Archive for the ‘MCP’ Category

h1

Microsoft Baseline Security Analyser.

Luty 11, 2007

MBSA to narzędzie do analizy stanu zabezpieczeń naszego systemu. Narzędzie które wytyka błędy, pokazuje potencjalne zagrożenia i podpowiada jak rozwiązać problemy ze znalezionymi

w skrócie:

  • Nie działa w polskich wersjach systemów.**
  • Działa na : Windows nt 4.0/2000/XP ( w tym wersje 64 bitowe i embeeded) /Server 2003/Vista (nie obsługuje sprawdzania błędów, Microsoft tłumaczy to brakiem wpisu o viscie w licencji MBSA), IE od 5.01 w zwyż, IIS od 4.0 w zwyż, SQL Server 7.0 w zwyż, Office od 2000 w zwyż.
  • Wymaga praw administratora.
  • Umożliwia zeskanowanie wielu stacji.
  • Można używać z wiersza poleceń. ***
  • Informuje o miejscu w którym możemy znaleźć ew. poprawki oraz przedstawia scenariusze postępownia w przypadku wykrycia jakiejś słabości.
  • istnieje w 2 wersjach – online i offline.

w rozszerzeniu :

Sprawdzanie systemu składa się z następujących punktów:

  • Stan update’u systemu (Security Update Scan Results)
  • Stan samego systemu (Windows Scan Results)
    • File System ( sprawdza system plików, wyrzuca Warning gdy np nasze partycje nie sa NTFS’owe)
    • Incomplete Updates (sprawdza czy nie mamy nie kompletnych updateów)
    • Windows Firewall (informuje o stanie PFW, czy jest włączony, na jakich połączeniach, jakie są ustawione exceptiony ( w szczegółach wyników wszystko jest dokładnie wylistowane)).
    • Local Account Password Test (sprawdza poziom skomplikowania haseł na lokalu)
    • Automatic Updates (sprawdza czy są włączone czy też nie)
    • Guest Account (sprawdza czy jest disabled czy enable, czyli jak wyżej :) jednak się zdziwiłem bo u mnie jest enabled i nie zaznaczyło tego jako warning… weird..choć dowiedziałem się że konto mimo że istnieje i jest enabled to ma defaultowo w XPku ustawiony „zakaz” logowania.)
    • Restrict Anonymous

Restrict Anonymous. Tu się na chwilkę zatrzymam i powiem coś więcej o tej opcji. W rejestrze systemów Windows istnieje taka wartość o nazwie RestrictAnonymous wyglądająca jak widać poniżej. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Value: RestrictAnonymous
Value Type: REG_DWORD
Value Data: 0x2 (Hex)

służy ona do ograniczenia dostępu anonimom (ciężko się domyślić co ? :] ) ustawią się ją przez

  1. rejestr (regedit) ,
  2. mmc => local security policy => security settings => local policies => security options = > Additional restrictions for anonymous connections.

i może ona przyjąć jedną z 3 wartości.

  1. Polegaj na zezwoleniach domyślnych
  2. Nie zezwalaj na wyliczanie kont i udziałów SAM
  3. Brak dostępu bez wyraźnych zezwoleń anonimowych

no ale wracamy do MBSA. Po sprawdzeniu Restrict Anonymous następuje sprawdzenie :

    • Administrators (sprawdza ilu jest użytkowników należących do grupy Local Administrators, w szczegółach wyników są wylistowane nazwy tych użytkowników, w defaultowym widoku tylko ich ilość)
    • Autologon (sprawdza czy opcja automatycznego logowania jest ustawiona na enabled na danej stacji. Dane do automatycznego logowania możemy przechowywać plain-tekstem (wartości : AutoAdminLogon REG_SZ 0/1, DefaultUserName REG_SZ Username, DefaultPassword REG_SZ Password) w rejestrze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
      bądź jeśli użyjemy LSA to dane znajdziemy w :
      HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\DefaultPassword\CurrVal
      HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\DefaultPassword\OldVal
    • Password Expiration (sprawdza czy któryś z lokalnych użytkowników ma odchaczone w profilu że jego hasło nie wygasa i jeśli takiego delikwenta znajdzie to wrzuca jego uid na liste…chyba że… zostanie on umieszczony w pliku NoExpireOk.txt znajdującym się w katalogu MBSA
  • Dodatkowe informacje nt. systemu
    • Auditing ( sprawdza czy opcja audytowania wydarzeń w systemie jest włączona)
    • Services ( sprawdza czy któryś z serwisów umieszczonych na liście w pliku Services.txt nie smiga w systemie i jaki jest jego ew. status ). Standardowo plik services zawiera :
      MSFTPSVC (FTP)
      TlntSvr (Telnet)
      W3SVC (WWW)
      SMTPSVC (SMTP)
    • Shares (sprawdza co i komu jest udostępnione w systemie włączając zarówno zabezpieczenia ntfs’owe, sieciowe jak i nawet share’y administratorskie. Korzysta z ACL)
    • Windows Version (sprawdza wersję systemu).
  • Desktop Application Scan Results
    • IE Zones (sprawdza ustawienia zon w IE)

Poza tym wszystkim w SQL i IIS otrzymałem informację że takowych nie posiadam więc nie potrafię zbyt wiele o nich napisać. Z tego co wyczytałem w sieci porównywane są update’y (te które są zainstalowane z tymi które są dostępne), sprawdzane najczęstsze błędy konfiguracyjne i ew. opisy stanu poszczególnych opcji tych serwisów.

Uruchamianie z wiersza poleceń. MBSA można uruchomić z wiersza poleceń. Aby to zrobić należy się upewnić że naszym folderem bieżącym jest folder MBSA ( czyli zgodnie z aktualną wersją było by to
C:\Program Files\Microsoft Baseline Security Analyzer 2
aby uruchomić MBSA wpisujemy komendę mbsacli. Możemy skorzystać z jednego z następujących parametrów.

Wybór komputera do skanowania (bez wybrania którejkolwiek z tych opcji zostanie przeskanowany komptuer lokalny) :

  • /c domena\komputer – dane komputera który chcemy zeskanować przez użycie nazwy
  • /i xxx.xxx.xxx.xxx : dane komputera który chcemy zeskanować przez użycie IP
  • /r xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx : dane komputerów które chcemy zeskanować za pomocą zakresu IP
  • /d nazwa domeny : skanowanie wszystkich stacji w podanej domenie

Po wpisaniu /n ustalamy pomijanie wybranych elementów podczas skanowania. Lista opcji (można wpisać kilka opcji dodająć + między nimi) :

  • Hotfix – bez sprawdzania obecności poprawek
  • IIS – bez sprawdzania IIS
  • OS – bez sprawdzania systemu
  • Password – bez sprawdzania haseł
  • SQL – bez sprawdzani SQL Servera

Opcja /u i /p umożliwia nam skanowanie jako inny użytkownik ( /u Administrator /p P@ssw0rd )

Opcja /nvc wyłączy sprawdzanie czy jest nowa wersja MBSA.

Opcja /nd sprawi że podczas skanowania nie zostaną pobrane żadne pliki z witryny microsoftu.

Myśle że nie ma sensu wypisywać wszystkich parametrów, dostępne są one po wpisaniu mbsacli /? .

Generalnie polecam MBSA, można się szybko dużo dowiedzieć w ładnej przejrzystej formie bez bawienia się w skrypty czy korzystanie z technologii firm trzecich. Zastanawia mnie jednak jedna rzecz.. nie można tego było dać defaultowo we wszystkich systemach Microsoftu?

Reklamy
h1

2274 i 2275 czyli mcsa część dalsza :)

Luty 7, 2007

Course 2274: Managing a Microsoft® Windows Server™ 2003 Environment
Course 2275: Maintaining a Microsoft® Windows Server™ 2003 Environment

czyli kokojambo i do przodu :)

no więć odpalam moi mili elearning i zerkam co tam znajde :) no i pierwszy zgrzyt, na FF nie chodzi :P no ale ok, jestem przygotowany na taką ewnetualność i świeży uzupgrejdowany IE7 czeka w quick launch..

The Windows Server 2003 Family Overview.

Primary Server Types :

  • Domain Controler – przechowuje dane z AD, zarządza komunikacją między użytkownikami a domenami. Generalnie tam gdzie wrzucicie AD macie kontroler domeny, proste.
  • File Server – chyba sobie jaja robicie jak myślicie że będę to tłumaczył :P
  • Print Server – przechowuje sterowniki drukarek, kolejki i wszystko co związane z „bezpiecznym drukowaniem” :)
  • DNS Server – you’ve got to be kiddin me…
  • Application Server – jak wyżej
  • Terminal Server open (ps. nie występuje w wersji w2k3 Web Edition).

Wersji systemu jest 4 i uznaje się że są przeznaczone do….

  • Standard Edition -domain controlers (nie tlumacze bo czytajac to co napisalem wyzej powinniscie wiedziec o co chodzi), member servers.
  • Enterprise Edition – application server’s, domain controlers & for clustering. Generalnie różnica między enterprise a standard jest taka że ten pierwszy jest dedykowany do wysokowydajnościowych serwerów… a stawiać sobie możecie co chcecie :P
  • Datacenter Edition – sprzedawany tylko w wersji OEM przy zakupie całych „rozwiązań” IT dla firmy. Mało o tym wiem poza tym że żadko spotykane.
  • Web Edition – zalecany do web servers…trudno się domyślić nie ? :)

no i lecimy z „real stuff” czyli podstawy Active Directory (zwany później AD). Struktura AD składa się z :

  • Domain
  • Organisation Unit ( OU )
  • Domain Controler – server przechowywujący kopię AD.
  • Forest – jedna bądź więcej domen dzielące ze sobą okresolne ustawienia, schematy i bazę danych.
  • Tree – a na drzewach to rosną domeny :)
  • Trust – relacja między domenami która umożliwia korzystanie z ich zasobów w innych domenach.
  • Site – podsieć „na szybkim drucie” :) (taka swobodna translacja ;] )
  • Global Catalog – index AD … no nie wiem jak to inaczej wyjaśnić…

Log On to a Windows Server 2003 Computer

Authentication Process ( Proces autentykacji ) składa się z 2 części.

  1. Uwierzytelnianie ( hasła, loginy itp )
  2. Validation (walidacja… lol :P i) która zwraca pozytywny bądź negatywny wynik uwierzytelniania i ew. ustala prawa jakie zostają przyznane userowi.

Logowanie na konto lokalne jest autentykowane (cizys jak to brzydko brzmi :/) przy pomocy bazy danych SAM ( Security Accounts Manager ). Po zalogowaniu się lokalnie mamy dostęp tylko i wyłącznie do zasobów lokalnych.
Logowanie do domeny jest autentykowane przez kontroler domeny. Proste ? Proste. W trakcie logowania dane podane przez użytkownika (login&pass) są kodowane i przesyłane do kontrolera domeny. Zakodowane dane są porównywane z danymi (również encrypted) znajdującymi sie na kontrolerze. Kontroler ustala wszystkie informacje na temat usera jakie może ( przynależność do grup, nadane prawa itd) po czym odsyła Access Token nadanymi uprawnieniami i tada we’re in :)

Access Token zawiera w sobie SID który ustal prawa i przynależności użytkownika..tak w skrócie. Ale że z sidem spotkacie sie jeszcze nie raz warto cos o nim napisać więcej. Tak więc

SID – Security Identifier – pewna wartość o zmiennej długości. Po stworzeniu konta w Windowsie system przypisujemy mu unikatowy numer SID. Jeśli macie usera który ma jakieś swoje zasoby i np zechcecie go usunąć i w jego miejce wstawić innego o identycznym loginie, przynależnościach do grup i prawach to i tak nie dostaniecie się do folderów prywatnych pierwotnego usera bo… nie ma lekko :) W Windowsie XP i 2000 sidy zaczynają się od sekwencji S-1, reszta to grupy liczb które w jakiś tam czary mary sposób określają coś tam :)

dobra ide spac, i tak to wszystko wiecie :)

h1

Microsoft Certified Professional :) yeah that’s what they call me :P

Styczeń 29, 2007

MCP Logo tak tak proszę Państwa dnia dzisiejszego o godzinie 9 z minutami przystąpiłem do 2,5 godzinnego egzaminu 70-270 poczym po 30 minutkach opuściłem lokal stwierdzając że nic więcej już nie zdziałam, mówiąc do siebie „O, patrz! samolot!” w celu odwrócenia uwagi stresu po kryjomu nacisnąłem guzik „End Review” i szybko zanim stres się zorientuje że zrobiłem go w bambuko kliknąłem „YES”….

i tak siedze… i siedze…. dla odmiany ( w końcu egzamin z XP Pro ) miałem white screen… po chwili wyszedłem spytać czy to normalne ale pani stwierdziła że tak… jak wróciłem nadal biało… ale po chwili monit „Chcesz pozostawić jakieś komentarze odnośnie egzaminu? Uwaga, nie są one anonomiowe!”, kliknąłem „nie”… ja swoje na ich temat juz powiedziałem zaznaczając odpowiedzi :)

No i czekam na wynik…. potrzeba 700 pktów aby zaliczyć, całość to prawdpodobnie 1000 choć „urban-legends” niosą że jest ich więcej…

i oto moim oczom objawił się wynik 857 pkt , Congratulations you’ve passed the exam :) i hurrraaaaaa!!! :)

poszedłem do recepcji czy jak to tam nazwać otrzymałem taki oto papierek : 

arvind-mcp-smaller.jpgi co mnie najbardziej ucieszyło ? :) security nie zmieściło się na stronie :P najwięcej zastanawiałem się nad .. drukarkami i ten temat muszę jeszcze powertować… no ale żeby nie było już teraz biorę się za przygotowania do następnych i moze przed wakacjami bedzie MCSA a do końca roku MCSE ? :P Na kursie aktualnie lecimy z w2k3 server, i potrwa to jeszcze do marca jak sądzę, potem jak będą fundusze poszedłbym na +Security ale to się jeszcze zastanowie… bo w końcu co to za admin co chcociaż CCNA nie ma right ? :)

h1

Certyfikacje, książki ebooki i inne… czyli co daje google :)

Styczeń 13, 2007

Jako że dnia 27 Stycznia 2007 będę brał udział w egzaminie 70-270 to pomyślałem że wypadałoby jeszcze poszukać trochę materiałów no więc z proźbą o pomoc standardowo zgłosiłem się do znajomego googla :)

na wstępie standardowo

testking filetype:pdf

co zaowocowało niesamowitą ilością testów w całosci do sciągnięcia , ofcourse za free :)

jednak idąc trochę dalej po prostu wpisałem 70-270 filetype:pdf i znalazłem takie zbiory że aż pomyślałem że żeby Was zachęcić do bawienia się z googlami pokaze Wam przyklad tego co mozna dostac :)

http://lab.lpicn.org/pub/books/ < da best :)

no nie ma to jak google :)

h1

70-270 pytań kilka :)

Grudzień 22, 2006

Installing, Configuring, and Administering Microsoft Windows XP Professional. Czyli 70-270. Przygotowując się do egzaminu przeglądałem pytania i postanowiłem że machnę ich tu bo np o instalacji z floopa nie wiedziałem na tyle żeby odpowiedzieć prawidłowo na to pytanie :

Pytanie z tematu : Perform and troubleshoot an unattended installation of Windows XP Professional.

Jesteś senior desktop administartorem (nie chce mi się tego tłumaczyć :] )Jest do przeprowadzenia instalacja Windowsa XP Profiessional na 50 nowych maszynach. Twój pomocnik musi być w stanie podołać zadaniu przy jak najmniejszej ilości czynności administracyjnych a więc przy użyciu w pełni zautomatyzowanej instalacji.

Nowe stacje mają 20 gb dyski, napęd cdrom i floopa ale nie posiadają kart sieciowych (czyli NIC’s , Network Interface Cards.

Dajesz floopa z plikiem o nazwie „Anserws.txt” zawierającym stanadardowe ustawienia instalacyjne w Twojej firmie pomocnikowi. Mówisz mu aby rozpoczął instalacje unattended przy pomocy płyty Windows XP Professional a następnie włożył dyskietkę.

Niestety. Instalator zadaje pomocnikowi pytania związane z konfiguracją instalacji.

Musisz się upewnić że kolejne 49 stacji zainstaluje Windowsa bez zadawania jakichkolwiek pytań. Co zrobisz ?

A. Zmienisz nazwę pliku z odpowiedziami na Unattended.txt
B. Zmienisz nazwę plik uz odpowiedziami na Winnt.sif
C. Użyjesz Rbfg.exe do stworzenia bootowlanego dysku RIS’a a następnie wrzucisz go na floopa.
D. Stworzysz dyskietkę startową MS DOS’a poczym wrzucisz na nią plik z odpowiedziami.


I co wybierzecie ? :)chwilowo nie napiszę więcej pytań bo jak się okazuje zmęczyłem się przepisywaniem i tłumaczniem tak coby dotarło do co po niektóry.. :)