Отключение Daylight saving time. (Переход на летнее время)

Как вам известно в Азербайджане отменили переход на летнее время, Майкрософт еще не успел выпустить обновление.

Небольшое изменение в файле реестра позволит в 2 клика эту делему обойти, либо можете импортировать приложенный к данной статье файл реестра в GPO и пропушить на все доменные компьютеры/сервера

 

AZ-DST-Disable.rar

 

 

А также второй вариант:

Создаем BAT файл и копируем в него следующее:

 

@echo off

echo Setting time zone to AZST, DST off

echo ///////////////—————\\\\\\\\\\\\\\\\\

tzutil /S «Azerbaijan Standard Time»_dstoff

echo

Данный скрипт можно добавить в AD GPO StartUp script policy.

Уменьшение размера тонкого диска в ESXi

Когда я начал работать с ESXi, столкнулся с проблемой нехватки дискового пространства из-за сильно разросшихся тонких дисков. Вообще, лучше создавать диски меньшего размера, потому что увеличить диск в ESXi намного проще, чем уменьшить. Но что же делать, если все-таки возникла необходимость уменьшить диск? Причем, мое положение усугубляли LVM разделы на сервере, которые не распознавал Acronis, и, следовательно, не мог изменить размер раздела. Читать далее

Пересылка больших файлов. Автоматическое получение ссылки для скачивания на почту

Пользователям достаточно часто приходится заниматься пересылкой больших файлов как внутри локальной сети, так и за её пределы. К примеру, Пьеро нужно выслать Мальвине документацию объёмом 10 гигабайт. Тут на помощь не придет корпоративная почта, так как пользователи обычно не хотят заморачиваться с копированием ссылок и т.п. Если они в одной локальной сети, то поможет расшаренная папка, а если они на разных концах страны… Как правило, приходится пользоваться FTP-сервером, что зачастую не очень удобно, либо интернет-сервисами обмена большими файлами.

Так пришла идея создать удобный и контролируемый сервис для пересылки больших файлов в локальной сети.

Реализация на PowerShell, платформа Windows.

Требования:

  • Веб сервер опубликованный в интернет.
  • Расшаренная папка на компьютере под Windows (для определения владельца файла).
  • Настройка на сервере с шарой выполнения скрипта по расписанию, раз в минуту.

Как это работает:

  • Пользователь помещает ZIP архив в расшаренную папку на сервере.
  • Скрипт ищет ZIP-файлы в расшаренной папке и перемещает их в папку веб-сервера, затем отправляет письмо Владельцу файла.
  • Пользователю приходит письмо со ссылкой на скачивание файла через ваш веб-сервер.
  • Пользователь пересылает письмо со ссылкой на скачивание адресату.

Читать далее

Цифровые SSL сертификаты. Разновидности, как выбрать?

Существует достаточно много цифровых сертификатов, каждый из которых служит для своих целей. Самые распространенный тип сертификатов это естественно SSL сертификаты, которые также имеют несколько подвидов. Также существуют Code Signing сертификаты, Website Anti Malware Scanner сертификаты и Unified Communications сертификаты.

Поскольку мы занимаемся продажей всех видов сертификатов, то накопилось некоторое количество опыта по сертификатам и знаний как правильно подобрать нужный сертификат для конкретной ситуации. Постараюсь в нескольких постах поделиться этой информацией.

Так что если у вас стоит задача поднять защищенное https соединение для вашего сайта, то в этом посте я постараюсь раскрыть все тонкости и особенности SSL сертификатов, чтобы сделать правильный выбор было проще.

Начнем с самых распространенных SSL сертификатов.

Читать далее

S4B централизованное архивирование сообщений. Роль Archiving.

Skype-for-Business-HomeDesktop


Для того, чтобы централизовано хранить историю переписки в S4B существует роль архивирования (Archiving). Доступ к этим данным можно предоставить группе пользователей, например, сотрудникам службы безопасности.

В этой статье я хочу рассмотреть вариант хранения истории в отдельной базе на SQL сервере. В первую очередь необходимо обратить внимание на требования к SQL для этой роли. В данный момент подойдут версии SQL 2008 R2, 2012 и 2014 как сказано в технете, подойдет как Standard, так и Enterprise.

Что касается используемого пула Skype for Business, то:

  • В варианте S4B Standard Pool — используется SQL express 2012. Такая версия не подходит для роли Archiving. Потребуется отдельный (Standalone) SQL сервер с установленными компонентами Reporting Services.
  • В варианте S4B Enterprise Pool — уже используется Standalone SQL сервер подходящей версии. В этом варианте логично использовать его же. Если на это SQL не установлены компоненты SQL Reporting Services, то их необходимо будет что называется  «доустановить».

Читать далее

Уходим с SSL на TLS

Привет. Введение Протоколу SSL уже много времени, и ему пора на покой. Тем более – замена ему достаточно давно уже есть. Выглядит она как протокол TLS, который вырос, возмужал, и готов к работе. Я попробую чуть-чуть пробежаться по тому, что и как для этого надо сделать в Windows Server и основных серверных приложениях. У данной […]

Привет.

Введение

Протоколу SSL уже много времени, и ему пора на покой. Тем более – замена ему достаточно давно уже есть. Выглядит она как протокол TLS, который вырос, возмужал, и готов к работе. Я попробую чуть-чуть пробежаться по тому, что и как для этого надо сделать в Windows Server и основных серверных приложениях.

 

Оглавление

  • Краткая история вопроса – SSL
  • Версии и преимущества TLS
    • Про TLS 1.0
    • Про TLS 1.1
    • Про TLS 1.2
    • Про TLS 1.2 и Windows XP SP3
    • Про TLS 1.2 и Windows 2003 SP2
  • BEAST: как работает атака на SSL 2.0/3.0 и TLS 1.0
  • Включаем TLS на Windows-системе
  • Отключаем SSL на Windows-системе
  • Закручиваем гайки: Включаем безопасное пересогласование TLS на Windows-системе
  • Атака на SSL/TLS – THC-SSL-DOS
  • Закручиваем гайки: настройки криптоалгоритмов на хосте
  • Управляем настройками согласования SSL/TLS в браузерах
  • Проверяем работу TLS 1.1 и 1.2
  • Что делать, если у меня нет возможности включить TLS новых версий

Приступим.

Читать далее

Бронируем TLS в Windows Server 2012 R2

Новая статья по защите и настройке протоколов SSL/TLS в нашей базе полезной информации, Knowledge Base

Привет.

Защита TLS – штука крайне нужная. У неё много аспектов – как безопасность самой хостовой ОС, на которой развёрнут веб-сервер, так и безопасность работающих приложений, криптографические аспекты и многое другое. Я попробую написать про то, что с моей точки зрения, является важным и не сильно документированным / очевидным. На этом вода про то, что с TLS лучше, чем без TLS, а с настроенным TLS лучше, чем с не настроенным TLS, официально объявляется закончившейся.

Стартовые ограничения статьи – не будет рассматриваться тюнинг SSL, т.к. уже 13 лет как есть TLS, SSL мы будем выключать полностью. Не будет рассматриваться настройка систем младше NT 6.0, т.к. про это можно найти в предыдущей статье, да и те, кто думает о безопасности TLS, наружу Windows Server 2003й в 2014м году не выставляет.

Для большинства операций я буду использовать ATcmd – им проще делать тонкий тюнинг SSL/TLS. Если хотите – можете найти другие методы по выполнению аналогичных действий на своей ОС, это некритично – функционал называется стандартно, и ту же фрагментацию TLS можно настраивать чем удобно.

Бронируем TLS в Windows Server 2012 R2

  • Версия SSL/TLS на сервере
  • Отключаем неиспользуемые версии SSL/TLS и PCT/MPUH
  • Пересогласование TLS
  • Фиксируем только нужные cipher suites
  • Блокируем небезопасные криптоалгоритмы
  • Настраиваем фрагментацию TLS
  • SSL Close-Notify
  • Журналирование TLS
  • Отправка клиенту списка доверенных CA в CTL-формате
  • Логика проверки x.509-сертификата клиента
  • Проверка промежуточных сертификатов через Интернет
  • Механизм HSTS – HTTP Strict Transport Security
  • Кэшируем SSL/TLS-сессии – используя Session ID
  • Кэшируем SSL/TLS-сессии – используя Session Tickets

Поехали.

Читать далее

Защищаем и оптимизируем RDP

Тюнинг RDP может значительно расширить функционал работы и ускорить доступ к терминальным серверам. Разбираем, как именно.

 

Введение

Протокол RDP – удобное, эффективное и практичное средство для удалённого доступа как для целей администрирования, так и для повседневной работы.
Учитывая, что его реализации есть практически везде (различные платформы и ОС), и их много, нужно хорошо представлять его возможности.
По крайней мере, это будет нужно по ряду причин:

  • Зачастую вместо RDP используется другое решение (VNC, Citrix ICA) по простой причине – предполагается, что “встроенный RDP минимальный и ничего не умеет”.
  • Во многих решениях, связанных с модными сейчас облачными технологиями (перевод офисов на “тонкие клиенты”, да и просто организация терминальных серверов), бытует мнение что “RDP плохой потому что встроенный”.
  • Есть стандартный миф про то, что “RDP нельзя без VPN наружу выставлять, ломанут” (миф имеет под собой обоснование, но уже давно не актуален).
  • Ну, раз уж про мифы заговорили – бытует мнение, что “Перейдя с RDP на Citrix трафик в пару раз падает”. Ведь цитрикс – это дорого, следовательно как минимум на 157% круче.

Все эти мифы – ерунда и смесь устаревших “дельных советов”, актуальных во времена NT 4.0, а так же откровенных вымыслов, не имеющих никаких причин к существованию. Так как IT – это точная наука, надо разобраться. Хорошо настроеный протокол RDP новых версий, с учётом всех новых функциональных возможностей, является достаточно хорошим и надёжным инструментом для организации удалённого доступа.

Поэтому мы займёмся:

  • Кратким упоминанием про версии RDP
  • Настройкой режима защиты RDP-сессии
  • Настройкой шифрования для RDP
  • Привязкой к конкретному адаптеру и порту
    • Меняем стандартный порт на нужный
    • Делаем раздельные настройки RDP для нескольких сетевых адаптеров
  • Включением NLA
    • Как включается NLA со стороны RDP-сервера
    • NLA и Windows XP
    • Как включить CredSSP в XP
  • Выбором правильного сертификата для RDP
  • Блокированием подключений по RDP учётным записям с пустым паролем
  • Настройка ACL для подключения по RDP
  • Оптимизацией скорости RDP
    • Отключаем редирект неиспользуемых устройств
    • Настраиваем общую логику оптимизации визуальных данных RDP
  • Оптимизацией сжатия RDP
    • Настраиваем общее сжатие RDP
    • Настраиваем сжатие аудиопотока RDP
  • Оптимизацией соотношения потоков данных RDP
  • Включением Require secure RPC communication для RDP

Приступим.

Читать далее

Бронируем NTLM в домене Active Directory

Защищаем протоколы семейства LanManager — NTLMv1 / NTLMv2

 

Привет.

 

Протоколы семейства Lan Manager существуют очень давно – и, хотя, казалось бы, с появлением в Windows 2000 поддержки krbv5, должны были бы уходить на покой, остаются широко применяемыми. Причин этому несколько – во-первых последняя версия – NTLMv2 – широко распространена практически везде (выступая под ликом MS-CHAPv2 что в аутентификации для Wifi через EAP-MSCHAPv2, что для 802.1х, что внутри PEAP для различных применений, например VPN-подключений), во-вторых она является “подстраховкой” в случае не-срабатывания Kerberos в домене Active Directory, да и некоторые операции – например, работу с локальными учётными записями на доменных машинах – Kerberos обрабатывать не умеет, поэтому там всегда используется кто-то из LM.

 

Полностью искоренить Lan Manager внутри домена возможно, но для начала стОит навести порядок в использовании существующих диалектов Lan Manager. Важнее ведь не сделать в сети одиночные “островки безопасности”, а поднять нижнюю планку – чтобы небезопасные и откровенно устаревшие варианты LM не использовались, а используемый NTLMv2 был бы безопасен настолько, насколько возможно.

 

Давайте займёмся этим. Я предполагаю, что вы владеете материалом на уровне нашего бесплатного курсаMicrosoft 20410 – ну, а если нет, то самое время с ним познакомиться.

 

Безопасное использование протоколов семейства Lan Manager (NTLMv2 в частности)

  • Прощаемся с LM
  • Возможные побочные следствия отключения LM
  • Полное отключение LM
  • Выключаем хранение LM-хэшей
  • Удаление хранящихся LM-хэшей
  • Выключение отправки LM-запроса и LM-ответа по сети
  • Препятствование генерации LM-хэшей
  • Прощаемся с NTLMv1
  • То, что будет иметь потенциальные проблемы от отключения NTLMv1
  • PPP-соединения и NTLMv1
  • Защита RPC-запросов
  • Защита RDP Gateway от использования NTLMv1
  • Включаем Extended Protection for Authentication
  • Настраиваем NTLMv2

Читать далее

Exchange 2013 CU10

Только что вышли очередные обновления для Exchange Server.

Released: September 2015 Quarterly Exchange Updates

Exchange 2013 CU10: Ссылка для скачивания, Список исправлений

Exchange 2013 CU10 не содержит изменения в схему, но содержит некоторые изменения в RBAC. Поэтому перед установкой обязательно необходимо выполнить подготовку схемы. Если использовать GUI для установки обновления и учетная запись обладает необходимыми правами, то схема подготовится автоматически. Или же можно предварительно подготовить схему вручную командой setup.exe /PrepareAD

Встречаем Exchange 2016 RTM

Качать здесь: Microsoft Exchange Server 2016

Ссылка на официальный релиз: Exchange Server 2016: Forged in the cloud. Now available on-premises.

 

Уже много было всего написано про то, чем будет отличаться Exchange 2016 от своих предшественников. И сейчас я хотел бы лишь поделиться ссылками на наиболее интересные материалы. Я решил, что лучше потом более подробно расмотреть с технической стороны все значимые нововведения, чем сейчас пытаться перечислить все новое.

 

FSMO Roles, или хозяева операций

Введение

В жизни каждого системного администратора наступает момент, когда ему приходится лихорадочно вспоминать, какая роль на каком контроллере домена развернута, а главное, какая за что отвечает. Как правило, это сценарии обновления, миграции или аварийного восстановления.

По долгу службы регулярно приходится сталкиваться с большим разнообразием фантазий и суеверий на тему равноправности контроллеров домена (“начиная с Windows 2000”), интересных предположений о работе, например, роли Infrastructure Master, поэтому прояснить ситуацию раз и навсегда крайне желательно.

Итак. Все мы знаем, что ролей FSMO (Flexible Single Master Operation) в Active Directory встречается аж пять штук. Это:

  • Schema Master
  • Domain Naming Master
  • Infrastructure Master
  • RID Master
  • PDC Emulator

Каждая из них сейчас будет рассмотрена подробнее. Читать далее

Ищем, кто отправил письмо с общего почтового ящика. Используем журнал событий Microsoft Exchange

Автор статьи — Paul Cunningham, обладатель статуса Microsoft MVP и нескольких сертификатов по Exchange Server 2007, 2010 and 2013. Paul также является издателем ресурса Exchange Server Pro.

Оригинальный материал на английском языке.

В годы моей работы администратором Exchаnge самым частым заданием из разряда «ктоэтосделал?!» было найти отправителя конкретного письма с общего почтового ящика.
Представьте себе, что общий почтовый ящик «HelpDesk» используется большой командой ИТ-персонала и все эти сотрудники имеют разрешения на отправку писем от имени общей учетной записи (например, для того, чтобы отправлять оповещения об отключении или техническом обслуживании систем).
В один из дней сотрудник службы поддержки, устав от рутинных операций, отправляет «гениальное» письмо в рассылку по всей компании, письмо получает негативный отклик.

Задача в том, чтобы найти – кто именно отправил такой «подарок», решение можно найти разными способами: например, можно отследить ip-адрес, с которого было отправлено сообщение, затем сопоставить адрес с компьютером и найти пользователя. Можно также потратить время, проверяя вручную папки «Отправленные» у всех подозреваемых. Также неплохим вариантом остаётся задать вопрос, кто это сделал – иногда можно надеяться на честный ответ.

В любом случае возможность определить отправителя по журналам событий Exchange не помешает, и хорошая новость заключается в том, что такая возможность есть! (в случае если у вас используется Microsoft Exchange 2010 SP1 или более поздняя версия, включая Exchange 2013). Нужная функция называется «mailbox audit logging», и плохая новость состоит в том, что она по умолчанию выключена. Как вы понимаете, функцию надо было включить до инцидента с письмом, в противном случае событие отправки не попадёт в журнал Exchange.

Читать далее

WPAD и PAC файл

Обобщение и перевод официальной информации на тему получения автоматического определения настроек прокси.

WPAD
Web Proxy Auto-Discovery Protocol (протокол автоматической настройки прокси) — метод, используемый клиентами для определения места (URL) расположения конфигурационного файла с использованием технологий DHCP и/или DNS. wiki
 
PAC-файл — Proxy Auto Configuration файл настроек прокси для браузера на javascript (wpad.dat, proxy.pac).
 

По умолчанию браузер ищет файл настроек wpad.dat на wpad.domain.loc (если машина в домене domain.loc) по web.

НАСТРОЙКА WPAD 

Порядок поиска файла настроек proxy:

  1. DHCP
  2. SLP
  3. DNS A / CNAME
  4. DNS SRV
  5. DNS TXT

Читать далее

Создание и настройка DAG в Exchange 2013

DAG (Database Availability Group) – позволяет обеспечить отказоустойчивость Баз Данных почтовых ящиков. Суть его работы заключается в том, что создаются копии базы и при выходе из строя одного сервера база автоматически активируется на другом.

Впервые DAG появился в Exchange 2010, а в Exchange 2013 он получил некоторые улучшения.

Итак, рассмотрим схему нашей инфраструктуры. Она очень простая.

01

У нас есть Контроллер Домена (без него никуда) и два сервера Exchange 2013, на которых установлены обе роли Exchange – Mailbox и Client Access.

ovo-02

 

Также хочу обратить внимание, что у нас есть отдельная сеть для репликации – 172.16.0.0/24.

Читать далее

Exchange 2013 Включение антиспам


[PS] C:\ExchangeInstallPath\Scripts\Install-AntiSpamAgents.ps1
[PS] C:\Windows\system32> Restart-Service MSExchangeTransport
[PS] C:\Windows\system32> set-TransportConfig -InternalSMTPServers @{Add="192.168.1.1"}
[PS] C:\Windows\system32> Set-ContentFilterConfig -QuarantineMailbox postmaster@xxxx.az
[PS] C:\Windows\system32>Add-IPBlockListProvider -name bl.spamcop.net -lookupdomain bl.spamcop.net

Name LookupDomain Priority
—- ———— ———
bl.spamcop.net bl.spamcop.net 1

[PS] C:\Windows\system32>Add-IPBlockListProvider -name zen.spamhaus.org -lookupdomain zen.spamhaus.org

Name LookupDomain Priority
—- ———— ———
zen.spamhaus.org zen.spamhaus.org 2

[PS] C:\Windows\system32>Set-SenderIDConfig -SpoofedDomainAction Delete
[PS] C:\Windows\system32>Set-SenderReputationConfig -SenderBlockingEnabled $true -SrlBlockThreshold 6 -SenderBlockingPeriod 36
[PS] C:\Windows\system32>Set-SenderFilterConfig -BlankSenderBlockingEnabled $true
[PS] C:\Windows\system32>Set-ContentFilterConfig -SCLQuarantineThreshold 6
[PS] C:\Windows\system32>Set-ContentFilterConfig -SCLDeleteEnabled $true
[PS] C:\Windows\system32>Set-ContentFilterConfig -SCLQuarantineEnabled $true -QuarantineMailbox postmaster@xxxx.az
[PS] C:\Windows\system32>Set-ContentFilterConfig -SCLRejectEnabled $false
[PS] C:\Windows\system32>Set-ContentFilterConfig -QuarantineMailbox postmaster@xxx.az
[PS] C:\Windows\system32> Restart-Service MSExchangeTransport

Высокая доступность Exchange Server 2013 и Lync Server 2013

Высокая доступность Exchange server 2013 и Lync server 2013 (Часть 1)

Высокая доступность Exchange server 2013 и Lync server 2013 (Часть 2)

Высокая доступность Exchange server 2013 и Lync server 2013 (Часть 3)

Установка Lync Server 2013 Standard: Быстрый старт

Lync Server 2013 Видео обзор

Lync Server 2013: Коротко о главном

Возможности Lync Server 2013 (функционал)

Основы Active Directory Domain Services

Основы Active Directory Domain Services

Основы работы с групповыми политиками (Group Policy). Часть 1

Основы работы с групповыми политиками (Group Policy). Часть 2