• ↓
  • ↑
  • ⇑
 
Записи с темой: security (список заголовков)
14:28 

Bookmate

В Dash'e под Chronostasis'ом.

Когда-то я этим сервисом даже пользовался. И был несказанно доволен. Ровно до тех пор, пока после очередного обновления это приложение не стало рушить мне книги. Что ж, закрыть аккаунт и сделать выбор в пользу связки OneDrive/CoolReader - дело нехитрое. А тут на тебе: bookmate обновил свое приложение. Обещают исправление всех старых багов, обновленный интерфейс и кучу новых плюшек, рассчитанных на удобство покупки литературы. ОК, заходим на страницу приложения в Google Play, нажимаем "Установить", благо, совместимость с моим старичком Р500 подтверждена. Далее нам открывается список всех разрешений, которые нужны для работы этой программе. Напоминаю, речь идет о читалке, пусть даже и с сетевыми возможностями (надо же ей скачивать книги и синхронизировать закладки):
Покупки через это приложение
С этим вопросов никаких - функционал покупок прямо заявлен. Идем дальше.

Использование аккаунтов на устройстве и данных профилей
Эмм... Это уже настораживает. Понятное дело, что имеется в виду аккаунт именно Bookmate, который будет заведен на телефоне после авторизации. Но паранойя не дремлет.

Использование геоданных с устройства
Sic! Зачем? О.о

Использование файлов на устройстве (фото, видео, аудио) и внешнего накопителя
Здесь тоже без вопросов, все же читалка оперирует данными на телефоне.

Использование камер и микрофонов
Простите, что?!

Доступ к сведениям о беспроводном подключении: состояние Wi-Fi и названия подключенных устройств
Хм, и да, и нет. В принципе, любое приложение, работающее с сетью, может опрашивать эту сеть, хотя бы для того, чтобы знать, вайфай ли это, мобильный ли это интернет. Причины - разные. Кто-то заботится о трафике, кто-то нет.

Ну а на вкусное - красным 72-м шрифтом:
ОПРЕДЕЛЕНИЕ НОМЕРА ТЕЛЕФОНА И ИДЕНТИФИКАТОРОВ УСТРОЙСТВА, СОСТОЯНИЯ АКТИВНОСТИ ВЫЗОВА И НОМЕРА ТЕЛЕФОНА, С КОТОРЫМ УСТАНОВЛЕНО СОЕДИНЕНИЕ

И тут уже паранойя не просто тихо подает голос, она (заранее прошу прощения за экспрессию, но накипело) просто вопит благим матом
Короче говоря, связка OneDrive/CoolReader по-прежнему активна.

И адресно: Линда Кайе, касательно тегов - it's intended ;)

@музыка: Australis - Silhouettes

@темы: Этот безумный мир, Security, Android

09:44 

Facebook and passwords

В Dash'e под Chronostasis'ом.

День только начался, а уже улов.
Итак, всем известная "мордокнига". И всем известная ее программа поощрения "белых хакеров", людей, ищущих дыры в безопасности этой сети и отчитывающихся о ним владельцам этой самой сети с целью закрытия уязвимостей. Читаем правила, в частности, раздел "это не бага, а фича":

Ineligible Reports and False Positives
...
Case-insensitive passwords. We accept the "caps lock" version of a password or with the first character capitalized to avoid login problems.
...
www.facebook.com/whitehat/

Иными словами - если у вас в пароле первый символ - заглавная буква, или вы набираете пароль при включенном CAPS LOCK - регистр пароля не учитывается вовсе.
Что тут скажешь, привет компании Blizzard, которая чхать хотела на регистр символов в пароле вообще.

@музыка: Gandalf - Departure

@темы: Этот безумный мир, Security

14:05 

Android and Secure Socket Layer

В Dash'e под Chronostasis'ом.

Дано: смартфон HTC, довольно древний по нынешним меркам, но древность не важна. Кучка сетевых приложений на оном, включая Google Play, VK, Instagram, и прочая прочая.
Надо: залить телефон чаем и посмотреть, что из этого получится.
А если серьезно, залили трубку чаем, случайно, конечно же, сразу же вынули батарею и подержали телефон отключенным какое-то время. Все правильно сделали.
После сушки батарея подключается обратно, телефон переводится в режим online и... и замечаем, что у нас отвалились те самые сетевые приложения. Как будто инета не видят. В то же время браузер все нормально открывает. Мистика... Любопытно, что все сетевые фиговины либо просто говорят, что нет коннекта (ага, при живом соединении, привет тебе Корпорация "Добра"), либо показывают пустой интерфейс, без контента.
Подробное изучение проблемы показывает, что браузер, на самом деле, тоже не все открывает. Валится все, что полагается на защищенные соединения, причем валится уже со стандартной ошибкой - нет доверия к сертификату, которым подписан веб-сайт. Что за дела? После отключения батарейки хранилище Trusted Root Certificates не удаляется, и не меняется вообще никак, но почему-то проверка всех сертификатов заканчивается неудачей. Что же еще сменилось?
Ответ оказался прост - дата и время. После подключения батареи они сменились на заводские значения. Все становится на свои места. При проверке сертификата учитывается его срок действия, а поскольку в телефоне дата неправильная, то и сертификаты валятся с ошибкой. После смены даты на верную все заработало как по волшебству.

@темы: Android, Security

15:05 

Backups

В Dash'e под Chronostasis'ом.

Оглядываясь назад, я не понимаю самого себя. Win 7 существует уже достаточно давно, WAIK к ней - тоже. Так зачем все это время искал решение для создания образа системы, если оно у меня под боком все это время было? Да, да, речь о imagex. По сравнению с тем же Акронисом у него все же есть ряд преимуществ:
1. Он бесплатен. По крайней мере в той же мере, в какой является бесплатным приложение, поставляемое вместе с имеющей какую-либо стоимость ОС, то есть без доп. оплаты.
2. Он "от производителя". А это уже многое дает.
3. Он интересен. Акронис и ему подобные - мышкокликерство, которое никак нельзя запрограмиировать, особенно если ты загрузился с диска восстановления. В ОС еще можно использовать костыли вида AutoIt или чего-то подобного. В PE-версии все это не будет доступно, а вот консольное приложение скриптовать можно как угодно.
В итоге - образ системы все же создан и заскриптован по полной программе, чего и требовалось.
Вторая стадия бекапа - сбор файлов настроек разнообразного ПО. Об этом особо. Где только не хранят различные программки и утилитки параметры своей работы. И в каком только виде не хранят. Кто в реесте, кто в профиле, кто еще где. У одних это *.ini, у других - *.cfg, у третьих - *.xml, а кое-кто вообще свою мелкую базу данных вает. Особо выбесил, а другого слова и не подберешь, BitTorrent и его младший брат - uTorrent.
Первое - обе по-умолчанию ставятся в профиль. И только туда. Изменить это на стадии установки нельзя! Объяснение просто блеск, более "гнилой отмазки" мне слышать не доводилось: для того, чтобы UAC системы не препятствовал обновлениям.
Ребята, посмотрите в сторону Мозиллы и ее Firefox, если уж вам это настолько критично. Нет, я согласен, что плодить целую службу для установки обновок - пушка для воробьев. С другой стороны, этот метод давно на вооружении уже у очень многих контор, начиная от МС (Windows Update) и заканчивая Adobe (служба обновления Flash).
Второе по торрентам - настройки обе эти программы хранят исключительно в каталоге установки. То есть, если нужно перенести программу из профиля в каталог, где ей положено быть, то есть Program Files, придется тащить туда же и файл настроек, а потом, как следствие, давать права на запись в этот каталог обычному пользователю ПК. В итоге мы дважды нарушаем принцип установки ПО, а принципы просты: настройки отдельно от бинарников, в каталог бинарников могут писать только административные учетные записи.
В общем, бекап настроек ПО иногда доставляет не то, что меньше, а даже больше "веселья", чем настройка этого самого ПО. С другой стороны - если не веселиться, что что еще делать-то в нашей жизни?
На вкусное - очередная порция добротной шведской поп-музыки. Подсел я на нее (именно в исполнении One More Time) со страшной силой.

@музыка: One More Time - No Romance

@темы: Security, Этот безумный мир

01:14 

Xmarks

В Dash'e под Chronostasis'ом.

Этим сервисом я пользуюсь уже достаточно давно. Меня он устраивает всем. Незаметная работа, возможность создания нескольких профилей для разных машин (дома один набор закладок в панели быстрого доступа, на работе - другой). Но вот сегодня после полной переустановки системы наткнулся на весьма неприятный факт: плагин Xmarks даже после успешной авторизации не мог получить список профилей с сайта, и, как следствие, не мог назначить машине нужный профиль. В итоге на панели закладок непонятная каша. Что делать?
Сначала подумал, что дело в версии Firefox, потому как была поставлена спец. версия ESR. Нет, после удаления ее и установки последней обычной баг никуда не ушел. Переставил плагин. Результат - нулевой. Перебил профили на самом сайте Xmarks. Ноль эффекта.
Но ведь сегодня же еще работало! Пробегаюсь по настройкам самого плагина, чем черт не шутит. И вижу прекрасное. Шифрование данных - по умолчанию стоит только шифрование при логине. А что будет, если этот параметр поменять так, как показано на рисунке:

Именно это в итоге и помогло. Почему так - не совсем понятно, но на будущее можно иметь в виду.
Ну и на вкусное - столь нелюбимая мной попса при правильном исполнении может быть очень даже приятной на слух. В шведском варианте это звучит примерно так:

Listen or download Putting on the Charm for free on Pleer

@музыка: One More Time - Putting on the Charm

@темы: Security

23:05 

Relocate User Profiles

В Dash'e под Chronostasis'ом.

Подсказали сегодня на работе задачку. Суть ее в следующем: образ системы, из которого будут разливаться рабочие станции, должен быть настроен таким образом, чтобы профили пользователей создавались и жили не на системном разделе. Задача не горящая, но тем не менее. А поскольку нужно немного отвлечься от Хроник Арции, виртуальную машину с Win 7 - запустить.
Что имеем? Методов несколько. Первый - быстрый и неправильный, второй - чуть более долгий, но зато верный. Первый - это простое перемещение каталога Users на нужный нам диск (естественно, придется делать это в оффлайн-режиме) с последующей установкой симлинка вида %SYSTEMDRIVE%\Users -> %TARGETDRIVE%\Users. Говоря по честному - костыль.
Второй - интереснее и... изящнее, что ли. Спасибо Kari за прекрасный материал о том, как нужного эффекта добиться на Windows 8. Вся штука в том, что этот способо так же успешно работает и на Windows 7. Для реализации нам понадобятся следующие компоненты:
1. Имеющаяся система (или система, завершающая свою установку прямо в данный момент, что еще лучше)
2. Дистрибутив, с которого система была установлена.
Поскольку моя виртуальная машина уже была установлена, рассмотрю вариант с уже имеющейся ОС.
Итак, первый шаг - загрузка в режиме аудита. Выполняется довольно просто:

C:\Windows\System32\Sysprep\Sysprep.exe /audit /reboot

Система будет загружена, и будет загружен профиль базовой административной записи. Даже если она была отключена, режим аудита ее включает на время своего действия.
После загрузки появится окно утилиты Sysprep, его пока можно закрыть, чтобы оно не мешалось.
Следующий шаг - подготовка нужного диска - тривиален. И здесь же можно провести подготовку сценария, который при следующей перезагрузке и произведет все действия по перемещению каталога профилей. Сам сценарий будет выглядеть так:



В зависимости от конкретной системы нужно поменять три параметра:
processorArchitecture="x86" - тип архитектуры. Если у вас 32-битный процессор (и соотвественно, 32-битная ОС), то этот параметр можно оставить как есть: х86. Если же имеем дело с 64-битной системой, вместо x86 нужно будет прописать amd64.
E:\Users - каталог, куда будут перемещены пользовательские профили. В моем случае это папка Users, расположенная на диске E:
source="wim:D:/sources/install.wim#Windows 7" - источник файлов в дистрибутиве. Фактически, тут нужно поменять только букву диска. В моем случае это был диск D:
"Обработка напильником" закончена. Сохраняем этот сценарий в виде xml-файла, например, relocation.xml
Следующий шаг - произнесение заклинания, которое мы подготовили :) Let the magic begin!

c:\Windows\System32\Sysprep\sysprep /audit /reboot /unattend:E:\relocate.xml

Снова будет вызвана утилита Sysprep, только уже с ключом /unattend, в котором прописан путь к подготовленному ранее сценарию. Система уйдет в перезагрузку, затем снова запустится в режиме аудита, и снова будет вызван Sysprep. Последний шаг - выход из него в режим Out-of-Box-Experience. Для этого в запущенном Sysprep в поле System Cleanup Action выбираем Enter System Out-of-Box Experience (OOBE), а в Shutdown Options - Reboot.
И теперь останется только дождаться запуска системы в обычном режиме с показом окна Windows Welcome. Почему придется ждать? Потому что именно в течение этой перезагрузки будет выполнено фактическое перемещение каталога Users. Если он был огромным, соотвественно, понадобится больше времени.

Что ж, тест на виртуалке пройден успешно. Дело за тестах в "лабораторной" среде.
P.S. Если имеем дело с Windows 8, то, согласно, записи Kari, нужно потушить одну из служб: Windows Media Player Network Sharing Service. Как выяснилось, для Windows 7 это не обязательно.

@музыка: Julie Fowlis - Hùg Air A' Bhonaid Mhòir

@темы: Security

12:53 

Google banned.

В Dash'e под Chronostasis'ом.

Собственно, за это ребятам из РосТелеКома надо кое-что отрезать, размножаться такие не должны.
 photo Capture_zpse9afd6e5.png

Поясню, что на картинке. При попытке открыть вложение-картинку из письма в Gmail эта картинка загружается с сайта Googleusercontent.com, все вложения там хранятся. Сейчас же при попытке обратиться к этому сайту по защищенному протоколу (а google уже давно работает только по нему), браузер напарывается на то, что к этому сайту привязан (с какой-то стати) совершенно левый сертификат от РосТелеКома. И, естественно, вопит о том, что "вас пытаются наколоть". Ну а если проигнорировать это предупреждение и сказать "пусти меня туда все равно" - нарвемся на стандартную плашку от РТК, сообщающую, что googleusercontent.com заблокирован, как хранящий недопустимую в нашей стране информацию.
Как я уже говорил, за подсовывание левого сертификата надо кое-что отрывать. Без наркоза...

UPD. По состоянию на 15:25 - блокировка снята. Но факта дебилизма это не отменяет.

@настроение: Enrage!

@темы: Security, Этот безумный мир

11:43 

Trend Micro Office Scan upgrade

В Dash'e под Chronostasis'ом.

Встала задача - обновить наш антивирус. С версии 10.6 на версию 10.6 Service Pack 1. В принципе, это достигается при помощи внутренних средств обновления, но мне захотелось поднять полностью новый сервер и перевести клиентов на него. Потому как работа старого меня не устраивала, даже бекапы базы данных не делались, валились с ошибкой. Впрочем, это не удивительно, сервер этот был последовательно обновлен с 10 до 10.6. Наверняка уже столько хвостов осталось, что ужас. В общем - чистая установка - как всегда, лучший выход.
С самой установкой и настройкой проблем вообще никаких. С переносом клиентов, которые на текущий момент активны - тоже. А вот что делать с теми машинами, которые могут месяцами не включаться? Их ведь просто так не перетащишь, команду не дашь с административной консоли. Что ж, такую задачу решать уже доводилось - придется воспользоваться сценариями запуска компьютеров. В итоге клиент сам после запуска переползет, куда надо.
Основа сценария - маленькая утилитка IpXFer, которая и пинает клиента в нужную сторону. Выполняется на целевом клиенте с соотвествующими ключами от имени администратора или самой машины (если речь о сценарии запуска). Одновременно с этим не мешало бы проверять - а не переехал ли клиент уже на новый сервер. Ведь если он там - повторно перекидывать его туда не надо.
Начнем с проверки. Кучу своих настроек клиент Trend Micro Office Scan хранит вот тут:
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion
Нас очень сильно интересует параметр Server, в котором и прописывается "место жительства" клиента. Выполнив команду
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion" /v Server
получаем требуемое.
Теперь полученное нужно проверить - что же там лежит. Ради интереса воспользовался вот таким методом:
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion" /v Server | findstr "%ServerName%"
Сначала мы получаем значение параметра Server, затем в полученном пытаемся найти имя нашего сервера. Если найдем, все в порядке. Если не найдем - получим ошибку в системной переменной %ErrorLevel%. Следующий шаг - проверка этой переменной. Если она равна нулю - не делать ничего, клиент уже на "месте прописки". Если же не равно нулю - значит клиент у нас бродяжничает, и его пора пришпилить на место.
Отдельный вопрос - x64 системы. У них расположение нужного нам ключа реестра немного отличается:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\CurrentVersion
Следовательно, нам нужно будет еще проверять, на каком типе систем исполняется скрипт. Ну а потом, после всех проверок, запустить нужную утилитку с кучей параметров.
Целиком весь сценарий будет выглядеть вот так:

echo off
if exist "%systemdrive%\program Files (x86)" (goto x64) else (goto x86)
:x86
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion" /v Server | findstr "%ServerName%"
if NOT %errorlevel% == 0 call \\server\share\ipxfer.exe -s %ServerName% -p %HTTP_Port_Number% -m 1 -c %Client_Port_Number%
goto rest

:x64
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\CurrentVersion" /v Server | findstr "%ServerName%"
if NOT %errorlevel% == 0 call \\server\share\ipxfer_x64.exe -s %ServerName% -p %HTTP_Port_Number% -m 1 -c %Client_Port_Number%

:rest

Обработка напильником - стандартная. Вместо %ServerName%, %HTTP_Port_Number%, %Client_Port_Number% подставить нужные значения и положить обе утилитки ipxfer и ipxfer_x64 в какую-либо общую папку, куда могут обратиться компьютеры домена.

P.S> После обновления клиента у него меняется значок. Кто-то из "бдительных" пользователей это заметил и тут же начал трезвонить в IT отдел - "Помогите, у меня на компьютере вирус под названием Trend Micro Office Scan!". Ирония в том, что сотрудник сам не знает, на сколько же он прав...

@темы: Security

10:30 

Remote Control...

В Dash'e под Chronostasis'ом.

Нет, сегодня речь пойдет не о таких вещах, как RDP или LogMeIn. На днях приехала первая из трех заказанных карт удаленного управления серверами Aten IP8000. Обычная PCI плата, которая добавляет функционал iLO (это если в привычных мне терминах HP), а по-русски - возможность управлять сервером на протяжении всего времени его работы, от самого старта по питанию до выключения этого самого питания. Ну и бонусом приятные штуки как Remote Media и ему подобное.
Все бы ничего, но захотелось настроить авторизацию на этой карте через Active Directory, это банально удобнее. Все необходимые настройки для этого есть. Открываем форму, вбиваем все необходимые данные:
 photo IP800_zps66ce820e.png

Отличие от этого скрина в том, что галку Enable Authorization я тогда поставил.
Сохраняем настройки, даем рестарт карты... и понимаем, что LDAP-авторизация не заработала. Перепроверяем настройки еще раз - понимаем, что все внесено верно, но не работает. Штудируем мануал и видим, что в мануале раздел LDAP вообще никак не освещен. Что за...
Гугл, запрос. Ответом стала шокирующая информация из инструкции к другому KVM той же компании - для того, чтобы работала авторизация через MS AD, нужно расширить схему AD! Засада, потому что таких прав у меня нет, да и для чего такие сложности, вообще неясно.
Еще более вдумчивое изучение того же справочного файла сказало: отставить панику, сейчас все сделаем. И действительно, все сделали. Теперь по шагам:
1. Выбор между LDAP или LDAPS. Тут все очевидно - что используется, то и нужно выбирать, причем LDAPS предпочтительнее. Негоже пересылать информацию об учетных записях в открытом виде (привет старому доброму PsExec).
2. LDAP Server IP, Port. Тоже все понятно, где LDAP развернут - тот IP адрес и подставляем. Порты в подавляющем большинстве случаев используются стандартные.
3. Timeout. Как долго наша карточка будет ждать ответа от LDAP. Тоже ничего особенного.
4. LDAP Administrator DN. Имя административной учетной записи, от которой будут происходить операции в AD. До сих пор не могу в толк взять, для чего здесь нужно именно административную запись вводить. Ведь карта в самой AD ничего не меняет, а читать из каталога позволено всем. Но делать нечего, вводим учетку в формате:
CN=username,OU=users,DC=example,DC=com
5. LDAP Administrator Password. Все просто - пароль указанной административной учетки.
6. Search DN. Вот здесь уже интереснее. Это имя контейнера, в котором, а также во всех его подконтейнерах, учетные записи будут иметь право логина на нашу карточку.
7. IP8000 Admin Group. Параметр, связанный с предыдущим. Члены указанной группы из AD будут обладать правами администратора и на карточке. Все остальные - только базовыми, об этом чуть ниже.
И остается та самая галочка Enable Authorization. Именно она определяет логику работы карточки с AD. Итак:
1. Параметр включен. Для определения того, кто может зайти, кто не может, а кто является администратором, карточка будет искать среди атрибутов учетных записей два особенных, которые и создаются во время расширения схемы AD.
2. Параметр выключен. На карточку смогут зайти все пользователи, чьи учетные записи находятся в OU, указанном в пункте 6, и будут обладать урезанными правами. Пользователи же, чьи учетные записи находятся в группе, указанной в пункте 7, смогут делать с карточкой что угодно. Изменения схемы в этом случае не требуется.
Таким образом, параметр Enable Authorization я отключил, после чего авторизация через LDAP заработала так, как требовалось.
И отдельно о правах пользователей. Ради теста зашел под специальной технической учеткой, созданной для различного рода проверок, с ограниченными правами на карточке. Каким же было мое удивление, когда я увидел, что такой учетке доступен раздел Power Management и кнопки выключения сервера и его жесткой перезагрузки. Эта засада будет подстерегать тех, у кого административные учетные записи лежат в структуре AD в том же OU, что и обычные учетки сотрудников. Обходится этот момент просто - нужно создать отдельную OU, перенести туда нужные учетки, и именно эту OU прописать в настройках LDAP-авторизации карты. После этого обычным учетным записям зайти на нее просто не удастся, они будут отфильтрованы, а административные учетки будут обладать всеми необходимыми правами.

@темы: Security, Этот безумный мир

11:42 

SkyDrive #2

В Dash'e под Chronostasis'ом.

В продолжение предыдущего разбора полетов с Небесным Диском.
Причину рухнувшей синхронизации найти все же удалось. Оказалось, что синхронизация отказывает тогда, когда SkyDrive пытается закачать файл, созданный прямо в веб-интерфейсе, или залитый в облако через него же. И валится синхронизация, когда клиент находится за файрволлом. Поскольку используется TMG, пришлось, вооружившись гуглом, копаться в нем. Ответ найден - всему виной Malware Inspection, если быть совсем точным - параметр "Force content requests (remove HTTP Range header)". Подробно - здесь: Клац!
Отключение этого параметра восстанавливает синхронизацию тут же.

@темы: Security

14:44 

SkyDrive

В Dash'e под Chronostasis'ом.

Во время запуска этого сервиса было много шума. Что ж, место там есть, пора и попробовать его в деле.
Итак, два компьютера, на обоих установлен клиент, версия - последняя. Структура проста: папка Документы, папка Разное. В папке документов лежит все то, что нужно сохранить как бекап. Папка Разное предназначена для обмена данными между двумя компьютерами (лень мне флешку таскать, лень). Папка документов должна синхронизироваться с домашним компьютером. Папка Разное - с домашним и рабочим.
Задача не такая уж и сложная, учитывая, что SkyDrive вслед за Дропбоксом функцию выборочной синхронизации уже представил и внедрил. Настраиваем параметры, видим что на домашнем компьютере синхронизация идет как и полагается. На рабочем же... а вот тут жестокое разочарование - синхронизации НЕТ ВООБЩЕ. Клиент навечно зависает в состоянии Processing changes. При этом папку Разное он видит, даже создает ее на жестком диске рабочего ПК. Ужасно, просто ужасно.
Делаем финт ушами - даем полную синхронизацию всего, что есть в облаке, с рабочим ПК. Затем, когда синхронизация пройдет успешно, поставить выборочный режим. По уверениям Microsoft в этом случае клиент сотрет с компьютера все, что не относится к выбранным для синхронизации файлам и папкам, после чего будет спокойно кушать только выбранное. Сказано - сделано. После включения выборки все "лишние" файлы были послушно удалены с компьютера, но после этого... да, вы правы, синхронизация опять накрывается. Перезапуск клиента эффекта не дает. Включение полной синхронизации процесс обмена файлами восстанавливает тут же. Браво, Microsoft!
Причем "браво" - дважды. И второй раз - за то, как вы вообще прописали логику работы этого приложения. Никогда не думал, что MS сами напишут просто ярчайший пример "дикого софта". Итак:
1. Клиент ставится прямо в профиль пользователя (изменить это НЕЛЬЗЯ)
2. Папка временных файлов создается прямо в корне диска, на котором будет лежать пользовательская папка SkyDrive. Она будет скрытой, называется SkyDriveTemp.
И все это - с вытекающими проблемами, если на компьютере действует жесткое ограничение прав на запись в каталоги вместе с Software Restriction Policy.
За эти два пункта хочется пристально, очень пристально посмотреть в глаза тому человеку, который все это придумал.

@музыка: One More Time - Here comes the ghost

@темы: Security, Этот безумный мир

20:38 

TMG 2010 vs Java. War continues...

В Dash'e под Chronostasis'ом.

Фаза 2. Тестовая группа расширена до сотни человек. И что, вы думаете, что все прошло гладко? Да как бы не так.
Есть у нас подразделение, работающее с веб-сайтом, попортившим уже немало крови. Знающие да поймут меня: audatex. Вот честно, дай мне волю, искоренял бы ересь под названием Java всеми доступными мне методами. Впрочем, я отвлекся от темы.
Суть в следующем. Конфигурация браузера: использовать скрипт автоматической настройки маршрутизации. Интернет работает, страницы открываются, все авторизуется как надо. А вот как только дело касается запуска Java-апплета, процесс втыкается намертво. Java просто не может пробиться через файрволл. Ради теста переключаем пользователя на предыдущую конфигурацию и на старый прокси. А там настройка такова: прямо в браузере поставлена галка "Использовать прокси-сервер" и прописаны необходимые параметры. Честно, этот метод я не люблю, и в TMG 2010 я от него уйду (отсюда и скрипт автоматической настройки). Через старую прокси все работает. Закономерный вопрос выражается в трех символах: WTF?
Ковыряем интернет, находим вот такую любопытную статью:
support.microsoft.com/kb/925881 - An ISA server or Forefront Threat Management Gateway server requests credentials when client computers in the same domain use Internet Explorer to access Web sites that contain Java programs.
В частности, заинтересовало описание второго метода решения проблемы. О сетевых настройках внутри самой JVM как-то не подумалось, а зря. Что ж, идем на проблемное рабочее место и начинаем играться с параметрами JVM. Результат неутешителен. Попытка использовать ее настройки по-умолчанию (Use browser settings) провалена, как и описано выше. Попытка прописать новый прокси прямо в JVM - снова неудача. Попытка подставить тот же адрес сценария автонастройки - дальше продолжать? Остается последний вариант - Direct connection. Я точно знаю, что он сработает, но в то же время использовать его я не могу. Потому что в этом случае запрос пойдет на старую прокси. Что ж делать?
Остается только одно, установить на машину TMG/ISA client, чтобы он заворачивал, причем гарантировано, все запросы на новую прокси. Сказано - сделано, клиент поставлен, настроен, JVM сказано - ломиться напрямую, мимо прокси. Настройки браузера приведены к виду указанному ранее - через сценарий автонастройки. Все заработало.
Ну а теперь, как говорилось в известной передаче - внимание, вопрос? Нафига козе баян? То есть зачем в JVM такое богатство настроек прокси, если реально работают только два варианта, а один из них еще и с серьезными ограничениями?
Нет, никогда мне не подружиться ни с Java в общем, ни с разработчиками на этой платформе.

@музыка: Davol - Lucky day

@темы: Security, Этот безумный мир

09:57 

TMG 2010. It's a war.

В Dash'e под Chronostasis'ом.

Вот и добрались мои руки до этого "замечательного" продукта - Treat Management Gateway 2010. Все та же линейка ISA-образный файрволлов, которые я от всей души ненавижу, и с которыми волею судьбы приходится работать. Весьма своеобразные это файры, должен сказать. В копилке уже два случая, за которые очень хотелось бы пристально посмотреть в глаза разработчикам. Итак, начали.
1. Во всей документации сказано, что ISA/TMG - файры, обрабатывающие правила исключительно по их следованию в списке - от первого до последнего. Еще во времена ISA 2004 у меня появились большие сомнения в том, что это верно. TMG 2010 и его функция имитации трафика с логами этого процесса только подтвердили эти догадки:
условия теста - есть правило, разрешающее доступ всем на группу сайтов yammer.com. Ну и последним, естественно, идет правило, запрещающее все и всем, правило по-умолчанию.
Имитация трафика - пакет по протоколу http на сайт yammer.com. Имя пользователя несущественно, доступ в разрешающем правиле - для всех.
результат теста
Покупайте наших слонов. Первым делом проверено правило тотального запрета, и ясен красен, что тестовый пакет ему удовлетворяет. Хорошо хоть, что тут же показывается ремарка, что, мол, есть тут у нас какой-то список правил, так уж и быть, проверим и его...

2. Обработка адресов в URL Sets. Если меня читают те, кто еще застал в своей жизни символы-маски со времен DOS - меня поймут. Как вы думаете, если в правиле задано следующее - разрешать всем доступ на сайты, удовлетворяющее маске *yammer*, пропустит ли TMG 2010 пользователя вот по такому пути: http : // yammer . com / sitename (без пробелов, естественно)? Как ни странно, ответом будет однозначное НЕТ. В то же время, если в правиле изменить маску на *yammer.com - файр станет пускать на все сайты группы yammer.com и все их подразделы, что и требовалось.
Эх, старпер я, как есть старпер. До сих пор мыслю категориями DOS, но ведь и работали они до сих пор...

@музыка: Diane Arkenstone - The sacred forest

@темы: Security, Этот безумный мир

20:22 

SRP #2 - Deal with shortcuts

В Dash'e под Chronostasis'ом.

Итак, скелет этой политики все же сделан. После ковыряния гугла и technet'a найдено решение, как блокировать запуск *.lnk из всех каталогов, кроме необходимых. Причем метод должен работать для любой установки ОС, независимо от диска, версии, языка.
Сутб проста - расположение особых пользовательских каталогов зашито в системном реестре, откуда мы можем их получить и подставить в параметры политики. Таких путей лично я насчитал 10. Рабочий стол, Мои документы, Программы, меню Пуск, и Автозапуск. Пять на пользователя и эти же пять для профиля All Users. Именно их и надо по условиям задачи подставить в исключения. Что ж, раскрываем список Additional Rules и указываем нижеприведенные 10 строк в режиме Unrestricted.

%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Desktop%*.lnk
%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Personal%*.lnk
%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Programs%*.lnk
%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Start Menu%*.lnk
%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup%*.lnk
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop%*.lnk
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Documents%*.lnk
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Programs%*.lnk
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Start Menu%*.lnk
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Startup%*.lnk

Осталась самая малость: собрать все остальные пути исключения для "дикого" софта, провести тестирование на фокус-группе. В случае успеха в области действия политики можно смело проставить Domain Users, и забыть о таких поганцах, как Skype, QIP, Google Chrome и иже с ними. Кто в курсе, меня поймет.

Track of the Day (TotD): Davol - Jhalinka
Time range: 1:57 - 2:17

Прослушать или скачать Davol Jhalinka бесплатно на Простоплеер

@музыка: Davol - Jhalinka

@темы: Security

20:03 

Trend Micro Office Scan Client 10.5 part 2

В Dash'e под Chronostasis'ом.

Окончание истории, начатой тут. Как я и предполагал, процесс удаления файлов растянулся надолго. Аж на двое суток неторопливого выпиливания орды мелких, очень мелких файлов. MFT от такого поворота дел просто в ужасе была, поскольку вся эта мелочь явно хранилась прямо в ней. Статистика это подтверждает: на диске рабочей станции на 70 с небольшим тысяч файлов MFT заняла около 70 мегабайт, а вот на многострадальном файловике на те же 69 тысяч она уже разрослась аж до 4 Гб! Ясно, сильнейшая фрагментация после удаления всего мусора, с этим еще придется повозиться, но главное, работа антивируса, все же починено.

@музыка: E.S.Posthumus - Anumati

@темы: Security, Viruses and Spam

22:55 

Trend Micro Office Scan Client 10.5

В Dash'e под Chronostasis'ом.

По непонятной причине стоящий на файлопомойке клиент корпоративного антивируса отцепился от управляющей консоли. Offline режим, и все тут. Принял решение его переустановить, хотя и помню об замечательной утилитке IpXfer, которая и нужна для переподключения клиента к другому серверу. Или тому же самому, как раз вот в таком случае.
Сказано, сделано, команда на удаление отдана. В процессе видно, что удаление происходит с ооочень большим скрипом, удаление служб продолжалось минут 15, на стадии удаления файлов система воткнулась еще на 40 минут. Все симптомы зависания. Делать нечего, распечатывается специальный документ, и пошагово проходим процедуру ручной очистки системы. В конце этого списка значится - reboot. Ясное дело, что боевой файловый сервер перезагрузить в течение рабочего дня никто не даст, значит, откладываем это дело до вечера, команду на рестарт можно отдать и из дому.
Перезагрузили. С радостным лицом поставили клиент заново и... поняли, что что-то пошло не совсем так, как надо.
"Все вышло не так, как ты планировал, Итэн..." (с) M:I:2
Вместо трех нужных служб в системе зарегистрированы только две. Более того, служба сканирования в реальном времени запускаться отказывается в принципе, ссылаясь на то, что ей нечего делать(!). И вспоминаем, что до повторной установки нужно было все же вынести старые каталоги антивируса. Дурная голова ногам рукам покоя не дает. Ладно, снова сносим антивирус, и ожидаемо получаем затык на стадии удаления файлов. Что ж, взглянем на этот процесс под микроскопом, то есть Process Monitor'ом, по критерию:
Process Name is NTRMV.EXE
Результат следующий - данный процесс вовсю елозит по папке C:\Program Files\Trend Micro\Office Scan Client\Hlog, открывает файл, пишет в него, закрывает.
Что ж это за логи такие? Залезаем в папку проводником и получаем зависший проводник. Снять процесс, попробовать пролезть другим шеллом. Получаем то же самое. Ладно, расчитай мне размер этой папки. Explorer.exe уходит в подсчеты, отгребает на себя гигабайт оперативной памяти, но результат удручает - найдено 0 объектов. К слову сказать, ни TC, ни cmd в этом плане тоже не отличились. Что же делать? Это логи, они находятся в папке, которая полностью предполагается к сносу. Их надо снести. Прпробуем метод, который меня еще не подводил:
cmd
cd c:\program files\trend micro\officescan client
del /f/s/q hlog\*.*
После минутного раздумья шел все же начал удалять все то, что там было. Тогда я еще не знал, сколько там всего.
Через минут 20 этого терзания диска я остановил процесс и попробовал снова зайти туда проводником. Увиденное повергло меня в шок. Проводник все же смог показать часть этого каталога: 300000 объектов, каждый размером меньше килобайта. И это - еще не весь каталог. Ну что же, повторный запуск удаления всего и вся через командную строку и ждать результатов. Это надолго...
P.S. Поймал себя на мысли, что это уже не первые боевые действия с данным антивирусом. Связка Trend Micro и Symantec Backup Exec уже показала себя во всей красе.

@музыка: KOTO - Die Klapperschlange

@темы: Security, Viruses and Spam, Этот безумный мир

16:23 

File System Audit

В Dash'e под Chronostasis'ом.

Наверняка каждый системный администратор сталкивался с задачей - вынуть да положить руководству на стол информацию о том, кто стер какой-либо очень нужный файл с сетевого хранилища. Почти все знают, как включить аудит событий файловой системы. Если кто-то не знает, очень рекомендую ознакомиться вот с этой статьей: How do I enable auditing on certain files/directories? - это очень просто и быстро.
После включения аудита в логе безопасности файлового сервера станут появляться события о работе с файловой системой. Вот как, например, выглядит запись о запросе на удаление какого-либо файла:


В этом сообщении видно все, что нам нужно для отчета. Единственная проблема заключается в том, что в логе безопасности сообщений будет огромное количество. И среди всего этого вороха данных нам нужно будет как-то отыскать нужную информацию. Известно, что все логи сервера - это файлы, значит, нужно каким-то образом в автоматическом режиме прочитать файл лога, вытащить оттуда записи согласно определенным критериям, и этот комплект записей выложить на стол руководству. Осталось лишь найти инструмент, которым можно этого добиться. Он есть, называется LogParser, взять можно вот здесь: LogParser @ Microsoft.com.
Инструмент этот относится к разряду CLI-утилит - вся работа осуществляется при помощи командной строки. В разборе того, что и куда вводить, чтобы прочитать нужные данные, мне очень сильно помогла вот эта страница: Log Parser - The "Swiss Army Knife" for Intrusion Investigators and Computer Forensics Examiners. По прочтению и пониманию материала был сформирован следующий ярлык вызова утилиты:


А в качестве содержимого файла запроса DeleteEvents.sql используется следующее:

Да, это самый обычный SQL запрос. Допустим, меня очень сильно интересовало, какой нехороший человек стер мой любимый файлик, называвшийся "тест.txt". Вводим запрос, нажимаем Enter, и в ответ получаем красивую табличку вот такого вида:

Откуда видим, что нахала, стершего файл, зовут user01, принадлежит он к домену TEST. И файл был стерт сегодня. Что ж, задача выполнена, мерзавец найден. Дальше уже пусть руководство разбирается, что с user01 делать и какие санкции к нему применять.

P.S. Все вышеописанное справедливо для Windows 2008 Server. В версии 2003 формат записей в логе безопасности был иным, поэтому файл sql запроса скорее всего нужно будет серьезно менять.
P.P.S. Небольшая хохма на десерт. Существуют платные решения из сферы аудита, одно из таких я сегодня захотел попробовать: sсript Logic File System Audit. Как всегда при запросе пробной версии нужно заполнить простыню. Ок, давайте, посмотрим, что и куда писать надо. Вот кусок этой простыни:

Ничего более подходящего, чем Вооруженные силы Европы я там не нашел. А что, хорошая страна ведь ;)

P.P.P.S. Окинул запись взглядом анонимного пользователя - ГРАФИЧЕСКИЕ СМАЙЛЫ! УБЕЙТЕ СЕБЯ О СТЕНУ В КРОВАВЫЕ ОШМЕТКИ!!!

@музыка: KOTO - Die Klapperschlange

@темы: Security

22:09 

PCI DSS

В Dash'e под Chronostasis'ом.

Original @ ServerFault.com.
Перевод истории на Хабрахабре.
Читать всем, даже если вы не имеете никакого отношения к аудиту платежных систем и процессинговых центров. Это феерия.

@темы: Security, Этот безумный мир

19:25 

GFI EndPoint Security 4.3 Transition

В Dash'e под Chronostasis'ом.

Решил посмотреть, как будет себя вести при обновлении программный комплекс GFI EndPoint Security. Вполне возможно, что придется это сделать, обновившись с 3-й на четвертую версию. В принципе, все достаточно гладко, за исключением пары-тройки моментов:
1. При обновлении 4-я версия не терпит присутствия на сервере своей старшей сестры, требует ее снести. Следовательно, бекап конфигурации должен быть. На всякий случай (впрочем, он должен быть в любом случае).
2. Для установки обязательно наличие .NET Framework версии 2.
3. Самое занятное: после установки основная служба отказалась стартовать. В окне установщика висит сообщение о том, что установщик эту службу пытается запустить, в оснастке служб она значится, как неработающая. Пробуем "помочь" установщику, запустив службу руками. Минута ожидания, и ОС выводит свое стандартное сообщение о том, что служба стартовала, но затем благополучно завершила работу, так как "ей нечего делать". Помнится, когда я с таким сообщением впервые столкнулся, оно меня очень сильно позабавило, вот тут ее пример описан: www.gotdotnet.ru/blogs/GRP/2838/
Ладно, веселье весельем, а запустить ее нужно. Лезем в базу знаний компании GFI и находим там следующее:
GFI EventsManager service does not start - Клац!
The GFI EventsManager executables are digitally signed by default. When trying to start the service, the application must download the Certificate Revocation List to authenticate. If the download fails due to network connectivity or security reasons the service will fail to start by timing out.

Это уже интереснее. Выходит, что для старта службы программы EventsManager необходим доступ в Сеть. Да, на моем сервере доступа не было (ибо зачем?). И хоть EventsManager - это не EndPoint Security, решил проверить, сработает ли рекомендация для моего случая. После обеспечения доступа во всемирную паутину и повторного запуска установки EndPoint Security служба успешно стартовала, и GFI EndPoint Security 4.3 благополучно завершил установку.
Апгрейд клиентов же просто тривиален.

@музыка: Ryan Farish - Opus (2011)

@темы: Security

23:16 

Exchange 2003 OWA и кириллические учетные данные.

В Dash'e под Chronostasis'ом.

Весьма любопытный случай.
Один из сотрудников жалуется на то, что из дома не может попасть на свой почтовый ящик - система просто не принимает его учетные данные. Провожу тест у себя, сбрасывая пароль на стандартный для таких случаев - все отлично срабатывает. Ну не иначе где-то ошибся человек.
Раз, второй, третий... Умом понимаю, что что-то не так. Ну не может человек настолько упорно набирать пароль неправильно. Тем не менее, проблема заглохла, больше звонков длительное время не поступало.
Недавно эта неприятность снова голову подняла, но уже с другим сотрудником. Этот поступил умнее, пришел в отдел лично. Лично набрал свой пароль на консоли администратора - не пускает. Прямо тут же меняем ему пароль на стандартный - все проходит на ура. Сотрудник меняет пароль на свой собственный - и тут же получает отлуп. Как так?! Посмеялись, потом начали размышлять, что и к чему. В глаза бросился тот факт, что тестовый пароль на английском языке, а сотрудник свой набирал на русском. И задавал его на русском. То есть мы пришли к тому, что OWA по какой-то ей ведомой причине не принимает национальные символы в пароле. Ладно, рекомендовали сотруднику использовать англоязычный пароль, а для себя пометили задачку в выполнению, но не как горящую.
Сегодня все же дошли руки до поднятия ручного Exchange 2003 SP2. Настраиваю OWA, меняю у тестового пользователя пароль на кириллический, жму Enter - и я в ящике этого пользователя. Все чудесатее и чудесатее (с).
Форумы молчат. Есть упоминания о том, что имеется проблема в случае кириллических логинов, но здесь другой случай. На яндекс в подобных вопросах уже давно не надеемся, гугл разводит руками. Полчаса вдумчивого сравнения конфигурации... Затем мысль - а что у нас с настройками регионов и кодовых таблиц. На самом деле региональные настройки не так важны, нам деньги не мерять. А вот кодовые таблицы - это уже любопытно. Оказалось, что на боевом сервере в настройках кодировок для non-Unicode приложений стоит английский язык, на тестовом же сервере - русский. Ну что же - смена на русский на боевом, перезагрузка... Долгие 3 минуты ожидания, смена пароля тестового доменного пользователя, заход на OWA... Success!!!
Exchange 2003 SP2 и настройки не-Юникод приложений - такого я представить себе не мог. Теперь представляю.
Еще одна поставленная галочка, еще один случай в копилку. Надеюсь, кому-то эта запись сэкономит немало времени в подобной ситуации.

UPD. Если конфигурация Exchange 2003 включает в себя два сервера, front-end и back-end, менять кодовую таблицу нужно на front-end-сервере.

@музыка: Rise Against - Help Is On The Way Shift 2 Remix

@настроение: Shocked

@темы: Security, MS Exchange

Записная книжка

главная