AppLocker и CRL


Проверка списков отзыва сертификатов (CRL) полезная вещь позволяющая нам избежать взаимодействия с системами, у которых скомпрометирован сертификат.

Со временем политика использования сертификатов на Windows системах ужесточается. Мы все ощутили это в то время, когда RDP клиент на Windows 7 начал делать жесткие проверки сертификатов. Многие инфраструктуры пришлось тогда подчистить и подправить, чтобы пользователи не испытывали проблем с подключениями к удаленным рабочим столам.

Проверки CRL также могут вызывать проблемы — в виде задержек. Это уже было в нашем опыте с Sharepoint и Exchange серверами. Собственно это все тот же CAPI.

На днях выяснилось, что этой проблеме подвержен AppLocker. Оказывается, даже если он выключен, он всё равно работает где-то в недрах системы, пытается что-то проверять и даже провоцирует проверки сертификатов и CRL. А уж если он включен, и настроены правила Publisher, то и подавно.

Это имеет один неожиданный побочный эффект. Собственно так это и было обнаружено. Суть в том, что PowerShell имеет встроенную поддержку AppLocker, т.е. делает специальные вызовы API, чтобы проверить можно ли запускать тот или иной скрипт. Побочный эффект в том, что из-за проверок CRL в AppLocker PowerShell может работать медленнее: задержка запуска, задержки при загрузке модулей, задержки при выполнении скриптов.

Надо отметить, что эта проблема чаще всего возникает в изолированных сетях. Но иной раз и в сетях, которые просто неправильно сконфигурированы (фаервол и, особенно, DNS).

Неправильно сконфигурированные сети надо лечить.

Рекомендация для изолированных сетей простая: групповыми политиками уменьшить тайм-аут проверки CRL.

Ссылки:

Рекомендация отсюда

Обсуждение PowerShell

Процент выполнеия команды сжатия базы данных


Запустил сжатие MS SQL базы данных SharePoint на днях и наблюдал долгое время «рюмку». Обычно эта операция занимала секунды, но тут по-видимому большой размер и наличие партиций сказались. Отсутствие индикации процесса несколько беспокоило. Оказывается процент выполнения можно посмотреть простой командой:


SELECT percent_complete FROM sys.dm_exec_requests WHERE command = 'DbccFilesCompact'

Окончание времени жизни Exchange Server 2007


11 апреля заканчивается поддержка Exchange Server 2007. И не только его: время жизни всей линейки продуктов 2007 (Office, Sharepoint) подошло к концу.

В продолжении их использования есть множество проблем. Две основные:

  • не будет обновлений безопасности
  • не будет обновлений временных зон (а наши депутаты никак не угомонятся)

Те, кто использует продукты этих версий, вынуждены будут либо мигрировать на Офис 365, либо на корпоративные продукты более новых версий.

Что касается Exchange, то мигрировать получится либо на Exchange 2010, либо на Exchange 2013 — прямая миграция на 2016 не поддерживается.

Более подробно в статье Exchange 2007 End of Life Roadmap