Windows Auth, Windows Auth, Windows Auth!!!

Caros amigos e leitores,

Sou especialista em sistemas Microsoft Server e segurança, como tal sempre fui um fervoroso da utilização de “Windows Integrated Authentication” no acesso a recursos Microsoft, porque só assim temos uma maneira fiável e segura de auditar, filtrar e nos ligar-mos a esses sistemas.

Sempre aconselhei (leia-se obriguei) o uso deste tipo de acesso a consultores externos de sistemas Microsoft que estão sobre a minha gestão quer directa quer indirectamente (infelizmente nem sempre com sucesso). E para tal eu usava e ensinava o procedimento de criar um utilizador local com o mesmo nome e credenciais que o utilizador a utilizar no domínio do recurso e depois abrir a aplicação pretendida em modo RunAS (a partir do Windows XP+) ou usando a extensão do explorer “Run as different user”, desse modo as credenciais impersonalizadas eram passadas para o sistema que estava nesse outro domínio e sem que o sistema de onde era feita essa chamada tivesse que estar no mesmo domínio do recurso a aceder.

Procedimento este que era, do meu ponto de vista, fulcral para tentar minimizar (por exemplo) o tão usado acesso SQL em “Mixed Mode“ que a Microsoft desde a versão SQL 2000 SP3 (+-) tão fervorosamente indica ser DESACONSELHADO e futuramente descontinuado.

No entanto a prática que eu pensava que funcionava (e que funcionou em acessos a recursos SQL 2000 com Windows 2003) não funcionou ao tentar configurar o acesso de um consultor externo a um SQL2005 com Windows 2008 R2, fui então validar esta questão.

“usar um utilizador e pwd local com as mesmas credenciais que o user de domínio funcionava (ex: aceder ao SQL 2000 usando um utilizador dominioA\userA onde depois poderia ser feito um runas /user:UserA que existia na máquina local fora do domínio)” mas neste caso não:

YEP no luck, e do lado do recurso tenho o evento 4625 que me reporta que o sistema está também a validar o domínio da conta de origem:

Comecei então na demanda de actualizar esta boa prática… tcham tcham tcham

A partir daqui é que isto fica realmente interessante :D

Connecting To A Database Using Windows Authentication With Different Credentials Using SQL Server Management Studio
Quantos de vocês lêem o manual de instruções / help? RTFM :D
AAAAAAaaahhhhhh, OOOOOoooooohhhhh, viram a luz? então considerem-se a partir deste momento iluminados :D

Esperem só um momento que eu estou em acto de auto-flagelação por não ter tomado atenção a tão simples procedimento…

Bom e melhor do que tudo isto, uma vez mais Mark Russinovich (um verdadeiro GURU desta era tecnológica) e seus colegas nos apresentam mais um maravilhoso utilitário que nos facilita a vida. Apresento-vos (para quem não conhece):

ShellRunas v1.01 By Mark Russinovich and Jon Schwartz

Agora  sim ficaram verdadeiramente ofuscados com tanta iluminação!!!! (ou será dos meus olhos?)

Para os incrédulos e agnósticos aqui vai um mero exercicio de POC :)

Nada na manga:

O mesmo se pode fazer com outros tipos de acessos, como gerir uma AD a partir de uma máquina que não está no domínio e sem recurso ao login interactivo no servidor usando Terminal Services / RDS (outra prática a evitar porque expõe um perfil com direitos elevados num servidor), etc…

E voilá, posto isto podem ter a certeza que o meu nível de “compliance” subiu consideravelmente :D

TECHNOTES:

Runas:
http://technet.microsoft.com/en-us/library/cc771525(WS.10).aspx

Connecting To A Database Using Windows Authentication With Different Credentials Using SQL Server Management Studio:
http://msmvps.com/blogs/paulomorgado/archive/2009/05/04/tip-connecting-to-a-database-using-windows-authentication-with-different-credentials-using-sql-server-management-studio.aspx

ShellRunas:
http://technet.microsoft.com/en-us/sysinternals/cc300361.aspx

 

Technorati Tags: TECH,Runas,SQL Authentication,Windows authentication

Que raio aconteceu ao ícone do IE?

Caros Amigos e leitores,

Como muitos de nós, fiquei habituado a ter o ícone do IE no meu desktop e aceder ás propriedades da internet a partir dai (outra possibilidade é ir pelo painel de controlo ou dentro do Browser depois de aberto).

Mas novos sistemas trazem novas maneiras de fazer as coisas (umas boas, outras nem por isso).

Por isso aqui vai para quem não sabe: no Windows 7 / Windows 2008 R2 server o ícone do IE deixou de ter a possibilidade de estar no Desktop (não pensem que o hack do registry resolve, porque não resolve)

Passo a palavra à Microsoft http://support.microsoft.com/kb/945402:

Important Windows 7 no longer supports the ability to modify the registry to get the special Internet Explorer icon to appear on your desktop. This change was made to ensure Internet Explorer could be removed easily for compliance reasons. The only way to add the Internet Explorer icon to the desktop in Windows 7 is to create a shortcut as shown in Method 1.

COMPLIANCE REASONS == os vários processos que a MSFT têm levado e perdido.

Passo a palavra aos foruns do Windows 7 http://www.sevenforums.com/tutorials/24072-internet-options-shortcut-create.html:

Information

This will show you how to create or download a Internet Options shortcut that opens directly to the Internet Properties page in Windows 7. You can also Pin to Taskbar or Pin to Start Menu this shortcut, or move where you like for easy use.

A frase mágica: “C:\Windows\System32\rundll32.exe shell32.dll,Control_RunDLL inetcpl.cpl,,4”

Resumindo e concluindo, está a funcionar como pretendido é o que interessa ;)

Divirtam-se

PS: Peço desculpa pelo atraso nos meus POSTS mas tenho tido muito pouco tempo.

ITTech Newbies - Salmo #1.1

#1 Analisando:

O que é que a frase

A Paula Só Tira Nabos Da Púcara

têm a ver com o modelo OSI e como é que isso pode ajudar um IT Tech Newbie a fazer troubleshooting de um dado problema.

A	Application
Paula	Presentation
Só	Session
Tira	Transport
Nabos	Network
Da	Data Link
Pucara	Physical

Aqui temos mais uma vez o modelo OSI, efectivamente como o Tavares salientou é uma MNEMÓNICA

E o que é o modelo OSI (Open Systems Interconnection)?

Tentando sintetizar, é uma descrição abstracta do desenho dos protocolos de rede e das suas interligações de uma maneira segmentada.

E em que é que isso ajuda um ITTech? é como aprender a falar ou a escrever se não soubermos o abecedário não saberemos formar palavras complexas e neste caso resolver questões complexas num ambiente de rede.

Por isso é muito importante interiorizar este Modelo (e outros conceitos), as suas componentes de dados, as suas camadas e respectivas funções

OSI Model

	Data Unit	Layer	Function
Host layers	Data	7. Application	Network process to application
Host layers	Data	6. Presentation	Data representation and encryption
Host layers	Data	5. Session	Interhost communication
Host layers	Segment	4. Transport	End-to-end connections and reliability
Media layers	Packet	3. Network	Path determination and logical addressing
Media layers	Frame	2. Data Link	Physical addressing (MAC & LLC)
Media layers	Bit	1. Physical	Media, signal and binary transmission

Com este modelo temos então uma ideia de como é que as redes onde nós trabalhamos funcionam e comunicam.

Claro que aqueles que verdadeiramente perceberem o seu funcionamento terão sempre mais capacidade de manipular e contornar estes ambientes de redes (AKA hackers, Gurus) do que os restantes.

Um exemplo prático onde este conhecimento foi aplicado:

Um colega meu estava num cliente a instalar vários sistemas Microsoft (entre eles Exchange email) e um dispositivo de segurança periférica (AKA firewall) e algo que estava fora do seu controlo, o router\modem de ligação à internet que normalmente é da responsabilidade do ISP (Internet Service Provider), mas que infelizmente nem sempre têm as pessoas mais brilhantes a trabalhar para eles (Newbies existem em todos os lados e em todas as matérias).

A uma dada altura ele entra em contacto com os seus colegas a pedir ajuda porque o email não funciona.

Ora, como é que eu tentei aplicar esta metodologia à resolução de tal problema:

1# Começando pelo principio (o topo do modelo OSI) garantimos que aplicacionalmente o sistema funciona (e como?) localmente (no HOST):

1.1# validamos que alguma “aplicação” está à escuta no porto do serviço que teremos problemas

netstat –ano | find /i “:25”

na máquina que faz “hosting” do serviço (lembram-se Host Layers? penso que neste caso validámos a camada nº5 Session)

Se retornar valores pudemos passar ao passo seguinte, validamos que o serviço que escuta nesse porto está activo e é aquele que esperamos

telnet %computername% 25 (simples e universal para portos TCP, mas devemos saber que resultados esperar, “rule of thumb” se não der erro é porque o mais provável é estar a funcionar)

portqry –n %computername% –p tcp –e 25 (simples, necessita do binário que é de download gratuito Resource kit windows 2003 (v2), e mais poderoso que o simples telnet) ver este excelente post

nmap –sT –p25 %computername% (Universalmente :) reconhecido como a melhor ferramenta de reconhecimento de redes e hosts, o windows têm alguns problemas em fazer scan a ele próprio MAS ei funciona com a placa wireless activa)

Mais uma vez se os comandos anteriores retornarem valores é porque o serviço que escuta no porto TCP25 (uma vez que é SMTP que estamos a diagnosticar) está activo e funcional (neste caso penso que testámos a camada nº6 Presentation).

Não quer dizer com isto que esteva 100% funcional mas já é um indicio, para sabermos se está 100% funcional temos de saber como funciona o serviço que queremos diagnosticar (camada nº7 Application) que no caso do serviço SMTP bastaria ler uns RFCs para sabermos como o fazer.

NOTA: para “troubleshoot” do serviço SMTP é bom saber fazer estes tipos de testes.

E assim foi feito

OK. Passo 1 está concretizado, conseguimos dizer com toda a certeza que o serviço está operacional na máquina em que reside.

2# será que é um problema de comunicação em rede (camadas 4 e inferiores do modelo OSI)?

Para este passo penso que as melhores ferramentas usar é o PING \ TRACERT e ARP, claro que o uso das 2 primeiras pressupõe não haver restrições na passagem de dados no protocolo ICMP, mas primeiro testamos, depois logo vemos.

Testes a partir da máquina com serviço:

Humm, perde-se pelo caminho

é melhor testar de outro máquina que esteja na mesma rede física e na mesma subnet lógica.

Humm, funciona, inclusive o teste ao serviço de SMTP funciona por isso as comunicações internas entre essas duas máquinas estão OK e as comunicações entre esta nova máquina de teste e uma máquina de teste com serviço SMTP na Internet também funciona.

Vamos testar agora no sentido inverso

também não funciona, perde-se pelo caminho e se fizer para o outro IP público gerido pelo mesmo dispositivo de segurança periférica (que por sua vez faz NAT para dentro), pudemos ver que o TRACERT chega ao destino.

Como este POST já está a ficar muito longo e a ideia é demonstrar que é preciso saber as bases para se puder aplicar mais acima.

Encurtando, a ideia é fazer testes nos dois sentidos em vários hosts que saibamos que funcionam as comunicações e os serviços.

DOCUMENTAR esses testes e os procedimentos feitos.

e por fim podem tirar uma CONCLUSÃO fundamentada:

NOTA: nem sempre a funcionalidade de uma camada mais baixa do modelo OSI pressupõe a funcionalidade de uma camada superior mas o INVERSO é verdade. No entanto devemos saber diferenciar entre testes de camadas diferentes e de standards dentro da mesma camada (ex: PING não responder não significa que não temos conectividade de rede, é um indicio mas não é prova) mas este assunto deixo para o próximo POST.

ITBérius

Aaaaargh!!! que estou mesmo em baixo de forma

OK! finalmente saí desta inércia desportiva e lá cravei o meu amigo Nelsinho das Couves que me levou a conhecer a escola de escalada do Reguengo do Fétal perto da Batalha a 1h30 de Lisboa.

Foi um dia de levantar cedo (O Nelsinho não brinca em serviço) 6h30, mas assim que lá chegamos deparei com um ambiente espectacular.

A pandilha era Eu o Nelson e o Ramiro (colega do Nelson)

Havia vias para todos os níveis, mas comecei devagar por 1 V mas rapidamente passámos para 6a,6b,6c.

Bom claro que aqui o JE ainda se esticou até aos 6b e é bom saber que mesmo sem fazer exercício regular há mais de 3 meses e sem fazer escalada à …!? (uma mão cheia de anos) ainda consigo sacar um 6a zito á vista.

View Full Album

O Nelson lá sacou um 6c.

View Full Album

Batalhámos um sacana de um 6a de força que mandou todos a baixo.

Mas já estava completamente derreado e sem forças para puxar uma gata pelo rabo. Claro que é mais psicológico do que físico mas estava cansado e passados estes dias ainda sinto os músculos a pedirem bolachinhas.

Mas há-de haver mais e talvez seja o retorno do Tiberius Erectus á escalada desportiva.

Fiquem bem e gozem o Carnaval escalando!!!

ITTech Newbies - Salmo #1

IT Tech Newbie, serei toda a vida. Tanto há para aprender nesta área no entanto penso que está na hora de ensinar também.

Vamos então iniciar alguns threads de discussão:
O que é que a frase

A Paula Só Tira Nabos Da Púcara

têm a ver com o modelo OSI e como é que isso pode ajudar um IT Tech Newbie a fazer troubleshooting de um dado problema.

Já agora, estando a Internet a evoluir! que novos modelos são hoje em dia discutidos e qual as suas diferenças?

This is it? or not!

Tenho mesmo de aderir à blogosfera, tenho a minha cabeça a ruminar com tanta informação que preciso de a tirar daqui, discuti-la e arquivá-la.
Nada melhor que um blog para isso.
OK
Ponto primeiro: este BLOG será dedicado á minha vida de IT e Desporto porque não? e dito isto "Let the show begin"