Statistiky
Stránky si od jejich vzniku zobrazilo již 10 148 961 návštěvníků. Během dneška 1,394. Právě tu je 60 hostů.
Exchange - vytváření pravidel pomocí PowerShellu a OWA
Emaily přicházející do schránky můžeme automaticky zpracovávat (provádět akce) pomocí pravidel (Inbox Rules). Tato pravidla se obvykle vykonávají přímo na Exchange serveru, až na některé výjimky, které vyžadují spuštění v aplikaci Outlook (client-only). Pravidla se nejčastěji spravují v Microsoft Outlook. Zde se podíváme na možnost správy pravidel pro sdílenou schránku (Shared Mailbox) pomocí Outlook on the web (OWA). A na možnost vytvářet (hromadně) pravidla pomocí cmdletu v Exchange Management Shell (EMS).
Bezpečnost účtů v práci i doma
Kybernetická bezpečnost je v dnešní digitální době stále důležitější. Je jedno, zda používáme pracovní (ve firemním prostředí) nebo soukromý (doma) účet. Útoky cílí na získání přístupu do našich účtů. Stručně shrneme tři aktuální oblasti. Jednou z nejčastějších hrozeb je Phishing, který se snaží vylákat citlivé údaje, obejít zabezpečení a získat neoprávněný přístup k našim účtům. Velkým nebezpečím je škodlivý kód označovaný jako Infostealer, který vykrádá informace z počítače. Jako první krok je důležité využívat bezpečné metody přihlášení (MFA).
Exchange nastavení zpracování žádostí o schůzky pro schránky zdrojů (místností)
Na Exchange serveru můžeme vytvořit schránky zdrojů (Resource mailboxes), buď pro místnosti (Rooms) nebo vybavení (Equipment). Pro ně můžeme nastavit možnosti rezervace (Booking Options), jak schránka vyřizuje požadavky na schůzky. Můžeme přiřadit delegáty, kteří přijímají nebo odmítají žádosti o rezervaci. Nebo využít automatické schvalování žádostí. Konfigurace nabízí mnoho možností a variant. Nastavení můžeme provést pomocí různých nástrojů.
Veeam Backup & Replication - zálohování Entra ID část 2
Ve Veeam Backup & Replication verzi 12.3 se objevila zcela nová funkce Veeam Backup for Microsoft Entra ID. Jde o možnost zálohovat Microsoft Entra ID. Je podporováno zálohování mnoha typů objektů, jako jsou uživatelé, skupiny, aplikace či Conditional Access Policies, a logů. Můžeme provádět granulární obnovu určitých objektů nebo jejich atributů. V druhé části si ukážeme vytvoření obou typů zálohovacích úloh (Entra ID Tenant a Entra ID log). Zmíníme povolení zálohování Conditional Access Policies. A velmi stručně se podíváme na obnovu.
Veeam Backup & Replication - zálohování Entra ID část 1
Ve Veeam Backup & Replication verzi 12.3 se objevila zcela nová funkce Veeam Backup for Microsoft Entra ID. Jde o možnost zálohovat Microsoft Entra ID. Je podporováno zálohování mnoha typů objektů, jako jsou uživatelé, skupiny, aplikace či Conditional Access Policies, a logů. Můžeme provádět granulární obnovu určitých objektů nebo jejich atributů. Vše funguje jednoduše, jak jsme u Veeam zvyklí. Jediná nevýhoda je licencování. V první části se podíváme na vlastnosti, požadavky, komponenty a licencování. Popíšeme průběh přidání Entra ID Tenantu. Včetně zmínky o možném problému, když není nastavena/funkční PostgreSQL databáze.
Microsoft Teams Rooms a Logitech Rally Bar
Stručný průvodce instalací a konfigurací videokonferenčního řešení Logitech Rally Bar a dotykové ovládací konzole Tap IP s využitím poskytovatele služby Microsoft Teams. Obsahuje také popis vytvoření a nastavení účtu pro Microsoft Teams Rooms a zasedací místnost v prostředí Exchange Hybrid (a Hybrid identity). V tomto případě aplikace Teams Rooms běží na Androidu.
Jak Veeam pracuje s objektovým úložištěm a využitím Immutability
Objektová úložiště jsou značně odlišná od běžných souborových. Také způsob, jak s nimi pracuje Veeam Backup & Replication, je v řadě detailů odlišný. Začíná to tím, jak se ukládají jednotlivé Restore Point (zálohy). Zásadní je práce s metadaty, kdy se využívají Checkpoints. Pokračuje způsobem aplikace Retention Policy a spojováním záloh do plné zálohy. A končí nastavením a prodlužováním Immutability (neměnnosti). Na objektovém úložišti zůstává uloženo více bodů obnovy, než je retence. V úvodu si zopakujeme základní termíny. Na konci se podíváme na strukturu dat (záloh) na objektovém úložišti.
Veeam Backup & Replication - Failed Health Check stopped by job
Veeam může provádět kontrolu stavu záložních souborů (posledního Restore Point), kdy kontroluje integritu datových bloků. Obecně je to doporučeno. Když tato operace vrátí chybu, tak to většinou znamená, že je záloha poškozena. Ale problém může být také jinde. Třeba, že nemohla úloha korektně proběhnou. Tento krátký článek popisuje určité chybové hlášení a jeho řešení.
Veeam Backup & Replication - Wasabi jako objektové úložiště záloh
Wasabi je cloudové objektové úložiště (Cloud Object Storage), plně kompatibilní s Amazon S3. Má zajímavou cenou a jednoduchou obsluhou. Ve Veeam Backup & Replication jej můžeme využít jako Backup Repository pro přímé uložení záloh (primární kopie / Performance Tier) nebo sekundární kopii (Backup Copy / Capacity Tier). Veeam má přímou podporu pro Wasabi Hot Cloud Storage, ale můžeme s ním také pracovat jako s S3 Compatible Object Storage. Samozřejmostí je podpora Immutability (neměnnosti) pro ochranu záloh před Ransomware.
Veeam Backup & Replication - jak na šifrování záloh
Je jasné, že data v zálohách potřebujeme zabezpečit před neoprávněným přístupem. Asi nejlepší metodou je šifrování záloh (Backup Encryption). Jsou různé možnosti kdy, kde a jak se mohou soubory s daty šifrovat. Pro běžné situace je nejvhodnější provádět šifrování v (zálohovací) úloze (Job Encryption). Povolit šifrování můžeme pro Backup nebo Backup Copy Job, ale i pro řadu dalších úloh. Podíváme se na obecné informace i na praktické nastavení a dopady šifrování.
Nejčtenější články
TCP/IP - adresy, masky, subnety a výpočty
Sedmá část seriálu o počítačových sítích je již více zajímavá a přináší praktické informace. Na začátku je popis základních termínů pro sítě a podsítě, IP adresy a masky. Dále se probírají různé síťové třídy a způsoby zápisu subnetů. Druhá část se věnuje praktickým výpočtům síťových rozsahů, masek sítí, počtu hostů a subnetů.
Řádkové příkazy Windows
Měl jsem v plánu sepsat na jedno místo různé užitečné příkazy pro Windows spolu s velmi stručným popisem a příkladem běžného použití. Nějaký základ jsem dal dohromady, ale chtěl jsem to rozšířit a opravit, jenže plynou měsíce a nic, tak to zveřejňuji v nepříliš hotovém stavu. Najdete zde příkazy pro použití v rámci domény, ale i lokální záležitosti. Většinou se jedná o příkazy používané z příkazové řádky, které jsou součástí Windows. Některé jsou však ze Support Tools nebo Windows Resource Kits. Uvítám v komentářích vaše připomínky a doplnění.
VLAN - Virtual Local Area Network
Osmá část seriálu o počítačových sítích. VLAN neboli virtuální lokální síť je v dnešní době běžná technologie, která přináší řadu výhod. Myslím, že všechny střední a větší firmy technologii VLAN používá a i pro malé firmy může být zajímavá. VLANy slouží k logickému členění sítě bez vazby na členění fyzické. V článku se pokouším popsat vše potřebné k pochopení toho, co to VLAN je, jaké jsou výhody a způsoby nasazení.
TCP/IP - Routing - směrování
V jedenácté části seriálu o počítačových sítích se věnuji routingu, tedy směrování v sítích. Je zde stručný popis, vysvětlení termínů a pak jsou velmi stručně popsány některé běžnější routovací metody (RIP, IGRP, EIGRP a OSPF) včetně dělení těchto metod. U metod je ukázka základní konfigurace na Ciscu. Článek není zdaleka vyčerpávající a popis je často bodový. V závěru je zmíněno routování na Windows.
Azure AD / Entra ID identity a autentizace
Články související s identitou uživatelů a zařízení (nejen) v Microsoft Entra ID. Různé možnosti přihlašování a ověřování. Oblasti jako moderní autentizace, vícefaktorová autentizace, přihlašování bez hesla, apod. Často jde o využití FIDO Authentication, třeba za pomoci FIDO2 security key nebo Windows Hello for Business.
(článků v sérii: 14)
Cisco IOS
Velký seriál o operačním systému aktivních prvků firmy Cisco. Obsahuje jedny z nejčtenějších článků na tomto webu. Články popisují konfiguraci switchů a routerů, primárně s Cisco IOS. Věci ohledně portů, VLAN, STP, ACL, QoS, apod.
(článků v sérii: 46)
Computer Storage
Ukládání dat je v počítačovém světě rozsáhlá a komplexní problematika. Zde se nachází články, které se věnují sítím Storage Area Network (SAN), technologiím iSCSI, Fibre Channel, diskovým polím (Storage System, Disk Srray) i obecně ukládání dat a úložištím.
(článků v sérii: 24)
Fortinet FortiGate a další
Bezpečnostní řešení firmy Fortinet. Nejvíce zaměřeno na Next Generation Firewall (NGFW) FortiGate. Konfigurace FW, politik, NATu, ale také VPN a možností autentizace. Okrajově práce s logy pomocí FortiAnalyzer a s klienty pomocí FortiClient EMS.
(článků v sérii: 24)
Kerberos protokol se zaměřením na SSO v AD DS
Nový seriál, který se podrobně věnuje protokolu Kerberos V5, hlavně v prostředí Microsoft Active Directory. Popisuje i řadu souvisejících věcí, které jsou potřeba pro pochopení fungování Kerberos Single Sign-On (SSO).
(článků v sérii: 14)
Microsoft Exchange
Skoro od začátku mé praxe se věnuji administraci poštovního serveru od firmy Microsoft, tedy Exchange Serveru. Začínal jsem na verzi 2003 a dostal se až k Exchange Online. Články popisují mnoho oblastí správy. Nejvíce od migrace na Exchange Server 2016 a jeho kompletní konfiguraci. Ale také Exchange Hybrid a bezpečnost elektronické pošty.
(článků v sérii: 56)
Počítačové sítě - Computer networks
Tento seriál se věnuje základům počítačových sítí. Jsou zde stručně popsány důležité praktické aspekty, které by měl znát každý, kdo se o sítě zajímá. Obsahuje jedny z nejčtenějších článků na tomto webu. Je využíváno pro výuku na školách.
(článků v sérii: 28)
Veeam Backup & Replication
Články, které se věnují zálohovacímu řešení společnosti Veeam Software. Jde o platformu pro zálohování (Backup), replikaci (Replication) a obnovu (Restore) dat. Jinak řečeno řešení pro ochranu dat (Data Protection) a obnovu po havárii (Disaster Recovery).
(článků v sérii: 24)
Základy počítačových sítí
Tento seriál jsem napsal pro časopis Connect. Většinu informací obsahuje shodně jako můj starší seriál Počítačové sítě - Computer networks, ale je napsán trochu jiným způsobem. Nejprve jsou stručně shrnuty technologie počítačových sítí a pak se trochu podrobněji probírají od nejnižších vrstev nahoru.
(článků v sérii: 4)
Poslední komentáře
Pořád mi přijde nej používat více fyzických zařízení. A vyhýbat se Windows a cloudu co to jde. Ohledně mailu i jiné podezřelé aktivity sledovat zdrojový kód, překopírovat text z mailu a ten řešit. Občas zapnout wireshark nebo proxy a sledovat co tam běhá.
[1] Díky. Ten článek jsem psal do firmy a chtěl jsem tam dát informaci, že na stejné věci je potřeba dávat pozor i doma. Snažil jsem se jej udělat co nejkratší (delší věci lidé vůbec nečtou) a nedávat tam moc technických věcí. Navíc to navazuje na jiné informace, které jsem dříve psal. Rozhodl jsem se to dát na svůj web, kde jsem to upravil a rozšířil, ale pořád jsem to chtěl udržet stručné.
Já používám doma Windows Hello, které je sice méně bezpečné než Windows Hello for Business, ale myslím, že pořád lepší, než řada jiných metod. Ale celkově to bylo zaměřeno na firemní účty.
díky za pěkný článek, nejsem si jist jestli je užitečné v článku pro běžné uživatele doporučovat "Windows Hello for Business".
taky si myslím, že by bylo vhodné některé použité termíny vysvětlit, protože přirovnání infostealeru ke keyloggeru mi připadne neužitečné, bez vysvětlení, co je keylogger.
ale i tak považuji článek za velmi užitečný, protože mne donutil zamyslet se co mám případně špatně v prostředí pro osobní použití. :)
"To encrypt the part of the response (with the Session Key), it uses the same encryption type that was used for the Authenticator (of course, the DC must support it, otherwise it would not decrypt it)."
are you sure this is 100% correct? I see TGT's issued where the PreAuthenticationEncryptionType == 0x17, yet the SessionKeyEncryptionType == 0x12 for the issued TGT. That's strange because the Account Availabe Keys is only RC4, yet the session key encryption types is AES256-CTS-HMAC-SHA1-96, and since the client has to decrypt the encrypted session key to use it later in TGS-RQ.
[1] Bohužel, s touto chybou jsem se nesetkal. Verzi 2 jsem ještě ani nezkoušel. Ale mělo by již být možno se obrátit normálně na support. Nebo bych zkusil R&D Forum, odpovídají tam i lidé z Veeamu a funguje to super.
Ahoj Petře, děkuji Vam za tento web plný cenných informací. Vědel by jste jak se vypořádat s chybovou hláškou "CSshShellStreamRebex" při přidávání hardened repository vytvořeného z iso?
Nějaké KB jsem našel, ale na hardened repo se mi nedaří získat root práva :( Iso mám toto: VeeamHardenedRepository_2.0.0.8_20250117 Děkuji
Best page on the web on WH4B, by far. Some things you might want to additionally mention, all three of which one can find out about exclusively only in the docs for "Microsoft Entra Private Access", inside the docs for "Global Secure Access":
1. Configuring FarKdcTimeout=0 - which of course solves problems for more VPN clients than just the MSFT one
2. klist cloud_debug (for debugging)
3. klist purge_bind (requires elevation)
Furthermore, you might want to mention that the Preview version of the Identity protection template in Intune is rather buggy that if one has used it, one might want to throw it out and replace it with the production version.
And in the interest of tit-for-tat, I have a question:
Do you have any idea how to identify whether the Dual Enrollment flag got set on the WH4B container or not? It's difficult to debug whether it's provisioning successfully but failing to work due to e.g. UAC preferences, or whether it'S failing to provision in the first place.