1.如何關(guān)閉Windows 2000下的445端口�����?
修改注冊(cè)表����,添加一個(gè)鍵值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
修改完后重啟機(jī)器����,運(yùn)行“netstat -an”�,你將會(huì)發(fā)現(xiàn)你的445端口已經(jīng)不再Listening了�。
2.如何使用IPSec保護(hù)我的網(wǎng)絡(luò)通信�����?
IPSec 術(shù)語(yǔ)
在執(zhí)行以下指導(dǎo)步驟之前,確保您知道以下術(shù)語(yǔ)的含義:
身份驗(yàn)證:確定計(jì)算機(jī)的身份是否合法的過(guò)程����。Windows 2000 IPSec 支持三種身份驗(yàn)證:Kerberos、證書(shū)和預(yù)共享密鑰�����。只有當(dāng)兩個(gè)終結(jié)點(diǎn)(計(jì)算機(jī))都位于同一個(gè) Windows 2000 域時(shí)����,Kerberos 身份驗(yàn)證才有效。這種類(lèi)型的身份驗(yàn)證是首選方法��。如果計(jì)算機(jī)位于不同的域中�����,或者至少有一臺(tái)計(jì)算機(jī)不在某個(gè)域中����,則必須使用證書(shū)或預(yù)共享密鑰���。只有當(dāng)每個(gè)終結(jié)點(diǎn)中包含一個(gè)由另一個(gè)終結(jié)點(diǎn)信任的頒發(fā)機(jī)構(gòu)簽署的證書(shū)時(shí)�,證書(shū)才有效。預(yù)共享密鑰與密碼有著相同的問(wèn)題��。它們不會(huì)在很長(zhǎng)的時(shí)間段內(nèi)保持機(jī)密性。如果終結(jié)點(diǎn)不在同一個(gè)域中��,并且無(wú)法獲得證書(shū)���,則預(yù)共享密鑰是唯一的身份驗(yàn)證選擇�����。
加密:使準(zhǔn)備在兩個(gè)終結(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)難以辨認(rèn)的過(guò)程�。通過(guò)使用充分測(cè)試的算法�����,每個(gè)終結(jié)點(diǎn)都創(chuàng)建和交換密鑰����。該過(guò)程確保只有這些終結(jié)點(diǎn)知道密鑰��,而且如果任何密鑰交換序列被攔截����,攔截者不會(huì)得到任何有價(jià)值的內(nèi)容。
篩選器:對(duì) Internet 協(xié)議 (IP) 地址和協(xié)議的描述����,可觸發(fā) IPSec 安全關(guān)聯(lián)的建立�����。
篩選器操作:安全要求�,可在通信與篩選器列表中的篩選器相匹配時(shí)啟用。
篩選器列表:篩選器的集合�。
Internet 協(xié)議安全策略:規(guī)則集合,描述計(jì)算機(jī)之間的通訊是如何得到保護(hù)的����。
規(guī)則:篩選器列表和篩選器操作之間的鏈接。當(dāng)通信與篩選器列表匹配時(shí)���,可觸發(fā)相應(yīng)的篩選器操作��。IPSec 策略可包含多個(gè)規(guī)則�。
安全關(guān)聯(lián):終結(jié)點(diǎn)為建立安全會(huì)話而協(xié)商的身份驗(yàn)證與加密方法的集合。
在 Microsoft 管理控制臺(tái)中查找 IPSec
通過(guò)使用 Microsoft 管理控制臺(tái) (MMC) 配置 IPSec��。Windows 2000 在安裝過(guò)程中創(chuàng)建一個(gè)帶有 IPSec 管理單元的 MMC。若要查找 IPSec,請(qǐng)單擊開(kāi)始,指向程序���,單擊管理工具���,然后單擊本地安全策略。在打開(kāi)的 MMC 中的左窗格中����,單擊本地計(jì)算機(jī)上的 IP 安全策略。MMC 將在右窗格中顯示現(xiàn)有的默認(rèn)策略���。
更改 IP 地址�、計(jì)算機(jī)名和用戶名
為了此示例的目的���,假設(shè) Alice 是一個(gè)計(jì)算機(jī)用戶��,該計(jì)算機(jī)名為"Alicepc"���、IP 地址為 172.16.98.231�����,Bob 的計(jì)算機(jī)名為"Bobslap",IP 地址為 172.31.67.244����。他們使用 Abczz 程序連接他們的計(jì)算機(jī)�����。
通過(guò)使用 Abczz 程序互相連接時(shí)�����,Alice 和 Bob 必須確保通信是被加密的。當(dāng) Abczz 建立其連接時(shí),啟動(dòng)程序使用其本身上的隨機(jī)高端口并連接(出于本示例中的目的)到 6667/TCP 或 6668/TCP 端口上的目標(biāo)(其中����,TCP 是"傳輸控制協(xié)議"的縮寫(xiě))。通常����,這些端口用作 Internet 多線交談 (IRC)����。因?yàn)?Alice 或 Bob 均可發(fā)起連接,所以該策略必須存在于兩端。
創(chuàng)建篩選器列表
通過(guò)在 MMC 控制臺(tái)中右鍵單擊 IP 安全策略�,可訪問(wèn)用于創(chuàng)建 IPSec 策略的菜單�。第一個(gè)菜單項(xiàng)是"創(chuàng)建 IP 安全策略"。盡管此菜單似乎是要開(kāi)始的位置�,但卻不應(yīng)從此位置開(kāi)始。在可創(chuàng)建策略及其相關(guān)規(guī)則之前,您需要定義篩選器列表和篩選器操作���,它們是任何 IPSec 策略的必需組件�。單擊管理 IP 篩選器表和篩選器操作開(kāi)始工作。
將顯示帶有兩個(gè)選項(xiàng)卡的對(duì)話框:一個(gè)用于篩選器列表����,另一個(gè)用于篩選器操作。首先�,打開(kāi)管理 IP 篩選器列表選項(xiàng)卡。已經(jīng)有兩個(gè)預(yù)先定義的篩選器列表���,您不會(huì)使用它們���。相反,您可以創(chuàng)建一個(gè)特定的篩選器列表�,使其與要連接到的其他計(jì)算機(jī)對(duì)應(yīng)。
假設(shè)您在 Alice 的計(jì)算機(jī)上創(chuàng)建策略:
單擊添加創(chuàng)建新的篩選器列表�����。將該列表命名為"Abczz to Bob's PC"�。
單擊添加添加新篩選器。將啟動(dòng)一個(gè)向?qū)А?
單擊我的 IP 地址作為源地址�����。
單擊一個(gè)特定的 IP 地址作為目標(biāo)地址�,然后輸入 Bob 的計(jì)算機(jī)的 IP 地址 (172.31.67.244)?�;蛘?���,如果 Bob 的計(jì)算機(jī)已在域名系統(tǒng) (DNS) 或 Windows Internet 名稱服務(wù) (WINS) 中注冊(cè),則可選擇特定的 DNS 名�����,然后輸入 Bob 的計(jì)算機(jī)名�����,Bobslap�。
Abczz 使用 TCP 進(jìn)行通訊�,因此單擊 TCP 作為協(xié)議類(lèi)型��。
對(duì)于 IP 協(xié)議端口�,單擊從任意端口。單擊到此端口���,鍵入:6667��,然后單擊完成完成該向?qū)А?
重復(fù)上述步驟���,但這次鍵入:6668作為端口號(hào),然后單擊關(guān)閉�。
您的篩選器列表中包含兩個(gè)篩選器:一個(gè)在端口 6667 (屬于 Bob)上用于從 Alice 到 Bob 的通訊,另一個(gè)在端口 6668 (屬于 Bob)上��。(Bob 在自己的計(jì)算機(jī)上設(shè)置了 6667 和 6668 兩個(gè)端口:一個(gè)端口用于傳出的通訊����,另一個(gè)用于傳入的通訊。)這些篩選器是鏡像的��,每次創(chuàng)建 IPSec 篩選器時(shí)通常都需要如此�����。對(duì)于已鏡像的每個(gè)篩選器,該列表可包含(但不顯示)與其正好相反的篩選器(即目標(biāo)和源地址與其相反的篩選器)��。如果沒(méi)有鏡像篩選器�����,IPSec 通訊通常不成功。
創(chuàng)建篩選器操作
您已經(jīng)定義了必須受到保護(hù)的通信的種類(lèi)。現(xiàn)在�����,您必須指定安全機(jī)制���。單擊管理篩選器操作選項(xiàng)卡。列出三個(gè)默認(rèn)操作。不要使用要求安全操作���,您必須創(chuàng)建一個(gè)更嚴(yán)格的新操作。
若要?jiǎng)?chuàng)建新操作�����,請(qǐng):
單擊添加創(chuàng)建新篩選器操作���。啟動(dòng)一個(gè)向?qū)?�。將該操作命名?quot;Encrypt Abczz"��。
對(duì)于常規(guī)選項(xiàng),單擊協(xié)商安全�,然后單擊不和不支持 IPsec 的計(jì)算機(jī)通訊�。
單擊 IP 通信安全性為高選項(xiàng)�,然后單擊完成以關(guān)閉該向?qū)А?
雙擊新的篩選器操作(前面命名的"Encrypt Abczz")����。
單擊清除接受不安全的通訊���,但總是用 IPSec 響應(yīng)復(fù)選框。這一步驟確保計(jì)算機(jī)在發(fā)送 Abczz 數(shù)據(jù)包之前必須協(xié)商 IPSec�。
單擊會(huì)話密鑰完全向前保密以確保不重新使用密鑰資料��,單擊確定�����,然后單擊關(guān)閉��。
創(chuàng)建 IPSec 策略
您已經(jīng)獲得了策略元素?���,F(xiàn)在�,您可以創(chuàng)建策略本身了����。右鍵單擊 MMC 的右窗格,然后單擊創(chuàng)建 IP 安全策略����。當(dāng)向?qū)?dòng)時(shí):
將該策略命名為"Alice's IPSec"���。
單擊清除激活默認(rèn)響應(yīng)規(guī)則復(fù)選框。
單擊編輯屬性(如果未選中的話)���,然后完成該向?qū)?����。該策略的屬性?duì)話框?qū)⒋蜷_(kāi)�。
為使 IPSec 策略有效�,它必須至少包含一個(gè)將篩選器列表鏈接到篩選器操作的規(guī)則��。
若要在屬性對(duì)話框中指定規(guī)則���,請(qǐng):
單擊添加以創(chuàng)建新規(guī)則�����。啟動(dòng)向?qū)Ш螅瑔螕舸艘?guī)則不指定隧道����。
單擊局域網(wǎng) (LAN) 作為網(wǎng)絡(luò)類(lèi)型。
如果 Alice 和 Bob 的計(jì)算機(jī)位于同一個(gè) Windows 2000 域中�����,單擊 Windows 2000 默認(rèn)值(Kerberos V5 協(xié)議)作為身份驗(yàn)證方法。如果不在一個(gè)域中,則單擊使用此字串來(lái)保護(hù)密鑰交換(預(yù)共享密鑰),然后輸入字符串(使用您可記住的長(zhǎng)字符串���,不要有任何鍵入錯(cuò)誤)。
選擇前面創(chuàng)建的篩選器列表���。在此示例中,該篩選器列表為"Abczz to Bob's PC"。然后����,選擇前面創(chuàng)建的篩選器操作����。在此示例中,該篩選器操作為"Encrypt Abczz"���。
完成該向?qū)В缓髥螕絷P(guān)閉。
配置其他終結(jié)點(diǎn)
在 Bob 的計(jì)算機(jī)上重復(fù)上述應(yīng)用于 Alice 的計(jì)算機(jī)的所有步驟。顯然要進(jìn)行一些必要的更改���,例如,"Abczz to Bob's PC"必須更改為"Abczz to Alice's PC"。
指派策略
您已經(jīng)在兩個(gè)端點(diǎn)上定義了策略?�,F(xiàn)在����,必須指派它們:
在本地安全設(shè)置 MMC 中,右鍵單擊策略(在此示例中為 Abczz )�����。
單擊指派�����。
一次只能指派一個(gè) IPSec 策略�,但是一個(gè)策略可根據(jù)需要擁有多個(gè)規(guī)則。例如�,如果 Alice 還需要通過(guò)使用不同的協(xié)議保護(hù)與 Eve 的通訊,則您必須創(chuàng)建相應(yīng)的篩選器列表和操作����,并向 IPSec (屬于 Alice)添加一個(gè)規(guī)則,以便將特定的篩選器列表和篩選器操作鏈接起來(lái)��。單擊為此規(guī)則使用不同的共享密鑰�����。Alice 的策略現(xiàn)在有兩個(gè)規(guī)則:一個(gè)用于與 Bob 進(jìn)行 Abczz 通訊����,另一個(gè)用于與 Eve 進(jìn)行通訊。因?yàn)?Bob 和 Eve 無(wú)需安全地互相通訊�����,所以 Bob 的策略中未添加任何規(guī)則,Eve 的策略中包含一個(gè)用于與 Alice 進(jìn)行通訊的規(guī)則���。
疑難解答
使用 IPSecMon 測(cè)試策略
Windows 2000 包括一個(gè)實(shí)用程序 (IPSecMon.exe)�,它可用于測(cè)試 IPSec 安全關(guān)聯(lián)是否已成功建立���。若要啟動(dòng) IPSecMon���,請(qǐng):
單擊開(kāi)始,然后單擊運(yùn)行�����。
鍵入:ipsecmon����,然后按 ENTER 鍵。
單擊選項(xiàng)����。
將刷新間隔更改為 1。
必須在不同終結(jié)點(diǎn)之間建立通訊?���?赡軙?huì)有一個(gè)延遲,這是由于終結(jié)點(diǎn)需要幾秒鐘時(shí)間來(lái)交換加密信息并完成安全關(guān)聯(lián)����?���?稍?IPSecMon 中觀察此行為。當(dāng)這兩個(gè)終結(jié)點(diǎn)都建立了它們的安全關(guān)聯(lián)����,可在 IPSecMon 中觀察到顯示此行為的條目。
如果期望的安全協(xié)商沒(méi)有建立��,則返回并檢查每個(gè)終結(jié)點(diǎn)上的篩選器列表�。在您方便地將源地址和目標(biāo)地址或端口反向時(shí),確保已經(jīng)收到所使用協(xié)議的正確定義���。您可能要考慮創(chuàng)建一個(gè)指定所有通信的新篩選器列表���。同樣,可向使用此篩選器列表的策略添加一個(gè)新規(guī)則,然后禁用現(xiàn)有的規(guī)則�。在兩個(gè)終結(jié)點(diǎn)上執(zhí)行這些步驟。然后��,可使用 ping 命令測(cè)試連接性���。ping 命令在安全關(guān)聯(lián)階段可顯示"Negotiating IP security"(正在協(xié)商 IP 安全)�,然后顯示建立安全關(guān)聯(lián)之后的正常結(jié)果���。
NAT 與 IPSec 不兼容
如果在兩個(gè)終結(jié)點(diǎn)之間有任何網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT)��,則 IPSec 不起作用�。IPSec 將終結(jié)點(diǎn)地址作為有效負(fù)載的一部分嵌入��。在將數(shù)據(jù)包發(fā)送到電纜上之前進(jìn)行數(shù)據(jù)包校驗(yàn)和計(jì)算時(shí)��,IPSec 也使用源地址�����。NAT 可更改出站數(shù)據(jù)包的源地址��,目標(biāo)在計(jì)算自己的校驗(yàn)和時(shí)使用頭中的地址���。如果數(shù)據(jù)包中攜帶的用初始來(lái)源計(jì)算的校驗(yàn)和與用目標(biāo)計(jì)算的校驗(yàn)和不符�����,則目標(biāo)可丟棄這些數(shù)據(jù)包����。不能將 IPSec 用于任何類(lèi)型的 NAT 設(shè)備。
參考
有關(guān) Windows 2000 中 IPSec 的白皮書(shū)和詳細(xì)的技術(shù)信息�����,請(qǐng)參閱以下 Microsoft Web 站點(diǎn):
http://www.microsoft.com/windows2000/technologies/security/default.asp
3.如何更改Terminal Server的端口
該修改需要在服務(wù)器端和客戶端同時(shí)修改�,如果不知道該服務(wù)器的端口號(hào)�,客戶端將無(wú)法連接服務(wù)器。
服務(wù)器端的修改:
Key: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
Name: PortNumber
Type: DWORD
Valus:任意值
Key: HKLME\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Name: PortNumber
Type: DWORD
value:和上面值一致
注:需重啟后生效����。
然后我們修改客戶端,打開(kāi)Terminal Server Client的客戶端管理器��,導(dǎo)出連接文件(后綴名為cns)����,用記事本打開(kāi)該cns文件,搜索"Server Port",修改該值����,與服務(wù)器保持一致即可(注意進(jìn)制的轉(zhuǎn)換)。最后導(dǎo)入該cns文件至Terminal Server的客戶端管理器�����。
4.如何禁止Guest訪問(wèn)事件日志���?
在默認(rèn)安裝的Windows NT和Windows 2000中����,Guest帳號(hào)和匿名用戶可以查看系統(tǒng)的事件日志���,可能導(dǎo)致許多重要信息的泄漏�����,建議修改注冊(cè)表來(lái)禁止Guest訪問(wèn)事件日志���。
應(yīng)用日志:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application
Name: RestrictGuestAccess
Type: DWORD
value: 1
系統(tǒng)日志:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System
Name: RestrictGuestAccess
Type: DWORD
value: 1
安全日志:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security
Name: RestrictGuestAccess
Type: DWORD
value: 1
5.如何刪除管理共享(C$,D$...)?
我們可以用Net Share命令來(lái)刪除�,但是機(jī)器重啟后這個(gè)共享會(huì)自動(dòng)出現(xiàn)���,這時(shí),我們可以修改注冊(cè)表��。
對(duì)于服務(wù)器而言:
Key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name: AutoShareServer
Type: DWORD
value: 0
對(duì)于工作站而言:
Key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name: AutoShareWks
Type: DWORD
value: 0
修改注冊(cè)表后需要重啟Server服務(wù)或重新啟動(dòng)機(jī)器���。
注:這些鍵值在默認(rèn)情況下在主機(jī)上是不存在的��,需要自己手動(dòng)添加��。
6.如何禁止惡意用戶使用FileSystemObject����?
常見(jiàn)的有3種方法:
1�����、修改注冊(cè)表�,將FileSystemObject改成一個(gè)任意的名字�����,只有知道該名字的用戶才可以創(chuàng)建該對(duì)象���,
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ProgID]
@="Scripting.FileSystemObject"
2����、運(yùn)行Regsvr32 scrrun.dll /u,所有用戶無(wú)法創(chuàng)建FileSystemObject�����。
3�����、運(yùn)行cacls %systemroot%\system32\scrrun.dll /d guests����,匿名用戶(包括IUSR_Machinename用戶)無(wú)法使用FileSystemObject,我們可以對(duì)ASP文件或者腳本文件設(shè)置NTFS權(quán)限�����,通過(guò)驗(yàn)證的非Guests組用戶可以使用FileSystemObject�����。
7.如何禁止顯示上次登陸的用戶名���?
我們可以通過(guò)修改注冊(cè)表來(lái)實(shí)現(xiàn):
Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon
Name: DontDisplayLastUserName
Type: REG_DWORD
value: 1
8.如何禁止匿名用戶連接你的IPC$共享��?
我們可以通過(guò)修改注冊(cè)表來(lái)實(shí)現(xiàn)
Key:HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Name: RestrictAnonymous
Type: REG_DWORD
value: 1 | 2
說(shuō)明:把該值設(shè)為1時(shí)����,匿名用戶無(wú)法列舉主機(jī)用戶列表;
把該值設(shè)為2時(shí)����,匿名用戶無(wú)法連接你的IPS$共享,不建議使用2��,否則可能會(huì)造成你的一些服務(wù)無(wú)法啟動(dòng)�����,如SQL Server...
