給遠程監(jiān)控更強的“外力”

■

遠程監(jiān)控USB操作狀態(tài)

大家知道，在局域網(wǎng)重要主機系統(tǒng)中，隨意進行USB設(shè)備插入操作，是相當(dāng)危險的，因為這既容易感染病毒，又容易引起數(shù)據(jù)外泄事故。但為了防止隨意插拔操作，網(wǎng)管人員頻繁到主機現(xiàn)場進行監(jiān)控，又顯得不太現(xiàn)實。那能不能對特定主機的USB操作狀態(tài)進行遠程監(jiān)控，以提高監(jiān)控操作效率呢？答案是肯定的！借助“USB CopyNotify!”這款外力工具，就可以很輕松地遠程監(jiān)控局域網(wǎng)中USB設(shè)備操作狀態(tài)，一旦看到有違規(guī)操作現(xiàn)象時，還能通過它進行有效攔截。

例如，現(xiàn)在要對局域網(wǎng)Web服務(wù)器的USB操作狀態(tài)進行遠程監(jiān)控時，需要先從Internet上下載得到“USB CopyNotify!”程序的壓縮包，雙擊其中的客戶端程序（主要起監(jiān)控作用，同時可以對USB設(shè)備予以攔截或放行），開啟程序安裝向?qū)υ捒颉．?dāng)安裝向?qū)崾具x擇安裝何種組件時，必須選中“USB CopyNotify!Client”組件，再保持默認設(shè)置不變，完成剩余的安裝操作。這時，在Web服務(wù)器系統(tǒng)后臺會自動生成一個名稱為“USB CopyNotify Client Service”的服務(wù)，該服務(wù)能保證客戶端程序隨Windows系統(tǒng)自啟動，以實現(xiàn)遠程監(jiān)控操作智能化。接著在網(wǎng)管員自己使用的計算機中，安裝“USB CopyNotify!”壓縮包中的服務(wù)端程序，以接受客戶端程序的監(jiān)控結(jié)果反饋。在安裝該程序的時候，必須要將安裝組件提示選擇為“USB CopyNotify! Server”選項，只有這樣才能成功調(diào)用到遠程監(jiān)控的結(jié)果信息。

為了讓遠程監(jiān)控操作更有針對性，對客戶端、服務(wù)端程序進行一系列合適配置是少不了的。在配置客戶端程序時，先打開如圖1所示的配置界面，輸入Web服務(wù)器主機的IP地址或計算機名稱，當(dāng)客戶端程序或服務(wù)端程序都安裝在同一臺計算機中時，可以將客戶端計算機的名稱設(shè)置為“Localhost”，這樣“USB CopyNotify!”程序?qū)崿F(xiàn)本地監(jiān)控目的。如果需要對違規(guī)的USB設(shè)備進行管理時，不妨在“Block USB”位置處進行合適設(shè)置，選用“Block USB Drive”選項，將對違規(guī)USB設(shè)備操作狀態(tài)進行攔截，使 用“Unblock USB Drive”選項，則不攔截USB設(shè)備各種操作。除了可以監(jiān)控到USB設(shè)備的插拔操作外，我們也可以通過“USB CopyNotify!”程序，實現(xiàn)對USB設(shè)備其他操作的監(jiān)控。例如，打開“Select Alert”下拉列表，我們可以選擇對USB設(shè)備上的文件添加操作、更名操作、刪除操作、修改操作等進行遠程監(jiān)控，甚至可以對所在計算機的節(jié)電模式、關(guān)機操作進行遠程監(jiān)控。設(shè)定好監(jiān)控內(nèi)容后，還需要在“Path of execute to be run”位置處單擊“Browse”按鈕，選擇并添加特定的監(jiān)控報警程序，確保“USB CopyNotify!”工具的監(jiān)控條件觸發(fā)后，通過運行特定應(yīng)用程序，達到自動報警目的，以便讓網(wǎng)管員在第一時間知道遠程監(jiān)控結(jié)果。

在配置服務(wù)端程序時，可以右鍵單擊系統(tǒng)任務(wù)欄右下方的“USB CopyNotify!”工具快捷圖標(biāo)，選擇右鍵菜單中的“Settings”選項，進入如圖2所示的參數(shù)配置界面。將“Send Mail”選中，啟用電子郵件方式接受遠程監(jiān)控結(jié)果，在這里需要將網(wǎng)管員的電子郵件地址填寫在“Mail To”文本框中，將發(fā)件人地址填寫在“Mail From”文本框中（該地址也可以使用網(wǎng)管員的郵件地址），在“SMTP Server”設(shè)置項處設(shè)置好郵件服務(wù)器IP地址?？紤]到郵件收發(fā)需要進行安全認證，必須要將“Require Authentication”選中，再設(shè)置好登錄郵件服務(wù)器的用戶名稱和密碼信息。當(dāng)然也可以通過日志形式，接受遠程監(jiān)控結(jié)果，只要將“Enable Log”選中，成功啟用日志存儲功能，再指定好日志文件的保存路徑即可。

圖2 參數(shù)配置界面

圖3 主操作界面

當(dāng)遠程監(jiān)控結(jié)果較多時，不妨啟用過濾功能，對監(jiān)控結(jié)果進行選擇性接受。點擊“Apply filters”按鈕，在其后界面中，可以根據(jù)實際情況對USB設(shè)備的監(jiān)控結(jié)果進行選擇性過濾，最后點擊“Save”按鈕保存設(shè)置操作。如果希望報警效果更明顯，只要將“Play sound for insert and remove USB device messages”選中，選擇并添加特定的聲音文件，實現(xiàn)音樂報警操作。經(jīng)過上述配置操作后，網(wǎng)管員就能通過外力工具“USB CopyNotify!”，輕松對Web 服務(wù)器的USB操作狀態(tài)進行遠程監(jiān)控了。

遠程監(jiān)控FTP運行狀態(tài)

為了既能保護FTP服務(wù)器運行安全，又能減輕網(wǎng)管員的監(jiān)控工作量，我們可以請外力工具“FTP Guard”幫忙，來對FTP服務(wù)器的運行狀態(tài)進行遠程監(jiān)控，以便在第一時間知道黑客悄悄登錄修改FTP服務(wù)器，同時采取措施進行防范。

在遠程監(jiān)控FTP運行狀態(tài)時，先將“FTP Guard”工具下載安裝到網(wǎng)管員所在計算機系統(tǒng)中，開啟它的運行狀態(tài)，彈出如圖3所示的主操作界面，單擊“Connections”旁邊的“+”按鈕，切換到新建連接設(shè)置框，在其中輸入好需要遠程監(jiān)控的新連接名稱，在“FTP Host”位置處指定好待監(jiān)控的目標(biāo)站點名稱或地址以及相應(yīng)的網(wǎng)絡(luò)端口號，要想匿名登錄FTP服務(wù)器時，需要在這里將“Anonymous”選中?？紤]到安全方面的原因，建議大家不要使用匿名方式登錄FTP服務(wù)器，而應(yīng)該在“FTP Username”位置處輸入合法的登錄賬號名稱，在“FTP Password”位置處輸入對應(yīng)賬號的登錄密碼，在“Remote Directory”位置處設(shè)置好目標(biāo)服務(wù)器的特定目錄路徑，如果不定義該參數(shù)，那么“FTP Guard”工具在缺省狀態(tài)下會自動監(jiān)控FTP站點根目錄。要是希望對目標(biāo)FTP站點下的所有子目錄操作狀態(tài)進行遠程監(jiān)控時，那要同時將“Recursive”選中，點擊“OK”按鈕退出監(jiān)控任務(wù)設(shè)置界面。

當(dāng)然，我們也可以進行相同的操作，創(chuàng)建若干個FTP監(jiān)控任務(wù)。當(dāng)所有監(jiān)控任務(wù)創(chuàng)建好后，選中這些監(jiān)控任務(wù)，這樣“FTP Guard”工具就能遠程監(jiān)控它們了，如果要取消監(jiān)控時，只要在“Connections”位置處將它們前面的勾號取消就OK了。在初次進行遠程監(jiān)控時，一定要先打開特定任務(wù)連接的右鍵菜單，點選“Check Connection”命令，強制“FTP Guard”工具對特定任務(wù)連接進行掃描測試，以判斷遠程監(jiān)控連接能否順利建立。之后重新選中特定監(jiān)控任務(wù)連接，在“Alert Event”設(shè)置項處，按需定義好需要監(jiān)控的具體操作內(nèi)容，例如，要監(jiān)控針對FTP服務(wù)器文件的刪除操作時，只要選中“Deletion”選項，那么日后“FTP Guard”工具一旦探測到有人悄悄執(zhí)行文件刪除操作時，會自動向網(wǎng)管員發(fā)出報警提示。同樣地，如果同時選中這里的“Addition”、“Modification”等選項，黑客只要對FTP服務(wù)器中的文件執(zhí)行添加、修改等操作，都能被“FTP Guard”工具及時監(jiān)控到。

圖4 設(shè)置對話框

當(dāng)需要監(jiān)控的文件比較多時，我們可以對監(jiān)控文件類型進行分類。只要在“File/Directory Extension Filter”設(shè)置項處，按需定義好需要重要監(jiān)控的文件類型，不同文件類型需要單獨占用一行。當(dāng)需要對特定類型文件取消監(jiān)控時，可以選中“Monitor All Except the following extensions”選項，再指定好具體的文件類型名稱；要是取消對某個文件夾的遠程監(jiān)控時，只要在“Directory Ingore Filter”設(shè)置項處將該文件夾詳細名稱輸入好即可。

為了能讓監(jiān)控到的結(jié)果及時通知給網(wǎng)管員，在“Notification”設(shè)置項處，我們可以選中“Show SystemTray Message” 選 項， 讓“FTP Guard”外力工具日后在監(jiān)控到異常狀態(tài)后，及時在系統(tǒng)托盤區(qū)域處彈出相關(guān)報警提示，依照這些提示網(wǎng)管員就能初步判斷出FTP服務(wù)器中究竟發(fā)生了哪些異常變化。盡管“FTP Guard”工具支持多種報警方式，建議大家還是盡量選用“Play Sound”選項，使用播放音樂文件的方式，讓報警效果更直觀一些。

“FTP Guard”工具在缺省狀態(tài)下，每隔10分鐘會掃描監(jiān)控一次特定任務(wù)連接，要是認為這種監(jiān)控頻度不符合要求時，不妨按下主操作界面中的“Program Options”按鈕，彈出如圖4所示的設(shè)置對話框，在“Monitoring Interval”位置處輸入合適的時間間隔。如果要調(diào)整報警音樂文件時，可以單擊“Default Sound Notification File”位置處的瀏覽按鈕，打開文件選擇對話框，導(dǎo)入新的報警音樂文件即可。對于其他的設(shè)置參數(shù)，我們建議盡量采用默認設(shè)置，最后按下“OK”按鈕保存設(shè)置操作。

除了進行上述設(shè)置操作外，還要記得啟用“FTP Guard”工具的監(jiān)控功能，缺省狀態(tài)下該功能并沒有被啟用。返回“FTP Guard”工具的主操作界面，將“Monitoring”設(shè)置項處的紅色“Off”修改為綠色“On”選項，就能達到啟用監(jiān)控功能的目的。經(jīng)過這些設(shè)置以后，“FTP Guard”外力工具就能按照事先設(shè)定的要求，對目標(biāo)FTP服務(wù)器進行遠程監(jiān)控了。一旦掃描到異常變化時，它會立即通過播放音樂等方式，及時提醒網(wǎng)絡(luò)管理員。網(wǎng)管員在收到報警提示后，可以點擊主操作窗口中的“Monitoring Results”按鈕，切換到監(jiān)控報告列表中，查看具體的監(jiān)控結(jié)果信息。依照這些監(jiān)控結(jié)果信息，網(wǎng)管員可以十分輕松地發(fā)現(xiàn)入侵FTP站點的不法分子，這有利于FTP站點的安全穩(wěn)定運行。

圖5 主監(jiān)控窗口

遠程監(jiān)控設(shè)備變化狀態(tài)

為了防止員工私下悄悄更換單位計算機中的高檔硬件設(shè)備，不少單位負責(zé)人往往會要求技術(shù)人員，加大日常監(jiān)控力度，定期查看單位局域網(wǎng)所有計算機中的硬件設(shè)備，看有沒有出現(xiàn)無緣無故地變動?？紤]到單位局域網(wǎng)計算機數(shù)量都很多，每次跑到計算機現(xiàn)場通過“開腸破肚”方式，查看硬件設(shè)備的變動狀態(tài)，不但工作量很大，而且也容易得罪員工。要想提高監(jiān)控效率，只要找來“DESI Network Inventory”這款外力工具，就能十分方便地到探測到局域網(wǎng)中每臺計算機的硬件配置更新狀態(tài)，甚至還能探測到軟件更新狀態(tài)。

在進行這種遠程監(jiān)控操作時，不妨先從Internet上下 載 獲 取“DESI Network Inventory”工具的安裝程序包文件，借助Winrar之類的壓縮工具，將其釋放到臨時目錄中，雙擊其中的“new_dni.exe”文件，開始進行程序安裝操作。在安裝的時候，“DESI Network Inventory”會對本地計算機（服務(wù)端主機）的所有硬件配置和軟件配置自動掃描，并生成相關(guān)的詳細配置信息。之后進入待監(jiān)控的普通計算機系統(tǒng)中，打開該系統(tǒng)的網(wǎng)上鄰居窗口，從中找到服務(wù)端主機圖標(biāo)，展開該主機“DESI Network Inventory”臨時安裝目錄下的“client”文件夾，雙擊其中的“invClient.exe”程序，開始進行客戶端程序安裝操作。

返回服務(wù)端系統(tǒng)，逐一單 擊“開 始”、“程 序”、“DESI Network Inventory”、“DNI Administrator”菜單選項，開啟服務(wù)端監(jiān)控程序運行狀態(tài)。在主監(jiān)控窗口中，逐一選擇“Files”、“Preferences”菜單選項，點擊其后界面中的“Add path”按鈕，展開文件夾選擇對話框，選擇并添加之前的“client”文件夾，最后按下“apply”按鈕讓上述設(shè)置正式生效。

經(jīng)過一系列設(shè)置后，再次點擊系統(tǒng)“開始”菜單中的“DNI Administrator” 程序命令，重啟一下服務(wù)端監(jiān)控程序。這樣，網(wǎng)管員就能從服務(wù)端系統(tǒng)的“DESI Network Inventory”主監(jiān)控窗口中（如圖5所示），遠程監(jiān)控到特定計算機系統(tǒng)的硬件配置變化狀態(tài)了，監(jiān)控到的內(nèi)容包括CPU、內(nèi)存、磁盤等設(shè)備的型號信息。