Windows下权限设置详解[2]

权限是有高低之分的，有高权限的用户可以对低权限的用户进行操作，但除了Administrators之外，其他组的用户不能访问 NTFS 卷上的其他用户资料，除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。

　　我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情，这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊，利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码，这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录，特洛伊木马可能使用管理访问权重新格式化您的硬盘，造成不可估量的损失，所以在没有必要的情况下，最好不用Administrators中的用户登陆。

　　Administrators中有一个在系统安装时就创建的默认用户----Administrator，Administrator 帐户具有对服务器的完全控制权限，并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 Administrators 组删除 Administrator 帐户，但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上，所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说，他们通常都会重命名或禁用此帐户。Guests用户组下，也有一个默认用户----Guest,但是在默认情况下，它是被禁用的。如果没有特别必要，无须启用此账户。我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。

　　我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录，选择“属性”--“安全”就可以对一个卷，或者一个卷下面的目录进行权限设置，此时我们会看到以下七种权限：完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”，下面的五项属性将被自动被选中。“修改”则像Power users，选中了“修改”，下面的四项属性将被自动被选中。下面的任何一项没有被选中时，“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件，“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该卷或目录下的子目录，不能读取，也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究，鄙人在此就不过多赘述了。

　　下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采用Windows 2000 Server版，安装好了SP4及各种补丁。WEB服务软件则是用了Windows 2000自带的IIS 5.0，删除了一切不必要的映射。整个硬盘分为四个NTFS卷，C盘为系统卷，只安装了系统和驱动程序；D盘为软件卷，该服务器上所有安装的软件都在D盘中；E盘是WEB程序卷，网站程序都在该卷下的WWW目录中；F盘是网站数据卷，网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。这样的分类还算是比较符合一台安全服务器的标准了。

　　希望各个新手管理员能合理给你的服务器数据进行分类，这样不光是查找起来方便，更重要的是这样大大的增强了服务器的安全性，因为我们可以根据需要给每个卷或者每个目录都设置不同的权限，一旦发生了网络安全事故，也可以把损失降到最低。当然，也可以把网站的数据分布在不同的服务器上，使之成为一个服务器群，每个服务器都拥有不同的用户名和密码并提供不同的服务，这样做的安全性更高。不过愿意这样做的人都有一个特点----有钱。好了，言归正传，该服务器的数据库为MS-SQL，MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下，给SA账户设置好了足够强度的密码，安装好了SP3补丁。

　　为了方便网页制作员对网页进行管理，该网站还开通了FTP服务，FTP服务软件使用的是SERV-U 5.1.0.0，安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新，防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:\www\bbs下。细心的读者可能已经注意到了，安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径，这也是安全上的需要，因为一个黑客如果通过某些途径进入了你的服务器，但并没有获得管理员权限，他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件，因为他需要通过这些来提升他的权限。

一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了：“这根本没用到权限设置嘛！我把其他都安全工作都做好了，权限设置还有必要吗？”当然有！智者千虑还必有一失呢，就算你现在已经把系统安全做的完美无缺，你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线！那我们现在就来对这台没有经过任何权限设置，全部采用Windows默认权限的服务器进行一次模拟攻击，看看其是否真的固若金汤。

　　假设服务器外网域名为http://www.webserver.com，用扫描软件对其进行扫描后发现开放WWW和FTP服务，并发现其服务软件使用的是IIS 5.0和Serv-u 5.1，用一些针对他们的溢出工具后发现无效，遂放弃直接远程溢出的想法。打开网站页面，发现使用的是动网的论坛系统，于是在其域名后面加个/upfile.asp，发现有文件上传漏洞，便抓包，把修改过的ASP木马用NC提交，提示上传成功，成功得到WEBSHELL，打开刚刚上传的ASP木马，发现有MS-SQL、Norton Antivirus和BlackICE在运行，判断是防火墙上做了限制，把SQL服务端口屏蔽了。通过ASP木马查看到了Norton Antivirus和BlackICE的PID，又通过ASP木马上传了一个能杀掉进程的文件，运行后杀掉了Norton Antivirus和BlackICE。再扫描，发现1433端口开放了，到此，便有很多种途径获得管理员权限了，可以查看网站目录下的conn.asp得到SQL的用户名密码，再登陆进SQL执行添加用户，提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传，得到系统管理员权限。还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到，一旦黑客找到了切入点，在没有权限限制的情况下，黑客将一帆风顺的取得管理员权限。

　　那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录，默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊，系统默认给了他们有限制的权限，这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings，默认的权限是这样分配的：Administrators拥有完全控制权；Everyone拥有读&运，列和读权限；Power users拥有读&运，列和读权限；SYSTEM同Administrators;Users拥有读&运，列和读权限。对于Program files，Administrators拥有完全控制权；Creator owner拥有特殊权限ower users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权，Users有读&运，列和读权限。对于Winnt，Administrators拥有完全控制权；Creator owner拥有特殊权限ower users有完全控制权;SYSTEM同Administrators;Users有读&运，列和读权限。而非系统卷下的所有目录都将继承其父目录的权限，也就是Everyone组完全控制权！

　　现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧？权限设置的太低了！一个人在访问网站的时候，将被自动赋予IUSR用户，它是隶属于Guest组的。本来权限不高，但是系统默认给的Everyone组完全控制权却让它“身价倍增”，到最后能得到Administrators了。那么，怎样设置权限给这台WEB服务器才算是安全的呢？大家要牢记一句话：“最少的服务+最小的权限=最大的安全”对于服务，不必要的话一定不要装，要知道服务的运行是SYSTEM级的哦，对于权限，本着够用就好的原则分配就是了。对于WEB服务器，就拿刚刚那台服务器来说，我是这样设置权限的，大家可以参考一下：各个卷的根目录、Documents and settings以及Program files，只给Administrator完全控制权，或者干脆直接把Program files给删除掉；给系统卷的根目录多加一个Everyone的读、写权；给e:\www目录，也就是网站目录读、写权。

　　最后，还要把cmd.exe这个文件给挖出来，只给Administrator完全控制权。经过这样的设置后，再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问：“为什么要给系统卷的根目录一个Everyone的读、写权？网站中的ASP文件运行不需要运行权限吗？”问的好，有深度。是这样的，系统卷如果不给Everyone的读、写权的话，启动计算机的时候，计算机会报错，而且会提示虚拟内存不足。当然这也有个前提----虚拟内存是分配在系统盘的，如果把虚拟内存分配在其他卷上，那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行，只把执行的结果传回最终用户的浏览器，这没错，但ASP文件不是系统意义上的可执行文件，它是由WEB服务的提供者----IIS来解释执行的，所以它的执行并不需要运行的权限。

Windows下权限设置详解[4]

经过上面的讲解以后，你一定对权限有了一个初步了了解了吧？想更深入的了解权限，那么权限的一些特性你就不能不知道了，权限是具有继承性、累加性 、优先性、交叉性的。

　　继承性是说下级的目录在没有经过重新设置之前，是拥有上一级目录权限设置的。这里还有一种情况要说明一下，在分区内复制目录或文件的时候，复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候，移动过去的目录和文件将拥有它原先的权限设置。

　　累加是说如一个组GROUP1中有两个用户USER1、USER2，他们同时对某文件或目录的访问权限分别为“读取”和“写入”，那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和，实际上是取其最大的那个，即“读取”+“写入”=“写入”。 又如一个用户USER1同属于组GROUP1和GROUP2，而GROUP1对某一文件或目录的访问权限为“只读”型的，而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的，则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得，即：“只读”+“完全控制”=“完全控制”。

　　优先性，权限的这一特性又包含两种子特性，其一是文件的访问权限优先目录的权限，也就是说文件权限可以越过目录的权限，不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限，也就是说“拒绝”权限可以越过其它所有其它权限，一旦选择了“拒绝”权限，则其它权限也就不能取任何作用，相当于没有设置。

　　交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限，且所设权限不一致时，它的取舍原则是取两个权限的交集，也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”，同时目录A为用户USER1设置的访问权限为“完全控制”，那用户USER1的最终访问权限为“只读”。

　　权限设置的问题我就说到这了，在最后我还想给各位读者提醒一下，权限的设置必须在NTFS分区中才能实现的，FAT32是不支持权限设置的。同时还想给各位管理员们一些建议：

　　1.养成良好的习惯，给服务器硬盘分区的时候分类明确些，在不使用服务器的时候将服务器锁定，经常更新各种补丁和升级杀毒软件。

　　2.设置足够强度的密码，这是老生常谈了，但总有管理员设置弱密码甚至空密码。

　　3.尽量不要把各种软件安装在默认的路径下

　　4.在英文水平不是问题的情况下，尽量安装英文版操作系统。

　　5.切忌在服务器上乱装软件或不必要的服务。

　　6.牢记：没有永远安全的系统，经常更新你的知识。

8种手段打造安全高效上网环境[1]

这是一个充满变革的时代，94年一条64k的数据线第一次将我国接入世界，到今天，从政府、企业、医疗、教育……各行各业都广泛的使用互联网来获取无数的信息和机会。对多数企业来说，互联网不仅带来了丰富的网上资源，也把信息化带进了企业，使得企业传统运作方式迎来了深刻的变革。互联网极大地陈低了组织的运营和沟通成本，利用互联网，大多数员工可以更高效率的完成工作。

　　但是，作为一把“双刃剑”，互联网也给组织和企业带来前所未有的威胁。全天候24小时在网络上流动的内容当中，存在着太多的风险：垃圾邮件、恶意网站、网上欺诈、网络病毒等无时无刻不在困扰着互联网用户，而另外一方面，网络滥用行为，包括恶意的P2P下载、网络游戏、IM等娱乐应用挤占了组织有限的业务带宽，同样导致网络应用效率低下。

　　那么，如何绕开这些互联网弊端，充分享受互联网给组织带来的方便与高效，从而全方位打造安全高效的上网环境呢？下面8种手段或许能给你答案。

　　一、提升边界防御

　　防火墙、IDS、IPS，是解决网络安全问题的基础设备，他们所具备的过滤、安全功能能够抵抗大多数来自外网的攻击。配备这些传统的网络防护设备，实现面向网络层的访问控制，是企业安全上网的前提。然而，在应用内容及其格式以爆炸速度增长的今天，许多互联网危害隐患存在于应用层中，仅仅依照第三层信息决定其是否准入，根本无法满足安全的要求，我们还需要细粒度的应用层策略控制。

　　IDC的调查报告显示，至2006年，有超过90％的病毒将互联网作为其传播入口，通过电子邮件和网络进行病毒传播的比例正逐步攀升，在网络入口处把住病毒入侵的关口成了当务之急，因此，除了上述的防火墙、IDS、IPS等基础安全设备，你还需要部署一个有效的网关级杀毒引擎。

　　二、上网终端管理

　　网络边缘的外围设备再先进也无法保护内部网络，来自局域网内部的滥用、破坏也是威胁上网安全的重要因素。比如，客户端的安全级别往往难以保证，这对于内网用户数量众多的组织更为如此——缺乏安全措施的单机，比如使用陈旧的操作系统、长时间不更新个人防火墙和杀毒软件、应用具有潜在安全漏洞的软件，都将成为局域网安全中一颗颗隐藏的定时炸弹。

　　为上网终端配置网络准入规则，通过对单点的安全评估和访问策略列表是实现客户端全方位安全防护的最佳手段。对终端的安全策略列表应该包括操作系统、运行程序、系统进程、注册表等。

　　三、有害内容过滤

　　互联网是一个不可控的黑洞，无数不怀好意的网站使你上网冲浪时如履薄冰：隐藏蠕虫病毒、木马插件的非法网站，各类层出不穷的钓鱼网站……都会让组织在分享互联网便利的同时带来巨大的隐患。

　　针对这些有害内容，URL库过滤技术近年来得到广泛采纳，采用该技术将包含潜在威胁的网站拦截在外是保障上网安全的有效方式之一，当然，还应该考虑到一些钓鱼网站采用的是SSL加密页面，所以还需要结合证书验证、链接黑白名单等措施。对文件下载传输行为进行规范也是必要的，将关键字、文件类型、网络服务与IP地址组进行关联，规范下载策略，可以控制大部分由主动下载造成的损害。

　　四、垃圾邮件过滤

　　还有一些不那么“有害”的信息——垃圾邮件，虽然未必会造成安全隐患，但却能导致带宽利用率，更重要的是工作效率的低下。

　　为了最大程度的减少这些影响带宽利用率及工作效率的无用信息，必须找到一种区分垃圾邮件、正常邮件、可疑邮件的有效手段，比如垃圾邮件指纹识别技术，减少误判的随机特征码智能应答技术等。

　　五、优化带宽资源

　　不管采取什么方式上网，带宽终究是有限的，在无法改变带宽的前提下，如何优化带宽资源，使其效率最高，是必须解决的问题。但现实的问题是，网管员对自己单位内部的带宽有效利用情况无从获知，就更谈不上改善了。

8种手段打造安全高效上网环境[2]

要做到优化带宽资源，首先要考察内网网络使用情况，并形成可供决策的报表，有些厂商提供的数据中心就已经可以提供丰富的报表分析功能。另外，针对网内一些重要的网络服务，也有必要启用QOS技术，从而保证重要的服务先行，避免垃圾流量挤占重要服务的带宽。

　　六、全面应用管理

　　全球每天有120亿条消息通过即时通讯工具（Instant Messaging，IM）被发送，这些IM应用也许是员工在和同事、客户讨论工作，但更多的聊天对象却是家人、朋友甚至是陌生人。此外，网络上还有其它大量的和工作无关网络应用存在，包括网络游戏、在线炒股、P2P下载等，这些工作时间内的“丰富应用”造成了组织生产效率的巨大浪费。有些组织靠封端口、封服务器地址等方法在一定程度上有效，但由于服务器地址和端口会经常变换，这导致封服务器地址和端口成为一项持续的高成本工作，只能是治标不治本。

　　在全面应用管理上更有效的封堵方法主要有两种，一种是基于应用协议和数据包的智能分析，另一种是针对流量进行检测。前者是通过分析IP数据包首部的服务类型、协议、源地址、目的地址以及数据包的数据部分，能够更好的发现特定服务。后者则可以针对特定用户的网络连接情况进行分析，当网络流量和网络连接超出规定的阀值时，用户的行为将被限制流量。

　　七、外发信息审计

　　互联网对企业还有一个重要的危害是信息的过度流动。由于它是一个开放系统，只要使用者轻点鼠标，企业与组织的机密信息就能瞬间以光的速度到达竞争对手那里。而一些攻击性、侮辱性的网络漫骂/谣言，则可能会导致组织不必要的内部纠纷。另外，内部员工通过组织网络随意发表的言论，也可能给组织带来法律上的风险。

　　要防范这些风险，应该从IM、HTTP、FTP、EMAIL等各个可能的出口，对外发信息进行审计和监控。所采取的措施应该包括记录与保存，对关键字的审计，甚至对一些关键的信息进行延迟审计。

　　八、应用权限设置

　　以上多种手段基本上可以满足一个安全高效的上网环境的建设，然而，一个组织内部，不同部门，不同人员，倘若对网络应用都拥有同样权限，注定会使网络出于低效、危险的境地。所以在这里我们有必要再介绍一下应用权限方面的管理。

　　对网络用户进行权限设置是一种很好的分级管理的措施。就流量优化而言，传统的带宽管理只能对特定服务分配相应的百分比带宽，属于“一刀切”行为。更具效力的网络流量优化方式是基于用户的流量控制技术，再结合各种不同应用的角色分配，可以有更好效果。具体说来，在广域网的访问中，有些部门的特殊应用是应该而且必须获得独占性资源的，例如总部的管理层同各分公司主管召开的视频会议，而有些部门的非工作相关服务则不应获得那么高的带宽，例如采购部门的P2P下载。通过分组流量控制,你可以对不同用户组使用的服务进行精细的带宽分配，保障重要部门的重要服务得到足够带宽。

　　除了服务管理，时间计划也是网络管理中的重要手段，这包括微观时间管理和宏观时间管理，前者包括将一周中每一天的时间进行划分，在特定时间允许特定部门进行特定活动，后者包括为各个部门的员工设置一周内每天的总上网时间，这是保证网络利用效率最大化的好手段。

　　长期以来，组织管理者为了营造一个安全高效的网络应用环境采取的是传统管理方式，如规章制度、使用守则、奖惩措施等。实际上，解铃还需系铃人，信息技术带来的负面影响最终还是要靠信息技术来解决。好的上网环境的建设是一个周密的系统工程，以上8种手段给我们打造安全高效的上网环境提供了一个开阔的思路。

　　当然，以上8种技术手段的应用，往往需要组织购买不同的IT设备：比如“一、提升边界防御”和“四、垃圾邮件过滤”需要购买相应的网关杀毒设备和防垃圾邮件设备，而“二、上网终端管理”则需要部署相应的客户端安全软件，“五、优化带宽资源”目前有一些专门做流量控制的厂商能够提供，如F5、Packeteer，但往往费用很贵，“七、外发信息审计”则涉及到一些监控审计设备；而“三、有害内容过滤”、“六、全面应用管理”、“八、应用权限设置”由于是新兴领域，目前还基本没有专门的厂商涉足。

8种手段打造安全高效上网环境[3]

购买这些不同的IT设备，一方面动辄几十万甚至上百万的费用投入对于大部分的用户来说都是难以接受的，另一方面由于这些设备分别来自不同厂商，管理界面各异，对IT维护和管理也是个巨大的挑战和难题。

　　那么，有没有这样的一种解决方案，把以上8种技术手段都融入到一个设备里面，从而便捷灵活的实现对整个局域网上网行为的有效管理呢？我们很高兴的看到国内近几年快速成长的网络安全及边界网络方案供应商深信服科技提供了这样一种解决方案——SINFOR AC上网行为管理设备。该设备包含“访问控制、带宽流量管理、内监控、安全审计、外发信息管理及数据中心管理软件”多个模块功能，并拥有“邮件延迟审计”、“网络客户端准入”、“P2P流量控制”等多项专利技术，此外，它还灵活的集成了“防火墙”、“网关杀毒”、“防垃圾邮件”等UTM安全模块，客户可以根据自己的网络环境和实际需求灵活选择是否开启，有效弥补了防火墙等传统安全设备重外不重内、对上网行为缺乏有效管理的不足。

　　在提升边界防御和有害内容过滤方面，深信服AC设备内置了网关杀毒的模块，同时针对病毒的来源和传播途径，AC上网行为管理设备还可以很好的配合客户原有的杀毒软件实现“治标治本”的效果。AC网关里面的URL过滤功能，可以对常见的非法网址/非法BBS论坛直接实现过滤，AC网关提供的对HTTP/FTP下载及P2P软件的封堵和管理功能也可以有效减少因为文件下载而引发的病毒传播。尤其值得一提的是AC里面的SSL控制功能，可控制用户通过SSL协议访问的URL，并可对SSL协议的证书做有效性检查，允许或拒绝用户访问持有指定X.509证书的网站，大大降低了用户被伪造的网上银行、购物网站欺骗的几率，避免用户陷入“网络钓鱼”陷阱。

　　在上网终端安全管理方面，深信服AC上网行为管理设备提供了一个“客户端准入规则”（Network Admission Rules，NAR）认证的功能，可以通过对客户端安全性的评估来实现网络访问控制，更好的维护网络安全防线。当启用了AC的NAR功能后，内网用户第一次发起互联网连接请求时，NAR将动态分发准入代理（Sinfor Ingress Agent，SIA）至客户端主机。SIA是轻量级软机代理，用于确定终端是否遵从管理员设定的安全策略，SIA可检查预定义的和可定制的标准，比如该PC终端有没有打最新的操作系统补丁、有没有安装杀毒软件、杀毒软件有没有升级到最新版本。当SIA将搜集到的客户端信息传回AC网关后，如果该PC终端的安全状态不符合SIA的规则设置，AC网关将对该用户执行预定义的策略，比如直接禁止上网或弹出警告，从而有效避免某些员工因为忙碌或者偷懒而不安装杀毒软件和打补丁，或者虽然安装了杀毒软件但没有做及时升级而引发的病毒事件。

　　在用户身份认证、应用权限设置和外发信息审计方面，深信服AC网关采用了严格的身份认证和不同的访问权限策略，并可根据不同的时间段做灵活的时间管理，具有URL过滤、关键字过滤、上传下载限制、深度内容检测、邮件过滤功能和独特的邮件延迟审计功能等众多功能，从而方便组织和企业把与工作无关的上网行为降到最低，让员工更专注于工作，提高工作效率，并在技术措施上配合制度管理杜绝了内部机密可能通过Internet泄漏的隐患。

　　在优化带宽资源方面，AC设备网关除了提供智能QOS，还为用户展现了强大的流量控制功能，可以对内网用户组或终端进行流量控制，使得组织的网络带宽得到最充分有效地利用。

　　此外，深信服AC网关丰富的数据报表中心还能支持以图表的方式对局域网内人员的上网行为进行分析和归纳，如：每天上网情况的分析、访问最频繁的网站分析、应用和流量排名等，并提供时间、服务、网站访问、使用网络流量等多种分类排行榜，为网络管理员和决策者提供了最直观的数据统计。

用U盘保护系统　亲身经历另类杀毒经验
近来电脑总是不正常，上网特别慢、运行一会就蓝屏，真怀疑是不是中了病毒。

某天趁着休息，赶到电脑城打算给电脑买套杀毒软件。在电脑城里，国内国外的杀毒软件应有尽有，促销员的介绍更是让我心动，可是一想到家里机器配置不高，顿时让我的热情大打折扣。由于杀毒软件都有庞大的数据库，装上杀毒软件后，肯定会拖慢游戏的速度，不禁让我打起退堂鼓来。

看出我的顾虑后，观察细微的店家向我推荐了金山的杀毒Ｕ盘，说是差不多的价格既买了杀毒软件还有Ｕ盘用了，而且金山毒霸还能保护U盘数据不受病毒破坏、跟难得的是，用金山毒霸杀毒U盘给电脑杀毒基本不用占用太多系统资源。呵呵，当时我心里不禁窃喜起来。

按捺不住激动的心情，想看看这Ｕ盘怎么杀毒。回到家马上打开包装把它插入了USB接口，和普通U盘不同的是，屏幕右下角出现的是2个图标，而不是1个图标,见图。一个是传统的USB图标，另外一个是金山毒霸的图标，提示金山毒霸Ｕ盘版文件监控已启动。
U盘怎么杀毒呢？让我们一起来看看。在文件监控点击左键选择启动“毒霸Ｕ盘版主程序”，见图。

金山毒霸Ｕ盘版终于露出了庐山真面目，整个界面简洁朴素。

直接点击“开始查杀”，就开始检测我的系统了，没有任何烦琐的步骤。

而且查杀病毒结束后，还有详细的查毒报告，让你对操作一目了然。

哈哈，这个东东对于偶尔需要查杀病毒的我来说使用真是太方便了！

高兴之余看到病毒库的版本还是去年的，想到赶紧更新下病毒库 这样杀毒才有效果。可是自己的电脑运行速度慢那得等上多久啊，回想到店员曾介绍说这个U盘可以在任一一台联网的pc上更新病毒库， 于是想到朋友那网速快而且还能给他看看我这新武器。

一溜烟跑到了朋友那说明原委后准备更新了，连上网插上杀毒U盘后运行“在线升级”，只停顿了一两秒钟就开始下载文件了，不一会功夫提示升级完成，主界面上病毒库的日期已经是今天的了。见下图：
我这朋友虽然也是从事IT行业，但也对我这新东西－杀毒U盘充满好奇。说是以前都是简单的将杀毒程序在拷贝到U盘上用， 但升级比较麻烦而且还可能不小心被删除掉。看到这个家伙一直在啧啧称奇，心里别提多得意了。

呼地想起Ｕ盘好像还有个“文件监控”功能可以防止病毒文件拷入U盘呢，两人琢磨怎么试试这个功能。 从本地磁盘拷贝了个执行文件 正常的windows复制框转眼就完成并没有什么特殊的提示 又拷贝了个文件夹还是一样。 看来我这朋友用电脑比我规律多了，系统还真是干净。这下只好求助于网络了，搜索一番后终于找到了传闻中的病毒样本。

现在就动手， 小心翼翼的打开压缩包把文件发送到移动磁盘，右下角马上就弹出发现病毒消息框 见图。再试试在U盘里直接解压缩呢，同样起到了作用。

“文件监控”真的把我的Ｕ盘保护起来了，现在使用Ｕ盘和朋友们共享数据就没有后顾之忧了。带着朋友的称赞和资料满载而归！

金山毒霸杀毒Ｕ盘还有其它丰富的扩展功能，如文件粉碎器和支持简繁体等等　这里我就不再一一列举。希望你有机会可以亲自试试，一定让你惊奇的！

总之，这款金山毒霸杀毒Ｕ盘，无论是在做工上还是软件设置上，都比较人性化，功能也非常完善，可以防范和查杀网络安全领域目前几乎所有的病毒，并且Ｕ盘数据提供的保护，刚好是我想要的

解决IE7中移动文件夹无法收藏问题

在Windows Vista中，将用户个人文件夹移出系统分区的好处是毋庸置疑的，这样，无论是使用Complete PC恢复系统分区还是重新安装Windows Vista，都不会造成个人数据的损失，用户的文档、图片、音乐、视频等均不受影响。
    不过，许多用户在将个人数据全部移到其他分区中的文件夹后，却发现IE7(Internet Explorer 7.0)出了某些“问题”：不能再收藏新的网站了，当欲将一个新的网站、源添加到收藏夹，Windows Vista弹出一个错误提示窗口告知无法收藏。——当然，如果仍将“收藏夹”项目保留在系统分区“users”目录下则不会出现相应的情况。

    发生这种情况是由于IE7运行在保护模式下，权限较低，因此导致其无法对保存在其他分区上的收藏夹子目录进行修改或创建新项目的操作。因此，要想继续使用IE7的收藏功能，必须给予IE7对收藏夹子目录的操作权限。

    １．打开具有管理员权限的命令行窗口；

    ２．移却到到位于其他分区的用户个人目录下，即收藏夹的父目录中

    ３．输入如下命令： icacls favorites /setintegritylevel (OI)(CI) L

    说明：/setintegritylevel (CI)(OI)将完整性 ACE 显式添加到所有匹配文件。此处要指定的级别为L[ow]。

    继承权限(OI)指对象继承，(CI)指容器继承。

    再试试IE7，您会发现收藏可顺利进行

专家教你确保个人计算机安全

我们看新闻的时候，不断看到这样的消息：身份被盗、数据遭窃、隐私信息落入非法人士之手……

　　但是，这些问题几乎都是可以避免的。做到了本文列出的5步，你就可以保证任何一台PC机的安全，免遭在线攻击和数据窃取，无论是在公共网上还是在家里都可以做到。有的步骤看起来可能有点眼熟，这样当然很好了，因为这表示你已经在向着正确的方向加速。但是，即便是专家，也不免偶尔会落掉一两步，所以，列一个单子或者写一个像本文一样的小指南会让人执行起来方便很多。好，现在我们开始吧!

　　一、关掉漏洞

　　所有的软件，无一幸免，都包含有bug、错误、遗漏以及安全漏洞。没有哪个品牌或厂商或开发团体对此免疫。因此，为了保证PC机的安全可靠，在安全补丁出现的时候去获取并且打上补丁当然就是首要的事情了。大多数厂商都提供自动的或半自动的工具帮助用户及时获取补丁，最明显的，也是最普及的就是微软的Windows Update和Office Update。大多数厂商的官方网站也会提供所有更新的索引页或目录，帮助用户不会漏掉以前错过的任何一个补丁。不管你在用什么软件，一定要保证你100%地做到了保持所有重要的补丁、更新和bug修补都是最新的。

　　二、阻止入侵者

　　现在，差不多每个人都认识到，用防火墙一类的东西阻止恶意攻击者和外部链接是非常必要的。并且，几乎每个人至少都安装了一个基本的桌面防火墙。但是，还是有混淆和误解存在:如果某台PC已经用一个硬件防火墙或者路由器、NAT之类保护了起来，那么是不是就不必在桌面上安装防火墙了?不，还是需要桌面防火墙!是的，硬件防火墙、路由器、NAT之类的设备抵挡外部入侵都没有问题，但是多数这些设备对于“phone home”攻击和类似的“来自内部的攻击”都束手无策。一些恶意软件会采用“内部攻击”的方式:这些恶意的发向外面的链接伪装成来自内部某台PC，从而骗过大多数外部自动防御设备。与之形成鲜明对比的是，效果更好的桌面防火墙在第一次激活的时候就会阻止或标记所有发向外部的链接，在“phone home”及类似的发向外部的链接开始动作之前就加以阻止。因此，即便你的PC机受到独立的外部防火墙的保护，也一定要安装桌面防火墙。

　　三、停止感染

　　“关掉漏洞”和“阻止入侵者”对保证PC的安全大有帮助，不过，恶意软件还是可以通过其它几个方面进入你的PC;尤其是通过来自可信源的感染达到目的，比如，被同事的PC或公司局域网内的其它PC所感染。基于这个原因，也是为了把基础的数字卫生工作做好，每一台PC都需要高效的、最新的防病毒保护。网上可以下载到很多免费的防病毒工具和服务，所以，我们没有理由让哪一台PC不受保护就开始运行。

　　四、防止颠覆情况

　　即使是最好的防病毒软件也做不到可以对付所有类型的恶意软件，这些恶意软件一旦得逞，就会控制你的PC机，或者是危及你的数据的安全。不过，有很多其它的免费或者廉价的工具，可以弥补防病毒软件留下的空白，能够对付所有最普通的问题。像微软的免费而且卓越的Antispyware和Javacool的SpywareBlaster这样的工具，不仅可以防止间谍软件及其它恶意软件安装到你的PC机，而且，如果间谍软件或恶意软件已经安装了，这些工具还可以帮助你找出并消灭它们。像StartUpMonitor和WinPatrol这样的工具，可以帮助监控并阻止恶意软件把自身插入到你的PC的启动序列中。像Spybot S&D和Ad-Aware这样的工具，可以提供对许多种类的恶意软件的聚焦搜索。甚至有些工具还能够执行多种功能，把数种防护聚合到了一个工具中，为用户提供各个层级的保护，帮助用户确保某个工具可能错过的迹象一定会被另一个工具捕捉到。

　　五、彻底锁住

　　在最简单的层次，一个好的口令就可以帮助阻止登录你的系统或实行管理员权限的功能。为了更安全一点，你还可以加密并用口令保护自己的文件、文件夹或整个硬盘，保证数据免受snoop和数据窃贼的侵害。

菜鸟也轻松搞定DNS的解析故障[1]

在实际应用过程中可能会遇到DNS解析错误的问题，就是说当我们访问一个域名时无法完成将其解析到IP地址的工作，而直接输入网站IP却可以正常访问，这就是因为DNS解析出现故障造成的。这个现象发生的机率比较大，所以本文将从零起步教给各位读者一些基本的排除DNS解析故障的方法。

    一、什么是DNS解析故障？

    一般来说像我们访问的http://www.163.com/这些地址都叫做域名，而众所周知网络中的任何一个主机都是IP地址来标识的，也就是说只有知道了这个站点的IP地址才能够成功实现访问操作。

    不过由于IP地址信息不太好记忆，所以网络中出现了域名这个名字，在访问时我们这需要输入这个好记忆的域名即可，网络中会存在着自动将相应的域名解析成IP地址的服务器，这就是DNS服务器。能够实现DNS解析功能的机器可以是自己的计算机也可以是网络中的一台计算机，不过当DNS解析出现错误，例如把一个域名解析成一个错误的IP地址，或者根本不知道某个域名对应的IP地址是什么时，我们就无法通过域名访问相应的站点了，这就是DNS解析故障。

    出现DNS解析故障最大的症状就是访问站点对应的IP地址没有问题，然而访问他的域名就会出现错误。

    二、如何解决DNS解析故障：

    当我们的计算机出现了DNS解析故障后不要着急，解决的方法也很简单。

    （1）用nslookup来判断是否真的是DNS解析故障：

    要想百分之百判断是否为DNS解析故障就需要通过系统自带的NSLOOKUP来解决了。

    第一步：确认自己的系统是windows 2000和windows xp以上操作系统，然后通过“开始->运行->输入CMD”后回车进入命令行模式。

    第二步：输入nslookup命令后回车，将进入DNS解析查询界面。

    第三步：命令行窗口中会显示出当前系统所使用的DNS服务器地址，例如笔者的DNS服务器IP为202.106.0.20。 　

    第四步：接下来输入你无法访问的站点对应的域名。例如笔者输入http://www.softer.com/，假如不能访问的话，那么DNS解析应该是不能够正常进行的。我们会收到DNS request timed out，timeout was 2 seconds的提示信息。这说明我们的计算机确实出现了DNS解析故障。 　

    小提示：如果DNS解析正常的话，会反馈回正确的IP地址，例如笔者用http://www.sohu.com/这个地址进行查询解析，会得到name:sohu.com，addresses：61.135.133.103,61.135.133.104的信息。

    （2）查询DNS服务器工作是否正常：

    这时候我们就要看看自己计算机使用的DNS地址是多少了，并且查询他的运行情况。

    第一步：确认自己的系统是windows 2000和windows xp以上操作系统，然后通过“开始->运行->输入CMD”后回车进入命令行模式。

    第二步：输入ipconfig /all命令来查询网络参数。

    第三步：在ipconfig /all显示信息中我们能够看到一个地方写着DNS SERVERS，这个就是我们的DNS服务器地址。例如笔者的是202.106.0.20和202.106.46.151。从这个地址可以看出是个外网地址，如果使用外网DNS出现解析错误时，我们可以更换一个其他的DNS服务器地址即可解决问题。

    第四步：如果在DNS服务器处显示的是自己公司的内部网络地址，那么说明你们公司的DNS解析工作是交给公司内部的DNS服务器来完成的，这时我们需要检查这个DNS服务器，在DNS服务器上进行nslookup操作看是否可以正常解析。解决DNS服务器上的DNS服务故障，一般来说问题也能够解决。