Archívum

Archive for the ‘Windows 10’ Category

Ismét Win10 RS3

december 4, 2017 2 hozzászólás

Nem gondoltam volna, hogy ilyen hamar sor kerül az előző cikk folytatására… Igaz, hogy az utolsó gondolatokban említettem a VLan-ozás problémáját, de azt nem sejtettem, hogy milyen bug-ot feature-t építenek a kollégák ebbe az őszi frissítésbe.

Kezdjük azzal, hogy ha valaki szeretne VLan-t használni a Win10-en, akkor switch-független megoldásként két fő lehetősége van: vagy használja a hálókártya gyártójának saját programját (ha van), ami le tudja kezelni a vlan-tageket, vagy feltelepíti a Hyper-V komponenst, létrehoz egy External típusú virtuális switchet, amibe beteszi a pipát és a VLan-azonosítót. Előbbivel az a gond, hogy vagy van ilyen program, vagy nincs; ha nem egységes a hálózat, akkor esetenként különböző programokat kell használni; esetleg a program nem kompatibilis valamilyen más programmal. Utóbbi esetén hátrány lehet, hogy fent van a virtualizációs komponens (további réteg meg biztonsági megfontolások, ugyebár), illetve ennek előzménye a megfelelő hardver (no igen, soha senki nem vesz virtualizációt nem tudó gépet, mert olyan khm… nem is létezik).

No de visszatérve a fő csapásra. Adva vannak a gépek, szépen beállítva, mindegyiken ott figyel a Vlan. Erre jön az őszi frissítés, ami szépen csili-vili gépet varázsol az ócskaságból – egy apró hibával. A jól beállított, Vlan-al rendelkező virtuális switch-ből eltünteti a VLan taget és a Vlan-kapcsoló pipát, ráadásul úgy, hogy szürkévé teszi a bekapcsolás lehetőségét. Nem akartam nagyon a mélyére ásni, hogy ezt milyen megfontolásból, inkább a probléma megszüntetése volt előtérben.

Első körben természetesen a legegyszerűbb megoldás jutott eszembe: törölni a virtuális kapcsolót, s újat létrehozni megfelelő beállításokkal. Igen ám, de az új létrehozásakor mindenféle hibát dobott ki, mely szerint valamit nem talál, nincs ilyen, stb. Eseménynaplót ellenőrizve kiderül, hogy a hálózati kártya azonosítójával van baja, azt nem tudja megemészteni. A kártya letiltása, engedélyezése nem segít, egyedül az oldotta meg számomra a problémát, ha a kártyát eltávolítottam (driver maradhat), illetve ismét felismertettem vele – ezután már csont nélkül létre lehetett hozni a kapcsolót.

Ha belegondolok, hogy egy nagyobb cég esetén ezt tömegesen kell(ene) elvégezni, csak azt tudom mondani, hogy kösz MS.

Reklámok

Hyper-V: Default switch

november 20, 2017 2 hozzászólás

Aki már váltott a Windows 10 1709-es verziójára, s netalán telepítve volt (vagy utólag telepíti) a Hyper-V komponens(t), meglepődve tapasztalhatja, hogy alapból létrejön egy „Default switch” nevű virtuális kapcsoló, aminek alapbeállításain nem tudunk módosítani, sőt, eltávolítani sem tudjuk. Ennek kapcsán felmerült néhány gondolatom, a teljesség igénye nélkül.

Bár történetét tekintve állítólag ez a kapcsoló egy régi felhasználói kérés, bizonyos szempontból nem igazán nyerte el a tetszésem. De mielőtt elmondanám a gondjaim, lássuk, milyen célt is szolgál:
– a hozzá csatlakoztatott gépek NAT-on keresztül kilátnak a hálózatra, elvileg attól függetlenül, hogy vezetékesen vagy vezeték nélkül csatlakozik a gazda-gép
– minden Win10 gépen azonos azonosítóval (GUID) rendelkezik, így a VM-ek mozgatása ezek között nem okoz fejfájást (eddig külön szoktunk erre figyelni)

Ez szép és jó, de miért nem tetszik? Nos, egyrészt kezdjük azzal, hogy mindenki kap a gazdagépen egy újabb hálózati csatlakozót (természetesen azokra gondolok, akiknek telepítve van a Hyper-V komponens). Egy olyan környezetben, ahol eleve van több csatlakozó (fizikai vagy virtuális), még egy további megjelenése megosztott figyelmet igényel. Ez elkerülhető lett volna azzal, hogy akinek nem tetszik, az távolíthassa el. Természetesen meg lehet próbálni kikapcsolni rajta a különböző protokollokat és szolgáltatásokat (ipv4, Client for MS Networks, …), de ez csak egy ideig megoldás, hiszen a Windows automatikusan helyreállítja a kapcsoló állapotát.

Egy másik gondomat oktatóként közelítem meg. Eddig a Hyper-V oktatásokon megmutattuk, hogy miként lehet beállítani a kapcsolókat, melyiket milyen célra használjuk, de az emberek lustasága (persze, tudom, lusta ember nincs is…) abba az irányba fogja terelni a többséget, hogy a VM-nek adjuk oda az „alapértelmezett” kapcsolót, s kész. Lesz internet, lesz minden, mehetünk szórakozni. Mondjuk akiket valóban érdekel a téma, azok szinte biztos, hogy belemélyednek majd, s létrehozzák a „hagyományos” kapcsolókat, de lehet, hogy ők akkor az előző pontba futnak majd bele: el szeretnék távolítani ez az új kapcsolót – sikertelenül.

További problémaként (s itt ismét szeretném kihangsúlyozni, hogy nem teljes körűen megvilágítva) a biztonságosságot vetném fel. A VM-ek gépek közötti mozgatásánál oda kellett figyelni, hogy melyiken milyen kapcsolók vannak – ezzel ez kikerülhető. Sőt, ha elképzelem azt, hogy egy rosszindulatú programozó majd ír egy olyan kódot, ami egy virtuális gépben (sőt, ne csak hagyományos VM-ben, hanem mondjuk pl. Docker konténerben gondolkozzunk) fut, annak elég megadni a jól ismert kapcsoló GUID-ját (hiszen minden gépen azonos, nyelvtől, időjárástól, stb függetlenül), hogy kilásson az internetre, s „láthatatlanul” küldjön csomagokat – mondjuk egy szaki vélhetően hamar megtalálja, de egy otthoni felhasználó? Igaz, utóbbinak nem kell Hyper-V, de akkor gondoljunk mondjuk egy KKV-ra, ahol nincs profi rendszergazda, de valamiért szükséges a gépeken az említett modul (ismerek konkrét esetet, amikor pl. VLan-ozás miatt kellett telepíteni ezt a virtualizációs komponenst).

Egy szó, mint száz, még nem igazán nyerte el a tetszésemet – s ekkor még finoman, nőiesen fogalmaztam 😊

Biometrikus azonosítás/PIN tipp

október 31, 2017 Hozzászólás

Egy rövid memó: ha a biometrikus azonosítással és PIN-kóddal történő bejelentkezés szürke egy tartományi gépen, akkor a megoldás egyszerű: egy registry-értéket kell létrehozni:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
“AllowDomainPINLogon”=dword:00000001

Kategóriák:Windows 10 Címke:

Windows 10 Fall Creators Update vs WannaCry & Petya

június 28, 2017 4 hozzászólás

Aki az IT világában él (sőt, akinek van számítógépe), biztosan tud a múlt havi WannaCry-járványról, ennek ráadásaként tegnap aktiválódott a Petya zsarolóvírus is. Mindkettő az SMB1 protokoll egyik hibáját használja ki, s ennek lassú kihalása okán kapták a már nem támogatott rendszerek is a javítófoltokat.

Ugyanakkor lassan, de biztosan elkezdtek csepegni infók a Win10 idei őszi frissítéséről. Az indító gondolathoz kapcsolódik az egyik friss és fontos információ is, aminek sokan nem fognak örülni: az említett frissítéstől kezdve megszűnik az SMB1, magyarul a Windows 2003 és régebbi rendszerekkel való kapcsolattartási lehetőség.

Tudom, sokan nem értik, hogy miért foglalkozom ilyen ősrégi rendszerekkel. Nos, egyszerűen azért, mert a magyar viszonyokat ismerve, nem egy cégnél található még ilyen oprendszer. Félig haladva a korral, vannak már Win10-es munkaállomások, de a szerver-csere még nem történt meg. Sőt, továbbmegyek, azok a régi nyomtatók/készülékek, melyek csak ezt a régi protokollt ismerik/használják, szintén ki fognak esni a játékból.

Természetesen kell haladni a korral. Hiszen mint említettem, a WannaCry/Petya is erre épül, ennek a sebezhetőségét használta ki. Általános (és kiterjesztett) támogatása is lejárt. Viszont hiába voltak a különböző fórumokon, médiákon elhangzott figyelmeztetések, áttérésre figyelmeztető oktató-videók, felhívások, sajnos továbbra is rengetegen vannak régi rendszerekkel – részben anyagi, részben más okok miatt. Érdemes az ottani rendszergazdáknak/informatikusoknak ismételten jelezni a vezetőség felé, hogy a kockázat folyamatosan nő…

ps. eredetileg egy hosszabb cikknek készült volna, de Petya áthúzta a tervem. Hogy mégse maradjon senki szakmai tartalom nélkül, egy elég jól összeállított MS-cikket linkelek be az SMB protokollokról.

BitLocker kulcsok házirendben szabályozva

április 19, 2017 Hozzászólás

Adott helyen felmerült a házirendből szabályozott BitLocker – pontosabban a visszaállítási kulcsok mentésének módja. Magyarul, nem szeretnénk azt, hogy ha bekapcsolják a titkosítást, akkor USB-kulcsra, állományba vagy nyomtatásra kerüljön a visszaállító kulcs, hanem az AD-t használjuk erre a célra. Ha nem régi rendszerekről van szó, aránylag kevés beállítást kell végrehajtanunk, hogy sikeresek legyünk:

  1. Computer Configuration\Administrative Templates\System\Trusted Platform Module Services alatt engedélyezzük a Turn on TPM backup to Active Directory Domain Services opciót
  2. Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption alatt eldöntjük, hogy melyik ágon megyünk tovább: adatlemezre (beépített vagy eltávolítható) vagy rendszerlemezre szeretnénk alkalmazni a titkosítást. Döntés után a Choose how BitLocker-protected fixed drives can be recovered opcióba lépve, engedélyezve és a benne található lehetőségeket beállítva mondhatni készen is vagyunk.

(Aki Vista/2008 rendszereken szeretné, vagy bővebb információt olvasna, részletesebb leírás itt található).

Van viszont egy kapcsoló, amire szerintem nincs eléggé felhíva a figyelem, s kissé megkavarhatja az egyszerű rendszergazdát. Arról van szó, hogy ha nem pipáljuk be a „Omit recovery options from the BitLocker setup wizard” opciót, akkor a BitLocker bekapcsolásakor feldobja a hagyományos ablakot, hogy hova akarjuk menteni a visszaállító kulcsot – emiatt nem lehetünk biztosak benne, hogy a gép megkapta-e a házirendet (amiben beállítottuk, hogy AD-ba kerüljön). Ezt tehát mindenképp bepipálnám.

Ha kiadtuk a titkosítási parancsot, egy újraindítást fog kérni, majd utána a

manage-bde -status c:

parancs segítségével tudjuk lekérdezni a titkosítás állapotát.

Természetesen, utólag is van lehetőségünk a Control Panel/Bitlocker Drive Encryption menü segítségével a kulcs megszokott mentésére (USB-kulcs, állomány vagy nyomtatás). Amennyiben az AD-ból akarjuk mégis elővarázsolni, két lépést érdemes tennünk: feltelepítjük az RSAT-ból a „BitLocker Password Recovery Viewer”-t, majd a szükséges .dll állományt regisztráljuk:

regsvr32.exe BdeAducExt.dll

A fentiek hatására az ADUC-ban meg fog jelenni egy BitLocker Recovery fül, ami tartalmazni fogja a kívánt kulcsot.

u.i. Figyeljünk arra, hogy amennyiben úgy állítottuk be (ahogy a józan ész diktálja), hogy titkosítás előtt ellenőrizze az AD-kapcsolatot, úgy nem járható út, hogy napközben bekapcsoljuk a titkosítást, de nem indítjuk újra a gépet – ha ugyanis a kolléga leállítja, majd hazaviszi az eszközét, s otthon bekapcsolja, az AD-kapcsolat hiányában nem történik meg a várt művelet. Természetesen következő alkalommal (már AD-kapcsolattal) ismét lehet kérni a BitLocker bekapcsolását, ekkor az új kulcs is bekerül a másik mellé.

Windows 10 Mobile RS1 vs FM rádió

január 10, 2017 2 hozzászólás

Már itt a blogon is többször írtam arról, hogy egy Windows 10 Mobile-os okostelefonnal rendelkezem. Jellemzően elégedett vagyok vele, de mint szakmabeli, látom a korlátokat/hiányosságokat is.

Jelen morgásom arról szól, hogy eddig észre sem vettem, de az RS1-ben kivették a beépített alkalmazások közül a hagyományos FM-rádiót. Nem használom gyakran, de amikor viszont használtam, tetszett az egyszerű kezelhetőség, valamint az, hogy eleve az oprendszer tartalmazza. Aki ismer, tudja, hogy nem szeretem sokmillió programmal terhelni egyik eszközömet sem, ezért mindig adok egy esélyt a beépített alkalmazásoknak (még ha az nem is válik be, pl. asztali gépen az Edge mint PDF-olvasó, vagy az új, előzetes Skype).

Üsse kavics, kivették, az úton már nem volt időm/kedvem vacakolni egy megfelelő alkalmazás kiválasztásával, így későbbre tolódott ez a tevékenység. Amikor viszont nekiálltam keresni, egyrészt a stream-ek kezelésére való alkalmazások jöttek elő (miért hívják őket rádiónak??), másrészt végre találtam néhány valódi FM-rádió kezelő alkalmazást is. Többet is kipróbáltam, de mindegyik egy dolgon vérzett el, ami számomra alap-feltétel volt: nem tudják kihangosítani az adást a telefon hangszórójára. Amikor elkezdtem kutatni az okot, kiderült, hogy nem a fejlesztőkkel van a baj, hanem állítólag a MS nem valósította meg (implementálta) azt a csatolófelületet (API), amin keresztül ez megoldható lett volna. Szóval ez egy újabb fekete pont MS-nek 😦 (S mielőtt valakiben felmerül, attól még nem váltok készüléket 😉 ).

Windows frissítés

december 12, 2016 4 hozzászólás

Nem azt mondom, hogy ez az első olyan kumulatív Windows-frissítés, ami problémás, de mindenképp figyelemre méltó, hogy mekkora galibát tud okozni. A mostani, valamiért rendkívüli, dec. 9-i KB3201845 frissítésről van szó, ami a javítási listában semmi hálózattal kapcsolatos dolgot nem említ, de vannak, akik panaszkodnak, hogy a számítógépük a telepítés után nem csatlakozik a hálózathoz. Az ok egyszerű: valamiért a gépek APIPA-címet kapnak, nem a rendes, DHCP-kiszolgálótól kapott címet. A megoldás kétféle is lehet: egyrészt átállítani fix IP-címre (no igen, egy nagymamának ezt telefonon elmondani, hogy miként lehet), illetve egy újraindítás a frissítés telepítése után.

S itt ismét előjön az a kérdés, amivel már gyakorlatban is sokszor találkozom: nem ugyanaz a leállítás, majd indítás, mint az újraindítás. Ennek okáról mintha már írtam volna: az újabb oprendszerek leállítás során nem végeznek „teljes” munkát, pont azért, hogy indításnál gyorsabban induljon a számítógép. Ez végső soron a felhasználók kényelmi funkciója, de néha nem árt egy „valódi” újraindítás. Aki meg nem szeretne újraindítani, annak egy pipa-lehetősége van, kikapcsolni ezt a szolgáltatást.

Ha meg belegondolunk, az ilyenek fényében nem biztos, hogy jó dolog volt átállítani a régi (Win7…) gépek frissítését is összesítő frissítésekre. Értem én a dolog technikai oldalát, de akkor is 😦

Kategóriák:Windows 10 Címke: , ,