Powershell/Windows 7/Windows Server 2008 R2

Fjernadministrering med Windows 7

Posted by ragnar harper on

Med Remote Server Administration Tools (RSAT) kan du administrere Windows Servere fra en Windows klient, i dette tilfellet Windows Server 2008 R2 fra Windows 7.
Med RSAT får du alle de nødvendige grafiske verktøyene – også ServerManager. Samtidig får du providers for Powershell slik at du kan jobbe med  Active Directory, Group Policy, Failover Clusters og NLB.

image

Etter at du har lastet ned RSAT fra Microsoft Downloads må du gå til Add/remove Windows Features i kontrollpanelet for å velge de komponentene du ønsker å aktivere. 

I tillegg trenger du å aktivere fjernadministrasjon på Windows Server 2008 R2 på følgende måte:

1. På den serveren du ønsker å administrere åpner du Server Manager. Velg Start, deretter Administrative Tools, og velg Server Manager.
2. Under Server Summary velger du Configure Server Manager Remote Management.
3. Velg “Allow remote management of this server from other computers by using Server Manager and Windows PowerShell”. Trykk OK.

På din Windows 7 klient må du sørge for at WS-Management kjører:
Start en Powershell sesjon som administrator (høyreklikk på Powershell ikonet, og velg “Run Windows Powershell As Administrator”).  Deretter starter du “Windows Remote Management” (WinRM) tjenesten på følgende måte: Start-service winrm (Enter). Du kan nå se om tjenesten gjører med: Get-Service winrm.

Nå er alt klart for GUI administrasjon, men la oss se litt videre på Powershell:

image Du kan velge å importere alle modulene ved å høyreklikke på Poweshell ikonet image og velge “Import All Modules”.  Eller du kan starte Powershell og bruke kommandoen Get-Module –ListAvailable  for å se hvilke moduler som er tilgjenglige. Deretter kan du importere de du trenger ved å kjøre kommandoen Import-Module, for eksempel:

Import-Module ActiveDirectory

  Import-Module GroupPolicy

Hvis du nå ønsker å se hvilke kommandoer du har fått tilgjenglig gjør du dette igjennom Get-Command, for eksempel for å se kommandoer tilgjenglig på GroupPolicy: Get-Command –Module GroupPolicy

Dette skulle hjelpe deg i gang – neste artikkel viser litt om kommandoene 🙂

Link for å laste ned RSAT for Windows 7:
http://www.microsoft.com/downloads/details.aspx?FamilyID=82516c35-c7dc-4652-b2ea-2df99ea83dbb&displaylang=en

AD RMS/PKI/Sikkerhet/Windows Server 2008

Hvorfor Active Directory Rights Management Services?

Posted by ragnar harper on

For tiden jobber jeg ganske tett på AD RMS, og tenkte i den anledning å skrive noen innlegg om AD RMS.

Behovet for sikkerhet har endret seg. Tidligere var det kanskje nok med med adgangsstyring på mappe nivå i filsystemet. Nå kopieres dokumenter til USB enheter, sendes på epost og ligger på bærbare datamaskiner rundt omkring.

Med Active Directory Rights Management Services (AD RMS) kan man legge beskyttelsen i dokumentet – og den følger dokumentet. Utover tradisjonell kryptering gir dette støtte for at man også kontrollerer hva man får gjort med innholdet. For eksempel kan man nekte utskrift, nekte endring eller sette utløpsdato på innholdet.

En epost kan for eksempel sendes med en policy som nekter mottaker å videresende eposten.

Om en bruker kopierer et dokument til en USB minnepinne og tar denne med seg hjem til sin hjemmemaskin, vil dokumentet fortsatt ha samme grad av beskyttelse som om det fortsatt lå i bedriftens datasenter.

AD RMS er brukervennlig og integrert med Microsoft Office, Sharepoint og Exchange. Det fungerer også på Windows Mobile enheter, og gjennom tredjepartsleverandører har det bred støtte for ulike dokument format.

Hvilke typiske tilganger kan du styre gjennom AD RMS?

• Se innhold

• Se rettigheter

• Skrive ut

• Lagre

• Lagre som

• Klipp og lim

• Redigere

• Kjøre makroer

• Videresend (epost)

• Svar(epost)

• Svar alle(epost)

• Utløpsdato

• Utløper etter N dager

AD RMS gir deg sentral oversikt over hvem som aksesserer hvilke dokumenter, og du kan begrense brukere og/eller applikasjoner fra å kunne benytte RMS beskyttet innhold.

Iforhold til tradisjonell kryptering er AD RMS en mer dynamisk tilnærming, hvor adgangen også kontrolleres etter at den er gitt. Man kan trekke tilbake adganger som, og man kan gi adganger, selv etter at krypteringen er utført.

Selvsagt finnes det måter for en som har adgang til å gå rundt en slik sikring – for eksempel gjennom "det analoge hullet” – men det er stopper utilsiktede lekkasjer.

Kommandolinje

Kort om FSUTIL.exe

Posted by ragnar harper on
FSUTIL.EXE

(Windows XP/2003/Vista/2008)
(krever administrative rettigheter)

Fil og volum spesifikke kommandoer for blant annet hardlink og kvotehåndtering.

Opprette hardlink

FSUTIL hardlink create <nytt navn> <eksisterende navn>
FSUTIL hardlink create c:\foo.txt c:\bar.txt

Opprette ny fil av bestemt størrelse

FSUTIL file createnew <filnavn>
FSUTIL file createnew c:\foo.txt 5000

Liste alle stasjoner (også oppkoblede og stasjoner opprettet med subst)

FSUTIL fsinfo drives

Håndtering av kvoter (quota)

FSUTIL quota { query | disable | track | enforce } C:

Liste ut brudd på kvotetildeling:

FSUTIL quota violations

Liste ut filer etter brukernavn

FSUTIL file findbysid <brukernavn> <katalog>
FSUTIL file findbysid Ragnar c:\users

Konferanse/Sikkerhet

HackCon 2009

Posted by ragnar harper on

Jeg skal prate om Windows Server 2003/2008 på HackCon 2009. Teamet vil være “How Microsoft does IT”, og jeg skal prate om sikring og sikkerhet rundt Windows Server. Dette er på en egen Microsoft dag den 16 Februar.

Hvis du er der – husk å si hei 🙂

DRM

Pirater i det digitale marked

Posted by ragnar harper on

En artikkel jeg skrev i 2006 som fortsatt er aktuell. Da en del har spurt etter denne poster jeg den her på nytt.

Gi forbrukeren frihet

Fildelere og kopisperrer er i vinden for tiden, og mange har meninger om dette. Forbrukere, forhandlere og produsenter har gjerne ulik tilnærming på problemet med det resultatet at forbrukeren blir den glemte og tapende part. Denne trenden må helomvendes.

Dagens problem er at beslutningen om hvilke mekansimer som skal benyttes blir tatt av aktørene uten at forbrukeren er satt i sentrum. For å gjøre profitten størst mulig legger man inn begrensinger på sluttproduktet som vi forbrukerne må lide for. Vi vil her prøve å sette agenda for en viktig del av DRM (Digital Rights Management) diskusjonen videre.
Vi tør påstå at dagens beskyttelsesløsninger spesielt for lyd og film har feilet, og at man nå må se på hva det er man ønsker å oppnå, og hva som er realistisk.

Alice: “Would you tell me, please, which way I ought to go from here? “
The Cat: “That depends a good deal on where you want to get to”
Alice:”I don’t much care where.”
The Cat: “Then it doesn’t much matter which way you go.”
– fra Alice in Wonderland

Intet kvalitetstap med kopiering
Lyd og film er teknologisk vanskelig å stoppe, fordi det må over til en analog form som kan oppfattes av våre øyne og ører. Vi betegner dette ofte som det analoge hullet. Alt kan angripes gjennom de samme mekanismene, for eksempel ved å spille av en sang og gjøre opptak av den, i sin simpleste form ved hjelp av mikrofon. Men som oftest vil opptaket skje internt på en PC, og ikke ha vesentlig kvalitetstap, om noe kvalitetstap overhodet. Hvis forbrukeren fjerner kopisperren for å benytte filen på annen avspiller vil forbrukeren oppfatte dette som legitimt, og i tillegg kan han uten fare for å bli oppdaget legge dette ut på en fildeler, for å spare andre for bryet.
Videre knytter dagens løsninger forbrukeren opp til en leverandør, og setter også begrensninger på hvilke enheter brukeren kan benytte innholdet på, som eksempel kan Itunes/Ipod trekkes frem. Her er forbrukeren prisgitt Apple’s valg og skjebne fremover.

Fjern begrensninger

Det bransjen bør fokusere på er å gjøre det mindre attraktivt med fildeling, ikke å låse forbrukeren til en bestemt plattform eller teknologi. Dagens teknologi bremser kanskje noe av fildelingen mellom venner, men ikke massedistribusjon over fildelere. Lekkasjen mellom venner har alltid vært der, også med tidligere medium slik som CD’er og kassetter. Det ”nye” med Internett er at det gjør det enklere å massedistribuere enn før, og det er dette problemet man må løse.
Vår påstand er at alle forsøk hittil med å begrense brukerens adgang til egne filer har gått galt, og alle løsningene kan betraktes som forbrukerfiendtlig, da de begrenser forbrukerens adgang til eget bruk.
Vår mening er at forbrukerfiendtlige løsninger uansett taper, og at man må bygge løsninger som tar vare på forbrukeren. Bygger man løsninger som tar vare på forbrukerns behov for å benytte innholdet på ulike enheter, fjerner man også mye av forbrukerens behov for å knekke kopisperren.

Gi forbrukeren frihet

Forbrukeren vil ha frihet til å benytte det han har kjøpt på de avspillerne han vil. Han eller hun vil kanskje høre musikk på mobiltelefon, MP3 spiller eller PC.
Sannheten i dag er at det som finnes på fildelernettverkene møter forbrukerens behov bedre enn det man får kjøpt i butikken eller på nettet.
Direktør i Sony BMG, Lena Midtveit sier på TV2 nyhetene at verdien av ulovlig nedlastning av musikk ligger i størrelsesorden 8-16 milliarder NOK årlig. For 2006 ligger verdien av lovlig nedlasting på 6,5 millioner frem til sommeren. I tillegg faller CD salget med 17% 1 kvartal 2006, sammenlignet med 2005. Dette bekrefter at forbrukeren flytter seg over til Internett, og henter musikken, lydbøker og filmer der. Kanskje er musikk tidlig ute her, men de andre vil nok følge etter raskt. Her virker det som Lena Midtveit og musikkbransjen har forstått problemstillingen med massedistribusjon, men desverre gir dagens teknologiske løsninger ingen god måte å håndtere dette på.

Felles lansering verden over

Ulik lanseringstidspunkt over verden, eller DVD’ens soneinndeling er også etter vår oppfatning vanskelig, om ikke umulig å håndheve. Med Internett har vi fått en markedsplass, og tilbyderne må tilpasse seg dette. TV’serier slik som 24 sendes først i USA, hvor de legges ut for nedlastning på Internett øyeblikkelig. På den måten kan alle, hvor som helst i verden, se dette samtidig. De som taper penger på dette er de lokale tilbyderne, som ikke kan vise dette før senere. Verden er et klikk unna, og dette må man ta til seg.
Tar man ikke dette problemet snart på alvor, vil bransjens tap bli større og større. Tar man grep nå, kan man ennå redde markedet. Det er til syvende og sist forbrukeren vi lever av, og leverandøren må tilpasse seg forbrukerens behov!

Certificate Services/Windows Server 2008

Konfigurering av Online Responder

Posted by ragnar harper on

Vi har tidligere sett på installasjon av Online Responder tjenesten og konfigurering av CA relatert til online responder. Denne gangen skal vi se på hvilke konfigureringsalternativer vi har på Online Responder. Blant annet vil vi se på proxy, logging og sikkerhetsinnstillinger.

Konfigurering av Online Responder gjøres fra Online Responder Management konsollet. Du trenger rettigheter som lokal administrator.

Når du har starter Online Responder Management finner du din(e) online responder til venstre. Høyreklikk på den du ønsker å konfigurere, og trykk Properties. Du får nå opp et bilde med tre arkfaner; Web Proxy, Audit og Security.

Web Proxy

Under arkfanen web proxy kan du sette “Web Proxy Threads” og “Cached Entries”.
Web Proxy Threads  brukes til å spesifisere antallet tråder som er allokert for Online Responder. Med andre ord hvor mange klient forespørsler Online Responder kan håndtere samtidig. Å øke denne verdien betyr at man kan håndtere flere samtidige forespørsler, men også bruke mer minne.

Cached Entries spesifiserer antallet oppslag som kan caches i minnet.Anbefalt størrelse er mellom 1000 og 10 000.En høyere verdi vil bruke mer minne, men også frigjøre andre ressurser da det blir mindre oppslag og signering. Hvert oppslag som caches vil sånn ca ta 2KB (antatt ut fra en nøkkelstørrelse på 1024 bits på signeringssertifikatet.)

Audit

Her bestemmer du hvilke hendelser som skal logges til event loggen. Du kan velge mellom følgende hendelser:

  • Start/stop the online responder service
  • Changes to the online responder configuration
  • Changes to the online responder security settings
  • Requests submitted to the online responder
Security

Under Security kan du bestemme hvem som skal ha Read, Proxy Requests og Manage Online Responder rettigheter.

  • Read; lov til å lese konfigurasjonen på Online Responder
  • Manage Online Responder; lov til å administrere Online Responder
  • Proxy Requests;Lov til å proxye forespørsler til Online Responder gjennom grensesnittet IOCSP-RequestD.
Revocation konfigurering

En såkalt “revocation configuration” må finnes for hver CA som refererer en online responder. For å opprette en revocation konfigurering gjør du følgende:

  1. Start Online Responder Managemen med en bruker som har Manage Online Responder rettigheter
  2. Åpne navnet på Online Responder du ønsker å konfiguere (du vil se DNS navnet på denne i lista til venstre)
  3. Trykk på “Revocation Configuration”
  4. Høyreklikk på “Revocation Configuration” og velg “Add Revocation Configuration”
  5. Trykk “Next” på Getting Started … bildet
  6. På neste side (Name the Revocation Configuraton") skriver du inn et beskrivende navn for konfigurasjonen, og trykker “Next”
  7. Neste side (Select CA Certificate Location) gir deg tre valg:
    1. Select a certificate for an existing enterprise ca Dette valget brukes hvis du skal være online responder for en enterprise CA i samme forest. Sertifikatet hentes da fra Active Directory Domain Services
    2. Select a certificate from the local certificate store Bruk dette valget hvis sertifikatet finnes lokalt på online responder maskinen
    3. Import a certificate from a file Sertifikatet importeres fra fil
  8. Siden du kommer til å (Choose CA Certificate) avhenger av valget på punkt 7.
    1. Valgte du 7.1 får du velge hvilken CA i forest du skal bruke
    2. Valgte du 7.2 kan du velge CA sertifikat fra lokal sertifikat store
    3. Valgte du 7.3 velger du sertifikat fra filsystemet
  9. Nå skal du velge sertifikat å signere svarene med (Select Signing Certificate). Her kan du velge mellom manuell eller automatisk innrullering av OCSP signeringsertifikat. Trykk deretter “Next” og tilslutt “Finish”.
    MERK: Sertifikatet blir lagt inn i online responderens tjenestebrukerens certificate store. Du må altså peke certificate snapin mot service brukeren for online responder for å se dette sertifikatet
Exchange

HERO – Møteromsoversikt for Exchange

Posted by ragnar harper on

Med Exchange Ressursoversikt kan du enkelt vise oppsummerende oversikt over bruk av ressurser. Det beste eksemplet er å lage oversikt over møterom, og bruken av disse. Men det kan også være leiebiler, avtaler eller annet du ønsker å vise. Webapplikasjonen virker både mot Exchange 2003 og Exchange 2007.

Layout styres av .NET 2.0 masterpages og ei stylesheet fil. Det er enkelt å tilpasse til det layout du ønsker.

Exchange Ressursoversikt leser brukere fra angitte OU´er eller fra fil, og presenterer disse i en helhetlig liste. Som standard kommer Exchange Ressursoversikt med følgende visninger:

· Standard

· Rapport

· Schedule

· Full Schedule

Du henter frem visningene ved å bruke URL angivelse. URL kan ta parameter for dato og OU, slik at du enkelt kan vise ulike grupperinger og datoer.

Standard:

clip_image002

I standard visning vises dagens møter som ikke er fullførte (sluttidspunktet er ikke passert). Etter hvert som sluttidspunktene passeres fjernes møtene fra lista. Denne visningen har i tillegg mulighet for en rulletekst, som for eksempel kan brukes til å ønske møtedeltakere velkommen.

Standard visning kan gjerne benyttes på en stor skjerm i tilknyttning til resepsjon eller ankomst areal.

Rapport

clip_image002[4]

I rapport visningen kan du velge å se møter idag, imorgen, i overmorgen, neste fem dager osv. Denne visningen er godt egnet til rengjøringspersonell , vakter eller andre som trenger oversikt over hvordan ressursene skal benyttes fremover.

Schedule

I Schedule visningen får du alle ressursene listet opp, om de er opptatte eller ikke.

Ved å holde musmarkøren over ressursnavnet får du frem opplysninger om ressursen. For et møterom kan dette være opplysinger som Antall plasser, Utstyr og plassering. Holder du musmarkøren over ”opptatt” tidspunkt vil du få frem møtets emne og hvem som er eier av møtet.

Schedule visningen viser mellom klokken 07 og 1630

clip_image004

Full Schedule

Forskjellen mellom Schedule og FullSchedule er at FullSchedule viser mellom klokken 07 og 22.

clip_image006

Hvis du har lyst til å lære mer – ta kontakt!

Certificate Services/Windows Server 2008

Implementering av Online Responder i Windows Server 2008

Posted by ragnar harper on

I denne artikkelen vil jeg se på hva Online Responder i Windows Server 2008 er, og hvordan du kan implementere den.
Selv om det er mulig å installere Online Responder ved å følge en oppskrift som dette, anbefaler jeg deg å planlegge PKI installasjonen på forhånd. Det er ikke nødvendigvis enkelt å gjøre endringer i en PKI installasjon på et senere tidspunkt, da en del informasjon knyttes til sertifikatene som utstedes.

Nok advarsler, la oss se på Online Responder.

Hva er Online Responder?

En Online Responder er basert på protokollen OCSP (Online Certificate Status Protocol) og er en effektiv måte å sjekke ett bestemt sertifikats status. Istedet for at klienten laster ned en CRL (Certificate Revocation List)  som inneholder alle ugyldige sertifikater, sender klienten en forespørsel til en online responder om statusen til ett bestemt sertifikat. Online responder returnerer status kun for det forespurte sertifikatet. Det er kun Vista og Windows Server 2008 som støtter Online Responders “out-of-the-box”, men på tidligere versjoner av Windows kan man bruke tredjepartsleverandører som for eksempel Tumbleweed.

Installasjon av Online Responder

Online Responer kan implementeres etter at Active Directory Certificate Services er installert, men før sertifikater utstedes. Her er prosessen du kan følge for å implementere Online Responder:

Om du ikke allerede har installert Online Responder tjenesten må du gjøre dette.

  1. Installer rollen Active Directory Certificate Services
  2. På siden for “Select Role Services” velger du Online Responder
  3. Ta med alle påkrevde tjenester (du får isåfall varsell om dette)
  4. Fullfør veiviseren
Konfigurere CA til å benytte Online Responder

Deretter må du konfigurere CA til å utstede sertifikater med URL til Online Responder

  1. Logg på CA med en bruker som har “Manage CA” rettigheter
  2. Start Certificate Authority konsollet
  3. På venstre side i konsollet finner du CA Serverens navn, høyreklikk på dette
  4. I dialogboksen som kommer frem (Properties), åpner du arkfanen “Extensions” (figur 1)
  5. Velg Authority Information Access (AIA) fra Select Extension , og klikk ADD
  6. I dialogboksen som nå kommer frem skriver du URL til Online Responer i Location ( figur 2 ) – klikk deretter OK
    1. Standardplassering til en online responder er /ocsp (http://ocsp.firma.no/ocsp)
  7. Tilbake i “Extensions”,velger du Online Responer URL´en du nettopp la til fra listen over URL´er, og klikker på “Include in the AIA extension of issued certificates”
  8. Klikk OK, og svar JA på å restarte Certificate Services

Dette kunne også være gjort fra kommandolinja med følgende bruk av certutil:

certutil –setreg CA\CACertPublicationURLs “1:%windir%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n2:http://pki.firma.no/CertData/%%1_%%3%%4.crt\n2:ldap:///CN=%%7,CN=AIA,CN=Public Key Services,CN=Services,%%6%%11\n34:http://ocsp.firma.no/ocsp”

image
image

Figur 1

Figur 2

Konfigurere OCSP Response Signing Certificate Template

En Online Responder må signere sine OCSP svar. For å utføre denne signeringen trenger den ett sertifikat å signere med. Windows Server 2008 kommer med en template (eller mal om du vil) som støtter dette. Denne template´n er av type Windows Server 2008 (version 3) og er prekonfigurert med støtte for alle extentions og attributter.

Template´n har følgende egenskaper:

  • Gyldig for to uker, og fornyes to dager før utløp
  • Template gir leserettighet for Network Service kontoen, slik at denne kan lese sertifikatets private nøkkel.
  • Inneholder ingen AIA eller CDP extensions
  • Inneholder OCSP No Revocation Checking extension (1.3.6.1.5.5.7.48.1.5) ; dette betyr at OCSP signeringssertifikatet ikke blir testet for gyldighet på CRL listen

Den eneste endringen du trenger å gjøre på denne malen er å gi Read og Enroll rettigheter til hver Online Responder maskinkonto.

NB! Ikke gi AutoEnroll rettigheter til Online Responder maskinene. En Online Responder vil etterspørre flere OCSP Response Signing sertifikater (en per revocation provider) og autoenrollment vil kun fornye en av sertifikatene.

Nå må du aktivere denne template´n på en Windows Server 2008 Enterprise CA gjennom følgende prosedyre:

  1. Logg på CA med en bruker som har “Manage CA” rettigheter
  2. Start Certificate Authority konsollet
  3. Høyreklikk på Certificate Templates noden, og velg New – > Certificate Template To Issue
  4. I listen med tilgjenglige templates velger du OCSP Response Signing (som du nettopp modifiserte) og klikk deretter OK

    image
    Selve Online Responder tjenesten kjører som Network Service. Vi må derfor hake av for “Add Read Permission to Network Service on the private key(enable for machine templates only)” under “Request Handling” på OCSP Response Signing template´n. Dette er vist i figur 3.
    Merk at dette gjelder en Windows Server 2008 CA. På Windows Server 2003. På en Windows Server 2003 CA må du manuellt gi Network Service leserettigheter til sertifikates private nøkkel. Oppsummert gjøres dette på sertifikatet etter at det er utstedt. (Høyreklikk på sertifikatet og velg All Tasks –>Manage Private Keys. Gi Network Service Read rettigheter)

    Figur 3

    Nå har vi installert Online Responder, og konfigurert CA til å utstede sertifikater som er knyttet opp mot Online Responder. Hvis det er interesse for det kan jeg senere også lage en artikkel på konfigurering av Online Responder.