Před pár hodinami vydal Microsoft finální verzi balíku bezplatných aplikací Windows Live Essentials. Potěší, že dostupné jsou i verze v řadě jazyků, češtinu nevyjímaje. Z kompletního balíku používám zejména Windows Live Mail a vynikající Windows Live Writer, ve kterém už výhradně píšu všechny příspěvky na tento blog. Pro synchronizaci Oblíbených (Favorites) z IE na různých počítačích jsem používal Windows Live Sync, nyní změna, došlo ke sloučení s obdobným produktem Live Mesh. V beta verzi se to jmenovalo Windows Live Sync, v dnešní finální verzi je to pro změnu Windows Live Mesh. Asi aby se to nepletlo :) Tak a konec psaní, jde se stahovat.
A jelikož je již standardem, že webová instalace nějak zlobí, tak je vhodný odkaz na offline installeralespoň v anglické verzi. Více...
Pokud je nezbytně nutné mít na AD serveru souborový antivirus, tak je zapotřebí:
- na x64 systému používat x64 antivirus
- definovat bezpodmínečně výjimky, na které nesmí antivirus sahat. Jelikož nastavování per file nebo dle koncovek je pruda, je nejmenším zlem nastavit adresářové výjimky:
c:\windows\NTDS\
c:\windows\SYSVOL\sysvol\
c:\windows\system32\Dns\
Doplnění 1.10.: Teprve před půlnocí z 30.9. na 1.10. Microsoft zveřejnil patche na Windows Update, resp. Microsoft Update, resp. WSUS. Ruční instalace byla pěkná pruda, protože bylo nutné stáhnout hotfixy pro všechny .NET Framework instalace, které se na konkrétním serveru nacházely. Nyní je to tedy daleko jednodušší.
Microsoft včera večer vydal hotfix pro závažnou ASP.NET zranitelnost. Security Bulletin MS10-070 je zde. Článek v MSKB 2418042 pak tady. Tento dokument pak popisuje bohužel též “Known issues”, takže doporučuji před instalací pročíst (a samozřejmě zálohovat). O problému podrobně informoval Scott Guthrie, jeho článek o vydání hotfixu je zde. Jeho článek obsahuje přímé odkazy na patch soubory pro jednotlivé OS a .NET FW verze (i když je doporučeno aktualizovat přes Microsoft Update/WSUS).
Týmy zodpovědné za Sharepoint i Exchange potvrdily “nezávadnost” tohoto patche. No uvidíme.
Po provedení patche je možné odstranit všechny obezličky, které se provizorně nasazovaly (úpravy ve web.config souborech, modul Michala Valáška, nasazení URLScan nebo IIS 7.5 Request Filtering).
Také máte zažito, že MSDN a Technet předplatné obsahují 10 klíčů k téměř každému produktu? Tak s tím je nyní konec. Microsoft potichu snížil počty u Technet Professional na 5 a u Technet Standard dokonce na 2 klíče. Důvodem je boj proti pirátům. Technet klíče prý byly zneužívány a šířeny s padělanými SW instalacemi.
U MSDN předplatného k žádné změně nedochází.
Jelikož je týden známá chyba pořád bez hotfixu, je pro všechny servery s libovolným ASP.NET vystaveným do Internetu velmi doporučeno aplikovat všechny dostupné obezličky, jak případný útok ztížit, zpomalit, detekovat.
Pravidelně sleduji novější informace a průběžně aktualizuji původní článek. Nově je do obrany před útokem začleněna instalace a konfigurace URLScan nebo Request Filtering feature v případě IIS 7.5.
Tohle je novinka v Exchange 2010 SP1 a Exchange 2007 SP3. Pokud se na Exchange serveru přidá jeden klíč do registrů, změní se chování OWA a uživatel, jemuž již expirovalo heslo, nebude odmítnut, ale bude donucen si své heslo ihned změnit.
HKLM\SYSTEM\CurrentControlSet\Services\MSExchange OWA, vytvořit DWORD ChangeExpiredPasswordEnabled a naplnit hodnotou 1.
Poté IISRESET a hotovo.
owa_change_expired_pwd.reg (396,00 bytes)
Může nastat situace, kdy vám zůstane parent VHD soubor a diferenciální AVHD soubor, třeba při vytváření testovacích a vývojových prostředí odvozených od produkčního. V jiném článku jsem popisoval, kdy dojde k automatickému sloučení AVHD a VHD souboru. To ale platí v případě, kdy je virtuální server funkční. Jak ale postupovat, když mám jen tyto dva soubory a chci na úplně jiném stroji rozjet kopii virtuálního stroje? Více...
Musím se přiznat, že nesnážím slovo Cloud. Nová móda, melou o tom všichni a přiohýbají tomu naprosto vše. Přepisují se kvůli němu knížky, obsah zůstává stejný, jen slovo Cloud je tam nově…
Dnes mne rozesmál článek zmiňující, že hybridní cloudy znamenají plný úvazek pro integrační specialisty. Objevila se tam definice JBOCS architecture – cože to je? Just a Bunch Of Cloud Services 
Že je ovšem cloud v kurzu a Microsoft má třeba z Google panickou hrůzu, dokládá jen tak mimochodem tento článek, který se primárně zaměřuje na něco jiného. Určitě však stojí za přečtení!
Snapshoty (snímky) jsou sice mocná, ale nebezpečná výbava. Mocná v tom, že během chviličky je možné sejmout aktuální stav celé rodiny virtuálních serverů určité služby. Např. v případě aplikace “nebezpečného” patche, nevyzpytatelného service packu, nasazení “zvláštně se chovající” aplikace od dodavatele atd. Nebezpečná proto, že v určitých případech dokáže snímkování zatraceně rychle vyčerpat celý dostupný prostor vyhrazený pro virtuální servery. A nebezpečná výbava je to také pro to, že zbavit se AVHD souboru nelze bez výpadku běhu virtuálního serveru. Více...
Doplnění 29.9.2010 – včera večer vydal Microsoft mimořádný ASP.NET hotfix. Více info zde. Všechny níže uvedené postupy, jak se případnému útoku bránit, již nejsou potřeba. Pozor ale na známé problémy tohoto patche.
Doplnění 25.9.2010 – Scott Guthrie na svém blogu publikoval další informace, jak před vydáním hotfixu minimalizovat potenciální riziko. Tentokrát jde o instalaci a konfiguraci nástroje URLScan. Tato úprava probíhá na serverové úrovni (nikoliv po jednotlivých aplikacích) a je časově i technicky nenáročná. Pokud máte IIS 7.5, lze místo URLScan použít Request Filtering feature dle instrukcí uvedených ve Workarounds tohoto článku, případně dle tohoto minimalistického návodu – nainstaluj fíčuru a spusť:
appcmd set config /section:requestfiltering /+denyQueryStringSequences.[sequence='aspxerrorpath=']
Doplnění 21.9.2010 – Microsoft revidoval Security Advisory 2416728 s tím, že již mu jsou hlášeny ojedinělé aktivní útoky prostřednictvím níže popisované zranitelnosti. Před chvílí jsem byl upozorněn, že Michal Valášek napsal modul do IIS 7.x, který zjednodušuje současnou dostupnou obranu proti případnému útoku. Bližší info zde – Modul pro jednoduchý workaround bezpečnostní chyby v ASP.NET.
V noci z pátku na sobotu byl na nějaké bezpečnostní konferenci demonstrován kód, který umožňuje dekryptovat data zaslaná ze serverové ASP.NET stránky na klienta (třeba ViewState data). To je sice hloupé, ale týkalo by se to vždy pouze jednoho konkrétního uživatele. Objevená chyba však umožňuje daleko horší věc – stáhnout ze serveru libovolné soubory, k nimž má identita aplikačního poolu, v němž daný web běží, právo přístupu. A to už je blbé, hodně blbé. Útočník si tak může stáhnout třeba soubor web.config, v němž jsou často uloženy connection strings do databází včetně jmen, hesel, definice používaných webových služeb se jmény a hesly, definice IP restrikcí, definice omezení přístupů do částí webu jen pro konkrétní uživatele nebo jejich skupiny – tohle jsou informace, které rozhodně nejsou určené nikomu nepovolanému. Více...