Archive | March 2012

Строим Великую китайскую стену из подручных материалов

advfirewall_01

Долгое время, с начала моей ИТ карьеры, я пренебрежительно относился к встроенному в Windows брандмауэру. Причиной такого отношения были как его дурная слава среди моих коллег (мол, “решето”, а не защита), так и мое неумение его корректно настраивать.

Со временем, я понял, что, в большинстве случаев, некоторым ИТ-специалистами, проще  полностью отключить брандмауэр, чем добавить/подкорректировать несколько правил. Я не считаю это приемлемым, т.к. это напрямую приводит к брешам в системе безопасности.

Кроме того, иногда, использование стороннего ПО на серверах/рабочих станциях может быть запрещено политикой ИБ компании. Возможен и другой вариант – представьте себе ситуацию, когда необходимо настроить компьютер неопытного пользователя. Как правило, такие пользователи не обладают знаниями и/или желанием обучать брандмауэр.

Оба описанных варианта подразумевают использование встроенных средств защиты. Цель этой заметки – показать как можно настраивать встроенный брандмауэр. В каждом конкретном случае конфигурация будет зависеть от задач, которые будет выполнять система. Я покажу основы, опираясь на которые, каждый может построить свою Великую китайскую стену.

Важно (!)

  • Синтаксис команд может отличаться в зависимости от версии ОС. В частности, команда netsh advfirewall действительна для ОС Windows начиная с Vista, для более старых версий следует использовать команду netsh firewall.

Для управления брандмауэром я предпочитаю использовать командную строку. Такой подход имеет несколько преимуществ перед GUI. Во-первых, иногда, это единственный способ (в случае с Hyper-V Server или установкой Windows Server в режиме Core), а во-вторых, зная команды можно легко автоматизировать управление с помощью скриптов.

Первое что необходимо сделать – запустить cmd от имени Администратора. Это можно сделать либо через контекстное меню на ярлыке данного приложения, либо ввести “cmd” в строку поиска, а когда объект будет найден, нажать Ctrl+Shift+Enter, затем в окне UAC либо ввести логин:пароль учетной записи администратора, либо продолжить, нажав Alt+Y.

netsh advfirewall – выдаст справку или подсказку о возможных командах

netsh advfirewall show current profile – отобразит параметры текущего активного профиля

netsh advfirewall set allprofiles state on (off) – включить (отключить) брандмауэр, все профили

netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound – блокировать входящие соединения и пропускать исходящие

netsh advfirewall set allprofiles settings inboundusernotification enable включить уведомления о процессах, которые ожидают входящих подключений

netsh advfirewall set allprofiles settings remotemanagement disable – отключить возможности удаленного управления

netsh advfirewall set allprofiles settings unicastresponsetomulticast disable – отключаем ответы на броадкасты

netsh advfirewall set allprofiles logging droppedconnections enable – записывать в логи заблокированные соединения

netsh advfirewall set allprofiles logging maxfilesize 32767 – увеличиваем предельный размер логов до 32 Мб

netsh advfirewall firewall add rule name=”ICMP” protocol=icmpv4:8,any dir=in action=allow – правило, которое разрешает системе отвечать на ICMP запросы, т.е. “пинги”

netsh advfirewall export (import) c:\test.wfw – экспорт (импорт) конфигурации

netsh advfirewall reset – сброс конфигурации на параметры по умолчанию

Это далеко не полный список команд.

Дополнительную информацию можно получить на technet или oszone.

Галерея скриншотов ниже

Kerio Control попал в квадрант Gartner

Kerio_Control_Gartner

Как сообщила пресс-служба Kerio Technologies, 5 марта 2012 года компания Gartner внесла  решение Kerio Control в магический квадрант по UTM системам.

Kerio Control – это результат развития известного корпоративного брандмауэра WinRoute, который за 15 лет своего пребывания на рынке прошел проверку на прочность и успешно используется в компаниях малого и среднего бизнеса по всему миру.

Таким образом, постепенно продукт эволюционировал от простого брандмауэра до UTM – комплексного решения по обеспечению безопасности и мониторингу сети.

Kerio Control выгодно отличается гибкостью развертывания и простотой сопровождения (управление осуществляется через понятный Web-интерфейс). Наличие не только Windows дистрибутивов, но и специального Appliance, который может устанавливаться на “голое” железо либо в виртуальной среде, позволяет упростить интеграцию UTM в инфраструктуру.

На ряду с привычными для брандмауэра функциями, такими как NAT, QoS, Proxy, VPN, Kerio Control предоставляет возможности двойной антивирусной проверки всего трафика, систему обнаружения и предотвращения вторжений (IDS/IPS), контроль пользователями, интеграцию со службами каталога Active Directory (Microsoft) и Open Directory (Apple), удобную систему статистики и формирования отчетов.

В последней стабильной версии 7.3, которая вышла 1-го марта 2012 года, появились такие функции как: полная поддержка IPv6, автоматическая отправка отчетов на email, возможность управления Web-консолью администратора с iPad.

Пресс-релиз на портале Kerio

Windows 8 _ установка с USB накопителей

win8cp_from_usb

Появление USB накопителей послужило поводом отправить CD/DVD накопители в корзину. Простая флешка компактнее, быстрее, вместительней, а главное – надежней любой “болванки”.

(Тут уместно будет вспомнить такую экзотику для нынешнего поколения как обработка царапин CD зубной пастой – кто помнит, тот меня поймет).

Иногда, установка с флешки — это единственный способ * установить ОС на сервер/нетбук, в котором отсутствует оптический привод.

* Я умышленно не упоминаю загрузку по сети.
Мы ведь говорим о простом пользователе, или о ситуации, когда у нас под рукой лишь флешка.

К счастью, разработчики из Редмонда прекрасно понимают что гибкость в развертывании это обязательная черта современных ОС. Именно поэтому, начиная с перехода к использованию WIM – образов (Windows Vista, ядро NT 6.0), семейство Windows официально поддерживает возможность установки с USB накопителей.

Таким образом, начиная с Windows Vista, все последующие ОС (Windows Seven, Server 2008, Server 2008 R2, 8) можно легко установить, используя подготовленную загрузочную флешку.

Следует отметить, что для установки Windows XP/Server 2003 также можно создать загрузочный USB накопитель, но, как правило, эта операция требует дополнительных телодвижений, которые выходят за рамки данного руководства. Вернемся к Windows 8.

 

I. Подготовительные работы

Нам понадобятся:

  1. Рабочий лептоп/десктоп/сервер под управлением Windows NT 6.x *
  2. USB накопитель емкостью не менее 4 Гб
  3. ISO-образ Windows 8 Consumer preview

* ОС, которые “младше” ХР, т.е. подойдет Vista, 7, Server 2008, 2008 R2, 8.

(!) Внимание

  • Описанный ниже способ подходит для создания загрузочной флешки как для Windows 8, так и для Vista, 7, Server 2008, Server 2008 R2, Hyper-V Server и других, дистрибутивы которых совместимы с WIM. Т.е. не ниже/старше Vista;
  • Используя данный способ невозможно из-под 32-битной ОС создать флешку для установки 64-битного дистрибутива (различие bootsect.exe). Следует помнить, что это можно обойти, воспользовавшись 32-битной версией bootsect.exe.

– – – – – – – – – – – – – – – – –

Предыдущую версию “восьмерки”  — Developer Preview можно было установить с флешки используя утилиту Windows 7 USB/DVD Download Tool, которая позволяла записать ISO образ на DVD или USB носитель. Однако на данный момент она не совместима с Consumer Prewiev.

Поэтому нам необходимо закатать рукава и вспомнить что в Windows есть не только “окна” GUI но и консоль. Переходим к самому важному >

 

II. Создание загрузочной флешки

(галерея скриншотов в конце поста)

1. Подключаем флешку. (Все ценное с флешки лучше перепрятать скопировать, т.к. она будет отформатирована).

2. Монтируем ISO образ. Я использую Daemon Tools Lite. Можно просто распаковать ISO.

3. Запускаем cmd (консоль) от имени администратора.

4. Запускаем утилиту diskpart

5. Последовательно выполняем по-очереди перечисленные команды:

DISKPART> list disk                                         ; вывести список подключенных дисков
DISKPART> select disk #                                ; где # – флешка, можно определить по объему
DISKPART> clean                                              ; удалить все разделы на флешке
DISKPART> create partition primary            ; создать основной раздел
DISKPART> select partition 1                         ; выбрать созданный раздел
DISKPART> active                                             ; сделать раздел активным
DISKPART> format fs=ntfs override             ; отформатировать флешку в NTFS
DISKPART> assign                                            ; назначить 
DISKPART> exit                                                  ; завершение работы с утилитой

6. Вернувшись в командную строку переходим в корень примонтированного ISO либо в каталог, куда мы этот ISO распаковали

7. переходим в подкаталог \boot и выполняем команду

X:\boot\bootsect.exe /nt60 Y:                            ;записать загрузочный сектор в формате NT6.0

где Y: – буква, назначенная флешке

8. Все что нам осталось – это скопировать файлы и каталоги дистрибутива на флешку

robocopy X:\ Y:\ /E /ETA

где X: – ISO; Y: – флешка

По завершению операции копирования флешка готова.

Для наглядности предоставлю свои скриншоты:

 

III. Установка ОС с флешки

Тут все как обычно.

Необходимо лишь убедиться в том, что Вы действительно забэкапили важную информацию перед началом установки и не забыли сменить приоритет загрузки в настройка BIOS/CMOS.

Следует отметить, что в процессе установки, на этапе первой перезагрузки (после того, как файлы дистрибутива будут скопированы на жесткий диск системы) флешку можно извлечь.

На этом у меня все. Следите за обновлениями. Удачных экспериментов с “восьмеркой”!

Windows 8 _ VirtualBox

Краткое руководство по установке Windows 8 Consumer Preview в качестве ВМ VirtualBox.

Выход Consumer Preview стал для многих ИТ специалистов и простых пользователей поводом протестировать новую ОС.
Однако, не у всех есть возможность/желание устанавливать Windows 8 CP на “голое железо”. А попробовать все равно хочется.
Специально для тех, кто не воспользовался ранее описанным способом установки на VHD для получения двойной загрузки, я решил опубликовать краткие инструкции по установке Windows 8 CP на Oracle VM VirtualBox.

Следует заметить, что большая часть моей работы тесно связанна с виртуализацией.
И выбор в пользу VirtualBox не случаен.
На мой взгляд, до выхода Windows 8 (в которой нам обещают Hyper-V в клиентской ОС), пока VirtualBox является лучшим гипервизором для виртуализации на десктопной ОС.

Я выбрал именно этот продукт по нескольким критериям:
– широкая поддержка гостевых ОС различных типов
– умеренное потребление ресурсов
– почти бесплатность (для некоммерческого использования)
– кроссплатформенность (я могу легко “мигрировать” свои ВМ между рабочим лептопом (windows) и домашним (linux))
Впрочем довольно. Со средой виртуализации определились.
Теперь перейдем непосредственно к подготовительным работам.

I. Что необходимо проверить перед тем, как приступить к установке Windows 8 CP?

1. Ваша система (ПК, лептоп) должны поддерживать аппаратную виртуализацию.
Это можно проверить воспользовавшись утилитой SecurAble либо Hardware-Assisted Virtualization Detection Tool от Microsoft.

(!) Важно
Следует помнить, что очень часто поддержка виртуализации есть, но она выключена в настройках CMOS(BIOS)


Пример отчета утилиты SecurAble


Пример отчета утилиты Hardware-Assisted Virtualization Detection Tool

2. В Вашей системе должны быть ресурсы для запуска ВМ с Windows 8 CP.
Здесь следует обратиться к системным требованиям, опубликованным Microsoft:

1 GHz or faster processor
1 GB RAM (32-bit) or 2 GB RAM (64-bit)
16 GB available hard disk space (32-bit) or 20 GB (64-bit)
DirectX 9 graphics device with WDDM 1.0 or higher driver

И так, нам понадобиться:
– от 1-го до 2-х Гигабайт оперативной памяти (32/64);
– от 16-ти до 20 Гигабайт свободного пространства на жестком диске (32/64)
– (на хосте) видеокарта с аппаратной поддержкой Dx9

3. У Вас должна быть установлена последняя стабильная версия VirtualBox
На данный момент это 4.1.8

4. Загрузить необходимый ISO образ Windows 8 Consumer Preview можно по ссылке ниже (Microsoft)
ISO-образы Windows 8 Consumer Preview

II. Создание Виртуальной машины (ВМ)

Скриншоты по настройке ВМ можно найти в галерее (в конце этого поста).

(!) Важны замечания по созданию ВМ

– Жесткий диск лучше создавать фиксированного типа – больше производительность, по сравнению с динамическим.
– Я выбрал тип VHD, т.к. мой хост – Windows 7 позволяет монтировать VHD файлы, а значит у меня появляется
возможность в случае чего вытащить файлы/каталоги из жесткого диска ВМ.
– Объем жесткого диска должен быть не ниже мин. требований (учтите что при экспериментах с ПО Вам понадобиться больше свободного места)
– Floppy привод лучше отключить (если конечно он не присутствует на хосте)

Но это все необязательные условия. Так просто удобнее мне.

Обязательные условия для успешной установки Windows 8 Consumer Preview выглядят так:

- Enable IO APIC
- Enable PAE/NX
- Enable VT-x/AMD-V
- Enable Nested Paging

* Эти опции должны быть включены в настройках ВМ.
В этом случае программа установки Windows 8 корректно выполнит инсталяцию системы.

III. Установка Windows 8 Consumer Preview

Тут все как обычно.

IV. Установка дополнений для гостевой ОС

Сразу после входа в систему желательно установить дополнения для гостевой ОС.

* Для запуска установки дополнений воспользуйтесь меню или горячими клавишами:
Devices\Install Guest Additions [Host Key (правый Ctrl) + D]

V. Исправить проблему с разрешением

В процессе тестирования Windows 8 Consumer Preview под VirtualBox,
я столкнулся с неприятным “багом” – я не мог выставить в настройках Рабочего стола 8-ки
“родное” разрешение для дисплея моего лептопа (1366×768 Full Sreen) для работы ВМ в полноэкранном режиме.

Но, я нашел способ обойти этот “баг”.

Что нужно сделать чтобы в списке разрешений появилось “родное” для вашего монитора?

1. Завершить работу всех ВМ.
2. Закрыть сам VirtualBox.
3. Запустить cmd от имени того пользователя, в чьем профиле создавалась ВМ с Windows 8
4. Перейти в каталог с VirtualBox

cd C:\Program Files\Oracle\VirtualBox

5. Ввести следующие команды (именно ввести руками, а не копировать!)

VBoxManage setextradata global GUI/MaxGuestResolution any

VBoxManage setextradata “VM name” “CustomVideoMode1″ “WidthxHeightxDepth“

* Где
VM name = имя виртуальной машины с 8-кой, у меня это “Win8cp”
WidthxHeightxDepth = требуемый режим, для меня это 1366х768х32

6. Закрыть окно cmd
7. Загрузить ВМ
8. Сменить разрешение


– – – – – – – – – – – – – – – – – –

Поздравляю – Вы успешно установили Windows 8 в ВМ VirtualBox.
Удачи в тестировании!

Как и обещал – галерея скриншотов:

В дальнейшем, я буду публиковать в этом блоге свои заметки по Win8.
Следите за новыми постами.

StorageCraft_2.03 Вебинар. Итоги.

Сегодня состоялся вебинар, посвященный решениям компании StorageCraft.
Результаты вкратце можно проиллюстрировать ответами участников опроса:

Презентацию вебинара в формате pdf можно загрузить по ссылке ниже

StorageCraft_v5.1

Windows 8 _ VHD

Новая версия операционной системы Microsoft – Windows 8, как и ее предшественница 7,
поддерживает возможность установки на VHD диск. Это идеальный сценарий для тех, кто желает попробовать новую ОС, но при этом, стремиться сохранить основную, “рабочую” систему. Этот способ также пригодиться тем пользователям, которые не желают вносить изменения в существующую схему разметки жесткого диска. Все что необходимо – наличие свободного места.

Для тех, кто не знаком с этим сценарием – мы просто создаем файл указанного размера на одном из логических дисков системы, затем, подключаем этот диск во время установки Windows 8 и выбираем в качестве назначения.

(!) Важно
Если свободное место позволяет – лучше создавать VHD файл в корне системного раздела.

Сам VHD диск можно создать предварительно, до установки новой ОС (если у Вас установлена Windows 7 или Server 2008 R2), используя оснастку “Управление дисками” (diskmgmt.msc), либо консольную утилиту DISKPART. Однако этот шаг можно выполнить непосредственно в процессе установки новой ОС.

Когда установка Windows 8 дойдет до шага на котором необходимо указать раздел, в который будет установлена ОС,
нужно нажать сочетание клавиш Shift+F10, это позволит открыть окно консоли.
В консоли необходимо выполнить следующие команды:

diskpart
create vdisk file="X:\win8.vhd" type=fixed maximum=32768
select vdisk file="X:\win8.vhd"
attach vdisk
exit

Где X: – буква диска, на котором будет создан VHD файл.
Если возникает путаница с определением нужного раздела, можно запустить notepad.exe из консоли и, воспользовавшись диалогом “Открыть” (Open… Ctrl+O) выяснить какая из букв диска принадлежит системному разделу.

(!) Важно
Файл лучше создавать фиксированный, т.е. он сразу займет заданный объем.
(Зато скорость файловых операций будет несколько выше чем у динамического).
Следует помнить что минимальные требования к свободному дисковому пространству для Windows 8 составляют 16 Гб для 32-разрядной версии и 20 Гб для 64-разрядной версии соответственно.

В примере был создан динамический VHD файл объемом в 19000 б (~ 18,5 Гб), который был размещен в корне диска E:\

После создания и подключения VHD диска, обновив карту разделов (кнопка Refresh) мы можем указать вновь созданный диск в качестве целевого для установки Windows 8.

Более подробно о данном сценарии можно прочесть:

[EN] Scott Hanselman blog – Guide to Installing and Booting Windows 8 from VHD
[EN] Technet – Deploy a Virtual Hard Disk for Native Boot
[RU] OSzone.net – Установка Windows 7 на VHD