0 Microsoft Tech‧Ed 2005 Day2

今天一大早第一堂的Security Session就有Steve Riley的演講

經過昨天的洗禮，我很直覺得認為今天這堂當然也一定要聽



早上九點的課，所以今天的出席狀況沒有昨天踴躍

也因此我明明是坐在會議室的第四排，可是因為前排都沒人所以這排就直接變成第一排了



Steve一開場先跟大家問了聲早安好，現在真的很早之類云云

然後突然跑過來問我今天幾點起床的

「我？我八點起床的啊」

「八點？現在才九點耶？你動作真快，是昨天晚上就睡在這邊嗎？」

「當....當然不是」

「可是我是耶，我睡在隔壁那棟飯店」

Humm，美國式幽默，這OK啦，我還能會心一笑　(￣▽￣)



今天的議題重點是，對管理者來說Active Directory架構很好用

可是對一般使用者來說，限制多多的Active Directory總是讓使用者不願意加入AD Domain之下受控管

那，該怎麼去強迫所有使用者不得不加入Domain？

Steve以他身為Microsoft Globol Intranet with Security的始作俑者身份

開始向我們解釋他如何在一個有超過60000個Administrator的組織底下強迫所有人加入Domain受管制的經驗談



答案是IPSec



詳細的技術細節懂的人就懂，不懂的人我相信也沒有興趣所以就不解釋了

總之，當你設定了控管資源的Server只能使用IPSec進行通訊的時候

所有需要存取這些資源的電腦就必須加入IPSec的架構之下

許多人誤以為IPSec的重點在於加密，其實不然，IPSec機制本身是沒有加密的

IPSec的重點是整個通訊的傳輸過程都是有Certificate驗證認可的

這個驗證的機制也就是所謂的Kerberos，可魯貝洛斯驗證(要叫他地獄三頭犬或地獄守門犬也行....反正就是那隻狗啦　XD)

而在微軟的環境之下，要使用Kerberos驗證只有一個方法

那就是啟用Active Directory、並啟用Certificate服務

於是使用者為了要能進行通訊必然要使用IPSec，為了使用IPSec必然要加入Domain



那麼，還有誰會不來加入Domain？



答案是壞人，壞人因為要做壞事所以會不肯加入Domain

然後你就可以把壞人抓出來，再來要幹嘛就隨你了



於是問題解決了？嗯，乍看之下如此

可是這是在公司高層認定要這麼做、同時主事者也願意這麼做的狀況之下

要是一家公司的老闆自己都不肯加入Domain、堅持用Local Administrator登入自己的Notebook

然後系統管理者們也都因為用的是自己的Notebook，因為不想讓環境亂掉所以不願意Join Domain

那就變成只有少數受管理的人才會加入Domain，那麼AD的正面效果就很難發揮出來了

而當這家公司人數不到20人的時候，更是會讓人懷疑幹嘛要用這麼麻煩的AD架構？



很不幸的，弊公司正是這樣的公司，不才小弟我就是哪個自己都不加入Domain的惡劣管理者　OTZ



聽完這場演講，我重新思考了一下自己是不是該調整一下想法比較好

不然身為管理者，自己都不肯加入Domain了，你該如何管理其他人的機器呢？





這堂課還另外提到一個近來熱門的話題 - 802.1x

許多設備廠商告訴大家，802.1x很好、很好、非常好(廢話，不好幹嘛花錢買)

可是這802.1x其實是給Wireless環境用的，在有線環境下不但不安全反而很危險



另外還有一個有趣的例子是關於Client端使用的防火牆

當有惡意使用者Plug-in到組織的網路裡面偽裝成其他機器的時候

原本惡意使用者會因為異常的3-Way Handshake導致偽裝失敗

可是這時候卻反而因為防火牆而幫了他大忙

於是我們為了安全的理由所佈署的防火牆反而把網路變成不安全了





這堂課聽完以後，我在外面賣書的地方買了本Steve和Jesper合著的"Protect Your Windows Network"

然後跑去找他們兩個要了簽名(好貴....這Addison Wesley的書好貴....比FF7AC的DVD還貴....)

賣書的大姐還很好心的給了我張會員卡



啥？"天瓏資訊圖書"？



去....我就知道....我就知道這書在重慶南路一定有的買　OTZ

可是不在現場買就不能跟他們要簽名了，所以也沒啥好抱怨的了....





中午的時候有遇到先前一起在公司工讀的智凱

雖然我們共事的時間不過一個寒假而已

不過畢竟是同個系又同一屆的，久未見面當然跟他聊了聊



智凱是個很厲害的人

在我還沒意識到自己到底有沒有需要取得一張證照的時候，他就已經是個合格的MCSE了

技術方面當然沒話說，而且還和許多微軟的講師都很熟絡

托他的福聽到了不少微軟和微軟合作教育中心的黑歷史

和智凱聊了聊工作上的一些狀況，才知道長期投身在微軟IT Infrastructure之下的他

其實已經對這個領域感到相當厭倦了，所以這次Tech Ed他所聽的課程都是Develop相關的課程

而我則是因為取向不同所以都挑Security的課程來聽(我承認也有專挑外國人演講聽的傾向....)

聽智凱說，SQL Server 2005那個面向也有外國人演講

不過演講的傢伙只是在照本宣科介紹產品而已沒什麼意思



聊的差不多了，互相鼓勵了一下對方就繼續各自的路線了



下午的課程，實在沒啥意思

上了兩堂講述AD的課、一堂ISA 2004的課

大概了解微軟新推出的Federated Certificate是什麼東西了

對於Longhorn Server上的AD會進化出什麼樣子也有了大概的輪廓

ISA 2004的課程也讓我比較清楚使用ISA 2004的目的與意義何在



不過除了ISA 2004的講師講的比較有架構(唔，不愧是橫毅的資深講師....)

其他兩個人....嗯....講的真的不太有吸引力

完全感受不到為什麼要採用新的AD架構，新的架構又有何優勢....





結果，今天最大的收穫是花了一千五買了一本有作者簽名的好書

然後發現微軟的Tech Ed Show Girls有兩個女生好可愛，尤其是2號和3號(爆)

2號妹妹雖然指錯路出糗的樣子有點台，可是台起來的樣子有萌

3號妹妹是笑起來很甜、很有氣質，多看幾眼就讓我不小心小鹿亂撞了起來(倒)





結果我今天到底去台北國際會議中心幹嘛的？　OTZ











啊，我知道我去幹嘛的了









看著手上提著的這袋在101樓下Yamazaki買的麵包

我很清楚的知道自己今天是去買咖哩麵包的....(大爆)