分类目录归档:Windows

SysinternalsSuite工具介绍

发表回复
sysinternals 的网站创立于1996年由Mark russinovich和布赖科格斯韦尔主办其先进的系统工具和技术资料.微软于 2006年7月收购sysinternals公司 . 不管你是一个IT高级工作者还是一个开发者,你都会发现sysinternals工具可以帮助您管理、故障分析和诊断你的Windows系统和应用程序. 如果您有关于如何使用这些工具的问题,请访问sysinternals论坛从其他用户和我们的团队获取解答和帮助.
其中包含
AccessChk
为了确保创建安全的环境,Windows 管理员通常需要了解特定用户或用户组对文件、目录、注册表项和 Windows 服务等资源具有哪种访问权限。AccessChk 能够通过直观的界面和输出快速回答这些问题。
AccessEnum
这一简单但强大的安全工具可以向您显示,谁可以用何种访问权限访问您系统中的目录、文件和注册表项。使用此工具可查找权限漏洞。
AdExplorer
Active Directory Explorer 是一个高级的 Active Directory (AD) 查看器和编辑器。
AdInsight
一种 LDAP(轻型目录访问协议)实时监视工具,旨在对 Active Directory 客户端应用程序进行故障排除。
AdRestore
恢复已删除的 Server 2003 Active Directory 对象。
Autologon
登录过程中跳过密码屏幕。
查看哪些程序被配置为在系统启动和您登录时自动启动。Autoruns 还能够完整列出应用程序可以配置自动启动设置的注册表和文件位置。
BgInfo
此完全可配置程序会自动生成桌面背景,其中包含有关系统的 IP 地址、计算机名称、网络适配器及更多内容的重要信息。
BlueScreen
此屏幕保护程序不仅精确模拟“蓝屏”,而且也模拟重新启动(完成 CHKDSK),并可在 Windows NT 4、Windows 2000、Windows XP、Server 2003 和 Windows 9x 上工作。
CacheSet
CacheSet 是一个允许您利用 NT 提供的功能来控制缓存管理器的工作集大小的程序。它与 NT 的所有版本都兼容。
ClockRes
查看系统时钟的分辨率,亦即计时器最大分辨率。
您是否希望迅速对您频繁使用的文件进行碎片整理?使用 Contig 优化单个的文件,或者创建连续的新文件。
Coreinfo
Coreinfo 是一个新的命令行实用工具,可向您显示逻辑处理器与物理处理器之间的映射、NUMA 节点和它们所处的插槽,以及分配给每个逻辑处理器的缓存。
Ctrl2cap
这是一个内核模式的驱动程序,可在键盘类驱动程序上演示键盘输入过滤,以便将 Caps-Lock 转变为控制键。在此级别过滤允许在 NT 刚好要“看到”键之前变换和隐藏键。Ctrl2cap 还显示如何使用 NtDisplayString() 打印初始化蓝屏的消息。
Sysinternals 的另一个优先程序:此程序截取设备驱动程序对 DbgPrint 的调用和 Win32 程序生成的 OutputDebugString。它允许在不使用活动的调试器的情况下,在本地计算机上或通过 Internet 查看和记录调试会话输出。
Desktops
使用这一新的实用工具可以创建最多四个虚拟桌面,使用任务栏界面或热键预览每个桌面上的内容并在这些桌面之间轻松地进行切换。
Disk2vhd
Disk2vhd 可简化从物理系统到虚拟机 (p2v) 的迁移。
DiskExt
显示卷磁盘映射。
Diskmon
此实用工具会捕捉所有硬盘活动,或者在您的系统任务栏中象软件磁盘活动灯一样工作。
DiskView
图形磁盘扇区实用工具。
Disk Usage (DU)
按目录查看磁盘使用情况。
EFSDump
查看加密文件的信息。
此易用命令行实用工具将显示哪些进程打开了哪些文件,以及更多其他信息。
将十六进制数字转换为十进制及反向转换。
接合点
创建 Win2K NTFS 符号链接
LDMDump
转储逻辑磁盘管理器在磁盘上的数据库内容,其中说明了 Windows 2000 动态磁盘的分区情况。
ListDLLs
列出所有当前加载的 DLL,包括加载位置及其版本号。2.0 版将打印已加载模块的完整路径名。
LiveKd
使用 Microsoft 内核调试程序检查真实系统。
LoadOrder
查看设备加载到 WinNT/2K 系统中的顺序。
LogonSessions
列出系统中的活动登录会话。
使您可以安排在系统下一次重新启动时执行移动和删除命令。
NTFSInfo
用 NTFSInfo 可以查看有关 NTFS 卷的详细信息,包括主文件表 (MFT) 和 MFT 区的大小和位置,以及 NTFS 元数据文件的大小。
对您的分页文件和注册表配置单元进行碎片整理。
PendMoves
枚举在系统下一次启动时所要执行的文件重命名和删除命令的列表。
PipeList
显示系统上的命名管道,包括每个管道的最大实例数和活动实例数。
PortMon
通过高级监视工具监视串行端口并行端口的活动。它能识别所有的标准串行和并行 IOCTL,甚至可以显示部分正在发送和接收的数据。3.x 版具有强大的新 UI 增强功能和高级筛选功能。
ProcDump
这一新的命令行实用工具旨在捕获其他方式难以隔离和重现 CPU 峰值的进程转储。该工具还可用作用于创建进程转储的一般实用工具,并可以在进程具有挂起的窗口或未处理的异常时监视和生成进程转储。
找出进程打开了哪些文件、注册表项和其他对象以及已加载哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者
实时监视文件系统、注册表、进程、线程和 DLL 活动。
ProcFeatures
这一小程序会报告处理器和 Windows 对“物理地址扩展”和“无执行”缓冲区溢出保护的支持情况。
在远程系统上执行进程。
查看远程打开的文件。
显示计算机或用户的 SID。
获取有关系统的信息。
v1.13(2009 年 12 月 1 日)
终止本地或远程进程。
显示有关进程和线程的信息。
显示登录到某个系统的用户。
转储事件日志记录。
更改帐户密码。
查看和控制服务。
关闭并重新启动(可选)计算机。
挂起和继续进程。
PsTools
PsTools 套件包括一些命令行程序,可列出本地或远程计算机上运行的进程、远程运行进程、重新启动计算机、转储事件日志,以及执行其他任务。
RegDelNull
扫描并删除包含嵌入空字符的注册表项,标准注册表编辑工具不能删除这种注册表项。
RegJump
跳至 Regedit 中指定的注册表路径。
RootkitRevealer
扫描系统以找出基于 Rootkit 的恶意软件。
SDelete
安全地覆盖敏感文件,并使用此符合 DoD 的安全删除程序清理先前删除文件所在的可用空间。
ShareEnum
扫描网络上的文件共享并查看其安全设置,以关闭安全漏洞。
ShellRunas
通过方便的 shell 上下文菜单项,作为另一个用户启动程序。
Sigcheck
转储文件版本信息并检查系统中的映像是否已进行数字签名
显示 NTFS 备用数据流。
在二进制映像中搜索 ANSI 和 UNICODE 字符串。
将缓存数据刷新到磁盘。
活动套接字命令行查看器。
VMMap 是进程虚拟和物理内存分析实用工具。
VolumeId
设置 FAT 或 NTFS 驱动器的卷 ID。
查看 Internet 地址的所有者。
WinObj
基本对象管理器命名空间查看器。
屏幕上进行缩放和绘图的演示实用工具。
二、Sysinternals Suite 小工具下载排行前10名(靠上的越受欢迎)
Process Explorer
Process Monitor
PsTools
PageDefrag
RootkitRevealer
TcpView
BgInfo
BlueScreen
NewSid

How to removing a pending update that is preventing a successful boot

发表回复

How to removing a pending update that is preventing a successful boot

Hi,

For an unknown reason (my guess is an update was automatically applied and automatically restarted), my computer rebooted overnight and in the morning was stuck in a failed boot loop. When trying to boot I get the message:

"Preparing to configure windows"

"Do not turn off your computer"

Then after a few seconds the computer reboots and does the same thing. Safe mode yields the same result. Using the F8 option to restore last known good configuration doesn't change anything. I can boot into the recovery console.

I have tried running SFC /SCANNOW in a command prompt in the recovery console and get the message:

"There is a system repair pending which requires reboot to complete. Restart Windows and run sfc again."

Restarting of course doesn't change anything. So it seems something happened to an unfinished update and is still pending. I think if I can remove this pending update I might be able to boot normally, or at least run SFC and hopefully then boot
normally.

Does anyone know what I should try to remove this pending update that appears to be preventing a successful boot?

Thanks!

 

Hello deuce_mn,
This is the command to run when booted offline at a recovery command prompt
dism.exe /image:C:\ /cleanup-image /revertpendingactions
This is supposed to revert all pended updates, however if System Restore is not working, then there may be other issues as wellThanks, Darrell Gorter This posting is provided "AS IS" with no warranties, and confers no rights. VAMT - Volume Activation Management Tool - Download link
http://www.microsoft.com/downloads/details.aspx?FamilyID=ec7156d2-2864-49ee-bfcb-777b898ad582&displaylang=en

 

来源:http://www.networksteve.com/windows/topic.php/How_to_removing_a_pending_update_that_is_preventing_a_successful/?TopicId=33762&Posts=0

SFC says “There is a system repair pending which requires reboot to complete. Restart Windows and run sfc again”

发表回复

Frequently when I’ve removed a virus, I want or need to run the SFC /scannow repair program. Quite often it seems, in Windows 7 and Vista, the command can’t run an returns an error message of:

“There is a system repair pending which requires reboot to complete. Restart Windows and run sfc again.”

Try as one might and regardless of whether you can boot into Safe Mode or are using the Recovery Console, this error just won’t go away. However, I have found a command finally that overcomes this problem. On a machine that I was working on today, from the Recovery Console command prompt I entered:

dism.exe /image:C:\ /cleanup-image /revertpendingactions

其中的盘符,虽然系统安装在C盘,但在用安装盘修复系统时不一定是C盘,要根据系统提示确定

After that, I rebooted the machine into Safe Mode (this particular computer would boot to Safe Mode but is BSODing when booted to normal mode). In Safe Mode, I opened an elevated command prompted and issued the SFC /scannow command and it now runs.

 

来源:http://blog.crosbydrive.com/?p=339

 

How to Check / Repair the Windows System Files from a Command Prompt at Boot

发表回复

This shows how to start the PC and open a command prompt at boot so the Windows system files can be checked and repaired if possible, if the PC will not start to Windows normally or in safe mode.

Note
For those that are dual/multi booting or if the Windows Recovery Environment (WinRE) does not 'see' the Windows Operating System needing repair, see Method Two below.

Let's get started!

In the BIOS set the boot order to boot first from the CD/DVD Drive, insert the Windows full version installation DVD or a created repair CD and restart the PC.

Method One

For Windows 7 and Vista full version installation media, after the "Press any key ... " black screen do steps #1 & #2 then skip down to step #5 below to continue.

For a Windows system repair disk start at step #3 below.

1) At the Select Language screen click next.

click any image to enlarge
Language

2) At the next screen click Repair your Computer.

Repair

3) For a Windows created repair CD, after the "Press any key ... " black screen there will be a Loading Files screen.

Loadind

4) Then click Next for this System Recovery Options dialog box.

Recovery

5) At this System Recovery Options dialog box, make sure there is a dot at "Use Recovery Tools" and be sure to make note of the Location drive letter as it probably will not be C: and the correct drive letter must be entered in the following steps; then click Next.

Letter

6) At this System Recovery Options dialog box click Command Prompt.

Command

7) In the command window that opens type this command below and hit the <enter> key, be sure to use your drive letter, where mine is F: for this demonstration yours probably will not be the same.

Code:
 
sfc /scannow /offbootdir=f:\ /offwindir=f:\windows

Type

8) You will get a blinking curser while it checks and attempts to repair any issues it may find, it could take quite a bit of time to complete.

Type2

9) To close the command window after the scan type exit and hit the <enter> key.

Type3

Though my demonstration / test found no errors to repair, yours may and if it does it may take you running this command a couple separate times to completely repair any issues it finds so don't give up after just one attempt.

For further important information on this process, see Option Two of this tutorial at the link below.

SFC /SCANNOW Command - System File Checker

10) To restart the PC when the command window closes, remove the Windows / repair disk from the ODD and click Restart in the System Recovery Options dialog box that's still open.

Restart

Method Two

It has been suggested by Brink to include this method for those dual/multi booting and for those that have issues with WinRE 'seeing' the Windows Operating System partition needing repair.

In the BIOS set the boot order to boot first from the CD/DVD Drive, insert the Windows full version installation DVD or a created repair CD and restart the PC so diskpart can be started, if need be, view this tutorial for those methods.

How to Boot to DISKPART at PC Startup

1) In the diskpart command window type list volume and hit the <enter> key.

2) After it lists the volumes type exit a single time and <enter>.

ckick to enlarge
DISKPARTSources2

3) Now type the command below using your specific volume drive letters <enter>.

If you are dual/multi booting or have a System Reserved partition as I do and the system boot files are stored on a separate partition than the Operating System partition needing repair, in any case, the volume drive letter where the system boot files are stored goes in the first part.

offbootdir=c:

In the second part you would use the volume drive letter for the Windows OS partition you want to attempt the repair on.

offwindir=f:

Code:
 
sfc /scannow /offbootdir=c:\ /offwindir=f:\windows

4) You will get a blinking curser while it checks and attempts to repair any issues it may find, it could take quite a bit of time to complete.

DISKPARTscan

5) Though my demonstration / test found no errors to repair, yours may and if it does it may take you running this command a couple separate times to completely repair any issues it finds so don't give up after just one attempt.

For further important information on this process, see Option Two of this tutorial at the link below.

SFC /SCANNOW Command - System File Checker

DISKPARTexit

6) To close the command window after the scan type exit and hit the <enter> key.
Then remove the Windows disk from the ODD and restart the PC to start Windows.

Enjoy

 

来源:http://www.sevenforums.com/tutorials/139810-sfc-scannow-run-command-prompt-boot.html

局域共享解决——用户账户限制,可能的原因包括不允许空密码,登录时间限制,或强制的策略限制

发表回复

在客户端访问共享遇到的错误之八:

错误提示框为如图:用户账户限制,可能的原因包括不允许空密码,登录时间限制,或强制的策略限制

 

如果出现这个提示说明你的访问模式为“经典”,同时你的共享机子用户名和你访问机子的用户名相同,并且共享机子此用户没有设置密码。解决方法有几个:

(1) 到开始—运行—输入gpedit.msc 回车—计算机配置—windows 设置—安全设置—本地策略—安全设置—“账户:使用空白密码的本地账户只允许进行控制台登录”—改为“已禁用”。如图:

 

即可解决问题。但这样看起来用户没有密码好像不是很安全。建议设置密码。

(2) 更改访问模式。把“经典”改为“仅来宾”。到开始—运行—输入gpedit.msc 回车—计算机配置—windows 设置—安全设置—本地策略—安全设置—“网络访问:本地用户的共享和安全模式”改为“经典”

(3) 可以更改客户端的当前用户来解决。如新建一个用户用cfanhome,密码为123,用这个用户登录。再在共享机上创建些用户和密码。可以不登录。也就可以解决此问题。

 

来源:http://blog.csdn.net/siwei19870827/article/details/7796200

 

Win 2003安全检测 让入侵者无处可藏

发表回复

   Windows Server 2003是服务器版的系统,个人用户时有使用,但其多被用来做服务器的系统平台。攻击者更愿意获取其控制权,因此它面临的安全威胁也最大。往往的情况是,我们的系统遭到攻击甚至被入侵而我们不为所知。可见,除了安全部署,做好系统的入侵检测也是非常重要的。那应该从哪些方面进行检测,如何检测呢?

  一、常规检查

  1.查看系统中的“陌生人”

  攻击者在入侵系统后,为了长期控制系统往往要创建系统帐 户,这帐户往往是管理员组的。比如敲入命令“net user lw "test168" /add & net localgroup administrators lw /add”(不含引号)就创建了一个用户名为lw,密码为test168的管理员用户。这就是系统中的“陌生人”,我们必须要清除出去。

  对于这样的用户,我们可以在命令提示符(cmd.exe)下敲入“net user”或者打开“计算机管理”,展开“本地用户和组”查看administrators组是否有陌生帐户添加以确定入侵。当然,一个狡猾的入侵者不会 这么做,他们会通过各种方法进行帐户的隐藏。其常用的伎俩不外乎四种:

  (1).激活Server 2003的Guest用户,并把其加入管理员组。对此,管理员一定要查看在administrators组中是否有个guest用户。如果存在,几乎可以肯定Server 2003被入侵了。

  (2).创建隐藏帐户。入侵者在帐户的后面加“$”,比如把上面的命令改为“net user lw$ "test168" /add & net localgroup administrators lw$ /add”,就创建了一个lw$用户,该用户在命令提示符(cmd.exe)下输入“net user”命令是看不到的,但在“本地用户和组”中可以看到。

  (3).克隆帐户。这应该是入侵者最常使用的,他们往往会克隆administrator帐户,这个帐户无论在命令提示符、“本地用户和组”设置注册表的“sam”项下也无法看到,隐蔽性极高。对此,管理员必须得通过工具才能查看系统中是否有克隆帐户。笔者推荐mt.exe,mt被很多杀毒软件定义为木马,也是攻击者进行帐户克隆的首选工具,但其也可以让系统中克隆帐户现行。

  具体操作是:在命令提示符下进入mt目录输入命令:mt -chkuser。输入命令后,会在屏幕中输出结果,主要查看ExpectedSID和CheckedSID,如果这两个值不一样则说明账号被克隆了。在 本例中可以看到账号simeon$的CheckedSID跟Administrator的CheckedSID值一样,说明simeon$克隆了 Administrator账号。(图1)

   


(4).Rookit帐户。通过Rootkit创建的帐户具有克隆帐户隐藏的所有特点,也具有非常高的隐蔽性。对于这样的危险帐户的清除首先要清除系统中的Rookit程序,只有把其清除了,所有的隐藏帐户就会显形。笔者推荐工具RootKit Hook Analyzer,其可以分析检测系统中的Rootkit程序并用红色显示出来,然后管理员就可以结束它。(图2)

    

2.检查当前进程情况

  进程是非常重要的一项,通过其可以查看是否可疑的程序在系统中运行。在一般情况下,可以通过“任务管理器”查看Server 2003进程情况,在其“进程”选项卡下Server 2003当前显式进程一目了然。甄别是否是危险进程,管理员要对系统进 程或者常用程序的进程比较了解。对于拿不准的进程或者说不知道是Server 2003上哪个应用程序开启的进程,可以在网络上搜索一下该进程名加以确定。比如大家可以在“进程知识库” (http://www.dofile.com)进行查看比对。该网站比较详细地列举了“系统进程”、“应用程序进程”、“存在安全风险的进程”。当然,病毒、木马的进程是可以由攻击者更改的,但它们为了达到目的往往会在进程名上做文章,一般会取一个与系统进程类似的名称。通常迷惑手段是变字母o为数字0,变字母l为数字1,如svch0st.exe、exp1orer.exe等,此时要仔细辨别。(图3)

   



虽然Windows Server 2003集成了进程查看器,但其功能比较简陋而且对一些通过Hook或者Rootkit方式插入正常系统进程或者隐藏的进程显得无能为力。笔者推荐类似IceSword(冰刃)这样的工具,通其可以查看进程的线程及其该进程调用的模块信息,从而帮助管理员找到隐藏的进程。(图4)

   

3.检查系统文件

 

  攻击者在入侵中或者入侵成功后,会在系统文件上做文章隐藏保护入侵工具(一般是木马的客户端)。其主要手段是替换同名的系统文件(exe和dll文件),或者实施系统文件与木马的捆绑。

  检测系统文件,笔者建议在Server 2003系统安装完毕之后用“dir *.exe /s >1.txt”将系统盘所有的exe文件列表保存下来。这样,在检测时,先该命令生成一份当前Server 2003系统盘文件列表,然后用FC命令比较两个文件从而发现可疑文件,对于dll文件的检测方法类似。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。(图5)

   


对于被捆绑的系统文件的安全检测,笔者建议可以通过SFC命令还原纯净的系统文件。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。

  4.检查目录权限

  Server 2003支持NTFS文件格式,我们一般要对磁盘、目录的权限往往经过严格的设置。这些设置加固了系统安全, 限制的攻击者的入侵。因此,攻击者在攻击过程中或者攻击完成后,往往要对目录的权限进行调整,以方便自己后期的使用。比如攻击者在获得一Web站点的 webshell后,就要进行进一步的渗透、提权等操作,其中对于目录权限的突破是一个手段。所以,对于磁盘、目录权限的检测也是系统入侵检测的一个重要方面。(图6)

   


(1).需要检查权限的磁盘、目录有:系统盘 及其它分区,%windir%、%windir%\system32、%windir%\system32\inetsrv、%windir% \system32\inetsrvdata、"documents Settings",如果是虚拟主机还应该有每个Web站点的目录。

  (2).对于用serv-u部署的FTPServer 2003,需要查看serv-u安装目录的权限是否做过变动。

  (3).检查system32下的某些重要系统命令的权限有无更改,这些命令文件是:cmd、net、ftp、tftp、cacls等。

  5.检查启动项

  攻击者在控制Server 2003后,往往会上传一个木马服务端,这个服务端除了注册为系统Server 2003外,有的会添加到系统启动项里随系统启动。因此,对Server 2003的入侵检测启动项也是一个重要的地方。

  启动项的检查可用的方法主要有以下三个:

  (1).Msconfig工具。运行该工具,在“启动”选项卡下可以看到随系统启动的程序,只需取消对可疑程序启动的勾选即可。

  (2).regedit(注册表)工具。运行该工具,定位到如下注册表项下进行检查:

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

  以上的键值会出现在msconfig的“启动”项中。

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

  以上的键值比较隐蔽

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

  "Shell"="EXPLORER.EXE,*.exe"

  *为某病毒或者木马的可执行文件,这种方法非常隐蔽,被当前的许多病毒采用。

  (3).专门工具。这样的工具比较多,比如RegRunFirst就不错。运行后点选左边相关的注册表启动项项,就可以看到该项下的启动程序。

  另外,"C:\Documents and Settings\Administrator\「开始」菜单\程序\启动"也是个比较危险的地方。比如攻击者获得了一WebServer 2003的webshell,没有命令执行权限但具有对该目录的写权限,就可以向该目录上传木马程序等Server 2003重启后木马也就运行了。(图7)

   

二、容易被忽视的安全角落

 

  1.检查系统服务

  攻击者在攻克Server 2003后,往往会上传一个木马的服务端从而实现对Server 2003的远程控制。这些木马的服务端往往是以服务的形式随系统启动而运行的。对这木马服务端的检测,可以通过系统的“服务”工具实现。

  运行services.msc,检查处于已启动状态的服务,查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性,查看该服务所对应的可执行文件是什么,如果确定该文件是系统内的正常使用的文件,可粗略放过。查看是否有其他正常开放服务依存在该服务上,如果有,可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上,可暂时停止掉该服务,然后测试下各种应用是否正常。对于一些后门由于采用了hook系统API 技术,添加的服务项目在服务管理器中是无法看到的,这时需要打开注册表中的HKEY_LOCAL_MACHINE\SYSTEM \CurrentControl\SetServices项进行查找,通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。

  需要提醒的是,这些木马的服务端在生成之前都可以进行设置。比如服务端运行后进程的名称、释放的目录、Server 2003描述等,所以管理员一定要仔细辨别。(图8)

   


2.查看相关日志

  Server 2003中的日志有很多类,与笔者认为与入侵检测相关首先是“安全”日志,该日志记录了用户(本地或者远程)系统的详细信息。另外,与Server 2003中运行的服务相关的比如DNS、IIS等也是入侵检测中特别注意的。

  运行eventvwr.msc,点击“安全性”就可以在右边看到与安全相关的日志。比如第一条日志显示LW用户在2008-6-21的12:46:23远程登陆了系统图9,如果管理员自己没有登录或者系统中本来没有该用户,那么就可以断定Server 2003被入侵了。(图9)

   

Server 2003中的日志信息往往非常多,要对这么多的日志信息进行分析显然是不可能的,我们可以在日志记录上点右键选“属性”,在“筛选器”中设置一个日志筛选 器根据自己的需要进行筛选,过滤无用的信息。如果要分析Web是否被入侵,可以打开“IIS管理器”定位到其日志文件进行查看。不过,web日志是非常多 的,因此需要通过专门的工具进行分析,比如“Web Log Explorer”就是一款不错的工具,可以查看浏览者的IP及其该IP访问、下载或者修改了哪些文件等等。(图10)

   


正因为,日志会记录入侵者的踪迹。所有狡猾的入侵者往往在入侵后会对日志进行操作,擦除入侵痕迹。常见的手段是:

  (1).删掉日志。这是最低级的做法,虽然消除了日志,但也暴露了入侵者自己。如果是这样,管理员看到日志被删除可以马上断定Server 2003被入侵。

  (2).部分删除。一些比较高明的入侵者在入侵结束后会删除日志中与自己相关的部分。如果这样,管理员可以实施对日志的监控保护,一旦发现日志有删除的痕迹就可以进行入侵检测。

  (3).部分修改。这是一些高明的入侵者采用的方法,他们在入侵结束后会修改与自己相关的日志,以欺骗管理员或者嫁祸于人,金蝉脱壳。对才,管理员可以采取同上的方法,不过还要进行一定的分析。

  最后,笔者以一个安全爱好者的角度建议管理员一定要备份好Server 2003的日志。

  3.检查安全策略是否更改

  Server 2003的安全级别比较高,其默认的安全策略限制了攻击者的很多行为,因此他们在入侵过程中或者入侵后往往对Server 2003的安全策略进行调整设置以利用对Server 2003的长久控制。所以,安全策略检测也是Server 2003入侵检测的一个重要方面。

安全策略检测主要从下面几个方面入手:

  (1).协议相关:打开“本地连接”的属性,查看“常规”中是否只勾选了“TCP/IP协议”。因为一个安全的Server 2003其他的选项是不需要,但这也许是攻击者所需要的。

  (2).TCP/IP筛选:打开“TCP/IP”协议设置,点“高级”→“选项”,查看“IP安全机制”是否是设定的IP策略,查看“TCP/IP”筛选允许的端口有没有被更改。

  (3).IP安全策略:依次打开“管理工具”→“本地安全策略”,查看目前使用的IP安全策略是否发生更改。

  (4).本地策略:在“本地安全策略”查看“本地策略”下的“用户权限分配”和“安全选项”相关策略有无更改。比如“使用空白密码的本地帐户只允许进行控制台登录”策略默认是“启用”的,攻击者可能基于远程登录的需要会改为“已禁用”。(图11)

    


总结:Windows Server 2003不管是作为个人系统还是服务器系统安全检测是非常重要的。只要我们提高警惕,进行针对上述系统敏感区域的检测就能够在极大程度上提升系统安全,让入侵者无处可藏。

 

来源:http://www.56cto.com/html/Microsoft/4/3/40764.html

 

WIN2003服务器防止黑客入侵5大招--防止被建管理员用户

发表回复
    管理windows 2003服务器的时候,相信大家一定是用远程桌面来进行管理,首先一定要关闭不必要的端口,同时要把默认的3389端口修改掉。通过注册表修改3389端 口的办法,相信大家一定知道了。如果不知道,搜索下就有了。除了这些,还有几招很有用的操作。
    一、关闭电脑大门,禁止新建用户
在入侵了一台电脑后,黑客一般先会使用“net user用户名 密码/add”命令新建一个用户,并用“net localgroup administrators 用户名/add”命令,将新用户添加到Administrator管理员组中。这样黑客就可以用添加的用户名登录,并拥有管理员权限了。如何才能防止用户 添加新用户呢?
可以看到在黑客添加新用户的过程中,net命令是必不可少的,如果让黑客无法运行net命令的话,也就间接的阻止了黑客新建用户。net命令的执行文件位 于系统目录“c:\windows\system32”下,文件名为“net.exe”,我们只要将此文件重命名,改为如“netno.exe”等。当黑 客入侵后添加新用户时,就会显示命令错误,从而无法新建用户了。
    二、陌生人不得入内,禁止新建用户登录
如果碰上比较厉害的黑客,他们可能会使出“杀手锏”,自己上传一个“net.exe”文件,从而恢复新建用户名的功能。魔高一尺,道高一丈,我们依然有办法对付这招——直接禁止新建的用户登录,对黑客下一道逐客令,黑客即使拥有管理员帐号,也无法登录。
打开资源管理器,定位到文件夹“C:\Documents and Settings”,可以看到在此文件夹下有以系统中用户名命名的目录,这些目录中就包含了每个用户登录信息。其中“Default User”目录管理着所有用户默认配置,每个新建的用户在首次登录时,都必须从这个目录中调用一些信息。首先将此文件夹改名,例如可改为“No Users”。
当黑客新建了一个普通权限的用户,在第一次登录时将出现错误无法登录成功,会提示“……无法加载您的配置文件……”,这就禁止了黑客以新帐号登录。但是如 果黑客新建立的是一个管理员权限用户时,虽然也会弹出无法加载配置文件的提示,但是系统还会允许新建的管理员登录。这是因为存放管理员的默认配置文件存放 在另一个目录中,路径为“C:\WINDOWS\system32 \config\systemprofile”,将“systemprofile”文件夹改名后,即可防止任意新建的管理员用户登录了。

三、揪出克隆的帐号

经过上面的两个步骤,黑客已经无法在我们的系统中添加任何帐户了,但是这还不能保证帐号足够安全,因为高明的黑客一般是不会主动添加帐号的,而是采用最隐 藏厉害的“帐号克隆”。顾名思义,帐号克隆就是对某个帐号所具有的权限进行完整的复制,黑客一般是对系统中已有的帐号Guest进行复制,克隆提升成具有 管理员权限的用户帐号,而被克隆的帐号往往看不出丝毫破绽,依然显示为原来的普通权限。
1.克隆帐号现身
具体如何克隆帐号这里就不多说了,我们主要来看看如何让克隆帐号现身。一般克隆的Guest帐号,在“用户帐户”管理器中会显示为Guest组,而且是未 启用激活状态,但是却具有管理员权限,登录后可进行各种管理员权限的操作,危害十分的大。如何才能检测出这类克隆帐号呢?
这里使用一款名为LP_Check的帐号克隆检测工具,程序运行后检测系统中的所有用户帐号信息,如果发现某一个帐号有问题的话,会在列表中以红色三角符号重点标记出来,并在“Important”中提示发现隐藏或克隆的管理员帐号。

2.清除克隆帐号

检测出了系统中的克隆管理员帐号后,需要清除已克隆的帐号。但是由于Guest帐号是内置帐号,因此无法直接通过帐号管理器将其删除。虽然可以更改该帐号 的密码,让黑客无法用该帐号登录,不过该帐号依然还是具有管理员权限,非常的危险,因此需要清除克隆帐号所具有的权限。
在命令提示符下进入MT所 在的文件夹,执行命令“mt-killuser guest”,提示“Kill User: guest Success!”删除Guest帐号成功。执行命令“net user”,显示系统中的所有用户列表,可以看到Guest帐号已经不存在了。最后再执行命令“net user guest”,重新添加一个Guest帐号,新添加的帐号权限就恢复正常了。
    补充:其他的一些手段
    1. 修改默认的来宾帐号
    2.修改默认的管理员帐号
    3.不允许管理员组远程控制,只允许指定的管理员使用远程桌面。

windows 2003 IIS 6.0 支持中文URL

发表回复

今天在做一个站的时候,发现网站文件夹里面好多含有中文名字的图片,本来嘛,就对中文不是支持很好的,况且这么多,进后台生成网站,打开发现好多图片直接显示叉叉,右击属性发现显示不出来的都是含有中文文件名的图片,直接复制文件途径也是无法显示

 

进入服务器发现这个文件确实存在的,打开其他含有中文名的文件都是这样显示的

没办法,只有百度了,百度到的方法如下:

修改注册表
local machine-> system->currentControlset->services->inetinfo->
paramters->favordbcs 由1改为0,重启iis即可

按照上面的方法,但是没有找到这个dword值 favordbcs ,于是新建了一个dword

 

不会修改或增加的可以下载本文下的附件,直接导入注册表即可

添加好了一会,重启IIS ,发现还是一样,还是显示不了……无语ing……

没办法,继续研究搜索中,终于在微软的官网上看到一点信息:如果服务器上安装了UrlScan的话还需要将AllowHighBitCharacters打开。

于是打开C:\WINDOWS\System32\Inetsrv\URLscan,找到UrlScan.ini文件,打开以后修改AllowHighBitCharacters=1就可以了,如图

 

然后重启iis,发现终于看到图片了,真不容易……

下面是微软的一些解释:

  • AllowHighBitCharacters=0

    默认情况下,此选项设置为 0。如果将此选项设置为 0,则 URLScan 拒绝任何包含非 ASCII 字符的请求。这样可以防止某些类型的攻击,但同时可能也会禁止对某些合法文件的请求,如带有非英文名的文件。

 

URLScan官方配置说明:http://support.microsoft.com/kb/326444/zh-cn

来源:http://www.koohik.com/blog/windows-2003-IIS-6-0-BuZhiChiZhongWenWenJianMing-ZhongWenWenJianMing-ZhaoBuDao-JieJueBanFa.html

更改2003远程桌面端口3389为其他端口号

发表回复

Windows 2000系统中的远程终端服务是一项功能非常强大的服务,同时也成了入侵者长驻主机的通道,入侵者可以利用一些手段得到管理员账号和密码并入侵主机。下面,我们来看看如何通过修改默认端口,防范黑客入侵。

远程终端服务基于端口3389。入侵者一般先扫描主机开放端口,一旦发现其开放了3389端口,就会进行下一步的入侵,所以我们只需要修改该务默认端口就可以避开大多数入侵者的耳目。

步骤:打开“开始→运行”,输入“regedit”,打开注册表,进入以下路径:

 

 

 

 

 

 

 

 

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server \Wds\rdpwd\Tds\tcp],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如6111。

再打开[HKEY_LOCAL_MACHINE \SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp],将PortNumber的值(默认是3389)修改成端口6111。

修改完毕,重新启动电脑,以后远程登录的时候使用端口6111就可以了。

 

 
1. 打托管商电话要求机房手动强制重启. 2.使用专用远程连接器. 如果以上两条不方便实现,那请看下面这条最方便的吧 用如下命令形式解决超过最大连接数问题 运行 mstsc /v:IP /console ,比如 就可以连接到远程系统的的会话。mstsc /v:211.211.0.5 /console 其实这主要是mstsc参数的了解,可通过mstsc /?学习一下。 远程桌面连接 MSTSC [<Connection File>] [/v:<sever[:port]>] [/console] [/f[ullscreen]] [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /? <Connection File> [...]

 

来源:http://hi.baidu.com/luoxueyuan/blog/item/c971d51143725302b8127bbf.html

如何使用 Windows Server 2003 终端服务连接到并隐藏控制台会话

发表回复

在 Windows Server 2003 中,当您使用终端服务时,可以连接到控制台会话(会话 0),并同时打开到该会话的隐藏会话(前提是您不能从该控制台会话连接)。使用这一附加功能,您就可以远程登录到运行终端服务的基于 Windows Server 2003 的服务器,并与会话 0 进行交互,就像您实际位于计算机的控制台前一样。该会话还可以被隐藏,这样远程用户和实际位于控制台前的本地用户就可以看到同一个会话并与该会话进行交 互。

如何连接到控制台会话

连接到基于 Windows Server 2003 的服务器的控制台会话时,不需要任何其他用户事先登录到该控制台会话。即使没有人登录到该控制台,您也可以像实际位于该控制台前一样登录。

要从基于 Windows Server 2003 的远程计算机连接,请打开命令提示符,然后键入下面的命令:

mstsc -v:服务器名 /F -console

XP 下连接W2K3的调用命令是:mstsc -v:服务器名 /f  /admin

其中 mstsc 是远程桌面连接的可执行文件,-v 指定要连接到的服务器,/F 指定全屏模式,-console 则是连接到控制台会话的指令。

使用该命令时,您将打开远程桌面会话,当登录信息通过验证后,您就连接到了在基于 Windows Server 2003 的服务器上运行的控制台会话。如果某个用户当前正在使用该计算机上的控制台会话,您将收到下面的错误信息:

The user domain\username is logged locally on to this computer.The user has been idled for number minutes.The desktop is unlocked.If you continue, this user's session will end and any unsaved data will be lost.Do you want to continue?

然后,当前控制台会话的用户将被注销,并且您将收到一条消息,表明计算机当前被锁定,只有管理员可以解除锁定。

注意:如果控制台会话用户和终端服务会话用户是同一用户,您将可以正常进行连接。

如何隐藏控制台会话

要 隐藏控制台会话,请先从另一台计算机打开到基于 Windows Server 2003 的服务器的远程桌面连接。默认情况下,所有版本的 Windows Server 2003 中都会安装 Windows Server 2003 远程桌面连接实用工具。您可以使用该实用工具或“如何连接到控制台会话”一节中介绍的 Mstsc 命令行实用工具,但是应省略 -console开关。打开该回话后,在会话中启动命令提示符,然后键入下面的命令以启动控制台的隐藏会话:

shadow 0

输入并发送该命令后,将收到下面的消息:

协商远程控制许可时,您的会话似乎已冻住。请稍候...

在服务器上的控制台会话中,将收到下面的消息:

\用户名 正在请求远程控制您的会话。
接受请求吗?

如果服务器上的控制台会话用户单击“是”,您将自动连接到基于 Windows Server 2003 的远程服务器上的控制台会话。如果服务器控制台的用户单击“否”或不响应,您将在远程计算机上的命令提示符处收到下面的错误信息:

Remote control failed.Error code 7044
Error [7044]:The request to control another session remotely was denied.

要从远程端断开隐藏会话,请按 Ctrl + *(在数字键盘上),您就会返回到建立的到基于 Windows Server 2003 的服务器的原始会话。

如果您登录到运行终端服务的服务器的控制台,并尝试在该计算机的控制台中隐藏另一个用户的会话,将收到下面的错误信息:

Your session may appear frozen while the remote control approval is being negotiated.Please wait...
Remote Control Failed.Error Code 7050.
Error [7050]:The requested session cannot be controlled remotely.
This may be because the session is disconnected or does not have a user logged on.Also, you cannot control a session remotely from the system console and you cannot remote control your own current session.

如果基于 Windows Server 2003 的服务器没有配置为允许远程控制,您将收到下面的错误信息:

Remote control failed.Error code 7051
Error [7051]:The requested session is not configured to allow Remote Control.

要将基于 Windows Server 2003 的服务器配置为允许远程控制,请按照下列步骤操作:

  1. 打开“组策略”管理单元 (Gpedit.msc)。
  2. 在左窗格中,展开“计算机配置”分支下的“管理模板”分支。
  3. 展开“Windows 组件”分支。
  4. 单击“终端服务”文件夹。
  5. 在右窗格中,双击“为终端服务用户会话的远程控制设置规则”。
  6. 在“设置”选项卡上,单击“已启用”。
  7. 在“选项”框中,单击“经用户授权完全控制”,然后单击“确定”。

 

来源:http://support.microsoft.com/kb/278845