Log Analize: Microsoft LogParser Studio

Microsoft’s free Log Parser Studio tool offers a single view for analyzing the logfiles of Windows systems and services. Log Parser Studio is a utility that allows you to search through and create reports from your IIS, Event, EXADB and others types of logs. It builds on top of Log Parser 2.2 and has a full user interface for easy creation and management of related SQL queries.

Подробней совсем подробней

Download

Пример на Exchange на IIS

Рубрика: Windows | Добавить комментарий

mouse without borders: 2 компьютера 1 мышка

Утилита от САМОГО MS для управления 1 мышкой разными компьютерами:

Скачать

Рубрика: Windows, Администрирование | Добавить комментарий

Синтезатор речи Microsoft: Робобаба

Robobaba

Робобаба, это скрипт написанный мной на Powershell.  Он является информатором и напоминателем. Говорит,  при помощи синтезатора речи Microsoft, погоду, курс доллара и напоминания из конфига.
Писать больше нечего. Нужно брать и пробовать…
P.S как добавить POSH в шедуллер, можно ознакомиться тут

Скачать Robobaba

Рубрика: Разное | Добавить комментарий

RDP: Brute and Intrusion Detection for Windows Systems

Intrusion Detection for Windows SystemsСтолкнулся с брутом RDP.  В логах WIN сыпется куча сообщений Event ID 4625, в которых сообщается: Failure Reason: Unknown user name or bad password. и при этом не сообщается IP адрес. Как примерно тут. Смысл в том, что если используется TLS/SSL шифрование для RDP протокола,  то Windows не логирует IP. Выход из положения, утилита Cyberarms IDDS которая может не только блокировать IP тех кто по протоколу RDP долбится. но и ftp, SMTP, SQL, Windows Base Security Agent и тд…

Intrusion Detection for Windows Systems

Cyberarms Intrusion Detection and Defence System protects your Windows Systems

Рубрика: Windows, Безопасность | Метки: , | Добавить комментарий

IIS: SSL (Создаём *.PFX из *.CRT и *.KEY)

ssl Задача: Установить купленный SSL сертификат  в IIS.

История. Для приобретения сертификата нужно сформировать CSR запрос. Открываю консоль IIS 8.5 иду в «servers sertificate» и генерирую certificate request, длинной не меньше 2048 bit. У одного из хостеров копирую его в форму генерации SSL сертификата и вижу ошибки.  Не принимает запрос, говорит не верный и всё. Пробовал разные длинны ключа. Не очень хотелось генерировать CSR запрос на стороне. Так как не секюрно и проблем с приватным ключом меньше. НО! Пришлось использовать форму хостера (далее расскажу почему была проблема) и там создать CSR запрос и получить приватный ключ. СОХРАНИТЕ ЭТОТ КЛЮЧ в текстовом файлике *.key (пригодится!) Далее валидация домена при помощи кода на почту…. И вот у меня есть сертификат .crt.

Вот тут началось… из-за незнания! Что делать с приватным ключом. Его нужно сохранить в MyDomain.key и беречь! Это залог безопасности того, что будете оберегать SSL ключём! Вот по этому и не хотелось генерировать csr и получать приватный ключ на стороне. Далее необходимо добавить ключь и сертификат в хранилище Windows server. Windows примет сертификат, но без приватного ключа он бесполезен, а импорт возможен в спец формате *.pfx. Это запароленный бинарь с ключём и сертификатом. Так вот как создать этот бинарь.

Создаём *.PFX из *.CRT и *.KEY для импорта сертификата.

Можно сделать несколькими способами. Нам нужна утилита которая сконвертирует по сути текстовые файлы crt и key в бинарь.

openssl.exe pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt

openssl.exe для Windows можно взять  тут. Далее

openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt

pvk2pfx.exe это компонент SDK и чтобы его получит, нужно скачать SDK 10, Установить и мотом использовать pvk2pfx.exe.

Я пошёл по 1му пути. А потом всё просто. Открываем оснастку управления сертификатами

RUN > MMC > FIle> Add Remove Snap -In…  и импортируем наш pfx файл в нужное нам хранилище!

А когда сертификат и ключ в хранилище, тогда всё хорошо! Открываем IIS — свойства сайта, и биндим наш SSL на 443 порт. Всё.

А, да.. Причина по которой хостер не принимал сертификат это CSR запрос sha1. Который деприкейтнут! Проверить валидность CSR запроса можно тутКак создать CSR запрос с SHA2 (SHA256)в Windows и тут

CSR SHA2

 

 

 

 

P.S Ранее рассказывал как получить бесплатный сертификат на 1 или 3 года. Но на китайцев наехали и они прикрыли китайскую лавочку с щедрым аттракционом по раздаче SSL.  Но вот тут вроде есть триальные на 90 дней startssl.com и comodo.com

Рубрика: Windows, Администрирование, Безопасность | Добавить комментарий

RDP: Установка SSL сертификата

RDPSSL Задача: Установить свой SSL сертификат полученный в wosign.com. Так что-бы при подключении к Win серверу\десктоп компьютеру по RDP не появлялось сообщение о том, что сертификату не стоит доверять.

 

Решение: Получаем сертификат. Как это сделать, описал в другой статье или тут почитать. Далее по инструкции от MS или тут или здесь.

1 В групповых политиках

Computer Policy > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host, and then > Security.

Включаем политику «Require use of specific security layer for remote (RDP) connections» указав значение SSL (TLS 1.0) . Теперь сервер будет устанавливать соединение только по  SSL (TLS 1.0).

2

sertДалее импортируем сертификат. Открываем mmc и добавляем сертификаты локального компьютера. Открываем раздел «Personal»  и импортируем полученный сертификат. Иконка сертификата должна быть с ключиком. Нам нужен Thumbprint нашего сертификата. Добавляем NETWORK SERVICE (права Чтение).

Thumbprint Копируем его. Для удаления скрытых символов вставим в открытое окно CMD. Скопируем из CMD без лишнего и формируем команду для добавления записи в реестр

 

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash=»THUMBPRINT»

Где «THUMBPRINT» = без пробелов.

3 Нужно применить групповые политики для этого выполним

gpupdate /force

Удалим старый сертификат который находится в хранилище сертификатов «Remoter Desktop» перезагрузимся (вроде не обязательно). Сертификат в хранилище «Remoter Desktop» сгенерируется заново, но использоваться будет новый, thumbprint которого будет указан в реестре

Registry path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Value name:  SSLCertificateSHA1Hash
Value type:  REG_BINARY
Value data:  certificate thumbprint

Полезные ссылки:

В целом делать  так

Про ssl

 

Рубрика: Windows, Администрирование | Метки: , | Добавить комментарий

IIS: Webdav over SSL

webdav WebDAV (Web Distributed Authoring and Versioning) или просто DAV — набор расширений и дополнений к протоколу HTTP, поддерживающих совместную работу пользователей над редактированием файлов и управление файлами на удаленных веб-серверах.

Задача:

1 На Win server 2012 R2 настроить Webdav средствами IIS. Встроенным клиентом в Win 8.1 подключится к Webdav серверу.

2 Настроить шифрованое соединение через https (ssl)

3 Подключится с мобильных ОС (android, win phone 8.1)

Решение:

1. Берём win 2012 R2 и устанавливаем IIS с поддержкой WebDav Publishing.

2.  Делаем нужную А запись в DNS сервере, по которой будем обращаться к Webdav. К примеру webdav.mydomain.ru. Создаём домен (не забыв указать нужные права на хомяк) в IIS и включаем поддержку Webdav в WebDAV authoring rule.  Создаём правило подключения пользователей — WebDAV authoring, указав нужные параметры доступа и выбрав пользователей\группуы. Далее в свойствах сайта заходим в раздел Authentication, и разрешаем только Windows Authentication. По сути минимум настроек сделано, WebDAV будет работать.

3. Настраиваем клиента. В домашних Win ОС клиент по умолчанию доступен. В серверных нужно доставить Desktop Experience в Features. Подключать можно с консоли NET USE * https://webdav.mydomain.ru в результате будет подключён сетевойдиск или сетевая папка. Но это по протоколу HTTP и при этом данные будут ходить в открытом виде, кроме пароля авторизации. Для шифрования нужно использовать WebDAV over SSL.

4. Настраиваем сервер IIS для работы WebDAV по протоколу https. Нам понадобится сертификат SSL. Его можно купить ~440р/год, можно получить у китайцев, подробней о заказе тут. Или создать самоподписной сертификат. Первые 2 способа не требуют добавления на каждом клиенте, сертификата в довереннные, третий подразумивает добавление его в доверенные. Как добавить первые 2 сертификата, рассказано тут и с этим должно быть всё просто. IIS может формировать самоподписные сертификаты, но CN в них обычно = имени хоста, а не тому URL по которому вы подключаетесь к серверу. По этому сертификат не будет валидным. Для формирования самоподписного сертификата для Webdav На IIS, нужна утилита SelfSSL входящая в комплект (IIS) 6.0 Resource Kit Tools. О сертификатах в IIS описано подробно тут. Как сгенерировать сертификат расказано тут, я же укажу строку с параметрами. Сама утилита обычно лежит по пути C:\Program Files (x86)\IIS Resources\SelfSSL. Вызываем её с параметрами:

selfssl.exe /N:CN=webdav.mydomain.ru /V:1000

selfssl

После добавления сертификата на сервер, нужно зайти в раздел Edit bindings в IIS нашего домена и сделать привязку имени к сертификату.

После успешных действий можно подключаться клиентом WebDav по протоколу HTTPS.

NET USE * https://webdav.mydomain.ru  /USER:ИмяПользователя  Пароль

5. Подключение мобильных устройств к WebDav.

Если используем самоподписной сертификат, то нужно его добавить на устройстве в доверенные!!

Win OS:

CarotDAV — Единый клиент для Dropbox, Google Drive, SkyDrive и не только

Android:

Win Phone:

Для Win Phone 8.1 я не нашёл родного клиента и использую WebDav File. Всё бы ничего, но вот хочется отправлять фотки и файлики из приложений прям в WebDav как в MS OneDrive нативно и просто в пару кликов.

ShareFolder Explorer

Полезные ссылки:
На этом всё. Вот кучка полезных ссылок для шаманства.

WebDav клиент ошибка 0x800700DF или лимит размера файла

Ввремя жизни кэша для протокола WebDAV в Windows 7

Значение времени жизни кэша для WebDAV в Windows 7 – 60 секунд. Чтобы изменить это значение, вам нужно изменить ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxDAV\Parameters\FileNotFoundCacheLifeTimeInSec. Эта мера необходима, т.к. не существует механизма, который бы чистил кэш по требованию.

Тормозят ресурсы WebDAV в Windows 7

Про WebDav аутентификации и тут малость.

Отладка ошибок WebDav

UPD:17.10.2017
Если в момент скачивания файла с WebDav появится такое сообщение: Error 0x800700DF: The file size exceeds the limit allowed and cannot be saved.

То знайте, вы защищены обновлением  от атаки «denial of service» Максимальный размер скачиваемого файла =~ 50мб.  Решить можно правкой реестра как указано на сайте MS. Или тут, но с картинками

Рубрика: Windows, Администрирование | Метки: , | Добавить комментарий

Nissan note: Чистка радиаторов охлаждения и ремонт вентилятора

WP_20160807_10_41_26_Pro

Nisan note вентилятор радиатора

Как-то в жару стоя в пробке, загорелся индикатор перегрева двигателя. Включаем печку и открываем окна. Ждём падения температуры двигателя и повышения своей 8).

Решил почистить радиаторы, заменить охлаждающую жидкость и посмотреть почему так шумит вентилятор радиатора.

Как добраться до радиатора, не буду писать. Так как это не сложно. Есть нюансы.

-Для снятия декоративной решётки нужен хитрый инструмент или согнутый кусок арматуры 4мм, для открепления зажимов, которые находятся с нижней стороны.

-Перед снятием клем с датчика удара, который на перекладине-телевизоре, снимите клему с аккумулятора, иначе потом будет ошибка

-Осторожней с клипсами, я много поломал.

WP_20160807_10_24_07_ProСняв решётку и перекладину (телевизор) снимаем верхний патрубок с радиатора (прольётся ~100г жидкости), все разъёмы я заткнут тряпкой, что бы шрязь не попала. Откручиваем и снимаем диффузор с вентилятором. Теперь можно промыть радиатор, кто чем может воздухом, струёй воды, но не мощной, загнутся ячейки. Осторожней электрику не залейте (генератор и блок предохранителей.)

WP_20160807_09_17_19_Pro Вентилятор крепится на хитрых винтах, подошла головка на 5.5. Сняв вентилятор, сжимаем развальцованные штырьки, которые по кругу (видны на фото) Аккуратно разъединяем, под крышкой пластиковая схема, и много графитовой пыли. Продуваем, смотрим цел ли якорь на роторе, в порядке ли щётки.

WP_20160807_10_56_12_ProПроверяем смазка на задней части ротора. К переднему подшипнику можно добраться сняв лопасти. внимание, винт с ЛЕВОЙ РЕЗЬБОЙ, я сорвал шлицы и поработал болгаркой А винтика с левой резьбой я не смог найти в автомагазинах и стройрынках. Подшипник не обслуживаемый, я просто налил на него масло и шуруповёртом покрутил в надежде что он смажется. и замазал литолом. Собираем и  развальцовываем обратно. Сложно надевать лопасти на вал ротора. После этих работ я надеюсь продлил жизнь мотору хоть на годик — другой,  который стоит от 5 до 7 т.р не оригинал. Вот что делает жаба.

Антифриз у меня был зелёный. Осторожно он может быть ОЧЕНЬ горячим. Сливал на яме, сняв нижний патрубок радиатора. Слилось около 2 литров. Надел патрубок, завёл и слил ещё пол литра. Залил медленно, 2,5 литра, завёл авто, погазовал малёк, печку включил и опять слил 2,5 литра. После долил до полной горловины и макс. в расширит бачке. 5 литрово антифриза мне хватило для промывки и замены.

Рубрика: Про авто | Добавить комментарий

Windows PowerShell: Cmdlet Library from The Vexasoft

Powerful new cmdlets for System Administrators

Собственно вот линк на них : The Vexasoft Cmdlet Library
for Windows PowerShell

Рубрика: Powershell | Добавить комментарий

Event Log: Перезагрузки

Для просмотра даты и времени всех не запланированных перезагрузок в OS Windows есть способ:

Отфильтровать все события в разделе System под номером 6008.

Для просмотра даты и времени всех запланированных перезагрузок в OS Windows есть способ.

Отфильтровать все события в разделе System под номером 1074 Event sources выбрать USER32

Подробней тут

Рубрика: Windows, Администрирование | Добавить комментарий