View Łukasz Herman's LinkedIn profileView my profile

statystyki www stat.pl

sobota, 29 lipca 2006

Każdy system musi być dzisiaj bezpieczny. Musi być również rozszerzalny i niezawodny. W myśl idei Trustworthy Computing powstaje dzisiaj wiele aplikacji, programów, czy usług. Czy Vista będzie systemem bezpiecznym?

Dużo osób już pewnie wie, że w Viście zostaną zaimplementowane takie technologie jak:

  1. Windows Defender
  2. Nowy firewall, który będzie rownież nadzorował ruch wychodzący
  3. Windows BitLocker™ Drive Encryption
  4. Network Access Protection
  5. User Account Control
  6. Microsoft Internet Explorer® 7 (który notabene będzie super bezpieczny)

Ale STOP. Dość tej papki marketingowej. Tak naprawdę to te elementy wcale nie powinny być najważniejsze. Nie one sprawiają, że Vista ma być systemem, który będzie wybierany jako platforma oferująca odpowiedni poziom bezpieczeństwa dla sieci, organizacji, a przede wszystkim dla użytkowników.

Oczywiście te wymienione elementy mają wpływ na bezpieczeństwo, ale chcę również zwrócić uwagę, że bezpieczeństwo to nie tylko dodanie kilku nowych funkcji!

System nie może tylko i wyłącznie zabezpieczać użytkownika przed dzisiaj znanymi zagrożeniami. Technika wciąż idzie naprzód, i to w zastraszającym tempie. Dlatego patrząc na system powinniśmy w nim widzieć również rozwiązania zaimplementowane "pod maską". To one są tak naprawdę ważne!

Security Development Lifecycle - jest to proces mający pomóc grupom inżynierów w Microsofcie tworzenie bardziej bezpiecznych produktów. Ten rygorystyczny proces bezpiecznego projektowania, kodowania, testowania i przeglądu oprogramowania ma zapewnić zmniejszenie powierzchni ryzyka na ataki. Został on wdrożony w 2003 r. Vista będzie pierwszym systemem, który od początku do końca utworzony zostanie zgodnie z tymi wytycznymi.

Ponad 1400 modeli wątków mających zapewnić identyfikację zagrożenia wymagającego uśmierzenia zostało zaimplementowanych w Viście.

No eXecute (NX). Jednym ze sposobów na wykonanie własnego kodu, wykorzystywany przez szkodliwe oprogramowanie, jest przepełnienie bufora. Poprzez umieszczenie kodu w obszarze pamięci przeznaczonej do przechowywania danych przez aplikację, szkodliwe oprogramowanie może wykonać swój własny kod (tą drogą mogą się również instalować rootkity).

Aby zmniejszyć wpływ podatności aplikacji na to zagrożenie, najlepszym wyjściem jest wykorzystanie technologii NX na poziomie sprzętowym (wiele procesorów dostępnych dzisiaj posiada zaimplementowane rożne formy NX). Technologia ta polega na oznaczani przestrzeni pamięci jako No Execute, zabezpieczając ssytem przed wykonaniem kodu zawartego w tym bloku pamięci. Microsoft zapewnił wsparcie dla tych technologii już w SP2 dla Windows XP, poprzez Data Execution Prevention. W systemach 32-bitowych standardowo poprzez NX chroniony jest tylko system operacyjny. W Viście pole wykorzystania zwiększa się znacząco, ponieważ programiści otrzymują możliwość wykorzystania sprzętowej ochrony NX we własnym oprogramowaniu niezależnie od narzucanej ochrony systemu, zmniejszającym tym samym powierzchnię podatną na atak.

Address Space Layout Randomization (ASLR). Jest to kolejna zdolność obrony systemu mającym utrudnić szkodliwemu oprogramowaniu exploitowanie funkcji systemu. Jak to działa? Jest to w miarę prosty mechanizm. Podczas uruchamiania systemu, ASLR przypisuje plikom DLL i EXE losowo wybrane (jedno z 256) miejsce w pamięci, przez co trudniej jest exploitowi namierzyć miejsce w pamięci podatne na atak. (Address Space Layout Randomization in Windows Vista) Dotychczas wszystkie elementy systemu zajmowały stałe miejsce w pamięci!

Zaktualizowany został również system szyfrowania plików - Encrypting File System (EFS). Przede wszystkim zostanie umożliwione przechowywanie kluczy na karcie inteligentnej (smart card). Jeżeli karta taka jest również wykorzystywane do logowania, EFS pracuje w trybie Single Sign On, w którym użytkownik nie musi wprowadzać numeru PIN aby dostać się do swoich zaszyfrowanych plików. Za pomocą GPO będzie również możliwość szyfrowania pliku stronicowania. Będzie również dostępna możliwość szyfrowania Client Side Cache, który przechowuje offlinowe kopie plików z serwerów zdalnych. Przez GPO będzie również można wymusić szyfrowanie folderu Documents użytkownika. Niestety EFS dostępny będzie tylko w wersjach Windows Vista Business, Enterprise i Ultimate, oraz w Windows Server "Longhorn".

Już wcześniej pisałem o zmianach w modelu usług w Viście: Usługi systemowe w Longhornie. Jednak to nie wszystkie zmiany, jakie zostaną zaimplementowane w systemie.

Wprowadzone zostanie również koncepcja "restricted services", dzięki czemu większość uruchomianych usług będzie działać z jak najmniejszymi uprawnieniami, uniemożliwiając uszkodzenie systemu użytkownika przez skompromitowane, bądź źle działające usługi. Nowy firewall będzie blisko powiązany z platformą Windows Service Hardening, która umożliwia wprowadzenie restrykcji ruchu wychodzącego, przychodzącego i protokołów dla operacji sieciowych. W dodatku poszczególne usługi będą mogły być niezależnie identyfikowane, umożliwiając tworzenie list ACL per-service. W ten sposób będzie możliwe umożliwianie usłudze zapisywanie danych tylko w określonym miejscu na dysku, rejestrze, lub innym zasobie systemowym. Mechanizm ten ma zabezpieczyć przed zmienianiem ważnych ustawień konfiguracyjnych przez skompromitowane usługi. Standardowe usługi Visty będą pogrupowane w profilach usług, definiujących poziom przywilejów w systemie, reguł dostępu do zasobów systemu, oraz numery portów ruchu przychodzącego i wychodzącego z jakich będą mogły korzystać.

21:48, hermanluk , Security
Link Komentarze (5) »
czwartek, 27 lipca 2006

W maju pisałem o całej serii webcastów mających znacząco ułatwić pierwszy kontakt z ASP .NET - języka programowania dynamicznych stron internetowych, webservice'ów. Początki są zawsze najtrudniejsze. Seria "How do I" ma przybliżyć zainteresowanym podstawowe możliwości środowiska.

Idąc jednak z duchem czasu, należy również spojrzeć na inne, dużo ciekawsze, możliwości wynikające z korzystania z ASP .NET (chociaż nie tylko ASP .NET). Atlas jest to funkcja zdobywająca coraz większa popularność.

W marcu Microsoft udostępnił ASP.NET 'Atlas' March 2006 CTP na licencji Go-live, dzięki czemu można już ją wykorzystać, nie tylko w testach, ale również w prawdziwym środowisku (za darmo). Oczywiście na własną odpowiedzialność - nie jest to jeszcze wersja finalna.

Niedawno pojawiły się dwa nowe odcinki serii "How do I":

  • Get Started with “Atlas”?
  • Get Started with the “Atlas” Control Toolkit?

Przy okazji polecam również wszystkim, poza serią "How do I", przejrzeć również inne pliki multimedialne poświęcone ASP .NET dostępna na portalu ASP .NET.

Aktualnie dostępna jest czerwcowa wersja CTP ASP.NET “Atlas” dostępna pod adresem http://www.microsoft.com/downloads/details.aspx?FamilyID=81bf1390-7894-4ff7-b591-1006bd770bc0&DisplayLang=en

sobota, 22 lipca 2006

Internet Explorer Administration Kit 7 jest to pakiet umożliwiający dostosowanie ustawień programu Internet Explorer w wersji 7 dla użytkowników. Dzięki temu można przygotować gotową paczkę z IE 7, wraz ze wszystkimi ustawieniami.

Podobną funkcjonalność oferuje już Firefox, który postanowił w maju udostępnić Client Customization Kit, pozwalający na modyfikację zachowania i wyglądu wielu elementów programu.

Poprzez IEAK możliwe jest ustawienie między innymi strony głównej przeglądarki, oraz feedów użytkownika.

Oba rozwiązania umożliwiają przygotowaną przeglądarkę łatwo zainstalować na przykład na wszystkich komputerach w firmie, wraz ze wszystkimi ustawieniami jakie tylko zdecydujemy się zmodyfikować.

http://www.microsoft.com/technet/prodtechnol/ie/ieak7/default.mspx

Więcej informacji: IEBlog: IEAK 7 Beta 3 is now available

piątek, 21 lipca 2006

O tym, czym są usługi w systemie Windows już pisałem wcześniej. Jest to moim zdanie najlepsze rozwiązanie zaimplementowane w systemie. W dodatku usługi często są wręcz niewidoczne dla użytkownika. Jest to plusem z powodu jednej prostej rzeczy: użytkownicy nie grzebią tam, gdzie najczęściej nie ma ładnego GUI, a gdzie jest wiersz poleceń, WMI, itd.

Microsoft postanowił nie robić, na pozór, dużych zmian w modelu usług. W zasadzie to na razie wiadomo o trzech rzeczach, które zostaną wprowadzone. Chociaż tylko dwie z nich będą miały jako tako przełożenie na funkcjonalność. Oczywiście usługi w systemie Windows Vista i Windows Server "Longhorn" będą funkcjonować w ten sam sposób.

Zacznę może od końca. Tą najmniej według mnie ważną zmianą jest usprawnienie zarządzania usługami poprzez nowe API odpowiedzialne za informowanie o zmianie stanu usług. Na razie niewiele więcej wiadomo na ten temat. Wiadomo jednak, że ma to umożliwić również akcje odzyskiwania, oraz łatwiejszą kontrolę nad usługami.

Drugą zmianą, która zostanie wprowadzona w modelu usług jest nowy typ uruchamiania. Po co on? Ludzie odpowiedzialni w Microsofcie za marketing ciągle krzyczą, że system będzie stabilniejszy ("nie będzie się zawieszać"), oraz że będzie szybszy. No ale cóż ci programiści mogą wymyślić, aby przyspieszyć taki parowóz zbędnych funkcji? Ano wymyślili coś całkiem interesującego - opóźniony start (Delayed start). Nowy typ uruchomienia jest w pewnym stopniu antidotum na długie uruchamianie się systemu. Jakiś czas temu obiła mi się o uszy aplikacja, która ma prawdopodobnie podobną funkcjonalność - opóźnia uruchamianie aplikacji przy starci systemu. Zanim się uruchomią te wszystkie programy typu gg, tleny, nietoperze, etc, to użytkownik się niecierpliwi ponieważ chce już korzystać z systemu, a nie czekać na ładowania aplikacji. Rozwiązaniem w Viście będzie właśnie opóźnianie startu usług, które nie wymagają uruchomienia we wczesnych fazach rozruchu. Jest to bardzo dobre rozwiązanie.

Ostatnia znana mi zmiana, jaka ma nastąpić w usługach, będzie z zakresu bezpieczeństwa. W myśl zasady, że system jest bezpieczny tak, jak najsłabszy jego element, każdy element musi być na bieżąco uaktualniany również w kontekście bezpieczeństwa.

W Viście i Longhornie usługi będą oddzielone od procesów/aplikacji użytkownika. Jest to największa zmiana z tych, które zajdą. Będzie również chyba najbardziej kłopotliwa dla programistów wykorzystujących swoje umiejętności przy pisaniu usług. Zmiany będą obejmować sesje w jakich będą uruchamiane sterowniki, usługi i aplikacje użytkowników.

Dotychczas w systemie Windows XP użytkownik loguje się na sesję 0. Jeżeli wykorzystuje on Fast User Switching, to kolejni użytkownicy logują się na sesje 1, 2, 3... W Windows Server 2003 sesja 0 jest sesją konsoli. Dodatkowo dostępne są dwie sesja zdalne do administracji. Łącznie 3 sesje, z których można korzystać. Ze względu na to ograniczenie właśnie nie ma tu funkcji FUS.

W Viście i Longhornie dużo się zmieni na polu sesji. Sesja 0 to już nie będzie sesja konsolowa. Odtąd w tej sesji będą się uruchamiały sterowniki i usługi, oraz procesy systemowe. Aplikacje użytkowników będą otwierane w sesjach konkretnego użytkownika (nie w sesji 0). Użytkownicy będą logowali się kolejno od sesji z numerem 1.

W XP proces mógł kontrolować wszystkie swoje podrzędne (child) procesy. Jeżeli zaś proces był uruchomiony przez użytkownika (oczywiście z uprawnieniami administracyjnymi), proces ten miał o dużo za dużą kontrolę nad systemem! Zmiany idą w kierunku uniemożliwienia aplikacjom użytkownika na ingerencję głęboko w system. Każda sesja będzie od siebie odseparowana (ale będzie oczywiście możliwość komunikacji pomiędzy sesjami).

W drugiej becie nowego systemu znajduje się również nowa usługa: Interactive Service Detection Service. Ze względu na ograniczenia w sesji 0, gdzie nie będzie dostępu do sterownika grafiki, można napotkać problem gdy usługa (uruchomiona w sesji 0) będzie chciała wyświetlić okienko z wiadomością wymagające ingerencji użytkownika. Nie będzie ono wtedy widoczne dla użytkownika, ponieważ będzie on zalogowany w innej sesji. Więc aplikacja usługi przestaje wtedy prawidłowo funkcjonować, oczekując na akcje użytkownika. Usługa Interactive Service Detection Service gdy wykryje uruchomienie elementu UI w sesji 0, które nie będzie oknem wiersza poleceń, poinformuje użytkownika poprzez okienko dialogowe, oraz umożliwi przełączenie do sesji 0, aby użytkownik mógł wykonać wymaganą przez usługę akcję.

Ale jest to tylko rozwiązanie tymczasowe, umożliwiające przystosowanie usług do nowego systemu przez programistów! W przyszłości już nie będzie tej usługi, a co za tym idzie funkcjonalności uruchamiania usług, które nie do końca są przystosowane do nowego systemu.

wtorek, 18 lipca 2006

W zasobach Windows Server 2003 Resource Kit Tools często można znaleźć bardzo ciekawe narzędzia. Właśnie jednym z nich jest program permcopy.exe, dzięki któremu możemy przekopiować uprawnienia dla udziałów (ACL) do nowej lokalizacji/udziału.

Jeżeli mamy do migracji kilka sharów, lub więcej, to nierealne staje się ponowne ręczne nadawanie wszystkich uprawnień od początku. Aby zachować uprawnienia NTFS, możemy posłużyć się backupem (Jak zachować uprawnienia przy przenoszeniu danych pomiędzy serwerami?). Po przywróceniu danych w nowe miejsce, wystarczy jedna komenda i uprawnienia do udziałów zostaną przekopiowane.

Również jeżeli mamy kilka udziałów udostępnionych, gdzie każdy musi mieć tak samo (lub bardzo podobnie) ustawione uprawnienia, to możemy łatwo oskryptować kopiowanie uprawnień ze wzorca na inne udziały.

Użycie tego polecenia jest bardzo proste i mieści się w jednej linijce:

PERMCOPY \\SourceServer ShareName \\DestinationServer ShareName

poniedziałek, 17 lipca 2006

Konferencja Microsoft Technology Summit 2006, która odbędzie się w samym centrum stolicy Polski, ściągnie do siebie bardzo wielu specjalistów z kraju i ze świata. Będziemy mogli posłuchać między innymi Rafała Łukawieckiego, oraz Freda Baumhardta, którzy na pewno utknęli w pamięci każdego uczestnika pierwszej edycji MTS.

Już tylko kilka dni zostało, aby zarejestrować się po atrakcyjnej cenie. Oficjalnie 400 zł, lecz nie powinno stanowić problemu zdobycie zniżki umożliwiającej rejestrację po cenie 250 zł. Zniżki udostępnione na największych portalach skupiających się wokół technologii firmy Microsoft dostępne są dla każdego zarejestrowanego użytkownika, i aktualne do dnia 26 sierpnia.

tymczasem, każdy kto zarejestruje się i opłaci pobyt na konferencji do 20 lipca (czwartek), otrzyma kupon, dający zniżkę o wartości 50 zł na dowolną książkę wydawnictwa Microsoft Press do wykorzystania w sklepie APN Promise.

Po rejestracji on-line, każdy zarejestrowany ma tylko dwa tygodnie na opłacenie pobytu na konferencji.

Microsoft zorganizował również mały konkurs, umożliwiający zdobycie nagród poprzez polecanie innym rejestracji na konferencję. Jeżeli 10 osób wskaże tą samą osobę przy rejestracji, otrzyma ona zestaw składający sie z klawiatury i myszki. Dla osoby, którą wskaże najwięcej osób, przewidziana jest konsola XBox 360 wraz z monitorem!

Właśnie tą konsolą chętnie bym się pobawił, dlatego korzystając z okazji posiadania jakiegoś grona czytelników tego bloga, proszę, aby w miarę możliwości jako osobę polecającą wpisać mój adres email - hermanluk@wss.pl

Będzie to dla mnie wsparcie, oraz dowód na to, że są tu ludzie którym podoba się jak piszę, lub chociaż potrafią pomóc człowiekowi i go wesprzeć w taki, bądź inny sposób :-)

Kody zniżkowe, które można wpisać podczas rejestracji można znaleźć na portalach WSS.pl i CodeGuru.pl (po zalogowaniu będzie widoczny na stronie głównej). Dodatkowo każdy subskrybent biuletynów TechNetFlash i DevFlash również otrzymał na swój adres email kody zniżkowe. Przy czym gorąco polecam rejestrować się korzystając z kodów dostępnych na portalu WSS.pl, ponieważ umożliwia one również wstęp na spotkanie portalowe, które odbędzie się najprawdopodobniej w pierwszym dniu konferencji.

niedziela, 16 lipca 2006

Microsoft Windows XP Fundamentals for Legacy PCs. Tak nazywa się system, mający być wykorzystywanych w komputerach, które nie podołają instalacji i korzystaniu z Windows XP SP2. System ten znany jest również pod nazwą kodową Eiger. Pisałem o nim już w notce Windows XP codename "Eiger". Ma być on alternatywą w środowiskach biznesowych dla systemów, nie spełniających podstawowych założeń bezpieczeństwa.

System stworzony na bazie Windows XP z dodatkiem SP2 ma zapewnić uczciwy stopień bezpieczeństwa na komputerach, które nie są w stanie obsłużyć "pełnego" XP z SP2.

Tylko pozostaje kwestia jaki to jest starszy komputer. Według Microsoftu, powinien to być komputer spełniający podane kryteria:

  • A minimum of 611 MB of free hard drive space. Actual requirements will vary based on your system configuration and the applications and features you choose to install. Installing all optional components requires 1151 MB of disk space. These requirements are reported on the screen as you select options in the Setup wizard. Additional hard disk space may be required if you are installing over a network. Also, you should reserve additional space for future updates and service packs.

  • A computer with 233 megahertz or higher processor clock speed (300 MHz is recommended); Intel Pentium/Celeron family, or AMD K6/Athlon/Duron family, or compatible processor is recommended.

  • 64 MB of RAM. 256 MB of RAM is recommended.

Takie są właśnie wymagania Eigera. Więc spektrum zastosowań tego systemu będzie naprawdę niewielkie.

W serwisie Bink.nu możemy znaleźć galerię zrzutów ekranu pochodzących z tego systemu.

19:23, hermanluk , Windows
Link Komentarze (1) »
czwartek, 13 lipca 2006

Jak przygotować na stronie internetowej wykonanej w ASP .NET tytuł każdej z pod stron, aby było wiadomo gdzie się aktualnie jest?

Jest to możliwe w bardzo prosty sposób, nie wymagający dużej ilości kodu. Wszystko oczywiście pod warunkiem, że korzystamy z mapy strony stworzonej w pliku web.sitemap. Jest to plik, w którym przechowuję się wszystkie linki z menu. Dzięki niemu możemy korzystać z kilku kontrolek, które nam łatwo utworzą menu.

Kod, który należy umieścić na każdej z pod stron, lub najlepiej na MasterPage, jeżeli z niej korzystamy:

protected void Page_Load(object sender, EventArgs e)

{

try

{

SiteMapNode currentNode = SiteMap.CurrentNode;

SiteMapNode rootNode = SiteMap.RootNode;

if (rootNode.Title == currentNode.Title)

{

this.Page.Title = currentNode.Title;

}

else

{

this.Page.Title = rootNode.Title + " | " + currentNode.Title;

}

}

catch

{

}

}

Jest to bardzo przydatne rozwiązanie, nadające każdej z pod stron tytuł w formacie "Nasza witryna | Pod strona". Każdy powinien zdawać sobie sprawę z wagi, jaką należy przypisywać odpowiednim tytułom stron. To nie tylko dodatek do stron, ale również objaśnienie w wyszukiwarkach internetowych co można znaleźć na podanej stronie.

środa, 12 lipca 2006

Microsoft postanowił w końcu udostępnić program Virtual PC za darmo.

Wszystko zaczęło się od sytuacji, która miała miejsce na początku kwietnia tego roku. Microsoft wtedy odpowiedział na krok VMware, które udostępniło swoje oprogramowanie do wirtualizacji za darmo. Chodzi głównie o VMware Server dostępny wtedy w wersji beta. Również VMware Player, czyli odtwarzacz maszyn wirtualnych, miał tu swoje znaczenie. Odpowiedzią Microsoftu było udostępnienie Virtual Servera 2005 R2 za darmo, o czym pisałem w notce Virtual Server 2005 R2 - freeee

Microsoft przez ten czas był ciągle w tyle, oferując Virtual PC odpłatnie, kiedy już VMware oferowało darmowego VMware PLayera. Dziś się to zmienia. Virtual PC od dzisiaj można pobrać za darmo, wraz z dodatkiem SP1. Dostępny jest on do pobrania w Microsoft Download Center - pobierz Virtual PC 2004 SP1

Tym sposobem Microsoft wyszedł nieco na prowadzenie w udostępnianiu za darmo swojego oprogramowania do wirtualizacji. VMware udostępnia odtwarzacz, a Microsoft całego Virtual PC, który udostępnia nie tylko odtwarzanie maszyn wirtualnych, ale również ich tworzenie i konfigurację.

Następca VPC 2004, Virtual PC 2007, który wyjdzie najprawdopodobniej wraz z ukazaniem się Windows Visty, będzie również udostępniany za darmo. Dostępna będzie również wersja 64-bitowa.

Nie będzie również wcześniej zapowiadanego produktu o nazwie Virtual PC 2007 Express, który miał być dostępny za darmo w edycjach Enterprise i Ultimate systemu Windows Vista. Również o tym kiedyś pisałem (Virtual PC Express w Viście). Udostępnienie pełnej wersji tego produktu niweluje jakiekolwiek powody do udostępniania okrojonej wersji na obraz VMware Playera.

Dziwnym zbiegiem okoliczności ma dzisiaj miejsca druga ważna informacja dotycząca wirtualizacji środowisk sieciowych.

VMware Server zostało udostępnione już w swojej końcowej wersji. Dotychczas dostępna była, a raczej dostępne były, kolejne buildy wersji beta. W tej chwili możemy już budować swoje środowisko na produkcie finalnym.

Z Virtual PC zawsze byłem zadowolony, bo działało tak, jak miało działać. Jest to bardzo dobre rozwiązanie do wirtualizacji małego, nieskomplikowanego środowiska sieciowego.

Virtual Server 2005 i VMware Server są to produkty o dużo większych możliwościach, umożliwiające wykonywanie bardziej zaawansowanych czynności, zdalne zarządzanie (nawet można zarządzać przez przeglądarkę). z Virtual Serverem nie miałem dużo do czynienia. Za to używam trochę programu VMware Server.

Jednymi z pierwszych zalet jakie poznałem na własnej skórze w produkcie VMware, jest możliwość importu maszyn wirtualnych z Virtual PC. Są dwie opcje, albo maszyny wirtualne kopiujemy, albo korzystamy w VMware Serverze z obrazów stworzonych bezpośrednio w VPC. Przy drugiej możliwości niestety już nie będziemy mogli odtworzyć tych maszyn w VPC.

Kolejną zaletą VMware jest również działanie w innym kontekście zabezpieczeń, niż miało to miejsce w VMware PLayera czy Virtual PC. VMware Server instaluje się w systemie jako usługi, dzięki czemu działa ponad kontekstem aktualnie zalogowanego użytkownika. Jest to dobre rozwiązanie, które na pewno daje temu produktowi duży plus przy możliwościach wirtualizacji, oraz ułatwieniu zdalnego zarządzania maszynami nie obawiając się czy przypadkiem użytkownik się nie wylogował kończąc sesję programu. VMware Server będzie działał razem z systemem, a nie użytkownikiem.

Możemy również nasze maszyny wirtualne oskryptować, minimalizując codzienną administrację nimi.

Kupując wersję Ultimate Visty będziemy mogli uruchomić na niej za darmo cztery dodatkowe kopie tego systemu w środowisku wirtualnym. Aktualnie podobna możliwość istnieje dla Windows Server 2003 Enterprise Edition.

wtorek, 11 lipca 2006

User Account Control jest to nowa funkcjonalność dostępna w Windows Vista. Jej celem jest praca z jak najniższymi uprawnieniami dla użytkownika.

Przez lata Microsoft był atakowany o udostępnianie użytkownikom standardowo konta administratora z wszystkimi możliwymi uprawnieniami. Czym to się kończyło dla nie zaawansowanych użytkowników systemu chyba każdy widzi. Wystarczy spojrzeć na fora internetowa z ogromną ilością wątków opisujących sposoby pozbywania się niechcianego oprogramowania - spyware, wirusów, trojanów.

W linuksach korzysta się standardowo z konta zwykłego użytkownika, a najczęściej za pomocą su, lub logując się na konto roota, wykonuje się zadania administracyjne wymagające odpowiednio wyższych uprawnień dla użytkownika.

W Windowsach od zawsze korzystało się z konta administratora, i pewnie niektórzy wciąż będą zawiedzeni, ponieważ w Viście użytkownik również będzie standardowo administratorem systemu. Ale tu właśnie pojawia się User Account Control (UAC). Jest to nowa funkcja w systemie pozwalająca skierowanie się w stronę udostępnienia użytkownikowi jak najmniejszych uprawnień. Skierowanie dlatego, ponieważ użytkownik jest wciąż administratorem, ale zmienia się już to w dobrą stronę (w aspekcie bezpieczeństwa).

Na początku UAC może być bardzo uciążliwy. Włączamy panel sterownia, a on się nas pyta o zgodę. I tak niemalże dla każdego okna. Na pierwszy rzut oka wydaje się to pomysł nietrafiony. Przecież użytkownicy albo wyłączą kontrolę nad swoimi (lub częściej szkodliwego oprogramowania) poczynaniami, bądź wytworzą w sobie nawyk automatycznego klikania w zezwalaj w każdy nowo otwartym komunikacie, bez jego czytania. To drugie rozwiązanie jest najgorsze, więc powinniśmy wyłączyć UAC?

Nie, pod żadnym pozorem nie powinniśmy tego robić. Najprostszy przykład. Ile osób spotkało się z mnóstwem śmieci, robaków, wirusów na komputerze na którym użytkownicy korzystali wyłącznie z konta zwykłego użytkownika? Jeżeli jest osoba która się z czymś takim spotkała chętnie bym ją poznał :) To tak samo jak w uniksach korzystanie z konta roota tylko w ostateczności! A widział ktoś oprogramowanie malware na systemach uniksowych? Jak ktoś sądzi, że takiego oprogramowania niema, to radzę zmienić koncepcję patrzenia na oprogramowanie przez siebie wykorzystywane. Takie oprogramowanie istnieje, tylko nie jest spopularyzowane ze względu na korzystanie z uprawnień administracyjnych tylko gdy jest to potrzebne.

Wracając do UAC, jest to dosyć innowacyjne podejście do bezpieczeństwa. Po bliższym przyjrzeniu się można dojść do wniosku, że jest to możliwość wykorzystywania konta administratora, tak naprawdę bez uprawnień administracyjnych. Niemalże na wszystko jawnie musimy się zgadzać.

Komunikaty od UAC są może uciążliwe, ale czy podczas codziennego korzystania z systemu zmieniamy znacząco funkcjonalność naszego systemu? Bo większość zmian administracyjnych polega właśnie na skonfigurowaniu funkcjonalności pod użytkownika. Ja twierdzę że nie wykonujemy takich czynności na co dzień. Na początku może się pownerwiamy na wyskakujące okienka, ale w codziennym użytkowaniu systemu nie powinny nam one przeszkadzać.

Dzięki User Account Control oprogramowanie uruchamiane przez konto z uprawnieniami administratora tak naprawdę nie posiada takich uprawnień jak użytkownik, co miało miejsce w Windows XP. Dzięki temu również zmniejsza się znacząco podatność na szkodliwe oprogramowanie.

21:50, hermanluk , Security
Link Komentarze (1) »
niedziela, 09 lipca 2006

Każdy kto już miał okazję zapoznać się z Vistą prawdopodobnie dotarł również do klasyfikacji wydajności systemu. Widzimy tam małą tabelkę z niektórymi informacjami o naszym sprzęcie, oraz ocenę jaką dostajemy od systemu.

Celem tej klasyfikacji jest chyba uświadomienie użytkownikowi, że ma za słaby sprzęt i aby go zmodernizował. Microsoft jest do tego chyba bardzo zdeterminowany i producenci sprzętu musieli podpisać z nim dużo kontraktów, ponieważ przekłamuje w tym wyliczeniu. Prosty przykład, jak ta klasyfikacja wygląda u mnie:

KategoriaKlasyfikacja cząstkowa
Procesor3.2
Pamięć5.5
Podstawowy dysk twardy5.3
Grafika2.0
Grafika w grach1.0
Klasyfikacja ogólna1

Hmm, coś tu chyba nie gra? Mam nadzieję, że to tylko ze względu na wersję beta, bo żeby procesor A64 3000+ otrzymał od Visty tylko 3.2? Poza tym mnie w szkole uczyli, że aby obliczyć średnią to się sumuje wszystkie wyniki i dzieli przez ich ilość, a nie przepisuje się najmniejsza wartość. Microsoft widocznie ma własną matematykę - marketingową.

13:07, hermanluk , Windows
Link Komentarze (1) »
środa, 05 lipca 2006

Spyware, rootkits, adware, keylogger, trojan, malware, hijackers - zagrożeń jest mnóstwo. Niemalże na każdym kroku, czy to w internecie, czy poza nim, spotykamy się z wieloma ostrzeżeniami o niebezpieczeństwie. Raz po raz wielkie korporacje ostrzegają nas przed nowym rodzajem zagrożenia. A z tych wszystkich zagrożeń rootkity są najbardziej niebezpieczne. Są niebezpieczne, ponieważ najczęściej nikt nie zdaje sobie sprawy, że może posiadać takie "coś" u siebie.

Co to jest rootkit?

Rootkit jest to kod (aplikacja) działający w systemie operacyjnym bez wiedzy (zezwolenia) użytkownika. Do instalacji wykorzystuje czasem exploity na znane luki w systemie, może zostać dolepiony do jakiegoś pliku wykonywalnego, lub nawet sterownika. Jest tym bardziej groźny, ponieważ jego pole działania jest bardzo szerokie. Każdy system może być podatny na rootkity i na to nie ma żadnej ochrony.

Rootkity dzieli się na dwie grupy. Pierwsza grupa to tzw. Persistent rootkits, czyli kod działający pomimo ponownego uruchomienia komputera. Tego typu rootkitu są łatwiejsze to znalezienia, ponieważ wymagają od twórcy dodatkowego ukrywania ich startu wraz z systemem. Drugą grupą są in-memory rootkits, po załadowaniu rezydujące tylko w pamięci komputera.

Jak to się dzieje, że rootkity są niewykrywalne?

Po pierwsze z niewykrywalnością jest różnie. Często da się je znaleźć w systemie dzięki różnego rodzaju programom. Cała działalność rootkitów polega na wykorzystaniu haków (ang. hooks) w systemie umożliwiających im ukrycie się. W każdym systemie jest wiele haków, ponieważ z założenia oprogramowanie ma być elastyczne, rozszerzalne, oraz zgodne z wcześniejszymi wersjami.

W systemie Windows istnieje kilka, często wykorzystywanych haków:

  • Import Address Table - jest to obszar pliku DLL odpowiedzialny za wskazywanie funkcji biblioteki oraz innych bibliotek DLL. Modyfikując jedną z bibliotek systemowych, kod startowy rootkita nadpisuje jedną z często używanych funkcji. Taki rootkit uruchamia się zamiast podanej funkcji, po czym dla niepoznaki zwraca wyniki, które powinna zwrócić żądana funkcja. Najbardziej zagrożonymi bibliotekami są: Kernel32.dll, User32.dll, Gdi32.dll i Advapi32.dll
  • System Service Descriptor Table (system call table) - przechowuje adresy aktualnych funkcji systemu operacyjnego, które odwołują się do funkcji NtXXX w pliku Ntoskrnl.exe. Ta technika jest lepsza od IAT, ponieważ działa na cały system, a nie na pojedynczy program (funkcję/bibliotekę). Taki rootkit może na przykład "shakować" funkcję NtQueryDirectoryFile aby ukryć pliki i foldery w systemie plików.
  • Direct Kernel Object Manipulation (DKOM) - system operacyjny tworzy obiekty kernela odpowiadające za logowanie i audytowanie. Modyfikując te obiekty rootkit może okłamywać system (na przykład o istnieniu konkretnego procesu) zwracając mu fałszywe informacje.

Jak się bronić?

Do odnajdywania rootkitów istnieje cały szereg narzędzi. Korzystają one z różnych technik wyszukiwania, ale nikt nie da gwarancji, że jego technika jest idealna. Dla zwiększenia możliwości wyszukiwania rootkitów, czasem korzysta się jednocześnie nawet z kilku metod w jednym programie.

Przykładem oprogramowania wyszukującego rootkity są:

  • VICE
  • Patchfinder
  • Rootkit Revealer
  • Klister
  • Blacklight
  • System Virginity Verifier

Istnieją również rozwiązania sprzętowe. Przykładem jest Copilot, posiadający własny procesor i techniki zabezpieczeń, dzięki czemu jest uodporniony od rootkitów (w pewnym stopniu, nie można powiedzieć nigdy, że coś jest bezpieczne w 100 procentach).

Na koniec zostawiłem sobie narzędzie, które przydatne będzie nie tylko w obronie przed rootkitami, ale również innymi zagrożeniami. Tripwire jest to narzędzie tworzące bazę hashy wszystkich plików na dysku. Jeżeli chcemy sprawdzić po jakimś czasie czy wszystko jest w dobrym stanie, program przeliczy wszystkie hashe i poinformuje o niezgodności jeżeli takie się pojawią. Oczywiście po każdym uaktualnieniu systemu należy utworzyć nową bazę hashy.

Mamy przed czym się bronić. Mamy czym się bronić. Tylko czy to wystarczy?