Архив рубрики: Microsoft

Технического изумления псто: спецификации протоколов MS

Разгребал тут входящие многолетней давности в Evernote (да, его очень легко прекратить в помойку Winking smile). Ну забыл про одну папочку, бывает. И наткнулся на информацию, которая, не факт, что нужна новым читателям блога, но может пригодиться тем, кто со мной давно: страничка, на которой опубликованы спецификации протоколов MS.

Кажется, что DFS работает не так, как нужно? Нужна информация для глубокого понимания или траблшутинга Kerberos? Тогда вам сюда.

Эта информация будет обычно немного точнее, чем “мне Вася-хакер из соседнего подъезда сказал, что у MS ничего никогда не работает” Winking smile

Реклама

Groundswell, запускаем 2012!

image

22 августа в Московском офисе MS пройдет микромероприятие по запуску Windows Server 2012. Микро – по сравнению с лончем 2008, когда запуск был сродни маленькой Платформе. Всего 4 сессии и все закончится сразу после обеда. Зато рассказывать будут сполшные MVP, которых хоть и попросили выданные презентации не менять, но вы ж нас знаете Winking smile Моё – 4е.

В общем, пропустят туда народу не много, но приглашаем всех. Официальный текст приглашения:

 

Приглашаем вас присоединиться к мероприятию посвященному Windows Server 2012, на котором Вы узнаете об основных изменениях и нововведениях Windows Server 2012, а именно:

1. Вариантах виртуализации, предлагаемых в рамках решений Microsoft, а также их возможности оптимизации производительности, управления, безопасности, эффективности приложений и других нагрузок.

2. Инновационных функциях и возможностях расширения функциональности хранения данных.

3. Сетевой инфраструктуре. Ключевых функциях.

4. Улучшениях в управлении

Мероприятие состоится в головном офисе Microsoft 22го августа 2012г начало в 10:00

Ссылка для регистрации — https://msevents.microsoft.com/CUI/InviteOnly.aspx?EventID=98-3D-7F-3A-CD-75-98-59-FD-5B-2D-E0-85-1C-8D-15&Culture=ru-RU&community=0

Trustworthy computing: SDL освоили, что дальше. Часть 2: некорпоративненькая.

Trustworthy

Вы думаете, что пой предыдущий блог был о корпоративных продуктах потому что только они разрабатываются без учета безопасности применения? Ничего подобного: потребительские продукты абсолютно такие же. Назову лишь один пример: знаменитая в определенных кругах история о Windows Live Mail и SSL. До некоторых пор абсолютно нельзя было использовать с Hotmail их оба сразу. Или общайся с почтовиком без SSL или избавься от удобного клиента. Я был счастлив получить возможность их совместить. И да, мой старенький (но все еще пригодный к работе) HTC HD2 на WM6.5, кажется, так и не получил этой возможности. По крайней мере до тех пор, пока я от него не избавился.

Итого, имеем великолепные продукты, которые сами по себе фиг сломаешь в большинстве случаев, и которые, однако, не имеют необходимого функциионала (или он не работает), чтобы их можно было безопасно использовать в безопасном окружении. Что-то латается, что-то нет, но я думаю, что бОльшую часть этих проблем можно устранить до релиза, то есть до момента, когда я или кто-то иной наткнется на эти прелести в своей сети.

Я рад, что MS уже 10 лет на твердом пути улучшения безопасности своих продуктов, нополагаю, что можно сделать и надежнее Winking smile

А Вы сталкивались со случаями, подобными описанным мной?

Trustworthy Computing. SDL освоили, что дальше?

image

Внимание: мой новый RSS-Feed: http://feed.feedcat.net/815939

Измените свою подписку, пожалуйста.

 

Наконец-то, наступила и моя очередь ругать Microsoft. Я не особый поклонник такого способа раскрутки, однако, я полагаю, что единственный путь двигаться вперед, это воспринимать, обрабатывать конструктивную критику и отвечать на нее. Так что приступим (Многа букав):

Несколько лет назад MS огласило свою широко известную инициативу Trustworthy Computing (совсем недавно они отмечали 10тилетие этой инициативы). Думаю, что мне не нужно напоминать Вам ни цели этой программы, ни средства, которые предполагалось использовать для их достижения. Интересующиеся вполне могут найти эту информацию самостоятельно. Ну и всяко, это «открытое письмо» не задумывалось, как тщательный анализ, после которого я должен был бы воскликнуть «люди, MS нам лжет!». Скорее, наоборот, просто легкая попытка показать, что, по моему скромному мнению, можно было достичь еще большего.

Я IT Pro с более, чем десятилетним стажем и этот факт, безусловно, влияет на то, как я вижу наш мир, ИТ безопасность и корпорацию Microsoft в аспектах, касающихся и того и другого. При этом моё видение Trustworthy Computing выглядит как-то так:

«SDL! SDL это! SDL то! SDL всё и повсюду!!!».

Не поймите меня неправильно, SDL это прекрасно даже с точки зрения системного администратора, который почти не умеет кодить. Нет, правда, лично у меня есть ощущение, что код от MS стал более безопасным. Большая часть актуальных уязвимостей для их реализации требует от меня либо отключения включенных по умолчанию средств защиты (DEP, UAC) или выставления совершенно незащищенного сервера в открытый интернет. Как следствие, я чувствую себя много лучше защищенным, чем, скажем, десять лет назад (впрочем, это может быть промывка мозгов, не так ли? =) ).

И все же в текущей ситуации есть приметы, которые заставляют меня полагать, что текущему SDL недостает чего-то жизненно важного. Чего же, спросите вы? Ну хотя бы тестирования продуктов в среде, соответствующей Best Practices от безопасности. То есть не только создание как можно менее уязвимого кода, но и предоставить возможность внедрить стандартные контролы для повышения безопасности решений. Хотя бы просто внедрить, если уж не без плясок с бубном. Я говорю о таких вещах, как работа с многофакторной аутентификацией, разделение ролей или делегирование полномочий. Все это должно быть включено в «Trustworthy» продукт из коробки, чтобы обеспечить сколько-нибудь безопасное окружение. Грош цена абсолютно не ломаемому (ну фантастика, ну и что) с точки зрения кода приложению, если пароли от него можно прослушать в сети банальным анализатором сетевого трафика или если любой имеет в этом приложении одинаковые полномочия. Или если для банальнейших операций с с базой данных нужно предоставить дежурному администратору права SA.

На протяжении последних нескольких лет я наблюдал различные ситуации, которые заставили меня думать, что эти материи не были в фокусе продуктовых групп в последнее время. Чтобы не быть голословным, я приведу несколько наиболее ярких примеров.

1) Когда мы только приступили к работе с MOSS 2007, тогда еще только RTM, мы наткнулись на невозможность индексировать порталы, доступ к которым предоставлялся с помощью CKD и HTTPS. Проблема, вроде бы решалась расширением таких порталов на HTTP, тогда индексация проходила, но поиск не выдавал результатов. Обходным маневром этой «by design» ситуации было создание сначала HTTP-приложения и расширения его с помощью HTTPS. Ерунда, казалось бы, и в последующих SP ситуация была исправлена, однако, это могло быть выявлено стандартным тестированием в соответствующем окружении.

2) Во втором случае мы никак не могли заставить работать определенные функции MOSS, связанные с WebDAV при использовании смарт-карт. Классная технология, но попробуйте безопасно опубликовать WebDAV-сайт через ISA и потребуйте аутентификации через смарт-карты… И вот она – Ваша проблема.

3) Вообще говоря, поддержка смарт-карт кажется слабым местом ребят из Рэдмонда. Я обожаю UC-продукты от MS, но попробуйте подружить со смарт-картой некоторые режимы работы Outlook или использовать их при работе с Lync/Communicator… Будет работать? Черта с два! Устанавливайте VPN-соединение или настраивайте DA, а потом используйте свои ненаглядные объединенные коммуникации.

4) Data Protection Manager. Я очень люблю этот продукт. Его чрезвычайная простота в эксплуатации в сочетании с вполне приличной мощью очень привлекательны. И все-таки первые три релиза у нас не было практически ни намека на разделение полномочий (за исключением нескольких немаловажных, но все-таки частных случаев). Все или ничего. Полный доступ или никакого доступа. Самый последний релиз наконец предоставил нам RBAC, но предыдущие пять лет без него малообъяснимы.

5) SQL сервер. Мы проверяли на 2005-2008R2. Может выстрелить в случае использования SQL Mirroring. Попробуйте с правами, меньшими, чем sysadmin выполнить операцию ALTER DATABASE на базе в режиме recovery. Мало того, что ничего не получится, так еще и дамп сгенерится по умолчанию, чем, при определенной настойчивости, можно и сервер положить =) А это, между прочим, стандартная операция для баз в зеркале.

Все, указанные выше проблемы (разрешенные и нет) вполне могли бы быть найдены при тестировании, если бы кто-то ставил перед собой задачу тестировать продукты в средах, построенных с применением основных принципов безопасности. Те возможности, которые просто отсутствовали, когда они были так нужны, так же могли бы быть предоставлены продуктами значительно раньше, если бы «там» задумывались не только о качестве самого кода.

К сожалению, мой опыт приводит к мысли, что об этом задумывался мало кто из имеющих влияние на ситуацию. Я бы мог подумать, что это лишь случайные недоразумения, однако если всего один человек встрял в такое количество ситуаций за несколько лет (а это, поверьте мне, не все), то, я скорее склонюсь к выводу, что это просто результат подхода в PG к разработке и концепции Trustworthy Computing.

>#RuTeched: результаты

>

imageНесколько дней назад руководитель трека информационной безопасности на TechEd Russia поделился со мной результатами анкетирования посетителей моего доклада. Что ж… Результаты хуже, чем мне хотелось бы. Разумеется, частично это случилось оттого, что моему выступлению был дан не совсем корректный анонс (то описание, которое я сам придумал, так и не добралось до сайта, увы). В общем, у меня 7.5 баллов из 9, что, в общем-то, близко к моей обычной оценке, но существенно ниже, чем у многих. Я не особенно растраиваюсь, что меня не оценили, но жаль времени и настроения людей, которые не получили того, что желали, так что я получил очередной стимул становиться лучше.

Большая часть негативных комментариев (про положительные я рассказывать не буду – они очень приятны, но мало кому, кроме меня интересны =) ) происходит от упомянутых выше обманутых ожиданий. Однако некоторая их часть подала мне новые идеи для моего блога, а, может, и выступлений. Спасибо, ребята. И спасибо всем, что не встали и не ушли посреди доклада – это дорогого стоит (Том Шиндер вот не досидел Подмигивающая рожица )

>Платформа: goodbye

>

imageДа-да. Именно. Вот прямо сейчас на DevCon’11 объявляют о том, что Платформы больше не будет. Вообще. Потому что теперь будет у нас свой, российский TechEd ;) В чем разница, спросите меня Вы? Элементарно: в два раза больше участников (3000), 150 докладов в 15 треках и всякое такое. В общем-то, немного, но и не мало. В любом случае я больше не буду иностранным коллегам объяснять, что такое “Platforma”, а просто смогу сказать “I’m going to TechEd” =)

>Microsoft Professional Advisory Services

>

Help ButtonОчень интересный сервис появился у MS для Штатов и Канады. Вы являетесь компанией, достаточно маленькой, чтобы в ответ на предложение заключить с MS контракт на Premier Support покрутите презрительно пальце у виска, но при этом уже достаточно крупные или зависимые от IT, чтобы не быть довольным только реактивной поддержкой в виде инцидентов? Вы желаете работать со своей инфраструктурой проактивно, не дожидаясь проблем и при этом не платить состояние за Premier или несколько состояний за Alliance? Тогда, когда эта услуга докатится до наших краев, она будет интересна Вам.Позвольте процитиеровать (в моем вольлном преводе) какие сервисы смогут получить пользователи этой услуги: 

Microsoft Advisory Services предоставляют краткосрочные консультации и руководство для проблем, не покрываемых Problem Resolution Services, а так же консультационную помощь в разработке, планировании и резвертывании.

Advisory Services оплачиваются на почасовой основе: US$210 за час.

Что это на самом деле означает? Клиент этой услуги сможет использовать весь потенциал команды MSC в построении здоровой инфраструктуры, внедрении и/или разработке приложений, при это не жертвую в пользу MS последние штаны. Интересно? Я думаю, да. Я видел этих ребят за работой – они хороши, а теперь еще и всего-то от $210 в час. Winking smile

Где и в каких областях можно получить такую помощь от MS? Список велик. На странице, посвященной услуге несколько секций: Windows, Office, Servers, IE, Security, Performance, Developer. А в каждой секции много услсуг, к примеры в Windows:

  • Windows
    • Windows 7
      • Applications compatibility
      • W7 deployment and activation guidance
      • W7 deployment questions and answers
    • Windows Server
      • ADFS
      • Windows Server 2003 Server Cluster disaster recovery planning
      • Windows Server 2008/2008R2Failover Cluster disaster recovery planning
      • Windows Server 2008 R2 RD web design SSO
      • Windows 2008 R2 Cluster installation
      • Windows 2008 R2 Cluster installation with Hyper-V

Думаете, это большой список? ХА! Посмотрите в секцию Servers =)You think this is big list? Ha! Look at section Servers!!! =)

Увы, повторюсь, услуга предоставляется только в США и Канаде. Я надеюсь, что если услуги будут востребованными (а мне кажется, так и будет), то это будет введено повсеместно.