網絡管理必修課 禁止修改終端IP

對於企業中的局域網而言，最難管理的並不是服務器主機，而是千差萬別的各個終端。畢竟每位終端用戶的操作都會影響其網絡的連接狀況，甚至波及到整個局域網。所以管理好終端系統是很有必要的。無論是采取DHCP還是指定獨立地址的方法，IP沖突和搶佔已經成為管理局域網時最棘手的問題。怎樣才能更好的管理IP地址呢？

     最簡單的辦法就是——禁止終端用戶修改網絡配置！

隱藏網絡設置界面

       如果將網絡連接等設置對象隱藏起來，用戶就無從下手了，此時即可達到維護IP地址的目的。首先在終端上打開注冊表（regedit），依次展開「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer」，在右側鍵值窗口中新建然後一個名為NoNetHood的雙字節值，並將其值設置為1，這樣就無法通過桌面的網絡鄰居進入TCP/IP設置界面了。

        接下來在「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network」創建一個名為「NoNetSetup」的雙字節值，並將它設置為1；以後終端用戶再想打開「網上鄰居」或「網絡」屬性窗口時，將會看到無權訪問的提示。

注銷組件防止篡改IP

        很多用戶為了達到某些特殊的目的會在TCP/IP中修改地址，這對於管理員的管理工作帶來了麻煩。基於目前常見的Windows 2000/XP系統，其IP地址修改無非調用了Netcfgx.dll，Netshell.dll和Netman.dll三個文件，只要將這些組件注銷即可達到保護IP地址的目的。在運行窗口中分別輸入Regsvr32 /u Netcfgx.dll、Regsvr32 /u Netcfgx.dll、Regsvr32 /u Netcfgx.dll將三個組件注銷。這樣在整個系統中將無法修改IP地址了。恢復的時候可以分別使用命令Regsvr32 Netcfgx.dll、Regsvr32 Netcfgx.dll、Regsvr32 Netcfgx.dll進行恢復。建議管理員將其制作成批處理文件，進行統一的執行操作。
    
綁定IP地址

       以上的兩種方法針對一般用戶比較有效。但如果終端用戶自行修改，則又可以自由的修改IP地址了。此時可以通過IP與MAC地址綁定，然後在服務器端控制的方法達到一勞永逸。

       運行CMD，輸入arp -s 192.168.1.10 00-20-6F-16-5A-EF，並在服務器端設置MAC規則，這樣IP地址和MAC地址就綁定在一起了。以後如果該用戶擅自修改IP地址，就會無法連接到網絡

信用卡推薦

 富邦台灣大哥大聯名卡：有台灣大哥大門號網友建議辦，有5%回饋
上海頂好卡：0.5%當期回饋
第一銀卡商旅白金: 國外刷卡1.55%, 下個月還你1.5, 沒上限.
國泰尊榮白金: 0.5%現金回饋, 不限金額, 沒有門檻. 保費回饋1%.
大眾分享卡..可自行設定刷多少金額就自動分四期..例如設定一仟元...那只要單次刷超過一千元就自動分成四期繳款..且是零利率 
第一銀行的由你分期卡


台新的台金商務卡
優點是出國刷卡不用手續費
刷到一定金額還可以換機票
缺點是要年費

Photoshop CS5 讓去背變更容易 - 【調整邊緣】

Photoshop CS5新增了一個神奇的去背功能，那就是利用選取範圍的【調整邊緣】將背景去除掉，而此方法原比先前的摘取來的強大許多，這個調整邊緣功能，除了可快速的完成去背外，還可以修正白邊以及邊緣平滑化，讓去背變的更加的輕鬆，即便不會色版與路徑工具，一樣也可以完成漂亮的去背喔！

---

Step1
開啟影像，並將模式切到快速遮色片，選擇筆刷工具，並將不透明與流量設為100%，來回將主角塗滿。

---

Step2
完成後主角上方會有一層半透明的紅色色塊蓋住。

---

Step3
切回正常模式，這時主角四週會產生選取範圍，再按Ctrl+Shift+I反向選取，將主角選取起來，再選擇工具箱的任一的選取工具，接著再點上方的【調整邊緣】。

---

Step4
進入後將視圖選成【黑底】。

---

Step5
將邊緣偵測的智慧型半型勾選起來可去除白邊，去除白邊除了可從下方的半徑調整外，也可用側邊的筆刷來回塗抹減少白邊。

---

Step6
接著中間調整邊緣的地方，可用來調整邊緣的平滑與對比。

---

Step7
最後在輸出的地方，淨化顏色勾起來，它是可將邊緣半透明顏色去除，在輸出的部分選【新增使用圖層遮色片的圖層】。

---

Step8
於下方新增一個圖層並填入紅色，再切回原來的圖層，點選圖層遮色片將一些細微沒去好的部分再作修整。

---

Step9
完成後拉一張背景來測試看看，哈～效果還算不錯，不但毛髮去的漂亮，連邊緣線也很漂亮就像使用路徑工具一樣 。

---

　　其實這一個功能算是蠻方便的，讓你可以在短時間內就完成一個漂亮的去背照，至於先前的色版去背是否已過時呢？這就看各位怎麼使用囉！必竟它只是工具，就看你怎麼善用這些工具囉！

如何在 Adobe Photoshop CS5 使用〔摘取〕濾鏡功能

Adobe Photoshop CS4 - 增效模組選項 - 繁體中文

http://www.adobe.com/support/downloads/detail.jsp?ftpID=4278

Adobe Photoshop CS5 增效模組選項

http://www.adobe.com/support/downloads/detail.jsp?ftpID=4828

Q：如何在 Adobe Photoshop CS5 使用〔摘取〕濾鏡功能
A：請下載 Adobe Photoshop CS4 - 增效模組

將解完壓縮的資料夾 -> 繁體中文/小工具/增效模組選項/增效模組 (32 位元)/Filters/ 將「ExtractPlus.8BF」

拖放至 Photoshop 安裝位置 -> Adobe Photoshop CS5(CS4)/Plug-ins/Filters 檔案夾中，

重新啟動 Photoshop，就能在濾鏡裡看到「摘取」的功能了。」

無痛轉移Gmail帳號，郵件、設定完美搬家

如果你的 Gmail 信箱一天到晚被盜帳號，或是之前註冊太多阿裡不達的網站導致垃圾信收不完，那麼應該很想換一個新的信箱來用吧？也對，反正Gmail申請又不用錢，用爛了再換一個新帳號就好。但是舊信箱裡可能還留有不少重要信件，要怎麼搬到新的信箱？還有就是，好不容易設定了一堆過濾篩選規則、郵件分類標籤.....等，換帳號後一切都要重新設定嗎？

雖然理論上，Gmail舊郵件及選項設定都必須手動搬移到新帳號，但是利用一些小技巧，我們可以大幅簡化這些步驟。下面就為大家示範：怎麼在申請新Gmail帳號後，把舊Gmail裡的所有資料，完整搬移到新的帳號。

• 在原始舊帳號中開啟POP功能

Gmail中的重要資料有郵件、附檔、分類標籤、篩選器等等，雖然Gmail內建沒有直接搬移的選項，但我們只要運用一點技巧，這些內容就都可以在不同的Gmail帳號之間進行搬移。接下來讓我們新增一個Gmail帳號來試試看。

本文將原始舊Gmail帳號定義為「A帳號」，而新增的Gmail帳號定義為「B帳號」以方便解說。首先，我們來到原始A帳號，進入Gmail「設定」，切換到「轉寄和POP/IMAP」頁面，勾選「對所有郵件啟用POP功能」，按下〔儲存設定〕，這樣就能轉移所有已讀、未讀郵件。

• 在新增帳號中匯入POP3郵件

步驟01.
接著，請切換到新增的B帳號（建議用另外一個瀏覽器開啟，或使用Google多帳號功能），同樣進入Gmail「設定」中，這次切換到「帳戶和匯入」頁面，點擊〔新增POP3電子郵件帳戶〕。

步驟02.
點擊〔新增POP3電子郵件帳戶〕後，要輸入舊Gmail的原始A帳號，然後繼續按〔下一步〕。

步驟03.
接著要進行一些POP3的規格設定，不過這裡Gmail很聰明的都會幫我們填寫好，基本上我們只要輸入原始A帳號的使用者名稱與密碼，然後按下〔新增帳戶〕即可。

步驟04.
都設定完畢後，回到新B帳戶設定中的「帳戶和匯入」頁面，就會看到「以POP3檢查郵件」這部份顯示為正在檢查中，這邊依據你原始郵件的多寡會需要等待不同長短的時間。

步驟05.
全部檢查完畢後，你就可以在新的B帳戶中，看到舊A帳戶的所有郵件了！但是，這裡是不是哪裡怪怪的呢？原來是篩選器和標籤分類還沒有順利匯入！

• 將舊帳號的篩選與標籤匯入新帳號

步驟01.
先匯入郵件後，我們緊接著來匯入篩選器與標籤。進入新、舊帳戶設定中，分別都到「研究室」開啟「篩選匯入/匯出」項目。

步驟02.
接著來到舊A帳戶中，進入設定畫面的「篩選器」，勾選所有的篩選規則，然後點擊下方新出現的〔匯出〕，就可以下載篩選器備份檔案。

步驟03.
然後來到新B帳戶中，同樣進入設定的「篩選器」畫面，這次點擊下方的「匯入篩選器」連結，並繼續〔選擇檔案〕指定剛剛下載的舊帳戶檔案，最後點擊〔開啟檔案〕。

步驟04.
於是，你就可以看到之前舊A帳戶的篩選條件，全部都匯入到新B帳戶中了！但這裡還有一個很重要的步驟：請先勾選所有篩選器，然後請一定要勾選「將新篩選器套用到既有的電子郵件」，最後才點擊〔建立篩選器〕按鈕。

步驟05.
回到新B帳戶的收件匣頁面，你就可以看到符合規則的郵件全部和舊帳戶一樣加上分類標籤了！只是標籤的顏色無法順利匯過來，這部份就真的只能靠用戶手動在新帳戶裡一個一個修改。

ㄅㄆㄇ注音查詢器：國字不會唸或打嗎？新注音的朋友有福了！

軟體下載：按我下載(官方下載檔) 
官方網址：點我前往

查詢的方法百百種，當然不只有ㄅㄆㄇ注音查詢器可以查拉，例如：「圕」、「囲」等特殊國字就讀不出來啦！
這時候我們可以至下面兩個網站查詢唷！

• 教育部異體字字典
• 行政院全字庫

FavBackup：一鍵備份 / 還原 IE、FireFox、Chrome、Opera 等瀏覽器資料

軟體下載：按我下載(官方下載點) 
官方網址：點我前往 

Asterisk Key：顯示出電腦內隱藏為星號的密碼

Asterisk Key 是免費的密碼偵測器，當忘記密碼時使用是最方便的，能夠輕鬆的顯示電腦內隱藏為星號的密碼，從瀏覽器網頁到系統內的星號密碼都不會錯過
軟體下載：按我下載(官方下載點) 
官方網址：點我前往 

Movie to Animated GIF Converter：輕鬆將影片轉換成 GIF 動畫的免費小程式

Movie to Animated GIF Converter 這個小工具，一樣是將影片轉換成 GIF 動畫，但是轉換成圖片的時間與長度可以自行設置與調整，能夠轉換的影片格式也支援了 MPEG、AVI 和 WMV 這三種。
軟體下載：按我下載(官方下載點) 
官方網址：點我前往 

Thumbnail Data Cleaner：刪除系統內無用處且佔容量的 Thumbs.db 檔案

軟體下載：按我下載(官方下載點) 
官方網址：點我前往 

ShowMyPC：好人必備遠端控制程式

軟體下載：按我下載(官方下載點) 
官方網址：點我前往 

第一步、遠端連線

程式不需安裝，請下載完畢後即可執行！

被控端與控制端都需執行 ShowMyPC 程式，被控端請先按下現在顯示我的電腦，等待共享密碼出現！

接著請把共享密碼分享給控制端，而控制端請點擊查看遠端電腦得按鈕並輸入共享密碼後即可連線。

即時連線監控小工具

CurrPorts：即時連線監控小工具

軟體下載：按我下載(官方下載點) 
繁中語系下載：按我下載(官方下載點)  
官方網址：點我前往 


：表示等待從任何遠端 TCP 和 port 而來的連結要求。
：表示在送出連結要求後，等待與其相對應的連結要求。
：表示在接收並傳送出連結要求後，等待連結要求認可的確認。
：表示一個 open connection ，在資料收到後可傳送給 user ，這是在連結的資料傳輸階段中的一個標準狀態。
：表示等待從遠端 TCP 而來的連結終止要求，或等待先前送出的連結終止要求的認可。
：表示等待從遠端 TCP 而來的連結終止要求。
：表示等待從本地 user 而來的連結終止要求。
：表示從遠端 TCP 而來的連結終止要求之確認。
：表示等待先前傳送給遠端 TCP 的連結終止要求之確認。
：表示等待一段足夠長的時間，以確保遠端的 TCP 已接收到他的連結終止要求的確認。
：表示已不再處於連結狀態。

Moo0 ConnectionWatcher：即時監控並顯示網路的連線狀態

安裝版－軟體下載：按我下載(官方下載點) 
隨身版－軟體下載：按我下載(官方下載點) 
＝＝＝＝＝＝＝＝＝＝＝＝AsiLP-官方網址＝＝＝＝＝＝＝＝＝＝＝＝
官方網址：點我前往 

LISTEN：表示等待從任何遠端 TCP 和 port 而來的連結要求。

SYN-SENT：表示在送出連結要求後，等待與其相對應的連結要求。

SYN-RECEIVED：表示在接收並傳送出連結要求後，等待連結要求認可的確認。

ESTABLISHED：表示一個 open connection ，在資料收到後可傳送給 user ，這是在連結的資料傳輸階段中的一個標準狀態。

FIN-WAIT-1：表示等待從遠端 TCP 而來的連結終止要求，或等待先前送出的連結終止要求的認可。

FIN-WAIT-2：表示等待從遠端 TCP 而來的連結終止要求。

CLOSE-WAIT：表示等待從本地 user 而來的連結終止要求。

CLOSING：表示從遠端 TCP 而來的連結終止要求之確認。

LAST-ACK：表示等待先前傳送給遠端 TCP 的連結終止要求之確認。

TIME-WAIT：表示等待一段足夠長的時間，以確保遠端的 TCP 已接收到他的連結終止要求的確認。

CLOSED：表示已不再處於連結狀態。

線上圖片編輯特效

http://www.amazer.com.tw/

http://ps.876.tw/

tonberry-chrome：輕鬆使用 Chrome 上 PTT！

tonberry-chrome 是個能夠讓 Chrome 瀏覽器上 Ptt 的擴充功能，只要於該擴充功能安裝完後，按下此擴充功能圖示，就能讓您輕鬆無負擔的使用 Chrome 瀏覽器直達批踢踢實業坊囉！

由於擴充功能針對了 BBS 還有設定快捷鍵的功能，請參考以下說明來操作！

更新的版本與後續的更新在PTT的Google板上可以找到

如何解決 Windows 7/Vista 下因為 SmartGet (SMG) 導致 Windows Live Messenger 關閉的問題 (MVP 撰寫)

當我們在 Windows 7 或是 Windows Vista 系統環境下，登入 Windows Live Messenger 之後，如果開啟 SmartGet(SMG) 就會造成 Windows Live Messenger 自動登出。


通常發生這樣的問題，是由於 Windows Live Messenger 內的 wldlog.dll 與 SmartGet(SMG) 相衝突所導致的。

這種情況有兩種解決方式，下面兩種方式擇一使用，可以解決您的問題：

• 請到 C:/Program Files/Windows Live/Contacts 目錄下 ，在 wldlog.dll 文件上按一下滑鼠右鍵，然後按一下【重新命名】，將文件重新命名之後，再按一下鍵盤上的 Enter 鍵。
  
  
  
  
  
  
• 關閉 DEP，請按一下【開始】按鈕，然後輸入 bcdedit.exe /set {current} nx AlwaysOff ，完成之後請重新開機即可。
  
  
  
  
  
  
  
  註：若要開啟則再輸 bcdedit.exe /set {current} nx OptIn ，完成之後請重新開機即可。

Vista/Windows 7無法登入網站及網路芳鄰

這幾天有同事針對測試主機做了一些測試及調整，陸續發生古怪狀況:

1. 部份機器使用IE連上測試網站時，確認帳號密碼都正確，但IE就是一直彈出帳密對話框，始終無法通過IIS的NT整合式認證(但基本認證可以)。出問題的機器有個共通點: OS都是Windows 7或Windows 2008。至於Windows 2003/Windows XP，則可正常登入該網站。
2. 前述無法登入IIS的機器，也無法使用網路芳鄰連上該IIS Server的分享資料夾。使用net use\\remoteserver\ipc$ /user:domain\user測試，一直彈出帳號密碼不對的訊息。

同事找到一個方法，修改Windows 7/Vista的LmCompatibilityLevel Registry(如下圖)

將其中的3改成1並重新開機，就能解決網芳無法連線及IIS無法連線的問題。

之前沒聽過這個Registry，上網爬文，找到以下關於LAN Manager Authentication Level較詳盡的說明:

• 0 - Send LM & NTLM responses:Level 0 offers the lowest level of security because LM and NTLM are considered obsolete. Clients at this setting never use NTLMv2. Servers at this setting will accept any of the three protocols.
• 1 - Send LM & NLTM - use NTLMv2 session security if negotiated: 
  Level 1 allows the use of LM and NTLMv1, so it does not eliminate the vulnerabilities inherent in those protocols. Servers at this setting will continue to accept any of the three protocols, although clients will now have the ability to step up to NTLMv2 if they're able to and the server they're connecting to asks for it.
• 2 - Send NTLM response only: 
  When level 2 is implemented across a domain, clients begin using NTLMv1 and can use NTLMv2 if the servers on the network support it. Domain controllers will again continue to accept any of the three protocols.
• 3 - Send NTLMv2 response only: 
  At level 3, domain controllers still accept any of the three protocols, but client computers so able will use only NTLMv2, ignoring LM and NTLMv1 traffic. This is the minimum security level acceptable for mixed networks on which some clients absolutely must continue to authenticate although they cannot use NTLMv2 (for example, older operating systems, such as Windows 95/98/Me, old Unix versions, Mac OS X 10.3 and earlier). Communication between servers and those older clients will still be insecure, but communication between servers and current clients (e.g., Windows 2000 or XP, Mac OS X 10.4, new Unix distributions) will be secure.
• 4 - Send NTLMv2 response only\refuse LM: 
  At level 4, clients and domain controllers ignore any LM traffic; clients only attempt to use NTLMv2, while domain controllers will accept NTLMv1.
• 5 - Send NTLMv2 response only\refuse LM & NTLM: 
  Level 5 is the highest setting. Clients and servers all actively reject LM and NTLMv1 traffic, and use only NTLMv2.

用簡單白話來解釋: LM, NTLM(v1), NTLMv2是三種不同的認證機制。LM跟NTLM很古老，安全性較差，有被輕易破解的疑慮，因此Windows Vista起(含Windows 7, Windows 2008/2008R2)預設就只使用較安全的NTLMv2(所以LmCompatibilityLevel預設為3)。

但問題是從NT SP4起，Windows就支援NTLMv2了。一般而言，需要降低到LM/NTLM多半是要配合Mac、UNIX Samba等異質平台；測試機群最古老的OS也在Windows 2000以上，理論上使用NTLMv2絕對不是問題，況且之前使用都正常，是這波調整後才出狀況。因此，雖已有解法，但它減損了系統安全程度，有點資安偏執的我還是決定鍥而不舍捉拿真凶。

在追查過程中，不經意在事件檢視器中發現可疑處 -- 網域伺服器為了配合測試被人調整了日期時間!! 我推測NTLM認證機制中應該有時間戳記註明時效以強化安全性，因此網域才需要嚴密的時間同步機制，當時間不同步時就會導致驗證失敗。如此，先前遇到的怪異現象有了合理解釋 ---

因為IIS與Client時間有差異 -> NTLMv2機制驗證失敗 -> Windows 7限定只使用NTLMv2故無法驗證、Windows XP/2003退而求其次使用LM, NTLM完成驗證

接著測試將一台Windows 7 VM的時間調成與測試網域時間相同，果然即使LmCompatibilityLevel = 3也能通過驗證，印證了我的推論。

【結論】

1. 網域中各主機的時間同步很重要，時間有差異時可能導致身份驗證失敗。
2. 當發生帳號密碼正確，卻一直無法登入時(尤其是Vista, Win7, Win2008)，請檢查是否為時間問題。
3. 若無Mac及Unix Samba等異質平台需求，建議設定LmCompatibilityLevel = 3，降低身份驗證資料被破解的風險。

You can also check this: http://kb.iu.edu/data/atvn.html