Duke的隨手札記

2016/05/08

近年流行的勒索型病毒

Filed under: 防毒防駭 — jj8113 @ 19:27:04

筆者因工作忙碌的原因,已經有一整年的時間沒有更新部落格了。近日許多 IT 新聞、一般電視台新聞都有報導過兇猛且惡質的勒索型病毒了。由於使用的 RSA 加密技術是正規的演算法(並非病毒作者自己開發的技術,只是借用這個加密技術去作勒索的行為),一般檔案如經過 RSA 2048bit、4096bit 加密過,若沒有公鑰+私鑰(有時候必須搭配密碼),任何人都無法解密(FBI 探員也說過花錢消災最快)。中招者只有兩條路可以選擇: 1.支付比特幣,相當於13,000~25,000台幣的贖金以換取解密檔案的私鑰(不一定可取得私鑰,就算取得了也不一定可以完全解密,也有人拿到私鑰,在解密的過程中又被加密,總共付了兩次比特幣(數萬新台幣)才完整解開),2.放棄所有檔案、照片,創造新回憶,一切從頭開始。

近期由於筆者的公司有幾位同仁誤開啟了陌生的郵件中的 .zip 附件(筆者自己用測試機玩過,壓縮檔的內容其實是 .js 指令碼,且已混淆加密內文。執行 .js 後會自動下載亂數檔案名稱的 .exe 及公鑰,並開始掃描電腦中的檔案,然後進行加密,並刪除原始檔案。),除了提升同仁的資安意識外,也只能將整顆硬碟格式化(所幸因該位同仁開啟 Outlook,.pst 無法被勒索病毒刪除,相關文件還可以從寄件備份下載回來)。但筆者的朋友因為上大陸網站追劇而中獎,就沒這麼幸運了。很多檔案、照片一夕間全毀,導致欲哭無淚… 如下圖,所有檔案均已無法開啟

如果公司有導入防毒軟體的企業版,通常也可以在主控台上監控使用者們的電腦是否有中毒或是木馬,可以非常方便的讓 MIS 逕行代使用者處理:

防治的方法其實已經老生常談了,以下大略再整理一次:

1.安裝防毒軟體,並每天自動更新病毒碼,正確的設定防毒軟體掃描等級

2.不開啟可疑的郵件,尤其是附件

3.不開啟陌生的網站,也不隨意點選任何可疑連結及內容誇大的廣告

4.移除 Flash Player (現階段 Flash 應該都已經是廣告居多了,必要性已不大。有網友沒點廣告一樣被植入勒索病毒,因為 Flash 漏洞及的權限都太大,不合時宜。且現階段 HTML5 已逐步成熟)

5.停用系統內建的 Windows Script Host (禁止執行 .js、vbs,對不需要開發程式的一般使用者來說毫無影響)

6.定時做系統更新 (Windows Update)

7.定時更新 Java (JRE)

8.定時更新 Adobe Reader 或 Adobe Acrobat

9.備份所有檔案到隨身碟。備份完成後立即移除隨身碟,切勿一直連接電腦

如果能做到上述幾點,勒索型病毒也不會這麼容易找上您的! 與各位朋友分享!

回首頁 回首頁

2015/04/11

限制 Domain Users 權限不能加入、退出網域

Filed under: Windows Server — jj8113 @ 07:29:44

為什麼要限制 Domain Users 權限不能加入網域呢? 因為加入網域後可以存取企業資源,如果是私人帶筆電來公司加入網域,敏感資料容易被竊取,因此將加入網域的權限提高到 Domain Admins,或是僅有特定的網域帳戶才能協助加入網域,以便達到過濾的目的。

且這麼做還有一個好處,就是防止使用者私自退出網域,不受控管。退出網域基本上算是非常不好管制,因為只要有本機 Administrator,或是 Domain Admins、Enterprise Admins 其中一種權限就可以退出… 這種情況非常少,但如果客戶端有這些權限(最高的機率是擁有本機 Administrator),就可以私自退出網域。本篇的目的是必須要由網管人員代為加入,或多或少都可起到警惕的效果,因為人家知道你會這麼做。以下就以 ADSI 編輯器為例,將 Domain Users 預設能加入10部電腦到網域的次數改為0,也就是沒有權限可以將電腦加入網域。

※Windows Server 2000、2003 需要在 Winodws 原版安裝光碟中的 SUPPORT\TOOLS 中提取並安裝,才有 ADSI 編輯器。也可以在微軟網站上下載: http://www.microsoft.com/en-us/download/details.aspx?id=16770

1.開啟 ADSI 編輯器(adsiedit.msc)後,依序點選「執行」→「連線到」:

2.選擇您要管理的 DC 後,再點選「確定」:

3.選擇「DC=xxxx,DC=xxx」的網域控制站後再找到「ms-DS-MachineAccountQuota」。將預設值從10改為0即可:

4.我們最後再從客戶端測試加入網域,成功收到了「超過上限」的錯誤訊息:

回首頁 回首頁

2015/04/10

使用批次檔大量建立網域帳戶

Filed under: Windows Server — jj8113 @ 14:36:29

在大量建立網域帳戶是件非常累人的事情,因為每個帳戶光是要點選這麼多的視窗,不僅手都快抽筋,且還會耗費大把時間… 因此,如果我們是在 DC 上以批次檔的方式去新增,最少會簡單一些。為什麼呢? 因為是在記事本裡面編輯,自然快速多了!

以下就是簡單的命令,可以自行編輯:

dsadd user CN=70980,OU=資訊室,DC=cycu,DC=local -display 謝XX -pwd !Ab12345678 -canchpwd no -pwdneverexpires yes -upn 70980@cycu.edu.tw

CN (帳號)為: 70980。使用者登入方式為 CYCU\70980

OU (組織)為: 資訊室

DC (網域)為: cycu.local

-display (使用者登入顯示名稱)為: 謝XX

-pwd (密碼)為 !Ab12345678

-canchpwd no: 勾選「使用者不能變更密碼」

-pwdneverexpires yes: 勾選「密碼永久有效」(預設是no,密碼會過期)

-upn (使用者登入名稱方式)為 70980@cycu.edu.tw

在 DC 上,我們可以看到網域帳戶已建立成功:

客戶端也能夠正常登入上面所建立的 70980、謝XX 的網域帳號,且名稱也正常顯示:

回首頁 回首頁

2015/04/01

以 Windows Server Update Service 提供內部主機更新

Filed under: Windows Server — jj8113 @ 23:07:15

絕大多數的企業內部客戶端電腦,都是以 Windows 作業系統為主。而微軟每個月的第二個禮拜,均會為旗下的作業系統及其他產品釋出安全性修補程式。為了防止病毒跟木馬的侵略,定期安裝修補程式,是大家早已耳熟能詳的事。若作業系統幾乎都是 Windows XP 倒還好,因為已經停止更新了! 但若有100部 Windows XP 以上系統的客戶端(甚至更多)都連線到微軟的伺服器去下載動輒數十、數百MB的更新檔,這樣頻寬肯定會被消耗殆盡。因此,我們只要架設一台 Windows Server Update Service(WSUS) 伺服器,由這部主機負責下載及派送,就可以達到節省頻寬的需求了。架設 WSUS 主機的好處是節省對外頻寬,並保持網路暢通,又可提升內部的資訊系統安全性。

建置 Windows Server Update Service 主機的前置工作如下:

1.AD 環境+DC 主機一部或多部

2.WSUS 主機一部(可存取網際網路)

假設我們將這台 WSUS 主機的靜態 IP 位址設為 192.168.1.3,並先將其加到網域中。這樣所有的前置工作就完成了! 接著就開始簡單的說明。

1.開始建置 Windows Server Update Service 主機:

2.這個步驟會彈出 Windows Server Update Service 安裝精靈,沒什麼特別好說明的,下一步就好了:

3.Windows Server Update Service 建置完成後,下圖的步驟絕對不能被忽略,否則客戶端電腦會收不到更新:

4.回到 DC 後,以 GPO 修改原則,讓客戶端的電腦可以自動更新:

5.同樣是在 DC 上做設定,這邊是設定什麼時間開始安裝更新(通常建議是假日的深夜,實際情形則依產業別去自行做設定):

6.同樣還是在 DC 上做設定,這邊是設定更新的主機是區域網路中的哪一部:

設定完成後,就可以只有一部主機下載更新檔,但其他內網的所有客戶端電腦也可以更新了!

回首頁 回首頁

2015/03/27

以群組原則設定網域使用者擁有 Local Administrator 權限及修改密碼

Filed under: Windows Server — jj8113 @ 02:08:05

首先,因為網域使用者帳號預設是放在DC的「網域名稱→User」底下,而這個「User」並無法直接設定群組原則(Group Policy)。此外企業內的電腦通常會因各種因素而有不同的管理需求,所以應該要建立不同的OU來做管理。簡單的來說,我們可以先在「群組原則管理」(gpmc.msc)中的「群組原則物件」建立一些符合需求的原則,然後建立各部門的OU,最後再依實際需求將「群組原則物件」複製到那個OU去(或是直接在OU裡面新增原則),比較能符合現實層面的管理。

一、賦予權限: 讓網域內的特定使用者擁有本機 Administrator 帳戶權限:

那如果要讓某位網域使用者 (假定為 CYCU\TEST1) 具備某一個OU下所有成員電腦中的系統管理員權限,若直接將這個 CYCU\TEST1 加入 Domain Admins 群組雖是最快的方式。但如此一來,這個 CYCU\TEST1 就具備了管理網域的權限,這樣權限絕對是過大了。因此建議的作法是在OU底下使用群組原則中的「受限群組」來將網域使用者加到 Administrators 群組織中,以後客戶端就可以使用 Administrator 這個管理員帳戶登入自己的電腦。操作的方式請參照下圖:

二、收回權限: 每次開機時修改網域內使用者的本機 Administrator 帳戶密碼:

雖然上面介紹了如何給 Local Administrator 權限,但筆者還是不太適合,因為那樣真的就有點失去 AD 的意義了,每個人都不受控制… 其實不給 Local Administrator 最主要的用意是在於防範使用者被賦予該部電腦的最高管理權限,可能導致中毒時去攻擊其他網域內的電腦,所以為了安全性,不開放才是比較好的做法啊…

那有什麼好方法可以管理 Local Administrator 帳戶的權限呢? 如果公司政策支持的話,網管人員最簡單的做法就是寫一個 vbs,如此就可以修改網域內每部電腦的 Local Administrator 密碼,然後統一保管,並要求使用者必須以網域帳號登入。以下的範例是修改 Local Administrator 的密碼為 12345678(如果 AD 裡面設定密碼必須複雜化,則這個 vbs 可能不會修改客戶端 Local Administrator 帳戶密碼):

strComputer = "."

Set objUser = GetObject("WinNT://" & strComputer & "/Administrator,user")

objUser.SetPassword "12345678"

objUser.SetInfo

1.在OU底下使用群組原則後再依下圖操作:

2.點選「顯示檔案」:

3.將第一步修改密碼的 vbs 放進去後即可讓使用者在登出後自動執行:

4.上述兩種原則設定完成後,如果想立即讓網域底下的電腦生效,請在 DC 上輸入「gpupdate /force」:

回首頁 回首頁

2015/03/26

在網域中限制網域使用者做某些事情

Filed under: Windows Server — jj8113 @ 17:44:05

在網域中還有一個重要的功能,就是限制網域中的使用者去做某些事情,讓使用者幾乎只能做一些基本的事情。這篇網誌的內容僅為記錄,及簡單的介紹如何限制網域中使用存取 USB,防止敏感資料外洩。

1.開啟網域控制站後,點選網域名稱,並以滑鼠右鍵依序點選「新增」→「組織單位(OU)」:

2.輸入這個組織的名稱:

3.點選在第二步所建立的組織中,以滑鼠右鍵依序點選「組織名稱」→「新增」→「使用者」:

4.在這個容器中建立要被管制的網域使用者帳號:

5.輸入 gpmc.msc 後會開啟群組原則管理,這時候請在第2步所建立的名稱上以滑鼠右鍵點選「在這個網域中建立 GPO 並連結到」以建立原則:

6.請依照下圖點選。這邊的範例是限制使用 USB 裝置:

6-1.請依照下圖點選。這邊的範例是限制不能安裝部分軟體,或是禁止在某個路徑安裝軟體(Domain Users 本身就沒有安裝軟體的權限,因此這一個步驟是給 Domain Users 以上的權限用戶適用):

7.原則設定完成後,如果想立即生效,請在 DC 上輸入「gpupdate /force」:

回首頁 回首頁

2015/03/25

以 Windows Server 2008 為例,建置 AD、DC 並新增使用者、設定隸屬群組

Filed under: Windows Server — jj8113 @ 15:34:31

在中型以上的企業,通常會架設一部 Active Directory 伺服器做管理,而這部 AD 建置完成並重新啟動伺服器後,需要手動將自己變成網域內的第一部網域控制站(Domain Controller,簡稱: DC)。通常我們都會擔心機器掛點,因此會再有一部 DC2 當作備援。而架設 AD 的好處是因為如郵件伺服器 Exchange Server 或 NAS 權限設定、硬體防火牆,或是其他服務也能與 AD 做連結並達到與網域帳號權限的目的,讓使用者以一個網域帳號就可以使用多項服務。而對於網管人員來說,也可以群組原則來限制使用者做出如私自安裝軟體、私接USB複製資料等危害公司行為。以下就做一個簡單的架設及新增網域使用者為範例,也順便做個小記錄。

開始建置 DC 以前,請先依照網路架構去將網路卡設為靜態 IP 位址,DC 主機切勿使用 DHCP 的方式取得 IP 位址:

‧Class A: 10.xxx.xxx.xxx

‧Class B: 172.16.xxx.xxx

‧Class C : 192.168.xxx.xxx

建置完成後,如有其它伺服器要加入 AD 時,請給予靜態 IP 位址(如: 172.16.1.2)。或是客戶端要加入網域時,請先將客戶機的 DNS 指向 DC 主機,以便解析到 DC 後才能夠順利加入網域。下圖為客戶端的 IP位址設定,採 DHCP 方式,以免使用者動到 IP 設定,導致 IP 衝突:

1.點選「角色」→「新增角色」:

2.點選「下一步」:

3.勾選「Active Directory 網域服務」後再點選「下一步」。這邊請勿先勾選「Active Directory 憑證服務」,否則將會導致無法將這部伺服器變為網域控制站:

4.繼續點選「下一步」:

5.點選「安裝」:

6.正在安裝,可能會需要數分鐘的時間,可以喝杯茶、上個洗手間:

7.點選「關閉」:

8.上述的過程已經將 Active Directory 環境架設完成,但我們還需要接著安裝網域控制站(DC)。這時候請點選右邊窗格的「請執行 Active Directory 網域服務安裝精靈 (dcpromo.exe)。」:

9.點選「下一步」:

10.再繼續點選「下一步」:

11.依需求選擇功能後再點選「下一步」:

12.輸入網域名稱後,我們接著瘋狂的再點選「下一步」。下圖的範例是不正確的! 其實應該要輸入 cycu.local 才對,因為如果內部的網域名稱與外部的網域名稱相同的話,使用 nslookup 指令就會被查出企業內部的 IP 位址。且如果有提供對外如 mail 服務的話,DNS 解析容易發生問題:

13.選擇樹系功能等級後再點選「下一步」:

14.不解釋… 「下一步」:

15.設定資料庫、記錄檔、SYSVOL 存放的位置(不建議是C槽,這邊僅為範例),然後再點選「下一步」:

16.輸入「Domain Admin」的密碼後再點選「下一步」:

17.點選「下一步」:

18.上述的步驟也已將網域控制站(DC)架設完成,接著我們要新增網域使用者。點選「系統管理工具」→「Active Directory 使用者和電腦」:

19.請看下圖的設定。屆時網域使用者要加入並需要登入網域時,必須要輸入「CYCU\12345678」,也就是網域名稱+網域使用者名稱:

20.設定密碼完成後,通常我們會把這個使用者的群組歸在 Domain Users,主要是使其成為受限制的成員,例如不能安裝軟體等。當然,如果項部門主管需要自行安裝軟體的話,則權限當然要提升到 Power User 群組(需自行建立)。但若是老闆或的話,其實筆者也不知道該不該設為 Domain Admins 群組… 但最少管理員自己絕對是 Domain Admins 這個群組就是了:

回首頁 回首頁

2015/11/10

關於 Windows 7 右下角網際網路圖示出現驚嘆號問題

Filed under: Windows 7 — jj8113 @ 09:53:07

相信大家在用 Windows 7 時,應該都有見過類似下圖的「黃色驚嘆號」問題!

網上有非常多的關於最佳化這個黃色驚嘆號的文章,但是有種情況,無論用哪種最佳化方法都無法解決,即: 當開機時,沒有任何程式存取網際網路時,如果最佳化了之後,將一直會顯示驚嘆號,除非手動存取外部網路時,才會恢復正常!

今天研究後發現,其實這個網路驚嘆號的情況並不需要最佳化,如果外網連線正常時,客戶機開機後預設會存取微軟的 http://www.msftncsi.com/ncsi.txt,或是存取 dns.msftncsi.com 解析其對應的 IP 位址是否為: 131.107.255.255,如果任何一個判斷條件成立,則系統認為網際網路連線正常,然後右下角的小圖示就會變為正常狀態,否則就會顯示黃色驚嘆號!

而網際網路上傳的一切最佳化的目的,都是停用網際網路活動偵測功能,停用該功能後,如果電腦上有存取網際網路的程式,也會起到相同的效果,網際網路指示器可變為正常,這麼做唯一的缺點就是如果開機後不存取任何網際網路的話,驚嘆號會一直存在,看著也彆扭!

建議大家根據實際情況來判斷是停用還是啟用網際網路活動偵測;

如果您的網際網路可以存取 http://www.msftncsi.com/ncsi.txt 或 ping dns.msftncsi.com 解析位址是 131.107.255.255 的話,那麼啟用網際網路偵測活動,否則請將其停用。

啟用網際網路活動偵測:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet]

“EnableActiveProbing"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityStatusIndicator]

@=""

“NoActiveProbe"=dword:00000000

停用網際網路活動偵測:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet]

“EnableActiveProbing"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityStatusIndicator]

@=""

“NoActiveProbe"=dword:00000001

另外,有人反映 Windows 7 剛開機時,看到網際網路連線指示器的狀態依次是: 打紅叉→轉幾圈→顯示為驚嘆號→變為正常狀態。

其中,轉幾圈這個狀態就是因為停用網際網路狀態偵測導致的,不停用就可以省略這個過程直接變為正常,當然個別網際網路環境偶爾不好的時候,微軟偵測慢了也會有轉圈情況,但是轉圈完了也會直接變為正常,不會再變成驚嘆號。

然後打紅叉的過程,原版系統同樣存在,所以是 Windows 系統本身的問題,無須太過介意!

回首頁 回首頁

2015/06/28

全民快打(Rock K.O) 簡單遊戲心得

Filed under: Android — jj8113 @ 13:38:45

筆者這三個月斷斷續續的玩 Android 版的全民快打(Rock K.O)。截至今日為止,發現每天重複著一模一樣的東西,跟一般 PC 版的網路遊戲差異非常大,幾乎與其他玩家沒有太大的互動,聊天打字也不方面… 另外,也發現第23這個伺服器最強的玩家戰力高達70萬! 若是10年前,筆者會非常的羨慕跟崇拜。心裡會認為這個是神人! 但現在的心中卻只剩下一句話…

到底是什麼樣的遊戲值得你花大把鈔票跟時間下去? 犧牲生活品質去衝第一? 僅剩下如此心得而已…

回首頁 回首頁

2015/06/06

架設企業內部的根憑證伺服器

Filed under: Windows Server — jj8113 @ 23:10:18

建置了 Active Directory 環境後,通常會與其他伺服器做整合。像是 Exchange Server、檔案伺服器等,或是其他需要由 Web 方式認證身分的 VPN 等服務能夠更安全的運作。因此還要再建置一部根憑證伺服器去頒發憑證,以憑證並且加密的方式去驗證使用者身分,如此才能使這些伺服器能夠正常使用加密安全的 SSL 服務,保障資料傳輸過程的安全性。

1.請勾選「Active Directory 憑證服務」:

2.請依照下圖設定:

 

3.請勾選「企業」:

4.請勾選「根 CA」:

5.由於本篇的範例是新建置,因此我們並沒有以前的私鑰,所以請選擇「建立新的私密金鑰」:

6.加密方式建議選擇「SHA1」,長度選擇「2048」以上:

7.這邊系統會自動帶入:

8.這邊可以選擇憑證的有效期限,建議選擇5年以上:

9.確認資料庫的儲存位置後,請點選「下一步」:

10.點選「下一步」後會自動開始安裝。安裝完成後請重新啟動伺服器:

如此,便完成了 Root CA Server 的建置,以後再讓提供服務的伺服器去向 Root CA Server 申請核發二級憑證,最後再將根憑證以 GPO 的方式派送到網域客戶端即可。

回首頁 回首頁

2015/05/04

極優秀的加密軟體: Symantec Encryption Desktop

Filed under: 加密 — jj8113 @ 09:49:52

筆者最近看到了在 2015/4 陸陸續續開始在台灣肆虐的 Cryptolocker 勒索型木馬,有少許的使用者跟企業已遭受毒害。其實這種木馬在國外時常有案例發生,且行之有年了,因為 Cryptolocker 傳染途徑主要是社交工具及電子郵件。先前由於散播木馬的電子郵件通常是全英文的,所以常常被台灣的使用者當成是廣告信件刪除,因此沒有爆發過什麼災情! 但由於最近已經發展的多國語言,已經包含了中文,所以才會爆發零星案例。筆者在看了一點網路上的文章介紹後,稍微了解其原理是使用 RSA 2048-bit 去加密本機磁碟、USB 磁碟,甚至會設法去加密網路磁碟的以下類型檔案:
*.3fr *.accdb *.arw *.bay *.cdr *.cer *.cr2 *.crt *.crw *.dbf *.dcr *.der *.dng *.doc *.docm *.docx *.dwg *.dxf *.dxg*.eps *.erf *.indd *.kdc *.mdb *.mdf *.mef *.mrw *.nef *.nrw *.odb *.odc *.odm *.odp *.ods *.odt *.orf *.p12 *.p7b *.p7c *.pdd *.pef *.pem *.pfx *.ppt *.pptm *.pptx *.psd *.pst *.ptx *.r3d *.raf *.raw *.rtf *.rw2 *.rwl *.sr2 *.srf *.srw *.wb2 *.wpd *.wps *.x3f *.xlk *.xls *.xlsb *.xlsm *.xlsx

使用者中了這類型的木馬後,它並不會破壞系統,而是會在背景自動連線駭客所架設的伺服器取得公鑰,然後在後台悄悄的將電腦中的檔案加密。全部都加密完成後,會再彈出視窗跟使用者要求三天內支付300(約台幣9000元)美元的贖金,或是同等值的比特幣。因為被 Cryptolocker 加密的檔案,一定要有私鑰才能解開,否則如要使用暴力破解,會花費極大量的成本,甚至得花費幾十~幾百年的時間。RSA 的加密演算法,在現今的時代,可謂是銅牆鐵壁,要完整解密的機率是微乎其微。筆者在網路上看到有企業的 NAS 受到感染,所有檔案全被加密,無法存取,為了持續運作,只得支付贖金取得與加密對應的私鑰,才可以解開全部的檔案。但,也有風險就是,支付了贖金,卻根本拿不到私鑰的案例。以下中毒的圖片來自於網路:

目前這類型的木馬持續在變種,現今的防毒軟體最多僅能攔截。但是已被加密的檔案,如果沒有針對重要檔案進行備份,則僅有支付贖金跟放棄檔案這兩種選擇。筆者深深覺得培養良好的使用習慣是非常重要的,但也是最難教育給使用者的一項難題…


看了上述的案例及木馬發作時的慘狀,筆者同時也想到自己的一些私人檔案,也是可以被加密處理的(如果只是壓縮後加上密碼,如果密碼長度不夠,或不夠複雜,還是很容易可以被暴力破解的)。正確的使用加密其實並不可怕,只要公、私鑰有備份,且牢記私鑰密碼並妥善保管,這樣做其實對於文字、檔案傳遞的正確性、隱匿性都是很有幫助的! 只是加密這一塊通常是冷門的領域,多數人不是很清楚該如何利用而已。

Symantec Encryption Desktop (收購前的名稱為: PGP Desktop) 是一個可以讓您的檔案、資料夾及電子郵件擁有保密功能的程式。藉此您可以將您的郵件加密 (Encrypt) ,除了您希望的人看得到以外,沒有其它人可以解讀。一旦加密後,訊息看起來是一堆無意義的亂碼 (Random Characters)。Symantec Encryption Desktop 提供了極強的保護功能,即使是最先進的解碼分析技術也無法解讀加密後的文字。

Symantec Encryption Desktop 加密與解密不像其它傳統加密的方式,而是利用所謂的公開鑰匙密碼學 (Public Key Cryptology) 為基礎。舉例來說,當您要傳送一封保密信或檔案給筆者時,必須先取得筆者的公開鑰匙 (Public Key),並且將它加入您的公開鑰匙環 (Public Keyring) 中,然後利用筆者的公開鑰匙將信件或檔案加密。當筆者收到您加密的信件後,筆者必須利用其對應的私人鑰匙 (Secret Key) 才能解密。因此,除非其他人擁有筆者的私人鑰匙、密碼,否則將耗費幾百年的時間才有機會解開您所加密的信件或檔案。同時,筆者在使用私人鑰匙解密時,還必須輸入通行碼 (Pass Phrase),如此又對加密後的訊息多了一層保護。

下圖是以 RSA 4096-bit 的公鑰加密後的檔案,除非擁有配對的私鑰,否則就算是專業的IT團隊,想要解開這個被加密檔案的機率也近乎於0%。如此,就可確保檔案傳遞的安全性及隱密性:

除了對檔案或資料夾加密以外,我們也可以將傳遞的文字加密。例如筆者的明文是: 歡迎光臨我的部落格! 以 RSA 的加密方式,並將密碼設為 123 後就是如下文字:

—–BEGIN PGP MESSAGE—–

Version: Encryption Desktop 10.3.2 (Build 16349)

Charset: utf-8

qANQR1DDDQQJAwKzGkDKdgBGEb/SVQHJqrIs889IOv6JU1U6P+Lb+BVUoWMSaCf/

1AQXgVkxnMLnwhI54plDlrJ5CR5Z9eLp725mDkMjLNbFpPV1L6zc8lPFXGsBqc/y

Bx1TZJaHL+f21WI=

=amNI

—–END PGP MESSAGE—–

由於上面是用密碼加密,所以只要有心人士破解了密碼就可以進行解密。但如果筆者選擇加密的方式是用對方的公鑰,則無論如何都只有對方能解開,除非有人人士獲得了私鑰及私鑰密碼。

回首頁 回首頁

2015/04/24

申請免費的企業內部 SSL 憑證

Filed under: Windows Server — jj8113 @ 13:35:40

如果是公司的入口網站、購物或會員網站、電子郵件伺服器登入頁面等,只要是需要客戶或使用者輸入帳號、密碼或信用卡資料…等的機密、敏感資料的話,我們就可以考慮使用 SSL 憑證了。因為 SSL (Secure Socket Layer) 協定可以保證網站的機密敏感訊息從使用者瀏覽器到伺服器之間的傳輸受到高強度加密保障,較無法被駭客非法竊取、窺視及篡改,也能辨別網站之網域名稱確實為憑證申請者擁有,網站較不會被偽造或仿冒。

一般要採用 SSL 加密機制是需要有效的憑證。而這個憑證通常是公認憑證機構(例如: Symantec SSL(前身為 Verisign)、GoDaddy中華電信通用憑證管理中心等)為自己的網站簽發一個二級或三級憑證。其實我們在企業內部可以使用免費的內部企業憑證就足夠了,一般都是使用在 mail 或是網頁方面。以下就以 Windows Server 內建的 IIS 網頁伺服器向企業內部申請二級憑證為例!

1.請依照下圖依序展開樹系,並點選 IIS 的「伺服器憑證」:

2.請點選「建立憑證要求」:

3.請輸入您的公司資訊,以建立相關的憑證。然後會產生一個 .txt 的記事本檔案,這是根憑證所產生的加密金鑰:

4.在 IIS 伺服器上以瀏覽器開啟根憑證的主機網頁,向根憑證伺服器申請子憑證。這個步驟請點選「要求憑證」:

5.接著請點選「進階憑證要求」:

6.請再點選「用 Base-64 編碼的 CMC 或 PKCS #10 檔案來提交憑證要求,或用 Base-64 編碼的 PKCS #7 檔案提交更新要求。」:

7.找到並開啟第三步所申請到的 .txt 加密金鑰檔案後請全部複製:

8.請將金鑰複製到下圖1的位址,並選擇「網頁伺服器」後再點選「提交」:

9.請再點選「下載憑證」:

10.請點選「完成憑證要求…」,然後在 https 綁定新申請的憑證:

11.也不要忘記開啟網頁需要 SSL 的協定:

12.最後再以客戶端的瀏覽器後開啟 https 進行測試,沒有憑證錯誤的提示訊息,表示憑證是可用且正常且是未過期的:

另外,憑證通常也會簽署在安裝程式、驅動程式,讓使用者方便辨識這個應用程式是否有被修改過。雖然數位簽章曾經被偽造,無法保證100%的絕對安全,但還是有高度的安全性可以信賴:

回首頁 回首頁

2015/04/19

利用 VHD 做實機多系統

Filed under: 虛擬化 — jj8113 @ 03:58:06

一般就我們所認知的虛擬機器,就是在作業系統環境下使用像 VMware 等虛擬機器程式去安裝或執行另一套作業系統。但用久後還是會卡卡的,主要是因為這種運作方式是一次跑兩套系統,因此採用這個方式去虛擬,雖然方便,但在效能部分終究還是比不上實機環境下的速度… 以下就簡單的介紹一下使用虛擬機器與 VHD 掛接的優缺點吧!

虛擬機器(如: Hyper-V、VMware 等)

優點: 可同時在本機上執行另一套作業系統或提供伺服器服務

缺點: 除非硬體配置夠好,否則用久了本機跟虛擬機器都會卡頓

VHD:

優點: 硬體配置一般時,效能較虛擬機器佳,因為它就算本機

缺點: 必須用雙系統或多系統開機,切換麻煩

那到底有沒有辦法能夠提升效能呢? 其實還是有的。本篇的內容主要是以微軟的 Windows Virtual PC 所使用的 VHD 格式為主。其原理就是只有硬碟部分是以 VHD(虛擬硬碟) 為主,其餘的硬體配置就是以實機的方式做連接。簡單的來說,就是只有硬碟是假的,其它裝置都是實機並非像虛擬機器也是虛擬的,透過這樣的方式來增強虛擬機器的效能。以下是把 Windows Server 2008 R2 安裝到 VHD 為例。這邊要特別注意的是,只有 Windows Vusta 與 Windows Server 2008 以上的作業系統才適用! 因為像 Windows XP、Windows Server 2003 是以 cab 封裝,且認不出 VHD 格式… 硬要裝的話必須透過第三方軟體才能實現,有點小麻煩就是了…

1.開啟「磁碟管理」再點選「執行」→「建立 VHD」:

2.點選「瀏覽」選擇存放虛擬硬碟的位置(假設為E槽)。然後格式選擇「動態擴充」,最後再調整硬碟的大小。「動態擴充」的好處是如果裡面存放檔案只有40GB,則實際在E槽看到的虛擬硬碟就只有40GB。至於下圖將「動態擴充」調整為200GB的意思就是,最大可以到200GB:

3.依正常的方式用光碟安裝,或者是用「Windows 自動化安裝套件」中的 imagex 去佈署第二套或第三套作業系統完成後,可以看到在開機選單有兩套系統可供選擇了:

4.進入磁碟管理再看一下,磁碟的圖示是綠色,就代表這個作業系統是安裝在 VHD 底下:

5.進入 msconfig 檢視,是雙系統沒錯:

本篇所介紹的雙系統或多系統,正常在企業中不太會使用,都是直接掛虛擬機器來跑服務比較經濟實惠。因此本篇的目的僅是讓對資訊有興趣的朋友在測試系統時可以多一種選擇而已。

回首頁 回首頁

2015/04/18

使用 Windows Server Backup 備份伺服器

Filed under: Windows Server — jj8113 @ 06:49:28

一直以來,Windows 無論是個人系統或伺服器系統,內建的備份程式因為自訂性不高,因此一直都為人所詬病,直到 Windows Server 2008 R2 開始的內建 Windows Server Backup,總算讓人有比較好用的觀感了! 以下就是筆者用排程的方式去完整備份伺服器的簡單說明。

1.點選右邊窗格的「備份排程」:

2.點選「下一步」:

3.選取「完整伺服器」後再點選「下一步」:

4.筆者這邊設定為上午3點進行備份。因為這個時間在企業內應該比較少人在使用電腦,選在此時備份的話,伺服器的負擔及影響會比早上來得少:

5.這邊筆者依自己的習慣選「備份到磁碟區」,也就是將備份的映像檔存到另一個分區。當然,我們也可以備份到虛擬磁碟中(VHD):

6.選擇存放映像檔的磁區後再點選「下一步」:

7.再次確認:

8.備份完成! 以後每天上午3點都會自動進行完整備份:

回首頁 回首頁

2015/04/15

簡單設定 Exchange Server 郵件伺服器

Filed under: Windows Server — jj8113 @ 08:06:05

建置 Exchange Server 郵件伺服器 這篇網誌中,筆者已經簡單介紹了以單純的環境去建置 Exchange 2010 郵件伺服器了。接下來的這一篇就我們就做個簡單的紀錄,主要是說明如何做初步的設定,才能讓郵件伺服器能夠正常提供企業內部服務為主。

1.請先依照下圖做初步的設定:

2.這一步主要是選取郵件伺服器的主要用途,通常都是企業內部使用比較多。如果有付費向ISP申請網域名稱以及憑證的話,也可以對外提供服務:

3.設定可以存取這部郵件主機的 IP 範圍:

4.除了「匿名使用者」外,其他的建議全部勾選。不勾選「匿名使用者」的主要考量是為了安全性,因為可以不用網域帳號登入就可以收發信,真的是太危險了:

5.開始新增使用者

6.依實際的需求來選取要新增信箱的項目:

7.因為筆者這邊是直接從網域去新增網域帳戶,因此新增使用者的步驟非常輕鬆(多筆新增的時候,別名會出現亂碼。這個部分我們可以透過 Exchange Management Shell 去下指令解決):

8.以 Office Outlook 內部測試收發郵件成功:

9.因為 Exchange 強制使用 SSL,因此我們以瀏覽器登入 OWA,網址會是「https:\\您的網域名稱\owa」。下圖是筆者已建立企業內部可信任的 SSL 憑證,因此在存取 https 網頁時沒有任何關於憑證錯誤的提示(請記得要先設定派送憑證到客戶端):

10.請記得先一定要為 OWA 建立可信任的憑證,否則客戶端「每次」無論是以瀏覽器登入 OWA,或是以 Office Outlook 的方式去登入,都會提示憑證錯誤的訊息,如下圖:

11.其實登入方式可以改為用使用者帳號登入即可,不需要在前面加上網域名稱。只是筆者在擷圖前還沒做到這個設定:

回首頁 回首頁

2015/04/14

建置 Exchange Server 郵件伺服器

Filed under: Windows Server — jj8113 @ 16:29:54

建置 Exchange Server 稍微特殊一點,除了建議安裝在另一台獨立的伺服器以外,它也必須要在 AD DS 環境底下,也就是說它必須加入網域後才能開始建置。接著也必須要具備以下的所有條件才符合安裝需求:
.NET Framework 3.5 Service Pack 1 (Windows Server 2008 R2 內建,無須下載及安裝)
Windows PowerShell 2.0 (Windows Server 2008 R2 內建,無須下載及安裝)
Microsoft Filter Pack (集線傳輸角色需要)
Ldifde.exe (集線傳輸、用戶端存取、信箱等角色皆需要)
Net.Tcp 連接埠共用服務設為「自動」 (用戶端存取角色需要)
擴充 AD Schema
安裝 IIS 相關角色服務(「靜態內容」、「預設文件」、「ASP.NET」、「.NET 擴充性」、「ISAPI 擴充功能」、「ISAPI 篩選器]「基本驗證」、「Windows 驗證」、「摘要式驗證」、「要求篩選」、「靜態內容壓縮」、「IIS 6 Metabase 相容性」、「IIS 6 管理主控台」)

有這麼多繁雜瑣碎的準備工作及步驟,光是安裝且不含設定可能就要一兩個小時以上了吧… 因此,筆者建議可以把最主要的 .NET Framework 3.5 SP1、Microsoft Filter Pack 下載回來後,再用命令去安裝,重新開機兩次以後,就可以用光碟安裝完成了。以下就是筆者以 Windows Server 2008 R2 安裝 Exchange Server 2010 的小記錄。

1.安裝 Microsoft Filter Pack、Windows PowerShell 2.0(也可以不裝)。

2.輸入 sc config NetTcpPortSharing start= auto,將「Net.Tcp Port Sharing Service」這個服務設為自動啟動的命令(預設是停用)。並且再輸入 ServerManagerCmd 的命令去調用 Exchange 光碟中的 Exchange-Typical.xml 檔案:

3.首次執行 Windows PowerShell 時,必須先輸入「Set-ExecutionPolicy RemoteSigned」修改安全性的預設值,否則命令將會失敗。請參考下圖的兩串命令(帶有 PS 字樣的第三、第四行),輸入完成後請重新啟動伺服器:

4.如此,前置工作就完成了。已經可以開始用 DVD 或映像檔安裝了:

5.如果沒有打算對外服務,也沒有付費申請網域名稱及憑證的話,可以先略過,直接下一步:

6.Exchange 正在檢查是否符合安裝需求,可能會需要一點時間:

7.開始安裝 Exchange。這邊可能就會需要比較久的等待時間:

以上就是簡單的建置 Exchange Server 郵件伺服器。關於簡易設定的部分請參考 簡單設定 Exchange Server 郵件伺服器

回首頁 回首頁

2015/04/01

刪除 AD 中被保護的物件

Filed under: Windows Server — jj8113 @ 20:58:07

在網域控制戰中,新增部分物件時,伺服器預設值是勾選「保護容器以防止被意外刪除」。這個立意絕對是好的,就怕一些規則被刪除要重建是會很花時間的。

但如果有的時候,一些東西其實已經沒有存在的必要了,但又刪除不了的時候,真的是很礙眼… 以下就簡單介紹刪除的方法。

1.開啟網域控制站後,依序點選功能錶的「檢視」→「進階功能」:

2.點選欲刪除的物件後再點選「內容」:

3.將「保護物件以防止被意外刪除」的勾選取消後,再點選「確定」:

如此就可以刪除物件了,非常的簡單。對於有潔癖的管理員來說,是件值得開心的事。

回首頁 回首頁

2015/03/29

解決無線網路在 Windows Server 2012 預設無法使用的問題

Filed under: Windows Server — jj8113 @ 00:15:34

前兩天在做 Windows Server 2012 R2 的 AD 的時候,用的是另一部主機。該主機由於場地的關係,因此是用無線網路卡。

AD 服務啟動了以後,再建置 DC 的時候,由於 Windows Server 2012 R2 會偵測 TCP/IP 通訊協定是否正常,沒想到此時出現了錯誤訊息。查看了一下發現是沒有具備連線能力… 本來想說這個問題應該很簡單,只是驅動程式的小問題而已。但進入裝置管理員看到有偵測到無線網路卡,且是正常的,重新裝了網路卡的驅動程式後依舊無效,只得上網找解決的辦法了… 後來發現了微軟知識庫,上面是寫說需要啟動無線網路的服務,果然啟動服務後再重開伺服器就可以了!

以下是透過UI的簡易解決步驟:

1.在「伺服器管理員儀表板」中,點選「管理」,然後點選「新增角色及功能」。「新增角色及功能精靈」隨即開啟

2.按「下一步」。在「選取安裝類型」中,選取「角色型或功能型安裝」,然後按「下一步」

3.在「選取目的地伺服器」中,啟用「從伺服器集區選取伺服器」,然後在「伺服器集區」,選取您要啟用無線區域網路服務的伺服器,然後按「下一步」

4.在「選取伺服器角色」中按「下一步」

5.在「選取伺服器功能」的「功能」中,選取「無線區域網路服務」,然後按「下一步」  

上述的步驟是透過使用者介面的方式去開啟「無線區域網路服務」。我們也可以使用 Dism 的命令去開啟 WirelessNetworking 功能,以使服務順利被啟動。

回首頁 回首頁

2015/03/26

備份、還原 AD、DC

Filed under: Windows Server — jj8113 @ 12:24:29

閱讀本篇前,請先瞭解一件事,那就是最保護 AD 資料庫安全的作法,應該是要有第二部 DC 來複寫第一部 DC 的資料庫(GC、DNS),兩部互相備援。如果第一部 DC (或是擔任五大角色的 DC) 掛點導致無法開機,由於 DC2 保有 DC1 的資料庫的關係,我們應該要立即在正常的環境(不是目錄還原模式)下登入 DC2 (或備援的 DC) 去奪取 AD 五大角色。然後以命令刪除 DC1 的相關資料。此時,DC1 無論用任何方式復原成功後都絕對不能再上線了 (DC1 若上線會以為自己還保有五大角色,進而導致衝突。讓 AD 環境錯亂,甚至 AD 資料庫損毀)。只能將 DC1 格式化重新安裝,然後加入網域,才是最安全的做法。

上面提到的是正常情況下,同時有兩部 DC 可以相互備援的正規作法。但如果現在經費拮据,只有一部 DC,也是可以在深夜大家下班時間用 Windows Server Backup 做單機備份(第一次須完整備份,第二次可設為增量備份)整個系統及 AD 資料庫的方式來進行。以下介紹為備份整個磁區及所有設定,並不僅限於備份在 AD 所建議的網域使用者而已。當然,AD 的資料庫、記錄檔、SYSVOL 的內容存放在哪邊,也必須要先查清楚,才不會沒備份到。

另外,如果 AD 主機硬體升級或是新購了一台硬體配置較高的主機,以筆者的備份方式,也可以讓整部 AD 主機無痛轉移。只是缺點是這部 AD 可能需要停機一個小時左右就是了… 當然,如果只是日常的系統、資料備份,那大可以設定排程備份,在深夜的時候自動執行就好了。

其實不光是 AD,DC、Exchange 等,只要是 Winodws Server 都可以用這種方式來做復原。簡單的來說,要管理得好、運作穩定,就是只能勤於備份了。

1.首先我們看到網域的使用者帳戶共有 TEST1、TEST2 兩個網域帳戶:

2.接著我們開始做整個磁區的備份動作,建議是備份到如 NAS 上。如果公司沒有 NAS,那就備份到另一個槽或是存到其他硬碟裡吧:

3.備份完成後,我們來測試一下。這邊筆者又另外加入了 TEST3、TEST4 兩個網域帳戶。也就是現在已經變成了 TEST1、TEST2、TEST3、TEST4 四個網域帳戶:

4.開始還原:

5.還原完成後又變回只有 TEST1、TEST2 兩個網域帳戶:

上述以網域使用者的方式來表現,只是為了可以呈現確保 AD 主機的設定可以被完整備份及還原而已。更重要的是購入新主機的時候也可以無痛轉移,是挺好的備份方式。購入新主機的並需要做轉移的時候,絕對是需要手動操作的,所以停機可能在所難免…

回首頁 回首頁

2015/03/23

小米路由器mini 刷 PandoraBox(潘朵拉) 韌體簡易教學

Filed under: 電腦和網際網路 — jj8113 @ 13:51:06

東西用的好好的,為什麼這麼麻煩且必須要放棄保固去刷第三方韌體呢? 主要是因為小米路由器mini 的韌體真的是太差勁了… 根據家人的反應,無線網路時常瞬斷,即使筆者已刷到最新的開發版韌體問題還是依舊…

家用的無線基地台只要連線品質穩定,基本上是會讓人忘了它的存在。但如果三不五時斷線,提醒它是存在的,既使官方開發再多的新功能,也只是個外型中看不中用的次級品而已…

筆者在小米的官方論壇上也看到了很多人抱怨小米路由器mini 斷線、速率下降等不少的情形,但官方大多數都是處在沒回應、沒改善的狀態,還在新版的 ROM 裡面加入了保護機制,不允許使用者逕自刷入如 newifi 等的第三方韌體,因此筆者決定先降版刷 0.7.15 開發版韌體,並開啟 SSH 後再刷入 PandoraBox 韌體,因為它可以直接繞過小米的保護機制。

我們要準備的工具共有下述幾樣:

1.小米路由器mini 0.7.15 開發版韌體

2.小米路由器mini 開啟 SSH 工具包

3.小米路由器 mini 開發版 APP (綁定路由器後才能取得 SSH 工具包)

4.WinSCP

5.PuTTY 或是 Xshell

6.PandoraBox 韌體 for 小米路由器mini (2015-03-19)

※在決定刷 PandoraBox 韌體前,筆者建議您必須瞭解一些優缺點,才會知道自己到底適不適合冒險去刷第三方韌體!

優點部分:

1.有線、無線網路較小米路由器mini 原廠韌體穩定許多,不會時常斷線

2.無須擔心路由器的設定檔(如撥接帳號、密碼)被偷偷上傳到小米位於北京的伺服器

3.以 PC 或 APP 存取USB裝置的速度比官方韌體快上許多,且不像官方韌體時常找不到USB裝置

4.功能較原廠韌體多。如 USB 印表機伺服器、網路攝影機、FTP、VLAN等。並可自行加入、移除功能

5.可匯出設定檔,並自行以記事本編修路由器各項設定值(例如修改 hosts,即可遮罩廣告伺服器)

6.內建流量報表,可惜沒有上傳或下載流量,僅有總流量

缺點部分:

1.使用 PPPoe 撥號上網若發生斷線時(使用動態IP、電路維修等),路由器內部提供的資訊嚴重錯誤。依舊會顯示 WAN Port 已取得 HiNet 配發的外部 IP,但實際上卻無法連上網際網路,必須將路由器重新啟動方能解決

2.由於新版 PandoraBox 韌體均大於小米路由器mini 原廠韌體的雙ROM(8MB+8MB),因此刷了 PandoraBox 韌體後絕對會遺失 SN。日後再刷回原廠韌體,也將會導致手機 APP 無法綁定小米路由器mini

3.無法像官方韌體一樣可以透過行動裝置 APP 去控制路由器、存取 USB 裝置

若您已經完整瞭解上述的優缺點,並且可以接受了以後,我們就來進行刷第三方韌體的動作吧! 由於本篇的重點是在於以最快速的概念去瞭解如何刷入第三方韌體,因此在刷入小米路由器mini 開發版韌體及開啟 SSH 的部分您可自行上網搜尋相關教學。接著,我們就進入正題吧!

1.下載並刷入小米路由器mini 0.7.15 版(含)先前的開發版韌體

2.完成第一個步驟後,再下載並刷入 SSH 工具包

3.下載 PandoraBox 韌體 for 小米路由器mini

4.使用 WinSCP 後以「SCP」協定登入路由器,然後將韌體放到路由器的 root/tmp 資料夾中

5.開啟 Xshell 後以「SSH」協定登入路由器,使用指令:「mtd -r write /tmp/韌體的完整檔案名稱.bin firmware」刷入潘朵拉韌體(如果無法刷入,請改為:「mtd -r write /tmp/韌體的完整檔案名稱.bin OS1」),並耐心等待約2~5分鐘。刷韌體的期間不可對路由器做斷電,以及關閉 PuTTY 或是 Xshell 的視窗

6.刷入 PandoraBox 韌體完成後,預設的IP位址是: 192.168.1.1、登入帳號是: root、密碼是: admin。並祝您使用愉快!

後記: MTU(Maximum Transmission Unit) 或多或少都會影響是否能正常開啟網頁,因此,請您依照自己的網路架構去設定路由器及電腦端的 MTU。

‧ 1500. 乙太網路 Ethernet 封包最大值,一般的裝置(系統)也是預設值。
‧ 1492. PPPoE 的最佳值
‧ 1472. 使用 ping 的最大值 (大於此值的封包會先被分解)
‧ 1468. DHCP 的最佳值
‧ 1430. VPN、PPTP 的最佳值
‧ 576. 撥號連線到 ISP 的標準值

回首頁 回首頁

2015/03/19

實用的 SSH 連線工具: Xshell

Filed under: 電腦和網際網路 — jj8113 @ 11:29:29

Xshell 是一款好用且免費的 SSH 客戶端工具,能夠支援 Telnet、Rlogin、SSH、SFTP、Serial 等協定的終端程式,方便管理及修改遠端主機或資通設備的參數設定。

如本網誌先前曾經介紹過的小米路由器mini 簡單使用心得 。要取得 SSH 工具包後會得到個人的 root 密碼。接著就是必須使用 Xshell 或是 PuTTY 以 SSH 去做連線後,就能夠以 root 管理員帳戶登入,以取得最高權限。之後才能自訂修改,但前提是必須這種類型的連線方式通常都是使用命令去修改路由器內部的設定,如防火牆、DNS 等。

下圖紅框處為筆者修改的 DNS 指向(優點是不用透過 DNS 去解析,直接告訴路由器這個網域名稱所對應的IP位址,以節省解析的幾毫秒時間),主要的用途是遮罩小米產品私自上傳個人資料的伺服器,如小米手機偷上傳用戶資料,以及小米路由器偷上傳用戶設定檔。修改參數完成後按下 ESC 再輸入 :wq 即可儲存修改的內容。最後一步就是下 /etc/init.d/dnsmasq restart 的命令,以使路由器的 DNS 服務重新啟動,才能套用自己所設定的規則。

Xshell 5 Build 0555 多國語言免費版:

http://www.netsarang.com/download/down_xsh.html

回首頁 回首頁

2015/03/09

免安裝 Acronis 主程式,提取、瀏覽 .tib 備份檔案

Filed under: Acronis — jj8113 @ 14:13:45

我們在安裝 Acronis BackupAcronis True Image 完成並製作 source 時會產生一個副檔名為 .tib 的「Acronis 備份檔案」。我們通常會將之存放在C槽以外的槽,或是2.5吋行動硬碟裡,又或者是 NAS 等網路儲存設備,以備不時之需。而這時候我們是可以隨意瀏覽並複製出這個 .tib 裡面的檔案,只是可惜無法針對這個 .tib 做寫入或刪除檔案的動作!

但有的時候,我們因為系統重裝了,或是其他種種的原因,根本就忘記安裝 Acronis BackupAcronis True Image 來重作備份,而以前所備份的 .tib 檔卻不知道裡面到底是些什麼檔案是現在可以被拿出來使用的…

正因如此,筆者就做了一個免安裝 Acronis BackupAcronis True Image 即可瀏覽或複製 .tib 裡面檔案的功能。32位元版大小僅15.5MB,64位元版大小僅21.6MB。同時也寫了一些命令可供隨時使用或移除該功能,非常小巧且方便!

回首頁 回首頁

2015/03/03

Windows 7PE (x86) 2015/3/3 修改版

Filed under: Windows PE — jj8113 @ 08:41:16

筆者繼前幾天修改了 NoName Xpe 後,原以為總算可以辨識到絕大多數的硬碟了(畢竟 PE 主要是緊急維護系統,無論是救援檔案或是還原系統,對於硬碟的支援度一定要非常足夠)! 但筆者真的忽略了,畢竟核心是2001年推出的 Windows XP,對於近年新款硬體的裝置識別碼在 XPE 內建的驅動程式裡面是沒有的,所以自然無法辨識裝置。主要是因為絕大多數的硬體廠商都已經停止開發針對 Windows XP 的驅動程式及相關支援了… 正因如此,筆者索性就繼續來修改原創 Make_PE3 的國外網友,再經由 noname 論壇網友所釋出的 Windows 7PE! 下一個要製作的 PE 系統,應該就是等 Windows 10 正式版推出了。改 PE 真的需要大量的時間去做細部調校,且 Winodws 7 對於這幾年的硬體支援度還是能夠應付,因此這版 PE 修改完後,就等年底再做 Winodws 10PE 了!

※製作 Windows PE 前,必須要確認您擁有作業系統的正版授權。若要包含其它應用程式,也同樣要擁有正版授權。建議您盡量以免費軟體為主,才可以把製作的 PE 分享給朋友使用。

2015/3/3 更新日誌:
+ 加入 Acronis True Image 2014
+ 加入 UltraISO 9.6.2.3059
+ 加入 AOMEI Partition Assistant 5.6.3
+ 加入 EasyBCD
– 更新 7-Zip 9.38
– 更新 Adobe Flash Player 16.00.305 控制項
– 更新 PENetwork
* 調整桌面及開始功能表的佈局,使之更為簡單整齊
* 刪除 X:\Windows\winsxs 不需要的檔案,以縮小 PE 體積,加速系統載入速度
* 修改 PE 啟動時的批次檔,將其最小化至工作列後自動執行,不妨礙使用
* 刪除遠端桌面及語言檔案
* 刪除舊版 snapman.sys 驅動程式及登錄機碼,以及 Acronis 登錄機碼。完美解決啟動新版 Acronis 系列產品時出現「請刪除 snapman 服務」的英文錯誤訊息
* 更新 X:\Windows\System32\drivers、X:\Windows\System32\DriverStore\FileRepository 驅動程式到 Windows 7 SP1 (2015/3/3)。因考量各台電腦硬體配置不同,因此不含系統以外的驅動程式,以保持乾淨
* 載入 7PE 系統時,以 DPInst 自動安裝 X:\Windows\System32 的驅動程式(含網路卡、音效卡等)
* 使用 devcon 一鍵掃描硬體變更,無須手動開啟裝置管理員
* 使用 CCleaner 刪除2900多項無效登錄機碼,並替換為清理過的 X:\Windows\System32\config\SOFTWARE
* 刪除多數重複性質的程式,以縮小體積,進而加速系統的載入時間(本修改版 PE 大小為 377MB)

※點選下方的小圖後會變成大圖,以利您可以完整檢視

回首頁 回首頁

2015/02/27

備份、還原驅動程式

Filed under: 驅動程式 — jj8113 @ 22:12:02

維護系統的朋友們除了要準備大多數的主機板、網路卡、音效卡、顯示卡等驅動程式,更重要的是,每一項電腦元件又有會多種晶片(如主機板就有 Intel、AMD 晶片組),另外還有作業系統版本、作業系統位元組的差異。像筆者光是準備基本的驅動程式,就高達了6.19GB… 而且還必須要了解每一項裝置的裝置識別碼,才不會裝錯驅動程式,無法發揮該元件的效用。

或許有朋友會說,用還原軟體就好了! 但試想,朋友的電腦都已經快掛了,現在做一個備份沒有什麼意義吧… 而且我們的Source 肯定不是搭配朋友那台電腦的硬體。也因此,如果我們可以直接用批次檔配合 Windows Driver Kit (WDK) 中的 Devcon.exe 去備份客戶機的驅動程式,等到系統還原好後,就可以直接還原驅動程式,不僅省時又省力,重點是不用傷腦筋去看是什麼晶片了!

回首頁 回首頁

2015/02/22

NoName Xpe (x86) 2015/2/26 修改版

Filed under: Windows PE — jj8113 @ 12:31:10

新年假期,除了吃吃喝喝、走春睡覺以外,還是得要保持些研究精神才行! 才剛這樣想的時候,正好就有人提到 Windows PE 的事情,筆者也因此去想到自己手上的 XPE、7PE、8PE,有些工具版本太舊,有些自己實在是用不到,而有些自己想用的工具卻沒有… 相信這是很多維護系統的朋友一個共同的經驗吧!

基於上述的理由,因此索性就來研究一下網路上現有的 Windows PE,只希望能打造一個真正適合自己的萬用 PE 救援工具。很幸運的,沒找多久就找到這款 NoName Xpe。至於為什麼要拿這版來修改呢? 這是因為經過筆者實際測試,不僅具備網路功能,舊硬體的 IDE、AHCI、RAID 三種磁碟模式均可正常辨識,非常的實用(新型硬體依舊需要使用 Winodws 7PE 或 8PE,才能夠辨識硬碟)。也因此筆者就直接使用這版的 NoName Xpe (3.1核心) 來做一個更新。

 ※製作 Windows PE 前,必須要確認您擁有作業系統的正版授權。若要包含其它應用程式,也同樣要擁有正版授權。建議您盡量以免費軟體為主,才可以把製作的 PE 分享給朋友使用。

 2015/2/26 更新日誌:

+ 加入 Internet Explorer 6,並整合 Flash Player 16.00.305 for IE (封裝成 .wim 後的大小為 13.5MB。由於 IE6 安全性薄弱,僅適用於維護電腦時上網查詢資料之用途,因此不建議造訪需要輸入帳號、密碼的網站)

* 移除 Google Chrome 40.0.2214.115 (封裝成 .wim 後的大小為 66.5MB。基於 PE 的輕巧可攜性,因此刪除)

* 修改 Internet Explorer 6 的版本編號為 IE 11,以順利播放 YouTube 影音

2015/2/22 更新日誌:

+ 加入 Acronis True Image 2014

+ 加入 Acronis Disk Director 11

+ 加入 Google Chrome 40.0.2214.115

+ 加入 AOMEI Partition Assistant 5.6.3

+ 加入 UltraISO 9.6.2.3059

+ 加入 CrystalDiskInfo 6.3.0

– 更新系統內建應用程式(小算盤、小畫家、記事本、工作管理員)為 Windows Server 2003 的版本

– 更新 7-Zip 9.38 – 更新 WinRAR 5.21

– 更新 DiskGenius 4.7.0

– 更新 Recuva 1.51.1063

– 更新 Notepad++ 6.7.4

– 更新 PDFXCview 2.5.312

– 更新 GImageX 2.11

– 更新 WinNTSetup 3.7.5

– 更新 BOOTICE 1.3.3

– 更新 Tahoma.ttf、mingliu.ttc 字型版本為 Windows 10 開發者預覽版的字型

* 載入 XPE 系統時,以 DPInst 自動完整安裝 X:\wimmod 的驅動程式(含網路卡、音效卡、顯示卡)

* 使用 devcon 一鍵掃描硬體變更,無須手動開啟裝置管理員

* 刪除舊版 snapman.sys 驅動程式及登錄機碼,以及 Acronis 登錄機碼。完美解決啟動新版 Acronis 系列產品時出現「請刪除 snapman 服務」的英文錯誤訊息。並刪除 txtsetup.sif 檔案中載入磁碟要讀取 snapman.sys 的命令

* 將 PE 的系統核心映像檔大小改為105MB,以因應未來可加入所需的元件 * 刪除多數重複性質的程式,以縮小體積,進而加速系統的載入時間(本修改版 XPE 大小為 443MB)

* 修正 PECMD.EXE 中文化(分辨率=解析度、刷新率=重新整理頻率)

※點選下方的小圖後會變成大圖,以利您可以完整檢視

 

回首頁 回首頁

2015/02/10

小米路由器mini 簡單使用心得

Filed under: 電腦和網際網路 — jj8113 @ 07:46:44

 

其實這部「小米路由器mini」筆者已經購買一個多月了,直到現在才有時間寫使用心得… 「小米路由器mini」本身支援 Wi-Fi 2.4G(802.11n)、5G(802.11ac),且又是雙天線,收訊品質很不錯。同時也可以插上 USB 隨身碟或是2.5吋行動碟變成小型的 NAS,讓我們在外面的時候可以透過手機APP或是 Windows 的應用程式來存取裡面的檔案。它不僅是一部無線基地台,也可以設為中繼模式(如果家裡太大,收訊不好的時候,中間放一台當中繼,以提升訊號品質)。更重要的是,它的價位非常具有破壞性,只賣新台幣665元。如果要說它的缺點,那就是會上傳用戶端的設定檔(包含撥接密碼等)到小米的伺服器… 唯一的解決方法就是要將路由器 root,將小米的伺服器位址改為 127.0.0.1 (本機)。但缺點就是跟一般的 Android 手機一樣,只要 root 就會失去保固,這點是非常可惜的。

為了版面的美觀及易於瀏覽,以下的圖片請您點選小圖後,會新開視窗變成大圖!

1.目前的連線狀態:

2.Wi-Fi 設定,同時支援 2.4G、5G,也可隱藏 SSID,在加密方式這邊,這邊筆者推薦選用「強加密(WPA2個人版)」,不太建議使用「混合加密」,甚至是「無加密」:

※若是您家中的無線基地台有更細部的設定,筆者推薦使用 WPA2-AES,不要選用 WPA2-TKIP。因為 AES 安全性較 TKIP 高,且傳輸速率又較快,所以完全沒有選擇 TKIP 的必要。如果您的路由器有支援 WEP,更應該將其關閉,以提升安全性:

3.PPPoE 撥接設定。如果您家是使用第四台的網路,就必須改為 DHCP 模式:

4.Wi-Fi 的存取控制,筆者這邊所設定的是僅限白名單中的 mac 位址可以連上這部基地台:

5.區域網路的 DHCP的設定:

6.綁定靜態IP位址跟mac位址,以防範區域網路中的ARP病毒或惡意攻擊:

7.如果接上 USB 隨身碟、2.5吋行動碟,就變為家用型的 NAS。但很可惜的是,外部網路無法存取路由器上的 USB 裝置(只能在路由器後方再架一台,然後轉發連接埠,或是用 DMZ)。在 PC 端可以新增網路磁碟機,變成交換檔案的一個選擇。但由於是中華民國大陸地區的產品,難保在韌體中可能會有上傳到小米伺服器的代碼。因此筆者絕不建議您存放含有帳號、密碼等個人資訊的檔案:

後記: 另外也支援 QOS(區域網路頻寬限制)、DDNS(動態網域名稱)、DMZ(提供給網際網路使用者存取的服務,如需要讓外網存取 Web、FTP Server)、VPN撥接之類的功能,以一台668元的AP來說,真的是非常的超值。筆者其實也很期待台灣的網通廠商偶爾也能發佈一兩款具有破壞性價格的設備來回饋廣大的同胞!

回首頁 回首頁

2015/02/09

Android 免 root 去廣告: Adblock Plus

Filed under: Android — jj8113 @ 10:39:28

在 Android 系統中,有非常多進階的功能都必須要取得 root 權限才能實現,就像是 Windows 會需要 Administrator 權限是一樣的。所以如果沒有取得 root 權限的話,Android 手機、平板電腦僅能說是夠用而已,並不能完全發揮自己理想中的環境。

而本篇所要介紹的是去廣告功能,這個功能通常我們會透過自訂 hosts 這個檔案來實現。而修改 hosts 又必須要 root 權限,真的是有點麻煩的一件事…

但是現在,我們只要利用 Adblock Plus,就可以免 root 去除 Wi-Fi 的廣告了(3G、4G行動網路不行,必須要 root)! 其原理就是讓 Wi-Fi 以透過代理伺服器的方式存取網路。而這邊所指的代理伺服器,就是本機上的 Adblock Plus。所以 Wi-Fi 主機指向為 127.0.0.1 (本機IP)後,所有連線就會均透過 Adblock Plus,而 Adblock Plus 本身定義了不少廣告主機的規則,因此自然就可以去除廣告了!

Adblock Plus 的設定介面,可更新去廣告規則:

只要將 Proxy (代理伺服器)設為 127.0.0.1 或是 localhost,並將連接埠設為 2020 即可:

Adblock Plus 1.2.1 英文版(僅適用於Android):

https://downloads.adblockplus.org/adblockplusandroid-1.2.1.apk

回首頁 回首頁

2015/02/06

免重灌對齊SSD 4K: AOMEI Partition Assistant

Filed under: 磁碟工具 — jj8113 @ 09:54:57

在使用 SSD 固態硬碟前,相信很多朋友都曾經聽過4KB對齊,這樣才可以最佳化 SSD 的讀取、寫入的效能。對齊的方式也是非常的簡單,我們只要利用 Windows 7 以上的作業系統去對SSD做格式化,就完成了4KB對齊,非常的簡單。

然而,像筆者本身是用 Windows 7 將SSD格式化並安裝作業系統。安裝系統完成後,使用 AS SSD Benchmark 去檢視4KB對齊,確認是完成對齊的,但用了一段時間後,4KB突然變成了未對齊… 如下圖中出現紅色的BAD:

通常4KB沒對齊不僅會影響讀寫效能,嚴重的還會影響SSD的使用壽命! 且通常要重新對齊4KB,只要格式化SSD即可。但像筆者的狀況,如果要格式化,豈不是只能重裝作業系統了嗎? 這樣真的太浪費時間了,我們還是用傲梅分區助手(英文版為 AOMEI Partition Assistant)來完成4KB對齊吧! 操作步驟請參照下圖:

重新啟動作業系統後,會自動開始對齊4KB,請點選以下小圖變大圖:

最後,我們再用 AS SSD Benchmark 檢查。確認4KB已經對齊了! 這樣就無須重新安裝作業系統囉!

傲梅分區助手專業免費版 6.2 (簡體中文):
http://www.aomeisoftware.com/download/pacn/PAInstall.zip
傲梅分區助手伺服器免費版 6.2 (簡體中文):
http://www.aomeisoftware.com/download/pacn/PAServer.zip

回首頁 回首頁

2015/01/17

自動建立 VPN 連線

Filed under: Windows 7 — jj8113 @ 16:18:43

無論是工作上的需要,或是玩線上遊戲需要當地的IP才能玩,甚至是需要跨區才能下載 APP 的時候,通常我們會利用 VPN 來完成這些需求。然而,手動建立 VPN 連線雖然不困難,但畢竟要點很多的步驟才能建立,是有點麻煩… 因此筆者參考網路上的教學,製作了一個簡單的批次檔,請參考如下影片(建議您使用480P觀看):

影片中的範例,是手動輸入 999.999.999.999 的 VPN 伺服器位址。待自動執行完成後,就已經建立了一個連線到 999.999.999.999 的 VPN 連線,非常的方便。往後只要再利用「rasdial "VPN連線名稱" "使用者名稱" "密碼"」即會自動連線至 VPN 伺服器。

最後別忘了要在防火牆中開啟 TCP 的 1723 連接埠,才不會導致撥號失敗喔!

回首頁 回首頁

簡單解決開機時出現網路連線錯誤: 623

Filed under: Windows 7 — jj8113 @ 15:15:18

當我們在使用寬頻連線或 VPN 等需要撥號才能接通的連線類型,有時候會因為已失效的 VPN Server 可能會被像筆者這樣有系統潔癖的人給手動刪除。但若先前若是有使用自動連線的命令 (rasdial -d 寬頻連線),則可能就會在每次開機時彈出「錯誤: 623」的對話方塊,如下圖:

其實我們只需要檢查以下三個地方,並刪除不需要的連線機碼,即可解決這個問題。

HKEY_CURRENT_USER\RemoteAccess\Profile
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

回首頁 回首頁

後一頁 »

在 WordPress.com 建立免費網站或網誌.