Как дать пользователю право на чтение Event Log?

Очередная относительно типовая задача: нужно дать пользователю право на чтение Event Log, при этом, не дай бог, права эти нужны на котроллере домена или на другом критичном для безопасности сервере, и предоставить полномочий больше чем нужно мы не желаем ни в какую. А, если мне память не изменяет, для удаленного просмотра логов пользователь должен быть как минимум power user (поправьте меня, если я не прав). GUI по моим данным для такой задачи нет, CLI тоже, так что остается старыми дедовскими методами, то есть ручками. Что нам для этого нужно? На самом деле произвести достаточно простые процедуры:

1) определить SID пользователя, которому мы желаем предоставить права. Есть утилиты навроде user2sid, а я пользуюсь PowerShell. Например, и

Get-User "Vasya Pupkin" select name, sid

и

Get-QADUser "Vasya Pupkin" select name, sid

дадут нам табличку из имен подходящих учетных записей и их SID'ов. Наливай да пей Выделяй и вставляй.

2) Поправить реестр.

----------------------------------------------------------------------------------

Предупреждение. При неправильном использовании редактора реестра могут возникнуть серьезные неполадки, требующие переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.

----------------------------------------------------------------------------------

Собственно, нужно найти ветку

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\

(предполагая, что мы даем права на application log) и найти там ключ CustomSD. Он выглядит приблизительно вот так:

O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)

К этому ключу нужно добавить (повторяю, добавить, не заменить его!!!) запись вида (A;;0x1;;;<SID>), где SID это как раз то значение, которое мы выяснили на первом шагу.

Если этого ключа не существует, то можно его создать, тогда он будет выглядеть так:

O:BAG:SYD:(A;;0x1;;;<SID>)

Вот такая вот ерундовина. А об этих страшных буквах (D;;0xf0007;;;BG) я напишу чуть позже - понимать, что они означают, может быть полезным навыком.

P.S. Работает как на Windows 2003, так и на Windows 2008.

ISA 2006 SP1. Обзор. Часть 1

Многие, посмотрев на заголовок поста воскликнут "Фу, какой баян" и будут абсолютно правы: это обновление вышло достаточно давно, чтобы не быть новостью. Однако многие ли из Вас уже протестировали его? А многие ли внедрили его в боевую сеть? Предвижу, что ответ отрицательный. А зря. Этот SP реально заслуживает, чтобы его использовать на полную катушку. Заявляю не понаслышке. =)

На данный момент, я не столкнулся ни с какими проблемами, вызванными применением ISA Server 2006 SP1 в промышленной эксплуатации, да и не слышал о таковых. Потому, учитывая предоставленные вкусности, считаю его почти что необходимым к внедрению.

Ну а теперь более подробно уже о самих "пряниках".

Пряник #1: отслеживание изменений.

Каждый, кто администрирует ISA не в гордом одиночестве, поймет, почему это важно. Остальным же поясню: приходите Вы солнечным утром (часа в два дня) на работу, а там уже кто-то рвет и мечет по поводу работающего сетевого приложения. Или просто взялось непонятно откуда правило, и неизвестно кто его создал. И не признается ведь никто, что удивительно ;) Для подобных ситуаций и создан этот инструмент. Понятно, что в нормально организованной работе ведутся журналы изменений и пишутся комментарии, но в любом случае приятно часть работ автоматизировать.

Выглядит использование этой возможности так:

Вывод можно фильтровать по имени пользователя, внесшего изменения и по ключевым словам.

А еще можно использовать ее, не запуская консоль управления - из веб-странички, о чем подробно написано тут.

Да, кстати, теперь, когда Вы нажимаете кнопку Apply, чтобы ввести измененный конфиг в строй, появляется еще одно окно, которого не было раньше и в котором есть возможность ввести комментарий к сделанным изменениям (рекомендую) и экспортировать текущую конфигурацию (настоятельно рекомендую). Предвидя вопросы на эту тему, уточняю: экспортируется при этом вся конфигурация. То есть если у Вас даже Enterprise Edition, то экспортируется конфигурация всего предприятия.

Пряник #2: кнопка Test Rule

Собственно почти без комментариев. Только расскажу, какие правила можно проверить и как происходит проверка. Проверить можно правила веб-публикации. А проверяется соответствие настроек, заданных в правиле, настройкам веб-сервера. Если чуть подробнее разобрать, что при этом происходит, то последовательность будет такой:

1. ISA Server пытается разрешить доменное имя публикуемого сервера.

2. Потом он устанавливает соединение с этим сервером. Если правило заставляет ISA связываться с публикуемым сервером по защищенному соединению, то выясняется валидность сертификата веб-сервера.

3. Шлется запрос HTTP GET, после получения ответа на который

4. Проверяется соответствие требований к аутентификации, требуемой сервером требованиям, заданным в правиле.

Результат:

Есть всякие тонкости, связанные с различными настройкам правила публикации, но за ними уже в этот документ. =)

А продолжение следует. И, поверьте, дальше все ничуть не менее вкусное =)

Phishing: почему он есть и как с ним бороться.

Пока крайняя мысль на тему фишеров и прочих лишенцев. Давайте рассмотрим, собственно, возможные способы борьбы с этим делом. Для начала лично я попробовал просто подумать (анализом это не назвать) как письмо фишера появляется в почтовом ящике пользователя. Что приводит к тому, что этот вид мошенничества так распространен?

1) Рассылка таких писем становится кому то выгодной (да-да, прошли те благородные времена, когда пиратствовали по зову сердца ;) ). В первую очередь выгодна она людям, которые и являются фишерами, во вторую - владельцам спам сетей, о которых мы вспомним еще чуть позже в этой публикации. Бороться с выгодностью можно разными способами. Например, обучать пользователей. Обученный пользователь с меньшей вероятностью засветит свою кредитку на подложном сайте, тем самым снизив рентабельность фишера. Другим способом являются создание различных международных договоров, организаций и прочих нормативных актов, способствующих поимке и наказанию мошенников (а мы ведь помним, что фишер с точки зрения УК это банальный мошенник, отличающийся от лохотронщика только инструментарием). Международных потому, что фишер, сидя в России, может наносить ущерб швейцарским клиентам американского банка. Создание такой "противорыбачной" сети так же снизит прибыльность предприятия. Трудно ведь назвать прибыльной операцию, принесшую несколько десятков тысяч долларов, за которую придется отсидеть пару лет. А то и не пару.

2) Фишерскую атаку легко организовать. Для нее есть отличный транспорт: спам-сети, о которых я уже упомянул. Дешево и массово. Нет, я видел случаи комбинированных атак, когда в почтовый ящик кидают обычное письмо, просящее зайти на страничку в интернете и "подтвердить" свои данные путем ввода реквизитов банковской карты и PIN кода. Слышал я и о полностью "бумажных" аферах, когда просто требуют перечислить некую сумму на банковский счет, потому что иначе "все будет плохо и банк Вас заблокирует". Но это как раз дорого и не массово, а, следовательно, плохо удовлетворяет пункту 1. Таким образом, мы приходим к мысли о борьбе фишерами и прочей нечистью путем борьбы со спамерами, которые и сами по себе являются злом (кто-нибудь не знает, что до 95% почтового трафика в мире является спамом?). Нет спама - нет фишерских писем в ящике, значит, нет прибыли. Остаются другие способы доставки, но на то она и безопасность, чтобы быть забегом наперегонки со злоумышленником. Да и не такие они выгодные эти другие каналы доставки. Одна беда: победа над спамом, похоже, является лишь несбыточной мечтой. Пока. Есть разные идеи, например, идея Эльдара Мусаева или Sender ID от MS. Но эти идеи требуют всеобщего внедрения. Частными инициативами здесь ничего не добьешься.

3) Пользователи. Я всегда говорил, что не было бы пользователей - не было бы проблем. =) Но, увы, мы живем в не идеальном мире, в котором пользователь не верит всякому письму "счастья", электронному или бумажному. Где пользователи сначала думают, потом… Ну, хватит мечтать. Этим делу не поможешь. Если письмо с просьбой нажать красную кнопку, под которой написано «Self Destruction» попало в ящик пользователя, то пользователь эту кнопку нажмет. Исходить нужно, увы, из этого предположения. И повлиять на это можно только обучением пользователя или отчуждением его от канала распространения атаки.

Ну, а вкратце, подводя итоги всей этой писанины можно сказать, что Путь Меча проходит лечение данной проблемы должно быть комплексным (удивил, да? =) ) и включать в себя 1) технические и организационные меры по уничтожению каналов доставки вредоносных писем

2) создание нормативно-правовой базы и международных организаций для борьбы с киберпреступлениями. (кстати, может уже есть такие организации кроме ИнтерПола, кто-нибудь знает?)

3) обучение конечных пользователей. Мне за назойливое повторение этой истины скоро памятник поставят из навоза, но я по прежнему убежден: пользователь должен быть обучен. Иначе никакие ухищрения не спасут. Должна постепенно зарождаться культура информационной безопасности, такая же как культура поведения за столом или культура пития.

Вот такой вот набор банальностей ;)

Опрос о блоге

Как знают постоянные читатели этого блога (если они есть, конечно же), мои сообщения можно поделить на три категории:

1. Технические публикации
2. Публикации о Московском MCP Клубе
3. И сообщения "за жизнь", в которых преобладают различные мои измышления и наблюдения на тему компьютерной и не очень безопасности.

Вы думаете, что угадали тему опроса? Ну... Почти. На самом деле, опросов будет два, и тот, о котором подумалось сразу (Вы ведь подумали об опросе "какая из трех тем Вам больше нравится?"? Так ведь? Нужно не забыть устроить опрос на тему "что Вы подумали" ;) ), на самом деле второстепенный для меня. Нет, не то чтобы меня не интересовало, что Вы по этому поводу думаете, просто это вряд ли сподвигнет меня на какие-то радикальные изменения в блоге: если я не умею писать про программирование, то я и не буду, появившаяся в моей голове мысль о безопасности все равно получит выход здесь. А если мысли не будет, то и писать будет не о чем. Правда, если будет определенный перекос в сторону одной из тем, то я постараюсь делиться по этой теме более широким кругом мыслей, то есть опущу планку самоцензуры (Beware! Ogre Flood approaches ;) ).

Короче, вторым вопросом будет именно "какой из трех топиков Вы предпочитаете" и не стесняйтесь указывать четвертый и пятый, равно как и детализировать внутренности топиков (хочу больше знать про продукт Х).

А вот первый опрос будет иметь однозначный практический выхлоп: "насколько бы Вы желали, чтобы я детализировал технические посты"? Если разбирать на примере моего последнего поста про Data Protection Manager, то желаете ли Вы, чтобы я подробно и со скриншотами (video?) рассказал о том, как выполняются все процедуры, которые я там мимоходом упомянул (например, восстановление базы данных в любой instance). Причем, повторюсь: все процедуры. То есть, те, кто уже радостно готовы завопить "ДА!!!" должны себе ясно представлять, что это понесет в себе и минусы: объем статьи, время на ее подготовку и все такое. Впрочем, у меня есть пара мыслей о том, как бороться с объемом, но это добавит еще больше времени на подготовку и, может таким образом уменьшить (куда уж меньше...) количество самих статей. Ну и есть как всегда третий вариант, который требует чуть меньше времени и сил: указывать только линки по теме (на самом деле это базовый вариант, вариант номер один это пока что только моя забывчивость). Вот такое вот первое голосование. Кстати, не стесняйтесь указывать свои идеи по этому вопросу в графе "другое".

Ну и сами опросы (можно выбирать больше одного варианта и указывать свои в комментариях или поле "другое"):

1. Какова должна быть детализация материала, описываемого в моих технических публикациях?

1. Какие типы публикаций Вам интереснее видеть в моем блоге?

DPM: Продолжение полета.

Первые плохие новости. В принципе, не то чтобы совсем плохие, просто мелкие неудобства, но судить читателю, разумеется.

Суть приблизительно в следующем. Предположим, есть у нас SQL сервер, установленный на Windows 2008. И захотелось мне, по какой-то одному мне ведомой причине восстановить базу данных, работающую на этом сервере на другой SQL сервер, который, однако, работает под управлением Windows 2003. Ну вот блажь напала, или, что вероятнее, потестировать захотелось что-то на базе, идентичной натуральной боевой. Казалось бы, чего проще: три клика мышкой и база восстановлена на любом instance и работает. Однако, действительность не так приятна, увы. При попытке восстановления в такой ситуации возникает ошибка "Operation Failed Because DPM Encountered An Unexpected VSS Error. (ID 30218)"

"Ну это же ерунда!!!", воскликнет многоуважаемый All и отправит меня в службу технической поддержки. Ну на самом деле не отправят, не привычен народ у нас требовать свое железной рукой обращаться в техническую поддержку. А я, грешным делом уже звоню им даже не как себе домой (не звоню я домой вовсе, обычно), а много чаще, позвонил и на этот раз. Так вот, самое печальное, это то, что ответ службы поддержки звучал приблизительно как "увы, это проблема совместимости и пока нет никакого workaround" =(

К счастью, все не так уж печально, все-таки есть способ восстановить базу туда, куда Вам понадобится, понадобится всего лишь чуть больше ручной работы. Нужно восстановить файлы базы данных на диск целевого компьютера, после чего уже просто присоединить эти файлы к SQL серверу. Чуть дольше, много ручной работы (по сравнению с вариантом восстановления по кнопке мыши), но работает. =)  

Итак, подведем итоги.

Минусы:

1) Не так удобно, как было бы, если бы все работало. Больше места для ошиби и времени для восстановления.

2) Пункт один подталкивает к скорейшему переводу серверов на Windows 2008. А перевод, например, кластера высокой доступности на новые рельсы обещает быть задачей не слишком тривиальной и, что самое омерзительное, связанной с простоем сервисов.

Плюсы:

1) Даже такое восстановление несколько легче стандартных методов и почти на порядок быстрее.

2) А кто сказал, что переход на 2008 это плохо? наши первые ощущения от эксплуатации Windows 2008 (а нам уже есть что "ощущать" ;) ) более чем благоприятные.

3) Нетривиальная задача? Зато как интересно это сделать!!! Правда простой испортит настроение, но лишь на чуть. Кстати, можно сделать задачу простой, если железо позволяет: взведите рядом второй кластер и просто перенесите на него базы.

4) UPD: Вот прямо в тот момент, когда верстался номер писАлись эти строки, пришло письмо от поддержки: тема бага раскрыта не полностью, потому я продолжу свое общение с разработчиками на благо индусского народа сообщества до полного излечения оного (бага, то есть). Есть, есть свет в конце тоннеля =)

 

В общем, позитиFF, да и только =)

Что будет интересно посмотреть/послушать аудитории на заседаниях Клуба? Напоминание.

По ссылке ниже проводился опрос по поводу будущих тем московского MCP Клуба, который продолжит собирать друзей на свои заседания осенью. Народ проголосовал, проголосовал относительно активно и... Кажется, вполне однозначно:

Если присмотреться, то становится ясным распределение интереса к темам, потому, почти наверняка следующая встреча будет посвящена миграции на Windows Server 2008... Потом... Что будет потом, мы разберемся потом. =)

Я еще могу добавить теперь некоторую информацию по DPM, но эта тема вряд ли будет пользоваться такой же популярностью, так что оставим ее на закуску ;)

Помимо указанных мной в опросе тем были еще три заявки:

1) Миграция единственного Exchange 2007 c Server 2003 на 2008

2) Exchange 2007/2003

3) Integration between NPS and NAP

Если с первым и вторым все ясно (про первое попробуем что-нибудь рассказать как раз на встрече, посвященной миграции, по второй у меня есть кандидатура на примете - попробуем уломать человека =) ), то третий вариант меня поставил в тупик.  Эти две сущности (NPS & NAP) и так уже интегрированы по самое не балуйся. Собственно, NPS является неотъемлемой частью NAP, потому, если мне автор запроса пояснит, что имелось в виду, то я буду рад.

Ну и напоследок: кто не проголосовал - ссылка ниже, голосование все еще ведется ;)

 
Alexander Trofimov: Что будет интересно посмотреть/послушать аудитории на заседаниях Клуба?

DPM: поехали

Коллега Андрей Бешков соблазнил меня поучаствовать в проекте IT Pro Momentum. Суть в том, чтобы внедряя продукт рассказывать и показывать что к чему. За это можно получить какие-то бонусы. Так как я на данный момент погружен в проблемы MS System Center Data Protection Manager, то я просто получил добро от начальства и взялся за дело. Так что теперь прибавится постов по этой теме. Собственно, почему "прибавится"? Вот он - первый ;)

Для начала - кратко о ситуации на данный момент.

1) Его установили, провели первоначальную настройку и отдали мне.

2) В работе один кейс в поддержке MS, второй в процессе подготовки к подаче.

3) Есть проблемы с несрезанием логов с большой базы данных MS SQL, но они, похоже, проистекают из совсем других проблем. (UPD: эти проблемы решены - напишу скоро, может быть)

Очевидные минусы:

1) Трудно (из-за недостатка опыта) сразу отдать столько места объекту, сколько нужно. Потом приходится нарезать кусочками, от этого появляются разные сложности.

2) Это все VSS. То есть почти любая неприятность с DPM это неприятность с VSS, который я пока траблшутить умею весьма посредственно. Дело наживное, так что и не минус совсем.

Очевидные плюсы:

1) Все бекапы в одной консоли

2) Скорость. Учитывая, что предыдущим решением в компании были только встроенные средства: ntbackup, SQL Backup (ага-ага, я не шучу. И этого вполне хватало до недавнего времени;) ), скорость повысилась в разы. В некоторых случаях на порядок.

3) DPM для дятлов ОЧЕНЬ простой. Для его освоения достаточно спинного мозга пары дней. Разумеется, речь не идет о глубинном знании внутренних процессов, а только о возможности осуществлять базовые настройки и резервировать/восстанавливать данные.

Продолжение следует. =)

У нас новый MVP

ДА! И на сей раз человек, однозначно заслуживший это безмерно. Этот человек открыл 4 (!!!) MCP Клуба. Че-ты-ре! =)

У него еще куча других достоинств, у этого человека. И зовут его Алексеем Бурлаченко =)

Мы очень долго стремились его номинировать (я знаю пару человек, которых я сильно достал за последний год этим делом ;) ) и мы это сделали. Леша, поздравляю и добро пожаловать в наши стройные ряды =)