Total Pageviews

Sunday 15 January 2012

Windows Server2003 筆記


本網頁以打造無障礙閱讀為目標,可以用任何瀏覽器來觀看本網頁

版本

Windows Server 2003微 軟 伺服器作業平台Windows 2000 Server的新版本,繁體中文版在2003年5月27日正式在台灣上市 ,共有四種版本
  • Windows Server 2003 Web Edition
    特別針對網站的架設與hosting所設計,使程式開發人員可以立即建立與部署XML Web Services,並有效降低成本,最多支援2顆CPU與2GB ram。
  • Windows Server 2003標準版
    適用於小型企業或部門級的多用途伺服器,提供Internet連結、應用程式平台執行、無線網路安全基礎架構及Web解決方案等基本功能,最多支援4顆 CPU與4GB ram。
  • Windows Server 2003 企業版
    提供應用軟體與Web Services最佳執行環境,適用於特別著重效能表現與商業價值的企業用戶,可支援32-bit (最多支援8顆CPU與32GB ram)與64-bit(最多支援8顆CPU與64GB ram)兩種規格。
  • Windows Server 2003 Datacenter Edition
    最高等級的商業、任務導向應用平台,具備高延展性與可用性,提供關鍵性運算與任務,可支援32-bit (最多支援32顆CPU與64GB ram)與64-bit(最多支援64顆CPU與512GB ram)兩種規格。

安裝

硬體相容性清單(Hardware Compatibility List,HCL)

HCL為經過微軟測試可正常在Windows系列產品運作的名單,網址在 http://www.microsoft.com/whdc/hcl/default.mspx

檔案系統(File System)

Windows Server 2003可支援FAT,FAT32,NTFS等三種檔案系統格式,安裝過程中格式化選項只提供FAT與NTFS,若選擇FAT則分割區大於2GB時自動調 整為FAT32。

NTFS支援功能

  • 檔案權限(permission)
  • 檔案壓縮(compression)
  • 檔案加密(encryption)
  • 磁碟配額(disk quota)
  • 網域與Active Directory
  • 稽核(audit)

授權模式(Licensing Mode)

Telnet與FTP連線,或匿名的連線使用者無須用戶端存取使用權 (Client Access License,CAL)

Per Seat(每一基座)

不限制連線的數目,不過欲連線的用戶端都必須有『用戶端存取使用權 (Client Access License,CAL)』,適用在有多台伺服器的環境。

Per Server(每一伺服器)

限制連線的數目,安裝時輸入允許的連線數量,且欲連線的用戶端都必須有『用戶端存取使用權 (Client Access License,CAL)』,適用在只有一台伺服器的環境。

網際網路通訊協定

為了要能夠上網啟動與進行安全性更新,必須設定以下的內容
  • ip位址(ip address)
  • 子網路遮罩(subnet mask)
  • 預設閘道(gateway)
  • DNS1
  • DNS2

免光碟安裝

將光碟中的I386目錄複製到欲安裝的硬碟後,執行其中的winnt32,但因為需要拷貝大量檔案,因此建議先安裝smartdrv以節省大量時間
/s:指定來源檔案資料夾
/t:指定安裝的磁碟與暫存檔存放的磁碟
winnt32 /s:D:\I386 /t:C:

RIS (Remote Installation Service)

意指遠端安裝服務,這是為了方便網路管理員需要一次過大量安裝多台工作站而設的工具,其好處在於可遙控遠端安裝其他電腦。

設定

多重監視器(Multiple Monitors)

Windows Server 2003透過多重監視器功能可以使用多達10台的監視器 ,主要監視器與次要監視器可設定為不同的解析度,次要監視器應設定「將我的Windows桌面延伸到這個監視器」。

硬體設定檔(Hardware Profile)

開始/控制台/系統/硬體/硬體設定檔 可設定,依需求決定可用的周邊與服務之後將之儲存為硬體設定檔,例如設定一個無法使用網路功能或無法使用軟碟的硬體設定檔,重開機後會有一個「硬體設定檔 /設定復原」功能表可供選擇。

環境變數

開始/控制台/系統/進階/環境變數 可設定,在命令列下必須以echo %變數名% 來取得變數內容
  • path這個環境變數:系統變數>使用者變數>autoexec.bat
  • 其它環境變數:autoexec. bat>系統變數>使用者變數

系統啟動

開始/控制台/系統/進階/啟動及修復/設定 可設定多重OS的啟動選單與等待秒數,結果會儲存在根目錄的boot.ini檔

新增移除Windows元件

開始/控制台/新增移除程式/新增移除Windows元件 才可以移除或新增Windows Server 2003 本身的程式,一般程式利用「變更或移除程式」即可

微軟管理主控台(Microsoft Management Console,MMC)

MMC本身只是一個介面而不提供管理功能,其設定會被儲存在副檔名為主控台1.msc的檔案內,這個介面有2個重要元件
  • 嵌入式管理單元(stand-alone snap-ins):提供了具有管理功能的應用程式(必須符合MMC的規範)
  • 延伸嵌入式管理單元(extensions):提供了snap-ins額外的管理功能

帳戶管理

使用者帳戶建立之後會給予一個安全識別碼(security identifier,SID) //如同Linux的UID
建立帳號的方式
  1. net user 帳號 密碼 /add
  2. csvde -i -f 檔名
  3. wscript 檔名 //利用WSH

使用者帳戶的種類

  • 網域使用者帳戶(domain user accounts):存放在網域控制站的Active Directory中
  • 本機使用者帳戶(local user accounts):存放在本機安全帳戶資料庫(local security accounts database) 或稱 SAM(Security Accounts Manager database)中

群組帳戶的種類

  • 網域群組帳戶(domain group accounts):存放在網域控制站的Active Directory中
    • 安全群組(security group)
    • 發佈群組(distribution group)
  • 本機群組帳戶(local group accounts):存放在本機安全帳戶資料庫(local security accounts database)中
  • 特殊群組
    • Everyone
    • Authenticated Users
    • Interactive
    • Network
    • Creator Owner
    • Anonymous Logon
    • Dialup

內建的使用者帳戶

  • Administrator:電腦系統管理員,是最高權限的帳戶,可更改名稱,但不可刪除
  • Guest:限制權限的帳戶,可更改名稱,但不可刪除

內建的群組帳戶

  • Administrators
  • Guests
  • Backup Operators
  • Network Configuration Operators
  • Power Users
  • Remote Desktop Users
  • Users

具管理帳戶權限的使用者

  • 具備系統管理員權限的使用者:有完整管理權限,如Administrator、Administrators群組、Domain Admins群組、Power Users群組等
  • 屬於Account Operators群組的使用者 :受限制的管理權限,例如無法修改Administrators群組或任何的Operators群組,以及無法設定安全原則。

密碼設定需注意事項

  • 密碼希望能有大寫, 小寫, 數字, 符號 4選3, 例如P@$$w0rd
  • 為防止密碼遺忘,可製作密碼重設磁片(password reset disk) //僅適用於本機使用者帳戶

Windows Server 2003的網路

Windows Server 2003支援下列兩種網路類型
  1. 工作群組(workgroup):即對等式網路(peer-to-peer),對於資源僅能採取分散式管理,適用電腦不多的情 況。
  2. 網域(domain):即Client-Server式網路,利用目錄資料庫整合網域內的資源,做到集中式管理。

工作群組(workgroup)

工作群組內的電腦無須伺服器等級,且欲存取該台電腦資源時,必須在其SAM中建立帳戶,無法集中控管,容易造成維運的負荷。

網域(domain)

網域內所有的資源,透過主動式目錄(Active Directory)來集中控管,所包含的電腦種類有三種。
  1. 網域控制站(domain controller ; DC)
  2. 成員伺服器(member server)
  3. 其他電腦
NT4時利用NTLM來儲存,以圓形表示之, Win2000開始利用AD來儲存,以三角形表示之。
不同的Forest可利用admt作AD的搬遷,先搬移帳號密碼,再搬移資源,再做原DC的降級。

網域控制站(domain controller)

網域內的控制站必須是Windows Server 2003 Web Edition以上的等級才可擔任,Domain controller負責維護該網域的Active Directory,若同一網域有多台控制站時,則可提供容錯的服務 。
  • 網域內的第一台DC : 利用命令 dcpromo 設定 新網域的網域控制站
  • 現存網域中的網域控制站 : 可視為同網域中容錯用途的DC, 至少要有原網域的Domain Admin群組的權限
  • 子網域目錄 :  原網域的子網域, 至少要有原網域的Enterprise Admin群組的權限
  • 網域目錄 : 另外建立一個樹狀目錄, 信任於原網域, 而非原網域的子網域, 至少要有原網域的 Enterprise Admin群組的權限

成員伺服器(member server)

網域內僅提供服務的伺服器,若透過網域的AD管理,稱之為member server,否則稱之為獨立伺服器(stand-alone server)。

其他電腦

網域上其他利用AD的使用帳戶登入後取用資源的電腦(Win95/98/XP home無法登入網域)。

網路異常檢測

  1. 察看Server的log紀錄:開始/系統管理工具/事件檢視器/系統
  2. 檢查網卡硬體設置:硬體/裝置管理員/網路介面卡 檢視安裝的網路卡是否都在內
  3. 檢查網路連線組態:檢查ip, mask, getway, dns等設置
  4. 檢查網卡是否作用:ping 127.0.0.1 (loopback test)
  5. 檢查本身IP:ping 本身IP
  6. 檢查與getway的連線:ping GATEWAY的IP
  7. 檢查網路封包是否正常傳送:ping 168.95.192.1 (看看封包是否能正常送到hinet的DNS server)
  8. 檢查封包傳送過程的router狀況:tracert www.hinet.net / 168.95.192.1 (當ping不通時建議使用)
  9. 檢查防火牆設置

常用的網路指令

ping
ping用於確定本地主機是否能與另一台主機交換(發送與接收)資料。根據返回的訊息,你就可以推斷TCP/IP參數是否設置正 確以及運作是否正常。 Windows上的Ping指令預設發送4個ICMP封包(32byte),如果一切正常,應能得到4個回應封包。Ping還能顯示TTL(Time To Live存在時間)值,你可以通過TTL值推算一下封包已經通過了多少個路由器。
netstat
netstat用於顯示與IP、TCP、UDP和ICMP等協定的統計資料,一般用於檢驗本機各埠的網絡連接情況。
ipconfig
ipconfig用於查詢目前電腦的網路組態,包括IP位址、MAC硬體位址、Gateway、子網路遮罩、DHCP主機、DNS主機& hellip;等等資訊。
arp
arp用於確定對應IP的網卡實際位址。
tracert
tracert命令可以用來追蹤封包使用的路由(路徑)。
pathping
pathping的功能與tracert很類似,一樣可以偵測本機電腦到對方電腦的所經路徑,並列出經過的全部節點。不過 pathping有一個更實用的 功能,它可以顯示各節點的資料封包遺失狀況,讓我們可以直接判斷是哪台路由器或電腦造成連線速度驟減或其他網路障礙。
route
route命令可以用來顯示和修改路由表的內容。
nbtstat
nbtstat命令用來提供關於NetBIOS的統計資料。運用NetBIOS,你可以查看本機或遠方主機的NetBIOS名字表格。
net
net命令有很多函數可用於電腦之間的NetBIOS連接,如net view、net config和net use等。

如何判斷哪些程式使用或阻礙特定的TCP 連接埠(port)

  1. 使用微軟的netstat -o 指令,再配合tasklist 指令
  2. 使用微軟的netstat -b 指令
  3. 使用微軟的portqry 指令
  4. 使用免費工具
ps.winxp以後的netstat 指令才有 -o 與 -b 的參數,但不適用於Win2k, Win2k只能使用portqry指令,Win2003 Server也無法使用-b參數。

1.使用-o 參數,可以用來顯示與每個連線相關的處理程序識別碼 (PID)。

D:\Documents and Settings\peter>netstat -ano

Active Connections

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:22 0.0.0.0:0 LISTENING 408
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 2656
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1132
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING 2656
......
TCP 140.128.77.194:1034 207.46.107.86:1863 ESTABLISHED 2360
......
再利用tasklist 指令,就可以將列出的處理程序識別碼(PID)與處理程序名稱 (程式) 做比較。
D:\Documents and Settings\peter>tasklist
Image Name                  PID  Session Name     Session#    Mem Usage
========================= ====== ================ ======== ============
System Idle Process            0 Console                 0         16 K
System                         4 Console                 0        284 K
smss.exe                     704 Console                 0        392 K
csrss.exe                    752 Console                 0      6,940 K
winlogon.exe                 776 Console                 0      4,284 K
services.exe                 820 Console                 0      6,380 K

2.使用-b 參數,除可顯示與每個連線相關的PID之外,還能顯示該PID對應的程式或函式名稱。

目前僅有WinXP支援此參數
D:\Documents and Settings\peter>netstat -anb

Active Connections

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:22 0.0.0.0:0 LISTENING 408
[sshd.exe]

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 2656
[Skype.exe]

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1132
d:\windows\system32\WS2_32.dll
D:\WINDOWS\system32\RPCRT4.dll
d:\windows\system32\rpcss.dll
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\ADVAPI32.dll
[svchost.exe]

TCP 0.0.0.0:443 0.0.0.0:0 LISTENING 2656
[Skype.exe]
......

3. 使用PortQry Command Line Port Scanner工具程式

PortQry Command Line Port Scanner 2.0 是微軟的命令列公用程式,此公用程式會報告本機電腦或遠端電腦上,目標 TCP 及「使用者資料包通訊協定」(UDP,User Datagram Protocol) 連接埠的連接埠狀態。
  1. 執行該程式後會解壓縮檔案到 C:\PortQryV2 目錄
  2. 開啟命令提示字元
    c:
    cd \portQryv2
    portqry -local | more

4.使用免費工具

TCPView
用來檢測系統的埠號或網路連線是由那個Process所開啟
ActivePorts
同TCPview,用來檢測系統的埠號或網路連線是由那個Process所開啟
ProcessExplorer
列出WindowsNT/2000/XP目前所執行的Process及相關資訊

IIS6設定技巧

Windows 2003 Server內建了IIS6, 其預設值與過去的IIS5有些許不同,整理一些要注意的事項如下
  • 關閉了ASP程式的使用:可能想讓大家改用.NET開發程式吧,預設居然不能使用ASP,要用的人記得要打開喔。
  • 關閉了「啟用上層路徑」:致使ASP程式無法在MapPath函數中使用上層路徑的表示,即「..」。

設定IIS的SSL

SSL的設定需要有憑證,憑證可以向CA申請 (如 HiTrust 的Verisign SSL ) 或自行建置,以下說明自行建置CA,核發憑證的過程

安裝憑證授權單位(CA)

  • 因為不想花錢或是只在內部使用的Web 站台,想要使用SSL的功能,就必須自己成為憑證授權單位,自己發憑證給自己的網站使用
  • 電腦名稱與CA有很大的關連,建議先將電腦名稱更改為叫有意義的名字
  • 先想好要IIS中的哪一個站台成為SSL的站台
  • 安裝CA的步驟:控制台/新增或移除程式/新增移除Windows元件/Certificate Services
  • 安裝完畢後會在IIS的預設的網站中建立CertSrv,CertControl,CertEnroll等三個虛擬目錄

產生憑證要求

  1. 開啟 IIS 管理員。
  2. 在要安裝憑證的網站按一下滑鼠右鍵,再按內容。 //是網站而不是虛擬目錄喔
  3. 按一下「目錄安全設定」索引標籤。
  4. 按一下伺服器憑證按鈕,按下一步
  5. 點選「建立新憑證」,按下一步,點選「準備要求,但於稍後傳送」,按下一步
  6. 輸入憑證名稱與金鑰位元長度,可採預設值即可
  7. 輸入公司名稱及單位,通常是公司與部門的正式名稱
  8. 輸入「一般名稱」,此名稱十分重要,預設為NetBios的電腦名稱(IntraNet上使用),但若使用在 InterNet上,則必須改用網站的FQDN名稱(例如:dcicc.ncit.edu.tw)。 //若網站名稱與憑證名稱不同,則使用者在瀏覽時會出現「安全性憑證的名稱不正確或與網站的名稱不相符」的安全性警告
  9. 在「國家/地區」,「省/州」與「城市/位置」欄位中輸入適當的資訊,再按下一步。
  10. 輸入欲產生的「憑證要求」檔案名稱 (c:\certreq.txt),再按下一步。
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIIDOjCCAqMCAQAwXzELMAkGA1UEBhMCVFcxDzANBgNVBAgTBlRhaXdhbjERMA8G
    A1UEBxMIVGFpY2h1bmcxDTALBgNVBAoTBGN5dXQxCzAJBgNVBAsTAmNjMRAwDgYD
    VQQDEwdlZHVmdW5kMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCtS/DzjQiA
    5jymWsTZys9Y5gIGRAqFZrkROzRyE/gw0ScW8AV7idz2j+1Z24N9iSDO9Aixi9sG
    BQLQnUpftjDa0VTvycF7XnV/9ljKDUAVRatXYcBVQsnY8jEn+KrVr8x4UP3EvKtO
    ROfTxo728vPf4+QXSwOKUyVBXmTlbZD3VwIDAQABoIIBmTAaBgorBgEEAYI3DQID
    MQwWCjUuMi4zNzkwLjIwewYKKwYBBAGCNwIBDjFtMGswDgYDVR0PAQH/BAQDAgTw
    MEQGCSqGSIb3DQEJDwQ3MDUwDgYIKoZIhvcNAwICAgCAMA4GCCqGSIb3DQMEAgIA
    gDAHBgUrDgMCBzAKBggqhkiG9w0DBzATBgNVHSUEDDAKBggrBgEFBQcDATCB/QYK
    KwYBBAGCNw0CAjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEA
    IABTAEMAaABhAG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAA
    UAByAG8AdgBpAGQAZQByA4GJAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
    AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
    AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
    AAAAAAAAAAAAAAAwDQYJKoZIhvcNAQEFBQADgYEAAQlm4lzDo/mJ/Ktg9ajKYF+B
    Rgjt1AxaWGG2BWMd1CjkOyiFR8jKnb1PTUWdBvTs+occHqkLYZobytne+/amrt6J
    zi7yDNCdxhpbkRi8t5Yx27R/0xK9gP+5/hJXeCXxhrucMEaCx+Au9QMWoCnUQ0jC
    McsN9//3bUA+1Xmn0rw=
    -----END NEW CERTIFICATE REQUEST-----
  11. 檢視憑證要求檔案中的摘要,若沒有問題再按下一步。
  12. 按完成,結束產生「憑證要求檔案」的過程

送出憑證要求

  1. 將上一個步驟所產生的檔案c:\certreq.txt,其內容複製到剪貼簿
  2. 開啟瀏覽器,鍵入「http://HOSTNAME/CertSrv」 //HOSTNAME為CA的電腦名稱,若為本機也可設定為127.0.0.1
  3. 按一下「要求憑證」。
  4. 按一下「提交進階憑證要求」。
  5. 按一下「用 Base-64 編碼的 CMC 或 PKCS #10 檔案來提交憑證要求,或用 Base-64 編碼的 PKCS #7 檔案提交更新要求」。
  6. 在已儲存的要求下方的文字方塊中,按下Ctrl+V,貼上之前複製的內容,按一下「提交」。

發行憑證

  1. 控制台/系統管理工具/憑證授權單位
  2. 展開後點選「擱置要求」資料夾
  3. 點選剛剛提交的憑證要求
  4. 點選功能表上的「執行/所有工作/發行」
  5. 點選「發出的憑證」資料夾
  6. 對剛剛發出的憑證按2下滑鼠以檢視之
  7. 按下「詳細資料」的索引標籤,按一下「複製到檔案」
  8. 按下一步,點選匯出的檔案格式為「Base-64 Encoded X.509 (.CER)」
  9. 輸入欲產生的憑證檔案名稱,例如:C:\dcicc.cer
  10. 下一步/完成/確定。

在Web Server上安裝憑證

  1. 開啟 IIS 管理員。
  2. 在有憑證要求的網站上按下滑鼠右鍵,再按內容。
  3. 按一下「目錄安全設定」索引標籤。
  4. 按一下伺服器憑證按鈕,按下一步。
  5. 點選「處理擱置要求及安裝憑證」,再按下一步。
  6. 輸入CA回應之「憑證授權的檔案」的路徑與名稱,可採預設值即可(C:\dcicc.cer),再按下一步。
  7. 輸入網站使用的SSL連接埠,可採預設值443即可。
  8. 下一步/完成/確定。

設定ASP.NET執行環境(整理中......)

在 Windows 2000 和 Windows XP 中,應用程式在名為 ASPNET 的帳戶下執行。在 Windows Server 2003 中,使用者內容稱為 NETWORK SERVICE。這些使用者帳戶在 .NET Framework 安裝程序期間是使用唯一、牢固的密碼建立的,並只取得有限的使用權限。ASPNET 或 NETWORK SERVICE 使用者只能存取執行 Web 應用程式所需的特定資料夾,如 Web 應用程式用來儲存已編譯檔案的 \bin 目錄。
設定 SQL_Server之資料庫定序名稱為「Chinese_Taiwan_Stroke_CI_AS」,若不是 「Chinese_Taiwan_Stroke_CI_AS」,請依下列方式修改:
進入SQL Server的Enterprise Manager,於使用的資料庫(通常為CPA)按滑鼠右鍵點選[內容],於[一般]頁籤下方可看到定序名稱
  1. 確定目前資料庫沒有任何連線(最好將SQL SERVER服務重新啟動,以切斷連線)。
  2. 開啟[SQL Query Analyzer],執行以下指令:
    ALTER DATABASE <<資料庫名稱>> COLLATE Chinese_Taiwan_Stroke_CI_AS
  3. 若執行上述指令有問題,則可能是資料庫尚有連線或是原有定序索引重新定序後會有重複值,如此則需先將資料庫內容備份,將資料庫重 建為正確定序後,再將資料復原即可。

系統安全

我們談到系統的安全時,最好建議就是不要做門外漢,而關鍵就是要以攻擊者的角度來思考,例如:若駭客想攻擊你的網路,他們一定會先偵測一般漏洞,接著才會 使用更高階的突破手段。

內部與外部的威脅

通常一個單位都會花費80%的時間與金錢在阻止外部的威脅上,事實上有70%~80%的安全事件都是內部的員工所為,也許是因為外部的安全入侵行為常被大 幅的報導,因此一般單位都把精力花費在對抗外部的攻擊上。

內部威脅考量

不可否認的,內部的威脅會引發最嚴重的安全問題,因為一個單位的使用者位於防火牆之後,基本上在網路上就已經具備有某種程度的存取能力,而內部威脅的範圍 又因為人性的關係,從一般使用者、系統管理員到單位主管都可能是一個潛在的威脅。
要解決內部的威脅問題,可從道德面與技術面來探討。道德面可用保密切結書或在可能接觸機密資料處加註警語的方式來處理,本文主要闡述技術面的作法

外部威脅考量

外部的威脅主要來自所謂的 Script Kiddie , Script Kiddie 並不具備專業知識,他們僅為了炫耀或有趣的理由,利用現成的駭客工具進行攻擊,他們大多是透過國外的駭客討論群組取得漏洞的攻擊程式(exploit code),開始找尋目標,攻克後並植入後門程式,這些受害的機器系統管理者,若沒有安全意識,可能永遠不知道自己的系統已經洩漏機密資訊或已成為跳板, 因此只要系統的漏洞公佈後到修補前都是可攻擊的空窗期。
目前微軟與各大安全組織都簽有相關協定與合作案,當這些安全組織發現漏洞時,必須先與微軟聯繫而不能自行公佈這些漏洞,所以微軟會立刻著手修正漏洞,因此 當系統管理人員在 ICSTTWCERT 等的安全組織看到公佈的漏洞時,絕大部分在公佈前都已經有修補程式可供下載了。
  漏洞 漏洞公佈日期 攻擊程式出現日期 蠕蟲出現日期
SQL lammer MS02-039 2002/07/24 N/A 2003/01/25
Blaster MS03-026 2003/07/16 2003/08/05 2003/08/11
Sasser MS04-011 2004/04/13 2004/04/22 2004/05/01
  • MS03-026 漏洞公佈後21天出現攻擊程式,26天後出現Sasser蠕蟲
  • MS04-011 漏洞公佈後10天出現攻擊程式,18天後出現Sasser蠕蟲

病毒vs.蠕蟲

傳統上我們認為會被病毒感染,一定是因為不小心執行了什麼檔案而不自知,但這種觀念在CodeRed紅色警戒病毒與其後的Nimda娜坦病毒出現後被推 翻,它們不需依靠使用者拷貝,下載,執行就可以讓病毒透過系統的漏洞入侵。
CodeRed利用IIS的「緩衝區溢位」漏洞(Buffer Overflow)攻擊IIS伺服器,並竄改網站的首頁,影響企業用戶甚巨,但對於家庭用戶並沒有那麼大的威脅性,不過他卻提出了利用系統漏洞感染的一個 概念。
Nimda將CodeRed的概念發揚光大,將企業用戶與家庭用戶同時列為感染的對象,並同時透過四種管道來感染使用者
  1. 檔案傳染
  2. 電子郵件傳遞
  3. 網站入侵網頁瀏覽
  4. 區域網路資源分享
最後讓我們簡單的分辨一下蠕蟲與病毒,蠕蟲指的是「利用系統漏洞」來達到傳播目的的惡意程式,病毒指的是藉由檔案感染,像是附加部分病毒碼在其它檔案中, 來達到傳播的目的。

在帳戶管理上

  1. 不要因為方便,給使用者administrator的密碼,要詳細考慮給予的帳戶權限。
  2. 強迫使用者在設定密碼時,必須混用大小寫字母、數字和特殊字元。 //Windows NT Server Resource Kit
  3. 設定定期更新密碼,且密碼長度不得少於八個字元。 //可從網路下 載一些駭客工具來測試密碼的安全性。
  4. 依使用者上班時間來限定使用者登入網路的權限,例如,上白天班的臨時雇員不該有權限在三更半夜登入網路。

在檔案管理上

  1. 將伺服器上含有機密資料的區塊通通轉換成NTFS。 //控制台/系統管理工具/電腦管理
  2. 設定檔案與目錄的權限。
  3. 設定磁碟配額。

系統管理

  1. 使用網際網路防火牆
    • 眾所周知,提供對外連線服務的網站伺服器,對於 port 的控管是一大重點,可以啟動其TCP/IP篩選功能。 //區域連線/內容/Internet Protocol/內容/進階/選項/內容
    • XP 與 2003 Server可以啟動內建的網際網路連線防火牆。 //區域連線/內容/進階/設定
  2. 取得系統與應用程式更新,並設定自動排程
    扣除主動下載或安裝一些不安全的軟體外,OS本身的漏洞也是一個很大的問題,目前微軟提供的重大更新網站提供了最新的修補程式。 //開始/Windows Update
    • 作業系統更新 : Windows Update
    • 應用程式更新 : Office Update
  3. 使用最新的防毒軟體 ,並設定自動排程 更新病毒碼
    • 同時在伺服器和桌上電腦安裝防毒軟體。 這些軟體還應該設定成每天自動下載最新的病毒定義檔。
    • Mail Server也應該安裝防毒軟體,這類軟體可掃描所有寄進來的電子郵件,尋找被病毒感染的附件,若發現病毒,郵件馬上會被隔離,減低使用者被感染的機會。
  4. 使用較安全的應用程式
    • 例如使用Firefox來取代IE的瀏覽功能等

服務管理

  • 在對外伺服器上所提供的服務,建議提供混和式的環境,例如使用Apache的Web Server與GuildFTPd的FTP Server
  • 愈多的服務所造成的未知漏洞愈多,愈舊版本之伺服器所含之漏洞愈多

IIS

  1. 網站不要設定在預設的目錄中 // c:\inetpub\wwwroot
  2. 定期進行Windows Update

FTP

  1. 建議使用其它廠商的產品,若一定要使用內建的FTP服務,則必須設定只允許匿名連接 //例如: GuildFTPd

資安資訊

資安工具

微軟工具

產品 說明
惡意軟體移除工具 Microsoft Windows 惡意軟體移除工具可檢查 Windows XP、Windows 2000 及 Windows Server 2003 電腦,搜尋並嘗試移除特定常見惡意軟體,包括 Blaster、Sasser 與 Mydoom。當偵測及移除程序完成之後,工具會顯示報告說明結果,列出偵測到及移除掉的惡意軟體 (如果有的話)。 ( http://www.microsoft.com/taiwan/security/malwareremove/default.mspx#run )
IIS Lockdown Tool 2.1 IIS Lockdown Tool 是由 Microsoft 所提供,可以關閉 IIS 中不必要的服務。( http://www.microsoft.com/taiwan/msdn/secmod/html/secmod113.mspx )
URLScan Security Tool 由 Microsoft 提供, URLScan 監看所有送給 Server 的 URL ,並跟據 Administrator 所設定的規則判斷是否過濾掉這個 Request。
URLscna預設值可以阻擋部份的Web攻擊。
( http://www.microsoft.com/taiwan/msdn/secmod/html/secmod114.mspx )
SQL 掃描工具
(SQL Scan)
這項工具可以用來掃瞄單機工作站的電腦、Windows 網域,或是含有 SQL Server 2000 與 MSDE 2000 安裝執行個體的 IP 位址範圍,並且可以識別可能會遭 Slammer 病毒入侵的安裝執行個體。 ( http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=9552D43B-04EB-4AF9-9E24-6CDE4D933600#filelist )
Microsoft Baseline Security Analyzer 最新版本1.21,由 Microsoft 提供, 可以自我檢測 Windows 2000, Windows XP, IIS 4.0 以上 , SQL Server 7.0 以上等 , 是否安裝修補程式以及是否有錯誤的設定(如:密碼長度不夠等 ) ( http://www.microsoft.com/technet/security/tools/mbsahome.mspx )
PortQry Command Line Port Scanner 最新版本2.0,PortQry 是一種命令列公用程式,您可以用來疑難排解 TCP/IP 連線問題。此公用程式會報告本機電腦或遠端電腦上,目標 TCP 及「使用者資料包通訊協定」(UDP,User Datagram Protocol) 連接埠的連接埠狀態。同時,PortQry 2.0 版本還提供有關本機電腦連接埠使用狀況的詳細資訊。( http://www.microsoft.com/downloads/details.aspx?familyid=89811747-c74b-4638-a2d5-ac828bdc6983&displaylang=en ) , ( http://support.microsoft.com/?id=832919 )

掃瞄&木馬移除工具

產品 說明
賽門鐵克網路安全診斷室(Free) 賽門鐵克提供的病毒掃描 和入侵弱點偵測,選擇後會詢問是否要安裝Active X元件,請按是、確定即可
http://security.symantec.com/default.asp?productid=symhome&langid=tw&venid=sym
趨勢科技線上掃毒(Free) 趨勢在國外的免費線上掃毒網站,進入之後,選好國家Location(台灣) 按GO一直接續即可.
http://housecall.trendmicro.com/housecall/start_corp.asp
Panda ActiveScan
(Free)

  1. 在服務簡介網頁上點選「Next」按鍵。
  2. 在開啟的網頁上輸入您的電子郵件信箱並按下「Send」按鍵。
  3. 在開啟的網頁上選擇您的所在區域並按下「Start」按鍵。
  4. 按下「Start」按鍵後會開始下載掃描元件,並詢問您是否接受Panda Software的數位簽章認證,請點選「Yes」。
  5. 元件下載完畢後,會開啟掃描項目網頁,請點選您想掃描的項目即可。
    http://www.sonet.com.tw/freescan/head/freescan.htm
SpyBot Search & Destroy (Free) SpyBot Search & Destroy 具有「間諜軟體(Spyware)」擒殺功能,就算是再難纏的對手在它的也無所遁形,可以將隱藏在系統登錄檔中「刪之不去」的間諜軟體揪出,另搭配有詳盡 的說明,讓你對各式的間諜軟體有更進一步的認識。
http://www.safer-networking.org/en/home/index.html
Ad-Aware SE Personal 
(Personal Free)
Ad-Aware SE Personal ,個人使用免費,是 Lavasoft 最新出品的後門程式清除軟體,它結合了木馬掃瞄程式以及個人隱私記錄反追蹤等功能於一身,讓使用者在使用網路時能夠更妥善地管理自己的私人資料,不至於外 洩。
http://www.lavasoftusa.com/support/download/
Shields Up Gibson Research Corporation網站(grc.com)所提供的線上保安測試,他 測試Port及NetBEUI的安全性,以向用戶提供保安上的意見以加強系統的保安能力
https://www.grc.com/x/ne.dll?bh0bkyd2
教育部 Anti-Spam (Free) 若安裝了郵件伺服器,可以試試是否會被入侵
http://www.edu.tw/tanet/spam.html

防護工具

產品 說明
SpywareBlaster (Free) SpywareBlaster 可預防間諜軟體安裝到你的電腦中, 它會在間諜軟體的 ActiveX 控制項中設定,使間諜軟體無法發揮作用, 並不會影響瀏覽器的運作,也不需要常駐執行。
http://www.javacoolsoftware.com/spywareblaster.html
SpywareGuard (Free) SpywareGuard 在網站 / 程式意圖安裝間諜軟體到你的電腦中時,馬上會發出警告,並阻止安裝程式執行。它就像防毒軟體一樣,隨時隨地保護你的電腦,還可防止IE被綁架。
http://www.javacoolsoftware.com/sgdownload.html
AVG-Anti-Virus (Free) AVG提供了掃瞄、常駐式程式、以及電子郵件的掃瞄程式,它包括了一個威力強大的測試引擎:Virus Stalker,具有啟發式的能力,可以利用獨立的實驗來證明它的效果。可以每月下載到最新的更新版本,完全不用任何費用,但必須登入一個有效的 Email Address,才能收到一組序號供安裝使用。
http://www.grisoft.com/us/us_index.php
賽門鐵克蠕蟲移除工具(Free) http://www.symantec.com.tw/avcenter/tools.list.html
ZoneAlarm
(Personal Free)
防火牆,個人使用免費,可使用在 Server版本上
http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp
Kerio Personal Firewall
(Personal Free)
防火牆,個人使用免費, 不可 使用在 Server版本上 (原TinyFirewall)
http://www.kerio.com/kpf_download.html
Sygate Personal Firewall
(Personal Free)
防火牆,個人使用免費,可使用在 Server版本上
http://smb.sygate.com/buy/download_buy.htm

系統工具

產品 說明
TCPView (Free) 用來檢測系統的埠號或網路連線是由那個Process所開啟 ( http://www.sysinternals.com/ntw2k/source/tcpview.shtml )
ActivePorts (Free) 同TCPview,用來檢測系統的埠號或網路連線是由那個Process所開啟
( http://www.protect-me.com/freeware.html )
ProcessExplorer (Free) 列出WindowsNT/2000/XP目前所執行的Process及相關資訊 ( http://www.sysinternals.com/ntw2k/freeware/procexp.shtml )

Windows上常見服務的port列表

Protocol Standard Port Secure (SSL) Port
FTP data TCP 20  
FTP control TCP 21  
SSH TCP 22  
Telnet TCP 23  
SMTP TCP 25 -
DNS UDP 53 -
DHCP server UDP 67  
DHCP client UDP 68  
HTTP TCP 80 TCP 443
POP3 TCP 110 TCP 995
IMAP4 TCP 143 TCP 993
NetBios TCP 139, 445
UDP 137, 138
 
遠端桌面 TCP 3389  
Symantec pcAnywhere 9/10 資料埠: TCP 5631
狀態埠: UDP 5632
 
Proxy TCP 8080  
Internet Assigned Numbers Authority (IANA) 所指定的 Port numbers 可參考: http://www.iana.org/assignments/port-numbers

遠端桌面連線

  • Windows 2000 終端機服務(Terminal Service)的遠端管理模式在 Microsoft Windows Server 2003 中是稱做「遠端管理桌面 (Remote Desktop for Administration)」,同時它支援遠端桌面協定 (Remote Desktop Protocol,簡稱做 RDP) 5.1 版的功能組。也具有遠端控制伺服器實際主控台執行階段的能力。
  • 遠端桌面連線是微軟提供類似 VNC, PcAnyWherer的遠端控制軟體, Windows XP以上版本可提供本地端與遠端的剪貼簿複製,搬移,分享印表機等,我們可以開啟檔案、儲存檔案或是列印到使用者本機的 PC 上,而不用考慮應用程式是在本機或遠端執行。
  • Remote Data Protocol (RDP) 在 Windows systems 提供 client 遠端終端機的連線方式 。 這個協定傳遞關於終端機連線的鍵盤、滑鼠、螢幕等資訊給遠端的 Client,應用在 Windows NT 4.0 與 Windows 2000 平台上的 terminal servers 與Microsoft Windows XP 平台上的遠端桌面。
  • Terminal Services是微軟設計的一種遠端桌面通訊協定( Remote Desktop Protocol), 和 Windows 2000 Servers bundle在一起,因此提供遠端桌面連線的伺服器也稱為Terminal Server,當用戶端連接至Terminal Server時,有些軟體會偵測是不是在 Terminal Server 下執行,是的話則檢查是否有授權,沒有授權的話就不能執行了。
參考: Windows Server 2003 Terminal Services 操作與使用

用戶端

  • 作業系統為 Windows XP 或 Windows Server 2003 本身就有「遠端桌面」的用戶端部份
    • 按一下 [開始],指向 [程式集],指向 [附屬應用程式],指向 [通訊],然後按一下 [遠端桌面連線]。
    • 或者是 命令提示字元下鍵入 mstsc
  • 作業系統為 Windows 95、Windows 98、Windows ME、Windows NT 4.0 或 Windows 2000 等用戶端電腦
  • XP只支援唯一的一個主控台連線模式, 2003則可以支援二個一般遠端桌面連線和一個主控台連線, 即使機器目前已達到連線上限,還是可以利用遠端桌面的 主控台連線
    • 用戶端執行 "mstsc /console" 指令
    • 或在執行mstsc命令後所出現的「遠端桌面連線」對話方塊的電腦中輸入 "computername or ipaddr /console"
    參考: Windows XP 中遠端桌面用戶端的功能

遠端桌面磁碟機

若 client 與 server 雙方皆為 Windows XP 或 Windows Server 2003 才支援遠端桌面的磁碟機與剪貼簿功能喔
  1. 開啟遠端桌面連線之用戶端程式 (mstsc)
  2. 按一下 [選項],再按一下 [本機資源] 索引標籤。
  3. 按一下 [磁碟機],然後按一下 [連線]。

伺服器端

  • 遠端桌面連線使用了TCP 3389的port,因此必須開啟防火牆
    • 在 [我的電腦] 上按一下右鍵,按一下 [內容],然後按一下 [遠端] 標籤。
    • 按一下滑鼠選取 [允許使用者遠端連線到這部電腦] 核取方塊,然後按一下 [確定]。
  • 使用遠端桌面連線的使用者必須隸屬於伺服器端的 Local Administrator 群組且必須設定密碼 ,否則無法登入使用。

遠端桌面網站連線

請注意「遠端桌面網站連線」的 網站 二個字,這是一個讓裝有IIS web服務的Server搖身一變成為遠端桌面連線客戶端的工具,目的在提供 作業系統為 Windows 95、Windows 98、Windows ME、Windows NT 4.0 或 Windows 2000 等用戶端電腦 利用瀏覽器 就可以連接到提供遠端桌面連線的伺服器,而不需要下載用戶端的遠端桌面連線程式,也請特別注意的是, 提供遠端桌面網站連線的Server不一定要和提供遠端桌面連線的伺服器同一台 喔。
  • Web Server之作業系統 為 Windows XP 或 Windows Server 2003 者本身就有「遠端桌面網站連線」的軟體套件 ,呼叫方式如下
    • 控制台/新增移除程式/新增移除Windows元件/Internet Information Service(IIS) / 詳細資料(D) / Word Wide Web Service / 詳細資料(D) /遠端桌面網站連線 / 確定
  • Web Server之作業系統為 Windows NT 4.0 或 Windows 2000 等,需下載下列軟體套件

以Linux連接Windows遠端桌面

如果想要在Linux的 Xwindow 連到Windows的桌面,必需要rdesktop這套軟體。
1. 目前的套件大都有收錄rdesktop,沒有的話,就到官方網站下載吧
2. 裝好以後,先startx,然後開啟一個終端機視窗,執行 rdesktop IP
參考: Connect o Your Desktop Everywhere, Every platform

參考書目

  • Windows Server 2003 安裝與管理 碁峰資訊  ISBN:9864213393
  • Windows Server 2003 實戰寶典-系統安全 柳紹安譯 碁峰資訊  ISBN:986421487

網路資源

主 網 站:http://peterju.notlong.com (目前轉址至 http://irw.ncut.edu.tw/peterju/)
from http://irw.ncut.edu.tw/peterju/winserver.html
http://irw.ncut.edu.tw/peterju/index.html

No comments:

Post a Comment