Tuesday, 28 Jun 2011
Встала проблема что к Windows 7 установленной на удаленной площадке необходимо одновременно подключаться мне и тамошнему админу, так на ней у нас заведены все управлялки внутренними ресурсами. Естественно что по умолчанию это не получается, так как Windows 7 является рабочей станцией и позволяет одновременно подключаться к системе только одному пользователю, так что входя в систему мы автоматом вырубаем присутствующего пользователя. Естественно что данная процедура запрещена для коммерческого использования, поскольку она нарушает лицензионное соглашение мелкомягких.
(more…)
VN:F [1.9.13_1145]
Rating: 9.0/10 (5 votes cast)
VN:F [1.9.13_1145]
Рубрика: Windows | Ваш отзыв »
Friday, 27 May 2011
Теперь обсудим как на скорую руку организовать централизованное обновление стороннего приложения в домене (сгодится для flash-плеера или skype). То есть с виндовыми патчами и приладами все понятно- тут надо использовать родной мелкомягкий сервер обновлений Windows Server Update Services (в простонародьи WSUS), но учитывая что из родных продуктов большая часть юзверей (благодаря тлетворному влиянию админов) использует разве только MS Office, да и с того пытаемся уйти в последнее время, то установка WSUS откладывается на некоторое время, а вот каким образом все это произвести централизовано и без него- ответов два: через логон скрипты и AD.
Если с логон скриптом все более менее понятно- выкачиваем исполняемый файл, кладем его в доступную шару, после чего прописываем в логон скрипт следующую строку:
start /wait \\сервер\шара\пакетный-файл.ехе /K /B
то через AD все делается несколько сложнее. Для начала нам нужен не обычный exe’шник, а виндовый установщик MSI- то есть мы выкачиваем дистрибутив с расширением msi или же собираем его из exe с помощью внешних утилит (например Advanced Installer, EMCO MSI Package Builder Enterprise или Prism Deploy Editor).
Для скайпа msi доступен в разделе Загрузить Skype -> Загрузка бизнес-версии
Для Adobe- flashplayer доступен со страницы загрузки всех версий Adobe Flash Player
Получив msi дистрибутив, выкладываем его на доступную для пользователей шару (сетевой ресурс, доступный для пользователей домена AD), после чего переходим к настройке Group Policy AD. Запускаем GP Managment после чего создаем групповую политику Computer Configuration -> Software Settings -> Software installation где указываем путь до нашей шары (не перепутать с локальным размещением файла). После применения система спросит про метод разворачивания- где мы указываем Assigned.
После этого ждем минут 10-15, или же форсим апдейт GP запуском из “Win + R” команды gpupdate /force
После этих действий- при перезагрузке участника домена, в фоновом режиме, еще до входа в систему на компы будет установлены указанные для обновления программы, и главное без участия пользователя и требования предоставления админского пароля.
Единственный момент, если надо будет переустановить новую версию, то надо будет удалить ранее созданную политику, после чего создать новую. Этот способ отлично подходит для всего многообразия пакетов, которые могут понадобиться в жизни офиса- различные adobe’вские плюшки- flashplayer, reader, аськи и квипы, skype, различные бродилки и много чего еще.
VN:F [1.9.13_1145]
Rating: 9.4/10 (5 votes cast)
VN:F [1.9.13_1145]
Рубрика: Windows | Ваш отзыв »
Thursday, 17 Mar 2011
Возникла ситуация при которой у клиента появилась необходимость откатить несколько машин с Windows 7 на Windows XP. Естественно сейчас придет 100 человек и скажет что это глупость, но если вы используете специфическое ПО, тем более старых версий, то такой вопрос у вас не должен вызвать никаких нареканий.
Собственно Windows 7 покупался на контору, так что софт находится на балансе. Порывшись по инетам обнаружил тыщу разных вариантов от низя, до “нам подвластны любые горизонты”, посему решил обратиться к первоисточнику, который мне и поведал следующую схему. Если продукт Windows 7 Pro приобретался по корпоративной лицензии, то он имеет право на downgrade, который можно осуществить двумя способами:
1. На сайте VLSC скачивается исходник необходимой Windows XP, но есдинственно что на сайте имеется только exe вариант, который можно либо запустить из уже установленной Windows 7, либо сторонними средствами перегнать в ISO и записав на диск поставиться с него.
2. Поставиться со старого Windows XP находящегося на балансе конторы, ибо хотя мелкомягким на это дело наплевать, тем не менее проверяющие могут вздрючить за то что у вас использован например чужой VLS ключ. Так что если у вас нет копоративной XP, либо используйте пункт 1, либо ставьтесь с любой OEM версии Windows XP и активируйте её по телефону, сообщив что это downgrade и назвав серийник Windows 7. Народ правда в инетах пишет о том что могут послать если вы пользовали забаненный серийник XP, но это опционно, ибо серийник операционки на которую вы скатываетесь у меня ни разу не спрашивали. Видимо все зависит от того, внушает ли ваш голос доверие индийскому колл-центру.
VN:F [1.9.13_1145]
Rating: 4.0/10 (1 vote cast)
VN:F [1.9.13_1145]
Рубрика: Windows | Ваш отзыв »
Monday, 29 Nov 2010
Прикупил я себе наконец то ноут, точнее не прикупил, а разжился, ну да не важно. вообщем отличная машинка HP ProBook 4320s, с Core i5 и 4мя гигами оперативки. На ней стояла 11 SuSe Linux, но меня она почему то совсем не возбудила, ибо после 10ки в которой я проработал года три до этого, выглядела убого, да и установлена была весьма специфически. Вообщем я её снес и решил поставить себе Windows 7. Вот тут то меня и ждали терзания из серии “не было у бабки проблем, купила бабка порося”. Ибо хотелось ставить 32битную версию, чтобы не иметь гимора с софтом и игрушками, но при этом не по-детски было жалко гига оперативки, который бы однозначно пропал в этом случае. На рабочую машину бы я поставил Server 2003, ибо его архитектура позволяет видеть более 3 гигов в 32битной версии, но поскольку 7 винда также базировалась на серверном ядре, я озадачился решением снятия искусственного ограничения от Microsoft, и как оказалось не напрасно. Тем более что 64битная винда забирает под свои процессы почти что в два раза больше памяти, так что выиграв гиг памяти я бы потерял 50% производительности, то есть в итоге еще и оказался бы в минусах.
Вообщем поставил я Windows 7, настроил все, и залез посмотреть что там пишет система. В свойствах компа была инфа 4GB (доступно 2,96Gb), что собственно и требовалось доказать. Попробовал для начала включить встроенную в винду поддержку PAE (Physical Address Extension) которая как раз и была введена в винду для поддержки более 3Gb оперативной памяти, причем продолжая использовать 32битную адресацию, становится доступным память до 64Gb. Для этого запускаем msdos-promt и и в нем говорим следующее:
BCDEdit /set PAE forceenable
BCDEdit /set nolowmem on
После этого вроде как все должно начать летать и видиться, но у меня картина осталась той же самой, так что это не дало мне ни малейшего результата. После чего я решил таки рискнуть пропатчить систему найденным патчером для ядра. Вкратце суть работы такова, на машине с процессором поддерживающим технологию PAE, данный патч создает копию имеющегося ntkrnlpa.exe после чего патчит его и по его мотивам создает новый файл ntkr128g.exe , который и грузит через скрипт AddBootMenu.cmd, который добавляет в boot-меню, так что при загрузке системы появится два типа загрузки – обычная и с поддержкой до 128GB . Для внесения изменений в систему запускаем патчик, говорим ДА на тему внесения изменений, после чего в появившемся досовском окошке надо будет сказать Y, тем самым дав разрешение на вышеупомянутый патч. После этого система перегружается и при загрузке машина выдает 4GB (доступно 3,86Gb)
Для избавления от меню выбора идем в свойства «мой компьютер» там говорим Дополнительные параметры системы -> Загрузка и восстановление -> Параметры. Снимаем галку Отображать список операционных систем. Перегружаемся.
После всех этих манипуляций у меня появилась надпись в правом нижнем углу, гласившая «Test Mode Windows 7 Build 7600» -не скажу что она мне доставляла неудобство, но чувство эстетического дискомфорта я все же при виде её испытывал, поэтому говорим WIN_окошко (что между правым Ctrl и Alt) + R и вбиваем mcbuilder. Говорим ок, ждем выполнения и перезагружаем машину.
Собственно все- машина видит 4 гига, рапортует о том, что доступны 3.86Gb и главное что может пользовать эту область памяти для выполнения своих процессов- запустил три машины по 1.2Gb и все нормально шуршало- исключая хостовую операционку ибо она сама подтормаживала, как и должна была бы при использовании 256 метров.
Естественно что перед подобными пассами над своей многострадальной машиной- я бы настоятельно рекомендовал забацать имидж системного диска, с тем чтобы если что не так пойдет- иметь возможность откатиться на родную версию. Хотя я работаю на данный момент третью неделю и пока тьфу-тьфу без проблем. Чего и вам желаю.
VN:F [1.9.13_1145]
Rating: 10.0/10 (9 votes cast)
VN:F [1.9.13_1145]
Rating: +6 (from 6 votes)
Рубрика: Windows | Отзывов: 8 »
Wednesday, 21 Jul 2010
В опубликованном Мелкомягкими Security Advisory 2286198, на прошлой неделе, появилась инфа о том, что они в данный момент трудятся над закрытием критической уязвимости основанной на некорректном парсинге системой иконки ярлыка, так что злоумышленник подсунув системе специально сконфигурированную иконку может уязвить машину, путем запуска злонамеренного кода, не имея на то необходимых привилегий и в обход политик UAC и контроля безопасности Windows 7. так что эксплоит .lnk это как раз то, чего нам так давно не хватало.
По утверждению Microsoft уязвимости больше всего подвержены машины через использование внешних томов, но при этом в случае отключения функции автозапуска, пользователь должен сам запустить ярлык из необходимой папки, для того чтобы система была уязвлена. Для систем Windows 7 функция автозапуска с внешних томов отключена по умолчанию.
И хотя в данный момент мелкомягкие ведут работы по устранению этой пакостной дырки безопасности, тем не менее для систем Win2Yk и XP SP2, уже снятых с поддержки , ожидать каких либо обновлений безопасности не следует. В этой связи рекомендуется запретить винде выводить иконки для любых ярлыков, а также запретить сервис WebClient для предотвращения атаки через протокол WebDAV.
И хотя винда с отключенным рендерингом иконок выглядит более чем убого, тем не менее если вы решите отключить эту, одну их основных, фич винюка, то необходимо открыть редактор реестра regedit.exe и пройти в ветвь реестра HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler. Экспортируем данную ветку, для того чтобы зарезервировать её, после чего очищаем значение.
Также Microsoft настоятельно рекомендует ограничить пути запуска программ, сократив их до необходимых системных папок типо C:\, C:\Windows, C:\Program Files. Для этого лезем в оснастку «Локальная политика безопасности», которая находится по следующему маршруту Пуск -> Настройка -> Панель управления -> Администрирование. Там выбираем раздел Политики ограниченного использования программ, и так как они не определены по умолчанию, выбираем Действие -> Создать политики ограниченного использования программ, после чего выбираем дополнительные правила и в правом поле щелкаем правой клавишей мышки, выбирая Создать правило для пути. там же можно запрещать запуск программ как по их пути, так и по хэшу исполняемого файла. Также можно перечислить приложения в ключе реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun, правда я не пробовал можно ли там открыть доступ к целой папке.
Ну и естественно использовать хостовые ips, фаерволы и антивирусы, на которых своевременно поддерживать актуальные обновления.
VN:F [1.9.13_1145]
Rating: 10.0/10 (2 votes cast)
VN:F [1.9.13_1145]
Рубрика: IT безопасность, Windows | Отзывов: 2 »
Thursday, 06 May 2010
После анонсирования новой системы Windows 7, вскрылась новая проблема, на которую никто не обращал внимания до этого, не смотря на то, что она уже была озвучена применительно еще к системам Vista: на 64-битных системах Windows Vista/7 невозможно использование IPSEC VPN клиента от Checkpoint – Secure Client, с помощью которого удаленный хост может подключаться к шлюзам Connectra, VPN-1, UTM-1 и Power-1 используя протоколы стандарта IPSEC. Это продукт отлично себя зарекомендовал на большинстве систем Microsoft и Mac, но к сожалению, после установки на 64-битную систему, пакет Secure Client не запускается в принципе, так что использование его невозможно.
И вот здесь начинается некоторая непонятка, ибо Checkpoint обещает выпуск обновленного полнофункционального VPN клиента Secure Client, поддерживающего 64битные системы, только в конце второго квартала, и на данный момент предлагает два вида решения: использование облегченного VPN клиента Endpoint Connect (он также интегрирован в продукт Endpoint Security Client R73), входящего в комплект Connectra, но при этом поддерживающего соединение со шлюзами, начиная от NGX R65 HFA40. В данный момент единственная версия клиента Endpoint Connect, поддерживающая 64битные системы, является Endpoint Connect R73, который дает возможность подключения к системам выше R65 HFA40 и Connectra R66.
Для использования этой версии клиента также необходимо произвести апгрейд поддержки Endpoint Connect на шлюзах, путем установки установки патча поддержки R73. Последняя актуальная версия клиента Endpoint Connect, а также патч для шлюза VPN-1 и портала Connectra доступны для скачивания на офф.сайте Checkpoint.
Лицензируется использование этого продукта в виде Check Point Endpoint Security – Secure Access license, путем приобретения лицензии на удаленное рабочее место, то есть если два пользователя работают с одной машины, то нужна всего одна лицензия, если же один пользователь предполагает работать с двух разных машин, то две лицензии.
Другим вариантом использования VPN клиента на 64битныхз платформах, является использование продукта SSL Network Extender (SNX) для построения шифрованного туннеля 3го уровня SSL VPN. Версия SNX R71 HFA1 for Windows поддерживает 64битные платформы Windows 7/Vista/XP. Этот клиент скачивается с портала Check Point Security Gateways по запросу пользователя, пытающегося установить шифрованное соединение через протокол HTTPS. Продукт поддерживает шлюзы, начиная с версии NGX R60 и выше. Для использования версии R71, на шлюзах также должен быть установлен патч поддержки этой версии, который можно скачать на офф.сайте Checkpoint.
Лицензируется использование данного продукта путем приобретения лицензии SNX (на определенное количество пользователей: 25, 100, 250 и т.д) или также Check Point Endpoint Security – Secure Access license, которая приобретается по количеству удаленных рабочих мест.
Так что все разговоры о том, что Endpoint Connect поддеривается только VPN порталом Connectra либо развод на лишние, причем не малые, бабуськи, либо просто незнание материала.
VN:F [1.9.13_1145]
Rating: 7.0/10 (3 votes cast)
VN:F [1.9.13_1145]
Rating: +1 (from 3 votes)
Рубрика: Check Point | Ваш отзыв »
Thursday, 25 Feb 2010
Интересный момент открылся при использовании правого клика мышь на объекте при использовании клавиши Shift, что дает дополнительный функционал открытия файла в виде пункта Открыть с помощью. Как оказалось эта связка в виде правого клика и Shift действует также на такой пункт меню, как Отправить.
(more…)
VN:F [1.9.13_1145]
Rating: 8.0/10 (2 votes cast)
VN:F [1.9.13_1145]
Рубрика: Windows | Ваш отзыв »
