Архив

Публикации с меткой ‘Software’

Безопасное удаленное администрирование Windows

13 февраля 2010

Одна из самых непротиворечивых концепций безопасности гласит, что без крайней необходимости работать под учетной записью администратора не следует. Особенно под учетной записью администратора домена. Однако, решение административных задач, требующих повышенных привилегий, эта концепция не отменяет. Удаленный доступ к серверу через Remote Desktop – это лишние телодвижения, да и, опять же, небезопасно. Наиболее подходящий путь – локальный запуск нужных оснасток управления с использованием команды RunAs, которая позволяет администратору выполнять любые задачи в системе, зарегистрировавшись в ней с использованием учетной записи рядового пользователя.

Для управления удаленными серверами Windows я использую пакеты Administrative Tools для своей клиентской ОС. Они доступны для загрузки с сайта Microsoft:

Windows Server 2003 Administration Tools Pack: http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&displaylang=en

Microsoft Remote Server Administration Tools for Windows Vista: http://www.microsoft.com/downloads/details.aspx?FamilyId=9FF6E897-23CE-4A36-B7FC-D52065DE9960&displaylang=en

Remote Server Administration Tools for Windows 7: http://www.microsoft.com/downloads/details.aspx?FamilyID=7D2F6AD7-656B-4313-A005-4E344E43997D&displaylang=en

Установив соответствующий вашей системе пакет администрирования, вы получите доступ прямо со своего компьютера к большинству оснасток управления серверами, таких как Active Directory Domains and Trusts, Active Directory Sites and Services, Active Directory Users and Computers, Distributed File System, DNS, Group Policy Editor, DHCP и пр.

Для запуска любой из оснасток с привилегиями доменного администратора, применим команду RunAs. Например, запустим оснастку Active Directory Users and Computers от имени пользователя admin, принадлежащего к домену domain.ru:

runas /netonly /user:domain.ru\admin “mmc dsa.msc”

Синтаксис RunAs достаточно прост, чаще всего с ней используются следующие ключи:

1) /user – имя пользователя;

2) /netonly – использование полномочий только для доступа к удаленным ресурсам;

3) /env – использование текущего окружения, без создания окружения, характерного для указанного ключем /user пользователя;

4) /profile – загрузка профиля пользователя;

5) /noprofile – загрузка профиля пользователя не будет осуществляться.

По аналогии можно запускать любую из оснасток, входящих в состав Administration Tools:

Active Directory Domains and Trusts — domain.msc

Active Directory Sites and Services — dssite.msc

Active Directory Users and Computers — dsa.msc

Computer Management — compmgmt.msc

Distributed File System — dfsgui.msc

DNS — dnsmgmt.msc

DHCP – dhcpmgmt.msc

Group Policy Editor — gpedit.msc

Local Security Settings — secpol.msc

Routing and Remote Access — rrasmgmt.msc

Само собой, оснастки для управления локальными ресурсами, которые по умолчанию установлены в любой Windows-системе, начиная с Windows XP, можно использовать и для администрирования удаленных систем. Приведу список самых используемых:

Services – services.msc

Device Manager — devmgmt.msc

Disk Management — diskmgmt.msc

Local Users and Groups — lusrmgr.msc

Shared Folders — fsmgmt.msc

Напоследок напомню, что для работы RunAs необходимо, чтобы была запущена служба Secondary Logon.

Default , , ,

ftp.exe как инструмент для работы с FTP-серверами

17 декабря 2009

Для работы с FTP-серверами вовсе необязательно использовать громоздкие (и иногда небесплатные) FTP-клиенты, для простейших операций вполне сгодится входящая в состав ОС Windows (2000 — 2008/7 — точно, за остальные не ручаюсь) утилита командной строки ftp.exe.

Чтобы запустить ftp.exe, нужно вызвать диалоговое окно «Выполнить» и набрать ftp. Клиент выведет строку приглашения в командном интерпретаторе cmd.exe и сразу будет готов к работе:

ftp2

Синтаксис ftp.exe очень прост и достаточно подробно описан во встроенной справке, которую можно вызвать командой help:

ftp3

В справочной системе ftp.exe существуют краткие описания всех команд. Их вызов осуществляется командой help. Посмотрим, например, что делает команда dir. Для этого наберем help dir:

ftp4

Попробуем установить соединение с каким-нибудь ftp-сервером. Пусть это будет linuxcenter.ru. В этом нам поможет команда open linuxcenter.ru:

ftp5

Сервер потребует авторизоваться. Так как это публичный сервер, то мы можем использовать анонимный вход. Регистрируемся как anonymous с пустым паролем:

ftp6

После подключения к ftp-серверу необходимо сообщить ему, в каком режиме мы будем с ним работать. Режимов всего два: port-mode channel и passive-mode data channel. В 99 случаях из 100 используется пассивный режим (подробнее о различиях скажет Википедия), сообщаем серверу, что мы не исключение из правил, командой quote PASV:
ftp7
Теперь мы можем приступать к выполнению операций с данными: переходить по структуре каталогов и выводить их листинги, осуществлять upload и download файлов, менять форматы пересылаемых данных и пр. Однако, ftp-серверы бывают разными. Поэтому сперва будет нелишним ознакомиться с синтаксисом, поддерживаемым удаленным сервером. Для этого есть команда remotehelp:
ftp8

Чтобы закрыть активное соединение, используйте команду close, для выхода из ftp.exe — quit. И help вам в помощь.

Default ,

Не в поиске

17 декабря 2009

Мои мытарства в поисках совершенства закончены:

R&Q-IM

Default ,

В поиске

13 декабря 2009

А существует в природе нормальный ICQ-клиент? QIP, Miranda и нативный не предлагать.

Default , ,

Jabber-сервер для локальной сети. Openfire + MySQL под Windows

3 октября 2009

Почти в каждом офисе, насчитывающем 30 и более сотрудников, рано или поздно возникает необходимость реализовать систему мгновенного обмена сообщениями. Причем, желательно со списком контактов, хранящимся централизованно, на сервере, структурированном по отделам, с сохранением истории сообщений, удобным русскоязычным интерфейсом и прочими рюшечками, которые так ценит руководство. Что ж, это задача не из числа неподъемных. Я расскажу как ее реализовать на базе связки jabber-сервера Openfire и СУБД MySQL под управлением Windows.

Нам нужна выделенная машина с Windows (версии XP и старше), дистрибутивы Openfire и MySQL. Начнем с установки и настройки MySQL.

Читать далее…

How-To , , , , ,

Локальная установка MediaWiki, IPB и WordPress под Windows

27 сентября 2009

Один камрад задумал большое дело: организовать мини-проект, включающий в себя сайт, форум и wiki. Не имея специальных знаний, он попросил меня рассказать, как организовать этот портал локально, для первых экспериментов и создания наглядной структуры. Не вижу причин ему в этом отказывать. Рассказываю.

Читать далее…

How-To , , , ,

Через тернии к звездам…

Победил автоматическую NTLM-авторизацию пользователей на Kerio Winroute Firewall 6.6.0. Если вкратце, то:

Конфигурация -> Фильтрация содержимого -> Правила URL. Создаем правило:

ad-auth-rule

Конфигурация -> Дополнительные параметры -> Веб-интерфейс / SSL-VPN:

kwf-web-act

Пользователи и группы — > Пользователи ->  Параметры аутентификации:

kwf-auth-conf

Пользователи и группы -> Пользователи -> Active Directory:

kwf-ad-conf

На что следует обратить внимание:

1. Необходимо выключить веб-интерфейс HTTPS. Не будет смущать пользователя дебильными вопросами про неподписанный сертификат.

2. В параметре «Имя домена Windows NT» обязательно писать краткое имя домена. Напишете FQDN — авторизации не будет.

3. В параметре «Имя домена Active Directory» обязательно писать полное имя домена. То есть в данном случае именно FQDN.

4. Пользователь, ограниченный правами на чтение базы AD, подцепить учетные записи из AD не сможет. Необходимо указывать учетные данные доменного администратора.

5. NTLM-авторизация работает нестабильно. Когда-то удачно, когда-то нет. Четкой закономерности не уловил. Однако авторизоваться всегда можно и вручную, обратившись по адресу http://kwf-server:4080. В моем случае это http://gate.roadcenter.local:4080. Естественно, учетные данные вводить не потребуется, нужно только обратиться на сервер KWF. Для доменных пользователей можно установить эту страницу в качестве стартовой, либо инициировать ее запуск через скрытое окно IE logon-скриптом.

Default , , ,

SP2, SP2

29 апреля 2009

На сайте Microsoft доступны для свободной загрузки SP2 для MS Office 2007 и SP2 для Windows SharePoint Services 3.0.

Default , , , ,

Удаление ПО из командной строки Windows

27 апреля 2009

Довелось столкнуться с небольшой неприятностью: после установки сомнительного приложения был похерен доступ к графическому интерфейсу системы. Причем вызов из диспетчера задач процесса explorer.exe не помогал, а отключенная служба восстановления системы еще сильнее осложнила и без того сложную ситуацию. На помощь пришла командная строка инструментария управления Windows. Из-под нее я смог удалить повредившее систему приложение. Постфактум демонстрирую, как это работает.

Сперва запускаем командную строку WMI:

wmic

Вызываем список установленного ПО:

product get name

и получаем нечто вроде этого:

Name
DameWare NT Utilities
Microsoft Office Visio Professional 2007
Microsoft Office Access 2007
Microsoft Office Excel 2007
Microsoft Office SharePoint Designer 2007
Microsoft Office Word 2007
Microsoft Office Proof (English) 2007
Microsoft SharePoint Administration Toolkit
MSXML 4.0 SP2 (KB936181)
Radmin Viewer 3.1
Kerio WinRoute Firewall 6.4 Administration
Opera 9.62
ATI Catalyst Install Manager
Microsoft .NET Framework 3.5 SP1
VMware Workstation
iTunes
Kerio Visual C++ 2005 redistributable permanent package
QuickTime
Microsoft Windows Server Update Services 3.0
MSXML 4.0 SP2 Parser and SDK
Пакет автоматической установки Windows
Java(TM) 6 Update 7
Файлы поддержки установки Microsoft SQL Server (русский)
1C:Предприятие 8.1
ESET Remote Administrator Console
Apple Mobile Device Support
Microsoft SQL Server Native Client
Microsoft Visual C++ 2005 Redistributable
Kerio MailServer 6.5 Administration
Bonjour
Microsoft Report Viewer Redistributable 2005
Microsoft Silverlight
MSXML 4.0 SP2 (KB954430)
Opera 9.60
Apple Software Update
Opera 10.00
Kerio WinRoute Firewall 6.5 Administration

Узрев мишень, расстреливаем ее (я устроил показательную казнь Opera 10):

product where name="Opera 10.00" call uninstall
Execute (\CHIEFPCROOTCIMV2:Win32_Product.IdentifyingNumber="{423CF09F-11C9-410E-9B1A-31E087CED383}",Name="Opera 10.00",Version="10.00")->Uninstall() (Y/N/?)? y
Method execution successful.
Out Parameters:
instance of __PARAMETERS
{
ReturnValue = 0;
};

После этого можно еще раз вызвать список установленного ПО и удостовериться, что цель была уничтожена.

Default , , ,

Установка ПО во FreeBSD

25 апреля 2009

Во FreeBSD можно устанавливать ПО как минимум 2-мя путями.

1. Установка из пакетов.

Сами пакеты хранятся на ftp FreeBSD, и индексируются автоматически. Для работы с ними используются команды pkg_add (установка пакета), pkg_info (вывод сведений об установленном пакете) и pkg_delete (удаление). Для примера установим, осмотрим и удалим популярный файл-менеджер Midnight Commander:

[12:23] fedoseyev@SAN [/home/fedoseyev] # pkg_add -r mc
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-6-stable/Latest/mc.tbz... Done.

// Пакет установлен, обновляем пути:

[12:23] fedoseyev@SAN [/home/fedoseyev] # rehash

// Делаем пробный запуск:

[12:23] fedoseyev@SAN [/home/fedoseyev] # mc

// Смотрим информацию о пакете:

[12:23] fedoseyev@SAN [/home/fedoseyev] # pkg_info -x mc

Information for mc-4.6.2:

Comment:
Midnight Commander, a free Norton Commander Clone

Description:
GNU Midnight Commander is a user-friendly yet powerful file manager
and visual shell, useful to novice and guru alike. It provides a
clear, user-friendly, and somewhat protected interface to a Unix
system while making many frequent file operations more efficient and
preserving the full power of the command prompt. You will wonder how
you could ever live without it.

WWW: http://www.midnight-commander.org

// И удаляем его:

[12:23] fedoseyev@SAN [/home/fedoseyev] # pkg_delete -x mc

2. Установка из коллекции портов.
Логично, что предварительно необходимо коллекцию портов установить. Это можно сделать с помощью программы sysinstall. Для установки программы из портов необходимо выполнить ее поиск:
# cd /usr/ports && make search name=nmap
// Программа ответит нечто вроде этого:

Port: nmap-4.85.b7
Path: /usr/ports/security/nmap
Info: Port scanning utility for large networks
Maint: daniel@roe.ch
B-deps: gettext-0.17_1 gmake-3.81_3 libdnet-1.11_2 libiconv-1.11_1 lua-5.1.4 pcre-7.9 pkg-config-0.23_1
R-deps: libdnet-1.11_2 lua-5.1.4 pcre-7.9 pkg-config-0.23_1
WWW: http://nmap.org/

Теперь можно приступать к установке, с учетом указанного пути пакета:
# cd security/nmap && make install clean

После сборки программа будет готова к запуску и использованию.

Default ,

Корректное удаление ПО в Windows

23 апреля 2009

Много лет назад, когда я работал под Windows 95 на компьютере с 16 Мбайт памяти и жестким диском объемом 1 Гбайт, мне подарили книжку об устройстве реестра Windows. Не сказать, чтобы это был царский подарок, но в то время я активно интересовался устройством компьютера и ПО, и она пришлась ко двору. Так я познакомился с редактором реестра и в некоторой степени узнал архитектуру систем Windows 9x.

Самым удивительным открытием, преподнесенным симбиозом между книжкой, пытливым умом и regedit’ом, оказалось вот что: оказывается, в реестре моей копии Windows хранилось множество записей о программах, которые давным-давно были удалены. Ветвь за ветвью, куст за кустом, я шерстил реестр, находя все больше и больше следов прошлого. Подарочная книга объяснения этому явлению не содержала, и я отложил поиски на некоторое время, удалив из реестра все, по моему мнению, лишнее.

Позже тайна стала явью сама по себе. В то время я использовал одну программу, которая имела ограниченное количество запусков (trial). Когда они кончились, я попробовал программу переустановить. Не помогло. Плюнул, деинсталлировал и по привычке (которую к тому моменту я уже успел выработать) полез в реестр поубивать следы, как вдруг мне в голову пришла идея… слишком хорошая, чтобы быть правдой. И тем не менее, я вычистил следы пребывания программы из реестра и снова запустил ее установку. Количество запусков обнулилось! Это была безоговорочная победа!

С тех пор производители софта сильно поумнели, научившись бороться с такими «детскими» методами взлома, но засорять реестр не перестали. Более того, многие из них стали дописывать к ПО свои системные библиотеки, а в инсталлятор пихать скрипты для их копирование в системную папку Windows, раскидывать каталоги с конфигурационными файлами по закоулкам файловой системы и заниматься прочими вредными пользователю и его системе вещами. Поэтому и пестрят форумы сообщениями бывалых любителей Windows о том, что минимум раз в год систему должно переустанавливать, чтобы избавиться от мусора и его производных (тормозов).

Я не радикал, я вообще осторожен и осмотрителен, и нахожу вредным для жизненного тонуса проводить пару выходных дней за переустановкой системы и восстановлением привычной рабочей среды. Поэтому и для борьбы с мусором в системе, оставляемом удаленным ПО, я использую специализированные продукты. Когда-то это был неповоротливый, но эффективный Ashampoo Uninstaller, потом его сменил чуть более шустрый Your Uninstaller 2008, который, правда, грешил и глюкавостью, и небесплатностью. В общем, гармонии в душе все не возникало. Но не перевелись еще на планете хорошие программисты, созидающие во благо человечества, и творения их все еще можно встретить на просторах Интернета. В данном случае речь о компании VS Revo Group, а точнее об их бесплатной (бесплатной!), удобной (удобной!) и эффективной (эффективной!) утилите Revo Uninstaller.

Revo Uninstaller

 

Собственно, ничего сверхестественного она не делает: это просто добротный uninstaller, основными преимуществами которого являются бесплатность, русификация «из коробки», удобный интерфейс и безупречный алгоритм поиска следов удаленного ПО.
Точнее, алгоритмов у программы целых 4:
— встроенный — обычная деинсталляция без дополнительного сканирования системы;
— безопасный — после удаления ПО, Revo сканирует реестр и диск на предмет забытых записей, которые можно безопасно удалить;
— средний — алгоритм шерстит не только явные ссылки в реестре и файлы, но и проводит поиск следов в общепринятых местах хранения данных программы;
— расширенный — в этом режиме Revo копает настолько глубоко, насколько может дотянуться, и вычленяет все, что заподозрит в порочной связи с удаленной программой.

Для вящей безопасности, перед удалением программ Revo создает точку восстановления системы, на которую можно будет откатить ОС, если вдруг возникнут проблемы.

Revo Uninstaller

 

Многократные проверки подтвердили: Revo работает на удивление хорошо, даже саму себя удаляет без намека на остаточные явления. Так что с удовольствием включаю ее в список собственных предпочтений, и другим советую.

Default ,

Тестируем жесткие диски

18 апреля 2009

Ничего важнее жесткого диска в компьютере нет. Процессоры, материнские платы, видеокарты, память и прочий металлолом практически всегда можно безболезненно поменять на аналоги, в том числе менее производительные, не сильно потеряв в функциональности ПК. А вот поломка жесткого диска и, как следствие, потеря данных — это всегда трагедия. Современные технологии хоть и позволяют в большинстве случаев данные восстановить, но не спасают от потерь времени и денег, потраченных на восстановление. Поэтому лучше регулярно проводить их диспансеризацию, нежели потом, когда прижмет, бежать с чемоданом денег в близлежащую фирму, занимающуюся восстановлением данных.

Регулярные медосмотры можно проводить с помощью замечательной утилиты, написанной программистами из Японии, — CrystalDiskInfo. Она умеет делиться с пользователем подробной статистикой по времени работы диска, числом включений/выключений, показаниями температурных датчиков, информацией о версии прошивки и пр. В случае, если показания S.M.A.R.T. заставляют ее насторожиться, программа сразу выдает пользователю уведомление о том, что жесткий диск уже не столь хорош, как раньше (естественно, указывается причина), и, возможно, требует замены.

На скриншоте сразу на 3 дисках из 4 были обнаружены переназначенные сектора (это нечитаемые/незаписываемые сектора, которые система помечает как сбойные, и им на замену назначает некоторый объем памяти из буфера. Их большое количество — верный признак того, что HDD пора менять).CrystalDiskInfo 2.5

CrystalDiskInfo абсолютно бесплатна и не требует установки. Скачать ее можно здесь.

Default , , ,