摘要: 最近在审计Exchange邮件系统的时候,发现大量用户半夜登录的日志。而且都是成功的,几乎没有失败的情况。其中Logon Type 8表示用户从网络登录。 Logon type 8: NetworkCleartext. A user logged on to this computer from t 阅读全文
posted @ 2023-11-24 17:32 qishine 阅读(124) 评论(0) 推荐(0) 编辑
摘要: Windows的事件查看器中的日志包含了很多信息,但是系统自带的筛选器只能筛选固定的字段和内容。有时候想根据某个事件中的用户名或者IP筛选的时候就没办法了。此时需要创建自定义筛选器来实现。 首先找到希望筛选的日志,调整成详细的XML视图。 这里面就有我们需要用到的字段信息。然后自定义筛选器的时候,选 阅读全文
posted @ 2023-11-21 09:34 qishine 阅读(57) 评论(0) 推荐(0) 编辑
摘要: 最近由于公网映射的IP需要更换,有一批DNS记录需要修改。对于使用Windows管理的DNS记录,可以使用Powershell批量导出记录更新后再批量修改。 首先使用Powershell将DNS服务器上test.local这个区域里的所有A记录导出 Get-DnsServerResourceReco 阅读全文
posted @ 2023-05-04 14:16 qishine 阅读(314) 评论(0) 推荐(0) 编辑
摘要: 今天在Windows Admin Center里试图安装扩展插件的时候遇到一个问题。在可用插件里没有任何显示,包括各种微软自己开发的插件。 在Feeds里删除默认的链接,重新添加的时候也会遇到报错。说这不是一个有效的NuGet Feed。 经过检查,在其它WAC的配置中,这里也是同样的默认配置,是可 阅读全文
posted @ 2022-09-16 17:21 qishine 阅读(874) 评论(0) 推荐(1) 编辑
摘要: 在工作中,有时候我们需要查看用户是什么时候被禁用或者启用的。通常在域控制器上的安全日志中查找就可以了。但是如果域控比较多的话,一台台去查找就很费时间了。如果能够定位到是从哪个域控上修改的,然后直接去查日志就会方便很多。由于账户启用和禁用会反映在userAccountControl这个属性上。所以,我 阅读全文
posted @ 2022-08-15 16:02 qishine 阅读(322) 评论(0) 推荐(0) 编辑
摘要: 目前硬件都已经支持UEFI模式启动了,而且硬盘容量普遍大于MBR磁盘能支持的最大2TB的容量。所以在安装Windows系统的时候优先选用UEFI启用,并将磁盘配置为GPT模式以支持更大的容量。而且Windows在UEFI+GPT启动的时候会将启动分区和恢复分区分别独立出来,这样可以更好的抵抗病毒带来 阅读全文
posted @ 2022-06-06 14:40 qishine 阅读(1351) 评论(0) 推荐(0) 编辑
摘要: 最近2周一直被一个问题困扰,有用户频繁被锁定。但是无法找到用户从哪里发送的验证信息。 原因是为了加强安全监控,启用了用户账户锁定的通知。这个锁定通知是通过事件日志结合计划任务发送的,具体如何操作可以参考之前的文章《监控账户登录》或者《Windows 2012 R2 计划任务发送邮件》。 账户被锁定的 阅读全文
posted @ 2021-12-02 13:45 qishine 阅读(2221) 评论(0) 推荐(0) 编辑
摘要: 前天在给一台服务器配置IP地址的时候发现一个奇怪的问题。IP地址配置之后不生效,还是使用的169.254这个微软保留自动分配地址。由于这个是一台虚拟机,尝试了删除添加网卡也没有用。配置IP不成功的时候,没有任何错误提示。因为发现无法访问目标服务器才发现IP配置没有生效。用ipconfig查看发现没有 阅读全文
posted @ 2021-09-22 15:54 qishine 阅读(669) 评论(0) 推荐(0) 编辑
摘要: 今天在一台Windows 2019的SMTP服务器上想增加一个匿名中继的客户端地址。登录到服务器后发现原来的设置丢失了,而且原来的允许列表也不见了。界面变成了这样。 https://www.cnblogs.com/qishine/p/15309129.html 原来配置过的一些允许中继的IP也不见了 阅读全文
posted @ 2021-09-18 16:12 qishine 阅读(254) 评论(0) 推荐(0) 编辑
摘要: 之前发过一篇在Windows Server上启用SSH服务器的文章。最近正好有这个需求,需要使用密钥免密登录服务器,试了一下,发现之前的方法不行了。需要再修正一些文件权限。 需要使用Repair-AuthorizedKeyPermission 这个命令修复一下服务器上的authorized_keys 阅读全文
posted @ 2021-05-31 17:09 qishine 阅读(859) 评论(0) 推荐(0) 编辑