Skip to Content

IT nieuczesane.
archive

> Daily Archives: 14 grudnia 2009

bezpieczeństwo XP Mode

pewien user zapytał mnie jak to jest z tym XP Mode – czy to jest bezpieczne? zacząłem zastanawiać się nad kwestiami update’u i zabezpieczenia takich maszyn [ostatnio mało czytam newsów i nie wiedziałem, że dysqsja toczy się dość mocna na ten temat]. problem faktycznie jest dość istotny, bo maszyny takie przeważnie będą miały dostęp do sieci a więc są zagrożone – hardening i update’y to dwa podstawowe zagadnienia.
nie udało mi się znaleźć informacji czy licencja na XP Mode pozwala dodać taki komputer do domeny. jeśli tak to przynajmniej w środowisq produkcyjnym można stacje konfigurować standardowymi procedurami: GPO, WSUS, SCCM – i to w dużym stopniu problem rozwiązuje.

zastanawiałem się też co się stało z Med-V – przez jakiś czas sądziłem, że może XP Mode to nowa nazwa dla wcześniej zapowiadanej usługi. i znów ciekawostka: o ile strona Med-V żyje i można na niej znaleźć m.in. taką informację:

Deploy and provision

  • Deploy IT-managed virtual XP environment to end users.
  • Enable customization in heterogeneous desktop environments.
  • Automate first-time Virtual PC setup (i.e., initial network setup, computer name, domain join).
  • Adjust Virtual PC memory allocation based on available RAM on host.
  • Application provisioning based on Microsoft Active Directory® users/groups
    • Assign a virtual image and define which applications are available to the user.
  • Redirect web requests that require Internet Explorer 6 to the virtual XP environment.
  • to w oficjalnym doqmencie na temat deploymentu XP Mode nie ma informacji o Med-V – pewnie dla tego, że oficjalne wsparcie dla w7 będzie w SP1 dla Med-V na początq przyszłego roq. w każdym razie kilka podstawowych informacji o zabezpieczeniu i konfiguracji można znaleźć, chociaż ograniczają się do spisania standardowych praktyk stosowanych do normalnych stacji.
    nie znalazłem jeszcze sprytnego opisu wykorzystania skryptów mountujących XP Mode i wykorzystania DISM – czyli offline servicing. a szkoda. mam nadzieję, że znajdę w końcu czas [huehuehue] albo że ktoś się weźmie za skryptowanie iXPeka w offlajnie.

    todo:

    • sprawdzić defaultowe ustawienie firewalla
    • sprawdzić defaultowe ustawienie WU

    eN.

    GFI WebMonitor (+ISA 2k6)

    trudno jest znaleźć fajny darmowy produkt dla ISA do generowania statystyk. GFI wygląda całkiem nieźle – nawet jest darmowy dodatek do tworzenia całkiem sensownych raportów. no i co z tego, skoro sam monitor psuje mi server? ):
    po zainstalowaniu WebMonitora dostaje prawie na każdej stronie błędy w skryptach java – a to jakiś braqjący znak, a to jakaś nieobsługiwana zmienna. efekt jest taki, że w logach ISA pojawia się:
    Failed Connection Attempt
    87 Parameter is incorrect

    najwyraźniej tylko ja mam ten błąd bo nawet jeśli coś się na ten temat znajdzie to dotyczy ISA2k4 lub ISA2k6 bez SP. niewątpliwie wszystko wskazuje na błędną obsługę w filtrze HTTP – ale czy po stronie ISA czy GFIWM? to ciężko sprawdzić. w każdym razie straciłem kilka ładnych godzin na znalezienie rozwiązania i powiązanie tego z WebMonitorem, ponieważ po jego odinstalowaniu błąd był nadal. aby się go pozbyć trzeba było:

    • odinstalować WebMonitor
    • wyłączyć cache
    • apply bez restartu
    • usunąć plik cache
    • włączyć cache z powrotem
    • apply z restartem

    niemiłe. no i nie mam raportów ): te co są wbudowane w ISA są drętwe i nie za bardzo przydatne. GFI oczywiście nie odpowiada na maile.

    eN.