妙用篩選管理系統

引言： 在系統管理中，管理員需要面對數量眾多，類別各異的處理對象，這就要求管理員根據具體情況，從大量的信息中篩選出真正需要管控的目標，這樣才能靈活自如地提高系統運行效率。本文就從不同的角度，介紹各種篩選操作的方法和技巧。

對DHCP地址進行篩選

利用DHCP服務器，可以快速分發IP地址。但是，對于有些客戶端，管理員并不希望為使其自動獲取IP。利用DHCP篩選器功能，可以基于MAC地址的方式，對客戶端的請求進行過濾，允許或者禁止其獲得IP。例如，在Windows Server 2012的DHCP管理器左側選擇“IPv4”項，在其右鍵菜單上點擊“屬性”項，在彈出窗口中的“篩選器”面板（如圖1）中選擇“啟用允許列表”和“啟用拒絕列表”項，保存配置后，在DHCP管理器左側選擇“篩選器→拒絕”項，在右鍵菜單上點擊“新建篩選器”項，輸入目標MAC地址以及描述信息，點擊“添加”按鈕，將其添加進來。按照同樣的方法，可以將多個MAC地址導入到禁用列表中。這樣，在對應客戶端執行“ipconfig/renew”命令，就無法獲取IP地址。當然，管理員可以根據情況，在禁用項的右鍵菜單上點擊“移動以允許”項，讓對應的客戶端可以正常獲取IP。

圖1 DHCP屬性設置窗口

設置輸入/輸出IP篩選器

對于處于不同網段中的主機來說，需要借助于路由器進行訪問。例如，可以在Windows Server 20012主機上安裝路由和遠程訪問組件，來充當路由器的角色，可以連接兩個不同的網段。例如，可以允許IP為192.168.1.50的PC1和IP為192.168.2.50的PC2兩臺主機進行通訊。在有些時候，管理員可能希望對雙方的通訊進行控制，只允許PC2對PC1進行Ping探測，不允許PC1對PC2進行Ping探測等。這就需要使用IP篩選器功能來實現。例如，在Windows Server 20012主機打開路由和遠程訪問管理器，在左側選擇“IPv4→常規”項，在右側選擇和IP為192.168.2.1端口關聯的本地連接項目。

在其屬性窗口中點擊“出站篩選器”按鈕，在出站篩選器窗口中點擊“新建”按鈕，在打開窗口中選擇“源網絡”項，在“IP地址”欄中 輸入“192.168.1.50”，在“子網掩碼”欄中輸入“255.255.255.0”。選擇“目標網絡”項，在，在“IP地址”欄中輸入“192.168.2.50”，在“子網掩碼”欄中輸入“255.255.255.0”。在“協議”列表中選擇的“ICMP”項，在“ICMP類型”欄中輸入“8”，在“ICMP代碼”欄中輸入“255”，點擊確定按鈕，在列表中選擇該篩選器，選擇“傳輸所有除符合下列條件以外的數據包”項。點擊確定按鈕保存配置，這樣，就實現了以上的管控要求，即PC2可以Ping探測PC1，而PC1是禁止Ping探測PC2的。

圖2 設置請求篩選項目

對Web訪問請求進行篩選

利用IIS組件，可以很方便地架設網站。在處理用戶訪問請求時，管理員可以根據實際情況，對其進行篩選，只允許其訪問指定的內容。當然，這要去在IIS角色中選用了“請求篩選”組件。在IIS管理器左側選擇對應的網站，在右側雙擊“請求篩選”項，在其中的“文件擴展名”面板中（如圖2）可以針對文件擴展名設置對應的規則，例如在右側點擊“拒絕文件擴展名”鏈接，輸入所需的擴展名（例如“.asp”）項，這樣當用戶試圖訪問網站中的ASP文件時，就會被系統拒絕。在“隱藏段”面板中點擊“添加隱藏段”鏈接，在彈出窗口中輸入需要隱藏的內容（例如目錄，文件名等），這樣客戶端就無法查看這些隱藏的內容。

在“URL”面板中可以編輯允許或者拒絕訪問的地址，例如點擊“拒絕序列”鏈接，輸入對應的URL（例如“/data/show.html”）等。這樣，當用戶訪問包含該URL的地址時，就會被IIS拒絕。在“HTTP謂詞”面板中點擊“拒絕謂詞”鏈接，在彈出窗口中輸入對應的謂詞（例如‘Post”），這樣，當用戶在對應頁面中輸入所需內容，點擊“提交”按鈕后，服務器就會拒絕其提交數據的操作。在客戶端發送名的數據包中，實際上包 含“Host”、“ACCEPT”、“CONTENT-TYPE”、“SET-COOKIE”等標頭信息，管理員可以根據情況，對其進行過濾。在“標頭”面板右側點擊“添加標頭”鏈接，在彈出窗口中的“標頭”欄中輸入具體的標頭名，在“大小限制”欄中輸入允許提交的數據大小。

這樣，如客戶端提交的這類標頭后面跟隨的數據量過大時，就禁止其訪問動作。這樣的好處在于可以防止不法用戶通過構建特殊數據包的辦法，來對網站進行襲擾。如果網站提供了查詢功能，管理員可以根據需要，對用戶查詢的數據進行管控。在“查詢字符串”面板右側點擊“拒絕查詢字符串”鏈接，輸入需要拒絕的內容。這樣，當客戶端試圖查詢非法的數據時就會遭到攔截。上述篩選項目其實都可以在“規則”面板進行集成管理，在該面板中點擊“添加篩選規則”鏈接，輸入規則名稱，選擇“掃描url”和“掃描查詢字符串”項，在“掃描標頭”、“文件擴展名”以及“字符串”欄中輸入對應的內容，針對的特定的標頭，允許訪問特定的文件擴展名，拒絕訪問特定的字符串。

在組策略中實現安全篩選

在域環境中，利用組策略可以高效管理網絡。在應用組策略之前，必須創建對應的組策略對象GPO，并對其進行合理的編輯。之后將該GPO鏈接到目標容器中，在該容器中的所有用戶或計算機就會應用這些組策略設置。如果想針對特定的組、用戶或者計算機，來應用組策略配置信息的話，就需要借助于安全篩選來實現。在組策略管理器左側選擇某個容器中的GPO，在右側的“安全篩選”可以看到，在默認情況下，經過身份驗證的用戶是可以應用該GPO的。

為了實現上述要求，選擇“Authenticated Users”項，點擊“刪除”按鈕將其刪除。點擊“添加”按鈕，導入特定的賬戶和組（例如“Domain Users”）。這樣，這些用戶就可以應用該GPO。實際上，在域控上打開“C:WindowsSYSVOLxxx.comPolicies”目錄，在其中顯示和組策略對象關聯的數據。選擇其中某個文件夾，在其屬性窗口中的“安全”面板點擊“編輯”按鈕，可以看到上述導入的用戶和組其實是擁有了“讀取和執行”、“列出文件夾內容”、“讀取”等權限，對該目錄具有合理的訪問權限，才可以讀取和設置相應的組策略信息。

在組策略中實現WMI篩選

除了安全篩選外，組策略還提供了WMI篩選功能，實現更加精細的篩選操作。利用該功能，就可以依據用戶或計算機特定的屬性，來過濾組策略對象應用的范圍。例如，可以針對目標容器中安裝了Windows 8.1的計算機，或者使用了AMD CPU的計算機才可以應用組策略對象等。在使用之前，需要下載和安裝WMITools工具。在“WMI Tools”程序組中運行“WMI Object Browser”程序，在打開的網頁中選擇“允許阻止的內容”項，在“Connect to namespace”窗口中可以輸入要鏈接到的WMI的命令空間，可以采用默認值，點擊OK按鈕，在WMI對象瀏覽器界面左側打開“Win32_ComputerSystem“DC””項，在其下顯示很多類別。例如選擇“Win32_SystemOperatingSystem.PartComponent” →“Win32_OperatingSystem=@”，在右側就可以查看和操作系統相關的屬性。例如操作系統名稱、版本號等。

依據這些信息，就可以創建WMI篩選器。在組策略管理窗口左側選擇“WMI篩選器”項，在其右鍵菜單上點擊“新建”項，在彈出窗口中輸入其名稱，點擊“添加”按鈕，在WMI查詢窗口中火速如命名空間名稱，例如默認值為“rootCIMv2”。在“查詢”欄中輸入所需的查詢語句，例如“select*from Win32_OperationSystem where Caption ="Microsoft Windows Server 2008 Enterprise"”，表示僅僅針對安裝了Windows 2008企業版的計算機應用組策略對象。在組策略管理窗口左側選擇目標GPO，在右側窗口中的“作用域”面板中的“WMI篩選”列表中選擇所需的WMI篩選器項即可。

利用防火墻對端口進行篩選

當黑客試圖入侵目標主機之前，一般都會利用掃描工具對其進行掃描，來探測其開啟了哪些端口。利用這些端口信息，黑客就可以知曉該機上開啟了哪些服務，進而利用各種系統漏洞和黑客工具，對目標主機進行滲透。為了提高安全性，管理員可以將無關的端口全部關閉，只開啟正常的端口即可。

圖3 篩選日志界面

運 行“firewall.cpl” 程序，在Windows防火墻窗口左側點擊“高級設置”項，在高級安全Windows防火墻窗口左側的“入站規則”項的右鍵菜單上點擊“新建規則”項，在向導界面中選擇“端口”項，在下一步窗口中選擇該規則應用于TCP還是UDP協議，選擇“特定本地端口”項，輸入過濾的端口，例如“21,80,3389,5000-5010”等，端口之間以逗號分隔。點擊下一步按鈕，選擇“允許連接”或者“只允許安全連接”項。之后依次完成所需的操作，創建該規則，這樣，只允許特定的端口對外開放，有效地保護了系統安全。

使用篩選快速查詢系統日志

在系統運行過程中，所有的活動信息幾乎都會被記錄到系統日志中。通過對日志進行分析，可以有效排除故障，保證系統穩定工作。

但是，系統記錄的日志條目非常多，采用查詢的話效率很地下。使用日志過濾功能，可以快速定位所需的日志信息。

在事件查看器中點擊菜單“操作→篩選當前日志”項，可以按照記錄時間，事件級別、事件ID、任務類別、關鍵字，用戶以及計算機的設置等項目，對日志進行篩選操作（如圖3）。

例如，在“記錄時間”列表中選擇“最后7天”項，針對安全日志進行篩選，點擊確定按鈕，就只顯示最近七天的安全日志信息。也可以針對事件進行過濾，在“時間級別”欄中選擇關鍵、警告、詳細、錯誤、信息等類別，選擇合適的事件來源和ID（例 如“5152,5153-5156,-5155”，多個ID以逗號分隔,對于需要排除的ID，可以在前面添加“-”符號），點擊確定按鈕，所有符合條件的日志就會顯示出來。