Powerful Technology of IT

隨著網際網路的發展快速，各種網站也如雨後春筍般的快速發展，然而事情都是一體兩面的，在這改變人類行為的偉大技術上，惡意網站也跟著成長。從釣魚網站、惡意連結至被 XSS 後的站台數量難以估計，除了少數的惡意網站會提醒外，搜尋引擎清單中的網站安不安全也要點下去才知道。而這次要介紹的是 TigerLin 非常愛用的安全工具：McAfee SiteAdvisor，此工具除了 Internet Explorer 外也支援了 FireFox。

• 取得與安裝
  先至 SiteAdvisor 官方網站下載一個 exe 執行檔後，安裝程序就會開始進行。這裡要注意一點：SiteAdvisor是免費軟體，因此按裝支出會有一個項目是勾選的，這個項目會幫你安裝 Yahoo! Toolbar 工具，如果不想安裝則將勾勾取消選取即可。
  
  
  
  而安裝好之後別按太快，還有一個設定要注意，請看下圖 (TigerLin 第一次按太快中招了 ><)
  
  
  
• 瀏覽器 & 搜尋引擎整合
  安裝之後開啟瀏覽器則會看到多了一個 ToolBar，如右上角所示的綠色圖示代表著目前頁面的安全性，而搜尋結果中後方的圖示則是表示搜尋結果的安全狀態，可將滑鼠移到圖示上面會有簡單的報告顯示。
  
  
  
  只看到綠色的狀態感覺可能沒那麼強烈，TigerLin 找一個惡意連結來 Show 一下：
  
  
  
  是不是非常的 "耀眼" 啊~危險訊息整個都非常顯眼的顯示出來了，這個網站就要格外注意。有人可能會問：「咦？畫面上這個軟體我也有在用，他並不是什麼惡意軟體啊!」，這裡的資訊除了 McAfee 有做分析外，也包含了「使用者回報」的結果，回想一下，畫面這套軟體在安裝之前不是有個可選擇 "是否安裝贊助" 的選項？只要你安裝了贊助，納廣告可說是在 Windows 中深耕，直到你將軟體移除為止
  
• 進階功能
  SiteAdvisor 可以在搜尋姐果顯示危險以外，更可瀏覽更深入的報告，以得知該網站為何被列入危險站台。在 TigerLin 來看，分析危險因素可以當作自己網站的借鏡，使用者覺得不舒服的行為在設計網站之初即可避免。
  
  
  
  
  在報告之中 TigerLin 覺得很棒但也很尷尬的機制就是「使用者檢閱」機制，除了官方的報告外，使用者只要註冊之後即可對站台新增自己瀏覽的感覺。如果這個網站廣告很多或是放置許多廣告繁多的軟體，則會被標記「廣告軟體、間諜軟體或病毒」的標籤。以範例的苦主網站來說，其實站內的軟體不要勾選讚駔也可安穩使用，但會被標記為"危險"就是因為有一個使用者回報...
  
   
  
  這個機制就像是雙面刃，懂得人可以很正確的回報該網站的安全狀況，但不懂或一知半解的人可能因為某些原因而回報了容易誤判的訊息。為了解決這個狀況 McAfee 設置了三個等級的檢閱者：
  
  普通檢閱者 Reviewer
  進階檢閱者 Experienced Reviewer
  專家檢閱者 Expert Reviewer
  
  越高等級的檢閱者判定的站台則準確度越高，像上圖的就是一般的檢閱者，如果要確認站台安全性的話則可自己在深入的追蹤與確認一番。
  
• 企業應用
  在企業應用中 SiteAdvisor 是在維護 Client 環境中必備的外掛之一，也許它的準確度不算完美，但透過簡單的教育訓練告知「有紅色叉叉的網站不要上」的概念，在不刻意封鎖 URL 的情況下確實可降低許多莫名的問題。前提是教育訓練要落實，不然遇到小白還是一樣...慘。部屬方面此程式是以 exe 型式封裝，AD 大量部屬時必須將其手工封裝成 msi 才可進行大範圍佈署。
  
• 參考連結
  Site Advisor 官方網站 http://www.siteadvisor.com/

Windows 2008 內建 Hyper-V 之後，使用者也越來越多，TigerLin 本身也是從 VMWARE 跳到 HYPER-V 的其中一位使用者。由於 HYPER-V 是內建的服務，不用再額外安裝軟體，因此方便度也是 TigerLin 考量的因素之一。

但 HYPER-V 是屬於全虛擬化，因此需要硬體上的支援，CPU的規格還好查，只要有支援 AMD-V 或 VT 即可，比較麻煩的是主機板的規格查詢，各家廠商產品很多，買錯了又變成約大頭，退貨或換貨也很費工。網友 martinjc 在 [IT敗家] 為了架設 10 台以上的 Hyper-V VM !! 我敗家了~~ 一文中問到了「ASUS P6T SE 是否有支援 HYPER-V」，TigerLin 很肯定的回答﹝有支援!!」。為什麼 TigerLin 感那麼有自信的回答?? 難不成是使用傳說中的通靈能力得知嗎？不~其實是否支援硬體虛擬化的訊息...在主機板的使用者手冊就都有說明了 ^^

這裡我們以 P6T SE 為例子， TigerLin 去下載了 11M 的使用者手冊，並且嘗試搜尋 "虛擬" "Virtualization" 等關鍵字，果不其然的在搜尋 "Virtualization" 時就找到了：


這時就可以非常確定這個型號的版子有支援 HYPER-V 了，因此...如果看上了中意的主機板卻又不知道是否支援 HYPER-V 的時候，看使用手冊的 PDF 就對了 ^^b

參考連結：
ASUS P6T SE http://tw.asus.com/product.aspx?P_ID=t4yhK6y9W9o7iQ9E

資訊安全除了技術以外，制度以及管理層面也都必須兼顧到，這雖然聽起來很理所當然，但執行起來還真的有難度。每次資安評估報告撰寫時都可以用的美侖美奐，老闆也覺得非常的好，但總覺得好像少了些什麼，而資安評估項目中又有許多的細節要分析，對於不擅長資安或是該領域的新手都花費許多時間在處理報告。

今天要介紹的這個工具也是微軟出品免費評估工具，用起來很像是 MBSA 的姊妹品，其中的差異為一個偏向設定與技術面 (MBSA)，一個則是偏向企業流程制度面 (MSAT)，可說是各有所長。MSAT 4.0 相當於一個完整的資訊安全問卷系統，中間詢問的問題數量非常多，且詢問深度也很仔細，有些問題還是 TigerLin 比較沒想過的。因此 TigerLin 覺得這個工具除了可快速評估企業安全外，也可以幫資安領域的入門者打好一些管理面基礎。

• 工具下載
  先至 http://www.microsoft.com/downloads/details.aspx?displaylang=zh-hk&FamilyID=cd057d9d-86b9-4e35-9733-7acb0b2a3ca1 下載 MSAT 4.0，MSAT 有中文版的，因此英文不好的人也不用
  擔心看不懂。繁體中文只有香港特別行政區的版本，TigerLin 測試過可安裝在台灣區域的系統，不會有特別的錯誤或異常發生。安裝期間 MSAT 會另外下載與安裝 SQL Server Compact ，因此安裝期間物必要讓網際網路保持通訊狀態。
  
• 開始使用
  安裝完成後，至開始功能表啟動 MSAT 4.0，會看到一個 [管理概況] 的視窗，最初預設會是完全空白的列表，點選下方的 [新增] 即可開始進行精確的評估。
  
  
  新增後第一步驟會先針對企業的「概況」進行評估，這一部份的問題還算較少的，因此可以快速完成。
  
  
  當「概況」評估完成後，複雜的「評估」就要開始了，TigerLin 做了大概 20 分鐘才將整評估完成，一定要耐心的做完才能獲得準確的報告
  
  
  
• 評估結果
  在做完評估題目後，評估結果也跟著出爐了~報告一共分為三種類，且可完整輸出成 Word 2007 的格式，效果十分好~
  
  摘要報告 - 簡單的 BRP 與 DiDI 長條圖，下方附有簡短的說明圖表是否有異常。
  完整報告 - 鉅細靡遺的每個項目都深入說明，並提供安全性改善的建議。
  比較報告 - 可以與網路上的報告互相比對，看看自己企業內部的評估報告。此功能必須將現有的報告上傳才能作比對。
  
   
  
  而將完整報告輸出成 Word 感覺也十分的專業，且內容講解也十分詳細，稍加修改之後可以將此報告呈給長官或客戶看，效果應該不賴 XD
   
  
  
• 相關連結
  MSAT 4.0 下載

資訊安全中「憑證」扮演著一個很重要的角色，除了可加密往來的資料外，也可確認來源是「本尊」。一般憑證使用的用途不外乎：

• 需要加密的網站
• 無線網路 802.1x
• 電子郵件 S/MIME

而核發憑證的方法有很多，在具有 AD 的環境下可使用 ADCS 自己發行憑證，不過這一般都是用在企業內部 802.1x 的無線網路環境用，真的用到外寄電子郵件的話憑證是不會過的。而本篇主要說明的是電子郵件憑證，且要達成：

• 外寄郵件可使用
• 安裝容易簡單
• 核發快速
• 免費！！！

啥？免費？？TigerLin 你騙我嗎？企業郵件憑證怎麼可能免費？都要前才有的啊！之前 TigerLin 還任職於某個「很憂鬱的商店」時，在辦理憑證的過程中順便瞭解該公司辦理的各種產品。瀏覽之時就看到了「個人免費電子郵件憑證 Free Secure Email Certificates 」，當下就對這個東西產生了興趣。仔細一看之下真的是免費的，且限制很少，不用像一般申請憑證一樣要填寫一堆東西。在好奇心的驅使下自己也申請一個來用，使用起來真的與企業憑證沒兩樣，且寄出的郵件多了一個紅色的驗證勳章感覺還滿棒的。

TigerLin 目前是使用 Google 的企業郵件系統，搭配 Outlook 2007 SP2 可簡單輕易的搭配，對於郵件安全很重視但又不得其門兒入的朋友們可以試試這個簡單快速又免費的解決方案唷～

• 申請流程與安裝
  先至 寰宇數位 的 產品介紹 頁面拉到最下方可看到一個 個人免費電子郵件憑證 Free Secure Email Certificates 的產品
  
  
  進入產品介紹後，即可按下「免費申請」進入申請的流程。這邊的訊息要稍微看一下，看看 MUA 是否有支援。
  
  
  接下來按下「繼續申請」開始填寫資料。
  
  
  你沒看錯，就這幾個欄位而已！將以下的幾個欄位簡單填寫後，到下面同意合約即可開始 Request Certificate 。憑證會寄送至 Mail 信箱中，所以 Mail 不要填錯了，填錯那張頻正也等於是沒用了 ^^”
  
  
  等待一下後，在信箱會收到一封 COMODO 的郵件，信中會有一個紅色的 Botton，點一下連到 COMODO 的網站即可正式開始安裝憑證
  
  
  剩下的過程就一直按「是」即可，核發完畢後會直接安裝在 Outlook 中，連手動安裝都不必，真的是很方便的啦。
  
  
• Outlook中確認憑證
  安裝好之後開啟 Outlook 2007，並至「信任中心」的「電子郵件安全性」頁籤，即可看到預設設定的 S/MIME 已經作用了
  
  
  瀏覽憑證資訊，完全正確。此憑證可用期間為一年，且下方有鑰匙的圖案代表這個憑證是有作用的。也別忘了可利用上圖所示的「匯入/匯出」功能將憑證匯出保存，因為遺失之後可要一年後才可申請的唷。
  
  
• 驗收成果
  使用加入憑證後的郵件以 Outlook 自己的帳號寄信給自己，就可以看到以下的資訊了~傳說中的紅色勳章出現了~
   
  
  申請前後不到十分鐘的時間馬上就有一種不同於一般人的郵件，感覺是不是很棒啊~千萬要記得，因為是免費的憑證，相對之下遺失之後很麻煩，要一年以後才能在申請，所以一定要在安裝完之後先將憑證進行備份。而在最後要大力推薦這家廠商一下，之前在「很憂鬱的商店」時對憑證比較不懂，他們的業務以及技術人員都非常的有耐心回答，且服務真的非常好，不像某些大憑證公司都跩跩的，因此推薦他們 ^^~
  
• 參考連結
  寰宇數位官方網站 http://www.ssl.com.tw
  

某一天 TigerLin 的朋友急電，匆忙著說著 Windows 2008 AD 服務在剛剛斷電後就無法登入了。首先確認災情範圍是否嚴重，詢問之下其他登入都正常，只有 Domain Admins 的帳號無法登入 AD Server。可是這個「只有」聽起來還滿嚴重的…Domain Admins 無法登入 AD…那 AD 不是玩完了...後面的管理與維護都不用了。

根據朋友給的訊息一下就 Google 到了 TechNet Forum 上的高手解答，喔喔喔~是 Vincent Lin 大師的解答，簡單的幾個步驟就讓這個問題迎刃而解了。將連結轉給朋友後，也將這一篇解決方法 Booking 下來，也許哪一天 TigerLin 會用上也說不定。

最近比較忙實在是沒空深入了解其中的含意，只能說：帥啊!! Vincent Lin 大大~

相關連結：
User Profile Service服務無法登入