Jump to content

afotakel

Members
 View Profile  See their activity

  • Posts

    2326

  • Joined

  • Days Won

    1

 Content Type 

Blog Entries posted by afotakel

  1. afotakel
    Ένα συχνό πρόβλημα είναι η αδυναμία να ενημερώσουμε τις εφαρμοζόμενες πολιτικές σε όλα (ή μέρος) των υπολογιστών του δικτύου μας. Για παράδειγμα, ενδέχεται να έχουμε φτιάξει μια νέα πολιτική που θα αλλάζει τη διεύθυνση του proxy της εταιρείας μας. Το ζήτημα είναι ότι δεν μπορούμε να είμαστε σίγουροι για το πότε οι υπολογιστές θα πάρουν τη ρύθμιση αυτή.
    Μια πολύ καλή λύση (προσωπικά, η καλύτερη) είναι να εγκαταστήσουμε το εργαλείο GPupdate της SpecOps. Ενδέχεται να το γνωρίζετε αρκετοί (εγώ το ανακάλυψα αργά-πριν κανένα 6μηνο) και έχει αναφερθεί και ο Χρήστος επιγραμματικά σε αυτό. Ωστόσο, μιας και ανανεώθηκε (η έκδοση 2 πλέον υποστηρίζει και Βίστα/2008 32&64-bit) ας του ρίξουμε μια ματιά.
    Καταρχήν να πούμε ότι το πρόγραμμα είναι δωρεάν μεν, αλλά θέλει να εγγραφτείτε δίνοντας κάποιο εμαιλ στο οποίο θα σας έρθει το λινκ.
    Μετά την εγκατάσταση (προαπαιτούνται τα Administrative Tools) παρατηρούμε ότι δεν εμφανίζεται στη λίστα με τα προγράμματα. Πρόβλημα; Καθόλου, μιας ενσωματώνεται με το AD Users & computers. Οπότε απλά εκκινούμε το ADUC.
    Στη συνέχεια κάνουμε δεξί κλικ σε κάποιο πισί ή OU και βλέπουμε τη λίστα με τις επιλογές μας:

     
    Επιλέγοντας GPUpdate παίρνουμε μια αναφορά που μας δείχνει σε πόσα πισιά εκτελέστηκε επιτυχώς και σε ποιά όχι:

     
    Για βλέπετε ότι χρειάζεστε κάτι παραπάνω (βλ. gpupdate /force) μπορείτε να το κάνετε και αυτό ως εξής:
    Πηγαίνετε στα pinned commands και επιλέγετε New pinned command και το ρυθμίζετε δεόντως:

     
     
    Κερασάκια στην τούρτα:
    Η επιλογή “Run Windows Update”. Αντίστοιχη του wuauclt.exe/detectnow Shutdown/Restart computer : Όχι ότι δεν έχουμε άλλους τρόπους να το κάνουμε, αλλά η ενοποίηση με το ADUC είναι αλλιώς, πως να το κάνουμε. Η επιλογή “Start computer” (με κάποιους περιορισμούς, αλλά δώστε της μια ευκαιρία)  
    Ελπίζω να το βρείτε χρήσιμο.
  2. afotakel
    Εδώ (http://www.securelist.com/en/blog/750/Full_Analysis_of_Flame_s_Command_Control_servers) μπορείτε να βρείτε μια πρόσφατη και ολοκληρωμένη ανάλυση του Flame.
    Εντύπωση μου προκάλεσε η μεγάλη απλότητα του πίνακα ελέγχου C&C ενώ φαίνεται πως έχουμε να κάνουμε με ολόκληρη οικογένεια 4 συγγενικών προγραμμάτων (SP, SPE, FL, IP) εκ των οποίων μόνο το ένα (FL) είναι ο flame! Κοινώς, είναι μεγάλη η πιθανότητα τα υπόλοιπα 3 να εξακολουθούν να κυκλοφορούν ανάμεσά μας πιθανόν από το 2006…
  3. afotakel
    Το θέμα ξαναπέρασε εδώ http://autoexec.gr/forums/thread/6637.aspx αλλά απλά ως αναφορά και ίσως κάποιοι να μην το είδανε. Το λέω γιατί τα GPP είναι πάρα πολύ καλό εργαλείο στο χέρια του αδμιν και δεν είδα συμμετοχή.

    Τί είναι τα GPP:

    Ουσιαστικά είναι προεκτάσεις πάνω στις δυνατότητες των GPO που μας δίνουν τη δυνατότητα να κάνουμε απλά πράγματα όμως που μέχρι τώρα ήταν δύσκολο έως ιδιαίτερα δύσκολο να τα κάνουμε. Ειδικότερα μάλιστα με την ευελιξία που μας παρέχουν τα GP.

     

    Τι παραπάνω μου δίνουν;

    Πάμε να δούμε κάποια χαρακτηριστικά από κοντά. Παρατηρήστε αρχικά ότι εμφανίζονται ως ξεχωριστή κατηγορία στο GPO:

     

     

    Οι επιλογές που υπάρχουν είναι (κατά τα γνωστά) ελαφρώς διαφορετικές στο κομμάτι user κ στο computer.

    Environment: Μπορούμε να εισάγουμε environmental variables. Π.χ. αν θέλω όλοι να έχουν στο path τους το C:\tools μπορώ απλά να το προσθέσω. Μπορώ όμως να δώσω και UNC path! Π.χ. \\server1\tools

    Εξαιρετικά βολικό για το τμήμα ΙΤ που δε χρειάζεται πλέον να περιφέρει τα εργαλεία τους σε κάθε πισί και να έχει να τα συγχρονίζει μεταξύ τους όποτε βγαίνει κάποια νέα έκδοση.

    Files/Folders: Θέλω όλοι οι χρήστες να έχουν το αρχείο ή το φάκελο Tools κάτω από το Program Files και να τον ενημερώνουν αυτόματα; Άπλά το ορίζω εδώ και τέλος. Ούτε net use ούτε script ούτε τίποτα…

    Registry: Ομοίως με τα παραπάνω. Αν θέλω το HKLM\System\Value να υπάρχει σε όλους και να έχει την τιμή 1, απλά το ορίζω εδώ.

    Network shares: Τέρμα τα net use. Όλες οι αντιστοιχήσεις δίσκων γίνονται και από εδώ.

    Shortcuts:Θέλετε όλοι οι χρήστες να έχουν μια συντόμευση πάνω στην επιφάνεια εργασίας που θα δείχνει στο \\server\apps\uselessApp.exe ? Εύκολο. Θέλετε να έχει και δικό του εικονίδιο; Ακόμα πιο εύκολο.

    Data sources:Επιτέλους ένας εύκολος τρόπος να εγκαταστήσουμε DSNs στους clients για να βλέπει η εφαρμογή που έχουν το σωστό σερβερ. Ακόμα και αν η εφαρμογή που δουλεύουν οι χρήστες το κάνει μόνο της αυτό, έχω ένα πλεονέκτημα: Αν αλλάξει ο σερβερ, αλλάζω απλά τη ρύθμιση στο GPO και τελείωσα.

    Devices:  Μπορώ να υποδείξω μια συσκευή από το πισί μου και να ορίσω αν θέλω οι χρήστες να την έχουν ενεργοποιημένη ή όχι στα πισιά τους. Κερασάκι στην τούρτα: Μπορώ να το ορίσω και για χρήστη. Οπότε ο χρήστης Χ δεν θα έχει πρόσβαση στο CD-ROM του ενώ ο Υ θα έχει.

    Local Users and groups: Ένας πονοκέφαλος (που είχε για ασπιρίνη το scripting) είναι οι τοπικοί χρήστες και γκρουπ των πισιών. Αν ήθελα να δημιουργήσω σε 50 πισιά έναν τοπικό χρήστη με περιορισμένα δικαιώματα ήταν λίγο μπελάς. Πλέον όχι.

    Network Options: Φτιάξτε συνδέσεις VPN και οι χρήστες θα τις πάρουν αυτόματα! Τέλος τα μεταμεσονύχτια τηλεφωνήματα από τους πωλητές που έχουν τους φορητούς και όλο ξεχνάνε πως ρυθμίζουν ή σβήνουν τη σύνδεση. Εννοείται ότι αν αλλάξουν οι συνδέσεις απλά αλλάζω τη ρύθμιση, έτσι;

    Power Options: Ένα από τα συν των Vista είναι ότι μπορούμε να διαχειριστούμε τις ρυθμίσεις ενέργειας μέσω Group Policy. Τα ΧΡ δεν είχαν σχετική δυνατότητα (και το να βάλεις τις ρυθμίσεις με το ζόρι, απλά δεν τα συγκινεί). Πλέον μπορώ να ορίσω ότι όλα τα πισιά θα πέφτουν σε αδράνεια μετά από 2 ώρες αδράνειας. Πείτε το και στο οικονομικό σας τμήμα (με cc πάντα στον προϊστάμενό σας) να χαρεί.

    Printers: Η ΜΣ άργησε πολύ να μας δώσει το προφανές: Έναν εύκολο τρόπο να αντιστοιχίζουμε εκτυπωτές σε χρήστες ή πισιά. Τελικά, τα τελευταία 3 χρόνια μας έδωσε 3 τρόπους. Ορίστε ο πιο πρόσφατος. Οπότε μπορείτε πλέον να ορίσετε ότι οπουδήποτε και αν συνδεθεί ο κ. Εκτυπωτίδης θα μπορεί πάντα να έχει προεπιλογή τον αγαπημένο του εκτυπωτή \\Server\PrionokordelaUltra

    Scheduled tasks: Η χαρά του admin. Φτιάξτε μια χρονοπρογραμματισμένη ενέργεια και μοιράστε την σε όλους. Κερασάκι στην τούρτα το “immediate task” που θα εκτελεστεί άμα τη ενημερώσει της πολιτικής στα πισιά. Συνδυάζεται πολύ καλά με το files/folders. Αντιγράφετε ένα αρχείο και το ορίζετε πότε θέλετε να εκτελεστεί. Τί λέτε για ένα shutdown του πισιού όταν πάει 23:00;

    Services: Όχι απλά τι θα τρέχει και τι όχι (έχουμε τις πολιτικές για αυτό) αλλά “Ως ποιός χρήστης θα τρέχει” και “τι θα κάνει άμα το service σκάσει”. Θέλετε να αλλάξετε για λόγους ασφαλείας τον κωδικό που χρησιμοποιεί ο SQL Server αλλά τον χρησιμοποιούν και άλλα 47 Instances στην εταιρεία; Πλέον δεν έχετε δικαιολογία. Θυμηθείτε μόνο να επανεκκινήσετε τα service με το που θα αλλάξετε τον κωδικό. Από την άλλη βέβαια μπορείτε απλά να ρυθμίσετε το recovery της σχετικής υπηρεσίας να επανεκκινήσει.

     

    Υπενθύμιση για όλα τα παραπάνω: Προσέξτε ποιά ρύθμιση θα αλλάξετε. Εάν θέλετε να εφαρμόζεται στο χρήστη ή στο πισί. Εφαρμόστε πιλοτικά τις πολιτικές σε κάποιο/α πισιά ή χρήστες και μετά ρίξτε το στην παραγωγή.

     

    Αυτό είναι όλο;

    Σχεδόν. Άφησα εκτός (πάρτε το ως άσκηση για το σπίτι) τις επιλογές που μπορώ να έχω για κάθε αντικείμενο που προσθέτω. Δηλ αν θέλω να Δημιουργήσω/Ενημερώσω/Αντικαταστήσω/Διαγράψω π.χ. τη συντόμευση που έφτιαξα για το χρήστη στην επιφάνεια εργασίας τους.

    Ακόμα, μπορώ τα εφαρμόσω κάθε ρύθμιση υπό συνθήκες. Δηλ item-level targeting



    Για παράδειγμα μπορώ να ορίσω ότι θέλω μεν να αντιγράψω ένα φάκελο στον τοπικό δίσκο τους χρήστη αλλά μόνο όταν έχει 80 GB ελεύθερα, έχει ΙΡ μεταξύ του 192.168.1.2-100, >512MB RAM, και μόνο στις 15 κάθε μήνα.

    Ορίστε



    Ωραία τα τα GPP αλλά πως τα αποκτώ ;

     

    Θέλουμε GPP Client Side Extensions (KB943729) για ΧΡ, Vista, Server 2003 (αν έχετε WSUS τότε πιθανότατα το έχετε μοιράσει ήδη αλλά δεν το ξέρετε).

    Διαφορετικά δεν θα εφαρμόζονται οι επιλογές που κάναμε παρά μόνο στους Server 2008. Στα Vista μάλιστα, αν εγκαταστήσετε και το Group Policy Management Console (από τα RSAT) τότε θα μπορείτε και να διαχειρίζεστε τα GPP. Όποιο GPΟ και αν δημιουργήσετε, τα GPP θα εμφανίζονται. Στα ΧΡ δεν ισχύει κάτι τέτοιο.

     

     

     

     

     

    Ελπίζω να βρείτε τα GPP χρήσιμα και να απελευθερώσετε χρόνο που χάνετε μέχρι τώρα για τέτοια πράγματα.

    Το ξαναλέω: ΤΕΣΤ, ΤΕΣΤ, ΤΕΣΤ πριν κάνετε οτιδήποτε.

    Α και φυσικά να τα τεστάρετε κιόλας

     

    update: Παρέλειψα να δώσω λινκ για τον σχετικό οδηγό της ΜΣ, Group Policy Preferences Overview.
  4. afotakel
    Σενάριο τρόμου:
    Παρασκευή, παραμονή 3ημέρου, 16:30. Καθώς κάνετε σχέδια για το πως θα το περάσετε, το σύμπαν συνωμοτεί εναντίον σας και πατάτε το “delete” ενώ έχετε επιλέξει ένα OU στο ADUC. Τι καλά να είχε το AD ένα “undo” και όλα να ήταν μέλι γάλα, ε;
    Λύσεις (δωρεάν)
    1: Sysinternals’ Adrestore.
     
     
     
     
     
     
     
     
     
     
     
     
     
     
    2: Quest’s ObjectRestore for ActiveDirectory
     
     
     
    Στα Windows Server 2008 έχουμε και ένα ακόμα εργαλείο που λέγεται “AD Snapshots”. Δεν είναι ακριβώς “undelete” βέβαια μιας και προσανατολίζεται περισσότερο προς την επαναφορά αλλαγών που κάναμε κατά λάθος σε κάποιο αντικείμενο.
    Στα δε Server 2008R2 θα υπάρχει και AD recycle bin.
    Αν κάποιος θελήσει να συνεχίσει τη “σειρά” και να τα παρουσιάσει, θα ενημερώσω το ποστ με τα αντίστοιχα λινκ. Διαφορετικά, ίσως το κάνω εγώ αργότερα.
     
    Σημείωση: Επειδή είναι η πρώτη φορά που ανεβάζω βίντεο αν κάτι δεν παίζει όπως θα έπρεπε κάντε τον κόπο να με ενημερώσετε για να βρω τι έκανα λάθος.
  5. afotakel
    Βγήκε η έκδοση του Microsoft Security Intelligence Report για το Β’ 6μηνο του 2008.
    Να σημειωθεί ότι δεν αναφέρεται μόνο σε MS προϊόντα και τρύπες αλλά σε όλα τα γνωστά προϊόντα που έχουν καταγεγραμμένες τρύπες αλλά και γενικότερα στις απειλές και τις τρέχουσες τάσεις στην ασφάλεια.
    Οι πιο ενδιαφέρουσες (κατά τη γνώμη μου) ανακαλύψεις:
    Ο κίνδυνος από “rogue security software” ή αλλιώς “scareware” ή αλλιώς “μούφα αντι-ιικό/αντί-spyware κλπ” εξακολουθεί να αυξάνει και μάλιστα σημαντικά. Οι συνολικές τρύπες μειώθηκαν 3% σε σχέση με το 1ο 6μηνο 2008 και 12% σε σχέση με το 2007. Όμως, αυξήθηκε 4% το ποσοστό τρυπών που είναι χαρακτηρισμένες ως “σημαντικές” και άνω. Πλέον αντιπροσωπεύουν το 52% του συνόλου! Οι τρύπες στα λειτουργικά μειώθηκε σε 8.8% του συνόλου. Συνολικά οι τρύπες της MS αντιστοιχούν στο 5% του συνόλου (σε όλα τα προϊόντα). Πρακτικά αυτό σημαίνει ότι ένας WSUS δεν αρκεί. Δεν πρέπει να ξεχνάμε και τα ActiveX (Java, flash, Κλπ). Αποτελούν στόχο του 60% των επιθέσεων σε ΧΡ και το 94,5% σε Βίστα! Τα αρχεία του Office δεν είναι αθώα. Ομοίως και τα PDF. Η πιο διαδεδομένη επίθεση είναι η κλοπή εξοπλισμού (32%) αλλά με τάση μείωσης. Άλλο 15% ωστόσο αντιπροσωπεύει ο “χαμένος” εξοπλισμός. Δηλ. εξοπλισμούς που απλά δεν ξέρουμε που βρίσκεται (θυμηθείτε πόσα φλασάκια έχετε χάσει!). Στα ίδια περίπου επίπεδα (16%) έρχεται το “χάκεμα”. Συμπέρασμα: Δεν αρκεί μόνο η τεχνική κάλυψη του θέματος “ασφάλεια”. Προέχει η φυσική ασφάλεια. 0,94% των υπολογιστών στην Ελλάδα στα οποία εκτελέστηκε το MSRT ήταν μολυσμένα. Προσθέστε και (α) σε πόσα απλά το MSRT δεν εκτελέστηκε, (β) πόσα δεν είναι windows και (γ) σε πόσα ναι μεν δε βρήκε κάτι αλλά δεν είναι σίγουρο ότι δεν θα μπορούσε να είναι μολυσμένα.
  6. afotakel
    Τα εργαλεία της sysinternals τα χρησιμοποιούμε λίγο-πολύ όλοι.
    Ευτυχώς ανανεώνονται τακτικά, πράγμα όμως που καθιστά δύσκολη την ενημέρωσή μας.
    Ωστόσο, κάτω από το http://live.sysinternals.com/ μπορεί κανείς να έχε άμεση πρόσβαση και να τρέξει ακόμα και κατευθείαν το εργαλείο που θέλει, στην τελευταία του έκδοση. Εξαίρεση τα εργαλεία που τρέχουν από γραμμή εντολών (ΟΧΙ DOS!) μιας και θα πρέπει να τα κατεβάσουμε τοπικά.
    Ένα τέτοιο ενδιαφέρον εργαλείο είναι το contig.exe. Ένα απλό πρόγραμμα που κάνει defrag στο δίσκο. Το μεγάλο του συν όμως είναι ότι μπορείτε να κάνετε επιλεκτική ανασυγκρότηση αρχείων.
    Ειδικά για όσους τρέχουν εικονικές μηχανές είναι ό,τι πρέπει.
    Για φανταστείτε ένα σκριπτάκι που θα τρέχει κάθε βράδυ και θα κάνει defrag σε όλα τα αρχεία vhd, vud, vsv που έχουμε;
    Εύκολο:
    cd \
    contig.exe –s *.vhd *.vud *.vsv
     
    Δωρεάν, απλό και χωρίς να απαιτεί εγκατάσταση.
  7. afotakel
    Ενίοτε συμβαίνει να θέλουμε αν εκτελέσουμε μια εντολή από τη γραμμή εντολών αλλά υπό προϋποθέσεις. Για παράδειγμα, θέλουμε να δημιουργήσουμε ένα φάκελο μόνο εφόσον δεν υπάρχει ήδη. Ή, αντίστροφα,θέλουμε να εκκινήσουμε μια εφαρμογή μόνο εφόσον η προηγούμενη εντολή που δώσαμε απέτυχε. Αυτό μπορούμε να το πετύχουμε χρησιμοποιώντας τους τελεστές “&”, “&&” και “||”.
     
    Παράδειγμα1: Θέλω να εκτελέσω 2 εντολές μαζί, τη μια μετά από την άλλη:
    dir C:\ & dir C:\windows
    Πρώτα θα εκτελεστεί το “dir C:\” και κατόπιν, ανεξαρτήτως αποτελέσματος, θα εκτελεστεί το “dir C:\windows”.
     
    Παράδειγμα2: Θέλω να εκτελεστεί η 2η εντολή μόνο εφόσον η 1η εκτελεστεί επιτυχώς:
    dir C:\NonExistingFolder && dir C:\windows
    Στην περίπτωση αυτή δε θα εκτελεστεί τίποτα γιατί ο φάκελος NonExistingFolder δεν υπάρχει.
     
    Παράδειγμα3: Θέλω να εκτελεστεί η 2η εντολή μόνο εφόσον η 1η αποτύχει:
     
    dir C:\NonExistingFolder || dir C:\windows
    Στην περίπτωση αυτή, το “dir C:\windows” θα εκτελεστεί κανονικά.
    Αν δώσω όμως
    dir C:\ExistingFolder || dir C:\windows
    τότε το dir C:\windows” δεν θα εκτελεστεί καθόλου.
     
    Αν θέλετε μπορείτε να το κάνετε και πιο σύνθετο βάζοντας πολλούς τελεστές μαζί. π.χ.
    dir C:\ && dir C:\ExistingFolder || dir C:\windows
    Στην περίπτωση αυτή, το “dir C:\windows” δεν θα εκτελεστεί ποτέ, αφού ο φάκελος ExistingFolder υπάρχει. Το “||” δηλαδή σχετίζεται μόνο με την αμέσως προηγούμενη εντολή.
    Αν θέλω το “dir C:\windows” να εκτελεστεί μόνο εφόσον αποτύχει τουλάχιστον μια εκ των δυο προηγούμενων εντολών, μπορώ να βάλω παρενθέσεις:
    (dir C:\NonExistingFolder1 & dir C:\NonExistingFolder2) || “dir C:\windows”
     
    Εννοείται ότι τα παραπάνω μπορούμε να τα εφαρμόσουμε και μέσα σε αρχεία batch.
    Που μπορεί να φανούν χρήσιμα όλα αυτά; Προσωπικά μου έχει φανεί χρήσιμο σε διάφορες περιπτώσεις. Κυρίως όμως σε 2:
    1. Θέλω να εκτελέσω κάποια εντολή σε ένα απομακρυσμένο σύστημα, ανάλογα όμως με το εάν απαντάει στα ping. Οπότε δίνω ping host1 || script.cmd
    Το script.cmd θα εκτελεστεί μόνο εφόσον το σύστημα δεν απαντήσει στο ping.
     
    2. Θέλω να εκτελέσω απομακρυσμένα μια εντολή που εάν δεν εκτελεστεί επιτυχώς θα χάσω την απομακρυσμένη σύνδεση. Στην περίπτωση αυτή χρησιμοποιώ το “||” για να ξεκινήσω με το χέρι το σχετικό listener που θα μου επιτρέψει να συνδεθώ εκ νέου και να διαπιστώσω τι πήγε στραβά.
  8. afotakel
    Λίγο το ότι μπαίνω συχνά με ρεμοτε δεσκτοπ σε διάφορους σερβερ ταυτόχρονα…
    Λίγο το ότι συχνά παίζει να έχω και ανοιχτό κανένα εικονικό μηχανάκι στο πισί…
    Ενίοτε μπερδεύομαι και ξεχνάω που είμαι συνδεδεμένος. Αυτό μπορεί να είναι απλά ενοχλητικό αλλά και επικίνδυνο.
    Σκεφτείτε να κλείσεις το λάθος σερβερ!
    Ένα καλό κόλπο (σε μένα δουλεύει έστω) είναι να βάζω διαφορετική ταπετσαρία σε κάθε σερβερ. Οπότε έτσι έχω, τον μπλε, τον κόκκινο, τον πράσινο κλπ, πράγμα που κάνει την αναγνώρισή τους πιο εύκολη και μάλιστα ασυναίσθητη.
  9. afotakel
    Σύμφωνα με έρευνα, το μέσος κόστος ενός χαμένου/κλεμμένου φορητού είναι $49.246. Πως βγαίνει αυτό;
    $1582 η αγορά νέου φορητού $262 στην αναζήτηση του φορητού από τον κάτοχο $814 στην έρευνα που έπεται από την εταιρεία $39.297 κόστος χαμένων δεδομένων $5.871 κόστος εμπιστευτικών πληροφοριών που υπήρχαν αποθηκευμένες σε μη-κρυπτογραφημένη μορφή $243 κόστος χαμένης εργασίας $1.177 λοιπά κόστη  
    Μερικά ενδιαφέροντα στοιχεία:
    Εντυπωσιακή διαφορά στο κόστος είχαν οι φορητοί που είχαν τα δεδομένα κρυπτογραφημένα (με τον ένα ή άλλο τρόπο) με αυτούς που όχι: $20.000 λιγότερο!
    Όσο νωρίτερα η εταιρεία μαθαίνει την απώλεια ($8.950 για την ίδια μέρα), τόσο μικρότερο το κόστος ($115.849 για >7 μέρες).
    Το κόστος της χαμένης εργασίας είναι πολύ μικρό σε σχέση με τα υπόλοιπα.
     
    Μπορεί τα παραπάνω κόστη να μην είναι ακριβή για το περιβάλλον του καθενός, αλλά σίγουρα μας δείχνει ότι είναι μετρήσιμο το κόστος και μας δίνει μια τάξη μεγέθους του. Όπως ξέρετε ό,τι μπορεί να μεταφραστεί σε νούμερα μπορεί και να υποστηρίξει και τα αιτήματά μας για π.χ. πρόγραμμα κρυπτογράφησης δεδομένων προς τα ανώτερα κλιμάκια καλύτερα από ένα απλό “χρειαζόμαστε το Χ πρόγραμμα”.
    Τελικά το κόστος απόκτησης του Bitlocker (προσωπική επιλογή λόγω ενοποίησης με AD) ή αντίστοιχου (π.χ. Check Point Full Disk Encryption) δε φαίνεται και τόσο κακή ιδέα….
    Και ένα τελευταίο σχόλιο: Τί γίνεται με τους προσωπικούς μας φορητούς;
  10. afotakel
    .. ή αλλιώς “που πήγε ο χώρος του δίσκου; οεο;”
     
    Ένα συχνό ζήτημα σε κάθε είδους περιβάλλοντα είναι η διαχείριση του χώρου και του είδους των αρχείων που αποθηκεύονται στους σερβερ. Τα ερωτήματα που δημιουργούνται συνήθως είναι της μορφής:
    Πόσο χώρο ατομικό/κοινόχρηστο πρέπει να δικαιούνται οι χρήστες στο σερβερ; Τί πρέπει να συμβαίνει όταν ο χρήστης πλησιάζει ή υπερβαίνει το χώρο αυτό;
    Τί είδους αρχεία επιτρέπονται στους σερβερ; Τί πρέπει να συμβαίνει όταν ο χρήστης αποθηκεύει έναν τύπο αρχείου από αυτά που δεν επιτρέπονται;
    Τί είδους αρχεία μου πιάνουν τον περισσότερο χώρο στο δίσκο;
    Ποιός χρήστης χρησιμοποιεί τον περισσότερο χώρο στο δίσκο;
    Λύση στα παραπάνω ερωτήματα μπορεί να δοθεί μέσω του File Server Resource Manager. Το χαρακτηριστικό αυτό υπάρχει μόνο σε Server 2003R2 και άνω.
     
    ΠΟΥ ΤΟ ΒΡΙΣΚΩ;
    Add/remove programs, Add/remove windows components, Management & monitoring tools. Ιδού:

    Επίσης περιλαμβάνεται στα Remote Server Admin Tools για Vista, Windows 7 για να μπορούμε να κάνουμε τη διαχείριση από τον client.
    Μετά την εγκατάσταση, ξεκινάμε το σχετικό snap-in και βλέπουμε ότι έχουμε 3 επιλογές:
    Quota Management
    File Screening Management
    Storage Reports Management
     
    Πριν παίξουμε με αυτά, σχεδόν επιβάλλεται να το ρυθμίσουμε πρώτα τις επιλογές του mail server. Δηλαδή, να δείξουμε στο FRSM τον mail server μας ώστε να μπορεί να μας στέλνει email.
    Πάμε εδώ

    και πράττουμε τα δέοντα στην καρτέλα “Email notifications”

     
    Συμβουλές:
    Φτιάξτε και δώστε ένα ομαδικό email στο οποίο θα σας στέλνει email ο σερβερ και εσείς απλά θα είστε μέλος. Έτσι θα μπορούν να ενημερώνονται >1 άτομα για τα συμβάντα. Επίσης όταν θα είστε διακοπές απλά θα βάζετε στην ομάδα αυτή το εμαιλ του αντικαταστάτη σας. Φροντίστε επίσης το όνομά να είναι αντιπροσωπευτικό. π.χ. στο παραπάνω παράδειγμα είναι προφανές ότι στο γκρουπ αυτό ανήκουν όσοι είναι αδμινς στον ΣερβερΧ. Ομοίως, δώστε ένα επεξηγηματικό όνομα στο “default from” πεδίο. Είναι αυτό που θα εμφανίζεται ως αποστολέας στο inbox σας. Στο παραπάνω παράδειγμα είναι εύκολο να καταλάβει κανείς όταν λάβει το εμαιλ ότι ο αποστολέας είναι το κομμάτι FSRM του ΣερβερΧ.  
    Πάμε παρακάτω τώρα…
    Quota Management:
    Από εδώ μπορούμε να ορίσουμε Quotas. Δηλαδή πόσο χώρο θέλουμε να διαθέτουμε σε κάθε χρήστη για συγκεκριμένο φάκελο. Για παράδειγμα μπορώ να ορίσω ότι στο φάκελο \\serverX\videos ο κάθε χρήστης θα μπορεί να κατέχει μέχρι 1 GB χώρο. Επίσης, μπορώ να ορίσω ότι όταν ο χρήστης φτάσει στο 80% του διαθέσιμου χώρου (soft quota) θα πάρει ένα προειδοποιητικό εμαιλ που εγώ θα ορίσω και ότι όταν εξαντλήσει το χώρο αυτό (hard quota) θα πάρει ένα ακόμα εμαιλ αλλά θα του απαγορευτεί να αποθηκεύσει άλλα αρχεία.
    Τα παραπάνω (αν και αρκετά πιο περιορισμένα) γίνονται και με τα κλασσικά NTFS quotas που έχουμε από τα Windows 2000. Ωστόσο πέραν των περιορισμών που έχουν (δεν μπορώ να στείλω εμαιλ, η διαχείριση είναι χειροκίνητη κλπ) είναι ΑΣΥΜΒΑΤΑ με τα quota του FSRM. Για το λόγο αυτό δεν πρέπει να ενεργοποιήσουμε NTFS και FSRM Quotas ταυτόχρονα πάνω στον ίδιο δίσκο.
    Για να δημιουργήσουμε νέα καταχώρηση απλά κάνουμε δεξί κλικ-> create quota. Ορίζουμε το φάκελο πάνω στον οποίο θέλουμε να δημιουργήσουμε περιορισμούς και μετά επιλέγουμε “define custom quota properties” –> Custom properties. Στις επιλογές που εμφανίζονται ορίζουμε τα όρια που είπαμε παραπάνω. Στο παράδειγμα της εικόνας έχω κάνει αυτό ακριβώς το πράγμα.

     
    Παρατηρείτε, ότι για το κάθε όριο μπορώ να ορίσω ανεξάρτητες επιλογές. Π.χ μπορώ στο 80% να στείλω εμαιλ μόνο στο χρήστη ενώ στο 100% να στείλω και στους διαχειριστές αλλά επίσης να το καταγράψω στο event log ή ακόμα και να εκτελέσω ένα δικό μου σκριπτ (που θα σβήνει τα αρχεία του χρήστη στο συγκεκριμένο φάκελο, χαχα! )
    Εάν τις παραπάνω επιλογές τις βρίσκετε βολικές και θέλετε να τις εφαρμόζετε σε παραπάνω από ένα φακέλους, μπορείτε να φτιάξετε ένα πρότυπο (template). Στο εξής, όποτε φτιάχνετε νέο quota απλά θα συνδέετε το πρότυπο με αυτό και τελειώσατε!
     
    File Screening Management:
    Το κομμάτι αυτό είναι ανεξάρτητο από τα quota και δουλειά του είναι να μας επιτρέψει να διαχειριστούμε το χώρο όχι ποσοτικά (quota) αλλά το ποιοτικά (είδος αρχείων). Έτσι, μπορούμε να ορίσουμε ότι όποτε ο χρήστης θα αποθηκεύει αρχεία ήχου θα παίρνει ένα ενημερωτικό εμαιλ ότι τα αρχεία αυτά δεν παίρνονται backup και μπορεί να χαθούνε ανά πάσα στιγμή. Αντίθετα, για αρχεία βίντεο μπορούμε να απαγορέψουμε τη δημιουργία τους και πάλι ο χρήστης να ενημερώνεται αυτόματα.
    Κατ’αρχήν πρέπει να ομαδοποιήσουμε τα είδη των αρχείων και αυτό γίνεται εύκολα από το “file groups”. Υπάρχουν ήδη κάποιες έτοιμες κατηγορίες αλλά πιθανότατα δεν θα σας καλύπτουν ή θα θέλουν κάποια τροποποίηση.
    Μετά, πάμε στο “file screens” και επιλέγουμε “create file screen”. Μετά ορίζουμε το φάκελο στον οποίο θέλουμε να εφαρμόσουμε την ανωτέρω πολιτική αρχείων μας. Η λογική είναι ίδια με τα quota. Δηλαδή και πάλι έχουμε έτοιμα πρότυπα ή μπορούμε να φτιάξουμε δικά μας. Αντίστοιχα, ίδιο σκεπτικό έχουμε και όταν επιλέξουμε “custom properties” όπου μπορούμε να ορίσουμε τις ενέργειες που θα εκτελούνται αυτόματα. Βασική απόφαση αποτελεί η επιλογή “active Vs passive screening” όπου ορίζουμε εάν θα μπλοκάρω τη δημιουργία αρχείων Χ τύπου (active screening) ή αν απλά θέλω να την παρακολουθώ/καταγράφω. Προτείνεται πρώτα να φτιάξετε μια πολιτική όπου θα καταγράψει το τι υπάρχει (και ενδεχομένως να αποστέλλει ένα σχετικό εμαιλ στο χρήστη) και αργότερα να προχωρήσετε σε μπλοκάρισμα ή και διαγραφές. Υπ’όψιν, ότι το file screening δεν διαγράφει (αυτόματα ή χειροκίνητα) ήδη υπάρχοντα αρχεία.
    Σημειώστε, ότι στο file screening το κριτήριο που ορίζει το είδος των αρχείων είναι απλά και μόνο η επέκταση τους πράγμα που σημαίνει ότι ένας προχωρημένος χρήστης μπορεί εύκολα να ξεγελάσει το μηχανισμό. Ωστόσο, με εκτεταμένη χρήση group policy και με χρήση και άλλων μεθόδων (proxies κλπ) μπορούμε να περιορίσουμε ή και να εξαλείψουμε το θέμα αυτό.
     
    Storage Reports Management
    Όπως μπορείτε να καταλάβετε από το όνομα, το κομμάτι αυτό του FSRM ασχολείται απλά με τις αναφορές. Ουσιαστικά είναι εδώ που συνήθως ξεκινάει και ολοκληρώνεται ο κύκλος διαχείρισης του file server. Δηλαδή, πρώτα δημιουργούμε μια αναφορά για να δούμε την τρέχουσα κατάσταση (μέγεθος και είδος των αρχείων που υπάρχουν), κατόπιν προχωράμε σε διορθωτικές ενέργειες (διαγραφή, μπλοκάρισμα, quota κλπ) και τέλος επανερχόμαστε για να δούμε το αποτέλεσμα – και πάλι από την αρχή.
    Τα είδη των αναφορών που μπορώ να επιλέξω (με δεξί κλικ –> Generate report now) είναι
    Αρχεία που υπάρχουν πολλές φορές στον ίδιο φάκελο (duplicate files) Προβολή συμβάντων file screening (file screening audit) Εμφάνιση των αρχείων ομαδοποιημένων κατά τύπο ή ιδιοκτήτη Αρχεία μεγαλύτερα από ένα συγκεκριμένο μέγεθος Τα πιο συχνά/σπάνια χρησιμοποιούμενα αρχεία Χρήστες που χρησιμοποιούν πάνω από π.χ. 70% του ορίου του χώρου τους Τις παραπάνω αναφορές φυσικά μπορώ να τις ρυθμίσω να δημιουργούνται αυτόματα (και να αποστέλλονται με εμαιλ!), αρκεί να επιλέγω δεξί κλικ –> Schedule a new report task. Έτσι η διαχείριση μπορεί να γίνει περισσότερο προνοητική παρά πυροσβεστική.
     
    Ολοκληρώνοντας να προσθέσω δυο ενοχλητικά χαρακτηριστικά του FRSM:
    Τόσο ο 2003 κ ο 2008 δυστυχώς δεν έχουν δυνατότητα NTFS Single Instancing (για την ακρίβεια την έχουν απενεργοποιημένη) παρά μόνο στις Storage εκδόσεις τους. Δεν υπάρχει τρόπος να εξάγει κάποιος τις ρυθμίσεις και να τις επανεισάγει σε κάποιον άλλο σερβερ. Όχι μεγάλο πρόβλημα αλλά Για όσους χρησιμοποιούν το FSRM με συνδυασμό με DFS είναι αρκετά ενοχλητικό.  
    Όλα τα παραπάνω δεν αποτελούν σε καμμία περίπτωση ολοκληρωμένη παρουσίαση του FSRM παρά μόνο μια γνωριμία και έναυσμα για να του ρίξετε μια ματιά ελπίζοντας να το βρείτε χρήσιμο.
    Περισσότερα για το FRSM μπορείτε να βρείτε στο technet ή στο σεμινάριο 6421.
  11. afotakel
    3 πράγματα που κατά καιρούς με έχουν βοηθήσει στην απόδοση των virtual pc που χρησιμοποιώ και τα προτείνω :
    Ρυθμίζω το αντιιικό (ναι, με 3 “ι”) να μην κάνει έλεγχο στα αρχεία vhd, vsv. Ακόμα καλύτερα, εξαιρώ όλο το φάκελο με τα virtual pc. Εξετάζω εάν αξίζει να συμπιέσω τα vhd αρχεία ή όχι (έχει αναφερθεί και εδώ http://autoexec.gr/forums/post/560.aspx). Συνήθως το επιλέγω μιας και η αυξημένη χρήση επεξεργαστή είναι (για μένα) λογικό τίμημα για το μικρότερη Ι/Ο του δίσκου (και το κέρδος σε χώρο). Ειδικά σε φορητούς (που συνήθως έχουν αργούς δίσκους) η διαφορά είναι σημαντική. Χρησιμοποιώ differencing disks. Με τον τρόπο αυτό μειώνεται πάρα πολύ ο απαιτούμενος χώρος για να αναπαραστήσεις ένα εικονικό δίκτυο υπολογιστών. Π.χ. για ένα περιβάλλον 2 σερβερ και 2 ΧΡ απαιτούνται μόνο 2 κύρια vhd images. Υπό συνθήκες, βοηθάει πολύ σε απόδοση όταν το ένα από τα 2 αυτά κύρια images είναι σε κοινόχρηστο φάκελο (γίνεται!) Έτσι, μπορείς να βάλεις ένα image server 2003 στο δίκτυο και όσοι χρειάζονται απλά το ορίζουν ως κύριο δίσκο και αποθηκεύουν τοπικά μόνο τις αλλαγές. Το μείον είναι βέβαια ότι είσαι δεσμευμένος από το σερβερ αυτό που μοιράζει το βασικό image. Ωστόσο, αν τα virtual pc που βασίζονται σε αυτό δουλεύουν πολύ το δίσκο, η διαφορά σε απόδοση είναι μεγάλη (μιας και διαβάζουν από το δίκτυο και γράφουν στο δίσκο, αντί να τα γράφουν/διαβάζουν από το δίσκο μόνο).  
    Όσοι έχετε κάποια δικιά σας ιδέα που χρησιμοποιείτε στο virtual pc και σας έχει βολέψει, συμπληρώστε ελεύθερα.
  12. afotakel
    Τελειώνουν οι IPv4 στην Κίνα!
     
    Μάλλον πρέπει να το σκεφτόμαστε κ εμείς σιγά σιγά.
    Ήδη, η ΜΣ έβαλε το IPv6 για πρώτη φορά σε σεμινάριό της. Για την cisco δεν ξέρω – όποιος ξέρει ας το γράψει παρακάτω.
  13. afotakel
    Το σενάριο: Έχουμε τον serverA που μοιράζει το φάκελο shareA (\\serverA\shareA). Θέλουμε να φτιάξουμε ένα ακριβές αντίγραφο στο \\serverB\shareB.
    Το θέμα είναι ότι θέλουμε όχι μόνο να αντιγράψουμε τα αρχεία αλλά να διατηρήσουμε τόσο τα shared folder όσο και τα NTFS δικαιώματα.
    Δυο εργαλεία μας βοηθάνε στη δουλειά αυτή. Το permcopy και το xcopy. Το πρώτο περιέχεται στο resource kit των 2003. Δουλειά του είναι να αντιγράψει τα shared folder δικαιώματα. Το δεύτερο υπάρχει εγκατεστημένο με το λειτουργικό.
    Δίνουμε λοιπόν permcopy \\serverA shareΑ \\serverB shareΒ και οι φάκελοι θα αποκτήσουν τα ίδια shared folder δικαιώματα.
    Στη συνέχεια πάμε πάνω στο φάκελο shareB και με το χέρι αντιγράφουμε τα NTFS δικαιώματα, όπως ακριβώς είναι στο shareA. Προσοχή, χρησιμοποιήστε τις επιλογές στο “advanced security” για να έχετε πλήρη έλεγχο.

     
    Τί γίνεται με τα αρχεία και τα ntfs δικαιώματα τους; Απλά ένα xcopy \\serverA\share1A \\serverB\shareB /E /V /H /O και θα αντιγραφούνε και αυτά.
     
    Ενδεχομένως να υπάρχουν και ταχύτεροι τρόποι που κάνουν αυτή τη δουλειά πλήρως αυτοματοποιημένα. Ωστόσο, προτιμώ τον τρόπο αυτό (εάν δε μπορώ να χρησιμοποιήσω DFS φυσικά) μιας και έχει λίγη χειροκίνητη δουλειά (αντιγραφή των NTFS δικαιωμάτων του φακέλου) και δε χρειάζεται να καταφύγουμε σε τρίτα εργαλεία (συχνά άγνωστης προέλευσης).
  14. afotakel
    Αν και είναι γνωστό ως θέμα, υπάρχουν ακόμα άτομα (και του ΙΤ) που ξαφνιάζονται όταν το μαθαίνουν. Μιας και δεν είδα να έχει ξαναπεράσει από τις συζητήσεις ας το γράψω για να το θυμηθούμε:
    Είναι απολύτως δυνατό και εύκολο στο Outlook να επεξεργαστεί κανείς ένα email που έχει λάβει.
    Για παράδειγμα, ανοίγω το email:

     
    πάω:

     
     
    αλλάζω ό,τι θέλω και κλείνοντας αποθηκεύω το μήνυμα. Το ξανανοίγω και ορίστε:

     
    Προφανώς δεν πρόκειται για κάποια κρυμμένη δυνατότητα ή κάτι που μόνο προχωρημένοι χρήστες μπορούν να κάνουν.
    Οπότε προσοχή όταν κάποιος συνάδελφος σας δείξει ένα email που πήρε από τη διεύθυνση όπου τον εξουσιοδοτεί για να του δώσετε τον κωδικό του admin…
    Χωρίς να έχω ασχοληθεί περισσότερο με το θέμα, απλά να αναφέρω για όσους θέλουν να το κόψουν ως χαρακτηριστικό, ότι μπορούν να το κάνουν μέσω Rights Management Services. Δε γνωρίζω εάν υπάρχει κάποιος άλλος τρόπος, οπότε συμπληρώστε ελεύθερα από κάτω
  15. afotakel
    Δεν το είχα προσέξει ως τώρα, αλλά στα Βίστα και άνω έχουμε μια αλλαγή στο πως εφαρμόζονται τα NTFS δικαιώματα.
    Ως τώρα (NT4 –> Windows Server 2003), εάν μεταφέρουμε (μεταφορά, όχι αντιγραφή) ένα αρχείο από ένα σημείο του δίσκου σε ένα άλλο του ιδίου δίσκου, θα διατηρήσει τα NTFS δικαιώματα που είχε αρχικά.
    Πλέον αυτό δεν ισχύει και το αρχείο θα αποκτήσει τα δικαιώματα του φακέλου στον οποίο μεταφέρεται.
    Δεν το είχα προσέξει, μέχρι σήμερα που διάβασα το σχετικό άρθρο. Προσέξτε την εξαίρεση στο κομμάτι “status”
  16. afotakel
    Έχουμε έναν SQL Server και θέλουμε να δούμε αν ο Χ χρήστης μπορεί να συνδεθεί. Τί καλά να είχαμε ένα εργαλείο που...
    1) να είναι δωρεάν
    2) να μη θέλει εγκατάσταση
    3) να μπορώ να το στείλω σε κάποιον με email χωρίς να είναι εκτελέσιμο
     
    ...ορίστε το εργαλείο!
     
    http://blogs.msdn.com/b/steverac/archive/2010/12/14/test-remote-sql-connectivity-easily.aspx
  17. afotakel
    Θες πισί με Βίστα εντερπρισε ή υλτιματε. Ακόμα καλύτερα, σερβερ 2008 Ενεργοποιείς από το ΒΙΟΣ το ΤΡΜ τσιπ. Μπορείς και χωρίς ΤΡΜ (με φλασάκι δηλ) αλλά είναι ελαφρώς άτοπη κίνηση. Θα έχεις τα μειονεκτήματα του βιτλοκερ, χωρίς όλα τα πλεονεκτήματα. Αφού τα εγκαταστήσεις, κατεβάσεις το BitLocker Drive Preparation Tool για να κάνεις τη ζωή σου πιο εύκολη. Ενημερώνεις το ακτιβ διρεκτορυ για την ύπαρξη του βιτλοκερ (β.λ. Extending the Schema και BitLocker Drive Encryption Configuration Guide: Backing Up BitLocker and TPM Recovery Information to Active Directory. Φτιάχνεις ένα GPO και το ρυθμίζεις ώστε τα πισιά να αποθηκεύουν το κλειδί στο ακτιβ διρεκτορυ. Το ζουμί είναι εδώ. Δε χρειάζομαι ούτε φλασάκι, ούτε χαρτί κλπ. Τα πάντα στο ΑΔ!. Οι ρυθμίσεις είναι εδώ: Computer Configuration\Administrative Templates\Windows Components\ BitLocker Drive Encryption. Ενεργοποίηση του “ΒitLocker backup to Active Directory, & “Require BitLocker backup to AD DS”. Παραδόξως πρέπει να κάνουμε το ίδιο ΚΑΙ κάτω από το System\Trusted Platform Module Services! Περισσότερα στο Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information . Κατεβάζεις το BitLocker Recovery Password Viewer for Active Directory Users and Computers tool που όμως τρέχει σε Βίστα και σερβερ 2008. Υπάρχει και έκδοση για ΧΡ αλλά κρύβεται εδώ. Έτσι, θα βρίσκεις εύκολα το κλειδί σε περίπτωση που κάτι πάει στραβά ένα πισί. Π.χ. Ενεργοποιήστε το βιτλοκερ από το κοντρολ πάνελ!  
    Σημειώσεις:
    Σε απλό φορητό, που δεν ανήκει σε δομαιν, σχεδόν τελείωσες στο βήμα 3. Μένει να αποθηκεύσεις κάπου το κλειδί και να ενεργοποιήσεις το βιτλοκερ. Προτείνω να το ανεβάσετε κάπου ονλινε. Το Skydrive είναι μια καλή λύση - αλλά όχι η μόνη. Καλά τα χαρτιά και τα φλασάκια αλλά χάνονται/σβήνονται εύκολα. Η λύση ονλινε μπορεί να μην είναι η πιο εύκολα προσβάσιμη αλλά είναι η πιο σίγουρη και ασφαλής. Αντίστοιχη δουλειά κάνει και το ενσωματωμένο "secure online key backup" αλλά περιλαμβάνεται στα εχτρα της έκδοσης υλτιματε μόνο (άσε που εμένα δε μου παίζει κιόλας…) Υπάρχει εργαλείο κομμανδ λινε που μπορείς να διαχειρίζεσαι το βιτλοκερ και μάλιστα ακόμα και απομακρυσμένα. Δώστε στη γραμμή εντολών: cscript manage-bde.wsf .Αν δεν παίζει, δοκιμάσε να δώστε πρώτα cscript //H:CScript //S και στη συνέχεια δώστε σκέτο manage-bde. Σε Βίστα σκέτα, μπορώ να ενεργοποιήσω το βιτλοκερ μόνο στο C:. Σε Βίστα με ΣΠ2 ή Σερβερ 2008 μπορώ να το κάνω και σε άλλους δίσκους. Στα 7 θα υποστηρίζεται κ για αφαιρούμενους δίσκους!
  19. afotakel
    Ξέρουμε ότι το να είναι οι χρήστες τοπικοί admins στο πισί τους δεν είναι καλή ιδέα. Και από άποψη ασφαλείας και από άποψη διαχειριστικού κόστους.
    Ενδιαφέρουσα έρευνα βρίσκει ότι των 92% των κρίσιμων τρυπών (critical vulnerabilities) που έβγαλε η ΜΣ το 2008 θα είχαν μικρότερη ισχύ εάν ο χρήστης έτρεχε με στάνταρ δικαιώματα στο πισί του. Συγκεκριμένα:
    94% του Microsoft Office 89% του Internet Explorer 53% των Microsoft Windows vulnerabilities 92% των critical ulnerabilities Συνολικά το 69% όλων θα είχαν μικρότερη ισχύ. Πόσο μικρότερη; Δεν το ξέρουμε, αλλά η ίδια η ΜΣ αναφέρει για αυτές τις τρύπες ότι “Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.”
    Βέβαια η εταιρεία που έκανε την έρευνα ευλογεί τα γένια της μιας και φτιάχνει προγράμματα που εξαλείφουν την ανάγκη να τρέχει ο χρήστης εφαρμογές ως αδμιν. Ωστόσο, ο τρόπος που έγινε η έρευνα είναι εξαιρετικά απλός και βασίζεται στο τι γράφουν τα security bulletins της ΜΣ.
    Άλλο συμπέρασμα που προκύπτει είναι ότι πρώτα απ'όλους ΕΜΕΙΣ οι ίδιοι οι domain admins είμαστε μεγάλη κερκόπορτα εφόσον εκτελούμε τις καθημερινές μας εργασίας με αυξημένα δικαιώματα.
    Τί μπορούμε να κάνουμε; Μερικές γρήγορες προτάσεις:
    Χρησιμοποιούμε έναν κανονικό χρήστη για τις καθημερινές μας εργασίες (εμαιλ, ιντερνετ κλπ) και έναν με δικαιώματα admin για τις διαχειριστικές. Ειδικά με το remote desktop τα πράγματα είναι πολύ απλά: Όποτε θέλουμε συνδεόμαστε στο σερβερ και κάνουμε τη δουλειά μας. Χρησιμοποιούμε το runas. Διαθέσιμο από Windows 2000 κ μετά. Αν έχουμε Βίστα τα πράγματα είναι κάπως καλύτερα: Έχουμε πάντα ενεργοποιημένο το UAC και εκτελούμε κανονικά τις καθημερινές μας εργασίες. Παράλληλα, έχουμε ανοιχτή μια γραμμή εντολών με αυξημένα δικαιώματα. Όποτε έχουμε να κάνουμε κάτι διαχειριστικό, απλά εκτελούμε το πρόγραμμα από τη γραμμή εντολών. Έτσι δε χρειάζεται να μας εκνευρίζει το UAC συχνά και κάνουμε και τη δουλειά μας με μεγαλύτερη ασφάλεια. ΠΟΤΕ μα ΠΟΤΕ δεν εγκαθιστούμε πρόγραμμα που δεν ξέρουμε την προέλευσή του 100%. Εννοείται ΠΟΤΕ δεν τρέχουμε patch ή crack ή keygen ή τέτοια. Κατεβάζουμε προγράμματα/εργαλεία μόνο από αξιόπιστες σελίδες και όχι από το www.mitsosultimatesoftware.org.  
    Ξέρω ότι είναι πόνος το να βγάλεις ένα χρήστη από τοπικό αδμιν. Θα καλεί κάθε λίγο και λιγάκι για βοήθεια και θα τρέχουμε άδικα. Όμως αν ο χρήστης είναι αδμιν και αρπάξει κάποιον ιό δε θα τρέχουμε και πάλι; Άσε που μπορεί να κάνει ακόμα μεγαλύτερη ζημιά. Οπότε, αφού θα τρέχουμε έτσι κ αλλιώς, τουλάχιστον ας έχουμε ένα πιο ασφαλές περιβάλλον.
    Και ένα τιπ για το τέλος: Αν έχετε χρήστες (π.χ. φορητών) που χρειάζονται συχνά να αλλάζουν τις ρυθμίσεις δικτύου μπορείτε να τους βάλετε στο τοπικό “Network configuration operators” γκρουπ. Θα μπορούν να τις αλλάζουν χωρίς όμως να είναι τοπικοί αδμινς.
    Χαιρετίσματα στους σερβερ σας
  20. afotakel
    αντιγράφω από εδώ:
    When you first add a Hyper-V host to SCVMM 2008 you may see a warning icon displayed with the message "Needs Attention" and "Virtualization service version status is not up-to-date". To get rid of this alert there are three updates that need to be applied to the Hyper-V server:
    KB950050: This is the RTM update for Hyper-V
    KB956589: This is an update to Hyper-V specifically for SCVMM compatibility
    KB956774: This is an update to the Background Intelligent Transfer Service (BITS) client in Windows Server 2008
    Once you have these three updates installed everything should come up green.
     
    Το να ξέρεις από πριν ποιά πατσάκια ακριβώς θέλεις καλό. Ελπίζω να το βρείτε χρήσιμο.
    …ή ακόμα καλύτερα να μη σας χρειαστεί και όλα να παίζουν με τη μια
  21. afotakel
    Ψάχνοντας άλλα πράγματα, έπεσα πάνω σε ένα πολύ ενδιαφέρον άρθρο το οποίο εξηγεί πως μπορεί να γίνει εγκατάσταση των Windows 7 / Server 2008R2 κατευθείαν σε vhd. Το κλειδί είναι το “κατευθείαν”.
    Δηλαδή ναι μεν να κάνουμε εγκατάσταση σε πραγματικό πισί αλλά ουσιαστικά η εγκατάσταση θα γίνει σε αρχείο vhd από το οποίο θα εκκινήσουμε κιόλας!
    Το άρθρο βρίσκεται εδώ (έχει και βίντεο) και τα βήματα είναι πολύ απλά οπότε δεν τα αντιγράφω.
    Προφανώς πλησιάζει η εποχή που όλα τα συστήματα θα έχουν απλά ένα virtual HAL και εμείς θα κουμπώνουμε το φλασάκι στο οποίο θα έχουμε εγκατεστημένο όλο το πισί μας.
  22. afotakel

    botnets & κ€ρδος

    By afotakel,

    Ένας σημαντικός λόγος που γράφονται κακόβουλα προγράμματα είναι πάντα και το
    κέρδος. Είναι γνωστό.

    Από που προκύπτει όμως; Και για πόσο κέρδος μιλάμε;

     

    Ο James Wyke της SophosLabs παρουσίασε μια ενδιαφέρουσα έκθεση που
    περιγράφει το τι, πως και πόσο ενός botnet (ZeroAccess). Η έκθεση έχει
    ενδιαφέρον τόσο από τεχνική όσο και από οικονομική άποψη.

    Θα τη βρείτε εδώ: http://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/Sophos_ZeroAccess_Botnet.pdf




     
  23. afotakel

    WDS: βήμα βήμα

    By afotakel,

    Μιας και έχει ήδη αναφερθεί ο Χρήστος στο θέμα (http://autoexec.gr/blogs/thessalonikiitpros/archive/2008/12/20/windows-deployment-services-windows-server-2008.aspx) δεν έχω να προσθέσω κάτι άλλο, παρά μόνο ένα λινκ για τον οδηγό βήμα-βήμα της ΜΣ σε περίπτωση που ασχοληθείτε με το σπορ.
    Windows Deployment Services Step-by-Step Guide
  24. afotakel
    Πρόσφατα το ανακάλυψα και το βρήκα πολύ απλό και καλό. Υποψιάζομαι πάντως (κρίνοντας από το λογότυπο) ότι είναι μέρος του Windows EBS 2008. Αυτό που κάνει είναι αυτό που λέει: Έναν έλεγχο για πιθανά λάθη του Active Directory (subnets, replication, sysvol, DNS, κ.α.), στους DC (κυρίως στις ρυθμίσεις δικτύου τους αλλά και στο ρολοΐ) και στους Exchange.
    Μου άρεσε ιδιαίτερα το γεγονός ότι οι συμβουλές που προτείνει έχουν άμεσα λινκ (όπως και οι Best Practices Analyzers) σε άρθρα της ΜΣ αλλά και ότι είναι εξαιρετικά απλό στη χρήση.
     
    Το κατεβάζετε από εδώ και απλά το εγκαθιστάτε. Στη συνέχεια, το εκτελείτε, επιλέγετε εάν θέλετε να το ενημερώσετε μέσω ιντερνετ αυτόματα
    … του δίνετε την ΙΡ και mask του firewall (εάν θέλετε μπορείτε να προσθέσετε στην επόμενη οθόνη και άλλα δίκτυα)

     
    και το βάζετε να κάνει έλεγχο.
    Τα μόνα που απαιτούνται είναι:
    Να έχετε συνδεθεί ως domain admin Οι σερβερ να έχουν ενεργό το WMI και να επιτρέπουν απομακρυσμένες σε αυτό συνδέσεις (port TCP 135, 445 και 1024-1034) Αφού ολοκληρωθεί ο έλεγχος (παίρνει αρκετά λεπτά, ανάλογα με το δίκτυο) θα σας εμφανιστούν τα πιθανά λάθη που έχει το περιβάλλον σας καθώς και οι προτεινόμενες ενέργειες. Για να μη σας βγουν τα μάτια, πατήσετε στο κουμπί “open larger view”.

    Σημειωτέον, το πρόγραμμα δεν κάνει αλλαγές σε τίποτα – απλά προτείνει.
     
     
     
     
     
    Καλούς ελέγχους!
×
×
  • Create New...