Na stronach Microsoft TechNet udostępniono artykuły z czerwcowego numeru TechNet Magazine. Tematem przewodnim najnowszego wydania jest bezpieczeństwo.
W czerwcowej odsłonie magazynu znajdziemy sześć artykułów dotyczących bezpieczeństwa:
Na polskim portalu Microsoft TechNet opublikowany został artykuł o Group Policy Preferences autorstwa Roberta Stuczyńskiego, opiekuna działu Windows Server na portalu WSS oraz MVP w tejże kategorii. Publikację podzielono na trzy części. Jeżeli szukacie informacji na temat Group Policy Preferences czy nowej konsoli Group Policy Management Console to odsyłam do poniższych stron:
Group Policy Preferences - cz. I
Group Policy Preferences - cz. II
Group Policy Preferences - cz. III
Zachęcam również do lektury bloga technicznego prowadzonego przez Roberta: http://noiserobert.spaces.live.com
Microsoft właśnie udostępnił poprawkę, która rozwiązuje problem szczegółowo opisany w KB950190: “Files on a home computer that are compressed by using NTFS compression may not be backed up correctly by Windows Home Server”.
Sam problem jest opisany jest dokładnie w artykule KB - zachęcam do lektury. Poniżej link do poprawki, którą pobrać można z poziomu Centrum Pobierania Microsoft.
Już w najbliższy wtorek, 13 maja Microsoft planuje wydać cztery biuletyny zabezpieczeń - w tym trzy z “krytycznym” wskaźnikiem wazności. Biuletyny “krytyczne” dotyczą produktów z rodziny Microsoft Office oraz Microsoft Windows. Czwarty z biuletyów, oznaczony poziomem “średni”, dotyczy Windows Live OneCare, Microsoft Antigen, Microsoft Windows Defender, Microsoft Forefront Security. Na 14 maja (środa) zapwoiedziano webcast poświęcony w pełni aktualnym biuletynom.
Microsoft Security Bulletin Advance Notification for May 2008
TechNet Webcast: Information About Microsoft May Security Bulletins (Level 200)
Microsoft udostępnił oficjalnie Service Pack 3 w ramach Windows Update, poinformowano również o dostępności SP3 w Windows Server Update Services. SP3 dostępny jest dopiero teraz, gdyż w ostatniej chwili pojawił się problem z komatybilnością pakietu z systemami, na których działa Microsoft Dynamics Retail Management System (szczegóły w artykule KB951937). Aby zainstalować SP3 należy skierować się na witrynę Windows Update. SP3 wdrażać mozemy spokojnie, jeżeli na naszym komputerze działa MS Dynamics RMS zadziała filtr, który zablokuje dalszy etap instalacji.
Dla osób, które chcą się dowiedzieć “co nowego w SP3″ polecam artykuł w języku polskim Omówienie dodatku Service Pack 3.
Zespół Windows PowerShel poinformował na łamach bloga produktowego o dostępności Windows PowerShell V2 Community Technology Preview 2.
Pobierz Windows PowerShell V2 CTP2
Twórcy podkreślają, że jest to bardzo niestabilna wersja i nei należy stosować jej w środowisku produkcyjnym.
Uwagi należy zgłaszać poprzez witrynę Microsoft Connect (z prefiksem CTP2), na grupie dyskusyjnej Windows PowerShell bądź komentując wpis na blogu zespołu.
Dobra wiadomość dla posiadaczy subskrypcji TechNet - jak podano na oficjalnym blogu - właśnie udostępniono obraz płyty instalacyjnej Windows XP ze zintegrowanym Service Pack 3. Na dzień dzisiejszy dostępnych jest dziewięć wersji jezykowych: Chiński-uproszczony, Angielski, Francuski, Niemiecki, Włoski, Japoński, Koreański, Portugalski (Brazylia) oraz Hiszpański. Dodatkowe wersje jezykowe pojawią się wkrótce, gdy staną się oficjalnie dostępne.
Klient NAP dla Windows XP, który wchodzi w skład trzeciego Service Pack wraz z samym dodatkiem osiągnął status RTM (”released to manufacturing”). Obecnie Service Pack 3 testować mogą już subskrybenci TechNet i MSDN, zaś na wczoraj zapowiadana była publiczna premiera dla angielskich wersji językowych.
W poniższej, krótkiej publikacji chciałbym pokazać w jaki sposób należy skonfigurować klienta NAP w przypadku systemów Windows Vista i Windows XP SP3.
Wprowadzenie do Network Access Protection
Network Access Protection - pisząc w dużym skórcie - to zbiór komponentów zawartych w systemie Windows Server 2008 pozwalajacych na stworzenie platformy weryfikacji “zdrowia” komputerów, które chcą komunikować się lub uzyskać dostęp do sieci prywatnej. Uzyskiwane jest to poprzez implementację, trafniej ujmując “granulację” wprowadzanych polityk. Przykładowo: komputer kliencki próbuje uzyskać dostęp do naszej prywatnej sieci, “przedstawia” stan zdrowia systemu. Jeżeli stan zdrowia systemu został zweryfikowany jako pozytywny (na podstawie polityk, które wprowadziliśmy), klient uzyskuje dostęp do sieci, jeżeli nie, komputer teoretycznie dostępu nie ma wcale lub do bardzo wąskiej liczby zasobów do czasu, aż “uchybienia” bezpieczeństwa zostaną skorygowane.
Komponentami architektury NAP są tzw. System Health Agents (SHA) oraz System Health Validators (SHV). Mówiąc o SHA mamy na myśli komponent z systemów Windows Vista oraz Windows XP Service Pack 3, który pełni funkcję “monitora” stanu Windows Security Center (Centrum Zabezpieczeń). SHV zaś to moduł z Windows Server 2008. Za ”wymuszanie” polityk zdrowia dla poszczególnych rodzajów połączenia odpowiadają “Enforcement Components“: Enforcement Clients i Enforcement Servers. Microsoft podaje w oficjalnej dokumentacji, że na całą infrastrukturę sieci z włączonym Network Access Protection składają się następujące elementy: NAP clients (czytaj następny akapit), NAP enforcement points (komputery bądź urządzenia korzystające z NAP bądź używane z NAP do weryfikacji kondycji zdrowia klientów), NAP health policy servers (komputery z działającym systemem Windows Server 2008 i usługą NAP, przechowuje polityki wymgań stanu zdrowia oraz weryfikujestan klienta) , health requirement servers (dostarczają aktualny stan zdrowia dla NAP health policy servers), AD Domain Service (usługa katalogowa Windows, która przechowuje dane kont i ustawienia oraz dane Group Policy) i restricted network (oddzielna, odseparowana sieć).
Wracając do tematu: “Czym jest klient NAP?”. Klient NAP to komputer, który wspiera platformę Network Access Protection. Na tym etapie warto napisać, jakie wersje systemów Windows mogą działać jako klient NAP - są to Windows Server 2008, Windows Vista oraz wspomniany w tytule Windows XP z Service Pack 3. I tu można zadać dodatkowe pytanie - “Słyszałem o kliencie NAP dla Windows XP SP2.” Owszem, taki oddzielny klient NAP dla SP2 był dostępny w programie beta, ale w tej chwili już wiadomo, że projekt nie będzie rozwijany i jedynym sposobem na rozwiązanie problemu jest aktualizacja XP SP2 do SP3.
Konfiguracja klientów wymuszania przy użyciu przystawki “Konfiguracja klienta ochrony dostępu do sieci”
W Windows Vista mamy do dyspozycji przystawkę Network Access Protection Client Configuration (napclcfg.msc), która umożliwia włączenie Enforcement Clients jednym kliknięciem (jak to przedstawiono na poniższym zrzucie). Nim uruchomimy przystawkę napclcfg.msc musimy zmienić ustawienia typu uruchamiania usługi Agent ochrony dostępu do sieci - dokunujemy zmiany z Ręczny na Automatyczny (domyślnie usługa ta jest wyłączona).
Niestety w przypadku Windows XP przystawka nie jest dostępna, dlatego posłużymy się wierszem poleceń.
Konfiguracja klientów wymuszania za pomocą polecenia netsh
Nim uruchomimy przystawkę napclcfg.msc musimy zmienić ustawienia typu uruchamiania usługi Agent ochrony dostępu do sieci - dokonujemy zmiany z Ręczny na Automatyczny (domyślnie usługa ta jest wyłączona). Następnie uruchamiamy Network Access Protection Client Configuration (Start -> pole wyszukiwania: napclcfg.msc. Wybieramy Klienci wymuszania.
Drugim sposobem na włączenie klienta wymuszania jest odpowiednie użycie polecenia netsh. Uruchamiamy wiersz polecenia z podwyższonym poziomem uprawnień. Wpisujemy:
netsh nap client set enforcement ID = 79617 ADMIN = “ENABLE”
Czym jest liczba w polu ID? Jest to identyfikator klienta wymuszania (79167 dla klienta egzekwowania protokołu DHCP; 79619 dla klienta egzekwowania zasad IPsec; 79623 dla klienta egzekwowania protokołu EAP; 79618 dla klienta egzekwowania dostępu zdalnego; 79621 dla klienta egzekwowania bramy usług terminalowych). Aby zmiany mogły zostać wprowadzone musimy ponownie uruchomić komputer.
Przy użyciu przystawki możemy również importować/eksportować ustawienia klienta NAP z/do pliku xml. W tym celu należy uruchomić napclcfg.msc, następnie wybrać opcję jak to przedstawiono poniżej:
Podsumowanie
Jak widać w przypadku Windows XP z Service Pack 3 sposób konfiguracji nie różni się znacząco od kroków jakie należy wykonać w Windows Vista. Mam nadzieję, że niniejszy post w podstawowym stopniu wyjaśnił czym jest NAP i jak należy go skonfigurować po stronie klienta. Na stronach Microsoft znajdziemy bardzo wiele artykułów, webcastów, dokumentacji etc., polecam odwiedzić Microsoft TechNet ;-).
Już 6 maja w siedzibie firmy Microsoft w Warszawie odbędzie się inauguracyjne spotkanie Warszawskiej Grupy Użytkowników i Specjalistów Windows. Krótka informacja o grupie:
Warszawska Grupa Użytkowników i Specjalistów Windows skupia wszystkich użytkowników zajmujących się systemami z rodziny Windows z rejonu województwa mazowieckiego. Celem działania grupy jest wymiana wiedzy oraz doświadczeń. Na spotkaniach omawiane są tematy dotyczące platform klienckich i serwerowych Windows. Sesje prowadzone są przez członków społeczności, zaproszonych specjalistów, administratorów i inżynierów systemowych oraz osoby z tytułami certyfikowanymi. Grupa powstała w maju 2008 roku.
Na pierwszym spotkaniu poruszymy nie tylko tematy organizacyjne, ale również tematy techniczne. Paweł Pławiak poprowadzi sesję o politykach kontroli w Windows Server 2008, zaś ja (Łukasz Foks) poprowadzę sesję “wprowadzającą” do Windows Home Server. Mogę już zdradzić, że moja prezentacja będzie różnić się od tej, którą pokazałem na PJWSTK. Zaplanowane mamy już dwie sesje, ale agenda może się jeszcze zmienić.
Podsumowując: pierwsze spotkanie odbędzie się 6 maja 2008 roku o godzinie 17.30, w siedzibie firmy Microsoft, Al. Jerozolimskie 195A w Warszawie. Serdecznie zapraszamy!
Dziewiątego kwietnia w ramach spotkania Studenckiego Koła Nowych Technologii na PJWSTK miałem okazję przedstawić system Windows Home Server. Podczas godzinnej sesji zaprezentowałem najważniejsze funkcje i technologie dostępne w produkcie.
Podczas prezentacji padło m.in. pytanie o dokumentację systemu. Zgodnie z obietnicą umieszcam poniżej linki do publikacji:
Windows Home Server Reviewer’s Guide
Windows Home Server Drive Extender
Windows Home Server Technical Brief for Home Networking
Windows Home Server Technical Brief for Home Computer Backup and Restore
Windows Home Server - Media Sharing
Windows Home Server - Remote Access
WHS Toolkit User Manual
Windows Home Server Release Documentation
Troubleshooting Windows Home Server Connector Installation
Zachęcam również do zapoznania się ze stroną Studenckiego Koła Nowych Technologii prowadzonego przez Piotra Pawlika. Spotkania grupy odbywają się w każdą środę o godzinie 16:00 w sali 214 na Polsko-Japońskiej Wyższej Szkole Technik Komputerowych w Warszawie (http://dotcore.pjwstk.edu.pl/).
Pobierz prezentację:
