修复:
注册表里修改:计算机\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Serialize
新建或修改"WaitForIdleState"数值为 0 ,"StartupDelayInMSec"数值为 0
参考:
https://www.reddit.com/r/WindowsHelp/comments/1hmthjg/upgraded_to_windows_11_huge_delay_with_startup/?tl=zh-hans ]]>
]]>
Windows 下除了 ConEmu 还有什么轻量型的 Bash 终端吗?
]]>背景诉求
在公司访问家里的 Windows 开发机,用来浏览器查阅资料、微信、Typora 笔记、Termius 等。
目前的现状是:
- 公司环境: 电脑安装了监控软件,限制安装额外微信、代理/组网软件( VPN / Tailscale / ZeroTier 全部不可安装),网络无公网 IPv4/IPv6 。
- 家庭环境: PVE 虚拟化的 Windows ,只有 IPv6 公网。
核心诉求是
- 在公司 通过 RDP 或 Web 访问家庭 Windows
- 日常操作流畅(打字、拖窗口不卡)
- 安全性优先,最好支持 MFA
- 尽量不“触发公司风控规则”
资源和约束
资源
- 日本大板服务器 ×2
- IPv4 + IPv6
- 公司 ↔ 日本 ≈ 200ms
- 家庭 ↔ 日本 ≈ 200ms
- 樱花 FRP / 其他公益 FRP
- 延迟 ≈ 40ms
约束
- ❌ 公司电脑:不能装任何额外客户端(目前连 Tailscale 都不敢继续用)
- ❌ 家庭 Windows:只有公网 IPv6
- ✅ 优先 RDP ,其次 Web
- ✅ 日常使用要求流畅
- ✅ 安全性要高,最好有 MFA
- ✅ 可选资源只有:日本服务器 / 公益 FRP
方案对比
| 方案 | 访问方式 | 客户端依赖 | 延迟 | 安全性 | 结论 |
|---|---|---|---|---|---|
| 日本服务器 + Guacamole | Web | 无 | 高 | 高 | ⚠️ 可用,但体验一般 |
| FRP + 家庭 Guacamole | Web | 无 | 中 | 高 | ⚠️ 可用,但体验一般 |
| FRP + SSH 隧道 + RDP | RDP | 无 | 低 | 高 | ✅ 最优解 |
| FRP + RDP + multiOTP | RDP | 无 | 低 | 很高 | ⭐ 可叠加 |
| 公益 FRP 内置 TOTP | RDP | 无 | 低 | 高 | ⚠️ 依赖定制 FRP |
最终选择:公益 FRP + SSH 隧道 + RDP
整体架构
公司电脑(自带 SSH 客户端) │ │ ssh -i key -N -L 13389:WIN:3389 ▼ 公益 FRP ( TCP 高位端口) │ ▼ PVE · Debian 跳板机 │ · 仅 SSH key │ · 仅允许访问 Windows:3389 ▼ 家庭 Windows ( RDP ) 核心原则
-
❌ Windows 不暴露公网
-
❌ Debian 不能随意访问内网
-
❌ 禁止密码登录
-
❌ 不使用 22 / 3389 等常见端口
-
✅ Windows 启用 NLA ,使用非管理员账户
✅ 可选叠加 Windows 端 MFA ( multiOTP )
-
✅ 所有流量必须:FRP → SSH → 指定 RDP
-
✅ SSH 权限最小化(只做端口转发),通过防火墙锁死出口,只允许访问 Windows 的 3389 ,防止跳板机沦陷后内网被横向渗透。
公益 FRP + SSH 隧道方案实施
基础设施搭建
跳板机系统选择
- Debian 12 minimal
- 1C / 2G / 32GB 磁盘足够
基础系统加固
apt update && apt upgrade -y apt install -y openssh-server ufw fail2ban curl 用户职责划分
为了安全,我们将“管理权限”和“隧道权限”分开。
tunnel:只允许端口转发debian:运维备用账号
# tunnel 用户:仅用于建立隧道,无 Shell 权限 adduser tunnel usermod -aG sudo tunnel # debian-cc 用户:管理员,用于维护系统 adduser debian usermod -aG sudo debian SSH 安全加固
tunnel 用户(公司 → 跳板机)
在公司电脑生成密钥对,将公钥上传至 Debian 的 /home/tunnel/.ssh/authorized_keys
ssh-keygen -t ed25519 -f id_frp_ssh authorized_keys 中强制限制能力:我们需要配置 SSH ,使得公司电脑连接时,只能做端口转发,不能执行命令,且只能转发到家里的 Windows IP 。
restrict,port-forwarding,permitopen="192.168.31.120:3389" ssh-ed25519 AAAA... 这个 key:
- ❌ 不能 shell
- ❌ 不能转发其他端口
- ✅ 只能指向 Windows RDP ,即使黑客拿到了私钥,他也连不上内网的其他设备
SSH 服务端限制
编辑 /etc/ssh/sshd_config,修改 SSH 端口为高位端口(防扫描),并禁用密码登录。
Port 53822 # 高位端口 PermitRootLogin no # 禁止 Root PasswordAuthentication no # 禁止密码 ChallengeResponseAuthentication no PubkeyAuthentication yes # 只认 Key AllowUsers tunnel debian # 白名单用户 # 针对管理员:允许 Shell ,禁止转发 Match User debian PermitTTY yes AllowTcpForwarding no # 针对隧道用户:禁止 Shell ,限制转发目标 Match User tunnel AllowTcpForwarding yes PermitOpen 192.168.31.120:3389 X11Forwarding no AllowAgentForwarding no PermitTTY no 配置完成后重启 SSH 服务:systemctl restart ssh
防火墙策略
验证原则只有一条:
跳板机只能访问 Windows ,不能访问任何其他内网。
# 1. 默认策略:拒绝入站,默认允许出站(稍后限制) ufw default deny incoming ufw default allow outgoing # 2. 允许 FRP 流量进出( SSH 端口) ufw allow 53822/tcp # 3. 精细化出站规则 (Output Chain) # 允许 Debian 访问 Windows 的 RDP ufw allow out to 192.168.31.120 port 3389 proto tcp # 允许访问网关 (DNS/路由需要) ufw allow out to 192.168.31.1 # 拒绝访问内网其他所有 IP (防止横向移动) ufw deny out to 192.168.31.0/24 # 启用防火墙 ufw enable Fail2ban
配置 /etc/fail2ban/jail.local 监控 53822 端口,错误尝试 2 次即封禁 24 小时。因为公网暴露 SSH 必然会被扫描,这是最后一道防线。
[sshd] enabled = true port = 53822 maxretry = 2 bantime = 24h 关于 Windows 安全的建议
虽然 RDP 不暴露公网,但还是建议对目标 Windows 进行加固:
- **启用 NLA (网络级别身份验证)**。
- 创建非管理员用户用于远程登录。
- 强密码策略。
- (进阶) 配合 MultiOTP 软件,在 Windows 登录时强制要求 MFA 动态口令,进一步提升安全性。
内网穿透配置 (FRP)
使用低延迟的国内公益 FRP (如樱花 FRP / Nyat 等),将 Debian 的 SSH 端口暴露出去。
安装 FRPC
# 切换到 tunnel 用户安装,避免使用 root su - tunnel wget https://github.com/fatedier/frp/releases/download/v0.56.0/frp_0.56.0_linux_amd64.tar.gz # ...解压并移动到 /usr/local/bin/frpc 配置文件 (/etc/frpc.toml)
我们**不直接穿透 RDP (3389)**,而是穿透 **SSH (53822)**。
serverAddr = "rdp.example.com" # FRP 服务端地址 serverPort = 7000 user = "your_user_id" auth.token = "your_token" [[proxies]] name = "tunnel_ssh" type = "tcp" localIP = "127.0.0.1" localPort = 53822 remotePort = 53389 设为系统服务
创建 /etc/systemd/system/frpc.service 并启动,确保断电重启后自动上线。
公司电脑使用方式
在公司电脑上,不需要安装任何软件,只需要一个 SSH 私钥文件(id_frp_ssh)。
建立隧道
打开 PowerShell 或 CMD:
ssh -i id_frp_ssh -N \ -L 13389:192.168.31.120:3389 \ -p 53389 tunnel@frp.example.com -N: 不执行远程命令(仅转发)。-L 13389:IP:3389: 将本地的 13389 端口映射到家中 Windows 的 3389 。
连接 RDP
打开 Windows 自带的“远程桌面连接”
mstsc → 127.0.0.1:13389 实际体验
- 延迟: 既然走的是国内/周边节点的 FRP ,物理延迟极低(约 40ms ),打字跟手,拖动窗口无残影。
- 安全: 公司防火墙只看到一个普通的 TCP 连接;所有数据经过 SSH 加密;家里的 Windows 没有任何端口暴露在公网。
- 合规: 没有在公司电脑安装任何未经授权的
.exe或 VPN 客户端。
求问一下 exe 安装包有什么好的方案塞到镜像里吗,目前发觉是虚拟机里安装完再 sysprep 问题挺多的 ]]>
晚上回家偶尔远程桌面过去。
第二天到公司就会发现,那些网页上都无法输入文字了,按键就卡死一段时间。
看起来是为了 RDP 会话做了什么画蛇添足的优化,很不方便。
]]>在外部(主力 iOS/Windows ,偶尔 Android )连上 Windows 主机。
家里环境
- 路由器:有公网 IP ,有域名
- NAS:做了 DDNS ,本地做了反向代理 + 路由器端口映射了各种 docker 服务
- Windows 主机
目前使用过的方案
1. ToDesk
- 使用体验:无雷点
- 问题:2025 年开始需要付费,免费版每个月使用 1 分钟就强制下线
2. 向日葵
- 问题:被控设备显示器关闭后,控制端无法显示画面操作,等于用不了了
打算调研的方案
方案 1:NAS 自建 RustDesk 服务器
- Windows 开设客户端,外部设备下载客户端访问 Windows 主机
- 疑问:不知是否可行,还是说要在 Windows 里建立服务器才行?
方案 2:Windows 原生 RDP 服务
- Windows 开启原生 RDP 服务
- 路由作端口转发 3389 到一个特定大端口
- 外部通过
域名+大端口访问 - 疑问:不确定安全性
方案 3:OpenVPN + RDP
- 疑问:不知是否有必要
方案 4:Parsec
- 问题:无 iOS 客户端
用的 win10 中文 terminal 在开始菜单中显示的是终端 在英文版系统中,我只需按下 Win 键,然后输入 "T",开始菜单就能立即列出 Terminal 应用。但在中文版中,由于应用名称是中文,这个快速索引方式就失效了。
请问有没有什么方法,比如创建别名或重命名,让我能够通过英文名称在开始菜单中快速访问这个应用?
目前网上查询过一种直接改应用名的,但是可能由于 terminal 的特殊性,并不能直接在开始菜单重命名
]]>现在又发现了类似优酷软件里有“GPU 加速”,网易云音乐里也有。默认都是开启的,都很卡,优酷看着只有 14fps 。网易云音乐也卡,各种动画就几帧。
然后如果关闭 GPU 加速,反而可能有个 40FPS 。 ]]>
最好有拦截日志可以查看
最好只有防火墙功能就 OK 了,其他乱七八糟的用不着
新程序首次联网时必须有弹窗,手动确认是否允许放行
目前试用了:
GlassWire 免费版基本不算有防火墙
ZoneAlarm 只提供一个下载器 没有安装包,感觉下了个操作系统 安装极其困难
TinyWall 算是很不错的防火墙,但新程序不弹框直接被拦了,没有选择余地,官网有写“The no-popup approach”原因,但就是难用
至于 Windows Defender ,不太会用 太难了,允许软件自己加规则 反人类,还得跑到 gpedit.msc 里面的防火墙去阻止😂 鬼知道这里面还会不会被什么地方篡改
]]>真的假的, 这么大问题没人提阿
关键是, 关不掉这种默认虚拟机方式
我反正以前装过两次 win11, 很快受不了都换成 win10 了, 近 3,4 年再没试过
]]>核心现象
- 未打某次 Windows 更新前,老软件(如 MDBPlus.exe )能正常连接无密码 MDB ;
- 更新后,所有依赖 Jet OLEDB 4.0 的老软件均报
Not a valid password,但 32 位 PowerShell 手动加Jet OLEDB:Database Password=;声明空密码,能正常访问 MDB ; - 回滚更新后恢复,重新更新问题复现。
已尝试的修复(对老软件无效)
- 重新注册 SysWOW64 下 Jet 相关 DLL ( msjet40.dll/msjetoledb40.dll 等);
- 补全 Wow6432Node 下 Jet 的 CLSID/ProgID 注册表项,权限配置正常;
- 修改 Jet 4.0 引擎注册表,禁用加密验证( Encryption=0 );
- 老软件以 Win7 兼容模式+管理员权限运行。
关键疑问
- 微软在 Win11 25H2 更新中,是否故意调整了 Jet OLEDB 4.0 的密码验证逻辑(比如强制显式声明空密码)?
- 这种调整是推动迁移 ACE 驱动,还是兼容性疏漏?有无官方说明?
- 对无法改连接字符串的老软件,除回滚更新外,还有底层修复方案吗?
Jet OLEDB 4.0 已是 20 多年老组件,实在费解微软为何改动验证逻辑,求大佬解惑!
]]>只要锁上屏幕了,无论有没有合上盖子,2,3 分钟内,能感受到 cpu 被拉满,不知道在做什么,风扇声音很大,
一般怎么来排查?
早上看了一会儿"任务计划程序",也并无什么价值发现,
觉得有可能是某些进程所为,
是否有软件可以监测?
日志太多了,也没什么感叹号,报警之类的发现
也有年付卡巴斯基在运行着,最近半年也没装过新软件 ]]>
好奇目前 Windows 11 on ARM 软件生态能用了吗?
比如后端研发用途,可以 win11 on ARM 可以替代 传统 win11 on amd64 了吗? ]]>
A. 至今最新版显卡驱动仍然偶尔复现
a. Chrome 偶尔 freeze ,具体表现为上半屏不再更新,下半屏继续滚动。按一下 Win 键能触发屏幕更新后正常。
b. 由英文输入法切换到中文输入法(均为 Win11 自带)后,Chrome 中无法输入,此时鼠标点击 url 栏无法触发文字选择。只能重启 Chrome 解决。
B. 至今最新版显卡驱动已修复
a. B 站全屏后按 Ctrl+W 直接在全屏关闭页面会让显卡卡死,此时按 CapsLock 会自动熄灭。只能重启系统解决。
C. 未测试现在是否有问题
a. (和 Chrome 无关)某一个 Minecraft 整合包在退出时会产生 B.a 的问题。
A 卡的 Bug 确实多,修复也慢。各位有遇到过相似问题吗?有没有什么解决方法?
]]>
但最近两个月系统开始经常在开机后蓝屏重启,连续三四次都是不一样的错误代码。在远程桌面连过一次之后也容易死机需要强制重启。但是如果正常开机了,不管是连续开机一周还是长时间高负载工作/打游戏都没出过问题。这就非常诡异
再加上系统自带的杀毒软件把 NUC 控制中心当病毒杀了,然后 Windows 自动更新下载回来无限循环(后来手动关了有问题的补丁);以及输入法总是在切窗口后变成中文这些小问题。我就打算趁周末通过重装系统来解决可能的 99%的问题。
更了 25 年 8 月最新的 BIOS 后。刚装完系统还在更新驱动,重启电脑就又蓝屏了……这下可能只有重买能解决问题了。考虑并排查下可能的故障源
- Windows11 25H2 的 bug
- CPU 缩缸了
- 内存不稳定
- 显卡故障
- 750W 电源带不动
- 工包固态故障
- 主板故障
- 其他外设的问题,比如 USB 指纹识别器
先拔掉显卡和一根内存,换用之前的 24H2 镜像重做系统(减小可能故障面,在有更新的情况下开关机时蓝屏会导致更新失败,出更玄学的问题)成功后开始排查硬件问题:
B 站有个 CPU 缩缸的测试办法:7zip 性能测试,跑了一小时正常。Memtest 跑内存也没报错。在做完以上所有事情后整个周末被蒸发了……
今天又装了些软件,重启了几次。遇到了两次开机时蓝屏。这时候想到可以用 AI 来分析错误日志:用 windbg 解析蓝屏的 dmp 文件( C:\Windows\Minidump 下),将结果交给 AI 分析,得到结论是:"系统在尝试停止一个 Hyper-V (虚拟化) 相关的定时器时,CPU 执行了一条当前级别不允许的指令。这通常指向 BIOS/UEFI 固件与 Windows 虚拟化功能之间的兼容性问题,或者底层硬件电源管理( C-State )在虚拟化环境下的 Bug 。"
问题范围被缩小到了驱动/系统 bug/cpu 故障。AI 建议我关掉 C-State ,可是 BIOS 里没找到选项。等下个周末继续折腾吧
之前看到 Win11 各种 bug 的新闻觉得有些危言耸听,这次彻底被恶心到了
附 1:为什么 750W 电源带 14900K+5090……NUC 闲鱼买来的时候就是 14900K ,BIOS 限制了 150W 运行。而 5090 在调了电压后满载功耗不到 450W 。日常使用几乎不可能同时满载 CPU 和显卡,所以 750W 电源勉强能用,就是显卡只能发挥 85%性能。要升级电源只能选海盗船 SF1000 ,还要海淘特殊转接线才能用。(今天淘宝发现有国产转接线了,已下单电源和定制线)
附 2:触发了一个微软账户的 bug:创建本地账户再换微软账户登录后,开机密码还是之前本地账户的,而不是微软账户密码;并且微软设备页也找不到新设备。Windows 安全中心提示未登录微软账户,但是登录页面报错。登录了账户但没完全登录。我因为这个问题尝试了多个版本系统。
附 3:这次重装系统后 OneDrive 稳定性非常差,动不动就闪退。遗留的快捷方式文件和个人保险库冲突还自动改名了。去官网重新下载了 OneDrive 后有所改善
]]>- 听评论说 win11 很慢, 而且逆优化很多, 请问现在的最新 win11 版本修复了这个问题吗?
- 我直接通过 window update 从 win10 升级到 win11 的话, 会不会出现兼容问题?
- window update 显示的升级后的版本是 23H2, 系旧版本 win11, 我升级到 23H2 后是否能继续升级到最新版的 win11?
- 升级后如果还是对 win11 不满意的话, 能否轻易地回滚到原来的 win10?
谢谢
]]>这个功能开启的时候默认保留所有的版本,然后最近磁盘满了,准备清理一下,使用系统的清理功能就会提示:[Window Title]
文件历史记录清理
[Main Instruction]
无法清理文件历史记录数据
[Content]
找不到元素。
[关闭(C)]
在网络上检索了一下,从 19 年的 win10 开始就陆续有人报告这个问题,解决方法都是说 sfc 或者 dism 修复系统,或者说卸载最新的补丁,试了一下均没有效果。
发个贴看看大家有没有遇到一样的问题,如果准备/正在用的可以试试手动清理旧版本备份,试试会不会卡“找不到元素”,免得像我一样磁盘满了才发现这个问题。 ]]>
只需要基本功能的话,选择太多了,看花老眼
哪一款体验比较好,插件生态好
]]>
]]>