Windows Server 2008 Release Candidate 1
Windows Server 2008 Release Candidate 1(以下简称:WS08RC1),已经向公众公开发布,如果你已经下载到了 WS08RC1 但没有序列号可以前往 http://technet.microsoft.com/zh-cn/bb687945(en-us).aspx 申请安装序列号,激活产品后可以使用到2008年6月,否则只有30天的使用期限。
此外我们可以从 http://www.microsoft.com/windowsserver2008/audsel.mspx 获取 WS08RC 的下载。
经验技巧:维护主、辅 DNS 服务器
两台运营着近4000个区域的 DNS Server 最近特别不正常,经常出现 DNS ID3000、ID9999的警告,并且辅助 DNS Server 上的 DNS 进程经常 Crash,确实令人感到头疼,决心对 DNS Server 进行维护,由于存在的区域实在海量,之前辅助 DNS 进行过迁移和修复,数据应该会存在错误,毕竟是通过导出的主 DNS 数据,重新导入到辅助 DNS 上并通过命令行批量修改为辅助区域,当时考虑可能欠妥,这次维护决定彻底干掉辅助 DNS 上的所有区域通过命令行直接创建辅助区域而不是通过之前的修改区域类型,此外主 DNS 上的区域也要做相应的调整,指定区域复制范围为指定的辅助DNS地址,调整SOA中的区域刷新间隔、重试间隔及过期间隔,其中最重要的就是过期间隔,因为这个值过小导致辅助DNS彻底瘫痪(超出间隔时间,辅助DNS便无法正常解析域名),手工进行区域恢复相当麻烦,这次配置过期间隔为4天(345600秒)。
OK,具体操作流程如下:
在主DNS上导出列表为csv格式,并下载到本地工作站上用 execl 进行修改,并创建名为ctdns.bat(修改区域复制范围)、edsoadns.bat(修改soa相关项)及addsdns.bat(创建辅助区域)三个批处理文件。
在主 DNS 上执行ctdns.bat,其内容大致如下:
注意:其中“.”代表本地主机,zonename则为区域名称(域名),ip_address为辅助DNS的IP地址
接下来再执行 edsoadns.bat,其内容大致如下:
注意:nodename 是 dns 命名空间中节点的 FQDN,可以使用对应的 zonename 或 @;PrimSvr 为指定服务器的 FQDN 名称,如:ns1.maytide.net.(建议:结尾处加上“.”);Master_Mail_Address为管理员的邮件地址;1 为区域版本信息;3600为刷新间隔;600为重试间隔;345600为过期间隔;3600为最小生存时间(TTL)。此外还应该注意的是当修改SOA中的某个资源值时,必须指定所有的SOA项值!
最后删除辅助 DNS 上所有的辅助区域,并执行 addscndns 重新添加,其大致内容如下:
注意:“/secondary”即指定添加的区域类型为辅助类型;Master_DNS_IP_Address 为主 DNS 的 IP 地址;“/File” 指定该辅助区域的文件名,为可选项,为了便于管理我在此使用了这个参数,filename的命名规则为zonename.dns使用.dns扩展名可以方便的识别和使用,否则有些区域为.com那可就会出现一些意外的小惊喜了。
到这里这次 DNS 的维护就算是结束了,辅助 DNS 上的区域完全对应主 DNS上的,近期作一下重点观察,看看还会不会出现一些警告事件!
要了解更多的相关命令参数可以参考微软官方的技术资源库:
3、修改区域的起始授权机构(SOA)记录:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/e1f77652-7e1f-4902-9107-6b863ccb4350.mspx
利用 IPSec 阻截 ARP Frame 欺骗式挂马攻击
如今的黑客可是了不得,什么办法都能想出来,这不最近就遭遇到了这种挂马攻击方法,它通过 ARP Frame 来实现的。也就是说通过 ARP 来实现网关欺骗之后在 TCP/IP 中加入 Frame,而这个 Frame 中则包含了恶意的代码,可以使每个用户在打开页面后自动在当前页面中加入木马程序。
起初发现的时候是很多用户报自己的运营系统只要打开就会提示有病毒,很奇怪!服务器本身做过了安全加固,虽然不能说绝对符合某个级别的安全标准但是应对一些伪客们还是绰绰有余的。难道有人蓄意入侵了服务器在其上安插了rootkit?!赶忙登录服务器进行检查并未发现可疑的进程,察看了进程的模块信息也未发现有可疑的rootkit模块,问题出在哪里了呢?此时有大量用户通知数台服务器均在访问中提示有病毒,赶忙察看发现截获的木马网址都是同一个,真是有意思,难道是有人蓄意攻击?
重新对服务器进行了检查,排查范围小至可疑的文件日期,但是直觉告诉自己问题应该不是出在服务器,于是立刻是用“arp -a”命令获取到了默认网关的 MAC 地址,联络线路运维中心的工作人员进行查证,得知默认网关的 MAC 地址是错误的,看来找到了原因,子网内有服务器感染了 ARP 病毒!并且通过 ARP 欺骗后在 Frame 中添加了恶意代码,才会导致所有访问的用户会收到病毒的提示,并且用户下载后的页面中确实存在恶意代码,但是在服务器上看反而没有!通过 MAC 地址找到了被感染的机器 ban 掉后,子网恢复了正常!BS 机房线路运维,技术知识有待提高,服务质量有待增强,网管系统迫切需要升级!垃圾,他们之前压根就检测不到有 ARP 真服了。
今天又出现了这个问题,通知了线路运维那边没有任何反应,看来只能自己想办法了,首先要解决的就是保证用户们访问运营系统的时候不会提示有病毒,仔细想一下病毒的原理,顿悟!它既然要在 Frame 中加入恶意代码,那么必然要将数据报返回给我的服务器,OK!
使用 IPSec 阻止同子网所有服务器访问本机,切断联系!但是为了保证同子网可信赖服务器能够正常访问本机还要添加一条允许规则。这样以来除了可以阻截 ARP Frame 的欺骗攻击还可以杜绝其他安全威胁!为了实施这项步骤工作,我们需要运行“gpedit.msc”打开GPO管理器,之后在“计算机配置”下找到“Windows 设置”,展开其下的“安全设置”,点击“IP 安全策略,在本地计算机”,然后我们创建一条新的IP 安全策略,之后添加IP安全规则,首先为了确保不出现意外,应当先添加允许信赖的计算机访问本机的任何或指定的协议,最后再添加阻止特定子网的计算机访问本机所有或指定的协议。配置完毕之后,鼠标右击该安全策略并点击“指派”,为了让 IPSEC 立刻生效,建议在 cmd 环境下执行“gpupdate /force”。
另外需要注意的是这些操作都是在工作组环境下进行的。
如果要配置的IP比较多,可以使用微软 Support Tools 工具集中的“IPSeccmd”命令来进行配置。可以参考这个网址:http://support.microsoft.com/kb/813878/zh-cn
