Konferencja System Center Technology Review 2010

OT, security, server, social

16. lutego odbędzie się konferencja System Center Technology Review 2010 i będziemy z Pekim na niej prelegentami :). Agenda:

  • Rejestracja i powitanie 9:00-9:30
  • Techniczne spojrzenie na Service Manager 2010 Jacek Doktór 9:30-10:30
  • Przerwa 10:30-10:45
  • Świeże spojrzenie na System Center Data Protection Manager 2010 Daniel Stefaniak 10:45-11:45
  • Przerwa 11:45-12:00
  • Niższe koszty utrzymania PC dzięki technologii Intel® vPro™ i MS SCCM SP2 Dariusz Wittek 12:00-13:00
  • Przerwa obiadowa 13:00-13:45
  • System Center Operations Manager 2007 R2 – Podstawy tworzenia skryptów, wykrywanie i monitorowanie środowiska Łukasz Rutkowski 13:45-14:45
  • Przerwa PLGSC 14:45-15:00
  • Quest Software a System Center Krzysztof Pietrzak 15:00-16:00

Więcej szczegółów tutaj: http://ms-groups.pl/plgsc/SCTR2010/default.aspx

Instalacja agentów DPM – Error 270

security, server, tips'n'tricks

Mały tip ku pamięci – jeśli dodajesz agentów DPM-a do serwera i mimo komunikatu, że dołączenie (attatch) udał się a potem dostajesz error 270:

DPM Error

To upewnij się, że:

  • masz dodane wyjątki do Firewalla (polecenie SetDPMServer.exe to robi na końcówce)
  • Konto komputera na którym stoi serwer DPM-a ma prawo do dostępu do końcówek z sieci (Prawo “Computer ConfigurationSecurity SettingsLocal PoliciesUser Rights AssignmentAccess this computer from the network”)

Spotkanie MSSUG – Forefront Client Security

article, security, server, social

W najbliższy worek będę się produkować w M$ na temat FCS.

Agenda Spotkania:
18:00 – 18:20 – Powitanie liderzy grupy MSSUG
18:25 – 19:25 – Forefront Client Security: Wstęp – cechy, architektura, ogólne zastosowanie oraz wymagania instalacyjne FCS | Daniel Stefaniak
19:30 – 19:35 – Przerwa
19:35 – 20:35 – Forefront Client Security: Wdrożenie i zarządzanie – krótkie omówienie procesu instalacji, a następnie konfiguracji środowiska i wdrożenia | Daniel Stefaniak

Opis: W dobie Internetu komputery są wystawione na niezliczone niebezpieczeństwa, dlatego jednym z obowiązków każdego administratora jest zabezpieczenie oddanej pod jego opiekę infrastruktury. Producenci oprogramowania, widząc potrzebę rynku, zaczęli wypuszczać całe rodziny produktów mające na celu ochronę użytkowników przed atakami z sieci. Jednym z kluczowych elementów tego procesu jest zapobieganie zainfekowaniu złośliwym oprogramowaniem (malware). Firma Microsoft®, zauważywszy ten trend, wprowadziła produkt Microsoft Forefront Client Security (FCS) chroniący przed: wirusami, trojanami, wszelkiego rodzaju programami szpiegującymi (spyware) oraz rootkitami. Prezentacja dotycząca FCS-a została podzielona na dwie części:
1. Wstęp – cechy, architektura, ogólne zastosowanie oraz wymagania instalacyjne Forefront Client Security
2. Wdrożenie i zarządzanie – krótkie omówienie procesu instalacji, a następnie konfiguracja środowiska i wdrożenie

Link do rejestracji: http://ms-groups.pl/mssug/4.%20Spotkanie%20MSSUG/Lists/Rejestracja%20na%20spotkanie/AllItems.aspx

Opis: http://ms-groups.pl/mssug/Lists/Kalendarz/DispForm.aspx?ID=5

Wszystkich serdecznie zapraszam :)

bezpieczeństwo XP Mode

security

pewien user zapytał mnie jak to jest z tym XP Mode – czy to jest bezpieczne? zacząłem zastanawiać się nad kwestiami update’u i zabezpieczenia takich maszyn [ostatnio mało czytam newsów i nie wiedziałem, że dysqsja toczy się dość mocna na ten temat]. problem faktycznie jest dość istotny, bo maszyny takie przeważnie będą miały dostęp do sieci a więc są zagrożone – hardening i update’y to dwa podstawowe zagadnienia.
nie udało mi się znaleźć informacji czy licencja na XP Mode pozwala dodać taki komputer do domeny. jeśli tak to przynajmniej w środowisq produkcyjnym można stacje konfigurować standardowymi procedurami: GPO, WSUS, SCCM – i to w dużym stopniu problem rozwiązuje.

zastanawiałem się też co się stało z Med-V – przez jakiś czas sądziłem, że może XP Mode to nowa nazwa dla wcześniej zapowiadanej usługi. i znów ciekawostka: o ile strona Med-V żyje i można na niej znaleźć m.in. taką informację:

Deploy and provision

  • Deploy IT-managed virtual XP environment to end users.
  • Enable customization in heterogeneous desktop environments.
  • Automate first-time Virtual PC setup (i.e., initial network setup, computer name, domain join).
  • Adjust Virtual PC memory allocation based on available RAM on host.
  • Application provisioning based on Microsoft Active Directory® users/groups
    • Assign a virtual image and define which applications are available to the user.
  • Redirect web requests that require Internet Explorer 6 to the virtual XP environment.

    • to w oficjalnym doqmencie na temat deploymentu XP Mode nie ma informacji o Med-V – pewnie dla tego, że oficjalne wsparcie dla w7 będzie w SP1 dla Med-V na początq przyszłego roq. w każdym razie kilka podstawowych informacji o zabezpieczeniu i konfiguracji można znaleźć, chociaż ograniczają się do spisania standardowych praktyk stosowanych do normalnych stacji.
    nie znalazłem jeszcze sprytnego opisu wykorzystania skryptów mountujących XP Mode i wykorzystania DISM – czyli offline servicing. a szkoda. mam nadzieję, że znajdę w końcu czas [huehuehue] albo że ktoś się weźmie za skryptowanie iXPeka w offlajnie.

    todo:

    • sprawdzić defaultowe ustawienie firewalla
    • sprawdzić defaultowe ustawienie WU

    eN.

    Ku pamięci – usuwanie Forefront Client Security

    DevOps/Scripting, security, server, tips'n'tricks

    Taki mały startup script do usuwania FCS-a ze stacji:

    if not exist C:UninstallFCS md C:UninstallFCS

rem uninstall Microsoft Forefront Client Security Antimalware Service
MsiExec.exe /X {D3E31640-DC20-4722-A1CF-604FF6C540B0} /norestart /qn /l*v C:UninstallFCSUninstallFCSAM.LOG

rem uninstall Microsoft Forefront Client Security State Assessment Service
MsiExec.exe /X {E8B56B38-A826-11DB-8C83-0011430C73A4} /norestart /qn /l*v C:UninstallFCSUninstallFCSSSA.LOG

rem uninstall Microsoft Operations Manager 2005 Agent
MsiExec.exe /X {F692770D-0E27-4D3F-8386-F04C6F434040} /norestart /qn /l*v C:UninstallFCSUninstallMOM.LOG

    Przy czym trzeba pamiętać, żeby odfiltrować/odpiąć polisę, która go wcześniej zainstalowała.

    Prywatność

    6 komentarzysecurity, social

    rozumiem problem prywatności i tego, że nasze dane są przechowywane w różnych miejscach ale przez ostatnie kilka dni tyle razy ktoś zwracał na to uwagę, że zastanawiam się czy ta paranoja nie jest zdeczka przesadzona. kilka przykładów z ostatnich 24h:

    • dane do karty miejskiej w ZTM. faktycznie – po co im te dane? ale czy zarejestrowanie jej powoduje, że faktycznie ktoś będzie w stanie wykorzystać… no właśnie – co? mój numer dowodu? wydaje mi się, że można go zdobyć na 1o.ooo innych sposobów. o tożsamości dużo pisze gibon i podaje tam tyle przykładów, że zastanawiam się, czy podanie firmie swoich danych czy ich nie podanie zmienia co kolwiek? rozmowa skończyła się tym, że moje dane finansowe przekazywane sa do USA
    • fotki na FB. gdybym się bał o swoją tożsamość tak potwornie, to bym w ogóle nie zakładał tam konta [jak część z moich znajomych – tych „najbardziej dbających o swoje dane”]. ideą tego portalu jest wymiana informacji pomiędzy użytkownikami, i utrzymywanie jakiegoś kontaktu. nie wpisuje tam za dużo swoich danych ale czy dodanie jakiejś fotki czy wysłanie wiadomości z 'trochę bardziej wrażliwszą informacją’ jest na prawdę niebezpieczna? jakoś nie chce mi się wierzyć, żeby działał 'projekt FBEchelon’ i ktoś skanuje wszystkie rozmowy – kim ja niby jestem, żeby mnie ktoś konkretnie wiskał?
    • no a teraz komentarze do publicznego DNS google… przecież w firmach i tak ustawiane są wewnętrzne a w domu od ISP – ten addr jest zajebisty w prostym scenariuszu: coś, gdzieś na szybko trzeba sprawdzić i nie pamięta się addr. „normalnych” serwerów – ode wieków mam w notatkach w telefonie addr kilq addr DNS właśnie na taką okazję, a teraz ich nie będę potrzebował…

    reasumując – nie wiem czy ja jestem aż tak naiwny czy ludzie dookoła zaczynają paranoizować? pod ostrzałem uwag i komentarzy straciłem możliwość „zdroworozsądkowego podejścia” bo autentycznie zaczynam się bać – a strach prowadzi do paranoi. czy ktoś ma jakiś przykład [choćby z drugiej ręki] wykorzystania np. nr-u dowodu osobistego? gdzie jest środek ciężkości? czy mam zrezygnować z kart płatniczych [bo przecież wiedzą co, gdzie i kiedy qpuję – zresztą dla tego często korzystam z bankomatów q:], czy mam wyrobić fałszywy dowód i zacząć rejestrować się na fałszywych danych?
    co z ogólnie rozumianym SSO [takim życiowym – np. jedna karta do kilq systemów, openIdentity i inne wynalazki?]? czyż nie chcemy ułatwiać sobie życia? aby to było możliwe *musi* istnieć jakieś ID powiązane z innymi ID w stałej relacji i zawsze na końcu wiąże się to z jakimiś danymi.

    grrrr… nie dość, że ostatnio generalnie się zgubiłem to jeszcze wpadnę w paranoję q: może warto przeprowadzić się do Afryki albo Ameryki Południowej… albo zaginąć w tłumie w Indiach – tam nie ma kontroli urodzeń, można żyć bez dowodów i mieć wymyśloną tożsamość. czy ceną za wygodne życie nie jest *zaufanie* do instytucji z których się korzysta? [ot choćby, że jak dzwonię po taxi to wiedzą kto dzwoni i gdzie jeździłem – niebezpieczne? dla mnie po prostu wygodne, bo oszczędza mi każdorazowego przedstawiania się, skąd jadę etc.]

    eN.

    Zaufany certyfikat za darmo?

    3 komentarzefreeware, PKI, security

    Ostatnio dużo sie zmienia w świecie zaufanych wystawców certyfikatów. Najpierw GoDaddy przepuścił ofensywę na pozycje, na których okopały się Thawte, Verisign czy Equifax, wypuszczając najprostsze zaufane certyfikaty za 50$ rocznie (a nie jak inni >150$). Po jakimś czasie ceny spadły nawet < 30$ rocznie, co skutecznie wykosiło konkurencje dla najtańszych certyfikatów. Odstraszać jedynie może niezbyt „poważna” nazwa wystawcy.

    Ale to nie wszystko – 22 sierpnia Microsoft do listy zaufanych urzędów certyfikacji dopuścił StarCom. Oznacza to, że wszystkie wersje Windows 2008 R2 oraz Windows 7 mają już wbudowanego tego wystawcę. A starsze systemy operacyjne automatycznie dostają aktualizacje za pomocą Windows Update.

    Co nam daje StarCom? Darmowe certyfikaty poziomu 1. Zaufane przez większość przeglądarek z IE, oraz także przez Google Chrome, Mozillę FireFox, czy Safari na jabłku . Niestety brakuje jeszcze wsparcia dla zaufania w Operzę, czy istnienia w domyślnych magazynach na Windows Mobile.

    Oczywiście certyfikaty poziomu 1mają wady – weryfikowana jest tylko nazwa domeny wystawcy, a informacje o organizacji nie są wyświetlane przy certyfikacie.

    Ale i tak lepszy certyfikat poziomu 1, niż lokalny. W szczególności, kiedy jest za darmo.

    https://www.startssl.com/