提到"系統(tǒng)安全"這樣的字眼，相信多數(shù)人會(huì)條件反射地想到各種防火墻工具、防病毒軟件等，并且會(huì)片面認(rèn)為只要在系統(tǒng)中有了它們的存在，系統(tǒng)安全就會(huì)高枕無憂。其實(shí)，系統(tǒng)的安全單純靠"防"是防不住的，還需要你有足夠的安全意識(shí)。你對(duì)系統(tǒng)進(jìn)行操作的一舉一動(dòng)都可能在系統(tǒng)"暗角"留下訪問痕跡，這些痕跡要是不 及時(shí)被清理的話，就很有可能會(huì)招來安全麻煩，甚至帶來安全傷害；為了保證系統(tǒng)絕對(duì)安全，你平時(shí)就應(yīng)該著重細(xì)處，及時(shí)對(duì)系統(tǒng)"暗角"的各種隱私痕跡進(jìn)行清 理，以防止這些隱私給你帶來安全威脅。當(dāng)然，如何利用各種防火墻、防病毒軟件等工具保護(hù)自己的系統(tǒng)安全也是需要略知一二的。

技術(shù)門診是51CTO社區(qū)品牌欄目，每周邀請(qǐng)一位客座專家，為廣大技術(shù)網(wǎng)友解答疑問。從熱門技術(shù)到前沿知識(shí)，從技術(shù)答疑到職業(yè)規(guī)劃。每期一個(gè)主題，站在最新最熱的技術(shù)前沿為你引航

本期門診邀特請(qǐng)MCSE、微軟企業(yè)護(hù)航專家韓立剛與大家交流系統(tǒng)安全問題。大家可以就系統(tǒng)安全的防護(hù)與管理以及企業(yè)級(jí)網(wǎng)絡(luò)安全等問題與專家進(jìn)行探討。

姓　　名：韓立剛

[[9120]]
 

擅長(zhǎng)領(lǐng)域：系統(tǒng)管理、網(wǎng)絡(luò)安全

河北師范大學(xué)軟件學(xué)院講師，微軟認(rèn)證講師、微軟企業(yè)護(hù)航專家、MCSE、MCDBA。精通微軟Windows、SQLServer、Exchange、 ISA 2006等產(chǎn)品。國(guó)內(nèi)第一批通過微軟最新Windows Seryer 2008認(rèn)證--MCITP。從2005年至今負(fù)責(zé)河北、河南兩省微軟正版客戶的技術(shù)支持，服務(wù)于政府、傳媒、聯(lián)通、移動(dòng)、銀行、學(xué)校等IT部門，包括網(wǎng) 絡(luò)規(guī)劃、安全、高可用性設(shè)計(jì)、活動(dòng)目錄設(shè)計(jì)以及實(shí)施。 著有《 計(jì)劃、實(shí)現(xiàn)和維護(hù)Windows Server 2003活動(dòng)目錄結(jié)構(gòu)》、《Windows Server 2008系統(tǒng)管理之道 》等

查看本期門診精彩實(shí)錄：http://doctor.51cto.com/develop-161.html

參與最新技術(shù)門診：http://doctor.51cto.com/

精選本期網(wǎng)友提問與專家解答，以供網(wǎng)友學(xué)習(xí)參考。

Q：請(qǐng)問韓老師，要保證系統(tǒng)安全。我們應(yīng)該做到那幾點(diǎn)，應(yīng)該具體如何操作，平時(shí)的維護(hù)需要注意什么，注意哪個(gè)地方，具體應(yīng)該如何操作？

A：1.保護(hù)服務(wù)器安全 只開必要端口 禁用不必要的服務(wù)打開本地連接 只打開必要的端口 比如Web站點(diǎn) 只打開TCP的80端口關(guān)閉不必要的端口實(shí)現(xiàn)服務(wù)安全賬號(hào)安全，操作系統(tǒng)和殺毒軟件及時(shí)更新。最好不用服務(wù)器訪問Web站點(diǎn)或下載文件。不要將多種重要服務(wù)裝到一個(gè)服務(wù)器上，做好重要數(shù)據(jù)的備份。

2.保護(hù)工作站（辦公用的計(jì)算機(jī)）安全

啟用Windows 防火墻，系統(tǒng)和殺毒軟件及時(shí)更新，使用普通用戶上網(wǎng)辦公。如果發(fā)現(xiàn)系統(tǒng)有問題可以使用msconfig 查看可疑的自動(dòng)啟動(dòng)項(xiàng)和服務(wù)。

Q：想問下韓老師，企業(yè)的WINDOWS服務(wù)器要做的安全工作都有哪些？

A：1.先將服務(wù)器做安全評(píng)估，也就是根據(jù)服務(wù)器的角色定安全等級(jí)。指定相應(yīng)的安全策略。比如域控制器的安全級(jí)別要比普通服務(wù)器設(shè)置的要高一些。數(shù)據(jù)庫(kù)的安全級(jí)別要比Web站點(diǎn)的高。

2.根據(jù)評(píng)估結(jié)果針對(duì)不同的服務(wù)器采用不同安全措施。

a.數(shù)據(jù)安全 NTFS權(quán)限 共享權(quán)限在命令提示符下輸入gpedit.msc完成以下設(shè)置（適用于Windows 2003  2008 windows 7 和 xp的professional版）

     b.帳戶安全 密碼策略 帳戶鎖定策略

     c.本地安全策略 設(shè)置用戶權(quán)限 安全選項(xiàng)

     d.軟件限制策略 使用軟件限制策略禁止某些軟件執(zhí)行

     e.受限制的組 可以控制某些組的成員，比如administrators組的成員

     f.網(wǎng)絡(luò)層安全 只打開必要的端口

     g.數(shù)據(jù)傳輸安全 使用IPSec或高級(jí)安全Windows防火墻配置數(shù)據(jù)通信安全

     h.對(duì)服務(wù)器的安全使用 不要使用服務(wù)器下載未知安全的文件

     i.及時(shí)更新系統(tǒng)和病毒庫(kù)

Q：請(qǐng)問韓老師：我個(gè)人習(xí)慣使用windows操作系統(tǒng)，默認(rèn)賬戶是administrator。聽很多人說這樣并不是很安全。請(qǐng)問我們?cè)谠O(shè)置系統(tǒng)賬戶的時(shí)候有什么特別需要注意的安全問題嗎？謝謝！

A： administrator是系統(tǒng)內(nèi)置的管理員賬號(hào)，該賬號(hào)不能刪除，但可以禁用和重命名。從安全角度考慮，可以將該用戶帳戶禁用或重命名，別人就沒有辦法猜administrator的密碼了。提示： 在禁用administrator帳戶之前，最好先創(chuàng)建另外一個(gè)用戶帳戶，將其添加到administrators組。用戶的密碼最好復(fù)雜一些，8位以上，比如 P@ssw0rd 之類的密碼，其中包括了大小寫字符數(shù)字特殊符號(hào)。尤其是具有管理員權(quán)限的用戶的密碼更得設(shè)置復(fù)雜一些。平時(shí)上網(wǎng)或辦公，最好使用普通用戶。需要管理了再使用管理員登錄。

Q：ISA 我自己一直在用，想問下專家有發(fā)現(xiàn)有高人攻破ISA 服務(wù)器嗎？

A： 我目前沒有沒有發(fā)現(xiàn)。建議及時(shí)升級(jí)安裝ISA的操作系統(tǒng)和ISA。微軟的系統(tǒng)更新能夠及時(shí)消除安全隱患。

Q：系統(tǒng)一般都會(huì)開啟默認(rèn)共享，就是那種C$,D$之類的，這樣安全嗎，是否有必要關(guān)閉？

A： 默認(rèn)共享是為具有管理員權(quán)限的用戶準(zhǔn)備的，且共享權(quán)限也不能被更改，普通用戶沒有權(quán)限訪問默認(rèn)共享?？刂坪孟到y(tǒng)的管理員數(shù)量，確保管理員帳戶的安全就可以了。如果還是不放心，就可以通過修改注冊(cè)表刪除默認(rèn)共享。在刪除默認(rèn)共享之前要確保你的系統(tǒng)上沒有應(yīng)用使用默認(rèn)共享。

Q：對(duì)于使用IWNDOWS2003系統(tǒng)架構(gòu)的WEB服務(wù)器,如果配置才能使其安全風(fēng)險(xiǎn)最低?

A： 從應(yīng)用層設(shè)置安全

 一、 帳戶管理

    1.重命名管理員 administrator ，設(shè)置復(fù)雜密碼 控制administrators組的成員

    2.刪除多余用戶 禁用guest用戶

    3.停止不必要的服務(wù)

  二、審核策略

     1.審核帳戶管理策略

     2.審核登錄敗策略

 三、實(shí)用msconfig 禁用可疑的服務(wù)和自動(dòng)啟動(dòng)項(xiàng)

 四、網(wǎng)絡(luò)層安全

 設(shè)置IPSec 只允許TCP協(xié)議目標(biāo)端口為80的數(shù)據(jù)包進(jìn)入網(wǎng)卡，TCP源端口為80的數(shù)據(jù)包出網(wǎng)卡。這樣只要你的Web沒有漏洞，入侵者就沒有辦法入侵。萬(wàn)一你的服務(wù)器中了木馬，木馬也不能和外界建立通信，不能對(duì)你產(chǎn)生什么威脅。

Q：能推薦幾款在vista和windows7下方便、實(shí)用、功能強(qiáng)大的手殺工具嗎？冰刃、Wsyscheck都是針對(duì)XP的，vista和windows7下的表現(xiàn)并不太好。

A：我還沒有發(fā)現(xiàn)專門針對(duì)Vista或Windows 7的手剎工具

Q：剛裝完系統(tǒng)之后系統(tǒng)是最不安全的，比如好多補(bǔ)丁沒打，還有就是系統(tǒng)還默認(rèn)開了3389，就是裝完系統(tǒng)之后我們首先要做的幾點(diǎn)是什么，可能WIN7,XP是有不同的地方的，請(qǐng)指出，謝謝！

A：公司重要服務(wù)器最好使用帶最新補(bǔ)丁的安裝盤安裝系統(tǒng)，為了安全起見，不要將系統(tǒng)聯(lián)機(jī)更新，可以將補(bǔ)丁和更新下載下來 拷貝到新裝的系統(tǒng)中，安裝更新。設(shè)置系統(tǒng)本地安全策略，比如禁用默認(rèn)共享，設(shè)置軟件限制策略，IPSec等，創(chuàng)建用戶規(guī)劃用戶密碼策略，加固系統(tǒng)。然后就是安裝殺毒軟件，更新病毒庫(kù)。如果是工作站，別忘了備一份以下系統(tǒng)盤。

Q：目前各種盜號(hào)技術(shù)頻出，自己使用的各種賬號(hào)密碼很擔(dān)心被盜。請(qǐng)問專家在設(shè)置賬號(hào)密碼的時(shí)候有什么小技巧或者需要特別注意的地方嗎？謝謝！

A：重點(diǎn)防范盜號(hào)木馬，安裝木馬查殺工具，如果懷疑中了木馬，開機(jī)之后，什么也別干，在命令行下輸入netstat -nb來查看是否有莫名其妙的會(huì)話，注意，確保系統(tǒng)沒有更新，殺毒軟件沒有更新。因?yàn)槟抉R對(duì)外進(jìn)行聯(lián)系，終會(huì)建立會(huì)話的。-b參數(shù)還能看到建立會(huì)話的進(jìn)程。木馬大多是服務(wù)形式存在，運(yùn)行MSConfig 打開系統(tǒng)配置工具，點(diǎn)擊"隱藏微軟服務(wù)"，查看可疑服務(wù)。有些木馬將自己設(shè)置為"禁用"狀態(tài)。

Q：平時(shí)維護(hù)系統(tǒng)時(shí)候，經(jīng)常用到PE。PE目前現(xiàn)在有幾個(gè)核心版本啊？網(wǎng)上一會(huì)說是XP核心、一會(huì)是vista、win7核心都搞暈了。是不是核心版本越高，越好用，還是……？順便討要幾個(gè)在PE下能使用的安全工具。專家能推薦幾個(gè)嗎？謝謝了

A：目前用的最多的是Windows PE 2.0。Windows PE 2.0 與以前版本的 Windows PE 的對(duì)比首先，Windows PE 2.0 基于 Windows Vista 組件，而早期版本的 Windows PE 則是基于 Windows XP 或 Microsoft Windows Server 2003。因此，Windows PE 2.0 支持 Windows Vista 驅(qū)動(dòng)程序并受益于許多 Windows Vista 的改進(jìn)（包括通過 Windows 防火墻提供的防網(wǎng)絡(luò)攻擊方面的改進(jìn)）。如前所述，Windows PE 2.0 現(xiàn)在支持驅(qū)動(dòng)程序注入，這使您在啟動(dòng) Windows PE 之前或之后都可以加載驅(qū)動(dòng)程序?，F(xiàn)在，如果您啟動(dòng) Windows PE 并發(fā)現(xiàn)它缺少一個(gè)必需的驅(qū)動(dòng)程序，您就可以從可移動(dòng)媒體加載非標(biāo)準(zhǔn)驅(qū)動(dòng)程序，并立即使用該硬件而無需重新啟動(dòng)計(jì)算機(jī)。為了更具靈活性，尤其是在創(chuàng)建預(yù)安裝腳本時(shí)，Windows PE 2.0 現(xiàn)在包含已增加內(nèi)容的"Windows 管理規(guī)范"(WMI) 支持。使用 WMI，您可以通過腳本或命令提示符執(zhí)行大多數(shù)配置或管理任務(wù)。

過去，許多應(yīng)用程序不能在 Windows PE 1.0 中運(yùn)行，因?yàn)檫@些程序需要臨時(shí)存儲(chǔ)空間，并且 Windows PE 經(jīng)常從不可寫入的媒體（如 CD）啟動(dòng)?，F(xiàn)在，通過在計(jì)算機(jī)的 RAM 中提供 32 MB 刻錄空間，Windows PE 2.0 可支持大部分需要對(duì)臨時(shí)文件執(zhí)行寫操作的應(yīng)用程序。每當(dāng)應(yīng)用程序試圖對(duì)臨時(shí)文件（無論哪個(gè)文件夾）執(zhí)行寫操作時(shí)，Windows PE 都會(huì)將更改內(nèi)容重定向到內(nèi)存中的刻錄空間，以模擬硬盤。當(dāng)然，當(dāng)您重新啟動(dòng)計(jì)算機(jī)后，所有更改都將丟失。

#p#

Q：怎么樣在格式化的時(shí)候防止數(shù)據(jù)被恢復(fù)，是在磁盤上全部寫0，還是低格的方法，還有沒有其他的好方法，最好就是不怎么損害硬盤的方法

A：在格式化之前先 使用文件粉碎軟件將文件粉碎，再格式化。可以從網(wǎng)上下載，瑞星 就有文件粉碎軟件。

Q：哎，最近發(fā)生在我身上一件事，無意中我把域用戶全部給刪了。我想問一下老師，是否這種災(zāi)難也在系統(tǒng)安全的范疇之內(nèi)叫？有無很好的辦法預(yù)防？

A：安全的范疇很廣，大家都把注意力放到了技術(shù)上面，其實(shí)用戶的安全意識(shí)也很重要。作為一個(gè)企業(yè)的IT管理人員，應(yīng)該是未雨綢繆，考慮到潛在的風(fēng)險(xiǎn)，比如公司重要數(shù)據(jù)應(yīng)該放到多個(gè)服務(wù)器上，使用DFS技術(shù)，實(shí)現(xiàn)冗余，避免硬件故障造成數(shù)據(jù)丟失。應(yīng)該及時(shí)備份，避免誤操作造成數(shù)據(jù)丟失。域控制器應(yīng)該指定備份計(jì)劃備份系統(tǒng)狀態(tài)，來備份活動(dòng)目錄。你的問題就能解決，如果沒有備份誰(shuí)也沒辦法。

Q：專家您好，在如今社會(huì)，作為網(wǎng)管，我們還是比較擔(dān)心內(nèi)網(wǎng)安全，歷史證明，從03年開始比較流行的SQL注入，震蕩波等網(wǎng)絡(luò)手段的新起，使得我們?cè)谧鰞?nèi)網(wǎng)的時(shí)候考慮的因素也多了，如何更好的發(fā)揮內(nèi)網(wǎng)安全技術(shù)也是考驗(yàn)管理人員的一個(gè)標(biāo)準(zhǔn)，但是比較頭疼的是，我在這里做的比較差，所以想問問專家，在面對(duì)客戶端和服務(wù)器端我們?nèi)绾尾僮鲗?shí)施？

A： 對(duì)內(nèi)外的服務(wù)器和計(jì)算機(jī)進(jìn)行安全評(píng)估，在易用性和安全性之間取得平衡。評(píng)估每種風(fēng)險(xiǎn)對(duì)公司帶來的損失大小，采取相應(yīng)的措施避免。比如硬盤故障造成數(shù)據(jù)丟失，將會(huì)為公司帶來100萬(wàn)的損失，你可以考慮花費(fèi)2萬(wàn)購(gòu)買數(shù)據(jù)熱備系統(tǒng)。從網(wǎng)絡(luò)安全角度考慮將安全性要求一致服務(wù)器放置到特定VLAN  按部門劃分VLAN 比如將能夠訪問Internet的計(jì)算機(jī)放到一個(gè)VLAN。安裝網(wǎng)絡(luò)監(jiān)視工具，監(jiān)控網(wǎng)絡(luò)中異常的廣播和多播包。搭建域環(huán)境創(chuàng)建組織單元，將安全性要求一致的服務(wù)器和計(jì)算機(jī)防止到相應(yīng)的組織單元，設(shè)置相應(yīng)的安全策略安裝MOM軟件監(jiān)控操作系統(tǒng)的異常并創(chuàng)建警報(bào)。比如磁盤空間不足，CPU利用率高于某個(gè)指標(biāo)。

Q：如何進(jìn)行域環(huán)境下的共享，請(qǐng)?jiān)敿?xì)說明，或者給我一份資料，謝謝大師了！

A： 首先搭建域環(huán)境 將計(jì)算機(jī)加入域 然后就可以為域用戶授權(quán)共享資源了。

Q：網(wǎng)上所謂的影子系統(tǒng)，能真正做到系統(tǒng)安全嗎？

A：使用影子系統(tǒng)，可以進(jìn)行一些危險(xiǎn)的操作，比如從網(wǎng)上下載未知的軟件安裝，即便是中了病毒也無所謂。退出影子系統(tǒng)一切將不存在。不能保存任何東西，退出影子系統(tǒng) 你編輯的文檔和存儲(chǔ)的數(shù)據(jù)都將丟失。如果你正常辦公，給領(lǐng)導(dǎo)編輯發(fā)言稿肯定要保存的，不能進(jìn)入影子系統(tǒng)編輯，因?yàn)槟阈枰４婢庉嫷奈臋n?？梢姷接白酉到y(tǒng)是安全的，因?yàn)橥顺龊蟛槐４嫒魏螖?shù)據(jù)，這也是其局限性。

Q：韓老師你好：請(qǐng)問下WINDOWS系統(tǒng)默認(rèn)情況下會(huì)開啟來賓用戶，這樣會(huì)帶來不必要的安全問題。但是關(guān)閉后又會(huì)阻礙一些共享功能，鑒于這個(gè)問題該如何解決呢？？？另外為什么插上還原卡（硬件）后系統(tǒng)盤會(huì)消耗很大容量呢？？謝謝??！

A：如果你的服務(wù)器只需要對(duì)其他計(jì)算機(jī)提供匿名訪問功能，就啟用guest用戶。共享權(quán)限設(shè)置為只讀。禁用guest用戶，不會(huì)影響共享的。訪問共享資源時(shí)需要用戶輸入服務(wù)器上的帳戶密碼。插上還原卡，就會(huì)記錄你對(duì)磁盤的所有操作，比如刪除文件和添加文件，肯定占用磁盤空間，以便還原時(shí)用上。

Q：20來臺(tái)pc的小型局域網(wǎng)，現(xiàn)在連工作組都沒建。我打算建成一個(gè)win2008 下的 AD域，然后在域下統(tǒng)一部署防火墻/殺毒軟件，應(yīng)該用哪種防火墻/殺毒軟件比較好呢？

A：防火墻就是用Windows XP 或Windows 7高級(jí)安全Windows防火墻即可。殺毒建議使用瑞星，為了統(tǒng)一管理，可以考慮購(gòu)買網(wǎng)絡(luò)版的。構(gòu)建Windows 2008 活動(dòng)目錄域的參考文件可以從以下鏈接找到，http://hanligang.blog.51cto.com/400469/275684

Q：?jiǎn)挝粌?nèi)所有電腦都是通過一臺(tái)華為防火墻上網(wǎng)，部分電腦無法上微軟，華為賽門鐵克，瑞星，卡巴斯基 這個(gè)4個(gè)網(wǎng)站。如在瀏覽器里輸入www.rising.com.cn或 www.microsoft.coms 時(shí)經(jīng)常會(huì)自動(dòng)跳轉(zhuǎn)到百度搜索結(jié)果頁(yè)面。點(diǎn)擊搜索結(jié)果會(huì)出現(xiàn)無法顯示該頁(yè)。也有直接出現(xiàn)無法顯示該頁(yè)的情況。用nslookup 能夠解析到網(wǎng)站地址。HOST文件沒有被篡改。懷疑是dns解析問題以排除殺毒軟件原因和防火墻。但是所有電腦dns指向都相同的情況下部分不能上，用360安全衛(wèi)士修復(fù)IE也不行。

A：這種情況極有可能你的瀏覽器中了惡意插件，安裝IE8.0 使用IE重置修復(fù)。

Q：韓老師：您好，我是一個(gè)剛畢業(yè)出來的學(xué)生，現(xiàn)在在某公司IDC工作最近公司要搬遷機(jī)房拓?fù)渌袞|西要自己做過，所以我想問問老師怎么樣去系統(tǒng)的把整個(gè)IDC邊緣的安全策略制定呢？在防火墻方面怎么樣去設(shè)置呢？？在IDC需要去考慮哪些安全方面問題呢？希望老師百忙中解答一二。學(xué)生很迷惑。先謝謝老師了。

A：從以下幾方面考慮：指定數(shù)據(jù)訪問安全策略 設(shè)置NTFS權(quán)限 EFS加密 共享權(quán)限系統(tǒng)安全策略 制定審核策略 帳戶策略 用戶權(quán)利指派（比如哪些用戶能夠登錄） 安全選項(xiàng) 軟件限制策略 去掉默認(rèn)共享等網(wǎng)絡(luò)安全策略 使用IPSec保護(hù)服務(wù)器通信安全 只允許和必要的服務(wù)器通信比如SQL Server服務(wù)器只允許Web站點(diǎn)訪問防病毒木馬 部署網(wǎng)絡(luò)版殺毒軟件 設(shè)置病毒庫(kù)更新策略劃分VLAN 將安全性要求相同的服務(wù)器放置到同一VLAN

Q：請(qǐng)教一個(gè)問題：我們單位的域控是2003，用戶是xp，最近用戶登錄時(shí)總是出現(xiàn)"本地策略不允許你交互式登錄"，這個(gè)問題，改怎么解決？謝謝!

A：點(diǎn)擊"開始"-->"運(yùn)行"，輸入secpol.msc 打開本地安全策略，點(diǎn)開 本地策略-->用戶權(quán)利分配-->允許在本地登錄，查看是否有普通用戶組，點(diǎn)開 本地策略-->用戶權(quán)利分配-->拒絕在本地登錄 是否有用戶。

Q：網(wǎng)絡(luò)通道有木馬 ping有時(shí)候總是丟包~  怎么處理呢？

A： 首先ping本網(wǎng)段地址比如網(wǎng)關(guān) 查看延遲

來自 10.7.10.1 的回復(fù): 字節(jié)=32 時(shí)間=5ms TTL=255

如果丟包或 時(shí)間 大于 50 ms 則有可能是內(nèi)網(wǎng)堵塞，使用捕包工具 抓包查看是否有較多的多播或廣播包。如果ping網(wǎng)關(guān)不丟包，而ping Internet上的計(jì)算機(jī)丟包，則有可能是你到網(wǎng)通或電信接入Internet的鏈路堵塞。

Q：韓老師，你好，我有兩個(gè)問題請(qǐng)教：

一、我主要是做防病毒的，現(xiàn)在很多企業(yè)考慮到數(shù)據(jù)安全及網(wǎng)絡(luò)安全都做了網(wǎng)絡(luò)隔離，斷開了與互聯(lián)網(wǎng)的鏈接，但是企業(yè)網(wǎng)絡(luò)內(nèi)部仍然有大量病毒感染事件導(dǎo)致電腦故障甚至影響網(wǎng)絡(luò)通信，從我個(gè)人統(tǒng)計(jì)來看，傳播方式基本上是通過U盤、文件共享和系統(tǒng)漏洞傳播，前邊兩個(gè)倒是好處理，這個(gè)漏洞卻不好辦?？紤]到資金問題，準(zhǔn)備用微軟的WSUS來為電腦打補(bǔ)丁，但這個(gè)內(nèi)網(wǎng)無法連接微軟的更新服務(wù)器啊，有沒有什么好的辦法來更新補(bǔ)丁。

二、有啥免費(fèi)的軟件可以給服務(wù)器做安全評(píng)估??？謝謝！

A：公司兩個(gè)網(wǎng)絡(luò)，一個(gè)能上internet的網(wǎng)絡(luò)中部署一個(gè)個(gè)WSUS服務(wù)器S1，不能上internet的網(wǎng)絡(luò)部署一個(gè)WSUS服務(wù)器S2，兩個(gè)網(wǎng)絡(luò)物理隔離，步驟：

1。更新元數(shù)據(jù)（Metadata）：使用wsusutil.exe導(dǎo)出/導(dǎo)入元數(shù)據(jù)。

2。更新數(shù)據(jù)（Update）：復(fù)制wsuscontent

Microsoft Baseline Security AnalyzerMicrosoft Baseline Security Analyzer (MBSA) 是專為 IT 專業(yè)人員設(shè)計(jì)的一個(gè)簡(jiǎn)單易用的工具，可幫助中小型企業(yè)根據(jù) Microsoft 安全建議確定其安全狀態(tài)，并根據(jù)結(jié)果提供具體的修正指南。使用 MBSA 檢測(cè)常見的安全性錯(cuò)誤配置和計(jì)算機(jī)系統(tǒng)遺漏的安全性更新，改善您的安全性管理流程。

Q：請(qǐng)問一下，以現(xiàn)有的操作系統(tǒng)Windows XP 能否對(duì)對(duì)于TCP/udp協(xié)議的sys flood、DDOS攻擊進(jìn)行有效防治，起碼使本機(jī)不會(huì)對(duì)網(wǎng)絡(luò)能信產(chǎn)生破壞，提高網(wǎng)絡(luò)的穩(wěn)定性，如果不能Windows 7操作系統(tǒng)是否能解決這個(gè)問題呢？

A：TCP/udp協(xié)議的sys flood、DDOS攻擊與操作系統(tǒng)無關(guān)，如果想有效防治，也只能在有入侵檢測(cè)的防火墻上設(shè)置。類似DDOS這種攻擊，沒有辦法防止的。這些也是正常的網(wǎng)絡(luò)行為的，沒有辦法。什么系統(tǒng)也沒有辦法的

 不管XP、Linux、Windows7,都沒有辦法

Q：您好,我想問一下像公司內(nèi)網(wǎng)或者外網(wǎng)用的windows2003服務(wù)器裝好系統(tǒng)后應(yīng)該用什么方法打補(bǔ)丁?用360好像不太專業(yè)?但系統(tǒng)自帶的update好像有點(diǎn)麻煩,而且360里提示很多補(bǔ)丁是不推薦打的,不知道用update會(huì)不會(huì)出問題.謝了！

A： 打系統(tǒng)補(bǔ)丁是非常慎重的事，不建議直接給服務(wù)器打補(bǔ)丁，我遇到過服務(wù)更新完系統(tǒng)后，某些服務(wù)啟動(dòng)不了的事情（雖然很少發(fā)生）。應(yīng)該搭建和生產(chǎn)環(huán)境一模一樣的測(cè)試環(huán)境，現(xiàn)在測(cè)試環(huán)境中的服務(wù)器打上補(bǔ)丁，正常運(yùn)行1 、2周，然后再在生產(chǎn)環(huán)境中的服務(wù)器應(yīng)用補(bǔ)丁。如果公司的服務(wù)器多，最好使用WSUS和組策略將計(jì)算機(jī)分組，管理員批準(zhǔn)服務(wù)器安裝哪些補(bǔ)丁。

Q：WIN2003操作系統(tǒng)，怎么做才算是相對(duì)安全？大致需要注意哪些方面的（物理的除外）？

A：1.數(shù)據(jù)存儲(chǔ)和訪問安全 NTFS和共享權(quán)限設(shè)置的最恰當(dāng) 磁盤冗余 重要數(shù)據(jù)備份

2.系統(tǒng)加固 設(shè)置用戶賬戶策略 密碼策略 用戶權(quán)限分配 審核策略 軟件限制策略

3.網(wǎng)絡(luò)層安全 使用IPSec嚴(yán)格控制好進(jìn)出服務(wù)器的流量 Windows防火墻只能控制主動(dòng)進(jìn)入系統(tǒng)的瀏覽 不能控制服務(wù)器主動(dòng)出去的流量。

4.系統(tǒng)及時(shí)更新，病毒庫(kù)及時(shí)更新，設(shè)計(jì)完整的病毒掃描和系統(tǒng)升級(jí)計(jì)劃

具體步驟看以下文章：http://hanligang.blog.51cto.com/400469/279815

Q：您好 我是剛才問了您windows打補(bǔ)丁的事情 你說的WSUS是多是內(nèi)網(wǎng)用的吧?要是放在idc的公網(wǎng)服務(wù)器怎么及時(shí)打補(bǔ)丁呢?您說搭建和生產(chǎn)機(jī)一樣的環(huán)境先測(cè)試,這的確是好辦法,但生產(chǎn)機(jī)的數(shù)據(jù)都是時(shí)刻變化的,不好搭建一模一樣的環(huán)境,而且這太耗時(shí)耗力了.

A： 你也可以在IDC的公網(wǎng)部署一臺(tái)WSUS，配置IDC的公網(wǎng)服務(wù)器使用你的WSUS下載補(bǔ)丁。我說的軟件環(huán)境相同，并不意味著數(shù)據(jù)相同。只對(duì)關(guān)鍵業(yè)務(wù)服務(wù)器搭建測(cè)試環(huán)境，并不是所有服務(wù)器。

Q：韓老師你好，我所接觸的系統(tǒng)就是windows系統(tǒng)，也是大多是用戶常用的系統(tǒng)，針對(duì)這樣的用戶系統(tǒng)，我們應(yīng)該注意什么？該做到那些防范措施？如何檢測(cè)我們的系統(tǒng)所存在的漏洞？?jī)H僅是打補(bǔ)丁就可以嗎？

A： 使用普通用戶登錄系統(tǒng)，進(jìn)行日常工作。如果使用管理員登錄，訪問Internet，如果有病毒或惡意腳本執(zhí)行的話，就可以以管理員的身份運(yùn)行，向系統(tǒng)目錄植入病毒。普通用戶由于沒有管理員權(quán)限，病毒以當(dāng)前用戶運(yùn)行，也不能破壞系統(tǒng)。使用360安全衛(wèi)士檢測(cè)系統(tǒng)安全。服務(wù)器不要輕易訪問Internet，下載文件。除了管理服務(wù)器，不要使用服務(wù)器辦公。

Q：韓老師,您好!主要想問一下關(guān)于在DOS下使用命令來查看網(wǎng)絡(luò)進(jìn)程方面的內(nèi)容.一般來說,用netstat -abn或其它命令可以偵測(cè)到那些端口的流量與所發(fā)送數(shù)據(jù)包的大小.而使用tracert XX可是用來查看數(shù)據(jù)包所跳過的路由,突然有種想法:有沒有哪條命令可以查看數(shù)據(jù)包通過哪些交換設(shè)備. 一般來說城域網(wǎng)中若能知道所經(jīng)交換與路由,對(duì)其整體網(wǎng)絡(luò)的拓?fù)鋵?huì)有一個(gè)更好理解?不知道這樣想法對(duì)嗎?

A：pathping 或 突然側(cè)讓他 能夠跟蹤數(shù)據(jù)包經(jīng)過的路由。我還沒有發(fā)現(xiàn)能夠跟蹤數(shù)據(jù)包經(jīng)過二層設(shè)備的命令。

Q：韓老師，您好，我想問一下針對(duì)WINDOWS 2003及WINDOWS2008服務(wù)器的管理的學(xué)習(xí)，有什么好的書或者視頻？能否推薦一下？

A：系統(tǒng)學(xué)習(xí)Windows Server 2008的教材 均有詳盡的視頻教程

清華出版社 Windows Server 2008視頻突擊 系列教材

《Windows Server 2008系統(tǒng)管理之道》

《貫徹WindowsServer2008網(wǎng)絡(luò)基礎(chǔ)架構(gòu)》

《掌控WindowsServer2008活動(dòng)目錄》

《WindowsServer2008安全內(nèi)幕》

WindowsServer2003的學(xué)習(xí) 盡快從 ftp://ftp.hebeijd.com 下載 就不要購(gòu)買WindowsServer2003的教材了，視頻操作比書面的要詳盡的多。

或者訪問我的博客 http://hanligang.blog.51cto.com/

#p#

Q：韓老師好，我們?nèi)粘ｋy免將一些個(gè)人信息泄露出去，而這些個(gè)人信息有可能被不法分子所利用，因此我想詢問的是在網(wǎng)絡(luò)中如何有效的防止個(gè)人信息的泄露。

A：在網(wǎng)上注冊(cè)個(gè)人信息時(shí)輸入電子郵件 家庭住址 郵編 電話 手機(jī)等要謹(jǐn)慎。

Q：請(qǐng)問高職學(xué)生往系統(tǒng)管理方面發(fā)展怎么樣？就業(yè)前景如何？要重點(diǎn)掌握哪些方面的內(nèi)容？有哪些證書可以考?。恐x謝！

A：如果定位自己的職業(yè)為IT管理，可以分三步走。 就業(yè)前景取決于你學(xué)的知識(shí)是否成體系，是否實(shí)用、還有你掌握的知識(shí)深度和廣度，以及你解決問題的能力。

我的學(xué)生畢業(yè)之后月薪變化：第一年石家莊1500/月-->第二年北京3000/月-->第四年北京跳槽7000/月。總之從事IT行業(yè)，前提是喜歡從事的職業(yè)，你要找準(zhǔn)自己的方向不斷的學(xué)習(xí)，經(jīng)驗(yàn)積累，最終成為某一領(lǐng)域的專家，能人之不能，會(huì)人之不會(huì)。

1.網(wǎng)絡(luò)方面的學(xué)習(xí)

       學(xué)習(xí)Cisco網(wǎng)絡(luò)工程師課程（CCNA），這是進(jìn)入IT領(lǐng)域的必經(jīng)之路，然后在學(xué)習(xí)CCNP課程，重點(diǎn)學(xué)習(xí)多層交換和安全。

2.系統(tǒng)管理方面

    微軟的Windows 在企業(yè)中應(yīng)用很是廣泛，因此需要系統(tǒng)學(xué)習(xí)Windows服務(wù)器的管理。Windows Server 2003管理 Windows Server 2008服務(wù)器管理 Windows網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，Windows 活動(dòng)目錄 對(duì)的認(rèn)證（MCSE和MCITP）。 Linux redhat 5.0 企業(yè)版在大型服務(wù)器應(yīng)用較多。

 3. 數(shù)據(jù)庫(kù)

    中小企業(yè)數(shù)據(jù)庫(kù) SQL 2005 SQL 2008 （MCDBA）。大型數(shù)據(jù)庫(kù) Oracle

Q：韓老師！您好！在我們使用Linux或Unix組建服務(wù)器時(shí)，為了方便遠(yuǎn)程維護(hù)和管理，基本上都會(huì)開放sshd服務(wù)。雖然ssh將聯(lián)機(jī)的封包通過加密的技術(shù)來進(jìn)行資料的傳遞，能夠有效地抵御黑客使用網(wǎng)絡(luò)偵聽來獲取口令和秘密信息，但是仍然不乏大量入侵者進(jìn)行密碼嘗試或其他手段來攻擊ssh服務(wù)器以圖獲得服務(wù)器控制權(quán)。如何才能使自己的服務(wù)器更安全可靠呢？如何對(duì)對(duì)ssh服務(wù)器的配置略加以調(diào)整，從而降低網(wǎng)絡(luò)入侵的風(fēng)險(xiǎn)？

A：這就要換一個(gè)思路解決問題，不要設(shè)置SSHD服務(wù)的安全性了，通過網(wǎng)絡(luò)層安全保證應(yīng)用層安全，即使用iptables實(shí)現(xiàn)。設(shè)置iptables，添加一個(gè)INPUT規(guī)則，只允許管理員使用的計(jì)算機(jī)的地址或網(wǎng)段能夠使用SSH訪問Linux，這樣來自其他網(wǎng)段的入侵者就不能使用SSH連接Linux了。

Q：普通用戶有沒有必要安裝HIPS系統(tǒng)？哪些HIPS好用？

A：這取決與你單位的對(duì)計(jì)算機(jī)的安全管理標(biāo)準(zhǔn)和用戶的水平而定。當(dāng)某進(jìn)程或者程序試圖偷偷運(yùn)行的時(shí)候總是會(huì)調(diào)用系統(tǒng)的一些其他的資源，這個(gè)行為就會(huì)被hips檢測(cè)到然后彈出警告詢問用戶是否允許運(yùn)行，用戶根據(jù)自己的經(jīng)驗(yàn)來判斷該行為是否正確安全，是則放行允許運(yùn)行，否就不使之運(yùn)行，一般來說，在用戶擁有足夠進(jìn)程相關(guān)方面知識(shí)的情況下，裝上一個(gè)hips軟件能非常有效的防止木馬或者病毒的偷偷運(yùn)行。

Q：您好,請(qǐng)教一個(gè)問題,我有一個(gè)備份的數(shù)據(jù)庫(kù)文件和日志文件,如何將數(shù)據(jù)恢復(fù)到某個(gè)時(shí)間點(diǎn)？

A： 是SQL Server 么？ 備份之前數(shù)據(jù)庫(kù)的還原模型必須設(shè)置成"完全還原模型"有完整數(shù)據(jù)庫(kù)備份 日志備份，使用完整數(shù)據(jù)庫(kù)備份還原 帶參數(shù)norecovery，然后在使用日志備份還原 帶參數(shù) stopat='2005-04-05 14:11:38.000'

restore database northwind from mybackupfile1,mybackupfile2 with file=1,replace ,norecovery

--restore log northwind from mybackupfile1,mybackupfile2 with file=2,norecovery

restore database northwind from mybackupfile1,mybackupfile2 with file=3,norecovery

restore log northwind from mybackupfile1,mybackupfile2 with file=4,recovery, stopat='2005-04-05

14:11:38.000'

使用企業(yè)管理器還原 日志備份還原時(shí)也可以指定時(shí)間。

Q：您好，韓老師，為了防止病毒傳播，公司對(duì)域內(nèi)U盤等存儲(chǔ)設(shè)備進(jìn)行訪問限制，但是公司里有一套系統(tǒng)采用一種USB的軟件加密狗（類似鑒權(quán)密鑰），我如果通過注冊(cè)表封鎖USB口，怎么保證此種軟件加密狗能夠繼續(xù)使用？？

A：清揚(yáng)內(nèi)網(wǎng)管理軟件 或其他內(nèi)網(wǎng)管理軟件

Q：韓老師您好~我是一名即將畢業(yè)的大專生，我學(xué)習(xí)的是網(wǎng)絡(luò)安全專業(yè)也很喜歡網(wǎng)絡(luò)安全，目前學(xué)習(xí)了ccnp 和ccsp，我總覺得以后找工作HR只看你是否有相關(guān)工作經(jīng)驗(yàn)，對(duì)于踏出校園的第一步，我們想從事網(wǎng)絡(luò)安全的學(xué)生應(yīng)該怎么走這條路呢？應(yīng)該先找個(gè)什么樣的工作呢？我怕我做了1年網(wǎng)管，等面試網(wǎng)絡(luò)安全工程師的時(shí)候hr說我沒有相關(guān)工作經(jīng)驗(yàn)。希望得到韓老師解答~謝謝您！

A： 騎著驢招馬 先就業(yè)再擇業(yè) 先解決生存問題再考慮發(fā)展，短期目標(biāo)解決生存，長(zhǎng)期目標(biāo)解決發(fā)展?？傊凶约旱姆较?，不畏學(xué)習(xí)中的艱難，且能夠享受學(xué)習(xí)的樂趣，經(jīng)過3年就能成為某個(gè)領(lǐng)域的專家。到那個(gè)時(shí)候就可以鷹擊長(zhǎng)空，鵬程萬(wàn)里了。再就是找的工作最好和自己的長(zhǎng)期發(fā)展有聯(lián)系，比如學(xué)網(wǎng)絡(luò)的，找了個(gè)門衛(wèi)的工作，或找了個(gè)平面設(shè)計(jì)的工作，都對(duì)自己的長(zhǎng)期目標(biāo)聯(lián)系不大。你做1年的網(wǎng)管，做網(wǎng)管也要考慮安全方面的事情，同時(shí)也能提高你分析網(wǎng)絡(luò)故障解決網(wǎng)絡(luò)問題的能力，對(duì)你的網(wǎng)絡(luò)安全方向不沖突。

Q：尊敬的韓老師您好，在此您能不能給學(xué)生提供一個(gè)中小型網(wǎng)絡(luò)的安全策略；或給我講一講安全實(shí)施的方案，在此謝過！

A：看這篇文章http://hanligang.blog.51cto.com/400469/279815

Q：有些人說使用WINDOWS操作系統(tǒng)的服務(wù)器常要重啟，而LINUX就要好點(diǎn)，不知道您是如何看待這個(gè)現(xiàn)像的

A：Windows Server 2003 和 2008不需要經(jīng)常重啟，Windows NT聽說需要經(jīng)常重啟。Linux配置好了較為穩(wěn)定，當(dāng)然對(duì)Linux高手來說的。

Q：請(qǐng)問韓老師：我使用的是windows操作系統(tǒng)，來賓賬戶guest我進(jìn)控制面板不啟用。但是很多檢測(cè)軟件都說guest沒有禁用，就想請(qǐng)問一下不啟用和禁用的區(qū)別是什么？

A：不啟用就是禁用，沒什么區(qū)別，那你就給guest用戶設(shè)置一個(gè)復(fù)雜的密碼 然后禁用。

Q：韓老師：您好，就網(wǎng)絡(luò)管理來說，網(wǎng)絡(luò)監(jiān)視工具、網(wǎng)絡(luò)流量分析以及服務(wù)器性能監(jiān)測(cè)，現(xiàn)有哪些軟件可實(shí)現(xiàn)這些功能，能給我列幾款嗎？謝謝?。?！

A：捕包工具ethereal-setup-0.99.0.exe和SnifferProv4.90.102都是網(wǎng)絡(luò)流量監(jiān)視工具。如果將這些工具裝在網(wǎng)關(guān)或算機(jī)能夠查看內(nèi)網(wǎng)訪問Internet的流量，或配置交換機(jī)一個(gè)的端口為監(jiān)視端口，在連接監(jiān)視端口的計(jì)算機(jī)上安裝捕包工具監(jiān)控流量。如果在接在普通交換機(jī)端口的計(jì)算機(jī)上安裝捕包工具，只能捕獲本網(wǎng)段的多播或廣播，以及該計(jì)算機(jī)發(fā)送和接受的數(shù)據(jù)包。服務(wù)器性能監(jiān)視，我一般使用系統(tǒng)內(nèi)置的性能監(jiān)視工具。

Q：網(wǎng)絡(luò)專家，您好！我有一個(gè)德國(guó)朋友的網(wǎng)站，在國(guó)內(nèi)打不開，網(wǎng)站名是www.reckhorn.com. 這個(gè)網(wǎng)站在其他國(guó)家都能打開，通過代理服務(wù)器也能打開。請(qǐng)問這是什么原因，該怎么解決？謝謝！

A：

C:\Users\han>ping www.reckhorn.com

正在 Ping www.reckhorn.com [81.169.145.67] 具有 32 字節(jié)的數(shù)據(jù):

Control-C

^C

C:\Users\han>telnet www.reckhorn.com 80

正在連接www.reckhorn.com...無法打開到主機(jī)的連接。 在端口 80: 連接失敗

C:\Users\han>

這是我測(cè)試的結(jié)果，我也訪問不了，域名解析沒問題，telnet 80端口失敗，這種情況可能是我國(guó)的國(guó)際出口路由器加了訪問訪問控制列表拒絕訪問該服務(wù)器的TCP的80端口。使用國(guó)外的代理服務(wù)器能夠訪問，是因?yàn)槟隳軌蛟L問國(guó)外的代理服務(wù)器，而代理服務(wù)器又能夠訪問該網(wǎng)站。你的計(jì)算機(jī)沒有直接訪問該網(wǎng)站。所以就能夠繞過國(guó)內(nèi)路由器的封鎖。

Q：請(qǐng)問韓老師，我想學(xué)windows系統(tǒng)，但是現(xiàn)在社會(huì)上用的有  2000 2003 xp  vista現(xiàn)在 又有  2008 和 win7 ，感到很迷茫的，不知道能不能推薦幾本實(shí)用的學(xué)習(xí)系統(tǒng)的好書，還有就是系統(tǒng)學(xué)會(huì)大概要功多久，是不是系統(tǒng)學(xué)會(huì)了，系統(tǒng)安全就業(yè)會(huì)了。

A：Windows 工作站 包括 Windows 95 Windows 98 Windows XP Vista Windows7這些都是辦公人員用的操作系統(tǒng)Windows服務(wù)器 Windows NT、 Windows Server 2000、Windows Server 2003、 Windows Server 2008。服務(wù)器和工作站的系統(tǒng)是不同的，服務(wù)器操作系統(tǒng)可以做DNS服務(wù)器 DHCP服務(wù)器 WINS服務(wù)器 證書頒發(fā)機(jī)構(gòu)（CA）服務(wù)器 遠(yuǎn)程訪問服務(wù)器（RAS） Web和FTP服務(wù)器等等，作為IT專業(yè)人員必須掌握服務(wù)器的配置，當(dāng)然XP Vista Windows7的管理和使用也是必須的。系統(tǒng)方面的學(xué)習(xí) 我建議重點(diǎn)學(xué)習(xí)Windows Server 2008 ，目前市面上系統(tǒng)全面講解WindowsServer2008的書，是清華出版社的WindowsServer2008視頻突擊系列教材。適合國(guó)人學(xué)習(xí)，都隨書帶有50小時(shí)的視頻教學(xué)。

《WindowsServer2008系統(tǒng)管理之道》

《貫徹WindowsServer2008網(wǎng)絡(luò)基礎(chǔ)架構(gòu)》

《掌控WindowsServer2008活動(dòng)目錄》

《WindowsServer2008安全內(nèi)幕》

WindowsServer2003的系統(tǒng)學(xué)習(xí)6各月+WindowsServer2008的系統(tǒng)學(xué)習(xí)大概6個(gè) 月

安全是在掌握了系統(tǒng)知識(shí)后，才能領(lǐng)悟的知識(shí)和技能，否則就是空中樓閣

 

【編輯推薦】

1. [第147期] 為你的企業(yè)網(wǎng)絡(luò)把脈，構(gòu)建健康通暢企業(yè)網(wǎng)
2. [第146期] 學(xué)習(xí)紅帽Linux虛擬化 探索KVM內(nèi)核
3. [第144期]“萬(wàn)能遙控器”讓企業(yè)數(shù)據(jù)管理更輕松