Теперь обсудим как на скорую руку организовать централизованное обновление стороннего приложения в домене (сгодится для flash-плеера или skype). То есть с виндовыми патчами и приладами все понятно- тут надо использовать родной мелкомягкий сервер обновлений Windows Server Update Services (в простонародьи WSUS), но учитывая что из родных продуктов большая часть юзверей (благодаря тлетворному влиянию админов) использует разве только MS Office, да и с того пытаемся уйти в последнее время, то установка WSUS откладывается на некоторое время, а вот каким образом все это произвести централизовано и без него- ответов два: через логон скрипты и AD.
Если с логон скриптом все более менее понятно- выкачиваем исполняемый файл, кладем его в доступную шару, после чего прописываем в логон скрипт следующую строку: start /wait \\сервер\шара\пакетный-файл.ехе /K /B
то через AD все делается несколько сложнее. Для начала нам нужен не обычный exe’шник, а виндовый установщик MSI- то есть мы выкачиваем дистрибутив с расширением msi или же собираем его из exe с помощью внешних утилит (например Advanced Installer, EMCO MSI Package Builder Enterprise или Prism Deploy Editor).
Для скайпа msi доступен в разделе Загрузить Skype -> Загрузка бизнес-версии
Для Adobe- flashplayer доступен со страницы загрузки всех версий Adobe Flash Player
Получив msi дистрибутив, выкладываем его на доступную для пользователей шару (сетевой ресурс, доступный для пользователей домена AD), после чего переходим к настройке Group Policy AD. Запускаем GP Managment после чего создаем групповую политику Computer Configuration -> Software Settings -> Software installation где указываем путь до нашей шары (не перепутать с локальным размещением файла). После применения система спросит про метод разворачивания- где мы указываем Assigned.
После этого ждем минут 10-15, или же форсим апдейт GP запуском из “Win + R” команды gpupdate /force
После этих действий- при перезагрузке участника домена, в фоновом режиме, еще до входа в систему на компы будет установлены указанные для обновления программы, и главное без участия пользователя и требования предоставления админского пароля.
Единственный момент, если надо будет переустановить новую версию, то надо будет удалить ранее созданную политику, после чего создать новую. Этот способ отлично подходит для всего многообразия пакетов, которые могут понадобиться в жизни офиса- различные adobe’вские плюшки- flashplayer, reader, аськи и квипы, skype, различные бродилки и много чего еще.
Возникла ситуация при которой у клиента появилась необходимость откатить несколько машин с Windows 7 на Windows XP. Естественно сейчас придет 100 человек и скажет что это глупость, но если вы используете специфическое ПО, тем более старых версий, то такой вопрос у вас не должен вызвать никаких нареканий.
Собственно Windows 7 покупался на контору, так что софт находится на балансе. Порывшись по инетам обнаружил тыщу разных вариантов от низя, до “нам подвластны любые горизонты”, посему решил обратиться к первоисточнику, который мне и поведал следующую схему. Если продукт Windows 7 Pro приобретался по корпоративной лицензии, то он имеет право на downgrade, который можно осуществить двумя способами:
1. На сайте VLSC скачивается исходник необходимой Windows XP, но есдинственно что на сайте имеется только exe вариант, который можно либо запустить из уже установленной Windows 7, либо сторонними средствами перегнать в ISO и записав на диск поставиться с него.
2. Поставиться со старого Windows XP находящегося на балансе конторы, ибо хотя мелкомягким на это дело наплевать, тем не менее проверяющие могут вздрючить за то что у вас использован например чужой VLS ключ. Так что если у вас нет копоративной XP, либо используйте пункт 1, либо ставьтесь с любой OEM версии Windows XP и активируйте её по телефону, сообщив что это downgrade и назвав серийник Windows 7. Народ правда в инетах пишет о том что могут послать если вы пользовали забаненный серийник XP, но это опционно, ибо серийник операционки на которую вы скатываетесь у меня ни разу не спрашивали. Видимо все зависит от того, внушает ли ваш голос доверие индийскому колл-центру.
Прикупил я себе наконец то ноут, точнее не прикупил, а разжился, ну да не важно. В общем, отличная машинка HP ProBook 4320s, с Core i5 и 4мя гигами оперативки. На ней стояла 11 SuSe Linux, но меня она почему то совсем не возбудила, ибо после 10ки в которой я проработал года три до этого, выглядела убого, да и установлена была весьма специфически. Так что я её снес и решил поставить себе Windows 7. Вот тут то меня и ждали терзания из серии “не было у бабки проблем, купила бабка порося”. Ибо хотелось ставить 32битную версию, чтобы не иметь гимора с софтом и игрушками, но при этом не по-детски было жалко гига оперативки, который бы однозначно пропал в этом случае. На рабочую машину бы я поставил Server 2003, ибо его архитектура позволяет видеть более 3 гигов в 32битной версии, но поскольку 7 винда также базируется на серверном ядре, я озадачился решением снятия искусственного ограничения от Microsoft, и как оказалось не напрасно. Тем более что 64битная винда забирает под свои процессы почти что в два раза больше памяти, так что выиграв гиг памяти я бы потерял 50% производительности, то есть в итоге еще и оказался бы в минусах.
В опубликованном Мелкомягкими Security Advisory 2286198, на прошлой неделе, появилась инфа о том, что они в данный момент трудятся над закрытием критической уязвимости основанной на некорректном парсинге системой иконки ярлыка, так что злоумышленник подсунув системе специально сконфигурированную иконку может уязвить машину, путем запуска злонамеренного кода, не имея на то необходимых привилегий и в обход политик UAC и контроля безопасности Windows 7. так что эксплоит .lnk это как раз то, чего нам так давно не хватало.
По утверждению Microsoft уязвимости больше всего подвержены машины через использование внешних томов, но при этом в случае отключения функции автозапуска, пользователь должен сам запустить ярлык из необходимой папки, для того чтобы система была уязвлена. Для систем Windows 7 функция автозапуска с внешних томов отключена по умолчанию.
И хотя в данный момент мелкомягкие ведут работы по устранению этой пакостной дырки безопасности, тем не менее для систем Win2Yk и XP SP2, уже снятых с поддержки , ожидать каких либо обновлений безопасности не следует. В этой связи рекомендуется запретить винде выводить иконки для любых ярлыков, а также запретить сервис WebClient для предотвращения атаки через протокол WebDAV.
И хотя винда с отключенным рендерингом иконок выглядит более чем убого, тем не менее если вы решите отключить эту, одну их основных, фич винюка, то необходимо открыть редактор реестра regedit.exe и пройти в ветвь реестра HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler. Экспортируем данную ветку, для того чтобы зарезервировать её, после чего очищаем значение.
Также Microsoft настоятельно рекомендует ограничить пути запуска программ, сократив их до необходимых системных папок типо C:\, C:\Windows, C:\Program Files. Для этого лезем в оснастку «Локальная политика безопасности», которая находится по следующему маршруту Пуск -> Настройка -> Панель управления -> Администрирование. Там выбираем раздел Политики ограниченного использования программ, и так как они не определены по умолчанию, выбираем Действие -> Создать политики ограниченного использования программ, после чего выбираем дополнительные правила и в правом поле щелкаем правой клавишей мышки, выбирая Создать правило для пути. там же можно запрещать запуск программ как по их пути, так и по хэшу исполняемого файла. Также можно перечислить приложения в ключе реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun, правда я не пробовал можно ли там открыть доступ к целой папке.
Ну и естественно использовать хостовые ips, фаерволы и антивирусы, на которых своевременно поддерживать актуальные обновления.
Слетел у меня что то Portable ThunderBird который стоял на флешке, в связи с чем я его проапгрейдил до версии 3.0 и тут то выяснилось что я зачем то установил в нем какой то Master Password, который защищает всю информацию о хранимых паролях, так что почтовые пароли приходится постоянно вводить, при этом они не сохраняются в системе, а Master Password запрашивается с дикой настойчивостью. Перебор всех паролей, имевшихся в голове не дал никакого результата, поэтому осталоcь только сбросить его. Единственный момент заключается в том, что вместе с ним слетят все хранящиеся в почтовой клиенте ThunderBird пароли.
Делается это просто- для версии выше ThunderBird 2.0, идем в Tools -> Error Console, в открывшемся окне в поле Code вводим строку openDialog(“chrome://pippki/content/resetpassword.xul”) и нажимаем кнопку Evaluate. Это запустит диалога сброса пароля, так что щелкаем ОК и начинаем набивание паролей сначала.
Интересный момент открылся при использовании правого клика мышь на объекте при использовании клавиши Shift, что дает дополнительный функционал открытия файла в виде пункта Открыть с помощью. Как оказалось эта связка в виде правого клика и Shift действует также на такой пункт меню, как Отправить.
У операционной системы Windows 7 имеется отличная возможность установить программный модуль совместимости с системой Window XP. Данный модуль позволяет устанавливать программное обеспечение разработанное для Windows XP прямо на Windows 7. Этот функционал позволяет запускать программы старых версий, которые не идут под Windows 7.
Перед установкой следует провести тест оборудование на предмет поддержки аппаратной виртуализации. Данное решение доступно для систем Windows 7 Professional, Enterprise или Ultimate. В том случае если хочется запустить на системах ниже указанных, или же если аппаратная часть не подходит под требования, следует использовать систему виртуализации VMware.
После установки Windows XP Mode функционал будет доступен из Start > All Programs > Windows Virtual PC > Windows XP Mode, после чего запустится настройка окружения.
