老问题:注册表误修改如何修复?

虽然几乎所有文档都在提醒操作人员在修改注册表的时候,都要进行备份,但实际上,这并不是大多数人的必备步骤。

如果你不慎修改或删除了 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet 中的很多东西,而且也不知道这些东西是做什么用的,那么在重新安装整个操作系统和应用软件之前,可以尝试如下方法看能否恢复:

1. 先把 HKEY_LOCAL_MACHINE\SYSTEM 的各个子键备份一下

2. 不要马上重启机器,不当修改这个子键,最常见的结果就是系统不能启动,或者反复重启

3. 如果你能接触到机器的控制台,那么重启,按 F8,选择“已知最近正确模式”(LastKnownGood)进入 Windows,这样能避免上次的不当修改。

4. 如果不能接触机器的控制台(适用于访问机房中的虚拟机、托管在IDC的托管机等),按不了 F8 ,那该怎么办呢? 两个办法:

1) 在 Boot.ini 中加入 /lastknowngood 参数,然后重启(此功能和F8类似),正常重启并登录后,再把 boot.ini 中的此参数去掉

2) 在HKEY_LOCAL_MACHINE\SYSTEM\Select 子键下,将 Current 的值修改为和 LastKnownGood 的值一样,此法和按 F8 的作用也是类似的

以上经验来自于一次重要的服务器恢复过程。

 

System Center Operation Manager 2007 是个好东西

最近在实施项目时,发现 System Center Operation Manager 2007 (OpsMgr)真是个好东西。监控的最主要功能包括:

  • 网络设备
  • Operating System(磁盘、重要性能计数器、网卡)
  • SQL Server
  • DNS
  • AD
  • Terminal Service
  • NLB
  • Cluster Service
  • BizTalk Server
  • SMS
  • DHCP
  • Web Application
  • 自定义分布式应用程序
  • ……

最后这个得多说一下,大家开发过比较复杂系统都知道,如果用户反映系统出现故障,一步一步去确定系统的各个环节是否有问题是非常麻烦,检查交换机和路由器、Ping 操作系统、检查数据库服务器、检查数据库是否正常(如日志已满)、检查 IIS 及 App Pool 是否异常、检查自定义的 Socket 程序是否正常等…

通过自定义分布式应用程序,可以把以上所有内容整合在一起,系统会自动监控每个环节,如果有问题,会以图形化的方式及时显示系统状况,这个视频中有介绍,真的很 Cool ,不骗你。

 

译作上架 -《信息安全实施指南》

2005 年最后一天了,基本上没什么大事,全是整理今年的一些文档资料和未竟事宜。

翻译的新书终于上架了,这是一本针对 CEO 和 CSO 的安全指南,主要介绍了在公司内实施信息安全的方法论、人员/过程/技术及信息安全路线图等内容。

原书名“The Executive Guide To Information Security”,翻译为《信息安全实施指南》已有点不能反映本意,结果出版社又在前面加了一句很不专业的“没有任何漏洞”,预计会遭到不少专业人士的批评,无论如何,该书对于一些在企业做安全管理的人员来说,还是值得一看的,尤其有用的是方法论及书本中一些可以实际应用的评估模板。

主目录如下:


前言
第1章 信息安全挑战
第2章 信息安全概述
第3章 制定信息安全计划
第4章 人员
第5章 过程
第6章 技术
第7章 信息安全路线图
第8章 展望未来
第9章 总结
附录A 安全评估框架
附录B 信息安全网站
附录C 可用的安全标准
附录D 安全职位界定的范例

新的一年要开始了,已经和几位在 Blog 上留言的人差不多组织好了,准备翻译这本 NIST 专家的 “Role Based Access Control”(《基于角色的访问控制》),主要目的是 Learning by Doing ,呵呵。

查看《信息安全实施指南》图书信息

自动取款机上的 Windows XP ?!

最近接到一个安全方案,需要对其评审,一看题目,吓了一跳:ATM 网络安全及病毒防范解决方案 …

不了解 ATM 系统构成的,首先扫一下盲:

  • ATMC:ATM Client 就是我们常见的自动取款机
  • ATMM:ATM Manager 自动取款机的监视管理端
  • ATMP:ATM 后台服务器,从银行的核心系统来看,它是一台前置机,因此 P 可能是指 Prefix 或 Processor 之类,和 POSP(POS机的后台设备)是一种类型。

由于新的 ATMC 是使用 Windows XP SP1 平台,鉴于大家对 XP 太了解了,所以对于银行来说,一定要加强防范。

此方案中大概提了以下一些加固方法:

  • 禁用 Guest、删除不必要的用户、给 Administrator 改名
  • NTFS 、禁用共享、禁止空连接、禁止显示开始菜单栏等

如果这也算安全解决方案的话,我是不敢用这样的 ATM  机的,你呢?

我的回复如下:

由于Windows  XP 操作系统功能较为全面,用在 ATM 上必须经过特殊的安全加固措施,或者考虑采用 Windows XP Emebed 操作系统,这样才能充分保证 ATM 的安全性,因为 ATM 的安全性是银行应用系统的安全性的对外直接体现,意义很重大,所以需要在安全性上下很大功夫。

这个安全方案虽然从一定程度了提高了 ATMC 的安全性,但覆盖面仍很不够,工作步骤稍显复杂,且有一些更有效的措施没有采纳,且较为简单。建议参阅微软网站(Technet )上相关文档,进一步合理组织安全方案,并着重考虑以下内容:

1)应考虑所有 ATMC 的统一定制安装,在统一定制安装时,可以通过禁用不必要组件或服务、组策略等措施来加强安全性

2)Windows XP 一定要安装 SP2,这样就具备了自动安装安全补丁,防火墙等功能,还要考虑建立 SUS 自动更新服务器

3)能过 IPSec 和 IP Filter 来提高网络层的安全性

4)通过启用所有安全日志,并自动集中收集分析来反映 ATMC 的安装状况

5) Windows 的安全加固是一个系统工程,建议寻找专业的安全厂商来解决,这样才能完全保证 ATMC 的安全性。

当然你也可以想想,如果让你来对一台基于 Windows XP 的 ATM 机或者其它自动设备进行加固,你都能采取那些措施?

安全新思路:通用防攻击?

在 Microsoft 描述的 XP SP2 之后的安全前景时,提出要加强主动防护(Active Protection),它主要包括以下主要技术:

  • 动态系统保护( Dynamic System Protection)

根据计算机“状态”的变化主动调整防御措施。这些状态例如,新软件安装、配置的必要更新,或者连接到其它网络,那样的话计算机更容易受到攻击。动态的系统保护可以侦测到这些变化并且对保护等级作出相应的调整。现在,客户受益于Windows 的“自动更新”功能,因为它可以探测到计算机对安全更新的需要。在未来,微软设想的计算机不仅能够侦测到变化,而且能够针对变化主动作出反应。例如,当一台笔记本电脑从公司的网络转移到家庭的电缆调制解调器或DSL连接时,它的防火墙就会关闭更多的端口,以提供更多的保护。

  • 破坏行为屏蔽( Behavior Blocking)

这种措施可以拦截可疑行为并对其进行判断,如果发现异常就加以阻止,从而限制了计算机受到“蠕虫”或病毒感染的可能性,防止病毒造成更多的破坏。例如,Blaster(冲击波)“蠕虫”就是探索到一个缺陷,导致Windows将“蠕虫”复制到其他计算机。而行为屏蔽可以遏制这种攻击。

  • 应用感知的防火墙与入侵保护(Application-aware firewall and intrusion prevention )

其目的是识别并屏蔽恶意的传输。隐藏在合法的网络传输中的病毒和“蠕虫”可以绕过传统的防火墙。但这项新的技术将对网络传输进行深层次的检查并阻止或限制恶意内容的扩散。

无独有偶,其它安全技术公司也想出了一些类似的想法,美其名曰:通用防攻击

通用防攻击的原理和传统防病毒的原理类似:传统的防病毒软件在得到病毒的特征码后之后,将其加入到特征库里之后,就可以查杀病毒了(前些年还有些反病毒公司经常宣称:查杀各种未知病毒,挺搞笑的),但现在的很多恶意程序,甚至病毒则经常是在某个系统公布漏洞后,软件公司尚没有正式发布补丁,或者用户没有给系统打补丁前就产生并破坏系统,所以如何保证在这个时间差内的系统安全就成了首要的问题。

通用防攻击的思路就是在漏洞刚公布后,就把与此漏洞有关的签名发送给用户的网络和桌面防火墙,进而通过对相关数据包的扫描来有效阻止非法数据包,以达到保护系统的目的,其核心就是把现在的漏洞当做病毒对待。

依我看来,此方法还是没有完全解决一个重要问题,如何及时有效地更新用户的网络和桌面防火墙?不过,即使大量用户不能及时更新桌面防火墙,如果网络管理员负责一点,及时更新,至少能保证病毒不会大规模在网络中泛滥。

Anyway ,“主动防护”总要比现在的保护方法要好很多。

查看:“通用防攻击”阻止威胁传播

 

Microsft 安全新闻快递 Volume 1

终于收到第一期的 Microsoft Security Newsletter,内容翔实而丰富,IT Pro 不得不看。

第一期的内容主要包括:

  • Viewpoint
    • Windows Server 2003 and Public Key Infrastructure
  • Top Stories
    • Security Is the Focus at Microsoft DevDays 2004(可见 Microsoft 对于安全的重视程度,安全已不再只是管理员的事,更是开发人员须重视的问题)
  • Security Guidance
    • The 10 Immutable Laws of Security Administrator
    • Office 2003 Security Enhancements
  • Security Focus – Patch Management
    • Help Keep Critical System Secure with Path Management (主要是关于 SUS、SMS)
    • Understanding Pathc and Update Management: Microsoft’s Software Update Strategy
  • MVP Update:讲与 Security 有关 MVP 的事情
  • This Month’s Security Bulletins(本月安全公告)
  • 大量安全资源链接(Webcast、Events、Newsgroups、Security Resources、Community Web Sites)

SecurityNewsletter

查看Microsoft 安全新闻快递 主要内容
  GO:赶紧注册接收

Microsoft 安全新闻快递

这个每月一期的免费新闻快递主要内容是披露一些最新的漏洞信息,以帮助你保护你的网络,包括:

  • Microsoft 管理层和安全专家的文章
  • 安全提示
  • 安全指导
  • 安全公告板及安全更新
  • 与安全有关的FAQ
  • 有用的资源和链接
  • 社区资源和相关安全信息
  • Webcasts/Chats/Events
  • 论坛,以便你可以提供反馈和提与安全相关的问题。

安全新闻快递有两种格式:文本和 HTML 格式。

安全新闻快递目前只有英文版,根据用户的不同,分为以下两种:

  • Microsoft Security Newsletter:面向IT Pro、开发人员、管理人员。
  • Microsoft Security Newsletter for Home Users:面向个人和家庭用户,易于阅读和实践。

Microsoft 的新闻快递也由 12 种增加到 14 种,其中包括 6 个中文版本。

GO:赶紧注册接收

即将到来的 ISA Server 2004 Beta !

Bill Gates 近日在拉斯维加斯的 COMDEX 2003 上宣布,Microsoft 将在 2004 年早些时候发布 ISA Server 2004 的 beta 版本。

ISA Server 2004 是 Microsoft 公司下一代企业防火墙、虚拟专用网(VPN)以及 Web 缓存的解决方案,它提供了应用程序级的过滤、简化的管理集成以及更快的 Web 访问。

ISA 2004 的设计目标是防止最新的 Internet 攻击和蠕虫危害,它同时也提供了一个新的、简化的用户界面,以防止用户错误设置防火墙,而这正是导致网络安全问题的一个经常原因。此外,ISA Server 2004 包括了许多群组部署(Array)、更安全的 VPN 方式访问企业网络的工具。

个人感觉,ISA 2004 的功能与 ISA 2000 相比,功能基本上只是增强,没有很大的变化,无非是为了适应 Windows Server 2003 、简化用户界面(ISA 2000 的配置界面确实比较复杂)以及提供对最新的一些安全问题的解决办法,不过相对来讲,ISA 在企业 Firewall 和 Web Cache 的软件领域,还是非常优秀的,我用过 Proxy Server 2.0 和 ISA 2000 ,是功能完善、值得信赖的产品。

来源:Microsoft WebSite
查看:Microsoft Internet Security & Accelerator 主页

Microsoft 发布 Systems Management Server 2003

在哥本哈根的一个 IT 论坛上,Microsoft 发布了其关键的系统管理软件:System Management Server 2003。

SMS 2003 是原有 System Management Server 2.0 的一个较大的升级版本,增强或增加了应用程序管理(分发、部署)、IT资产管理、安全补丁管理,甚至包括移动设备的管理,是一个 IT 的绿化管理软件,非常适合以 Microsoft 产品为主的系统(网络)环境,IT Pro 的理想选择之一。

经过对前两天拿到的 SMS 2003 的测试,发现在界面风格方面仍保留原有 SMS 2.0 的一些特征,但增加了许多有用的功能,比 SMS 2.0 好多了,SMS 2.0 的 Service Pack 太多了。

SMS 2003 需要 Windows 2003、Active Directory、SQL Server 2000 的支持。

来源:CRN
查看:System Management Server 2003 主页
下载:System Management Server 2003 评估版

体验 Windows Small Business Server 2003

Windows Small Business Server 2003 是 Microsoft 将其一些通用的产品进行包装后,专为中小企业提供的系统解决方案。Microsoft 还有其它许多针对特定用户需求提供的软件包,如 Works Suite、XP Media Center 等。

SBS 2003 有四张 CD ,主要内容分别是:Windows Server 2003,Exchange Server 2003,工具软件(Fax等)以及 Outlook 2003 ,不过,这些软件都是经过一过定制和改造后的产品。

由于没有 S/N ,安装过程没能继续下去,但是从 Microsoft 网站上的 SBS 2003 的 Demo 来看,Microsoft 确实对于中小企业的系统使用状态进行过深入分析,本来象 Windows 2003/Exchange 2003 以及 Active Domain 的管理都相对比较复杂,对系统管理人员有一定的技术要求,但 SBS 2003 中对一些日常的管理任务都进行了大大的简化和集成,管理员只需在一个集成管理界面中就可以完成服务器管理、邮件管理、安全策略配置、Internet Firewall 管理、用户管理、客户端配置、移动访问配置等。Microsoft 对 Windows 及 Exchange 中的管理工具(如 AD 用户管理、计算机管理、域管理、Exchange 邮箱管理)进行了充分地整合和集成,给管理员简单有效的管理体验。

如果以后有小公司找你给他们建一个局域网,并安装相应的软件,Windows Small Business Server 2003 一定是最适合的选择,据 Microsoft 称,如果服务器(硬件)是 OEM SBS 2003 的,你最短可以在 15 分钟内搞定一切,从 Demo 来看,此言不虚。

查看:Windows Small Business 2003 主页

查看:Windows Small Business 2003 Demo 

       (注意,如果安装了 Google Toolbar 或 3721 上网助手,可能会把 Demo 的弹出页面当成广告,在这里要取消此功能才能正确看到 Demo)

附两张 SBS 2003 服务器管理器的截图: