技术交流：正确设置“网络连接”属性详解

---

正确设置“网络连接”属性详解

从【控制面板】進入【网络连接】，可以看到计算机中已经安装的网络连接，如“本地连接”等。
通常 Windows 在安装网络连接时，自动的把“Microsoft 网络”绑定到网络连接上，而“Microsoft 网络”要求网络中的计算机是可靠的，所以安装了“Microsoft 网络”的计算机连接到“Internet 网络”后，就会产生安全问题。
解决办法就是去掉网络连接上绑定的“Microsoft 网络”，可以从“组件”和“协议”两方面来设置。

（1）“组件”设置
打开网络连接的【属性】，如上图，卸载“Microsoft 网络客户端”和“Microsoft 网络的文件和打印机共享”。如果是 Windows 98、Windows Me，需要卸载“Microsoft 家庭登录软件”。
（2）“协议”设置
在上图中，如果安装了 IPX/SPX/NetBIOS、NetBEUI 协议，需要卸载。
另外，通常在 TCP/IP 协议上实现了 NetBIOS 协议，需要去掉。从网络连接【属性】中选中 “Internet 协议（ TCP/IP ）”，点属性進入 【Internet 协议（TCP/IP） 属性】设置，点高级進入 【高级 TCP/IP 设置】，点 WINS ，禁用 TCP/IP 上的 NetBIOS，如下图。

需要说明的是，对于每一个连接到“Internet 网络”的网络连接都需要進行安全设置。网络连接安全设置只是安全的一个方面，需要综合各方面因素才能保证上网安全。有条件的同修可以参考书[1]，里面还讲了 ZoneAlarm。

上次同修问 LMHOST 问题，LMHOST 是一个供域名转换用的文件，与安全没有关系。

希望我们资料点越来越多，越来越好！

[1] Jerry Lee Ford： Absolute Beginner's Guide to Personal Firewall，One Publishing， 2002。中译本：《个人防火墙》 段云所 等译　

---

对明慧2004.12.22的文章《上网必须注意的几个安全问题》的补充：

上网必须注意的几个安全问题

1、我使用的系统是windows2000 professional sp4，停止的服务有八项
1）ClipBook
2）Indexing Service
3）NetMeeting Remote Desktop Sharing
4）Remote Registry Service
5）Routing and Remote Access
6）server
7）TCP/IP NetBIOS Helper Service
8）Telnet

2、如果卸载了“Microsoft网络客户端”和“Microsoft网络的文件和打印机共享”，那么server服务也被卸载了。而且也没有了硬盘共享的问题，即没有了共享服务。（请参考随附的同修的文章《正确设置“网络连接”属性详解》）

3、下面是有关文章，请同修参考：

windows 2000的服务安全与建议
中华企业信息港 加入时间 2002-12-19 15：47：00
加***的项目请特别关注

在windows2000中，服务基本上是一个在启动时运行的程序，它的运行和任何用户都无关，一台服务器所执行的大多数功能，例如文件共享等都是以服务得形式来运行，而且大多数是以system特权运行的。这样黑客们通过非法的途径利用某个服务获得system特权，那将绝对不是个好事。当然喽！你可以对每个服务单独创建管理权限，但我想大多数管理员都没有这个空闲吧。因为服务项目实在是太多了。因此，了解每个win2000的服务，并禁止一些不必要的，能让你的服务器更加安全喔。

下面是一些大略的介绍：

1：Alerter
服务方向： 负责向用户通报管理警报。该服务和Mesenger服务一起工作，后者接收并路由前者的信息。
可执行文件：%systemRoot%\system32\services.exe
风险：潜在可能导致社会工程攻击
建议：将Alerter服务发出的警告限定为只由管理员接收。

2：Application Management
服务方向：提供和active directory之间的通信。通过group policy（组策划）来指定，发布并删除在系统中安装的应用程序。
可执行文件：winnt\system32\services.exe
风险：无
建议：非组策略使用应用程序，最好禁用该服务。

3：Boot Information Negotiation Layer
服务方向：与Remote Installation Service（RIS）一起使用。除有需要通过RIS安装操作系统，否则不要运行。
可执行文件：winnt\system32\services.exe
风险：无

***4：Browser
服务方向：负责保存网络上的计算机列表，并将该列表提供给那些请求得到该列表的程序。
可执行文件：winnt\system32\services.exe
风险：暴露有关网络的信息
建议：禁止

***5：Indexing
服务方向：负责索引磁盘上的文档和文档属性，并且在一个目录中保存信息，使得你在以后可以搜索它们。
可执行文件：winnt\system32\services.exe
风险：其为IISweb服务器上诸多安全弱点的根源
建议：除非特别需要，否则禁止。

***6：ClipBook
服务方向：ClipBook支持ClipBook Viewer程序，该程序可以允许剪贴页被远程计算机上的ClipBook浏览，可以使得用户能够通过网络连接来剪切和粘贴文本和图形。
可执行文件：winnt\system32\Clipsrv.exe
风险：潜在被非法用于远程访问ClipBook剪贴页面
建议：禁止

***7：Distributed File System
服务方向：允许创建单一逻辑盘。文件分布在网络上不同位置。
可执行文件：winnt\system32\Dfssrc.exe
风险：暂无已知风险
建议：禁止

8：DHCP client
服务方向：通过注册和更新IP地址和DNS域名来管理网络配置。
可执行文件：winnt\system32\services.exe
风险：无已知风险
建议：为服务器分配一个静态IP

9：Logical Disk Manager Administrative
服务方向：用于管理逻辑盘
可执行文件：winnt\system32\dmadmin.exe
风险：暂无已知风险
建议：将服务的启动类型设为手动（Manual）

10：Logical Disk Manager
服务方向：该服务为 Logical Disk Manager Watchdog 服务，负责管理动态磁盘的服务。
可执行文件：winnt\system32\services.exe
风险：无已知风险
建议：系统运行时需要，保持默认得自动启动

11：DNS Server
服务方向：负责解答DNS域名查询。
可执行文件：winnt\system32\dns.exe
风险：无已知风险
建议：因其通常是导致许多安全性弱点的根源。该服务应谨慎使用。

12：DNS Client
服务方向：用于缓存DNS查询来进行记录。可用于某个入侵检测系统的DNS查询，可加速DNS查询的速度。
可执行文件：winnt\system32\services.exe
风险：无已知风险。但攻击者可以查看你的缓存内容，确定你所访问过的网站。命令行形式为（ipconfig/displaydns）
建议：可停可不停

13：Event Log
服务方向：Event Log服务负责记录来自系统和运行中程序的管理事件消息。虽然该服务功能有限，并具有一些小问题，但是该服务可以用于入侵检测和系统监视。
可执行文件：winnt\system32\services.exe
风险：无已知风险
建议：该服务应该被启动，尤其是在独立服务器上。

14：COM+Eent System
服务方向：提供自动事件分布功能来订阅COM组件。
可执行文件：winnt\system32\svchost.exe -k nesvcs
风险：无已知风险
建议：如果该服务不需要已安装的任何程序所使用，你可以禁用COM+Event System 和 System Event Notification服务。

15：Fax
服务方向：它负责管理传真的发送和接收。
可执行文件：winnt\system32\faxsvc.exe
风险：无已知风险
建议：对于服务器而言，不需要也不建议使用该服务，除非该服务器专门被指定为用做一个传真服务器。

16：Single Instance Storage Groveler
服务方向：该服务和Remote Installation服务一起使用。扫描单一实例存储卷来寻找重复的文件，并将重复文件指向某个数据存储点以节省磁盘空间。
风险：无已知风险
建议：除非你需要使用 Remote Installation 服务，否则请停止它。

17：Internet Authentication Service
服务方向：用于认证拨号和VPN用户。
可执行文件：winnt\system32\svchost.exe -k netsvcs
风险：无已知风险
建议：显然除了在拨号和VPN服务器上。该服务不应该使用，禁止。

***18：IIS Admin
服务方向：IIS Admin服务允许通过Internet Services Manager MMC程序面板来对IIS服务进行管理。
可执行文件：winnt\system32\inetsrv\inetinfo.exe
风险：无已知风险
建议：如果服务器正在运行Inetrnet服务，则该服务是需要的；如果没有运行任何Inetrnet服务，则应当从Control Panel，Add and Remove Programs中卸载Internet Information Server，这样IIS Admin服务也将被卸载。

19：Intersite Messaging
服务方向：Intersite Messaging服务和Active Directory replication一起使用。
可执行文件：winnt\system32\ismserv.exe
风险：无已知风险
建议：除了Active Directory服务器之外，不需要也不建议使用该服务。

20：Kerberos Key Distribution Center
服务方向：这是个域服务，提供了Kerberos认证服务（AS Authentication Service）和票证授予服务（TGT，Ticket-Granting Service）。
可执行文件：winnt\system32\lsass.exe
风险：没有已知风险
建议：Kerberos Key Distribution Center服务和位于某个域控制器是的Active Directory一起工作的，而且不能被停止。除了在域控制器上，该服务不应该在其他计算机上运行。

***21：Server
服务方向：该服务提供RPC支持以及文件，打印和命名管道共享，Server服务是作为文件系统驱动器来实现的，可以处理I/O请求。
可执行文件：winnt\system32\services.exe
风险：如果没有提供适当的用户保护，会暴露系统文件和打印机资源 NetMeeting Remote Desktop Sharing
建议：除非你打算在windows网络上共享文件或打印机，否则不需要运行该服务。
（附言：对于2000而言，这个是一个高风险服务。2000的用户多知道默认共享吧，就是该服务的问题。如果不禁止，每次注销或开机，默认共享就会打开，你的所以重要信息都将暴露。例如winnt文件夹，大家都应该知道他对于2000的重要，除非你的密码够安全，否则这个共享将是你机子的死穴！！！）

***22：Workstation
服务方向：该服务提供网络连接和通信。该服务以一个文件系统驱动器的形式工作，并且可以允许用户访问位于windows网络上的资源。
可执行文件：winnt\system32\services.exe
风险：一些独立服务器，例如web服务器，不应当参与到某个windows网络中。
建议：该服务应当只在位于某个内部网络，并受到某个防火墙保护的工作站和服务器上运行，在任何可以连接到Internet的服务器上都应该禁用这个服务。

23：TCP/IP打印服务器
服务方向：该服务允许远程UNIX用户通过使用TCP/IP协议来访问由某个windows2000服务器所管理的打印机。
可执行文件：winnt\system32\tcpsvcs.exe
风险：具有一些安全性弱点，并打开一个监听端口。
建议：该服务具有一些安全性弱点，因为打开了一个到internet的端口。因此，除非网络通过防火墙与Internet隔离开，否则不要使用该服务。

24：License Logging
服务方向：该服务负责管理某个站点的许可协议信息。
可执行文件：winnt\system32\llssrv.exe
风险：没有已知风险
建议：除了在域控制器上，其它计算机不应当使用该服务。

***25：TCP/IP NETBIOS Helper
服务方向：该服务允许在TCP/IP网络上进行NETBIOS通信。
可执行文件：winnt\system32\services.exe
风险：暴露出系统中的netBIOS安全性弱点，例如NTLM认证。
建议：除非你需要和一个旧版本的windows保持兼容，否则应当禁止该服务。

26：Messenger
服务方向：Messenger服务负责发送和接收由管理员或Alerter服务所传递的消息。
可执行文件：winnt\system32\services.exe
风险：没有已知风险
建议：该服务不需要而且应当被禁用。

***27：NetMeeting Remote Desktop Sharing
服务方向：该服务允许授权用户通过使用NetMeeting来远程访问你的Windows桌面。
可执行文件：winnt\system32\mnmsrvc.exe
风险：是一个具有潜在不安全性的服务。
建议：该服务应当被禁止，因为它是会导致潜在地安全性弱点的。你可以使用Terminal服务来代替该服务用于远程桌面访问。

28：Distributed Transaction Coordinator
服务方向：微软的Distributed Transaction Coordinator服务（MS DTC）可以借助OLE Transactions协议来提供一个事务（Transaction）协调工具，可以协调分布于两个和多个数据库，消息队列文件系统和其他事务保护（trasaction protected）资源管理器的事务。
可执行文件：winnt\system32\msdtc.exe
风险：没有已知风险
建议：无需禁止

***29：FTP Publishing
服务方向：文件传输协议不是一种安全的协议。如果不进行适当地保护，FTP Publishing服务将大来很多的安全性风险。
可执行文件：winnt\system32\inetsrv\inetinfo.exe
风险：微软的FTP Server没有已知风险。但一般而言，FTP是已知不安全的服务。
建议：除非你需要通过FTP来提供文件共享，否则该服务应当被禁止。如果需要，请谨慎的对其进行保护和监视。

30：Windows Installer
服务方向：负责管理软件的安装。改服务对于安装和修复软件应用程序时很有用的。
可执行文件：winnt\system32\msiexec.exe/V
风险：无已知风险
建议：保留

31：Network DDE
服务方向：该服务提供动态数据交换（DDE，Dynamic Data Exhange）数据流传输和安全性。
可执行文件：winnt\system32\netdde.exe
风险：通过网络接受DDE请求
建议：对于大多数应用程序而言，Network DDE是不需要的，你应当将它设置为手工启动。

32：Network DDE DSDM
服务方向：该服务保存一个共享对话（shared conversation）数据库，这样当某个Network DDE共享被访问时，共享会话将被应用，并且安全性检测系统将确定请求这是否被允许访问。
可执行文件：winnt\system32\netdde.exe
风险：没有已知风险
建议：该服务应当设置为手工启动

***33：Net Logon
服务方向：支持为域中计算机进行的帐号登录事件的传递认证（pass-through authentication）。
可执行文件：winnt\system32\lsass.exe
风险：可以用于对强力密码攻击进行传递
建议：该服务不应当在那些不作为域中一部分的独立服务器上使用，禁止。

34：Network Connections
服务方向：该服务负责管理Network and Dial-Up Connections文件夹中的对象。该文件夹中你可以看到局域网和远程连接。
可执行文件：winnt\system32\svchost.exe -k netsvcs
风险：没有已知风险
建议：由于该服务在需要时将自己启动，因此可以设置为手动启动。

35：Network News Transport Protocol（NNTP）
服务方向：用于提供一个新闻服务器服务，例如USENET.
可执行文件：winntsystem32\inetsrv\inetinfo.exe
风险：没有已知风险
建议：NNTP服务器应当安装在一个DMZ网络中。而且应当像其他网络服务。例如FTP，Nail和Web服务那样来对待。不建议在私有网络上配置NNTP服务器，任何位于某个内部网络上的服务器应当卸载或禁用NNTP服务。

36：File Replication
服务方向：file replication服务（FRS）可以跨域中的服务器来进行文件，系统策略和登录脚本的复制，该服务还可以用于为分布式文件系统（DFS， Distributed File System）复制数据。
可执行文件：winnt\system32\ntfrs.exe
风险：没有已知风险
建议：它在多个服务之间维护文件目录内容的文件同步，保持原状。

---

购买二手硬盘的经验

市场上的二手硬盘，一般都是修复过的，很多磁道读写很慢，很容易上当。

最近我看到许多盗版可直接启动光盘的启动菜单中有“硬盘坏道修复器HDDSPEED”工具，选中回车，进入主菜单，按“ALT+P”选“GRAPHS”再选
“LINEAR VERIFY SPEED”回车，就开始对硬盘测试，只要曲线不是大幅度波动，不超过两个方框，就算可以了。

二手硬盘一定要用软件检测，否则就买新的算了。

---

博朗电子书标准文档建立方法

我们地区很多同修使用博朗电子书，但大多数同修尚未掌握电子书文档建立方法，有的直接用Word文档或txt（纯文本）文档或HTML文档進电子书，造成大法经书在电子书中文章结构混乱，主要有以下几种表现

（1）直接用Word文档或txt（纯文本）文档進电子书，整篇经书不分段。

（2）直接用HTML文档進电子书，出现双题目、某些或全部阿拉伯数字（例如99•7•20）或特殊标点符号（如……——：？！“”等等或其它情况下）乱分段，一个阿拉伯数字就可能独占一行

可能其它地区也存在类似情况，其实方法很简单，现将自己摸索掌握的方法向同修推荐如下，若其他同修有更好的办法，请帮助完善。

1、标准文档建立

（1）直接下载HTML或CHM格式文档。若是CHM格式文档，要复制全文，然后用Microsoft FrontPage重新制作HTML网页。

（2）打开做好的HTML网页，再打开“查看”，在“查看”中打开“源文件”，然后首先删掉在源文件顶部之上中的××××（××××即为电子书中重复的标题）。然后，向下查阅源文件的全文，删掉所有的小写数字（例如99•7•20）或特殊标点符号（如……——：？！“”等等或其它情况下）与其前、后字符间的一串符号（如＜b＞、＜p＞等），此串符号即为上、下分段符。这些分段符若不删掉则在所有分段符处自行分段。例如《2004年纽约国际法会讲法》解法部分中所有的“师：”前面均有“＜b＞”符号，结果是电子书中所有的“师：”均独占一行。不分段的文字之间应没有任何其它符号，就像纯文本文档一样。

（3）HTML网页也可象Word文档一样编辑，方法是：打开Microsoft FrontPage，然后用“文件”中“打开”，选择要编辑的HTML网页进行编辑。

（4）在“源文件”状态下也可编辑。但一定要注意：有时要替换某一字符，会把该字符后的1～2个字符一起替掉，有时不会。

2、用Word文档转HTML网页

方法同上，但有的文档分段符等符号特别多，不但费时费力，且文档内存为标准文档的两倍甚至更大。若直接用Word文档或txt（纯文本）文档進电子书，则整篇文档不分段。

3、目前博朗电子书660、600、300（外形大的那种）三种型号中，660型所有的文字均能自动显示；600型已由同修解决了 “進”字显示问题，但“卍”和“槃”字不能显示，需用汉语拼音代替；300型上述3个字均不能显示，需用汉语拼音代替。目前600型已被660型取代。

---

对2004年10月29日《闪画：ZoneAlarm 防火墙设置》的补充意见

首先应该感谢闪画的作者，使我对 ZoneAlarm 防火墙的具体设置有了進一步的了解，以前我只是使用默认的安全级别。可能是缘份所致，我手头的一个和该文中用的 ZoneAlarm 版本号完全相同：4.5.538.001；后来我发现该文有漏：

1. 打开 ZoneAlarm 自带的帮助文件（点程序界面右上角的Help），依次展开“Firewall protection”、“Blocking and unblocking ports”，看了“Default port permission settings”和“Adding custom ports”下的说明后，我认为：闪画中把所有端口全部封住其实是在中级安全设置的基础上再加强；闪画在“Firewall”一项中设置的整个过程就相当于把 Internet Zone 和 Trusted Zone 的安全级别设为 High 以后，再取消“Allow broadcast/multicast”。如果是 Windows 9x，还取消了“Allow outgoing DHCP （UDP port 67） ”。

换句话说，只要把安全级别都设为 High 以后，那些端口都无需再封。

对允许通过防火墙的软件，可通过封住的端口。

2. 闪画讲到选上“Hide my IP address when applicable”可以使“隐藏我的ip，这样别人ping不到你了”，我认为不妥。可能是作者没有注意到它的前提：“Contact with Zone Labs”和“Whenever I request info from Zone Labs：”，也就是“在与Zone Labs网站联系时”和“任何时候我从Zone Labs 请求（获取）信息时”，在这种情况下“如果可能的话隐藏我的 IP”，换句话说就是：“尽量不向 Zone Labs 暴露我的 IP”。

当然在该选项打勾可能会更安全，但选上该项后与“隐藏我的ip，这样别人ping不到你了”没有必然的因果关系，根据 ZoneAlarm 自带的帮助文件，无论选不选该项，只要设置好以下选项：Firewall －>Main 把 Internet Zone 和 Trusted Zone 的安全级别设为 High ，即 Stealth 模式，别人就 ping 不到你。

以上如有错误请及时慈悲指正！

其实以上问题也不算大，我为什么要写出此文呢？

几年前，我曾经教过几个人上网，我是按照明慧网当时的一些文章介绍的先找代理服务器，再上二次加密代理，然后上明慧网的做法。

而我在此之前都是通过 www4mail 和 agora 获取网络文件的，例如2000年时师父的四本新书我就是通过这种方法得到然后打印出来的（以上二者与 article@goodarticle.org 的原理相同）。后来我才开始用上面讲到的用代理服务器的方法，我当时看那些技术文章也没有仔细看，在给 IE 设置代理服务器的时候，只是设置了局域网的代理，然而当时大家却都是通过56k的Modem拨号上网的，那么，辛辛苦苦找来的代理其实根本就没有用上，而是直接通过加密代理上明慧网，甚至直接上的是明慧的加密网站。而我却是在这次从劳教所出来，看到了“轻舟网”的文章“通过Stunnel + OpenSSL + Privoxy 建立加密Http代理服务器及客户端”一文以后才知道自己错误的，大家也能够想象得到，当时我陷入了深深的自责和悔恨当中！

就在自己还用不好的时候我还把它教给了别人，事后大概一、两个月，他们都反映上明慧网上不去，而我当时连 www4mail 和 agora 的方法也想不起来用。

后来跟我学上网的人中，除了几个人我不知道他们的情况外，其余全部被抓。

虽然从当时的表面现象来看，事情发生的起因好像不在我这，但通过学法我认识到，当时的事情是针对我们的整体发生的，我的错误是资料点出事的原因之一！

最后祝愿大家能吸取我的教训，在今后能更仔细一些，最终达到圆满无漏！