1.如何關(guān)閉Windows 2000下的445端口�?
修改注冊(cè)表,添加一個(gè)鍵值
Hive: HKEY_LOCAL_MACHINE
Key: System/Controlset/Services/NetBT/Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
修改完后重啟機(jī)器��,運(yùn)行“netstat -an”�����,你將會(huì)發(fā)現(xiàn)你的445端口已經(jīng)不再Listening了�。
2.如何使用IPSec保護(hù)我的網(wǎng)絡(luò)通信?
IPSec 術(shù)語(yǔ)
在執(zhí)行以下指導(dǎo)步驟之前,確保您知道以下術(shù)語(yǔ)的含義:
身份驗(yàn)證:確定計(jì)算機(jī)的身份是否合法的過(guò)程。Windows 2000 IPSec 支持三種身份驗(yàn)證:Kerberos����、證書和預(yù)共享密鑰��。只有當(dāng)兩個(gè)終結(jié)點(diǎn)(計(jì)算機(jī))都位于同一個(gè) Windows 2000 域時(shí),Kerberos 身份驗(yàn)證才有效。這種類型的身份驗(yàn)證是首選方法。如果計(jì)算機(jī)位于不同的域中,或者至少有一臺(tái)計(jì)算機(jī)不在某個(gè)域中,則必須使用證書或預(yù)共享密鑰����。只有當(dāng)每個(gè)終結(jié)點(diǎn)中包含一個(gè)由另一個(gè)終結(jié)點(diǎn)信任的頒發(fā)機(jī)構(gòu)簽署的證書時(shí)���,證書才有效�。預(yù)共享密鑰與密碼有著相同的問(wèn)題�。它們不會(huì)在很長(zhǎng)的時(shí)間段內(nèi)保持機(jī)密性。如果終結(jié)點(diǎn)不在同一個(gè)域中,并且無(wú)法獲得證書�����,則預(yù)共享密鑰是唯一的身份驗(yàn)證選擇�����。
加密:使準(zhǔn)備在兩個(gè)終結(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)難以辨認(rèn)的過(guò)程���。通過(guò)使用充分測(cè)試的算法�,每個(gè)終結(jié)點(diǎn)都創(chuàng)建和交換密鑰����。該過(guò)程確保只有這些終結(jié)點(diǎn)知道密鑰�,而且如果任何密鑰交換序列被攔截,攔截者不會(huì)得到任何有價(jià)值的內(nèi)容���。
篩選器:對(duì) Internet 協(xié)議 (IP) 地址和協(xié)議的描述,可觸發(fā) IPSec 安全關(guān)聯(lián)的建立�����。
篩選器操作:安全要求���,可在通信與篩選器列表中的篩選器相匹配時(shí)啟用����。
篩選器列表:篩選器的集合。
Internet 協(xié)議安全策略:規(guī)則集合�,描述計(jì)算機(jī)之間的通訊是如何得到保護(hù)的��。
規(guī)則:篩選器列表和篩選器操作之間的鏈接。當(dāng)通信與篩選器列表匹配時(shí)���,可觸發(fā)相應(yīng)的篩選器操作。IPSec 策略可包含多個(gè)規(guī)則�。
安全關(guān)聯(lián):終結(jié)點(diǎn)為建立安全會(huì)話而協(xié)商的身份驗(yàn)證與加密方法的集合��。
在 Microsoft 管理控制臺(tái)中查找 IPSec
通過(guò)使用 Microsoft 管理控制臺(tái) (MMC) 配置 IPSec��。Windows 2000 在安裝過(guò)程中創(chuàng)建一個(gè)帶有 IPSec 管理單元的 MMC。若要查找 IPSec,請(qǐng)單擊開始���,指向程序,單擊管理工具,然后單擊本地安全策略���。在打開的 MMC 中的左窗格中,單擊本地計(jì)算機(jī)上的 IP 安全策略。MMC 將在右窗格中顯示現(xiàn)有的默認(rèn)策略。
更改 IP 地址��、計(jì)算機(jī)名和用戶名
為了此示例的目的���,假設(shè) Alice 是一個(gè)計(jì)算機(jī)用戶�����,該計(jì)算機(jī)名為"Alicepc"、IP 地址為 172.16.98.231�����,Bob 的計(jì)算機(jī)名為"Bobslap"����,IP 地址為 172.31.67.244。他們使用 Abczz 程序連接他們的計(jì)算機(jī)����。
通過(guò)使用 Abczz 程序互相連接時(shí)��,Alice 和 Bob 必須確保通信是被加密的。當(dāng) Abczz 建立其連接時(shí)�,啟動(dòng)程序使用其本身上的隨機(jī)高端口并連接(出于本示例中的目的)到 6667/TCP 或 6668/TCP 端口上的目標(biāo)(其中���,TCP 是"傳輸控制協(xié)議"的縮寫)���。通常����,這些端口用作 Internet 多線交談 (IRC)���。因?yàn)?Alice 或 Bob 均可發(fā)起連接�����,所以該策略必須存在于兩端��。
創(chuàng)建篩選器列表
通過(guò)在 MMC 控制臺(tái)中右鍵單擊 IP 安全策略���,可訪問(wèn)用于創(chuàng)建 IPSec 策略的菜單�。第一個(gè)菜單項(xiàng)是"創(chuàng)建 IP 安全策略"。盡管此菜單似乎是要開始的位置,但卻不應(yīng)從此位置開始。在可創(chuàng)建策略及其相關(guān)規(guī)則之前����,您需要定義篩選器列表和篩選器操作�,它們是任何 IPSec 策略的必需組件�����。單擊管理 IP 篩選器表和篩選器操作開始工作����。
將顯示帶有兩個(gè)選項(xiàng)卡的對(duì)話框:一個(gè)用于篩選器列表���,另一個(gè)用于篩選器操作��。首先�����,打開管理 IP 篩選器列表選項(xiàng)卡。已經(jīng)有兩個(gè)預(yù)先定義的篩選器列表,您不會(huì)使用它們���。相反�,您可以創(chuàng)建一個(gè)特定的篩選器列表��,使其與要連接到的其他計(jì)算機(jī)對(duì)應(yīng)�。
假設(shè)您在 Alice 的計(jì)算機(jī)上創(chuàng)建策略:
單擊添加創(chuàng)建新的篩選器列表�����。將該列表命名為"Abczz to Bob's PC"。
單擊添加添加新篩選器。將啟動(dòng)一個(gè)向?qū)А?
單擊我的 IP 地址作為源地址����。
單擊一個(gè)特定的 IP 地址作為目標(biāo)地址����,然后輸入 Bob 的計(jì)算機(jī)的 IP 地址 (172.31.67.244)�。或者���,如果 Bob 的計(jì)算機(jī)已在域名系統(tǒng) (DNS) 或 Windows Internet 名稱服務(wù) (WINS) 中注冊(cè),則可選擇特定的 DNS 名�,然后輸入 Bob 的計(jì)算機(jī)名����,Bobslap���。
Abczz 使用 TCP 進(jìn)行通訊��,因此單擊 TCP 作為協(xié)議類型�����。
對(duì)于 IP 協(xié)議端口,單擊從任意端口。單擊到此端口��,鍵入:6667��,然后單擊完成完成該向?qū)А?
重復(fù)上述步驟�����,但這次鍵入:6668作為端口號(hào),然后單擊關(guān)閉。
您的篩選器列表中包含兩個(gè)篩選器:一個(gè)在端口 6667 (屬于 Bob)上用于從 Alice 到 Bob 的通訊,另一個(gè)在端口 6668 (屬于 Bob)上����。(Bob 在自己的計(jì)算機(jī)上設(shè)置了 6667 和 6668 兩個(gè)端口:一個(gè)端口用于傳出的通訊,另一個(gè)用于傳入的通訊���。)這些篩選器是鏡像的,每次創(chuàng)建 IPSec 篩選器時(shí)通常都需要如此���。對(duì)于已鏡像的每個(gè)篩選器,該列表可包含(但不顯示)與其正好相反的篩選器(即目標(biāo)和源地址與其相反的篩選器)�����。如果沒有鏡像篩選器���,IPSec 通訊通常不成功��。
創(chuàng)建篩選器操作
您已經(jīng)定義了必須受到保護(hù)的通信的種類?����,F(xiàn)在,您必須指定安全機(jī)制�。單擊管理篩選器操作選項(xiàng)卡��。列出三個(gè)默認(rèn)操作。不要使用要求安全操作���,您必須創(chuàng)建一個(gè)更嚴(yán)格的新操作。
若要?jiǎng)?chuàng)建新操作����,請(qǐng):
單擊添加創(chuàng)建新篩選器操作���。啟動(dòng)一個(gè)向?qū)?��。將?a target="_blank" href="http://m.survivalescaperooms.com" class="UBBWordLink">操作命名為"Encrypt Abczz"�。
對(duì)于常規(guī)選項(xiàng)���,單擊協(xié)商安全�����,然后單擊不和不支持 IPsec 的計(jì)算機(jī)通訊����。
單擊 IP 通信安全性為高選項(xiàng)���,然后單擊完成以關(guān)閉該向?qū)А?
雙擊新的篩選器操作(前面命名的"Encrypt Abczz")�����。
單擊清除接受不安全的通訊��,但總是用 IPSec 響應(yīng)復(fù)選框。這一步驟確保計(jì)算機(jī)在發(fā)送 Abczz 數(shù)據(jù)包之前必須協(xié)商 IPSec�����。
單擊會(huì)話密鑰完全向前保密以確保不重新使用密鑰資料�,單擊確定,然后單擊關(guān)閉����。
創(chuàng)建 IPSec 策略
您已經(jīng)獲得了策略元素?���,F(xiàn)在����,您可以創(chuàng)建策略本身了����。右鍵單擊 MMC 的右窗格,然后單擊創(chuàng)建 IP 安全策略�����。當(dāng)向?qū)?dòng)時(shí):
將該策略命名為"Alice's IPSec"�。
單擊清除激活默認(rèn)響應(yīng)規(guī)則復(fù)選框。
單擊編輯屬性(如果未選中的話)���,然后完成該向?qū)АT摬呗缘膶傩詫?duì)話框?qū)⒋蜷_。
為使 IPSec 策略有效,它必須至少包含一個(gè)將篩選器列表鏈接到篩選器操作的規(guī)則。
若要在屬性對(duì)話框中指定規(guī)則�����,請(qǐng):
單擊添加以創(chuàng)建新規(guī)則�。啟動(dòng)向?qū)Ш螅瑔螕舸艘?guī)則不指定隧道。
單擊局域網(wǎng) (LAN) 作為網(wǎng)絡(luò)類型。
如果 Alice 和 Bob 的計(jì)算機(jī)位于同一個(gè) Windows 2000 域中���,單擊 Windows 2000 默認(rèn)值(Kerberos V5 協(xié)議)作為身份驗(yàn)證方法。如果不在一個(gè)域中,則單擊使用此字串來(lái)保護(hù)密鑰交換(預(yù)共享密鑰)���,然后輸入字符串(使用您可記住的長(zhǎng)字符串,不要有任何鍵入錯(cuò)誤)。
選擇前面創(chuàng)建的篩選器列表����。在此示例中���,該篩選器列表為"Abczz to Bob's PC"�����。然后���,選擇前面創(chuàng)建的篩選器操作��。在此示例中��,該篩選器操作為"Encrypt Abczz"����。
完成該向?qū)?����,然后單擊關(guān)閉����。
配置其他終結(jié)點(diǎn)
在 Bob 的計(jì)算機(jī)上重復(fù)上述應(yīng)用于 Alice 的計(jì)算機(jī)的所有步驟���。顯然要進(jìn)行一些必要的更改��,例如��,"Abczz to Bob's PC"必須更改為"Abczz to Alice's PC"。
指派策略
您已經(jīng)在兩個(gè)端點(diǎn)上定義了策略。現(xiàn)在����,必須指派它們:
在本地安全設(shè)置 MMC 中����,右鍵單擊策略(在此示例中為 Abczz )���。
單擊指派�����。
一次只能指派一個(gè) IPSec 策略,但是一個(gè)策略可根據(jù)需要擁有多個(gè)規(guī)則���。例如,如果 Alice 還需要通過(guò)使用不同的協(xié)議保護(hù)與 Eve 的通訊�,則您必須創(chuàng)建相應(yīng)的篩選器列表和操作����,并向 IPSec (屬于 Alice)添加一個(gè)規(guī)則�����,以便將特定的篩選器列表和篩選器操作鏈接起來(lái)�����。單擊為此規(guī)則使用不同的共享密鑰。Alice 的策略現(xiàn)在有兩個(gè)規(guī)則:一個(gè)用于與 Bob 進(jìn)行 Abczz 通訊����,另一個(gè)用于與 Eve 進(jìn)行通訊����。因?yàn)?Bob 和 Eve 無(wú)需安全地互相通訊�����,所以 Bob 的策略中未添加任何規(guī)則�����,Eve 的策略中包含一個(gè)用于與 Alice 進(jìn)行通訊的規(guī)則�����。
疑難解答
使用 IPSecMon 測(cè)試策略
Windows 2000 包括一個(gè)實(shí)用程序 (IPSecMon.exe)�,它可用于測(cè)試 IPSec 安全關(guān)聯(lián)是否已成功建立��。若要啟動(dòng) IPSecMon���,請(qǐng):
單擊開始���,然后單擊運(yùn)行��。
鍵入:ipsecmon����,然后按 ENTER 鍵�����。
單擊選項(xiàng)�����。
將刷新間隔更改為 1。
必須在不同終結(jié)點(diǎn)之間建立通訊���。可能會(huì)有一個(gè)延遲�����,這是由于終結(jié)點(diǎn)需要幾秒鐘時(shí)間來(lái)交換加密信息并完成安全關(guān)聯(lián)�?��?稍?IPSecMon 中觀察此行為���。當(dāng)這兩個(gè)終結(jié)點(diǎn)都建立了它們的安全關(guān)聯(lián)��,可在 IPSecMon 中觀察到顯示此行為的條目���。
如果期望的安全協(xié)商沒有建立�,則返回并檢查每個(gè)終結(jié)點(diǎn)上的篩選器列表����。在您方便地將源地址和目標(biāo)地址或端口反向時(shí),確保已經(jīng)收到所使用協(xié)議的正確定義。您可能要考慮創(chuàng)建一個(gè)指定所有通信的新篩選器列表���。同樣,可向使用此篩選器列表的策略添加一個(gè)新規(guī)則,然后禁用現(xiàn)有的規(guī)則����。在兩個(gè)終結(jié)點(diǎn)上執(zhí)行這些步驟����。然后�,可使用 ping 命令測(cè)試連接性。ping 命令在安全關(guān)聯(lián)階段可顯示"Negotiating IP security"(正在協(xié)商 IP 安全),然后顯示建立安全關(guān)聯(lián)之后的正常結(jié)果。
NAT 與 IPSec 不兼容
如果在兩個(gè)終結(jié)點(diǎn)之間有任何網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT)����,則 IPSec 不起作用����。IPSec 將終結(jié)點(diǎn)地址作為有效負(fù)載的一部分嵌入���。在將數(shù)據(jù)包發(fā)送到電纜上之前進(jìn)行數(shù)據(jù)包校驗(yàn)和計(jì)算時(shí)�����,IPSec 也使用源地址。NAT 可更改出站數(shù)據(jù)包的源地址��,目標(biāo)在計(jì)算自己的校驗(yàn)和時(shí)使用頭中的地址��。如果數(shù)據(jù)包中攜帶的用初始來(lái)源計(jì)算的校驗(yàn)和與用目標(biāo)計(jì)算的校驗(yàn)和不符����,則目標(biāo)可丟棄這些數(shù)據(jù)包����。不能將 IPSec 用于任何類型的 NAT 設(shè)備。
參考
有關(guān) Windows 2000 中 IPSec 的白皮書和詳細(xì)的技術(shù)信息���,請(qǐng)參閱以下 Microsoft Web 站點(diǎn):
http://www.microsoft.com/windows2000/technologies/security/default.asp
3.如何更改Terminal Server的端口
該修改需要在服務(wù)器端和客戶端同時(shí)修改�,如果不知道該服務(wù)器的端口號(hào)�,客戶端將無(wú)法連接服務(wù)器。
服務(wù)器端的修改:
Key: HKLM/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp
Name: PortNumber
Type: DWORD
Valus:任意值
Key: HKLME/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp
Name: PortNumber
Type: DWORD
value:和上面值一致
注:需重啟后生效。
然后我們修改客戶端����,打開Terminal Server Client的客戶端管理器�����,導(dǎo)出連接文件(后綴名為cns),用記事本打開該cns文件,搜索"Server Port"���,修改該值,與服務(wù)器保持一致即可(注意進(jìn)制的轉(zhuǎn)換)。最后導(dǎo)入該cns文件至Terminal Server的客戶端管理器����。
4.如何禁止Guest訪問(wèn)事件日志����?
在默認(rèn)安裝的Windows NT和Windows 2000中��,Guest帳號(hào)和匿名用戶可以查看系統(tǒng)的事件日志,可能導(dǎo)致許多重要信息的泄漏����,建議修改注冊(cè)表來(lái)禁止Guest訪問(wèn)事件日志����。
應(yīng)用日志:
Key: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog/Application
Name: RestrictGuestAccess
Type: DWORD
value: 1
系統(tǒng)日志:
Key: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog/System
Name: RestrictGuestAccess
Type: DWORD
value: 1
安全日志:
Key: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog/Security
Name: RestrictGuestAccess
Type: DWORD
value: 1
5.如何刪除管理共享(C$,D$...)���?
我們可以用Net Share命令來(lái)刪除�,但是機(jī)器重啟后這個(gè)共享會(huì)自動(dòng)出現(xiàn),這時(shí)����,我們可以修改注冊(cè)表��。
對(duì)于服務(wù)器而言:
Key: HKLM/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters
Name: AutoShareServer
Type: DWORD
value: 0
對(duì)于工作站而言:
Key: HKLM/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters
Name: AutoShareWks
Type: DWORD
value: 0
修改注冊(cè)表后需要重啟Server服務(wù)或重新啟動(dòng)機(jī)器。
注:這些鍵值在默認(rèn)情況下在主機(jī)上是不存在的�,需要自己手動(dòng)添加���。
6.如何禁止惡意用戶使用FileSystemObject��?
常見的有3種方法:
1、修改注冊(cè)表�,將FileSystemObject改成一個(gè)任意的名字����,只有知道該名字的用戶才可以創(chuàng)建該對(duì)象��,
[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{0D43FE01-F093-11CF-8940-00A0C9054228}/ProgID]
@="Scripting.FileSystemObject"
2����、運(yùn)行Regsvr32 scrrun.dll /u�����,所有用戶無(wú)法創(chuàng)建FileSystemObject。
3、運(yùn)行cacls %systemroot%/system32/scrrun.dll /d guests,匿名用戶(包括IUSR_Machinename用戶)無(wú)法使用FileSystemObject,我們可以對(duì)ASP文件或者腳本文件設(shè)置NTFS權(quán)限���,通過(guò)驗(yàn)證的非Guests組用戶可以使用FileSystemObject。
7.如何禁止顯示上次登陸的用戶名?
我們可以通過(guò)修改注冊(cè)表來(lái)實(shí)現(xiàn):
Key: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon
Name: DontDisplayLastUserName
Type: REG_DWORD
value: 1
8.如何禁止匿名用戶連接你的IPC$共享�����?
我們可以通過(guò)修改注冊(cè)表來(lái)實(shí)現(xiàn)
Key:HKLM/SYSTEM/CurrentControlSet/Control/Lsa
Name: RestrictAnonymous
Type: REG_DWORD
value: 1 | 2
說(shuō)明:把該值設(shè)為1時(shí)�,匿名用戶無(wú)法列舉主機(jī)用戶列表;
把該值設(shè)為2時(shí)����,匿名用戶無(wú)法連接你的IPS$共享��,不建議使用2,否則可能會(huì)造成你的一些服務(wù)無(wú)法啟動(dòng)���,如SQL Server...
