MyEgo.cz - Radek Hulán webzine

Microsoft dnes vydal zcela nečekaně a mimo obvyklý měsíční plán kritickou bezpečnostní záplatu na veškeré verze Windows, počínaje Windows 2000, přes Windows XP, po Vista a Vista x64 (zde je mimochodem bezpečnostní záplata charakterizovaná jen jako Important, nikoliv Critical) a Windows 2008 Server.

V čem je chyba? This security update resolves a privately reported vulnerability in the Server service. The vulnerability could allow remote code execution if an affected system received a specially crafted RPC request. The security update addresses the vulnerability by correcting the way that the Server service handles RPC requests.

Takže doporučuji okamžitě aktualizovat...

Na hlavním PC s ultrarychlým diskovým polem s Adaptec SAS/SATA-3405 řadičem jsem přešel na BitLocker. BitLocker zde šifruje zhruba 3.5TB dat pomocí AES-256 s difuzorem, a po více než měsíci používání je zde mimořádná spokojenost s rychlostí i spolehlivostí.

Dříve jsem používal PGP Whole Disk Encryption 9.x a TrueCrypt 6.0a, to jsou jednoznačně horší řešení.

BitLocker na HP 6710b notebooku

Protože jsem s BitLockerem spokojen, chtěl jsem jej nasadit i na notebook. Je to HP 6710b s T7300 CPU (2.0GHz), 4GB RAM a rychlým 200GB Seagate 7200rpm diskem. Jako operační systém používám Vista Business x64 SP1 CZ (OEM).

HP k tomuto notebooku dodává šifrování bootovacího disku, dokonce využívající pro uložení šifrovacího klíče vestavěný TPM chipset, a to pod názvem HP SafeBoot. Veškeré potřebné drivery a instalační sady si můžete v nejnovější verzi stáhnout z webu HP Support.

HP je mimochodem jedna z nemnoha společností, které od počátku podporují 64bitovou verzi Windows Vista, ostatní výrobci se teprve nyní pomalu přidávají.

Předpokládal jsem, že upgrade Business x64 (OEM) SP1 CZ -> Ultimate x64 SP1 CZ bude triviální, zadám nové licenční číslo, systém se přes internet aktivuje, doinstaluje pár komponent, které tvoří rozdíl mezi Business a Ultimate edicí, a bude hotovo.

Bohužel, tak jednoduché to není.

Po zadání licenčního čísla Ultimate edice (retail balení) systém nahlásí, že toto číslo nejde použít. To samé nastane, když spustím setup.exe z instalačního DVD z Windows, a to samé pokud z tohoto DVD nabootuji. Možná je pouze čistá instalace. Bohužel jediná možnost jak provést upgrade Business -> Ultimate je za pomoci speciálního Anytime Upgrade DVD.

Pokud nemáte k dispozici toto speciální DVD, není možné provést upgrade, jen čistou instalaci Windows a následně všech programů :-(

Před pár dny jsem odstranil ze svého diskového pole TrueCrypt 6.0a, protože to mělo nepěkný dopad na výkon při praktickém používání více aplikací a dal tam Microsoft Bitlocker, který je ve Vista Ultimate x64 SP1. K mému velkému překvapení je BitLocker výrazně rychlejší při drasticky nižší zátěži CPU. Vše na Q6600@3GHz, 8GB RAM, 4x500GB HDD na Adaptec 3405 RAID-5.

Takto vypadá BitLocker s AES-256 + diffusor:

Microsoft BitLocker je rychlý a nezatěžuje CPU

Definici klávesnice je možné ve Windows 2000, XP a Vista (včetně 64bitové verze) libovolně uživatelsky upravovat pomocí Scan Code Maps. Popisuje to tento dokument Microsoftu a zde si můžete stáhnout seznam Scan Codes pro jednotlivé klávesy.

Okamžitě se nabízí použití pro vypnutí CAPS LOCK klávesy, většinou neužitečné. Problém je zde ono slovo "většinou", občas se CAPS LOCK může hodit. Osobně používám poněkud inteligentnější řešení než primitivní vypnutí CAPS LOCK (jak je propaguje Živě.cz), a to přemapování CAPS LOCK klávesy na stisk AltGr (takže můžete psát znak zavináč pomocí přemapovaného CAPS LOCK + 2) a namapování původní funkce CAPS LOCK na jinak zcela neužitečnou klávesu SCROLL LOCK.

Takto bude vypadat definice Scancode Maps (pro libovolnou verzi Windows):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=hex:00,00,00,00,00,00,00,00,03,00,00,00,\
                   38,e0,3a,00,3a,00,46,00,00,00,00,00

Pokud se s tím nechcete psát do regeditu, můžete si rovněž stáhnout soubor capslock.reg a importovat jej do registrů kliknutím na něj.

Jak to funguje?

Prvních 4+4 bajtů je vynulovaná hlavička (tedy 8x hex:00 hodnota), následuje čtyřbajtový počet přemapování (v tomto případě hex:03 00 00 00, počítá se i terminátor), poté jsou vlastní přemapování kláves  (vždy po 2+2 bajtech, vše formát Little Endian) a celá sekvence je ukončena čtyřbajtovou nulou (terminátor).

Přemapována je tedy klávesa 0046 na 003A , což je SCROLL LOCK na CAPS LOCK, a 003A na E038, což je CAPS LOCK na AltGr. Pokud si chcete upravit chování jiných kláves, postačí prostě doplnit či změnit tyto Scan Codes a je to hotové.

Na mapování kláves pomocí Scancode Map existuje i grafická utilitka KeyTweak.

Otestoval jsem nasazení TrueCrypt 6.0a šifrování na svém diskovém poli tvořeném ze 4x Hitachi 500GB pevných disků v RAID-5 zapojení (výsledná kapacita je tedy 1.5TB), na dedikovaném Adaptec 3405 SAS/SATA PCIe řadiči.

Výsledek v HD Tune je poměrně zajímavý, pokles průměrné rychlosti čtení je z 163 MB/s na 122 MB/s, což je velice dobré, ovšem za cenu zvýšení zátěže CPU z 3.5% na 43%. Při testu se mimochodem procesor nedostal ze snížené frekvence 2.0GHz (Intel Speedstep), jeho maximální takt je jinak 3.0GHz, a ani TrueCrypt 6.0a jej tedy neumí zatížit na 100%.

Ale to je nakonec dobře, při frekvenci procesoru 3.0GHz by zatížení samotným TrueCryptem dosáhlo na zhruba 28%, a 72% zůstává stále pro ostatní procesy, při rychlosti čtení ze šifrovaného disku 122 MB/s.

Troufnu si tvrdit, že toto zdržení nemáte při běžných operacích (kromě editování HD videa, ale to není nutné šifrovat) poznat.

Jen si uvědomte, že celá bezpečnost zde stojí a padá na složitém hesle, neexistuje bohužel podpora pro TPM či eToken.

Update: Microsoft BitLocker je mnohem rychlejší než TrueCrypt

Adaptec 3405 + 4x HDD bez TrueCryptu

Sehnat nejnovější ovladače pro Aladdin eToken je na první pohled docela problém. Výrobce je nemá na webu, odkáže vás jen na prodejce, a autorizovaní prodejci nemají veřejně také nic.

Troška hledání na Google ovšem odhalí veřejně přístupné FTP ftp.ealaddin.com, kde je dostupný PKI klient pro Vista x86 i Vista x64. Jenže veškeré soubory používají heslo :-) Bezvadný servis klientům...

Naštěstí existují dobří lidé, kteří nabízejí drivery i bez hesla, na rozdíl od debilů z Aladdinu:

• PKIClient-x32-4.55.zip
• PKIClient-x64-4.55.zip

Druhá možnost je stáhnout si ovladače z ruského zastoupení Aladdin.ru, tam už nepracují debilové a ovladače neheslují.

Šifrování pevného disku je základní věc pro kohokoliv, kdo chce chránit svoje data před nepovolanými osobami. Dříve jsem používal PGP Desktop s Whole Disk Encryption, částečně použitelný je i TrueCrypt (ten ovšem neumí šifrovat bootovací disk, registry, atd.), ale ve Windows Vista x64 Ultimate jsem přešel na vestavěný BitLocker.

Šifrovat disk je absolutní nutnost pro notebook, který může být snadno odcizen, ale smysl to má i pro desktopová PC.

BitLocker je výborný systém. Je velice snadný na používání, je mimořádně rychlý (nijak viditelně nezpomaluje PC), disponuje solidní příkazovou řádkou a dobrou možností recovery dat. BitLocker používá AES-128 či AES-256 šifru s difuzorem, šifrovací klíč může být uložen na USB disku či v TPM modulu s PINem (popřípadě v kombinaci, což je nejbezpečnější).

Jak BitLocker funguje

BitLocker je standardně schopen šifrovat celý bootovací disk. Dodává se s utilitou nazvanou Nástroj BitLocker Drive Preparation Tool, která umí automaticky defragmentovat systémový disk, zmenšit jej o 1.5GB, udělat z tohoto volného místa nový oddíl (defaultně mu přiřadí písmeno S:), a na něj nakopíruje bootovací soubory pro Windows Vista. Celý hlavní oddíl (C:) je poté zašifrován.

Šifrovat můžete i více disků, ale je pro to nutné použít příkazovou řádku, grafické rozhraní funguje jen na hlavní bootovací disk (ve Windows Vista SP1 má být klikací grafické rozhraní doplněno i pro další disky, ale to není podstatné, funguje to i dnes).

Výhoda šifrování celého disku, oproti EFS šifrování obsahu souborů (které bylo již ve Windows XP) je v tom, že není pro nepovolené osoby přístupná ani struktura disku, šifrovaná je i MFT tabulka, swap file, registry, a celý disk vypadá jako změť náhodných dat.

BitLocker zapnutý pro dva pevné disky

Podstatné také je, že BitLocker zcela transparentně podporuje šifrování nejen jednotek disků, ale i RAID-0, 1, 5, 10 diskových polí na libovolném řadiči. Obecně pole, na nějž je možné instalovat Windows Vista, je možné také zašifrovat pomocí BitLockeru.

Setkal jsem se s jedním programem na Vista x64, který veškeré své instalační soubory vytvářel pod SYSTEM účtem, bez možnosti k nim přistupovat uživatelem či administrátorem. Nepomohlo ani spustit správce souborů pomocí "Spustit jako správce".

Ten samý program při upgrade poté různě kolaboval a protestoval, asi sám nemohl přistupovat k souborům, co dříve vytvořil. Souborů bylo mnoho, a nastavovat jim jednotlivě vlastníka a práva přes pravé tlačítko myši v Exploreru nabylo možné.

Pokud se setkáte s tímto problémem, vyřeší jej dva příkazy na příkazové řádce. Jedná se o takeown, který změní vlastníka souboru, a icacls, který nastaví práva. Pro nastavení práv a změnu vlastníka všech souborů z adresáře a podadresářů na NOTEBOOK\rADo můžete použít následující:

takeown /F * /R /U "rADo" /S "NOTEBOOK"
icacls * /grant rADo:(F) /C /T /Q

Poté si se soubory můžete už dělat co chcete.

Windows Vista ve verzi Ultimate x64 CZ používám zhruba rok, tedy od jejich oficiálního uvedení, a rozhodně se nechci vracet zpět či přecházet na jiný systém. Jedná se o současný nejlepší operační systém, pokrok XP -> Vista je obdivuhodný a já jsem 100% spokojen.

Některé změny ve Windows Vista oproti XP nemusí být pro laika vidět na první pohled, jako x64 kernel (ve verzi SP1 mimochodem shodný s Windows 2008 Server, tedy systémem stavěným na 365/24/7 provoz), s vysokou bezpečností, vynikající správou paměti, user-mode ovladači, zatímco jiné funkce jako Aero, integrované vyhledávání či povedené aplikace Mail, Movie Maker, Media Center či Complete PC Backup jsou viditelné všem.

Výbornou věcí u Vista x64 je paradoxně nižší kompatibilita - kompilace jen pro moderní CPU s 64bitovou podporou, zahození podpory pro 16bitové aplikace a požadavek na podepsané 64bitové ovladače znamená, že za dlouhá léta nahromaděný balast (díky zachování zpětné kompatibility) už Vista x64 tolik neomezuje.

Samozřejmě to chce ale slušný hardware... Na hlavním PC mám quadcore procesor, rychlé diskové pole a 8GB RAM, a díky Vista x64 mohu mít spuštěno 20 rozsáhlých aplikací zaráz, virtualizovaně Linux a Solaris, a zvýšit svoji produktivitu.

Nakonec mi vyhovuje i nové GUI Windows Vista, které přináší (podobně jako Office 2007) inovativní a konfigurovatelné prostředí. Aero je dobrý kompromis mezi neužitečnou přeplácaností (jako jsou 2cm široké stíny oken na OS X) a působivým designem, kromě absolutní stability a vysokého výkonu je prostě příjemné pracovat v hezkém prostředí.

Poprvé jsem také začal místo svých adresářů v rootu disku používat i složky souborů v mém uživatelském adresáři. V uživatelské složce mám tak doplněnou hromadu dalších adresářů, některé z nich (Data) se pomocí symlinků či junctions odkazují na často otevírané lokace (od adresáře pro export SQL databáze, až po odkazy na hosts, který často edituji), a všechno je tak rychle přístupné a snadno zálohovatelné.

pracovní plocha Vista x64 na 2560x1600 [zvětšenina má 1.5MB]

FolderShare je nová služba od Microsoftu pro P2P sdílení souborů mezi více počítači. Není to vlastně ani tak nová služba, protože FolderShare je firma, kterou Microsoft v roce 2005 koupil, pak se dlouho nic nedělo, a nyní tuto službu nabízí veřejně a zdarma komukoliv.

Pro její používání si musíte zřídit účet (bohužel se nepoužívá Windows Live ID) a stáhnout si malou (1MB) aplikaci pro Windows XP/Vista či OS X.

Co FolderShare umí a co ne

FolderShare umožňuje sdílet a synchronizovat soubory mezi více uživateli a počítači. Takže pokud máte třeba záložky vedené na hlavním počítači a chcete je aktualizovat na notebook, či ke všem členům pracovního teamu, sdělíte jim heslo, a třeba deset počítačů se připojí na sdílenou složku a automaticky si ji synchronizují na svoje PC.

To, co FolderShare není, je úschovna dat.

Samotný FolderShare nemá žádná vaše data, je to jen systém pro propojení počítačů. Pokud je nějaký nový soubor na PC-1, tak PC-2 se k němu dostane jen tehdy, když je tento počítač (PC-1) spuštěn. Na FolderShare samotný se nahrávají jen názvy souborů, které se mají stahovat, ale nikoliv jejich obsah.

Omezením FolderShare je, že počítače co se synchronizují musí být pořád spuštěny.