2007年7月 - 查皮博客@blogbus - 博客大巴

2007年07月31日

进一步设定防火墙保障系统安全 - [安全资讯]

防火墙再进一步设定就更好用了！

出处：网友世界

　　海关负责对出入境人员及货物进行检查，只有手续齐全、流程合法才予以放行。电脑中的网络防火墙与之类似，用来扫描、审核流经电脑的网络信息，阻止可能对用户的系统和数据造成危害的恶意访问。正因其作为电脑安全屏障的显著作用，很多用户都会安装有防火墙。而绝大多数用户缺乏对软件的了解，因此只能采用其默认设置。防火墙默认设置虽可满足用户的基本需求，但绝非最佳设置。其实，只需几步非常简单的设置，即可让防火墙的性能获得提升。

　　皇家近卫军——Windows防火墙

　　Windows防火墙是Windows XP SP2自带的一款防火墙，具有完全免费、使用简便、与系统高度集成等优点，受到众多用户的青睐。和其它第三方防火墙相比，该防火墙提供的设置项较为简单。

　　1.高危地带　不许例外

　　在控制面板中找到并打开“Windows防火墙”（如图1）。在这里可以看到“不允许例外”选项，许多朋友误以为勾选该项会限制浏览网页、收发邮件和聊天等所有上网活动。其实并非如此，它只会阻止来自外界的连接请求，比如禁止他人访问你的共享文件或打印机，而不会阻止你主动发起的连接请求。因此，在公共场所上网时推荐勾选该项。

图1 不允许例外

２．P2P下载　请UPnP出马

　　现在的路由器支持UPnP（通用即插即用），其提供的端口映射功能可明显提高内网用户用BT、eMule等P2P工具下载的速度。但Windows防火墙默认阻止该功能，因此有上述下载需求的用户应对其进行设置。

　　在图２所示的界面中切换到“例外”选项卡，勾选“程序和服务”列表中的“UPnP框架”，然后单击“确定”即可（如图2）。

图2 例外程序

　　如果已在图1所示界面中勾选“不允许例外”，在“程序和服务”列表中设置允许服务或程序的操作无效。因此需保证没有选中“不允许例外”，允许“UPnP框架”的设置才有效。

３．常用服务　添加到例外列表

　　当有程序或服务企图连接到用户的PC时，Windows防火墙会弹出“Windows 安全警报”对话框，让用户选择是否放行（如图3）。如果该程序或服务可靠，应单击“解除阻止”按钮，将其添加到例外列表，以后防火墙就会对其自动放行。对于新开启防火墙的用户，应将有连接网络需求的常用程序一次性添加到例外列表，以避免频繁弹出警告和误点“保持阻止”按钮带来的麻烦。

图3 访问网络警告框

　　在图2界面中单击“添加程序”按钮，然后在弹出对话框中选择程序并单击“确定”即可（如图4）。如果列表中没有要添加的程序，可以单击“浏览”按钮，然后在“浏览”窗口中找到程序。

图4 点击浏览

疏而不漏——第三方防火墙设置

　　除Windows防火墙外，不少朋友在使用天网、诺顿、McAfee等第三方公司提供的防火墙。虽然第三方防火墙可设置的地方很多，但其默认设置已比较合理，无需进行过多设置。下面以天网个人防火墙3.0.0为例介绍一下第三方防火墙的必要设置操作。其他防火墙的设置与之类似，可参照完成。

　　１．安全等级无需太高

　　第三方防火墙一般会将安全级别分为低、中、高等几个级别。级别越高，使用的过滤规则越严格，安全性也越好。但普通用户采用高级别保护策略会带来很多不便，比如视频流传送等常见网络服务被禁止。因此，推荐普通用户将保护级别设置为“中”，以在保证电脑安全和利用网络资源间寻求最佳的平衡。

　　在系统托盘区双击天网防火墙的图标，然后在弹出界面的“安全级别”栏中点选“中”即可（如图5）。

图5 安全级别

　　如通过公共网络上网，则还是应将安全等级设为“高”，以确保本机数据的安全。

　　２．正常程序　早开绿灯

　　天网防火墙及其它第三方防火墙，不仅会在有外部连接请求时弹出警告窗口，即使连接请求由用户发起，也会弹出警告窗口（如图6）。

图6 警告窗口

如果程序可靠，可以勾选“该程序以后都按这次的操作运行”，再单击“允许”按钮，以后该程序运行时防火墙就不会再弹出警告窗口；如果程序可疑，则可以在勾选“该程序以后都按这次的操作运行”后单击“禁止”按钮，以阻止该程序发起的网络连接。为避免频繁地遇到弹出警告，在天网等第三方防火墙中同样可以为常用程序提前设置访问网络的权限。

　　在系统托盘区双击天网防火墙图标，在软件主界面中单击“应用程序规则”按钮，调出“应用程序访问网络权限设置”界面（如图7）。

图7 增加规则

　　单击“增加规则”按钮会弹出“增加应用程序规则”窗口，单击“浏览”按钮后可在弹出的“打开”窗口中选择程序（如图8），选择后单击“打开”按钮，最后在“增加应用程序规则”窗口中单击“确定”按钮即可。

图8 增加应用程序规则

Tag：防火墙设置规则安全

chapi 发表于20时22分29秒 | 阅读全文 | 评论 0 | 编辑 | 分享
2007年07月31日

拒绝泄密让Vista系统只能使用自己的U盘 - [系统技巧]

拒绝泄密让Vista系统只能使用自己的U盘

　　作者：绿豆

　　【IT168 实用技巧】现在U盘已经很普及了，几十元就可以买到1G的，而且很多手机功能也带U盘功能了，所以想从别人的电脑里面复制出一些文件，那是非常简单的事情，这样对电脑里面资料就有很大的威胁，其实在Vista系统中就不用担心这个问题，我们可以通过设置来禁用所有的USB存储设备，而且还可以让系统只能使用指定的U盘。下面我们就来介绍一下设置的过程。

　　把自己的U盘先插入到Vista系统中，让系统可以正常使用U盘，接着进入“控制面板”，双击“设备管理器”，在里面展开“便携设备”，可以看见里面有你的U盘，在上面点击鼠标右键来选择“属性”，在弹出的“属性”窗口中点击“详细信息”标签，然后在设备“属性”下拉框中选择“硬件 ID”，下面的“值”中会出现字符串，这个就是你的U盘的硬件ID，把它复制出来保存好（如图1）。

图1　　我们还需要复制“通用串行总线控制器”中“USB大容量存储设备”的硬件ID，在“设备管理器”中展开“通用串行总线控制器”列表，找到“USB大容量存储设备”，在它的“属性”窗口中点击“详细信息”标签，复制出它的硬件ID也保存一下(如图2)。

图2　　找出U盘的硬件ID后就可以通过组策略来实现了。按下快捷键“Win+R”来打开“运行”对话框，输入“gpedit.msc”来调出组策略窗口，依次展开“计算机配置→管理模板→系统→设备安装→设备安装限制”，双击右侧的“禁止安装未由其他策略设置描述的设备”，在弹出的窗口中选择“已启用”，再点击“确定”按钮，设置它可以来禁止策略没描述的USB设备（如图3）。

图3

接下来我们双击“允许安装与下列设备ID相匹配的设备”，在弹出的窗口中点击“已启用”，再点击下面的“显示”按钮（如图4）。

图4　　在弹出的窗口中再点击“添加”按钮，把前面复制的二个硬件ID添加进去，然后点击“确定”按钮，这样你的硬件ID就会出现在“允许安装与下列设备ID相匹配的设备”窗口中了（如图5）。

图5　　这样设置好后我们的U盘可以在系统中使用，而别人的U盘就不能使用了，如果使用，系统还会提示“安装被策略禁止”，而且这个提示还能自定义呢，同样是在“设备安装限制”中，双击打开“当策略阻止安装时显示自定义信息（气球标题）”，在弹出窗口中选择“已启用”，接着在“请输入希望用户看到的文本”中输入自己的提示内容，完成后点击“确定”按钮就可以了（如图6）。

图6
关于在WIN2000中对NTFS权限的介绍及应用
WIN2000中添加了一个与WIN98及以前的WINDOWS版本不同的一个特性，那就是NTFS权限，由于有了这个特性，那么在WIN2000中就可以实现文件夹及文件级别的安全控制，这不同于WIN98中的帐号和密码，在WIN98中，只要知道了帐号和密码，那么就可以对计算机完全控制，而无法实现对某个帐户只允许读取某个文件夹或者某个文件的功能。而在WIN2000中，完全可以完美的实现这一点。OK,Let's go！
首先，先说一下要实现该功能的前提条件，那就是你的分区必须是NTFS分区，如果是FAT或者FAT32分区的话，那么是无法实现该功能的，其实如果你的电脑上只有一个WIN2000操作系统的话，或者说只要你的机子上没有装WIN98及WIN98以前的系统的话，那么用NTFS分区是一个非常好的选择，这将大大提高你的系统的稳定性和安全性。如果你的分区是FAT32分区，那么可以通过这条命令来把他转成NTFS分区：
convert x: /fs:ntfs
其中的x可以用实际的盘符替换。不过要注意的一点是，WIN98是无法识别NTFS格式的分区的，也就是说如果在WIN98的分区使用NTFS格式，那么WIN98将无法使用。而且该命令是不可逆的，也就是说该命令只能将FAT32转换成NTFS格式，而无法将NTFS格式转换成FAT32格式，如果要转换回来的话，那么要用PQ等软件才能实现。
好了，现在言归正传，使用了NTFS分区以后，你必须为需要访问一个资源的每一个用户帐号授予NTFS权限，用户必须获得明确的授权才能访问经过设置的资源。如果没有权限，那么它将被拒绝访问该资源。打个比方：假设有一个文件，我对他进行NTFS权限设置，我设置成只有我自己和A用户才能访问，那么除了我和A以外，其他任何帐户登陆都将无法使用该文件，WIN2000会给出“没有适当的权限读取”等字样的提示。这就实现了该文件的安全性，而且该安全性无论是在计算机上还是在网络上都有效，也就是说即使通过网络连接到该计算机，也只有我和A用户可以使用该文件，其他人也是无法使用的，虽然该文件被共享，但是其他人只能看到有这个文件，但是却不能读取，呵呵，有点看得见，吃不着的意思吧？
在WIN2000中有个叫做Access Control List（ACL，访问控制列表）的东西，里面包含了可以访问该资源的用户的帐户，组和计算机。当一个用户访问该资源时，那么必须在ACL中有它的帐号，那么WIN2000才允许该用户访问该资源，否则拒绝。
这里要说明的一点是，和我们想象的不一样，WIN2000不是根据用户名是否相同来识别用户的，每一个帐号在创建的时候都有一个Security ID（SID,安全标识符），WIN2000是根据这个SID是否相同来识别用户的，如果SID不一样，就算用户名等其它设置一模一样，WIN2000也会认为是不一样的两个帐号，这就像我们领奖的时候，只认你的身份证是否符合，而不管你的名字是否相同是一个道理的，而该SID是WIN2000在创建该帐号的时候随机给的，所以说当删除了一个帐号后，再次重新建立一个一模一样的帐号，其SID和原来的那个是不一样，那么他的NTFS权限就必须重新设置。
现在说一下NTFS权限的实际应用。用鼠标右键点击你想要设置权限的文件或者文件夹，选属性－＞安全，这时你可以看到允许使用该文件的帐号或者组，默认是都有Everyone组的，该组表示所有的用户，下面部分就是可以为该组或者帐号设置的权限。如果Everyone的权限设置为完全控制，那么意味着所有的用户都可以随意操作该文件，包括读取，修改，删除等等。这也是WIN2000默认的权限。你还可以添加帐号，为帐号设置权限，这个只要你自己操作一下就知道怎么操作了，现在我只是举个例子来说明一下：
假设有一个文件叫做FILE，我要设置为只有USER1，USER2和USER3这三个用户可以使用该文件，但是USER1用户可以随意操作该文件，USER2用户只能读取该文件，而不能进行如修改等等的其他操作，USER3可以读取，可以写入，但是不能删除该文件，我说明一下具体的操作方法。
１、右键点击FILE，选属性－＞安全
２、将下面的“允许将来自父系的可继承权限传播给该对象”前面的勾去掉。他会弹出一个对话框，选删除。也就是说把上面的Everyone等所有的帐号删除。
３、点添加，弹出一个对话框，选中USER1，添加，确定。
４、然后选中USER1，在“完全控制”后面的“允许”下面打上勾。
５、依照前面的方法添加USER2。
６、选中USER2，在“读取”后面的“允许”中打勾，其他的勾全部去掉。
７、添加USER3。
８、选中USER3，在“修改”后面的“允许”中打勾，确认“完全控制”的勾去掉。
９、选“高级”，选中USER3，点“查看/编辑”。把里面的“删除”后面“允许”的勾去掉。
１０、搞定！！！ ^-^
这时，用USER1登陆，那么你可以完全控制该文件。
用USER2登陆，可以打开该文件，当保存的时候会出现“不能创建FILE，请确认路径和文件名是否正确”的提示框。这说明现在USER2无法保存该文件。当然也无法进行其它操作，他只能读取该文件。
用USER3登陆，可以打开该文件，也可以保存。当删除该文件的时候会出现“无法删除FILE：拒绝访问。源文件可能正在使用”的提示框，说明无法删除该文件。
***** 提醒：在未完全搞清楚权限的用法之前，最好随便创建一个没有用的文件，然后再进行试验，这样比较安全。否则搞得重要文件被删除了可不关我的事情。
至于给文件夹设置安全，步骤和上面差不多，不过文件夹会多了一个继承，也就是说可以选择权限设置是仅仅对该文件夹进行起作用，还是对该文件夹和该文件夹的子文件夹及文件起作用。只要将“重置所有子对象的权限并允许传播可继承权限”前面打勾就可以了。
***********************　　重点及难点　　****************************
多重NTFS权限问题一直是很多人搞不清楚的，现在作介绍并举例说明。
******注意：以下说明的是多重NTFS权限之间的问题，非NTFS权限和共享权限之间的多重。
１、权限的积累
用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和。如果用户对文件具有“读取”权限，该用户所属的组又对该文件具有“写入”的权限，那么该用户就对该文件同时具有“读取”和“写入”的权限，举例如下：
假设情况如下所示：
有一个文件叫FILE。
USER1用户属于GROUP1组
　　　USER1（读取权限）－－－－> 　FILE　 <－－－－　GROUP1（写入权限）
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　
USER1对FILE的权限为　　　　　　读取＋写入
２、文件权限高于文件夹权限
意思就是说NTFS文件权限对于NTFS文件夹权限具有优先权，假设你能够访问一个文件，那么即使该文件位于你不具有访问权限的文件夹中，你也可以进行访问（前提是该文件没有继承它所属的文件夹的权限）。
举例说明如下：假设你对文件夹FOLDER没有访问权限，但是该文件夹下的文件FILE.TXT没有继承FOLDER的权限，也就是说你对FILE.TXT文件是有权限访问的，只不过你无法用资源管理器之类的东西来打开FOLDER文件夹，你无法看到文件FILE而已（因为你对FOLDER没有访问权限），但是你可以通过输入它的完整的路径来访问该文件。比如你可以用 c:\folder\file.txt来访问FILE文件（假设在C盘）。
３、拒绝高于其他权限
拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件，但是该组被拒绝访问，那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件。也就是说上面第一点的权限累积原则将失效。举例说明如下：
假设情况如下：
有一个文件叫FILE。
USER1用户属于GROUP1组
　　　USER1（读取权限）－－－－> 　FILE　 <－－－－　GROUP1（拒绝）
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　
　　　　　　　　　　　　　　　　拒绝访问
那么USER1对FILE的权限将不再是：读取＋写入，而是无法访问文件FILE。
另外一种情况是拒绝原则与累计原则并存，举例如下：
有一个文件叫FILE。
USER1用户属于GROUP1组，同时也属于GROUP2组，
　　　　　　　　　　　　　　　USER1（读取权限）
　　
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　
　　　GROUP1（写入权限）－－－－> 　FILE　 <－－－－　GROUP2（拒绝写入）
　　
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　　　　　　　　　　　　　　　　　｜
　　
　　　　　　　　　　　　　　　　　读取
那么USER1对FILE的权限为：读取（根据累计原则，USER1对FILE本来有：“读取＋写入”权限，但是由于USER1所属的GROUP2组被拒绝写入，所以就只剩下“读取”权限了）。

Tag：Vista U盘 usb 权限 NTFS

chapi 发表于20时16分21秒 | 阅读全文 | 评论 0 | 编辑 | 分享
2007年07月31日

新手入门必看：Vista中建立VPN连接 - [系统技巧]

新手入门必看：Vista中建立VPN连接

　　作者：易水寒

　　【IT168 实用技巧】Windows Vista大幅度改进了网络功能，这让许多刚接触Vista系统的新手有些无所适从。今天我们讲的就是在Vista系统中建立及管理VPN(virtual private network，虚拟个人网络)连接的方法。

一、选择创建一个连接

点击“开始”菜单→“连接到”，进入“连接网络”对话框。这里显示系统当前所有的可用网络连接，我们点击下部“设置连接或网络”链接进入，如图1。

图1

我们需要“选择一个连接选项”，建立VPN连接就选择“连接到工作区”，点击“下一步”按钮继续，如图2。

图2

注：“选择一个连接选项”提供了4类不同的连接选项，我们常见的ADSL连接、电话拨号连接也通过在这里选择并新建。

连接到Internet：可以添加用于ADSL上网的PPPoE连接。

设置拨号连接：可以添加传统的电话拨号上网连接。

二、拨号连接设置

接下来，我们需要选择连接的方式，一般我们通过宽带上网，然后再接入VPN服务器，所以我们一般选择“使用我的Internet连接(VPN)”，如图3。

图3

下面你还要键入Internet地址，一般我们填入VPN服务器的IP地址即可；目标名称，可以使用默认值，这会作为标识VPN连接的名称。设置完成后，点击“下一步”按钮继续，如图4。

图4 最后系统会转入新对话框，我们键入相关的“用户名”、“密码”，点击“连接”按钮就可以正式开始连接VPN服务器了。

三、VPN连接日常管理

VPN连接建立好后，我们日常的拨号连接，依然可以采用点击“开始”菜单→“连接到”的方式调用。在“连接网络”中系统会自动列出系统当前的可用连接，直接在列表中选择所需拨号连接即可。

不过“连接网络”中对于拨号连接的管理选项着实有限，例如我们就不能在这里删除一个已有的拨号连接，下面我们来看看管理的方法。在“连接网络”对话框中点击“打开网络和共享中心”链接，进入“网络和共享中心”，在左侧“任务”列表中选择“管理网络连接”，如图5。

图5

进入“网络连接”对话框，这才是我们熟悉的网络连接管理模式啊：重命名、删除、创建快捷方式、创建副本，一个都不少吧，如图6。

图6

Vista把拨号连接做的比较复杂，我们新建一个连接都需要点击多次才可以进入。这里建议大家把拨号连接创建到系统桌面上，这样新建连接就非常方便了。

鼠标选择相关连接，调用右键菜单，选择“创建快捷方式”。系统会自动弹出提示“Windows无法在当前位置创建快捷方式，要把快捷方式放在桌面上吗？”，点击“是”按钮完成创建。

让ADSL开机后自动拨号连接网络

　　还在用ADSL拨号上网的朋友，每次都要去点击连接图标才能上网，多麻烦啊。让ADSL开机就自动登录吧，方便多了！

　　详细设置：

　　1.进入控制面板~~~网络与Internet连接~~~网络连接，创建一个快捷方式；

　　

　　2.复制快捷方式，将其拷贝到启动组里面。启动组地址(XP):C:\Documents and Settings\All Users\「开始」菜单\程序\启动

图1 拷贝到启动组

　　（注:　All Users为所有用户，也可以选择自己的用户。）

　

　　3.选择“网络连接”－右击－属性，如图进行设置：　　

图2 设置属性

图3 去掉多于的选项

　　OK，以后开机就能够自动联网了。

Tag：新手 Vista VPN 连接 ADSL 自动拨号

chapi 发表于20时12分26秒 | 阅读全文 | 评论 0 | 编辑 | 分享
2007年07月31日

知名公司的“加班口号” - [杂七杂八]

美特斯邦威：不加寻常班。
特步：加班，死一般的感觉。
百事：加班无极限。
森马：上什么公司，加什么班。
脑白金：今年过节不加班，加班只加节假日。
李宁：加班，一切皆有可能。
旺旺：你加，我加，大家加，加加。
农夫山泉：加班有点烦。
好迪：大家加，才是真的加。
白加黑：白天加白班，不瞌睡；晚上加晚班，睡不着。
联想：公司不加班，公司会怎样？
娃哈哈：妈妈~~~我也要加班！
清嘴：你知道加班的味道吗？
安踏：我加班，我喜欢！
NIKE：Just加it！
钙中钙：现在的加班啊，它含金量高，加一天顶过去五天，实惠！你瞧我，一口气加了五天，不费劲……

Tag：公司加班口号企业恶搞

chapi 发表于20时10分43秒 | 阅读全文 | 评论 0 | 编辑 | 分享
2007年07月31日

最好的忠告 - [杂七杂八]

最好的忠告
文/［美］马歇尔·戈德史密斯
■编译/伊然
平地对我的导师说道，“那里存在的毛病实在太多了。”
“多么了不起的一个大发现!”凯斯导师揶揄道，“你，马歇尔·戈德史密斯先生，居然发现了我们的市政府是一个效率极低的政府，真不简单!但我还是要很不情愿地告诉你，马歇尔，街边角落的那个理发师早在几年前就告诉过我这一点，他和你有完全一样的发现，甚至他发现的问题比你还多。你还有别的什么让你烦恼的事情吗?”
凯斯导师的讥讽并没有吓倒我。我继续愤慨地指出，市政府的许多举措，都明显地偏袒那些曾经慷慨捐助的富人。这一次，凯斯导师笑了起来。“第二个重大发现!”他说道，“你的评判能力的确很高，你的眼光也非常锐利。但是，我不得不遗憾地再次告诉你，那个理发师也早就发现这一点了。我的孩子，我实话对你说，以你现在的状况，我恐怕不能给你颁发博士文凭了。”
他注视着我，脸上呈现出经历丰富的人才会具备的睿智神情：“我知道，你一定认为我老了，跟不上时代了。但请你允许我以一个过来人的身份说一下我的看法。我认为，你现在的言行，对将来有可能成为你的客户的人绝不会有丝毫帮助，对我，对你自己也没有什么帮助。现在，我可以给你提供两种选择：A.继续你的愤慨，你的消极，你的评判。如果你打算选择这一项，我会解雇你在市政厅的工作，而且，你永远也别想在我这里拿到博士学位。B.做一个能不断提出建设性的且具可行性的意见和方法的咨询家，而不是评判家，让事情因为有你而变得越来越美好。我的孩子，你选择哪一个呢?”
我最终回答道：“凯斯导师，我明白我错在哪里了。”
凯斯导师欣慰地笑道：“你是一个聪明的年轻人。”
我从凯斯导师那里学到了我一生中最重要的一课。真正的人才，不是能够评判是非、指出对错的人，因为几乎每一个人都能做到这一点，真正的人才是能够让事情变得更好的人。
在我此后的职业生涯中，我绝大多数的时间都和各大公司的领导共事。我从他们身上，也更进一步领会了凯斯导师的忠告，这些成功的领导者，无一例外都在致力于使公司更具竞争力，更加美好，而没有一个是置身事外的批评家、评论员。
（幸梦摘自《做人与处世》2007年第6期）

Tag：忠告

chapi 发表于20时09分15秒 | 阅读全文 | 评论 0 | 编辑 | 分享

共58页第一页上一页 1 2 3 4 5 6 7 8 9 10 下一页最后一页

Lessons by English, baby!

随时随地看wap