• Выпущены обновления Windows для закрытия критической уязвимости CVE-2019-0708 в службах удалённых рабочих столов Terminal Services и Remote Desktop Services с возможностью эксплуатации через протокол RDP

    RDP Remote Desktop Services Remote Code Execution Vulnerability14 Мая на портале Microsoft Security Response Center (MSRC) опубликована статья CVE-2019-0708 Remote Desktop Services Remote Code Execution Vulnerability, содержащая ссылки на обновления ОС Windows, закрывающие критическую уязвимость в работе служб удалённых рабочих столов Remote Desktop Services, которая может быть проэксплуатирована через протокол RDP. Ситуацию с данной уязвимостью можно считать довольно серьёзной, если взять во внимание то, что Microsoft выпустили обновления даже для служб Terminal Services снятых с поддержки систем Windows XP и Windows Server 2003.

    Читать далее...

  • Июльские обновления Windows Server могут нарушить работу Exchange Server, SQL Server, IIS

    Windows UpdateВ блоге Microsoft Exchange Team Blog на днях была опубликована информация о том, что Июльские обновления Windows Update для Windows Server, выпущенные 10.07.2018 г., могут нарушить работу Exchange Server. Позднее, 17.07.2018, появилась информация о том, что выпущен набор корректирующих обновлений, которые будут устанавливаться поверх проблемных обновлений.

    Таблица исходных обновлений, создающих проблемы, и корректирующих эти проблемы обновлений выглядит следующим образом:

    Операционная система
    Проблемное обновление Корректирующее обновление
    Windows Server 2016 KB4338814 KB4345418
    Windows Server 2012 R2 KB4338824 KB4345424
    KB4338815 KB4338831
    Windows Server 2012 KB4338820 KB4345425
    KB4338830 KB4338816
    Windows Server 2008 R2 SP1 KB4338823 KB4345459
    KB4338818 KB4338821
    Windows Server 2008 KB4295656 KB4345397

    Судя по статьям KB для корректирующих обновлений, исходные обновления могут вызвать проблемы не только с Exchange Server, но и с службами веб-сервера IIS и SQL Server. И это только то, что официально подтверждено на данный момент.

    И исходные и корректирующие обновления уже доступны в службах Windows Update, поэтому следуют обратить особое внимание на то, что при планировании развёртывания исходных обновлений очень желательно включать развёртывание соответствующих корректирующих обновлений.

  • Ошибка проверки подлинности при подключении к удалённому рабочему столу Windows RDS …"Причиной ошибки может быть исправление шифрования CredSSP"

    imageИнформация об уязвимости в провайдере безопасности CredSSP ОС Windows была опубликована 13.03.2018 в документе CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability. В этом документе можно найти ссылки на обновления безопасности, которые были выпущены для закрытия этой уязвимости. Выпущенные обновления относятся к механизмам CredSSP, как в клиентских, так и в серверных ОС Windows. При этом неправильная последовательность развёртывания обновлений, касающихся CredSSP, может привести к неожиданным последствиям.

    Читать далее...

  • Первичный анализ файла дампа памяти MEMORY.DMP при STOP-ошибках Windows (BSOD)

    imageЭто маленькая заметка о том, какие шаги необходимо выполнить для получения первичной информации об исполняемом файле, ставшем возможной причиной остановки работы операционной системы Windows - Blue Screen of Death (BSOD). По умолчанию ОС Windows настроена таким образом, что при возникновении ошибки приводящей к полной остановке работы системы, автоматически создаётся аварийный дамп памяти в виде файла MEMORY.DMP. Чтобы получить доступ к информации из этого файла, нам потребуется набор отладочных утилит Debugging tools for Windows из состава Windows Software Development Kit.

    Читать далее...

  • Восстановление WMI при ошибках Failed to initialize all required WMI classes - Invalid class or Invalid namespace

    Продолжая тему борьбы с неполадками в работе Windows Management Instrumentation (WMI) рассмотрим ситуацию когда проблемный сервер "ни под каким соусом" не хочет возвращать значения из пространства имён WMI, что чревато всякими неприятностями, например при просмотре свойств системы не отображается информация о процессоре и оперативной памяти…

    image

    Читать далее...

  • Антивирус для Windows Server - настраиваем список исключений. Обновлено 11.08.2016

    imageВ ходе настройки политик управления клиентами любого антивирусного ПО необходимо определять список каталогов, имён процессов или даже расширений фалов, которые должны исключаться из Real-Time сканирования. Постараюсь собрать в одном месте информацию о рекомендуемых параметрах исключений и по мере необходимости буду его корректировать.  Стоит отметить, что список составлен исходя из приложений, которые эксплуатируются в моём рабочем окружении. Список разделен по основным категориям сервисов и там где возможно есть ссылки на официальные рекомендации производителей ПО. Во всех случаях подразумевается что программное обеспечение установлено в каталоги «по умолчанию».

    Читать далее...

  • Проблема репликации групповых политик (Event ID 13568 Source NtFrs)

    imageНарвался на ситуацию когда в домене Windows Server 2008 на одном из контроллеров домена перестали обновляться групповые политики после некорректного выключения ОС. При этом с логе File Replication Service периодически фиксировались события с кодом 13568

    image

    Читать далее...

  • Настройка IIS 7.0 на Windows Server 2008 для выполнения кода Silverlight 2.0 в ферме серверов SharePoint 2007

    Прежде всего устанавливаем в систему пакет Microsoft .NET Framework 3.5 Service Pack 1. После установки пакета .NET Framework 3.5 с пакетом обновления 1 необходимо сразу установить обновление KB959209, чтобы устранить ряд известных проблем совместимости приложений
    Если у вас работает WSUS то обновление KB959209 должно само прикатиться на сервер с WSUS сразу после установки .NET Framework 3.5 Service Pack 1.
     
    Далее проверяем настройки MIME типов на IIS 7.0. Для исполнения Silverlight должен быть разрешён тип application/x-silverlight-app с расширением файлов .xap
     
    Следующий шаг - регистрация библиотеки System.Web.Silverlight.dll в кэше глобальных сборок (GAC)
    Во первых для того чтобы получить саму библиотеку нам нужно скачать с MS пакет Microsoft Silverlight 2 Software Development Kit. Проблемы  в этом нет, так как на сайте Microsoft этот пакет находится в свободном для скачивания доступе.
    После скачивания устанавливаем данный пакет на сервере где работает наш IIS. После установки находим нужную нам библиотеку System.Web.Silverlight.dll в каталоге C:Program Files (x86)Microsoft SDKsSilverlightv2.0LibrariesServer
    Зарегистрировать библиотеку в GAC можно несколькими путями. Опишу 2 основных:
    • Первый и самый простой способ - через проводник Windows производим операцию копирования файла из каталога C:Program Files (x86)Microsoft SDKsSilverlightv2.0LibrariesServer в каталог C:Windowsassembly
      Если на сервере включена функция контроля UAC - для выполнения данной операции её придётся на время отключить в противном случае система нам просто не даст скопировать файл в каталог C:Windowsassembly,
      т.е. отключаем UAC > перезагружаем сервер > копируем через Проводник Windows библиотеку в C:Windowsassembly (GAC) >  включаем UAC > перезагружаем сервер.
    • Второй способ более изящный но более сложный, т.к. для его реализации нам понадобится утилита Global Assembly Cache Tool (Gacutil.exe) которую найти можно либо в составе пакета Microsoft Visual Studio либо в составе пакета NET Framework Software Development Kit (SDK)
      после того как мы нашли данную утилиту установка библиотеки System.Web.Silverlight.dll в GAC может быть выполнена без манипуляций с отключенем UAC следующей командой

      Gacutil.exe /i  "C:Program Files (x86)Microsoft SDKsSilverlightv2.0LibrariesServerSystem.Web.Silverlight.dll"

      Разумеется надо понимать, что данная команда должна выполняться с повышенными привилегиями, т.е. cmd должен быть запущен от имени администратора сервера.
      Вот в общем то и все основные действия.

    Теперь мы можем размещать в нашей ферме SharePoint контент Silverlight 2.0, т.е. можем кидать на страницы портала вэб-части с использованием Silverlight. Надо понимать, что если в ферме несколько вэб-серверов, то вышеописанные действия нужно выполнить на всех этих серверах.

  • WSUS Troubleshooting: WebException: Базовое соединение закрыто: Не удалось установить доверительные отношения для защищенного канала SSL/TLS. ---> System.Security.Authentication.AuthenticationException

    При поднятии роли WSUS на только что установленном сервере Windows Server 2008 столкнулся с проблемой при попытке синхронизации с Microsoft:

    WebException: Базовое соединение закрыто: Не удалось установить доверительные отношения для защищенного канала SSL/TLS. ---> System.Security.Authentication.AuthenticationException: Удаленный сертификат недействителен согласно результатам проверки подлинности.

    Изучил лог клиента который напрямую обращается на MS WSUS (c:WindowsWindowsUpdate.log) и обнаружил что клиент обращается на узел https://update.microsoft.com.

    Решив воспроизвести ситуацию вручную, открыл этот узел в IE - и посмотрел свойства сертификата.
    Цепочка сетификатов ведёт к корневому сертификату ЦС - GTE CyberTrust Global Root
    Открыл на своем WSUS сервере остнастку certmgr.msc и выполнив поиск обнаружил что у меня нет такого корневого сертификата...

    Пришлось скачать отсюда http://support.microsoft.com/default.aspx/kb/931125 файл rootsupd.exe...далее, по причине того, что этот пакет предназанчен только для WinXP (по крайней мере в Win2008 он просто не запускался) - пришлось распаковать и оттуда открыть файл сauthroots.sst
    В нём то и оказался нужный мне сертификат КЦС - GTE CyberTrust Global Root..Импортировал этот сертификат через Мастер импорта сертификатов в хранилище Доверенные корневые центры сертификации (в хранилище Локальный компьютер)
    ...
    Открываю остнастку WSUS, запускаю синхронизацию с MS WSUS... синхронизация заработала

  • Установка серверных компонент Microsoft Forefront Client Security на Windows Server 2008 (в топологии с одним сервером)

    Встала задача - развернуть серверные компоненты Microsoft Forefront Client Security в конфигурации с одним сервером под управлением Windows Server 2008 (x86 SP2). После прочтения документации на technet.microsoft.com возникло ощущение что ничего в общем то особо сложного в этом нету, но на практике оказалось что данный процесс таит в себе много «НО»… достаточно для того, чтобы сесть и написать данный Step-by-Step во избежание хождения по граблям при будущих инсталляциях. Ибо дело чтением официальной документации не окончилось…пришлось переворошить массу дополнительных источников информации чтобы справится с поставленной задачей. В общем то для тех кому это ещё предстоит – думаю данный мануал будет полезен. Весь процесс логически разделен на несколько этапов. Итак поехали…

    Читать далее...