今天修到了一台有趣的電腦,同時讓我對系統管理有了一點心得。
服務單位的秘書小姐對我說,她在工作場所的上網電腦中,安裝了上級發下來的新防毒軟體後USB就全失靈了--更精確地說,那套「防毒軟體」顯示所有的USB裝置全被「擋」了,只能使用一隻「上網電腦專用隨身碟」。這是個非常糟糕的情況:鍵盤啦、滑鼠啦、印表機與隨身碟全都不能用了,逼得她只能到處去跟別人借非USB的週邊(現在上哪去找非USB的印表機?)。
我上機一看,「Symantec Endpoint Protection」。這是什麼?(我承認我孤陋寡聞。)上網一看,才發現這是一套資安軟體,旨在防止公司員工在公司電腦上亂接裝置(某些公司用熱溶膠封住USB插座也是為了同樣的目的)。等一下,這怎麼會是「防毒軟體」(雖然它是有防毒功能沒錯)?
秘書小姐說,上級發給她的「上網電腦專用隨身碟」中有「上網電腦專用防毒軟體」(只有一個setup.exe檔,Description僅「Application」一字),她認為「既然是專用的應該比較好」就安裝了,不料卻弄得讓電腦只認得這隻「專用隨身碟」。
這下可有趣了。這套軟體的目的顯然就是讓上網電腦「自廢武功」專用的,卻被包裝成「專用防毒軟體」,一副人畜無害的點兩下自動裝到底。
這豈不是陷阱嗎?這單位的資安部門居然這樣整員工啊?雖然我沒有實務管理的經驗,我也知道管理者是很辛苦的。這台上網電腦顧名思義顯然就是拿來上網的,要讓USB不能用也是人之常情。資安部門大可一開始就裝好這軟體,然後跟員工說:「我知道這樣會讓各位很不方便,但是這是為了安全,請各位配合」。可是他們卻用「騙你安裝」的方式讓你去自廢武功。
好啦,問題搞清楚了,我該怎麼解決呢?把這套軟體移除,或是更改Policy?抱歉,它會提示你輸入密碼,顯然用這種手段的資安部門不會配合你的。他們甚至連系統服務都不讓你停止,還連安全模式都進不去了。說老實話,我根本不抱任何希望,我怎麼可能對得過大公司的軟體啊?
...當然,要是這樣就結束,我也不會寫這篇了。
首先,資安部門犯了個重大錯誤:「這台電腦的使用者帳戶是Administrators」。嘖嘖,資安大忌啊。
話說回來,Symantec也是大公司,SEP都出到11.0了,難道他們會沒考量到使用者是Administrator就鎖得不夠嚴密嗎?...但是,事實是他們真的沒考量周全。我上網找了一會,居然還真給我找到了個超簡單解法:只要在移除軟體要求輸入密碼時用工作管理員終止掉一個msiexec.exe的process就解決了。於是秘書小姐的USB週邊又恢復到往日的欣欣向榮。
這當然只是好運:要不是Symantec和工作單位都犯了大錯,或者我找不到正確的關鍵字,我當然砍不掉SEP這麼重量級的軟體。可是要不是這資安部門的作法太狡猾,我也不想幫這種規避政策的忙啊。
星期日, 5月 24, 2009
修電腦
星期三, 5月 13, 2009
以虛擬電腦作為行動作業平台之我見
標題打的挺像回事,內文卻只是閒聊...XD
最近上了一位老師的課,他建議我們使用Virtual PC安裝WinXP,並將其作為自己的行動作業平台--只要隨身攜帶這份虛擬電腦的檔案,你就能把任何一台電腦當成自己的電腦了。這聽起來倒跟洪朝貴老師的「20公克筆電」概念很像:只要支援隨身碟開機的電腦就是我的電腦。不同之處在於,Virtual PC可以使用Windows,不用遷就於Linux平台。聽來真不錯,不是嗎?
不幸的是--依我之見--這不是個好主意,至少不適合用Virtual PC實現。
首先,Virtual PC需要一台夠強的電腦才能跑得動--這包括同時跑Host電腦與Client系統。然後是Virtual PC本身需要的Host端又必須是Windows XP以上。而且若是這台電腦本來沒有安裝Virtual PC,你需要取得Administrators權限才能安裝。試問:一台硬體夠強、系統夠新、又能讓你取得管理者權限的電腦,還有什麼是你無法滿足、需要用自己的虛擬作業系統才能滿意的呢?
所以啦,雖然對那位老師有點不好意思,我還是覺得研究20公克筆電比較實際點。
Microsoft Virtual PC 2007 SP1 與 WinXP
做個註腳好了:
如果你在MS Virtual PC 2007 SP1下安裝WinXP,然後又安裝Additions,你會發現XP被Additions「搞壞了」--顯示剩下四色啦、Additions功能完全無效啦等等。這只是因為XP版本不夠新,將其升級到SP2以上即可。
這其實很合理吧?微軟早就不支援沒更新Service Pack的XP了,所以Additions會跟舊版XP起衝突也很正常啊。
...話說幹嘛要用Virtual PC,用VirtualBox不就好了?Addon還有支援到Linux哩...-_-a
星期一, 5月 11, 2009
速記:WinXP DHCP Server
Q:如何用WinXP架DHCP Server?
A:XP本身沒這個服務XP把DHCP Server服務包在ICS(Internet Connection Sharing)底下,不過使用上似乎非常不便,所以建議使用第三方工具來架,例如Dual DHCP DNS Server。
附註:如果Dual DHCP DNS Service無法啟動,試試先把ICS服務停止。
