微软平衡内核驱动的使用与安全供应商,通过集成功能增强 Windows 安全性
- • **内核驱动程序:平衡之道:**内核驱动程序提供深度可视性和防篡改功能,但由于其特权地位,可能会破坏系统的稳定性。安全供应商应尽可能减少内核的使用。
- • **安全软件的最佳实践:**将内核模式传感器限制在必要的数据收集和执行上。将大部分产品功能(更新、解析)移至用户模式,以便于恢复。
- • 增强安全性的 Windows 工具:
- • 基于虚拟化的安全 (VBS) Enclaves 和受保护的进程提供用户模式的防篡改保护。
- • Windows 事件跟踪 (ETW) 和反恶意软件扫描接口无需内核访问即可提供事件可见性。
- • Microsoft 与安全供应商的合作: Microsoft 病毒计划 (MVI) 促进 Microsoft 与安全供应商之间的对话和合作,以提高平台可靠性。MVI 成员可从技术简报、Microsoft 产品团队的反馈循环以及 ELAM 和受保护进程等反恶意软件功能中受益。
- • **驱动程序质量保证:**所有由 Windows 硬件质量实验室 (WHQL) 签名的驱动程序均经过严格测试,包括模糊测试、静态代码分析和运行时驱动程序验证。通过 Windows 更新分发的驱动程序还会经过测试和逐步推出,以确保在广泛发布之前的质量。
- • Windows 安全增强功能:
- • 增强的网络钓鱼保护: Microsoft Defender SmartScreen 可阻止网络钓鱼攻击。删除 WDigest SSO 并使用 CredGuard 保护 AD 设备帐户可减少密码暴露。强调多因素身份验证 (MFA),尤其是针对 MSA 和 Entra 用户。
- • 减少安全事件: Windows 通过以下方式最大限度地减少漏洞:
- • 从可信来源运行的通用日志文件系统可防止篡改。
- • 将工具提示 API 从内核移至用户模式,减少攻击面。
- • 通过删除不受信任的驱动程序来实现打印堆栈的现代化。
- • 将 DPAPI 加密从 3DES 升级到 AES,以获得更强大的保护。
- • 将 TLS 1.3 设为默认协议,并禁用 TLS 1.0/1.1。
- • 操作系统锁定: Windows 采用:
- • 默认启用 Microsoft 易受攻击的驱动程序阻止列表,以防止恶意驱动程序加载。
- • Windows 硬件兼容性计划 (WHCP) 为第三方驱动程序安全强制执行基准。
- • 智能应用程序控制(预览),允许组织创建仅允许受信任的应用程序运行的策略。
- • **安全启动和测量启动:**这些功能通过在启动过程中强制执行代码签名来防范早期启动恶意软件和 rootkit。测量启动使用 TPM 硬件进行加密测量,从而实现设备健康证明。
- • **内存完整性 (HVCI):**防止内核中的运行时代码生成,确保控制流完整性并使攻击者更难注入恶意代码。
- • **Microsoft Defender 防病毒软件:**默认启用,为整个操作系统提供全面的反恶意软件保护。
- • 增强安全性的最佳实践:
- • 使用企业应用程序控制(以前称为 Windows Defender 应用程序控制)创建严格的策略,仅允许受信任的应用程序和驱动程序。这大大减少了恶意软件和“靠土地生存”技术的攻击面。
- • 将内存完整性与特定的允许列表策略相结合,以获得更强大的内核保护。
- • **以标准用户身份运行:**鼓励用户以标准权限运行,仅在必要时提升权限。这可以限制成功攻击造成的潜在损害。
- • **设备健康证明 (DHA):**使用 DHA 监控设备的安全合规性,包括基于硬件的测量。这可确保高水平的安全保障,尤其是在高可用性场景中。
廉价的条形码扫描器帮助快速修复了 CrowdStrike 的 Windows PC
- • 问题: CrowdStrike 发布了有缺陷的测试软件,导致数百万台 Windows 计算机(包括 Grant Thornton 的计算机)出现可怕的蓝屏死机 (BSOD)。这意味着用户无法访问他们的计算机。
- • **BitLocker 加密:**所有 Grant Thornton PC 都使用 BitLocker 加密,重启后需要 48 个字符的密钥才能恢复。手动为数百台机器输入这些密钥不切实际且有风险。
- • **条形码扫描仪解决方案:**高级系统工程师 Rob Woltz 记得,Windows 在启动时将条形码扫描仪视为键盘。这引发了一个想法:
- • 他们编写了一个脚本,将每台 PC 的 BitLocker 密钥转换为锁定的管理服务器上显示的条形码图像。
- • 他们购买了便宜的条形码扫描器(约 36 美元)。
- • **工作原理:**当用户重新启动 PC 并提示输入 BitLocker 密钥时,他们只需扫描服务器屏幕上的相应条形码即可。扫描仪会像输入密钥一样输入密钥,无需手动输入。
- • **扩大规模:**为了快速修复所有电脑,致同购买了更多扫描仪,并建立了一个系统,远程员工可以将他们的电脑带到办公室,让 IT 人员扫描条形码。
- • **结果:**这个巧妙的解决方案使他们能够在周一午餐时间之前恢复澳大利亚的所有 PC,每台机器仅需 3-5 分钟。手动修复每台服务器大约需要 20 分钟。
同步多线程 (SMT) 提高了 CPU 资源利用率,但可能会带来性能权衡和安全漏洞
- • 什么是 SMT? SMT 是一种允许单个 CPU 核心同时执行多个线程的技术。可以将其想象成在物理高速公路车道内有虚拟车道 - 汽车(线程)可以同时向前行驶,即使它们共享同一空间。
- • SMT 如何工作?
- • SMT 复制处理器执行单元的某些部分,允许同时处理多个线程。
- • 这些线程之间经常共享诸如缓存和功能单元之类的资源。
- • 性能优势:
- • 提高资源利用率: SMT 可以更好地利用 CPU 核心的资源,尤其是在工作负载需求变化时。如果一个线程停滞(例如,等待数据),另一个线程可以利用可用的处理能力。
- • **提高吞吐量:**通过同时运行多个线程,SMT 可以潜在地增加单位时间内处理的总指令数量。
- • 性能权衡:
- • **资源争用:**共享缓存等资源的线程可能会争夺访问权限,在某些情况下会导致单个线程的性能下降。
- • 上下文切换开销: 线程之间切换会产生少量开销,如果切换频率较高,则会影响性能。
- • 安全问题:
- • 数据泄露: SMT 的共享资源和推测执行(在确认指令之前预测并执行指令)可能会产生漏洞,使攻击者有可能从其他线程访问敏感数据。
- • 何时使用SMT:
- • 通用工作负载: SMT 通常对涉及混合任务的工作负载有益,使 CPU 能够更高效地处理它们。
- • **性能优化:**在绝对最大性能至关重要的场景中,禁用 SMT 可能是更好的选择,以确保单个线程对所有资源具有独占访问权。
- • **SMT 的未来:**出于安全方面的考虑,人们对 SMT 的未来存在争议。一些专家认为,SMT 可能会被逐步淘汰,取而代之的是其他并行方法。
Opslane 是一个开源工具,它利用 LLM 和 Slack 集成来对警报进行分类、提供调试上下文并分析警报模式以减少噪音
- • Opslane 的使命: Opslane 旨在通过减少警报疲劳来缓解值班压力。它通过 Slack 中的智能警报分类和上下文信息传递来实现这一目标。
- • 主要特征:
- • 警报分类: Opslane 利用大型语言模型 (LLM) 将警报分类为可操作或嘈杂。此分类基于历史警报数据和与这些警报相关的过去 Slack 对话的分析。
- • Slack 集成: Opslane 直接在指定的 Slack 频道内运行,值班团队可在此接收警报。它提供有价值的见解和额外资源,以帮助调试可操作的警报。
- • 分析仪表板: Opslane 提供每周报告,分析特定 Slack 频道收到的警报质量。此分析有助于识别警报行为的模式,并允许直接从 Slack 中静音嘈杂警报。
- • 开源性质: Opslane是一个开源项目,鼓励社区贡献和协作开发。
- • 建筑学:
- • 警报提取: Datadog 通过 webhook 将警报发送到 Opslane 的 FastAPI 服务器。
- • **FastAPI 服务器:**这个核心组件处理传入警报、与 Slack 交互并管理数据流。
- • **Slack 集成:**为 Slack 内的警报管理和交互提供用户友好的界面。
- • **数据库:**利用带有 pgvector 的 PostgreSQL 存储警报数据和嵌入(可能用于相似性搜索和 LLM 集成)。
- • 集成: Opslane 目前支持 Datadog,但采用灵活的数据模型设计,以适应未来与其他监控工具的集成。
- • 安装和使用:
- 1. 克隆存储库。
- 2. 使用您的 Slack、Datadog 和 OpenAI API 密钥配置环境变量。
- 3. 使用 构建并运行 Docker 容器
docker-compose up --build。 - 4. 将 Opslane 机器人添加到您接收警报的 Slack 频道。
- 5. 配置 Datadog 以向 Opslane 的 webhook 端点发送警报。
然后,Opslane 将自动分析传入的警报并直接在您的 Slack 频道内提供见解。
柯南道尔在《血字的研究》中运用阁楼隐喻来说明选择性知识获取的重要性
- • 大脑就像阁楼: 阿瑟·柯南·道尔在他的小说《血字的研究》中用阁楼来比喻人类的大脑。他认为我们的大脑一开始是空的,就像一个新建的阁楼。
- • **装饰阁楼:**就像我们用精心挑选的物品装饰阁楼一样,我们也应该有选择地用知识和信息填充我们的头脑。
- • 愚人与熟练工人: Doyle 对比了两种类型的学习者:
- • **愚人:**这种人会不加区别地收集他们遇到的任何信息,导致思绪混乱、无序,有用的知识丢失。
- • **熟练工人:**这种人对学习内容很有选择性,专注于获取与他们的目标相关的工具(知识)并使其保持井然有序。
- • **容量有限:**道尔强调,大脑存储信息的能力是有限的。他将其比作一个墙壁固定的阁楼——空间是有限的。
- • **遗忘的后果:**当我们增加新知识时,我们可能会忘记旧信息。这凸显了优先考虑我们所学内容并确保其真正有价值的重要性。
StreamPot 是一个开源 API,用于对具有排队和 S3 存储的媒体文件运行 ffmpeg 转换
- • StreamPot:媒体转换框架
StreamPot 是一个开源项目,旨在简化应用程序内的媒体转换。您可以将其视为一个工具包,用于执行诸如剪辑视频、提取音频和格式间转码(例如将 MP4 转换为 WebP)等任务。
- • 为什么选择 StreamPot? 各种项目对媒体处理的需求日益增加,这导致了 StreamPot 的诞生。它旨在提供一种标准化且高效的方式来处理这些常见的转换。
- • 怎么运行的:
- • 服务器端处理: StreamPot 在服务器上运行,允许您从客户端应用程序中卸载计算密集型的媒体任务。
- • 客户端库: JavaScript 库 (
@streampot/client) 可实现与服务器端代码的无缝集成。您可以初始化 StreamPot 客户端、指定输入媒体(例如 URL)、定义转换(开始时间、持续时间、输出格式)并提交作业进行处理。 - • 作业管理: StreamPot 处理转换作业的排队和执行。
- • 示例工作流程:
假设您想从视频的第 1 秒处剪辑一段时长为 2 秒的片段。使用客户端库:
- 1. **初始化:**创建一个
StreamPot客户端实例,将其指向您的 StreamPot 服务器的 URL。 - 2. **输入:**提供输入视频 URL(例如来自 sample-videos.com 之类的服务)。
- 3. **变换:**使用
setStartTime(1)和等方法setDuration(2)来定义剪辑参数。 - 4. **输出:**指定所需的输出格式(例如“output.mp4”)。
- 5. **运行:**使用 执行作业
run()。这将返回用于跟踪进度的作业 ID。 - 6. **状态检查:**提交作业后,您可以使用该
checkStatus()方法定期检查其状态。作业完成后,您将收到转换后的媒体的 URL。 - 7. 底层技术: StreamPot 利用 FFmpeg(一种流行的多媒体框架)和 fluent-ffmpeg(FFmpeg 的 Node.js 包装器)的强大功能来执行实际的转换。
- 8. **社区和反馈:**该项目维护积极,欢迎大家贡献。如果您有想法或遇到问题,请通过电子邮件联系开发人员或考虑贡献代码。
Radxa Zero x4 SBC 评测:性能出色,但存在散热和 PoE 兼容性问题
- • **冷却:**随附的冷却器更像是一个带风扇的支架,还有改进的空间。导热垫已经破损,令人担心其质量和是否适合主板的功耗。评测人员怀疑导热垫可能太薄或已损坏。
- • 以太网供电 (PoE):
- • Zero x4 通过 HAT 支持 PoE。
- • 使用通用 PoE 交换机进行初始测试导致在负载下重置,即使将功率限制 2 (PL2) 降低至 15W 也是如此。
- • 切换到 UniFi PoE 交换机解决了该问题,但表明与较便宜的交换机存在兼容性问题。
- • **总体性能:**尽管在散热和 PoE 方面存在一些问题,但评测人员认为 Zero x4 是一款不错的产品。他们指出,使用各种操作系统映像都很简单,不过根据所选操作系统的不同,可能会出现驱动程序问题。
- • 空间限制: PoE HAT 与冷却器结合会为 NVMe 驱动器创造紧密的空间,从而可能导致过热问题。
- • **基准测试:**初步基准测试在 Ubuntu Server 24 上运行,内核为 6.8.0-39,BIOS 设置默认(PL2 为 6W 除外)。评测人员计划在下周进行进一步的基准测试和探索。
- • **未来工作:**审阅者打算研究 PoE HAT 上的风扇位置以改善冷却效果,并根据读者要求进行更深入的基准测试。
