1.如何關(guān)閉Windows 2000下的445端口?
修改注冊表,添加一個鍵值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
修改完后重啟機(jī)器,運(yùn)行“netstat -an”,你將會發(fā)現(xiàn)你的445端口已經(jīng)不再Listening了。
2.如何使用IPSec保護(hù)我的網(wǎng)絡(luò)通信?
IPSec 術(shù)語
在執(zhí)行以下指導(dǎo)步驟之前,確保您知道以下術(shù)語的含義:
身份驗(yàn)證:確定計(jì)算機(jī)的身份是否合法的過程。Windows 2000 IPSec 支持三種身份驗(yàn)證:Kerberos、證書和預(yù)共享密鑰。只有當(dāng)兩個終結(jié)點(diǎn)(計(jì)算機(jī))都位于同一個 Windows 2000 域時(shí),Kerberos 身份驗(yàn)證才有效。這種類型的身份驗(yàn)證是首選方法。如果計(jì)算機(jī)位于不同的域中,或者至少有一臺計(jì)算機(jī)不在某個域中,則必須使用證書或預(yù)共享密鑰。只有當(dāng)每個終結(jié)點(diǎn)中包含一個由另一個終結(jié)點(diǎn)信任的頒發(fā)機(jī)構(gòu)簽署的證書時(shí),證書才有效。預(yù)共享密鑰與密碼有著相同的問題。它們不會在很長的時(shí)間段內(nèi)保持機(jī)密性。如果終結(jié)點(diǎn)不在同一個域中,并且無法獲得證書,則預(yù)共享密鑰是唯一的身份驗(yàn)證選擇。
加密:使準(zhǔn)備在兩個終結(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)難以辨認(rèn)的過程。通過使用充分測試的算法,每個終結(jié)點(diǎn)都創(chuàng)建和交換密鑰。該過程確保只有這些終結(jié)點(diǎn)知道密鑰,而且如果任何密鑰交換序列被攔截,攔截者不會得到任何有價(jià)值的內(nèi)容。
篩選器:對 Internet 協(xié)議 (IP) 地址和協(xié)議的描述,可觸發(fā) IPSec 安全關(guān)聯(lián)的建立。
篩選器操作:安全要求,可在通信與篩選器列表中的篩選器相匹配時(shí)啟用。
篩選器列表:篩選器的集合。
Internet 協(xié)議安全策略:規(guī)則集合,描述計(jì)算機(jī)之間的通訊是如何得到保護(hù)的。
規(guī)則:篩選器列表和篩選器操作之間的鏈接。當(dāng)通信與篩選器列表匹配時(shí),可觸發(fā)相應(yīng)的篩選器操作。IPSec 策略可包含多個規(guī)則。
安全關(guān)聯(lián):終結(jié)點(diǎn)為建立安全會話而協(xié)商的身份驗(yàn)證與加密方法的集合。
在 Microsoft 管理控制臺中查找 IPSec
通過使用 Microsoft 管理控制臺 (MMC) 配置 IPSec。Windows 2000 在安裝過程中創(chuàng)建一個帶有 IPSec 管理單元的 MMC。若要查找 IPSec,請單擊開始,指向程序,單擊管理工具,然后單擊本地安全策略。在打開的 MMC 中的左窗格中,單擊本地計(jì)算機(jī)上的 IP 安全策略。MMC 將在右窗格中顯示現(xiàn)有的默認(rèn)策略。
更改 IP 地址、計(jì)算機(jī)名和用戶名
為了此示例的目的,假設(shè) Alice 是一個計(jì)算機(jī)用戶,該計(jì)算機(jī)名為"Alicepc"、IP 地址為 172.16.98.231,Bob 的計(jì)算機(jī)名為"Bobslap",IP 地址為 172.31.67.244。他們使用 Abczz 程序連接他們的計(jì)算機(jī)。
通過使用 Abczz 程序互相連接時(shí),Alice 和 Bob 必須確保通信是被加密的。當(dāng) Abczz 建立其連接時(shí),啟動程序使用其本身上的隨機(jī)高端口并連接(出于本示例中的目的)到 6667/TCP 或 6668/TCP 端口上的目標(biāo)(其中,TCP 是"傳輸控制協(xié)議"的縮寫)。通常,這些端口用作 Internet 多線交談 (IRC)。因?yàn)?Alice 或 Bob 均可發(fā)起連接,所以該策略必須存在于兩端。
創(chuàng)建篩選器列表
通過在 MMC 控制臺中右鍵單擊 IP 安全策略,可訪問用于創(chuàng)建 IPSec 策略的菜單。第一個菜單項(xiàng)是"創(chuàng)建 IP 安全策略"。盡管此菜單似乎是要開始的位置,但卻不應(yīng)從此位置開始。在可創(chuàng)建策略及其相關(guān)規(guī)則之前,您需要定義篩選器列表和篩選器操作,它們是任何 IPSec 策略的必需組件。單擊管理 IP 篩選器表和篩選器操作開始工作。
將顯示帶有兩個選項(xiàng)卡的對話框:一個用于篩選器列表,另一個用于篩選器操作。首先,打開管理 IP 篩選器列表選項(xiàng)卡。已經(jīng)有兩個預(yù)先定義的篩選器列表,您不會使用它們。相反,您可以創(chuàng)建一個特定的篩選器列表,使其與要連接到的其他計(jì)算機(jī)對應(yīng)。
假設(shè)您在 Alice 的計(jì)算機(jī)上創(chuàng)建策略:
單擊添加創(chuàng)建新的篩選器列表。將該列表命名為"Abczz to Bob's PC"。
單擊添加添加新篩選器。將啟動一個向?qū)А?
單擊我的 IP 地址作為源地址。
單擊一個特定的 IP 地址作為目標(biāo)地址,然后輸入 Bob 的計(jì)算機(jī)的 IP 地址 (172.31.67.244)。或者,如果 Bob 的計(jì)算機(jī)已在域名系統(tǒng) (DNS) 或 Windows Internet 名稱服務(wù) (WINS) 中注冊,則可選擇特定的 DNS 名,然后輸入 Bob 的計(jì)算機(jī)名,Bobslap。
Abczz 使用 TCP 進(jìn)行通訊,因此單擊 TCP 作為協(xié)議類型。
對于 IP 協(xié)議端口,單擊從任意端口。單擊到此端口,鍵入:6667,然后單擊完成完成該向?qū)А?
重復(fù)上述步驟,但這次鍵入:6668作為端口號,然后單擊關(guān)閉。
您的篩選器列表中包含兩個篩選器:一個在端口 6667 (屬于 Bob)上用于從 Alice 到 Bob 的通訊,另一個在端口 6668 (屬于 Bob)上。(Bob 在自己的計(jì)算機(jī)上設(shè)置了 6667 和 6668 兩個端口:一個端口用于傳出的通訊,另一個用于傳入的通訊。)這些篩選器是鏡像的,每次創(chuàng)建 IPSec 篩選器時(shí)通常都需要如此。對于已鏡像的每個篩選器,該列表可包含(但不顯示)與其正好相反的篩選器(即目標(biāo)和源地址與其相反的篩選器)。如果沒有鏡像篩選器,IPSec 通訊通常不成功。
創(chuàng)建篩選器操作
您已經(jīng)定義了必須受到保護(hù)的通信的種類。現(xiàn)在,您必須指定安全機(jī)制。單擊管理篩選器操作選項(xiàng)卡。列出三個默認(rèn)操作。不要使用要求安全操作,您必須創(chuàng)建一個更嚴(yán)格的新操作。
若要創(chuàng)建新操作,請:
單擊添加創(chuàng)建新篩選器操作。啟動一個向?qū)А⒃摬僮髅麨?quot;Encrypt Abczz"。
對于常規(guī)選項(xiàng),單擊協(xié)商安全,然后單擊不和不支持 IPsec 的計(jì)算機(jī)通訊。
單擊 IP 通信安全性為高選項(xiàng),然后單擊完成以關(guān)閉該向?qū)А?
雙擊新的篩選器操作(前面命名的"Encrypt Abczz")。
單擊清除接受不安全的通訊,但總是用 IPSec 響應(yīng)復(fù)選框。這一步驟確保計(jì)算機(jī)在發(fā)送 Abczz 數(shù)據(jù)包之前必須協(xié)商 IPSec。
單擊會話密鑰完全向前保密以確保不重新使用密鑰資料,單擊確定,然后單擊關(guān)閉。
創(chuàng)建 IPSec 策略
您已經(jīng)獲得了策略元素。現(xiàn)在,您可以創(chuàng)建策略本身了。右鍵單擊 MMC 的右窗格,然后單擊創(chuàng)建 IP 安全策略。當(dāng)向?qū)訒r(shí):
將該策略命名為"Alice's IPSec"。
單擊清除激活默認(rèn)響應(yīng)規(guī)則復(fù)選框。
單擊編輯屬性(如果未選中的話),然后完成該向?qū)АT摬呗缘膶傩詫υ捒驅(qū)⒋蜷_。
為使 IPSec 策略有效,它必須至少包含一個將篩選器列表鏈接到篩選器操作的規(guī)則。
若要在屬性對話框中指定規(guī)則,請:
單擊添加以創(chuàng)建新規(guī)則。啟動向?qū)Ш螅瑔螕舸艘?guī)則不指定隧道。
單擊局域網(wǎng) (LAN) 作為網(wǎng)絡(luò)類型。
如果 Alice 和 Bob 的計(jì)算機(jī)位于同一個 Windows 2000 域中,單擊 Windows 2000 默認(rèn)值(Kerberos V5 協(xié)議)作為身份驗(yàn)證方法。如果不在一個域中,則單擊使用此字串來保護(hù)密鑰交換(預(yù)共享密鑰),然后輸入字符串(使用您可記住的長字符串,不要有任何鍵入錯誤)。
選擇前面創(chuàng)建的篩選器列表。在此示例中,該篩選器列表為"Abczz to Bob's PC"。然后,選擇前面創(chuàng)建的篩選器操作。在此示例中,該篩選器操作為"Encrypt Abczz"。
完成該向?qū)В缓髥螕絷P(guān)閉。
配置其他終結(jié)點(diǎn)
在 Bob 的計(jì)算機(jī)上重復(fù)上述應(yīng)用于 Alice 的計(jì)算機(jī)的所有步驟。顯然要進(jìn)行一些必要的更改,例如,"Abczz to Bob's PC"必須更改為"Abczz to Alice's PC"。
指派策略
您已經(jīng)在兩個端點(diǎn)上定義了策略。現(xiàn)在,必須指派它們:
在本地安全設(shè)置 MMC 中,右鍵單擊策略(在此示例中為 Abczz )。
單擊指派。
一次只能指派一個 IPSec 策略,但是一個策略可根據(jù)需要擁有多個規(guī)則。例如,如果 Alice 還需要通過使用不同的協(xié)議保護(hù)與 Eve 的通訊,則您必須創(chuàng)建相應(yīng)的篩選器列表和操作,并向 IPSec (屬于 Alice)添加一個規(guī)則,以便將特定的篩選器列表和篩選器操作鏈接起來。單擊為此規(guī)則使用不同的共享密鑰。Alice 的策略現(xiàn)在有兩個規(guī)則:一個用于與 Bob 進(jìn)行 Abczz 通訊,另一個用于與 Eve 進(jìn)行通訊。因?yàn)?Bob 和 Eve 無需安全地互相通訊,所以 Bob 的策略中未添加任何規(guī)則,Eve 的策略中包含一個用于與 Alice 進(jìn)行通訊的規(guī)則。
疑難解答
使用 IPSecMon 測試策略
Windows 2000 包括一個實(shí)用程序 (IPSecMon.exe),它可用于測試 IPSec 安全關(guān)聯(lián)是否已成功建立。若要啟動 IPSecMon,請:
單擊開始,然后單擊運(yùn)行。
鍵入:ipsecmon,然后按 ENTER 鍵。
單擊選項(xiàng)。
將刷新間隔更改為 1。
必須在不同終結(jié)點(diǎn)之間建立通訊。可能會有一個延遲,這是由于終結(jié)點(diǎn)需要幾秒鐘時(shí)間來交換加密信息并完成安全關(guān)聯(lián)。可在 IPSecMon 中觀察此行為。當(dāng)這兩個終結(jié)點(diǎn)都建立了它們的安全關(guān)聯(lián),可在 IPSecMon 中觀察到顯示此行為的條目。
如果期望的安全協(xié)商沒有建立,則返回并檢查每個終結(jié)點(diǎn)上的篩選器列表。在您方便地將源地址和目標(biāo)地址或端口反向時(shí),確保已經(jīng)收到所使用協(xié)議的正確定義。您可能要考慮創(chuàng)建一個指定所有通信的新篩選器列表。同樣,可向使用此篩選器列表的策略添加一個新規(guī)則,然后禁用現(xiàn)有的規(guī)則。在兩個終結(jié)點(diǎn)上執(zhí)行這些步驟。然后,可使用 ping 命令測試連接性。ping 命令在安全關(guān)聯(lián)階段可顯示"Negotiating IP security"(正在協(xié)商 IP 安全),然后顯示建立安全關(guān)聯(lián)之后的正常結(jié)果。
NAT 與 IPSec 不兼容
如果在兩個終結(jié)點(diǎn)之間有任何網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT),則 IPSec 不起作用。IPSec 將終結(jié)點(diǎn)地址作為有效負(fù)載的一部分嵌入。在將數(shù)據(jù)包發(fā)送到電纜上之前進(jìn)行數(shù)據(jù)包校驗(yàn)和計(jì)算時(shí),IPSec 也使用源地址。NAT 可更改出站數(shù)據(jù)包的源地址,目標(biāo)在計(jì)算自己的校驗(yàn)和時(shí)使用頭中的地址。如果數(shù)據(jù)包中攜帶的用初始來源計(jì)算的校驗(yàn)和與用目標(biāo)計(jì)算的校驗(yàn)和不符,則目標(biāo)可丟棄這些數(shù)據(jù)包。不能將 IPSec 用于任何類型的 NAT 設(shè)備。
參考
有關(guān) Windows 2000 中 IPSec 的白皮書和詳細(xì)的技術(shù)信息,請參閱以下 Microsoft Web 站點(diǎn):
http://www.microsoft.com/windows2000/technologies/security/default.asp
3.如何更改Terminal Server的端口
該修改需要在服務(wù)器端和客戶端同時(shí)修改,如果不知道該服務(wù)器的端口號,客戶端將無法連接服務(wù)器。
服務(wù)器端的修改:
Key: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
Name: PortNumber
Type: DWORD
Valus:任意值
Key: HKLME\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Name: PortNumber
Type: DWORD
value:和上面值一致
注:需重啟后生效。
然后我們修改客戶端,打開Terminal Server Client的客戶端管理器,導(dǎo)出連接文件(后綴名為cns),用記事本打開該cns文件,搜索"Server Port",修改該值,與服務(wù)器保持一致即可(注意進(jìn)制的轉(zhuǎn)換)。最后導(dǎo)入該cns文件至Terminal Server的客戶端管理器。
4.如何禁止Guest訪問事件日志?
在默認(rèn)安裝的Windows NT和Windows 2000中,Guest帳號和匿名用戶可以查看系統(tǒng)的事件日志,可能導(dǎo)致許多重要信息的泄漏,建議修改注冊表來禁止Guest訪問事件日志。
應(yīng)用日志:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application
Name: RestrictGuestAccess
Type: DWORD
value: 1
系統(tǒng)日志:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System
Name: RestrictGuestAccess
Type: DWORD
value: 1
安全日志:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security
Name: RestrictGuestAccess
Type: DWORD
value: 1
5.如何刪除管理共享(C$,D$...)?
我們可以用Net Share命令來刪除,但是機(jī)器重啟后這個共享會自動出現(xiàn),這時(shí),我們可以修改注冊表。
對于服務(wù)器而言:
Key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name: AutoShareServer
Type: DWORD
value: 0
對于工作站而言:
Key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name: AutoShareWks
Type: DWORD
value: 0
修改注冊表后需要重啟Server服務(wù)或重新啟動機(jī)器。
注:這些鍵值在默認(rèn)情況下在主機(jī)上是不存在的,需要自己手動添加。
6.如何禁止惡意用戶使用FileSystemObject?
常見的有3種方法:
1、修改注冊表,將FileSystemObject改成一個任意的名字,只有知道該名字的用戶才可以創(chuàng)建該對象,
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ProgID]
@="Scripting.FileSystemObject"
2、運(yùn)行Regsvr32 scrrun.dll /u,所有用戶無法創(chuàng)建FileSystemObject。
3、運(yùn)行cacls %systemroot%\system32\scrrun.dll /d guests,匿名用戶(包括IUSR_Machinename用戶)無法使用FileSystemObject,我們可以對ASP文件或者腳本文件設(shè)置NTFS權(quán)限,通過驗(yàn)證的非Guests組用戶可以使用FileSystemObject。
7.如何禁止顯示上次登陸的用戶名?
我們可以通過修改注冊表來實(shí)現(xiàn):
Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon
Name: DontDisplayLastUserName
Type: REG_DWORD
value: 1
8.如何禁止匿名用戶連接你的IPC$共享?
我們可以通過修改注冊表來實(shí)現(xiàn)
Key:HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Name: RestrictAnonymous
Type: REG_DWORD
value: 1 | 2
說明:把該值設(shè)為1時(shí),匿名用戶無法列舉主機(jī)用戶列表;
把該值設(shè)為2時(shí),匿名用戶無法連接你的IPS$共享,不建議使用2,否則可能會造成你的一些服務(wù)無法啟動,如SQL Server...
