2007年3月29日

Windows XP 网络共享点滴

Author: Hagen.GoO 转载请联系作者
MSN_contact: wantm009@hotmail.com
Keyword:共享,组策略,
Quote:


  处于工作组模式的 Windows XP 电脑,默认情况下,其他 Windows 2K/XP 客户端电脑是无法正常共享到其资源的。Windows XP 的网络共享验证,大体有2种模式:一种是本地用户以自己的身份验证,二是作为来宾用户身份验证。

  所以我们有两种做法来使 XP 的网络共享正常可用。

  1、开启,“本地用户以自己的身份验证”
  具体操作方法是:“控制面板”-“管理工具”-“本地安全策略”-“本地策略”-“安全选项”,在“网络访问:本地帐户和共享的安全模式”策略中,选择“经典-本地用户以自己的身份验证”。


  此方法也是比较简单的一种。优点是可以对本机上共享的文件针对不同的客户端做不同的,充分的,且灵活的读写权限控制。缺点是客户端必须要知道此 Windows XP 电脑上的一个或者多个可用帐号。有一种特殊情况:即客户端当前登陆的帐号和密码对,如果能匹配 XP 机上设置的同名帐号及密码,那就不会弹出网络共享的身份验证对话框。另外,在 XP 上要启用文件的权限管理,最好先把“文件夹选项”里面的“简单共享”去掉。

  2、使用来宾身份(Guest)验证
  具体操作方法是:“控制面板”-“管理工具”-“计算机管理”-“本地用户和组”-“用户”,双击“Guest”用户,在弹出的属性对话框中,把“帐户已停用”的选项去掉。


  操作还未结束,如果此时有客户端登陆,可能会被告知:“登陆失败:未授予用户在此计算机上的请求登陆类型。”


  原因就是在 Windows XP 默认的组策略中禁止了 Guest 用户的网络访问,所以,我们还需打开本地安全策略,在“用户权力指派”中,把“拒绝从网络访问这台计算机”中的“Guest”用户删去。


  此方法不能针对不用的来访用户进行权限管理,但系统把所有客户端的来访用户都作为 Guest 处理,默认情况下,安全稍有保证,适合菜鸟用户。

  另:网上有文章说,Windows XP 的网络共享,因为组策略中禁止了空白密码的本地帐户的网络访问,所以还要设置 Guest 用户的密码,或者修改“本地安全策略”-“安全选项”-“帐户:使用空白密码的本地帐户只允许进行控制台登陆”为禁用状态。


  其实这是不太正确,按照微软的解释“该安全设置,确定未受到密码保护的本地帐户是否可用于从其他非物理计算机控制台位置登录。如果启用该设置,那么未受密码保护的本地帐户将只能通过计算机键盘登录。此安全设置不应用于来宾帐户。”http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/45acdbfd-7d8e-4b70-b332-97f9e2d975e1.mspx 但这个问题,管理员在运用方法1中,应该酌情考虑。

关闭 Windows 空连接

关键词:$共享、默认共享、IPC$、NULL Session、空连接

一、修改注册表的通用方法:
  位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  名称:Restrictanonymous
  类型:REG_DWORD
  数据:0x2 或 0x1
  说明:0 无,依赖于默认权限;1 不允许枚举 SAM 帐户和名称;2 没有显式匿名权限就无法访问

二、针对 Windows 2000 的用户,可使用组策略:
  “控制面板”-“管理工具”-“本地安全策略”-“本地策略”-“安全选项”-“没有显式匿名权限就无法访问”
  下拉菜单选择“没有显式匿名权限就无法访问”

二、针对 Windows XP/2003 的用户,可使用组策略:
  “控制面板”-“管理工具”-“本地安全策略”-“本地策略”-“安全选项”:
  启用“网路访问:不允许 SAM 帐户的匿名枚举” 或
  启用“网路访问:不允许 SAM 帐户和共享的匿名枚举”

关闭 Windows 2000/XP 默认共享

关键词:$共享、默认共享、

一、对于 Windows 服务器版操作系统,进入注册表:
  位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
  名称:AutoShareServer
  类型:REG_DWORD
  数据:0

二、对于 Windows 非服务器版操作系统,进入注册表:
  位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
  名称:AutoShareWks
  类型:REG_DWORD
  数据:0

在“网上邻居”列表中隐藏计算机

关键词:网上邻居、芳邻、隐藏

方法1:进入注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建名为 hidden,类型为 REG_DWORD,值为 1 的双字节值

方法2:“开始”-“运行”-“CMD”-“net config server /hidden:yes

2007年3月17日

User Agent 错误导致 Windows Update 失败

Author: Hagen.GoO 转载请联系作者
MSN_contact: wantm009@hotmail.com
Keyword:Windows Update,升级,IE浏览器,User Agent
Quote:


  系统是 Windows 2000 SP4 专业版,最近访问微软的 Update 网站老是被重定向到 http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=zh-cn&thankspage=2& ,微软网站简约的提示:

该网站设计为仅与 Microsoft Windows 操作系统一起使用。
要查找设计用于 Macintosh 操作系统的 Microsoft 产品的更新程序,请访问 http://www.microsoft.com/mac/。




  有点莫明其妙,使用的是 Internet Explorer 6.0,怎么被提示不是 Windows 操作系统?一时也莫不着头脑,问题就阁下了,昨天更新 Flash 插件的时候,Adobe 网站提示不能通过浏览器定位我所使用的系统平台。

  怀疑 User Agent 的问题,于是取道微软知识库,搜索到 MSDN 上的一篇文字:http://msdn.microsoft.com/library/default.asp?url=/workshop/author/dhtml/overview/aboutuseragent.asp ,阅毕,在浏览器中输入 javascript:alert(navigator.userAgent) ,弹出对话框,其 Platform token 字样显示为:Windows 5.0;对比微软文中给出的 Platform token ,Windows 2000 对应应该是 Windows NT 5.0。

  随打开注册表 “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent”和“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent” ,把 Platform 的键值重新设定为 Windows NT 5.0,问题解决。

  附上正确的 Windows 2000 IE 浏览器 User Agent 注册表值。


2007年3月15日

ISP 劫持域名致 RBL 误判

Author: Hagen.GoO 转载请联系作者
MSN_contact: wantm009@hotmail.com
Keyword:域名劫持,电信,网通,RBL,垃圾邮件,antispma
Quote:


  上海的朋友在 MSN 上向我抱怨,说我推荐的邮件服务器不灵光,启用 RBL 的 AntiSpam 策略以后,全部邮件都被识别为垃圾邮件了。并举证了 Yahoo Mail 到他邮件服务器的发送情况。

SMTPD(10A800C8) [202.165.103.238] MAIL FROM:
SMTPD(10A800C8) [202.165.103.238] RCPT TO:
SMTPD(10A800C8) [202.165.103.238] d:\IMail\spool\Df46810a800c86908.SMD 1534
SMTPD(10A800C8) performing antispam checks
SMTPD(10A800C8) [00003356] BLACKLIST: connecting to service (sorbs.net:*:dnsbl.sorbs.net)
SMTPD(10A800C8) [00003356] BLACKLIST: 202.165.103.238 was found on list (sorbs.net:*:dnsbl.sorbs.net)
SMTPD(10A800C8) [00003356] message failed check which was marked as trusted, deleting

  在上述,他给我的一段 MTA Log 中,可以清楚了解到:
    1、Yahoo Mail 的 SMTP OUT 服务器地址是 202.165.103.238。
    2、本地使用的 RBL 是 dnsbl.sorbs.net。

  首先确认一下 202.165.103.238 这个地址是否真是 Yahoo 的,利用 Ping -a 得到带有 Yahoo Mail 字样相关的主机名,再 Ping 该主机名,得到相同 IP,这完全就能证明这个 IP 确属 Yahoo,从理论上说,Yahoo 的 IP 被加入 RBL 列表的可能性不大。

D:\>ping -a 202.165.103.238
Pinging web15815.mail.cnb.yahoo.com [202.165.103.238] with 32 bytes of data:
Reply from 202.165.103.238: ……

D:\>ping web15815.mail.cnb.yahoo.com
Pinging web15815.mail.cnb.yahoo.com [202.165.103.238] with 32 bytes of data:
Reply from 202.165.103.238: ……


  按照前文 http://hagengoo.blogspot.com/2007/01/rbl.html 的说法,同理使用 nslookup 命令名来查询该地址是否在 RBL 中:

D:\>nslookup -type=a 238.103.165.202.dnsbl.sorbs.net
Server: hzdns48.zjhzptt.net.cn
Address: 202.101.172.48

*** hzdns48.zjhzptt.net.cn can't find 238.103.165.202.dnsbl.sorbs.net: Non-existent domain

  得到 Non-existent domain,表示该域名记录不存在,也就是说这个 IP 地址没有被列在 dnsbl.sorbs.net 这个 RBL 中。为慎重起见,取道 http://www.au.sorbs.net/lookup.shtml 再次查询该 IP,得到的结果也是该 IP 不在 RBL 之列。

  无理论从理论上,还是实际测试:202.165.103.238 的这个 IP 都不在 dnsbl.sorbs.net 的 RBL 之中,但为什么 MTA Log 还是记录 “was found on list ”,误判?难道是 Mail Server 的设计有误?程序错误?于是随手翻阅了软件厂家的技术知识库和支持论坛,官方和其他用户都没有提到有类似问题发生。莫非这个“Bug”第一次让我们发现?

  不管是不是“Bug”,总还是要找出导致误判的原因的。RBL 归根到底还是 DNS 方面的技术运用,难不是他邮件服务器使用的 202.96.209.6 202.96.209.5 两个上海电信的 DNS 有问题?于是让朋友请出 Commview,令其在邮件服务器上抓几个 DNS 的数据包。此附截图,就是 Commview 抓取的 DNS 数据包的 docoder 信息:










  在截图中不难发现,这几个 IP 的 RBL 查询,从上海电信 202.96.209.6 的 DNS 服务器上得到的都是没有 Name Server 信息的畸形回复,且都被指向到 218.83.175.154 这个奇怪的地址,而用杭州电信 202.101.172.48 查询这几个 IP 的 RBL 记录,结果显示的都是不存在的记录。于是访问这个地址 http://218.83.175.154,居然显示是上海电信的广告页面。

  问题顿时明朗,正常情况:在 RBL 查询中,如果 DNS 能返回一个 IP 地址,则查询的目标 IP 就被认为正处在 RBL 中;如果不能返回 IP ,则表示目标 IP 不在 RBL 列表中。而现在上海电信的 DNS 把不存在的域名记录全部畸形的解析成 218.83.175.154,即任意 IP 的 RBL 查询,上海电信的 DNS 不管三七二十一都返回了 IP 地址,以致于朋友的 Mail Server 把所有的邮件都判定为垃圾邮件。

  最后附上一个完整的 Commview 数据包分析截图。存此立据。


2007年3月13日

阻止电信 PUSH 业务的小命令脚本

Author: Hagen.GoO 转载请联系作者
MSN_contact: wantm009@hotmail.com
Keyword:电信,弹广告,push,
Quote:

  杭州电信恶意推广其push广告业务,不仅劫持了微软 auto.search.msn.com 的域名,而且利用业务之便随意篡改他人网站的TCP数据包,最近更是变本加厉的直接把用户的正常浏览劫持到其“资讯魔方”http://60.191.62.5:86/ 的垃圾网站。

  在 Windows 命令行下执行如下脚本,就能简单阻止这些网站。虽然偶尔还会出现“该页无法显示”的提示,但起码可以不用再看到电信这些恶心的页面。


route -p add 58.61.155.42 Mask 255.255.255.255 192.168.0.44 metric 10
route -p add 219.133.33.46 Mask 255.255.255.255 192.168.0.44 metric 10
route -p add 60.191.62.5 Mask 255.255.255.255 192.168.0.44 metric 10
route -p add 60.191.62.4 Mask 255.255.255.255 192.168.0.44 metric 10


  其中 192.168.0.44 是和本机 IP 同网段的,但是不可到达的任意地址。比如你的网卡 IP 地址是 10.0.0.138,那可以用 10.0.0.44 代替上述命令脚本中的 192.168.0.44。

  如果你发现电信其他执行 push 业务的 IP 或域名,也可以自行添加,随便请通知我。

2007年3月10日

TrueCrypt 入门

Author: Hagen.GoO 转载请联系作者
MSN_contact: wantm009@hotmail.com
Keyword:文件加密,文件夹加密,免费加密软件,TrueCrypt
Quote:


  TrueCrypt 是开源免费、跨平台的磁盘、分区、文件夹加密软件。使用简单方便,据说官方统计,该软件的下载量已经达到了二百二十万。网站在 http://www.truecrypt.org/。年前看到有个文字说 TrueCrypt 已经被推荐为百大优秀安全软件,所以特地写个简单入门,方便菜鸟朋友。

  TrueCrypt 最新 4.2a 版,可以从官方 http://www.truecrypt.org/downloads.php 处下载。打开压缩包,双击 TrueCrypt Setup.exe 开始安装。



  安装完毕,点击 Windows 系统左下角的“开始”-“程序”,找到 TrueCrypt 的快捷方式,开启程序。



  首先说一下 TrueCrypt 的简单原理,他先把一个硬盘或者分区,或一个文件格式化并加密成一个虚拟磁盘(卷集),然后把该虚拟磁盘挂载到当前系统中,以一个独立标准盘符的形式存在,供应用程序正常读写。所以 TrueCrypt 是不能加密现有文件的,对于已有的文件,只能通过复制剪切的方式,存放到后建的加密虚拟盘中,而对于以后的隐私、机密文件则可以通过应用程序直接保存到加密的虚拟磁盘中。因此开启新安装的 TureCrypt 程序,首先我们做的就是创建加密卷集。



  以创建标准 TrueCrypt 磁盘卷为例。



  可以把 TrueCrypt 卷创建到新硬盘上,新分区上,也可以是某个文件中,这里以创建到一个文件为例。为了提高隐蔽性,我们可以把这个文件命名为 AVI、WMA、ISO、RAR等这样后缀。



  点击 Next 下一步到选择磁盘卷加密方式,TrueCrypt 支持 AES、Blowfish、Twofish、Triple DES 等加密算法,不同的加密算法,强度不一样,速度也不一样,我个人推荐使用 AES。



  下一步:设置卷大小,你可以根据实际情况确定目标大小。



  继续下一步:设置卷密码。TrueCrypt 支持2种密码方式:一是普通口令,二是密钥文件,在实际应用中,即可以单独使用这两种方式,也可以组合使用。我们以“口令+密钥文件”的方式创建 TrueCrypt 卷。输入口令后,勾选“Use Keyfiles”,并点击“Keyfiles”按钮选择或创建密钥文件。



  TrueCrypt 可以使用一个或者多个现有的任意文件,作为 TrueCrypt 新建卷的密码。TrueCrypt 以只读的方式使用这些文件,不会破坏这些文件,但这些作为 TrueCrypt 密码使用的文件,千万不要随意更改,否则你就会被告知密码错误,而无法使用这些卷了。



  TrueCrypt 也提供了 keyfiles 生成工具,你可以让 TrueCrypt 用随机数据生成密钥文件,然后再选择这些新生成的文件。



  密码设置完毕,务必请牢记,继续点击 Next 到格式化卷。注意文件系统选项,如果你要跨平台使用的,或者在 Windows98 上使用,那还是选择 FAT 比较方便。



  经过比较长时间的格式化,完成后关闭该创建向导,在主程序界面上通过“Select File”按钮,选择刚才创建的卷。并拾取一个目标盘符,点“Mount”开始挂载。



  TrueCrypt 询问目标卷的密码,输入正确的 Password 和 Keyfiles,才能被正常挂载。



  挂载成功以后,就能看到类似这样的对应信息。



  同时,也能在 Windows 资源管理器看到并打开目标卷。



  接下来就能和正常的盘一样操作。
  另外:TrueCrypt 还支持一种 Hidden TrueCrypt Volume 隐藏卷,就是卷中卷,即一个卷中隐藏另外一个卷。TrueCrypt 称之为 Outer Volume 和 Hidden Volume。Hidden Volume 包含在 Outer Volume 中。选择新建一个 Hidden TrueCrypt Volume 时,卷创建向导将先创建 Outer 卷,然后再创建 Hidden 卷。注意:Outer 和 Hidden 的密码千万不要相同。





  创建、使用隐藏卷的方法和标准卷类似,此处不多赘。只是在挂载的时候,如果你输入的是 Outer 卷密码,那么挂载的将是 Outer 卷;同理,你输 Hidden 卷的密码,挂载的就是 Hiddem 卷。

  TrueCrypt 4.2a 目前不支持 Vista 操作系统,但作为一个免费开源软件,TrueCrypt 实是不可多得,对一般用户来说,并不逊于同类的 OpenPGP 之 PGPDisk 等商业软件。

2007年3月6日

卸载罗技鼠标驱动 Logitech MouseWare 引发的 PS/2 键盘鼠标故障

Author: Hagen.GoO 转载请联系作者
MSN_contact: wantm009@hotmail.com
Keyword:MouseWare,罗技,PS/2,鼠标,键盘
Quote:


  某日PS/2的罗技3键鼠标挂了,于是更换了同是PS/2接口的双飞燕鼠标。
  试想:罗技的鼠标都摘了,留着罗技的 Logitech MouseWare 也无益,于是从“开始菜单”中卸载了 MouseWare,系统提示需要重启计算机,点击“确定”重新启动,哪知恶梦开始……
  重启完毕发现鼠标箭头消失了,而起PS/2的键盘,虽然 Numlock 灯亮着,但无法输入任何字符。   
  第一反映是死机了,于是按 Reset ,结果重新进入系统以后,鼠标键盘还是无法使用。
  没辙,联想到前几天碰到的 DELL 电脑 USB 键盘与 QQ 密码保护驱动冲突的案例,猜想可能是驱动,木马或者其他什么恶意软件导致的,进安全模式试试。于是再次 Reset,这次自检的时候,随手进了BIOS,以测试和确认键盘没有坏,并按F8进入到安全模式,结果安全模式还是无法使用这PS/2的键盘和鼠标。
  实在没有想法了,键盘鼠标都正常,但就是不能输入,真是第一次碰到,这次不 Reset 了,彻底断开电源,再开机进入系统,结果还是不行。抱着死马当活马医,随即插上一个 USB 鼠标,硬盘灯闪烁几下后,USB 鼠标竟然可以使用了。
  依着 USB 鼠标,打开“设备管理器”把PS/2的键盘和鼠标都删除了。然后再次重启计算机。
  重启完毕,系统提示键盘鼠标都已安装完毕,但晃晃鼠标,敲敲键盘,还是不能使用……,如此反复了几次,故障还是没有解决。
  头大……,点着 USB 鼠标借助输入法的软键盘功能,(感觉有点铁拐李似的)在网上信马由缰。忽然想到以前没插键盘鼠标的服务器偶尔有 i8042xxx 设备错误的事件日志记录。莫非现在这个问题也是 i8042xxx 引起的?
  打开注册表编辑器,进入 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt 发现其下的 Start键,其值是奇怪的 4。比对正常的系统,发现别人都是 1,于是也把本机的值修改为 1。然后再第n次重启计算机。启动完毕,奇迹发生了,PS/2的键盘鼠标终于可以使用。
  舒舒服服的敲打键盘,找到微软关于 i8042prt 的描述:The i8042prt driver controls the keyboard and PS/2-compatible mouse for the Intel 8042 controller。终于明白了:键盘鼠标都正常,驱动也正常,但控制 PS/2 键盘鼠标的 i8042prt 驱动,其 Start 类型被设置成了 4,而没有在开机时自动加载,所以导致系统不能相应键盘和鼠标的输入。

非简体中文 Windows XP 上手动安装“智能ABC”输入法

Author: Hagen.GoO 转载请联系作者
MSN_contact: wantm009@hotmail.com
Keyword:输入法,智能ABC,
Quote:http://www.declan-software.com/chinese_ime/index.htm


  一:从已经安装“智能ABC”输入法的电脑上复制 Winabc.cnt、Winabc.cwd、Winabc.hlp、winabc.ime、Winabc.ovl、winabcnt.ime、winabcx.ovl 几个文件到目标机器的 %systemroot%\system32 目录中;

  二:从已经安装“智能ABC”输入法的电脑上导出注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0040804,并导入到目标机器;

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0040804]
"Layout File"="kbdus.dll"
"Layout Text"="中文 (简体) - 智能ABC"
"IME File"="winabc.ime"


  三:在目标机器上,打开“Control Panel 控制面板”-“Regional and Language Options 区域和语言选项”-点击到“Languages 语言”标签;

  四:勾选并确认安装“Install files for East Asian Languages 安装东亚语言文件”,期间可能提示要插入XP安装光盘,安装结束后重启生效;

  五:继续来到第四步的标签上,点击“Text Services and Input Languages 文本服务和输入语言”对话框中的“Details 详细”按钮,弹出“Text Services and Input Languages 文本服务和输入语言”对话框;

  六:在该对话框中,点击中间位置的“Add 添加”,弹出 “Add Input Language 添加输入语言”对话框,选择隶属“Chinese (PRC)”下的“智能ABC”确定即可。

  七:Windows 2000 下的操作类似。

  另外提醒一下,千万不要使用 www.znabc.com 这个网站上的“智能ABC”输入法安装包,不仅需要10元的注册费,而且还包含有多个第三方流氓插件。

  附 Windows XP 简体中文版集成的输入法文件对应表:

全拼:Winpy.ime、Winpy.mb、Winpy.hlp、Winpy.cnt

双拼:Winsp.ime、Winsp.mb、Winsp.hlp、Winsp.cnt

微软拼音:Pintllime.dll、Pintlgab.imd、Pintlgai.imd、Pintlgb.imd、Pintlgd.imd、
Pintlgdx.imd、Pintlgie.imd、Pintlgnt.cnt、Pintlgnt.hlp、Pintlgnt.i96、
Pintlgnt.ime、Pintlgrb.imd、Pintlgri.imd、Pintlgs.imd、Pintlgsi.imd、Pintlgsx.imd、Pintlgu.imd、Pintlguc.imd、Pintlphr.exe

智能ABC:Winabc.cwd、Abcsda.dll、Abcwin.exe、Winabc.ime、Winabc.ovl、tmmr.rem、user.rem、Winabc.hlp、Winabc.cnt

郑码:Winzm.ime、Winzm.mb、Winzm.hlp、Winzm.cnt

内码输入法:Wingb.mb、Wingb.hlp、Wingb.cnt