Group Policy Debug Logging on Windows7/2008/8/2012
Pe vremuri cand faceam troubleshooting pe Group Policy foloseam UserEnvDebug Logging. Cu toate logurile noi si optiunile din event viewer lumea a uitat ca inca mai este posibil acest lucru si pe noile versiuni de Windows.
Pentru a activa acest mod de logging este nevoie sa urmati urmatorii pasi:
1. Deschideti regedit
2. Go to HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion
3. Creati o noua cheie numita “Diagnostics”
4. Creati o noua valoare DWORD numita GPSvcDebugLevel cu valoarea 0x00030002 (hex)
5. Rulati gpupdate /force (sau reboot ca oricum veti dori sa vedeti ce se intampla in procesul de startup cu gpo-urile)
6. Logul il gasiti in %windir%\debug\usermode\Gpsvc.log
Nota: Pentru a dezactiva modul debug setati GPSvcDebugLevel pe 0.
Iata si un exemplu de log in care putem vedea motivul pentru care un GPO nu este aplicat:
Backup online cu OneDrive pentru Android (sau iOS)
Zilele astea mi-am instalat noua versiune a aplicatiei OneDrive (fost Skydrive) pe device-urile cu Android. Si am fost placut surprins sa aflu ca are o functionalitate de backup automat a fotografiilor si filmuletelor.
Nota: Nu stiu cum e cu oferta aia de +3Gb ca eu nu am vazut sa imi creasca quota pe Onedrive.
Bineinteles ca exista setarea de a face backup-ul doar cand exista o conexiune WiFi, tocmai pentru a nu face trafic inutil peste o conexiune de date mobila.
Functionalitatea este binevenita pentru ca Onedrive este super simplu de accesat din Windows si nici nu este nevoie de alte setari suplimentare daca te loghezi cu passport in windows. In felul asta am si backup si access la continutul media de pe telefon.
Exista si alte alternative, probabil si pe Android si pe iOS dar nu stau sa caut acum, am ales Onedrive pentru ca imi este comod.
PS: de exemplu Google+ poate fi setat sa faca backup numai cand ai telefonul la incarcat si pana in anumite rezolutii nu ai limita de stocare.
Protection from Kerberos Golden Ticket – CERT-EU
Via CatalinB am primit si un document legat de Kerberos PtH publicat de CERT-EU
http://cert.europa.eu/static/WhitePapers/CERT-EU-SWP_14_07_PassTheGolden_Ticket_v1_1.pdf
Merita sa aruncati un ochi si sa fiti constienti ca astfel de atacuri sunt posibile acum (prin mimikatz).
Mai jos sunt alte doua link-uri luate din document ce mi se par foarte utile:
http://technet.microsoft.com/en-us/library/bb727066.aspx#ECAA
PS: Sunt curios daca in afara de mine s-a mai confruntat cineva cu nevoia de a urma procedura de Recover from Active Directory Attacks. Anyone?
BitLocker To Go
BitLocker a fost una dintre tehnologiile despre care s-a discutat destul de mult si care prezinta avantaje majore fata de vechiul EFS (inca prezent in Windows; nu prea am mai auzit sa il foloseasca cineva, cu toate ca daca intelegi cum functioneaza e ok si iti ofera o granularitate pe care nu o poti obtine cu BitLocker). Mai nou insa din Windows 7 a aparut si BitLocker To Go despre care o sa vorbim acum.
BitLocker To Go iti permite sa criptezi device-uri portabile si sa te plimbi cu ele intre intre diverse sisteme fara batai de cap si complet secure. Tot ce trebuie sa faceti este sa dati click drepata pe device-ul portabil si sa activati BitLocker.
Nota: Ca sa activati BitLocker To Go aveti nevoie de Windows 7 Ultimate/Enterprise sau Windows 8 Pro/Enterprise. Doar pentru acces, puteti folosi orice versiune.
Din comoditate si nu numai, 99% vor alege probabil protectia cu parola.
Pasul urmator este sa salvati o cheie de recovery ce va este utila atunci cand ati uitat parola. Puteti sa o salvati folosind oricare din optiunile de mai jos, adica sa o aveti simultan si in fisier, si tiparita dar si in contul MS.
Urmatoarea optiune e relevanta doar daca incepeti sa criptati un drive deja “in use”. Daca da, atunci ecrypt entire drive e o alegere mai buna pentru ca protejaza si datele ce teoretic au fost sterse de pe device dar pot fi recuperate.
Pentru un drive aproape gol, criptarea se face instant.
Iar mai jos puteti vedea optiunile disponibile in Control Panel – Bitlocker Drive Encryption
Iata si cum arata in Explorer un drive criptat cu BitLocker To Go:
Exista si optiunea de a face Auto-Unlock pe anumite sisteme (gen calculatorul de acasa sau de la servici). Un singur click activeaza aceasta optiune fara alte intrebari.
Drive-ul criptat poate fi folosit pe orice sistem cu Windows 8, 8.1 sau 7.
Pentru Vista si XP exista un soft numit BitLocker To Go Reader ce poate fi folosit doar pentru acces Read Only la drive. Nu va asteptati ca experienta pe Xp si Vista sa fie la fel, readerul are propria lui interfata de acces si ca sa accesati datele va trebui sa le copiati pe local inainte.
Per ansamblu BitLocker To Go este o tehnologie utila si daca folosesti in special sisteme cu Windows atunci nu prea are cu ce sa te incurce.
In schimb daca folosesti device-ul respectiv pentru a schimba date intre diverse OS-uri si device-uri (telefoane, tablete, televizoare) atunci Bitlocker nu este alegerea potrivita.
In cazul USB Stick-urilor recomand sa aveti cu voi doua astfel de device-uri. Unul pentru datele confidentiale ce trebuie protejate in tranzit si altul pentru transferul ocazional de date intre diverse sisteme.
Despre DNS Forwarders – how many?
Se intampla ca atunci cand setam forwardere pe un server de DNS sa punem cat mai multe in lista, ceva gen imaginea de mai jos, dar am vazut si cu mai multe:
Ce vreau eu sa scot in evidenta este ca un numar prea mare de servere in aceasta lista nu isi are rostul, pentru ca by default mai mult de 3 nu o sa fie interogate cu setarile default.
Serverul DNS are un time limit in care trebuie sa afle raspunsul la o interogare si in functie de asta are timp sa incerce doar un anumit numar de servere.
Acest time limit este definit cu RecursionTimeout (8 Secunde pe W2K8) si mai exista si ForwardingTimeout (3 secunde) ce reprezinta timpul pe care il asteapta pana sa treaca la urmatorul server din lista.
Deci in acele 8 secunde (by default), serverul mai are timp sa incerce doar alte doua servere, asa ca al patrulea este inutil.
Iar optiunea “Use root hints if no forwarders are available” ajunge sa fie folosita doar daca se incadreaza in acest time limit RecursionTimeout.
Detalii despre acesti parametri si cheile de registry respectiva gasiti in urmatorul KB:
http://support.microsoft.com/kb/2834250
Ten Immutable Laws Of Security
Din categoria vechi da bune:
Law #1: If a bad guy can persuade you to run his program on your computer, it’s not solely your computer anymore.
Law #2: If a bad guy can alter the operating system on your computer, it’s not your computer anymore.
Law #3: If a bad guy has unrestricted physical access to your computer, it’s not your computer anymore.
Law #4: If you allow a bad guy to run active content in your website, it’s not your website any more.
Law #5: Weak passwords trump strong security.
Law #6: A computer is only as secure as the administrator is trustworthy.
Law #7: Encrypted data is only as secure as its decryption key.
Law #8: An out-of-date antimalware scanner is only marginally better than no scanner at all.
Law #9: Absolute anonymity isn’t practically achievable, online or offline.
Law #10: Technology is not a panacea.
Si explicatia in caz ca aveti nevoie:
http://technet.microsoft.com/en-us/library/hh278941.aspx
NSA Guide – Reducing the Effectiveness of Pass-the-Hash
Cotrobaind pe net dupa niste tool-uri am gasit un ghid pentru PtH mitigation chiar de la NSA:
http://www.nsa.gov/ia/_files/app/Reducing_the_Effectiveness_of_Pass-the-Hash.pdf
Si ce m-a suprins a fost ca e chiar de actualitate si contine chestii din sistemele de operare noi gen Windows 8.1 si 2012 R2 (Protected Users group, protected LSASS, blocking local accounts, rdp restrictedadmin).
Ghidul nu contine foarte multa informatie insa te indruma catre anumite tehnici/tehnologii/tool-uri si tutoriale.
Vsphere 6.0 Beta
Tocmai ce am aflat ca Vsphere 6.0 beta este disponibil prin link-ul de mai jos:
https://communities.vmware.com/community/vmtn/beta/vsphere-beta
Give it a try!
Activate default Administrator account on Windows 8
By default contul Administrator este dezactivat in Windows 8 si nici nu este vizibil in interfata grafica din Control Panel.
Totusi acesta este vizibil daca folosim comanda NET USER:
Sunt cazuri (putine, recunosc) in care am dori sa activam si sa folosim acest cont.
Unul din modurile prin care il putem activa este tot cu NET USER si anume
NET USER administrator P@ssw0rd
NET USER administrator /active:yes
Prima comanda o folosim pentru a seta o parola initiala pentru acest cont, iar urmatoarea pentru a-l activa. Si brusc contul devine vizibil si din GUI:
Alt mod de a activa contul este din local security policy (Administrator account status):
Si daca ne uitam in explicatia setarii din local security policy mai aflam cate ceva interesant:
Notes
If you try to reenable the Administrator account after it has been disabled, and if the current Administrator password does not meet the password requirements, you cannot reenable the account. In this case, an alternative member of the Administrators group must reset the password on the Administrator account. For information about how to reset a password, see To reset a password.
Disabling the Administrator account can become a maintenance issue under certain circumstances.
Under Safe Mode boot, the disabled Administrator account will only be enabled if the machine is non-domain joined and there are no other local active administrator accounts. If the computer is domain joined the disabled administrator will not be enabled.
OWA pentru Android (preRelease)
Daca va ganditi la OWA traditional (Adica web), nu prea este acelasi lucru ci este ceea ce zice si numele Outlook Web App, o aplicatie pentru Android.
O puteti gasi pe Google Play sau direct in link-ul urmator:
Problema e ca in momentul de fata aplicatia nu poate fi folosita decat pentru Office 365 si mai sunt si alte cateva limitari, gen Android 4.4 minim 
. Mai jos pun descrierea asa cum este pe Google Play:
IMPORTANT: Your mailbox must be on the latest version of Office 365 for business (excludes Office 365 Personal and Office 365 Home Premium).
NOTE: This app won’t work with Outlook.com (formerly Hotmail) mailboxes. Support for on-premise Exchange servers will be announced in the future.
OWA for Android lets you interact with your email, calendar, and contacts from virtually anywhere using your Android phone. You can triage email, manage your schedule, and sync contacts on the go, while protecting your business data.
With OWA for Android you can get work done faster with email:
– Organize your email quickly with Conversation View, Mark as Junk, Flag, and Categories.
– Quickly search or browse email in all folders including Outlook Favorites.
– Use inline apps for shipment tracking, Bing maps for addresses, and other great features.
You can also manage your schedule with ease:
– Schedule meetings using attendee free/busy and room finder features.
– View shared calendars, including delegate support.
– Use your voice to look up a contact or retrieve your schedule:
Take your mailbox’s contacts with you:
– No need to use Exchange ActiveSync to see your mailbox’s contacts on your phone. Use OWA for Android to sync your contacts to your phone.
– Update your contacts’ information from your phone’s address book, which will then be synced back to your mailbox.
– Keep business data secure
– Skip the device administrator setup — we’ll set up a PIN for you within the app. You don’t need a PIN on your device (unless your admin requires encryption)!
– Use remote wipe if your phone is lost or stolen. It erases only your corporate date and leaves your personal data on the device alone.
Requirements:
– Device is running Android 4.4 KitKat or higher
– Mailbox is running on the latest version of Office 365 for business
Ce imi place este ca au facut o separare intre datele din aplicatia de email si restul device-ului, astfel in cazul in care folosesti email-ul companiei se poate face o separare intre business si personal data. Iar asta va aduce inca un plus pentru companiile ce nu se foloseau inca de strategia BYOD pentru ca nu vroiau sa amestece personal cu business.
Pentru outlook.com exista o alta versiune pe care o gasiti aici.