1.如何關閉Windows 2000下的445端口?
修改注冊表,添加一個鍵值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
修改完後重啟機器,運行“netstat -an”,你將會發現你的445端口已經不再Listening了。
2.如何使用IPSec保護我的網絡通信?
IPSec 術語
在執行以下指導步驟之前,確保您知道以下術語的含義:
身份驗證:確定計算機的身份是否合法的過程。Windows 2000 IPSec 支持三種身份驗證:Kerberos、證書和預共享密鑰。只有當兩個終結點(計算機)都位於同一個 Windows 2000 域時,Kerberos 身份驗證才有效。這種類型的身份驗證是首選方法。如果計算機位於不同的域中,或者至少有一台計算機不在某個域中,則必須使用證書或預共享密鑰。只有當每個終結點中包含一個由另一個終結點信任的頒發機構簽署的證書時,證書才有效。預共享密鑰與密碼有著相同的問題。它們不會在很長的時間段內保持機密性。如果終結點不在同一個域中,並且無法獲得證書,則預共享密鑰是唯一的身份驗證選擇。
加密:使准備在兩個終結點之間傳輸的數據難以辨認的過程。通過使用充分測試的算法,每個終結點都創建和交換密鑰。該過程確保只有這些終結點知道密鑰,而且如果任何密鑰交換序列被攔截,攔截者不會得到任何有價值的內容。
篩選器:對 Internet 協議 (IP) 地址和協議的描述,可觸發 IPSec 安全關聯的建立。
篩選器操作:安全要求,可在通信與篩選器列表中的篩選器相匹配時啟用。
篩選器列表:篩選器的集合。
Internet 協議安全策略:規則集合,描述計算機之間的通訊是如何得到保護的。
規則:篩選器列表和篩選器操作之間的鏈接。當通信與篩選器列表匹配時,可觸發相應的篩選器操作。IPSec 策略可包含多個規則。
安全關聯:終結點為建立安全會話而協商的身份驗證與加密方法的集合。
在 Microsoft 管理控制台中查找 IPSec
通過使用 Microsoft 管理控制台 (MMC) 配置 IPSec。Windows 2000 在安裝過程中創建一個帶有 IPSec 管理單元的 MMC。若要查找 IPSec,請單擊開始,指向程序,單擊管理工具,然後單擊本地安全策略。在打開的 MMC 中的左窗格中,單擊本地計算機上的 IP 安全策略。MMC 將在右窗格中顯示現有的默認策略。
更改 IP 地址、計算機名和用戶名
為了此示例的目的,假設 Alice 是一個計算機用戶,該計算機名為"Alicepc"、IP 地址為 172.16.98.231,Bob 的計算機名為"Bobslap",IP 地址為 172.31.67.244。他們使用 Abczz 程序連接他們的計算機。
通過使用 Abczz 程序互相連接時,Alice 和 Bob 必須確保通信是被加密的。當 Abczz 建立其連接時,啟動程序使用其本身上的隨機高端口並連接(出於本示例中的目的)到 6667/TCP 或 6668/TCP 端口上的目標(其中,TCP 是"傳輸控制協議"的縮寫)。通常,這些端口用作 Internet 多線交談 (IRC)。因為 Alice 或 Bob 均可發起連接,所以該策略必須存在於兩端。
創建篩選器列表
通過在 MMC 控制台中右鍵單擊 IP 安全策略,可訪問用於創建 IPSec 策略的菜單。第一個菜單項是"創建 IP 安全策略"。盡管此菜單似乎是要開始的位置,但卻不應從此位置開始。在可創建策略及其相關規則之前,您需要定義篩選器列表和篩選器操作,它們是任何 IPSec 策略的必需組件。單擊管理 IP 篩選器表和篩選器操作開始工作。
將顯示帶有兩個選項卡的對話框:一個用於篩選器列表,另一個用於篩選器操作。首先,打開管理 IP 篩選器列表選項卡。已經有兩個預先定義的篩選器列表,您不會使用它們。相反,您可以創建一個特定的篩選器列表,使其與要連接到的其他計算機對應。
假設您在 Alice 的計算機上創建策略:
單擊添加創建新的篩選器列表。將該列表命名為"Abczz to Bob's PC"。
單擊添加添加新篩選器。將啟動一個向導。
單擊我的 IP 地址作為源地址。
單擊一個特定的 IP 地址作為目標地址,然後輸入 Bob 的計算機的 IP 地址 (172.31.67.244)。或者,如果 Bob 的計算機已在域名系統 (DNS) 或 Windows Internet 名稱服務 (WINS) 中注冊,則可選擇特定的 DNS 名,然後輸入 Bob 的計算機名,Bobslap。
Abczz 使用 TCP 進行通訊,因此單擊 TCP 作為協議類型。
對於 IP 協議端口,單擊從任意端口。單擊到此端口,鍵入:6667,然後單擊完成完成該向導。
重復上述步驟,但這次鍵入:6668作為端口號,然後單擊關閉。
您的篩選器列表中包含兩個篩選器:一個在端口 6667 (屬於 Bob)上用於從 Alice 到 Bob 的通訊,另一個在端口 6668 (屬於 Bob)上。(Bob 在自己的計算機上設置了 6667 和 6668 兩個端口:一個端口用於傳出的通訊,另一個用於傳入的通訊。)這些篩選器是鏡像的,每次創建 IPSec 篩選器時通常都需要如此。對於已鏡像的每個篩選器,該列表可包含(但不顯示)與其正好相反的篩選器(即目標和源地址與其相反的篩選器)。如果沒有鏡像篩選器,IPSec 通訊通常不成功。
創建篩選器操作
您已經定義了必須受到保護的通信的種類。現在,您必須指定安全機制。單擊管理篩選器操作選項卡。列出三個默認操作。不要使用要求安全操作,您必須創建一個更嚴格的新操作。
若要創建新操作,請:
單擊添加創建新篩選器操作。啟動一個向導。將該操作命名為"Encrypt Abczz"。
對於常規選項,單擊協商安全,然後單擊不和不支持 IPsec 的計算機通訊。
單擊 IP 通信安全性為高選項,然後單擊完成以關閉該向導。
雙擊新的篩選器操作(前面命名的"Encrypt Abczz")。
單擊清除接受不安全的通訊,但總是用 IPSec 響應復選框。這一步驟確保計算機在發送 Abczz 數據包之前必須協商 IPSec。
單擊會話密鑰完全向前保密以確保不重新使用密鑰資料,單擊確定,然後單擊關閉。
創建 IPSec 策略
您已經獲得了策略元素。現在,您可以創建策略本身了。右鍵單擊 MMC 的右窗格,然後單擊創建 IP 安全策略。當向導啟動時:
將該策略命名為"Alice's IPSec"。
單擊清除激活默認響應規則復選框。
單擊編輯屬性(如果未選中的話),然後完成該向導。該策略的屬性對話框將打開。
為使 IPSec 策略有效,它必須至少包含一個將篩選器列表鏈接到篩選器操作的規則。
若要在屬性對話框中指定規則,請:
單擊添加以創建新規則。啟動向導後,單擊此規則不指定隧道。
單擊局域網 (LAN) 作為網絡類型。
如果 Alice 和 Bob 的計算機位於同一個 Windows 2000 域中,單擊 Windows 2000 默認值(Kerberos V5 協議)作為身份驗證方法。如果不在一個域中,則單擊使用此字串來保護密鑰交換(預共享密鑰),然後輸入字符串(使用您可記住的長字符串,不要有任何鍵入錯誤)。
選擇前面創建的篩選器列表。在此示例中,該篩選器列表為"Abczz to Bob's PC"。然後,選擇前面創建的篩選器操作。在此示例中,該篩選器操作為"Encrypt Abczz"。
完成該向導,然後單擊關閉。
配置其他終結點
在 Bob 的計算機上重復上述應用於 Alice 的計算機的所有步驟。顯然要進行一些必要的更改,例如,"Abczz to Bob's PC"必須更改為"Abczz to Alice's PC"。
指派策略
您已經在兩個端點上定義了策略。現在,必須指派它們:
在本地安全設置 MMC 中,右鍵單擊策略(在此示例中為 Abczz )。
單擊指派。
一次只能指派一個 IPSec 策略,但是一個策略可根據需要擁有多個規則。例如,如果 Alice 還需要通過使用不同的協議保護與 Eve 的通訊,則您必須創建相應的篩選器列表和操作,並向 IPSec (屬於 Alice)添加一個規則,以便將特定的篩選器列表和篩選器操作鏈接起來。單擊為此規則使用不同的共享密鑰。Alice 的策略現在有兩個規則:一個用於與 Bob 進行 Abczz 通訊,另一個用於與 Eve 進行通訊。因為 Bob 和 Eve 無需安全地互相通訊,所以 Bob 的策略中未添加任何規則,Eve 的策略中包含一個用於與 Alice 進行通訊的規則。
疑難解答
使用 IPSecMon 測試策略
Windows 2000 包括一個實用程序 (IPSecMon.exe),它可用於測試 IPSec 安全關聯是否已成功建立。若要啟動 IPSecMon,請:
單擊開始,然後單擊運行。
鍵入:ipsecmon,然後按 ENTER 鍵。
單擊選項。
將刷新間隔更改為 1。
必須在不同終結點之間建立通訊。可能會有一個延遲,這是由於終結點需要幾秒鐘時間來交換加密信息並完成安全關聯。可在 IPSecMon 中觀察此行為。當這兩個終結點都建立了它們的安全關聯,可在 IPSecMon 中觀察到顯示此行為的條目。
如果期望的安全協商沒有建立,則返回並檢查每個終結點上的篩選器列表。在您方便地將源地址和目標地址或端口反向時,確保已經收到所使用協議的正確定義。您可能要考慮創建一個指定所有通信的新篩選器列表。同樣,可向使用此篩選器列表的策略添加一個新規則,然後禁用現有的規則。在兩個終結點上執行這些步驟。然後,可使用 ping 命令測試連接性。ping 命令在安全關聯階段可顯示"Negotiating IP security"(正在協商 IP 安全),然後顯示建立安全關聯之後的正常結果。
NAT 與 IPSec 不兼容
如果在兩個終結點之間有任何網絡地址轉換 (NAT),則 IPSec 不起作用。IPSec 將終結點地址作為有效負載的一部分嵌入。在將數據包發送到電纜上之前進行數據包校驗和計算時,IPSec 也使用源地址。NAT 可更改出站數據包的源地址,目標在計算自己的校驗和時使用頭中的地址。如果數據包中攜帶的用初始來源計算的校驗和與用目標計算的校驗和不符,則目標可丟棄這些數據包。不能將 IPSec 用於任何類型的 NAT 設備。
參考
有關 Windows 2000 中 IPSec 的白皮書和詳細的技術信息,請參閱以下 Microsoft Web 站點:
http://www.microsoft.com/windows2000/technologies/security/default.asp
3.如何更改Terminal Server的端口
該修改需要在服務器端和客戶端同時修改,如果不知道該服務器的端口號,客戶端將無法連接服務器。
服務器端的修改:
Key: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
Name: PortNumber
Type: DWORD
Valus:任意值
Key: HKLME\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Name: PortNumber
Type: DWORD
value:和上面值一致
注:需重啟後生效。
然後我們修改客戶端,打開Terminal Server Client的客戶端管理器,導出連接文件(後綴名為cns),用記事本打開該cns文件,搜索"Server Port",修改該值,與服務器保持一致即可(注意進制的轉換)。最後導入該cns文件至Terminal Server的客戶端管理器。
4.如何禁止Guest訪問事件日志?
在默認安裝的Windows NT和Windows 2000中,Guest帳號和匿名用戶可以查看系統的事件日志,可能導致許多重要信息的洩漏,建議修改注冊表來禁止Guest訪問事件日志。
應用日志:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application
Name: RestrictGuestAccess
Type: DWORD
value: 1
系統日志:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System
Name: RestrictGuestAccess
Type: DWORD
value: 1
安全日志:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security
Name: RestrictGuestAccess
Type: DWORD
value: 1
5.如何刪除管理共享(C$,D$...)?
我們可以用Net Share命令來刪除,但是機器重啟後這個共享會自動出現,這時,我們可以修改注冊表。
對於服務器而言:
Key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name: AutoShareServer
Type: DWORD
value: 0
對於工作站而言:
Key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name: AutoShareWks
Type: DWORD
value: 0
修改注冊表後需要重啟Server服務或重新啟動機器。
注:這些鍵值在默認情況下在主機上是不存在的,需要自己手動添加。
6.如何禁止惡意用戶使用FileSystemObject?
常見的有3種方法:
1、修改注冊表,將FileSystemObject改成一個任意的名字,只有知道該名字的用戶才可以創建該對象,
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ProgID]
@="Scripting.FileSystemObject"
2、運行Regsvr32 scrrun.dll /u,所有用戶無法創建FileSystemObject。
3、運行cacls %systemroot%\system32\scrrun.dll /d guests,匿名用戶(包括IUSR_Machinename用戶)無法使用FileSystemObject,我們可以對ASP文件或者腳本文件設置NTFS權限,通過驗證的非Guests組用戶可以使用FileSystemObject。
7.如何禁止顯示上次登陸的用戶名?
我們可以通過修改注冊表來實現:
Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon
Name: DontDisplayLastUserName
Type: REG_DWORD
value: 1
8.如何禁止匿名用戶連接你的IPC$共享?
我們可以通過修改注冊表來實現
Key:HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Name: RestrictAnonymous
Type: REG_DWORD
value: 1 | 2
說明:把該值設為1時,匿名用戶無法列舉主機用戶列表;
把該值設為2時,匿名用戶無法連接你的IPS$共享,不建議使用2,否則可能會造成你的一些服務無法啟動,如SQL Server...
