In den vergangenen Tagen wurden die Ergebnisse von zwei neuen Umfragen zur aktuellen IT-Sicherheitslage in den deutschen Unternehmen veröffentlicht. Die erste Studie mit dem Titel Konsequenzen unzureichender Cyber-Sicherheit für Unternehmen und Wirtschaft in Deutschland, durchgeführt vom britischen Consulting-Unternehmen Cebr im Auftrag des Security-Anbieters Veracode, beschäftigt sich in erster Linie mit den finanziellen Schäden, die deutsche Firmen durch Cyber-Attacken hinnehmen mussten. Befragt wurden 205 Unternehmen mit mehr als 1.000 Mitarbeitern, die Daten für ganz Deutschland wurden von Cebr über ergänzende, eigene Recherchen hochgerechnet.

59 Prozent der Firmen gaben an, in den vergangenen fünf Jahren mindestens einen Sicherheitsvorfall verzeichnet zu haben. Insgesamt entstanden den deutschen Unternehmen durch Angriffe aus dem Internet Schäden von geschätzt 13 Milliarden Euro pro Jahr. Die meisten Attacken meldete die Baubranche, ihre Vertreter waren durchschnittlich 2,7 Mal das Ziel von Angriffen. Verantwortlich dafür ist nach Einschätzung von Cebr die zunehmend komplexe Lieferkette bei Bauprojekten sowie der vermehrte Einsatz von digitalen Techniken. Es folgen die Distribution mit 2,5 sowie die Versorgungs-, Energie- und Bergbau-Unternehmen mit 2,2 Attacken.

Die größten Schäden durch Umsatzrückgänge infolge von Cyber-Angriffen entstanden bei Firmen aus dem Bereich Fertigung und Produktion, sie mussten in den vergangenen fünf Jahren 27 Milliarden Euro Umsatzeinbußen verkraften. Bei Unternehmen aus der Branche Versorgung, Energie und Bergbau waren es 9,2 Milliarden Euro, das Baugewerbe war mit 6,5 Milliarden die am drittstärksten betroffene Branche.

Wie gut ist die Verteidigung deutscher Unternehmen?

Dabei zeigt sich, dass der Sicherheitsindex von 57 Punkten im Jahr 2014 auf mittlerweile 50 Punkte gefallen ist. Der Gefährdungsindex hingegen stieg im gleichen Zeitraum von 46 auf 49 Punkte. Sieht man sich die Ergebnisse genauer an, so stellt man fest, dass die Unternehmen ihre technischen Sicherheitsmaßnahmen im Laufe der Jahre immer schlechter bewertet haben.

Die organisatorischen, rechtlichen und strategischen Maßnahmen hingegen, etwa Mitarbeiter-Schulungen oder die Klärung von Haftungsfragen, schnitten dagegen immer ungefähr gleich ab. Die Analysten interpretieren diese Ergebnisse so, dass es bei den Unternehmen ein zunehmendes Bewusstsein für die Gefährdung durch Cyber-Attacken gibt. Sie beginnen verstärkt darüber nachzudenken, wie sie selbst gegen diese Bedrohungen geschützt sind, und stoßen auf die Schwachstellen in ihren Sicherheitskonzepten.

Problembewusstsein prallt auf hohe Investitionen

Zieht man die Ergebnisse beider Studien zusammen, so ergibt sich ein gemischtes Bild. Zum einen ist positiv festzuhalten, dass das Bewusstsein über die Gefährdung durch Cyber-Attacken in den Unternehmen offenbar zugenommen hat und sie gewillt sind, verstärkt in diesen Bereich zu investieren. Diesem positiven Befund stehen allerdings die hohen Kosten entgegen, die der deutschen Wirtschaft durch Angriffe auf die IT entstehen. Es ist zu hoffen, dass sich daraus als Konsequenz die Einführung verbesserter Schutzmaßnahmen und die Verringerung der Schäden durch Cyber-Attacken ergibt.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Today’s Tip…

Just when you thought DNS could not get any better there are several new features and improvement included in Windows Server 2016 TP4 to get excited about. One notable improvement that will be very useful to troubleshooters and support engineers is the addition of new diagnostic and logging capabilities consisting of both Analytical Events and ETW trace providers.

The good news is that these features have also been backported to Windows Server 2012 R2 DNS!  If you have a 2012 R2 DNS server you can download and install the following package to enable this capability.

Update adds query logging and change auditing to Windows DNS servers

Note Concerning DNS Debug Logging

Prior to the introduction of DNS analytic logs, DNS debug logging was an available method to monitor DNS transactions. That DNS debug logging is not the same as the enhanced DNS logging and diagnostics feature discussed here. 

Analytical Event Logging

Enhanced DNS logging and diagnostics in Windows Server 2012 R2 and later includes DNS Audit events and DNS Analytic events. DNS audit logs are enabled by default, and do not significantly affect DNS server performance. DNS analytical logs are not enabled by default, and typically will only affect DNS server performance at very high DNS query rates. For example, a DNS server running on modern hardware that is receiving 100,000 queries per second (QPS) can experience a performance degradation of 5% when analytic logs are enabled. There is no apparent performance impact for query rates of 50,000 QPS and lower. However, it is always advisable to monitor DNS server performance whenever additional logging is enabled.

Click on the link for a detailed list of DNS Analytic events as well as the steps necessary to enable DNS diagnostic logging once the package is installed.

ETW Logging

DNS logs are compatible with Event Tracing for Windows (ETW) consumer applications such as logman, tracelog, and message analyzer.  You can use ETW consumers such as tracelog.exe with DNS server audit and analytic events by specifying a GUID of {EB79061A-A566-4698-9119-3ED2807060E7}.

Note – You can get tracelog.exe by downloading and installing the Windows Driver Kit (WDK). Tracelog.exe is included when you install the WDK, Visual Studio, and the Windows SDK for desktop apps. For information about downloading the kits, see Windows Hardware Downloads. For example, when you download and install Windows Driver Kit (WDK) 8 and accept the default installation path, tracelog.exe is available at C:Program Files (x86)Windows Kits8.0Toolsx64tracelog.exe.  For more information about using tracelog.exe, see Tracelog Command Syntax.

The following command will enable both analytical and audit logging:

tracelog.exe -start Dns -guid #{EB79061A-A566-4698-9119-3ED2807060E7} -level 5 -matchanykw 0xFFFFFFFF -f C:analytic_audit.etl

While the trace is active, all analytical and audit events will be recorded in the C:analytic_audit.etl file that was specified on the command line. You can stop tracing by issuing a stop command:

tracelog –stop Dns

After stopping the trace, you can view the .etl file in Event Viewer by clicking Action and then clicking Open Saved Log. AS shown in the following example.

The following example enables just the analytical channel and matches only the keywords to 0x7FFFF:

tracelog.exe -start Dns -guid #{EB79061A-A566-4698-9119-3ED2807060E7} -level 5 -matchanykw 0x7FFFF -f C:analytic.etl

Using this syntax, a logging level of 5 is used. The following logging levels are available:

Call to Action

At your first opportunity familiarize yourself with the process of gathering and analyzing DNS ETW logging.  It is very economical in terms of resource consumption compared to traditional DNS debug logging and can be very useful in troubleshooting and forensic efforts. 

Your feedback is very important is well.  If you encounter a scenario where information not currently captured by the trace would be helpful, let us me know!  The DNS PG is very active in the area of diagnostics and if your idea would help reduce the time it takes to resolve an issue they would be very interested in hearing it! 

Review the following article for more information on DNS Analytical Logging and other diagnostics.

https://technet.microsoft.com/en-us/library/dn800669.aspx

The ModernBiz Technical Series is designed for technical consultants and IT professionals working with small and medium business (SMB) customers. It enables you to provide solutions and services that span the entire IT ecosystem from server to cloud to devices. What distinguishes the ModernBiz Technical Series is the ability to get hands-on experience via demos, labs, and presentations that focus on real-world solutions. Each module helps you address a specific scenario or customer pain-point:

• Business Anywhere
• Connect With Customers
• Grow Efficiently
• Safeguard Your Business

Register today and attend for NO COST through June 30, 2016. http://aka.ms/ModernBizWebcast

With the news of LinkedIn being compromised, it makes us all re-evaluate our password policies.  I agree that passwords are the weakest link in our security chain, and the Azure AD Identity Protection team has now defined some additional password best practices.  I expect this will impact a number of people that have used “less complex” passwords with Office 365 and Azure in the past.  The big thing I want to point out is that Azure AD will start dynamically banning common passwords.  This means if you try to create “simple” passwords within Azure AD (or Office 365), Azure AD will not allow you to change your passwords to these known weak, or commonly used, passwords.  I do not expect your current passwords to stop working, at most you will be prompted to change your password.  The whole article can be read here. 

This post also references our Password Guidance Whitepaper.  Keep in mind that Microsoft sees over 10 million username/password pair attacks every day. This gives us a unique vantage point to understand the role of passwords in account takeover. The guidance in this paper is scoped to users of Microsoft’s identity platforms (Azure Active Directory, Active Directory, and Microsoft account) though it generalizes to other platforms. 

The link to the Whitepaper is here, and I love that the guidance is simple and direct. 

Please take time to review this and discuss it with your customers since this may impact some of your customers the next time they try to change their password to something too simple.

Until next time,

Rob

By: Mark Chaban Area Director of Education for Microsoft Middle East & Africa

I was recently at the BETT Education forum in Abu Dhabi, and top of everyone’s minds was how the business world is changing due to mobile technology.

With businesses focusing less on the organisation itself, and more on its people, students preparing for the world of work need to develop the right skills required for the modern and future workplace.

For me, there are five essential skills for the modern workplace – I call them the five Cs: communication, collaboration, critical thinking, creativity and computational learning.

These rest on soft skills, or foundational skills as opposed to hard or practical skills. However, both are driven by technology.

• Communication: Communicating effectively and appropriately is vital to sharing ideas and collaborating with others. The ability to share information with enthusiasm and conviction is key to any modern-day job. Good communication skills demonstrate technical expertise and assist in creating persuasive material that delivers a message tailored to the intended audience.
• Collaboration: Collaboration is about working in teams and learning from and contributing to the learning of others. It’s also about developing empathy working with diverse groups of individuals. The modern workplace requires more and more collaboration, and everyone in this environment must be willing and empowered to take ownership of problems and find solutions.
• Critical thinking: To find workable solutions, critical thinking is necessary to make educated and objective judgments about problems and how to solve them. Critical thinking is required for questions that do not have simple answers; in asking such questions educators can promote critical thinking in learners.
• Creativity: Creativity is our ability to pursue new ideas and solutions, think outside the box and develop innovative ways of doing things. Creativity is an essential skill for the modern workplace and is borne out of collaborative environments, where different ways of thinking are encouraged as means to solve problems in different ways.
• Computational learning: Lastly, computational and technical learning is important in the modern workplace. It speaks to a deeper understanding of how to use technology to find solutions and how to effectively incorporate new technical knowledge into solving a problem. Computational learning allows for the skilful application of this technical knowledge towards innovation and performance improvement.

A focus on problem solving

It’s clear that there is a large focus on problem solving and a certain way of thinking and operating, rather than only technical skills such as mastering a specific coding language or software.

With technology advancing so quickly, it’s vital that young people learn to be agile and embrace change. These skills are essential for work in the 21^st century and need to be instilled in young people at school level.

Buenas a todos,

Solo queria compartir con vosotros que el equipo de soporte de Exchange en España junto con la Comunidad Office 365 va a realizar una serie de webcasts en español durante el mes de Junio relacionados con Exchange Online.

A continuación tenéis la lista de webcasts, así como los enlaces de registro:

Fecha: 02/06/2016
Titulo: Recuperacion de Datos en Exchange Online
Ponentes: Irene Higuera – Alberto Pascual
Registro: https://www.eventbrite.es/e/webcast-recuperacion-de-datos-en-exchange-online-tickets-25692826937

Fecha: 09/06/2016
Titulo: Gestion de ActiveSync y Data Loss Prevention en Exchange Online
Ponentes: Guillermo Castro Durán – Marco Castro
Registro: https://www.eventbrite.es/e/webcast-gestion-de-activesync-y-dlp-en-exchange-online-tickets-25693928231

Fecha: 16/06/2016
Titulo: Administración de Office365 con PowerShell
Ponentes: Madalina Florea – Ignacio Serrano
Registro: https://www.eventbrite.es/e/webcast-administracion-de-office365-con-powershell-tickets-25694263233

Fecha: 23/06/2016
Titulo: Exchange Online Protection y Advanced Threat Protection
Ponentes: Ross Parkel – Andy Day
Registro: https://www.eventbrite.es/e/webcast-exchange-online-protection-eop-y-advanced-threat-protection-atp-tickets-25694431737

Fecha: 30/06/2016
Titulo: Conectividad con aplicaciones cliente y Exchange Online
Ponentes: Nacho Sánchez-Beato
Registro: https://www.eventbrite.es/e/entradas-webcast-conectividad-con-aplicaciones-cliente-y-exchange-online-25720451563

Os esperamos!

For one of my Premier ‘FAST search for SharePoint 2010′ customers, ‘get-FASTSearchSettingGroup’ command was throwing an error.

Here are details of the issue and it’s resolution:

Symptom

When running PowerShell command : “Get-FASTSearchSettingGroup” in order to update a bestbets file, getting an error: “Failed to communicate with the WCF service.”

Cause

FAST administration app pool account’s password was changed so it had to be updated manually in the App pool identity.

Resolution

· We went to IIS manager and  found that the Fast Administration app pool was stopped.
· We manually started it.
· Then went to FAST PowerShell again and ran the command get-FASTSearchSettingGroup which returned the same error.
· Checked that the FAST administration site App pool got stopped again.
· We suspected that the app pool identity was not updated when the password might have been changed for the account.
· Went to app pool and updated App pool credentials with new password.
· Then ran the same PowerShell command and it worked this time.

I Hope that helps! Happy searching !!

勒索軟體(Ransomware)阻擋您使用電腦，讓您的電腦和文件被勒索。這篇文章將介紹勒索軟體是什麼以及它是如何運作的，並提供如何預防的建議和該怎麼從感染的狀況下復原。

這篇文章將介紹:

• 勒索軟體如何運行?
• 常見問題
• 一般使用者應注意細節
• 企業與IT人員應注意細節
• 常見的勒索軟體

軟體勒索軟體如何運行?

有很多種類型的勒索軟體，然而，不管哪一種都會讓您無法正常的使用您的電腦。
他們的目標可能是任何者，不論是家用電腦，企業網路的使用者端，或政府機構與醫療團體的服務機等。

勒索軟體可能造成的威脅包含:

• 無法正常操作 Windows 系統
• 加密檔案讓您無法使用
• 停止特定程式的運作(如網頁瀏覽器)

勒索軟體將要求您支付一筆金額（贖金），您才能繼續使用您的電腦，然而我們不能保證當您繳交贖金之後能夠還原您的電腦。

常見問題集

• 合法軟體發行方真的能在我的電腦裡偵測到非法運作活動嗎?

不行。這些警告都是假的，和合法軟體發行商一點關係也沒有。這些訊息會盜用圖像和合法機構的公司標誌，讓假訊息看起來像真的。

• 我無法取得電腦和文件的使用權。請問我該直接付費並取得使用權嗎?

我們並不建議您採用付費的方式。付費後並不保證一定能拿回使用權，甚至可能讓您淪為惡意軟體再次攻擊的對象。

• 我該如何取回檔案使用權呢?

該如何復原檔案取決於檔案的儲存位置和您使用的 Windows 作業系統版本。在您嘗試附原檔案前，您可以使用惡意軟體離線掃描工具(Windows Defender Offline)，確保電腦的安全性。

對於儲存、同步、備份過去於 OneDrive 中的 Office文件

．OneDrive 會在您每次變更檔案後，建立起版本歷程記錄，這也是強化檔案安全性的方法之一

．要檢視過往的檔案版本，請登入OneDrive 網頁版，點選右鍵後，選擇版本歷程記錄

．商務版 OneDrive 的使用者可以在 Office Support看到管理版本歷程記錄的引導文章

對於在電腦上的檔案

．您需要開啟在新系統中檔案紀錄功能(Windows 10 和 Windows 8.1版本) 或舊系統中的系統保護功能 (Windows 7 和 Windows Vista)，在您的電腦被感染之前。在某些情況下，這些功能已被電腦製造商或網路管理者預設開啟。

．一些勒索軟體甚至會將您備份的檔案刪除或加密。這意味著，即使可以取得歷史檔案，但如果您將備份位置設在網路上或本機端，檔案依然有被加密的可能。若是備份在可移除的雲端硬碟，或即使您被感染時並沒有與之連接，檔案被加密的風險依然存在。

．查看 Windows 修復系統(Windows Repair and recovery site)，以取得在對應作業系統下，該如何回復檔案的協助

如果您是被一種稱為 Crilock family (又名 CryptoLocker)的勒索病毒感染，您可以使用我們曾在MMPC部落格中提到的工具:FireEye 和 Fox-IT 工具能夠幫助您還原被Crilock加密的文件

• 如果我已經付錢了該怎麼辦?

您應該與銀行或當地的機構聯絡，如警察局。如果您是使用信用卡付款，銀行方面可能可以幫您取消交易，並將付款償還。以下由政府設立的詐騙防治網站也許能幫上您的忙:

．在澳洲，請參訪SCAMwatch網站
．在加拿大，請參訪Canadian Anti-Fraud Centre網站
．在法國，請參訪Agence nationale de la sécurité des systèmes d’information網站
．在德國，請參訪Bundesamt für Sicherheit in der Informationstechnik網站
．在愛爾蘭，請參訪An Garda Síochána網站
．在紐西蘭，請參訪Consumer Affairs Scams 網站
．在英國，請參訪Action Fraud網站
．在美國，請參訪On Guard Online網站

如果您的國家未在上述中，我們鼓勵您與當地警察機關或通信管理局連繫。

• 這些訊息是怎麼知道我的 IP 位址的?

您的IP地址通常不是隱藏的，因此有許多線上工具可以查詢得到。

• 勒索軟體是怎麼找上我的電腦的?

在大多數情況下，當您造訪一個惡意網站或遭到了駭客攻擊時，勒索軟體便會自動下載。
除了勒索軟體，對於其他惡意軟體如何入侵您的 PC，請參考：

．惡意軟體是怎麼侵入我的電腦?

• 我該如何保護自己不受勒索軟體的侵害？

您應該這樣做：

．安裝並使用最新防毒解決方案 (為您推薦 Microsoft Security Essentials)
．確保您的軟體是最新版本
．避免點擊或開啟不明來源的郵件或是附件
．確定您將 smart screen打開
．在您的網頁瀏覽器中執行快顯封鎖程式
．定期備份您的重要文件

您可以使用雲端空間服務來備份您的檔案，以便保存歷史紀錄及儲存管理。為您推薦 OneDrive，完美搭配 Windows 10、Windows 8.1 及 Microsoft Office。當您將勒索軟體移除後，您可以從「歷史紀錄」中恢復過去為加密的文件。

參考常見問題集中的「如何找回我的檔案」，即可更了解如何在OneDrive中使用此功能。
想要查看更多預防惡意軟體的方法，您可以查看此篇連結

• 我該如何將勒索軟體從我的電腦移除

微軟並不建議您繳交罰款，因為這並無法保證可以讓您成功取回檔案。
如果您已經繳交罰款，請參考上方的問題「如果我已經繳交罰款，我該怎麼做？」
移除勒索軟體的方法主要取決於該軟體類型
如果您的網頁瀏覽器已被鎖定
您可以開啟工作管理員將網頁瀏覽器解除鎖定：

1. 開啟工作管理員，依循以下步驟：

．在工作列空白處 按下右鍵 並點擊工作管理員或開啟工作管理員
．按下 Ctrl+Shift+Esc
．按下 Ctrl+Alt+Delete.

2. 查看應用程式或處理程序中的清單，選取您的網頁瀏覽器
3. 按下結束工作。如果需要等待應用程式回覆，請直接按結束工作
4. 有些工作場合，您不能隨意的呼叫您的工作管理員，您可以聯絡IT 部門給您協助

當您打開您的網頁瀏覽器，您可能會被詢問是否還原上一階段的使用，請不要還原，不然您可能又會回到勒索軟體的控制中了。
您可以看看上面的問題：我該如何保護自己不被勒索軟體控制？學習如何在使用電腦時不被勒索軟體攻擊。

若您的電腦被上鎖了
方法一:在安全模式下使用微軟安全掃瞄
首先，從一個乾淨、未受攻擊的電腦中下載 Microsoft Safety Scanner(微軟安全掃描)，接著將該檔案存入一個空白的USB或是CD中，並且將其插入受感染的電腦中。
您可以試著在安全模式下重啟您的電腦：

In Windows 10
In Windows 8.1
In Windows 7
In Windows Vista
In Windows XP

當您進入安全模式之後，試著執行 Microsoft Safety Scanner
方法二：使用 Windows Defender Offline
因為勒索軟體會讓您無法使用您的電腦，因您可能無法下載或是執行 Microsoft Safety Scanner。如果發生了這樣的事，您可能必須使用這個免費軟體 Windows Defender Offline：

下載 Windows Defender Offline

您可以參考這邊進階故障排除來得到更多幫助。

當您的電腦清理乾淨之後，您可以採取的步驟

1. 確保您的電腦受到防毒軟體的保護
2. 微軟有免費的安全維護軟體可以供您使用：

．若您擁有 Windows 10 或 Windows 8.1 ，您的電腦本身就擁有防毒軟體： Windows Defender
．若您使用的是Windows 7 或是 Windows Vista，您需要下載防毒軟體如 Microsoft Security Essentials
．您也可以在我們的更新頁面中更新您的安全維護軟體

若您不想使用以上的防毒軟體，您當然也可以下載其他公司的防毒軟體，只要您確保他時時都運行著，並且能夠提供您最即時的保護。

家庭用戶需要知道的細節

有兩種勒索軟體—鎖屛勒索以及加密勒索。
鎖屏勒索軟體會顯示一則全螢幕的訊息，不讓您可以使用您的電腦或任何檔案。它會告訴您，您需要繳交一筆金額(贖金)才能夠重新自由的使用您的電腦。
加密勒索軟體將對您的資料作變更並將其加密，使您無法重新開啟他們。若您對這種技術和科技感興趣，您可以在本文企業的段落查看更多。
以往的勒索會告訴您您曾經使用電腦做了非法的事情，而現在警方查到且要處以罰鍰。這些消息都是不實的，這是一種驚嚇手法，讓您因為恐懼而支付罰金，卻忘記要尋求相關支援，請別人幫您重新設定您的電腦。
而現在的勒索手法會將您電腦中的檔案全部加密，使您無法輕易存取您的檔案，並且要求您繳交金錢才會還原您的檔案。
這些勒索軟體有可能來自各種地方，正如同其他的惡意軟體或病毒一樣。其中包括：

．造訪不安全、可疑、不實網站
．開啟來源不明的郵件或是附件
．點選郵件、Facebook、Twitter、其他社群媒體或是即時訊息軟體如Skype中的惡意連結

當您受到勒索軟體的攻擊時，您將很難還原您的電腦，尤其是遭受到加密勒索軟體的襲擊。
因此最好的解決方法便是預防，在網路、郵件、即時聊天的對話框中必須注意安全：

．除非您非常相信該網頁，否則不要點擊任何網頁、無論是在郵件中或是在聊天軟體中
．如果您曾經有過一絲懷疑，千萬不要點選該連結
．通常假的郵件或是網頁都會出現拼字錯誤或是看起來很不對勁。您可以找找看其中的異常錯誤，如公司名稱錯誤，PayPal 寫成 PayePal，或是有些符號上的不同，例如 iTunesCustomerService 便是假冒 iTunes Customers Service。

若您想要得到更多關於勒索軟體的資訊，您可以查看常見問題集，包含您該如何備份您的檔案以保護自己。

企業用戶及IT人員須知道的細節

目前為止企業用戶被勒索軟體的受害者不斷的上升。通常，這些攻擊者會鎖定受害者並且做特定的研究(有點類似鯨釣(whale-phishing)、或是魚叉網釣(spear-phishing))。
這些重要的檔案被加密，若您想要還原這些檔案就必須繳交大筆的金錢。通常來說，這些攻擊者將把目標加密文件及資料整理成清單。
而這些加密的文件，即使是工程師也難以將密碼破解或是還原，只有那些擁有密碼的攻擊者做得到。
對於這些案例，最佳的預防措施即是確保公司中的機密文件、重要資料可以被安全且完整的備份至一個遠端的備份處或是儲存設備中。

OneDrive for Business 將可以幫助隨時備份您的資料

有些情況下，某些安全性企業釋出的第三方的工具可以幫助您將遭到勒索軟體上鎖的資料解鎖。您可以參考以下文章作為例子。Tim Rains，微軟的安全總監在這篇文章中有提及相關的勒索軟體以及因應策略，另外還有一些給企業及IT產業人員的預防性建議，您可閱讀此篇文章了解更多資訊。

常見的勒索軟體

現在對於全球來說，勒索軟體成為了一個問題，尤其是在義大利以及美國東部沿海地區。
過去的六個月(2015 年 12 月至 2016 年 5 月)，Tescrypt 的出現不斷成長，Crowti、Brolo、FakeBsod也依舊常常出現困擾民眾。
Reveton這個勒索軟體已經降低出現率，六個月前出現率曾高達7%，現在已經降為1%了。

圖表一 前十大常見的勒索軟體(自2015 年 12 月至 2016年 5 月 )

圖表二 前十大常見的勒索軟體(自 2015 年 6 月至 2015年 11 月 )
此圖為偵測到最多勒索軟體的前十名國家及其比例，其中，有一半的案例來自於美國。義大利則是位居第二，接下來是加拿大、土耳其以及英國，而剩下的勒索情形遍布於全球各地。

圖表三 出現勒索軟體之前十名國家(自 2015 年 12 月至 2016年 5 月
在美國，最常出現的勒索軟體為 FakeBsod 接下來是 Tescrypt 以及 Brolo。另一方面，義大利最盛行的是 Tescrypt。

圖表四 在勒索案例頻繁的國家中常見的勒索軟體(自 2015 年 12月至 2016 年五月)
FakeBsod 使用一種惡意的 JavaScript 程式碼將您的網頁瀏覽器上鎖，並且跳出一個不實的警告訊息。此訊息將要求您與微軟技術人員聯絡，因為出現了Error 333 的錯誤，當您致電給訊息中的電話號碼，他們將要求您繳交一定的金額以解決這項錯誤。圖表五為此不時警告訊息的範例：
圖表五：FakeBsod 使用訊息將您的網頁瀏覽器上鎖
您可以不用支付絲毫費用，也能將您的網頁瀏覽器掌控權奪回。您只需要使用工作管理員將警告訊息關閉。
當您重新開啟您的瀏覽器，記得不要選擇還原先前的網頁。
您可以點選以了解更多FakeBsod的資訊

常見勒索軟體:

• Ransom:HTML/Tescrypt.E
• Ransom:HTML/Tescrypt.D
• Ransom:HTML/Locky.A
• Ransom:Win32/Locky
• Ransom:HTML/Crowti.A
• Ransom:HTML/Exxroute.A
• Ransom:Win32/Cerber.A
• Ransom:JS/FakeBsod.A
• Ransom:HTML/Cerber.A
• Ransom:JS/Brolo.C

In my previous post on querying the userAccountControl attribute, I noted one of the flags I want to ensure you understood was the PASSWD_NOTREQD or “Password Not Required” flag. As the name suggests, this flag allows you to have a fully functioning account with a blank password (even with a valid domain password policy in place).

In my time performing AD security assessments, I would estimate I’ve seen nearly 300,000 accounts with this flag set. Out of those accounts, I have only ever seen 5 unprivileged active accounts that had blank passwords set. So yes I want you to remediate the affected accounts, but even if a quick audit shows a large number of them present in your domains, it’s probably not as bad as you think.

How does it happen?

This issue most commonly arises due to identity management systems that create accounts with the flag set, set a password but fail the last step of removing the flag. Our in-built tools such AD Users and Computers perform all the appropriate steps to remove the flag. If you duplicate an existing

To actually have an enabled account with a blank password, the following things need to occur:

1. You need to have PASSWD_NOTREQD enabled on your userAccountControl attribute and
2. Have a password not set at creation time OR have privileged user exercise the “Reset-Password” security right and simply press enter on the password change prompt to grant the account a blank password.

So I have “X” amount of accounts in my report, can you tell me how many have blank passwords?

Not directly, there is no interface to query if an account has a blank password BUT if we try to remove the flag on an enabled account and the password is blank, we will get an error because the DC definitely knows it won’t meet the password length/complexity requirements of your domain (its blank duh!)

The following flow chart shows you the behavior that will occur when we try to remove the PNR flag from an account. The outcome depends on the current status of the account and if the current password is blank or not.

Cleanup Aisle 3

The following script can be used to help identify (again) and then attempt to remove the PASSWD_NOTREQD flag on all affected accounts. It will visually report the findings using Out-Grid then confirm if you want to proceed. Along with visual feedback, it will also export the affected accounts and reset status to a .CSV for further investigation.

# Report on Affected Accounts
$StatusLog = @()
Get-ADUser -Filter 'useraccountcontrol -band 32' -Properties "passwordnotrequired","useraccountcontrol","msDS-LastSuccessfulInteractiveLogonTime","lastLogonTimestamp" | Select-Object -Property DistinguishedName,Enabled,PasswordNotRequired,"msDS-LastSuccessfulInteractiveLogonTime","lastLogonTimestamp" | Out-GridView -Wait
# Attempt to remediate and log output
$Response = Read-Host "`nDo you want to attempt to remove PASSWD_NOTREQD from the listed accounts?"
If($Response.ToLower() -eq "y"){
 ForEach ($Account in (Get-ADUser -Filter 'useraccountcontrol -band 32')){
 $Status = "" | Select Status,Account
 $Status.Account = $Account
 Get-ADUser $Account | Set-ADUser -PasswordNotRequired $False -ErrorAction SilentlyContinue
 If($?){
 Write-Host "Succesfully removed PASSWD_NOTREQD from $Account" -ForeGroundColor Green
 $Status.Status = "Success"
 }
 Else{
 Write-Host "Failed to remove PASSWD_NOTREQD from $Account" -ForeGroundColor Red
 $Status.Status = "Failure"
 }
 $StatusLog += $Status
 }
}
Write-Host $StatusLog.Count "accounts processed. Refer to FIX_PASSWD_NOTREQD.csv for full details"
$StatusLog | Export-CSV -NoTypeInformation FIX_PASSWD_NOTREQD.csv

Final Words

So hopefully every identified account successfully has the PASSWD_NOTREQD flag removed and you feel a little easier knowing all of your user accounts have a password of some kind. If an account has failed (and you have permissions to modify it), there is a good chance it is both enabled and has a blank password. Press CTRL+ALT+DEL on domain member and try to login with a blank password.

Wait a few weeks after your initial clean-up and then check again. If any more accounts pop-up, you obviously have another system or operational process to remediate as well as some accounts to clean up.

Note: If any of the disabled accounts had a blank password, and your try to enable them in the future, you will receive an error saying the don’t meet the password policy requirements. Simply set a password that meets requirements and then you will be able to enable it as expected.

If you find any blank passwords in your domains, let me know in the comments below.

Russ

パートナーの皆さまを対象に、 Windows 10に関するオンラインセミナーを開催します。

今だからこそパートナーの皆さまにしっかり知っておいていただきたい、Windows 10 の無償アップグレードに関する最新情報と、Windows 10 の訴求ポイントについて解説いたします。Skype for Businessを使ったオンラインセミナーとなります。ふるってご参加ください。

▼ Windows 10 オンラインセミナーのご参加申し込みはこちらから

メモ: オンライン セミナーには iPhone/Android/Windows Phone などのモバイル デバイスからも参加できます。電話の電波もしくは Wi-Fi  が届くところであれば、バスや電車で移動中であっても、どこからでもオンライン セミナーを受講することが可能です。モバイル デバイスからの受講には、Skype for Business  アプリ (旧 Lync 2013 アプリ) をインストールしてご利用ください。 Skype for Business アプリ (iOS) のインストール Skype for Business アプリ (Android) のインストール Skype for Business アプリ (Windows Phone) のインストール iOS 版については、利用手順書がご利用いただけます。 Skype for Business アプリガイド (iOS)

Совместное обучение может показаться сложной задачей. При работе в группе требуется постоянно отслеживать различные данные: письма и собрания в Outlook, беседы и звонки в Skype для бизнеса, документы, хранящиеся в SharePoint и OneDrive для бизнеса, актуальную информацию дополнительных сервисов.

Группы Office 365 упрощают совместную работу и делают ее более эффективной. С помощью Групп Office 365 также можно совместно работать в OneNote, Power BI и Planner.

Что вы будете знать и уметь после прочтения этой статьи?

• Как использовать «Соединители» для получения информации в группе из внешних сервисов?
• Как совместно использовать итоги анализа данных Power BI в группе Office 365?
• Какие преимущества при работе с группами на мобильных устройствах?
• Как работать в группе с использованием возможностей Planner и Power BI?

Я неоднократно рассматривал основные возможности организации обучения в группе.

Рассмотрим новые возможности обучаемых в группах для повышения эффективности учебного процесса. Воспользуемся сквозным примером от получения дополнительной информации с внешних ресурсов до рассмотрения организации эффективной работы над исследовательским проектом с использованием возможностей (ресурсов) Группы Office 365, Planner и Power BI.

Возможности Групп Office 365 будут совершенствоваться и далее, например, у каждой группы будет свой собственный сайт.

Сценарий 1. Соединители (Connectors) в Группе Office 365

Воспользуемся соединителем, чтобы группа получала актуальное содержимое и полезную информацию из Twitter по хэш-тегу #Office365. Можно создать одно или несколько подключений (например, для разных хеш-тегов).

Например, педагог в группе предполагает совместное изучение актуальной информации по Office 365 из сети Twitter. В беседах группы будет организовано обсуждение интересного материала.

Для начала работы выбираем службу Twitter из списка ниже и нажимаем “Добавить”. Заполняем всю необходимую информацию в полях формы. Участники группы автоматически получают рассылку письма о подключении к службе и далее в установленный срок – письма с информацией из Twitter с публикациями только по хэш-тегу #Office365 для совместного изучения и анализа информации по Office 365.

По завершении изучения информации соединение с Twitter может быть удалено и участники группы получат рассылку-сообщение об удалении службы.

Сценарий 2. Power BI и Группа Office 365

В Power BI Pro предусмотрена возможность совместной работы с данными, т.е. возможно проведение групповых исследовательских работ, используя преимущества от интеграции нескольких служб в Office 365.

Сводки Power BI становятся доступными для всех членов группы, и у группы есть возможность внести изменения в отчеты и т.п. Набор данных можно обновить непосредственно в OneDrive для бизнеса группы и одновременно обсудить результаты анализа в беседах группы.

Сценарий 3. Работа в Группе Office 365 на мобильных устройствах
Например, на мобильное устройство Android устанавливаем приложение «Outlook Groups» и получаем уведомления, когда кто-то отправляет сообщение в группу. Можно включить уведомления для 30 групп.

Такой подход особенно актуален для пользователей, модераторов и педагогов, участвующих в учебном процессе в нескольких группах для своевременного получения информации.

Сценарий 4. Planner и Группа Office 365

В ходе исследовательского проекта, например, была организована группа Power BI, она автоматически отображается не только в Power BI – РАБОЧИЕ ОБЛАСТИ ГРУПП, но и в Planner.

Когда пользователь присоединяется к группе, он сразу же получает доступ ко всем ее ресурсам, необходимым для выполнения исследовательского проекта.

С помощью Planner имеется возможность поставить задачи каждому участнику исследовательского проекта (или самостоятельно) и отслеживать ход их выполнения.

Использованные источники:

1. Новые возможности в Группах Office 365
2. Microsoft Office 365 в образовании. Организуем работу пользователя в группе Outlook Office 365. Что нового?
3. Microsoft Office 365 в образовании. Работаем в группе Outlook. Используем преимущества Outlook 2016
4. Будущее SharePoint
5. Sharing Power BI Content with Office 365 Groups
6. MicrosoftOffice 365 в образовании. Организация анализа данных с использованием PowerBI
7. Администратору-организатору. Организация проектной и исследовательской деятельности в учебном заведении с использованием Office 365

Автор статьи – Виталий Веденев.

こんにちは、SharePoint サポートの森村です。
本記事では Office 365 にて公開予定の Office 365 Planner (以下 Planner) について、PowerShell スクリプトを使用して一括でテナント全体のユーザーのライセンスを有効化、無効化する方法をご案内いたします。

目次
1. Planner のライセンスについて
2. PowerShell を使用して一括で有効化、無効化する方法
3. 関連情報

1. Planner のライセンスについて
Planner 製品のライセンスは Office 365 E1/E3/E5、Office 365 Business Premium、Office 365 Business Essentials、および Office 365 Education に含まれております。
例えば、Office 365 E3 の場合は下記の様に Office 365 管理センターのユーザー管理のページにてライセンスの詳細項目を表示することで、確認可能できます。
テナント上で Planner 製品が利用可能になった時点で、既定でオンの状態で追加されます。

手動でライセンスの変更を行う場合は、上記にて Office 365 Planner をオン、もしくはオフにすることで、該当ユーザーの Planner の有効化、無効化を行うことができます。
しかしながら、テナント全体でオン、オフにする、といったような設定方法はないため、下記 2. にて、PowerShell を使用して一括で実行する方法をご案内いたします。

2. PowerShell を使用して一括で有効化、無効化する方法
例えば、「当初は Planner 製品を使用する予定が無いが、一定期間後に再度使用するようにしたい」、という場合は、下記手順にて一括してテナント全体のユーザーに対し、ライセンスをオン、オフすることが可能となります。

※注意点※
下記手順を使用することで、テナント全体のユーザーのライセンス情報を確認し、逐次 Planner ライセンスをオフにする処理が実施されます。
テナントに含まれるユーザー数が多い場合などは処理完了までに時間がかかることが予想されますので、業務時間外などに実行いただくか、あるいはスクリプトの内容を変更し、一部ユーザーのみに適用する、等をご検討ください。

1. 64 Bit OS が動作している Windows 10/8.1/8/7 PC を準備します。
2. Windows 7 PC で使用する場合は、前提条件を満たすために、最新の Windows Update をすべて適用します。Windows Update 適用後に再起動を行い、その後下記リンクから Windows Management Framework 3.0 をインストールし、 Windows PowerShell 3.0 を使用可能とします。(Windows 8 以降の場合は 2. の手順は不要です。)

   タイトル : Windows Management Framework 3.0
   アドレス : http://www.microsoft.com/en-us/download/details.aspx?id=34595

3. 下記弊社 TechNet ページを参照し、Microsoft Online Services サインイン アシスタント、Windows PowerShell 用 Microsoft Azure Active Directory モジュール (64 ビット バージョン) のインストールを行います。

   タイトル : Connect to Office 365 PowerShell
   アドレス : https://technet.microsoft.com/ja-jp/library/dn975125.aspx

4. PowerShell の実行ポリシーを変更していない場合は、インストールした Windows PowerShell の Microsoft Azure Active Directory モジュール を管理者権限で起動し、下記コマンドを実行します。(すでに変更済みの場合は 4. の手順は不要です。)

   Set-ExecutionPolicy RemoteSigned

5. インストールした Windows PowerShell の Microsoft Azure Active Directory モジュール を起動します。
6. 有効化を行う場合は、下記の有効化のスクリプト内容をコピーし、ps1 ファイルとして保存します。(例 : EnablePlannerLicense.ps1)
   また、無効化を行う場合は、下記の無効化のスクリプト内容をコピーし、ps1 ファイルとして保存します。(例 : DisablePlannerLicense.ps1)
7. EnablePlannerLicense.ps1 ファイル、あるいは DisablePlannerLicense.ps1 ファイルを保存したフォルダーに移動し、下記の様に実行します。(下記は c:temp 以下に ps1 ファイルを保存した場合の例となります。)

   ・有効化を行う場合
   cd c:temp
   .EnablePlannerLicense.ps1
   
   ・無効化を行う場合
   cd c:temp
   .DisablePlannerLicense.ps1

8. 認証ダイアログが表示されますので、ご利用中のテナントの管理者アカウント (adminuser@tenant.onmicrosoft.com 等) およびパスワード情報を入力します。
9. 処理中の内容が表示されますので、プロンプトが戻るまで待ちます。
10. 処理完了後、ブラウザーにて Office 365 を表示していた場合は一度ブラウザーを終了させ、再度 Office 365 にサインインします。
11. ユーザーのライセンス付与状況を確認し、Planner 製品のライセンスが期待通りとなっていることを確認します。また、アプリケーション ランチャー上の Planner のタイルの表示が期待通りとなっていることを確認します。

有効化を行う場合のスクリプト内容

# Planner のサービス名
$service_name = "PROJECTWORKMANAGEMENT"

connect-msolservice -credential $msolcred

# ライセンスが割り当てられた全ユーザーの列挙 (この例では -All を指定しています。必要に応じて変更ください。)
$users = Get-MsolUser -All | where {$_.isLicensed -eq "True"}

# *********************************************************************
# 記述変更 例
# *********************************************************************
# 特定のライセンス保有者 (AccountSkuId は Get-MsolAccountSku で確認した値を指定します。)
# $users = Get-MsolUser -All | Where-Object {$_.Licenses[0].AccountSkuId -eq "testtenant:STANDARDPACK" -and $_.isLicensed -eq $True}
# $users = Get-MsolUser -All | Where-Object {$_.Licenses.AccountSkuId -eq "testtenant:STANDARDPACK" -and $_.isLicensed -eq $True}

# 特定ユーザーの指定
# $users = Get-MsolUser -UserPrincipalName "test@testtenant.onmicrosoft.com"

<#
# 改行単位で UPN が記述されたユーザー一覧から取得
# $users.Clear()
$users = New-Object System.Collections.ArrayList
$list = Get-Content "UserList.txt"
foreach ($temp in $list)
{
    $users = $users + (Get-MsolUser -UserPrincipalName $temp)
}
#>

# ユーザー毎のライセンス/サービスの確認と変更
foreach ($user in $users)
{
    write-host ("Processing " + $user.UserPrincipalName)
    $licensetype = $user | Select-Object -ExpandProperty Licenses | Sort-Object { $_.Licenses }


    foreach ($license in $user.Licenses)
    {
        write-host (" " + $license.accountskuid)

        $includeService = $false
        $disableplan = @()

    	foreach ($row in $($license.ServiceStatus)) {
            if ( $row.ServicePlan.ServiceName -eq $service_name ) { $includeService=$true }
            if ( $row.ProvisioningStatus -eq "Disabled" -and $row.ServicePlan.ServiceName -ne $service_name) {
                $disableplan += $row.ServicePlan.ServiceName
            }
		}
<#
        # 指定したサービス が含まれる SKU の場合、現在の設定に加え、指定したサービス を無効化 (Disable)
        if ($includeService){
            $disableplan += $service_name
            write-host ("      found Target service in " + $license.accountskuid)
            write-host ("      disabled services : " + $disableplan )
            $x = New-MsolLicenseOptions -AccountSkuId $license.accountskuid -DisabledPlans $disableplan
            Set-MsolUserLicense -UserPrincipalName $user.UserPrincipalName -LicenseOptions $x
        }
#>

        # 指定したサービス が含まれる SKU の場合、現在の設定に加え、指定したサービス を有効化 (Enable)
        if ($includeService){
            write-host ("      found Target service in " + $license.accountskuid)
            write-host ("      current disabled services : " + $disableplan )
            $x = New-MsolLicenseOptions -AccountSkuId $license.accountskuid -DisabledPlans $disableplan
            Set-MsolUserLicense -UserPrincipalName $user.UserPrincipalName -LicenseOptions $x
        }


    }
}

無効化を行う場合のスクリプト内容

# Planner のサービス名
$service_name = "PROJECTWORKMANAGEMENT"

connect-msolservice -credential $msolcred

# ライセンスが割り当てられた全ユーザーの列挙 (この例では -All を指定しています。必要に応じて変更ください。)
$users = Get-MsolUser -All | where {$_.isLicensed -eq "True"}

# *********************************************************************
# 記述変更 例
# *********************************************************************
# 特定のライセンス保有者 (AccountSkuId は Get-MsolAccountSku で確認した値を指定します。)
# $users = Get-MsolUser -All | Where-Object {$_.Licenses[0].AccountSkuId -eq "testtenant:STANDARDPACK" -and $_.isLicensed -eq $True}
# $users = Get-MsolUser -All | Where-Object {$_.Licenses.AccountSkuId -eq "testtenant:STANDARDPACK" -and $_.isLicensed -eq $True}

# 特定ユーザーの指定
# $users = Get-MsolUser -UserPrincipalName "test@testtenant.onmicrosoft.com"

<#
# 改行単位で UPN が記述されたユーザー一覧から取得
# $users.Clear()
$users = New-Object System.Collections.ArrayList
$list = Get-Content "UserList.txt"
foreach ($temp in $list)
{
    $users = $users + (Get-MsolUser -UserPrincipalName $temp)
}
#>

# ユーザー毎のライセンス/サービスの確認と変更
foreach ($user in $users)
{
    write-host ("Processing " + $user.UserPrincipalName)
    $licensetype = $user | Select-Object -ExpandProperty Licenses | Sort-Object { $_.Licenses }


    foreach ($license in $user.Licenses)
    {
        write-host (" " + $license.accountskuid)

        $includeService = $false
        $disableplan = @()

    	foreach ($row in $($license.ServiceStatus)) {
            if ( $row.ServicePlan.ServiceName -eq $service_name ) { $includeService=$true }
            if ( $row.ProvisioningStatus -eq "Disabled" -and $row.ServicePlan.ServiceName -ne $service_name) {
                $disableplan += $row.ServicePlan.ServiceName
            }
		}

        # 指定したサービス が含まれる SKU の場合、現在の設定に加え、指定したサービス を無効化 (Disable)
        if ($includeService){
            $disableplan += $service_name
            write-host ("      found Target service in " + $license.accountskuid)
            write-host ("      disabled services : " + $disableplan )
            $x = New-MsolLicenseOptions -AccountSkuId $license.accountskuid -DisabledPlans $disableplan
            Set-MsolUserLicense -UserPrincipalName $user.UserPrincipalName -LicenseOptions $x
        }

        <#
        # 指定したサービス が含まれる SKU の場合、現在の設定に加え、指定したサービス を有効化 (Enable)
        if ($includeService){
            write-host ("      found Target service in " + $license.accountskuid)
            write-host ("      current disabled services : " + $disableplan )
            $x = New-MsolLicenseOptions -AccountSkuId $license.accountskuid -DisabledPlans $disableplan
            Set-MsolUserLicense -UserPrincipalName $user.UserPrincipalName -LicenseOptions $x
        }
        #>

    }
}

3. 関連情報
関連ブログ記事、および上記の PowerShell スクリプトに関連する情報をご案内いたします。

タイトル : Office 365 Planner の関連情報について
アドレス : https://blogs.technet.microsoft.com/sharepoint_support/2016/05/26/office-365-planner-related-information/

タイトル : PowerShell による詳細なライセンス割り当て
アドレス : https://community.office365.com/ja-jp/w/manage/1077

タイトル : Office 365 ライセンスと Windows PowerShell: ユーザーのライセンスの状態を確認する
アドレス : https://technet.microsoft.com/ja-jp/library/dn771772.aspx

タイトル : ユーザーへのライセンスの割り当て
アドレス : https://technet.microsoft.com/ja-jp/library/dn771770.aspx

タイトル : サービスのライセンス情報を表示する
アドレス : https://technet.microsoft.com/ja-jp/library/dn771771.aspx

タイトル : サービスにアクセスを割り当てる
アドレス : https://technet.microsoft.com/ja-jp/library/dn771769.aspx

今回の投稿は以上です。

本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

こんにちは。Windows プラットフォーム サポートの野村です。

今回は Windows Server バックアップにおける容量と世代管理についてご紹介します。

Windows Server バックアップは OS 標準で搭載されている機能です。

GUI とコマンド (Wbadmin.exe) によるバックアップ・リストアができます。

バックアップ データの保存形式として仮想ディスク (VHD または VHDX 形式) を使用し、VSS (ボリューム シャドウ コピー サービス) の機能を用いて複数世代のバックアップを保持できます。

バックアップ データの格納先として、[バックアップ専用のハードディスクにバックアップする]、[ボリュームにバックアップする] と [共有ネットワーク フォルダーにバックアップする] を指定できますが、格納先の種類により保持可能なバックアップの世代数が異なります。

バックアップ格納先での容量の圧迫を避けるために、バックアップの容量・世代数を制限したいとのお問い合わせをいただくことがあります。

本ブログでは、この世代数の管理の違いについてご案内いたします。

=============================

保持可能なバックアップの世代数について

=============================

それぞれのバックアップ格納先における世代管理について纏めると、以下の表のようになります。

※ 世代数が 512 に達した場合も、同様に最も古い世代のシャドウ コピーから自動的に削除します。

==============================

バックアップ データの容量を制限したい場合

==============================

ディスクをバックアップ専用として使用できず [ボリュームにバックアップする] を指定している環境において、他のデータ領域の圧迫を避けるために、バックアップ格納先として使用される領域・世代数を制限したいとのご要望をいただくことがあります。

明示的に指定して容量や世代数を制限 (ex. ○○GB まで / ××世代まで) することはできませんが、バックアップ領域に保存されるシャドウ コピーの容量は制限することができます。詳細は以下でご説明いたします。

Windows Server バックアップでは、バックアップの実データを Windows Server 2008 R2 以前の OS では VHD 形式、Windows Server 2012 以降の OS では VHDX 形式でバックアップ格納先に保存し、そこに保存してある前回のバックアップ データに対しての更新分はシャドウ コピーとして保持することで世代管理を行っています。

さらに、バックアップのリストのカタログ情報などをメタデータとして xml ファイルに保管しています。

具体的には、以下のイメージのように、WindowsImageBackup フォルダ配下に実際にファイルとして保存されているデータは最新の世代のもののみとなり、過去のデータはシャドウ コピーとして、システムで保護された System Volume Information に保存されています。

// バックアップ先ボリュームの保存イメージ

<バックアップ先ボューム>:

  ｜─ WindowsImageBackup          <== 最新状態のバックアップ データとメタ データが保存

  ｜─ System Volume Information   <== シャドウ コピー (*)

バックアップで使用されるディスク容量としては、以下の合計値となります。

実データの仮想ディスク (VHD または VHDX) の容量 + シャドウ コピーの容量 + メタデータの xml ファイルの容量

バックアップ格納先の容量について制限可能なのは、上記のシャドウ コピーで利用される記憶域 (*) です。

ここの領域を制限することで、保持されるバックアップの世代数を減らすことができます。

————————————————————————————–

シャドウ コピー記憶域の容量制限変更手順について

————————————————————————————–

記憶域ボリュームの制限設定を変更するには以下の手順を実行します。

例として D: の設定変更手順を記載いたします。

1. [スタート] – [管理ツール] – [サーバー マネージャー] をクリックします。

2. “記憶域” － “ディスクの管理” と展開し、“ディスクの管理“の右クリック メニュー の“すべてのタスク“からシャドウ コピーの構成を起動します。

3. ボリューム D: を選択した状態で [設定] をクリックします。

4. 最大サイズ、制限値を設定します。

また、バックアップ データの容量の管理については、バックアップ データを削除することも考えられます。

しかしながら、バックアップ格納先にバックアップ専用ハードディスクまたはボリュームを指定した場合、Windows Server バックアップから任意のバックアップを削除できません。

この場合、diskshadow ユーティリティーと呼ばれるシャドウ コピーの管理ユーティリティーからは以下の手順で削除できます。

——————————————————————————–

任意の世代のシャドウコピーの削除手順について

———————————————————————————

1. 管理者権限にてコマンド プロンプトを起動します。

2. diskshadow と入力し diskshadow ユーティリティを起動します。

3. delete shadows SET <セット ID> や delete shadows ID <シャドウ ID> コマンドを利用します。

   <セット ID> や <シャドウ ID> に指定する値は list shadows all コマンドにて確認できます。

なお、削除対象のシャドウ コピーが一番古いものではない場合には、表示上のシャドウ コピーの削除のみが行われ System Volume Information 配下のファイルは削除が行われないため、使用領域は削減されません。

Diskshadow コマンドでは、全てのシャドウコピーを削除、一番古いシャドウ コピーを削除といった操作を行うこともできます。

詳細な手順は、以下のブログに記載させていただいています。

しかしながら、この方法では Windows Server バックアップにて作成されるバックアップのカタログからは削除されないため、“回復” を実行した際に、すでに存在しないシャドウ コピーのバックアップも選択可能となってしまいます。

この場合、リストアはできません。バックアップのシャドウ コピーが保存場所に見つからないためです。

次回のバックアップ取得時にバックアップの履歴は更新されます。運用時は十分ご注意ください。

// 参考情報

- vssadmin コマンドでシャドウ コピーが削除できない場合の対処方法について

http://blogs.technet.com/b/askcorejp/archive/2013/11/29/vssadmin.aspx

========

補足

========

運用時にバックアップ格納先の容量が不足してバックアップに失敗することがありますが、それ以外の要因でも失敗することがあります。

この原因が既知の不具合である場合、Windows Server バックアップに関連するモジュール (wbengine.exe、volsnap.sys および vssvc.exe) の修正プログラムを適用することで回避できる可能性があります。

以下にこれらの最新版 (2016 年 5 月 24 日時点) をご案内いたしますので、未適用の場合は予防保守の観点で適用をご検討ください。

– Windows Server 2008 R2

// wbengine.exe

“0x80073B92″ error when you perform a Bare Metal Recovery on a Windows 7 or Windows Server 2008 R2-based UEFI computer

https://support.microsoft.com/en-us/kb/3001264

https://support.microsoft.com/ja-jp/kb/3001264 (機械翻訳)

// volsnap.sys

“0x0000007E” Stop error after you perform a VSS backup job in Windows 7 or Windows Server 2008 R2

https://support.microsoft.com/en-us/kb/3026771

https://support.microsoft.com/ja-jp/kb/3026771 (機械翻訳)

// vssvc.exe

Backup task fails with a time-out error in Windows

https://support.microsoft.com/en-us/kb/2996928

https://support.microsoft.com/ja-jp/kb/2996928 (機械翻訳)

– Windows Server 2012

// wbengine.exe

Wbengine.exe crashes when you run a backup on a GPT formatted drive in Windows Server 2012

https://support.microsoft.com/en-us/kb/3146600

https://support.microsoft.com/ja-jp/kb/3146600 (機械翻訳)

// volsnap.sys

Chkdsk report errors when a snapshot creation is running in Windows

http://support.microsoft.com/en-us/kb/2974325

https://support.microsoft.com/ja-jp/kb/2974325 (機械翻訳)

// vssvc.exe

“VSS_E_PROVIDER_VETO” error occurs when VSS restore fails in Windows Server 2012

https://support.microsoft.com/en-us/kb/3137726

https://support.microsoft.com/ja-jp/kb/3137726 (機械翻訳)

- Windows Server 2012 R2

// wbengine.exe

Windows Server backup fails despite sufficient free space on target volume in Windows Server 2012 R2

https://support.microsoft.com/en-us/kb/3140786

https://support.microsoft.com/ja-jp/kb/3140786 (機械翻訳)

// volsnap.sys

MinDiffAreaFileSize registry value limit is increased from 3 GB to 50 GB in Windows 8.1 or Windows Server 2012 R2

https://support.microsoft.com/en-us/kb/3145384

https://support.microsoft.com/ja-jp/kb/3145384 (機械翻訳)

// vssvc.exe

VSS restore fails when you use ResyncLuns VSS API in Windows Server 2012 R2-based failover cluster

https://support.microsoft.com/en-us/kb/3137728

https://support.microsoft.com/ja-jp/kb/3137728 (機械翻訳)

以上の通り、Windows Server バックアップにおける容量と世代管理についてお伝えいたします。

本ブログが皆様のお役に立てましたら、幸いです。

<参考情報>

- Windows Server バックアップ

http://technet.microsoft.com/ja-jp/library/cc754572(WS.10).aspx

- Windows 2008 R2 のバックアップと回復の概要

https://technet.microsoft.com/ja-jp/library/dd979562(v=ws.10).aspx

- サーバーをバックアップする

http://technet.microsoft.com/ja-jp/library/cc753528.aspx

– Backup Version and Space Management in Windows Server Backup

http://blogs.technet.com/b/filecab/archive/2009/06/22/backup-version-and-space-management-in-windows-server-backup.aspx

こんにちは。IE サポートチームの 薄 (うすき) です。

本日は、Internet Explorer の ”セキュリティ ゾーン” についてお話をしたいと思います。

こちらの画面をご覧いただいたことはありますでしょうか？ [インターネット オプション] の、[セキュリティ] タブです。

※ [インターネット オプション] ダイアログは、IE の [ツール] メニュー –  [インターネット オプション] をクリックすると表示されます。

インターネット、ローカル イントラネット、信頼済みサイト、制限付きサイト の 4 つのアイコンが表示されていますが、これは IE の “セキュリティ ゾーン” を表しています。

“セキュリティ ゾーン” とは

Web サイトが 「ネットワーク上どの位置にあるか」を判定していずれかの “ゾーン” を割り当て、割り当てられたゾーンに基づいてセキュリティの管理を行う、IE 独自の機能です。

各ゾーンは、以下のようなイメージで設計されています。

• インターネット ゾーン

一般的な、いわゆるインターネット上のサイトで利用されるゾーンです。悪意のあるサイトが含まれる可能性もあるため、既定でセキュリティは厳しめで、セキュリティレベルは「中高」です。

• ローカル イントラネットゾーン

家庭内、社内など、内部ネットワークに存在するサイト向けのゾーンです。通常これらのサイトは信頼できる管理者によって管理されており、ユーザーがセキュリティ上の危険にさらされる可能性がほぼないことから、既定ではセキュリティは緩めでセキュリティレベルは「中低」です。

• 信頼済みサイト ゾーン

公開者、運営者がハッキリしていて、安全で信頼できるサイト向けのゾーンです。既定のセキュリティレベルは「中」で、4つのゾーンの中でローカル イントラネットゾーンの次に緩めです。具体的には、スクリプトの実行などが既定で許可されています。

• 制限付きサイト ゾーン

安全でない、信頼できないサイトを向けのゾーンです。既定のセキュリティレベルは 4 つのゾーンのうち最も厳しい、「高」で、スクリプト、ActiveX コントロールの実行や、ファイルのダウンロードなどはほぼ禁止されています。

通常、例えば http://www.microsoft.com/ といった一般的な Web サイトは インターネット ゾーン と判定されます。

ユーザーが「安全で信頼できるので、このサイト上のスクリプト等は確認なしで実行してよい」と考えたサイトは、信頼済みサイトゾーン に追加することで、スクリプトなどの実行のたびに確認を求められることなく利用できます。

逆にあやしい、安全でないと判断したサイトは制限付きサイトゾーンに追加することで、アクセス時に意図せず有害なプログラムが実行されてしまったり、ウィルスを含むプログラムがダウンロードされてしまうことを防げます。

ローカル イントラネットゾーンではユーザーがサイトを追加する以外にも IE  が持つ “ローカル イントラネットゾーンの自動判別” の機能により、家庭内、企業内の Web サイトを自動で ローカル イントラネットゾーン と判断する場合もあります。自動判別については後述します。

表示中 Web サイトの セキュリティゾーンの確認方法

表示している Web サイトがどのゾーンと判定されているかは、ページのプロパティ上に表示されます。

もしくは、Web サイトを表示中に インターネット オプション を開いてセキュリティタブを見てみてください。4 つのゾーンの内選択状態になっている (文字が白くなっている) ゾーンが、表示中の Web サイトが割り当てられているゾーンになります。

各ゾーンのセキュリティ設定について

それぞれのゾーンには、既定で適切なセキュリティレベルが設定されています。

• インターネットゾーン : 中高
• ローカル イントラネットゾーン : 中低
• 信頼済みサイトゾーン : 中
• 制限つきサイトゾーン : 高

IE のセキュリティ設定は、スクリプト、ActiveX コントロール、ファイルのダウンロードに関するもの、その他にも多くの項目を含んでいます。セキュリティレベルではこれらの項目をまとめて設定できますが、[レベルのカスタマイズ] ボタンをクリックして表示される [セキュリティ設定] ダイアログで個別に設定も可能です。例えば、インターネットゾーンのレベルは “中高” ですが、ほとんどのセキュリティ設定はそのままにして、ActiveX コントロール関係のセキュリティだけ緩めたい、という場合には [レベルのカスタマイズ] を利用します。

個別の項目を変更すると、セキュリティのレベル には “カスタム” と表示されます。

セキュリティ関連のレジストリにつきましては、以下でご紹介しています。

上級ユーザー向けの Internet Explorer セキュリティ ゾーン関連のレジストリ エントリ

http://support.microsoft.com/kb/182569/ja

セキュリティゾーンの判定について

IE が Web サイトのゾーンを判定する仕組みについても簡単にご紹介します。

こちらに フローチャートもございますので、併せてご覧ください。

ローカル イントラネット サイト判定フロー　(IESecurityZone.PDF)

インターネットゾーン

ローカル イントラネットゾーン、信頼済みサイトゾーン、制限つきサイトゾーンと判定されなかった Web サイトはすべて、インターネットゾーンと判定されます。

なおインターネット オプションでは、明示的に Web サイトをインターネットゾーンに追加することはできません。グループ ポリシーの [サイトとゾーンの割り当て一覧] を利用すると、特定のサイトをインターネットゾーンに追加することが可能です。

 信頼済みサイトゾーン、及び 制限つきサイトゾーン

各ゾーンに明示的に追加されているサイトが、それぞれ該当のゾーンと判定されます。それ以外の条件で、これらのゾーンと判定されることはありません。

ローカル イントラネットゾーン

信頼済みサイトや制限付きサイトゾーンと同様、”ローカル イントラネットゾーン″ に明示的に追加されているサイトは、問答無用でローカル イントラネットゾーンと判定されます。

どのゾーンにも追加されていない Web サイトは、以下のような複数の要素を総合的に評価し、ローカル イントラネットゾーンに振り分けられるかが決まります。

ローカルイントラネットゾーンの自動判別について

IE が、どのようにローカルイントラネットゾーンを判定するかは、以下のダイアログの指定によって決まります。

※ このダイアログは、インターネット オプション のセキュリティタブ上でローカル イントラネットゾーンのアイコンをクリックし、サイト ボタンをクリックすると表示されます。

[イントラネットのネットワークを自動的に検出する]　が有効の場合、ローカル イントラネットゾーンの自動判別の機能が有効となります。

自動判別では、まずは “この端末でローカル イントラネットゾーンを有効とするかどうか “ の判定が行われます。

イントラネットゾーンが無効となった端末では、サイトが自動的に “イントラネットゾーン″ と判定されることがありません。

自動判別の機能によってイントラネット設定が有効となるのは以下の場合です。

a. クライアントがドメイン ネットワーク (※) 上に存在する場合

クライアントがドメインに参加している場合、”ローカル イントラネット” ゾーンは利用可能であると判定されます。なお、ドメイン ネットワーク上に存在する場合でも、ドメインに参加していないクライアント (WORKGROUP など) の場合は、 “ローカル イントラネット” ゾーンは利用不可と判断されます

b. クライアントがドメイン ネットワーク上に存在しない場合

Network Location Awareness (NLA) API を利用し、クライアントが管理されたネットワークに接続されているかを確認します。
管理されたネットワークに接続されていると判断された場合、”ローカル イントラネット” ゾーンが利用可能と判定します。
NLA の機能では、クライアントがドメインに参加していない場合や、該当ドメイン ネットワークに物理的に接続していない場合は、 管理されたネットワークに接続されていないと判断されます。
しかし、NLA での確認前に IE のコンポーネントによって端末がドメインに参加しているかの確認が行われます。
そのため、ドメインに参加している端末の場合にはドメイン ネットワークに物理的に接続されていない場合でも “ローカル イントラネット” ゾーンが利用可能と判定します。

　(※) “ドメインネットワーク” とは、ドメイン コントローラーが所属するネットワークを表します。

上記の条件に該当せず、イントラネット ゾーンを有効とできなかった場合には、IE で ホスト名のみのURL などイントラネットのサイト にアクセスすると、以下のような情報バーが表示されます。

このメッセージは、”自動判別” の機能が、”イントラネットゾーン” を有効とできる条件が不足していると判断し、イントラネットゾーンを無効としたことを表します。

• “今後、このメッセージを表示しない” を選択すると、引き続きイントラネット設定は無効となり、ローカル イントラネットゾーンは利用できません。
• “イントラネットの設定を有効にする” を選択すると、 [イントラネットのネットワークを自動的に検出する] は無効、つまり自動判別の機能は無効になり、他の 3 つのオプションが有効になります。オプションの設定によって、該当するサイトをイントラネットゾーン として利用できます。

各オプションは以下のような設定です。

ほかのゾーンにないローカル (イントラネット) のサイトをすべて含める

セキュリティゾーンに明示的に登録されていないローカルサイトを “ローカルイントラネット” セキュリティ ゾーンにマップするかどうかを制御します。この設定が有効な場合、”信頼済みサイト” または “制限付きサイト” ゾーンに明示的に登録にされていないローカルサイトを “ローカル イントラネット” ゾ―ンと判断します。またこの設定が無効の場合、ローカルサイトに対するゾーン判定動作は行いません。なお、ローカルサイトとは、ドット (.) 文字を含まないホスト名のみでアクセスするサイト (http://contoso など) を指します。

プロキシ サーバーを使用しないサイトをすべて含める

プロキシサーバーを経由せず直接アクセスするサイト、(例えば インターネットオプション – 接続タブの LAN の設定で プロキシの例外リストに追加されているサイト等) を “ローカルイントラネット” セキュリティ ゾーンにマップするかどうかを制御します。この設定が有効な場合、プロキシサーバーを使用しないサイトは “ローカル イントラネット” ゾーンと判断されます。またこの設定が無効の場合、プロキシサーバーを使用しないサイトに対するゾーン判定動作は行いません。なお、プロキシ サーバーを構成していないシステムでは、この設定は効果がありません。

すべてのネットワーク パス (UNC) を含める

UNC を表す URL (contosotest など) を “ローカルイントラネット” セキュリティ ゾーンにマップするかどうかを制御します。この設定が有効な場合、すべての UNC ネットワークパス (UNC) は “ローカル イントラネット” ゾーンと判断されます。この設定が無効な場合、ネットワーク パス (UNC) に対するゾーン判定は行いません。

※ 補足

ドメインに参加しているコンピュータで [イントラネットのネットワークを自動的に検出する] オプションを有効にすると、残りの 3 つのオプションも自動的に有効になります。この動作は以下の技術情報にて公開しています。

Enabling “Automatically Detect Intranet Network” on a domain member computer will enable all the three Intranet Options automatically.
http://support.microsoft.com/kb/2028170/

ただし、これら 3 つのオプションは、ローカルイントラネットゾーンが有効である場合に効くものとなります。

例えば、[イントラネットのネットワークを自動的に検出する] オプションが有効で、これによってローカルイントラネットゾーンが “無効″ と判断された場合、プロキシ サーバーを使用しないサイトにアクセスしても、ローカルイントラネットゾーンではなくインターネットゾーンと判定されます。

今回のお話は以上となります。

インターネット上のサイトを IE で閲覧されている時に、ActiveX コントロールやスクリプトの警告が出て煩わしかったり、面倒だと感じられることがあるかもしれないのですが、インターネットゾーンのセキュリティレベルを下げる、、といったことは危険なのでお勧めできません。本当に信頼できるサイトは信頼済みサイトゾーンに追加して利用するなど、適切にセキュリティ管理していただきながら、IE をご利用いただければと思います。

Buenas,

En este post queríamos haceros llegar los requisitos de hardware para poder instalar Project Server 2016 y SharePoint Server 2016.

Antes de ello, estimamos conveniente haceros llegar varios posts de determinados blogs que han mencionado la disponibilidad de esta versión de dichos productos:

https://blogs.office.com/2016/05/05/project-server-2016-born-in-the-cloud/

 https://blogs.technet.microsoft.com/stefan_gossner/2016/05/04/sharepoint-server-2016-general-availability-has-been-announced-today/

https://blogs.office.com/2016/03/16/project-server-2016-rtm-is-now-available/

Los enlaces como tal, donde se explican en detalle los requisitos hardware, son los siguientes:

Requisitos de software de Project Server 2016

Requisitos de hardware y software para SharePoint Server 2016

Resulta conveniente empezar resaltando que los ficheros de instalación de Project Server 2016 vienen incluidos, a diferencia de versiones anteriores, con los de SharePoint Server 2016. Eso si, necesitaremos la versión “Enterprise” de SharePoint Server, no funcionando con la versión “Standard“.

De sistema operativo necesitaremos Windows Server 2012 R2.

Para las bases de datos, necesitaremos SQL Server 2014. Si queremos generar cubos con información albergada en Project Server 2016, necesitaremos instalar también SQL Server 2014 Analysis Services.

Los navegadores soportados son los siguientes:

• Microsoft Edge
• Microsoft Internet Explorer 11
• Microsoft Internet Explorer 10
• Google Chrome (última versión disponible)
• Mozilla Firefox (última versión disponible, junto con la versión inmediatamente anterior)
• Apple Safari (última versión disponible)

Nos podemos conectar a Project Server 2016 con el cliente Project PRO 2016, Project PRO para Office 365, y también con Project PRO 2013.

Algunas empresas tienen centros de datos muy cercanos entre sí y conectados con fibra óptica de elevado ancho de banda. En este entorno se puede configurar los dos centros de datos como una sola granja. Esta topología de granja distribuida se denomina granja expandida. SharePoint Server 2016 (y por supuesto, Project Server 2016) admite dicho tipo de granjas.

Los requisitos de hardware pueden variar, sobre todo dependiendo de la carga a la que vayamos a someter a nuestro/s servidor/es en la granja, pero a grandes rasgo podemos considerar que necesitaremos máquinas de 64 bits, con 4 núcleos mínimo, y RAM a partir de 16 GB (en los enlaces se menciona en algunos casos se podría trabajar con 12 GB de RAM, pero hemos preferido pecar de precavidos, y aconsejaros configurar las máquinas con 16 GB de RAM, para evitar posibles problemas de rendimiento.

Esperamos os resulte de interés, un saludo

Jorge Puig

Rob Waggoner

I love talking about the Enterprise capabilities Azure can bring to even our smallest customers, and I wanted to make sure that you were aware of the latest capability.  Azure Recovery Services, that is available via CSP, the new portal and the classic portal, for you to resell to your customers.  The full announcement is here, but I want to share some details that will get your attention.

1. We can protect on-premises workloads that run on Physical Servers, Hyper-V Servers, or VMware servers all for the same cost.
2. If you are protecting Physical Servers, or VMware servers, the only difference (now) is that you need one more VM (or physical server) on-premises running the Process Server.  The Process Server is responsible for replicating the running physical or VMware based virtual machine contents to Azure.
3. Originally, the ability to protect Physical or VMware based workloads required additional VMs to be run within Azure.  This added significant cost to these solutions.  We announced a few months ago that these additional VMs are no longer required, and the cost to protect Physical or VMware based VMs was the same cost as protecting Hyper-V based VMs.

If you have deployed VMware (or physical) based workloads, but do not have a good Disaster Recovery solution, please take a look at Azure Site Recovery.  It costs $54.00 per month per workload, plus the cost of the storage consumed.  The only time you incur runtime costs is when you start the VMs in Azure for either a Test Failover or Failover event.

Until next time,

Rob

Today’s Tip…

Yesterday’s tip discussed some of the new analytics available for Windows Server 2016 and backported to Windows Server 2012 R2.  I couldn’t resist following up with an article on one of the scenarios mentioned in that tip, Network Forensics.

Below is a link to a very informative article written by key members of the DNS Product Group explaining a practical application of analytics to solve a real-world problem.  There is some really good stuff here including

• How DNS intel can be used to compromise a network, and how analytics data can be used by network defenders to detect and investigate such an attack
• Example DNS analytic event logs
• Hardcore performance tips –
  • To what degree analytics can potentially introduce performance degradation, and
  • when to use what method of collection; topics such as tracelog and Windows Event Collection are discussed
• Example of filtering to eliminate less valuable information

Check out the following article for all this and more

Network Forensics with Windows DNS Analytical Logging

And for resources referenced in this and yesterday’s tip.

DNS Logging and Diagnostics

Update adds query logging and change auditing to Windows DNS servers

Windows Event Collector

Final Thoughts

The article Network Forensics with Windows DNS Analytical Logging represents an excellent example of taking a real world scenario, tools, and data and turning it into a teaching and learning opportunity.  I think we can all agree that information is easier to retain, particularly on a topic as nuanced as trace and log analysis, when presented in the context of solving real-world problems.

Do you have scenarios and examples where you used logging and analytics to do something amazing?  Get to the bottom of a deep mystery?  Eek just a bit more performance out of that app or server? 

Doesn’t have to be DNS or even network related.  Let us know!  There is a good chance that your experiences could be turned into a teaching tools for others while driving a better product and customer experience in the long run.

By David Parker, MVP

I recently attended the UK MVP Open Day at Bletchley Park, and have been inspired to provide a little distraction to show-off a few capabilities of my own competency, Microsoft Visio. Bletchley Park is known as the code-cracking centre where the Enigma code was broken in the Second World War. It continued to unlock supposedly secret messages for many years after the war, but now is a fascinating museum and, for many, the birthplace of information technology.

The picture above is of the Witch, or the Harwell Dekatron Computer, that was completed in 1951. It is the world’s oldest working computer, having been restored in 2012. It was one of many inventions at Bletchley for the purpose of cracking coded messages.

Early messaging

Humans have been sending messages to each other for thousands of years, with varying degrees of secrecy. Early civilizations used smoke signals to transmit over distances, but even earlier humans waved their arms and sticks to try to send signals. Eventually this was formalised into a system of mechanical arms that could be set to represent different characters. All it needed was someone to decode the position of the arms at a distance. These semaphore towers could then be installed in a relay so that messages could be sent over hundreds of miles. Claude Chappe setup such a system during the French Revolution in 1791, and the first recorded message is shown below:

Semaphore flags were found to be extremely useful by the maritime industry, and was further developed during the early 1800’s. The international standard then still exists, with different coloured flags when on land and at sea.

Semaphore in Visio

A single Visio contains all of the flag positions, so that changing the Character value in the Shape Data window will move the arms accordingly.

The page also has Shape Data, where the At Sea? Value can be changed, and thus the flag colours change. The label can be hidden for learning, and there is also a setting for changing the flags randomly. The flags can be dropped into a special List container, that displays the characters within it. The Semaphore Flag SmartShapes are available here.

The Beatles

Of course, semaphore can be used to send messages, and the famous Beatles’ Help album cover was supposed to be sending out a plea to the world. They may have been sending out an encrypted message, but the reality is that the artistic director thought the actual letters did not make for a pretty enough combination!

The famous Beatles Help album cover

 What it should have looked like

What they actually signed

Semaphore is limited

Semaphore relied on line of sight and someone to interpret messages from one direction, and then to relay them on to another.

The Telegram

The search was on for a reliable messaging system that could be sent over longer distances. Samuel Morse developed the telegram as a series of electrical pulses sent over metal cables. The first recorded messages, shown below, were sent in 1844 from the Capitol in Washington, USA to Old Mt. Clare Depot in Baltimore.

By 1861, the two coasts of the USA were connected by overland telegraph lines. The Morse Code SmartShapes are available here. The shapes are similar to the Semaphore Flag ones, with each character selectable in the Shape Data window. The power of these Visio shapes is purely in the ShapeSheet. There is no other coding required. The following screenshot shows the Shape Data section, and how the Value for the selected Character is used in other cells, as shown in the Formula Tracing window.

Modern messaging

Nowadays, we are used to using a keyboard that translates characters into numbers for transmission, that are re-displayed as characters for legibility. However, the choice of font can have a dramatic effect on the recognition of actual words. For example, the following phrase is shown with the Webdings font:

It actually says “SIGN O’ THE TIMES RIP PRINCE”. Even a simple obfuscation can be confusing, but pretty. SmartShapes available here.

Encryption

Obfuscation is obviously not enough to get a message through without being understood by a man-in-the-middle attack – that is where a supposedly secret message is intercepted in one way or another. Therefore, it is necessary to encrypt messages. At the Open Day, we were treated to a talk from Simon Singh, author of The Simpsons and their Mathematical Secrets (which we all got a signed copy of). He had an actual Enigma machine with him and he talked about one of his earlier books, The Code Book: The Secret History of Codes and Code-breaking – very interesting! Simon described various methods of encryption, in varying degrees of breakability. One of these methods is a simple cipher, where a keyword that does not contain multiple same characters is inserted at the start of the alphabet and then the characters in the keyword are omitted from the alphabet. It is then a simple matter of reading the character from the proto-alphabet in the same position as the actual character in the original alphabet. So, using the keyword CAT, and a characters set of just capital letters, would encrypt DOG to BNF:

Decryption just requires the keyword and the alphabet being used.

Encryption in Visio

So, I made a Visio shape, using just ShapeSheet formulas, that can encrypt any phrase using a keyword. The keyword and alphabet, which can include lowercase and special characters too, are entered into Shape Data rows in the page, shown in blue below. The text to encrypt, such as “Enter text here (without any carriage returns)” is just typed into the Encrypt shape, shown in light amber below. The shape then produces the Encrypted text which is then available in a Shape Data row (shown in a green Text callout). This encrypted message can then be sent to a receiver, who just pastes it into the Decrypt shape, shown in red below, in a page that has the same keyword and alphabet values in the Shape Data rows. The decrypted text is then available in the Decrypt Shape Data row.

This can be extended to produce double, triple or even more encryption by passing it through the shapes more times. To make it even more unbreakable, the first encrypted text could be decrypted using a different keyword, and then encrypted again, using a third keyword.

As long as the receiver knows the three keywords, and the processing order, then the message can be decoded by reversing the process.

SmartShapes are available here.

NOTE: Beware, I heard someone say that double encryption is against the law in some countries!

A conundrum for you

I leave you with one final message to decode:

The answer will be on my blog soon.

David Parker is a Visio MVP of over 12 years and runs his own Visio based consultancy and development business – bVisual. David has written three books on using Visio in business and validating diagram structure. He also maintains a Visio power user blog.

日本マイクロソフト System Center Support Team の黒田です。

今回は System Center Operations Manager（以下、SCOM）が送信するメール通知の件名についてです。

稀にですが、SCOMではメール通知を受け取った場合、そのメールの件名が受信するメールクライアントによって文字化けするという情報をいただいております。

>>件名の文字化け

アラート: リソース不足により、Operations Manager はプロセスを開始できませ■■した 解決状態: New

※「■■」は文字化けを示しています。

>>正常な件名

アラート: リソース不足により、Operations Manager はプロセスを開始できませんでした 解決状態: New

この事象はメール送信時に処理される件名の符号化が関係しております。

メール送信時、メールソースの 件名[Subject] をBASE64エンコードしますが、そのときエンコード後の文字数が75文字を超えると、以下に記載するメールソースのように改行が発生するため、一部のメールクライアントで件名が文字化けいたします。

>>メールソースより：文字化けが発生する場合の[件名]

Subject: =?utf-8?B?44Ki44Op44O844OIOiDjg6rjgr3jg7zjgrnkuI3otrPjgavj?=

△=?utf-8?B?gojjgorjgIFPcGVyYXRpb25zIE1hbmFnZXIg44Gv44OX44Ot44K744K5?=

△=?utf-8?B?44KS6ZaL5aeL44Gn44GN44G+44Gb44KT44Gn44GX44GfIOino+axuueK?=

△=?utf-8?B?tuaFizogTmV3?=

※「△」は「半角スペース」を表しています。

この改行を含むエンコード方法は、RFC 2047に準拠しておりますので、SCOMとしてメールソース作成時の挙動は問題ない動作となりますが、ご利用になるメールクライアントによっては [件名] が文字化けする場合がございます。

その場合は別のメールクライアントにてメールを閲覧するなどの方法をご検討ください。

なお、SCOMにて生成するメールの件名の文字数を減らす方法も有効ではございますので、SCOM管理コンソールにある [チャネル] の [形式] にて文字数を減らす方法も併せてご検討ください。

The files you need for this:

https://psasync.codeplex.com/ – psasync runspaces multi-threading PowerShell module

https://github.com/kurtfalde/DNS-Debug – the DNS Debug scripts

I’ve been bugged recently (@jepayneMSFT) to post some scripts I put together quite a while back so here they are.  These were written due to an onsite visit with a customer where we knew various DNS names that were of interest that were being used as C2 hosts and we wanted to track down specifically which clients were making calls to these host names.  Like many IT things there are other ways of doing this including proxy/firewall logs etc but in this case seeing I’m a MSFT resource we will be looking at the DNS debug logs on MSFT Windows Servers.

I am making use of a psasync module https://newsqlblog.com/2012/12/17/psasync-module-multithreaded-powershell/ written by Jon Boulineau in this case which allows multithreading via runspaces in PowerShell.  I tend to use Boe Prox’s poshrsjob module https://github.com/proxb/PoshRSJob usually now for runspaces but in general they both work fine, it’s just a .net runspaces thing in the background and these modules make it easier to use them.

The solution is composed of the following 3 scripts:

Enable-DNSDebugAsync.ps1

Retrieve-DNSDebugAsync.ps1

Search-DNSDebugLogs.ps1

These were designed unfortunately for a customer where they were still running 2003 DC’s at the time (yes it was fully after support had ended for 2003) and the script is focused around not needing the activedirectory PowerShell module. 

Enable-DNSDebugAsync.ps1 uses system.directoryservices to get all DC’s in the forest and then uses the dnscmd command line tool to enable the proper amount of dns debug logging across all DC’s in the forest.  You will need RPC access to all DC/DNS servers in the environment from the system you run this from.  It will set the log file to be 500Mb and be placed in c:windowssystem32dnsdns.log.

Retrieve-DNSDebugAsync.ps1 (maybe I should have used Get- instead to be more powershelly) basically uses multithreading to reach out to all DC’s and copy these DNS debug logs back to the system you are running the scripts from.  This does not use PSRemoting as that was not available so instead uses WMI for some process that I call remotely such as copying the dns.log file to a server-date-dns.log file.  It also then makes use of the makecab.exe utility to basically zip/cab up that log file (500Mb of just text compresses really well and helps with transferring across wan links).  Once zipped up it moves that file back to the collector system.  This is only using 10 runspaces currently but you can change that to whatever works for your collector system/environment.

Search-DNSDebugLogs.ps1 allows you to fill out the $BadThings array with terms that you might be interested in such as domain names of interest and then it will search through the dns debug logs that have been gathered to the collector system.  This isn’t as efficient as it could be as it uses get-content which I personally find incredibly slow when you start to get 100’s of MB’s or 10’s of Gb’s worth of log files but I never rewrote this one using streamreader.  Also technically it would probably be great to parse these / aggregate into a single file and load into PowerBI which would allow quickly searching/filtering as well.

Anyhow it’s any interesting tactical piece of code, I would expect if you started to do this proactively instead you would probably be looking more at using Azure OMS / Log Analytics / Splunk and automatically gathering the dns.log file via an agent into a SIEM solution and write up queries/alerts there instead.  Hopefully this is helpful and interesting to someone let me know if you have any questions.