【明慧網2004年12月30日】 正確設置「網絡連接」屬性詳解 對明慧2004.12.22的文章《上網必須注意的幾個安全問題》的補充: 購買二手硬盤的經驗 博朗電子書標準文檔建立方法 對2004年10月29日《閃畫:ZoneAlarm 防火牆設置》的補充意見 正確設置「網絡連接」屬性詳解
從【控制面板】進入【網絡連接】,可以看到計算機中已經安裝的網絡連接,如「本地連接」等。 通常 Windows 在安裝網絡連接時,自動的把「Microsoft 網絡」綁定到網絡連接上,而「Microsoft 網絡」要求網絡中的計算機是可靠的,所以安裝了「Microsoft 網絡」的計算機連接到「Internet 網絡」後,就會產生安全問題。 解決辦法就是去掉網絡連接上綁定的「Microsoft 網絡」,可以從「組件」和「協議」兩方面來設置。 (1)「組件」設置 打開網絡連接的【屬性】,如上圖,卸載「Microsoft 網絡客戶端」和「Microsoft 網絡的文件和打印機共享」。如果是 Windows 98、Windows Me,需要卸載「Microsoft 家庭登錄軟件」。 (2)「協議」設置 在上圖中,如果安裝了 IPX/SPX/NetBIOS、NetBEUI 協議,需要卸載。 另外,通常在 TCP/IP 協議上實現了 NetBIOS 協議,需要去掉。從網絡連接【屬性】中選中 「Internet 協議( TCP/IP )」,點屬性進入 【Internet 協議(TCP/IP) 屬性】設置,點高級進入 【高級 TCP/IP 設置】,點 WINS ,禁用 TCP/IP 上的 NetBIOS,如下圖。 需要說明的是,對於每一個連接到「Internet 網絡」的網絡連接都需要進行安全設置。網絡連接安全設置只是安全的一個方面,需要綜合各方面因素才能保證上網安全。有條件的同修可以參考書[1],裏面還講了 ZoneAlarm。 上次同修問 LMHOST 問題,LMHOST 是一個供域名轉換用的文件,與安全沒有關係。 希望我們資料點越來越多,越來越好! [1] Jerry Lee Ford: Absolute Beginner's Guide to Personal Firewall,One Publishing, 2002。中譯本:《個人防火牆》 段雲所 等譯 上網必須注意的幾個安全問題 1、我使用的系統是windows2000 professional sp4,停止的服務有八項 1)ClipBook 2)Indexing Service 3)NetMeeting Remote Desktop Sharing 4)Remote Registry Service 5)Routing and Remote Access 6)server 7)TCP/IP NetBIOS Helper Service 8)Telnet 2、如果卸載了「Microsoft網絡客戶端」和「Microsoft網絡的文件和打印機共享」,那麼server服務也被卸載了。而且也沒有了硬盤共享的問題,即沒有了共享服務。(請參考隨附的同修的文章《正確設置「網絡連接」屬性詳解》) 3、下面是有關文章,請同修參考: windows 2000的服務安全與建議 中華企業信息港 加入時間 2002-12-19 15:47:00 加***的項目請特別關注 在windows2000中,服務基本上是一個在啟動時運行的程序,它的運行和任何用戶都無關,一台服務器所執行的大多數功能,例如文件共享等都是以服務得形式來運行,而且大多數是以system特權運行的。這樣黑客們通過非法的途徑利用某個服務獲得system特權,那將絕對不是個好事。當然嘍!你可以對每個服務單獨創建管理權限,但我想大多數管理員都沒有這個空閒吧。因為服務項目實在是太多了。因此,了解每個win2000的服務,並禁止一些不必要的,能讓你的服務器更加安全喔。 下面是一些大略的介紹: 1:Alerter 服務方向: 負責向用戶通報管理警報。該服務和Mesenger服務一起工作,後者接收並路由前者的信息。 可執行文件:%systemRoot%\system32\services.exe 風險:潛在可能導致社會工程攻擊 建議:將Alerter服務發出的警告限定為只由管理員接收。 2:Application Management 服務方向:提供和active directory之間的通信。通過group policy(組策劃)來指定,發布並刪除在系統中安裝的應用程序。 可執行文件:winnt\system32\services.exe 風險:無 建議:非組策略使用應用程序,最好禁用該服務。 3:Boot Information Negotiation Layer 服務方向:與Remote Installation Service(RIS)一起使用。除有需要通過RIS安裝操作系統,否則不要運行。 可執行文件:winnt\system32\services.exe 風險:無 ***4:Browser 服務方向:負責保存網絡上的計算機列表,並將該列表提供給那些請求得到該列表的程序。 可執行文件:winnt\system32\services.exe 風險:暴露有關網絡的信息 建議:禁止 ***5:Indexing 服務方向:負責索引磁盤上的文檔和文檔屬性,並且在一個目錄中保存信息,使得你在以後可以搜索它們。 可執行文件:winnt\system32\services.exe 風險:其為IISweb服務器上諸多安全弱點的根源 建議:除非特別需要,否則禁止。 ***6:ClipBook 服務方向:ClipBook支持ClipBook Viewer程序,該程序可以允許剪貼頁被遠程計算機上的ClipBook瀏覽,可以使得用戶能夠通過網絡連接來剪切和粘貼文本和圖形。 可執行文件:winnt\system32\Clipsrv.exe 風險:潛在被非法用於遠程訪問ClipBook剪貼頁面 建議:禁止 ***7:Distributed File System 服務方向:允許創建單一邏輯盤。文件分布在網絡上不同位置。 可執行文件:winnt\system32\Dfssrc.exe 風險:暫無已知風險 建議:禁止 8:DHCP client 服務方向:通過註冊和更新IP地址和DNS域名來管理網絡配置。 可執行文件:winnt\system32\services.exe 風險:無已知風險 建議:為服務器分配一個靜態IP 9:Logical Disk Manager Administrative 服務方向:用於管理邏輯盤 可執行文件:winnt\system32\dmadmin.exe 風險:暫無已知風險 建議:將服務的啟動類型設為手動(Manual) 10:Logical Disk Manager 服務方向:該服務為 Logical Disk Manager Watchdog 服務,負責管理動態磁盤的服務。 可執行文件:winnt\system32\services.exe 風險:無已知風險 建議:系統運行時需要,保持默認得自動啟動 11:DNS Server 服務方向:負責解答DNS域名查詢。 可執行文件:winnt\system32\dns.exe 風險:無已知風險 建議:因其通常是導致許多安全性弱點的根源。該服務應謹慎使用。 12:DNS Client 服務方向:用於緩存DNS查詢來進行記錄。可用於某個入侵檢測系統的DNS查詢,可加速DNS查詢的速度。 可執行文件:winnt\system32\services.exe 風險:無已知風險。但攻擊者可以查看你的緩存內容,確定你所訪問過的網站。命令行形式為(ipconfig/displaydns) 建議:可停可不停 13:Event Log 服務方向:Event Log服務負責記錄來自系統和運行中程序的管理事件消息。雖然該服務功能有限,並具有一些小問題,但是該服務可以用於入侵檢測和系統監視。 可執行文件:winnt\system32\services.exe 風險:無已知風險 建議:該服務應該被啟動,尤其是在獨立服務器上。 14:COM+Eent System 服務方向:提供自動事件分布功能來訂閱COM組件。 可執行文件:winnt\system32\svchost.exe -k nesvcs 風險:無已知風險 建議:如果該服務不需要已安裝的任何程序所使用,你可以禁用COM+Event System 和 System Event Notification服務。 15:Fax 服務方向:它負責管理傳真的發送和接收。 可執行文件:winnt\system32\faxsvc.exe 風險:無已知風險 建議:對於服務器而言,不需要也不建議使用該服務,除非該服務器專門被指定為用做一個傳真服務器。 16:Single Instance Storage Groveler 服務方向:該服務和Remote Installation服務一起使用。掃描單一實例存儲捲來尋找重複的文件,並將重複文件指向某個數據存儲點以節省磁盤空間。 風險:無已知風險 建議:除非你需要使用 Remote Installation 服務,否則請停止它。 17:Internet Authentication Service 服務方向:用於認證撥號和VPN用戶。 可執行文件:winnt\system32\svchost.exe -k netsvcs 風險:無已知風險 建議:顯然除了在撥號和VPN服務器上。該服務不應該使用,禁止。 ***18:IIS Admin 服務方向:IIS Admin服務允許通過Internet Services Manager MMC程序面板來對IIS服務進行管理。 可執行文件:winnt\system32\inetsrv\inetinfo.exe 風險:無已知風險 建議:如果服務器正在運行Inetrnet服務,則該服務是需要的;如果沒有運行任何Inetrnet服務,則應當從Control Panel,Add and Remove Programs中卸載Internet Information Server,這樣IIS Admin服務也將被卸載。 19:Intersite Messaging 服務方向:Intersite Messaging服務和Active Directory replication一起使用。 可執行文件:winnt\system32\ismserv.exe 風險:無已知風險 建議:除了Active Directory服務器之外,不需要也不建議使用該服務。 20:Kerberos Key Distribution Center 服務方向:這是個域服務,提供了Kerberos認證服務(AS Authentication Service)和票證授予服務(TGT,Ticket-Granting Service)。 可執行文件:winnt\system32\lsass.exe 風險:沒有已知風險 建議:Kerberos Key Distribution Center服務和位於某個域控制器是的Active Directory一起工作的,而且不能被停止。除了在域控制器上,該服務不應該在其他計算機上運行。 ***21:Server 服務方向:該服務提供RPC支持以及文件,打印和命名管道共享,Server服務是作為文件系統驅動器來實現的,可以處理I/O請求。 可執行文件:winnt\system32\services.exe 風險:如果沒有提供適當的用戶保護,會暴露系統文件和打印機資源 NetMeeting Remote Desktop Sharing 建議:除非你打算在windows網絡上共享文件或打印機,否則不需要運行該服務。 (附言:對於2000而言,這個是一個高風險服務。2000的用戶多知道默認共享吧,就是該服務的問題。如果不禁止,每次註銷或開機,默認共享就會打開,你的所以重要信息都將暴露。例如winnt文件夾,大家都應該知道他對於2000的重要,除非你的密碼夠安全,否則這個共享將是你機子的死穴!!!) ***22:Workstation 服務方向:該服務提供網絡連接和通信。該服務以一個文件系統驅動器的形式工作,並且可以允許用戶訪問位於windows網絡上的資源。 可執行文件:winnt\system32\services.exe 風險:一些獨立服務器,例如web服務器,不應當參與到某個windows網絡中。 建議:該服務應當只在位於某個內部網絡,並受到某個防火牆保護的工作站和服務器上運行,在任何可以連接到Internet的服務器上都應該禁用這個服務。 23:TCP/IP打印服務器 服務方向:該服務允許遠程UNIX用戶通過使用TCP/IP協議來訪問由某個windows2000服務器所管理的打印機。 可執行文件:winnt\system32\tcpsvcs.exe 風險:具有一些安全性弱點,並打開一個監聽端口。 建議:該服務具有一些安全性弱點,因為打開了一個到internet的端口。因此,除非網絡通過防火牆與Internet隔離開,否則不要使用該服務。 24:License Logging 服務方向:該服務負責管理某個站點的許可協議信息。 可執行文件:winnt\system32\llssrv.exe 風險:沒有已知風險 建議:除了在域控制器上,其它計算機不應當使用該服務。 ***25:TCP/IP NETBIOS Helper 服務方向:該服務允許在TCP/IP網絡上進行NETBIOS通信。 可執行文件:winnt\system32\services.exe 風險:暴露出系統中的netBIOS安全性弱點,例如NTLM認證。 建議:除非你需要和一個舊版本的windows保持兼容,否則應當禁止該服務。 26:Messenger 服務方向:Messenger服務負責發送和接收由管理員或Alerter服務所傳遞的消息。 可執行文件:winnt\system32\services.exe 風險:沒有已知風險 建議:該服務不需要而且應當被禁用。 ***27:NetMeeting Remote Desktop Sharing 服務方向:該服務允許授權用戶通過使用NetMeeting來遠程訪問你的Windows桌面。 可執行文件:winnt\system32\mnmsrvc.exe 風險:是一個具有潛在不安全性的服務。 建議:該服務應當被禁止,因為它是會導致潛在地安全性弱點的。你可以使用Terminal服務來代替該服務用於遠程桌面訪問。 28:Distributed Transaction Coordinator 服務方向:微軟的Distributed Transaction Coordinator服務(MS DTC)可以借助OLE Transactions協議來提供一個事務(Transaction)協調工具,可以協調分布於兩個和多個數據庫,消息隊列文件系統和其他事務保護(trasaction protected)資源管理器的事務。 可執行文件:winnt\system32\msdtc.exe 風險:沒有已知風險 建議:無需禁止 ***29:FTP Publishing 服務方向:文件傳輸協議不是一種安全的協議。如果不進行適當地保護,FTP Publishing服務將大來很多的安全性風險。 可執行文件:winnt\system32\inetsrv\inetinfo.exe 風險:微軟的FTP Server沒有已知風險。但一般而言,FTP是已知不安全的服務。 建議:除非你需要通過FTP來提供文件共享,否則該服務應當被禁止。如果需要,請謹慎的對其進行保護和監視。 30:Windows Installer 服務方向:負責管理軟件的安裝。改服務對於安裝和修復軟件應用程序時很有用的。 可執行文件:winnt\system32\msiexec.exe/V 風險:無已知風險 建議:保留 31:Network DDE 服務方向:該服務提供動態數據交換(DDE,Dynamic Data Exhange)數據流傳輸和安全性。 可執行文件:winnt\system32\netdde.exe 風險:通過網絡接受DDE請求 建議:對於大多數應用程序而言,Network DDE是不需要的,你應當將它設置為手工啟動。 32:Network DDE DSDM 服務方向:該服務保存一個共享對話(shared conversation)數據庫,這樣當某個Network DDE共享被訪問時,共享會話將被應用,並且安全性檢測系統將確定請求這是否被允許訪問。 可執行文件:winnt\system32\netdde.exe 風險:沒有已知風險 建議:該服務應當設置為手工啟動 ***33:Net Logon 服務方向:支持為域中計算機進行的帳號登錄事件的傳遞認證(pass-through authentication)。 可執行文件:winnt\system32\lsass.exe 風險:可以用於對強力密碼攻擊進行傳遞 建議:該服務不應當在那些不作為域中一部份的獨立服務器上使用,禁止。 34:Network Connections 服務方向:該服務負責管理Network and Dial-Up Connections文件夾中的對像。該文件夾中你可以看到局域網和遠程連接。 可執行文件:winnt\system32\svchost.exe -k netsvcs 風險:沒有已知風險 建議:由於該服務在需要時將自己啟動,因此可以設置為手動啟動。 35:Network News Transport Protocol(NNTP) 服務方向:用於提供一個新聞服務器服務,例如USENET. 可執行文件:winntsystem32\inetsrv\inetinfo.exe 風險:沒有已知風險 建議:NNTP服務器應當安裝在一個DMZ網絡中。而且應當像其他網絡服務。例如FTP,Nail和Web服務那樣來對待。不建議在私有網絡上配置NNTP服務器,任何位於某個內部網絡上的服務器應當卸載或禁用NNTP服務。 36:File Replication 服務方向:file replication服務(FRS)可以跨域中的服務器來進行文件,系統策略和登錄腳本的複製,該服務還可以用於為分布式文件系統(DFS, Distributed File System)複製數據。 可執行文件:winnt\system32\ntfrs.exe 風險:沒有已知風險 建議:它在多個服務之間維護文件目錄內容的文件同步,保持原狀。 購買二手硬盤的經驗
市場上的二手硬盤,一般都是修復過的,很多磁道讀寫很慢,很容易上當。 最近我看到許多盜版可直接啟動光盤的啟動菜單中有「硬盤壞道修復器HDDSPEED」工具,選中回車,進入主菜單,按「ALT+P」選「GRAPHS」再選 「LINEAR VERIFY SPEED」回車,就開始對硬盤測試,只要曲線不是大幅度波動,不超過兩個方框,就算可以了。 二手硬盤一定要用軟件檢測,否則就買新的算了。 博朗電子書標準文檔建立方法
我們地區很多同修使用博朗電子書,但大多數同修尚未掌握電子書文檔建立方法,有的直接用Word文檔或txt(純文本)文檔或HTML文檔進電子書,造成大法經書在電子書中文章結構混亂,主要有以下幾種表現 (1)直接用Word文檔或txt(純文本)文檔進電子書,整篇經書不分段。 (2)直接用HTML文檔進電子書,出現雙題目、某些或全部阿拉伯數字(例如99•7•20)或特殊標點符號(如……──:?!「」等等或其它情況下)亂分段,一個阿拉伯數字就可能獨佔一行 可能其它地區也存在類似情況,其實方法很簡單,現將自己摸索掌握的方法向同修推薦如下,若其他同修有更好的辦法,請幫助完善。 1、標準文檔建立 (1)直接下載HTML或CHM格式文檔。若是CHM格式文檔,要複製全文,然後用Microsoft FrontPage重新製作HTML網頁。 (2)打開做好的HTML網頁,再打開「查看」,在「查看」中打開「源文件」,然後首先刪掉在源文件頂部之上 ×××××中的××××(××××即為電子書中重複的標題)。然後,向下查閱源文件的全文,刪掉所有的小寫數字(例如99•7•20)或特殊標點符號(如……──:?!「」等等或其它情況下)與其前、後字符間的一串符號(如<b>、<p>等),此串符號即為上、下分段符。這些分段符若不刪掉則在所有分段符處自行分段。例如《2004年紐約國際法會講法》解法部份中所有的「師:」前面均有「<b>」符號,結果是電子書中所有的「師:」均獨佔一行。不分段的文字之間應沒有任何其它符號,就像純文本文檔一樣。(3)HTML網頁也可像Word文檔一樣編輯,方法是:打開Microsoft FrontPage,然後用「文件」中「打開」,選擇要編輯的HTML網頁進行編輯。 (4)在「源文件」狀態下也可編輯。但一定要注意:有時要替換某一字符,會把該字符後的1~2個字符一起替掉,有時不會。 2、用Word文檔轉HTML網頁 方法同上,但有的文檔分段符等符號特別多,不但費時費力,且文檔內存為標準文檔的兩倍甚至更大。若直接用Word文檔或txt(純文本)文檔進電子書,則整篇文檔不分段。 3、目前博朗電子書660、600、300(外形大的那種)三種型號中,660型所有的文字均能自動顯示;600型已由同修解決了 「進」字顯示問題,但「卍」和「槃」字不能顯示,需用漢語拼音代替;300型上述3個字均不能顯示,需用漢語拼音代替。目前600型已被660型取代。 對2004年10月29日《閃畫:ZoneAlarm 防火牆設置》的補充意見
首先應該感謝閃畫的作者,使我對 ZoneAlarm 防火牆的具體設置有了進一步的了解,以前我只是使用默認的安全級別。可能是緣份所致,我手頭的一個和該文中用的 ZoneAlarm 版本號完全相同:4.5.538.001;後來我發現該文有漏: 1. 打開 ZoneAlarm 自帶的幫助文件(點程序界面右上角的Help),依次展開「Firewall protection」、「Blocking and unblocking ports」,看了「Default port permission settings」和「Adding custom ports」下的說明後,我認為:閃畫中把所有端口全部封住其實是在中級安全設置的基礎上再加強;閃畫在「Firewall」一項中設置的整個過程就相當於把 Internet Zone 和 Trusted Zone 的安全級別設為 High 以後,再取消「Allow broadcast/multicast」。如果是 Windows 9x,還取消了「Allow outgoing DHCP (UDP port 67) 」。 換句話說,只要把安全級別都設為 High 以後,那些端口都無需再封。 對允許通過防火牆的軟件,可通過封住的端口。 2. 閃畫講到選上「Hide my IP address when applicable」可以使「隱藏我的ip,這樣別人ping不到你了」,我認為不妥。可能是作者沒有注意到它的前提:「Contact with Zone Labs」和「Whenever I request info from Zone Labs:」,也就是「在與Zone Labs網站聯繫時」和「任何時候我從Zone Labs 請求(獲取)信息時」,在這種情況下「如果可能的話隱藏我的 IP」,換句話說就是:「儘量不向 Zone Labs 暴露我的 IP」。 當然在該選項打勾可能會更安全,但選上該項後與「隱藏我的ip,這樣別人ping不到你了」沒有必然的因果關係,根據 ZoneAlarm 自帶的幫助文件,無論選不選該項,只要設置好以下選項:Firewall ->Main 把 Internet Zone 和 Trusted Zone 的安全級別設為 High ,即 Stealth 模式,別人就 ping 不到你。 以上如有錯誤請及時慈悲指正! 其實以上問題也不算大,我為甚麼要寫出此文呢? 幾年前,我曾經教過幾個人上網,我是按照明慧網當時的一些文章介紹的先找代理服務器,再上二次加密代理,然後上明慧網的做法。 而我在此之前都是通過 www4mail 和 agora 獲取網絡文件的,例如2000年時師父的四本新書我就是通過這種方法得到然後打印出來的(以上二者與 article@goodarticle.org 的原理相同)。後來我才開始用上面講到的用代理服務器的方法,我當時看那些技術文章也沒有仔細看,在給 IE 設置代理服務器的時候,只是設置了局域網的代理,然而當時大家卻都是通過56k的Modem撥號上網的,那麼,辛辛苦苦找來的代理其實根本就沒有用上,而是直接通過加密代理上明慧網,甚至直接上的是明慧的加密網站。而我卻是在這次從勞教所出來,看到了「輕舟網」的文章「通過Stunnel + OpenSSL + Privoxy 建立加密Http代理服務器及客戶端」一文以後才知道自己錯誤的,大家也能夠想像得到,當時我陷入了深深的自責和悔恨當中! 就在自己還用不好的時候我還把它教給了別人,事後大概一、兩個月,他們都反映上明慧網上不去,而我當時連 www4mail 和 agora 的方法也想不起來用。 後來跟我學上網的人中,除了幾個人我不知道他們的情況外,其餘全部被抓。 雖然從當時的表面現象來看,事情發生的起因好像不在我這,但通過學法我認識到,當時的事情是針對我們的整體發生的,我的錯誤是資料點出事的原因之一! 最後祝願大家能吸取我的教訓,在今後能更仔細一些,最終達到圓滿無漏!
|