Уважаемые господа и дамы.

Нужна память на проверку сервера. Тащить его куда-либо очень тяжело, гдебы взять подобную память. Под залог , само собой.

Разработчик смог успешно скомпилировать ОС из исходного кода, опубликованного online на прошлой неделе.


Разработчику Windows под псевдонимом NTDEV далось успешно скомпилировать Windows XP и Windows Server 2003 из кода, утекшего в Сеть на пошлой неделе.

Напомним , недавно в одной из тем анонимного форума 4chan были опубликованы ссылки на архивы предполагаемого исходного кода Windows XP SP1, Windows Server 2003, MS-DOS, Windows CE и Windows NT. Сразу после утечки NTDEV смог скомпилировать из утекшего исходного кода Windows XP и Server 2003. В качестве подтверждения разработчик опубликовал видео на YouTube, однако они были заблокированы по требованию Microsoft как нарушающие ее авторские права.

Правда, в исходном коде Windows XP не хватало критически важных файлов, в частности Winlogon.exe, из-за чего установить операционную систему оказалось нельзя.

«Итак, как показало более подробное исследование, исходный код XP может быть не таким полным, как мы думали, поскольку в нем отсутствует критически важный файл winlogon.exe. Однако в утечке есть еще исходный код Server 2003, так что посмотрим, как далеко можно зайти», - написал разработчик в своем Twitter.

С Windows Server 2003 разработчику удалось добиться больших успехов и не только скомпилировать ОС, но и установить ее на виртуальную машину.

Подробнее: https://www.securitylab.ru/news/512639.php

Пару дней назад появилась информация об уязвимости SigRED.

Суть в том, что запрос к NS-серверам купленных злоумышленниками доменов, может привести к удаленному выполнению кода Windows Server 2008, 2012, 2016, 2019 (на счет 2003-го нет информации почему-то, но возможно он тоже подвержен, а его до сих пор используют).

Опасность в том, что даже если Windows Server не выходит в Интернет непосредственно, то к нему обращаются с DNS-запросами компьютеры локальной сети, а он переадресует их дальше.

И разместив обращение к домену на зараженном сайте, рекламной сети, или подконтрольном порно-сайте, хакеры заставят компьютер пользователя выполнить такой запрос резолвинга - по цепочке будет атакован Windows Server. А с учетом того, что роль DNS-сервера часто (почти всегда) совмещают с ролью контроллера домена Active Directory - для хацкеров это супер-лакомый кусок (БД всех учеток, возможность их аутентификации на корп. ресурсах). Захват такого сервера равен захвату всей сети.

И уже есть готовые эксплойты:

https://github.com/ZephrFish/CVE-2020-1350

И для DoS-атак:

https://github.com/maxpl0it/CVE-2020-1350-DoS

Пока выходные, коллеги, советую всем установить патчи:

https://portal.msrc.microsoft.com/en-US/security-guidance/ad...

В 2020-ом году хватит эпидемий, еще компьютерная точно не нужна.

Подробнее о уязвимости и методах защиты в блоге айдеко.

Последние сообщения о небывалой (оценка по CVSS 10 баллов) уязвимости, затрагивающей все версии Windows Server-а выпущенные за последние 12 лет (начиная с Windows Server 2008 и заканчивая 2019-ым) выглядят достаточно устрашающе.

На это есть несколько причин:

1. Информация о уязвимости опубликована 15 июля, вместе с ней были опубликованы и ее патчи ("прививки" от Билла Гейтса). Но в 2017-ом году эпидемия WannaCry была сверх-успешной спустя 2 месяца после выпуска обновлений безопасности (корпоративные политики обновлений как правило консервативны, плюс врожденный пофигизм или отсутствие системных администраторов). Сейчас же столько времени не будет.

2. Времени не будет, поскольку уже есть исходные коды эксплойтов (программа, эксплуатирующая уязвимость) в открытом доступе (во время WannaCry подобные наборы продавались на хакерских сайтах, сейчас же они доступны любому школьнику): 1, 2.

3. По-сравнению с рабочими станциями (не обновленными вовремя во время прошлых эпидемий) сервера обновляются на порядок реже (работают круглосуточно с огромным uptime, на них крутится различное, в т.ч. устаревшее ПО).

4. Эксплутация уязвимости предполагает самый жесткий сценарий - удаленное выполнение произвольного кода. Не перезагрузка или крах сервера, а именно его полный захват.

5. Под угрозой сервера с включенным DNS-сервером, а в 99% случаях в локальных сетях эта роль совмещается с ролью контроллера домена Activre Directory. По-простому, злоумышленники получат доступ к БД и средствам аутентификации всех пользователей организации. После этого тривиально можно "захватить" в свой ботнет уже и рабочие станции (там не нужно уязвимостей, т.к. у хакеров уже будет права администратора домена).

6. Эксплуатация уязвимости возможна даже для серверов не подключенных к Интернету. Достаточно, чтобы пользователь зашел на контролируемый злоумышленником сайт, либо ему показался баннер ведущий на специально созданный домен и т.п. - DNS-сервер при попытке резолвинга этого домена получит смертельный "ответ".

7. Лето - время отпусков, ИТ и ИБ отделы часто отдыхают и не проводят плановых мероприятий (обновлений).

8. На дворе 2020 год, до прилета инопланетян еще далеко, но компьютерная эпидемия - вполне в духе времени (тем более что уязвимость может использовать спецслужбами государств для экономической войны, США-Китай, Республиканцы-Демократы и т.д.).

9. Чем более "энтерпрайзное" предприятие, работающее в реальной экономике - большие заводы, инфраструктурные предприятия, АЭС - тем более старое ПО они используются (для Windows 2003 нет патча безопасности, а уязвимость скорее всего присутствует, а оно как раз используется в "кровавом энтерпрайзе" до сих пор).

Чем это грозит?

WannaCry в 2017-ом году привел к массовым заражениям компьютеров, потери информации и простоям предприятий и организаций. Но цифровизация за 3 года значительно усилилась, а характер уязвимости гораздо опаснее.

Поэтому сейчас возможны более тяжелые последствия, в том числе под угрозой банковская система (не смотря на более высокий, чем в среднем, уровень информационной безопасности в банках). А массовая "удаленка" приведет к полной остановке производств в случае поражения их локальных серверов заразой.

Гадать о последствиях конечно сложно, но кто год назад мог подумать о том, что для выхода из дома нужен будет пропуск.

Возможно в России для "защиты" от эпидемии задействуют механизмы "Суверенного Интернета", и мы станем не только не выездными, но и получим чебурнет, вместо все еще относительно свободного интернета.

Как защититься?

Поручите вашим ИТ-специалистам и администраторам поставить обновления на все сервера. Агентство по кибербезопасности и безопасности инфраструктуры Министерства внутренней безопасности (DHS CISA) США, например, приказало всем гос. структурам страны сделать это в течении 24 часов.

Но "вакцина" не является панацеей. В эпоху массовых уязвимостей в RPC, патчи выходили каждую неделю и все равно не могли остановить злоумышленников.

Наши специалисты написали ряд советов, которые помогут защититься от любой уязвимости DNS-сервера путем изменения сетевых настроек и создания эшелонированной обороны (включая современное NGFW-решение, наподобие того, которое создаем мы - Ideco UTM).

Рекомендую прислушаться к ним. 2020 год, ну уже хватит!

Выходные - самое время обновить сервера.

Пенного всем этим чудесным вечером!

Уханов снова вещает про историю операционных систем.

Список предыдущих постов:

Взгляд назад: Windows 1.x

Взгляд назад: Windows 2.x

Взгляд назад: Windows 3.x

Взгляд назад: Windows 95

Взгляд назад: Windows 98

Взгляд назад: Windows Me

Взгляд назад: Windows NT 3.1

Взгляд назад: Windows NT 3.5

Взгляд назад: Windows NT 3.51

Взгляд назад: Windows NT 4.0

Два месяца прошло с прошлой заметки и вот я наконец собрался с мыслями и решил продолжить цикл статей. На написание заметки и изучение матчасти ушло почти два месяца. Заметка вышла слишком большой и по совету жены, я решил её разделить на части. Сегодня поговорим о семействе Windows 2000 и основных нововведениях.

Система увидела свет 17 февраля 2000 года и поддерживала следующие архитектуры: x86, DEC Alpha, MIPS и PowerPC. Известна тем, что в 2004 году часть исходных кодов попала в общий доступ в результате утечки.

Сегодня в номере:

- Установка

- Обновления пользовательского интерфейса

- Работа с документами

- Поддержка оборудования

- Обновления дисковой подсистемы

- Active Directory

Установка

В процессе установки Windows произошли большие изменения: больше никакой двухфазной установки и никаких дискет! загрузился с CD и вперёд. запуск из DOS так-же не вызывает проблем.

Вместе с тем программа установки не имеет стремления завалить процесс при повреждении какого-нибудь файла. В случае, если можно продолжить и без него, то система сделает это. Ранее процесс безоговорочно прерывался.

Установка получила поддержку использования сценариев автоматизации и возможность удалённой установки по сети с использование PXE.

Обновления пользовательского интерфейса

Из Windows 9x досталось много мелких плюшек, без которых работа в системе не была-бы такой удобной. Это сейчас они все у нас перед глазами, но стоит только войти в Windows NT 4.0, как ощущаются определённые неудобства.

Перечислю некоторые из нововведений:

- Active Desktop

- Списки наиболее часто используемых ресурсов

- Персональные меню

- Технология AutoComplete при навигации в проводнике

- Расширенные настройки меню «Пуск»

- Папка «Мой компьютер» была упрощена

Панель управления переработали: сетевые настройки собрали в одном апплете, а установка сервисов (таких как DNS, DHCP, WINS) и компонентов переехала в установку и удаление программ. Напомню, что ранее DHCP например, устанавливался из апплета настройки сетевой платы.

Многие из перечисленных улучшений пришли в Windows 2000 из Windows 9x и в следующей заметке я рассмотрю наиболее интересные из них.

Работа с документами

Работа с документами стала удобнее и быстрее. Особенно хорошо стало для администрторов, ведь профили пользователей стали теперь по-настоящему разделены и хранятся в каталоге Documents and Settings. Теперь пользователи никак не видят данные друг друга и значительно упростилось резервное копирование профилей пользователей.

Появилась индексация файлов, что ускорило поиск по содержимому. Для файлов, хранящихся на файловой системе NTFS стали доступны для заполнения дополнительные поля в окне свойств, что так-же облегчит поиск файла в будущем.

Менеджер синхронизации позволяет продолжать работать с документами, расположенными на сетевом диске при потере связи с сервером. Он кэширует выбранные данные локально и обновляет при восстановлении соединения.

Для компьютеров, работающих в составе домена Active Directory, стал доступен поиск общих принтеров по возможностям. Теперь можно, например, найти в сети двусторонние или цветные принтеры.

В контекстном меню проводника появился пункт «Открыть с помощью». Не знаю, как остальные, но я его использую очень часто.

Поддержка оборудования

Огромные изменения в поддержке оборудования можно заметить ещё на стадии установки Windows 2000. Установщик задаёт меньше вопросов по настройке оборудования и настраивает его сам — сказывается работа механизма Plug and Play, прибывшего из Windows 9x.

Из нового хочется отметить поддержку последовательной шины USB, которая тоже пришла из Windows 9x. От туда так-же пришла поддержка сканеров и камер. Система поставляется с предустановленным DirectX 7.0. Если верить Википедии, то он дал нам аппаратную поддержку преобразований, обрезания и освещения.

Поддержка PAE

Существует ограничение в 4 ГБ оперативной памяти. Оно наложено особенностью работы 32-х разрядных процессоров. Для преодоления этого ограничения, процессоры получили поддержку Physical Address Extension (PAE). Она позволяет процессору применять при обращении к памяти 36 разрядов. Что увеличило объём доступной оперативной памяти до 64 Гб. Поддержка PAE появилась в Windows Advanced Server и Windows Server Datacenter.

Обновления дисковой подсистемы

Увидев историю развития Windows можно смело воскликнуть: наконец-то! Наконец-то появилась операционная система, которая поддерживает FAT32 и NTFS одновременно и без костылей.

В серверной редакции появилась служба Remote Storage Service, которая позволяет организовать многоуровневое хранение документов.

Как вишенка на торте, в системе появилась программа дефрагментации.

Динамические диски

Технология программного RAID у Microsoft впервые появилась в Windows NT 3.1. В 2000-х их прозвали мультидисками. Давайте сохраним традицию и вспомним как оно было раньше для лучшего понимания, что изменилось.

Как было раньше.

Раньше, во времена MS-DOS поддерживался следующий формат разбиения диска на раздела: на диске мог быть только один основной раздел и один дополнительный. Внутри дополнительного можно создавать логические разделы. Такого-же мнения о разделах системы семейства Windows 9x/Me — они попросту не видят более одного основного раздела, несмотря на то, что MBR поддерживает создание четырёх основных разделов.

Windows NT позволила создавать на диске 4 основных раздела, предупреждая о недоступности данных из MS-DOS.

Одновременно с этим, появился функционал создания набора томов. Том, входящий в набор, виден пользователем как один том и пользователь работает с данными на нём как и с обычным диском. Набор томов предоставляет следующие возможности:

- Увеличить имеющийся том за счёт добавления к нему дискового пространства с другого диска.

- Создать зеркальный том (RAID 1)

- Создать чередующийся том (RAID 0)

- Создать чередующийся том с контролем чётности (RAID 5)

Мультидиски в WIndows NT 4.0

Конфигурация программного RAID хранилась в реестре и при подключении дисков к другому компьютеру всё это хозяйство определяется не как RAID массив, а просто как куча дисков.

На скриншоте видно, что после подключения массива мультидисков в Windows 2000 часть томов не определилось. Тома определились как отдельные разделы диска и формат большинства из них не определён.

Как стало теперь

В Windows 2000 подсистема программного RAID получила большое обновление. Теперь перед использованием программного RAID требуется изменение формата дисков с базового на динамический. В динамических томах информация о конфигурации массива хранится на всех дисках массива и копируется в реестр при монтировании. Ранее изменения в массиве требовали сохранения, теперь они применяются сразу. Ниже представлен скриншот, отображающий все возможные виды динамических томов. Windows 2000 Professional не поддерживает тома RAID 5.

Динамические тома Windows 2000

Файловая система NTFS 3.0

Уже полюбившаяся файловая система обновилась до третьей версии.

Если к Windows 2000 подключить диск с предыдущей версией NTFS (например от Windows NT 4.0), то она будет немедленно обновлена до третьей версии. Это стоит учитывать, так как будет невозможна работа предыдущих версий Windows NT.

В третьей версии NTFS получила журнал USN. Журнал обеспечивает согласованность метаданных файловой системы. В журнале сохраняется информация об изменениях файлов. При этом, если изменение файла завершить не удалось, они будут отменены. Файловая система будет приведена в состояние, предшествующее внесению изменений. Но данные это уже не спасёт. Журналирование всегда выгодно отличает файловую систему перед своими не журналируемыми собратьями. И пусть журнал зачастую не обеспечивает сохранность данных, но защищает её от разрушения.

Журнал USN может использоваться приложениями для отслеживания изменений файлов, как это делает История файлов из Windows 8/10. При помощи утилиты NTFS Stream Explorer можно узнать изменения какого характера происходили.

Дисковые квоты

Windows 2000 впервые представила нам дисковые квоты. Технология несомненно полезная и ожидаемая. Однако стоит понимать, что ожидание и реальность тут говорят на разных языках и друг друга явно не понимают. Вот некоторые их особенности:

- Использование дисковых квот включается на весь логический диск. нельзя настроить квоту на каталог.

- Дисковые квоты применяются на всех пользователей логического диска. Учитывается как локальный, так и сетевой доступ.

- Файл учитывается в квоте того пользователя, что указан владельцем в его дискрипторе безопасности.

- Использование сжатия NTFS не поможет для экономии выделенного пространства. - Учитывается объём несжатых данных.

- Дисковые квоты пересчитываются каждый час.

- Нельзя задать индивидуальный лимит пользователю до того, как будет создана запись квоты (пользователь запишет первый файл).

- В свойствах диска пользователь видит не реально оставшийся объём диска, а остаток лимита по квоте.

Разреженные файлы.

Революционная в каком-то смысле технология. Идея заключается в том, чтобы не записывать на диск последовательности нулевых байтов. Вместо этого вводится понятие дыры. Дыра — это последовательность нулевых байт внутри файла, которая не была записана на диск. Вместо записи самой дыры, в метаданные файловой системы вносится информация о её расположении: смещение относительно начала файла и длина.

Преимущества разреженных файлов:

- Экономия ресурса носителя

- Сокращение времени записи файла

- Экономия дискового пространства: дыра не занимает место на диске.

Недостатки разреженных файлов:

- В случае недостатка свободного пространства на диске, запись в дыры будет невозможна.

- Частая запись в дыры увеличивает фрагментацию.

Технология получила огромное распространение и всё больше приложений её используют незаметно для наших глаз. Например я сейчас в VirtualBox создал файл фиксированного виртуального диска объёмом 10 гб. Создание диска заняло около 20 секунд. Но самое интересное как обычно под капотом. Диспетчер ресурсов наглядно показывает, что в момент записи файла больше информации писалось в журнал, карту свободного места и MFT, чем в сам файл.

Ранее я говорил про экономию дискового пространства при использовании разреженных файлов. Давайте посмотрим размер файла и занимаемое пространство на диске. На скрине хорошо видно, что на диске файл занял 40 кб!

Однако, для использования разреженных файлов требуется поддержка не только со стороны файловой системы, но и со стороны прикладного ПО.

Точки перехода.

Можно встретить название точки монтирования или reparse point — это специальный объект файловой системы, который указывает на необходимость вызова функций расширенной файловой системы в момент их встречи. Производители могут добавлять свои драйверы файловых систем, таким образом масштабируя хранилище. Именно это нововведение станет началом многих решений.

В будущем это будет основой дедупликции, сжатия LZX, WIM Boot и файлов по вызову OneDrive.

На этой технологии построен Remote Storage Service. О нём поговорим позже.

Точки монтирования позволяет обойти ограничение на количество логических дисков, монтируя их как каталоги. Ранее количество монтируемых дисков не могло превышать количество букв английского алфавита.

Шифрованная файловая система EFS

В своё время вопрос «как поставить пароль на папку?» задавался очень часто в своё время. И вот появился первый ответ на вопрос.

Шифрованная файловая система (EFS) представляет из себя систему прозрачного шифрования данных, хранящихся на разделах с файловой системой NTFS. Используется симметричный алгоритм шифрования DESX. Никакой дополнительный пароль при этом не используется — в шифровании используются учетные данные пользователя.

Важной особенностью является то, что если злоумышленник получил вошёл в систему под учётной записью пользователя, то ему доступны все его зашифрованные файлы. Когда пользователь копирует зашифрованный файл на диск с другой файловой системой, файл копируется в расшифрованном виде. При копировании на диск с файловой системой NTFS шифрование сохранятся.

Если не авторизованный пользователь попытается получить доступ к чужим зашифрованным данным, например к папке, он увидит содержимое папки. При попытке просмотреть файлы, будет получена ошибка чтения. Скопировать файлы так-же не получится. Однако переместить их в другой каталог в пределах одной файловой системы вполне можно, как и удалить зашифрованные данные.

Следует понимать, что основой ключа шифрования являются учётные данные пользователя. Это значит, что в случае удаления учётной записи, расшифровка данных будет невозможна. В будущих версия Windows это исправят, но это совсем другая история

Сеть

В поддержке сетей произошло много изменений. Самым главным изменением является включённый по умолчанию клиент DHCP. Замечу, что теперь он принимает настройки DNS, чего ранее в Windows NT не делал. В службе сервера DHCP так-же произошло заметное изменение — появилась авторизация DHCP. Теперь, прежде чем начать выдавать динамические адреса в домене, DHCP сервер должен быть авторизован. Это снижает вероятность появления в сети левых DHCP серверов.

AutoIP

Не менее важным стоит назвать появление AutoIP, то есть создание одноранговой сети в автоматическом режиме без участия DHCP. Работает это так: если при включённом автоматическом получении IP адресов, DHCP не найден, то Windows сама назначит себе IP адрес.

Общий доступ к сети Интернет

Windows 2000 Professional унаследовала от Windows 9x функцию «Общий доступ к Интернет», позволяющую разделить доступ в сеть Интернет с компьютерами локальной сети. Компьютер для её работы должен иметь модем или две сетевые платы.

Windows 2000 Server обрела более зрелый вариант описанного выше функционала в рамках службы Маршрутизация и удалённый доступ.

Active Directory

Поистине огромные изменения произошли в доменной инфраструктуре. На смену NT Domain пришла Active Directory. И вот уже двадцать лет, родимая с нами.

Самым первым изменением, которое лично мне бросилось в глаза была служба DNS. В домене NT DNS не использовался, да и вообще, раньше жили без него. Домену NT строго говоря и WINS не нужен — всё происходит через Broadcast.

В домене NT есть первичные контроллеры домена (PDC) и резервные контроллеры домена (BDC). В один момент времени может существовать только один PDC. Он хранит копию базы данных домена, доступную для чтения и записи, а каждый BDC хранит копию этой базы, но доступную только для чтения. Это обеспечивает избыточность и масштабируемость инфраструктуры. Но как говорится, есть нюансы: если PDC выйдет из строя, внесение изменений в домен будет невозможно, пока не будет подготовлена его замена. Стоит заметить, что пользователи смогут продолжать входить в систему с помощью BDC.

В Active Directory все контроллеры домена хранят копию базы, доступную для записи (напомню, что RODC появятся в Windows Server 2008). Единственное, что может отличать контроллеры друг от друга, это роли мастеров операций (FSMO). Первый контроллер домена (тот на котором домен и создавался) автоматически становится владельцем всех ролей FSMO. Контроллеры домена, добавленные позже, равны между собой. Мы плавно переходим к ролям мастеров операций.

В Windows 2000 появилась возможность просмотра объектов Active Directory прямо из папки Сетевое окружение. При этом администратор домена может вносить некоторые изменения в объекты, например изменить состав группы или описания объектов. Пользователям домена объекты доступны только для чтения.

Роли мастеров операций

Мастер операций — это контроллер домена, который выполняет уникальную в домене или лесу роль. В случае его недоступности операции, зависящие от него не будут выполняться. При понижении контроллера домена, являющегося мастером операций до рядового сервера происходит передача полномочий другому серверу. Мы можем сами распределить роли между контроллерами домена.

Но что случится при утрате контроллера домена, являющегося мастером операций? Мы можем выполнить захват требуемой роли FSMO с другого контроллера домена. Мы же помним, что базы на всех контроллерах домена идентичны кроме ролей FSMO они больше ничем не отличаются?

Роли мастеров операций уровня леса

- Мастер схемы

- Мастер именования доменов

Роли мастеров операций уровня домена

- Мастер RID

- Эмулятор PDC

- Мастер инфраструктуры

Подробнее о мастерах операций можете почитать на Хабре. На мой взгляд, статья содержит исчерпывающую информацию.

Приведу таблицу сравнения домена NT и Active Directory:

Обслуживание системы

Windows Update

Windows 2000 получила службу Windows Update, которая перекочевала из Windows 9x и упрощает скачивание и установку обновлений.

Защита системных файлов

Из Windows Me перешла система защиты системных файлов. Она отслеживает несанкционированное изменение файлов Windows и предлагает их восстановить из дистрибутива. Но в отличие от Windows Me, требует вставки диска с дистрибутивом, что люто бесит. Зато появилась утилита командной строки sfc.exe и есть возможность более гибко управлять процессом и инициировать проверку самостоятельно.

Консоль восстановления

Консоль восстановления — это компонент Windows 2000, позволяющий получить доступ к установленной системе, авторизовавшись в ней. Консоль позволяет с некоторыми ограничениями, выполнять операции над файлами, управлять разделами, восстановить загрузчик и проверить диск.

Консоль восстановления можно установить на системный диск и она станет доступна в меню загрузчика.

Вместо заключения

В этой заметке мы поверхностно пробежали по нововведениям Windows 2000. Некоторые моменты я специально рассмотрел подробнее, так как в будущем они будут играть ключевые роли. В следующей заметке более подробно поговорим о редакциях, их различиях и возможностях. Система получилась несомненно крутая, но очень уж долго грузится.

Это копия заметки из моего блога - там больше скриншотов. Остальные заметки цикла доступны тут.