Tag Archives: Windows

Installere Windowsdomeneskriver på Ubuntu, OSX og Windowsmaskiner utenfor domenet

Det hender seg man trenger å skrive ut på en skriver i et windowsdomene, selv om maskinen man sitter på ikke med i domenet. Hvis man da i tillegg vil at kun autentiserte brukere skal kunne skrive ut må man ty til noen triks.

Windows

Dette er den enkleste metoden jeg har funnet for Windows. Hvis noen vet om en enklere metode, tar jeg gladelig mot tips. Min erfaring er at uansett hva man gjør for å få dette til å fungere på Windows, så er løsningen midlertidig.

Ved hjelp av et vbs-skript kan man først koble seg til det skjulte området IPC$ på skriverserveren, deretter installere skriveren. Skriptet finnes i utallige varianter på nett. Denne versjonen kaller opp IE for at passord skal kunne tastes skjult, deretter fjerner skriveren for så å legge den inn på nytt.

Dim objIE
Set objIE = CreateObject( “InternetExplorer.Application” )
objIE.Navigate “about:blank”
objIE.Document.Title = “Ditt Brukernavn og Passord”
objIE.ToolBar        = False
objIE.Resizable      = False
objIE.StatusBar      = False
objIE.Width          = 290
objIE.Height         = 250
With objIE.Document.ParentWindow.Screen
objIE.Left = (.AvailWidth  – objIE.Width ) \ 2
objIE.Top  = (.Availheight – objIE.Height) \ 2
End With
objIE.Document.Body.InnerHTML = “<DIV align=””center””><P>” & “Brukernavn” _
& “</P>” & vbCrLf _
& “<P><INPUT TYPE=””text”” SIZE=””20″” ” _
& “ID=””Brukernavn””></P>” & vbCrLf _
& “Passord” _
& “<P><INPUT TYPE=””password”” SIZE=””20″” ” _
& “ID=””Password””></P>” & vbCrLf _
& “<P><INPUT TYPE=””hidden”” ID=””OK”” ” _
& “NAME=””OK”” VALUE=””0″”>” _
& “<INPUT TYPE=””submit”” VALUE=”” OK “” ” _
& “OnClick=””VBScript:OK.Value=1″”></P></DIV>”
objIE.Visible = True
Do While objIE.Document.All.OK.Value = 0
WScript.Sleep 200
Loop
on error resume next
Set WshShell = Wscript.CreateObject(“WScript.Shell”)
Set oNet = WScript.CreateObject(“WScript.Network”)
oNet.RemovePrinterConnection “\\dinserver.dittdomenenavn\DinSkriver”
wshshell.run “net use /DELETE * /YES”
oNet.MapNetworkDrive “”,”\\dinserver.dittdomenenavn\IPC$”,False,”dittdomenenavn\” & objIE.Document.All.Brukernavn.Value, objIE.Document.All.Password.Value
oNet.AddWindowsPrinterConnection “\\dinserver.dittdomenenavn\Navn på skriver”,”Nøyaktig drivernavn feks: RICOH Aficio MP C6000 PCL 6″
oNet.SetDefaultPrinter “\\dinserver.dittdomenenavn\Navn på skriver”
objIE.Quit
Set objIE = Nothing

Det hender seg at dette ikke fungerer på første forsøk. I tilfeller har omstart av Windows løst problemet. Etter at skriveren er installert fungerer den gjerne ikke lenge. Jeg er usikker på hva som gjør at dette slutter å fungere, men det kan være for eksempel tilkoblinger til andre nett, omstart, bytting av passord, dvale med mer.

Merk at hvis driveren angis som i tilfellet her, må driveren hete nøyaktig det samme som det vises til i .inf-fila til skriveren. Du kan også finne dette drivernavnet ved å gå gjennom en installasjon av skriveren manuelt.

OSX

Denne er skrevet etter husk, så småfeil kan forekomme. Prinsippet er riktig. Litt enklere løsning enn på Windows, da denne løsningen ikke slutter å fungere med ujevne mellomrom.

Velg System, Skrivere og klikk på lås for å låse opp. Klikk på liten pluss for å legge til skriver.

Du trenger en ny knapp på verktøylinjen som heter “Avansert”. Den finner du ved å Ctrl+klikke på verktøylinjen og velg “Tilpass”. Klikk og dra Avansert-knappen til verktøylinjen.

Klikk Avansert og velg Windows-skriver som blir på adresse smb://dinprintserver.dittdomene/DinSkriver

Velg type og driver. Hvis driveren du trenger ikke er listet kan du a) forsøke en driver fra skriverprodusentens hjemmeside eller b) bruke Generic PCL eller Generic PS. Jeg har hatt mest hell med Generic PCL.

Etter at det blir skrevet ut kommer det en hoppetuss-skriver på verktøylinjen, man må da klikke på “Fortsett”, og man får spørsmål om brukernavn og passord. Brukernavn er på formen DITTDOMENE/brukernavn.

edit 24.08.2012:

Hjelp! Metoden fungerer ikke lengre! OSX ber nå om brukernavn og passord idet det trykkes skriv ut. Hoppetuss-skriveren dukker opp like etterpå, og jobben står som Stoppet midlertidig (godkjenning kreves). Etter at jeg klikker Fortsett går skriverjobben i heng og PrinterProxy må tvangsavsluttes. Med mindre det er meningen dette skal ta mer enn et kvarter.

/edit

Ubuntu

Enklest løsning, rett frem: System, Administrasjon, Skrivere. Klikk Legg til, og velg Nettverksskriver, Windows-skriver via SAMBA. Tast inn dinprintserver.dittdomene/DinSkriver. Velg modell og driver fra listen, eventuelt “Søk for nedlasting” hvis den ikke ligger der. Når du skriver ut får du spørsmål om brukernavn og passord. Brukernavn er på formen DITTDOMENE/brukernavn.

Dim objIE
Set objIE = CreateObject( “InternetExplorer.Application” )
objIE.Navigate “about:blank”
objIE.Document.Title = “Ditt Brukernavn og Passord”
objIE.ToolBar        = False
objIE.Resizable      = False
objIE.StatusBar      = False
objIE.Width          = 290
objIE.Height         = 250
With objIE.Document.ParentWindow.Screen
objIE.Left = (.AvailWidth  – objIE.Width ) \ 2
objIE.Top  = (.Availheight – objIE.Height) \ 2
End With
objIE.Document.Body.InnerHTML = “<DIV align=””center””><P>” & “Brukernavn” _
& “</P>” & vbCrLf _
& “<P><INPUT TYPE=””text”” SIZE=””20″” ” _
& “ID=””Brukernavn””></P>” & vbCrLf _
& “Passord” _
& “<P><INPUT TYPE=””password”” SIZE=””20″” ” _
& “ID=””Password””></P>” & vbCrLf _
& “<P><INPUT TYPE=””hidden”” ID=””OK”” ” _
& “NAME=””OK”” VALUE=””0″”>” _
& “<INPUT TYPE=””submit”” VALUE=”” OK “” ” _
& “OnClick=””VBScript:OK.Value=1″”></P></DIV>”
objIE.Visible = True
Do While objIE.Document.All.OK.Value = 0
WScript.Sleep 200
Loop
on error resume next
Set WshShell = Wscript.CreateObject(“WScript.Shell”)
Set oNet = WScript.CreateObject(“WScript.Network”)
oNet.RemovePrinterConnection “\\dinserver.eventuelltdittdomenenavn\DinSkriver”
wshshell.run “net use /DELETE * /YES”
oNet.MapNetworkDrive “”,”\\dinserver.eventuelltdittdomenenavn\IPC$”,False,”hedmark\” & objIE.Document.All.Brukernavn.Value, objIE.Document.All.Password.Value
oNet.AddWindowsPrinterConnection “\\dinserver.eventuelltdittdomenenavn\Navn på skriver”,”Nøyaktig drivernavn feks: RICOH Aficio MP C6000 PCL 6″
oNet.SetDefaultPrinter “\\dinserver.eventuelltdittdomenenavn\Navn på skriver”
objIE.Quit
Set objIE = Nothing

Legge til klientskriverdrivere på Windows-serveren

Jeg klarer nok ikke fullføre denne saken uten å sparke litt til Windows, så jeg kan like gjerne sparke med en gang. Noe så fjernt som at man fortsatt (i 2010) må laste ned drivere til skriveren fra produsentens hjemmeside i mange tilfeller, HALLO? Det er ikke mindre enn merkelig at Windows på dette området har kommet milevis kortere enn en lang rekke linuxbaserte operativsystemer. Selv kjører jeg Ubuntu, og installasjon av en skriver er stort sett klikk-klikk-ferdig. Selv en domenenettverksskriver for Windows (kjører på Windows 2003-server, men kunne like gjerne vært 2008-server) er en smal sak og krever ingen leting på produsentens hjemmesider. Dette er enda en av årsakene til at jeg anbefaler å kjøre Ubuntu eller andre GNU+Linuxalternativer i stedet for Windows.

Virkeligheten derimot tilsier at vi som jobber med IKT ofte må administrere Windowsmaskiner, og sånn er det med det. Det er forresten også sånn at jeg mener IKT burde ha langt mindre makt over hva slags operativsystem som skal kjøres enn de har i dag. Hører ofte argumentet mot å kjøre Ubuntu at “IKT-avdelingen ikke har kompetanse”. Vel så skaff kompetanse da, det er jobben. Skjerpings.

Greit. Ferdig sparket. For i dag. Så til saken. Har du opplevd at driveren til nettverksskriveren i active directory ikke finnes på serveren? Jepp, ganske ofte her også. Bare at det er ingen grunn til å legge inn driveren på hver enkelt klient, men bare en gang inn på serveren. En gang pr variant av driveren som trengs da selvfølgelig. Fremgangsmåten står på Microsoft sine sider, men jeg har sett folk søke seg i hel og når de endelig fant en løsning så ramlet de av før de fikk startet. Så her kommer den, enkelt og greit.

1. Installasjon av skriverdriveren må gjøres fra en klient i domenet.

2. Kjør kommandoen runas /user:dindomeneadministrator@dittdomene mmc

3. Velg legg til/fjern snap in modul og velg Utskriftsbehandling (eller print management)

4. Skriv inn eller velg printserveren din, og bla deg inn til Drivers.

5. Legg til driveren

Done. Sånn, håper det lettet jobben til en eller annen.

Norwegian police force computers may be hacked more than once

If you still want to use Windows for your home computer, that is OK, because its only your own data and it will not affect many users if you get hacked. Last, but not least, its you, not the tax payers that have to spend money fixing it when it happens. Windows may also run some of your games best.

One public service after another gives away the control over their computers to criminal hacker groups. The list keeps getting longer and includes military defence, police force, hospital and other critical institutions. All of the infected computers running Windows, and it seems to be a global issue.

Make no mistake about this – when a computer is infected with malware, it’s all up to the writer of the malware to decide what should be done. Usually the goal is creating a large botnet, but it could just as easily erase all data on the computer, or even upload data from the computers to an internet server. Or just implement a backdoor for later use.

The Norwegian police’s computers has been infected with Conficker a few days now, and they try to calm down people with saying that this was not a targeted attack. Right. THIS what not at targeted attack, but the fact that this automatic attack uses a well known security hole, with published PoC and everything you need means that anyone with the ability to use Google could create their own attack in 1-2-3.

How to hack unpatched computers in 1-2-3:
1.Select your favourite exploit, you can find hundreds of them.
2.Copy and paste the proof of concept code into your little malware
3.Attack and hide.

What we know is that bots have been walking around inside our police offices, and the reason is that the doors has not been locked. The same doors have been open for anyone, who else has been inside since October? We could never know…

If you do this targeted, you will remain undetected for a LONG time unless you screw anything up. The antivirus software will not detect a targeted attack, because they only look for known malware signatures. You know; I bet that the IT-department of some of the institutions that have had their doors unlocked for months now didn’t even reinstall everything on all the computers that have remained unpatched for months, but only removes the malware and updates Windows. So if you hacked the computers a while ago, you can still remain undetected. The doors may be locked now, but you already created your own well hidden backdoor.

How to stay undetected in 1-2-3:
1.Hide your backdoor in existing files
2.Do not mess with anything. Make a copy and mess with the copy.
3.Do not remote control a computer while its in use

Oh, another thing. The Norwegian police force states that they still are working with removing Conficker (Monday afternoon). I hope they don’t have any of the unpatched computers connected to anything, because these are open as a open door as we speak, or type, or read. I mean; I type – You read.

This is really serious. Systems so targeted for malware, and so hard to maintain should not be used by public sector. Yes, I say hard to maintain. If you installed Debian in 1996, you could still run it and have it patched. If you run Windows from 1996, you have to have reinstalled at least once, preferably twice, and bought new hardware at least once, again preferably twice.

Another issue is, that swapping to Linux for public sector would not only be safer, but also cheaper and more reusable.

Many countries are already doing this with success, so why shouldn’t we all? The French police are migrating all 90.000 workstations by 2015, and even if they only moved 5.000 so far, they have saved 50.000.000 Euro in licensing and maintenance costs.

Cheaper, safer, simpler, better. Who decides that we still stick with Windows? This is a political matter, and politicians say go open source, yet (almost) nothing happens.

The work with getting rid of closed source in public sector needs to accelerate before public sector is owned by hackers or script kiddies.

Who would like to hack the police, or the hospitals? I can think of a few groups:
1.The botnet makers
2.Criminals looking for stuff to blackmail others on
3.Kids fooling around

I guess there are more groups, but this should be enough to start locking the doors. Right?

Datasikkerhet er en vits, bruk hjelm

Jeg har sagt det før, og jeg kan si det igjen. Datasikkerhet er en vits. Passordet på datamaskinen din er en gummistrikk som lås på skuffen hvor du oppbevarer viktige papirer. Nøkkelen til det trådløse nettverket ditt er en kost på døren. Trafikken som sendes over nettverket ditt er sammenbrettet papir. Alt dette bør du være klar over når du bruker IKT.

Det som er hakket værre er at Windows-maskinen din kan tas over og fjernstyres til hva som helst. Det som er enda værre er at mange sykehus, millitærdivisjoner, banker og andre enheter som man ville forvente var sikret mot slikt gang på gang blir tatt over av kriminelle.

Nettopp ble det kjent at opp til 100 millioner bankkontoer har blitt stjålet fra Heartland Payment Systems. Heartland vet foreløpig ikke hvor mange av disse kontoene som har blitt misbrukt, men sikkerhetseksperter uttaler at man må regne med at all data er kompromittert, inntil det motsatte er bevist. Hva skjedde? Jo, det var det samme igjen, en Windows-boks har blitt infisert av ondvare og spist seg inn i nettverket som utfører transaksjonene. Ondvaren brukte et sikkerhetshull i Windows som nå er tettet. Samtidig vokser konfigurasjonspulern (tysk: conficker) seg stadig større og har nå nådd over 9 millioner datamaskiner. Spredningen av denne ormen utføres på flere måter. En av spredningsmåtene er gjennom sikkerhetshullet i Windows Server service, som ble tettet av Microsoft i oktober. Desverre er det mange som ikke har fått oppdatert maskinen sin siden da, og får viruset bare ved å være tilkoblet internett.

En annen spredningsmetode er gjennom eksterne lagringsenheter, noe som minner meg om gamle dager. Det viser seg at ved å benytte en infisert USB-disk eller lignende vil viruset i mange tilfeller komme seg inn på datamaskinen, bare ved at du klikker vis filene på enheten, eller klikker på ikonet for flyttbar disk i Windows Utforsker.

Du bør følge Microsofts råd, og eventuelle nye oppdateringer av saken.

Conficker utnytter et gammelt sikkerhetshull, og skaden har antakelig blitt betydelig begrenset av ondvareforfatterens treghet. Alle ormens mekanismer kunne vært skrevet ferdig og lagt på vent til et sikkerhetshull ble avdekket, og blitt lansert måneder tidligere. Kildekoden til hvordan man utnytter Windows server service hullet har vært tilgjengelig for hvem som helst siden oktober. Enkelte miljø har visst om metoden for å utnytte hullet siden mai.

Det vi har sett nå er ingenting. En dag får vi en orm med like gode spredningsegenskaper som utnytter et par av de hundrevis av utettede hullene. Bare Zero Day Initiative lister 15 utettede Microsoft-hull, og litt færre hull hos mange store programvareleverandører. Enkelte av dem har leverandøren blitt varslet om for flere år siden. Zero Day Initiative er de snille, de slemme lister ikke hullene de finner. Antall tettede hull har ingen betydning, det er antall ikke tettede hull som teller.

På det tidspunktet er man prisgitt at forfatteren av ondvaren «bare» forsøker å lage et nytt botnet, og ikke har til hensikt å ødelegge, stjele eller frigi data som måtte finnes hos den infiserte.

Inntill videre, så lenge linux går klar av all levende ondvare, holder jeg meg til det. En dag kommer det vel litt mer hit, men for nå, og de siste årene har jeg kunnet drikke kaffe og slappe av, mens de andre har hatt velbegrunnet panikk. Bruk hjelm når du sykler, bruk bilbelte når du kjører og bruk linux når du surfer. Lykke til!

Linker:
US-CERT: Microsoft Windows Does Not Disable AutoRun Properly
VG: Norske bankkort undersøkes etter kortsvindel
VG: Hacket flere millioner bankkort
digi.no: Conficker har smittet ni millioner
dinside.no: sikrer deg mot nettyveriKommentar: Tja, ikke helt, og du utsetter USB-lagringsenheten din for infeksjon av skadelig programvare.

Verdens beste tegneprogram for barn

Har du barn? Har du gitt dem Tuxpaint? Hvis ikke kan du installere det med en gang, for dette er morsomt for de minste. Det passer perfekt for barn i alderen 5-10 år, men kan være morsomt uansett alder. Funksjoner som magi og stempel gjør at man kan lage avansert kunst, bare med noen klikk. Her ser du noen eksempler på hva Elise (5) har laget.

Laget i Tuxpaint av Elise (5)
Laget i Tuxpaint av Elise (5)

Hvis dine barn bruker Ubuntu kan du bare gå på «Legg til/Fjern» under «Programmer» og velge Tuxpaint. Bruker dem Windows eller Macintosh kan du gå til www.tuxpaint.org og laste det ned der. Sørg for å få med en samling med ekstra stempel hvis du ikke har Ubuntu.

Hvis du skulle ønske å lage egne stempel i tillegg kan du gjøre dette i GIMP eller Photoshop. Det er ikke så vanskelig:
Skalér ned bildet hvis det er for stort
Legg til en alfakanal
Slett alt som ikke skal være med, slik at det blir gjennomsiktig
Lagre bildet i en egen mappe hvor resten av stemplene er lagret, i Ubuntu er det /usr/share/tuxpaint/stamps/