Entrevista para Rádio Unijuí

https://www.mixcloud.com/radiounijuifm/encontro-casual-andr%C3%A9-ruschel-120518/

Resolvendo o problema da resolução da VM Linux no Hyper-V

Nos últimos tempos eu tenho escrito artigos que possam estar ajudando outros profissionais, e principalmente quando alguns amigos, clientes ou até mesmo pessoas que eu não conheço me “lançam” algum desafio.

É claro que tem muitas coisas que eu também não sei, embora esteja na área de tecnologia há mais de 20 anos, nunca se sabe tudo e todo dia eu aprendo muitas coisas novas.

Um amigo e MVP Microsoft me lançou um desses desafios, e eu não poderia deixar de ajudá-lo. Aproveitei e escrevi esse post!

O cenário:

Notebook: Windows 10 e máquina virtual Ubuntu 18.04.1

O problema:

Com a máquina virtual Ubuntu já instalada, não foi possível deixar full screen. (tela inteira)

Embora a Microsoft ofereça o LIS (Linux Integration Services) que atualmente está na versão 4.2.6, ele realmente não se aplica ao Ubuntu 18.04.1 neste já vem os drivers instalados (no kernel).

O LIS se aplica a:

• Red Hat Enterprise Linux 5.2-5.11 32-bit, 32-bit PAE, e 64-bit

• Red Hat Enterprise Linux 6.0-6.10 32-bit e 64-bit

• Red Hat Enterprise Linux 7.0-7.5 64-bit

• CentOS 5.2-5.11 32-bit, 32-bit PAE, e 64-bit

• CentOS 6.0-6.10 32-bit e 64-bit

• CentOS 7.0-7.5 64-bit

• Oracle Linux 6.4-6.10 com Red Hat Compatible Kernel 32-bit e 64-bit

• Oracle Linux 7.0-7.5 com Red Hat Compatible Kernel 64-bit

Resolução do problema:

A resolução de vídeo do meu host (Windows 10) é 1366x768

Na máquina virtual Linux – Ubuntu:

1) Acesse a máquina virtual Ubuntu

2) Acesse o terminal e digite:

3) cd /etc/default/

4) su gedit grub

Em: ADICONE A RESOLUÇÃO IDEAL PARA SUAS TELAS.

GRUB_CMDLINE_LINUX_DEFAULT=video=hyperv_fb:1366x768

GRUB_CMDLINE_LINUX=video=hyperv_fb:1366x768

5) digite sudo update-grub

6) reboot (reinicie a máquina virtual Linux)

Ainda na máquina virtual Linux – Ubuntu:

Acesse as configurações do Ubuntu > ajuste a resolução de tela

Resultado:

Tela inteira – resolução 1366x768

WLinux é a distribuição para o Windows Subsystem for Linux

A Microsoft melhorou gradualmente a WSL e a versão mais recente (na atualização de abril de 2018 para o Windows 10, build 1803) tem novos recursos. Eles incluem nomes de arquivos com distinção entre maiúsculas e minúsculas por diretório suportados no lado do Windows, bem como no Linux; Sockets Unix, tarefas em segundo plano e um utilitário para converter nomes de caminho entre o Windows e o WSL.

O que é legal são as distros que estão surgindo para Windows Subsystem para Linux, e isso começou a atrair a atenção de distribuições personalizadas como é o caso da WLinux - Distro baseada em Debian que está disponível na Microsoft Store.

http://bit.ly/2zwUoGI

Criada pela startup de código aberto Whitewater Foundry, a distribuição otimizada para WSL é destinada a desenvolvedores e usuários profissionais com um monte de ferramentas de desenvolvimento populares, como git e neovim pré-instaladas e, mais importante, o trabalho necessário para tornar o Linux gráfico aplicativos trabalho já feito.

Claro, você ainda precisará deum cliente X como Xming para realmente ver a magia gráfica.

A distribuição foi despojada de pacotes desnecessários para melhorar a estabilidade e a segurança. Afinal, quem precisa do sistema? Certamente não é usuário da atual encarnação da WSL. Os autores também se preocuparam em personalizar a distribuição para refletir o ambiente da WSL, resultando em algo que é leve - embora a um custo.

Depois de gastar tempo estimulando a distribuição do WSL do Ubuntu, a fim de atrair aplicativos gráficos do Linux para a área de trabalho, fizemos questão de verificar essa experiência otimizada e descobrimos que ela é uma melhoria, ainda que um pouco desajeitada em alguns lugares.

Agora vamos começar a testar essa distro para WSL.

Mapeando unidade de rede usando GPO no Windows Server 2016

Existem inúmeras formas de mapear uma unidade de rede, mas vamos mostrar como fazer isso usando uma GPO.

No nosso exemplo, o servidor chama-se Servidor e a pasta compartilhada Dados.

1) Acesse Ferramentas > Gerenciamento de política de Grupo.

2) Crie uma GPO chamada Mapear > clique com o botão direito do mouse e selecione a opção Editar..

3) Acesse Configurações do usuário > Preferências > Configuração do Windows > Novo > Unidade Mapeada

4) Em ação: selecione a opção Criar

Em local: \\servidor\dados

Onde servidor é o nome do servidor e dados é o nome do compartilhamento

Rotular como: Especifique o nome que desejar.

Usar: Selecione a letra que desejar.

Clique em aplicar.

Se quiser forçar a aplicação, acesse o executar e digite gpupdate /force

Ransomware: analysis of Windows and Linux interoperability

The months of May and June have been marked by numerous cyber attacks is ransomware (type of malicious software created with the intention of blocking (encrypt) the access to files or systems and only release them after payment of a specified amount) and also other virtual pests are often not so well defined and that they have infected numerous computers around the world.

We're talking about the Wannacry/WannaCrypt/PetrWrap//SambaCry, Petya NotPetya, which caused serious problems and of course, it is common after this catastrophe Cybernetics, authorities and experts in information security fire an alert with measures to be implemented and followed by users and technology professionals.

It's been a real challenge for it professionals who manage daily Windows, Linux servers and workstations still running Windows, Linux or macOS (not to mention mobile devices) if anteverem and guard all virtual pests are circling the cyberspace in search of vulnerabilities in operating systems and other suites.

But lest all this environment can coexist, we need to have an interoperability between operating systems, and other protocols. It is exactly this scenario we will analyze the behavior of the Wannacry/WannaCrypt/PetrWrap//SambaCry and Petya NotPetya.

WannaCry: From changes in the Eternalblue code, this created by NSA and that after the Group Shadow Brokers, which exploits a vulnerability in Windows SMB Protocol on port 139 and 445, revealed it. The EternalBlue had as target Windows Server 2008 R2, Windows Server 2008, Windows XP, Windows Vista and Windows 7 (both x 86 platform as x 64).

Types of files it encrypts:

.doc .docx. docb .docm. dot .dotm .dotx .xls .xlsx. xlsm .xlsb .xlw .xlt .XLM .xlc .xltx .xltm .ppt, .pptx .pptm. pot .pps .ppsm .ppsx .ppam .potx .potm .ost .pst .eml .msg. edb .vsd. vsdx .txt .csv .RTF. 123. wks. wk1 .pdf. dwg. onetoc2. snt. hwp. 602. sxi. sti. sldx. sldm. sldm. vdi .VMDK. vmx. gpg. aes. ARC. PAQ. bz2. tbk. bak .tar .tgz .gz. 7z .rar .zip. backup .ISO. vcd .JPEG .jpg .PNG .gif .bmp raw .tif .TIFF .CGM. nef .PSD. Oh. svg. .DjVu m4u .m3u. mid. wma .FLV. 3 g 2. mkv .mov .mp4 .3gp .avi. .MPEG. asf vob. mpg. wmv .fla file .swf. wav .MP3 .sh .jar java .class. rb .php .jsp .ASP. brd. sch. dch. dip pl. vb. vbs .ps1 .bat .cmd. js. asm. pas. cpp c. cs. suo .sln .ldf. ibd. myi. myd. frm. ODB. dbf. db .mdb .accdb. sql. sqlitedb. sqlite3. asc. lay6. lay. mml. sxm. otg. odg. uop. STD. sxd. otp .ODP. wb2. slk. diff. stc .SXC. ots .ODS. 3 DM. max .3ds. uot. stw .sxw. ott .ODT .PEM .p12. csr .CRT. key .pfx. der

Petya/PetrWrap/NotPetya: According to analysis, the Petya the exploit code EternalBlue and also the EternalRomance, uses a remote code exploitation via TCP port 139 and 445 in addition to using PsExec (Sysinternals Windows administration tool that allows you to run commands on remote systems on other systems, with full interactivity and without having to manually install software) and WMI (enables management of network devices and applications from Windows computing systems). Microsoft also confirmed that the first systems were infected through the automatic update mechanism of a Ukrainian third-party software product called M.E. Doc.

The Petya acts when he allowed he administrator encrypts the entire disk and overwrites the Master Boot Record (MBR) and on the other hand, if you do not have administrator privileges, it just starts to encrypt the file types specified:

.3ds .7z .accdb. ai .ASP .aspx. avhd. back .bak. c. cfg file .cpp, .cs. ctl .dbf. disk. djvu .doc .docx .DWG .eml. fdb .gz. hdd. e-mail kdbx. mdb .msg .NRG. well. ost. ova. ovf .pdf. php. pmf .ppt, .pptx. pst. pvi. py. pyc .rar .RTF .sln. sql. tar. vbox .vbs. vcb. vdi. vfd .VMDK .vmc. vmsd. vmx. vsdx. vsv. work .xls .xlsx. xvd .zip

The mode of operation of Petya leads to believe that the attack does not seem to just want to raise money, but rather, that if successful in this otvivesse implementation, is not to find an operating system where the user had required privileges he then leaves for the destruction of the data, in the case of part of the Master Boot Record (MBR).

The machines that were corrected against following the bulletin MS17 holdings-010 or deactivated SMBv1 as kb2696547 were not affected.

Linux/Samba

While the Windows operating system was the target of WannaCry, Linux with Samba installed was exploited by SambaCry, with the same vulnerability in the server message block (SMB) Protocol. Samba is an open source project which I had your first version written at the beginning of 1992 is widely used in Linux and Unix computers so that they can work with files and Windows print services. With him we have a Linux client that can connect to Windows servers or have a Linux server that allows connections from Windows clients. In some scenarios you can still use the Samba as an LDAP server (similar to Active Directory in Windows) and thus authenticating and controlling access to a Windows/Linux network.

SambaCry: Called SambaCry by your resemblance to WannaCry as it tries to exploit the vulnerability of the SMB protocol targeting find a network share that has credentials with read/write permission on a share where then attempts to copy a Linux library that was created with malicious code. Samba through the CVE-2017-7494 reported that "all versions of Samba 3.5.0 from onwards are vulnerable to a remote"

Our environment

We envision a scenario that consists of a server running Windows Server 2016 having the function of Active Directory, a Linux server with Ubuntu Server having the installed Samba (file server) and workstations with Windows 10, Windows 8, 8.1, Windows 7 and Ubuntu Desktop 17.04 all Member of the Windows domain (andreruschel.br).

Figure 1. Small sketch of the environment

Ubuntu Server-Samba in Windows Server Active Directory 2016

So that we can manage permissions to access the directories it is necessary that the server on Linux (Ubuntu Server) is a member of the Active Directory domain Dicrectory.

Access the terminal as root and edit the/etc/hosts file by adding the following content:

server2016 server2016.andreruschel.br 192.168.1.100

Where:

Server IP: 192.168.1.100

Hostname: server2016

Domain: andreruschel.br

Edit the/etc/resolv.conf file adding the following content:

nameserver 192.168.1.100

Search andreruschel.br

Where:

Windows Server IP: 192.168.1.100

Kerberos:

To install the packages on Linux station, open the terminal as root and type:

aptitude install krb5-user libpam-krb5 krb5-config libkrb53 libkadm55

Edit the/etc/krb5.conf file adding the following content:

[libdefaults]

default_realm = ANDRERUSCHEL.BR

dns_lookup_realm = true

dns_lookup_kdc = true

ticket_lifetime = 12:00 am

Forwardable = yes

[realms]

ANDRERUSCHEL.BR = {

KDC = server2016.andreruschel.br

admin_server = server2016.andreruschel.br

default_domain = ANDRERUSCHEL.BR

                }

[domain_realm]

. andreruschel.br = ANDRERUSCHEL.BR

andreruschel.br = ANDRERUSCHEL.BR

Samba and Winbind:

Install the needed packages:

apt-get install samba winbind smbclient samba-common smbfs

Edit the/etc/samba/smb.conf file by adding the following content:

Note that in:

securiy use ads

realm use andreruschel.br

Workgroup = andreruschel

Max log size = 50

Security = ads

password server = server2016.andreruschel.br

realm = ANDRERUSCHEL.BR

idmap uid = 1000-2000000

idmap gid = 1000-2000000

template shell =/bin/bash

template homedir =/home/%U

winbind use default domain = true

winbind enum users = yes

winbind enum groups = yes

winbind separator = +

winbind refresh tickets = yes

winbind nested groups = yes

Edit the/etc/nsswitch.conf file adding the following content where we must inform where it must get login information once, we have users and groups, let's use the following configuration:

passwd: compat winbind

Group: compat winbind

shadow: compat

Configuring PAM

Edit/etc/pam.d/common-auth adding the following content:

auth sufficient pam_unix.so

pam_winbind.so use_first_pass auth required

auth required pam_deny.so

Edit/etc/pam.d/common-session adding the following content:

session required pam_permit.so

session optional pam_winbind.so

session required pam_unix.so

session optional/etc/skel/skel = pam_mkhomedir.so umask 0077

session optional pam_mount.so

Edit/etc/pam.d/common-account by adding the following content:

account sufficient pam_unix.so

account required pam_winbind.so use_first_pass

Restarting the Winbind

/etc/init.d/winbind restart

Testing the Kerberos

We will then test the Kerberos authentication using the user Administrator.

On the Linux server, open the terminal as root and type:

$ sudo Kinit administrator@ANDRERUSCHEL.BR

If you have everything right we have the following result:

Using short domain name--ANDRERUSCHEL

Joined ' FSLINUX ' to ' andreruschel.br ' realm

Still in terminal of the Linux server, as root, we will get a ticket by entering the command klist:

$ sudo Klist

Ticket cache: FILE:/tmp/krb5cc_1000

Default: Administrator@ANDRERUSCHEL.BR

Valid starting Expires Service principal

krbtgt/04/07/17 15:34:06 04/10/18 01:34:09 ANDRERUSCHEL. BR@ANDRERUSCHEL.BR

renew until 04/07/17 15:34:06

Ticket obtained with success!

Joining Linux server in Active Directory

Carried out the initial steps, we will illustrate how to join the Ubuntu Server andreruschel.br Windows Server domain. In the terminal of the Linux server, type:

sudo net ads join-U Administrator

Enter the password for the user Administrator (Windows domain)

To verify winbind can see Active Directory users run the command:

$ sudo wbinfo-u

You should obtain the following result where Active Directory users will be listed:

fslinux\andreruschel

fslinux\anaruschel

fslinux\alexandre

fslinux\eduardo

fslinux\giovana

fslinux\viviani

Guest

Administrator

With your Ubuntu Server member of the Active Directory domain in Windows Server 2016 you can still configure the SeDiskOperatorPrivilege on your Linux server to manage that can manage share permissions directly on the Server Windows Server.

When we have a file server which is a Linux server with Samba installed, you shall function to share directories for Linux and Windows workstations can then access the files on that server. That's exactly where even though you have the Linux server with Samba updated (version 4.6.5) containing shares files that will be consumed by Windows stations shall be vulnerable if the Windows station will be infected by the Wannacry/WannaCrypt. I'm referring to the files shared by the Linux server which are documents with extensions targeted virtual pests, but it cited on the other hand, the Linux server itself, this will not be compromised by the SMB vulnerability due to be with Samba properly updated.

Upgrading Samba

Before you perform this procedure is ideal that you perform the backup of smb.conf file.

Ubuntu Server

Check for new packages available and update the samba package as follows:

$ sudo apt-get update

$ sudo apt-get dist-upgrade

Check which version of Samba that is running:

smbstatus --version

Before you update the Samba, it is necessary to ensure that all dependencies are installed.

For this run:

apt-get install acl attr autoconf build-essential bison \

Debhelper dnsutils xml docbook-xsl docbook-flex gdb krb5-user \

Libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \

Libcups2-dev libcap-dev libgnutls-dev libjson-perl \

Libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl \

Libpopt-dev libreadline-dev perl perl-modules pkg-config \

Python-all-dev python-dev python-dnspython python-crypto \

Xsltproc libgpgme11-dev zlib1g-dev python-gpgme python-m2crypto

Now let's stop the Samba service:

/etc/init.d/samba stop

Downloading and extracting the source files:

wget https://www.samba.org/samba/ftp/samba-latest.tar.gz

tar xzf samba-latest.tar.gz

cd samba-4.6.5

Run:

./configure

make

make install

Restart the service:

/etc/init.d/samba restart

And check if you are already running the updated version:

smbstatus --version

Should return the Samba version 4.6.5

With that you correct the CVE-Samba 2017-7494.

Petya destroys only MBR (Master Boot Record) of hard disk (Disk1)

This test is one of our favorites, where our computer became infected with Petya, which possessed Windows 7 containing two hard drives:

Figure 2. Example of a computer with two hard drives with Petya

Result: The hard drive containing the operating system had your MBR (Master Boot Record) partially destroyed, however the second hard drive had no damage on your MBR (Master Boot Record) or even data has been compromised.

Protecting your data or backup built into Windows and Linux

In our test lab we conduct the procedure of renaming the backup files that have the extensions targets and had some good results:

1- You perform backups on external and internal disk or even to your backup tool generates files with known extensions, which we cite are targets of these variants;

2- Assuming that your backups are on another hard drive and have the extensions 7z, zip, rar or SQL;

3- Include the following script after the execution of our backup tool to rename multiple files at once:

Linux (renaming all files 7z extension directory to. @andreruschel)

Rename's/\ .7z $/@andreruschel/\. ' * .7z

Windows

forfiles/P e:\backup\/c "cmd/c @path rename @fname. @andreruschel"

Where:

e:\backup-where are the backup files

. @andreruschel – extension to be given to the archives

Result: Note that we rename all files to .@andreruschel before infecting with Wannacry/SambaCry and PetrWrap/NotPetya/Piotr:

Figure 3. Renamed files before the Wannacry/WannaCrypt

After infection with Wannacry/WannaCrypt/SambaCry/PetrWrap/NotPetya Petya and the files were not encrypted because the . @andreruschel extension is not part of the extensions targets.

Once this is done, simply remove the hard drive and put in another computer and run the following script to rename all the files to 7z again:

Windows

forfiles/P e:\backup\/c "cmd/c @path rename @fname .7z"

Figure 4. Renamed files after Wannacry/WannaCrypt

Result: After the process cited all files were intact.

Final analysis and new challenges

In our analysis we take into consideration a mixed environment and interoperable, but regardless of whether you have a Windows or Linux only environment, you should always keep your operating systems and other suites or applications properly updated.

All virtual pests cited operating in one way or another systems vulnerabilities in that administrators do not have the proper security updates. We believe that these problems will not stop here and without a doubt it is essential we are constantly planning for the next attack will come.

Study links:

bit.ly/ruschelms17010

bit.ly/ruschelsmb

bit.ly/ruschelwannacrypt

bit.ly/ruschelpetya

bit.ly/ruschelupdates

bit.ly/ruschelsamba

bit.ly/ruschelcifs

bit.ly/ruschelcve20177494

bit.ly/ruschelsambaupdates

André Ruschel is researcher, IT speaker, Forensic computer scientist, entrepreneur, author several books, MVP Cloud and Datacenter Management, specialist in interoperability and inventor of ThinEco Cardboard Computer.

Tech Tour Universitário Microsoft no IFF Panambi-RS

Na noite de ontem estivemos no IFF de Panambi-RS levando o Tech Tour Universitário, um evento do Programa MVP - Microsoft Valuable Professional que tem o objetivo de educar, influenciar e criar relacionamentos entre alunos, professores e profissionais da área. O evento abordou conteúdos técnicos e experiências profissionais.

Tivemos palestra do Rafael felipe e Marcel Goldhardt que são profissionais da Dell, além a minha palestra sobre nossas experiências profissionais.

Agradeço a todos que participaram em especial a Professora Sirlei que sempre realiza eventos fantásticos no IFF Panambi.

Configurando atualizações do Windows Server 2016

O servidor precisa estar sempre com as últimas atualizações, sejam atualizações de segurança, correções do sistema e outros que a Microsoft vai disponibilizando.

Para manter o Windows Server 2016 atualizado devemos configurar o Windows Update, o qual é um recurso que permite ao administrador do sistema fazer downloads de atualizações que a Microsoft vai disponibilizando.

Ao acessar o Windows Update o administrador pode verificar ou procurar atualizações, alterar configurações, exibir histórico de atualizações e ainda restaurar atualizações ocultas.

No Windows Server 2016 temos alguns métodos para configurar os updates.

Método 1 – Usando o sconfig

1) Acesse o executar > digite sconfig.

2) Pressione 5 para acessar a Configuração do Windows Update.

Selecione a forma como deseja definir o update onde:

Pressione A para atualizações automáticas onde nesse caso todas as atualizações serão baixadas e executadas.

Pressione D para realizar somente o download dos updates e posteriormente você poderá instalar os que você achar pertinente.

Pressione M para realizar o download manual de updates.

Método 2 – Usando Editor de política de grupo local

1) Para acessar o editor, abra o executar > digite gpedit.msc

2) Navegue em Configuração de computador > Modelos Administrativos > Componentes do Windows > Windows Update > dê um duplo clique sobre Configurar atualizações automáticas.

3) Marque a opção Habilitado.

4) Em configurar atualização automática temos algumas opções. Selecione a que melhor atender a sua necessidade.

Especifique ainda o melhor dia da semana e horário.

Você ainda pode realizar o update do Windows Serverutilizando o WSUS no Windows Server 2016.

Olá Windows Insiders!

A Microsoft lançou uma nova versão da versão do Windows Server vNext Long-Term Servicing Channel (LTSC) que contém tanto a Experiência Desktop quanto o Server Core em todos os 18 idiomas do servidor, bem como uma nova compilação do próximo Windows Lançamento do canal semianual do servidor.

Existem duas áreas principais que gostaríamos que você experimentasse em cada versão de pré-lançamento e relatasse qualquer problema:

• In-place OS Upgrade (Atualização do sistema operacional no local) (do Windows Server 2012 R2, Windows Server 2016)
• Application compatibility (Compatibilidade de aplicativos) - informe-nos se alguma função ou aplicativo do servidor parar de funcionar ou se não funcionar como costumava.

O que há de novo na última compilação? 
Clique aqui para ver a lista completa de novos recursos introduzidos em versões anteriores.
 
Atualizações no local
 
A atualização in-loco permite que um administrador atualize uma instalação existente do Windows Server para uma versão mais recente, mantendo as configurações e os recursos instalados. As versões e edições do LTSC do Windows Server que são suportadas para atualização in-loco são mostradas na tabela a seguir.

CURRENTLY INSTALLED OPERATING SYSTEM	AVAILABLE UPGRADE VERSION & EDITION
Windows Server 2016 Standard	Windows Server 2019 Standard or Datacenter
Windows Server 2016 Datacenter	Windows Server 2019 Datacenter
Windows Server 2012 R2 Standard	Windows Server 2019 Standard or Datacenter
Windows Server 2012 R2 Datacenter	Windows Server 2019 Datacenter

Convido você a testar agora o novo Windows Server.

https://insider.windows.com/en-us/for-business-getting-started-server/

Como foi Interop 360 – Road Show não para!

No final de 2017 começamos a pensar em um evento que pudesse levar o formato do Interop para outras regiões do Brasil e criamos o Interop360.

Focando sempre em tecnologias Microsoft e também Open Source o evento tem um core técnico para profissionais de TI nas regiões onde passamos.

Dia 14/03/2018

Interop360 em Joinville/SC

Dia 15/03/2018

Interop360 em Blumenau/SC

Dia 16/03/2018 – Florianópolis/SC

Obrigado a todos que compareceram nos eventos!