PS C:\> Get-ADGroupMember -Identity “groupe” -server “another.domain.local”
Category Archives: Computers and Internet
Debian 5.0.5
UBUNTU 10.04 LTS
UBUNTU 10.04 LTS
Už za 2 dny je tu nové UBUNTU, ikdyž ve verzi 9.10 již není o čem pochybovat. Jednou nastoupíte a nebudete chtít zpět.
Ubuntu opravdu stojí za to!
Check if a file exists
Scriptin’10
Check if a file exist on a list of computers
Ověření, zda existuje soubor na definovaných strojích
strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colFiles = objWMIService.ExecQuery _
("Select * From CIM_Datafile Where Name = ‘C:\\Program Files\\WinPcap\\Uninstall.exe’")
("Select * From CIM_Datafile Where Name = ‘C:\\Program Files\\WinPcap\\Uninstall.exe’")
If colFiles.Count > 0 Then
Wscript.Echo "yes"
Else
Wscript.Echo "No"
End If
Wscript.Echo "yes"
Else
Wscript.Echo "No"
End If
________________________________________________________________________________
On Error Resume Next
Set fso = CreateObject("Scripting.FileSystemObject")
Set objInputFile = fso.OpenTextFile("comps.txt", 1, True)
Set objOutputFile = fso.OpenTextFile("vystup.txt", 8, True)
Set fso = CreateObject("Scripting.FileSystemObject")
Set objInputFile = fso.OpenTextFile("comps.txt", 1, True)
Set objOutputFile = fso.OpenTextFile("vystup.txt", 8, True)
Do While objInputFile.AtEndOfLine <> True
strComputer = objInputFile.ReadLine
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colItems = objWMIService.ExecQuery("SELECT * FROM Win32_ComputerSystem")
Set colFiles = objWMIService.ExecQuery _
("Select * From CIM_Datafile Where Name = ‘C:\\Program Files\\AVG\\AVG9\\avgrsx.exe’")
Set colItems = objWMIService.ExecQuery("SELECT * FROM Win32_ComputerSystem")
Set colFiles = objWMIService.ExecQuery _
("Select * From CIM_Datafile Where Name = ‘C:\\Program Files\\AVG\\AVG9\\avgrsx.exe’")
If colFiles.Count > 0 Then
ObjOutputFile.WriteLine "Ano je AVG9 " & "PC: " & strComputer & vbNewLine
Else
ObjOutputFile.WriteLine "Neni AVG9 " & "PC : " & strComputer & vbNewLine
End If
ObjOutputFile.WriteLine "Ano je AVG9 " & "PC: " & strComputer & vbNewLine
Else
ObjOutputFile.WriteLine "Neni AVG9 " & "PC : " & strComputer & vbNewLine
End If
Loop
Migrate from AVG to Sophos
– Automatic migrate in 1 script (avg2soph.cmd) added as a logoff script
– Automatická migrace z AVG na Sophos jedním jebem 🙂
– Automatická migrace z AVG na Sophos jedním jebem 🙂
_______________________________________________________________________________________________________________________
avg2soph.cmd
@Echo off
if exist “C:\program Files\Sophos\Sophos Anti-Virus\SAVAdminservice.exe” GOTO END
SET RUNAVG=\\domain.local\NETLOGON\psexec.exe \\%computername% -accepteula -u user -p %1 \\Server\AVG\Setup\uninstall\AvgSetup.bat
CALL %RUNAVG%
CALL %RUNAVG%
call
SET RUNSOPHOS=\\domain.local\NETLOGON\psexec.exe \\%computername% -accepteula -u user -p %1 \\domain.local\NETLOGON\soph_inst.bat
CALL %RUNSOPHOS%
:END
CALL %RUNSOPHOS%
:END
______________________________________________________________________________________________________
AvgSetup.bat
@ECHO OFF
REM AVG Setup Batch
SET SETUP=”\\Server\AVG\Setup\uninstall\avg_ipw_stf_all_90_730a1834.exe”
IF NOT EXIST %SETUP% GOTO NoSetup
REM AVG Setup Batch
SET SETUP=”\\Server\AVG\Setup\uninstall\avg_ipw_stf_all_90_730a1834.exe”
IF NOT EXIST %SETUP% GOTO NoSetup
REM Start AVG Setup
%SETUP% /SCRIPT_FILE “\\Server\AVG\Setup\uninstall\AvgSetup.ini” /MANDATORYONLY /CFGFILE_PATH “\\Server\AVG\Setup\uninstall\remoteinst.pck” %1 %2 %3 %4 %5 %6 %7 %8 %9
%SETUP% /SCRIPT_FILE “\\Server\AVG\Setup\uninstall\AvgSetup.ini” /MANDATORYONLY /CFGFILE_PATH “\\Server\AVG\Setup\uninstall\remoteinst.pck” %1 %2 %3 %4 %5 %6 %7 %8 %9
if %ERRORLEVEL% EQU 1 goto AvgErr
goto End
goto End
:AvgErr
ECHO Error while installing AVG
goto End
ECHO Error while installing AVG
goto End
:NoSetup
ECHO Missing installation files
ECHO Missing installation files
REM Continue batch processing
:End
ECHO setup returned %ERRORLEVEL%
:End
ECHO setup returned %ERRORLEVEL%
(AvgSetup.bat a AvgSetup.ini a remoteinst.pck se vytvoří pomocí avg konzole viz.)
http://drnek.spaces.live.com/blog/cns!509D00E35B2D7B2C!329.entry
http://drnek.spaces.live.com/blog/cns!509D00E35B2D7B2C!329.entry
__________________________________________________________________________________
soph_inst.bat
soph_inst.bat
@Echo off
\\server\SophosUpdate\CIDs\S000\SAVSCFXP\setup.exe -mng yes -crt R -user user -pwd password -updp \\Server\SophosUpdate\CIDs\S000\SAVSCFXP\ -s -ni
__________________________________________________________________________________________
\\server\SophosUpdate\CIDs\S000\SAVSCFXP\setup.exe -mng yes -crt R -user user -pwd password -updp \\Server\SophosUpdate\CIDs\S000\SAVSCFXP\ -s -ni
__________________________________________________________________________________________
REMOTE UNINSTALL AVG
REMOTE UNINSTALL AVG CLIENT IN LAN
DEINSTALACE AVG NA STANICÍCH V LOKÁLNÍ SÍTI
DEINSTALACE AVG NA STANICÍCH V LOKÁLNÍ SÍTI
1) Vytvoření scriptu pomocí avg konzole (možnost silent a bez restartu)
2) @file (seznam pc = pc.txt)
3) Sysinternals: psexec.exe:
3) Sysinternals: psexec.exe:
>psexec @file -u domain\admin -p ******* -i \\Server\AVG\Setup\uninstall\AvgSetup.bat
Diasable UAC
Script
Disable UAC
Zrušení UAC
Scriptin’9
‘Někdy ani domain controler a GP nebere, tak pomůže už jenom script:
Const HKEY_LOCAL_MACHINE = &H80000002
Set fso = CreateObject("Scripting.FileSystemObject")
Set objInputFile = fso.OpenTextFile("comps.txt", 1, True)
Set objInputFile = fso.OpenTextFile("comps.txt", 1, True)
Do While objInputFile.AtEndOfLine <> True
strComputer = objInputFile.ReadLine
Set objRegistry = GetObject("winmgmts:\\" & strComputer & "\root\default:StdRegProv")
strKeyPath = "Software\Microsoft\Windows\CurrentVersion\Policies\System"
strValueName = "EnableLUA"
dwValue = 0
Set objRegistry = GetObject("winmgmts:\\" & strComputer & "\root\default:StdRegProv")
strKeyPath = "Software\Microsoft\Windows\CurrentVersion\Policies\System"
strValueName = "EnableLUA"
dwValue = 0
objRegistry.SetDWORDValue HKEY_LOCAL_MACHINE, strKeyPath, strValueName, dwValue
Loop
Loop
Disable UAC via Group Policy
ACL FOLDER GROUP MEMBER POWERSHELL
Powershell scriptin’3
Get folder and subfolders permissions
List folder and subfolders permissions
Get group members for specify groups
Get group members for groups named "text"
Jaká jsou nastavená oprávnění do složek a podsložek
Jací uživatelé jsou členy skupin obsahující v názvu "text"
1) Zjištění oprávnění:
\Windows Resource Kits\Tools>showacls /s c:\temp
nebo
PS1:
get-childitem \\server\d\slozka\ –recurse | get-acl |select-object path,owner,accesstostring,group | export csv c:\ACL.csv
2) Výpis členů konkrétních skupin:
a) Get-QADGroup *text* | Get-QADGroupMember (všichni členové všech skupin obsahující v názvu text).
b) PS1:
b) PS1:
Get-QADGroup *text* | ForEach-Object {
“Group: ” + $_
Get-QADGroupMember $_ | Format-Table -auto
}
“Group: ” + $_
Get-QADGroupMember $_ | Format-Table -auto
}
(jmenovitě podle skupin).
Zálohování SQL EXPRESS databáze
Automatické zálohování SQL EXPRESS databáze
Schedule backup of SQL EXPRESS database
1) připojit se na SQL express db pomocí Management Studia:
Server name: localhost/sqlexpress, nebo Server/instance (ServerX/DBx)
2) Na db vybrat backup:
3) Nastavení backupu:
Poklepnutín na "Script" se vygeneruje script, kt. se nakopíruje do souboru backup.sql
4) Nastaveni Schedule tasks:
sqlcmd -S ServerX/DBx -i backup.sql -o log.txt
Backup.sql se uloží na cestu "Start in:" viz. schedule task, tam se po skončení plánovaného backupu objeví i log.
POWERSHELL
PowerShell Scriptin’1
&
Old Computer Accounts
Old User Accounts
Old User Accounts
– Jaké počítače a uživatelé se nepřihlásili déle než 60 dní.
– Jak spouštět skripty v PowerShellu
1) Nejdříve je třeba zjistit, jaká je nastavena politika pro spouštění skriptů ps1. Zadejte do PowerShell okna příkaz:
Get-ExecutionPolicy
Jaké jsou politiky:
POWERSHELL EXECUTION POLICIES
——————————————
——————————————
The PowerShell execution policies are:
Restricted
– Default execution policy.
– Permits individual commands, but scripts cannot run.
– Default execution policy.
– Permits individual commands, but scripts cannot run.
AllSigned
– Scripts can run.
– Requires a digital signature from a trusted publisher on all scripts
and configuration files, including scripts that you write on the
local computer.
– Prompts you before running scripts from trusted publishers.
– Risks running signed, but malicious, scripts.
– Scripts can run.
– Requires a digital signature from a trusted publisher on all scripts
and configuration files, including scripts that you write on the
local computer.
– Prompts you before running scripts from trusted publishers.
– Risks running signed, but malicious, scripts.
RemoteSigned
– Scripts can run.
– Requires a digital signature from a trusted publisher on scripts and
configuration files that are downloaded from the Internet (including
e-mail and instant messaging programs).
– Does not require digital signatures on scripts run from the
local computer.
– Does not prompt you before running scripts from trusted publishers.
– Risks running signed, but malicious, scripts.
– Scripts can run.
– Requires a digital signature from a trusted publisher on scripts and
configuration files that are downloaded from the Internet (including
e-mail and instant messaging programs).
– Does not require digital signatures on scripts run from the
local computer.
– Does not prompt you before running scripts from trusted publishers.
– Risks running signed, but malicious, scripts.
Unrestricted
– Unsigned scripts can run.
– Scripts and configuration files that are downloaded from the Internet
(including Microsoft Outlook, Outlook Express and Windows Messenger)
run after warning you that the file originated from the Internet.
– Risks running malicious scripts.
– Unsigned scripts can run.
– Scripts and configuration files that are downloaded from the Internet
(including Microsoft Outlook, Outlook Express and Windows Messenger)
run after warning you that the file originated from the Internet.
– Risks running malicious scripts.
2) Změna politiky – příkaz:
Set-ExecutionPolicy RemoteSigned
3) Spouštění skriptů:
cd D:\Skripty
.\skript.ps1
.\skript.ps1
nebo
& "D:\Skripty\skript.ps1"
_____________________________________________________________
#old comps accounts
$maxOldLogonDays = 60
$adsiSearcher = new-object DirectoryServices.DirectorySearcher("LDAP://rootdse")
$adsiSearcher.filter = "objectCategory=computer"
$adsiSearcher.findall() |
Foreach-Object `
{
"Processing $($_.path)"
$rawLogon = $_.properties.item("lastlogon")
$convertedLogOn = [datetime]::FromFileTime([int64]::Parse($rawLogon))
If( ((get-date) – $convertedLogOn).days -ge $maxOldLogonDays )
{
"$($_.properties.item(‘distinguishedName’))
has not logged on for more than $maxOldLogonDays days"
} #end if
} #end foreach
$adsiSearcher = new-object DirectoryServices.DirectorySearcher("LDAP://rootdse")
$adsiSearcher.filter = "objectCategory=computer"
$adsiSearcher.findall() |
Foreach-Object `
{
"Processing $($_.path)"
$rawLogon = $_.properties.item("lastlogon")
$convertedLogOn = [datetime]::FromFileTime([int64]::Parse($rawLogon))
If( ((get-date) – $convertedLogOn).days -ge $maxOldLogonDays )
{
"$($_.properties.item(‘distinguishedName’))
has not logged on for more than $maxOldLogonDays days"
} #end if
} #end foreach
_____________________________________________________________________________________
#old user accounts
$maxOldLogonDays = 60
$adsiSearcher = new-object DirectoryServices.DirectorySearcher("LDAP://rootdse")
$adsiSearcher.filter = "objectCategory=User"
$adsiSearcher.findall() |
Foreach-Object `
{
"Processing $($_.path)"
$rawLogon = $_.properties.item("lastlogon")
$convertedLogOn = [datetime]::FromFileTime([int64]::Parse($rawLogon))
If( ((get-date) – $convertedLogOn).days -ge $maxOldLogonDays )
{
"$($_.properties.item(‘distinguishedName’))
has not logged on for more than $maxOldLogonDays days"
} #end if
} #end foreach
$adsiSearcher = new-object DirectoryServices.DirectorySearcher("LDAP://rootdse")
$adsiSearcher.filter = "objectCategory=User"
$adsiSearcher.findall() |
Foreach-Object `
{
"Processing $($_.path)"
$rawLogon = $_.properties.item("lastlogon")
$convertedLogOn = [datetime]::FromFileTime([int64]::Parse($rawLogon))
If( ((get-date) – $convertedLogOn).days -ge $maxOldLogonDays )
{
"$($_.properties.item(‘distinguishedName’))
has not logged on for more than $maxOldLogonDays days"
} #end if
} #end foreach
Windows Server Update Services 3.0 SP2
Windows Server Update Services 3.0 SP2
How to delete old wsus updates
How to delete old wsus updates
SP2 přináší integraci s Windows Server 2008 R2, podporu pro Windows 7 a Windows Server 2008 R2 klinety a opravy.
* Zjistili jste, že při instalaci SP2 nemáte dost místa na disku? Desítky GB zabírají již nepotřebné updaty?
JAk na to:
– stáhněte si WSUS Server Debug Tool.EXE
http://download.microsoft.com/download/7/7/4/7745a34e-f563-443b-b4f8-3a289e995255/WSUS%20Server%20Debug%20Tool.EXE
http://download.microsoft.com/download/7/7/4/7745a34e-f563-443b-b4f8-3a289e995255/WSUS%20Server%20Debug%20Tool.EXE
– ve wsus konzoli vyberte updaty, co nechcete a označte je decline
– cmd (WsusDebugTool.exe /Tool:PurgeUnnneededFiles)
-= VYMAŽOU SE VEŠKERÉ UPDATES OZNAČENÉ JAKO DECLINE! =-
Intel Atom 2 & Moblin 2.0
Nová ‘hračka’ MOBLIN vyvíjená pro Intel Atom 2
Malý linux pro malé notebooky nabídne ideální alternativu k nepřizpůsobivému Linpusu.
Windows 7 to ale opravdu není! 🙂
Windows 7 to ale opravdu není! 🙂
Jak bude vypadat uživatelské prostředí, můžete posoudit na obrázcích níže.
Jako startovací OS, kt. bude předpokládám ‘zdarma’, by mohl pro malý notebook na základní věci (internet + zábava) stačit.
Instalace je automatizovaná.
a velmi snadná…
na výběr je zatím jen angličina a pár dalších jazyků
partitions můžete upravit
V beta verzi moblin 2.0 jsem ale nerozchodil ve virt. síťovku
jako startovací OS pro malý notebook vypadá Moblin vcelku schůdně, bude třeba ho ještě vypilovat, ale nabízí se zde i možnost vlastních úprav a to jistě přinese časem tisíce mutací a skončí snad ‘podprahový podvod’ na lidi v podobě Linpusu
Transitioning to Exchange server 2007
Upgrade Exchange Server 2000/2003 na Exchange Server 2007
Včerejší HOL s Vladimírem Wojnarem z http://www.mainstream.cz/ byl přínosný. Nejdůležitější postřehy najdete v tomto bodovitém článku.
(migrace), transition proces: E2k, E2k3 na !!!E2K7 (SP1) + rollup update -> (mela by se instalovat nejnovejsi verze Exch vcetne updatu)!!!
– od E2k (starsi se neda migrovat, tj. treba Exch 5.5 )
– DC 2k SP4 muze ve forestu byt, ale min. 2 z fsmo roli musi byt na DC 2k3 aspon SP1 = GC a Schema master
– E2k7 musi byt na X64 serverech, 32bit Exch tools se daji ale vyuzit pro pripravu domeny a potom na manazovani E2k7 x64
– .net 2.0 SP1
– mmc 3.O
– PSl
– IIS (vyzadzuje se pro role client access a mailbox), (pro roli hub transport nemusi byt, ale nesmi zase byt nainst. smtp sluzba)
– DC 2k SP4 muze ve forestu byt, ale min. 2 z fsmo roli musi byt na DC 2k3 aspon SP1 = GC a Schema master
– E2k7 musi byt na X64 serverech, 32bit Exch tools se daji ale vyuzit pro pripravu domeny a potom na manazovani E2k7 x64
– .net 2.0 SP1
– mmc 3.O
– PSl
– IIS (vyzadzuje se pro role client access a mailbox), (pro roli hub transport nemusi byt, ale nesmi zase byt nainst. smtp sluzba)
___________________________________________________________________________________________________
– forest level native mode 2k nebo 2K3
– forest level native mode 2k nebo 2K3
– readiness check – otestovani prostredi na migraci
– exch. best practise analyzer
___________________________________________________________________________________________________
– priprava:
– priprava AD (lze i z 32 bit verze),
– rozsireni schema – automaticky pri spusteni ins., nutne enterprise domain a schema admin prava!!!
___________________________________________________________________________________________________
– priprava:
– priprava AD (lze i z 32 bit verze),
– rozsireni schema – automaticky pri spusteni ins., nutne enterprise domain a schema admin prava!!!
1) – setup.com /pl (prepare legacy exchange permissions)
2) – setup.com /ps (prepare schema)
3) – musi byt dostupny schema master – prima konektivita, musi se povolit rozsireni schematu v konzoli AD schema (mmc), nebo v registru dc s roli schema masteru – KEY: Services NTDS – Parameters – (schemaUpdateAllowed) DWORD=1; KB 285172
4) – setup.com / p (prepare ad) – vytvori se nova administrative (jedno spravni prostredi) a routing group (exch servery. kt. jsou soucasti jedne site a mohou byt propojeny s jinou rout. gr.) – vytvori se prave pro zachovani kompaktibility pro migraci (vytvori se jakysi connector).
2) – setup.com /ps (prepare schema)
3) – musi byt dostupny schema master – prima konektivita, musi se povolit rozsireni schematu v konzoli AD schema (mmc), nebo v registru dc s roli schema masteru – KEY: Services NTDS – Parameters – (schemaUpdateAllowed) DWORD=1; KB 285172
4) – setup.com / p (prepare ad) – vytvori se nova administrative (jedno spravni prostredi) a routing group (exch servery. kt. jsou soucasti jedne site a mohou byt propojeny s jinou rout. gr.) – vytvori se prave pro zachovani kompaktibility pro migraci (vytvori se jakysi connector).
– vsechny E2K7 jsou jen v jedne adm. a rout. gr.! (ty vlastne jiz neexistuji)
___________________________________________________________________________________________________
instalace roli:
___________________________________________________________________________________________________
instalace roli:
1) client access (pokud nekdo pouziva owa, je treba mu upresnit http(s) odkaz na novy e2k7 server), (KB 919166)
2) hub transport
3) mailbox
(tyto 3 role mohou byt na jednom stroji, nebo i oddelene.)
(tyto 3 role mohou byt na jednom stroji, nebo i oddelene.)
– v tuto chvili je to v koexistenci fazi, na kt. se da bezet jakkoliv dlouho!
– veskera nastaveni jiz spravovat z konzole E2K7
____________________________________________________________________________
presun (move) mailboxu: (lze za provozu, outlook se prekonfiguruje automaticky.)
– veskera nastaveni jiz spravovat z konzole E2K7
____________________________________________________________________________
presun (move) mailboxu: (lze za provozu, outlook se prekonfiguruje automaticky.)
a) graficky (max. 4 soucasne)
b) PSl (velky pocet soucasne)
____________________________________________________________________________
Public Folder:
b) PSl (velky pocet soucasne)
____________________________________________________________________________
Public Folder:
– je treba vytvorit novou DB PF a ze staryho exch. je !!!vyreplikovat!!!, lze to manazovat ze stareho exch. – nechat stare PF propagovat do novych PF!
____________________________________________________________________________
odinstalace e2K,3:
____________________________________________________________________________
odinstalace e2K,3:
– pres puv. ins. CD, nebo namapovani sit. uloziste. Pak standardne add/remove.
___________________________________________________________________________
___________________________________________________________________________
!! puv administrative a routing groupy by mely zustat, outlook se na tyto objekty stale odkazuje, ikdyz po dokonceni instalce E2K7 zustanou prazdne!!!
!! smazat puv. a vytvorit novy smtp connector pro mejly do internetu
__________________________________________________________________________
__________________________________________________________________________
!!!zruseni recipient update service!!!!
– RUS se muze smazat.
PHP 5.2.9-1 (for Windows)
5.2.9-1 (for Windows) released
PHP 5.2.9 opravuje chyby, kt. bylo asi 60! Navazuji tímto na můj blog PHP via FastCGI error 0xc0000005 AND 0x80070585
PHP skrze FastCGI funguje!
PHP via FastCGI error 0xc0000005 AND 0x80070585
IIS7 + PHP 5.2.8 via FastCGI = Crash
Narazil jsem na problém php ve vistách.
"PHP skrze FastCGI" jsem na Windows Vista a IIS 7 a PHP Version 5.2.8 nerozchodil!
Stále se objevovaly tyto chyby:
php via fastcgi error 0x80070585
php via FastCGI error 0xc0000005
Přes isapi to jde!
Pokud máte poznatky ohledně tohoto tématu, můžete je diskutovat zde: http://drnek.phorum.cz/
Windows 7
WINDOWS 7
widle 7
nebo taky Vista 7? 🙂
widle 7
nebo taky Vista 7? 🙂
* Letem světem pár prvních scr. a postřehů:
– Na první pohled jsou hodně podobné Vistám. Pro mě mají lepší barvy viz. hlavní panel není už tak kontrastně "tmavý"!
– Jsou samozřejmě doplněny IE 8, media pl. 12 atd.
– Mají zjednodušené nastavení sdílení pro domácí síť.
– Vysoké tendence pro mediální centrum – tv, videa, streamy..atd.
– Nové klávesové zkratky win + home a další.
– Problém recorder pro zpětnou vazbu.
– Instalace pomocí Windows AIK samozřejmostí.
– Boot z .vhd WOW!
(bcdedit /copy {current} /d “Boot_From_VHD”,
(bcdedit /copy {current} /d “Boot_From_VHD”,
bcdedit /set {CLSID} device vhd=[C:]\vhdname.vhd,
bcdedit /set {CLSID} osdevice vhd=[C:]\vhdname.vhd,
bcdedit /set {CLSID} detachal on;
[bcdedit /delete {GUID} /cleanup]
Po restartu se přidá možnost bootovat z virtuálního disku, tz. z .vhd souboru pro Hyper-V VHD.
BCDEDIT = cli pro býv. "boot.ini" => VistaBootPRO.
Internet Explorer. Potenciální bezpečnostní hrozba
Potenciální bezpečnostní hrozba
více:
Převzato z viz. link výše:
Wednesday, December 17, 2008 12:25 PM by Ondrej Vysek
re: Potenciální bezpečnostní hrozba. Prosím, čtěte! (961051)
Ono diskutovat to jak je co bezpečné či nikoliv je hezké a vždy rozpoutá diskuzi 🙂 Položme se na problém. Pokud by existovaly kvalitní web stránky, nemohly by být provedeny útoky typu SQL injection, které vloží kód, jenž může následně zneužít/využít jakéhokoliv problému v jakémkoliv operačním systému či programu. Můžeme ale zajít dál, jak tu výše bylo řečeno, počítač je tak bezpečný, jak se chová uživatel, dovolím si odhadnout, že "kvalitní" weby tímto problémem netrpí. Povětšinou to budou weby, které nabízejí obsah nelegální, pornografický,… Můžeme jít ale ještě dál, ale asi již do hypotetické roviny, proč existují / co útočníky vede k tomu, aby tyto útoky vedli? Myslím si, že není možné napsat jasnou odpověď na problém, který je natolik komplexní (od výrobce software, přes webmastery, konzumenty obsahu webu až po útočníky). Možná je tento příspěvek pouhým plácnutím do vody, ale stejně tak doufám, že přispěje k porozumění této problematiky tak nějak z nadhledu, aniž by uživatel (více či méně IT znalý), musel dělat rezolutní rozhodnutí – "nebudu používat "něco", protože je kolem toho "humbuk"" (berte s rezervou a velmi nadneseně:) )
hauk 😉
KERBEROS v. NTLM
Nakonec velmi výživné setkání WUG nadšenců, nastínilo tentokrát, jak to chodí s autentizací ve Windows.
Problematika je celkem jasná, proto nastíním jen bodovitě, to co mě nejvíce zaujalo. Podrobnější informace pak najdete právě na stránkách
p. Ševečka, kt. nás získal Výbornou přednáškou. http://www.sevecek.com/
Kerberos X NTLM autentizace
– hesla se ukládají ve formě hashů
NTLM autetizace už se táhne widlema celé roky. Visty mají by default nastaveno NTLMv2, to je bezpečné, pokud máte silné heslo a neukládáte
hodnotu hash.
Na DC je to celé v:
Na stanicích v registrech HKLM\SAM\…
No a pak už stačí v programu Cain ověřit, jak dlouho se bude heslo prolamovat. Spíše je to test, pro ověření nastavení politiky hesel.
Každopádně LM autentizaci nepoužívejte! Také toto není bezpečné: http://msdn.microsoft.com/en-us/library/ms918995.aspx
Každopádně LM autentizaci nepoužívejte! Také toto není bezpečné: http://msdn.microsoft.com/en-us/library/ms918995.aspx
– NTLM využívá IP adresy, proto nepotřebuje tzv. tikety, kt. se generují při kerberos autentizaci.
KERBEROS upřednostňuje jména před IP adr. Nelze ho tedy použít pro přístup přes internet, protože nevidí vaše DNS. Ve Vistách pak Kerberos
IP nepoužívá vůbec!
Kerberos funguje tedy na principu tiketů. Je můžete sledovat pomocí utilky:
kerberos lze omezovat i na určitý service type, např. LDAP atd. Nastavení je v ADUC na účtu stroje, záložka Delegation. Toto může vést k
upřesnění ověření clienta, kt. se vám hlásí na požadovaný stroj, kt. ještě využívá nějaký dotaz jinam, třeba do DB atp. Pozor na
bezpečnost a nezapínejte "use any authetication protocol".
Konec přednášky vlastně směřoval k navedení používání čipových karet = SMART CARD. Je to velmi dobré, bezpečné a praktické hlavně z hlediska
využívání pro jiná ověřování, než-li do Windows (dvěřní systém, docházka, stravování atd.). Také to není levné, že. O tom ale až jindy.
Windows Vista SP2
Install Windows Vista SP2 (Beta)
Instalace SP2 zabere cca. 25 min.
DeeTechnet 
