■江蘇 孫秀洪
眾所周知,在賬號(hào)與密碼都輸入正確的情況下,Windows系統(tǒng)登錄操作往往會(huì)很順利。不過,在特定工作環(huán)境下,比方說在服務(wù)器環(huán)境下,倘若允許每位普通用戶無節(jié)制地登錄服務(wù)器系統(tǒng),既可能會(huì)引起服務(wù)器系統(tǒng)運(yùn)行性能下降,又容易帶來更多的潛在威脅。因此,有時(shí)管理員需要在服務(wù)器系統(tǒng)中,為不同用戶賬號(hào)指定適當(dāng)?shù)牡卿洉r(shí)間,確保每位終端用戶都能登錄安全有序。
要讓網(wǎng)絡(luò)登錄聽“指揮”,可以嘗試請(qǐng)“User Time Control”這款外力工具幫忙,管理員通過它能輕松對(duì)服務(wù)器主機(jī)中的用戶賬號(hào)進(jìn)行登錄時(shí)間限制,并且對(duì)他們的登錄權(quán)限進(jìn)行適當(dāng)限制。先從Internet中下載安裝“User Time Control”程序,開啟它的運(yùn)行狀態(tài),打開如圖1所示的主操作界面。依次單擊“Edit”、“Programs Options”命令,展開程序選項(xiàng)設(shè)置框,按下“Administrator Password”按鈕,指定好程序管理密碼,讓網(wǎng)絡(luò)管理員才有權(quán)限管理終端用戶的網(wǎng)絡(luò)登錄時(shí)間。
圖1 主操作界面
接著依次單擊“Edit”、“User Control Pannel”選項(xiàng),在用戶賬號(hào)設(shè)置框中選中特定終端用戶賬號(hào),在其后對(duì)話框中根據(jù)實(shí)際情況,輸入好適當(dāng)?shù)牡卿洉r(shí)間。例如,先在時(shí)間表格中勾選一個(gè)或多個(gè)時(shí)間塊(每個(gè)時(shí)間塊代表一小時(shí)),之后調(diào)整“Minutes”處滑動(dòng)按鈕的位置,指定好在某段時(shí)間塊內(nèi)限制登錄的時(shí)長(zhǎng)。如果認(rèn)為依次定義時(shí)間塊很麻煩時(shí),可以在下一步設(shè)置對(duì)話框中,對(duì)特定用戶賬號(hào)每次、每天或每星期登錄系統(tǒng)的總時(shí)長(zhǎng)進(jìn)行配置,這樣特定用戶要是登錄系統(tǒng)時(shí)間超過限制值,那再次登錄時(shí)就會(huì)發(fā)生錯(cuò)誤。
下面要對(duì)特定用戶登錄系統(tǒng)后所能進(jìn)行的操作權(quán)限進(jìn)行授權(quán),確保無關(guān)用戶不能在重要系統(tǒng)中自由操作,以避免服務(wù)器系統(tǒng)被惡意攻擊。能夠授權(quán)的操作權(quán)限往往包括:拒絕添加/刪除應(yīng)用程序、拒絕安裝非法軟件、拒絕修改用戶賬號(hào)信息、拒絕使用進(jìn)程管理器、拒絕調(diào)整系統(tǒng)時(shí)間等。在這里,管理員必須限制終端用戶自由調(diào)整系統(tǒng)時(shí)間,以避免事先配置的網(wǎng)絡(luò)登錄時(shí)間無效。
單位內(nèi)網(wǎng)環(huán)境中,常常會(huì)有一些共享設(shè)備,如果允許任何一位用戶都能隨意訪問使用,既會(huì)增加辦公成本,又容易降低共享設(shè)備工作壽命。出于節(jié)約成本和安全維護(hù)等原因,單位網(wǎng)絡(luò)管理員應(yīng)該在平時(shí),對(duì)一些重要共享設(shè)備加強(qiáng)管理,限制普通終端用戶自由訪問。那怎樣才能讓共享設(shè)備的訪問聽從“指揮”呢?巧妙通過“Port Locker”這款外力工具,就能輕松達(dá)到上述控制目的。
將“Port Locker” 工 具正確安裝到共享設(shè)備所在終端主機(jī)中,它默認(rèn)會(huì)跟隨Windows系統(tǒng)自動(dòng)啟動(dòng)運(yùn)行,并動(dòng)態(tài)監(jiān)控共享設(shè)備訪問情況。啟動(dòng)運(yùn)行后,它會(huì)悄悄退回到系統(tǒng)后臺(tái)運(yùn)行,在系統(tǒng)托盤區(qū)域處能看到該工具的快捷控制圖標(biāo)。用鼠標(biāo)右擊該工具的快捷訪問圖標(biāo),從彈出的快捷菜單中選擇“初始化向?qū)А泵?,彈出向?qū)гO(shè)置對(duì)話框,輸入好加鎖密碼和相關(guān)提示內(nèi)容,按下“下一步”按鈕,就能將目標(biāo)終端主機(jī)系統(tǒng)中所有使用USB端口的共享設(shè)備限制起來。當(dāng)單位內(nèi)網(wǎng)中有普通用戶試著訪問特定共享設(shè)備時(shí),“Port Locker”程序?qū)?huì)自動(dòng)對(duì)其進(jìn)行攔截,普通用戶只有在如圖2所示安全認(rèn)證對(duì)話框中,輸入正確的保護(hù)密碼,才能成功進(jìn)行訪問操作。
圖2 安全認(rèn)證對(duì)話框
圖3 所示的設(shè)置對(duì)話框
如果特定共享設(shè)備在“Port Locker”工具啟動(dòng)運(yùn)行后,才安裝連接到終端主機(jī)系統(tǒng)中時(shí),那么該程序就無法“指揮”普通用戶的共享訪問了。這個(gè)時(shí)候,可以打開目標(biāo)工具的右鍵菜單,點(diǎn)選“鎖定所有裝置”命令,強(qiáng)制對(duì)所有共享設(shè)備執(zhí)行重新加密保護(hù)操作。日后,要想讓所有人輕易訪問共享設(shè)備時(shí),只要點(diǎn)選“Port Locker”程序快捷菜單中的“解除所有裝置”命令,在其后展開的安全認(rèn)證對(duì)話框中,輸入正確的加鎖保護(hù)密碼即可。
有些普通用戶在訪問完單位局域網(wǎng)服務(wù)器中的共享數(shù)據(jù)后,可能會(huì)不自覺地對(duì)其執(zhí)行關(guān)閉系統(tǒng)操作,這將會(huì)影響給局域網(wǎng)其他普通用戶對(duì)服務(wù)器資源的共享訪問。為了確保服務(wù)器資源的訪問有序,建議管理員使用“Don't Sleep”這款外力工具,來對(duì)普通用戶的關(guān)機(jī)權(quán)限進(jìn)行管控,防止他們自行注銷、重啟、關(guān)閉特定的服務(wù)器系統(tǒng)。
在服務(wù)器系統(tǒng)中啟動(dòng)運(yùn)行“Don't Sleep”程序后,展開如圖3所示的設(shè)置對(duì)話框,將“Blocking”位置處的所有選項(xiàng)全部勾選起來,再將“Enabled”選中,單擊“Options”按鈕,彈出“Don't Sleep”程序的選項(xiàng)設(shè)置框,勾選“Start Don't Sleep with Windows”選項(xiàng),確保“Don't Sleep”程序日后能夠與Windows系統(tǒng)一起自運(yùn)行。
當(dāng)啟用了服務(wù)器系統(tǒng)的自動(dòng)開關(guān)機(jī)功能,要求其每天上午8點(diǎn)鐘自啟動(dòng)運(yùn)行,晚上9點(diǎn)自動(dòng)關(guān)閉系統(tǒng),這就說明在每天上午8點(diǎn)鐘到晚上9點(diǎn)鐘這一時(shí)間范圍內(nèi),普通用戶是無法自行對(duì)服務(wù)器系統(tǒng)執(zhí)行關(guān)機(jī)操作的。要達(dá)到這種特殊“指揮”目的,可以在“Timer”設(shè)置項(xiàng)處勾選“Use Timer”選項(xiàng),并且點(diǎn)擊“#”按鈕,選中其后菜單中的“10h”選項(xiàng),確認(rèn)后保存設(shè)置操作。之后按下“To-Tray”按鈕,讓“Don't Sleep”程序悄悄隱藏到系統(tǒng)后臺(tái)運(yùn)行,這樣服務(wù)器系統(tǒng)在正常工作期間,就不會(huì)發(fā)生遠(yuǎn)程關(guān)閉服務(wù)器系統(tǒng)不聽“指揮”的現(xiàn)象了。即使有人由于操作不小心,意外單擊了“關(guān)閉系統(tǒng)”命令,服務(wù)器系統(tǒng)也不會(huì)被強(qiáng)制執(zhí)行關(guān)機(jī)操作,仍然會(huì)繼續(xù)穩(wěn)定工作。
某些別有用心之人有時(shí)會(huì)利用單位局域網(wǎng),悄悄在一些重要計(jì)算機(jī)中遠(yuǎn)程安裝軟件,以達(dá)到不可告人目的,這種網(wǎng)絡(luò)安裝操作很容易破壞重要主機(jī)系統(tǒng)或整個(gè)網(wǎng)絡(luò)的運(yùn)行穩(wěn)定。為了防止這種現(xiàn)象出現(xiàn),管理員不妨通過外力工具“Stop Installation Tool”,來讓網(wǎng)絡(luò)安裝操作聽從管理員的“指揮”。
將“Stop Installation Tool”工具下載安裝到重要計(jì)算機(jī)系統(tǒng)中,同時(shí)開啟它的運(yùn)行狀態(tài),彈出如圖4所示的設(shè)置對(duì)話框,按下“Program Options”按 鈕,點(diǎn) 擊“Password”按鈕,設(shè)置好目標(biāo)工具的關(guān)閉或激活密碼。在缺省狀態(tài)下,“Stop Installation Tool”程序可以自動(dòng)發(fā)現(xiàn)重要計(jì)算機(jī)系統(tǒng)中的網(wǎng)絡(luò)安裝操作,并在第一時(shí)間出現(xiàn)攔截提示,此時(shí)只有正確輸入事先設(shè)定的管理密碼,才可以進(jìn)行剩下的網(wǎng)絡(luò)安裝操作。如果不想讓其他用戶知道存在人為監(jiān)控行為時(shí),管理員可以在程序選項(xiàng)設(shè)置框中,將“Show the password window to allow software installation”選項(xiàng)的選中狀態(tài)取消掉,這樣當(dāng)目標(biāo)工具監(jiān)控到網(wǎng)絡(luò)安裝操作時(shí),網(wǎng)絡(luò)安裝操作會(huì)被強(qiáng)制停止,系統(tǒng)不會(huì)彈出任何提示。
圖4 設(shè)置對(duì)話框
“Stop Installation Tool”程序在缺省狀態(tài)下可以成功攔截一些網(wǎng)絡(luò)安裝操作,主要是它提前定義了合適的安全監(jiān)控規(guī)則。要讓其監(jiān)控?cái)r截特殊網(wǎng)絡(luò)安裝操作時(shí),必須要修改程序類型參數(shù)。單擊主程序界面中的“File Masks”按鈕,進(jìn)入“Disabled Files”選項(xiàng)設(shè)置頁面,單擊“Add”按鈕,切換到軟件類型添加對(duì)話框框,輸入特定格式的軟件類型名稱和說明信息即可。
返回到主程序界面,按下“Users Control”按鈕,展開“PC Users”列表,借助“Add”、“Remove”等功能按鈕,添加或刪除特定的用戶賬號(hào),選中“All PC users”選項(xiàng),讓上述配置操作適合重要計(jì)算機(jī)系統(tǒng)中的所有用戶。如果勾選了“Only for users in the list”選項(xiàng),那么上述安全規(guī)則只適用于列表中的用戶賬號(hào),如果勾選了“For all except in the list”選項(xiàng),那安全規(guī)則僅對(duì)列表之外的用戶賬號(hào)有效。
如果網(wǎng)絡(luò)管理員想讓普通用戶的網(wǎng)絡(luò)連接與斷開,也聽從自己的“指揮”時(shí),可以使用“iNet Protector”這款工具來方便地做到這點(diǎn)。在局域網(wǎng)計(jì)算機(jī)中下載安裝“iNet Protector”工具,開啟它的運(yùn)行狀態(tài),按照向?qū)崾据斎朐摴ぞ叩墓芾砻艽a,日后憑借該密碼管理員就能控制終端用戶自由連接網(wǎng)絡(luò)或斷開網(wǎng)絡(luò),從而讓網(wǎng)絡(luò)連接通斷聽從自己的“指揮”。
管理員在目標(biāo)工具界面的“Internet Connection”位置處,可以十分直觀地查看到當(dāng)前計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)連通狀態(tài),要是看到“Internet Enabled”字眼時(shí),那就意味著該計(jì)算機(jī)系統(tǒng)正處于網(wǎng)絡(luò)連通狀態(tài);要是看到“Disable Internet”字眼時(shí),那就表明網(wǎng)絡(luò)連接被斷開了。當(dāng)然,這種網(wǎng)絡(luò)連接斷開狀態(tài),僅僅是將網(wǎng)絡(luò)應(yīng)用程序以及當(dāng)前系統(tǒng)和網(wǎng)絡(luò)之間的連接切斷,但該計(jì)算機(jī)的物理線路其實(shí)仍然接入在網(wǎng)絡(luò)中。
在當(dāng)前計(jì)算機(jī)的網(wǎng)絡(luò)連接已經(jīng)被切斷的情況下,管理員要想將網(wǎng)絡(luò)連接狀態(tài)再還原位正常的通暢狀態(tài)時(shí),一定要單擊“Enable Internet”按鈕,在其后出現(xiàn)的管理密碼輸入對(duì)話框中,正確輸入先前設(shè)定的管理密碼,再按“Enable Internet”按鈕才行,否則將無法將目標(biāo)計(jì)算機(jī)的網(wǎng)絡(luò)恢復(fù)到正常狀態(tài)。很顯然,在“iNet Protector”工具的“指揮”下,計(jì)算機(jī)的網(wǎng)絡(luò)連接與通斷操作就能得到有效控制了。
在一些安全要求較高的單位內(nèi)網(wǎng)環(huán)境中,常常會(huì)要求單位員工的網(wǎng)頁瀏覽聽“指揮”,以防陷入非法站點(diǎn)精心設(shè)計(jì)的“陷阱”中,從而給單位內(nèi)網(wǎng)安全運(yùn)行帶來威脅。要讓部分網(wǎng)站能被單位員工瀏覽,另外一部分網(wǎng)站不能被隨意訪問,同樣可以充分利用“iNet Protector”這款工具強(qiáng)大的網(wǎng)絡(luò)控制功能,來達(dá)到相關(guān)“指揮”目的。
圖5 設(shè)置界面
在指定某些可信站點(diǎn)頁面可以被訪問時(shí),管理員可以先打開“iNet Protector”主程序操作界面,按下“Settings”按鈕,進(jìn)入對(duì)應(yīng)程序的參數(shù)設(shè)置對(duì)話框。點(diǎn)選“Allowed Services”選項(xiàng)卡,在對(duì)應(yīng)選項(xiàng)設(shè)置頁面中,手工添加能夠被訪問的某一個(gè)或幾個(gè)網(wǎng)站地址,再單擊“OK”按鈕,這樣一來普通用戶的網(wǎng)頁瀏覽就能聽從管理員的“指揮”了。
在單位局域網(wǎng)中,有一些不自覺的員工往往不顧別人感受,偷偷占用太多的出口帶寬資源,造成其他人甚至整個(gè)網(wǎng)絡(luò)上網(wǎng)不穩(wěn)定。為了讓上網(wǎng)訪問穩(wěn)定有序,網(wǎng)絡(luò)管理員可以通過“Bandwidth Controller”外力工具的流量控制功能,來“指揮”單位員工的帶寬使用。例如,在“Bandwidth Controller”工具的幫助下,管理員可以給那些權(quán)限高一些的單位員工多分配一些帶寬資源,給普通權(quán)限的用戶少分配一些帶寬資源,以此來讓局域網(wǎng)高效穩(wěn)定工作。
在讓網(wǎng)絡(luò)帶寬使用聽從“指揮”時(shí),先下載安裝好“Bandwidth Controller”工具,啟動(dòng)運(yùn)行它,在主操作界面中按下“Add Rule Wizard”工具欄按鈕,彈出過濾規(guī)則創(chuàng)建向?qū)Э?,單擊“下一步”按鈕后,選中“Network adapter”處的合適網(wǎng)卡設(shè)備,將“Direction”設(shè)置為“Both”,其他參數(shù)保持不變。繼續(xù)按“下一步”按鈕,進(jìn)入如圖5所示的設(shè)置界面,在這里依照實(shí)際情況按需指定下行帶寬的大小和上行帶寬的大小,再依照默認(rèn)設(shè)置完成剩余的操作,最后單擊“完成”按鈕結(jié)束整個(gè)配置任務(wù)。這樣,普通用戶在這臺(tái)計(jì)算機(jī)上網(wǎng)時(shí),網(wǎng)絡(luò)帶寬占用情況就會(huì)聽從“指揮”了。
當(dāng)然,管理員也可以在本地計(jì)算機(jī)中,“指揮”單位局域網(wǎng)中其他計(jì)算機(jī)的帶寬使用。在進(jìn)行該“指揮”操作時(shí),先進(jìn)入“Bandwidth Controller”主操作界面,從主機(jī)列表中選擇特定的計(jì)算機(jī)名稱,打開它的右鍵菜單,選擇“create matching rule”命令,在其后出現(xiàn)的匹配規(guī)則設(shè)置框中,按需定義好該計(jì)算機(jī)的上行和下行帶寬大小。