Microsoft Office Publisher是微软公司发行的桌面出版应用软件。它常被人们认为是一款入门级的桌面出版应用软件,它能提供比Microsoft Word更强大的页面元素控制功能,但比起专业的页面布局软件,来还略逊一筹。 比起其它桌面出版软件来,Publisher在历史上一直不受高端商务打印商店欢迎。它只能用于Windows,而业界占相当份额的系统运行的是苹果公司的Mac OS X。Publisher定位于入门级的应用软件造成了很多的问题,比如在服务提供商的电脑上没有相应字体和嵌入对象等等(虽然Publisher提供了可以把相关联的文件压缩成一个自释放应用程序的工具)。许多高端特性,比如透明化、对象阴影、slugs、路径文本、内嵌的PDF输出等等,或者没有完全实现,或者干脆没有。但最近的一些版本有了很大的提高,开始关注色彩分离以及正确地处理彩色输出。Publisher 2007还包含了期待已久的特性,可以输出商业出版品质带内嵌字体的PDF格式,作为选件可以从微软网站下载。 Publisher被包含在高端的Microsoft Office版本中。这反映了微软对Publisher的定位,它是一款易用的,相比于那些重量级产品而言价格适中的产品,它的目标用户主要是那些没有专业人员制作市场推广材料以及其它文档的中小型企业。 Publisher的大部份替代品,除Adobe PageMaker外,都不提供导入Publisher的功能;但是,Publisher可以导出成EMF(Enhanced Metafile)格式,它可以被其它软件支持。
View DetailsMicrosoft OneNote,是一套用于自由形式的信息获取以及多用户协作工具。OneNote最常用于笔记本电脑或台式电脑,但这套软件更适合用于支持手写笔操作的平板电脑,在这类设备上可使用触笔、声音或视频创建笔记,比单纯使用键盘更方便。 OneNote软件的界面实际上就是我们所熟悉的,带有标签的三环活页夹的电子版本,可用于直接记录笔记,但也可用于收集打印的“页面”,或由其他应用程序发送过来的页面。页面可以在活页夹内部移动,同时可通过电子墨水技术添加注释,处理文字,或绘图,并且其中还可内嵌多媒体影音或Web链接。作为容器以及收集自不同来源的信息仓库,OneNote笔记本非常适合用于整理来自某个课程或研究项目的大量信息。 OneNote的重要创新之一是内建的搜索功能,以及可索引的图形和音频仓库。图像文件(例如屏幕截图、扫描的嵌入式文档,或照片)中可以搜索内嵌的文本内容,电子墨水注释也可作为文字进行搜索。音频内容也可以通过关键字进行语义搜索,同时还可以在录制的同时播放笔记中记录的内容。 该软件的多用户功能可实现脱机编辑和随后的同步合并,并可以段落为基础进行合并。这使得OneNote成为一个非常适合就某个项目进行协作,而且所有成员并非总是在线的情况下使用的强大工具。
View DetailsMicrosoft Project(或MSP)是由微软开发销售的项目管理软件程序。软件设计目的在于协助项目经理发展计划、为任务分配资源、跟踪进度、管理预算和分析工作量。 第一版微软Project为微软Project for Windows 95,发布于1995年。其后版本各于1998, 2000, 2003和2006年发布。本应用程序可产生关键路径日程表──虽然第三方ProChain和Spherical Angle也有提供关键链关联软件。日程表可以以资源标准的,而且关键链以甘特图形象化。另外,Project可以辨认不同类别的用户。这些不同类的用户对专案、概观、和其它资料有不同的访问级别。自订物件如行事历、观看方式、表格、筛选器和字段在企业领域分享给所有用户。 在较新版微软Office里,Project的功能随着微软Office Project Server与微软Project Web Access导入而延伸。Project server存储Project数据于核心数据库、并允许用户通过互联网显示和更新数据。Web Access允许授权用户横跨互联网访问Project Server数据库,这包括工时表、资源工作量的图形分析、和后台管理工具。 作为微软Office套餐的一部分,该软件的最新版本同时和PowerPoint和Visio产品一样提供交错功能。Microsoft Project 2010 具有一个崭新的界面,但还不止这些。在新的外观之下,它还包含功能强大的新的日程排定、任务管理和视图改进,能够更好地控制如何管理和呈现项目。
View DetailsOpenSSH是SSH连接工具的免费版本。telnet,rlogin和ftp用户可能还没意识到他们在互联网上传输的密码是未加密的,但SSH是加密的,OpenSSH加密所有通信(包括密码),有效消除了窃听,连接劫持和其它攻击。此外,OpenSSH提供了安全隧道功能和多种身份验证方法,支持SSH协议的所有版本。 SSH是一个非常伟大的工具,如果你要在互联网上远程连接到服务器,那么SSH无疑是最佳的候选。下面是通过网络投票选出的25个最佳SSH命令,你必须牢记于心。 (注:有些内容较长的命令,在本文中会显示为截断的状态。如果你需要阅读完整的命令,可以把整行复制到您的记事本当中阅读。) 1、复制SSH密钥到目标主机,开启无密码SSH登录
|
1 |
ssh-copy-id user@host |
如果还没有密钥,请使用ssh-keygen命令生成。 2、从某主机的80端口开启到本地主机2001端口的隧道
|
1 |
ssh -N -L2001:localhost:80 somemachine |
现在你可以直接在浏览器中输入http://localhost:2001访问这个网站。 3、将你的麦克风输出到远程计算机的扬声器
|
1 |
dd if=/dev/dsp | ssh -c arcfour -C username@host dd of=/dev/dsp |
这样来自你麦克风端口的声音将在SSH目标计算机的扬声器端口输出,但遗憾的是,声音质量很差,你会听到很多嘶嘶声。 4、比较远程和本地文件
|
1 |
ssh user@host cat /path/to/remotefile | diff /path/to/localfile – |
在比较本地文件和远程文件是否有差异时这个命令很管用。 5、通过SSH挂载目录/文件系统
|
1 |
sshfs name@server:/path/to/folder /path/to/mount/point |
从http://fuse.sourceforge.net/sshfs.html下载sshfs,它允许你跨网络安全挂载一个目录。 6、通过中间主机建立SSH连接
|
1 |
ssh -t reachable_host ssh unreachable_host |
Unreachable_host表示从本地网络无法直接访问的主机,但可以从reachable_host所在网络访问,这个命令通过到reachable_host的“隐藏”连接,创建起到unreachable_host的连接。 7、将你的SSH公钥复制到远程主机,开启无密码登录 – 简单的方法
|
1 |
ssh-copy-id username@hostname |
8、直接连接到只能通过主机B连接的主机A
|
1 |
ssh -t hostA ssh hostB |
当然,你要能访问主机A才行。 9、创建到目标主机的持久化连接
|
1 |
ssh -MNf <user>@<host> |
在后台创建到目标主机的持久化连接,将这个命令和你~/.ssh/config中的配置结合使用:
|
1 2 3 |
Host host ControlPath ~/.ssh/master-%r@%h:%p ControlMaster no |
所有到目标主机的SSH连接都将使用持久化SSH套接字,如果你使用SSH定期同步文件(使用rsync/sftp/cvs/svn),这个命令将非常有用,因为每次打开一个SSH连接时不会创建新的套接字。 10、通过SSH连接屏幕
|
1 |
ssh -t remote_host screen –r |
直接连接到远程屏幕会话(节省了无用的父bash进程)。 11、端口检测(敲门)
|
1 |
knock <host> 3000 4000 5000 && ssh -p <port> user@host && knock <host> 5000 4000 3000 |
在一个端口上敲一下打开某个服务的端口(如SSH),再敲一下关闭该端口,需要先安装knockd,下面是一个配置文件示例。
|
1 2 3 4 5 6 7 8 9 10 11 12 |
[options] logfile = /var/log/knockd.log [openSSH] sequence = 3000,4000,5000 seq_timeout = 5 command = /sbin/iptables -A INPUT -i eth0 -s %IP% -p tcp –dport 22 -j ACCEPT tcpflags = syn [closeSSH] sequence = 5000,4000,3000 seq_timeout = 5 command = /sbin/iptables -D INPUT -i eth0 -s %IP% -p tcp –dport 22 -j ACCEPT tcpflags = syn |
12、删除文本文件中的一行内容,有用的修复
|
1 |
ssh-keygen -R <the_offending_host> |
在这种情况下,最好使用专业的工具。 13、通过SSH运行复杂的远程shell命令
|
1 |
ssh host -l user $(<cmd.txt) |
更具移植性的版本:
|
1 |
ssh host -l user “`cat cmd.txt`” |
14、通过SSH将MySQL数据库复制到新服务器
|
1 |
mysqldump –add-drop-table –extended-insert –force –log-error=error.log -uUSER -pPASS OLD_DB_NAME | ssh -C user@newhost “mysql -uUSER -pPASS NEW_DB_NAME” |
通过压缩的SSH隧道Dump一个MySQL数据库,将其作为输入传递给mysql命令,我认为这是迁移数据库到新服务器最快最好的方法。 15、删除文本文件中的一行,修复“SSH主机密钥更改”的警告
|
1 |
sed -i 8d ~/.ssh/known_hosts |
16、从一台没有SSH-COPY-ID命令的主机将你的SSH公钥复制到服务器
|
1 |
cat ~/.ssh/id_rsa.pub | ssh user@machine “mkdir ~/.ssh; cat >> ~/.ssh/authorized_keys” |
如果你使用Mac OS X或其它没有ssh-copy-id命令的*nix变种,这个命令可以将你的公钥复制到远程主机,因此你照样可以实现无密码SSH登录。 17、实时SSH网络吞吐量测试
|
1 |
yes | pv | ssh $host “cat > /dev/null” |
通过SSH连接到主机,显示实时的传输速度,将所有传输数据指向/dev/null,需要先安装pv。 如果是Debian:
|
1 |
apt-get install pv |
如果是Fedora:
|
1 |
yum install pv |
(可能需要启用额外的软件仓库)。 18、如果建立一个可以重新连接的远程GNU screen
|
1 |
ssh -t user@some.domain.com /usr/bin/screen –xRR |
人们总是喜欢在一个文本终端中打开许多shell,如果会话突然中断,或你按下了“Ctrl-a d”,远程主机上的shell不会受到丝毫影响,你可以重新连接,其它有用的screen命令有“Ctrl-a c”(打开新的shell)和“Ctrl-a a”(在shell之间来回切换),请访问http://aperiodic.net/screen/quick_reference阅读更多关于screen命令的快速参考。 19、继续SCP大文件
|
1 |
rsync –partial –progress –rsh=ssh $file_source $user@$host:$destination_file |
它可以恢复失败的rsync命令,当你通过VPN传输大文件,如备份的数据库时这个命令非常有用,需要在两边的主机上安装rsync。
|
1 |
rsync –partial –progress –rsh=ssh $file_source $user@$host:$destination_file local -> remote |
或
|
1 |
rsync –partial –progress –rsh=ssh $user@$host:$remote_file $destination_file remote -> local |
20、通过SSH W/ WIRESHARK分析流量
|
1 |
ssh root@server.com ‘tshark -f “port !22″ -w -' | wireshark -k -i – |
使用tshark捕捉远程主机上的网络通信,通过SSH连接发送原始pcap数据,并在wireshark中显示,按下Ctrl+C将停止捕捉,但也会关闭wireshark窗口,可以传递一个“-c #”参数给tshark,让它只捕捉“#”指定的数据包类型,或通过命名管道重定向数据,而不是直接通过SSH传输给wireshark,我建议你过滤数据包,以节约带宽,tshark可以使用tcpdump替代:
|
1 |
ssh root@example.com tcpdump -w – ‘port !22′ | wireshark -k -i – |
21、保持SSH会话永久打开
|
1 |
autossh -M50000 -t server.example.com ‘screen -raAd mysession’ |
打开一个SSH会话后,让其保持永久打开,对于使用笔记本电脑的用户,如果需要在Wi-Fi热点之间切换,可以保证切换后不会丢失连接。 […]
View Details如果你是个Linux用户,你可能听说过不需要去对你的linux文件系统进行磁盘碎片整理。也许你注意到了,在Liunx安装发布包里没有磁盘碎片整理的工具。为什么会这样? 为了理解为什么Linux文件系统不需要磁盘碎片整——而Windows却需要——你需要理解磁盘碎片产生的原理,以及Linux和Windows文件系统它们之间工作原理的不同之处。 什么是磁盘碎片 很多Windows用户,甚至是没有经验的用户,都深信经常对文件系统进行碎片整理会提高计算机的速度。但并不是很多人知道这其中的原委。 简单的说,磁盘驱动器上有很多扇区,每个扇区都能存放一小段数据。文件,特别是大文件的存储需要占用很多不同的扇区。假设现在你有很多个文件存在的文件系统里,每个文件都会被存储在一系列连续的扇区里。后来你更新了其中的一个文件,它的体积变大了。文件系统会尝试把文件新增的部分存放到紧邻原始文件的扇区里。可不幸的是,它周边已经没连续的足够扇区空间了,文件需要被分割成数段——这些都在自动进行的。当从磁盘上读取这个文件时,磁盘磁头需要跨越数个不同的物理位置来读取各个扇区——这样会使速度降低。 磁盘碎片整理就是小心的移动这些小文件块来减少碎片,让每个文件都能连续的分布在磁盘上。 当然,如果是固态硬盘,那情况又不同了,固态硬盘没有机械移动,不应该进行碎片整理——对一个U盘进行碎片整理通常会降低它的寿命。在最新版的Windows系统里,你实际上不需要关心系统上的碎片——Windows会自动替你整理。 Windows文件系统的工作原理 微软老的FAT文件系统——最后一次使用是在Windows 98 和 Window ME上,可如今的U盘上还在使用它——并不会智能的管理文件。当你把一个文件存入FAT文件系统里时,系统会尽量的把它存到靠近磁盘开始的地方。当你存入第二个文件时,它会紧接着第一个文件——一个接着一个。当原始文件体积变大后,它们一定会产生碎片。根本没有留给它们增长的空间。 微软新的NTFS文件系统——使用在装有Windows XP和2000的PC机上——稍微智能了一点。它会在磁盘上在文件周围分配一些“缓冲”的空闲空间,尽管如此,任何Windows用户都会告诉你,经过一段时间的使用后,NTFS文件系统还是会形成碎片。 由于这些文件系统的工作原理,它们注定需要进行碎片整理来保持高性能。微软在它最新的视窗系统里通过在后台运行一个磁盘碎片整理进程来解决这个问题。 Linux文件系统的工作原理 Linux的ext2, ext3, 和 ext4 文件系统 ——Ubuntu和大多数最新的Linux发布版中使用的是ext4——采用了一种更聪明的方法来存放文件。与把多个文件并排放在磁盘上不同,Linux文件系统把所有文件都分散到了整个磁盘上,每两个文件之间都留有相当巨大的空闲空间。当文件被修改、体积增加时,它们通常有足够的空间来扩展。一旦有碎片产生时,文件系统会尝试移动整个文件来消除碎片,所以你不需要一个碎片整理工具。 因为这种工作方式,当磁盘快要装满时,你开始会发现有碎片开始产生。如果已用空间超过95%(甚至80%),你会发现碎片开始变多。但不管怎样,这个文件系统的设计会使正常情况下不产生碎片。 如果你在Linux系统上遇到了磁盘碎片问题,你很可能需要一个更大的硬盘了。如果你真想整理一个文件系统,这最简单的方式也许是最可靠的方式:把文件从这个分区里考出,删除这些文件,然后考回这些文件。当你把文件考回硬盘时,文件系统会智能为文件分配存储空间。 你可以使用 fsck 命令来查看Linux文件系统上的磁盘碎片情况——在输出结果里寻找“non-contiguous inodes”信息。 [英文原文:Why Linux Doesn’t Need Defragmenting ]
View Details木子屋地址:http://www.mzwu.com/trackback.asp?tbID=1149 一、这样配置的好处? 不知大家有没有听过旁注?我简单的解释一下吧:有个人想黑掉A站点,但找来找去都没发现可利用的漏洞,无意中他发现与A同服务器上还有个B站点,并且在B站点上找到了可利用的漏洞,于是他将木马从B站中上传至服务器,如果服务器权限配置不当,那么现在他就可以黑掉服务器上的所有站点了!如果我们为每个站点都建立一个用户,并设置该用户只有访问本站点的权限,那么就能将访问权限控制在每个站点文件夹内,旁注问题也就解决了。 二、准备工作 1. 运行环境:Win2K 服务器版 + IIS 5.02. 文件系统:各分区文件系统为NTFS3. 站点文件夹:E盘下建立两个文件夹web001和web0024. 新建站点:IIS中新建两个站点web001和web002,站点文件夹分别为E:\web001和E:\web002,都指定IP为192.168.0.146,端口分别为101和102 OK,在IE中分别输入http://192.168.0.146:101和http://192.168.0.146:102测试两站点是否建立成功。 三、配置过程 1.建立用户组和用户 新建一用户组webs,以后所有站点用户全部隶属于该组,以便于权限分配。 建立用户web01,注意要钩选"密码永不过期"(否则背后会出现"HTTP 401.1 – 未授权:登录失败"),并设置其只隶属于webs用户组。同样在建一个用户web02。 2.各分区NTFS权限设置 打开各分区的安全选项卡依次给各分区授于administrator和system完全控制权限,并设置webs组完全拒绝权限。 3.站点文件夹NTFS权限设置 打开E:\web01文件夹属性窗口,选择安全选项卡,先去掉"允许将来自父系的可继承权限传播给该对象"前的钩,经弹出的对话框中选择删除继承权限。 最终确保administrator、system和web01对该文件夹都有完全控制权限。 E:\web02文件夹也一样设置。 4.设置各站点的匿名访问用户 在IIS中打开web01站点属性,选择目录安全性→匿名访问和验证控制→编辑,去掉"集成Windows验证"前的钩,再编辑匿名访问使用的帐号,设置匿名访问帐号为web01(web02站点也一样设置)。 四、测试 将老兵写的站长助手放至web02站点中进行测试,经测试除站点文件可以浏览外,其他分区均不能访问:)
View Details一、先关闭不需要的端口 我比较小心,先关了端口。只开了3389 21 80 1433有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动! 当然大家也可以更改远程连接端口方法: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] "PortNumber"=dword:00002683 保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口, 直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效! 还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点,表怪俺说俺写文章是垃圾…如果要关闭不必要的端口,在\system32\drivers\etc\services中有列表,记事本就可以打开的。如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。 关于端口的介绍可以访问:http://bbs.86dm.net/viewthread.php?tid=7&extra=page%3D1 二、关闭不需要的服务 打开相应的审核策略 我关闭了以下的服务 Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Distributed File System: 局域网管理共享文件,不需要禁用 Distributed linktracking client:用于局域网更新连接信息,不需要禁用 Error reporting service:禁止发送错误报告 Microsoft Serch:提供快速的单词搜索,不需要可禁用 NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用 PrintSpooler:如果没有打印机可禁用 Remote Registry:禁止远程修改注册表 Remote Desktop Help Session Manager:禁止远程协助 Workstation 关闭的话远程NET命令列不出用户组 把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。 在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。 在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。 推荐的要审核的项目是: 登录事件 成功 失败 账户登录事件 成功 失败 系统事件 成功 失败 策略更改 成功 失败 对象访问 失败 目录服务访问 失败 特权使用 失败 三、关闭默认共享的空连接 […]
View Details1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。2、IIS6.0的安装 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件 应用程序 ———ASP.NET(可选) |——启用网络 COM+ 访问(必选) |——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) |——公用文件(必选) |——万维网服务———Active Server pages(必选) |——Internet 数据连接器(可选) |——WebDAV 发布(可选) |——万维网服务(必选) |——在服务器端的包含文件(可选) 然后点击确定—>下一步安装。(具体见本文附件1)3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。4、备份系统 用GHOST备份系统。5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。6、先关闭不需要的端口 开启防火墙 导入IPSEC策略在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。修改3389远程连接端口修改注册表. 开始--运行--regedit 依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) 注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口修改完毕.重新启动服务器.设置生效.二、用户安全设置 1、禁用Guest账号 在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。 2、限制不必要的用户 去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。 3、把系统Administrator账号改名 大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。 4、创建一个陷阱用户 什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。 5、把共享文件的权限从Everyone组改成授权用户 任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。 6、开启用户策略 使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。 (该项为可选)7、不让系统显示上次登录的用户名 默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把REG_SZ的键值改成1。 密码安全设置 1、使用安全密码 一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。因此,要注意密码的复杂性,还要记住经常改密码。 2、设置屏幕保护密码 这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。 3、开启密码策略 注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为42天。 4、考虑使用智能卡来代替密码 对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。三、系统权限的设置1、磁盘权限 系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 […]
View Details服务器安全设置 1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。 2、系统盘和站点放置盘除administrators 和system的用户权限全部去除。 3、启用windows自带防火墙,只保留有用的端口,比如远程和Web、Ftp(3389、80、21)等等,有邮件服务器的还要打开25和130端口。 4、安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除。 5、更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户。 6、改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组。(就是在用户组那里设置为空即可。让这个帐号不属于任何用户组—样)同样改名禁用掉Guest用户。 7、配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。) 8、在安全设置里本地策略-安全选项将 网络访问:可匿名访问的共享; 网络访问:可匿名访问的命名管道; 网络访问:可远程访问的注册表路径; 网络访问:可远程访问的注册表路径和子路径; 以上四项清空。 9、在安全设置里 本地策略-安全选项 通过终端服务拒绝登陆 加入 以下为引用的内容:ASPNET GuestIUSR_*****IWAM_*****NETWORK SERVICESQLDebugger (****表示你的机器名,具体查找可以点击 添加用户或组 选 高级 选 立即查找 在底下列出的用户列表里选择. 注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了。) 10、去掉默认共享,将以下文件存为reg后缀,然后执行导入即可。 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoSharewks"=dword:00000000 11、 禁用不需要的和危险的服务,以下列出服务都需要禁用。 Alerter 发送管理警报和通知 Computer Browser:维护网络计算机更新 Distributed File System: 局域网管理共享文件 Distributed linktracking client 用于局域网更新连接信息 Error reporting service 发送错误报告 Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表 Removable storage 管理可移动媒体、驱动程序和库 Remote Desktop Help Session Manager 远程协助 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Messenger […]
View Details