‘电脑网络’ 分类的存档
单位下班后常有很多员工不关电脑,领导发现后要求解决这个问题。我想如果到各办公室去查看,这很费时,于是就想能否通过一台电脑把所有的机器都关掉。因为所有的办公用机安装的都是Windows XP系统,就想到了使用远程关机“Shutdown”命令。具体方法如下:
步骤1
单击“开始→运行”,在对话框中输入“Gpedit.msc”,单击[确定],打开“组策略编辑器”。
步骤2
在“组策略编辑器”窗口的左边打开“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”,在右边的窗口选择“从远端系统强制关机”。在弹出的对话框中显示目前只有“Administrators”组的成员才有权远程关机;单击对话框下方的[添加用户或组]按钮,然后在弹出的对话框中输入“Clang”(管理员账号),再单击[确定]。
步骤3
这时在“从远端系统强制关机”的属性中便添加了一个“Clang”用户,单击[确定],最后关闭“组策略编辑器”窗口。
对各办公室的电脑进行上述操作后,我们便给每台计算机的“Clang”用户授予了远程关机的权限。到下班时,我只要在自己的机器上进行以下操作:
步骤1 单击“开始→运行”,在对话框中输入“Shutdown -i”,屏幕上将显示“远程关机”对话框。
步骤2 单击[游览]按钮,出现查找计算机的对话框。
步骤3 单击[开始查找]按钮,会出现本网络中的所有计算机
步骤4 按住Ctrl键,用鼠标选择要关闭的计算机,最后单击[确定],这时在远程关机对话框中会出现要关闭的计算机。
步骤5 在选项的下拉框中选择一个合适的关闭理由,然后点击[确定].
依照以上步骤进行操作,远程关机就自动完成了。
在比较复杂的网络环境中,用户需要通过不同的网关访问不同的网络服务器,比如笔记本电脑用户在家时使用ADSL,在单位使用局域网时就需要切换不同的网关。而使用Windows系统“控制面板”中的“网络”进行配置,虽然可以配置多个网关,但其实真正有效的只有一个网关,即默认网关,因此无法满足用户的需求。
怎样才能在Windows系统中配置多个网关呢?首先要在Windows的安装目录下编写路由程序“route.bat”文件,文件内容为:
route add 目标1 mask 子网掩码 网关1
route add 目标2 mask 子网掩码 网关2
route add 0.0.0.0 mask 0.0.0.0 默认网关
其中的目标1为路由的第一个网络号,目标2为路由的第二个网络号。子网掩码分别为两个网络的子网掩码。
其次设置每次启动Windows时,自动执行路由程序“route.bat”,即将指向程序“route.bat”的快捷方式添加到菜单的“启动”栏中。具体设置步骤为:点击“开始→设置→任务栏和开始菜单”,自定义开始菜单程序。单击“添加”,输入“C:\Windows\route.bat”并按回车键。在此我们假定Windows的安装目录为“C:\Windows”。接着双击“启动”文件夹,输入该程序在“启动”菜单中的名称后单击“下一步”按钮,选择程序图标。最后修改指向程序“route.bat”快捷方式的属性,点击“开始→程序→启动”,鼠标右键点击“route.bat”,选择属性,选择“最小化”和“退出时关闭”即可。
通过以上的设置,就可以满足用户配置多个网关的需求。
概要
本文介绍了如何在工作组设置中基于Windows Server 2003 的计算机上将本地策略应用于除管理员以外的所有用户。
在工作组设置(而非域)中使用基于Windows Server 2003 的计算机时,可能需要在该计算机上实施本地策略,这些策略可应用于该计算机的所有用户,但不可应用于管理员。有了这一例外,管理员可以保留对计算机的无限制访问权和控制权,并且还可以限制可登录该计算机的用户。
将本地策略应用于除管理员以外的所有用户
要对除管理员以外的所有用户实施本地策略,请执行以下步骤:
以管理员身份登录到计算机。
打开本地安全策略。要实现这一点,请执行以下操作:
单击开始\运行,键入gpedit.msc,然后按ENTER 键。
展开用户配置对象,然后展开管理模板对象。
启用您所需的任何策略(例如,“隐藏桌面上的‘网上邻居’”或“隐藏桌面上的Internet Explorer 图标”)。
备注:一定要选择正确的策略,否则,您可能会限制管理员登录计算机(以及完成配置计算机所需步骤)的能力。Microsoft 建议您记录所做的任何更改。
关闭“Gpedit.msc 组策略”管理单元,或者,如果您使用 MMC,请将控制台保存为图标,以便以后可以访问它,然后从计算机注销。
以管理员身份登录到计算机。
您可以在此登录会话中验证以前所做的策略更改,因为在默认情况下,本地策略会应用于包括管理员在内的所有用户。
从计算机注销,然后以此计算机所有其他用户(您希望他们应用这些策略)的身份登录到计算机。这些策略是为所有这些用户和管理员而实现的。
备注:对于在这一步未登录到计算机的任何用户帐户,都无法为其实现这些策略。
以管理员身份登录到计算机。
单击开始,指向控制面板,然后单击文件夹选项。选择查看选项卡,选中“显示隐藏文件或文件夹”,然后点确定以便可以查看“组策略”隐藏文件夹。或者,打开“Windows 资源管理器”,单击工具,然后单击文件夹选项以查看这些设置。
将位于 %Systemroot%\System32\GroupPolicy\User 文件夹中的 Registry.pol 文件复制到备份位置(例如,复制到另一硬盘、软盘或文件夹)。
使用“Gpedit.msc 组策略”管理单元或您的 MMC 图标再次打开本地策略,然后启用在为该计算机创建的原始策略中禁用的实际功能。
备注:执行此操作时,“策略编辑器”会创建一个新的 Registry.pol 文件。
关闭策略编辑器,然后将创建的备份 Registry.pol 文件复制回%Systemroot%\System32\GroupPolicy\User 文件夹中。
系统提示替换现有文件时,单击是。
从计算机注销,然后以管理员身份登录。
由于您是以管理员身份登录到计算机,您可以验证是否没有实施最初所做的更改。从计算机注销,然后以其他用户身份登录。
由于您是以用户(而非管理员)身份登录到计算机,您可以验证是否实施了最初所做的更改。
以管理员身份登录计算机,以确认本地策略不影响您以本地管理员身份登录该计算机。
恢复原始本地策略
要撤消本文中“将本地策略应用于除管理员以外的所有用户”一节介绍的过程,请执行以下步骤:
以管理员身份登录到计算机。
单击开始,指向控制面板,然后单击文件夹选项。单击查看 选项卡,单击“显示隐藏文件和文件夹”,然后单击确定 以便可以查看“组策略”隐藏文件夹。或者,打开“Windows 资源管理器”,单击工具,然后单击文件夹选项。
从 %Systemroot%\System32\GroupPolicy\User 文件夹中移动、重命名或删除Registry.pol 文件。
在您从计算机注销或重新启动计算机后,“Windows 文件保护”系统会创建另一个默认的 Registry.pol 文件。
打开本地策略。要实现这一点,请单击开始\运行,然后键入gpedit.msc。或者,单击开始\运行,键入mmc,加载本地安全策略。然后,将设为禁用或启用的所有项目设为未配置,以撤消 Registry.pol 文件所指定的对 Windows Server2003 注册表实施的任何策略更改。
以管理员身份从计算机注销,然后再次以管理员身份登录该计算机。
从计算机注销,然后以本地计算机的所有用户身份登录到该计算机,这样也可以针对它们的帐户撤消更改。
当我们在电脑中安装了NT核心操作系统(如Windows 2000 和Windows XP)之后,每次启动计算机时都会出现一个系统引导菜单, 在此选择需要进入的系统后回车即可。这个多重引导的配置文件名为Boot.ini,配置它,我们可以轻松对电脑中的多系统进行引导,还可以通过该引导文件,设置个性化的启动菜单。Boot.ini 文件位于C 盘根目录下,是一个隐藏的系统文件,纯文本格式,可以用记事本打开编辑。
Boot.ini在引导多系统启动时提供了很多的参数命令,配置这些启动参数可以得到不同的启动效果。在默认的情况下,Boot.ini通常加载的是/fastdetect 参数,它表示启动时不检查串行口和并行口。其实我们可以更改为其他参数,更改时首先在“Boot.ini”中选择需要更改的系统列表, 随后将该系统中的参数/fastdetect 改为相应的参数值即可。以后再启动该系统就会加载一些设置信息或画面。
我们以可以在Windows XP的“系统配置实用程序” 中对一些参数进行设置(Windows 2000可以通过拷贝Windows XP的Msconfig.exe来实现)。切换到“Boot.ini”选项卡,先选中需要更改的系统,随后在“启动选项”下端勾选需要的启动参数即可。在此对几个常用参数加以说明:
1. “/SAFEBOOT”:安全模式启动,只启动注册表[HKLM\System\CurrentControlSetControl\SafeBoot] 中的驱动程序和服务,其后可跟三个参数Minimal 、Network 或者Dsrepair。Minimal 和Network 允许在网络连接下启动系统。而Dsrepair 要求系统从备份设备中调入活动目录的设置。还有一个选项是Minimal(AlternateShell), 它让系统调入由注册表中[HKLM\System\CurrentControlSetSafeBoot\AlternateShell]指定的SHELL 程序,而不使用默认的Explorer。
2. “/NOGUIBOOT”:不加载VGA 驱动程序,也就不会显示启动过程和失败时的蓝屏信息。
3. “/BOOTLOG”:将日志写入Nnbtlog.txt 文件。
4. “/BASEVIDEO”:使用标准VGA 方式启动,这种方式主要用于显示驱动程序失效时。
5. “/SOS”:在调入驱动程序名时显示它的名称,因驱动问题而无法启动时是不二的选择。
另外,大家在使用Windows 2000/XP的时候,恐怕最容易遇到的启动故障就是“NTLDR is missing”吧?解决这种故障的通常方法是用光盘启动后进入故障恢复控制台进行修复。如果你不能忍受光盘的漫长启动过程,或者故障机上没有光驱,其实还有一种别的办法。
从上面对boot.ini的介绍,大家应该发现它和Windows 9x时代的Msdos.sys是“亲兄弟”。还记得吗?普通的DOS启动盘不能启动硬盘上的Windows 9x系统,是因为Msdos.sys是空的,只要把硬盘上的Msdos.sys文件拷贝到软盘上就可以从启动硬盘上的Windows 9x系统了。而boot.ini也有异曲同工之妙,把c盘根目录下的NTLDR、boot.ini、bootfont.bin、ntdetect.com这四个文件(这几个文件全部都是隐藏的系统文件,注意在文件夹选项中打开显示隐藏文件选项。如果是英文系统或者不需要菜单显示汉字,可以不拷贝bootfont.bin)复制到软盘上就行了。当出现“NTLDR is missing”的错误时就可以用这张软盘来引导系统,进入系统之后再把软盘上的文件拷贝到系统分区根目录就可以修复故障了。如果没有软驱,把软盘的镜像文件(可用WinImage来建立)用Nero刻录成启动光盘也可以实现上述目的。
Windows Live Messenger是下一代的MSN Messenger,并且它可以免费提供下载。它拥有Messenger中你喜欢的所有功能,包括联系人列表,Emoticon表情,动漫传情,还有多种与朋友交流的方法:通过文本,语音和视频。而且还可以非常方便的链接和共享文档。
Windows Live Messenger beta本来是要有邀请才可以体验最新beta版的,不过现在只要登陆微软的网站,提供自己的E-mail地址注册,微软就会发送邀请给你。让你提前体验最新的功能和服务。
赶快注册吧!
MSN8.0邀请申请英文地址:http://www1.imagine-msn.com/minisites/messenger/default.aspx?locale=en-us
MSN8.0邀请申请中文地址:http://www1.imagine-msn.com/minisites/messenger/default.aspx?locale=zh-cn
随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗?其实,只要你弄明白了NTFS系统下的权限设置问题,我们可以对crackers们说:NO!
要打造一台安全的WEB服务器,那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。众所周知,Windows是一个支持多用户、多任务的操作系统,这是权限设置的基础,一切权限设置都是基于用户和进程而言的,不同的用户在访问这台计算机时,将会有不同的权限。
DOS跟WinNT的权限的分别
DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗?不能!当我们打开一台装有DOS操作系统的计算机的时候,我们就拥有了这个操作系统的管理员权限,而且,这个权限无处不在。所以,我们只能说DOS不支持权限的设置,不能说它没有权限。随着人们安全意识的提高,权限设置随着NTFS的发布诞生了。
Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。
Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。
Power Users,高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。
Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站,但不能关闭服务器。Users 可以创建本地组,但只能修改自己创建的本地组。
Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。
Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
其实还有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM,也许把该组归为用户的行列更为贴切。
权限的权力大小分析
权限是有高低之分的,有高权限的用户可以对低权限的用户进行操作,但除了Administrators之外,其他组的用户不能访问 NTFS 卷上的其他用户资料,除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。
我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情,这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊,利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。
不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码,这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录,特洛伊木马可能使用管理访问权重新格式化您的硬盘,造成不可估量的损失,所以在没有必要的情况下,最好不用Administrators中的用户登陆。Administrators中有一个在系统安装时就创建的默认用户----Administrator,Administrator 帐户具有对服务器的完全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。
因此强烈建议将此帐户设置为使用强密码。永远也不可以从Administrators 组删除 Administrator 帐户,但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上,所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说,他们通常都会重命名或禁用此帐户。Guests用户组下,也有一个默认用户----Guest,但是在默认情况下,它是被禁用的。如果没有特别必要,无须启用此账户。
小帮助:何谓强密码?就是字母与数字、大小互相组合的大于8位的复杂密码,但这也不完全防得住众多的黑客,只是一定程度上较为难破解。
我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。
我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录,选择“属性”--“安全”就可以对一个卷,或者一个卷下面的目录进行权限设置,此时我们会看到以下七种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”,下面的五项属性将被自动被选中。
“修改”则像Power users,选中了“修改”,下面的四项属性将被自动被选中。下面的任何一项没有被选中时,“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件,“列出文件夹目录”和“读取”是“读取和运行”的必要条件。
“列出文件夹目录”是指只能浏览该卷或目录下的子目录,不能读取,也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究,鄙人在此就不过多赘述了。
一台简单服务器的设置实例操作:
下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采用Windows 2000 Server版,安装好了SP4及各种补丁。WEB服务软件则是用了Windows 2000自带的IIS 5.0,删除了一切不必要的映射。整个硬盘分为四个NTFS卷,C盘为系统卷,只安装了系统和驱动程序;D盘为软件卷,该服务器上所有安装的软件都在D盘中;E盘是WEB程序卷,网站程序都在该卷下的WWW目录中;F盘是网站数据卷,网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。
这样的分类还算是比较符合一台安全服务器的标准了。希望各个新手管理员能合理给你的服务器数据进行分类,这样不光是查找起来方便,更重要的是这样大大的增强了服务器的安全性,因为我们可以根据需要给每个卷或者每个目录都设置不同的权限,一旦发生了网络安全事故,也可以把损失降到最低。
当然,也可以把网站的数据分布在不同的服务器上,使之成为一个服务器群,每个服务器都拥有不同的用户名和密码并提供不同的服务,这样做的安全性更高。不过愿意这样做的人都有一个特点----有钱。
好了,言归正传,该服务器的数据库为MS-SQL,MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下,给SA账户设置好了足够强度的密码,安装好了SP3补丁。为了方便网页制作员对网页进行管理,该网站还开通了FTP服务,FTP服务软件使用的是SERV-U 5.1.0.0,安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新,防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:\www\bbs下。
细心的读者可能已经注意到了,安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径,这也是安全上的需要,因为一个黑客如果通过某些途径进入了你的服务器,但并没有获得管理员权限,他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件,因为他需要通过这些来提升他的权限。
一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了:“这根本没用到权限设置嘛!我把其他都安全工作都做好了,权限设置还有必要吗?”当然有!智者千虑还必有一失呢,就算你现在已经把系统安全做的完美无缺,你也要知道新的安全漏洞总是在被不断的发现。
实例攻击
权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置,全部采用Windows默认权限的服务器进行一次模拟攻击,看看其是否真的固若金汤。
假设服务器外网域名为http://www.webserver.com,用扫描软件对其进行扫描后发现开放WWW和FTP服务,并发现其服务软件使用的是IIS 5.0和Serv-u 5.1,用一些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法。
打开网站页面,发现使用的是动网的论坛系统,于是在其域名后面加个/upfile.asp,发现有文件上传漏洞,便抓包,把修改过的ASP木马用NC提交,提示上传成功,成功得到WEBSHELL,打开刚刚上传的ASP木马,发现有MS-SQL、Norton Antivirus和BlackICE在运行,判断是防火墙上做了限制,把SQL服务端口屏蔽了。
通过ASP木马查看到了Norton Antivirus和BlackICE的PID,又通过ASP木马上传了一个能杀掉进程的文件,运行后杀掉了Norton Antivirus和BlackICE。再扫描,发现1433端口开放了,到此,便有很多种途径获得管理员权限了,可以查看网站目录下的conn.asp得到SQL的用户名密码,再登陆进SQL执行添加用户,提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传,得到系统管理员权限。
还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到,一旦黑客找到了切入点,在没有权限限制的情况下,黑客将一帆风顺的取得管理员权限。
那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录,默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。
系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings,默认的权限是这样分配的:Administrators拥有完全控制权;Everyone拥有读&运,列和读权限;Power users拥有读&运,列和读权限;SYSTEM同Administrators;Users拥有读&运,列和读权限。对于Program files,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权,Users有读&运,列和读权限。
对于Winnt,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运,列和读权限。而非系统卷下的所有目录都将继承其父目录的权限,也就是Everyone组完全控制权!
现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?权限设置的太低了!一个人在访问网站的时候,将被自动赋予IUSR用户,它是隶属于Guest组的。本来权限不高,但是系统默认给的Everyone组完全控制权却让它“身价倍增”,到最后能得到Administrators了。
那么,怎样设置权限给这台WEB服务器才算是安全的呢?大家要牢记一句话:“最少的服务+最小的权限=最大的安全”对于服务,不必要的话一定不要装,要知道服务的运行是SYSTEM级的哦,对于权限,本着够用就好的原则分配就是了。
对于WEB服务器,就拿刚刚那台服务器来说,我是这样设置权限的,大家可以参考一下:各个卷的根目录、Documents and settings以及Program files,只给Administrator完全控制权,或者干脆直接把Program files给删除掉;给系统卷的根目录多加一个Everyone的读、写权;给e:\www目录,也就是网站目录读、写权。
最后,还要把cmd.exe这个文件给挖出来,只给Administrator完全控制权。经过这样的设置后,再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问:“为什么要给系统卷的根目录一个Everyone的读、写权?网站中的ASP文件运行不需要运行权限吗?”问的好,有深度。是这样的,系统卷如果不给Everyone的读、写权的话,启动计算机的时候,计算机会报错,而且会提示虚拟内存不足。
当然这也有个前提----虚拟内存是分配在系统盘的,如果把虚拟内存分配在其他卷上,那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行,只把执行的结果传回最终用户的浏览器,这没错,但ASP文件不是系统意义上的可执行文件,它是由WEB服务的提供者----IIS来解释执行的,所以它的执行并不需要运行的权限。
深入了解权限背后的意义
经过上面的讲解以后,你一定对权限有了一个初步了了解了吧?想更深入的了解权限,那么权限的一些特性你就不能不知道了,权限是具有继承性、累加性 、优先性、交叉性的。
继承性是说下级的目录在没有经过重新设置之前,是拥有上一级目录权限设置的。这里还有一种情况要说明一下,在分区内复制目录或文件的时候,复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候,移动过去的目录和文件将拥有它原先的权限设置。
累加是说如一个组GROUP1中有两个用户USER1、USER2,他们同时对某文件或目录的访问权限分别为“读取”和“写入”,那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和,实际上是取其最大的那个,即“读取”+“写入”=“写入”。 又如一个用户USER1同属于组GROUP1和GROUP2,而GROUP1对某一文件或目录的访问权限为“只读”型的,而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的,则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得,即:“只读”+“完全控制”=“完全控制”。
优先性,权限的这一特性又包含两种子特性,其一是文件的访问权限优先目录的权限,也就是说文件权限可以越过目录的权限,不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限,也就是说“拒绝”权限可以越过其它所有其它权限,一旦选择了“拒绝”权限,则其它权限也就不能取任何作用,相当于没有设置。
交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限,且所设权限不一致时,它的取舍原则是取两个权限的交集,也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”,同时目录A为用户USER1设置的访问权限为“完全控制”,那用户USER1的最终访问权限为“只读”。
权限设置的问题我就说到这了,在最后我还想给各位读者提醒一下,权限的设置必须在NTFS分区中才能实现的,FAT32是不支持权限设置的。同时还想给各位管理员们一些建议:
1.养成良好的习惯,给服务器硬盘分区的时候分类明确些,在不使用服务器的时候将服务器锁定,经常更新各种补丁和升级杀毒软件。
2.设置足够强度的密码,这是老生常谈了,但总有管理员设置弱密码甚至空密码。
3.尽量不要把各种软件安装在默认的路径下
4.在英文水平不是问题的情况下,尽量安装英文版操作系统。
5.切忌在服务器上乱装软件或不必要的服务。
6.牢记:没有永远安全的系统,经常更新你的知识。
后缀是bat的文件就是批处理文件,是一种文本文件。现在已经用得很少了,但是象IBM笔记本的系统恢复盘就是靠批处理来执行的。简单的说,它的作用就是自动的连续执行多条命令,批处理文件的内容就是一条一条的命令。那它有什么用呢? 比如,在启动wps软件时,每次都必须执行:
C:\>cd wps
C:\WPS>spdos
C:\WPS>py
C:\WPS>wbx
C:\WPS>wps
如果每次用WPS之前都这样执行一次,您是不是觉得很麻烦呢?
如果有一个方法,只需编写一个批处理文件,就会自动执行刚才的所有命令,您想不想学呢? 当您看完此节,自己编写的第一个批处理文件顺利执行时,您一定会大吃一惊的。
常用命令
echo、@、call、pause、rem是批处理文件最常用的几个命令,我们就从他们开始学起。
echo 表示显示此命令后的字符;echo off 表示在此语句后所有运行的命令都不显示命令行本身。@ 与echo off相象,但它是加在其它命令行的最前面,表示运行时不显示命令行本身。
call 调用另一条批处理文件(如果直接调用别的批处理文件 ,执行完那条文件后将无法执行当前文件后续命令);
pause 运行此句会暂停,显示Press any key to continue... 等待用户按任意键后继续;
rem 表示此命令后的字符为解释行,不执行,只是给自己今后查找用的;
例:用edit编辑a.bat文件,输入下列内容后存盘为c:\a.bat,执行该批处理文件后可实现:将根目录中所有文件写入 a.txt中,启动UCDOS,进入WPS等功能。
批处理文件的内容为: 文件表示:
echo off 不显示命令行
dir c:\*.* >a.txt 将c盘文件列表写入a.txt
call c:\ucdos\ucdos.bat 调用ucdos
echo 你好 显示"你好"
pause 暂停,等待按键继续
rem 使用wps 注释将使用wps
cd ucdos 进入ucdos目录
wps 使用wps
批处理文件中还可以像C语言一样使用参数,这只需用到一个参数表示符%。
%表示参数,参数是指在运行批处理文件时在文件名后加的字符串。变量可以从 %0到%9,%0表示文件名本身,字符串用%1到%9顺序表示。
例如,C:根目录下一批处理文件名为f.bat,内容为 format %1
则如果执行C:\>f a: 则实际执行的是format a:
又如C:根目录下一批处理文件的名为t.bat,内容为 type %1 type %2 ,那么运行C:\>t a.txt b.txt 将顺序地显示a.txt和b.txt文件的内容。
此外电脑每次启动时都会寻找autoexec.bat这条批处理文件,从而可执行一些每次开机都要执行的命令,如设置路径path、加载鼠标驱动mouse、磁盘加速smartdrv等,可以使您的电脑真正自动化。
特殊命令
if goto choice for 是批处理文件中比较高级的命令,如果这几个你用得很熟练,你就是批处理文件的专家啦。 if 表示将判断是否符合规定的条件,从而决定执行不同的命令。 有三种格式:
1、if "参数" == "字符串" 待执行的命令
参数如果等于指定的字符串,则条件成立,运行命令,否则运行下一句。(注意是两个等号)
如if "%1"=="a" format a:
2、if exist 文件名 待执行的命令
如果有指定的文件,则条件成立,运行命令,否则运行下一句。如if exist config.sys edit config.sys
3、if errorlevel 数字 待执行的命令
如果返回码等于指定的数字,则条件成立,运行命令,否则运行下一句。如if errorlevel 2 goto x2 DOS程序运行时都会返回一个数字给DOS,称为错误码errorlevel或称返回码
goto 批处理文件运行到这里将跳到goto 所指定的标号处, 一般与if配合使用。 如:
1 2 3 | goto end :end echo this is the end |
标号用 :字符串 表示,标号所在行不被执行
choice 使用此命令可以让用户输入一个字符,从而运行不同的命令。使用时应该加/c:参数,c:后应写提示可输入的字符,之间无空格。它的返回码为1234……
如: choice /cme defrag,mem,end 将显示 defrag,mem,end[D,M,E]?
例如,test.bat的内容如下:
1 2 3 4 5 6 7 8 9 10 11 12 13 | @echo off choice /cme defrag,mem,end if errorlevel 3 goto defrag 应先判断数值最高的错误码 if errorlevel 2 goto mem if errotlevel 1 goto end efrag c:\dos\defrag goto end :mem mem goto end :end echo good bye |
此文件运行后,将显示 defrag,mem,end[D,M,E]? 用户可选择d m e ,然后if语句将作出判断,d表示执行标号为defrag的程序段,m表示执行标号为mem的程序段,e表示执行标号为end的程序段,每个程序段最后都以goto end将程序跳到end标号处,然后程序将显示good bye,文件结束。
for 循环命令,只要条件符合,它将多次执行同一命令。
格式FOR [%%f] in (集合) DO [命令]
只要参数f在指定的集合内,则条件成立,执行命令
如果一条批处理文件中有一行:
1 | for %%c in (*.bat *.txt) do type %%c |
含义是如果是以bat或txt结尾的文件,则显示文件的内容。
autoexec.bat
DOS在启动会自动运行autoexec.bat这条文件,一般我们在里面装载每次必用的程序,如: path(设置路径)、smartdrv(磁盘加速)、 mouse(鼠标启动)、mscdex(光驱连接)、 doskey(键盘管理)、set(设置环境变量)等。
如果启动盘根目录中没有这个文件,电脑会让用户输入日期和时间。
例如,一个典型的autoexec.bat内容如下:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | @echo off rem 不显示命令行 prompt $p$g rem 设置提示符前有目录提示 path c:\dos;c:\;c:\windows;c:\ucdos;c:\tools rem 设置路径 lh c:\dos\doskey.com rem 加载键盘管理 lh c:\mouse\mouse.com rem 加载鼠标管理 lh c:\dos\smartdrv.exe rem 加载磁盘加速管理 lh c:\dos\mscdex /S /D:MSCD000 /M:12 /V rem 加载CD-ROM驱动 set temp=c:\temp rem 设置临时目录 IF -EXIST |
首先用记事本建立一个文件,文件内容如下:
1 2 3 | @echo off IF EXIST \AUTOEXEC.BAT TYPE \AUTOEXEC.BAT IF NOT EXIST \AUTOEXEC.BAT ECHO \AUTOEXEC.BAT does not exist |
在C盘保存文件为TEST.BAT
然后执行命令
C:\>TEST1.BAT
这时,如果AUTOEXEC.BAT中有内容的话会显示出来。
接着再建立一个文件,内容如下:
1 2 3 | @ECHO OFF IF EXIST %1 TYPE %1 IF NOT EXIST %1 ECHO %1 does not exist |
也保存在C盘,文件名为TEST2.BAT
然后执行命令
C:\>TEST2 AUTOEXEC.BAT
同样,如果AUTOEXEC.BAT中有内容的话会显示出来。
说明:
1. IF EXIST 是用来测试文件是否存在的,格式为
IF EXIST [路径+文件名] 命令
2. 其中第二个文件中的%1是参数,DOS允许传递9个批参数信息给批处理文件,分别为%1---------%9 ,有点想实参和形参的关系,%1是形参,AUTOEXEC.BAT是实参。
更进一步的,建立一个名为ABC.BAT的文件,内容如下:
1 2 3 | IF '%1' == 'A' ECHO XIAO IF '%1' == 'B' ECHO TIAN IF '%1' == 'C' ECHO XIN |
完成后运行C:\>ABC.BAT A B C
屏幕上会显示C:\>XIAOTIANXIA
如果执行C:\>ABC.BAT A B
屏幕上会显示C:\>XIAOTIAN
DOS将一个空字符串附给参数%3。
可以将NOT放在IF和条件之间,指示IF在条件为假时执行某一命令。
注意:这个命令可在DOS下输入直接运行。
IF-ERRORLEVEL
用记事本建立一个文件XIAO.BAT,内容如下
1 2 3 | @ECHO OFF XCOPY C:\AUTOEXEC.BAT D:\ IF ERRORLEVEL = = 0 ECHO 成功拷贝文件 |
然后执行文件
C:\>XIAO.BAT
如果文件拷贝成功,屏幕就会显示:成功拷贝文件
IF ERRORLEVEL 是用来测试它的上一个DOS命令的返回值的,注意只是上一个命令的返回值,因此下面的批处理文件是错误的
1 2 3 4 5 6 7 | @ECHO OFF XCOPY C:\AUTOEXEC.BAT D:\ IF ERRORLEVEL = = 0 ECHO 成功拷贝文件 IF ERRORLEVEL = = 1 ECHO 未找到拷贝文件 IF ERRORLEVEL = = 2 ECHO 用户通过ctrl-c中止拷贝操作 IF ERRORLEVEL = = 3 ECHO 预置错误阻止文件拷贝操作 IF ERRORLEVEL = = 4 ECHO 拷贝过程中写盘错误 |
无论拷贝是否成功,后面的:
未找到拷贝文件
用户通过ctrl-c中止拷贝操作
预置错误阻止文件拷贝操作
拷贝过程中写盘错误
都将显示出来。
注意:这个命令是可以在DOS下直接输入的。
例如:
C:\>XCOPY \AUTOEXEC.BAT D:\
之后可以执行
C:\> IF ERRORLEVEL == 0 ECHO 成功拷贝文件
如果成功,屏幕将显示:
成功拷贝文件
以下就是几个常用命令的返回值:
backup
出口状态 意义
0 备份成功
1 未找到备份文件
2 文件共享冲突阻止备份完成
3 用户用ctrl-c中止备份
4 由于致命的错误使备份操作中止
diskcomp
出口状态 意义
0 盘比较相同
1 盘比较不同
2 用户通过ctrl-c中止比较操作
3 由于致命的错误使比较操作中止
4 预置错误中止比较
diskcopy
出口状态 意义
0 盘拷贝操作成功
1 非致命盘读/写错
2 用户通过ctrl-c结束拷贝操作
3 因致命的处理错误使盘拷贝中止
4 预置错误阻止拷贝操作
format
出口状态 意义
0 格式化成功
3 用户通过ctrl-c中止格式化处理
4 因致命的处理错误使格式化中止
5 在提示“proceed with format(y/n)?”下用户键入n结束
xopy
出口状态 意义
0 成功拷贝文件
1 未找到拷贝文件
2 用户通过ctrl-c中止拷贝操作
4 预置错误阻止文件拷贝操作
5 拷贝过程中写盘错误
IF STRING = = STRING
首先用记事本建立一个名为XIAO.BAT的文件,文件内容如下:
1 2 | @echo off IF "%1" == "A" FORMAT A: |
接着执行
C:\>XIAO A
屏幕上就出现是否将A:盘格式化的内容。
这个语句的格式为
1 2 3 4 5 6 7 8 9 10 11 12 | IF "参数" == "字符串" 待执行的命令 参数如果等于指定的字符串,则条件成立,运行命令,否则运行下一句。 注意:要想在DOS下直接使用,只有这样 C:\> IF "A" == "A" FORMAT A: 毫无意义。 GOTO 首先用记事本建立一个名为XIAO.BAT的文件,文件内容如下: <pre lang="dos">@ECHO OFF IF EXIST C:\AUTOEXEC.BAT GOTO KB : KB COPY C:\AUTOEXEC.BAT D:\ : DONE |
注意:
1. 标号前是冒号(:)
2. 标号的最后一行是: DONG
3. DOS支持最长为八位的标号,当无法区别两个标号时,将跳转至最近的一个标号。
FOR
首先用记事本建立一个名为XIAO.BAT的文件,文件内容如下:
1 2 | @ECHO OFF FOR %%C IN (*.BAT *.TXT *.SYS) DO TYPE %%C |
接着执行
C:>XIAO.BAT
执行以后,屏幕上会将C:盘所有的以 *.BAT *.TXT *.SYS为扩展名的文件内容显示出来,当然不包括隐藏文件。
说明:字符%%C 表示FOR命令变量,FOR支持通配符。
一、Windows Vista 产品版本分类
在各种Windows Vista版本中,可以分为Home和Business两大类,分别对应现在Windows XP中各个版本。目前XP分为:Windows XP Starter、Home、Media Center、Professional、Professional x64和、Tablet PC。
Home将分为:
Windows Starter 2007 (初级版本)
Windows Vista Home Basic (初级家庭版)[还有专门针对欧洲市场的 Home Basic N ]
Windows Vista Home Premium(增强家庭版)
Windows Vista Ultimate(终极版)[在这之前成为"Uber"的版本]
Business有三个版本:
Windows Vista Small Business(小型商务版)
Windows Vista Business (商务版)[之前被成为Professional Standard Edition,同时还有针对欧洲用户的Business N]
Windows Vista Enterprise (企业版)[在这之前成为Professional Premium]
也就是说,目前Winodws Vista被分为了7个版本。如果算上两个针对欧洲市场的N版本,那就是9个。只得注意的是,目前,所有版本名称只不过是个代号而已,在未发行以前,这些版本的名称随时都有可能变化。不过这些版本的划分在一两周之内应该是不会更改的。
图 Windows Vista的产品线
二、Windows Vista各个版本详情
这些有关各个版本的消息来自微软的市场部。
Windows Starter 2007
Starter并没有使用Vista商标。没有Vista著名的Aero用户界面和DVD制作功能。它拥有Vista Home Basic的大部分功能。同时只能运行三个程序或开三个窗口,可以上网,不能接入其他计算机。没有登陆密码,和快速切换(Fast User Switching)。Windows Starter 2007类似于XP Starter Edition(此产品在中国没有销售,在印度有此版本)。
Windows Vista Home Basic
Windows Vista Home Basic作为一款简化的Windows Vista操作系统,主要面向家庭中只有一台计算机的家庭。最为Vista产品线的最基本产品,其他各个版本的Vista都是以此为基础的。
它拥有的功能有:Windows防火墙、Windows安全中心、无限网络链接、父母监控(Parental Controls)、反病毒、间谍软件、网络映射、搜索、电影制作软件Movie Maker、图片收藏夹、Windows Media Player、支持RSS的Outlook Express、P2P Messenger等等。
与Starter 2007 一样,Home Basic没有Aero用户界面。相当于目前Windows XP Home Edition。
Windows Vista Home Premium
作为Home的加强版本,Windows Vista Home Premium包含了Windows Vista Home Basic的所有功能,包括媒体中心和相关的扩展功能(包括对Cable Card的支持,Cable Card是一种装有各有线电视运营商不同的收费系统的、给用户配备的安全组件,消费者只要将此卡插入家中的电视机,就能收看有线电视运营商提供的数字节目),DVD视频的制作、HDTV的支持,甚至还有DVD Rip。还有Tablet PC、Mobility Center以及其他移动特性(mobility)和展示特性(presentation)。
此外支持Wi-Fi自动配置和漫游,基于多台计算机管理的父母监控、网络备份、共享上网、离线文件夹、PC-to-PC同步、同步向导等。
Windows Vista Business
Business是一个强大的、值得信赖的、面向所有商务人士的安全的操作系统。此版本加入了对“domain”的加入和管理功能,能够兼容其他非微软的网络协议(如:Netware、SNMP等),远程桌面,微软的Windows Web Server和文件加密系统(Encrypted File System)。这个版本和Windows XP Pro相当。
Windows Vista Small Business
作为面向非IT业的小型企业的、Business的产品的精简版的small business,拥有business的如下功能:备份和镜像支持,电脑传真以及扫描工具等。微软还准备为此版本加入一个向导程序,帮助用户付费升级至Enterprise或者Ultimate。XP的产品线中没有与之对应的版本。
Windows Vista Enterprise
为企业优化过的版本。它包含了Windows Vista Pro 的全部功能。也有其独特的特性,如Virtual PC,多语言用户界面(MUI)和安全加密技术。这个版本没有对应的XP版本。
Windows Vista Ultimate
Ultimate,终极、顶点之意。您大概也已经猜到了,这是Vista系列产品中最强大的、最令人激动的版本。针对个人电脑的最强操作系统,针对个体作出优化。Windows Vista Ultimate包含Vista Home Premium和Vista Business的所有功能和特性。并且还有其他的特性:附加的游戏优化程序,多种在线服务以及更多的服务。
微软还在考虑如何定位如此具有冲击力的版本,并且正在研究是否为Ultimate的用户提供免费的音乐下载、电影下载、娱乐软件、增强产品的售后服务和用户主题方面。
这个版本主要面向骨灰级计算机玩家、骨灰级游戏玩家、数字音乐狂热者以及学生。是一个最最完全的Windows Vista。提供最好的执行效率、最安全、完整的办公室链接。并且针对个体用户进行优化,包含了全部你需要和感兴趣的东西。是有史以来最强大的个人电脑操作系统。
三、Windows Vista性能详解
缩写一栏表
| Str | Windows Starter 2007 |
| Home N | Windows Vista Home N (只投放欧洲市场) |
| Home B | Windows Vista Home Basic |
| Home P | Windows Vista Home Premium |
| Bus N | Windows Vista Business N (只投放欧洲市场) |
| Bus | Windows Vista Business |
| Sm Bus | Windows Vista Small Business |
| Ent | Windows Vista Enterprise |
| Ult | Windows Vista Ultimate |
Windows Vista 版本详细信息表格
| 性能 | |||||||||
| 特性 | Str | Home N | Home B | Home P | Bus N | Bus | Sm Bus | Ent | Ult |
| 桌面窗口管理器(DWM) | No | Yes | Yes | Yes | Yes | Yes | Yes | Yes | Yes |
| Aero玻璃效果,动画,虚拟效果 | No | No | No | Yes | Yes | Yes | Yes | Yes | Yes |
| 生产功能(rolodex索引功能,标签预览,任务揽预览) | No | No | No | Yes | Yes | Yes | Yes | Yes | Yes |
| 对显示方案的无限支持 | No 1024x768 |
Yes | Yes | Yes | Yes | Yes | Yes | Yes | Yes |
| 快速用户切换(FUS) | No | Yes | Yes | Yes | Yes | Yes | Yes | Yes | Yes |
| 通讯 | |||||||||
| 特性 | Str | Home N | Home B | Home P | Bus N | Bus | Sm Bus | Ent | Ult |
| 远程桌面连接(RDP) | No | No | No | No | Yes | Yes | Yes | Yes | Yes |
| P2P会议功能(ad-hoc会议,联系人查询,广播功能) | No | No | No | No | Yes | Yes | Yes | Yes | Yes |
| Windows Web 服务器(可选) | No | No | No | No | Yes | Yes | Yes | Yes | Yes |
| Windows 传真客户端 | No | No | No | No | Yes (opt) | Yes (opt) | Yes | Yes (opt) | Yes (opt) |
| 数码 和 娱乐 | |||||||||
| 特性 | Str | Home N | Home B | Home P | Bus N | Bus | Sm Bus | Ent | Ult |
| DVD 授权视频 | No | No | No | Yes | No | No | No | No | Yes |
| Direct 媒体模式 | No | Yes | Yes | Yes | Yes | Yes | Yes | Yes | Yes |
| 媒体中心(包括扩展和游戏) | No | No | No | Yes | No | No | No | No | Yes |
| 支持的远程媒体中心会话数量 | n/a | n/a | n/a | 5 | n/a | n/a | n/a | n/a | 5 |
| Movie Maker HD 发布 | No | No | No | Yes | No | No | No | No | Yes |
| 高级相片管理功能 | No | No | No | Yes | Yes (opt) | Yes (opt) | Yes (opt) | Yes (opt) | Yes (opt) |
| 扩展游戏(3D 中国象棋,上海麻将) | No | No | No | Yes (Opt) | Yes (Opt) | Yes (Opt) | Yes (Opt) | Yes (Opt) | Yes (Opt) |
| Windows Media Player 11 及相关组件 | Yes | No | Yes | Yes | No | Yes | Yes | Yes | Yes |
| 网络 | |||||||||
| 特性 | Str | Home N | Home B | Home P | Bus N | Bus | Sm Bus | Ent | Ult |
| 支持的网络链接数量 | 0 | 5 | 5 | 10 | 10 | 10 | 10 | 10 | 10 |
| 支持加入域 | No | No | No | Quattro only |
Yes | Yes | Yes | Yes | Yes |
| 1:1 的网络化投影 | No | No | No | Yes | Yes | Yes | Yes | Yes | Yes |
| SNMP 支持 | Yes | Yes | Yes | Yes | Yes (Opt) | Yes (Opt) | Yes (Opt) | Yes (Opt) | Yes (Opt) |
| Internet 连接共享 (ICS) | No | Yes | Yes | Yes | Yes (Opt) | Yes | Yes (Opt) | Yes (Opt) | Yes |
| 移动性 | |||||||||
| 特性 | Str | Home N | Home B | Home P | Bus N | Bus | Sm Bus | Ent | Ult |
| PC和PC 同步 | No | No | No | Yes | Yes | Yes | Yes | Yes | Yes |
| 移动中心 | No | No | No | Yes | Yes | Yes | Yes | Yes | Yes |
| Tablet PC 功能 | No | No | No | Yes (Opt) | Yes (Opt) | Yes (Opt) | Yes (Opt) | Yes (Opt) | Yes (Opt) |
| 辅助显示支持 | No | No | No | Yes | Yes | Yes | Yes | Yes | Yes |
| 客户端离线文件夹缓存 | No | No | No | No | Yes | Yes | Yes | Yes | Yes |
| 计算机管理 | |||||||||
| 特性 | Str | Home N | Home B | Home P | Bus N | Bus | Sm Bus | Ent | Ult |
| 基于UNIX的应用程序子系统(SUA) | No | No | No | No | No | No | No | Yes (Opt) | Yes (Opt) |
| 安全启动(Cornerstone) | No | No | No | No | No | No | No | Yes | Yes (Opt) |
| 单一进程的Virtual PC | No | No | No | No | No | No | No | Yes (Opt) | Yes (Opt) |
| 多语言用户界面(MUI) | No | No | No | No | No | No | No | Yes | Yes (Opt) |
| 授权 | |||||||||
| 特性 | Str | Home N | Home B | Home P | Bus N | Bus | Sm Bus | Ent | Ult |
| Windows 激活服务 | Yes | Yes | Yes | Yes | No | No | No | No | No |
| 处理器和内存支持 | |||||||||
| 特性 | Str | Home N | Home B | Home P | Bus N | Bus | Sm Bus | Ent | Ult |
| 对32位处理器的支持(x86) | Yes | Yes | Yes | Yes | Yes | Yes | Yes | Yes | Yes |
| 32位系统下支持的内存容量 | 256 MB | 8 GB | 8 GB | 16 GB | Max physical |
Max physical |
Max physical |
Max physical |
Max physical |
| 对64位处理器的支持 (x64) | No | Yes | Yes | Yes | Yes | Yes | Yes | Yes | Yes |
| 64位系统下支持的内存容量 | n/a | 8 GB | 8 GB | 16 GB | 128 GB+ | 128 GB+ | 128 GB+ | 128 GB+ | 128 GB+ |
| 支持的CPU数量 | 1 | 1 | 1 | 1 | 2 | 2 | 2 | 2 | 2 |
【故障原因】
局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。
【故障原理】
要了解故障原理,我们先来了解一下ARP协议。
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。
| 主机 IP地址 MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd |
我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。
A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。
做“man in the middle”,进行ARP重定向。打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如D发送ICMP重定向的话就中断了整个计划。
D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。
【故障现象】
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
【HiPER用户快速发现ARP欺骗木马】
在路由器的“系统历史记录”中看到大量如下的信息(440以后的路由器软件版本中才有此提示):
MAC Chged 10.128.103.124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。
【在局域网内查找病毒主机】
在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN(下载地址:http://down.wglm.net/Software/catalog21/339.html)工具来快速查找它。
NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即
192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:/下。
2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C:/nbtscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
| C:/Documents and Settings/ALAN>C:/nbtscan -r 192.168.16.1/24 Warning: -r option not supported under Windows. Running without it. Doing NBT name scan for addresses from 192.168.16.1/24 IP address NetBIOS Name Server User MAC address ------------------------------------------------------------------------------ 192.168.16.0 Sendto failed: Cannot assign requested address 192.168.16.50 SERVER <server> <unknown> 00-e0-4c-4d-96-c6 192.168.16.111 LLF <server> ADMINISTRATOR 00-22-55-66-77-88 192.168.16.121 UTT-HIPER <server> <unknown> 00-0d-87-26-7d-78 192.168.16.175 JC <server> <unknown> 00-07-95-e0-7c-d7 192.168.16.223 test123 <server> test123 00-0d-87-0d-58-5f |
3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
【解决思路】
1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用"proxy"代理IP的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
【HiPER用户的解决方案】
建议用户采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定路由器的IP和MAC地址:
1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa<HiPER管理界面--端口配置--局域网端口MAC地址>)。
2)编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows--开始--程序--启动”中。
3)如果是网吧,可以利用收费软件服务端程序(pubwin或者万象都可以)发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:/Documents and Settings/All Users「开始」菜单程序启动”。
2、在路由器上绑定用户主机的IP和MAC地址(440以后的路由器软件版本支持):
在HiPER管理界面--高级配置--用户管理中将局域网每台主机均作绑定。
初级安全篇
1.物理安全
服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
2.停掉Guest 帐号
在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。
3.限制不必要的用户数量
去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。
4.创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。
5.把系统administrator帐号改名
大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。
6.创建一个陷阱帐号
什么是陷阱帐号? Look!>;创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿,够损!
7.把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。
8.使用安全密码
一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得N简单,比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候,我们给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果人家得到了你的密码文档,必须花43天或者更长的时间才能破解出来,而你的密码策略是42天必须改密码。
9.设置屏幕保护密码
很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。
10. 使用NTFS格式分区
把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说,想必大家得服务器都已经是NTFS的了。
11.运行防毒软件
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库
12.保障备份盘的安全
一旦系统资料被破坏,备份盘将是你恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。千万别把资料备份在同一台服务器上,那样的话,还不如不要备份。
中级安全篇:
1.利用win2000的安全配置工具来配置策略
微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页:
http://www.microsoft.com/windows2000/techinfo/howitworks/security/sctoolset.asp
2.关闭不必要的服务
windows 2000 的 Terminal Services(终端服务),IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务:
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
3.关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为:
网上邻居>;属性>;本地连接>;属性>;internet 协议(tcp/ip)>;属性>;高级>;选项>;tcp/ip筛选>;属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。
4.打开审核策略
开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
策略 设置
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核对象访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败
5.开启密码密码策略
策略 设置
密码复杂性要求 启用
密码长度最小值 6位
强制
密码历史 5 次
强制密码历史 42 天
6.开启帐户策略
策略 设置
复位帐户锁定计数器 20分钟
帐户锁定时间 20分钟
帐户锁定阈值 3次
7.设定安全记录的访问权限
安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。
8.把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。
9.不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName 把 REG_SZ 的键值改成 1 .
10.禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接: Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
11.到微软网站下载最新的补丁程序
很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。
高级篇
1. 关闭 DirectDraw
这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^&;??),但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。
2.关闭默认共享
win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享 ,打开 管理工具>;计算机管理>;共享文件夹>;共享 在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。
默认共享目录 路径和功能
C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有Administrator
和Backup Operators组成员才可连接,Win2000 Server版本
Server Operatros组也可以连接到这些共享目录
ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都
指向Win2000的安装路径,比如 c:\winnt
FAX$ 在Win2000 Server中,FAX$在fax客户端发传真的时候会到。
IPC$ 空连接。IPC$共享提供了登录到系统的能力。
NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处
理登陆域请求时用到
PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机
3.禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它,打开 控制面板>;系统属性>;高级>;启动和故障恢复 把 写入调试信息 改成无。要用的时候,可以再重新打开它。
4.使用文件加密系统EFS
Windows2000 强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看
http://www.microsoft.com/windows2000/techinfo/howitworks/security/encrypt.asp
5.加密temp文件夹
一些应用程序在安装和升级的时候,会把一些东西拷贝到temp文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除temp文件夹的内容。所以,给temp文件夹加密可以给你的文件多一层保护。
6.锁住注册表
在windows2000中,只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话,可以进一步设定注册表访问权限,详细信息请参考:
http://support.microsoft.com/support/kb/articles/Q153/1/83.asp
7.关机时清除掉页面文件
页面文件也就是调度文件,是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件,可以编辑注册表
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
把ClearPageFileAtShutdown的值设置成1。
8.禁止从软盘和CD Rom启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。
9.考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,容易受到 10phtcrack 等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
10.考虑使用IPSec
正如其名字的含义,IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。
