microsoft system sweeper

“system sweeper” to bezpłatny tool stworzony dla tych, którzy tak zapuścili swój system, że strach go uruchamiać (; offlineowa wersja antywirusa i rootkit revealera wraz z wizardem przygotowującym płytę CD/DVD lub USB. całość ma 25o MB i jest do zassania, na razie w wersji beta, z connecta.

***UPDATE

sprawdziłem ten programik w praktyce. rootkit revealera nie znalazłem – chyba, że jakoś jest ‘niejawnie’ wbudowany w MSE. generalnie to po prostu offline’owa wersja MSE. skoro jest na winPE to powinni dodać chociaż możliwość odpalenia konsoli – nie mówiąc o kilq praktycznych toolach.

eN.

FEP i inne takie

mówią, że poniedziałki są najgorsze, ale dziwne przypadłości potrafią dopaść w dowolnym momencie. po wczorajszej wizycie u dentysty [kilka znieczuleń AUU] z czwartq przesunął mi się ten cały syf, na tak zazwyczaj piękny dzień, jakim jest piątek. cały tydzień jest w zasadzie przesrany bo helpdesk chory i odwalam głupią robotę FUJ.

przyszedł komp z wirusem. po raz kolejny wspaniały McAfee dał pupy i z jakiegoś powodu nie wybronił użytkownika, który oczywiście jakimś trafem, miał admina lokalnego [pozostanie to w czasie przeszłym]. ponieważ testujemy Forefront Endpoint Protection kilka spostrzeżeń:

ogólnie jestem bardzo zadowolony. w przeciwieństwie do McAfee wykrywa wirusy. trochę gorzej z ich usuwaniem – nie wiedzieć czemu, tego wynalazq [dysk podłączony po USB] nie potrafił wywalić. i pomimo, że nie potrafił to restartować każe. restarty od wiecznych czasów były problemem środowiskiem Windows – ale do cholery, czas z tym skończyć! parę razy na konferencjach developerskich słyszałem, że programiści dodają ‘restart’ tak profilaktycznie – żeby mieć pewność, że biblioteki odświeży. do tej pory czasem [nie potrafię znaleźć regularności] po włożeniu urządzenia USB winda krzyczy ‘urządzenia zainstalowano poprawnie. zrestartuj system..’. oczywiście nie restartuję i też działa dobrze. denerwujący jest też czas, podczas wykonywania operacji – np. usunięcia czy przesunięcia do kwarantanny – coś co powinno trwać 1-2sec rozciąga się do pół minuty [WTF?]. na szczęście takie akcje to wyjątki, więc nie jest to specjalnie uciążliwe. po prostu dziwne. jeszcze dziwniejsze jest to, że po nieudanej próbie usunięcia .. wycina wpis DNS z ustawień TCP/IP. nie wiem czy to tak normalnie bo nie mogłem znaleźć podobnego przypadq O_o

drugim problem FEP są polisy GPO, które nie pozwalają na danie użytkownikowi możliwości definiowania wyjątków – można zdefiniować wyjątki via GPO , ale oddanie tego userowi – nie. w efekcie jeśli jest kilka kompów o specyficznych katalogach, które mają nie być skanowane – albo trzeba wyłączyć dla nich polisy albo tworzyć je oddzielnie. niewygodne.

poza tym podtrzymuję opinię, jaką miałem o Security Essentials – program wydajny, ‘przeźroczysty’, niekłopotliwy… po prostu przeciwieństwo gównianego McAfee [die bitch!]

eh.. piątek… po południu trzeba zacząć sekwencję weekendowego restartu q:

eN.

Microsoft Security Essentials dla SMB

Kiedyś dyskutowaliśmy czy Microsoft Security Essentials można używać w małych firmach. Z analizy licencji wynikało, że tylko gdy firma mieści się w domu/mieszkaniu. Nie była to trafna decyzja ze strony Microsoftu, Forefront to jednak za wielka kobyła dla firm typu biuro, parę obrotnych osób i tyleż komputerów. Na szczęście ma się to zmienić, MSE będzie darmowy dla organizacji posiadających do 10 komputerów. Wreszcie:)

KRB i AES

W pewnym momencie na wszystkich W2k8R2 przestało działać podłączanie się do shareów na jednym z węzłów DFS. W dodatku nie działało tylko po nazwie DNS/NetBios. Chwila konsternacji i patrzymy do logów: w security pojawiają się wpisy Authentication Failed EventId 537:

Logon Failure:
     Reason:        An error occurred during logon
     User Name:   
     Domain:       
     Logon Type:    3
     Logon Process:    Kerberos
     Authentication Package:    Kerberos
     Workstation Name:    –
     Status code:    0xC000006D
     Substatus code:    0x8009030E
     Caller User Name:    –
     Caller Domain:    –
     Caller Logon ID:    –
     Caller Process ID:    –
     Transited Services:    –
     Source Network Address:    10.2.2.27
     Source Port:    0

Dziwne.. ogólnie wygląda jakby serwer nie rozumiał biletu, który dostaje. Szybkie zrobienie klist na R2 i widać, że próbuję dostać się do serwera z access ticketem zaszyfrowanym AES-256 (kontroler domeny, to 2k8R2). Zaraz zaraz… Przecież 2003 nie obsługuje szyfrowania AES. Szybkie przejrzenie KB i wygrzebanie czegoś takiego: http://support.microsoft.com/default.aspx/kb/961302 niby dotyczy klastrów, ale rozwiązanie się sprawdza. na klientów (2008+ i Vista+) nakładamy odpowiednie GPO i śmiga :)

Jeszcze jedna niepokojąca rzecz – drugim węzłem DFS jest 2k8R2, więc replikacja się wywala, bo partner nie może się uwierzytelnić do 2k3. po restarcie powinno zacząć śmigać, jak komputery dostaną nowe bilety.

DPM 2010 – raportowanie i błędy

Po świeżej instalacji DPM 2010 beta wszystko działało dobrze tylko raportowanie się wywalało. Przy próbie uruchomienia jakiekolwiek raportu dostawałem śliczny błąd:

An error has occurred during report processing. (rsProcessingAborted)
Cannot impersonate user for data source 'DLS’. (rsErrorImpersonatingUser)
Log on failed. (rsLogonFailed)
Logon failure: the user has not been granted the requested logon type at this computer. (Exception from HRESULT: 0x80070569)

Chwila grzebania i wymyśliłem, że źródło danych dla raportów jest źle skonfigurowane. Niestety URL do Report Managera nie jest standardowy w DPM2010, więc znalazłem go w konfiguracji Reporting Services:

image

I rzeczywiście nie było źródła DLS, ale za to było jakieś inne. sprawdziłem konfigurację DPMReporterDataSource i wyciągnąłem z niego connection string:

image

Wyglądał on tak: data source="DPMMSDPMV3Beta1EVAL";persist security info=False;initial catalog=DPMDB 

Więc stworzyłem nowe źródło i nazwałem je DLS

image

Zwróćcie uwagę, że raporty uruchamiają się w kontekście osoby, która go generuje (opcja Windows Integrated Security)

Z tak skonfigurowanym źródłem:

image

Teraz trzeba zmodyfikować każdy raport ustawiając nowo stworzony obiekt jako źródło danych (we właściwościach każdego raportu wybieramy Data Source i klikamy Browse):

image

I po takich paru prostych zabiegach raportowanie śmiga aż miło :)

image

Sesja Virtual Study – Techniki hakerskie użyteczne dla administratora IT

vspaula
vs.pl

Portal Virtual Study ma przyjemnośd zaprosid na sesję Pauli Januszkiewicz (MVP: Enterprise Security)
– Techniki hakerskie użyteczne dla administratora IT. Będzie to sesja dostępna online za pomocą
bezpłatnego klienta Microsoft Live Meeting.
Każdy z nas słyszał o hakerach. Doskonale wiadomo, że ich praca różni się od zadań administratora,
jednak wiele technik używanych przez hakerów może byd z powodzeniem wykorzystywanych przez
administratorów w codziennej pracy. Z tej sesji dowiemy się jak naszą infrastrukturę postrzegają
hakerzy, jakich metod używają i dzięki temu jak się przed nimi bronić. Gorąco zachęcamy do udziału
na żywo! Jakość sesji jest zdecydowanie lepsza niż nagrania; nieoceniona jest także możliwość
zadawania pytań w trakcie i po prezentacji. Przewidziane są również nagrody do rozlosowania wśród
uczestników. Sesja miała swoją premierę na TechEd 2009 w Berlinie i cieszyła się tak dużym
zainteresowaniem, że na ponad trzystuosobowej sali zabrakło miejsca dla wszystkich chętnych i
organizatorzy zadecydowali o jej dodatkowym powtórzeniu w ostatnim dniu konferencji.
Poniżej kilka wypowiedzi osób, które miały przyjemność uczestniczenia w prezentacji Pauli na TechEd
Europe 2010:

Paula pokazała metody przeprowadzenia ataków offline, wykorzystywania debuggera oraz parę
świetnych tipów dotyczących szkolenia użytkowników i administratorów. Naprawdę dobra sesja.
Brawo!

– Karol Stilger, Microsoft MVP

Paula opowiedziała o podmianie pliku binarnego usługi, enumeracji kont, białym wywiadzie,
odtworzeniu systemu po pełnym crashu – offline access, debuggowaniu crash dumpów. Sesja była
bardzo dobrze poprowadzona, a prelegentka nawiązała świetny kontakt z publicznością.

– Robert Stuczyński, Microsoft MVP

Sesja była ciekawie poprowadzona i udało mi się kilka rzeczy dowiedzieć o których nie miałem
pojęcia. Ale nie będę zdradzał szczegółów, bo może Paula będzie chciała tę sesję pokazać kiedyś
gdzieś w Polsce :)

– Mariusz Kędziora, Microsoft Polska

I ten dzień właśnie nadszedł. Już 1 lutego 2010 20:00 społeczność IT w Polsce będzie miała okazję
wziąć udział w polskiej premierze sesji Pauli: Techniki hakerskie użyteczne dla administratora IT.
Nie zwlekaj! Zarejestruj się już teraz!

Po sesji planowana jest debata na poniższe tematy:

  • Czy Administrator powinien mieć pojęcie o bezpieczeństwie?
  • Social Networking – dlaczego udostępniamy swoją tożsamość w sieci i co się z tym wiąże?

Udział w sesji wymaga wcześniejszej rejestracji i jest darmowy. Ilość miejsc ograniczona!

************************************
news ochoczo zamieszczam na prośbę noisa. od siebie dodam, że Paulinka jest ewenementem na polskiej scenie IT – młoda, ładna, ambitna i świetna technicznie – trudno znaleźć drugą taką ^^’ a to znaczy, że obejrzeć trzeba koniecznie! jak tylko dostane owego linka

eN.

Konferencja System Center Technology Review 2010

16. lutego odbędzie się konferencja System Center Technology Review 2010 i będziemy z Pekim na niej prelegentami :). Agenda:

  • Rejestracja i powitanie 9:00-9:30
  • Techniczne spojrzenie na Service Manager 2010 Jacek Doktór 9:30-10:30
  • Przerwa 10:30-10:45
  • Świeże spojrzenie na System Center Data Protection Manager 2010 Daniel Stefaniak 10:45-11:45
  • Przerwa 11:45-12:00
  • Niższe koszty utrzymania PC dzięki technologii Intel® vPro™ i MS SCCM SP2 Dariusz Wittek 12:00-13:00
  • Przerwa obiadowa 13:00-13:45
  • System Center Operations Manager 2007 R2 – Podstawy tworzenia skryptów, wykrywanie i monitorowanie środowiska Łukasz Rutkowski 13:45-14:45
  • Przerwa PLGSC 14:45-15:00
  • Quest Software a System Center Krzysztof Pietrzak 15:00-16:00

Więcej szczegółów tutaj: http://ms-groups.pl/plgsc/SCTR2010/default.aspx