Categorie archief: IT-Tips

The case of… Unix Samba share niet bereikbaar op Windows server na uitrol met MDT2012

Geplaatst door door

Bij het installeren van software in de nieuwe omgeving van een klant, liepen we tegen het probleem aan dat we vanuit de Citrix servers de samba share op een unix server niet konden bereiken. Alle servers anders dan de Citrix servers werkten super.

sambashare1Op de Citrix servers kregen we de melding ‘[servernaam] is niet toegankelijk. U hebt mogelijk niet de juiste machtingen voor deze netwerkbron. De RPC is mislukt en niet uitgevoerd’. De engelse vertaling van het laatste stuk is ‘The remote procedure call failed and did not execute’.

Verder onderzoek gaf aan dat het probleem zich niet bevond in geinstalleerde software. Als de server werd uitgerold met MDT 2012 (Microsoft Deployment Toolkit) en alleen het OS (Windows 2008 R2 SP1) met Nederlands languagepack werd uitgerold konden we al niet meer bij de samba share. Echter, dat gebeurde pas na een reboot. Zolang het ‘uitrol succesvol’ scherm in beeld stond was de share benaderbaar. Het leek dus op een policy setting, echter zat de server op dat moment niet in het domein. Het moest dus wel een lokale policy zijn. Maar hoe komt die op een ‘vers’ uitgerolde server terecht.

Na wat zoekwerk op internet blijkt dat in MDT 2012 een nieuwe optie zit. MDT 2012 heeft de mogelijkheid om lokale policies in te stellen met de uitrol van een server. Deze functie heeft de naam GPOPack. Naast deze nieuwe functie heeft Microsoft bedacht dat het handig is om bij bepaalde OSen (Windows 2008/Vista SP2 en Windows 2008R2/Windows 7 SP1) gelijk maar een Baseline Security toe te passen. Deze lokale policies worden in de allerlaatste fase van de uitrol op de machine gezet (zodat ze de uitrol niet in de weg zitten). Wat verklaard waarom pas na een reboot de Samba share niet meer bereikbaar was. De instellingen die in deze default policies worden gezet, zijn hier te vinden in een excel sheet. Dit automatisch toepassen van de policy kan worden gestopt door ‘ApplyGPOPack=NO’ op te nemen in de customsettings.ini van MDT. Daarna was de server ook weer bereikbaar na een nieuwe uitrol.

sambashare3Maar stel dat je deze default beveiligingsinstellingen wel wil behouden. Welke optie zorgt er dan voor dat de Unix Samba share niet meer bereikbaar is. Na wat uitzoekwerk blijkt de optie ‘Microsoft network client: Digitally sign communications (always): Enabled’ hiervoor te zorgen. Als je deze optie disabled of terug zet op ‘not configured’ kan de Windows server weer de Unix Samba share benaderen zonder problemen.

Google ‘Shared Calendars’ in Windows 8 Agenda

Geplaatst door door

0.problemWindows 8 kent een goede integratie van verschillende cloud aanbieders, zoals Google. Zo kun je je Google Mail binnen Windows Mail lezen en kun je je Google Agenda opnemen in je Windows Agenda. Je kunt echter alleen je primaire Google Agenda selecteren in Windows 8 Agenda. Gedeelde Agenda’s (Shared Calendars) zijn niet te zien.

Microsoft meldt op hun forums dat dit bewust is. Op verzoek van Google is deze optie uitgeschakeld in Windows Agenda. De functie zou te veel bandbreedte vragen. Dit is echter niet waar, de functie blijkt gewoon in Windows 8 Agenda te zitten, maar is Google geeft de gegevens niet door. Dit is echter via een kleine omweg wel aan de praat te krijgen.

Om dit te doen heb je een een mobiel device nodig, waarvan je javascript kunt uitschakelen. Dit laatste is belangrijk, omdat deze de optie ‘gedeelde agenda’s’ binnen Google Sync blokkeert voor Microsoft Mail (Windows 8 Agenda valt onder Microsoft Mail). Binnen Google Sync bepaal je welk device welke gegevens van je Google Account mogen synchroniseren. Het gebruik van een User Agent Spoofer lijkt niet te werken.

In de volgende stappen gebruiken we een iOS device om de gedeelde agenda’s actief te maken voor Windows 8. We gaan er vanuit dat je binnen Windows al je Google/Gmail account hebt toegevoegd.

first-steps1. Kies eerst voor Instellingen (Settings) op je iOS device.

2. Kies Safari aan de linkerkant en schakel de optie ‘JavaScript’ vervolgens uit aan de rechterkant van het scherm.

 

 

3.googlesync13. Open Safari en ga naar de website http://m.google.nl/sync. Log in op deze site met je Google account. Na het inloggen krijg je meerdere optie. Kies daar voor WindowsMail. Mocht je meerdere WindowsMail vermeldingen zien, open dan Windows 8 Agenda. Refresh de pagina binnen Safari. De WindowsMail met de laatste datum is degene die je moet hebben.

4.googlesync24. Na het selecteren van je WindowsMail, krijg je geen mogelijkheid om te selecteren welke agenda’s je wil synchroniseren. Voer nu stap 5 tot en met 7 uit.

 

5. Klik op de url balk (die begint met http://m.google.com/sync)changeurl en scroll naar het einde van de url. Hier staat ‘supportMultiCalendars=false’.

6. Verander dit laatste stuk van de url in ‘supportMultiCalendars=true’ en kies ‘Enter’ of ‘Ga’.

7.googlesyncfixed7. Een wonder geschied. Je krijgt ineens de optie om agenda’s te selecteren. Ondanks de melding dat je er maar 1 mag selecteren, kun je hier gewoon meerdere agenda’s kiezen. Klik vervolgens op ‘Save’.

 

 

11.fixedWacht een tijdje. Het kan tot 12 uur duren voordat de functie geheel is geactiveerd bij Google. Windows Agenda zou automatisch de agenda op moeten pakken. Voor de zekerheid kun je dit controleren door de volgende stappen te doorlopen:

 

stapjesa) Open Windows Agenda, en sluit hem af met Alt-F4. Open hem vervolgens opnieuw.

b) Druk op Windows-toets + C, Kies vervolgens voor instellingen

c) Kies Opties

d) Bij je Gmail-account zouden nu de extra agenda’s moeten staan.

Was de verspreiding van xDocCrypt te voorkomen?

Geplaatst door door

malwareNederland (en de rest van de wereld) is op dit moment in de ban van een virus dat zicht razendsnel verspreidt en redelijke schade aanricht aan office documenten, genaamd xDocCrypt/Dorifel. Virusscanners kenden de handtekening van het virus nog niet en grepen daardoor te laat in.

Het virus wordt niet op gebruikelijke manieren op een computer geïnstalleerd. Normaal komt een virus het systeem binnen via besmette USB sticks of via bestanden die worden gedownload van internet of binnenkomen via mail. In dit geval wordt het virus gedownload en geïnstalleerd door bestaande malware (Citadel / Zeus genoemd) die al op de computer staat. Deze software is eerder op de machine terecht gekomen en bouwt een verbinding op met zijn ontwerper. Het doet niets en slaapt totdat het van zijn ontwerper een opdracht krijgt. In dit geval het downloaden van een virus, dat daarna gestart wordt en documenten gaat besmetten. Ondertussen blijkt dat de malware een nieuw virus (Hermes) downloadt dat nog meer kwaad kan aanrichten en zich vooral bezighoudt met het onderscheppen van bankgegevens.

Maar als virusscanners te langzaam zijn met het herkennen van het virus, is er dan toch een mogelijkheid om het virus te voorkomen? Mijn antwoord hierop is dat het nooit helemaal is te voorkomen, maar je kunt het wel moeilijker maken door middel van een goede Workspace Management oplossing.

Kijken we naar Microsoft Windows zelf, dan vinden we daar al een mogelijkheid om het opstarten van het virus te blokkeren. Via de AppLocker functie is een pc met Windows Vista / Windows 2008 of hoger te beveiligen tegen het starten van onbekende executables. RES Workspace Manager 2012 LogoRES Workspace Manager kent een soortgelijke functie en blokkeert het starten van executables waar de gebruiker geen rechten op heeft of die onbekend zijn in het systeem. Het instellen hiervan kost echter wel tijd. Je geeft immers een whitelist op van executables die mogen starten op het systeem. Gelukkig is RES WM zo ontwikkeld dat het al veel van dit soort instellingen automatisch regelt aan de hand van de applicaties die de gebruiker in het startmenu krijgt. Bijkomend voordeel van RES WM is, is dat een gebruiker ook geen applicaties kan starten waar hij geen rechten op heeft, maar andere gebruikers wel. Deze functie kent zowel binnen Windows als binnen RES Workspace Manager de mogelijkheid tot het loggen van applicaties die geblokkeerd worden. Daarbij word je als systeem beheerder snel getriggerd dat er wat aan de hand is binnen de omgeving, zo gauw meerdere gebruikers dezelfde onbekende executable proberen te starten. Overigens had deze functie ook het starten van de Citadel/Zeus malware kunnen voorkomen, waardoor het virus niet eens gedownload had kunnen worden.

Naast Applicatie Security kent RES Workspace Manager ook een Netwerk Security functie. Hierin is het mogelijk om een whitelist of blacklist op te maken van applicaties die het netwerk op bepaalde poorten mogen benaderen. Mocht je hier kiezen voor een whitelist, dan had het virus geen verbinding naar buiten kunnen openen, omdat dit geblokkeerd wordt door de Workspace Manager. Bij gebruik van Blacklists was het virus wel actief geworden, maar had een grotere verspreiding sneller kunnen worden voorkomen, door de gebruikte ip-adressen waar het virus wordt gedownload, te blokkeren op alle machines.

Als laatste biedt de Data Security (Read-Only Blanketing) binnen RES Workspace Manager een goede beveiliging tegen het schrijven naar de systeemdisk. Deze zorgt ervoor dat applicaties niet zomaar op de systeemdisk van een systeem data kan wegschrijven. Je moet daarvoor expliciet toestemming geven per locatie/bestand. In dit geval had dit echter niet geholpen, omdat de malware het virus in het gebruikersprofiel opslaat (c:\users\[username]\application data\roaming). Juist deze locatie is standaard open voor gebruikers, omdat hier alle gebruikersinformatie wordt opgeslagen.

Aangezien het virus wordt opgeslagen in het gebruikersprofiel, hadden hybride profielen (vaste profielen waarbij de Workspace Manager er voor zorgt dat alleen goedgekeurde instellingen worden opgeslagen bij het uitloggen) een extra wapen tegen het virus geweest. Bij het uitloggen van een gebruiker wordt het virus dan weer uit zijn profiel verwijderd. Dit in tegenstelling tot het gebruik van roaming profielen, waarbij het virus zich kan verspreiden naar andere systemen, als de gebruiker van werkplek wisselt.

De bovengenoemde functies van Workspace Managers (en specifiek RES Workspace Manager) worden deels als advies gegeven door het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie. Het inregelen van een Workspace Manager oplossing is echter niet in een paar minuten gedaan. Voor meer informatie hierover kunt u onder andere contact opnemen met mijn werkgever, www.centric.eu . Daar kunt u tevens terecht met vragen over het virus en over het oplossen van de aangerichte schade door het virus.

Bronnen: