Category Archives: Password

How to reset ESXi v6 root password when forget password


Disclaimer: VMware doesn’t suggest any other method but to reinstall the ESXi host!!! If you follow this tutorial – I’m not responsible for any/all possible damages!!!
We used this version of ESXi to reset the password:
ESXi ISO image (Includes VMware tools) 2016-03-15 | 6.0U2 |
(VMware ESXi 6.0.0 VMKernel Release Build 3620759)
You will need a physical access to ESXi host in order to be able to reset the password because you cannot shutdown/reboot (F12) without the password.
Download Kali linux distribution, burn it and boot from it:
https://www.kali.org/downloads/ )

ESXi stores passwords in /etc/shadow file and once the machine is down it’s saved in state.tgz So we need to find it. It’s usually either on sda5 or sda6:
root@kali:~# fdisk -l
You should see sda5 and sda6 partitions.
Create the mounting points:
root@kali:~# mkdir /mnt/sda5
root@kali:~# mkdir /mnt/sda6

Mount them:
root@kali:~# mount /dev/sda5 /mnt/sda5
root@kali:~# mount /dev/sda6 /mnt/sda6

Look for state.tgz file
root@kali:~# ls -l /mnt/sda5 | grep state
in my case state.tgz file was on this partition, so I’m skipping sda6
Copy this file to your home folder, extract it and edit the shadow file
root@kali:~# cp /mnt/sda5/state.tgz state.tgz
root@kali:~# gzip -d state.tgz
root@kali:~# tar -xvf state.tar
root@kali:~# gzip -d local.tgz
root@kali:~# tar -xvf local.tar
root@kali:~# cd /etc
root@kali:/etc# vi shadow
 
image

make changes, save, exit and put it back:
root@kali:/etc# cd ..
root@kali:~# tar -czvf local.tgz etc
root@kali:~# tar -czvf state.tgz local.tgz
root@kali:~# cp state.tgz /mnt/sda5/state.tgz
root@kali:~# umount /mnt/sda5
root@kali:~# umount /mnt/sda6

Once you reboot – you should be able to login without a password and set a new one

image

Advertisements

Phần 7: cấu hình giao thức LDAPS cho việc Change password của AD từ các hệ thống VPN / SharePoint / .Net / PHP / Apache dùng SSL/TLS


1. Tại sao lại cần SSL/TLS cho LDAP (port default: 389):

Theo mặc định, truyền thông LDAP giữa máy chủ AD và máy chủ ứng dụng không được mã hóa. Thiết bị hoặc phần mềm và xem các thông tin liên lạc đi lại giữa client và máy tính LDAP server.

Điều này đặc biệt có vấn đề khi một LDAP đơn giản được sử dụng bởi vì các thông tin (tên người dùng và mật khẩu) được truyền tải qua mạng được mã hóa, thậm trí có nhu cầu thay đổi mật khẩu.

Lưu ý: chỉ LDAP chuyển dữ liệu được tiếp xúc. Xác nhận hoặc ủy quyền dữ liệu khác sử dụng Kerberos, SASL, và thậm chí NTLM có hệ thống mã hóa.

Tham khảo: Windows 2000 SP4 sử dụng LDAP  hoặc

chứng thực đơn giản theo chuẩn Layer (SASL)

bản sao giữa các domain controller được mã hóa bằng cách sử dụng Kerberos .

Lý do cho phép Lightweight Directory Access Protocol (LDAP) trên Secure Sockets Layer (SSL) / Transport Layer Security (TLS) cũng được gọi là LDAPS bao gồm:

  • Một số ứng dụng xác thực với Active Directory Domain Services (AD DS) thông qua BIND đơn giản. Như BIND đơn giản cho thấy nhiều thông tin quan trọng của người sử dụng trong văn bản rõ ràng, sử dụng Kerberos được ưa thích. Nếu BIND đơn giản là cần thiết, sử dụng SSL / TLS để mã hóa các phiên xác thực được khuyến khích mạnh mẽ.
  • Sử dụng các ràng buộc proxy hoặc thay đổi mật khẩu trên LDAP, mà đòi hỏi LDAPS. (Ví dụ: Bind một AD LDS instance Thông qua một đối tượng Proxy )
  • Một số ứng dụng tích hợp với các máy chủ LDAP (như Active Directory hoặc Active Directory Domain Controller) yêu cầu thông tin liên lạc được mã hóa. Để mã hóa truyền thông LDAP trong một mạng Windows, bạn có thể bật LDAP trên SSL (LDAPS).

Cảnh báo Trước khi bạn cài đặt một hệ thống cấp chứng nhận (CA Server), bạn nên biết rằng bạn đang tạo hoặc mở rộng một cơ sở hạ tầng khóa công khai (PKI). Hãy chắc chắn để thiết kế một PKI đó là thích hợp cho tổ chức của bạn. Xem PKI Thiết kế Tổng quan Giới thiệu tóm tắt để biết thêm thông tin.

 

1.1. Việc kích hoạt LDAPS cho domain controller sử dụng một hệ thống phân cấp CA single-tier:
1.2. Việc kích hoạt LDAPS cho domain controller sử dụng một hệ thống phân cấp CA multi-tier:

Khi bạn có một-đa lớp (chẳng hạn như một hai tầng, ba tầng) CA ​​phân cấp, bạn sẽ không tự động có các chứng chỉ thích hợp để xác thực LDAPS trên Domain Controller. Để kích hoạt LDAPS trong một hệ thống phân cấp CA multi-tier, bạn phải yêu cầu một giấy chứng nhận đáp ứng các yêu cầu sau:

 

2. Cách cấu hình LDAPS (default port: 636)

  1. Trên máy chủ AD cần mở Certification Authority, mở Certificates console hoặc certsrv console. Để mở certsrv, bấm Start > certsrv.msc và sau đó nhấp OK .
  2. Đảm bảo rằng Certification Authority.
  3. Kích chuột phải vào Certificate Templates > Manage.

image

4.  Trong Certificate Templates control, nhấp chuột phải Domain Controller Authentication và sau đó chọn Duplicate Template . Bạn không cần phải sử dụng các mẫu Kerberos. Bạn có thể tạo riêng của bạn hoặc sử dụng một trong những mẫu hiện có Server Authentication như một Target, chẳng hạn như Domain Controller Authentication, Domain Controller , Web Server , và Computer .

Quan trọng: Bạn nên kế hoạch trên có giấy chứng nhận trên mỗi máy chủ LDAP (tức là Domain controller hoặc AD LDS server) với target: Server Authentication . image

5. Trên Duplicate Template , để mặc định chọn Windows Server 2003 Enterprise chọn và sau đó nhấn OK .

6. Các thuộc tính của New Template xuất hiện. Đảm bảo rằng các thiết lập như bạn muốn họ được cho mẫu chứng chỉ này. Hãy chú ý để đảm bảo rằng các tên Template hiển thị được thiết lập để một cái tên thích hợp cùng với các cài đặt sau:

  • Thời gian hiệu lực và gia hạn được quy định theo chính sách bảo mật của tổ chức.
  • Chiều dài khóa phù hợp.
  • Chọn nếu bạn muốn đặt chứng chỉ trong Active Directory.
  • Tên tab Subject: Tên DNS và Dịch vụ tên chính (SPN) được lựa chọn.
  • Nếu bạn có kế hoạch để nhập chứng chỉ vào lưu trữ chứng chỉ Active Directory Domain Services, sau đó cũng nên đánh dấu các khóa riêng như xuất khẩu.

image

 

image

 

7.  Nhấn OK .

8. Quay trở lại Giấy chứng nhận hoặc certsrv console và trong panel chi tiết của Certificate Templates , kích chuột phải vào một khu vực mở của giao diện, kích New , và sau đó nhấp vào Certificate Template để export

image

image

image

image

 

3. Yêu cầu một chứng chỉ cho Server Authentication

Để yêu cầu một chứng chỉ từ máy chủ LDAPS của bạn, hãy làm như sau trên mỗi Domain Controller đòi hỏi kết nối LDAPS:

  1. Mở Certificates console. Bấm vào Bắt đầu , loại MMC , và sau đó nhấn ENTER. Nếu được nhắc nhở bởi User Account Control, đảm bảo nó sẽ hiển thị các hành động mà bạn muốn và sau đó bấm Yes .
  2. Trong giao diện điều khiển MMC được mở ra (thường Console1), nhấp vào file và sau đó nhấp vào Add / Remove Snap-in.
  3. Trong Add or Remove Snap-ins dưới Snap-ins , nhấp Certificates, và sau đó nhấp vào Add.
  4. Trong Certificates snap-in , chọn Computer Account và sau đó nhấp vào Next.
  5. Trong Select Computer , nếu bạn đang quản lý các máy chủ LDAP yêu cầu chứng chỉ, chọn Local . Nếu không, hãy chọn Another Computer và nhấn Browse để xác định vị trí máy chủ LDAP yêu cầu giấy chứng nhận.
  6. Một khi bạn có máy tính đúng được chọn, nhấn OK và sau đó nhấp vào Finish.
  7. Trong Add or Remove Snap-in , click OK .
  8. Trong cây giao diện điều khiển, mở rộng Certificates (<Computer>).
  9. kích chuột phải vào Certificates , nhấn All Tasks , và sau đó nhấp vào Yêu cầu chứng chỉ mới .

image

image

image

 

image

image

image

 

image

10.  Trong Certificate Enrollment , bấm Next.

11.  Trong Select Certificate Types, thông thường bạn sẽ để mặc định của Active Directory Enrollment Policy . Nếu bạn có một chính sách khác nhau mà bạn nên làm theo, sau đó chọn một trong đó và nhấp vào Next.

12.  Chọn một chứng chỉ cho phép để xác thực server, Kerberos làm việc, nhưng bạn có thể sử dụng chứng chỉ tùy chỉnh như mô tả trong Công bố Giấy chứng nhận rằng Hỗ trợ Server Authentication. Nhấn vào Enroll .

image

image

 

image

image

image

 

image

(1.3.6.1.5.5.7.3.1) .

Đối với từng bước ví dụ khác yêu cầu một chứng chỉ để xác thực máy chủ và thực hiện LDAP trên SSL (LDAPS), xem các bài viết sau đây:

 
4. Các dịch vụ Active Directory Domain Certificate lưu trữ 

Khi một chứng chỉ được lựa chọn từ các máy tính local (như trong CertEnumCertificatesInStore ) Giấy chứng nhận hợp lệ đầu tiên mà có thể được sử dụng để xác thực máy chủ (OID: 1.3.6.1.5.5.7.3.1) được trả về để sử dụng. Trong trường hợp khách hàng có nhiều giấy chứng nhận hợp lệ cho Server Authentication trong (ví dụ như các máy chủ LDAP của AD DS bộ điều khiển miền , AD LDS , hoặc ADAM server) lưu trữ chứng chỉ máy tính local, có thể thấy rằng một chứng chỉ khác so với cái mà họ muốn được sử dụng cho LDAPS.

Độ mã hóa tốt nhất cho một vấn đề như vậy là để loại bỏ tất cả các chứng chỉ không cần thiết từ các máy tính local chứng nhận và chỉ có một giấy chứng nhận là hợp lệ để xác thực máy chủ. Tuy nhiên, nếu có một lý do chính đáng mà hai hay nhiều chứng chỉ của một máy khách sử dụng ít nhất Windows Server 2008 máy chủ,  máy chủ LDAP, Directory Domain Services (NTDS \ Personal) lưu trữ chứng chỉ mới có thể được sử dụng cho giao thức LDAPS .

Chú ý: Có một số chi tiết quan trọng cần biết trước khi bạn thực hiện việc sử dụng của các kho lưu trữ chứng thực Active Directory Domain Services (AD DS):

  1. Giấy chứng nhận đăng ký tự động (auto-enroll) không thể được sử dụng với các chứng chỉ trong kho chứng chỉ cá nhân NTDS \.
  2. Các công cụ dòng lệnh hiện hành không cho phép quản lý giấy chứng nhận lưu trữ chứng chỉ cá nhân NTDS \.
  3. Chứng chỉ nên được nhập khẩu vào các cửa hàng, và không di chuyển (bằng cách kéo và thả) thông qua giao diện điều khiển Certificates (MMC)
  4. Mỗi máy chủ LDAP sẽ yêu cầu giấy chứng nhận của riêng mình để sử dụng tùy chọn này, nhưng nó chỉ là cần thiết để sử dụng tùy chọn này trên một máy chủ có nhiều chứng chỉ với mục đích Server Authentication trong Giấy chứng nhận cửa hàng địa phương. Giải pháp tốt nhất là để chỉ có một giấy chứng nhận trong giấy chứng nhận cá nhân của máy tính.

 

Lưu ý: Các bước trên đây là kết thúc việc cấu hình SSL cho LDAP trên phiên bản máy chủ windows 2000 và Windows 2003 Enteprise.

4.1 Kiểm tra kết nối tới giao thức LDAPS connection:
  1. Mở chính máy chủ Windows 2000 /2003 AD vừa cài LDAPS:

netstat -n -p tcp  server returns that 636 is listening:

image

2. Mở máy chủ liên quan tới SharePoint Server / .NET / PHP Server / VPN SSL cần kết nối với máy chủ Windows 2003/ 2000 vừa cài LDAPS:

image

3. Xem cách sửa lỗi này ở mục 6:

 

4.2.  Xuất file pfx chứng nhận LDAPS và Nhập file pfx để sử dụng với AD DS (áp dụng cho AD Server 2008 / 2008 R2 Enterprise):

Các bước sau chứng minh làm thế nào để xuất ra một giấy chứng nhận LDAPS kích hoạt từ kho lưu trữ chứng thực Enterprise từ một Domain Controller để Directory Domain Services lưu trữ chứng chỉ dịch vụ Active Directory (NTDS \ Personal).

Bạn sẽ phải thực hiện bước này cho mỗi Domain Controller khi có nhiều giấy chứng nhận với việc sử dụng kích hoạt kiểu Server Authentication.

Giấy chứng nhận này sẽ phải được gia hạn sử dụng và chỉ thực hiện được bắt đầu với Windows Server 2008 domain controller, vì đó là Windows Server Active Directory Domain service  (AD DS) đầu tiên, trong đó NTDS được tách ra như là dịch vụ riêng của chính hệ thống.

  1. Bấm vào Start, gõ mmc và sau đó nhấn OK .
  2. Nhấn vào File Add / Remove Snap-in .
  3. Nhấn vào Certificate và sau đó nhấp vào Add.
  4. Trong Certificates snap-in, chọn Computer Account và sau đó nhấp vào Next.
  5. Trong Select Computer , nếu bạn đang làm việc tại các máy chủ LDAP yêu cầu chứng chỉ, chọn Local . Nếu không, hãy chọn Another Computer và nhấn Browse để xác định vị trí máy chủ LDAP yêu cầu giấy chứng nhận.
  6. Một khi bạn có máy tính đúng được chọn, nhấn OK và sau đó nhấp vào Finish . Trong Add or Remove Snap-in , click OK .
  7. Trong cây giao diện điều khiển, mở rộng Certificates (<Computer>)
  8. Trong giấy chứng nhận giao diện điều khiển của một máy tính có một chứng chỉ có thể được sử dụng để xác thực máy chủ, kích chuột phải vào chứng chỉ, nhấn All Tasks , và sau đó nhấp vào Export.

image

image

 

9. Trên Certificate Export Wizard màn hình chào mừng, nhấn Next.

10. Trên export the Key Private màn hình, chọn Yes, export the private key và sau đó nhấp vào Next. Nếu bạn không có tùy chọn để xuất khẩu các khóa riêng, sau đó các mẫu chứng chỉ không cho phép xuất khẩu của khóa riêng

Tham khảo:  Xuất bản chứng chỉ hỗ trợ Server Authentication.

image

Trên Export File Format màn hình, bạn nên chọn Export tất cả các thuộc tính mở rộng . Các lựa chọn khác là:

image

image

11. Trên màn hình Password, nhập mật khẩu mà bạn muốn được sử dụng khi các chứng chỉ được nhập khẩu. Bạn sẽ phải nhập mật khẩu hai lần: một lần trong Mật khẩu hộp và sau đó một lần nữa trong các Loại và mật khẩu xác nhận . Sau đó, nhấp vào Next.

12. Trên File to Export màn hình, nhập vào đường dẫn, tên file, và mở rộng tập tin .pfx và

image

image

 

sau đó nhấp vào Next.

13. Xác nhận các thiết lập trên màn hình hoàn thành và sau đó nhấp vào Finish. Bạn sẽ thấy một thông báo pop-up chỉ ra rằng việc xuất khẩu là thành công. Nhấn OK .

14. Nhấn vào File và sau đó nhấp vào Add / Remove Snap-in .

15. Nhấn vào Certificates và sau đó nhấp vào Add.

image

image

Chọn Service account và sau đó nhấp vào Next.

image

16. Chọn Local Computer, đảm bảo rằng bạn nhắm mục tiêu các máy tính thích hợp. Nếu bạn đang chạy Microsoft Management Console (MMC) và muốn nhắm tới các máy tính địa phương, bạn có thể để lại các lựa chọn mặc định của Local Computer. Nếu không, hãy chọn nother computer và sau đó sử dụng các Browse để chọn các máy tính thích hợp. Sau đó nhấp vào Next.

17. Chọn Active Directory Domain Services và sau đó nhấp vào Finish.

image

image

18. Trên Add or Remove Snap-ins hộp thoại bấm OK .

19. Mở rộng Certificates (Active Directory Domain Services) và sau đó nhấp vào NTDS \ Personal.

20. Kích chuột phải vào NTDS \ Personal, nhấn All Tasks , và sau đó nhấn Import .

image

21. Trên Certificate Import Wizard màn hình chào mừng, nhấn Tiếp theo .

22. Trên File to Import , nhấn chuột vào Browse , và sau đó xác định vị trí các tập tin chứng chỉ mà bạn đã xuất trước đó.

23. Trên mở màn hình, đảm bảo rằng Personal Information Exchange (* PFX, *. p12) được lựa chọn là các loại tập tin và sau đó di chuyển các tập tin hệ thống để xác định vị trí các chứng chỉ mà bạn đã xuất trước đó và sau đó nhấp vào giấy chứng nhận đó.

image

24. Nhấn Open và sau đó nhấp vào Next.

25. Trên Password màn hình nhập mật khẩu bạn đặt cho các tập tin và sau đó nhấp vào Next.

image

Trên trang Certificate, đảm bảo rằng tất cả các chứng chỉ hợp lệ được chọn và đọc vào vị trí Certificate store : NTDS \ Personal và sau đó nhấp vào Next.

image

26. Trên Certificate Import Wizard màn hình hoàn thành, bấm Finish. Sau đó bạn sẽ thấy một thông báo rằng nhập đã thành công. Nhấn OK .

27. Trong khung Navigation, dưới NTDS \ Personal, nhấp Certificates

28. Trong cửa sổ chi tiết, kích chuột phải vào chứng chỉ mà bạn nhập khẩu và sau đó nhấp vào Browser.

image

Click vào Detail và sau đó nhấp vào Enhanced Key Usage, bạn sẽ thấy rằng Authentication Server (1.3.6.1.5.5.7.3.1) là một trong những Target của các giấy chứng nhận và sau đó nhấp OK .

image

5. Kiểm tra kết nối LDAPS:

Sau khi một chứng chỉ được cài đặt, hãy làm theo các bước sau để xác minh rằng LDAPS được kích hoạt:

5.1 Bắt đầu công cụ mới Administration Directory (Ldp.exe)

image

  1. Trên kết nối đơn, nhấp vào Connect .

image

2. Nhập tên của máy chủ LDAP (ví dụ như Domain Controller  hoặc AD LDS / ADAM server) mà bạn muốn kết nối.

3. Đổi số cổng sang 636 .

4. Check ô SSL

5. Nhấn OK .

 

6. Tham khảo các lỗi vs Xử lý sự cố LDAP qua SSL:

Khi bạn có vấn đề với LDAPS, có những điều khác nhau mà có thể là sai.

Các bạn nên tham khảo: Khắc phục sự cố LDAP qua SSL .

Chỉ có một sự kiện ID đó là liên quan trực tiếp đến LDAP trên SSL, đó là các mã lỗi có ký hiệu số:

  • Error event ID 1220 – LDAP trên SSL
  • Error event ID 2886 – LDAP ký : đăng nhập mỗi lần một bộ điều khiển miền được bắt đầu, nếu bạn không có yêu cầu ký kích hoạt trên bộ điều khiển tên miền của bạn.
  • Error event ID 2887 – Nếu ký kết yêu cầu không được bật, sự kiện này còn giữ một số bao nhiêu với phím unsigned xảy ra trong 24 giờ. Các sự kiện được đăng nhập mỗi 24 giờ.
  • Error event ID 2888 – Nếu ký cần được kích hoạt, sau đó điều này thậm chí giữ một đếm bao nhiêu với phím LDAP unsigned xảy ra trong 24 giờ. Kể từ khi ký LDAP là cần thiết, với phím sẽ bị từ chối. Đây là thông báo cho người quản trị để điều tra các máy tính khách hàng đang cố gắng để ràng buộc mà không ký.
  • Error event ID 2889- quản trị có thể cho phép sự kiện này để giúp xác định các máy tính khách hàng đang cố gắng để ràng buộc mà không ký. Sự kiện này được đăng nhập với địa chỉ IP và danh tính ràng buộc của khách hàng mỗi khi một ràng buộc unsigned được thực hiện hoặc cố gắng.
 

Lỗi Error <0x51>: Fail to connect to

image

Đây là lỗi do bạn chưa ký chữ ký số của máy chủ windows 2000/2003 /2008 AD vừa dựng LDAPS sang máy chủ liên quan mà bạn cần truy cập kết nối sử dụng dịch vụ LDAPS:

ví dụ: bạn mở máy chủ SharePoint Server / máy chủ .NET framework hoặc / Apache Server / PHP server …

image

image

image

image

image

image

image

 

image

image

image

image

image

 

image

 

Như vậy, có 2 bước triển khai:

1. cấu hình CA trên AD DS và Export ra file pfx.

2. Cấu hình import file pfx vào máy VPN/ SharePoint /.Net / PHP/ Apache server cần kết nối LDAPS.

Chúc các bạn thành công !

 

P.S: Những nội dung triển khai giải pháp kỹ thuật trên càng ngày càng phức tạp,

các bạn nên đăng ký tham gia các khóa học của ROBUSTA để được luyện tập, trải nghiệm qua các môn học,

phương pháp học thực hành chuyên sâu, vững Trí vững Nghề !

Làm thế nào để đồng bộ Active Directory Sync trong khi Username và Password bị mã hoá theo OS 32/64bit ?


Part 1. Password Filter for OS

 

Contents

I.      Password Filters. 1

1.    Password Filter Functions. 2

2.    Password Filter Programming Considerations. 2

3.    Installing and Registering a Password Filter DLL. 3

To install and register a Windows password filter DLL. 3

II.     Enforce Custom Password Policies in Windows. 4

III.        Configuring Security Policy. 5

IV.       The RegEx Password Filter Sample. 6

V.    Installing the Password Filter 8

VI.       Source Code Compiler by VC++. 9

      Download boots link: 9

      Error when Building: 9

      Installation. 9

 

 

I. Password Filters

Password filters provide a way for you to implement password policy and change notification.

When a password change request is made, the Local Security Authority (LSA) calls the password filters registered on the system. Each password filter is called twice: first to validate the new password and then, after all filters have validated the new password, to notify the filters that the change has been made. The following illustration shows this process.

clip_image001

Password change notification is used to synchronize password changes to foreign account databases.

Password filters are used to enforce password policy. Filters validate new passwords and indicate whether the new password conforms to the implemented password policy.

For an overview of using password filters, see Using Password Filters.

For a list of password filter functions, see Password Filter Functions.

The following topics provide more information about password filters:

 

1.  Password Filter Functions

The following password filter functions are implemented by custom password filter DLLs to provide password filtering and password change notification.

Function

Description

InitializeChangeNotify

Indicates that a password filter DLL is initialized.

PasswordChangeNotify

Indicates that a password has been changed.

PasswordFilter

Validates a new password based on password policy.

 

2.  Password Filter Programming Considerations

When implementing password filter export functions, keep the following considerations in mind:

  • Take great care when working with plaintext passwords. Sending plaintext passwords over networks could compromise security. Network “sniffers” can easily watch for plaintext password traffic.
  • Erase all memory used to store passwords by calling the SecureZeroMemory function before freeing memory.
  • All buffers passed into password notification and filter routines should be treated as read-only. Writing data to these buffers may cause unstable behavior.
  • All password notification and filter routines should be thread-safe. Use critical sections or other synchronous programming techniques to protect data where appropriate.
  • Password notification and filtering take place only on the computer that houses the account.
  • All domain controllers are writeable, therefore password filter packages must be present on all domain controllers.

Windows NT 4.0 domains: Notification on domain accounts takes place only on the primary domain controller. In addition to the primary domain controller, the password filter packages should be installed on all backup domain controllers to allow notifications to continue in the event of server role changes.

  • All password filter DLLs run in the security context of the local system account.

For information about

See

How to install and register your own password filter DLL.

Installing and Registering a Password Filter DLL

The password filter DLL provided by Microsoft.

Strong Password Enforcement and Passfilt.dll

Export functions implemented by a password filter DLL.

Password Filter Functions

 

3.  Installing and Registering a Password Filter DLL

You can use the Windows password filter to filter domain or local account passwords. To use the password filter for domain accounts, install and register the DLL on each domain controller in the domain.

Perform the following steps to install your password filter. You can perform these steps manually, or you can write an installer to perform these steps. You need to be an Administrator or belong to the Administrator Group to perform these steps.

clip_image002To install and register a Windows password filter DLL

1.       Copy the DLL to the Windows installation directory on the domain controller or local computer. On standard installations, the default folder is \Windows\System32. Make sure that you create a 32-bit password filter DLL for 32-bit computers and a 64-bit password filter DLL for 64-bit computers, and then copy them to the appropriate location.

2.       To register the password filter, update the following system registry key:

3.  HKEY_LOCAL_MACHINE
4.     SYSTEM
5.        CurrentControlSet
6.           Control
            Lsa

If the Notification Packages subkey exists, add the name of your DLL to the existing value data. Do not overwrite the existing values, and do not include the .dll extension.

If the Notification Packages subkey does not exist, add it, and then specify the name of the DLL for the value data. Do not include the .dll extension.

The Notification Packages subkey can add multiple packages.

7.       Find the password complexity setting.

In Control Panel, click Performance and Maintenance, click Administrative Tools, double-click Local Security Policy, double-click Account Policies, and then double-click Password Policy.

8.       To enforce both the default Windows password filter and the custom password filter, ensure that the Passwords must meet complexity requirements policy setting is enabled. Otherwise, disable the Passwords must meet complexity requirements policy setting.

 

 

II.                Enforce Custom Password Policies in Windows

 

Most people take the easy way out and use the default filter in order to validate passwords. But did you know you can employ authentication modules to customize your password policies to reflect your organization’s unique security requirements? Find out how in this article.

by Yevgeny Menaker

Microsoft Windows allows you to define various password policy rules. Specifically, it allows you to enable the “Password must meet complexity requirements” setting using the Policy Editor. This validates user passwords against password filter(s) (system DLL(s)). Usually, people use the default filter. However, many admins say they’d prefer a Linux-style validation, which would allow them to install various pluggable authentication modules (Linux-PAM modules) to filter user passwords (authentication tokens). You can easily adapt these modules to reflect your organization’s security policy with help of Linux configuration text files. The ability to add-on such modules creates more flexibility in composing password policies. With help of such custom modules (of course, these modules should be developed by a Linux programmers), Linux administrators may even author a regular expression for matching user passwords. Go to www.kernel.org/pub/linux/libs/pam/ for more detailed information about Linux-PAM and the available modules.

 

The Linux model described above may be employed on Windows machines as well.

What You Need: Windows NT/2000/XP


In this article, learn how to create a
Custom Password Filter (DLL in C++) that validates passwords against a configurable regular expression. The RegEx functionality is implemented based on the Boost open source library because it has wide support for regular expressions.

Let’s start with an overview of the Windows Security system.

Windows Security
Windows Security is a policy-based system with a set of rules that compose security settings for a local machine or domain. The work of policy-based systems usually has three major stages:

  1. Creating rules to compose a policy.
  2. Searching for evidences.
  3. Enforcing policy based on the evidences.

There is a parallel between the above stages and real-life legal systems. Most countries have an authority (usually parliament or senate) that makes laws. This corresponds to the first stage—composing the policy). Police departments are the guards of the legal system, responsible for collecting evidence (e.g. measuring car speed on highways) and enforcing the existing laws based on evidences (e.g. canceling driving license in case of exceeding the speed limit). So, a police force corresponds to the second and third stages.

In Windows security, system administrators play the role of parliament. They dictate the policy for an organization domain. In some cases, regular users also design security policy (e.g. when choosing their own passwords). The police uniform is given to the local security authority (LSA) Windows sub-system. LSA collects evidences for decision-making and enforces the policies (laws). The LSA sub-system is represented by the lsass.exe Windows process and several system DLLs.

 

III.             Configuring Security Policy

System Administrators are usually responsible for configuring Security Policy. Since this article is about password filters, I’ll use configuring Password Policy as the example.

 

clip_image004

 

Figure 1. The “Local Security Policy” Management Console: This shows the list of security settings that compose your password policy on the local machine.

 

As mentioned previously, regular users are involved in composing security settings when they choose their own log-on passwords. However, because a weak password can create vulnerable system and compromise organization security, system administrators need more control over this issue and disallow the use of too simple, short and vulnerable to dictionary attacks passwords. In other words, you need to compose a password policy that meets your organization’s security requirements.

To edit security policies, you can use either the secedit.exe command line utility or the “Domain Security Policy” graphical console available from Control Panel -> Administrative Tools on the domain controller machine. With this tool, you will govern the security policy for all the computers in the Windows domain. Note that in case of workstation machine, only the “Local Security Policy” console is installed (shown in Figure 1). Local policy affects settings on the local machines and it doesn’t override domain policy. Thus, the security settings will be effective for local machine users, but not for domain users. This article uses the graphical tool to alter security settings on the local machine.

clip_image006

 

Figure 2. Editing Password Policy Rules: Double-click the “Minimum password length” item to display the dialog window.

 

The left pane of the management console contains an Explorer-like tree. Each node represents a different Security Policy. In this example, you’ll make modifications to the Password Policy to require users to choose long enough passwords (at least 10 characters). Here’s how to do it:

Expand the “Account Policies” node and select “Password Policy.” On the right pane of the management console, you should see a list of security settings (rules) that compose the password policy as shown in Figure 1. Double-click the “Minimum password length” item to display the dialog window (Figure 2). Edit the text field, setting the minimum password length to 10 characters, and click OK.

Congratulations! The new rule is ready. From now on, LSA will not allow your users to choose passwords shorter than 10 characters.

An interesting rule from the Password Policy set is “Password must meet complexity requirements.” This rule may be either Disabled or Enabled. In the Disabled state it has no effect. Enabling this rule instructs LSA to validate each password against Password Filters. If you don’t provide any filter, the default is used (which is considered relatively strong). However, the default allows simple passwords, such as Paris123. You definitely want more powerful filters and this is where Custom Password Filters can be helpful.

What Is a Password Filter?
A Password Filter plays a primary role in decision-making regarding user passwords. By definition, a Password Filter is a system DLL that exports three functions with the following prototypes (note the
__stdcall
calling convention):

BOOLEAN __stdcall InitializeChangeNotify(void);     // (1)

BOOLEAN __stdcall PasswordFilter( // (2)

PUNICODE_STRING AccountName,

PUNICODE_STRING FullName,

PUNICODE_STRING Password,

BOOLEAN SetOperation

);

NTSTATUS __stdcall PasswordChangeNotify(    // (3)

PUNICODE_STRING UserName,

ULONG RelativeId,

PUNICODE_STRING NewPassword

);

How does LSA interact with Custom Password Filters by means of the above interface? First, assume that the “Password must meet complexity requirements” rule is Enabled. On the system startup, LSA loads all the available Password Filters and calls the InitializeChangeNotify() function. When LSA receives TRUE as a return value, this means that the Password Filter loaded successfully and functions properly. Upon this call, LSA also builds a chain of available Password Filters (those that returned TRUE).

When you’re giving a password to a new user or modifying an existing user’s password, LSA assures that every link in Password Filters Chain is satisfied with a new password. LSA invokes the PasswordFilter() function of each filter in the chain. If one filter in a chain returned FALSE, LSA does NOT continue calling the next filter. Instead, it asks the user to provide another password. If every call to PasswordFilter on every filter returns a TRUE value, a new password is approved and each filter is notified about it through the PasswordChangeNotify() function.

As you can see, the Password Filter is a handy tool for LSA (or, the Windows Police), acting as a speed trap for highway patrol, helping to collect evidence from the “field.” These evidences are useful in the third stage, where policies are enforced.

Before You Implement…
Consider the following issues before you start coding your own Password Filters:

*       Treat sensitive data carefully. The PasswordFilter and PasswordChangeNotify functions receive passwords in clear-text format. These passwords should be processed fast and shouldn’t leave any trails in your memory for malicious applications to capture. Introduced in Windows 2003, the SecureZeroMemory Win32 API cleans specified memory. Traditional ZeroMemory may be not enough, since “smart” compilers will optimize your code and remove calls to this API. To make sure there are no such “useful” optimizations, read a random byte from a password string after it was filled with zeros.

*       Make your filters fast and efficient. When LSA calls into the Password Filter function, most Windows processing stops, so make sure you don’t perform any lengthy operations.

*       Expect the unexpected. Because LSA loads password filters during start-up, if something goes wrong, your system may become inoperable or go into deadlock. To avoid this, develop and test your DLLs on machines that have at least two operating systems installed. I have Linux and XP on my box and I found it highly useful when preparing this article. When I encountered problems, I booted from Linux and deleted the Password Filter DLL.

*       Log your actions. Password Filters run in the context of the lsass.exe process. I don’t recommend debugging this process, because after you close the debugger and end the process, your system will shutdown. The best way to debug your already-running filter is to write the log files to disk and follow them to fix the bugs.

*       Pre-debug your DLL. While lsass.exe debugging is not recommended, you may test your fresh Password Filter by writing a small unit-test program. In this program, load your DLL with a call to LoadLibrary Win32 API and invoke exported functions (after getting their addresses within GetProcAddress Win 32 API calls). This way, you may check that your filter doesn’t crash and functions properly.

 

IV.            The RegEx Password Filter Sample

Now that you’re aware of all the possible pitfalls, it’s high time for code action. This section will walk you through the sample provided with this article. I’ve created a VS7 solution with the PasswordFilterRegEx VC project.

As the Password Filter definition requires, you export three functions. Here’s the code for the DEF file included within the sample project:

LIBRARY PasswordFilterRegEx

EXPORTS

InitializeChangeNotify

PasswordChangeNotify

PasswordFilter

 

 
 

The PasswordFilterRegEx.cpp contains source code for the exported functions. The implementations of InitializeChangeNotify and PasswordChangeNotify are quite simple:

// Initialization of Password filter.

// This implementation just returns TRUE

// to let LSA know everything is fine

BOOLEAN __stdcall InitializeChangeNotify(void)

{

WriteToLog(“InitializeChangeNotify()”);

return TRUE;

}

// This function is called by LSA when password

// was successfully changed.

//

// This implementation just returns 0 (Success)

NTSTATUS __stdcall PasswordChangeNotify(

PUNICODE_STRING UserName,

ULONG RelativeId,

PUNICODE_STRING NewPassword

)

{

WriteToLog(“PasswordChangeNotify()”);

return 0;

}

The bulk of the work is done in the PasswordFilter function (shown in Listing 1). First, create a zero-terminating copy of a password string and assign it to an STL wstring object (STL is used in conjunction with the boost regex library):

wszPassword = new wchar_t[Password->Length + 1];

if (NULL == wszPassword)

{

throw E_OUTOFMEMORY;

}

wcsncpy(wszPassword, Password->Buffer, Password->Length);

wszPassword[Password->Length] = 0;

WriteToLog(“Going to check password”);

// Initialize STL string

wstrPassword = wszPassword;

Next, the regular expression is instantiated. The sample Password Filter reads the regular expression from the RegEx value of the following registry key:

HKEY_LOCAL_MACHINE\\Software\\DevX\\PasswordFilter

If the value is not found in registry, the dummy default regular expression (“^(A)$”) is used.

Finally, validate the password against the regular expression and return the results to the caller (LSA):

WriteToLog(“Going to run match”);

// Prepare iterators

wstring::const_iterator start = wstrPassword.begin();

wstring::const_iterator end = wstrPassword.end();

match_results<wstring::const_iterator> what;

unsigned int flags = match_default;

bMatch = regex_match(start, end, what, wrePassword);

if (bMatch)

{

WriteToLog(“Password matches specified RegEx”);

}

else

{

WriteToLog(“Password does NOT match specified RegEx”);

}

. . .

return bMatch;

Just before you return the results to LSA, perform memory clean-up:

// Erase all temporary password data

// for security reasons

wstrPassword.replace(0, wstrPassword.length(), wstrPassword.length(),

(wchar_t)’?’);

wstrPassword.erase();

if (NULL != wszPassword)

{

ZeroMemory(wszPassword, Password->Length);

// Assure that there is no compiler optimizations and read random byte

// from cleaned password string

srand(time(NULL));

wchar_t wch = wszPassword[rand() % Password->Length];

delete [] wszPassword;

wszPassword = NULL;

}

return bMatch;

 

V.              Installing the Password Filter

Note: In order to filter passwords for domain users, you should use the “Domain Security Policy” console on domain controller machine and install there your password filter. In this example, the entire configuration is done on the local machine. Hence, Password Filter will validate passwords for my local machine accounts. Follow this procedure to activate your fresh Password Filter (the same procedure is applicable for the domain controller):

*       Enable the “Password must meet complexity requirements” rule of the Password Policy.

*       Copy the Password Filter DLL to the %SystemRoot%\system32 folder on your machine.

*       Open the Registry Editor (regedit.exe) and locate the following registry key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

*       Modify the “Notification Packages” multi-string value of the above key and add your Password Filter file name without the “.dll” extension. Add the PasswordFilterRegEx string as shown in Figure 3.

clip_image007

 

Figure 3. Editing “Notification Packages”: Add the PasswordFilterRegEx string.

 

*       Close Registry Editor and restart your machine.

Your Password Filter in Action
After you’ve installed Password Filter and restarted your machine, you’re ready for testing. The source code includes a simple regular expression for testing purposes. Find it in the
RegEx value of the HKLM\Software\DevX\PasswordFilter key (the PasswordFilter.reg
file is provided with the code for your convenience):

^([a-zA-Z]+)(\d+)([a-zA-Z]+)$

In other words, start with letters, have some digits in the middle and end up with letters again. This regular expression is not recommended as a strong Password Regular expression, but it is useful for assessing whether your Password Filter does its job.

clip_image009

 

Figure 4. Creating a New User: Select Expand Local Users and Groups, right-click on the Users node, and choose the New User menu item.

 

Remember that this filter stands after the default Windows filter in the chain. So, in order to have any effect, you’ll need tougher requirements than the default. The Paris2003 password will validate against the default filter, but the test regular expression won’t match it. To check this, create a new user. If you use Domain Controller, create a user with Active Directory. On the stand-alone Workstation machine, right-click on My Computer and choose the Manage item from the context menu. Select Expand Local Users and Groups, right-click on the Users node, and choose the New User menu item as shown in Figure 4.

Fill-in the new user’s details and assign a password. Try a simple one (e.g.: Paris2003) and you will get an error message from LSA (Figure 5). Try a different, more complex password (e.g.: Paris2003A) and it will be accepted.

The Secret Is Out
While there are several commercial products that implement Password Filters, it isn’t really all that difficult. Now, that you understand how they work, you can provide your own, customized solution.

clip_image011

 

Figure 5. Error!: This password doesn’t meet the complexity requirements.

 

 

 

 

 

 

VI.            Source Code Compiler by VC++

 

       Download boots link: http://nchc.dl.sourceforge.net/project/boost/boost/1.50.0/boost_1_50_0.zip

 

       Error when Building:

I writed project which uses <boost/thread/locks.hpp>, i added include directory to Additional Include directories, and lib folder to linker. But when i try to build solution, error:

Error 1 error LNK1104: cannot open file ‘libboost_thread-vc100-mt-sgd-1_50.lib’

I searched this file in lib directory, but no file with this name in lib directory. I found file with similar name libboost_thread-vc100-mt-gd-1_50.

       Answer: i built them by guide boost.org/doc/libs/1_50_0/doc/html/bbv2/installation.html

       Installation

To install Boost.Build from an official release or a nightly build, as available on the official web site, follow these steps:

1.     Unpack the release. On the command line, go to the root of the unpacked tree.

2.     Run either .\bootstrap.bat (on Windows), or ./bootstrap.sh (on other operating systems).

3.     Run

./b2 install –prefix=PREFIX

where PREFIX is a directory where you want Boost.Build to be installed.

4.     Optionally, add PREFIX/bin to your PATH environment variable.

If you are not using a Boost.Build package, but rather the version bundled with the Boost C++ Libraries, the above commands should be run in the tools/build/v2 directory.

Now that Boost.Build is installed, you can try some of the examples. Copy PREFIX/share/boost-build/examples/hello to a different directory, then change to that directory and run:

PREFIX/bin/b2

A simple executable should be built.

Automated Password Synchronization Solution Guide for MIIS 2003


The Automated Password Synchronization Solution Guide for MIIS 2003 provides instructions for planning and implementing an automated password synchronization solution in an enterprise environment using Microsoft Identity Integration Server 2003 (MIIS 2003).

As with any solution, it is important to try this solution in a test environment before you deploy it into your production environment.

What This Guide Covers

This Guide offers a way to manage user passwords in an enterprise environment by keeping passwords synchronized across multiple identity stores. In it, you will find information about designing, implementing, and configuring your automated password synchronization solution. After you have read this Guide and implemented its solution, you will be able to deploy the automated password synchronization solution in your enterprise environment.

This guide does not cover the installation, configuration, and operational details of MIIS 2003. This guide also does not cover password management in environments other than Active Directory® directory service. For general information about installation, configuration, and operation of MIIS 2003, see Microsoft Identity Integration Server 2003 Scenarios at http://go.microsoft.com/fwlink/?LinkId=34336.

For detailed instructions for implementing the automated password synchronization solution, see the companion document Implementing the Automated Password Synchronization Solution – Step-by-Step at http://go.microsoft.com/fwlink/?LinkId=81750.

Reader Prerequisites

This Guide assumes that you are familiar with configuring and administering an Active Directory domain controller and configuring management agents in MIIS 2003. It is intended for users with some experience configuring MIIS 2003 and assumes that you are familiar with the Microsoft Identity Integration Server 2003 Technical Reference at http://go.microsoft.com/fwlink/?LinkId=38680.

This Guide is intended for IT planners, systems architects, technology decision makers, consultants, infrastructure planners, and secondary IT personnel involved in planning and deploying an automated password synchronization solution.

Business Challenges of Password Management

Businesses face many password management challenges. Implementing a password management solution is necessary in many corporate environments because users have to authenticate to the network in a secure manner.

Passwords are the most common authentication mechanism. From a deployment perspective, passwords are the simplest and cheapest authentication technique.

With this in mind, having a poor password management policy in an enterprise environment can compromise enterprise security and make the enterprise vulnerable to outside attack from malicious threats. In organizations with poor password management practices, one or more of the following issues is typically present:

  • Weak and easily breakable passwords.
  • Passwords that users are not required to change often enough, which means that attackers can compromise the passwords through force and cryptographic attacks.
  • Passwords that have been written down, which can be easily compromised.
  • Numerous calls to the Help desk for password resets, which can result in increased operational costs.
  • Users who have too many passwords, which can result in password overload. With so many passwords for users to remember, they have difficulty managing passwords securely.

To meet these challenges, businesses must find an appropriate solution to address their password management requirements.

Business Solutions for Password Management

Businesses can adopt various solutions to solve password management challenges. For example, users can change their passwords on each connected data directory by logging on to each directory interactively, and then changing the password natively in the connected data store. Although this is a typical solution, users can easily become confused and frustrated if they cannot remember which password they used for any of the connected data stores.

Another solution is a state-based solution (not real time) in which users change their passwords in an authoritative connected data source. Then, a synchronization application pushes the updated password to other connected data sources that maintain identity information.

Although this solution is also typical, it is not efficient because a state-based solution is not real time. Users must wait for the synchronization application to run for their passwords to be synchronized over multiple connected directories. This delay causes a problem when users log on to a connected data source before the password management agent runs. Because the passwords are not synchronized, users must remember the previous passwords for all of their connected data sources.

An event-driven password management application, such as the one in MIIS 2003, is a more viable solution to these password management challenges. MIIS 2003 users change their passwords from their desks in an authoritative connected data source. Then, a service in the authoritative connected source captures the password change requests and pushes the newly changed password to other configured connected data sources in real time. This solution is cost-effective and efficient because users do not have to manually change passwords for each connected data source to match the password of the authoritative connected data source. Also, when they initiate password changes, those changes are effective immediately.

The Automated Password Synchronization Solution for MIIS 2003

During automated password synchronization, a user makes a password change in an authoritative connected data source. The newly updated password is automatically captured from the authoritative data source during the password change process, and then distributed to configured, connected data sources in MIIS 2003. When a user presses CTRL+ALT+DEL on the keyboard to initiate the password change at the authoritative data source, the change process initiates synchronization with the other data sources so that the password is distributed with little or no manual intervention.

The automated password synchronization solution for MIIS 2003 addresses the password management needs of many enterprises. It provides a near real time automated password synchronization solution. This Guide introduces you to automated password synchronization in MIIS 2003 and the steps needed to implement the solution in an enterprise environment.

The Automated Password Synchronization Process in MIIS 2003

The automated password synchronization process in MIIS 2003 uses the Password Change Notification Service (PCNS) to perform near real time automated password synchronization. PCNS is a service that runs on a Microsoft Windows Server® 2003 domain controller. It listens for password change requests that are sent to that domain controller. When PCNS receives a password change request, it sends a change notification to the MIIS 2003 server that then initiates the password synchronization process. Using PCNS makes it possible to have the password change event trigger the synchronization operation immediately rather than waiting for the next scheduled management agent run normally associated with MIIS 2003. This functionality provides both the automation and near real time capabilities that are commonly desired in a password synchronization solution.

In a PCNS-based solution, MIIS 2003 runs as a Remote Procedure Call (RPC) server that has been configured to listen for change notifications sent by PCNS. When MIIS 2003 receives a notification, it authenticates the source of the notification, and then initiates the password synchronization process on the MIIS 2003 server. The newly updated password is immediately propagated to the other connected data sources that you configured to participate in the password synchronization environment.

Automated password synchronization assumes that the user accounts already exist in the source and target directories, and that those accounts have been imported and joined to one another in the metaverse. This is known as join information.

Automated password synchronization synchronizes passwords only between existing accounts on connected data sources that have management agents that support the password synchronization option. (That option must be enabled.) Automated password synchronization does not perform the usual full or delta synchronizations normally processed by a synchronization run profile. It does not create accounts, synchronize other attributes, process rules extensions, or trigger provisioning code.

The following illustration shows the process for implementing automatic password synchronization. A description of the process follows the illustration.

How Password Synchronization Works

  1. The user or an administrator initiates the password change request. The password change request, including the new password, is then sent to the domain controller.
  2. The domain controller records the password change request, and then notifies the password change notification filter (pcnsflt.dll).
  3. The password change notification filter passes the request to PCNS.
  4. PCNS verifies the password change request, and then uses Kerberos to authenticate the Service Principal Name (SPN).
  5. PCNS encrypts the password change request, and then forwards it to the MIIS 2003 target server, which runs as an RPC server.
  6. MIIS 2003 validates that the source domain controller is a member of the Domain Controllers container in the source domain.
    MIIS 2003 uses the domain name to locate the management agent that services that domain, and then uses the user account information in the password change request to locate the corresponding object in the connector space.
    MIIS 2003 uses the join information to determine which management agents should receive the password change request, and if they are enabled for password synchronization.
    Password synchronization is initiated, and then the updated password is sent to the configured data sources.

Before You Implement the Solution

Before you implement an automated password synchronization solution in your enterprise environment, it is important that you understand the following points:

  • Active Directory is the only authoritative connected directory in an automated password synchronization environment.
  • Bi-directional password synchronization between Active Directory forests causes an infinite loop to occur.
  • Following security best practices can enhance the security of your enterprise environment. For more information, see Security Considerations for Automated Password Synchronization later in this document.
Active Directory as the Authoritative Data Source

A data source is authoritative for data stored in the MIIS 2003 metadirectory when data that is imported into the metadirectory from that source overwrites any data currently stored in the metadirectory. Active Directory is the only authoritative data source for automated password synchronization. Because MIIS 2003 does not natively support using another authoritative data source for automated password synchronization, all passwords are set in Active Directory, and then pushed to other data sources.

This is why password synchronization in MIIS 2003 is referred to as one way. Password changes originate in Active Directory, and then flow one way through MIIS 2003 to the connected data sources. Using MIIS 2003 password synchronization, password changes cannot flow from any other data source back to Active Directory.

Bi-Directional Password Synchronization and an Infinite Loop

Bi-directional password synchronization occurs when more than one Active Directory forest is the authoritative source for automated password synchronization. MIIS 2003 does not support bi-directional password synchronization. Bi-directional password synchronization causes an infinite loop to occur. If your environment has multiple Active Directory forests, you must set one forest as the authoritative forest for automated password synchronization. Otherwise, an infinite loop occurs.

An example of an infinite loop is when Forest A receives a password change request, and then sends a password change notification to Forest B. Forest B interprets this as a change request, and then sends the request back to Forest A. Each time the notification is sent, the receiving forest interprets it as a change request, and then sends a new notification to the other forest, thus causing an infinite loop.

If bi-directional password synchronization is inadvertently set up, MIIS 2003 limits the number of password changes in 24 hours to prevent excessive password changes. If this scenario occurs, you lose any password changes that occur after this limit is reached.

Implementing the Automated Password Synchronization Solution

The automated password synchronization solution in MIIS 2003 allows users to change their passwords in all connected data sources that are configured for automated password synchronization. Users can press CTRL+ALT+DEL on the keyboard to initiate password change.

ImportantImportant

This is a password change operation, not a password set or reset operation. For a password change operation, a user must know the previous password when attempting to change passwords. For a password set or reset operation to occur, a user does not have to know the previous password to set or reset the password to a different value. The automated password synchronization solution is a password change operation because users must know the previous password.

The process for implementing an automated password synchronization solution is as follows:

  1. Installing PCNS on all Active Directory domain controllers
  2. Configuring the Service Principal Name (SPN)
  3. Configuring an inclusion and exclusion group (optional)
  4. Configuring PCNS
  5. Configuring the management agents
  6. Enabling password synchronization

This section provides an overview of the automated password synchronization process. For detailed instructions for implementing the automated password synchronization solution, see Implementing the Automated Password Synchronization Solution – Step-by-Step at http://go.microsoft.com/fwlink/?LinkId=81750.

Installing PCNS on All Active Directory Domain Controllers

To ensure that password changes originating in Active Directory are sent to MIIS 2003, you must install PCNS on all of the Active Directory domain controllers in your environment. PCNS is located on the MIIS 2003 SP1 installation CD. In this phase of implementing the automated password synchronization process, PCNS is installed only on the domain controllers. You configure PCNS later in the process.

PCNS is the service that delivers all password change notifications to MIIS 2003 for processing. PCNS captures passwords in plaintext, and then, using RPC packet privacy, sends them to the server running MIIS 2003 for processing. PCNS uses the password change notification filter to capture the plaintext passwords before they can be encrypted by the target directory. After you install the filter and restart the domain controller, the filter receives password changes that are sent to that domain controller.

PCNS Components

Installing PCNS installs the following components on all domain controllers:

  • PCNS filter (Pcnsflt.dll) – This filter catches plaintext passwords when they are sent to Active Directory. This filter is loaded by the Local Security Authority (LSA) on each Microsoft Windows 2000 or Windows Server 2003 domain controller participating in password distribution to a target server running MIIS 2003. After you install the filter and restart the domain controller, the filter receives password change notifications for password changes that originate on that domain controller. This filter runs simultaneously with other filters running on the domain controller.
  • PCNS (Pcnssvc.exe) – This service runs on a domain controller. It receives password change notifications from the local password filter, queuing them for the target server running MIIS 2003. The service, which uses RPC to deliver the notifications, captures passwords in plaintext. It then encrypts the passwords and ensures that they remain secure by using RPC packet privacy, until they are delivered successfully to the target server running MIIS 2003.
  • PCNS configuration tool (Pcnscfg.exe) – This tool manages and maintains the PCNS configuration parameters stored in Active Directory. PCNS uses these configuration parameters when it authenticates and sends password notifications to the target server running MIIS 2003. Configuration parameters determine the target servers, the password queue retry interval, and when target servers are enabled or disabled.
PCNS Requirements

Keep the following requirements in mind when you install PCNS on your domain controllers:

  • Although PCNS captures password changes, it cannot synchronize existing passwords from one forest into another forest.
    PCNS is push technology, not pull technology. Specifically, passwords can be pushed from Active Directory but cannot be pulled from Active Directory. If a password already exists, PCNS does not change it or synchronize it with other connected data sources. Passwords that existed previously in Active Directory must have a change request instigated for PCNS to retrieve the password change request and synchronize that password with the other connected data sources.
  • In an optimal configuration, PCNS and MIIS 2003 are in the same forest because they authenticate to each other using Kerberos authentication.
  • PCNS and MIIS 2003 can be in different forests if two conditions are met:
    • A Kerberos realm forest trust must be established between the forests hosting PCNS and MIIS 2003. This requires that both forests and domains are running in Windows 2003 functional mode. For more information on forest trusts see Trust types at http://go.microsoft.com/fwlink/?LinkId=106059.
    • DNS is configured such that Kerberos can function properly between forests.
  • You can synchronize passwords one way between forests without trust if MIIS 2003 and PCNS are in the same forest. For example, if you want to install both PCNS and MIIS 2003 in Forest A, and you want to configure them to synchronize passwords to Forest B; the credentials in the MIIS 2003 management agent for Forest B will provide the necessary authentication without the trust requirement.
  • Each domain controller whose password changes are to be managed by PCNS must have:
    • PCNS installed.
    • The capability to contact the MIIS 2003 server via Remote Procedure Call (RPC).
  • PCNS installation verifies the Active Directory schema to ensure that classes and attributes needed to run PCNS are available. If they are not, the PCNS installation wizard prompts you to launch the PCNS Schema Update Wizard to update the schema.
    After updating the Active Directory schema, you must run the PCNS installation wizard again in order to install PCNS.
    To modify the schema, you must be a member of both the Domain Admins and the Schema Admins groups. You must extend the Active Directory schema only once for each Active Directory forest. The schema modifications are replicated to the other domain controllers in the forest when domain replication occurs.
Configuring the Service Principal Name (SPN)

MIIS 2003 uses Setspn.exe to create and configure the service principal name (SPN). Setspn.exe is included with the Windows 2000 Resource Kit Tools and the Windows Server 2003 Support Tools on the Windows Server 2003 installation CD.

SPN is a property on the account object in Active Directory that the Kerberos protocol uses to mutually authenticate PCNS and the MIIS 2003 server. SPN is the mechanism by which PCNS authenticates to MIIS 2003.

Using PCNS and MIIS 2003, SPN works in the following manner:

  1. When PCNS binds to the RPC server in MIIS, it tells RPC that it must use Kerberos, which server to connect to, and what principal it expects to be running at the other end (SPN).
  2. RPC connects to the server, locates the end point, and then passes authentication to Kerberos.
  3. Kerberos takes the SPN provided, and then verifies that the server name portion specified in the SPN matches the computer with which it is communicating.
  4. Kerberos runs a lookup on the host account in Active Directory to compare the SPN with the SPNs registered for that account. Because Kerberos asks for mutual authentication, it also ensures that the incoming call is from an authenticated account. If the SPNs match, then the authentication succeeds.
  5. RPC calls the security callback function, which gives MIIS 2003 an opportunity to validate further.
  6. MIIS 2003 validates that the caller is a domain controller on the specified domain.
SPN Naming Convention

We recommend that you use an SPN that reflects the service that will run. For example, you might use PCNSCLT because this SPN indicates that this is the SPN of the target MIIS 2003 server for PCNS.

The SPN must be unique and cannot appear on any other service account. Otherwise, Kerberos authentication fails and PCNS does not send password change requests to MIIS 2003.

Configuring an Inclusion and Exclusion Group (Optional)

Optionally, you can configure groups that will or will not participate in automated password synchronization. If all the users in the domain will participate in automated password synchronization, then this step is not necessary.

Inclusion and exclusion groups must be security groups. As the names imply, the members of these groups are users who are either included or excluded from password synchronization. These groups should reside in the authoritative forest for password synchronization. If you have an existing group for users who must participate in password synchronization, you can specify that group. If not, create a new group. For example you can create a group called PasswordSyncUsers for all users whose passwords you want to synchronize.

noteNote

Members of the exclusion group are always excluded from password synchronization, even if they are also members of the inclusion group.

Configuring PCNS

Earlier in the automated password synchronization solution, you installed PCNS on all the domain controllers in the authoritative forest. Now, you must configure PCNS on those domain controllers.

You use Pcnscfg.exe, a command-line tool, to configure PCNS to process password change notifications to MIIS 2003. Pcnscfg.exe manages and maintains the PCNS configuration parameters stored in Active Directory. It installs with PCNS into the Microsoft Password Change Notification folder, which is in the Program Files folder, on each domain controller.

You must configure the following parameters for PCNS:

  • The user-defined friendly name of the target server running MIIS 2003.
  • The fully-qualified domain name of the server running MIIS 2003.
  • The SPN for the server running MIIS 2003.
  • The specified inclusion group of all users who will participate in automated password synchronization.

noteNote

For detailed instructions on configuring PCNS, see Implementing the Automated Password Synchronization Solution – Step-by-Step at http://go.microsoft.com/fwlink/?LinkId=81750.

MIIS 2003 uses these configuration parameters when it authenticates and sends password notifications to the target server running MIIS 2003.

After you configure PCNS, password changes that are sent to domain controllers in the authoritative forest can be sent to MIIS 2003 for further processing.

Configuring the Management Agents

To correctly configure the Management Agent for Active Directory and the target management agents for automated password synchronization, you must know which management agents support automated password synchronization by default and which management agents require that you configure a password extension to support automated password synchronization.

noteNote

You do not have to run the management agents for automated password synchronization to occur. MIIS 2003 uses information from the management agent configuration to process password synchronization requests in real time.

Default Support for Automated Password Synchronization

Management agents in MIIS 2003 support a range of password management features. Management agents for directory services support password set and change operations by default.

The following management agents support password change operations:

  • Management Agent for Active Directory
  • Management Agent for Active Directory Application Mode (ADAM)
  • Management Agent for Windows NT 4.0

The following management agents support password set operations only:

  • Management Agent for Lotus Notes
  • Management Agent for Sun and Netscape Directory Servers (formerly iPlanet Directory Server)
Extension Support for Automated Password Synchronization

For file-based, database, and extensible connectivity management agents, which do not support password change and set operations by default, you can create a .NET password extension dynamic-link library (DLL). The Microsoft .NET password extension DLL is called whenever a password change or set call is invoked for any of these management agents. You configure password extension settings for these management agents in MIIS 2003 Identity Manager.

noteNote

For more information about configuring password extensions, see Microsoft Identity Integration Server 2003 Developer Reference at http://go.microsoft.com/fwlink/?LinkId=77629.

The following management agents support password management using a password extension:

  • Management Agent for Attribute-Value Pair Text File
  • Management Agent for Delimited Text File
  • Management Agent for Directory Services Markup Language (DSML)
  • Management Agent for Extensible Connectivity
  • Management Agent for Fixed-Width Text File
  • Management Agent for IBM DB2
  • Management Agent for LDAP Data Interchange Format (LDIF)
  • Management Agent for Microsoft SQL Server™
  • Management Agent for Oracle Database
Configuring the Management Agent for Active Directory

You must configure the Management Agent for Active Directory on the server running MIIS 2003 so that it can process password change requests. The Management Agent for Active Directory must be the source for all password change requests. As such, the authoritative Active Directory domain pushes all password change requests to every configured data source that has password management enabled.

Enabling and Configuring the Target Management Agents

You must configure the management agents for all connected data sources that participate in automated password synchronization to receive and process password change requests. These management agents receive the password changes sent to them by the Active Directory domain that you have enabled to be the source for password synchronization.

The Configure Extensions option, located in the Properties section of each target management agent, has the following options to enable automated password management:

  • Maximum retry count
    This option specifies the number of times MIIS 2003 attempts to push a password change to the connected data source, if there are connectivity errors.
  • Retry interval
    This option specifies how much time elapses between attempts by MIIS 2003 to push the password to the connected data source.
  • Require secure connection for password synchronization operations
    This option specifies that a secure connection to the connected data source is required before MIIS 2003 attempts to push a password change to the connected data source. If you do not include this option, the management agent pushes the password change to the connected data source regardless of the security level.
Enabling Password Synchronization

The final step in implementing the automated password synchronization solution is to enable password synchronization on the server running MIIS 2003. Although you have enabled password management for the relevant management agents, you must configure the MIIS 2003 Web-based application separately for successful automated password synchronization.

When password synchronization is enabled, the RPC service on the server running MIIS 2003 starts. This ensures that MIIS 2003 can process password change requests that are sent to it from Active Directory, and then push those requests to the connected data sources. RPC dynamically chooses a range of ports to push the password change requests to the connected data sources. If you require that MIIS 2003 communicate with the Active Directory forest through a firewall, you must open a range of ports.

If you enable, and then disable, password synchronization, password synchronization on MIIS 2003 pauses. MIIS 2003 holds all password change requests that it has already received in the queue, and then processes them when you enable password synchronization again. While password synchronization is disabled, password change notifications from the domain controllers are not acknowledged and are held in queues on the domain controllers. When you enable password synchronization again, MIIS 2003 processes these requests.

Security Considerations for Automated Password Synchronization

For many enterprises, transporting and storing passwords across connected data sources is a security concern. If password security is compromised, enterprises can be vulnerable to threats from outside intruders. MIIS 2003 addresses the following security considerations for automated password synchronization:

  • Authentication from the password source – When MIIS 2003 receives a password change notification, the domain controller and MIIS 2003 do Kerberos authentication to ensure that the recipient and sender are both valid. MIIS 2003 ensures that the caller has an account in the Domain Controllers container of the domain to which it belongs.
  • Failed password synchronization to a target data source due to an insecure connection – If a management agent that is configured to require a secure connection does not detect one, synchronization fails. If the management agent is configured to allow non-secure connections, however, synchronization succeeds. Enable non-secure connections only after examining and understanding the risks involved.
  • Secure storage of passwords – MIIS 2003 stores encrypted passwords only temporarily. All passwords received by MIIS 2003 during a password change notification operation are encrypted as soon as they enter the MIIS 2003 process. The moment they are successfully sent to the target connected data source, they are decrypted, and the memory storing the password is immediately cleared. If the operation fails to write to the target connected data source, the encrypted password is stored until all retry attempts have been attempted, and then the password is cleared from memory.
  • Secure password queues – Passwords stored in PCNS password queues are encrypted until they are delivered.

Because security is a major concern for many enterprises, MIIS 2003 has built-in features that address many security issues that can occur when you implement an automated password synchronization solution. Below are best practices for security in MIIS 2003 that can enhance the security of your corporate environment. For more information about securing your MIIS 2003 environment, see MIIS Best Practices for Security in MIIS 2003 Help.

Lock Down the MIIS 2003 Service Account

MIIS 2003 runs in the security context of a specific account. Because the account has access to all MIIS 2003 resources, you should lock down this account with the following restrictions:

  • Deny users access to log on as a batch job.
  • Deny users access to log on locally.
  • Deny users access to log on using Terminal Services.
  • Deny users access to this computer from the network.

noteNote

For more information about setting account restrictions on Windows Server 2003, Enterprise Edition accounts, see Windows Server 2003, Enterprise Edition Help.

Place the Server Running MIIS 2003 Behind a Firewall

Ensure that the network context in which the server running MIIS 2003 run is behind a firewall. Use a tunnel from the server running MIIS 2003 to connect to resources such as domain controllers, if they are not on the same side of the firewall. For more information about security and Windows Server 2003, Enterprise Edition, see Windows Server 2003, Enterprise Edition Help.

Resource Requirements

As with any technology project, having enough of the right resources to implement a solution is critical. Resources such as scheduling, existing infrastructure budget, and solution features all impact the success of an automated password synchronization solution.

As noted earlier, we recommend that you try the procedures in this automated password synchronization solution in a test environment prior to deploying them in a production environment.

Although it does not follow recommended practices, you can set up a minimal test environment using only two computers to test this solution. To perform the procedures in this Guide, your test environment should have the following characteristics:

  • At least one Active Directory domain controller running Windows Server 2000 or Windows Server 2003.
  • A member server running Windows Server 2003, Enterprise Edition with at least one Management Agent for Active Directory and another management agent configured and successfully synchronizing objects with the Management Agent for Active Directory. The MIIS 2003 service account must be a domain account.
  • A client workstation that is a member of the domain that can be used to initiate and verify password changes.
  • No firewall between the servers.
    If a firewall is enabled, you must open a range of ports to allow RPC communication between the domain controller and the server running MIIS 2003. For more information, Microsoft Identity Integration Server 2003 Technical Reference at http://go.microsoft.com/fwlink/?LinkId=38680.
  • MIIS 2003 installation CD for PCNS installation.
  • Service Principal Name (SPN) utility. You can find this utility in Windows 2000 Resource Kit Tools or Windows Server 2003 Support Tools, which are located on the Windows Server 2000 system disk or Windows Server 2003 system disk.

    noteNote

    To download Setspn.exe, see Windows 2000 Resource Kit Tools for administrative tasks at http://go.microsoft.com/fwlink/?LinkID=33697.

  • As noted earlier, during installation, PCNS verifies the Active Directory schema to ensure that classes and attributes needed to run PCNS are available. If they are not, the PCNS installation wizard prompts you to launch the PCNS Schema Update Wizard to update the schema. To modify the schema, you must be a member of both the Domain Admins and the Schema Admins groups. You must extend the Active Directory schema only once for each Active Directory forest. The schema modifications are replicated to the other domain controllers in the forest when domain replication occurs.

Troubleshooting

Be aware that users will not get any type of notification that things are not working. They will simply be aware that their changes are not getting through. So if the PCNS service is unavailable, down, or not working they will have no indication of this.

There will be error messages in the Event Viewer of the Domain Controller where PCNS is installed. There will be events to indicate that the service is not started or that changes are not being forwarded. Administrators should check the Event Viewer of the DC where PCNS is installed if they suspect that the service is not working or if changes are not being forwarded.

Summary

This Guide is an automated password synchronization solution based on MIIS 2003. It provides an overview of how automated password synchronization works, its fundamental components, and the processes necessary to implement the solution in your enterprise environment.

For detailed procedures, see Implementing the Automated Password Synchronization Solution – Step-by-Step at http://go.microsoft.com/fwlink/?LinkId=81750. This document presents instructions for implementing the automated password synchronization solution. It also provides configuration options and illustrations of the information in this Guide.

CÔNG TY TNHH NOVA SỐ – NOVA DIGITAL CO., LTD


LỊCH SỬ HÌNH THÀNH.

Cty TNHH NOVA DIGITAL được thành lập dưới sự tham gia cố vấn và đầu tư từ những chuyên gia công nghệ cao Microsoft, VMware, IBM, EMC với định hướng phát triển trở thành một trong những đơn vị hàng đầu về Sản xuất phần mềm Giải pháp, Tư vấn giải pháp, Dịch vụ Triển khai các Giải pháp phần mềm CNTT trong Quản lý Doanh nghiệp và Điều hành các hệ thống giải pháp Điện toán đám mây.

Đội ngũ nhân sự có năng lực, kinh nghiệm trên 10 năm về triển khai và đào tạo công nghệ, sở hữu nhiều chứng chỉ Quốc tế quan trọng đảm bảo khả năng cạnh tranh trong việc phát triển dịch vụ Đào tạo và triển khai giải pháp CNTT tại Việt Nam và các nước ĐNÁ.

LĨNH VỰC HOẠT ĐỘNG

Công ty TNHH NOVA DIGITAL hoạt động trong lĩnh vực Sản xuất phẩm mềm Quản lý bằng CNTT, Dịch vụ triển khai và Đào tạo CNTT với thế mạnh nhiều năm kinh nghiệm:

  • Phát triển dịch vụ đào tạo chuyên ngành Công nghệ thông tin – Kinh tế và Viễn thông.
  • Đối tác Hợp tác cung cấp các giải pháp CNTT cho 3 Hiệp hội chuyên ngành:
    • Hiệp hội Chế biến và Xuất khẩu Thuỷ sản Việt Nam – VASEP (hơn 500 Doanh nghiệp thành viên trong các lĩnh vực XNK, Chế biến, Sản xuất, Ngân hàng, Thương mại Thuỷ sản).  website: http://www.vasep.com.vn/ 
    • Hiệp hội Gỗ và Lâm sản Việt Nam (hơn 300 Doanh nghiệp thành viên trong các lĩnh vực XNK, chế biến, sản xuất, Ngân hàng, Thương mại Gỗ – nội thất). website:  http://vietfores.org/
    • Hiệp hội Chế biến và xuất khẩu Chè Việt Nam – VITAS ( hơn 80 Doanh nghiệp thành viên trong các lĩnh vực XNK, chế biến, sản xuất, Ngân hàng, Thương mại Chè – ẩm thực Việt Nam).  Website: http://www.vitas.org.vn
  • Các giải pháp phần mềm tin học vào ứng dụng cho doanh nghiệp vừa và nhỏ như:
    • Office 365 Cloud.
    • Cung cấp các phần mềm bản quyền của Microsoft, VMware, Lạc Việt cho Doanh nghiệp Việt Nam.
    • Chứng thư số của Viettel ISP cho khai báo thuế Việt Nam.
    • Hệ thống SMS của Viettel Telecom cho Quản lý sản xuất – Kinh tế.
  • Cung cấp giải phải pháp phần mềm tin học ứng dụng trong trường học Phổ thông và Đại học.
    • Hệ thống SMS của Viettel Telecom cho Quản lý Trường Đại học.
    • Hệ thống SMS Học bạ cho Quản lý Trường Phổ thông.
  • Đối tác triển khai giải pháp duy nhất của Microsoft Live@edu tại Việt Nam.
    • Triển khai hệ thống Exchange Online, SharePoint Online, Forefront Protection for Exchange Online, Skydrive.
    • Tích hợp hệ thống ADSync với Windows Live ID và SSO.
    • Triển khai các giải pháp SSO giữa Moodle hoặc SharePoint On-premise với Outlook Live.
    • Dịch vụ Đào tạo Live@edu for Administrators và Giáo viên các Trường Phổ thông – Đại học.
  • Đối tác duy nhất triển khai nâng cấp Office365 Education của Microsoft tại Việt Nam.
    • Nâng cấp từ Microsoft Live@edu sang Office 365 cho 300 trường PTCS, 128 trường PTTH, 40 Trường CĐ- Trung học chuyên nghiệp, 37 Trường Đại học,  20 Viện và Sau Đại học tại 39 tỉnh thành Việt Nam.
    • Cung cấp phần mềm và triển khai các giải pháp tích hợp, khai thác Office 365 cho toàn bộ các Trường tại Việt Nam.
    • Dịch vụ đào tạo Office 365 gồm 3 môn chuẩn của Microsoft:
      • Course 70-321 Deploying Office 365.
      • Course 70-323 Administering Office 365 for SMB.
      • Course 74-324 End User Office365 training.
  • Đại lý chính thức AER và LAR của Microsoft cung cấp phần mềm giáo dục tại Việt Nam.
  • Đối tác đạo tạo University và Triển khai giải pháp Ảo hoá Chuyên nghiệp của VMware tại Việt Nam.
    • Đại lý sản phẩm phần mềm ảo hoá VMware.
    • Đối tác đào tạo uỷ quyền của VMware tại Việt Nam.
    • Đối tác triển khai Service Solution IT Professional of VMware.
  • Trung tâm thi chứng chỉ Công nghệ Thông tin Quốc tế Prometric, Pearson Vue.
  • Xây dựng trang web điện tử, xây dựng cổng thông tin Doanh nghiệp.

 

CƠ CẤU TỔ CHỨC & NHÂN SỰ

Để thực hiện các chức năng nhiệm vụ phát triển dịch vụ Đào tạo, định hướng kinh doanh, cung cấp các giải pháp ứng dụng CNTT, đảm bảo dịch vụ hỗ trợ khách hàng và duy trì hoạt động của Trung tâm một cách hiệu quả, NOVA Digital đã xây dựng một cơ cấu tổ chức một cách chặt chẽ, hợp lý bao gồm các phòng ban có mối quan hệ hỗ trợ và phối hợp đồng bộ tạo nên một sức mạnh tập thể. Đáp ứng và cung cấp các dịch vụ phục vụ khách hàng Doanh nghiệp một cách toàn diện, chu đáo.

image

CEO: Giám đốc điều hành

CIO: Giám đốc kỹ thuật.

CMO: Giám đốc quản lý đối tác.

CFO: Trưởng quản lý tài chính kế toán.

AM: Quản lý khách hàng.

CCO: Trưởng quản lý chăm sóc khách hàng.

CTO: Trưởng quản lý kỹ thuật và triển khai hỗ trợ kỹ thuật Khách hàng.

 

NỀN TẢNG CÔNG NGHỆ – CHỨNG CHỈ NĂNG LỰC

Chứng chỉ công nghệ Microsoft MCP:

          Chứng chỉ chuyên ngành cao cấp về hệ thống mạng (MCITP)

          Chứng chỉ chuyên gia CNTT về SharePoint 2010 (MCM).

          Chứng chỉ chuyên gia CNTT về Dynamic CRM.

          Chứng chỉ chuyên gia về Đào tạo CNTT của Microsoft (MCT)

Partner Microsoft Live@edu

image

Đối tác duy nhất triển khai Microsoft Live@edu tại Việt Nam.

Microsoft Licensing Sales Specialist LAR & AER

Chứng chỉ cấp phép bán hàng chuyên khối Doanh nghiệp, chính phủ và Giáo dục.

 

Microsoft Office Specialist

Chứng chỉ chuyên ngành về hoạt động nghiệp vụ văn phòng

Microsoft Learning Solution

Ủy quyền của Microsoft về cung cấp các giải pháp cho Giáo dục và Đào tạo

Microsoft SharePoint Platform

          Cung cấp giải pháp Cổng thông tin điện tử và Microsoft Learning Gateway theo nền tảng SharePoint.

          Gia công phần mềm, triển khai dịch vụ hỗ trợ kỹ thuật cho các Trường Quốc tế và Đại học như: Hanoi University of Pharmacy – http://www.hup.edu.vn , UNISHANOI: http://portal.unishanoi.org

Microsoft Dynamic CRM

Giải pháp triển khai hệ thống Chăm sóc khách hàng

Microsoft Business Intelligence

          Giải pháp Doanh nghiệp thông minh chuyên cung cấp giải pháp BI 2008, BI 2012 trên nền Windows Server 2008 R2, Windows Server 2012 cho Hải Quan Việt Nam và Hiệp hội CBXN TS VASEP, Hiệp hội Chè VITAS.

Đối tác của SourceCode

image

Chuyên triển khai giải pháp “Business Process Management Solution” cho Doanh nghiệp Viễn thông Viettel Telecom tại 64 tỉnh thành.

Khảo thí thi chứng chỉ Quốc tế

image

          Chuyên tổ chức thi chứng chỉ CNTT của Microsoft, IBM, WMware.


SẢN PHẨM, GIẢI PHÁP & DỊCH VỤ

1.      Chương trình Microsoft Partner Program

          Đối tác của Microsoft phát triển mạng lưới và đánh giá, xác thực năng lực đối tác tại Việt Nam.

          Phát triển các gói sản phẩm, giải pháp cho các doanh nghiệp, đối tác.

          Đại lý chính thức cung cấp các phần mềm có bản quyền tại Việt Nam.

2.      Chương trình Microsoft LAR & AER (Microsoft Authorized Education Resller)

Tư vấn, cung cấp và đào tạo khai thác các phần mềm có bản quyền của Microsoft cho các đơn vị là Trường Đại học, Cao đẳng, THPT…

3.      Chương trình Live@edu và Office365 Cloud

Đối tác độc quyền triển khai cung cấp gói dịch vụ Microsoft Cloud miễn phí cho khối Giáo dục tại Việt Nam, Lào, Campuchia bao gồm:

          Hệ thống Email trực tuyến.

          Hệ thống cổng thông tin giáo dục trực tuyến.

          Hệ thống hội thảo trực tuyến.

          Hệ thống Microsoft Office trực tuyến.

          Hệ thống Dynamic CRM trực tuyến.

          Dịch vụ hỗ trợ, tư vấn và triển khai kỹ thuật Microsoft Cloud.

4.      Giải pháp phần mềm dựa trên nền tảng hạ tầng SharePoint và .Net Framework

          Cung cấp giải pháp cổng thông tin quản lý nội dung giáo trình, giáo án, trắc nghiệm cho khối giáo dục.

          Cung cấp giải pháp cổng thông tin quản lý nội dung giáo trình, giáo án, trắc nghiệm cho khối doanh nghiệp quản trị nhân sự.

5.      Giải pháp dịch vụ gia tăng trên di động (SMS Mobile)

Cung cấp giải pháp quản lý học sinh, sinh viên và phản hồi thông tin qua tổng đài nhắn tin thuê bao điện thoại di động.

6.      Phòng thi chứng chỉ Quốc tế được khảo thí ủy quyền của Prometric và Pearson Vue

Phòng thi đạt tiêu chuẩn Quốc tế được Prometric ủy quyền cho phép học viên thi và nhận các chứng chỉ chuyên ngành CNTT đạt chuẩn Quốc tế tại Việt Nam.

7.      Giải pháp ảo hóa hệ thống VMware

Đối tác độc quyền của VMware tại Việt Nam

          Tư vấn giải pháp.

          Triển khai hạ tầng.

          Đào tạo và chuyển giao công nghệ.

8.      Giải pháp phát triển dịch vụ trực tuyến trên nền Microsoft Cloud computing

Đối tác duy nhất tại Việt nam tư vấn, triển khai, đào tạo và chuyển giao công nghệ về các giải pháp trên nền Microsoft Cloud Apps.

KHÁCH HÀNG TIÊU BIỂU

Các thành viên xây dựng NOVA DIGITAL đều là những người có từ 10 – 16 năm kinh nghiệm triển khai trong các lĩnh vực:

1.      Dầu khí: PVOL

2.      Ngân hàng: Vietin Bank, VP Bank

3.      Bảo hiểm: Prudential, Manulife

4.      Vinamilk

5.      Đào tạo: RMIT University, de Heus, HUP, HUBT, HCMUT, NEU, HLU, Nhất Nghệ, DNU, HUESTAR.

6.      Hải Quan: Hải Quan Việt nam, FAO – FIIU – WCOO.

7.      Viễn Thông: Viettel Telecom.

8.      Truyền hình: VTC, Viettel Media, Mobiphone Media, PGM Senvang, HTC

 

CÁC DỰ ÁN TIÊU BIỂU ĐÃ THỰC HIỆN

Khách hàng Doanh nghiệp

Thời gian

Sản phẩm và dịch vụ cung cấp

Viettel Telecom

(64 tỉnh thành, 6000 người dùng).

2007

Giải pháp Quản lý Quy trình về Hợp đồng Mua Bán

của  K2Workflow SourceCode trên nền SharePoint Office 2007 Server

Microsoft

2008

Mô hình giải pháp SMS Mobile ứng dụng cho Nông thôn

VASEP

2011

Cổng thông tin chuyên ngành Thủy sản

http://www.vasep.com.vn

VITAS

2010

Công thông tin nội bộ Hiệp hội Chè

http://portal.vitas.org.vn

Microsoft for Education

Từ 2008 đến nay

Chương trình Live@edu triển khai tại Việt Nam cho:

– 300 trường PTCS

– 128 trường PTTH

– 40 Trường CĐ- Trung học chuyên nghiệp

– 37 Trường Đại học

– 20 Viện và Sau Đại học tại 39 tỉnh thành Việt Nam.

– 15 Trường Quốc tế.

VISC

2012

Trang học bạ trực tuyến Hocba.vn

http://hocba.vn

Viettel CA

2010

Cung cấp chữ ký số cho các ngành Thuế, Hải quan điện tử và các Doanh nghiệp thuê Hosting máy chủ.

NAT&L

2009

Tư vấn và triển khai giải pháp Mobile SMS Gateway của Microsoft UPG tại nhà máy mía đường Nghệ An.

Bộ Nông nghiệp (MART)

2009

Triển khai giải pháp thống kê giá nông nghiệp qua Mobile (Microsoft Project MIDAS)

Khách hàng GIÁO DỤC

Thời gian

Sản phẩm và dịch vụ cung cấp

Đại học Dược HN (Hanoi University of Pharmacy)

11.000 người dùng

2010

Triển khai giải pháp hạ tầng Web hosting, Sharepoint portal, Learning Geatway, hội thảo trực tuyến bằng Microsoft Lync Online.

Website: http://www.hup.edu.vn

Kiểu dự án: Lai ghép điện toán đám mây

Đại học Văn Lang

25.000 người dùng

2009

Triển khai dịch vụ hạ tầng Outlook Live, Moodle tích hợp Windows Live ID.

Website: http://www.vanlanguni.edu.vn/

Kiểu dự án: Lai ghép điện toán đám mây

Đại học Bách Khoa TP.HCM

35.000 người dùng

2009

Triển khai dịch vụ hạ tầng Outlook Live, PSA tích hợp Windows Live ID.

Website: http://www.hcmut.edu.vn/en

Kiểu dự án: Cloud and On-Premise

Đại học Tôn Đức Thắng

45.000 người dùng

2010

Triển khai dịch vụ hạ tầng Outlook Live, PowerShell đồng bộ dữ liệu người dùng.

Website: http://english.tdt.edu.vn/ 

Kiểu dự án: Lai ghép điện toán đám mây

Đại học Đà nẵng

32.000 người dùng

2009

Triển khai dịch vụ hạ tầng Outlook Live, PowerShell đồng bộ dữ liệu người dùng.

Triển khai Cổng thông tin Moodle Learning với Windows Live ID.

Website: http://www.dnu.edu.vn

Kiểu dự án: Lai ghép điện toán đám mây

Đại Học Dân lập Thăng Long

9000 người dùng

2008

Triển khai dịch vụ hạ tầng Outlook Live, PowerShell đồng bộ dữ liệu người dùng.

Triển khai Cổng thông tin Joomla với Windows Live ID.

Website: http://thanglong.edu.vn/

Kiểu dự án: Lai ghép điện toán đám mây

Đại học Đông Đô

5000 người dùng

2009

Triển khai dịch vụ hạ tầng Outlook Live, PowerShell đồng bộ dữ liệu người dùng.

Triển khai Cổng thông tin ASP.Net với Windows Live ID.

Website: http://www.dongdo.edu.vn

Kiểu dự án: Lai ghép điện toán đám mây

Đại học Quản trị Kinh Doanh Công nghệ HUBT

25.000 người dùng

2010

Triển khai dịch vụ hạ tầng Outlook Live, PowerShell đồng bộ dữ liệu người dùng.

Triển khai Cổng thông tin Moodle Learning với Windows Live ID.

Website: http://www.hubt.edu.vn

Kiểu dự án: Lai ghép điện toán đám mây

Khách hàng GIÁO DỤC QUỐC TẾ

Thời gian

Sản phẩm và dịch vụ cung cấp

Australian International School – Vietnam

 

1000 người dùng

2012 đến nay

Triển khai dịch vụ hạ tầng Outlook Live, PowerShell đồng bộ dữ liệu người dùng.

Triển khai Cổng thông tin SharePoint 2010 với Windows Live ID và SSO.

Website: http://www.aisvietnam.com

Kiểu dự án: Lai ghép điện toán đám mây

Kinder World Group

2000 người dùng

2010

Triển khai dịch vụ hạ tầng Outlook Live, PowerShell đồng bộ dữ liệu người dùng.

Triển khai Cổng thông tin Joomla với Windows Live ID và SSO.

Website: http://kinderworld.net/

Kiểu dự án: Lai ghép điện toán đám mây

the International School Ho Chi Minh City (ISHCMC)

3000 người dùng

2011

Triển khai dịch vụ hạ tầng Outlook Live, PowerShell đồng bộ dữ liệu người dùng.

Triển khai Cổng thông tin Joomla với Windows Live ID và SSO.

http://www.ishcmc.com/

UnisHanoi

1000 người dùng

2012 đến nay

Tư vấn giải pháp SharePoint, Exchange và triển khai Hạ dịch vụ quản lý hệ thống trọn gói

http://portal.unishanoi.org

 

ĐỐI TÁC CHIẾN LƯỢC CỦA NOVA DIGITAL

Doanh nghiệp mạnh về cung cấp giải pháp, thiết bị, dịch vụ  và phần mềm CNTT

image

Microsoft Small Business Specialist

Đối tác triển khai dịch vụ Office 365 cho Trường CĐ, ĐH và Doanh nghiệp

Đối tác chuyên triển khai và đào tạo các giải pháp Cổng thông tin SharePoint, BizTalk, SQL, Lync và Office Online.

image

Solution Service IT Professional

Đối tác chuyên triển khai giải pháp Ảo hoá vCenter & vCloud mạng Doanh nghiệp cho các Trường CĐ, ĐH và Doanh nghiệp.

image

Solution Service NAS Professional

Đối tác chuyên triển khai giải pháp Lưu trữ mạng nội bộ và Điện toán đám mây NAS to LAN & vCloud cho các Trường CĐ, ĐH và Doanh nghiệp.

image

 Service Provider SERVER & SAN Professional

Đối tác chuyên triển khai giải pháp Máy chủ Server & SAN cho các Trường CĐ, ĐH và Doanh nghiệp.

 

image

          Đối tác tư vấn và triển khai hệ thống phần mềm giải pháp dịch vụ khai báo Hải quan “E-Manifest Vietnam Customs”.

          Đối tác tư vấn và triển khai hệ thống Quản lý Nội dung số Truyền hình Viễn thông Viettel Media.

image

          Đối tác tư vấn và triển khai sản phẩm phần mềm Quản lý tài chính Khách hàng Doanh nghiệp ERP.

image

          Đối tác tư vấn và triển khai hệ thống Quản lý Nội dung số Truyền hình Tin tức VTC Media.

          Đối tác tư vấn và triển khai hạ tầng ảo hoá trong Đào tạo CNTT VTC Labs Management.

image

          Đối tác tư vấn và triển khai hệ thống Quản lý dịch vụ Ảo hoá Điện toán đám mây vCloud CMC IDC HCMC.

 

Doanh nghiệp tiên phong trong lĩnh vực Đào tạo CNTT

image

image

1.      Viện Đào tạo Công nghệ và Quản trị Robusta

2.      IPMAC.

3.      IT Academic Thang Long.

4.      NetPro IT Academic.

5.      Trung tâm CNTT Đại học Kinh doanh và Công nghệ Hà nội.

6.      Viện đào tạo CNTT & Viễn thông – Đại Học Mở Hà Nội.

7.      Viện Đào tạo Công nghệ sau đại học – Đại Học Bách Khoa Hà nội.

8.      Học viện CNTT – Kinh tế Quốc Dân.

9.      Trường Cao đẳng Công nghiệp Huế.

10.  Nhất Nghệ.

 

Đối tác Hiệp hội Doanh nghiệp Thông tấn

image

          14 năm Đối tác tư vấn và triển khai hỗ trợ nâng cao năng lực CNTT tại Hiệp hội Doanh nghiệp thủy sản Việt Nam (VASEP)

image

          4 năm Đối tác tư vấn và triển khai xây dựng, đào tạo năng lực quản lý nghiệp vụ văn phòng tại Hiệp hội Chè Việt Nam (VITAS)

 

image

          14 năm làm Đối tác tư vấn và hỗ trợ kỹ thuật  CNTT tại Doanh nghiệp sản xuất và chế biến đồ Gỗ nội thất trực thuộc Hội Gỗ Việt Nam

ĐỊNH HƯỚNG PHÁT TRIỂN TRONG TƯƠNG LAI

Chúng tôi cam kết

          Chất lượng dịch vụ là kim chỉ nam cho mọi hoạt động của chúng tôi do đó chúng tôi luôn tập trung để thỏa mãn yêu cầu của khách hàng với tinh thần phục vụ tận tụy và sự hiểu biết sâu sắc về nhu cầu đề ra.

          Cùng với đó chúng tôi không ngừng nâng cao năng lực công nghệ và cải tiến quy trình chất lượng nhằm cung cấp những sản phẩm và dịch vụ có chất lượng tốt nhất.

          Chân thành, chủ động trong việc xây dựng quan hệ đối tác để cùng phát triển.

          Đoàn kết nội bộ, nỗ lực phấn đấu vì một sự nghiệp Giáo dục tiến bộ.

          Tái đầu tư xã hội thông qua các hoạt động Giáo dục cộng đồng.

Chiến lược phát triển

          Chúng tôi không ngừng đầu tư để đảm bảo luôn đi trước và đón đầu công nghệ tiên tiến dựa trên những đối tác chiến lược lâu năm.

          Không ngừng mở rộng quan hệ đối tác tạo cơ hội phát triển lớn mạnh.

          Xây dựng mạng lưới khách hàng sâu rộng và bền vững.

          Đẩy mạnh công tác đào tạo, chuyển giao công nghệ với các hãng đối tác.

          Xây dựng chiến lược nhân sự ổn định dựa trên triết lý nhân bản sâu sắc.

          Hướng tới mục tiêu trở một trong những đơn vị tiên phong về cung cấp dịch vụ đào tạo và giải pháp công nghệ tại khu vực Châu Á Thái Bình Dương.

 

%d bloggers like this: