memo.

カテゴリー: Windows

  • Windowsでtelnetコマンドの代わりにcurlコマンドを使う

    今、Windowsには、OSの標準機能として、telnetコマンドがインストールされていない。telnet接続のときのメッセージが表示されるかどうかであれば、curlコマンドで代替することができる。実際にTelnetのように操作できるわけではない。接続できるかどうかの確認のみだ。

    curl telnet://接続先のホストやIPアドレス:ポート番号

    実行例)

    C:\Users\zen>curl telnet://192.168.0.99:22
SSH-2.0-OpenSSH_4.3
^C
C:\Users\zen>curl telnet://192.168.0.99:25
220 host.example.com ESMTP Postfix
HELLO

    これで、そのポートがどのような反応を返してくるのかをみることができる。試したが、接続後にTelnetのようなインタラクティブなコマンド入力は通らないので、あくまでも接続時の反応確認のみだ。TelnetコマンドがWindowsにインストールされていないときの代替コマンドの1つとしてはあり。急場しのぎでの利用だろう。問題は、そのときに思い出せるのかどうかだ。

    ちなみに、接続先のポートが開いていて接続できるかの確認であれば、PowerShellのTest-NetConnectionコマンドレットを使う方が早いかもしれない。

    Test-NetConnection 接続先アドレス -Port ポート番号

  • Windows11 23H2へのアップデートが「oxc00000f0」エラーで失敗

    更新アシスタントを使ったWindows11 22H2から 23H2化が「エラーコード 0xc00000f0」で失敗した。

    一旦、キャンセルを押して終了させた後、完全シャットダウン(シフトキー押しながら、シャットダウンを選択)を行った。そのあと、再度、更新アシスタントを再度実行したところ、今度は成功し、Windows11 23H2になった。

  • メモ:VMware Toolsに権限昇格の脆弱性

    VMware Toolsの脆弱性の評価は、CVSSv3基本スコアで、CVE-2023-34057は「7.8」(Important)。ゲスト仮想マシンへのローカルユーザーアクセスを持つ悪意のある攻撃者が、仮想マシン内の権限を昇格できる可能性があるとのこと。

    「VMware」のゲストOS向けアプリ「VMware Tools」に重大な脆弱性 ~対策版への更新を – 窓の杜 (impress.co.jp)

    https://forest.watch.impress.co.jp/docs/news/1543401.html

    脆弱性が修正されたバージョンへのVMware Toolsの更新が必要。

    対象となるVMware Toolsのバージョン 12.xx、11.xx、10.3.x

    脆弱性対応されたバージョン 12.3.5

    https://www.vmware.com/security/advisories/VMSA-2023-0024.html

    ダウンロードのURLは下記。ダウンロードには、VMwareのCUSTOMER CONNECTのアカウントが必要。

    https://customerconnect.vmware.com/en/downloads/details?downloadGroup=VMTOOLS1235&productId=1259&rPId=112353

  • Veeam Backup & ReplicationのユーザはWindowsのユーザを使う

    Veeam Backup & Replicaiton のユーザは、Veeam上にユーザを作るわけではなく、Veeamの管理サーバがインストールされたWindowsのローカルアカウントもしくは、ドメインアカウントを使用する。

    アカウント追加の手順としては、

    1. Windowsに新しくユーザを登録する。

    2. 追加したWindowsアカウントのパスワードを登録する。

    3. Veeam backup でメインメニューから「Users and Roles」を選択する

    4. 「Add」をクリックする

    5. 「User or group」フィールドで、ユーザー名またはユーザーグループの名前を「ドメイン\ユーザー名」の形式で入力する。

    6. 「Role」リストから、割り当てるロールを選択する。

    7. 「OK」をクリックする。

    8. Veeam Backupへのログインを試す。

    参考:
    https://helpcenter.veeam.com/jp/archive/backup/110/hyperv/users_roles.html

  • Meraki APからNPSへのRADIUS認証でエラーが発生するようになった

    NPSサーバ再起動後に、Meraki APからNPSへのRADIUS認証でエラーが発生するようになった。そのときの対応のメモ。

    Meraki側には、下記のログがあり、PEAPの認証でこけていることがわかった。

    802.1X	Failed authentication (EAP failure)

    一応、Meraki APの再起動をやってみたが効果なし。Merakiの管理画面から、RADIUS認証を試してみるとエラーになった。RADIUS認証が影響していることが分かったので、RADIUS認証サーバであるWindowsのNPSサーバ側を調べた。

    NPS(ネットワークポリシーサーバー)側のログは、イベントビューアーの「Windowsログ」の「セキュリティ」に下記のログがあった。

    サーバーで拡張認証プロトコル(EAP)の種類を処理できないため、クライアントを認証できませんでした

    RADUISであるNPSサーバまでの通信は行われており、RADUIS認証の中で、ユーザの認証ができていないため、接続が拒否されていることがわかった。NPSサーバに対象を絞って、調査した。

    NPSサーバの管理画面で、「NAPを構成する」をクリックしてウィザードを開始してみると、「認証方法の構成」で「NPSサーバー証明書」が「なし」で選択できないことがわかった。つまりサーバ証明書がない(失効していても同じ状態)のが原因なので、これを解消するために対応した。

    いろいろと試した結果、結論しては、先の作業で解消した。

    1. NPSのサーバで、管理ツールから「証明機関」を開く。

    2. ローカルの証明サーバを選んで、右クリック。

    3. 「すべてのタスク」から「CA証明書の書き換え」を選択する。

    4. 証明書の書き換えで再発行する。

    5. NPSサーバ(サービス)を再起動する。

    これで、NPSからADのディレクトリに対して、認証ができるようになり、PEAPの認証が正常に行えるようになった。

  • VBScriptの寿命もあとわずか

    MicrosoftがWindows環境におけるVBScript(VBS)を非推奨にすると発表した。将来的には、VBScriptの実行環境が削除されるとのこと。

    「VBScript」は非推奨に、将来のWindowsリリースで削除
    https://forest.watch.impress.co.jp/docs/news/1537619.html

    しぶとく残ると思われていたIE11も廃止されたので、VBScriptも確実に削除されるだろう。いずれ出るであろうWindows 12は、削除されていてもおかしくはないかも。そう考えると、明確な言及はないけれど、2,3年くらいで無くなるという覚悟が必要そうだ。

  • systeminfoは、WindowsXP以降に追加されたコマンド

    タイトルのままだが、systeminfoは、Windows XPから追加されたコマンド。Windows 2000(Windows 2000 Server)には、systeminfoがないので注意。

  • Windows 2000 Serverは、Windows Server 2022のADに参加できない

    Windows Server 2022で作成したAD(機能レベル2016)に、Windows 2000 Serverを参加させようとしたが、エラーによりドメインに参加できなかった。

    ドメイン "xxxxxx.domain" に参加中に次のエラーが発生しました:
指定されたネットワーク名は利用できません。

    原因は、CIFSなどのプロトコルのバージョンが低いもの(セキュリティリスクがあるもの)を許可していないためと思われる。参加できるかどうかの実験だったので、通常状態ではWindows Server 2022で作成したADに、Windows 2000 Serverは参加できない、という結果が出たので満足。

  • Windowsのファイルサーバでアクセス権のないファイルやフォルダが表示されない

    ファイルサーバのデータ移行をしていて、共有からアクセスするとアクセス権のないファイルやフォルダが表示されない(アクセス権のないファイルやフォルダが見えない)、という状況があった。

    気になって調べてみると、SMBのプロトコルバージョンやCIFSバージョンの問題ではなく、Windowsのフォルダ設定で、「アクセス許可設定に基づいた列挙を有効にする」の設定にチェックが入っている(オンになっている)と、アクセス権のないフォルダやファイルは表示されなくなる。設定中に、オンにしてしまっていたようだ。「アクセス許可設定に基づいた列挙を有効にする」の設定のチェックボックスでチェックを外して保存すれば、アクセス権のないフォルダやファイルも見えるようになる。

    「アクセス許可設定に基づいた列挙を有効にする」の設定は以下。

    1.「サーバーマネージャー」を開く

    2.サイドメニューから「ファイル サービスと記憶域サービス」を開く

    3.サイドメニューから「共有」を開く

    4.表示された共有一覧から、対象の共有名を選んで、右クリックからプロパティを開く

    5.プロパティの中の「設定」を開く

    6.「アクセス許可設定に基づいた列挙を有効にする」を確認する、必要に応じて、チェックのオン・オフを行う

    Windows Server 2022の既定値も調べてみたが、「アクセス許可設定に基づいた列挙を有効にする」(Access Based Enumeration)は、既定値はオフ。

    なお、マイクロソフトのドキュメントによると、「一部の環境では、アクセス ベースの列挙を有効にすると、サーバーの CPU 使用率が高くなり、ユーザーの応答時間が遅くなります。」とのことなので、特別な要件がなければ、オフの方がよさそうだ。

    参考: 

    https://learn.microsoft.com/ja-jp/windows-server/storage/dfs-namespaces/enable-access-based-enumeration-on-a-namespace

  • Intel CPUに「Downfall Attacks」の脆弱性

    IntelのCPUに「Downfall Attacks」と呼ばれる脆弱性が見つかったとのこと。

    第6世代Skylakeから第11世代Rocket LakeおよびTiger LakeまでのIntelプロセッサを使っているコンピュータが対象になるとのこと。この脆弱性を悪用すると、Gather Data Samplingを使用して他のユーザーからデータやその他の機密情報を盗み出すことができるようだ。

    Linuxについては、Gather Data Samplingを無効化する方法が公開されているがパフォーマンスが低下するようだ。Windowsについては、Microsoftが対策中のようだ。今後の動きは注目しておきたい。

    参考

    https://texal.jp/2023/08/10/new-downfall-vulnerability-in-intel-cpus-allows-encryption-keys-and-data-to-be-stolen/

    https://jvn.jp/vu/JVNVU99796803/index.html