人気ブログランキング |
カテゴリ:豆知識( 206 )
グループポリシーでUACを無効にする
グループポリシーでWindows7,VistaのUAC(ユーザーアカウント制御)を無効にする方法です。

[コンピュータの構成]→[Windowsの設定]→[セキュリティの設定]→[ローカルポリシー]→[セキュリティオプション]→[ユーザーアカウント制御:管理者承認モードですべての管理者を実行する]の値を 無効 にすればいいようです。

コンピュータの構成なので、ドメイン全体のGPOの設定するか、OUを作って、そのOUにコンピュータオブジェクトを追加する必要があります。

参考:
Windows Vista の UAC(ユーザーアカウント制御)機能を無効にしたい
by Jehoshaphat | 2013-03-25 22:34 | 豆知識
Javaランタイム(JRE)をグループポリシーで自動展開したい
Adobe FlashPlayerやReaderをグループポリシーで展開しようとすると、入手が面倒だったり、MSIとMSPがあったりと厄介でしたが、Javaはすんなり行きました。

手順は、Active Directory を使ってネットワーク経由で Java を配布する方法に書いてくれています。

全オペレーティングシステムの Java のダウンロード一覧からWindowsオフライン用インストールファイルをダウンロードし、実行します。
すると以下のテンポラリフォルダにMSIファイルが解凍されるのでそれを、グループポリシーの[ソフトウェア]インストールで設定するだけでOKでした。
・Windows Vista,7
C:\Users\ユーザー名\AppData\LocalLow\Sun\Java\jreバージョン名\jreバージョン名.msi
・Windows XP/2000
C:\Documents and Settings\ユーザー名\ApplicationData\Sun\Java\jreバージョン名\jreバージョン名.msi


参考:
Java のサイレント (無人) インストールの方法 バッチファイルで展開する場合はこのオプションが役立ちます。
by Jehoshaphat | 2013-03-20 22:09 | 豆知識
Adobe Flash Playerをグループポリシーで自動展開したい
グループポリシーの[ソフトウェア]インストール
AdobeReader Xをグループポリシーで自動展開したいと思ったけど。。でAdobeReaderの展開方法を書きました。かなり厄介でした。
今回はFlashPlayerの展開方法です。

これは簡単でした。

再頒布できるインストーラファイルを手に入れようとするには、アドビ - Flash Playerライセンスから申し込みをします。

そして、Adobeから送られてくるメールにあるURLをつついて、ダウンロードページに飛びました。
FlashPlayerの場合、AdobeReaderのようにメジャーバージョンだけMSIと言うことは有りません。
すべてのバージョンがMSIが提供されているので、それをダウンロードしてグループポリシーの[ソフトウェア]インストールで設定するだけでOKでした。


スクリプトを使ってサイレントインストール(自動更新もついでに無効)
Adobeから入手した再頒布インストーラファイルには、MSI形式以外にもexe形式のものもあります。
このexeタイプのインストーラをサイレントインストールする方法ですが、Adobe Flash Player 10.1をサイレントインストールする方法 - http://pnpk.netに載ってました。
/install もしくは -install をつければいいようです。

install_flash_player_11_active_x_32bit.exe /install


また、スクリプトを使って自動更新を無効にする方法ですが、Adobe:IT 管理:Flash Player 自動更新の設定によると、インストール先(x86 %WINDIR%\system32\Macromed\Flash\ , x64 %WINDIR%\SysWow64\Macromed\Flash)に、mms.cfg というファイルを作成し、その中にパラメータと値を指定してやればいいようです。
(2012年3月末にリリースされた11.2からは バックグラウンド自動更新機能が追加されました。それまではいちいちログオン時に更新通知が開いてユーザが手動でアップデートする必要がありましたが、11.2以降はその必要はないようです。)
パラメータと値は以下のとおりです。

AutoUpdateDisable=1
SilentAutoUpdateEnable=0


もし、バックグラウンドで通知を出さず自動更新させる場合は以下のようにします。

AutoUpdateDisable = 0
SilentAutoUpdateEnable = 1


更新通知のみをユーザに通知するには以下のようにします。

AutoUpdateDisable=0
SilentAutoUpdateEnable=0
AutoUpdateInterval=0 (更新チェック間隔 デフォor-1:7日 0:OS起動時 n:n日)


ただ、FlashPlayer11はDirectX9.0以上が必要なようです。
DirectX9.0未満だと、インストール時に「d3d9.dllが見つかりません」というようなエラーになります。
AdobeのページにはXP,IE7以上しか書いてませんが、IE6でもAcitveX版Flashはインストールできました。
ちなみに、XPでもSP2を当てると、DirectX9になります。
ということで、スクリプトにXP SP2以上かどうかという条件を加える必要があるかと思います。


FlashPlayerのバージョンですが、以下のレジストリから取得できるようです。
HKEY_LOCAL_MACHINE\SOFTWARE\Macromedia\FlashPlayer\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Macromedia\FlashPlayerActiveX\Version
HKEY_LOCAL_MACHINE\SOFTWARE\Macromedia\FlashPlayerPlugin\Version


参考:
ttp://www.adobe.com/special/products/flashplayer/fp_distribution3.html
Flash Playerの自動更新間隔をカスタマイズする: べつになんでもないこと
Flash Playerのバージョンを調べる - @IT
Flash Playerをバックグラウンドで自動更新させる - @IT
Flash Player の自動更新について - 特に重要なセキュリティ欠陥・ウイルス情報
by Jehoshaphat | 2013-03-20 21:46 | 豆知識
AdobeReader Xをグループポリシーで自動展開したいと思ったけど。。
(※AdobeReaderX時代に書いたメモですが、XIでも基本的には同じだと思います。)
最近よく脆弱性をつつかれるようになったAdobeReaderですが、最新版のXを自動的にドメイン参加している端末に展開したいというのが今回の要件です。

これが思いの他ハマリました。

インストーラの入手
まず、最近のAdobeは再頒布できるインストーラファイルをダウンロードさせないようになっています。
再頒布できるインストーラファイルを手に入れようとするには、Adobe Readerの配布から申し込みをしないといけません。

さて、申し込みが終わって、Adobeから送られてくるメールにあるURLをつついて、ダウンロードページに飛びました。
OS,言語、バージョンを選びインストーラファイルをダウンロードしたのですが、このインストーラファイルはexe形式でMSIファイルでないのです。
exe実行時にファイルを解凍してるっぽいのでテンポラリフォルダ覗いたんですが、MSIファイルが見当たりません。

MSIファイルでないとグループポリシーの[ソフトウェア]インストールの機能が使えません。
(グループポリシーの[ソフトウェア]インストールの機能を使わず、バッチでインストールするには、このexeタイプのインストーラでも可能です)


で、途方にくれてぐぐってみたら備忘録 : Adobe Reader X のmsiパッケージのダウンロード方法に情報が。。
ftp://ftp.adobe.com/pub/adobe/reader/win/10.x/10.0.0/ja_JP/ で10.0のMSIとexeが公開されているようです。
また、http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windowsのページにある、[Adobe Reader MUI 10.1 - Multiple Languages]のリンクからもマルチランゲージ版がダウンロードできるようです。(ZIP内に10.0のMSIと10.1のMSPが入っています)

ただ、AdobeはMSIファイルはメジャーバージョン毎にしか出さない方針のようです。
それ以降のアップデート(10.1とか、10.1.1とか)はMSPファイルで提供しています。残念なことにこのMSPファイルは、グループポリシーの[ソフトウェア]インストールの機能では配布できないんですよね。
ですので、結局アップデートをかけようとするとバッチに頼るしか無いんですよね。
MSPファイルのダウンロードですが、上記にも書いたhttp://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windowsの[Updates/Programs]以下からダウンロード可能です。


インストール(MSI,MSPは断念)
さて、インストールですが、MSIファイルはグループポリシーの[ソフトウェア]インストールで簡単に配布できます。

面倒なのが、MSPファイルによるアップデートですね。
これは既に書いたように、グループポリシーの[ソフトウェア]インストールで展開できません。
なので、ログオンスクリプトでバッチから実行するしか無いでしょう。
先ほどダウンロードサイトの参考先として取り上げたブログの備忘録 : AdobeReader9.4.1をグループポリシーでインストールを参考にしてバッチファイルを作って見ました。
しかし、どうもうまく行きません。1642のエラーコードが返ります。1642エラーはWindows インストーラ プロセスのエラー コードおよびエラー メッセージ一覧によると、アップグレード修正プログラムをインストールできません。アップグレードするプログラムがないか、またはバージョンが異なる可能性があります。アップグレードするプログラムがこのコンピュータにあり、アップグレード修正プログラムが正しいかどうかを確認してください。という意味のようです。

Adobe Readerをサイレント・インストールする - @ITの[Adobe Readerのパッチの自動インストール]の部分を参考にし、start /wait msiexec.exe /passive /norestart /update "\\sv\share\AdbeRdrUpd1011.msp" /log "%windir%\AdbeRdrUpd1011.msp.log" としてみましたが、これもダメでした。


インストール(exe編)
結局、再頒布版のexeをバッチでインストールすることにしました。
再頒布のexeに以下のように /? スイッチを入れると使える引数が表示されます。
AdbeRdr1011_ja_JP.exe /?
AdobeReader Xをグループポリシーで自動展開したいと思ったけど。。_e0091163_21433756.jpg



結局、バッチファイルで以下のコマンドを実行させるようにしました。

AdbeRdr1011_ja_JP.exe /sAll /rs /rps /l

グループポリシーのログオンスクリプトに設定するのであれば、ログファイルをチェックし、それが無ければ実行、あればスキップみたいな形にする必要があるかと思います。
これに関しては機会があれば書きたいと思います。。

また、サイレントインストールオプションにしても、exeから解凍中の画面は表示されてしまいます。



参考:
Adobe Readerをサイレント・インストールする - @IT
Adobe Readerの再配布版(スタンドアロン・インストール版)を入手する - @IT
MSIファイルをActive Directoryのグループ・ポリシーでインストールする - @IT
アップデートと配布に関する情報(Acrobat/Adobe Reader X)
Adobe Reader 9の無人インストール - ThanksgivingSoftの日記
ttp://get.adobe.com/jp/reader/enterprise/


追記:
カスタマイズツールを使うと、いろいろカスタマイズの設定したAdobeReaderインストールパッケージが作れるようです。
詳しくは、カスタマイズしたAdobe Reader Xのインストーラの作り方 - 自動アップデートなどを無効にしたり、インストール後のEULAを非表示にしたり。カスタマイズしたAdobe Readerのインストールパッケージの作り方 - 自動アップデートなどを無効にしたり、インストール後のEULAを非表示にしたり。を参考に。

Adobe Acrobat 9/Adobe Reader 9(Windows 版)インストーラのカスタマイズも参考になると思います。



さらに追記:
上述でMSPでのアップロードができないと書いてましたが、できました。
その後いろいろ調査していたら、http://kb2.adobe.com/jp/cps/839/cpsid_83982/attachments/Acrobat_Enterprise_Administration_J.pdfに詳しい情報が載っていました。

コマンドでインストールする方法を以下にまとめてみました。

まず、MSI,MSPファイルの用意ですが、get.adobe.com/jp/reader/enterprise/からダウンロードできる exe からMSI,MSPファイルを抽出することができます。(もちろん既出のサイトから個別にダウンロードしても構いません)

msi,mspを抽出するにはコマンドで以下のように指定します。

AdobeReader10の場合
AdbeRdr1013_ja_JP.exe -sfx_ne -sfx_o"C:\adobereadertmp"

AdobeReader9の場合
AdbeRdr950_ja_JP.exe -nos_o"C:\adobereadertmp" -nos_ne

9と10では解凍に使うオプションが違います。
以下のオプションが使用可能です。

9.x用  10.x用
-nos_ne -sfx_ne :解凍後にファイルを実行しない。 このスイッチは、ユーザーがインストーラーのコンテンツのみを抽出し、インストーラーを実行したくない場合に使用。
-nos_nd -sfx_nd :解凍後後にファイルを削除しない。(-r スイッチを上書き)。-r スイッチは、既存フォルダーを使用し、追加の抽出フォルダーを作成せずに同一のフォルダーに抽出ファイルを上書。
-nos_o  -sfx_o : 展開されたパッケージのコンテンツが置かれるフォルダー名を指定。フォルダー名は引用符で囲む必要がある。既存のフォルダーを使用しないことをお勧めします。また、「-nos_o」の後にスペースがないようにします
     -sfx_va : 成果物の解凍を検証します。

AdbeRdr1013_ja_JP.exe を解凍した場合、"AcroRead.msi"がベースとなるインストーラで、"AdbeRdrUpd1013.msp"がアップデート用の差分MSPパッケージになるようです。


次に、MSIファイルからインストールを行います。以下のような感じで指定します。

start /wait msiexec /i AcroRead.msi /passive /norestart /l "%windir%\AdbeRdr.log" ALLUSERS=TRUE EULA_ACCEPT=YES SUPPRESS_APP_LAUNCH=YES

そして /update オプションでパッチのmspファイルをインストールします。
AdobeReader10の場合は AcroRead.msi がインストールされていれば、パッチは最新の分だけ適用したので構いません。
(9の場合は試してないのでわかりませんが、もしかすると9.4.1 , 9.4.2 というふうに順々にアップデートしないといけないかもしれません)

start /wait msiexec /update "AdbeRdrUpd1013.msp" /passive /norestart /l "%windir%\AdbeRdrUpd.log" ALLUSERS=TRUE EULA_ACCEPT=YES SUPPRESS_APP_LAUNCH=YES

start /wait はインストールが終わるまでコマンドの実行を待つ意味なので、バッチファイルで実行するときはこのオプションを付けたほうが良いですね。
WindowsInstaller各オプションは以下のような意味になるようです。

/i : ベースとなるパッケージインストーラ(msi)を指定します。
/update : アップデート用のパッケージファイル(msp)を指定します。
/passive : インストールを自動実行。対話は不要だが進行状況が表示される。
/quiet : インストールを自動実行。対話は不要だが進行状況が表示されない(完全サイレントインストール)。
/norestart : 再起動が必要であっても最起動しない。
/l : ログを指定したパスに保存。
ALLUSERS=TRUE : すべてのユーザにインストール。
EULA_ACCEPT=YES : EULAに同意。(これにより初回起動時に使用許諾の同意画面が非表示になる)
SUPPRESS_APP_LAUNCH=YES : インストール後にAdobe Readerがすぐ起動されるのを防ぐ。


なお、アップデートパッチですが、get.adobe.com/jp/reader/enterprise/ からダウンロードしてインストールしたものは MUI 版じゃないとアップデートできませんでした。
多分ベースのインストールパッケージがMUI版だったためと思われます。
by Jehoshaphat | 2013-03-19 21:41 | 豆知識
富士通D581/Cをクリーンインストールしてみた
富士通D581/CというビジネスモデルのPCで、OSを間違ってWindows7 64bit版を買ってしまいました。
それをWindows7 32bit版でクリーンインストールしたんですが、いくつかのデバイスのドライバが不明だったので、そのメモです。

PCIシンプル通信コントローラ
これは、きおくのーおと:PCIシンプル通信コントローラ は Management Engine Interface Driveによると、Intel Management Engine Interface というものらしいです。
http://downloadcenter.intel.com/Detail_Desc.aspx?agr=Y&DwnldID=16953&lang=jpnからドライバをダウンロードしました。
セットアップを実行すると、「このシステムは、このソフトウェアをインストールするための最低要件を満たしていません。」と怒られます。
参考先にあるように、デバイスマネージャから [ドライバソフトウェアの更新]→[コンピュータを参照してドライバーソフトウェアを検索します]→[コンピュータ上のデバイスドライバーの一覧から選択します]→デバイスの種類はすべてを選択→[ディスク使用]で、セットアップが解凍したフォルダにある、MEI\HECI.inf ファイルを選びます。
これで、ドライバが入りました。


SMバスコントローラ
これはIntelチップセット・ソフトウェア・インストール・ユーティリティーを入れれば認識できるようです。(SMバスは低速のシステム管理通信に使用されているシステム・マネジメント・バスの事のようです)
http://downloadcenter.intel.com/Detail_Desc.aspx?agr=Y&ProdId=816&DwnldID=20019&lang=jpnからINFアップデートユーティリティをインストールすればOKです。

不明なデバイス
ハードウェアIDをみると、"ACPI\FUJ02E3" となってるので、これでググったら、パソコンとの格闘-覚書:FMVの不明なデバイスは、FUJ02B1とFUJ02E3に答え載ってました。
上記リンク先にドライバ入手先のサイトがありますが、リンク切れとなっています。
とりあえず、富士通のサイトで探したところ、http://www.fmworld.net/cgi-bin/driversearch/drvdownload.cgi?DRIVER_NUM=E1005488&COLOR=1にVsita x86版ですがドライバが有りました。
FMV 用ですが問題ないようです。
ダウンロードしたファイルを解凍し、不明なデバイスのプロパティのドライバの更新から、解凍したパスを選ぶだけで入りました。


LANドライバ
Realtek PCIe GBE/FE Family Controller LAN ドライバーからダウンロード→インストールします。

グラフィックドライバ
今回CPUにSandy Bridge 世代の Core i5 2400 をチョイスしてます。
Core i5 2400は HD2000 のGPUを内蔵してます。
なので、グラフィックドライバはIntelのhttp://downloadcenter.intel.com/Detail_Desc.aspx?ProductID=3231&DwnldID=20035&lang=jpnからダウンロードしました。
グラフィックドライバをインストールするまで、Aeroは使えませんでした。
by Jehoshaphat | 2013-03-17 22:32 | 豆知識
ESET Smart SecurityでJS/Kryptik.AHGを検知
相当久しぶりの更新です。なんやかんやで随分サボってましたorz


一週間ほど前になるんですが、とあるユーザが2ちゃんのまとめサイト(暇人速報)を見てて、ウイルス脅威アラートを検知しました。
ESET Smart SecurityではJS/Kryptik.AHGとして検知しました。

Chromeでアクセスすると、暇人速報はGoogle Safe Browsing APIによって危険サイトにされてしまっていました。
ちなみに、これと関係があるのかどうかわかりませんが、毎日jpやマイナビニュース、オリコンスタイル、はちま起稿、piaproなどもGoogle Safe Browsing APIでブロックされたようです。

さて、詳細を調査してみました。

プロキシのログを見るとどうやら、暇速内のフレーム(http://himasoku.com/ueko.htm)にから脅威となったURLにアクセスしたようです。
脅威となったURLは http://adf.send.microad.jp/ajs.php?zoneid=4331&snr=2&cb=92173025177&charset=_autodetect&loc=http://himasoku.com/ueko.htm&referer=http://himasoku.com/archives/xxxxxx.html となってました。

このajs.phpがどういう動きをしているのかわからなかったんですが、おそらくユーザエージェントやIPを判断して、悪質なJavaScriptをダウンロードさせるようなものだったようです。


このダウンロードされたJavaScriptコードをESET Smart Securityが隔離していたので、コイツを分析してみました。

JavaScriptの中身は通常の広告ページを表示するものと、noscript環境でimgを表示するもの(このimgのソースが昨今ESET検知で騒がれたd.href.asiaにアクセスしてました)、そして、文字コードの羅列で難読化された部分が存在していました。

難読化部分を解読すると、ブラウザやOSの情報を取得するメソッド、クッキーを追加・検索するメソッド、メインコードがあります。メインコードには、(ブラウザ==Firefox || ブラウザ==Explorer) && OS=Windows && 任意のクッキー(geo_idn", "c48a765e4f75baeb85f0a755fc3ec09c")が見つからない場合に、任意のクッキーを追加し、フレームでアダルト的な広告(http://adsmin.becompany.org/banners.cgi?advert_id=1&banner_id=2&chid=341aa8fca26bcff7830499c1c5f8e359)を表示するようになっていました。広告のリンク先は、http://senzapudore.net となっており、すでにコンテツが削除されていました。


結局、何か別のマルウェアをダウンロードするようなものでもなく、ESETがそのJavaScriptを実行前に隔離してしまったので、実害はなかったようです。


似たような事例がChrome 不正なソフトウェアによるサイトブロックに載ってました。

広告は悪用されるとホント怖いですね。。。
by Jehoshaphat | 2013-03-12 08:52 | 豆知識
プロキシの設定をするとWindows7でWindowsUpdateのエラーになる。
プロキシの設定をしたWindows7でWindowsUpdateを実行しようとすると、80072EFEや80072EEE,80072EFDのエラーとなります。

そういう場合、以下のコマンドを実行してIEのプロキシ設定をインポートするといいようです。

netsh winhttp import proxy source=ie


上記の設定をもとに戻す(リセット)するには以下のようにします。

netsh winhttp reset proxy


現在の設定を確認するには以下のようにします。

netsh winhttp show proxy

結果が、「直接アクセス」ではなく、インターネットオプションで設定したプロキシサーバーの値になっていれば設定完了しています。

なお、余談ですがWindowsアップデートが使用するドメインは主に以下となるようです。プロキシで以下のドメインへのアクセスは許可するようにしておきましょう。
windowsupdate.microsoft.com
download.windowsupdate.com
update.microsoft.com
download.microsoft.com
ntservicepack.microsoft.com
wustat.windows.com
v4.windowsupdate.microsoft.com
v5.windowsupdate.microsoft.com


参考:
Windows 7 のproxy接続環境でWindowsアップデートするとエラーになる
Windows設定関連/プロキシ経由のWindows Updateができない場合の対処
HTTP プロキシ経由の Windows アップデートを有効化する Windowsアップデートに必要なドメイン一覧。
by Jehoshaphat | 2013-01-04 01:36 | 豆知識
グループポリシーが使えないPCでプロキシの設定変更を禁止する
企業向けエディションでないWindowsを使っている場合、グループポリシーが使えません。
そのような場合で、IEのプロキシの設定変更を禁止するレジストリキーをメモしておきます。


・ユーザ個別でIEのプロキシの設定を書き換えできないようにグループポリシーで設定。
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
・すべてのユーザーでIEのプロキシ設定変更を禁止
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel

上記のキーにDWORD値で「Proxy」を作成し「1」に設定。(0にした瞬間設定変更有効となる)

by Jehoshaphat | 2013-01-04 01:24 | 豆知識
IE8で初期ウィザード無効にグループポリシー設定
IE7やIE8を入れたPCで、初めてIEを起動すると、[Windows Internet Explorer8 のセットアップ]というウィザードが立ち上がり、いろいろ設定しないと使わせてくれません。

これをグループポリシーで無効にする方法ですが、以下の設定からできるようです。

GPOの [ユーザーの構成]→[管理用テンプレート]→[Windowsコンポーネント]→[Internet Explorer]→[最初の実行時のカスタマイズの設定を実行できないようにする] を有効にするといいようです。

この時、ユーザのホームページへ移動するのか、InternetExplorerへようこそWebページに移動するのかを選べます。
by Jehoshaphat | 2012-12-09 00:57 | 豆知識
グループポリシーで設定したログオフスクリプトのプロンプトを表示したい
グループポリシーで、任意のバッチファイルを実行させてますが、プロンプトが表示されないため長い時間がかかる処理をしていると進捗がわからず不便です。

で、ログオフスクリプトのプロンプトを表示させるのもグループポリシーでできそうでした。

GPOの [ユーザーの構成]→[管理用テンプレート]→[システム]→[スクリプト]→「実行中のログオフスクリプトを表示する」を有効にするといいようです。


参考:
ログオフ時のスクリプトの実行を画面表示する方法 - Windows Server Insider - @IT
by Jehoshaphat | 2012-12-08 01:56 | 豆知識