The following is a quick tutorial on a creating a windows service in Java using WinRun4J.

The first step is to download WinRun4J.

Now unzip it into any folder, create a new directory called service and copy over the following files from the download:

• WinRun4Jc.exe
• service.ini
• WinRun4J.jar
• WinRun4jTest.jar

Now rename WinRun4Jc.exe to service.exe and you should have a folder that looks like this:

Now we need a command prompt with Administrator priveleges. This can be created in Vista/Windows7 by going Start->All Programs->Accessories, right-click on Command Prompt and select Run as Administrator:

Now change into the service directory you created above:

To register the service with the Windows Service Control Manager (SCM), run the following command:

C:\downloads\service>service.exe --WinRun4J:RegisterService

Now if you start up the Windows service viewer you should see the WinRun4J test service:

You can start/stop the service using the service viewer.

The code listing for the service implementation is as follows:

package org.boris.winrun4j.test;

import org.boris.winrun4j.EventLog;
import org.boris.winrun4j.Service;
import org.boris.winrun4j.ServiceException;

/**
 * A basic service.
 */
public class ServiceTest implements Service {
    private int returnCode = 0;
    private volatile boolean shutdown = false;

    public int doRequest(int request) throws ServiceException {
        switch (request) {
        case SERVICE_CONTROL_STOP:
        case SERVICE_CONTROL_SHUTDOWN:
            shutdown = true;
            break;
        }
        return 0;
    }

    public int getControlsAccepted() {
        return SERVICE_ACCEPT_STOP | SERVICE_ACCEPT_SHUTDOWN;
    }

    public String getName() {
        return "WinRun4J Test Service";
    }

    public String getDescription() {
        return "An example service using WinRun4J.";
    }

    public int main(String[] args) throws ServiceException {
        int count = 0;
        while (!shutdown) {
            try {
                Thread.sleep(6000);
            } catch (InterruptedException e) {
            }

            if (++count % 10 == 0)
                EventLog.report("WinRun4J Test Service", EventLog.INFORMATION,
                        "Ping");
        }

        return returnCode;
    }
}

The main method is called from the WinRun4J launcher when the service is required to run. This method should not return until the service is shutdown.

The doRequest method is called by the WinRun4J launcher on a separate thread (i.e. the service control thread). This method should modify the state of the application based on the request type passed in. In the example we just modify the shutdown flag.

The getName and getDescription methods are called when the service is registered. These values appear in the service viewer.

The example service simply logs to the windows event log every minute.

Bu metinde genelinde win2000’nın ilk kurulumundan sonra sisteminizi daha güvenli hale getirmek için yapabileceğiniz işlemlerden bahsedeceğim. Öncelikle herhangi bir işletim sistemi üstünde güvenlikle ilgili çalışmalara başlamadan bilgisayarınıza yapmanız gereken ufak düzenlemelerden bahsedip, ardından win2000 sisteminizi daha güvenli hale getirmek için gerekli olan işlemleri anlatıcağım. Bunlar arasında gereksiz servislerin kapatılması, “system policy”nin ayarlanması, TCP/IP bağlantılarını filitrelendirmesi, hotfix ve SP’lerin önemi, korunması gerekli önemli dosyalar ve bunlara ek olabilecek ufak tefek bir kaç konu daha var. Başlıklar halinde sıralamak gerekirse:

• Fiziksel güvenlik
• Gerekli servisler
• Hotfix ve SP’lerin(Service Pack) önemi
• System policy ayarları
• Gereksiz altsistemlerin kaldırılması
• Önemli dosyaların korunması
• TCP/IP süzgeçlenmesi
• Ufak tefek işler

Fiziksel güvenlik:

Bilgisayarına kurlu olan herhangi bir işletim sistemin güvende olmasını ve dosyalarının kendisi ve izin verdiği kişiler dışınızdaki birileri tarafından değiştirilmemesi veya silinmemesini istemek her kulanıcının hakkıdır. Ama bunu gerçekleştrimek için bilgisayarı işletim sistemini aktif hale geçirmeden önce ve işletim sistemine giriş yaparken yapması gereken bazı işlemler var.
Bilgisayarınız açılırken eğer sizin dışınızda birileri BIOS’unuza kolayca girebiliyorsa ve burada yaptığı değişiklikleri aktif hale getirebiliyorsa bazı sorunlarla karşılaşma olasılığınız artıyor. Her ne kadar yeni bilgisayarların çoğunda BIOS’a nasıl girileceği başlangıçta gözükmese de bilen bir insan rahatlıkla BIOS içinde yapıcağı değişikliklerle ister bilgilerinizi çalma (öğrencilerin notlerını çalınması), ister biligilerinizi yok etme (tezinizin veya projenizin bulunduğu sabit diskin silnmesi) başarılı olabilir. Bu tür bir riski engellemek için BIOS’a girip sadece sizin aklınızda kalıcak biraz karmaşık bir şifre koyun (bu işlemi adım adım anlatamıyorum çünkü bir çok çeşit BIOS ekranı var ama hepsinde bir “password” seçeneği var.). Ama şifrenizi “sevdiğiniz bir arkadaşınızın adı, doğum tarihiniz, kedinizin adı, vb” gibi kolay tahmin edilicek kelimeler arasından atamayın. Biraz harf ve sayılar birlikte olsun.

İkinci adım olarak win2000 şifrenizden bahsetmek gerek. Yukarda anlattığım mantık çerçevesinde bilgisayarınız işletim sistemini çalışır hale getirdikten sonraki kısımla ilgili bir kaç uyarı daha yapıcağım. Win2000’ninizin şifresi de kolay bulunur (veya tahmin edilir) bir kelime veya kelime grubuysa biligilerinize sizin ve izin verdiğiniz kişiler dışında birilerinin ulaşması ve zarar vermesi kolaylaşıcaktı. Bunun için de yine biraz karmaşık bir şifre şeçmenizi öneririz.
Burada ufak bir note yazmak ihtiyacı duydum bu şifrelerin şifre olarak kalablimesi için de tanıdıklarınıza veya ofisteki diğre arkadaşlarınıza çok gerekmedikçe söylenmemesi gerekiyor.

Gerekli servisler:

Sisteminizi güvenli hale getirmenin en önemli adımı belki de gerekli servislerle, gereksiz servisleri bilmek ve gereksiz olanları kapatmak veya silmektir. TCP/IP’nini basitçe çalışması için verilicek servisler çok da karmaşık değildir. Asteriksli (*) olanlar gerekli olan minimum servisleri göstermektedir. (bu noktadan sonra İngilizce terimleri kulanıyorum ki bilgisayar ekranında burada yazılı Türkçe terimle karşınıza gelicek İngilizcesi terimi karıştırmamanız için)

• DNS client*
• EventLog*
• IPSec policy Agent
• Local Disk Maneger*
• Network Connection Manager
• Plug & Play*
• Protected Storage*
• Remote Procedure Cell
• Remote Registery Service
• RunAs Service
• Security Account Manager*

Servisleri iyi güzel söyledik de bunları nasıl kapatıcağımızı da anlatmamız gerekli. Servislere gidiş yolu; Start | Setting | Control Panel | Administartive Tolls | Services. Bundan sonra istenilen servisin üstüne gelip çift tıklandığında o servisin özelliklerini gösteren bir pencere açılacak (örnek: Resim 1). Servisi bundan sonraki açılışlara aktif hale gelmesini istemiyorsanız “Start type” alanından “disable” seçeneğini seçin ama unutmayın ki bu servis hala açık olan makinenizde kulanılmaktadır. Bunu durdurmak içinde yine aynı pencerede gözüken “Stop” düğmesine basarsanız artık o servis çalışır durumdaki win2000’inizde de çalışmıyordur.

Hotfixler ve SP(Service Pack)’ler:

Tavsiyemiz win2000’nızı kurdunuz ve servislerin bir kısmnı kapatını, sonra yapılacak en öneli iş “windos update” sitesine bağlanıp, gerekli kritik güncelemeleri yapmanız ve SP’leri de bilgisayarınıza yüklemeniz. Burada dikkat edilecek bir notka var; kulanmadığınız servislerle ilgili yamaları uygulamanın bir anlamı yok. Taii bını anlamak için kulnabileceğiniz bazı araçlar var. Hangi hotfixlerin eksik olduğunu anlamak için “Hfnetcheck.exe” doysasını microsoft’un sitesinden biligisayarınıza çekip kontrol edebilirsiniz. İlgi çekici bir örenk olduğ u için burada belirtme ihtiyacı duydum; Nimda virüsü yayılırken yaması yapılmamış IIS’ler (microsoft tarafından dizayn edilmiş bir web sunucusu) biligisayarlara ve ağ iletişimine zarar verdi.

System policy’in ayarlanması:

Biraz da “system policy”den bahsediyim (veya bahsetmiş olan amcalardan derleme yapıyım). Bunun için izlenicek yol; Start | Setting | Control Panel | Administrative Tolls | Local Security Setting. Açılan pencerede bir miktar oynama yapacağınız “Account Policies, Local Policies” var.
Burada yazan değerlerin hepsini yerine getirdiğinizde sizin bulunduğunuz şartlara uymayan bir durum ortaya çıkabilir. Bunu önlemek için önce kendi şartlarınızı gözden geçirin. Ondan sonra bu işlemleri yapın.

Password Policies

Enforce Password History Enabled (önerilen değer 5)
Maximum Password Age Enabled (önerilen değer 60)
Minimum Password Age Enabled (önerilen değer 5)
Password Must Meet Copmlexity Requirment Enabled
Store Password Using Reverse Encription Disabled

Account Lockout Policies

Account Lockout Treshold Enabled (önerilen değer 5)
Account Lockout Duration Enabled (önerilen değer 30)
Reset Account Locout Treshold After Disabled (önerilen “manual reset of account”)

Audit Policy

Aşağıdaki değerleri minimal düzeyde tutarmanızı önerilir (unutmayın ki kendi koşullarınıza göre).

Audit Account Logon Events
Audit Account Manegmen
Audit Logon Events
Audit Policy Change
Audit System Events

User Rights

Klasik kural: administrator her türlü hakka sahiptir, gerisini de “durum” göre belirler. Burada genel bir yapıdan bahsetmek yanlış olucaktır. Yine de “everyone” bulunan seçenekleri bir daha gözden geçirmenizi tavsiye ederiz.

Security Options

Aşağıdaki liste içinde, “Microsoft Networking” kulanarak dosya alışverişi ve paylaşımı yapıyorsanız, “SBM encryption” ve “Secure Channel” önem kazanıyor. Buiki seçeneğn değerlerini belierlerken dikkatli davranıp kendi koşularınıza uygun olanını seçmelisiniz.

Gereksiz altsistemlerin kaldırılması:

Gereksiz altsistemlerin kapatılması diye bir konumuz daha var. OS2 ve Posix yazmaç (registry) değerlerini HKLM\ System\ CurremtControlSet\ Control\ Session\ Maneger\ Subsystem içinden kaldırabilirsiniz. İlgili dosyaları (os2*,posix* dosyaları) buradan silebilirsiniz. Bu sistemler artık genel kulanımda yoklar ama açıkları sayesinde bilgisayarınıza istemediğiniz kişiler tarafından bağlantı kurulabilme olanağı veriyor.

Önemli dosyaların korunması:

Bazı araçaların herkes tarafından kulanılmasını istemiyorsanız yeni bir admin grubu yaratın (örneğin AdminTools). Hangi kulanıcıların bu araçları kulanabilmelerini istiyorsanız onları bu grubun altına koyun. Bu doysalar üstündeki ACL’leri “LocalSytem” ve “Administrative Group”tan kaldırın ve “AdminTools”a bu dosyaların sahipliğini ve “Read” ve “Execute” hakkını verin. Bu dosyalar arasında ilk aklımıza gelenler;

TCP/IP süzgeçlenmesi

TCP/IP filitrelendirmesi diye bir konudan bahsediceğimizi söylemiştik. Burada Win2000 iki çeşit sunuyor. TCP/IP filitrelendirmesi ve IPSec. TCP/IP filitrelendirmesi tek bir bilgisayarlar için kulanılırken, IPSec ise “Group Policy” olarak atanabilinir.

TCP/IP filitrelendirmesi;

Bir örnekle anlatmak en uygunu olucaktır. Diyelim ki bilgisayarınız FTP ve Web bır servis veriyor (ki bunları da vermesine genelde gerek yok). “Network and Dial-Up Connection” kulanılarak filitreleme yapabilirsiniz. Start | Settings | Network and Dial-Up Connection | Properties | General | Internet Protocol (TCP/IP) | Properties | Advenced | Options | TCP/IP Filtering | Properties. Biraz uzun gibi gözükse de azim her şeye çare. Aşağıdaki örnekte gözüktüğü üzere TCP bağlantılarını 21 (FTP), 80 (http) ve 443 (https) portlarıyla sınırlamış durumda. Hatta UDP portlarına hiç bir şekilde izin verilmemiş. Bu kısmı kulandığınız programlara verdiğiniz servislere göre ayarlıyabilirsiniz.

IPSec filitrelendirmesi;

Bu seçenek bir grup için kulanlıldığında daha etkilidir. IPSec’in özelliklerinde “enable” işaretledikten sonra yapmanız gerekenler bitmiyecektir. “Local Security Setting” içine girip kendi “policy”inizi girmeniz gerekecek. Üç tane kolunlu bir tabloyu dolduracaksınız. Kolonlarda;

• IPSec filter lists
• IPSec filter action
• IPSec policy rules

olucaktır. Bu ağ içinde sisteminize gelen ve sisteminizden giden trafiğin filitrelendirmesi sırasında uygulanıcak politikayı(policy), hangilerinin filitlendirileceği listesini (list), ve yapılacak işlemi (action) içermektedir. bu işlemlerden sonra “Local Machine”de “IP Security Policies” i kulnamaya baslıyabilirsiniz. Bunu için üstüne gelip sağ-tıkdan sonra “assign”ı seçin. Bilgisayarınızı tekrar başalamanıza gerek kalmadan hemen uygulamaya girecektir.

Ufak tefek işler:

• Uygulama dosyaların kulanım izinlerlini belirleyin
• Sistemi önyüklemesinin(boot) hemen OS olmasını ayarlayın. Bu işlemı yapmak için My Computer | Properties | Advanced | Startup and Recovery | System Startup içindeki önyükleme değerini (boot time) “0” olarak belirleyin.

Sonuç:

Buraya kadar yaptıklarınız arasında önyükleme (boot) esnasında yapıcağımız şifrelemeden, sistem süzgeçleme kadar pek çok şeyden bahsettik fakat bunların bir kısmı sizin bulunduğunuz ortam şartlarına uymayabilir. Daha önce de belittiğimiz gibi öncelikle kendi durumunuzu ortaya tüm hatlarıyla ortaya koyun ki yapıcağınız ayarlar bilgisayarınızı güvenli hale getirirken aynı zamanda da çalışmaz hale getirmesin. Sizlere sadece win2000 kurulumundan sonra yapılacak ilk işlemnleri anlatım ama daah yapılabilicek çok şey olduğunu unutmayım EK1’de alıntı yaptığim ve faydalı bulduğum sayfaların bağlantıları var.

Kolay gelsin.

EK1:

Burada anlatıklarım aşağıdaki sitelerden çıkrarılmış özet ve derlemelerdir. Daha fazla biligi ve ayrıntı için win2000 güvenlik sitelerini ziyarat etmenizi öneririm.

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/w2kprocl.asp

http://www.systemexperts.com/tutors/HardenW2K101.pdf

http://nsa2.www.conxion.com/win2000/download.htm

http://www.yale.edu/its/security/new-index.html?http://www.yale.edu/its/security/Procedures/Securing/NT/w2k/

http://www.labmice.net/articles/securingwin2000.htm

http://arstechnica.com/tweak/win2000/security/begin-1.html

http://www.sans.org/infosecFAQ/win2000/win2000_list.htm

İbrahim Çalışır

BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI
İNTERNET TEKNOLOJİLERİ GÜVENLİĞİ
( security at metu.edu.tr 11/02/2002)

Many of you have probably seen this blog entry on how to setup a batch-job in Ax as a windows service in Ax 4.0: http://axaptabuilder.blogspot.com/2006/04/how-to-setup-axapta-batch-server.html

When using this solution, remember to use the nssm.exe instead of the srvany.exe so that the windows service also stop if the aos stops.

Anyway, setting up a batch-job as a windows service is off cource nice and neat, since they can be set up to start automatically and you don’t have the need for a batch-client running at all times.
An issue occures with logging though. How do you find out what has happened if something goes wrong? Well, you could look in the batch history for anything suspicious, but wouldn’t it be nicer to have errors, warnings and maybe even info’s logged in the windows event log?

I have made a neat little solution for Dynamics Ax 4.0 that does this that I have called EventWriter that is available upon request.

eventwriter

The source was not found, but some or all event logs could not be searched.  Inaccessible logs: Security.

A project that worked before now throws the System.Security.SecurityException. Why is that?

It looks like we need to explicitly create a log source now.

How to detect that a source has not been created on vista?

try
{
return EventLog.SourceExists(Source, Server);
}
catch (SecurityException)
{
//Vista goes here if log doesn’t exists!
return false;
}

At this point you will know if the source does not exist and yet you will be unable to create it unless you run as administrator.

Отправка последних пяти сообщений eventlog system по почте.

Можно делать вложением файла, а можно и сразу в тело сообщения.

Я опишу в тело.

Способ первый (приходит практически мгновенно).

$body = Get-EventLog system -Newest 5 | Format-List |

Out-String

 

[Reflection.Assembly]::LoadWithPartialName(“System.Web”)

$smtpServer = “exchange”

$msg = New-Object system.web.mail.mailmessage

$msg.fields["http://schemas.microsoft.com/cdo/configuration/sendusing"] = 2

$msg.fields["http://schemas.microsoft.com/cdo/configuration/smtpserver"] = $smtpServer

$msg.fields["http://schemas.microsoft.com/cdo/configuration/smtpserverpor"] = 25

$msg.to = “user@company.com”

$msg.from = “admin@company.com”

$msg.subject = “eventlog”

$msg.body = $body

[System.Web.Mail.SmtpMail]::smtpserver = $smtpServer

[System.Web.Mail.SmtpMail]::send($msg)

Способ второй (приходит с задержкой, если кто объяснит почему, буду премного благодарен).

Тут используется библиотека PowerShellCX

$body = Get-EventLog system -Newest 5 | Format-List | Out-String

Send-SmtpMail -SmtpHost exchange.company.com -From admin@company.com -To user@company.com -Subject “eventlog” -Body $body

In most of our projects, when some error occurs, it’s being logged to the evenlog with line number and filename. Its done by using __FILE__ and __LINE__ macro.

But the file macros expands to the fullpath. for e.g. If i am building the delivery in my personal folder – “C:\Jijo\Build\MyProduct”, the __FILE__ macro will include this full path and finally in eventlog will contain funny paths which the end-user might see. You can see some 3ed party eventlogs in event viewer which contains authors name in path.

You can use #line directive to modify __LINE__ and __FILENAME__. The syntax is as follows,
#line lineno “FileName”

Please see an example below.

#line __LINE__ "MyProduct\Sources\JobDll\Job.cpp"

While experimenting I’ve found that – Its safe to use #line after all #includes. If its used at the top of file, It can be reinitialized by the include files. At first it was not working for me. Latter works. Anyway take care.

aggiungere questa chiave al registro tramite TD, con Extra Registry Data:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Serial\Parameters

inserire: “Software Installation Group Policy Extension”
poi “Software Installation Group Policy MMC Snap-In”
infine “Group Policy Core Administration MMC Snap-In”

Beberapa hari yang lalu.. Hari apa ya? Kamis (8/11) kayaknya, gua udah mulai mempekerjakan diri sebagai admin di jurusan.. Kerjaannya? Hmm.. Langsung banyak komputer rusak yang musti dipulihkan kembali. Masalah pertama yang gua sentuh itu komputer di ruang S2. Trobelnya, ada dua komputer kembar, di salah satu komputer tersebut ada data yang diperlukan dengan segera, dan keduanya ga bisa hidup. Komputer pertama punya harddisk yang dibutuhin datanya. Nah yang ini punya sindrom aneh, kalo ditekan tombol powernya, kipas cuma bergerak sebentar (kayak nggak niat gitu) kemudian berhenti. Kecurigaan pertama, power supply jebol.. Tapi koq lampu LAN dan LED di motherboard masih nyala ya?! Gua jadi berpikir dua kali, ‘waduh, nih komputer belon apa-apa dah minta dimanja aja..’

Komputer kedua bisa nyala, tapi waktu dah mau sampe BIOS, eh dia teriak-teriak minta tolong, “Beeeep.. beep.. beep.. beep.. beep..” Walah, ini sih kalo nggak Graphic Card ya RAM.. Akhirnya, gua bukalah itu casing komputer, dan hasilnya: sang komputer ga punya RAM sama sekali! Gile, haregene.. Maling cuma RAM-nya doang! Huhuhu.. Ini perbuatan klepto gila yang baru pernah gua liat dari bermacam-macam kehilangan yang dah pernah gua saksikan. Sekeping DDR 512MB raib dari slotnya.. Dan dengan beberapa kali mikir, gua kepikiran cara ngehidupin salah satu komputer, ‘daripada ngga hidup dua-duanya..’

Dicabutlah sekeping DDR 512MB dari komputer pertama yang ngga niat hidup, dan gua pindahkan ke komputer kedua yang kehilangan ingatannya.. Dan satu lagi perangkat gua transplantasikan, yang sebenernya tujuan utama gua disuruh ngoprek di ruang S2: si harddisk komputer pertama!

Dengan begitu sebenarnya untuk sementara tugas gua selesai dulu.. Walaupun nanti harus ngeliat si komputer pertama yang mogok kerja, setidaknya komplain dari user telah mereda. Hehehe.. That is AdminGadungan’s job for now, and looking for another knowledge: Server Maintenance!