远程监控工具.ppt

《远程监控工具.ppt》由会员分享，可在线阅读，更多相关《远程监控工具.ppt（158页珍藏版）》请在三一办公上搜索。

1、第11章远程监控工具,11.1 Windows远程桌面,1.添加Windows XP新用户在Windows XP中添加用户的操作步骤如下：用鼠标右键单击桌面上“我的电脑”图标，在快捷菜单中执行“管理”命令，打开“计算机管理器”窗口，如图11-1所示。在左侧窗格中，选择“本地用户和组”选项下的“用户”后，在右侧窗格中空白处单击右键，在快捷菜单中执行“新用户”命令，打开“新用户”对话框。填写用户名、密码等信息，单击“创建”按钮。,图11-1 添加新用户,2.设置防火墙 如果启用了Windows XP自带的防火墙，默认情况下用户是无法远程登录本计算机的。因此在使用远程桌面之前需要适当设置Window

2、s XP的防火墙，允许用户的远程登录。设置Windows防火墙的方法如下：在Windows控制面板中，双击“Windows防火墙”图标。在打开的对话框中单击“高级”选项卡，如图11-2所示，单击“设置”按钮，打开“高级设置”对话框。,图11-2 设置Windows防火墙,在“服务”选项卡中选中“远程桌面”复选框，并在弹出的“服务设置”对话框中设置必要的参数，如计算机名或IP地址，设置完毕后单击“确定”按钮。此时，Windows将允许用户通过防火墙访问本计算机的“远程桌面”服务。从图11-2中可以看到Windows XP的远程桌面服务，使用了TCP 3389端口。,3.启用远程桌面 在Windo

3、ws XP中，可以启动远程桌面功能，方法如下：用鼠标右键单击桌面上“我的电脑”图标，在快捷菜单中执行“属性”命令。在“系统属性”对话框中，单击“远程”选项卡，如图11-3所示。在“远程桌面”下，选中“允许用户远程连接到此计算机”复选框，单击“选择远程用户”按钮，打开“远程桌面用户”对话框。缺省地，当前“计算机管理员”用户自动拥有远程登录本计算机的权限。如果希望其他用户也拥有此权限，可单击“添加”按钮，在打开的对话框中单击“添加”按钮按屏幕提示选择用户。,图11-3 启用远程桌面功能,远程登录本计算机使用“远程桌面”服务的用户选择完毕后，在“选择用户”对话框中，如图11-4所示，单击“确定”按钮

4、。,图11-4 选择远程桌面用户,4.远程登录 如果远程Windows XP主机开启了“远程桌面”，且已经知道了该计算机的IP地址，以及使用“远程桌面”服务权限的用户名和密码，这时就可以使用Windows XP提供的“远程桌面”客户端程序登录该计算机，具体步骤如下：执行Windows XP“开始”菜单“所有程序”组“附件”项“通讯”子项中的“远程桌面”命令，打开“远程桌面连接”登录对话框，如图11-5所示。,在“计算机”栏中输入目标主机的IP地址，如果是局域网同一网段的主机也可使用主机名。单击“选项”按钮，对话框下方多出了一些选项。单击“显示”选项卡，如图11-6所示，可设置远程桌面的大小、颜

5、色等参数。如果是通过Internet连接目标主机，可能会遇到网络带宽的限制及网络稳定性的限制，此时应当设置较小的桌面大小和较低的颜色数，以减少对网络质量的要求。,图11-5 远程桌面连接,图11-6“远程桌面连接”框中的“显示”选项卡,所有参数设置完毕后，单击“连接”按钮，即可看到我们熟悉的Windows登录对话框。输入具有远程登录权限的用户名和密码后，单击“确定”按钮，即可看到远程主机的桌面，用户可以像操作本地机一样操作远程主机。退出远程桌面时，应执行目标主机Windows“开始”菜单中的“断开”或“注销”命令。,11.2 网络警AnyView,11.2.1 安装和设置AnyView1.An

6、yView引擎的安装位置 如果通过代理服务器/NAT服务器上网，那么将AnyView引擎安装在这台代理服务器所在的计算机上即可。如果局域网中各计算机由共享式的HUB连成网络，那么AnyView引擎可以安装在局域网上的任一台机器上，如图11-7所示。,如果通过交换机路由器连接方式，即局域网使用交换机并且使用硬件路由器接入互联网，那么需要在路由器和交换机之间增加一台共享式HUB，并将AnyView引擎安装在与HUB连接的计算机中，如图11-8所示。,图11-7 网络连接方式一,图11-8 网络连接方式二,2.安装和设置AnyView引擎 本例假定网络连接方式为代理服务器通过双网卡接入Interne

7、t，现将AnyView引擎和客户端(管理软件)都安装在代理服务器所在的计算机上。双击软件包中的“AnyView_Server_3.exe”程序，并按屏幕提示逐步完成安装工作，最后重新启动计算机，使AnyView引擎开始工作(程序会自动加载，无需用户干预)。,执行“多用户管理器”命令，打开如图11-9所示的对话框。初次使用时管理员“Admin”密码为空，可直接单击“解除锁定”按钮，进入用户管理界面。在选中某用户名称后，单击“修改密码”按钮，可为用户设置新的密码。单击“添加用户”或在选中某用户后单击“删除用户”，可实现对管理用户的增删。在选择了某一用户后，单击“添加对象”按钮，可以指定该用户能够管

8、理的计算机。单击“确定”按钮退出程序。如果希望设置生效，则应在“开始”菜单中执行“停止AnyView”和“启动AnyView”各一次(即使AnyView重新启动一次)。,图11-9 设置管理用户,3.安装和设置管理机 双击软件包中的“AnyView_Client_3.exe”程序，按屏幕提示完成安装工作。安装后，进行如下设置：执行“开始”菜单“Amoisoft AnyView 3”组中“Client”下的“AnyView客户端”命令。第一次运行时，会出现一个“每日提示”信息框，其中显示了关于本软件的一些资料，取消“启动时显示”复选框后，单击“关闭”按钮，打开如图11-10所示的登录对话框。,图

9、11-10 客户端登录对话框,单击“设置”按钮，在打开的对话框中，指定从何时开始传送日志信息(即用户访问网络的信息)，可以是从上次结束时，也可以是指定的起始时间。如果在设置多用户管理模式时更改了管理员密码，此时应输入密码，单击“登录”按钮，在进入管理界面(如果客户机与AnyView引擎没有安装在同一计算机中，应在“服务器”栏中输入服务器地址)。单击工具栏中的“选项”按钮，打开如图11-11所示的对话框，在“服务器”选项卡中，指定要监控的网卡(一般为连接局域网的网卡)。单击“客户端”选项卡，打开如图11-12所示的对话框，在此可以设置客户端的密码等。,图11-11 选择要监控的网卡,图11-12

10、 设置客户端选项,单击“监控对象”选项卡，打开如图11-13所示的对话框，单击“设置监控对象”按钮，在打开的对话框中，选中了某用户后单击按钮，将其添加到被控对象列表中。,图11-13 设置监控对象,11.2.2 使用AnyView 经过前面的正确设置，AnyView客户端程序启动后，网络中存在的活动主机会逐步地显示到如图11-14所示的用户列表中，用户图标为红色的表示当前不在控制中，绿色图标的用户表示正在被监控。,图11-14 监控界面,1.监控用户的网络活动 在每个用户名下都有“收件箱”、“发件箱”、“网页箱”和“Ftp箱”四项内容，分别存放着被控用户访问的网页、收到的邮件、发送的邮件和通过

11、FTP上传的文件信息。在各箱名称的后面显示有一些数字，表示新近截获的内容(管理员没有查看过的内容)。单击各箱名称，其中的具体信息将显示到右窗格中，图11-14中表示的是被控用户查看过的网页信息。,单击“收件箱”或“发件箱”，可在右窗格中查看被控用户发送或接收邮件的详细内容。如果用户是通过Web Mail方式发送或接收的邮件，则可在“网页箱”中看到其内容。单击窗口下方“聊天行为监视”选项卡，可以看到被控用户使用聊天工具的情况，如图11-15所示。,图11-15 聊天行为监视,2.控制用户的上网行为 单击工具栏中“阻断”按钮，打开如图11-16所示的对话框。通过该对话框的设置，可实现对被控用户的“

12、网页过滤”、“邮件过滤”、“聊天过滤”，在“其他”选项卡中可以设置FTP阻断和QQ阻断。如图11-17所示的是用于限制用户使用电子邮件的设置选项。,图11-16 限制浏览网页选项,图11-17 限制使用电子邮件的选项,11.3 网络执法官,11.3.1 安装网络执法官 该软件是一个共享软件，只有在注册之后才能获得全部功能。用户可以通过Internet搜索并下载试用版。安装程序下载后，双击开始安装。在选择安装位置对话框中，一般取缺省安装位置，单击“下一步”按钮。经过短暂的文件复制过程，在“已完成”对话框中单击“关闭”按钮结束安装。此时，安装程序会根据计算机实际情况，提示是否安装“WinPcap”

13、驱动程序。一般在Windows 2000或Windows XP环境中，若该驱动程序已安装，就不要再重复安装。,11.3.2 使用网络执法官 执行“开始”菜单“所有程序”中“网络执法官v2.75”下的“NetRobocop”命令，启动程序，然后按照下面的操作步骤进行：选择监控所用的网卡，如图11-18所示，选择完毕单击“确定”按钮。在选择监控范围对话框中，如图11-19所示，可修改监控范围，并单击“添加/修改”按钮，将其添加到监控网段列表中，单击“确定”按钮。,图11-18 选择监控使用的网卡,图11-19 选择监控范围,在如图11-20所示的程序主界面的“本机状态”选项卡中，可以看到当前本计算

14、机的“网卡参数”、“IP收发”、“TCP收发”和“UDP收发”四类数据。,图11-20 本机状态列表,单击“用户列表”选项卡，打开如图11-21所示的对话框。其中列出了当前在被控地址段内所有活动的计算机的MAC地址、状态(在线或离线，状态屏幕为灰色表示离线)、主机名、上线时间、下线时间及网卡的注释信息。,图11-21 用户列表,在“用户列表”中双击某一主机，打开如图11-22所示的对话框，单击“权限设定”按钮，打开如图11-23所示的对话框。在此，管理员可以指定该计算机允许使用的或禁止使用的IP地址段、指定该计算机允许或禁止上网的时段。选择“发现该用户与网络连接即进行管理”项后，可以执行具体的

15、“管理”方式。可用的方式有以下三种：,产生IP冲突警告：在被控主机屏幕上连续产生IP地址冲突警告，使之无法正常运行。禁止与关键主机的TCP/IP连接：断开被控主机与网关或代理服务器的连接，使之无法访问网络。但不断开与管理计算机的连接。禁止与所有主机的TCP/IP连接：使被控主机无法与任何计算机通信。但不断开与管理计算机的连接。,图11-22“用户属性”对话框,图11-23“设定用户权限”对话框,单击“关键主机”按钮，打开如图11-24所示的对话框。管理员可以指定关键主机(通常是网关、路由器或代理服务器)的IP地址，可以指定多个关键主机IP地址(最多为32台)。输入完毕后，单击“添加”按钮将该地

16、址指定为关键主机地址。,图11-24 指定关键主机,执行主窗口“设置”菜单中的“默认权限”命令，打开类似用户权限设置对话框的窗口。使用该对话框，可以指定当发现没有登记的“新”计算机时的处理方法及“新”计算机拥有的权限。例如“发现新用户后立即管理”，并拒绝其与“关键主机”连接等。执行“设置”菜单中的“安全”命令，可以设置“发现非法用户”时的处理方法及发现网络中有人运行v 2.0以下版本时加以禁止等选项。,11.4 反弹式HTTP隧道远程监控工具PcShare,11.4.1 安装和设置PcShare1.安装 该软件可在20CN网络安全小组网站(http:/)上下载。下载完毕后，通过WinRAR解压

17、到一个文件夹，其中应包含有3个文件（PcShare.exe、help.chm和readme.txt）。软件无需安装，直接双击文件夹中的“PcShare.exe”启动程序，程序界面如图11-25所示。,图11-25 PcShare程序界面,2.设置 如果不希望自己的计算机信息显示在界面中，或者需要设置连接的客户机数量等，可以通过下面的方法进行设置：单击工具栏中的“参数设置”按钮，打开“系统参数设置”对话框，如图11-26所示。取消“程序启动时建立本地计算机连接”复选框。在此对话框中，还可以设置程序监听的端口号，缺省值为33333。设置最大客户机连接数，缺省值为999台。单击“确定”按钮使设置生效

18、。此时在程序文件夹中，将自动出现一个用于将来得到客户机文件时使用的文件夹“TransFile”和一个系统配置文件“PcShare.ini”。,图11-26 设置系统参数,3.查询IP地址 使用PcShare软件的用户，需要有一个固定的IP地址。如果地址是动态分配的，可执行Windows“附件”菜单中的“命令提示符”命令进入DOS窗口，执行“ipconfig”命令，读取标记有“IP Address”行后面的数据，即为当前使用的IP地址。需要注意的是，动态分配的地址不是永远不变的。对于没有固定IP地址的用户可以采用申请动态域名的方法，使自己在网络中有一个永久性的标识。,11.4.2 使用PcSha

19、re1.生成客户端程序 生成客户端程序的方法如下：单击工具栏中“生成客户端”按钮。在“生成客户端执行程序”对话框中，如图11-27所示，填入本机的静态IP地址或动态主机域名，指定上线端口号，以及是否在Windows任务栏中显示图标，如果不希望被控主机看到该程序的运行，应当取消该复选框。,图11-27 生成客户端程序,单击“生成”按钮，在“另存为”对话框中，选择文件保存的位置和名称。若不希望很容易地被客户机用户发现该程序在运行，应当为程序起一个适当的名字。单击“保存”按钮，程序返回到生成客户端界面，单击“取消”按钮退出。此时，在指定的文件夹中将出现已保存的客户端程序。,2.使用PcShare监控

20、远程计算机 将前面生成的客户端程序复制到客户机的某个文件夹中，也可以使用“捆绑机”一类的软件将其捆绑到某些合法的文件中，通过各种渠道传输给客户，在不知不觉中让对方为自己运行该程序。客户机程序一旦运行，本计算机窗口中立即会显示出相应的信息，如图11-28所示。如本例中一台地址为“”，名为“DNS2”的主机连接到了控制中心，其有关信息也被显示到了程序界面中。,图11-28 被监控主机信息,图11-29 客户端管理窗口,下面介绍其中的常用选项，内容如下：(1)屏幕监控：用于同步显示对方计算机的屏幕信息，查看对方正在进行的操作。(2)目录浏览：单击该选项卡，窗口出现一个类似资源管理器的界面，如图11-

21、30所示。这就是对方计算机中所有文件列表。用鼠标右键单击某一可执行文件，在快捷菜单中可选择“远程运行”，并可指定运行方式是“正常运行”或是“隐藏运行”(后台运行)。也可以执行文件或文件夹的“后台下载”，及其他一些文件的常规操作。,图11-30 操作被控计算机的文件,(3)进程列表：单击该选项卡，窗口中出现如图11-31所示的界面，表中列出了当前对方计算机中正在运行的进程，用鼠标右键单击某一进程名称，在快捷菜单中可强制终止某些进程。,图11-31 管理被控计算机的进程,(4)注册表编辑器：单击该选项卡，窗口中出现如图11-32所示的界面，可以像操作自己的计算机一样修改对方计算机的注册表。,图11

22、-32 操作被控计算机的注册表,(5)键盘记录：单击该选项卡，窗口中出现如图11-33所示的界面，远程用户所有的键盘活动均会被显示到该界面中，通过这种方式获取对方某些用户名和密码是最简单不过的了。,图11-33 监视被控计算机的键盘活动,3.客户端防范方法PcShare程序若被用于非法目的，显然会给用户带来极大的损失。但由于这类软件利用了反弹式，通信方面采用了HTTP隧道的缘故，所以没有适当设置规则的防火墙、普通杀毒软件均不能发现其活动。通过前面的学习，可以知道PcShare实际上是一种典型的“木马”程序，使用“木马克星”软件就可以有效地进行查杀，如图11-34所示。,图11-34 用木马克星

23、查杀PcShare,另外，在客户计算机上执行“netstat”命令，即可看到本计算机“DNS2”与远程计算机“PC8”已经建立了一个连接，“State”(状态)为“ESTABLISHED”(已连接)，如图11-35所示。显然，“netstat”命令是查看网络连接状态并及时发现问题的好助手。关于该命令的详细使用方法和有关参数，请读者自行查阅有关资料。,图11-35 利用netstat命令查看连接情况,11.5 远程控制工具DameWare NT Utilities,11.5.1 安装DameWare 使用Internet搜索引擎查找并下载安装程序。软件下载后，双击运行其安装程序，如本例的“HA_

24、DNTU_4001_WestKing.exe”。软件的安装过程十分简单，用户可按照屏幕提示顺利完成安装。如果在安装过程中，选中了“安装完成后开始运行程序”复选框，则在安装过程结束后软件将自动运行，并显示程序界面，如图11-36所示。,图11-36 程序主界面,11.5.2 使用DameWare进行远程控制 程序启动后，执行“开始”菜单中的“DameWare NT Utilities”程序组下的“DameWare Mini Remote Control”(微型远程控制)命令，打开“远程连接”对话框，如图11-37所示。,图11-37“远程连接”对话框,输入远程主机的IP地址、具有管理员权限的用户

25、名和相应的密码。为了使远程控制符合用户的需要，可单击“设置”按钮，打开“属性”对话框，单击“安装选项”选项卡。一般应选中“断开连接时停止服务”或“断开连接时删除服务”。这样可在结束控制时将程序从内存中删除，或将服务相关文件删除。选中“复制配置文件DWRCS.INI”复选框后，单击“查看”按钮，程序将调用Windows“记事本”程序打开该文件，其内容如图11-38所示。该配置文件决定了DameWare在执行远程控制时的一些属性。缺省情况下在实施远程控制时，会在被控主机的屏幕上显示一个信息框，并在其任务栏中显示DameWare程序图标。,图11-38 DWRCS.INI文件内容,如果不希望这些信息

26、出现，应在配置文件的“Settings”下一行(不要留任何空行)添加如下内容，其中第6行和第8行用于解决上述问题。Port=6129Adgang NTLM=YesAdgang 1=Adgang 2=Adgang 3=0Notify On New Connection=NoPermission Required=No,Show SysTray Icon=NoPermission Required for non Admin=YesOn Disconnect Logoff Desktop=NoForce Applications Close=NoOn Disconnect Lock Worksta

27、tion=NoLogon At Logon Desktop Only=NoEnable Add Client Connection Menu=YesEnable Disconnection Menu=Yes,需要注意的是，只有在正确注册的版本中上述配置才有效。设置完毕后，单击“确定”按钮返回“远程连接”对话框。单击“连接”按钮。如果被控主机尚未安装DameWare服务，将显示如图11-39所示的对话框，单击“确定”按钮。经过一段时间“复制文件”和“启动服务”，在DameWare主机屏幕上显示出远程主机的当前屏幕。,图11-39 在远程主机上安装远程控制服务,连接成功后，在DameWare主机上

28、可以像操作自己的计算机一样操作远程主机。主要功能可使用如图11-40所示的远程屏幕窗口中工具栏按钮实现。,图11-40 远程控制工具栏,“连接”按钮：用于创建与远程主机的连接。处于连接状态时该按钮无效，呈灰色显示。“断开连接”按钮：用于断开当前与远程主机的连接，若当前没有任何连接则该按钮无效，呈灰色显示。“全屏查看”按钮：将远程主机屏幕以全屏方式或窗口方式，显示到本地计算机屏幕上。“发送Ctrl+Alt+Del键”按钮：相当于在被控主机键盘上按Ctrl+Alt+Del键。“锁定远程键盘和鼠标”按钮：锁定或解锁远程主机的键盘和鼠标。该按钮被按下后，被控主机的键盘和鼠标失效。,“仅仅查看”按钮：单

29、击此按钮将控制方式切换到查看状态，此时不能操作远程主机。“显示警告边框”按钮：单击该按钮可打开或关闭显示在远程桌面窗口四周的警告边框。其他工具，如启用/禁用Windows热键按钮，是否将本地鼠标显示为点按钮，是否显示远程主机鼠标指针按钮，显示程序属性按钮，查看/编辑服务器端设置按钮等，它们的功能和其名称一致，这里不再赘述。如图11-41和图11-42所示的是单击“程序属性”按钮和单击“查看/编辑服务器端设置”按钮时打开的设置对话框。,图11-41 程序属性设置对话框,图11-42 服务器端设置对话框,11.5.3 DameWare的其他操作 假设局域网中有一工作站“PC6”，其为Windows

30、 2000 Professional操作系统，并已通过管理员帐号安装了DameWare服务。基于该情况进行下面的操作。在DameWare左窗格“浏览器”中，单击“服务器”或“工作站”列表中某主机前面的“”标记，弹出如图11-43所示的可进行管理或操作的项目。,图11-43 被控主机可被管理的项目,1.查阅远程主机用户信息 DameWare启动后，会自动搜索本局域网内所有服务器、工作站的有关信息，并将可控制管理的项目显示在“浏览器”窗格中。在管理项目列表中，单击“用户”项，在右侧窗格中将显示出该主机用户列表。其中包括有用户名、全名、注释及其他一些有用的信息。,2.操作远程主机的文件 使用Dame

31、Ware可以方便地与远程主机进行文件上传或下载操作。例如，要将远程主机上的文件复制到本地机上，操作步骤如下：双击管理项目列表中的“共享”，在右窗格中显示类似如图11-44所示的信息。需要注意的是，不同配置的主机，内容会有所不同。,图11-44 与远程主机共享资源,单击希望复制(删除、改名等)的文件或文件夹所在驱动器标记(如本例的E$)，在内容列表窗格中，将显示该驱动器中所有文件或文件夹名称。单击右键，在快捷菜单中执行相应的命令(如本例的“复制”）。切换到本计算机“我的电脑”或“资源浏览器”进入目标磁盘，在空白处单击右键，执行“粘贴”命令，即可完成文件或文件夹的复制操作。,3.执行远程命令在管理

32、项目列表中，单击“远程命令”前面的“”标记，在该项目下有“远程命令视图”和“远程命令控制台”两个选项。双击“远程命令视图”，在右窗格中显示如图11-45所示的窗口，在窗格下方输入希望在远程主机上执行的命令后按Enter键，即可显示出命令执行结果。本例在远程主机上执行了一个“netstat-an”命令，从执行结果中可以看到DameWare主机(218.198.48.88)与被控主机(218.198.48.66)通过TCP 139端口建立了一个连接。,图11-45 执行远程命令,4.查看或修改远程主机注册表 在管理项目列表窗格中，双击“注册表”项，在右窗格中打开如图11-46所示的对话框。其样式与

33、在本地计算机上执行“regedit”命令打开的Windows注册表编辑器的样式基本一致，操作方法完全相同。如果希望在注册表中搜索某关键词时，应单击窗口下方“搜索注册表中的文本”按钮，在“查找”对话框中完成搜索。,图11-46 搜索注册表关键字,5.关闭或注销远程主机 双击管理项目列表中的“关机”项，在右侧窗格中打开如图11-47所示的窗口。在窗口空白处单击鼠标右键，执行快捷菜单中相应命令可实现对远程主机的“关机”、“注销”、“断电”等操作。,图11-47 关闭远程计算机,6.查看远程主机属性 双击管理项目列表中“属性”项，在右侧窗格中打开远程主机属性对话框。该对话框分为“时间”、“版本”、“系

34、统”、“显示”、“资源”、“环境变量”、“网络”、已安装的“修复补丁”几个选项卡，如图11-48和图11-49所示的是远程主机的“时间”和“系统”信息。利用这些信息可以对远程主机硬件及软件配置有更多的了解。,图11-48 远程主机时间属性,图11-49 远程主机系统属性,7.管理远程主机的服务双击管理项目列表中“服务”下的“服务视图”项，打开如图11-50所示的对话框。在服务选项卡中列出了远程主机已安装的所有服务及服务的当前状态(“运行中”或“已停止”)、启动方式(“手动”、“自动”或“禁用”)等信息。用鼠标指向某一服务单击右键，在快捷菜单中执行“停止服务”、“重启服务”、“安装服务”或“删除

35、服务”命令可实现对远程主机服务的控制。,图11-50 控制远程主机上的服务,如果希望改变某服务的启动方式，可执行快捷菜单中“服务属性”命令。在如图11-51所示的对话框中进行相应的设置。,图11-51 更改服务的启动方式,11.6 网路岗第四代企业版,“网路岗”可适用于不同的网络结构，一般小单位(小企业、网吧、规模较小的教育机构)中拥有的计算机数量大多在254台以(单网段)，以双网卡代理服务器上网，网络结构如图11-52所示。这种情况下仅需将“网路岗”软件安装在代理服务上即可实现控制。,图11-52 双网卡网络连接方式,图11-53 带路由器的单网段网络结构,如果网络中使用了路由器，使用“网路

36、岗”时可考虑如图11-53所示的安装方法。如果网络结构复杂，存在多个网段则可参考如图11-54所示的安装方法。本节主要介绍在单网段下使用代理服务器上网时，“网路岗”的安装设置方法。,图11-54 多网段网络结构,11.6.1 安装“网路岗”本例使用Windows XP操作系统，安装有两块网卡分别用于连接Internet和企业内部网(Intranet)，在连接Internet的网卡上启用了Windows自带的“Internet连接共享”作为Internet连接通道。使用Internet搜索引擎搜索并下载软件的安装程序，双击“网路岗第四代企业黄金版”安装包中的“Sentry4Corp.exe”启动

37、安装程序，与其他软件的安装过程相似，用户可根据屏幕提示顺利地完成安装。,在Windows“开始”菜单“程序”组中将出现一个名为“网路岗.企业金版”的新组。如果是第一次在计算机中安装“网路岗”，还需要运行软件包中的“SentryDrv.exe”程序来安装Winpcap驱动。执行“网路岗.企业金版”程序组中的“网路岗.企业金版”命令，显示如图11-55所示的信息框，提示用户当前使用的是演示版，许多功能将无法正常使用，并且有时间限制。,图11-55 演示版提示,11.6.2“网路岗”的基本设置方法1.绑定网卡及启动服务程序启动后，显示如图11-56所示的主界面。,图11-56 网路岗企业金版界面,2

38、.选择监控模式 程序为用户提供了“基于网卡MAC”、“基于帐户”、“基于IP”和适用于多VLan情况的“混合模式”四种监控模式，如图11-57所示。本例选取了缺省模式“基于网卡MAC”模式。,图11-57 选择监控模式,3.指定被控对象单击左窗格“监控策略”下的“基于网卡”项，查看是否有如图11-58所示的机器信息。如果没有，可用“搜索邻居”功能进行搜索。其中标记表示该机器被监控，标记表示该机器不被监控，标记表示该机器不被监控但也不允许上网。设置完毕后，单击左窗口中“保存设置”按钮。,图11-58 选择被控主机,4.网络设置 单击左窗格中“网络定义”项，在打开的对话框中单击“添加”按钮，在如图

39、11-59所示的对话框中进行设置，本例的设置结果“内部网网段”和“因特网出口IP”如图11-60所示。在描述内部网段时，IP地址可以是网段中任意一个。,图11-59 定义IP地址段,图11-60 设置完毕网络接口,如果内部网段有多个，例如“”、“”、“”等。为了简化表达方式可表示为“”，并设置子网掩码为“”。因特网出口地址一般为被监控计算机网关的IP地址，如本例的“”。,5.检测设置的正确性 执行“文件”菜单下的“现场观察”命令，打开如图11-61所示的窗口。在确保被测试的机器处于状态后，使用该机器访问某一网站(如等)。并留意“现场观察”窗口中是否有对应的信息；如果该窗口中能正确显示目标机器的

40、上网情况，那么说明对该机器的监控是正常的，也说明对该机器的封堵也将起作用。“现场观察”记录中显示有被观察计算机的IP地址、网卡的MAC地址和访问网络资源的URL地址。执行“文件”菜单中的“导出”命令可将记录保存到一个.rtf文件中。,图11-61 用户访问网络的实时记录,11.6.3 监控对象的上网行为1.设置允许上网的时间 在左窗格中选择“基于网卡”的“监控策略”后，在右窗格中将打开如图11-62所示的对话框。在选择了被控计算机后，用鼠标在时间表上拖动以指定用户不可以上网的时间(白色区域)，也可在时间表上单击右键，在快捷菜单中执行相应的命令。本例设置计算机“”周一到周四上班时间不可上网，周五

41、全天不可上网。,图11-62 设置允许上网时间,如果选择了“在禁止区，仍开放下列项目”中的“发送邮件(通过工具软件）”或“接收邮件(通过工具软件)”，则使用Outlook、Foxmail等软件的邮件处理操作不受限制。设置完毕后，单击“更新规则”按钮，或“更新规则=群组New Folder属下的所有计算机”按钮保存设置。,2.限制访问 在“网页过滤”选项卡中，可以设置禁止访问的自定义网站列表(存放在文本文件中)，以及只允许访问的网站列表(存放在文本文件中)。在“过滤库”选项卡中，可以设置对某类网站(如“不良站点”、“聊天”、“股票”等)的过滤。在“上网反馈”选项卡中，设置当用户违反了过滤规则时的

42、处理方法，可以显示文字信息或转到指定的URL。,在“下载控制”选项卡中，可以指定禁止下载的文件类型，缺省时软件提供了“.mp3”、“.rar”和“.zip”三种类型，用户可单击“添加”按钮指定新的文件类型。在“封堵端口”选项卡中，如图11-63所示，可以禁止用户使用某些TCP/UDP端口。这样某些游戏(如联众、中国游戏中心、可乐吧等)、聊天工具(如ICQ、网易泡泡、MSN等)将无法使用。,在“外发尺寸”选项卡中，可以指定“限制外发邮件大小”、“限制FTP上传文件大小”和“限制网页粘贴的文字长度”。这样可有效地避免公司的商业或技术机密通过上述渠道泄漏、失密。在“限制流量”选项卡中，如图11-64

43、所示，可以设置是否对被控计算机限制流量，每周、每天、每小时、每刻钟、每分钟允许的流量大小。“当前累计流量”栏中显示有当前用户发生的总流量数据。,图11-63 封堵端口对话框,图11-64 限制流量对话框,3.设置监控选项单击左窗格中“监控选项”下的“监控项目”，在右窗格中打开如图11-65所示的对话框。可以看到软件将监控项目分为“常见网络活动监控项目”和“外发资料的监控项目”两大类。设置时需要用鼠标单击项目名称前面的复选框，带有“”标记时表示监控该项目。,图11-65 设置监控项目,4.查看日志 执行“文件”菜单下“网络活动日志”或“外发资料日志”命令，可查看有关监控项目的日志内容。单击左窗格

44、“监控档案”下“档案管理”项，在右窗格中将打开如图11-66所示的对话框。使用该对话框，可设置日志文件存放的位置、最多保存的天数等。,图11-66 档案管理对话框,5.设置操作权限 由于“网路岗企业版”软件具有强大的网络管理功能，并能对用户的网络活动进行监控，因而，应严格指定管理员权限，并设置相应的密码。软件中将“权限级别”缺省地设置为“超级用户”、“高级用户”和“普通用户”三种，并可对各级管理员的权限进行指派。设置时可在左窗格中单击“操作员”下的“操作权限”项，打开如图11-67所示的对话框。按屏幕所示进行设置即可。,图11-67 设置管理员权限,11.7 常用捆绑工具,11.7.1 DAM

45、S苹果心文件捆绑机1.安装 DAMS可以使用Internet搜索引擎搜索并下载。软件为绿色软件而无需安装，直接双击软件包中的“DAMS苹果心文件捆绑机.exe”文件图标即可。,2.运行环境 DAMS可运行于Windows 9x/XP/2000/2003操作系统平台，要求计算机中需要安装VB运行库msvbvm60.dll、comdlg32.ocx这两个文件。如果程序启动时显示找不到这两个文件，可从其他安装有Visual Basic开发环境的计算机中复制到Windows所在文件夹的system32文件中。不过就算使用的是Windows 98操作系统，只要安装有微软的Office等工具一般都会有这两

46、个文件。,3.使用方法 程序启动后显示如图11-68所示的界面。使用DAMS进行程序捆绑的操作步骤如下：单击“选择捆绑文件”按钮，在打开的“选择要捆绑的文件”对话框中，如图11-69所示，选择要捆绑的多个可执行文件。可以使用Shift键(选择连续存放的文件)或Ctrl键(选择分散存放的文件)进行多个文件的选择。但由于只能在同一个目录中选择文件，所以需预先将要捆绑的文件复制到同一个目录中。,图11-68 DAMS界面,图11-69 选择要捆绑的文件,选择完毕后，在编辑框中可以显示选择捆绑的文件。但不能在编辑框中对选定的文件路径进行任何修改，如认为选择不合适可重新选择。单击“输出文件位置”按钮，在

47、打开的对话框中指定输出文件，即合并后的文件存放在什么位置。,DAMS为用户提供了一些附加选项，使用这些选项可以使用户得到更大的方便，主要有以下几项：文件解绑时的临时目录：当解绑时，会产生一些临时文件，该选项可以指定它们的存放位置，默认为程序运行目录，表示临时文件就在程序存放的目录中建立；如果不希望用户看到临时文件，可以选择系统临时目录，这样执行时就会将临时文件存放到由系统变量决定的临时目录中去。每个捆绑文件解包时所需的特定信息：可以从下拉组合框中选择捆绑文件中的某个应用程序，并设定相关信息。,文件可执行：这个文件是一个可执行文件，解包后要运行它。（这是设定“执行时必须等待程序结束”的前提。）执

48、行时必须等待程序结束：选择了该项后，程序会执行完这个临时文件，并等待它运行结束。（这是程序退出后删除的前提。）程序退出后删除：程序运行结束后，这个临时文件就会被删除。,解包必须为此文件名：将该程序解包为特定的文件名。（不要设定路径c:windows1.exe，如果目录不存在会发生错误，除非你确定运行的机子上一定会有这个目录。）在解绑后删除程序自身：可以在程序运行后删除自身，也就是前面提到的主程序“自杀”功能。,设置完毕后，单击“合并文件”按钮，即可在指定位置得到一个捆绑有其他应用程序的新文件。如果将此文件以电子邮件、QQ或其他方式传送给某人，当对方运行了该程序后，即可在前台运行某一程序而在后台

49、不知不觉中运行其他程序(如木马程序)。当然，目前绝大多数病毒防火墙，对常用的木马程序都有一定的查杀功能，如果想在别人的机器中种植木马，必须首先通过杀毒软件这一关。,11.7.2 WinRAR文件捆绑机 随着人们计算机安全意识的提高，若想在目标计算机中种植木马是越来越困难了。目前多数文件捆绑机都能被最新版的杀毒软件所查杀。但如果使用互联网上常用的压缩软件WinRAR充当捆绑机，就可有效地躲过病毒防火墙。因此有人将其称为“永远不会被杀的捆绑机”。WinRAR是网上常用的一个压缩/解压缩软件，支持包括.zip在内的多种压缩格式，有较高的压缩率。现在越来越多的人喜欢用WinRAR来压缩软件了。将Win

50、RAR当作捆绑机使用是利用了软件的自解压和文件运行功能来实现捆绑机的基本要求的。,WinRAR的操作方法如下：选定两个文件如server.exe(木马程序的服务器端)和mypicture.jpg(正常的图片文件）。单击鼠标右键，在快捷菜单中执行“添加到xxxx.rar”命令(xxxx为文件所在的目录)，如图11-70所示。双击打开生成的这个.rar文件，点击工具栏上的自解压图标，打开如图11-71所示的窗口。,图11-70 添加到压缩文件,图11-71 WinRAR窗口,单击工具栏上的“自解压”按钮，打开“压缩文件”对话框，如图11-72所示。单击“高级自解压选项”按钮，打开“高级自解压连接”