cnlukai的博客
cnlukai的博客
欢迎访问cnlukai的博客
文章
企业网管安全防护3大招
重要指数:★★★★★
加固服务器和客户端的安全,把网络安全风险降至最低,可以通过补丁服务器(Server Update Service)来统一对企业内部的计算机进行统一安装补丁,使得网管的工作降到最低。
补丁服务器的重要性
图1显示了大多数攻击发生的时间,通过示意图,我们知道,部署SUS是防范网络被攻击的重要一环。
产品发行 漏洞被发现 漏洞被公开 发布更新
客户端部署更新大多数攻击发生此阶段
现在,有这样的趋势必须值得网管高度重视,系统漏洞公布与病毒爆发的间隔天数不断压缩,如Nimda病毒间隔331天、SQL Slammer病毒间隔180天、Blaster病毒间隔25天,Sasser病毒间隔11天,刚刚爆发的ANI蠕虫病毒更是缩短到一周!
微软补丁服务器有SUS和SMS。SUS是免费的,虽然相对于SMS,功能不如后者丰富,但能满足将服务器及客户端升级到最新的更新、安全更新和服务包的最基本要求,对中小型企业而言,选择MBSA和SUS是一个很不错的解决方案。
简单地说,SUS的作用就是定期从微软升级网站有选择的下载最新的更新、安全更新和服务包到本地,然后分发给它所管辖的客户端,客户端就不必在外网直接链接到Windows Update来更新了。
SUS操作注意事项
本文以目前最新版本的SUS 2.0为例进行讲解(下载地址:http://download.cpcw.com)。
关于SUS的配置和配置,微软发布了《Windows Server Update Services 入门循序渐进指南》、《Windows Server Update Services 自述文件中文文档》,有需要的网管可以下载参考,限于篇幅,我们不再对SUS具体的操作进行阐述。这里我们提供一些有用的技巧和要注意的地方。
一、手动启动 SUS 服务器检测。
在客户端上的命令提示符中运行“wuauclt.exe /detectnow”。此命令将指示自动更新立即连接到 SUS 服务器。如果执行此步骤,则可将客户端计算机立即连接到 SUS 服务器。这条命令很方便,网管一定要牢记。
二、在客户端上快速识别是否应用了SUS。
打开 %SystemRoot%windows 文件夹,查找“WindowsUpdate.log”,如果发现该日志文件则说明SUS已经成功的应用在该客户端上。
三、使客户端cookies过期。
SUS使用cookies在客户端存储各种类型的信息,其中包含客户端计算机组的成员信息(Client side),默认在SUS创建它以后的一个小时过期,使用以下命令可以立即更新组成员“wuauclt.exe /resetauthorization /detectnow”。
设置客户端需要注意的问题:
1. 在“运行”中执行gpedit.msc来打开组策略对象编辑器,依次展开“计算机配置”、“管理模板”、“Windows 组件”,然后单击“Windows Update”。
2. 在详细信息窗格中,单击“指定 Intranet Microsoft 更新服务位置”。
3. 同时在“为检测更新设置 Intranet 更新服务”和“设置 Intranet 统计服务器”中键入同一WSUS 服务器的 HTTP URL。例如,在上述两个文本框中键入 http://服务器名,其中服务器名是 WSUS 服务器的名称(图2)。
注意:客户端不支持Windows 9X,还有就是Windows XP Home没有组策略,为了能用上局域网中的SUS,只能用注册表来部署,将下面代码复制到记事本,并命名后缀名为reg的文件,导入注册表即可(本段代码可以在http://download.cpcw.com下载)。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftwindowsWindowsUpdate] "WUServer"=http://WSUS
"WUStatusServer"="http://WSUS" [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftwindowsWindowsUpdateAU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"UseWUServer"=dword:00000001
"RescheduleWaitTime"=dword:00000005 "NoAutoRebootWithLoggedOnUsers"=dword:00000001
其中http://WSUS这一行要改成你安装sus服务器的地址。
第二招:为服务器加把安全锁
重要指数:★★★★
服务器通常是24x7全天候运行的,所以在这无人值守的期间里,要想保证服务器的安全,做一些安全加固措施还是有必要的。
Web服务器的安全
Windows 的Web 服务器是IIS,有关IIS安全的话题比较宽泛,这里只简单介绍利用微软提供的加强IIS安全的工具来加固安全性。
微软对IIS的防护提供了一些有用的工具,如IIS Lockdown Tool、UrlScan(下载地址:http://download.cpcw.com )。
应用这两个工具可以做到:禁用或者删除不必要的IIS服务和组件;修改默认配置,提高系统文件和Web内容目录的安全性;用URLScan来过滤HTTP请求。
用MBSA检查服务器
对服务器作一番安全基准检查是非常有必要的。微软官方提供了这样的一个工具,叫Microsoft基准安全分析器MBSA。MBSA Ver2.0.1包含图形和命令行界面,可以进行本地和远程扫描(图3)。
使用MBSA可以确保没有遗漏的安全漏洞,由于MBSA可以自动更新,所以应该定期使用以检查新出现的漏洞。
MBSA最新版本为2.1(下载地址:http://download.cpcw.com)。虽然MBSA没有中文版本,但却相当好用,不过还是有必要交代一下注意事项。
MBSA对Windows、Office、IIS等软件进行的扫描包括两种:安全扫描和更新扫描。
“安全扫描”是指扫描以上软件是否进行了安全的配置,如:IIS锁定工具是否已运行,文件系统的类型是否都采用了NTFS格式等。
“更新扫描”是指扫描以上软件是否安装了最新的补丁程序。
MBSA执行的是微软所谓的“基准扫描”,即只扫描和报告Windows Update定义的“关键更新”,而不是扫描和报告所有的更新。而且MBSA不会自动安装更新,需用户另行操作完成。否则,漏洞依然存在。
MBSA是基于IE页面开发的,所以要运行MBSA需要 Internet Explorer 5.01 以上才行,而且IE的所有设置项都会影响MBSA的运行。
每次扫描后生成的安全报告是以明码格式保存到固定的文件夹中。因此,容易被黑客利用从而找出计算机的漏洞所在。所以应对安全报告另行处理(如打印、备份到其它目录等),然后彻底删除“SecurityScans”文件夹中的所有文件,以防被他人利用。
重要指数:★★★
对于客户端而言,未采取域的,自然就没有应用域上的组策略,也就不能按照域控制器上的组策略配合SUS服务器进行安全更新。这时,我们可以采取主动检测系统漏洞的方法。
采用MBSA或360安全卫士(图4)等带有检测系统漏洞并打补丁的功能的安全产品来完成。如果限于条件,企业网络没有SUS补丁服务器的话,上述措施就显得更有必要了。
另外,作为企业网管,还应该发布安全公告,通知客户端用户采取以下措施。
1. 使用基于主机的防火墙;安装病毒防护软件,升级到最新病毒库。
2. 不要随意运行来历不明的文件、不随意访问不明网站。
专家建议
有条件的企业,可以成立主动防病毒响应小组,制定值班制度负责监视外部的恶意软件警报站点以预警恶意软件的攻击。
建立网络安全及病毒事件出现后的应急机制和处置方案,由专人负责事件处理工作。确保企业在网络安全及病毒事件发生时能做好及时有效的处理,防止病毒感染,遏制病毒扩散,最大限度降低病毒发作带来的损失。
企业可以根据实际情况来安排节日期间的值班,如遇问题联络国家计算机病毒应急处理中心或当地公共信息网络安全监察部门。做好物理安全也不容忽视,如防盗、禁止无关人员接近服务器。
正确的学习顺序
1、C++
2、windows编程
3、2D--3D
4、Direct3D
5、windows网络编程Socket
6、汇编、计算机组成原理、数学、物理学、图形学等
WIN2k服务器的正确安装与安全配置(一)
一. 定制自己的Windows 2000 Server
(1)版本的选择:
Windows 2000有各种语言的版本,对于我们来说,可以选择英文版或简体中文版。强烈建议,在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以Bug & Patch而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况)。
(2)分区和逻辑盘的分配:
有一些朋友为了省事,将硬盘仅仅分为一个逻辑盘,所有的系统文件、日志文件、应用软件都装在C盘上,而黑客的攻击通常就是利用应用程序所存在的漏洞进入系统,然后通过系统文件内的相关程序提升权限,从而来删除日志文件(防止管理员对其进行调查),对系统文件进行破坏。建议最少建立三个分区(NTFS格式),一个系统分区(只安装系统和杀毒软件,
(3)安装顺序的选择:Windows 2000在安装中有几个顺序是一定要注意的:
首先,何时接入网络。Windows 2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好Windows 2000之前,一定不要把主机接入网络。
其次,补丁的安装。补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。例如,IIS的HotFix就要求每次更改IIS的配置都需要安装。
Win2k系统正确的安装顺序应该是:
硬盘分区-选择操作系统安装-选择文件系统格式(NTFS)-选择组件及应用程序-安装各种系统补丁-安装防火墙等做好安全防范措施-接入internet
(4)操作系统组件的定制:
Windows 2000在默认情况下会安装一些常用的组件。但是,这个默认安装是极度危险的。你应该确切地知道你需要哪些服务,而且仅仅安装你确实需要的服务。根据安全原则,最少的服务+最小的权限=最大的安全。安装系统组件时不要选择”索引服务”组件。典型的Web服务器需要的最小组件选择是:只安装IIS的IIS Snap-In(IIS服务管理器)、WWW Server(WWW服务器)、ComFiles(公用文件)组件。如果你确实需要安装其他组件,请慎重,特别是Indexing Service、FrontPage 2000 Server Extensions、Internet Service Manager(HTML)这几个危险服务。另外,安装网卡添加协议时也要尽量少的选择相关协议。
(5)远程管理应用程序的选择:
选择一个好的远程管理软件是非常重要的事,这不仅仅是安全方面的要求,也是应用方面的需要。Windows 2000的终端服务是基于RDP(远程桌面协议)的远程控制软件,它速度快,操作方便,比较适合用来进行常规操作。但是,终端服务也有其不足之处,由于它使用的是虚拟桌面,当你使用终端服务进行安装软件或重启服务器等与真实桌面交互的操作时,往往会出现哭笑不得的现象,例如,使用终端服务重启微软的认证服务器(Compaq, IBM等)可能会直接关机。所以,为了安全起见,建议再配备一个远程控制软件作为辅助,与终端服务互补,如PcAnyWhere就是一个不错的选择。
(6)删除默认共享
在HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\LANMANSERVER\PARAMETERS目录下,创建Autoshareserver的键值,类型为DWORD(双字节)且值为0,来禁止这些共享;再创建一个键值为Autosharewks的双字节值,修改键值为0。最后,请重新启动计算机使更改生效
IPC$共享无法删除
(不选择“文件夹和打印机共享协议”)
(7)手动查找并清除木马程序
1.查看系统注册表。
通过查看以下主键:
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN或RUNSERVERS
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN或RUNSERVERS
下面是否有Netsky.exe,空格.exe等可疑文件名,并手动删除键值和相应的程序。
2.使用第三方软件,如 The Cleaner等。
(8)禁止不必要的服务
Win2k有许多用不着的服务自动处于激活状态,为了系统的安全,应把该关的功能服务及时关闭,从而减少安全风险。
需要禁止的服务如下:
alerter
application management
clipbook
com+ event system
computer browser
distributed link tuacking client
distributed transaction coordinator
fax service
ftp publishing service
indexing service
messenger
net logon
network dde
network dde dsdm
network monitor
netmeeting remote desktop sharing
plug and play
remote procedure call(RPC)
remote registry service
removable storage
routing and remote access
runas service
server
smart card
smart card helper
task schedule
tcp/ip netbios helper
telephone service
windows management instrumentation
必要时需要禁止的服务如下:
Snmp service
snmp trap
ups
(9)操作系统日志的安全问题
系统日志文件保存目录默认位置:
安全日志文件存放位置:c:\winnt\system32\config\secevent.evt (*)
系统日志文件存放位置:c:\winnt\system32\config\sysevent.evt (*)
应用程序日志文件存放位置:c:\winnt\system32\config\appevent.evt (*)
ftp日志默认位置:c:\winnt\system32\logfiles\msftpsvc1\
www日志默认位置:c:\winnt\system32\logfiles\w3svc1\ (*)
定时(scheduler)服务日志默认位置:系统安装目录\schedlgu.txt
安全日志文件、系统日志文件、应用程序日志文件,这三个日志记录都由系统的event log服务生成的(其中安全日志文件、系统日志文件只有系统管理员才能访问),event log的作用时记录程序和windows发送的时间消息。事件日志包含对诊断问题有所帮助的信息。停止和启动该服务就停止或开始记录上述三个日志文件。
上述三个日志文件事件查看器的dos命令为:eventvwr.msc(修改日志文件大小及存储时间)。打开事件查看器,右键点击相应的项目的“属性”项,在“常规”标签页面下,对日志文件的大小和达到文件大小时相应的事件进行设置(记录60天)。
ftp日志和www日志均是在internet信息服务里面配置和控制。
限制一般用户对日志文件的访问,禁止一般权限的用户去查看日志文件。设置只有管理员才可以对以上提到的系统日志文件有操作权限;小心保护管理员的密码和用户。并养成定时、定期备份日志的习惯。
win2k提供了安全日志分析器(cybersafe log analyst CLA工具)
日志管理软件 surfstats log analyzer 4.6
(10)目录和文件选项
对可上传的目录和数据库目录均不可给“执行”权限,
日志目录,只许读取和写入
非系统分区的everyone着好的权限去掉,只给管理员权限,在系统分区,不给everyone等其他次要帐号写权限,可在适当地方给读权限,
其他文件的权限设置:如:c:/winnt/system32下的cmd.exe,format.exe,ftp和tftp.exe等,不给system(系统权限)对cmd的任何权限,只给管理员权限,也可设置为只读
1、权限是累计的,
2、拒绝的权限比允许的高(决决策略会先执行)
3、文件权限比文件目录权限高
4、仅给用户必需的权限,最小化原则
(11)进行系统日志审核
Windows 2k的默认安装是不开启任何安全审核的。到“本地安全策略”的“审核策略”中打开相应的审核。推荐的审核是:
策略更改成功/失败
登录事件 成功/失败
对象访问 失败
目录服务访问 失败
特权使用 失败
系统事件 成功/失败
账户登录事件 成功/失败
账户管理 成功/失败
对文件和文件夹访问的审核。首先该文件和文件夹必须位于NTFS分区上,其次必须为对象访问事件设置审核策略。设置的步骤如下:在“审核”页面上,点击“添加”,选择想对文件或文件夹访问进行审核的用户,单击“确定”;在“审核项目”对话框中,为想要审核的事件选择“成功”或“失败”复选框,选择“完成”后确定。
同时,terminal service(远程服务)的安全日志默认时也不开的,可以在“管理工具-terminal service configuration-权限-高级”中配置安全审核,只要记录登录、注销事件就可以了。
审核项目少的缺点时万一想看却发现没有记录就一点都没辙;审核项目太多不仅会占用系统资源而且会导致失去了审核的意义。
(12)端口和Ipsec(端口监控监听程序inzider)
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全。一般来说,仅打开你需要使用的端口会比较安全,配置的方法:打开“本地连接属性”对话框,依次点击“Internet协议(TCP/IP)→高级→选项→TCP/IP筛选→属性”,在打开的对话框中启用TCP/IP筛选(只开放tcp80端口)。
不过,对于win2k的端口过滤来说有一个不好的特性:只能规定开哪些端口,这样对于需要开大量的用户就比较麻烦。
dos命令:netstat –abnov
(13)Windows 2000 安全注意事项
检查、更新和部署提供的 Hisecweb.inf 安全模板
我们已在附带的 CD 上包括了名为 Hisecweb.inf 的安全模板,它可作为适用于多数安全 Web 站点的基准。该模板配置基本的 Windows 2000 全系统策略。
执行以下步骤,以使用该模板:
1. 将该模板复制到 %windir%\security\templates 目录。
2. 打开“安全模板”工具,查看这些设置。
3. 打开“安全配置和分析”工具,然后装载该模板。
4. 右键单击“安全配置和分析”工具,然后从上下文菜单中选择“立即分析计算机”。
5. 等候操作完成。
6. 查看结果,如有必要就更新该模板。
7. 如果您已对该模板满意,右键单击“安全配置和分析”工具,然后从上下文菜单中选择“立即配置计算机”。
配置 IPSec 策略
应该认真考虑在每台 Web 服务器上设置 Internet Protocol Security (IPSec) 数据包筛选策略。该策略可提供更高级别的安全性,以防止防火墙被破坏。使用多层安全技术通常是很好的做法。
通常,除那些希望支持的协议和要打开的端口之外,其它所有的 TCP/IP 协议都应闭锁。可以使用 IPSec 管理工具或 IPSecPol 命令行工具部署 IPSec 策略。
确保 Telnet Server 的安全
如果打算使用 Windows 2000 中包括的 Telnet Server,应该考虑限制可访问该服务的用户。要进行这一设置,可执行以下步骤:
1. 打开“本地用户和组”工具。
2. 右键单击“组”节点,然后从上下文菜单中选择“新建组”。
3. 在“组”名框中输入 TelnetClients。
4. 单击“添加”,然后添加对该计算机有远程登录权限的用户。
5. 依次“创建”和“关闭”。
TelnetClients 组存在时,Telnet 服务将只允许在组中定义的那些用户访问该服务器。
(14)系统安全小结
经常访问微软网站,学习相关信息、技术等
经常访问微软升级程序站点,了解补丁的最新发布情况。
订阅微软安全公告,及时了解最新的系统漏洞。
安装重要升级通告服务。定期运行安全扫描工具或经常阅读网上相关的漏洞分析资料。微软提供了一个叫microsoft baseline security analyzer的工具,可以定期检测系统漏洞、IIS漏洞、弱口令等(详见附录)。
二.确保 Internet 信息服务 5.0 和 5.1 的安全
(详见附录1)
三.ASP程序的安全问题
安全不仅是网管的事,编程人员也必须在安全细节上注意,养成良好的安全习惯,否则也会给黑客造成可乘之机。
目前大多数网站上的ASP程序多少都有安全漏洞,但是如果写程序的时候注意的话,还是可以避免的。 分分涉及用户名与口令的程序最好封装在服务器端,尽量少的在asp文件里出现,涉及到与数据库连接的用户名与口令应给予最小的权限。说明:用户名与口令是黑客们最感兴趣的东西,如果通过某种方式看到源代码,后果是严重的。因此要尽量减少它们在asp文件中的出现次数。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及到与数据库连接,理想状态下只给它以执行存储过程的权限,不要直接给予该用户以修改、插入、删除记录的权限。
需要经过验证的asp页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。说明:需要经过验证的asp程序多是在页面头部加一个判断语句,但这还不够,有可能被黑客绕过验证直接进入,因此有必要跟踪上一个页面。
防止asp主页.inc文件泄漏问题,当存在asp的主页正在制作并没有进行最后调试完成以前,可能被某些搜索引擎机动追加为搜索对象,如果这时有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中察看到数据库地点和结构的细节揭示完整的源代码。说明:程序员应该在网页发布前对其进行彻底的调试,安全专家需要固定asp包含文件以便外部的用户不能看它们。首先对.inc文件使用户无法从浏览器直接观看文件的源代码。.inc文件的文件名不能使用系统默认的或有特殊含义容易被用户猜测到的,尽量使用无规则的英文字母。
某些asp编辑器会自动备份asp文件,会被下载的漏洞在某些编辑asp程序的工具,当创建或修改一个asp文件时,编辑器会自动创建一个备份文件,比如:ultraedit就会备份一个..bak文件,如创建或修改了some.asp,编辑器自动生成一个叫some.asp.bak文件,如果没有删除这个bak文件,攻击有可能直接下载some.asp.bak文件,这样some.asp的源程序就会被下载。
在处理类似留言板、BBS等输入框的asp程序中,最好屏蔽掉HTML、javascript、vbscript语句,如无特殊要求,可以限定只允许输入字母与数字,屏蔽掉特殊字符;同时对输入字符的长度进行限制。而且不但在客户端进行输入合法性检查,同时要在服务器端程序中进行类似检查。说明:输入框是黑客利用的一个目标,它们可以通过输入脚本语言等对用户客户端造成损坏;如果该输入框涉及到数据查询,他们会利用特殊查询输入得到更多的数据库数据,甚至是表的全部。因此必须对输入框进行过滤,但如果为提高效率仅在客户端进行输入合法性检查,仍有可能被绕过,因此必须在服务器端再做一次检查。
四.数据库的安全问题
(1)ACCESS数据库的安全问题。
防止ACCESS mdb数据库有可能被下载的漏洞,在用ACCESS做后台数据库是,如果有人通过各种方法知道或猜到了服务器的ACCESS数据库的路径和数据库名称,那么他就能够下载这个ACCESS数据库文件,这是十分危险的。
解决方法:
a.为数据库取个复杂、非正规的名字
b.不要把数据库名写在程序内,否则万一给人拿到了源代码,那数据库的结构和名字就一览无遗。建议使用ODBC。
c.使用ACCESS对数据库进行编码和加密,这样即使他人得到了数据库,没有密码他也无法打开。
(2)SQL SERVER数据库的安全问题。
SQL SERVER是NT平台上使用最多的数据库系统,但是他的安全问题也必须引起重视。
及时更新补丁程序
说明:与NT 一样,SQL SERVER的许多漏洞会由补丁程序来弥补,建议在安装补丁程序前现在测试机器上做测试,同时提前作好目标服务器的数据备份。
给SA一个复杂的口令
说明:SA具有对SQL SERVER数据库操作的全部权限。但是编程人员往往只注重编写SQL语句本身,对SQL SERVER数据库的管理却不太重视,这样很有可能造成SA口令为空。这对数据库安全是个严重威胁。
严格控制数据库用户的权限,轻易不要给用户对于表的查询、更改、插入、删除等权限,可以给用户访问视图的权限,以及只具有执行存储过程的权限。
说明:用户如果对表有直接的操作权限,就会存在数据被破坏的危险。
(3)ASP中五种连接数据库的方法
第一种 - 这种方法用在ACCESS中最多
strconn = "DRIVER=Microsoft Access Driver (*.mdb);DBQ=" & Server.MapPath("aspfree.mdb")
set conn = server.createobject("adodb.connection")
conn.open strconn
第二种-这种方法用在SQL SERVER中多
dim conn, conntol
conntol = "driver={SQL Server};server=服务器名字;uid=登陆帐号;pwd=登陆密码;database=数据库名字"
set conn=server.createobject("adodb.connection")
conn.open conntol
另一种连接方法:
dim conn
set conn=server.createobject("ADODB.connection")
conn.open "PROVIDER=SQLOLEDB;DATA SOURCE=IP;UID=帐号;PWD=密码;DATABASE=hcgood"
第三种
strconn="Driver={MicrosoftAccessDriver(*.mdb)};" &_
"DBQ=F:Inetpubwwwrootsomedirdb1.mdb;DefaultDir=f:Inetpubwwwrootsomedir;
&_ uid=LoginID;" &_
"pwd=Password;DriverId=25;FIL=MSAccess;" set conn = server.createobject("adodb.connection")
conn.open strconn
第四种运用系统数据源
The following uses a Data Source Name:
set conn = server.createobject("adodb.connection")
conn.open "Example"
第五种运用ODBC数据源,前提是你必须在控制面板的ODBC中设置数据源
set rs = server.createobject("adodb.recordset")
rs.open "tblname", "DSNName", 3, 3
常 数 常 数 值 说 明
AdOpenForwardOnly 0 启动只能向前( Forward-only )的游标,缺省值
AdOpenKeyset 1 启动 Keyset 类型的游标
AdOpenDynamic 2 启动 Dynamic 类型的游标
AdOpenStatic 3 启动 Static 类型的游标
LockType 参数表示采用的 Lock 类型。
常 数 常 数 值 说 明
AdLockReadOnly 1 以只读方式启动,无法运行 AddNew、Update、Delete 等方法,缺省值
AdLockPessimistic 2 当数据正在更新时,系统会暂时锁定其它用户
的动作,以确保数据一致性
AdLockOptimistic 3 当数据正在更新时,系统不会暂时锁定其它用户的动作
AdLockBatchOptimistic 4 当数据正在更新时,其它用户必须将 CursorLocation 属性设为 adUseBatch ,才能对数据库操作
Options 参数表示对数据库请求的类型。
常 数 常 数 值 说 明
AdCmdUnknown -1 所指定的 CommandText 参数类型无法确定,缺省值
AdCmdText 1 所指定的 CommandText 参数是一般的命令类型
AdCmdTable 2 所指定的 CommandText 参数是一个存在的表名称
AdCmdStoredProc 3 所指定的 CommandText 参数是 Stored Procedure 表名称
打造个人电脑安全终极防线.
声明:
本文并非本人所著,是本人一个朋友整理实践而来的.适用于Windows 2000以上版本.本文所涉及到的实验在Windwos 2003下通过)
---------------
打造个人电脑安全终极防线.
----------------------------------------
【一、禁止默认共享 】
1.先察看本地共享资源
运行-cmd-输入net share
2.删除共享(每次输入一个)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3.删除ipc$空连接
在运行内输入regedit
在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA
项里数值名称RestrictAnonymous的数值数据由0改为1.
4.关闭自己的139端口,ipc和RPC漏洞存在于此.
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”
属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关
闭了139端口,禁止RPC漏洞.
----------------------------------------
【二、设置服务项,做好内部防御】
-------------------
A计划.服务策略:
控制面板→管理工具→服务
关闭以下服务:
1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接跟踪客户端服务]
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPI CD-Burning COM Service[管理 CD 录制]
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
8.Kerberos Key Distribution Center[授权协议登录网络]
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
10.Messenger[警报]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
14.Print Spooler[打印机服务,没有打印机就禁止吧]
15.Remote Desktop Help Session Manager[管理并控制远程协助]
16.Remote Registry[使远程计算机用户修改本地注册表]
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持
而使用户能够共享文件、打印和登录到网络]
21.Telnet[允许远程用户登录到此计算机并运行程序]
22.Terminal Services[允许用户以交互方式连接到远程计算机]
23.Windows Image Acquisition (WIA)[照相服务,应用与数码摄象机]
-------------------
B计划.帐号策略:
一.打开管理工具.本地安全设置.密码策略
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是10
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用
-------------------
C计划.本地策略:
打开管理工具
找到本地安全设置.本地策略.审核策略
1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
然后再到管理工具找到
事件查看器
应用程序 右键 属性 设置日志大小上限 我设置了512000KB 选择不覆盖事件
安全性 右键 属性 设置日志大小上限 我也是设置了512000KB 选择不覆盖事件
系统 右键 属性 设置日志大小上限 我都是设置了512000KB 选择不覆盖事件
-------------------
D计划.安全策略:
打开管理工具
找到本地安全设置.本地策略.安全选项
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,启用比较好,但是我个人是不需要直接输入密码登陆的]
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.可匿名的共享 将后面的值删除
4.网络访问.可匿名的命名管道 将后面的值删除
5.网络访问.可远程访问的注册表路径 将后面的值删除
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.重命名来宾帐户guest [最好写一个自己能记住中文名]让黑客去猜解guest吧,而且还得删除这个帐户,后面有详细解释]
9.帐户.重命名系统管理员帐户[建议取中文名]
-------------------
E计划.用户权限分配策略:
打开管理工具
找到本地安全设置.本地策略.用户权限分配
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
2.从远程系统强制关机,Admin帐户也删除,一个都不留
3.拒绝从网络访问这台计算机 将ID删除
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
5.通过终端允许登陆 删除Remote Desktop Users
---------------------
F计划.终端服务配置
打开管理工具
终端服务配置
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
2.常规,加密级别,高,在使用标准windows验证上点√!
3.网卡,将最多连接数上设置为0
4.高级,将里面的权限也删除.[我没设置]
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话
---------------------
G计划.用户和组策略
打开管理工具
计算机管理.本地用户和组.用户
删除Support_388945a0用户等等
只留下你更改好名字的adminisrator权限
计算机管理.本地用户和组.组
组.我们就不组了.分经验的(不管他.默认设置)
---------------------
X计划.DIY策略[根据个人需要]
1.当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
2.登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
3.对匿名连接的额外限制
4.禁止按 alt+crtl+del
5.允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6.只有本地登陆用户才能访问cd-rom
7.只有本地登陆用户才能访问软驱
8.取消关机原因的提示
1、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
2、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
3、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
9.禁止关机事件跟踪
开始“Start ->”运行“ Run ->输入”gpedit.msc “,在出现的窗口的左边部分,
选择 ”计算机配置“(Computer Configuration )-> ”管理模板“
(Administrative Templates)-> ”系统“(System),在右边窗口双击
“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),
点击然后“确定”(OK)保存后退出这样,你将看到类似于windows 2000的关机窗口
----------------------------------------
【三、修改权限防止病毒或木马等破坏系统】
winxp、windows2003以上版本适合本方法.
因为目前的木马抑或是病毒都喜欢驻留在system32目录下,如果我们用命令限制system32的写入和修改权限的话
那么,它们就没有办法写在里面了.看命令
---------------------
A命令
cacls C:windowssystem32 /G administrator:R 禁止修改、写入C:windowssystem32目录
cacls C:windowssystem32 /G administrator:F 恢复修改、写入C:windowssystem32目录
呵呵,这样病毒等就进不去了,如果你觉得这个还不够安全,
还可以进行修改觉得其他危险目录,比如直接修改C盘的权限,但修改c修改、写入后,安装软件时需先把权限恢复过来才行
---------------------
B命令
cacls C: /G administrator:R 禁止修改、写入C盘
cacls C: /G administrator:F 恢复修改、写入C盘
这个方法防止病毒,
如果您觉得一些病毒防火墙消耗内存太大的话
此方法稍可解决一点希望大家喜欢这个方法^_^
---------------------
X命令
以下命令推荐给高级管理员使用[因为win版本不同,请自行修改参数]
cacls %SystemRoot%system32cmd.exe /E /D IUSR_ComSpec 禁止网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32cmd.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用tftp32.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用tftp32.exe
----------------------------------------
【四、重要文件名加密[NTFS格式]】
此命令的用途可加密windows的密码档,QQ密码档等等^.^
命令行方式
加密:在DOS窗口或“开始” | “运行”的命令行中输入“cipher /e 文件名(或文件夹名)”。
解密:在DOS窗口或“开始” | “运行”的命令行中输入“cipher /d 文件名(或文件夹名)”。
----------------------------------------
【五、修改注册表防御D.D.O.S】
在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
更多新的防御技巧请搜索其他信息,
由于本人不敢拿自己的硬盘开玩笑,所以没做实验... ...
----------------------------------------
【六、打造更安全的防火墙】
只开放必要的端口,关闭其余端口.因为在系统安装好后缺省情况下,一般都有缺省的端口对外开放,
黑客就会利用扫描工具扫描那些端口可以利用,这对安全是一个严重威胁。 本人现将自己所知道的端口公布如下(如果觉得还有危险需要过滤的,请联系本人:OICQ 250875628
端口 协议 应用程序
21 TCP FTP
25 TCP SMTP
53 TCP DNS
80 TCP HTTP SERVER
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
6(非端口) IP协议
8(非端口) IP协议
那么,我们根据自己的经验,将下面的端口关闭
TCP
21
22
23
25 TCP SMTP
53 TCP DNS
80
135 epmap
138 [冲击波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389
4444[冲击波]
4489
UDP
67[冲击波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
关于UDP一般只有腾讯OICQ会打开4000或者是8000端口,那么,我们只运行本机使用4000端口就行了
----------------------------------------
【七、保护个人隐私】
1、TT浏览器
选择用另外一款浏览器浏览网站.我推荐用TT,使用TT是有道理的.
TT可以识别网页中的脚本,JAVA程序,可以很好的抵御一些恶意的脚本等等,而且TT即使被感染,你删除掉又重新安装一个就是.[TT就是腾讯的浏览器](不过有些人喜欢用MyIE,因为我使用的时间和对他的了解不是很深吧,感觉不出他对安全方面有什么优势一_一~,希望支持MyIE的朋友不要揍我,否则我会哭... ...)
2、移动“我的文档”
进入资源管理器,右击“我的文档”,选择“属性”,在“目标文件夹”选项卡中点“移动”按钮,
选择目标盘后按“确定”即可。在Windows 2003中“我的文档”已难觅芳踪,桌面、开始等处都看不到了,
建议经常使用的朋友做个快捷方式放到桌面上。
3、移动IE临时文件
进入“开始→控制面板→Internet 选项”,在“常规”选项卡的“Internet 文件”栏里点“设置”按钮,
在弹出窗体中点“移动文件夹”按钮,选择目标文件夹后,点“确定”,在弹出对话框中选择“是”,
系统会自动重新登录。点本地连接,高级,安全日志,把日志的目录更改专门分配日志的目录,
不建议是C:再重新分配日志存储值的大小,我是设置了10000KB
----------------------------------------
【八、第三方软件的帮助】
防火墙:天网防火墙(建议)[二道贩子注:winxp以上可以考虑用系统自带的防火墙,win2000可以考虑用IPSEC,是个锻炼的机会)
杀毒软件:卡巴斯基
二道贩子后注:
现在黑客的攻击有从传统的系统漏洞转向了你的浏览器,所以要在升级一些传统漏洞补丁的同时要注意你的浏览器.
----------------------------------------
【声明】
根据windows2003的版本不同,有时可以自己调整一下顺序,
Windows 2000运行进程详解
Svchost.exe
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位
在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要
加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,
以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
Svchost.exe 组是用下面的注册表值来识别。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的
例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个
或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
更多的信息
为了能看到正在运行在Svchost列表中的服务。
开始-运行-敲入cmd
然后在敲入 tlist -s (tlist 应该是win2k工具箱里的冬冬)
Tlist 显示桓龌疃痰牧斜怼??-s 显示在每个进程中的活动服务列表。如果想知道更多的关于
进程的信息,可以敲 tlist pid。
Tlist 显示Svchost.exe运行的两个例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt, Browser, Dhcp, dmserver, Dnscache, Eventlog, lanmanserver, LanmanWorkstation, LmHosts, Messenger, PlugPlay, ProtectedStorage, seclogon, TrkWks, W32Time, Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在这个例子中注册表设置了两个组。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统
必须一直运行。csrss 负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境。
explorer.exe
这是一个用户的shell(我实在是不知道怎么翻译shell),在我们看起来就像任务条,桌面等等。这个
进程并不是像你想象的那样是作为一个重要的进程运行在windows中,你可以从任务管理器中停掉它,或者重新启动。
通常不会对系统产生什么负面影响。
internat.exe
这个进程是可以从任务管理器中关掉的。
internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。
internat.exe 加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。
当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。
lsass.exe
这个进程是不可以从任务管理器中关掉的。
这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是
通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入
令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。