Windows Server 筆記

本網頁以打造無障礙閱讀為目標,可以用任何瀏覽器來觀看本網頁


版本

Windows Server 2003微 軟 伺服器作業平台Windows 2000 Server的新版本,繁體中文版在2003年5月27日正式在台灣上市 ,共有四種版本

安裝

硬體相容性清單(Hardware Compatibility List,HCL)

HCL為經過微軟測試可正常在Windows系列產品運作的名單,網址在 http://www.microsoft.com/whdc/hcl/default.mspx

檔案系統(File System)

Windows Server 2003可支援FAT,FAT32,NTFS等三種檔案系統格式,安裝過程中格式化選項只提供FAT與NTFS,若選擇FAT則分割區大於2GB時自動調 整為FAT32。

NTFS支援功能

授權模式(Licensing Mode)

Telnet與FTP連線,或匿名的連線使用者無須用戶端存取使用權 (Client Access License,CAL)

Per Seat(每一基座)

不限制連線的數目,不過欲連線的用戶端都必須有『用戶端存取使用權 (Client Access License,CAL)』,適用在有多台伺服器的環境。

Per Server(每一伺服器)

限制連線的數目,安裝時輸入允許的連線數量,且欲連線的用戶端都必須有『用戶端存取使用權 (Client Access License,CAL)』,適用在只有一台伺服器的環境。

網際網路通訊協定

為了要能夠上網啟動與進行安全性更新,必須設定以下的內容

免光碟安裝

將光碟中的I386目錄複製到欲安裝的硬碟後,執行其中的winnt32,但因為需要拷貝大量檔案,因此建議先安裝smartdrv以節省大量時間

/s:指定來源檔案資料夾
/t:指定安裝的磁碟與暫存檔存放的磁碟

winnt32 /s:D:\I386 /t:C:

RIS (Remote Installation Service)

意指遠端安裝服務,這是為了方便網路管理員需要一次過大量安裝多台工作站而設的工具,其好處在於可遙控遠端安裝其他電腦。

設定

多重監視器(Multiple Monitors)

Windows Server 2003透過多重監視器功能可以使用多達10台的監視器 ,主要監視器與次要監視器可設定為不同的解析度,次要監視器應設定「將我的Windows桌面延伸到這個監視器」。

硬體設定檔(Hardware Profile)

開始/控制台/系統/硬體/硬體設定檔 可設定,依需求決定可用的周邊與服務之後將之儲存為硬體設定檔,例如設定一個無法使用網路功能或無法使用軟碟的硬體設定檔,重開機後會有一個「硬體設定檔 /設定復原」功能表可供選擇。

環境變數

開始/控制台/系統/進階/環境變數 可設定,在命令列下必須以echo %變數名% 來取得變數內容

系統啟動

開始/控制台/系統/進階/啟動及修復/設定 可設定多重OS的啟動選單與等待秒數,結果會儲存在根目錄的boot.ini檔

新增移除Windows元件

開始/控制台/新增移除程式/新增移除Windows元件 才可以移除或新增Windows Server 2003 本身的程式,一般程式利用「變更或移除程式」即可

微軟管理主控台(Microsoft Management Console,MMC)

MMC本身只是一個介面而不提供管理功能,其設定會被儲存在副檔名為主控台1.msc的檔案內,這個介面有2個重要元件

帳戶管理

使用者帳戶建立之後會給予一個安全識別碼(security identifier,SID) //如同Linux的UID

建立帳號的方式

  1. net user 帳號 密碼 /add
  2. csvde -i -f 檔名
  3. wscript 檔名 //利用WSH

使用者帳戶的種類

群組帳戶的種類

內建的使用者帳戶

內建的群組帳戶

具管理帳戶權限的使用者

密碼設定需注意事項

Windows Server 2003的網路

Windows Server 2003支援下列兩種網路類型

  1. 工作群組(workgroup):即對等式網路(peer-to-peer),對於資源僅能採取分散式管理,適用電腦不多的情 況。
  2. 網域(domain):即Client-Server式網路,利用目錄資料庫整合網域內的資源,做到集中式管理。

工作群組(workgroup)

工作群組內的電腦無須伺服器等級,且欲存取該台電腦資源時,必須在其SAM中建立帳戶,無法集中控管,容易造成維運的負荷。

網域(domain)

網域內所有的資源,透過主動式目錄(Active Directory)來集中控管,所包含的電腦種類有三種。

  1. 網域控制站(domain controller ; DC)
  2. 成員伺服器(member server)
  3. 其他電腦
NT4時利用NTLM來儲存,以圓形表示之, Win2000開始利用AD來儲存,以三角形表示之。
不同的Forest可利用admt作AD的搬遷,先搬移帳號密碼,再搬移資源,再做原DC的降級。

網域控制站(domain controller)

網域內的控制站必須是Windows Server 2003 Web Edition以上的等級才可擔任,Domain controller負責維護該網域的Active Directory,若同一網域有多台控制站時,則可提供容錯的服務 。

成員伺服器(member server)

網域內僅提供服務的伺服器,若透過網域的AD管理,稱之為member server,否則稱之為獨立伺服器(stand-alone server)。

其他電腦

網域上其他利用AD的使用帳戶登入後取用資源的電腦(Win95/98/XP home無法登入網域)。

網路異常檢測

  1. 察看Server的log紀錄:開始/系統管理工具/事件檢視器/系統
  2. 檢查網卡硬體設置:硬體/裝置管理員/網路介面卡 檢視安裝的網路卡是否都在內
  3. 檢查網路連線組態:檢查ip, mask, getway, dns等設置
  4. 檢查網卡是否作用:ping 127.0.0.1 (loopback test)
  5. 檢查本身IP:ping 本身IP
  6. 檢查與getway的連線:ping GATEWAY的IP
  7. 檢查網路封包是否正常傳送:ping 168.95.192.1 (看看封包是否能正常送到hinet的DNS server)
  8. 檢查封包傳送過程的router狀況:tracert www.hinet.net / 168.95.192.1 (當ping不通時建議使用)
  9. 檢查防火牆設置

常用的網路指令

ping
ping用於確定本地主機是否能與另一台主機交換(發送與接收)資料。根據返回的訊息,你就可以推斷TCP/IP參數是否設置正 確以及運作是否正常。 Windows上的Ping指令預設發送4個ICMP封包(32byte),如果一切正常,應能得到4個回應封包。Ping還能顯示TTL(Time To Live存在時間)值,你可以通過TTL值推算一下封包已經通過了多少個路由器。
netstat
netstat用於顯示與IP、TCP、UDP和ICMP等協定的統計資料,一般用於檢驗本機各埠的網絡連接情況。
ipconfig
ipconfig用於查詢目前電腦的網路組態,包括IP位址、MAC硬體位址、Gateway、子網路遮罩、DHCP主機、DNS主機& hellip;等等資訊。
arp
arp用於確定對應IP的網卡實際位址。
tracert
tracert命令可以用來追蹤封包使用的路由(路徑)。
pathping
pathping的功能與tracert很類似,一樣可以偵測本機電腦到對方電腦的所經路徑,並列出經過的全部節點。不過 pathping有一個更實用的 功能,它可以顯示各節點的資料封包遺失狀況,讓我們可以直接判斷是哪台路由器或電腦造成連線速度驟減或其他網路障礙。
route
route命令可以用來顯示和修改路由表的內容。
nbtstat
nbtstat命令用來提供關於NetBIOS的統計資料。運用NetBIOS,你可以查看本機或遠方主機的NetBIOS名字表格。
net
net命令有很多函數可用於電腦之間的NetBIOS連接,如net view、net config和net use等。

如何判斷哪些程式使用或阻礙特定的TCP 連接埠(port)

  1. 使用微軟的netstat -o 指令,再配合tasklist 指令
  2. 使用微軟的netstat -b 指令
  3. 使用微軟的portqry 指令
  4. 使用免費工具

ps.winxp以後的netstat 指令才有 -o 與 -b 的參數,但不適用於Win2k, Win2k只能使用portqry指令,Win2003 Server也無法使用-b參數。

1.使用-o 參數,可以用來顯示與每個連線相關的處理程序識別碼 (PID)。

D:\Documents and Settings\peter>netstat -ano

Active Connections

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:22 0.0.0.0:0 LISTENING 408
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 2656
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1132
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING 2656
......
TCP 140.128.77.194:1034 207.46.107.86:1863 ESTABLISHED 2360
......

再利用tasklist 指令,就可以將列出的處理程序識別碼(PID)與處理程序名稱 (程式) 做比較。

D:\Documents and Settings\peter>tasklist
Image Name                  PID  Session Name     Session#    Mem Usage
========================= ====== ================ ======== ============
System Idle Process            0 Console                 0         16 K
System                         4 Console                 0        284 K
smss.exe                     704 Console                 0        392 K
csrss.exe                    752 Console                 0      6,940 K
winlogon.exe                 776 Console                 0      4,284 K
services.exe                 820 Console                 0      6,380 K

2.使用-b 參數,除可顯示與每個連線相關的PID之外,還能顯示該PID對應的程式或函式名稱。

目前僅有WinXP支援此參數

D:\Documents and Settings\peter>netstat -anb

Active Connections

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:22 0.0.0.0:0 LISTENING 408
[sshd.exe]

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 2656
[Skype.exe]

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1132
d:\windows\system32\WS2_32.dll
D:\WINDOWS\system32\RPCRT4.dll
d:\windows\system32\rpcss.dll
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\ADVAPI32.dll
[svchost.exe]

TCP 0.0.0.0:443 0.0.0.0:0 LISTENING 2656
[Skype.exe]
......

3. 使用PortQry Command Line Port Scanner工具程式

PortQry Command Line Port Scanner 2.0 是微軟的命令列公用程式,此公用程式會報告本機電腦或遠端電腦上,目標 TCP 及「使用者資料包通訊協定」(UDP,User Datagram Protocol) 連接埠的連接埠狀態。

  1. 執行該程式後會解壓縮檔案到 C:\PortQryV2 目錄
  2. 開啟命令提示字元
    c:
    cd \portQryv2
    portqry -local | more

4.使用免費工具

TCPView
用來檢測系統的埠號或網路連線是由那個Process所開啟
ActivePorts
同TCPview,用來檢測系統的埠號或網路連線是由那個Process所開啟
ProcessExplorer
列出WindowsNT/2000/XP目前所執行的Process及相關資訊

IIS6設定技巧

Windows 2003 Server內建了IIS6, 其預設值與過去的IIS5有些許不同,整理一些要注意的事項如下

設定IIS的SSL

SSL的設定需要有憑證,憑證可以向CA申請 (如 HiTrust 的Verisign SSL ) 或自行建置,以下說明自行建置CA,核發憑證的過程

安裝憑證授權單位(CA)

產生憑證要求

  1. 開啟 IIS 管理員。
  2. 在要安裝憑證的網站按一下滑鼠右鍵,再按內容。 //是網站而不是虛擬目錄喔
  3. 按一下「目錄安全設定」索引標籤。
  4. 按一下伺服器憑證按鈕,按下一步
  5. 點選「建立新憑證」,按下一步,點選「準備要求,但於稍後傳送」,按下一步
  6. 輸入憑證名稱與金鑰位元長度,可採預設值即可
  7. 輸入公司名稱及單位,通常是公司與部門的正式名稱
  8. 輸入「一般名稱」,此名稱十分重要,預設為NetBios的電腦名稱(IntraNet上使用),但若使用在 InterNet上,則必須改用網站的FQDN名稱(例如:dcicc.ncit.edu.tw)。 //若網站名稱與憑證名稱不同,則使用者在瀏覽時會出現「安全性憑證的名稱不正確或與網站的名稱不相符」的安全性警告
  9. 在「國家/地區」,「省/州」與「城市/位置」欄位中輸入適當的資訊,再按下一步。
  10. 輸入欲產生的「憑證要求」檔案名稱 (c:\certreq.txt),再按下一步。
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIIDOjCCAqMCAQAwXzELMAkGA1UEBhMCVFcxDzANBgNVBAgTBlRhaXdhbjERMA8G
    A1UEBxMIVGFpY2h1bmcxDTALBgNVBAoTBGN5dXQxCzAJBgNVBAsTAmNjMRAwDgYD
    VQQDEwdlZHVmdW5kMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCtS/DzjQiA
    5jymWsTZys9Y5gIGRAqFZrkROzRyE/gw0ScW8AV7idz2j+1Z24N9iSDO9Aixi9sG
    BQLQnUpftjDa0VTvycF7XnV/9ljKDUAVRatXYcBVQsnY8jEn+KrVr8x4UP3EvKtO
    ROfTxo728vPf4+QXSwOKUyVBXmTlbZD3VwIDAQABoIIBmTAaBgorBgEEAYI3DQID
    MQwWCjUuMi4zNzkwLjIwewYKKwYBBAGCNwIBDjFtMGswDgYDVR0PAQH/BAQDAgTw
    MEQGCSqGSIb3DQEJDwQ3MDUwDgYIKoZIhvcNAwICAgCAMA4GCCqGSIb3DQMEAgIA
    gDAHBgUrDgMCBzAKBggqhkiG9w0DBzATBgNVHSUEDDAKBggrBgEFBQcDATCB/QYK
    KwYBBAGCNw0CAjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEA
    IABTAEMAaABhAG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAA
    UAByAG8AdgBpAGQAZQByA4GJAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
    AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
    AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
    AAAAAAAAAAAAAAAwDQYJKoZIhvcNAQEFBQADgYEAAQlm4lzDo/mJ/Ktg9ajKYF+B
    Rgjt1AxaWGG2BWMd1CjkOyiFR8jKnb1PTUWdBvTs+occHqkLYZobytne+/amrt6J
    zi7yDNCdxhpbkRi8t5Yx27R/0xK9gP+5/hJXeCXxhrucMEaCx+Au9QMWoCnUQ0jC
    McsN9//3bUA+1Xmn0rw=
    -----END NEW CERTIFICATE REQUEST-----
  11. 檢視憑證要求檔案中的摘要,若沒有問題再按下一步。
  12. 按完成,結束產生「憑證要求檔案」的過程

送出憑證要求

  1. 將上一個步驟所產生的檔案c:\certreq.txt,其內容複製到剪貼簿
  2. 開啟瀏覽器,鍵入「http://HOSTNAME/CertSrv」 //HOSTNAME為CA的電腦名稱,若為本機也可設定為127.0.0.1
  3. 按一下「要求憑證」。
  4. 按一下「提交進階憑證要求」。
  5. 按一下「用 Base-64 編碼的 CMC 或 PKCS #10 檔案來提交憑證要求,或用 Base-64 編碼的 PKCS #7 檔案提交更新要求」。
  6. 在已儲存的要求下方的文字方塊中,按下Ctrl+V,貼上之前複製的內容,按一下「提交」。

發行憑證

  1. 控制台/系統管理工具/憑證授權單位
  2. 展開後點選「擱置要求」資料夾
  3. 點選剛剛提交的憑證要求
  4. 點選功能表上的「執行/所有工作/發行」
  5. 點選「發出的憑證」資料夾
  6. 對剛剛發出的憑證按2下滑鼠以檢視之
  7. 按下「詳細資料」的索引標籤,按一下「複製到檔案」
  8. 按下一步,點選匯出的檔案格式為「Base-64 Encoded X.509 (.CER)」
  9. 輸入欲產生的憑證檔案名稱,例如:C:\dcicc.cer
  10. 下一步/完成/確定。

在Web Server上安裝憑證

  1. 開啟 IIS 管理員。
  2. 在有憑證要求的網站上按下滑鼠右鍵,再按內容。
  3. 按一下「目錄安全設定」索引標籤。
  4. 按一下伺服器憑證按鈕,按下一步。
  5. 點選「處理擱置要求及安裝憑證」,再按下一步。
  6. 輸入CA回應之「憑證授權的檔案」的路徑與名稱,可採預設值即可(C:\dcicc.cer),再按下一步。
  7. 輸入網站使用的SSL連接埠,可採預設值443即可。
  8. 下一步/完成/確定。

設定ASP.NET執行環境(整理中......)

在 Windows 2000 和 Windows XP 中,應用程式在名為 ASPNET 的帳戶下執行。在 Windows Server 2003 中,使用者內容稱為 NETWORK SERVICE。這些使用者帳戶在 .NET Framework 安裝程序期間是使用唯一、牢固的密碼建立的,並只取得有限的使用權限。ASPNET 或 NETWORK SERVICE 使用者只能存取執行 Web 應用程式所需的特定資料夾,如 Web 應用程式用來儲存已編譯檔案的 \bin 目錄。

設定 SQL_Server之資料庫定序名稱為「Chinese_Taiwan_Stroke_CI_AS」,若不是 「Chinese_Taiwan_Stroke_CI_AS」,請依下列方式修改:
進入SQL Server的Enterprise Manager,於使用的資料庫(通常為CPA)按滑鼠右鍵點選[內容],於[一般]頁籤下方可看到定序名稱

  1. 確定目前資料庫沒有任何連線(最好將SQL SERVER服務重新啟動,以切斷連線)。
  2. 開啟[SQL Query Analyzer],執行以下指令:
    ALTER DATABASE <<資料庫名稱>> COLLATE Chinese_Taiwan_Stroke_CI_AS
  3. 若執行上述指令有問題,則可能是資料庫尚有連線或是原有定序索引重新定序後會有重複值,如此則需先將資料庫內容備份,將資料庫重 建為正確定序後,再將資料復原即可。

系統安全

我們談到系統的安全時,最好建議就是不要做門外漢,而關鍵就是要以攻擊者的角度來思考,例如:若駭客想攻擊你的網路,他們一定會先偵測一般漏洞,接著才會 使用更高階的突破手段。

內部與外部的威脅

通常一個單位都會花費80%的時間與金錢在阻止外部的威脅上,事實上有70%~80%的安全事件都是內部的員工所為,也許是因為外部的安全入侵行為常被大 幅的報導,因此一般單位都把精力花費在對抗外部的攻擊上。

內部威脅考量

不可否認的,內部的威脅會引發最嚴重的安全問題,因為一個單位的使用者位於防火牆之後,基本上在網路上就已經具備有某種程度的存取能力,而內部威脅的範圍 又因為人性的關係,從一般使用者、系統管理員到單位主管都可能是一個潛在的威脅。

要解決內部的威脅問題,可從道德面與技術面來探討。道德面可用保密切結書或在可能接觸機密資料處加註警語的方式來處理,本文主要闡述技術面的作法

外部威脅考量

外部的威脅主要來自所謂的 Script Kiddie , Script Kiddie 並不具備專業知識,他們僅為了炫耀或有趣的理由,利用現成的駭客工具進行攻擊,他們大多是透過國外的駭客討論群組取得漏洞的攻擊程式(exploit code),開始找尋目標,攻克後並植入後門程式,這些受害的機器系統管理者,若沒有安全意識,可能永遠不知道自己的系統已經洩漏機密資訊或已成為跳板, 因此只要系統的漏洞公佈後到修補前都是可攻擊的空窗期。

目前微軟與各大安全組織都簽有相關協定與合作案,當這些安全組織發現漏洞時,必須先與微軟聯繫而不能自行公佈這些漏洞,所以微軟會立刻著手修正漏洞,因此 當系統管理人員在 ICSTTWCERT 等的安全組織看到公佈的漏洞時,絕大部分在公佈前都已經有修補程式可供下載了。

  漏洞 漏洞公佈日期 攻擊程式出現日期 蠕蟲出現日期
SQL lammer MS02-039 2002/07/24 N/A 2003/01/25
Blaster MS03-026 2003/07/16 2003/08/05 2003/08/11
Sasser MS04-011 2004/04/13 2004/04/22 2004/05/01

病毒vs.蠕蟲

傳統上我們認為會被病毒感染,一定是因為不小心執行了什麼檔案而不自知,但這種觀念在CodeRed紅色警戒病毒與其後的Nimda娜坦病毒出現後被推 翻,它們不需依靠使用者拷貝,下載,執行就可以讓病毒透過系統的漏洞入侵。

CodeRed利用IIS的「緩衝區溢位」漏洞(Buffer Overflow)攻擊IIS伺服器,並竄改網站的首頁,影響企業用戶甚巨,但對於家庭用戶並沒有那麼大的威脅性,不過他卻提出了利用系統漏洞感染的一個 概念。

Nimda將CodeRed的概念發揚光大,將企業用戶與家庭用戶同時列為感染的對象,並同時透過四種管道來感染使用者

  1. 檔案傳染
  2. 電子郵件傳遞
  3. 網站入侵網頁瀏覽
  4. 區域網路資源分享

最後讓我們簡單的分辨一下蠕蟲與病毒,蠕蟲指的是「利用系統漏洞」來達到傳播目的的惡意程式,病毒指的是藉由檔案感染,像是附加部分病毒碼在其它檔案中, 來達到傳播的目的。

在帳戶管理上

  1. 不要因為方便,給使用者administrator的密碼,要詳細考慮給予的帳戶權限。
  2. 強迫使用者在設定密碼時,必須混用大小寫字母、數字和特殊字元。 //Windows NT Server Resource Kit
  3. 設定定期更新密碼,且密碼長度不得少於八個字元。 //可從網路下 載一些駭客工具來測試密碼的安全性。
  4. 依使用者上班時間來限定使用者登入網路的權限,例如,上白天班的臨時雇員不該有權限在三更半夜登入網路。

在檔案管理上

  1. 將伺服器上含有機密資料的區塊通通轉換成NTFS。 //控制台/系統管理工具/電腦管理
  2. 設定檔案與目錄的權限。
  3. 設定磁碟配額。

系統管理

  1. 使用網際網路防火牆
  2. 取得系統與應用程式更新,並設定自動排程
    扣除主動下載或安裝一些不安全的軟體外,OS本身的漏洞也是一個很大的問題,目前微軟提供的重大更新網站提供了最新的修補程式。 //開始/Windows Update
  3. 使用最新的防毒軟體 ,並設定自動排程 更新病毒碼
  4. 使用較安全的應用程式

服務管理

IIS

  1. 網站不要設定在預設的目錄中 // c:\inetpub\wwwroot
  2. 定期進行Windows Update

FTP

  1. 建議使用其它廠商的產品,若一定要使用內建的FTP服務,則必須設定只允許匿名連接 //例如: GuildFTPd

資安資訊

資安工具

微軟工具

產品 說明
惡意軟體移除工具 Microsoft Windows 惡意軟體移除工具可檢查 Windows XP、Windows 2000 及 Windows Server 2003 電腦,搜尋並嘗試移除特定常見惡意軟體,包括 Blaster、Sasser 與 Mydoom。當偵測及移除程序完成之後,工具會顯示報告說明結果,列出偵測到及移除掉的惡意軟體 (如果有的話)。 ( http://www.microsoft.com/taiwan/security/malwareremove/default.mspx#run )
IIS Lockdown Tool 2.1

IIS Lockdown Tool 是由 Microsoft 所提供,可以關閉 IIS 中不必要的服務。( http://www.microsoft.com/taiwan/msdn/secmod/html/secmod113.mspx )

URLScan Security Tool 由 Microsoft 提供, URLScan 監看所有送給 Server 的 URL ,並跟據 Administrator 所設定的規則判斷是否過濾掉這個 Request。
URLscna預設值可以阻擋部份的Web攻擊。
( http://www.microsoft.com/taiwan/msdn/secmod/html/secmod114.mspx )
SQL 掃描工具
(SQL Scan)
這項工具可以用來掃瞄單機工作站的電腦、Windows 網域,或是含有 SQL Server 2000 與 MSDE 2000 安裝執行個體的 IP 位址範圍,並且可以識別可能會遭 Slammer 病毒入侵的安裝執行個體。 ( http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=9552D43B-04EB-4AF9-9E24-6CDE4D933600#filelist )
Microsoft Baseline Security Analyzer 最新版本1.21,由 Microsoft 提供, 可以自我檢測 Windows 2000, Windows XP, IIS 4.0 以上 , SQL Server 7.0 以上等 , 是否安裝修補程式以及是否有錯誤的設定(如:密碼長度不夠等 ) ( http://www.microsoft.com/technet/security/tools/mbsahome.mspx )
PortQry Command Line Port Scanner

最新版本2.0,PortQry 是一種命令列公用程式,您可以用來疑難排解 TCP/IP 連線問題。此公用程式會報告本機電腦或遠端電腦上,目標 TCP 及「使用者資料包通訊協定」(UDP,User Datagram Protocol) 連接埠的連接埠狀態。同時,PortQry 2.0 版本還提供有關本機電腦連接埠使用狀況的詳細資訊。( http://www.microsoft.com/downloads/details.aspx?familyid=89811747-c74b-4638-a2d5-ac828bdc6983&displaylang=en ) , ( http://support.microsoft.com/?id=832919 )

掃瞄&木馬移除工具

產品 說明
賽門鐵克網路安全診斷室(Free)

賽門鐵克提供的病毒掃描 和入侵弱點偵測,選擇後會詢問是否要安裝Active X元件,請按是、確定即可
http://security.symantec.com/default.asp?productid=symhome&langid=tw&venid=sym

趨勢科技線上掃毒(Free)

趨勢在國外的免費線上掃毒網站,進入之後,選好國家Location(台灣) 按GO一直接續即可.
http://housecall.trendmicro.com/housecall/start_corp.asp

Panda ActiveScan
(Free)

  1. 在服務簡介網頁上點選「Next」按鍵。
  2. 在開啟的網頁上輸入您的電子郵件信箱並按下「Send」按鍵。
  3. 在開啟的網頁上選擇您的所在區域並按下「Start」按鍵。
  4. 按下「Start」按鍵後會開始下載掃描元件,並詢問您是否接受Panda Software的數位簽章認證,請點選「Yes」。
  5. 元件下載完畢後,會開啟掃描項目網頁,請點選您想掃描的項目即可。
    http://www.sonet.com.tw/freescan/head/freescan.htm
SpyBot Search & Destroy (Free)

SpyBot Search & Destroy 具有「間諜軟體(Spyware)」擒殺功能,就算是再難纏的對手在它的也無所遁形,可以將隱藏在系統登錄檔中「刪之不去」的間諜軟體揪出,另搭配有詳盡 的說明,讓你對各式的間諜軟體有更進一步的認識。
http://www.safer-networking.org/en/home/index.html

Ad-Aware SE Personal 
(Personal Free)

Ad-Aware SE Personal ,個人使用免費,是 Lavasoft 最新出品的後門程式清除軟體,它結合了木馬掃瞄程式以及個人隱私記錄反追蹤等功能於一身,讓使用者在使用網路時能夠更妥善地管理自己的私人資料,不至於外 洩。
http://www.lavasoftusa.com/support/download/

Shields Up

Gibson Research Corporation網站(grc.com)所提供的線上保安測試,他 測試Port及NetBEUI的安全性,以向用戶提供保安上的意見以加強系統的保安能力
https://www.grc.com/x/ne.dll?bh0bkyd2

教育部 Anti-Spam (Free)

若安裝了郵件伺服器,可以試試是否會被入侵
http://www.edu.tw/tanet/spam.html

防護工具

產品 說明
SpywareBlaster (Free)

SpywareBlaster 可預防間諜軟體安裝到你的電腦中, 它會在間諜軟體的 ActiveX 控制項中設定,使間諜軟體無法發揮作用, 並不會影響瀏覽器的運作,也不需要常駐執行。
http://www.javacoolsoftware.com/spywareblaster.html

SpywareGuard (Free)

SpywareGuard 在網站 / 程式意圖安裝間諜軟體到你的電腦中時,馬上會發出警告,並阻止安裝程式執行。它就像防毒軟體一樣,隨時隨地保護你的電腦,還可防止IE被綁架。
http://www.javacoolsoftware.com/sgdownload.html

AVG-Anti-Virus (Free)

AVG提供了掃瞄、常駐式程式、以及電子郵件的掃瞄程式,它包括了一個威力強大的測試引擎:Virus Stalker,具有啟發式的能力,可以利用獨立的實驗來證明它的效果。可以每月下載到最新的更新版本,完全不用任何費用,但必須登入一個有效的 Email Address,才能收到一組序號供安裝使用。
http://www.grisoft.com/us/us_index.php

賽門鐵克蠕蟲移除工具(Free) http://www.symantec.com.tw/avcenter/tools.list.html
ZoneAlarm
(Personal Free)

防火牆,個人使用免費,可使用在 Server版本上
http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp

Kerio Personal Firewall
(Personal Free)

防火牆,個人使用免費, 不可 使用在 Server版本上 (原TinyFirewall)
http://www.kerio.com/kpf_download.html

Sygate Personal Firewall
(Personal Free)

防火牆,個人使用免費,可使用在 Server版本上
http://smb.sygate.com/buy/download_buy.htm

系統工具

產品 說明
TCPView (Free) 用來檢測系統的埠號或網路連線是由那個Process所開啟 ( http://www.sysinternals.com/ntw2k/source/tcpview.shtml )
ActivePorts (Free) 同TCPview,用來檢測系統的埠號或網路連線是由那個Process所開啟
( http://www.protect-me.com/freeware.html )
ProcessExplorer (Free) 列出WindowsNT/2000/XP目前所執行的Process及相關資訊 ( http://www.sysinternals.com/ntw2k/freeware/procexp.shtml )

Windows上常見服務的port列表

Protocol Standard Port Secure (SSL) Port
FTP data TCP 20  
FTP control TCP 21  
SSH TCP 22  
Telnet TCP 23  
SMTP TCP 25 -
DNS UDP 53 -
DHCP server UDP 67  
DHCP client UDP 68  
HTTP TCP 80 TCP 443
POP3 TCP 110 TCP 995
IMAP4 TCP 143 TCP 993
NetBios TCP 139, 445
UDP 137, 138
 
遠端桌面 TCP 3389  
Symantec pcAnywhere 9/10 資料埠: TCP 5631
狀態埠: UDP 5632
 
Proxy TCP 8080  

Internet Assigned Numbers Authority (IANA) 所指定的 Port numbers 可參考: http://www.iana.org/assignments/port-numbers

遠端桌面連線

參考: Windows Server 2003 Terminal Services 操作與使用

用戶端

遠端桌面磁碟機

若 client 與 server 雙方皆為 Windows XP 或 Windows Server 2003 才支援遠端桌面的磁碟機與剪貼簿功能喔

  1. 開啟遠端桌面連線之用戶端程式 (mstsc)
  2. 按一下 [選項],再按一下 [本機資源] 索引標籤。
  3. 按一下 [磁碟機],然後按一下 [連線]。

伺服器端

遠端桌面網站連線

請注意「遠端桌面網站連線」的 網站 二個字,這是一個讓裝有IIS web服務的Server搖身一變成為遠端桌面連線客戶端的工具,目的在提供 作業系統為 Windows 95、Windows 98、Windows ME、Windows NT 4.0 或 Windows 2000 等用戶端電腦 利用瀏覽器 就可以連接到提供遠端桌面連線的伺服器,而不需要下載用戶端的遠端桌面連線程式,也請特別注意的是, 提供遠端桌面網站連線的Server不一定要和提供遠端桌面連線的伺服器同一台 喔。

以Linux連接Windows遠端桌面

如果想要在Linux的 Xwindow 連到Windows的桌面,必需要rdesktop這套軟體。

1. 目前的套件大都有收錄rdesktop,沒有的話,就到官方網站下載吧
2. 裝好以後,先startx,然後開啟一個終端機視窗,執行 rdesktop IP

參考: Connect o Your Desktop Everywhere, Every platform

參考書目

網路資源

主 網 站:http://peterju.notlong.com (目前轉址至 http://irw.ncut.edu.tw/peterju/) Sitetag Logo

Level Triple-A conformance icon | [歡迎使用任何作業系統、瀏覽器觀看!] | Valid XHTML 1.0 Transitional | Valid CSS! | [Valid RSS] | [創意公眾許可証]
This work is licensed under a Creative Commons License