Главная Virtualization, Windows, Без рубрики, Новое Dynamic Memory, Hyper-V, виртуализация
  • Производительность Hyper-V: тюнинг и мониторинг.

    Как известно, до определенного времени в сфере виртуализации серверов «правил бал» VMware со своим ESX. Теперь же, с выпуском Hyper-V Microsoft постепенно «наступает на пятки». Насколько успешно – вопрос, конечно, весьма спорный, учитывая, что VMware ESX существует на рынке намного дольше. Тем не менее, Hyper-V привлекает все большее и большее внимание по мере появления новых фич – таких, как Cluster Shared Volumes и Live Migration в Windows Server 2008 R2, или Dynamic Memory в готовящемся к выходу Service Pack 1.

    В этой статье мы безо всякого marketing bullshit, мы поговорим о «тонкой настройке», призванной повысить производительность системы на базе Microsoft Hyper-V. Я попытаюсь рассмотреть некоторые архитектурные особенности Hyper-V, дать несколько советов о том, как можно повысить производительность, не прибегая к новым финансовым затратам, и как можно увидеть, что вообще происходит «там, внутри».

  • Главная Windows, Без рубрики, Новое Active Directory, Пятничная тема
    • О появлении Active Directory

      logo

      Я убежден, что историю знать нужно, как минимум историю тех вещей с которыми ежедневно имеешь дело, это своеобразный показатель уровня специалиста и его кругозора. В интернете среди определенных групп специалистов бытует мнение, что Active Directory украдена/заимствована у различных компаний и собственно ничего нового сама Microsoft в ней не придумала. Все эти высказывания довольно легко распыляются предложением показать оригинал и наконец открыть миру насколько он зеркально похож. Но на самом деле сейчас уже не важно в чьей светлой голове первой появилась идея создания службы каталогов, важна реализация. Колесо было создано ацтеками тысячи лет назад, но сейчас рядового гражданина волнует только то, что представители немецкого автопрома используют его несколько лучше российского.

    • Главная Exchange/UC, SharePoint, Windows, Без рубрики, Новое Exchange 2007, Exchange 2010, SharePoint
      • Ручное перемещение содержимого общих папок Exchange на SharePoint

        folders Несмотря на рекомендации переноса данных общих папок Exchange на платформу SharePoint, Microsoft не предоставляет средств автоматизации данного процесса. И хотя на рынке существует ряд утилит решающих проблему автоматизации, покупка их  для небольших компании может оказаться неприятным сюрпризом. К счастью, для малого и среднего бизнеса есть способы ручного перемещения общих папок без использования программ сторонних компаний.

        • Проектирования Инфраструктуры Открытых Ключей. Часть 2.

          smime Мы говорим о потребности внедрения инфраструктуры PKI, когда речь идет о приложениях, требующих ее наличия. Что же это за приложения?

        • Главная Security, Windows, Без рубрики, Новое Active Directory, Security, Windows 2008 R2
          • Проектирования Инфраструктуры Открытых Ключей. Часть 1

            keyБезопасность сети формируется из комплекса элементов, один из важнейших – инфраструктура открытых ключей. Теоретические основы проектирования PKI [1] рассматривается в этой статье. Полагаю, что всем хорошо известно: внедрение инфраструктуры открытых ключей все чаще   становится насущной необходимостью огромного числа компаний.

            • Обзор службы управления правами Active Directory Windows 2008 R2

              Статья впервые опубликована в журнале “Системный администратор” №7-8 2010

              Служба управления правами – это технология защиты информации Microsoft Windows, предназначенная для защиты с помощью криптографии корпоративной почты, документов и, конечно же, веб-страниц.   Все действия над выше перечисленными  объектами возможны только при наличии соответствующих прав пользователя.

              • Онлайн-трансляция встречи Citrix User Group + Geek Speak Local


                До встречи Citrix User Group осталась меньше недели, Количество зарегистрировавшихся на встречу превзошло все ожидания, регистрация закрыта, и, если Вы или кто-то из Ваших друзей или коллег не успел зарегистрироваться – регистрируйтесь на онлайн-трансляцию – http://firmbook.ru/Event/Index/b5pXcOG3lk_B7lbI-ZTwJg, организованную компанией “Фирмбук”
                Программа встречи практически готова, будет много интересных докладов, в том числе….

              • Главная Security, Windows, Без рубрики, Новое Group Policy, Security
                • Хранение учетных данных в скриптах и групповых политиках на примере задачи по смене пароля локального администратора

                  Введение

                  clip_image001С точки зрения безопасности пароль локального администратора должен соответствовать следующим требованиям:

                  · быть известным только ограниченному кругу лиц;

                  · обладать достаточной сложностью;

                  · регулярно изменяться.

                  В связи с этим периодически возникает задача централизованной передачи учетных данных на рабочие станции пользователей. Решать данную задачу в домене Active Directory можно как минимум несколькими способами:

                  1) при помощи стартап-скриптов;

                  2) используя предпочтения групповых политик;

                  3) запуском скрипта на выделенном компьютере.

                  Наиболее традиционным способом автоматизации решений подобного рода является использование скриптов. Однако, хранение пароля в открытом виде не очень хорошо с точки зрения безопасности. В этом случае одним из вариантов защиты является кодирование скрипта. К сожалению, этот способ нельзя назвать на 100% безопасным, т.к. закодированные скрипты достаточно легко декодируются в исходное состояние. Об этом и пойдет речь в первом разделе статьи. Во второй части описаны альтернативные способы централизованной смены пароля локального администратора.

                  Стартап-скрипты

                  Стартап-скриптов зачастую используется для автоматизированного выполнения задач, требующих административных привилегий, на компьютерах пользователей. Допустим, что перед нами стоит задача привести к единому стандарту пароль локального администратора на части компьютеров домена.

                  Для решения применим скрипт, позаимствованный с блога «Hey, Scripting Guy!», и немного отредактируем его. В итоге получится что-то вроде:

                  strComputer = “.”

                  Set objUser = GetObject(“WinNT://” & strComputer & “/Administrator,user”)

                  objUser.SetPassword “12345-as” ‘

                  objUser.SetInfo

                  Сам скрипт не идеален. Например, в него можно добавить:

                  1) привязку к SID встроенного администратора (это необходимо если учётная запись была переименована);

                  2) логирование в журнале событий системы;

                  3) отправку оповещений об ошибках выполнения по электронной почте.

                  Однако скрипт нужен нам лишь в качестве примера, поэтому нет смысла усложнять его структуру.

                  Теперь для автоматического изменения пароля администратора нам необходимо:

                  1) создать групповую политику;

                  2) добавить туда наш скрипт в качестве стартап-скрипта (более подробно об этом написано в KB198642);

                  3) прикрепить групповую политику к контейнеру с компьютерами, на которых должен изменяться пароль.

                  При этом следует учитывать, что доступ к этому скрипту будет у любого аутентифицированного пользователя. Как следствие, любой пользователь домена при желании и минимуме технических знаний сможет узнать пароль локального администратора. Причем не только для своей рабочей станции, но и для всех остальных. Это не очень хорошо с точки зрения безопасности.

                  Кодирование

                  Для решения данной проблемы мы можем воспользоваться утилитой Script Encoder от компании Microsoft. Эта утилита позволяет преобразовать vbs-скрипт в формат vbe. В результате, тело скрипта хранится в закодированном виде и это никак не сказывается на возможности его исполнения. Рассмотрим это более подробно на нашем примере:

                  1) Скачиваем установочный файл с сайта Microsoft.

                  2) Распаковываем его.

                  3) В результате получаем несколько файлов. Один из них – нужная нам утилита screnc.exe. Синтаксис использования следующий:

                  SRCENC [switches] inputfile outputfile.

                  Здесь inputfile – исходный vbs-скрипт, outputfile – его зашифрованный аналог, [switches] – необязательные параметры, которые нам не понадобятся.

                  4) В итоге тело скрипта будет иметь вид:

                  «#@~^mQAAAA==dDD/K:aEYD,xPrRE@#@&?nO,W4Ni/DP{~!+Dr(LnmOcrrxgP)JzE~LP/O.;Whw!OD~LPrzb9:bUkkY.lDW.S!/+ME#@#@&W(%i/Dc?nYKCk/AWM[PrF+fW*OCdrPv@#@&G(Lik+MR?Y&U0K@#@&Ly4AAA==^#~@»

                  Полученный vbe-файл можно использовать в качестве стартап-скрипта и он, также как и исходный скрипт, будет менять пароль локального администратора.

                  Декодирование

                  Казалось бы теперь учетные данные защищены и системный администратора может спать спокойно. Однако существуют vbs-скрипты, с помощью которых можно легко раскодировать зашифрованный вариант. Пример такого скрипта можно получить по следующему адресу: http://www.interclasse.com/scripts/decovbe.php.

                  Для его использования, скопируем код в файл decode.vbs и запустим его из командной строки. В качестве аргумента будет путь и имя закодированного vbe-файла:

                  decode.vbs output.vbe

                  В результате выполнения должно появиться окно, содержащее текст исходного vbs-скрипта. Как следствие учетные данные администратора опять могут стать известны потенциальному злоумышленнику.

                  Альтернативные варианты

                  Рассмотрим альтернативные способы решения задачи передачи учетных данных на рабочие станции. К таковым можно отнести:

                  1) Group Policy Preferences;

                  2) централизованное изменение пароля со стороны сервера;

                  3) усложнение структуры скрипта и ограничение доступа к нему.

                  Group Policy Preferences (GPP)

                  Предпочтения групповых политик это своего рода замена скриптам в групповых политиках. Данная технология активно рекламируется Microsoft и действительно значительно упрощает работу системного администратора. Изменение пароля локального администратора при помощи GPP довольно подробно описано в статье: «Change local administrator passwords with Group Policy Preferences». Ключевая мысль этой статьи: «Не рекомендуется изменять пароли локального администратора и сервисных учетных записей при помощи GPP». Связано это с тем, что ни смотря на то, что пароль администратора хранится в зашифрованном виде, для его получения достаточно 256bit AES ключа находящегося на рабочей станции. Таким образом, этот способ также не является безопасным.

                  Централизованное изменение пароля

                  Еще одним вариантом изменения пароля является выполнение скрипта не на рабочей станции, а непосредственно на сервере. Пример скрипта для осуществления этого можно найти в статье:

                  «How Can I Change a User’s Password?». Предложенный там скрипт:

                  Set objOU = GetObject(“LDAP://OU=Finance, DC=fabrikam, DC=com”)

                  objOU.Filter = Array(“Computer”)

                  For Each objItem in objOU

                  strComputer = objItem.CN

                  Set objUser = GetObject(“WinNT://” & strComputer & “/Administrator”)

                  objUser.SetPassword(“i5A2sj*!”)

                  Next

                  берет информацию о компьютерах из контейнера Active Directory и поочередно подключаясь к каждому из них меняет пароль администратора. Из минусов такого варианта можно отметить:

                  · необходимость удаленного подключения к компьютерам (а они не всегда могут быть доступны);

                  · организацию автоматического запуска скрипта по расписанию.

                  Усложнение структуры скрипта

                  Достаточно много вариантов с применением скриптов изложено в обсуждение «Смена пароля локального администратора» на форумах Microsoft Technet. Особенно интересен вариант с веб-сервером. При его использовании компьютер во время загрузке обращается к серверу, на котором выполняется скрипт по изменению пароля локального администратора. Таким образом этот способ удачно сочетает в себе двух других вариантов, основанных на использовании startup-скриптов и централизованной смены пароля.

                  Заключение

                  В статье предложены различные способы централизованной автоматической смены пароля локального администратора на рабочих станциях домена Active Directory. Для каждого рассмотрена возможность получения учетных данных потенциальным злоумышленником. В конце статье предложен наиболее безопасный, с точки зрения автора, алгоритм.

                  Ссылки:

                  · Script Encoder;

                  · Passwords in Group Policy Preferences;

                  · Change local administrator passwords with Group Policy Preferences;

                  · How Can I Change a User’s Password? ;

                  · Форумы Technet: Смена пароля локального администратора.

                • Главная Exchange/UC, Windows, Без рубрики, Новое Active Directory, Exchange 2007, Exchange 2010, Windows 2008 R2
                  • Exchange Server 2010: Быстрый старт

                    logo1111

                    Продолжаю делать “гамбуреры”,  на этот раз  новое видео рассказывает о том как с 0 установить почтовый сервер Exchange 2010. Мануалов по нажатиям клавиш “Enter” в интернете достаточно, но я пошел другим путем. Постарался дать готовое решение. Я прекрасно понимаю, что 50 минут очень мало даже для экскурсного знакомства с данным продуктом. Но все же я постарался вложить в это время тот прожиточный минимум, который должен убрать панику от слова Exchange  у людей не знакомых с данным продуктом. На мой взгляд основные концепции для успешного старта я дал.

                  • Главная Security, Windows, Без рубрики, Новое Active Directory, Security
                    • Двухфакторная аутентификация в Службе Каталога Active Directory Domain Services. [2]

                      authentication Методы защиты при использовании аутентификации по паролю. Для защиты паролей от взлома следует настроить соответствующую политику. Для этого необходимо с помощью меню Start->Administrative Tools-> Group Policy Management запустить консоль управления групповыми политиками GPMC, выбрать требуемый объект групповой политики раздел Computer Configuration->Policies->Security Settings->Account Policies->Password Policy См. Рис. 1 (Управление параметрами паролей).