Poznámky k vydání, četba povinná

Měli jste na škole rádi povinnou četbu? Mnoho takových neznám. Možná, doufejme, třeba právě i to, nikoliv jejich pýcha, má za důsledek, že mnoho IT profesionálů nečte poznámky k vydání.

Ale měla by. Protože by si pak jistě všimli dvou důležitých změn, které nám aktualizace následujících měsíců přinesou. Ať už z dílny Microsoft, nebo i Google.

LDAP a Windows

První důležitou změnou, která může zamíchat kartami a chováním nejedné lokální domény Active Directory, je změna popsaná v rámci ADV190023.

Tedy přesněji domén, kde jejich správci nevynutili již dávno kvůli vyšší bezpečnosti kontrolu LDAP (Lightweight Directory Access Protocol). Věc značně užitečnou, neboť dokáže eliminovat a znesnadnit celou řadu možných útoků, které mohou vést třeba až k převzetí domény útočníkem.

Jedná se zjednodušeně o vynucení šifrovaného a podepsaného přenosu informací tímto protokolem mezi serverem a klientem.

Aktuálně lze tuto konfiguraci provést ručně zásahy v registrech, pomocí doménových politik a preferencí. A musí se o ní postarat správce.

Ale již brzy dorazí aktualizace, která toto bezpečnější nastavení provede automaticky. V doméně, kde jsou všechny servery i klienti udržováni aktuální, by se ideálně nemělo mnoho stát. Pokud tedy neexistuje aplikace, u které její vývojáři na bezpečnost mnoho nemyslí a s touto bezpečnou konfigurací si neporadí.

Spravujete lokální instanci Active Directory? Pak nejvyšší čas se podívat do logů, zda se vás tato změna nemůže nějak negativně dotknout.

A jak testujete aktualizace? Že čtete podobné změny v detailech aktualizací a váš aktualizační proces neznamená automatické pravidlo ve tvaru „schval vše po 20 dnech“. Ověřujete, že sám WSUS nejen svítí zeleně, ale že v něm máte skutečně všechny potřebné klasifikace aktualizací?

Jestli si tím nejste jisti, je správný čas najít na to šikovného partnera.

Cookie a Chrome

Druhou a možná v důsledku zásadnější změnou je úprava chování cookies v rámci prohlížeče Google Chrome.

Ta má za cíl vyšší ochranu soukromí uživatelů. Na stranu druhou ovšem dokáže rozbít mnoho webových stránek a aplikací, které tak trochu počítají s původním chováním.

Čehož si jistě všimnou uživatelé. I zde je proto dobré v případě, kdy nepoužíváte jako primární prohlížeč Microsoft Edge, ale třeba Google Chrome, se porozhlédnout, které aktualizace a změny provést. Než se k vašim uživatelům dostane nová verze prohlížeče.

Třeba instalovat aktualizace pro Windows Server. Především, pokud slouží jako aplikační proxy, nebo jako federační server (AD FS) pro přístup k Office 365.

Nebo se podívat na již brzy vydané aktualizace pro Exchange Server a SharePoint Server.

I vývojáři by měli zpozornět a podívat se na novější knihovny pro .NET v jejich projektech, nebo na jejich aplikace vyvíjené pro Microsoft Teams.

Naštěstí zde má správce opět po ruce politiky a možnost konfigurace tohoto chování (aspoň nyní) a může nastavit, pro které stránky se tyto změny nepoužijí.