彙整

Posts Tagged ‘資安’

封鎖 W32/Agent.C659!tr.dldr 垃圾病毒(Fortigate)

2009 年 11 月 19 日 發表留言

最近測試在 Fortigate 310B,看到擋到了一堆病毒訊息,雖然知道有擋到該病毒(擋掉附件 module.zip),但是垃圾郵件還是照常傳送進來,因此忍不住查詢了一下Log,整理之後,手動將之加入黑名單內。

該病毒是透過 smtp 傳送進來的,如果能在解析郵件標頭時,就先過濾掉的話,就不用再經過防毒機制掃描附件了,而且該封郵件也直接在防火牆就過濾掉了,不至於還跑進內部來。

當然,如果可以知道來源IP,則連解析郵件的動作都能省略,可惜這次的IP真的很多。 閱讀更多…

分類:MIS維護 標籤:, ,

[FileServer] 如何知道檔案是誰放進來的、誰刪除的–Active Directory 應用

2008 年 12 月 25 日 1 則迴響

測試環境:區域網路(Active Directory 環境)內的 File Server 主機 (Windows 2003 Server)

應用方法:設定或修改資料夾(或文件)的稽核策略。

 

設定方法如下: 閱讀更多…

分類:MIS維護 標籤:, ,

列出本地計算機上已經安裝的Hotfix

2008 年 10 月 30 日 發表留言

由於 Windows 2000 Server 的[新增移除程式]中沒有[最近更新]選項,安全性更新也無法集中顯示微軟的 Hotfixs,有時候想檢查一下該Server是否有最新的安全性更新,實在是很麻煩。(Windows XP/2003 以上可以勾選[最近更新],並能集中歸類方便查看。)

以下的資料雖然有點舊,但是需要時還是能增加一些方便。

文章來源:枚舉本地計算機上已經安裝的Hotfix

(原帖的討論: http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=5&id=501485

討論區的程式碼比較完整,節錄如下:

在%systemroot%下會有hotfix安裝的時候產生的log,類似KB839645.log
也可以將下面的腳本保存為.vbs,執行它。

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
  & "{impersonationLevel=impersonate}!\\" _
  & strComputer & "\root\cimv2")
Set colQuickFixes = objWMIService.ExecQuery _
  ("Select * from Win32_QuickFixEngineering")
Set objFS = CreateObject("Scripting.FileSystemObject")
Set objNewFile = objFS.CreateTextFile("InstallHotfixes.htm")
objNewFile.WriteLine "<html>"
objNewFile.WriteLine "<head>"
objNewFile.WriteLine "<title>Installed Hotfixes Report</title>"
objNewFile.WriteLine "</head>"
objNewFile.WriteLine "<body>"
objNewFile.WriteLine "<h3>Hotfixes Report -- Date: " _
  & Now() & "</h3>" & vbCrLf
objNewFile.WriteLine "<table style=font-size:9pt border=1>"
objNewFile.WriteLine "<tbody><tr>"
objNewFile.WriteLine "<td>Computer: </td>"
objNewFile.WriteLine "<td>Description:</td>"
objNewFile.WriteLine "<td>Hotfix ID:</td>"
objNewFile.WriteLine "<td>Installation Date:</td>"
objNewFile.WriteLine "<td>Installed By:</td>"
objNewFile.WriteLine "</tr>"
For Each objQuickFix in colQuickFixes
  objNewFile.WriteLine "<tr>"
  objNewFile.WriteLine "<td>" _
   & objQuickFix.CSName & "</td>"
  objNewFile.WriteLine "<td>" _
   & objQuickFix.Description & "</td>"
  objNewFile.WriteLine "<td>" _
   & objQuickFix.HotFixID & "</td>"
  objNewFile.WriteLine "<td>" _
   & objQuickFix.InstallDate & "</td>"
  objNewFile.WriteLine "<td>" _
   & objQuickFix.InstalledBy & "</td>"
  objNewFile.WriteLine "</tr>"
Next
objNewFile.WriteLine "</tbody></table>"
objNewFile.WriteLine "<body>"
objNewFile.WriteLine "<html>"
objNewFile.Close
Set objShell = Wscript.CreateObject("Wscript.Shell")
objShell.Run "InstallHotfixes.htm"

PS:記得將<>及空白的全型改成半型,

分類:MIS維護 標籤:,

透過GPO取得區域ClientPC端的使用者權限

2008 年 10 月 28 日 發表留言
文章來源:獲取客戶端域用戶賬戶權限|net localgroup計算機啟動腳本

原文轉成繁體整理如下:

問題:有個需求想咨詢一下,我是否可以實現抽取AD帳戶在各個PC機上的權限級別。比如帳戶username1 在PC1 所屬administrators ,在PC2上所屬 users。不知我的需求是否明白,請告知我方法謝謝~

回答:根據您的描述,我對這個問題的理解是:您想獲取域用戶帳號在客戶端的組(Group)信息。如果我的理解有誤,請告訴我。

目前沒有工具可以直接完成您的要求,不過系統內置的 net 命令可以部分的達到您的目的。

具體步驟如下:

1,製作一個啟動腳本,其中命令為


Net localgroup >\\server\share\group.txt
Net localgroup administrators >\\server\share\group.txt
Net localgroup power users >\\server\share\group.txt
Net localgroup users >\\server\share\group.txt
….

2,將這一腳本加入組策略(GPO)的啟動腳本裡,讓所有計算機運行。
這些命令中第一條將列出統計需要的計算機名稱,然後逐一顯示已知組的成員列表。這樣即使區域用戶在自定義組裡也能很快定位其所屬的組(Group),從而知道他們獲得了什麼權限。
您需要在服務器上配置一個可寫共享資料夾,讓用戶將相關信息寫入服務器文件裡。
當然如果腳本編寫的更精細一點可以讓輸出以計算機名命名(比如net localgroup > \\server\share\%COMPUTERNAME%.txt)。

Sean Cai 蔡怡林 微軟全球技術支持中心
—————————————————

測試批次檔內容如下:(GetLocalGroupRight.BAT)


@echo off
set SERVERNAME=TPDC1
set SHAREFOLDER=Share
Net localgroup > \\%SERVERNAME%\%SHAREFOLDER%\%COMPUTERNAME%.txt
Net localgroup administrators >> \\%SERVERNAME%\%SHAREFOLDER%\%COMPUTERNAME%.txt
Net localgroup "power users" >> \\%SERVERNAME%\%SHAREFOLDER%\%COMPUTERNAME%.txt
Net localgroup users >> \\%SERVERNAME%\%SHAREFOLDER%\%COMPUTERNAME%.txt
set SERVERNAME=
set SHAREFOLDER=

其中
SERVERNAME={要存放的電腦名稱}
SHAREFOLDER={要存放的共用資料夾名稱,權限要能寫入。}
請記得把 “>" (全形)改為正常的 “>" (半形)。

測試成功後,看到導出的文字檔內容–有點亂,發覺暫時沒啥用處,除非能更進階的整理。

分類:MIS維護 標籤:, ,

更改本地管理員密碼的腳本(修)

2008 年 10 月 27 日 2 留言

參考資料:

  1. 更改本地管理員密碼的腳本(Winmag亞洲技術社區)
  2. 運行腳本權限問題! – 微軟中文技術論壇(MSDN and TechNet)
  3. 更改 Windows 本地管理員密碼(微軟中國)
  4. 在域控制器上如何一次修改屬於這個域的計算機的管理員密碼?-by gnaw0725
  5. GPUpdate 刷新组策略设置(使组策略立即生效) — Windows XP/2003 以上 (2008-10-27 新增)

討論內容節錄如下:(參考資料1)

Dim oWshNetwork
Set oWshNetwork = WScript.CreateObject("WScript.Network")

Dim strComputer
strComputer = oWshNetwork.ComputerName
'WScript.Echo strComputer

Set objUser = GetObject("WinNT://" & strComputer & "/Administrator, user")
objUser.SetPassword "testpassword"
objUser.SetInfo

微軟的範例:(參考資料3,4)

'Changing the Local Administrator Password.vbs
'*****************************************************
'
' file: Changing the Local Administrator Password.vbs
' Author: Microsoft
'
'*****************************************************
strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrator,user")
objUser.SetPassword "testpassword"
objUser.SetInfo

——————————————————以下2008-10-27新增
或者寫一個 Batch File 內容如下: (假設命名為 ChangeAdminPW.BAT)

@echo off

NET USER Administrator testpassword

  • 再將該 Batch file or VBS放置在 \\{DC}\sysvol\{domain}\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\USER\Scripts\Logon
  • 進入 群組物件編輯器 –>GPO 的 使用者設定 –> Windows 設定 –> 指令碼 – (登入/登出) –> 登入 –> 新增
  • GPO更改完成之後,可在 CMD 下輸入以下指令,使更新過的GPO策略立即生效。(參考資料4)
    • 以下指令 Windows 2000 Server 適用
      secedit /refreshpolicy MACHINE_POLICY
    • 以下指令 Windows 2003 Server 適用
      gpupdate /force 
  • 在DC共享出去的 netlogon 文件夾上,注意domain computers是否有加到權限表裡。(參考資料2) --感謝changdiao的提醒,此段文字內容我沒有詳加確認就放上去,在此刪除。(2008-11-17)
  • 以下是 Netlogon 的相關權限畫面:(僅供參考,方便爾後對照 – 2008-11-17)imageimageimage
    • 一般只要是網域的User,登入之後就會執行。Everyone 只要給 Read 權限即可。Authenticated Users 的 Default 權限如上圖。
  • 以上作法,每登入一次就會執行一次。

———————————————–以上2008-10-27新增及修改

以上密碼為明碼, 也可使用下列二種工具來編碼之後,再設定在GPO上:
1.可使用 Script Encoder 來編碼 (Screnc.exe)

2.可使用 VBS2EXE 工具編譯成EXE

分類:MIS維護 標籤:, , ,

Wireshark 1.0.4 免安裝版

2008 年 10 月 23 日 發表留言

資料來源: 阿榮福利味Wireshark 1.0.4 免安裝版

軟體簡介: 抓網路封包必備免費軟體
原始首頁: Wireshark
下載網頁: http://www.wireshark.org/download.html

免安裝下載連結:

執行狀況如下:

  • 直接執行會解壓縮,選擇一個路徑給它,例如: 桌面。
    • 阿榮福利味 提供的,會自動建立 WiresharkPortable 資料夾。
    • 原始網站下載的,會要你先建立一個資料夾給它,預設也是使用 WiresharkPortable
  • 如果電腦上沒有 WinPCap 他會自動要你安裝(此版會安裝 WinPCap 4.2,沒測試如果先安裝好 WinPcap 狀況會如何)
  • 安裝完之後會跳出下列的畫面 (=..=),不過還是可以繼續執行。
  • image
  • 程式關閉之後,跳出下列視窗要反安裝 WinPcap
  • image

看來還蠻綠色的,如果作為MIS維護工具的話,還是很OK,至少維護完之後,不用記住還要反安裝 WinPcap。

分類:軟體, MIS維護 標籤:, , ,

IDS and IPS 雜記

2008 年 10 月 20 日 發表留言

以下節錄自: 誰對國內IDS市場比較熟悉,希望能做些介紹!

  • IDS和IPS是兩個完全不同的概念,IDS是將網絡事件進行呈現。而IPS是對網絡非法和異常數據進行阻斷。
  • 目前IDS產品已經是過時的產品了,早些年國外國內各個安全廠商都在IDS這個產品上使足了勁,其中國外著名的品牌如ISS公司,SYMANTEC公司,CA,Mccfee公司,國內的相中科網威,綠盟科技,啟明星辰等等吧,廠商太多了,說不過來了。。
    目前大家都把視線放到了IPS上來,用來終結IDS系統,使得安全防護更加人性化和可靠性。IPS系統現在就是各個廠商發展的重點,我想,現在的天下應該是IPS的天下了。至於誰家的產品功能更強大,性價比最好,那還要看測評機構的認可了。
  • IDP(入侵檢測和防護)
  • IDP是netscreen對自己IPS的稱呼。
  • IPS是IDS的防火牆版,絕對稱不上防火牆的升級版,IPS的主要功能還是IDS的那些,只是增加了部分攔截功能,但也只能作為防火牆的輔助
  • cisco和juniper提供的netflow功能確實可以在一定程度上具備IDS的功能,但是它不查看具體的數據報內容,所以也不是普遍意義上的ids。
    對netflow數據的深入分析和挖掘,確實可以做到發現網絡上的異常現象,並定位異常流量原因,從而從骨幹網這一級做一些防範措施,這一點在防範DDOS攻擊,以及突發事件處理方面具有重要的意義。
  • IDS產品發展趨勢就是IDS服務
  • 在很多的ids用戶那裡發現,網管人員往往都對ids的報警熟視無睹。因為,多數的ids會將各種攻擊一股腦的報告出來。現在掃瞄盛行,公網中的主機每天遭到的掃瞄多的去了。網管起初對那些報警都很注意,可是成天都是那些掃瞄的報警就使得網管逐步的不再去過問ids的報警信息。於是,ids就只能在那裡默默地吶喊了,或者是在除了大問題後作為事後查證之用。好在現在有的ids已經能夠判斷攻擊的成功與否了。我個人認為ids只是把攻擊特徵比對後報警是遠遠不夠的。

——————————————————————————

Internet Security System公司的RealSecure (ISS) — IDS產品

Proventia G系列50M,100M的硬件IDP

每一款IPS都不可能涵蓋所有已經出現過的攻擊

IDS是幫助用戶自我評估、自我認知的設備,而IPS或防火牆是改善控制環境的設備。IPS注重的是入侵風險的控制,而IDS注重的是入侵風險的管理。

IPS不等於FW+IDS
倒是有UTM的提法UTM=FW+IPS+Antivirus….etc

以下節錄自: 快手緝兇:2006年度IPS公開橫向比較測試

——————————————————————————

IPS 2400E表現最好,它可以實現即插即用的安全防禦,它工作在橋模式,無需設置IP地址,對於企業網中的所有流量來說都是透明的,它支持2000多種過濾器,但它缺省就啟動了超過1000條的安全過濾器。在保持出廠配置條件下,我們模擬的攻擊,幾乎都能觸發準確報警,並有超過半數的攻擊流被丟棄掉了。在它提供的報警中,包含了最為詳細的解釋說明,比如CVE編號和漏洞介紹以及相關鏈接等內容。我們實施的攻擊中,只有一項不在IPS 2400E的防禦範圍之內,在72小時內,TippingPoint完成了新過濾器的更新。在其升級後的版本中,我們重複測試了該項目,它能夠準確報警並阻斷。我們發現,所匹配的新的過濾器有著和其他過濾器一樣的標準格式。其結果如表1所示。

  FortiGate-800作為一款UTM,它支持透明和路由兩種方式,我們在測試中將產品配置成透明模式。當啟用IPS功能後,它可以防禦超過2000種的攻擊。在其默認配置中,它的攻擊告警多數都是啟動的,不過只有少部分的攻擊阻斷是打開的,用戶可以根據自己的需要開啟對某些攻擊的阻斷,配置過程也很簡單。Fortinet也在我們規定的時間內完成了對自己產品的更新。其結果如表2所示。

———————————————————————————-

區分IDS與IPS

■ IDS注重的是網絡安全狀況的監管

● 用戶進行網絡安全建設之前,通常要考慮信息系統面臨哪些威脅

● 需要考慮這些威脅的來源以及進入信息系統的途徑

● 需要考慮信息系統對這些威脅的抵禦能力如何

■ IDS需要部署在網絡內部的中心點

■ IDS需要觀察所有網絡數據

■ IPS關注的是對入侵行為的控制

● 首先用戶需要明確信息系統安全建設方案

● 其次需要制定各種安全策略

● 最後用戶需要在入侵防禦系統中實施邊界防護安全策略

■ IPS需要部署在網絡的邊界

■ IPS必須實時分析網絡數據

———————————————————————————-

其他參考文章:

NIDS和HIDS比較

分析:IPS与IDS的价值与应用比较

IDS和IPS,看似重疊,實際不同

[週報全文]告別紛爭的日子:IDS與IPS應用比較
分類:MIS維護 標籤:,
%d 位部落客按了讚: