На этот раз, семь из девяти устраняют возможность удаленного выполнения кода, что примечательно во всех существующих операционных системах.

В этот раз исправления коснуться даже SharePoint Server 2010 и даже Visio Viewer и Silverlight 4. Жуть куда катится этот мир…

Будете внимательны и после тестирования обновлений не затягивайте с установкой.

Причина проста – все касающиеся ее вопросы можно обсуждать бесконечно и чаще всего без какого либо эффекта. Результатом становятся истраченные нервы и время.

Новая тема которая вводится в список обсуждений и предоставляемых материалов это вопросы  безопасности.

Вернее, демонстрация основных заблуждений администраторов (сам через это прошел) и то чем они могут закончится.

Учебников по взлому Windows не ждите, их не было и не будет, но методики нацеленные на преодоление «типа» защиты и «типа» настроек безопасности постараюсь показать максимально подробно. Конечно, не все сразу и не все что есть, потому что времени катастрофически не хватает, да и загрузка на работе у меня выше всяческих ожиданий.

Итак.

Встречайте новую тему в блоге – «Безопасность».

PS От себя хочу сказать – нет идеальных систем, есть недообследованные. В большинстве случаев хорошо спроектированные «правильные» системы приобретают дыры именно из-за человеческого фактора.

Как сказали в одной из конференций – «Выбросьте ваш гуглофон и айда во двор кормить динозавров».
Динозавров кормить не будем, но посмотрим что именно мы имеем на текущий момент.

Поговорим про бегство от свободы?

Google Chrome

Шустрый браузер который рекламируется на все лады и продвигается везде где только можно.
- Сайты загружаются до того как вы заканчиваете набирать их названия…

Отлично!!! Для для меня уже подготовили список того что мне будет интересно. Весьма странно, я вроде никого об этом не просил, но мне уже все предоставили готовое.

Если учесть что для удобства, с помощью Google-аккаунта, синхронизируются не только закладки но и история, пароли и пр. то вырисовывается вполне веселая картинка Теперь ни для кого не секрет куда вы ходили, что открывали и что пароль к вашему аккаунту на каком нибудь ресурсе уже известен не только вам.

Историю поиска

Для тех кому не все равно, это те кто не согласен с тем что все что есть собирается и анализируется, есть возможность подчистить всю историю поиска.

Переходим по ссылке, чистим историю и ставим на паузу «Историю веб-поиска».

Традиционно, есть небольшой нюанс прям как в анекдоте про Петьку и Чапаева (приводить текст не буду).

Если вы выполнили вход то можно отключить историю веб-поиска, но в случае если вы не выполняли входа то история все равно пишется. Результаты для вас формируются на основе данных о предыдущих поисковых запросах, связанных с файлами cookie в вашем браузере. Не отчаивайтесь. Можно отключить и это.

Переходим на страницу google.com/history и регистрируемся с помощью имени пользователя вашего Гугл-аккаунта. На странице нажимаем на ссылку Отключить персонализацию результатов поиска на основе данных файлов cookie.

Для надежности требуется заодно удалить текущий файл cookie вместе с историей поиска из вашего браузера.

Google Locator

Полезная штука, но я так и не могу представить для чего ее изобрели.

Если вы используете Google Maps то крайне рекомендую зайти по ссылке и посмотреть что там есть. Я был крайне удивлен тем что тут посчитано время проведенное на работе и время проведенное дома (домашний адрес определили довольно точно, а вот с рабочим промахнулись почта на 2 километра гуглу должно быть стыдно). Тут замечательно зафиксированы точки где я чаще всего бываю и много другое.

Не нуждаюсь в том что бы кто то считал время моего прибывания в той или иной точке и рассчитывал мои маршруты.

Google Docs и Google Calendar

Вполне безобидные сервисы, но удалить из них данные стоит. Не оставлять же информацию…

Тут можно искать по тому что имеется, а это означает что все что вы оставили уже проиндексировано. Если вы используете Google Календарь со своего мобильного девайса или еще откуда нибудь то помните что вы оставляете за собою много полезной информации:

• Встречи. Неважно с кем, но так как правило указаны места и люди.
• Заметки о делах которые были выполнены.
• Многое другое.

Инструкция по удалению данных доступна по ссылке.

G-мыло

Тут вам и безразмерный ящик и удобный поиск и интеграция со всеми службами, в случае если вы используете Google + то в настройках можно найти и свою аватарку. Для удобства, любезно предоставлен функционал сбора почты с других аккаунтов.

Удаляться или нет решать вам.

Я давно перенес почту на свой почтовый домен.

Google Reader

Самый безобидный сервис. Удобный, но привязывающий к себе требованием наличия Гугл-аккаунта. Есть поиск и статистика. Естественно, при желании можно проанализировать вашу активность т.к. согласно новым правилам записывается не только ваш IP адрес, но и сведения об операционной системе и многое другое.

Все для людей

На мой взгляд проще и надежнее использовать RSS-ридер установленный на компьютере.

Google Maps

Полезный сервис, но если посмотреть внимательно то тут можно задать свое местоположение по умолчанию, можно задать свою компанию. Можно составить маршруты и метки. Как все это добро удалить пока не нашел, но вывод напрашивается сам собою – можно проследить все ваши маршруты и многое другое…

Предпочитаю Яндекс карты потому что они больше осведомлены о том что есть у меня в городе.

Google Plus

Утопическая социальная сеть. Думали что «взлетит» а на практике оказалось что полет был недолгий . Народ регился для » на посмотреть», но не найдя ничего полезного остыл и потерял интерес.

За это время в обиходе пользователей появились кнопки «+1″ которые фиксируются в истории и влияют на позиции при поиске.

Открываем ссылку http://www.google.com/s2/u/0/search/social?hl=ru и внимательно изучаем как Гугль отслеживает ваши связи.

Каюсь. Использую данную социалку для того что бы было. На удаление из нее пока что не созрел потому что она хороший источник трафика для блога.

Что осталось?

Остались множество веб сервисов, различной полезности, которые тырят данные впрок. Как они это будут использовать не совсем ясно, вполне возможно что это прикрывается безобидным анализом во благо.

PS Вы не задумывались сколько данных можно про вас получить если ваш аккаунт будет скомпрометирован? Злоумышленнику не надо собирать на вас материалы, ему достаточно любым методом получить данные вашей учетной записи и ему будет доступно гораздо больше чем дофига

Симптоматика

При попытке вставить изображение с веб-страницы методом копи-паста Outlook 2010 задумывается и после того как проходит некоторое время ничего не «вставляет»

Outlook зависает намертво и помогает только завершение процесса через «Диспетчер задач».

Возможные причины

Привожу одну из возможных причин. Вернее то что чаще всего наблюдается.

Вполне возможно что на проблемном компьютере установлен ISA 2006 Client или Forefront Threat Management 2010 Client.

Outlook для загрузки изображения не использует буфер обмена, а опирается на настроенный в IE прокси сервер

netsh winhttp show proxy

Если значение не указано то наблюдается зависание при вставке любых объектов в Outlook и пр.

Решение

Настройте параметры proxy-сервера любым удобным методом.

Я предпочитаю так.

netsh winhttp set proxy TGMSRV
netsh winhttp set proxy TMGSRV:8080 ";bar"
netsh winhttp set proxy proxy-server="http=myproxy;https=TMGSRV:8080" bypass-list="*.foo.com"

Напомню что в прошлый раз был модуль Active Directory.

Модуль GroupPolicy доступен в следующих случаях:

• Windows Server 2008 R2 с установленной ролью контроллера домена.
• Рядовой сервер Windows Server 2008 R2 с установленной консолью GPMC.
• Windows 7 с установленным пакетом Remote Server Administration Tools (RSAT).

Казалось бы, нет ничего странного, модуль как модуль. Можно посмотреть какие в нем есть командлеты

или более правильная, по мнению курса Advanced Group Policy Troubleshooting, методика

можно даже вот так

Результат не изменится, помощь есть помощь…

Набор более чем стандартный, есть и Get и Set и Remove, все хорошо документировано, ничего сложного и нет.

Примечание: полный список команд приводить не буду так как он доступен по ссылке на TechNet

Командлеты используются для выполнения нижеперечисленных операций с доменными объектами групповой политики:

• Создание, удаление, резервное копирование и импорт.
• Создание, связывание, обновление и удаление связей объектов групповой политики с контейнерами Active Directory.
• Установка флагов наследования и разрешений в подразделениях и доменах Active Directory.
• Настройка реестровых параметров политики: обновление, извлечение, удаление.
• Создание и изменение Started GPO.

Постараюсь не размазывать а привести только самое интересное.

Для использования командлетов сначала импортируем модуль GroupPolicy.

Примечание: Пока что все что приводится запускает от имени бесправного доменного пользователя. Позже объясню для чего это нужно.

Попробуем запросить список доступных объектов групповых политик.

Предположим что вы знаете список имеющихся OU, но забыли название а лезть в оснастку ADUC вам жутко лень. Что делать?

Все просто, вводим команду

dsquery ou

или тоже самое, но на powershell

Получаем результат.

«OU=Domain Controllers,DC=lab,DC=com»
«OU=Members Servers,DC=lab,DC=com»
«OU=Managed Computers,DC=lab,DC=com»
«OU=TestOU,DC=lab,DC=com»

Структура ясна, теперь запрашиваем список объектов групповых политик для dc=lab,dc=com

Результат вполне ожидаемый.

Name : lab.com
ContainerType : Domain
Path : dc=lab,dc=com
GpoInheritanceBlocked : No
GpoLinks : {Default Domain Policy}
InheritedGpoLinks : {Default Domain Policy}

Теперь изучим политики привязанные к OU – Managed Computers.

В результате мы видим что в этому OU есть линк на политику «Desktop – Baseline Policy». Посмотрим что можно прочитать про найденную политику.

Результат не впечатляет

DisplayName      : Desktop - Baseline Policy
DomainName       : lab.com
Owner            : LAB\Domain Admins
Id               : 3aa02562-cf15-41a0-f8fb-416a2a421b4f
GpoStatus        : AllSettingsEnabled
Description      :
CreationTime     : 2/26/2011 12:15:42 AM
ModificationTime : 2/26/2011 12:15:42 AM
UserVersion      : AD Version: 0, SysVol Version: 0
ComputerVersion  : AD Version: 0, SysVol Version: 0
WmiFilter        :

Примечание: На практике User Version и Computer Version, если заданы хоть какие нибудь настройки, явно не равняются нулю

Предположим, у нас есть некий набор настроенных GPO. Выполним  сначала запрос полномочий

а после него создадим отчет по имеющимся настройкам

Получилось? Естественно. Ведь в правах скорее всего установлено что все прошедшие проверку могут читать.

Что остается сделать?

Наверное, резервную копию? Проверим получится или нет.

Прокатило…

Примечание: Помните про «бесправного пользователя»? В данный момент с его правами удалось сделать резервную копию GPO.

Попробуем выполнить резервную копию всех объектов которые можно прочитать.

Получилось для всех имеющихся политик?

Итог

Каков вывод?
Модуль GroupPolicy будет полезен администратору, например для автоматизации создания резервных копий объектов GPO и для аудита назначенных полномочий. Как показывает практика, остальные операции, как правило, выполняются из удобного графического интерфейса.

Если немного подумать, можно на базе модуля GroupPolicy написать скрипт для мониторинга изменений объектов. Например можно фиксировать следующие изменения:

• Изменения прав на объекты.
• Изменение версий. Атрибуты UserVersion и ComputerVersion.
• Создание новых объектов.
• …

Второй вариант немного неожиданный т.к. он основан на стандартном заблуждении многих админов заключенных в том что назначения стандартных разрешений для объектов GPO вполне достаточно.

Проблема сводится к тому что в большинстве случаев почти все объекты GPO можно прочитать, ошибка может привести к следующим последствиям.

Предположите на мгновения что некто сделал резервную копию GPO в котором у вас задаются пароли для локальных администраторов или настройки для сервисов…

Представили?

Дальнейшая судьба этих GPO скорее всего будет следующей:

• Резервная копия будет восстановлена в тестовом окружении.
• GPO назначено на OU.
• После применения политики будут слиты хэши от пользователей которых вы настроили (например назначили пароль локальному администратору через Group Policy Preference) или получены пароли учетных записей от которых стартуют сервисы (частенько это могут оказаться учетки с правами доменного администратора или учетные записи пользователей имеющих очень большие права ).

Вариантов масса. Могу предположить сценарий похищения политик которые отвечают за настройки серверов с целью их анализа и пр.
Конечно, если у вас все в порядке с правами доступа к объектам, то вам вышеназванные жутики вам не страшны, но если у вас все могут читать то стоит задуматься…

PS Это не методика взлома Групповых политик, это повод задуматься над тем что у вас есть сейчас.

Что же, раз настаивают, пришлось читать…

Первое что бросилось в глаза это дата последней правки. Ребята явно живут не только в облаках но и в недалеком будущем.

Очень понравилась секция «Какую информацию мы собираем».

Вроде все понятно. Собираем данные о телефонах, модель, версия ОСи, IMEI, данные об операторе и привязку к аккаунту.

В переводе это выглядит примерно так – у нас будет база данных по всем Android телефонам и при условии что мы собираем и данные пользователей то в случае «если чо…» можно найти любой телефон и его владельца.

Идем дальше. Что пишется про сборку журналов.

Переводим

Мы пишем все что можно выцепить с вашего телефона и знаем куда вы звонили, какие SMS-ки отправляли и «если чо» то можем и куками вашими воспользоваться.

Дальше следует сведения о местонахождении. Тут все просто.

Мы пишем все места где вы были и в случае «если чо» то хрен вы отвертитесь

Идем дальше.

Переводим

Все что есть на вашем телефоне теперь наше.

Везде где есть кнопка +1 от Google теперь можно собирать данные.

Вы оставили комментарий у кого то в блоге? Видимо зря т.к. об этом теперь известно Google.

Читать дальше уже нет сил так как логика сводится примерно к одной фразе – «Все что было ваше, теперь есть у нас, а вы дали на это согласие».

Вы используете GМыло или Гэ-календарь?

Замечательно. Его уже проиндексировали и передали третьей стороне. Радуйтесь потому что «ваше» соединение защищено средствами SSL.

Если вы используете Chrome то нам известно куда вы ходите.

Это как?

Если пользователь не хочет отдавать свои данные то мы обратимся в местные гос. учреждения?

Ну хоть в чем то все понятно Если нам что то надо поменять то мы меняем когда хотим.

Итог простой – если вы еще хотите пользоваться сервисами Google то можете поискать свои персональные данные, об этом в политике есть целый абзац. Хотя я бы не обольщался потому что все что было загружено уже давно проиндексировано А «если чо» мы найдем вас через ваших друзей…

ЗЫ Жду бана от Google.

Это средство есть и оно совершенно бесплатное, правда оно не гарантирует 100% защиту, но его использование сильно увеличивает стойкость системы. Средство доступно всем пользователям Windows (за исключением Windows Home) и называется оно «Политика Ограниченного Использования программ» (Software Restriction Policies) и встроено оно в следующие системы Microsoft:

• Windows XP Professional, Windows XP Media Center.
• Windows Vista Business, Windows Vista Enterprise & Ultimate.
• Windows 7 Professional, Windows 7 Enterprise & Ultimate.
• Windows Server 2003 и выше(все редакции).

Примечание: К сожалению, для пользователей использующих линейку операционных систем «Домашняя *» (Windows Home) оно не доступно. С одной стороны правильно, а с другой Микрософт мог бы дать этот крайне полезный инструмент…

Механизм защиты прост и эффективен, суть его в том что пользователю разрешено запускать только явно разрешенные приложения, это избавляет от всяческих неприятностей с установкой adware, spyware и прочей мути в профиль пользователя и еще от ряда неприятностей.

Настройка

Откройте оснастку «Локальная политика безопасности» одним из методов:

1. «Пуск» -> «Выполнить» -> secpol.msc -> «Политики ограниченного использования программ» (Software Restriction Policies)
2. «Пуск» -> «Панель управления» -> «Система и безопасность» -> «Администрирование» -> «Локальная политика безопасности» -> «Политики ограниченного использования программ» (Software Restriction Policies)

Политика включена. Теперь требуется произвести несколько настроек. Выберите пункт «Применение» и задайте правила как указано ниже. Это включит проверку всех программ и обеспечит защиту пользователей и администраторов на данном компьютере. Если же вы не хотите стеснять администратора в действиях то во втором пункте выберите «Всех пользователей, кроме локальных администраторов».

Что бы пользователи могли использовать ярлыки на рабочем столе и в прочих местах необходимо разрешить их использовать.

Открываем пункт «Назначенные типы файлов» и удаляем из него расширение LNK.

Примечание: Удаление расширения LNK крайне спорное решение, но для упрощения реализации поставленной задачи поступить стоит именно так.

Теперь включаем правила «Белого списка». Для этого переходим в подпапку «уровни безопасности» и задаем пункту «Запрещено» значение «По умолчанию».

При необходимости разрешения выполнения программ из папок отличных от C:\Windows и C:\Program Files (они задаются как разрешенные по умолчанию) вам нужно добавить правило пути.

Например добавление пути C:\Distr c «Неограниченным» доступом. В этом случае стоит сразу учитывать что разрешения на запись в эту папку надо ограничивать и выдавать только администраторам.

Примечание: Если Вы устанавливали программное обеспечение на другой диск, например D:\Program Files и пр. что бы ПО могло запускаться необходимо добавить правило «пути».

Дальнейшие действия просты и заключаются они в создании ярлыков на reg-файлы.

- Зачем? Вроде все уже настроено…
- Что бы упростить обновление системы и установку новых программ.

Создайте два файла и сохраните из на диске. Я предпочитаю C:\Program Files\Tools
SRP_Disable.reg – Отключение SRP

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00040000

SRP_Enable.reg – Включение SRP

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00000000

Проверка

Для проверки действия политики создайте в корне диска C: две папки C:\TEMP и C:\Distr. Положите в них любой исполняемый файл, я скачал утилиту autoruns, перезагрузите ваш компьютер. Зайдите в систему и попробуйте запустить утилиту из папки C:\TEMP

А теперь из папки C:\Distr

Как видите, нужный результат достигнут.

Остается решить самый важный вопрос. при работе с reg-файлами, которые мы создали выше, есть шанс забыть включить политику обратно (администратор просто забыл или забил нужное подчеркнуть). Для этого необходимо выполнить последнее мероприятие.

Подстраховка

В меню пуск, в строке поиска вводим cmd, на найденном ярлыке говорим «запустить от имени администратора». Дальше вводим

gpedit

В открывшемся редакторе групповой политики выбираем – «Конфигурация компьютера» – «Конфигурация Windows» – «Сценарии».

Добавляем наш reg-файл в автозагрузку так как показано на рисунке.

Теперь, в случае даже если администратор забудет реестром обратно включить политику SRP, то после перезагрузки политика вернется в её исходное состояние – Запрещено.

Насколько это получилось, судить вам. Комментарии и пожелания приветствуются. По мере необходимости и готовности материал будет дополняться и корректироваться.

Условия и задача

Подопытная ОСь – Windows Ent 7 (другого под рукой не оказалось) установленная в VirtualBox. Все настройки и скриншоты будут приведены для нее, но они ничем не отличаются от «Домашних» редакций Windows 7. Таким образом все написанное ниже равнозначно для всех редакций Windows 7. Там где будет описание настроек для других ОСей будут приведены соответствующие примечания.

Задача – минимальными усилиями обеспечить защиту установленной системы.

Обновления

После установки операционной системы обязательно устанавливаем все имеющиеся обновления. Это защитит обеспечит исправление ошибок и закроет существующие уязвимости.

Антивирус

Рекомендаций относительно выбора антивируса давать не буду, скажу только что предпочитаю MSE (microsoft security essentials) т.к. он бесплатен, нетребователен к ресурсам.

Обсуждать достоинства и недостатки антивирусов не будем т.к. это выходит за рамки данной публикации.

Учетные записи

Создаем дополнительную учетную запись для повседневной работы. Это необходимо для того что бы избежать потенциальных проблем при работе под учетной записью с повышенными привилегиями.

Пуск -> Мой компьютер -> правой кнопкой мыши нажимаем управление.

 В открывшемся окне ищем

Создаем пользователя, в моем случае это user2. Это будет ваша учетная запись для повседневных задач. При необходимости установки программного обеспечения  и пр. используйте функционал «Запустить от имени». Нажмите клавишу Shift и в контекстном меню выберите пункт «Запуск от имени другого пользователя».

Немаловажный шаг в защите ваших паролей будет в отключении шифрования LMHash.

Отключение выполняется либо через локальную политику безопасности или через реестр. Реестровый вариант – откройте редактор реестра – «Пуск» -> «выполнить» -> regedit.exe. Найдите ветку

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

и создайте параметр «NoLMHash» типа DWORD со значением 1.

Примечание: В Windows 7 SP1 этот параметр уже установлен. В более ранних системах он либо отсутствует, либо равен 0. 

Следующим действием будет создание сложных паролей (цифры + буквы + спецсимволы, длиной хотя бы 10 символов, но в идеале 15-16) для всех имеющихся учетных записей, включая и отключенную запись пользователя «Администратор». Учетной записью Администратор, при необходимости, можно воспользоваться в Безопасном режиме.

Примечание: Если вы не планируете использовать «домашнюю группу» то отключите так же учетную запись HomeGroupUser$.

Службы

В оснастке «Управление компьютером» ищем вкладку «Службы».

И отключаем неиспользуемые и ненужные службы.

• Автономные файлы – на домашних ПК не используется.
• Браузер компьютеров – если у вас нет рабочей группы отключите. Я бы отключил даже если и есть
• Сервер – не нужен на машинах, ресурсы которых не выделяются для совместного использования в сети.
• Прослушиватель домашней группы – зависит от службы «Сервер» и остановится при ее отключении.
• Удаленный реестр – однозначно отключить т.к. удаленный доступ к нему дома не нужен.

Общие папки

Если вы не отключили службу «Сервер» то нужно запретить доступ к административным ресурсам т.е. имя диска со значком $ и ресурс ADMIN$. Эти ресурсы существуют по умолчанию (доступ к ним возможен только из под административной учетной записи ), причем, если удалить эти ресурсы через «Управление компьютером» -> «Общие папки», то после перезагрузки они появляются заново, полностью отключить их можно только с помощью внесения изменений в реестр.
Открываем regedit.exe и ищем ветку

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

изменением (или добавляем) следующий параметр:

AutoShareWks (его тип - REG_DWORD) значение 0

Примечание: Если удалить этот параметр или поставить 1 то после перезагрузки ресурсы будут созданы заново.

Отключение автозапуска

В статье базы знаний Микрософт подробно описана методика отключения автозапуска для всех вариантов операционных систем. Настойчиво рекомендую ознакомится и выключить функцию автозапуска.

Примечание: Методика отключения предоставлена в виде обновления, каждого для своей ОСи.

Отключение DCOM

Не лишним будет выключить поддержку DCOM. Стоит отметить что отключение DCOM может влиять на работу встроенных компонентов и приложений сторонних производителей. Я не рекомендую отключать DCOM до того, как будут найдены приложения, которые могут пострадать. В части случаев отключение DCOM может привести к полной неработоспособности системы.

1. Запустите редактор реестра.
2. Найдите следующий раздел реестра:

   HKEY_LOCAL_MACHINE\Software\Microsoft\OLE

3. Измените значение строкового параметра «EnableDCOM» на N.

Локальные политики

Переходим к самому интересному этапу настройки системы – настройка локальных политик безопасности.

«Пуск» -> «Панель управления» -> «Система и безопасность» -> «Администрирование» -> «Локальная политика безопасности»

Устанавливаем следующие значения:

Политика учетных записей.

• Политика паролей – Минимальная длина пароля – 10 символов
• Политика блокировки учетных записей – Пороговое значение блокировки – 5 попыток на 10 минут.

Как выяснилось, бывают. Вот небольшая история об этом.

Висящий в Микрософте инцидент, я описывал его ранее, наконец то закрыли. Хочется сказать несколько слов по существу проблемы. Инженер из МС сообщил что в DFS клиенте в операционной системе Windows 7 (соответственно и в Windows 2008 R2) есть баг который вроде как известен (с нас часы за инцидент не сняли), но пока его исправлять не планируется.

Теперь по существу.

Постараюсь максимально подробно описать проблему. Мало ли кто столкнется…

Исходные условия

Использование DFS-N серверов на базе Windows 2008 R2.

На DFS-линке должна быть включена опция INSITE.

Использование клиентов на Windows 7 (редакция значения не имеет). Как выяснилось в процессе экспериментов то баг есть в следующих ОСях:

• Windows 2008 Sp2 x64
• Windows 7 (все платформы и все редакции)
• Windows 2008 R2

Примечание: Windows Vista не тестировали т.к. у нас ее попросту нет…

Проблема

BSOD описанный в моей старой статье наступал при попытке FEP 2010 обновится с UNC-папки на которой лежат обновления. Естественно, ДО этого все обновлялось прекрасно, потому что DFS-N серверы у нас были на Windows 2008. При их замене началось…

Первым «откликнулся» почтовый кластер. Мне как то стало нехорошо, потом еще хуже когда в синий экран выпал один из высоко нагруженных SQL серверов…

Дальше, по очереди, начали вылетать еще с пол-сотни серверов расположенные на этой площадке. После замены DFS-N-ов на «посинение» 40% серверного парка ушло примерно 40-50 минут. К моменту, когда разобрались в косвенной причине начали вылетать клиенты

Не буду об ужасах…

Проблему локализовали, методом исключения нашли причину и открыли кейс. От МС была получена ценная рекомендация отключить IP v6 согласно статье (http://support.microsoft.com/kb/929852).

Объяснение простое – при включенном ipv6 DFS-N сервер может выдавать пустые таргеты, а клиент узрев что таргеты пустые самоубивается не выдержав такого наплевательского отношения

Итог

Экспериментировать не рекомендую, но если кто то воспроизведет проблему и поделится впечатлениями, думаю что всем будет интересно

Если у вас DFS-N серверы на Windows 2008 R2 и на линках включена опция INSITE, то либо отключите ее, либо отключите поддержку IP v6 потому что данную багу до выхода Windows 8 скорее всего не исправят.

С одной стороны он, при наличии таких новинок как Refresh Your PC и Reset Your PC, теряет необходимость. С другой его наличие не помешает потому что он нужен крайне редко, но коли понадобится и его не будет в наличии то будет весьма грустно.

На просторах интернета нашлась методика,  которой я хочу поделится.

Шаг первый.

При загрузке системы нажимаем F8, выбираем меню «Troubleshoot», из него выбираем загрузку командной строки. Дальше вводим команду:

bcdedit /enum /v

Результат ее работы будет примерно следующий.

Из двух имеющихся пунктов выбираем второй «Windows Boot Loader», запоминаем параметр identifier. Вводим команду.

bcdedit /copy {3a6f7954-4795-11e1-b9ce-bf5c0f45c13f} /d "Safe Mode"

Перезагружаемся.

Шаг второй.

Для проверки нажимаем F8. Загрузочное меню несколько изменилось.

Нажимаем на меню выбора операционной системы.

В меню выбора появилась добавленная нами «Safe Mode» конфигурация.

Перезагружаемся в обычном режиме.

Шаг третий.

Для того что бы созданная нами конфигурация загрузки действительно была «безопасной» потребуется всего одно действие.

Запускаем утилиту msconfig.

На вкладке «Boot» ставим галку на пункте «Safe boot». Нажимаем «OK».

Итог

Для того что бы убедится в работоспособности «Безопасного режима» перезагрузите компьютер, выберите конфигурацию «Safe Mode» и после загрузки на экране вы увидите привычную взгляду картинку.