【系統管理】Windows內建硬碟延伸工具Diskpart，不必在安裝Partition Magic

很多人或許不知道Windows其實有一個很棒的內建磁碟管理工具叫做Diskpart。

何謂Diskpart

DiskPart 是 Windows Vista、Windows® XP 及 Windows Server 2003® 系列中的文字模式命令直譯器。此工具可讓您使用命令提示字元的指令檔或直接輸入來管理物件 (磁碟、磁碟分割或磁碟區)。

如果主機硬碟需要做切割或延伸，不用在透過第三方的軟體來達成了，Diskpart不僅可以線上延伸不需要重新開機，也不會動到其他磁碟裡的資料非常安全，而且還可以一次管理基本磁碟跟動態磁碟， 所以今天就來介紹怎麼使用Diskpart來延伸您的磁碟空間，但使用這個方法前提必須那顆硬碟後面要有多餘的空間才可以延伸喔。

以下為測試環境給大家參考

首先在Windows的【開始】【執行】裡面打【cmd】 進入命令提示自元後在打上diskpart

如果不知道要下甚麼指令可以先打個? 然後按Enter 看看裡面有甚麼指令

這邊我們要先要列出所有磁碟才能選擇要延伸哪一顆硬碟所以打list disk

這樣就列出你目前電腦裡面所有的磁碟接下來選擇要延伸的磁碟，

因為我要延伸第二顆硬碟所以要選擇磁碟1指令為 select disk 1

選完磁碟後接著要選擇要延伸的分割區(Partition)指令為 list partition

因為要延伸第一個分割區所以指令為 select partition 1

終於把所有該選的都選完了，接下來就輕鬆了只要再輸入extend

在看到DiskPart 成功地延伸了磁碟區 的訊息就大功告成了。

你會發現原本

變成

最後如果各位要管理磁碟機，千萬不要只會使用圖形介面來管理，因為圖形介面固然方便但圖形介面能做得到的Diskpart可以做得到，Diskpart能做得到的圖形介面不一定可以做到喔，就像今天這個狀況。還有延伸磁碟也有其他不同的方法就要看大家怎麼去應用實際的狀況嚕。

Read More

[系統管理]Windows Update 錯誤訊息80072EE2

因公司三台Windows主機原本是從Windows Update上下載更新，但最近更改了內部WSUS後就出現80072EE2的錯誤訊息，如下圖

猜測可能原本在微軟的Windows Update上看到的Patch更新，但尚未下載到本機端，就改成內部的WSUS Server，而內部的WSUS Server並沒有這隻Patch，所以導致更新失敗。

解決方式如下：

1. Stop BITS(Background Intelligent Transfer Service) 及 wuauserv(Windows Update)
   
   
   
   
   
2. Remove OR Rename Software Distr (C:\Windows\SoftwareDistribution)
3. Remove SUS ID
   
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
   

   

   
   
4. Flush DNS/Register
5. Start BITS(Background Intelligent Transfer Service) 及 wuauserv(Windows Update)
6. wuauclt /resetauthorization /detectnow

批次檔

@echo off 
Echo Save the batch file "AU_Clean_SID.cmd". This batch file will do the following: 
Echo 1.    Stops the wuauserv service 
Echo 2.    Deletes the AccountDomainSid registry key (if it exists) 
Echo 3.    Deletes the PingID registry key (if it exists) 
Echo 4.    Deletes the SusClientId registry key (if it exists) 
Echo 5.    Restarts the wuauserv service 
Echo 6.    Resets the Authorization Cookie 
Pause 
@echo on 
net stop wuauserv 
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f 
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f 
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
net start wuauserv 
wuauclt /resetauthorization /detectnow
Pause 

Read More

讓分散式檔案系統(DFS)通過防火牆設定

分散式檔案系統（DFS, Distributed File System）是用來集中管理分散於網路各處的共用資料夾，可以讓使用者覺得分散在多台伺服器上的檔案，就好像存放在網路上的同一個位置。使用者不必要知道欲存取檔案的實際位置，或在網路上的芳鄰中逐一尋找各伺服器之共用資料夾，就可以有效率的存取分享資料。

　

簡單地說，DFS 將網路上共用資料夾重新組織，構成一個新的樹狀邏輯架構（共用資料夾的實體位置未改變）。

但DFS Replication在做複製時，是採RPC的動態Port的方式，所以如果兩台Server 都有開啟或需要經過防火牆的狀況下，會出現無法複製的問題。可以在Server的事件檢視器裡面找到下面的錯誤訊息(錯誤:1753 終點對應表中無更多可用的終點)事件ID:5002。

我們可以經由 dfsrdiag.exe 這支程式，來讓DFS Replication使用固定的靜態Port。在DC裡開啟「命令提示字元」，下達

C:\> dfsrdiag staticRPC /port:6666 /Member:DC1

C:\> dfsrdiag staticRPC /port:6666 /Member:Server1

讓DC1及Server1都使用固定的TCP Port 6666。您可以使用下列指令來觀察

C:\>dfsrdiag DumpMachineCfg

有需要時，可以到Administrative Tools(管理工具)中的Services(服務)，找到DFS Replication，把它重新啟動一次。然後在DC1放一個檔案到 C:\office\ 中，再到Server1使用封包捕捉程式捉取封包來觀察，會發現整個複製行為，會使用TCP port 6666來進行。

如此一來，您便可以在防火牆上，設定允許封包通過TCP port 6666即可。

Read More

[資訊安全]MBSA 遠端掃描

之前的文章：Microsoft Baseline Security Analyzer(MBSA)有介紹到如何掃描線上(online)與離線(offline)本機電腦的安全性狀態，而今天會介紹如何使用MBSA來掃描遠端電腦，這樣的好處是只要有一台主機安裝MBSA軟體，就可以掃描整個環境中的電腦，不需要一台一台的安裝MBSA軟體來檢測。

不過在實際環境中遠端掃描所遇到的問題會比本機掃瞄所遇到的問題還要多，這邊Chris將遇到的問題紀錄如下：

1.防火牆未開通

可以輸入FQDN或IP address

掃描結果竟然出現 Result: Cannot contact Windows Update Agent on target computer, possibly due to firewall settings.，如紅框部分，意思是MBSA無法連接到Windows Update Agent，可能是防火牆設定的問題。查了一下發現除了要開啟135,137,138,445 Port之外還要開啟1024-65535的Port 才可以讓MBSA連到目標主機的Windows Update Agent，這邊大家會發現這樣幾乎把所有的Port全都開放了，有資安概念的朋友應該會覺得這樣開有一定的危險性，所以在設定時切記要綁定來源IP。

 

開啟掃描標地防火牆Policy

控制台->防火牆->進階設定->輸入規則->新增規則

填入135,137,138,445,1024-65535

為了達到更嚴謹的資安需求，剛剛所開的Port只允許MBSA主機做使用，故請將紅框的部分填入MBSA主機IP。

在掃描一次後剛剛的錯誤訊息就不存在了。

2.權限不足

如果您的環境有Active Directory，比較不會有這類的問題。但如果您要掃描的是獨立Workgroup主機，就有可能會出現以下的錯誤訊息。

錯誤訊息: Logon failure: unknown user name or bad password.

解決方法：在目標主機裡新增一筆Administrator帳號，這個帳號密碼要與MBSA登入的帳號密碼一樣。

目前Chris遇到最多的問題就是這兩個，不過每家公司的環境都不同，如果有遇到其他不同的問題，歡迎留言討論嘍。

Read More

[資訊安全]Windows AD提升安全性-網路芳鄰及遠端存取限制

駭客一但入侵單位內某一部主機後，通常就會利用Windows網路芳鄰特性入侵其它主機，而常用的帳號不外乎是本機管理員帳號或網域管理員帳號，因為這些帳號權限最大，因此適當限制管理員帳號活動之範圍為抑制內網感染之必要手段。

"Administrators"群組成員已經包含了所有管理員帳號，如"Administrator"、"Domain Admins"與"Enterprise Admins"，因此只要能限制"Administrators"群組就等同於限制所有管理員帳號。

群組原則修改

可經由群組原則對單位內主機派送規則，該範例以AD為例，若要套用於使用者電腦請選擇對應之群組。

Active Directory使用者及電腦 -> Domain Controllers-> 滑鼠右鍵 -> 內容。

群組原則-> Default Domain Controllers Policy -> 編輯。

電腦設定-> Windows設定 -> 安全性設定 ->  本機原則 -> 使用者權利指派。

將Administrators加入拒絕從網路存取這台電腦中。

這裡說明一下這個原則只要Administrators這個群組，是透過網路存取的方式，一律會被這台AD Server給拒絕掉，包含UNC存取、驗證或將新的機器加入網域。

所以Windows AD 系統管理者應該具備如同管理 Linux 主機時同樣的作業系統安全性觀念，也就是要先建立一般使用者帳號來登入系統進行操作，待需要執行的動作需要提升至管理者權限時，才著手轉換將權限提升。

於命令提示字元CMD中執行兩次gpupdate /force使得修改之群組原則馬上生效。

佈署考量(重要)

設定後Administrators將無法經由網路存取AD，是否會造成某些系統無法正常運作則需要進行測試，通常遭到影響之系統為備份系統、資產管理系統與認證系統等。

除了拒絕從網路存取這台電腦外，還有拒絕以批次工作登入、拒絕以服務方式登入與 拒絕透過終端機服務登入等，同樣可以考量進行設定，但前提仍然是不影響正常服務運作。

實際測試存取

以上做法雖然較為安全，但一點點的安全換來系統管理者使用上有很大的不便，就要各為自己去衡量了，強烈建議實作前先備份，如果發生AD服務異常時，還可以將資料倒回，或是把剛剛設定GPO的值給還原，如還是有問題可以查看AD的本機群組原則是否也有被寫入。

Read More

[系統管理]如何自動登入Windows 作業系統

一般在Chris的工作環境中，我的電腦都會用密碼鎖住不讓別人開機進來亂用，不過如果在家裡你的電腦只有你一個人在用，或是老闆懶的每次開機後都還要先輸入密碼才可登入(時間就是金錢@@)。如果你希望讓電腦在一開機時自動幫你登入、直接進到桌面的話，那該怎麼做呢？

使用「登錄編輯程式」(Regedt32.exe) 啟用自動登入，請依照下列步驟執行：

按一下 [開始]，然後按一下 [執行]。在 [開啟] 方塊中，輸入 Regedt32.exe，然後按下 ENTER。

在登錄中找出下列子機碼：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

按兩下 [DefaultUserName] 項目，輸入您的使用者名稱，然後按一下 [確定]。

按兩下 [DefaultPassword] 項目，輸入您的密碼，然後按一下 [確定]。注意：如果 DefaultPassword 值不存在，您必須新增該值。如果要新增這個值，請依照下列步驟執行：

在 [編輯] 功能表上，按一下 [新增]，然後指向 [字串值]。

輸入 DefaultPassword，然後按 ENTER。

按兩下 [DefaultPassword]。

在 [編輯字串] 對話方塊中，輸入您的密碼，然後按一下 [確定]。

注意：如果沒有指定 DefaultPassword 字串，Windows 就會自動將 AutoAdminLogon 機碼的值從 1 (True) 變更為 0 (False)，以停用 AutoAdminLogon 功能。

在 [編輯] 功能表上，按一下 [新增]，然後指向 [字串值]。

輸入 AutoAdminLogon，然後按 ENTER。

按兩下 [AutoAdminLogon]。

在 [編輯字串] 對話方塊中，輸入 1，然後按一下 [確定]。

結束 [登錄編輯程式]。

按一下 [開始]，按一下 [關機]，然後在 [註解] 文字方塊中輸入原因。

按一下 [確定] 以關閉您的電腦。

重新啟動您的電腦。現在，您已經可以自動登入。

注意：如果要略過 AutoAdminLogon 程序，並以不同的使用者身份登入，請在登出或 Windows 重新啟動之後，按住 SHIFT 鍵。

重要：雖然自動登入功能很方便，但是，這個功能可能會帶來安全性風險。如果您設定一部電腦為自動登入，任何能夠實際接觸該電腦的人員就可以存取其中所有的內容，包括了任何網路或電腦所連接的網路。此外，啟用自動登入時，密碼會以純文字的方式儲存在登錄中。Authenticated Users 群組可以遠端讀取儲存這個值的特定登錄機碼。只有在電腦放置在安全的位置，並且您已經採取適當的步驟，確保不受信任的使用者無法從遠端存取登錄的情況下，才建議使用這個設定。

Read More

[資安鑑識]-手動尋找system32目錄中可能存在的木馬

資安事件為因蓄意行為、意外狀況、人為疏失，導致單位系統被駭客植入木馬程式、竊取資料、遭受阻斷式服務攻擊、實體破壞設等等破壞組識資訊通訊的事件。為了迅速抓出淺在電腦裡的木馬元凶，這裡提供簡單的檢測方法。

主機在乾淨且正常的狀態下備份

Cd %systemroot%\system32

dir *.exe > c:\log\exeb.txt & dir *.dll > c:\log\dllb.txt

請自行將dllb.txt妥善保管好，執行一段時間後，當覺得主機怪怪的或有發現異常時，在備份一次(不同檔名或路徑)

dir *.exe > c:\log\exec.txt & dir *.dll > c:\log\dllc.txt

就可以比較前後兩次的檔案列表

fc c:\log\exeb.txt c:\log\exec.txt >> c:\log\diffe.txt && c:\log\dllb.txt c:\log\dllc.txt >> c:\log\diffd.txt

以上圖來說紅框的部分，就可以發現到有異常的程式在執行了。

Read More

Microsoft Baseline Security Analyzer(MBSA)

簡介

Microsoft Baseline Security Analyzer (MBSA) 是一個簡單易用的工具，可協助中小型企業判斷其安全性狀態是否符合Microsoft 的安全性建議，並會根據結果提供具體的矯正指示。使用MBSA 偵測一般常犯的安全性設定錯誤和電腦系統所遺漏的安全性更新，以增強您的安全性管理流程。

概觀

為了方便地評估安裝Windows電腦之安全狀態，微軟提供了免費的Microsoft Baseline Security Analyzer (MBSA)掃描工具。MBSA包括圖型和命令列界面，可以進行本地或遠程掃描微軟Windows系統。

MBSA運行在Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Visat, Windows Server 2003, Windows XP和Windows 2000系統上時，將使用微軟更新的技術掃描缺少的安全更新(security updates)和匯整服務包(rollups and service packs)。

MBSA將同時掃描常見的安全錯誤(也稱為漏洞評估檢查)使用一個己知的列表列出所有版本的Windows安全設定和組態, Internet Information Server (IIS) 5.0, 6.0 and 6.1, SQL Server 2000 and 2005, Internet Explorer (IE) 5.01 and later, and Office 2000, 2002 and 2003。

支援作業系統

． Windows Server 2008 R2

． Windows 7

． Windows Server 2008

． Windows Vista

． Windows Server 2003

． Windows XP

． Windows 2000

  

檢查項目

． 安全更新(security updates)

． 匯整服務包(rollups and service packs)

． 系統安全設定和組態

． Internet Information Server (IIS) 5.0, 6.0 and 6.1

． SQL Server 2000 and 2005

． Internet Explorer (IE) 5.01 and later

． Office 2000, 2002 and 2003

安裝方法

下載位置：http://www.microsoft.com/en-us/download/details.aspx?id=7558

掃描

安裝好MBSA後就可以開始掃描了，掃描的方式也非常簡單

功能說明

• Scan a computer 掃描單台主機
• Scan multiple computers 掃描多台主機
• View existing security scan reports 瀏覽現存的掃描報表

選項說明

• Check for Windows administrative vulnerabilities – 檢查Windows管理漏洞
• Check for weak password – 密碼強度檢查
• Check for IIS administrative vulnerabilities – 檢查IIS管理漏洞
• Check for SQL administrative vulnerabilities – 檢查SQL管理漏洞
• Check for security updates – 檢查安全更新
• Configure computers for Microsoft Update and scanning prerequisites – 微軟更新和掃描先決條件之電腦設定
• Advanced Update Service Options – 進階更新服務選項
• Scan using assigned Windows Server Update Services(WSUS) Servers only – 掃描只使用指定的Windows Server Update Services(WSUS)伺服器
• Scan using Microsoft Update only – 掃描只使用Microsoft Update
• Scan using offline catalog only - 掃描離線的目錄檔

下載更新pattern

掃瞄結果

命令列界面MBSA Command Line(CMD)

Microsoft Baseline Security Analyzer Version 2.1.1 (2.1.2112.0)

(C) Copyright 2002-2009 Microsoft Corporation. All rights reserved.

使用方式

使用前於命令列模式下，先行切換到安裝目錄下(C:\Program Files\Microsoft Baseline Security Analyzer 2)

MBSACLI [/target | /r | /d domain | /listfile file] [/n option] [/o file] [/qp]
        [/qe] [/qr] [/qt] [/xmlout] [/wa | /wi | /offline | /addonly] [/noadd]
        [/cabpath path] [/catalog file] [/unicode] [/nvc] [/ia] [/mu] [/nd]
        [/rd directory] [/?]

MBSACLI [/l] [/ls] [/lr file] [/ld file] [/unicode] [/nvc] [/rd directory] [/?]

參數列表(Parameter List)

參數	使用方式	說明
/target	domain\computer	Scan named computer.
/target	IP	Scan named IP address.
/r	IP-IP	Scan named IP addresses range.
/listfile	File	Scan named IP address or computer listed in the specified file.
/d	Domain	Scan named domain (use NetBIOS compatible domain name (Ex:MyDomain) instead of Fully Qualified Domain Name(Ex:Mydomain.com)).
/n	Option	Select which scans to NOT perform.Allchecks are performed by default. Valid values:"OS", "SQL", "IIS", "Updates", "Password", Can be concatenated with "+"(no spaces).
/wa		Show only updates approved on the WSUS server.
/wi		Show all updates even if not approved on the WSUS server.
/nvc		Do not check for a new version of MBSA.
/o	filename	Output XML file name template. Default: %D% - %C% (%T%).
/qp		Don't display scan progress.
/qt		Don't display the report by default following a single-computer scan.
/qe		Don't display error list.
/qr		Don't display report list.
/q		Do not display any of the preceding items.
/unicode		Output Unicode.
/u	username	Scan using the specified username.
/p	password	Scan using the specified password.
/catalog	filename	Specifies the data source that contains the available security update information.
/ia		Updates the prerequisite Windows Update Agent components during a scan.
/mu		Configures computers to use the Microsoft Update site for scanning.
/nd		Do not download any files from the Microsoft Web site when scanning.
/xmlout		Run in updates only mode using only mbsacli.exe and wusscan.dll. Only these switches can be used with this option:/catalog, /wa, /wi, /nvc, /unicode
/l		List all reports available.
/ls		List reports from the latest scan.
/lr	filename	Display overview report.
/ld	filename	Display detailed report.
/rd	directory	Save or Retrieve reports from the specified directory.
/?		Display this help/usage.

執行MBSACLI 且不帶參數將會掃描本機電腦並進行全面檢查和顯示報告於文字模式

使用範例：

    MBSACLI

    MBSACLI /n Password+IIS+OS+SQL

    MBSACLI /d MyDomain

    MBSACLI /target 200.0.0.1

    MBSACLI /r 200.0.0.1-200.0.0.50

    MBSACLI /listfile export.txt

    MBSACLI /ld "Domain - Computer (03-01-2002 12-00 AM)"

    MBSACLI >c:\results.txt

    MBSACLI /catalog c:\wsusscn2.cab /ia /nvc

    MBSACLI /wa

    MBSACLI /xmlout /catalog c:\temp\wsusscn2.cab /unicode >results.xml

    MBSACLI /l /rd \\RemoteMachine\reports

    MBSACLI /cabpath \\RemoteMachine\cabs

這邊的掃描範例

MBSACLI /target x.x.x.x(您要掃描的IP) /n Password+IIS+OS+SQL

掃描結果

離線掃描

如果您的環境不允許直接上網更新，可以先將更新檔下載回來，掃描時在指向更新檔就可以了。

使用UI的方式掃描，要先去微軟下載wsusscn2.cab

wsusscn2.cab下載網址:

http://download.windowsupdate.com/microsoftupdate/v6/wsusscan/wsusscn2.cab

在將下載的檔案放到C:\Users\<Username>\AppData\Local\Microsoft\MBSA\Cache

掃描時選擇Scan using offline catalog only

如果要使用CLI的方式掃描，一樣要先去微軟下載wsusscn2.cab

語法如下，請自行修改紅字部分，指向到下載的完整路徑

MBSACLI /xmlout /catalog c:\temp\wsusscn2.cab /unicode > results.xml

Read More