- 1【AI落地应用实战】如何让扫描工具更会思考——智能高清滤镜2.0实战测评
- 2看不懂花书?博士教你如何深入深度学习,从编程基础到完整的项目实战
- 3C语言之联合和枚举_c语言枚举和联合
- 4密码系统的安全性
- 5cmd 启动 jar包设置成 桌面的 .bat文件_windows 运行的 java -jar 服务 变成 bat
- 6RayLink远程控制软件【文件传输】功能正式上线!!!_raylink连接同一网络中的电脑
- 7div html表格样式,table 表格 div + css 样式
- 8Android继承View,获取onDraw()方法的图像_android draw 方法 画的元素 怎样获取
- 9跨平台编程:在Conda中搭建R语言环境的终极指南_conda创建r环境
- 10IntelliJ IDEA 2023.3发布,AI 助手出世,新特性杀麻了!
机器安全配置_nt lm security support provider
赞
踩
WinXP2K鲜为人知的安全命令
在Windows XP和Windows 2000系统中有一个我不一般不常用,但是功能强大的命令,那就是:syskey命令。
这个命令可以有效地增强你的系统安全性。也许你要说不是进入Windows XP或Windows 2000的时候已经要输入帐户和密码了吗,这样还不安全吗?著名的WIN 2000的输入法漏洞你总该听说过吧,如果你的电脑是多人使用,其他人完全可以通过破取他人的简单密码来进入系统,利用种种漏洞来获取管理员权限。有了 syskey制作的加密软盘,你就可以完全放心的使用2000和XP了。下面我们来看看syskey命令的用法。
一、双重密码保护的设置
1.在开始菜单的“运行”中输入“syskey”,点击确定。
2.这个界面所提到的帐户数据库便是NTFS加密的原理所在,对于我们一般用户,不需要去研究原理,我们只要会用就好。下一步点击“更新”。
3.这里我们选择密码启动,输入一个密码,然后点击确定。这样做将使WINXP在启动时需要多输入一次密码,起到了2次加密的作用。操作系统启动时在往常我们输入用户名和密码之前会出现窗口提示“本台计算机需要密码才能启动,请输入启动密码”。这便是我们刚刚创造的第一重密码保护。
二、密码软盘的制作
1.如果我们选择"在软盘上保存启动密码",这样将生成一个密码软盘,没有这张软盘,谁也别想进入你的操作系统.当然,如果你之前设置了syskey 系统启动密码,这里还会需要你再次输入那个密码的,以获得相应的授权,这有点类似我们在更改QQ密码的时候,必须要知道原来的密码一样。
2.然后系统会提示你在软驱中放入软盘,当密码软盘生成后会出现提示。
3.然后我们再次启动系统,这时系统会提示你插入密码软盘,如果你不插入软盘就点击确定,系统是不会给你放行的。
插入密码软盘,根据不同帐户,输入不同的密码。同时如果你愿意,密码软盘中的密匙文件是可以复制到其他软盘上的。
三、去除密码软盘的高安全性要求
假如有一天,你对操作系统的安全性要求不那么高了,而你也厌烦了每次进入系统都需要插入软盘,怎么办?选择“在本机上保存启动密码”就可以了,当然,进行这一步操作你必须要有存有密匙的软盘,这与密码软盘制作时要求输入授权密码是一个道理的。
如果你对生成的密码软盘中的密匙文件感兴趣,你还可以进一步去研究软盘中的那个文件。
简单而有效地加密方式,赶快试试吧!
Winzip存在多个缓冲区溢出漏洞
受影响系统:
WinZip 3.x
WinZip 6.x
WinZip 7.x
WinZip 8.x
WinZip 9.x
漏洞描述:
Winzip存在多个潜在安全漏洞,可危及用户系统安全。
1) 一些未明漏洞可导致缓冲溢出。利用这些漏洞可能导致执行任意代码。
2) 一个问题导致事由于未正确确认命令行参数,通过使用特殊构建的参数可导致缓冲溢出和可能执行任意代码漏洞。
补丁下载:
http://www.winzip.com/upgrade.htm
防火墙日志记录让蠕虫病毒无处可逃
日志功能是防火墙很重要的功能之一,但是很多人却并不重视,也从未仔细研究过日志的内容。日志记录看似枯燥的数据(如图),其实提供了大量宝贵的第一手资料,可以帮助我们更好地管理和维护网络。
近日经实践发现,利用天网同样可以知道哪台计算机中了“尼姆达病毒”。下面就以两个典型的天网日志为例,加以分析,供大家参考。
范例一
天网日志如下:
[11:58:08] 10.100.2.68试图连接本机的NetBios-SSN[139]端口,
TCP标志:S,
该操作被拒绝。
[11:58:11] 10.100.2.68试图连接本机的NetBios-SSN[139]端口,
TCP标志:S,
该操作被拒绝。
[11:58:17] 10.100.2.68试图连接本机的NetBios-SSN[139]端口,
TCP标志:S,
该操作被拒绝。
[11:58:18] 10.100.2.74试图连接本机的NetBios-SSN[139]端口,
TCP标志:S,
该操作被拒绝。
特征:某一IP连续多次连接本机的NetBios-SSN[139]端口,表现为时间间隔短,连接频繁。
日志解读 日志中所列计算机感染了“尼姆达病毒”。感染了“尼姆达病毒”的计算机有一个特点,它们会搜寻局域网内一切可用的共享资源,并会将病毒复制到取得完全控制权限的共享文件夹内,以达到病毒传播之目的。
范例二
天网日志如下:
[14:00:24] 10.100.2.246 尝试用Ping来探测本机,
该操作被拒绝。
[14:01:09] 10.100.10.72 尝试用Ping来探测本机,
服务器安全配置
以下只针对WIN系统
原则关掉所有不使用的服务,不安装所有与服务器无关的软件,打好所有补丁
修改3389
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp, 看到那个PortNumber没有?0xd3d,这个是16进制,就是3389啦,我改XXXX这个值是RDP(远程桌面协议)的默认值,也就是说用来配置以后新建的RDP服务的,要改已经建立的RDP服务,我们去下一个键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations 这里应该有一个或多个类似RDP-TCP的子健(取决于你建立了多少个RDP服务),一样改掉PortNumber。
修改系统日志保存地址
默认位置为
应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config,默认文件大小512KB,管理员都会改变这个默认大小。
安全日志文件:%systemroot%\system32\config\SecEvent.EVT
系统日志文件:%systemroot%\system32\config\SysEvent.EVT
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志
Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志
Scheduler(任务计划)服务日志默认位置:%systemroot%\schedlgu.txt
应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
Schedluler(任务计划)服务日志在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
SQL
删掉或改名xplog70.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
// AutoShareWks 对pro版本
// AutoShareServer 对server版本
// 0 禁止管理共享admin$,c$,d$之类默认共享
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA]
"restrictanonymous"=dword:00000001
//0x1 匿名用户无法列举本机用户列表
//0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动)
本地安全策略
封TCP端口:21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389
可封TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导)
封UDP端口:1434(这个就不用说了吧)
封所有ICMP,即封PING
以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的
审核策略为
审核策略更改:成功,失败
审核登录事件:成功,失败
审核对象访问:失败
审核对象追踪:成功,失败
审核目录服务访问:失败
审核特权使用:失败
审核系统事件:成功,失败
审核账户登录事件:成功,失败
审核账户管理:成功,失败
密码策略:启用“密码必须符合复杂性要求","密码长度最小值"为6个字符,"强制密码历史"为5次,"密码最长存留期"为30天.
在账户锁定策略中设置:"复位账户锁定计数器"为30分钟之后,"账户锁定时间"为30分钟,"账户锁定值"为30分钟.
安全选项设置:本地安全策略==本地策略==安全选项==对匿名连接的额外限制,双击对其中有效策略进行设置,选择"不允许枚举SAM账号和共享",因为这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项.
禁止登录屏幕上显示上次登录的用户名
控制面板==管理工具==本地安全策略==本地策略==安全选项
或改注册表
HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn项中的Don't Display Last User Name串,将其数据修改为1
禁TCP/IP中的禁用TCP/IP上的NetBIOS
修改默认管理用户名(这就不用说了吧),禁用Guest帐号,除了ADMIN组的用户可以远程登陆本机完,别的用户的远程登陆都去掉
WEB目录用户权限设定...
依次做下面的工作:
选取整个硬盘:
system:完全控制
administrator:完全控制(允许将来自父系的可继承性权限传播给对象)
b.\program files\common files:
everyone:读取及运行
列出文件目录
读取(允许将来自父系的可继承性权限传播给对象)
c.\inetpub\wwwroot:
iusr_machine:读取及运行
列出文件目录
读取 (允许将来自父系的可继承性权限传播给对象)
e.\winnt\system32:
选择除inetsrv和centsrv以外的所有目录,
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
f.\winnt:
选择除了downloaded program files、help、iis temporary compressed files、
offline web pages、system32、tasks、temp、web以外的所有目录
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
g.\winnt:
everyone:读取及运行
列出文件目录
读取(允许将来自父系的可继承性权限传播给对象)
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
everyone:修改 (允许将来自父系的可继承性权限传播给对象)
(还是WIN2K3好一点,默认就设好了设限)
删除默认IIS目录
删除IIS中除ASA和ASP的所有解析,除非你要用到别的CGI程序(WIN2K3中去不掉的)
定期查看服务器中的日志logs文件
检查ASP程序是否有SQL注入漏洞
解决方法:
在ASP程序中加入
dim listname
if not isnumeric(request("id")) then
response.write "参数错误"
response.end
end if
//作用是检查ID是否为INT数字型
如何让asp脚本以system权限运行?
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
如何防止asp木马?
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
regsvr32 scrrun.dll /u /s //删除
还原:
cacls %systemroot%\system32\scrrun.dll /e /p guests:r
regsvr32 scrrun.dll
基于shell.application组件的asp木马
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
regsvr32 shell32.dll /u /s //删除
还原:
cacls %systemroot%\system32\shell32.dll /e /p guests:r
regsvr32 shell32.dll
可以看一下caclsr语法,f是完全控制,c是写入
把ip2K.jpg另存为,改后缀名为RAR,2K和2K3下的安全策略,借用了REISTLIN的东西,3Q,上面有些东西太简单了就没写全.如果你是用固定IP的话,可以在安全策略中加上允许访问和你自己的IP
关闭Messenger,Remote Registry Service,Task Scheduler 服务及不需要的服务..
安装过程
有选择性地安装组件
不要按Windows 2000的默认安装组件,本着“最少的服务+最小的权限=最大的安全”原则,只选择安装需要的服务即可。例如:不作为Web服务器或FTP服务器就不安装 IIS。常用Web服务器需要的最小组件是: Internet 服务管理器、WWW服务器和与其有关的辅助服务。
安装完毕后加入网络
在安装完成Windows 2000操作系统后,不要立即把服务器加入网络,因为这时的服务器上的各种程序还没有打上补丁,存在各种漏洞,非常容易感染病毒和被入侵。
应该在所有应用程序安装完之后依次打上各种补丁,因为补丁程序是针对不同应用程序而安装的,往往要替换或修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。例如IIS的HotFix要求每次更改IIS的配置时都需要重新安装。
还有,如果怕IIS负荷过高导致服务器死机,也可以在性能中打开CPU限制,如将IIS的最大CPU使用率限制在70%。
正确设置和管理账户
1、停止使用用Guest账户,并给Guest 加一个复杂的密码。
2、账户要尽可能少,并且要经常用一些扫描工具查看一下系统账户、账户权限及密码。删除停用的账户,常用的扫描软件有:流光、HSCAN、X-SCAN、 STAT SCANNER等。正确配置账户的权限,密码至少应不少于8位,且要数字、大小写字母,以及数字的上档键混用,这样就较难破译。
3、增加登录的难度,在“账户策略→密码策略”中设定:“密码复杂性要求启用”,“密码长度最小值8位”,“强制密码历史5次”,“最长存留期 30天”;在“账户策略→账户锁定策略”设定:“账户锁定3次错误登录”,“锁定时间20分钟”,“复位锁定计数20分钟”等,增加了登录的难度对系统的安全大有好处。
4、把系统Administrator账号改名,名称不要带有Admin等字样; 创建一个陷阱帐号,如创建一个名为“Administrator”的本地帐户,把权限设置成最低,什么事也干不了,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts忙上一段时间了,并且可以借此发现他们的入侵企图。
5、不让系统显示上次登录的用户名,具体操作如下:
将注册表中“Hkey\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name”的键值改为1。
正确地设置目录和文件权限
为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,还必须非常小心地设置目录和文件的访问权限。Windows 2000的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全控制的(Full Control),您需要根据应用的需要重新设置权限。在进行权限控制时,请记住以下几个原则:
1、权限是累计的,如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限。
2、拒绝的权限要比允许的权限高(拒绝策略会先执行)。如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。
3、 文件权限比文件夹权限高。
4、 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。
5、 只给用户真正需要的权限,权限的最小化原则是安全的重要保障。
6、 预防ICMP攻击。ICMP的风暴攻击和碎片攻击是NT主机比较头疼的攻击方法,而Windows 2000应付的方法很简单。Windows 2000自带一个Routing & Remote Access工具,这个工具初具路由器的雏形。在这个工具中,我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。
网络服务安全管理
1、关闭不需要的服务
只留必需的服务,多一些服务可能会给系统带来更多的安全因素。如Windows 2000的Terminal Services(终端服务)、IIS(web服务)、RAS(远程访问服务)等,这些都有产生漏洞的可能。
2、关闭不用的端口
只开放服务需要的端口与协议。
具体方法为:按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→TCP/IP筛选→属性”,添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口,常用的TCP口有:80口用于 Web服务;21用于FTP服务;25口用于SMTP;23口用于Telnet服务;110口用于POP3。常用的UDP端口有:53口-DNS域名解析服务;161口-snmp简单的网络管理协议。8000、4000用于OICQ,服务器用8000来接收信息,客户端用4000发送信息。
3、禁止建立空连接
默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜测密码。空连接用的端口是139,通过空连接,可以复制文件到远端服务器,计划执行一个任务,这就是一个漏洞。可以通过以下两种方法禁止建立空连接:
(1) 修改注册表中 Local_Machine\System\
CurrentControlSet\Control\LSA-RestrictAnonymous 的值为1。
(2) 修改Windows 2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。
首先,Windows 2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到您的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_Machine\System \CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接,实际上Windows 2000的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里)就有RestrictAnonymous选项,其中有三个值:“0”这个值是系统默认的,没有任何限制,远程用户可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum) 等;“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息;“2”这个值只有Windows 2000才支持,需要注意的是,如果使用了这个值,就不能再共享资源了,所以还是推荐把数值设为“1”比较好。
网络服务安全配置
1、修改默认端口。终端服务的默认端口为3389,可考虑修改为别的端口。修改方法为:
服务器端:打开注册表,在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”处找到类似RDP-TCP的子键,修改PortNumber值。
客户端:按正常步骤建一个客户端连接,选中这个连接,在“文件”菜单中选择导出,在指定位置会生成一个后缀为.cns的文件。打开该文件,修改 “Server Port”值为与服务器端的PortNumber对应的值。然后再导入该文件(方法:菜单→文件→导入),这样客户端就修改了端口。
2、安全配置Internet 服务管理器。对IIS服务安全配置如下:
(1)停止默认的Web服务,建立新的Web服务,将其主目录设为其他(非inetpub)目录,最好不和主系统点用一个分区。如果使用系统默认的Web服务,那么通过较简单的攻击,就可以黑掉服务器。
(2) 删除原默认安装的Inetpub目录(在安装系统的盘上)。
(3) 删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
3、不要设置Frontpage服务器扩展服务,如果开设,那么就可以远程在Frontpage下打开您的主页文件进行修改。
4、删除不必要的IIS扩展名映射。方法是:右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。如不用到其他映射,只保留.asp、.asa两映射即可。
安全的管理数据文件
1、常备份,要经常把要数据备份到专用的备份服务器,备份完毕后,可将备份服务器与网络隔离。
2、关闭默认共享。Windows 2000安装好以后,系统会创建一些隐藏的共享(如C$、D$等),在命令态下可用net share命令查看它们,这些共享要删除。不过当机器重新启动后,这些共享又会重新开启,需每次启动后都删除。
3、正确设置文件的共享权限 ,设置共享文件时,要注意把共享文件的权限从“everyone”组改成“授权用户”,包括打印共享,这样即使连接上去看到也无法查阅。
4、防止文件名欺骗,用显示所有文件名和文件夹以及显示文件类型扩展名来有效地防止文件名欺骗。如防止以.txt或.exe为扩展名的恶意文件被显示为. txt文件,大意打开该文件被攻,双击“我的电脑→工具→文件夹选项→查看”,选择“显示所有文件和文件夹”属性设置,去掉“隐藏已知文件类型扩展名”属性设置。
5、启用Terminal Service的安全日志,系统默认是不启用的。可以通过“Terminal Service Configration→权限→高级”中配置安全审核,记录登录、注销事件就可以了。
启用日志,利用软件随时检测网络流量
发现有异常随时查看日志文件,是不是有人在攻击。
Windows 服务的最佳化说明
Alerter
微软: 通知选取的使用者及计算机系统管理警示。如果停止这个服务,使用系统管理警示的程序将不会收到通知。如果停用这个服务,所有依存于它的服务将无法启动。
补充: 一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrative Alerts),除非你的计算机用在局域网络上
依存: Workstation
建议: 已停用
Application Layer Gateway Service
微软: 提供因特网联机共享和因特网联机防火墙的第三方通讯协议插件的支持
补充: 如果你不使用因特网联机共享 (ICS) 提供多台计算机的因特网存取和因特网联机防火墙 (ICF) 软件你可以关掉
依存: Internt Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建议: 已停用
Application Management (应用程序管理)
微软: 提供指派、发行、以及移除的软件安装服务。
补充: 如上说的软件安装变更的服务
建议: 手动
Automatic Updates
微软: 启用重要 Windows 更新的下载及安装。如果停用此服务,可以手动的从 Windows Update 网站上更新操作系统。
补充: 允许 Windows 于背景自动联机之下,到 Microsoft Servers 自动检查和下载更新修补程序
建议: 已停用
Background Intelligent Transfer Service
微软: 使用闲置的网络频宽来传输数据。
补充: 经由 Via HTTP1.1 在背景传输资料的?#124;西,例如 Windows Update 就是以此为工作之一
依存: Remote Procedure Call (RPC) 和 Workstation
建议: 已停用
ClipBook (剪贴簿)
微软: 启用剪贴簿检视器以储存信息并与远程计算机共享。如果这个服务被停止,剪贴簿检视器将无法与远程计算机共享信息。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充: 把剪贴簿内的信息和其它台计算机分享,一般家用计算机根本用不到
依存: Network DDE
建议: 已停用
COM+ Event System (COM+ 事件系统)
微软: 支持「系统事件通知服务 (SENS)」,它可让事件自动分散到订阅的 COM 组件。如果服务被停止,SENS 会关闭,并无法提供登入及注销通知。如果此服务被停用,任何明显依存它的服务都无法启动。
补充: 有些程序可能用到 COM+ 组件,像 BootVis 的 optimize system 应用,如事件检视器内显示的 DCOM 没有启用
依存: Remote Procedure Call (RPC) 和 System Event Notification
建议: 手动
COM+ System Application
微软: 管理 COM+ 组件的设定及追踪。如果停止此服务,大部分的 COM+ 组件将无法适当?#092;作。如果此服务被停用,任何明确依存它的服务将无法启动。
补充: 如果 COM+ Event System 是一台车,那么 COM+ System Application 就是司机,如事件检视器内显示的 DCOM 没有启用
依存: Remote Procedure Call (RPC)
建议: 手动
Computer Browser (计算机浏览器)
微软: 维护网络上更新的计算机清单,并将这个清单提供给做为浏览器的计算机。如果停止这个服务,这个清单将不会被更新或维护。如果停用这个服务,所有依存于它的服务将无法启动。
补充: 一般家庭用计算机不需要,除非你的计算机应用在区网之上,不过在大型的区网上有必要开这个拖慢速度吗?
依存: Server 和 Workstation
建议: 已停用
Cryptographic Services
微软: 提供三个管理服务: 确认 Windows 档案签章的 [类别目录数据库服务]; 从这个计算机新增及移除受信任根凭证授权凭证的 [受保护的根目录服务]; 以及协助注册这个计算机以取得凭证的 [金钥服务]。如果这个服务被停止,这些管理服务将无法正确工作。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充: 简单的说就是 Windows Hardware Quality Lab (WHQL)微软的一种认证,如果你有使用 Automatic Updates ,那你可能需要这个
依存: Remote Procedure Call (RPC)
建议: 手动
DHCP Client (DHCP 客户端)
微软: 透过登录及更新 IP 地址和 DNS 名称来管理网络设定。
补充: 使用 DSL/Cable 、ICS 和 IPSEC 的人都需要这个来指定动态 IP
依存: AFD 网络支持环境、NetBT、SYMTDI、TCP/IP Protocol Driver 和 NetBios over TCP/IP
建议: 手动
Distributed Link Tracking Client (分布式连结追踪客户端)
微软: 维护计算机中或网络网域不同计算机中 NTFS 档案间的连结。
补充: 维护区网内不同计算机之间的档案连结
依存: Remote Procedure Call (RPC)
建议: 已停用
Distributed Transaction Coordinator (分布式交易协调器)
微软: 协调跨越多个资源管理员的交易,比如数据库、讯息队列及档案系统。如果此服务被停止,这些交易将不会发生。如果服务被停用,任何明显依存它的服务将无法启动。
补充: 如上所说的,一般家庭用计算机用不太到,除非你启用的 Message Queuing
依存: Remote Procedure Call (RPC) 和 Security Accounts Manager
建议: 已停用
DNS Client (DNS 客户端)
微软: 解析并快取这台计算机的网域名称系统 (DNS) 名称。如果停止这个服务,这台计算机将无法解析 DNS 名称并寻找 Active Directory 网域控制站的位置。如果停用这个服务,所有依存于它的服务将无法启动。
补充: 如上所说的,另外 IPSEC 需要用到
依存: TCP/IP Protocol Driver
建议: 手动
Error Reporting Service
微软: 允许对执行于非标准环境中的服务和应用程序的错误报告。
补充: 微软的应用程序错误报告
依存: Remote Procedure Call (RPC)
建议: 已停用
Event Log (事件记录文件)
微软: 启用 Windows 为主的程序和组件所发出的事件讯息可以在事件检视器中检视。这个服务不能被停止。
补充: 允许事件讯息显示在事件检视器之上
依存: Windows Management Instrumentation
建议: 自动
Fast User Switching Compatibility
微软: 在多使用者环境下提供应用程序管理。
补充: 另外像是注销画面中的切换使用者功能
依存: Terminal Services
建议: 手动
Help and Support
微软: 让说明及支持中心能够在这台计算机上执行。如果这个服务停止,将无法使用说明及支持中心。如果这个服务被停用,它的所有依存服务将无法启动。
补充: 如果不使用就关了吧
依存: Remote Procedure Call (RPC)
建议: 已停用
Human Interface Device Access
微软: 启用对人性化接口装置 (HID) 的通用输入存取,HID 装置启动并维护对这个键盘、远程控制、以及其它多媒体装置上事先定义的快捷纽的使用。如果这个服务被停止,这个服务控制的快捷纽将不再起作用。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充: 如上所提到的
依存: Remote Procedure Call (RPC)
建议: 已停用
IMAPI CD-Burning COM Service
微软: 使用 Image Mastering Applications Programming Interface (IMAPI) 来管理光盘录制。如果这个服务被停止,这个计算机将无法录制光盘。如果这个服务被停用,任何明确地依赖它的服务将无法启动。
补充: XP 整合的 CD-R 和 CD-RW 光驱上拖放的烧录功能,可惜比不上烧录软件,关掉还可以加快 Nero 的开启速度
建议: 已停用
Indexing Service (索引服务)
微软: 本机和远程计算机的索引内容和档案属性; 透过弹性的查询语言提供快速档案存取。
补充: 简单的说可以让你加快搜查速度,不过我想应该很少人和远程计算机作搜寻吧
依存: Remote Procedure Call (RPC)
建议: 已停用
Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
微软: 为您的家用网络或小型办公室网络提供网络地址转译、寻址及名称解析服务和/或防止干扰的服务。
补充: 如果你不使用因特网联机共享(ICS)或是 XP 内含的因特网联机防火墙(ICF)你可以关掉
依存: Application Layer Gateway Service、Network Connections、Network Location Awareness(NLA)、Remote Access Connection Manager
建议: 已停用
IPSEC Services (IP 安全性服务)
微软: 管理 IP 安全性原则并启动 ISAKMP/Oakley (IKE) 及 IP 安全性驱动程序。
补充: 协助保护经由网络传送的数据。IPSec 为一重要环节,为虚拟私人网络 (VPN) 中提供安全性,而 VPN 允许组织经由因特网安全地传输数据。在某些网域上也许需要,但是一般使用者大部分是不太需要的
依存: IPSEC driver、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
建议: 手动
Logical Disk Manager (逻辑磁盘管理员)
微软: 侦测及监视新硬盘磁盘,以及传送磁盘区信息到逻辑磁盘管理系统管理服务以供设定。如果这个服务被停止,动态磁盘状态和设定信息可能会过时。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充: 磁盘管理员用来动态管理磁盘,如显示磁盘可用空间等和使用 Microsoft Management Console(MMC)主控台的功能
依存: Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager Administrative Service
建议: 自动
Logical Disk Manager Administrative Service (逻辑磁盘管理员系统管理服务)
微软: 设定硬盘磁盘及磁盘区,服务只执行设定程序然后就停止。
补充: 使用 Microsoft Management Console(MMC)主控台的功能时才用到
依存: Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager
建议: 手动
Messenger (信差)
微软: 在客户端及服务器之间传输网络传送及 [Alerter] 服务讯息。这个服务与 Windows Messenger 无关。如果停止这个服务,Alerter 讯息将不会被传输。如果停用这个服务,所有依存于它的服务将无法启动。
补充: 允许网络之间互相传送提示讯息的功能,如 net send 功能,如不想被骚扰话可关了
依存: NetBIOS Interface、Plug and Play、Remote Procedure Call (RPC)、Workstation
建议: 已停用
MS Software Shadow Copy Provider
微软: 管理磁盘区阴影复制服务所取得的以软件为主的磁盘区阴影复制。如果停止这个服务,就无法管理以软件为主的磁盘区阴影复制。如果停用这个服务,任何明确依存于它的服务将无法启动。
补充: 如上所说的,用来备份的?#124;西,如 MS Backup 程序就需要这个服务
依存: Remote Procedure Call (RPC)
建议: 已停用
Net Logon
微软: 支持网域上计算机的账户登入事件的 pass-through 验证。
补充: 一般家用计算机不太可能去用到登入网域审查这个服务
依存: Workstation
建议: 已停用
NetMeeting Remote Desktop Sharing (NetMeeting 远程桌面共享)
微软: 让经过授权的使用者可以使用 NetMeeting 透过公司近端内部网络,由远程访问这部计算机。如果这项服务停止的话,远程桌面共享功能将无法使用。如果服务停用的话,任何依赖它的服务将无法启动。
补充: 如上说的,让使用者可以将计算机的控制权分享予网络上或因特网上的其它使用者,如果你重视安全性不想多开后门,就关了吧
建议: 已停用
Network Connections (网络联机)
微软: 管理在网络和拨号联机数据夹中的对象,您可以在此数据夹中检视局域网络和远程联机。
补充: 控制你的网络联机
依存: Remote Procedure Call (RPC)、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建议: 手动
Network DDE (网络 DDE)
微软: 为动态数据交换 (DDE) 对在相同或不同计算机上执行的程序提供网络传输和安全性。如果这个服务被停止,DDE 传输和安全性将无法使用。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充: 一般人好像用不到
依存: Network DDE DSDM、ClipBook
建议: 已停用
Network DDE DSDM (网络 DDE DSDM)
微软: 讯息动态数据交换 (DDE) 网络共享。如果这个服务被停止,DDE 网络共享将无法使用。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充: 一般人好像用不到
依存: Network DDE
建议: 已停用
Network Location Awareness (NLA)
微软: 收集并存放网络设定和位置信息,并且在这个信息变更时通知应用程序。
补充: 如果不使用 ICF 和 ICS 可以关了它
依存: AFD网络支持环境、TCP/IP Procotol Driver、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建议: 已停用
NT LM Security Support Provider (NTLM 安全性支持提供者)
微软: 为没有使用命名管道传输的远程过程调用 (RPC) 程序提供安全性。
补充: 如果不使用 Message Queuing 或是 Telnet Server 那就关了它
依存: Telnet
建议: 已停用
Performance Logs and Alerts (效能记录文件及警示)
微软: 基于事先设定的排程参数,从本机或远程计算机收集效能数据,然后将数据写入记录或?#124;发警讯。如果这个服务被停止,将不会收集效能信息。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充: 没什么价值的服务
建议: 已停用
Plug and Play
微软: 启用计算机以使用者没有或很少的输入来识别及适应硬件变更,停止或停用这个服务将导致系统不稳定。
补充: 顾名思义就是 PNP 环境
依存: Logical Disk Manager、Logical Disk Manager Administrative Service、Messenger、Smart Card、Telephony、Windows Audio
建议: 自动
Portable Media Serial Number
微软: Retrieves the serial number of any portable music player connected to your computer
补充: 透过联机计算机重新取得任何音乐拨放序号?没什么价值的服务
建议: 已停用
Print Spooler (打印多任务缓冲处理器)
微软: 将档案加载内存中以待稍后打印。
补充: 如果没有打印机,可以关了
依存: Remote Procedure Call (RPC)
建议: 已停用
Protected Storage (受保护的存放装置)
微软: 提供受保护的存放区,来储存私密金钥这类敏感数据,防止未授权的服务、处理、或使用者进行存取。
补充: 用来储存你计算机上密码的服务,像 Outlook、拨号程序、其它应用程序、主从架构等等
依存: Remote Procedure Call (RPC)
建议: 自动
QoS RSVP (QoS 许可控制,RSVP)
微软: 提供网络讯号及区域流量控制安装功能给可识别 QoS 的程序和控制小程序项。
补充: 用来保留 20% 频宽的服务,如果你的网络卡不支持 802.1p 或在你计算机的网域上没有 ACS server ,那么不用多说,关了它
依存: AFD网络支持环境、TCP/IP Procotol Driver、Remote Procedure Call (RPC)
建议: 已停用
Remote Access Auto Connection Manager (远程访问自动联机管理员)
微软: 当程序参照到远程 DNS 或 NetBIOS 名称或地址时,建立远程网络的联机。
补充: 有些 DSL/Cable 提供者,可能需要用此来处理登入程序
依存: Remote Access Connection Manager、Telephony
建议: 手动
Remote Access Connection Manager (远程访问联机管理员)
微软: 建立网络联机。
补充: 网络联机用
依存: Telephony、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)、Remote Access Auto Connection Manager
建议: 手动
Remote Desktop Help Session Manager
微软: 管理并控制远程协助。如果此服务停止的话,远程协助将无法使用。停止此服务之前,请先参阅内容对话框中的 [依存性]标签。
补充: 如上说的管理和控制远程协助,如果不使用可以关了
依存: Remote Procedure Call (RPC)
建议: Disable
Remote Procedure Call (RPC) (远程过程调用,RPC)
微软: 提供结束点对应程序以及其它 RPC 服务。
补充: 一些装置都依存它,别去动它
依存: 太多了,自己去看看
建议: 自动
Remote Procedure Call (RPC) Locator (远程过程调用定位程序)
微软: 管理 RPC 名称服务数据库。
补充: 如上说的,一般计算机上很少用到,可以尝试关了
依存: Workstation
建议: Disable
Remote Registry (远程登录服务)
微软: 启用远程使用者修改这个计算机上的登录设定。如果这个服务被停止,登录只能由这个计算机上的使用者修改。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充: 基于安全性的理由,如果没有特别的需求,建议最好关了它,除非你需要远程协助修改你的登录设定
依存: Remote Procedure Call (RPC)
建议: 已停用
Removable Storage (卸除式存放装置)
微软: None
补充: 除非你有 Zip 磁盘驱动器或是 USB 之类可携式的硬件或是 Tape 备份装置,不然可以尝试关了
依存: Remote Procedure Call (RPC)
建议: Disable
Routing and Remote Access (路由和远程访问)
微软: 提供连到局域网络及广域网络的公司的路由服务。
补充: 如上说的,提供拨号联机到区网或是 VPN 服务,一般用户用不到
依存: Remote Procedure Call (RPC)、NetBIOSGroup
建议: 已停用
Secondary Logon
微软: 启用在其它认证下的起始程序。如果这个服务被停止,这类的登入存取将无法使用。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充: 允许多个使用者处理程序,执行分身等
建议: 自动
Security Accounts Manager (安全性账户管理员)
微软: 储存本机账户的安全性信息。
补充: 管理账号和群组原则(gpedit.msc)应用
依存: Remote Procedure Call (RPC)、Distributed Transaction Coordinator
建议: 自动
Server (服务器)
微软: 透过网络为这台计算机提供档案、打印、及命名管道的共享。如果停止这个服务,将无法使用这些功能。如果停用这个服务,所有依存于它的服务将无法启动。
补充: 简单的说就是档案和打印的分享,除非你有和其它计算机分享,不然就关了
依存: Computer Browser
建议: 已停用
Shell Hardware Detection
微软: 为自动播放硬件事件提供通知。
补充: 一般使用在记忆卡或是CD装置、DVD装置上
依存: Remote Procedure Call (RPC)
建议: 自动
Smart Card (智慧卡)
微软: 管理这个计算机所读取智能卡的存取。如果这个服务被停止,这个计算机将无法读取智能卡。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充: 如果你不使用 Smart Card ,那就可以关了
依存: Plug and Play
建议: 已停用
Smart Card Helper (智能卡协助程序)
微软: 启用对这个计算机使用的旧版非随插即用智能卡读取头的支持。如果这个服务被停止,这个计算机将不支持旧版读取头。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充: 如果你不使用 Smart Card ,那就可以关了
建议: 已停用
SSDP Discovery Service
微软: 在您的家用网络上启用通用随插即用装置的搜索。
补充: 如上说的,通用随插即用服务 (Universal Plug and Play, UPnP) 让计算机可以找到并使用网络上的装置,经由网络联机透过 TCP/IP 来搜索装置,像网络上的扫瞄器、数字相机或是打印机,亦即使用 UPnP 的功能,基于安全性没用到的大可关了
依存: Universal Plug and Play Device Host
建议: 已停用
System Event Notification (系统事件通知)
微软: 追踪诸如 Windows 登入、网络、和电源事件的系统事件。通知这些事件的 COM+ 事件系统订阅者。
补充: 如上所说的
依存: COM+ Event System
建议: 自动
System Restore Service
微软: 执行系统还原功能。若要停止服务,从我的计算机->内容,[系统还原] 中关闭系统还原
补充: 将计算机回复至先前的状态,不使用就关了
依存: Remote Procedure Call (RPC)
建议: 已停用
Task Scheduler (工作排程器)
微软: 让使用者能够在这个计算机上设定和排定自动的工作。如果停止这个服务,这些工作在它们排定的时间时将不会执行。如果停用这个服务,任何明确依存于它的服务将无法启动。
补充: 设定排定自动的工作,像一些定时磁盘扫瞄、病毒定时扫瞄、更新等等
依存: Remote Procedure Call (RPC)
建议: 自动
TCP/IP NetBIOS Helper (TCP/IP NetBIOS 协助程序)
微软: 启用 [NetBIOS over TCP/IP (NetBT)] 服务及 NetBIOS 名称解析的支持。
补充: 如果你的网络不使用 NetBios 或是 WINS ,你大可关闭
依存: AFD 网络支持环境、NetBt
建议: 已停用
Telephony (电话语音)
微软: 为本机计算机上及经由局域网络连接到正在执行此服务的服务器上,控制电话语音装置和 IP 为主语音联机的程序,提供电话语音 API (TAPI) 支持。
补充: 一般的拨号调制解调器或是一些 DSL/Cable 可能用到
依存: Plug and Play、Remote Procedure Call (RPC)、Remote Access Connection Manager、Remote Access Auto Connection Manager
建议: 手动
Telnet
微软: 启用一个远程使用者来登入到这台计算机和执行应用程序,以及支持各种 TCP/IP Telnet 客户端,包含以 UNIX 为基本和以 Windows 为基本的计算机。如果服务停止了,远程使用者可能无法存取应用程序。如果服务停用了,任何明确地依存于这项服务的其它服务将会启动失败。
补充: 允许远程使用者用 Telnet 登入本计算机,一般人会误解关了就无法使用BBS,这其实和BBS无关,基于安全性的理由,如果没有特别的需求,建议最好关了
依存: NT LM Security Support Provider、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
建议: 已停用
Terminal Services (终端机服务)
微软: 允许多位使用者互动连接到同一部计算机、桌面的显示器及到远程计算机的应用程序。远程桌面的加强 (包含系统管理员的 RD)、快速切换使用者、远程协助和终端机服务器。
补充: 远程桌面或是远程协助的功能,不需要就关了
依存: Remote Procedure Call (RPC)、Fast User Switching Compatibility、InteractiveLogon
建议: 已停用
Themes
微软: 提供使用者经验主题管理。
补充: 很多人使用布景主题,不过如果没有使用的人,那就可以关闭
建议: 自动
Uninterruptible Power Supply (不断电供电系统)
微软: 管理连接到这台计算机的不断电电源供应 (UPS)。
补充: 不断电电源供应 (UPS)一般人有用到吗?除非你的电源供应器有具备此功能,不然就关了
建议: 已停用
Universal Plug and Play Device Host
微软: 提供主机通用随插即用装置的支持。
补充: 用来侦测安装通用随插即用服务 (Universal Plug and Play, UPnP)装置,像是数字相机或打印机
依存: SSDP Discovery Service
建议: 已停用
Volume Shadow Copy
微软: 管理及执行用于备份和其它目的的磁盘区卷影复制。如果这个服务被停止,卷影复制将无法用于备份,备份可能会失败。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充: 如上所说的,用来备份的?#124;西,如 MS Backup 程序就需要这个服务
依存: Remote Procedure Call (RPC)
建议: 已停用
WebClient
微软: 启用 Windows 为主的程序来建立、存取,以及修改因特网为主的档案。如果停止这个服务,这些功能将无法使用。如果停用这个服务,任何明确依存于它的服务将无法启动。
补充: 使用 WebDAV 将档案或数据夹上载到所有的 Web 服务,基于安全性的理由,你可以尝试关闭
依存: WebDav Client Redirector
Windows Audio
微软: 管理用于 Windows 为主程序的音讯装置。如果这个服务被停止,音讯装置和效果将无法正常?#092;作。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充: 如果你没有声卡可以关了他
依存: Plug and Play、Remote Procedure Call (RPC)
建议: 自动
Windows Image Acquisition (WIA) (Windows影像取得程序)
微软: 为扫描仪和数字相机提供影像撷取服务。
补充: 如果扫描仪和数字相机内部具有支持WIA功能的话,那就可以直接看到嫉担恍枰渌那?a href="../../Dev/index.html" target="_blank">程序,所以没有扫描仪和数字相机的使用者大可关了
依存: Remote Procedure Call (RPC)
建议: 已停用
Windows Installer (Windows 安装程序)
微软: 根据包含在 .MSI 档案内的指示来安装,修复以及移除软件。
补充: 是一个系统服务,协助使用者正确地安装、设定、追踪、升级和移除软件程序,可管理应用程序建立和安装的标准格式,并且追踪例如档案群组、登录项目及快捷方式等组件
依存: Remote Procedure Call (RPC)
建议: 手动
Windows Management Instrumentation (WMI)
微软: 提供公用接口及对象模型,以存取有关操作系统、装置、应用程序及服务的管理信息。如果这个服务已停止,大多数的 Windows 软件将无法正常?#092;作。如果这个服务已停用,所有依存于它的服务都将无法启动。
补充: 如上说的,是一种提供一个标准的基础结构来监视和管理系统资源的服务,由不得你动他
依存: Event Log、Remote Procedure Call (RPC)
建议: 自动
Windows Management Instrumentation Driver Extensions (Windows Management Instrumentation 驱动程序延伸)
微软: 提供系统管理信息给予/取自驱动程序。
补充: Windows Management Instrumentation 的延伸,提供信息用的
建议: 手动
Windows Time (Windows 时间设定)
微软: 维护在网络上所有客户端及服务器的数据及时间同步处理。如果这个服务停止,将无法进行日期及时间同步处理。如果这个服务被停用,所有依存的服务都会停止。
补充: 网络对时校准用的,没必要就关了
建议: 已停用
Wireless Zero Configuration
微软: 为 802.11 适配卡提供自动设定
补充: 自动配置无线网络装置,言下之意就是说,除非你有在使用无线网络适配卡装置,那么你才有必要使用这个网络零管理服务
依存: NDIS Usermode I/O Protocol、Remote Procedure Call (RPC)
建议: 已停用
WMI Performance Adapter
微软: 提供来自 WMIHiPerf 提供者的效能链接库信息。
补充: 如上所提
依存: Remote Procedure Call (RPC)
建议: 已停用l
Workstation (工作站)
微软: 建立并维护到远程服务器的客户端网络联机。如果停止这个服务,这些联机将无法使用。如果停用这个服务,所有依存于它的服务将无法启动。
补充: 因特网联机中所必要的一些功能
依存: Alerter、Background Intelligent Transfer Service、Computer Browser、Messenger、Net Logon、Remote Procedure Call (RPC) Locator
建议: 自动
“Clipbook Server”(文件夹服务器):这个服务允许你们网络上的其他用户看到你的文件夹。在这里我要强烈建议你把它改为手动启动,然后再使用其他程序在你的网络上发布信息。
“Messenger”(消息):在网络上发送和接收信息。如果你关闭了Alerter,你可以安全地把它改为手动启动。
“Printer Spooler”(打印后台处理程序):如果你没有配置打印机,建议改为手动启动或干脆关闭它。
“Error Reporting Service”(错误报告):服务和应用程序在非标准环境下运行时提供错误报告。建议改为手动启动。
“Fast User Switching Compatibility”(快速用户切换兼容性):建议改为手动启动。
“Automatic Updates”(自动更新):这个功能前面已经讲过了,在这里可以改为手动启动。
“Net Logon”(网络注册):处理象注册信息那样的网络安全功能。你可以把它设改为手动启动。
“Network DDE和Network DDE DSDM”(动态数据交换):除非你准备在网上共享你的Office,否则你应该把它改为手动启动。注:这和在通常的商务设定中使用Office不同(如果你需要DDE,你就会知道)。
“NT LM Security Support”(NT LM安全支持提供商):在网络应用中提供安全保护。建议你把它改为手动启动。
“Remote Desktop Help Session Manager”(远程桌面帮助会话管理器):建议改为手动启动。
“Remote Registry”(远程注册表):使远程用户能修改此计算机上的注册表设置。建议改为手动启动。
“Task Scheduler”(任务调度程序):使用户能在此计算机上配置和制定自动任务的日程,它计划每星期的碎片整理等。 除非你实在太懒了,连在电脑上开一下都不想,建议改为手动启动。
“Uninterruptible Power Supply”(不间断电源):它管理你的UPS。如果你没有的话,把它改为手动启动或干脆关闭它。
“Windows Image Acquisition (WIA)”(Windows 图像获取 (WIA)):为扫描仪和照相机提供图像捕获,如果你没有这些设备,建议改为手动启动或干脆关闭它。
最简单的防SQL注入的方法,如图
安装好一台服务器后,推荐使用扫描工具先扫描本机有哪些漏洞,然后按照需要开启或者关闭某些端口, win2000安装SP4以上补丁,winXP安装sp2补丁
扫描工具推荐是用X-SCAN
经常 开始--运行--Windows Update 是个良好的习惯
win2000下关闭无用端口
每一项服务都对应相应的端口,比如众如周知的WWW服务的端口是80,smtp是25,ftp是21,win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要,关掉端口也就是关闭无用的服务。
“控制面板”的“管理工具”中的“服务”中来配置。
1、关闭7.9等等端口:关闭Simple TCP/IP Service,支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、关闭80口:关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service",通过 Internet 信息服务的管理单元提供 Web 连接和管理。
3、关掉25端口:关闭Simple Mail Transport Protocol (SMTP)服务,它提供的功能是跨网传送电子邮件。
4、关掉21端口:关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
5、关掉23端口:关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。
6、还有一个很重要的就是关闭server服务,此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享,比如ipc$、c$、admin$等等,此服务关闭不影响您的共他操作。
7、还有一个就是139端口,139端口是NetBIOS Session端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了 139端口,功能一样。以前流光2000用来判断对方主机类型不太准确,估计就是139端口开放既认为是NT机,现在好了。
关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
Win2000 Server的安全配置,经过精心配置的Win2000服务器可以防御90%以上的入侵和渗透,但是,就象上一章结束时我所提到的:系统安全是一个连续的过程,随着新漏洞的出现和服务器应用的变化,系统的安全状况也在不断变化着;同时由于攻防是矛盾的统一体,道消魔长和魔消道长也在不断的转换中,因此,再高明的系统管理员也不能保证一台正在提供服务的服务器长时间绝对不被入侵。
所以,安全配置服务器并不是安全工作的结束,相反却是漫长乏味的安全工作的开始,本文我们将初步探讨Win2000服务器入侵检测的初步技巧,希望能帮助您长期维护服务器的安全。
本文中所说的入侵检测指的是利用Win2000 Server自身的功能及系统管理员自己编写的软件/脚本进行的检测,使用防火墙(Firewall)或入侵监测系统(IDS)的技巧并不在本文的讨论范围之内。
现在假定:我们有一台Win2000 Server的服务器,并且经过了初步的安全配置(关于安全配置的详情可以参阅Win2000 Server安全配置入门<一>),在这种情况下,大部分的入侵者将被拒之门外。(哈哈,我管理员可以回家睡大觉去了)慢着,我说的是大部分,不是全部,经过初步安全配置的服务器虽然可以防御绝大多数的Script kid(脚本族-只会用别人写的程序入侵服务器的人),遇到了真正的高手,还是不堪一击的。虽然说真正的高手不会随便进入别人的服务器,但是也难保有几个品行不端的邪派高手看上了你的服务器。(我真的这么衰么?)而且,在漏洞的发现与补丁的发布之间往往有一段时间的真空,任何知道漏洞资料的人都可以乘虚而入,这时,入侵检测技术就显得非常的重要。
入侵的检测主要还是根据应用来进行,提供了相应的服务就应该有相应的检测分析系统来进行保护,对于一般的主机来说,主要应该注意以下几个方面:
1、 基于80端口入侵的检测
WWW服务大概是最常见的服务之一了,而且由于这个服务面对广大用户,服务的流量和复杂度都很高,所以针对这个服务的漏洞和入侵技巧也最多。对于NT 来说,IIS一直是系统管理员比较头疼的一部分(恨不得关了80端口),不过好在IIS自带的日志功能从某种程度上可以成为入侵检测的得力帮手。IIS自带的日志文件默认存放在System32/LogFiles目录下,一般是按24小时滚动的,在IIS管理器中可以对它进行详细的配置。(具体怎么配我不管你,不过你要是不详细记录,回头查不到入侵者的IP可不要哭)
现在我们再假设(怎么老是假设呀,烦不烦?)别急呀,我不能为了写这篇文章真的去黑掉一台主机,所以只好假设了,我们假设一台WEB服务器,开放了 WWW服务,你是这台服务器的系统管理员,已经小心地配置了IIS,使用W3C扩展的日志格式,并至少记录了时间(Time)、客户端IP(Client IP)、方法(Method)、URI资源(URI Stem)、URI查询(URI Query),协议状态(Protocol Status),我们用最近比较流行的Unicode漏洞来进行分析:打开IE的窗口,在地址栏输入:127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir 默认的情况下你可以看到目录列表(什么?你已经做过安全配置了,看不到?恢复默认安装,我们要做个实验),让我们来看看IIS的日志都记录了些什么,打开 Ex010318.log(Ex代表W3C扩展格式,后面的一串数字代表日志的记录日期):07:42:58 127.0.0.1 GET /scripts/..\../winnt/system32\cmd.exe /c+dir 200上面这行日志表示在格林威治时间07:42:58(就是北京时间23:42:58),有一个家伙(入侵者)从127.0.0.1的IP在你的机器上利用Unicode漏洞(%c1%1c被解码为"\",实际的情况会因为Windows语言版本的不同而有略微的差别)运行了cmd.exe,参数是/c dir,运行结果成功(HTTP 200代表正确返回)。(哇,记录得可真够全的,以后不敢随便乱玩Unicode了)
大多数情况下,IIS的日志会忠实地记录它接收到的任何请求(也有特殊的不被IIS记录的攻击,这个我们以后再讨论),所以,一个优秀的系统管理员应该擅长利用这点来发现入侵的企图,从而保护自己的系统。但是,IIS的日志动辄数十兆、流量大的网站甚至数十G,人工检查几乎没有可能,唯一的选择就是使用日志分析软件,用任何语言编写一个日志分析软件(其实就是文本过滤器)都非常简单,不过考虑到一些实际情况(比如管理员不会写程序,或者服务器上一时找不到日志分析软件),我可以告诉大家一个简单的方法,比方说你想知道有没有人从80端口上试图取得你的Global.asa文件,可以使用以下的CMD命令:find "Global.asa" ex010318.log /i这个命令使用的是NT自带的find.exe工具(所以不怕紧急情况找不着),可以轻松的从文本文件中找到你想过滤的字符串, "Global.asa"是需要查询的字符串,ex010318.log是待过滤的文本文件,/i代表忽略大小写。因为我无意把这篇文章写成微软的 Help文档,所以关于这个命令的其他参数以及它的增强版FindStr.exe的用法请去查看Win2000的帮助文件。
无论是基于日志分析软件或者是Find命令,你都可以建立一张敏感字符串列表,包含已有的IIS漏洞(比如"+.htr")以及未来将要出现的漏洞可能会调用的资源(比如Global.asa或者cmd.exe),通过过滤这张不断更新的字符串表,一定可以尽早了解入侵者的行动。
需要提醒的是,使用任何日志分析软件都会占用一定的系统资源,因此,对于IIS日志分析这样低优先级的任务,放在夜里空闲时自动执行会比较合适,如果再写一段脚本把过滤后的可疑文本发送给系统管理员,那就更加完美了。同时,如果敏感字符串表较大,过滤策略复杂,我建议还是用C写一个专用程序会比较合算。
2、 基于安全日志的检测
通过基于IIS日志的入侵监测,我们能提前知道窥伺者的行踪(如果你处理失当,窥伺者随时会变成入侵者),但是IIS日志不是万能的,它在某种情况下甚至不能记录来自80端口的入侵,根据我对IIS日志系统的分析,IIS只有在一个请求完成后才会写入日志,换言之,如果一个请求中途失败,日志文件中是不会有它的踪影的(这里的中途失败并不是指发生HTTP400错误这样的情况,而是从TCP层上没有完成HTTP请求,例如在POST大量数据时异常中断),对于入侵者来说,就有可能绕过日志系统完成大量的活动。
而且,对于非80 Only的主机,入侵者也可以从其它的服务进入服务器,因此,建立一套完整的安全监测系统是非常必要的。
Win2000自带了相当强大的安全日志系统,从用户登录到特权的使用都有非常详细的记录,可惜的是,默认安装下安全审核是关闭的,以至于一些主机被黑后根本没法追踪入侵者。所以,我们要做的第一步是在管理工具-本地安全策略-本地策略-审核策略中打开必要的审核,一般来说,登录事件与账户管理是我们最关心的事件,同时打开成功和失败审核非常必要,其他的审核也要打开失败审核,这样可以使得入侵者步步维艰,一不小心就会露出马脚。仅仅打开安全审核并没有完全解决问题,如果没有很好的配置安全日志的大小及覆盖方式,一个老练的入侵者就能够通过洪水般的伪造入侵请求覆盖掉他真正的行踪。通常情况下,将安全日志的大小指定为50MB并且只允许覆盖7天前的日志可以避免上述情况的出现。
设置了安全日志却不去检查跟没有设置安全日志几乎一样糟糕(唯一的优点是被黑了以后可以追查入侵者),所以,制定一个安全日志的检查机制也是非常重要的,作为安全日志,推荐的检查时间是每天上午,这是因为,入侵者喜欢夜间行动(速度快呀,要不你入侵到一半的时候连不上了,那可是哭都哭不出来)上午上班第一件事正好看看日志有没有异常,然后就可以放心去做其他的事了。如果你喜欢,也可以编写脚本每天把安全日志作为邮件发送给你(别太相信这个了,要是哪个高手上去改了你的脚本,每天发送"平安无事"……)
除了安全日志,系统日志和应用程序日志也是非常好的辅助监测工具,一般来说,入侵者除了在安全日志中留下痕迹(如果他拿到了Admin权限,那么他一定会去清除痕迹的),在系统和应用程序日志中也会留下蛛丝马迹,作为系统管理员,要有不放过任何异常的态度,这样入侵者就很难隐藏他们的行踪。
3、 文件访问日志与关键文件保护
除了系统默认的安全审核外,对于关键的文件,我们还要加设文件访问日志,记录对他们的访问。
文件访问有很多的选项:访问、修改、执行、新建、属性更改......一般来说,关注访问和修改就能起到很大的监视作用。
例如,如果我们监视了系统目录的修改、创建,甚至部分重要文件的访问(例如cmd.exe,net.exe,system32目录),那么,入侵者就很难安放后门而不引起我们的注意,要注意的是,监视的关键文件和项目不能太多,否则不仅增加系统负担,还会扰乱日常的日志监测工作
(哪个系统管理员有耐心每天看四、五千条垃圾日志?)
关键文件不仅仅指的是系统文件,还包括有可能对系统管理员/其他用户构成危害的任何文件,例如系统管理员的配置、桌面文件等等,这些都是有可能用来窃取系统管理员资料/密码的。
4、 进程监控
进程监控技术是追踪木马后门的另一个有力武器,90%以上的木马和后门是以进程的形式存在的(也有以其他形式存在的木马,参见《揭开木马的神秘面纱三》),作为系统管理员,了解服务器上运行的每个进程是职责之一(否则不要说安全,连系统优化都没有办法做),做一份每台服务器运行进程的列表非常必要,能帮助管理员一眼就发现入侵进程,异常的用户进程或者异常的资源占用都有可能是非法进程。除了进程外,DLL也是危险的东西,例如把原本是exe类型的木马改写为dll后,使用rundll32运行就比较具有迷惑性。
5、 注册表校验
一般来说,木马或者后门都会利用注册表来再次运行自己,所以,校验注册表来发现入侵也是常用的手法之一。一般来说,如果一个入侵者只懂得使用流行的木马,那么由于普通木马只能写入特定的几个键值(比如Run、Runonce等等),查找起来是相对容易的,但是对于可以自己编写/改写木马的人来说,注册表的任何地方都可以藏身,靠手工查找就没有可能了。(注册表藏身千变万化,例如需要特别提出来的FakeGina技术,这种利用WINNT外嵌登录DLL (Ginadll)来获得用户密码的方法最近比较流行,一旦中招,登录用户的密码就会被记录无遗,具体的预防方法我这里就不介绍了。)应对的方法是监控注册表的任何改动,这样改写注册表的木马就没有办法遁形了。监控注册表的软件非常多,很多追查木马的软件都带有这样的功能,一个监控软件加上定期对注册表进行备份,万一注册表被非授权修改,系统管理员也能在最短的时间内恢复。
6、端口监控
虽然说不使用端口的木马已经出现,但是大部分的后门和木马还是使用TCP连接的,监控端口的状况对于由于种种原因不能封锁端口的主机来说就是非常重要的了,我们这里不谈使用NDIS网卡高级编程的IDS系统,对于系统管理员来说,了解自己服务器上开放的端口甚至比对进程的监控更加重要,常常使用 netstat查看服务器的端口状况是一个良好的习惯,但是并不能24小时这样做,而且NT的安全日志有一个坏习惯,喜欢记录机器名而不是IP(不知道比尔盖子怎么想的),如果你既没有防火墙又没有入侵检测软件,倒是可以用脚本来进行IP日志记录的,看着这个命令:
netstat -n -p tcp 10>>Netstat.log,这个命令每10秒钟自动查看一次TCP的连接状况,基于这个命令我们做一个Netlog.bat文件:
time /t>>Netstat.log
Netstat -n -p tcp 10>>Netstat.log
这个脚本将会自动记录时间和TCP连接状态,需要注意的是:如果网站访问量比较大,这样的操作是需要消耗一定的CPU时间的,而且日志文件将越来越大,所以请慎之又慎。(要是做个脚本就完美无缺,谁去买防火墙?:)
一旦发现异常的端口,可以使用特殊的程序来关联端口、可执行文件和进程(如inzider就有这样的功能,它可以发现服务器监听的端口并找出与该端口关联的文件,inzider可以从http://www.nttoolbox.com下载到),这样无论是使用TCP还是UDP的木马都无处藏身。
7、终端服务的日志监控
单独将终端服务(Terminal Service)的日志监控分列出来是有原因的,微软Win2000服务器版中自带的终端服务Terminal Service是一个基于远程桌面协议(RDP)的工具,它的速度非常快,也很稳定,可以成为一个很好的远程管理软件,但是因为这个软件功能强大而且只受到密码的保护,所以也非常的危险,一旦入侵者拥有了管理员密码,就能够象本机一样操作远程服务器(不需要高深的NT命令行技巧,不需要编写特殊的脚本和程序,只要会用鼠标就能进行一切系统管理操作,实在是太方便、也实在是太可怕了)。虽然很多人都在使用终端服务来进行远程管理,但是,并不是人人都知道如何对终端服务进行审核,大多数的终端服务器上并没有打开终端登录的日志,其实打开日志审核是很容易的,在管理工具中打开远程控制服务配置(Terminal Service Configration),点击"连接",右击你想配置的RDP服务(比如 RDP-TCP(Microsoft RDP 5.0),选中书签"权限",点击左下角的"高级",看见上面那个"审核"了么?我们来加入一个Everyone组,这代表所有的用户,然后审核他的"连接"、"断开"、"注销"的成功和"登录"的成功和失败就足够了,审核太多了反而不好,这个审核是记录在安全日志中的,可以从"管理工具"->"日志查看器"中查看。现在什么人什么时候登录我都一清二楚了,可是美中不足的是:这个破烂玩艺居然不记录客户端的IP(只能查看在线用户的IP),而是华而不实的记录什么机器名,倒!要是别人起个PIG的机器名你只好受他的嘲弄了,不知道微软是怎么想的,看来还是不能完全依赖微软呀,我们自己来吧?写个程序,一切搞定,你会C么?不会?VB呢?也不会?Delphi?……什么?你什么编程语言都不会?我倒,毕竟系统管理员不是程序员呀,别急别急,我给你想办法,我们来建立一个bat文件,叫做TSLog.bat,这个文件用来记录登录者的IP,内容如下:
time /t >>TSLog.log
netstat -n -p tcp | find ":3389">>TSLog.log
start Explorer
我来解释一下这个文件的含义:
第一行是记录用户登录的时间,time /t的意思是直接返回系统时间(如果不加/t,系统会等待你输入新的时间),然后我们用追加符号">>"把这个时间记入TSLog.log作为日志的时间字段;
第二行是记录用户的IP地址,netstat是用来显示当前网络连接状况的命令,-n表示显示IP和端口而不是域名、协议,-ptcp是只显示tcp协议,然后我们用管道符号"|"把这个命令的结果输出给find命令,从输出结果中查找包含":3389"的行(这就是我们要的客户的IP所在的行,如果你更改了终端服务的端口,这个数值也要作相应的更改),最后我们同样把这个结果重定向到日志文件TSLog.log中去,于是在SLog.log文件中,记录格式如下:
22:40
TCP 192.168.12.28:3389 192.168.10.123:4903 ESTABLISHED
22:54
TCP 192.168.12.28:3389 192.168.12.29:1039 ESTABLISHED
也就是说只要这个TSLog.bat文件一运行,所有连在3389端口上的IP都会被记录,那么如何让这个批处理文件自动运行呢?我们知道,终端服务允许我们为用户自定义起始的程序,在终端服务配置中,我们覆盖用户的登录脚本设置并指定TSLog.bat为用户登录时需要打开的脚本,这样每个用户登录后都必须执行这个脚本,因为默认的脚本(相当于shell环境)是Explorer(资源管理器),所以我在TSLog.bat的最后一行加上了启动 Explorer的命令startExplorer,如果不加这一行命令,用户是没有办法进入桌面的!当然,如果你只需要给用户特定的Shell:
例如cmd.exe或者word.exe你也可以把start Explorer替换成任意的shell。这个脚本也可以有其他的写法,作为系统管理员,你完全可以自由发挥你的想象力、自由利用自己的资源,例如写一个脚本把每个登录用户的IP发送到自己的信箱对于重要的服务器也是一个很好的方法。正常情况下一般的用户没有查看终端服务设置的权限,所以他不会知道你对登录进行了IP审核,只要把TSLog.bat文件和TSLog.log文件放在比较隐蔽的目录里就足够了,不过需要注意的是这只是一个简单的终端服务日志策略,并没有太多的安全保障措施和权限机制,如果服务器有更高的安全要求,那还是需要通过编程或购买入侵监测软件来完成的。
8、陷阱技术
早期的陷阱技术只是一个伪装的端口服务用来监测扫描,随着矛和盾的不断升级,现在的陷阱服务或者陷阱主机已经越来越完善,越来越象真正的服务,不仅能截获半开式扫描,还能伪装服务的回应并记录入侵者的行为,从而帮助判断入侵者的身份。
我本人对于陷阱技术并不是非常感兴趣,一来从技术人员角度来说,低调行事更符合安全的原则;二来陷阱主机反而成为入侵者跳板的情况并不仅仅出现在小说中,在现实生活中也屡见不鲜,如果架设了陷阱反而被用来入侵,那真是偷鸡不成了。
记得CoolFire说过一句话,可以用来作为对陷阱技术介绍的一个结束:在不了解情况时,不要随便进入别人的系统,因为你永远不能事先知道系统管理员是真的白痴或者伪装成白痴的天才......
入侵监测的初步介绍就到这里,在实际运用中,系统管理员对基础知识掌握的情况直接关系到他的安全敏感度,只有身经百战而又知识丰富、仔细小心的系统管理员才能从一点点的蛛丝马迹中发现入侵者的影子,未雨绸缪,扼杀入侵的行动
Juven写的一段防注函数:
'Sql注入判断
Function isSQLInject(StrPara)
'dim StrSQlInject
'StrSQlInject=""
isSQLInject=False
if isNull(StrPara) then Exit Function
SqlInject=split(Web_SqlInject,",")
For i=0 to ubound(SqlInject)
if Instr(lcase(StrPara),lcase(SqlInject(i)))<>0 then
'StrSQlInject=StrSQlInject&SqlInject(i)
isSQLInject=True
Exit For
end if
next
End Function
其中,Web_SqlInject变量存放的是一些注入的命令:
Const Web_SqlInject =""",',;,and,exec,insert,select,delete,update,count,*,%,chr,mid,asc,master,truncate,char,declare,net user,xp_cmdshell,/add,drop,from" 'SQL注入字符
当然自己可以加以修饰,比如记录客户端注入时程序后台记录注入日志等等。
剑气凌人在上个帖子中说
引用:
--------------------------------------------------------------------------------
最简单的防SQL注入的方法,如图
--------------------------------------------------------------------------------
这样没用,注入只需要两个结果,返回正常页面或者返回错误页面,这样仍然可以注入
建立安全的Web站点
【摘要】Internet及Web已成为许多人日常生活、工作及交流的一种主要工具。由于Internet是根据一定的共识进行自制、在全球范围内实现的庞大的系统,它并不在法律和政治范围内运行。作为Web管理员,感触最深的是:确保Web安全不是件容易的事,并非一篇论文能说得清楚。由于 Internet和Web技术的开放性和多层次性,决定了Internet和Web的安全需要格外的关注。本文就是作者根据日常工作环境,讨论如何建立安全的Web站点。
在讨论Web站点安全之前,了解Web的技术原理,对于Web安全工作者而言应该是有益处的。
一、Web技术简介
World Wide Web称为万维网,简称Web。它的基本结构是采用开放式的客户/服务器结构(Client/Server),分成服务器端、客户接收机及通讯协议三个部分。
1、服务器(Web服务器)
服务器结构中规定了服务器的传输设定、信息传输格式及服务器本身的基本开放结构。Web 服务器是驻留在服务器上的软件,它汇集了大量的信息。Web服务器的作用就是管理这些文档,按用户的要求返回信息。
2、客户接收机(Web浏览器)
客户机系统称为Web浏览器,用于向服务器发送资源索取请求,并将接收到的信息进行解码和显示。Web浏览器是客户端软件,它从Web服务器上下载和获取文件,翻译下载文件中的HTML代码,进行格式化,根据HTML中的内容在屏幕上显示信息。如果文件中包含图像以及其他格式的文件(如声频、视频、 Flash等),Web浏览器会作相应的处理或依据所支持的的插件进行必要的显示。
3、通讯协议(HTTP协议)
Web浏览器与服务器之间遵循HTTP协议进行通讯传输。HTTP(HyperText Transfer Protocol,超文本传输协议)是分布式的Web应用的核心技术协议,在TCP/IP协议栈中属于应用层。它定义了Web浏览器向Web服务器发送索取Web页面请求的格式,以及Web页面在Internet上的传输方式。
Web服务器通过Web浏览器与用户交互操作,相互间采用HTTP协议相互通信(服务器和客户端都必须安装HTTP协议)。Web服务器也称为 HTTPd服务器(d是指UNIX系统中的daemon)。最早的Web服务器软件是在UNIX系统上发展起来的,有CERN和NCSA两种类型。现在占居市场分额最大的是Apache服务器软件,并且可以在多种环境下运行,如Unix、Linux、Solaris、Windows 2000等。在Window环境下,由于Microsoft得天独厚的优势,因而IIS (Internet Information Server)成为Windows NT及 Windows 2000下主要的服务器软件。
Web浏览器软件中,Netscape的Web浏览器NN(Netscape Navigator)、NC(Netscape Communicator)具有最广泛的系统平台支持,可以在所有平台上运行;Microsoft的IE(Internet Explorer)则是Windows平台上运行最完美的浏览器软件。
Web服务器和Web浏览器之间通过HTTP协议相互响应。一般情况下,Web服务器在80端口等候Web浏览器的请求, Web浏览器通过3次握手与服务器建立起TCP/IP联接。
大多数Web服务器和Web浏览器已使用了HTTP/1.1版。HTTP1.1具有许多新的特色:
(1) 能够识别主机名,允许多个虚拟主机名共存于一个IP上。
(2) 具有内容协商的能力,允许服务器以多种格式存取资源,供Web服务器和Web浏览器选择最佳版本。
(3) 通过持续性联接加速Web服务器的响应速度。
(4) 允许Web浏览器请求索取文件的某部分,从而为端点续传功能提供更好的支持。
4、公共网关接口介绍(CGI)
在讨论Internet和Web技术给人们提供潇洒服务的同时,不能不提到CGI(Common Gateway Interface)。它是Web服务器与外部应用程序之间交换数据的标准接口软件。有了CGI,Web网站将不只是静态页面的收藏点,而是可以通过在 Web服务器上运行一定的程序,输出一个动态的页面。CGI是一种独立于语言的接口,CGI程序可以使用任何可以访问环境变量和产生输出的编程语言来编写,有C、C++、PERL、Shell等。
CGI与Web服务器的关系:首先,用户的Web 服务器必须支持CGI程序,并且CGI应用程序必须在Web服务器上运行。客户端(Web浏览器)常用Post、Get两种方式向Web服务器提交表单数据(图、表、文字的链接等),Web服务器采用相应的数据传递方式向CGI应用程序传递数据。CGI对数据处理后,将动态生成的Web页面发给Web服务器,服务器再把页面发送给发送请求数据的客户端。客户端用Post 方式递交数据,Web 服务器按照标准方式向CGI输入和接受数据,CGI同样按标准方式读取和输出数据;客户端用Get方式递交数据,在Unix类系统中Web服务器通过环境变量方式把数据转交CGI应用程序,CGI应用程序须从环境变量中读入数据,输出结果同样送到标准输出中。
二、建立Web安全体系
Web赖以生成的环境包括计算机硬件、操作系统、计算机网络、许多的网络服务和应用,所有这些都存在着安全隐患,最终威胁到Web的安全。Web 的安全体系结构非常复杂主要包括以下几个方面:
* 客户端软件(既Web浏览器软件)的安全;
* 运行浏览器的计算机设备及其操作系统的安全(主机系统安全);
* 客户端的局域网(LAN);
* Internet;
* 服务器端的局域网(LAN);
* 运行服务器的计算机设备及操作系统的安全(主机系统的安全);
* 服务器上的Web服务器软件。
在分析Web服务器的安全性时,一定要考虑到所有这些方面,因为它们是相互联系的,每个方面都会影响到Web服务器的安全性,它们中安全性最差的决定了给定服务器的安全级别。由于篇幅的限制不能够详细地讨论所有影响Web安全的因素。考虑到影响Web安全的最直接的因素,下面主要讨论Web服务器软件及支撑服务器运行的操作系统的安全设置与管理。
1、主机系统的安全需求
网络的攻击者通常通过主机的访问来获取主机的访问权限,一旦攻击者突破了这个机制,就可以完成任意的操作。对某个计算机,通常是通过口令认证机制来实现的登陆到计算机系统上。现在大部分个人计算机没有提供认证系统,也没有身份的概念,极其容易被获取系统的访问权限。因此,一个没有认证机制的PC是 Web服务器最不安全的平台。所以,确保主机系统的认证机制,严密地设置及管理访问口令,是主机系统抵御威胁的有力保障。
2、Web服务器的安全需求
随着“开放系统”的发展和Internet的知识普及,获取使用简单、功能强大的系统安全攻击工具是非常容易的事情。在访问你的Web站点的用户中,不少技术高超的人,有足够的经验和工具来探视他们感兴趣的东西。还有在人才流动频繁的今天,“系统有关人员”也可能因为种种原因离开原来的岗位,系统的秘密也可能随之扩散。
不同的Web网站有不同的安全需求。建立Web网站是为了更好地提供信息和服务,一定程度上Web站点是其拥有者的代言人,为了满足Web服务器的安全需求,维护拥有着的形象和声誉,必须对各类用户访问Web资源的权限作严格管理;维持Web服务的可用性,采取积极主动的预防、检测措施,防止他人破坏,造成设备、操作系统停运或服务瘫痪;确保Web服务器不被用做跳板来进一步侵入内部网络和其他网,使内部网免遭破,同时避免不必要的麻烦甚至法律纠纷。
三、Web服务器设备和相关软件的安全考虑
Web服务器的硬件设备和相关软件的安全性是建立安全的Web站点的坚实基础。人们在选择Web服务器主机设备和相关软件时,除了考虑价格、功能、性能和容量等因素外,切莫忽略安全因素,因为有些服务器用于提供某些网络服务时存在安全漏洞。挑选Web服务器技术通常要在一系列有冲突的需求之间作出折中的选择,要同时考虑建立网站典型的功能需求和安全要求
对于Web服务器,最基本的性能要求是响应时间和吞吐量。响应时间通常以服务器在单位时间内最多允许的链接数来衡量,吞吐量则以单位时间内服务器传输到网络上的字节数来计算。
典型的功能需求有:提供静态页面和多种动态页面服务的能力;接受和处理用户信息的能力;提供站点搜索服务的能力;远程管理的能力。
典型的安全需求有:在已知的Web服务器(包括软、硬件)漏洞中,针对该类型Web服务器的攻击最少;对服务器的管理操作只能由授权用户执行;拒绝通过Web访问Web服务器上不公开的内容;能够禁止内嵌在操作系统或Web服务器软件中的不必要的网络服务;有能力控制对各种形式的执行程序的访问;能对某些Web操作进行日志记录,以便与入侵检测和入侵企图分析;具有适当的容错功能。
所以,在选择Web服务器时,首先要从建立网站的单位的实际情况出发,根据安全政策决定具体的需求,广泛地收集分析产品信息和相关知识,借鉴优秀方案或实施案例的精华,选择你认为能够最好地满足本单位包括安全考虑在内的需求的产品组合。
四、建立安全的Web网站
在本篇文章的开始讨论过Web站点的组成的三个部分。需要强调的是,主机操作系统是Web的直接支撑者,合理配置主机系统,能为Web服务器提供强健的安全支持。
1、理解配置主机操作系统
(1) 仅仅提供必要的服务
已经安装完毕的操作系统都有一系列常用的服务,UNIX系统将提供Finger、Rwho、RPC、LPD、Sendmail、FTP、NFS、IP 转发等服务。Windows NT系统将提供RPC(远程过程调用)IP(网际协议)转发、FTP(文件传输协议)、SMTP(简单邮件传输协议)等。而且,系统在缺省的情况下自动启用这些服务,或提供简单易用的配置向导。这些配置简单的服务应用在方便管理员而且增强系统功能的同时,也埋下了安全隐患。因为,关于这些应用服务的说明文档或是没有足够的提醒,或是细碎繁杂使人无暇细研,不熟练的管理员甚至没有认真检查这些服务的配置是否清除了已知的安全隐患。
为此,在安装操作系统时,应该只选择安装必要的协议和服务;对于UNIX系统,应检查/etc/rc.d/目录下的各个目录中的文件,删除不必要的文件;对于Windows系统,应删除没有用到的网络协议,不要安装不必要的应用软件,如C/C++编译程序等。一般情况下,应关闭Web服务器的IP转发功能。
系统功能越单纯,结构越简单,可能出现的漏洞越少,因此越容易进行安全维护。对于专门提供Web信息服务(含提供虚拟服务器)的网站,最好由专门的主机(或主机群)作Web服务器系统,对外只提供Web服务,没有其他任务。这样,可以保证(1)使系统最好地为Web服务提供支持;(2)管理人员单一,避免发生管理员之间的合作不调而出现安全漏洞的现象;(3)用户访问单一,便于控制;(4)日志文件较少,减轻系统负担。
对于必须提供其他服务,如(提供需拟网站服务)FTP服务与Web服务共用文件空间,既FTP和HTTP共享目录,则必须仔细设置各个目录、文件的访问权限,确保远程用户无法上传通过Web服务所能读取或执行的文件。
(2) 使用必要的辅助工具,简化主机的安全管理
启用系统的日志(系统帐户日志和Web服务器日志)记录功能。监视并记录访问企图是主机安全的一个重要机制,以利于提高主机的一致性以及其数据保密性。
Unix系统,可以在服务器上安装tcp_wrapper工具。它在其他网络服务启动之前首先启动。tcp_wrapper的配置文件可以控制只有本主机上的用户才可以用登陆(Telnet)到本服务器。
Windows NT提供端口访问控制功能,有助于加强Web服务器的安全。在网络→协议→TCP/IP协议属性→高级,选用“启用安全机制” → 配置,将出现窗口。选择“仅允许”,便可以利用“添加”功能,设置允许访问的端口。
2、合理配置Web服务器
(1)在Unix OS中,以非特权用户而不是Root身份运行Web服务器。(如Nobody、www、Daemon)
(2)设置Web服务器访问控制。通过IP地址控制、子网域名来控制,未被允许的IP地址、IP子网域发来的请求将被拒绝;
(3)通过用户名和口令限制。只有当远程用户输入正确的用户名和口令的时候,访问才能被正确响应。
(4)用公用密钥加密方法。对文件的访问请求和文件本身都将加密,以便只有预计的用户才能读取文件内容。
3、设置Web服务器有关目录的权限
为了安全起见,管理员应对“文档根目录”(HTML文件存放的位置)和“服务器根目录”(日志文件和配置文件存放的位置)做严格的访问权限控制;
(1)服务器根目录下存放日志文件、配置文件等敏感信息,它们对系统的安全至关重要,不能让用户随意读取或删改;
(2)服务器根目录下存放CGI脚本程序,用户对这些程序有执行权限,恶意用户有可能利用其中的漏洞进行越权操作,比如,增、删、改;
(3)服务器根目录下的某些文件需要由Root来写或者执行,如Web服务器需要Root来启动,如果其他用户对Web服务器的执行程序有写权限,则该用户可以用其他代码替换掉Web服务器的执行程序,当Root 再次执行这个程序时,用户设定的代码将以Root身份运行。
4、谨慎组织Web服务器的内容
5、安全管理Web服务器
Web服务器的日常管理、维护工作包括Web服务器的内容更新,日志文件的审计,安装一些新的工具、软件,更改服务器配置,对Web进行安全检查等。主要注意以下几点:
(1)以安全的方式更新Web服务器(尽量在服务器本地操作);
(2)经常审查有关日志记录;
(3)进行必要的数据备份;
(4)定期对Web服务器进行安全检查;
(5)冷静处理意外事件。
五、Web网站的安全管理
1、建立安全的Web网站,首先要全盘考虑Web服务器的安全设计和实施。无论是政府网站,还是企业、商业机构或是社会团体,各自都有其特殊的安全要求,所以,根据本单位的实际情况出发,周密制定安全政策是实现系统安全的前提。
2、对Web系统进行安全评估,也就是说,权衡考虑各类安全资源的价值和对它们实施保护所需要的费用。这个当中不能只考虑看得见的资源实体,应该综合考虑资源带来的效益,资源发生不安全情况的几率,资源的安全保护被突然破坏时将可能带来的损失。
3、制定安全策略的基本原则和管理规定,即指明各类资源的基本安全要求以及为了达到这种安全要求应该实施的事项。安全管理是由个人或组织针对为了达到特定的安全水平而制定的一整套要求有关部门人员必须遵守的规则和违规罚则。对于Web服务提供者来说,安全管理的一个重要的组成是哪个人可以访问哪些 Web文挡,获权访问Web文档和使用这些访问的人的有关部门权利和责任,有关人员对设备、系统的管理权限和维护守则,失职处罚等。
4、对员工的安全培训,培养员工主动学习安全知识的意识和能力。一个网站的安全政策必须被每一个工作人员所理解,这样才可能让每一个员工自觉遵守、维护它。
尽管如此,Web网站的安全是相对的,没有绝对的安全,我们只能把遭受攻击的可能性降到最低。更重要的是,必须做到“有法必依”,把安全政策体现到设备的选购、网络结构的设计、人员的配置、管理及每一个人的日常的工作中。
本文所用到的英汉缩略说明:
Web 是 World Wide Web 的简称
HTTP(Hyper Text Transfer Protocol) 超文本传输协议
IIS (Internet Information Server) Internet 信息服务器
CGI(Common Gateway Interface) 公共网关接口
LAN(Local Area Network) 局域网
RPC(Remote Procedure Call) 远程过程调用
TCP(Transmission Control Protocol) 传输控制协议
IP(Internet Protocol) 网际协议
FTP(File Transfer Protocol) 文件传输协议
SMTP(Simple Mail Transfer Protocol) 简单邮件传送协议
PC(Personal Computer) 个人计算机
OS(Operating System) 操作系统
快速干掉感染InternetExplorer的恶意程序
详细图片方法位能添加请原谅:
看了《黑客帝国III 矩阵革命》,我的心情很沉重。我原以为人类能战胜机器,我原以为人类能延续文明。但是结果令人失望。原来在强大的机器面前,人类是如此的不堪一击。就连人类的救世主 The One 6.0,也无法与机器王抗衡,最终只能采取与特工Smith(病毒程序)同归于尽的方法,换来人类与机器之间短暂的和平。也许,这正好说明了人类的渺小。
值得庆幸的是那毕竟是电影现实还是人类的天下天空依旧很蓝阳光依旧灿烂。我现在期望的是高度智能化的机器网络永远不要出现但是核战争的威胁却是时刻存在的。说不定哪天我起床看到的就是和黑客帝国里面描述的核战争以后的地球。当然我也就从此解脱了不用再这么早就爬起来上班也不用这么晚才回家也不用看着还算过去的的薪水自嘲所谓的IT白领却连五环边上的经济适用房都买不起。现在不是提倡回归自然吗最彻底的就是回到原始社会石器时代就不错。
大约是黑客帝国中的特工 Smith 太强大、太恶毒了,所以我对 Smith 的形象非常憎恶,包括他自以为很酷的墨镜以及自以为很帅的发型以及自以为很幽默的语言以及自以为很得体的西装。甚至我想如果有机会我会把他的牙全部打掉以教训他不要动不动就把他自以为很整齐却有烟垢的牙齿露出来严重影响我LP的视觉如果我能把自己升级到 The One 10.0 的话。
现在我经常和处于萌芽状态的 Smith 斗争,就是那些感染 IE 、动不动就把我的 IE 改得面目全非的网站。经过长期反复的战斗,我对这样的事情已经出离愤怒。那些把自己的快感建立在别人的痛苦的基础之上并随时都在意yin的恶意网站的站长们,我只想竖起中指然后对它们说:“鄙视你”。
1、恶意代码逐一批斗
说起恶意代码,大家都不陌生,但是又都不很清楚,大部分都是根据自己的亲身经历来感受。所以我把常见的恶意代码的表现形式大概整理了一下,逐一批斗:
(1) IE 浏览器相关
·篡改IE标题为恶意网站的名字或者吸引人的内容 (这是为了吸引您的眼球,一般色情网站用得最多,此处省略有关举例词汇15000字)
·篡改IE首页为恶意网站,强迫您每次打开 IE 都要先去它的网站溜达一圈(这是为了增加他网站的访问量,严重的还屏蔽了“使用默认页”、“使用空白页”这几个按钮,并且不允许您进入注册表编辑器 regedit 改正过来)
·篡改IE默认的搜索引擎为他的网站(当您点击 IE 的“搜索”按钮,输入关键词进行搜索时,也会跑到它的网站。属于阶级斗争新动向)
·禁止IE的Internet选项(这是为了防止您修复被他篡改的选项)
·禁止IE的右键菜单弹出(这是为了防止别人使用右键菜单的“查看源文件”功能,通常也同时禁止了“文件->使用xx编辑”菜单项和工具栏上的“编辑”按钮)
·禁止IE查看源文件(同上。这对于喜欢参考学习别人网站的朋友来说实在是太不爽了)
·强行在IE收藏夹中加上恶意网站的链接地址(这是为了方便您进入他的网站,至于是否真的方便,只有天知地知你知他知了)
·强行在IE右键菜单中加上恶意网站的名称(同上)
·强行在IE工具栏中加上恶意网站的链接按钮(同上)
(2) 注册表相关
·禁止使用注册表编辑器 regedit(防止您手工恢复 IE 设置。没有人性)
·禁止导入注册表文件(*.reg)(防止您用备份的 *.reg 文件还原注册表以恢复 IE 设置。没有人性,too)
·隐藏开始菜单中的“注销”、“运行”、“关闭”项和“我的电脑”(纯粹是为了炫耀武力)
·篡改“我的电脑”属性中的“注册用户名”和“组织”(典型的无聊+恶作剧+弱智)
·篡改文件创建日期和系统时间(这种损人不利己的事情,也只有BT才想得出来)
·禁止使用“控制面板”(同上)
·禁止使用“网上邻居”(同上)
(3) 其他
·开机后IE被重新感染(这说明了斗争的残酷性、持续性和不可预见性,“道高一尺,魔高一丈”,古之人不余欺也)
·开机后弹出对话框(想出这个功能的人绝对是一个暴露狂,别人都把自己的形迹藏了又藏,它却生怕别人不知道)
看看,恶意网站的罪行真是罄竹难书啊!我可怜的IE和Windows系统,竟然是如此的弱不禁风,象软柿子一样被恶意网站随意捏来捏去,“微软”这个名字真是名副其实啊!
2、修复IE浏览器
为了修复 IE,我用过了许多小工具软件,算是“阅软无数”。当然萝卜白菜各有所爱,我个人觉得比较顺手的,3721上网助手算一个。其实也不过就是看中了它的能从 IE中点一个按钮就能修复IE的快捷之处,虽然它的修复功能的确不错。(安装方法:进入上网助手网站 assistant.3721.com,在弹出的对话框中点“是”。)
(1) 快速修复
用3721上网助手,通过如下2个步骤即可快速修复IE浏览器:
① 点击IE工具栏上的上网助手图标旁边的箭头,出现下拉菜单,点击“修复系统...”菜单项(如图1):
图1
② 程序提供了一些默认设置(如图2),对于大多数人来说,已经足够。点击“立即修复”按钮,完成操作:
图2
(2) 详细选项
上网助手提供了许多详细的选项供我们设置(页面中淡蓝色的区域部分):
① 详细修复IE,包括:
·恢复IE浏览器标题为空白
·恢复IE浏览器首页为空白页、默认地址为系统默认页
·修复IE浏览器的Internet选项为可用
·修复IE浏览器右键菜单不能弹出的问题
·修复IE浏览器查看源文件功能
·恢复IE浏览器链接栏名称
·修复重新开机后IE浏览器又被感染的问题(例如自动弹出IE窗口)
·恢复IE浏览器默认的搜索引擎
·恢复IE为默认浏览器
② 详细修复注册表,包括:
·修复被非法改写的文件创建日期和系统时间
·修复开始菜单中"注销"、"运行"、"关闭"项消失和"我的电脑"中硬盘被隐藏的问题
·修复开机后弹出对话框的问题
·修复注册表编辑器为可用
·修复注册表文件不能导入问题
·取消对"控制面板"的非法限制
·取消对"网上邻居"的非法限制
通过设置,我们可以非常细致入微地对系统进行修复。不过一般情况下没有必要进行详细的选择,上网助手默认的设置已经很够用了。
3、清除多余内容
一些软件会在 IE 的工具栏和右键菜单上,添加一些快捷方式,以方便我们的使用。但是恶意网站也看到了这一点,并充分发挥到了极致,使得自己并不太倩的身影无处不在。对于这些内容,我们也可以进行有效地清除。
在图2中,点击“清理IE右键菜单”或者“清理IE工具栏”,可以进入相关功能,例如图3:
图3
选择其下面的某个或多个项,点击“立即清除”,相应的内容就会被清除了。
4、保护IE浏览器、屏蔽恶意网站
修复浏览器,只是事后诸葛亮。进攻才是最好的防守。但是显然我们一般人无法对恶意网站实施报复(虽然我很想这样做),但是如果我们能把IE保护起来,免受恶意网站的攻击,那么效果也要比被攻击以后再来修复要好得多,正所谓“拒敌于千里之外”是也。
(1) 即时保护IE
① 在图2所在的页面顶端,点击“安全防护”->“即时保护IE”,看到如下内容(如图4):
图4
② 点击“立即设置”按钮,生效。
提示:在图1中,点击“即时保护IE”,不用上网就能保护 IE。这个小功能很实用。
(2) 惩戒恶意网站
既然那些恶意网站如此可恶,为什么不屏蔽它们、让它们根本无法接近我的IE?呵呵,英雄所见略同。3721上网助手就提供了屏蔽恶意网站的功能。在图4中,点击“屏蔽恶意网站”,然后点击“立刻设置”,就会生效。
上网助手提供了如下两种方式屏蔽恶意网站:
·根据上网助手内置的恶意网站特征码(每天自动更新)进行屏蔽
·屏蔽自己定义的恶意网站列表
因此,如果您有其他的网站需要屏蔽,可以在这里一并添加。
但是正如我前面提到的,“道高一尺,魔高一丈”,恶意网站也是在不断升级的。所以如果您发现了新的恶意网站,或者上网助手无法修复您的 IE 了,说明您遇到了新的恶意代码。遇到这种情况,请到 assistant.3721.com ,点击“举报恶意网站”链接,输入该网站的网址和症状,过不了多久,上网助手就会推出新的对付恶意网站的代码。
恶意网站的受害者们,团结起来,为了我们的共同安全,请一起来举报这些恶意网站!虽然我们无法直接打击它们,但是只要它们被列入了上网助手的恶意网站列表,它们的好日子就到头了。据说有的恶意网站被屏蔽以后,访问量从每天几十万(就是通过篡改你我的IE、强迫我们去访问他的网站而巧取豪夺得来的)下降到不到1万(原因是上网助手的覆盖量太大了,而很多人都启用了屏蔽恶意网站的功能),真是恶有恶报,大快人心。这对那些恶意网站来说,绝对能起到很好的惩戒作用。当然如果我们一起把这篇文章传播出去,就能起到杀鸡骇猴的作用。
这里也建议还没有安装上网助手的朋友,请尽快安装上网助手,启用屏蔽恶意网站的功能,就不用担心受到它们的伤害了。
5、一键修复
如果您觉得上网助手默认的修复功能已经够用了,那么可以用一键修复的功能,快速解决问题,方法是在IE工具栏上点击上网助手一键修复的按钮,如图5所示:
图5
这就是我喜欢上网助手的真正原因。一键搞定,爽!
别了,恶意网站们。
网络常见木马的手工清除方法
木马的出现对我们的系统造成了很大的危害,但是由于木马通常植入得非常隐蔽,很难完全删除,因此,这里我们介绍一些常见木马的清除方法。
1. 网络公牛(Netbull)
网络公牛是国产木马,默认连接端口23444。服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:\ WINDOWS\SYSTEM下,下次开机checkdll.exe将自动运行,因此很隐蔽、危害很大。同时,服务端运行后会自动捆绑以下文件:
win2000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上,在注册表中网络公牛也悄悄地扎下了根。
网络公牛采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难。这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。
清除方法:
1.删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。
2.把网络公牛在注册表中所建立的键值全部删除:
3.检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始 →附件→系统工具→系统信息→工具→系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。
2. Netspy(网络精灵)
Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过IE或Navigate就可以进行远程监控了。服务端程序被执行后,会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\ microsoft\windows\CurrentVersion \Run\下建立键值C\windows\ system\netspy.exe,用于在系统启动时自动加载运行。
清除方法:
1.重新启动机器并在出现Staring windows提示时,按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令:del netspy.exe;
2.进入HKEY_LOCAL_MACHINE\
Software\microsoft\windows\ CurrentVersion\Run\,删除Netspy的键值即可安全清除Netspy。
3. SubSeven
SubSeven的功能比起BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374),服务端只有54.5k,很容易被捆绑到其它软件而不被发现。最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubSeven服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此很难查。
网络管理员必读之如何让DHCP服务器更安全
现在规模稍大的企业网,一般都使用DHCP服务器为客户机统一分配TCP/IP配置信息。这种方式不但减轻了网管人员的维护工作量,而且企业网的安全性也有了一定的提高。但DHCP服务器的安全问题却不容小视,它一旦出现问题,就会影响整个网络的正常运行,如何加强对DHCP服务器的管理呢?其实简单的几步就可以实现。
一、启用DHCP审核记录
在DHCP服务器中到底发生了什么事情,管理员单靠肉眼是无法察觉的,最简单的方法是查看Windows日志,但这时一定要确保启用了DHCP服务器的“审核记录”功能,否则,就无法在事件查看器中找到相应的记录。
笔者以Windows 2000服务器为例,依次点击“开始→程序→管理工具→DHCP”后,弹出DHCP控制台窗口,右键点击你的服务器,在菜单中选择“属性”,弹出属性设置对话框,切换到“常规”标签页(如图1),确保一定要选中“启用DHCP审核记录”选项,最后点击“确定”按钮。
这样就启用了DHCP服务器的审核记录,它的日志文件默认保存在“C:\WINNT\System32\dhcp”目录下。为了防止“不法之徒”恶意删除日志,可以修改DHCP日志文件的存放路径。切换到“高级”标签页(如图2),点击“审核日志路径”栏的“浏览”按钮,指定新的日志文件存放位置,接着,使用相同的方法,修改“数据库路径”,最后点击“确定”。这样,我们的DHCP日志就更加安全了。
二、指定DHCP管理用户
在企业网中,为了加强对DHCP服务器的管理,网络管理员要指定一个或若干用户对DHCP服务器进行管理。如笔者要指定账号名为“CCE”的用户能够对DHCP进行管理,在Windows 2000服务器中,进入到“控制面板→管理工具”,运行“Active Directory 用户和计算机”工具,在弹出的窗口中,点击“Users”选项,接着在右侧框体中找到“DHCP Administrators”项,右键点击,选择“属性”,弹出“DHCP Administrators属性”对话框,切换到“成员”标签页,点击“添加”按钮,将“CCE”用户添加到列表框中,最后点击“确定”按钮,这样 “CCE”用户就能够管理DHCP服务器了。
三、对DHCP管理用户限制
如果网络管理员意外出现误操作,将其他的用户加入到DHCP管理组,那么这些用户也会拥有对DHCP服务器的管理权限,这种情况的发生同样会影响DHCP服务器的安全。如何对这些DHCP管理组用户进行限制呢?何不利用域安全策略,给DHCP服务器加个“双保险”。
如笔者只允许DHCP管理组的CCE用户,对DHCP服务器拥有管理权限,而其他用户只有“只读”权限。进入到“控制面板→管理工具”,运行“域安全策略”工具,弹出安全策略控制台窗口,接着依次展开“Windows 设置→安全设置→受限制的组”,然后在右侧框体中的空白处单击右键,选择“添加组”,弹出添加组对话框,在栏中输入“DHCP Administrators”后,点击“确定”按钮。
然后右键点击“DHCP Administrators”,选择“安全性”,弹出配置成员身份对话框,接着点击“添加”按钮,将“CCE”用户添加到成员列表中,最后点击“确定”。
通过以上三步操作后,我们的DHCP服务器就更加安全了,有兴趣的朋友,不妨一试!
网络管理员必读之如何让DHCP服务器更安全 src="../../A-A-A/2005/05/26/200505261538207056.jpg">
图1 启动DHCP审核记录
网络管理员必读之如何让DHCP服务器更安全 src="../../A-A-A/2005/05/26/200505261538205334.jpg">
图2 修改DHCP日志保存路径
用ISA+瑞星构筑防范黑客和病毒攻击的铜墙铁壁
随着当今信息社会的迅猛发展,信息化浪潮已遍布各行各业。同时由于电子商务和电子政务的推行,使得社会信息化发展得更快,因此这就需要各个单位进快汇入信息化的大潮中,否则就有可能被社会所淘汰。然而就在企业连上互联网的那一刻开始,网络安全的问题就摆在了各个单位面前。那么我们怎样才能既安全又高效的连上互联网上呢?或许安装ISA+瑞星网络版杀毒软件是一个不错的办法,下面我将结合我单位网络建设中怎样利用ISA+瑞星网络版杀毒软件来构筑安全网络的事例来阐述其构成。
关键词
ISA 瑞星 网络版杀毒软件 网络安全 防火墙 代理服务
正文
一、为什么要用ISA+瑞星网络版杀毒软件来构造安全网络
自从网络用户连上互联网的那一刻开始,网络安全问题就放在了我们面前。如果不做好网络安全防卫工作,那么就可能造成网络内部数据被盗或丢失、网络瘫痪、病毒泛滥等,这样就使得网络用户不能正常工作。
安全问题是每个单位都不敢掉以轻心的,只要任何一个单位在网络上存在,那么必须对自己进行保护,免受恶意和敌意的入侵与攻击的伤害。伴随着 Internet的成长,黑客和黑客工具无论在数量还是质量上都逐渐发展状大。为了解决这个问题,市面上的防火墙产品也呈爆炸性增长趋势。但所有软件各有千秋,其功能和价格也不一样,因此就其实用性来说,我们选择了ISA,因为它不但具有防火墙的功能,而且更主要的是有代理和高速缓存的功能。同时它还可以按照用户的要求量身定做的开放相应的协议和端口,因而网络安全就更胜一筹。同时由于瑞星杀毒软件的强大防毒和杀毒功能,以及瑞星的时时在线升级功能,使得瑞星在杀毒方面技胜一筹,因此我们就选用了ISA+瑞星网络版杀毒软件来构造安全网络。
二、ISA的安装与配置
1、ISA的安装
当我们买回ISA软件后,首先应该阅读一下软件安装说明,这对我们正确安装软件百利而无一弊。同时要特别注意ISA标准版和企业版的异同之处。ISA 标准版需要安装到一台独立的Windows2000服务器上,而且只能使用本地安全策略,它不需要Active Directory的支持。而企业版必需要Active Directory的支持,它同Active Directory紧密地集成在一起,它还利用Active Directory保存配置和策略信息。由于我们单位的网络是一个中型网络,所以我们用不着去买ISA企业版(因为企业版要比标准版贵很多),因此我们最后选用了ISA标准版。
在安装ISA之前,首先要安装好Server 2000操作系统,且保证所装区域为NTFS格式。在装好系统后,必须要确保所装服务器上有两块网卡,并且两块网卡都设置好,一块网卡配置外部IP地址,另一块网卡配置内部IP地址。同时要配置好两块网卡的各自网关和DNS地址。要注意的是内部网卡的网关地址请不要填写。同时去掉操作系统中的IIS和其它不相关的程序,只保留一个纯Server2000操作系统。在做好这些基础工作之后,就可以将ADSL专线(我单位申请的是ADSL专线)插在外部网卡上,同时在服务器上测试线路的连通信,以确保服务器现在能连上互联网。否则得重新检查硬件和软件的安装,以确保服务器必须能连上互联网。在做好这些基本工作后就可以安装ISA软件了。
当我们把ISA光盘放入光驱之后,它会自动弹出一个界面让用户去选择。首先它须确保操作系统能满足它的安装要求。否则用户就得更新系统,以符合安装要求。ISA Server有三种安装模式:防火墙模式、高速缓存模式、综合模式。在综合模式下,防火墙和缓存功能会被整合到一起,以便同时利用网络安全和Web缓存方面的功能。因此我们选用了综合模式。
在安装期间配置LAT时,必须注意要根据内部网络实际使用的地址来配置,必须要配置正确,否则就不能正常运行。这可根据主控服务器的设置来进行配置。例如我单位在装主控服务器时就设定了内部网络地址为:192.168.0.0~192.168.0.255,因此我们在LAT中就填入该内部IP地址。在设置Web缓存时,最好能选择剩余区间最大且不与程序文件同一个分区的磁盘分区,其缓存文件大小可根据实际情况来决定,但其大小最好能大一些,我单位就配置了一个1G大小的Web缓存文件。
2、ISA协议的配置
在装好程序文件后,就得配置相应的访问规则,这样内部用户才能访问英特网。其中最主要的是访问Web协议和访问邮件服务协议,其它象访问FTP、QQ、NetMeeting、证券之星等程序的协议可根据实际情况来决定是否开放。
访问Web协议的开放可以通过以下来完成:在ISA Management中,展开计算机,找到Access Policy/Protocol Rules/Create a Protocol Rule for internet Access,点击它,一路按默认值进行配置,即Protocol中有FTP、FTP Download only、Gopher、Http、Https,Action为Allow,Schedule为always、Applies to为Any Request。
要访问邮件服务器上的邮件就得开放与DNS相关的协议,如DNS Query、DNS Query Server、Dns Zone Transfer、Dns Zone Transfer Server四个协议。
3、WEB服务器和邮件服务器的发布
要进行WEB发布,可按以下步骤进行:在ISA Management控制台中,展开计算机名,找到Policy Elements/Destination Sets/Create a Destination Set,点击它,在name中输入所添加目标的名字,最好输好记的名字,如域名等。然后在include these destinations/add/ Destination中输入单位网站网址。然后就OK了。接着找到Publishing节点。右击Web Publishing Rules节点,点击New,然后选Rule。在向导的第一页输入该规则的名字,可命名为Exeter Web,点Next;在目标集合页中,在Apply this rule to下拉框中选择Specified destination set,在Name下拉框中选择我们前面已经建立好的目标的名字,例如前面建设好的域名,点击Next。在Client Type中选择Any Reqest。因为我们开放网站的目的就是要让外界所有人看,所以就选择此项,再点击Next,在Rule Action中可以根据不同的情况选用不同的方式,我们选用了第二种方式Redirect the request to this internal Web server(name or IP address),在其中最好能输入网站服务器的IP地址。因为我单位网站放在内部,其IP为192.168.0.3,所以我们就将其输上。同时我们应在下面的send the original host header to the publishing server instead of the actual one(specified above)前面的方框内画上勾,其下面各小项的值最好不要改动,使用其默认值。最后一页可以看一下所有配置,如果正确就点击Finish就完成了网站的发布。
邮件服务器的发布可通过以下步骤来进行:在ISA Management中,展开Publishing节点,右击Server Publishing Rules节点,点击Secure Mail Server。在对话框中,选中Default Authentication和SSL Authentication中的所有选项,然后点击Next,在ISA Server′s External IP addressd页中,输入ISA所在服务器的外部接口的IP地址,即互联网上的IP地址,然后点击Next。在Internal Mail Server页中选择At this IP address,在其中输入内部邮件服务器的IP地址(192.168.0.1),然后点击Next。在向导的最后一页,如果我们确认所有设置无误后就可以点击Finish以完成配置,系统自动创建许多新的服务器发布规则。这样邮件服务器就发布完成。
4、客户端的安装
ISA Server客户机类型有三种:SecureNAT、防火墙客户机、Web代理客户机。但为了能充分利用ISA本身所具有防火墙功能,我们选用了防火墙客户机来安装客户端。客户端的安装路径为:\\ISA服务器名\mspclnt \setup.exe。
三、瑞星网络版杀毒软件的安装
瑞星网络版杀毒软件的控制中心最好能安装在ISA服务器即网关上。因为这样做就可以将病毒控制在外网中,以致于将病毒完全隔离在外网,不会向内网传播。在安装过程中,要注意系统控制中心的IP地址一定要设置成外部IP地址,此点切记。
在安装好系统控制中心后,接着按照提示安装好服务器端和客户端。在服务器端的升级设置中,如果是专线的话,最好设置成在某一固定时间自动下载升级,这样即保证了病毒库的时时更新,又不必需要网络管理员天天去手动下载升级。
要注意的是,如果邮件服务器安装在内网中,并且是用Exchange Server 2000来作为邮件服务器,同时没有买瑞星专门针对Exchange Server 2000设置的程序的话,就得注意必须关掉网关(ISA服务器)和邮件服务器上的邮件监控,即关闭邮件发送监控和关闭邮件接收监控。只有这样,才能保证 Exchange Server 2000邮件服务器正常运行和客户端正常收发邮件。
在安装好所有客户端后,要定期地在服务器上对整个网络的所有计算机进行联网杀毒,彻底杀灭内部的一些原来没有被杀的病毒,以保证整个网络的安全。
结束语
通过ISA+瑞星网络版杀毒软件在网络上的配置,就使得整个网络的安全大大提高,从而维护了整个网络在互联网上的安全性,这对黑客的攻击和病毒泛滥可以构筑起一堵铜墙铁壁来保证网络的安全与正常运行。
邮件安全攻略只要糖衣不要炮弹
打造E-mail铁幕防线
在E-mail的安全防范中,我们同样可以使用“假痴不癫”之计谋,从系统、杀毒、防黑等多方面为E-mail打造出一条安全防线……
E-mail的安全隐患浅析
E-mail作为目前网络中人际交往中使用最广泛的通信工具,它的安全问题在数年前就引起了各方面的关注。简单地说,E-mail在安全方面的问题主要有以下直接或间接的几方面:
●密码被窃取
木马、暴力猜解、软件漏洞、嗅探等诸多方式均有可能让邮箱的密码在不知不觉中就拱手送人。
●邮件内容被截获
●附件中带有大量病毒
它常常利用人们接收邮件心切,容易受到邮件主题吸引等心理,潜入和破坏电脑和网络。目前邮件病毒的危害已远远超过了传统病毒。
●邮箱炸弹的攻击
●本身设计上的缺陷
下面将针对电子邮件可能对我们构成的种种威胁,从保证邮箱与邮件的安全,以及对系统安全性的目的出发,来谈一些切实可行的防范对策。
邮件客户端软件使用限制
由于邮件客户端软件(如Foxmail)是邮件收发的操作环境,所以对邮件客户端软件进行使用限制,我们可以将其视为第一道防线。以Foxmail为例,根据操作系统的不同,通常有如下几种限制方法:
1. 在Windows 98等安全性设计不完善的操作系统中,可使用PC Security等第三方安全工具来完成对Foxmail的使用限制。在安装完该软件后,只需右键点击Foxmail图标,在弹出的快捷菜单中依次选择 “PC Security”、“Lock”即可达到“锁定”式的限制使用效果。当需要使用Foxmail的时候,必须输入相应的解锁密码方可使用Foxmail。
2. 在使用Windows XP等安全性较好的系统时,除了可以使用PC Security这类的第三方加密工具外,还可以使用系统本身的加密功能。前提是Foxmail软件应该安装在NTFS分区中,然后就可以右键点击该图标,在弹出的菜单中选择“属性”,点击切换到“安全”选项卡设置界面后,根据需要,设置有权使用此程序的用户(如图1)。
邮箱密码的安全措施
邮箱密码是目前最容易遭到破解的注册密码之一,其危害性之大、波及范围之广均不容忽视。因此我们应该采用以下措施来尽量降低风险:
1. 强烈建议使用“足够长度的不规律密码组合+定时更换的密码”。
2. 设置密码提示问题及回答要复杂。在注册邮箱的时候大都会需要设置一个密码提示问题,用于恢复密码时使用。但是这有时将会给黑客带来“猜测”的机会!比方说一些用户的提示问题是123,回答的答案是321。那么稍有经验的黑客都会首先测试这样的问题与答案,从而不费吹灰之力将邮箱破解掉。所以对于这个提示问题和密码,还是应该起一个既有意义容易记忆且又不易被黑客猜中的问题密码为宜。
邮件的加密
邮件的加密是一种比较有效的、针对邮件内容的安全防范措施,而HotCrypt正是这样一款用于邮件加密的软件,非常适合新手使用。HotCrypt 采取了先进的加密算法,可以有效地保障数据的安全,它支持任何邮件程序或其他文件编辑窗口,通过热键即可快速加密,方便易用。接下来,我们就详细介绍一下如何在Foxmail下进行邮件加密的操作:
步骤一:在运行HotCrypt并在Foxmail邮件撰写窗口中编辑内容后,按组合键“Ctrl+E”即可调出HotCrypt的加密窗口对邮件加密
步骤二:在“输入密码”下方的文本框中输入密码后,单击“确定”按钮返回到邮件编辑窗口中,你会发现邮件正文内容已经变成了加密后的密文。
小提示:HotCrypt只能对最上层的当前窗口中内容进行加密。当朋友收到这封邮件后,他也需要在运行HotCrypt后,按组合键“Ctrl+D”调出密码输入窗口后输入正确的密码方可正常阅读到邮件的内容。
邮件病毒的防范
当电子邮件日益成为日常交往的重要手段的同时,病毒的阴影也开始环绕在电子邮件的周围。今天,有超过七成以上的计算机病毒是通过电子邮件传播的。那么我们如何才能较全面地阻截邮件病毒呢?通常可以使用如下措施:
1. 禁止其他程序暗中发送邮件
为了防止邮件病毒自动查询用户的通讯录,再以用户的名义发给用户的亲朋好友。以Outlook Express 6.0为例,我们可以进行如下设置:
依次点击“工具→选项→安全”,点击选中设置界面中的“当别的应用程序试图以我的名义发送电子邮件时警告我”选项前的复选框,这样,当任何悄无声息的“地下邮件发送活动”都将被发现并立即报告用户(如图3)。
2.启动Outlook Express 6.0的自防毒选项
由于邮件病毒大多是通过加载邮件附件的方式进行传播,所以可以使用禁止OE打开附件的方法防止此类病毒的侵害。方法如下:运行OE6.0,依次点击 “工具”、“选项”、“安全”,点击选中设置界面中的“不允许保存或打开可能有病毒的附件”标签前的复选框,这样就可以启用OE的自我保护机制功能了。
3. 修改关联
有些蠕虫通过.vbs等格式的邮件附件传播,要减少这类病毒带来的风险,一种简单的办法是修改文件的关联属性,使得打开脚本文件时(例如用户双击一个附件)它不会自动运行。打开Windows XP的“控制面板”,双击“文件夹选项”,选择“文件类型”选项卡,选中 .vbs文件类型
接着把它的默认操作改成记事本(而不是默认的用VBScript运行),点击“高级”按钮,在“编辑文件类型”对话框中选中“编辑”,在弹出的“编辑这种类型的操作”对话框中指定打开的程序为记事本
小提示:对于.vbe、.wsf、.wsh、.js和.jse这些文件类型也可以做同样的修改,修改文件关联属性的办法不可能隔绝所有的风险。
修改文件的关联属性之后,当你点击一个脚本文件,它不会再像原来那样自动运行,而是会用记事本打开并处于编辑状态。如果要运行脚本,你必须在脚本的快捷方式中显式地指定要用VBScript.exe来打开脚本文件。
4. 使用杀毒软件
现在绝大多数的杀毒软件都提供了对邮件内容进行病毒检测的功能,比方说瑞星杀毒软件就可以很好地做到这一点,它可以让我们在发送与接收邮件时,自动对邮件进行一遍病毒检测,以防系统“中毒”。
邮箱炸弹的防范
邮件炸弹的防范比较繁琐,而且很难保证万无一失,但我们可以使用如下方法来尽可能地避免邮件炸弹的袭击和做好善后处理:
●不随意公开自己的信箱地址
●隐藏自己的电子邮件地址
如将shy@public.sq.js.cn在输入时改成shy·public.sq.js.cn,这样一来大家都知道这个实际上就是邮箱,但是一些邮箱自动搜索软件就无法识别这样的“邮箱”了。
●谨慎使用自动回信功能
“自动回信”功能设计初衷很好,但也有可能被利用制造邮件炸弹!试想一下,如果接收和发送双方都设置了“自动回信”设置,而双方都没有及时看信的话,就会在反复“自动回信”中造就了一颗邮箱炸弹。
打好补丁
在软件设计中,经常会出现一些意想不到的错误和漏洞,给程序带来安全和稳定性方面的隐患。因此,经常保持对软件的更新,是保证系统安全的一种最简单也是最直接的办法,以替Outlook Express 6.0下载并安装SP1 简体中文版为例,补丁的下载网址为:http://www.microsoft.com/downloads /details.aspx?familyid = 0cf81200-dd86- 4636 - 8ae5 - 3f4af4e829d8&&displaylang =zh-cn
邮件的备份
谈到邮件的安全就不能不谈谈备份这个话题,但由于邮件备份的方法因软件的不同,往往可以使用很多的方法,所以本文不便细述。但基本上都应做到为接收的邮件设置一个专门的目录、导出“通讯簿”等方面的备份操作。
