BigElectricCat:
MDM сервер часть macos Server = $20. Apple Configurator — бесплатная приложуха, всё есть в стандартном магазине приложух яблока.
Насчёт «ЗЛО» — ты просто посмотри сколько вокруг яблочных телефонов... у меня на работе, например, на дроидах меньшинство (а под них нет ничего даже близко схожего по возможностям создания профилей конфигурации, только пересоздавать прошивку, что я на AtrixHD делал, но.. оно сдохло, поэтому ушёл на то, что проще использовать в работе.)
Цитата:
Такого не имею, потому, что на нём надо иметь подпись от мелкософта (сертификат которой вшит в загрузчик винды, который в момент загрузки и проверяет на валидность подписи у дров, используя открытый ключ этого вшитого сертификата.
Альтернатива: написать свой загрузчик, но как там сейчас строится загрузочный BLOB я не раздупляю, МС ещё в xp с каждым SP всё перекручивала (поэтому, собственно говоря, вся эта канитель с самостоятельной сборкой винды из компонентов и стала невозможной, мелкософт никогда не позволит сторонней конторе менять серты в загрузчике на свои,.. соответственно, с переподписыванием всех использованных компонентов для создваваемого образа).
Хотя, может тот загрузчик можно грубо хакнуть, на предмет замены серта мелкософта на свой CA и переподписыванием загрузчика легальным сертом выпущенным этим CA (сейчас мне этим заниматься совсем некогда), но если ты хочешь, то можешь поковырять в этом направлении — это будет очень полезное дело для всех пользователей виндов выше 7-ки. А в результате получишь возможность интегрировать любые свои драйвера (естественно с переподписыванием всего остального, но уже сертом, который ты выпустишь сам). Так можно и secure boot решить, добавив свой CA в список сертификатов зашитых в UEFI (только надо поглядеть как они там представлены, а то... я вот все новые серты делаю с ЕС криптографией и ключами в 256 бит — тупо меньше места, но много железа и софта их просто не умеют, только RSA.. вот столкнулся с тем, что Сanary mail их тоже не умеет, ни EC PGP, ни стандартные сертификаты s/mime с EC криптографией, а вот стандартная «Почта» на macos/ios умет, что меня несказанно удивило и порадовало).
PS: всем советую, если у вас есть свой, конторский или какой либо почтовик в админстве: поднимайте PKI, выпускаете серты и заставляете своих пользователей пользоваться s/mime, в тему лучше писать что-то отвлечённое от содержимого письма, она не шифруется.
А всё потому, что госчинуши, которые решили, что деньги государства — это деньги чинуш... оборзели выше необходимого, надо их начинать трахать в голову невозможностью всей их армии холуёв решить сложную математическую задачу в виде стойкой криптографии.
RSA с ключи кратным 1к лучше не пользовать, уже ломается (у меня есть знакомец в избушке, который любит похвастаться своими железками за 100500 хулиардов), а где нельзя использовать EC, пользуйте ключи 3936 бит.
MDM сервер часть macos Server = $20. Apple Configurator — бесплатная приложуха, всё есть в стандартном магазине приложух яблока.
Насчёт «ЗЛО» — ты просто посмотри сколько вокруг яблочных телефонов... у меня на работе, например, на дроидах меньшинство (а под них нет ничего даже близко схожего по возможностям создания профилей конфигурации, только пересоздавать прошивку, что я на AtrixHD делал, но.. оно сдохло, поэтому ушёл на то, что проще использовать в работе.)
Цитата:
лучше для начала поделился "бутовым драйвером" который раз и навсегда отключит проверку ЦП для драйверов. |
Такого не имею, потому, что на нём надо иметь подпись от мелкософта (сертификат которой вшит в загрузчик винды, который в момент загрузки и проверяет на валидность подписи у дров, используя открытый ключ этого вшитого сертификата.
Альтернатива: написать свой загрузчик, но как там сейчас строится загрузочный BLOB я не раздупляю, МС ещё в xp с каждым SP всё перекручивала (поэтому, собственно говоря, вся эта канитель с самостоятельной сборкой винды из компонентов и стала невозможной, мелкософт никогда не позволит сторонней конторе менять серты в загрузчике на свои,.. соответственно, с переподписыванием всех использованных компонентов для создваваемого образа).
Хотя, может тот загрузчик можно грубо хакнуть, на предмет замены серта мелкософта на свой CA и переподписыванием загрузчика легальным сертом выпущенным этим CA (сейчас мне этим заниматься совсем некогда), но если ты хочешь, то можешь поковырять в этом направлении — это будет очень полезное дело для всех пользователей виндов выше 7-ки. А в результате получишь возможность интегрировать любые свои драйвера (естественно с переподписыванием всего остального, но уже сертом, который ты выпустишь сам). Так можно и secure boot решить, добавив свой CA в список сертификатов зашитых в UEFI (только надо поглядеть как они там представлены, а то... я вот все новые серты делаю с ЕС криптографией и ключами в 256 бит — тупо меньше места, но много железа и софта их просто не умеют, только RSA.. вот столкнулся с тем, что Сanary mail их тоже не умеет, ни EC PGP, ни стандартные сертификаты s/mime с EC криптографией, а вот стандартная «Почта» на macos/ios умет, что меня несказанно удивило и порадовало).
PS: всем советую, если у вас есть свой, конторский или какой либо почтовик в админстве: поднимайте PKI, выпускаете серты и заставляете своих пользователей пользоваться s/mime, в тему лучше писать что-то отвлечённое от содержимого письма, она не шифруется.
А всё потому, что госчинуши, которые решили, что деньги государства — это деньги чинуш... оборзели выше необходимого, надо их начинать трахать в голову невозможностью всей их армии холуёв решить сложную математическую задачу в виде стойкой криптографии.
RSA с ключи кратным 1к лучше не пользовать, уже ломается (у меня есть знакомец в избушке, который любит похвастаться своими железками за 100500 хулиардов), а где нельзя использовать EC, пользуйте ключи 3936 бит.