15日晚10点多落地郑州,比预计晚了不少,时间有所延误不过还好大家开车来机场接的我,幸福哦!
这次培训主要的内容是关于微软即将发的新产品的技术培训,培训对象主要针对讲师,大概有20多人来自全国各主要城市,差不多都是腕级的人物!培训地点是中达金桥,我们入住在元辰鑫国际饭店。
12号到京后,WinTEC社区为大家接风洗尘,好是热闹!那晚不少人都喝H了!13-14号两整天的培训,时间比较紧凑,13号中午的中餐是会务公司直接定的皮萨在培训中心吃的,晚上则安排去阿凡提吃特色烧烤,由于跟 yinjie 约了吃饭,所以没去,具体说不错哦!1米来长的羊肉串,还有美女与蟒蛇助兴,哈哈!14号同样是一整天的培训,中午在之前我和yinjie吃饭的饭店定的桌,味道不错!下午微软公司Vista产品市场经理也来到培训中心与大家见面,当晚则为我们安排了自助餐!15号则安排大家去观光的水下长城。
通过这次培训机会认识了全国各地的达人、讲师,收获非常大!跟一些朋友有似曾相识的感觉,大家在一起也是相当融洽!这种气氛真的很好……
此次培训主要是针对微软最近收购的一家公司的产品进行学习,此产品的应用前景非常的好,能够有效地为企业客户端桌面进行优化,在产品正式发布后相信会有很多企业网管因应用此软件产品而获得前所未有的管理体验,并从中获益!大家拭目以待……
住宿环境还是相当不错的,只可惜上网竟然单独收费,罢了!用GPRS好了……
培训现场的偷拍,及市场部经理的台前讲话!
14日晚在饭店顶层的什么旋转餐厅就餐时照的北京的堵车。有够夸张哦!
15号的水下长城游览活动,不过没能看到在水底的长城面貌!不过能看到长城确实是进入到水下的,人工造成的!
微软 TechED2007 大会即将盛大开幕
TechED2007大会即将召开,定在了11月份。盼望已久!这可是从事微软产品和技术工作者的盛会,拭目以待!大家如果有兴趣一定要参加哦!官方网址是:http://www.microsoft.com/china/technet/teched/default.aspx
Tech·Ed 概述
Tech·Ed 是每年一度最具规模的微软技术大会,也是软件行业的领袖级会议。有数千位微软专业技术人员、合作伙伴、行业权威、专业人士出席,几百个技术讲座、研讨、动手实验室和活动 ,帮助您了解现有技术的更多相关信息,以及对那些您正在考虑采用的技术进行评估。
围绕安全、管理、协作、2007 Microsoft Office System、Windows Vista等主题,数百场讲座、动手实验和别具特色的展览及活动将一一为您呈现。来自微软美国总部及微软中国的技术专家将与您全方位交流微软的最新产品及技术,深入探讨前沿发展趋势。您不仅可以亲自体验最新产品及技术,了解创建、部署和管理企业IT系统的知识及解决方案,更有机会结识上百位微软专家、微软合作伙伴及行业权威、数千位业界专业人士,与之面对面直接对话,感受智慧与经验的碰撞、灵感与创新的交锋。
以创新挖掘潜力,以经典创造价值,微软Tech·Ed 将全方位点燃您的激情,让您掌控新机、赢得未来!
利用 IPSec 阻截 ARP Frame 欺骗式挂马攻击
如今的黑客可是了不得,什么办法都能想出来,这不最近就遭遇到了这种挂马攻击方法,它通过 ARP Frame 来实现的。也就是说通过 ARP 来实现网关欺骗之后在 TCP/IP 中加入 Frame,而这个 Frame 中则包含了恶意的代码,可以使每个用户在打开页面后自动在当前页面中加入木马程序。
起初发现的时候是很多用户报自己的运营系统只要打开就会提示有病毒,很奇怪!服务器本身做过了安全加固,虽然不能说绝对符合某个级别的安全标准但是应对一些伪客们还是绰绰有余的。难道有人蓄意入侵了服务器在其上安插了rootkit?!赶忙登录服务器进行检查并未发现可疑的进程,察看了进程的模块信息也未发现有可疑的rootkit模块,问题出在哪里了呢?此时有大量用户通知数台服务器均在访问中提示有病毒,赶忙察看发现截获的木马网址都是同一个,真是有意思,难道是有人蓄意攻击?
重新对服务器进行了检查,排查范围小至可疑的文件日期,但是直觉告诉自己问题应该不是出在服务器,于是立刻是用“arp -a”命令获取到了默认网关的 MAC 地址,联络线路运维中心的工作人员进行查证,得知默认网关的 MAC 地址是错误的,看来找到了原因,子网内有服务器感染了 ARP 病毒!并且通过 ARP 欺骗后在 Frame 中添加了恶意代码,才会导致所有访问的用户会收到病毒的提示,并且用户下载后的页面中确实存在恶意代码,但是在服务器上看反而没有!通过 MAC 地址找到了被感染的机器 ban 掉后,子网恢复了正常!BS 机房线路运维,技术知识有待提高,服务质量有待增强,网管系统迫切需要升级!垃圾,他们之前压根就检测不到有 ARP 真服了。
今天又出现了这个问题,通知了线路运维那边没有任何反应,看来只能自己想办法了,首先要解决的就是保证用户们访问运营系统的时候不会提示有病毒,仔细想一下病毒的原理,顿悟!它既然要在 Frame 中加入恶意代码,那么必然要将数据报返回给我的服务器,OK!
使用 IPSec 阻止同子网所有服务器访问本机,切断联系!但是为了保证同子网可信赖服务器能够正常访问本机还要添加一条允许规则。这样以来除了可以阻截 ARP Frame 的欺骗攻击还可以杜绝其他安全威胁!为了实施这项步骤工作,我们需要运行“gpedit.msc”打开GPO管理器,之后在“计算机配置”下找到“Windows 设置”,展开其下的“安全设置”,点击“IP 安全策略,在本地计算机”,然后我们创建一条新的IP 安全策略,之后添加IP安全规则,首先为了确保不出现意外,应当先添加允许信赖的计算机访问本机的任何或指定的协议,最后再添加阻止特定子网的计算机访问本机所有或指定的协议。配置完毕之后,鼠标右击该安全策略并点击“指派”,为了让 IPSEC 立刻生效,建议在 cmd 环境下执行“gpupdate /force”。
另外需要注意的是这些操作都是在工作组环境下进行的。
如果要配置的IP比较多,可以使用微软 Support Tools 工具集中的“IPSeccmd”命令来进行配置。可以参考这个网址:http://support.microsoft.com/kb/813878/zh-cn
