妙用篩選管理系統(tǒng)

引言： 在系統(tǒng)管理中，管理員需要面對數(shù)量眾多，類別各異的處理對象，這就要求管理員根據(jù)具體情況，從大量的信息中篩選出真正需要管控的目標，這樣才能靈活自如地提高系統(tǒng)運行效率。本文就從不同的角度，介紹各種篩選操作的方法和技巧。

對DHCP地址進行篩選

利用DHCP服務器，可以快速分發(fā)IP地址。但是，對于有些客戶端，管理員并不希望為使其自動獲取IP。利用DHCP篩選器功能，可以基于MAC地址的方式，對客戶端的請求進行過濾，允許或者禁止其獲得IP。例如，在Windows Server 2012的DHCP管理器左側(cè)選擇“IPv4”項，在其右鍵菜單上點擊“屬性”項，在彈出窗口中的“篩選器”面板（如圖1）中選擇“啟用允許列表”和“啟用拒絕列表”項，保存配置后，在DHCP管理器左側(cè)選擇“篩選器→拒絕”項，在右鍵菜單上點擊“新建篩選器”項，輸入目標MAC地址以及描述信息，點擊“添加”按鈕，將其添加進來。按照同樣的方法，可以將多個MAC地址導入到禁用列表中。這樣，在對應客戶端執(zhí)行“ipconfig/renew”命令，就無法獲取IP地址。當然，管理員可以根據(jù)情況，在禁用項的右鍵菜單上點擊“移動以允許”項，讓對應的客戶端可以正常獲取IP。

圖1 DHCP屬性設(shè)置窗口

設(shè)置輸入/輸出IP篩選器

對于處于不同網(wǎng)段中的主機來說，需要借助于路由器進行訪問。例如，可以在Windows Server 20012主機上安裝路由和遠程訪問組件，來充當路由器的角色，可以連接兩個不同的網(wǎng)段。例如，可以允許IP為192.168.1.50的PC1和IP為192.168.2.50的PC2兩臺主機進行通訊。在有些時候，管理員可能希望對雙方的通訊進行控制，只允許PC2對PC1進行Ping探測，不允許PC1對PC2進行Ping探測等。這就需要使用IP篩選器功能來實現(xiàn)。例如，在Windows Server 20012主機打開路由和遠程訪問管理器，在左側(cè)選擇“IPv4→常規(guī)”項，在右側(cè)選擇和IP為192.168.2.1端口關(guān)聯(lián)的本地連接項目。

在其屬性窗口中點擊“出站篩選器”按鈕，在出站篩選器窗口中點擊“新建”按鈕，在打開窗口中選擇“源網(wǎng)絡(luò)”項，在“IP地址”欄中 輸入“192.168.1.50”，在“子網(wǎng)掩碼”欄中輸入“255.255.255.0”。選擇“目標網(wǎng)絡(luò)”項，在，在“IP地址”欄中輸入“192.168.2.50”，在“子網(wǎng)掩碼”欄中輸入“255.255.255.0”。在“協(xié)議”列表中選擇的“ICMP”項，在“ICMP類型”欄中輸入“8”，在“ICMP代碼”欄中輸入“255”，點擊確定按鈕，在列表中選擇該篩選器，選擇“傳輸所有除符合下列條件以外的數(shù)據(jù)包”項。點擊確定按鈕保存配置，這樣，就實現(xiàn)了以上的管控要求，即PC2可以Ping探測PC1，而PC1是禁止Ping探測PC2的。

圖2 設(shè)置請求篩選項目

對Web訪問請求進行篩選

利用IIS組件，可以很方便地架設(shè)網(wǎng)站。在處理用戶訪問請求時，管理員可以根據(jù)實際情況，對其進行篩選，只允許其訪問指定的內(nèi)容。當然，這要去在IIS角色中選用了“請求篩選”組件。在IIS管理器左側(cè)選擇對應的網(wǎng)站，在右側(cè)雙擊“請求篩選”項，在其中的“文件擴展名”面板中（如圖2）可以針對文件擴展名設(shè)置對應的規(guī)則，例如在右側(cè)點擊“拒絕文件擴展名”鏈接，輸入所需的擴展名（例如“.asp”）項，這樣當用戶試圖訪問網(wǎng)站中的ASP文件時，就會被系統(tǒng)拒絕。在“隱藏段”面板中點擊“添加隱藏段”鏈接，在彈出窗口中輸入需要隱藏的內(nèi)容（例如目錄，文件名等），這樣客戶端就無法查看這些隱藏的內(nèi)容。

在“URL”面板中可以編輯允許或者拒絕訪問的地址，例如點擊“拒絕序列”鏈接，輸入對應的URL（例如“/data/show.html”）等。這樣，當用戶訪問包含該URL的地址時，就會被IIS拒絕。在“HTTP謂詞”面板中點擊“拒絕謂詞”鏈接，在彈出窗口中輸入對應的謂詞（例如‘Post”），這樣，當用戶在對應頁面中輸入所需內(nèi)容，點擊“提交”按鈕后，服務器就會拒絕其提交數(shù)據(jù)的操作。在客戶端發(fā)送名的數(shù)據(jù)包中，實際上包 含“Host”、“ACCEPT”、“CONTENT-TYPE”、“SET-COOKIE”等標頭信息，管理員可以根據(jù)情況，對其進行過濾。在“標頭”面板右側(cè)點擊“添加標頭”鏈接，在彈出窗口中的“標頭”欄中輸入具體的標頭名，在“大小限制”欄中輸入允許提交的數(shù)據(jù)大小。

這樣，如客戶端提交的這類標頭后面跟隨的數(shù)據(jù)量過大時，就禁止其訪問動作。這樣的好處在于可以防止不法用戶通過構(gòu)建特殊數(shù)據(jù)包的辦法，來對網(wǎng)站進行襲擾。如果網(wǎng)站提供了查詢功能，管理員可以根據(jù)需要，對用戶查詢的數(shù)據(jù)進行管控。在“查詢字符串”面板右側(cè)點擊“拒絕查詢字符串”鏈接，輸入需要拒絕的內(nèi)容。這樣，當客戶端試圖查詢非法的數(shù)據(jù)時就會遭到攔截。上述篩選項目其實都可以在“規(guī)則”面板進行集成管理，在該面板中點擊“添加篩選規(guī)則”鏈接，輸入規(guī)則名稱，選擇“掃描url”和“掃描查詢字符串”項，在“掃描標頭”、“文件擴展名”以及“字符串”欄中輸入對應的內(nèi)容，針對的特定的標頭，允許訪問特定的文件擴展名，拒絕訪問特定的字符串。

在組策略中實現(xiàn)安全篩選

在域環(huán)境中，利用組策略可以高效管理網(wǎng)絡(luò)。在應用組策略之前，必須創(chuàng)建對應的組策略對象GPO，并對其進行合理的編輯。之后將該GPO鏈接到目標容器中，在該容器中的所有用戶或計算機就會應用這些組策略設(shè)置。如果想針對特定的組、用戶或者計算機，來應用組策略配置信息的話，就需要借助于安全篩選來實現(xiàn)。在組策略管理器左側(cè)選擇某個容器中的GPO，在右側(cè)的“安全篩選”可以看到，在默認情況下，經(jīng)過身份驗證的用戶是可以應用該GPO的。

為了實現(xiàn)上述要求，選擇“Authenticated Users”項，點擊“刪除”按鈕將其刪除。點擊“添加”按鈕，導入特定的賬戶和組（例如“Domain Users”）。這樣，這些用戶就可以應用該GPO。實際上，在域控上打開“C:WindowsSYSVOLxxx.comPolicies”目錄，在其中顯示和組策略對象關(guān)聯(lián)的數(shù)據(jù)。選擇其中某個文件夾，在其屬性窗口中的“安全”面板點擊“編輯”按鈕，可以看到上述導入的用戶和組其實是擁有了“讀取和執(zhí)行”、“列出文件夾內(nèi)容”、“讀取”等權(quán)限，對該目錄具有合理的訪問權(quán)限，才可以讀取和設(shè)置相應的組策略信息。

在組策略中實現(xiàn)WMI篩選

除了安全篩選外，組策略還提供了WMI篩選功能，實現(xiàn)更加精細的篩選操作。利用該功能，就可以依據(jù)用戶或計算機特定的屬性，來過濾組策略對象應用的范圍。例如，可以針對目標容器中安裝了Windows 8.1的計算機，或者使用了AMD CPU的計算機才可以應用組策略對象等。在使用之前，需要下載和安裝WMITools工具。在“WMI Tools”程序組中運行“WMI Object Browser”程序，在打開的網(wǎng)頁中選擇“允許阻止的內(nèi)容”項，在“Connect to namespace”窗口中可以輸入要鏈接到的WMI的命令空間，可以采用默認值，點擊OK按鈕，在WMI對象瀏覽器界面左側(cè)打開“Win32_ComputerSystem“DC””項，在其下顯示很多類別。例如選擇“Win32_SystemOperatingSystem.PartComponent” →“Win32_OperatingSystem=@”，在右側(cè)就可以查看和操作系統(tǒng)相關(guān)的屬性。例如操作系統(tǒng)名稱、版本號等。

依據(jù)這些信息，就可以創(chuàng)建WMI篩選器。在組策略管理窗口左側(cè)選擇“WMI篩選器”項，在其右鍵菜單上點擊“新建”項，在彈出窗口中輸入其名稱，點擊“添加”按鈕，在WMI查詢窗口中火速如命名空間名稱，例如默認值為“rootCIMv2”。在“查詢”欄中輸入所需的查詢語句，例如“select*from Win32_OperationSystem where Caption ="Microsoft Windows Server 2008 Enterprise"”，表示僅僅針對安裝了Windows 2008企業(yè)版的計算機應用組策略對象。在組策略管理窗口左側(cè)選擇目標GPO，在右側(cè)窗口中的“作用域”面板中的“WMI篩選”列表中選擇所需的WMI篩選器項即可。

利用防火墻對端口進行篩選

當黑客試圖入侵目標主機之前，一般都會利用掃描工具對其進行掃描，來探測其開啟了哪些端口。利用這些端口信息，黑客就可以知曉該機上開啟了哪些服務，進而利用各種系統(tǒng)漏洞和黑客工具，對目標主機進行滲透。為了提高安全性，管理員可以將無關(guān)的端口全部關(guān)閉，只開啟正常的端口即可。

圖3 篩選日志界面

運 行“firewall.cpl” 程序，在Windows防火墻窗口左側(cè)點擊“高級設(shè)置”項，在高級安全Windows防火墻窗口左側(cè)的“入站規(guī)則”項的右鍵菜單上點擊“新建規(guī)則”項，在向?qū)Ы缑嬷羞x擇“端口”項，在下一步窗口中選擇該規(guī)則應用于TCP還是UDP協(xié)議，選擇“特定本地端口”項，輸入過濾的端口，例如“21,80,3389,5000-5010”等，端口之間以逗號分隔。點擊下一步按鈕，選擇“允許連接”或者“只允許安全連接”項。之后依次完成所需的操作，創(chuàng)建該規(guī)則，這樣，只允許特定的端口對外開放，有效地保護了系統(tǒng)安全。

使用篩選快速查詢系統(tǒng)日志

在系統(tǒng)運行過程中，所有的活動信息幾乎都會被記錄到系統(tǒng)日志中。通過對日志進行分析，可以有效排除故障，保證系統(tǒng)穩(wěn)定工作。

但是，系統(tǒng)記錄的日志條目非常多，采用查詢的話效率很地下。使用日志過濾功能，可以快速定位所需的日志信息。

在事件查看器中點擊菜單“操作→篩選當前日志”項，可以按照記錄時間，事件級別、事件ID、任務類別、關(guān)鍵字，用戶以及計算機的設(shè)置等項目，對日志進行篩選操作（如圖3）。

例如，在“記錄時間”列表中選擇“最后7天”項，針對安全日志進行篩選，點擊確定按鈕，就只顯示最近七天的安全日志信息。也可以針對事件進行過濾，在“時間級別”欄中選擇關(guān)鍵、警告、詳細、錯誤、信息等類別，選擇合適的事件來源和ID（例 如“5152,5153-5156,-5155”，多個ID以逗號分隔,對于需要排除的ID，可以在前面添加“-”符號），點擊確定按鈕，所有符合條件的日志就會顯示出來。