Arvind Juneja - Networking, Security, Project Management and projects.

wyszedl nowy ep heroes

google  –>

heroes s01e17 filetype:rmvb :)

(tak wiem, to nie tech wpis ale co mi tam, moj blgo :P)

Kojarzycie film “You Got Served!” ? A moze zespol B2K ? Wyobrazcie sobie goscia ktory ma flow, ktory ma styl, ktory potrafi grać, ktory ma głos… po krotkim dodawaniu wychodzi nam omarion. Pewniee, jest wielu gosci ktorzy sa aktorami i piosenkarzamia a w swoich teledyskach odstawiaja jakies synchro ale Omarion prosze państwa to (bboyem bym go nie nazwał bo nie chce wchodzic w wojne miedzy street dancerami, poplockerami a bboyami i innymi takimi) człowiek który taniec ma w sobie i zawiera go co najlepsze w swojej muzyce… nawet przy tak hmm “wolnym” kawałku jak Ice Box który jest aktualnie hitem na MTV ( base ) ciężko jest usiedziec w miejscu :) no przynajmniej mi :P Zebyscie wiedizeli o kim mowa ponizej daje 3 filmiki, pierwszy to urywek z filmu YouGotServed gdzie Omarion grał postać o imieniu David (jeszcze z czasów kiedy był w B2K o ile dobrze pamiętam, b2k tak btw chyba wszyscy znaja ale nie wszyscy o tym wiedza :] drugi to wlasnie b2k ze swoim hitem Bump Bump Bump (slyszeliscie go chociazby w filmie Guess Who?) i ostatni to Ice Box.
Read the rest of this entry ?

O M G….

a dla tych co i tak nie lubią windowsów :

btw ciekawa koncowka tego linku… watch?v=FVbf9tOGwno :P

no i przyleciała do mnie paczuszka z Ms’a z nowiutkim Windows Server Code Name “Longhorn” ( + IIS resource kit +dokumentacje i inne takie, w sumie 3dvd )… no ale ofcourse tymczasowo dzięki crashowi sponsorowanemu przez HP nie posiadam sprzętu więc jedyne co mi zostało to modlić się że odpalę to cudo na Virtual PC w moim przypalonym desktopie… no ale nie… nie ma tak dobrze… nie pobawisz sie Arvindzie z nowym longhornikiem… wrrrrrrrr!!!!!!!!!!!!!

i jeszcze inne zdjecia samego “opakowania” bo tyle mi było dane obejrzeć ;(

MBSA to narzędzie do analizy stanu zabezpieczeń naszego systemu. Narzędzie które wytyka błędy, pokazuje potencjalne zagrożenia i podpowiada jak rozwiązać problemy ze znalezionymi

w skrócie:

• Nie działa w polskich wersjach systemów.**
• Działa na : Windows nt 4.0/2000/XP ( w tym wersje 64 bitowe i embeeded) /Server 2003/Vista (nie obsługuje sprawdzania błędów, Microsoft tłumaczy to brakiem wpisu o viscie w licencji MBSA), IE od 5.01 w zwyż, IIS od 4.0 w zwyż, SQL Server 7.0 w zwyż, Office od 2000 w zwyż.
• Wymaga praw administratora.
• Umożliwia zeskanowanie wielu stacji.
• Można używać z wiersza poleceń. ***
• Informuje o miejscu w którym możemy znaleźć ew. poprawki oraz przedstawia scenariusze postępownia w przypadku wykrycia jakiejś słabości.
• istnieje w 2 wersjach - online i offline.

w rozszerzeniu :

Sprawdzanie systemu składa się z następujących punktów:

• Stan update’u systemu (Security Update Scan Results)
• Stan samego systemu (Windows Scan Results)
  • File System ( sprawdza system plików, wyrzuca Warning gdy np nasze partycje nie sa NTFS’owe)
  • Incomplete Updates (sprawdza czy nie mamy nie kompletnych updateów)
  • Windows Firewall (informuje o stanie PFW, czy jest włączony, na jakich połączeniach, jakie są ustawione exceptiony ( w szczegółach wyników wszystko jest dokładnie wylistowane)).
  • Local Account Password Test (sprawdza poziom skomplikowania haseł na lokalu)
  • Automatic Updates (sprawdza czy są włączone czy też nie)
  • Guest Account (sprawdza czy jest disabled czy enable, czyli jak wyżej :) jednak się zdziwiłem bo u mnie jest enabled i nie zaznaczyło tego jako warning… weird..choć dowiedziałem się że konto mimo że istnieje i jest enabled to ma defaultowo w XPku ustawiony “zakaz” logowania.)
  • Restrict Anonymous

Restrict Anonymous. Tu się na chwilkę zatrzymam i powiem coś więcej o tej opcji. W rejestrze systemów Windows istnieje taka wartość o nazwie RestrictAnonymous wyglądająca jak widać poniżej. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Value: RestrictAnonymous
Value Type: REG_DWORD
Value Data: 0×2 (Hex)

służy ona do ograniczenia dostępu anonimom (ciężko się domyślić co ? :] ) ustawią się ją przez

1. rejestr (regedit) ,
2. mmc => local security policy => security settings => local policies => security options = > Additional restrictions for anonymous connections.

i może ona przyjąć jedną z 3 wartości.

1. Polegaj na zezwoleniach domyślnych
2. Nie zezwalaj na wyliczanie kont i udziałów SAM
3. Brak dostępu bez wyraźnych zezwoleń anonimowych

no ale wracamy do MBSA. Po sprawdzeniu Restrict Anonymous następuje sprawdzenie :

• • Administrators (sprawdza ilu jest użytkowników należących do grupy Local Administrators, w szczegółach wyników są wylistowane nazwy tych użytkowników, w defaultowym widoku tylko ich ilość)
  • Autologon (sprawdza czy opcja automatycznego logowania jest ustawiona na enabled na danej stacji. Dane do automatycznego logowania możemy przechowywać plain-tekstem (wartości : AutoAdminLogon REG_SZ 0/1, DefaultUserName REG_SZ Username, DefaultPassword REG_SZ Password) w rejestrze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    bądź jeśli użyjemy LSA to dane znajdziemy w :
    HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\DefaultPassword\CurrVal
HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\DefaultPassword\OldVal
  • Password Expiration (sprawdza czy któryś z lokalnych użytkowników ma odchaczone w profilu że jego hasło nie wygasa i jeśli takiego delikwenta znajdzie to wrzuca jego uid na liste…chyba że… zostanie on umieszczony w pliku NoExpireOk.txt znajdującym się w katalogu MBSA
• Dodatkowe informacje nt. systemu
  • Auditing ( sprawdza czy opcja audytowania wydarzeń w systemie jest włączona)
  • Services ( sprawdza czy któryś z serwisów umieszczonych na liście w pliku Services.txt nie smiga w systemie i jaki jest jego ew. status ). Standardowo plik services zawiera :
    MSFTPSVC (FTP)
TlntSvr (Telnet)
W3SVC (WWW)
SMTPSVC (SMTP)
  • Shares (sprawdza co i komu jest udostępnione w systemie włączając zarówno zabezpieczenia ntfs’owe, sieciowe jak i nawet share’y administratorskie. Korzysta z ACL)
  • Windows Version (sprawdza wersję systemu).
• Desktop Application Scan Results
  • IE Zones (sprawdza ustawienia zon w IE)

Poza tym wszystkim w SQL i IIS otrzymałem informację że takowych nie posiadam więc nie potrafię zbyt wiele o nich napisać. Z tego co wyczytałem w sieci porównywane są update’y (te które są zainstalowane z tymi które są dostępne), sprawdzane najczęstsze błędy konfiguracyjne i ew. opisy stanu poszczególnych opcji tych serwisów.

Uruchamianie z wiersza poleceń. MBSA można uruchomić z wiersza poleceń. Aby to zrobić należy się upewnić że naszym folderem bieżącym jest folder MBSA ( czyli zgodnie z aktualną wersją było by to
C:\Program Files\Microsoft Baseline Security Analyzer 2
aby uruchomić MBSA wpisujemy komendę mbsacli. Możemy skorzystać z jednego z następujących parametrów.

Wybór komputera do skanowania (bez wybrania którejkolwiek z tych opcji zostanie przeskanowany komptuer lokalny) :

• /c domena\komputer - dane komputera który chcemy zeskanować przez użycie nazwy
• /i xxx.xxx.xxx.xxx : dane komputera który chcemy zeskanować przez użycie IP
• /r xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx : dane komputerów które chcemy zeskanować za pomocą zakresu IP
• /d nazwa domeny : skanowanie wszystkich stacji w podanej domenie

Po wpisaniu /n ustalamy pomijanie wybranych elementów podczas skanowania. Lista opcji (można wpisać kilka opcji dodająć + między nimi) :

• Hotfix - bez sprawdzania obecności poprawek
• IIS - bez sprawdzania IIS
• OS - bez sprawdzania systemu
• Password - bez sprawdzania haseł
• SQL - bez sprawdzani SQL Servera

Opcja /u i /p umożliwia nam skanowanie jako inny użytkownik ( /u Administrator /p P@ssw0rd )

Opcja /nvc wyłączy sprawdzanie czy jest nowa wersja MBSA.

Opcja /nd sprawi że podczas skanowania nie zostaną pobrane żadne pliki z witryny microsoftu.

Myśle że nie ma sensu wypisywać wszystkich parametrów, dostępne są one po wpisaniu mbsacli /? .

Generalnie polecam MBSA, można się szybko dużo dowiedzieć w ładnej przejrzystej formie bez bawienia się w skrypty czy korzystanie z technologii firm trzecich. Zastanawia mnie jednak jedna rzecz.. nie można tego było dać defaultowo we wszystkich systemach Microsoftu?

Dziś na WSS’ie ktoś spytał jak sprawić aby przy wylogowywaniu z systemu jednej stacji ( jest ich kilka, wszystkie dzielą partycję D między sobą) system sprawdzał czy ktoś w tej sieci przypadkiem nie korzysta z plików tego komputera. Pierwsza rzecz jaka mi przyszła do głowy to LogOff Scripts ale że wiem tylko co to jest to pomyślałem że niezły practice będzie jak sprobuje to napisać :) Kfaz podpowiedział mi że jest coś takiego jak Scriptomatic i że to znacznie ułatwia pracę przy pisaniu skrytpów… no i miał rację. Po krótkim czasie nie znając VB stworzyłęm taki o to skrypt :

On Error Resume Next
arrComputers = Array(”DESKTOP”)
For Each strComputer In arrComputers
Set objWMIService = GetObject(”winmgmts:\\” & strComputer & “\root\CIMV2″)
Set colItems = objWMIService.ExecQuery(”SELECT * FROM Win32_SessionConnection”, “WQL”, _
wbemFlagReturnImmediately + wbemFlagForwardOnly)
For Each objItem In colItems
Wscript.Echo “==========================================================”
Wscript.Echo “Uwaga! Ktos jeszcze korzysta z zasobów które udpostepniasz!”
Wscript.Echo “==========================================================”
Wscript.Echo “Szczegoly : “
WScript.Echo “Komputer/uzytkownik o nazwie : ” &objItem.Antecedent
WScript.Echo “Korzysta z nastepujacych zasobow : ” &objItem.Dependent
WScript.Echo
Next
Next


i w przypadku gdy ktos faktycznie korzystal wynik mialem nastepujacy (zmienione dane):
==========================================================
Uwaga! Ktos jeszcze korzysta z zasobów które udpostepniasz!
==========================================================
Szczegoly :
Komputer/uzytkownik o nazwie : Win32_ServerSession.computername=”Mafia”,U
serName=”Al Pacino”
Korzysta z nastepujacych zasobow : Win32_ServerConnection.computername=”Mafia”,sharename=”Bank”,UserName=”Al Pacino”
gdzie :
Al Pacino - nazwa usera ktorzy korzysta z mojego share’
Mafia - nazwa komputera tegoż usera
Bank - moj share.

Takze ja jestem happy bo udalo mi sie stworzyc cos w nowej nie znanej dla mnie dotąd bym powiedział “technologii” :) Jeszcze chciałbym znaleźć sposób na oczyszczenie wyników… ale wszystko w swoim czasie :)

Course 2274: Managing a Microsoft® Windows Server™ 2003 Environment
Course 2275: Maintaining a Microsoft® Windows Server™ 2003 Environment

czyli kokojambo i do przodu :)

no więć odpalam moi mili elearning i zerkam co tam znajde :) no i pierwszy zgrzyt, na FF nie chodzi :P no ale ok, jestem przygotowany na taką ewnetualność i świeży uzupgrejdowany IE7 czeka w quick launch..

The Windows Server 2003 Family Overview.

Primary Server Types :

• Domain Controler - przechowuje dane z AD, zarządza komunikacją między użytkownikami a domenami. Generalnie tam gdzie wrzucicie AD macie kontroler domeny, proste.
• File Server - chyba sobie jaja robicie jak myślicie że będę to tłumaczył :P
• Print Server - przechowuje sterowniki drukarek, kolejki i wszystko co związane z “bezpiecznym drukowaniem” :)
• DNS Server - you’ve got to be kiddin me…
• Application Server - jak wyżej
• Terminal Server - open (ps. nie występuje w wersji w2k3 Web Edition).

Wersji systemu jest 4 i uznaje się że są przeznaczone do….

• Standard Edition -domain controlers (nie tlumacze bo czytajac to co napisalem wyzej powinniscie wiedziec o co chodzi), member servers.
• Enterprise Edition - application server’s, domain controlers & for clustering. Generalnie różnica między enterprise a standard jest taka że ten pierwszy jest dedykowany do wysokowydajnościowych serwerów… a stawiać sobie możecie co chcecie :P
• Datacenter Edition - sprzedawany tylko w wersji OEM przy zakupie całych “rozwiązań” IT dla firmy. Mało o tym wiem poza tym że żadko spotykane.
• Web Edition - zalecany do web servers…trudno się domyślić nie ? :)

no i lecimy z “real stuff” czyli podstawy Active Directory (zwany później AD). Struktura AD składa się z :

• Domain
• Organisation Unit ( OU )
• Domain Controler - server przechowywujący kopię AD.
• Forest - jedna bądź więcej domen dzielące ze sobą okresolne ustawienia, schematy i bazę danych.
• Tree - a na drzewach to rosną domeny :)
• Trust - relacja między domenami która umożliwia korzystanie z ich zasobów w innych domenach.
• Site - podsieć “na szybkim drucie” :) (taka swobodna translacja ;] )
• Global Catalog - index AD … no nie wiem jak to inaczej wyjaśnić…

Log On to a Windows Server 2003 Computer

Authentication Process ( Proces autentykacji ) składa się z 2 części.

1. Uwierzytelnianie ( hasła, loginy itp )
2. Validation (walidacja… lol :P i) która zwraca pozytywny bądź negatywny wynik uwierzytelniania i ew. ustala prawa jakie zostają przyznane userowi.

Logowanie na konto lokalne jest autentykowane (cizys jak to brzydko brzmi :/) przy pomocy bazy danych SAM ( Security Accounts Manager ). Po zalogowaniu się lokalnie mamy dostęp tylko i wyłącznie do zasobów lokalnych.
Logowanie do domeny jest autentykowane przez kontroler domeny. Proste ? Proste. W trakcie logowania dane podane przez użytkownika (login&pass) są kodowane i przesyłane do kontrolera domeny. Zakodowane dane są porównywane z danymi (również encrypted) znajdującymi sie na kontrolerze. Kontroler ustala wszystkie informacje na temat usera jakie może ( przynależność do grup, nadane prawa itd) po czym odsyła Access Token nadanymi uprawnieniami i tada we’re in :)

Access Token zawiera w sobie SID który ustal prawa i przynależności użytkownika..tak w skrócie. Ale że z sidem spotkacie sie jeszcze nie raz warto cos o nim napisać więcej. Tak więc

SID - Security Identifier - pewna wartość o zmiennej długości. Po stworzeniu konta w Windowsie system przypisujemy mu unikatowy numer SID. Jeśli macie usera który ma jakieś swoje zasoby i np zechcecie go usunąć i w jego miejce wstawić innego o identycznym loginie, przynależnościach do grup i prawach to i tak nie dostaniecie się do folderów prywatnych pierwotnego usera bo… nie ma lekko :) W Windowsie XP i 2000 sidy zaczynają się od sekwencji S-1, reszta to grupy liczb które w jakiś tam czary mary sposób określają coś tam :)

dobra ide spac, i tak to wszystko wiecie :)

1st thing, jest nowy plan zajęć na semestr letni 2006/2007 dla studiów dziennych…

(ps. jak ktoś tak jak i ja nie ma office’a to polecam Excel Viewer)…

no to ciekawie, jestem B a nawet nie wiem czy w koncu otworza moja specke…

2nd thing, od dzis testuje “PLAY”  ( 4 operator komórkowy ) i niedlugo napisze cos niecos… poki co wiem ze nie dziala youtube :P ale moj blog sie otwiera :P

a i jakby ktos cos wiedzial o jakichs voucherach na egzaminy ms’u to dajcie znac….