欢迎光临 Enjoy IT (ITECN.NET) 登录 | 注册 | 帮助

上周在51CTO系统频道接受的访问

关于服务器安全方面的

http://os.51cto.com/art/201108/281475.htm

 

ps.我自己对于安全的问题格外关心,从2003年我就买黑客杂志《黑客X档案》到2004年买《黑客防线》,还花钱参加过黑客的培训班(暂不论好坏),记得当年最疯狂的就是用傻瓜注入工具去扫ASP站点,然后走SA或者进后台上传webshell,拿到服务器权限,可以在高性能的服务器上跑一些字典工具去爆破些密码,呵呵。

发表于 作者 Asuka Zhang | 2535 评论

windows安全方面的一本必读书

《Windows安全指南》这本写得很好,读起来很过瘾。尽管很多内容在脑子里陆陆续续的都有,并没有补充进来什么新的内容,但是光看一下目录,这就是最大的知识点,把之前自己对于零散的windows安全方面的知识给串了起来。


Windows安全方面的书籍不多,因为作为终端用户,没有必要去挖掘得太深,装一个360就可以搞定,尽管我自己从来不安装,但是我还是推荐很多朋友安装。因为类似360这样的软件,可以实现很多我看了书然后一步一步手动去做才能实现的功能,在360里面只需要点击一下某一个按钮。(从这个层面来看,如果有一本叫《windows优化指南》的书,那么我只需要推荐一个软件叫windows优化大师)。

但是作为IT专业人员或者Windows平台的开发人员,这本书不得不看,除非已经看过《windows resource kit》或者同性质安全书籍。因为这本书的优点在于把Windows平台下的安全功能,包括新功能和老的一些重要的但是却未收到的功能给全部一网打尽。

我自己阅读过《windows vista resource kit》,里面把新windows的安全特性分为2类:针对于end user和ITPro。其中作为终端用户必须知道的有:UAC、Windows defender、windows firewall、IE保护模式、Bitlocker、EFS、Auditing enhancements、smart card improvements、credential manager enhancements;ITPro必须知道的有CI、Windows Resource protection、kernel patch protection、windows service hardening、NAP...好吧,我自己都不好意思再写下去了。

我们就分开来看,如果是终端用户,比如我的父亲,他用电脑时间也不短了,但是上面所提及的这些内容,不要说我父亲这辈的人了,就是我的同学、同事,很多人可能一个也都不知道。所以我觉得,由微软官方打造一款实现360同功能的安全软件是最好的,可惜微软的MSE太令人失望,而卖钱的Forefront也是。那么Symantec、麦克菲呢?他们为什么做不出360,同样这个问题也值得去思考。

再看看ITPro,目前大部分的ITPro都基本上是系统管理员,而系统管理员的关注重点是服务器,不管是Windows、Linux,亦或者是专用服务器比如SQL Server、SharePoint Server,他们的安全设置都很有讲究,比如著名的深沉防御体系,而书里面的这些安全特性可以作为OS层面的内容给补充进去。说到深沉防御体系,《Protect your windows network》一书可以说是圣经,亚马逊上打到5颗星,两位作者之后都离开了微软,Johansson后来又出了本书《windows security resource kit》,不过只能打三颗星;另一位作者Riley(我跟他有过合影),则去了Amazon的EC2,搞起了云计算的安全研究。

好了,再说回这本书,上面罗里罗嗦的写了这么多,总结一下就是,这本书对于IT专业人员和开发者是必看的,这就好比这门武功一定要去学的,但是学好之后怎么用,是更加值得思考的。

发表于 作者 Asuka Zhang | 3242 评论
归档在:,

如果对微软的云计算产品感兴趣,可以关注如下产品

微软的云计算产品和其虚拟化一样,总结一下就是庞大、复杂、多样。

刚刚在网上找到了个很好的list,把微软的云计算产品都概括了进去,感兴趣的朋友可以从以下这些产品入手,找到自己感兴趣的,然后发扬光大,呵呵。

  • Introduction to Windows Intune 
  • Introduction to Office 365 
  • Office Web Apps 
  • Introduction to Exchange Online 
  • Coexistance with and migration to Exchange Online 
  • Introduction to SharePoint Online 
  • Introduction to Microsoft Lync Online 
  • Introduction to the Private Cloud 
  • Deploying Hyper-V Cloud 
  • Introduction to the Windows Azure Platform 
  • AppFabric Overview 
  • Windows Azure DataMarket (Dallas) 
  • Cloud Security 
  • Azure Security Overview 
  • SQL Azure Security 
  • Single Sign-On from Active Directory to a Windows Azure Application 
  • Introduction to SQL Azure 
  • Setup and Configuration of SQL Azure Databases 
  • SQL Azure Security Using Data Sync 
  • Introduction to Windows Azure 
  • Windows Azure Security 
  • AppFabric Caching ​
发表于 作者 Asuka Zhang | 1433 评论
归档在:

步入云端的第一步,小记MVP Open day 2010

作为一个微软的MVP,我一直致力于参加各种活动,甚至我认为这就是MVP带给我个人的最大价值。我曾经参加过2次MVP Summit和2次MVP Open day,分别在西雅图和北京。这次早早的获悉今年中国的Open day在上海,我着实兴奋了一把,这次终于可以在家门口参加Open day了。

私底下经常和朋友说,MVP Summit的活动安排得太短,好不容易去一次美国,4天的时间排的满满的,事实上应该说是三天半。但是又一直很佩服这些行程安排的人,因为在美国的三天半时间里面,一切安排得是那么得合理和有效。同样,Open day也是如此,不同的是不要去美国了。2天的时间,包含Keynote、PGI Session、参观微软以及最后的晚宴,就是如果再有时间,大家应该在微软紫竹的操场上踢场球那就太完美了。

从这次Open day的内容来说,从Keynote到分场Session都围绕着云,但是不得不说,这只能是第一步。微软在世界上有很多的数据中心,比如在芝加哥、都柏林、新加坡,但是在中国这么大的一个IT市场,建立数据中心从而实现云计算的市场化,这一路还有很多的难题要去面对。我个人甚至认为这个难度不亚于当年Google在中国市场上面对的,尽管他们做的产品不同,但本质还是相同的。Google没有处理好这个问题,接下去就看比Google更有历史和经验的微软是怎么去解决的。

如果说云离市场或者说离目前大部分的IT企业还有些距离的话,有些东西是我们可以着手就做得,比如Windows 7。跟很多MVP也谈到,江湖上总是流传着说,操作系统稳定、成熟一定要等到它的SP1发布,但我们用了Win 7 RTM版本一年时间了,而一切又是那么得完美!倒是Win 2008 R2 SP1里面加入了很多新的Feature,比如Remote FX、Dynamic Memory等。除此之外,我还去听了下一代SQL Server,也就是Denali,以及下一代SCCM,.next的课程,现在很难说很多,因为我也只是看了些demo,今年的Teched上肯定会有更详细的课程介绍,我已经很迫不及待了。

发表于 作者 Asuka Zhang | 382 评论
归档在:

9月16号晚上,Asuka有一场关于Windows 7组策略的Webcast,欢迎兄弟们来捧场

之所以选题在组策略之一块,是因为Windows 7和2008 R2对于组策略有了很大的功能上的增强,但是很多IT人员都无法意识或者去重视这一块内容,所以我将从下面这3个角度去介绍这些更新。如果您正好有时间,那不妨来技术交流一番:)

 

直播进入方法:http://social.technet.microsoft.com/Forums/zh-CN/2154/thread/4207e325-ccca-4e75-bdf9-20bbe0a5e3b8

 

1.架构上的更新

2.Powershell在组策略设置中的应用

3.组策略首选项

发表于 作者 Asuka Zhang | 714 评论

Teched 2010 北美课程和PPT资源推荐

最近Teched Online(http://www.msteched.com/)上更新了前阵子6月初在新奥尔良进行的Teched北美大会的资料,其中包括了课程的视频和PPT,这些资料都相当的好,而且不收费。我记得去年访问这个网站还是需要收费注册的。

不多说,一句话,这么多课程,总有一款适合您。

发表于 作者 Asuka Zhang | 691 评论
归档在:

RemoteApp for Hyper-V

微软虚拟化家族的4个产品,Hyper-V、App-V、Remote APP和MED-V,产品线倒是很全,不过有个问题就是交集很小,在市场上面每一块都有自己的竞争对手。

桌面虚拟化最早的代言人是Virtual PC 2004/2007,后来微软可能觉得太轻量级了,所以变成了MED-V,外加一个噱头版本XP/MODE,当然其还有一个变异版就是Window Virtual PC,是不是觉得名词有很多,头搞晕了啊。

今天看到微软又出了一个东西叫RemoteAPP for Hyper-V,看看名字是不是像UI虚拟化,但是其功能还是桌面虚拟化。当然不光名字做到了整合,而且功能也做到了整合,用到了Hyper-V和类似于XP/MODE的东西。我个人感觉这东西出于对市场考虑的因素比较多,微软有些东西一向比较复杂,比如License就是最好的例子。

看一下详细介绍

RemoteApp on HyperV -setup1

RemoteApp for Hyper-V

http://blogs.msdn.com/rds/archive/2009/12/15/remoteapp-for-hyper-v.aspx

发表于 作者 Asuka Zhang | 388 评论

MVP Open day 2009,我的记录

写流水帐

Day 0

晚上的飞机到北京的,本来想打个车去这次活动的地点---东方太阳城,不过后来听说北京的司机都不去那地方,我才意识到,那地方是个类似于游戏中的隐藏关卡,一般人是不知道,所以只能等会务组的车,从22点等到24点半,其实会务组的车早就到了,不过有个哥们的飞机没到,所以咱一伙人只能等,否则就破坏和谐了。

Day 1

上午和去年一样,都是keynote:Toby、Nestor、谢恩伟、潘正磊。每次keynote的内容都差不多,都是一个模式,总说MVP对微软的贡献啊,微软是如何如何感谢MVP的啊。去年的Day 1一上午还有个大颁奖,今年啥都没。

下午去听了3个Session,分别是Sharepoint 2010 Search、Win 7部署和SBS 2008,还算比较对户,其中Windows 7部署讲得非常详细,基本上都cover进去了,而且我找到了ppt,SBS这边之前接触得比较少,这次听了之后觉得这东西对于中小企业的帮助还是相当得大,不过如何让市场接受,应该是他们主要应该去关心的。

晚上则是晚宴,咱表演的不是魔术,而是寂寞。

Day 2

一大早就有车把我们拉到了望京的微软大厦。

然后是在微软的会议室跟很多微软的高管见面,这个安排其实很不错,因为以前总是有些高管因为时间太忙,所以没办法跟MVP交流,而这次MVP集体都被拉到了微软大厦,所以很多部门的PM都抽空过来,哪怕做5分钟的交流也好。其中也表扬了很多MVP的贡献,有点类似于以前上学时,老师表扬学生。

当然,参观微软的游客中心这个环节也不可少,不过那个游客中心是在太小,亮点不多,跟总部的不能比,中午在微软吃了很多的必胜客。

下午只听了一个Session,Session不再多,有收获则灵,听的是Hyper-V在万网的应用,范老师讲得很精彩。

晚上则是论坛的交流,MVP集中起来共谋论坛未来之发展,goxia说到后来很激动。

Day 3

美好的时间总是很短暂,最后一天睡了个懒觉,10点半才开始半天的告别Session,先是微软自己的IT经历介绍微软IT的情况,这话虽有些绕,不过内容还算真实。

接下来就属于颁奖环节了,我一个人拿了2个奖,可喜可贺。

最后贴张第一天keynote拍的照片,我不多说了。

发表于 作者 Asuka Zhang | 500 评论
归档在:

我也说说心法和招式

从51CTO上看到了老朋友Frank写的关于IT学习方法论的文章,Frank是中国IT圈的“老法师”,有足够的资历去写类似的文章,而且总结得相当得好,我自己看了也是收益颇丰。关于IT学习类似的文章很少有,我自己把这个东西比喻成一层窗户纸,这东西其实很多高手都知道,但是很少人去捅破,所以小弟在此对Frank表示崇高的敬意。

看了5篇之后,我觉得关于心法和招式这一章写得特别好,其实我自己也深有体会,以前我总喜欢学各种招式,比如2007年我大三的暑假,那个时候掌握了各种各样的招式,比如那个时候有各种Vista文章的介绍,我自己学习了招式之后,类似于Vista的什么UAC、BitLlocker这些新Feature是基本不离口,见人就说,把自己活生生的变成了一个微软的免费代言人,后来一次去一家公司面试,跟面试官说这些东西,人家不care,我自己傻眼了,这些最新的东西为什么会碰壁呢?后来07年的9月份,有一次去微软GTSC面试的机会,当时做的考卷都是考基本的心法,比如一些基础的算法、数据结构以及网络协议,那个时候我就意识到了心法的重要性,我自己就开始做总结了。

的确,学习心法很枯燥,也很无聊,而学习招式恰恰相反,学习招式有各种各样的资源,学习起来的乐趣也比较大,比如大名鼎鼎的51CTO上的文章,如果我分类一下,至少80%都在讲各种招式,而讲心法的文章少得凤毛麟角,因为心法这个东西比较难传授。

但是如何从招式学到心法,这就是高手和一般IT人员的区别。比如我之前讲得Bitlocker,如果能从Bitlocker的应用,分析到里面的实现原理,从简单的加密解密实验,了解到PKI架构,然后了解各种PKI的使用场景,这就是从招式到心法的转变,但往往很多人,有能力去学招式,但是却没有能耐学心法,可惜可惜了啊。

我就来讨论一下,我是如何平衡心法和招式的学习。

我在2007年的时候,整天都去学习招式,整天疯狂的使用虚拟机做实验,有时候真的是废寝忘食乐在其中啊,感觉是有着学不完的招式,微软的所有产品都想去学,都想去掌握,这一点上,我并不孤独,我相信和我一样的人大有人在。微软的产品比其他IT产品更受追捧,有各种因素,但归根结底就是微软的市场工作做得好嘛,微软有钱去办各种活动,有钱去招纳各种MVP为其摇旗呐喊,但是现在看来,如果一味得深陷于研究各种微软产品,甚至是最新产品,这对个人的职业生涯发展是有负面影响的。

后来,08年我去了单位工作,中国特色的IT就是什么都要做,我一个人要做系统管理,兼职部分网络管理和邮件系统管理,幸好没有客户端管理,否则就成了help desk了。当然工作的好处就是有更多的东西可以接触,比如SAN,有更好的条件可以做实验研究,比如用服务器装虚拟机。有一次企业中的VPN出了问题,这东西我以前可没有研究过啊?于是整整花了一天的时间去研究这个东西,结果是由于证书的失败导致,我重新更新了证书就把问题解决了。但是我并没有满足于问题的解决,我稍后又花了很多时间完成了从招式到心法的学习,从而不光把目前我工作的企业中的VPN的架构和可能出现的问题了解得一清二楚,甚至连业界的VPN的实现和最新VPN的技术也了解得很好,从中我了解了L2TP、PPTP以及现在最新的SSL VPN。其中我就在Winos看到了一篇很好的介绍VPN的文章,这就是为数不多的关于心法的文章。

http://bbs.winos.cn/thread-36362-1-1.html

后来也跟这位作者交了朋友,认识到了真正的高手。这次学习VPN的经历,让我明白了从招式到心法的重要性。

其实工作价值就在于此,而不是每天去做重复的事情,每天去解决重复的问题。所以有些抱怨每天帮底下用户解决office和各种软件问题的朋友,你们知道什么是“桌面标准化”吗,你们知道花时间去研究过“桌面标准化”吗?

然后到了2009年,现在流行虚拟化,我也曾经写过很多虚拟化的文章。也做过一些类似的培训。我每次培训的第一句话总是要让学员了解什么是虚拟化,虚拟化的宏观概念,而不是如何去操作Hyper-V,我说过我可以在20分钟内教会任何一个有IT工作背景的技术人员去操作和使用Hyper-V,但是我希望学员去了解虚拟化的过去、现在和未来,以及各种厂商虚拟化的实现,比如VMWare、Citrix…。至于其中的心法其实也有很多,比如为什么同样的硬件,Hyper-V的效率要比Virtual Server高很多,如果看这篇文章的读者能够把这个问题给完整得回答出来,说明你对于Windows底层的实现(心法)还是有掌握的。

现在,我自己以学习心法为主,基本上很少去了解招式了,所以我不再看任何的介绍招式的杂志和报纸,也基本不看类似blog,但是不看并不代表我不知道,我自己把各种招式的来源都建了索引放在onenote中,有必要的时候,我可以随时调出来,花最短的时间研究一二,足矣了,嘿嘿。

对了,说一下我自己的情况,我的资历属于“菜鸟上路”,心智属于“出处茅庐”。

也希望借此抛砖引玉,希望咱们ITECN上介绍心法的文章多一些,其实我自己也一直在写招式,因为写招式容易啊J。

发表于 作者 Asuka Zhang | 431 评论
归档在:

好工具推荐Disk2vhd

Sysinternals以前是一家神奇的公司,因为Mark和Cogswell开发了大量的有意思的实用的免费的小工具,被微软收购后,很多工具仅仅是更新,新工具并不多,但不代表没有,比如我以前介绍过的Desktop,今天早上发现很多国外知名的blogger都在推荐Sysinternals新推出的小工具Disk2vhd,早上试了一下,简直就是小工具具有大力量啊。

Disk2vhd,顾名思义,就是用来作P2V的。

以前要P2V,只能靠SCVMM实现,当然SCVMM的使用有2个限制

1.一定要活动目录

2.P2V,里面的V一定要是Hyper-V

当然,这是有道理的,因为SCVMM是一款企业级别的虚拟化管理平台,其使用场景更多的是在企业里面,当然,从另一个方面就有些缺乏灵活性了,比如没有AD就无法完成P2V,事实上P2V跟AD的联系并不大。

因此今天看到的Disk2vhd弥补了很多问题,首先这个小工具体积很小,才1M多,而且这个小工具不需要任何运行条件就可以完成物理磁盘转换为VHD,真的很好用。

我就把我Hyper-V的父分区转换为VHD了,然后又在Hyper-V上Mount这个VHD,也没有任何问题,当然,有一点无法做到,就是在VHD上运行Hyper-V(这个好像有点过分了:()

转换40G的物理磁盘用了将近3个小时,时间是有点长

转换好的VHD,Mount后的效果,和物理磁盘一样吧

有了这个小工具,明天就到单位,把一台旧的服务器给转换成VHD,然后作个备份,嘿嘿。

更多介绍:

http://technet.microsoft.com/en-us/sysinternals/ee656415.aspx

发表于 作者 Asuka Zhang | 3748 评论
归档在:

Virtual PC Guy的故事

早上在微软著名的Virtual PC Guy的blog上看到他写了一篇关于他是如何从一个技术爱好者到微软虚拟化产品组PM的经历,小弟看得是感触颇深啊。

文章不长,分2篇,介绍了很多历史,比如历史上著名的操作系统OS2、NT等

也介绍了VPC2004的前身Connectix公司(后被Microsoft收购)

还有,他在澳大利亚从一个普通的业余软件测试人员,到美国,再到微软,这些经历都比较有意思。

感兴趣的朋友不妨一读

http://blogs.msdn.com/virtual_pc_guy/archive/2009/08/31/how-i-became-virtual-pc-guy.aspx

http://blogs.msdn.com/virtual_pc_guy/archive/2009/09/01/why-virtual-pc-guy.aspx

发表于 作者 Asuka Zhang | 876 评论
归档在:

Virtual Hard Disk Getting Started Guide

今天在微软的网站上找到一份很详细的VHD文件的资料,我之前写过的关于VHD文件格式的0+VHD和1+VHD的场景在文档里面都有描述,推荐感兴趣的去下载看一下。还有没几天就能够拿到Win 7的RTM版本了,激动ing,先看文档预热,嘿嘿。

文档把Win7/2008 R2里面Native Boot VHD这个功能的用途分成5类

Scenario one: Image consolidation
Scenario two: Server provisioning
Scenario three: Server repurposing
Scenario four: Application development and validation
Scenario five: Virtual desktop infrastructure

 

下载地址:http://www.microsoft.com/downloads/details.aspx?FamilyID=d2afacbb-5af6-45c2-b275-932116e27b0b&displayLang=en

一个关于Integrity Level有意思的发现

众所周知,在Windows Vista中引入了Integrity Level(后面简写成IL)机制,重在把系统的资源对象都给阶级化,MSDN上有很详细的介绍

http://msdn.microsoft.com/en-us/library/bb625964.aspx

简单来说,在Vista中无论是对象、用户或者是进程都有了IL

文件和文件夹有了IL,用系统自带的Icacls.exe可以查看,也可以用Sysinternals的accesschk.exe,我偏向于用Mark Minasi自己写的chml.exe,比如我要看一个文件夹的IL,可以用chml+文件夹名

 

由图可知我们系统的启动文件夹的IL是medium级别

用户也有IL,可以用系统自带的whoami来查看,具体语法whoami /groups /fo list来查看

进程的IL查起来最方便,只要用版本高一点的Process Explorer就行了,当然一定要把Integrity Level这一栏给选中

 

------------------------------------------------------------------------------------------------------------------------------------------------用最简单的语句介绍了IL之后,言归正传,说一下我的发现

盆盆大致在2年多前写过一篇分析IE7保护模式的文章

其中提到了“IE收藏夹默认允许低级别的IE进程访问,因为收藏夹也具有“低级”的完整性级别。”

用工具查看一下先

 

确实默认情况下收藏夹文件夹的IL是low

接下来,我用工具icacls把它的IL给提到medium

 

好,到这里为止,我们用已知的知识可以知道IL级别是low的IE是无法再对favorites文件夹写入任何的东西,此时打开IE,随便保存个页面肯定会提示错误

 

如上述截图,(其实这里要小小的bs一下ms的设计,很多报错信息都有些莫名,对于end user很难看懂,比如上面写道的“unspecified error”,这样的报错信息根本没有任何的意义)

这个时候,我要做的是:

把当前报错的IE给关闭,然后重新开一个IE,再随便保存个页面,这个时候会发现,页面能够保存了,这是为什么呢?

于是乎,再抄起chml查看一下favorites文件夹的IL,竟然发现,此时它的IL竟然鬼使神差的变成low了,整个过程中是谁把它的IL给降级了呢?

实验很简单,也没有什么结论,有兴趣的朋友可以试一下然后欢迎跟贴讨论。

发表于 作者 Asuka Zhang | 2903 评论
归档在:,

好消息,Windows Internals 第5版已经上市了

Windows内核圣经级别的图书《Windows Internals》的第五版已经上市了,我的好兄弟刘晖帮我从Amazon订了一本,最晚到9月底之前我就可以拿到这本书了。

关于这本书的第四版,我曾经写过一些blog讨论,有兴趣的朋友可以翻一下我的旧文章看看。

刚刚从channel 10看了一个这本书的2位作者Mark和David的采访,挺有意思的,爆了些料,也介绍了一下这本书的前几版的一些历史背景。David很搞笑的说,他作为非MS的员工,在Redmond教Windows Develop Team Windows Kernel的课程,这的确是很Strange的一件事。07年Windows Internals第四版刚出中文版的时候,我在上海的紫竹园微软研发中心看到过一次David Solomon,当然那个时候他也是在教Windows Kernel。

 

http://channel9.msdn.com/posts/Charles/Mark-Russinovich-and-David-Solomon-Windows-Internals-5-Released/

刚刚还找到一个Mark在今年Teched美国上的视频,一并放出地址

http://www.msteched.com/online/view.aspx?tid=2d88f481-16bd-4fe6-909f-8833c92a5b1a

发表于 作者 Asuka Zhang | 1093 评论

09.6.3 Win 7在线聊天活动实况录像

http://v.youku.com/v_show/id_XOTYwOTk5ODg=.html

好像这里插入在线视频有些问题

 

起初我的线路可能有些问题,后来刘晖的线路又出了问题,幸好来的人多,人多力量大。

第一次参加这种形式的活动,我发现我的语速真的很快,以后要降速,在录制Howto的视频时也总是说得很快。

发表于 作者 Asuka Zhang | 863 评论
更多内容 下一页 »