2010年1月22日 星期五

爆肝的收穫:網管求生手冊(MIS Surviving Manual)

20 則留言:
經過了好一段時間的辛苦(爆肝)與等待,終於實現了一個自己所許下的的目標,就是將自己這些時間以來,在網管這個崗位上所學到的內容與想法,做了一個比較有系統的整理,甚至將這些原本看似散亂的想法集結成冊,其實在去年年底《部落格的年度總結(Summary of IT Blog in 2009)》一文中,我已經有透露些出書的訊息,當下也收到了很多朋友的祝賀,在此還是相當感謝大家的鼓勵。

如今,不再只是那冷冰冰的ISBN,而是拿到了熱騰騰的書《MIS 救難手冊 ─ 網管問題實戰速解》,多謝這段時間裡協助我完成這本書的編輯、插畫和朋友們,也因為有你們一起爆肝(感覺是被我拖下水的...),更顯出這本書的珍貴。


原本想要寫這本書的時候,只是單純以自己的角度,來描述網管這份工作會遇到的問題及解決方法,寫到後面,反而會想著:「當初我還不是網管時,最想知道些什麼?」,在這樣子的想法之中,其實內容的定位還是會有所差異,經過反覆幾次的修改之後,才完成了這本《MIS 救難手冊》,希望也能夠給想往網管這條路的人(不歸路?),打上強心針的一本書。

2010年1月19日 星期二

網路喚醒與關機(Wake On Lan and Windows Shutdown)

46 則留言:
先前已經有介紹過網路喚醒的功能《網路喚醒的應用》,不過那是透過Linux的平台之下來進行,或許對於一般使用者來說的應用機會不大(但是對於自己在外打拼的遊子來說,網路喚醒就有它的重要性),所以這次我就補充一下在Windows中可行的方案,同時再透過批次檔的方式來整合一些小程式,以便於一般人使用。

其實在網路上也有wol的程式是採取圖形介面,甚至有網頁可做為網路喚醒的中介平台(參考網頁:Depicus ─ Wake On Lan),但是對於管理者來說,透過圖形介面跟網頁模式來執行這網路喚醒的動作,或許在安排執行的流程時,還是比不上透過類似批次檔的命令模式來的便捷,也比較不容易受到使用者的干擾,所以我才會將原本就已經是透過指令來執行的Wol程式(以wolcmd為例),再透過批次檔的方式加工成較簡單的流程,或許自己用起來也比較直覺。

除了遠端喚醒之外,在某些特殊的情況之下,還可以透過遠端連線的方式來強制關機(例:使用者下班後不關機),雖然也能夠透過遠端連線之後(遠端桌面、Telnet或ssh...等),再來操作關機的動作,不過,要是每台電腦都得透過如此冗長的關機手續,我想可能直接過去幫他關機也還實際一些,還好在Windows的環境下有「Shutdown」這個小程式可用(Windows 2K可由XP內COPY過去即可使用),甚至在微軟的官方平台上有更為強大的PsShutdown可用。

2010年1月14日 星期四

免費空間與廣告(Free Space and ad)

沒有留言:
最近有關Google有關的新聞,除了跟中國的網路政策正面槓上(原文)之外,另外一個就是Google Docs將要開放250MB的上傳空間(原文),提供給使用者能夠上傳「文件格式」的檔案,做為共享的平台與空間,我想對於使用者來說,應該算是一件好事,又多了一個能夠多人共享的免費空間。

雖然它的美意是要讓使用者,能夠不必使用隨身碟來做為檔案攜帶的媒介,但是以現今的隨身碟容量和它所提供的250MB的空間,是否能夠達到這種效果,應該也不言而喻,或許用來應急時是個不錯的選擇,除此之外,現在網路上有著為數不清的免費空間、同步平台也在提供著類似的服務,只是在需要帳戶認證或是會受廣告荼毒的選擇中,端看使用者覺得那種好用,至於穩定性,我想...免費空間似乎也不太能夠去要求些什麼吧?頂多只能比較下載檔案時的頻寬而已。(在免費的前提之下)

2010年1月6日 星期三

商用電腦的累贅(Redundant Functions of Business Computer )

6 則留言:
商用電腦」這個名字,我想對於一般消費者來說,應該是敬謝不敏居多,原因無它,因為「商用」二字,就代表著可能得要付出較多的金錢,才有辦法把眼前這台電腦(無論是PC或NB)帶回家,不過,也可能是代表它的耐用程度較高,或是比較貼近商務上的需求,甚至對於公司或企業來說,採購商用電腦或許還能夠將作業系統的授權費用,在不同的時間點中攤提。

當然,這是指沒有大量需求時的採購狀態,如果一次性的大量採購,或許在採購的方式上,可能就有其它的選擇可以考慮,不過商用電腦的組合,的確也為使用者帶來了不少的便利(尤其是這幾年作業系統的混亂期),同時也省去了不少的麻煩,但是商用(品牌)電腦的演進,似乎從來都沒有考慮過使用者的需求,或者是真的採購商用電腦的使用者族群是誰?管理者是否喜好這樣子的配置方式?

所以,管理者在拿到商用電腦的時候,就得先調校(大刪特刪)一番,才能夠把它交付到使用者的手中,或許這些跟產品定位有關,但是...我相信應該有更好的選擇方式,有時候對使用者來說,不要給他們太多的選擇才是最好的選擇,畢竟,不是什麼東西都愈多愈好,接著我就整理一下,商用電腦中那些讓人不知如何是好的「額外好處(麻煩)」。

2009年12月30日 星期三

部落格的年度總結(Summary of IT Blog in 2009)

10 則留言:
今年(2009)又快要過完了,不免俗的總是要在接近年底時,來個年度的部落格總結,老實說,如果用文章數量的方式來當作成績單的話!我應該是一整個不及格到了極點,每年幾乎都是以打對折的方式在退步,或許這也跟寫文章的感受與心態有所不同,我想每個部落客心中,都有一把屬於自己專用的尺,更何況寫文章原本也是件相當個人的事。

最早,我從每週試著逼自己一定得寫個三、四篇,去年變成週記之後,今年是覺得想寫的東西,得先在自己心裡有了個完整的雛型,才會真正開始下筆,畢竟要寫出一篇文章,有時也得自己花上不少時間進行測試、驗證,雖然寫文章是個人的事,但是帶給別人錯的觀念或做法,好像就不是自己好就好的一件事,所以,今年的文章數量也是真的銳減不少。(當然也有一些其它的個人因素,繼續往下看就會知道...)

不過,反觀今年的IT內容,老實說也真的沒有太多話題可說,除了「Windows 7」、「雲端」、「小筆電」、「微網誌」和「Facebook」之外,還有誰可以多列舉一些不同的東西嗎?老實說,先前我在寫特定平台或媒體的文章時,腦子裡的想法也很難繞出這些東西之外,或者是說,在金融海嘯之後,在IT中要能夠丟下一顆足以激起漣漪的石頭,不是形狀特別奇怪,就是得要夠大顆的石頭才能看見它的效果,因此,我也就簡短地說說,我在這一年之中看見的種種現象吧!(有些想法並沒有特別發文,或許都是一念之間,而且還得經過時間來證明)

2009年12月21日 星期一

賽門鐵克企業版SEP 11.0之使用心得

沒有留言:
Symantec」這個名字對於一般使用者來說,可能比較沒有印象,如果是改成「Norton」的話,或許很多消費者就能夠馬上反應過來是防毒軟體廠商,其實Norton只是Symantec公司中的一部分,但是換個角度切入的話,如果是企業端的用戶,或許對於Symantec的識別度也就高出許多,因為它們在企業端主推的系統防護軟體,是較為全面性的「端點防護(Symantec Endpoint Protection)」,簡稱為:「SEP」,從SEP 11.0(目前最新的版本序號為11.0.5002.333)推出到今年,已經歷經多次改版,比起以往的Symantec AntiVirus 10版,這次還加入了「主動式威脅」與「網路威脅」的防護功能。

其實對於SEP 11.0這套軟體的測試,比較不能夠以防毒軟體的角度來看待,因為它整合了許多周邊的管理功能,或許可以將它視為一種企業內的解決方案會比較恰當,至於是否適用於每個企業內部,就得視公司對於這部分的重視程度,以及想要管控的範圍到什麼程度而定,其它的就是如果調教這樣子的系統,融入企業內部,並且發揮它最大的效益,我想,這才是資訊(管理)人員所最在意的課題,畢竟這一類的套裝軟體功能頗多,在此我會針對較具特色的相關要點來介紹,如果有興趣的資訊(管理)人員,可以在它們的中文官網上找到相關的說明才是。



軟體名稱:Symantec Endpoint Protection(賽門鐵克端點防護)
軟體版本:11.0.5002.333(2009年9月21日)
適用平台:Microsoft Windows、Linux
軟體類型:商用軟體
官方網站:http://www.symantec.com/zh/tw/business/endpoint-protection
試用下載:http://www.symantec.com/offer?a_id=24829


特點介紹:

其實對於企業端的產品而言,絕大多數都會將管理機制設計在軟體之中,所以對於集中控管的功能來說,應該是這類軟體必備的功能之一,其實以SEP 11.0來說,這部分整合算相當不錯,幾乎所有使用端的設定都能夠在管理介面(主控台)中,透過網路來進行相關的設定與控制,只要再最初派送安裝前,做好相關功能的設定即可。


雖然這些功能或許在具備Windows AD的架構之下,也有相似的解決方案,但是軟體若本身就具備這樣子的功能,或許在企業內應用時,它能夠調整的彈性也比較大,這也是一般消費性產品所無法相提並論的部分。

除了這個中央控管的功能之外,它也利用了這個管理介面的支援性,提供了下面幾種由管理者介面,可以直接控管使用者電腦(被控端)中SEP 11.0的相關功能與設定,其中較具特色的功能如下:

1. 個人防火牆:

在打開主控台的操作介面之後,可以依「政策」、「防火牆」的路徑下,在右方的「防火牆政策」上,按右鍵點選「編輯」之後,就可以在「規則」選單中,看見它相當嚴密的防火牆設定,它能夠依管理者的需求來進行相關的細部設定,雖然剛看見這麼多設定時,會有點不知道該從那邊下手,不過,站在企業內資訊安全角度來看,寧願軟體本身有提供那些功能,也總比需要時卻無法支援來得好。


畢竟公司要選用一套資訊防護的軟體時,就是希望能夠貼近公司擬定的資訊政策,同時藉由這個防火牆的設置,避免使用者的個人習慣,造成公司平白無故的損失,所以這樣子的防火牆設定,的確有其必要之處。

除此之外,它在「流量與隱藏設定」中還提供了一些進階的功能,可以避免使用者受到流竄於區網之中,較難被查覺到的惡意攻擊,例如:MAC的欺騙。


2. 雙層IPS:

除了防火牆之外,SEP 11.0還提供了兩種形態的IPS(Intrusion Prevention System:入侵預防系統),簡單地說就是提供了「主機端」(主動)和「網路端」(被動)的入侵防禦,因為主機可能受到的入侵管道,除了來自網路上的惡意來源之外,就是存在於電腦主機中的惡意程式,我想這種雙層IPS的設計,主要是讓系統具備較為完整的防禦功能,避免過分關注來自外界的危險,進而輕忽了透過別的管道進入內部的惡意程式,甚至它能夠從內部竊取資料,再透過其它管道對外進行傳送(這也是防火牆最常忽略的部分)。

在主機端的IPS中,SEP 11.0採用了「TruScan」的技術(是一種行為分析的技術,據官方資料指出,誤報率僅為0.004 %),管理者只需要從主控台的「防毒與防間諜軟體政策」中,就可以針對「TruScan主動掃描威脅」這部分進行相關設定,設定完成之後,就能夠直接套用在使用者的SEP 11.0之中,不再需要管理者出馬,到每個使用者面前來幫他們進行這部分的設定。


至於網路端的入侵防禦,在SEP 11.0的主控台中,就是直接獨立於「入侵預防政策」的設定當中,預設的狀況下,所有在它管轄的主機,都會透用這裡的設定值,如果你想要排除特定主機在這部分的防禦時,就可以勾選「啟用排除的主機」,並在內部設定中寫入相關的主機資訊即可,當然也可以在主機的群組中先將有這類需求的主機,分類在不同的群組當中,在指派相關設定檔時,直接略過該群組也一樣可行。


3. 應用程式控制與裝置控管:

除了針對主機整體的安全性防護之外,其實SEP 11.0之中也具備應用程式控制的防護功能,讓管理者能夠設定應用程式對於系統資源存取的權限,以免應用程式被惡意程序劫持,進一步對系統造成傷害,舉例來說,先前造成大規模感染的隨身碟病毒來說,如果在應用程式控制的控管之下,我們就可以在這邊將應用程式對於USB設備連線磁碟機的寫入權限給關閉,它就無法進行感染的動作,接著再透過詳細的掃描與檢查,查殺位於系統或是隨身碟中的惡意程式。


甚至,可以採用更為極端的方式,直接從中控台裡進行輸入(出)裝置的控管,降低由實體裝置導至主機受到惡意程式侵襲的可能性,同時能避免內部的重要資料被使用者複製出公司,雖然這部分的裝置管制,可以透過主機的BIOS或是某些資產管理軟體(價格頗)的協助來達成,但是在SEP 11.0中,它也直接將這部分的功能放進了這個套裝軟體中,讓管理者不需耗時去處理這部分的危機發生,甚至有些管理者還會直接用熱融膠或是矽膠(Silicone)來把周邊設備封死或拆除,光是用想的就覺得累,現在只需透過SEP 11.0提供的裝置控管,就可以達到一定的成效。


為什麼我沒有特別題到主控台政策設定裡的其它功能,例:LiveUpdate集中式例外...等,並非是它們的功能不好,而是在實際操作上,這部分比較偏向防毒軟體的運作模式,再加入了中央控管的功能,因此,我在這部分就沒有多加著墨,一般的管理者通常看到這樣子的設定介面,應該也能夠立即上手,不需花費太多的時間來熟悉,我想這也是軟體操作上的一項重要指標。

更何況,在本文一開始我就提過這套軟體不應該用單純防毒軟體的角度來看待,所以,在介紹SEP 11.0的特點時,我比較著重在它周邊能夠提供的解決方案,如果需要瞭解SEP 11.0所使用的防毒或防間諜軟體的技術,應該可以在官網上找到不少資料才是。

總結:

在測試SEP 11.0的過程當中,安裝部分沒有遇到什麼問題,只要事先依照它提出的系統需求,準備好這樣子的安裝環境即可,以我的角度看來,最大的差異就是使用者的電腦是否要受中央伺服器(主控台)控管這一點,除此之外,它提供的端點防護功能,算是一套蠻完整的資訊安全的解決方案,畢竟它的確能夠為管理者帶來更多的附加效益(例:應用程式控制與裝置控管)。

其實以防毒軟體來說,最多人在討論的除了它的功能之外,就是它所佔用的資源多寡(記憶體使用量),以「SEP 11.0」來說,管理主控台(Smcsvc.exe)的部分,視實際的使用狀況,大約會佔去80至100 MB的記憶體,至於使用者所安裝的SEP 11.0套件,包含了五個程序(ccAPP.exe、ccSvcHst.exe、Smc.exe、SmcGui.exe和RtvScan.exe),這些程序在靜置時,佔用的記憶體總量約為 25 至 30 MB左右。


若是直接由使用者自行啟動「完整掃描」的時候,除了原有的「RtvScan.exe」會從 3 至 5 MB,增加到 40 MB之外,還會另外增加一個約8 MB的「SavUI.exe」(掃描介面),若是由管理主控端來指派使用者進行全系統掃描時,就不會多佔用這8 MB的記憶體,由此也能夠看出由中央控管的好處,不僅對於管理者有好處,甚至也能夠幫助使用者節省記憶體的資源。


以企業內部使用的角度來看SEP 11.0,它的確是一個十分具備優勢的資訊安全軟體,只是對於規模較小的公司或中、小企業,或許還是會採用消費端的安全防護軟體(例:Norton Internet Security),畢竟預算的成本對於公司來說可能仍是最大誘因。

不過,當公司內有考慮要導入類似資產管理的軟體時,就可以考慮看看是否能藉由SEP 11.0來替代,這麼做說不定能夠為公司省下一筆相當可觀的軟體授權費用,只是要先評估公司想要管制到什麼程度,如果SEP 11.0能夠符合需求的話,就算它的導入成本較一般消費端的產品高,仍然可以算是一套C/P值頗高的安全套裝軟體,如果有興趣的話,您不妨也可以下載試用版來進行測試,說不定你會發現到更多你所需要的功能,到時候再來進行導入的評估也還不算遲。

2009年12月18日 星期五

即時通訊傳檔的安全掃描(Security Scan for IM Transferring)

6 則留言:
現在的即時通訊(IM)相當的發達,無論是Windows Live Messanger(WLM)、Skype或Gtalk...等,都屬於是即時通訊的一種,先前一波透過即時通訊,來散布病毒與惡意連結的掘起之後,現在的防毒軟體,「基本上」都具備掃描即時通訊傳檔的功能(這邊以WLM為例,至於一般版本的Skype,似乎沒有辦法針對這部分來做手動掃描的設定),至於是由使用者手動設定,或是由防毒軟體本身,來修改即時通訊(WLM)中的檔案傳輸時的病毒掃描設定。


(例:C:\Program Files\...\navwnt.exe)