MCP Club: 24.06.2008. Отчет

Позавчера мы были свидетелями дебюта в качестве выступающего нашего замечательного MCP Lead'а Олега Ржевского. Олег, доложу я Вам по секрету, жутко волновался перед выступлением, мотивируя это неким мифическим недостатком опыта. Как он потом мне признался, опыт у него имелся, да еще докладывал он какие-то совершенно внеземные вещи, при одной мысли о которых у меня бы все отнялось, так что оценивать я его должен с позиций не "для первого раза", а как самого что ни на есть матерого докладчика со стажем. Впрочем, даже с этих позиций все было просто замечательно: уверенная речь докладчика, интересный и содержательный доклад, который уже традиционно вызвал шквал вопросов, и общение в "кулуарах". Не испортила нам настроения даже не совсем удавшаяся демонстрация (у нас нет возможности протестировать лабы на том оборудовании, которое реально участвует в демонстрации) и отсутствие второго микрофона (это сказалось на веб-трансляции и ее записи). Впрочем, кое-что все равно получилось показать - Олег принес записанные на видео демонстрации, да и по менюшкам полазить смогли =)

Ну и всяко успеху способствовала интересная тема: безопасный доступ к приложениям. На первый взгляд не особо интересно, да? Однако, если заглянуть "под крышку" этой теме, то выяснится, что рассказ велся о:

1. Application Compatibility Toolkit и ее применении в деле укрощения строптивых неправильно написанных и устаревших приложений. Тема, судя по реакции аудитории, малоизвестная (мне точно малоизвестная, потому слушал запоем, хоть и опоздал на начало).
2. Доступ к приложениям с помощью служб Terminal Services. Без комментариев. Обидно только, что на целый класс вопросов по лицензированию 1С приложений под терминальным сервером мы ответить не могли. А кто может?

В общем, мне понравилось. Точно понравилось тем, кому достались последние подарки этого сезона Клуба: Windows Vista Ultimate, Windows Server 2008 Resource Kit, набор из SQL, Windows & Visual Studio 2008 и "лицензионный" зонтик Microsoft =)

Хотел выложить еще фотографии, но, увы, мои 2 мобильных мегапикселя оставляют желать. =(

Кстати, скоро будет доступна для скачивания запись - следите за анонсами. А Олег уже выложил свои материалы =)

SkyDrive, Office Live и прочие файлохранилки и офисы-в-интернете.

Снова о... Ну, скажем так, необразованности пользователей, плохом дизайне безопасности программ и сервисов и о том, к чему это может привести. Увы, на сей раз примером будет служить долгожданный и нужный сервис: MS SkyDrive.

Как только он появился, наши пользователи тут же ринулись его осваивать: 5Г бесплатного хранилища - это же почти рай. Однако, как всегда, мало кто задумался о том, какие риски это несет. А оно их несет. Понятно, что сам факт вынесения своих данных на чужую площадку уже подвергает данные риску. Но даже если эта площадка не будет скомпрометирована, то всегда остается риск, что ее настройки по-умолчанию (или те, которые сконфигурировали Вы) будут не совсем теми, что Вы ожидали. Например, ожидаете ли Вы, что выложив в папку с именем Public и выдав линк на один из них, Вы, на самом деле, дали мне доступ ко всем этим файлам?

Как подтверждает мой печальный опыт (ну не мой, а пользователя, на примере которого я догадался и пока не печальный, насколько я знаю ;) ), мало кто об этом задумывается. Ну, то есть все об этом знают, если спросить, но почти никто не думает об этом перед тем, как разместить файлы или дать на них ссылки. Собственно, почему я так распалился: однажды на форуме был задан некий вопрос с приложением к нему (к вопросу) скриншота, выложенного на SkyDrive. Так вот, чисто из-за любопытства я поднялся на уровень выше и увидел в папке Public еще несколько файлов. Один из них был еще одним скриншотом, на котором вполне отчетливо была видна чужая аська и страничка с логином паролем для VPN доступа одного из московских провайдеров... Был ли этот аккаунт действительным на момент моего просмотра или нет, я не знаю - не проверял. Я только послал автору предостерегающее письмо. Но... Делайте выводы сами.

Что можно сделать для противостояния такому типу "любопытства"?

1) Никогда не выкладывайте документы, содержащие хоть подобие конфиденциальной информации в эту папку.

2) При создании новых папок создавайте их с разрешениями для чтения только для конкретных людей. Не для всего интернета.

3) Убирайте ненужные более файлы из хранилища.

Берегите свои данные ;)

Что будет интересно посмотреть/послушать аудитории на заседаниях Клуба?

Так как мы прерываем на лето собрания Клуба в Москве, то хотелось бы узнать у всех заинтересованных лиц - а какие бы доклады Вы желали посмотреть/послушать в будущем?
Чуть ниже идет опрос, в котором сказано что бы хотел прочитать я. А уж Вы можете выбрать то, что интересно услышать Вам. Кстати, в комментариях можно добавить еще какую-нибудь тему или проранжировать по порядку убывания интересности означенные доклады. А я, вооружившись этим сверхзнанием, буду готовиться ;)

MCP Club: очередная встреча

Мы продолжаем (а, точнее, завершаем) серию встреч напрямую посвященную Запуску2008. После этой встречи мы сделаем перерыв на летние каникулы и продолжим с новыми силами осенью. Ну а завтра нас ждет выступление Олега Ржевского - Человека, MVP и Moscow MCP Club Lead'a. В представлении он особо не нуждается: все, кто посещал наши заседания в Москве знают его и знают, что без него не было бы, в общем-то, и Московского Клуба. Именно он организует при активной помощи ребят из MSFT наши заседания.

Ну а теперь он решил выступить. Да не просто выступить, а в роли докладчика, чего с ним до сих пор не случалось, несмотря на то, что этот человек - рекордсмен по посещению Клуба =)

Его доклад будет называться "Безопасный удаленный доступ к приложениям" и состоится завтра, 24го июня. Регистрация здесь. А еще будет веб-трансляция (мы все-таки надеемся сделать это настолько традицией, чтобы даже не упоминать о ней больше). Регистрация на нее - тут. Ее можно будет посмотреть и позже, но вопросы в онлайн уже будет не задать. Так что лучше присоединяйтесь в онлайн. А еще лучше - приезжайте - в зале много интереснее, чем перед монитором ;)

О вреде полезного или не делает ли защита нас уязвимее?

У меня недавно в двух обсуждениях возникли схожие разногласия с аудиторией.

Однажды я посмел высказаться в том ключе, что, мол, UAC это не так уж плохо, а скорее даже (крамола-то какая ;) ) хорошо. В ответ мне пояснили возразили, что если какой-то сторонний софт сможет подделать окно запроса UAC (что несложно), то этот самый софт сможет легко собирать пароли пользователя (причем, не только с администраторскими правами, поскольку многие пользователи будут, получив отказ, судорожно перебирать все свои учетные данные).

Вторая встреча с подобным аргументом была на крайнем моем выступлении в MCP Клубе. Мне сказали, что NAP клиент создает, по большому счету, единую точку управления безопасностью клиента и, таким образом можно, внедрившись в систему на уровне NAP EC или SHA, управлять этой самой безопасностью, направо и налево выключая файрволлы, антивирусы и всячески компрометируя добрых людей. Говорить о том ужасе, который начнется, если мы внедрим наш код на уровне ES или SHV мы просто не стали. ;)

Собственно, возразить-то мне нечего - все так. Кроме одного. Есть 10 непреложных правил безопасности. Первые два из них и применимы в данной ситуации:

1) Если вы запустили на своем компьютере приложение злоумышленника, это больше не ваш компьютер
2) Если злоумышленник внес изменения в операционную систему вашего компьютера, это больше не ваш компьютер

Поэтому я пока настаиваю на том, чтобы добавление какого-то софта, направленного на изменение поведения системы безопасности или на обман пользователя (социальный инжиниринг) в систему считалось его заражением. По сути это зловред - вредоносный код. И после этого, поведение NAP или UAC нас уже будет мало волновать. Потому что, какая разница, будет ли антивирус отключен напрямую или посредством NAP и уйдет ли пароль администратора или просто будет создан процесс с административными правами и повышенными привилегиями. Это, по сути, уже не наш компьютер и мы не имеем над ним контроля. Вот такое вот мое мнение. Артем и остальные телезрители читатели - приглашаю к дискуссии, на этот раз обещаю не разгонять демонстрацию не ругаться и отвечать по существу с применением всех возможных цитат ;)

Доступна запись моего выступления от 10 июня

Ну, точнее, доступна нормальная ссылка на него, а не предыдущее недоразумение =)

Коллега Бешков предоставил эту ссылку, а я, спустя несколько дней (что поделаешь - отпуск ;) ), ее дублирую.

Послевстречие: NAP, 10.06.2008 #2 - ответ на вопрос

У меня во время презентации остался один неотвеченый вопрос, на который я желал дать ответ. Я сказал, что проверка состояния DHCP NAP "клиента принуждения" (Enforcement Client - EC) привязана к времени аренды. Мне законно возразили, что в предшествующих презентациях на эту тему, как только мы меняли состояние здоровья, тут же на NPS сервер отправлялся наш SSoH (System State of Health) и сервер реагировал ограничением клиента в сетевом доступе. Это действительно так, но и я оказался прав. Если вдруг кому интересно, как такое может быть - читайте дальше.

Давайте разберемся, о чем я говорю. Как было сказано в презентации, реакция System Health Agent на выключение, например, встроенного сетевого экрана будет немедленной. Он сформирует новый SoH, передаст его NAP агенту, тот уведомит Enforcement Client и на этом песня полного доступа будет спета. НО! Это если смотреть со стороны клиента. А если посмотреть со стороны сервера, то требования к здоровью клиента могут меняться со временем. Например, вышли новые обновления. По идее, при этом нам нужно применить политику к клиенту и ограничить его или заставить его обновиться. Однако, в DHCP Enforcement мы не можем (это by design) сделать это со стороны сервера. Остается ждать либо пока изменится состояние клиента (пользователь выключит файрволл) или истечет срок аренды, после чего NAP агент также инициирует проверку.

Вот такой вот ответ =)

Послевстречие: NAP, 10.06.2008

Итак, я снова выступил. На сей раз мы все-таки сподобились на запись и трансляцию, так что самооценку придется разбивать на две части:

- Выступление, как оно воспринималось в зале

- Выступление, как оно воспринималось онлайн.

1) Зал. Залу спасибо. Зал (а на самом деле люди, которые пришли меня послушать, конечно же) в очередной раз помогает выступить хорошо. Они относились легко и непринужденно к моим ляпам и техническим проблемам, замечательно задавали вопросы и вообще проявляли всяческий интерес. Искренне, насколько я могу судить, потому что я задолбался  раздавать с трудом смог раздать подарки, традиционно выдающиеся на наших встречах, посвященных Запуску2008. Правда у нас завязалась одна дискуссия, на которую мы потратили достаточно много времени, и мне пришлось достаточно резко ее прервать. Я напишу чуть позже об этом здесь же, поспорим, если будет желание. =)

Плюс еще были два человека, которым я хочу высказать свое искреннее спасибо: Андрей Бешков, который предоставил и настроил всю техническую часть и помогал мне в трудных моментах (надо сказать, что после встречи все кинулись к нему, а не ко мне ;) )  и Василий Гусев, который помог мне донастроить то, что я не успел в моем стенде. Я уже не говорю об Олеге Ржевском, без которого не было бы вообще этого праздника. Кстати, скоро его выступление - рекомендую =)

В общем, в зале, по моим ощущениям все было минимум на 4. Были проблемы, мешающие мне жить, связанные с транслированием сессии, но об этом в секции

2) Трансляция и запись.

У нас уже почти получилось. На самом деле, оно все-таки получилось. Мы это записали. Но. Как всегда есть но.

Жанр встречи все-таки отличается от Webcast'а.

• Другая манера речи, которая может показаться непривычной по отношению к обычной трансляции.
• Живые вопросы из зала и невозможность в онлайн отвечать на вопросы из интернета (которых не было, но это просто дань тому, что вообще присутствовало максимум три человека =) ). Я, к сожалению, иногда часто забывал озвучивать вопросы из зала в микрофон. Плюс к этому во время озвучивания вопроса спрашивающим возникает закономерная пауза.
• Слайды в зале показывались с "разъехавшимися" шрифтами (особенность Live Meeting, о которой мы раньше не знали), а в самом вебкасте все было нормально, потому, когда я говорил о том, что у меня что-то куда-то уехало, то интернет зрители могли не понять о чем я говорил =)
• А вот анимация слайдов, напротив, была видна залу, но совершенно потерялась в записи. Обидно. Я старался ;) Впрочем, Олег Ржевский скоро выложит мою презентацию в своем блоге и все смогут насладиться в полной мере "волшебными картинками". Фотоотчет он уже выложил.
• Самый большой мой косяк. Когда началась демонстрация я забыл переключиться на вирутальные машины. И в запись идет всего один слайд. Это действительно косяк, оправдаться могу только тем, что я в первый раз вел именно трансляцию и не все тонкости еще знал.

Линк на запись в нормальном виде я пока выложить не могу. Единственный способ, который я знаю, это зайти на https://www112.livemeeting.com/cc/microsoft/viewRecordings ввести свое имя и CTKDD3 в поле Recording ID. Предупреждаю - там два с половиной часа (болтлив я не в меру ;) ), хотя вторая часть (это около часа) бесполезна, так как демонстрация не видна =(

MCP Club: Сегодняшнее выступление.

Не знаю, получится сегодня все осуществить или нет (Андрей Бешков божился обещал, что получится), но вот ссылка на Live Meeting:

https://www.livemeeting.com/cc/microsoft/join?id=CTKDD3&role=attend

Начнем около 7 часов вечера по москве. Точно не раньше, так что enjoy =)

MCP Club: HeroesCommunityLaunch

Как многие, наверное, знают, MCP Клуб Москва продолжает проводить мероприятия, посвященные выходу в свет продуктов 2008. Сегодня снова буду выступать я: попытаюсь рассказать аудитории про Network Access Protection - новой технологи, встроенной в Windows Server 2008.
Моя презентация будет, разумеется, выложена сразу после выступления (ну то есть как Олег Ржевский соберется, конечно ;) ), однако, мы постараемся на этот раз все-таки записать эту презентацию вместе с демонстрацией для тех, кто не может по разным причинам посетить эту сессию Клуба. Будем надеяться, что получится.
Ну а если все пойдет совсем хорошо, то мы даже будем ее транслировать. Тогда линк я предоставлю здесь же непосредственно перед выступлением. Так что если я тут что-то еще напишу к 7 часам вечера, то добро пожаловать.

UAC: Elevation: Как сделать жизнь проще

Еще на Платформе, кажется, да и на Запуске тоже, мне был задан неоднократно вопрос про то, как сделать работу с командной строкой более удобной и при этом не отключать UAC. Известно же, что для того, чтобы выполнить административное действие в командной строке нужно предварительно запустить эту "строку" с повышенными привилегиями. Иначе будет как всегда:

Так вот, в июньском номере журнала TechNet Magazine была статья Michael Murgolo, которая сводит воедино несколько инструментов, которые облегчат работу с повышением привилегий в Vista/Windows 2008.

Надеюсь, это кому-то поможет.