Максим Гришин

Необходимые условия для использования AppLocker

Сайт взломан, залит какойто зловред.
Возможно он не один,
1. нужно найти и устранить уязвимость через которую он был залит
2. Вычистить зловреда.

Не называйте модули свои так же, как и библиотеки используемые

Нужен резолвер поумнее стандартного. BIND например а в нем что то типа такого:

zone "." IN {
    type forward;
    forward only;
    forwarders {internet;};
};

zone "private-lan.corp" IN {
    type forward;
    forward only;
    forwarders {private;};
};

Похожее есть и в других, к примеру точно есть в adguard home.
Так же есть такая фича в systemd-resolved. Читал но не пробовал лично.

Без просмотра кода все советы вообще ни о чём.
Скорее всего генерация строк идёт быстрее чем их обработка.
И скорее всего идёт неправильная (не оптимальная по памяти и производительности)
обработка, возможно вообще всё может работать сильно быстрее и без всяких потоков.

У Speedtest множество серверов по всему миру и при тестировании скорости он пытается выбрать оптимальный. Довольно часто бывает так, что этот оптимальный сервер расположен на площадке вашего провайдера, поэтому при тестировании измеренная скорость до него будет примерно равной тарифной скорости вашего интернет-подключения. Попробуйте повыбирать другие сервера, и результаты сразу могут стать намного хуже.

никак.
Это можно решить на уровне собственной автономной системы и полноценной bgp маршрутизации. Но это совсем другие деньги, знания, оборудование.

Разместите сервер на колокейшене в большом ДЦ с несколькими каналами. и тогда это будет не ваша проблема.

В шаблоне сертификата должен быть разрешен экспорт с private key.
Видимо вы используете шаблон, где это не включено.
Создайте шаблон на базе нужного вам и отредактируйте его.

Вы делаете какой-то гибрид между ACL и RBAC.

ACL проще изначально, но с ростом проекта превращается в адовую лапшу.
RBAC на простых проектах кажется оверкиллом, но это очень удобно.

Если коротко: У вас есть юзеры.
Каждый юзер состоит в одной или сразу нескольких группах.
У каждой страницы есть список, каким группам туда можно заходить, а каким нет.
Допустим на /login можно вообще всем, на /admin только тем, кто в группе администраторов и так далее.

Еще один плюс использования стандартных решений: уже есть гайды и даже готовые библиотеки
https://www.google.com/search?q=js+rbac

но возможно и нет другого решения

множество их https://en.wikipedia.org/wiki/Role-based_access_co... в этом списке далеко не все.

Зашифруйте данные EFS, каждый своим ключем (но с осторожностью, обычно все попытки так отгородиться - приводят к печальным последствиям, особенно с EFS т.к. это очень прозрачно и на первый взгляд очень легко и хорошо работает - потом сбрасывают пароль или переустанавливают ОС без сохранениня ключей и всё данных больше нет.)

Запрет можно выставить, но с правами администратора его легко убрать.
Стандартными средствами Windows - никак.

Хех, я так пронял, Вы схитропопить решили и подсунуть в CA обычный сертификат от комода, в расчете на то, что примет и можно будет выпускать сертификаты, в итоге подписанные комодом?
Не, так не пойдет. Сертификаты CA - имеют специальную пометочку "я CA", которую комод Вам никогда не поставит.
Вам нужно свой сертификат сгенерить, но он разумеется будет валидным только внутри Вашей конторы и то при условии распространения его политиками.

Вот руководство
https://www.itsfullofstars.de/2018/09/openvpn-assi...
Или так
https://openvpn.net/vpn-server-resources/assigning...