SIEM

Prezados leitores.,

Estarei postando em breve informações e dicas sobre o software da AlienVault com o sugestivo nome OSSIM. Esse cara open source faz o que se chamam de Security Information and Event Management.

Ele trabalha na verificação e correlação de eventos de segurança, para isso é utilizado alguns agentes (open source) que o auxiliam na coleta de informações.

A única diferença desse cara para os players de mercado (Arcsight da HP, Q1 da IBM e SSIM da Symantec) é que ele não armazena os log's dos servidores apenas os visualiza.

Devido ao meu aprendizado estarei conforme evolução passando informações sobre esse cara e dicas.

Uma coisa importante esse software roda tanto em máquina física como virtual, o problema em ser virtual é devido a recurso, pois ele é um consumidor de memória.

Para maiores informações sobre esse cara segue alguns links:

• Software: http://communities.alienvault.com/community 
• Forum: https://www.alienvault.com/forum 
• Wiki: https://www.alienvault.com/wiki 
• Documentação: http://communities.alienvault.com/technical-documentation 
• Bugs: https://www.assembla.com/spaces/os-sim/support/tickets 

Quem tiver informações sobre essa aplicação, material de estudo e outras dicas agradeço.

Acesso Root Solaris 10 via SSH

Configurar Acesso Root no Solaris


Abaixo, explico para leigos em Solaris (como eu que estou aprendendo na marra) como permitir que o usuário "root" tenha acesso ao ssh, que por default não é permitido.

Edite o arquivo /etc/ssh/sshd_config com o comando vi:

• vi /etc/ssh/sshd_config

Localize a linha: PermitRootLogin no
Troque para: PermitRootLogin yes

Para alterar levar o cursos até a palavra "no" e prescionar a tecla "insert" do teclado (desde modo o arquivo entra em modo de edição)

Para gravar o arquivo pressionar a tecla esc (o arquivo sai do modo de edição e volta ao modo de leitura) e digite :wq (dois pontos - início de comando, w - write, q - quit)

Reinicie o sshd através do comand: /lib/svc/method/sshd { start | restart }

• /lib/svc/method/sshd restart

Pronto, agora só testar o acesso ao servidor via ssh com o usuário ROOT.

Alterar Senha do Administrador Local via GPO

Alterar Senha do Administrador Local via GPO
Escrito por Paulo Ricardo - Gambware
Dom, 15 de Agosto de 2010 12:13

Administradores locais ... Isso é um perigo, a quantidade de besteira que um usuario pode fazer sendo administrador local de sua Workstation ainda não é possivel descrever.
Por isso devemos manter os usuarios sem permissão de administradores, mas a quantidade de solicitações geradas ao suporte por esse simples fato pode agravar a situação se não temos o controle das senhas dos administradores de todas as maquinas. Então resolvemos simplicar isso criando um script que aplicado a uma GPO ira manter as senhas do usuario administrador local das Workstations iguais e simplificar na hora de alterarmos a mesma.


Passo 1 - Criar o script VBS

strComputer = "."
Set colAccounts = GetObject("WinNT://" & strComputer & ",computer")
Set objUser = GetObject("WinNT://" & strComputer & "/Administrador, user")
objUser.SetPassword "senha"
objUser.SetInfo


Bom, mais facil que isso não existe. Mas temos um grande problema a senha ficara visivel dentro do vbs, ou seja se o usuario for um pouco mais inteligente ele podera abrir o compartilhamento onde o script esta e visualizar a senha do adm loca de sua maquina !!!.
Para tudo temos uma saida, vamos criptografar o .vbs para que ninguem entenda o que esta escrito dentro do arquivo, para isso vamos utilizar uma ferramenta essencial que é o screnc.exe, essa ferramenta ira criptografar o arquivo impossibilitando o usuario de entender o fonte e resolver a senha.



Para utilizar o comando basta abrir o prompt do dos e digitar “screnc.exe nome_do_script.vbs nome_do_script_criptografado.vbe”. E pronto voce ja estara com o arquivo criptografado.


Agora vamos criar a GPO para o script.


Copie o script criptografado para uma pasta compartilhada no servidor pode ser a NETLOGON mesmo

Se não tiver, crie uma OU e coloque os computadores dentro da mesma.

Crie uma nova GPO "Senha dos ADMs Locais" e link com a OU que foi criada.

Edite a GPO "Senha dos ADMs Locais" e va no seguinte local "configuracoes do computador / configuracoes do windows / scripts / inicializar" agora coloque o script utilizando a UNC do servidor. EX \\servidor\NETLOGON\script_criptografado.vbe

Reinicie as Workstations e é só partir para o abraço.


Lembre-se que por medidas de segurança sempre altere a senha de ADMs locais para mante-la seguras.

Cursos Microsoft

Srs.,

Que tal cursos gratuitos da M$

Treinamento p/ profissionais de TI
http://technet.microsoft.com/pt-br/treinamento

Treinamento p/ profissionais de desenvolvimento
http://msdn.microsoft.com/pt-br/bb352986

Lista de cursos disponíveis (e aumentando todo mes)

Aprenda como Licenciar seu Ambiente
Aumentando a Segurança em Ambientes Microsoft
Business Intelligence: transformando seus dados em informação
Configurando o Windows 7
Implantando e Gerenciando o Windows Intune
Implantando o Windows 7
Implementação de Nuvem Privada
Microsoft Small Business Server 2011
Migração para Windows Server 2008 R2
SQL Server 2008 R2: uma plataforma de dados completa
System Center Configuration Manager 2007 SP2 e R3
System Center Operations Manager 2007 R2
VDI e MED-V
Virtualização Microsoft para Administradores Vmware
Windows Server AppFabric

Academia de Arquitetura
Conceitos e desenvolvimento como o SharePoint 2010
Conceitos e desenvolvimento como o SQL Server
Conceitos essenciais para o desenvolvedor .NET
Desenvolvimento de aplicações com o Workflow Foundation 4
Desenvolvimento de aplicações web com o WebMatrix
Desenvolvendo Aplicações Windows com .NET Framework 4
Desenvolvimento com Segurança
Desenvolvimento Office e SharePoint 2007
Desenvolvimento Web com ASP.NET 2.0
Gerenciando projetos com o Project 2010
Interoperabilidade entre Java e .NET
Otimizando Hosting e Caching de suas aplicações com Windows Server AppFabric
Plataforma Windows Azure
Visual Studio Team System 2008
Windows Phone: uma plataforma móvel completa
Windows Server AppFabric

Boa!!!!

Para os NERD's de plantão

Clique aqui

Usuários de IE têm QI menor, diz estudo

Será,

Leia mais aqui

IISRESET

Hoje, caros companheiros, tive que relembrar do comando iisreset para reiniciar um iis remotamente, pois o servidor aonde está esse cara é muito louco, para isso usei o comando:

iisreset servidorxyz /stop
iisreset servidorxyz /start

Funcionou na boa, sem problemas, para relembrar todos os comandos desse cara, segue as dicas abaixo.

Usage:
iisreset [computername]

/RESTART Stop and then restart all Internet services.
/START Start all Internet services.
/STOP Stop all Internet services.
/REBOOT Reboot the computer.
/REBOOTONERROR Reboot the computer if an error occurs when starting,
stopping, or restarting Internet services.
/NOFORCE Do not forcefully terminate Internet services if
attempting to stop them gracefully fails.
/TIMEOUT:val Specify the timeout value ( in seconds ) to wait for
a successful stop of Internet services. On expiration
of this timeout the computer can be rebooted if
the /REBOOTONERROR parameter is specified.
The default value is 20s for restart, 60s for stop,
and 0s for reboot.
/STATUS Display the status of all Internet services.
/ENABLE Enable restarting of Internet Services
on the local system.
/DISABLE Disable restarting of Internet Services
on the local system.