מה חדש בבראנץ-קאש 2012 וחלונות 8

יום ראשון, מאי 19, 2013

מעט מאוד נכתב בעברית על הטכנולוגיה המעניינת הזו שפותחה ע"י מייקרוסופט והיום כבר מוטמעת גם בכל מערכות הסטורג' המודרניות EMC VNX, NetApp Data ONTAP, HP ועוד. הטכנולגיה מאפשרת לחסוך ברוחב פס ופריסת שרתים ותשתיות מקומיות לפתרונות שהיו נהוגים עד היום כמו שרתי פרוקסי, שרתי קבצים, שרתי עדכונים (WSUS), שרתי הפצה (SCCM), שרתי APP-V. ולבעלי ייכולת אלתור יש אפשרות לנצל את הטכנולוגיה לכל מה שמשתמש ב SMB  או HTTP החל מעדכונים לאנטי ווירוס עד ללוגין סקריפט כבד.     ההטמעה המקובלת היא אחת משתי שיטות (אפשר גם לערבב):   1. Distrution cache תחנות ווינדוס 7 או 8 ישמשו כקאש לכל שאר תחנות העבודה בסניף (עם מגבלות...

Windows privilege escalation prevention

יום רביעי, אפריל 24, 2013

  שבוע שעבר יצא לי לשחק קצת בנושא הזה ברשת גדולה. ואילו אתמול קיבלתי במייל את עדכון האבטחה החודשי של מייקרוסופט שכלל בתוכו 1 2 3 4 5 מאמרים על חולשות privilege escalation . מסתבר שאין ערך עברי בוויקפדיה – בקצרה אפרט כי הרעיון הוא להעלות לעצמך את ההרשאות ממשתמש רגיל (או בלי משתמש בכלל) ולהגיע לרמה של אדמין. כך שגם מי שהשקיע משאבים רבים בהורדת הרשאות למשתמשים כמו בפוסט שפרסמתי לא מכבר - עדיין נשאר חשוף. אז למה זה בכלל מפריע לנו ?  מדובר על מחשב בודד לא ? אז בגדול – כן, ההשפעה המידיית ברוב המקרים היא על מחשב בודד של משתמש בודד שרוצה לקחת לעצמו...

SMB3 what my client will get from it?

יום ראשון, פברואר 10, 2013

הטיפול שנעשה בחלונות 8 בניהול של קבצים הוא סוף סוף טיפול שורש עמוק ורציני. אם עד היום כל אחד מאיתנו הכיר מספר רב של בעיות ידועות בגישה של חלונות לטיפול בקבצים (מסרגלי התקדמות מדומים ועד נעילות על קבצים) סוף סוף הבעיות האלו נפתרו ושופרו והרבה בזכות SMB 3 או בעצם SMB 2.2 במקור.את SMB 2.1/SMB 2.0 הכרנו כבר בחלונות ויסטה \ 7 (בהתאמה)– לא כולנו הטמענו אותם, וקצת חבל שכך. החוקיות היא לשימוש במכנה המשותף הנמוך ביותר. (הגרסא הגבוהה ביותר הנתמכת בשני הצדדים). השיפורים המעניינים שם היו : תמיכה ב MTU  גבוהה. מה שמאפשר העברה באמת מהירה של מידע על...

גם אצלכם כולם אדמין מקומי? מתחילים לטפל בבעיה!

יום חמישי, ינואר 3, 2013

בארגונים רבים אני נתקל בתופעה בה משתמשים מוגדרים כ Admin מקומי על התחנה שלהם, ולעתים אף על כל התחנות בדומיין. בבוא הזמן, אותם ארגונים מנסים להילחם באופן פרטני בסימפטומים הגלויים של התופעה – למשל, להסיר הרשאות מ c$ או לשחק ב User Rights assignmentלמה זה מסוכן (וכן, זה מסוכן) ?:המשתמש מסוגל להתקין תוכנות, לשנות הגדרות, להוריד מעצמו ומהתחנה הקשחות, לנבור בקבצים שהם לא שלו (למשל פרופילים של משתמשים אחרים) – והסכנה הברורה מכל היא גישה אל מחשבים אחרים עליהם הוא Admin – בין אם ייעשה זאת ידנית אל c$ / Admin$ / rpc / rdp או אם ישתמש בכלים...

Mdop 2012 RTM is here – Manage your Windows 8 environment

יום שני, נובמבר 5, 2012

חבילת השירות והניהול המיועדת לחלונות 8 ו סרבר 2012 כבר כאן, לקוחות ה SA יכולים לנהל טוב יותר את התחנות שלהם ולהשתמש בכלי התמיכה החינמיים.חבילת ה MDOP  -  Microsoft Desktop Optimization Pack כוללת את התוכנות הבאות: Microsoft Application Virtualization \ App-Vמערכת לאריזת אפליקציות והפצה שלהם בפורמט Click-To-Run (ללא התקנה)- פוסט שלי על Application virtualization כולל App-v 5 Beta ו Server App-vMicrosoft User Experience Virtualization \ UE-Vההגדרה הכי טובה שאני מוצא לזה "הרחבת הפרופיל הנודד" מאפשר למשתמשים לקבל חווית משתמש זהה כשהם עוברים בין מחשב למחשב. - פוסטים של דודו דבורה ותמיר לוי על גרסאת הבטאMicrosoft Enterprise Desktop Virtualization \ MED-Vאפליקציית התאימות לאחור של...

שימו לב לאיטיות בהפצות, מתחילים להגיע – 4K Hard disks

יום שבת, אוקטובר 20, 2012

בחודשים האחרונים התחילו להגיע דגמים חדשים של מחשבי HP\DELL\LENOVO ובוודאי גם אחרים עם דיסקים קשיחים מהדור החדש.  הם נקראים 4K או AF - Advenced format והייתרון שלהם הוא בקריאה-כתיבה יעילה יותר מול קבצים גדולים. בפועל מאחורי הקלעים - מגדילים את את הסקטור מ 512 ביט ל 4096 ביט (4K) ובכך חוסכים פי 4 בדיקות Checksum שהדיסק צריך לעשות.     כדאי לשים לב לבעיות ביצועים שיתעוררו במהלך ההפצה - או לאחריה. - וחשוב מאוד שנשדרג את מערכת ההפצה שלנו מכדי שתתמוך באותם מחשבים, אחרת אנחנו צפויים להפצה ארוכה מאוד על אותם מחשבים ואף כשלונות בהפצה. באמת שההמלצה הכי טובה להתמודדות היא שדרוג, אם כי קיימים ברשת...

Bulk drivers download and extract (From HP, Dell, Lenovo)

יום רביעי, אוגוסט 1, 2012

איזה סיוט זה להוריד את כל הדרייברים מהאתרים של היצרנים ?הסיפור: ההורדה תמיד הייתה בשבילי מטלה סיזיפית ומשעממת שמבוצעת באופן ידני. את האמת, אני קצת מתבייש בזה שעד היום לא חיפשתי פתרון אלגנטי לסוגיה (בעוד אני מתגאה בשלט שתלוי במשרד עם המוטו If you repeat it, PowerShell it! מהבלוג של שי לוי). מכיוון שאנחנו עכשיו בצוות עובדים על חבילת הפצה חדשה ל SCCM - נדרשתי להוריד דרייברים ל 19 סוגי מחשבים, גם ל XP וגם ל W7. פני נפלו לכמה שעות, התחלתי להכין רשימות, אקסלים, להוריד ולעשות Extract למאות קבצים - חיפשתי איך לייעל את ה Extract (בשורת פקודה), והאסימון נפל רק בשלב הזה...

עמדות קיוסק (KIOSK) בסביבת מייקרוסופט – איך לעשות את זה נכון.

יום שישי, יולי 27, 2012

מדי פעם אנו נתקלים בדרישה להקמה של עמדות קיוסק – עמדות המציעות שרותי אינטרנט בלובי החברה, בפינות הקפה וכ'ו בד"כ הן מוקשחות פיזית + מכילות ממשק משתמש רזה.. הפרויקט נראה פשוט לכאורה "מה אני צריך? – דפדפן וזהוא !".אבל למעשה. מאחורי הפרויקט הפשוט הזה מסתתרים מגוון של איומים, אתגרים וסיכונים:ראשית קיימים כל האיומים שיש על מחשב רגיל באינטרנט – ווירוסים, רוגלות, התקפות מרחוק וכ'ו.שנית, יש לנו את המשתמש עצמו – הוא יכול לעשות פעולות בטיפשות או ברשעות. וכמובן שיש את אלו שבודקים את הגבולות (מחטטים ב Help בניסיון להגיע לתפריטים. מנסים שילובי מקשים, מנסים לגרום למחשב לקרוס ולעשות Restart).יש...

MBAM / BitLocker : אז אולי נצפין את כל המחשבים והשרתים?

יום ראשון, יולי 8, 2012

השאלה "אז אולי נצפין את כל המחשבים" עלתה לי בדיון שעשינו לא מזמן על הצפנת מחשבים נישאים (לפטופים) מאוד מקובל בארגונים להצפין רק את הלפטופים, כשהגעתי לארגון - השתמשו כאן בתוכנה עתיקה שנתמכה ע"ג ווינדוס 2000 ו XP מגרסאות מסוימות בלבד. מכיוון שאנחנו כבר בשלבים מאוד מתקדמים של הגירה לווינדוס 7 (דרך אגב, העברנו לווינדוס 7 כ- 73% מהמחשבים בארגון - ומדובר כאן ב - 5 ספרות) היינו חייבים פתרון ממשיך. אז... את התוכנה הזו החלפנו עם מערכת משולבת שנותנת לנו פתרון כולל לכל מני היבטי אבטחה, והיא כוללת בפנים גם מודול להצפנה...לאחרונה, אנו מתמודדים עם אתגרים ושאיפות של...

Best practices and guidelines for security permissions

יום שבת, יוני 23, 2012

או בעברית "נוהגים מיטביים וקווים מנחים להגדרת הרשאות אבטחה". הפוסט הבא נכתב בהשראת כמה דוגמאות רעות מאוד שראיתי לאחרונה ובעיות שהם ייצרו מאוחר יותר - חשוב שאנו כאנשי IT נכיר את מנגנון ההרשאות במוצרי מייקרוסופט (ואילו המתממשקים אליהם) על יתרונותיו וחולשותיו.כמה מילים על נוהגים מיטביים (Best Practices).ראשית - נתקלתי במינוחים עבריים רבים לתיאור צמד המילים, אך בצמד "נוהגים מיטביים" נתקלתי לראשונה בבלוג של יגאל שניידר והחלטתי לאמץ אותו. אז מה הם בעצם "נוהגים מיטביים" ? מדובר בסט חוקים לפעמים כתובים, לפעמים לא, ליישום מיטבי של ארכיטקטורה - או במילה אחת: פרקטיקה. למעשה קיימות הנחיות Best practice של יצרנים מסוימים,...