よもやま tips

Microsoft SharedView の使い方

ちゃっぴ (tyappi@wankuma.com) — Thu, 03 Jul 2008 03:06:00 GMT

Microsoft SharedView の続き

<事前準備>

Server 側の user が Windows Live ID を取得

<共有方法 >

Microsoft SharedView を install (Server-side, client-side 双方)
Microsoft SharedView の起動 (Server-side)
Windows Live ID へ sign in (Server-side)
「新しいセッションを開始」を click (Server-side)
「開始」を click (Server-side)
Microsoft SharedView の「共有」から共有する window を選択し、開始を click
Remote から接続する user へ通知を送信 (Server-side)

[参加者] - 「他のメンバーを招待」で表示される画面にて「手順をクリップボードへコピー」を実行し、その内容を mail や messenger とかで共有したい user へ送信
※ この操作は必須ではありません。共有を行っている側の Windows Live ID が分かっていれば、直接 Windows Live ID を指定することにより参加することができます。
Microsoft SharedView を起動 (Client-side)
Windows Live ID へ sign in (Client-side)

※ Client 側は sign in しなくても guest として接続することは可能です。
対象の session へ接続 (Client-side)
「セッション名」に server-side で共有している user の Windows Live ID を指定し、「今すぐ開始」を click
対象の user が信用できる場合、要求された接続を許可 (Server-side)

ここまででとりあえず、windows の共有はできます。

ただし、このままでは remote から対象へ直接操作することはできません。

続く

Microsoft SharedView

ちゃっぴ (tyappi@wankuma.com) — Thu, 03 Jul 2008 01:13:00 GMT

知らない間にこんなの出ていたんだ。

Microsoft SharedView

15 人まで共有可能ときたもんだ。

これかなり便利だと思いますよ。

Microsoft SharedView 以外にも Remote Desktop や Remote Assistance のような機能はあるわけですが、Microsoft SharedView の利点としては windows 単位で許可を設定できることですね。

思っていたより案外使えそうなんでぜひ試してみてください。

Fix user profile junction tool

ちゃっぴ (tyappi@wankuma.com) — Sun, 08 Jun 2008 23:44:00 GMT

User profile の path 変更方法（Windows Vista）で書いた方法で user profile の場所を標準から変更して install した場合、"C:\Documents and Settings" junction point の junction 先が "C:\Users" を指しています。意味ね～！

別に直さなくてもいいんですが、質の悪い applications のためと、あと気持ち悪いちゅうのもあるので治す方法をば。

属性の取得
```
ATTRIB "%TARGET_PATH%" /L
```
ACL の取得
```
cacls.exe "%TARGET_PATH%" /S
```
Junction の削除
```
RMDIR "%TARGET_PATH%"
```
Junction の作成
```
MKLINK /J "%TARGET_PATH%" "%LINK_PATH%"
```
属性の設定
```
ATTRIB +H +S "%TARGET_PATH%" /L
```
属性は 1 で取得したものと同じになるように設定
ACL の設定
```
cacls.exe "%TARGET_PATH%" /S:"%SDDL%"
```
%SDDL% には 2 で取得した SDDL 形式の ACL を指定

というようにかなりめんどくさいです。

ということで、batch file を作ってみました。

FixProfileJunction.zip

作ってみた感想。Batch file やってらんね～！

"attrib" command は失敗しても戻り値に 0 を返す

ちゃっぴ (tyappi@wankuma.com) — Sun, 08 Jun 2008 17:37:00 GMT

これだから Windows で command 使うの嫌だ。

Junction に対して "Attrib" command を発行した場合表示される属性

ちゃっぴ (tyappi@wankuma.com) — Sat, 07 Jun 2008 16:48:00 GMT

Windows Vista では過去の互換性のため junction を使って user profile の path を過去のもの Vista で変更されたもの双方扱えるようにしています。

でこの junction に対して "attrib" command を発行してみましょう。

> attrib "C:\Documents and Settings"
     R       C:\Documents and Settings

R　のみ？これ system 属性ついているから設定変更しない限り explorer.exe で表示されないんですけど？

調査してみると "attrib" command で返されるのは link 先の属性のようです。なんだかなぁ。。。

一歩間違えるとこれめちゃくちゃ怖いことになるんですけどね。Junction とかに関しては正直 command や API が全然追いついていない気がします。早いとこなんとかして～！

Junction が倒せない

ちゃっぴ (tyappi@wankuma.com) — Sat, 07 Jun 2008 16:31:00 GMT

Scripting.FileSystemObject の DeleteFolder method で junction を削除しようとしたんですが。

書き込めませんだってさ！

DeleteFile も Scripting.Folder class の Delete method もちろん NG。

さてどうやって消したもんかな。。。

一応 rmdir command は利きますが。。。

live.sysinternals.com

ちゃっぴ (tyappi@wankuma.com) — Tue, 03 Jun 2008 15:35:00 GMT

ネタ元:

Sysinternals の tools が Internet 越しに UNC で download 可能になったようです。\\live.sysinternals.com から download 可能です。

田辺さんが書いているように robocopy.exe とかで自動で同期させられるよう仕掛けておくと便利ですね。

BitLocker 有効化後 BCD を変更すると回復 password を求められる

ちゃっぴ (tyappi@wankuma.com) — Wed, 14 May 2008 04:00:00 GMT

BitLocker 有効化後の BIOS 更新には注意が必要で BIOS 更新時にも求められることは書きましたが、BCD (Boot Configuration Data) を変更したときにも求められます。

ちなみに求められるのは例によって system partition のみ。

~~ただし、BIOS 更新時とは違い BitLocker の無効化・再有効化は必要ありません。~~Balloon で表示されないだけで、BIOS 更新時と同様有効化・無効化が必要でした。

調査してみたところ、こんなの見つかった。

Data Encryption Toolkit for Mobile PCs : 計画および実装ガイド

安定したブートパスの確認

BitLocker および TPM は、総称して TPM プラットフォーム検証プロファイル (PVP) と呼ばれる一連のチェックを実行することで、コンピュータの起動から Windows Vista の起動プロセスが終了するまでブートパスの整合性を確保します。BitLoker をインストールした後に起動プロセスが大きく変更された場合、PVP の結果は異なるものになり、整合性の変化が通知されます。整合性に変化が生じた場合、BitLocker によりオペレーティングシステムボリュームのロック解除が拒否され、別の回復手段も使用できなくなる場合があります。

そのため、BitLocker を有効にする前に、ハードウェアおよびソフトウェアのブートパスが完全に構成され安定した状態にあることを確認してください。特に、BitLocker を有効にする各コンピュータでは、次の設定/装備が必要です。

・
正しいブートデバイスに対応した BIOS 構成

・
ファームウェアがインストールされた ROM 採用のオプションデバイス

・
構成済みの Wake-on-LAN イベント

・
構成済みの Windows ブート構成データ (BCD)

ローカルコンピュータポリシーおよび Active Directory グループポリシーを使用して、起動プロセス中に TPM が使用するブートコンポーネント (プラットフォーム構成レジスタ (PCR) と呼ばれる) を構成できます。大部分のアプリケーションでは、PCR の既定の設定で十分なセキュリティの効果があるので、PCR を変更することはお勧めしません。

BitLocker をインストールした後では、対応する PCR を備えたどのコンポーネントを変更する場合にも、回復パスワードが要求されます。PCR の変更例としては、BIOS の更新、ROM 対応のブートデバイスの追加、マスタブートレコード (MBR)、パーティションテーブル、低レベルのブートセクタデータ、ブート構成データ、またはブートマネージャの変更、新たにデュアルブートを実現するための別のオペレーティングシステムのインストールなどが挙げられます。

注 :

Windows Vista のマスタブートレコード (MBR)、ブートセクタコード、およびブートマネージャでは、整合性が強固に保護されており、BitLocker に適しています。マイクロソフトでは、サードパーティ製のブートローダーを使用しないように強くお勧めします。BitLocker を有効にした後で新しいブートローダーを追加すると、復元処理が開始されます。BitLocker を有効にする前にブートローダーを取り替えた場合、BitLocker は安全なブート環境を維持できなくなります。

Windows Vista カーネルの内部 : 第 3 部

知っておくと便利な PsExec の便利な利用方法

ちゃっぴ (tyappi@wankuma.com) — Sat, 10 May 2008 22:46:00 GMT

Windows の深い部分は "NT AUTHORITY\System" でしか access できないように ACL で保護されている場合が多いです。というのは、Windows では "BUILTIN\Administrators" に所属する user であっても厳密に ACL が判定されるため。もっとも、所有者だけは別ですが。

所有権を取得して、ACL を置き換えることによりこの保護された部分に access することは可能ですが、置き換えた ACL を復旧させるのが面倒です。

そこで、でてくるのが PsExec。これを利用すると "NT AUTHORITY\System" で任意の process を起動することが可能です。

psexec -s -i "%APPLICATION_PATH%"

"-s" が "NT AUTHORITY\System" で起動するための switch、"-i" は UI を表示するときに使う switch です。

どうやって local system で起動しているのか？というと PsExec が "PsExec" という service を install し、その service から process を起動しています。Process Explorer で process tree を覗いてみるとよくわかりますね。

"BUILTIN\Administrators" に所属している user は service を install することができます。結果として、"NT AUTHORITY\System" で任意の process を起動できるということはおぼえておくといいかもしれません。

それから "NT AUTHORITY\System" も "BUILTIN\Administrators" の member です。こちらも合わせて覚えておくと ACL を設定するときに役立つかも？

PsExec には他にも便利な機能があって、"-l" switch を利用すると limited user で起動することができます。これは Windows Vista では low Integrity level に、それ以前ではとりあえず "BUILTIN\Administrators" が filter されているようです。

ちょっとした debug 用途に利用すると便利ですね。

最後に SysInternals で提供されている tools は非常に役立つものが多いので、Sysinternals Suite でまとめて導入されることを推奨します。

Process Explorer に symbol を設定する方法

ちゃっぴ (tyappi@wankuma.com) — Sat, 03 May 2008 05:45:00 GMT

よく忘れるので。。。

Process Explorer の機能を完全に利用するためには symbol の設定が必要です。たとえば、Process Explorer の System Information。

中央下方に 'no symbols' との文字が見えるでしょう。この情報は、symbol を設定しないと取得できません。以下にその方法を示します。

Debugging Tools for Windows の install
Debugging Tools for Windows 32 ビットバージョンのインストール
 Debugging Tools for Windows 64 ビットバージョンのインストール
Symbols path 指定
Process Explorer にて [Options] → [Configure Symbols...]

下記を入力。

Dbghelp.dll path C:\Program Files\Debugging Tools for Windows\dbghelp.dll

Symbols path http://msdl.microsoft.com/download/symbols

"Dbghelp.dll path" には、Debugging Tools for Windows を install した folder に存在する "dbghelp.dll" を指定してください。Default では "%SYSTEMROOT%\Sytem32\dbghelp.dll" が指定されていますが、こちらは利用できません。

上記を設定することにより、System Information のすべての項目を表示させることができます。

なお、今回の指定方法では Micorsoft の symbol server から symbol を自動的に download したものを利用することになります。したがって、Internet への接続が必須です。あらかじめ symbols package を local に配置しておいてそちらを参照させることも可能ですが、その方法は気が向いたら説明します。

なお、UAC 環境においては、symbols を必須とする項目は「管理者として実行」しない限り表示されません。

・	正しいブートデバイスに対応した BIOS 構成
・	ファームウェアがインストールされた ROM 採用のオプションデバイス
・	構成済みの Wake-on-LAN イベント
・	構成済みの Windows ブート構成データ (BCD)

Dbghelp.dll path	C:\Program Files\Debugging Tools for Windows\dbghelp.dll
Symbols path	http://msdl.microsoft.com/download/symbols

よもやま tips

Microsoft SharedView の使い方

Microsoft SharedView

Fix user profile junction tool

"attrib" command は失敗しても戻り値に 0 を返す

Junction に対して "Attrib" command を発行した場合表示される属性

Junction が倒せない

live.sysinternals.com

BitLocker 有効化後 BCD を変更すると回復 password を求められる

安定したブート パスの確認

知っておくと便利な PsExec の便利な利用方法

Process Explorer に symbol を設定する方法

安定したブートパスの確認