Windows_Defender

通过 WDS 环境应用 Windows Defender Offline

        在开写本文前,gOxiA 觉得很有必要先介绍一下什么是 Windows Defender Offline?!以及如何获得 Windows Defender Offline?!然后再与大家分享通过 WDS 环境应用 Windows Defdender Offline。

        Windows Defender 相信使用 Windows 的朋友并不会感到陌生,它是一款微软研发的 Windows 实时保护软件,用于检测和减少可能危害 Windows 及用户安全的软件,不论威胁是来自电子邮件,还是内网或互联网,它都能够检测并删除病毒、间谍软件和恶意软件。Windows Defender 历史悠久,支持 Windows XP/Vista/7/8,直至现在的 Windows 10。gOxiA 从 XP 时代就开始使用 Windows Defender(那时它还不叫这个名字,一路更名,过去的它就简称 MSE 吧!),非常值得信赖,在个人认为是安全软件里做的最有良心的,没有之一!!!(PS:评价就是如此之高)如果你希望更深入的了解 Windows Defender 技术方面的细节,请一定不要错过“Windows Defender 技术概述”这篇官方文档。

        而 Windows Defender Offline 其实是 Windows Defender 的一个功能,或理解为一种运行时态,即离线扫描。通过专用的工具可从微软官方下载最新的安全威胁特征库,并为其创建一个受信任的运行环境,从而无需启动操作系统,便可对该操作系统进行扫描和查杀安全威胁。Windows Defender Offline 尤其针对那些 rootkit 等及其顽固的恶意软件。下图便是 Windows Defender Offline 正在运行时的样子,首先会执行初始化,之后自动开始执行扫描,在联网环境下还支持更新特征库,而且也支持自定义扫描!

snipaste20170222_160614

snipaste20170222_160713

snipaste20170222_160734

snipaste20170222_161031

        看完上面的介绍,是不是心里顿生想法,尤其是 ITer 一定要有个 Windows Defender Offline 傍身才好!接下来跟随 gOxiA 的节奏一起来尝试创建 Windows Defender Offline。需要注意,如果你是 Windows 10 用户,可在“所有设置”-“更新和安全”-“Windows Defender”下找到“Windows Defender Offline”的“脱机扫描”按钮,点击它之后系统会在一分钟后重启进入 Windows Defender Offline 环境。

snipaste20170223_211537

        如果你是 Windows 老版本的用户,又或者极其想拥有一个独立于当前系统的 Windows Defender,那么可以继续往下看了!首先下载 Windows Defender Offline 创建工具:

        下载到本地后便可直接运行它,启动创建向导以便完成 Windows Defender Offline 的制作,向导支持 CD、DVD、UFD 以及 ISO 格式,如果你不熟悉如何将 ISO 转为 UFD,那么建议你在后续过程中插入一个 U盘选择对应的方式创建,而本文则是以 ISO 来演示的。

DefenderOfflineTools-1

DefenderOfflineTools-2

        这一步是关键,三种创建方式,根据自己的实际情况选择,本文则选在 ISO 文件。

DefenderOfflineTools-3

        选择 ISO 的存储位置,为了方便查找,可直接保存在桌面上。

DefenderOfflineTools-4

        创建开始,此时请确保你有一个高速互联网,否则区区不到 300MB 的数据也够你受的!(PS:由于 Windows Defender Offline 资源使用了某司的CDN,虽然进行了分流优化,但实际上国内的网络还是非常之慢!)

DefenderOfflineTools-5

        OK,在经过漫长的等待过程后,ISO 便创建好了,有了 ISO 文件,ITer 应用起来就得心应手了许多,可以先载入到虚拟机下感受感受。

DefenderOfflineTools-6

        休息一下,接下来我们本文的重点将是在 WDS 环境下应用 Windows Defender Offline!这个场景更多的是在企业环境中……(未完待续!)

Co3p9r4XYAAb_t8

        一台 Windows 10 计算机,通过 Windows 更新独立安装程序手工安装 MSU 更新包,在安装过程中出现错误提示“安装程序遇到错误: 0x80070422”,使用 Windows 更新功能执行在线检查也一样提示“0x80070422”故障。

snipaste20161216_140811

        0x80070422 其实是非常典型的简单故障,错误提示页面下的中文解释已经非常到位,即相关的服务无法启动,通常造成服务无法启动的原因就是服务被禁用掉,用户只需要通过services.msc启动服务管理器将 Windows Update 服务改为手工,再次执行安装程序即可解决问题。

        如果服务启动失败,可以通过“依存关系”对当前服务依赖的组件进行基础检查。另外,gOxiA 不建议在 Windows 10 上禁用 Windows Update 服务,因为即使要手工安装 Windows 更新补丁包,也需要启动 Windows Update 服务;此外,Windows 激活时同样依赖 Windows Update 服务。

        最后分享一篇资料非常有价值,便于我们快速诊断错误代码代表的原因。

        IUTool error codes:

        https://msdn.microsoft.com/en-us/windows/hardware/commercialize/manufacture/mobile/iutool-error-codes

Co3p9r4XYAAb_t8

使用 Windows 10 的连接应用轻松演示移动设备内容

        Windows 10 周年更新(1607)中包含了一款系统应用 - 连接,恐怕很少用户会关注到这款应用,而它确实就在那里!如果你正迫切需要通过电脑屏幕来展示自己的移动设备内容,不论你是 Windows Phone 还是 Android,那么“连接”将轻松实现你的需求,并且是通过无线技术将移动设备内容展示在电脑屏幕上。正如下图所示,gOxiA 正使用小米的红米Note3通过无线方式将手机的界面投放到了Windows 10系统上,这一功能对于那些移动开发者来讲,相信非常有价值。

20161202_140659862_iOS

        要使用这一功能,需要确保移动设备支持无线显示协议,通常大部分的主流 Android 都支持这一功能。为了能够获得最佳的体验,Windows 10 设备最好也要支持无线显示技术,否则可能投影过来只有内容而没有声音,起码在 gOxiA 的 T420 上虽然能够播放移动设备端的视频内容,如:Youku 视频,但却没有声音;此外 Windows 也会提示无法使用系统鼠标对投放过来的移动内容进行操作。

connect-1

connect-2

        最后让我们来了解一下无线显示技术,在 Windows 和 Android 平台最为常见的无线显示技术当属 Intel WirelessDisplay(WiDi),全称为无线高清技术,通过 WiFi 信号来实现电脑和显示设备的无线连接。

remoteapp-connecting

使用 RemoteApp 方式访问远程桌面上的应用程序

        补充这篇日志纯粹是为了方便自己,经验技巧当然是很早以前的!原因是最近经常要访问笔记本上的应用,但又不想基于远程桌面环境,所以直接以应用窗口模式打开远程桌面上的应用是最为合适的。这里要用的到就是RemoteApp,而该技术在客户端系统上也能够通过修改注册表来实现。

        下面就是一个设置的例子:

  1. 打开注册表编辑器定位到HKLM\software\microsoft\windowsnt\currentversion\terminalserver\tsappallowlist  
  2. 在路径下新建名为 applications 的项,然后在该项下创建需要发布的应用程序的项,名字可自行命名,例如 notepad  
  3. 在 notepad 项下创建名为 name 和 path 的字符串,各自的值分别为 Notepad 和 c:\windows\system32\notepad.exe  
  4. 回到路径 tsappallowlist,修改fdisableallowlist的值为 1  
  5. 现在创建一个远程桌面连接,保存到桌面可命名为remoteapp-notepad.rdp  
  6. 修改和添加该文件内容如下:
    a) remoteapplicationmode:i:1
    b) remoteapplicationprogram:s:notepad
    c) disableremoteappcapscheck:i:1
    d) alternate shell:s:rdpinit.exe

        OK,双击这个 RDP 便可直接打开远程桌面环境下的 Notepad 程序,显示的界面仅仅是 Notepad 的窗体,这样可方便的在本地和远程之间切换使用,像使用本地程序一样。运行状态如下面截图所示:

snipaste20161208_113207

        目前尚未解决的问题是无法执行 Office 应用程序,可能受限于授权模式,还有待继续研究!但是可以通过运行的Notepad调用Explorer定位到Office2016的程序路径打开执行。

Co3p9r4XYAAb_t8

针对 Windows 10 访问 Outlook 中 URL 的问题补充

        问题回顾《HOWTO: 解决 Windows 10 访问 Outlook 中的 URL 时提示"你要如何打开此文件" 》,微软官方的 KB3094186 确认Outlook 2007/2010 在 Windows 10 上设置 IE11 为默认浏览器时会导致相关注册表数据丢失而引发故障的发生。解决途径是使用微软的 easyfix 20155 进行修复,该修复工具其实是在注册表中对HTMLFILE新增了的“新开”指令。即“HKCR\htmlfile\shell”下新建名为“opennew\command”的项,其默认值为一段 CMD 指令“cmd /c start %1”,微软解释添加该指令后便可解决在 Outlook 中打开 URL 时总提示用哪个浏览器打开的问题,并且打开的 URL 会在当前 IE 的新选项卡中打开,以避免每点击一次 URL 都打开一个新的 IE 进程。当然,如果不介意的话,也可以直接指定 iexplore.exe %1 来执行。

        早先看到这个解决方案的时候就挺纳闷,为了解决是新选项卡还是新窗口打开就要通过 cmd 调用 start 来执行,有违程序设计和开发常理,实在不够严谨。果然,后续就遇到了问题!!!如果 Outlook 中邮件内容里的 URL 包含 & 符号,那么最终被打开的 URL 将会被自动截断,这是因为 CMD 环境下,也就是我们常说的命令行会将 & 符号识别为连续执行命令符号,也就是说会把 & 符号后面的内容识别为一段命令,结果可想而知!IE 在经过 CMD 和 Start 的辗转调用后,最终得到的 URL 已经面目全非!

error-demo

        如果我们试图为 %1 添加双引号,那么 Outlook 中的 URL 会完整的传递给 start ,但由于地址在双引号中,所以低级的 start 已经无法识别这个链接中的 http://,也就不会自动调用 IE 去打开 http 协议类型的内容,除非双引号中只有地址,例如:http://”www.contoso.com/index.do?method=view&fdid=158&notifytype=2”,可是要实现这样的格式写法恐怕不现实!(开发人员不会放过你的 Smile with tongue out

        折中的办法就是修改调用命令,改用 iexplore.exe %1 来执行,但引发的问题就是每次都要打开一个新 IE 进程,否则就改回 Edge 浏览器,因为使用 Edge 绝对不会遇到这个问题。鉴于 Office 2007 /2010 的主流支持生命周期因素,在 Windows 10 上还是尽量使用最新版的 Office 最为妥当!

troubleshooting

HOWTO: 解决 Windows 10 无法运行 exe 格式安装包

        基于 Windows 10 14393.0 制作用于批量部署的系统参考镜像,除了安装了基本的应用程序外,未安装第三方的防病毒或其他安全软件。但发现在系统上可以执行安装 MSI 格式的安装包,但注入驱动和小应用一类的 exe 格式安装包在双击后不会运行,也没有任何提示,通过任务管理器查看未发现在后台运行。在管理员模式的 CMD 下却能够执行,怀疑与用户账户控制(UAC)有关。随后调整 UAC 设置将从不通知改为默认设置后,exe 安装包能够运行,但是会被 SmartScreen 筛选器拦截,尝试修改 UAC 为从不通知,即关闭 UAC 功能,然后进入 设置 - 隐私 - 常规,关闭 SmartScreen 筛选器。

1

        为了彻底关闭 SmartScreen,还需要进入控制面板 - 安全和维护,更改 Windows SmartScreen 筛选器设置,确认“不执行任务操作(关闭 Windows SmartScreen 筛选器)”。

2

        通过上述步骤调整后,在 UAC 关闭状态下,已经够能正常执行 exe 格式安装包,后续步骤建议对系统完整性进行检测,确保非系统文件破坏所致,为此可执行如下命令行:

    DISM / Online / Cleanup-image / Scanhealth

    DISM / Online / Cleanup-image / Restorehealth

    Sfc / scannow

troubleshooting

HOWTO: 解决 Outlook 运行时打开 IE 提示保存 HTML 文件

        Outlook 2010 运行中打开 IE 会提示保存 HTML 文件,是的你没有看错。这类怪异的问题也让 gOxiA 遇到了,Outlook 只要运行着打开 IE 便会自动下载一个 HTML 文件,如下图所示:

error_OutlookAutoSaveHtml

        抛开恶意软件干扰,排除法测试到最后发现确实是 Outlook 引发的,但 Outlook 启动后并未打开什么异常的邮件,所以不会触发 Web 访问请求。为了解开谜题只能下载这个 HTML 文件进行分析,查看文件源代码发现确实是与 Outlook 有关,因为第一眼看到了 activityfeed 还以为是打开了 Outlook 高级选项里的 RSS 造成的,其实不是!

htmlcon

        目光重新关注到 SocialConnectorRes.dll 这个文件,看来是 Outlook 加载了什么插件引发的问题,随即检查 Outlook 加载项,果然发现了 SocialConnector 插件,禁用重启 Outlook 后故障消失。

Co3p9r4XYAAb_t8

HOWTO: 解决 Windows 10 访问 Outlook 中的 URL 时提示“你要如何打开此文件”

        近期部署的 Surface Pro 4 设备上发现大范围的出现一个故障问题,当访问 Outlook 中的 URL 时,系统会提示“你要如何打开此文件”,即使勾选“始终使用此应用”,但下次访问时仍旧会提示。

1

        当恢复默认浏览器为 Edge 后问题消失,对比前后注册表变化也未找到线索,考虑到 Office 不是最新版本,不排除存在兼容性问题。经咨询得知该故障为已知问题,系统环境满足以下条件时,可能会导致注册表数据丢失,故障便会发生。

  • Windows 10
  • 设置默认浏览器为IE11
  • Outlook 2010 或 Outlook 2007

        针对该问题,微软提供了自动修复工具,下载地址:http://aka.ms/easyfix20155 ,或进行手工修复,具体操作步骤如下:
1. 退出Outlook
2. 启动注册表编辑器
3. 定位到“HKEY_CLASSES_ROOThtmlfileshell”
4. 鼠标右键点击shell,选择新建“项”
5. 项名称为“opennew”
6. 在新建的"opennew"项下再新建一个名为“command” 的项
7. 在“command” 项下修改或新建Default字符串,值为“cmd /c start %1”,该命令会在新选项卡上打开超链接页面,如果希望在新窗口中打开超链接页面,则值为“c:\program files\internet explorer\iexplorer.exe” %1
8. 确定修改并退出注册表编辑器。  

Co3p9r4XYAAb_t8

为 Windows 10 强制启用暗黑主题

        自 Windows 10 年度更新发布后,gOxiA 就喜欢上了全黑色系的暗黑主题(Dark Theme),一股脑的将 Windows 和 Office 都设置为了全黑色,虽然是喜欢但实际使用中还是需要一个过程。默认情况下通过个性化设置众的颜色,便可开启深色主题,也就是我们常说的暗黑主题。但这个选项有时却很诡异的消失了。如下图所示,不知道是打了某个补丁的原因,还是因为更改了系统语言,而且提示貌似也并不搭边。这个时候恐怕只有手工修改注册表,才是最快速解决之道。

sp20161026_163527

        针对当前用户设置,我们只需要启动注册表编辑器,定位到以下路径,新建一个名为“AppUserLightTheme”的 DWORD32 值为“0”即可,这样便可禁用浅色主题模式,并自动开启暗黑主题。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Themes\Personalize 

snipaste20161030_192221

HOWTO: 重置 Windows 更新组件

[ 2016/09/16 23:07 | by gOxiA ]

windows-10-508x192-logo

HOWTO: 重置 Windows 更新组件

        这几天一直被 KB3189866 这个更新困扰着,两台设备都是卡在45%不再继续。像以往一样停止 Windows Update 服务去删除“SoftwareDistribution”目录发现有几个文件提示正在被使用无法删除,禁用 WU 服务重启再试无果。看来从 14393 开始 Windows Update 的运行机制发生了比较大的改变,貌似与“更新来自多个位置”有关,这个功能允许该电脑将以前下载的 Windows 更新和应用发送到本地网络上的电脑或 Internet 上的电脑,从而起到加快下载速度的目标。

        那么现在该如何正确的重置Windows更新组件呢?!首先要停止与更新相关联的所有服务,不再单单只是 Windows Update,需要停止的服务如下:

  • net stop bits
  • net stop wuauserv
  • net stop appidsvc
  • net stop cryptsvc

        然后删除更新相关目录和文件:

  • Del "%ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr*.dat"
  • Del “%systemroot%\SoftwareDistribution”
  • Del “%systemroot%\system32\catroot2”

        最后重新启动电脑,再次执行更新应该就能解决常见的更新故障,如果依旧有问题可以常识重置 BITS 和 WU 的安全描述符,为此执行如下命令行:

  • sc.exe sdset bits D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
  • sc.exe sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)

        也可以常识重新注册相关服务的动态链接库:

regsvr32.exe atl.dll
regsvr32.exe urlmon.dll
regsvr32.exe mshtml.dll
regsvr32.exe shdocvw.dll
regsvr32.exe browseui.dll
regsvr32.exe jscript.dll
regsvr32.exe vbscript.dll
regsvr32.exe scrrun.dll
regsvr32.exe msxml.dll
regsvr32.exe msxml3.dll
regsvr32.exe msxml6.dll
regsvr32.exe actxprxy.dll
regsvr32.exe softpub.dll
regsvr32.exe wintrust.dll
regsvr32.exe dssenh.dll
regsvr32.exe rsaenh.dll
regsvr32.exe gpkcsp.dll
regsvr32.exe sccbase.dll
regsvr32.exe slbcsp.dll
regsvr32.exe cryptdlg.dll
regsvr32.exe oleaut32.dll
regsvr32.exe ole32.dll
regsvr32.exe shell32.dll
regsvr32.exe initpki.dll
regsvr32.exe wuapi.dll
regsvr32.exe wuaueng.dll
regsvr32.exe wuaueng1.dll
regsvr32.exe wucltui.dll
regsvr32.exe wups.dll
regsvr32.exe wups2.dll
regsvr32.exe wuweb.dll
regsvr32.exe qmgr.dll
regsvr32.exe qmgrprxy.dll
regsvr32.exe wucltux.dll
regsvr32.exe muweb.dll
regsvr32.exe wuwebv.dll

        不要忘记重置 Winsock 可以解决大部分网络访问异常的问题:

netsh winsock reset

        同时微软也为我们提供了故障诊断程序,可以自动诊断并修复问题。

分页: 10/40 第一页 上页 5 6 7 8 9 10 11 12 13 14 下页 最后页 [ 显示模式: 摘要 | 列表 ]