DirectAccess är mer än bara ett alternativ till VPN och för att kunna ansluta till interna resurser via Internet. DirectAccess kommer att förändra vår syn på nätverksdesign och tillsammans med IPv6 skapa oanade möjligheter till öppnare och säkrare infrastruktur oavsett var våra klienter befinner sig.
Under två dagar kommer du att förstå principen bakom DirectAccess och vilka komponenter och system den är beroende av. Du kommer även att förstå och kunna hantera de olika alternativen i båda renodlade IPv6-miljöer och blandmiljöer med båda IPv4 och IPv6 i olika grad.
Under labben kommer vi dessutom att skapa en förståelse och lägga grunden för IPv6 och skapa förståelse för kravet och hur vi kan hantera det kommande generationsskiftet i våra nät och framför allt hur samexistensen kan hanteras.
Genom att testa de olika alternativen för hur man bygger DirectAccess kommer du att kunna välja rätt strategi för just din DirectAccesss implementation till din it-miljö.
Vi ses den 25:e oktober på LabCenter i Stockholm. Labben bokas på http://labcenter.se/Lab/2068
/Hasain
Using Microsoft Base Smart Card Crypto Provider, smart cards can use a card module to enable the smart card in Windows. Windows 7 features enhanced support for smart card–related Plug and Play making Windows able to use smart cards from vendors who have published their drivers through Windows Update without needing special middleware to be preinstalled.
If the smart card used does not have drivers/card module available through Windows Update or if you want to preinstall the driver during operating system deployment you need then to perform the following steps:
Having the card module installation files aailable in the desitnation computer run the command
RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultInstall 132 .\crdmxxx.inf
The crdmxxx.inf is the name of the inf file included in the card module package you are installing
Kunde inte låta bli att notera texten nedan på ett informationsblad som beskriver hur man gjorde för att ansluta till ett trådlöst WIFI nät. Det som drog min blick extra mycket var notisen på bladet som syns på bilden nedan.
Jag blir riktigt fundersam när jag ser sådana beskrivningar där vi lär våra användare ett felaktigt beteende. Vad tror vi kommer att hända om samma användare får ett liknande fel när han eller hon surfar till sin internetbank eller företagets webbmail mm.
/Hasain
IEEE 802.1X authentication protocol for WinPE is available as a hotfix download. Thanks to Ronni Pedersen and Johan Arwidmark (http://www.deployvista.com) for pointing it out :)
IEEE 802.1x for WinPE 3.0
http://support.microsoft.com/kb/972831
IEEE 802.1x for WinPE 2.1
http://support.microsoft.com/kb/975483
/Hasain
A graphical tool that facilitates testing and deployment of smart cards:
- Initialize a smart card.
- Enumerate the contents of a smart card, including certificates, files, directories, and crypto key names.
- Delete & Clean a smart card.
- View and initialize smart card root certificates.
SmartUtil supports cards that implement the card module/mini-driver interface defined by Microsoft. The tool is provided by JW Secure, Inc. and can be downloaded here.
/Hasain
Det har väl inte undgått någon att DoS attacker är ganska populära nu så här kommer en förklaring saxat ur DN.SE:
"Så kallad Dos-attack. Mejl skickas samtidigt från en mycket stor mängd datorer, vilket får den mottagande hemsidan att krascha"
Det tål att fundera på vad orsaken till denna, minst sagt, konstiga förklaring kan vara. Är det brist på kunskap, tydlighet eller oförmåga att förklara sådana abstrakta ting för icke nördar/tekniker.
Jag tror att vi som kan detta behöver vässa förmågan att kunna förklara på lite enklare och tydligare sätt så att "vanligt folk" kan förstå...
/Hasain
Jag har nöjet att presentera gruppen Swedish Windows Security User Group som fokuserar på att erbjuda alla medlemmar möjligheten att kunna nätverka andra experter och kunniga på området med målet att sprida information och kunskaper om säkerhetsfrågor.
Gruppen kommer att användas ett forum på itproffs.se som gruppens publika informationsplats där vi bl.a. meddelar våra aktiviteter samt tar emot förfrågningar om medlemskap och delaktighet i gruppen. Alla medlemmar som dessutom är aktiva itproffs medlemmar uppmanas att fortsätta sitt engagemang i andra forum som fokuserar på säkerhet och inte flytta sina aktiviteter till gruppen privata areor som finns på http://winsec.groups.live.com.
Gruppen kommer att använda http://winsec.groups.live.com under en period tills vi har fått bättre förutsättningar inom ramen för itproffs så att vi kan använda den nya plattformen för gruppens privata behov.
Vi har som mål att anordna återkommande träffar och möten för diskutera intressanta nyheter och ämnen samt utöka gruppens möjligheter att sprida och dela med sig av kunskaper kring säkerhet i Windows plattformen.
mvh
Hasain
Tack för en givande dag på Operaterassen i Stockholm, det blev en mängd mycket givande diskussioner kring lagring, säkerhet och en del annat.
Hoppas det blir en massa lika spännande frågor i Malmö nästa vecka...
/Hasain
How do I delete all Failed Requests logged on my Certificate Services database?
The Certutil tool can be used to list and delete Failed Requests logged on any ADCS database, but the two operations cannot be combined in one request and you have to manually transfer the request is from the listing of failed requests to the deleterow command.
The attached script combines the two steps and automate the whole process for an easier management task.
/Hasain
-----------------------------------delete_failed_adcs_requests.vbs-----------------------------------
Set objShell = CreateObject("WScript.Shell")
Set objWshScriptExec = objShell.Exec("certutil -silent -view -out ""RequestID"" LogFail")
Set objStdOut = objWshScriptExec.StdOut
Do Until objStdOut.AtEndOfStream
strLine = objStdOut.ReadLine
If Len(strLine) > 10 Then
Set regEx = New RegExp
regEx.Pattern = "( .*?\(|\))"
regEx.IgnoreCase = True
regEx.Global = True
regEx.MultiLine = True
WScript.Echo "Deleting: " & strLine
Set objWshScriptExec = objShell.Exec("certutil -deleterow " & regEx.Replace(strLine, ""))
End If
Loop
-----------------------------------delete_failed_adcs_requests.vbs-----------------------------------
A must have tools for all of you with minidriver based smart cards to manage admin and user pin on such cards. The tool is free to download and use as well as to modify or reuse the code in other projects.
Many thanks to Björn Österman who made the tool available.
/Hasain
---------------------------------------------------------------------------
scUtil.exe, version 1.0, Author: Bjorn Osterman, Company: TrueSec AB, Sweden
syntax: scUtil.exe unblockpin <adminkey> <newpin>
scUtil.exe changepin <oldpin> <newpin>
scUtil.exe changeadminkey <oldadminkey> <newadminkey>
scUtil.exe calculateresponse <adminkey> <challange>
scUtil.exe generaterandomkey
<adminkey> is one the the following alternatives:
- 48 hexadecimal characters
- "default", representing 48 zeroes
- "random", representing 48 random hexadecimal characters
<pin> is variable-length string composed of alphanumerical characters
---------------------------------------------------------------------------
Are you wondering about how scalable ADCS is?
An interesting ADCA scalability testing was done at the Enterprise Engineering Center (EEC) by the Windows Server Engineering Team showing that it is possible to produce more than 20 million certificates in less than 24 hours using a cluster of 10 ADCS VM!
Read more about this test at: http://blogs.technet.com/wincat/archive/2009/08/10/scale-testing-the-world-s-largest-pki-all-running-on-ws08r2-and-hyper-v.aspx
/Hasain
The following table lists the AD CS components that can be configured on different editions of Windows Server 2008 R2.
|
Components
|
Web
|
Standard
|
Enterprise
|
Datacenter
|
|
CA
|
No
|
Yes
|
Yes
|
Yes
|
|
Network Device Enrollment
|
No
|
No
|
Yes
|
Yes
|
|
Online Responder
|
No
|
No
|
Yes
|
Yes
|
|
CA Web Enrollment
|
No
|
Yes
|
Yes
|
Yes
|
|
Certificate Enrollment WS
|
No
|
Yes
|
Yes
|
Yes
|
|
Certificate Enrollment Policy WS
|
No
|
Yes
|
Yes
|
Yes
|
The following features are available on servers running Windows Server 2008 R2 that have been configured as CAs.
|
AD CS features
|
Web
|
Standard
|
Enterprise
|
Datacenter
|
|
Customizable version 2 and 3 templates
|
No
|
Yes
|
Yes
|
Yes
|
|
Key archival
|
No
|
Yes
|
Yes
|
Yes
|
|
Role separation
|
No
|
No
|
Yes
|
Yes
|
|
Certificate manager restrictions
|
No
|
No
|
Yes
|
Yes
|
|
Delegated enrollment agent restrictions
|
No
|
No
|
Yes
|
Yes
|
|
Certificate enrollment across forests
|
No
|
No
|
Yes
|
Yes
|
den 18 juni 2009 12:00 - den 18 juni 2009 14:00 lokal tid, LiveMeeting - Sverige
| Språk: |
Svenska. |
| Produkt(er): |
Windows 7 och Windows Server 2008. |
| Publik: |
IT-expert. |
|
|
|
|
Evenemangsöversikt
Välkommen att delta i vårt online seminarium för IT-proffs!
Vi startar kl 12 och håller på i minst en men max två timmar, och du har möjlighet att ställa frågor i slutet av seminariet.
Next Generation Windows Security
Äntligen är den här! Nu kan alla bygga det genom tiderna säkraste Windows systemet med hjälp av komponenter från Windows 7 & Windows Server 2008 R2 som innebär en mängd nya och spännande möjligheter inom området säkerhet i Windows plattformen.
Vi granskar Authentication Assurance, NTLM Restrictions, DNSSec, Direct Access, Bitlocker To Go, Managed Service Accounts, SRPv2 och givetvis alla nyheter inom PKI och hantering av certifikat och smartkort.
Talare: Hasain Alshakarti, TrueSec
Målgrupp: IT-proffs
|
Thanks to all of you who attended the Part I of the Security Summit 2009 yesterday and a special thanks to our guest Robert ‘RSNAKE’ Hansen.
Here is a list of the tools we used at the session presented by me and Marcus Murray:
See you all again at Part II
/H
The default setting of the "CertSrv Request" component in Windows Server 2008 does not allow administrators to change the settings of the component. If your certification authority is behind a firewall or if you want to allow for connections to the service using static TCP ports; you need then to enable modification settings of' the 'CertSrv Request' component by following the steps below:
- Open Register Editor to 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{D99E6E74-FC88-11D0-B498-00A0C90312F3}'
- Right click the {D99E6E74-FC88-11D0-B498-00A0C90312F3} key (AppID of Certsrv Request), choose permission
- Take the ownership to Administrators. Then grant the Administrators 'full control' permission
- Start the dcomcnfg.exe and change the setting
Use with great care!
/Hasain
More Posts
Next page »