win2000终端_windows终端命令大全

2024-08-18 22:01:54

1.WIN2000怎么用远程桌面登陆？

2.网络电脑终端机怎么配置？

3.怎么实现一台主机多个终端，高手指点指点！

4.DCOM服务的DCOM 激活模式和终端服务器

5.能帮忙解释一些最常用端口吗？

6.win2000 server重要漏洞?

win2000终端_windows终端命令大全

所谓双机热备，就是将中心服务器安装成互为备份的两台服务器，并且在同一时间内只有一台服务器运行。当其中运行着的一台服务器出现故障无法启动时，另一台备份服务器会迅速的自动启动并运行。我们来看看在WIN2000服务器版下的实现过程。

一、硬件准备及基本安装综述

网络服务器两台

网络服务网卡四块

服务器硬盘两块

SCSI磁盘阵列一个

SCSI硬盘三块

首先是将两台服务器都配置成双网卡，并分别安装Win2000 Advance Server（高级服务器版）。之后配置网络环境使之畅通：将两台服务器加入到域当中，成为域成员，并在每台服务器上设置管理员权限。

另外就是注意所有磁盘必须设置成基本盘并做成用NTFS格式分区，磁盘阵列分区一定要大于2个。最后将三块SCSI硬盘做成磁盘阵列，笔者建议为RAID5（在配置阵列时，一定注意单独分一个至少1G的分区出来，用于存放配置数据库的检测点以及日志文件）。

二、具体安装要点。

配置服务器网络环境要点

1、在前一步中，我们将两台服务器都安装了双网卡，一个用于连接公网（internet），一个连接内部局域网。

将连接内部局域网的网卡建立点对点的通信和群集状态信号，然后每个终端的公网适配器连接该群集到公网上，并在此驻留客户。

2、待win2000高级服务器版安装好后，开始配置每台服务器的网络参数。在网络连接将连接公网的改为“外网”，连接局域网的改为“内网”，然后将两台服务器的各自网卡分别指定IP地址为：

服务器A：外网IP为：192.168.0.160，内网IP为：10.10.10.1，子网掩码为：255.255.255.0 网关为：192.168.0.1（此处网关为你主域控制器的IP地址）

服务器B：外网IP为：192.168.0.161，内网IP为：10.10.10.2，子网掩码为：255.255.255.0 网关为：192.168.0.1

安装服务软件要点

配置服务器A

1、所有的设备都先关闭后再开启磁盘阵列。

2、启动服务器A，用事先设置的管理员帐号登陆到域；然后在添加/删除程序选项里添加“集群服务”组件，并注意在安装过程中将此组件设置为集群的首节点，接着创建集群名称（任取即可，比如

myserver）。

3、由于我们只有一个共享的磁盘阵列，所以应该将此阵列中的分区都配置成群集磁盘。

4、开始配置群集网络。外网和内网的配置相同，即群集网络的外网、内网的名称和IP地址要保持跟网络适配器一致，至外还要选中该网络可用于集群服务，外网要选中所有的通信（混合网络）选项，而内网只选中用于内部群集的通信选项。在接着出现的“使用网络顺序”对话框中，调整为表里的第一个连接是内网（解释：在正常的操作中，该连接将用于群集通信。如果此连接失效，群集服务将自动切换到表里的下一个网络），继续下一步会出现集群的IP地址和掩码选项，设置集群IP地址为192.168.0.162，子网掩码为：255.255.255.0。单击完成即可。

配置配置服务器B

首先一定保持磁盘阵列和服务器A的开机和可用，然后才启动服务器B。接着同样安装“集群服务”组件，安装过程大致与服务器A相同，唯一注意的地方是在创建或添加群集的对话框中，在群集中选择第二个或下一个节点，并单击下一步；接着输入前面所创建的群集名称（本例为myserver），在下一步中将连接到群集设为未选中，这样群集服务配置向导会自动提供前面在安装服务器A时选定的帐号名，输入该帐号的口令后一路点击下一步并最终结束配置。

最后我们应检测以上操作是否成功。依次单击“开始”—“程序”—“管理工具”，打开“群集管理器”，如果看到显示有这两个节点，表明群集已被正常配置并已开始运行。

三、功能检测。

我们主要来看看它的容错能力，以下是笔者的一些检测：

1、在两台服务器以及集群服务同时运行的情况下，断掉其中一台服务器的外网连接，此时运行在此服务器上的集群服务会被迫自动断开并转移到另外一个连接正常的节点上（此过程所需时间视你服务器开展的服务数量而定，一般4秒钟左右）。或是可以更改一台服务器的系统时间，经过几分钟，被改动的时间会自动调整成同另一台节点相同。

2、在集群服务上开启web服务，并设置好下载项目。在用户端开始下载项目，接着马上断掉集群中的一个节点，结果用户端并无明显的感觉掉线！

由以上检测办法可以看出，Win2000服务器版的集群服务在容错方面具有良好的表现！一般在瞬间即可把出错的节点上的服务接管过来，而用户端并不会感觉有明显的变化！

WIN2000怎么用远程桌面登陆？

默认情况下允许远程终端连接的数量是2个用户

当你是断开或者直接关闭窗口来退出远程桌面

会出现"已达最大连接数"提示,无法登入远程桌面。产生此提示的原因是以前使用远程桌面时直接关闭了窗口，而不是“注销”用户，导致远程桌面窗口虽已关闭，但用户使用的并未释放，达到系统允许最多连接数限制。

所以最好养成一个习惯用注销退出远程桌面

解决方法：

1. 强制远程连接到服务器

在“运行”窗口输入“mstsc /v:xxx.xxx.xxx.xxx(此处为服务器IP) /console”。可强制登录到远程服务器。

2.注销掉已断开的用户。

进入控制台：

输入query user 命令记录下已登录用户的ID

用logoff Id 命令注销已登录用户

3.解决此问题的办法

用注销来退出远程桌面而不是直接关闭窗口

限制已断开链接的会话存在时间，方法为：运行－Tscc.msc－连接－双击RDP-Tcp或右击－属性－会话－选中第一个的替代用户设置 (O)－结束已断开的会话〔将默认值“从不”改为一个适当的时间，比如30分钟〕

法一：用“注销”方式退出远程桌面而不是直接关闭窗口

法二：踢出已经断开连接的用户

1、首先telnet到此主机上(不管你用什么方法)，当然如果能直接操作机器更好，不过直接操作就不必用命令行了，用控制台更直观(略过)。

2、Telnet上去后,先看登陆的用户：

输入命令：query user 系统返回：

用户名Username 会话名Session Name ID 状态State 空闲时间Idle Time 登录时间Logon Time

administrator console 0 运行中 . 2007-1-12 10:24

lucy 1 唱片无 2007-1-12 10:35

>administrator rdp-tcp#35 2 已断开 . 2007-1-25 18:09

此时可以看出的可能跟我的不一样，根据你的具体情况而定。

ID 0 的用户是本地登陆的

ID 1 和 ID 2是3389登陆的用户，前者在运行中，后者已经断开了，但是断开了仍然占用系统和通道，我们要把它踢掉，如下进行操作即可。

输入命令：logoff 1

再看看

C:\Documents and Settings\Administrator.AD>query user

用户名Username 会话名Session Name ID 状态State 空闲时间Idle Time 登录时间Logon Time

administrator console 0 运行中 . 2007-1-12 10:24

>administrator rdp-tcp#35 2 已断开 . 2007-1-25 18:09

3、如果服务器关闭了telnet 功能（这是默认的），还可以通过SqlServer的xp_cmdshell扩展存储过程，使用格式： master.dbo.xp_cmdshell ''''命令内容''''，其余可参考第二步。此方式要求有访问xp_cmdshell的权限。

法三（最佳方法－推荐）：限制已断开链接的会话存在时间

一般情况下，我们在维护远程服务器时，不可能长时间在线，但是系统默认的却是只要登录就不再断开。因此，我们可以修改这一默认设置，给它指定一个自动断开的时间即可。

可以在Windows 2003 服务器上通过组策略中设置一下来解决问题：单击"开始→运行"，输入"gpedit.msc"，回车后打开组策略窗口，然后依次定位到"计算机配置→管理模板→Windows 组件→终端服务→会话"，然后在右侧窗口中双击"为断开的会话设置时间限制"，在打开的窗口中将"结束断开连接的会话"时间设置为5分钟，或者设置为空闲就断开。

或

在远程服务器上打开“运行”窗口，输入“tscc.msc”连接设置窗口。然后双击“连接”项右侧的“RDP-Tcp”，切换到“会话”标签，选中“替代用户设置”选项，再给“结束已断开的会话”设置一个合适的时间即可。

法四：增加连接数量，即设置可连接的数量多些

默认情况下允许远程终端连接的数量是2个用户，我们可以根据需要适当增加远程连接同时在线的用户数。

单击“开始→运行”，输入 “gpedit.msc”打开组策略编辑器窗口，依次定位到“计算机配置→管理模板→Windows 组件→终端服务”，再双击右侧的“限制连接数量”，将其TS允许的最大连接数设置大一些即可。

经过上面两个配置(法三& 法四)，基本上就可以保证远程终端连接时不再受限。但仍有人反映，当前同时只有一个用户进行连接，却提示超出最大允许链接数，这又是什么原因呢？出现这种情况是因为操作不当所造成的。在上一个帐户登录远程桌面后退出时，没有用注销的方式，而是直接关闭远程桌面窗口，那么导致该会话并没有被释放，而是继续保留在服务器端，占用了连接数，这样就会影响下一个用户的正常登录了。

法五：限制用户会话数

对Terminal Services进行限制，使得一个用户仅仅能够连接一次

对于Windows Server 2003，请在Terminal Services Configuration（Terminal Services配置）中将“限制每位用户只有拥有一个会话”（Restrict each user to one session）设置为“是”（Yes）。此外，您可以将 “限制终端服务用户使用单个远程会话”组策略设置为“启用”。

版本不一样解决的方法有异：

A：这是因为Windows 2003中设置了最大允许连接数限制，而你每次连接后可能没有注销而是直接关闭，导致连接数超过了最大连接数。你可以在Windows 2003 服务器上通过组策略中设置一下来解决问题：单击“开始→运行”，输入 “gpedit.msc”，回车后打开组策略窗口，然后依次定位到“计算机配置→管理模板→终端服务→会话”，然后在右侧窗口中双击“为断开的会话设置时间限制”，在打开的窗口中将“结束断开连接的会话”时间设置为5分钟。最好的解决方法还是你每次断开连接时通过注销的方式。

B：经常多人管理服务器的朋友一定遇到过当自己终端连接远程计算机的时候却提示“终端连接超出了最大连接”的提示吧？

这是因为windows2003仅支持2个终端用户的登陆。当这种情况出现后，多数人选择的是给机房打电话进行重启服务器。可是带来的损失也是显而易见的。那么我们有什么办法来解决呢？方法当然是有的。我们只需要在一台2003的机器上运行“tsmmc.msc”就可以打开远程桌面连接，在这里我们添加一个新的连接，输入对方的IP地址帐号和密码后就可以成功登陆到对方的桌面中，这时可以再踢下一个用户。就可以解决终端连接数超过最大的问题。

C：开始--控制面版---授权里面更改连接数

网络电脑终端机怎么配置？

好像应该是这样的：WINDOWS2000系统中PROFESSIONAL版本是不能开启远程桌面功能让别人访问的，但SERVER版可以开启，不过需要我们安装相应的WINDOWS组件。方法如下: 第一步:通过任务栏的“开始->设置->控制面板”，选择里头的“添加/删除程序”。第二步:在左边选择“添加/删除WINDOWS组件”。第三步:稍后会出现添加删除WINDOWS组件窗口，我们从中选择“终端服务”，然后点“下一步”进行安装)这里要注意一点的是在安装过程中需要我们插入WINDOWS 2000SERVER系统光盘到光驱中。第四步:安装完毕后需要重新启动计算机，重启后就完成了在WINDOWS 2000SERVER下的远程桌面连接功能的安装工作。查看原帖>>

怎么实现一台主机多个终端，高手指点指点！

1、把外部装配连接到Netstation。

2、用以太网线连接Netstation到交换机或者路由器上。

3、连接电源线?

4、打开光盘进入开始安装界面，继续：（注意：如果您的主机有使用防火墙，

请把相应的安全级别调成中或低）进入开始安装界面，继续。

5、下一步。

6、在＂我同意＂上打勾，继续。

7、在＂我同意＂上打勾，继续。

8、选择安装目录，继续。

9、输入服务软件（NCT-2000-XP）控制台密码（注意：以后进入NCT-2000-XP，需要输入密码），或不需密码，继续。

10、准备就绪，开始安装。

11、出现Windows添加新用户按钮，点击进入用户添加界面，或不添加。完成后

系统要求重新启动。

12、安装成功后，主计算机系统重启后会在桌面右下角出现。

13、

打开Netstation，等到所有的指示灯全部点亮为止。

14、Netstation会自动把同一个网段的安装终端服务软件的主机名列出，然后点击在屏上的“CONNECT”按钮。（注意：IP地址获取方式分两种，一种是自动获的；另一种是静态指定）。

15、点Setup，指定IP地址，自动获取或手工指，设定完成后，Se 保存退出。

16、进入Setup，点TS?Option 点EDIT，设置分辨率和显示器刷新率，保存。

17、点：Connect ，终端即可进入系统。

DCOM服务的DCOM 激活模式和终端服务器

beTwin是PC虚拟终端软件，可让一台PC带动多台性能相当的终端，多人可同时,独立地使用一台PC机。BeTwin是一套基于WINDOWS的系统软件，BeTwin在一台运行WINDOWS 98/SE/ME的PC内建立多个虚拟终端环境，用户只需加入显示器、显示卡、键盘、鼠标、音箱（可选）即可得到多个和主机性能相当的WINDOWS终端。BeTwin允许一台PC最多可添加四个终端用户。BeTwin主机和终端用户可同时、独立地共享一台PC计算机的硬、软件（包括绝大多数单机、加密软件）及外设。并可一人上网，多人同时独自冲浪。测试准备：显示器、USB键盘和鼠标、标准PCI显示卡。

Betwin产品介绍

betwin2000/xp就是在windows（包含win2000专业版/服务器版和winxp家庭版/服务器版），它可以让最多5个用户同时独立的共享一台pc的软硬件和外设。

如果一台pc内安装了betwin 2000/xp，用户只要加显示器、显卡、usb键盘鼠标、usb音箱（可选），就可以获得和主机一样的win的运行环境。

一、系统要求

win2000 professional/server (专业版/服务器版)

winxp professional/home edition (专业版/服务器版)

二、主机的配置要求

cpu ：至少是pentium Ⅱ 333 mhz,最好是 pentium Ⅲ 450 mhz或以上的。

内存：至少128mb，每加一个工作站，至少要加64mb内存（最好不要将不同型号的内存混用）

显卡：agp显卡，并且在cmos中将显示卡启动顺序设置为agp初始启动。

Usb ：至少有一个usb口，最好有四个usb口。（如果是一个可以用带电源的usbhub连出）

鼠键：主机的鼠标和键盘最好都是ps2口的，为了避免和工作站的的设备冲突

显示器：普通的svga显示器

pci插槽：有多个空闲，根据工作站的数量而定，一个工作站需要一个pci插槽安装显卡

电源：一个要300-350w的

多媒体（可选）：主板集成声卡，或pci声卡，或usb音箱

三、工作站的配置要求

显卡：vga pci 显卡，支持多显示模式

键鼠：usb键盘，键盘上至少还要有一个ps2或usb接口的，用来接鼠标

显示器：普通svga显示器

多媒体：usb音箱

四、安装工作站的显卡

.选型

用于WIN2000系统的PCI 显卡有：

ATI 3D RE PRO TURBO PCI 显卡

VIDIA TNT2—M64 PCI显卡

S3 SAVE 4 PCI 显卡

SIS 6326PCI 显卡（一台主机中只能用一块，不能用两块以上）

用于WIN XP系统的PCI 显卡

ATI RADEON 系列PCI显卡

NVIDIA GEFORCE 2 系列PCI 显卡

NVIDIA TNT2系列PCI 显卡

NVIDIA GEFROCE 4 系列PCI 显卡

S3 SVE 4 PCI 显卡

五、安装BETWIN软件

1、安装时，用户必须先拿到BETWIN软件，最新版本的软件发布后，都放在网上，建议用户每次安装时最好到网上即时下载，用最新的版本的软件进行安装。

2、下载的BETWIN既是演示版又是正式版，中文的演示版的有效期限是一天，所以在24小时内注册，要不工作站将无法登入

3、双击下载的文件包setup.exe,开始安装过程，根据提示进行操作，完成安装（系统将会自动重起两次）

4、如果在安装过程中出现一些“读文件错误”之类的提示，可能是安装文件在下载过程中损坏，重新下载

5、系统重新启动后，出现wins注册界面，等待用户的注册进入，此时表示BETWIN安装成功。

六、配置BETWIN系统

BETWIN软件安装完成后，要进行工作站的配置，才能使用添加的各工作站正常工作。步骤如下：

1、双击桌面上的“BETWIN控制台”的图标，进入BETWIN控制台

2、未注册的前系统弹出对话框，提示用户的注册，在测试阶段，不需注册，选择“以后注册”继续。

3、在BETWIN控制中心界面上选择“工作站的配置”，进入配置界面

4、选择“添加工作站”，弹出工作站的命名对话框，用户为要添加的工作站起一个名字

5、确定后，在配置界面左右列出了添加的工作站和它名下的硬件（显卡、键盘、鼠标）

6、选中该工作站下面的“硬件”后，点击右边的菜单“硬件配置”，对该工作站的硬件进行更高的配置

7、在弹出的“硬件配置”对话框中，右边列出的是已添加好的工作和下属硬件，而左边列出的是未分配的硬件（包括多媒体设备）

8、在右边选择一个工作站，在左边选择一个多媒体设备，点击“>>”,将其添加到该工作站。

9、确定后完成了该工作站的硬件配置

10、重复以上的步骤，完成其它工作站的配置

11、硬件配置完成以后，点击“确定”，系统提示重启

12、重新启动后，所有的工作站都象主机一样，出现等待等入的界面。用户可使用自己的帐号登入。

注意事项：

1、有时候工作站并不能正常启动，可能以下出现问题：

a、检查该工作站的硬件配置是否全面？每个工作站必须有显卡、键盘、鼠标三样设备，才能正常启动，缺一不可。

B、该工作站所属的设备驱动程序安装是否正确？

C、是否有些设备连接不正常、接触不良，导致设备的丢失？

2、中文BETWIN2000/XP软件演示版的有效期限为一天。一天后，工作站就不能启动。演示版在有效期内，每次启动后工作站的有效期限为30分钟。

3、如果用户在一天中不能完成硬件的调试工作，要继续调试的话，就要重新安装系统，不过可以用硬盘分区备份工具直接恢复系统，这样做很快，效果好。

4、系统重新恢复后，在安装硬件和betwin软件，进行测试。

5、如果硬件正常、软件运行正常，所有的工作站测试正常。请不要急于注册，多次启动系统，调用各种程序，观察整个系统的稳定性。

一、硬件设备

一台电脑两人用，当然需要两个显示器，两套鼠标键盘了。因此，对于已购置电脑的朋友来说，要想享受电脑一拖二的乐趣，就需要再添置一台显示器，一套USB鼠标和键盘，所有的花费1000元左右就足够了。当然，如果你本就有第二台闲置的显示器，那么你可以将花费控制在300元内，再省下一笔不小的资金。

如果两人同时使用电脑时，都需要有声音效果，就要再配置一个USB声卡。另外，由于一台主机上要连接两台显示器，因此就需要安装两块显示卡，如果主机配置的就是具备双头显示的显示卡，那么就不必再购买新显卡了。例如笔者使用的是笔记本，自带一个VGA输出接头，自然就又省了显卡的费用。

二、主机硬件配置与系统要求

要提醒大家的一点，由于我们这个“双人共用PC”是通过软件实现的，因此要求主机的硬件配置比较高。其中标准硬件配置要求为：

CPU：奔腾4 2.0GHz以上或同档次AMD处理器，以超线程CPU为最佳

内存：256MB+工作站数目×128MB

显卡：支持双头输出的显卡或加配一块PCI接口的显卡，推荐GeForce 4以上级别带至少32MB显存的显卡。

在这个配置要求中，主要对内存的需求比较高，当然是越大越好。至少要256MB才能供两人同时使用，如果要同时三人使用也可以通过本文的方法实现，不过内存容量也要相应的加倍。

“双人共用PC”对操作系统没有特别的要求，使用Windows 98/2000/XP系统都可以，不过在使用“高级”些的Windows 2003时却会出现不稳定的情况。推荐用Windows XP系统，在一切准备好之后，下面就让我们开始为电脑施展“分身术”吧！

三、硬件设置与软件安装

步骤一：将显示器连接到显卡的第二个VGA端口，并插好USB键盘和USB鼠标。在进入Windows XP系统后，将会自动检测新添加的显示器、鼠标和键盘（如图1）。现在测试一下两套外设能否正常使用，移动新添加的USB鼠标，查看光标是否能够移动。按下键盘的大小写锁定键，这时连接在主机上的两个键盘指示灯都应该变亮。确认设备无问题后，进入下一步。

步骤二：打开“显示属性”中的“设置”选项卡，这时应该能看到两个显示器设备。在中间的窗口中点击外接的第二台显示器，然后勾选下面的“将Windows桌面扩展到该监视器上”选项。确认操作后，第二台显示器就能正常显示系统桌面了，并且鼠标的光标能够在两台显示器之间跨屏幕移动（如图2）。

步骤三：现在我们来安装软件，请出我们的明星——BeTwin，它是一款可以实现多用户共用一台PC的共享软件，也是我们此次应用中的关键角色。不过由于在Windows XP系统下，它最多能够支持5个用户同时登录使用，因此从理论上讲，BeTwin可以将一台电脑变成五台电脑。

安装软件前，要保证Windows XP系统中至少已经建立了两个用户帐号，这样才能让两个用户同时登录系统使用同一台电脑。

当安装完软件并重新启动系统后，就会出现BeTwin的设置向导，确定后软件会扫描当前主机中的硬件，并进行初始配置。这时可按屏幕上的向导提示，一步步完成鼠标与键盘的配置，然后再次重启系统。

四、设置子机显示

当重启完成后，会看到主机上连接的两个显示器中都显示出了登录界面，现在使用不同的用户名，分别登录这“两台”电脑。当登录成功后，各个显示器上所显示的就会是不同的桌面，此时的操作就和使用两个单独的Windows XP系统毫无区别，两套键盘鼠标都能够进行独立的操作。

不过，虽然现在已可以使用第二台新添加的“电脑”了，但其显示效果很不好，分辨率很低，而且无法进行调节。这时可以在第一台主机上运行“BeTwin控制台” ，点击“选项→配置设置”项（如图3），勾选上“禁用Betwin”项后，点击“更新”按钮（如图4）。将其禁用后，使用主用户登录，即可对其进行显示设置了。

考虑到兼容性的问题，BeTwin会默认将显卡的加速功能降低。如果你的显卡足够强劲，并拥有128MB以上的显存时，可以通过设置来获得最佳的显示效果。只要在“显示属性→高级→疑难解答”中，将硬件加速级别调到最高。这样主机、子机就可以玩各种3D游戏了。

当设置完成后，再次启动BeTwin控制台，点击菜单中的“工作站→工作配置”命令（如图5），接着点击“添加工作站”按钮，在新加入一台工作站后，点击“配置向导”按钮，系统将会重新启动。当重启结束后，在刚才的对话框中重新启用Betwin，此时第二台电脑的显示效果就恢复正常了。

五、BeTwin控制台的详细使用方法

经过上面的设置，我们已经简单的实现了一台电脑变身为两台使用的目的。不过如果要想使效果达到最佳状态，就需要对这两台电脑经常进行一些管理设置，这时就要深入“BeTwin控制台”了。

1.查询系统运行状态

打开桌面上的“BeTwin控制台”，可以看到两个用户已经同时登录了。选择“用户→统计信息”，便可看到当前系统状态（如图6）。如果这里显示的可用内存太少，那么最好添加内存，否则“一拖二”的运行速度会变得非常慢。

2.修改电脑硬件配置

如果需要加入更多的电脑或更改硬件属性，可以点击控制台中的“工作站配置”按钮，在弹出的“工作站配置”对话窗口中，点击“硬件配置”按钮，即可以看到当前分配给各个子系统的硬件状态，并可以进行修改配置操作（如图7）。

3.设置用户权限

在控制台中，还可以对第二台电脑的登录用户权限进行设置，只需要在工作站配置对话窗口中点击“登录配置”按钮，打开用户设置对话窗口（如图8）。在这里即可设置子机默认的登录用户名，并可设置为自动登录。在“初始化程序”和“工作目录”中，可以指定子机在开机后自动运行的程序，并设定其工作目录。为了保证每个用户的隐私安全，可以在硬盘上使用NTFS分区格式，为每个用户设置权限。

此外，在控制台中还可以设置第二台电脑子机的关机信息，使用安全关机或测试应用程序的兼容性等选项。

能帮忙解释一些最常用端口吗？

在作为远程客户的服务器运行时，终端服务器系统在所支持的 DCOM 激活/进程启动模式方面会有所限制。对于任一给定的 ClassID 或 AppID，Windows NT 的 DCOM 通常支持四种激活/启动模式。

作为激活方运行（默认）：在终端服务器中，本地进程由客户会话启动。

作为指定/命名用户运行：在终端服务器中，本地进程始终由会话 0（控制台）启动。

作为 Win32 和 Windows NT 服务运行：在终端服务器中，服务由会话 0（控制台）启动。

作为交互用户运行：不能用在终端服务器中。

对于终端服务器，只有模式 1（“作为激活方运行“）才受完全支持。模式 2 和 3（“作为指定/命名用户运行”和“作为 Win32 和 Windows NT 服务运行”）在终端服务器系统上运行时会出现不同的行为，因此 Microsoft 不推荐或支持这样做。第四种模式（“作为交互用户运行”），在终端服务器上根本不能运行。

DCOM 与 Windows 2000 终端服务

Microsoft 的目标是确保上述问题在 Windows 2000 中能够解决。以下内容是对 Microsoft Windows® 2000 终端服务下激活模式及其工作机制的简要描述：

作为激活方运行：

本地激活

服务器在激活方所属的同一会话中被激活。这种行为在无论终端服务是否启用的情况下都完全相同。

远程激活：

启用终端服务后的激活规则与不启用时一样。然而，进程将在会话 ID 为 0 的窗口站中启动，而不是在用户对应的会话中启动。这是为了保护远程调用的激活行为。为了说明这一行为方式的原因，不妨设由对应于 Windows 2000 Server（已启用终端服务）上用户的会话启动激活过程的情况。如果用户注销，所有的窗口站及其进程就被杀死。如果用户是从服务器上的多个客户登录的，而又决定从一台客户机上退出，则用户其它会话的客户进程将无法看到它们的激活过程。因此，其它会话将失败。基于这一原因，所有进程都将在会话 0 的窗口站中启动。因为会话 0 永远不会被删除，远程激活过程就能够继续正常进行。

作为命名/指定用户运行：

应用程序通过注册表中的 AppID 被配置为作为指定用户运行。本地和远程激活的行为相同。

当启用了终端服务时，进程将在会话 0 的一个新窗口站中启动。在有多个用户使用服务器的情况下，后续请求将获得已有的同一个类对象。呼叫方的 SID 或 LUID 对此没有影响。在单个用户使用服务器的情况下，新的激活请求始终获得一个新的窗口站。即使同一用户登录到交互式桌面，激活过程也不会共享交互窗口站。

作为 Win32 和 Windows NT 服务运行：

应用程序通过 AppID 集被配置为作为服务运行进程。

当启用了终端服务后，服务从本质上讲仍是全局的，不会在某一特定会话中启动。根据服务配置不同，它们要么在会话 0 的服务桌面上启动，要么在会话 0 的交互桌面上启动。

作为交互用户运行：

应用程序被配置为在交互用户的安全环境下运行。

如前所述，Windows NT Server 4.0，Terminal Server Edition 不支持这类服务器的远程激活，它只支持会话到会话的本地激活。在启用终端服务的状态下作为交互用户启动进程有两种方式，正处于研究之中。一种在当前会话之外的另一会话中激活进程的方式是使用会话“标志”。另一种可能的方式是使用呼叫方的安全凭据启动进程。Windows 2000 正式推出时会提供更详细的信息

win2000 server重要漏洞?

端口：0

服务：Reserved

说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。

端口：1

服务：tcpmux

说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DI、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。

端口：7

服务：Echo

说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。

端口：19

服务：Character Generator

说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

端口：21

服务：FTP

说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。

端口：22

服务：Ssh

说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。

端口：23

服务：Telnet

说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。

端口：25

服务：SMTP

说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。

端口：31

服务：MSG Authentication

说明：木马Master Paradise、Hackers Paradise开放此端口。

端口：42

服务：WINS Replication

说明：WINS复制

端口：53

服务：Domain Name Server（DNS）

说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。

端口：67

服务：Bootstrap Protocol Server

说明：通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

端口：69

服务：Trival File Transfer

说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件。它们也可用于系统写入文件。

端口：79

服务：Finger Server

说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。

端口：80

服务：HTTP

说明：用于网页浏览。木马Executor开放此端口。

端口：99

服务：Metagram Relay

说明：后门程序ncx99开放此端口。

端口：102

服务：Message transfer agent(MTA)-X.400 over TCP/IP

说明：消息传输代理。

端口：109

服务：Post Office Protocol -Version3

说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。

端口：110

服务：SUN公司的RPC服务所有端口

说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等

端口：113

服务：Authentication Service

说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。

端口：119

服务：Network News Transfer Protocol

说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。

端口：135

服务：Location Service

说明：Microsoft在这个端口运行DCE RPC end-point mer为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mer注册它们的位置。远端客户连接到计算机时，它们查找end-point mer找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。

端口：137、138、139

服务：NETBIOS Name Service

说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。

端口：143

服务：Interim Mail Access Protocol v2

说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。

端口：161

服务：SNMP

说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。

端口：177

服务：X Display Manager Control Protocol

说明：许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。

端口：389

服务：LDAP、ILS

说明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。

端口：443

服务：Https

说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。

端口：456

服务：[NULL]

说明：木马HACKERS PARADISE开放此端口。

端口：513

服务：Login,remote login

说明：是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。

端口：544

服务：[NULL]

说明：kerberos kshell

端口：548

服务：Macintosh,File Services(AFP/IP)

说明：Macintosh,文件服务。

端口：553

服务：CORBA IIOP （UDP）

说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。

端口：555

服务：D

说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。

端口：568

服务：Membership DPA

说明：成员资格 DPA。

端口：569

服务：Membership MSN

说明：成员资格 MSN。

端口：635

服务：mountd

说明：Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。

端口：636

服务：LDAP

说明：SSL（Secure Sockets layer）

端口：666

服务：Doom Id Software

说明：木马Attack FTP、Satanz Backdoor开放此端口

端口：993

服务：IMAP

说明：SSL（Secure Sockets layer）

端口：1001、1011

服务：[NULL]

说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。

端口：

服务：Reserved

说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口开始。这就是说第一个向系统发出请求的会分配到端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a 将会看到Telnet被分配端口。还有SQL session也用此端口和5000端口。

端口：1025、1033

服务：1025：network blackjack 1033：[NULL]

说明：木马netspy开放这2个端口。

端口：1080

服务：SOCKS

说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情况。

端口：1170

服务：[NULL]

说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。

端口：1234、1243、6711、6776

服务：[NULL]

说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。

端口：1245

服务：[NULL]

说明：木马Vodoo开放此端口。

端口：1433

服务：SQL

说明：Microsoft的SQL服务开放的端口。

端口：1492

服务：stone-design-1

说明：木马FTP99CMP开放此端口。

端口：1500

服务：RPC client fixed port session queries

说明：RPC客户固定端口会话查询

端口：1503

服务：NetMeeting T.120

说明：NetMeeting T.120

端口：1524

服务：ingress

说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。

端口：1600

服务：issd

说明：木马Shivka-Burka开放此端口。

端口：1720

服务：NetMeeting

说明：NetMeeting H.233 call Setup。

端口：1731

服务：NetMeeting Audio Call Control

说明：NetMeeting音频调用控制。

端口：1807

服务：[NULL]

说明：木马SpySender开放此端口。

端口：1981

服务：[NULL]

说明：木马ShockRe开放此端口。

端口：1999

服务：cisco identification port

说明：木马BackDoor开放此端口。

端口：2000

服务：[NULL]

说明：木马GirlFriend 1.3、Millenium 1.0开放此端口。

端口：2001

服务：[NULL]

说明：木马Millenium 1.0、Trojan Cow开放此端口。

端口：2023

服务：xinuexpansion 4

说明：木马Pass Ripper开放此端口。

端口：2049

服务：NFS

说明：NFS程序常运行于这个端口。通常需要访问Portmer查询这个服务运行于哪个端口。

端口：2115

服务：[NULL]

说明：木马Bugs开放此端口。

端口：2140、3150

服务：[NULL]

说明：木马Deep Throat 1.0/3.0开放此端口。

端口：2500

服务：RPC client using a fixed port session replication

说明：应用固定端口会话复制的RPC客户

端口：2583

服务：[NULL]

说明：木马Wincrash 2.0开放此端口。

端口：2801

服务：[NULL]

说明：木马Phineas Phucker开放此端口。

端口：3024、4092

服务：[NULL]

说明：木马WinCrash开放此端口。

端口：3128

服务：squid

说明：这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。

端口：3129

服务：[NULL]

说明：木马Master Paradise开放此端口。

端口：3150

服务：[NULL]

说明：木马The Invasor开放此端口。

端口：3210、4321

服务：[NULL]

说明：木马SchoolBus开放此端口

端口：3333

服务：dec-notes

说明：木马Prosiak开放此端口

端口：3389

服务：超级终端

说明：WINDOWS 2000终端开放此端口。

端口：3700

服务：[NULL]

说明：木马Portal of Doom开放此端口

端口：3996、4060

服务：[NULL]

说明：木马RemoteAnything开放此端口

端口：4000

服务：QQ客户端

说明：腾讯QQ客户端开放此端口。

端口：4092

服务：[NULL]

说明：木马WinCrash开放此端口。

端口：4590

服务：[NULL]

说明：木马ICQTrojan开放此端口。

端口：5000、5001、5321、50505

服务：[NULL]

说明：木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。

端口：5400、5401、5402

服务：[NULL]

说明：木马Blade Runner开放此端口。

端口：5550

服务：[NULL]

说明：木马xtcp开放此端口。

端口：5569

服务：[NULL]

说明：木马Robo-Hack开放此端口。

端口：5632

服务：pcAnywere

说明：有时会看到很多这个端口的扫描，这依赖于用户所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能的代理（这里的代理是指agent而不是proxy）。入侵者也会寻找开放这种服务的计算机。，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。

端口：5742

服务：[NULL]

说明：木马WinCrash1.03开放此端口。

端口：6267

服务：[NULL]

说明：木马广外女生开放此端口。

端口：6400

服务：[NULL]

说明：木马The tHing开放此端口。

端口：6670、6671

服务：[NULL]

说明：木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。

端口：6883

服务：[NULL]

说明：木马DeltaSource开放此端口。

端口：6969

服务：[NULL]

说明：木马Gatecrasher、Priority开放此端口。

端口：60

服务：RealAudio

说明：RealAudio客户将从服务器的60-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。

端口：7000

服务：[NULL]

说明：木马Remote Grab开放此端口。

端口：7300、7301、7306、7307、7308

服务：[NULL]

说明：木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。

端口：7323

服务：[NULL]

说明：Sygate服务器端。

端口：7626

服务：[NULL]

说明：木马Giscier开放此端口。

端口：7789

服务：[NULL]

说明：木马ICKiller开放此端口。

端口：8000

服务：OICQ

说明：腾讯QQ服务器端开放此端口。

端口：8010

服务：Wingate

说明：Wingate代理开放此端口。

端口：8080

服务：代理端口

说明：WWW代理开放此端口。

端口：9400、9401、9402

服务：[NULL]

说明：木马Incommand 1.0开放此端口。

端口：9872、9873、9874、9875、10067、10167

服务：[NULL]

说明：木马Portal of Doom开放此端口。

端口：9989

服务：[NULL]

说明：木马iNi-Killer开放此端口。

端口：11000

服务：[NULL]

说明：木马SennaSpy开放此端口。

端口：11223

服务：[NULL]

说明：木马Progenic trojan开放此端口。

端口：12076、61466

服务：[NULL]

说明：木马Telecommando开放此端口。

端口：12223

服务：[NULL]

说明：木马Hack'99 KeyLogger开放此端口。

端口：12345、12346

服务：[NULL]

说明：木马NetBus1.60/1.70、GabanBus开放此端口。

端口：12361

服务：[NULL]

说明：木马Whack-a-mole开放此端口。

端口：13223

服务：PowWow

说明：PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。

端口：16969

服务：[NULL]

说明：木马Priority开放此端口。

端口：17027

服务：Conducent

说明：这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。

端口：19191

服务：[NULL]

说明：木马蓝色火焰开放此端口。

端口：20000、20001

服务：[NULL]

说明：木马Millennium开放此端口。

端口：20034

服务：[NULL]

说明：木马NetBus Pro开放此端口。

端口：21554

服务：[NULL]

说明：木马GirlFriend开放此端口。

端口：22222

服务：[NULL]

说明：木马Prosiak开放此端口。

端口：23456

服务：[NULL]

说明：木马Evil FTP、Ugly FTP开放此端口。

端口：26274、47262

服务：[NULL]

说明：木马Delta开放此端口。

端口：27374

服务：[NULL]

说明：木马Subseven 2.1开放此端口。

端口：30100

服务：[NULL]

说明：木马NetSphere开放此端口。

端口：30303

服务：[NULL]

说明：木马Socket23开放此端口。

端口：30999

服务：[NULL]

说明：木马Kuang开放此端口。

端口：31337、31338

服务：[NULL]

说明：木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。

端口：31339

服务：[NULL]

说明：木马NetSpy DK开放此端口。

端口：31666

服务：[NULL]

说明：木马BOWhack开放此端口。

端口：33333

服务：[NULL]

说明：木马Prosiak开放此端口。

端口：34324

服务：[NULL]

说明：木马Tiny Telnet Server、BigGluck、TN开放此端口。

端口：40412

服务：[NULL]

说明：木马The Spy开放此端口。

端口：40421、40422、40423、40426、

服务：[NULL]

说明：木马Masters Paradise开放此端口。

端口：43210、54321

服务：[NULL]

说明：木马SchoolBus 1.0/2.0开放此端口。

端口：44445

服务：[NULL]

说明：木马Hypig开放此端口。

端口：50766

服务：[NULL]

说明：木马Fore开放此端口。

端口：53001

服务：[NULL]

说明：木马Remote Windows Shutdown开放此端口。

端口：65000

服务：[NULL]

说明：木马Devil 1.03开放此端口。

端口：88

说明：Kerberos krb5。另外TCP的88端口也是这个用途。

端口：137

说明：SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。

端口：161

说明：Simple Network Management Protocol(SMTP)（简单网络管理协议）。

端口：162

说明：SNMP Trap（SNMP陷阱）

端口：445

说明：Common Internet File System(CIFS)（公共Internet文件系统）

端口：464

说明：Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。

端口：500

说明：Internet Key Exchange(IKE)（Internet密钥交换）

端口：1645、1812

说明：Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务)

端口：1646、1813

说明：RADIUS accounting(Routing and Remote Access)(RADIUS记帐（路由和远程访问）)

端口：1701

说明：Layer Two Tunneling Protocol(L2TP)(第2层隧道协议)

端口：1801、3527

说明：Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。

端口：2504

说明：Network Load Balancing(网络平衡负荷)

Win2000 Server入侵监测 (阅览 13354 次)

经过精心配置的Win2000服务器可以防御90%以上的入侵和渗透，但是，就象上一章结束时我所提到的：系统安全是一个连续的过程，随着新漏洞的出现和服务器应用的变化，系统的安全状况也在不断变化着；同时由于攻防是矛盾的统一体，道消魔长和魔消道长也在不断的转换中，因此，再高明的系统管理员也不能保证一台正在提供服务的服务器长时间绝对不被入侵。

所以，安全配置服务器并不是安全工作的结束，相反却是漫长乏味的安全工作的开始，本文我们将初步探讨Win2000服务器入侵检测的初步技巧，希望能帮助您长期维护服务器的安全。

本文中所说的入侵检测指的是利用Win2000 Server自身的功能及系统管理员自己编写的软件/脚本进行的检测，使用防火墙（Firewall）或入侵监测系统（IDS）的技巧并不在本文的讨论范围之内。

现在定：我们有一台Win2000 Server的服务器，并且经过了初步的安全配置（关于安全配置的详情可以参阅Win2000 Server安全配置入门<一>），在这种情况下，大部分的入侵者将被拒之门外。（哈哈，我管理员可以回家睡大觉去了）慢着，我说的是大部分，不是全部，经过初步安全配置的服务器虽然可以防御绝大多数的Script kid（脚本族-只会用别人写的程序入侵服务器的人），遇到了真正的高手，还是不堪一击的。虽然说真正的高手不会随便进入别人的服务器，但是也难保有几个品行不端的邪派高手看上了你的服务器。（我真的这么衰么？）而且，在漏洞的发现与补丁的发布之间往往有一段时间的真空，任何知道漏洞资料的人都可以乘虚而入，这时，入侵检测技术就显得非常的重要。

入侵的检测主要还是根据应用来进行，提供了相应的服务就应该有相应的检测分析系统来进行保护，对于一般的主机来说，主要应该注意以下几个方面：

1、基于80端口入侵的检测

WWW服务大概是最常见的服务之一了，而且由于这个服务面对广大用户，服务的流量和复杂度都很高，所以针对这个服务的漏洞和入侵技巧也最多。对于NT来说，IIS一直是系统管理员比较头疼的一部分（恨不得关了80端口），不过好在IIS自带的日志功能从某种程度上可以成为入侵检测的得力帮手。IIS自带的日志文件默认存放在System32/LogFiles目录下，一般是按24小时滚动的，在IIS管理器中可以对它进行详细的配置。（具体怎么配我不管你，不过你要是不详细记录，回头查不到入侵者的IP可不要哭）

现在我们再设（怎么老是设呀，烦不烦？）别急呀，我不能为了写这篇文章真的去黑掉一台主机，所以只好设了，我们设一台WEB服务器，开放了WWW服务，你是这台服务器的系统管理员，已经小心地配置了IIS，使用W3C扩展的日志格式，并至少记录了时间（Time）、客户端IP（Client IP）、方法（Method）、URI(URI Stem)、URI查询(URI Query)，协议状态（Protocol Status)，我们用最近比较流行的Unicode漏洞来进行分析：打开IE的窗口，在地址栏输入：127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir 默认的情况下你可以看到目录列表（什么？你已经做过安全配置了，看不到？恢复默认安装，我们要做个实验），让我们来看看IIS的日志都记录了些什么，打开Ex010318.log（Ex代表W3C扩展格式，后面的一串数字代表日志的记录日期）：07:42:58 127.0.0.1 GET /scripts/..\../winnt/system32\cmd.exe /c+dir 200上面这行日志表示在格林威治时间07:42:58（就是北京时间23:42:58），有一个家伙（入侵者）从127.0.0.1的IP在你的机器上利用Unicode漏洞（%c1%1c被解码为"\"，实际的情况会因为Windows语言版本的不同而有略微的差别）运行了cmd.exe，参数是/c dir，运行结果成功（HTTP 200代表正确返回）。(哇，记录得可真够全的，以后不敢随便乱玩Unicode了)

大多数情况下，IIS的日志会忠实地记录它接收到的任何请求（也有特殊的不被IIS记录的攻击，这个我们以后再讨论），所以，一个优秀的系统管理员应该擅长利用这点来发现入侵的企图，从而保护自己的系统。但是，IIS的日志动辄数十兆、流量大的网站甚至数十G，人工检查几乎没有可能，唯一的选择就是使用日志分析软件，用任何语言编写一个日志分析软件（其实就是文本过滤器）都非常简单，不过考虑到一些实际情况（比如管理员不会写程序，或者服务器上一时找不到日志分析软件），我可以告诉大家一个简单的方法，比方说你想知道有没有人从80端口上试图取得你的Global.asa文件，可以使用以下的CMD命令：find "Global.asa" ex010318.log /i这个命令使用的是NT自带的find.exe工具（所以不怕紧急情况找不着），可以轻松的从文本文件中找到你想过滤的字符串，"Global.asa"是需要查询的字符串，ex010318.log是待过滤的文本文件，/i代表忽略大小写。因为我无意把这篇文章写成微软的Help文档，所以关于这个命令的其他参数以及它的增强版FindStr.exe的用法请去查看Win2000的帮助文件。

无论是基于日志分析软件或者是Find命令，你都可以建立一张敏感字符串列表，包含已有的IIS漏洞（比如"+.htr"）以及未来将要出现的漏洞可能会调用的（比如Global.asa或者cmd.exe），通过过滤这张不断更新的字符串表，一定可以尽早了解入侵者的行动。

需要提醒的是，使用任何日志分析软件都会占用一定的系统，因此，对于IIS日志分析这样低优先级的任务，放在夜里空闲时自动执行会比较合适，如果再写一段脚本把过滤后的可疑文本发送给系统管理员，那就更加完美了。同时，如果敏感字符串表较大，过滤策略复杂，我建议还是用C写一个专用程序会比较合算。

2、基于安全日志的检测

通过基于IIS日志的入侵监测，我们能提前知道窥伺者的行踪（如果你处理失当，窥伺者随时会变成入侵者），但是IIS日志不是万能的，它在某种情况下甚至不能记录来自80端口的入侵，根据我对IIS日志系统的分析，IIS只有在一个请求完成后才会写入日志，换言之，如果一个请求中途失败，日志文件中是不会有它的踪影的（这里的中途失败并不是指发生HTTP400错误这样的情况，而是从TCP层上没有完成HTTP请求，例如在POST大量数据时异常中断），对于入侵者来说，就有可能绕过日志系统完成大量的活动。

而且，对于非80 Only的主机，入侵者也可以从其它的服务进入服务器，因此，建立一套完整的安全监测系统是非常必要的。

Win2000自带了相当强大的安全日志系统，从用户登录到特权的使用都有非常详细的记录，可惜的是，默认安装下安全审核是关闭的，以至于一些主机被黑后根本没法追踪入侵者。所以，我们要做的第一步是在管理工具-本地安全策略-本地策略-审核策略中打开必要的审核，一般来说，登录与账户管理是我们最关心的，同时打开成功和失败审核非常必要，其他的审核也要打开失败审核，这样可以使得入侵者步步维艰，一不小心就会露出马脚。仅仅打开安全审核并没有完全解决问题，如果没有很好的配置安全日志的大小及覆盖方式，一个老练的入侵者就能够通过洪水般的伪造入侵请求覆盖掉他真正的行踪。通常情况下，将安全日志的大小指定为50MB并且只允许覆盖7天前的日志可以避免上述情况的出现。

设置了安全日志却不去检查跟没有设置安全日志几乎一样糟糕（唯一的优点是被黑了以后可以追查入侵者），所以，制定一个安全日志的检查机制也是非常重要的，作为安全日志，推荐的检查时间是每天上午，这是因为，入侵者喜欢夜间行动（速度快呀，要不你入侵到一半的时候连不上了，那可是哭都哭不出来）上午上班第一件事正好看看日志有没有异常，然后就可以放心去做其他的事了。如果你喜欢，也可以编写脚本每天把安全日志作为邮件发送给你（别太相信这个了，要是哪个高手上去改了你的脚本，每天发送"平安无事"……）

除了安全日志，系统日志和应用程序日志也是非常好的监测工具，一般来说，入侵者除了在安全日志中留下痕迹（如果他拿到了Admin权限，那么他一定会去清除痕迹的），在系统和应用程序日志中也会留下蛛丝马迹，作为系统管理员，要有不放过任何异常的态度，这样入侵者就很难隐藏他们的行踪。

3、文件访问日志与关键文件保护

除了系统默认的安全审核外，对于关键的文件，我们还要加设文件访问日志，记录对他们的访问。

文件访问有很多的选项：访问、修改、执行、新建、属性更改......一般来说，关注访问和修改就能起到很大的监视作用。

例如，如果我们监视了系统目录的修改、创建，甚至部分重要文件的访问（例如cmd.exe, net.exe，system32目录），那么，入侵者就很难安放后门而不引起我们的注意，要注意的是，监视的关键文件和项目不能太多，否则不仅增加系统负担，还会扰乱日常的日志监测工作

（哪个系统管理员有耐心每天看四、五千条垃圾日志？）

关键文件不仅仅指的是系统文件，还包括有可能对系统管理员/其他用户构成危害的任何文件，例如系统管理员的配置、桌面文件等等，这些都是有可能用来窃取系统管理员资料/密码的。

4、进程监控

进程监控技术是追踪木马后门的另一个有力武器，90%以上的木马和后门是以进程的形式存在的（也有以其他形式存在的木马，参见《揭开木马的神秘面纱三》），作为系统管理员，了解服务器上运行的每个进程是职责之一（否则不要说安全，连系统优化都没有办法做），做一份每台服务器运行进程的列表非常必要，能帮助管理员一眼就发现入侵进程，异常的用户进程或者异常的占用都有可能是非法进程。除了进程外，DLL也是危险的东西，例如把原本是exe类型的木马改写为dll后，使用rundll32运行就比较具有迷惑性。

5、注册表校验

一般来说，木马或者后门都会利用注册表来再次运行自己，所以，校验注册表来发现入侵也是常用的手法之一。一般来说，如果一个入侵者只懂得使用流行的木马，那么由于普通木马只能写入特定的几个键值（比如Run、Runonce等等），查找起来是相对容易的，但是对于可以自己编写/改写木马的人来说，注册表的任何地方都可以藏身，靠手工查找就没有可能了。（注册表藏身千变万化，例如需要特别提出来的FakeGina技术，这种利用WINNT外嵌登录DLL（Ginadll）来获得用户密码的方法最近比较流行，一旦中招，登录用户的密码就会被记录无遗，具体的预防方法我这里就不介绍了。）应对的方法是监控注册表的任何改动，这样改写注册表的木马就没有办法遁形了。监控注册表的软件非常多，很多追查木马的软件都带有这样的功能，一个监控软件加上定期对注册表进行备份，万一注册表被非授权修改，系统管理员也能在最短的时间内恢复。

6、端口监控

虽然说不使用端口的木马已经出现，但是大部分的后门和木马还是使用TCP连接的，监控端口的状况对于由于种种原因不能封锁端口的主机来说就是非常重要的了，我们这里不谈使用NDIS网卡高级编程的IDS系统，对于系统管理员来说，了解自己服务器上开放的端口甚至比对进程的监控更加重要，常常使用netstat查看服务器的端口状况是一个良好的习惯，但是并不能24小时这样做，而且NT的安全日志有一个坏习惯，喜欢记录机器名而不是IP（不知道比尔盖子怎么想的），如果你既没有防火墙又没有入侵检测软件，倒是可以用脚本来进行IP日志记录的，看着这个命令：

netstat -n -p tcp 10>>Netstat.log,这个命令每10秒钟自动查看一次TCP的连接状况，基于这个命令我们做一个Netlog.bat文件:

time /t>>Netstat.log

Netstat -n -p tcp 10>>Netstat.log

这个脚本将会自动记录时间和TCP连接状态，需要注意的是：如果网站访问量比较大，这样的操作是需要消耗一定的CPU时间的，而且日志文件将越来越大，所以请慎之又慎。（要是做个脚本就完美无缺，谁去买防火墙？:）

一旦发现异常的端口，可以使用特殊的程序来关联端口、可执行文件和进程(如inzider就有这样的功能，它可以发现服务器监听的端口并找出与该端口关联的文件，inzider可以从://.nttoolbox下载到)，这样无论是使用TCP还是UDP的木马都无处藏身。

7、终端服务的日志监控

单独将终端服务（Terminal Service）的日志监控分列出来是有原因的，微软Win2000服务器版中自带的终端服务Terminal Service是一个基于远程桌面协议（RDP）的工具，它的速度非常快，也很稳定，可以成为一个很好的远程管理软件，但是因为这个软件功能强大而且只受到密码的保护，所以也非常的危险，一旦入侵者拥有了管理员密码，就能够象本机一样操作远程服务器（不需要高深的NT命令行技巧，不需要编写特殊的脚本和程序，只要会用鼠标就能进行一切系统管理操作，实在是太方便、也实在是太可怕了）。虽然很多人都在使用终端服务来进行远程管理，但是，并不是都知道如何对终端服务进行审核，大多数的终端服务器上并没有打开终端登录的日志，其实打开日志审核是很容易的，在管理工具中打开远程控制服务配置（Terminal Service Configration），点击"连接"，右击你想配置的RDP服务（比如 RDP-TCP(Microsoft RDP 5.0)，选中书签"权限"，点击左下角的"高级"，看见上面那个"审核"了么？我们来加入一个Everyone组，这代表所有的用户，然后审核他的"连接"、"断开"、"注销"的成功和"登录"的成功和失败就足够了，审核太多了反而不好，这个审核是记录在安全日志中的，可以从"管理工具"->"日志查看器"中查看。现在什么人什么时候登录我都一清二楚了，可是美中不足的是：这个破烂玩艺居然不记录客户端的IP（只能查看在线用户的IP），而是华而不实的记录什么机器名，倒！要是别人起个PIG的机器名你只好受他的嘲弄了，不知道微软是怎么想的，看来还是不能完全依赖微软呀，我们自己来吧？写个程序，一切搞定，你会C么？不会？VB呢？也不会？Delphi？……什么？你什么编程语言都不会？我倒，毕竟系统管理员不是程序员呀，别急别急，我给你想办法，我们来建立一个bat文件，叫做TSLog.bat，这个文件用来记录登录者的IP，内容如下：

time /t >>TSLog.log

netstat -n -p tcp | find ":3389">>TSLog.log

start Explorer

我来解释一下这个文件的含义：

第一行是记录用户登录的时间，time /t的意思是直接返回系统时间（如果不加/t，系统会等待你输入新的时间），然后我们用追加符号">>"把这个时间记入TSLog.log作为日志的时间字段；

第二行是记录用户的IP地址，netstat是用来显示当前网络连接状况的命令，-n表示显示IP和端口而不是域名、协议，-ptcp是只显示tcp协议，然后我们用管道符号"|"把这个命令的结果输出给find命令，从输出结果中查找包含":3389"的行（这就是我们要的客户的IP所在的行，如果你更改了终端服务的端口，这个数值也要作相应的更改），最后我们同样把这个结果重定向到日志文件TSLog.log中去，于是在SLog.log文件中，记录格式如下：

22:40

TCP 192.168.12.28:3389 192.168.10.123:4903 ESTABLISHED

22:54

TCP 192.168.12.28:3389 192.168.12.29:1039 ESTABLISHED

也就是说只要这个TSLog.bat文件一运行，所有连在3389端口上的IP都会被记录，那么如何让这个批处理文件自动运行呢？我们知道，终端服务允许我们为用户自定义起始的程序，在终端服务配置中，我们覆盖用户的登录脚本设置并指定TSLog.bat为用户登录时需要打开的脚本，这样每个用户登录后都必须执行这个脚本，因为默认的脚本（相当于shell环境）是Explorer（管理器），所以我在TSLog.bat的最后一行加上了启动Explorer的命令startExplorer，如果不加这一行命令，用户是没有办法进入桌面的！当然，如果你只需要给用户特定的Shell：

例如cmd.exe或者word.exe你也可以把start Explorer替换成任意的shell。这个脚本也可以有其他的写法，作为系统管理员，你完全可以自由发挥你的想象力、自由利用自己的，例如写一个脚本把每个登录用户的IP发送到自己的信箱对于重要的服务器也是一个很好的方法。正常情况下一般的用户没有查看终端服务设置的权限，所以他不会知道你对登录进行了IP审核，只要把TSLog.bat文件和TSLog.log文件放在比较隐蔽的目录里就足够了，不过需要注意的是这只是一个简单的终端服务日志策略，并没有太多的安全保障措施和权限机制，如果服务器有更高的安全要求，那还是需要通过编程或购买入侵监测软件来完成的。

8、陷阱技术

早期的陷阱技术只是一个伪装的端口服务用来监测扫描，随着矛和盾的不断升级，现在的陷阱服务或者陷阱主机已经越来越完善，越来越象真正的服务，不仅能截获半开式扫描，还能伪装服务的回应并记录入侵者的行为，从而帮助判断入侵者的身份。

我本人对于陷阱技术并不是非常感兴趣，一来从技术人员角度来说，低调行事更符合安全的原则；二来陷阱主机反而成为入侵者跳板的情况并不仅仅出现在中，在现实生活中也屡见不鲜，如果架设了陷阱反而被用来入侵，那真是偷鸡不成了。

记得CoolFire说过一句话，可以用来作为对陷阱技术介绍的一个结束：在不了解情况时，不要随便进入别人的系统，因为你永远不能事先知道系统管理员是真的白痴或者伪装成白痴的天才......

入侵监测的初步介绍就到这里，在实际运用中，系统管理员对基础知识掌握的情况直接关系到他的安全敏感度，只有身经百战而又知识丰富、仔细小心的系统管理员才能从一点点的蛛丝马迹中发现入侵者的影子，未雨绸缪，扼杀入侵的行动。