時間:2022-02-06 01:17:33
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇遠程桌面連接命令,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
程序同步關閉
小張是單位網絡管理員,平時經常使用遠程桌面連接程序,管理幾臺Windows 2003服務器。最近,在遠程管理某服務器過程中,小張碰到了一個很奇怪的問題,每次遠程啟動服務器中的特定程序,再切斷遠程桌面連接之后,先前已經開啟運行的程序也會跟隨遠程連接同步關閉。按照常規來說,只要服務器系統不被注銷或沒有重啟,那么單純切斷遠程桌面連接,服務器中的特定程序仍然會處于運行狀態,并不會自動關閉運行。
由于管理其他Windows 2003服務器時都很正常,小張懷疑故障服務器中的遠程桌面參數配置不正確。首先他在服務器中用鼠標右擊“我的電腦”圖標,執行快捷菜單中的“管理”命令,將鼠標定位到計算機管理窗口中的“用戶和用戶組”|“用戶”節點上,選中遠程連接時使用的administrator帳戶,打開該賬戶的屬性對話框。進入會話選項設置頁面,小張看到了“活動會話限制”、“結束已斷開的會話”、“空閑會話限制”等參數,發現這些參數使用的都是默認設置,這說明服務器定程序同步關閉問題,與administrator帳戶的權限設置沒有關系。
其次小張檢查了服務器的終端服務配置。在進行該檢查時,依次點擊“開始”|“程序”|“管理工具”|“終端服務配置”命令,進入終端服務配置界面,在這里主要檢查兩個參數,那就是看看“活動桌面”設置是否處于啟用狀態,檢查終端服務器模式有沒有被設置成“應用程序服務器”。經過檢查,小張看到這些配置也是正確的。
在終端服務配置界面中,小張選中了“連接”選項,執行RDP-TCP連接右鍵菜單中的“屬性”命令,進入針對遠程連接服務的屬性對話框,在這里小張也看到了“活動會話限制”、“結束已斷開的會話”、“空閑會話限制”等參數,只是發現“結束已斷開的會話”參數沒有使用默認設置,而是被設置成了“1分鐘”,其他幾項參數仍然使用的是默認設置,如圖1所示。會不會是由于這項設置造成了特定程序同步關閉問題呢?小張嘗試將“結束已斷開的會話”參數設置為“從不”后,重新啟動了服務器系統,啟動成功后又進行了相關測試操作,結果發現服務器定程序同步關閉問題已經消失。
事后,經過仔細分析,小張發現Windows 2003服務器“終端服務配置”界面中的設置優先級,要高于系統管理員帳號屬性界面中的參數設置,當在“終端服務配置”界面中選中了“替代用戶設置”后,服務器系統會優先以這里的配置控制遠程桌面連接,從而引發了上面的故障問題。
登錄憑據失效
在相對安全的內網工作環境中,為了提高遠程管理效率,不少管理員在利用遠程桌面連接程序管理服務器主機時,都會選擇存儲服務器系統登錄密碼。可是,當局域網從工作組模式變成域模式時,再嘗試利用遠程桌面連接程序遠程管理服務器,系統會彈出“憑據不工作”之類的錯誤提示,那么如何在遠程桌面連接過程中,繼續調用以前的憑據信息,以提高工作效率呢?要做到這一點,可以進行如下設置操作:
首先以超級用戶權限登錄已經添加到特定域的客戶機中(該客戶機必須支持憑據管理功能),依次點擊“開始”|“運行”命令,彈出系統運行對話框,輸入“gpedit.msc”命令,單擊“確定”按鈕后,展開對應系統組策略編輯界面。
其次在該界面左側列表中,逐一展開“本地計算機策略”|“計算機配置”|“管理模板”|“系統”|“憑據分配”分支,找到目標分支下的“允許分配保存的憑據用于僅NTLM服務器身份驗證”選項,用鼠標雙擊該選項,打開如圖2所示的選項設置對話框。
接著檢查“已啟用”選項是否處于選中狀態,如果發現其沒有被選中時,應該重新選中它,同時按下“顯示”按鈕,切換到如圖3所示的顯示內容對話框,在這里輸入“TERMSRV /*”關鍵字,確認后保存設置操作,再將客戶機系統重新啟動一下,這樣遠程桌面連接程序就能繼續使用以前的憑據內容,來對遠程主機進行管理維護操作了。
遠程連接緩慢
某筆記本電腦使用的是Windows 7旗艦版系統,平時工作很正常。可是,在該系統中嘗試通過遠程桌面工具,與局域網中的Windows 2003服務器建立連接后,發現向服務器上傳一個尺寸不大的文件時,竟然要耗費幾秒鐘時間,當然有的時候,文件上傳速度卻很正常。
起初,筆者還以為Windows 2003服務器感染了病毒或木馬,經過病毒查殺和木馬清除操作后,發現服務器系統沒有遭到病毒木馬的攻擊。而且在安裝了Windows XP系統的客戶機中,使用遠程桌面連接程序,向服務器上傳相同文件時,速度非常正常,這就證明服務器的工作狀態沒有問題。
后來,經過上網查詢相關問題,了解到這種問題多半是Windows 7旗艦版系統開啟了網絡調諧功能引起的,微軟公司開發該功能的本意,是為了讓Windows系統依照網絡的實際傳輸性能,來智能改善數據傳輸大小,以達到對網絡性能進行動態優化目的。不過,在特殊場合下,例如,Windows 7系統所在計算機的網卡設備對該功能支持不好時,網絡調諧功能反而會影響遠程連接程序的穩定工作。后來,筆者逐一點選“開始”|“所有程序”|“附件”選項,用鼠標右鍵單擊下級菜單中的“命令提示符”,執行快捷菜單中的“以管理員身份運行”命令,進入DOS命令行狀態,輸入字符串命令“netsh interface tcp set global autotuninglevel=disabled”,單擊回車鍵后,返回如圖4所示的結果信息,停用網絡調諧功能,之后筆者再次從Windows 7旗艦版系統遠程連接服務器,測試文件傳輸操作,結果看到文件傳輸速度已經恢復正常了,進行其他操作時,也和平時一樣正常了。
所以,日后大家再次遇到相同類型網絡故障時,在對網絡配置、物理連接等因素排查后,應該仔細檢查客戶機的網絡調諧功能處于什么狀態,要是看到該功能已被開啟時,不妨嘗試停用這個功能,說不定相關問題就能自行解決了。
遠程登錄失敗
最近,小王從一臺Windows XP客戶機中,準備利用系統自帶的遠程桌面連接程序,登錄保存了共享資源的Windows 7客戶機中,可是輸入系統管理員級別的登錄賬號后,登錄操作也不能成功,嘗試使用相同的賬號在Windows 7客戶機本地進行登錄時,登錄操作很正常,這是怎么回事呢?
出現這種遠程登錄問題,很可能是Windows 7系統開啟了網絡級身份驗證功能,微軟公司開發該功能的本意,是為了限制那些安全漏洞多、性能不安全的低版本操作系統任意接入,而Windows XP客戶端系統恰好處于該限制之列,這時候,低版本系統無論使用什么賬號進行遠程桌面登錄,都不會操作成功。
要想成功解決遠程桌面登錄失敗問題,只要簡單地在Windows 7客戶機中,臨時關閉系統的網絡級身份驗證功能即可。在進行這項操作時,首先以系統管理員權限在本地登錄Windows 7系統,用鼠標右鍵單擊系統桌面上的“計算機”圖標,執行右鍵菜單中的“屬性”命令,進入系統屬性對話框,按下左側列表區域中的“遠程設置”按鈕,切換到如圖5所示的遠程設置對話框。
在“遠程桌面”設置項處,檢查“僅允許運行使用網絡級別身份驗證的遠程桌面的計算機連接(更安全)”選項是否處于選中狀態,如果發現其已經被選中時,那就確認上面的問題是由網絡級身份驗證功能引起的,此時必須選中“允許運行任意版本遠程桌面的計算機連接”選項,確認后就能讓Windows XP客戶機順利通過遠程桌面連接程序登錄進入Windows 7客戶機了。
無法傳輸文件
很多人利用遠程桌面連接程序登錄對方主機后,主要的操作就是傳輸文件,可有的用戶打開對方主機系統的計算機窗口后,根本就無法從計算機硬盤分區中拷貝文件到本地計算機,這樣遠程桌面連接雙方就不能相互傳輸交流文件,這是怎么回事呢,對于這種遠程連接問題,我們又該怎樣去解決呢?
之所以遠程桌面連接雙方不能相互傳輸文件,多半是本地計算機的遠程桌面連接程序沒有啟動運行磁盤映射功能,要是不運行該功能,那么對方主機中的所有磁盤分區,將不能自動被映射成為本地計算機的硬盤分區。如果想恢復文件的交流傳輸功能,不妨進行下面的設置操作,來打開本地計算機遠程桌面連接工具的磁盤映射功能:
首先在本地計算機系統中,依次點擊“開始”|“所有程序”|“附件”|“遠程桌面連接”選項,切換到遠程桌面連接設置框,按下“選項”按鈕,彈出遠程桌面設置區域。點擊“本地資源”標簽,進入如圖6所示的標簽設置頁面。
其次在“本地設備和資源”位置處,按下“詳細信息”按鈕,在其后界面中,看看“磁盤驅動器”、“剪貼板”等選項有沒有被選中,如果發現這些選項還沒有被選中時,只要及時重新選中它們,點擊“確定”按鈕后,遠程桌面連接的磁盤映射功能就被運行成功了。日后,再次遠程桌面連接到對方主機時,用戶就能在本地計算機的硬盤分區列表中,發現對方主機中的所有磁盤分區“身影”了,此時利用復制、粘貼操作,就可以在遠程桌面連接雙方交流傳輸文件了。
超出鏈接數量
某日,張蕾通過客戶機的遠程桌面連接程序,登錄到局域網的Windows 2003終端服務器時,系統彈出了“終端服務器超出最大允許鏈接數”的錯誤提示,由于平時使用遠程桌面連接程序次數不多,張蕾對于這樣的錯誤提示,幾乎是一頭霧水,不知道如何解決才好。
大家知道,終端服務默認允許的鏈接數量為2個。當成功利用遠程桌面程序登錄服務器系統后,要是不執行注銷操作退出,而是直接將遠程桌面連接窗口關閉掉,那么服務器系統并沒有切斷遠程桌面連接會話,而是將它仍然保留在服務器端,如此一來,有限的鏈接數量會被白白消耗,當該數量超過服務器系統的最大上限值時,就會自動彈出上面的錯誤提示。要想解決上面的問題,只要按如下操作設置Windows 2003服務器系統的組策略參數,將終端服務器最大允許鏈接數適當提高一些:
首先以超級用戶權限登錄Windows 2003服務器系統,依次點擊“開始”|“運行”命令,彈出系統運行對話框,輸入“gpedit.msc”命令,單擊回車鍵后,展開系統組策略編輯界面。在該界面的左側列表中,逐一展開“本地計算機策略”|“計算機配置”|“管理模板”|“Windows組件”|“終端服務”分支。
其次找到目標分支下的“限制連接數量”組策略,并用鼠標雙擊該選項,打開如圖7所示的選項設置對話框,選中“已啟用”選項,激活“允許的最大連接數”設置項,輸入合適的連接數量,最后點擊“確定”按鈕保存設置操作即可。
當然,也可以通過調整Windows 2003終端服務器的終端服務配置來解決問題。只要依次點擊“開始”|“設置”|“控制面板”命令,雙擊系統控制面板窗口中的管理工具圖標,進入終端服務配置界面,選擇“連接”選項,雙擊右側列表中的“RDP-Tcp”,展開RDP-Tcp屬性對話框,選擇目標網卡設備,在這里可以將遠程桌面連接設置為無限制的連接數。不過,該數值不也能設置得太大,不然的話,會消耗太多的系統資源。同時,還要進入RDP-Tcp屬性對話框中的會話標簽設置頁面,選中“替代用戶設置”選項,將“結束已斷開的會話”參數設置為一個合適的時間,比方說10分鐘左右。
此外,在遠程桌面鏈接數量受到限制的情況下,還應該善于使用注銷操作,來徹底切斷遠程桌面連接會話,以節省寶貴的連接資源。在進行這項操作時,可以逐一點擊“開始”|“運行”選項,切換到系統運行對話框,輸入“cmd”命令并回車后,進入MS-DOS窗口,在該窗口命令行中輸入“quser”命令,從返回的結果信息中(如圖8所示),記錄下目標遠程連接的ID信息,再輸入“logoff x”命令即可,這里的“x”就是目標遠程連接的ID編號。
連接命令丟失
為了遠程調試單位的服務器系統,筆者準備利用本地客戶機的遠程桌面連接程序,與服務器主機建立控制連接,可是打開系統“開始”菜單后,怎么也找不到遠程桌面連接命令,難道該命令被意外刪除了,筆者該怎樣才能將其恢復正常呢?
(課程階段:計算機網絡基礎)
**********************************************************************************
目
的
要
求
(1)理解遠程登錄的工作原理;
(2)掌握遠程登錄的設置方法;
(3)熟悉遠程桌面的使用方法;
(4)理解端口的含義。
實
驗
原
理
遠程登錄原理及端口與應用的關系。
實
驗
環
境
PC機一臺,Windows
XP系統
實
驗
方
案
設
計
(1)進行遠程登錄設置;
(2)遠程登錄對方計算機;
(3)啟動遠程桌面應用并登錄到遠程計算機。
本次實驗運用Windows系統,在Windows系統中進行配置,實現遠程操作。
實
驗
過
程
一、進行遠程登錄設置
1.首先需在電腦中安裝好SecureCRT
8.0工具,然后雙擊桌面的SecureCRT
8.0圖標,打開SecureCRT
8.0工具。
2.
進入到SecureCRT
8.0界面,然后點擊菜單欄的“File”。
3.
在彈出的File下拉菜單中選擇“Quick
Connect”。
4.
然后再進入的Quick
Connect對話框中的protocol欄選擇協議,如圖選中telnet。
5.
然后在Hostname欄中輸入需要登錄的IP地址,輸入完成之后點擊“connect”連接。
6.
遠程Telnet登錄成功,進入到登錄界面。
7.
輸入登錄名稱、登錄密碼、進入全局模式,之后可以輸入命令。
二、遠程登錄對方計算機
1.
為了保護用戶安全,我們的系統默認的telnet服務是關閉的,所以為了使用telnet,我們必須先打開telnet服務。
2.
選擇控制面板-管理工具-服務-找到telnet服務。
3.
單擊telnet,點擊啟動。
4.
進入cmd界面,輸入命令telnet,輸入命令“o“,然后輸入要連接的遠程計算機IP地址。
三、啟動遠程桌面應用并登錄到遠程計算機
1.
使用鼠標右鍵“計算機”圖標,選擇“屬性”打開。
2.
在打開的系統窗口右側點擊“遠程設置”按鈕,勾選“允許遠程協助連接這臺計算機”。接著在下面選擇“運行運行任意版本遠程桌面的計算機連接”,點擊確定進入下一步。
3.
進入”用戶賬戶“選項后,點擊”為您的賬戶創建密碼“選項,進入下一步。
4.
在文本框內輸入你要設置的密碼,然后點擊創建密碼即可。
5.
windows
10
遠程桌面連接密碼設置完成后,我們開啟另外一臺電腦。點擊開始按鈕,在附件中選擇遠程桌面連接選項,進入下一步。
6.
在彈出的對話框中輸入需要進行windows
10
遠程桌面連接的計算機的IP地址,然后點擊“連接”,進入下一步。
7.
在新彈出的窗口中輸入已經設定好的賬戶和密碼,點擊“確定”即可。
結
果
分
優盤裝不了大容量文件
將保存在計算機系統中的文件,拷貝到優盤之類的USB設備中,可以說操作很簡單,只要用鼠標將目標文件從計算機硬盤中拖放到優盤中即可。可是,最近小張卻遇到難題了,他想用優盤到同事的計算機中復制一個3GB左右的高清電影時,卻怎么操作都不成功。同事說他的優盤可能使用了不合適的分區格式,必須使用NTFS分區格式,才能支持2GB以上大小的文件傳輸。小張認為這不是多大難事,恰好自己的優盤沒有保存重要數據,直接使用NTFS分區格式對優盤進行格式化,不就解決問題了嘛!
想到做到,小張立即將優盤插入到同事的Vista系統中,雙擊系統桌面上的“計算機”圖標,用鼠標右鍵單擊其后界面中的優盤分區圖標,選擇右鍵菜單中的“屬性”命令,切換到優盤設備屬性對話框,點擊“常規”標簽,在對應標簽頁面中發現優盤當前的分區格式真的是FAT32文件系統。返回優盤的右鍵菜單,執行“格式化”命令后,看到格式化對話框的“文件系統”位置處,只有FAT、FAT32這兩種分區格式,而沒有自己熟悉的NTFS分區格式。那怎樣才能將優盤格式化成NTFS分區格式,從而成功復制大容量文件呢?
幾番嘗試后,小張一臉茫然,不知道如何是好。毫無頭緒之際,用手機將筆者呼了過來。經過一陣摸索,筆者很輕松地解決了問題,下面就是具體解決問題的步驟:
首先進入Vista系統的計算機窗口,找到優盤分區圖標,并用鼠標右鍵單擊該圖標,執行右鍵菜單中的“屬性”命令,進入優盤設備的屬性對話框,點擊“硬件”標簽,切換到如圖1所示的標簽設置頁面。
其次在“所有磁盤驅動器”列表中,選中與目標優盤設備相對應的名稱,按下“屬性”按鈕,展開優盤硬件屬性設置框,選擇“策略”標簽,展開策略標簽設置頁面,檢查這里的“為提高性能而優化”選項是否處于選中狀態,如果發現其沒有被選中時,應該及時重新選中它,再單擊“確定”按鈕保存設置操作。
接著重新啟動Vista系統,再次進入計算機窗口,用鼠標右鍵單擊目標優盤分區圖標,執行“格式化”命令,這次終于能看到NTFS分區格式選項了。在將優盤成功格式化成NTFS文件系統后,嘗試將計算機系統中的大容量高清電影直接拖放到優盤窗口后,系統并沒有出現錯誤提示,一段時間后,文件傳輸操作結束,這意味著優盤已經能夠成功裝載大容量文件了。
USB設備的管理另有他途
在計算機系統中使用USB設備是件很平常的事情,用常規的方法訪問移動硬盤中的文件,或對移動硬盤執行卸載操作,是十分麻煩的。特別是在計算機系統連接多個USB設備的情況下,要將某個移動設備彈出來,需要經過幾個環節才能完成,彈出的USB設備要是沒有及時,再次要訪問的話,還需要拔出后重新插上。對于頻繁要使用USB設備的用戶來說,如何才能對這些設備進行高效管理呢?
其實,巧妙使用外力工具“高級USB管理工具”,就能輕松實現一鍵管理USB設備的目的。將“高級USB管理工具”下載安裝到本地計算機系統,插入USB設備后,用鼠標單擊系統托盤區域處的控制圖標,彈出USB設備列表(如圖2所示),選中其中的目標設備選項,再單擊之后的“瀏覽設備驅動器”按鈕,就能訪問指定USB設備中的文件內容了。
在訪問完USB設備后,用常規的方法將其從系統中卸載掉時,往往要經過好幾個步驟,現在有了“高級USB管理工具”后就方便多了。用鼠標單擊系統托盤區域處的控制圖標,從彈出的USB設備列表中,選擇目標USB設備,執行“設備現在可以安全移除”命令,此時就能安全地將USB設備從系統中拔除出來了。
倘若USB設備已經被成功卸載,但是還沒有從計算機系統中時,我們又突然改變注意,想要再次訪問USB設備時,根本沒有必要再將設備拔出、插入,只要用鼠標再次點擊系統托盤區域處的控制圖標,從彈出的USB設備列表中,選擇已經卸載的USB設備,就可以將其工作狀態恢復正常了。如果想提高管理效率,我們還能對專門的USB設備定義恢復、卸載功能鍵,要做到這一點,可以用鼠標選中USB設備列表中的特定設備,按下對應盤符下的“菜單”按鈕,從中逐一點選“設置屬性”|“設備管理”選項,將其后界面中的“使用單獨的全局熱鍵停止該設備”選項,再設置好合適的調用功能鍵,最后單擊“確定”按鈕保存設置操作。日后,只要插入特定的USB設備,就能使用事先指定的功能熱鍵來卸載或恢復該設備了,整個過程不會對其他USB設備的工作造成任何影響。倘若我們有多個USB設備需要恢復、卸載時,可以按照上面的操作方法為它們依次設置好各自的調用功能鍵,以提高USB設備管理效率。
現在,不少用戶已經不僅僅在本地調用USB設備了,他們常常會將一些重要數據文件保存到USB設備上,然后通過Internet或局域網進行異地訪問或辦公,此時借助“高級USB管理工具”,就能輕松實現一鍵運行USB設備中的應用程序。在進行這種管理操作時,可以先用鼠標點擊系統托盤區域處的控制圖標,從彈出的USB設備列表中,選擇特定USB設備,按下“快速啟動菜單”按鈕,點擊“添加程序”命令,定位到特定USB設備中某個應用程序的主執行文件上,按下“確定”按鈕,日后只要插入特定USB設備,就能從快速啟動菜單中看到之前定位的應用程序名稱,點擊該程序名稱后,就能達到快速啟動應用程序的目的了。
USB設備上有黃色感嘆號
有的時候,USB設備插入到Windows 7系統環境下,對應設備不能正常工作。用鼠標右鍵單擊系統桌面上的“計算機”圖標,執行“管理”命令,展開計算機管理窗口,選中設備管理器分支,切換到系統設備管理器窗口時,會發現USB設備上有黃色感嘆號標志,同時設備名稱變成了“USB Device”,很多菜鳥用戶對該現象不知道如何應對。
事實上,當系統設備管理器窗口的設備名稱上出現黃色感嘆號標志時,往往都是由于設備驅動程序發生了錯誤所造成的。對待這類問題,往往可以按照下面的操作步驟來解決:
首先可以選中設備管理器窗口中不能正常工作的USB設備,用鼠標右鍵單擊該設備,執行右鍵菜單中的“卸載”命令,將目標設備從系統中卸載干凈,之后執行右鍵菜單中的“刷新”命令,將系統設備列表刷新一下,這樣Windows 7系統就能自動重新安裝USB設備的驅動程序了。
倘若Windows系統無法自動搜索到USB設備的驅動程序,不妨利用Windows系統的補丁升級功能,來自動搜索匹配合適的設備驅動程序,成功安裝后就能恢復USB設備的正常工作狀態了。
當然,如果從網上無法搜索到相匹配的設備驅動程序時,我們可以采用手工方法,下載與Windows 7系統相兼容的設備驅動程序,比方說,某個USB設備只有Vista系統下的驅動程序,而沒有Windows 7系統下的驅動程序,此時手工下載好適合Vista系統的驅動文件。接著,用鼠標右鍵單擊出現問題的USB設備,點擊右鍵菜單中的“屬性”命令,彈出目標設備的屬性對話框,選擇“驅動程序”標簽,切換到如圖3所示的標簽設置頁面,單擊“更新驅動程序”按鈕,打開驅動文件選擇對話框,導入之前下載好的驅動文件,按下“確定”按鈕,完成設備驅動程序的更新操作,這樣USB設備就能正常工作了。
USB設備數據不能訪問時
在頻繁插拔之后,USB設備很容易出現數據內容無法訪問的問題。這不,小楊最近遇到一則問題,就是將USB設備連接到計算機系統的USB接口中后,盡管Windows系統能夠正常識別出對應USB設備的分區符號,不過用鼠標雙擊該分區符號后,他看到該設備沒有響應,再次雙擊鼠標時,系統彈出了無法訪問的錯誤提示。見到這樣的提示,小楊身上驚出了一聲冷汗,畢竟他的USB設備中保存了太多的單位工作文檔,這該如何是好啊?
為了不讓數據丟失,小楊請來了筆者。對于這樣的問題,在筆者看來基本就是小菜一碟,因為每年筆者總要處理好幾起同樣的USB設備無法讀取問題。在處理這類問題時,筆者先從網上下載專業磁盤管理工具DiskGenius,使用WinRAR之類的解壓工具將其釋放到臨時文件夾中,雙擊該文件夾中DiskGenius工具的主執行文件,切換到對應程序主操作界面。在該界面左側列表區域,就能直觀地看到所有磁盤分區的詳細信息,其中包括已經連接到計算機系統中的USB設備對應分區符號。
接著用鼠標左鍵單擊USB設備對應分區圖標,這時DiskGenius工具就會自動強制訪問USB設備中的目錄分支,從該分支下面找到保存在USB設備中的重要文件或文件夾內容,然后用鼠標右鍵單擊目標文件或文件夾,選擇右鍵菜單中的“復制到”命令,彈出文件或文件夾保存對話框,設置好保存路徑后,DiskGenius工具就能自動將USB設備中的重要文件或文件夾內容拷貝到指定路徑。
倘若USB設備中的數據文件已經受到損壞而無法移動時,不妨用鼠標右鍵單擊指定的USB設備,執行右鍵菜單中的“已刪除或格式化的文件恢復”命令(如圖4所示),這樣DiskGenius工具就能自動恢復USB設備中受損的數據文件,當然數據恢復操作進程相當緩慢,可能需要等待很長時間,這點一定要有心理準備。如果數據受損程度非常嚴重,DiskGenius工具也有可能不會將USB設備中的數據恢復成功。
遠程桌面不能連接USB設備
為了提高訪問效率,有的用戶可能會利用Windows系統內置遠程桌面連接程序,來遠程訪問局域網中的共享資源。在遠程桌面連接共享資源時,一般都要對保存共享資源的有關設備進行重定向。要做到這一點很容易,只要逐一點選“開始”|“程序”|“附件”|“遠程桌面連接”選項,切換到遠程桌面連接對話框,按下“選項”按鈕,展開遠程桌面連接設置區域,選擇“本地資源”選項卡,在對應選項設置頁面的“本地設備和資源”位置處,選中磁盤驅動器或打印機等選項,日后當遠程桌面連接成功后,磁盤驅動器或打印機設備就會被自動重定向到遠程主機系統中,這么一來用戶就能輕松在遠程系統中訪問本地共享資源了。
可是,遠程桌面連接程序并不支持USB設備的重定向功能,也就是說,當我們嘗試從局域網的其他計算機系統中遠程訪問本地計算機USB設備中的共享資源時,是無法實現的。在USB設備應用日益廣泛的今天,如何才能解決遠程桌面程序不能連接USB設備的問題呢?
經過上網搜索相關信息,筆者終于找到了解決方案,巧妙使用專業工具USB For Remote Desktop,就能很方便通過遠程桌面程序訪問USB設備中的共享資源,當然該工具有客戶端、服務端版本之分。
為了通過遠程桌面連接程序訪問本地計算機中的USB設備,首先要從網絡上下載獲取USB For Remote Desktop客戶端程序,按照默認設置將其正確安裝到本地系統中,之后從系統“開始”菜單中點擊“USB For Remote Desktop(workstation)”選項,來打開USB For Remote Desktop工具的客戶端程序界面,如圖5所示。選擇這里的“My Computer”分支,在該分支下面就能看到連接到本地計算機中的所有USB設備,選中需要讓人遠程訪問的某個USB設備,再從菜單欄中逐一點選“USB Device”|“Redirect”命令,稍微等一會兒,指定USB設備圖標上就會彈出綠色感嘆號標志,這說明重定向USB設備操作已經成功,這時指定USB設備已經能被遠程系統識別到了。要是點擊了“Redirect”命令后,指定USB設備圖標上彈出紅色感嘆號標志時,就意味著重定向操作沒有成功。
當然,為了提高操作效率,我們可以對USB For Remote Desktop客戶端程序進行合適設置,讓特定USB設備能夠實現自動重定向目的。只要逐一點選主程序界面中的“Settings”|“Preferences”選項,切換到參數設置對話框,選擇“Auto-Redirecting”選項卡,打開如圖6所示的選項設置頁面,將這里的“Enable auto-redirecting of USB devices”選中,按下“確定”按鈕返回,這樣接到本地計算機中的USB設備就能自動被重定向了。如果不想將某些USB設備自動設置成重定向狀態時,不妨選中“do not redirect these devices”列表中的特定USB設備,那樣一來該USB設備就不會被自動重定向了。
從網上下載好《AirCmd遠程管理》軟件的壓縮包,之后解壓并運行客戶端文件。這時我說道:“由于這個木馬的管理功能非常強大,所以需要用戶設置的地方也是比較多的。”誰知表弟卻不屑地說:“你先喝茶,我自己試著摸索著看看。”于是,他選擇了“參數設置”標簽,首先設置“監聽端口”以及“連接上限”(如圖1)。“監聽端口”主要是遠程系統運行的服務端文件,連接本地系統的客戶端文件時使用的端口。
“監聽端口”一定不能是常用的端口,不然很容易被其他軟件占用,服務端文件就不能連接的客戶端文件了,使用默認的“2013”即可。而“連接上限”是指連接到客戶端文件的數目,如果電腦配置比較高,且網絡帶寬比較大,就可以將數字設置的大一些。設置完成以后點擊“應用”按鈕,客戶端文件就會以設定好的配置運行。
服務端,配置不復雜
接下來,選擇“服務配置”標簽。木馬為用戶提供了兩種連接方式,分別是“IP地址”以及“HTTP網頁地址”。因為表弟只是簡單的測試和體驗,所以就采用了“IP地址”連接的方式。由于客戶端程序自身可以識別出本地系統的IP地址,所以只需要設置其他的相關信息即可。比如在“端口”選項中,輸入與“監聽端口”相同的數字,在“DLL名稱”中,給木馬文件設置一個名稱(如圖2)。
在“安裝路徑”列表中,選擇木馬文件存放的路徑。建議大家不要選擇系統目錄,以免被殺毒軟件發現。最后,分別在“服務名稱”、“顯示名稱”和“服務描述”中進行設置,以達到木馬文件隨機啟動運行的目的。最后點擊“生成”按鈕,服務端程序就創建完成了。
木馬功能嘗個鮮
配置完成后,表弟在虛擬機生成了服務端,當服務端程序連接成功以后,就可以進行實際控制操作了(如圖3)。在連接列表中選擇上線的服務端信息后,點擊鼠標右鍵,選擇不同的控制命令就可以進行操作。
1.文件管理
首先選擇“文件管理”命令,在彈出的窗口中就可以對服務端電腦中的文件進行管理。這時,表弟發現了一個奇怪的現象:“文件管理”窗口并沒有馬上打開,而是出現了一個等待的進度條。表弟疑惑的看著我:“這是什么原因啊?”我告訴他:“這是這款木馬的一個特色,當需要使用某功能時,就將這個功能的模塊上傳到服務端電腦。這樣就可以減少服務端的體積,方便用戶進行傳播。”
文件管理窗口使用了上下分欄的形式,上方是本地計算機目錄,下方則是遠程計算機目錄。用戶既可以通過工具欄的按鈕,也可以通過鼠標直接的拖拽來對文件進行操作(如圖4)。由于《AirCmd遠程管理》的客戶端與服務端都采用IOCP模型,同時數據傳輸采用zlib的壓縮方式,因此文件的傳輸速度回避其他木馬快一些。
2.屏幕控制
接下來,選擇“屏幕控制”功能,就可以對遠程屏幕進行管理。木馬默認采用了8位灰色,雖然速度快但是效果并不好。所以為了獲得更好的效果,需要在標題欄上點擊鼠標右鍵,在彈出的窗口選擇“32位真彩”。
之后,表弟點擊菜單中的“控制屏幕”命令,這樣就可以利用捕捉的屏幕對遠程桌面進行控制。由于屏幕掃描的速度非常快,因此控制操作起來很流暢。點擊“保存快照”命令,就可以對捕獲的圖像進行保存。表弟還發現,通過“獲取剪貼板”或“設置剪貼板”命令,不僅可以獲得遠程系統剪貼板中的內容,還可以對剪貼板中的信息進行修改(如圖5)。
微軟后門巧利用
小表弟一邊試著這款木馬,一邊點評:“這款木馬用起來很不錯,不過就是功能上沒有什么創新。”我回答道:“誰說沒有了?”我讓表弟選擇的“服務信息”功能,結果沒想到他的眼神馬上就發生了變化,稱贊道:“這款木馬有點意思呢!”因為木馬總會有被殺毒軟件查殺的那一天,但《AirCmd遠程管理》可以利用微軟的“后門”來進行遠程控制。
手機端的設置
Camera WiFi Stream(以下簡稱為CWS,下載地址:省略/zO8w474)是一款可以讓手機攝像頭變為電腦直播鏡頭的軟件,在手機上安裝后利用WiFi就可以讓遠程電腦查看手機拍攝的視頻。
1.開啟手機上的WiFi并連接到無線路由器,接著在手機上啟動CWS確保程序已經成功連接WiFi,同時分配到內網IP地址(圖1)。
2.點擊“設置”打開設置窗口,根據自己的手機設置直播參數。比如小張的手機是HTC Vision,點擊“相機設置手機攝像頭分辨率設置為800×480”,這樣可以獲得更清晰的視頻影像。其他如聲音、視頻錄制,請根據需要設置(圖2)。
3.完成設置后返回程序界面,點擊“開始”,程序會自動調用手機上的攝像頭開始拍攝,我們只要借助電腦的瀏覽器即可看到拍攝的畫面(圖3)。由于默認拍攝時手機屏幕會一直顯示,為了節約電量,只要點擊攝像屏幕,然后在浮現的菜單點擊亮度調整按鈕,屏幕就會自動關閉,但是電腦上仍然可以顯示拍攝的畫面。
小提示
如果你的手機沒有WiFi(或者無法使用WiFi)連接,安卓用戶還可以到u.省略/file/f33a32dac9 (PC端軟件)和省略/file/aqodwiog(手機端)下載安裝Usbwebcam,然后使用數據線即可將手機變為電腦攝像頭。手機和PC連接后,連接方式設置為“僅充電”,分別啟動PC端(只是一個命令行,啟動后會自動在后臺運行)和手機端軟件,此時打開QQ等視頻聊天軟件,進入視頻設置界面就可以看到手機攝像頭,選擇手機攝像頭進行視頻聊天即可(圖4)。
電腦端的設置
在手機上啟動CWS后,同一局域網的電腦就可以通過瀏覽器直接查看手機拍攝的視頻了。不過要讓遠程用戶觀看,我們還要對路由器進行一番設置。
1.在新房電腦上打開省略/zh_CN/,按提示安裝JAVA組件這樣才會顯示視頻畫面。接著進入無線路由器對轉發規則進行設置,這里以TPLINK的WR541G/542G路由器為例。進入路由器設置界面后展開“轉發規則虛擬服務器”,點擊“新增”,按下列的提示增加一個虛擬服務器,完成設置后保存,這樣遠程的電腦就可以通過本機的外網IP進行遠程桌面的連接來查看直播視頻了(圖5):
端口為:3389
IP地址:192.168.0.30(即新房電腦的內網IP地址)
協議:TCP
2.開啟新房電腦的“遠程桌面連接”并設置連接的賬戶和密碼,接著在新房電腦瀏覽器輸入192.168.0.31:8000(即手機從路由器分配到的IP地址及端口號)即可看到手機拍攝的視頻了(圖6)。
3.如果遠方的女朋友需要查看這個直播的視頻,在她的電腦上啟動遠程桌面連接,計算機名處輸入“新房電腦外網IP地址:3389”,點擊“連接”,接著輸入上述設置的連接賬戶和登錄密碼(圖7)。
4.成功連接后在她的屏幕上即可同步看到小張在新房使用手機拍攝的視頻了。由于是借助WiFi連接,沒有有線的限制,所以小張可以使用手機在房間任意走動直播,讓遠方的女朋友直觀看到房間的每一個角落。女朋友在自己的電腦上點擊瀏覽器界面的Get still Iamge,還可以即時截取當前場景圖片,然后提出具體裝修意見。如果她點擊窗口下方的Capture,則可以啟動小張的手機視頻拍攝,繼續瀏覽(圖8)。
讓更多手機變身無線攝像頭
不重視安全,裝完系統不做任何安全配置的人。
為了不成為下一個犧牲者,你該做些什么呢?要在短時間內把權限、注冊表里的方方面面搞個透徹也實在不現
實。幸運的是,要擋住“第一波”攻擊,你要做的僅僅是調整一個系統服務,把可能“致命”的項目禁用。
給初學者看的――怎么管理服務
1.打開服務管理界面
打開“控制面板管理工具服務”就能打開服務管理界面,如果想像個高手一樣更快打開它,那就按“Win+R”組合鍵(等同于點擊“開始運行”)打開“運行”框,輸入“services.msc”回車。
2.查看和操作
在服務管理界面中,右側窗格的列表列出了當前系統中的所有服務,“名稱”和“描述”能讓你對服務的功能有所認識(見圖1),如果“描述”處一片空白,那八成不是系統原先就存在的服務,很有可能是殺毒軟件或驅動程序安裝的。雙擊相應的服務項,在彈出窗口中通過點擊“啟動”、“停止”等按鈕就能控制服務的狀態(見圖2),同時“啟動類型”也可以根據需要更改。
被SP2“招安”的信使服務
涉及服務:Alert/Messenger 危害:垃圾信息
如果在網上搜索一個優化服務的文章,可能無一例外地都會讓你禁用Alert和Messenger服務。確實,這2個服務曾經讓無數人每天都收到來自網絡的垃圾信息的騷擾,但Windows XP的SP2補丁包已經默認把它們設為“禁用”,它們已經不構成威脅了。別高興得太早,有些木馬和病毒會用自身文件替換Alert服務,讓你只看到Alert服務啟動了,實際上“瓤”已經換成了病毒,因此如果你看到這兩個服務的狀態是“已啟動”,還是禁用的好。
讓管理員或者系統通知網絡中的用戶一些重要消息,可有誰會傻到有QQ、MSN不用,用這種對話框級的聊天工具……
做一個批處理,配合用Windows自帶的“net send”命令,往某個IP段里的所有電腦群發垃圾信息(偷懶一點的也可以去下載一個群發工具,原理是一樣的)。
純屬給病毒留的服務,堅決禁用!
剪貼板里的密碼給誰看
涉及服務:ClipBook 危害:泄露隱私
幾乎所有的IT媒體在介紹這個服務的時候,都會說“這個服務允許任何已連接的網絡中的其他用戶查看本機的剪貼板”(不信就去搜搜,看看哪些“權威”在誤導你),他們無一例外地都把微軟和比爾?蓋茨當成了傻子,“任何已連接的網絡中的其他用戶”?那地球上還能有隱私嗎?實際上,要查看你剪貼板里的內容,對方還必須獲得管理員賬戶并用IPC登錄。只能說對管理員賬戶是弱口令的用戶很危險,而且很多人都有將銀行賬號、密碼放在文本中的習慣,你就不怕在復制粘貼的時候被人截獲嗎?
讓管理員在遠程環境中仍能輕松訪問本地系統中的剪貼板內容。
窮舉你的IPC密碼(見圖4),如果你碰巧使用了一個很低級的弱口令,那么算你倒霉,黑客可以很輕易地用這個賬號登錄你的IPC管理共享,然后打開剪貼板查看器(見圖5),用菜單里的連接遠程剪貼板功能就能把你的信息玩弄于股掌了。
即使你自認為密碼很安全,也建議把啟動類型設為手動。
常常做“替罪羊”的打印服務
涉及服務:Print Spooler 危害:拖慢系統
系統速度突然變得很慢,打開“任務管理器”查看進程后竟然發現有一個spoolsv.exe的服務占用了大多數的CPU資源。在命令提示符中用“tasklist /svc”命令看了一下,發現這個進程竟然屬于Print Spooler服務(見圖6)。中毒了?還真說不好,雖然有病毒冒充這個服務進程,但如果你的殺毒軟件稍微爭氣一點點、偶爾升級一下下的話,這種甲骨文(別誤會,此處并沒有偷偷說Oracle的壞話)級別的病毒肯定不會存在于你的系統。剛才還說微軟不傻,可現在實在忍不住要鄙視一下他們,直到今天,仍然有這么多人因為Windows XP中的低級Bug造成系統緩慢。故障出現的原因是系統沒有及時刪除打印后臺文件,因此在向打印機發送打印作業時,后臺的打印服務就會反復嘗試對此打印作業進行后臺處理(簡而言之――死循環)。
通過打印池服務管理和控制打印隊列。
黑客這回什么也沒干,我們錯怪他了……
如果出現spoolsv.exe占用大量系統資源的狀況,首先確保殺毒軟件仍在正常工作中,然后嘗試刪除“%Systemroot%\System32\Spool\Printers”目錄下的所有文件,并重啟打印服務。如果你有打印機,那么強烈建議不要為了這點小事把此服務禁用,否則你就什么都打印不了了。
可以理解為“微軟后門”的遠程注冊表服務
涉及服務:Remote Registry 危害:啥都危害了
比爾大叔可能以為每個普通用戶都會在遠程管理自己的電腦,所以他把這個服務設定為系統默認啟動。盡管如此,我們也不能因為要告訴讀者此服務有危險就信口開河,把它說成網絡中的每個用戶都能訪問的東西。遠程注冊表操作,還是需要IPC登錄的管理員權限才行(如果有人會問IPC登錄的游客權限賬戶行不行,我會告訴他們:“扯淡!除了管理員,壓根沒別人能登錄IPC。”)。對弱口令的用戶來說,這個漏洞是致命的,黑客很容易就能在你系統的注冊表里做點手腳,木馬、后門,啥都來了。
讓用戶遠程管理本地系統中的注冊表,這……這實在太扯了。
窮舉弱口令找出管理員密碼并登錄IPC,然后打開“注冊表編輯器”,連接到受害者的注冊表(見圖7),在自啟動項里加點木馬和后門,在文件關聯里再加一道木馬的生存保險,最后順便瞄一眼播放器的歷史記錄,看看受害者最近在看什么新片……
如果你沒有什么奇特的使用需求,強烈建議將此服務設為“禁用”,這本該是Windows自己做的。
你憑什么成為別人的文件服務器
涉及服務:Server 危害:信息泄露
花了半年早飯錢買回來的數百GB大硬盤,卻淪為別人的文件服務器,這種事誰能接受!?身在學校、公司等局域網環境的朋友注意了,如果你平時就討厭把硬盤里的東西共享給別人,那就干脆把這個服務給禁用了。又是IPC登錄后鬧的(這個理由我都有些厭倦了),說來說去,弱口令是萬萬不可取的!
這回微軟想的終于和人們實際用的差不多,很多人都在使用共享服務來完成局域網中的文件共享。
先登錄IPC,然后用“net use”命令把被害者電腦中的盤符給映射到本地,然后像平時復制文件的方式一樣,把木馬病毒之類的東西塞到不幸的人的硬盤里。
如果你平時就不在局域網里傳什么文件,就把它“禁用”。
計劃著怎么整你的恐怖服務
涉及服務:Task Scheduler 危害:降低入侵難度
剛才說到,一旦你淪為“肉雞”,被別人往硬盤里塞文件時,你的系統差不多已經被完全攻陷了。不過如果你的運氣好,入侵你的正好是個菜鳥,那就給他設一道難以逾越的障礙吧!將Task Scheduler服務禁用能夠防止黑客利用此服務遠程執行傳送到本地機上的惡意程序文件。
僅僅是讓本地和遠程的人決定系統在什么時間應該干什么罷了。
先像上文說的那樣,把病毒往受害者硬盤里塞,然后用“net time”查一下對方的系統時間,再用AT命令(需要依賴Task Scheduler服務)建立一個執行病毒文件的計劃任務。
如果你沒有什么自動執行的正常計劃,那就把它設為“禁用”。
3389不是暗號,是入侵
涉及服務:Terminal Services 危害:給黑客多留的一道門
用過遠程桌面嗎?能控制遠程電腦的桌面,就像在操作自己的桌面似的。好玩吧?但如果被玩的是你,你就不會這么覺得了。在入侵時,系統中點滴的不嚴密都可能成為導火索。黑客可以很容易地通過執行一些腳本文件,來達到開啟“遠程桌面”的效果(見圖8)。
留下后門,卻偏偏說是幫助遠程用戶管理系統。
系統已經占領了,替換系統文件讓XP也能實現多用戶同時登錄,上傳腳本開啟“遠程桌面”,然后登錄你的3389端口,遠程玩你的系統。
沒啥說的,禁用之。但這樣做有個副作用,在“任務管理器”的進程中看不到用戶名了。
3389是遠程桌面的默認端口號,可以通過修改注冊表來實現默認端口的修改。
最后的重要提示,手動≠禁用
別以為把服務設為“手動”就行了,你可能會想:只要我自己不啟動它,誰還能動它?其實大錯特錯,在得到IPC管理共享后,要手工開啟服務也就1條命令而已,比如說要啟用地址為192.168.0.2的電腦上的Task Scheduler服務,只須在命令提示符下運行下面的命令就行了:
治療指紋識別之癥
安裝了WindoWS 7系統的筆記本電腦,自帶有指紋識別軟件。一般來說,安裝有Windows 7系統的筆記本通過指紋識別軟件可以順利地替代系統啟動時輸入密碼操作。不過,一旦將系統更新到WindoWS 7正式版后,系統卻會出現注冊指紋操作出錯的現象,這該如何是好呢?實際上,這種現象是由指紋識別驅動程序造成的。當初次安裝完畢Windows7系統后,安裝向導會自動上網搜索下載相關補丁程序,這個時候與指紋識別操作有關的驅動程序也會被一同下載;考慮到許多筆記本使用的指紋識別功能都是Authen開發設計的,因此Microsoft公司解決指紋識別問題應該來說還是十分簡單的事情,不過在更新版本之后,新版本驅動開發還沒能及時跟上,這就造成了上面的指紋識別之癥。
要治療指紋識別之癥,我們可以從http://省略/win7beta32,cfm位置處下載Authen開發設計的32位指紋識別驅動程序,按照正確方法重新安裝好對應驅動程序后,再重新啟動一下計算機系統,這樣就能在系統控制面板窗口的“生物特征設備”中成功啟用指紋開機功能了。在啟用這項功能時,可以先點擊一個手指,用對應手指輕輕劃過指紋識別器,并連續執行這樣的操作三次,執行完畢后對應驅動程序就能正確認識指紋,同時彈出該程序的參數配置界面(如圖1所示),按默認提示進行設置后,最后按“Finish”按鈕結束指紋注冊操作。
治療驅動識別之癥
WindoWS 7系統的智能化程度有了明顯提升,它可以高效識別許多硬件設備的驅動程序,用戶將新設備插入到該系統中,幾乎不需要進行手工安裝操作,Windows 7系統就可以自動為目標設備安裝好合適的驅動程序。事實上,有的時候用戶不想讓Windows 7系統過度智能,例如在安裝一些版本比較新或功能比較強的設備驅動時,如果任系統自行安裝,只能安裝系統自帶的低版本驅動程序,而不會自動安裝新版本程序,這時候只有采用手工方法才能完成驅動程序升級任務。那么,究竟如何才可以停用Windows 7系統智能識別安裝設備驅動程序功能呢?
要實現上述控制任務,可以有兩種方法,一是組策略設置法,二是向導設置法。在進行組策略配置操作時,可以先打開系統運行文本框,輸入字符串命令“gpedit.msc”,點擊“確定”按鈕后,彈出系統組策略控制臺窗口,依次展開該窗口左側列表中的“計算機配置”I“管理模板”I“系統”I“設備安裝”I“設備安裝限制”目錄,用鼠標右鍵單擊該目錄下的“禁止安裝未由其他策略設置描述的設備”組策略,執行右鍵菜單中的“編輯”命令,切換到如圖2所示的組策略編輯對話框,將“已啟用”選項選中,單擊“確定”按鈕返回即可。
在進行向導式配置操作時,可以先打開Windows 7系統的“開始”菜單,從中選擇“設備和打印機”命令,彈出設備和打印機列表界面,從設備顯示區域中右擊本地計算機圖標,選擇右鍵菜單中的“設備安裝設置”選項,進入如圖3所示的向導設置框,Windows7系統默認會選中這里的“是,自動執行該操作”選項,也就是強制系統自動安裝設備驅動程序,現在只要重新選擇“否,讓我選擇要執行的操作”選項,同時將“從不安裝來自Windows Update的驅動程序軟件”項目也一并選中,再按“保存更改”按鈕結束配置任務。
治療電源顯示之癥
有的時候,用戶會發現安裝了Windows 7系統的筆記本電腦無法在系統托盤區域處正常顯示電源按鈕,這樣就容易造成在使用筆記本電池或者直接插上輸入電源時,不能準確進行區分。之所以會出現這種不正常現象,多半是用戶使用了專業工具對筆記本進行了過度優化,或者使用的Windows7系統是第三方修改過的版本。要想讓電源按鈕正常顯示在系統托盤區域處,可以按照如下步驟進行恢復:
首先依次單擊“開始”I“運行”命令,在彈出的系統運行文本框中輸入字符串命令“gpedit.msc”,單擊“確定”按鈕,切換到系統組策略控制臺窗口;展開該窗口左側區域中的“用戶配置”I“管理模板”I“開始菜單和任務欄”目錄,找到該目錄下的“刪除操作中心圖標”組策略;
其次用鼠標右鍵單擊該組策略,執行右鍵菜單中的“編輯”命令,彈出如圖4所示的組策略編輯對話框,選擇“未配置”選項,再按“確定”按鈕保存配置操作。下面在系統任務欄空白區域點擊鼠標右鍵,選擇右鍵菜單中的“屬性”命令,在其后界面的“通知區域”位置處,按下“自定義”按鈕,同時選中電源按鈕選項即可。
治療共享打印之癥
如果共享打印機被連接到了Windows 7系統,用戶嘗試通過局域網中的其他計算機訪問該共享打印機時,系統時常會彈出沒有啟動后臺打印服務,或者共享打印機連接出錯的提示。發生這種不正常現象,很可能是其他計算機系統與WindoWS 7系統中的共享打印驅動兼容不好引起的。要治療類似這樣的共享打印之癥時,可以按照如下步驟來進行:
首先在本地執行打印操作,確認共享打印機自身工作狀態正常;其次使用ping命令測試其他計算機系統與Windows 7系統之間的網絡連通性,確認網絡連接線路以及參數配置一切正常。在排除上述因素后,如果共享打印操作還無法成功時,可以通過本地方式來安裝共享打印驅動。
比方說,待安裝的共享打印機位于“\\10.192.168.8\print”,在通過本地方式安裝該打印驅動程序時,可以先從系統“開始”菜單中選擇“設備和打印機”命令,切換到打印機列表窗口中,按下該窗口中的“添加打印機”工具欄按鈕,彈出“添加本地打印機”向導對話框,將鼠標定位到“創建新端口”位置處,將這里的“local port”選中,按“下一步”按鈕,打開如圖5所示的打印端口名稱設置對話框,將“\\10.192.168.8\print”路徑地址正確填寫在這
里,同時單擊“確定”按鈕,再按下“Windows Update”按鈕,讓安裝向導在線安裝合適的網絡打印驅動程序,如此一來用戶下次訪問共享打印機時就不會遇到錯誤了。
治療視頻刪除之癥
在Windows 7系統中嘗試刪除某些不需要的視頻文件時,Windows 7系統有時會出現錯誤,提醒用戶不能刪除視頻文件,或者提示用戶該文件正在被其他應用程序使用。可是,關閉Windows 7系統再重新啟動后,上述不正常的現象仍然存在,這是怎么回事呢?面對這種不適之癥時,用戶究竟該怎樣才能有效應對呢?
引起這種不正常現象的原因有多種,最主要的原因可能是Windows 7系統啟用了內置的預覽媒體文件功能。在解決由該因素造成的視頻刪除之癥時,不妨先用媒體播放程序打開其他的視頻文件,在其他視頻文件開始正式播放時,再嘗試刪除之前無法刪除的文件,或許這樣就能將目標視頻文件刪除成功了。要是這種方法不奏效,可以嘗試暫時停用系統自帶的預覽媒體功能,只要打開系統運行文本框,輸入字符串命令“cmd”,按“確定”按鈕后彈出DO S命令行工作窗口,在該窗口命令提示符下輸入“regsvr32/u shmedia,dll”命令,就能停用預覽媒體功能了,日后也可以通過“regsvr32 shmedia.dll”命令恢復這項功能。
如果上述不能解決問題,可以嘗試調整目標視頻文件的擴展名類型,將其視頻格式強行調整為普通文件格式,調整成功后再刪除普通的文件,從而達到間接刪除復雜視頻文件的目的。比方說,待刪除的復雜視頻文件為fly格式,通過執行文件重命名操作后,fly:格式變成了txt格式,之后對txt格式文件執行刪除操作就容易得多了。不過,在調整文件擴展名時,應該先要讓Windows 7系統正常顯示出文件擴展名來,在進行這種操作時,只要切換到系統資源管理器窗口,逐一點選“工具”I“文件夾選項”命令,選擇文件夾選項框中的“查看”選項卡,打開如圖6所示的選項設置頁面,將“隱藏已知文件類型的擴展名”取消選中,單擊“確定”按鈕退出。
當然,對于一些太“頑固”的視頻文件來說,還可以利用WinRAR212具自帶的壓縮后刪除文件功能,來執行視頻文件刪除操作。在使用該方法時,可以先從系統資源管理器中選中待刪視頻文件,同時右擊該文件圖標,執行右鍵菜單中的“添加到壓縮文件”命令,切換到壓縮配置框,選中“常規”選項設置頁面中的“壓縮后刪除源文件”選項,之后單擊“確定”按鈕,開始壓縮目標視頻文件,壓縮成功后原始視頻文件就會被自動刪除。
治療不斷假死之癥
在一些硬件性能比較差的Windows 7系統中,如果打開某個含有若干圖像或視頻文件的文件夾時,系統經常會發生假死現象。這種不斷假死的現象,主要是~vVindows 7系統打開這些特殊文件夾時,需要消耗一些系統資源,來完成圖像或視頻文件的縮略圖創建任務,而在系統資源比較緊張的情況下,縮略圖創建操作由于不能及時獲得相關資源而造成系統假死。
正常情況下,停用圖像或視頻文件縮略圖創建功能,就可以有效治療好不斷假死之癥。在進行這種操作時,可以任意選中Windows 7系統資源管理器中的一個文件,之后從“更改您的視圖”下拉列表中選擇“小圖表”選項;再逐一點選“組織”I“文件夾和搜索選項”工具欄命令,彈出文件夾選項設置對話框,選擇“查看”選項卡,在對應選項設置頁面中選中“始終顯示圖標,從不顯示縮略圖”,同時單擊“確定”按鈕返回即可。
當然,為了預防系統長時間處于假死狀態,從而影響系統運行連續性,我們還能調整注冊表配置,強制系統處于假死狀態后立即重啟資源管理器窗口。要實現這個目的,可以打開系統運行文本框,執行字符串命令“regedit”,切換到系統注冊表編輯界面,逐一展開該界面左側區域中的HKEY LOCALMACHINE\SOFTWARE\Microsoft\WindoWSNT\CurrentVersion\Winlogon目錄(如圖7所示),雙擊該目錄下的“AutoRestartShell”雙字節鍵值,在其后界面中輸入“I”,再將計算機系統重新啟動下就能讓配置生效了。
治療密碼無效之癥
啟動任務管理器多條道
任務欄管理器是Windows自帶的一個很方便的系統組件。啟動任務管理器的方法不止一種,多知道幾種方法更便于在一種方法失效后應急。
1. 按下Ctr+Alt+De組合鍵調出任務管理器。
2. 按Ctrl+Shift+Esc組合鍵也能調出任務管理器。
3. 通過“開始運行”輸入taskmgr來啟動。
4. 用鼠標在任務欄空白處點擊右鍵,在彈出的菜單中選擇“任務欄管理器”。
5. 如果你覺得這樣啟動不夠個性化,那么就請為C:\Windows\system32\taskmgr.exe建立一個桌面快捷方式,再用鼠標右鍵單擊該快捷方式圖標,在“屬性”窗口為其指定一個啟動熱鍵(如F12)。這樣,以后你就可以用自己定義的熱鍵F12來打開任務管理器了。
小提示
當我們使用Windows遠程桌面連接或者使用第三方遠程控制軟件進行遠程控制時,要在對方的系統中打開任務管理器,只能用以上3、4條的方法。
當程序或命令不能執行時
有時候遇到桌面程序被鎖死、動不了的情況,但這時我們不能關機,還需要處理一些任務,怎么辦?
我們可以通過任務管理器來執行一個新的任務。方法是,用上述方法之一啟動任務管理器之后,切換到“應用程序”選項卡,然后在窗口的空白處單擊鼠標右鍵,在彈出的快捷菜單中選擇“新建任務”,然后通過創建新任務對話框,通過“瀏覽”按鈕找到自己的程序運行即可。
還有的時候,“開始”菜單中的“運行”命令被屏蔽,不能執行任務,這時我們也可以用任務管理器代替“運行”窗口來執行我們需要執行的程序。試試在任務管理器中選擇“文件新建任務(運行)”菜單命令吧,效果和從“開始”中“運行”是一樣的。
當正常關機不能執行時
有時,“開始”菜單會由于某種原因而變得無法訪問,系統命令“開始關閉計算機”無法選擇。這時,我們可以用上面的某種方法打開“任務管理器”窗口,依次單擊菜單命令“關機關閉”,即可將系統正在運行的所有程序和服務注銷掉,從而實現正常快速地關機。
從系統托盤看CPU占用情況
如果你平時經常關心系統中所有正運行的程序占用CPU資源的情況,可以在任務管理器中選擇“選項”菜單,勾選“使用時自動最小化”和“最小化時隱藏”。接下來運行Regedit打開注冊表編輯器,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支,新建一個名為Taskmanager的REG_SZ值,將其值修改為"c:\windows\system32\cmd.exe" /c "start" /min c:\windows\system32\taskmgr.exe。這樣以后開啟電腦后,就可以隨時將鼠標懸浮在系統托盤區域的一個綠色圖標上,稍等片刻,CPU資源情況就會盡收眼底了。
我的任務管理器別隨意動
【 關鍵詞 】 終端安全;網絡安全;檢查步驟和檢查手段
Introduction to Safety Protective Measures for the Classified Protection of Information
Xiong Yu-fei
(China Institute of Nuclear Science and Technology Information and Economic Beijing 100048)
【 Abstract 】 Is the main content of the thesis research work on the computer or in the network safe protection products including firewall, host monitor system, intrusion detection system, anti-virus system, media management, terminal security protection setup steps and check the means such as login system, expounds the common examination of the protective products and special inspection method, at the same time also introduces the network equipment protection measures and examination methods. Its purpose is to make the network equipment and safety protection products should play a protective role in the computer and network and optimize the network USES the safety and efficiency. Paper combining with the relevant standards and requirements are introduced in detail level to protect against the inspection steps of computer and network, inspection method, inspection methods, such as for operating the result for the unit to build a safe, reliable and conform to the standard, high-performance network office environment。
【 Keywords 】 terminal security; network security; inspection procedures and inspection method
1 引言
目前很多單位均對計算機和網絡完全隱患非常擔憂,通過大量部署安全防護產品,構建防護體系,但這些設備不是擺設,要充分發揮它的作用,并且管理人員通過這些設備掌控單位的安全狀況。本文通過對計算機與網絡安全防護措施的研究,介紹它的使用、配置和檢查手段具有重要的現實意義。其目的是使單位計算機等級保護工作做得更好,使單位的計算機和網絡更加安全可靠運行。
2 終端防護措施與檢查
在計算機的安全防護加固過程中,應首先擬定加固步驟、加固工具和手段、方式方法等,應有序地把安全防護工作按照標準要求認真仔細地完成好。首先目測計算機的放置地點是否符合要求,然后查看開機運行項目并結合標準要求做深入檢查,加固工作主要包括幾個步驟。
第一步:正確設置BIOS密碼,開機啟動項應僅為硬盤啟動。在這兩種加固中我們必須進入到Cmos程序中對System(系統管理員)和User(用戶)兩種選項進行設置,普通人員是不能進行修改操作,而操作過程必須由系統管理員來完成。采用系統管理員和普通用戶賬號登錄密碼,該兩項密碼的設置同樣由系統管理員設置完成,而普通用戶無權修改密碼口令,具體操作應由系統管理員登錄進入Windows,它可以在計算機管理的選項中,用戶中對系統管理員和普通用戶進行密碼設置。而用戶的Windows登錄方式一般有兩種,即采取雙因子認證的身份鑒別措施或用戶名與密碼相結合的方式登錄。這里應注意不同的密級應有不同的口令要求,根據不同等級設置口令長度和復雜度、更換周期、密碼登錄嘗試次數的鎖定等,該設置可以在安全防護產品中設置,如主機監控系統等,也可以在域控策略中進行統一設置,然后對用戶終端進行策略下發;還有一種就是在Windows系統本身自帶的安全策略中設置;這三種設置方法中,只要有一種進行了設置工作都符合口令安全加固要求。
第二步:完成上述設置后應有序的開始下面的檢查內容,如計算機或終端安裝安全防護產品,因為安全產品是用來對計算機的安全進行加固的工具,目前可以對計算機終端進行安全加固的產品應該包括主機監控系統、終端安全登錄系統等。在系統安全加固中,不是每個產品措施都很全面,應有互補,所以盡量把每個產品中的安全設置都配置全面,避免有漏洞。我們在檢查安全產品中也要檢查防護措施的有效性和使用情況。例如在主機監控系統中,檢查安全加固設置內容、監控客戶端行為、介質管理、身份認證等。在管理層面上,進一步檢查防護產品的進程是否正常工作,檢查計算機系統內的各種軟件安裝是否在白名單內,硬件和外設安裝是否有審批手續。 在防病毒系統中檢查是否病毒庫及時升級,注意檢查普通用戶不能非法關閉防病毒的監控功能,在實際中我們可以測試禁用監控功能,查看是否能操作,如果不能操作說明我們管理員對防病毒的設置是正確的。要正確設置計算機符合標準要求的屏保(設置屏保不超過10分鐘),該項設置可以在域控策略中進行,可以在安全產品中進行,也可以在Windows系統本身的屏保設置中進行。三種設置中,只要有一個作了,措施就有效。在檢查安全策略配置別要注意賬戶鎖定策略:賬戶鎖定時間、賬戶鎖定閥值,這些都可以通過Windows本身的密碼策略設置或域控策略設置或安全產品策略設置中完成。
第三步:終端的訪問控制措施和安全策略設置,這是一個重要的安全加固步驟。它包括系統管理員設置的賬戶應符合最小授權的訪問控制原則(不能存在多用戶、 Guest賬號、目錄共享或默認共享設置)。該項設置中我們可以進入到Windows系統的計算機管理項目中,查看對用戶的權限設置,如User用戶具有Administrator權限,就不符合最小授權原則,應予與糾正為User權限。查看是否有Guest賬號,如有說明權限過大,形成危險的帳號,該賬號應禁用。而檢查共享設置中,可在計算機管理中的共享文件選項中查看是否有$c\$d\$e$ipc等默認共享設置,也可以在域控策略中查看、核實。
第四步:設置介質綁定,這是一個重要的安全防護內容,如果未采取對介質進行綁定技術措施,容易造成該系統或計算機間接連接互聯網或非密計算機,即間接破壞了物理隔離措施。在該項檢查中可以對照注冊表或采用檢查工具,查看介質的使用記錄,在與其它網絡或計算機比對時,查看是否有同種記錄的介質,如有說明沒有采取對介質的技術綁定。
剩下的就是進一步細化檢查,如檢查是否禁止使用無線鼠標和鍵盤、物理拆除無線模塊。(建議具有相關資質的專業公司集中在單位拆除,注意本單位陪同人員配合)。關閉遠程協助功能、遠程桌面、禁用錯誤報告、關閉系統還原功能等(設置在域控或windows系統中做)。
針對上面安全加固工作,我們可以參考幾列執行命令。
系統用戶能滿足工作前提下,應符合最小授權,用戶一般包括:Administrator――具有計算機的完全且無限制的訪問權限,由系統管理員掌控;Power user ――具有較多的受限管理權限如共享文件、安裝本地打印機、更改系統時間等;User――受限權限。
采用如下命令可以查找當前用戶和權限:Net User――查看有哪些用戶;Quser.exe――用戶登錄信息;Net User用戶名――查看用戶添加信息;Lusrmgr.msc――本機用戶和組;Compmgmt.msc――計算機管理。
Secpol.msc――設置本地安全策略。
嚴禁開啟共享:Net Share――查看共享;Fsmgmt.msc――查看共享文件夾管理器;Net Start、Msconfig――查看是否啟用共享服務;Net View――查看網絡共享;
第五步:在設置終端的服務方法中原則上禁止使用FTP、Telnet、Netbios等不必要的服務進程,但根據某些應用或網絡管理可以有限開放或臨時開放,因為攻擊者很容易利用此后門的漏洞進行破壞。
所以如果按照下面步驟操作,完全可以降低風險。比如:根據需要開放80或8080端口;根據需要開放25端口,即Simple Mail Transport Protocol (SMTP)服務,它提供傳送電子郵件;有限開放21端口:即FTP Publishing Service, FTP 連接和管理;除信任管理主機外,其它主機關掉23端口;關閉Telnet服務,它允許遠程用戶登錄到系統并且使用命令行運行控制臺程序;一般情況下關閉Server服務,此服務提供 RPC 支持、文件、打印以及命名管道共享;根據郵件系統的應用需要開放25、110端口,即SMTP和POP3協議;應關閉TCP 135、139、445端口服務。關閉dhcp-client\wireless zero configuration\telnet\romote registry和messenger服務,禁止Netbios協議;關閉139端口,139端口是NetBIOS Session端口,用來文件和打印共享。在“網絡和撥號連接”中“本地連接”中選取“Internet協議(TCP/IP)”屬性,進入“高級TCP/IP設置”“WINS 設置”里面有一項“禁用TCP/IP的NETBIOS”,打勾就關閉了139端口。可以在各項服務屬性設置中設為“禁用”。
關鍵詞:遠程控制;硬件共享;EDA實驗箱;網易公開課
中圖分類號:G642 文獻標志碼:A 文章編號:1673-8454(2014)22-0081-03
一、引言
隨著現代信息網絡技術的高速發展,目前大學實驗室的教學模式改革和教學效果的提高勢在必行。在教學實踐中,我們體會到實驗室教學改革主要是基于兩個方面的考慮:一方面是如何才能為學生提供更多動手機會,目前的情況是學生往往只能在實驗室課堂上,課堂以下無法使用實驗資源,學生的動手實踐需求無法滿足;另一方面是大學實驗室的實驗設備使用率問題,特別是晚上,實驗儀器往往處于閑置狀態,怎么能最大效率使用教學設備是一個有待解決的實際問題。[1]
與大學實驗室現狀形成對比的是,近年來“在線開放課程”的教育模式迅速風靡全球。類似網易公開課,讓學習者能隨時隨地的根據自己的興趣來選擇所要學習的科目。很顯然,大學教育不能孤芳自賞,應該調動更多的人參與,高等教育與現代信息技術相結合的課程建設儼然成為我國現代高等教育發展的必然趨勢。然而這種遠程網絡教育也有著明顯的不足。現在因特網上僅實現了視頻和軟件的共享,像大學里大量的實驗教學硬件資源卻沒有得到在網絡上的共享。[2]
針對以上不足,本文提出硬件公開資源共享課這一思路。即根據現在流行的遠程思想,對放置在實驗室中的各類實驗箱(如EDA實驗箱),通過網絡進行遠程操作,再通過攝像頭、麥克風將實驗所得到的結果反饋給操作者,以此使遠端用戶得到在實驗室操作的實感。這一技術的實現既能讓學生不受時間地點的限制相對自由地進行實驗,讓網絡公開課的學習者進行實踐操作,還能讓廣大社會群眾享受到實驗室的設備與資源,進而會培養人們的創新意識、動手能力,對推動我國科技發展起到一定的積極作用。[3]
二、EDA實驗室設備遠程共享教學模式的系統構成及工作原理
1.系統的組成
該遠程開放實驗室系統由EDA實驗箱構成。當遠程實驗用戶通過互聯網登錄到開放實驗室系統時,通過通信和控制模塊取得QuartusII軟件的控制,實現了EDA實驗箱的控制,控制的現象和結果通過網絡攝像頭和其軟件傳輸給遠程實驗用戶,最后用戶體驗到身臨其境的感覺。本文設計的系統的總體結構框圖如圖1所示。
2.工作原理
本系統所應用的工作原理主要為遠程控制原理和硬件共享原理。遠程控制是在網絡上由一臺電腦遠距離去控制另一臺電腦的技術,主要通過遠程控制軟件實現。如圖2所示,使用時安裝在主控端電腦中的客戶端程序向被控端電腦中的服務器端程序發出信號,建立一個特殊的遠程服務,然后通過這個遠程服務發送遠程控制命令,控制被控端電腦中的各種應用程序運行。
這里提出的硬件共享是指通過遠程操控被控端的電腦,實現實驗箱的使用權與他人進行共享的目標,其中該實驗箱與被控端電腦相連接。再在受控方電腦上安裝帶雙向語音功能的網絡攝像頭,操控者即可在主控端電腦上觀看由攝像頭傳過來的實驗箱所顯示的實驗效果。原理如圖3所示。
三、EDA實驗室設備遠程共享教學模式的具體實現
該系統主要由遠程控制模塊、登錄管理模塊、攝像頭控制模塊這三個部分組成。
1.控制模塊的系統設計
本設計直接利用遠程控制軟件進行通信和控制,其特點是成本低、易操作。為了方便用戶登錄以及避免合法用戶發生登錄碰撞,本文建立了用戶遠程登錄管理系統。
(1)遠程控制的建立
目前,遠程操作較便捷的有三種方法:
首先是Windows系統遠程協助應用。“遠程協助”是Windows XP系統附帶的功能,不過必須得安裝MSN Messenger 6.1和Windows Messenger 4.7,并且要主控雙方協調才能夠進行“遠程協助”。其次是Windows “遠程桌面”的應用,這是一種C/S模式,客戶機可以通過TELNET登錄到高配置的服務器上,若要利用這種方式實現遠程桌面控制需要經過復雜的設置,并且需要獲得高權限才能完成電腦的完全操控。最后是遠程控制軟件。目前常用的遠程控制軟件有TeamViewer、灰鴿子、Netman、GoToMyCloud、Radmin等。用軟件實現控制時操作簡便,不需要進行復雜的設置并且使用時不需要與受控方協助完成,可以直接操作無人電腦。所以一般選擇此種方法。
本設計采用的是Teamviewer遠程控制軟件,這是在任何防火墻和NAT的后臺用于遠程控制、桌面共享和文件傳輸的簡單且快速的解決方案。為了連接到另一臺計算機,必須在兩臺計算機上同時運行軟件。該軟件第一次啟動時在兩臺計算機上自動生成伙伴ID,只需要輸入你的伙伴的ID到TeamViewer,就會立即建立起連接。[4]
(2)遠程用戶登錄界面
登錄系統界面主要是通過Microsoft Visual Basic 6.0 和Microsoft Office Access 2007軟件進行設計。設置后,每個用戶將擁有自己的用戶名和密碼以及限定的登錄時間。用戶輸入登錄信息后系統會將數據傳到數據庫中進行比對,使合法用戶成功登錄。登錄系統框如圖4所示。
(3)攝像頭和聲音信號采集
本設計使用的是凱聰公司的SIP1018網絡攝像機,它支持1個MJPEG碼流,適于本地、互聯網以及跨平臺訪問;采用CMOS傳感器,支持640*480、320*240實時視頻編碼;內置拾音器,并可外接麥克風,遠程監聽現場聲音;也可外接音箱,遠程傳送聲音至現場,實現雙向對講功能,支持回聲抑制功能;自帶紅外燈,支持8米夜視范圍;支持紅外、彩色濾光片切換,圖像不偏色(內置IR-CUT加強版);內置WEB服務器,使用一個端口傳送所有數據,便于用戶進行網絡設置。
使用前首先設置好網絡攝像機的各項局域網參數事項,例如名稱、端口號、IP地址、子網掩碼、網卡、主DNS服務器等設置,使攝像頭與受控端電腦在同一局域網下。再安裝ActiveX控件,并在IE瀏覽器中啟用此控件,即可通過瀏覽器看到由攝像頭傳過來的監控影像和聲音。
用戶登錄成功后進入攝像頭連接界面。界面中會顯示合法用戶的使用時間權限段,用戶在此時間段中能通過攝像頭站點的連接窗口順利使用監控鏡頭。
(4)數據庫建立
數據庫的建立主要是使用Microsoft Office Access 2007存儲用戶和密碼的相關數據,用以辨別使用者是否為合法的用戶和用戶規定上網的時段合法;如果是合法用戶則進入攝像頭連接頁面,相反則提示“用戶錯誤”信息。[5]
2.受控的軟硬件平臺
(1)軟件平臺
EDA的開發軟件使用Quartus II,該軟件支持遠程調用。該設計工具完全支持VHDL、Verilog的設計流程,其內部嵌有VHDL、Verilog邏輯綜合器。QuartusII與MATLAB和DSP Builder結合可以進行基于FPGA的DSP系統開發,是DSP硬件系統實現的關鍵EDA工具。目前能夠進行遠程的實驗包括流水燈實驗、八段數碼管動態顯示實驗、16*16點陣顯示實驗、電子琴實驗等。
(2)硬件平臺
目的是進行網絡教學的本實驗箱,重點突出了聲光的效果。這樣能夠讓遠程用戶感受到效果,該實驗箱由EP2C5芯片為核心構成,上面有LED、八段數碼管、16*16點陣、喇叭、蜂鳴器等資源,實驗現象很容易遠程表現。電路如圖5所示。
四、EDA實驗室設備遠程共享教學模式的實現效果
該系統顯示界面效果如圖6所示,系統實物圖如圖7所示。遠程登錄后采集到實驗箱效果如圖8所示。
五、結論
由于該系統可以在宿舍和學校其他實驗室里很方便地使用EDA實驗箱,學生能夠主動自學EDA技術,因此將極大地激起他們對電子設計的興趣,鼓勵更多學生投入到各種電子設計的比賽中。進一步,在學生學習數字電路技術基礎等課程時,他們可以在課余時間利用此系統在EDA實驗箱上自己動手設計電路,將所學的知識活學活用到實際中,直觀地感受到電路產生的實際效果,這有助于他們更好地理解書本上的知識點,避免了書本和實際的脫離,因此,該教學模式將推動本課程的教學水平和教學質量得到極大地提高。
實際測試結果表明,此硬件共享系統可以滿足用戶對于不受空間限制地使用實驗設備的需要,具有較高的可用性及實用性。針對在登錄過程中出現合法用戶碰撞登錄的問題,本文提出了設置各合法用戶使用時間權限的方案,通過登錄測試證明此方案的可行性和有效性。與此同時,本教學實驗系統也具有一定的局限性,例如用戶過多時限制使用時間的分配等。如果可建立更大的網絡,將更多的實驗室添加到此網絡中進行公開,再繼續完善登錄界面以及用戶數據庫,則可讓社會上更多的人使用到這些實驗設備,讓實驗室資源得到充分利用。本硬件共享系統具有強大的推廣、提升潛力和廣闊的實際應用前景。[6]
參考文獻:
[1]金高松,鄭萍,任鳳娟,張建剛.基于WebAccess的新型遠程實驗控制系統研究[J].微計算機信息, 2009(19):41-42,10.
[2]桑托希?潘德.在國際背景下遠程教育的規劃與管理[J].中國遠程教育,2004(11):40-47.
[3]劉外喜,劉文喜,喻萍等.基于在線實驗室的教學模式的研究[J].微型機與應用,2011(14):51-53.
[4]Deepak Srinivasa gup ta and Babu Joseph. An Internet-mediated process control laboratory[J]. IEEE Control Systems Magazine, 2003, 23(1):11-18.
關鍵詞:ServU FTP 漏洞 防護
近年來,隨著互聯網的快速發展,網站大量涌現。目前除專門維護的獨立服務器外,絕大多數虛擬主機和Web服務器都采用FTP方式實現數據上傳下載。而在所有FTP服務軟件中,Serv-U以其操作簡單、功能強大而被廣泛運用,市場占有率極高。它設置簡單,功能強大,性能穩定,支持Windows全系列操作系統。Serv-U使得搭建FTP服務器變得簡單便捷。Serv-U不僅完全符合通用FTP標準,也包括眾多的獨特功能可為每個用戶提供文件共享完美解決方案。它可以設定多個FTP 服務器、限定登錄用戶的權限、登錄主目錄及空間大小等。此外還支持SSL FTP傳輸,支持在多個Serv-U和FTP客戶端通過SSL加密連接保護您的數據安全等。但是,隨著Serv-U的大面積使用,一些攻擊者也針對Serv-U開展攻擊,暴露出很多嚴重漏洞。有些漏洞如不加以處理,可以使黑客輕而易舉地獲取整個服務器的超級管理員帳號,并可以遠程開啟3389端口并實現遠程桌面鏈接,將服務器完全暴露于人,導致不可挽回的重大損失。本文旨在提出一些切實可行的方法,徹底杜絕由Serv-u帶來的安全隱患。
1.Serv-U的提權漏洞分析
Serv-U安裝后,在本機有一個默認監聽端口,即127.0.0.1:43958。默認情況下這個端口只有在本地才能連接。默認管理賬號是LocalAdministrator,默認密碼是"#l@$ak#.lk;0@P",這個密碼是內置固定的。所以幾乎所有的針對Serv-U的攻擊木馬便是利用此漏洞來添加Serv-U用戶的,比如增加一個將主目錄指向C盤的全權限管理員用戶,就能將服務器的關鍵目錄全部暴露于黑客監控之下。下面我們用一個常用的ASP木馬舉例說明。
我們知道,在當前絕大多數虛擬主機中,一臺服務器上往往存放多個站點,服務器管理員會為每個網站管理員分配一個FTP帳號來實現文件的上傳下載。網站管理員憑借FTP帳號可以登錄到服務器,并且對其所在的目錄擁有全部權限(添加、修改、刪除、運行等)。一般情況下,用戶無法越過自己所在的主目錄,因此網站文件的安全性比較有保障。但是倘若用戶上傳一個普通Web代碼編寫的木馬程序到FTP目錄,并運行之,如果服務器對執行權限限制不足,就會調用SHELL指令實現對系統的操作。比如,網上常見的ASP版的Serv-U提權木馬,上傳到FTP目錄后,運行之后可以輕松添加Serv-U帳號。如下圖所示。
提權成功后,攻擊者可以直接通過木馬執行命令添加操作系統的管理員帳戶,并且管理員帳戶是隱藏的(在普通windows的用戶管理界面中無法發現)。如果成功,用這個帳戶遠程登錄到服務器,創建一個克隆的管理員帳戶,將這個賬戶的名稱設置成與系統正常管理員賬戶相似的名稱,如SQLDebugger等,非常具有迷惑性,一般管理員無法發現。攻擊者便掌握了整臺服務器。
2.Serv-U使用中的安全防護策略
2.1 Serv-U安裝中的安全策略
Serv-U安裝時安裝目錄的選擇是安全性的第一步。首先不應安裝在默認的系統盤目錄里,因為此目錄極易被猜到。另外,系統盤的權限控制也比較嚴格,不利于下一步對Serv-U的運行身份進行限制。因此建議安裝在自定義的目錄中。在安裝選擇中,Serv-u的用戶配置文件有兩種方式,一種是存放在注冊表,一種是存放在ServUDaemon.ini文件,推薦使用存放在.ini文件里面的方式,這種方式便于Serv-U軟件的升級,也便于重裝系統后的ftp用戶的恢復,在權限設置上也相對方便。本文中我們假設serv-u軟件放在的的D:\soft\Serv-U目錄里。
2.2 Serv-U的運行權限設置策略
Serv-U安裝后,默認以系統用戶中的SYSTEM權限運行。這是一個權限極高的用戶,如果Serv-U被黑客攻擊的手,就可以借助SYSTEM權限進行危險性操作。因此,要給Serv-U單獨的、較低的用戶權限運行。具體方法是:
(1)在計算機管理中新增帳戶ftp,設置用戶不能更改密碼,密碼永不過期,并設置一個復雜的密碼,更改ftp用戶隸屬于權限較低的Guests組(默認是USERS組),也可以設置為不屬于任何組。
(2)啟動Serv-U(這時是使用默認的system權限運行的),選擇本地服務器,自動開始,將Serv-U設置為系統服務,這樣服務器在每次重啟時Serv-U就會自動啟動,這里我們主要利用其可以在服務中配置給Serv-U單獨用戶。
(3)設置D:\soft\Serv-U目錄的權限為只保留administrators,ftp兩個用戶的權限,權限都是完全控制即可,并將權限應用到所有子目錄。
(4) 在計算機管理中找到服務,找到Serv-U FTP 服務器,右鍵屬性,在登錄選項卡中將登錄身份從本地系統帳戶改為此帳戶,帳戶選擇ftp,并輸入設置好的密碼。確定后會提示將在服務重啟后生效,重新啟動后,Serv-U就在低權限下運行了,如圖所示。
(5)上傳目錄權限的設置。因為Serv-U是用ftp這個帳戶運行的,所以上傳的目錄給予ftp用戶的完全訪問權限。比如我們可以設置D、E、F盤的權限為administrators和ftp完全控制的權限,System權限不需要設置,這就實現了在不影響FTP使用的前提下,一定程度上提高了這些目錄的安全性。
2.3 Serv-U密碼保護策略
針對權限提升等重大漏洞,采用Serv-U密碼保護策略能夠較好地封堵該漏洞。也就是所有增加刪除修改serv-u的用戶及更改設置的操作,都需要經過本地密碼驗證。可能有些管理員認為服務器密碼只有本人知道,攻擊者無法登錄服務器,就無法增加serv-u帳戶了,所以就不設置密碼,這就埋下了巨大的安全隱患。在Serv-U中設置密碼保護非常簡單,只需要按照向導完成即可。
另外,通過本文第一節的分析不難看出,Serv-U采用固定的用戶名密碼作為默認管理帳號是非常不安全的。其實,我們可以通過對Serv-U主程序servUAdmin.exe的反編譯,強行修改其默認密碼,以保證安全性。方法如下:
用UltraEdit-32打開Serv-U安裝目錄下的可執行文件servUAdmin.exe ,如圖所示,查找關鍵字“LocalAdministrator”和“#l@$ak#.lk;0@P”,將這兩個字符串修改為等長度的字符串保存即可,注意因為我們是對編譯后的exe文件進行修改,不能改變其長度,否則程序將出錯,因此一定是等長度的。再打開ServUDaemon.exe,重復上述操作,并保證兩次修改的內容一致。 經過設置Serv-U本地管理密碼和修改Serv-u文件后,通過Web木馬雖然也能提示執行命令成功,但實際服務器卻沒有任何變化,權限提升失敗。FTP服務器安全性大大增強。
3.Serv-U的工作模式和防火墻設置
很多管理員可能都發現,在開了防火墻的服務器上利用FTP傳輸總有這樣那樣的小問題,傳輸數據“不夠流暢”。究其原因,主要是FTP服務器的工作模式導致的。
3.1 主動FTP模式下的防火墻設置
主動FTP模式是指客戶端從一個任意的非特權端口N(N>;1024)連接到FTP服務器的命令端口,也就是21端口。然后客戶端開始監聽端口N+1,并發送FTP命令“port N+ 1”到FTP服務器。接著服務器會從它自己的數據端口(20)連接到客戶端指定的數據端口(N+1)。
在主動模式下,在防火墻設置中必須允許以下通訊才能支持主動方式FTP:任何端口到FTP服務器的21端口 (客戶端初始化的連接 S);FTP服務器的21端口到大于1023的端口(服務器響應客戶端的控制端口 S->C); FTP服務器的20端口到大于1023的端口(服務器端初始化數據連接到客戶端的數據端口 S->C);大于1023端口到FTP服務器的20端口(客戶端發送ACK響應到服務器的數據端口 S)。
3.2 被動FTP模式下的防火墻設置
被動模式頁腳PASV方式,當客戶端通知服務器它處于被動模式時才啟用。 在被動方式FTP中,命令連接和數據連接都由客戶端,這樣就可以解決從服務器到客戶端的數據端口的入方向連接被防火墻過濾掉的問題。當開啟一個FTP連接時,客戶端打開兩個任意的非特權本地端口(N >; 1024和N+1)。第一個端口連接服務器的21端口,但與主動方式的FTP不同,客戶端不會提交PORT命令并允許服務器來回連它的數據端口,而是提交PASV命令。這樣做的結果是服務器會開啟一個任意的非特權端口(P >; 1024),并發送PORT P命令給客戶端。然后客戶端發起從本地端口N+1到服務器的端口P的連接用來傳送數據。
對于服務器端的防火墻來說,必須允許下面的通訊才能支持被動方式的FTP:從任何端口到服務器的21端口 (客戶端初始化的連接 S);服務器的21端口到任何大于1023的端口 (服務器響應到客戶端的控制端口的連接 S->C);從任何端口到服務器的大于1023端口 (入;客戶端初始化數據連接到服務器指定的任意端口 S);服務器的大于1023端口到遠程的大于1023的端口(出;服務器發送ACK響應和數據到客戶端的數據端口 S->C)。
4.結語
綜上所述,Serv-U作為當前最流行的FTP服務器軟件之一,具有很多有點,但也因為軟件本身漏洞和使用者安全意識和防范措施不夠等原因帶來很問題,嚴重威脅服務器安全。本文根據筆者從事服務器管理的經驗,提出了一系列加強FTP服務器安全防范的具體辦法,如果能夠嚴格注重以上幾點,基本可以實現安全地使用Serv-u。當然,服務器的安全是一個整體,任何地方的疏忽都有可能造成整個服務器的安全隱患,要保證服務器安全,還需要不斷從整體上予以強化。
參考文獻
[1]如何增強FTP服務器安全性.計算機與網絡[J].2007年06期
關鍵詞:視頻通信 應用實現 通信技術
隨著人們對視頻和音頻信息的需求愈來愈強烈,追求遠距離的視音頻的同步交互成為新的時尚。近些年來,依托計算機技術、通信技術和網絡條件的發展,集音頻、視頻、圖像、文字、數據為一體的多媒體信息,使越來越多的人開始通過互聯網進行各方面通訊,縮短了時區和地域的距離。
一、視頻通信概述
視頻通信實質上是多媒體技術、計算機網絡技術與現代通信技術相結合的產物。它通過多媒體技術和網絡通信技術的支持,為不同地域的人們提供了類似與面對面的交流方式,為身處異地的人們提供了一個相互討論問題并可協同工作的環境,它集計算機的交互性、通信的分布性,以及電視的真實性為一體,具有明顯的優越性。
二、視頻通信的組成
(一)組成
一個視頻通信系統包括節點機和通信網絡兩部分。典型的會議節點機主要由音/視頻獲取設備、回放設備、媒體編解碼器、通信接口卡和會議功能模塊構成。網絡部分主要指支持實時多點傳輸的網關和信道。完整的視頻會議系統的邏輯結構模型由六大模塊構成:(1)人際交互模塊,即視頻會議系統的人機界面。(2)會議文檔部件,包括會議文檔的自動生成、管理和查詢等功能模塊以及與數據庫的接口模塊。(3)媒體處理部件,包括音、視頻信息的獲取、編碼、回放等處理模塊。(4)共享空間部件,包括共享空間管理模塊、電子白板及應用過程共享功能模塊。(5)會議管理部件,包括會議的發起、與會人員的管理(加入/退出)、會話建立以及會議結束等處理模塊。
(二)軟硬件與網絡條件
要進行網絡視頻通信,需要一定的軟件和硬件設備作為支撐。
1.所需硬件環境。
要使用網絡視頻會議,除了要有一臺較高性能的多媒體計算機或顯示屏外,還需要配備攝像頭、麥克風、音箱或耳機等外部設備,其中最主要的設備為攝像頭,它是用來進行視頻獲取的一個重要硬件,攝像頭分為模擬攝像頭和數字攝像頭兩大類,前者捕獲的為模擬視頻信號,需要將其輸入到視頻捕捉設備進行數字化后方可轉換到計算機中使用。而數字攝像頭可以直接捕捉影像,然后通過串、并口或者USB接口傳到計算機里。
2.所需軟件環境。
(1)操作系統軟件:目前絕大多數的網絡視頻會議軟件都支持Windows 98/Me/2000/XP/2003系統,另外也可有一些視頻會議軟件支持在Linux等非Windows系統中運行。
(2)網絡視頻軟件:要進行網絡視頻會議,必須借助于網絡視頻會議軟件。網絡視頻會議軟件支持點到多點的視頻會議應用,即可以在用戶之間,也可以實現多個用戶進行聯機視頻會議。
(3)其他軟件:音頻連接模塊、網絡交換機、多媒體加速軟件、多媒體編碼/解碼軟件等。
3.承載網絡。
要在網絡視頻通信系統中使用視頻,用戶必須具有可供視頻流暢傳輸的網絡鏈路,也就是說用戶必須具有足夠帶寬的局域網環境和寬帶接入Internet的網絡環境。
三、視頻通信系統的實現
NetMeeting作為一款免費網絡電話與協作辦公工具,它除了支持視頻、音頻的實時交流外,還提供了文檔與應用程序共享、電子白板和遠程桌面共享等多種功能,是一款用于網絡視頻通信的優秀軟件,使用它我們可以輕松的進行網上視頻通信。
(一)安裝視頻軟件
首先,檢查需要進行視頻通信的系統中是否安裝了視頻軟件,如果沒有安裝,可以通過填加組件的形式進行安裝。
(二)連接信息設置
確認NetMeeting已經安裝在系統后,單擊“開始”>“程序”>“附件”>“通信”>“NetMeeting”命令,啟動程序。首次運行NetMeeting,軟件會出現一個向導,要求用戶信息進行簡單的設置,單擊“下一步”按鈕,輸入個人信息。接下來,向導要求用戶設置網絡連接方式,可以根據具體的網絡連接情況選擇ADSL、局域網等。單擊“下一步”按鈕跳過NetMeeting服務器設置,此時向導會要求對計算機聲卡和麥克風進行測試。單擊“下一步”按鈕完成向導之后,即可進入NetMeeting主界面。
(三)開始視頻通信
1.新建視頻通信。單擊“呼叫”“主持會議”命令新建一個視頻會議,在彈出的“主持會議”對話框中設置會議名稱(不能使用中文名)和密碼,然后,將“會議工具”中的“共享”、“聊天”、“白板”、“文件傳送”四個復選框全選上,單擊“確定”按鈕。
2.呼叫主機。建立會議后,與會的計算機即可呼叫主持會議的主機,方法是單擊“呼叫”“新呼叫”命令,或單擊NetMeeting面板中的“呼叫”按鈕,打開發出“呼叫”的對話框,輸入IP 地址,并單擊“呼叫”按鈕即可對主機進行呼叫。
3.接入驗證。此時,被呼叫方的計算機中會出現是否應接呼叫的對話框,單擊“接受”按鈕。然后,撥入方計算機即可登錄會議,如果在“主持會議”對話框中設置了會議密碼,此時還會彈出一個對話框要求用戶提交驗證密碼。
4.進行視頻通信。各個不同地方的參與視頻通信的人員,只需要單擊主界面中的“開始視頻”按鈕,即可發送視頻流。將發言請求發送到中心站的服務器上,由主會場主持人來確定允許還是否定發言請求,一旦確定可以發言,即可實現通話。
(四)其他功能
NetMeeting界面下方有四個按鈕,分別對應了“共享”、“聊天”、“白板”和“文件傳送”四項主要功能(這四項功能需要在會議屬性中啟用,否則在非會議中處于不可用狀態):
1.“共享”功能。通過共享功能可以便于同其他會議參加者在獲得授權后控制本地主機上的應用軟件進行演示與操作。
2.“聊天”功能。單擊“聊天”按鈕,NetMeeting會彈出一個聊天對話框,可以對所有或某一與會者發送聊天信息。
