Arhive pe categorii: Securitate

OASIS cere feedback pentru Identity Metasystem Interop

Publicat pe de

OASIS a publicat ieri draftul pentru versiunea 1.0 a documentului IMI, pentru consultare publică. Dacă sunteți în domeniul soluțiilor de identitate și acces, vă încurajez măcar să răsfoiți documentul. Dacă nu reușiți să digerați expresiile de mai jos, ignorați mesajul ăsta:

Information Card Model, Information Card, Digital Identity, Claim, Subject, Service Requester, Relying Party, Identity Provider, Security Token Service, Identity Provider Security Token Service, Relying Party Security Token Service,  Identity Selector, Trust Identity, Security Token, Signed Security Token, Unsigned Security Token, Proof-of-Possession, Integrity, Confidentiality, Digest, Signature.

Filed under: Identitate, Interoperabilitate

Eveniment de secu la Microsoft GTSC – 03feb

Publicat pe de

Vă recomand pentru mâine dupămasă: o întâlnire pe teme de securitate la sediul Microsoft GTSC din spatele Teatrului Național (Tudor Arghezi nr 8-10). Agenda e următoarea:

  • 15:00-16:00 – Windows 7 – Overview (Tudor Galos, Microsoft Romania)
  • 16:00-16:45 – Elemente de securitate din Windows 7 (Victor Constantinescu, MVP-Security)
  • 16:45-17:00 – Pauza de cafea
  • 17:00-18:00 – Security Tips & Tricks (Stanca Alin aka baba_cloantza)
  • 18:00-18:45 – DRM in SharePoint – Cazuri de Utilizare – Prezentare Live (Valy Greavu, MVP-SharePoint)

Ultima prezentare va fi transmisă și pe web, prin Office Live Meeting. Dacă nu puteți veni în persoană, veți putea participa pe web. Dacă nu ați mai folosit Live Meeting, intrați cu 15-20min mai devreme (ca să vă puteți instala aplicația client de cca 16MB): https://www.livemeeting.com/cc/mvp_no_voip/join?id=itboard-7&role=attend&pw=itboard7-a.

Filed under: Comunitate, Eveniment, Securitate, Windows, SharePoint, Webcast

# re: Eveniment de secu la Microsoft GTSC – 03feb

Tuesday, February 03, 2009 9:24 AM by Valy Greavu

Numarul de locuri pe Live este limitat la 150 așa că dacă se umple eu prezint de pe scară Big Smile

# re: Eveniment de secu la Microsoft GTSC – 03feb

Tuesday, February 03, 2009 9:34 AM by zoltanhe

Asta să fie cea mai mare problemă… Smile

Cred că va fi și Sebi acolo, iar dacă aveți overflow, are el cont de 1000.

# re: Eveniment de secu la Microsoft GTSC – 03feb

Tuesday, February 03, 2009 11:36 AM by MrSmersh

Atita doar ca e la nocturna pentru un event off line…

Sper ca jumatetea buna sa iasa azi tirziu de la lucru Smile

Cum ma protejez de infectarea cu virusul lunii?

Publicat pe de

”Antivirusul” se cheamă Windows Update! E treaba ta cum te conectezi la el. Cu Automatic Update, cu Windows Server Update Services, cu System Center Configuration Manager, cu browserul, whatever. Virusul, care e de fapt un vierme, se folosește de un bug vechi, corectat în octombrie trecut, iar dacă ești sysadmin și te-a luat prin surprindere, atunci… mai bine nu zi la nimeni și pregătește plicurile.

Pentru cei care nu s-au prins încă: nu antivirusul e de vină, ci bugul. Îndepărtați viermele cu MSRT (Removal Tool), corectați bugul prin aplicarea patch-ului din octombrie 2008, și apoi gândiți-vă la alte măsuri: antivirus, firewall etc. Hai, că nu-i așa greu!

Update: e chiar așa de greu să fii la zi cu patchurile?
Update2: Centralized Information About The Conficker Worm

Filed under: Securitate

# re: Cum ma protejez de infectarea cu virusul lunii?

Wednesday, January 21, 2009 12:09 PM by dpopa

Zoli, nu e greu dar costa. Cine suporta costurile astea – clientul sau cel ce ofera serviciul de suport ?! …aici ne doare.

# re: Cum ma protejez de infectarea cu virusul lunii?

Wednesday, January 21, 2009 1:05 PM by zoltanhe

Ce costă mai mult: un proiect de patch management sau o infectie care te scoate din business cateva zile?

# re: Cum ma protejez de infectarea cu virusul lunii?

Wednesday, January 21, 2009 2:02 PM by dpopa

M-am exprimat gresit, scuze.

Projectul de patch-management e light. Mentenanta costa (se opreste productia, iti trebuie oameni sa dea stop/start la aplicatii, iti trebuie oameni sa iti valideze change-ul la sfarsit, orice change are un cost – prin simpla sa existenta : deshidere, validare, implementare, testare in pre-prod). Astea ne omoara, nu un WSUS sau PLU sau…

# re: Cum ma protejez de infectarea cu virusul lunii?

Wednesday, January 21, 2009 2:34 PM by Anonymous

Oct, Nov, Dec, Ianurie pe sfarsite, rotunjit sunt 3 luni la dispozitie pentru asta. La nimeni nu-i face placere sa dea restart la clustere intregi de Windows sau medii f importante / critice. Dar se poate. Iti iei inima in dinti intr-o zi si tot pui xx patches aparute din Oct incoace.

Nici pe linux nu-mi face placere sa tot pun 19 patches aparute in ultimele 2-3 saptamani. Smile

Sa nu ajung la o configuratie gen trixbox la care ai sanse de 99% ca dupa patching sa te trezesti cu tot felul de anomalii. Sunt patit. Smile

sys-admin life…

# re: Cum ma protejez de infectarea cu virusul lunii?

Wednesday, January 21, 2009 3:05 PM by zoltanhe

@dpopa, dacă ești un enterprise, care are nevoie de change management și de testări/validări, atunci vei avea și un geek de secu, capabil să te tragă de mânecă: ”băi, cu patch-ul ăsta nu e de glumit… simt io în urină că bugul e wormable… mai lasă validările alea și bagă patchurile, fiindcă ne costă mai mult trei zile de dezinfecție decât 10 minute de outage din cauza unui restart”. Și să o facă în octombrie, nu acum când e prea târziu.

# re: Cum ma protejez de infectarea cu virusul lunii?

Wednesday, January 21, 2009 3:44 PM by Dr.House

eu am auzit alta  : ca pach-urile si update-urile sunt prostii si nu trebuiesc instalate

si mi-am facut o comparatie : sigur sunt doctori care au aceeasi pregatire  ca si „stiu eu cine”  si eu ma duc cu fi-mea la acel doctor  !

daca o gaseste prea inalta ii taie picioarele , iar daca este racita  ii face operatie pe creier …

# re: Cum ma protejez de infectarea cu virusul lunii?

Wednesday, January 21, 2009 4:00 PM by dpopa

Da, Zoli, cam asa s-a intamplat in Noiembrie pe clientii pe care lucrez. Au sunat cei de la MS la IBM, au venit aia de la secu au facut neshte celule de criza si au zis „gata, acu !” Am prins 2-3 servere, am „validat” timp de 1 ora dupa care am trecut la aplicare de tipul comando, peste week-end, cu call-uri periodice sa zici ce, cum, cine, cand.

Noi , ca si furnizorul unui serviciu, am pierdut bani. Clientul, ca d’aia e client, sa nu crezi ca s-a bucurat. Au pierdut si ei bani.

Dar asta e … mai trebuie din cand in cand si putina actiune.

# re: Cum ma protejez de infectarea cu virusul lunii?

Wednesday, January 21, 2009 5:32 PM by zoltanhe

Să nu crezi că nouă ne place. Toată lumea a pierdut bani în cazul ăsta… în afară de ”băieții deștepți”, care s-au folosit de exploit…

# re: Cum ma protejez de infectarea cu virusul lunii?

Wednesday, January 21, 2009 6:34 PM by Lore

Iata un ghid interesant, preluat de la colegii din Canada

http://blogs.technet.com/ro_itpro/archive/2009/01/21/ghid-de-securitate-pentru-companiile-medii.aspx

# re: Cum ma protejez de infectarea cu virusul lunii?

Thursday, January 22, 2009 12:43 AM by AndreiU

Problema nu e chiar atat de simpla pe cat pare. Intr-un enterprise mare nu o sa poti fi niciodata compliant 100%. Degeaba vreau eu responsabil peste Win OS sa fac deploy la update-uri cand serverele de aplicatii sunt in alta ograda. La fel si peste statii – sunt foarte multe echipe si fiecare evalueaza si actioneaza intr-un mod diferit.

In cazul virusului pomenit e de ajuns o singura statie sa fie infectata si sa-ti faca probleme mari de tot – ex: DOS folosing account lockout – mai nou ghidurile de security recomanda account lockout sa fie activat doar in high security environments. Cunoscatorii stiu ce chestii se pot face cu account lockout 🙂

# re: Cum ma protejez de infectarea cu virusul lunii?

Thursday, January 22, 2009 8:56 AM by zoltanhe

@AndreiU, de acord. Cu cât e mai mare firma cu atât e mai greu de actualizat. Hai să luăm ca exemplu Microsoft, cu 80000+ oameni și ~2x stații, majoritatea portabile și who-knows câte servere. Ai noștri (de la IT), trimit (pe email) niște ameninințări simple de genul: ai 24 de ore să-ți actualizezi mașinile (singur sau să ne lași pe noi, cu SCCM), dacă nu, te deconectăm de la rețea; pa. Altfel nu merge, mai ales într-o firmă plină de geeks (care sunt admini pe stațiile lor…) și plină de appservere.

Iar adminii de appservere să facă bine și să se conformeze fiindcă nu numai ”my precious” apps există pe lumea asta. Cum faci? Escaladezi problema de la nivelul de securitate operațională la nivel corporate, la nivel de business continuity. Modifici corporate security policy, dacă trebuie.

Până la urmă, prevenția este muuult mai ieftină decât corecția (pompieristică).

# re: Cum ma protejez de infectarea cu virusul lunii?

Thursday, January 22, 2009 9:51 AM by blackhat

In principiu suna bine, in practica este mult mai dificil. Sa iti dau exemplul nostru, in care avem retea industriala, pe care nu o administreaza IT-ul (departamenul industrial find business-ul in sine, e stat in stat). Avem zeci de companii, mai mari sau mici, unele preluate recent, altele mai demult, care inca sunt in proces de migrare. Pentru ca orice proces de genul asta necesita bani si resurse, si desigur,  ca in orice companie care se respecta, IT-ul este mult subdimensionat.  

Altfel, tocmai pentru ca suntem constienti la expunerea contra riscurilor platim solutii de control si filtrare al email-urilor, al traficului web, plus antivirus, firewall and stuff. Cateodata, se pare ca totusi nu este suficient.

Desigur, Zoli intelege toate lucrurile acestea, pentru ca sunt convins ca este cazul multora dintre marii lor clienti.

As putea sa fiu si eu acid si sa spun ca singurele servere care nu au fost afectate au fost UNIX-urile. Si din fericire (sau din prevedere) toate aplicatiile de business critice ruleaza pe UNIX.

# re: Cum ma protejez de infectarea cu virusul lunii?

Thursday, January 22, 2009 10:07 AM by zoltanhe

…și desigur, blackhat înțelege că infractorii atacă sisteme larg răspândite și utilizarea de tehnologii de nișă (cu share mic) te apără doar de un anumit tip de atacuri Wink

Fundamental Practices for Secure Software Development

Publicat pe de

SAFECode a publicat ieri documentul cu titlul de mai sus și cu acest scop:

A goal of this paper is to keep it short, pragmatic and highly actionable. It prescribes specific security practices at each stage of the development process – Requirements, Design, Programming, Testing, Code Handling and Documentation – that can be implemented across diverse development environments.

Sublinierea îmi aparține. Încă un snip din capitolul Programming:

  • Minimize unsafe function use
  • Use the latest compiler toolset
  • Use static and dynamic analysis tools
  • Manual code review
  • Validate input and output
  • Use anti-cross site scripting libraries
  • Use canonical data formats
  • Avoid string concatenation for dynamic SQL
  • Eliminate weak cryptography
  • Use logging and tracing

Detalii în documentul de 20 de pagini. Practicile au fost culese de la membri SAFECode: EMC, Juniper Networks, Microsoft, Nokia, SAP și Symantec. Da, a contribuit și Mike.
Consumați cu încredere!

Filed under: Securitate

Journal 16 – Identity and Access

Publicat pe de

A apărut numărul 16 al Architecture Journal și are tema ”Identity and Access”, de actualitate și pe blogul meu. Cum? Nu ați primit ediția tipărită? Mergeți și înscrieți-vă (moca) pe http://www.architecturejournal.net!
Sau preferați să-l citiți în reader? Eu îl citesc pe budă, așa că prefer hardcopy.

Agenda Cuprinsul acestui număr:

The Evolving Role of the Identity: From the Lone User to the Internet
by Fernando Gebara Filho
A report on how identity technologies have evolved to accommodate current needs, and what
the challenges are from here to the future.

Federated Identity Patterns in a Service-Oriented World
by Jesus Rodriguez and Joe Klug
A sequence of strategies intended to make applications trust each other. How scenarios
challenge the real success of each strategy and what can we do to address those challenges.

Managing Identity Trust for Access Control
by Gerrit J. van der Geest and Carmen de Ruijter Korver
A reference architecture for the management of Identity Trust within the context of Identity
and Access Management.

Architecture Journal Profile: Kim Cameron
Kim Cameron is an Identity architect at Microsoft Corp. Learn what the founder of
“the Laws of Identity” has to say about his career.

Federated Identity and Healthcare
by Mario Szpuszta
A real-world example of federated identifi cation implemented in the Austrian National
Healthcare System.

Claims and Identity: On-Premises and Cloud Solutions
by Vittorio Bertocci
How the lessons learned from current efforts on federated identities are determining
upcoming trends in cloud-hosted applications.

Enterprise Identity Synchronization Architecture
by Mike Morley and Barry Lawrence
A case study on smart provisioning strategies for controlled and legacy environments.

Filed under: Securitate, Identitate, Journal, Arhitectura

# re: Journal 16 – Identity and Access

Tuesday, August 12, 2008 4:54 PM by MrSmersh

Eu il citeam acuma… Si nu nu am wirelles in Smile

Mario Szpuszta e de la MS Austria cumva?

# re: Journal 16 – Identity and Access

Tuesday, August 12, 2008 5:10 PM by zoltanhe

Da. Băiat fain.

# re: Journal 16 – Identity and Access

Tuesday, August 12, 2008 11:10 PM by MrSmersh

Ini suna cunoscut numele (si si in articol da exemple de acolo),

si cred ca l-am cunoscut personal deh REMIX la Viena… Desi tot bunul doctor (Dr. Neil) mi-a placut cel mai mult.

# re: Journal 16 – Identity and Access

Wednesday, August 13, 2008 10:21 AM by Valy Greavu

Zoli: Man… astea de interes general stau foarte bine si frumos in FrontPage… alea cu dansul doar… stii tu…

# re: Journal 16 – Identity and Access

Wednesday, August 13, 2008 10:33 AM by zoltanhe

Mda, am pus default NO și am uitat să-l… tre’ să mă obișnuiesc…

# re: Journal 16 – Identity and Access

Wednesday, August 13, 2008 11:27 AM by Valy Greavu

Smile Hai ca nu e chiar asa greu, plus ca nu tre sa faci de prea multe ori switch-ul asta…

# re: Journal 16 – Identity and Access

Wednesday, August 13, 2008 3:58 PM by MrSmersh

Acuma sa ma repet putin cred ca si posturile cu dans (si cu moderatie Smile) nu strica la front page.  Si parca daca am incepe cu posturi la umbra si posturi pe front page (separare fara motive evidente) nu ar fi frumos.

My 2 5 bani Smile

# re: Journal 16 – Identity and Access

Wednesday, August 13, 2008 5:01 PM by zoltanhe

Mda. Cineva bombănea pe aici cât de departe e macuser.ro la nr de posturi. Poate pentru că nu se comportă ca nişte primadone, jignite de subiectele off-topic. Ia să bag eu câteva despre irigaţii pe prima pagină Smile.

Securitatea înseamnă parole și carduri de credit

Publicat pe de

Da. În IT. Înainte să-mi dați rating de rahat, ca la postul cu dansul (cel mai votat în cei doi ani și jumătate de blogging…), citiți cele trei articole ale lui Jesper. Concluzia lui este simplă:

If there is one thing I would like readers to take away from this three-part series, it is that we as an industry need to level with our users and customers. We need to explain the risks and how users can address these risks. And we finally need to start equipping people to protect themselves.

Update: sper ca în viitor să înlocuim titlul cu ”Securitatea înseamnă infocarduri și creditcarduri”: prin Vittorio, un articol în New York Times: Goodbye, Passwords. You Aren’t a Good Defense.

Filed under: Securitate, Identitate

# re: Securitatea înseamnă parole și carduri de credit

Monday, August 11, 2008 2:29 PM by Valy Greavu

Zoli, despre comentariul cu dansul Smile ce n-am inteles eu personal, care e legatura dansului cu IT-ul, si care sunt contributiile tale in domeniu?

Personal apreciez posturile tale pentru ca au acea doza de noutate la care nu avem toti acces in scurt timp si sunt scrise intr-un stil scurt si la obiect ceea ce le face usor de citit si de digerat.

Bun, blog inseamna si chestiuni personale, dar nu are sens sa punem stiri despre dans in prima pagina. Parerea mea, si poti sa o combati cu argumente. Exista in schimb si o optiune de a posta anumite „dansuri” si fara vizibilitate in prima pagina.

Stii ca in urma cu mult timp am avut o discutie similara despre dj gabriel. Doamne Fereste, in nici un caz nu te punem in balanta cu el, dar la postul cu dansul cred ca si-a exprimat majoritatea opinia contrara… daca majoritate inseamna 7-8 votanti.

# re: Securitatea înseamnă parole și carduri de credit

Monday, August 11, 2008 2:56 PM by zoltanhe

Valy, am înțeles acum. Am găsit setarea cu ”Publish to site’s aggregate list” și promit că voi fi atent pe viitor. Sincer să fiu, habar nu aveam că există opțiunea asta.

Pe de altă parte, cred că suntem suficient de open (and respectful) unii cu alții, pentru ca să merit și eu o observație de genul ”bă, dezactivează opțiunea aia fiindcă ne poluezi situl cu irigațiile/dansurile tale”. Sau nu?

# re: Securitatea înseamnă parole și carduri de credit

Monday, August 11, 2008 3:11 PM by MrSmersh

Nu stiu ce cu dans si din astea Smile

Dar inca rumeg la asta http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1324395,00.html

Asa sa fie? Stiu o instanta cin Win ar face ceva similar dar, elevarea e teoretica de la rolls la rolls cu sofer Smile.

# re: Securitatea înseamnă parole și carduri de credit

Monday, August 11, 2008 3:13 PM by Valy Greavu

Cred ca respectul reciproc trebuie sa fie una din conditiile de baza ale membrilor ITBoard. Nu ne nastem invatati, iar ca si cuvintatoare sociabile ne adunam in grupuri si discutam discutii. Fiecare dintre noi greseste, dar important este sa nu persisti in asta.

Nu sunt si nu voi fi o „voce” pe aici, dar daca nu mi-a convenit ceva m-am exprimat sincer si direct si eu cred ca asta este cea mai buna unealta de a purta o discutie. Chiar daca adevarul doare cel mai tare uneori, trece cel mai repede, fiind bisturiul unor relatii de discutie normale.

La cum te cunosc sunt sigur ca nu vrei sa ne purtam cu tine ca si cu Conducatorul Suprem ante89 Smile. Sau da?! Pot vorbi cu vre-o doi baieti sa facem si o Cantarea Romaniei daca e nevoie. Plus ca eu vin dintr-un sistem in care se mai vad si chestii de genul acesta, asa ca pot contribui si eu Big Smile

PS> Eu oricum nu folosesc „bă” şi de azi nu mai folosesc nici „Frantz” Smile si nici Gigel sau Ionel. Amicii stiu de ce.

# re: Securitatea înseamnă parole și carduri de credit

Monday, August 11, 2008 3:38 PM by zoltanhe

MrSmersh, tehnica acelui hacker este impresionantă însă titlul articolului este exagerat. Pe lângă faptul că toți cei care ar fi putut să dea un răspuns erau în Las Vegas, realitatea e că amicul a demonstrat evitarea ASLR-ului într-un caz specific (hăcuie procesul în care rulează, adică ie-ul) însă asta e departe de titlul acela alarmist.

Valy, nu e nevoie de fanclub. Dar nici de cinci note de unu fără nici o explicație/feedback… (comentariul lui Cristi nu se pune; el mi-a dat nota cinci).  Știi ce am făcut când am văzut? M-am dus pe rotld să văd dacă e luat zoli.ro…

# re: Securitatea înseamnă parole și carduri de credit

Monday, August 11, 2008 3:48 PM by Valy Greavu

Eiii hai sa nu dramatizam. Esti si te vrem in continuare aici, fara poezie si folclorul contraataca. Bine cel putin eu, daca parerea mea este suficienta pentru tine.

Pina miine cumpar toate zoli.xxx numai ca sa ramii aici Smile

# re: Securitatea înseamnă parole și carduri de credit

Monday, August 11, 2008 4:33 PM by MrSmersh

Da titlul e gazetaresc, eu chiar cautam daca usa deschisa e chiar deschisa… Sau e doar teoretic de povestit la un martini in vegas Smile

Si daca Valy vrea sa ia domeniul zoli.xxx nu am comentarii Big Smile.

Btw am vazut rasarit un Tivadar ne zici Zoli toata povestea?

# re: Securitatea înseamnă parole și carduri de credit

Monday, August 11, 2008 4:46 PM by zoltanhe

E al doilea prenume… tata zice că e primul, dar după armată în facultate am renunțat să-l mai folosesc fiindcă era greu de pronunțat/reținut. Așa am trecut la celălalt prenume, Zoli.

# re: Securitatea înseamnă parole și carduri de credit

Monday, August 11, 2008 4:56 PM by alecu.bogdan

http://www.usablesecurity.org/papers/jackson.pdf E foarte interesant studiul, mai ales ca au participat si persoane din cadrul Microsoft.

# re: Securitatea înseamnă parole și carduri de credit

Monday, August 11, 2008 10:52 PM by Dr.House

-dar marile branduri au cumparat si domeniile derivate  gen paypa1.com si altele ce pot induce in eroare  , exista un site unde poti verifica domeniul si domeniile derivate cumparate de acea corporatie , chiar nu imi amintesc site-ul in momenul asta ,

– multe site-uri pot fi clonate iar imaginile pot proveni chiar de la site-ul original …totul este sa pacalesti userul …

# re: Securitatea înseamnă parole și carduri de credit

Tuesday, August 12, 2008 8:42 AM by alecu.bogdan

BC, in plus la cati dintre utilizatori li se pare anormal ca atunci cind acceseaza mail-ul de pe Yahoo, Gmail, etc sa primeasca eroare a certificatului de securitate? Smile

# re: Securitatea înseamnă parole și carduri de credit

Tuesday, August 12, 2008 9:23 AM by MrSmersh

Versiunea cu picioarele pe pamint a articolului mentionat mai sus

http://blogs.zdnet.com/Bott/?p=512&tag=nl.e019 . Teoretic… dar eu m-as sacrifica de un martini in vegas Smile.

# re: Securitatea înseamnă parole și carduri de credit

Tuesday, August 12, 2008 11:25 AM by naicul

Zoli, cred ca exagerezi. Ai luat 5 note de 1 pe un comment, dar ai luat extrem de multe note de 5 pentru altele. Nu cred ca e cazul sa faci prea mare caz de chestia asta. (Da, sunt unul dintre cei care au dat 1. Asta nu inseamna ca nu o sa te mai citesc sau ca nu consider ca scrii multe lucruri utile si interesante.)

# re: Securitatea înseamnă parole și carduri de credit

Tuesday, August 12, 2008 11:50 AM by zoltanhe

N-am nici o problemă să-mi spui că sunt de rahat, însă mă aștept să-mi spui de ce. Întotdeauna voi dori să fiu mai bun. Ajută-mă! E valabil și pentru alte modalități de feedback (formulare la evenimente, cursuri etc): nu iau în considerare notele mici dacă nu sunt însoțite de comentarii…

# Journal 16 – Identity and Access

Tuesday, August 12, 2008 4:21 PM by Weblogul lui Zoli

A apărut numărul 16 al Architecture Journal și are tema ”Identity and Access”, de actualitate și pe blogul

# re: Securitatea înseamnă parole și carduri de credit

Tuesday, August 12, 2008 11:02 PM by MrSmersh

Eu personal nu imi prea place asta ca nu toate posturile pe front page. Da exista un caz care e exceptia dar in restul cazurilor e destul de clar ca nu e cine stie ce motiv sa nu fie. Da nu incap decit atitea pe front page dar cred ca solutia ar fi marirea numarului de post in front page cu cel de la bloguri. Da posturile sint in o varietate tehnice si personale, mai bune mai rele, mai incintante la discutii mai plicticoase(am eu reteta cum sa fac daca cuiva e curios Smile), dar unul din punctele forte a ITBoard e aceasta diversitate. Poti sa faci un tango de sharepoint avind un AD migrat de pe Lotus folosind un layer managed multi datbase acces pe Oracle,totul rulind  pe un VMWare instalat dintr-un script Power Shell a carui idee ti-a venit la mare Big Smile.

# re: Securitatea înseamnă parole și carduri de credit

Wednesday, August 13, 2008 11:48 AM by zoltanhe

uite ce zice Sotirov despre articolul ăla: http://twitter.com/alexsotirov/statuses/882866444

SQL Server și firewall-ul de pe Windows Server 2008

Publicat pe de

Windows Server 2008 are și el firewall-ul activat by default, ca și Windows XP SP2 sau Windows Vista.
Citiți pe blogul SQL Server Security, ce trebuie să facem ca să permitem conectivitate la un SQL Server pe Windows Server 2008.

Filed under: Securitate, Windows, SQL Server

# re: SQL Server și firewall-ul de pe Windows Server 2008

Thursday, July 03, 2008 1:45 PM by geto_dacul

Presupun ca trebuie deschise porturile pe care ruleaza serviciile sq server nu:)?

# re: SQL Server și firewall-ul de pe Windows Server 2008

Thursday, July 03, 2008 1:59 PM by zoltanhe

Da. Adică astea: http://msdn.microsoft.com/en-us/library/cc646023(SQL.100).aspx

Ronald Beekelaar despre securitate – 13 mai

Publicat pe de

Anul trecut ne-a învățat virtualizare. Lore zice că Ronald (Security MVP) vine din nou în România, să ne învețe cum se construiește o infrastructură de securitate folosind Forefront pe client (Windows) pe servere (Exchange și SharePoint) și la marginea rețelei (ISA și IAG). 13 mai. Romexpo. Titulescu. Înscrieri aici. Da, e moca.

Filed under: Securitate, Windows, Exchange, SharePoint

Securitate in Windows Server 2008

Publicat pe de

Când am lansat Windows Vista și Office 2007 în decembrie 2006, am amintit că dacă m-ar întreba cineva ”de ce Vista?”, aș răspunde ”securitate”.
Acum, dacă mă întrebați ”de ce Windows Server 2008?”, aș răspunde tot ”securitate”. Bine, bine. Spun și IIS7 (web server modular) și Hyper-V (virtualizare cu hipervizor: un microkernel Windows), fiindcă sunt prea cool.

Revenind la securitate în Windows Server 2008, am să-l citez pe Mike Howard și lista sa de ”security features” preferate:

  • The various defenses we see in Windows Vista: stack defenses, heap defenses, ASLR, NX etc etc
  • Server Core (ok, technically not a security feature, but a critical way to dramatically reduce a server’s attack surface)
  • Network Access Protection (NAP)
  • Server and Domain Isolation
  • Read-Only Domain Controllers
  • Suite-B crypto support

Câteva resurse importante de secu pentru Windows Server 2008:

Iar fiindcă Windows Server 2008 a trecut și el prin procesul de dezvoltare SDL (Security Development Lifecycle), am să închei cu o povestioară a lui Mike despre SDL și inițiativa lui Bill, Trustworthy Computing:

A few years ago I spoke to some senior technical people from a large financial organization about software security. After visiting Microsoft they were off to visit another operating system vendor. I won’t name names. The financial company was very interested in our early results, and they were encouraged by what they saw because of the SDL. I asked the most senior guy in the room to ask the other company one very simple question, „What are they doing to improve the security of their product? And by that I mean, what are they doing to reduce the chance security vulnerabilities will creep into the product in the first place? And they cannot use the word ‘Microsoft’ in the reply.” Two weeks later, the guy phoned me and said his company would buy Microsoft products and nothing from the other company. I asked him why. He said because all they could do was make up excuses rather than admit to having numerous critical security vulnerabilities and no process to reduce their ingress.

Filed under: Securitate, Windows