8月22日/23日在上海舉辦的首屆IT管理技術大會已經順利結束了。很高興能夠在大會上結識很多業界同好,一起交流技術心得和體會,真是一件幸事!
在這次的大會請了不少名師,例如銀奎大師,有幸聆聽了銀奎的《系統崩潰轉儲分析》,受益匪淺,如果您沒能到場,那可就太遺憾了。

盆盆這次也演講了三節課,得到眾多朋友們的大力支援,課堂氣氛熱烈,讓我感覺很好,有了大夥的支援,盆盆更有信心了。

考慮到還有很多朋友沒能前來,所以這裡把這幾節課的內容簡單描述一下,而且提供課件下載,供諸兄參考。當然由於其中內容受到版權的限制,作了只讀的限制,還請大家諒解。

Windows 7應用程式相容性解決方案

Windows 7正式RTM了,受到使用者的一致好評。但是由於其帶來了很多創新技術,所以難免會有應用程式存在不相容的情況。課堂上介紹了UAC、MIC、服務安全增強等功能的內部原理。

例如大家都明白UAC的作用,但是您知道為什麼有些Windows元件可以直接獲取管理員許可權,而無需提示提升?不同的Windows元件,其預設提升的實現方式不一樣,有些是在Manifest裡定製,有些是在登錄檔裡定製,有些則有Internal的白名單……
MIC機制的內部原理,對程式和資源增加了一層級別,從而加強系統安全……服務的增強,有服務SID、受限服務分別有什麼含義……
那麼多的特性,對於相容性的影響在哪裡?如何用系列工具檢查並且消除這些影響?
下載地址:

微軟伺服器虛擬化深入解析

涵蓋Hyper-V內部原理、高階技巧、效能優化、故障排錯、安全保護、群集管理、應用遷移和除錯、災備維護、自動化指令碼、SCOM監控優化、全面備份和還原等綜合技術知識。
課堂上不僅演示了Hyper –V R2的高可用性、實時遷移、SCVMM 2008 R2的最新功能(儲存遷移,類似於Storage Vmotion)、SCOM和SCVMM整合報表等高階功能,而且還介紹Hyper-V的底層架構和實現原理。

您知道虛機和服務一樣,也有服務SID的概念嗎?介紹瞭如何對其進行優化,此外還介紹了高階排錯經驗,例如如何直接複製Hyper-V虛機、如何對P2V進行排錯等。
下載地址:

活動目錄安全深入分析

活動目錄是微軟企業網路的基石。這個課程介紹了安全主體、登入會話、SID、訪問令牌、服務賬戶、NTLM驗證、Kerberos驗證、視窗站、桌面等Windows安全物件的內部原理,幫助IT Pro和開發者們更好地熟悉活動目錄安全的內部運作模式。

憑據等於密碼嗎?原來在AD看來,憑據就是會話金鑰,和使用者密碼無關,或者說伺服器根本就不會驗證客戶端的賬戶密碼,它只相信會話金鑰。所以AD能夠實現委派。假設A委託B訪問C,B就可以直接拿A給它的會話金鑰副本給C,就可以扮演A的身份對C進行訪問了。

而NTLM為什麼不能實現委派?原因是客戶端必須用自己的賬戶密碼對伺服器發給它的隨機數進行加密,這樣的話,由於B不可能知道A的密碼(密碼不可能在網路上明文傳送),所以無法用A的賬戶密碼對C發給它的隨機數進行加密,所以無法實現委派。

另外,您可能不知道真正代表安全主體的是登入會話吧?登入會話是安全主體的一次登入例項,就好比程式是程式的一次執行例項一樣。但是您知道登入會話本身也是安全主體嗎(這個概念有點搞)?很多Windows內部物件,是授權給登入會話的,而非授權給安全主體本身。就拿可見視窗站和桌面來說,例如使用者Mark登入到計算機上,其桌面只授權給它的登入會話SID,而不是Mark賬戶。這就是為什麼哪怕有程式或者服務以Mark身份執行,只要不是在同一個登入會話裡,也無法和該使用者的桌面進行互動。