■
大家知道,在局域網(wǎng)重要主機系統(tǒng)中,隨意進行USB設(shè)備插入操作,是相當(dāng)危險的,因為這既容易感染病毒,又容易引起數(shù)據(jù)外泄事故。但為了防止隨意插拔操作,網(wǎng)管人員頻繁到主機現(xiàn)場進行監(jiān)控,又顯得不太現(xiàn)實。那能不能對特定主機的USB操作狀態(tài)進行遠程監(jiān)控,以提高監(jiān)控操作效率呢?答案是肯定的!借助“USB CopyNotify!”這款外力工具,就可以很輕松地遠程監(jiān)控局域網(wǎng)中USB設(shè)備操作狀態(tài),一旦看到有違規(guī)操作現(xiàn)象時,還能通過它進行有效攔截。
例如,現(xiàn)在要對局域網(wǎng)Web服務(wù)器的USB操作狀態(tài)進行遠程監(jiān)控時,需要先從Internet上下載得到“USB CopyNotify!”程序的壓縮包,雙擊其中的客戶端程序(主要起監(jiān)控作用,同時可以對USB設(shè)備予以攔截或放行),開啟程序安裝向?qū)υ捒颉.?dāng)安裝向?qū)崾具x擇安裝何種組件時,必須選中“USB CopyNotify!Client”組件,再保持默認設(shè)置不變,完成剩余的安裝操作。這時,在Web服務(wù)器系統(tǒng)后臺會自動生成一個名稱為“USB CopyNotify Client Service”的服務(wù),該服務(wù)能保證客戶端程序隨Windows系統(tǒng)自啟動,以實現(xiàn)遠程監(jiān)控操作智能化。接著在網(wǎng)管員自己使用的計算機中,安裝“USB CopyNotify!”壓縮包中的服務(wù)端程序,以接受客戶端程序的監(jiān)控結(jié)果反饋。在安裝該程序的時候,必須要將安裝組件提示選擇為“USB CopyNotify! Server”選項,只有這樣才能成功調(diào)用到遠程監(jiān)控的結(jié)果信息。
為了讓遠程監(jiān)控操作更有針對性,對客戶端、服務(wù)端程序進行一系列合適配置是少不了的。在配置客戶端程序時,先打開如圖1所示的配置界面,輸入Web服務(wù)器主機的IP地址或計算機名稱,當(dāng)客戶端程序或服務(wù)端程序都安裝在同一臺計算機中時,可以將客戶端計算機的名稱設(shè)置為“Localhost”,這樣“USB CopyNotify!”程序?qū)崿F(xiàn)本地監(jiān)控目的。如果需要對違規(guī)的USB設(shè)備進行管理時,不妨在“Block USB”位置處進行合適設(shè)置,選用“Block USB Drive”選項,將對違規(guī)USB設(shè)備操作狀態(tài)進行攔截,使 用“Unblock USB Drive”選項,則不攔截USB設(shè)備各種操作。除了可以監(jiān)控到USB設(shè)備的插拔操作外,我們也可以通過“USB CopyNotify!”程序,實現(xiàn)對USB設(shè)備其他操作的監(jiān)控。例如,打開“Select Alert”下拉列表,我們可以選擇對USB設(shè)備上的文件添加操作、更名操作、刪除操作、修改操作等進行遠程監(jiān)控,甚至可以對所在計算機的節(jié)電模式、關(guān)機操作進行遠程監(jiān)控。設(shè)定好監(jiān)控內(nèi)容后,還需要在“Path of execute to be run”位置處單擊“Browse”按鈕,選擇并添加特定的監(jiān)控報警程序,確保“USB CopyNotify!”工具的監(jiān)控條件觸發(fā)后,通過運行特定應(yīng)用程序,達到自動報警目的,以便讓網(wǎng)管員在第一時間知道遠程監(jiān)控結(jié)果。
在配置服務(wù)端程序時,可以右鍵單擊系統(tǒng)任務(wù)欄右下方的“USB CopyNotify!”工具快捷圖標(biāo),選擇右鍵菜單中的“Settings”選項,進入如圖2所示的參數(shù)配置界面。將“Send Mail”選中,啟用電子郵件方式接受遠程監(jiān)控結(jié)果,在這里需要將網(wǎng)管員的電子郵件地址填寫在“Mail To”文本框中,將發(fā)件人地址填寫在“Mail From”文本框中(該地址也可以使用網(wǎng)管員的郵件地址),在“SMTP Server”設(shè)置項處設(shè)置好郵件服務(wù)器IP地址??紤]到郵件收發(fā)需要進行安全認證,必須要將“Require Authentication”選中,再設(shè)置好登錄郵件服務(wù)器的用戶名稱和密碼信息。當(dāng)然也可以通過日志形式,接受遠程監(jiān)控結(jié)果,只要將“Enable Log”選中,成功啟用日志存儲功能,再指定好日志文件的保存路徑即可。
圖2 參數(shù)配置界面
圖3 主操作界面
當(dāng)遠程監(jiān)控結(jié)果較多時,不妨啟用過濾功能,對監(jiān)控結(jié)果進行選擇性接受。點擊“Apply filters”按鈕,在其后界面中,可以根據(jù)實際情況對USB設(shè)備的監(jiān)控結(jié)果進行選擇性過濾,最后點擊“Save”按鈕保存設(shè)置操作。如果希望報警效果更明顯,只要將“Play sound for insert and remove USB device messages”選中,選擇并添加特定的聲音文件,實現(xiàn)音樂報警操作。經(jīng)過上述配置操作后,網(wǎng)管員就能通過外力工具“USB CopyNotify!”,輕松對Web 服務(wù)器的USB操作狀態(tài)進行遠程監(jiān)控了。
為了既能保護FTP服務(wù)器運行安全,又能減輕網(wǎng)管員的監(jiān)控工作量,我們可以請外力工具“FTP Guard”幫忙,來對FTP服務(wù)器的運行狀態(tài)進行遠程監(jiān)控,以便在第一時間知道黑客悄悄登錄修改FTP服務(wù)器,同時采取措施進行防范。
在遠程監(jiān)控FTP運行狀態(tài)時,先將“FTP Guard”工具下載安裝到網(wǎng)管員所在計算機系統(tǒng)中,開啟它的運行狀態(tài),彈出如圖3所示的主操作界面,單擊“Connections”旁邊的“+”按鈕,切換到新建連接設(shè)置框,在其中輸入好需要遠程監(jiān)控的新連接名稱,在“FTP Host”位置處指定好待監(jiān)控的目標(biāo)站點名稱或地址以及相應(yīng)的網(wǎng)絡(luò)端口號,要想匿名登錄FTP服務(wù)器時,需要在這里將“Anonymous”選中??紤]到安全方面的原因,建議大家不要使用匿名方式登錄FTP服務(wù)器,而應(yīng)該在“FTP Username”位置處輸入合法的登錄賬號名稱,在“FTP Password”位置處輸入對應(yīng)賬號的登錄密碼,在“Remote Directory”位置處設(shè)置好目標(biāo)服務(wù)器的特定目錄路徑,如果不定義該參數(shù),那么“FTP Guard”工具在缺省狀態(tài)下會自動監(jiān)控FTP站點根目錄。要是希望對目標(biāo)FTP站點下的所有子目錄操作狀態(tài)進行遠程監(jiān)控時,那要同時將“Recursive”選中,點擊“OK”按鈕退出監(jiān)控任務(wù)設(shè)置界面。
當(dāng)然,我們也可以進行相同的操作,創(chuàng)建若干個FTP監(jiān)控任務(wù)。當(dāng)所有監(jiān)控任務(wù)創(chuàng)建好后,選中這些監(jiān)控任務(wù),這樣“FTP Guard”工具就能遠程監(jiān)控它們了,如果要取消監(jiān)控時,只要在“Connections”位置處將它們前面的勾號取消就OK了。在初次進行遠程監(jiān)控時,一定要先打開特定任務(wù)連接的右鍵菜單,點選“Check Connection”命令,強制“FTP Guard”工具對特定任務(wù)連接進行掃描測試,以判斷遠程監(jiān)控連接能否順利建立。之后重新選中特定監(jiān)控任務(wù)連接,在“Alert Event”設(shè)置項處,按需定義好需要監(jiān)控的具體操作內(nèi)容,例如,要監(jiān)控針對FTP服務(wù)器文件的刪除操作時,只要選中“Deletion”選項,那么日后“FTP Guard”工具一旦探測到有人悄悄執(zhí)行文件刪除操作時,會自動向網(wǎng)管員發(fā)出報警提示。同樣地,如果同時選中這里的“Addition”、“Modification”等選項,黑客只要對FTP服務(wù)器中的文件執(zhí)行添加、修改等操作,都能被“FTP Guard”工具及時監(jiān)控到。
圖4 設(shè)置對話框
當(dāng)需要監(jiān)控的文件比較多時,我們可以對監(jiān)控文件類型進行分類。只要在“File/Directory Extension Filter”設(shè)置項處,按需定義好需要重要監(jiān)控的文件類型,不同文件類型需要單獨占用一行。當(dāng)需要對特定類型文件取消監(jiān)控時,可以選中“Monitor All Except the following extensions”選項,再指定好具體的文件類型名稱;要是取消對某個文件夾的遠程監(jiān)控時,只要在“Directory Ingore Filter”設(shè)置項處將該文件夾詳細名稱輸入好即可。
為了能讓監(jiān)控到的結(jié)果及時通知給網(wǎng)管員,在“Notification”設(shè)置項處,我們可以選中“Show SystemTray Message” 選 項, 讓“FTP Guard”外力工具日后在監(jiān)控到異常狀態(tài)后,及時在系統(tǒng)托盤區(qū)域處彈出相關(guān)報警提示,依照這些提示網(wǎng)管員就能初步判斷出FTP服務(wù)器中究竟發(fā)生了哪些異常變化。盡管“FTP Guard”工具支持多種報警方式,建議大家還是盡量選用“Play Sound”選項,使用播放音樂文件的方式,讓報警效果更直觀一些。
“FTP Guard”工具在缺省狀態(tài)下,每隔10分鐘會掃描監(jiān)控一次特定任務(wù)連接,要是認為這種監(jiān)控頻度不符合要求時,不妨按下主操作界面中的“Program Options”按鈕,彈出如圖4所示的設(shè)置對話框,在“Monitoring Interval”位置處輸入合適的時間間隔。如果要調(diào)整報警音樂文件時,可以單擊“Default Sound Notification File”位置處的瀏覽按鈕,打開文件選擇對話框,導(dǎo)入新的報警音樂文件即可。對于其他的設(shè)置參數(shù),我們建議盡量采用默認設(shè)置,最后按下“OK”按鈕保存設(shè)置操作。
除了進行上述設(shè)置操作外,還要記得啟用“FTP Guard”工具的監(jiān)控功能,缺省狀態(tài)下該功能并沒有被啟用。返回“FTP Guard”工具的主操作界面,將“Monitoring”設(shè)置項處的紅色“Off”修改為綠色“On”選項,就能達到啟用監(jiān)控功能的目的。經(jīng)過這些設(shè)置以后,“FTP Guard”外力工具就能按照事先設(shè)定的要求,對目標(biāo)FTP服務(wù)器進行遠程監(jiān)控了。一旦掃描到異常變化時,它會立即通過播放音樂等方式,及時提醒網(wǎng)絡(luò)管理員。網(wǎng)管員在收到報警提示后,可以點擊主操作窗口中的“Monitoring Results”按鈕,切換到監(jiān)控報告列表中,查看具體的監(jiān)控結(jié)果信息。依照這些監(jiān)控結(jié)果信息,網(wǎng)管員可以十分輕松地發(fā)現(xiàn)入侵FTP站點的不法分子,這有利于FTP站點的安全穩(wěn)定運行。
圖5 主監(jiān)控窗口
為了防止員工私下悄悄更換單位計算機中的高檔硬件設(shè)備,不少單位負責(zé)人往往會要求技術(shù)人員,加大日常監(jiān)控力度,定期查看單位局域網(wǎng)所有計算機中的硬件設(shè)備,看有沒有出現(xiàn)無緣無故地變動??紤]到單位局域網(wǎng)計算機數(shù)量都很多,每次跑到計算機現(xiàn)場通過“開腸破肚”方式,查看硬件設(shè)備的變動狀態(tài),不但工作量很大,而且也容易得罪員工。要想提高監(jiān)控效率,只要找來“DESI Network Inventory”這款外力工具,就能十分方便地到探測到局域網(wǎng)中每臺計算機的硬件配置更新狀態(tài),甚至還能探測到軟件更新狀態(tài)。
在進行這種遠程監(jiān)控操作時,不妨先從Internet上下 載 獲 取“DESI Network Inventory”工具的安裝程序包文件,借助Winrar之類的壓縮工具,將其釋放到臨時目錄中,雙擊其中的“new_dni.exe”文件,開始進行程序安裝操作。在安裝的時候,“DESI Network Inventory”會對本地計算機(服務(wù)端主機)的所有硬件配置和軟件配置自動掃描,并生成相關(guān)的詳細配置信息。之后進入待監(jiān)控的普通計算機系統(tǒng)中,打開該系統(tǒng)的網(wǎng)上鄰居窗口,從中找到服務(wù)端主機圖標(biāo),展開該主機“DESI Network Inventory”臨時安裝目錄下的“client”文件夾,雙擊其中的“invClient.exe”程序,開始進行客戶端程序安裝操作。
返回服務(wù)端系統(tǒng),逐一單 擊“開 始”、“程 序”、“DESI Network Inventory”、“DNI Administrator”菜單選項,開啟服務(wù)端監(jiān)控程序運行狀態(tài)。在主監(jiān)控窗口中,逐一選擇“Files”、“Preferences”菜單選項,點擊其后界面中的“Add path”按鈕,展開文件夾選擇對話框,選擇并添加之前的“client”文件夾,最后按下“apply”按鈕讓上述設(shè)置正式生效。
經(jīng)過一系列設(shè)置后,再次點擊系統(tǒng)“開始”菜單中的“DNI Administrator” 程序命令,重啟一下服務(wù)端監(jiān)控程序。這樣,網(wǎng)管員就能從服務(wù)端系統(tǒng)的“DESI Network Inventory”主監(jiān)控窗口中(如圖5所示),遠程監(jiān)控到特定計算機系統(tǒng)的硬件配置變化狀態(tài)了,監(jiān)控到的內(nèi)容包括CPU、內(nèi)存、磁盤等設(shè)備的型號信息。