8月22日/23日在上海舉辦的首屆IT管理技術大會已經順利結束了。很高興能夠在大會上結識很多業界同好,一起交流技術心得和體會,真是一件幸事!
在這次的大會請了不少名師,例如銀奎大師,有幸聆聽了銀奎的《系統崩潰轉儲分析》,受益匪淺,如果您沒能到場,那可就太遺憾了。
盆盆這次也演講了三節課,得到衆多朋友們的大力支持,課堂氣氛熱烈,讓我感覺很好,有了大夥的支持,盆盆更有信心了。
考慮到還有很多朋友沒能前來,所以這裏把這幾節課的內容簡單描述一下,而且提供課件下載,供諸兄參考。當然由於其中內容受到版權的限制,作了只讀的限制,還請大家諒解。
Windows 7應用程序兼容性解決方案
Windows 7正式RTM了,受到用戶的一致好評。但是由於其帶來了很多創新技術,所以難免會有應用程序存在不兼容的情況。課堂上介紹了UAC、MIC、服務安全增強等功能的內部原理。
例如大家都明白UAC的作用,但是您知道爲什麼有些Windows組件可以直接獲取管理員權限,而無需提示提升?不同的Windows組件,其默認提升的實現方式不一樣,有些是在Manifest裏定製,有些是在註冊表裏定製,有些則有Internal的白名單……
MIC機制的內部原理,對進程和資源增加了一層級別,從而加強系統安全……服務的增強,有服務SID、受限服務分別有什麼含義……
那麼多的特性,對於兼容性的影響在哪裏?如何用系列工具檢查並且消除這些影響?
下載地址:
微軟服務器虛擬化深入解析
涵蓋Hyper-V內部原理、高級技巧、性能優化、故障排錯、安全保護、羣集管理、應用遷移和調試、災備維護、自動化腳本、SCOM監控優化、全面備份和還原等綜合技術知識。
課堂上不僅演示了Hyper –V R2的高可用性、實時遷移、SCVMM 2008 R2的最新功能(存儲遷移,類似於Storage Vmotion)、SCOM和SCVMM整合報表等高級功能,而且還介紹Hyper-V的底層架構和實現原理。
您知道虛機和服務一樣,也有服務SID的概念嗎?介紹瞭如何對其進行優化,此外還介紹了高級排錯經驗,例如如何直接複製Hyper-V虛機、如何對P2V進行排錯等。
下載地址:
活動目錄安全深入分析
活動目錄是微軟企業網絡的基石。這個課程介紹了安全主體、登錄會話、SID、訪問令牌、服務賬戶、NTLM驗證、Kerberos驗證、窗口站、桌面等Windows安全對象的內部原理,幫助IT Pro和開發者們更好地熟悉活動目錄安全的內部運作模式。
憑據等於密碼嗎?原來在AD看來,憑據就是會話密鑰,和用戶密碼無關,或者說服務器根本就不會驗證客戶端的賬戶密碼,它只相信會話密鑰。所以AD能夠實現委派。假設A委託B訪問C,B就可以直接拿A給它的會話密鑰副本給C,就可以扮演A的身份對C進行訪問了。
而NTLM爲什麼不能實現委派?原因是客戶端必須用自己的賬戶密碼對服務器發給它的隨機數進行加密,這樣的話,由於B不可能知道A的密碼(密碼不可能在網絡上明文傳送),所以無法用A的賬戶密碼對C發給它的隨機數進行加密,所以無法實現委派。
另外,您可能不知道真正代表安全主體的是登錄會話吧?登錄會話是安全主體的一次登錄實例,就好比進程是程序的一次運行實例一樣。但是您知道登錄會話本身也是安全主體嗎(這個概念有點搞)?很多Windows內部對象,是授權給登錄會話的,而非授權給安全主體本身。就拿可見窗口站和桌面來說,例如用戶Mark登錄到計算機上,其桌面只授權給它的登錄會話SID,而不是Mark賬戶。這就是爲什麼哪怕有進程或者服務以Mark身份運行,只要不是在同一個登錄會話裏,也無法和該用戶的桌面進行交互。