勒索軟體大規模攻擊微軟的Windows系統

在5月13日的可靠消息，根據各大國內外媒體報導，大規模的勒索軟體攻擊已破壞英格蘭醫院的運作，也感染全球數十個國家的電腦。



而微軟今天表示，它的工程師已針對該攻擊加強了檢測和保護。
 
微軟發言人在聲明中稱，“今天，我們的工程師已針對名為Ransom:Win32.WannaCrypt的新惡意軟件加強了檢測和保護。”它說，公司正與客戶合作提供額外的幫助。
 
勒索軟件是一種能夠持續阻止計算機正常運作的軟件，除非受害者交出勒索贖金。新的WanaCrypt0r 2.0勒索軟件尤其致命，因為它利用了竊取自美國國家安全局(NSA)的黑客工具。
3月，微軟成功補上了讓該名為EternalBlue的NSA工具能夠運作的安全漏洞。
 
今天，針對WanaCrypt0r勒索軟件，Windows更新了兩款安全工具——Windows Defender antivirus和Windows Security Essentials。
卡巴斯基實驗室今天發現，全球74個國家共計發生數万起WanaCryt0r攻擊。該攻擊導致英國的醫院系統拒絕病患看病，西班牙電信公司出現大面積的停工，俄羅斯內務部有1000台計算機被感染。
 
該勒索軟件所使用的EternalBlue工具是一個名為ShadowBrokers的組織所流出的NSA黑客工具，該組織自夏季以來一直在放出這種工具。 EternalBlue於4月放出，就在微軟剛剛填補了安全漏洞之後。
 
ShadowBrokers一開始曾嘗試拍賣那些工具，隨意流出了至今仍很危險的工具來證明自己擁有其所聲稱的工具。由於不滿報價和其它的貨幣化機制，該組織於1月打消了拍賣計劃。
4月，ShadowBrokers放出一攬子新的工具，稱該舉是為了抗議美國總統特朗普做出中立派決策而非極右翼決策。
 
專家們認為，及時更新電腦軟件系統對於避免遭受黑客和惡意軟件的攻擊至關重要


目前具體做法與媒體報導，可以參考以下介紹
XP也有救！WannaCry 2.0勒索軟體肆虐，微軟破例再釋Windows XP修補
WannaCry 2.0勒索蠕蟲狠襲全球，上百個國家受駭，台灣也是重災區
勒索病毒爆發 安全專家預警周一上班要小心
中職／系統當機頭一回 尚不確定為勒索病毒
病毒軟體勒索恩主公醫院 病患個資無虞



網智數位-軟體開發（軟件開發）
針對各特殊產業都可以量身定做符合貴公司的需求，別人無法克服的就是我們的挑戰
業務合作、軟體委外開發
業務窗口：allen@netqna.com
聯繫電話：0920-883-870
公司電話：02-55991310
公司地址（業務營運處）：台北市中山區錦州街 25 號 5 樓
skype： netqna
line：netqna
微信：netqna
黃先生 Allen

Read More

系統分割 - 無法刪除 使用 diskpart 指令 （軟體開發、軟件開發、程式開發）

 今天 Allen 我在整理公司機房的機器設備，也把多年專案開發的系統要做備份，順道買了一個行動硬碟 4 T的容量，但在 MAC Pro 先進行格式化後，再插入回 Windows 作業系統環境後，使用磁碟管理發現該顆硬碟最前面出現200MB的EFI磁碟分割，而磁碟管理圖形界面無法進行刪除該多餘磁碟分割，雖然才 200 M，但就覺得浪費了空間，所以忽然想到使用 DiskPart 指令，以下就是簡單的指令操作步驟教學… 

我們要如何刪除多餘的EFI磁碟分割呢?

此時選擇[開始] -> [執行], 執行"cmd"出現終端機視窗

此時輸入 diskpart 指令並按[Enter]鍵

DISKPART> list disk

磁碟###   狀態         大小        可用     Dyn  Gpt
--------      ----------   -------     -------   ---    ---
磁碟 0       連線         1000 GB   0 B
磁碟 1       沒有媒體   0 B         0 B
磁碟 2       沒有媒體   0 B         0 B
磁碟 3       連線         37 GB     37 GB   *

DISKPART> select disk 3

磁碟 3 是所選擇的磁碟。

DISKPART> list partition

磁碟分割 ###   類型                大小         位移
----------------   ----------------  -------       -------
磁碟分割 1        系統                200 MB    20 KB

DISKPART> clean

DiskPart 成功地清理了磁碟。

DISKPART> exit

最後再使用 clean 指令清除磁碟時務必確定選擇的磁碟是否正確。




網智數位-軟體開發（軟件開發）
針對各特殊產業都可以量身定做符合貴公司的需求，別人無法克服的就是我們的挑戰
業務合作、軟體委外開發
業務窗口：allen@netqna.com
聯繫電話：0920-883-870
skype： netqna
line：netqna
微信：netqna
黃先生 Allen

Read More

Windows Server 2016 七大 Hyper-V 功能 (網智數位﹣軟體開發﹣程式開發）

      雖然目前雲端技術正在不斷流行、成熟化，可是事實上仍有大量工作負載需求是企業內部必須依靠虛擬伺服器作為服務載體。

所以下面我整理了其中的各項windows server 2016 hypber-v 全新功能或者經過突破改進的特性功能：
1.分立設備配置(又稱DDA)。
使用者用戶在PC當中中接入部分PCIe設備，並将其直接交付虚拟机使用。这项性能强化机制允许各虛擬主機直接存取 PCI 設備，即绕过虚拟化堆栈。与该功能相关的两大关键性PCI设备类型包括GPU与NVMe SSD控制器。 2.主機資源保護：
常常有时候，虛擬機器之前就是會為了自身顺畅运行而拒绝彼此共享資源服務。而在這個時候有一個新功能的支持下，各虛擬機器將只能夠使用自身被分配到的資源分配額度。如果某套虚拟机被发现擅自占用大量资源，则其资源配额会进行下调以防止其影响其它虛擬機器的效能。

3.虛擬網絡適配器（Adapter）的記憶體“熱”變更： 這些功能允許大家隨意添加或者移除適配器（僅適用於Gen 2 虛擬機)，而无需进行关闭以及重启。另外，大家也可以随意对尚未启用的动态内存进行调整(同时适用于Gen 1與第2代虛擬機）。

4.嵌套虛擬化：
大家在子虛擬機器内运行Hyper-V，從而可以其作為主機伺服器來進行使用。如此一来，大家将能够在一套Hyper-V服務器之上運行的Hyper-V Server，從而進行開發、測試与教育訓練工作——不過目前還很難想象是否其可用於真的生產環境中（Online）。
生產型虛擬機檢查點：与快照功能非常類似，上代版本中的检查点能夠為虛擬機器的當前狀態保存了快照（SnapShot），從而用於開發/測試復原。不過這些“標準”的檢查點并未使用陰影複製服務(又簡稱VSS)，因為它并不適合用來作為實際生產環境下的備份(Backup)的用途。新的線上型檢查點完美整合了VSS，因此完全能夠適應線上作業環境的實際需求。 

5.PowerShell Direct： 允許管理者在遠程方式管理運行在視窗10或者在Windows Server 2016之上的虛擬機器。大家可经由VMBus利用PowerShell命令进行操控，而无需亲手对主机或者虚拟机进行网络配置或者远程管理设置。这项新功能相信会受到PowerShell脚本語法愛用者粉絲的支持。

6.虛擬TPM与屏蔽虛擬機
受信平台模組(簡稱TPM)允许大家利用微軟（Microsoft）的 BitLocker 技術，來進行加密動作，其具體方式與使用物理TPM保護實體磁碟槽一樣。屏蔽虛擬機同樣是利用虛擬TPM由BitLocker(或者其它加密工具)實現加密。
所以在這2種情況下虛擬機器能够利用TPM預防惡意有心人士對設備的不當存取訪問。


網智數位-軟體開發（軟件開發）
針對各特殊產業都可以量身定做符合貴公司的需求，別人無法克服的就是我們的挑戰
業務合作、軟體委外開發
業務窗口：allen@netqna.com
聯繫電話：0920-883-870
skype： netqna
line：netqna
微信：netqna
黃先生 Allen

Read More

微軟收購 Xamarin 了，未來透過 Visual Studio 開發 Android & IOS APP

       微軟剛​​剛收購了一家熱門初創企業 Xamarin，這家初創企業主要幫助開發者編寫應用並將開發者編寫的作品投放到任何智能手機或操作系統之中。
     
       對微軟而言，收購Xamarin 有著重要的意義，因為在最近幾年中，微軟一直努力將更多的應用引入自己的Windows Store 應用市場之中——這也是微軟大力推行Windows 10 系統的重要舉措之一。
諸如 JetBlue 和 Coca-Cola Bottling 之類的客戶都使用 Xamarin 來節省大量的時間和金錢。開發者也不需要學雜費時間來為 iPhone、Android 或其它的任何系統重新編寫相同的應用，這些應用一旦編寫完成之後，往往都具有更大的生產效率。
微軟在將更多的 iPhone 和 Android 應用引入 Windows 10 方面面臨著較大的挑戰，為了解決這些問題，微軟已經大力投資技術，以此幫助開發者更加無縫地將他們的應用引入 Windows 之中。

Xamarin 當然非常支持微軟的這些舉措，同時也能夠讓微軟支持的大量開發者更加容易地利用他們的 .​​NET 和 C# 標準編寫程序代碼，並將他們的應用引入諸如 Android 和 iPhone 等平台之中。
微軟與 Xamarin 的歷史較為久遠，但雙方之間的關係曾經也飄忽不定：雙方曾經是長期的合作夥伴，與聯合客戶合作，並幫助他們打造應用，同時也給這些應用提供支撐。但是，曾有一段時間，微軟被認為是 Xamarin 業務的秘密投資方，因而早在 2014 年就有過一段傳聞，宣稱這一併購交易即將進行。
針對這一交易，微軟雲業務主管斯科特·古斯瑞（Scott Guthrie）表示，“通過今天宣布這一收購交易，我們將進一步推動這一工作，以便讓我們世界級的開發者工具和服務更好地進行深度整合，從而為開發者帶來無縫的移動應用開發體驗。”
2015 年底，Xamarin 與甲骨文簽署了一份協議，以此將開發者引入甲骨文云業務（Oracle Cloud）之中，而甲骨文云業務與微軟的 Azure 雲平台之間存在競爭關係。 Xamarin 與甲骨文的這份協議，或許是刺激微軟最終採取措施並完全收購 Xamarin 的重要原因。
從 Xamarin 的角度來看，該公司是一個非常成功的初創型企業，宣稱在全球擁有 1.5 萬家客戶。最近，BI 還將 Xamarin 定義為秘密運行互聯網的 9 家初創型企業之一。
與此同時，微軟在吸引開發者以便為全新的 Windows 10 操作系統打造應用方面也一直存在困難。通過收購 Xamarin，微軟如今也能夠為客戶提供全新且更加便捷的方式，從而更好地為 Windows 編寫應用，並通過微軟的 Azure 雲業務來支持這些應用。總而言之，對微軟而且，這一交易是一個非常重要的舉措。
另外，Xamarin 也提供所謂的測試雲產品，這一產品能夠讓開發者查看應用在各種設備的運行表現——包括在 Android、iPhone 和 BlackBerry 等設備上。如今，所有的這些業務都將整合到微軟的業務之中，這樣或將更能夠引開發者。
對微軟而言，最終的一大目標就是打造更大規模和更具吸引力的雲產品。隨著微軟與亞馬遜都在爭著吸引更多的客戶，因此，從這個角度而言，收購 Xamarin 對微軟將起著重要作用。另外，此次交易還將對 Windows 10 的應用戰略起到巨大的支撐作用。由此看來，收購 Xamarin 的確是微軟的一個明智抉擇。
來源：goo.gl/KUWbEQ1

網智數位-軟體開發（軟件開發）
針對各特殊產業都可以量身定做符合貴公司的需求，別人無法克服的就是我們的挑戰
業務合作、軟體委外開發
業務窗口：allen@netqna.com
聯繫行動號碼：0920-883-870
黃先生 Allen

Read More

Entity Framework 實戰 - 多對多自我關聯 Many to Many , Self Referencing 模型實作 (二)

此篇文是 Entity Framework 實戰 - 多對多自我關聯 Many to Many , Self Referencing 模型實作 (一)的續篇 , 當我們把基本模型 Product Class 建立好後，我們開始實作一個繼承 DbContext 的子類別，在這邊你可以把 DbContext 當做是資料庫的層次意義角度來看待
新增一個Class 名為 ProductContext.cs

然後按【新增】按鈕，並在 ProductContext 宣示繼承 DbContext 類別，如以下程式碼

  1: using System;
  2: using System.Collections.Generic;
  3: using System.Data.Entity;
  4: using System.Linq;
  5: using System.Text;
  6: using System.Threading.Tasks;
  7: 
  8: namespace EF6_ManyToManyAndSelf
  9: {
 10:     public class ProductContext : DbContext
 11:     {
 12: 
 13:     }
 14: }

接著加入 DbSet<Product> 的宣告，用於表示 存放著 Product Table（Class）的集合清單
public DbSet<Product> Products;
然後為了完成透過 Product 本身的 Class 來完成 多對多自身關聯，需要 override OnModelCreating Method , 程式碼如下

   1:   protected override void OnModelCreating(DbModelBuilder modelBuilder)

   2:          {

   3:              base.OnModelCreating(modelBuilder);

   4:   

   5:              modelBuilder.Entity<Product>()

   6:                          .HasMany(p => p.RelatedProducts)

   7:                          .WithMany(p => p.AboveProducts)

   8:                          .Map(m =>

   9:                                    {

  10:                                        m.MapLeftKey("ProductID");

  11:                                        m.MapRightKey("RelatedProductID");

  12:                                        m.ToTable("RelatedProduct");

  13:                                    }

  14:                          );

  15:          }

到這邊基本上已經完成 EntityFramework 的宣告….

然後讓我們在前端界面使用我們實作好的 ProductContext ，來看看如何使用….程式碼如下

   1:  using System;

   2:  using System.Collections.Generic;

   3:  using System.Linq;

   4:  using System.Text;

   5:  using System.Threading.Tasks;

   6:   

   7:  namespace EF6_ManyToManyAndSelf

   8:  {

   9:      class Program

  10:      {

  11:          static void Main(string[] args)

  12:          {

  13:              using (var context = new ProductContext())

  14:              {

  15:                  var product1 = new Product { ProductName = "美容業零售管理系統", Price = 59888M };

  16:                  var product2 = new Product { ProductName = "窗簾業ERP系統", Price = 3500000M };

  17:                  var product3 = new Product { ProductName = "玩具製造業ERP系統", Price = 6700000M };

  18:                  product2.RelatedProducts.Add(product3);

  19:                  product1.RelatedProducts.Add(product2);

  20:                  context.Products.Add(product1);

  21:                  context.SaveChanges();

  22:              }

  23:              using (var context = new ProductContext())

  24:              {

  25:                  var product2 = context.Products.First(p => p.ProductName == "窗簾業ERP系統");

  26:                  Console.WriteLine("Product: {0} ... {1}", product2.ProductName, product2.Price.ToString("C"));

  27:                  Console.WriteLine("Related Products");

  28:                  foreach (var prod in product2.RelatedProducts)

  29:                  {

  30:                      Console.WriteLine("\t{0} ... {1}", prod.ProductName, prod.Price.ToString("C"));

  31:                  }

  32:                  foreach (var prod in product2.AboveProducts)

  33:                  {

  34:                      Console.WriteLine("\t{0} ... {1}", prod.ProductName, prod.Price.ToString("C"));

  35:                  }

  36:              }

  37:   

  38:              Console.ReadKey();

  39:          }

  40:      }

  41:  }

執行結果為

網智數位-軟體開發（軟件開發）

Read More

7項措施因應弱點CVE-2014-1776，IE瀏覽器零時差攻擊

微軟瀏覽器 Internet Explorer 被發現存在零時差弱點，在存取已刪除或錯置的記憶體內容時，可破壞(或修改)記憶體內容以置入攻擊者之惡意程式碼。攻擊者可利用此弱點製作惡意網頁，當使用者使用存有弱點的瀏覽器瀏覽該惡意網頁，會使攻擊者有可能以使用者的權限執行任意程式碼。目前已經發現駭客使用此一弱點發動網路攻擊的案例。提醒Internet Explorer瀏覽器使用者，應多加留意透過不明信件的連結，與瀏覽不明網站被攻擊的可能性。 

攻擊手法

那麼，什麼是「Zero Day」呢？它是一個遠端程式碼執行漏洞。白話就是：攻擊得手後，駭客能讓目標電腦執行（特定）軟體。Microsoft 的警告描述：「該漏洞會使記憶體崩潰，並讓攻擊者能在使用者當前使用的 IE 瀏覽器中執行任意程式碼。」

該漏洞源自 Flash——透過一些著名的技術手段（技術細節請參看此處），再進一步利用而侵入電腦記憶體。

在某些情境下，攻擊者會建立一個特定網站來幫助「Zero Day」入侵，該網站會誘使 IE 使用者點擊該網站的連結。因此，如果你使用 IE 瀏覽器，在收到某些附帶網頁連結的可疑的電子郵件時，就要加倍小心了。

影響範圍：

Internet Explorer 6、 7、 8 、 9、 10 、 11 。

建議措施：

微軟周四(5/1)發佈重大系統安全更新KB2964358，可修補於IE 6~IE11版本發生的零時差漏洞，而對已經結束技術支援的Windows XP，微軟也釋出善意表示，基於該漏洞離XP終止支援時間點極為接近，微軟也決定破例額外為XP發布更新修復。不過微軟也提醒還在使用XP的用戶，應盡快移轉至新版Windows 7或 8.1，並將瀏覽器升級至最新IE 11版本。

此外微軟也公告，此更新將於美國當地時間5月1日早上10點釋出，用戶可透過自動更新安裝，但少部份採用手動更新的用戶，微軟也強烈建議，在安全更新發布後盡可能加快手動更新。

如企業內部無法即時更新建議使用以下措施，可以減緩被此一弱點攻擊的可能性：

1. 安裝與使用微軟的Enhanced Mitigation Experience Toolkit(EMET) 4.1 以上的版本，舊版本的EMET無法有效阻擋此一弱點的攻擊。
2. 將IE的安全性等級設定為"高"，進而限制ActiveX控制項與Active Scripting指令碼的執行。
3. 啟用IE受保護模式(IE 10以上內建)
   開啟IE，點選"工具"(或按alt+x)→"網際網路選項"→"安全性"，勾選"啟用受保護模式"來減緩弱點的攻擊風險。
4. 關閉Adobe Flash plugin
   開啟IE，點選"工具"(或按alt+x)→"管理附加元件"→"Shockwave Flash Object"→"停用"→"關閉"。
5. 關閉Active Scripting
   開啟IE，點選"工具"(或按alt+x)→"網際網路選項"→"安全性"→"網際網路"、"近端內部網路"、"信任的網站"、"限制的網站"→"自訂等級"→"Active Scripting"選擇"提示"或"停用"→"確定"。
6. 取消VGX.DLL的註冊
   點選"開始"，執行指令 "regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"，取消VGX.DLL的註冊。在官方修補程式釋出並安裝後，執行指令 "regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"，恢復VGX.DLL的註冊。
7. 勿任意點選e-mail中的網址。

延伸閱讀：

[弱點通告]IE 存在允許遠端執行程式碼的Zero-Day 弱點 CVE-2014-1776 ，請評估暫時改用其他瀏覽器！

[資訊安全]如何有效防範社交工程Social Engineering

Read More

[弱點通告]IE 存在允許遠端執行程式碼的Zero-Day 弱點 CVE-2014-1776 ，請評估暫時改用其他瀏覽器！

說明

弱點：CVE-2014-1776 Microsoft Internet Explorer 含有允許遠端執行程式碼的Zero-Day 弱點，惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後，便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。目前已知會受到影響的版本為Internet Explorer 6~11 版本，網智數位建議請使用者評估暫時改用其他瀏覽器。

微軟官方對此漏洞的解釋 

該漏洞是一個遠端執行代碼的漏洞。該漏洞發生在在Internet Explorer讀取已被刪除或沒有被正確地分配在記憶體中的物件時。這漏洞可能是利用 Memory corruption的方式讓攻擊者可能可以對目前使用Internet Explorer的使用者電腦執行任意代碼。惡意人士可利用此弱點使用水坑型攻擊(Watering Hole Attack) 手法，針對目標瀏覽器使用群(Internet Explorer 6 ~ 11)可能會瀏覽的網站植入Flash 網頁，當目標群以Internet Explorer 瀏覽器瀏覽時則可攻擊成功。該攻擊利用Internet Explorer 無法處理使用釋放後記憶體錯誤(use-after-free) 的漏洞使惡意人士取得使用者權限並得以遠端執行程式碼。

微軟官方目前還在研究調查此漏洞，並建議使用者開啟防火牆和安裝安全軟體，也會在之後推出新的安全性更新，但須注意的是!

Windows XP 並不會在此次更新內，使用 XP 的用戶應該考慮升級您的作業系統或是改用Google Chrome或火狐Firefox瀏覽器。

影響範圍

除了 Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012 R2 外的所有 Windows 系統上的 IE6~IE11 全系列中獎 !

建議措施

安裝 Enhanced Mitigation Experience Toolkit 4.1 (EMET) 

安裝 Enhanced Mitigation Experience Toolkit 4.1 (EMET) 利用額外的保護來防堵此漏洞攻擊，並請關閉Flash plugin，以避免遭受此弱點攻擊成功。

什麼是 Enhanced Mitigation Experience Toolkit？
Enhanced Mitigation Experience Toolkit (EMET) 是一種公用程式，可協助預防軟體中的弱點被利用。EMET 使用安全防護技術達成此目標。這些技術就像是特殊的防護與障礙，有心人士必須通過這些防護與障礙才能利用軟體弱點。這些安全防護技術不保證弱點不被利用。然而，運用這些技術能讓漏洞更難以遭受入侵。
EMET 4.0 及較新版本也提供可設定的 SSL/TLS 憑證釘選功能，稱為憑證信任。此功能的用途為偵測利用公開金鑰基礎結構 (PKI) 的攔截式攻擊。

注意! EMET 3.0 並不能防範此漏洞

更改瀏覽器

使用者若瀏覽企業內部網站則仍可使用IE 瀏覽器，連至外部網站時建議暫時改用其他瀏覽器，以避免遭受惡意攻擊。

提高警覺

請勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案，以降低受駭風險。

Read More

[教學]如何分割及壓縮檔案

因為我們的Mail server每天的負載都還滿大的而且公司頻寬又很小，常常只要幾個人同時寄出10mb 左右的檔案，全省就會開始跟我們MIS 反應網路速度很慢了，所以為了讓公司有更順暢的網路可以使用，也保護我們的Mail Server負載不要太大，我就有在mail server限制寄出的檔案上限為5mb。

但執行沒多久就有很多同事會反應檔案過大Mail 寄不出去的問題，不過發現通常寄不出去的檔案都是Office Word或PowerPoint ，因為Word或PowerPoint 裡常常會夾帶大量的圖片，只要圖片沒有經過壓縮，那檔案會變得非常的大，就一定會寄不出去，所以今天要教大家怎麼利用PowerPoint壓縮圖片，在這邊我先拿個ppt 檔案來做測試，檔案大小大約10mb

打開檔案後，在檔案裡面找圖(背景圖片不行)選到的圖旁邊會有虛框，點兩下選壓縮圖片

會出現壓縮圖片的視窗，切記只套用到選取的圖片不要勾選，然後按選項

會出現壓縮設定請將目標輸出選擇電子郵件，按確定兩次他就會開始壓縮了。

壓縮後按儲存，我們在來看一下檔案的大小，變成5.46mb 小了快一半的空間。

但是這樣可能還是寄不出去，這時候就需要用到WinRAR這個壓縮工具了，之前的PowerPoint 是針對圖片來做壓縮，那WinRAR 就是針對整個檔案來作壓縮了。壓縮方式很簡單只要對著要壓縮的檔案按右鍵選『加到980504-970123三洋暖風機.rar'就可以了。

最後在來看一下壓縮過後的檔案大小吧，只剩下4.52MB 了，這樣就可以順利寄出去給客戶了。

以這個檔案為例，我們可以發現壓縮過後的比率可以到達5成以上，但並不是每個檔案都是這樣，是要看你Word 或PowerPoint 檔案裡面圖片的多寡來計算的喔。

另外一個方法，如果要寄的檔案不是圖檔，而是應用程式等軟體，那上面的方法就沒有用了，所以必須使用WinRAR 來做切割，下面使用FlickrUploadr-3.0.5-hk.exe 這個軟體來做測試檔案大小大約12mb，首先在該檔案按右鍵~加到壓縮檔

會出現壓縮檔名及參數，在左下角的分割檔，位元組裡打4500000 (約4.3mb)後按確定

就出現下面三個檔案了

這樣就可以把這三個檔案分別寄出，只要把這三個檔案給下載下來再將他解壓縮就可以了。

Read More

如何使用AD派送來移除惱人的AskToolBar

前言

我想應該有很多人都有遇過，安裝一個軟體時，不仔細看安裝的內容與路徑，就一直按下一步到安裝結束，後來才發現到這些軟體預設會安裝一堆垃圾程式到你的電腦，這些垃圾軟體可能會綁架你的首頁、改掉搜尋引擎、跳出一堆廣告、或者根本用不到的工具列，嚴重的甚至會安裝間諜程式(Spyware)到你電腦裡，這些軟體安裝後不但難以移除，更是對資訊安全造成嚴重威脅。

前一陣子就不少使用者跟Chris反應，因為安裝了某個軟體而不小安裝到Ask 工具列(Ask Tool Bar)，癥狀就如同上面說的會綁架使用者的首頁為 Ask.com外，其實還會增加網路瀏覽器載入的時間以及記憶體的耗用，處理一台電腦就算了，但如果是多台電腦該怎麼辦呢？

今天就來做個簡單的教學，如何使用AD派送來移除AskToolBar。

目標

移除Ask 工具列(AskToolBar)，並將被綁架的首頁改回

AD軟體派送方式

電腦啟動指令碼

開啟群組原則管理->選擇群組原則物件(範例為Default Domain Policy)->電腦設定->原則->Windows設定->指令碼-(啟動/關機)->啟動。

選擇顯示檔案

新增一個批次檔(範例為Ask.bat)

語法：

@echo off

reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t reg_sz /d http://www.google.com.tw /f

reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t reg_sz /d http://www.google.com.tw /f

wmic product where "name='Ask Toolbar'" call uninstall

(請自行修改紅字部分)

選擇新增->瀏覽->Ask.bat->確定->確定

使用者登入指令碼

使用者登入指令碼是看使用者的權限可否移除，所以一般使用者沒有權限移除軟體，必須利用runsas 才可以進行移除，因密碼是明文寫在批次檔裡安全性較差故請謹慎使用。

為了怕使用者直接開啟該.vbs偷窺密碼，可以至微軟官網下載 script encoder 將其加密為.vbe
http://www.microsoft.com/downloads/details.aspx?FamilyId=E7877F67-C447-4873-B1B0-21F0626A6329&displaylang=en 

開啟群組原則管理->選擇群組原則物件(範例為Default Domain Policy)->使用者設定->原則->Windows設定->指令碼-(登入/登出)->登入。

選擇顯示檔案~新增一個vbs檔案(範例為RemoveAskToolBar_Step1.vbs)

語法：

set WshShell = CreateObject("WScript.Shell")

WshShell.Run "runas /profile /env /user:mct\administrator ""C:\test\Ask.bat"""

WScript.Sleep 1000

WshShell.Sendkeys "password"

WshShell.Sendkeys "{ENTER}"

(請自行修改紅字部分)

聰明的你應該有發現，使用這種方便大量移除的方法，只要稍微改一下Script就可以刪除一些違反公司政策的軟體嘍。

Read More

透過「電源配置」簡單設定就能節能減碳救地球!

2010年開始新聞就不斷的報出世界各地所發生的天災，而且天災的頻率是非常密集的，我想這應該是全球暖化造成世界各地天災不斷，最近發現不管是網站、部落格還是Email轉寄，都有在發佈響應環保的活動，前一陣子透過Email的轉寄，就有看到一篇還不錯的文章【電腦月省420元電費 交大撇步得獎】。

要讓電腦月省420元電費，其實設定上很簡單，主要是透過Windows XP內建的「電源配置」就可以達成，首先，進入電腦系統裡的【控制台】再進入裡面的【電源選項】最後進入【電源配置】將【關閉監視器】的時間設定成5分鐘，接著將【系統待命】的時間設定 成10分鐘，再將【關閉硬碟】的時間設定成15分鐘，最後再將【系統休眠】的時間設定成20分鐘，即大功告成。電腦閒置20分鐘，自動進入休眠狀態，省電 97.5％，而以交大學生的算法，主機加上螢幕300瓦耗電，1天16小時計算，1個月一台電腦可省140度電，平均1個月可省下420元電費嘍。

但每個人的使用習慣及開電腦的時數都不一樣，所以這420元也只是一個參考值而已，不過最重要的是透過簡單設定就能節能減碳「愛地球」和樂而不為呢? 如果每個人都能節省一點，相信加起來的力量是驚人的。

可是在我們公司裡，因為權限的關係，只有Administrator可以修改「電源配置」的選項，一般user不能改，而「電源配置」又是跟著使用者設定走，就算不是跟著使用者設定，我們電腦數大約也在150台左右，如果要一台一台設定，應該會設定到死掉吧XD，所以就只能從群組原則(GPO)下手首先先建立一個GPO在【電腦設定】【Windows設定】【登錄】右鍵(新增機碼)《將權限開給USER》

1. MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ControlsFolder\PowerCfg (電源管理設定為everyone可修改)
2. MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power(電源管理設定為everyone可修改)
3. USERS\.DEFAULT\Control Panel\PowerCfg(電源管理設定為everyone可修改)

再來要在GPO裡修改一隻程式的權限（如下圖）

在【電腦設定】【Windows設定】【檔案系統】右鍵(新增檔案)《將權限開給USER》

1. %SystemRoot%\system32\powercfg.cpl (電源管理設定為everyone可修改)
2. %SystemRoot%\system32\powercfg.exe (電源管理設定為everyone可修改)

接著，設定慢速網路登入，確保USER登入後能套用原則

在【電腦設定】【系統管理範本】【系統】【群組原則】《啟用群組原則低速連結偵測》

在【電腦設定】【系統管理範本】【系統】【登入】

《啟用在電腦啟動及登入時要等待網路啟動》

以上動作，已經可以讓一般沒權限的USER，開機登入後有電源配置的修改權限，接下來就是寫一個讓使用者在開機的時候自動將設定給套入的批次檔。

開啟記事本將下面文字複製貼上並另存新檔，檔名為hibernate.bat(如下圖)

1. (設定為正在使用中模式)
   powercfg /setactive 「家用/辦公室桌上型"
2. (將此模式"關閉監視器時間"設定為5分鐘)
   powercfg /change 「家用/辦公室桌上型" /monitor-timeout-ac 5
3. (將此模式"關閉硬碟"關閉)
   powercfg /change 「家用/辦公室桌上型" /disk-timeout-ac 0
4. (將此模式"待命時間"設定為10分鐘)
   powercfg /change 「家用/辦公室桌上型" /standby-timeout-ac 10
5. (將此模式"結束待命後需輸入密碼設定off on為需要輸入")
   powercfg /globalpowerflag off /option:resumepassword
6. (將休眠功能on off為關閉)
   powercfg /hibernate on
7. (將此模式"休眠時間"設定為0分鐘）
   powercfg /change 「家用/辦公室桌上型" /hibernate-timeout-ac 0

檔案存檔後在到GPO的【使用者設定】【Windows設定】【指令碼】【登入】點兩下

點選【顯示檔案】將剛剛存檔的批次檔hibernate.bat給複製進去

在按【新增】【瀏覽】選hibernate.bat

這樣就大功告成了

最後整理了一下Windows 中休眠、關機、待命和登出的差別給大家參考

休眠

休眠只是將記憶體的資料先儲存到硬碟裡，像是作業系統的驅動程式、週邊、程式執行狀態等，然後將硬碟讀寫頭歸位，螢幕輸出關閉，進入休眠模式，降低整台電腦的耗電量，下一次喚醒系統時，系統只要從硬碟將儲存的資料還原到記憶體上，即可正常繼續使用，而不像作業系統開機時要載入驅動程式等其他的程式，所以會快很多。長久使用，多少會傷到硬碟.比較常碰到的問題是電腦一休眠就變成睡電腦…一睡不起…最後只能整台電腦重開=_="

待命

待命模式會切斷目前未使用的硬體元件的供電，降低電腦耗電量。雖然待命模式可以切斷對周邊裝置、螢幕甚至硬碟的供電，但會持續對電腦記憶體供電，這樣您的工作就不會遺失。

關機

作業系統會關閉所有在執行的程式跟資料夾，並且儲存這次開機所做的所有設定之後，自動關閉電腦。

以上教學雖然可以節省不少電力，但畢竟休眠或待命電腦都是開機的狀態，或多或少都會吃些電力，而為了避免下班時間同仁沒有將電腦關閉，所以另外這邊也順便貼出Windows自動關機排程程式。

@echo off

echo shutdown.exe -s -f -t 120 -c "電腦即將在 2 分鐘後自動關機，若想取消關機請執行 shutdown -a" >%windir%\system32\shutdown.bat

Wmic OS Get Caption|Find /i "Windows XP">nul&&set winVer=XP

Wmic OS Get Caption|Find /i "Windows 7">nul&&set winVer=Win7

if %winVer% == XP at 22:00 /every:日,一,二,三,四,五,六 "%windir%\system32\shutdown.bat"

if %winVer% == Win7 at 22:00 /every:M,T,W,Th,F,S,Su "%windir%\system32\shutdown.bat"

echo.

echo 已將『定時自動關機』加入排程，每天的 23:00 將會自動關機。

echo 詳細內容請參考 [控制台] 中的 [排定的工作]

echo.

echo

echo

echo.

echo.

pause

登出

是一種帳戶控管的概念。在一台電腦內，建立一或多個使用者帳戶，每個帳戶都能保有自己的設定(ex：桌面圖片、記憶密碼..等)。當要換人使用時，"登出"就可以把目前自己設定的帳戶關閉，讓其它人登入自己的帳戶以自己的設定使用電腦。

Read More

[資訊安全]如何解決麻煩的161816.com ARP Spoofing

當網域中有一台電腦中了 161816 病毒之後，所有同網域中的電腦都會受到影響。此病毒為 ARP 病毒，會發出 ARP 封包「欺騙」網域中其他正常的電腦，說它自己就是 gateway。所有封包流量都透過這台gateway的話，駭客就可利封包擷取工具抓取機敏資料。

先介紹一下何謂ARP〈Address Resolution Protocol〉

ARP是負責將IP位址轉換成Mac位址的一種通訊協定，當某一台電腦要傳送資料到某個IP位址時，會先傳送ARP封包詢問網路上哪台電腦的MAC Address對應到這個IP位址，當目的端的電腦接收到這個ARP封包之後便會回應給來源電腦進行資料傳送。

若要查看本機的ARP Cache，可在命令提示字元中執行ARP -a。

那什麼是ARP攻擊?〈ARP Poisoning、ARP Spoofing〉

發送一個假的ARP封包竄改ARP Cache使得資料無法正確傳輸到目的地，造成網路無法連結，便稱作ARP攻擊。由於一般的ARP Cache是根據經過的ARP封包不斷的變更本身的ARP列表，假設接收到的ARP封包所提供的資料是偽造的，就會讓資料無法傳輸到實際的目的地。甚至可能因為資料導向某特定電腦，駭客可利用病毒竊取封包資料或修改封包內容。

假設Host B中了ARP病毒，它發送一個假的ARP封包給Switch，告訴Swich說192.168.1.1對應的Mac位址是Host B的Mac Address，原本192.168.1.1對應的Mac Address是Router，這時候就會被修改成錯誤的Mac位址。

當Host A要發送HTTP request到192.168.1.1時，經過Swich的時候查看ARP Cache發現192.168.1.1對應到的是Host B的Mac Address，此時資料就會傳送給Host B，而不會傳送到Router，所以Host A就可能無法連上網路。

中161816.com ARP病毒的特徵:

打開網頁時首頁自動連接 hxxp://www.161816.com/www.htm 或 hxxp://www.112161.com/www.htm網頁，然後IE就像死當了一樣，而且一會兒就彈出「虛擬記憶體太低」的訊息，導致系統過慢最後當機。

如何找出感染ARP病毒的電腦

使用arp -a的指令

上圖的ARP Cache有三個IP均指向同一個Mac Address，表示這個Mac Address實際對應的電腦可能感染了ARP病毒。

清除方法1:

這是 Windows 系統的一個很嚴重的 bug，微軟也出了修補程式。

1.首先在"安全模式下"刪除IE屬性的 [Cookie] 與 [Temporary Internet Files] 和 [清除歷史記錄]

2.更新微軟的修補程式.

3.更新完畢請重新開機.

Microsoft 安全性公告 MS06-014:

http://www.microsoft.com/taiwan/technet/security/bulletin/ms06-014.mspx

Microsoft 安全性公告 MS07-017:

http://www.microsoft.com/taiwan/technet/security/Bulletin/ms07-017.mspx

PS:找到與你 Windows 作業系統相對的版本下載修補程式即可.

清除方法2:

新型ARP變種病毒 161816 & 112161 清除程式下載位置

http://www.hatea.com.tw/tech/files/ARPVirus_Clear.zip

下載完成,解壓縮檔案後直接執行[ARPVirus_Clear.exe],執行完畢請馬上重新開機,病毒即清除完成…^^

預防方法:

ARP變種病毒可能連接的網頁如下，請利用防火牆封鎖:

hxxp://www.161816.com

hxxp://161816.com

hxxp://www.121161.com

hxxp://web.123563.com

hxxp://www.123563.com

hxxp://www.199008.com

hxxp://199008.com

hxxp://www.851733.cn

hxxp://851733.cn

hxxp://ora.3168a.com

hxxp://www.220033.cn

hxxp://220033.cn

hxxp://sdo.90908080.com

hxxp://movie.yl0708.cn

hxxp://www.9533.com

hxxp://tb.9533.com

hxxp://www.qqadd.com

hxxp://qqadd.com

hxxp://Www.Jh45.Com

hxxp://Jh45.Com

hxxp://www.11xp.com

hxxp://11xp.com

hxxp://www.linkad.cn

hxxp://linkad.cn

hxxp://aaa.369678.cn

hxxp://www.nb46.com

hxxp://nb46.com

hxxp://www.8749.com

hxxp://8749.com

hxxp://www.7255.com

hxxp://7255.com

hxxp://www.4318.com

hxxp://4318.com

Read More

[資訊安全]開啟Windows稽核，監控檔案的動作

建立稽核原則是資訊安全中非常重要的一環。監視物件的建立或修改可方便您追蹤潛在的安全性問題、確保使用者的責任，以及提供安全性漏洞事件的證據。

如果公司電腦上沒有設定稽核，或者稽核設定的門檻太低，在安全性事件發生後，就可能證據不足或根本無法提供證據以進行網路鑑識分析。反過來說，如果啟用太多稽核，那麼安全性記錄檔將會塞滿無意義的項目。所以公司中的所有電腦都應該使用符合情理的稽核原則，讓合法使用者為其動作負責，對於未經授權的活動也可加以偵測和追蹤。今天會針對如何設定稽核，以及如何避免記錄檔過大進行教學。

首先，我們要開始稽核原則：

1. 由左下角的「開始」→「程式集」→「系統管理工具」，開啟「本機安全性原則」或「預設網域控制站安全性設定」。
2. 雙擊「Windows 設定」，依序展開「安全性設定」→「本機原則」→「稽核原則」。
3. 於右側欄雙擊「稽核物件存取」。
   
   
4. 勾選「安全性原則設定」標籤中的「成功」。
   
   

經過以上的設定，這台電腦 (伺服器) 就已經有了基本的物件存取稽核的能力，接下來，我們再替需要監視的資料夾開啟稽核功能！

1. 於計劃監視的資料夾上按右鍵，選擇「內容」。
2. 切換至「安全性」標籤，點按「進階」按鈕。
   
   
3. 切換至「」標籤，點按「新增」按鈕。
   
   
4. 選擇欲稽核的使用者或群組後，勾選想要稽核的項目可以選擇讀取、建立、寫入、刪除，這邊的範例「刪除子資料夾及檔案」和「刪除」，並勾選「成功」或「失敗」時記錄。
   
   

由這一刻起，這個資料夾就會受到稽核監視，被稽核的使用者 (群組) 若刪除資料夾或檔案時，就會被記錄在「事件」中：

1. 開啟「電腦管理」，切換至「系統工具」→「事件檢視器」→「安全性」。
   
   
2. 點選相關的事件，就可以看到以下內容。
   
   

如果駭客新增、修改、刪除重要目錄檔案時，我們就可以由事件中去查看，到底是誰幹的好事了！

附帶一提的！可以想像公用存取的資料夾若是位在伺服器上，每天就可能有上百筆關於檔案存取的安全性事件記錄！所以，記得一定要去設定「記錄檔大小」的限制！不然，可能會一路澎脹到佔滿一整個磁碟！

1. 開啟「電腦管理」，切換至「系統工具」→「事件檢視器」。
2. 於左側的「安全性」上，按滑鼠右鍵，選擇「內容」。
   
   

Read More