技術交流:正確設置「網絡連接」屬性詳解

Twitter EMail 轉發 打印
【明慧網2004年12月30日】
  • 正確設置「網絡連接」屬性詳解

  • 對明慧2004.12.22的文章《上網必須注意的幾個安全問題》的補充:

  • 購買二手硬盤的經驗

  • 博朗電子書標準文檔建立方法

  • 對2004年10月29日《閃畫:ZoneAlarm 防火牆設置》的補充意見

  • 正確設置「網絡連接」屬性詳解

    從【控制面板】進入【網絡連接】,可以看到計算機中已經安裝的網絡連接,如「本地連接」等。
    通常 Windows 在安裝網絡連接時,自動的把「Microsoft 網絡」綁定到網絡連接上,而「Microsoft 網絡」要求網絡中的計算機是可靠的,所以安裝了「Microsoft 網絡」的計算機連接到「Internet 網絡」後,就會產生安全問題。
    解決辦法就是去掉網絡連接上綁定的「Microsoft 網絡」,可以從「組件」和「協議」兩方面來設置。

    (1)「組件」設置
    打開網絡連接的【屬性】,如上圖,卸載「Microsoft 網絡客戶端」和「Microsoft 網絡的文件和打印機共享」。如果是 Windows 98、Windows Me,需要卸載「Microsoft 家庭登錄軟件」。
    (2)「協議」設置
    在上圖中,如果安裝了 IPX/SPX/NetBIOS、NetBEUI 協議,需要卸載。
    另外,通常在 TCP/IP 協議上實現了 NetBIOS 協議,需要去掉。從網絡連接【屬性】中選中 「Internet 協議( TCP/IP )」,點屬性進入 【Internet 協議(TCP/IP) 屬性】設置,點高級進入 【高級 TCP/IP 設置】,點 WINS ,禁用 TCP/IP 上的 NetBIOS,如下圖。

    需要說明的是,對於每一個連接到「Internet 網絡」的網絡連接都需要進行安全設置。網絡連接安全設置只是安全的一個方面,需要綜合各方面因素才能保證上網安全。有條件的同修可以參考書[1],裏面還講了 ZoneAlarm。

    上次同修問 LMHOST 問題,LMHOST 是一個供域名轉換用的文件,與安全沒有關係。

    希望我們資料點越來越多,越來越好!

    [1] Jerry Lee Ford: Absolute Beginner's Guide to Personal Firewall,One Publishing, 2002。中譯本:《個人防火牆》 段雲所 等譯 


    對明慧2004.12.22的文章《上網必須注意的幾個安全問題》的補充:

    上網必須注意的幾個安全問題

    1、我使用的系統是windows2000 professional sp4,停止的服務有八項
    1)ClipBook
    2)Indexing Service
    3)NetMeeting Remote Desktop Sharing
    4)Remote Registry Service
    5)Routing and Remote Access
    6)server
    7)TCP/IP NetBIOS Helper Service
    8)Telnet

    2、如果卸載了「Microsoft網絡客戶端」和「Microsoft網絡的文件和打印機共享」,那麼server服務也被卸載了。而且也沒有了硬盤共享的問題,即沒有了共享服務。(請參考隨附的同修的文章《正確設置「網絡連接」屬性詳解》)

    3、下面是有關文章,請同修參考:

    windows 2000的服務安全與建議
    中華企業信息港 加入時間 2002-12-19 15:47:00
    加***的項目請特別關注

    在windows2000中,服務基本上是一個在啟動時運行的程序,它的運行和任何用戶都無關,一台服務器所執行的大多數功能,例如文件共享等都是以服務得形式來運行,而且大多數是以system特權運行的。這樣黑客們通過非法的途徑利用某個服務獲得system特權,那將絕對不是個好事。當然嘍!你可以對每個服務單獨創建管理權限,但我想大多數管理員都沒有這個空閒吧。因為服務項目實在是太多了。因此,了解每個win2000的服務,並禁止一些不必要的,能讓你的服務器更加安全喔。

    下面是一些大略的介紹:

    1:Alerter
    服務方向: 負責向用戶通報管理警報。該服務和Mesenger服務一起工作,後者接收並路由前者的信息。
    可執行文件:%systemRoot%\system32\services.exe
    風險:潛在可能導致社會工程攻擊
    建議:將Alerter服務發出的警告限定為只由管理員接收。

    2:Application Management
    服務方向:提供和active directory之間的通信。通過group policy(組策劃)來指定,發布並刪除在系統中安裝的應用程序。
    可執行文件:winnt\system32\services.exe
    風險:無
    建議:非組策略使用應用程序,最好禁用該服務。

    3:Boot Information Negotiation Layer
    服務方向:與Remote Installation Service(RIS)一起使用。除有需要通過RIS安裝操作系統,否則不要運行。
    可執行文件:winnt\system32\services.exe
    風險:無

    ***4:Browser
    服務方向:負責保存網絡上的計算機列表,並將該列表提供給那些請求得到該列表的程序。
    可執行文件:winnt\system32\services.exe
    風險:暴露有關網絡的信息
    建議:禁止

    ***5:Indexing
    服務方向:負責索引磁盤上的文檔和文檔屬性,並且在一個目錄中保存信息,使得你在以後可以搜索它們。
    可執行文件:winnt\system32\services.exe
    風險:其為IISweb服務器上諸多安全弱點的根源
    建議:除非特別需要,否則禁止。

    ***6:ClipBook
    服務方向:ClipBook支持ClipBook Viewer程序,該程序可以允許剪貼頁被遠程計算機上的ClipBook瀏覽,可以使得用戶能夠通過網絡連接來剪切和粘貼文本和圖形。
    可執行文件:winnt\system32\Clipsrv.exe
    風險:潛在被非法用於遠程訪問ClipBook剪貼頁面
    建議:禁止

    ***7:Distributed File System
    服務方向:允許創建單一邏輯盤。文件分布在網絡上不同位置。
    可執行文件:winnt\system32\Dfssrc.exe
    風險:暫無已知風險
    建議:禁止

    8:DHCP client
    服務方向:通過註冊和更新IP地址和DNS域名來管理網絡配置。
    可執行文件:winnt\system32\services.exe
    風險:無已知風險
    建議:為服務器分配一個靜態IP

    9:Logical Disk Manager Administrative
    服務方向:用於管理邏輯盤
    可執行文件:winnt\system32\dmadmin.exe
    風險:暫無已知風險
    建議:將服務的啟動類型設為手動(Manual)

    10:Logical Disk Manager
    服務方向:該服務為 Logical Disk Manager Watchdog 服務,負責管理動態磁盤的服務。
    可執行文件:winnt\system32\services.exe
    風險:無已知風險
    建議:系統運行時需要,保持默認得自動啟動

    11:DNS Server
    服務方向:負責解答DNS域名查詢。
    可執行文件:winnt\system32\dns.exe
    風險:無已知風險
    建議:因其通常是導致許多安全性弱點的根源。該服務應謹慎使用。

    12:DNS Client
    服務方向:用於緩存DNS查詢來進行記錄。可用於某個入侵檢測系統的DNS查詢,可加速DNS查詢的速度。
    可執行文件:winnt\system32\services.exe
    風險:無已知風險。但攻擊者可以查看你的緩存內容,確定你所訪問過的網站。命令行形式為(ipconfig/displaydns)
    建議:可停可不停

    13:Event Log
    服務方向:Event Log服務負責記錄來自系統和運行中程序的管理事件消息。雖然該服務功能有限,並具有一些小問題,但是該服務可以用於入侵檢測和系統監視。
    可執行文件:winnt\system32\services.exe
    風險:無已知風險
    建議:該服務應該被啟動,尤其是在獨立服務器上。

    14:COM+Eent System
    服務方向:提供自動事件分布功能來訂閱COM組件。
    可執行文件:winnt\system32\svchost.exe -k nesvcs
    風險:無已知風險
    建議:如果該服務不需要已安裝的任何程序所使用,你可以禁用COM+Event System 和 System Event Notification服務。

    15:Fax
    服務方向:它負責管理傳真的發送和接收。
    可執行文件:winnt\system32\faxsvc.exe
    風險:無已知風險
    建議:對於服務器而言,不需要也不建議使用該服務,除非該服務器專門被指定為用做一個傳真服務器。

    16:Single Instance Storage Groveler
    服務方向:該服務和Remote Installation服務一起使用。掃描單一實例存儲捲來尋找重複的文件,並將重複文件指向某個數據存儲點以節省磁盤空間。
    風險:無已知風險
    建議:除非你需要使用 Remote Installation 服務,否則請停止它。

    17:Internet Authentication Service
    服務方向:用於認證撥號和VPN用戶。
    可執行文件:winnt\system32\svchost.exe -k netsvcs
    風險:無已知風險
    建議:顯然除了在撥號和VPN服務器上。該服務不應該使用,禁止。

    ***18:IIS Admin
    服務方向:IIS Admin服務允許通過Internet Services Manager MMC程序面板來對IIS服務進行管理。
    可執行文件:winnt\system32\inetsrv\inetinfo.exe
    風險:無已知風險
    建議:如果服務器正在運行Inetrnet服務,則該服務是需要的;如果沒有運行任何Inetrnet服務,則應當從Control Panel,Add and Remove Programs中卸載Internet Information Server,這樣IIS Admin服務也將被卸載。

    19:Intersite Messaging
    服務方向:Intersite Messaging服務和Active Directory replication一起使用。
    可執行文件:winnt\system32\ismserv.exe
    風險:無已知風險
    建議:除了Active Directory服務器之外,不需要也不建議使用該服務。

    20:Kerberos Key Distribution Center
    服務方向:這是個域服務,提供了Kerberos認證服務(AS Authentication Service)和票證授予服務(TGT,Ticket-Granting Service)。
    可執行文件:winnt\system32\lsass.exe
    風險:沒有已知風險
    建議:Kerberos Key Distribution Center服務和位於某個域控制器是的Active Directory一起工作的,而且不能被停止。除了在域控制器上,該服務不應該在其他計算機上運行。

    ***21:Server
    服務方向:該服務提供RPC支持以及文件,打印和命名管道共享,Server服務是作為文件系統驅動器來實現的,可以處理I/O請求。
    可執行文件:winnt\system32\services.exe
    風險:如果沒有提供適當的用戶保護,會暴露系統文件和打印機資源 NetMeeting Remote Desktop Sharing
    建議:除非你打算在windows網絡上共享文件或打印機,否則不需要運行該服務。
    (附言:對於2000而言,這個是一個高風險服務。2000的用戶多知道默認共享吧,就是該服務的問題。如果不禁止,每次註銷或開機,默認共享就會打開,你的所以重要信息都將暴露。例如winnt文件夾,大家都應該知道他對於2000的重要,除非你的密碼夠安全,否則這個共享將是你機子的死穴!!!)

    ***22:Workstation
    服務方向:該服務提供網絡連接和通信。該服務以一個文件系統驅動器的形式工作,並且可以允許用戶訪問位於windows網絡上的資源。
    可執行文件:winnt\system32\services.exe
    風險:一些獨立服務器,例如web服務器,不應當參與到某個windows網絡中。
    建議:該服務應當只在位於某個內部網絡,並受到某個防火牆保護的工作站和服務器上運行,在任何可以連接到Internet的服務器上都應該禁用這個服務。

    23:TCP/IP打印服務器
    服務方向:該服務允許遠程UNIX用戶通過使用TCP/IP協議來訪問由某個windows2000服務器所管理的打印機。
    可執行文件:winnt\system32\tcpsvcs.exe
    風險:具有一些安全性弱點,並打開一個監聽端口。
    建議:該服務具有一些安全性弱點,因為打開了一個到internet的端口。因此,除非網絡通過防火牆與Internet隔離開,否則不要使用該服務。

    24:License Logging
    服務方向:該服務負責管理某個站點的許可協議信息。
    可執行文件:winnt\system32\llssrv.exe
    風險:沒有已知風險
    建議:除了在域控制器上,其它計算機不應當使用該服務。

    ***25:TCP/IP NETBIOS Helper
    服務方向:該服務允許在TCP/IP網絡上進行NETBIOS通信。
    可執行文件:winnt\system32\services.exe
    風險:暴露出系統中的netBIOS安全性弱點,例如NTLM認證。
    建議:除非你需要和一個舊版本的windows保持兼容,否則應當禁止該服務。

    26:Messenger
    服務方向:Messenger服務負責發送和接收由管理員或Alerter服務所傳遞的消息。
    可執行文件:winnt\system32\services.exe
    風險:沒有已知風險
    建議:該服務不需要而且應當被禁用。

    ***27:NetMeeting Remote Desktop Sharing
    服務方向:該服務允許授權用戶通過使用NetMeeting來遠程訪問你的Windows桌面。
    可執行文件:winnt\system32\mnmsrvc.exe
    風險:是一個具有潛在不安全性的服務。
    建議:該服務應當被禁止,因為它是會導致潛在地安全性弱點的。你可以使用Terminal服務來代替該服務用於遠程桌面訪問。

    28:Distributed Transaction Coordinator
    服務方向:微軟的Distributed Transaction Coordinator服務(MS DTC)可以借助OLE Transactions協議來提供一個事務(Transaction)協調工具,可以協調分布於兩個和多個數據庫,消息隊列文件系統和其他事務保護(trasaction protected)資源管理器的事務。
    可執行文件:winnt\system32\msdtc.exe
    風險:沒有已知風險
    建議:無需禁止

    ***29:FTP Publishing
    服務方向:文件傳輸協議不是一種安全的協議。如果不進行適當地保護,FTP Publishing服務將大來很多的安全性風險。
    可執行文件:winnt\system32\inetsrv\inetinfo.exe
    風險:微軟的FTP Server沒有已知風險。但一般而言,FTP是已知不安全的服務。
    建議:除非你需要通過FTP來提供文件共享,否則該服務應當被禁止。如果需要,請謹慎的對其進行保護和監視。

    30:Windows Installer
    服務方向:負責管理軟件的安裝。改服務對於安裝和修復軟件應用程序時很有用的。
    可執行文件:winnt\system32\msiexec.exe/V
    風險:無已知風險
    建議:保留

    31:Network DDE
    服務方向:該服務提供動態數據交換(DDE,Dynamic Data Exhange)數據流傳輸和安全性。
    可執行文件:winnt\system32\netdde.exe
    風險:通過網絡接受DDE請求
    建議:對於大多數應用程序而言,Network DDE是不需要的,你應當將它設置為手工啟動。

    32:Network DDE DSDM
    服務方向:該服務保存一個共享對話(shared conversation)數據庫,這樣當某個Network DDE共享被訪問時,共享會話將被應用,並且安全性檢測系統將確定請求這是否被允許訪問。
    可執行文件:winnt\system32\netdde.exe
    風險:沒有已知風險
    建議:該服務應當設置為手工啟動

    ***33:Net Logon
    服務方向:支持為域中計算機進行的帳號登錄事件的傳遞認證(pass-through authentication)。
    可執行文件:winnt\system32\lsass.exe
    風險:可以用於對強力密碼攻擊進行傳遞
    建議:該服務不應當在那些不作為域中一部份的獨立服務器上使用,禁止。

    34:Network Connections
    服務方向:該服務負責管理Network and Dial-Up Connections文件夾中的對像。該文件夾中你可以看到局域網和遠程連接。
    可執行文件:winnt\system32\svchost.exe -k netsvcs
    風險:沒有已知風險
    建議:由於該服務在需要時將自己啟動,因此可以設置為手動啟動。

    35:Network News Transport Protocol(NNTP)
    服務方向:用於提供一個新聞服務器服務,例如USENET.
    可執行文件:winntsystem32\inetsrv\inetinfo.exe
    風險:沒有已知風險
    建議:NNTP服務器應當安裝在一個DMZ網絡中。而且應當像其他網絡服務。例如FTP,Nail和Web服務那樣來對待。不建議在私有網絡上配置NNTP服務器,任何位於某個內部網絡上的服務器應當卸載或禁用NNTP服務。

    36:File Replication
    服務方向:file replication服務(FRS)可以跨域中的服務器來進行文件,系統策略和登錄腳本的複製,該服務還可以用於為分布式文件系統(DFS, Distributed File System)複製數據。
    可執行文件:winnt\system32\ntfrs.exe
    風險:沒有已知風險
    建議:它在多個服務之間維護文件目錄內容的文件同步,保持原狀。


    購買二手硬盤的經驗

    市場上的二手硬盤,一般都是修復過的,很多磁道讀寫很慢,很容易上當。

    最近我看到許多盜版可直接啟動光盤的啟動菜單中有「硬盤壞道修復器HDDSPEED」工具,選中回車,進入主菜單,按「ALT+P」選「GRAPHS」再選
    「LINEAR VERIFY SPEED」回車,就開始對硬盤測試,只要曲線不是大幅度波動,不超過兩個方框,就算可以了。

    二手硬盤一定要用軟件檢測,否則就買新的算了。


    博朗電子書標準文檔建立方法

    我們地區很多同修使用博朗電子書,但大多數同修尚未掌握電子書文檔建立方法,有的直接用Word文檔或txt(純文本)文檔或HTML文檔進電子書,造成大法經書在電子書中文章結構混亂,主要有以下幾種表現

    (1)直接用Word文檔或txt(純文本)文檔進電子書,整篇經書不分段。

    (2)直接用HTML文檔進電子書,出現雙題目、某些或全部阿拉伯數字(例如99•7•20)或特殊標點符號(如……──:?!「」等等或其它情況下)亂分段,一個阿拉伯數字就可能獨佔一行

    可能其它地區也存在類似情況,其實方法很簡單,現將自己摸索掌握的方法向同修推薦如下,若其他同修有更好的辦法,請幫助完善。

    1、標準文檔建立

    (1)直接下載HTML或CHM格式文檔。若是CHM格式文檔,要複製全文,然後用Microsoft FrontPage重新製作HTML網頁。

    (2)打開做好的HTML網頁,再打開「查看」,在「查看」中打開「源文件」,然後首先刪掉在源文件頂部之上×××××中的××××(××××即為電子書中重複的標題)。然後,向下查閱源文件的全文,刪掉所有的小寫數字(例如99•7•20)或特殊標點符號(如……──:?!「」等等或其它情況下)與其前、後字符間的一串符號(如<b>、<p>等),此串符號即為上、下分段符。這些分段符若不刪掉則在所有分段符處自行分段。例如《2004年紐約國際法會講法》解法部份中所有的「師:」前面均有「<b>」符號,結果是電子書中所有的「師:」均獨佔一行。不分段的文字之間應沒有任何其它符號,就像純文本文檔一樣。

    (3)HTML網頁也可像Word文檔一樣編輯,方法是:打開Microsoft FrontPage,然後用「文件」中「打開」,選擇要編輯的HTML網頁進行編輯。

    (4)在「源文件」狀態下也可編輯。但一定要注意:有時要替換某一字符,會把該字符後的1~2個字符一起替掉,有時不會。

    2、用Word文檔轉HTML網頁

    方法同上,但有的文檔分段符等符號特別多,不但費時費力,且文檔內存為標準文檔的兩倍甚至更大。若直接用Word文檔或txt(純文本)文檔進電子書,則整篇文檔不分段。

    3、目前博朗電子書660、600、300(外形大的那種)三種型號中,660型所有的文字均能自動顯示;600型已由同修解決了 「進」字顯示問題,但「卍」和「槃」字不能顯示,需用漢語拼音代替;300型上述3個字均不能顯示,需用漢語拼音代替。目前600型已被660型取代。


    對2004年10月29日《閃畫:ZoneAlarm 防火牆設置》的補充意見

    首先應該感謝閃畫的作者,使我對 ZoneAlarm 防火牆的具體設置有了進一步的了解,以前我只是使用默認的安全級別。可能是緣份所致,我手頭的一個和該文中用的 ZoneAlarm 版本號完全相同:4.5.538.001;後來我發現該文有漏:

    1. 打開 ZoneAlarm 自帶的幫助文件(點程序界面右上角的Help),依次展開「Firewall protection」、「Blocking and unblocking ports」,看了「Default port permission settings」和「Adding custom ports」下的說明後,我認為:閃畫中把所有端口全部封住其實是在中級安全設置的基礎上再加強;閃畫在「Firewall」一項中設置的整個過程就相當於把 Internet Zone 和 Trusted Zone 的安全級別設為 High 以後,再取消「Allow broadcast/multicast」。如果是 Windows 9x,還取消了「Allow outgoing DHCP (UDP port 67) 」。

    換句話說,只要把安全級別都設為 High 以後,那些端口都無需再封。

    對允許通過防火牆的軟件,可通過封住的端口。

    2. 閃畫講到選上「Hide my IP address when applicable」可以使「隱藏我的ip,這樣別人ping不到你了」,我認為不妥。可能是作者沒有注意到它的前提:「Contact with Zone Labs」和「Whenever I request info from Zone Labs:」,也就是「在與Zone Labs網站聯繫時」和「任何時候我從Zone Labs 請求(獲取)信息時」,在這種情況下「如果可能的話隱藏我的 IP」,換句話說就是:「儘量不向 Zone Labs 暴露我的 IP」。

    當然在該選項打勾可能會更安全,但選上該項後與「隱藏我的ip,這樣別人ping不到你了」沒有必然的因果關係,根據 ZoneAlarm 自帶的幫助文件,無論選不選該項,只要設置好以下選項:Firewall ->Main 把 Internet Zone 和 Trusted Zone 的安全級別設為 High ,即 Stealth 模式,別人就 ping 不到你。

    以上如有錯誤請及時慈悲指正!

    其實以上問題也不算大,我為甚麼要寫出此文呢?

    幾年前,我曾經教過幾個人上網,我是按照明慧網當時的一些文章介紹的先找代理服務器,再上二次加密代理,然後上明慧網的做法。

    而我在此之前都是通過 www4mail 和 agora 獲取網絡文件的,例如2000年時師父的四本新書我就是通過這種方法得到然後打印出來的(以上二者與 article@goodarticle.org 的原理相同)。後來我才開始用上面講到的用代理服務器的方法,我當時看那些技術文章也沒有仔細看,在給 IE 設置代理服務器的時候,只是設置了局域網的代理,然而當時大家卻都是通過56k的Modem撥號上網的,那麼,辛辛苦苦找來的代理其實根本就沒有用上,而是直接通過加密代理上明慧網,甚至直接上的是明慧的加密網站。而我卻是在這次從勞教所出來,看到了「輕舟網」的文章「通過Stunnel + OpenSSL + Privoxy 建立加密Http代理服務器及客戶端」一文以後才知道自己錯誤的,大家也能夠想像得到,當時我陷入了深深的自責和悔恨當中!

    就在自己還用不好的時候我還把它教給了別人,事後大概一、兩個月,他們都反映上明慧網上不去,而我當時連 www4mail 和 agora 的方法也想不起來用。

    後來跟我學上網的人中,除了幾個人我不知道他們的情況外,其餘全部被抓。

    雖然從當時的表面現象來看,事情發生的起因好像不在我這,但通過學法我認識到,當時的事情是針對我們的整體發生的,我的錯誤是資料點出事的原因之一!

    最後祝願大家能吸取我的教訓,在今後能更仔細一些,最終達到圓滿無漏!

    (c)2024 明慧網版權所有。


    Advertisement

    Advertisement

    Advertisement

    Advertisement

    Advertisement