Главная Networks, Windows, Без рубрики, Новое oplock, simple message block, Smb, smb signing, smb2
  • Протокол SMB. Что же у него внутри?

    FileTransfer Для обмена информации между пользователями, чаще всего используется локальная сеть или интернет. В локальных сетях большая часть информации передается через простую передачу файлов. Конечно есть системы документооборота, которые призваны упростить жизнь всем, включая сотрудников с их бумажной волокитой. Но данные решения требуют больших трудозатрат на внедрение, поэтому, на данный момент, чаще всего используется обычный файл-сервер. К тому же очень часты просто “файло-помойки” со всяким контентом. Обмен данными (в среде операционных систем Microsoft и не только) происходит по протоколу SMB.

    В данном обзоре основной упор будет сделан на “новый” протокол SMB2, но так же будет встречаться упоминания об SMB1. Операционные системы использовались MS Windows 2008/2008R2.

  • Главная Security, Windows, Без рубрики, Новое IE, Security, Конкурс
    • Безопасно ли пользоваться браузером Internet Explorer

      image001Ощущение безопасности делает человека неосторожным.
      Александр Дюма (отец)

      В Интернете часто можно встретить рекомендацию не пользоваться Internet Explorer, которую умудренные опытом «гуру» дают начинающим или уже пострадавшим от вирусов пользователям. Я не считаю ее грамотной, и последние тенденции развития браузеров и угроз в Интернете только укрепляют меня в этом мнении. Если вы пользуетесь другим браузером, потому что он удобнее (быстрее, красивее и т.д.), я вас поздравляю – вы сделали осознанный выбор. Но если вы предпочитаете другой браузер исключительно из соображений безопасности, я не могу согласиться – в Windows 7 просмотр сайтов в Internet Explorer 8 с последними обновлениями и со стандартными настройками безопасности вряд ли рискованнее, чем в других браузерах.

    • Главная Security, Windows, Без рубрики, Новое Security, Update, Windows 7, Конкурс
      • Почему важно обновлять Windows и установленные в ней программы

        image006 Это вторая статья из цикла «Безопасность в Windows, не прилагая усилий». В первой статье мы разобрались с тем, где спрятаны рекомендации Microsoft, поговорили о роли кнопки «Да» в обеспечении безопасности системы и определили преимущества лицензионного  программного обеспечения. Данный материал целиком посвящен одной из самых важных тем безопасной работы в Windows – своевременному обновлению операционной системы и приложений, которые в ней установлены.

        • Перевод физических серверов в виртуальную среду (P2V)

          В этой статье я Вам расскажу, каким образом, используя только бесплатные средства, можно виртуализировать физический сервер. Виртуализировать сервер мы будем на платформе Hyper-V Windows Server 2008 R2.

          В качестве инструмента для перевода сервера из физической в виртуальную среду будем использовать System Center Virtual Machine Manager 2008 R2 (SCVMM). Здесь необходимо отметить, что это – продукт не бесплатный, но для нашей задачи можно скачать пробную версию, которая будет работать 180 дней. Этого времени с громадным запасом хватит, чтобы конвертировать все необходимые сервера в виртуальную среду.

        • Главная Security, Windows, Без рубрики, Новое Security, Windows 7, Конкурс
          • Как удалить вирус без антивируса

            antivirus Неважно, как далеко вы ушли по неправильному пути – возвращайтесь.

            Турецкая поговорка

            Очень интересно смотреть на людей, которые, понимая наличие компьютерного вируса на своей операционной системе Windows, проводят конкурс: какой антивирус лучше. Из интернета или с имеющегося диска используются все антивирусы подряд, пока очередной не скажет, что вирус найден и вылечен. Однако этот метод не всегда дает нужный результат и тогда человек переустанавливает операционную систему и успокаивается.

          • Главная Windows, Без рубрики, Новое Active Directory, Security
            • Безопасность в Active Directory

              Security shield windows Часто при проектировании логической структуры Active Directory возникает вопрос, какую модель выбрать, чтобы она была более безопасной, более надежной и в тоже время более выгодной и управляемой.

              Не секрет, что отдельный домен в лесу не является изолированной единицей и что полномочный администратор из корневого домена леса может получить доступ к любым единицам данных в лесу. Также любой администратор домена не из корневого домена леса может получить доступ к другим доменам. Это описано во многих руководствах Microsoft. Вот отрывок из руководства по разработке архитектуры службы каталога (Designing and Deploying Directory and Security Services):

              • Прозрачная авторизация на терминальных серверах

                clip_image002Одним из основных неудобств для пользователя при запуске удаленного рабочего стола или опубликованного на терминальном сервере приложения является необходимость ввода своих учетных данных. Ранее для решения этой проблемы использовался механизм сохранения учетных данных в настройках клиента удаленного рабочего стола. Однако данный способ имеет несколько существенных недостатков. Например, при периодической смене пароля приходилось изменять его вручную в настройках терминального клиента.

                В связи с этим, для упрощения работы с удаленным рабочим столом в Windows Server 2008 появилась возможность использования технологии прозрачной авторизации Single Sign-on (SSO). Благодаря ей пользователь при входе на терминальный сервер может использовать учетные данные, введенные им при логине на свой локальный компьютер, с которого происходит запуск клиента удаленного рабочего стола.

                В статье приведен обзор алгоритма работы технологии прозрачной авторизации Single Sign-On и поставщика услуг безопасности Credential Security Service Provider (CredSSP). Рассмотрен способ настройки клиентской и серверной частей. Также освещен ряд практических вопросов связанных с прозрачной авторизацией для служб удаленных рабочих столов.

                Теоретическая информация

                Технология SSO позволяет сохранение учетных данных пользователя и автоматическую передачу их при соединении с терминальным сервером. С помощью групповых политик можно определить сервера, для которых будет использоваться данный способ авторизации. В этом случае, для всех остальных терминальных серверов вход будет осуществляться традиционным образом: посредством ввода логина и пароля.

                Впервые механизмы прозрачной авторизации появились в Windows Server 2008 и Windows Vista. благодаря новому поставщику услуг безопасности CredSSP. С его помощью кэшированные учетные данные передавались через безопасный канал (используя Transport Layer Security (TLS)). Впоследствии Microsoft выпустила соответствующие обновления для Windows XP SP3.

                Рассмотрим это более подробно. CredSSP может использоваться в следующих сценариях:

                · для сетевого уровня аутентификации (NLA), позволяя пользователю быть узнанным до полной установки соединения;

                · для SSO, сохраняя учетные данные пользователя и передавая их на терминальный.

                При восстановлении сеанса внутри фермы, CredSSP ускоряет процесс установки соединения, т.к. терминальный сервер определяет пользователя без установки полноценного соединения (по аналогии c NLA).

                Процесс аутентификации происходит по следующему алгоритму.

                1. Клиент инициирует установку безопасного канал с сервером, используя TLS. Сервер передает ему свой сертификат, содержащий имя, удостоверяющий центр и публичный ключ. Сертификат сервера может быть самоподписанным.

                2. Между сервером и клиентом устанавливается сессия. Для неё создается соответствующий ключ, который в дальнейшем будет участвовать в шифровании. CredSSP использует протокол Simple and Protected Negotiate (SPNEGO) для взаимной аутентификации сервера и клиента так, чтобы каждый из них мог доверять друг другу. Этот механизм позволяет клиенту и серверу выбрать механизм аутентификации (например, Kerberos или NTLM).

                3. Для защиты от перехвата, клиент и сервер поочередно шифруют сертификат сервера, используя ключ сессии, и передают его друг другу.

                4. Если результаты обмена и исходный сертификат совпадают, CredSSP на клиенте посылает учетные данные пользователя на сервер.

                Таким образом, передача учетных данных происходит по зашифрованному каналу с защитой от перехвата.

                Настройка

                Поставщик услуг безопасности CredSSP является частью операционной системы и входит в состав Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2. Кроме того, он может быть установлен в качестве отдельного обновления на Windows XP SP3. Этот процесс подробно описан в статье «Description of the Credential Security Support Provider (CredSSP) in Windows XP Service Pack 3». Для установки и включения CredSSP на Windows XP SP3 необходимо выполнить следующие действия.

                1. Запустить редактор реестра regedit и перейти в ветку: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

                2. Добавить значение tspkg к ключу Security Packages (остальные значения этого ключа следует оставить неизменными).

                3. Перейти в ветку реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders.

                4. Добавить значение credssp.dll к ключу SecurityProviders (остальные значения этого ключа следует оставить неизменными).

                После того как CredSSP включен, необходимо настроить его использование с помощью групповых политик или соответствующих им ключей реестра. Для настройки SSO на клиентских компьютерах используются групповые политики из раздела:

                Computer Configuration\Administrative Templates\System\Credentials Delegation.

                В русскоязычных версиях операционных систем это выглядит следующим образом (рис. 1).

                clip_image004[5]

                Рис. 1. Управление передачей учетных данных при помощи групповых политик

                Для использования SSO следует включить политику:

                Разрешить передачу учетных данных, установленных по умолчанию.

                Кроме того, после включения, следует установить для каких именно серверов будет использоваться данный способ авторизации. Для этого необходимо выполнить следующие действия.

                В окне редактирования политики (рис. 2) нажать кнопку «Показать»

                clip_image006[7]

                Рис. 2. Окно редактирования групповой политики

                Добавить список терминальных серверов (рис. 3).

                clip_image008

                Рис. 3. Добавление терминального сервера для прозрачной авторизации

                Строка добавления сервера имеет следующий формат:

                TERMSRV/имя_сервера.

                Также можно задать сервера по маске домена. В этом случае строка приобретает вид:

                TERMSRV/*.имя_домена.

                Если нет возможности использовать групповые политики, соответствующие настройки можно установить при помощи редактора реестра. Например, для настройки Windows XP Sp3 можно использовать следующий файл реестра:

                Windows Registry Editor Version 5.00

                [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

                “Security Packages”=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\

                00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\

                6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\

                00,73,00,70,00,6b,00,67,00,00,00,00,00

                [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]

                “SecurityProviders”=”msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll”

                [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation]

                “AllowDefaultCredentials”=dword:00000001

                “ConcatenateDefaults_AllowDefault”=dword:00000001

                [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials]

                “1”=”termsrv/*.mydomain.com”

                Здесь вместо mydomain.com следует подставить имя домена. В этом случае при подключении к терминальным серверам по полному доменному имени (например, termserver1.mydomain.com) будет использоваться прозрачная авторизация.

                Для использования технологии Single Sign-On на терминальном сервере необходимо выполнить следующие действия.

                1. Открыть консоль настройки служб терминалов (tsconfig.msc).

                2. В разделе подключения перейти в свойства RDP-Tcp.

                3. На вкладке «Общие» установить уровень безопасности «Согласование» или «SSL (TLS 1.0)» (рис. 4).

                clip_image009

                Рис. 4. Настройка уровня безопасности на терминальном сервере

                На этом настройку клиентской и серверной части можно считать законченной.

                Практическая информация

                В этом разделе рассмотрим ограничения на использование технологии прозрачной авторизации и проблемы, которые могут возникнуть при её применении.

                1. Технология Single Sign-On работает только при соединении с компьютеров под управлением операционной системы не Windows XP SP3 и более старших версий. В качестве терминального сервера могут быть использованы компьютеры с операционной системой Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2.

                2. Если терминальный сервер, к которому устанавливается соединение, не может быть аутентифицирован через Kerberos или SSL-сертификат, SSO работать не будет. Это ограничение можно обойти с помощью политики:

                Разрешить делегирование учетных данных, установленных по умолчанию с проверкой подлинности сервера «только NTLM».

                3. Алгоритм включения и настройки данной групповой политики аналогичен представленному выше. Файл реестра, соответствующей данной настройке имеет следующий вид.

                [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation]

                “AllowDefCredentialsWhenNTLMOnly”=dword:00000001

                “ConcatenateDefaults_AllowDefNTLMOnly”=dword:00000001

                [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly]

                “1”=”termsrv/*.mydomain.com”

                Аутентификация данным способом менее безопасна, чем при использовании сертификатов или Kerberos.

                4. Если для какого-либо сервера сохранены учетные данные в настройках терминального клиента, то они имеют более высокий приоритет, чем текущие учетные данные.

                5. Single Sign-On работает только при использовании доменных аккаунтов.

                6. Если подключение к терминальному серверу идет через TS Gateway, в некоторых случаях возможен приоритет настроек сервера TS Gateway над настройками SSO терминального клиента.

                7. Если терминальный сервер настроен каждый раз запрашивать учетные данные пользователей, SSO работать не будет.

                8. Технология прозрачной авторизации работает только с паролями. В случае использования смарт-карт, она работать не будет.

                Для корректной работы SSO на Windows XP SP рекомендуется установить два исправления из KB953760: «When you enable SSO for a terminal server from a Windows XP SP3-based client computer, you are still prompted for user credentials when you log on to the terminal server».

                В некоторых случаях возможна ситуация когда на одном и том же терминальном клиенте технология прозрачной авторизации может работать или не работать в зависимости от профиля подключающегося пользователя. Проблема решается пересозданием профиля пользователя. Если это является слишком трудоемкой задачей можно попробовать воспользоваться советами из обсуждения: «RemoteApp Single Sign On (SSO) from a Windows 7 client» форумов Microsoft Technet. В частности, рекомендуется сбросить настройки Internet Explorer или одобрить соответствующую надстройку для него.

                Еще одним серьезным ограничением технологии SSO является то, что она не работает при запуске опубликованных приложений через TS Web Access. При этом пользователь вынужден дважды вводить учетные данные: при входе на веб-интерфейс и при авторизации на терминальном сервере.

                В Windows Server 2008 R2 ситуация изменилась в лучшую сторону. Более подробную информацию об этом можно получить в статье: «Introducing Web Single Sign-On for RemoteApp and Desktop Connections“».

                Заключение

                В статье рассмотрена технология прозрачной авторизации на терминальных серверах Single Sign-On. Её использование позволяет сократить время, затрачиваемое пользователем для входа на терминальный сервер и запуск удаленных приложений. Кроме того, с её помощью достаточно единожды вводить учетные данные при входе на локальный компьютер и затем использовать их при соединении с терминальными серверами домена. Механизм передачи учетных данных достаточно безопасен, а настройка серверной и клиентской части предельно проста.

                Дополнительные ресурсы

                · Single Sign-On for Terminal Services

                · How to enable Single Sign-On for my Terminal Server connections

                · Introducing Web Single Sign-On for RemoteApp and Desktop Connections

                · Description of the Credential Security Support Provider (CredSSP) in Windows XP Service Pack 3

                · When you enable SSO for a terminal server from a Windows XP SP3-based client computer, you are still prompted for user credentials when you log on to the terminal server

                • Первая встреча Russian Citrix User Group – Москва – 27 мая

                  CitrixUserGroupsПриглашаем Вас на встречу Russian Citrix User Group в Москве.
                  На первой встрече Russian Citrix User Group, за кружкой вкусного пива, Денис Гундарев, Citrix Technology Professional расскажет о своих впечатлениях от Citrix Synergy 2010 – главного ежегодного мероприятия компании Citrix и о новинках, представленных на этой конференции.

                  В программе встречи – описание новинок, планы Citrix на будущее, технические детали.
                  Самое главное на этой встрече – обмен опытом.
                  На терминальном сервере не работает печать или 1С? Приходите, на встрече будут администраторы, у которых все работает 🙂
                • Главная Windows, Без рубрики, Новое Citrix XenApp, Load Balansing
                  • Балансировка нагрузки в Citrix XenApp

                    balancing_act Одним из преимуществ использования Citrix XenApp по сравнению с базовым функционалом Терминальных Служб Windows (по новому – RDS) является расширенные возможности по балансировке нагрузки. Данный функционал реализован компонентом Load Manager.

                    В этой статье я попытался описать технические детали того, как работает балансировка нагрузки в Citrix XenApp.

                  • Главная Virtualization, Windows, Без рубрики, Новое Virtualization, Windows 2008 R2, Windows Server 2008
                    • Виртуализация сервера приложений 1С с аппаратным ключом

                      13f561e539d0

                      Продукты компании 1С прочно вошли в жизнь большинства современных российских компаний, и используются практически во всех областях коммерческой деятельности. Многие компании используют типовые продукты компании 1С, для автоматизации бухгалтерского учета, кадрового учета, товарного учета и других областей.

                      Многие знают, что для работы сервера приложений 1С необходим аппаратный HASP-ключ, выпускаемый в формате LPT-переходника или USB-донгла. В отношении виртуализации у компании 1С мнение весьма специфичное – раньше представители компании заявляли о невозможности работы сервера в виртуальной среде, а теперь предлагают приобрести программный ключ защиты вместе с новым комплектом ПО за 40000р.

                      Данный подход не кажется сильно лояльным, однако при более детальном рассмотрении проблемы, удалось найти более экономичное и удобное решение.