Centralized SRP Event Auditing

Понедельник, 09 - Сентябрь - 2013 Оставьте комментарий

Application Whitelisting technologies such as Software Restriction Policies or AppLocker provide a great level of protection against malware and unwanted software. When blocking launch of an unwanted program, the policy generates a record in the Application Log on a local computer. This allows an administrator to maintain security for a given system and perform policy updates, if needed. However, examining event logs on multiple computers requires too much administrative effort, thus making auditing reactive, not proactive. You can greatly improve control over Application Whitelisting policies by configuring an automatic notification mailing when a particular event is written to the log.

Продолжить чтение этой записи

Реклама

Filed under Microsoft Windows: Security Tagged with , , ,

Взлом паролей, сохранённых в Group Policy Preferences.

Понедельник, 02 - Сентябрь - 2013 4 комментария

Много раз уже писалось, что задавать пароли через Group Policy Preferences небезопасно, так как они хоть и сохраняются в зашифрованном виде, но ключ шифрования всем известен. Интересно, что в Windows Server 2012 редактор групповых политик даже предупреждение выдаёт соответствующее:

GPP-Warning

Но так ли просто достать пароль из политик? Думаю, лучше один раз увидеть, чем сто раз услышать.

Продолжить чтение этой записи

Filed under Microsoft Windows: Безопасность Tagged with , , ,

Централизованный аудит событий SRP в домене

Среда, 03 - Июль - 2013 9 комментариев

Политики Software Restriction Policies и AppLocker играют важнейшую роль в защите компьютера от вирусов и нежелательных программ. Блокируя запуск неразрешённой программы, политика генерирует событие в журнале Application локального компьютера, что позволяет администратору контролировать состояние системы и по мере необходимости вносить изменения в параметры политики. Однако, отслеживать содержимое журналов одновременно на большом числе компьютеров — слишком сложная задача. Существенно упростить контроль можно, настроив автоматическую рассылку почтовых уведомлений при появлении в журнале интересующих нас событий.

Продолжить чтение этой записи

Filed under Microsoft Windows: Безопасность Tagged with , , , , ,

Если вы хотели Windows 8, то сейчас — самое время!

Четверг, 03 - Январь - 2013 3 комментария

Неоднократно слышал нытьё, что лицензионная Windows — слишком дорогое удовольствие. Так поспешите же воспользоваться предложением Microsoft, которое действует до конца 31 января 2013 года, прибретите обновление своей Windows до Windows 8 всего за 40 долларов!

Нееет, если вы думаете, что я подрядился рекламировать новые разработки Microsoft, то это не совсем так. В их предложении есть чисто технические фишки, которые я хочу вам показать:

Продолжить чтение этой записи

Filed under Microsoft Windows (Русская версия) Tagged with ,

HTB23108 — уязвимость, которой не было.

Среда, 21 - Ноябрь - 2012 2 комментария

Иногда среди сообщений о найденных «дырах» попадаются интересные экземпляры. Мне понравилась уязвимость, информацию о которой опубликовали High-Tech Bridge (оригинал ищите на https://www.htbridge.com/advisory/HTB23108). Вкратце разъясню идею:

1. Системная служба IKE and AuthIP IPsec Keying Modules, присутствующая в Windows Vista и выше, в момент запуска пытается загрузить библиотеку wlbsctrl.dll, которой обычно в системе нет.
2. Порядок, в котором осуществляется поиск библиотеки, включает в себя переменную окружения %PATH%. Эту переменную любят менять различного рода приложения!
3. По умолчанию, пользователи могут создавать папки в корне системного диска и писать в эти папки.

Продолжить чтение этой записи

Filed under Microsoft Windows: Безопасность Tagged with , , ,

Разбор ситуации: не работает Remote Desktop с Windows XP на Windows 7

Среда, 11 - Июль - 2012 5 комментариев

        Руководство одной из компаний попросило дать доступ к рабочему компьютеру приболевшему сотруднику, чтобы он мог работать с клиентами из дому. Так как в производственных целях используется одновременно несколько программ, вполне логичным и разумным методом доступа я избрал Remote Desktop. Включил поддержку RDP на рабочей станции, при этом не забыв указать обязательное требование Network Layer Authentication (NLA), на NAT-маршрутизаторе перенаправил на нужную рабочую станцию нестандартный порт, внёс учётную запись в группу Remote Desktop Users. В конце концов, сообщил сотруднику, что он может запустить программу Remote Desktop Connection и соединиться со своим рабочим компьютером по адресу вида MyCompany.LV:12345.

Продолжить чтение этой записи

Filed under Microsoft Windows: Безопасность Tagged with , ,

Group Policy Preferences practical usage experience (Latvian Language)

Вторник, 29 - Май - 2012 2 комментария

Izmantojot Active Directory Group Policy līdzekļus, daudz kas ir nokonfigurējams gan lietotāju vīdē, gan opērētājsistēmas iestadijumos. Uzziniet, kā Windows Server 2008 Group Policy Preferences palīdz mums dabūt no politikam vel vairāk!

 

Ieraksts no Powered by MVP Latvia, 2012 notikuma.

Filed under Microsoft Windows (Latviešu versija) Tagged with , ,

Powered by MVP 2012

Пятница, 30 - Март - 2012 Оставьте комментарий

В среду, 04-Апр-2012, в Риге состоится ежегодное мероприятие Microsoft: Powered by MVP. Эксперты со статусом Most Valuable Professional трёх прибалтийских республик представят продукты Microsoft, новейшие технологии и решения как для IT профессионалов, так и разработчиков программного обеспечения.

Это прекрасная возможность научиться новому от опытных специалистов, пообщаться в неформальной обстановке, а также выиграть призы. Место проведения мероприятия: Рига, кинотеатр Cinamon (торговый центр Alfa).

Регистрация ещё открыта: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032508970&Culture=LV-LV . Надеюсь, вам будет интересна и моя тема: «Применение Group Policy Preferences для настройки рабочей среды пользователя» (на латышском языке). Либо на следующий день, 05-Апр-2012, в Вильнюсе (на английском).

Filed under Events Tagged with ,

Эпидемия вируса LockDir — кто виноват? Что делать?

Вторник, 27 - Март - 2012 7 комментариев

В очередной раз Интернет разрывается в лоскуты криками о помощи:

«Вирус зашифровал файлы и добавил им расширение loh», «Вирус заблокировал почти все файлы на обоих дисках»,«Lockdir.exe Помогите разблокировать базы 1С« и так далее до бесконечности. Это очень хороший вирус, я его люблю изо всех сил. Он в очередной раз блестяще доказал, что антивирусные программы не в состоянии защитить от вирусов, эта война ими давно проиграна. Принося очевидный весомый ущерб, он также доказал, заклинания «мне вирусы не мешают», «у меня в компьютере ничего ценного нет» являются чистым самообманом. Особенно глупо выглядят мантры «у меня хороший антивирус, он всё ловит»:

Продолжить чтение этой записи

Filed under Microsoft Windows: Безопасность Tagged with , , , ,

Секреты Shadow Copies: как увеличить количество снимков

Пятница, 02 - Март - 2012 1 комментарий

Ключевые особенности механизма Shadow Copies делают их незаменимыми для файловых серверов. Но как часто нужно делать моментальные снимки (snapshots)? Обычно частота резервного копирования определяется несколькими параметрами, в том числе:

  • Какую нагрузку даёт процедура копирования на систему и как долго исполняется?
  • Как много данных мы  готовы потерять в случае сбоя?

Предположим, первый пункт нас не сильно беспокоит в случае Shadow Copies. А вот пункт второй нуждается в подсчётах. Предельный объём потерь при удалении или повреждении корневой папки файлового сервера может быть высчитан как простое произведение количества пользователей, работающих с ресурсом, на время работы. Например, работающие с файловым сервером 50 человек за 4 часа вкладывают в него 200 человеко-часов труда. Цена такого объёма трудозатрат может весьма варьироваться, но в любом случае малой не будет.

Продолжить чтение этой записи

Filed under Microsoft Windows: Трюки Tagged with , , ,

Предыдущие записи

Следующие записи