我正在调查通过套接字执行 IPC 的进程的问题。套接字在本地计算机的 NIC 的 IP 上提供服务,并且从本地计算机上的另一个进程连接到本地计算机的 NIC 的 IP。
我预计这会降低 Windows 网络堆栈,至少足以让 Wireshark 可以看到数据包。然而,情况似乎并非如此。因此,我可以得出结论,套接字 IPC 在堆栈中的位置更高[看看是否有任何 Windows 事件跟踪 (ETW) 工具将流量视为 IP 帧会很有趣]。这对这个问题并不重要(因为这不是 stackoverflow)。
WinPcap/Npcap 在网络堆栈中的哪个位置“活动”以侦听数据包并将其传递给wireshark?
我专注于现代 Windows 操作系统版本(客户端:7+、10+;服务器:2008+、2012+、2016+)。具体来说,此客户端是 Windows 10。
我实际上想知道网络堆栈中的哪个位置决定将数据包“环回”到主机而不是将它们发送到堆栈中。
谢谢
我有一个凭据提供程序,它没有按照我想要的方式行事。它提供辅助身份验证,但它的范围是针对主机范围内的所有交互式 Windows 登录,而不是针对特定用户。
除了凭据提供程序之外,还安装了凭据提供程序过滤器。凭据提供程序过滤器将登录屏幕上的凭据提供程序的使用限制为仅此凭据提供程序。但是,如果凭证提供者过滤器被删除(通过删除下面的键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters),那么用户可以将凭证提供者更改为任何其他可用的凭证提供者(包括我们的好老朋友PasswordProvider)。
我的意图是强制对某些用户使用凭据提供程序。例如,如果该用户尝试使用另一个凭据提供程序登录,那很好,但我希望 AD 拒绝此请求……仅在从正确的凭据提供程序调用请求时才允许请求。
这可能吗?我希望有一种方法可以在 AD 中配置用户对象以限制可接受的凭据提供程序。
谢谢
我们目前使用常规和“高级/花哨”端点恶意软件保护的组合,在高级恶意软件应用程序中,我可以将可执行文件的 SHA256 哈希输入高级平台,它将阻止给定可执行文件的执行。
我可以对 AppLocker 做同样的事情(列入黑名单,而不是列入白名单)吗?
我们通过 Windows 证书存储中的受信任根证书在防火墙中使用 HTTPS 深度数据包检查。Chrome 最近推出了一项功能,用于对证书颁发执行额外检查,称为证书透明度,其中使用的每个证书(在特定日期之后颁发)都会根据已知良好的 CA 列表进行检查。
现在,使用 HTTPS 深度数据包检测(又名 HTTPS 代理/卸载/MiTM)会导致 Chrome 出现此示例中的错误。
是否可以在 Chrome 中禁用审核日志检查的唯一功能?
更新以响应womble 的回答。
这个更新是错误的。Womble 的回答是正确的,见下文。
这是我最初的想法,但显然不是。
下面是太正经的Chrome截图:
没有中间人:
中间人:
它似乎与证书透明度/审计日志检查直接相关,而不是与 SHA-1 的使用和即将在 Nanny Chrome 中的折旧相关。值得注意的是,我们的内部 CA 证书确实在 2017 年之后到期。
更新 2,womble 是对的:
感谢 womble 的回答,我重新查看了 Chrome 团队的通知,并注意到任何具有 2017+ 到期证书且使用 SHA-1 的站点都会收到“肯定不安全”警告(划掉的红色锁图标)。
为了证明我的 MiTM/proxy 是罪魁祸首,我使用了一个 salesforce 测试站点(通过避开KB 文章定位)
没有中间人:
中间人:
*note that even with no MiTM Chrome detects this site as "secure, but with minor errors" (that yellow icon) because the cert expires within the 2016 calendar year, not 2017+.
我的代理/MiTM 正在将算法从 SHA-256 降级到 SHA-1。啧啧!Chrome 完全按照通知的预期行事,我不相信一旦我使用 MiTM/代理解决了这个问题,我的用户将不会收到“肯定不安全”的通知。
谢谢!
更新 3: 记得检查固件更新/发行说明...现在支持 SHA-256。更新定于周五。应该没问题。
我们已经ASA 5505部署了几个。目前,我们有一个设置,其中本地 ASA 正在回答 DHCP 查询并为客户端配置两个 DNS 服务器:我们的 DR 站点 DNS 服务器(我们使用 AD)和公共 DNS。
当 VPN 隧道关闭时,我们需要让客户端访问“互联网”(这不仅意味着数据包路由,还意味着 DNS 应答),这排除了我们这边的 DHCP 服务。上面的配置允许我们vpnclient server [Production site VPN target] [DR site VPN target]毫无问题地使用。
这是之前配置的一种解决方法,我们通过调整 DHCP 分配的 DNS 手动故障转移隧道。超高触感和缓慢。
在 Fortigate 上,有一个负载平衡服务会创建一个 VIP 并进行一些检查以验证与 DNS 服务器的连接。
除了负载平衡等创造性解决方案之外,我们如何配置由我们的现场 ASA 分配 DHCP 的客户端,以将 DNS 查找发送到特定服务器?
[边注]
只是想我们可能会在每个站点上使用负载均衡器,通过同一个 VIP 服务 DNS(只能由 VPN 客户端访问)。但对于可能的客户端问题,这是一个复杂的服务器端解决方案。
我正在尝试配置一组 DataCollector 计数器,并希望(并且做) select Process\% Processor Time\<All instances>。但是,收集到的结果 perfmon 数据计数器是_Total. 我如何实际记录动态计数器集合<All instances>?
我有一个挑战,我想使用 GPO 来设置电源计划。
在构建 WMI 过滤器(使用 WQL)时,我遇到了确定一组 WQL 语句的问题,这些语句总是true为台式机/服务器和false笔记本电脑/笔记本电脑返回。
我首先测试了win32_systemenclosureproperty的使用ChassisTypes,但很快发现它ChassisTypes是一个int array,不能在(标准)WQL 中使用[尽管它在 SCCM WQL 扩展集中可用]。
接下来,我找到了使用win32_battery并检查Status属性是否为非零值的参考;但我很快意识到这将在通过 USB 连接 UPS 的台式机和服务器上返回一个值。
true由于台式机/服务器和笔记本电脑/笔记本电脑的上述任何一项都不会总是返回(+/- 可容忍的 N)false,因此我找到了win32_portablebattery课程。
兴奋,我开始测试并很快注意到win32_portablebattery在桌面或服务器上执行时没有返回任何内容。我所说的“无”不是说{empty string}/"",我不是说NULL,我也不是说false,我的意思是字面上什么都没有。我什至尝试过检查__CLASS = "" ,__CLASS IS NULL并且仍然返回false台式机和服务器。
有谁知道任何进一步WQL的 -fu 来尝试使用 获得true结果win32_portablebattery?
我有兴趣利用 提供的轻松报告生成Microsoft SQL Report Builder,但我想WMI作为可用的数据源。由于SQL Report Builder仅依赖于 SQL,我想WMI ODBC在 Windows 7 上安装驱动程序,但MSFT 站点的说明必须涵盖 XP,因为WMI ODBC驱动程序显然不可用。
如何WMI ODBC在 Windows 7 上安装驱动程序?
如果我尝试使用错误的凭据登录到sshd服务器,我会Access denied在大约 2 秒的暂停后受到欢迎。
有没有办法增加返回密码输入提示所需的时间?
请注意,我已经LoginGraceTime设置为20s.
我已经阅读了一些关于使用 DFS-R 与 WDS 和 MDT 来复制 REMINST 和 DeploymentShare 的指南,我遇到了一个特别奇怪的问题。
在接收服务器上,配置 WDS 并将 DeploymentShare 挂载到 MDT 的 DeploymentWorkbench 后,我还执行了以下操作:
1) 在 .\Control\Bootstrap.ini 中,将 DeployRoot 更改为 \%wdsserver%\DeploymentShare$
2) 更改了 DeploymentWorkbench 中 MDT 部署共享根目录的 UNC 路径,以匹配当前服务器的路径。
3) 在位于:.\Control** 的 Unattend.xml 文件中,修改以下值以匹配当前服务器:<cpi:offlineImage catelog://HOST/
我能够从本地 WDS TFTP 服务器启动并获取 LiteTouch PE 映像,但是 WIM 文件、脚本和其他所有内容都从远程站点的 WDS 服务器(原始 WDS 服务器是源DFS-R 复制文件夹中的文件)。
我该怎么做才能解决这个问题?我已经搜索了下面的所有文件DeploymentShare以查找远程站点(文件源)上 WDS 服务器主机名的实例,但我没有找到。
以下是我参考的指南:
grep我可以在init脚本中检查给定字符串的文件内容吗?
我担心在涉及init脚本时引入依赖关系和一般约定,以及运行grep或其他工具是否违反了某些信条。
我进行了一些研究,看来我可以同时针对XP和7客户group policy preferences添加一个shared printer.
本文New描述了项目中菜单上共享打印机项目的存在group policy preferences Control Panel Settings,Printers但我列出的全部是:TCP/IP Printer和Local Printer。
我用来创建的服务器GPO是Windows 2008 R2.
为什么该New Printer选项不允许我创建一个Shared Printer?
使用w32tm.exe的选项stripchart来判断两个主机的时间差异是否可行(在很小的误差范围内)?请注意,w32tm.exe的功能与服务本身stripchart使用的算法是分开的。Windows Time
如果没有,有哪些替代方法?
谢谢,
马特
我在我的网络中引入了一些 PIM 路由,以使一些多播流量可以跨路由器使用。
我读过一些关于 PIM、稀疏模式与密集模式的文章。看完后,我想弄清楚,在什么情况下我要使用密集模式?
如果我有一个简单的结构:
[multicast subscriber] <-> [DR router] <-> [DR router] <-> [RP router] <-> [multicast sender]
使用此拓扑中的稀疏模式是否真的可以让我更有效地扩展?
考虑到特定的大型路由器树,稀疏模式与密集模式对“第一个数据包接收时间”有何影响?RP 是否总是订阅接收多播?
谢谢,
马特
我在配置snmptt以正确转换 snmp 陷阱时遇到了一些问题。
以下是一个问题:
/etc/snmp/snmptt.conf 反映:
EVENT fgFmTrapIfChange .1.3.6.1.4.1.12356.101.6.0.1004 "Status Events" Critical
FORMAT $*
EXEC /usr/local/nagios/libexec/eventhandlers/submit_check_result $r "snmp_traps" 2 "$O: $+*" "$*"
SDESC
Trap is sent to the managing FortiManager if an interface IP is changed
Variables:
1: fnSysSerial
2: ifName
3: fgManIfIp
4: fgManIfMask
EDESC
当收到陷阱时,/var/log/messages 反映:
Sep 6 12:07:32 SNMPMANAGERHOST snmptrapd[15385]:
2012-09-06 12:07:32 <UNKNOWN>
[UDP:
[192.168.100.2]:162->[192.168.100.31]]:
#012.1.3.6.1.2.1.1.3.0 = Timeticks: (707253943) 81 days, 20:35:39.43
#011.1.3.6.1.6.3.1.1.4.1.0 = OID: .1.3.6.1.4.1.12356.101.6.0.1004
#011.1.3.6.1.4.1.12356.100.1.1.1.0 = STRING: FGTNNNNNNNNN
#011.1.3.6.1.2.1.31.1.1.1.1.10 = STRING: internal4
#011.1.3.6.1.4.1.12356.101.6.2.1.0 = IpAddress: 192.168.65.100
#011.1.3.6.1.4.1.12356.101.6.2.2.0 = IpAddress: 255.255.255.0
Sep 6 12:07:37 SNMPMANAGERHOST icinga:
EXTERNAL COMMAND:
PROCESS_SERVICE_CHECK_RESULT;
192.168.100.2;
snmp_traps;
2;
enterprises.12356.101.6.0.1004: enterprises.12356.100.1.1.1.0:FGTNNNNNNNNN ifName.10:internal4 enterprises.12356.101.6.2.1.0:192.168.65.100 enterprises.12356.101.6.2.2.0:255.255.255.0
由于该icinga条目反映了EXEC,很明显 没有翻译发生snmptt。
我已验证translate_log_trap_oid并net_snmp_perl_enable已启用snmptt.ini
使用--debug=1启动时snmptt,我在以下内容中看到--debugfile:
********** Net-SNMP version 5.05 Perl module enabled **********
主 NET-SNMP 版本报告为NET-SNMP version: 5.5.
还可以做什么来验证是否snmptt已正确配置以转换陷阱?
我已经运行snmptt-net-snmp-test以验证我已正确安装的任何 net-snmp-perl 版本都支持翻译。输出表明它确实如此。
/root/snmptt_1.3/snmptt-net-snmp-test --best_guess=2
SNMPTT Net-SNMP Test v1.0
(c) 2003 Alex Burger
http://snmptt.sourceforge.net
MIBS:RFC1213-MIB
best_guess: 2
Testing translateObj
********************
Testing: .1.3.6.1.2.1.1.1, long_names=disabled, include_module=disabled
Test passed. Result: sysDescr
Testing: .1.3.6.1.2.1.1.1, long_names=disabled, include_module=enabled
Test passed. Result: RFC1213-MIB::sysDescr
Testing: .1.3.6.1.2.1.1.1, long_names=enabled, include_module=disabled
Test passed. Result: .iso.org.dod.internet.mgmt.mib-2.system.sysDescr
Testing: .1.3.6.1.2.1.1.1, long_names=enabled, include_module=enabled
Test passed. Result: RFC1213-MIB::.iso.org.dod.internet.mgmt.mib-2.system.sysDescr
Testing: sysDescr, long_names=disabled, include_module=disabled
Test passed. Result: .1.3.6.1.2.1.1.1
Testing: RFC1213-MIB::sysDescr, long_names=disabled, include_module=disabled
Test passed. Result: .1.3.6.1.2.1.1.1
Testing: system.sysDescr, long_names=disabled, include_module=disabled
Test passed. Result: .1.3.6.1.2.1.1.1
Testing: RFC1213-MIB::system.sysDescr, long_names=disabled, include_module=disabled
Test passed. Result: .1.3.6.1.2.1.1.1
Testing: .iso.org.dod.internet.mgmt.mib-2.system.sysDescr, long_names=disabled, include_module=disabled
Test passed. Result: .1.3.6.1.2.1.1.1
Testing getType
***************
Testing: .1.3.6.1.2.1.4.1
Test passed. Result: INTEGER
Testing: ipForwarding
Test passed. Result: INTEGER
Testing Description
*******************
Test passed. Result:
-------------------------------------------------
The indication of whether this entity is acting
as an IP gateway in respect to the forwarding of
datagrams received by, but not addressed to, this
entity. IP gateways forward datagrams. IP hosts
do not (except those source-routed via the host).
Note that for some managed nodes, this object may
take on only a subset of the values possible.
Accordingly, it is appropriate for an agent to
return a `badValue' response if a management
station attempts to change this object to an
inappropriate value.
-------------------------------------------------
我手动检查了带有未解析定义的 MIB,并验证它是否正确链接回正确解析的定义。这是:
FORTINET-FORTIGATE-MIB.txt contains:
fgFmTrapIfChange NOTIFICATION-TYPE
OBJECTS { fnSysSerial, ifName, fgManIfIp, fgManIfMask }
STATUS current
DESCRIPTION
"Trap is sent to the managing FortiManager if an interface IP is changed"
::= { fgFmTrapPrefix 1004 }
fgFmTrapPrefix OBJECT IDENTIFIER
::= { fgMgmt 0 }
fgMgmt OBJECT IDENTIFIER
::= { fnFortiGateMib 6 }
fnFortiGateMib
::= { fortinet 101 }
IMPORTS
FnBoolState, FnIndex, fnAdminEntry, fnSysSerial, fortinet
FROM FORTINET-CORE-MIB
fortinet MODULE-IDENTITY
::= { enterprises 12356 }
LOOKS GOOD!!!!!
1.3.6.1.4.1.12356.101.6.0.1004
我已经用尽了所有文档,甚至在snmptt-users 邮件列表中无果而终地张贴了。
我无法证明它是MIB。
为什么会snmptt编译失败陷阱?
简单地:
谢谢,
马特
[更新]
snmptrapd.conf:
authCommunity log,execute,net communitystr
traphandle default /usr/bin/snmptthandler
请注意 linkUp 和 linkDown 翻译正确。
[更新 2]
我还测试了另一个 MIB,它不是包含在 net-snmp 包中的默认 MIB,而且这个 MIB 也无法解析。
[更新 3]
如果我在 snmptt.ini 中设置以下内容:
mode = standalone
我在 snmptrapd.conf 中设置了以下内容:
traphandle default /usr/sbin/snmptt --ini=/etc/snmp/snmptt.ini
我能够按预期翻译陷阱。
这意味着/usr/sbin/snmptt用于守护进程的任何方法都可能无法访问 MIB,或者可能正在执行与描述不同的操作。snmptt.ini可能包含的文档将包含我寻求的答案。
置入mibs_environment = ALL_snmptt.ini
描述:
# Allows you to set the MIBS environment variable used by SNMPTT
# Leave blank or comment out to have the systems enviroment settings used
# To have all MIBS processed, set to ALL
# See the snmp.conf manual page for more info.
mibs_environment = ALL必须设置为snmptt.ini即使 snmptrapd 开头-m ALL(其中ALL是包含所有 MIB [在文件中定义] 的通配符语句)。
\o。
我正在使用的 PHP 程序 ( LConf ) 使用sudo.
我已允许用户apache运行脚本并使用sudo -u apache /usr/local/LConf/lconf_deploy.sh.
lconf_deploy.sh调用时系统提示我输入密码/usr/bin/sudo -u icinga /usr/local/LConf/LConfExport.pl -o /etc/icinga/lconf -v,但在此行之前或之后调用行都没有问题。
在阅读了很多(在 stackexchange 和互联网上的其他地方)关于在这种情况下该怎么做之后,我已经禁用requiretty并使用NOPASSWD了我能想到的影响这种情况的一切。
# cat /etc/sudoers | grep -v "#"
Defaults always_set_home
Defaults env_reset
Defaults env_keep = "COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS"
Defaults env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
Defaults env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
Defaults env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"
Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin
root ALL=(ALL) ALL
apache ALL = NOPASSWD: /usr/local/LConf/lconf_deploy.sh
apache ALL = NOPASSWD: /usr/bin/sudo -u icinga /usr/local/LConf/LConfExport.pl -o /etc/icinga/lconf -v
apache ALL = NOPASSWD: /usr/local/LConf/LConfExport.pl -o /etc/icinga/lconf -v
icinga ALL = NOPASSWD: /usr/local/LConf/LConfExport.pl -o /etc/icinga/lconf -v
sudo是否可以在已经“ ”的情况下使用切换用户上下文(或诸如此类)sudoing?
如果没有,我该如何解决这个问题?注意/usr/local/LConf/LConfExport.pl必须以用户身份运行icinga。
谢谢,
马特
[参考下面 mdpc 的评论更新]
User_Alias LCONF=apache,icinga
Defaults:LCONF !requiretty
LCONF ALL=(icinga) NOPASSWD: /usr/local/LConf/LconfExport.pl -o /etc/icinga/lconf -v
LCONF ALL= NOPASSWD: /usr/local/LConf/lconf_deploy.sh
执行sudo -u apache /usr/local/LConf/lconf_deploy.sh.仍然提示输入密码
# cat /usr/local/LConf/lconf_deploy.sh
echo start of script
/usr/bin/sudo -u icinga /usr/local/LConf/LConfExport.pl -o /etc/icinga/lconf -v
/etc/init.d/icinga reload
# sudo -u apache /usr/local/LConf/lconf_deploy.sh
start of script
[sudo] password for apache:
Running configuration check.../etc/init.d/icinga: line 111: /var/icinga/icinga.chk: Permission denied
CONFIG ERROR! Reload aborted. See /var/icinga/icinga.chk for details.
任何帮助表示赞赏。