博文
妙用SSL给IIS加把锁(2005-07-15 11:00:00)
摘要:由于NT系统的易维护性,越来越多的中小企业在自己的网站上和内部办公管理系统上采用它,而且很多都是用默认的IIS来做WEB服务器使用。当然不能否认近来威胁NT系统的几个漏洞都是由于IIS配置不当造成的,而且可以预见,未来IIS还会被发现很多新的漏洞和安全问题,但只要我们做好合理的安全配置,还是可以避免很多安全隐患的。本文并没有系统的去讲如何全面安全的配置IIS,我只是从利用SSL加密HTTP通道来讲如果加强IIS安全的。
一、建立SSL安全机制
IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外,还有一种安全性更高的认证,就是通过SSL(Security Socket Layer)安全机制使用数字证书。SSL(加密套接字协议层)位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。使用SSL安全机制时,首先客户端与服务器建立连接,服务器把它的数字证书与公共密钥一并发送给客户端,客户端随机生成会话密钥,用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器,而会话密钥只有在服务器端用私人密钥才能解密,这样,客户端和服务器端就建立了一个惟一的安全通道。
建立了SSL安全机制后,只有SSL允许的客户才能与SSL允许的Web站点进行通信,并且在使用URL资源定位器时,输入https:// ,而不是http://。
简单的说默认情况下我们所使用的HTTP协议是没有任何加密措施的,所有的消息全部都是以明文形式在网络上传送的,恶意的攻击者可以通过安装监听程序来获得我们和服务器之间的通讯内容。这点危害在一些企业内部网络中尤其比较大,对于使用HUB的企业内网来说简直就是没有任何安全可讲因为任何人都可以在一台电脑上看到其他人在网络中的活动,对于使用交换机来组网的网络来说虽然安全威胁性要小很多,但很多时候还是会有安全突破口,比如没有更改交换机的默认用户和口令,被人上去把自己的网络接口设置为侦听口,依然可以监视整个网络的所有活动。
所以全面加密整个网络传输隧道的确是个很好的安全措施,很可惜的是现在网络上有关于具体给IIS配置SSL的文章并不是很多,我简单的摸索了下把我的经验拿出来......
配置 Windows Server 2003-IIS 6(2005-07-15 10:57:00)
摘要:这篇文章中的信息适用于:
Microsoft Windows Server 2003, Datacenter Edition
Microsoft Windows Server 2003, Enterprise Edition
Microsoft Windows Server 2003, Standard Edition
Microsoft Windows Server 2003, Web Edition
Microsoft Windows Server 2003, 64-Bit Datacenter Edition
Microsoft Windows Server 2003, 64-Bit Enterprise Edition
Microsoft Internet Information Services version 6.0
本分步指南介绍了如何在 Windows Server 2003 环境中设置一个用于匿名访问的 WWW 服务器。
安装 Internet 信息服务
Microsoft Internet 信息服务 (IIS) 是与 Windows Server 2003 集成的 Web 服务。
要安装 IIS、添加可选组件或删除可选组件,请按以下步骤操作:
1. 单击开始,指向控制面板,然后单击“添加或删除程序”。
“添加或删除程序”工具就会启动。
2. 单击添加/删除 Windows 组件。
显示“Windows 组件向导”。
3. 在Windows 组件 列表中,单击Web 应用程序服务器。
4. 单击详细信息,然后单击Internet 信息服务 (IIS)。
5. 单击详细信息 ,以查看 IIS 可选组件列表。
6. 选择您要安装的可选组件。默认情况下,下列组件是选中的:
--- 公用文件
--- FrontPage 2002 Server Extentions
--- Internet 信息服务管理单元
--- Internet 信息服务管理器
--- NNTP 服务
--- SMTP 服务
--- World Wide Web 服务
7. 单击“World Wide Web 服务”,然后单击详细信息 ,以查看 IIS 可选子组件(如 Active Server Pages 组件和“远程管理 (HTML) 工具”)的列表。选择您要安......
win2003server(2005-07-15 10:44:00)
摘要:一、windows server 2003 3790版本识别
RTM=release to manufacture (公开发行批量生产)是给硬件制造商的版本!是送去压盘的,不是拿去卖的。
OEM=Original Equipment Manufacturer只能全新安装, 和RTM差不多,只是称呼不同而已。
RTL=retail(零售)正式零售版,可以升级或者全新安装。
VLK=Volume License大量授权版,又称为企业版。无需激活。(网上所谓的简体中文VLK版实际是普通简体中文版加英文VLK版中的8个文件而已)
二、Windows Server 2003的不同版本
Windows Server 2003 Web版:为快速开发、部署Web服务与应用程序,提供Web托管与服务平台。支持2路
SMP(对称多处理)系统、2GB内存。
Windows Server 2003标准版:面向中小型企业和部门级应用。支持4路SMP、4GB内存。
Windows Server 2003企业版:适合中心与大型组织使用,有32位和64位两个版本。支持8节点集群、NUMA;支持8路SMP,其中32位版支持32GB内存,64位版支持64GB内存。
Windows Server 2003数据中心版:面向要求强伸缩性和高可用性的企业,有32位和64位两个版本。32位版支持32路SMP、64GB内存;64位版支持64路SMP、512GB内存;两个版本均支持8节点集群、NUMA
三、win 2003 server的一些优化设置
1.禁用配置服务器向导:
禁止“配置你的服务器”(Manage Your Server)向导的出现:在控制面板(Control Panel) -> 管理员工具(Administrative Tools )-> 管理你的服务器(Manage Your Server)运行它,然后在窗口的左下角复选“
登录时不要显示该页”(Dont display this page at logon)。
2.启用硬件和DirectX加速
★硬件加速:桌面点击右键--属性(Properties) -> 设置(Settings )--高级( Advanced )--
疑难解答(Troubleshoot)。把该页面的硬件加速滚动条拉到“完全”( Full),最好点击“确定......
linux安装五法(2005-07-15 10:40:00)
摘要:安装Linux共有五种方法
1、光盘
2、硬盘
3、NFS 映像
4、FTP
5、HTTP
其中光盘安装是最普遍的,也是最简单的我就不写了。我安装的这台机器没有光驱,也没有软驱!!!只有网卡和一个128MU盘^o^
=====一、硬盘安装分两种情况:====
A、 是从Win系统上安装 B、是从别的Linux启动安装
这里介绍大多数人使用的Windows系统安装,第二种方法我还没有调过
1、安装系统---RedHat 9.0,(Fedra core 1和2类似,我安装FC3test3的时候发现把硬盘MBR破坏了,且用修复工具都没有办法还原。)
我的PC机40G硬盘,主分区只有一个分10GFAT32格式,扩展分区30G,其中20G给WINDOWS用FAT32格式,10G给LinuxEX3格式。
我安装XP系统在C盘,把RedHat9.0的3个ISO下载下来,放到D盘根目录Red Hat Linux_i1.iso,Red Hat Linux_i2.iso,Red Hat Linux_i3.iso.
2、用光盘取工具Daemon-v3.47把第一张镜像中的Dosutils目录解压到D盘根目录
看看其中有没有这几个主要文件:
LOADLIN.EXE
AUTOBOOT\INITRD.IMG
AUTOBOOT\VMLINUZ
一般都比较完整,也不用修改autoboot.bat文件了。
3、制做一个U盘启动盘,这个工作我做了一天,我的U盘是一般的杂牌128M,不带启动。在网上DOWN了USBBoot.1.62U盘启动制作工具没有用,用朗科的U盘工具也没有。于是动手自己做,经过实验找到了一种好办法,先将U盘在格式化为FAT16或FAT32(建议FAT32),再用FDISK /mbr清理启动分区,在同事机器上用WIN98的 SYS命令传送系统文件到U盘,这时U盘可以启动了。
4、 重新启动系统进BIOS,把启动设为 USB-FDD,进入DOS后到D盘运行dosutils目录下的autoboot.bat
5、 这样启动时选择从
硬盘安装 /dev/hda5 -----我的D盘
系统自动会找到所有的文件。
====二、使用NFS安装======
1、找一台安装了Linux/Unix系统机器,安装N......
linux常用命令(2005-07-15 10:23:00)
摘要: 谈到Linux命令很多人都望而生畏,因为Linux的命令太多了,而且每个命令都有很多选项,但是Linux命令又是Linux系统里最重要的工具,学习Linux命令是学习Linux必不可少的一个环节,也是Linux入门基础。所以在介绍Linux的其它方面之前,我们先介绍一下Linux的常用命令,希望我的这点简单介绍对你了解Linux命令有所帮助。
在介绍所有的命令之前,先介绍一下Linux的在线帮助man。在Linux下,当你要查找一个命令的用法的,你可以通过 man 命令名 来源得命令的详细说明。因为每个Linux都有一份man文档,所以介绍命令的时候我们只是简直介绍一下命令的学用选项。如果想查看命令的详细说明,请自己看man。下面是man各小节的内容:
1 用户命令。
2 系统调用。
3 库函数。
4 特殊文件(设备和网络接口)。
5 文件格式。
6 游戏和演示。
7 系统环境、表格和宏。
8 系统管理和相关命令。
apropos 依据所给关键字查找相关的命令和系统调用
格式:apropos keyword
例:查找与ftp相关的命令和系统调用
$apropos ftp
注:类似的命令有man -k。man -k 其实就是执行apropos
at 在某一特定时间执行指定的命令
格式:at [-V][-q 队列][-f 文件][-m] time
选项说明:
-V 显示标准的错误输出。
-f &nb......
关机重起(2005-07-08 11:30:00)
摘要:1. 电源是引起系统自动重启的最大嫌疑之一。劣质的电源不能提供足够的电量,当系统中的设备增多,功耗变大,劣质电源输出的电压就会急剧降低,最终导致系统工作不稳定,出现自动重启现象。电压起伏过大还有可能导致硬盘等设备的损坏。 2. 内存出现问题也会导致系统重启。内存出错导致系统重启的几率相对较大。排除内存条与插槽接触不良的情况外,应该怀疑内存本身出现质量问题。另外,把内存的CL值设置得太小也会导致内存不稳定,造成系统自动重启。简单的解决办法:如果用的是SDRAM,就把CL值设为3,如果用的是DDR,就设置为2.5。如果用的是VIA芯片组的主板,建议关闭内存交错执行功能。 3. 电网电压起伏过大也会导致系统重启。另外,你的电脑和空调、冰箱等大功耗电器共用一个插线板的话,在这些电器启动的时候,供给电脑的电压就会受到很大的影响,往往就表现为系统重启。最好的解决办法就是为电脑专门配备UPS来供电,注意其他电器就不要再接到UPS上了。 4. 电源插座接触不良。电源插座在使用一段时间后,簧片的弹性慢慢丧失,导致插头和簧片之间接触不良,电阻不断变化,电流随之起伏,系统自然会很不稳定,一旦电流达不到系统运行的最低要求,电脑就重启了。解决办法是,购买质量过关的好插座。 5. 系统运行时的温度过高。此时应该检查CPU的风扇是否运转正常,散热条件是否良好。现在的主板都通过专门的控制芯片具备了在BIOS中检测CPU以及系统温度的功能。如果发现温度过高,就应该及时维修或者更换风扇。 6. 硬件的兼容问题。一般由主板与内存条的兼容性引起,但是也有显卡与主板兼容问题导致系统不断重启的。
......
局域网入侵(2005-07-03 21:55:00)
摘要:局域网(local area network),简称LAN,是处于同一建筑、同一大学或者方圆几公里地域内的专用网络。局域网常被用于连接公司内办公室或工厂里的个人计算机和工作站,以便共享资源,节约费用。但是,很多人认为处在局域网内就可以高枕无忧,其实那是大错特错的。
局域网多数是通过一个代理服务器或网关连上Internet的,所以,如果我们能够入侵那台服务器(或网关),我们就有可能入侵到它的内部网络。
作为代理服务器(或网关)通常有两个或两个以上的IP地址。一个是Internet上的真实IP(如218.14.156.8),这个IP在Internet上是能够访问的,另一个是内部IP(如192。168.0.1),这个IP是虚拟的,在Internet上并不存在,我们不能直接访问。也就是说,局域网里的分机都会受到代理服务器或网关的保护。
例如,有这样一个局域网服务器的IP为202.99.1.1,其内部有一些分机,内部分机的IP我们暂不知道(不过通常为192.168.0.x)。
首先,假如我们已经取得202.99.1.1的Administrator的密码,通过IPCS打开Telnet服务并Telnet上202.99.1.1。执行ipconfig命令,得出其两块网卡的IP分别为192.168,0.1和202.99.1.1,那么其他的机器的IP应该就在192.168.0.X这个网段。在202.99.1.1上安装流光4.7的sensor(其实x-scan也可以,而且x-scan能够扫描的漏洞比流光多。不过操作起来就有点麻烦,你要先上传X-scan到主机,再telnet上去利用x-scan的命令行模式扫描,所以这个telnet终端不能断开,也就是说你要等到x—scan扫描完了才能断开telnet,否则就会中断扫描),主要是寻找内部网的漏洞。根据我的经验,内部网的机器的安全性极差!administrator的密码很弱智,多数为空或123、123456等!而且有许多分机的guest账号都是Administrators组的成员,总之就是漏洞重重!
分析内部......
删SAM文件的后果(2005-07-03 21:29:00)
摘要:事实上发这个贴子也是无奈.许多人对于我另外所转的一个名为"注意。清空administrator密码可不能用这种方法。 "的贴子抱有疑问.(贴子链接:_blank>http://itbbs.pconline.com.cn/tra ... e.jsp?topic=1301112有人自称已试过N次有效.见他说试了N次..我也就不妨多试这N+1次.毕竟.让人心服的最好方法就是事实.我也不想有太多网友相信这种方法而使自己的爱机蒙受重装的命运!
测试系统:Windows XP professional SP2
我C盘装的是Windows XP,D盘装的是Windows Server 2003.因此.要做这个
实验非常的简单.我在Windows Server 2003环境下把C:\WINDOWS\system32\CONFIG下
面的SAM文件剪切到D盘.等于从该文件夹中删除.然后重启.发生了什么情
况?开始一路下去都非常顺利.到快出现欢迎界面的时候.会跳出一个对话
框.对话框的内容是
Lsass.exe-系统错误.
安全帐户管理器初始化失败.原因是以下错误.连到系统上的设备没有发挥作用.错误状态.oxc0000001.请单击确定.关闭这个系统并重新回到安全模式中.有关详细情况.请查阅系统日志!
(sorry.由于我没有数码相机.所以不能上传图片给大家看了)
而事实上这个时候要面对的情况是.系统在开始时无论是正常模式或是安全模式都需要加载SAM文件也就是安全帐户管理器要读取里面的内容.不行的话必然报错..所以.你连安全模式也是进不去的.也就是说整个系统启动崩溃了.只能重装了.
大家也可以在网上进行搜索.大家都在说删除SAM文件是有用的.却没一个人把XP删除SAM文件都能正常进入系统的事情说出来.用一件事情来说明是最好了.大家可以想一想.这一招在windows 2000时就大行其道了.微软就算再怎么闭目塞听也不可能不知道这个漏洞.试想一下.微软会令这个漏洞存在达到5年以上吗?
好.连最基本的欢迎界面都进入不了.试问你如何登录?我想请声称试了N次的某人出来解释一下你试了N次后的结果.有时间的话.我会再用Virtual PC 2004虚拟一个打过补丁的2000系统上进行类似的测验.
现在我拿出了我的实验结果.也请某些人......
#1 入侵间谍卫星系统技术(2005-07-03 21:08:00)
摘要:1.VAX: VAX的全称是Virtual Address Extension。VAX计算机是由于硬件条件的限制,被设计
来储存地址的,使它能够很简便的操作一些很大的适合于储存的程序。 VAX计算机系统是
DES(Digital Equipment Corporation)公司设计的。普遍的VAX系列的包括一些桌上型VAX系统使用
的是大型机上的处理器。这些系列的计算机变得越来越小,如MicroVAX计算机逐渐升级,像一些中
等大小的11/7XX系列到最新的6000系列的。这些计算机系统普遍的使用一种开放型的系统VMS。
VMS: VMS全称Virtual Memory System.VMS操作系统非常类似于其他的开放型的系统。DEC公司
利用这种系统将他们公司的计算机应用于商业和工程行业,在这之前,VMS系统仅仅被应用于单机系
统中。VMS公司构思了一条发展之路,将他们的VMS系统融入一些基本的计算机管理应用于个人家庭
用户和一些其它的计算机系统。
DCL: DCL全称Digital Command Language.它使VMS系统的基础语言。你们那些人中有IBM系统
,你能想象DCL程序类似于批处理文件。你能够用它做很多事情。(比PC-DOS或者MS-DOS更多)但是
它的工作都是使用一些基本而又相同的方法。有一个差别就是你在DCL程序里想要显示任何文件之前
必须在提示符前面输入“$”符号。DCL程序通常调用COM为扩展名的文件时是很快捷的。当你没有执
行一个COM或DCL程序的文件时,几乎在DCL处理器里总是显示某些文件。
2.
当你进入一个VAX系统的时候,你将会看到一些类似于下面的界面:
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
WELCOME
TO THE
AT&T MICROVAX II SYSTEM
Username: (username here)
Password: (password here... does not echo)
$ (<-- this is your prompt)
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
GETTI......
注册表禁用IP(2005-07-03 21:00:00)
摘要:利用注册表管理IP地址
笔者负责公司的网络管理,每隔几日,就有部门打电话来“报案”,称他们的计算机出现“IP地址冲突”的提示,而且无法访问互联网。看来又有人私自修改了自己计算机的IP地址从而造成IP地址冲突。笔者要经过好一番查找,才能抓到“元凶”,非常麻烦。要是能够把网内用户的计算机的IP地址统统锁住就好了。
在此笔者告诉大家一个好办法:在自己的计算机上点击“开始→运行”,输入regedit命令运行注册表编辑器,然后在注册表菜单中选择“导出注册表文件”,在弹出的对话框中输入要保存的文件名,例如“lockip”,导出范围选择“选择的分支”,输入:“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network”,接着点击保存,然后选定lockip文件,用右键点选“编辑”命令将它打开,可以看到所选分支下面有一行键名和键值“"NoNetSetup"=dword:00000000”,把键值00000000改为00000001。如果没有这一行,就在所选分支下一行加入“"NoNetSetup"=dword:00000001”就行了。
然后在局域网内用户的计算机上,双击lockip文件把该文件中的内容加入注册表。如果谁再想改IP,那么对不起,计算机“网上邻居”属性已经被禁用。
想恢复也简单,只要把lockip文件编辑一下,把00000001改成00000000再运行一下就行了。
......