网络管理员必学手册[6]安全篇 网络管理员, windows, 手册, 操作系统, 微软公司

lzhdm

资深网管教你彻底揪出系统启动蛀虫
微软公司Windows操作系统想必大家都比较熟悉了，我们每天使用的基本上都是windows系列的产品，从windows98到2000，从windows XP到2003。我们这些网络管理员天天要和操作系统打交道，不管是计算机运行缓慢还是经常非法死机，遇到这类问题时首先要查询的就是系统启动项。所以笔者通过本篇文章为各位读者介绍如何彻底揪出系统启动的蛀虫。
一、windows98系统揪出蛀虫：
Windows98系统虽然已经推出年份很久，使用的频率也越来越低。不过对于一些有培训机房的公司来说windows98系统还是占有一席之地的。很多硬件配置不高的计算机都可以流畅的使用windows98。
我们通过msconfig这个工具来揪出系统启动的蛀虫。
第一步：启动windows98进入桌面，通过任务栏的"开始->运行"。
第二步：在“运行”中输入msconfig，通过这个启动项配置工具来查看当前计算机都有哪些程序随系统的启动而启动。
第三步：在“启动”标签中我们通过将启动项前的勾去掉来实现取消该程序随系统启动而启动。
另外windows98中有些程序是通过注册表来加载的，不过msconfig启动配置工具会自动读取标准的RUN键值，所以不需要我们进入注册表中进行查看了。
二、windows2000系统揪出蛀虫：
windows2000是目前在公司使用最多的操作系统了，主要分professional和server两个版本。professional主要用于个人用户而server版用于服务器。不过这两个版本在揪出系统启动的蛀虫方面步骤基本类似，我们一并介绍。
方法一：注册表法
在windows2000系统中没有为我们提供类似windows98那样的启动项配置工具，我们只能通过注册表来查看有哪些程序随系统启动而启动。
第一步：进入windows2000桌面，通过“开始->运行”输入regedit进入注册表编辑器。（如图1）

图1
第二步：在注册表编辑器中定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run键值，在右边就可以看到当前有哪些程序随系统的启动而启动了，我们可以通过DEL键删除这些程序。（如图2）

图2
第三步：继续在在注册表编辑器中定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键值，在右边就可以看到当前有哪些程序随系统的启动而启动了，我们可以通过DEL键删除这些程序。（如图3）

图3

方法二：复制MSCONFIG法：
虽然在windows2000中没有启动项配置工具msconfig，不过我们可以通过复制msconfig.exe文件将这个启动项配置工具从98系统迁移到2000系统中。方法是在98的Windows目录中的system目录，找到msconfig.exe程序，将其复制到2000系统中的Winnt目录下的system32目录和system目录。这样我们就可以在2000系统中通过“开始->运行->输入msconfig”来运行启动项配置工具了。
小提示：当然我们直接把msconfig.exe文件复制到2000系统桌面，当要查看启动项程序时直接运行该可执行程序也是可以的，效果是一样的。
通过上面介绍的复制98中msconfig.exe文件方法可以实现查看哪些程序随系统启动而启动的功能，不过由于98系统文件格式和2000不同，所以直接运行98系统中的msconfig.exe程序时会出现系统找不到config及autoexec等文件，我们不用理会直接跳过即可。
方法三：新版msconfig法：
网上的热心网络管理员为我们制作了绿色版和升级版的msconfig文件，我们可以直接使用该文件来查看系统启动项，启动时和98系统，XP系统一样，不会出现找不到任何文件的报错信息。（如图4）

图4


三、Windows XP系统揪出蛀虫：


   
在windows XP中我们可以使用注册表法和msconfig启动项配置工具两种方法查看随系统启动的程序，由于步骤和方法与下面介绍的windows 2003类似，所以这里就不详细介绍了。不过值得一提的是在最新的Windows XP安装SP2补丁后，10月初的一个补丁更新对msconfig这个启动项配置工具进行了改进，我们通过“开始->运行->输入msconfig”后看到的启动项配置工具发生了一些变化，多出了一个叫做工具的标签，在工具标签中我们可以快速启动很多系统常用小工具，包括interNET属性设置，事件查看器，命令提示符，windows属性，注册表编辑器等十几项，点下方的启动按钮就可以快速启动相应的工具了，为我们日常工作提供了极大的方便。（如图5）

图5 点击看大图

四、Windows 2003系统揪出蛀虫：


   
windows2003系统主要用在服务器，和98与XP系统一样我们可以通过两种方法来查看系统启动程序。
   
方法一：msconfig法
   
在windows2003中我们可以msconfig这个工具来揪出系统启动的蛀虫。
    第一步：启动windows2003进入桌面，通过任务栏的"开始->运行"。
    第二步：在“运行”中输入msconfig，通过这个启动项配置工具来查看当前计算机都有哪些程序随系统的启动而启动。
    第三步：在“启动”标签中我们通过将启动项前的勾去掉来实现取消该程序随系统启动而启动。（如图6）

图6 点击看大图
   
方法二：注册表法
   
在windows2003系统中我们还可以通过注册表来查看有哪些程序随系统启动而启动。
    第一步：进入windows2003桌面，通过“开始->运行”输入regedit进入注册表编辑器。
    第二步：在注册表编辑器中定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run键值，在右边就可以看到当前有哪些程序随系统的启动而启动了，我们可以通过DEL键删除这些程序。
    第三步：继续在在注册表编辑器中定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键值，在右边就可以看到当前有哪些程序随系统的启动而启动了，我们可以通过DEL键删除这些程序。
    对比上面介绍的两种方法还是msconfig法更加简单，网络管理员上手更加容易

五、服务也能藏蛀虫：

    一般来说通过上面介绍的注册表和msconfig可以查看到决大多数随系统启动而启动的程序名称，然而病毒和木马以及间谍软件也是不断发展的，目前很多程序都具备了将自身注册为服务的功能，也就是说这些程序以服务的形式进行加载，从而实现随系统启动而启动的目的。

    如何有效的防范这类蛀虫呢？需要网络管理员具备一定的经验，至少要对没有感染病毒和木马以及间谍软件的系统中默认开启的服务要熟悉，不能说精通也要混个脸熟。这样当服务中出现其他面孔时可以在第一时间怀疑并关闭该程序。

    如何查看陌生服务呢？我们有两种方法，一种是注册表法，一种是服务组件法。

     方法一：注册表法

    系统的关键信息都是保存在注册表中的，服务的状态也不例外。我们可以在注册表中找到每个服务对应的启动方式和当前状态。既然如此我们就可以使用注册表文件实现对服务状态的控制了。并且可以在注册表中将我们不熟悉的怀疑的服务删除。

    第一步：通过任务栏的“开始->运行”，输入regedit进入注册表编辑器。

    第二步：找到注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，在该键值下的都是服务，例如有一个RemoteRegistry项，这个就是远程注册表服务对应的键值。当然对于其他服务来说也分别对应不同的项。

     第三步：在该键值右边窗口中显示的各个项就是对应的服务状态，其中description是对该服务的描述，desplayname是服务显示的名称，failureactions是服务启动失败采取的操作，start是启动类型。

    小提示：start中启动类型是4代表禁用，2代表自动启动，3代表手动启动。

      第四步：通过上面的键值我们就可以查看当前系统有哪些服务了，遇到陌生的我们可以坚决的将其删除，从而杜绝木马和病毒这些蛀虫隐藏在本机。

     小提示：为了更好的管理服务我们还可以在没有安装什么组件，干干净净的系统下将设置好服务类型的注册表导出，这样在今后快速切换服务状态时就可以通过运行注册表程序来实现了。从而实现快速恢复系统默认服务状态的目的了。

     方法二：服务组件法

    服务组件法操作起来比较简单，图形化的界面更容易得到我们的接收，容易上手。

    第一步：通过打开任务栏的“开始－>控制面板－>管理工具”。
    第二步：双击“服务”图标打开服务设置窗口。
    第三步：在这个服务设置窗口中我们可以查看随本机启动的有哪些服务，以及启动类型等信息。遇到我们不熟悉的服务名称完全可以将其设置为“禁用”。

    小提示：还有两种方法快速进入服务设置窗口，一个是打开任务栏的“开始->运行”。然后在运行文本框中输入services.msc直接打开服务设置窗口。另一个是在桌面“我的电脑”图标上点鼠标右键选择“管理”。在计算机管理窗口中找到“计算机管理（本地）->服务和应用程序->服务”。你会看到在窗口右边出现了当前计算机的所有服务状况，和上面提到的服务设置窗口一模一样。

    总结：其实蛀虫可以存活在操作系统中的很多个角落，上面介绍的方法仅仅是一个普通的最常见的揪出系统启动蛀虫的方法。更多的技巧还需要网络管理员一点点的积累，在实际工作中不断找寻更新更方便的技巧。

lzhdm

[url=http://www.1dai.net/forum/misc.php?action=viewratings&tid=61940&pid=339828][/url]网管必知 路由器保护内网安全九大步骤

对于大多数企业局域网来说，路由器已经成为正在使用之中的最重要的安全设备之一。一般来说，大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。
经过恰当的设置，边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话，这种路由器还能够让好人进入网络。不过，没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。
在下列指南中，我们将研究一下你可以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙，而不是一个敞开的大门。
1.修改默认的口令！
据国外调查显示，80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表，以及一个口令的可靠性测试。
2.关闭IP直接广播（IP Directed Broadcast）
你的服务器是很听话的。让它做什么它就做什么，而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中，攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。
参考你的路由器信息文件，了解如何关闭IP直接广播。例如，“Central（config）#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。
3.如果可能，关闭路由器的HTTP设置
正如思科的技术说明中简要说明的那样，HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而，遗憾的是，HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。
虽然这种未加密的口令对于你从远程位置（例如家里）设置你的路由器也许是非常方便的，但是，你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器，你一定要确保使用SNMPv3以上版本的协议，因为它支持更严格的口令。
4.封锁ICMP ping请求
ping的主要目的是识别目前正在使用的主机。因此，ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力，你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”（script kiddies）。
请注意，这样做实际上并不能保护你的网络不受攻击，但是，这将使你不太可能成为一个攻击目标。

5.关闭IP源路由
IP协议允许一台主机指定数据包通过你的网络的路由，而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是，这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像，或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障，否则应该关闭这个功能。
6.确定你的数据包过滤的需求
封锁端口有两项理由。其中之一根据你对安全水平的要求对于你的网络是合适的。
对于高度安全的网络来说，特别是在存储或者保持秘密数据的时候，通常要求经过允许才可以过滤。在这种规定中，除了网路功能需要的之外，所有的端口和IP地址都必要要封锁。例如，用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问，而所有其它端口和地址都可以关闭。
大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时，可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如，封锁139端口和445（TCP和UDP）端口将使黑客更难对你的网络实施穷举攻击。封锁31337（TCP和UDP）端口将使Back Orifice木马程序更难攻击你的网络。
这项工作应该在网络规划阶段确定，这时候安全水平的要求应该符合网络用户的需求。查看这些端口的列表，了解这些端口正常的用途。
7.建立准许进入和外出的地址过滤政策
在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外，所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址。例如，192.168.0.1这个地址也许通过这个路由器访问互联网是合法的。但是，216.239.55.99这个地址很可能是欺骗性的，并且是一场攻击的一部分。
相反，来自互联网外部的通信的源地址应该不是你的内部网络的一部分。因此，应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。
最后，拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类（class E）地址段240.0.0.0-254.255.255.255。
8.保持路由器的物理安全
从网络嗅探的角度看，路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包，而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式，它们就能够接收和看到所有的广播，包括口令、POP3通信和Web通信。
然后，重要的是确保物理访问你的网络设备是安全的，以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。
9.花时间审阅安全记录
审阅你的路由器记录（通过其内置的防火墙功能）是查出安全事件的最有效的方法，无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录，你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。
此外，一般来说，路由器位于你的网络的边缘，并且允许你看到进出你的网络全部通信的状况。

lzhdm

[url=http://www.1dai.net/forum/misc.php?action=viewratings&tid=61940&pid=339833][/url]网管必知 严禁即时通信工具使用代理

MSN和QQ，交流沟通的好工具，拉近了人们的距离。然而，对于很多业务繁忙同时又不太依赖即时交流工具的公司来说，它们可是洪水猛兽，会严重影响员工的正常工作、公司的正常运转。

　　针对以上情况，很多网管会采用措施禁用MSN、QQ等即时通信工具。但简单的禁用并不能解决问题，由于网络办公的需要，网管并不能禁用HTTP协议，因此很多不自觉的员工就利用HTTP代理偷偷使用MSN和QQ。这还了得?岂不是在挑战网管的权威?封堵即时通信工具的代理势在必行。

　　封堵原理

　　因为网管必须保证员工能正常上网办公，所以不可能禁用HTTP协议，这也是禁止即时通信工具MSN和QQ使用HTTP代理的难点。如何解决这个难题呢?恰好现在很多企业级网络防火墙都新增了“深度防护”的概念，如ISA Server2004，它不但可以对通信中的网络数据包进行检验，而且还可以检查数据包应用层中的内容，能对HTTP应用层数据进行过滤和检测。

　　ISA Server 2004一旦发现HTTP应用层数据中包含MSN和QQ的关键字信息，就可将该数据包丢弃，以此就能达到禁用MSN和QQ等即时通信工具使用HTTP代理的目的。

　　解决办法

　　要想阻止MSN和QQ使用HTTP代理，最有效、最简单的办法就是过滤掉网络通信中的IM数据包，这种过滤措施是通过识别IM数据包中所包含的IM关键字来实现的，利用ISA Server 2004防火墙提供的“签名”功能很容易做到。

　　网络环境:由ISA Server 2004服务器统一管理的网络

　　封堵工具:ISA Server 2004防火墙

　　提示:ISA防火墙提供了很强大的网络监控和管理功能，如深度防护和过滤功能，利用这些功能可禁止MSN和QQ使用HTTP代理。当然要知道MSN和QQ数据包中所包含的特征关键字才行。

　　封堵步骤:获得MSN和QQ的关键字;启用ISA签名功能;启动“封堵”功能。

　　掌握“关键字”

　　做好以上准备工作后，就可以开始进行“封堵”的设置了，在找到MSN和QQ数据包中的关键字后，配置一下ISA防火墙即可完成设置工作。

　　因为ISA防火墙就是利用MSN和QQ数据包所包含的特征关键字，来过滤掉HTTP数据包中所包含的IM数据包，实现禁用HTTP代理的目的，因此必须首先找出MSN和QQ数据包中的关键字。

　　ISA Server 2004 提供的“签名”功能作用在HTTP应用层中，是利用即时通信软件数据包中的“关键字”进行过滤操作的。如MSN发送的数据包中包含的关键字是“MSMSGS”，而QQ数据包使用的关键字是“tencent.com”，掌握了这些信息后，就容易利用“签名”功能封堵HTTP代理。

　　提示:在网上很容易查找到MSN、QQ数据包中的“关键字”资料，那别人是如何获得的呢?这个比较复杂，需要利用工具Sniffer对这些IM数据包进行监控和分析，如利用NAI公司推出的协议分析工具“Sniffer Pro”，由于操作比较麻烦，就不详细介绍了。

开始“封口”
　　掌握了聊天工具使用HTTP代理传出的数据包中的关键字后，我们就可顺藤摸瓜，利用这些“关键字”封住它们的“口”。
　　ISA防火墙就是利用内置的“签名”功能，来禁止MSN和QQ使用HTTP代理，因此必须要合理配置“签名”功能才行。
　　在ISA Server 2004服务器的控制台窗口中，右键单击“允许用户访问外部网络”规则，在弹出菜单中选择“配置HTTP”选项。接着在“为规则配置HTTP策略”对话框中，切换到“签名”标签页(图1)，现在就可以利用签名功能，禁用HTTP代理。

图 1
　　提示:安装ISA Server 2004网络防火墙后，默认是不允许任何用户访问外部网络的，因此要创建一条访问规则，允许内网中的员工可以访问互联网，这条规则就是刚才所提到的“允许用户访问外部网络”规则。
　　1.禁用MSN
　　禁止MSN使用HTTP代理，只要过滤掉包含有关键字“MSMSGS”的数据包即可。
　　在“签名”标签页中，点击“添加”按钮，弹出签名配置对话框(图2)，在“名称”栏中输入“MSN Messenger”，然后在“查找范围”下拉列表框中选择“请求头”选项，在“HTTP头”栏中输入“User-Agent:”，然后还要在“签名”栏中输入“MSMSGS”，最后连续两次点击“确定”按钮即可完成设置。

图 2

2.禁用QQ
　　和禁止MSN使用HTTP代理一样，禁止QQ使用HTTP代理，只要过滤掉包含有关键字“tencent.com”的数据包即可。
　　在“签名”标签页中点击“添加”按钮，弹出签名配置对话框(图3)，在“名称”栏中输入“QQ”，然后在“查找范围”下拉列表框中选择“请求URL”，接着在“签名”栏中输入“tencent.com”，最后两次点击“确定”按钮完成设置。

图 3
　　3.禁用其他聊天软件
　　禁止其他IM工具使用HTTP代理的方法也是相同的，只要知道该IM数据包中所包含的特征关键字，然后在ISA防火墙的“签名”功能中进行相应配置即可。
　　最后在ISA Server 2004防火墙策略窗口中选中“允许用户访问外部网络”规则，点击上方的“应用”按钮，使以上的签名配置生效，这样就可彻底禁止MSN、QQ等聊天工具使用HTTP代理。
　　总结:禁止MSN和QQ使用HTTP代理的原理非常简单，关键就是要知道IM数据包中的特征关键字，然后配置ISA防火墙的签名功能进行相应的过滤即可。
　　小知识：“代理”为聊天软件服务的原理
　　虽然不同的IM工具使用的通信协议也各不相同，但几乎所有的IM工具都支持HTTP代理功能，这是因为一旦网管将IM工具封杀，就无法登录，这时就可以利用HTTP代理，将IM工具的数据包转换成HTTP数据包，来突破防火墙的限制，毕竟大多数局域网是不会封杀HTTP协议的。

lzhdm

[url=http://www.1dai.net/forum/misc.php?action=viewratings&tid=61940&pid=339840][/url]网管员心声：Windows服务有“备”无患

在局域网环境中，网管往往非常重视对Windows服务器硬盘中的用户数据文件的备份，而忽视了对Windows系统本身提供的各种服务的状态信息和服务数据的备份，如IIS服务、DHCP服务、DNS服务等，这些Windows服务在局域网中往往起着非常重要的作用，如使用IIS架设企业内部网站，使用DHCP服务为局域网用户统一分配TCP/IP配置信息等，一旦这些服务出现问题，就会严重影响用户的正常办公。因此网管也要重视对Windows服务的备份，一旦某些Windows服务出现问题，可以立即使用备份的文件进行恢复，真正做到有备无患。
对Windows服务的备份一般要分成两部分进行备份：状态信息备份和数据备份。Windows服务的状态信息备份需要通过手工备份注册表相应的项目来完成，一般是一次可以备份全部的Windows服务状态信息；而服务数据的备份，则需要单独进行，可以使用手工方式、服务自身提供的工具或者使用第三方软件来完成。
备份服务状态信息
各种Windows服务的状态信息一般都是存储在注册表的“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”项目下，网管可以通过备份该项目，来完成对Windows服务的状态信息的备份。
在Windows服务器提供的各种服务正常运行状态下，点击“开始→运行”，在运行对话框中输入“regedit”命令后回车，在注册表编辑器对话框中依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”项目。
各种Windows服务的状态信息就存储在“Services”项目中，网管只要将此项目的内容备份出来即可。备份操作非常简单，在注册表编辑器中选中“Services”项目，然后点击主菜单栏中的“文件→导出”选项，弹出“导出注册表文件”对话框，为该备份文件起个名字，指定好存放路径后，最后点击“保存”按钮，完成Windows服务状态信息的备份。
当某些服务的状态信息出现问题时，只要双击该备份文件，将备份的状态信息重新导入注册表即可。
服务数据信息备份
对于服务数据信息的备份，网管则要单独进行备份操作，一次只能完成一种Windows服务数据信息的备份。对于Windows系统提供的如此多的服务类型，笔者将以IIS服务、DHCP服务以及磁盘配额等为例，介绍如何单独对它们的数据信息进行备份。
1． IIS服务
IIS服务器中内置了备份和还原工具，利用该功能可以快速地完成本地IIS服务器数据信息的备份和还原工作。在“Internet信息服务”控制台窗口中，右键点击IIS服务器，选择“所有任务→备份/还原配置”选项，然后在“配置备份/还原”对话框中点击“创建备份”按钮（如图1），接着在“配置备份”对话框中为备份文件起个名字，如果要对备份文件进行加密，可以启用文件加密功能，这时要选中“使用密码加密备份”选项，接着输入文件加密密码，最后点击“确定”按钮，就完成了IIS数据信息的备份操作。


图1 创建IIS备份
当IIS服务器由于数据信息损害而出现问题，需要还原IIS数据信息的时候。在“Internet信息服务”控制台窗口中，右键点击IIS服务器，选择“所有任务→备份/还原配置”，在“配置备份/还原”对话框中选中你需要的备份文件，然后点击“还原”按钮，如果备份文件被加密，则需要输入密码，即可完成IIS数据信息的还原。此外对IIS服务器数据信息的备份还可以使用第三方软件，如IIS备份精灵、IIS Export Utility等，这里就不再赘述了。
2． DHCP服务
DHCP服务器也内置了备份和还原功能，并且操作同样简单。在DHCP控制台窗口中，右键点击“DHCP服务器名”选项（如图2），在弹出的菜单中选择“备份”，然后在“浏览文件夹”对话框中指定好备份文件存放的路径，点击“确定”按钮后，就完成DHCP服务器的数据信息的备份。


图2 备份DHCP
一旦DHCP数据信息被损坏，需要进行恢复时，再次右键点击“DHCP服务器名”选项，在弹出菜单中选择“还原”，然后指定好备份文件所在的路径，点击“确定”按钮后，Windows系统会停止DHCP服务，然后再重新启动该服务，就可以完成DHCP数据信息的还原。
3． 磁盘配额
网管为了增强服务器的安全性，使用Windows系统提供的磁盘配额功能，对每个用户使用的服务器磁盘容量进行限制。但如果服务器由于某些原因，网管配置的这些磁盘配额项目丢失了，手工恢复是非常麻烦，因此网管也要提前备份好这些磁盘配额项目。
备份磁盘配额项目非常简单，笔者以备份Windows Server2003的C盘的磁盘配额项目为例，右键点击“C盘”盘符，在弹出的菜单中选择“属性”选项，接着切换到“配额”标签页，然后点击下方的“配额项”按钮，弹出“配额项目”管理对话框，点击“配额→导出”（如图3），在“文件名”栏中为备份文件起个名字，最后点击“保存”按钮，完成磁盘配额项目的备份。其它盘符的磁盘配额项目备份同上面相同，不再赘述。


图3 备份磁盘配额
还原C盘的磁盘配额项目同样简单，在配额项目管理对话框中，点击“配额→导入”选项，接着指定好以上备份文件，点击“打开”按钮后，在磁盘配额提示框中点击“是”按钮，就完成磁盘配额项目的还原。
以上只是简单的介绍几种Windows服务的数据信息的备份和还原，其它种类的Windows服务数据信息的备份和还原操作也非常简单，请大家在日常的维护工作中慢慢体会和实践。

lzhdm

网管员安全训练营——让FTP服务器更安全
Windows 2000系统的IIS5.0提供 了FTP服务功能，由于它的简单易用，与Windows系统本身结合紧密，深受广大用户的喜爱。但使用IIS5.0架设的FTP服务器真的安全吗？它的默认设置其实存在很多安全隐患，很容易成为黑客们的攻击目标。如何让FTP服务器更加安全，只要我们稍加改造，就能做到。
一 取消匿名访问功能
默认情况下，Windows 2000系统的FTP服务器是允许匿名访问的，虽然匿名访问为用户上传、下载文件提供方便，但却存在极大的安全隐患。用户不需要申请合法的账号，就能访问你的FTP服务器，甚至还可以上传、下载文件，特别对于一些存储重要资料的FTP服务器，很容易出现泄密的情况，因此建议用户取消匿名访问功能。
在Windows 2000系统中，点击“开始→程序→管理工具→Internet服务管理器”，弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项，就能看到IIS5.0自带的FTP服务器，下面笔者以默认FTP站点为例，介绍如何取消匿名访问功能。
右键点击“默认FTP站点”项，在右键菜单中选择“属性”，接着弹出默认FTP站点属性对话框，切换到“安全账号”标签页，取消“允许匿名连接”前的勾选（如图1），最后点击“确定”按钮，这样用户就不能使用匿名账号访问FTP服务器了，必须拥有合法账号。

图1 禁止匿名访问
二 启用日志记录
Windows日志记录着系统运行的一切信息，但很多管理员对日志记录功能不够重视，为了节省服务器资源，禁用了FTP服务器日志记录功能，这是万万要不得的。FTP服务器日志记录着所有用户的访问信息，如访问时间、客户机IP地址、使用的登录账号等，这些信息对于FTP服务器的稳定运行具有很重要的意义，一旦服务器出现问题，就可以查看FTP日志，找到故障所在，及时排除。因此一定要启用FTP日志记录。

lzhdm

主动漏洞的修复功能为网管员解忧

说到网络病毒，不少人一定对“冲击波”、“震荡波”记忆犹新，在没完没了的重启中，相信不少人会选择重装系统，但你会发现这一切都无济于事，这一切源自系统漏洞未作修复。一个广泛存在的系统漏洞通常会被多种病毒利用，比如“安哥”病毒的变种会利用“冲击波”、“震荡波”病毒入侵的漏洞继续发起新的攻击。

为了对付这些利用系统漏洞传播的病毒，已经有多种补丁管理方案。比如，我们可以使用Windows Update来尝试漏洞修复。Windows Update简单易用且免费，但也存在一些不足，比如，当我的系统不得不重装，需要重新执行Windows Update时，你会发现，一个全新的操作系统基本不可能顺利完成此功能，因为在尝试进行Windows Update时，你的系统可能已经被多种病毒攻陷了。

如果您是公司网管，面对众多没有修补漏洞的客户机，您该怎么处理？当你建议所有客户机使用Windows Update时，会发现因为有部分机器已经中毒，中毒的客户机发送的攻击数据包，已经让整个网络不堪重负，使用修复漏洞的过程变得极为漫长，网管员可能要投入很大的精力来完成全网的漏洞修复工作。你同样可以使用免费的SUS服务来协助完成漏洞修复工作，可你知道网络中哪些机器没有启用此功能吗？相信这些问题会让网管头痛不已。

现在已经有更好的替代方案，如果您只是普通的消费者，您可以使用金山毒霸2005提供的主动漏洞修复功能，全新版本的金山毒霸2005可以主动检测操作系统和应用程序漏洞，并尝试修复。甚至连管理员使用的弱口令都可以被检测到，利用弱口令传播可是很多病毒利用的入侵手段。并且这个功能还有一个好处，所以下载过的补丁都保存在金山毒霸安装路径下的KSA\PATCH路径下，当你重装系统后，不必担心重新下载补丁程序了。在系统重装前，您只需要备份这些程序，重装后，直接安装就可以了。

当然，对于企业客户，利用单机版的漏洞修复也不是最佳作法。同样，新上市的金山毒霸2005中小企业版及去年的2.0版本都有全网漏洞修复功能。这个功能与SUS比较而言，优势在于主动性，网管员可以使用此功能，统一在全网、某个IP段或者指定扫描某台计算机是否存在漏洞，然后主动完成漏洞修复工作。并且，金山毒霸网络版的漏洞修复功能会把所有需要安装的补丁程序下载到代理服务器，各客户机需要安装的补丁程序直接通过代理服务器分发，节约了带宽，更提高了补丁修补的速度，网管员从此不必再为安装补丁头痛了。

lzhdm

网管必读 教会用户自己给系统打补丁
如果你与我认识的大多数管理员一样，这篇文章的题目可能会使你困惑:你为什么要教用户如何修复他们的系统呢?总而言之，管理员的主要任务之一就是锁定工作站，不让用户对工作站做任何事情。然而，在某些情况下，教用户如何自己进行补丁管理是很有意义的。

那些拥有许多小型远程办公室的公司就是一个很好的例子。这些小型办公室除了拨号连接之外缺少其它连接方式。根据我的经验，这些小办公室一般都配备二、三台没有与外界保持不间断连接的电脑。在这种情况下，实现补丁管理自动化是很困难的或者是不可能的。如果你要使系统保持最新的状态，你有两个选择:派遣技术支持人员每天都到远程办公室去，或者教用户如何在自己的系统上使用补丁。在这种情况下，最简单和节省成本的方法就是培训最终用户。

此外，很多管理员在他们的家里也有电脑并且拥有一直保持连接的宽带网。这些雇员应该具有补丁管理的基础知识，因为你不知道他们什么时候需要在家里工作。如果雇员家里的电脑不能够正确地使用补丁，敏感的文件就可能向外界泄漏。病毒和特洛伊木马程序也可能会附在雇员家里电脑的文件上，然后感染小办公室的电脑。如果你教育雇员了解使用补丁的重要性，向他们演示如何正确使用补丁，他们很可能会用一些时间加固家里的电脑(特别是在你提出建议或者要求他们这样做的时候)。

补丁管理培训会议

那么，你如何教育用户在他们的系统上使用补丁呢?仅仅发送电子邮件或者备忘录可能不会奏效，因为一半的用户不会阅读这些文件，另一半用户也许不会重视这些文件。因此，你要设法与各个小组或者部门召开一系列培训会议，解释和演示补丁管理。要设法控制这些会议的规模。

因为参加会议的人数越少，用户越容易对他们不懂的事情提出问题。

在你与用户讨论补丁管理的时候，你必须记住大多数用户不熟悉补丁管理。你还要记住，有许多关于补丁的神话在到处传播，而且有些人非常相信这些神话。对于用户对自己的系统使用补丁，你要提出能够做什么和不能够做什么的具体建议。下面是在讨论中要考虑的几个问题:

·补丁是修复瑕疵以及安全漏洞的。

·如果你使用Windows XP，打开自动更新功能将使Windows随时使用最新的补丁。

·Office等应用程序偶尔也需要使用补丁。你需要查看应用程序厂商的网站寻找与应用程序相关的补丁。

·如果你使用版本较老的操作系统，你需要到微软的网站查看是否有你使用的版本的Windows的新补丁。

·如果你运行较老版本的Windows，如果你的机器有足够的硬件支持，升级到Windows XP SP2是一项很好的投资。(一定要警告用户，WindowsXP的最低硬件配置一般都被低估了)。

·微软不通过电子邮件发布安全补丁。如果你收到一封电子邮件，声称是一个服务包、热补丁、补丁或者类似补丁的东西，立即删除这个邮件，不要打开这个邮件。这类电子邮件通常都包含病毒。

·如果用户对补丁或者安全问题有具体的疑问，他们可以与你联系或者访问微软的安全网站：http://www.microsoft.com/security

如何让用户听从你的意见

　　使用补丁对于用户来说是一项繁重的任务。并不是每一个人都能接受这种想法。但是，有一种可靠的方法可以推销补丁管理，那就是担心。

　　例如，你可以向雇员们展示一个包含利用操作系统安全漏洞的指令的恶意黑客的网站。你可以向雇员们解释，除非他们使用了补丁，否则任何访问那个黑客网站的人都会知道如何攻破他们公司的网络。给出某些文件包含安全漏洞的具体例子，特别是与参加会议的小组或者部门有关的例子。然后，向他们展示神奇的安全公告:这个再一次保证其系统安全的补丁。

　　某些人早晚会问为什么补丁管理对于家庭电脑也是必要的。普通的概念是只有大公司的网站才是黑客攻击的目标，你们公司已经使用了安全系统。

　　当提出这个问题的时候，问一下这个小组，他们中有多少人曾经走进一家商店并且建立临时决定用信用卡消费。几乎每一个都干过一两次这样的事。向他们解释商店会立即批准信用卡消费。任何有正当的信用卡的人都可以不带一分钱走进商店，然后抱着价值3000美元的电视机走出商店。

　　黑客频繁攻击家庭电脑就是为了窃取人名、地址和社会保险号等个人信息。拥有足够的个人信息，这些黑客就可以用你的名字和信用记录申请信用卡。你很快就会为这些黑客购买电视机。

　　有些人也许还会问，你的具体建议是否与他们有关。毕竟每一个家庭的电脑的设置都是不一样的。这一点是肯定的。我敢担保，我撰写这篇文章使用的电脑与你阅读这篇文章使用的电脑肯定有很大的不同。然而，至少有一个可以减轻你的安全威胁的因素，那就是Windows XP。

　　微软一般每两年发布一次Windows操作系统。但是，Windows XP已经使用相当长时间了。大多数拥有使用时间不到四年的电脑的用户都在使用Windows XP(不过也有人使用Mac或者Linux操作系统)。事实是Windows XP是一种占统治地位的操作系统，你展示的例子可能会与这个小组中的大多数人有关。对于少数落后的使用Windows 98的用户来说，你可以利用这个机会警告这些用户他们面临的风险并且鼓励他们升级。

　　提供讲义

　　你可以考虑提供一些如何自动化实用补丁和手工下载补丁的明确和简单的指南。你可以在每次讨论会结束的时候分发这些讲义，并且提供在线寻找这些指南的网络链接。这样，你接到的求助电话就会少一些，更多的用户会在你推广补丁管理的斗争中增加力量。

lzhdm

网管员在日志分析中面临五大误区

在使用日志的过程中，人们常常会面临五大误区。克服这些误区，不仅可以大大提升安全设施的价值，而且能够及时化解潜在风险。

为了应对不断涌现的安全威胁，许多企业都部署了多种安全设备。这些设备生成大量的日志信息。为了利用这些信息，许多企业还部署了日志收集和分析程序。即使如此，许多用户仍然认为安全设备的作用没有达到期望值。之所以发生这种情况，常常是由于人们在日志分析中的五个误区所造成的。

不查看日志

许多用户都会犯一个低级错误—不查看日志。虽然收集和存储日志很重要，但只有经常查看日志，了解网络环境中发生了哪些情况，才能及时做出响应。一旦部署了安全设备并且收集了日志，用户需要对其进行持续监控，以及时发现可能发生的安全事件。

一些用户只在重大事件之后才审查日志，尽管这些用户能够获得事后分析的好处，但没能获得事前预防的好处。主动查看日志有助于用户更好地实现安全设施的价值，了解攻击行为将在何时发生并及时采取措施。

许多用户总爱抱怨入侵检测系统( IDS )不能起作用。造成这一问题的重要原因就是，IDS经常产生误报，使人们无法根据其警告信息采取行动。如果人们将IDS日志与其他日志（如防火墙日志）进行全面关联分析，就能充分发挥IDS的作用。

没区分日志的优先次序

日志已经收集完毕，存储时间也足够长，并且日志格式也统一了，接下来网管员应该从何处着手呢？建议用户设法获得高水平的摘要以查看最近的安全事件。这需要克服另外一个错误，即不区分日志记录的优先次序。一些网管员理不清优先次序就研究大量的日志数据，结果就会半途而废。

有效优先化的第一步就是对策略进行定义。回答下列问题会有助于定义策略：“最担心什么？”“攻击得逞了吗？”“以前发生过这种攻击吗？” 可帮助用户开始制定优先化策略，减轻用户每天收集日志数据的负担。

日志格式不统一

日志格式不统一十分普遍：有的基于简单网络管理协议，有的则基于Unix系统。缺乏统一的日志格式，导致企业需要不同的专家来从事日志分析，这是因为并非所有通晓Unix日志格式的管理人员都能看懂Windows事件日志记录，反之亦然。多数网管员通常只对少数系统熟悉，将设备生成的日志信息转换为统一的格式有利于网管员进行关联分析和进行决策。

日志存储时间太短

许多用户认为自己拥有进行监控和调查所需要的所有日志，但是在遭遇安全事件之后才发现，相应的日志信息已经被删除了。安全事件通常是在攻击或滥用行为发生后很长时间才被发现。 如果费用紧缺，建议用户将保留的日志分为两个部分：短期的在线存储和长期的离线存储。将旧日志信息存储在磁带中，既能节约离线存储的成本，还能长久保存以备未来分析。

只查找已知的不良信息

即使最先进和最注意安全的用户有时也会陷入网络陷阱。这种网络陷阱十分阴险，会严重降低日志分析的价值。如果用户只查看已知的不良信息时，这种事情就会发生。

交换机在查找日志文件中已定义的不良信息时，显得十分有效。然而要充分实现日志数据的价值，就需要进行日志的深度挖掘。在没有预先想定所需要的不良信息前提下，用户可以在日志文件中发现一些有用信息，包括遭受攻击和感染的系统、新的攻击、内部滥用和知识产权偷窃等。怎样才能提高发现潜在攻击行为的机率呢？这需要借助数据挖掘方法，数据挖掘可以使用户快速查找日志数据中的异常信息。

lzhdm

网管严把服务器防火墙上"漏洞"

对于网络防范黑客来说好比是一个家庭中的防盗门，它的功效的确不小。但是，有了防盗门并不意味着你的家庭就彻底安全了，最简单的例子就是防盗门没上锁，这样一来防盗的作用自然无从谈起了。还好生活中这种疏忽还不是很多。不过在防火墙的使用中这样的简单错误却还不少。想想看如果你的防火墙开了个洞会是怎样？



    ■接到传呼 LAN遭黑手

    经过近一年的努力，闽越终于出色地完成了本单位局域网的建设，并且这个颇有些特色的LAN在这所小城里还引起了一场不大不小的轰动，其他单位那些CIO们纷纷组织各自单位的技术精英前来参观学习。

    当闽越将花了数周时间搞出来的方案交由领导审阅时，不菲的预算让这位局长大人也眉头紧蹙，尤其是其中“防火墙”一项更让他大惑不解，“我们办公楼的防火设施不是已经够多了吗，怎么还需要另外为这个网络建一堵防火墙，这墙是什么材料做的，怎么要花十多万元？”

    价值十几万的防火墙的保驾护航使闽越对这个局域网的安全性颇有信心，他甚至有把握将这个LAN直接挂接到Internet上，接受更为严峻的安全考验，但考虑到局内员工的电脑水平，还是暂时将这一想法作罢了，因为虽然他自信这个LAN已然固若金汤，但难保局内员工使用时不会将特洛伊木马之类的东西“宕”进来。因此，闽越仅将这个LAN与系统内其它地市局的网络连了起来，并为单位做了一个主页，使之成为介绍局内各科室分布及业务情况、科室间及系统内文件资料上传下达的平台。然而，让闽越始料未及的是，这个让他倾注了不少心血的LAN恰恰就是在他最为得意的安全环节上出了纰漏。

    络绎不绝的参观者稀落下来之后，闽越这天终于有空出去处理一下他多日积攒下来的一些琐事，不想刚离开单位一会儿，就收到了传呼，“单位有急事，速回！”开始他并不太在意，因为局内操作人员丁点儿小事就称“急事”的事例早已让他习惯了。不过这次似乎确有些异样，传呼一遍接一遍响个不停，闽越感到事态可能有些严重，就匆匆赶回了单位。

    一进门，就有人迎上来，让他快去看看单位主页上怎么出现了一些莫名其妙的东西，是不是被“黑”了？

    听了这话，闽越悬着的一颗心反倒放了下来，心说“笑话！LAN上的网站哪有被‘黑’之说！肯定是浏览器设置搞乱了，页面出现了乱码。”这种情况以往也有过几次。闽越就半开玩笑地说，“没什么大不了的，我看看是怎么一回事？”

    浏览器上显示的画面却让闽越倒吸了一口凉气，半天回不过神来：主页上单位办公楼的照片被换成了一个骷髅样的图形，旁边还有一行文字，“哈哈，没想到吧？LAN我也能攻进来！”

    闽越的头一下子变大了，LAN内出现黑客绝对是他做梦也想不到的，这种仅在Internet才可能出现的事情竟会发生在他部署缜密的局域网中，是哪一个黑客，竟会对地处偏远的一个小城的小小局域感兴趣呢？

    ■初寻黑手未果

    他没有往内部职工方面想，因为他相信这个局内尚无人能够有如此高的技巧可以攻破他设置的重重关卡。会不会是局内人引狼入室呢？想到这儿，他赶紧一路小跑着来到了位于办公楼顶层的机房，打开了Web服务器上的日志文件，日志文件上并没有留下任何痕迹，看来不像是局内人所为，那这位黑客究竟是何方神圣呢？照理说外界根本没有侵入这个LAN内的可能，系统内其它地市的兄弟局虽可以访问这个网站，但这些访问均需经过防火墙过滤，并且防火墙似也无被攻破的可能。而且从动机上看，系统内人员进行这类攻击的可能性也不会很大，除非这个人处心积虑地想要惹火上身。那么，这个黑客到底来自何处呢？

    整整一个上午，闽越也没想出个所以然来，他下意识地关闭了WEB服务器，却立即招致了下面科室的强烈抗议。他这才意识到这个网站已成为单位工作联系的主渠道，暂时的关闭也已是不可能的，而且这也终非长远之计，但在未找出安全漏洞之前，继续开放网站会不会招致更大的损失呢？怀着侥幸心理，闽越只好先将被“黑”过的页面改了回来，还好，这位黑客还算手下留情，仅改动了单位主页，并未进行其它恶意破坏，所以，没费多大劲，闽越就将网站恢复了正常。当天下午，在闽越提心吊胆地密切注视下，网站总算安然无恙，但在问题没有搞清楚之前，他并未感到如释重负，因为他深知这位黑客既然能够攻进来一次，就会有第二次，一个黑客能够攻进来，其他黑客同样能够攻进来，这个黑客虽还算“客气”，没有进行什么恶意破坏，但难保其他黑客也能有如此“善心”。

    ■黑手猖獗 再次显形

    闽越的担心不是没有道理的，第二天上午10点左右，在机房里忙于对各个环节进行彻底排查的闽越又接到了下面科室的一个电话，称单位网页又出现了奇怪的内容，闽越赶紧刷新了一下浏览器，出现的情景几乎让他晕了过去，那个骷髅样的图形又大模大样地出现在了屏幕上，旁边的文字则变成了“我又来也！”

    一连几天，这种恶作剧式的攻击每天10点左右准时出现，而且总是同样的画面，仅仅文字内容略有变更，并且每次闽越将其恢复正常后，当天也就安然无事了，直至第二天再上演同样的一幕。所幸的是，这位黑客似乎尚无意进行恶意破坏，整个系统仍运作如常。更让闽越暗自庆幸的是，这一事件是发生在参观热潮之后，如果正当有人参观时出现这一幕，岂非尴尬之至？

    不过，就是这样也让闽越烦透了，这些天，他甚至到了茶饭不思的地步，所有能够联系上的懂点网络安全技术的同学、朋友甚至只有一面之交的同行及众多安全厂商都被他电话骚扰了一遍，但仍一无所获，得到的回答却几乎如出一辙：“照常理讲，这种情况是不该发生的！”

    这下让他彻底没了辙，只好每天一边陪着这位黑客玩着这种猫捉老鼠式的游戏，一边伺机寻找这只老鼠出没的通道。

    ■原来是防火墙上开了个洞

    这天，闽越到一个科室帮他们处理一个技术问题时，听到一位工作人员正在很不耐烦地接听一个电话：“我不是跟你说过了吗，每天只有10点到11点传数据，其它时间不开机！”说完就撂下了电话，并很不高兴地嘀咕道，“都说过多少遍了，老是记不住！真是的！”

    对10点这一时间段特别敏感的闽越听到这话，心里一个激凌，连忙赶过去问道，“你们10点传什么数据？”这位工作人员没好气地说，“什么数据？还不是企业的那些报表资料？通知每天10点到11点传，他们总是记不住！每天都要接几个来问的电话，烦死了！”

    闽越赶忙问用哪一台机器传的，这位工作人员指了指旁边的一台服务器，“喏，就是那台机器，省局刚配下来的，说要上一个大程序，现在只是用来接收企业数据和上传汇总数据。”

    闽越看到那台服务器上放了一台Hub，还有一台Modem，而且这个Hub除了连接了几台客户机外，还用网线连到了局内局域网的数据端口上，他顿时心里有了一种拨开云雾见青天的感觉，看来，多日一直让他苦思不得其解的问题正是出在这台服务器上！

    由于这个科室在局内地位较为特殊，与其它科室的联系松散，因而一直处于一种相对独立的状态，其计算机设备也均是由上级局对应处室直接下拨并帮助安装，所以通常情况下，闽越基本不插手这个科室的电脑系统管理。部署局域网时，也只给他们留出了一个数据端口就不再管了，不想就是这个数据端口竟搞得他这段时间日夜不得安宁！

    这台可以拨号接入的服务器无异在防火墙上开出了一个后门，如果黑客将此作为跳板，防火墙当然就失去了用武之地，因为防火墙过滤的只是来自外部的访问，内部数据流量可以自由来去。更让闽越哭笑不得是这台Unix服务器的系统超级用户竟没有设口令！这就是说，处于全球任一角落的任一电脑用户，仅靠一台电脑、一部Modem及一条电话线就可以很轻松地拨入这台服务器，并以超级用户身份登录，有这样的后门存在，系统焉有安全可言！

    闽越当即先行切断了这台服务器与局域网的连接，并向这个科室说明情况后，设法将这台服务器隔离在了防火墙之外。自此之后，那只“老鼠”果然再也没有出现过。

weiyuan026

好东西