2015年7月31日 星期五

MS15-078 重大安全性更新 (FOR XP)

微軟在這個月21日(2015/07/20)公佈了重大漏洞安全性更新:MS15-078

此漏洞的影響包括了Windows Xp 系統。

但是微軟早在去年就已經停止支援更新了,使用者只能想辦法來避開這個問題。

最簡單的方式就是把漏洞檔案 atmfd.dll 重新更名,避免惡意程式文件去呼叫。


ren C:\WINDOWS\System32\dllcache\atmfd.dll x-atmfd.bak
ren C:\WINDOWS\SERvicePackFiles\i386\atmfd.dll x-atmfd.bak
ren C:\WINDOWS\System32\atmfd.dll x-atmfd.bak
執行完之後會出現檔案保護的提醒,取消忽略之後就可以暫時安心了 ?

當然你也可以把檔案保護關閉在執行修改動作。

據說影響是在開始有包含Open Type 字型時,會顯示不正長常(或是異常)。

參考來源:
Disable XP SFC/WFP (Works With SP3) 
OT: OpenType font vulnerability

2015年7月22日 星期三

淺談MS-SQL備份

資料庫一直扮演著很重要的角色。
這也就是為什麼我們要很在意資料庫的備份,當然越重要的資料,可能就要朝A/A 模式,A/P模式去建置。
但並非我們做了A/A或是A/P就不需要去做備份,備份可是非常重要的,例如當資料誤刪、資料被不明因素清空、或是資料異動的查詢......等。

簡單來說,我覺得一個MS SQL資料庫,至少要做到下列的備份方式。
1.完整備份。
2.差異備份。
3.交易紀錄備份。

1.完整備份:
完整備份是整個資料庫的完整備份。

2.差異備份:
差異備份會根據前一次的完整備份,一直到執行差異備份這段時間的備份。
也就是說,如果星期日做了一次完整備份,當星期一做了差異備份,這個差異備份就包含了星期日完整備份之後一直到星期一的資料,當星期二做了差異備份, 這個差異備份就包含了星期日完整備份之後一直到星期二的資料。

3.交易紀錄備份:
交易紀錄備份是一個連續性的資料備份,每一次第一次的交易紀錄備份,都會根據前一次的完整或是差異備份之後開始,而之後的交易紀錄備份都匯根據每一個交易紀錄備份連續下來,這點跟差異備份不同。
簡單來說我在星期日做了完整備份,接著每5分鐘做一次差異,那麼這個差異紀錄就是每5分鐘紀錄然後產出備份檔案。

那麼簡單來舉例一下我採用的備份,但沒有一定的備份方式,依據自己的環境跟需求做最適當的調整。

每週五晚上 做一次完整備份,每周六到四晚上做一次差異備份, 每15分鐘做一次交易紀錄備份。

看完備份之後,那麼還原呢?

我們可以看一下微軟MSDN 提供的完整的資料庫還原圖片

簡單來說,再還原的時候步驟是,先還原完整,再還原差異,最後再針對交易紀錄還原。

如果只是在本機操作,因為 msdb 的 backupset 系統資料表存有所有 備份組 ,所以可以輕易透過工具還原。
但是如果是異機還原呢?
這時你可以先把還原的指令碼(T-SQL)先存好 。
到時只要快速地取代日期,然後用指令碼還原即可,不然一筆筆點選還原,會點選到死吧(偷笑)

對了,如果資料發生意外時,先別急著還原,記得先備份 結尾記錄備份

參考來源:
觀念釐清:SQL Server 完整備份、差異備份、交易記錄備份
[SQL] 還原資料庫 - 小眉角



2015年7月20日 星期一

JUNIPER SRX 防火牆設定管理介面存取來源限制

JUNIPER SRX 系列防火牆,在網頁存取介面一直找不到在哪邊可以輕易地設定管理介面限制存取。

經由GOOGLE 爬文之後,發現有一位網友提供了詳細的步驟說明,參考設定之後,順利解決問題。

首先我們先利用ssh登入。
% cli       #進入命令模式
> config   #或是 edit,進入編輯模式
接著可以開始設定,基於安全的考量,我們會把http跟telnet關閉,只留下ssh跟https

delete system services web-management http
delete system services telnet
set system services ssh
set system services web-management https interface ae0.0
接著設定允許介面存取服務(應該是這樣翻吧XD)
set security zones security-zone untrust host-inbound-traffic system-services ssh
set security zones security-zone untrust host-inbound-traffic system-services https
接著加入允許存取的IP
set policy-options prefix-list management-hosts 123.123.123.123/32
 接著加入防火牆存取過濾,設定允許的IP存取ssh跟https
IPV4以及IPV6
set firewall family inet filter filter-management term block_unauthorised from source-address 0.0.0.0/0
set firewall family inet filter filter-management term block_unauthorised from source-prefix-list management-hosts except
set firewall family inet filter filter-management term block_unauthorised from protocol tcp destination-port [ssh https]
set firewall family inet filter filter-management term block_unauthorised then discard
set firewall family inet filter filter-management term accept_default then accept

set firewall family inet6 filter filter-management6 term block_unauthorised from source-address ::/0
set firewall family inet6 filter filter-management6 term block_unauthorised from source-prefix-list management-hosts except
set firewall family inet6 filter filter-management6 term block_unauthorised from destination-port [ssh https]
set firewall family inet6 filter filter-management6 term block_unauthorised then discard
set firewall family inet6 filter filter-management6 term accept_detault then accept
接著將規則加入到loopback介面
set interfaces lo0 unit 0 family inet filter input filter-management
set interfaces lo0 unit 0 family inet6 filter input filter-management6
 最後不要忘記套用,打完收工
commit


參考來源:

Securely enable outside management on SRX

2015年7月7日 星期二

AD 能不能全部虛擬化?

 最近在規劃AD建置,有一個問題讓我困惑了?
大部分的人都跟我說,至少要有一台DC是實體機器。
為什麼?
效能問題,最好是這樣做,但是卻沒有得到一個明確的答案

於是我開始GOOGLE,在保哥的文章中,有一個很重要的結論。
這個教訓讓我學到 3 個寶貴的經驗:
  1. DC 可以安裝在 VM 裡,但只有壹台 DC 時,VM 的 宿主(Host) 不要加入網域!
  2. 沒事不要手動將 DC 儲存狀態或關閉,反正主機重開機時會自動將 VM 重啟!
  3. DC 至少要兩台,兩台都在 VM 裡的話,不要一起關機!
確實,如果虛擬化的話,這是個很關鍵很重要,而且必須要注意的事情。

那麼有些人提到的效能?
跟最好這麼做呢,卻一直沒有得到答案。
接著我在 Paul Bergson (Former MVP)的文章中找到我覺得滿意的答案
Microsoft has no requirements that at least one DC be physical. They do have a recommendation that there is at least one but this is to ensure that you always have access to the domain in the event the virtualization HOST is unavailable....
這部分跟保哥的提醒跟建議是相同的,所以這沒問題。
接下來效能的部分,我覺得重點應該在這段
I have also heard folks talk about the PDCe should be a physical machine. My question is “Why”? The PDCe isn’t magical but the one thing that can make it different from other DC’s is that it can use from 2% – 12% more physical resources than other DC’s. So with that thought in mind, manage your platforms on your DC’s. If you are doing your due diligence on your platforms to ensure they aren’t being overloaded then it shouldn’t matter where your PDCe is running.
在AD 5大角色中,PDCe 比其他DC會需要更多的系統資源,但是如果你的DC並沒有系統負載過高或是效能不足的情況發生,那麼你的DC是實體化還是虛擬化都沒多大的差別了。

希望這兩篇文章,可以提供給一樣有此困擾的你一個滿意的解答。


最後
參考來源
IT 經驗談:關於網域主控站安裝在 VM 裡的慘痛教訓
Can I Virtualize ALL My DC’s In the Domain?

Edge Preview window opens and hangs up

近日有許多人反映 透過Edge 點選列印之後,預覽列印視窗會不停的轉圈圈,導致無法列印,非常困擾。 透過Google大神爬了一下,發現有許多鄉民都有此問題,試過之後都無法解決(有停用DLP、關閉UAC、重設瀏覽器、重設使用者(X)),大概就只差沒重新安裝作業系統了。 還有鄉民說 ...