• ↓
  • ↑
  • ⇑
 
Записи с темой: security (список заголовков)
14:22 

Onedrive for Android

В Dash'e под Chronostasis'ом.

Это приложение явно живет своей жизнью. Его особенность в том, что где-то через сутки после того, как телефон теряет доступ к интернету, Onedrive напрочь забывает идентификационную информацию. Иными словами - просит заново пароль ввести. Вводишь его - и клиент ругается, мол, неправильно ввели. Вводишь второй раз - и все отрабатывает как часы. И так каждый божий раз.
Ради интереса провел эксперимент. Когда клиент в очередной раз ругнулся на то, что слишком долго не мог войти в веб-службу, скормил ему заведомо неправильный пароль. И меня пропустили!
Чудны дела твои, Майкрософт...

@музыка: клац-клац-клац

@темы: Security, Этот безумный мир, Этот веселый мир

12:23 

Roskompozor

В Dash'e под Chronostasis'ом.

Делаем раз: www.3dnews.ru/919363
Делаем два: Поиск на vk.com
Вконтакт наконец-то можно забанить? ) Как минимум мобильные версии клиентов должны отвалиться точно, ибо HTTPS. Потому что вытирать все экземпляры этой песенки - упарятся. А народ еще и новых накидает, благодаря эффекту Стрейзанд.

Ну и как правильно замечено в комментариях на 3DNews: еще вчера я и слыхом не слыхивал об этой песне. Слава Роскомпозору!

@темы: Security, Этот безумный мир

23:33 

Windows 10 Modern UI

В Dash'e под Chronostasis'ом.

Несмотря на все удобство десятки, есть в ней одна вещь, против которой до сих пор восстает все мое существо. В заголовке указано. Вот честно - эти плиточные приложения раздражают. И даже не дизайном, нет, с этим как раз все в порядке. Бесят они тем, что напрочь ломают привычные цепочки действий, заставляя в кои-то веки отвлекаться от работы на управление. А на домашнем компе в последние пару лет это уже очень большая редкость.
Суть проблемы - в качестве штатного антивиря используем MSE с аддоном Common Sence 2015 (хм... а может быть и наоборот). Задача - есть на флешке зловред в виде JS-файла. Зловред в ахриве с паролем, но стоит только его распаковать, MSE тут же отправляет распакованное в карантин. А там вариантов два - либо очистить окончательно какой-то один файл, либо грохнуть все разом. Оставить файл нельзя, а он нужен. И последнее - работа идет под стандартной (не администраторской) учетной записью.
Что бы я сделал в старой доброй семерке? Правильно, влез бы в настройки Real Time Protection в MSE и временно бы ее отключил. Мне бы предложили ввести пароль административной учетки, и на этом бы проблема кончилась. Но мы же в новой и суперудобной ОС!
Нажимаем настройки и... И нам открывается новомодное окно параметров Защитника:

Все, что имеет отношение к отключению защиты - выключено. А про эскалацию прав новомодное окошко не знает в принципе. Единственный метод - переключиться в интерактивный сеанс администратора, и уже там поотключать все, что хочется. Потом зайти назад в обычную запись, проанализировать JS-файл, потом снова в административный сеанс, чтобы все включить и затем уже выйти из админской учетки насовсем.
Ну что за бред в 21-м веке?

@музыка: Starcraft OST

@темы: Этот безумный мир, Security

04:19 

ICQ

В Dash'e под Chronostasis'ом.

Это уже просто нереальная наглость.

И ведь уже не первый раз. В поисковиках уже есть подобные инциденты, датированные весной этого года.

А ведь всего-то хорошего утра человеку пожелал :(

@темы: Security, Этот безумный мир

20:38 

Passwords...

В Dash'e под Chronostasis'ом.

Facebook - раз!
My-hit - два!!
Blizzard - три!!!
Нашего полку прибыло. Ubisoft и их сервис Uplay, и... Кто бы вы думали - Nival! Причем основная претензия - к последним.
С момента покупки Child of Light больше года назад не заходил туда (а ведь придется - CoL ведь нужно дойти до конца). Вздумали зарубиться в пятых героев, а чтобы не ломать себе головы с установкой Hamachi (компьютеры в разных сетях), или еще того хуже - VPN, решили сыграть прямо через серверы Ubi. А что, копии игры вполне легальные, так чего тушеваться? Сказано, сделано - инсталл, запуск, Multiplayer, Ubi.com
И понеслась. Введите данные от учетки Uplay. Да не помню я ее, не помню. Подскажи, плиз через сайт. Сайт подумал, сказал: "да не вопрос, лови в почту линк для сборса пароля". Линк поймали, пароль поменяли, все как положено - куча символов, цифро-букво-спец.знаки. Дело за клиентом HoMM V.
А клиент пожевал наш пароль и ответил: "Нее, что-то вы мне какую-то каку даете. Это я не ем, я не козел (с)." Что за... Вбиваю еще раз, тот же ответ. Проверяю логин, может быть в нем ошибся - нет, но ответ тот же: "такого логина не существует".
Набираю пароль буквально по-символьно и в процессе понимаю, что-то не то. Слишком медленно курсор движется. Бааа, оказывается, клиент не понимает спец.знаки. Цифры понимает, буквы понимает, большие буквы понимает, а вот всякие восклицательные знаки, вопросительные, решетки, доллары, проценты, собачки - словом, все это ему до барабана!
Семен Семеныч Nival Interactive - ну что же вы! Как же так?!

@музыка: Radiorama - Bad Boy You

@темы: Этот безумный мир, Security

21:39 

Dropbox

В Dash'e под Chronostasis'ом.

Не так давно нарвался на забавное поведение Дропбокса в системе.
читать дальше
Теория под это дело была выстроена следующая: папки Images, Music, Video у меня в проводнике являются элементами виндовых библиотек, поэтому дроп, каким-то образом просочившись в проводник, смог узнать и о моих папках с контентом (хотя туда ему вход в любом случае заказан).
Решил эту теорию проверить, банально добавив в библиотеку какую-нибудь новую папочку. Не успел, нарвался на еще более цветистую траву:

вот она

"И такая вот фигня продолжалася три дня..." (с) Народное творчество.
Подобное поведение обнаружилось при первом же запуске Дропа. Что, что эта зараза пытается найти в моем профиле в виде DLL-файлов? Какого хрена тот же набор библиотек он пытается найти в системном каталоге, в Powershell-каталоге и еще куче мест? Кто такая чертова Diaryqueen с пакетом openSSL под юбкой, папка которой мелькает в корне системного диска?
Правду говорят, количество упоминаний "WTF" в единицу времени - прекрасный показатель.
В общем, вопросов стало еще больше, чем ответов. Одно лишь можно сказать наверняка - на домашней системе этой программы не будет. Максимум что ей светит - быть объектом на операционном столе в виртуальной машине (где она сейчас и находится).

UPD. А теория о том, как дроп пролезает на другие диски оказалась верной. Именно через библиотеки, но с закавыкой. Если создать новую библиотеку и в нее включить произвольную папку с другого диска, это ничего не даст. Но если эту же папку включить в одну из стандартных библиотек (Документы, Музыка, Видео, Картинки) - дроп тут же эту папку найдет и начнет обнюхивать. Есть подозрение, что в планах разработчиков есть опция по автоматическому копированию в облака ВСЕХ документов на компе. А что? Для фотографий же они сделали нечто подобное - прямо с камеры можно загружать...

@музыка: Jaime Christopherson - I'm my own master now

@темы: Security, Этот безумный мир

10:15 

OneDrive

В Dash'e под Chronostasis'ом.

11.03.2015 в 09:20
Пишет Линда Кайе:
...
К слову, у товарища, помогшего мне в исследовании, клиент дропбокса заглядывал в папку OneDrive. А ещё, сразу же после установки, он перехватил ввод с клавиатуры, но где-то глюкнул и заблокировал любой ввод кроме мыши. Зачем дропбоксу клавиатура?
URL записи

Если вернуться к этой истории, то в подробностях она выглядит вот так:

Используемые инструменты - Тотал да ProcMon.
Можно было, конечно, списать все это на глюки оболочки и расширения к ней. Но, зачем в левом каталоге вызывать функцию CreateFile? Это явно не ошибка.
Стало интересно, а как в таких же условиях поведет себя OneDrive. К моему удивлению - абслютно корректно. Лезет только в папку хранилища да мой пользовательский профиль, где хранятся все параметры синхронизации и еще кое-какая служебная информация.
Так что, если MS за нами и следит (а наверняка следит), то делает это не столь топорно, как иные. Хотя бы за это уже респект. Вот только... Чем дропбокс все же пока превосходит OneDrive - так это сохранением версий файлов и скоростью работы. OneDrive просто ужасно медленный, и эту его детскую болезнь так и не вылечили. Есть подозрение, что и не будут.

@музыка: Nightwish - The greatest show on Earth

@темы: Security, Этот безумный мир

14:01 

Bliz-z-z-z-z-z-z-z-z-zar-r-r-r-rd #2

В Dash'e под Chronostasis'ом.

Ухаха! Метелица жжот дальше. Ладно, то, что при попытке зайти в учетную запись с нового компьютера они отсылают СМС с кодом безопасности, это еще куда ни шло. Безопасность же. Но то, что вместе с этим кодом они еще и капчу требуют теперь, это уже перебор, на мой взгляд :) Безопасность же.
А тот факт, что у них в пароле регистр по-прежнему не учитывается - а что регистр, он не нужен, закапывайте. Безопасность должна быть безопасной, да.

@музыка: Nightwish - Shudder before the beautiful

@темы: Security

23:01 

My-hit.org

В Dash'e под Chronostasis'ом.

Еще одни удодики. В принципе, регистрация там не нужна, но каждый раз искать тот или иной сериал, который смотрю, стало напрягать, потому зарегистрировался.
Здравствуйте, xxx!

Мы рады приветствовать Вас в рядах пользователей нашего сайта!

Пожалуйста сохраните это сообщение. Параметры вашей учётной записи таковы:
----------------
Имя пользователя : xxx
Пароль : HERE WAS PLAIN-TEXT PASSWORD
----------------

Не забывайте свой пароль: он хранится в нашей базе в зашифрованном виде, и мы не сможем Вам его выслать. Если Вы всё же забудете пароль, то сможете запросить новый.

Спасибо за то, что зарегистрировались на нашем сайте.


Да кто ж вам теперь поверит-то? :)

А самая засада в том, что сериалы-то в подборки и не добавить :(

@темы: Security

14:57 

Arrow Season 3 episode 14 @ 14:20

В Dash'e под Chronostasis'ом.

- Company computers are protected by biometric encryption. Look for the fingerprint reader.
- But why haven't they take me out of directory?
- Why would they? You're dead.


DAFUQ?!

@темы: Security, Этот безумный мир

03:27 

Skype... Pain again.

В Dash'e под Chronostasis'ом.

Мне неоднократно говорили, что мой ник в скайпе светится в режиме Away, даже в то время, когда я не за компьютером. Вообще ни за каким. И даже на телефоне скайпа у меня нет, из-за тормознутости Android-версии я оную снес и забыл о ней. И до сегодняшнего дня я не верил в то, что люди говорят мне правду (и это я, параноик в плане безопасности учетных записей). А сегодня, посмотрев на контакт-лист на машине одного из друзей, понял, что никто меня не разыгрывал. Моя учетка, действительно, светится как Away, то есть, имеем сеанс работы. Непонятно кем и когда открытый, но он есть.
Что ж, известно о том, что в скайпе есть чат-команды. И одна из них может показать, сколько и откуда были запущены все активные на данный момент сеансы. Сказано, следано:
/showplaces
[3:11:51] System: You have 2 online endpoints:
{9b827ae3-9dee-4c3c-9480-b545e83f0ff5}) HIVE Windows Skype
{ec664d0b-7250-af30-67ed-1ede59af56e7}) WIN-G102PIJ61PB Windows 8 Skype

DAFUQ?! Простите, что? О.О Первая строка - это моя домашняя система (предвидя вопросы - да, хайв. Да, улей. В конце концов, я гидралиск, и всех заплюю колючками :)
Начинаем вспоминать, где и когда мог быть открыт сеанс в Windows 8, учитывая, что я ее не переношу на дух. А вот когда - буквально день назад я в виртуальную машину ставил Windows 10 TP, а опознаваться веб-сервисами она вполне может как восьмерка. Но это догадка, хотя проверить ее просто - по имени компьютера. Запускаем ту самую виртуалку, выводим параметры системы и видим ровно те же буквы: WIN-G102PIJ61PB.
Энто как же, вашу мать, извиняюсь, понимать? (с) Л. Филатов. В том плане, что виртуальная машина была выключена день назад, все сеансы она во время выключения потушила, ибо выключение было штатным. А какая-то паршивая супернода скайпа по-прежнему рапортовала о том, что я до сих пор залогинен? Или что там у скайпа нынче отвественно за проверку доступности того или иного контакта...
Майкрософт, может быть, уже хватит гнобить ни в чем не повинную хорошу программу, а? Потому что с момента покупки тобой скайпа, последний становится все более и более похож на какого-то монстра, причем монстра, которому уже самому жизнь не мила.
Ах, да, совсем забыл:
/remotelogout
Чтобы закрыть все сеансы, кроме текущего.

@темы: Этот безумный мир, Security

14:28 

Bookmate

В Dash'e под Chronostasis'ом.

Когда-то я этим сервисом даже пользовался. И был несказанно доволен. Ровно до тех пор, пока после очередного обновления это приложение не стало рушить мне книги. Что ж, закрыть аккаунт и сделать выбор в пользу связки OneDrive/CoolReader - дело нехитрое. А тут на тебе: bookmate обновил свое приложение. Обещают исправление всех старых багов, обновленный интерфейс и кучу новых плюшек, рассчитанных на удобство покупки литературы. ОК, заходим на страницу приложения в Google Play, нажимаем "Установить", благо, совместимость с моим старичком Р500 подтверждена. Далее нам открывается список всех разрешений, которые нужны для работы этой программе. Напоминаю, речь идет о читалке, пусть даже и с сетевыми возможностями (надо же ей скачивать книги и синхронизировать закладки):
Покупки через это приложение
С этим вопросов никаких - функционал покупок прямо заявлен. Идем дальше.

Использование аккаунтов на устройстве и данных профилей
Эмм... Это уже настораживает. Понятное дело, что имеется в виду аккаунт именно Bookmate, который будет заведен на телефоне после авторизации. Но паранойя не дремлет.

Использование геоданных с устройства
Sic! Зачем? О.о

Использование файлов на устройстве (фото, видео, аудио) и внешнего накопителя
Здесь тоже без вопросов, все же читалка оперирует данными на телефоне.

Использование камер и микрофонов
Простите, что?!

Доступ к сведениям о беспроводном подключении: состояние Wi-Fi и названия подключенных устройств
Хм, и да, и нет. В принципе, любое приложение, работающее с сетью, может опрашивать эту сеть, хотя бы для того, чтобы знать, вайфай ли это, мобильный ли это интернет. Причины - разные. Кто-то заботится о трафике, кто-то нет.

Ну а на вкусное - красным 72-м шрифтом:
ОПРЕДЕЛЕНИЕ НОМЕРА ТЕЛЕФОНА И ИДЕНТИФИКАТОРОВ УСТРОЙСТВА, СОСТОЯНИЯ АКТИВНОСТИ ВЫЗОВА И НОМЕРА ТЕЛЕФОНА, С КОТОРЫМ УСТАНОВЛЕНО СОЕДИНЕНИЕ

И тут уже паранойя не просто тихо подает голос, она (заранее прошу прощения за экспрессию, но накипело) просто вопит благим матом
Короче говоря, связка OneDrive/CoolReader по-прежнему активна.

И адресно: Линда Кайе, касательно тегов - it's intended ;)

@музыка: Australis - Silhouettes

@темы: Этот безумный мир, Security, Android

09:44 

Facebook and passwords

В Dash'e под Chronostasis'ом.

День только начался, а уже улов.
Итак, всем известная "мордокнига". И всем известная ее программа поощрения "белых хакеров", людей, ищущих дыры в безопасности этой сети и отчитывающихся о ним владельцам этой самой сети с целью закрытия уязвимостей. Читаем правила, в частности, раздел "это не бага, а фича":

Ineligible Reports and False Positives
...
Case-insensitive passwords. We accept the "caps lock" version of a password or with the first character capitalized to avoid login problems.
...
www.facebook.com/whitehat/

Иными словами - если у вас в пароле первый символ - заглавная буква, или вы набираете пароль при включенном CAPS LOCK - регистр пароля не учитывается вовсе.
Что тут скажешь, привет компании Blizzard, которая чхать хотела на регистр символов в пароле вообще.

@музыка: Gandalf - Departure

@темы: Этот безумный мир, Security

14:05 

Android and Secure Socket Layer

В Dash'e под Chronostasis'ом.

Дано: смартфон HTC, довольно древний по нынешним меркам, но древность не важна. Кучка сетевых приложений на оном, включая Google Play, VK, Instagram, и прочая прочая.
Надо: залить телефон чаем и посмотреть, что из этого получится.
А если серьезно, залили трубку чаем, случайно, конечно же, сразу же вынули батарею и подержали телефон отключенным какое-то время. Все правильно сделали.
После сушки батарея подключается обратно, телефон переводится в режим online и... и замечаем, что у нас отвалились те самые сетевые приложения. Как будто инета не видят. В то же время браузер все нормально открывает. Мистика... Любопытно, что все сетевые фиговины либо просто говорят, что нет коннекта (ага, при живом соединении, привет тебе Корпорация "Добра"), либо показывают пустой интерфейс, без контента.
Подробное изучение проблемы показывает, что браузер, на самом деле, тоже не все открывает. Валится все, что полагается на защищенные соединения, причем валится уже со стандартной ошибкой - нет доверия к сертификату, которым подписан веб-сайт. Что за дела? После отключения батарейки хранилище Trusted Root Certificates не удаляется, и не меняется вообще никак, но почему-то проверка всех сертификатов заканчивается неудачей. Что же еще сменилось?
Ответ оказался прост - дата и время. После подключения батареи они сменились на заводские значения. Все становится на свои места. При проверке сертификата учитывается его срок действия, а поскольку в телефоне дата неправильная, то и сертификаты валятся с ошибкой. После смены даты на верную все заработало как по волшебству.

@темы: Android, Security

15:05 

Backups

В Dash'e под Chronostasis'ом.

Оглядываясь назад, я не понимаю самого себя. Win 7 существует уже достаточно давно, WAIK к ней - тоже. Так зачем все это время искал решение для создания образа системы, если оно у меня под боком все это время было? Да, да, речь о imagex. По сравнению с тем же Акронисом у него все же есть ряд преимуществ:
1. Он бесплатен. По крайней мере в той же мере, в какой является бесплатным приложение, поставляемое вместе с имеющей какую-либо стоимость ОС, то есть без доп. оплаты.
2. Он "от производителя". А это уже многое дает.
3. Он интересен. Акронис и ему подобные - мышкокликерство, которое никак нельзя запрограмиировать, особенно если ты загрузился с диска восстановления. В ОС еще можно использовать костыли вида AutoIt или чего-то подобного. В PE-версии все это не будет доступно, а вот консольное приложение скриптовать можно как угодно.
В итоге - образ системы все же создан и заскриптован по полной программе, чего и требовалось.
Вторая стадия бекапа - сбор файлов настроек разнообразного ПО. Об этом особо. Где только не хранят различные программки и утилитки параметры своей работы. И в каком только виде не хранят. Кто в реесте, кто в профиле, кто еще где. У одних это *.ini, у других - *.cfg, у третьих - *.xml, а кое-кто вообще свою мелкую базу данных вает. Особо выбесил, а другого слова и не подберешь, BitTorrent и его младший брат - uTorrent.
Первое - обе по-умолчанию ставятся в профиль. И только туда. Изменить это на стадии установки нельзя! Объяснение просто блеск, более "гнилой отмазки" мне слышать не доводилось: для того, чтобы UAC системы не препятствовал обновлениям.
Ребята, посмотрите в сторону Мозиллы и ее Firefox, если уж вам это настолько критично. Нет, я согласен, что плодить целую службу для установки обновок - пушка для воробьев. С другой стороны, этот метод давно на вооружении уже у очень многих контор, начиная от МС (Windows Update) и заканчивая Adobe (служба обновления Flash).
Второе по торрентам - настройки обе эти программы хранят исключительно в каталоге установки. То есть, если нужно перенести программу из профиля в каталог, где ей положено быть, то есть Program Files, придется тащить туда же и файл настроек, а потом, как следствие, давать права на запись в этот каталог обычному пользователю ПК. В итоге мы дважды нарушаем принцип установки ПО, а принципы просты: настройки отдельно от бинарников, в каталог бинарников могут писать только административные учетные записи.
В общем, бекап настроек ПО иногда доставляет не то, что меньше, а даже больше "веселья", чем настройка этого самого ПО. С другой стороны - если не веселиться, что что еще делать-то в нашей жизни?
На вкусное - очередная порция добротной шведской поп-музыки. Подсел я на нее (именно в исполнении One More Time) со страшной силой.

@музыка: One More Time - No Romance

@темы: Security, Этот безумный мир

01:14 

Xmarks

В Dash'e под Chronostasis'ом.

Этим сервисом я пользуюсь уже достаточно давно. Меня он устраивает всем. Незаметная работа, возможность создания нескольких профилей для разных машин (дома один набор закладок в панели быстрого доступа, на работе - другой). Но вот сегодня после полной переустановки системы наткнулся на весьма неприятный факт: плагин Xmarks даже после успешной авторизации не мог получить список профилей с сайта, и, как следствие, не мог назначить машине нужный профиль. В итоге на панели закладок непонятная каша. Что делать?
Сначала подумал, что дело в версии Firefox, потому как была поставлена спец. версия ESR. Нет, после удаления ее и установки последней обычной баг никуда не ушел. Переставил плагин. Результат - нулевой. Перебил профили на самом сайте Xmarks. Ноль эффекта.
Но ведь сегодня же еще работало! Пробегаюсь по настройкам самого плагина, чем черт не шутит. И вижу прекрасное. Шифрование данных - по умолчанию стоит только шифрование при логине. А что будет, если этот параметр поменять так, как показано на рисунке:

Именно это в итоге и помогло. Почему так - не совсем понятно, но на будущее можно иметь в виду.
Ну и на вкусное - столь нелюбимая мной попса при правильном исполнении может быть очень даже приятной на слух. В шведском варианте это звучит примерно так:

Listen or download Putting on the Charm for free on Pleer

@музыка: One More Time - Putting on the Charm

@темы: Security

23:05 

Relocate User Profiles

В Dash'e под Chronostasis'ом.

Подсказали сегодня на работе задачку. Суть ее в следующем: образ системы, из которого будут разливаться рабочие станции, должен быть настроен таким образом, чтобы профили пользователей создавались и жили не на системном разделе. Задача не горящая, но тем не менее. А поскольку нужно немного отвлечься от Хроник Арции, виртуальную машину с Win 7 - запустить.
Что имеем? Методов несколько. Первый - быстрый и неправильный, второй - чуть более долгий, но зато верный. Первый - это простое перемещение каталога Users на нужный нам диск (естественно, придется делать это в оффлайн-режиме) с последующей установкой симлинка вида %SYSTEMDRIVE%\Users -> %TARGETDRIVE%\Users. Говоря по честному - костыль.
Второй - интереснее и... изящнее, что ли. Спасибо Kari за прекрасный материал о том, как нужного эффекта добиться на Windows 8. Вся штука в том, что этот способо так же успешно работает и на Windows 7. Для реализации нам понадобятся следующие компоненты:
1. Имеющаяся система (или система, завершающая свою установку прямо в данный момент, что еще лучше)
2. Дистрибутив, с которого система была установлена.
Поскольку моя виртуальная машина уже была установлена, рассмотрю вариант с уже имеющейся ОС.
Итак, первый шаг - загрузка в режиме аудита. Выполняется довольно просто:

C:\Windows\System32\Sysprep\Sysprep.exe /audit /reboot

Система будет загружена, и будет загружен профиль базовой административной записи. Даже если она была отключена, режим аудита ее включает на время своего действия.
После загрузки появится окно утилиты Sysprep, его пока можно закрыть, чтобы оно не мешалось.
Следующий шаг - подготовка нужного диска - тривиален. И здесь же можно провести подготовку сценария, который при следующей перезагрузке и произведет все действия по перемещению каталога профилей. Сам сценарий будет выглядеть так:



В зависимости от конкретной системы нужно поменять три параметра:
processorArchitecture="x86" - тип архитектуры. Если у вас 32-битный процессор (и соотвественно, 32-битная ОС), то этот параметр можно оставить как есть: х86. Если же имеем дело с 64-битной системой, вместо x86 нужно будет прописать amd64.
E:\Users - каталог, куда будут перемещены пользовательские профили. В моем случае это папка Users, расположенная на диске E:
source="wim:D:/sources/install.wim#Windows 7" - источник файлов в дистрибутиве. Фактически, тут нужно поменять только букву диска. В моем случае это был диск D:
"Обработка напильником" закончена. Сохраняем этот сценарий в виде xml-файла, например, relocation.xml
Следующий шаг - произнесение заклинания, которое мы подготовили :) Let the magic begin!

c:\Windows\System32\Sysprep\sysprep /audit /reboot /unattend:E:\relocate.xml

Снова будет вызвана утилита Sysprep, только уже с ключом /unattend, в котором прописан путь к подготовленному ранее сценарию. Система уйдет в перезагрузку, затем снова запустится в режиме аудита, и снова будет вызван Sysprep. Последний шаг - выход из него в режим Out-of-Box-Experience. Для этого в запущенном Sysprep в поле System Cleanup Action выбираем Enter System Out-of-Box Experience (OOBE), а в Shutdown Options - Reboot.
И теперь останется только дождаться запуска системы в обычном режиме с показом окна Windows Welcome. Почему придется ждать? Потому что именно в течение этой перезагрузки будет выполнено фактическое перемещение каталога Users. Если он был огромным, соотвественно, понадобится больше времени.

Что ж, тест на виртуалке пройден успешно. Дело за тестах в "лабораторной" среде.
P.S. Если имеем дело с Windows 8, то, согласно, записи Kari, нужно потушить одну из служб: Windows Media Player Network Sharing Service. Как выяснилось, для Windows 7 это не обязательно.

@музыка: Julie Fowlis - Hùg Air A' Bhonaid Mhòir

@темы: Security

12:53 

Google banned.

В Dash'e под Chronostasis'ом.

Собственно, за это ребятам из РосТелеКома надо кое-что отрезать, размножаться такие не должны.
 photo Capture_zpse9afd6e5.png

Поясню, что на картинке. При попытке открыть вложение-картинку из письма в Gmail эта картинка загружается с сайта Googleusercontent.com, все вложения там хранятся. Сейчас же при попытке обратиться к этому сайту по защищенному протоколу (а google уже давно работает только по нему), браузер напарывается на то, что к этому сайту привязан (с какой-то стати) совершенно левый сертификат от РосТелеКома. И, естественно, вопит о том, что "вас пытаются наколоть". Ну а если проигнорировать это предупреждение и сказать "пусти меня туда все равно" - нарвемся на стандартную плашку от РТК, сообщающую, что googleusercontent.com заблокирован, как хранящий недопустимую в нашей стране информацию.
Как я уже говорил, за подсовывание левого сертификата надо кое-что отрывать. Без наркоза...

UPD. По состоянию на 15:25 - блокировка снята. Но факта дебилизма это не отменяет.

@настроение: Enrage!

@темы: Security, Этот безумный мир

11:43 

Trend Micro Office Scan upgrade

В Dash'e под Chronostasis'ом.

Встала задача - обновить наш антивирус. С версии 10.6 на версию 10.6 Service Pack 1. В принципе, это достигается при помощи внутренних средств обновления, но мне захотелось поднять полностью новый сервер и перевести клиентов на него. Потому как работа старого меня не устраивала, даже бекапы базы данных не делались, валились с ошибкой. Впрочем, это не удивительно, сервер этот был последовательно обновлен с 10 до 10.6. Наверняка уже столько хвостов осталось, что ужас. В общем - чистая установка - как всегда, лучший выход.
С самой установкой и настройкой проблем вообще никаких. С переносом клиентов, которые на текущий момент активны - тоже. А вот что делать с теми машинами, которые могут месяцами не включаться? Их ведь просто так не перетащишь, команду не дашь с административной консоли. Что ж, такую задачу решать уже доводилось - придется воспользоваться сценариями запуска компьютеров. В итоге клиент сам после запуска переползет, куда надо.
Основа сценария - маленькая утилитка IpXFer, которая и пинает клиента в нужную сторону. Выполняется на целевом клиенте с соотвествующими ключами от имени администратора или самой машины (если речь о сценарии запуска). Одновременно с этим не мешало бы проверять - а не переехал ли клиент уже на новый сервер. Ведь если он там - повторно перекидывать его туда не надо.
Начнем с проверки. Кучу своих настроек клиент Trend Micro Office Scan хранит вот тут:
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion
Нас очень сильно интересует параметр Server, в котором и прописывается "место жительства" клиента. Выполнив команду
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion" /v Server
получаем требуемое.
Теперь полученное нужно проверить - что же там лежит. Ради интереса воспользовался вот таким методом:
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion" /v Server | findstr "%ServerName%"
Сначала мы получаем значение параметра Server, затем в полученном пытаемся найти имя нашего сервера. Если найдем, все в порядке. Если не найдем - получим ошибку в системной переменной %ErrorLevel%. Следующий шаг - проверка этой переменной. Если она равна нулю - не делать ничего, клиент уже на "месте прописки". Если же не равно нулю - значит клиент у нас бродяжничает, и его пора пришпилить на место.
Отдельный вопрос - x64 системы. У них расположение нужного нам ключа реестра немного отличается:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\CurrentVersion
Следовательно, нам нужно будет еще проверять, на каком типе систем исполняется скрипт. Ну а потом, после всех проверок, запустить нужную утилитку с кучей параметров.
Целиком весь сценарий будет выглядеть вот так:

echo off
if exist "%systemdrive%\program Files (x86)" (goto x64) else (goto x86)
:x86
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion" /v Server | findstr "%ServerName%"
if NOT %errorlevel% == 0 call \\server\share\ipxfer.exe -s %ServerName% -p %HTTP_Port_Number% -m 1 -c %Client_Port_Number%
goto rest

:x64
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\CurrentVersion" /v Server | findstr "%ServerName%"
if NOT %errorlevel% == 0 call \\server\share\ipxfer_x64.exe -s %ServerName% -p %HTTP_Port_Number% -m 1 -c %Client_Port_Number%

:rest

Обработка напильником - стандартная. Вместо %ServerName%, %HTTP_Port_Number%, %Client_Port_Number% подставить нужные значения и положить обе утилитки ipxfer и ipxfer_x64 в какую-либо общую папку, куда могут обратиться компьютеры домена.

P.S> После обновления клиента у него меняется значок. Кто-то из "бдительных" пользователей это заметил и тут же начал трезвонить в IT отдел - "Помогите, у меня на компьютере вирус под названием Trend Micro Office Scan!". Ирония в том, что сотрудник сам не знает, на сколько же он прав...

@темы: Security

10:30 

Remote Control...

В Dash'e под Chronostasis'ом.

Нет, сегодня речь пойдет не о таких вещах, как RDP или LogMeIn. На днях приехала первая из трех заказанных карт удаленного управления серверами Aten IP8000. Обычная PCI плата, которая добавляет функционал iLO (это если в привычных мне терминах HP), а по-русски - возможность управлять сервером на протяжении всего времени его работы, от самого старта по питанию до выключения этого самого питания. Ну и бонусом приятные штуки как Remote Media и ему подобное.
Все бы ничего, но захотелось настроить авторизацию на этой карте через Active Directory, это банально удобнее. Все необходимые настройки для этого есть. Открываем форму, вбиваем все необходимые данные:
 photo IP800_zps66ce820e.png

Отличие от этого скрина в том, что галку Enable Authorization я тогда поставил.
Сохраняем настройки, даем рестарт карты... и понимаем, что LDAP-авторизация не заработала. Перепроверяем настройки еще раз - понимаем, что все внесено верно, но не работает. Штудируем мануал и видим, что в мануале раздел LDAP вообще никак не освещен. Что за...
Гугл, запрос. Ответом стала шокирующая информация из инструкции к другому KVM той же компании - для того, чтобы работала авторизация через MS AD, нужно расширить схему AD! Засада, потому что таких прав у меня нет, да и для чего такие сложности, вообще неясно.
Еще более вдумчивое изучение того же справочного файла сказало: отставить панику, сейчас все сделаем. И действительно, все сделали. Теперь по шагам:
1. Выбор между LDAP или LDAPS. Тут все очевидно - что используется, то и нужно выбирать, причем LDAPS предпочтительнее. Негоже пересылать информацию об учетных записях в открытом виде (привет старому доброму PsExec).
2. LDAP Server IP, Port. Тоже все понятно, где LDAP развернут - тот IP адрес и подставляем. Порты в подавляющем большинстве случаев используются стандартные.
3. Timeout. Как долго наша карточка будет ждать ответа от LDAP. Тоже ничего особенного.
4. LDAP Administrator DN. Имя административной учетной записи, от которой будут происходить операции в AD. До сих пор не могу в толк взять, для чего здесь нужно именно административную запись вводить. Ведь карта в самой AD ничего не меняет, а читать из каталога позволено всем. Но делать нечего, вводим учетку в формате:
CN=username,OU=users,DC=example,DC=com
5. LDAP Administrator Password. Все просто - пароль указанной административной учетки.
6. Search DN. Вот здесь уже интереснее. Это имя контейнера, в котором, а также во всех его подконтейнерах, учетные записи будут иметь право логина на нашу карточку.
7. IP8000 Admin Group. Параметр, связанный с предыдущим. Члены указанной группы из AD будут обладать правами администратора и на карточке. Все остальные - только базовыми, об этом чуть ниже.
И остается та самая галочка Enable Authorization. Именно она определяет логику работы карточки с AD. Итак:
1. Параметр включен. Для определения того, кто может зайти, кто не может, а кто является администратором, карточка будет искать среди атрибутов учетных записей два особенных, которые и создаются во время расширения схемы AD.
2. Параметр выключен. На карточку смогут зайти все пользователи, чьи учетные записи находятся в OU, указанном в пункте 6, и будут обладать урезанными правами. Пользователи же, чьи учетные записи находятся в группе, указанной в пункте 7, смогут делать с карточкой что угодно. Изменения схемы в этом случае не требуется.
Таким образом, параметр Enable Authorization я отключил, после чего авторизация через LDAP заработала так, как требовалось.
И отдельно о правах пользователей. Ради теста зашел под специальной технической учеткой, созданной для различного рода проверок, с ограниченными правами на карточке. Каким же было мое удивление, когда я увидел, что такой учетке доступен раздел Power Management и кнопки выключения сервера и его жесткой перезагрузки. Эта засада будет подстерегать тех, у кого административные учетные записи лежат в структуре AD в том же OU, что и обычные учетки сотрудников. Обходится этот момент просто - нужно создать отдельную OU, перенести туда нужные учетки, и именно эту OU прописать в настройках LDAP-авторизации карты. После этого обычным учетным записям зайти на нее просто не удастся, они будут отфильтрованы, а административные учетки будут обладать всеми необходимыми правами.

@темы: Security, Этот безумный мир

Записная книжка

главная