Po zainstalowaniu nowej przeglądarki na serwerze, możliwe są problemy z zalogowaniem się na nim do usługi SharePoint. Przy każdorazowej próbie zalogowania występuje błąd 401 – brak autoryzacji. Problem ten występuje w sytuacji, gdy włączona jest opcja logowanie zintegrowanego i występuje na serwerach z zainstalowaną usługą IIS w wersji 5.1 lub 6.0. W pierwszym momencie sytuacja wygląda dosyć poważnie.

Na szczęście problem został już zdiagnozowany poprzez Microsoft i wydany został również poradnik z możliwymi rozwiązaniami problemu: Podczas przeglądania witryny sieci Web używającej uwierzytelniania zintegrowanego, która jest uruchomiona w środowisku Internetowych usług informacyjnych w wersji 5.1 lub 6.0, pojawia się komunikat o błędzie 401.1

Na stronach Technetu bardzo obszernie opisano sposoby zabezpieczenia się przed każdą wydaną wersją Conflickera. W artykule tym znajdziecie sposoby zabezpieczenia się przed tym robakiem, sposoby jego usunięcia z systemu oraz nieco informacji dotyczących historii jego wersji. Artykuł wart uwagi.

Linki:

• Technet: Ochrona systemu Windows przed robakiem Conficker

Mirosoft udostępnił następujące narzędzia:

1. Windows Automated Installation Kit

Jest to pakiet programów wspomagających proces instalowania systemów operacyjnych: Windows 7, Windows Server 2003 R2 SP3, Windows Vista, Windows Server 2008 oraz Windows Server 2008 R2. Pakiet ten pozwala m.in na automatyczną instalację powyższych systemów, tworzenie obrazów systemu, modyfikację i konfigurację tychże obrazów oraz migrację danych i użytkowników. Patrząc na tą listę widać, że jest to potężne narzędzie. Warto o nim pamiętać.

2. Remote Server Administration Tools for Windows 7

Jest odpowiednik Admin Packa, którego nie bez powodu nazwaliśmy niezbędnikiem administratora, przeznaczonym dla systemy Windows 7. Pozwala on na zdalne administrowanie systemami jak Windows Server 2008 R2, Windows Server 2008 oraz Windows Server 2003. Jego możliwości są olbrzymie, jest to po prostu niezbędnik administratora.

3. Microsoft Deployment Toolkit 2010 Beta 1

Oprogramowanie to przeznaczone jest do wdrażania systemów operacyjnych Windows 7, Windows Server 2008 R2, Windows Vista SP1, Windows Server 2008, Windows XP SP3 i Windows 2003 SP2 oraz wersji z starszymi Service Packami. Deployment Toolkit pozwala uprościć proces wdrażania każdego z tych systemów na wielu komputerach jednocześnie. Chcąc uzyskać dostęp do wersji Beta 1 konieczne jest otwarcie witryny Microsoft Connect, zalogowanie się za pomocą live ID, wybranie zakładki Solution Accelerators, a następnie Microsoft Deployment Toolkit.

Źródło: WSS.pl

Internet Explorer 8 Blocker Toolkit do momentu odinstalowania będzie blokował instalację Internet Exlorera 8 poprzez usługę Automatycznej Aktualizacji. Rozwiązanie warto zastosować w środowiskach, w których nadal wymagane jest stosowanie IE w starszej wersji, należy bowiem pamiętać, że po premierze nowej przeglądarki Microsoftu pojawi się ona na pewno jako aktualizacja dla systemów Windows.

Linki:

• Toolkit to Disable Automatic Delivery of Internet Explorer 8

Warto więc zabezpieczyć się przed ewentualnym atakiem na konto administratora. Najprościej jest oczywiście wyłączyć konto „Administrator”. Można pójść jednak o krok dalej i stworzyć „oszukańcze” konto „Administrator”. Rozwiązanie takie jest bardzo popularne i warto zapoznać się z tą metodą zabezpieczenia naszych serwerów.

W tym celu otwieramy Active Directory Users and Computers. Pierwszym krokiem jest zmiana nazwy użytkownika z „administrator” na inne, choćby „nasze.imie.i.nazwisko”. W następnym kroku tworzymy nowe konto użytkownika, jako nazwę wpisujemy administrator, natomiast jako opis wpisujemy Built-in account for administering the computer/domain. Rozwiązanie takie umożliwi ograniczyć próby zalogowania się na to standardowe konto. Warto stosować to jako dobra praktykę w administrowaniu Windows Server.

Warto również pamiętać o kilku aspektach związanych z tematem zmiany nazwy użytkownika. A mianowicie przedstawiona metoda jest tzw. metodą zabezpieczania przez ukrywanie. Niestety bardzo słabą, gdyż SID każdego konta administratora kończy się cyfrą „500″. To z kolei pozwala w łatwy sposób namierzyć SID, który będzie odpowiadał kontu administratora.

W sytuacji posiadania odpowiedniego identyfikatora wystarczy posłużyć się taki narzędziami jak SID2USER lub USER2SID by uzyskać nazwę potrzebną do logowania. W tej sytuacji wszelkie staranie mające na celu zabezpieczenie tego konta nie przynoszą rezultatu.

Podsumowując najlepszym rozwiązaniem w takim wypadku jest wyłączenie takiego konta. Bardzo dobrym rozwiązaniem w tym wypadku jest wyłączenie kont Administratora na wszystkich serwerach za pomocą Group Policy. W tym celu otwieramy ścieżkę: Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Accounts: Administrator account status, oraz wyłączamy konta wybierając Disabled. 

Kolejny problem pojawia się w systemach wcześniejszych niż Windows Server 2003 gdzie konta administratora nie da się wyłączyć. W takim wypadku pozostaje jedynie zastosowanie mocnego hasła. Inną kwestią oczywiście jest, że mocne hasła powinny się znajdować na każdym koncie o dużych uprawnieniach.PS. Dużo ciekawych opinii na temat zabezpieczania przez ukrywanie możecie znaleźć w tej debacie.

Linki:

• Źródło screenów: www.windowsecurity.com