2007年8月23日 星期四
著名可攜式軟體列表
http://zh.wikipedia.org/wiki/%E5%8F%AF%E6%94%9C%E5%BC%8F%E8%BB%9F%E9%AB%94
著名可攜式軟體列表
· 8start Launcher - 美化桌面工具
· Comicsviewer - 漫畫瀏覽工具
· ConvertZ - 中文內碼轉換工具,可進行繁簡互換
· Foxit PDF Reader - PDF的閱讀工具
· GreenBrowser - 網頁瀏覽工具
· HijackThis - 間諜軟體移除工具
· IrfanView - 圖檔管理工具
· Lingoes 靈格斯 - 桌面詞典翻譯軟體
· Media Player Classic - 媒體播放工具
· Miranda IM - 即時通訊工具
· MPlayer - 媒體播放工具
· Omziff - 加密或銷毀文件工具
· Pass2Go - 自動填表工具
· Portable Firefox - Mozilla Firefox網頁瀏覽工具的綠色化版本
· Portable Thunderbird - Mozilla Thunderbird郵件工具的綠色化版本
· ReSysInfo Information Viewer - 電腦系統資訊檢索工具
· SilentNight Micro Burner - 光碟燒錄工具
· Snippy - 擷圖工具
· Subpad - 記事本工具
· Trillian Anywhere - Trillian即時通訊軟體的綠色化版本
· XMPlay - 媒體播放工具
· Zip2Dir - 壓縮與解壓工具
· μTorrent - BT下載工具
著名可攜式軟體列表
· 8start Launcher - 美化桌面工具
· Comicsviewer - 漫畫瀏覽工具
· ConvertZ - 中文內碼轉換工具,可進行繁簡互換
· Foxit PDF Reader - PDF的閱讀工具
· GreenBrowser - 網頁瀏覽工具
· HijackThis - 間諜軟體移除工具
· IrfanView - 圖檔管理工具
· Lingoes 靈格斯 - 桌面詞典翻譯軟體
· Media Player Classic - 媒體播放工具
· Miranda IM - 即時通訊工具
· MPlayer - 媒體播放工具
· Omziff - 加密或銷毀文件工具
· Pass2Go - 自動填表工具
· Portable Firefox - Mozilla Firefox網頁瀏覽工具的綠色化版本
· Portable Thunderbird - Mozilla Thunderbird郵件工具的綠色化版本
· ReSysInfo Information Viewer - 電腦系統資訊檢索工具
· SilentNight Micro Burner - 光碟燒錄工具
· Snippy - 擷圖工具
· Subpad - 記事本工具
· Trillian Anywhere - Trillian即時通訊軟體的綠色化版本
· XMPlay - 媒體播放工具
· Zip2Dir - 壓縮與解壓工具
· μTorrent - BT下載工具
自由、綠色、可攜式軟體
轉自 http://blogs.mcps.tp.edu.tw/post/3/86
自由軟體, 是一種可以不受限制地自由使用、複製、研究、修改和分發的軟體。自由軟體運動的創始人——里查·史托曼提供了以下的定義:『自由軟體的重點在於自由權,而 非價格。要了解其所代表的概念,你應該將「自由」想成是「自由演講」,而不是「免費啤酒」』。主要許可證有GPL許可證和BSD許可證兩種。根據斯托曼和自由軟體基金會(FSF)的定義,自由軟體賦予使用者四種自由:* 自由之零:不論目的為何,有使用該軟體的自由。* 自由之一:有研究該軟體如何運作的自由,並且得以改寫該軟體來符合使用者自身的需求。取得該軟體之源碼為達成此目的之前提。* 自由之二:有重新散佈該軟體的自由,所以每個人都可以藉由散佈自由軟體來敦親睦鄰。* 自由之三: * 有改善再利用該軟體的自由,並且可以發表改寫版供公眾使用,如此一來,整個社群都可以受惠。如前項,取得該軟體之源碼為達成此目的之前提。
綠色軟體(Greenware), 又稱綠色軟件,指一種免費軟體,一般在網路上以無條件的方式發放的小型軟體。優點是檔案比較細小﹑不用安裝﹑刪除方便和只佔用少量系統資源,所以甚至可以 放在Mp3播放器或USB記憶體中讀取。大部份綠色軟體更是開放源碼並不設權限歡迎任何人士參與修改或增加功能。
可攜式軟體(Portable application)指一類不須安裝、可以連同設定資料一併置於隨身碟等卸除式儲存裝置內轉移至不同電腦使用的應用軟體。由於設定是置於程式資料夾內 而非寫入登錄或其他位置,因此轉移到不同電腦後仍可正常執行;移除儲存裝置後也不會將資料留在本機電腦上。在中文內所稱的綠色軟體也屬於可攜式軟體的一類,特色是體積小、啟動快、不耗用系統資源,通常是單一執行檔。
自由軟體, 是一種可以不受限制地自由使用、複製、研究、修改和分發的軟體。自由軟體運動的創始人——里查·史托曼提供了以下的定義:『自由軟體的重點在於自由權,而 非價格。要了解其所代表的概念,你應該將「自由」想成是「自由演講」,而不是「免費啤酒」』。主要許可證有GPL許可證和BSD許可證兩種。根據斯托曼和自由軟體基金會(FSF)的定義,自由軟體賦予使用者四種自由:* 自由之零:不論目的為何,有使用該軟體的自由。* 自由之一:有研究該軟體如何運作的自由,並且得以改寫該軟體來符合使用者自身的需求。取得該軟體之源碼為達成此目的之前提。* 自由之二:有重新散佈該軟體的自由,所以每個人都可以藉由散佈自由軟體來敦親睦鄰。* 自由之三: * 有改善再利用該軟體的自由,並且可以發表改寫版供公眾使用,如此一來,整個社群都可以受惠。如前項,取得該軟體之源碼為達成此目的之前提。
綠色軟體(Greenware), 又稱綠色軟件,指一種免費軟體,一般在網路上以無條件的方式發放的小型軟體。優點是檔案比較細小﹑不用安裝﹑刪除方便和只佔用少量系統資源,所以甚至可以 放在Mp3播放器或USB記憶體中讀取。大部份綠色軟體更是開放源碼並不設權限歡迎任何人士參與修改或增加功能。
可攜式軟體(Portable application)指一類不須安裝、可以連同設定資料一併置於隨身碟等卸除式儲存裝置內轉移至不同電腦使用的應用軟體。由於設定是置於程式資料夾內 而非寫入登錄或其他位置,因此轉移到不同電腦後仍可正常執行;移除儲存裝置後也不會將資料留在本機電腦上。在中文內所稱的綠色軟體也屬於可攜式軟體的一類,特色是體積小、啟動快、不耗用系統資源,通常是單一執行檔。
2007年8月19日 星期日
把檔案轉成Flash
把檔案轉成Flash
SWF Tools官方網站http://www.quiss.org/swftools
SWF Tools下載網址http://www.quiss.org/swftools/download.html
Macromedia FlashPaper 2官方網站http://www.macromedia.com/software/flashpaper
Macromedia FlashPaper 2下載網址http://www.macromedia.com/cfusion/tdrc/index.cfm?product=flashpaper
SWF Tools官方網站http://www.quiss.org/swftools
SWF Tools下載網址http://www.quiss.org/swftools/download.html
Macromedia FlashPaper 2官方網站http://www.macromedia.com/software/flashpaper
Macromedia FlashPaper 2下載網址http://www.macromedia.com/cfusion/tdrc/index.cfm?product=flashpaper
2007年8月16日 星期四
木馬可能藏匿之註冊表清單
木馬可能藏匿之註冊表清單 1.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 2.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 3.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 4.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 5.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceSetup 6.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceSetup 7.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices 8.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 9.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 10.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce 11.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 12.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 13.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit 14.HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon
15. HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders
16. HKEY_CLASSES_ROOT\txtfile\shell\open\command
17. HKEY_CLASSES_ROOT\Briefcase\shell\open\command
18. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
19. HKEY_CLASSES_ROOT\exefile\shell\open\command
20. HKEY_CLASSES_ROOT\???file \shell\open\command (???)表示可能為任何副檔名之名稱
15. HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders
16. HKEY_CLASSES_ROOT\txtfile\shell\open\command
17. HKEY_CLASSES_ROOT\Briefcase\shell\open\command
18. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
19. HKEY_CLASSES_ROOT\exefile\shell\open\command
20. HKEY_CLASSES_ROOT\???file \shell\open\command (???)表示可能為任何副檔名之名稱
2007年8月15日 星期三
15款資安工具
轉貼http://blog.yam.com/myloveret/article/2082194
你想測試你的Widnows系統的安全性嗎?
如果你選對了工具,其實這是一件非常有趣的工作。如果你正為挑選合適的工具而苦惱,那就讓本文給你一些幫助吧。
關於安全測試工具,我發現大體上你都能購買到。然而,還有一些是免費的工具,沒有這些工具我會舉步維艱,所以我將兩種類型的工具一同與你分享。 基於Widnows平臺的電腦,有7類常見的安全測試工具,它們是:
1. 埠掃瞄 (Port scanners)
2. 網路/作業系統弱點掃瞄 (Network/OS vulnerability scanners
3. 應用程式/資料庫弱點掃瞄 (Application/database vulnerability scanners)
4. 密碼破解 (Password crackers)
5. 文件查找工具 (File searching tools)
6. 網路分析 (Network analyzers)
7. 漏洞檢查工具 免費 SuperScan version 3
www.foundstone.com/resources/proddesc/superscan3.htm 快速並且易用的埠掃瞄器,可以在運行的系統中尋找開放的埠和正在運行的服務,抓取banner資訊包括軟體的版本。
SoftPerfect Network Scanner http://www.softperfect.com/products/networkscanner 映射MAC位址到IP位址,可以幫你定位隨機的有線和無線的系統
NetBIOS Auditing Tool (NAT) http://www.cotse.com/tools/netbios.htm 靈巧的Windows網路共用密碼的破解工具
Winfingerprint http://winfingerprint.sourceforge.net Windows 資訊列舉工具,它可以搜索到補丁的等級資訊,NetBIOS資訊,用戶資訊等
Metasploit http://www.metasploit.org 一個強大的查找基於Windows平臺弱點的工具
Cain & Abel http://www.oxid.it 一個很不錯的混合密碼破解工具
商用 QualysGuard http://www.qualys.com 強大且易用且全面的網路/作業系統弱點掃瞄工具,適用於上千種新老漏洞。
GFI LANguard Network Security Scanner http://www.gfi.com/lannetscan 一套完美的定位於Windows系統,功能強大且價格低廉的的網路/作業系統弱點掃瞄工具
N-Stealth http://www.nstalker.com 一款物美價廉的針對運行IIS的系統掃瞄工具
WebInspect http://www.spidynamics.com/products/webinspect/index.html 徹底的挖掘基於IIS,Apach等系統的Web應用程式弱點
WinHex http://www.winhex.com/winhex/index-m.html 查找運行程式遺留於記憶體中的敏感資訊 -- 完全搜索類似於「密碼」,「SSN」,等等之類的文本資訊。以發現那些未清除乾淨的敏感資訊
AppDetective for MS SQL Server www.appsecinc.com/products/appdetective/mssql 全面的SQL Server 資料庫安全掃瞄工具
Proactive Password Auditor www.elcomsoft.com/ppa.html 一個效果明顯且簡單易用的用戶密碼破解工具 -- 支援Rainbow Table Effective File Search www.sowsoft.com/search.htm 強大的文本搜索工具,適用於搜索本地檔或伺服器上的共用檔。 -- 完全搜索類似於「密碼」,「SSN」,等等之類的文本資訊。 以發現那些未被保護的敏感資訊
EtherPeek http://www.wildpackets.com/products/etherpeek/overview 完美的網路分析器,可以找出不懷好意的系統,未被認可的協議, 找出上層的講話者, 以及更多
當你裝備你的安裝測試工具箱時,你會發現沒有一款工具是最好的。也就是說那些安全檢測工具不是萬能的。應用程式、作業系統和網路知識和重要經驗才會是最重要的。 http://searchsecurity.techtarget.com.cn/tips/153/2391653.shtml?BLK=050001&NODE=1005
你想測試你的Widnows系統的安全性嗎?
如果你選對了工具,其實這是一件非常有趣的工作。如果你正為挑選合適的工具而苦惱,那就讓本文給你一些幫助吧。
關於安全測試工具,我發現大體上你都能購買到。然而,還有一些是免費的工具,沒有這些工具我會舉步維艱,所以我將兩種類型的工具一同與你分享。 基於Widnows平臺的電腦,有7類常見的安全測試工具,它們是:
1. 埠掃瞄 (Port scanners)
2. 網路/作業系統弱點掃瞄 (Network/OS vulnerability scanners
3. 應用程式/資料庫弱點掃瞄 (Application/database vulnerability scanners)
4. 密碼破解 (Password crackers)
5. 文件查找工具 (File searching tools)
6. 網路分析 (Network analyzers)
7. 漏洞檢查工具 免費 SuperScan version 3
www.foundstone.com/resources/proddesc/superscan3.htm 快速並且易用的埠掃瞄器,可以在運行的系統中尋找開放的埠和正在運行的服務,抓取banner資訊包括軟體的版本。
SoftPerfect Network Scanner http://www.softperfect.com/products/networkscanner 映射MAC位址到IP位址,可以幫你定位隨機的有線和無線的系統
NetBIOS Auditing Tool (NAT) http://www.cotse.com/tools/netbios.htm 靈巧的Windows網路共用密碼的破解工具
Winfingerprint http://winfingerprint.sourceforge.net Windows 資訊列舉工具,它可以搜索到補丁的等級資訊,NetBIOS資訊,用戶資訊等
Metasploit http://www.metasploit.org 一個強大的查找基於Windows平臺弱點的工具
Cain & Abel http://www.oxid.it 一個很不錯的混合密碼破解工具
商用 QualysGuard http://www.qualys.com 強大且易用且全面的網路/作業系統弱點掃瞄工具,適用於上千種新老漏洞。
GFI LANguard Network Security Scanner http://www.gfi.com/lannetscan 一套完美的定位於Windows系統,功能強大且價格低廉的的網路/作業系統弱點掃瞄工具
N-Stealth http://www.nstalker.com 一款物美價廉的針對運行IIS的系統掃瞄工具
WebInspect http://www.spidynamics.com/products/webinspect/index.html 徹底的挖掘基於IIS,Apach等系統的Web應用程式弱點
WinHex http://www.winhex.com/winhex/index-m.html 查找運行程式遺留於記憶體中的敏感資訊 -- 完全搜索類似於「密碼」,「SSN」,等等之類的文本資訊。以發現那些未清除乾淨的敏感資訊
AppDetective for MS SQL Server www.appsecinc.com/products/appdetective/mssql 全面的SQL Server 資料庫安全掃瞄工具
Proactive Password Auditor www.elcomsoft.com/ppa.html 一個效果明顯且簡單易用的用戶密碼破解工具 -- 支援Rainbow Table Effective File Search www.sowsoft.com/search.htm 強大的文本搜索工具,適用於搜索本地檔或伺服器上的共用檔。 -- 完全搜索類似於「密碼」,「SSN」,等等之類的文本資訊。 以發現那些未被保護的敏感資訊
EtherPeek http://www.wildpackets.com/products/etherpeek/overview 完美的網路分析器,可以找出不懷好意的系統,未被認可的協議, 找出上層的講話者, 以及更多
當你裝備你的安裝測試工具箱時,你會發現沒有一款工具是最好的。也就是說那些安全檢測工具不是萬能的。應用程式、作業系統和網路知識和重要經驗才會是最重要的。 http://searchsecurity.techtarget.com.cn/tips/153/2391653.shtml?BLK=050001&NODE=1005
偵測篇-定期安檢企業的資訊系統
轉貼http://www.pcteacher.com.tw/modules/newbb/viewtopic.php?topic_id=1937&forum=66
偵測篇-定期安檢企業的資訊系統
找出系統漏洞,根據重要性與緊急程度,排定修補計畫 想要修補系統漏洞,先要找出現存漏洞的類型和數量,企業通常會委託資安廠商進行弱點掃描(Vulnerability Scanning)、網路安全評估(Network Security Assessment Services,NSAS)和滲透測試(Penetration Testing),在入侵或病毒蠕蟲事件發生前找出弱點,針對發現的漏洞修補,才能對症下藥。
使用這些服務有些原則是共通的,廠商需要了解企業網路架構中提供哪些網路服務及應用程式,確認掃描目標對象、應用程式及網路設備後,要選用適合的弱點評估工具,並依照約定的掃描政策,執行弱點掃描作業,之後分析結果產生報表,進行修補弱點與修正安全漏洞,以及後續複檢作業。
用對工具,找出弱點
企業使用弱點掃描或弱點評估(Vulnerability Assessment,VA)的主要意義在於偵測漏洞,如果能用工具偵測到漏洞存在,表示駭客從外部同樣也有可能發現這些弱點,你可以自己使用工具或請委外服務廠商來執行這項工作。當掃描結果出爐,這些資訊可以化為接下來修補弱點的依據,管理者可以透過這份報告,明白一件事︰原來從外界看來,公司的電腦有這麼多弱點可以利用」。
弱點掃描的對象是固定存在企業內部的電腦,然而在每次掃描作業間的空窗期還是可能有漏網之魚,例如出差員工的筆記型電腦或是臨時訪客的電腦,對於不在資產控制清單內的電腦設備,這些有可能是視而不見的威脅來源,必須將這些高危險的設備列入控管範圍內,修補程式管理系統的發現(Discovery)功能,搭配群組管理與政策,可以補足這部分的缺失。
至於更進階的滲透測試,為了測試資訊系統架構的安全強度,大多會運用真實世界的駭客滲透與攻擊手法,以人工的方式,徒手突破防禦,現成的弱點掃描工具雖然有助於模擬入侵,但無法涵蓋所有可能的入侵方式。
弱點掃描的工具可分為主機型和網路型,掃描的目標分別對應到系統弱點和網路弱點。在特定應用也有一些專門的弱點掃描工具,例如能夠測試網站伺服器弱點的Nikto,支援微軟SQL Server、Oracle和Sybase資料庫弱點掃描的ISS DataBase Scanner,或是針對網站SQL Injection弱點的NBSI等。
在可靠性考量上,使用免費弱點掃描工具應特別保持謹慎,有些功能有限,部分來自中國的工具則具有危險性,可能被植入木馬。雖然名為測試用,不過有時會被歸類為駭客工具。
取得評估報告有助於規畫修補 免費或商業版本的弱點掃描工具多得不勝枚舉,要能看得懂結果,得到綜合性的資訊,才能真正輔助管理者決策。
中大型企業人力和預算夠充裕,可以有專門的人執行弱點稽核作業和報告製作,定期掃描的頻率可以做到每週甚至每天,假如負責的資訊安全人員技術能力夠,試用、採購後長期使用,比較節省成本。
委外由廠商的情況較普遍,找到代理弱點掃描工具的廠商或有經驗的資安廠商,都可以提供這方面的服務。以政府單位為例,承辦人有太多事情要處理,往往在弱點稽核與修補漏洞寧願委外;而中小企業的資安技術能力不足,就算可以執行掃描工具,但此時可能還是需要委託專業廠商服務,將分析結果轉換為可讀性較高的中文報告,IT人員可以據此決定修補工作程序,或是回報給高階主管作為營運上的參考。
不論你用何種方式得到弱點評估報告,假如你沒有對應的資訊安全政策,定義充分的處理程序,光靠這份報告內容並不能完全讓企業懂得接下來怎麼修補。因為報告中通常列舉不同等級的弱點分析,要求IT人員或服務廠商在期限內全部補完,或是認為微軟發佈的漏洞全都補,非微軟的漏洞再自行決定,這些做法並不切實際,會衍生很多問題。
資安政策明確可讓弱點管理更平滑 很多企業都願意使用弱點掃描,但多半流於形式,如要進行一個有效率的修補程式管理,面對漏洞與修補程式,企業必須要有明確的資安政策,幫助IT人員落實,讓修補工作範圍更廣泛而有效,得到的資訊可以連結風險管理,更符合企業單位的需求。 當漏洞修補管理機制成立,弱點掃描只是一套使用的工具,重點是偵測完,該怎麼應對。工具優秀、管理功能完善、發現機制快速,發現漏洞不知所措也是枉然。有些企業本身導入弱點掃描工具,但因為是上級指示或其他同事主導引進,沒有SOP和資安政策,當系統發現弱點產生報表,引發稽核通知,雖然只是流程上的一環,對無法處理的管理人員來仍是額外的困擾。文⊙李宗翰
偵測篇-定期安檢企業的資訊系統
找出系統漏洞,根據重要性與緊急程度,排定修補計畫 想要修補系統漏洞,先要找出現存漏洞的類型和數量,企業通常會委託資安廠商進行弱點掃描(Vulnerability Scanning)、網路安全評估(Network Security Assessment Services,NSAS)和滲透測試(Penetration Testing),在入侵或病毒蠕蟲事件發生前找出弱點,針對發現的漏洞修補,才能對症下藥。
使用這些服務有些原則是共通的,廠商需要了解企業網路架構中提供哪些網路服務及應用程式,確認掃描目標對象、應用程式及網路設備後,要選用適合的弱點評估工具,並依照約定的掃描政策,執行弱點掃描作業,之後分析結果產生報表,進行修補弱點與修正安全漏洞,以及後續複檢作業。
用對工具,找出弱點
企業使用弱點掃描或弱點評估(Vulnerability Assessment,VA)的主要意義在於偵測漏洞,如果能用工具偵測到漏洞存在,表示駭客從外部同樣也有可能發現這些弱點,你可以自己使用工具或請委外服務廠商來執行這項工作。當掃描結果出爐,這些資訊可以化為接下來修補弱點的依據,管理者可以透過這份報告,明白一件事︰原來從外界看來,公司的電腦有這麼多弱點可以利用」。
弱點掃描的對象是固定存在企業內部的電腦,然而在每次掃描作業間的空窗期還是可能有漏網之魚,例如出差員工的筆記型電腦或是臨時訪客的電腦,對於不在資產控制清單內的電腦設備,這些有可能是視而不見的威脅來源,必須將這些高危險的設備列入控管範圍內,修補程式管理系統的發現(Discovery)功能,搭配群組管理與政策,可以補足這部分的缺失。
至於更進階的滲透測試,為了測試資訊系統架構的安全強度,大多會運用真實世界的駭客滲透與攻擊手法,以人工的方式,徒手突破防禦,現成的弱點掃描工具雖然有助於模擬入侵,但無法涵蓋所有可能的入侵方式。
弱點掃描的工具可分為主機型和網路型,掃描的目標分別對應到系統弱點和網路弱點。在特定應用也有一些專門的弱點掃描工具,例如能夠測試網站伺服器弱點的Nikto,支援微軟SQL Server、Oracle和Sybase資料庫弱點掃描的ISS DataBase Scanner,或是針對網站SQL Injection弱點的NBSI等。
在可靠性考量上,使用免費弱點掃描工具應特別保持謹慎,有些功能有限,部分來自中國的工具則具有危險性,可能被植入木馬。雖然名為測試用,不過有時會被歸類為駭客工具。
取得評估報告有助於規畫修補 免費或商業版本的弱點掃描工具多得不勝枚舉,要能看得懂結果,得到綜合性的資訊,才能真正輔助管理者決策。
中大型企業人力和預算夠充裕,可以有專門的人執行弱點稽核作業和報告製作,定期掃描的頻率可以做到每週甚至每天,假如負責的資訊安全人員技術能力夠,試用、採購後長期使用,比較節省成本。
委外由廠商的情況較普遍,找到代理弱點掃描工具的廠商或有經驗的資安廠商,都可以提供這方面的服務。以政府單位為例,承辦人有太多事情要處理,往往在弱點稽核與修補漏洞寧願委外;而中小企業的資安技術能力不足,就算可以執行掃描工具,但此時可能還是需要委託專業廠商服務,將分析結果轉換為可讀性較高的中文報告,IT人員可以據此決定修補工作程序,或是回報給高階主管作為營運上的參考。
不論你用何種方式得到弱點評估報告,假如你沒有對應的資訊安全政策,定義充分的處理程序,光靠這份報告內容並不能完全讓企業懂得接下來怎麼修補。因為報告中通常列舉不同等級的弱點分析,要求IT人員或服務廠商在期限內全部補完,或是認為微軟發佈的漏洞全都補,非微軟的漏洞再自行決定,這些做法並不切實際,會衍生很多問題。
資安政策明確可讓弱點管理更平滑 很多企業都願意使用弱點掃描,但多半流於形式,如要進行一個有效率的修補程式管理,面對漏洞與修補程式,企業必須要有明確的資安政策,幫助IT人員落實,讓修補工作範圍更廣泛而有效,得到的資訊可以連結風險管理,更符合企業單位的需求。 當漏洞修補管理機制成立,弱點掃描只是一套使用的工具,重點是偵測完,該怎麼應對。工具優秀、管理功能完善、發現機制快速,發現漏洞不知所措也是枉然。有些企業本身導入弱點掃描工具,但因為是上級指示或其他同事主導引進,沒有SOP和資安政策,當系統發現弱點產生報表,引發稽核通知,雖然只是流程上的一環,對無法處理的管理人員來仍是額外的困擾。文⊙李宗翰
2007年8月14日 星期二
Microsoft Baseline Security Analyzer (MBSA) 1.0 版問答集
http://www.microsoft.com/taiwan/technet/security/tools/mbsaqa.aspx#6
- MBSA V1 支援哪些作業系統?
- MBSA 會掃瞄哪些應用程式/程式?
- MBSA 會取代 Microsoft Personal Security Advisor (MPSA) 嗎?
- MBSA 的安全性報告位於何處?
- MBSA V1 支援哪些語言?
- MBSA 是如何和 HFNetChk 搭配使用的?
MBSA 比 HFNetChk 更為優越的特點有哪些?
如果我的 Proxy 伺服器需要驗證,該如何下載執行掃瞄作業所需的檔案?
為何 MBSA 沒有顯示關於 MS02-018 與其他 IIS Hotfix 的資訊?
我已經安裝了掃瞄結果中所標記的 Hotfix,為何 MBSA 或 HFNetChk 仍然顯示不正確的 Hotfix 報告?
為什麼 MBSA 和 Windows Update 會互相衝突?
即將發行的 MS Software Update Services (又稱為 Windows Update Corporate Edition) 如何進行系統與修補程式的偵測?
即將在 SMS Value Pack 中發行的 SMS 安全性工具如何進行系統與修補程式的偵測?
Microsoft 支援 MBSA 嗎?
MBSA 會發行新的版本嗎?
要如何提出對於 MBSA 的意見或建議?
MBSA V1 會掃瞄 Windows NT 4.0、Windows 2000、Windows XP、Microsoft Internet Information Services 4.0 與 5.0、Microsoft Internet Explorer 5.01+、Microsoft SQL Server 7.0、SQL Server 2000、Microsoft Office 2000 以及 Microsoft Office XP。
根據預設,安全性報告會儲存於下列位置:%userprofile%\SecurityScans。
MBSA 是 HFNetChk 功能的超集。HFNetChk 只能處理 Hotfix 和 Service Pack,而 MBSA 則具備了容易使用的介面和更多的功能。這些功能包括檢查 Windows 桌面和伺服器是否使用了一般安全性最佳措施 (例如強式密碼)、掃瞄執行 IIS 和 SQL Server 的伺服器是否有一般安全性設定錯誤,以及檢查 Microsoft Office、Outlook 和 Internet Explorer 中是否有錯誤的安全性區域設定。Microsoft 建議使用 MBSA 工具,因為它可以增強效能,並且比單獨使用 HFNetChk 工具提供您更多的功能和更佳措施。
http://www.microsoft.com/technet/security/tools/mbsa2_1/default.mspx#ETB
Microsoft Baseline Security Analyzer 2.1
Published: May 9, 2007
On This Page
MBSA 2.1 Beta 2 is now available
Download Now
Frequently Asked Questions
MBSA 2.1 Beta 2 is now available
In order to ensure compatibility with Windows Vista, MBSA 2.1 Beta 2 is now available. Beta 2 maintains the current MBSA 2.0.x functionality but adds Windows Vista support.
MBSA 2.1 Beta 1 supports the following scenarios:
•Installing on Windows 2000 SP4 through Windows Vista.
•Security update scans
•Local online scans on Windows 2000 SP4 through Windows Vista
•Local offline scans on Windows 2000 SP4 through Windows Vista
•Remote offline scans against Windows 2000 SP4 through Windows Vista
•Remote online scans against Windows 2000 SP4 through Windows Server 2003
•Local and remote VA scans against Windows 2000 SP4 through Windows Vista (32-bit and 64-bit)
如何在非 Active Directory 環境設定自動更新
http://blog.nlhs.tyc.edu.tw/post/3/18 huihui的飛機場
WSUS 架設好了之後,接下來的重點就是要讓校內各 Client 端的電腦來找它下載更新修正檔。目前校內的環境並非所有電腦都納入 Active Directory 的控管下,所以在設定 Client 端的自動更新時得有不同的作法。
對於在 AD 中的電腦最簡單,只要利用群組原則設定各 Client 的自動更新原則即可。
對於不在 AD 中的電腦就比較麻煩了,在 MS 的 WSUS 佈署文件中有提到,在非 Active Directory 環境設定自動更新有三種方式:
使用群組原則物件編輯器Group Policy Object Editor來編輯單機群組原則物件。
使用登錄編輯程式(Regedit.exe)來直接編輯登錄值(registry)。
使用Windows NT 4.0型式的佈署方式來佈署登錄值。
考慮校內的環境後決定採用第二種方式,不過當然不是要每個使用者開啟 Regedit.exe 去編輯 registry,而是統一製作一個 Reg 檔給他們下載安裝,如此一來便可以統一設定大家的自動更新組態。
我的作法是自 AD 中已套用自動更新群組原則的電腦將[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]及其以下機碼匯出成一個 Reg 檔,因為環境相同所以不需要什麼修改就可以直接套用,如果要修改的話,得參考 MS 的「Deploying Microsoft Windows Server Update Services」文件,瞭解一下各機碼的意義。
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsWindowsUpdate
Entry Name
Values
Data Type
ElevateNonAdmins
Range = 10
1 = 在 Users 安全性群組的使用者可以核准或拒絕核准更新。
0 = 只有在 Administrators 群組的使用者可以核准或拒絕核准更新。
Reg_DWORD
TargetGroup
電腦所屬的電腦群組,用以實作準client-side targeting。例如: "TestServers."
這個原則和TargetGroupEnabled 是一對。
Reg_String
TargetGroupEnabled
Range = 10
1 = 啟用 client-side targeting.
0 = 停用 client-side targeting. 這個原則和 TargetGroup是一對。
Reg_DWORD
WUServer
自動更新及API呼叫所使用WSUS伺服器的 HTTP(S) URL,這個原則和WUStatusServer是一對,必須設為相同的值。
Reg_String
WUStatusServer
使用WUServer自動更新之客戶端回報資訊用伺服器的 HTTP(S) URL,這個原則和WUServer是一對,必須設為相同的值。
Reg_String
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsWindowsUpdateAU
Entry Name
Value Range and Meanings
Data Type
AUOptions
Range = 2345
2 = 下載前通知。
3 = 自動下載並通知安裝。
4 = 自動下載並排程安裝。(必須設定 ScheduledInstallDay 和 ScheduledInstallTime 才有效)
5 = 啟用自動更新,但使用者可自行調整屬性
Reg_DWORD
AutoInstallMinorUpdates
Range = 01
0 = Treat minor updates like other updates.
1 = Silently install minor updates.
Reg_DWORD
DetectionFrequency
Range=n; n=間隔時間(1-22)小時
偵測更新的頻率(每 n 小時)
Reg_DWORD
DetectionFrequencyEnabled
Range = 01
1 = 啟用 DetectionFrequency
0 = 使用預設值每 22 小時偵測一次。
Reg_DWORD
NoAutoRebootWithLoggedOnUsers
Range = 01;
1 = 登入的使用者可以選擇是否重新開機。
0 = 自動更新通知使用者電腦將在 5 分鐘後重新開機。
Reg_DWORD
NoAutoUpdate
Range = 01
0 = 啟用自動更新。
1 = 停用自動更新。
Reg_DWORD
RebootRelaunchTimeout
Range=n; n=間隔時間(1-1440)分鐘
出現提示已排定重新開機訊息的時間間隔
Reg_DWORD
RebootRelaunchTimeoutEnabled
Range = 01
1 = 啟用 RebootRelaunchTimeout.
0 = 停用 RebootRelaunchTimeout(使用預設值 10 分鐘).
Reg_DWORD
RebootWarningTimeout
Range=n; where n=時間(1-30)分鐘
排程安裝後的自動開機警告訊息倒數時間(倒數結束即重新開機)
Reg_DWORD
RebootWarningTimeoutEnabled
Range = 01
1 = 啟用RebootWarningTimeout.
0 = 停用 RebootWarningTimeout (使用預設值 5 分鐘).
Reg_DWORD
RescheduleWaitTime
Range=n; n=時間 (1-60) 分鐘
錯過排程安裝後的下次開機,等得多久才套用安裝。
這個原則只對排程安裝有效,對deadline無效,deadline過期後將自動儘快安裝。
Reg_DWORD
RescheduleWaitTimeEnabled
Range = 01
1 = 啟用RescheduleWaitTime
0 = 停用 RescheduleWaitTime(下次排程安裝時間才一起安裝).
Reg_DWORD
ScheduledInstallDay
Range = 01234567
0 = 每天
1 ~ 7 = The 星期日 (1) 到 星期六 (7).
(只有當 AUOptions = 4 時才有效)
那一天進行排程安裝。
Reg_DWORD
ScheduledInstallTime
Range = n; where n = 幾點鐘 (0-23).
幾點鐘進行排程安裝(廿四小時制)。
Reg_DWORD
UseWUServer
這個值必需設為1才能設定 WUServer 。
Reg_DWORD
WSUS 架設好了之後,接下來的重點就是要讓校內各 Client 端的電腦來找它下載更新修正檔。目前校內的環境並非所有電腦都納入 Active Directory 的控管下,所以在設定 Client 端的自動更新時得有不同的作法。
對於在 AD 中的電腦最簡單,只要利用群組原則設定各 Client 的自動更新原則即可。
對於不在 AD 中的電腦就比較麻煩了,在 MS 的 WSUS 佈署文件中有提到,在非 Active Directory 環境設定自動更新有三種方式:
使用群組原則物件編輯器Group Policy Object Editor來編輯單機群組原則物件。
使用登錄編輯程式(Regedit.exe)來直接編輯登錄值(registry)。
使用Windows NT 4.0型式的佈署方式來佈署登錄值。
考慮校內的環境後決定採用第二種方式,不過當然不是要每個使用者開啟 Regedit.exe 去編輯 registry,而是統一製作一個 Reg 檔給他們下載安裝,如此一來便可以統一設定大家的自動更新組態。
我的作法是自 AD 中已套用自動更新群組原則的電腦將[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]及其以下機碼匯出成一個 Reg 檔,因為環境相同所以不需要什麼修改就可以直接套用,如果要修改的話,得參考 MS 的「Deploying Microsoft Windows Server Update Services」文件,瞭解一下各機碼的意義。
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsWindowsUpdate
Entry Name
Values
Data Type
ElevateNonAdmins
Range = 10
1 = 在 Users 安全性群組的使用者可以核准或拒絕核准更新。
0 = 只有在 Administrators 群組的使用者可以核准或拒絕核准更新。
Reg_DWORD
TargetGroup
電腦所屬的電腦群組,用以實作準client-side targeting。例如: "TestServers."
這個原則和TargetGroupEnabled 是一對。
Reg_String
TargetGroupEnabled
Range = 10
1 = 啟用 client-side targeting.
0 = 停用 client-side targeting. 這個原則和 TargetGroup是一對。
Reg_DWORD
WUServer
自動更新及API呼叫所使用WSUS伺服器的 HTTP(S) URL,這個原則和WUStatusServer是一對,必須設為相同的值。
Reg_String
WUStatusServer
使用WUServer自動更新之客戶端回報資訊用伺服器的 HTTP(S) URL,這個原則和WUServer是一對,必須設為相同的值。
Reg_String
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsWindowsUpdateAU
Entry Name
Value Range and Meanings
Data Type
AUOptions
Range = 2345
2 = 下載前通知。
3 = 自動下載並通知安裝。
4 = 自動下載並排程安裝。(必須設定 ScheduledInstallDay 和 ScheduledInstallTime 才有效)
5 = 啟用自動更新,但使用者可自行調整屬性
Reg_DWORD
AutoInstallMinorUpdates
Range = 01
0 = Treat minor updates like other updates.
1 = Silently install minor updates.
Reg_DWORD
DetectionFrequency
Range=n; n=間隔時間(1-22)小時
偵測更新的頻率(每 n 小時)
Reg_DWORD
DetectionFrequencyEnabled
Range = 01
1 = 啟用 DetectionFrequency
0 = 使用預設值每 22 小時偵測一次。
Reg_DWORD
NoAutoRebootWithLoggedOnUsers
Range = 01;
1 = 登入的使用者可以選擇是否重新開機。
0 = 自動更新通知使用者電腦將在 5 分鐘後重新開機。
Reg_DWORD
NoAutoUpdate
Range = 01
0 = 啟用自動更新。
1 = 停用自動更新。
Reg_DWORD
RebootRelaunchTimeout
Range=n; n=間隔時間(1-1440)分鐘
出現提示已排定重新開機訊息的時間間隔
Reg_DWORD
RebootRelaunchTimeoutEnabled
Range = 01
1 = 啟用 RebootRelaunchTimeout.
0 = 停用 RebootRelaunchTimeout(使用預設值 10 分鐘).
Reg_DWORD
RebootWarningTimeout
Range=n; where n=時間(1-30)分鐘
排程安裝後的自動開機警告訊息倒數時間(倒數結束即重新開機)
Reg_DWORD
RebootWarningTimeoutEnabled
Range = 01
1 = 啟用RebootWarningTimeout.
0 = 停用 RebootWarningTimeout (使用預設值 5 分鐘).
Reg_DWORD
RescheduleWaitTime
Range=n; n=時間 (1-60) 分鐘
錯過排程安裝後的下次開機,等得多久才套用安裝。
這個原則只對排程安裝有效,對deadline無效,deadline過期後將自動儘快安裝。
Reg_DWORD
RescheduleWaitTimeEnabled
Range = 01
1 = 啟用RescheduleWaitTime
0 = 停用 RescheduleWaitTime(下次排程安裝時間才一起安裝).
Reg_DWORD
ScheduledInstallDay
Range = 01234567
0 = 每天
1 ~ 7 = The 星期日 (1) 到 星期六 (7).
(只有當 AUOptions = 4 時才有效)
那一天進行排程安裝。
Reg_DWORD
ScheduledInstallTime
Range = n; where n = 幾點鐘 (0-23).
幾點鐘進行排程安裝(廿四小時制)。
Reg_DWORD
UseWUServer
這個值必需設為1才能設定 WUServer 。
Reg_DWORD
Windows Update v5 具有續傳的功能
轉貼 http://alexchuo.blogspot.com/2004/09/windows-update-v5.html
Windows Update v5 具有續傳的功能 當您在 Windows XP 的電腦上執行 Windows Update,或是將 Windows XP 更新到 SP2 之後,此時您會發現:Windows Update 的 IE 網址列已經變成了 http://v5.windowsupdate.microsoft.com/zhtw/default.asp,而非以前的 http://v4.windowsupdate.microsoft.com/zhtw/default.asp。這乃是因為隨著Windows XP SP2 的推出,微軟也讓新版的 Windows Update v5 正式上線,v5 除了畫面排版的改變之外,還增加續傳的功能:當更新檔在下載的過程被中斷,待下次更新時,它會從下載的停止地方重新開始續傳,而非整個更新檔重新下載,這樣子可以節省下載的時間。
此外, v5 採用了 BITS(Background Intelligent Transfer Service) 的功能,因此下載更新檔的時間與資料量跟 v4 比較起來,少了很多。 在 Windows Update v4 更新時,所有的更新檔會存放在一個 WUtemp 資料夾中(請參考本文),當 Windows Update 完畢重新開機之後,該資料夾內的檔案會自動被刪除。 而使用 Windows Update v5 更新時,下載的更新檔則存放在 %systemroot%\SoftwareDistribution\Download 裡,當更新完成後,下載的更新檔案不會被刪除,因此若有需要的話,可以把這裡面的檔案複製或燒錄到 CD,以便日後重新安裝 Windows XP 時,直接更新。 為了加速下載的速度,微軟修改 Windows XP SP2 修正檔的下載方式,使用者無需下載整個更新檔,只需要下載檔案有變動的部分,根據估計大約可以縮短 80% 的下載時間,這個改變對於使用數據機撥接上網下載修正檔的使用者而言,是一個好消息,對於使用寬頻上網的使用者來說,也可以減少等待下載檔案的時間。 目前 Windows Update v5 只支援 Windows XP 的作業系統,根據官方的文件顯示未來會支援 Windows 2000 與 Windows Server 2003,而且可以下載除了原本的 Windows 系統、硬體驅動程式(如:網路卡、顯示卡...等)、與系統相關的元件(如:IE、Windows Media Player、Windows Messenger...等)的更新之外,還可以下載如:Office、SQL Server...這類的應用程式的更新,而 Windows 9x/ME/NT4 這類微軟已經不支援或已經過時的產品,則只能使用 Windows Update v4。 若尚未更新到 Windows XP SP2 時,則可以在 IE 的網址列輸入「http://v5.windowsupdate.microsoft.com」,當您 第一次開啟這個網址時,需要下載一個「Windows Update」的 ActiveX 元件,這會觸發一個安全設定的警告對話框,請選擇 [是] 以便繼續後續的步驟。為了日後使用 Windows Update 較為方便,您可以勾選 [總是信任Microsoft Windows Publisher 的內容] 。當網頁載入完成之後,您會被要求下載並部署 v5 元件,這個元件就是進行 Windows Update 程式的升級,等待完成更新之後,當您從 [開始] -> [Windows Update] 所進入的網站就是直接連到 v5 了。
Windows Update v5 具有續傳的功能 當您在 Windows XP 的電腦上執行 Windows Update,或是將 Windows XP 更新到 SP2 之後,此時您會發現:Windows Update 的 IE 網址列已經變成了 http://v5.windowsupdate.microsoft.com/zhtw/default.asp,而非以前的 http://v4.windowsupdate.microsoft.com/zhtw/default.asp。這乃是因為隨著Windows XP SP2 的推出,微軟也讓新版的 Windows Update v5 正式上線,v5 除了畫面排版的改變之外,還增加續傳的功能:當更新檔在下載的過程被中斷,待下次更新時,它會從下載的停止地方重新開始續傳,而非整個更新檔重新下載,這樣子可以節省下載的時間。
此外, v5 採用了 BITS(Background Intelligent Transfer Service) 的功能,因此下載更新檔的時間與資料量跟 v4 比較起來,少了很多。 在 Windows Update v4 更新時,所有的更新檔會存放在一個 WUtemp 資料夾中(請參考本文),當 Windows Update 完畢重新開機之後,該資料夾內的檔案會自動被刪除。 而使用 Windows Update v5 更新時,下載的更新檔則存放在 %systemroot%\SoftwareDistribution\Download 裡,當更新完成後,下載的更新檔案不會被刪除,因此若有需要的話,可以把這裡面的檔案複製或燒錄到 CD,以便日後重新安裝 Windows XP 時,直接更新。 為了加速下載的速度,微軟修改 Windows XP SP2 修正檔的下載方式,使用者無需下載整個更新檔,只需要下載檔案有變動的部分,根據估計大約可以縮短 80% 的下載時間,這個改變對於使用數據機撥接上網下載修正檔的使用者而言,是一個好消息,對於使用寬頻上網的使用者來說,也可以減少等待下載檔案的時間。 目前 Windows Update v5 只支援 Windows XP 的作業系統,根據官方的文件顯示未來會支援 Windows 2000 與 Windows Server 2003,而且可以下載除了原本的 Windows 系統、硬體驅動程式(如:網路卡、顯示卡...等)、與系統相關的元件(如:IE、Windows Media Player、Windows Messenger...等)的更新之外,還可以下載如:Office、SQL Server...這類的應用程式的更新,而 Windows 9x/ME/NT4 這類微軟已經不支援或已經過時的產品,則只能使用 Windows Update v4。 若尚未更新到 Windows XP SP2 時,則可以在 IE 的網址列輸入「http://v5.windowsupdate.microsoft.com」,當您 第一次開啟這個網址時,需要下載一個「Windows Update」的 ActiveX 元件,這會觸發一個安全設定的警告對話框,請選擇 [是] 以便繼續後續的步驟。為了日後使用 Windows Update 較為方便,您可以勾選 [總是信任Microsoft Windows Publisher 的內容] 。當網頁載入完成之後,您會被要求下載並部署 v5 元件,這個元件就是進行 Windows Update 程式的升級,等待完成更新之後,當您從 [開始] -> [Windows Update] 所進入的網站就是直接連到 v5 了。
2007年8月13日 星期一
Windows系統防護工具
http://72.14.235.104/search?q=cache:AER-5QgQRFoJ:tnrc.ncku.edu.tw/course/93/930520-2.pdf+windows+update%E7%B6%B2%E5%9D%80&hl=zh-TW&ct=clnk&cd=2&gl=tw&lr=lang_zh-TW
以系統內建或freeware或全校授權為主
同一安全邊界無須使用兩種以上相同的防護措施
防毒軟體:officescan client
系統漏洞修補:Auto update
PC防火牆:XP內建防火牆,ZoneAlarm
連線監視軟體:Active port
弱點評估工具:Microsoft Baseline Security
Analyize
Page 3
個人防毒軟體 OfficeScan Client
Client Server 架構,連至Server安裝並於Server上註冊
。
只提供防毒功能(含即時,手動及mail掃瞄),不提供防火
牆功能
。
Server有新病毒碼時,主動通知Client更新
。
Client開機時,也會至Server核對是否有新病毒碼更新
。
虛擬IP或是浮動IP使用行動模式
。
手動更新也可連至趨勢公司更新
。
使用防火牆時須開啟ICMP echo/request ,方可自動更新病
毒碼
。
安裝時需以Administrator或該群組登入,並以IE4.0以上版
本,連至http://140.116.6.10/officescan/clientinstall
解安裝出現問題時,可下載ofcntcln.exe執行即可
。
Page 4
OfficeScan一般模式之圖示
Page 5
OfficeScan之行動模式
非使用固定IP及長時間斷線者。
雖Server已設定行動模式Client可自動更新,但最好還是
Client端固定時間執行[立即更新] 。
行動模式圖示:
Page 6
漏洞修補
可直接執行開始Windows Update(Windows 2000)或開始程式集
Windows Update(Windows XP) 。
Windows Update也可設定讓PC自動下載及安裝(Auto Update)
Windows Update網址:
http://v4.windowsupdate.microsoft.com/zhtw/default.asp
Office Update網址:
http://office.microsoft.com/officeupdate/default.aspx
某些patch有其request,也就是須先安裝某些Patch或Services
pack 。某些patch是分離項目,也就是安裝此Patch後必須重開機
再安裝其他Patch 。故詳閱其列表說明(點選[掃瞄更新檔項目]
後) 。
Windows Update主要是針對其作業系統之修正及改進,故不侷限
在安全性修正,所以主要針對[重大更新及Service Pack]項目。
Page 7
Windows Update
Page 8
Auto Update 設定
當有新的Patch時會自動
下載,但須設定其安裝
模式。
Windows 2000於 設定
控制台自動更新。
Windows XP於 開始控
制台系統自動更新。
儘可能設定為[自動下載
更新,並在我指定的排
程安裝它們] 。
Page 9
OfficeScan 之立即更新
Page 10
個人防火牆
定義:管制網路上之範圍或Service 對於主機之存取
使用XP之內建防火牆
使用系統內建之TCP/IP篩選(2000/XP)
使用防毒軟體之防火牆功能
使用主機型防火牆軟體(ZoneAlarm)
Page 11
使用系統之TCP/IP篩選
開始/設定/控制台/網路和撥號連線/{連線名稱} 選TCP/IP 內
容/進階/選項 之TCP/IP篩選
Page 12
使用系統之TCP/IP篩選
TCP/UDP port : 參考
\WINNT\System32\service\drivers\etc\services
IP Protocol :
ICMP 1
Internet Control Message Protocol
IGMP 2
Internet Group Management Protocol
GGP
3
Gateway-to –Gateway Protocol
IP
4
IP in IP encapsulation
TCP
6
Transmission Control Protocol
EGP
8
Exterior Gateway Protocol
IGP
9
Interior Gateway Protocol
UDP
17
User Datagram Protocol
Page 13
使用XP系統之網路連線防火牆
開始/設定/控制台/網
路連線/{連線名稱}/內
容/進階
勾選[以限制或防止…]
Page 14
使用XP系統之網路連線防火牆
上一畫面按下[設定],
出現此畫面
在服務內勾選所開放的
服務
安裝需要連入之軟體時,
會將該軟體加至列表,
如此例加上
OfficeScanNT l成芟及
Page 15
個人防火牆軟體ZoneAlarm
Page 16
個人防火牆軟體ZoneAlarm
個人防火牆軟體ZoneAlarm版本屬Freeware,可阻擋非
法的入侵攻擊,還可控制自己電腦內那些軟體可以使
用網路連線,以杜絕駭客利用病毒入侵你的電腦。
原廠網址:
http://www.zonelabs.com/store/content/home.jsp
將所連線之IP設在事先以Zone(區域)定義之信任區
(Trusted)及不信任區(Internet),分別施以不同之
管制等級,並可動態改變區域設定。
Page 17
ZoneAlarm安裝
省略其中部份畫面說明
當出現User Information視窗時,鍵入一些基本資料,並
勾選“I want to register so I can download updates”及
“Inform me about important updates and news”
在 Review Alert Setting畫面,出現“What kind of
blocked traffic do you want to be alerted to ?” 提
示,選擇“Alert me whenever ZoneAlarm blocks traffic”
在 Secure Programs畫面,出現“Do you want ZoneAlarm
to preconfigure access permission?”,選取“Yes”
在eBay FRAUD PREVENTION畫面,出現“Would you like
ZoneAlarm to prevention your eBay password from
being sent to unauthorized sites?”,選取“No thank
you, not at this time”
Page 18
ZoneAlarm firewall/Main設定
Internet Zone之[High]表示您的電腦完全隱藏,也不允許sharing,
[Mid]為可見您的電腦,但sharing還是不允許,[Low]為關閉firewall
Trusted Zone之[High]為您的電腦完全隱藏,也不允許sharing,而
[Med]為可見您的電腦,而且允許sharing,[Low]為關閉firewall
建議Internet Zone設為[High], Trusted設為[Med],將需要分享你
資源之電腦之IP加在Trusted內
Page 19
ZoneAlarm firewall/Zones設定
Page 20
ZoneAlarm Program control/Main
[High]:只有 Pro版本方可設定。
[Med]:當程式需至Internet 存取時,會詢問您。
[Low]:學習模式,程式需至Internet 存取時,不會詢問
Page 21
ZoneAlarm
Program control/Programs
Access中之勾選為允許這軟體程式向外存取,問號表需提示
Server表示是否允許此程式將此PC當成Server端
Page 22
ZoneAlarm之Logs
可在 Log畫中選
擇將該來源改設
為Trusted, 以改
變管制等級
Page 23
Alert 設定及顯示
當ZoneAlarm針
對連入之阻檔動
作,所產生之提
原畫面
Page 24
程式連外之提示
其中之Yes表示允許連外,
而No則不允許
其中之Remember this
answer the next time to
use this Program表示將來
此程式之處理比照此次之處
理,也就是此選項勾選時,
並選擇Yes,表示將來此程
式執行要連外時,不需再詢
問,直接連接
Page 25
Active Ports
Active Ports爲SmartLine出品,為免費軟體,用來監
視電腦所有打開的TCP/IP/UDP埠,
可以將所有的埠顯示出來,還顯示所對應的程式所在
的路徑,本地IP和遠端IP。
提供了一個關閉埠的功能,在發覺此埠或其程式有問
題時。
WindowsNT/2000/XP平臺下。
下載網址
http://www.smartline.ru/software/aports.zip
Page 26
Active Ports
Page 27
Baseline Security Analyzer
Baseline Security Analyzer (MBSA) 掃瞄本機及網域中其他的
電腦,看是不是有安裝所有的 Hotfix 及其他程式的修正程式
執行掃瞄之平台為Windows2000/XP ,Windows Server 2003,及需
要 Internet Explorer 5.01 以上 ,未使用此版本以上者,必須
下載安裝XML剖析器 。
可掃瞄Windows NT 4.0, Windows 2000, Windows XP, Internet
Information Server (IIS) 4.0/5.0, SQL Server 7.0/2000,
Internet Explorer (IE) 5.01 以上, 以及 Office 2000/XP。
其他如密碼安全性查核、分享資料夾等等對安全性造成影響的行
為,檢查並做出建議。
下載網址為:
http://www.microsoft.com/technet/security/mbsahome.mspx
描描別部主機,須有該主機之Administrator權限,故一般應用在
掃瞄本機。
以系統內建或freeware或全校授權為主
同一安全邊界無須使用兩種以上相同的防護措施
防毒軟體:officescan client
系統漏洞修補:Auto update
PC防火牆:XP內建防火牆,ZoneAlarm
連線監視軟體:Active port
弱點評估工具:Microsoft Baseline Security
Analyize
Page 3
個人防毒軟體 OfficeScan Client
Client Server 架構,連至Server安裝並於Server上註冊
。
只提供防毒功能(含即時,手動及mail掃瞄),不提供防火
牆功能
。
Server有新病毒碼時,主動通知Client更新
。
Client開機時,也會至Server核對是否有新病毒碼更新
。
虛擬IP或是浮動IP使用行動模式
。
手動更新也可連至趨勢公司更新
。
使用防火牆時須開啟ICMP echo/request ,方可自動更新病
毒碼
。
安裝時需以Administrator或該群組登入,並以IE4.0以上版
本,連至http://140.116.6.10/officescan/clientinstall
解安裝出現問題時,可下載ofcntcln.exe執行即可
。
Page 4
OfficeScan一般模式之圖示
Page 5
OfficeScan之行動模式
非使用固定IP及長時間斷線者。
雖Server已設定行動模式Client可自動更新,但最好還是
Client端固定時間執行[立即更新] 。
行動模式圖示:
Page 6
漏洞修補
可直接執行開始Windows Update(Windows 2000)或開始程式集
Windows Update(Windows XP) 。
Windows Update也可設定讓PC自動下載及安裝(Auto Update)
Windows Update網址:
http://v4.windowsupdate.microsoft.com/zhtw/default.asp
Office Update網址:
http://office.microsoft.com/officeupdate/default.aspx
某些patch有其request,也就是須先安裝某些Patch或Services
pack 。某些patch是分離項目,也就是安裝此Patch後必須重開機
再安裝其他Patch 。故詳閱其列表說明(點選[掃瞄更新檔項目]
後) 。
Windows Update主要是針對其作業系統之修正及改進,故不侷限
在安全性修正,所以主要針對[重大更新及Service Pack]項目。
Page 7
Windows Update
Page 8
Auto Update 設定
當有新的Patch時會自動
下載,但須設定其安裝
模式。
Windows 2000於 設定
控制台自動更新。
Windows XP於 開始控
制台系統自動更新。
儘可能設定為[自動下載
更新,並在我指定的排
程安裝它們] 。
Page 9
OfficeScan 之立即更新
Page 10
個人防火牆
定義:管制網路上之範圍或Service 對於主機之存取
使用XP之內建防火牆
使用系統內建之TCP/IP篩選(2000/XP)
使用防毒軟體之防火牆功能
使用主機型防火牆軟體(ZoneAlarm)
Page 11
使用系統之TCP/IP篩選
開始/設定/控制台/網路和撥號連線/{連線名稱} 選TCP/IP 內
容/進階/選項 之TCP/IP篩選
Page 12
使用系統之TCP/IP篩選
TCP/UDP port : 參考
\WINNT\System32\service\drivers\etc\services
IP Protocol :
ICMP 1
Internet Control Message Protocol
IGMP 2
Internet Group Management Protocol
GGP
3
Gateway-to –Gateway Protocol
IP
4
IP in IP encapsulation
TCP
6
Transmission Control Protocol
EGP
8
Exterior Gateway Protocol
IGP
9
Interior Gateway Protocol
UDP
17
User Datagram Protocol
Page 13
使用XP系統之網路連線防火牆
開始/設定/控制台/網
路連線/{連線名稱}/內
容/進階
勾選[以限制或防止…]
Page 14
使用XP系統之網路連線防火牆
上一畫面按下[設定],
出現此畫面
在服務內勾選所開放的
服務
安裝需要連入之軟體時,
會將該軟體加至列表,
如此例加上
OfficeScanNT l成芟及
Page 15
個人防火牆軟體ZoneAlarm
Page 16
個人防火牆軟體ZoneAlarm
個人防火牆軟體ZoneAlarm版本屬Freeware,可阻擋非
法的入侵攻擊,還可控制自己電腦內那些軟體可以使
用網路連線,以杜絕駭客利用病毒入侵你的電腦。
原廠網址:
http://www.zonelabs.com/store/content/home.jsp
將所連線之IP設在事先以Zone(區域)定義之信任區
(Trusted)及不信任區(Internet),分別施以不同之
管制等級,並可動態改變區域設定。
Page 17
ZoneAlarm安裝
省略其中部份畫面說明
當出現User Information視窗時,鍵入一些基本資料,並
勾選“I want to register so I can download updates”及
“Inform me about important updates and news”
在 Review Alert Setting畫面,出現“What kind of
blocked traffic do you want to be alerted to ?” 提
示,選擇“Alert me whenever ZoneAlarm blocks traffic”
在 Secure Programs畫面,出現“Do you want ZoneAlarm
to preconfigure access permission?”,選取“Yes”
在eBay FRAUD PREVENTION畫面,出現“Would you like
ZoneAlarm to prevention your eBay password from
being sent to unauthorized sites?”,選取“No thank
you, not at this time”
Page 18
ZoneAlarm firewall/Main設定
Internet Zone之[High]表示您的電腦完全隱藏,也不允許sharing,
[Mid]為可見您的電腦,但sharing還是不允許,[Low]為關閉firewall
Trusted Zone之[High]為您的電腦完全隱藏,也不允許sharing,而
[Med]為可見您的電腦,而且允許sharing,[Low]為關閉firewall
建議Internet Zone設為[High], Trusted設為[Med],將需要分享你
資源之電腦之IP加在Trusted內
Page 19
ZoneAlarm firewall/Zones設定
Page 20
ZoneAlarm Program control/Main
[High]:只有 Pro版本方可設定。
[Med]:當程式需至Internet 存取時,會詢問您。
[Low]:學習模式,程式需至Internet 存取時,不會詢問
Page 21
ZoneAlarm
Program control/Programs
Access中之勾選為允許這軟體程式向外存取,問號表需提示
Server表示是否允許此程式將此PC當成Server端
Page 22
ZoneAlarm之Logs
可在 Log畫中選
擇將該來源改設
為Trusted, 以改
變管制等級
Page 23
Alert 設定及顯示
當ZoneAlarm針
對連入之阻檔動
作,所產生之提
原畫面
Page 24
程式連外之提示
其中之Yes表示允許連外,
而No則不允許
其中之Remember this
answer the next time to
use this Program表示將來
此程式之處理比照此次之處
理,也就是此選項勾選時,
並選擇Yes,表示將來此程
式執行要連外時,不需再詢
問,直接連接
Page 25
Active Ports
Active Ports爲SmartLine出品,為免費軟體,用來監
視電腦所有打開的TCP/IP/UDP埠,
可以將所有的埠顯示出來,還顯示所對應的程式所在
的路徑,本地IP和遠端IP。
提供了一個關閉埠的功能,在發覺此埠或其程式有問
題時。
WindowsNT/2000/XP平臺下。
下載網址
http://www.smartline.ru/software/aports.zip
Page 26
Active Ports
Page 27
Baseline Security Analyzer
Baseline Security Analyzer (MBSA) 掃瞄本機及網域中其他的
電腦,看是不是有安裝所有的 Hotfix 及其他程式的修正程式
執行掃瞄之平台為Windows2000/XP ,Windows Server 2003,及需
要 Internet Explorer 5.01 以上 ,未使用此版本以上者,必須
下載安裝XML剖析器 。
可掃瞄Windows NT 4.0, Windows 2000, Windows XP, Internet
Information Server (IIS) 4.0/5.0, SQL Server 7.0/2000,
Internet Explorer (IE) 5.01 以上, 以及 Office 2000/XP。
其他如密碼安全性查核、分享資料夾等等對安全性造成影響的行
為,檢查並做出建議。
下載網址為:
http://www.microsoft.com/technet/security/mbsahome.mspx
描描別部主機,須有該主機之Administrator權限,故一般應用在
掃瞄本機。
如何藉由使用登錄檔設定用戶端 Proxy 伺服器設定
如何藉由使用登錄檔設定用戶端 Proxy 伺服器設定
http://support.microsoft.com/kb/819961/zh-tw
若要在用戶端電腦上, 設定 Proxy 伺服器設定建立下列 . reg 檔, 以填入登錄中以 Proxy 伺服器的資訊:
Regedit4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"MigrateProxy"=dword:00000001
"ProxyEnable"=dword:00000001
"ProxyHttp1.1"=dword:00000000
登錄設定, 並藉由使用批次檔或登入指令檔然後將之散佈給用戶端電腦上。
"ProxyServer"="http://ProxyServername:80"
"ProxyOverride"=""
http://support.microsoft.com/kb/819961/zh-tw
若要在用戶端電腦上, 設定 Proxy 伺服器設定建立下列 . reg 檔, 以填入登錄中以 Proxy 伺服器的資訊:
Regedit4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"MigrateProxy"=dword:00000001
"ProxyEnable"=dword:00000001
"ProxyHttp1.1"=dword:00000000
登錄設定, 並藉由使用批次檔或登入指令檔然後將之散佈給用戶端電腦上。
"ProxyServer"="http://ProxyServername:80"
"ProxyOverride"="
Svchost.exe 的說明
Svchost.exe 的說明
http://support.microsoft.com/kb/314056/zh-tw
如果要檢視以 Svchost 執行的服務清單:
1.
請按一下 Windows 工作列上的 [開始] ,然後按一下 [執行] 。
2.
在 [開啟] 方塊中,輸入: CMD ,然後按 ENTER。
3.
輸入: Tasklist /SVC ,然後按 ENTER。 Tasklist 會顯示一份執行中的處理程序清單,而 /SVC 參數則會顯示每一個處理程序中作用中服務的清單。如需某個處理程序的進一步資訊,請輸入下面命令,然後按 ENTER:
Tasklist /FI "PID eq processID "
http://support.microsoft.com/kb/314056/zh-tw
如果要檢視以 Svchost 執行的服務清單:
1.
請按一下 Windows 工作列上的 [開始] ,然後按一下 [執行] 。
2.
在 [開啟] 方塊中,輸入: CMD ,然後按 ENTER。
3.
輸入: Tasklist /SVC ,然後按 ENTER。 Tasklist 會顯示一份執行中的處理程序清單,而 /SVC 參數則會顯示每一個處理程序中作用中服務的清單。如需某個處理程序的進一步資訊,請輸入下面命令,然後按 ENTER:
Tasklist /FI "PID eq processID "
2007年8月7日 星期二
Intriant 內部網路端點安全防護解決方案
[資安論壇行政院 國家資通安全會報 - 技術服務中心 - 資安論壇 http://forum.icst.org.tw/ ]
Intriant 內部網路端點安全防護解決方案
http://forum.icst.org.tw/phpBB2/viewtopic.php?p=39026
Intriant 內部網路端點安全防護解決方案
http://forum.icst.org.tw/phpBB2/viewtopic.php?p=39026
網路安全管理不可馬虎
現今企業在網路安全方面的管理模式不再只是佈建防火牆、防毒軟體那麼單純,隨著越來越多不同類型的行動裝置,不同身份的使用者族群,都改變了企業LAN邊界。林佶駿以科學園區為例,若去園區拜訪廠商,有些企業會在訪客所攜帶的筆記型電腦上的網路孔貼上封條,或者請訪客填單詢問是否有安裝防毒軟體、防毒軟體是否有下載最新病毒定義碼等等,但這些都是消極、成效低的管理方式。對此,網路存取控制解決方案(Network Access Control;NAC)成為新興網路安全管理工具。
林佶駿先釐清企業面對網路存取控制時常有的迷思。首先,佈建NAC不一定要使用在線(inline)模式的設備來針對每個上網設備做安全掃瞄;第2、透過VLAN來區隔網段,所能達到的存取控管效果有限;第3、要佈建NAC不見得必須使用同1家廠商的設備,而應選擇能支援開放標準的解決方案;第4、不見得要更換所有網路設備來支援NAC控管功能,解決方案應同時涵蓋第2層交換器與第3層防火牆的控管能力。
NAC解決方案多 有無自動修復功能很重要
謝東興表示隨著網路駭客的攻擊由試探性、為了出名,到現在都是以獲利為目的,企業的威脅控制方式也需轉由更主動式且即時的防護。過去面對惡意程式等安全威脅,是直接以入侵防禦系統(IPS)、防火牆等設備阻擋,而NAC則是過濾讓好的流量連上網路,但面對網路安全灰色地帶,過去透過人力進行log日誌檔的判讀與監控的方式,如今則可以透過事件關聯管理自動化工具(CS-MARS)來達到。
企業應特別注意解決方案所能提供的問題自動修復功能,不是建立NAC政策之後,把有問題的終端設備阻擋在企業網路之外就沒事,NAC若沒有自動的修復措施,會演變成IT部門成為電話接不完的客服中心,因此企業需特別留意解決方案所提供自動更新病毒碼或更新修補程式的功能。
林佶駿先釐清企業面對網路存取控制時常有的迷思。首先,佈建NAC不一定要使用在線(inline)模式的設備來針對每個上網設備做安全掃瞄;第2、透過VLAN來區隔網段,所能達到的存取控管效果有限;第3、要佈建NAC不見得必須使用同1家廠商的設備,而應選擇能支援開放標準的解決方案;第4、不見得要更換所有網路設備來支援NAC控管功能,解決方案應同時涵蓋第2層交換器與第3層防火牆的控管能力。
NAC解決方案多 有無自動修復功能很重要
謝東興表示隨著網路駭客的攻擊由試探性、為了出名,到現在都是以獲利為目的,企業的威脅控制方式也需轉由更主動式且即時的防護。過去面對惡意程式等安全威脅,是直接以入侵防禦系統(IPS)、防火牆等設備阻擋,而NAC則是過濾讓好的流量連上網路,但面對網路安全灰色地帶,過去透過人力進行log日誌檔的判讀與監控的方式,如今則可以透過事件關聯管理自動化工具(CS-MARS)來達到。
企業應特別注意解決方案所能提供的問題自動修復功能,不是建立NAC政策之後,把有問題的終端設備阻擋在企業網路之外就沒事,NAC若沒有自動的修復措施,會演變成IT部門成為電話接不完的客服中心,因此企業需特別留意解決方案所提供自動更新病毒碼或更新修補程式的功能。
2007年8月6日 星期一
ISA Server實現HTTP Proxy中基本身份驗證、Windows集成身份驗證及其安全性
ISA Server實現HTTP Proxy中基本身份驗證、Windows集成身份驗證及其安全性
http://www.cpcwedu.com/Document/mssecurity/111332993.htm
上一篇 排除發佈的SMTP服務器的故障 [2006-9-2 20:08:14]
下一篇 ISA Server中身份驗證的驗證週期 v 1.2 [2006-9-2 20:11:43]
排除發佈的SMTP服務器的故障
How to:使用ISA Server 2004限制BT下載
防火牆客戶端是如何工作的:關於ISA防火牆的應用層狀態識別功能
How to :如何讓linux客戶計算機通過ISA Server的集成身份驗證
How to : 配置ISA Server 2004企業版中的網絡負載均衡
How to :使用ISA Server 2004企業版中的緩存陣列路由 v1.1
http://www.cpcwedu.com/Document/mssecurity/111332993.htm
上一篇 排除發佈的SMTP服務器的故障 [2006-9-2 20:08:14]
下一篇 ISA Server中身份驗證的驗證週期 v 1.2 [2006-9-2 20:11:43]
排除發佈的SMTP服務器的故障
How to:使用ISA Server 2004限制BT下載
防火牆客戶端是如何工作的:關於ISA防火牆的應用層狀態識別功能
How to :如何讓linux客戶計算機通過ISA Server的集成身份驗證
How to : 配置ISA Server 2004企業版中的網絡負載均衡
How to :使用ISA Server 2004企業版中的緩存陣列路由 v1.1
架設局域網內Update服務器
轉貼http://www.5dmail.net/html/2006-8-29/2006829125152.htm
Windows操作系統的安全問題越來越受到大家的關注,每隔一段時間微軟都要發佈修復系統漏洞的補丁,但很多用戶仍不能及時使用這些補丁修復系統,以致造成重大損失。
尤其是現在局域網的規模越來越大,對網絡管理員來說,手工為每台客戶機安裝補丁的工作量太大,且很難實現。而在局域網中架設升級服務器(Microsoft Software Update Services)就可以使客戶機定期自動執行升級操作了。
一、SUS介紹
Microsoft Software Update Services(簡稱SUS)由網絡管理員在局域網內部獨自構建,可將微軟的最新補丁發送給用戶。它分為服務器端和客戶端兩部分,可為1.5萬個用戶提供升級服務。
服務器端(SUS Server )只推出了英文版和日文版,而客戶端則支持24種語言版本,包括中文版。SUS Server能為 Windows 2000 +SP2及以上版本、Windows XP 、Windows 2003系統提供升級服務,但不支持Windows 98和Windows NT系統。
二、SUS服務對硬件和軟件平台的要求
在安裝SUS服務前,要根據局域網的用戶情況進行合理的規劃,為SUS選擇合適的硬件和軟件平台。
1.服務器端
對於服務器端來說,微軟推薦服務器的硬件配置為「700MHz主頻以上的CPU,512MB以上內存,6GB以上的硬盤空間」。如果局域網內升級的用戶數量較少,也可以適當降低硬件配置要求。
SUS Server的軟件平台要求為Windows 2000 Server+SP2及以上版本的操作系統或Windows Server 2003,同時需要IIS 5、IE 5.5及以上版本的支持。
2.客戶端
客戶端對硬件配置沒有什麼特殊要求,軟件平台只要是Windows 2000+SP2及以上版本(Windows XP/2003)即可,不支持Windows 98和Windows NT。
另外,對於Windows 2000+SP2和Windows XP系統,首先需要安裝SUS的客戶端程序;而對於Windows 2000+SP3及以上版本、Windows XP+SP1及以上版本和Windows Server 2003,就不需要安裝客戶端,直接就可以在組策略中進行設置。
網絡管理員可以根據用戶的需要,合理地為SUS選擇軟硬件平台。三、服務器平台的選擇
筆者所管理的局域網內的計算機數量不超過70台,屬於小型局域網,採用工作組形式。筆者選用了局域網內的一台DELL服務器來部署SUS服務,並且安裝了Windows Server 2003操作系統,所有分區都採用NTFS格式。
提示:建議大家不要在WWW服務器上安裝SUS Server。在安裝SUS Server的同時還會安裝IIS Lockdown Tool,這是一個提高IIS安全性的軟件,但它可能會導致其他IIS服務工作不正常,建議不要安裝。
四、服務器端配置
首先下載SUS服務器端軟件,然後直接執行,安裝過程中選擇安裝英文版本,其他參數使用默認設置即可。
注意:SUS服務器的系統盤和保存SUS補丁文件的硬盤分區都必須是NTFS文件系統,否則就不能成功安裝。該軟件的下載地址為:http://www.microsoft.com/downloads/details.aspx﹖FamilyId=A7A A96E4-6E41-4F54-972C-AE66A4E4BF6 C&displaylang=en。
1.SUS服務器基本參數設置
設置SUS服務器參數有兩種方法,即本地設置和遠程設置,設置時需要有管理員權限。對於本地設置方法,點擊「控制面板→管理工具」,運行「Microsoft Software Update Services」即可。而遠程設置則需要在遠端計算機上打開IE瀏覽器,在地址欄中輸入「http://192.168.0.10/SUSAdmin/」,其中「192.168.0.10」為該SUS服務器的IP地址,接著輸入管理員用戶名和密碼就可登錄SUS服務器管理窗口。
在管理窗口左欄中點擊「Other Options」菜單下的「Set Options」選項,就可以對SUS服務器的基本參數進行設置。
①在「Select a proxy server configuration」中對防火牆參數進行設置,建議使用默認設置「Automatically detect proxy server settings」,當然也可以根據局域網的情況自定義設置,在「Use the following proxy server to access the Internet」輸入框中填上防火牆的IP地址和端口號。
接著在中間的「Specify the name your clients use to locate this update server」欄中為SUS服務器取一個好記的名稱,如「TJRAO」,這樣客戶端計算機就可以通過SUS服務器來訪問升級服務器了。
在「Select which server to synchronize content from」欄設置同步補丁內容的來源。如果你打算與微軟的升級服務器同步,就選擇「Synchronize directly from the Microsoft Windows Update servers」。如果你想和網絡中的其他SUS服務器同步,可選擇「Synchronize from a local Software Update Services server」,然後在輸入框中填寫目標SUS服務器的名稱或者IP地址。
②在「Select how you want to handle new versions of previously approved updates」中對補丁程序的發佈進行設置,建議大家選擇「Do not automatically approve new versions of approved updates......」。管理員對補丁程序進行測試後,再手工發佈給局域網用戶,這就避免了某些補丁程序會與用戶使用的程序發生衝突的問題。
「Select where you want to store updates」選項用來設置保存補丁程序的方式,建議你在這裡選擇「Save the updates to a local folder」,這樣就可以只下載你需要的補丁。
最後,點擊「Apply」保存參數設置。
2.SUS服務器的同步
完成SUS服務器的參數設置後,就可以進行服務器的同步工作了。在管理窗口中先點擊「Synchronize server」,再點擊右欄的「Synchronize Now」按鈕就可開始同步工作。但由於受到網絡速度的限制,這一過程需要花費很多時間。
建議大家選擇自動同步,點擊「Synchronization Schedule」按鈕,在彈出的對話框中選擇「Synchronize using this schedule」,然後設置同步的日期和時間,建議大家在每天凌晨進行同步.
Windows操作系統的安全問題越來越受到大家的關注,每隔一段時間微軟都要發佈修復系統漏洞的補丁,但很多用戶仍不能及時使用這些補丁修復系統,以致造成重大損失。
尤其是現在局域網的規模越來越大,對網絡管理員來說,手工為每台客戶機安裝補丁的工作量太大,且很難實現。而在局域網中架設升級服務器(Microsoft Software Update Services)就可以使客戶機定期自動執行升級操作了。
一、SUS介紹
Microsoft Software Update Services(簡稱SUS)由網絡管理員在局域網內部獨自構建,可將微軟的最新補丁發送給用戶。它分為服務器端和客戶端兩部分,可為1.5萬個用戶提供升級服務。
服務器端(SUS Server )只推出了英文版和日文版,而客戶端則支持24種語言版本,包括中文版。SUS Server能為 Windows 2000 +SP2及以上版本、Windows XP 、Windows 2003系統提供升級服務,但不支持Windows 98和Windows NT系統。
二、SUS服務對硬件和軟件平台的要求
在安裝SUS服務前,要根據局域網的用戶情況進行合理的規劃,為SUS選擇合適的硬件和軟件平台。
1.服務器端
對於服務器端來說,微軟推薦服務器的硬件配置為「700MHz主頻以上的CPU,512MB以上內存,6GB以上的硬盤空間」。如果局域網內升級的用戶數量較少,也可以適當降低硬件配置要求。
SUS Server的軟件平台要求為Windows 2000 Server+SP2及以上版本的操作系統或Windows Server 2003,同時需要IIS 5、IE 5.5及以上版本的支持。
2.客戶端
客戶端對硬件配置沒有什麼特殊要求,軟件平台只要是Windows 2000+SP2及以上版本(Windows XP/2003)即可,不支持Windows 98和Windows NT。
另外,對於Windows 2000+SP2和Windows XP系統,首先需要安裝SUS的客戶端程序;而對於Windows 2000+SP3及以上版本、Windows XP+SP1及以上版本和Windows Server 2003,就不需要安裝客戶端,直接就可以在組策略中進行設置。
網絡管理員可以根據用戶的需要,合理地為SUS選擇軟硬件平台。三、服務器平台的選擇
筆者所管理的局域網內的計算機數量不超過70台,屬於小型局域網,採用工作組形式。筆者選用了局域網內的一台DELL服務器來部署SUS服務,並且安裝了Windows Server 2003操作系統,所有分區都採用NTFS格式。
提示:建議大家不要在WWW服務器上安裝SUS Server。在安裝SUS Server的同時還會安裝IIS Lockdown Tool,這是一個提高IIS安全性的軟件,但它可能會導致其他IIS服務工作不正常,建議不要安裝。
四、服務器端配置
首先下載SUS服務器端軟件,然後直接執行,安裝過程中選擇安裝英文版本,其他參數使用默認設置即可。
注意:SUS服務器的系統盤和保存SUS補丁文件的硬盤分區都必須是NTFS文件系統,否則就不能成功安裝。該軟件的下載地址為:http://www.microsoft.com/downloads/details.aspx﹖FamilyId=A7A A96E4-6E41-4F54-972C-AE66A4E4BF6 C&displaylang=en。
1.SUS服務器基本參數設置
設置SUS服務器參數有兩種方法,即本地設置和遠程設置,設置時需要有管理員權限。對於本地設置方法,點擊「控制面板→管理工具」,運行「Microsoft Software Update Services」即可。而遠程設置則需要在遠端計算機上打開IE瀏覽器,在地址欄中輸入「http://192.168.0.10/SUSAdmin/」,其中「192.168.0.10」為該SUS服務器的IP地址,接著輸入管理員用戶名和密碼就可登錄SUS服務器管理窗口。
在管理窗口左欄中點擊「Other Options」菜單下的「Set Options」選項,就可以對SUS服務器的基本參數進行設置。
①在「Select a proxy server configuration」中對防火牆參數進行設置,建議使用默認設置「Automatically detect proxy server settings」,當然也可以根據局域網的情況自定義設置,在「Use the following proxy server to access the Internet」輸入框中填上防火牆的IP地址和端口號。
接著在中間的「Specify the name your clients use to locate this update server」欄中為SUS服務器取一個好記的名稱,如「TJRAO」,這樣客戶端計算機就可以通過SUS服務器來訪問升級服務器了。
在「Select which server to synchronize content from」欄設置同步補丁內容的來源。如果你打算與微軟的升級服務器同步,就選擇「Synchronize directly from the Microsoft Windows Update servers」。如果你想和網絡中的其他SUS服務器同步,可選擇「Synchronize from a local Software Update Services server」,然後在輸入框中填寫目標SUS服務器的名稱或者IP地址。
②在「Select how you want to handle new versions of previously approved updates」中對補丁程序的發佈進行設置,建議大家選擇「Do not automatically approve new versions of approved updates......」。管理員對補丁程序進行測試後,再手工發佈給局域網用戶,這就避免了某些補丁程序會與用戶使用的程序發生衝突的問題。
「Select where you want to store updates」選項用來設置保存補丁程序的方式,建議你在這裡選擇「Save the updates to a local folder」,這樣就可以只下載你需要的補丁。
最後,點擊「Apply」保存參數設置。
2.SUS服務器的同步
完成SUS服務器的參數設置後,就可以進行服務器的同步工作了。在管理窗口中先點擊「Synchronize server」,再點擊右欄的「Synchronize Now」按鈕就可開始同步工作。但由於受到網絡速度的限制,這一過程需要花費很多時間。
建議大家選擇自動同步,點擊「Synchronization Schedule」按鈕,在彈出的對話框中選擇「Synchronize using this schedule」,然後設置同步的日期和時間,建議大家在每天凌晨進行同步.
2007年8月5日 星期日
好用的 Web OS
1. http://desktoptwo.com/
2. http://www.eyeos.org/
3. http://www.goowy.com/
4. http://www.youos.com/
5. http://www.orcadesktop.com
6. http://www.xindesk.com/
7. http://www.craythur.com/
8. http://www.glidedigital.com/
9. http://www.orcaa.com/
10. http://www.klorofil.org./
11. http://giffard.dynalias.net/ssoe/
12. http://docs.google.com
13. http://soapbx.com
14. http://www.zoho.com
15. http://www.craythur.com
2. http://www.eyeos.org/
3. http://www.goowy.com/
4. http://www.youos.com/
5. http://www.orcadesktop.com
6. http://www.xindesk.com/
7. http://www.craythur.com/
8. http://www.glidedigital.com/
9. http://www.orcaa.com/
10. http://www.klorofil.org./
11. http://giffard.dynalias.net/ssoe/
12. http://docs.google.com
13. http://soapbx.com
14. http://www.zoho.com
15. http://www.craythur.com
訂閱:
文章 (Atom)