SCCM – контроль здоровья дисков


Существует немало утилит, которые показывают состояние диска по технологии S.M.A.R.T. Все они не пригодны для использования в командной строке и скриптах, и, соответственно, в SCCM. Читать далее

“Enterprise Update” для Windows 7 и Windows Server 2008 R2


Достаточно давно компания Microsoft выпустила отдельным обновлением – Enterprise Rollup Update (KB2775511) широко известным в узких кругах – подборку хотфиксов, которые улучшали работу компонентов Windows 7, используемых исключительно в корпоративной среде.

Теперь ему на замену пришёл Convenience Rollup Update (KB3125574) Читать далее

Изменение в политике отказа от SHA-1


Все уже в курсе, что сертификаты с подписью SHA1 должны быть заменены, т.к. алгоритм SHA1 более не считается надёжным.

Это описано в ноябре 2015 года в статье Microsoft SHA-1 Deprecation Update.

Сейчас появилось дополнение An update to our SHA-1 deprecation roadmap.

Суть в том, что в Microsoft решили ускориться и летом с выходом большого обновления Windows 10 (Anniversary Update) браузеры Internet Explorer и Edge начнут выдавать предупреждение для сайтов с сертификатами, подписанными SHA1, а в феврале 2017 года такие сайты будут блокироваться. Пока заявлено, что блокировка будет распространяться только на сертификаты, чьи корневые сертификаты входят в Microsoft Trusted Root Certificate program. Обновление будет выпущено для Windows 7, Windows 8.1 and Windows 10.

Powershell – перекодировка для консольных утилит


Традиционные приложения (native application) запускаемые в консоли cmd.exe, как правило не являются unicode-приложениями. Иначе говоря, они ожидают ввод и выводят информацию в обычной кодировке, например, CP866 или CP1251. С другой стороны, Powershell является unicode-приложением. Это означает, что Powershell должен выполнять перекодировку в обе стороны при вызове native application. По умолчанию он это делает в большинстве случаев правильно. Но если на целевой системе вместо кодировки по умолчанию для non-unicode программ стоит не «Русский», что соответствует CP866, а «Английский» — CP437, при работе «русской» native application мы получим проблемы: программа не будет понимать ввод, а ее вывод будет абракадаброй.

Ситуацию можно исправить. В Powershell за перекодировку отвечают две переменные:

[Console]::OutputEncoding : отвечает за перекодировку <native application> -> <Powershell>

$OutputEncoding : отвечает за перекодировку <Powershell> -> <native application>

(Есть ещё [Console]::InputEncoding, которая отвечает за ввод с клавиатуры в консольное приложение)

 

Есть ещё случай, когда вывод native application происходит не в консоль, а перехватывается Powershell (например, при удаленном вызове через WS-Management). Тогда полученные строки придётся перекодировать «вручную». Пример такого скрипта https://xaegr.wordpress.com/2007/01/24/decoder/

Спасибо за наводку Александр AKA Kazun

 

Примеры:

[Console]::OutputEncoding = [Text.Encoding]::Unicode

[Console]::OutputEncoding = [Text.Encoding]::UTF8

$OutputEncoding = [Text.Encoding]::GetEncoding(1251)

[Text.Encoding]::Unicode

Owner Rights


Ниже приведена схема, поясняющая работу Owner Rights при назначении прав на ресурсы.

До Windows Vista собственник объекта (папки, файла) имел полные права на изменение ACL этого объекта и мог назначить на этот объект любые права себе или другим пользователям.

Начиная с Windows Vista, появился механизм защиты. Теперь администратор может явно назначать права, которые собственник имеет на ACL своего объекта. Для этого нужно выставить права для псевдопользователя Owner Rights (well-known security identifier (SID) S-1-3-4). Достаточно этому пользователю выставить WRITE_DAC (Change permissions), чтобы он мог создавать объекты, но не мог менять на них права (для изменения прав нужно выставить MODIFY вместо WRITE).

Рекомендуется для применения на файловых серверах.

Полезные ссылки:

  1. AD DS: Owner Rights
  2. ACL Enhancements in Windows Vista and Windows Server 2008

Виртуальные учётные записи в Windows


Виртуальные учётные записи — это самое простейшее, но при этом очень мощное, средство защиты, о котором следует знать системным администраторам.

Время от времени администраторам приходится устанавливать ПО подозрительного происхождения или сомнительного качества. Если это ПО создаёт сервис или является приложением в IIS, то самое время применить Virtual Accounts для ограничения прав такого приложения и уменьшения зоны поражения в случае компрометации приложения. Читать далее

Поиск неиспользуемых сайтов и привилегированных пользователей в Sharepoint


В Sharepoint есть механизм контроля за неиспользуемыми сайтами. В настройках можно включить рассылку уведомлений собственникам сайтов, если сайт не используется более заданного количества дней. Дополнительно можно включить автоматическое удаление такого сайта после отправки указанного количества уведомлений.

Несмотря на наличие такого удобного механизма, бывает необходимо получить список неиспользуемых сайтов в явном виде, например, для архивирования и последующего ручного удаления. Читать далее