WebCon

Zmiany na blogu

Przez najbliższy tydzień dostęp do bloga, może być nieco utrudniony, ze względu na wprowadzane modernizacje ;)

Ekstremalnie krytyczna luka w IE

Kolejny problem z bezpieczeństwem systemów Windows obił się szerokim echem w ostatnich dniach. Po ostatnim krytycznym błędzie systemów Windows odkryty został kolejny poważny błąd, tym razem przeglądarki Internet Explorer. Securnia opisała lukę przeglądarki Internet Explorer określając ją jako Extremely critical Luka pozwala na zdalny dostęp do komputera oraz na wykonanie dowolnego kodu. Co ciekawe problem występuje również na w Internet Exlorerze 7 na w pełni spatchowanym systemie Windows XP z Service Packiem 3 oraz w Internet Exlorerze 6 na Windows XP z SP2. Na dzień dzisiejszy Microsoft pracuje nad poprawką. Czekamy na nią z niecierpliwością.

źródło LOCOS.pl

Etykiety: Administracja, Bezpieczeństwo, News

Kolejne spotkanie Polish Sharepoint Group

Już 16 grudnia (wtorek) odbędzie się drugie spotkanie Polish Sharepoint Group.

Agenda:
* 18.00 - 19.15 Sesja 1: "SharePoint, a praca grupowa"
* 19.15 - 19.30 Przerwa & Networking
* 19.30 - 20.30 Sesja 2: "Kto szuka nie błądzi! Konfiguracja usługi wyszukiwania"
* 20.30 - 21.00 SharePoint Tips & Tricks

Serdecznie zapraszamy na drugie spotkanie naszej grupy. Spotkanie odbędzie się 16 grudnia (wtorek) o godzinie 18.00 w siedzibie Microsoft Polska przy ulicy Al. Jerozolimskie 195A w Warszawie. Spotkanie jest otwarte dla wszystkich chętnych. Rejestracja nie jest wymagana.

Serdecznie polecamy to spotkanie ;)
>>> Strona Polish SharePoint Group
>>> Więcej o drugim spotkaniu PSG

Etykiety: News, PSG

Warto mieć #14: Windows 2000 Support Tools

Dzisiejszego dni polecamy wam kolejny zestaw oprogramowania przydatnego każdemu administratorowi. Nazwa paczki Windows 200 Support Tolls może nieco mylić, gdyż Windows 200 jest już co najmniej starym rozwiązaniem. Jednak zestaw poniżej wymienionych aplikacji jest bardzo przydatny.
W skład zestawu wchodzą:
- Iadstools.dll
- Replmon.exe
- Netdiag.exe
- Repadmin.exe
- Netdom.exe

Są to przede wszystkim narzędzia diagnostyczne pomagające sprawdzaniu przyczyn nieprawidłowego działania takich usług jak domena (Netdom), zarządzanie replikacją (Repadmin) czy też usług sieciowych (Netdiag). Warto więc przyjrzeć się tym narzędziom, gdyż mimo swojego wieku, przydają się bardzo podczas diagnozowania problemów w środowisku domenowym Windows Server.

>>> Windows 2000 Support Tools

Etykiety: Windows 2000, Windows Server 2003

Konto administratora

Domyślnie w systemie Windows Server 2003 główne konto administratora systemu nazywa się po prostu "Administrator" i wiedzą to wszyscy. Wynika z tego niestety jeden bardzo ważny fakt, o istnieniu takiego konta wiedzą osoby potencjalnie chcące włamać się do naszego systemu. Niestety też bardzo często to wbudowane konto systemowe używane jest jako główne konto służące do zarządzania serwerami w domenie. Rozwiązanie takie jest niestety bardzo niebezpieczne.

Warto więc zabezpieczyć się przed ewentualnym atakiem na konto administratora. Najprościej jest oczywiście wyłączyć konto "Administrator". Można pójść jednak o krok dalej i stworzyć "oszukańcze" konto "Administrator". Rozwiązanie takie jest bardzo popularne i warto zapoznać się z tą metodą zabezpieczenia naszych serwerów.

W tym celu otwieramy Active Directory Users and Computers. Pierwszym krokiem jest zmiana nazwy użytkownika z "administrator" na inne, choćby "nasze.imie.i.nazwisko". W następnym kroku tworzymy nowe konto użytkownika, jako nazwę wpisujemy administrator, natomiast jako opis wpisujemy Built-in account for administering the computer/domain. Rozwiązanie takie umożliwi ograniczyć próby zalogowania się na to standardowe konto. Warto stosować to jako dobra praktykę w administrowaniu Windows Server.

Edit:
Po komentarzu (dzięki za zwrócenie uwagi na temat) jednego z użytkowników pozwolę sobie nieco poszerzyć temat zmiany nazwy użytkownika. A mianowicie przedstawiona metoda jest tzw. metodą zabezpieczania przez ukrywanie. Niestety bardzo słabą, gdyż SID każdego konta administratora kończy się cyfrą "500". To z kolei pozwala w łatwy sposób namierzyć SID, który będzie odpowiadał kontu administratora.

W sytuacji posiadania odpowiedniego identyfikatora wystarczy posłużyć się taki narzędziami jak SID2USER lub USER2SID by uzyskać nazwę potrzebną do logowania. W tej sytuacji wszelkie staranie mające na celu zabezpieczenie tego konta nie przynoszą rezultatu.

Podsumowując najlepszym rozwiązaniem w takim wypadku jest wyłączenie takiego konta. Bardzo dobrym rozwiązaniem w tym wypadku jest wyłączenie kont Administratora na wszystkich serwerach za pomocą Group Policy. W tym celu otwieramy ścieżkę:
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Accounts: Administrator account status.

oraz wyłączamy konta wybierając Disabled.

Kolejny problem pojawia się w systemach wcześniejszych niż Windows Server 2003 gdzie konta administratora nie da się wyłączyć. W takim wypadku pozostaje jedynie zastosowanie mocnego hasła. Inną kwestią oczywiście jest, że mocne hasła powinny się znajdować na każdym koncie o dużych uprawnieniach.

PS. Dużo ciekawych opinii na temat zabezpieczania przez ukrywanie możecie znaleźć w tej debacie.
Źródło screenów: www.windowsecurity.com

Etykiety: Administracja, Bezpieczeństwo

Weekendowe wideo

Dziś będzie bardzo, krótko i nie na temat. Natrafiłem dziś na dosyć ciekawą reklamę wirusową. Film pokazuje zachowanie pracowników firmy, gdy mamy awarię sieci :)

Co w tym czasie dzieje się w serwerowni ... strach się bać.

Etykiety: Administracja, News

Wyświetlanie użytkowników, którzy nie zmienili hasła

Wiedza dotycząca zarządzania polityką haseł w domenie Windows Server jest bardzo ważnym aspektem funkcjonowania każdej organizacji i firmy. Temat ten postaramy się wkrótce szerzej opisać. Dziś natomiast zaprezentujemy kilka rad w jaki sposób uprościć sobie zarządzanie użytkownikami mającymi problemy z okresową zmianą hasła. Dokładniej to postaramy się pokazać w jaki sposób takich usków skutecznie wyszukać.

Pierwszym ułatwieniem będzie dodatkowa zakładka w strukturze Active Directory zawierająca informację o ostatnich zmianach hasła. W tym celu konieczne jest zainstalowanie dodatku Windows 2003 Resource Kit Support Tools a następnie zarejestrowanie dll'ki acctinfo.dll w systemie. W tym celu wpisujemy polecenie:
regsvr32 %systemroot%\system32\
Dzięki temu zostanie dodana nowa zakładka zawierająca te informacje.

W miejscu tym istnieje możliwość szybkiego wglądu do podstawowych informacji dotyczących zmian hasła przez danego użytkownika.

Druga opcja jest jeszcze skuteczniejsza. Pozwala stworzyć listę, użytkowników którzy nie zmienili hasła przez daną ilość dni. Rozwiązanie proste jednak wielce przydatne i nawet bardziej polecane niż powyższe. Wystarczy bowiem wpisać poniższe polecenie by uzyskać listę użytkowników, którzy nie zmienili hasła.
Oto i ono:
DSQUERY USER -o DN -STALEPWD LICZBA_DNI

Źródło: Forum wss.pl, Screen: Petri.co.il

Etykiety: Active Directory, Administracja