1.如何關(guān)閉Windows 2000下的445端口?
修改注冊(cè)表,添加一個(gè)鍵值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
修改完后重啟機(jī)器,運(yùn)行“netstat -an”,你將會(huì)發(fā)現(xiàn)你的445端口已經(jīng)不再Listening了。
2.如何使用IPSec保護(hù)我的網(wǎng)絡(luò)通信?
IPSec 術(shù)語(yǔ)
在執(zhí)行以下指導(dǎo)步驟之前,確保您知道以下術(shù)語(yǔ)的含義:
身份驗(yàn)證:確定計(jì)算機(jī)的身份是否合法的過(guò)程。Windows 2000 IPSec 支持三種身份驗(yàn)證:Kerberos、證書和預(yù)共享密鑰。只有當(dāng)兩個(gè)終結(jié)點(diǎn)(計(jì)算機(jī))都位于同一個(gè) Windows 2000 域時(shí),Kerberos 身份驗(yàn)證才有效。這種類型的身份驗(yàn)證是首選方法。如果計(jì)算機(jī)位于不同的域中,或者至少有一臺(tái)計(jì)算機(jī)不在某個(gè)域中,則必須使用證書或預(yù)共享密鑰。只有當(dāng)每個(gè)終結(jié)點(diǎn)中包含一個(gè)由另一個(gè)終結(jié)點(diǎn)信任的頒發(fā)機(jī)構(gòu)簽署的證書時(shí),證書才有效。預(yù)共享密鑰與密碼有著相同的問(wèn)題。它們不會(huì)在很長(zhǎng)的時(shí)間段內(nèi)保持機(jī)密性。如果終結(jié)點(diǎn)不在同一個(gè)域中,并且無(wú)法獲得證書,則預(yù)共享密鑰是唯一的身份驗(yàn)證選擇。
加密:使準(zhǔn)備在兩個(gè)終結(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)難以辨認(rèn)的過(guò)程。通過(guò)使用充分測(cè)試的算法,每個(gè)終結(jié)點(diǎn)都創(chuàng)建和交換密鑰。該過(guò)程確保只有這些終結(jié)點(diǎn)知道密鑰,而且如果任何密鑰交換序列被攔截,攔截者不會(huì)得到任何有價(jià)值的內(nèi)容。
篩選器:對(duì) Internet 協(xié)議 (IP) 地址和協(xié)議的描述,可觸發(fā) IPSec 安全關(guān)聯(lián)的建立。
篩選器操作:安全要求,可在通信與篩選器列表中的篩選器相匹配時(shí)啟用。
篩選器列表:篩選器的集合。
Internet 協(xié)議安全策略:規(guī)則集合,描述計(jì)算機(jī)之間的通訊是如何得到保護(hù)的。
規(guī)則:篩選器列表和篩選器操作之間的鏈接。當(dāng)通信與篩選器列表匹配時(shí),可觸發(fā)相應(yīng)的篩選器操作。IPSec 策略可包含多個(gè)規(guī)則。
安全關(guān)聯(lián):終結(jié)點(diǎn)為建立安全會(huì)話而協(xié)商的身份驗(yàn)證與加密方法的集合。
在 Microsoft 管理控制臺(tái)中查找 IPSec
通過(guò)使用 Microsoft 管理控制臺(tái) (MMC) 配置 IPSec。Windows 2000 在安裝過(guò)程中創(chuàng)建一個(gè)帶有 IPSec 管理單元的 MMC。若要查找 IPSec,請(qǐng)單擊開始,指向程序,單擊管理工具,然后單擊本地安全策略。在打開的 MMC 中的左窗格中,單擊本地計(jì)算機(jī)上的 IP 安全策略。MMC 將在右窗格中顯示現(xiàn)有的默認(rèn)策略。
更改 IP 地址、計(jì)算機(jī)名和用戶名
為了此示例的目的,假設(shè) Alice 是一個(gè)計(jì)算機(jī)用戶,該計(jì)算機(jī)名為"Alicepc"、IP 地址為 172.16.98.231,Bob 的計(jì)算機(jī)名為"Bobslap",IP 地址為 172.31.67.244。他們使用 Abczz 程序連接他們的計(jì)算機(jī)。
通過(guò)使用 Abczz 程序互相連接時(shí),Alice 和 Bob 必須確保通信是被加密的。當(dāng) Abczz 建立其連接時(shí),啟動(dòng)程序使用其本身上的隨機(jī)高端口并連接(出于本示例中的目的)到 6667/TCP 或 6668/TCP 端口上的目標(biāo)(其中,TCP 是"傳輸控制協(xié)議"的縮寫)。通常,這些端口用作 Internet 多線交談 (IRC)。因?yàn)?Alice 或 Bob 均可發(fā)起連接,所以該策略必須存在于兩端。
創(chuàng)建篩選器列表
通過(guò)在 MMC 控制臺(tái)中右鍵單擊 IP 安全策略,可訪問(wèn)用于創(chuàng)建 IPSec 策略的菜單。第一個(gè)菜單項(xiàng)是"創(chuàng)建 IP 安全策略"。盡管此菜單似乎是要開始的位置,但卻不應(yīng)從此位置開始。在可創(chuàng)建策略及其相關(guān)規(guī)則之前,您需要定義篩選器列表和篩選器操作,它們是任何 IPSec 策略的必需組件。單擊管理 IP 篩選器表和篩選器操作開始工作。
將顯示帶有兩個(gè)選項(xiàng)卡的對(duì)話框:一個(gè)用于篩選器列表,另一個(gè)用于篩選器操作。首先,打開管理 IP 篩選器列表選項(xiàng)卡。已經(jīng)有兩個(gè)預(yù)先定義的篩選器列表,您不會(huì)使用它們。相反,您可以創(chuàng)建一個(gè)特定的篩選器列表,使其與要連接到的其他計(jì)算機(jī)對(duì)應(yīng)。
假設(shè)您在 Alice 的計(jì)算機(jī)上創(chuàng)建策略:
單擊添加創(chuàng)建新的篩選器列表。將該列表命名為"Abczz to Bob's PC"。
單擊添加添加新篩選器。將啟動(dòng)一個(gè)向?qū)А?
單擊我的 IP 地址作為源地址。
單擊一個(gè)特定的 IP 地址作為目標(biāo)地址,然后輸入 Bob 的計(jì)算機(jī)的 IP 地址 (172.31.67.244)。或者,如果 Bob 的計(jì)算機(jī)已在域名系統(tǒng) (DNS) 或 Windows Internet 名稱服務(wù) (WINS) 中注冊(cè),則可選擇特定的 DNS 名,然后輸入 Bob 的計(jì)算機(jī)名,Bobslap。
Abczz 使用 TCP 進(jìn)行通訊,因此單擊 TCP 作為協(xié)議類型。
對(duì)于 IP 協(xié)議端口,單擊從任意端口。單擊到此端口,鍵入:6667,然后單擊完成完成該向?qū)А?
重復(fù)上述步驟,但這次鍵入:6668作為端口號(hào),然后單擊關(guān)閉。
您的篩選器列表中包含兩個(gè)篩選器:一個(gè)在端口 6667 (屬于 Bob)上用于從 Alice 到 Bob 的通訊,另一個(gè)在端口 6668 (屬于 Bob)上。(Bob 在自己的計(jì)算機(jī)上設(shè)置了 6667 和 6668 兩個(gè)端口:一個(gè)端口用于傳出的通訊,另一個(gè)用于傳入的通訊。)這些篩選器是鏡像的,每次創(chuàng)建 IPSec 篩選器時(shí)通常都需要如此。對(duì)于已鏡像的每個(gè)篩選器,該列表可包含(但不顯示)與其正好相反的篩選器(即目標(biāo)和源地址與其相反的篩選器)。如果沒(méi)有鏡像篩選器,IPSec 通訊通常不成功。
創(chuàng)建篩選器操作
您已經(jīng)定義了必須受到保護(hù)的通信的種類。現(xiàn)在,您必須指定安全機(jī)制。單擊管理篩選器操作選項(xiàng)卡。列出三個(gè)默認(rèn)操作。不要使用要求安全操作,您必須創(chuàng)建一個(gè)更嚴(yán)格的新操作。
若要?jiǎng)?chuàng)建新操作,請(qǐng):
單擊添加創(chuàng)建新篩選器操作。啟動(dòng)一個(gè)向?qū)А⒃摬僮髅麨?quot;Encrypt Abczz"。
對(duì)于常規(guī)選項(xiàng),單擊協(xié)商安全,然后單擊不和不支持 IPsec 的計(jì)算機(jī)通訊。
單擊 IP 通信安全性為高選項(xiàng),然后單擊完成以關(guān)閉該向?qū)А?
雙擊新的篩選器操作(前面命名的"Encrypt Abczz")。
單擊清除接受不安全的通訊,但總是用 IPSec 響應(yīng)復(fù)選框。這一步驟確保計(jì)算機(jī)在發(fā)送 Abczz 數(shù)據(jù)包之前必須協(xié)商 IPSec。
單擊會(huì)話密鑰完全向前保密以確保不重新使用密鑰資料,單擊確定,然后單擊關(guān)閉。
創(chuàng)建 IPSec 策略
您已經(jīng)獲得了策略元素。現(xiàn)在,您可以創(chuàng)建策略本身了。右鍵單擊 MMC 的右窗格,然后單擊創(chuàng)建 IP 安全策略。當(dāng)向?qū)?dòng)時(shí):
將該策略命名為"Alice's IPSec"。
單擊清除激活默認(rèn)響應(yīng)規(guī)則復(fù)選框。
單擊編輯屬性(如果未選中的話),然后完成該向?qū)АT摬呗缘膶傩詫?duì)話框?qū)⒋蜷_。
為使 IPSec 策略有效,它必須至少包含一個(gè)將篩選器列表鏈接到篩選器操作的規(guī)則。
若要在屬性對(duì)話框中指定規(guī)則,請(qǐng):
單擊添加以創(chuàng)建新規(guī)則。啟動(dòng)向?qū)Ш螅瑔螕舸艘?guī)則不指定隧道。
單擊局域網(wǎng) (LAN) 作為網(wǎng)絡(luò)類型。
如果 Alice 和 Bob 的計(jì)算機(jī)位于同一個(gè) Windows 2000 域中,單擊 Windows 2000 默認(rèn)值(Kerberos V5 協(xié)議)作為身份驗(yàn)證方法。如果不在一個(gè)域中,則單擊使用此字串來(lái)保護(hù)密鑰交換(預(yù)共享密鑰),然后輸入字符串(使用您可記住的長(zhǎng)字符串,不要有任何鍵入錯(cuò)誤)。
選擇前面創(chuàng)建的篩選器列表。在此示例中,該篩選器列表為"Abczz to Bob's PC"。然后,選擇前面創(chuàng)建的篩選器操作。在此示例中,該篩選器操作為"Encrypt Abczz"。
完成該向?qū)В缓髥螕絷P(guān)閉。
配置其他終結(jié)點(diǎn)
在 Bob 的計(jì)算機(jī)上重復(fù)上述應(yīng)用于 Alice 的計(jì)算機(jī)的所有步驟。顯然要進(jìn)行一些必要的更改,例如,"Abczz to Bob's PC"必須更改為"Abczz to Alice's PC"。
指派策略
您已經(jīng)在兩個(gè)端點(diǎn)上定義了策略。現(xiàn)在,必須指派它們:
在本地安全設(shè)置 MMC 中,右鍵單擊策略(在此示例中為 Abczz )。
單擊指派。
一次只能指派一個(gè) IPSec 策略,但是一個(gè)策略可根據(jù)需要擁有多個(gè)規(guī)則。例如,如果 Alice 還需要通過(guò)使用不同的協(xié)議保護(hù)與 Eve 的通訊,則您必須創(chuàng)建相應(yīng)的篩選器列表和操作,并向 IPSec (屬于 Alice)添加一個(gè)規(guī)則,以便將特定的篩選器列表和篩選器操作鏈接起來(lái)。單擊為此規(guī)則使用不同的共享密鑰。Alice 的策略現(xiàn)在有兩個(gè)規(guī)則:一個(gè)用于與 Bob 進(jìn)行 Abczz 通訊,另一個(gè)用于與 Eve 進(jìn)行通訊。因?yàn)?Bob 和 Eve 無(wú)需安全地互相通訊,所以 Bob 的策略中未添加任何規(guī)則,Eve 的策略中包含一個(gè)用于與 Alice 進(jìn)行通訊的規(guī)則。
疑難解答
使用 IPSecMon 測(cè)試策略
Windows 2000 包括一個(gè)實(shí)用程序 (IPSecMon.exe),它可用于測(cè)試 IPSec 安全關(guān)聯(lián)是否已成功建立。若要啟動(dòng) IPSecMon,請(qǐng):
單擊開始,然后單擊運(yùn)行。
鍵入:ipsecmon,然后按 ENTER 鍵。
單擊選項(xiàng)。
將刷新間隔更改為 1。
必須在不同終結(jié)點(diǎn)之間建立通訊。可能會(huì)有一個(gè)延遲,這是由于終結(jié)點(diǎn)需要幾秒鐘時(shí)間來(lái)交換加密信息并完成安全關(guān)聯(lián)。可在 IPSecMon 中觀察此行為。當(dāng)這兩個(gè)終結(jié)點(diǎn)都建立了它們的安全關(guān)聯(lián),可在 IPSecMon 中觀察到顯示此行為的條目。
如果期望的安全協(xié)商沒(méi)有建立,則返回并檢查每個(gè)終結(jié)點(diǎn)上的篩選器列表。在您方便地將源地址和目標(biāo)地址或端口反向時(shí),確保已經(jīng)收到所使用協(xié)議的正確定義。您可能要考慮創(chuàng)建一個(gè)指定所有通信的新篩選器列表。同樣,可向使用此篩選器列表的策略添加一個(gè)新規(guī)則,然后禁用現(xiàn)有的規(guī)則。在兩個(gè)終結(jié)點(diǎn)上執(zhí)行這些步驟。然后,可使用 ping 命令測(cè)試連接性。ping 命令在安全關(guān)聯(lián)階段可顯示"Negotiating IP security"(正在協(xié)商 IP 安全),然后顯示建立安全關(guān)聯(lián)之后的正常結(jié)果。
NAT 與 IPSec 不兼容
如果在兩個(gè)終結(jié)點(diǎn)之間有任何網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT),則 IPSec 不起作用。IPSec 將終結(jié)點(diǎn)地址作為有效負(fù)載的一部分嵌入。在將數(shù)據(jù)包發(fā)送到電纜上之前進(jìn)行數(shù)據(jù)包校驗(yàn)和計(jì)算時(shí),IPSec 也使用源地址。NAT 可更改出站數(shù)據(jù)包的源地址,目標(biāo)在計(jì)算自己的校驗(yàn)和時(shí)使用頭中的地址。如果數(shù)據(jù)包中攜帶的用初始來(lái)源計(jì)算的校驗(yàn)和與用目標(biāo)計(jì)算的校驗(yàn)和不符,則目標(biāo)可丟棄這些數(shù)據(jù)包。不能將 IPSec 用于任何類型的 NAT 設(shè)備。
參考
有關(guān) Windows 2000 中 IPSec 的白皮書和詳細(xì)的技術(shù)信息,請(qǐng)參閱以下 Microsoft Web 站點(diǎn):
http://www.microsoft.com/windows2000/technologies/security/default.asp
3.如何更改Terminal Server的端口
該修改需要在服務(wù)器端和客戶端同時(shí)修改,如果不知道該服務(wù)器的端口號(hào),客戶端將無(wú)法連接服務(wù)器。
服務(wù)器端的修改:
Key: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
Name: PortNumber
Type: DWORD
Valus:任意值
Key: HKLME\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Name: PortNumber
Type: DWORD
value:和上面值一致
注:需重啟后生效。
然后我們修改客戶端,打開Terminal Server Client的客戶端管理器,導(dǎo)出連接文件(后綴名為cns),用記事本打開該cns文件,搜索"Server Port",修改該值,與服務(wù)器保持一致即可(注意進(jìn)制的轉(zhuǎn)換)。最后導(dǎo)入該cns文件至Terminal Server的客戶端管理器。
4.如何禁止Guest訪問(wèn)事件日志?
在默認(rèn)安裝的Windows NT和Windows 2000中,Guest帳號(hào)和匿名用戶可以查看系統(tǒng)的事件日志,可能導(dǎo)致許多重要信息的泄漏,建議修改注冊(cè)表來(lái)禁止Guest訪問(wèn)事件日志。
應(yīng)用日志:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application
Name: RestrictGuestAccess
Type: DWORD
value: 1
系統(tǒng)日志:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System
Name: RestrictGuestAccess
Type: DWORD
value: 1
安全日志:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security
Name: RestrictGuestAccess
Type: DWORD
value: 1
5.如何刪除管理共享(C$,D$...)?
我們可以用Net Share命令來(lái)刪除,但是機(jī)器重啟后這個(gè)共享會(huì)自動(dòng)出現(xiàn),這時(shí),我們可以修改注冊(cè)表。
對(duì)于服務(wù)器而言:
Key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name: AutoShareServer
Type: DWORD
value: 0
對(duì)于工作站而言:
Key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name: AutoShareWks
Type: DWORD
value: 0
修改注冊(cè)表后需要重啟Server服務(wù)或重新啟動(dòng)機(jī)器。
注:這些鍵值在默認(rèn)情況下在主機(jī)上是不存在的,需要自己手動(dòng)添加。
6.如何禁止惡意用戶使用FileSystemObject?
常見的有3種方法:
1、修改注冊(cè)表,將FileSystemObject改成一個(gè)任意的名字,只有知道該名字的用戶才可以創(chuàng)建該對(duì)象,
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ProgID]
@="Scripting.FileSystemObject"
2、運(yùn)行Regsvr32 scrrun.dll /u,所有用戶無(wú)法創(chuàng)建FileSystemObject。
3、運(yùn)行cacls %systemroot%\system32\scrrun.dll /d guests,匿名用戶(包括IUSR_Machinename用戶)無(wú)法使用FileSystemObject,我們可以對(duì)ASP文件或者腳本文件設(shè)置NTFS權(quán)限,通過(guò)驗(yàn)證的非Guests組用戶可以使用FileSystemObject。
7.如何禁止顯示上次登陸的用戶名?
我們可以通過(guò)修改注冊(cè)表來(lái)實(shí)現(xiàn):
Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon
Name: DontDisplayLastUserName
Type: REG_DWORD
value: 1
8.如何禁止匿名用戶連接你的IPC$共享?
我們可以通過(guò)修改注冊(cè)表來(lái)實(shí)現(xiàn)
Key:HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Name: RestrictAnonymous
Type: REG_DWORD
value: 1 | 2
說(shuō)明:把該值設(shè)為1時(shí),匿名用戶無(wú)法列舉主機(jī)用戶列表;
把該值設(shè)為2時(shí),匿名用戶無(wú)法連接你的IPS$共享,不建議使用2,否則可能會(huì)造成你的一些服務(wù)無(wú)法啟動(dòng),如SQL Server...
