1.如何關(guān)閉Windows 2000下的445端口?
修改注冊表�����,添加一個鍵值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
修改完后重啟機器���,運行“netstat -an”���,你將會發(fā)現(xiàn)你的445端口已經(jīng)不再Listening了。
2.如何使用IPSec保護我的網(wǎng)絡(luò)通信�?
IPSec 術(shù)語
在執(zhí)行以下指導步驟之前,確保您知道以下術(shù)語的含義:
身份驗證:確定計算機的身份是否合法的過程�。Windows 2000 IPSec 支持三種身份驗證:Kerberos、證書和預共享密鑰�。只有當兩個終結(jié)點(計算機)都位于同一個 Windows 2000 域時,Kerberos 身份驗證才有效�。這種類型的身份驗證是首選方法。如果計算機位于不同的域中��,或者至少有一臺計算機不在某個域中�,則必須使用證書或預共享密鑰。只有當每個終結(jié)點中包含一個由另一個終結(jié)點信任的頒發(fā)機構(gòu)簽署的證書時�����,證書才有效���。預共享密鑰與密碼有著相同的問題��。它們不會在很長的時間段內(nèi)保持機密性����。如果終結(jié)點不在同一個域中�,并且無法獲得證書,則預共享密鑰是唯一的身份驗證選擇�。
加密:使準備在兩個終結(jié)點之間傳輸?shù)臄?shù)據(jù)難以辨認的過程。通過使用充分測試的算法�,每個終結(jié)點都創(chuàng)建和交換密鑰。該過程確保只有這些終結(jié)點知道密鑰�����,而且如果任何密鑰交換序列被攔截��,攔截者不會得到任何有價值的內(nèi)容�����。
篩選器:對 Internet 協(xié)議 (IP) 地址和協(xié)議的描述�����,可觸發(fā) IPSec 安全關(guān)聯(lián)的建立。
篩選器操作:安全要求���,可在通信與篩選器列表中的篩選器相匹配時啟用���。
篩選器列表:篩選器的集合。
Internet 協(xié)議安全策略:規(guī)則集合���,描述計算機之間的通訊是如何得到保護的���。
規(guī)則:篩選器列表和篩選器操作之間的鏈接。當通信與篩選器列表匹配時����,可觸發(fā)相應的篩選器操作。IPSec 策略可包含多個規(guī)則�。
安全關(guān)聯(lián):終結(jié)點為建立安全會話而協(xié)商的身份驗證與加密方法的集合。
在 Microsoft 管理控制臺中查找 IPSec
通過使用 Microsoft 管理控制臺 (MMC) 配置 IPSec���。Windows 2000 在安裝過程中創(chuàng)建一個帶有 IPSec 管理單元的 MMC�����。若要查找 IPSec���,請單擊開始,指向程序�����,單擊管理工具����,然后單擊本地安全策略。在打開的 MMC 中的左窗格中���,單擊本地計算機上的 IP 安全策略���。MMC 將在右窗格中顯示現(xiàn)有的默認策略。
更改 IP 地址�����、計算機名和用戶名
為了此示例的目的����,假設(shè) Alice 是一個計算機用戶���,該計算機名為"Alicepc"、IP 地址為 172.16.98.231��,Bob 的計算機名為"Bobslap"���,IP 地址為 172.31.67.244����。他們使用 Abczz 程序連接他們的計算機�����。
通過使用 Abczz 程序互相連接時�����,Alice 和 Bob 必須確保通信是被加密的����。當 Abczz 建立其連接時,啟動程序使用其本身上的隨機高端口并連接(出于本示例中的目的)到 6667/TCP 或 6668/TCP 端口上的目標(其中����,TCP 是"傳輸控制協(xié)議"的縮寫)��。通常�����,這些端口用作 Internet 多線交談 (IRC)����。因為 Alice 或 Bob 均可發(fā)起連接�����,所以該策略必須存在于兩端���。
創(chuàng)建篩選器列表
通過在 MMC 控制臺中右鍵單擊 IP 安全策略,可訪問用于創(chuàng)建 IPSec 策略的菜單���。第一個菜單項是"創(chuàng)建 IP 安全策略"��。盡管此菜單似乎是要開始的位置�����,但卻不應從此位置開始�����。在可創(chuàng)建策略及其相關(guān)規(guī)則之前��,您需要定義篩選器列表和篩選器操作�����,它們是任何 IPSec 策略的必需組件����。單擊管理 IP 篩選器表和篩選器操作開始工作。
將顯示帶有兩個選項卡的對話框:一個用于篩選器列表�����,另一個用于篩選器操作����。首先,打開管理 IP 篩選器列表選項卡��。已經(jīng)有兩個預先定義的篩選器列表�,您不會使用它們����。相反�����,您可以創(chuàng)建一個特定的篩選器列表�����,使其與要連接到的其他計算機對應�����。
假設(shè)您在 Alice 的計算機上創(chuàng)建策略:
單擊添加創(chuàng)建新的篩選器列表����。將該列表命名為"Abczz to Bob's PC"���。
單擊添加添加新篩選器�����。將啟動一個向?qū)А?
單擊我的 IP 地址作為源地址�����。
單擊一個特定的 IP 地址作為目標地址���,然后輸入 Bob 的計算機的 IP 地址 (172.31.67.244)����?���;蛘撸绻?Bob 的計算機已在域名系統(tǒng) (DNS) 或 Windows Internet 名稱服務 (WINS) 中注冊��,則可選擇特定的 DNS 名��,然后輸入 Bob 的計算機名�,Bobslap。
Abczz 使用 TCP 進行通訊����,因此單擊 TCP 作為協(xié)議類型。
對于 IP 協(xié)議端口��,單擊從任意端口����。單擊到此端口�,鍵入:6667����,然后單擊完成完成該向?qū)А?
重復上述步驟,但這次鍵入:6668作為端口號�,然后單擊關(guān)閉。
您的篩選器列表中包含兩個篩選器:一個在端口 6667 (屬于 Bob)上用于從 Alice 到 Bob 的通訊����,另一個在端口 6668 (屬于 Bob)上。(Bob 在自己的計算機上設(shè)置了 6667 和 6668 兩個端口:一個端口用于傳出的通訊����,另一個用于傳入的通訊。)這些篩選器是鏡像的�,每次創(chuàng)建 IPSec 篩選器時通常都需要如此��。對于已鏡像的每個篩選器���,該列表可包含(但不顯示)與其正好相反的篩選器(即目標和源地址與其相反的篩選器)���。如果沒有鏡像篩選器�����,IPSec 通訊通常不成功��。
創(chuàng)建篩選器操作
您已經(jīng)定義了必須受到保護的通信的種類?����,F(xiàn)在�����,您必須指定安全機制�����。單擊管理篩選器操作選項卡�。列出三個默認操作��。不要使用要求安全操作����,您必須創(chuàng)建一個更嚴格的新操作。
若要創(chuàng)建新操作�,請:
單擊添加創(chuàng)建新篩選器操作�����。啟動一個向?qū)?���。將該操作命名?quot;Encrypt Abczz"�。
對于常規(guī)選項,單擊協(xié)商安全����,然后單擊不和不支持 IPsec 的計算機通訊。
單擊 IP 通信安全性為高選項��,然后單擊完成以關(guān)閉該向?qū)А?
雙擊新的篩選器操作(前面命名的"Encrypt Abczz")��。
單擊清除接受不安全的通訊�,但總是用 IPSec 響應復選框。這一步驟確保計算機在發(fā)送 Abczz 數(shù)據(jù)包之前必須協(xié)商 IPSec�。
單擊會話密鑰完全向前保密以確保不重新使用密鑰資料,單擊確定���,然后單擊關(guān)閉。
創(chuàng)建 IPSec 策略
您已經(jīng)獲得了策略元素?���,F(xiàn)在�,您可以創(chuàng)建策略本身了����。右鍵單擊 MMC 的右窗格,然后單擊創(chuàng)建 IP 安全策略����。當向?qū)訒r:
將該策略命名為"Alice's IPSec"。
單擊清除激活默認響應規(guī)則復選框��。
單擊編輯屬性(如果未選中的話)�����,然后完成該向?qū)?��。該策略的屬性對話框?qū)⒋蜷_�����。
為使 IPSec 策略有效���,它必須至少包含一個將篩選器列表鏈接到篩選器操作的規(guī)則�����。
若要在屬性對話框中指定規(guī)則���,請:
單擊添加以創(chuàng)建新規(guī)則。啟動向?qū)Ш?,單擊此?guī)則不指定隧道。
單擊局域網(wǎng) (LAN) 作為網(wǎng)絡(luò)類型�����。
如果 Alice 和 Bob 的計算機位于同一個 Windows 2000 域中����,單擊 Windows 2000 默認值(Kerberos V5 協(xié)議)作為身份驗證方法。如果不在一個域中�����,則單擊使用此字串來保護密鑰交換(預共享密鑰)����,然后輸入字符串(使用您可記住的長字符串����,不要有任何鍵入錯誤)���。
選擇前面創(chuàng)建的篩選器列表。在此示例中����,該篩選器列表為"Abczz to Bob's PC"。然后���,選擇前面創(chuàng)建的篩選器操作���。在此示例中,該篩選器操作為"Encrypt Abczz"����。
完成該向?qū)В缓髥螕絷P(guān)閉�。
配置其他終結(jié)點
在 Bob 的計算機上重復上述應用于 Alice 的計算機的所有步驟。顯然要進行一些必要的更改��,例如��,"Abczz to Bob's PC"必須更改為"Abczz to Alice's PC"。
指派策略
您已經(jīng)在兩個端點上定義了策略?����,F(xiàn)在���,必須指派它們:
在本地安全設(shè)置 MMC 中��,右鍵單擊策略(在此示例中為 Abczz )��。
單擊指派�����。
一次只能指派一個 IPSec 策略����,但是一個策略可根據(jù)需要擁有多個規(guī)則����。例如,如果 Alice 還需要通過使用不同的協(xié)議保護與 Eve 的通訊���,則您必須創(chuàng)建相應的篩選器列表和操作��,并向 IPSec (屬于 Alice)添加一個規(guī)則��,以便將特定的篩選器列表和篩選器操作鏈接起來�����。單擊為此規(guī)則使用不同的共享密鑰�����。Alice 的策略現(xiàn)在有兩個規(guī)則:一個用于與 Bob 進行 Abczz 通訊��,另一個用于與 Eve 進行通訊���。因為 Bob 和 Eve 無需安全地互相通訊,所以 Bob 的策略中未添加任何規(guī)則�����,Eve 的策略中包含一個用于與 Alice 進行通訊的規(guī)則�����。
疑難解答
使用 IPSecMon 測試策略
Windows 2000 包括一個實用程序 (IPSecMon.exe)���,它可用于測試 IPSec 安全關(guān)聯(lián)是否已成功建立���。若要啟動 IPSecMon�����,請:
單擊開始�,然后單擊運行��。
鍵入:ipsecmon����,然后按 ENTER 鍵。
單擊選項�����。
將刷新間隔更改為 1���。
必須在不同終結(jié)點之間建立通訊�����?���?赡軙幸粋€延遲,這是由于終結(jié)點需要幾秒鐘時間來交換加密信息并完成安全關(guān)聯(lián)�。可在 IPSecMon 中觀察此行為�。當這兩個終結(jié)點都建立了它們的安全關(guān)聯(lián),可在 IPSecMon 中觀察到顯示此行為的條目�。
如果期望的安全協(xié)商沒有建立,則返回并檢查每個終結(jié)點上的篩選器列表��。在您方便地將源地址和目標地址或端口反向時���,確保已經(jīng)收到所使用協(xié)議的正確定義。您可能要考慮創(chuàng)建一個指定所有通信的新篩選器列表�����。同樣�,可向使用此篩選器列表的策略添加一個新規(guī)則,然后禁用現(xiàn)有的規(guī)則����。在兩個終結(jié)點上執(zhí)行這些步驟。然后�,可使用 ping 命令測試連接性��。ping 命令在安全關(guān)聯(lián)階段可顯示"Negotiating IP security"(正在協(xié)商 IP 安全)���,然后顯示建立安全關(guān)聯(lián)之后的正常結(jié)果。
NAT 與 IPSec 不兼容
如果在兩個終結(jié)點之間有任何網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT)�,則 IPSec 不起作用。IPSec 將終結(jié)點地址作為有效負載的一部分嵌入��。在將數(shù)據(jù)包發(fā)送到電纜上之前進行數(shù)據(jù)包校驗和計算時�����,IPSec 也使用源地址�。NAT 可更改出站數(shù)據(jù)包的源地址,目標在計算自己的校驗和時使用頭中的地址��。如果數(shù)據(jù)包中攜帶的用初始來源計算的校驗和與用目標計算的校驗和不符����,則目標可丟棄這些數(shù)據(jù)包。不能將 IPSec 用于任何類型的 NAT 設(shè)備�����。
參考
有關(guān) Windows 2000 中 IPSec 的白皮書和詳細的技術(shù)信息��,請參閱以下 Microsoft Web 站點:
http://www.microsoft.com/windows2000/technologies/security/default.asp
3.如何更改Terminal Server的端口
該修改需要在服務器端和客戶端同時修改,如果不知道該服務器的端口號�,客戶端將無法連接服務器。
服務器端的修改:
Key: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
Name: PortNumber
Type: DWORD
Valus:任意值
Key: HKLME\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Name: PortNumber
Type: DWORD
value:和上面值一致
注:需重啟后生效���。
然后我們修改客戶端�����,打開Terminal Server Client的客戶端管理器���,導出連接文件(后綴名為cns),用記事本打開該cns文件�����,搜索"Server Port"����,修改該值�����,與服務器保持一致即可(注意進制的轉(zhuǎn)換)��。最后導入該cns文件至Terminal Server的客戶端管理器�。
4.如何禁止Guest訪問事件日志?
在默認安裝的Windows NT和Windows 2000中��,Guest帳號和匿名用戶可以查看系統(tǒng)的事件日志�,可能導致許多重要信息的泄漏,建議修改注冊表來禁止Guest訪問事件日志����。
應用日志:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application
Name: RestrictGuestAccess
Type: DWORD
value: 1
系統(tǒng)日志:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System
Name: RestrictGuestAccess
Type: DWORD
value: 1
安全日志:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security
Name: RestrictGuestAccess
Type: DWORD
value: 1
5.如何刪除管理共享(C$,D$...)?
我們可以用Net Share命令來刪除�,但是機器重啟后這個共享會自動出現(xiàn),這時����,我們可以修改注冊表�。
對于服務器而言:
Key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name: AutoShareServer
Type: DWORD
value: 0
對于工作站而言:
Key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name: AutoShareWks
Type: DWORD
value: 0
修改注冊表后需要重啟Server服務或重新啟動機器���。
注:這些鍵值在默認情況下在主機上是不存在的���,需要自己手動添加。
6.如何禁止惡意用戶使用FileSystemObject?
常見的有3種方法:
1�、修改注冊表,將FileSystemObject改成一個任意的名字�,只有知道該名字的用戶才可以創(chuàng)建該對象��,
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ProgID]
@="Scripting.FileSystemObject"
2、運行Regsvr32 scrrun.dll /u����,所有用戶無法創(chuàng)建FileSystemObject����。
3、運行cacls %systemroot%\system32\scrrun.dll /d guests����,匿名用戶(包括IUSR_Machinename用戶)無法使用FileSystemObject�����,我們可以對ASP文件或者腳本文件設(shè)置NTFS權(quán)限�����,通過驗證的非Guests組用戶可以使用FileSystemObject。
7.如何禁止顯示上次登陸的用戶名��?
我們可以通過修改注冊表來實現(xiàn):
Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon
Name: DontDisplayLastUserName
Type: REG_DWORD
value: 1
8.如何禁止匿名用戶連接你的IPC$共享�����?
我們可以通過修改注冊表來實現(xiàn)
Key:HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Name: RestrictAnonymous
Type: REG_DWORD
value: 1 | 2
說明:把該值設(shè)為1時�����,匿名用戶無法列舉主機用戶列表�;
把該值設(shè)為2時,匿名用戶無法連接你的IPS$共享�,不建議使用2���,否則可能會造成你的一些服務無法啟動����,如SQL Server...
