к тем сайтам, посещение которых создает большой трафик. :)
Автор: Ricky M. Magalhaes

Перевод: Dave
sa_backup

Чужой опыт. "Тихое" подключение к пользователю внутри ActivDirectory

Суть.
Подключение к удаленному рабочему окну пользователя, при этом текущий сеанс связи у пользователя не обрывается. То есть режим, аналогичный подключению с помощью TeamViewer, но внутри Activ Directory (Windows Server 2012)

Пока конспект. Переосмысливать буду на следующей неделе.
В данный момент голова УЖЕ "не варит" ж:(((

[конспект присланного чужого опыта (КАК)]
From: Мін
Sent: Friday, June 19, 2015 3:10 PM
Subject: "Тихое" подключение к пользователю

Дополнительно кидаю мою переписку с человеком, который мне это посоветовал.


---
1.
Mstsc /shadow:1 /v:[HOST NAME] /control - удаленное подключение в текущую сессию пользователя
pc-support тут - имя компа
Permissions

In order to be able to perform Shadowing you need permissions. If no permissions are in place it will result in the error below.

image

Being local administrator on the destination server obviously works. However, to allow non-administrators permissions to shadow you can use the following command which
is also applicable for Windows Server 2008 R2 (Credits for this command go to fellow RDS MVP TP who posted this on TechNet Forum.

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "domain\group",2

Than concludes this blog post on the reintroduction or Remote Control (shadowing) in Windows Server 2012 R2.

http://blogs.technet.com/b/askperf/archive/2013/10/22/windows-8-1-windows-server-2012-r2-rds-shadowing-is-back.aspx

http://ryanmangansitblog.com/2014/01/23/shadowing-rds-2012-sessions/

локальные политики, "Full control without user`s permission"

-- 2. (переписка по поводу) --
[18.06.2015 11:23:15] Anton "Flar" Chernyshev: есишо дам скрипт в екзешнике тупо вызывающий окно ввода имени компа
[18.06.2015 11:23:26] Anton "Flar" Chernyshev: но в АД политику надо предварительно настроить разлить и применить
[18.06.2015 11:25:17] Evgeniy "Katarn" Minovskiy: Намного лучше самому разобраться и запустить, чем готовое.
[18.06.2015 11:28:08] Anton "Flar" Chernyshev: ну ты с АД лучше разберись.
[18.06.2015 11:28:16] Evgeniy "Katarn" Minovskiy: ех, не дадут мне внутринную переписку саппорта циклума почитать :)
[18.06.2015 11:28:31] Anton "Flar" Chernyshev: политика простая, изменяет одну настройку локальной политике
[18.06.2015 11:29:06] Evgeniy "Katarn" Minovskiy: НО. Если я на компе домена юзаю права учетки доменного админа, нужна ли мне политика?
[18.06.2015 11:29:22] Anton "Flar" Chernyshev: ты читал что написано в описании политики?
[18.06.2015 11:29:27] Anton "Flar" Chernyshev: эта фича по дефолту ОТКЛЮЧЕНА
[18.06.2015 11:29:41] Anton "Flar" Chernyshev: ты НЕ МОЖЕШЬ (кем бы ни бы) вламыватся в сессию текущего пользователя
[18.06.2015 11:30:01] Anton "Flar" Chernyshev: и надо её включит либо с разрешением подключения от юзера либо без разрешения
[18.06.2015 11:30:13] Anton "Flar" Chernyshev: проще всего включить политикой


Тох, сорри. Я не совсем понял, этот шадоувинг работает при тонких клиентах или конектиться к сессии юзверя домена (пофиг какой клиент, в т.ч. обычный пк)? Не хочу делать в тихаря, а представить начальству (фича то полезная).
[18.06.2015 12:00:14] Anton "Flar" Chernyshev: ну смари
[18.06.2015 12:00:17] Anton "Flar" Chernyshev: стоят два компа.
[18.06.2015 12:00:23] Anton "Flar" Chernyshev: оба в домене
[18.06.2015 12:00:35] Anton "Flar" Chernyshev: на одном из них залогинен ты, на втором вася пупкин
[18.06.2015 12:00:59] Anton "Flar" Chernyshev: ты находишься в группе, которая по правилам домена имеет права локального админа на всех компах
[18.06.2015 12:01:22] Anton "Flar" Chernyshev: вводишь в "выполнить" ту строчку
[18.06.2015 12:01:38] Anton "Flar" Chernyshev: у Васи вылазит окошко "К вам подключаются. Разрешить?"
"да", "нет"
[18.06.2015 12:01:54] Evgeniy "Katarn" Minovskiy: или через домен контроллер подключиться, так?
[18.06.2015 12:02:05] Anton "Flar" Chernyshev: что значит "через домен контроллер подключитсья"?
[18.06.2015 12:02:19] Evgeniy "Katarn" Minovskiy: http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-54-33-metablogapi/2480.clip_5F00_image002_5F00_thumb_5F00_496E1529.jpg
[18.06.2015 12:02:32] Anton "Flar" Chernyshev: вопервых, это 12я серверная
[18.06.2015 12:02:42] Evgeniy "Katarn" Minovskiy: у меня доменника 2 2008 и 2012
[18.06.2015 12:02:50] Anton "Flar" Chernyshev: во вторых, это работает, если сервак - терминальный сервак ,и на нём сидят юзеры.
[18.06.2015 12:03:01] Evgeniy "Katarn" Minovskiy: угу...теперь понял
[18.06.2015 12:03:09] Anton "Flar" Chernyshev: и ты зайдя на сам сервак по РДП можешь "впихнуть себя" вторым управляющим(!) лицом в чужой сеанс
[18.06.2015 12:03:15] Anton "Flar" Chernyshev: но тебе я думаю это не надо
[18.06.2015 12:03:27] Anton "Flar" Chernyshev: тебе надо тупо подключатся по имени компа к текущей сесси
[18.06.2015 12:04:10] Evgeniy "Katarn" Minovskiy: типа так
Mstsc /shadow:1 /v:ws1211 /control
[18.06.2015 12:04:13] Evgeniy "Katarn" Minovskiy: ?
[18.06.2015 12:05:36] Evgeniy "Katarn" Minovskiy: кажись понял. Буду пробывать. Спасибо, Тоха.
[18.06.2015 12:06:41] Anton "Flar" Chernyshev: да, так.
[18.06.2015 12:06:56] Anton "Flar" Chernyshev: если на целевом компе разрешено ваще обрабатывать такие запросы.
[18.06.2015 12:32:07] Evgeniy "Katarn" Minovskiy: хм. Политику сделал, обновил на серваке и на своем компе + на компе у коллеги. "Отказано в доступе". В т.ч. с доменника, в т.ч. от имени доменного админа
[18.06.2015 12:32:29] Anton "Flar" Chernyshev: ты уверен что правильно ее сконфигурировал?
[18.06.2015 12:32:44] Evgeniy "Katarn" Minovskiy: пытался подключаться этой строкой

Mstsc /shadow:1 /v: ws1211 /control
[18.06.2015 12:33:00] Anton "Flar" Chernyshev: [18 червня 2015 р. 12:32] Evgeniy "Katarn" Minovskiy:

<<< /v: ws1211пробел лишний
[18.06.2015 12:33:12] Evgeniy "Katarn" Minovskiy: я изменил/добавил ровно вот это
http://ryanmangansitblog.files.wordpress.com/2014/01/shadowing-gp-setting-required-computer-policy.png?w=1024&h=944
[18.06.2015 12:33:16] Evgeniy "Katarn" Minovskiy: не лишний
[18.06.2015 12:33:23] Evgeniy "Katarn" Minovskiy: без пробела "не верное имя компьютера"
[18.06.2015 12:33:43] Anton "Flar" Chernyshev: хм. у меня без пробела.
[18.06.2015 12:33:51] Anton "Flar" Chernyshev: он пингуется, этот комп?
[18.06.2015 12:34:14] Anton "Flar" Chernyshev: как обновил политику у обоих?
[18.06.2015 12:34:24] Anton "Flar" Chernyshev: gpupdate /force, дождаться выполнения и ребут?
[18.06.2015 12:35:16] Evgeniy "Katarn" Minovskiy: без ребута
[18.06.2015 12:35:27] Anton "Flar" Chernyshev: ребутни.
[18.06.2015 12:35:34] Evgeniy "Katarn" Minovskiy: + у меня доменный юзверь тут...ща
[18.06.2015 12:35:41] Anton "Flar" Chernyshev: политика ГПО что делает - изменяет запись в реестре для локальной
[18.06.2015 12:35:54] Anton "Flar" Chernyshev: локальная применяется когда? либо при старте ядра либо при логине юзера
[18.06.2015 12:35:57] Anton "Flar" Chernyshev: в зависимости от сферы
[18.06.2015 12:36:47] Anton "Flar" Chernyshev: доменный юзер - ок
[18.06.2015 12:36:49] Anton "Flar" Chernyshev: так и надо
[18.06.2015 12:37:06] Anton "Flar" Chernyshev: просто твой доменный юзер должен иметь права локлаьного админа на удаленном компе, для надежности
[18.06.2015 12:40:30] Evgeniy "Katarn" Minovskiy: имеет. Всеравно отказано в доступе...так, мб я где-то лажанул.
Что бы перепроверить себя - что бы политика работала ее нужно связать с доменом, так?
[18.06.2015 12:41:10] Anton "Flar" Chernyshev: с объектом
[18.06.2015 12:42:20] Evgeniy "Katarn" Minovskiy: ну да "Связать существующий объект групповой политики..."




Жека
mstsc.exe /? имеется опция /shadow ?
да звучит как /shadow:
[18.06.2015 17:22:29] Anton "Flar" Chernyshev: значит ок.
[18.06.2015 17:22:38] Anton "Flar" Chernyshev: твой доменный юзер точно локальный админ на соседней машине?
[18.06.2015 17:23:10] Evgeniy "Katarn" Minovskiy: условие именно такое, нельзя заюзать доменного админа?
[18.06.2015 17:23:31 | Змінено в 17:23:37] Evgeniy "Katarn" Minovskiy: ибо в таком случае нужно команду выполнять от имени "универсального" локального админа
[18.06.2015 17:23:57] Anton "Flar" Chernyshev: ты выполняешь команду от своего юзера
[18.06.2015 17:24:09] Anton "Flar" Chernyshev: так что лучше чтобы у твоего доменного юзера были права на той локальной машине
[18.06.2015 17:24:44] Evgeniy "Katarn" Minovskiy: ну мой юзер в группе доменных админов...завтра попробую сделать от имени локал админа, глянем.
[18.06.2015 17:25:53] Anton "Flar" Chernyshev: угу. тупо в локальную группу "администраторы" добавляй учетку свою
[18.06.2015 17:37:02] Evgeniy "Katarn" Minovskiy: политикой добавить на все компы меня в локального админа?....а можно финт ушами? Политикой добавить группу доменных админов в группу локальных? :D
[18.06.2015 17:37:59] Anton "Flar" Chernyshev: я бы не советовал. не секурно.
[18.06.2015 17:38:10] Anton "Flar" Chernyshev: отдельную группу делай, "locadmin" например
[18.06.2015 17:38:15] Anton "Flar" Chernyshev: в нее закинь всех своих коллег
[18.06.2015 17:38:23] Anton "Flar" Chernyshev: и уже её - в локальные администраторы на компах


***
Если у кого читающих сей пост есть что добавить - в комментах, пожалуйста линки и/или советы ))

Update 2015-06-24
http://habrahabr.ru/post/147273/