คำนวณ License Windows Server 2016

เดือนตุลาคม ปี 2016 ทาง Microsoft ได้ออก Windows Server 2016 โดยได้เปลี่ยนวิธีคิด License จากเดิมนับจำนวน CPU เป็นนับตามจำนวนของ CPU core ในรอบนี้ภาพรวมๆ ก็ยังคล้ายของเดิมในส่วนของการนับไปใช้กับ Virtual Machine แต่ update เรื่อง Container เข้าไปด้วย  มี Feature ส่วนที่เพิ่มขึ้นแล้วบางอันถูกไปใส่ไว้ใน Datacenter Edition แต่ส่วนใหญ่อาจไม่ได้ใช้กัน เช่น Storage Replica, Shield VM เป็นต้น หลักๆ เรายังใช้ Standard Edition แต่ถ้ามี VM มากๆ ก็ให้ดู Datacenter ไว้ด้วย การเข้าใจเรื่อง License นอกจากช่วยให้ประหยัด และยังช่วยระวังซื้อผิด Edition ด้วย

เทคโนโลยี CPU Core และการขยับของ Microsoft

การเกิดของ Multiple CPU Core อย่างของ Intel CPU มีมานานแล้ว การมี Core มากๆ ช่วยให้ Server ทำงานได้มีประสิทธิภาพสูง อย่าง Intel Xeon E5 V4 ใน 1 CPU มี core ให้เลือกตั้งแต่ 4 core ยาวๆ กันไปจนถึง 22 core ในด้าน Software License ที่ผ่านมา Software หลายตัวได้คิดราคาค่า License ตาม CPU core กันแล้ว ถ้างานมากก็ต้อง core  มาก เป็นเหตุให้ต้องจ่ายค่า License Software มาก มันก็น่าจะเป็นธรรมกับผู้พัฒนา Software และส่งเสริมให้มีการพัฒนางานใหม่ๆ ออกมาด้วย ในส่วนของ Microsoft เองได้ปรับการคิดค่า License ของ Software ตาม Core ไปบ้างแล้ว เช่น Microsoft SQL Server ตั้งแต่ version 2012 เป็นต้น

หลักการคิด License ของ Windows Server 2016

ปัจจัยการคิด License จะมี 2 ส่วน คือ Edition ที่ซื้อและจำนวน CPU Core โดยทำตามขั้นต่อไปนี้

1. เลือก Edition  รอบนี้มี 5 Edition ดังนี้

Edition Name วิธีคิด License
1 Datacenter นับตามจำนวน CPU Core*
2 Standard นับตามจำนวน CPU Core*
3 Essestial นับตามจำนวน Processor
จำกัดจำนวน User ที่ 1-25 user หรือ 50 Devices
4 Storage Server นับตามจำนวน Processor แต่ไม่ขายตรง เป็น OEM เท่านั้น
5 Hyper-V Server Free แต่ใช้ทำเป็น  Hyper-V Host เท่านั้น

*Client Access Licenses ยังต้องซื้อตามปกติ

2. เลือก Feature ที่ต้องการใช้งาน

Datacenter Edition Standard Edition
Windows Server Core Functionality

(Function หลักของ Windows -> เท่ากัน)

เหมือนกัน เหมือนกัน
OSEs / Hyper-V containers

จำนวน VM

ไม่จำกัด 2 VM (หากสร้างเกิน 2 VM ให้ซื้อ license ใช้สูตรคำนวณตาม core นี้  เติมได้ทีละ 2 vm เช่น 1-16 core ซื้อมาตอนแรก 8 license ตอนสร้าง VM ที่ 3 และ 4 ก็ซื้ออีก 8 license  สร้างเพิ่มเครื่องที่ 5,6 ก็ซื้ออีก 8 license

 

update 24 มค 60, ถ้าเครื่องมี 40 core ใช้ 20 license สร้างได้แค่ 2 VM, ถ้าจะสร้างเพิ่ม 20 lic ต่อ 2 vm ใช้ สูตรคำนวณที่นี่ )

Windows Server containers ไม่จำกัด ไม่จำกัด
Nano Server ทำได้ ทำได้
New Storage Features including Storage Spaces Direct and Storage Replica Yes
New Shielded Virtual Machines and Host Guardian Service Yes
New networking stack Yes

3. นับ CPU Core

ใน Standard และ Data Center จะนับ License ตาม CPU Core

  • Core, จำนวน Core ทั้งหมดที่มีตาม CPU Core Model ดู specification จาก Intel ได้
  • 1 licenses เท่ากับ 2 core
  • กำหนดให้ 1 server ต้องซื้อเริ่มต้น 8 licenses (เท่ากับมี 1 – 16 core จ่ายราคาเดียวกัน คือ 8 licenses)
  • ถ้า Core เกิน 16 ซื้อเพิ่มเป็น license ละ 2 cores

4. ราคาตาม Price List ตาม web site Microsoft

Windows Server 2016 edition Licensing model CAL requirements* Pricing Open NL ERP (US$)
Datacenter Core-based Windows Server CAL $6,155
Standard Core-based Windows Server CAL $882
Essentials Processor-based No CAL required $501

5. คำนวณค่า License

จากราคาตาม Plice List ตามข้อ 4 อ้างอิงจาก Intel Xeon E5 V3 จำนวน Core ที่มีขายจริงเริ่มที่ 4 core การนับจำนวน License และคิดราคาทำได้ง่ายๆ ตัวอย่างคิด License แบบ Standard Edition

A. เครื่องมี 1 CPU – Intel E5-1630 v4 มี 4 cores ต้องซื้อ 8 license (น้อยกว่า 16 core) ราคาประมาณ 30,870 บาท

B. เครื่องมี 1 CPU –  Intel E5-2667 v4 มี 8 cores ต้องซื้อ 8 license (น้อยกว่า 16 core) ราคาประมาณ 30,870 บาท

C. เครื่องมี 1 CPU – Intel E5-2680 v4 มี 14 cores ต้องซื้อ 8 license  (น้อยกว่า 16 core)  ราคาประมาณ 30,870 บาท

D. เครื่องมี 2 CPU – Intel E5-2680 v4 มี 14 cores รวมเป็น 28 cores ต้องซื้อ 8 license (16 core แรก ) + 6 license (12 core ที่เพิ่มขึ้น) รวมต้องใช้ 14 license  ราคาประมาณ 53,970 บาทการคิด License Windows Server 2016 ตาม Core ไม่ยาก

image

 

คิด License ตาม Step 1 – 4 แล้วเทียบราคาจากตารางในขั้นตอนที่ 5 ง่ายๆ แค่นี้

image

Reference

  1. Software Defined Networking (SDN)
  2. Windows Server License Data Sheet
  3. Excel สำหรับคำนวณ License
Advertisements

Windows Container : Storage 1

ในตอนที่ 2 เราได้เตรียม Container Host กันแล้ว และใช้คำสั่ง docker run ไปบ้าง ตอนนี้เราจะทำความเข้าใจหัวข้อต่อไปนี้

  1. Container Image, Layer, History  และ  docker commit
  2. Volume
Container Image และ Layer

การเข้าใจ Image ต้องควบคู่ไปกับ Layer ตามที่รู้กันแล้วว่า Container เป็นการ share OS เมื่อเราอยากใช้เครื่อง Server ทำหน้าที่อะไร เราจึงต้องมี Image หรือ Application นั้น เช่น เราต้องการ ASP.Net Server คือ เราสร้าง Windows Server ขึ้นมาก่อน แล้วก็ Enable ASP.Net ในโลกของ Windows Container เราจะต้อง download OS Image + ASP. Net จาก Repository เป็นต้น

Image หมายถึง Package ของ Application ที่เตรียมไว้ Run ใน Container ในภาพประกอบด้านล่าง Image ถูกเก็บไว้ที่ Repository มี 3 ที่คือ Public, Private และ Local  ซึ่ง Image อาจมีลง Application เพิ่มเติมบน Image เดิมได้เรื่อยๆ ส่วนที่มา update มันไม่ได้ถูกแก้ของเดิม แต่เป็นการสร้างเป็นของใหม่เพิ่มเติมขึ้นไปเรียกว่า Layer

Image ที่ประกอบด้วย Layer นั้น ใน Container แม้จะมีกี่ Layer ก็ตาม จะมี Layer 2 แบบ คือ Read-only และ Read-Write ตามภาพด้านล่าง โดย Layer ชั้นบนสุดจะสามารถ write ได้ แต่มันเป็นแค่ write เก็บไว้ในระหว่างที่ Run image นั้น หลังจะ stop image สิ่งที่ write ก็จะหายไป ถ้าจะเก็บถาวรต้องใช้ Volume

Layer

Volume

ตามที่กล่าวไปแล้ว Image ถูกออกแบบว่าห้าม save งานลงไปในนั้นโดยตรงเพราะแนวคิดการใช้งาน Docker คือการควบคุมให้ version ใน image มีมาตรฐาน เพื่อให้ใครไปดึงมาใช้ก็เหมือนกัน ถ้าเราต้องการบันทึกข้อมูลจะต้องใช้ Volume เพื่อเก็บข้อมูลถาวร (Persistent Storage) หลังของ volume มีดังนี้

1. สร้าง Folder บน Container Host สำหรับ Share ให้ Container นำไปใช้งาน ในตัวอย่าง ตั้งชื่อ volume นี้ว่า WebVolume

docker volume create –name WebVolume

ตรวจสอบผลงานด้วยคำสั่ง

docker volume inspect webvolume

image

2. ใช้งาน Volume ด้วยคำสั่ง docker run แล้วใส่ parameter volume

docker run -it -v WebVolume:c:\WebVolume microsoft/windowsservercore cmd.exe

image

ในภาพจะเห็นว่ามี Folder ชื่อ webvolume อยู่ใน Container และเมื่อสร้างไฟล์ hello.txt ด้วย Notepad ถ้าเราต้องการใช้งานต่อก็เรียก docker run –v

image

ในตอนนี้เราได้รู้จัก Docker Storage เบื้องต้น รู้จัก Image, Layer และ Volume เรื่องนี้ยังไม่จบ ต่อไปจะทำความรู้จักกับ Storage driver ให้มากขึ้น และเราจะรู้จักวิธีสร้าง image ในคราวต่อๆ ไปครับ

Reference

  1. Docker Layer
  2. Docker Fundamental
  3. Image Stored
  4. Volume

 

#WindowsContainerThailand

 

Windows Containter 2: วิธีสร้าง Windows Container step-by-step

ใน part 1 เราได้รู้จักของ Container กันมาแล้ว คราวนี้เราจะลงมือสร้าง Windows Container กัน ขั้นตอนไม่ยากมี 4 ขั้นตอนหลัก เน้นทำตามภาพประกอบ ดังนี้

  • Download Windows Server 2016
  • ติดตั้ง Windows Server 2016 ลงบน VM โดยลงเป็น Server Core
  • Enable Feature Container
  • Download base image ของ Windows Server Core

เรามาลงมือทำกันเลย!!

  1. Download Windows Server 2016 กดที่นี่ ให้เลือก Windows Server 2016 อันนี้เป็น Evaluation จะใช้ได้ 180 วัน โดยเราต้องลงทะเบียนเพื่อ download
  2. Container เป็น Feature บน Windows Server ดังนั้น เราต้องสร้าง Windows Server ขึ้นมาก่อน แนะนำให้สร้างเป็น VM โดยเราจะใช้ Hyper-V, VMware, Oracle VM หรืออะไรที่สะดวกก็ได้ ในกรณีของผม ใช้ Oracle VM เลือก Guest เป็น Windows 10 มี Minimum hardware Requirement ที่แบ่งให้ VM ตามนี้
CPU 1 core
RAM 1 GB
Disk 25 GB
Network Card Wifi หรือ สาย LAN ก็ได้

เครื่องต้องต่อกับ Internet

3.  ลง Windows ตามภาพ

– เริ่มลง Windows

1

 

– กด Next2

 

– กด Install Now

3

– หน้านี้ เนื่องจาก Evaluation เราไม่มี Product Key ก็ไม่ต้องใส่ กดตามภาพ

4

 

– เลือก Windows Server 2016 Standard Technical Preview 5 (Desktop Experience)

5

 

6

 

7

 

8

ขั้นตอนนี้ก็ปล่อยให้มันลงจนจบ

4. สร้าง Password ของ Administrator

เมื่อลง Windows เสร็จแล้วจะได้จอนี้ ก็กด Ctrl+Alt+Del เพื่อ Logon เข้า Windows เราจะใช้ Script Powershell นี้เพื่อความสะดวกในการสร้าง Container

 

ทำตาม step ในภาพ

step powershell

 

 

ถึงตอนนี้ เราสร้างเครื่อง Windows Container พร้อมกับติดตั้ง base image ของ Windows Server Core เสร็จแล้ว

5.  ทดลองเปิด Windows Container เพื่อทดสอบว่า docker ใช้งานได้แล้ว

– ทำตามภาพเลย คำสั่ง docker ps –a เพื่อดูว่ามี image run อยู่หรือไม่ สังเกตุตรง column “status”

– ให้สังเกตุตรง hostname ว่าตัว host ของ container มีชื่ออะไร เมื่อเรา run image จะเห็นมันเป็นคนละเครื่องกัน

22

-อธิบายคำสั่ง

docker ps -a เพื่อขอดูว่ามี container อะไรกำลัง run อยู่ โดยเราเพิ่ม parameter -a ไปด้วยเพื่อให้แสดงทั้งที่ run และ stop ไปแล้ว

docker run -it –name myCore <image ID> <คำสั่งที่การ run ใน container> อันนี้เราให้ docker start container ขึ้นมา run โดยใช้ image windowsservercore แต่แทนที่จะเรียกชื่อ เราใช้ Image ID แทน

  • ตอนนี้เราอยู่ใน container แล้ว คำสั่ง hostname จะแสดงว่ามันเป็นคนละชื่อกัน

23

– กด Ctrl+P+Q เพื่อกลับไปที่ host ใช้คำสั่ง docker ps –a จะเป็นว่า status เครื่อง container ของเรากำลัง run อยู่

24

– เราปิดเครื่อง และขอจบตอนนี้ตรงนี้

25

สรุป

เราได้สร้างเครื่อง Windows Container ขึ้นมาแล้ว และทดลอง run image ตอนต่อไปจะเป็นการใช้งาน Windows Container

Windows Container 1: ยกระดับ Virtual Server Admin ให้ใช้งาน Container Technology ด้วยการเรียนรู้ Docker และ Windows Container

ก่อนจะมาเป็น Container บน Linux หรือ Windows

เมื่อเรียก Container ขอให้นึกถึงตู้ Shipping Container ที่ใช้บรรจุสินค้าสำหรับขนส่ง คุณสมบัติของมันคือ

1. บรรจุสินค้าลงในตู้ แต่ละตู้มีของต่างๆ ของกิน ของใช้ ตู้ใครตู้มัน มันมีความเป็นส่วนตัวหรือ Isolation

2. การขนส่งมีตู้เยอะแยะถูกนำไปใส่ในเรือลำเดียวกันหรือ Share กัน

3. ผู้ฝากส่งสินค้า มีหน้าเพียงบรรจุสินค้าลงตู้ แล้วบอกว่าจะส่งไปไหน

4. เจ้าของเรือ บริหารการใช้ทรัพยากร บนเรือ

clip_image002

(ภาพนี้เป็นของสายการเดินเรือ Mitsui O.S.K.Lines จาก http://www.mol.co.jp/en/services/container/img/ph-01.jpg)

เมื่อกลับมาเรื่อง Linux หรือ Windows ถ้ามันมาทำหน้าที่เป็น “เจ้าของเรือ” มีหน้าเตรียม Resource ให้ผู้ใช้นำงานมาใส่ใน Container สิ่งของนั้นก็คือ Application นั่นเอง

รู้จักจุดร่วมและจุดต่างของ Container กับ Virtualization

เรารู้จักว่า Server virtualization เช่น Hyper-V ที่เป็นการ Share Hardware ด้วยการสร้าง Virtual Machine เมื่อมายุคของ Container มัน Share กันคนละแบบ ดูภาพด้านล่าง พอสรุปง่ายๆ ได้ดังนี้

Server Virtualization – เจ้าของ Server จะแบ่ง CPU, RAM, Disk และ Network ให้ Virtual Machine

– ผู้ใช้ Virtual Machine ต้องไปลง Operating System

Container – เจ้าของ Server จะลงเตรียม OS (Windows/Linux) ไว้ ผู้ใช้งาน Container ใช้ OS share กับ Host

– ผู้ใช้ต้องเลือกว่าเจ้าของ Server คนไหนมี OS Version ที่ต้องการ ก็ไปขอใช้บริการ Container เจ้านั้น

– ในภาพด้านล่างซ้ายมือคือ Server Virtualization ปกติ และขวามือคือ Container ในภาพเป็นตัวอย่าง Software ที่จัดการ Container ตัวหนึ่งที่ได้รับความนิยมมากชื่อ Docker ในภาพมันทำงานบน Linux ที่ฐานของ Docker เราเห็นว่ามันคือ Linux  ด้านล่างที่เป็น Hardware ยังเลือกได้อีกว่าจะใช้ Virtual หรือ Physical ได้ด้วย

image

ความเป็นมาของ Container

ปกติ vm360degree มักจะพูดถึงเทคโนโลยีของ Microsoft แต่พอเป็นเรื่อง Container มันเกิดจาก Linux ขอสรุปเหตการณ์สำคัญในตารางด้านล่าง ซึ่งทำให้เห็นพัฒนาการอย่างต่อเนื่องของ Container ว่ามีกันมานานหลายตัวแล้วบน Linux จนมีความสมบูรณ์เลยทีเดียว รวมถึงตัวหนึ่งในนั้นคือ Docker ก็ได้รับความนิยมเป็นอย่างมาก Docker เกิดขึ้นในปี 2013 จนปัจจุบัน Cloud Service Provider อย่าง Amazon EC2, Microsoft Azure ก็ใช้งาน Docker ได้ การเล่าเรื่อง Container ตั้งแต่นี้จะเป็นเรื่อง Docker

ปี เหตุการณ์
2000 ก้าวแรกของ Container – FreeBSD Jailed ได้ติดตั้งบน FreeBSD
2001 มีการสร้าง Container บน Linux ใน VServer project เป็นครั้งแรกบน Linux ที่แยก Container เป็น unit (Virtual Private Server) แต่ละ unit จะคิดว่ามันมีเครื่อง server เป็นของมันเอง
2004 เกิด Solaris Zone
2005 เกิด Open Virtuzzo (OpenVZ)
2006 –   Cpuset
–   เปลี่ยนชื่อ control groups หรือ cgroups
–   Kernal namespaces, user namespaces
2008 Linux Container Project (LXC)
2013 Docker (dotCloud) release เป็น March 2013
2014 Release of LXC

Security SELinux and Seccomp

Docker ใช้ libcontainer ด้วยภาษา Go แทน LXC

2015 ได้มีการประกาศว่า Docker ได้รับการสนับจาก RedHat, IBM, Google, Cisco System และ Amadeus IT Group
2016 Microsoft ใส่ Container ใน Windows Server 2016

 

Container ไม่เหมือน Virtual Machine – ปรับความคิดก่อนใช้งาน

กฏข้อแรกข้อเดียวของ vm360degree สำหรับ Container คือ คุณไม่สามารถนำความรู้ของ Virtualization มาใช้กับ Container มันไม่เกี่ยวกัน ถ้าถามผมว่า Container ใช้ทำอะไร ผมก็ตอบไม่ได้ แต่เมื่อคุณใช้ไปสักระยะก็จะได้คำตอบไปพร้อมๆ กัน  เรามาค้นคว้าหาคำตอบไปด้วยกัน ผ่านประสบการณ์ ในการดูแลระบบของเรา ตามขั้นตอนการทำงานหรือ Use Case ต่อไปนี้

1. สร้าง Container พื้นฐาน บน Amazon AWS

2. ติดตั้ง Application บน Container, การจัดการ image, สร้าง docker file

3. จัดการ Resource เช่น network, RAM, CPU

4. เรียนรู้ Windows Container

5. Container กับ DevOps

Reference

http://rhelblog.redhat.com/2015/08/28/the-history-of-containers/

http://www.slideshare.net/jpetazzo/anatomy-of-a-container-namespaces-cgroups-some-filesystem-magic-linuxcon

วิธีอ่าน ประกาศ end of support ของ Microsoft

การเป็นผู้ดูแล Software นั้น หน้าที่หนึ่งที่ต้องทำคือ ควบคุมให้มีการใช้ Software ที่มี Support จากผู้พัฒนา เพื่อที่เวลามีปัญหาต่างๆ เช่น Function ไม่ทำงานอันเนื่องจาก Bug, ช่องโหว่ด้าน Security เป็นต้น งานของเราจะได้มีผู้ช่วยเหลือ  นอกจากนี้ ปัจจุบันหลายๆ ธุรกิจมีหน่วยงานภายนอกเข้ามาตรวจสอบ โดยมากก็จะตรวจเรื่องนี้ด้วย ่ตามปกติเราเรียกว่าที่เลิก support ตรงๆ เลยคือ End of Support

สำหรับการใช้งาน Microsoft มีที่ให้ตรวจสอบคือ https://support.microsoft.com/en-us/lifecycle/search การใช้งานก็ไม่ยาก แค่พิมพ์ชื่อ production ที่ต้องการตรวจวัน end of support แล้วกด Search  แต่มันต้องมีวิธีการอ่าน ให้อ่านง่ายๆ ตามภาพด้านล่างครับ

 

MS Support

รู้จัก Hyper-V Dynamic Memory และ Smart Paging File

การเติบโตของ Virtualization ที่รวดเร็ว ส่วนหนึ่งมาจากเรื่องการแบ่งปัน Resource เช่น RAM เป็นต้น ใน Hyper-V ได้ออกแบบให้แบ่ง Memory แบบ Dynamic ได้ และอีกเรื่องที่จะได้เรียนรู้คือการทำงานของ OS ตอนที่เครื่อง Boot/Start หรือ Restart มันต้องการ Memory มากเป็นช่วงเวลาสั้นๆ เมื่อเสร็จขั้น Boot มันจะคืน Memory ในส่วนที่ใช้งานแสร็จหรือไม่ต้องการแล้วออกมา หลังจากนั้น Application ก็จะดึง Memory ไปใช้งาน ซึ่งขึ้นอยู่กับว่า Application จะใช้มากหรือน้อยตามหน้าที่ของมัน ก่อนไปต่อขอพาไปทำความรู้จักกับ Hyper-V Dynamic Memory พื้นฐานกันก่อน

Hyper-V Dynamic Memory

หลักการทำงานของ Virtualization ที่มักถูกเรียกว่า Consolidation หรือการรวมหลายๆ Virtual Machine (VM) มาอยู่บน Server เดียวกัน ยิ่งสร้าง VM ได้มาก การลงทุนก็ยิ่งคุ้ม ในส่วนของ RAM (Memory) บน Server  ที่มีจำนวนจำกัด เมื่อเป็นอย่างนี้ Virtualization จะจัดการปัญหานี้ได้อย่างไร?  ดังนั้น ตอนนี้เราจะศึกษาเรื่องของ RAM  ตามหลักแล้ว การแบ่ง RAM ให้ VM จำนวนเท่าไร ใช้วิธีประเมินเพื่อวางแผนตามความต้องการจริง ในส่วนนี้ Windows  ก็มีกลไกกำหนดค่า RAM ที่เหมาะสมด้วย ทำให้ Windows รู้เองว่าตอนไหนที่ต้องการ RAM และต้องการจำนวนเท่าไร ในระบบ Virtualization ได้แบ่งได้สะดวก ทำได้แม้หลักร้อย Megabyte ไปจนถึงหลาย Gigabyte  เมื่อ Application มาใช้ RAM จะมี 2 เรื่องคือ การขอใช้ (Allocate) และการคืน (Recycle)   การแบ่ง RAM ใน Virtualization ให้ VM ทำได้ 2 แบบคือ

  1. Fix/Static ให้เป็นจำนวนคงที่ไปเลย ถ้าจะแก้ต้อง Shutdown VM
  2. Dynamic ให้แบบยืดหยุ่น โดยกำหนดช่วงค่า Minimum และ Maximum

เมื่อ Dynamic  ปรับขนาดได้และต้องแบ่งกันเพื่อความคุ้ม จึงเป็นที่มาของ Hyper-V Dynamic Memory โดยมี Parameter ที่สำคัญคือ

1. Startup RAM – Memory ที่แบ่งให้ VM ใช้งานในช่วงที่ Start VM
– ค่า Parameter นี้ ใช้ทั้ง Fix  ( ถ้า Fix จะใช้จำนวนนี้ไปตลอด) และ Dynamic (ใช้ตอน Start/Boot VM)
2. Minimum RAM เมื่อ VM Start เสร็จขนาดของ RAM จะถูกปรับเป็น Minimum
3. Maximum RAM ระหว่างการทำงาน RAM อาจเพิ่มหรือลดได้ ในช่วงของ Minimum และ Maximum
4. Memory weight ลำดับ Priority ของ VM ในการขอ  RAM ถ้ามี RAM จะดูตรงนี้ว่าจะให้ VM ที่ Priority สูงก่อน
5. Buffer จำนวน RAM สำรองที่ Host แบ่งให้กับ VM หน่วยเป็น %
คำนวณจาก RAM ปัจจุบันที่ VM ได้รับ

การใช้ Dynamic Memory นั้นต้องศึกษาว่า OS ของ VM มีความสามารถ Hot-Add memory หรือการสั่งเพิ่ม/ลดขนาดของ Memory ในขณะที่เครื่องกำลังทำงานอยู่โดยไม่ต้อง reboot ได้หรือไม่ ดูได้จาก (Windows version support dynamic memory) ด้านล่าง เป็นภาพ Memory ของ Virutal Machine Setting

HPV Manager-3

 

ภาพด้านล่างแสดงให้เห็นช่วง Start VM ช่อง Assign Memory คือ RAM ที่ VM ได้มีขนาด 2048 ในขณะที่ค่า Memory Damand มีเพียง 491 MB

HPV Manager-1

ภาพด้านล่าง แสดงให้เห็นว่าเมื่อ Start เสร็จ VM จะเปลี่ยนไปใช้ค่า Minimum Memory (RAM) และ Assign Memory (RAM) มีขนาดมากกว่า Demand เนื่องจากค่า Buffer 20% แต่ตัวเลขจริงบน Hyper-V Manager อาจขยับไปบ้าง เพราะ Memory ตัวเลขเปลี่ยนบ่อย

HPV Manager-2

 

Smart Paging File

เรารู้แล้วว่าตอนที่ VM Start หรือ Reboot มันต้องการ RAM มากเป็นเวลาสั้นๆ ในขณะที่ Minimum RAM ของ Dynamic RAM อาจไม่พอซึ่งมีผลให้เครื่องช้า จึงมี Parameter – Startup RAM ไว้ช่วยตอน Reboot  ในภาพด้านล่าง แสดงให้เห็นว่า เครื่องตัวอย่างมีค่า Memory Parameter คือ Startup = 2048MB, Minimum = 512MB และ Maximum = 4096MB

Smart Page File

จากภาพ ช่วงที่ 1 เครื่องต้องการ RAM 2048 MB เพื่อ Start VM เมื่อเสร็จแล้ว เข้าสู่การทำงานปกติในขั้นตอนที่ 2 มันจะคืน RAM แล้วไปจนเหลือแค่ค่า Minimum RAM ถ้า Host มี VM จำนวนมากใช้ RAM จนเกือบหมดแล้ว ทำให้จำนวน RAM ที่ว่างๆ เหลือน้อยกว่าค่า Startup ใน Hyper-V มีความสิ่งที่เรียกว่า Smart Paging File  มันสร้างมาครั้งแรกใน Windows Server 2012 เพื่อช่วยป้องกันปัญหา Startup RAM ไม่พอ ดังนั้น Smart Paging File คือ การใช้ File บน Disk มาทำหน้าที่เป็น RAM เนื่องจาก RAM จริงๆ มีไม่พอสำหรับ Startup RAM นั่นเอง ต้องจำไว้ว่ามันไม่ใช่ Paging File ของ Windows ข้อดีของมันคือแก้ขัดเวลา RAM ไม่พอ ข้อเสียคือมันช้า การระบุ Location Folder ก็ใช้ hard disk ธรรมดานี่แหละ ไม่จำเป็นต้องเป็น SSD เพราะใช้แค่ตอน Restart

Smart Page File จะถูกใช้งานเมื่อเครื่อง Hyper-V Host อยู่ในสถานะการนี้คือ

– เมื่อ Start VM แต่ Physical RAM มีไม่พอ (เพราะเครื่องอื่นเอาไปใช้หมดแล้ว)

Hyper-V ไม่ใช้ Smart Paging File เมื่อ

– Start VM จาก Save State

– VM Migrate ข้ามเครื่อง

สรุป

Smart Page File เป็นผลต่อเนื่องมาจาก Hyper-V Dynamic Memory เรื่องนี้ทำให้เราได้เรียนรู้ว่าความคิดและวิธีแก้ปัญหาของ Microsoft เรื่องการ Start VM หรือ Boot ว่าช่วงแรก Windows/OS ต้องการ RAM มาก ทำให้ใน Hyper-V  ต้องมี Paramater – Startup RAM มาช่วย Dynamic Memory  อาจมีบางครั้งที่ Minimum RAM อาจพอให้เครื่อง VM ที่ต้องการใช้งาน ทำการ Start ขึ้นมาทำงานได้ แต่ตอนที่ Start ต้องการ RAM เท่ากับจำนวน Startup RAM จึงใช้ File บน Disk แก้ปัญหา RAM ไม่พอ

แถม

เรื่อง Dynamic Memory มีชื่อเรียกกลางๆ ว่า Memory Overcomitt โดยที่ VMware ทำเรื่องนี้มาก่อน ดูผิวเผินอาจดูเป็นเรื่องเดียวกัน แต่การ Implement นั้นแตกต่างกันอยากมาก พอจะสรุปได้ดังนี้

ความสามารถ Microsoft Dynamic Memory VMware Memory Overcommit
แบ่ง RAM ให้ VM เกินจำนวนที่มีอยู่จริง Hyper-V อนุญาตให้ใช้ RAM ตามที่มีอยู่จริง (Hardware is limit) ใช้ได้
Requirement VM ต้อง Support การใช้ Dynamic Memory ไม่จำกัด
ความสามารถนี้มีเฉพาะ VMware เท่านั้น เห็นต่าง ไม่จำเป็นต้องทำ เพราะทำแล้วมีผลกระทบต่อ Performance และคิดว่า RAM ราคาถูกลง – Tranparent Page Sharing
– Memory compression

Reference

  1. http://blogs.msdn.com/b/virtual_pc_guy/archive/2010/08/04/what-is-the-memory-buffer-when-dynamic-memory-is-enabled.aspx

บริการรับให้คำบริการตรวจสอบ Solution ตรวจสอบ Software License และ Cloud Solution

ผมได้พบว่า เวลาที่เราซื้อเครื่อง Server/PC สำหรับใช้งานธุรกิจ การคำนวณค่าใช้งานโครงการค่อนข้างซับซ้อน เค้าคิดกันหลายแบบ เช่นจำนวนคนใช้งาน หรือ CPU เป็นต้น software บางอย่างก็เกินความจำเป็น ทำให้มีค่าใช้จ่ายที่ไม่จำเป็นโดยที่ท่านไปทราบ เพราะเวลาคุยกับคนขาย บางทีเข้าใจยาก รายละเอียดงานก็ไม่ชัดเจน ทำให้บางท่านมีประสบการณ์ว่าเสนอขายอย่างหนึ่ง แต่พอได้รับของกลับเป็นอย่างอื่น

อีกเรื่องก็เป็นการใช้งาน Cloud หากท่านต้องการคนช่วยวิเคราะห์ความจำเป็น ค่าใช้จ่าย ความปลอดภัย ก็ยินดีให้บริการ ด้วยเช่นกัน

ขอเปิดช่องทางธุรกิจของผม รับให้คำปรึกษาการซื้ออุปกรณ์ต่างๆ และ software เพื่อช่วยประหยัดค่าใช้จ่ายในธุรกิจของท่าน ราคาประหยัด ติดต่อทาง e-mail chaba_ok@yahoo.com

(แนะนำให้รีบลง) Security Hotfix MS15-093 – Out-of-Band Patch

Microsoft ได้ออก Out-of-Band Patch MS15-093 สำหรับ Internet Explorer มันคือ Hotfix ที่รีบออกด่วน เพื่อช่วยป้องกันปัญหาการโจมตี ที่อาจเป็น Zero-day Vulnerability หรือ Security Bug ที่ถูกเปิดเผยและอาจมี code ที่โจมตีในเรื่องนี้ออกมาแล้ว

Bug นี้ กระทบ Internet Explorer version 7,8,9,10 และ 11บน Windows PC แต่ไม่กระทบ Edge  ที่อยู่บน Windows 10  ในส่วนของ Windows Server  ที่ปกติเราไม่ใช้ Browser ออก  Internet มันก็มีความเสี่ยงต่ำกว่า PC เนื่องจากมี Function Internet Explorer Enhanced Security Configuration

การโจมตีจะเป็นแบบ Remote Code Execution ด้วยการ หลวกด้วยอะไรก็ได้ เช่น ส่ง link ทาง Line, Facebook, Twitter ใส่  link มาใน e-mail เป็นต้น  เพื่อหลอกให้ผู้ใช้งาน Internet Explorer ไปเข้า Web Site ที่มี code ร้ายฝังอยู่  (คราวนี้หลายๆ ที่เรียกว่า boobytrapped webpage แปลคล้ายกับ กับระเบิด) ซึ่งหลายๆ คนจะ Login ด้วย Admin ของ Windows กัน ทำให้ code นั้น เอา software พวก Trojan หรือ  Virus มาลงในเครื่อง PC และจัดการ Hack ข้อมูลการทำอะไรก็ได้บนเครื่องเรา

ดังนั้น ขอแนะนำให้ทุกคนลง Hotfix Fix นี้ ด่วนที่สุด โดยเฉพาะเครื่องที่ใช้ Internet Bankint หรือ On-line shopping ครับ

Download : https://technet.microsoft.com/library/security/MS15-093

วิธีรักษาความปลอดภัยของ Computer ที่ทุกคนต้องรู้ – ตอนที่ 1

ข่าวผู้ใช้งานระบบธนาคาร On-line ผ่าน Internet ถูกขโมยเงินจากบัญชี มีให้ได้ยินอยู่เรื่อยๆ ทำให้เกิดความสับสนว่าการเงินบน Internet นั้น เชื่อถือได้หรือไม่ คนเป็นขโมยมันเก่งแค่่ไหน มาตราฐานความปลอดภัยธนาคารดีพอไหม ตัวเราผู้ใช้งานต้องเก่งด้วยหรือเปล่า ผมตั้งใจทำเรื่องนี้ให้ทุกคนเข้าใจ และบอกต่อกับทุกคนเพื่อใช้ป้องกันตัว เป็นความรู้ด้านปลอดภัยพื้นฐานต้องมี เสมือนใบขับขี่เพื่อไปใช้งาน Internet อย่างปลอดภัย สำหรับตนเองและคนรอบตัว ในเรื่องนี้พูดถึงธนาคาร แต่นำไปใช้ได้กับใช้งานแบบอื่นๆ ด้วย

ธนาคาร On-line บน Internet จำเป็นไหม

หลายคนใช้เงินสดเพื่อการใช้จ่ายประจำวัน เช่น ซื้อของกิน ของใช้ต่างๆ เป็นต้น ส่วนเงินที่มีอยู่จริงๆ ผ่านระบบธนาคารทั้งรายรับและรายจ่าย ทุกวันนี้เรารับเงินเดือนผ่านบัญชีเงินฝาก จ่ายบิลต่างๆ ผ่านระบบหักบัญชี หากต้องจ่ายเงินให้ใคร ก็โอนเข้าบัญชี จะธนาคารเดียวกัน ต่างธนาคาร หรือต่างประเทศก็โอนไปได้ง่ายดาย เพียงมีชื่อธนาคารและเลขบัญชีของผู้รับ แล้วเวลาเราอยากรู้ว่ามีเงินเข้ามาสมัยก่อน ก็เอาสมุดไปปรับยอด พอมาตอนหลังก็ไปใช้ ATM ดังนั้น จะเห็นว่าเรามีอำนาจในการบริหารบัญชีธนาคารด้วยตัวเอง แล้วก็มาถึงยุคของ Internet ในบ้านเรา มีบริการธนาคารบน Internet ประมาณปี 2544 เราใช้ธนาคารบน Internet เป็นเครื่องมือจัดการทางการเงินของเรา ด้วยบริการตัวอย่างดังต่อไปนี้

  1. ตรวจสอบยอดเงินในบัญชี (Balance Inquiry)
  2. โอนเงินแบบทันทีทำครั้งละรายการ หรือการสั่งให้โอนเป็นประจำ (Transfer and Recurring)
  3. จ่ายใบเสร็จต่างๆ (Bill Payment)
  4. บริการเสริมอื่นๆ เช่น ซื้อขายกองทุน เป็นต้น

ธนาคารแห่งประเทศไทย (BOT1, BOT e-money) เป็นหน่วยงานควบคุมและตรวจสอบ ธนาคารต่างๆ เพื่อสร้างความมั่นใจว่าบริการนั้นมีมาตราฐานความปลอดภัยสำหรับประชาชนทั่วไป

การดูแลความปลอดภัยของธนาคารผู้ให้บริการบน Internet

การดูแลความปลอดภัยของธนาคารผู้ให้บริการบน Internet ธนาคารต่างๆ อาศัยหลัก 3 ข้อ ในการสร้างระบบ ธนาคารบน Internet คือ

  1. คน (People)  – การพัฒนาความรู้ของเจ้าหน้าที่ให้สร้างบริการที่มีคุณภาพ ถูกต้อง และปลอดภัย
  2. กระบวนการทำงาน (Process) – การสร้างขั้นตอนการใช้บริการที่รัดกุมและปลอดภัย
  3. เทคโนโลยี (Technology)  – การพัฒนา Application (software) และใช้ Hardware ช่วยดูแลความปลอดภัย

ผู้ใช้บริการอย่างเรา คงพอได้รับรู้ทั้ง 3 ส่วนนี้กันบ้าง เช่น การมี function ความปลอดภัยเรียกว่า One Time Password (OTP) ในรายการเพิ่มบัญชีผู้รับโอนเงิน, การมี function ใหม่ที่เพิ่มความสะดวกกว่าเดิม เป็นต้น

ถึงตรงนี้คงเกิดความข้องใจว่า ถ้าธนาคารทำระบบมาดี แล้วข่าวโดน hack ที่ออกมา เกิดขึ้นได้อย่างไร?

ทำความเข้าใจกับคนที่จะขโมยเงินจากบัญชี (ขโมย Cyber)

พวกขโมยนี่ ถ้าให้ไปขโมยเงินที่ธนาคารต้องเจอกับ เจ้าหน้าที่รักษาความปลอดภัย กล้องวงจรปิด ทำยาก แต่ถ้าไปขโมยเงินจากบ้าน เทียบกับธนาคาร ที่บ้านง่ายกว่า ประชาชนทั่วไปจึงมีจุดอ่อนให้พวกนี้หาประโยชน์ เราตกลงกันก่อนว่าการใช้ ธนาคารบน Internet นั้น ต้องมี ชื่อบัญชี, รหัสผ่าน และเครื่องโทรศัพท์ เป็นของ 3 สิ่งหลักที่ต้องรักษาไว้ หากใครได้ 3 สิ่งนี้จากเราไป เขาโอนเงินออกจากบัญชีไปได้ โดยไม่เกี่ยวกับขโมยที่จะกล่าวถึงในส่วนต่อไป (เข้าใจตรงกันนะ)

ในภาพด้านล่าง แสดงถึงเครื่อง PC/Computer ที่ใช้งานทั่วไป มี Web Browser เป็นเครื่องมือท่องโลก Internet แล้วก็มีสิ่งเล็กๆ ที่เรียกว่า Hacker (กล่องสีแดง) หลอกลวงด้วยวิธีต่างๆ ให้เราเผลอไปติดโปรแกรมที่หวังเล่นงานเรา เรียกว่า Malicious software จะเรียก โทรจัน หรือ Virus อะไรก็ตาม #เอาที่สบายใจ แต่วันไหนมาติดเครื่องเรา เมื่อนั้นคง #ร้องไห้หนักมาก ในวงกลมที่มีตัวเลข เป็นวิธีป้องกันตัว รายละเอียดจะอธิบายด้านล่าง

image

Virus/Malware/ม้าโทรจัน ไม่ดีทั้งนั้น

Virus คอมพิวเตอร์ คือ โปรแกรมร้ายที่มาซ่อนตัวอยู่ในเครื่องเรา รอจังหวะเมื่อเครื่อง PC ของเรามีจุดอ่อน (Security Vulnerability) ตรงกับที่มีเขียนโปรแกรมไว้มันก็จะเล่นงานเรา จุดอ่อนนี้ อาจเป็นความบกพร่องของ software ที่อยู่ใน PC แต่จำไว้เสมอว่าเครื่องอยู่ดีๆ ไม่มีมาทำอะไรเครื่องเราได้ สาเหตุของ Virus เกิดจากการเชื่อมต่อกับภายนอก อาจเป็น USB Drive ที่มาจากเครื่องติด Virus แต่มันเป็นเรื่องเล็กน้อย เมื่อเทียบกับภัยที่เกิดขึ้นจาก การต่อเครื่องเข้า Internet อันนี้เรื่องใหญ่จริง แต่เราจำเป็นต้องใช้ Internet ถ้าเราไม่รู้จักวิธีป้องกันตนหรือการลดความเสี่ยง เรื่องเสี่ยงที่เราทำกันจนชินในยุค Social Network ได้แก่

  1. การ Logon เข้า Computer ด้วย user ที่มีสิทธิทำอะไรได้ทุกอย่าง หรือเรียกว่าเป็น administrator
  2. การกด link ไป web site ที่มาจาก Facebook, Line, E-mail หรืออะไรก็ได้ ตั้งหัวข้อน่าสนใจไว้ ก็อยากกดไปดู
  3. การ download software จาก web site ที่ไม่มีความน่าเชื่อถือเลย แล้วเอามาติดตั้งในเครื่อง ปกติ download อะไรก็ต้องศึกษาว่ามันจำเป็น แล้วเป็นของเจ้าของ software นั้นจริงๆ
  4. การเอาเครื่องไปต่อกับ wifi free แล้วบางทีมันสั่งให้ accept เงื่อนไขก็กดๆ ไป
  5. มี PC เครื่องเดียวทำทุกอย่างในโลกที่ PC ทำได้ ตั้งแต่ทำงาน บันทึก โหลดหนัง อ่านพวกกระทู้พวกที่ไม่มีป้องกันเรื่อง security

ทีนี้มาดูเหตุการณ์ สมมุติ จากเรื่องจริง คือ มีคนใช้ PC ที่ทำงานเข้าไปอ่านกระทู้ แล้วมีส่ง link บอกว่า clip เด็ด กดไปเรื่อยๆ มันบอกให้ download อะไรก็ไม่รู้แล้วให้ กด yes เชื่อไหมว่ามีคนกด ลงดูภาพประกอบด้านล่าง ถ้าหลังจากกด yes มันเอาโปรแกรมร้ายๆ เรียกมันว่า malicious software ทำเหมือน virus มาติด web browser ผลต่อจากนี้ เครื่องเราจะถูกควบคุมจาก เครื่องสีแดงของ hacker หรือเรียกว่า hacker มีช่องทางดูเครื่องเรา มันมีโปรแกรมแบบหนึ่งเรียกว่า keystroke logging คือ ถ้าเรากดปุ่มอะไรบน PC ของเรา ไอ้ virus ร้ายนี้ก็จะส่งไปบอกที่เครื่อง hacker นึกไว้เลยว่าเครื่องเราโดนคุมแล้ว มันอยากทำอะไรมันทำได้หมด

ลองดูลำดับการขโมยต่อไปนี้ หลังจาก Hacker เอา virus มาวางในเครื่องคนดี

 

คนดี – เจ้าของเครื่อง

คนร้าย – Hacker

1 เข้า web site Virus ร้ายที่แอบในเครื่องคนดี บอกคนร้ายว่าเห็นเข้า web site ที่สนใจ ->> เตือนว่า เหยื่อ มาแล้ว
2 ใส่ เลขประจำตัวและรหัสผ่าน คนร้ายเห็นข้อมูล รีบจดไว้
    ขั้นตอนนี้ คนร้าย อาจจะไปแอบเข้าจากเครื่องที่ร้านเกมส์ ทีหลังก็ได้
3 ทำรายการสำคัญ ต้องใส่รหัสผ่านพิเศษ คนร้ายเห็นรหัสผ่าน
คนร้ายสั่งให้ virus ทำเครื่องคนดี hang
    ขั้นตอนนี้ คนร้าย รีบวิ่งไปร้านเกมส์ เอารหัสพิเศษไปใช้

#เรามาถึงจุดนี้ได้อย่างไร? เป็นคนดี ใช้ Computer ในยุค Internet แสนยาก

อ่านมาถึงตรงนี้คงพอเห็นภาพ ปัญหาส่วนใหญ่ เกิดจาก “เรา” ผู้ใช้งาน Computer ที่อาจละเลยเรื่องความปลอดภัย ยึดแต่ความสะดวก ดังนั้น ขอเสนอหนทางสว่าง เอาแค่ 5 ข้อดังนี้

  1. เปลี่ยน พฤติกรรม
  • ไม่เอาเครื่องที่ทำธุรกรรมการเงิน ไปใช้งานที่เสี่ยงโดน hack  เช่น เข้า web site ธนาคารบ่อยๆ เป็นต้น ไม่เอาไปใช้ โหลดโปรแกรมเถื่อนๆ ดูรูปที่ไม่เหมาะสม  หรือใครส่ง link อะไรมาให้ก็กดไปเรื่อย

2. แยกเครื่องไปเลย

  • ถ้าเครื่อง Computer ใช้ทำธุรกรรมการเงิน มูลค่าสูง เครื่องสมัยนี้ก็ไม่ได้แพงมาก ถ้าเทียบกับความเสี่ยงถูก hack จะลองแยกเครื่องต่างหากไปเลย ก็น่าสนใจ

3. โปรแกรม Anti-virus

  • หาโปรแกรม Anti-virus มาลง เมื่อลงแล้วก็คอยดูว่ามัน update หรือเปล่า ต้อง up ไว้อย่าละเลย สำคัญมาก

4. เครื่อง Computer ทุกเครื่อง มีการ update เรื่องความปลอดภัย

  • ไม่ว่า Windows, Mac หรือ Linux เป็น software และ software ถูกตัวมีข้อผิดพลาด ด้านความปลอดภัยได้ ต้องดูว่าเมื่อ Windows, Mac, Linux เตือนให้ลง update ก็พยายามอ่านดูให้ดีแล้วก็ทำตาม ย้ำว่า Windows/Mac/Linux เตือนนะ ไม่ใช่เข้า web อะไรไม่รู้เตือนมาแล้วก็กดไปเรื่อย ไม่ทำ ไม่ทำ

5. USB อาจนำ Virus มาสู่เครื่องเรา

  • รับ USB มาจากใคร ก่อนเสียบดูหน่อยว่า virus มันเตือนอะไรเราหรือเปล่า

Reference:

https://www.youtube.com/watch?v=N_V5pMS4IxU https://www.youtube.com/watchv=HKeD4T6HhNU

http://usa.kaspersky.com/internet-security-center/threats/malware-classifications#.Vbn67e8w-M8

http://usa.kaspersky.com/internet-security-center/threats/malware-creators#.Vbn8le8w92s

https://en.wikipedia.org/wiki/Malware

http://channel.nationalgeographic.com/american-blackout/articles/cyber-attack/

https://www.safeinternetbanking.be/en/fraud-techniques/identity-theft

http://windows.microsoft.com/en-US/windows7/Tips-for-protecting-your-computer-from-viruses

http://www.pcmag.com/article2/0,2817,2468700,00.asp

http://malwaretips.com/blogs/remove-browser-redirect-virus/

http://malwaretips.com/blogs/remove-browser-redirect-virus/

 

HTTP.sys vulnerability MS15-034

ปัจจุบันเครื่อง Windows Server จะมี HTTP listener หรือ web server อยู่ด้วย (ไม่ได้จัดการโดย IIS Web server เหมือนแต่ก่อน)  เพราะ Microsoft Windows มีงานหลายส่วนที่ทำผ่าน web เช่นการใช้ Remote admin ที่ทำผ่าน web ด้วย เป็นต้น ซึ่งปัจจุบัน Microsoft ได้สร้าง File HTTP.sys เพื่อด่านหน้าในการทำงานของ HTTP  โดยมี IIS เป็น application หนึ่งที่มาเกาะกับ HTTP.sys อีกที ในการออกแบบ OS มี Mode การทำงาน 2 แบบคือ Kernel และ User Mode โดย Kernel จะเป็นส่วน Low Level ที่ System ใช้งานเพื่อ Support การทำงานของทุกส่วนใน Windows ในขณะที่ User Mode จะเป็นขอบเขตของ User แต่ละคนเท่านั้น เราจะพบว่า software ที่วางอยู่ใน Kernel มักเป็น core system ของ Windows เช่น driver ต่าง หรือ virtualization เป็นต้น การติดตั้ง HTTP.sys ใน Kernel จึงมีประโยชน์มากกว่า หน้าที่ของ HTTP.sys ใน Kernel คือ การเป็น Cache สำหรับ HTTP request และการจัด Request Queue ถ้าอยากรู้ว่าใครกำลังใช้ HTTP.sys ในเครื่องบ้านให้ใช้คำสั่งนั้นใน Command Windows

netsh http show servicestate

ปัญหาของ HTTP.sys และการโจมตี

เมื่อ HTTP.sys อยู่ใน Kernel แล้วมันเกิด Vulnerability ผลกระทบก็ต้องมากกว่า  ปัญหาที่พบครั้งนี้คือการตรวจ HTTP Request ที่ใช้ Range ไม่เหมาะสม การทดสอบจะใช้ เครื่องมือชื่อ curl   มีรูปแบบการ เรียก

HTTP

Curl –v http://servername/ -H “Host: servername” –H “Range: byte 0-18446744073709551615” –k

HTTPS

Curl –v https://servername/ -H “Host: servername” –H “Range: byte 0-18446744073709551615” –k

ถ้าเครื่องมีปัญหาจะได้ Return นี้

image

คำสั่ง Range ใน Request ถูกใช้ Download File หรือ Content แล้ว ทำให้ HTTP.sys อ่าน File มาเก็บลง Cache แล้วเอาค่า Range นี้อ่านข้อมูลจาก Cache อีกที

ปัญหาที่พบแล้วตอนนี้ คือ Denied of Service แต่ที่กลัวกันคือถ้ามีการต่อยอดไปได้ ถ้าไปอ่าน Memory ตรงอื่นมาได้จะเกิดอะไรขึ้น?

Windows ที่ได้รับผลกระทบจาก Vulnerability

WIndows Client:  Windows 7,- Windows 8,- Windows 8.1

Windows Server:  Windows Server 2008 R2,- Windows Server 2012,- Windows Server 2012 R2

การแก้ปัญหา

ต้องลง Hotfix MS15-034

Workaround

– ทำด้วยการ Disable IIS kernel caching ในหน้า IIS Admin

clip_image002

clip_image004

Reference

  1. https://technet.microsoft.com/en-us/library/security/ms15-034.aspx
  2. https://blog.sucuri.net/2015/04/website-firewall-critical-microsoft-iis-vulnerability-ms15-034.html
  3. http://www.paehl.com/open_source/downloads/curl_X64_ssl.7z