MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Arquivo

Tags

Novidades do System Center Configuration Manager 2007: Novidades no R3 e International Client Pack para o SP2

Após o lançamento do SP2 do SCCM 2007 http://www.marcelosincic.com.br/Blog/post/Liberado-o-SP2-do-System-Center-Configuration-Manager-(SCCM).aspx já era esperado o pacote de clientes internacionais, o que inclui o cliente para o SCCM 2007 SP2 em portugues.

Agora ele está disponivel e para baixá-lo clique no link http://www.microsoft.com/downloads/details.aspx?familyid=4C8FA7D6-1671-4D76-860B-195B16C214A8&displaylang=en.

Quanto ao R3 que deve ter o Beta 1 liberado ainda este trimestre, no blog dos engenheiros do produto já podem ser visto os novos recursos.

O primeiro destes blogs é do Juntin Gao (http://blogs.technet.com/justin_gao/archive/2010/01/19/what-s-new-in-configmgr07-r3.aspx) e ele lista todas as funcionalidades que estão sendo implementadas no R3. Já no TechNet Edge pode-se assistir a um video do Jeff Wettlaufer (http://edge.technet.com/Media/OS-Deployment-Features-of-Configuration-Manager-R3/) com a demonstração e explicação de um dos principais recursos do R3, que é o "prestaged media".

Este novo recurso é muito interessante, porque vc pode criar uma mídia com o boot e a imagem (formato WIM) que deverá ser instalado na maquina. Ao ligar a maquina pela primeira vez o gerenciador irá procurar na rede o Task Sequence criado para aquela imagem, executar as tarefas e aplicar a imagem que já está copiado na maquina localmente. A intenção é diminuir o tráfego de rede em maquinas novas.

Este recurso será muito util, por exemplo, para empresas que comprarem lotes de maquinas novas (bare metal) e enviam esta midia para o fabricante, que irá copiá-lo em todas as maquinas. Quando as maquinas forem instaladas na rede irão se conectar por PXE no servidor SCCM, ler o Task Sequence, executar as tarefas e aplicar a imagem que está copiada. Voilá !!!!!

Outro recurso interessante no R3 é o gerenciamento de energia que poderá ser configurado diretamente pelo SCCM. Na minha humilde opinião esse não seria um item que fazia falta porque já utilizávamos GPO do AD para isso, mas agora poderá ser feito pelo SCCM. Porem, os relatório que estão incluidos na versão R3 são muito bons, vale a pena ver (http://www.marcelosincic.com.br/blog/post/Green-IT-no-System-Center-Configuration-Manager-R3-Power-Management.aspx).

Vamos esperar até o anuncio do Beta 1 para poder testar e entender melhor as mudanças !!!!

Posted: jan 21 2010, 14:39 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: System Center

Programa de reconhecimento para influenciadores família System Center

No inicio de mes de novembro me cadastrei no Microsoft Connect no programa System Center Influencers que é voltado a profissionais que lidam com a familia System Center.

A cada mes são divulgados e escolhidos blogs que reproduziram informações importantes em tópicos especificos elegidos pelo time de produto.

Neste mes de dezembro fui premiado com um Visa Gift de U$ 100 por divulgar o Offline Servicing (http://www.marcelosincic.com.br/Blog/post/Atualizando-Maquinas-Virtuais-(Hyper-V-e-Virtual-Server)-pelo-SCCM-e-SCVMM.aspx). Site do time de produtos: http://blogs.technet.com/systemcenter/archive/2010/01/11/december-community-contributors-recognized-marcelo-sincic-and-jordano-mazzoni.aspx

Obrigado a todos que em apoiam e que 2010 seja bem vindo !!!!

Posted: jan 12 2010, 13:30 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: System Center

Serie Technet VideoCast - System Center Data Protection Manager (DPM)

Seguindo o novo modelo de publicações de videos da Microsoft, publiquei hoje os 6 videos para a série Data Protection Manager 2007.

Importante: Ao assistir o video e gostar, classifique no Youtube.

Posted: dez 15 2009, 14:31 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Atualizando Maquinas Virtuais (Hyper-V e Virtual Server) pelo SCCM e SCVMM

ATUALIZADO: Agora está disponivel a versão 3.0 em http://go.microsoft.com/fwlink/?LinkId=110333

Um importante recurso introduzido no System Center Configuration Manager 2007 (SCCM) foi o Wake On Lan.

Eu pessoalmente já utilizava para ligar computadores remotamente utilizando um aplicativo chamado MC-WOL.exe quando um servidor estava desligado. Porem, este recurso já é presente em placas de rede a muitos anos mas muito pouco utilizado no ambiente Microsoft.

No SCCM é possivel que o servidor ligue a maquina por enviar um pacote WOL, enviar as atualizações do WSUS e/ou instalar pacotes e depois executava o shutdown remoto. Isso é fantástico !!!!!

Porem, nos ultimos meses com o Windows 2008 R2,  Hyper-V e o SCVMM surgiram algumas novas tecnologias que criaram um "buraco". Estes tecnologias são o VDI, um ambiente de maquina remota onde o usuário se loga na VM dele que roda sobre o Hyper-V. Outro caso é o que o VMM automaticamente adormece (sleep) uma maquina virtual quando esta não está sendo utilizada. Notou o problema?  Se uma maquina virtual ficar 2 semanas sem sem utilizada ficará sem as atualizações de segurança.

Para resolver isso a Microsoft lançou um pacote que faz para VMs o mesmo que o Wake On Lan faz para maquinas fisicas. O programa se chama "Offline Virtual Machine Servicing Tool 2.1" e está disponivel no endereço http://www.microsoft.com/downloads/details.aspx?FamilyId=8408ECF5-7AFE-47EC-A697-EB433027DF73&displaylang=en.

Este programa faz o processo de ativar a VM, atualizar e voltar ao estado anterior. Segue um diagrama exemplo abaixo:

 

Posted: dez 10 2009, 12:52 by msincic | Comentários (2) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Erro no DPM (System Center Data Protection Manager): "Replica is inconsistent"

Meu DPM estava funcionando corretamente para os servidores de arquivos, para o Exchange e um SQL. Porem, o nosso CRM estava fora por ser uma maquina já meio sensivel a mudanças, mas virtualizamos para testes e ela não sofreu qualquer problema com o agente do DPM e resolvemos colocá-la no protection group.

Foi ai que começou nosso martitio de feriado de Finados (Home Office, claro):

SINTOMA

O DPM conseguia fazer a réplica de 3 dos 6 bancos de dados e apresentava os 3 com erro "replica is inconsistent", ao que como manda o figurino, tentamos o "perform check".

Os bancos que realizamos o check passaram a ficar como realizando o check e os outros que estavam prontos começavam a dar erro. Fora isso, o System State não rodava de jeito nenhum.

É claro que o alerta gerado tinha detalhes muito bons para resolver o problema do tipo "veja se o servidor está ligado, a placa de rede conectada, serviço em execução..."

CAUSA

Ao instalar o Hotfix KB940349 que é obrigatório no Windows 2003 porque atualiza o Shadow Copy, os agentes VSS ficaram corrompidos.

Ao executar o comando vssadmin list writers notei que ele não tornava resposta, cheguei a deixar por 2 horas em espera e nada. Ao tentar ir nas propriedades e para ativar o shadow copy este aparecia como desabilitado, apesar de ter acusar quase 1 GB de ocupação e não era possivel ativar.

SOLUÇÃO

Reiniciei o servidor CRM em modo de segurança e executei o vssadmin delete shadows.

Reiniciei novamente em modo normal e nas propriedades do computador reativei o shadow copy normalmente.

Maravilha, bastou ir no DPM e executar a função "perform check" e pronto, tudo funcionando desde então !!!!

 

Posted: nov 03 2009, 20:35 by msincic | Comentários (2) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: System Center
Login
Marcelo de Moraes Sincic | All posts tagged 'web application'
MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Arquivo

Tags

Utilizando o Azure Application Insigths na Analise de Vulnerabilidades

Uma das ferramentas que são criadas costumeiramente nas aplicações Web hospedadas, o Azure Application Insigths, é subutilizado pelos time de desenvolvimento, operações e segurança.

O que é possivel com o App Insights?

O App Inisgths captura log e executa tarefas para avaliar performance, estabilidade e estatísticas de uso de um web app.

Quando comparado a outras ferramentas comuns com o Google Analytics é importante lembrar que o App Insigths tambem funciona como um APM (App Performance Monitoring) detalhando funções e linhas de código como chamadas a banco de dados, que estão gerando lentidão.

Particularmente gostou muito de algumas funções Smart detection settings que são regras comuns para detecção de tendências ou problema, além de métricas e as Live Metrics como abaixo. Alias, veja que a página de contato já demonstra um ataque simulado na chamada da página de contato:

Performance

Metricas-1

Outra função interessante que utilizo com frequencia em projetos é Avaliabiliy onde podemos criar regras de teste com páginas especificas em diversas localidades do Azure para funcionar como o antigo Global Monitoring Service.

image

O foco neste post não é detalhar as funções de APM, mas sim o uso pelo time de segurança.

Como o App Insights é útil para Segurança?

Primeiro temos o Application Map de onde iniciamos as analises. Basicamente ele é um modelo simples de dependencias e comunicação de dentro e de fora, incluindo as analises de disponibilidade que mostramos anterioremente.

Application Map

Mas ao retirar o WAF para gerar os logs e demonstrar nesse post, o resultado foi muito rápido como pode ser visto no diagrama abaixo.

Veja que os dois endereços na parte inferior são fontes desconhecidas e poderiam ser ataques, enquanto também se vê claramente os rastreadores e robôs do Google e outro site, mas estes não seriam o problema.

Ataque-1

Ao pedir acima os detalhes de pacotes e comunicação trocada com o meu blog com este endereço é possivel ver o que eles tentaram e quantas vezes.

Ataque-2

O passo seguinte é clicarmos em Samples ou na lista do lado direito para analisar as queries que foram recebidas.

Como pode ser visto abaixo, é possivel identificar de onde e como o acesso foi realizado por esse dominio que estava analisando os detalhes.

Ataque-3

Mas vamos deixar rodando por mais tempo com o WAF desativado e veremos com um histórico detalhadas.

Validando ataques reais

Agora com mas tempo exposto (como gostamos de correr risco Smile) o meu blog pôde ter mais dados para serem demonstrados.

Vamos abrindo em detalhes os itens no mapa onde demonstraram as estatisticas de falhas ocoridas.

Na primeira tela de detalhes vemos que só de falhas nas ultimas 24 horas eu recebi mais de 11 mil chamadas!!!

Failures-1

Mas a alegria se transforma em tristeza, ou melhor preocupação, essas 11290 chamadas na verdade fazem parte de um ataque orquestrado por força bruta…

Failures-2

Agora vamos começar a entender melhor o que estão tentando fazer no meu blog. Para isso vamos fazer uma “caminhada” pelos dados do App Insigths.

Do lado esquerdo já podemos ver que os ataques se deram por tentar enviar parametros e listas diretamente nas páginas do blog.

Failures-3

Abrindo mais detalhes consigo descobrir que a fonte do ataque são PCs na China usando um SDK especifico. Em alguns casos é possivel ver tambem o IP e com isso criar uma lista de bloqueio ou potenciais atacantes.

Failures-4

Segue um outro exemplo mais recente que teve quase a mesma origem (outra cidade chinesa), mas com detalhes de sofisticação onde foi utilizado um script e não apenas um SQL Injection:

Failures-4a

Continuando a caminhada posso ver a sequencia que o “usuário” utilizou no meu site, vejam que a lista de tentativas foi grande, e muitas vezes na mesma página:

Failures-5

O ataque na tela acima é um SQL Injection muito comum de ser utilizado em sites web por atacantes. Veja detalhes em CAPEC - CAPEC-66: SQL Injection (Version 3.5) (mitre.org)

O que fazer ao detectar um ataque ao site site ou aplicação?

Em geral os Web Application Firewall seguram boa parte dos ataques que vimos acontecer no meu blog em 24 horas, tanto que eu não fazia ideia antes que poderiam chegar a quase 12 mil em apenas 24 horas.

Mas mesmo que tenha um WAF é importante que monitore constantemente o numero de falhas em páginas para identificar se é um problema de aplicação ou um ataque que está tentando encontrar as vulnerabilidades, como os exemplos acima do meu site.

Outra importante ação é ajudar os desenvolvedores e não aceitar comandos diretamente do POST e muito menos concatenar cadeias de caracteres  dentro de parâmetros e comandos internos.

Utilize tambem uma biblioteca de desenvolvimento robusta, por exemplo no meu teste de exposição não tive o blog invadido pois o próprio .NET já possui filtros para evitar comandos enviados diretamente no POST ou URL.

Como um recurso mais sofisticado para ataques direcionados, veja a opção Create Work Items onde poderá criar automações, por exemplo barrar um determinado serviço ou até derrubar um servidor quando detectar uma anomalia muito grande!

Relembrando que o App Insights se integra ao Log Analytics para consultas e ao Sentinel para segurança inteligente de Threats!!!!

Conclusão

Se não conhece, não tem habilitado ou não utiliza o App Insights comece agora!

Não o limite a analises de performance e sessões, aprenda a ler também os indícios de falhas de segurança antes que uma invasão ocorra.

Posted: set 09 2021, 01:28 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login