Shunze 學園 > 搜尋 > 搜尋結果 哈囉,還沒有註冊或者登入。請你[註冊|登入]

作者 文章
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2367

shunze 離線
Surface無法啟用開機PIN碼功能?顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

客戶反映Surface筆電在安裝Sophos Central Encryption軟體時,
到最後設定PIN碼的環節時總是會失敗!
即便移除再安裝也是同樣的情形。
這問題要怎麼解決?




跟Sophos原廠反映後,發現這是Surface筆電獨有的問題。
由於Surface筆電不見得會有實體鍵盤,在沒有鍵盤的情況下,啟用開機PIN碼保護,會造成卡關!
因此在預設狀況下,Surface筆電是不啟用此功能的。

若要強制啟用此功能,需要進去該電腦的“本機群組原則編輯器”中,啟用Operating System drives選項中的以下功能.
Enable use of BitLocker authentication requiring preboot keyboard input on slates



經客戶驗證,啟用此項目後,Surface已可成功啟用開機PIN碼保護了。


參考資料
Encryption does not start on tablet (slate) devices



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2024-01-22, 11:13 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2367

shunze 離線
《分享》DKIM設定顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

DKIM (DomainKeys Identified Mail)是透過一組公/私鑰來判斷郵件是否可被信任的一種加解密技術。

公鑰放置在發信方domain DNS的txt記錄中,
當收信方收到信時,會透過發信方DNS中的公開金鑰來進行解密。
若是公私鑰無法成功對應上,或是發信方沒依收件端要求設定DKIM ,
那麼就會因此被判定為無法信任而被視為假冒郵件或垃圾郵件。

所以在DKIM的架設上,第一步就是要產生這成對的公/私鑰,
然後配置在DNS與Mail server中。

DKIM的公/私鑰除了自行安裝DKIM套件來產生外,
也可以透過免費的DKIM creater來產生。

EASYDMARC 提供的服務為例,
輸入自己的domain與一個自訂的Selector後,就可以產生出一組公/私鑰來使用。



事實上除了公/私鑰以外,它連DNS所需的txt record內容都一併產生了。

v=DKIM1;t=s;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCijEpLx9RSOweN0Lf+91tyA1g6rQNCai/chGjEDN+Nng9N8R/42bPK6jjkGXY37mf67WaaENUKpc6EcZzOTSJQr/RYMocGczd0ju8fXwXH6m9rpAbUs+eg1CRcqSvdsc9SxAyOHJ25ByOJ4V9KKa6hOlABi4Fi8R2HyNv6ec+FswIDAQAB


我們只要把這組內含公鑰的字串貼在DNS的txt內容中,
建立一個名稱為 Selector._domainkey 的txt record,
DNS上的設定就完成了~
(其中_domainkey為固定的識別字串,與Selector間以 . 區隔)


↑以順子的範例來說,順子自訂的Selector名稱是myKey,那這筆DNS record的名稱就應該是myKey._domainkey。


DNS上的txt record完成後,接著進行發信端的設定,
以Sophos XG/S的MTA mode為例,
在 保護 > 電子郵件 > 一般設定 的 DKIM簽發 中新增一筆DKIM記錄,然後貼上剛才產生出來的私鑰。




↑Domain與Selector請務必對應正確。



完成後,該domain透過XG/S對外寄出時,就會夾帶DKIM資訊在header中,供收信方驗證。


如何驗證DKIM設定是否正確呢?
除了透過線上DKIM檢查工具來查看DNS上的設定是否正確以外,
直接發信給Gmail信箱,然後透過表頭中的DKIM檢查結果來確認是最準確的!



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2024-01-04, 10:45 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2367

shunze 離線
《分享》找不到console線怎麼辦?顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

如果手邊就是找不到console線,
或是console線接了沒反應(pin腳位不對),
那還可以怎麼處理?

其實Sophos XG/S appliance本身就是一台電腦,
有VGA port,或是HDMI port可接螢幕,
再接上USB鍵盤就可以直接透過螢幕、鍵盤來進行操作,
就跟接console線是一樣的∼


PS.補充說明
協助業務對規格時,突然發現XGS系列開始HDMI完全退出Sophos XGS appliance了!
XGS系列後,客戶找不到console時,就不能請客戶直接接螢幕查狀況了...



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-12-22, 13:58 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2367

shunze 離線
《分享》Sophos FW A/A HA行為特性顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos FW支援Active/Standby與Active/Active兩種HA架構。
在A/S模式下,只要一份授權,然後加買Enhanced Support Plus提供對端的保固;
而在A/A模式下,則需要兩份相同授權。

以下記錄在A/A模式下,客戶提問的問題。

  • 解除HA後,Auxiliary Node的IP配置是否會衝突?
    在解除HA後,Auxiliary Node上只會保留管理Port (LAN Port)原本設定的對端IP與HA對接Port IP,
    其它Port的IP配置都會被清掉,
    所以不會跟Primary Node上的IP衝突。

  • Primary/Auxiliary 角色上的差異
    雖然A/A HA同時間兩台都在運作(所以各需要一份授權),
    但在角色上還是有一些差異,會由Primary Node統一接受封包,然後分散到兩台設備上。
    但有些服務在A/A HA並不支援,例如3/4G Wifi模組,DHCP,PPPoE,SAC等。
    另外,部分服務也不支援分流,僅會由Primary Node獨自處理,例如ICMP,UDP,多撥封包,廣撥封包,VPN等。
    詳情請參考以下連線.
    https://docs.sophos.com/nsg/sophos-firew...tion/index.html

  • 啟用/停用HA會不會造成斷線?
    會!
    啟用HA時,會由Primary Node產生一個Virtual MAC給HA對外使用,所以會短暫的斷線。
    同理,停用HA時,MAC會恢復到原本的實體MAC,也會造成短暫的斷線。
    以實際的架設經驗來看,大多在1,2個ping的時間就恢復正常了。

  • 監控port有什麼作用?
    在HA組態中,有一個監控port可供設置。
    設定在此的Port會被做為HA切換與否的一個根據,
    例如Port1很重要,不能斷,那麼就可以把Port1加到監控port中,
    當Primay Node上的Port1故障(例如網路線被拔掉,對端設備停電)時,就會觸發切換,由Auxiliary Node來獨立運作(Standalone);
    原本的Primary Node會變成Fault狀態,直到問題排除才會恢復HA。


  • 當Primary Node上的port異常時
    當Primary Node上的Port有異常時,若此Port在監控Port中,那會觸發HA切換,
    Primary Node變成Fault,由Auxiliary Node變成Standalone獨立運作。
    若此Port不在監控Port中,那會由於此Port故障,所以無法從此Port聽流量,
    即便Auxiliary Node的該Port是正常的,也無法提供服務。


  • 當Auxiliary Node上的port異常時
    當Auxiliary Node上的有異常時,若此Port在監控Port中,那會因為監控機制的關係,
    Auxiliary Node會變成Fault,由Primary Node變成Standalone獨立運作。
    若此Port不在監控Port中,會由Primary Node接受封包,如同正常狀況。
    但因為Auxiliary Node的此Port故障,所以這Port的流量不會分享到Auxiliary Node上。

  • 當Primary與Auxiliary Node上各有一port異常,且都是監控Port,是否會造成HA failover迴圈?
    不會的。
    因為Primary上有一Port故障,所以會由Auxiliary Node變成Standalone獨立接手服務,
    不會因自己身上的另一個監控Port故障而切換,因為此時角色是Standalone而不是Primary Node。
    直到原本Primay Node上的Port故障排除,重新加入HA後,這時才會因為Primary Node上的監控Port故障,而造成切換。

  • Log查詢
    在A/A HA架構下,log會同步抄寫至兩台。
    所以在任何一台都可以查詢到完整log。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-12-18, 17:41 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2367

shunze 離線
《通知》2023/10開始XG註冊功能移轉到Central顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos XG的授權管理,原廠在2023年10月開始做了重大變革,
XG的註冊與授權管理由原來的MySophos Portal強制移轉到Sophos Central上。
IMPORTANT: Sophos Firewall Licensing Portal Changes

原有的MySophos Portal帳號,會被Sophos強制移轉到Central平台上,
如果該帳號已存在Central上,那會繼續透過此帳號來使用;
如果該帳號不存在,Sophos會強制建立此帳號,並發信通知客戶完成帳號的建立。

本討論串的重點-授權移轉,同樣也可以在Central平台中進行,
移轉方於Transfer功能中找到要轉出的設備序號後,跟著提示輸入接收方帳號,按下確定即可轉出設備;
而接收方則在登入Central後會收到提示,同意後即完成設備的移轉,
這部分跟MySophos Portal的操作基本上是相同的。

另外,Home版license不會顯示在Central中,
Home版註冊與授權更新會自動進行,無需透過Sophos Central來進行。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-11-20, 11:42 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2367

shunze 離線
《分享》PDF文件無法開啟tar.gz夾檔顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

今天客戶反映一個PDF加密文件的問題。
在郵件透過PDF加密後,文件中的tar.gz夾檔無法開啟,也無法另存新檔!
這是產品的bug嗎?



經查後發垷這是一個Windows OS本身的限制,不讓有威脅性的檔案類型能夠直接在PDF文件中保存。
要讓PDF夾檔中的gz文件能夠開啟與另存新檔,
必需透過修改註冊機碼來逹成。

機碼路徑如下。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Adobe Acrobat\DC(依user安裝的PDF版本而異)\FeatureLockDown\cDefaultLaunchAttachmentPerms




然後修改機碼 tBuiltInPermList 中的值,將此字串中的 gz:3 調整為 gz:1 後儲存.



調整過後,重啟pdf reader,會發現原本不能另存新檔的 tar.gz 檔已經能夠另存新檔了∼






參考資料
How to open a .zip / .tar.* file attache...der/Acrobat XI?



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-09-18, 17:09 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2367

shunze 離線
《分享》本機安全性原則中的登入事件無法啟用顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在協助客戶啟用STAS機制時,常常遇到客戶AD主機的”登入事件”反白無法啟用。



由於無法啟用登入事件的稽核記錄,
AD主機就無法擷取ID 4768的事件來做為user name與IP的mapping記錄,
進而將此配對資訊傳給XG,完成身份驗證...

為何AD主機的“本機安全性原則”會反白無法啟用呢?
最合理的判斷就是受到AD GPO的影響,而無法自行進行變更。

而AD主機做為Domain Controller,它所對應的GPO也跟一般user/computer不一樣,
是“Default Domain Controllers Policy”,而不是“Default Domain Policy”。



在瞭解這個重點後,我們可以去檢查一下這個GPO是否有啟用”登入事件”的稽核,
有的話,就把“成功/失敗”的事件勾選,然後update GPO的派送。



或著是直接停用GPO的控管,恢復AD主機“本機安全性原則”的控管能力。



透過以上方式的處理後,登入事件就可以成功被稽核了∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-08-30, 18:14 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2367

shunze 離線
《分享》服務重啟失敗怎麼辦?顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

透過上一篇的敘述,我們可以在Advanced Shell中透過指令來重啟服務,
不過正常來說,服務不會突然就異常停止,
異常停止多半有些隱藏因素,如果未能透過指令來重啟服務,就需要開case請support處理。

但在開case前,倒是可以先檢查一下磁碟空間。
我們有一個客戶就報修dashboard中有多個服務停擺。



甚至在重開機後,連WebUI也無法無開啟了!
檢查服務狀態,才發現apache, ips, reportdb這三個服務都死掉了,
而且透過指令重啟apache無效,都是回應 [503 Service Failed 的錯誤!



既然WebUI都無法開啟了,那就只能透過console/advanced shell來查找原因.
連入後,發現是report吃光了磁碟空間,
導致原本還可以開的WebUI,在重開機後也更著開不起來...



正常來說,清除report空間需要 透過WebUI來刪除舊資料
但現在連WebUI都打不開了,
只能透過 Flush Device Reports 來徹底刪除report資料了...



請注意!
在console下,透過 Flush Device Reports 功能來清除report會在重開機後進行,
而且會在重開機時,花10分鐘左右的時間來清除report資料。

因此請挑方便的時間來進行。

最後客戶回報,在 Flush Device Reports 後,死掉的三個服務都成功運作了,
問題宣告正式排除∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-08-21, 14:23 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2367

shunze 離線
《分享》如何限制exe檔下載顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

網友Roger詢問,在19版後,如何去限制exe檔下載?

其實17與19版的作法相冋,都必需先下載XG的CA憑證到使用者電腦中,做為受信任的根憑證,
然後才能透過XG做為中繼角色,去解析SSL加密連線的內容,
進而做到檔案類型的限制。

在防火牆規則中,我們必需要啟用HTTPS解密才能去解析HTTPS連線中的內容,這跟17版是一致的。



但18版後,Sophos把SSL功能分拆開來,而且預設是停用的!
所以我們要手動啟用SSL的功能,然後設定一個SSL解密的policy來對應內外網間的流量。



完成後,當然要在套用的Web filter中,增加一筆檔案類型的限制,並且把http與https的動作都設為禁止。



經過以上的設定,檔案類型的限制基本上就完成了∼


當對外下載exe檔時,就會透過此web filer的限制,而禁止了exe檔的下載。



同時我們也可以在log viewer中,看到這筆被禁止的log。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-08-11, 17:58 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2367

shunze 離線
BitLocker開機密碼忘了怎麼辦?顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

如果有設定BitLocker開機密碼,但忘記密碼時該怎麼辦?

這時請在BitLocker開機畫面中按下鍵盤ESC鍵。



然後它會要你輸入修復金鑰。



修復金鑰可在Sophos Central中取得,找到這台電腦後按下 Retrieve Recovery Key 連結。



然後抄下這台電腦的修復金鑰。



抄下修復金鑰後,於BitLocker畫面中輸入。



修復金鑰正確的話,就可以繼續Windows登入流程。



因為進行過BitLocker的修復流程,
所以成功登入Windows後,就會要求你重新建立BitLocker開機密碼。



下次開機時,不要忘了這個BitLocker開機密碼喔!



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-06-30, 10:10 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
跳到:
顯示從 1 到 10 在所有的 2067 個結果中.  12345...»

Powered by: Burning Board 1.1.1 2001 WoltLab GbR