четверг, 31 марта 2011 г.

Обзор блога за март 2011

  • Секреты %System%\System32: change
  • Это не размен денег, это изменение поведения Вашего терминального сервера

  • Some new cool betas
  • MS выпустили несколько бета-версий различных продуктов – вливайтесь в тестирование и влияйте на процесс их выпуска

  • Делегирование полномочий на создание GPO в другом домене
  • Нет простого способа это сделать. Давайте сделаем это по-сложному, хотя не так уж это и сложно

  • Вставлено слишком много смарт-карт? Не торопитесь их выбрасывать
  • Вы видите такое сообщение? По ссылке есть решение

  • Секреты %SystemRoot%\System32: certreq
  • Папка System32 продолжает делиться секретами

  • Секреты %SystemRoot%\System32: BITSAdmin
  • Скачайте файлы даже если соединение прерывалось. Несколько устаревшая команда, но она все еще работает

  • Недостатки wildcard-сертификатов
  • Такие сертификаты – прекрасное средство для упрощения Вашей жизни, но есть ли обратная сторона медали?

  • Секреты %SystemRoot%\System32: BCDEdit

    Двойная загрузка W7 & FreeBSD? Легко

  • понедельник, 28 марта 2011 г.

    Секреты %System%\System32: change

    CLIЕще один “старичок”. Я уже и не припомню, когда я в последний раз его использовал, однако, кому-то команда все еще может понадобиться. Я, например, использовал ее при установке нового ПО на терминальных серверах. Или чтобы прекратить доступ пользователей к нему. Теперь я практически не работаю с терминальными решениями, да и говорят, что в новых ОС есть другие способы решения этих проблем. В любом случае, Windows 2003 все еще с нами, потому и change списывать со счетов пока рано. 

    Вкратце оно может следующее:

    • Запретить или разрешить логон на терминальный сервер change logon disable. После перезагрузки все вернется на место.
    • Изменение привязки портов. Я никогда это не использовал и, надеюсь, Вам тоже не придется, потому что в статье базы знаний MS написано, что эта команда “Изменяет сопоставления COM-портов для совместимости DOS-приложений”. Ни за какие коврижки не хочу с этим снова возиться =) 
    • Подготовить сервер для установки нового ПО. Файлы .ini, их сопоставление и все такое. Для установки нужно сказать change user install, а после ее завершения change user execute.

    И это все, что данная команда умеет. Однако, если я забывал это сделать, то с какими чудесныи багами приходилось встречаться… =)))

    Вот только чего я не понимаю: зачем эта команда присутствует на Windows 7.Кто-нибудь знает? =)))

    четверг, 24 марта 2011 г.

    Some new cool betas

    За прошедшее время проскочило несколько сообщений о доступности бета версий различных продуктов и про другие новости. Некоторые из них мне однозначно понравились, и, надеюсь, понравятся Вам. Первым у нас будет

    VMM SSPv2 SP1

    Как говорится, нифига себе аббревиатура, да? Означает она Virtual Machine Manager Self-Service Portal v2 с SP1. Хотя он пока чуть глючный в некоторых аспектах, это уже очень занятное приложение. Я собираюсь использовать его как только он будет выпущен в финальной версии, а пока мы его обкатываем в нашей тестовой среде

    Новые возможности:

    • Вы можете импортировать виртуальные машины, которые пока не находятся в зоне действия SSP.
    • Виртуальным машинам теперь можно поставить “срок годности”
    • Уведомления администраторов бизнес-подразделений о различных событиях
    • Можно перемещать инфраструктуры между различными бизнес-подразделениями.

    Впечатляет, не так ли? Присоединиться к бета-тестировании можно здесь.

    MBAM

    Я уже писал об этом некоторое время назад: это новое добавление к MDOP, которое может помочь вам в управлении и мониторинге BitLocker. ТЕперь доступна бета-версия этого ПО, присоединиться можно здесь. Что оно может:

    • IT может автоматизировать процесс шифрования раздела на клиентских компьютерах по всей сети
    • Helpdesk может уменьшить время, требуемое на работы, связанные с BitLocker PIN или Recovery Key information
    • Офицеры безопасности смогут быстро получать состояние соответствия шифрования политике
    • Аудит доступа к информации о ключах восстановления

    System Center Virtual Machine Manager 2012

    Wow! W! O! W! =)

    Я видел несколько обзоров. Отличная вещь!" Правда. Начиная от банального создания виртуальной машины и заканчивая созданием частного облака на базе VMWare. Или Hyper-V. Или обоих. Как бы то ни было, можно качать и начинать пробовать здесь. Может оно так много, видимо, что продуктовая группа ограничилась в списке преимуществ данного продукта неким маркетинговым булшитом, потому качаем и смотрим сами. Но оно уже имеет ленту в качестве интерфейса ;)

    Новая версия Exchange 2010 Mailbox Server Role Requirements Calculator

    Ничего особенного, но если Вы используете этот инструмент, то самое время начать использовать его свежую версию.

    Ну и не техническая новость: нам (MCP) дают новый, более удобный, транскрипт и новые сертификаты (только новый внешний вид, не новые сертификации). Вот такие:

    0550_New-Certificate-Program-Compliance-final_png-550x0

    Пока они еще не доступны – ждем апреля.Enough for today =)

    понедельник, 21 марта 2011 г.

    Делегирование полномочий на создание GPO в другом домене

    imageТакая задача неизбежно встает во весь  рост, как только  Вы начинаете пользоваться концепцией ролевого администрирования. Если честно, то пребывая в эйфории от возможностей AGPM, я что оно яйца выеденного не стоит: включили учетную запись в некоторые группы, включая “Group Policy Creator Owners” и вуаля – вот оно. Ага, черта с два!=) Эта чертова группа – глобальная и поэтому не может содержать объекты из других доменов. Более того, мы даже не можем изменить этот факт: такие возможности недоступны:

    image

    По крайней мере, я пока не знаю, как это сделать (но пометил себе разобраться с этим вопросом в будущем). Таким образом, уделать “по-быстрому” у нас не получится. отступим ли мы? Конечно же нет! Если мы не можем добавить объект в группу, то нужно создать новую группу, выдать ей такие же полномочия и включить объект в нее. Какие разрешения есть у группы “Group Policy Creator Owners”? Насколько я знаю, чтобы создать любой GPO нам нужно иметь права на контейнере Policies в AD и на папке Policies в sysvol. Так что давайте делегируем такие права нашей свежесозданной группе “Role GP Creator Owners”:

    1) На контейнер Domain/System/Policies в AD:

    image

    image

    image

    image

    Причем я полагаю, что “Create All Child Objects” это немного слишком, и можно сделать более тонкую настройку (но я не проверял – просто предположение)однако группа “Group Policy Creator Owners” имеет именно такие полномочия, так что хуже мы точно не сделаем.

    2) И на папке Policies:

    image

    image

    Вот теперь все должно работать. У меня, вроде, работает, хотя я еще буду спрашивать об этом ребят из MS, да и Вам рекомендую все тщательно проверить на тестовых стендах. Если выяснятся новые детали, то статью я поправлю, разумеется.

    четверг, 17 марта 2011 г.

    Вставлено слишком много смарт-карт? Не торопитесь их выбрасывать

    image002Какое-то время назад я частенько выписывал пользовательские сертификаты на Aladdin-овских (теперь SafeNet-овских) eToken. Использовал я при этом web-интерфейс CA. Иногда при этом возникала следующая ошибка: "Too many smart-cards inserted. please insert only one smart-card"

    Оба-на… Но у меня вставлено всего два eToken и мне нужны оба:

    • один с сертификатом enrollment agent
    • второй, собственно, тот, на который я должен поместить новый сертификат

    Может быть, CA считает что у меня их вообще много и мне нужно повыкидывать их из сейфа? К счастью нет (в больших количествах они весьма ощутимо стоят, знаете ли). Более того, есть простое решение этой проблемы. Нужно всего лишь изменить (или создать, если он не существует) значение ключа реестра NoDefaultKeyContainer в ветке HKLM\SOFTWARE\Aladdin\eToken\MIDDLEWARE\CAPI\IEXPLORE.EXE на DWORD:00000000.

    Для меня это всегда срабатывало.

    Внимание! Неправильное изменение в реестре может привести к возникновению серьезных проблем. Поэтому при выполнении таких действий строго соблюдайте инструкции. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. При возникновении неполадок реестр можно восстановить. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:

    322756 (http://support.microsoft.com/kb/322756/ru/ ) Создание резервной копии, редактирование и восстановление реестра Windows XP и Windows Server 2003

    понедельник, 14 марта 2011 г.

    Секреты %SystemRoot%\System32: certreq

    CLIСледущие два кандидата в мою серию о содержимом папки System32 – bootcfg & cacls (я иду в алфавитном порядке, ка видно) – отпали сами собой. Почему? Потому что они устарели и, что не менее важно – я осилил их новые варианты. Более того, BCDEdit, пришедший на смену bootcfg я уже даже описал. Так что я пропущу эти две команды и перейду сразу к certreq.

    Итак, приступим. Я с трудом вижу обычного пользователя, а не администратора, пользующимся этой командой, но последним все-таки полезно о ней помнить. Вот неполный списко сценариев, в которых ее можно применить:

    • создать запрос на сертификат, который позднее можно “подать на рассмотрение” в CA
    • собственно, запросить сертификат у CA
    • получить сертификат или информацию о нем от CA
    • подписать запрос на сертификат
    • ну и всякое разное, что можно вообще делать с сертификатами =)

    Разумеется, все это достаточно хорошо скриптуется, хотя, если честно, то я использовал команду всего несколько раз. И все-таки, там где я это делал, обойтись без нее было бы достаточно сложно. Так что имейте ее в виду ;)

    Дальнейшей чтиво:

    Синтаксис certreq

    Поподробнее о нем же

    Advanced Certificate Enrollment and Management

    четверг, 10 марта 2011 г.

    Секреты %SystemRoot%\System32: BITSAdmin

    CLIЕще один мой старый устаревший друг. Но хоть и устаревший, а старый друг, лучше новых. В первую очередь он лучше потому, что я все еще не нашел времени хорошо ознакомиться со всякими там PoSh-командлетами вида *-BITSTransfer. Во-вторых… Да нет никаких “во-вторых”, как обычно =) Тем не менее команда совершенно великолепная, и я хотел бы сделать ей посвящение этой стьей. Хотя обычно я ее использовал просто чтобы быть уверенным, что нужный мне файл скачается, даже если сетевое подключение пропадало, с ее помощью можно вытворять массу кунштюков: скачать или наоборот закачать файлы, повторить провалившуюся задачу, скачать только определенную часть файла, выставить кучу параметров типа аутентификации… Крутая, в общем =) 

    Но, повторюсь, у меня она в основном скачивала файлы. Давайте посмотрим как можно реализовать эту задачу на примере.

    Начнем с создания задачи:

    BITSAdmin /CREATE /DOWNLOAD DownloadJob1

    image

    Легко видеть, что задача была создана, ей назначен некий GUID, который Вы можете использовать позднее (я буду использовать имя). А еще прекрасно видно уведомление о том, что команда устарела. =( Давайте посмотрим внутрь созданной задачи:

    BITSadmin /LIST /VERBOSE

    image

    (ага, МНОГО информации). Очевидно, на данный момент в задаче нет никаких заданий (FILES: 0 / 0), так что давайте кое-что туда добавим:

    BITSadmin /ADDFILE DownloadJob1 <URL> <PathToSavedFile>

    image

    Все добавилось и даже уже создан временный файл:

    image

    добавим еще один:

    image

    и увидим второй временный файл:

    image

    Оба файла пока имеют размер 0 байт. Теперь мы можем получить больше информации о нашей задаче:

    image

    Тут уже видны оба скачиваемых файла (JOB FILES) и… Мы уже можем подождать, когда файлы скачаются? Увы, нет, поскольку задача еще не запущена (STATE: SUSPENDED). Нам нужно запустить ее и это очень просто:

    BITSADMIN /RESUME DownloadJob1

    image

    Теперь наша задача в состоянии TRANSFERRING, мы можем видеть как много байт (BYTES) или файлов (FILES) уже передано и все такое. И тут – БАМС! Что-то пошло не так и у нас оборвалось соединение: image. Будет ли это мешать нашей скачке? Да:

    image

    Состояние закачки теперь TRANSIENT_ERROR. Должны ли мы беспокоиться об этом и предпринимать какие-то действия? Нет, поскольку как только соединение восстановится, наша закачка перейдет в состояние QUEUD и потом продолжится автоматически:

    image

    Смотреть изредка на эту большую картинку постоянно вводя команду /LIST неинтересно, так что мы будем наблюдать за скачиванием по другому: 

    BITSadmin /MONITOR /REFRESH 1

    image

    Эта команда будет отображать состояние наших задач, периодически (в примере каждую секунду) его обновляя:

    image

    Ну и как только наши файлы скачаются:

    image

    мы сможем пойти в место, куда из скачивали и… Ой… Что это?

    image

    Файлы имеют соответствующие размеры, но их имена… Все нормально, файлы еще в виде временных, поскольку задача не завершена, хотя закачка уже и окончена. Нам остался один последний маленький шажок:

    BITSadmin /COMPLETE downloadJob1

    image

    Опять “ой”. Похоже, BITSadmin считает имена заданий чувствительными к регистру. Запомним это и введем команду по-новой:

    BITSadmin /COMPLETE DownloadJob1

    image

    Вуаля! Файлы на своих местах и больше нет никакой работы – все по мне =)

    image

    З.Ы. Простите мне этот маленький экзерсис по поводу устаревшей программы: просто не смог удержаться Winking smile

    З.З.Ы. Если она Вам тоже нравится, читаем тут, тут и тут.

    понедельник, 7 марта 2011 г.

    Недостатки wildcard-сертификатов

    imageПо такому запросу некоторые пользователи заходят ко мне на блог. Что ж, недостатки определенно есть, так что почему бы и не написать об этом? Но сначала: что же из себя представляют эти загадочные сертификаты диких карт или, как иногда это тоже переводят, подстановочные сертификаты.

    Чтобы защитить коммуникации с веб-страницами или веб-сервисами (это к примеру, список больше, разумеется) мы используем SSL-сертификаты. Должен сказать, что на самом деле это не означает, что увидев префикс https и валидный сертификат мы можем быть уверены в том, что это настоящий сайт, настоящий сертификат и что общение с сайтом действительно защищены, но это тема отдельной дискуссии. В любом случае, прекрасны сертификаты или ужасны, это наша реальность, с которой нужно жить. Поэтому, как только Вы оказываетесь владельцем хоть сколько-нибудь большой инфраструктуры с множеством веб-сайтов, сервисов и тому подобного, и каждый из таких сервисов должен защищаться своим собственным сертификатом. Почему? Думаю, не раскрою никакого секрета, напомнив, что сертификат выписывается в таких случаях на определенное доменное имя, то есть microsoft.com, www.microsoft.com и technet.microsoft.com должны иметь разные сертификаты. Так что в вышеописанной ситуации Вы оказываетесь погребены под десятками и сотнями сертификатов, которые истекают, их нужно обновлять, наблюдать за их состоянием и так далее. Чертова прорва работы, иной раз, однако “безопасность должна быть безопасной” и все такое.

    Впрочем, мир остался бы в каменном веке без ленивых людей, знаете ли. Так что эти лентяи изобрели wildcard-сертификаты. Они выпускаются на имена типа *.microsoft.com и могут таким образом быть использованы с любым поддоменом домена microsoft.com. Это как бы решает все описанные выше проьлемы. Правда ведь? На самом деле это действительно так, но ничто не бывает бесплатным и данный случай вовсе не исключение. Если Вы используете один такой сертификат в своей организации, то его секретный ключ лежит везде, где используется сертификат (существуют сервисы, которые могут выдавать разные сертификаты с одним именем, но тогда зачем вообще заморачиваться?). Статистически это означает, что риск скомпрометировать этот конкретный сертификат возрастает многократно. А сменить его после компрометации придется на всех узлах. Некоторые думают, что это вовсе и не проблема, но тогда зачем использовать сертификаты? =) Предположим, что мы считаем это все-таки проблемой, но не слишком большой, тогда, как я уже говорил выше, добавьте к этой проблеме стоимость аудита всех скомпрометированных систем (а мы ведь можем считать во многих случаях, что все, что работало на этом сертификате - скомпрометировано). Поверьте мне, аудит нескольких систем – вовсе не дешевое занятие. И не дающее стопроцентного результата, зачастую.

    Таким образом, безопасность Вашей инфраструктуры определенно пострадает (как минимум, статистически, но безопасность сама по себе чаще всего оперирует вероятностями). Но и это не максимум Ваших неприятностей.

    Подытожим: я однозначно не фанат такого решения. По крайней мере в своем нынешнем положении и на своей работе. Про себя же Вы можете решить сами Winking smile

    четверг, 3 марта 2011 г.

    Секреты %SystemRoot%\System32: BCDEdit

    CLI

    Что же, следующий файлик из нашей папки не особо часто используется. Поиск проблем с загрузкой ОС, настройка загрузки, и вроде, на первый взгляд, все. На самом деле стоит помнить об этой утилите, поскольку иногда она способна творить чудеса… Если Вы в них нуждаетесь, конечно. 

    Например, Вы можете включить и сконфигурировать EMS (Emergency Management Services) для любой из загрузочных опций в Вашем списке. Или можно включить отладку ядра. Злые языки поговаривают, что даже можно обеспечить двойную загрузку с какой-нибудь посторонней ОС (скажем, FreeBSD), если Вам вдруг приспичит. Надо попробовать как-нибудь… =)

    Чтение:

    http://technet.microsoft.com/en-us/library/cc709667(WS.10).aspx

    http://technet.microsoft.com/en-us/library/cc731662(WS.10).aspx

    http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/BCDedit_reff.docx