Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
květen 15
Dvě služby které patří zakázat na Windows 10 a Windows 2016

Na Windows 10 i Windows 2016 jsou dvě služby, které zakazuju okamžitě. Jednu na vždy zatímco druhou si spouštím, jenom když chci.

Ta, kterou chcete spouštět alespoň čas od času, je Windows Update (wuauserv). Jiná ani lepší metoda, jak těm peklům zabránit, aby se nepřetržitě neaktualizovala, neexistuje. Až potřebuju aktualizace, jednoduše službu spustím.

Druhý kamarád mě dostal do varu svou přítomností i na Windows 2016 serveru. Zde mi to v průběhu řešení jakýchsi síťových potíží dokázalo dokonce zatuhnout Network Monitor několika miliardami HTTPS paketů. Na serveru? Ve výchozím stavu? To se někdo musel zkouřit. A výhercem se stala služba Connected User Experiences and Telemetry (DiagTrack).

Vyprávění o této službě s barevnými obrázky a množstvím zábavných odkazů naleznete zde. Nevím ovšem, proč bych to četl a přemýšlel, proč ji přepínat z jakéhosi Security módu do Basic ani jinam. Jediné, kam tahle služba patří je do Disabele. Sbohem na vždy.

květen 04
Jak na RDP serveru spustit cokoliv přes RemoteApp

Netušil jsem ani jakou tímhle vyvolám u jednoho zákazníka paniku :-) Taky to nevíte? Máte RDP farmu a na ní provozujete RDP RemoteApps. Tedy nějaké aplikace, jako je Office, nebo Adobe, nebo nějaký jiný business systém. Lidé se k tomu připojují přes RDWeb, nebo mají rovnou nějaké zástupce na ploše. V každém případě lidé vidí pouze okno své aplikace, nevidí celou plochu. A vy máte dojem, že si na tom serveru nic jiného spustit nemohou. Tak to máte špatný dojem :-)

Pokud ten program má standardní Open nebo Save as dialog, tak si spustí cokoliv chtějí. Stačí vědět jak. Prostě si necháte zobrazit i exe soubory a namísto toho, abyste na ně rovnou kliknuli, použijete pravé tlačítko a vyberete správnou volbu:

Co z toho plyne?

RemoteApp je jenom uživatelské zpříjemnění, určitě to není bezpečnostní fíčura. Server nemá principiálně jak kontrolovat, co startujete z čeho. Prostě se jenom přenáší individuální okna namísto celé plochy. Pokud chcete startování aplikací skutečně omezit, musíte použít AppLocker (Application Control Policies).

květen 03
Jak poslat email pomocí EWS na outlook.com a PowerShellu

Pokud chcete odesílat mail z nějakého PowerShell skriptu, máte všude návody, jak to udělat pomocí SMTP. Problém je, že někdy SMTP prostě není dostupné, například kvůli tomu, že vám firewall blokuje porty. Blokování TCP 25 je vcelku klasika, ale to jsem ani nepoužíval. Pro odesílání mailu po ověřeném spojení, tzn. po zadání nějakého loginu a hesla, se používá na Exchange, Office365 i outlook.com na portu TCP 587. Stejně chcete mnohdy posílat do jiných domén - relay. Jenže i to pomalu končí, jak pozoruju :-)

Takže jiná cesta je použít web service, to znamená HTTPS komunikaci s nějakou webovou službou, kterou ten Exchange/Office365/outlook.com nabízí. To je již velmi dlouho EWS (Exchange Web Services). Kdo máte Exchange, tak jste zajisté v IIS viděli virtuální adresář ews a případně jste tomu nastavovali nějaké parametry pomocí Set-WebServicesVirtualDirectory, ne?

Když to chcete použít z PowerShellu, stačí si k tomu stáhnout z Microsoftu knihovnu nazvanou Exchange Web Services Managed API (odkaz je na verzi 2.2), která jde načíst jak do PowerShell 2.0 tak i do novější verze, takže je jedno, jestli máte netfx 2.0 nebo netfx 4.x.

No a potom už vesele posíláte. Já jsem si k tomu zařídil zadarmo účet na outlook.com. Odesílání funguje i do jiných domén, dokonce se odeslané maily ani neukládají v odchozí poště :-)

function Send-OutlookEwsMail (
  [string] $login,
  [string] $password,
  [string] $rcptTo,
  [string] $subject,
  [string] $message,
  [string] $dllPath = [IO.Directory]::GetCurrentDirectory()
  )
{
  [string] $ewsAssemblyPath = Join-Path $dllPath 'Microsoft.Exchange.WebServices.dll'

  if (-not (Test-Path $ewsAssemblyPath)) {

    throw ('The EWS assembly file does not exist: {0}' -f $ewsAssemblyPath)
  }

  [System.Reflection.Assembly] $exchAssembly = [System.Reflection.Assembly]::LoadFile($ewsAssemblyPath)

  if (-not ([object]::Equals($exchAssembly, $null))) {

    [Microsoft.Exchange.WebServices.Data.ExchangeService] $exchSvc = New-Object Microsoft.Exchange.WebServices.Data.ExchangeService
    $exchSvc.Credentials = New-Object Microsoft.Exchange.WebServices.Data.WebCredentials ($login, $password)
    $exchSvc.Url = New-Object System.Uri 'https://outlook.com/EWS/Exchange.asmx'

    [Microsoft.Exchange.WebServices.Data.EmailMessage] $exchMail = New-Object Microsoft.Exchange.WebServices.Data.EmailMessage ($exchSvc)
    [void] $exchMail.ToRecipients.Add($rcptTo)
    $exchMail.Subject = $subject
    $exchMail.Body = New-Object  Microsoft.Exchange.WebServices.Data.MessageBody ($message)
    $exchMail.Send()
  }
}

Jenom bych k tomu účtu na outlook.com dodal jednu poznámečku - ze začátku to posílalo v pohodě, až se to najednou zaseklo na hlášce:

An internal server error occurred. The operation failed. WASCL UserAction verdict is not None. Actual verdict is HipSend, ShowTierUpgrade.

No prostě se tam musíte po nějakém čase (u mě to bylo cca 8 hodin) přihlásit přes webové rozhraní a potvrdit nějakou kapču (captcha), že nejste spamovací robot - Help us fight spam email. We're sorry to have to ask you to prove you're a person. Most spam comes from automated programs, which can't solve puzzles like this.

březen 01
Přeinstalovací útoky na BitLocker nebo libovolné jiné zašifrované zařízení

Představme si rajskou hudbu každého bezpečáka. Uživatelé mají zařízení, například Windows stanice, notebook, nebo klidně i mobilní telefon. Toto zařízení je celé zašifrováno pomocí diskového šifrování, například BitLocker, nebo cokoliv jiného co je schopno využívat TPM (trusted policy module). TPM je čipová karta na základové desce (motherboard), ve které je, velmi zjednodušeně řečeno, schováno heslo k šifrovanému disku.

Samozřejmě jeho UEFI firmware plně vynucuje Secure Boot a nedovoluje se boot z jiného harddisku ani DVD. BIOS (tedy firmware) je zaheslován, CSM (compatibility support mode) je vypnut a uživatelé nemohou měnit ani vendor keys.

Pokud se jedná o podnikového uživatele, uživatel není ani členem skupiny Administrators ani na tomto svém jediném zařízení. Pokud se jedná o domácího teroristu, ten určitě pracuje pod účtem lokálních Administrators.

Zapomeňme na možnost vyčítat klíče ze zmrzlé paměti. Zapomeňme na to, že je možná někde poznačeno obnovovací heslo (recovery password, 48 digit password). Prostě nic takového neexistuje, nebo na to nelze obecně spoléhat.

Celé to znamená, že se zařízení dá nastartovat a samo naběhne až do přihlašovací obrazovky, kam se musí zadat nějaké "heslo". Jestli to je PIN, heslo, máchnutí prstem, nebo jeho otisk je mi jedno. Je ale dnes už často možné, že se to neprovádí na klávesnici, takže není možné použít hardware keylogger (všechny tyto metody ale ukládají normální uživatelovo heslo přímo na počítači na disku - jsou prostě jen náhradou za heslo a přitom se mapují na normální účet - ale disk je zašifrován BitLockerem, nebo čímkoliv jiným).

Neprůstřelné. Tedy alespoň by se zdálo. Neprůstřelnost je vždycky ale jen proti něčemu. Otázka je, čeho chceme dosáhnout.

Cíle útoku a motivace

Sledujme dva týpky. Jeden je podnikový zaměstnanec, který se chce stát lokálním adminem na svém počítači. Případně na počítači kolegy, se kterým sdílí kancelář, nebo openspace. Když se stane lokálním adminem, začne sbírat přihlašovací údaje a napadat další účty, aby se dostal postupně dál a dál po síti.

Druhým je terorirsta, nebo hacker, nebo pedofil, který pracuje z domu a je lokálním adminem na svém počítači. Až k němu přijede komando, aby mu počítače zabavilo, policie by byla ráda, kdyby se mohla podívat na jeho data. Jenže tihle parchanti nespolupracují. A krekovat z nich hesla gumovou hadicí, no uznejte, tyhle metody z minulého rok... století?

Podnikový zaměstnanec se vyznačuje schopností fyzického přístupu k počítači svému, nebo počítači kolegy. Řekněme na 15 a více minut?

Policie také nepřepadá žádného zlořáda z ničehož nic. Obvykle svůj zásah může plánovat dopředu. A může se na něho připravit. Může ho například navštívit v době, kdy není u svého zařízení a trošku se tam připravit. Možná to má různá právní a zákonná omezení, ale jsou bezpečnostní složky, které to mají trošku jinak. A nebo se o tom nikdo dozvědět ani nemusí...

Zase to znamená fyzický přístup k zařízení. Možná trošku déle, než 15 minut. Ale ne o moc.

A modří už vědí. Ostatní si přečtou. Fyzický přístup je vždycky klíčem. Pokud ho máte, vždycky bude nějaká cesta. Tady jsou dvě takové pěkné, co mě napadly.

Teroristovo heslo

Jak dostaneme z teroristy heslo do jeho počítače? Můžeme mu doma namontovat nějaké kamery a sledovat ho, jak to heslo zadává. Pak ho už jenom sebereme, nebo rovnou střelíme mezi voči (jak říká můj oblíbenej Richard Marcinko - "zabij ty hajzly všechny, bůh už si to nějak přebere").

A nebo mu to přeinstalujeme.

Nejprve uděláme imidž mašiny, abychom měli zašifrovaná data. Potom mu to přeinstalujeme, nebo vyresetujeme do továrního nastavení. V tom okamžiku jsme na jeho zařízení pány. Jsme lokálními Administrators. Co nám brání nainstalovat mu tam rovnou nějaký software keyloger? Nic. Takže keylogger, který ovládáme my. Chudák tam už nemá žádná svá data, samozřejmě. Nemá tam ani přístup, protože jeho heslo my ještě neznáme. Dostane tedy svoje zařízení zpátky úplně čisté, s keyloggerem a heslem, které sám ani nezná. Ale o tom on neví.

Vrátí se z večeře, zkouší se přihlásit na svůj noťas, keylogger zachytává jeho skutečné heslo a odesílá nám ho. Borec panikaří, protože si nemůže pustit svoje oblíbený .... Když v tom mu cosi olověného prolétá hlavou.

... A nebo neprolétá. Zařízení se restartuje a hlásí, že se samo vrátilo do továrního nastavení, zavolejte svého administrátora, odneste mě do servisu. Všechno je v pořádku pane teroristo, data máte přece v klaudu, nebo máte určitě zálohu, ne?

... A nebo se zobrazí hlášení o aktualizaci, pod tím se aplikuje původní imidž a po dalším restartu nechává teroristu znovu v klidu pracovat :-)

Zaměstnanec lokálním adminem

BitLocker v kombinaci s TPM modulem je výborná metoda, jak odstavit uživatele od lokálního adminství. Pokud ani sám uživatel nezná klíče k dešifrování systémového disku, nemůže použít zmiňovanou offline modifikační metodu, aby získal lepší přístup. Ale on by to chtěl.

Vždycky může nainstalovat hardware keylogger a zavolat na support, že mu nejede tiskárna. Přijde admin, zadá mu do keyloggeru heslo a tradá. Jenže co když admin používá správně čipovou kartu (smart card). V takovém případě zaměstnanci nějaký keylogger nepomůže (ani software keylogger). Podobně to bude když admin přichází vzdáleně přes RDP (dokonce ani nemusí používat mstsc /RestrictedAdmin režim (a ještě tady), protože uživatel sám není správcem).

Takže stanice BitLocker + TPM + uživatel nezná klíče + uživatel není členem lokálních Administrators je velmi solidní řešení. Až do okamžiku mého reinstalačního útoku.

Uživatel si prostě svoji stanici přeinstaluje. A obvykle nechá i připojit do domény. Jak každý doufám ví, ve výchozím nastavení si počítač do domény může připojit kdokoliv.

Po reinstalaci počítače je uživatel sám svým adminem. Nainstaluje si libovolnou logovací technologii, kterou chce. A zavolá na support.

Je možné, že se na nově nainstalovaný počítač jeho správce ani nedostane, ale to nevadí. Bude to vypadat, že je ten stroj tak zničený, že prostě potřebuje komplet opravit. To se děje běžně, ne? Například klasická hláška - workstation trust relationship with primary domain failed. Ten automatický logovací nástroj však může také vrátit původní imidž a nic se po restartu ani nepozná.

Pracuju na demu, uvidíme, jestli se mi to podaří na podzimní HackerFest zmáknout :-)

únor 05
Jak zobrazit zadávané heslo pomocí klávesové zkratky

Víte o čem mluvím. Takové to očíčko, které zobrazuje heslo. Jmenuje se to správně password reveal button. Ještě na Windows 8 a Windows 2012 se na to muselo kliknout myší. Od Windows 10 a i ve Windows Server 2016 stačí zmáčknout magickou kombinaci:

Alt-F8
leden 30
To bude zase psycho, aneb dvě konference současně

Už příští týden rovnou dvě konference! Jednou již tradičně startuje očekávání jara v Bratislavě (https://www.showit.sk/sk), ale je tu i zbrusu nová konference v Brně (https://www.g2bteched.cz/cs/). Tak přijďte okoštovat Holliday Inn nebo Marriott. To zase bude peklo, právě přestávám chodit spát až do příštího čtvrtka. Tady evidentně někdo musel zešílet :-)

Jo a ShowIT párty bude tentokrát v Undead Arena z čehož doufám nezešílím úplně.

leden 17
Limit na počet členů ve skupině při použití příkazu Get-AdGroupMember

Já tyhle nesmyslné web-service cmdlety moc nepoužívám, a jak vidím, tak dobře vím proč :-) Dneska padla otázka, jestli to nemá limit na počet zobrazených členů. Zkusil jsem. A ejhle:

The size limit for this request was exceeded

První úvaha byla, že tam bude nějaký parametr, kterým se to zvětší, to je přece normální. Zjištění je, že tam žádný parametr není. Pokud to potřebujete zvýšit nad 5000! členů, tak musíte měnit nějaký konfigurační soubor na všech vašich řadičích domény :-)

Říkám to pořád, s tím web-servisním AD powershellem, to se někdo musel zkouřit.

leden 11
Jak se pohybovat v PowerShell ISE command pane

Konečně jsem na to přišel! Na vývoj skriptů používám PowerShell ISE. Má to dvě zobrazení - script pane a command pane. Ve script pane se normálně edituje skript (bílé pozadí, zapne se to CTRL-I). Když svůj kód spustíte, dostanete příkazovou řádku (command pane, modré pozadí) s výpisem výsledků. Sem se přepnete CTRL-D.

No a v tom command pane se dá myší umísťovat kurzor a potom dělat bloky a kopírovat do schránky (clipboard). Jenže to jsem až do teď musel dělat myší. Musel jsem vždycky kliknout do prostoru a teprve potom fungovaly šipky. Když zmáčknete jenom šipku nahoru, tak vám to nahodí předchozí příkaz, místo aby to posunulo kurzor.

A teď jsem se naučil, že pohybovat kurzorem po tom command pane, se dá pomocí CTRL-UP (šipka nahoru). Stačí stisknout jednou a potom už fungují šipky normálně!

leden 03
My country od Fredericka Creama

Naši šli na Nový rok na Mou vlast do brněnské filharmonie. A takto pěkně přeložený program dostali. Osobně oceňuji zvláště volbu překladů jako je "country", "woods" nebo "fields" a inovativní překlady místních názvů. Speciálně ten do němčiny, což pěkně vyzdvihuje vlastenecký náboj díla:

Škoda jenom, že to ten kvalitní překladatel nedotáhl pořádně do konce. Přitom se dalo přeložit i jméno autora i všechno ostatní. Třeba takto:

  • Frederick Cream, My country
    • The High Castle
    • The Moldau
    • Charlotte
    • From Bohemian Woods and Fields
    • Camp
    • Hymen hill

 

prosinec 21
Parádní UAC bypass

Včera mi Michal Meravý (díky!) poslal super UAC bypass, trošku jsem to upravil na powershell a je to tu:

reg add hkcu\software\classes\mscfile\shell\open\command /d "cmd /c start powershell -NoExit" & eventvwr

nebo rovnou příklad zneužití

reg add hkcu\software\classes\mscfile\shell\open\command /d "cmd /c start powershell { 'chachá' | Out-File c:\uac-bypass.txt }" & eventvwr

Vo co gou? O UAC jsem tu už jednou hanlivě psal, že se jedná o "bezpečnostní" fíčuru pro domáčí uživatele. V podnikovém prostředí tak maximálně na to, aby to snížilo míru a frekvenci toho, jak si BFUčka dodrbávají počítače a kdo to pak musí pořád opravovat. Takže z mého pohledu o nic nejde. Ale líbí se mi to. Zrovna tahle metoda je prostě krásná, to se musí uznat.

Jak to funguje?

Od Windows 7 se UAC ve výchozím nastavení chová tak, že některé programy nevyžadují explicitní potvrzování čudlíkem, a přitom je systém rovnou spustí "elevated" (neboli "jako správce", neboli "as administrator"). To je případ různých systémových správcovských programů jako je control panel, nebo většina MMC konzolí (soubory s příponou .msc). A eventvwr.exe.

Zrovna tenhle eventvwr.exe je evidentně kamenem úrazu. Spustí se elevated a přitom sám v podstatě nic nedělá. Jenom spustí rovnou eventvwr.msc konzoli. A ta se spouští jen jako asociace .msc souboru.

Tento uac bypass tedy jen změní v uživatelském profilu asociaci .msc souboru z původního mmc.exe na powershell. A je to. Jakmile potom někdy spustíte eventvwr.exe, tak rovnou naskočí jako správce a spustí následně powershell už také jako správce.

Krásná ukázka exploitu, kterých bude nekonečně mnoho, pokud navrhnete nějaký software blbě. Dá se to fixnout? Ano, stačí opravit eventvwr.exe. Ale stejně bude dalších nekonečně moc cest. Stačí trošku hledat.

Pokud se jedná o pěknou historii různých UAC bypassů, tak se mrkněte sem - stránka UACMe - nabízí milión různých cest. Když si to pročtete, nabízí také seznam miliónu MS fixů, které každou tu cestu postupně opravují :-)

Jak se bránit?

Buď uživatelé nesmí být členem místní skupiny Administrators. Nebo můžete přepnout UAC tak, aby se to ptalo vždycky, když je to potřeba. To se provede buď v Group Policy, nebo lokálně v Local Security Policy:

Security Settings
  Local Policies
    Security Options
      User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode

  = Prompt for consent

Jednoduše - musíte to přepnout z výchozího Prompt for consent for non-Windows binaries na bezpečnější (ale otravnější) Prompt for consent.

prosinec 07
Hitovka letošního roku aneb hvězdička v DNS

Nedávno jsme se shodli s kamarády, že tohle si zaslouží nominaci na IT hit roku 2016.

To jste věděli, že v DNS, už od Windows 2003 jde udělat hvězdičkový záznam, který potom bere všechny dotazy na jména, která nejsou explicitně vyjmenovaná? Může to být A i CNAME záznam. Podívejte se na obrázek:

Schválně jsem tam dal zvláštní IP adresu .55, aby to bylo vidět v nslookup. Nápříklad záznam anything.gopas.virtual explicitně neexistuje. Ale když se na něho zeptáte, tak vám to odpoví s IP adresou .55 jako kdyby existoval:

Funguje to i pro CNAME záznamy. Jenom nezapomeňte do jeho cílové hodnoty na konec dát tečku (.), ať si to tam samo nepřikládá primary DNS suffix:

Věděli jste o tom? Od kdy? Je to tam skoro od jakživa a přitom o tom není nikde žádná dokumentace. V podstatě okamžik, kdy zjistíte, že to existuje je, když po vás SharePoint App Catalog chce, abyste tohle v DNS použili.

Hezké ne?

listopad 26
Bleskový a ověřený postup opravy AD lingering objects a Kerberos autentizace

Dneska jsem na konferenci ms-fest prezentoval svoji léty vyzkoušenou, ověřenou a vyladěnou metodu, jak opravit Active Directory (AD) replikaci (replication) potom, co řadič(e) domény přešly tombstone lifetime a vznikly lingering objecty. O této situaci jste zřejmě už slyšeli. Jenže problém je prakticky vždycky kombinován s problémem rozhozených hesel počítačových účtů řadičů domén.

Každý řadič domény (DC - domain controller) si totiž mění heslo svého účtu (machine password) každých 30 dnů, stejně jako libovolný jiný členský stroj domény. Naproti tomu tombstone lifetime je obvykle 180 dnů. Pokud si řadič sám sobě změní heslo dvakrát a během té doby se to nedokáže zreplikovat, tak přestane fungovat Kerberos. Tzn. už po 30 dnech možná, po 60 dnech zaručeně. Takže tombstone lifetime a lingering objects je obvykle až druhý následek rozházeného času.

Důvody pro rozházený čas DC:

  • nějaká DC se prostě už dlouho neviděla - tento důvod není už dneska tak obvyklý, jako ten druhý
  • máte jedno, nebo více DC, na nějakém cloudu a oné virtualizaci se rozhodí čas a posune to čas na všech virtuálkách - to je dneska, jak pozoruji, velmi běžné (chyba obsluhy, chyba hardware, baterka, ...)

To co nastane mezi domain controllery je totální rozklad. Přestávají replikovat a ověřovat jak sebe, tak uživatele a počítače. V případě ověřování klientů to je chaticky podle toho, které DC si kdo vybere. Jsou to chyby jako třeba:

The directory service cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime

Event Id: 2042
Message: It has been too long since this machine last replicated with the named source machine. The time between replications with this source has exceeded the tombstone lifetime. 

Kerberos error: The target principal name is incorrect
error: 2148074274 = 0x80090322 = SEC_E_WRONG_PRINCIPAL

The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server.
The target name used was LDAP/._msdcs. This indicates that the target server
failed to decrypt the ticket provided by the client.

Na opravu těchto dvou problémů existují standardní postupy. Problém je v jejich praktickém využití. Pokud nevíte přesně jak, bude vám oprava trvat minimálně několik hodin, ne-li dnů, a navíc to ještě neuděláte správně.

Po zkušenostech jsem si vypracoval ideální postup, který je nejrychlejší možný, spolehlivý a obecně funkční. Dneska jsem takto opravil pět DC během cca 40 minut, a to jsme u toho ještě vysvětloval.

Celý postup je na screenshotech a s popisky v následující prezentaci:

Fastest ever steps to repair tombstone lifetime, lingering objects and Kerberos machine passwords

Základní vysokoúrovňové kroky

Detailní návod je v prezentaci. Pro shrnutí jen nejdůležitější body. Prostě nepřemýšlejte a udělejte všechno na všech řadičích:

  • nejprve opravte čas
  • vytvořte si nějaký samostatný DNS server - něco nainstalujte, nebo použijte existující, ale potřebujete DNS server, který není na žádném AD DC, aby na tom nefunkčním AD nebyl závislý. Do tohoto DNS serveru nasměrujte všechna DC. Budete mít jen jeden DNS server a nebudete záviset na replikaci, která nefunguje
  • vypněte všechny Kerberos Key Distribution Center (KDC) služby, a nechejte si jen jednu - každé KDC používá svůj místní AD. Je to stejné jako s tím DNS serverem. Pokud nefunguje AD a nereplikuje, každé KDC potom vydává jinak špatné Kerberos tikety a celé se to chaotizuje. Stejně jako jedinný DNS server budeme mít tedy jen jediný KDC.
  • vyresetujete hesla počítačových účtů pomocí netdom resetpwd - tohle rozjede ověřování
  • vyčistíte lingering objecty - musíte to ale udělat správně a úplně. V prezentaci je na to skript. Musíte čistit každé DC oproti každému a navíc po jednom všechny AD partition (naming context).
  • no a nakonec pustíte replikaci
  • a nezapomenete to zase uvést do původního stavu - vrátit DNS servery a vypnout registrovou hodnotu

Tak ať slouží!

listopad 22
Vylepšené zásady hesel, neboli 4of4

Rychlé odkazy:

O co jde

Kvalita hesel uživatelů Active Directory (AD) je dlouhodobě na relativně špatné úrovni. Jako každá hesla :-) Běžně se používají hesla typu SlovoČíslo, například Cervenec2016, což je krásný příklad hesla, které je imunní i proti časté změně :-) Obecně osmdesát procent hesel na světě je pouze alfanumerických.

Máme k dispozici zásady hesel, které by to mohly vylepšit. AD umožňuje vynutit minimální délku hesla. Délka hesla větší než 10 znaků pěkně odstaví krátká slova a krátká čísla. Co se týče možných znaků (komplexnost), AD umí vynutit pouze politiku tři ze čtyř (3of4). To znamená, že ze čtyř skupin znaků malá/velká/čísla/ostatní je potřeba mít v hesle alespoň tři skupiny.

Udělal jsem si tedy vlastní password filter, který vynutí v hesle zásadu 4of4. Heslo musí obsahovat jak alespoň jedno velké a jedno malé písmeno z US-ASCII, tak i jednu cifru a jeden speciální znak z US-ASCII. Ostatní znaky mohou být libovolné, klidně národní unicode.

Speciálních znaků je řekněme plus/mínus dvacet. Pokud musí být heslo dlouhé 8 znaků, zvýší to počet hesel 20^8 krát, což je 25 600 000 000 krát. I pokud bychom uvažovali pouze speciální znaky z numerické klávesnice, kterých je jen 5, bude to i tak lepší alespoň 390 000 krát. U hesla desetiznakového je vylepšení dokonce 9 765 625 krát.

Fungování password filter obecně

Password filter je DLL knihovna, která se zapíše do registrů a kterou si systémový proces LSASS načte při svém startu, tedy při startu počítače. LSA (local security authority) je známá součástka, ve které běží celé AD, nebo SAM (lokální security accounts manager). Password filter obsahuje dvě rutiny, které LSA zavolá v okamžiku, kdy přijímá změnu (change password) nebo i nastavení (reset password) hesla.

Úkolem této DLL knihovny je heslo zkontrolovat a říct, jestli je ok, nebo jeho podmínky nesplňuje. Password filter dostává pouze nové heslo a dostává ho v plné formě, tedy ne ve formě hash. Hash se spočítá a v okamžiku následného uložení do AD, nebo SAM databáze. Password filter se používá také pro identity integration, jako součástka, která kvalitu hesla v podstatě nemusí kontrolovat, ale odesílá heslo do nějakých integrovaných systémů, aby se zajistil alespoň reduced-sign-on (RSO), když už nelze použít rovnou single-sign-on (SSO).

Můj filter pouze kontroluje heslo na politiku 4of4 a nikam ho neodesílá :-)

Knihovnu filteru je nutno nakopírovat do adresáře System32 a zapsat do registrové hodnoty:

HKLM\System\CurrentControlSet\Control\LSA
Notification Packages = MULTI_SZ

Pokud to chcete pro Active Directory, tak tuto operaci musíte provést na každém DC (domain controller) řadiči domény. Každý klient využívá pro změnu hesla jen svoje nejbližší DC a politika by se tedy neuplatňovala rovnoměrně. Filtr je potřeba umístit ideálně hned jako první hodnotu. Kdyby byly v seznamu nějaké další filtry právě kvůli IdM, tak by mohly odeslat heslo k integraci ještě dříve, než by následně bylo odmítnuto kvůli nedostatečné složitosti.

Instalace mého SAPHA password filteru

Instalační ZIP soubor filtru pro 64bitové systémy je ke stažení zde. Obsahuje to jak jeho DLL, tak i install.bat a uninstall.bat. Někam si to vybalte, můžete i do síťového sdíleného adresáře a jenom spusťte INSTALL.BAT. Ono se to samo nainstaluje. UNINSTALL.BAT slouží celkem logicky k odinstalaci. Snažil jsem se to udělat extrémně odolné, takže pokud se objeví při instalaci jakákoliv nesrovnalost, instalace nedoběhne a zahlásí chybu.

Po instalaci musíte počítač restartovat, což vám prográmek sám nabídne.

Pro zavedení do AD musíte instalaci provést na všech řadičích domény a musíte je restartovat. Nemusíte to udělat všude naráz, ani nemusíte všechny naráz restartovat (to ani nedělejte). Jenom dokud nebude na všech DLL zavedena, tak některá DC budou vyžadovat 4of4, zatímco jiná ne a pojedou při starém 3of4.

Můžete to taky nasadit i na workgroupové počítače. Tam to funguje stejně, ale přirozeně jen pro lokální SAM účty. Takže to na ostatních doménových počítačích instalovat nemusíte, pokud vám ta politika stačí pro účty v Active Directory.

Dávka INSTALL.BAT má ještě parametr -silent, kdybyste si to náhodou chtěli instalovat nějak automaticky, například pomocí Group Policy Preferences, nebo System Center.

Upozorňuji, že to je jenom 64bitová verze, takže pokud máte ještě nějaká 32bitová DC, tak mi napiště, pošlu vám 32bitovou verzi.

Support je mailem, je zdarma. Pokud chcete nějaké úpravy nebo vylepšení, ozvěte se, domluvíme se na ceně. Nebojte se, je to docela robustní, pády LSA jsem nezaznamenal. Pokud se knihovna nezavede, ani to nepoznáte, LSASS jede prostě dál. Snažil jsem se použít co nejrychlejší algoritmus, takže by to nemělo nijak omezovat výkon.

 

Zvýšená ochrana LSA knihoven

Existuje ještě jeden problém při instalaci password filteru. Jmenuje se to Additional LSA Protection (https://technet.microsoft.com/en-us/library/dn408187(v=ws.11).aspx) - neboli LSASS running as a protected process. Pokud to máte v registrech zapnuté (což nejspíš nemáte), LSASS vyžaduje, aby byl password filter správně digitálně podepsaný.

Jestli máte ochranu zapnutou poznáte podle následující registrové hodnoty - pokud je tam hodnota 1 tak je LSASS chráněn:

HKLM\System\CurrentControlSet\Control\LSA
RunAsPPL = DWORD = 1

Můj filter prozatím s touto ochranou nefunguje, protože není digitálně podepsán. Levné code signing certifikáty od StartSSL prozatím zmizely a protože tuto ochranu nikdo moc nepoužívá, nechce se mi platit 180 EUR ročně a certifikát od jiné CA.

Ptal jsem se a StartSSL support tvrdí, že do 14 dnů by měli zase začít pracovat, tak uvidíme.

listopad 08
Zkoušení hesel na RDP

Moc pěkná otázka dorazila, rád odpovídám rovnou veřejně, protože to je velmi obecný problém:

Včera jsem si všiml, že jsme pod brutforcem nějakých hackerů z Ruska. Útočili nám na Remote Desktop Connection broker (3389). Dělali to pěkně pomalu a opatrně, už jsme to dost minimalizovali. Odkážete mě na nějaké dražší hardwarové/softwarové řešení nebo toto spíš navrhujete řešit jiným způsobem? Resp. nechci odkazovat na nějaký konkrétní produkt, spíš mě zajímá Váš postoj k tomuto. Třeba mi řeknete, že po dobrém nastavení hesel a oprávnění to řešit nemusíme vůbec.

Odpověď

Z toho, jak to popisujete, se dá vyhodnotit, že zřejmě máte otevřen přímý přístup přes TCP 3389 z internetu a někdo zkoušel online hesla na nějaké loginy.

Nejprve se zabývejme loginy. Byly to nějaké vaše skutečné existující loginy, nebo to vždycky selhalo na tom, že to nebyl správný login? To poznáte například na tom RDP serveru v logu z Failure Audit události typu Logon. Bude v tom chyba 0xC000006D (což je obecně STATUS_LOGON_FAILURE), ale také tam bude přesnější důvod - buď 0xC000006A (STATUS_WRONG_PASSWORD), nebo právě 0xC0000062 tedy STATUS_INVALID_ACCOUNT_NAME.

Pokud útočník nezná ani loginy, tak je jasné, že to je úplný cizinec. Pokud loginy zná, tak se ptejme, jestli to jsou nějaké známé loginy, jako třeba administrator a nestálo by za to tyto loginy buď přejmenovat, nebo určitě rovnou i zakázat.

Pokud by útočník znal všechny vaše loginy, mohl by vám je takto dokonce vzdáleně všechny pozamykat. Nemusí vůbec zkoušet hesla s cílem je uhádnout. Prostě jenom na každý účet bouchne několikrát, aby se zamknul. Takto by vám pozamykal i servisní účty a vyřadil tak celou vnitřní infrastrukturu, alespoň na nějakou dobu (viz. můj článeček zde).

Dále je vždycky žádoucí mít kvalitní hesla. Pokud by to jedno online ověření trvalo třeba 15 ms, což je dnes cca standard na rychlých systémech, tak vyzkoušet polovinu osmiznakových alfanumerických (alfanum8) hesel by trvalo 52 000 let. Píšete, že to navíc zkoušeli velmi pomalu, což indikuje, že se prostě snažili použít jen několik profláknutých hesel.

Proti tomu se dá obvykle chránit delšími hesly. Pokud si dáte politiku alespoň 10 znaků, tam už moc profláknutá hesla nejsou, protože to už není například jen jedno slovo a číslo.

Máte Windows AD prostředí, takže máte politiku 3of4. Až budu u vás, nasadíme vám moji politiku 4of4, takže si lidé budou muset dávat hesla obsahující alespoň jeden speciální znak, což kompletně odstraní problém profláknutých hesel a to i na intranetu.

To jsou ale spíše okrajové záležitosti.

Zabezpečení vzdáleného přístupu proti zkoušení hesel

Jak ale omezíme zkoušení hesel úplně? Musíte vyžadovat něco jiného než heslo už jen k tomu, aby se vůbec ustavilo vzdálené spojení. Na to se používají buď VPN připojení s ověřením pomocí buď klientského certifikátu (client certificate), nebo nějaká jiná multifaktorová autentizace (token, smart card, RSA SecureId kalkulátor, SMS, apoška).

Microsoft k tomuto má možnosti jako je SSTP (TLS HTTPS VPN), nebo IKEv2 a DirectAccess, všechno s čipovou kartou nebo jen certifikátem v počítači.

Pokud se jedná o prosté RDP, tak můžete využití také RD Gateway. RD Gateway může také vyžadovat klientský certifikát (nebo i čipovou kartu - smart card) k připojení. Takže neotevřete rovnou 3389, ale budete mít otevřen jenom TCP HTTPS 443 směrem na RD Gateway, která bude vyžadovat client certificate vůbec k vytvoření TLS spojení.

Webové aplikace, nebo i RD Gateway se dají dále publikovat přes WAP (Web Application Proxy), která může stejně tak vyžadovat klientský certifikát.

1 - 14Next
 

 Rychlovky lepší než tvítr

 
9.4.2017 4:56
V Nemecku zacaly velikonocni prazdniny a proto je ve smeru do Srbska patnackilometrova fronta aut s nemeckou znackou. Evidentne vsichni jedou slavit velikonoce do turecka?
2.3.2017 6:13
ČD se rozhodly že pořádně naserou všechny stávající zákazníky a zrušily inkarty z eschop profilů. Zajděte si pro heslo na přepážku!
12.1.2017 14:29
https://www.root.cz/clanky/godaddy-vydal-8951-certifikatu-bez-spravneho-overeni
1.12.2016 12:43
jupíí, StartSSL už zase vydává!
22.11.2016 21:05
jak najít teď rychle jinej DNS server když nejede google? brýle se bez brýlí špatně hledají :-)
22.11.2016 11:03
dívám se, že můj hledač AES klíčů funguje i na zašifrované Word dokumenty: https://www.sevecek.com/Lists/Posts/Post.aspx?ID=583
7.11.2016 11:58
RTM Windows 2016 nabízí při instalaci DC hodnotu forest level "Windows Server Technical Preview". Tak to je opravdu luxus na RTM :-)
20.10.2016 20:34
čd opět předvádí, že mít WiFi ještě neznamená připojení do internetu. Ale jede hezky, jen co je pravda, nikdo moc nezatěžuje :-)
13.10.2016 5:54
aaa, už se stahuje Windows Server 2016 RTM :-)
6.10.2016 10:34
memorylíček ve službě Remote Registry. U jednoho zákazníka to poněkud vytuhlo DCčka po celé evropě: https://support.microsoft.com/en-gb/kb/3105719
27.6.2016 16:26
proč mě ten powershell pořád svádí psát místo operátoru -join operátor -joint ? :-)
14.6.2016 22:00
můj nový security bulletin MS16-081: https://technet.microsoft.com/library/security/mt674627.aspx Je to sice jenom DoS a jenom "important", ale stejně :-)
1.6.2016 6:53
Dorazilo mailem, díky: http://www.alexandreviot.net/2015/10/07/windows-10-change-network-bindings/
23.5.2016 23:54
zkontrolujte si, zda se vaše karta nenachází v databázi kradených karet: https://www.sevecek.com/UkradeneKarty/byla-vase-karta-ukradena.htm
23.5.2016 22:37
všude jsou seznamy kradených mailů. a důkaz? není to metoda, jak ukrást mail? škoda, že tam obvykle nemají "ověřit, zda bylo ukradeno heslo (kreditka)" :-)
20.5.2016 13:28
a naopak tohle se nezdá špatné: https://support.microsoft.com/en-us/kb/3125574
19.5.2016 10:18
přislo mailem od známého. Tak to je opravdu chyba jak sviňa https://support.microsoft.com/en-us/kb/3053711 Něco jako "if -like *user" then while (true).
17.5.2016 16:33
Tak jeden problém z přednášky vyřešen - TPM virtuální čipová karta - ono to nefunguje z RDP sešny. Na to jsem tam přece instaloval TeamViewer a pak jsem na to zapomněl. Jsem vůl.
6.5.2016 20:43
Bouchlo mi pivo ve vlaku. Bernard. Celej vonim. Mobil lepi. Sedacka lepi. Koberec cvachta.
29.4.2016 7:53
No konecne to je aspon dobra zprava: StartCom launches new StartAPI and StartPKI service
15.4.2016 11:41
Konecne bez hanby nahrada za Mamia pizzu - pizza pappi!
15.4.2016 8:15
IDOS mě právě našel spojení z Mendláku na Křížkovského autobusem 44 :-)
8.4.2016 18:46
Jimi finch mi píše: Fuck me tonight :-) spam nekdy i pobavi
11.3.2016 10:18
aktuální vývoj mého bezpečnostního objevu: "We have been able to reproduce your report and are planning to release a fix for it in June."
8.3.2016 20:43
chrome a firefox přestaly věřit SHA-1 certifikátům intermediate autorit. Tzn. už nejen koncovým certifikátům.
8.3.2016 18:34
SAP problém pomalého NTLM/Kerberos ověřování a přístupu z jednoho forestu do druhého přes forest trust, celkem čtyři domény, 30 000 uživatelů, 150 DC, 70 site. Vyřešeno za 2 hodiny pomocí offline práce v Network Monitor a ETL souboru. Jsem pořád dobrej. Podotýkám že zdarma po školení.
21.2.2016 9:58
VasekB mi poslal tuhle PowerShell parádičku: https://blogs.technet.microsoft.com/heyscriptingguy/2016/02/18/powertip-count-backwards-in-array/
10.2.2016 14:49
... ted přišel event z 13:51 :-)

10.2.2016 14:46
závěr přednášky na SCOM - nechytalo to události - a teď se dívám, že mám error "Event Log provider is 51 minutes behind in processing". Tak proto.
31.1.2016 9:53
jeden z mých posledních článků vyšel i na technetu: http://blogs.technet.com/b/technetczsk/archive/2016/01/28/bezpecnostni-auditovani-ve-windows-prihlasovaci-udalosti.aspx
26.1.2016 16:19
právě jsem objevil hack jako prase. z toho bude Security Bulletin. Nechte se překvapit!
14.1.2016 10:17
Office365 neboli Azure nedovoluje mezeru v hesle
12.1.2016 23:09
Novy kfc hogofogo grander - malo masa, tuha houska, a moc palivosti aby byl dojem najezeni
21.12.2015 18:35
Top kniha 2 - Zdenek Svarak...
21.12.2015 18:35
Top kniha v nabidce - Denicek bulimicky. ?? Bliju. Zase bliju. Dneska jenom bliju.
15.12.2015 15:40
hmmm, právě mi dorazil mail s nabídkou členství v "international association or professional women". Tak to beru! :-)
10.12.2015 23:23
Tri dny zpatky jsem se dival na vrchni prchni. A dneska jsem se v Kolkovne pral borce v bile kosili na jidlo a von to nebyl cisnik :-)
9.12.2015 11:18
Altair přišel s výhodnou nabídkou napsat pro IIS automatizaci certifikátů zadarmo z LetsEncrypt.org. Tak tomu se nedá odolat :-) Jdeme na to!
2.12.2015 8:16
indove - jsou uplne ztraceni, ale presto nadseni a zacinaji se ucit C# a PowerShell. Tady u nas by clovek na jejich mentalni urovni delal kopace a byl by spokojeny, ale oni jdou do toho!
27.11.2015 9:01
26.11.2015 18:36
veeeelmi dobre buchty na WUG Bratislava
21.11.2015 16:10
budu mít 4 free přednášky v příštích 3 týdnech - https://www.sevecek.com/Lists/Calendar/calendar.aspx
20.11.2015 8:19
tak jsem se rozsiril uz i na facebook: https://www.facebook.com/ondrej.sevecek.official
20.11.2015 8:19
vcera vysel Windows Server 2016 TP 4!
11.11.2015 8:51
paranoik :-) http://www.jenpromuze.cz/video/22081-tenhle-chlapik-ma-opravdu-epicke-heslo-na-svuj-telefon
11.11.2015 7:20
no konecne pridali do meho oblibeneho WinHEXu schopnost interpretovat VHD
9.11.2015 18:44
Nemuzu si pomoct, ale mekDonda ma ted uplne navykovej Maestro burgr a statkarske hranolky.
9.11.2015 12:53
expirace operacniho systemu? BSOD 0xC0000605: A component of the operating system has expired :-(
25.10.2015 7:43
Igam Ogam nejnesnesitelnejsi pohadka na svete
10.10.2015 10:34
Tak to je terno. AVG antivirus dela uz i zrychlovani PC a zarucene optimalizuje registry i pamet. Poslete mi 50 kopii, prosim!
8.10.2015 17:03
https://www.youtube.com/watch?v=mpg5CnagE9k
6.10.2015 18:16
Jeste jednou televize. 18-24 minuta: http://www.ceskatelevize.cz/porady/10659215431-online/315281381881003/
30.9.2015 13:04
sevecek plka v televizi, minuta 18:00: http://www.ceskatelevize.cz/ivysilani/10101491767-studio-ct24/215411058320929
18.9.2015 8:30
"...že peníze potřebuje hned a poslala odkaz na web, kde jsou převody nejrychlejší": http://finance.idnes.cz/nova-forma-phishingu-0r7-/viteze.aspx?c=A150917_064006_viteze_sov
3.9.2015 16:52
ha, se dívám, že v dubnu už skončil TMG mainstream support. Pomalu nám můj miláček odchází. Ale není všem dnům konec, to bude až 2020, takže ještě hodně síly.
1.9.2015 14:28
Lamb mango v restauraci Anapurna opet TOP
31.8.2015 9:01
Hackerfest uz za 29 dnu!
27.8.2015 17:37
no pěkně - Windows 10 - tiskárna Microsoft Print to PDF a BitLocker "Save recovery key to a file"

26.8.2015 8:47
RSATy na Windows 10 ke stažení: http://www.microsoft.com/en-us/download/details.aspx?id=45520
24.8.2015 8:14
pokus o odhlášení aukro spamlistu neuspěl - Internet Explorer has modified this page to help prevent cross-site scripting :-)
15.8.2015 9:49
Ano slibuji, ze na zaklade tolika zadosti prozkoumam a napisu taky neco k tomuhle clanku: http://aeronet.cz/news/analyza-windows-10-ve-svem-principu-jde-o-pouhy-terminal-na-sber-informaci-o-uzivateli-jeho-prstech-ocich-a-hlasu/
11.8.2015 18:43
Bezpecnostni incident prvni tridy. Jankuv bubinek z kapslovyho revolveru svitil na rentgenu jako vanocni stromecek :-)
6.8.2015 20:42
Ecofriendly handmade fairtrade biofood. Fekal.
29.7.2015 18:31
instalace win10 podle známého: http://www.cievo.sk/2015/07/31/upgrade-na-windows-10/
28.7.2015 14:30
Windows 10 entrpréza už se dounlouduje. Zajímalo by mě co jsou fíčrz on dymánd, je toho dalších 4GB
12.7.2015 13:13
Horda ciganu prijede do hotelu a recepcni se pta: "mate rezervaci?", "jsme snad indiani?"
5.7.2015 18:29
Lada s dennima. Stalin vedel, uz tenkrat
2.7.2015 22:32
skype for windows desktop je volitelná Windows 8.1 aktualizace. Tak to je maso.
2.7.2015 19:05
http://www.bbc.com/news/technology-33347866
2.7.2015 18:45
Plovarna v Edenu je plna cigosu. Az na to, ze to neni plovarna...
2.7.2015 12:48
jupi, Windows Server 2016 (build 10074) ma znovu DCPROMO pro unattended instalaci. Starsi build to nemel, tak me to trosku rozesmutnilo.
27.6.2015 20:49
Reacher je dneska zase sama perla :-)
15.6.2015 17:09
panebože. Tak to nejde. Oni opravdu udělali verzi Windows 10 jako: 10.0. Takže polovina programů nepojede, protože bude třídit verze podle abecedy. To je nápad hodný idiota.
14.6.2015 12:23
Za vcerejsek build HyperV "clusteru", a migrace 2x DC, 2x CA, 2x NPS a 2x DHCP z 2008 zelez na 2012r2 virtualky. Jsem vcelku rychlej.
10.6.2015 19:32
Nasemu otci nefunguje Microsoft, manzelce nejede internet (rozumnej Seznam) a dozvidam se ze komusi zavedli na chalupu google :-)
20.5.2015 8:08

Jůlin překladový slovník: ďáďa - Honzík, mamn - maminka, tata - fotr, papn - papat, kakn - kakat. Ukazuje se, že je to celkem dostatečná slovní zásoba.

18.5.2015 15:55

dneska super publikum na #TechEdDevCon! dekuju!

18.5.2015 7:20
Dneska zas slunce a TechEd, nemuze byt nic lepsiho!
17.5.2015 22:06

panebože, ten nový build Windows Server 2016 neobsahuje nabídku Start? Ježiš!

17.5.2015 18:35
Slunko a sestiletel chlapecek na ulici zpiva ceskou hymnu. Kraasa
14.5.2015 10:56
Konference TechEd 2015 je narvaná k prasknutí! To bude něco! Už se nemůžu dočkat.
29.4.2015 6:07
MS planuje tarif pro duchodce. Azure Geront Plan. VM jenom s jednim CPU 300MHz, guest OS WinXP a Office365 ve skinu Outlook 97.
28.4.2015 16:22
diky VasekB za seznam :-) http://en.wikipedia.org/wiki/List_of_fictional_Microsoft_companies
17.4.2015 11:49
hustěéé, nějaký spammer dokázal prorazit moji "ochranu" s číslem 2 při komentování u mě na webu.
17.4.2015 7:37
Ostravaka nemusim ale dnesni song o treninku u ruzicky - se smeju jeste ted
16.4.2015 7:45
TechEd 2015 se nezadržitelně blíží. Už jenom měsíc do mé milované jarní konference. Nevím proč, ale ta atmosféra je prostě úžasná! https://www.teched.cz
9.4.2015 17:21
Certifikační zkoušky MCP vyžadují po několika letech recertifikaci. Odteď nemusíte jít znovu na zkoušku, stačí projí (jen) několik (mnoho) MVA kurzů.
8.4.2015 11:47
příští týden mám WUG Bratislava - PowerShell pro pokročilé. Tak doražte! http://www.wug.sk/?name=events&e=179
7.4.2015 20:57
teamviewer? neexistuje čistá verze "client". všechno si to automaticky zapíná vzdálený přístup, který nelze vypnout. tomu říkám bezpečnost.
4.4.2015 15:06
Kostkovy cukr - nejvhodnejsi bomboniera pro tchyni
1.4.2015 16:25
Congratulations 2015 Microsoft MVP!
28.3.2015 19:22
No proc? Vsichni turci, kosovci, makedoci atd z Nemecka a Rakouska maji pres velikonoce dovcu, tak jedou domu.
28.3.2015 19:22
Luxus trihvezdickovy hotel. Kuracky pokoj. Zadna wifi ani placena. Sprcha dela potopu. Nevim jestli neni lepsi prespat v aute.
28.3.2015 19:22
Prvni report z Belehradu. Spis z cesty. Dalnica zkrz Madarsko narvana  D a A auty. Proc asi?
14.3.2015 23:54
Ja to rikam porad, ze ty antiviry jsou zmagorenci. Vic udalosti na support, nez pozitivnich zasahu: http://m.bbc.com/news/technology-31851125
12.3.2015 16:47
Ja mam clanek na technetu a ani o tom nevim :-) http://blogs.technet.com/b/technetczsk/archive/2015/02/16/architektura-overovani-v-systemech-windows-a-rizika-z-toho-plynouci.aspx
10.3.2015 15:24
hrubus megakrutus: http://www.zive.cz/bleskovky/google-vyvinul-unikatni-experimentalni-virus-vyuziva-fyziku-modulu-ram/sc-4-a-177470/default.aspx
9.3.2015 17:40
zajímavá aktualizace: https://support.microsoft.com/kb/3004375?wa=wsignin1.0 . Zvlášť z pohledu toho, že dřív to logovalo jenom PowerShell.exe a nebyly k tomu parametry :-)
4.3.2015 8:20
Ctyri sojky na jednom strome
3.3.2015 13:42
zajímavé postřehy ohledně bezpečnosti Apple: http://www.root.cz/clanky/postrehy-z-bezpecnosti-podvodne-e-maily-este-nedali-posledne-slovo/
2.3.2015 13:51
už mi víckrát vrtalo hlavou, jak se dostat k heslům NPS RADIUS klientů - tak jsem si to přidal do komentáře https://www.sevecek.com/Lists/Posts/Post.aspx?ID=357
12.2.2015 19:16
Jestli budeš zlobit, tak tě odvezu do Norska a dám ti na ulici před sociálkou na zadek!
12.2.2015 7:45
Antiviry na mou ranni prednasku se uz instaluji. Dneska mame Avast, Eset a Symantec. Avg nesla stahnout trialka :-)
10.2.2015 15:10
Tak to je parada - jakoze si udelam z Azuru VPN primo do firmy, aby kazdej  Ind co to spravuje mel pristup primo k nam domu :-)
9.2.2015 7:05
Vikendovy pobyt na chalupe se zmenil na poblit. Ooo boze. Je to hnus vasnosti.
7.2.2015 10:47
Vcera vecer na parkingu pred McDonaldem muj milacek Janek poblil meho milacka auto a ja to ted drhnu. Fuj :-)
2.2.2015 21:46
to jsou idioti. MS zrušil "remote control" na RDP ve Windows 2012, aby se to zase vrátilo pod názvem "shadowing" ve Windows 2012 R2. panebože
31.1.2015 14:00
Hlazeni rejnoku kteri zerou z ruky tak to je paraaada. Zoo Lesna Zlin!
30.1.2015 21:19
hej more, zuno lezbank (aneb "zuno, less bank, more life")
29.1.2015 23:25
dívám se, že včera mi vyšel článek na technetu: http://blogs.technet.com/b/technetczsk/archive/2015/01/29/co-skutecne-znamenaji-jednotliva-uzivatelska-prava-aneb-ceho-se-bat-a-ceho-ne.aspx
26.1.2015 6:20
Bankomat nejel. Zadny prachy, zadny kafe. Umiram
23.1.2015 19:24
aktualizoval jsem svuj volatile forensics script - ted to audituje i certifikáty, lépe to překládá SIDy přihlášených uživatelů a používá to svůj vlastní Temp. https://www.sevecek.com/files/volatileForensics. Sice to nejsou úplně prchavé informace, dají se samozřejmě zjistit později i z imidže, ale i tak není špatné to slíznout rovnou.
23.1.2015 13:12
dejte si do google obrázků "my new credit card". Ti lidi musí být úplní magoři :-)
22.1.2015 7:06
Tak znovu. Kde je NEuspornost normalni zarovky? Co vytopim zarovkama usetrim na topeni. Stoji zlomek a SVITI!
16.1.2015 8:48
Přednáška o Kerberos, už příští týden na WUG Bratislava v GOPASu od 17 hodin: http://www.wug.sk/?name=events&e=172
16.1.2015 8:44
plazi se slimaci a potkaj tretiho. ten ma vestu s trhavinou, v jedny ruce granat a v druhy odpalovaci zarizeni. ty dva na nej koukaj a povidaj: a ty ses kdo ? a on odpovi: ja sem muslimak
15.1.2015 13:57
zdroják všech mých PowerShell kódů, pokud vynechám občasné maličkosti, právě dosáhl 25112 řádků včetně poznámek. Nepočítám prázdné řádky.
13.1.2015 8:39
Tri volavky? v letu, paráda
12.1.2015 17:11
no nechápu proč je na myši nastaveno ve výchozím stavu "Allow this device to wake up computer". Obvykle to vypínám potom, co se mě natvrdo po cestě vybije noťas.
9.1.2015 11:16
To jsem nevěděl, že PowerShell validace paremetrů v klauzuli Param() platí pro tu proměnnou i nadále uvnitř dalšího kódu. (Get-Variable $vstup).attributes.
7.1.2015 18:32
dneska spam - že prý "splňte si předsevzetí začít pracovat efektivně už v lednu"? Jakože "jsem línej lempl, tak třeba mě někdo poradí, jak se toho zbavit"? :-) Ale rovnou jsem to smazal, tak nevím.
7.1.2015 15:21
CD se posouvaji do dalsi dimenze. Jidelnicek RailJet: dva parky plus rohlik = 153 CZK, jeden kynuty knedlik = 185 CZK
22.12.2014 8:25
"Dnes mají rodiče největší obavy z toho, co jejich syn stahuje z Internetu a co jejich dcera na Internet nahrává."
18.12.2014 14:42
No hned si valím nainstalovat tenhle kazič stability a výkonu. To stojí za to: http://www.zive.cz/bleskovky/viber-se-pustil-do-esetu-ten-mu-to-spocital-na-twitteru/sc-4-a-176542/default.aspx
2.12.2014 6:13
Windows 8.1 se nasilne restartnou po aktualizacich, kdyz to dlouho neudelate sami, jak jsem prave zazil :-) Ale zase potom pospousti vsechny predchozi program.
29.11.2014 11:48
Znamy po me chtel nastaveni sites v IE pres GPO. https://www.sevecek.com/Lists/Posts/Post.aspx?ID=411
28.11.2014 11:40
Ve stredu 17.12. budu mit WUG na tema Kerberos! https://www.sevecek.com/Lists/Calendar/DispForm.aspx?ID=54
27.11.2014 11:51
McDonald zrusil smazak???!!!
26.11.2014 18:07
Linux? Navic s ceskou klavesnici?
21.11.2014 19:34
Byl jsem v pondeli na Interstellar.Dost me desilo tech 170 minut,ale super!Nadherne cizi planety.A ten motiv rodice me vcelku vzal.
19.11.2014 8:40
Panebozeee, lsass.exe 1000 hardfaults/sec, 10GB commit. Co to jeee? Uz poslednich 5 minuuuut!
19.11.2014 6:47
Windows 8.1. pravým tlačítkem na taskbar - Properties, záložka Navigation, Replace CMD with PowerShell in the Win+X menu
18.11.2014 4:32
Odinstalace Gugle Chrome prave zrychlila pocitac cca 3x. Tolik ke kvalitam techhle nesmyslu.
13.11.2014 19:55
Windows Experience Index na Windows 8.1 - winsat prepop, gwmi win32_winsat
13.11.2014 19:18
na Windows 8.1 neni Windows Experience Index? Na Windows 8 ho jeste mam
12.11.2014 10:21
a to není žádná sranda - to je každý web server, RDPčko, TMG i DCčko přes LDAPS, nebo Exchange!
12.11.2014 10:16
pekelná chyba: https://technet.microsoft.com/library/security/ms14-066
5.11.2014 19:59
tohle moc lidí nezná - průzkumník - nějaký soubor nebo složka - shift+pravé tlačítko - Copy as path
1.11.2014 14:06
Jankova dnesni hlaska - a co to jako bude za slavu, ze si musim vzit tyhle hezci teplaky?
30.10.2014 20:18
Po pekelne hejtickem dnu na pivu s Pepou Dvorakem. Teda bavi se s zenskejma a ne se mnou :-)
27.10.2014 7:43
Ctyri sojky u vrsovickeho nadrazi!
25.10.2014 9:56
zajimalo by me, proc ma Java zapotrebi vsude otravovat s tim podivnym Ask toolbarem?
23.10.2014 17:30
Bratr mel pravdu, plisnove syry maji projimave ucinky
17.10.2014 18:19
CHFI: Computer Hacking Forensic Investigator!!!
17.10.2014 12:59
zdá se, že na jakémkoliv telefonu jde zjistit IMEI zavoláním na *#06# to je zajímavé.
17.10.2014 12:56
dnešní fyzikální okénko: http://palkovsky.blog.idnes.cz/c/196273/Rychlosti-se-nescitaji.html
14.10.2014 22:01
tak soft restart na Windows 10 server asi nefunguje - nebo to chce nejakou hw podporu?
13.10.2014 18:58
Prave jsem dostal na googlu kapcu "debil".
12.10.2014 14:04
Napeti pred konferencemi #hackerfest a msfest vrcholi! Uz za tyden!
10.10.2014 19:44
http://status.modern.ie
9.10.2014 13:36
na RDP terminal se da jit bez licence, kdyz nejede licencni server, nebo nechcete konzumovat licenci – staci do MSTSC klienta zadat do adresy /admin
9.10.2014 13:33
Windows 2012 based Remote Desktop Session Host (RDP session host) error: The remote session has been disconnected because there are no Remote Desktop License Servers available to provide a license. Hotfix download: http://support2.microsoft.com/kb/2916846
9.10.2014 13:03
Dva ucty se stejnym heslem - bacha. Kdyz zjistim jedno heslo, rovnou ho zkusit na vsechny ostatni ucty je hracka. Bez zamknuti!

7.10.2014 13:33
a máme tu program mých 4 přednášek na konferenci http://www.ms-fest.cz, která proběhne 19.10 v Brně!
2.10.2014 23:37
Na serverech 10 je něco, co se jmenuje "Windows Volume Replication". Jestli to je synchronní replikace, tak paráááda!
2.10.2014 22:45
aha, takže ovladač na disketu ve Windows 10 není ani po instalaci. Tak ne že bych to potřeboval na železe, ale potřebuju to pro Hyper-V virtuálky a autounattend.xml.
2.10.2014 21:29
windows 10 nemají v instalačce ovladač na disketu? ach bože.
2.10.2014 19:37
konference HackerFest už v pondělí 20.10. http://www.hackerfest.cz
2.10.2014 19:34
... a když to je kratší než 140 znaků, tak k tomu není link na twitteru. Jsem dobrej!
2.10.2014 19:23
Mám nový automatický re-tweeter pro SharePoint. To je božíííííííí. Cokoliv hodím do SharePointu se mi automaticky přepošle na twitter. Konečně jsem to dodělal.
1.10.2014 18:43
Uz se stahuje Windows 10 Enterprise Preview!
1.10.2014 7:54
Jo taaak Windows 10? Kam to cislovani asi povede?
30.9.2014 18:25
Zitra vecer se tesim na predstaveni Windows 9 pro MVPiky! Snad budu moct neco uverejnit i tady!
26.9.2014 11:46
dneska jsem vymyslel optimální český překlad pro failover cluster - přepadový chuchvalec.
4.9.2014 19:14
Euforie z Office365 podporu! Nemuzu si pomoct, ale musim vyjadrit obrovske nadseni z borcu z podpory na Office365. Ne ze by me pomohli :-) ale snazi se a jsou velmi ochotni. Diky do Svedska!
4.9.2014 8:29

vsechny Windows Live ucty zamknuty? Ze by mel MS nervy z celebrit?

1.9.2014 18:09

Ubytování v Ostravě za 1400,- na 4 noci s kabelovým internetem 6 MB, vlastní pokoj velmi nově opravený a zařízený, s kuchyňkou a sociálkou. Panebože!!! To je skoro lepší se sem úplně přestěhovat!

 

22.8.2014 4:40
Dekuji vsem za prizpevky a komentare!
20.8.2014 12:37
Zda se, ze instalace DC 2012+ dela kontrolu ostatnich DC pomoci WMI
18.8.2014 20:13
Dneska alza reklama - dum a auto si zamykate, tak proc si nechranite pocitac antivirem?

Na to meje odpoved - protoze tam mam antivirus od MS, ktery funguje stejne jako zamek doma a od auta - neznici vam motor, nezpomalǔi vam auto trikrat a chaoticky neblika levym a pravym blinkrem a nebrzdi ve stopadesatce znicehoz nic
12.8.2014 10:09
dneska jedna zajímavost - tu u zákazníka zmizel na DC po výpadku proudu primární DNS suffix. Prostě to bylo najednou bez suffixu. Co se stalo ve skutečnosti je, že zmizel klíč z registrů - HKLM\System\CurrentControlSet\Services\TcpIp\Parameters, hodnota "NV Domain". Tak jsem to nastavil znovu ručně a už to funguje. Divnost nad divnost.

11.8.2014 12:01
je škoda, že nejde zvýšit karmu víckrát, než jenom jednou:
http://vetvicka.blog.idnes.cz/c/421436/Zastavte-Putina-dokud-je-cas.html
15.7.2014 20:07
Tak to jsem se musel fakt smat - http://www.dfens-cz.com/view.php?cisloclanku=2014071501 - "britove a francouzi take maji letadlovou lod" :-D
9.7.2014 16:19
Jak poznáte, že máte nainstalován Windows 2012 R2 "Update"? Spustíte MSINFO32 a v položce Hardware Abstraction Layer musí být hodnota alespoň 6.3.9600.17031.

8.7.2014 11:41
Aaa, tak jenom jsem se trošku unáhlil - na to, aby Network Monitor zobrazoval i pakety, které přicházejí do Destination virtuálního počítače ze Source počítače - je potřeba pro tu danou sledující síťovku zapnout P-Mode. To uděláte v Network Monitoru například v Capture Settings, nebo rovnou na Start Page je dole čudlík - pozor, pro každou síťovku zvlášť. Takže port mirroring v Hyper-V už není žádný problém ani s Network Monitor.
8.7.2014 11:35
tak zdá se, že Network Monitor od Microsoftu neumí zobrazovat pakety, které přijdou přes port mirroring v Hyper-V do Destination virtuálního počítače. Když jsem si nainstaloval Wireshark a WinPCap, tak úplně v pohodě. Jdu to prozkoumat ještě o trošku více, třeba se to dá někde v Network Monitoru zapnout.
6.7.2014 15:42
Tývolé, co to jéé: Internet Explorer has modified this page to help prevent cross-site scripting
5.7.2014 16:23
Hodni slovensti policiste mi naparili pouze 20Eur pokuty. Kluk a holka zrejme nemeli radar, pac jinak bych uz nejspis nejezdil :-)
5.7.2014 16:23
Cukrarna Dino ve Zline opet nezklamala svou uuuuuzasnou zmrzlinou!
24.6.2014 8:52
pokračování úspěšné série o dírách v SuperMicro - aneb dorazilo mailem:

vami uvedeny problem byl resen a vyresen jiz v lonskem roce novou verzi IPMI firmwaru. Viz. odkaz nize.
http://www.supermicro.com/support/faqs/faq.cfm?faq=16536

Upgradujte si prosim IPMI na posledni moznou verzi nejlepe na vsech vasich serverech.
23.6.2014 19:16
dorazilo poštou. přikládám v nepozměněné formě:

V Supermicro pracujou odborníci :)

Bezpečnostní tým CARI.net, zjistil, že IPMI/BMC - Supermicro základních desek obsahuje binární soubor, který ukládá přihlašovací hesla ve formátu prostého textu a je k dispozici ke stažení soubor pouhým připojením ke konkrétnímu portu 49152. Pokud je management dostupný z internetu, je možno tento soubor snadno získat "GET /PSBlock". Team provedl skenování a získal tak hesla k 32 tisícům serverů. Je dost zarážející, že je management u tolika serverů dostupný z internetu. A ještě víc zarážející je, kolik hesel bylo defaultních.
http://www.root.cz/clanky/postrehy-z-bezpecnosti-karty-supermikro-umoznuji-stahnout-hesla/

A já potvrzuju, že to fakt funguje, na heslo se prostě člověk podívá na adrese http://ip_adresa_IPMI:49152/PSBlock

23.6.2014 15:42
No musim teda rict, ze oproti vsem moskevskejm nadrazim, na kterejch sem byl a metro stanicim, tady v Brne na hlavnaku je me na zvraceni. A napriklad takova Beloruskaja je uplne atmosfericka.
23.6.2014 14:50
Čéééeeeeeééééeeeeéeeéééeskóóóóóóóó!
23.6.2014 11:46
Prave sme dosedli ve Vidni. Po ceste se krasne menila krajina - v Rusku sirokodaleko nic, v obcasne vesnicce hnedy silnice (no asfalt baby), stokilometrovy pruseky lesu neznamejch ucelu, obcas pouzity na draty. V Belorusku zmena pustiny na pustinu bazinatou. V nekolika mistech regulovany baziny. Vesnicky stejne jako v rusku z vrchu vypadaji jako smetaky. Na hranicni care s Polskem zmena jako prase - vsude policka, pekny organizovany nahusteny vesnicky, silnice sede (tzn asfalt), obcas hlinene pruseky v mistech kde se stavi dalnice, puda vyuzita a organizovana do posledniho metru. Slovensko nadherny vesnicky v kopcich, malinke, ale utulne, vsechny strechy barvy normalnich tasek a ne dosek porostlych mechem (tak to bylo uz v Polsku). Prelet do Raichu, vsude vetrniky, jak u blbejch :-)
23.6.2014 6:53
... ani prestavam si byt jisty, ze ten burgerking byl alespon neskodne prijatelna varianta. Ale tak snad to vyjde rychle a bezbokestne :-)
23.6.2014 6:53
Vnukovo letiste je parada. Ve dvou kavarnach maji prd ve forme dvou zakusku a sendvice, ze kteryho je me na pohled na bliti. A pak burgerking, coz na snidani neni nic, ale lepsi nez dratem do voka. Internet na pul hodiny a nejde me zmenit MAC adresa, sakra.
22.6.2014 22:23
Total mayham. Na mezinarodnim letisti nekdo neumi anglicky? Tak tady na Vnukovu nemluvi ani slovo anglicky ani borec na checkinu, ani jedna pani ve vobchode s vodou, ani dva borci na security ceku. Vcelku jsem se nedivil, ze to tak vypada ve 4* hotelu v Uglici, ale tady? Paneboze!
22.6.2014 19:10
Zase zpet v Moskve. V baru Help na veceri a pomalu odjezd na letiste.
22.6.2014 16:05
Tak uz jsme 2 hodiny na ceste busem dom. Vsude jenom lesy, louky, obcas dum, jinak prd. Nechapu. Pritom takova normalni krajina. Neobdelana pole, pripadne prolezla plevelem. Tak jeste udajne 2 hodiny do Moskvy, potom hodinu na letiste, potom tam budu sedet do 10 do zitra a pak konecne domu :-)
22.6.2014 16:03
... a Kaliacin ma navic delo. Na coz jsou pysni, protoze Uglic to nema.
22.6.2014 16:03
Zda se, ze kazda dedina obsahuje pruvodkyni, plus pokud tato neumi anglicky, ma s sebou prekladatelku. Kazda dura musi mit alespon dve legendy - o jmene jak vzniklo a potom jeste jednu, aby nebyla nuda.
22.6.2014 16:03
Akorat ty sedacky jsou trosku prosezeny, prave jsem si vrazil trubku do zadku
22.6.2014 16:03
Kdyz sme odjizdeli z Ugliče, nakonec to nebylo spatne mesto :-) ale hlavne zrovna letime po volze v Rakete, naprosto uzasna rychlolod co lita po vode. Skoro to nedela vlny a prakticky se to nehne. Zradlo. Takze aji kolegove emvipi co se do rana nalivali jamesonem nemaji zaludecni potize :-)
22.6.2014 16:03
Toaletě rabotajet
21.6.2014 18:43
Zbytek Ugliče - kostel kde zabili syna Ivana Hrozneho. Plus velikej "turist paradise". Nakoupil jsem dary, takze vsechno je splneno.
21.6.2014 18:39
Prohlidka mesta - v podstate tu neni nic. Maji vodni elektrarnu, u ktere je muzeum. Puvodne se rozmysleli, jestli vubec otevrit to muzeum uplne pro verejnost, nebo jenom pro inzenyry s bumazkou, nakonec ustoupili ze svych principu a je to pro vsechny. Ale do elektrarny se nejde, protoze je to strategicky objekt.
21.6.2014 11:20
Cesta z Ribinsku do Ugliče přinesla několik poznání. Zaprve nechapu jejich "vesnie". Vzdycky to ceduli s nazvem, ale jsou to treba tri domky. Zadny namesti, obchod, nic. nekdy obchod ve forme boudy u cesty. Potom opet par kilometru lesy a pak zase to stejny. Ve vesnicich nejsou asfaltky, takze maximalne tak ta prujezdna na hlavni silnici. Rikam maximalne, protoze dvakrat byla ta hlavni silnice normalne z kamenu a pisku.

Vsechny domky ze dreva. 50% v rozpadu, ale zda se ze obydlenych. Pri tom obrovskym mnozstvi lesu okolo nechapu proc si to neopravi. Zrejme to jsou ajtaci. Taky nemam doma na nic cas :-)
21.6.2014 11:14
Tak sme se ráno odhlásili z Ribinsku a přejeli s dalším šíleným řidičem do Ugliče. Bydlíme v hotelu jak na zámku. A k obědu máme teďka Uchu, tzn rybí polívku. Ale je moc dobrá. Nesmrdí to rybou jak bych očekával.
20.6.2014 18:14
Dneska opet luxus z lososa. Navic s kousky rajcat misto cibule a kousky oliv a nekolika platecky okurecek. Parada!
20.6.2014 13:30
Tak to je hardkor, ten cernej krapnik v punkevnich jeskynich, co plni prani, fakt funguje. Janek si pral tablet. Tak jsem ho tedka vyhral v tombole. Kuuuuul. Teda Nokia 1520, neni asi uplne tablet, ale placka je to poradna.
19.6.2014 18:49
Neuveritelne dobrej lososovej "salat": koupi se cerstvel losos, nareze se na malinke kousivky a na den se to nalozi do osolene vody do lednicky. Druhej den se do toho uz jenom prihodi trosinka cibulky a pak se uz jenom uziva s francouzskou bagetou.
19.6.2014 6:44
Na pokoji jsem s borcem z chorvatska, kterej se jmenuje Bernardýn Klátič.
19.6.2014 5:51
A ted zacinaji zazitky. Luzkovej starej vagon plnej mvpiku na 400km ceste do Ribinsku. To je neco neuveritelnyho. Doprovazi nas dve 50lete letusky, zkontrolovaly nam pasy pri vstupu oproti listku. Vsude to tu voni starym ale cistym vagonem. Ted roznasi papuce.
19.6.2014 5:51
To jsou kecy, ze stavi z cihel rovnou na sobe aniz by se prekryvaly. Na nekterejch domech to tak nemaji :-)
19.6.2014 5:51
Moc sem nechapal proc jedem po te ultrarovne, 400km dlouhe, dvou az tri kolejne trati celou cestu ctyricitkou, nez sme presedli do autobusu. Ted jedem dvacitkou pac rychlejc to nejde. Zrejme ten vlak to bral ze solidarity :-)
19.6.2014 5:51
Furt jenom rovina a nic nez rovina...
18.6.2014 14:24
tak jsem byl v Moskvě a přitom jsem tu vlastně ani nebyl. Viděl jsem letiště 35 minut od Moskvy a metro zevnitř vozu a MS zevnitř budovy. A pomalu se chystám na odjezd vlakem (jen místo na sezení) do Ribinsku. To je pouhých 10 hodin cesty. Od 21:00 do 7:00. To bude parádička. Zajímalo by mě, jestli budeme držet hlídku, nebo jestli přijdu po cestě o noťas i počestnost.
18.6.2014 12:39
Uf, prednaska je za mnou, jenom jedno demo fejlnulo. Pohoda. Tisice gratulaci a dekovnych doposu.
18.6.2014 9:38
ceny ponekud vyssi nez u nas, po prepoctu. tzn. Ritter Sport za 54,- rozpecenej sendvic za 84,- a dvojitej snikrs za 27,-
18.6.2014 8:18
to je lahoda. kaficko. zakusek. internet. lidi mluvi anglicky.
18.6.2014 8:10
A mame s sebou zrejme i jednoho mentalne postizeneho MVPika...
18.6.2014 8:10
... zde ovsem nezabralo :-)
18.6.2014 8:10
Zda se, ze ridic busu si uz cca rok nemyl vlasy. Muj tatka to nazyva samocisteni.
18.6.2014 8:10
Napis na buse do MS kampusu: Krylatsky Hills - recreation of work. To je nejakej volnej preklad z prace osvobozuje?
18.6.2014 8:10
Moskva musi byt obrovska, protoze metro i v centru ma zastavky v rozestupu 5 minut. A pri te rychlosti to nechapu.
18.6.2014 5:59
Tak jsem opustil hotel a jedu na Microsoft. Je zajimavy, ze pri odchodu jste museli predlozit bumazku ochrance, ze muzete odejit. Asi abyste nezdrhli bez placeni :-)
17.6.2014 19:14
to bylo peklo. už jsem tu. na letišti ještě ok, tam byly terminály v angličtině. ale jak mě to vyhodilo na Kijevskaja metru, tak jsem skončil. všude jenom pekelná klapzubka. Sice to přečtu, ale každé slovo mi trvá tak 30 sekund. Takže jsem tam bloudil jak vyvoraná myš. Nakonec jsem šel pro lístek za hodnou paní v okýnku, která sice taky neuměla anglicky (jako nikdo) ale rozuměla mi "celý den", tak jsem dostal lístek na "24 času" a nakonec to trefil. Přečíst potom už ceduli v metru byl úplná hračka a po 2 hodinách pojíždění a chaotického přestupování jsem vystoupil na své stanici. Zde jsem navštívil 4 hotely, všechny úplně stejně vypadající a stejně pojmenované Orechovo. První byla pekelná ubytovna. Naštěstí mě tam nechtěli. Druhý byl o trošku lepší, před třetím už stála docela nová auta. Nakonec to tu je docela pěkné. Ale už tu sedím a mají dokonce internet.
17.6.2014 18:51
Pokud mam teda hodnotit, tak Moskvani super. Lidi vypadaji jako lidi, ne jako gang cernejch pristehovalcu smrdicich kebabem a jinejma africkejma puchama - porovnej s Parizi. Zensky se stroji jako zensky. Ne jako tetovany rokerky v teplakovejch bundach a volezlejch tenaglich - porovnej s Ceskem. Dokonce i mila pani v
"kassa" v metru me rozumela "jeden deň".
17.6.2014 15:53
Uff venku z letiste a nikdo me notebook nezabavil :-)
17.6.2014 15:31
Prvni dve stranky v rustine jsou za mnou a normalne, dostali jsme k obedu v letadle i vino. Tak to je parada. Jo a pouzil jsem svoje prvni ruske slovo "jablecnyj" na objednani dzusu :-) nevim jestli to bylo dobre, ale dostal jsem fakt jablecny :-) Furt nevim ale jak se podekuje...
17.6.2014 9:40
nevím proč ale na letišti se mi vždycky chce čurat tak 2x za půl hodiny
17.6.2014 9:26
sedim v buse a zrovna jsem se zamiloval do Ruštiny. To je úplně stejný jazyk, jako čeština. Akorát to má jiný font. Například "pravaja ruka sudorožno sžimala dumku, a levaja razmazivala po licu sljezi i sopli." To je prostě paráda!
12.6.2014 21:55
Takhle neznej klid ve meste na ulicich je tu kvuli fotbalu?
11.6.2014 5:53
Cd je cd. Jako vzdy. Sice se borci rozhodli, ze budou v jednicce davat tzv. "premiove sluzby", coz obsahuje noviny a pul litru vody, a je to prijemne vylepseni, ale zretelne nepochopili jak se s tim chovat k zakaznikum - tento tyden rano nejezdi jidelnak, takze voda neni. Kdyby to nebylo cd, tak by to nejak zaridili. Kdyby takovy SA jednou jeli bez kafomatu, tak uz by s nima priste nikdo nejel. Chapu, ze treba kuchar dostal prujem a musi tenhle tyden vydrhnout po nem jidelnak, ale ze by jim dosly zasoby vody a trvalo tyden to doplnit?
10.6.2014 6:29
od 17.6. do 22.6. budu na MVP summitu v Rusku. Dneska jsem v agendě objevil něco, co se jmenuje "Geek Speed Dating", bez udání obsahu. Od 19:00-20:00. Tak nevím, co to má jako být?
9.6.2014 8:56
dorazilo mailem k mé rychlovce o OMV a ibod:

to není věc OMV, ibod je přejmenovaný Bonus program od České spořitelny. Nedávno mi přišel e-mail, že mají super akci ve spolupráci OMV. Vzhledem k tomu, že tankuji u Tank-Ono pokud to jen trochu jde, tak jsem to ani nečetl. Ale je to tak, že "slevu nedostaneš zadarmo" aneb "čím déle spoříte, tím méně máte "...
2.6.2014 18:28
Dneska mě nadchlo OMV. Mají teď novou kartu. Jmenuje se to ibod.cz. Za jeden litr dostanete 1 bod. Za 10 bodů dostanete 1 Kč slevu. Tzn za cca 370 Kč je to sleva 1 Kč. Nebo třeba 5,5 Kč na plnou nádrž. To jsem se smál, až jsem se za břicho popadal :-)
2.6.2014 14:40
Na jedné mašině jsem právě nalezl uživatele UpdatusUser. Má to popisek: "Used to provide NVIDIA software updates". Co tohle proboha má znamenat???
29.5.2014 7:59
Ooo boze. Tu v restauraci Olive vymenili zamestnance. Squadra kompetentnich a aktivnich chlapu tu byla par mesicu asi jen kvuli rozbehu - pripadlo mi to podezrele. A potvrdilo se. Nastoupila parta ukrajinek, ktere ani po tydnu jeste neumi namarkovat nic na pokladne, pripadne stoji za pultem, nedela nic a ani tak si neni schopna vsimnout dalsi prichozi osoby, ktera pribyla k te jedne jedinne, co tam uz nejakou dobu stoji. O boze.
28.5.2014 12:48
testováno na důchodcích? proč asi? zřejmě kdyby se to někde vysekalo, aby se minimalizovaly ztráty :-) přijímají zřejmě jen adepty s už propadlým úmrťákem :-)

článeček zde
21.5.2014 23:01

k Altairovu včerejšímu komentu ohledně PowerShell bych možná doplnil i svůj oblíbený duet Hejma-Babica: „ty vole, vždyť se to nedá žrát“ – „ale můžeš si to vařit doma“

20.5.2014 18:24

po mé dnešní přednášce o PowerShell pro vývojáře Michal Altair Valášek prohlásil toto, cituji: „Po talku soudím, že PS má srozumitelnost Perlu, syntaktickou eleganci PHP, rychlost Javy a editační pohodlnost JavaScriptu“. Řek bych, že má pravdu :-)

14.5.2014 11:35

k lenovo klávesnici jsem také dostal následující pěkný odkaz: http://diit.cz/blog/jak-moc-lze-zprznit-rozlozeni-notebookove-klavesnice

14.5.2014 7:34
To snad není ani možný. Nový Lenova, podnikový T5xx nemají klávesu Pause? To se někdo asi zbláznil. Hlavně že ušetřili těch několik kilogramů a tolik plastu. Ekologie je to hlavní :-)
24.4.2014 22:01
Prave jsem v budejovicich na namesticku u Slavie zazil neco nepochopitelnyho.
24.4.2014 16:19
krása powershellu - jak zjistit IP adresy všech DC: (dsquery server -o rdn | % { [net.dns]::resolve($_).AddressList[0].IPAddressToString }) -join ','
24.4.2014 9:52
zdá se, že se zvýšily minimální instalační požadavky na Windows 2012 R2 - setup se mi odmítl zpustit při 512 MB a musel jsem tam přidat na 768 MB RAMu. No totó :-)
18.4.2014 12:18
Právě jsem dostal od alzy "nabídku přesně na míru" ve formě zlevněnýho "Elektronická licence Symantec Norton Mobile Security 3.0 na 24 měsíců". Co myslíte, koupím já si to? :-) Vždyť je to přesně mě na míru! viz moje dřívější: 
zde a zde
18.4.2014 7:04

tak konecne po letech snad, se mi na java.com zobrazilo “congratulations, you have java”. Ne ze by me to nejak tlacilo, mit ji, ale kdyz uz se to tu roky aktualizuje a nikdy to nefungovalo... Taky by me zajimalo, co to je za trapnost, aby mi to porad nabizelo ten podivny Ask toolbar. To snad nema Oracle za potrebi, ne?

16.4.2014 17:40
Tak na Windows 8.1 je sluzba Spot Verifier. V pristi verzi to bude nejspis uz rovnou G-Spot Verifier :-)
10.4.2014 17:32
Head shot or chest shot? Well, ma'am, I favour the throat shot. If you hit it just right, you can make their heads come off.
10.4.2014 15:49
Jasne, jak radi "bezpecnostni experti" tak nejlepsi je - v okamziku, kdy se provali nejaka openssl dira v implementaci TLS (kterou tam stejne dala NSA), a je k tomu konecne dostupny verejny exploit, ktery si muze kazdy stahnout - zacit zbesile menit hesla.

Tzn. slusne weby stejny neprenasely heslo uvnitr TLS v plne forme, ale i vevnitr sifrovane. Takze ho stejne nikdo nezna.

Zatimco jeho zmena se bude zarucene prenaset v plne clear-text forme, takze je to sen kazdyho hackera, abyste si ho urychlene zmenili driv, nez ti webari svoje linuxovy plecky zaaktualizuji

A to stoji za to!
9.4.2014 8:37
Baj baj windows xp!
7.4.2014 8:13
Tak zase jednou hezke pondeli!
4.4.2014 9:55
Tímto oznamuji a rovnou si i gratuluji k narození dcerky Jůlinky, dneska v 5. Ne že bych na tom měl moc velkou zásluhu, odrodilo se to samo zatímco já jsem spal s Jankem doma :-) Dobré na tom je, že původně trošku ohrožené konání dvou WUG událostí v Brně a v Trenčíně v týdnu po velikonocích je v pohodě. Špatné na tom je, že nevím, jak proběhnou moje livemeetingy, ale vynasnažím se to uskutečnit!
2.4.2014 9:20
proč vůbec bych si někde nastavoval DNS server 8.8.8.8. Vždyť forwarding nepotřebujete. Váš vlastní DNS server může bez problémů dělat kompletní překlad pomocí root serverů, ne? V podstatě vůbec nechápu, proč se forwarding používá. To bylo dobré před sto lety, kdy se těch několik DNS dotazů denně přenášelo po holubech a trošku to přece jenom zatěžovalo zbytek firemního připojení k internetu.
http://technet.idnes.cz/turecko-presmerova-internetovy-provoz-f0u-/sw_internet.aspx?c=A140331_122224_sw_internet_vse
1.4.2014 15:51
Dear Ondrej Sevecek,

Congratulations! We are pleased to present you with the 2014 MicrosoftR MVP Award! This award is given to exceptional technical community leaders who actively share their high quality, real world expertise with others. We appreciate your outstanding contributions in Enterprise Security technical communities during the past year.
1.4.2014 14:08
Minulý týden jsem narazil na pěkné porovnání kvality Bing vs. Google. Prostě jsem potřeboval zjistit, jak dostanu do Windows 2012 Flash Player plug-in. On je baj dyfólt ve Windows 8, takže na Windows 2012 musí být taky. Tak jsem to šel vyhledat. Jako náhodou se mi připletl do hledání Bing, takže jsem to zkusil a vidím, že nic nevidím. Tak jsem to zkusil na google s úplně stejným dotazem a hned první odkaz. Tak to prostě je, milé děti. Zkuste si sami vyhledat:

windows server 2012 internet explorer flash player add on
28.3.2014 12:11

To je klasika - zase jeden chytrej z VMWare se snazil nahradit Sysprep, jako jedinou podporovanou metodu klonovani pocitacu:
link tady

Takze je snad kazdemu jasne co to znamena. Ten jejich QuickPrep je na hovno. Protoze kolik dalsich programu s tim nebude fungovat, he?

20.3.2014 20:43
a uz je skoro tri hodiny jaro!
20.3.2014 16:15
Dnes me opet potesil Reacher: "I could impress upon them the error of their ways"
17.3.2014 19:19
Tak restaurace u Bulinu ma znovu jednicku s hvezdickou. Nene, se dvema. Nekurak, luxusni plzen, luxusni koleno. Ale hlavne, extremne prijemna obsluha ve forme asi deseti cisniku. To se casto nevidi.
11.3.2014 12:24
5.3.2014 20:24
4.3.2014 9:02

http://vladimirkroupa.blog.idnes.cz/c/399193/Neprehodnotime-pristup-alespon-k-zakladnimu-vojenskemu-vycviku.html

 

za mě ne. Nevím proč by byl potřeba povinný výcvik. na to, aby se lidem rozdaly kvéry a poslali se do akce stačí když je bude 14 dní někdo buzerovat. já bych se spíš zabýval otázkou, na co je nám protichemická specializace v NATo. až na to dojde a někdo nás napadne, tak bude zbytek NATa akorát kecat vo tom, jak přestanou jezdit do ruska na dovolenou a jak tahle sankce chudáka putina úplně vypumpuje a my tady budem pobíhat v gumovejch pláštěnkách

 

podle mě je ideální, aby si každej dom koupil kvér. další válka bude evropská a bude přirozeně v podstatě občanská, tudíž gerilová. takže nejlíp člověk udělá, když bude mět doma luparu a pořádnou pixlu nábojů, aby mohl ty němčoury, co mu přijdou znásilnit manželku a děcka, pěkně provětrat.

3.3.2014 18:59

dorazilo mailem, sice už před 14 dny, ale pořád relativní. Takže děkuji!

 

k informacím na vašem blogu jen doplňuji, že už vyšla oprava na ten problém s čipovými kartami a novým klientem RDP 8.1 na Windows 7.

http://support.microsoft.com/kb/2913751

Kromě toho také vyšla nová verze RDP 8.1 klienta pro Windows 7.

http://support.microsoft.com/kb/2830477

28.2.2014 0:33

Aktualizoval jsem právě svoje dva skriptíky na testování Exchange Autodiscover a Exchange ActiveSync.

 

Ke stažení je to tady:

https://www.sevecek.com/Files/ActiveSync-Testing.ps1

https://www.sevecek.com/Files/autodiscoverTesting.vbs

 

Případně i jejich TXT verze:

https://www.sevecek.com/Files/ActiveSync-Testing.txt

https://www.sevecek.com/Files/autodiscoverTesting.txt

27.2.2014 20:20
Zkusil jsem strcit do samopokladny v tescu tu v praze dvojeuro. Dalo mu to zabrat, ale nakonec to vyplivnul.
27.2.2014 20:04
Those guys didn't search my pockets?
No
I should kick them in the head again. It might raise their IQ.
26.2.2014 20:58
... but Reacher's personal rule of thumb was never to revive a guy who had just pulled a gun on him. He was fairly inflexible on this matter.

Je to proste drsnak :-)
25.2.2014 16:06
nejlepší olympijské hry pro česko v historii - jsme pátí v pořadí podle počtu medailí na světě:
http://vetvicka.blog.idnes.cz/c/398025/Nase-nejlepsi-hry-skoncily-Ale-byla-to-ruske-Hry-Zapomente.html
teda jsme - no prostě chápu, že já nejsem, to jsou ti sportovci, ale stejně je to dobrý pocit :-)
24.2.2014 10:43
The NSA is the only branch of the government that actually listens to people.
21.2.2014 11:24
Eset je opravdu super bezpecny firewall. Kdyby to cas od casu neco nehlasilo, tak by si to zrejme lidi nekupovali :-)

"Detected attack ICMP Flooding".

To je zajiste jeden z nejvic nejnebezpecnejsich ultraznicujich utoku na svete!
21.2.2014 9:57
Tak to se na mě nezlobte, ale někomu v MS zřejmě hráblo. Jako admin si přidáte novou klávesnici. Například anglickou. Nastavíte si ji jako výchozí. Ale jen pro sebe. klávesnici pro přihlašovací obrazovku vás změnit nenapadne, samozřejmě vás to neupozorní. Založíte nový účet a dáte mu heslo se speciálními znaky. A pak se na něho nepřihlásíte, protože ten nový účet nemá na své přihlašovací obrazovce anglickou klávesnici. A ani on-screen-keyboard neumí přidávat klávesnice. Tolik let vývoje!
19.2.2014 15:53
Aaaaah, zase po mesicich nejlepsi zmrzlina na svete! Ve Zline v cukrarne.
18.2.2014 12:04
Jsem uz podruhe v Comedor v Ostrave a opet paraaadni!
10.2.2014 16:45
Dobry baleny makovy zavin je tezko sehnat. Zde moje zkusenost: tesco super, penam super, delta fuj. Tedy samozrejme nevim, jestli se to nelisi podle mista vyroby. Situaci budeme pro vas i nadale sledovat.
10.2.2014 9:41
Hezke pondeli! Chapu ze to je spatny den, tak proto vam preju aby byl aspon trosku lepsi :-)
6.2.2014 14:42
vcera nam prisel spam s prilohou january.scr. bylo to opravdu dobre napsane,
ze jsem si sam nebyl jist (50:50), jestli to je spam/vir, nebo opravdu report pro kolegu.
prohnal jsem to 36 antiviry a vsechny tvrdily, ze je to CISTE/OK. radeji jsem to smazal, kolega nic necekal.
dnes to zna porad jen 7 z 36 (Trend Micro, F-Secure, Dr.Web, BitDefender, AVG, AVAST!, Arcavir) !!!
Neznaji to porad ani NOD32, Microsoft, Symantec, ClamAV, Comodo, Kaspersky, McAfee...
http://r.virscan.org/report/ef11824b8c5508478045aff492d3029d.html
5.2.2014 6:50
heslo je pořád jenom heslo. ztížit prihlašování je samozřejmě žádoucí, ale pokud je ten útočním internistou, tak to je úplně zbytečná komplikace:

http://ekonomika.idnes.cz/ceska-sporitelna-zvysila-bezpecnost-dst-/ekonomika.aspx?c=A140204_223159_ekonomika_zt
1.2.2014 9:05
Je u nas na navsteve holcicka, ktere jeji mamka rika NATka. No ptal jsem se, jaky ma na sobe portforvardingy, ale nesetkalo se to s pochopenim :-)
31.1.2014 16:29
přišel mi dobrý spam - review alcohol rehab centers :-)
30.1.2014 11:05
ještě že XPčka už konečně končí, protože když máte uvnitř winnt.sif hodnotu AutoPartition=1, tak si to nevybere první HDD na IDE 0/0, ale druhý HDD, tzn. na IDE 0/1. Jako u blbejch. Bez ohledu na velikost volného místa.
27.1.2014 12:59
zaktualizoval jsem článeček o AppId a HTTPS binding pro Windows 2012, kde už je direct hosting i pro AD FS a na Windows 2012 R2 i pro Web Application Proxy (WAP):
http://www.sevecek.com/Lists/Posts/Post.aspx?ID=9
27.1.2014 9:47
na windows 8.1 zmizelo z průzkumníka Map Network Folder?
21.1.2014 23:21
Soucasti vybaveni ctyrhvezdickovyho hotelu jsou spubty do usi?
21.1.2014 17:30
Diky za ShowIT Kosice, byla to parada!
20.1.2014 9:34
Zase na ceste do svych milovanych Kosic. Jenom je skoda ze je tak sychravo. Jizda pod Tatrami, to vzdycky miluju. Tak pekne pondeli a usmejte se, to clovekovi zvedne naladu.
19.1.2014 10:25
Tak gay spam jsem snad jeste nedostal :-)
16.1.2014 17:17
tak MS nám pěkně zdražil MCT - od června 2014 bude stát roční MCT licence - tedy možnost školit autorizované MCT kurzy - už 800 USD oproti stávajícím 400 USD. Pěkně pěkně. Dobrá metoda jak nasrat zákazníky nepřímo. Místo aby MS vytáhl prachy přímo ze zákazníků, zvýší cenu za lektora a tím nechá školící střediska, aby zvedla cenu studentům sama.
15.1.2014 8:26

libí se mi názvy souborů aktualizací pro SharePoint Foundation - ubersts :-)

14.1.2014 5:57
Hezky den vsem! Chtel jsem vam to poprat uz vcera, ale nakonec me to pondeli nejak premohlo :-)
9.1.2014 8:39
něco nostalgie za Windows XP: http://jensovsky.blog.idnes.cz/c/390744/Konec-XP-konec-jedne-ery.html

8.1.2014 0:34
Ultraprace na prevodu libovolneho HTML na prosty text konecne dokoncena. Uf.
6.1.2014 8:31

dorazilo mailem ohledne kvality ridicu v Norsku:

 

treba v CapeTownu v JAR meli system, ze semafor byl az ZA krizovatkou (jako by se

u nas semafory otocily o 180’) a platilo tam pravidlo, ze i kdyz svitila cervena, ale z prava

(jezdi vlevo jako v Anglii), tak clovek mohl doleva jet. Meli tam jeste nejake dalsi podminky, nekdy se mohlo jet i rovne nebo doprava. Ve meste to bylo jinak, nez mimo... mel jsem auto pujcene jen na 1 den, tak jsem to odmitl studovat a proste jsem stal na cervenou jako v CR a kdyz na mne zacla auta za mnou troubit, tak jsem teda jel ;o))

27.12.2013 20:02
Jak jsem právě zjistil, cmdlet Test-Path v PowerShellu testuje existenci i hvězdičkových (wildcard) jmen - tzn. pokud si necháte otestovat něco jako tools*.iso, řekne to $true i v případě, že tam je takových .ISO několik. Týjo, nevím jestli to je zrovna přesně ta funkce, kterou bych očekával. Někdy moc agilnosti škodí.
27.12.2013 11:37
povánočních 12km se projevilo pěkně ztvrdlýma nohama. neva, aspoň jsem snad vypotil něco cukroví.
24.12.2013 8:53
Hezke vanoce vsem!
18.12.2013 20:35

jak indžektnu autounattend.xml do virtuální diskety .VFD? Když nemám nástroj, který by tu disketu dokázal mountnout, nebo nějak jednoduše editovat? A musím to udělat co nejjednodušeji v PowerShellu? Vyrobil jsem si prostě šablonový .VFD, který obsahuje autounattend.xml soubor. Jenže ten soubor obsahuje jen samé XXXXXXXXXXX. 60 kB iksek. No a já to prostě otevřu binárně jako soubor a tu dlouuuhatánskou sekvenci prostě natvrdo přepíšu nějakým skutečným XML, které zrovna potřebuju, a zbytek doplním mezeram. No není to geniální?

18.12.2013 13:25

Tak to mě podrž. Zkusil jsem teď zrovna Autoruns od Sysinternals a ti inteligenti filtrují hodnoty v klíči Run, které spouští nějaký PowerShell skript jako „Windows entries“ a tudíž to nezobrazují. Tak to je opravdu inteligentní řešení. Dokonce to hlásí, že je vše korektně digitálně podepsáno, bez ohledu na to, jestli je ten skript digitálně podepsán, nebo není. Trapárna! Jak říkám už dlouho, rusinovič není žádnej lumen.

14.12.2013 10:51
FW: problém s připojením RDP za použití čipových karet.

Zřetelně to MS s těma novýma klientama zrovna nevychytal:

A tady je dalsi apdejt kurvic dole v mailu. Mozna kombinace tech dvou.
Tak jsem nakonec našel aktualizaci, která dělala problém. Po jejím odstranění už vše funguje.
http://support.microsoft.com/kb/2830477/en
14.12.2013 10:50
přišlo mailem, tak bacha:

Už jsme na to narazili několikrát. Když si člověk nainstaluje volitelnej update http://support.microsoft.com/kb/2592687 tak se při připojování na RDP přes TS Gateway v tý sešně nenačte čipovka, jako kdyby nebyla do compu vůbec strčená. Odinstalace toho updatu to spraví.
6.12.2013 16:10
Shiiiit, ulitlo mi letadloooo
6.12.2013 12:40
Clovek by neveril ze i v norsku muzou silnicari zaspat :-)
6.12.2013 9:13
napětí vrcholí, odletím či neodletím?
6.12.2013 9:00
celý týden měli fazole, ale nebyly pálivé. nakonec, dnes, se mi podařilo objevit tabasko. bomba. takže snídaně v klidu, buřtíky, vajca, pálivý fazole, šunka. dneska sem si nedal žádnou zeleninu. teď mě bude blbě až do zítra. ale jsem šťastnej
5.12.2013 21:09
Tak pomalu konci muj tyden stravovani u macdonalda. Musim rict ze tu v norsku je to fekal. Maximum fekal. U nas je mekac pomerne luxusni restaurace s kafeem. Tu je to nejlevnejsi pajzl, levnejsi nez kebab. A taky je to primerene poznat na zakosich. Za celou dobu sem takovy lidi na ulici nepotkal, zrejme se zdruzujou jen v mekaci. Popravde sem si dycky koupil burgra a rychle vypadl, protoze se po me hladove divali. Jo a uvnitr se misi puch tech typu s nahulenim - tu prakticky nedite ze by nekdo kouril, zato ve vchodu do meka vsichni a pekne to tahne dovnitr. Fuuuuj. Tesiiim se do svyho cistyho a vonavyho ceska.
5.12.2013 19:27
Nadhera, vybehl jsem si z bergenu na kopec s krasnym, byt nocnim rozhledem, 450mnm. A ted du na cheeseburgea :-)
5.12.2013 14:12
máme tu vichr jako prase, hladina moře se zvedla o metr. paráda. letadla pořád odlétají, doufejme že jim to vydrží až do zítra :-(
5.12.2013 10:08
nechápu, čím se tu stravují - ke snídani studený vajca, k obědu studený bagety, k večeři jalová vodová polívka bez pevných kousků, naštěstí aspoň trošku teplá. jedinej pořádně teplej žvanec co sem zatím měl byl čízburgr :-)
4.12.2013 13:34
google streetview je pěkná věc, ale pro norsko totálně nepoužitelná. ti blbci to totiž všechno vyfotili přes den. v norsku? kdy se člověk po norsku pohybuje přes den? slunce vychází v 10, zapadá ve 14, normální lidi tu žijí v noci. Akorát to prostě nejde přepnout na noční vidění :-(
3.12.2013 21:35
K veceri jsem mel chrestovou polivku, ne ze by sla poznat v te vode nejaka chut, ale hadejte, jak jsem to poznal?
3.12.2013 18:13

pokud používáte Hyper-V replikaci a ověřujete se pomocí TLS/SSL ceritfikátu, tak si raději přepněte službu Hyper-V Virtual Machine Managemt (VMMS) tak, aby startovala Automatic (Delayed). Při restartu totiž ten blbec startuje moc brzo a je možné, že v tom okamžiku ještě není schopen ověřit platnost certifikátu (CRL cesta – the revocation function was not able to check certificate revocation). V tom okamžiku nezapne replikaci, certifikát nepoužije a navíc je takový kretén, že to nezkusí znovu sám za pár minut, ale musíte přijít a tu službu restartovat růčo. Peklo.

2.12.2013 8:57

v 9 nám začíná svítat

1.12.2013 21:25
a poslední dnešní hláška: právě si listuju wifinama a v seznamu je wifina nazvaná "lick my balls"​
1.12.2013 21:24
a jako dezert jsem si koupil (zmensenou verzi, jen 65gramu) svoji oblibenou ritter sport za 100 czk a ostychave si vychutnavam jeden z 12 kousicku. Musim si to rychle utrhnout od huby, tohle mam na cely tyden. Planuju ze jak dorazim dom, koupim si tri cele velke a na miste je zadavim! Zabinkovi sem slibil pohled, tak to napisu a jdu spat.
1.12.2013 21:24
... ceny v mac donaldu stejny jako u nas, bohuzel v nokach, tzn jen 3,3 vetsi. Kebabek s kukurici??? Za lidovych 270 CZK. Ale objevil jsem prave cim se budu cely tyden zivit - cheesburger stoji jenom 33 CZK, jeste ze sem si vzal bezecky vybaveni :-)
1.12.2013 19:46
... hotel za pouhych 4500 CZK na den, tak aspon ze v cene je i vecere :-) ale ne o vikendu :-( jdu si koupit rohlik a burta.
1.12.2013 19:23
... litr benzinu 49,- CZK, norkove zrejme nechapou pojem jizdni pruhy, ridic busu nezna cervenou, nebo mozna pro ne neplati :-) ...
1.12.2013 18:44
... zadny snih, pocasi jak u nas, norky skaredy jako vzdycky, ridic v buse mluvi anglicky, nemecky a francouzsky (a teda zrejme norsky, ale to nepoznam :-)) ...
1.12.2013 18:39
Letiste bergen - placenej inet i v tomhle socialistickym raji. Jizdenka busem do mesta, bratru 90 noku tzn 310 CZK. Aleeee co jeeee kuuuul, bus obsahuje free wifi.
1.12.2013 14:24
Hacker nad hackery - sice pisou, ze frankfurti wifi vydrzi jen 30 minut, ale kdyz zadam jiny ze svych mailu, tak jedu dal. To bylo tezke :-)
1.12.2013 13:40
Klobaska ve frankfurtu me zpravila naladu a ani sem se nepobrindal hortici
1.12.2013 13:26
Fekal hardkor. Uz vim, proc je dobry sedet v letadle u vokna. Ale je teda pravda, ze nechapu, proc ta krava musela tim svym blitim pocakat obe strany ulicky. Tentokrat poslouzila i pritomnost jakesi korpulentni dederonky na sedadle vedle, coz by me normalne dost stvalo, ale jeji obri uces vychytal vetsinu pevnejch kousku.
1.12.2013 9:48
Ode dneska litam uz jenom z vidne - vsude free wifi a stolecky se zasuvkama zadarmo. Parada!
1.12.2013 7:08
Na ceste do norska, prave mijime Mikulov a odjizdime z meho milovaneho ceska. Uz tak je to opruz, byt 6 dnu sam v cizine a to sem jeste zapomnel doma kameru, kurva.
28.11.2013 15:57
​Backup exec na windows 2012 failer clusteru zatuhava celou masinu a vyzaduje tvrdy restart
22.11.2013 10:45
Moje prezentace za poslední dobu jsou všechny k dispozici zde: http://www.sevecek.com/Presentations
22.11.2013 0:46
booože, MS si prostě nedá pokoj s tím nepřetržitým přejmenováváním, aby se člověk nenudil. Celkem mě to ale oprudilo, když jsem teď v 0:45 hledal v menu na Windows 2012 R2 Hyper-V volbu "snapshot" a ono se to teď jmenuje "checkpoint".
21.11.2013 15:44
o.
19.11.2013 10:47
miluju javu: https://forums.oracle.com/message/11247553
19.11.2013 8:49
ti američani musí mít úplně vygumované mozky - se nedivím, že tam každej odposlouchává každého - pokud jsou ochotni si připojit svůj osobní počítač do firemní/školní domény - "Allows you to join a domain so that you can connect to your corporate or school network."
15.11.2013 8:08
perlicka, tak uz i cisco http://www.networkworld.com/news/2013/101713-cisco-nsa-backdoor-274965.html
14.11.2013 20:25

přidal jsem si novou kategorii (Anti)hacking a rovnou jsem do ní vložil několik existujících článečků.

14.11.2013 8:19

hurá, konečně je k dispozici RSAT pro Windows 8.1

13.11.2013 10:04

prislo mejlem ohledne meho posledni clanku o vykradani hesel:

 

Ale mne se to zrovna hodi jako dalsi argument, proc nemaj ani programatori a admini delat pod adminskejma pravama. Samozrejme to vzbuzuje docela velkej odpor. Ja uz teda adminsky prava na beznym uctu nemam ani v praci ani doma a neni to vubec problem. Programatori teda dostanou taky dalsi ucet s adminem.

 

No a cipovku pro vsechny lidi i pro beznej ucet uz jsem prosadil. Zatim teda pro zjednoduseni jen z domova, z prace by furt slo i heslo. Casem treba ani to ne. Vsichni krome programatoru maj uz par let aktivni SRP, tak to je v poho. Takze ke zhruba 100 cipovkam nakoupit dalsich asi 50 :)

12.11.2013 17:10

moje slajdy ze včerejších GOPAS Raňajek najdete zde: http://www.sevecek.com/presentations/GopasRanajky

8.11.2013 12:48

http a https mixed content: zkusíme absolutní odkaz na https://www.google.com a potom obecný odkaz na //www.google.com

7.11.2013 7:14
Dnesni zpravy: v nemocnici zaplatite 60,- za den, deti to maji zadarmo. To je jak reklama na pobyt v nemocnici pro deti. All inclusive, lepsi nez pionyrskej tabor, zadny latriny splachovaci zachody a kakao s loupackem
6.11.2013 1:01

a další WUG SK se nám urodil v Trenčíně, a to hned teď v pondělí 11.11. ještě na poslední chvíli.

4.11.2013 19:52

uj, úplně jsem přehlédl v mailu – musím prozkoumat, to nevypadá vůbec dobře:

novy IE11 zmenil AGENT-STRING, takze ho nepoznají ani nektere Microsoft web aplikace a nefunguji /třeba Exchange 2010 Outlook Web Access [OWA]/ ;o((

http://www.itwire.com/opinion-and-analysis/the-wired-cio/61955-windows-81-internet-explorer-11-incompatibility-with-exchange-server-owa

me Compatability nepomaha, jen ten InPrivate browsing

4.11.2013 19:51

a) WUG SK - Bratislava - 14.11. - Čtyři problémy AD replikací a jak se jim vyhnout

b) WUG CZ - Praha - 11.12. - Vzdálený přístup (VPN a DirectAccess) a přihlašování pomocí certifikátů

už se těšíííím

31.10.2013 20:43
přišlo mailem - http://en.wikipedia.org/wiki/Norton_DNS
Zkuste si doma nastavit jejich DNS, vypadá to jako další úroveň ochrany a navíc zdarma (pro domácí použití). Nezkoumal jsem, kolik to stojí pro firmy.

Moje reakce: nebo další úroveň NSA fejkování? :-)
31.10.2013 14:25
To se zase jednou povedlo: KB2765260 - Nástroj pro přípravu výrobků v SharePoint Server 2013 nemusí průběhu minulých. Tak to jo, jasně, prostě nemusí.
29.10.2013 15:18
Příští týden přednáším kurz GOC173 - podnikové PKI - v GOPASu v Bratislavě! Ještě pořád je možnost se přihlásit.
25.10.2013 8:02

moji prezentace What would a real hacker do to your AD z konference HackerFest 2013, kterou pořádal GOPAS najdete zde:

 

http://www.sevecek.com/presentations/HackerFest2013

24.10.2013 8:41
tak to je paráda. Mám tu 17 000 a potřebuju jejich členství ve skupinách vyexportovat do LDF. Jenže ouha, ten debil není schopen nahradit (pomocí parametru -C) jejich DN na DC=x. Tedy nahrazuje v pohodě, pokud to DN je uvedeno normálně v US-ASCII. Ale pokud to je zrovna Base64 zakódované kvůli nějakým regionálním znakům, ani prd.
21.10.2013 6:00
18.10.2013 8:13
tu je vylepšená verze, aby se tam nedaly zadat hodnoty větší jak 255:

(?:(?:\d|\d\d|0\d\d|1\d\d|20\d|21\d|22\d|23\d|24\d|250|251|252|253|254|255)\.){3}(?:\d|\d\d|0\d\d|1\d\d|20\d|21\d|22\d|23\d|24\d|250|251|252|253|254|255)
18.10.2013 8:01
regex na porovnání IP adresy vypadá takto - tedy pokud je to v řetězci pouze samo o sobě, jinak byste museli vynechat ty okraje \A a \Z:

\A(?:\d{1,3}\.){3}\d{1,3}\Z
15.10.2013 7:49

Dorazilo mailem:

 

Jak jsi mluvil na MS Festu o útoku na heslo pomoci bruteforce na grafikách tak jsem dnes shodou okolností narazil na tento článek http://www.zive.cz/clanky/tezba-kryptomen-je-novodoba-zlata-horecka/jak-tezit-efektivne/sc-3-a-170137-ch-88252/default.aspx. Je sice o něčem trošku jiném, ale v podstatě distribuuje výpočty na GK u mnoha lidí a teorie o 100 a více výkonných GK je možná blíže než by se zdálo. Copak ti lidé (těžaři) vědí co jejich GK počítají? Dostávají peníze za výpočetní výkon a víc je nezajímá.

14.10.2013 21:59
Cajovna s pekarnou? To je uz skoro jako Lidl :-)
14.10.2013 10:47

moje prezentace z konference MS Fest 2013 byly právě aktualizovány a najdete je zde: http://www.sevecek.com/presentations/msfest2013

13.10.2013 17:21

Děkuji VaškoviB že mi poslal tenhle úžasný odkaz:

 

http://www.youtube.com/watch?v=bKgf5PaBzyg

12.10.2013 22:43
Pan mcaffee rika:

"I'm constantly under attack, yet I use no software protection.

"I protect myself by constantly changing my IP [internet protocol] address, by not attaching my name to any device I use, and by not going on to sites where you might pick up a virus.

Se zhulil? Jak se chrani tou zmenou IP adresy?

10.10.2013 11:22
http://technet.idnes.cz/sonda-juno-nouzovy-rezim-0hy-/tec_vesmir.aspx?c=A131010_100409_tec_vesmir_vse

no co, nějakej ufon stisknul čudlík StandBy
8.10.2013 9:51
už v neděli MS Fest a moje 4 přednášky v Brně, v pondělí 21.10. následuje GOPAS HackerFest v Praze a 28.10. mám v Bratislavě GOPAS raňajky!
8.10.2013 9:07

malinka aktualizace materialu ke kurzum goc171 a goc173

1.10.2013 8:15
pro dnesek jen rychlovecka - jak spustim nejaky exe program z PowerShell s prazdnym argumentem? Napriklad bych potreboval spustit toto:

CERTUTIL -setreg CA\CRLPublicationURLs ""

V jazyce PowerShell to ale ten parametr vubec nepreda. Musi se to tedy obalit do apostrofu:

CERTUTIL -setreg CA\CRLPublicationURLs '""'
27.9.2013 8:03
Konferenční podzim se rozjíždí. Nejprve MS Fest v Brně 13.10., potom MS Fest v Praze 3.11. a následuje Microsoft TechDays v Bratislavě 22.11.
24.9.2013 6:40
po prvotním nadšení nad D1 expresem se posledních pár měsíců internet zhoršuje mílovými kroky. teďka už vypínám wifi na celou cestu a mobiluju úspěšněji na Edge. peklo.
20.9.2013 14:19
no čím to je asi způsobeno, že iPhone odesílá smsky do británie? tahle chybka se jmenuje NSA: http://mobil.idnes.cz/ios7-skryte-sms-do-anglie-0xe-/iphone.aspx?c=A130920_121532_iphone_apo
19.9.2013 20:40
to je zajimave, NetBIOS jmeno domeny sice muze obsahovat cislice, klidne i na zacatku, jako treba 3TI, ale nemuzete udelat NetBIOS jmenem domeny, ktere by bylo jen z cisel :-)
19.9.2013 6:29
dříve Customer Experience Improvement Program (CEIP), dnes CIA Experience Improvement Program (CEIP).
18.9.2013 7:42
Proc by MS prilis testoval zaplaty? - http://www.aidanfinn.com/?p=15507 - Cim mene testu, tim vic trablu pro adminy, tim vic zajemcu o MS cloud, tim vic dat pro NSA.
14.9.2013 9:52
regulární výraz na matchnutí FQDN: (?:[a-zA-Z0-9-]+\.)*[a-zA-Z0-9-]+
12.9.2013 11:34
Kamarád mě upozornil na to, že CZ.NIC dělá "zadarmo" projekt distribuovaného firewallu - https://www.turris.cz/
12.9.2013 11:27
GOPAS pořádá seminář na téma hybridní vs. privátní cloud - viz. http://www.gopas.cz/Novinky/Seminar-na-tema-hybridni-privatni-cloud.
Jak by mohlo být patrno už rovnou i z názvu, seminář jenom o Office365 to nebude, což je pochopitelné, protože to nikoho ani nezajímá :-) Takže se přijďte poučit, co ten Microsoft pořád myslím tím privátním cloudem. Martin Pavlis vám to vysvětlí tak, že se toho už bát nebudete a uvědomíte si, že nejde ve skutečnosti o nic jiného, než jenom marketingové slovo, které někdo marketingařům v MS poradil a oni to teď používají, aniž by vůbec tušili, co blábolí.
11.9.2013 9:51
následující přišlo dneska od kámoše. Já k tomu jenom dodám, že kdo byl kdy v Americe, jeho otisky prstů stejně už mají. Akorát to teď budou schopni spárovat i s telefonem :-)

 "Samotný senzor pořizuje velmi detailní snímky vašeho prstu. Ti, kdo se obávají o své soukromí, mohou zůstat v klidu, Apple se dušuje, že tyto obrázky nebudou nikdy uloženy na serverech společnosti, přístup k nim budete mít pouze vy prostřednictvím vašeho zařízení..."
http://www.mobilmania.cz/clanky/iphone-5s-ctecka-otisku-touch-id-v-detailech/sc-3-a-1324737/default.aspx

A tomu dneska ještě někdo věří? :) Nedivil bych se, kdyby se ty otisky ukládaly rovnou do databáze FBI...
6.9.2013 8:43
můj včerejší mailový rozhovor s kamarádem:

On: Ty ještě koukám nemáš web na IPv6 ... 100 let za vopicema, dyť to říkám :)
Ze ----.cz jsem teda musel AAAA sundat, pač asi neběží konektivita od ISP.

Já: Seš holt ješte 100 let před vopicena :-)
5.9.2013 15:59

USB over Network má parádní support. Máme řádně koupeno s podporou a novými verzemi do konce roku 2013. Stáhl jsem tedy novou verzi 5.0, přeinstaloval (2x restart, paráda) a nelze zadat starý licenční klíč z původní verze 4.x s hláškou „incompatible license key“. Paráda. Takže vyplním support formulář u nich na webu. Nic. Za 8 hodin jim pošlu mail. Nic. Tak jsem přispěl ještě do diskuze a uvidíme. Zatím je to 2 dny od incidentu.

4.9.2013 10:55

Pokud vám USB over Network nechce a nechce nasdílet nějaké USB zařízení – nebo lépe řečeno, není vidět na klientovi a není ho možno připojit, zatímco na serveru vidět je – tak si vlezte na serveru do Device Manageru a to zařízení tam pravým tlačítkem odinstalujte. Tím nic nezkazíte, protože ono by se znovu hned detekovalo zpět, ale rozhodně tím právě umožníte, aby USB over Network to zařízení „podchytilo“ a korektně pod něho vložilo svůj vlastní ovladač. Restart počítače nestačí.

3.9.2013 23:47

hustýýý (jak by řekl můj Janek, teda nevím, jestli by to řekl v téhle souvislosti) dneska gůgluju jak se rychle vymažou všechny protokoly událostí a najdu svůj blog :-)

3.9.2013 23:41

tak já bych byl taky klidně pro, aby si mě někdo koupil za 5 400 000 000 EUR. Klidně vám dám i slevu, prodám rád veškerá práva na svoje jméno i přezdívku :-)

3.9.2013 5:48
Nokia by Microsoft, jak asi kazdy predpokladal :-)
2.9.2013 18:58

a v bleskové reakci na můj sen o armagedonu mi tu přišla zpráva z dobře informovaného zdroje, že ani s Office 365 to Microsoft možná nemyslí zas až tak vážně, jak to právě teď možná vypadá ...

2.9.2013 12:34

tu je bleskový návod, jak slušně nainstalovat Western Digital SES ovladače (například na USB harddisk WD My Book Essential, nebo WD My Passport apod.). Ty prasata, jak jsem tu již jednou uváděl, dodávají MSI balíček, které si můžete taky stáhnout u nich na webu. Nechat si nějaký MSI instalátor sahat na serverový systém, tak to fakt ne. Takže jsem si to naintaloval do izolované virtuálky. Bez ohledu na to, co vyberete za instalační cestu, nacpe to rovnou do Program Files\WDCSAM a pak ještě do DriverStore. Ale tam mě to nezajímá. Takže tohle udělejte do testovací VM. Vezměte si potom z toho Program Files adresáře WDCSAM všechny ty soubory (INF, SYS) a překopírujte si je na živý systém.

A v konzoli Device Manager kliknete na to nefunkční zařízení nazvané WD SES Device USB Device se žlutým vykřičníčkem a prostě necháte ovladače zaktualizovat z toho adresáře, kam jste si předtím INF a SYS soubory překopírovali. Nejnovější verze je z roku 2011, co jsem našel.

2.9.2013 12:21

a aby toho nebylo málo s Western Digital Essential USB HDD, tak ten ptáček sice instaluje ovladače pomocí MSI a ptá se vás na instalační cestu, ale pak to stejně hodí úplně do jiného adresáře WDCSAM. Tak to je prostě ukázka kvalitního indickýho superprogramátora.

 

2.9.2013 8:52

to si dělá Western Digital srandu? dodávat ovladače k tomu svému USB harddisku? proč to nemají ve Windows? to bude nějaká prdel, zřejmě. A teď to stáhnu a vidím, že to prdel nebyla. Dokonce se zbláznili úplně a dodávají .MSI. Prasata. Skončil jsem s WD. Děkuji. Sbohem.

 

29.8.2013 12:09
Podle zpravy od US Department of Defence, 79% utoku na mobily bylo na Android. To je necekanej zaver. Vzhledem k jejich market sheru je to uplne presna statistika :-)
29.8.2013 9:05
Win 8.1 RTM!!! bude k dispozici az 18.10.2013, do te doby udajne jen OEM.
28.8.2013 18:30

kontrola hodnoty PSČ v SharePoint sloupečku: =AND(ISNUMBER(VALUE(LEFT(PSČ,3))),ISNUMBER(VALUE(RIGHT(PSČ,2))),MID(PSČ,4,1)=" ")

28.8.2013 12:09

Naše letošní videa z konference ShowIT 2013 SK pomalu, ale jistě přibývají ke všem, které tam jsou z loňských ročníků také.

 

28.8.2013 8:40

jsem to vždycky říkal, že ty „moderní“ USB síťovky na VMWare mi TMG blokují na půl hodiny během restartu. A je to tak! Opět platí, hot-plug support je cena za serverovou nekompatibilitu. Pryč s VMWare!

 

Proč tuhle vymoženost Hyper-V nemá asi nebude úplně samo sebou.

27.8.2013 19:39
Tak Lync ta prašivá mrcha má cache Autodiscover v registrech - HKCU\Software\Microsoft\Communicator\<sip>\Autodiscovery a potom jeste HKCU\Software\Microsoft\Office\15.0\Lync\<sip>\Autodiscovery
Pryč s tím svinstvem!
27.8.2013 17:02
Multimedia keyboard with 12 HOT keys? Spalim si prsty, nebo vyskoci nejaky lechtivy obrazky? :-)
27.8.2013 11:17

přesměrování složek ve Windows 7 zřejmě vyžaduje, aby uživatel byl vlastníkem těch přesměrovaných složek, pokud už existují v okamžiku, kdy se to na stanici zapíná. Pokud neexistují, tak si je to založí automaticky v pořádku. Ale pokud na serveru už jsou, musím být jejich vlastníkem. Od okamžiku, kdy se to zapne už vlastnictví nerozhoduje, ale Win7 prostě odmítají to přesměrování zapnout, pokud nejsou vlastníkem. Podivné...

25.8.2013 11:04

uf, tak po 6 hodinách ladění instalace SP2 na můj SharePoint jsem vyřešil chybovou hlášku „SyncUpgradeTimerJob. Sleeping for 10 seconds. SPTIMERv4 is not running anymore. Return -1. The exclusive inplace time job failed.“ tak, že jsem prostě čekal v logu, až se tam objeví ta hláška o čekání 10 sekund a prostě jsem SharePoint Timer service nastartoval ručně a fíha, všecko doběhlo jak mělo.

23.8.2013 12:07

­­Zemanova cukrárna na Josefské sice vykazuje všechny znaky socialistického skanzenu, ale větrník byl dneska naprosto dokonalý, s pěkně navlhlým spodkem, tak to je správné, tak to má byt.

22.8.2013 22:26
Kuul fíčura jak stahovat a synchronizovat soubory přes HTTPShttp://feedly.com/k/15WGE1q
22.8.2013 19:01

Do háje, msDS-PrincipalName, které automaticky generuje login pro foreignSecurityPrincipal je k dispozici jako computed (constructed) atribut až od Windows 2008. škoda. bude to ještě trošku dřina :-)

18.8.2013 11:13

File Server Resource Manager (FSRM) zřetelně nemá problém se 120 000 quota položkami. Jenom zobrazení, pokud nemáte nějaký filtr, trvá přesně 23 minut :-) Trošku nevýhoda je, že ten filtr nejde změnit dopředu, ale musíte počkat, než se to všechno načte a až potom ho můžete změnit. V paměti služby těch 120 000 položek žere jen 600 MB :-), což taky není nic zásadního. Naprostá spokojenost.

17.8.2013 16:56

magický článek řešící všechny problémy typu „nelze odstranit IP adresa“, „není vidět nastavení IPv4 v GUI síťovky“ apod.: How to reset Internet Protocol (TCP/IP) KB 299357

17.8.2013 16:24
uf, naštěstí existuje cmdlet Convert-VHD, kterým se dá překonvertovat VHDX zpět do VHD
17.8.2013 13:31
mám podezření, že politika "Accounts: Administrator account status" nefunguje. Buď je to tím, že mám toho výchozího (-500) admina přejmenovaného, nebo že to prostě jenom tak nefunguje. Je potřeba použít Group Policy Preferences, ve kterých to funguje spolehlivě.
17.8.2013 8:14
dva poznatky:
a) nabizet v kavarne snidane az od 10:00 me pobavilo
b) sedet v kavarne na snidani je prijemne, krom faktu, ze jediny kdo tu sedi se mno jsou duchodci. Priste pujdu na snidani do hotelu :-)