Jelikož je týden známá chyba pořád bez hotfixu, je pro všechny servery s libovolným ASP.NET vystaveným do Internetu velmi doporučeno aplikovat všechny dostupné obezličky, jak případný útok ztížit, zpomalit, detekovat.
Pravidelně sleduji novější informace a průběžně aktualizuji původní článek. Nově je do obrany před útokem začleněna instalace a konfigurace URLScan nebo Request Filtering feature v případě IIS 7.5.
Tohle je novinka v Exchange 2010 SP1 a Exchange 2007 SP3. Pokud se na Exchange serveru přidá jeden klíč do registrů, změní se chování OWA a uživatel, jemuž již expirovalo heslo, nebude odmítnut, ale bude donucen si své heslo ihned změnit.
HKLM\SYSTEM\CurrentControlSet\Services\MSExchange OWA, vytvořit DWORD ChangeExpiredPasswordEnabled a naplnit hodnotou 1.
Poté IISRESET a hotovo.
owa_change_expired_pwd.reg (396,00 bytes)
Může nastat situace, kdy vám zůstane parent VHD soubor a diferenciální AVHD soubor, třeba při vytváření testovacích a vývojových prostředí odvozených od produkčního. V jiném článku jsem popisoval, kdy dojde k automatickému sloučení AVHD a VHD souboru. To ale platí v případě, kdy je virtuální server funkční. Jak ale postupovat, když mám jen tyto dva soubory a chci na úplně jiném stroji rozjet kopii virtuálního stroje? Více...
Musím se přiznat, že nesnážím slovo Cloud. Nová móda, melou o tom všichni a přiohýbají tomu naprosto vše. Přepisují se kvůli němu knížky, obsah zůstává stejný, jen slovo Cloud je tam nově…
Dnes mne rozesmál článek zmiňující, že hybridní cloudy znamenají plný úvazek pro integrační specialisty. Objevila se tam definice JBOCS architecture – cože to je? Just a Bunch Of Cloud Services 
Že je ovšem cloud v kurzu a Microsoft má třeba z Google panickou hrůzu, dokládá jen tak mimochodem tento článek, který se primárně zaměřuje na něco jiného. Určitě však stojí za přečtení!
Snapshoty (snímky) jsou sice mocná, ale nebezpečná výbava. Mocná v tom, že během chviličky je možn�� sejmout aktuální stav celé rodiny virtuálních serverů určité služby. Např. v případě aplikace “nebezpečného” patche, nevyzpytatelného service packu, nasazení “zvláštně se chovající” aplikace od dodavatele atd. Nebezpečná proto, že v určitých případech dokáže snímkování zatraceně rychle vyčerpat celý dostupný prostor vyhrazený pro virtuální servery. A nebezpečná výbava je to také pro to, že zbavit se AVHD souboru nelze bez výpadku běhu virtuálního serveru. Více...
Doplnění 29.9.2010 – včera večer vydal Microsoft mimořádný ASP.NET hotfix. Více info zde. Všechny níže uvedené postupy, jak se případnému útoku bránit, již nejsou potřeba. Pozor ale na známé problémy tohoto patche.
Doplnění 25.9.2010 – Scott Guthrie na svém blogu publikoval další informace, jak před vydáním hotfixu minimalizovat potenciální riziko. Tentokrát jde o instalaci a konfiguraci nástroje URLScan. Tato úprava probíhá na serverové úrovni (nikoliv po jednotlivých aplikacích) a je časově i technicky nenáročná. Pokud máte IIS 7.5, lze místo URLScan použít Request Filtering feature dle instrukcí uvedených ve Workarounds tohoto článku, případně dle tohoto minimalistického návodu – nainstaluj fíčuru a spusť:
appcmd set config /section:requestfiltering /+denyQueryStringSequences.[sequence='aspxerrorpath=']
Doplnění 21.9.2010 – Microsoft revidoval Security Advisory 2416728 s tím, že již mu jsou hlášeny ojedinělé aktivní útoky prostřednictvím níže popisované zranitelnosti. Před chvílí jsem byl upozorněn, že Michal Valášek napsal modul do IIS 7.x, který zjednodušuje současnou dostupnou obranu proti případnému útoku. Bližší info zde – Modul pro jednoduchý workaround bezpečnostní chyby v ASP.NET.
V noci z pátku na sobotu byl na nějaké bezpečnostní konferenci demonstrován kód, který umožňuje dekryptovat data zaslaná ze serverové ASP.NET stránky na klienta (třeba ViewState data). To je sice hloupé, ale týkalo by se to vždy pouze jednoho konkrétního uživatele. Objevená chyba však umožňuje daleko horší věc – stáhnout ze serveru libovolné soubory, k nimž má identita aplikačního poolu, v němž daný web běží, právo přístupu. A to už je blbé, hodně blbé. Útočník si tak může stáhnout třeba soubor web.config, v němž jsou často uloženy connection strings do databází včetně jmen, hesel, definice používaných webových služeb se jmény a hesly, definice IP restrikcí, definice omezení přístupů do částí webu jen pro konkrétní uživatele nebo jejich skupiny – tohle jsou informace, které rozhodně nejsou určené nikomu nepovolanému. Více...
Téma se týká obecně jakýchkoliv skriptů. Microsoft tak nějak opouští čistě synchronní GUI prostředí (předpokládám, že z důvodu rychlosti a snadnosti programování), takže se může snadno stát, že to, co je zobrazeno, není až tak docela pravda. Spustil jsem Powershell skript jako načasovanou úlohu, jejím cílem mělo být zpracování něčeho a doručení výsledků e-mailem. E-mail došel, nicméně v Task Scheduleru pořád koukám na Result 0x41301. Více...
Windows 7, potažmo Windows Server 2008, obsahují hromadu zkratek usnadňujících život. Má to jediný problém – kdo si je má pamatovat? 
Práce s klávesou WIN
WIN+UP: maximalizace aktivního okna
WIN+DOWN: obnovení či minimalizace aktivního okna
WIN+LEFT: přichycení vlevo aktivního okna
WIN+RIGHT: přichycení vpravo aktivního okna
WIN+HOME: obnovení nebo maximalizace všech ostatních oken
WIN+T: opakovaným stisknutím se vybírají položky hlavního menu
WIN+mezerník: náhled plochy, WIN klávesa se musí držet
WIN+G: přenesení miniaplikace do popředí (pokud jsou povoleny a spuštěny)
WIN+1 až 9: spuštění programu v hlavním menu
WIN+num. +: přiblížení (aktivace lupy), nepoužívat bez numerické klávesnice
WIN+num. –: oddálení (deaktivace lupy), nepoužívat bez numerické klávesnice
Zkratky pro hlavní panel
SHIFT+kliknutí na ikonu: spuštění programu, alternativa k dvoj-kliku, to samé provede i kliknutí prostředním tlačítkem nebo rolovacím tlačítkem myši
SHIFT+kliknutí pravým tlačítkem na ikonu: zobrazení plovoucího menu s rozšiřujícími možnostmi
Přetažení myší s levým stisknutým tlačítkem z ikony pryč: otevření seznamu odkazů (pokud je daný program podporuje), alternativa ke kliknutí pravým tlačítkem na ikoně
A ještě jeden trik pro rychlé spuštění programu, třeba cmd.exe, jako admina
WIN, napsat “cmd”, stisknout CTRL+SHIFT+ENTER
Pro domácnosti a studenty je k dispozici speciální edice MS Office, která stojí rozumný peníz a zahrnuje instalaci až na 3 počítače. Zahrnuje Word, Excel, PowerPoint a OneNote. Nezahrnuje spíše podnikový Publisher a také databázi Access, kterou v domácnosti používá málokdo. Nezahrnuje ovšem ani Outlook – ten však lze v poslední době pro IMAP/POP účty nahradit docela povedeným Windows Live Mail. A pokud by domácnost trvala na použití Outlooku, lze jej legálně obdržet třeba jako součást služeb hostované Exchange.Více...
V RSS čtečce jsem si všiml článku Martina Pavlise, že byl uvolněn ostrý SP1 pro Exchange 2010. Konečně se budu moci zbavit všech Exchange serverů dedikovaných pouze pro exporty/importy do/z PST souborů. Také jsem zvědav, zdali bude možné opustit RBAC editor, který mi taktéž k srdci příliš nepřirostl. A ačkoliv Microsoft už řadu let potlačuje veřejné složky, tak ejhle, najednou se vrací možnost z EMC nastavovat práva uživatelů na veřejné složky. Jak je v poslední době u MS produktů pravidlem, teprve SP1 činí daný produkt připraveným pro normální používání (bez nutnosti nasazovat šílené obezličky). Tak hurá. Více...