Otwarta parę miesięcy temu z wielką pompą, zamknięta pare godzin temu przez problemy z pompą:
vod.onet.pl można przechrzcić na vodonet… bo jak widać bezpieczeństwo poniżej pierwszej warstwy też jest bardzo istotne :)
Otwarta parę miesięcy temu z wielką pompą, zamknięta pare godzin temu przez problemy z pompą:
vod.onet.pl można przechrzcić na vodonet… bo jak widać bezpieczeństwo poniżej pierwszej warstwy też jest bardzo istotne :)
Od numer majowego 2010, magazyn HAKIN9 będzie wydawany za darmo w postaci elektronicznej.
Miłego czytania i testowania ;-)
W pewnym momencie na wszystkich W2k8R2 przestało działać podłączanie się do shareów na jednym z węzłów DFS. W dodatku nie działało tylko po nazwie DNS/NetBios. Chwila konsternacji i patrzymy do logów: w security pojawiają się wpisy Authentication Failed EventId 537:
Logon Failure:
Reason: An error occurred during logon
User Name:
Domain:
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name: -
Status code: 0xC000006D
Substatus code: 0×8009030E
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.2.2.27
Source Port: 0
Dziwne.. ogólnie wygląda jakby serwer nie rozumiał biletu, który dostaje. Szybkie zrobienie klist na R2 i widać, że próbuję dostać się do serwera z access ticketem zaszyfrowanym AES-256 (kontroler domeny, to 2k8R2). Zaraz zaraz… Przecież 2003 nie obsługuje szyfrowania AES. Szybkie przejrzenie KB i wygrzebanie czegoś takiego: http://support.microsoft.com/default.aspx/kb/961302 niby dotyczy klastrów, ale rozwiązanie się sprawdza. na klientów (2008+ i Vista+) nakładamy odpowiednie GPO i śmiga :)
Jeszcze jedna niepokojąca rzecz – drugim węzłem DFS jest 2k8R2, więc replikacja się wywala, bo partner nie może się uwierzytelnić do 2k3. po restarcie powinno zacząć śmigać, jak komputery dostaną nowe bilety.
Po świeżej instalacji DPM 2010 beta wszystko działało dobrze tylko raportowanie się wywalało. Przy próbie uruchomienia jakiekolwiek raportu dostawałem śliczny błąd:
An error has occurred during report processing. (rsProcessingAborted)
Cannot impersonate user for data source ‘DLS’. (rsErrorImpersonatingUser)
Log on failed. (rsLogonFailed)
Logon failure: the user has not been granted the requested logon type at this computer. (Exception from HRESULT: 0×80070569)
Chwila grzebania i wymyśliłem, że źródło danych dla raportów jest źle skonfigurowane. Niestety URL do Report Managera nie jest standardowy w DPM2010, więc znalazłem go w konfiguracji Reporting Services:
I rzeczywiście nie było źródła DLS, ale za to było jakieś inne. sprawdziłem konfigurację DPMReporterDataSource i wyciągnąłem z niego connection string:
Wyglądał on tak: data source="DPM\MSDPMV3Beta1EVAL";persist security info=False;initial catalog=DPMDB
Więc stworzyłem nowe źródło i nazwałem je DLS
Zwróćcie uwagę, że raporty uruchamiają się w kontekście osoby, która go generuje (opcja Windows Integrated Security)
Z tak skonfigurowanym źródłem:
Teraz trzeba zmodyfikować każdy raport ustawiając nowo stworzony obiekt jako źródło danych (we właściwościach każdego raportu wybieramy Data Source i klikamy Browse):
I po takich paru prostych zabiegach raportowanie śmiga aż miło :)
Portal Virtual Study ma przyjemnośd zaprosid na sesję Pauli Januszkiewicz (MVP: Enterprise Security)
- Techniki hakerskie użyteczne dla administratora IT. Będzie to sesja dostępna online za pomocą
bezpłatnego klienta Microsoft Live Meeting.
Każdy z nas słyszał o hakerach. Doskonale wiadomo, że ich praca różni się od zadań administratora,
jednak wiele technik używanych przez hakerów może byd z powodzeniem wykorzystywanych przez
administratorów w codziennej pracy. Z tej sesji dowiemy się jak naszą infrastrukturę postrzegają
hakerzy, jakich metod używają i dzięki temu jak się przed nimi bronić. Gorąco zachęcamy do udziału
na żywo! Jakość sesji jest zdecydowanie lepsza niż nagrania; nieoceniona jest także możliwość
zadawania pytań w trakcie i po prezentacji. Przewidziane są również nagrody do rozlosowania wśród
uczestników. Sesja miała swoją premierę na TechEd 2009 w Berlinie i cieszyła się tak dużym
zainteresowaniem, że na ponad trzystuosobowej sali zabrakło miejsca dla wszystkich chętnych i
organizatorzy zadecydowali o jej dodatkowym powtórzeniu w ostatnim dniu konferencji.
Poniżej kilka wypowiedzi osób, które miały przyjemność uczestniczenia w prezentacji Pauli na TechEd
Europe 2010:
Paula pokazała metody przeprowadzenia ataków offline, wykorzystywania debuggera oraz parę
świetnych tipów dotyczących szkolenia użytkowników i administratorów. Naprawdę dobra sesja.
Brawo!
- Karol Stilger, Microsoft MVP
Paula opowiedziała o podmianie pliku binarnego usługi, enumeracji kont, białym wywiadzie,
odtworzeniu systemu po pełnym crashu - offline access, debuggowaniu crash dumpów. Sesja była
bardzo dobrze poprowadzona, a prelegentka nawiązała świetny kontakt z publicznością.
- Robert Stuczyński, Microsoft MVP
Sesja była ciekawie poprowadzona i udało mi się kilka rzeczy dowiedzieć o których nie miałem
pojęcia. Ale nie będę zdradzał szczegółów, bo może Paula będzie chciała tę sesję pokazać kiedyś
gdzieś w Polsce :)
- Mariusz Kędziora, Microsoft Polska
I ten dzień właśnie nadszedł. Już 1 lutego 2010 20:00 społeczność IT w Polsce będzie miała okazję
wziąć udział w polskiej premierze sesji Pauli: Techniki hakerskie użyteczne dla administratora IT.
Nie zwlekaj! Zarejestruj się już teraz!
Po sesji planowana jest debata na poniższe tematy:
Udział w sesji wymaga wcześniejszej rejestracji i jest darmowy. Ilość miejsc ograniczona!
************************************
news ochoczo zamieszczam na prośbę noisa. od siebie dodam, że Paulinka jest ewenementem na polskiej scenie IT - młoda, ładna, ambitna i świetna technicznie - trudno znaleźć drugą taką ^^’ a to znaczy, że obejrzeć trzeba koniecznie! jak tylko dostane owego linka
eN.
16. lutego odbędzie się konferencja System Center Technology Review 2010 i będziemy z Pekim na niej prelegentami :). Agenda:
Więcej szczegółów tutaj: http://ms-groups.pl/plgsc/SCTR2010/default.aspx
Mały tip ku pamięci – jeśli dodajesz agentów DPM-a do serwera i mimo komunikatu, że dołączenie (attatch) udał się a potem dostajesz error 270:
To upewnij się, że:
Jakiś czas temu zastanawiałem się co siedzi w aktualizacjach bazy wirusów w Forefroncie. i jak się okazuje jest KB na ten temat: http://support.microsoft.com/default.aspx?scid=kb;en-us;977939 :)
W najbliższy worek będę się produkować w M$ na temat FCS.
Agenda Spotkania:
18:00 - 18:20 - Powitanie liderzy grupy MSSUG
18:25 - 19:25 - Forefront Client Security: Wstęp - cechy, architektura, ogólne zastosowanie oraz wymagania instalacyjne FCS | Daniel Stefaniak
19:30 - 19:35 - Przerwa
19:35 - 20:35 - Forefront Client Security: Wdrożenie i zarządzanie - krótkie omówienie procesu instalacji, a następnie konfiguracji środowiska i wdrożenia | Daniel Stefaniak
Opis: W dobie Internetu komputery są wystawione na niezliczone niebezpieczeństwa, dlatego jednym z obowiązków każdego administratora jest zabezpieczenie oddanej pod jego opiekę infrastruktury. Producenci oprogramowania, widząc potrzebę rynku, zaczęli wypuszczać całe rodziny produktów mające na celu ochronę użytkowników przed atakami z sieci. Jednym z kluczowych elementów tego procesu jest zapobieganie zainfekowaniu złośliwym oprogramowaniem (malware). Firma Microsoft®, zauważywszy ten trend, wprowadziła produkt Microsoft Forefront Client Security (FCS) chroniący przed: wirusami, trojanami, wszelkiego rodzaju programami szpiegującymi (spyware) oraz rootkitami. Prezentacja dotycząca FCS-a została podzielona na dwie części:
1. Wstęp - cechy, architektura, ogólne zastosowanie oraz wymagania instalacyjne Forefront Client Security
2. Wdrożenie i zarządzanie – krótkie omówienie procesu instalacji, a następnie konfiguracja środowiska i wdrożenie
Link do rejestracji: http://ms-groups.pl/mssug/4.%20Spotkanie%20MSSUG/Lists/Rejestracja%20na%20spotkanie/AllItems.aspx
Opis: http://ms-groups.pl/mssug/Lists/Kalendarz/DispForm.aspx?ID=5
Wszystkich serdecznie zapraszam :)
Fajny wpis na temat dostrajania wydajności FCS-a na nowo wyszperanym blogu: http://blogs.technet.com/kfalde/archive/2009/12/30/determining-the-cause-of-fcs-client-performance-issues.aspx
Ogólnie znów z pomocą przychodzi ProcMon :) Mark Russinovich rządzi ;)
Na portalu WSS.pl właśnie opublikowani tryptyk moich artykułów na temat FCS. Chętnych zapraszam do czytania:
Część 1 - Informacje ogólne i przygotowanie środowiska
Część 3 - Konfiguracja i raportowanie
A za chwilę przygotuję screencast ze skonfigurowania SCCM2007R2 do współpracy z FCS.
pewien user zapytał mnie jak to jest z tym XP Mode - czy to jest bezpieczne? zacząłem zastanawiać się nad kwestiami update’u i zabezpieczenia takich maszyn [ostatnio mało czytam newsów i nie wiedziałem, że dysqsja toczy się dość mocna na ten temat]. problem faktycznie jest dość istotny, bo maszyny takie przeważnie będą miały dostęp do sieci a więc są zagrożone - hardening i update’y to dwa podstawowe zagadnienia.
nie udało mi się znaleźć informacji czy licencja na XP Mode pozwala dodać taki komputer do domeny. jeśli tak to przynajmniej w środowisq produkcyjnym można stacje konfigurować standardowymi procedurami: GPO, WSUS, SCCM - i to w dużym stopniu problem rozwiązuje.
zastanawiałem się też co się stało z Med-V - przez jakiś czas sądziłem, że może XP Mode to nowa nazwa dla wcześniej zapowiadanej usługi. i znów ciekawostka: o ile strona Med-V żyje i można na niej znaleźć m.in. taką informację:
Deploy and provision
- Deploy IT-managed virtual XP environment to end users.
- Enable customization in heterogeneous desktop environments.
- Automate first-time Virtual PC setup (i.e., initial network setup, computer name, domain join).
- Adjust Virtual PC memory allocation based on available RAM on host.
- Application provisioning based on Microsoft Active Directory® users/groups
- Assign a virtual image and define which applications are available to the user.
- Redirect web requests that require Internet Explorer 6 to the virtual XP environment.
to w oficjalnym doqmencie na temat deploymentu XP Mode nie ma informacji o Med-V - pewnie dla tego, że oficjalne wsparcie dla w7 będzie w SP1 dla Med-V na początq przyszłego roq. w każdym razie kilka podstawowych informacji o zabezpieczeniu i konfiguracji można znaleźć, chociaż ograniczają się do spisania standardowych praktyk stosowanych do normalnych stacji.
nie znalazłem jeszcze sprytnego opisu wykorzystania skryptów mountujących XP Mode i wykorzystania DISM - czyli offline servicing. a szkoda. mam nadzieję, że znajdę w końcu czas [huehuehue] albo że ktoś się weźmie za skryptowanie iXPeka w offlajnie.
todo:
eN.
Taki mały startup script do usuwania FCS-a ze stacji:
if not exist C:\UninstallFCS md C:\UninstallFCS rem uninstall Microsoft Forefront Client Security Antimalware Service MsiExec.exe /X {D3E31640-DC20-4722-A1CF-604FF6C540B0} /norestart /qn /l*v C:\UninstallFCS\UninstallFCSAM.LOG rem uninstall Microsoft Forefront Client Security State Assessment Service MsiExec.exe /X {E8B56B38-A826-11DB-8C83-0011430C73A4} /norestart /qn /l*v C:\UninstallFCS\UninstallFCSSSA.LOG rem uninstall Microsoft Operations Manager 2005 Agent MsiExec.exe /X {F692770D-0E27-4D3F-8386-F04C6F434040} /norestart /qn /l*v C:\UninstallFCS\UninstallMOM.LOG
Przy czym trzeba pamiętać, żeby odfiltrować/odpiąć polisę, która go wcześniej zainstalowała.
rozumiem problem prywatności i tego, że nasze dane są przechowywane w różnych miejscach ale przez ostatnie kilka dni tyle razy ktoś zwracał na to uwagę, że zastanawiam się czy ta paranoja nie jest zdeczka przesadzona. kilka przykładów z ostatnich 24h:
reasumując - nie wiem czy ja jestem aż tak naiwny czy ludzie dookoła zaczynają paranoizować? pod ostrzałem uwag i komentarzy straciłem możliwość “zdroworozsądkowego podejścia” bo autentycznie zaczynam się bać - a strach prowadzi do paranoi. czy ktoś ma jakiś przykład [choćby z drugiej ręki] wykorzystania np. nr-u dowodu osobistego? gdzie jest środek ciężkości? czy mam zrezygnować z kart płatniczych [bo przecież wiedzą co, gdzie i kiedy qpuję - zresztą dla tego często korzystam z bankomatów q:], czy mam wyrobić fałszywy dowód i zacząć rejestrować się na fałszywych danych?
co z ogólnie rozumianym SSO [takim życiowym - np. jedna karta do kilq systemów, openIdentity i inne wynalazki?]? czyż nie chcemy ułatwiać sobie życia? aby to było możliwe *musi* istnieć jakieś ID powiązane z innymi ID w stałej relacji i zawsze na końcu wiąże się to z jakimiś danymi.
grrrr… nie dość, że ostatnio generalnie się zgubiłem to jeszcze wpadnę w paranoję q: może warto przeprowadzić się do Afryki albo Ameryki Południowej… albo zaginąć w tłumie w Indiach - tam nie ma kontroli urodzeń, można żyć bez dowodów i mieć wymyśloną tożsamość. czy ceną za wygodne życie nie jest *zaufanie* do instytucji z których się korzysta? [ot choćby, że jak dzwonię po taxi to wiedzą kto dzwoni i gdzie jeździłem - niebezpieczne? dla mnie po prostu wygodne, bo oszczędza mi każdorazowego przedstawiania się, skąd jadę etc.]
eN.
Ostatnio dużo sie zmienia w świecie zaufanych wystawców certyfikatów. Najpierw GoDaddy przepuścił ofensywę na pozycje, na których okopały się Thawte, Verisign czy Equifax, wypuszczając najprostsze zaufane certyfikaty za 50$ rocznie (a nie jak inni >150$). Po jakimś czasie ceny spadły nawet < 30$ rocznie, co skutecznie wykosiło konkurencje dla najtańszych certyfikatów. Odstraszać jedynie może niezbyt “poważna” nazwa wystawcy.
Ale to nie wszystko - 22 sierpnia Microsoft do listy zaufanych urzędów certyfikacji dopuścił StarCom. Oznacza to, że wszystkie wersje Windows 2008 R2 oraz Windows 7 mają już wbudowanego tego wystawcę. A starsze systemy operacyjne automatycznie dostają aktualizacje za pomocą Windows Update.
Co nam daje StarCom? Darmowe certyfikaty poziomu 1. Zaufane przez większość przeglądarek z IE, oraz także przez Google Chrome, Mozillę FireFox, czy Safari na jabłku . Niestety brakuje jeszcze wsparcia dla zaufania w Operzę, czy istnienia w domyślnych magazynach na Windows Mobile.
Oczywiście certyfikaty poziomu 1mają wady - weryfikowana jest tylko nazwa domeny wystawcy, a informacje o organizacji nie są wyświetlane przy certyfikacie.
Ale i tak lepszy certyfikat poziomu 1, niż lokalny. W szczególności, kiedy jest za darmo.
Teoretycznie uruchomienie konsolki Forefront Client Security na innej maszynie niż na serwerze FCSa jest niewspierane. Jednakże jest na to sposób :) Johan Blom napisał kiedyś jak to zrobić, a ja pozwolę sobie przetłumaczyć :)
Klonując dyski z systemami Windows, Microsoft od zawsze ostrzegał nas o konieczności używania narzędzia systemowego Sysprep. Narzędzie to, oprócz sprzątania zależności sprzętowych w systemie, miało też generować nowy SID.
Oczywiście nie wszyscy admiistratorzy używali sysprep. Niektórzy, wliczając w tym mnie, woleli używać narzedzia firmy Symantec - ghostwalk. Prostsze i przyjemniejsze - zamiast sprzątać w całym systemie, po prostu zmieniało SID komputera w trybie offline.
Później przyszła era internetu i prostych narzędzi z Sysinternals - w tym graficznego narzędzia NewSID. Proste, okienkowe, i działało. SID komputera był bez problemu zmieniany, podobnie jak nazwa komputera.
Aż pewnego pięknego dnia Mark Russinovitch zadał sobie pytanie - do czego jest wogóle komputerowi zmiana SID-a? Przecież konta systemowe, czy konta specjalne mają taki sam sid na każdym komputerze. A jednak się wszystko działa. Wykorzystując to że Microsoft kiedyś przejął Sysinternals, Mark postanowił zapytać się grupy produktoweco daje zmiana SID-u, i dlaczego jest wymagana. Nikt mu nie odpoiwedział. Po kilku testach które wykonał, okazało się że zmiana SID-u na komputerze nie jest wykorzystywana. Przez sieć przy uwierzytelnianiu nigdy nie są przekazywane SID-y w czystej formie. Jedyny wyjątek stanowią urządzenia przenośne, ale kto jeszcze wierzy że uprawnienia na pendrivie przy zapisie NTFS będą respektowane przez system operacyjny, a użytkownik nie nadpiszę ich po prostu korzystając z uprawnień administracyjnych na innej stacji?
W związku z tym NewSid został wycofany, nie przez to że nadszedł jego kres, a po prostu dla tego że wymiana SID-u na komputerze była jedną wielką mystifikacją microsoftu mającą na celu zmuszenie administratorów do używania sysprepa - chociażby po to aby wymusić aktywacje systemu.
Zachęcam też do orginalnego artykuły Marka Russinovicha - The Machine SID Duplication Myth
Joanna Rutkowska popełniła bardzo ciekawy wpis na blogu Invisible Things Lab. Okazuje się, że TC można połamać… i to w miarę łatwo… Czas kupić sprzęt z TPM…
Wreszcie eMeSowi udało mi się wyprowadzić mnie z równowagi. Ogłosili opóźnienie Forefront Endpoint Protection
Przecież to jakaś paranoja. wydają qpy w stylu WS2008R2, które nic nie wnoszą i zbierają mieszane opinie przez skopane licencjonowanie, a FCS, który nigdy nie dostał złej opinii, którego sobie chwalą wszyscy, którzy go znają zostaje olany. W dodatku FEP2010 będzie oparty o SCCM2007! Heloł! żeby to postawić razem ze Stirlingiem/FPS trzeba będzie z 8 giga pamięci (ten stoi na SCOM). I najprawdopodobniej Multihomming będzie na podstawie przenikających się Site-ów. pomijając fakt, że wdrożenie na jednym pudełku będzie strasznie bolesne (SCCM i SCOM razem? no fukkkkkin way!) Poza tym po co zmieniać pomysł, gdzie FEP (client sec) i FPS (Stirling) są połączone? w betach działało to na prawdę dobrze. Aż tak, że pokusiłbym się o postawienie jej do produkcji.
Podsumowując wpis na blogu FF rozumiem tak – przepisujemy produkt od nowa. poczekajcie rok albo i więcej. Przypomina się sytuacja z Service Managerem, który już ma prawie 3 lata obsuwy (miał być najpóźniej rok po SCOMie)
FUKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK
Jak zwykle obiecanki cacanki. Tak dla sportu przeglądałem dokumentację do Stirlinga w poszukiwaniu braków i bubli 9a takich na technecie nie brakuje ;) ) i trafiłem na coś takiego:
Upgrading or migrating Stirling
[This topic is pre-release documentation and is subject to change in future releases. Blank topics are included as placeholders.]
This document describes upgrade and migration scenarios for this beta release of Stirling. Material in this document replaces the content in the topic “Upgrading or migrating Stirling” in the Stirling Deployment Guide.
The following upgrade and migration scenarios are supported:
The following upgrade or migration scenarios are not supported:
Czyli jednym słowem – będzie można aktualizować końcówki, ale i scenariuszu in-place dla topologii serwerowej można zapomnieć. Pięknie. Po prostu pięknie! tak z czystej ciekawości chyba zrobię infrastrukturę mieszaną i zobaczę jak FCS się kłóci z FEP :D
No cóż, nie ma to jak wypowiadać się nie znając faktów. Ale tak informacyjnie : nie cała infrastruktura onetu jest już w nowym data center ….
A to uzupełnienie : http://www.networld.pl/news/358906/Serwerownia.Onetu.zagrozona.powodzia.html
Tylko, że to chyba chodzi o starą serwerownię, a nie tą niedawno otwarta:)
No dobra, nie doczytałem… co nie zmienia faktu, że nowa serwerownia jest ponoć na bagiennych terenach zalewowych. Przynajmniej tak piszą na skyspcrapercity, ja niestety nie znam na tyle Krakowa żeby to potwierdzić :-/
A ja mam prośbę jeżeli nie wiecie (nie znacie Krakowa) nie piszcie bzdur… nowa serwerownia nie jest zagrożona.
Ale serwis nie działał, prawda? Co mnie jako klienta obchodzi, że coś przeniesione czy nie. I jak bardzo Pan Admin się uniósł duma ;-)