我们正在使用Microsoft的System Center Endpoint Protection(SCEP)作为我们的防病毒解决scheme。 我们在SCCM中设置了在发现病毒检测时向服务台和系统pipe理员发送电子邮件。 但是,我看不到在哪里可以configuration它,以便在最终用户几乎感染自己的时候popup消息。 最近发生了两次,在terminal服务器上有一个用户试图多次下载受感染的文件,因为他们不明白为什么它没有打开。 在一种情况下,用户试图下载他们认为是税务表格,但实际上是一个恶意的.EXE。 他们做了13次! 我和服务台得到了13个通知。 我们不得不打电话给那个用户,并告诉他们为什么从一个非政府网站上下载政府表格是一个坏主意。 通常情况下,我不是软件的粉丝,每个小东西都会让你的脸看起来很平凡。 用户总是被安全提示轰炸,他们不知道他们的意思。 但在这种情况下,我认为如果用户得到一个可怕的popup窗口或者说什么“嘿,停止这样做! 在“反恶意软件策略”中,我没有看到任何地方可以为最终用户configuration通知。 我们使用SCCM 1602(又名SCCM 2016),但这同样适用于SCCM 2012.所有计算机都安装了最新的AV代理。
我一直在拼凑一个快速和肮脏的脚本来返回一堆IP地址的地理位置。 我正在使用freegeoip.net,并找不到一个快速的wget等效于cmd行,所以使用powershell脚本,从我的batch file调用它(或者至less尝试,我认为这是我失败的地方)。 命令行是: for /F "tokens=* usebackq delims=" %a in ("E:\DATA\02.ips.txt") do ( set /a N+=1 powershell -command "E:\DATA\Resources\geolocation.ps1 %a" ) (第一行需要跳过包含标题,而不是IP) 地理位置.ps1是: wget freegeoip.net/csv/$args[0] -OutFile "E:\DATA\IPs\$args[0].txt" 我希望这会给我一个每个IP的返回CSV的文件夹,然后我可以整理成一个文件与副本E:\ DATA \ IPs * .txt alltheips.txt然后该文件将被加载到另一个应用程序使用。 这个(显然)散列是从我search和拾起来的东西混合在一起的,但是,(显然)我实际上并不知道我在这里做什么,所以任何帮助,在失踪的一块将不胜感激! 简而言之,我所追求的,就是把我的IP地址列表(我有一个文本文件有一个头文件,然后每一行都是一个新的IP地址,这些文件是x长度的,每次运行都会有所不同 – 偶尔它将是空的,所以如果我可以检查文件的长度,并且是否只包含标题来跳过这个过程会很方便。 检查这些IP与freegeoip.net,并将它们提供的数据整理到一个文件中,以便将用户的位置与我通过IP保存的其他数据关联起来。 干杯!
我正在IIS服务器上的目录上实施文件审核,以便在有人尝试修改或删除任何文档时收到通知。 我设置Advanced Auditing Policy\Audit Policies\Object Access:File System来审计成功和失败。 根据我读过的所有文档,下一个阶段是将SACL设置为需要监视的任何文件/目录。 但是,在设置SACL之前检查安全事件日志将显示许多事件ID 4656(请求对象的句柄)。 阅读这些事件表明,他们正在筹备访问各种系统文件。 我访问这些文件/目录的属性对话框,并单击安全选项卡上。 接下来,我点击高级button,然后select审核选项卡。 在那里我看到审计已经为Everyone用户设置了logging所有的写入。 接下来我运行了一个powershell脚本: Get-ChildItem -Path "C:\" -Recurse | ForEach-Object { $file = $_.FullName $(Get-Acl -Audit $file).GetAuditRules($true,$false, [System.Security.Principal.SecurityIdentifier]) | ForEach-Object { Write-Output $file } } 列出所有启用审计的文件/目录。 事实certificate,在这个IIS框中,我有超过32,000个文件启用审计。 考虑到过去我可能已经启用了这些function,接下来我会对域控制器运行相同的脚本,并计算出相似的数字。 这些都在testing环境中,所以我接下来将脚本运行到另一个生产IIS服务器(我没有构build),得到了类似的结果。 所以我的问题是: 这是正常的吗? 安装了32K以上的审计SACL文件,但策略最初是禁用的? 启用策略导致事件日志填充无用的事件 – 在testingIIS服务器上,我注意到在一个小时内发生了大约100个事件。 虽然我可以很容易地修改上面的脚本来删除这些SACL,然后只添加我需要的,这是一个安全的事情吗? 更普遍 – 我错过了一些明显的东西?
我有多个使用Microsoft PEAP和自签名证书的NPSnetworking策略。 当我们的内部CA自动更新证书时,所有的networking策略将切换到安装在NPS服务器上的另一个(看起来是随机的)证书。 发生这种情况时,无线客户端无法进行身份validation,给我们的基础设施造成严重破坏。 自签名证书所基于的证书模板会在到期前6周自动更新证书。 为了缓解这个问题,我为自己设置了一个提醒来编辑NPS策略并select更新的证书。 但是我是一名IT消防员,有时候火灾让我无法进行日常任务,甚至是重要的任务。 有没有办法告诉NPS使用更新的证书,而不是随机select一些证书?
我们有一个案例,我们需要testing一些与夏令时相关的脚本和应用程序代码。 我们希望通过禁用NTP服务和改变系统时间来模拟夏令时开关。 很明显,基础设施组件可能不会像Kerberosauthentication那样在系统中performance得很好。 有谁知道我们如何validation和testing夏令时开关(我们专注于Windows系统)还是唯一的select,以创build一个单独的环境与我们的基础设施组件?
我遇到了让IPv6在Windows Server上工作的问题,而它在Ubuntu服务器上工作: 我有一个由netcup.de托pipe的VServer与一个分配的IPv4( 37.120.aaa.bbb )和一个IPv6子网( 2a03:4000:xxxx:yyyy :: / 64 )。 根据主机,IPv6网关必须设置为fe80 :: 1 。 运行新安装的Windows Server(2012R2 / 2016),如果将静态IPv6( 2a03:4000:xxxx:yyyy :: 1000 )和指定的网关分配给NIC,则ping -6 ipv6.google.com导致超时。 没有连接,传出ping会导致超时,ping不通地址。 同时ping fe80 :: 1%4会导致超时。 在同一台机器上运行新安装的Ubuntu Server 16.04,如果我通过编辑/ etc / network / interfaces来设置静态IPv6(就像我在Windows Server上那样) iface eth0 inet6 static address 2a03:4000:xxxx:yyyy::1000 netmask 64 gateway fe80::1 ping6 ipv6.google.com成功,因为每个传出和ping6 fe80::1%eth0 ping( ping6 fe80::1%eth0也可以)。 tl;在同一台机器上运行相同的IPv6设置在Ubuntu […]
pipe理员帐户不断被locking。 事件日志和Netlogon日志确认帐户被locking,但未提供源计算机名称(它是空的)。 请参阅下面的屏幕截图,来自事件日志和Netlogon日志。 我怎样才能find帐户locking的来源? 谢谢!
我有一个Windows Feature的列表,我想用DISM来安装,但是我只知道使用PowerShell时他们的名字是什么。 有没有办法快速“翻译”这些名字? 这不仅仅是一小撮: NET框架-45function RPC-过HTTP代理 RSAT聚类 RSAT聚类,CmdInterface RSAT-集群,pipe理 RSAT聚类,PowerShell的 networkingMGMT-控制台 WAS-过程的模型 networkingASP-Net45 networking基本authentication networking客户端validation networking文摘-AUTH networking目录 – 浏览 networking-DYN-压缩 networking-HTTP-错误 networking-HTTP-logging networkingHTTPredirect Web的http追踪 networkingISAPI-分机 networkingISAPI型filter networkingLGCY-MGMT-控制台 networkingconfiguration数据库 networkingMGMT-控制台 networkingMGMT-服务 networking-NET-Ext45 networking请求监视器 networking服务器 networking-Stat的压缩 networking静态内容 networkingWindows的validation networkingWMI Windows的身份基金会 RSAT-ADDS 因此,除了使用PowerShell切换function之外,我还想要其他function,并检查dism命令输出中的更改。 希望有更好的办法… 🙂
尽可能缩短: 当你去到Windows 10的位置 开始 – >设置 – >更新 您可以search更新。 这将searchwsus的更新,因为它应该与此域join计算机。 如何在“search更新”button下面有一个“从Microsoft更新检查更新可用性”checkbox。 选中此选项将从Microsoft Update下载驱动程序/更新,而不是Wsus。 我需要使这个checkbox消失,所以用户不能意外地检查这个盒子,或者不知道他们在做什么,因为这会导致一些问题。 我已经阅读并testing了这个解决scheme的相同的问题: 有没有办法在Windows Update设置禁用“在线检查更新从Windows更新”? 如何启用防止连接到Microsoft更新的组策略也将停止设备pipe理器查找更新,因为所有可能的驱动程序不能存储在wsus服务器上。 这可能会导致问题更奇特的即插即用设备或尝试解决驱动程序问题时。 这就是为什么我试图找出,如果只能使这个checkbox“检查更新可用性从微软更新”消失在设置 – >更新部分,但仍然有连接到微软更新工作,否则,当这是必要的。
我有在Windows Server 2012 R2成员服务器上运行的企业证书颁发机构。 每次我去请求证书时,CA的Web界面最近都开始出现错误: “没有find证书模板,您没有权限请求来自此CA的证书,或者访问Active Directory时发生错误”。 CA仍然能够颁发证书,通过PC上的MMC请求证书工作。 很明显,我使用了这个错误,并find了一些可能性,并尝试了我find的build议。 到目前为止我已经: 1)创build一个新的应用程序池,并确保该网站的应用程序池标识是NetworkService而不是ApplicationPoolIdentity 2)检查该站点是否启用了Windows身份validation,并禁用了所有其他身份validationtypes 3)检查CertDat.inc中的sServerConfig条目是否与pkiEnrollmentService中的DnsHostName条目相匹配 4)检查证书模板上的权限 5)更新了服务器 6)重新启动服务器 一切都无济于事。 我试着用我的用户帐户,它具有域pipe理员访问权限和具有企业pipe理权限的域pipe理员帐户。 我检查了事件日志。 每隔一段时间,一个条目就会出现: “Windows默认”策略模块logging了以下警告:与local.domain.controller.fqdn的Active Directory连接已重build为local.domain.controller.fqdn 但我不认为这是相关的任何事情。 我不知道还有什么其他的尝试,有没有人有任何build议? 非常感谢