Názory k článku CrowdStrike poukázal na nedostatek představivosti a problém lidského faktoru

chybka v textu: kterou pak ani mohou žalovat

To je nejaka dmg contrl v podani Jezka?

O nejakem testovani totiz nemuze byt vubec rec, vysledek byl 100%, z cehoz jasne plyne, ze na naprosto zadny test nedoslo. A take to, ze sami svuj vytvor nepouzivaji. Ony by jim totiz widle pri tom testu/vlastnim nasazeni lehly taktez.

Dal, nevim jak v US, ale v evropskych luzi ruci dodavatel vzdy za zpusobene skody, a nemuze se teto odpovednosti nijak vzdat. Pricemz uz to ujednani samo o sobe zcela jasne vypovida o doveryhodnosti takoveho partnera, protoze opet beznou veci je, ze se stanovuje smluvni pokuta, ktera neprekvapive odpovida velikosti/poten­cielnim skodam, zakaznika.

A mimochodem, sudruhovia z MS zpusobili aktualizacemi tento mesic pruser velmi podobny, ktery se ale dotkl pomerne maleho mnozvi uzivaellu, protoze sifrovane disky se ve win moc nenosi.

ale prosim te, jses mimo jak ta jedle...
V EU dodavatel sice ruci ale obvykle smluvne do vyse toho co jim platis, pokud chces cokoliv nad to tak se musis s nimi soudit a dodavatel prokaze ze udelal vse co mohl a ty vysoudis leda tak kulove a prd.
Ze se sifrovane disky ve win moc nenosi? Jakmile mas vice nez 1000 zamestnancu anebo vice nez $1mld obratu tak mas pravdepodobne nasazeny i bitlocker (statistiky si klidne dohledej). Kdyby te zajimali konkretni firmy tak treba Infosys, Ebay, Trend Micro, McAfee, Unilever, ...

V tomto případě rozhodně vše co mohli neudělali.

A také rozhodně není pravda, že by firmy s více než 1000 zaměstnanci a větším než $1mld všechny šifrovaly.

29. 7. 2024, 09:23 editováno autorem komentáře

Kdybys neblabolil ze? Za skody ruci kazda jedna firma a kazdy jeden zivnostnik veskerym svym majetkem.

Co se v pripade skody bude resit, je zda k dane praci pristupoval dotycny s nalezitou odbornou peci, coz je sice takove pomerne gumove, ale prave v tomto pripade lze snadno dolozit ze v zadnem pripadne nikoli.

A presne kvuli te gumovosti se typicky ujednava smluvni pokuta, ktera bude ukrazena kdyz ... napriklad dojde k vypadku.

S tema win3.1 je to zajimava strategie, mozna predpokladaji ze na tuto platformu uz nikdo utocit nebude... Divim se, ze to dela to co je dnes potreba.

Nebyl čas na aktualizace

Já se ani nedivím, že není, když update Windowsu je na 1 den. Já do dnes nechápu, proč se nenainstalují nejnovější Windows se vším všudy.

CachyOS, OpenSUSE Tumbleweed, ArchLinux, nainstaluješ a nemáš aktualizace, vše je nejnovější.

U Windows? O jeje... a teď budeš čekat 5h na update nějaké jejich sračky, co má tak 1GB, ani to ne. Točící se kolečko na 99% další 2h, atd.

Na Linuxu projede package manager v terminálu (nebo na pozadí spuštěný přes GUI, to je jedno) a za pár minut je hotovo a pokud nedojde update driveru nebo jádra, tak to ani reboot nepotřebuje.

Jestli jsou nebo nejsou aktualizace záleží jenom na tom, jak máš staré ISO.

Instaloval jsem měsíc starej Tumbleweed a trvalo mu taky chvíli, než si dotahal updaty. Jelo to sice na pozadí, ale kus výkonu si to bralo.

"záleží jenom na tom, jak máš staré ISO"

To jiste, a proto je to nejnovejsi w10 3 roky stary ze? A oni soudruzi v MS neumej stahnout aktualni soubory po siti, ackoli tu sit pri instalaci prakticky vyzadujou ze?

update win na cely den?

ale prosim vas, nevykladejte nesmysly :)

A tak treba ma nejakou muzejni sestavu s pomalyma plotnovyma diskama a malou pameti... :D Tam bych tomu i veril... ono kdyz takova plecka zacne na ty plotny zurive swapovat... tak to chce byt hodne trpelivy :)

U widlí je na prd že aktualizce jede v kolečku: najít aktualizace, stáhnout, nainstalovat, restart, několikrát za sebou, občas taky to vyhledání trvá nebo selže, takže když u toho člověk nesedí a nehlídá to tak aktualizace klidně může zabrat den.

V kolečku a občas se to sekne a čeká na uživatelův vstup. Ale nikdy nevíš kdy to nastane. Tak to někde necháš běžet a jen se na to jednou za čas podíváš.
Potom to opravdu trvá celý den. Na pomalejších strojích i dny.

Kdybys neblabolil ... win + office = tak cca 150 patchu, coz na SSDcku je tak na 2 hodiny min a 5 restartu min. Oni to neumej ani nakopirovat najednou. CPU pojede na 100% at je jakej je.

Na mechanickym disku to klidne muze byt i na celej den. A takovy sestavy (s bonusem 4GB ram) se bezne jako certifikovany pro w10 prodavaj. I jen boot widli na tom klidne trva hodinu.

Win3.1 je jen nadstavba DOSu. Dalo se to spouštět na diskless počítačích. Tedy, W3.1 ne, W3.11 for Workgroups.
Jenže to dnes už jen tak někde nespustíte na fyzickém HW.
Nostalgie, ale bylo to příšerně ošklivé.
Nemusíte ale trčet na tak starých technologiích, terminály nemají mít přímo spuštěný systém, buď nějaký remote desktop nebo virtuálku - a to pak spravíte na dálku hromadně.
Taková kacířská myšlenka, na přepážkách by stačil nějaký ChromeBook a server(y) v takovém případě ajťák spraví poměrně snadno.

"Taková kacířská myšlenka, na přepážkách by stačil nějaký ChromeBook a server(y) v takovém případě ajťák spraví poměrně snadno."
Takhle funguje ceska posta ne?

To se da rici lecjakem slozitejsim softu ze je nastavba DOSu.
Kazdy slozitejsi kus sw na DOSu byl vlastne tak trochu sam operacni system protoze si spoustu veci musel resit sam. Extender, vlastni drivery, multitasking/task switching, obsluhu pameti, obchazeni omezeni. Potom abstrakci tech (z pohledu dnesniho progrose "blbosti") na neco pouzitelnejsiho.
Existovaly i kusy softu ktere zcela prevzaly kontrolu nad systemem a prepsaly vetsinu veci v pameti ktere souvisely s DOSem. Tedy DOS byl pouzit jen jako takovy zavadec na steroidech.

To byla taky doba rezidentnich programu. Kde tyhle doby jsou.
Nastesti pryc ;o)

Je to sicwe dávno, ale v jedné firmě WFG běhaly na 386SX jako diskless s Excel 5.0 (Novell/ ArcneT), jen to chtělo dost RAM. TeĎ nevím akorát, jestli fakt boot jel over net, nebo z floppy, to už nevím.

tak jestli je to nějaký Delphi nebo Visual BASIC, tak to třeba i stále opečovávají a vyvíjí. Je to trošku divný, ale na některých místech se dají potkat hooodně staré technologie (asi nejznámější je COBOL ve státních správách US).

Tak treba donedavna jeste jela 1/2 pokladen v Albertu (ted nevim ktery presne typ z tech dvou) na DOSu s tim, ze tam bylo Borland TUI a BTrieve DB na Novell serveru pres IPX/SPX :-)
Ono, vetsinou neni zadny duvod (krome nejakych CEO/CISO/XYZ a podobnych tlaku) pouzivat co nejnovejsi a nejkrupavejsi verzi OS .....
Proste pokud to stavajici vyhovuje pro danou potrebu, tak proc to nepouzivat dale?
Stejne jako se porad pouzivaji diskety 3.5'' pro CNC sroje - i kdyz uz jsem videl par projektu, kde byly nahrazeny disketove jednotky prevodnikem/e­mulatorem s SD kartou :-)

> svět IT nemá ke skutečně klidnému spaní správců IT o nic blíže než před půl stoletím.

Na základe akých dát ste prosím dospeli k tomuto záveru?

Na zaklade jakych dat predpokladate opak?
V roce 1974 tezko mohl vedet svet v kratke dobe o bezpecnostnich incidentech ci zranitelnostech. A rychle se pripojit se zanedbatelnymi naklady k tolika pocitacum.
Jaka data potrebujete? Staci vam ucebnice dejepisu?

Tak vinik se konecne nasel. Za vsechno muze EU.
https://www.forbes.com/sites/davidphelan/2024/07/22/crowdstrike-outage-microsoft-blames-eu-while-macs-remain-immune/

Mlžení ... To jako má Apple lepší programátory než Microsoft a ostatní? Že někomu se to stane a někomu ne?

Občas je lepší to hnědé nerozmazávat, aby nebylo vidět, kde všude je to hnědé a smradlavé ... a kolikrát už to kdo podělal.

Tohle:

“In 2020, Apple told developers that its MacOS operating system would no longer grant them kernel-level access,”

Je sice pravda, ale zapomnělo se dodat, že dodnes (>4roky) Apple nedodal API na spoustu věcí, které šly udělat pomocí KernelExtension. Takže dodnes někteří uživatelé musí snížit zabezpečení macOS, aby mohli nainstalovat nějaký ovladač a používat ho.

Namátkou třeba iSCSI initiator, který se prostě na novějším macOS musíte nejlépe sám zkompilovat (protože výrobci už to vzdali a přestali to vyvíjet/dodávat) a vypnout zabezpečení a nainstalovat jako kernel extension. Takových případů je víc a nejsou to zase tak okrajové záležitosti jako tenhle případ iSCSI.

To má být omluva pro to, že v CrowdStrike nemají QA nebo co?

Tak největší chyba byla ta, že CrowdStrike neměl pořádnou CI pipeline, a že ani jeden počítač v jejich síti takto nezkusili aktualizovat, než tu aktualizaci distribuovali pro "všechny". Je to celkem epic když si člověk představí, co je jejich business.

Doteď jim ty nedostatky procházeli, ale na každého jednou dojde.

mě spíše zaráží, že chybný soubor poslal do kytek celý kernelový modul. Myslíš, že tohle je jediný bug v jejich kódu? Soubor přímo parsuje modul s nejvyššími oprávněními a nenechává to na user space procesu, tohle tak trochu vypadá jako slušná vrata do systému.

Ta chyba při testování nebo chybějící CI mě asi tolik nevadí, to je provozní selhání a to se může stát.

Tohle je vlastnost widli, kuprikladu kdyz v tuxovi zkusis loadnout vadnej modul, prevazne ti to odstreli jen ten modul, zatimco widle lehnou cely.

Neni ani zadnou vyjimkou, ze ti widle sejme uplne obycejna aplikace, nemusi mit ani zadny extra opravneni ani bezet jako driver.

Proste kvalitni system ...

Ta chyba při testování nebo chybějící CI...

Zrovna u tohoto je i provozní selhání dost kritické - mám kritickou infrastrukturu, tak ji musím ekvivalentně testovat. Takže v tomto případě je i toto provozní selhání kritické.

a kdo jí má kritickou? Crowdstrike nebo ty jako jejich klient? Uživatel pustil do produkce od Crowdstrike něco, co nebylo jím otestované, to je opravdu velké selhání.

Dnes máme dobu, kdy testování se dává na pozadí a spíše se testuje formou postupného nasazování a sledování jak si to vede (viz i nápravná opatření samotných crowdstrike nebo to, jaké nástroje poskytuje MS). Nová generace vývojářů nemá moc ráda testy a proto bych dneska argumentování, že pokud selže CI, je to kritická chyba nepoužil. Důležitost CI a jeho spolehlivost padá k zemi.

Jak koukám, nikde nevidím, že by Crowdstrike klientům sliboval jak sofistikované má CI, co vše dělá než něco uvolní, očividně jen klienti očekávají, že to má. To je dost naivní přístup.

Jenže uživatel právě NEMÁ kontrolu na aktualizacemi. Takže ten míč je právě na druhé straně hřiště. Postupné vypouštění aktualizací je až plánovaný důsledek této chyby.

Ale se zbytkem souhlasím. Ono to souvisí s komplexitou věcí a rozdílností prostředí. Takže pořádné testování na straně dodavatele je asi příliš drahé v porovnání s benefitem.

Ono tech crashu, false positives a podivnych side efektu bylo spousta.
Kdo s timhle SW ma zkusenosti tak to muze potvrdit.
Buhuzel se to tlacilo na silu uplne vsude a securitaci se vymlouvali, ze admini jsou az moc paranoidni.

PS: Nastesti to malokdy uplne odstrelilo produkci, vetsinou kvuli tomu padal SW uz pri instalaci. Anebo to nahodne blokovalo Ansible automatizaci.

No mam radost. Budeme u nas CS zavadet. "Nastesti", zatim ne do serverove infra.

Ale to blokovani ansible me desi uz ted.

mě zase děsí použití ansible :)

Lze vůbec nesvěřit vlastní IT bezpečnost někomu třetímu?

Ano lze. Tahle věta je totiž tupý marketingový blábol.

K celé té CrowdStrike akci jsem se nevyjadřoval a jen jsem četl komentáře. Co mě dost nepříjemně překvapuje je, kolik lidí z IT prostě jen tupě přebírá "tohle strašně nutně potřebujeme". Ne, nepotřebujeme. Nikde, v žádné zprávičce jsem neviděl ani jednu statistiku, kolik reálných hrozeb (aplikovatelných na chráněný systém v jeho aktuální konfiguraci) tento sw skutečně ochránil. A už vůbec ne, co by se vlastně stalo (jestli vůbec něco) kdyby se nějaký červík skutečně na ten chráněný systém dostal.

Strach je věc, kterou se dobře dají ovládat lidi, firmy.

> A už vůbec ne, co by se vlastně stalo (jestli vůbec něco) kdyby se nějaký červík skutečně na ten chráněný systém dostal.

Třeba tohle: https://zdopravy.cz/ochromene-rsd-systemy-jsou-po-kyberutoku-uz-48-hodin-nedostupne-114293/

ŘSD

Těžkej nezájem. Jestli se jim dodnes nepodařilo obnovit všechny soubory, tak by mě potom zajímala jejich definice slova záloha a archiv.

Tak archiv snad neslouzi k obnove ne? Nebo kcemu jsou mi v lepsim pripade tyden stara data? Kolik uz tu bylo informaci ze ransomware to vzal i se zalohou.

Jasne muzu zkusit z archivu kus postavit zpatky, ale stale bude chybet zbytek... (prekvapive ty aktualni)

Je celkem dost odvetvi kde nemit 1h dat je celekm problem.

Tohle co rikas je jen hazeni rameny...

A ty si jako myslis, ze kdyz ma nekdo totalne chorou a zcela nefunkcni infrastrukturu, ze to zachrani instalace nejakeho mallware, o kterem vlastne ani nikdo nevi, co to dela?

Mimochodem, prave sem mluvil s clovickem, kterej s tim ma pomerne obsahle osobni zkusenosti, a potvrdil mi, ze vetsi jebku vzivote nepotkal, ze to neustale rve na vecech zcela neskodnych zato aktualni hrozby to zna ... mozna za mesic. Jako vsechny podobny kramy. Navic se kvuli tomu dejou neustale ruzne "divne veci", ktere se na strojich bez toho ... nedejou.

Takze zjevne dobrej oddil ...

Ale stejne dobri jsou u MS ....

https://www.ghacks.net/2024/07/25/windows-latest-security-update-is-causing-huge-issues-for-some-users/

Specielne domaci useri s home verzi widli musi byt nadseni ...

O tomhle vetsinou rozhoduje C**/management, takze lidi z IT s tim moc nezmuzou.

Ale tohle je komplexní nástroj, společně s forticlientem a avectem je to takový kombo, který minimalizuje cokoliv co by mohl uživatel napáchat. Jednak to uživatele omezuje (ve všem, přístupu k SW, HW, včetně filtrování webového obsahu) a druhak to loguje co který uživatel dělá a reportuje jakékoliv porušení pravidel.
Když se proflákne že to (skrytě) reportuje i zapomenutý keygen.exe na flešce (ze který si nebohý pracovník chtěl pustit mp3 při práci do sluchátek) šéfovi, tak si každý rozmyslí aby náhodou i na normálním webu nezahlíd ani nic co vzdáleně připomíná holý zadek. Od jisté doby už firemní notebooky nejsou benefit ale nástroj jak donutit zaměstnance aby na něm jenom makali.

mně připadá, že se ty společnosti občas naprosto zbláznili. Ty nástroje dělají stanice dost nepoužitelné a přitom to množství útoků a kompromitací nesnižuje.

Dnes se člověk dostává opakovaně do absurdních situací, zaměstnanec dostane roční přehledy, ale pokud si je někam pošle nebo nahraje, je mu zablokovaný účet, protože sdílel osobní data zaměstnanců.

Úřady po mě i dnes běžně chtějí data na usb disku nebo cd, ale firemní moderní počítače mi nic takového nedovolí použít.

SSO se dnes používá už všude, není vyjímka, když u klienta musím svoje hlavní heslo zadávat i 50x denně, protože kdejaká volovina chce přihlašování a přitom to nazývají "SSO".

Monitorovací a auditovací nástroje reagují na každou nečekanou aktivitu a hned to dávají za vinu uživatelům, uživatel se stane obětí útoku (či prostě mu přišel email a ten něco provedl), hned mu je zablokovaný účet a stanice. Argument, že to je dost slušný DoS a že se takhle dá společnost ohrozit nikdo moc neuznává. Nemluvě o nekončím spamu reportů do emailu, který mi říkají co jsem jak a kde dělal špatně.

Vlastně korporátní svět si z IT bezpečnosti udělal pěkný bizár.

"že se ty společnosti občas naprosto zbláznili"

To ti nepripada, to je realita.

Sedi tam nejakej memezer ... a tomu jde vyhradne o to, aby to nebylo na nej. Takze najmout nejakyho dodavatele at uz cehokoli, je nejlepsi reseni = za to muzou oni.

Hromadit jakykoli logy specielne ze stanic a obzvlast z widli, natoz na ne jakkoli reagovat = setrvale bude kazda jedna locknuta a lidi nebudou moct delat vubec nic. Jen pro zajimavost ... jeden srv, pouziva ho tak 5 lidi ... denne je tam cca 100-150 failnutych pokusu o login ... od tech lidi. Proste neumej zadat svoje heslo. Kdyby jim to po 2-3 pokusech bloklo ucet, nedelam celej den nic jinyho nez povolovani uctu.

A to nemluvim o tom (vyzkouseno) ze na spoustu firem se da presne takhle velmi snadno zautocit. Loginy si stahnes z webu (email typicky funguje) a pak staci cas od casu pokus o login, a ucet bude trvale terminovanej.

Neumej a nebo migruji mezi klavesnicemi a tak dochazi k omylum? Zkousel jste si taky nekdy zadavat heslo v neforemnych rukavicich?
Lidi od bezpecnosti musi resit i tyto aspekty. Kak moc je uz moc.
Nebo jestli nenahradit pwd login passwordless.

Neumet a mylit se je dost velky rozdil v pojmech.

Korporát jsem vyzkoušel jednou... znovu už tam pracovat nejdu. To by musela být jo extra výjimka, už toho prostředí mám dost.

Chceš něco udělat <čas přihlašování, dostávání se přes všechny security shity 15 minut> čas reálné práce 1 minuta. :D

Jedna vec je co chce technik, inzenyr, arch a druha vec co ti rekne CISak a jak k tomu pristoupi management. Ten casto funguje stylem ze resi to produkt XY, koupime ho a problem vyresen. Co tam mame dal...
Jenomze securitak casto nema odpovednost za provoz. A nasazeni bezpecnostniho softu muze znamenat mnohem vetsi riziko nez jeho nenasazeni.
Jsou firmy ktere se treba rozhodly jit treti cestou. Pouziva kombinaci vice produktu na ruznych prostredich. Pripadne jsou systemy zcela oddelene.

ClownStrike

https://www.theregister.com/2024/07/24/crowdstrike_validator_failure/

Dneska trošku oddálím pohled a vezmu to ze široka.

Začal bych tím, že bych Microsoft označil v každé zemi za ohrožení národní bezpečnosti, beze srandy, bez nadsázky.

To, že jsme šíleně závislí na cloud-based službách "Managed services", ano, to je špatně, ale vlastně nevím, co s tím moc dělat. Spíš je to neřešitelný. Například, ony ty letadla fakt to spojení potřebují a samotné si ve vzduchu neporadí. Takže tuto závislost zde nebudu rozebírat.

Microsoft Windows, ačkoliv má jakékoliv kvality (Pokud-li zde o kvalitách můžeme vůbec mluvit, tak každý OS někdy spadne. Prostě to se děje... všichni to známe. Blbý update, ujede ruka při konfiguraci nebo se přehlédne, je to jedno. Windows je absolutně nedořešený a vzhledem k tomu, že ho používají zcela určitě ve veřejném sektoru, tak by země, vlády měly na Microsoft zatlačit ve vlastním zájmu.

Operační systém by měl mít vyřešenou situaci, když padne. Jak že ji má Windows vyřešenou? Aha! Nemá! Ano, jsou tu body obnovení, které:
1. Obnova trvá dlouho
2. K bodům obnovením se lze dostat pouze pokud OS nějak funguje.

Na Linuxu s Btrfs to známe. "Jejda ono se to pojebalo, no nic, tak nabootuji do jiného Snapshotu" situace je během momentu vyřešená. V OpenSUSE Tumbleweed to zvládne i cvičená opice. Vybere se snapshot, nabootuje, jsou tam data co potřebuji/funguje ten systém? Jsou/funguje! Označím jako default snapshot a dám reboot. Pokračuji dál v práci. Nikdo nemusí volat IT experty, atd.

Proč něco jako Btrfs nemá Windows? NTFS v3.1 má poslední release 2001... na tom vážně běhají dnešní Windows?

A proč to označuji jako národní bezpečnost? My jsme hodně arogantní a naivní v tomto. Čína přešla na Linux v armádě, vládě již dávno... doslova stačí, když shodí celý Microsoft a my během válečného konfliktu nedáme do kupy ani civilní infrastrukturu pro evakuaci, zásobování...

Běžte se podívat na jejich web, ještě pár let a můžeme začít v tomto Čínanům závidět. :)
https://www.openkylin.top/index-en.html
https://en.wikipedia.org/wiki/Kylin_(operating_system)

By 2019, the NeoKylin variant is compatible with more than 4,000 software and hardware products, and it ships pre-installed on most computers sold in China. Together, Kylin and Neokylin have 90% market share of the government sector.

China has developed more secure operating software for its tens of millions of computers and is already installing it on government and military systems, hoping to make Beijing’s networks impenetrable to U.S. military and intelligence agencies.

My tu budeme řešit hovna, bambilion dister k hovnu, pokud nejsi techno glum, mainstream Windows OS, co je k hovnu. A buuu to licenčně nejde zkompilovat a to nemůže být v repozitáři... xD Jediný adept na lehký potlesk je MacOS.

Fakt... říkám na rovinu, měli bychom se už všichni probudit. Tlak na Microsoft je potřeba a to dost velký. Toto je poprvé, co jsme viděli, že už nejde jen i business CrowdStrike nebo Microsoftu. Tady začíná být v sázce mnohem víc... samotná existence a legitimita technické vyspělosti civilizovaného, demokratického světa.

Pust na to vrchniho pijata, ten to zaridi, stejne jako zaridil prijimacky nebo stavebni rizeni ...

Jen taková paralela: globální kolaps počítačů kvůli chybě v bezpečnostním software, zavřená letiště..., copak mi to připomíná? Přeci film Síť z roku 1995, se Sandrou Bullock!
Jen ani scénáristé před třiceti lety neměli dost odvahy udělat ten kolaps plně globální, a (pochopitelně) šlo tam o zlý úmysl, nikoliv chybu.

Ale ono o zadny vylozene globalni kolaps ted taky neslo. Ano, "neco" nefungovalo - ale fakt to neznamenalo, ze by nevzlitlo vubec zadny letadlo, neodjel zadny vlak, nevydal se zadny lek atd. A holt bulvarne ladene zpravodajstvi vam bude vypichovat jen veci, co nefunguji... ale to ostatni okolo, co fungovalo se bere jako samozrejmost.

Jinak samozrejme "neco nefungujiciho" se kolem nas vyskytuje i bez tech pocitacu. A taky pomerne casto, kazdy den neco. A nektere incidenty jsou pro ten bulvar uz takova "nuda", ze se o nich a jejich dopadech ani neinformuje.

Klasika tady, nějakej idiotskej software shodí Windows a může za to Microsoft.
NE, NEMŮŽE! Windows dává člověku svobodu nainstalovat si, co chtějí. Pokud si nainstalují CrowdStrike, tak dobře jim tak.

Jinak my máme v práci něco podobného - FortiClient. Na těch stanicích, kde je nainstalován, se nedá pracovat, půlku pracovní doby člověk čeká. Nechápu, ale ono to v tomto případě nevadí.

Microsoft nemůže za to, že Windows nemá vyřešenou situaci, že pokud Windows (je jedno na co) spadne a jak je rychle nahodit například skrz snapshoty, jaké má Btrfs? AHA?! xD

Má - body obnovení systému. Asi ti nefungovalo, ale proč netuším. Jestli to měli vypnutý nebo se ten ovladač nas.al někam, kam neměl a ty body obnovy znefunkčnil, nevím, ale zásadní chyba je si do systému strkat podobné nesmysly jako CrowdStrike. Obnovování není příčina!

Nefunguje na Windows bod obnovení až po nabootování?

Tak predne se bavime o ukonech, co ve zcela obecne rovine vzdy vyzaduji administratorska opravneni. Ty potrebujete i na obnovu toho snapshotu. Tohle fakt nejsou cinnosti, ktery sverite do rukou koncovym uzivatelum - a ani se obvykle nedeji samy od sebe (ani na tom btrfs).

To je zajimavy, ze treba kazdej switch to umi ... asi zazrak. Sam od sebe. Kdyz se tam da nova verze SW, a nenabootuje to, tak se proste restartne s tou, ktera tam byla predtim ze? Neuveritelna technologie ...

Zadny admin k tomu vubec nemusi prijit.

Dokonce to typicky ma jeste treti system, vypaleny z vyroby a nepreflashovatelny. To vse vyhradne proto, aby to v kazdem pripade ... nastartovalo ze?

Kazdy switch to fakt neumi. Nerikam, ze takove zarizeni neexistuji, ale rozhodne to neplati univerzalne. A nekdy to neni ani tak navrat k predchozi verzi, jako nahodne vylosovani nejakeho image z boot flash. Coz nekdy take napachat vic skod nez uzitku... ono i konfigurace (nedejboze zpusob jejich ukladani) se meni a muze to byt tak trosku nekompatibilni. A ten "nesmazatelny" software bych rad videl, vetsinu boxu co mi prosla prackama (a neni toho malo) vam spolehlive uvedu do stavu, kdy nebootnou... a staci k tomu jen smazat tu boot flash :D ROM monitor aka BIOS fakt nepovazuju za plnohodnotny system.

"NE, NEMŮŽE!"

Ale ano, muze ... system ktery se necha shodit aplikaci je vadny.

Tak a ted zbyva malickost... ukazat nam system, kde se to nikdy nestalo :-) Ono i Linux jde nekdy shodit z userspace. Treba uz jen proto, ze ani kernel neni bez chyb.