Microsoft se snaží v oblasti bezpečnosti

Já na té konferenci byl (pracovně) a žasnul jsem. IMHO je to VŠECHNO špatně; prostě k čemu jsou pancéřové dveře na otisky prstů, když kolem je děravá zeď…

To samé certifikáty. Jak mohou archivovat privátní část klíče na serveru? Vždyť to pak naprosto znehodnocuje digitální podpis kohokoli z toho podniku. Nikdo si nemůže být jist, jestli to podepsal ten kdo se tak tváří nebo administrátor podnikového serveru, jeho manželka, milenka a kdoví kdo ještě. Těch věcí nad kterými mi zůstával rozum stát bylo víc. Přirozeně, že na dotazy nebyl čas.

CC
http://www.techimo.com/photo/showphoto.php/photo/6756/sort/1/cat/500

Já tam byl taky.
1) Po skončení konfery ses mohl ptát třeba hodinu - kdybys nepěchal za maminou
2) Ono to s tím přístupem k archivovaným klíčům pro tu milenku asi nebude tak jednoduché. Zkus si o tom a o problematice digitálních podpisů nejdřív něco zjistit.

Docela tomu rozumím a když už tedy půjdeme do detailů, tak by si každý uživatel měl
a) vygenerovat soukromý klíč
b) vytvořit žádost o vydání certifikátu
c) CA ověří totožnost a vydá certifikát
d) při vypršení platnosti a)

Privátní klíč při tom nesmí opustit místo, kde byl vygenerován. Pokud ho opustí, pak je IMHO nekontrolovatelné kam se dostane (nespolehlivost admina, zavirovatelnost Windows atp.) a je to stejné jakoby byl archivován v Google > podpis takovým klíčem nelze uznat.
Takže vynález MS, že se klíče archivují v AD, je dost šílený. Další věc je automatická obnova klíče - minimálně je to dost divné.

MS se sice snaží zjednodušit život uživatelům a administrátorům, ale bezpečnost je o něčem jiném.

Dobre na pobaveni,myslim ten clanek co doporucuje mrkvosoft

1) pravidelně aktualizujte operační systém (ne,dokud to neni nutne)
2) používejte antivirový program a pravidelně jej aktualizujte (ano)
3) chraňte své připojení firewallem (ano,ale svym)
4) nesnižujte základní bezpečnostní nastavení systému Windows (to si pis ze snizim na minimum,no vlastne uplnewin update,activeX atd)
5) přistupujte pouze k důvěryhodným webovým stránkám (pristupuji ke vsem strankam pokud nepouzivam "bezpecne aplikace fa Mrkvosoft)
6) neinstalujte neověřené nebo nevyzkoušené aplikace (pokud neni uzivatel idiot tak vidi co instaluje)
7) před potvrzením volby prostudujte, co potvrzujete (samozrejmne to beru)
8) nereagujte na nevyžádané emailové zprávy (to je snad logicke)
9) neotevírejte nevyžádané nebo neznámé přílohy e-mailů (pokud mam dobre zabezpecene pc tak proc ne)
10) v případě potíží kontaktujte odbornou pomoc (no to by dopadlo)

Nejak mi vyslo ze tak 2 az 3 doporuceni jsou rozumna ale tohle Mrkvosoftske desatero je teda sila

Pane kolego,
když tvrdíte, že tomu rozumíte, ujasněte si, prosím, následující:
1) Jakým způsobem probíhá archivace soukromých klíčů v případě CA na Windows Server 2003, Enterprise Ed. Vězte, že soukromý klíč je v průběhu archivace vždy asymetricky šifrován.
2) Soukromé klíče používané pro digitální podpisy se nearchivují. Nikdo vás do archivace netlačí, celá konfigurace je na vás. Pokud někdo takovou archivaci nakonfiguruje, nemá, bohužel, ani základní tušení o principu digitálního podpisu. Není ani jediný důvod, proč takové klíče archivovat a v prezentaci tato informace padla.
3) Klíče se nearchivují v AD, ale v databázi CA.
4) Automatická obnova certifikátu (podobně, jako automatický zápis certifikátu) je proces, který výrazně snižuje náklady na správu PKI. Soukromý klíč není možné  obnovit automaticky (pouze ručně).
Takže ještě studujte. Kus cesty jste v oblasti IT jistě urazil, ale oblast PKI jste zatím pravděpodobně minul. Ještě na doplnění - prezentace o PKI na zmiňované konferenci byla bohužel spíše matoucí a nepřesná  - tolik snad částečně na obhajobu vaší osoby.

Tys byl tak leda na konferenci v prasečáku , Karle ....

Já Windows nedělám naštěstí vůbec, byl jsem tam docela náhodou a tak mne zajímalo, jak to řeší MS. Vím že správa certifikátů je celkem náročná činnost (ověřování identity podle OP - už na to by měl mít dotyčný status veřejného činitele, generování žádosti atp.).

Archivace soukromých klíčů tam byla presentována jako výhoda Windows a myslím, že pokud admin domény nastaví takovou politiku, tak s tím uživatel mnoho nenadělá. Že jsou klíče šifrované, je logické, ale IMHO nedostatečné - prostě už jsou "někde" kde být nemají.

V okamziku, kdy jsem zjistil, ze Zive je medialnim partnerem teto akce jsem prestal cist. uz to pro me neni objektivni clanek, ale reklama.

skoda, to desatero totiz uzivatele nic nestoji. staci si uvedomit, ze ne kazdy je takovy expert, aby si dokazal zabezpecit pocitac sam. jenze pokud neco dela microsoft, tka je to ze zasady spatne, i kdzy jde o predavani seku charitativni spolecnosti, jak tu nekteri ctenari v diskusich predvedli.

To nevim esli je to spatne, ale jeste sem nezazil ze by neco Microsoft delal nezistne.

no, ms jako takovy take neni charita, ale to neni ani ibm, ani novell... jasne, spoluprace jako jsou pocitace proti barieram je urcite investici do "dobreho jmena spolecnosti" ale nebyt velkych firem, ktere tohled elaji, nekonala by se rada koncertu, neziskovky by mely dsetinu prostredku, protoze osobni charita se u nas stale jeste neujala... proste mi vadi, ze se na MS pouziva jiny pohled nez na jakoukoliv jinou firmu. ne ze by si za to svym zpusobem ms nemohl sam

pane Schon, obhajujete tu neobhajitelne..to, ze se s MS vezete na jedny lodi je snad kristalove jasne kazdemu, kdo sem chodi krome newbies. To, jak jsou technologie MS "super" se ostatne presvedcuje(te|me) obden, kdy maji vas(e) server(y) a databaze problemy obslouzit par(ve srovnani s jinymi servery) klientu a jsou bezkonkurencne nejpomalejsi, co se tyce zobrazeni obsahu (zato reklamnich banneru, top listu, flash animaci tu mate ze by se s nimi dalo vytirat na zachode - byt v papirove forme). nedostupna sluzba, chyba databaze atd.atd. bud si nedokazete zaplatit lidi a redaktori se stridaji na pohotovostech u tlacitka reset, nebo vazne na te "kvalite" MS produktu neco bude.
MS je ten, kdo poskytuje sluzbu a vychvaluje ji do nebes a inkasuje. tak at se snazi. ani v XPSP2 nejsou vypnute vsechny services, ktere by vypnute byt (minimalne ve verzi HOME) mely, viz. napr. http://www.blackviper.com. pak by ani ten paketovy filtr nebyl potreba, protoze by dovnitr nic krome ICMP neproslo. (od DoS apod. abstrahujme). nic proti vam, pokud nejste schopni zajistit objektivitu z duvodu zjevne spoluprace s MS, pak o tom radsi nic nepiste - pokud to bude mit smysl, napisou o vas jini.

Ani nevim, jstli ma smysl se snazit o vyvraceni vaseho presvedceni. Zive je zamerene vice na uzivatele windows a produktu microsoftu, to je jasne. vyplyva to z toho, ze takovyhc uzivatelu je vyrazne vice. Co se tyka nasich serveru, mam pocit, ze chyba je v nasi aplikaci, ktera na ten SQL server saha nez v samotnem serveru, ale mohu se mylit, nejsem technik. S reklamou nemam nic spolecneho, nicmene jiste chapete, ze provoz serveru se musi zaplatit.
Nemam chut se poustet o debat o objektivite, pokud budete uvadet konkretni pripady, kdy publikujeme nepravdive informace. S temi sluzbami mate nejspis pravdu, ale na druhou stranu jen tezko muzete poprit, ze SP2 prinesl v oblasti bezpecnosti zlepseni. No a nakonec, pokud nejste spokojen s kvalitou zive, tak je jednoducha pomoc, ctete jiny server.
 

Tak aspon vime odkat jste placeni, ale to mne celkem nezajima. Mne spis zarazila veta "No a nakonec, pokud nejste spokojen s kvalitou zive, tak je jednoducha pomoc, ctete jiny server." nebylo by lepsi napsat " Jsme si vedomi ze nas DB server ma nejake problemi ale snazime se je odstranit" zvlaste pok je clovek placen za zhlednuti clanku... Co se tyce baneru, kdyz to mate v CSS tak proc neudelat takouvo vec ze banerry a reklamni veci nacem jako posledni, nedavno jsem to delal a funkuje to perfektne, prvne nactu clanek a pak menu ale to by se muselo premyslet

A ted k clanku Nevim ale to desatreo jsi meli admini davno patentovat a ted by vytriskali spoustu penez krom bodu 6. "neinstalujte neověřené nebo nevyzkoušené aplikace" nevim jak mam zjistit jestli je aplikace overena nebo vyzkousena dokud si ji nenainstaliju a nezjistim co a jak dela autor pokud mel zle umysly tak mi to stejne nerekne. Spousta BFU to stejne nezjisti jestli aplikace nahodou se nekam nepripojuje a neco neposila protoze si ji vetsinou nainstaluje na doporuceni kamarada ktery omylem obevil programek a zalibil semu... a jeste bod 5. "přistupujte pouze k důvěryhodným webovým stránkám" Ten me taky rozesmal kazdy kekomu prijdete a on tvrdi ze mu nechodimu Inet nebo se pocitac chova divne tak vam rekne ze se diva na banku a na seznam ale zapomina ze vcera se dival na porno servery... a nakonec bod 10. "v případě potíží kontaktujte odbornou pomoc" je taky dobry po precteni EULA

no nic musim jet jen na konec MS pise Windowsi tak kvalitne jak ja cesky

to o cteni jineho serveru smerovalo k vytkam k obsahu, ty technicke problemy si uvedomujeme, ale neni na redakci, aby je resila, jsme soucast velke firmy a jiste znate to sproste slovo "procesy"
server a redakce jsou placeni z reklam, to vas driv nenapadlo? nebo narazite opet na microsoft? Je to jen jeden z inzerentu, popravde nemam moc prehled v tehle oblasti, pisu, o obchod se stara nekdo uplne jinej.
co se tyka toho desatera, ja si ho nevymyslel, ale body, kterym se vysmivate nejosu tak nesmyslne, i kdyz chapu, ze pro toho vaseho bfu jsou neprijatelne, memu diteti stacilo vysvetlit, ze nesmi instalovat in, co neschvalim sam, totez u rodicu - neni to reseni pro kazdeho, ale normlanimu cloveku staci rict, ze pokud nema originalni software nebo software stazeny z duveryhodneho serveru (a ty mu vyjmenovat), tak by mel byt opatrny a minimalne pouzivat av a antispyware. o softu stazenem z p2p radsi nemluvim. a u webu je to take jednoduche, zaklad je nelezt na "free" porno a warez/crack/serialz stranky.  A odbornou pomoc nemusi poskytovat pouze linka technicke podpory Microosftu, ale dodavatel PC nebo firma, ktera poskytuje servis, bfu je najde i v telefonnim seznamu nebo ve vyhledavaci. Proste se na to zkuste podivat ocima cloveka, ktery IT nezije.
 

kedze reklamou moze byt aj normalne vyhlasenie,vid dnesny autorom nepodpisany clanok o temnej sile a ktory je predpokladam v rozpore s vasim vnimanim etiky a nieco sa s tym pokusite spravit

musite se obratit na sefredaktora, clanek je prejaty z tisteneho computeru, kontakt na sefredaktora Computeru najdete na computer.zive.cz.

Co se tyce duveryhodnych serveru, taky jsem do silvestrovych/vanocnich programu v archivu povazoval zive.cz za duveryhodny server.

když vidím ty technické problémy Zivě , tak si nemůžu nevzpomenout na SvetNamodro (R.I.P). One-man-show server se spolehlivostí o nejméně třídu výšší než vy "součást velké firmy".

omyl, svet na modro nebyl one man show, ale nejmene three men show. DD, Janek Wagner a prekvapive, moje malickost, i kdyz v zacatcich samozrejme, to bylo Danielovo dite. Nicmene Svet Namodro nevydrzel, po prevzeti MIA Telecomem a naslednem rozmelneni obsahu SnM to slo do kytek, nastesti jsem u toho uplneho konce nebyl. A jak rikam, s dostupnosti serveru nemuze redakce nic delat. maximalne posilat sms adminum.

V tom článku vidím nějaký rozpor: buď měl být jasně označen jako placená reklama Microsoftu nebo je tam nějaký překlep: správně mělo být "Microsoft - šit bezpečí"
Ale vážně: Microsoft na nějaké bezpečí povětšinou s*al (a leckde tak činí dodnes). Mám neodbytný pocit, že od uvedení jednoho nejmenovaného stále oblíbenějšího produktu, mezi jehož kvality byla právě bezpečnost řazena, si Microsoft tak nějak uvědomil, kudy mu (také) teče do lodi. Ovšem reaguje na to ve vlastním stylu: nikoliv "MS s jazykem na vestě honí bezpečnostní díry ve vlastních produktech", nýbrž ve stylu článku "hodný strýček MS se laskavě stará o bezpečnost vašich strojů"

>>> "hodný strýček MS se laskavě stará o bezpečnost vašich strojů"

lol a jeste bych k tomu doplnil "v pripade ze budete jednat podle desatera"

Nemuzu si pomoct, ale nadpisy Oty Schona jsou proste dokonale.

Vyborne. Opet jsem neodolal a kliknul.

Jinak jsem ale z clanku opet blil.

Tentokrat za to ale nemuze autor clanku, ale Microsoft.

Co myslite, mysli tu snahu o bezpecnost pocitacu Microsoft opravdu uprimne.

a ctete alespon perex? Ten je videt z hlavni stranky a obsahuje shrnuti obsahu. Nicmene jsem samozrejme rad, ze jste kliknul, kazdy ctenar se hodi  azive je skutecne medialni partner tehle snahy. A byt se to nekterym ctenarum nemusi libit, tak kazda snaha o zvyseni povedomi o bezpecnosti pocitacovych systemu je pro dobro vsech uzivatelu internetu - i tech, kteri sedi za firewallem, maji nainstalovany AV nebo dokonce pouzivaji Linux nebo Mac OS.

Ne, to pod tim nadpisem jsem necetl. Proste, jak jsem videl to bombasticke "Microsoft se snaží v oblasti bezpečnosti" tak hned kliknul.

Jinak ta "bezpecnost", jak ji pojima Microsoft, je podle me blbost. Akorat to slovo "bezpecnost" se stalo modnim a tak se z nej Microsoft snazi taky vytriskat nejaky penize.

Samozrejme, jsou aplikace u kterych musi byt bezpecnost na prvnim miste, banky (internet banking, home banking, atd.), citlive obchodni (firemni) informace a par dalsich veci. U dalsi skupiny se bezpecnost dat omezuje na ochranu, aby nekdo neponicil obsah (treba webove prezentace). Ale co se tak hrozneho muze stat domacimu uzivateli, ktery je treba pripojen pres dial-up. Maximalne se mu zvysi ucet za telefon o nekolik tisic, coz ale nemusi resit Microsoft, za to by to ale mel vyresit Telecom.

Proste chci tim rici, ze "bezpecnost" je jen medialni bublina, ale skutek utek.

nejsem si uplne jidty tim, ze je to jen bublina. dial-up jiste predstavuje mensi riziko nez broadband z hlediska botnets, ale pro dmaciho uziavtele je ztrata rodinych fotografii stejne bolestiva jako pro firmu ztrata firemnich dat. o keyloggerech a cislech kreditnich karet nebo hesel a cerfitikatech k uctum ani nemluvim. Ostatne to vidim i u vypisu sveho firewallu.

Co myslite, mysli tu snahu o bezpecnost pocitacu Microsoft opravdu uprimne>
Tenhle pocit mám taky. MS nemůže bezpečnost počítačů nikdy skutečně zajistit, pokud chce udělat systém "uživatelsky přívětivý". Oba dva požadavky se tak trochu navzájem vylučují.

A proč by měl Microsoft vyrábět absolutně perfektní produkty (bezpečnost atd.)? Možná taky proto, že už by nemohl vydělávat další miliardy na dalších "absolutně perfektních" produktech...

Proc to nazvali "Den bezpečnosti počítačů" a ne "Den bezpečnosti Microsoftu"?
A jak je to se superuserem? Zkousel jsem pracovat pouze s omezenym uzivatelem a nebylo to zrovna prijemny. Nektery programy se chovaly podle toho omezene.

To je pravda. Instalace 3/4 software cyžaduje qůli zápisu do systémových adresářů práva administrátora. Spustit ve startupu u jiného uživatele než admina cokoliv s adminovským účtem je téměř nemožné. Tak teda nevím k čemu účet Power User je. Asi k nas***í uživatele

V nejmenovanem velkem statnim molochu, kde pracuji:Prijde NBU Narodni bezpecnostni urad (predesilam jsou odborne pripraveni) na certifikaci bezpecnosti informacniho systemu a co projde aspon na uroven VYHRAZENE je SGI Unix, s odrenymi usi MS-Windows 2000 a STOP.zadne WINXP ...

To je dobre slyset ze alespon nekde neco v tomto state funguje

Solaris tam nemate? Projit by mel, alespon drive v armade nemivaly problemy.

Ne! fakt? Oni to fakt uz ve stredu, jako prezentovali. Ja je miluju, ten Microsoft, ten lidstva med, to Vilemovo dobrocini, ty spravne 'teple' hochy (sorry Otakare). Proste, tohle je sok, konsternace, totalni blackout konkurence, ten rozhovor, to je novinarska nirvana. Ja fakt nevim jek lepe vyjadrit to co po precteni techhle novinarskych PR sracek citim.

Radši drž hubu , zmrde zavšivenej .....

Aby se to neprovalilo?

Na co trojany a spyware, doneste PC rovnou k nám. My už si ty data vytáhneme sami. Ještě ověříme a prolustrujeme vše co máte a podezřelé nálezy ohlásíme policii...
To někdo fakt myslí vážně??

Koho myslis, ze zajimaji tvoje pornace, nebo dalsi bordel co mas na disku?

Hochu, nikdo tě nenutí. Taky nikdo nepředpokládá, že zítra přistanou v Comforu čtyři miliony PC ke kontrole.