技术交流:正确设置“网络连接”属性详解

【明慧网2004年12月30日】
  • 正确设置“网络连接”属性详解

  • 对明慧2004.12.22的文章《上网必须注意的几个安全问题》的补充:

  • 购买二手硬盘的经验

  • 博朗电子书标准文档建立方法

  • 对2004年10月29日《闪画:ZoneAlarm 防火墙设置》的补充意见

  • 正确设置“网络连接”属性详解

    从【控制面板】進入【网络连接】,可以看到计算机中已经安装的网络连接,如“本地连接”等。
    通常 Windows 在安装网络连接时,自动的把“Microsoft 网络”绑定到网络连接上,而“Microsoft 网络”要求网络中的计算机是可靠的,所以安装了“Microsoft 网络”的计算机连接到“Internet 网络”后,就会产生安全问题。
    解决办法就是去掉网络连接上绑定的“Microsoft 网络”,可以从“组件”和“协议”两方面来设置。

    (1)“组件”设置
    打开网络连接的【属性】,如上图,卸载“Microsoft 网络客户端”和“Microsoft 网络的文件和打印机共享”。如果是 Windows 98、Windows Me,需要卸载“Microsoft 家庭登录软件”。
    (2)“协议”设置
    在上图中,如果安装了 IPX/SPX/NetBIOS、NetBEUI 协议,需要卸载。
    另外,通常在 TCP/IP 协议上实现了 NetBIOS 协议,需要去掉。从网络连接【属性】中选中 “Internet 协议( TCP/IP )”,点属性進入 【Internet 协议(TCP/IP) 属性】设置,点高级進入 【高级 TCP/IP 设置】,点 WINS ,禁用 TCP/IP 上的 NetBIOS,如下图。

    需要说明的是,对于每一个连接到“Internet 网络”的网络连接都需要進行安全设置。网络连接安全设置只是安全的一个方面,需要综合各方面因素才能保证上网安全。有条件的同修可以参考书[1],里面还讲了 ZoneAlarm。

    上次同修问 LMHOST 问题,LMHOST 是一个供域名转换用的文件,与安全没有关系。

    希望我们资料点越来越多,越来越好!

    [1] Jerry Lee Ford: Absolute Beginner's Guide to Personal Firewall,One Publishing, 2002。中译本:《个人防火墙》 段云所 等译 


    对明慧2004.12.22的文章《上网必须注意的几个安全问题》的补充:

    上网必须注意的几个安全问题

    1、我使用的系统是windows2000 professional sp4,停止的服务有八项
    1)ClipBook
    2)Indexing Service
    3)NetMeeting Remote Desktop Sharing
    4)Remote Registry Service
    5)Routing and Remote Access
    6)server
    7)TCP/IP NetBIOS Helper Service
    8)Telnet

    2、如果卸载了“Microsoft网络客户端”和“Microsoft网络的文件和打印机共享”,那么server服务也被卸载了。而且也没有了硬盘共享的问题,即没有了共享服务。(请参考随附的同修的文章《正确设置“网络连接”属性详解》)

    3、下面是有关文章,请同修参考:

    windows 2000的服务安全与建议
    中华企业信息港 加入时间 2002-12-19 15:47:00
    加***的项目请特别关注

    在windows2000中,服务基本上是一个在启动时运行的程序,它的运行和任何用户都无关,一台服务器所执行的大多数功能,例如文件共享等都是以服务得形式来运行,而且大多数是以system特权运行的。这样黑客们通过非法的途径利用某个服务获得system特权,那将绝对不是个好事。当然喽!你可以对每个服务单独创建管理权限,但我想大多数管理员都没有这个空闲吧。因为服务项目实在是太多了。因此,了解每个win2000的服务,并禁止一些不必要的,能让你的服务器更加安全喔。

    下面是一些大略的介绍:

    1:Alerter
    服务方向: 负责向用户通报管理警报。该服务和Mesenger服务一起工作,后者接收并路由前者的信息。
    可执行文件:%systemRoot%\system32\services.exe
    风险:潜在可能导致社会工程攻击
    建议:将Alerter服务发出的警告限定为只由管理员接收。

    2:Application Management
    服务方向:提供和active directory之间的通信。通过group policy(组策划)来指定,发布并删除在系统中安装的应用程序。
    可执行文件:winnt\system32\services.exe
    风险:无
    建议:非组策略使用应用程序,最好禁用该服务。

    3:Boot Information Negotiation Layer
    服务方向:与Remote Installation Service(RIS)一起使用。除有需要通过RIS安装操作系统,否则不要运行。
    可执行文件:winnt\system32\services.exe
    风险:无

    ***4:Browser
    服务方向:负责保存网络上的计算机列表,并将该列表提供给那些请求得到该列表的程序。
    可执行文件:winnt\system32\services.exe
    风险:暴露有关网络的信息
    建议:禁止

    ***5:Indexing
    服务方向:负责索引磁盘上的文档和文档属性,并且在一个目录中保存信息,使得你在以后可以搜索它们。
    可执行文件:winnt\system32\services.exe
    风险:其为IISweb服务器上诸多安全弱点的根源
    建议:除非特别需要,否则禁止。

    ***6:ClipBook
    服务方向:ClipBook支持ClipBook Viewer程序,该程序可以允许剪贴页被远程计算机上的ClipBook浏览,可以使得用户能够通过网络连接来剪切和粘贴文本和图形。
    可执行文件:winnt\system32\Clipsrv.exe
    风险:潜在被非法用于远程访问ClipBook剪贴页面
    建议:禁止

    ***7:Distributed File System
    服务方向:允许创建单一逻辑盘。文件分布在网络上不同位置。
    可执行文件:winnt\system32\Dfssrc.exe
    风险:暂无已知风险
    建议:禁止

    8:DHCP client
    服务方向:通过注册和更新IP地址和DNS域名来管理网络配置。
    可执行文件:winnt\system32\services.exe
    风险:无已知风险
    建议:为服务器分配一个静态IP

    9:Logical Disk Manager Administrative
    服务方向:用于管理逻辑盘
    可执行文件:winnt\system32\dmadmin.exe
    风险:暂无已知风险
    建议:将服务的启动类型设为手动(Manual)

    10:Logical Disk Manager
    服务方向:该服务为 Logical Disk Manager Watchdog 服务,负责管理动态磁盘的服务。
    可执行文件:winnt\system32\services.exe
    风险:无已知风险
    建议:系统运行时需要,保持默认得自动启动

    11:DNS Server
    服务方向:负责解答DNS域名查询。
    可执行文件:winnt\system32\dns.exe
    风险:无已知风险
    建议:因其通常是导致许多安全性弱点的根源。该服务应谨慎使用。

    12:DNS Client
    服务方向:用于缓存DNS查询来进行记录。可用于某个入侵检测系统的DNS查询,可加速DNS查询的速度。
    可执行文件:winnt\system32\services.exe
    风险:无已知风险。但攻击者可以查看你的缓存内容,确定你所访问过的网站。命令行形式为(ipconfig/displaydns)
    建议:可停可不停

    13:Event Log
    服务方向:Event Log服务负责记录来自系统和运行中程序的管理事件消息。虽然该服务功能有限,并具有一些小问题,但是该服务可以用于入侵检测和系统监视。
    可执行文件:winnt\system32\services.exe
    风险:无已知风险
    建议:该服务应该被启动,尤其是在独立服务器上。

    14:COM+Eent System
    服务方向:提供自动事件分布功能来订阅COM组件。
    可执行文件:winnt\system32\svchost.exe -k nesvcs
    风险:无已知风险
    建议:如果该服务不需要已安装的任何程序所使用,你可以禁用COM+Event System 和 System Event Notification服务。

    15:Fax
    服务方向:它负责管理传真的发送和接收。
    可执行文件:winnt\system32\faxsvc.exe
    风险:无已知风险
    建议:对于服务器而言,不需要也不建议使用该服务,除非该服务器专门被指定为用做一个传真服务器。

    16:Single Instance Storage Groveler
    服务方向:该服务和Remote Installation服务一起使用。扫描单一实例存储卷来寻找重复的文件,并将重复文件指向某个数据存储点以节省磁盘空间。
    风险:无已知风险
    建议:除非你需要使用 Remote Installation 服务,否则请停止它。

    17:Internet Authentication Service
    服务方向:用于认证拨号和VPN用户。
    可执行文件:winnt\system32\svchost.exe -k netsvcs
    风险:无已知风险
    建议:显然除了在拨号和VPN服务器上。该服务不应该使用,禁止。

    ***18:IIS Admin
    服务方向:IIS Admin服务允许通过Internet Services Manager MMC程序面板来对IIS服务进行管理。
    可执行文件:winnt\system32\inetsrv\inetinfo.exe
    风险:无已知风险
    建议:如果服务器正在运行Inetrnet服务,则该服务是需要的;如果没有运行任何Inetrnet服务,则应当从Control Panel,Add and Remove Programs中卸载Internet Information Server,这样IIS Admin服务也将被卸载。

    19:Intersite Messaging
    服务方向:Intersite Messaging服务和Active Directory replication一起使用。
    可执行文件:winnt\system32\ismserv.exe
    风险:无已知风险
    建议:除了Active Directory服务器之外,不需要也不建议使用该服务。

    20:Kerberos Key Distribution Center
    服务方向:这是个域服务,提供了Kerberos认证服务(AS Authentication Service)和票证授予服务(TGT,Ticket-Granting Service)。
    可执行文件:winnt\system32\lsass.exe
    风险:没有已知风险
    建议:Kerberos Key Distribution Center服务和位于某个域控制器是的Active Directory一起工作的,而且不能被停止。除了在域控制器上,该服务不应该在其他计算机上运行。

    ***21:Server
    服务方向:该服务提供RPC支持以及文件,打印和命名管道共享,Server服务是作为文件系统驱动器来实现的,可以处理I/O请求。
    可执行文件:winnt\system32\services.exe
    风险:如果没有提供适当的用户保护,会暴露系统文件和打印机资源 NetMeeting Remote Desktop Sharing
    建议:除非你打算在windows网络上共享文件或打印机,否则不需要运行该服务。
    (附言:对于2000而言,这个是一个高风险服务。2000的用户多知道默认共享吧,就是该服务的问题。如果不禁止,每次注销或开机,默认共享就会打开,你的所以重要信息都将暴露。例如winnt文件夹,大家都应该知道他对于2000的重要,除非你的密码够安全,否则这个共享将是你机子的死穴!!!)

    ***22:Workstation
    服务方向:该服务提供网络连接和通信。该服务以一个文件系统驱动器的形式工作,并且可以允许用户访问位于windows网络上的资源。
    可执行文件:winnt\system32\services.exe
    风险:一些独立服务器,例如web服务器,不应当参与到某个windows网络中。
    建议:该服务应当只在位于某个内部网络,并受到某个防火墙保护的工作站和服务器上运行,在任何可以连接到Internet的服务器上都应该禁用这个服务。

    23:TCP/IP打印服务器
    服务方向:该服务允许远程UNIX用户通过使用TCP/IP协议来访问由某个windows2000服务器所管理的打印机。
    可执行文件:winnt\system32\tcpsvcs.exe
    风险:具有一些安全性弱点,并打开一个监听端口。
    建议:该服务具有一些安全性弱点,因为打开了一个到internet的端口。因此,除非网络通过防火墙与Internet隔离开,否则不要使用该服务。

    24:License Logging
    服务方向:该服务负责管理某个站点的许可协议信息。
    可执行文件:winnt\system32\llssrv.exe
    风险:没有已知风险
    建议:除了在域控制器上,其它计算机不应当使用该服务。

    ***25:TCP/IP NETBIOS Helper
    服务方向:该服务允许在TCP/IP网络上进行NETBIOS通信。
    可执行文件:winnt\system32\services.exe
    风险:暴露出系统中的netBIOS安全性弱点,例如NTLM认证。
    建议:除非你需要和一个旧版本的windows保持兼容,否则应当禁止该服务。

    26:Messenger
    服务方向:Messenger服务负责发送和接收由管理员或Alerter服务所传递的消息。
    可执行文件:winnt\system32\services.exe
    风险:没有已知风险
    建议:该服务不需要而且应当被禁用。

    ***27:NetMeeting Remote Desktop Sharing
    服务方向:该服务允许授权用户通过使用NetMeeting来远程访问你的Windows桌面。
    可执行文件:winnt\system32\mnmsrvc.exe
    风险:是一个具有潜在不安全性的服务。
    建议:该服务应当被禁止,因为它是会导致潜在地安全性弱点的。你可以使用Terminal服务来代替该服务用于远程桌面访问。

    28:Distributed Transaction Coordinator
    服务方向:微软的Distributed Transaction Coordinator服务(MS DTC)可以借助OLE Transactions协议来提供一个事务(Transaction)协调工具,可以协调分布于两个和多个数据库,消息队列文件系统和其他事务保护(trasaction protected)资源管理器的事务。
    可执行文件:winnt\system32\msdtc.exe
    风险:没有已知风险
    建议:无需禁止

    ***29:FTP Publishing
    服务方向:文件传输协议不是一种安全的协议。如果不进行适当地保护,FTP Publishing服务将大来很多的安全性风险。
    可执行文件:winnt\system32\inetsrv\inetinfo.exe
    风险:微软的FTP Server没有已知风险。但一般而言,FTP是已知不安全的服务。
    建议:除非你需要通过FTP来提供文件共享,否则该服务应当被禁止。如果需要,请谨慎的对其进行保护和监视。

    30:Windows Installer
    服务方向:负责管理软件的安装。改服务对于安装和修复软件应用程序时很有用的。
    可执行文件:winnt\system32\msiexec.exe/V
    风险:无已知风险
    建议:保留

    31:Network DDE
    服务方向:该服务提供动态数据交换(DDE,Dynamic Data Exhange)数据流传输和安全性。
    可执行文件:winnt\system32\netdde.exe
    风险:通过网络接受DDE请求
    建议:对于大多数应用程序而言,Network DDE是不需要的,你应当将它设置为手工启动。

    32:Network DDE DSDM
    服务方向:该服务保存一个共享对话(shared conversation)数据库,这样当某个Network DDE共享被访问时,共享会话将被应用,并且安全性检测系统将确定请求这是否被允许访问。
    可执行文件:winnt\system32\netdde.exe
    风险:没有已知风险
    建议:该服务应当设置为手工启动

    ***33:Net Logon
    服务方向:支持为域中计算机进行的帐号登录事件的传递认证(pass-through authentication)。
    可执行文件:winnt\system32\lsass.exe
    风险:可以用于对强力密码攻击进行传递
    建议:该服务不应当在那些不作为域中一部分的独立服务器上使用,禁止。

    34:Network Connections
    服务方向:该服务负责管理Network and Dial-Up Connections文件夹中的对象。该文件夹中你可以看到局域网和远程连接。
    可执行文件:winnt\system32\svchost.exe -k netsvcs
    风险:没有已知风险
    建议:由于该服务在需要时将自己启动,因此可以设置为手动启动。

    35:Network News Transport Protocol(NNTP)
    服务方向:用于提供一个新闻服务器服务,例如USENET.
    可执行文件:winntsystem32\inetsrv\inetinfo.exe
    风险:没有已知风险
    建议:NNTP服务器应当安装在一个DMZ网络中。而且应当像其他网络服务。例如FTP,Nail和Web服务那样来对待。不建议在私有网络上配置NNTP服务器,任何位于某个内部网络上的服务器应当卸载或禁用NNTP服务。

    36:File Replication
    服务方向:file replication服务(FRS)可以跨域中的服务器来进行文件,系统策略和登录脚本的复制,该服务还可以用于为分布式文件系统(DFS, Distributed File System)复制数据。
    可执行文件:winnt\system32\ntfrs.exe
    风险:没有已知风险
    建议:它在多个服务之间维护文件目录内容的文件同步,保持原状。


    购买二手硬盘的经验

    市场上的二手硬盘,一般都是修复过的,很多磁道读写很慢,很容易上当。

    最近我看到许多盗版可直接启动光盘的启动菜单中有“硬盘坏道修复器HDDSPEED”工具,选中回车,进入主菜单,按“ALT+P”选“GRAPHS”再选
    “LINEAR VERIFY SPEED”回车,就开始对硬盘测试,只要曲线不是大幅度波动,不超过两个方框,就算可以了。

    二手硬盘一定要用软件检测,否则就买新的算了。


    博朗电子书标准文档建立方法

    我们地区很多同修使用博朗电子书,但大多数同修尚未掌握电子书文档建立方法,有的直接用Word文档或txt(纯文本)文档或HTML文档進电子书,造成大法经书在电子书中文章结构混乱,主要有以下几种表现

    (1)直接用Word文档或txt(纯文本)文档進电子书,整篇经书不分段。

    (2)直接用HTML文档進电子书,出现双题目、某些或全部阿拉伯数字(例如99•7•20)或特殊标点符号(如……——:?!“”等等或其它情况下)乱分段,一个阿拉伯数字就可能独占一行

    可能其它地区也存在类似情况,其实方法很简单,现将自己摸索掌握的方法向同修推荐如下,若其他同修有更好的办法,请帮助完善。

    1、标准文档建立

    (1)直接下载HTML或CHM格式文档。若是CHM格式文档,要复制全文,然后用Microsoft FrontPage重新制作HTML网页。

    (2)打开做好的HTML网页,再打开“查看”,在“查看”中打开“源文件”,然后首先删掉在源文件顶部之上×××××中的××××(××××即为电子书中重复的标题)。然后,向下查阅源文件的全文,删掉所有的小写数字(例如99•7•20)或特殊标点符号(如……——:?!“”等等或其它情况下)与其前、后字符间的一串符号(如<b>、<p>等),此串符号即为上、下分段符。这些分段符若不删掉则在所有分段符处自行分段。例如《2004年纽约国际法会讲法》解法部分中所有的“师:”前面均有“<b>”符号,结果是电子书中所有的“师:”均独占一行。不分段的文字之间应没有任何其它符号,就像纯文本文档一样。

    (3)HTML网页也可象Word文档一样编辑,方法是:打开Microsoft FrontPage,然后用“文件”中“打开”,选择要编辑的HTML网页进行编辑。

    (4)在“源文件”状态下也可编辑。但一定要注意:有时要替换某一字符,会把该字符后的1~2个字符一起替掉,有时不会。

    2、用Word文档转HTML网页

    方法同上,但有的文档分段符等符号特别多,不但费时费力,且文档内存为标准文档的两倍甚至更大。若直接用Word文档或txt(纯文本)文档進电子书,则整篇文档不分段。

    3、目前博朗电子书660、600、300(外形大的那种)三种型号中,660型所有的文字均能自动显示;600型已由同修解决了 “進”字显示问题,但“卍”和“槃”字不能显示,需用汉语拼音代替;300型上述3个字均不能显示,需用汉语拼音代替。目前600型已被660型取代。


    对2004年10月29日《闪画:ZoneAlarm 防火墙设置》的补充意见

    首先应该感谢闪画的作者,使我对 ZoneAlarm 防火墙的具体设置有了進一步的了解,以前我只是使用默认的安全级别。可能是缘份所致,我手头的一个和该文中用的 ZoneAlarm 版本号完全相同:4.5.538.001;后来我发现该文有漏:

    1. 打开 ZoneAlarm 自带的帮助文件(点程序界面右上角的Help),依次展开“Firewall protection”、“Blocking and unblocking ports”,看了“Default port permission settings”和“Adding custom ports”下的说明后,我认为:闪画中把所有端口全部封住其实是在中级安全设置的基础上再加强;闪画在“Firewall”一项中设置的整个过程就相当于把 Internet Zone 和 Trusted Zone 的安全级别设为 High 以后,再取消“Allow broadcast/multicast”。如果是 Windows 9x,还取消了“Allow outgoing DHCP (UDP port 67) ”。

    换句话说,只要把安全级别都设为 High 以后,那些端口都无需再封。

    对允许通过防火墙的软件,可通过封住的端口。

    2. 闪画讲到选上“Hide my IP address when applicable”可以使“隐藏我的ip,这样别人ping不到你了”,我认为不妥。可能是作者没有注意到它的前提:“Contact with Zone Labs”和“Whenever I request info from Zone Labs:”,也就是“在与Zone Labs网站联系时”和“任何时候我从Zone Labs 请求(获取)信息时”,在这种情况下“如果可能的话隐藏我的 IP”,换句话说就是:“尽量不向 Zone Labs 暴露我的 IP”。

    当然在该选项打勾可能会更安全,但选上该项后与“隐藏我的ip,这样别人ping不到你了”没有必然的因果关系,根据 ZoneAlarm 自带的帮助文件,无论选不选该项,只要设置好以下选项:Firewall ->Main 把 Internet Zone 和 Trusted Zone 的安全级别设为 High ,即 Stealth 模式,别人就 ping 不到你。

    以上如有错误请及时慈悲指正!

    其实以上问题也不算大,我为什么要写出此文呢?

    几年前,我曾经教过几个人上网,我是按照明慧网当时的一些文章介绍的先找代理服务器,再上二次加密代理,然后上明慧网的做法。

    而我在此之前都是通过 www4mail 和 agora 获取网络文件的,例如2000年时师父的四本新书我就是通过这种方法得到然后打印出来的(以上二者与 article@goodarticle.org 的原理相同)。后来我才开始用上面讲到的用代理服务器的方法,我当时看那些技术文章也没有仔细看,在给 IE 设置代理服务器的时候,只是设置了局域网的代理,然而当时大家却都是通过56k的Modem拨号上网的,那么,辛辛苦苦找来的代理其实根本就没有用上,而是直接通过加密代理上明慧网,甚至直接上的是明慧的加密网站。而我却是在这次从劳教所出来,看到了“轻舟网”的文章“通过Stunnel + OpenSSL + Privoxy 建立加密Http代理服务器及客户端”一文以后才知道自己错误的,大家也能够想象得到,当时我陷入了深深的自责和悔恨当中!

    就在自己还用不好的时候我还把它教给了别人,事后大概一、两个月,他们都反映上明慧网上不去,而我当时连 www4mail 和 agora 的方法也想不起来用。

    后来跟我学上网的人中,除了几个人我不知道他们的情况外,其余全部被抓。

    虽然从当时的表面现象来看,事情发生的起因好像不在我这,但通过学法我认识到,当时的事情是针对我们的整体发生的,我的错误是资料点出事的原因之一!

    最后祝愿大家能吸取我的教训,在今后能更仔细一些,最终达到圆满无漏!