MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Tags

System Center Advisor (Projeto Atlanta)

Nos ultimos dias, por ocasião do MVP Summit e do MMC, a Microsoft demonstrou que está agressiva em sua migração de serviços para a nuvem com o lançamento do System Center Advisor Beta e do Intune (http://www.marcelosincic.com.br/blog/post/Familia-System-Center-Crescendo-Novidades-!!!.aspx)

O Atlanta é um produto que agrega o que o MBSA e outros BPAs (Best Practices Analyser) para fornecer um ambiente de monitoração em tempo real e atualizado.

O que o Atlanta herda do MBSA/BPAs são as features de best practices, análise de ambiente, lista de updates e outros. O que o diferencia é o fato de ser ativo e não passivo como o MBSA/BPAs.

Do SCOM o Atlanta herda as funcionalidades de alertas ativos do ambiente, com a vantagem de conter os KBs da Microsoft online, o que facilita em muito a resolução do de problemas. Por outro lado, o SCA não permite criar novos eventos e coletores como fazemos com o SCOM para monitorar aplicações in house.

Por enquanto o Atlanta apenas monitora os servidores com SQL Server e Windows Server mas está aberta a possibilidade de outros servidores serem agregados.

O cliente é baixado e instalado localmente nos servidores a serem monitorados e trabalha com um deles designado como proxy para fazer o papel de envio e recebimento de dados.

Seguem algumas telas para exemplo:

Atlanta1
Tela de configuração

Atlanta2
Tela de alertas inicial

Atlanta3
Tela com alertas de exemplo

Por enquanto o SCA está em beta gratuito basta entrar no site http://www.microsoft.com/systemcenter/en/us/Advisor.aspx para detalhes do produto e se cadastrar.

Posted: abr 05 2011, 14:42 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Familia System Center Crescendo... Novidades !!!

Os produtos da linha System Center estão mostrando as suas novas versões, antes chamadas de vNext e agora alguns como 2012 e outros com nomes oficiais. Diversas novidades vimos no MVP Summit em fevereiro, mas eram NDA até o lançamento das novas versões esta semana no MMC 2011.

O primeiro e o mais aguardado é o System Center Virtual Machine Manager 2012 (VMM 2012) BETA. Este produto reserva muitas alterações e implementações, principalmente levando em conta que sua ultima versão oficiai é VMM 2008 R2.

Uma das novas funções é o Fabric que permite criar ambientes com funções pré-programadas como por exemplo, Hyper-V, SQL, File Server, NAP e assim por diante. Imagine a situação de um datacenter onde eu ofereço ao cliente um pacote de funcionalidades do Windows Server. O Fabric permite que estas funcionalidades sejam mostradas como se fossem opções no momento da criação da VM sobre o template existe. Com isso eu uso o template do Windows Server 2008 R2 e seleciono os papéis que desejo e a VM é criada e por PowerShell o próprio VMM configura e habilita as features desejadas. Outra funcionalidade do Fabric é gerenciar os storages e produtos de terceiros.

Outra funcionalidade interessante é que o PRO Tips agora será integrado com as métricas do System Center Operations Manager (SCOM) e irá gerar os alertas de forma centralizada, permitindo muito mais interação entre o produto de monitoração e o VMM.

Este é um resumo dos itens que achei mais interessante, para ver mais detalhes e instalar o VMM 2012 veja este link:http://bit.ly/h0TGnT

O segundo produto mais aguardado da familia é o System Center Configuration Manager 2012 (SCCM) BETA 2. A interface foi finalmente remodelada deixando de lado os treeviews que vinham desde o SMS 2. Já discuti em outros posts as mudanças que este produto traz ainda com o nome de vNext.

Uma das mais interessantes funcionalidades que o SCCM 2012 tem é permitir que os agentes sejam configurados por coleção e não por site como acontece na versão atual (http://bit.ly/e5s4SE).

Para baixar o SCCM 2012 Beta 2 acesse o link http://bit.ly/f72TZw e aprenda desde já mais sobre este produto, que se aprimorou muito e deixou de lado o legado do SMS 2, como por exemplo, a versão 32 bits.

O terceiro produto que estava em beta e agora se tornou versão final é o Windows Intune, produto para gerenciamento de ambiente baseado em cloud. Muitas vezes simplificamos que o Intume é o SCCM cloud, porem ele tem uma visão diferente disso.

O Intune permite distribuição de software, inventário e outras opções que existem no SCCM, mas ele não tem contem algumas e acrescenta novas. Por exemplo, o Intune permite distribuir regras para as maquinas monitoras

Para utilizar o Intune por 30 dias ou licenciar para sua empresa acesse o link http://bit.ly/eR5uYb

O quarto produto lançado é o Windows Advisor BETA (PROJETO ATLANTA) que permite monitorar servidores Windows Server 2008 e SQL Server 2008 online. Não é o mesmo que o Intune já que este se destina a produtos especificos e servidores.

O interessante do Advisor (Atlanta) é que ele mescla funções do MBSA e BPA’s (Best Practices Analyser) com o monitoramento do SCOM. Ele não é um SCOM Cloud já que não tem tem todas as funcionalidades de customização, mas faz bem o trabalho.

Para o Advisor vou montar um laboratório e postarei detalhes em breve, mas o testdrive pode ser feito pelo link http://bit.ly/e2knwl

Por fim, o ultimo produto lançado da lista que eu achei importante é o Projeto CONCERO que ainda está em Beta fechado mas promete ser um ótimo produto.

O Concero resolve uma lacuna quando se inicia um processo de convivencia com cloud. Por exemplo, como gerenciar um grupo de servidores onde tres são on-premise e os outros dois estão no Windows Azure? Esta é a função do Concero, gerenciar ambientes mistos entre nuvem e on-premise de forma unificada.

Quando o produto se tornar aberto ao publico, com certeza postarei novidades. Dados sobre o produto podem ser visto em http://bit.ly/gl97BU

Alem destes ainda esperamos maiores detalhes do System Center Operations Manager 2012 (SCOM) e o System Center Data Protection Manager 2012 (DPM) todos nas suas versões vNext.

Forçando a Reinstalação do Cliente do SCCM 2007

Em certos casos a reinstalação do cliente do SCCM 2007 pode ficar comprometida, principalmente quando houve uma clonagem ou o computador foi renomeado e não reporta mais corretamente. Nestes casos o cliente não se instala e é necessário seguir alguns passos.

SINTOMA

Após renomear ou clonar uma maquina o SCCM não reporta a nova maquina ou duplica na lista de sistemas.

É bom lembrar que para saber se realmente temos um problema precisamos esperar o periodo completo de DDR executado pelo Heartbeat Discovery. Este periodo é onde o cliente envia um status completo DDR (Discovery Data Record).

Nestes casos tentamos desinstalar o cliente e reinstalar, porem o processo “ccmsetup” trava e não executa nenhuma tarefa, estacionado pelo Task Manager sem qualquer atividade.

CAUSA

O SCCM identifica um cliente não pelo seu nome mas sim pelo seu ID (coluna Record ID no banco de dados). Nestes casos vários clientes estão com o Resource ID causando este comportamento anomalo.

Ao desinstalar um cliente que no passado já esteve operacional e reportou inventários, os dados continuam na maquina local para execução rápida (delta) nos inventários seguintes. Desta forma, algumas configurações passadas ainda estão presentes e o instalador acaba por ficar inativo.

SOLUÇÃO

Siga uma sequencia de passos para limpar dados anteriores e fazer uma nova instalação:

  1. Vá no Task Manager e derrube o processo CCMSETUP.EXE que está em execução
  2. Abra o Explorer e apague os diretórios CCM e CCMSETUP que estão no Windows\System32. É possivel que ocorra um erro ao deletar os diretório acusando que estão em uso, reinicie a maquina e delete o diretório
  3. Delete o arquivo SMSCFG.ini no diretório Windows, bem como o conteudo do diretório Windows\MS\SMS
  4. No console do SCCM delete as maquinas que estão com problema
  5. Execute as tarefas de discovery manualmente e aguarde que as maquinas apareçam no console novamente
  6. Quando as maquinas reaparecerem basta instalar o cliente manual ou mesmo em modo Push

Em alguns casos nem isso resolverá. Se continuar reportando em maquinas erradas compare os arquivos Windows\SMSCFG.ini das maquina e verifique se o SID do AD é o mesmo nas duas. Se este for o caso, o unico jeito é reinstalar. Isto acontece porque foi feito uma clonagem da maquina sem executar antes o SYSPREP ocasionando duplicata de SIDs o que geram para o SMS um mesmo GUID.

Posted: mar 18 2011, 15:06 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Console do SCCM 2007 não conecta ao banco de dados

Este erro acontece com frequencia em clientes, então achei por bem definir o motivo e a solução.

SINTOMA

Ao tentar abrir o console do SCCM você recebe a mensagem abaixo.

image

CAUSA

Normalmente isso acontece porque o usuário atual não é o mesmo que fez a instalação do SCCM. As permissões no SCCM são granulares e não integradas ao AD, portanto ser um Domain Admin não irá dar permissões ao SCCM.

SOLUÇÃO

Entre com o usuário original que efetuou a instalação do SCCM, vá no menu “Security Rights” –> “Users” e crie um novo usuário nas permissões pedindo para copiar as permissões do atual administrador, como a imagem abaixo.

image

Voilá !!!!!   Agora seu usuário conseguirá acessar normalmente.

Posted: mar 15 2011, 17:00 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Windows Automated Installation Kit (AIK) for Windows 7 SP1

Ontem (18/02/11) foi liberada a nova versão do Windows AIK agora adaptada para incluir o Windows 7 SP1 e Windows 2008 R2 SP1. Para baixá-lo clique aqui Windows AIK.

Muitos se perguntam: Porque é necessário um novo AIK a cada versão do Windows incluindo um Service Pack?

O motivo é que o AIK não é apenas o ImageX mas sim uma coleção de ferramentas que fazem a adaptação da imagem para rodar em distribuição centralizada. Por exemplo, o DISM permite alterar as opções de configuração da maquina ainda na imagem, e como um Service Pack altera opções, como por exemplo, o suporte a RemoteFX e assim por diante, é necessário atualizar a biblioteca de configurações das ferramentas.

O mesmo acontece com o MAK e o VAMT que não reconhecem a versão 6.1.7601 que é o Windows 7 SP1 e ocasionalmente pode não ativar copias “Windows 7 With SP1” ou “Windows 2008 R2 with SP1”.

E principalmente, agora temos um novo WinPE 3.1 (Windows Pre-Environment).

Mas surge outra pergunta: E se eu continuar usando o WAIK anterior?

O problema neste caso é que o WinPE passou da versão 3.0 para 3.1 que não dá suporte aos novos arquivos e chaves de registry adicionadas no Windows 7 SP1, mas haveriam algumas modificações que não estão no WinPE 3.0, como por exemplo, o problema que comentamos anteriormente sobre imagens lentas por causa da mudança no tamanho de cluster dos fabricantes de HD (veja mais em Tamanho de setor em HDDs novos influi em imagens e performance).

Porem, nada impede que continue a usar o WAIK anterior tanto no MDT quanto no System Center Configuration Manager 2007.

Para mais detalhes, o que inclui instalar o novo WAIK no Windows 7 ou Windows 2008 R2 sem o Service Pack 1, leia o Readme em http://technet.microsoft.com/en-us/library/dd349350(WS.10).aspx

 

IMPORTANTE: O novo WAIK ainda não está homologado para rodar no SCCM 2007, então siga o blog do time de System Center e AIK da Microsoft para esta informações

Posted: fev 19 2011, 11:13 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login
Marcelo de Moraes Sincic | All posts tagged 'XDR'
MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Tags

MITRE–Comparação entre EDRs

Um dos itens mais importantes nos últimos anos é a capacidade dos antivírus tradicionais versus os antivírus de nova geração (NGAV) alem de ferramentas com essas capacidades como o ATA e o ATP Marcelo de Moraes Sincic | Buscar por 'comportamental' (marcelosincic.com.br)

Com a evolução destes produtos o termo EDR se tornou muito comum e novas denominações como XDR (Extended Detection and Response) para definir estes produtos que usam inteligência artificial baseada em SaaS.

Como Avaliar um EDR?

Essa é a pergunta que muitos agora fazem, antes utilizávamos métodos de detecção de virus com um pendrive cheio de malwares, mas agora com o EDR e XDR estes testes baseados em assinatura de código (DAT) não são suficientes.

Para avaliar as capacidades, o MITRE, muito conhecido pela base de conhecimento MITRE ATT&CK® criou uma série de testes que as empresas de segurança executam e publicam os resultados dos seus EDRs.

Quanto maior o numero de passos detectados, melhor será a visibilidade do ataque que foi deflagrado.

Como Acessar e Ler o Ranking do MITRE ENGENUITY | ATT&CK Evaluations?

Acesse o site ATT&CK® EVALUATIONS (mitre-engenuity.org) e poderá ter um overview do processo, onde verá que já existem 3 diferentes “rounds”:

  • APT3 – Ataques que foram detectados e atribuídos ao governo chinês, baseado em roubo de identidade, movimentação lateral com scripts, rootkits e bootkits
  • APT29 – Ataques que foram detectados desde 2008 pelo governo russo baseados em PowerShell e WMI
  • Carbanak+FIN7 – Hoje um dos mais especializados, visam instituições financeiras utilizando os mais diversos tipos de ataques com sofisticação suficiente para se passarem por ferramentas administrativas dos SOs e até PDV

Uma vez entendendo os 3 diferentes conjuntos de teste, em geral avaliamos o Carbanak+FIN7 que é o mais sofisticado e atual.

Destaque para o comparativo entre os produtos, por exemplo se utilizarmos Microsoft x McAfee é possível saber as formas e técnicas em que cada um dos NGAV utilizaram para detectar os ataques.

Comparative-1

Nessa comparação podemos ver o detalhamento do tipo de ataque e o nível de log que o EDR irá gerar, clicando no link [1] que o NGAV da Microsoft criou:

Comparative-1-Details

Já o detalhamento de cada fabricante indica um resumo da eficiência em detectar os passos e gerar os EDRs para cada conjunto de ataques submetidos:

Detalhamento-1

O quadro acima mostra o numero de passos mínimo definido pelos algoritmos e quantas ações o EDR da Microsoft conseguiu identificar, o que representam passos antes e depois do ataque realizado.

Abaixo do quadro de resumo poderá ver o detalhamento dos ataques realizados com base na matriz do MITRE e ver por round a tática, técnica, sub técnica e passos que o EDR identificou. Ao clicar nas técnicas é possível ver os detalhes de cada item

Detalhamento-2

Outro interessante dado disponível são os resultados dos testes, esse retorna o EDR gerado:

Tecnica aplicada

Como Reproduzir o Mesmo Ambiente Validado nos Testes?

Talvez você já possua um dos fabricantes que foram testados, mas não tem certeza se tem os pacotes e configurações corretas.

Afinal, é importante lembrar que os testes acima são conduzidos pelos fabricantes e submetidos para publicação, então sabemos que utilizaram um conjunto de ferramentas e configurações bem construídas.

Por conta disso, os fabricantes publicam um relatório que está disponível no mesmo site, por exemplo no caso de Microsoft vemos os produtos e configurações utilizadas:

Vendor Configuration

Login