ZyHui » 微软技术

给ISA加上病毒过滤功能——GFI Web Monitor 4安装使用

zyhui — Sat, 12 Apr 2008 16:25:17 +0000

局域网内的病毒一直很猖獗，瑞星也不争气，就着手准备给ISA加个病毒过滤功能，赛门铁克和Mcafee都有针对ISA的病毒过滤产品，但是最终我选择了GFI Web Monitor，最主要的原因就是GFI Web Monitor有办法免费使用（也许别的也可以，只是我没找到o(∩_∩)o…），另外就是GFI Web Monitor有三个病毒引擎：BitDefender，Norman和BitDefender，还有一些其他不错的功能：下载控制，web过滤等等。闲话少说，切入正题~~~

一、安装

安装很简单，一路“下一步”，中间会让你填服务器管理员账号密码、允许访问控制台的IP地址范围（默认是本机）和通知邮件信息什么的，安装完之后会自动在ISA中新增加两个策略，一个是允许ISA本机访问病毒库升级站点，一个是允许访问GFI Web Monitor的控制台。

二、使用

使用也很简单，安装好之后可以通过快捷方式或者IP地址（http://127.0.0.1:1007）进入控制台

选项还挺多，挑主要的说说

1、监控

在这里可以看到活动连接，过去的连接，根据站点和用户的一些排名以及日志

2、 Web过滤

这里可以配置web过滤策略

WebGrade过滤数据库的设置、更新

根据站点的流量排名

再点某站点链接就会显示客户端访问该站点的流量情况

根据客户端的流量排名

点击客户端链接，就会出现该客户端访问站点的情况

3、 Web安全

这里可是GFI Web monitor的重头戏。

设置下载控制策略

设置病毒过滤策略

进一步设置某一项策略，选择是否显示下载状态（这个在下面的测试部分会看到效果），选择过滤使用的病毒引擎，选择对病毒的动作。

设置该策略应用到哪些用户，可以设置IP地址

病毒引擎设置

每个病毒库版本和升级设置

防钓鱼引擎设置

4、设置

设置部分可以调整在安装时候的设置参数，另外就是一些数据的保存时间等等，就不多说了。

可以用到2011年的无用户限制，呵呵

目前的最新版本

三、测试

去http://www.eicar.org/anti_virus_test_file.htm测试一下看看吧，分别有http和https的。

http协议的txt文件

http协议的zip文件

https协议的测试都没有检测出来，我机器上的NOD32测了出来。

在Monitor中的日志里面可以看到日志

下载文件，在过滤策略中选上显示下载状态，通过http下载文件的时候就会出现这个状态栏，而且通过http下载文件的时候不能用迅雷下载工具下载，只能点击链接，使用IE下载，下面的用户可能会因此而抱怨吧，哈哈~~~，不过，为了安全，只能这样了。

在写这篇文章的时候又看了一下日志，这位仁兄是怎么了这是，哈哈，不错，有效果！

好了，测试也测试完了，总之，感觉GFI Web Monitor 4确实是不错的，我的服务器是双至强3.0，4GB内存的HP 380G4，性能上应该没问题，呵呵！

配置使用web方式修改域用户帐户密码

zyhui — Fri, 21 Dec 2007 04:34:24 +0000

在客户端加入到域的情况下，用户修改自己的帐户密码非常方便，但是如果客户端没有加入到域，但是他又在使用域帐户登录其他的应用系统，比如整合AD的FTP站点、使用域帐户进行Internet接入的认证等等，这时候怎么修改密码？答案就是采用web方式。

其实，windows 2003已经自己带了修改域用户密码的相关ASP网页文件了，位置在C:\WINDOWS\system32\inetsrv\iisadmpwd，只需要在IIS里面发布就可以了。

下面就介绍一下如何使用这些文件。

1、在IIS上新建一个“虚拟目录”

2、输入虚拟目录别名为“iisadmpwd”

3、设置权限为读取和执行

4、完成

5、在新建虚拟目录的属性里修改默认内容文档

6、在IE里输入地址http://192.168.253.128/iisadmpwd/就可以打开网页了

7、但是，意外发生，填好用户名、旧密码和新密码之后，点击确认，确实无法打开网页，仔细一看，原来是SSL加密的，检查了一下，原来是没有证书。

8、安装“远程管理（HTML）”，得到一个证书。

9、打开administration的属性

10、选择“服务器证书”

11、选择“将当前证书导出到一个.pfx文件”

12、选择路径

13、输入加密证书用的密码

14、打开iisadmpwd虚拟目录所在的默认网站的属性

15、选择“目录安全性“选项卡里面的”服务器证书“

16、选择“从.prx文件导入证书“

17、选择刚才导出的证书文件

18、输入导出证书时输入的证书加密密码

19、输入SSL端口号

20、完成之后，就可以承购修改密码了。

如果出现以下错误，修改默认域安全策略里面的密码策略，并使用gpupdate /force命令刷新一下就可以了。

搭建基于AD和IAS的802.1X无线认证系统

zyhui — Thu, 20 Dec 2007 07:11:25 +0000

最近实施了一个楼宇室内无线覆盖项目，在无线用户认证上客户希望采用他们已经配置好的AD帐号，最终决定采用AD+IAS的802.1x认证方案，现在把配置过程记录下来。

整个楼宇一共使用了50多个瘦AP，基本实现了全面覆盖，这些AP由无线控制器统一管理。

其他方面的配置这里不多说，主要介绍认证方面的配置。

一、认证架构

1、当无线客户端在AP的覆盖区域内，就会发现以SSID标识出来的无线信号，从中可以看到SSID名称和加密类型，以便用户判断选择。

2、无线AP配置成只允许经过802.1X认证过的用户登录，当用户尝试连接时，AP会自动设置一条限制通道，只让用户和RADIUS服务器通信，RADIUS服务器只接受信任的RADIUS客户端（这里可以理解为AP或者无线控制器），用户端会尝试使用802.1X，通过那条限制通道和RADIUS服务器进行认证。

3、 RADIUS收到认证请求之后，首先会在AD中检查用户密码信息，如果通过密码确认，RADIUS会收集一些信息，来确认该用户是否有权限接入到无线网络中，包括用户组信息和访问策略的定义等来决定拒绝还是允许，RADIUS把这个决定传给radius客户端（在这里可以理解为AP或者无线控制器），如果是拒绝，那客户端将无法接入到无线网，如果允许，RADIUS还会把无线客户端的KEY传给RADIUS客户端，客户端和AP会使用这个KEY加密并解密他们之间的无线流量。

4、经过认证之后，AP会放开对该客户端的限制，让客户端能够自由访问网络上的资源，包括DHCP，获取权限之后客户端会向网络上广播他的DHCP请求，DHCP服务器会分配给他一个IP地址，该客户端即可正常通信。

二、安装活动目录、建立帐号

这一步就不多说了。

三、安装IAS

1、添加删除程序—》添加删除windows组件

2、选择“网络服务”，点击“详细信息”

3、选择“Internet验证服务”，点击“确定”

4、点击“下一步”，windows会自动安装IAS。

5、安装好之后，在“管理工具”里面就会看到“Internet验证服务”，打开之后，在AD中注册服务器，使IAS能够读取AD里面的帐号。

四、为IAS安装证书

由于802.1X和WPA都需要证书来用于IAS服务器认证及加密密钥的产生，所以必须要给IAS服务器安装一个证书，否则，在配置IAS的时候会出现无法找到证书的错误。获取证书可以向商业CA申请，但需要不少花费，还可以自己假设CA服务器，这需要对PKI等只是有足够的认识，还有一个简便的方法是，安装“远程管理（HTML）”后，系统会自动安装一个有效期为一年的证书。

五、配置IAS

安装好证书之后就可以配置IAS了

1、添加RADIUS客户端

在这里，如果使用的是一般的胖AP，RADIUS客户端就是AP，如果使用的是瘦AP，RADIUS客户端就是无线控制器，我这里是表示无线控制器。

打开“Internet验证服务器”，右键“RADIUS客户端”，选择“新建RADIUS客户端”

输入名称和radius客户端的IP地址

设置共享机密，这个共享机密还要在RADIUS客户端那儿输入，一定要记住。点击完成就添加好了。

2、添加远程访问策略

右键单击“远程访问策略”，选择“新建远程访问策略”

输入策略名称

选择“无线”

添加需要有无线访问权限的用户组

身份验证方法选择“受保护的EAP”，点击配置

选择上“启用快速重连接”，点击确定。

完成，如果在配置验证方法那一步出现错误，就是因为没有为服务器安装证书。

3、设置远程接入权限

一个用户能否登录成功，除了取决于前面设置的远程访问策略之外，还受用户的远程接入权限设置。

默认情况下，远程访问权限是拒绝的，需要管理员手动调整，如果用户过多，就可以采用下面方法。

在“Internet验证服务”控制台—》远程访问策略中找到刚才创建好的策略，查看属性，点击“编辑配置文件”

选择“高级”选项卡，点击“添加”

选择“忽略用户的拨入属性”，点击“添加”

选择为“真”，默认是“假”

添加好之后

经过以上配置之后，即可忽略用户属性里面的拨入权限设置。

六、配置RADIUS客户端

我这里的RADIUS客户端是无线控制器，验证方法选择802.1X EAP，加密方法选择WPA/WPA-TKIP，点击802.1X的config，WPA/WPA-TKIP的config在这里无需配置。

在802.1X认证配置项里面填写好IAS服务器的IP地址和共享机密

常见的胖AP配置也大同小异，这里以D-Link的一款无线AP为例，安全和加密方式选择WPA-TKIP，填写IAS服务器IP和共享机密。

七、无线客户端设置

经过以上设置之后，在笔记本的无线网络连接里面会看到一个经过WPA加密的SSID，点击连接时，会出现无法找到证书的错误，这是因为windowsXP的默认设置不符合要求。

打开无线网络连接的属性—》无线网络配置，选择正确的SSID，点击属性

网络验证选择WPA，数据加密TKIP

点击“验证”选项卡，选择EAP类型为“受保护的EAP（PEAP），点击属性

勾掉“验证服务器证书“选项，选择”安全密码（EAP-MSCHAP v2），点击配置

勾掉“自动使用windows登录名和密码”

完成以上配置之后，就可以正常连接到IAS服务器，提示输入用户名密码

连接成功

如果客户端是域成员，可以通过组策略完成以上客户端的配置。

非域成员需要单独调整一下，另外，非域成员用户密码如何修改也需要在服务器上配置，这个问题接下来再补充。

用组策略彻低禁止USB存储设备

zyhui — Thu, 13 Dec 2007 00:29:51 +0000

在所有域终端PC上，修改本地注册表，禁用USB存储。操作方法
A、如果计算机上尚未安装 USB 存储设备，请向用户或组分配对下列文件的“拒绝”权限：
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
B、如果计算机上已经安装了 USB 存储设备，请将以下注册表项中的“Start”值设置为 4：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

个性化Windows XP客户端的登录界面

zyhui — Thu, 13 Dec 2007 00:20:26 +0000

转自：Windows中文站winos.cn 作者：尘封メ心

一般来说，XP客户端登录界面分为两种，一种是使用“欢迎屏幕”；另一种是不使用“欢迎屏幕”的经典登录界面。大家都知道，XP系统一旦加入域后，就不再使用“欢迎屏幕“，所以，今天我们就来讨论一下如何个性化域中的XP登录界面。

先让大家先看一下，我们公司现在和以前使用过的XP个性化登录界面。如图1 2是不是还不错呢？其实做法很简单，下面我就一步一步来和大家分享一下如何操作

图一

图二

在正式操作之前，我想先和大家介绍一下Gina这个东西。为什么要介绍这个呢？因为我们今天做的个性化设置就是修改Gina来实现的。它是干什么用的呢？一言以蔽之，它是专门用来进行登录进程的验证和身份验证的。从它的英文全称Graphical Identification an d Authentication（图形标识和身份验证）就可以看出它的用途。

Gina的功能实现是依靠C:\WINDOWS\system32\msgina.dll这个动态链接文件来实现的。这个文件包含了默认的Windows登录界面。可以自己开发GINA DLL，以实现其他的身份验证方法，例如某些磁卡、智能卡验证、动态令牌验证等。我们今天就准备修改这个文件的内容来达到个性化的目的。不过这个文件是受保护的系统文件，想要彻底修改替换它也不怎么容易。需要借助故障恢复控制台、PE系统或者类似NTFSDOS的工具来实现，比较麻烦，而且极有可能影响系统的稳定。这种做法不值得推荐给大家。

不过微软还算厚道，在注册表里留了一个位置用于安装GINA，在HKLM\Software\MicrosoftWindows NT\CurrentVersion\Winlogon下设置GINADLL为你指定的GINA DLL，（注意:GINADLL这个值缺省没有，需要新建）如果设置了这个值，系统会先调用该GINA，而不会调用缺省的msGINA.dll。

好了好了，废话说了一箩筐，估计大家早已不耐烦了。OK，下面是具体操作步骤：

1. 将XP系统中的C:\WINDOWS\system32\msgina.dll这个文件复制一份出来，用于编辑之用，并且重命名为重命名为XPGina.dll（名字随便取啦）

2. 用ResHacker或者Exescope（我这里使用ResHacker给大家做演示）打开XPGina.dll后，展开“位图”，在“101”，“107”下面均有个“2052”。如图3所示

3. 我们的目标就是替换这两个地方的图片。其中101处的图片大小为 413*72，用于用户登录过程和锁定画面；107 则是个较大的位图，格式为 413*88，用于登陆验证的画面。请尽量保持新图片的大小和系统自带图片大小的一致性，否则很影响美观性。

4. 我以101为例来说明如何替换这个图片。点击ResHacker的“操作”按钮，选择“替换位图”。如图4. 然后选择“打开新位图文件”，打开你事先准备好的，经过你无限创意的位图图片(大小413*72)，点击“替换即可”。如图5和6。

5. 107的替换步骤就不再赘述了，和前面的操作步骤完全一样。只不过图片选择413*88的那张。

6. 全部修改完以后，点击ResHacker的“文件”，“保存”即可。这样，这个文件就被我们处理好了。

图三

图四

图五

图六

个性化的文件我们已经有了，但是如何让操作系统启动的时候调用这个文件呢？其实，我在前面已经说过了，在注册表HKLM\Software\MicrosoftWindows NT\CurrentVersion\Winlogon值下新建一个REG_SZ的字符串值，将内容设置为C:\windows\XPGina.dll（前提是确保这个个性化文件在这个路径中，否则系统启动的时候会找不到这个文件而报错）。重新启动计算机就可以看到你的劳动成果了，很激动吧。
操作已经接近尾声了，但是如何在公司的机器上大规模部署起来呢？总不能一个一个的去客户端做注册表修改吧？！当然不必！我们可以使用启动脚本、ADM模板来批量操作。下面我贴出我们公司目前的启动脚本文件:
@echo off
if exist c:\windows\XPGina.dll (
echo Windows Registry Editor Version 5.00 >> .\reg.reg
echo . >> .\reg.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >> .\reg.reg
echo "LogonPrompt"=" 祝您工作顺心!" >> .\reg.reg
echo "Welcome"="(BY IT支持维护)" >> .\reg.reg
echo "GinaDLL"="c:\\windows\\XPGina.dll" >> .\reg.reg
regedit /s .\reg.reg
del /F .\reg.reg
) else (
net use z: /del
net use z: \\FileServer\\Share "password" /user:username@yourdomain.com
copy z:\ XPGina.dll "c:\windows\XPGina.dll" /n
net use z: /del
)
对以上批处理文件，我稍微做一下解释。大致思路是先检查C盘Windows目录下是否有XPGina.dll这个文件，如果没有就从Z盘拷贝（Z盘是从文件共享服务器FileServer上映射的一个网络驱动器），拷贝完成后再断开驱动器的映射。如果有，就导入reg.reg注册表。至于注册表中具体写的什么内容，相信大家从批处理文件中一看就可以看出来。导入完成以后就删除该注册表文件。

最后，整个操作步骤我还想补充几点说明:
1.        操作系统不同，需要替换的位图文件的位置也不同，例如，XP是替换101和107，而2003就未必是这个地方了。不要试图用XP的GINADLL文件用在2003上，否则2003的登录界面很难看，其实也说不上难看，只是图片不是我们预期的图片。
2.        在批量实施的时候，请用启动或关机脚本。否则可能会因为权限问题，无法写进注册表数据。
3.        在纯安全模式下，个性化界面不会生效。这也就给了当我们遇到第4点中的问题时提供了操作可能。
4.        如果遇到应用错误或者不想使用个性化登录界面，请直接删除注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的GinaDLL。重新启动计算机就行了。
OK，整个步骤到此就结束了，虽然没有什么技术含量，但是我敢保证，如果你在公司所有的计算机上都个性化了登录界面，例如加上公司的logo，那么一定会给同事们或老板耳目为之一新的感觉。记得有家公司来我们公司参观的时候，看到个性化登录界面后，问我们公司是不是和番茄花园合作，做了系统美化。汗一个~