Windows, раз­вива­ясь, пос­тоян­но обраста­ла новыми фун­кци­ями и нас­трой­ками, усле­дить за пра­виль­ностью которых в динамич­ной сре­де не так уж и прос­то. Что­бы помочь адми­ну, был соз­дан целый ряд инс­тру­мен­тов, упро­щающих управле­ние и поз­воля­ющих соз­дать безопас­ную сре­ду.
 

Security Compliance Manager (SCM)

Security Compliance Manager — бес­плат­ный инс­тру­мент, раз­рабаты­ваемый в Microsoft Solution Accelerators. Он поз­воля­ет быс­тро скон­фигури­ровать компь­юте­ры при помощи набора готовых груп­повых политик и пакетов кон­фигура­ции, соз­данных на осно­ве рекомен­даций руководс­тва по безопас­ности Microsoft и раз­личных best practices. Боль­шой плюс его в том, что он избавля­ет адми­на от чте­ния тонн докумен­тации и оши­бок, ведь всег­да мож­но про­пус­тить что‑то важ­ное. А так прос­то прос­матри­ваем, срав­нива­ем и при­меня­ем рекомен­дуемые парамет­ры безопас­ности. Кро­ме нас­трой­ки ОС Win, под­держи­вает­ся так­же IE, Echange Server и MS Office. О его воз­можнос­тях ска­жет такой факт, что, нап­ример, толь­ко для IE дос­тупно более 150 парамет­ров.

Ад­минис­тра­тор может экспор­тировать и импорти­ровать свои кон­фигура­ции в SCM, упро­щая рас­простра­нение нас­тро­ек. Под­держи­вает­ся и воз­можность при­мене­ния уста­новок для компь­юте­ров, не вхо­дящих в домен.

Ус­танов­ка SCM очень прос­та, мас­тер самос­тоятель­но инстал­лиру­ет все что нуж­но. Хотя .NET Framework 3.5 луч­ше пос­тавить заранее при помощи дис­петче­ра сер­вера — быва­ет, что мас­тер не всег­да с этим справ­ляет­ся. В сос­тав пакета вхо­дит SQL Server 2008 Express, но при наличии SQL Server мож­но исполь­зовать и его.

Да­лее SCM запус­тится авто­мати­чес­ки и импорти­рует шаб­лоны Baseline Security, на что может уйти нес­коль­ко минут. В пос­леду­ющем шаб­лоны мож­но импорти­ровать авто­мати­чес­ки или добав­лять вруч­ную. Интерфейс не локали­зован, но прост и понятен. Началь­ная стра­ница содер­жит нес­коль­ко информа­цион­ных областей, на которых пред­став­лены допол­нитель­ные ссыл­ки и информа­ция по даль­нейшим дей­стви­ям. Сле­ва в панели находит­ся дерево Baseline Library, в котором отоб­ражены все дос­тупные базовые парамет­ры, сгруп­пирован­ные по про­дук­там. При выборе кон­крет­ного парамет­ра в середи­не будет под­робная информа­ция: кри­тич­ность, зна­чение по умол­чанию, рекомен­дация Microsoft и Customized, показы­вающий все изме­нения.

Ба­зовые парамет­ры менять нель­зя, но щел­чком по ссыл­ке «Customize this settings ...» или Duplicate мож­но сде­лать копию и ее изме­нить под свои усло­вия. Все воз­можные дей­ствия дос­тупны в панели Actions спра­ва. Здесь находят­ся пун­кты для экспор­та и импорта нас­тро­ек, в под­меню Baseline находим пун­кты, поз­воля­ющие срав­нить/сов­местить, дуб­лировать, уда­лить парамет­ры. Реали­зован поиск, поз­воля­ющий быс­тро най­ти нуж­ный по клю­чевым сло­вам.

Кро­ме гра­фичес­кой кон­соли, пос­тавля­ется инс­тру­мент коман­дной стро­ки, поз­воля­ющий управлять локаль­ными груп­повыми полити­ками компь­юте­ра, импорти­ровать и экспор­тировать их. Все коман­ды выпол­няют­ся от име­ни адми­нис­тра­тора. Для экспор­та локаль­ных парамет­ров с компь­юте­ра прос­то выпол­ни коман­ду

> LocalGPO.wsf /Path:c:\GPOBackup /Export

Что­бы уста­новить парамет­ры, сле­дует ука­зать иден­тифика­тор GUID нуж­ного объ­екта GPO:

> LocalGPO.wsf /Path:c:\GPOBackup\{012345678-ABCDEFG}

До­пол­нитель­ный параметр GPOPack поз­воля­ет объ­еди­нять в один саморас­паковы­вающий­ся файл все, что нуж­но для при­мене­ния базовых парамет­ров безопас­ности (не тре­бует уста­нов­ки LocalGPO). Исполь­зуя такой архив, можем быс­тро уста­новить полити­ки на новых ОС.

Редактирование политики в Security Compliance Manager
Ре­дак­тирова­ние полити­ки в Security Compliance Manager
 

Microsoft Baseline Security Analyzer (MBSA)

MBSA пред­назна­чен для уда­лен­ного или локаль­ного ска­ниро­вания, пос­леду­юще­го ана­лиза уяз­вимос­тей в сис­теме и опре­деле­ния воз­можнос­ти их устра­нения. Ори­енти­рован в пер­вую оче­редь на повыше­ние безопас­ности сис­тем малых и сред­них пред­при­ятий, хотя впол­не под­ходит и для домаш­него исполь­зования. Про­веря­ет наличие рекомен­дован­ных к уста­нов­ке пат­чей для ОС и некото­рых при­ложе­ний: IIS, SQL Server, SharePoint, MS Office, Web Apps и дру­гих, а так­же уяз­вимость акка­унтов адми­нис­тра­торов. Текущая вер­сия 2.3 под­держи­вает все новые ОС Windows 8.1 и 2012 R2, об уста­рев­ших при­ложе­ниях ути­лита, как пра­вило, не зна­ет. Для это­го сле­дует исполь­зовать более ран­ние релизы MBSA. Кро­ме гра­фичес­кого интерфей­са, дос­тупна и ути­лита коман­дной стро­ки (Mbsacli.exe), которую мож­но запус­кать без уста­нов­ки MBSA (с флеш­ки, нап­ример) и исполь­зовать в скрип­тах.

> mbsacli.exe /target webserver /u domain\adminuser /o results

Ска­чать MBSA мож­но по ад­ресу. Уста­нов­ка очень прос­та. Интерфейс не локали­зован, но прин­цип работы понятен и без чте­ния докумен­тации. Пос­ле запус­ка дос­таточ­но выб­рать Scan a computer или Scan multiple computers, ввес­ти имя или IP и выб­рать парамет­ры про­вер­ки. Пос­ле это­го будут закача­ны с Windows Update све­дения о дос­тупных обновле­ниях безопас­ности, и пос­ле ска­ниро­вания будет пос­тро­ен отчет. Все най­ден­ные проб­лемы раз­биты по катего­риям. Зна­чок в поле Score показы­вает кри­тич­ность, далее идет крат­кое опи­сание и при­водят­ся ссыл­ки на решение How to correct this. Оста­ется лишь все испра­вить и запус­тить ска­ниро­вание пов­торно.

Отчет, полученный в MBSA
От­чет, получен­ный в MBSA
 

Enhanced Mitigation Experience Toolkit

EMET реали­зует 14 защит­ных тех­ник, усложня­ющих ата­ки на Win-сис­темы, бло­кируя уяз­вимос­ти в ПО и изме­няя поток выпол­нения кода. Для защиты исполь­зует­ся тех­ника inline patching кода защища­емых про­цес­сов, ког­да перех­ватыва­ются и ана­лизи­руют­ся API-вызовы. Ори­енти­рован в пер­вую оче­редь на уста­рев­шие вер­сии ОС и прог­раммы, которые по умол­чанию не име­ют таких механиз­мов. Сре­ди под­держи­ваемых тех­нологий: ASR, EAF/EAF+, DEP, SEHOP, NullPage Allocation, Heapspray Allocation, ASLR и Bottom Up ASLR. Плюс тех­ники защиты от ROP-экс­плой­тов (Return Oriented Programming, обратно‑ори­енти­рован­ное прог­рамми­рова­ние), поз­воля­ющих обхо­дить защиту ALSR + DEP, переда­вая управле­ние на опре­делен­ный адрес, — Load Library Check, Memory Protection Check, Caller Checks, Simulate Execution Flow и Stack Pivot. Прав­да, сто­ит отме­тить, что не все ROP-тех­нологии дос­тупны для 64-бит­ных про­цес­сов.

Для четырех тех­нологий воз­можна акти­вация для сис­темы в целом (в области System Status) — DEP, SEHOP, ASLR и Certificate Trust. Осталь­ные нас­тра­ивают­ся пер­сональ­но для при­ложе­ний (в Configure Applications) и за некото­рым исклю­чени­ем обыч­но акти­виру­ются по умол­чанию.

При наруше­нии защиты EMET оста­нав­лива­ет про­цесс. С вер­сии 4.0 появил­ся допол­нитель­ный режим ауди­та (Audit Only), поз­воля­ющий при обна­руже­нии проб­лемы фик­сировать работу прог­раммы для даль­нейше­го ана­лиза. Фун­кция Local Telemetry поз­воля­ет сох­ранить дамп памяти в слу­чае сра­баты­вания про­цес­са.

Не­кото­рые из опи­сан­ных тех­нологий уже реали­зова­ны в ОС, но, как пра­вило, защища­ют толь­ко сис­темные объ­екты. Нап­ример, DEP (пре­дот­вра­щение выпол­нения дан­ных), которая не поз­воля­ет при­ложе­нию исполнять код из области памяти, помечен­ной как «толь­ко для дан­ных», появи­лась еще в Windows XP SP2, но защища­ет толь­ко некото­рые сис­темные фай­лы. Или Mandatory Address Space Layout Randomization (ASLR) поз­воля­ет ран­домизи­ровать адре­са, в которые заг­ружа­ются биб­лиоте­ки, что усложня­ет написа­ние экс­плой­тов. Для Win ASLR дос­тупна с Vista, но защища­ет толь­ко ком­понен­ты ОС, при этом биб­лиоте­ки заг­ружа­ются в один из 256 базовых адре­сов (8 бит), что, в прин­ципе, лег­ко подоб­рать. Для 64-бит­ных Windows 8 это зна­чение уве­личе­но до 14–24 бит (для раз­ных типов дан­ных), то есть 16 384–16 777 216, но из‑за проб­лем с сов­мести­мостью ASLR отклю­чена по умол­чанию. Мandatory ASLR, реали­зован­ный в EMET, мож­но наз­вать «искусс­твен­ным ASLR», так как он име­ет на порядок мень­шую энтро­пию, чем ASLR в ОС. В Bottom Up ASLR показа­тели энтро­пии нес­коль­ко улуч­шены по срав­нению с Мandatory ASLR. Но глав­ное — акти­вация DEP, ASLR и про­чих тех­нологий при помощи EMET поз­воля­ет обес­печить защиту для всех уста­нов­ленных при­ложе­ний.

Тех­нология Attack Surface Reduction (умень­шение области атак) поз­воля­ет огра­ничить работу при­ложе­ний толь­ко в раз­решен­ных Security Zones. Нап­ример, мы можем раз­решить работу Flash, Java толь­ко во внут­ренней безопас­ной сети и бло­киро­вать при выходе в интернет. По умол­чанию ASR акти­виро­вана для IE и при­ложе­ний MS Office. Акти­вация фун­кции филь­тра­ции таб­лицы адре­сов экспор­та (Export Address Table Filtering и EAF+ — появил­ся в EMET с 5.0) дает воз­можность огра­ничить дос­туп к стра­нице памяти сис­темных биб­лиотек толь­ко для раз­решен­ных модулей (по умол­чанию kernel32.dll, ntdll.dll, kernelbase.dll, спи­сок мож­но рас­ширить) и бло­киро­вать дос­туп к таб­лицам для кода, который ранее исполь­зовал­ся в ата­ках. Пос­ле уста­нов­ки ЕAF вклю­чен для всех при­ложе­ний, EAF+ для IE и Adobe.

Тех­нология Certificate Trust (Pinning) дос­тупна толь­ко для IE и поз­воля­ет защитить­ся от под­делок SSL/TLS-сер­тифика­та, пре­дот­вра­щая man-in-the-middle ата­ки. Для опре­делен­ных веб‑ресур­сов соз­дают­ся пра­вила про­вер­ки сер­тифика­тов, и при обна­руже­нии рас­хожде­ний выда­ется пре­дуп­режде­ние, а соеди­нение раз­рыва­ется. Прог­рамма уже содер­жит про­фили для боль­шинс­тва популяр­ных сер­висов — ресур­сов MS, MS Office 365, Skype, Facebook, Twitter и некото­рых дру­гих.

Ак­туаль­ная вер­сия EMET 5.1 под­держи­вает работу в Windows Vista SP2 — 8.1, Windows Server 2003 SP2 — 2012 R2 (релиз 4.1 сов­местим и с Windows XP SP3). Уста­нов­ка обыч­но проб­лем не вызыва­ет. В более ран­них ОС пот­ребу­ется уста­новить .NET Framework 4 и обновле­ние KB2790907 (для IE10 в Windows 8). Под­дер­жка EMET закан­чива­ется через 24 месяца пос­ле выпус­ка или через 12 месяцев пос­ле выпус­ка сле­дующей основной вер­сии, в зависи­мос­ти от того, какое усло­вие будет выпол­нено рань­ше.

Рас­простра­няет­ся в виде MSI-фай­ла, который мож­но уста­новить вруч­ную, при помощи груп­повых политик или дис­петче­ра кон­фигура­ций System Center Configuration Manager. Во вре­мя уста­нов­ки пред­лага­ется выб­рать про­филь: рекомен­дуемые нас­трой­ки безопас­ности (Use Recommended Setting) или оста­вить текущие нас­трой­ки (Keep Existing Setting). Фак­тичес­ки кон­фигура­ция про­филей сох­ранена в одно­имен­ных XML-фай­лах. Интерфейс не локали­зован, но уста­нов­ки прос­ты и понят­ны. Опции безопас­ности для прог­раммы уста­нав­лива­ются флаж­ком в таб­лице. Дваж­ды щел­кнув на име­ни про­цес­са, можем пос­мотреть опции с минималь­ным разъ­ясне­нием и ука­зать для некото­рых спе­цифи­чес­кие уста­нов­ки (нап­ример, наз­вания биб­лиотек). Нас­трой­ки путем экспор­та/импорта лег­ко перено­сят­ся на дру­гую сис­тему, поэто­му скон­фигури­ровать боль­шое количес­тво сис­тем очень прос­то.
От­четность отправ­ляет­ся в жур­нал Event Log — Application Log и выводит­ся в панели задач, через ком­понент EMET Agent (зна­чок мож­но спря­тать).

Глу­бина ана­лиза зада­ется в Mitigation Setting при помощи трех флаж­ков: Deep Hooks (перех­ват не толь­ко кри­тичес­ких API, но и вызыва­емых ими фун­кций), Anti Detours (бло­киров­ка экс­плой­тов, которые запус­кают копию фун­кции и про­пус­кают при этом пер­вые бай­ты API, переда­ющие управле­ние на сле­дующие инс­трук­ции), Banned Functions (зап­рет вызова API-фун­кций из спе­циаль­ного спис­ка, по умол­чанию толь­ко ntdll!LdrHotPatchRoutine).

Кон­фигура­ция сох­раня­ется в вет­ках реес­тра HKLM\SOFTWARE\Microsoft\EMET и HKCU\SOFTWARE\Microsoft\EMET. По умол­чанию скры­ты некото­рые небезо­пас­ные нас­трой­ки, их мож­но открыть, соз­дав ключ EnableUnsafeSettings и уста­новив его в 1. Все дос­тупные UnsafeSettings опи­саны в докумен­тации, которая пос­тавля­ется вмес­те с прог­раммой.
Кро­ме гра­фичес­кого интерфей­са, дос­тупно управле­ние из коман­дной стро­ки (EMET_Conf.exe). Получа­ем спи­сок фун­кций:

> EMET_Conf --list
> EMET_Conf --list_system

Вклю­чаем SEHOP для блок­нота (если опус­тить параметр, то будут вклю­чены все защит­ные механиз­мы):

> EMET_Conf --set notepad.exe -SEHOP

Клю­чи --export и --import поз­воля­ют соот­ветс­твен­но экспор­тировать и импорти­ровать нас­трой­ки (сох­раня­ются в XML-файл). При пере­уста­нов­ке некото­рых кри­тич­ных сис­темных при­ложе­ний иног­да пот­ребу­ется выпол­нять

> EMET_Conf --refresh
В EMET четыре механизма защиты возможно активировать для всех
В EMET четыре механиз­ма защиты воз­можно акти­виро­вать для всех
 

SCW и SCAT

Так­же не сто­ит забывать о двух инс­тру­мен­тах, вхо­дящих в сос­тав ОС: Security Configuration Wizard (мас­тер нас­трой­ки безопас­ности) и Security Configuration and Analysis Tool (SCAT — ана­лиз и нас­трой­ка безопас­ности). Пер­вый пред­став­ляет собой пошаго­вый мас­тер, запус­кающий­ся из меню «Средс­тва» в дис­петче­ре сер­веров. Поз­воля­ет пос­ле ана­лиза сис­темных уста­новок пра­виль­но нас­тро­ить полити­ки безопас­ности на осно­ве рекомен­даций и получить пол­ную информа­цию по текущим уста­нов­кам ролей, ком­понен­тов, сер­висов, реес­тра, Windows Firewall и про­чее.

Вто­рой добав­ляет­ся через кон­соль MMC и исполь­зует­ся для срав­нения парамет­ров кон­фигура­ции в базе дан­ных безопас­ности с текущи­ми нас­трой­ками на локаль­ном компь­юте­ре и при­мене­ния рекомен­дован­ных нас­тро­ек из базы. Пос­ле добав­ления кон­соли нуж­но соз­дать новую базу дан­ных и импорти­ровать один из шаб­лонов безопас­ности, содер­жащий кон­фигура­цию безопас­ности, раз­работан­ную для раз­личных сце­нари­ев и ролей. В Windows пос­ледних вер­сий по умол­чанию фай­лы находят­ся в %systemroot%inf (Defltbase.inf, Defltsv.inf, Defltdc.inf, DCfirst.inf). Мож­но исполь­зовать и допол­нитель­ные шаб­лоны, которые пос­тавля­ются, нап­ример, с SCM. Пос­ле это­го в меню выбира­ется вна­чале ана­лиз, а затем нас­трой­ка компь­юте­ра. Для при­мене­ния на дру­гих компь­юте­рах уста­нов­ки экспор­тиру­ются в inf-файл. Все опе­рации мож­но выпол­нять и при помощи коман­дной ути­литы secedit. Нап­ример, ана­лиз нас­тро­ек:

> secedit /analyze /db c:security.sdb /log c:security.log

При­чем в secedit дос­тупны две фун­кции, которых нет в гра­фичес­ком инс­тру­мен­те. Это воз­можность про­вер­ки нас­тро­ек в inf-фай­ле и соз­дания шаб­лона для отка­та нас­тро­ек:

> secedit /validate c:security.inf
> secedit /generaterollback /cfg c:security.inf /rbk c:rollback.inf
Просмотр настроек безопасности в Security Configuration Wizard
Прос­мотр нас­тро­ек безопас­ности в Security Configuration Wizard
Настройка политик в SCAT
Нас­трой­ка политик в SCAT

Microsoft Security Assessment Tool (MSAT)

В кон­тек­сте статьи не лиш­ним будет вспом­нить о MSAT, хотя это не инс­тру­мент для непос­редс­твен­ной нас­трой­ки сис­тем, а средс­тво оцен­ки рис­ков, помога­ющее взгля­нуть на свою IT-инфраструк­туру через приз­му раз­личных рекомен­даций и стан­дартов (ISO 17799 и NIST-800.x) и най­ти под­сказ­ки для решения воз­можных проб­лем безопас­ности. Пос­ле запус­ка сле­дует отве­тить на при­мер­но 50 прос­тых воп­росов в шес­ти катего­риях, охва­тыва­ющих безопас­ность инфраструк­туры, при­ложе­ний и пер­сонала, пос­ле чего прог­рамма соз­даст про­филь оцен­ки биз­нес‑рис­ка (BRP). Сле­дующий этап — при­мер­но 150 воп­росов по исполь­зуемым мерам безопас­ности в четырех катего­риях (инфраструк­тура, при­ложе­ния, опе­рации и пер­сонал), пос­ле это­го воп­росы пер­вого и вто­рого эта­па срав­нива­ются, про­водит­ся ана­лиз зре­лос­ти и выда­ются рекомен­дации по улуч­шению.

 

Connection Manager Administration Kit

Па­кет адми­нис­три­рова­ния дис­петче­ра под­клю­чений CMAK (Connection Manager Administration Kit) замет­но упро­щает работу адми­нис­тра­тора и служ­бы под­дер­жки поль­зовате­лей, обес­печивая прос­той механизм под­клю­чения к VPN при помощи спе­циаль­ного фай­ла. Это про­ще, чем зас­тавлять поль­зовате­ля раз­бирать­ся с инс­трук­циями и самос­тоятель­но запол­нять парамет­ры под­клю­чения. CMAK явля­ется ком­понен­том Windows Server, про­цесс уста­нов­ки при помощи дис­петче­ра сер­вера стан­дартен. В мас­тере отме­чаем пункт «Пакет адми­нис­три­рова­ния дис­петче­ра под­клю­чений RAS» (RAS Connection Manager Administration Kit (CMAK)). По окон­чании одно­имен­ный ярлык появит­ся в меню «Адми­нис­три­рова­ние». В Win 7/8 уста­новить CMAK мож­но через «Панель управле­ния → Прог­раммы → Вклю­чение или отклю­чение ком­понен­тов Windows».

Пос­ле вызова СМАK пред­сто­ит отве­тить на нес­коль­ко прос­тых воп­росов. По ходу мож­но соз­дать новый про­филь, редак­тировать ста­рый или объ­еди­нять про­фили. Кро­ме это­го, пред­сто­ит выбирать ОС, для которой пред­назна­чен про­филь. Для сов­ремен­ных вер­сий Win выбира­ем Vista, в этом слу­чае обес­печива­ется под­дер­жка про­токо­ла SSTP.

Да­лее все стан­дар­тные нас­трой­ки при VPN-под­клю­чении: ука­зыва­ем имя служ­бы и фай­ла, зада­ем один или нес­коль­ко VPN-сер­веров, к которым может под­клю­чать­ся поль­зователь, раз­реша­ем или зап­реща­ем общий дос­туп к фай­лам и прин­терам, зада­ем IP-адре­са DNS- и WINS-сер­веров. В некото­рых сетях при про­вер­ке под­линнос­ти исполь­зует­ся имя сфе­ры (Realm name), нап­ример в Windows это имя AD домена (user@domain.com). Мас­тер поз­воля­ет задать такое имя сфе­ры, которое будет авто­мати­чес­ки добав­лено к логину. Уста­нов­кой соот­ветс­тву­ющих флаж­ков мож­но сде­лать это под­клю­чение основным шлю­зом и акти­виро­вать сжа­тие IP-заголов­ков. Нас­трой­ки безопас­ности про­изво­дят­ся в одно­имен­ной вклад­ке. Здесь ука­зыва­ем, обя­затель­но ли исполь­зовать шиф­рование, отме­чаем необ­ходимые методы аутен­тифика­ции. Спи­сок «Стра­тегия VPN» поз­воля­ет ука­зать, какой метод будет исполь­зован при под­клю­чении к VPN-сер­веру. Воз­можно два вари­анта: толь­ко один про­токол или перебор про­токо­лов до успешной акти­вации соеди­нения. Так­же мас­тер поз­воля­ет задать номера для под­клю­чения к dial-up сер­веру и их авто­мати­чес­кое обновле­ние, изме­нить таб­лицу мар­шру­тиза­ции, парамет­ры прок­си для IE. Кро­ме стан­дар­тных уста­новок, можем про­писать дей­ствия, которые сле­дует выпол­нить на раз­ных эта­пах под­клю­чения кли­ента, задать знач­ки, ука­зать файл справ­ки, све­дения о под­дер­жке и допол­нитель­ные фай­лы. При соз­дании про­филя служ­бы мас­тер CMAK копиру­ет все вхо­дящие в этот про­филь фай­лы в Program Files\CMAK\Profiles. Далее рас­сыла­ем файл поль­зовате­лям или копиру­ем его в мес­то, с которо­го они могут его ска­чать.

Поль­зователь прос­то запус­кает файл, пос­ле чего зна­чок нового соеди­нения будет добав­лен в сетевые под­клю­чения и появит­ся окно регис­тра­ции, в котором необ­ходимо ввес­ти свой логин и пароль.

Окно CMAK
Ок­но CMAK
 

Вывод

Пред­став­ленные инс­тру­мен­ты поз­воля­ют сущес­твен­но упростить работу сисад­мина, они понят­ны в исполь­зовании и, глав­ное, бес­плат­ны, а поэто­му пре­неб­регать ими не сто­ит. Хотя, конеч­но, сле­дует пом­нить, что они тоже не панацея.

Оставить мнение