Na domácím počítači, na němž jsem postupně upgradoval Windows 2008 Server různými beta verzemi R2 až po finální R2, v kořenovém adresáři disku C: vidím adresáře $INPLACE.~TR a $WINDOWS.~Q. To samé na notebooku s Windows 7, kde jsem zase pro změnu upgradoval na RTM z různých bet a RC. Tyto adresáře lze po pár měsících od upgradu prohlásit definitivně za nepotřebné (neboť nějakou kravinu bude člověk potřebovat až teprve poté, co tyto adresáře smaže, přičemž je lhostejné, kdy k tomu dojde).
Zjistil jsem, že nejsnazším způsobem je spuštění nástroje Disk Cleanup, který jsem popravdě dosud nikdy nepoužil. Nachází se v Accessories, System Tools. Ale pozor, na Windows 2008 Serveru R2 pouze v případě, kdy je na něm nainstalována fíčura Desktop Experience. Tohle na produkčních serverech nikdy instalovat nebudu (s výjimkou Terminal serverů samozřejmě), nicméně doma na “W2008 super-workstation” to nainstalované mám. Více...
Před pár hodinami vydal Microsoft finální verzi balíku bezplatných aplikací Windows Live Essentials. Potěší, že dostupné jsou i verze v řadě jazyků, češtinu nevyjímaje. Z kompletního balíku používám zejména Windows Live Mail a vynikající Windows Live Writer, ve kterém už výhradně píšu všechny příspěvky na tento blog. Pro synchronizaci Oblíbených (Favorites) z IE na různých počítačích jsem používal Windows Live Sync, nyní změna, došlo ke sloučení s obdobným produktem Live Mesh. V beta verzi se to jmenovalo Windows Live Sync, v dnešní finální verzi je to pro změnu Windows Live Mesh. Asi aby se to nepletlo :) Tak a konec psaní, jde se stahovat.
A jelikož je již standardem, že webová instalace nějak zlobí, tak je vhodný odkaz na offline installeralespoň v anglické verzi. Více...
Doplnění 1.10.: Teprve před půlnocí z 30.9. na 1.10. Microsoft zveřejnil patche na Windows Update, resp. Microsoft Update, resp. WSUS. Ruční instalace byla pěkná pruda, protože bylo nutné stáhnout hotfixy pro všechny .NET Framework instalace, které se na konkrétním serveru nacházely. Nyní je to tedy daleko jednodušší.
Microsoft včera večer vydal hotfix pro závažnou ASP.NET zranitelnost. Security Bulletin MS10-070 je zde. Článek v MSKB 2418042 pak tady. Tento dokument pak popisuje bohužel též “Known issues”, takže doporučuji před instalací pročíst (a samozřejmě zálohovat). O problému podrobně informoval Scott Guthrie, jeho článek o vydání hotfixu je zde. Jeho článek obsahuje přímé odkazy na patch soubory pro jednotlivé OS a .NET FW verze (i když je doporučeno aktualizovat přes Microsoft Update/WSUS).
Týmy zodpovědné za Sharepoint i Exchange potvrdily “nezávadnost” tohoto patche. No uvidíme.
Po provedení patche je možné odstranit všechny obezličky, které se provizorně nasazovaly (úpravy ve web.config souborech, modul Michala Valáška, nasazení URLScan nebo IIS 7.5 Request Filtering).
Také máte zažito, že MSDN a Technet předplatné obsahují 10 klíčů k téměř každému produktu? Tak s tím je nyní konec. Microsoft potichu snížil počty u Technet Professional na 5 a u Technet Standard dokonce na 2 klíče. Důvodem je boj proti pirátům. Technet klíče prý byly zneužívány a šířeny s padělanými SW instalacemi.
U MSDN předplatného k žádné změně nedochází.
Jelikož je týden známá chyba pořád bez hotfixu, je pro všechny servery s libovolným ASP.NET vystaveným do Internetu velmi doporučeno aplikovat všechny dostupné obezličky, jak případný útok ztížit, zpomalit, detekovat.
Pravidelně sleduji novější informace a průběžně aktualizuji původní článek. Nově je do obrany před útokem začleněna instalace a konfigurace URLScan nebo Request Filtering feature v případě IIS 7.5.
Doplnění 29.9.2010 – včera večer vydal Microsoft mimořádný ASP.NET hotfix. Více info zde. Všechny níže uvedené postupy, jak se případnému útoku bránit, již nejsou potřeba. Pozor ale na známé problémy tohoto patche.
Doplnění 25.9.2010 – Scott Guthrie na svém blogu publikoval další informace, jak před vydáním hotfixu minimalizovat potenciální riziko. Tentokrát jde o instalaci a konfiguraci nástroje URLScan. Tato úprava probíhá na serverové úrovni (nikoliv po jednotlivých aplikacích) a je časově i technicky nenáročná. Pokud máte IIS 7.5, lze místo URLScan použít Request Filtering feature dle instrukcí uvedených ve Workarounds tohoto článku, případně dle tohoto minimalistického návodu – nainstaluj fíčuru a spusť:
appcmd set config /section:requestfiltering /+denyQueryStringSequences.[sequence='aspxerrorpath=']
Doplnění 21.9.2010 – Microsoft revidoval Security Advisory 2416728 s tím, že již mu jsou hlášeny ojedinělé aktivní útoky prostřednictvím níže popisované zranitelnosti. Před chvílí jsem byl upozorněn, že Michal Valášek napsal modul do IIS 7.x, který zjednodušuje současnou dostupnou obranu proti případnému útoku. Bližší info zde – Modul pro jednoduchý workaround bezpečnostní chyby v ASP.NET.
V noci z pátku na sobotu byl na nějaké bezpečnostní konferenci demonstrován kód, který umožňuje dekryptovat data zaslaná ze serverové ASP.NET stránky na klienta (třeba ViewState data). To je sice hloupé, ale týkalo by se to vždy pouze jednoho konkrétního uživatele. Objevená chyba však umožňuje daleko horší věc – stáhnout ze serveru libovolné soubory, k nimž má identita aplikačního poolu, v němž daný web běží, právo přístupu. A to už je blbé, hodně blbé. Útočník si tak může stáhnout třeba soubor web.config, v němž jsou často uloženy connection strings do databází včetně jmen, hesel, definice používaných webových služeb se jmény a hesly, definice IP restrikcí, definice omezení přístupů do částí webu jen pro konkrétní uživatele nebo jejich skupiny – tohle jsou informace, které rozhodně nejsou určené nikomu nepovolanému. Více...
Téma se týká obecně jakýchkoliv skriptů. Microsoft tak nějak opouští čistě synchronní GUI prostředí (předpokládám, že z důvodu rychlosti a snadnosti programování), takže se může snadno stát, že to, co je zobrazeno, není až tak docela pravda. Spustil jsem Powershell skript jako načasovanou úlohu, jejím cílem mělo být zpracování něčeho a doručení výsledků e-mailem. E-mail došel, nicméně v Task Scheduleru pořád koukám na Result 0x41301. Více...
Windows 7, potažmo Windows Server 2008, obsahují hromadu zkratek usnadňujících život. Má to jediný problém – kdo si je má pamatovat? 
Práce s klávesou WIN
WIN+UP: maximalizace aktivního okna
WIN+DOWN: obnovení či minimalizace aktivního okna
WIN+LEFT: přichycení vlevo aktivního okna
WIN+RIGHT: přichycení vpravo aktivního okna
WIN+HOME: obnovení nebo maximalizace všech ostatních oken
WIN+T: opakovaným stisknutím se vybírají položky hlavního menu
WIN+mezerník: náhled plochy, WIN klávesa se musí držet
WIN+G: přenesení miniaplikace do popředí (pokud jsou povoleny a spuštěny)
WIN+1 až 9: spuštění programu v hlavním menu
WIN+num. +: přiblížení (aktivace lupy), nepoužívat bez numerické klávesnice
WIN+num. –: oddálení (deaktivace lupy), nepoužívat bez numerické klávesnice
Zkratky pro hlavní panel
SHIFT+kliknutí na ikonu: spuštění programu, alternativa k dvoj-kliku, to samé provede i kliknutí prostředním tlačítkem nebo rolovacím tlačítkem myši
SHIFT+kliknutí pravým tlačítkem na ikonu: zobrazení plovoucího menu s rozšiřujícími možnostmi
Přetažení myší s levým stisknutým tlačítkem z ikony pryč: otevření seznamu odkazů (pokud je daný program podporuje), alternativa ke kliknutí pravým tlačítkem na ikoně
A ještě jeden trik pro rychlé spuštění programu, třeba cmd.exe, jako admina
WIN, napsat “cmd”, stisknout CTRL+SHIFT+ENTER
Nejdříve jsem používal DAEMON Tools Lite, tento produkt však měl problém s příchodem W7 a já jsem měl problém s jeho licenčními podmínkami. Proto jsem přešel na Slysoft (Elaborate Bytes) Virtual CloneDrive a ten jsem pro své občasné potřeby namapování ISO obrazu používal až do dneška. Kolega mi připravil .ngr soubor jednoho instalačního DVD a tak jsem přišel na to, že Virtual CloneDrive Nero formát nerad. Co s tím? Vyměnit soft pro virtuální jednotku. Více...
Tohle je blbá chyba. Po instalaci interní certifikační autority, která nevyužívá OCSP (Online Certificate Status Protocol), ale spoléhá na starší CRL a delta CRL (Certificate Revocation List), se dříve či později objeví záludné chyby v SSTP, RDP a možná I další komunikaci, která spoléhá na certifikáty. Problém je ve standardní hodnotě DeltaCRL Location, kterou si při instalaci CA vytvoří, a která je v konfliktu s nastavením IIS 7. IIS totiž nedovolí zobrazit soubor, jenž má v názvu +. Chybové hlášky pak mohou vypadat následovně: Více...