时间:2022-02-06 01:17:33
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇远程桌面连接命令,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
程序同步关闭
小张是单位网络管理员,平时经常使用远程桌面连接程序,管理几台Windows 2003服务器。最近,在远程管理某服务器过程中,小张碰到了一个很奇怪的问题,每次远程启动服务器中的特定程序,再切断远程桌面连接之后,先前已经开启运行的程序也会跟随远程连接同步关闭。按照常规来说,只要服务器系统不被注销或没有重启,那么单纯切断远程桌面连接,服务器中的特定程序仍然会处于运行状态,并不会自动关闭运行。
由于管理其他Windows 2003服务器时都很正常,小张怀疑故障服务器中的远程桌面参数配置不正确。首先他在服务器中用鼠标右击“我的电脑”图标,执行快捷菜单中的“管理”命令,将鼠标定位到计算机管理窗口中的“用户和用户组”|“用户”节点上,选中远程连接时使用的administrator帐户,打开该账户的属性对话框。进入会话选项设置页面,小张看到了“活动会话限制”、“结束已断开的会话”、“空闲会话限制”等参数,发现这些参数使用的都是默认设置,这说明服务器定程序同步关闭问题,与administrator帐户的权限设置没有关系。
其次小张检查了服务器的终端服务配置。在进行该检查时,依次点击“开始”|“程序”|“管理工具”|“终端服务配置”命令,进入终端服务配置界面,在这里主要检查两个参数,那就是看看“活动桌面”设置是否处于启用状态,检查终端服务器模式有没有被设置成“应用程序服务器”。经过检查,小张看到这些配置也是正确的。
在终端服务配置界面中,小张选中了“连接”选项,执行RDP-TCP连接右键菜单中的“属性”命令,进入针对远程连接服务的属性对话框,在这里小张也看到了“活动会话限制”、“结束已断开的会话”、“空闲会话限制”等参数,只是发现“结束已断开的会话”参数没有使用默认设置,而是被设置成了“1分钟”,其他几项参数仍然使用的是默认设置,如图1所示。会不会是由于这项设置造成了特定程序同步关闭问题呢?小张尝试将“结束已断开的会话”参数设置为“从不”后,重新启动了服务器系统,启动成功后又进行了相关测试操作,结果发现服务器定程序同步关闭问题已经消失。
事后,经过仔细分析,小张发现Windows 2003服务器“终端服务配置”界面中的设置优先级,要高于系统管理员帐号属性界面中的参数设置,当在“终端服务配置”界面中选中了“替代用户设置”后,服务器系统会优先以这里的配置控制远程桌面连接,从而引发了上面的故障问题。
登录凭据失效
在相对安全的内网工作环境中,为了提高远程管理效率,不少管理员在利用远程桌面连接程序管理服务器主机时,都会选择存储服务器系统登录密码。可是,当局域网从工作组模式变成域模式时,再尝试利用远程桌面连接程序远程管理服务器,系统会弹出“凭据不工作”之类的错误提示,那么如何在远程桌面连接过程中,继续调用以前的凭据信息,以提高工作效率呢?要做到这一点,可以进行如下设置操作:
首先以超级用户权限登录已经添加到特定域的客户机中(该客户机必须支持凭据管理功能),依次点击“开始”|“运行”命令,弹出系统运行对话框,输入“gpedit.msc”命令,单击“确定”按钮后,展开对应系统组策略编辑界面。
其次在该界面左侧列表中,逐一展开“本地计算机策略”|“计算机配置”|“管理模板”|“系统”|“凭据分配”分支,找到目标分支下的“允许分配保存的凭据用于仅NTLM服务器身份验证”选项,用鼠标双击该选项,打开如图2所示的选项设置对话框。
接着检查“已启用”选项是否处于选中状态,如果发现其没有被选中时,应该重新选中它,同时按下“显示”按钮,切换到如图3所示的显示内容对话框,在这里输入“TERMSRV /*”关键字,确认后保存设置操作,再将客户机系统重新启动一下,这样远程桌面连接程序就能继续使用以前的凭据内容,来对远程主机进行管理维护操作了。
远程连接缓慢
某笔记本电脑使用的是Windows 7旗舰版系统,平时工作很正常。可是,在该系统中尝试通过远程桌面工具,与局域网中的Windows 2003服务器建立连接后,发现向服务器上传一个尺寸不大的文件时,竟然要耗费几秒钟时间,当然有的时候,文件上传速度却很正常。
起初,笔者还以为Windows 2003服务器感染了病毒或木马,经过病毒查杀和木马清除操作后,发现服务器系统没有遭到病毒木马的攻击。而且在安装了Windows XP系统的客户机中,使用远程桌面连接程序,向服务器上传相同文件时,速度非常正常,这就证明服务器的工作状态没有问题。
后来,经过上网查询相关问题,了解到这种问题多半是Windows 7旗舰版系统开启了网络调谐功能引起的,微软公司开发该功能的本意,是为了让Windows系统依照网络的实际传输性能,来智能改善数据传输大小,以达到对网络性能进行动态优化目的。不过,在特殊场合下,例如,Windows 7系统所在计算机的网卡设备对该功能支持不好时,网络调谐功能反而会影响远程连接程序的稳定工作。后来,笔者逐一点选“开始”|“所有程序”|“附件”选项,用鼠标右键单击下级菜单中的“命令提示符”,执行快捷菜单中的“以管理员身份运行”命令,进入DOS命令行状态,输入字符串命令“netsh interface tcp set global autotuninglevel=disabled”,单击回车键后,返回如图4所示的结果信息,停用网络调谐功能,之后笔者再次从Windows 7旗舰版系统远程连接服务器,测试文件传输操作,结果看到文件传输速度已经恢复正常了,进行其他操作时,也和平时一样正常了。
所以,日后大家再次遇到相同类型网络故障时,在对网络配置、物理连接等因素排查后,应该仔细检查客户机的网络调谐功能处于什么状态,要是看到该功能已被开启时,不妨尝试停用这个功能,说不定相关问题就能自行解决了。
远程登录失败
最近,小王从一台Windows XP客户机中,准备利用系统自带的远程桌面连接程序,登录保存了共享资源的Windows 7客户机中,可是输入系统管理员级别的登录账号后,登录操作也不能成功,尝试使用相同的账号在Windows 7客户机本地进行登录时,登录操作很正常,这是怎么回事呢?
出现这种远程登录问题,很可能是Windows 7系统开启了网络级身份验证功能,微软公司开发该功能的本意,是为了限制那些安全漏洞多、性能不安全的低版本操作系统任意接入,而Windows XP客户端系统恰好处于该限制之列,这时候,低版本系统无论使用什么账号进行远程桌面登录,都不会操作成功。
要想成功解决远程桌面登录失败问题,只要简单地在Windows 7客户机中,临时关闭系统的网络级身份验证功能即可。在进行这项操作时,首先以系统管理员权限在本地登录Windows 7系统,用鼠标右键单击系统桌面上的“计算机”图标,执行右键菜单中的“属性”命令,进入系统属性对话框,按下左侧列表区域中的“远程设置”按钮,切换到如图5所示的远程设置对话框。
在“远程桌面”设置项处,检查“仅允许运行使用网络级别身份验证的远程桌面的计算机连接(更安全)”选项是否处于选中状态,如果发现其已经被选中时,那就确认上面的问题是由网络级身份验证功能引起的,此时必须选中“允许运行任意版本远程桌面的计算机连接”选项,确认后就能让Windows XP客户机顺利通过远程桌面连接程序登录进入Windows 7客户机了。
无法传输文件
很多人利用远程桌面连接程序登录对方主机后,主要的操作就是传输文件,可有的用户打开对方主机系统的计算机窗口后,根本就无法从计算机硬盘分区中拷贝文件到本地计算机,这样远程桌面连接双方就不能相互传输交流文件,这是怎么回事呢,对于这种远程连接问题,我们又该怎样去解决呢?
之所以远程桌面连接双方不能相互传输文件,多半是本地计算机的远程桌面连接程序没有启动运行磁盘映射功能,要是不运行该功能,那么对方主机中的所有磁盘分区,将不能自动被映射成为本地计算机的硬盘分区。如果想恢复文件的交流传输功能,不妨进行下面的设置操作,来打开本地计算机远程桌面连接工具的磁盘映射功能:
首先在本地计算机系统中,依次点击“开始”|“所有程序”|“附件”|“远程桌面连接”选项,切换到远程桌面连接设置框,按下“选项”按钮,弹出远程桌面设置区域。点击“本地资源”标签,进入如图6所示的标签设置页面。
其次在“本地设备和资源”位置处,按下“详细信息”按钮,在其后界面中,看看“磁盘驱动器”、“剪贴板”等选项有没有被选中,如果发现这些选项还没有被选中时,只要及时重新选中它们,点击“确定”按钮后,远程桌面连接的磁盘映射功能就被运行成功了。日后,再次远程桌面连接到对方主机时,用户就能在本地计算机的硬盘分区列表中,发现对方主机中的所有磁盘分区“身影”了,此时利用复制、粘贴操作,就可以在远程桌面连接双方交流传输文件了。
超出链接数量
某日,张蕾通过客户机的远程桌面连接程序,登录到局域网的Windows 2003终端服务器时,系统弹出了“终端服务器超出最大允许链接数”的错误提示,由于平时使用远程桌面连接程序次数不多,张蕾对于这样的错误提示,几乎是一头雾水,不知道如何解决才好。
大家知道,终端服务默认允许的链接数量为2个。当成功利用远程桌面程序登录服务器系统后,要是不执行注销操作退出,而是直接将远程桌面连接窗口关闭掉,那么服务器系统并没有切断远程桌面连接会话,而是将它仍然保留在服务器端,如此一来,有限的链接数量会被白白消耗,当该数量超过服务器系统的最大上限值时,就会自动弹出上面的错误提示。要想解决上面的问题,只要按如下操作设置Windows 2003服务器系统的组策略参数,将终端服务器最大允许链接数适当提高一些:
首先以超级用户权限登录Windows 2003服务器系统,依次点击“开始”|“运行”命令,弹出系统运行对话框,输入“gpedit.msc”命令,单击回车键后,展开系统组策略编辑界面。在该界面的左侧列表中,逐一展开“本地计算机策略”|“计算机配置”|“管理模板”|“Windows组件”|“终端服务”分支。
其次找到目标分支下的“限制连接数量”组策略,并用鼠标双击该选项,打开如图7所示的选项设置对话框,选中“已启用”选项,激活“允许的最大连接数”设置项,输入合适的连接数量,最后点击“确定”按钮保存设置操作即可。
当然,也可以通过调整Windows 2003终端服务器的终端服务配置来解决问题。只要依次点击“开始”|“设置”|“控制面板”命令,双击系统控制面板窗口中的管理工具图标,进入终端服务配置界面,选择“连接”选项,双击右侧列表中的“RDP-Tcp”,展开RDP-Tcp属性对话框,选择目标网卡设备,在这里可以将远程桌面连接设置为无限制的连接数。不过,该数值不也能设置得太大,不然的话,会消耗太多的系统资源。同时,还要进入RDP-Tcp属性对话框中的会话标签设置页面,选中“替代用户设置”选项,将“结束已断开的会话”参数设置为一个合适的时间,比方说10分钟左右。
此外,在远程桌面链接数量受到限制的情况下,还应该善于使用注销操作,来彻底切断远程桌面连接会话,以节省宝贵的连接资源。在进行这项操作时,可以逐一点击“开始”|“运行”选项,切换到系统运行对话框,输入“cmd”命令并回车后,进入MS-DOS窗口,在该窗口命令行中输入“quser”命令,从返回的结果信息中(如图8所示),记录下目标远程连接的ID信息,再输入“logoff x”命令即可,这里的“x”就是目标远程连接的ID编号。
连接命令丢失
为了远程调试单位的服务器系统,笔者准备利用本地客户机的远程桌面连接程序,与服务器主机建立控制连接,可是打开系统“开始”菜单后,怎么也找不到远程桌面连接命令,难道该命令被意外删除了,笔者该怎样才能将其恢复正常呢?
(课程阶段:计算机网络基础)
**********************************************************************************
目
的
要
求
(1)理解远程登录的工作原理;
(2)掌握远程登录的设置方法;
(3)熟悉远程桌面的使用方法;
(4)理解端口的含义。
实
验
原
理
远程登录原理及端口与应用的关系。
实
验
环
境
PC机一台,Windows
XP系统
实
验
方
案
设
计
(1)进行远程登录设置;
(2)远程登录对方计算机;
(3)启动远程桌面应用并登录到远程计算机。
本次实验运用Windows系统,在Windows系统中进行配置,实现远程操作。
实
验
过
程
一、进行远程登录设置
1.首先需在电脑中安装好SecureCRT
8.0工具,然后双击桌面的SecureCRT
8.0图标,打开SecureCRT
8.0工具。
2.
进入到SecureCRT
8.0界面,然后点击菜单栏的“File”。
3.
在弹出的File下拉菜单中选择“Quick
Connect”。
4.
然后再进入的Quick
Connect对话框中的protocol栏选择协议,如图选中telnet。
5.
然后在Hostname栏中输入需要登录的IP地址,输入完成之后点击“connect”连接。
6.
远程Telnet登录成功,进入到登录界面。
7.
输入登录名称、登录密码、进入全局模式,之后可以输入命令。
二、远程登录对方计算机
1.
为了保护用户安全,我们的系统默认的telnet服务是关闭的,所以为了使用telnet,我们必须先打开telnet服务。
2.
选择控制面板-管理工具-服务-找到telnet服务。
3.
单击telnet,点击启动。
4.
进入cmd界面,输入命令telnet,输入命令“o“,然后输入要连接的远程计算机IP地址。
三、启动远程桌面应用并登录到远程计算机
1.
使用鼠标右键“计算机”图标,选择“属性”打开。
2.
在打开的系统窗口右侧点击“远程设置”按钮,勾选“允许远程协助连接这台计算机”。接着在下面选择“运行运行任意版本远程桌面的计算机连接”,点击确定进入下一步。
3.
进入”用户账户“选项后,点击”为您的账户创建密码“选项,进入下一步。
4.
在文本框内输入你要设置的密码,然后点击创建密码即可。
5.
windows
10
远程桌面连接密码设置完成后,我们开启另外一台电脑。点击开始按钮,在附件中选择远程桌面连接选项,进入下一步。
6.
在弹出的对话框中输入需要进行windows
10
远程桌面连接的计算机的IP地址,然后点击“连接”,进入下一步。
7.
在新弹出的窗口中输入已经设定好的账户和密码,点击“确定”即可。
结
果
分
优盘装不了大容量文件
将保存在计算机系统中的文件,拷贝到优盘之类的USB设备中,可以说操作很简单,只要用鼠标将目标文件从计算机硬盘中拖放到优盘中即可。可是,最近小张却遇到难题了,他想用优盘到同事的计算机中复制一个3GB左右的高清电影时,却怎么操作都不成功。同事说他的优盘可能使用了不合适的分区格式,必须使用NTFS分区格式,才能支持2GB以上大小的文件传输。小张认为这不是多大难事,恰好自己的优盘没有保存重要数据,直接使用NTFS分区格式对优盘进行格式化,不就解决问题了嘛!
想到做到,小张立即将优盘插入到同事的Vista系统中,双击系统桌面上的“计算机”图标,用鼠标右键单击其后界面中的优盘分区图标,选择右键菜单中的“属性”命令,切换到优盘设备属性对话框,点击“常规”标签,在对应标签页面中发现优盘当前的分区格式真的是FAT32文件系统。返回优盘的右键菜单,执行“格式化”命令后,看到格式化对话框的“文件系统”位置处,只有FAT、FAT32这两种分区格式,而没有自己熟悉的NTFS分区格式。那怎样才能将优盘格式化成NTFS分区格式,从而成功复制大容量文件呢?
几番尝试后,小张一脸茫然,不知道如何是好。毫无头绪之际,用手机将笔者呼了过来。经过一阵摸索,笔者很轻松地解决了问题,下面就是具体解决问题的步骤:
首先进入Vista系统的计算机窗口,找到优盘分区图标,并用鼠标右键单击该图标,执行右键菜单中的“属性”命令,进入优盘设备的属性对话框,点击“硬件”标签,切换到如图1所示的标签设置页面。
其次在“所有磁盘驱动器”列表中,选中与目标优盘设备相对应的名称,按下“属性”按钮,展开优盘硬件属性设置框,选择“策略”标签,展开策略标签设置页面,检查这里的“为提高性能而优化”选项是否处于选中状态,如果发现其没有被选中时,应该及时重新选中它,再单击“确定”按钮保存设置操作。
接着重新启动Vista系统,再次进入计算机窗口,用鼠标右键单击目标优盘分区图标,执行“格式化”命令,这次终于能看到NTFS分区格式选项了。在将优盘成功格式化成NTFS文件系统后,尝试将计算机系统中的大容量高清电影直接拖放到优盘窗口后,系统并没有出现错误提示,一段时间后,文件传输操作结束,这意味着优盘已经能够成功装载大容量文件了。
USB设备的管理另有他途
在计算机系统中使用USB设备是件很平常的事情,用常规的方法访问移动硬盘中的文件,或对移动硬盘执行卸载操作,是十分麻烦的。特别是在计算机系统连接多个USB设备的情况下,要将某个移动设备弹出来,需要经过几个环节才能完成,弹出的USB设备要是没有及时,再次要访问的话,还需要拔出后重新插上。对于频繁要使用USB设备的用户来说,如何才能对这些设备进行高效管理呢?
其实,巧妙使用外力工具“高级USB管理工具”,就能轻松实现一键管理USB设备的目的。将“高级USB管理工具”下载安装到本地计算机系统,插入USB设备后,用鼠标单击系统托盘区域处的控制图标,弹出USB设备列表(如图2所示),选中其中的目标设备选项,再单击之后的“浏览设备驱动器”按钮,就能访问指定USB设备中的文件内容了。
在访问完USB设备后,用常规的方法将其从系统中卸载掉时,往往要经过好几个步骤,现在有了“高级USB管理工具”后就方便多了。用鼠标单击系统托盘区域处的控制图标,从弹出的USB设备列表中,选择目标USB设备,执行“设备现在可以安全移除”命令,此时就能安全地将USB设备从系统中拔除出来了。
倘若USB设备已经被成功卸载,但是还没有从计算机系统中时,我们又突然改变注意,想要再次访问USB设备时,根本没有必要再将设备拔出、插入,只要用鼠标再次点击系统托盘区域处的控制图标,从弹出的USB设备列表中,选择已经卸载的USB设备,就可以将其工作状态恢复正常了。如果想提高管理效率,我们还能对专门的USB设备定义恢复、卸载功能键,要做到这一点,可以用鼠标选中USB设备列表中的特定设备,按下对应盘符下的“菜单”按钮,从中逐一点选“设置属性”|“设备管理”选项,将其后界面中的“使用单独的全局热键停止该设备”选项,再设置好合适的调用功能键,最后单击“确定”按钮保存设置操作。日后,只要插入特定的USB设备,就能使用事先指定的功能热键来卸载或恢复该设备了,整个过程不会对其他USB设备的工作造成任何影响。倘若我们有多个USB设备需要恢复、卸载时,可以按照上面的操作方法为它们依次设置好各自的调用功能键,以提高USB设备管理效率。
现在,不少用户已经不仅仅在本地调用USB设备了,他们常常会将一些重要数据文件保存到USB设备上,然后通过Internet或局域网进行异地访问或办公,此时借助“高级USB管理工具”,就能轻松实现一键运行USB设备中的应用程序。在进行这种管理操作时,可以先用鼠标点击系统托盘区域处的控制图标,从弹出的USB设备列表中,选择特定USB设备,按下“快速启动菜单”按钮,点击“添加程序”命令,定位到特定USB设备中某个应用程序的主执行文件上,按下“确定”按钮,日后只要插入特定USB设备,就能从快速启动菜单中看到之前定位的应用程序名称,点击该程序名称后,就能达到快速启动应用程序的目的了。
USB设备上有黄色感叹号
有的时候,USB设备插入到Windows 7系统环境下,对应设备不能正常工作。用鼠标右键单击系统桌面上的“计算机”图标,执行“管理”命令,展开计算机管理窗口,选中设备管理器分支,切换到系统设备管理器窗口时,会发现USB设备上有黄色感叹号标志,同时设备名称变成了“USB Device”,很多菜鸟用户对该现象不知道如何应对。
事实上,当系统设备管理器窗口的设备名称上出现黄色感叹号标志时,往往都是由于设备驱动程序发生了错误所造成的。对待这类问题,往往可以按照下面的操作步骤来解决:
首先可以选中设备管理器窗口中不能正常工作的USB设备,用鼠标右键单击该设备,执行右键菜单中的“卸载”命令,将目标设备从系统中卸载干净,之后执行右键菜单中的“刷新”命令,将系统设备列表刷新一下,这样Windows 7系统就能自动重新安装USB设备的驱动程序了。
倘若Windows系统无法自动搜索到USB设备的驱动程序,不妨利用Windows系统的补丁升级功能,来自动搜索匹配合适的设备驱动程序,成功安装后就能恢复USB设备的正常工作状态了。
当然,如果从网上无法搜索到相匹配的设备驱动程序时,我们可以采用手工方法,下载与Windows 7系统相兼容的设备驱动程序,比方说,某个USB设备只有Vista系统下的驱动程序,而没有Windows 7系统下的驱动程序,此时手工下载好适合Vista系统的驱动文件。接着,用鼠标右键单击出现问题的USB设备,点击右键菜单中的“属性”命令,弹出目标设备的属性对话框,选择“驱动程序”标签,切换到如图3所示的标签设置页面,单击“更新驱动程序”按钮,打开驱动文件选择对话框,导入之前下载好的驱动文件,按下“确定”按钮,完成设备驱动程序的更新操作,这样USB设备就能正常工作了。
USB设备数据不能访问时
在频繁插拔之后,USB设备很容易出现数据内容无法访问的问题。这不,小杨最近遇到一则问题,就是将USB设备连接到计算机系统的USB接口中后,尽管Windows系统能够正常识别出对应USB设备的分区符号,不过用鼠标双击该分区符号后,他看到该设备没有响应,再次双击鼠标时,系统弹出了无法访问的错误提示。见到这样的提示,小杨身上惊出了一声冷汗,毕竟他的USB设备中保存了太多的单位工作文档,这该如何是好啊?
为了不让数据丢失,小杨请来了笔者。对于这样的问题,在笔者看来基本就是小菜一碟,因为每年笔者总要处理好几起同样的USB设备无法读取问题。在处理这类问题时,笔者先从网上下载专业磁盘管理工具DiskGenius,使用WinRAR之类的解压工具将其释放到临时文件夹中,双击该文件夹中DiskGenius工具的主执行文件,切换到对应程序主操作界面。在该界面左侧列表区域,就能直观地看到所有磁盘分区的详细信息,其中包括已经连接到计算机系统中的USB设备对应分区符号。
接着用鼠标左键单击USB设备对应分区图标,这时DiskGenius工具就会自动强制访问USB设备中的目录分支,从该分支下面找到保存在USB设备中的重要文件或文件夹内容,然后用鼠标右键单击目标文件或文件夹,选择右键菜单中的“复制到”命令,弹出文件或文件夹保存对话框,设置好保存路径后,DiskGenius工具就能自动将USB设备中的重要文件或文件夹内容拷贝到指定路径。
倘若USB设备中的数据文件已经受到损坏而无法移动时,不妨用鼠标右键单击指定的USB设备,执行右键菜单中的“已删除或格式化的文件恢复”命令(如图4所示),这样DiskGenius工具就能自动恢复USB设备中受损的数据文件,当然数据恢复操作进程相当缓慢,可能需要等待很长时间,这点一定要有心理准备。如果数据受损程度非常严重,DiskGenius工具也有可能不会将USB设备中的数据恢复成功。
远程桌面不能连接USB设备
为了提高访问效率,有的用户可能会利用Windows系统内置远程桌面连接程序,来远程访问局域网中的共享资源。在远程桌面连接共享资源时,一般都要对保存共享资源的有关设备进行重定向。要做到这一点很容易,只要逐一点选“开始”|“程序”|“附件”|“远程桌面连接”选项,切换到远程桌面连接对话框,按下“选项”按钮,展开远程桌面连接设置区域,选择“本地资源”选项卡,在对应选项设置页面的“本地设备和资源”位置处,选中磁盘驱动器或打印机等选项,日后当远程桌面连接成功后,磁盘驱动器或打印机设备就会被自动重定向到远程主机系统中,这么一来用户就能轻松在远程系统中访问本地共享资源了。
可是,远程桌面连接程序并不支持USB设备的重定向功能,也就是说,当我们尝试从局域网的其他计算机系统中远程访问本地计算机USB设备中的共享资源时,是无法实现的。在USB设备应用日益广泛的今天,如何才能解决远程桌面程序不能连接USB设备的问题呢?
经过上网搜索相关信息,笔者终于找到了解决方案,巧妙使用专业工具USB For Remote Desktop,就能很方便通过远程桌面程序访问USB设备中的共享资源,当然该工具有客户端、服务端版本之分。
为了通过远程桌面连接程序访问本地计算机中的USB设备,首先要从网络上下载获取USB For Remote Desktop客户端程序,按照默认设置将其正确安装到本地系统中,之后从系统“开始”菜单中点击“USB For Remote Desktop(workstation)”选项,来打开USB For Remote Desktop工具的客户端程序界面,如图5所示。选择这里的“My Computer”分支,在该分支下面就能看到连接到本地计算机中的所有USB设备,选中需要让人远程访问的某个USB设备,再从菜单栏中逐一点选“USB Device”|“Redirect”命令,稍微等一会儿,指定USB设备图标上就会弹出绿色感叹号标志,这说明重定向USB设备操作已经成功,这时指定USB设备已经能被远程系统识别到了。要是点击了“Redirect”命令后,指定USB设备图标上弹出红色感叹号标志时,就意味着重定向操作没有成功。
当然,为了提高操作效率,我们可以对USB For Remote Desktop客户端程序进行合适设置,让特定USB设备能够实现自动重定向目的。只要逐一点选主程序界面中的“Settings”|“Preferences”选项,切换到参数设置对话框,选择“Auto-Redirecting”选项卡,打开如图6所示的选项设置页面,将这里的“Enable auto-redirecting of USB devices”选中,按下“确定”按钮返回,这样接到本地计算机中的USB设备就能自动被重定向了。如果不想将某些USB设备自动设置成重定向状态时,不妨选中“do not redirect these devices”列表中的特定USB设备,那样一来该USB设备就不会被自动重定向了。
从网上下载好《AirCmd远程管理》软件的压缩包,之后解压并运行客户端文件。这时我说道:“由于这个木马的管理功能非常强大,所以需要用户设置的地方也是比较多的。”谁知表弟却不屑地说:“你先喝茶,我自己试着摸索着看看。”于是,他选择了“参数设置”标签,首先设置“监听端口”以及“连接上限”(如图1)。“监听端口”主要是远程系统运行的服务端文件,连接本地系统的客户端文件时使用的端口。
“监听端口”一定不能是常用的端口,不然很容易被其他软件占用,服务端文件就不能连接的客户端文件了,使用默认的“2013”即可。而“连接上限”是指连接到客户端文件的数目,如果电脑配置比较高,且网络带宽比较大,就可以将数字设置的大一些。设置完成以后点击“应用”按钮,客户端文件就会以设定好的配置运行。
服务端,配置不复杂
接下来,选择“服务配置”标签。木马为用户提供了两种连接方式,分别是“IP地址”以及“HTTP网页地址”。因为表弟只是简单的测试和体验,所以就采用了“IP地址”连接的方式。由于客户端程序自身可以识别出本地系统的IP地址,所以只需要设置其他的相关信息即可。比如在“端口”选项中,输入与“监听端口”相同的数字,在“DLL名称”中,给木马文件设置一个名称(如图2)。
在“安装路径”列表中,选择木马文件存放的路径。建议大家不要选择系统目录,以免被杀毒软件发现。最后,分别在“服务名称”、“显示名称”和“服务描述”中进行设置,以达到木马文件随机启动运行的目的。最后点击“生成”按钮,服务端程序就创建完成了。
木马功能尝个鲜
配置完成后,表弟在虚拟机生成了服务端,当服务端程序连接成功以后,就可以进行实际控制操作了(如图3)。在连接列表中选择上线的服务端信息后,点击鼠标右键,选择不同的控制命令就可以进行操作。
1.文件管理
首先选择“文件管理”命令,在弹出的窗口中就可以对服务端电脑中的文件进行管理。这时,表弟发现了一个奇怪的现象:“文件管理”窗口并没有马上打开,而是出现了一个等待的进度条。表弟疑惑的看着我:“这是什么原因啊?”我告诉他:“这是这款木马的一个特色,当需要使用某功能时,就将这个功能的模块上传到服务端电脑。这样就可以减少服务端的体积,方便用户进行传播。”
文件管理窗口使用了上下分栏的形式,上方是本地计算机目录,下方则是远程计算机目录。用户既可以通过工具栏的按钮,也可以通过鼠标直接的拖拽来对文件进行操作(如图4)。由于《AirCmd远程管理》的客户端与服务端都采用IOCP模型,同时数据传输采用zlib的压缩方式,因此文件的传输速度回避其他木马快一些。
2.屏幕控制
接下来,选择“屏幕控制”功能,就可以对远程屏幕进行管理。木马默认采用了8位灰色,虽然速度快但是效果并不好。所以为了获得更好的效果,需要在标题栏上点击鼠标右键,在弹出的窗口选择“32位真彩”。
之后,表弟点击菜单中的“控制屏幕”命令,这样就可以利用捕捉的屏幕对远程桌面进行控制。由于屏幕扫描的速度非常快,因此控制操作起来很流畅。点击“保存快照”命令,就可以对捕获的图像进行保存。表弟还发现,通过“获取剪贴板”或“设置剪贴板”命令,不仅可以获得远程系统剪贴板中的内容,还可以对剪贴板中的信息进行修改(如图5)。
微软后门巧利用
小表弟一边试着这款木马,一边点评:“这款木马用起来很不错,不过就是功能上没有什么创新。”我回答道:“谁说没有了?”我让表弟选择的“服务信息”功能,结果没想到他的眼神马上就发生了变化,称赞道:“这款木马有点意思呢!”因为木马总会有被杀毒软件查杀的那一天,但《AirCmd远程管理》可以利用微软的“后门”来进行远程控制。
手机端的设置
Camera WiFi Stream(以下简称为CWS,下载地址:省略/zO8w474)是一款可以让手机摄像头变为电脑直播镜头的软件,在手机上安装后利用WiFi就可以让远程电脑查看手机拍摄的视频。
1.开启手机上的WiFi并连接到无线路由器,接着在手机上启动CWS确保程序已经成功连接WiFi,同时分配到内网IP地址(图1)。
2.点击“设置”打开设置窗口,根据自己的手机设置直播参数。比如小张的手机是HTC Vision,点击“相机设置手机摄像头分辨率设置为800×480”,这样可以获得更清晰的视频影像。其他如声音、视频录制,请根据需要设置(图2)。
3.完成设置后返回程序界面,点击“开始”,程序会自动调用手机上的摄像头开始拍摄,我们只要借助电脑的浏览器即可看到拍摄的画面(图3)。由于默认拍摄时手机屏幕会一直显示,为了节约电量,只要点击摄像屏幕,然后在浮现的菜单点击亮度调整按钮,屏幕就会自动关闭,但是电脑上仍然可以显示拍摄的画面。
小提示
如果你的手机没有WiFi(或者无法使用WiFi)连接,安卓用户还可以到u.省略/file/f33a32dac9 (PC端软件)和省略/file/aqodwiog(手机端)下载安装Usbwebcam,然后使用数据线即可将手机变为电脑摄像头。手机和PC连接后,连接方式设置为“仅充电”,分别启动PC端(只是一个命令行,启动后会自动在后台运行)和手机端软件,此时打开QQ等视频聊天软件,进入视频设置界面就可以看到手机摄像头,选择手机摄像头进行视频聊天即可(图4)。
电脑端的设置
在手机上启动CWS后,同一局域网的电脑就可以通过浏览器直接查看手机拍摄的视频了。不过要让远程用户观看,我们还要对路由器进行一番设置。
1.在新房电脑上打开省略/zh_CN/,按提示安装JAVA组件这样才会显示视频画面。接着进入无线路由器对转发规则进行设置,这里以TPLINK的WR541G/542G路由器为例。进入路由器设置界面后展开“转发规则虚拟服务器”,点击“新增”,按下列的提示增加一个虚拟服务器,完成设置后保存,这样远程的电脑就可以通过本机的外网IP进行远程桌面的连接来查看直播视频了(图5):
端口为:3389
IP地址:192.168.0.30(即新房电脑的内网IP地址)
协议:TCP
2.开启新房电脑的“远程桌面连接”并设置连接的账户和密码,接着在新房电脑浏览器输入192.168.0.31:8000(即手机从路由器分配到的IP地址及端口号)即可看到手机拍摄的视频了(图6)。
3.如果远方的女朋友需要查看这个直播的视频,在她的电脑上启动远程桌面连接,计算机名处输入“新房电脑外网IP地址:3389”,点击“连接”,接着输入上述设置的连接账户和登录密码(图7)。
4.成功连接后在她的屏幕上即可同步看到小张在新房使用手机拍摄的视频了。由于是借助WiFi连接,没有有线的限制,所以小张可以使用手机在房间任意走动直播,让远方的女朋友直观看到房间的每一个角落。女朋友在自己的电脑上点击浏览器界面的Get still Iamge,还可以即时截取当前场景图片,然后提出具体装修意见。如果她点击窗口下方的Capture,则可以启动小张的手机视频拍摄,继续浏览(图8)。
让更多手机变身无线摄像头
不重视安全,装完系统不做任何安全配置的人。
为了不成为下一个牺牲者,你该做些什么呢?要在短时间内把权限、注册表里的方方面面搞个透彻也实在不现
实。幸运的是,要挡住“第一波”攻击,你要做的仅仅是调整一个系统服务,把可能“致命”的项目禁用。
给初学者看的――怎么管理服务
1.打开服务管理界面
打开“控制面板管理工具服务”就能打开服务管理界面,如果想像个高手一样更快打开它,那就按“Win+R”组合键(等同于点击“开始运行”)打开“运行”框,输入“services.msc”回车。
2.查看和操作
在服务管理界面中,右侧窗格的列表列出了当前系统中的所有服务,“名称”和“描述”能让你对服务的功能有所认识(见图1),如果“描述”处一片空白,那八成不是系统原先就存在的服务,很有可能是杀毒软件或驱动程序安装的。双击相应的服务项,在弹出窗口中通过点击“启动”、“停止”等按钮就能控制服务的状态(见图2),同时“启动类型”也可以根据需要更改。
被SP2“招安”的信使服务
涉及服务:Alert/Messenger 危害:垃圾信息
如果在网上搜索一个优化服务的文章,可能无一例外地都会让你禁用Alert和Messenger服务。确实,这2个服务曾经让无数人每天都收到来自网络的垃圾信息的骚扰,但Windows XP的SP2补丁包已经默认把它们设为“禁用”,它们已经不构成威胁了。别高兴得太早,有些木马和病毒会用自身文件替换Alert服务,让你只看到Alert服务启动了,实际上“瓤”已经换成了病毒,因此如果你看到这两个服务的状态是“已启动”,还是禁用的好。
让管理员或者系统通知网络中的用户一些重要消息,可有谁会傻到有QQ、MSN不用,用这种对话框级的聊天工具……
做一个批处理,配合用Windows自带的“net send”命令,往某个IP段里的所有电脑群发垃圾信息(偷懒一点的也可以去下载一个群发工具,原理是一样的)。
纯属给病毒留的服务,坚决禁用!
剪贴板里的密码给谁看
涉及服务:ClipBook 危害:泄露隐私
几乎所有的IT媒体在介绍这个服务的时候,都会说“这个服务允许任何已连接的网络中的其他用户查看本机的剪贴板”(不信就去搜搜,看看哪些“权威”在误导你),他们无一例外地都把微软和比尔・盖茨当成了傻子,“任何已连接的网络中的其他用户”?那地球上还能有隐私吗?实际上,要查看你剪贴板里的内容,对方还必须获得管理员账户并用IPC登录。只能说对管理员账户是弱口令的用户很危险,而且很多人都有将银行账号、密码放在文本中的习惯,你就不怕在复制粘贴的时候被人截获吗?
让管理员在远程环境中仍能轻松访问本地系统中的剪贴板内容。
穷举你的IPC密码(见图4),如果你碰巧使用了一个很低级的弱口令,那么算你倒霉,黑客可以很轻易地用这个账号登录你的IPC管理共享,然后打开剪贴板查看器(见图5),用菜单里的连接远程剪贴板功能就能把你的信息玩弄于股掌了。
即使你自认为密码很安全,也建议把启动类型设为手动。
常常做“替罪羊”的打印服务
涉及服务:Print Spooler 危害:拖慢系统
系统速度突然变得很慢,打开“任务管理器”查看进程后竟然发现有一个spoolsv.exe的服务占用了大多数的CPU资源。在命令提示符中用“tasklist /svc”命令看了一下,发现这个进程竟然属于Print Spooler服务(见图6)。中毒了?还真说不好,虽然有病毒冒充这个服务进程,但如果你的杀毒软件稍微争气一点点、偶尔升级一下下的话,这种甲骨文(别误会,此处并没有偷偷说Oracle的坏话)级别的病毒肯定不会存在于你的系统。刚才还说微软不傻,可现在实在忍不住要鄙视一下他们,直到今天,仍然有这么多人因为Windows XP中的低级Bug造成系统缓慢。故障出现的原因是系统没有及时删除打印后台文件,因此在向打印机发送打印作业时,后台的打印服务就会反复尝试对此打印作业进行后台处理(简而言之――死循环)。
通过打印池服务管理和控制打印队列。
黑客这回什么也没干,我们错怪他了……
如果出现spoolsv.exe占用大量系统资源的状况,首先确保杀毒软件仍在正常工作中,然后尝试删除“%Systemroot%\System32\Spool\Printers”目录下的所有文件,并重启打印服务。如果你有打印机,那么强烈建议不要为了这点小事把此服务禁用,否则你就什么都打印不了了。
可以理解为“微软后门”的远程注册表服务
涉及服务:Remote Registry 危害:啥都危害了
比尔大叔可能以为每个普通用户都会在远程管理自己的电脑,所以他把这个服务设定为系统默认启动。尽管如此,我们也不能因为要告诉读者此服务有危险就信口开河,把它说成网络中的每个用户都能访问的东西。远程注册表操作,还是需要IPC登录的管理员权限才行(如果有人会问IPC登录的游客权限账户行不行,我会告诉他们:“扯淡!除了管理员,压根没别人能登录IPC。”)。对弱口令的用户来说,这个漏洞是致命的,黑客很容易就能在你系统的注册表里做点手脚,木马、后门,啥都来了。
让用户远程管理本地系统中的注册表,这……这实在太扯了。
穷举弱口令找出管理员密码并登录IPC,然后打开“注册表编辑器”,连接到受害者的注册表(见图7),在自启动项里加点木马和后门,在文件关联里再加一道木马的生存保险,最后顺便瞄一眼播放器的历史记录,看看受害者最近在看什么新片……
如果你没有什么奇特的使用需求,强烈建议将此服务设为“禁用”,这本该是Windows自己做的。
你凭什么成为别人的文件服务器
涉及服务:Server 危害:信息泄露
花了半年早饭钱买回来的数百GB大硬盘,却沦为别人的文件服务器,这种事谁能接受!?身在学校、公司等局域网环境的朋友注意了,如果你平时就讨厌把硬盘里的东西共享给别人,那就干脆把这个服务给禁用了。又是IPC登录后闹的(这个理由我都有些厌倦了),说来说去,弱口令是万万不可取的!
这回微软想的终于和人们实际用的差不多,很多人都在使用共享服务来完成局域网中的文件共享。
先登录IPC,然后用“net use”命令把被害者电脑中的盘符给映射到本地,然后像平时复制文件的方式一样,把木马病毒之类的东西塞到不幸的人的硬盘里。
如果你平时就不在局域网里传什么文件,就把它“禁用”。
计划着怎么整你的恐怖服务
涉及服务:Task Scheduler 危害:降低入侵难度
刚才说到,一旦你沦为“肉鸡”,被别人往硬盘里塞文件时,你的系统差不多已经被完全攻陷了。不过如果你的运气好,入侵你的正好是个菜鸟,那就给他设一道难以逾越的障碍吧!将Task Scheduler服务禁用能够防止黑客利用此服务远程执行传送到本地机上的恶意程序文件。
仅仅是让本地和远程的人决定系统在什么时间应该干什么罢了。
先像上文说的那样,把病毒往受害者硬盘里塞,然后用“net time”查一下对方的系统时间,再用AT命令(需要依赖Task Scheduler服务)建立一个执行病毒文件的计划任务。
如果你没有什么自动执行的正常计划,那就把它设为“禁用”。
3389不是暗号,是入侵
涉及服务:Terminal Services 危害:给黑客多留的一道门
用过远程桌面吗?能控制远程电脑的桌面,就像在操作自己的桌面似的。好玩吧?但如果被玩的是你,你就不会这么觉得了。在入侵时,系统中点滴的不严密都可能成为导火索。黑客可以很容易地通过执行一些脚本文件,来达到开启“远程桌面”的效果(见图8)。
留下后门,却偏偏说是帮助远程用户管理系统。
系统已经占领了,替换系统文件让XP也能实现多用户同时登录,上传脚本开启“远程桌面”,然后登录你的3389端口,远程玩你的系统。
没啥说的,禁用之。但这样做有个副作用,在“任务管理器”的进程中看不到用户名了。
3389是远程桌面的默认端口号,可以通过修改注册表来实现默认端口的修改。
最后的重要提示,手动≠禁用
别以为把服务设为“手动”就行了,你可能会想:只要我自己不启动它,谁还能动它?其实大错特错,在得到IPC管理共享后,要手工开启服务也就1条命令而已,比如说要启用地址为192.168.0.2的电脑上的Task Scheduler服务,只须在命令提示符下运行下面的命令就行了:
治疗指纹识别之症
安装了WindoWS 7系统的笔记本电脑,自带有指纹识别软件。一般来说,安装有Windows 7系统的笔记本通过指纹识别软件可以顺利地替代系统启动时输入密码操作。不过,一旦将系统更新到WindoWS 7正式版后,系统却会出现注册指纹操作出错的现象,这该如何是好呢?实际上,这种现象是由指纹识别驱动程序造成的。当初次安装完毕Windows7系统后,安装向导会自动上网搜索下载相关补丁程序,这个时候与指纹识别操作有关的驱动程序也会被一同下载;考虑到许多笔记本使用的指纹识别功能都是Authen开发设计的,因此Microsoft公司解决指纹识别问题应该来说还是十分简单的事情,不过在更新版本之后,新版本驱动开发还没能及时跟上,这就造成了上面的指纹识别之症。
要治疗指纹识别之症,我们可以从http://省略/win7beta32,cfm位置处下载Authen开发设计的32位指纹识别驱动程序,按照正确方法重新安装好对应驱动程序后,再重新启动一下计算机系统,这样就能在系统控制面板窗口的“生物特征设备”中成功启用指纹开机功能了。在启用这项功能时,可以先点击一个手指,用对应手指轻轻划过指纹识别器,并连续执行这样的操作三次,执行完毕后对应驱动程序就能正确认识指纹,同时弹出该程序的参数配置界面(如图1所示),按默认提示进行设置后,最后按“Finish”按钮结束指纹注册操作。
治疗驱动识别之症
WindoWS 7系统的智能化程度有了明显提升,它可以高效识别许多硬件设备的驱动程序,用户将新设备插入到该系统中,几乎不需要进行手工安装操作,Windows 7系统就可以自动为目标设备安装好合适的驱动程序。事实上,有的时候用户不想让Windows 7系统过度智能,例如在安装一些版本比较新或功能比较强的设备驱动时,如果任系统自行安装,只能安装系统自带的低版本驱动程序,而不会自动安装新版本程序,这时候只有采用手工方法才能完成驱动程序升级任务。那么,究竟如何才可以停用Windows 7系统智能识别安装设备驱动程序功能呢?
要实现上述控制任务,可以有两种方法,一是组策略设置法,二是向导设置法。在进行组策略配置操作时,可以先打开系统运行文本框,输入字符串命令“gpedit.msc”,点击“确定”按钮后,弹出系统组策略控制台窗口,依次展开该窗口左侧列表中的“计算机配置”I“管理模板”I“系统”I“设备安装”I“设备安装限制”目录,用鼠标右键单击该目录下的“禁止安装未由其他策略设置描述的设备”组策略,执行右键菜单中的“编辑”命令,切换到如图2所示的组策略编辑对话框,将“已启用”选项选中,单击“确定”按钮返回即可。
在进行向导式配置操作时,可以先打开Windows 7系统的“开始”菜单,从中选择“设备和打印机”命令,弹出设备和打印机列表界面,从设备显示区域中右击本地计算机图标,选择右键菜单中的“设备安装设置”选项,进入如图3所示的向导设置框,Windows7系统默认会选中这里的“是,自动执行该操作”选项,也就是强制系统自动安装设备驱动程序,现在只要重新选择“否,让我选择要执行的操作”选项,同时将“从不安装来自Windows Update的驱动程序软件”项目也一并选中,再按“保存更改”按钮结束配置任务。
治疗电源显示之症
有的时候,用户会发现安装了Windows 7系统的笔记本电脑无法在系统托盘区域处正常显示电源按钮,这样就容易造成在使用笔记本电池或者直接插上输入电源时,不能准确进行区分。之所以会出现这种不正常现象,多半是用户使用了专业工具对笔记本进行了过度优化,或者使用的Windows7系统是第三方修改过的版本。要想让电源按钮正常显示在系统托盘区域处,可以按照如下步骤进行恢复:
首先依次单击“开始”I“运行”命令,在弹出的系统运行文本框中输入字符串命令“gpedit.msc”,单击“确定”按钮,切换到系统组策略控制台窗口;展开该窗口左侧区域中的“用户配置”I“管理模板”I“开始菜单和任务栏”目录,找到该目录下的“删除操作中心图标”组策略;
其次用鼠标右键单击该组策略,执行右键菜单中的“编辑”命令,弹出如图4所示的组策略编辑对话框,选择“未配置”选项,再按“确定”按钮保存配置操作。下面在系统任务栏空白区域点击鼠标右键,选择右键菜单中的“属性”命令,在其后界面的“通知区域”位置处,按下“自定义”按钮,同时选中电源按钮选项即可。
治疗共享打印之症
如果共享打印机被连接到了Windows 7系统,用户尝试通过局域网中的其他计算机访问该共享打印机时,系统时常会弹出没有启动后台打印服务,或者共享打印机连接出错的提示。发生这种不正常现象,很可能是其他计算机系统与WindoWS 7系统中的共享打印驱动兼容不好引起的。要治疗类似这样的共享打印之症时,可以按照如下步骤来进行:
首先在本地执行打印操作,确认共享打印机自身工作状态正常;其次使用ping命令测试其他计算机系统与Windows 7系统之间的网络连通性,确认网络连接线路以及参数配置一切正常。在排除上述因素后,如果共享打印操作还无法成功时,可以通过本地方式来安装共享打印驱动。
比方说,待安装的共享打印机位于“\\10.192.168.8\print”,在通过本地方式安装该打印驱动程序时,可以先从系统“开始”菜单中选择“设备和打印机”命令,切换到打印机列表窗口中,按下该窗口中的“添加打印机”工具栏按钮,弹出“添加本地打印机”向导对话框,将鼠标定位到“创建新端口”位置处,将这里的“local port”选中,按“下一步”按钮,打开如图5所示的打印端口名称设置对话框,将“\\10.192.168.8\print”路径地址正确填写在这
里,同时单击“确定”按钮,再按下“Windows Update”按钮,让安装向导在线安装合适的网络打印驱动程序,如此一来用户下次访问共享打印机时就不会遇到错误了。
治疗视频删除之症
在Windows 7系统中尝试删除某些不需要的视频文件时,Windows 7系统有时会出现错误,提醒用户不能删除视频文件,或者提示用户该文件正在被其他应用程序使用。可是,关闭Windows 7系统再重新启动后,上述不正常的现象仍然存在,这是怎么回事呢?面对这种不适之症时,用户究竟该怎样才能有效应对呢?
引起这种不正常现象的原因有多种,最主要的原因可能是Windows 7系统启用了内置的预览媒体文件功能。在解决由该因素造成的视频删除之症时,不妨先用媒体播放程序打开其他的视频文件,在其他视频文件开始正式播放时,再尝试删除之前无法删除的文件,或许这样就能将目标视频文件删除成功了。要是这种方法不奏效,可以尝试暂时停用系统自带的预览媒体功能,只要打开系统运行文本框,输入字符串命令“cmd”,按“确定”按钮后弹出DO S命令行工作窗口,在该窗口命令提示符下输入“regsvr32/u shmedia,dll”命令,就能停用预览媒体功能了,日后也可以通过“regsvr32 shmedia.dll”命令恢复这项功能。
如果上述不能解决问题,可以尝试调整目标视频文件的扩展名类型,将其视频格式强行调整为普通文件格式,调整成功后再删除普通的文件,从而达到间接删除复杂视频文件的目的。比方说,待删除的复杂视频文件为fly格式,通过执行文件重命名操作后,fly:格式变成了txt格式,之后对txt格式文件执行删除操作就容易得多了。不过,在调整文件扩展名时,应该先要让Windows 7系统正常显示出文件扩展名来,在进行这种操作时,只要切换到系统资源管理器窗口,逐一点选“工具”I“文件夹选项”命令,选择文件夹选项框中的“查看”选项卡,打开如图6所示的选项设置页面,将“隐藏已知文件类型的扩展名”取消选中,单击“确定”按钮退出。
当然,对于一些太“顽固”的视频文件来说,还可以利用WinRAR212具自带的压缩后删除文件功能,来执行视频文件删除操作。在使用该方法时,可以先从系统资源管理器中选中待删视频文件,同时右击该文件图标,执行右键菜单中的“添加到压缩文件”命令,切换到压缩配置框,选中“常规”选项设置页面中的“压缩后删除源文件”选项,之后单击“确定”按钮,开始压缩目标视频文件,压缩成功后原始视频文件就会被自动删除。
治疗不断假死之症
在一些硬件性能比较差的Windows 7系统中,如果打开某个含有若干图像或视频文件的文件夹时,系统经常会发生假死现象。这种不断假死的现象,主要是~vVindows 7系统打开这些特殊文件夹时,需要消耗一些系统资源,来完成图像或视频文件的缩略图创建任务,而在系统资源比较紧张的情况下,缩略图创建操作由于不能及时获得相关资源而造成系统假死。
正常情况下,停用图像或视频文件缩略图创建功能,就可以有效治疗好不断假死之症。在进行这种操作时,可以任意选中Windows 7系统资源管理器中的一个文件,之后从“更改您的视图”下拉列表中选择“小图表”选项;再逐一点选“组织”I“文件夹和搜索选项”工具栏命令,弹出文件夹选项设置对话框,选择“查看”选项卡,在对应选项设置页面中选中“始终显示图标,从不显示缩略图”,同时单击“确定”按钮返回即可。
当然,为了预防系统长时间处于假死状态,从而影响系统运行连续性,我们还能调整注册表配置,强制系统处于假死状态后立即重启资源管理器窗口。要实现这个目的,可以打开系统运行文本框,执行字符串命令“regedit”,切换到系统注册表编辑界面,逐一展开该界面左侧区域中的HKEY LOCALMACHINE\SOFTWARE\Microsoft\WindoWSNT\CurrentVersion\Winlogon目录(如图7所示),双击该目录下的“AutoRestartShell”双字节键值,在其后界面中输入“I”,再将计算机系统重新启动下就能让配置生效了。
治疗密码无效之症
启动任务管理器多条道
任务栏管理器是Windows自带的一个很方便的系统组件。启动任务管理器的方法不止一种,多知道几种方法更便于在一种方法失效后应急。
1. 按下Ctr+Alt+De组合键调出任务管理器。
2. 按Ctrl+Shift+Esc组合键也能调出任务管理器。
3. 通过“开始运行”输入taskmgr来启动。
4. 用鼠标在任务栏空白处点击右键,在弹出的菜单中选择“任务栏管理器”。
5. 如果你觉得这样启动不够个性化,那么就请为C:\Windows\system32\taskmgr.exe建立一个桌面快捷方式,再用鼠标右键单击该快捷方式图标,在“属性”窗口为其指定一个启动热键(如F12)。这样,以后你就可以用自己定义的热键F12来打开任务管理器了。
小提示
当我们使用Windows远程桌面连接或者使用第三方远程控制软件进行远程控制时,要在对方的系统中打开任务管理器,只能用以上3、4条的方法。
当程序或命令不能执行时
有时候遇到桌面程序被锁死、动不了的情况,但这时我们不能关机,还需要处理一些任务,怎么办?
我们可以通过任务管理器来执行一个新的任务。方法是,用上述方法之一启动任务管理器之后,切换到“应用程序”选项卡,然后在窗口的空白处单击鼠标右键,在弹出的快捷菜单中选择“新建任务”,然后通过创建新任务对话框,通过“浏览”按钮找到自己的程序运行即可。
还有的时候,“开始”菜单中的“运行”命令被屏蔽,不能执行任务,这时我们也可以用任务管理器代替“运行”窗口来执行我们需要执行的程序。试试在任务管理器中选择“文件新建任务(运行)”菜单命令吧,效果和从“开始”中“运行”是一样的。
当正常关机不能执行时
有时,“开始”菜单会由于某种原因而变得无法访问,系统命令“开始关闭计算机”无法选择。这时,我们可以用上面的某种方法打开“任务管理器”窗口,依次单击菜单命令“关机关闭”,即可将系统正在运行的所有程序和服务注销掉,从而实现正常快速地关机。
从系统托盘看CPU占用情况
如果你平时经常关心系统中所有正运行的程序占用CPU资源的情况,可以在任务管理器中选择“选项”菜单,勾选“使用时自动最小化”和“最小化时隐藏”。接下来运行Regedit打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支,新建一个名为Taskmanager的REG_SZ值,将其值修改为"c:\windows\system32\cmd.exe" /c "start" /min c:\windows\system32\taskmgr.exe。这样以后开启电脑后,就可以随时将鼠标悬浮在系统托盘区域的一个绿色图标上,稍等片刻,CPU资源情况就会尽收眼底了。
我的任务管理器别随意动
【 关键词 】 终端安全;网络安全;检查步骤和检查手段
Introduction to Safety Protective Measures for the Classified Protection of Information
Xiong Yu-fei
(China Institute of Nuclear Science and Technology Information and Economic Beijing 100048)
【 Abstract 】 Is the main content of the thesis research work on the computer or in the network safe protection products including firewall, host monitor system, intrusion detection system, anti-virus system, media management, terminal security protection setup steps and check the means such as login system, expounds the common examination of the protective products and special inspection method, at the same time also introduces the network equipment protection measures and examination methods. Its purpose is to make the network equipment and safety protection products should play a protective role in the computer and network and optimize the network USES the safety and efficiency. Paper combining with the relevant standards and requirements are introduced in detail level to protect against the inspection steps of computer and network, inspection method, inspection methods, such as for operating the result for the unit to build a safe, reliable and conform to the standard, high-performance network office environment。
【 Keywords 】 terminal security; network security; inspection procedures and inspection method
1 引言
目前很多单位均对计算机和网络完全隐患非常担忧,通过大量部署安全防护产品,构建防护体系,但这些设备不是摆设,要充分发挥它的作用,并且管理人员通过这些设备掌控单位的安全状况。本文通过对计算机与网络安全防护措施的研究,介绍它的使用、配置和检查手段具有重要的现实意义。其目的是使单位计算机等级保护工作做得更好,使单位的计算机和网络更加安全可靠运行。
2 终端防护措施与检查
在计算机的安全防护加固过程中,应首先拟定加固步骤、加固工具和手段、方式方法等,应有序地把安全防护工作按照标准要求认真仔细地完成好。首先目测计算机的放置地点是否符合要求,然后查看开机运行项目并结合标准要求做深入检查,加固工作主要包括几个步骤。
第一步:正确设置BIOS密码,开机启动项应仅为硬盘启动。在这两种加固中我们必须进入到Cmos程序中对System(系统管理员)和User(用户)两种选项进行设置,普通人员是不能进行修改操作,而操作过程必须由系统管理员来完成。采用系统管理员和普通用户账号登录密码,该两项密码的设置同样由系统管理员设置完成,而普通用户无权修改密码口令,具体操作应由系统管理员登录进入Windows,它可以在计算机管理的选项中,用户中对系统管理员和普通用户进行密码设置。而用户的Windows登录方式一般有两种,即采取双因子认证的身份鉴别措施或用户名与密码相结合的方式登录。这里应注意不同的密级应有不同的口令要求,根据不同等级设置口令长度和复杂度、更换周期、密码登录尝试次数的锁定等,该设置可以在安全防护产品中设置,如主机监控系统等,也可以在域控策略中进行统一设置,然后对用户终端进行策略下发;还有一种就是在Windows系统本身自带的安全策略中设置;这三种设置方法中,只要有一种进行了设置工作都符合口令安全加固要求。
第二步:完成上述设置后应有序的开始下面的检查内容,如计算机或终端安装安全防护产品,因为安全产品是用来对计算机的安全进行加固的工具,目前可以对计算机终端进行安全加固的产品应该包括主机监控系统、终端安全登录系统等。在系统安全加固中,不是每个产品措施都很全面,应有互补,所以尽量把每个产品中的安全设置都配置全面,避免有漏洞。我们在检查安全产品中也要检查防护措施的有效性和使用情况。例如在主机监控系统中,检查安全加固设置内容、监控客户端行为、介质管理、身份认证等。在管理层面上,进一步检查防护产品的进程是否正常工作,检查计算机系统内的各种软件安装是否在白名单内,硬件和外设安装是否有审批手续。 在防病毒系统中检查是否病毒库及时升级,注意检查普通用户不能非法关闭防病毒的监控功能,在实际中我们可以测试禁用监控功能,查看是否能操作,如果不能操作说明我们管理员对防病毒的设置是正确的。要正确设置计算机符合标准要求的屏保(设置屏保不超过10分钟),该项设置可以在域控策略中进行,可以在安全产品中进行,也可以在Windows系统本身的屏保设置中进行。三种设置中,只要有一个作了,措施就有效。在检查安全策略配置别要注意账户锁定策略:账户锁定时间、账户锁定阀值,这些都可以通过Windows本身的密码策略设置或域控策略设置或安全产品策略设置中完成。
第三步:终端的访问控制措施和安全策略设置,这是一个重要的安全加固步骤。它包括系统管理员设置的账户应符合最小授权的访问控制原则(不能存在多用户、 Guest账号、目录共享或默认共享设置)。该项设置中我们可以进入到Windows系统的计算机管理项目中,查看对用户的权限设置,如User用户具有Administrator权限,就不符合最小授权原则,应予与纠正为User权限。查看是否有Guest账号,如有说明权限过大,形成危险的帐号,该账号应禁用。而检查共享设置中,可在计算机管理中的共享文件选项中查看是否有$c\$d\$e$ipc等默认共享设置,也可以在域控策略中查看、核实。
第四步:设置介质绑定,这是一个重要的安全防护内容,如果未采取对介质进行绑定技术措施,容易造成该系统或计算机间接连接互联网或非密计算机,即间接破坏了物理隔离措施。在该项检查中可以对照注册表或采用检查工具,查看介质的使用记录,在与其它网络或计算机比对时,查看是否有同种记录的介质,如有说明没有采取对介质的技术绑定。
剩下的就是进一步细化检查,如检查是否禁止使用无线鼠标和键盘、物理拆除无线模块。(建议具有相关资质的专业公司集中在单位拆除,注意本单位陪同人员配合)。关闭远程协助功能、远程桌面、禁用错误报告、关闭系统还原功能等(设置在域控或windows系统中做)。
针对上面安全加固工作,我们可以参考几列执行命令。
系统用户能满足工作前提下,应符合最小授权,用户一般包括:Administrator――具有计算机的完全且无限制的访问权限,由系统管理员掌控;Power user ――具有较多的受限管理权限如共享文件、安装本地打印机、更改系统时间等;User――受限权限。
采用如下命令可以查找当前用户和权限:Net User――查看有哪些用户;Quser.exe――用户登录信息;Net User用户名――查看用户添加信息;Lusrmgr.msc――本机用户和组;Compmgmt.msc――计算机管理。
Secpol.msc――设置本地安全策略。
严禁开启共享:Net Share――查看共享;Fsmgmt.msc――查看共享文件夹管理器;Net Start、Msconfig――查看是否启用共享服务;Net View――查看网络共享;
第五步:在设置终端的服务方法中原则上禁止使用FTP、Telnet、Netbios等不必要的服务进程,但根据某些应用或网络管理可以有限开放或临时开放,因为攻击者很容易利用此后门的漏洞进行破坏。
所以如果按照下面步骤操作,完全可以降低风险。比如:根据需要开放80或8080端口;根据需要开放25端口,即Simple Mail Transport Protocol (SMTP)服务,它提供传送电子邮件;有限开放21端口:即FTP Publishing Service, FTP 连接和管理;除信任管理主机外,其它主机关掉23端口;关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序;一般情况下关闭Server服务,此服务提供 RPC 支持、文件、打印以及命名管道共享;根据邮件系统的应用需要开放25、110端口,即SMTP和POP3协议;应关闭TCP 135、139、445端口服务。关闭dhcp-client\wireless zero configuration\telnet\romote registry和messenger服务,禁止Netbios协议;关闭139端口,139端口是NetBIOS Session端口,用来文件和打印共享。在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS 设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。可以在各项服务属性设置中设为“禁用”。
关键词:远程控制;硬件共享;EDA实验箱;网易公开课
中图分类号:G642 文献标志码:A 文章编号:1673-8454(2014)22-0081-03
一、引言
随着现代信息网络技术的高速发展,目前大学实验室的教学模式改革和教学效果的提高势在必行。在教学实践中,我们体会到实验室教学改革主要是基于两个方面的考虑:一方面是如何才能为学生提供更多动手机会,目前的情况是学生往往只能在实验室课堂上,课堂以下无法使用实验资源,学生的动手实践需求无法满足;另一方面是大学实验室的实验设备使用率问题,特别是晚上,实验仪器往往处于闲置状态,怎么能最大效率使用教学设备是一个有待解决的实际问题。[1]
与大学实验室现状形成对比的是,近年来“在线开放课程”的教育模式迅速风靡全球。类似网易公开课,让学习者能随时随地的根据自己的兴趣来选择所要学习的科目。很显然,大学教育不能孤芳自赏,应该调动更多的人参与,高等教育与现代信息技术相结合的课程建设俨然成为我国现代高等教育发展的必然趋势。然而这种远程网络教育也有着明显的不足。现在因特网上仅实现了视频和软件的共享,像大学里大量的实验教学硬件资源却没有得到在网络上的共享。[2]
针对以上不足,本文提出硬件公开资源共享课这一思路。即根据现在流行的远程思想,对放置在实验室中的各类实验箱(如EDA实验箱),通过网络进行远程操作,再通过摄像头、麦克风将实验所得到的结果反馈给操作者,以此使远端用户得到在实验室操作的实感。这一技术的实现既能让学生不受时间地点的限制相对自由地进行实验,让网络公开课的学习者进行实践操作,还能让广大社会群众享受到实验室的设备与资源,进而会培养人们的创新意识、动手能力,对推动我国科技发展起到一定的积极作用。[3]
二、EDA实验室设备远程共享教学模式的系统构成及工作原理
1.系统的组成
该远程开放实验室系统由EDA实验箱构成。当远程实验用户通过互联网登录到开放实验室系统时,通过通信和控制模块取得QuartusII软件的控制,实现了EDA实验箱的控制,控制的现象和结果通过网络摄像头和其软件传输给远程实验用户,最后用户体验到身临其境的感觉。本文设计的系统的总体结构框图如图1所示。
2.工作原理
本系统所应用的工作原理主要为远程控制原理和硬件共享原理。远程控制是在网络上由一台电脑远距离去控制另一台电脑的技术,主要通过远程控制软件实现。如图2所示,使用时安装在主控端电脑中的客户端程序向被控端电脑中的服务器端程序发出信号,建立一个特殊的远程服务,然后通过这个远程服务发送远程控制命令,控制被控端电脑中的各种应用程序运行。
这里提出的硬件共享是指通过远程操控被控端的电脑,实现实验箱的使用权与他人进行共享的目标,其中该实验箱与被控端电脑相连接。再在受控方电脑上安装带双向语音功能的网络摄像头,操控者即可在主控端电脑上观看由摄像头传过来的实验箱所显示的实验效果。原理如图3所示。
三、EDA实验室设备远程共享教学模式的具体实现
该系统主要由远程控制模块、登录管理模块、摄像头控制模块这三个部分组成。
1.控制模块的系统设计
本设计直接利用远程控制软件进行通信和控制,其特点是成本低、易操作。为了方便用户登录以及避免合法用户发生登录碰撞,本文建立了用户远程登录管理系统。
(1)远程控制的建立
目前,远程操作较便捷的有三种方法:
首先是Windows系统远程协助应用。“远程协助”是Windows XP系统附带的功能,不过必须得安装MSN Messenger 6.1和Windows Messenger 4.7,并且要主控双方协调才能够进行“远程协助”。其次是Windows “远程桌面”的应用,这是一种C/S模式,客户机可以通过TELNET登录到高配置的服务器上,若要利用这种方式实现远程桌面控制需要经过复杂的设置,并且需要获得高权限才能完成电脑的完全操控。最后是远程控制软件。目前常用的远程控制软件有TeamViewer、灰鸽子、Netman、GoToMyCloud、Radmin等。用软件实现控制时操作简便,不需要进行复杂的设置并且使用时不需要与受控方协助完成,可以直接操作无人电脑。所以一般选择此种方法。
本设计采用的是Teamviewer远程控制软件,这是在任何防火墙和NAT的后台用于远程控制、桌面共享和文件传输的简单且快速的解决方案。为了连接到另一台计算机,必须在两台计算机上同时运行软件。该软件第一次启动时在两台计算机上自动生成伙伴ID,只需要输入你的伙伴的ID到TeamViewer,就会立即建立起连接。[4]
(2)远程用户登录界面
登录系统界面主要是通过Microsoft Visual Basic 6.0 和Microsoft Office Access 2007软件进行设计。设置后,每个用户将拥有自己的用户名和密码以及限定的登录时间。用户输入登录信息后系统会将数据传到数据库中进行比对,使合法用户成功登录。登录系统框如图4所示。
(3)摄像头和声音信号采集
本设计使用的是凯聪公司的SIP1018网络摄像机,它支持1个MJPEG码流,适于本地、互联网以及跨平台访问;采用CMOS传感器,支持640*480、320*240实时视频编码;内置拾音器,并可外接麦克风,远程监听现场声音;也可外接音箱,远程传送声音至现场,实现双向对讲功能,支持回声抑制功能;自带红外灯,支持8米夜视范围;支持红外、彩色滤光片切换,图像不偏色(内置IR-CUT加强版);内置WEB服务器,使用一个端口传送所有数据,便于用户进行网络设置。
使用前首先设置好网络摄像机的各项局域网参数事项,例如名称、端口号、IP地址、子网掩码、网卡、主DNS服务器等设置,使摄像头与受控端电脑在同一局域网下。再安装ActiveX控件,并在IE浏览器中启用此控件,即可通过浏览器看到由摄像头传过来的监控影像和声音。
用户登录成功后进入摄像头连接界面。界面中会显示合法用户的使用时间权限段,用户在此时间段中能通过摄像头站点的连接窗口顺利使用监控镜头。
(4)数据库建立
数据库的建立主要是使用Microsoft Office Access 2007存储用户和密码的相关数据,用以辨别使用者是否为合法的用户和用户规定上网的时段合法;如果是合法用户则进入摄像头连接页面,相反则提示“用户错误”信息。[5]
2.受控的软硬件平台
(1)软件平台
EDA的开发软件使用Quartus II,该软件支持远程调用。该设计工具完全支持VHDL、Verilog的设计流程,其内部嵌有VHDL、Verilog逻辑综合器。QuartusII与MATLAB和DSP Builder结合可以进行基于FPGA的DSP系统开发,是DSP硬件系统实现的关键EDA工具。目前能够进行远程的实验包括流水灯实验、八段数码管动态显示实验、16*16点阵显示实验、电子琴实验等。
(2)硬件平台
目的是进行网络教学的本实验箱,重点突出了声光的效果。这样能够让远程用户感受到效果,该实验箱由EP2C5芯片为核心构成,上面有LED、八段数码管、16*16点阵、喇叭、蜂鸣器等资源,实验现象很容易远程表现。电路如图5所示。
四、EDA实验室设备远程共享教学模式的实现效果
该系统显示界面效果如图6所示,系统实物图如图7所示。远程登录后采集到实验箱效果如图8所示。
五、结论
由于该系统可以在宿舍和学校其他实验室里很方便地使用EDA实验箱,学生能够主动自学EDA技术,因此将极大地激起他们对电子设计的兴趣,鼓励更多学生投入到各种电子设计的比赛中。进一步,在学生学习数字电路技术基础等课程时,他们可以在课余时间利用此系统在EDA实验箱上自己动手设计电路,将所学的知识活学活用到实际中,直观地感受到电路产生的实际效果,这有助于他们更好地理解书本上的知识点,避免了书本和实际的脱离,因此,该教学模式将推动本课程的教学水平和教学质量得到极大地提高。
实际测试结果表明,此硬件共享系统可以满足用户对于不受空间限制地使用实验设备的需要,具有较高的可用性及实用性。针对在登录过程中出现合法用户碰撞登录的问题,本文提出了设置各合法用户使用时间权限的方案,通过登录测试证明此方案的可行性和有效性。与此同时,本教学实验系统也具有一定的局限性,例如用户过多时限制使用时间的分配等。如果可建立更大的网络,将更多的实验室添加到此网络中进行公开,再继续完善登录界面以及用户数据库,则可让社会上更多的人使用到这些实验设备,让实验室资源得到充分利用。本硬件共享系统具有强大的推广、提升潜力和广阔的实际应用前景。[6]
参考文献:
[1]金高松,郑萍,任凤娟,张建刚.基于WebAccess的新型远程实验控制系统研究[J].微计算机信息, 2009(19):41-42,10.
[2]桑托希・潘德.在国际背景下远程教育的规划与管理[J].中国远程教育,2004(11):40-47.
[3]刘外喜,刘文喜,喻萍等.基于在线实验室的教学模式的研究[J].微型机与应用,2011(14):51-53.
[4]Deepak Srinivasa gup ta and Babu Joseph. An Internet-mediated process control laboratory[J]. IEEE Control Systems Magazine, 2003, 23(1):11-18.
关键词:ServU FTP 漏洞 防护
近年来,随着互联网的快速发展,网站大量涌现。目前除专门维护的独立服务器外,绝大多数虚拟主机和Web服务器都采用FTP方式实现数据上传下载。而在所有FTP服务软件中,Serv-U以其操作简单、功能强大而被广泛运用,市场占有率极高。它设置简单,功能强大,性能稳定,支持Windows全系列操作系统。Serv-U使得搭建FTP服务器变得简单便捷。Serv-U不仅完全符合通用FTP标准,也包括众多的独特功能可为每个用户提供文件共享完美解决方案。它可以设定多个FTP 服务器、限定登录用户的权限、登录主目录及空间大小等。此外还支持SSL FTP传输,支持在多个Serv-U和FTP客户端通过SSL加密连接保护您的数据安全等。但是,随着Serv-U的大面积使用,一些攻击者也针对Serv-U开展攻击,暴露出很多严重漏洞。有些漏洞如不加以处理,可以使黑客轻而易举地获取整个服务器的超级管理员帐号,并可以远程开启3389端口并实现远程桌面链接,将服务器完全暴露于人,导致不可挽回的重大损失。本文旨在提出一些切实可行的方法,彻底杜绝由Serv-u带来的安全隐患。
1.Serv-U的提权漏洞分析
Serv-U安装后,在本机有一个默认监听端口,即127.0.0.1:43958。默认情况下这个端口只有在本地才能连接。默认管理账号是LocalAdministrator,默认密码是"#l@$ak#.lk;0@P",这个密码是内置固定的。所以几乎所有的针对Serv-U的攻击木马便是利用此漏洞来添加Serv-U用户的,比如增加一个将主目录指向C盘的全权限管理员用户,就能将服务器的关键目录全部暴露于黑客监控之下。下面我们用一个常用的ASP木马举例说明。
我们知道,在当前绝大多数虚拟主机中,一台服务器上往往存放多个站点,服务器管理员会为每个网站管理员分配一个FTP帐号来实现文件的上传下载。网站管理员凭借FTP帐号可以登录到服务器,并且对其所在的目录拥有全部权限(添加、修改、删除、运行等)。一般情况下,用户无法越过自己所在的主目录,因此网站文件的安全性比较有保障。但是倘若用户上传一个普通Web代码编写的木马程序到FTP目录,并运行之,如果服务器对执行权限限制不足,就会调用SHELL指令实现对系统的操作。比如,网上常见的ASP版的Serv-U提权木马,上传到FTP目录后,运行之后可以轻松添加Serv-U帐号。如下图所示。
提权成功后,攻击者可以直接通过木马执行命令添加操作系统的管理员帐户,并且管理员帐户是隐藏的(在普通windows的用户管理界面中无法发现)。如果成功,用这个帐户远程登录到服务器,创建一个克隆的管理员帐户,将这个账户的名称设置成与系统正常管理员账户相似的名称,如SQLDebugger等,非常具有迷惑性,一般管理员无法发现。攻击者便掌握了整台服务器。
2.Serv-U使用中的安全防护策略
2.1 Serv-U安装中的安全策略
Serv-U安装时安装目录的选择是安全性的第一步。首先不应安装在默认的系统盘目录里,因为此目录极易被猜到。另外,系统盘的权限控制也比较严格,不利于下一步对Serv-U的运行身份进行限制。因此建议安装在自定义的目录中。在安装选择中,Serv-u的用户配置文件有两种方式,一种是存放在注册表,一种是存放在ServUDaemon.ini文件,推荐使用存放在.ini文件里面的方式,这种方式便于Serv-U软件的升级,也便于重装系统后的ftp用户的恢复,在权限设置上也相对方便。本文中我们假设serv-u软件放在的的D:\soft\Serv-U目录里。
2.2 Serv-U的运行权限设置策略
Serv-U安装后,默认以系统用户中的SYSTEM权限运行。这是一个权限极高的用户,如果Serv-U被黑客攻击的手,就可以借助SYSTEM权限进行危险性操作。因此,要给Serv-U单独的、较低的用户权限运行。具体方法是:
(1)在计算机管理中新增帐户ftp,设置用户不能更改密码,密码永不过期,并设置一个复杂的密码,更改ftp用户隶属于权限较低的Guests组(默认是USERS组),也可以设置为不属于任何组。
(2)启动Serv-U(这时是使用默认的system权限运行的),选择本地服务器,自动开始,将Serv-U设置为系统服务,这样服务器在每次重启时Serv-U就会自动启动,这里我们主要利用其可以在服务中配置给Serv-U单独用户。
(3)设置D:\soft\Serv-U目录的权限为只保留administrators,ftp两个用户的权限,权限都是完全控制即可,并将权限应用到所有子目录。
(4) 在计算机管理中找到服务,找到Serv-U FTP 服务器,右键属性,在登录选项卡中将登录身份从本地系统帐户改为此帐户,帐户选择ftp,并输入设置好的密码。确定后会提示将在服务重启后生效,重新启动后,Serv-U就在低权限下运行了,如图所示。
(5)上传目录权限的设置。因为Serv-U是用ftp这个帐户运行的,所以上传的目录给予ftp用户的完全访问权限。比如我们可以设置D、E、F盘的权限为administrators和ftp完全控制的权限,System权限不需要设置,这就实现了在不影响FTP使用的前提下,一定程度上提高了这些目录的安全性。
2.3 Serv-U密码保护策略
针对权限提升等重大漏洞,采用Serv-U密码保护策略能够较好地封堵该漏洞。也就是所有增加删除修改serv-u的用户及更改设置的操作,都需要经过本地密码验证。可能有些管理员认为服务器密码只有本人知道,攻击者无法登录服务器,就无法增加serv-u帐户了,所以就不设置密码,这就埋下了巨大的安全隐患。在Serv-U中设置密码保护非常简单,只需要按照向导完成即可。
另外,通过本文第一节的分析不难看出,Serv-U采用固定的用户名密码作为默认管理帐号是非常不安全的。其实,我们可以通过对Serv-U主程序servUAdmin.exe的反编译,强行修改其默认密码,以保证安全性。方法如下:
用UltraEdit-32打开Serv-U安装目录下的可执行文件servUAdmin.exe ,如图所示,查找关键字“LocalAdministrator”和“#l@$ak#.lk;0@P”,将这两个字符串修改为等长度的字符串保存即可,注意因为我们是对编译后的exe文件进行修改,不能改变其长度,否则程序将出错,因此一定是等长度的。再打开ServUDaemon.exe,重复上述操作,并保证两次修改的内容一致。 经过设置Serv-U本地管理密码和修改Serv-u文件后,通过Web木马虽然也能提示执行命令成功,但实际服务器却没有任何变化,权限提升失败。FTP服务器安全性大大增强。
3.Serv-U的工作模式和防火墙设置
很多管理员可能都发现,在开了防火墙的服务器上利用FTP传输总有这样那样的小问题,传输数据“不够流畅”。究其原因,主要是FTP服务器的工作模式导致的。
3.1 主动FTP模式下的防火墙设置
主动FTP模式是指客户端从一个任意的非特权端口N(N>;1024)连接到FTP服务器的命令端口,也就是21端口。然后客户端开始监听端口N+1,并发送FTP命令“port N+ 1”到FTP服务器。接着服务器会从它自己的数据端口(20)连接到客户端指定的数据端口(N+1)。
在主动模式下,在防火墙设置中必须允许以下通讯才能支持主动方式FTP:任何端口到FTP服务器的21端口 (客户端初始化的连接 S);FTP服务器的21端口到大于1023的端口(服务器响应客户端的控制端口 S->C); FTP服务器的20端口到大于1023的端口(服务器端初始化数据连接到客户端的数据端口 S->C);大于1023端口到FTP服务器的20端口(客户端发送ACK响应到服务器的数据端口 S)。
3.2 被动FTP模式下的防火墙设置
被动模式页脚PASV方式,当客户端通知服务器它处于被动模式时才启用。 在被动方式FTP中,命令连接和数据连接都由客户端,这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个FTP连接时,客户端打开两个任意的非特权本地端口(N >; 1024和N+1)。第一个端口连接服务器的21端口,但与主动方式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P >; 1024),并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。
对于服务器端的防火墙来说,必须允许下面的通讯才能支持被动方式的FTP:从任何端口到服务器的21端口 (客户端初始化的连接 S);服务器的21端口到任何大于1023的端口 (服务器响应到客户端的控制端口的连接 S->C);从任何端口到服务器的大于1023端口 (入;客户端初始化数据连接到服务器指定的任意端口 S);服务器的大于1023端口到远程的大于1023的端口(出;服务器发送ACK响应和数据到客户端的数据端口 S->C)。
4.结语
综上所述,Serv-U作为当前最流行的FTP服务器软件之一,具有很多有点,但也因为软件本身漏洞和使用者安全意识和防范措施不够等原因带来很问题,严重威胁服务器安全。本文根据笔者从事服务器管理的经验,提出了一系列加强FTP服务器安全防范的具体办法,如果能够严格注重以上几点,基本可以实现安全地使用Serv-u。当然,服务器的安全是一个整体,任何地方的疏忽都有可能造成整个服务器的安全隐患,要保证服务器安全,还需要不断从整体上予以强化。
参考文献
[1]如何增强FTP服务器安全性.计算机与网络[J].2007年06期
关键词:视频通信 应用实现 通信技术
随着人们对视频和音频信息的需求愈来愈强烈,追求远距离的视音频的同步交互成为新的时尚。近些年来,依托计算机技术、通信技术和网络条件的发展,集音频、视频、图像、文字、数据为一体的多媒体信息,使越来越多的人开始通过互联网进行各方面通讯,缩短了时区和地域的距离。
一、视频通信概述
视频通信实质上是多媒体技术、计算机网络技术与现代通信技术相结合的产物。它通过多媒体技术和网络通信技术的支持,为不同地域的人们提供了类似与面对面的交流方式,为身处异地的人们提供了一个相互讨论问题并可协同工作的环境,它集计算机的交互性、通信的分布性,以及电视的真实性为一体,具有明显的优越性。
二、视频通信的组成
(一)组成
一个视频通信系统包括节点机和通信网络两部分。典型的会议节点机主要由音/视频获取设备、回放设备、媒体编解码器、通信接口卡和会议功能模块构成。网络部分主要指支持实时多点传输的网关和信道。完整的视频会议系统的逻辑结构模型由六大模块构成:(1)人际交互模块,即视频会议系统的人机界面。(2)会议文档部件,包括会议文档的自动生成、管理和查询等功能模块以及与数据库的接口模块。(3)媒体处理部件,包括音、视频信息的获取、编码、回放等处理模块。(4)共享空间部件,包括共享空间管理模块、电子白板及应用过程共享功能模块。(5)会议管理部件,包括会议的发起、与会人员的管理(加入/退出)、会话建立以及会议结束等处理模块。
(二)软硬件与网络条件
要进行网络视频通信,需要一定的软件和硬件设备作为支撑。
1.所需硬件环境。
要使用网络视频会议,除了要有一台较高性能的多媒体计算机或显示屏外,还需要配备摄像头、麦克风、音箱或耳机等外部设备,其中最主要的设备为摄像头,它是用来进行视频获取的一个重要硬件,摄像头分为模拟摄像头和数字摄像头两大类,前者捕获的为模拟视频信号,需要将其输入到视频捕捉设备进行数字化后方可转换到计算机中使用。而数字摄像头可以直接捕捉影像,然后通过串、并口或者USB接口传到计算机里。
2.所需软件环境。
(1)操作系统软件:目前绝大多数的网络视频会议软件都支持Windows 98/Me/2000/XP/2003系统,另外也可有一些视频会议软件支持在Linux等非Windows系统中运行。
(2)网络视频软件:要进行网络视频会议,必须借助于网络视频会议软件。网络视频会议软件支持点到多点的视频会议应用,即可以在用户之间,也可以实现多个用户进行联机视频会议。
(3)其他软件:音频连接模块、网络交换机、多媒体加速软件、多媒体编码/解码软件等。
3.承载网络。
要在网络视频通信系统中使用视频,用户必须具有可供视频流畅传输的网络链路,也就是说用户必须具有足够带宽的局域网环境和宽带接入Internet的网络环境。
三、视频通信系统的实现
NetMeeting作为一款免费网络电话与协作办公工具,它除了支持视频、音频的实时交流外,还提供了文档与应用程序共享、电子白板和远程桌面共享等多种功能,是一款用于网络视频通信的优秀软件,使用它我们可以轻松的进行网上视频通信。
(一)安装视频软件
首先,检查需要进行视频通信的系统中是否安装了视频软件,如果没有安装,可以通过填加组件的形式进行安装。
(二)连接信息设置
确认NetMeeting已经安装在系统后,单击“开始”>“程序”>“附件”>“通信”>“NetMeeting”命令,启动程序。首次运行NetMeeting,软件会出现一个向导,要求用户信息进行简单的设置,单击“下一步”按钮,输入个人信息。接下来,向导要求用户设置网络连接方式,可以根据具体的网络连接情况选择ADSL、局域网等。单击“下一步”按钮跳过NetMeeting服务器设置,此时向导会要求对计算机声卡和麦克风进行测试。单击“下一步”按钮完成向导之后,即可进入NetMeeting主界面。
(三)开始视频通信
1.新建视频通信。单击“呼叫”“主持会议”命令新建一个视频会议,在弹出的“主持会议”对话框中设置会议名称(不能使用中文名)和密码,然后,将“会议工具”中的“共享”、“聊天”、“白板”、“文件传送”四个复选框全选上,单击“确定”按钮。
2.呼叫主机。建立会议后,与会的计算机即可呼叫主持会议的主机,方法是单击“呼叫”“新呼叫”命令,或单击NetMeeting面板中的“呼叫”按钮,打开发出“呼叫”的对话框,输入IP 地址,并单击“呼叫”按钮即可对主机进行呼叫。
3.接入验证。此时,被呼叫方的计算机中会出现是否应接呼叫的对话框,单击“接受”按钮。然后,拨入方计算机即可登录会议,如果在“主持会议”对话框中设置了会议密码,此时还会弹出一个对话框要求用户提交验证密码。
4.进行视频通信。各个不同地方的参与视频通信的人员,只需要单击主界面中的“开始视频”按钮,即可发送视频流。将发言请求发送到中心站的服务器上,由主会场主持人来确定允许还是否定发言请求,一旦确定可以发言,即可实现通话。
(四)其他功能
NetMeeting界面下方有四个按钮,分别对应了“共享”、“聊天”、“白板”和“文件传送”四项主要功能(这四项功能需要在会议属性中启用,否则在非会议中处于不可用状态):
1.“共享”功能。通过共享功能可以便于同其他会议参加者在获得授权后控制本地主机上的应用软件进行演示与操作。
2.“聊天”功能。单击“聊天”按钮,NetMeeting会弹出一个聊天对话框,可以对所有或某一与会者发送聊天信息。
