:::: MENU ::::

HYPERCON 3.0: Datumy fixnuty

Další HYPERCON bude, o tom snad nebylo pochyb 🙂 V tuto chvíli už jsou dány i datumy a místa konání.

V Novém Jičině se opět potkáme ještě tento rok (21.-22.11.) a v Praze až v roce 2018 (24.1.-25.1.).

Program připravujeme. Těšit se už teď ale můžete na super přednášky a nově i workshopy! Nebudou chybět zas zajímavé ceny. Nezapomeňte si tedy již vyblokovat kalendář.

Registrace je v tuto chvíli otevřena pro lokalitu Nový Jičín.

Sledujte www.hypercon.cz


Update rozbíjí WLAN auth přes RADIUS

Microsoft vydal update KB4025335, který ale rozbíjí ověřování na WLAN přes NPS (RADIUS). Tento update už je superseednutý updatem KB4034681.

Pokud už to máte rozbité, tak je potřeba sáhnout do registrů a nastavit SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\DisableEndEntityClientCertCheck na hodnotu 0.

Restart to nepotřebuje a s nainstalovaným blbým updatem už si nemusíte lámat hlavu.


Teď jedu na Azure DNS

Včera jsem se pustil do přesunu hostovaného veřejného DNSka do Microsoft Azure. Kolega Dan mě na to upozornil, tak proč to nezkusit. Byl jsem naprosto mile překvapen, jak jednoduché to celé bylo.

V Azure portálu jsem si přidal z marketplacu DNS ZONE. Při vytváření stačí zadat DNS zone jméno a hotovka.

Pak už jen přidáváte jednotlivé DNS záznamy, které se jako objekty v Azure portálu jmenují Record Sety. Všechno je super přehledné a bezva rychlé.

Na konec jsem už jen rekonfiguroval směrování na správné NS u mého poskytovatele domény a netrvalo to ani těch klasických 24h a už jsem jel z Azure.

Azure-DNS-JanMarekEU


PowerShell a barvy ve Wordu

V rámci některých našich projektů pracujeme se zápisem dat automatizovaně do Microsoft Word dokumentu. V rámci zápisu dat do tabulek občas potřebujeme i obarvovat některé buňky. Barvy se ve Wordu ale nepoužícají u Cell objektů v RGB ale ve formátu Microsoft Access, nebo taky wdColor. Napsal jsem teda mikrofunkci, která převede RGB na wdColor. Třeba se vám to bude taky někdy hodit.

 


Jak zvětšit velikost partition na max pomocí PowerShellu

Rychlovka bez většího komentáře 🙂


Shielded VMs v Microsoft Hyper-V 2016 (první část)

O co se jedná?

Shielded VM je virtuální stroj, jehož data jsou chráněna kombinací několika spolupracujících technologií, které byly představeny ve Windows Server 2016. Velkou výhodou je ochrana VM jak v jejím statickém stavu (běží na některém Hyper-V hostiteli a má někde uložena data), tak ve chvíli jejího přesunu (při Live Migration, SNLM apod.)

Security nastavení Gen 2 VM v Hyper-V 2016

Proč by mě to mohlo/mělo zajímat?

Hned z několika důvodů a to například:

  • Provozuji infrastrukturu pro své zákazníky a chci jim dát maximální jistotu zabezpečení jejich informací
  • Provozuji infrastrukturu pro své kolegy a chci jim dát maximální jistotu zabezpečení jejich informací
  • Někdo pro mě provozuje infrastrukturu a já chci mít maximální jistotu zabezpečení mých informací

Ono totiž nění úplně málo způsobů, jak se „dostat“ k datům uvnitř VM. Například zevnitř:

  • Hyper-V admin může cokoli – vykrádat RAM VM, mountovat VHDčka a odnášet data, kdykoli se připojovat do VM apod.
  • Síťový admin může také hodně – sniffovat traffic VM, krást RAM VM během její Live Migration apod.
  • Storage admin, backup admin, domain admin, a další nemají také moc svázané ruce něco nepěkného provést…

Útoky zvenku nebudu rozvádět, protože si asi dokážete představit do jakých oblastí bych musel zabrousit.

Co k tomu potřebuji?

Záleží na režimu nastavení a provozu, o kterém se dozvíte dále, ale vesměs se celé řešení skládá ze tří hlavních komponent – Host Guardian Service (HGS), Guarded Hosts a samotných Shielded VMs.

Host Guardian Service

Jedná se o roli Windows Serveru 2016, která zajišťuje atestaci Hyper-V hostitelů (tzv. Guarded Hosts) a ochranu klíčů, které jsou použité k ochraně dat (šifrování VHD bitlockerem, šifrování dat při Live Migration apod.).

HGS role ve Windows Server 2016

Guarded Host

Vlastně se jedná o krásný název pro chráněný Windows Server 2016 s rolí Hyper-V. Chráněným se váš hostitel stane až ve chvíli, kdy atestační služba HGS validuje jeho identitu a konfiguraci. Jinými slovy, potvrdí, že se na něj můžete z pohledu bezpečnosti spolehnout (že např. neobsahuje škodlivý kód, nemá pozměněné boot záznamy, že má aktivní Virtulization-Based Security (VBS), dostupné požadované bezpečnostní technologie a hardware atd.)

Shielded VM

K vysvětlení v úvodu článku zde doplním, že se jedná o VM generace 2, která používá virtuální TPM (vTPM) k ochraně dat uvnitř svých VHD pomocí BitLockeru a jejíž obsah paměti (a případně saved state) je také chráněn.

Režimy ochrany Shielded VM

Spíše se jedná o režimy zabezpečení dat, atestace a řízení přístupu k TK (Transport Key), které umožňují odemykat a spouštět Shielded VM na Guarded Hosts.

TPM Trusted Attestation

Jedná se právě o tu nejsilnější formu atestace, která má ovšem největší nároky na konfiguraci a komponenty (UEFI 2.3.1, Secure Boot, TPM 2.0). Hyper-V hostitel se stává Guarded Hostitelem ve chvíli, kdy má dostupný a nastavený TPM, zabezpečený boot a vygenerované a platné Code Integrity (CI) politiky.

Admin Trusted Attestation

Forma atestace, kdy nepotřebujete žádný super nový hardware (především TPM 2.0) a kdy chcete poměrně snadno zvýšit zabezpečení vašich VM. Hyper-V hostitel se stává Guarded Hostitelem ve chvíli, kdy HGS ověří jeho členství v požadované AD Security Group. Tedy opravdu jednoduchý scénář.

Všimněte si, že v obou režimech má ovšem finální slovo HGS a proto je samozřejmostí zajištění jejího zabezpečení (vytváří se dedikovaný AD Forest) a její dostupnosti (Clustering). Pokud vám totiž HGS nedá TK a to buď protože vám (hostiteli) nevěří nebo prostě jen není dostupná, tak VM ani nezapnete.

Chápu. A co dál?

V další části si nejdříve zkusíme blíže ukázat celé fungování HGS, GH a Shielded VMs, a tím si připravíme půdu na konfiguraci – nejdříve bez Microsoft System Center 2016 a poté s ním.

 


HYPERCON 2.0 materiály ke stažení

Tak se mi konečně podařilo sesbírat prezentace a skripty z HYPERCONu 2.0 a hodil jsem rovnou na web. Ještě jednou díky všem za účast a odkaz na soubor najdete v sekci Ke stažení.


Ohlédnutí za HYPERCON 2.0 a co dál…

Tento týden v úterý skončila pražským konáním konference HYPERCON 2.0. Dovolte mi tedy krátké ohlédnutí za oběma místy konání a také reakci na některé z vašich komentářů.

Když jsem poprvé organizoval HYPERCON, tedy edici 2016, tak jsem byl velice mile překvapen počtem účastníků. Druhá edice, 2.0, ale bohužel nebyla počty lepší a v Praze dokonce horší než minulý ročník. Bohužel to bylo způsobeno poměrně pozdní organizací, což bylo zapříčiněno mým naprostým nedostatkem času.

Každopádně věřím, že se nám podařilo doručit obsah, který jsme slibovali a který byl pro vás zajímavý. V Novém Jičíně se vám mohli poprvé na HYPERCONu představit kolegové Dan Hejda (www.defense-ops.com) a Ondřej Výšek (www.optimalizovane-it.cz) a v Praze k nim přibyli ještě další tři noví přednášející – Ondřej Bačina (Dell), Lukáš Radil (KPCS CZ) a host Markus Klein (Orange Networks).

Dostal jsem ovšem samozřejmě i negativní reakce, které věřte, že vnímám a pokusím se je maximálně odladit na příštím HYPERCONu 3.0. Zapracujeme na cateringu, řízení teploty v přednášecích sálech, relevantnosti obsahu a časovém rozložení.

Tento ročník jsem vás také obdarovali zajímavými cenami. V Novém Jičíně jsme rozdávali volný vstup na příští HYPERCON, slevu na kurzy v Amenit školícím centru a technologickými assessmenty. V Praze jsme se rozhodli jít více materiální cestou a tak jsme vás potěšili něčím dobrým k pití, kvadroptérou, multimediálním centrem na Raspberry Pi a dvěma robotickými zařízeními.

Fotografie, komentáře a reakce účastníků naleznete na twitteru @hyperconcz #hyperconcz20.  Prezentace a skripty z obou lokalit HYPERCONu 2.0 se co nejdříve objeví na webu www.hypercon.cz.

A co dál? Už teď začínám plánovat obsah dalšího HYPERCONu, vydání 3.0. Stále zůstaneme věrni Hyper-V, ale již se více podíváme i na jeho související technologie v cloudu. Protože dnes již není otázka zda „jít“ do cloudu, ale kdy. A navíc, jak říká kolega Ondra Výšek – Cloud nebolí. Nebojte se ale – moje úchylné přednášky jako např. Hyper-V Internals určitě v programu najdete.

Závěrem bych rád poděkoval partnerům KPCS, Amenitu, Gopasu a WUGu za jejich podporu, kolegům a kamarádům za jejich skvělé přednášky a především vám za účast!


Pokračování mé přednášky na téma Hyper-V Internals

V říjnu jsem měl na WUGu v Praze přednášku na Hyper-V Internals, ale nestihl jsem samozřejmě probrat vše, co jsem chtěl. Díky WUGu se tedy podařilo najít termín na pokračování, kde se dozvíte víc o Hyper-V Clusteru, Hyper-V Replica, Shielded VMs a když zbyde čas tak se určitě ještě mnoho témat najde. Více info a registrace zde.

Těším se na vás a doufám, že vás přijde opět hodně! Možná přinesu i nějaké dárky 😉


Jak jednoduše docílit BSOD ve VM

Používal jsem historicky různé způsoby jak „sestřelit“ OS, aby člověk mohl zkoušet debugging, simulovat Guest OS reboot apod. Od Windows Server 2012 R2/Windows 8.1 Hyper-V lze tohoto docílit přímo pomocí powershellu z hostitelského OS. Použije se cmdlet Debug-VM. Ten samozřejmě není jen k vyvolání BSOD, ale k celkovému debuggingu.

Pro BSOD použijete následující příkaz, který spustíte v parent partition:


Stránky:1234567...22