第11章远程监控工具.ppt

第11章远程监控工具 第11章远程监控工具 11.1 Windows远程桌面远程桌面 11.2 网络警网络警AnyView 11.3 网络执法官网络执法官 11.4 反弹式反弹式HTTPHTTP隧道远程隧道远程监控工具监控工具 11.5 远程控制工具远程控制工具 11.6 网路岗第四代企业版网路岗第四代企业版 11.7 常用捆绑工具常用捆绑工具 习题习题11 第11章远程监控工具 11.1 Windows远程桌面远程桌面 1.添加添加Windows XP新用户新用户在WindowsXP中添加用户的操作步骤如下：用鼠标右键单击桌面上“我的电脑”图标，在快捷菜单中执行“管理”命令，打开“计算机管理器”窗口，如图11-1所示。在左侧窗格中，选择“本地用户和组”选项下的“用户”后，在右侧窗格中空白处单击右键，在快捷菜单中执行“新用户”命令，打开“新用户”对话框。填写用户名、密码等信息，单击“创建”按钮。第11章远程监控工具 图11-1添加新用户第11章远程监控工具 2.设置防火墙设置防火墙如果启用了WindowsXP自带的防火墙，默认情况下用户是无法远程登录本计算机的。因此在使用远程桌面之前需要适当设置WindowsXP的防火墙，允许用户的远程登录。设置Windows防火墙的方法如下：在Windows控制面板中，双击“Windows防火墙”图标。在打开的对话框中单击“高级”选项卡，如图11-2所示，单击“设置”按钮，打开“高级设置”对话框。第11章远程监控工具 图11-2设置Windows防火墙第11章远程监控工具 在“服务”选项卡中选中“远程桌面”复选框，并在弹出的“服务设置”对话框中设置必要的参数，如计算机名或IP地址，设置完毕后单击“确定”按钮。此时，Windows将允许用户通过防火墙访问本计算机的“远程桌面”服务。从图11-2中可以看到WindowsXP的远程桌面服务，使用了TCP3389端口。第11章远程监控工具 3.启用远程桌面启用远程桌面在WindowsXP中，可以启动远程桌面功能，方法如下：用鼠标右键单击桌面上“我的电脑”图标，在快捷菜单中执行“属性”命令。在“系统属性”对话框中，单击“远程”选项卡，如图11-3所示。在“远程桌面”下，选中“允许用户远程连接到此计算机”复选框，单击“选择远程用户”按钮，打开“远程桌面用户”对话框。缺省地，当前“计算机管理员”用户自动拥有远程登录本计算机的权限。如果希望其他用户也拥有此权限，可单击“添加”按钮，在打开的对话框中单击“添加”按钮按屏幕提示选择用户。第11章远程监控工具 图11-3启用远程桌面功能第11章远程监控工具 远程登录本计算机使用“远程桌面”服务的用户选择完毕后，在“选择用户”对话框中，如图11-4所示，单击“确定”按钮。图11-4选择远程桌面用户第11章远程监控工具 4.远程登录远程登录如果远程WindowsXP主机开启了“远程桌面”，且已经知道了该计算机的IP地址，以及使用“远程桌面”服务权限的用户名和密码，这时就可以使用WindowsXP提供的“远程桌面”客户端程序登录该计算机，具体步骤如下：执行WindowsXP“开始”菜单“所有程序”组“附件”项“通讯”子项中的“远程桌面”命令，打开“远程桌面连接”登录对话框，如图11-5所示。第11章远程监控工具 在“计算机”栏中输入目标主机的IP地址，如果是局域网同一网段的主机也可使用主机名。单击“选项”按钮，对话框下方多出了一些选项。单击“显示”选项卡，如图11-6所示，可设置远程桌面的大小、颜色等参数。如果是通过Internet连接目标主机，可能会遇到网络带宽的限制及网络稳定性的限制，此时应当设置较小的桌面大小和较低的颜色数，以减少对网络质量的要求。第11章远程监控工具 图11-5远程桌面连接第11章远程监控工具 图11-6“远程桌面连接”框中的“显示”选项卡第11章远程监控工具 所有参数设置完毕后，单击“连接”按钮，即可看到我们熟悉的Windows登录对话框。输入具有远程登录权限的用户名和密码后，单击“确定”按钮，即可看到远程主机的桌面，用户可以像操作本地机一样操作远程主机。退出远程桌面时，应执行目标主机Windows“开始”菜单中的“断开”或“注销”命令。第11章远程监控工具 11.2 网络警网络警AnyView 11.2.1 安装和设置安装和设置AnyView1.AnyView引擎的安装位置引擎的安装位置如果通过代理服务器/NAT服务器上网，那么将AnyView引擎安装在这台代理服务器所在的计算机上即可。如果局域网中各计算机由共享式的HUB连成网络，那么AnyView引擎可以安装在局域网上的任一台机器上，如图11-7所示。第11章远程监控工具 如果通过交换机路由器连接方式，即局域网使用交换机并且使用硬件路由器接入互联网，那么需要在路由器和交换机之间增加一台共享式HUB，并将AnyView引擎安装在与HUB连接的计算机中，如图11-8所示。第11章远程监控工具 共享式HUBAnyViewInternet客户机代理服务器图11-7网络连接方式一第11章远程监控工具 图11-8网络连接方式二第11章远程监控工具 2.安装和设置安装和设置AnyView引擎引擎本例假定网络连接方式为代理服务器通过双网卡接入Internet，现将AnyView引擎和客户端(管理软件)都安装在代理服务器所在的计算机上。双击软件包中的“AnyView_Server_3.exe”程序，并按屏幕提示逐步完成安装工作，最后重新启动计算机，使AnyView引擎开始工作(程序会自动加载，无需用户干预)。第11章远程监控工具 执行“多用户管理器”命令，打开如图11-9所示的对话框。初次使用时管理员“Admin”密码为空，可直接单击“解除锁定”按钮，进入用户管理界面。在选中某用户名称后，单击“修改密码”按钮，可为用户设置新的密码。单击“添加用户”或在选中某用户后单击“删除用户”，可实现对管理用户的增删。在选择了某一用户后，单击“添加对象”按钮，可以指定该用户能够管理的计算机。单击“确定”按钮退出程序。如果希望设置生效，则应在“开始”菜单中执行“停止AnyView”和“启动AnyView”各一次(即使AnyView重新启动一次)。第11章远程监控工具 图11-9设置管理用户第11章远程监控工具 3.安装和设置管理机安装和设置管理机双击软件包中的“AnyView_Client_3.exe”程序，按屏幕提示完成安装工作。安装后，进行如下设置：执 行“开 始”菜 单“Amoisoft AnyView 3”组 中“Client”下的“AnyView客户端”命令。第一次运行时，会出现一个“每日提示”信息框，其中显示了关于本软件的一些资料，取消“启动时显示”复选框后，单击“关闭”按钮，打开如图11-10所示的登录对话框。第11章远程监控工具 图11-10客户端登录对话框第11章远程监控工具 单击“设置”按钮，在打开的对话框中，指定从何时开始传送日志信息(即用户访问网络的信息)，可以是从上次结束时，也可以是指定的起始时间。如果在设置多用户管理模式时更改了管理员密码，此时应输入密码，单击“登录”按钮，在进入管理界面(如果客户机与AnyView引擎没有安装在同一计算机中，应在“服务器”栏中输入服务器地址)。单击工具栏中的“选项”按钮，打开如图11-11所示的对话框，在“服务器”选项卡中，指定要监控的网卡(一般为连接局域网的网卡)。单击“客户端”选项卡，打开如图11-12所示的对话框，在此可以设置客户端的密码等。第11章远程监控工具 图11-11选择要监控的网卡第11章远程监控工具 图11-12设置客户端选项第11章远程监控工具 单击“监控对象”选项卡，打开如图11-13所示的对话框，单击“设置监控对象”按钮，在打开的对话框中，选中了某用户后单击按钮，将其添加到被控对象列表中。图11-13设置监控对象第11章远程监控工具 11.2.2 使用使用AnyView经过前面的正确设置，AnyView客户端程序启动后，网络中存在的活动主机会逐步地显示到如图11-14所示的用户列表中，用户图标为红色的表示当前不在控制中，绿色图标的用户表示正在被监控。第11章远程监控工具 图11-14监控界面第11章远程监控工具 1.监控用户的网络活动监控用户的网络活动在每个用户名下都有“收件箱”、“发件箱”、“网页箱”和“Ftp箱”四项内容，分别存放着被控用户访问的网页、收到的邮件、发送的邮件和通过FTP上传的文件信息。在各箱名称的后面显示有一些数字，表示新近截获的内容(管理员没有查看过的内容)。单击各箱名称，其中的具体信息将显示到右窗格中，图11-14中表示的是被控用户查看过的网页信息。第11章远程监控工具 单击“收件箱”或“发件箱”，可在右窗格中查看被控用户发送或接收邮件的详细内容。如果用户是通过WebMail方式发送或接收的邮件，则可在“网页箱”中看到其内容。单击窗口下方“聊天行为监视”选项卡，可以看到被控用户使用聊天工具的情况，如图11-15所示。第11章远程监控工具 图11-15聊天行为监视第11章远程监控工具 2.控制用户的上网行为控制用户的上网行为单击工具栏中“阻断”按钮，打开如图11-16所示的对话框。通过该对话框的设置，可实现对被控用户的“网页过滤”、“邮件过滤”、“聊天过滤”，在“其他”选项卡中可以设置FTP阻断和QQ阻断。如图11-17所示的是用于限制用户使用电子邮件的设置选项。第11章远程监控工具 图11-16限制浏览网页选项第11章远程监控工具 图11-17限制使用电子邮件的选项第11章远程监控工具 11.3 网络执法官网络执法官 11.3.1 安装网络执法官安装网络执法官该软件是一个共享软件，只有在注册之后才能获得全部功能。用户可以通过Internet搜索并下载试用版。安装程序下载后，双击开始安装。在选择安装位置对话框中，一般取缺省安装位置，单击“下一步”按钮。经过短暂的文件复制过程，在“已完成”对话框中单击“关闭”按钮结束安装。此时，安装程序会根据计算机实际情况，提示是否安装“WinPcap”驱动程序。一般在Windows2000或WindowsXP环境中，若该驱动程序已安装，就不要再重复安装。第11章远程监控工具 11.3.2 使用网络执法官使用网络执法官执行“开始”菜单“所有程序”中“网络执法官v2.75”下的“NetRobocop”命令，启动程序，然后按照下面的操作步骤进行：选择监控所用的网卡，如图11-18所示，选择完毕单击“确定”按钮。在选择监控范围对话框中，如图11-19所示，可修改监控范围，并单击“添加/修改”按钮，将其添加到监控网段列表中，单击“确定”按钮。第11章远程监控工具 图11-18选择监控使用的网卡第11章远程监控工具 图11-19选择监控范围第11章远程监控工具 在如图11-20所示的程序主界面的“本机状态”选项卡中，可以看到当前本计算机的“网卡参数”、“IP收发”、“TCP收发”和“UDP收发”四类数据。第11章远程监控工具 图11-20本机状态列表第11章远程监控工具 单击“用户列表”选项卡，打开如图11-21所示的对话框。其中列出了当前在被控地址段内所有活动的计算机的MAC地址、状态(在线或离线，状态屏幕为灰色表示离线)、主机名、上线时间、下线时间及网卡的注释信息。第11章远程监控工具 图11-21用户列表第11章远程监控工具 在“用户列表”中双击某一主机，打开如图11-22所示的对话框，单击“权限设定”按钮，打开如图11-23所示的对话框。在此，管理员可以指定该计算机允许使用的或禁止使用的IP地址段、指定该计算机允许或禁止上网的时段。选择“发现该用户与网络连接即进行管理”项后，可以执行具体的“管理”方式。可用的方式有以下三种：第11章远程监控工具 产生IP冲突警告：在被控主机屏幕上连续产生IP地址冲突警告，使之无法正常运行。禁止与关键主机的TCP/IP连接：断开被控主机与网关或代理服务器的连接，使之无法访问网络。但不断开与管理计算机的连接。禁止与所有主机的TCP/IP连接：使被控主机无法与任何计算机通信。但不断开与管理计算机的连接。第11章远程监控工具 图11-22“用户属性”对话框第11章远程监控工具 图11-23“设定用户权限”对话框第11章远程监控工具 单击“关键主机”按钮，打开如图11-24所示的对话框。管理员可以指定关键主机(通常是网关、路由器或代理服务器)的IP地址，可以指定多个关键主机IP地址(最多为32台)。输入完毕后，单击“添加”按钮将该地址指定为关键主机地址。第11章远程监控工具 图11-24指定关键主机第11章远程监控工具 执行主窗口“设置”菜单中的“默认权限”命令，打开类似用户权限设置对话框的窗口。使用该对话框，可以指定当发现没有登记的“新”计算机时的处理方法及“新”计算机拥有的权限。例如“发现新用户后立即管理”，并拒绝其与“关键主机”连接等。执行“设置”菜单中的“安全”命令，可以设置“发现非法用户”时的处理方法及发现网络中有人运行v2.0以下版本时加以禁止等选项。第11章远程监控工具 11.4 反弹式反弹式HTTP隧道远程监控工具隧道远程监控工具PcShare 11.4.1 安装和设置安装和设置PcShare1.安装该 软 件 可 在 20CN网 络 安 全 小 组 网 站(http:/)上下载。下载完毕后，通过WinRAR解压到一个文件夹，其中应包含有3个文件（PcShare.exe、help.chm和readme.txt）。软件无需安装，直接双击文件夹中的“PcShare.exe”启动程序，程序界面如图11-25所示。第11章远程监控工具 图11-25PcShare程序界面第11章远程监控工具 2.设置如果不希望自己的计算机信息显示在界面中，或者需要设置连接的客户机数量等，可以通过下面的方法进行设置：单击工具栏中的“参数设置”按钮，打开“系统参数设置”对话框，如图11-26所示。取消“程序启动时建立本地计算机连接”复选框。在此对话框中，还可以设置程序监听的端口号，缺省值为33333。设置最大客户机连接数，缺省值为999台。单击“确定”按钮使设置生效。此时在程序文件夹中，将自动出现一个用于将来得到客户机文件时使用的文件夹“TransFile”和一个系统配置文件“PcShare.ini”。第11章远程监控工具 图11-26设置系统参数第11章远程监控工具 3.查询查询IP地址地址使用PcShare软件的用户，需要有一个固定的IP地址。如果地址是动态分配的，可执行Windows“附件”菜单中的“命令提示符”命令进入DOS窗口，执行“ipconfig”命令，读取标记有“IPAddress”行后面的数据，即为当前使用的IP地址。需要注意的是，动态分配的地址不是永远不变的。对于没有固定IP地址的用户可以采用申请动态域名的方法，使自己在网络中有一个永久性的标识。第11章远程监控工具 11.4.2 使用使用PcShare1.生成客户端程序生成客户端程序生成客户端程序的方法如下：单击工具栏中“生成客户端”按钮。在“生成客户端执行程序”对话框中，如图11-27所示，填入本机的静态IP地址或动态主机域名，指定上线端口号，以及是否在Windows任务栏中显示图标，如果不希望被控主机看到该程序的运行，应当取消该复选框。第11章远程监控工具 图11-27生成客户端程序第11章远程监控工具 单击“生成”按钮，在“另存为”对话框中，选择文件保存的位置和名称。若不希望很容易地被客户机用户发现该程序在运行，应当为程序起一个适当的名字。单击“保存”按钮，程序返回到生成客户端界面，单击“取消”按钮退出。此时，在指定的文件夹中将出现已保存的客户端程序。第11章远程监控工具 2.使用使用PcShare监控远程计算机监控远程计算机将前面生成的客户端程序复制到客户机的某个文件夹中，也可以使用“捆绑机”一类的软件将其捆绑到某些合法的文件中，通过各种渠道传输给客户，在不知不觉中让对方为自己运行该程序。客户机程序一旦运行，本计算机窗口中立即会显示出相应的信息，如图11-28所示。如本例中一台地址为“218.198.48.131”，名为“DNS2”的主机连接到了控制中心，其有关信息也被显示到了程序界面中。第11章远程监控工具 图11-28被监控主机信息第11章远程监控工具 图11-29客户端管理窗口第11章远程监控工具 下面介绍其中的常用选项，内容如下：(1)屏幕监控：用于同步显示对方计算机的屏幕信息，查看对方正在进行的操作。(2)目录浏览：单击该选项卡，窗口出现一个类似资源管理器的界面，如图11-30所示。这就是对方计算机中所有文件列表。用鼠标右键单击某一可执行文件，在快捷菜单中可选择“远程运行”，并可指定运行方式是“正常运行”或是“隐藏运行”(后台运行)。也可以执行文件或文件夹的“后台下载”，及其他一些文件的常规操作。第11章远程监控工具 图11-30操作被控计算机的文件第11章远程监控工具(3)进程列表：单击该选项卡，窗口中出现如图11-31所示的界面，表中列出了当前对方计算机中正在运行的进程，用鼠标右键单击某一进程名称，在快捷菜单中可强制终止某些进程。图11-31管理被控计算机的进程第11章远程监控工具(4)注册表编辑器：单击该选项卡，窗口中出现如图11-32所示的界面，可以像操作自己的计算机一样修改对方计算机的注册表。图11-32 操作被控计算机的注册表第11章远程监控工具(5)键盘记录：单击该选项卡，窗口中出现如图11-33所示的界面，远程用户所有的键盘活动均会被显示到该界面中，通过这种方式获取对方某些用户名和密码是最简单不过的了。图11-33监视被控计算机的键盘活动第11章远程监控工具 3.客户端防范方法客户端防范方法PcShare程序若被用于非法目的，显然会给用户带来极大的损失。但由于这类软件利用了反弹式，通信方面采用了HTTP隧道的缘故，所以没有适当设置规则的防火墙、普通杀毒软件均不能发现其活动。通过前面的学习，可以知道PcShare实际上是一种典型的“木马”程序，使用“木马克星”软件就可以有效地进行查杀，如图11-34所示。第11章远程监控工具 图11-34用木马克星查杀PcShare第11章远程监控工具 另外，在客户计算机上执行“netstat”命令，即可看到本计算机“DNS2”与远程计算机“PC8”已经建立了一个连接，“State”(状态)为“ESTABLISHED”(已连接)，如图11-35所示。显然，“netstat”命令是查看网络连接状态并及时发现问题的好助手。关于该命令的详细使用方法和有关参数，请读者自行查阅有关资料。第11章远程监控工具 图11-35利用netstat命令查看连接情况第11章远程监控工具 11.5 远程控制工具远程控制工具DameWare NT Utilities 11.5.1 安装安装DameWare使用Internet搜索引擎查找并下载安装程序。软件下载后，双击运行其安装程序，如本例的“HA_DNTU_4001_WestKing.exe”。软件的安装过程十分简单，用户可按照屏幕提示顺利完成安装。如果在安装过程中，选中了“安装完成后开始运行程序”复选框，则在安装过程结束后软件将自动运行，并显示程序界面，如图11-36所示。第11章远程监控工具 图11-36程序主界面第11章远程监控工具 11.5.2 使用使用DameWare进行远程控制进行远程控制程序启动后，执行“开始”菜单中的“DameWareNTUtilities”程序组下的“DameWareMiniRemoteControl”(微型远程控制)命令，打开“远程连接”对话框，如图11-37所示。第11章远程监控工具 图11-37“远程连接”对话框第11章远程监控工具 输入远程主机的IP地址、具有管理员权限的用户名和相应的密码。为了使远程控制符合用户的需要，可单击“设置”按钮，打开“属性”对话框，单击“安装选项”选项卡。一般应选中“断开连接时停止服务”或“断开连接时删除服务”。这样可在结束控制时将程序从内存中删除，或将服务相关文件删除。选中“复制配置文件DWRCS.INI”复选框后，单击“查看”按钮，程序将调用Windows“记事本”程序打开该文件，其内容如图11-38所示。该配置文件决定了DameWare在执行远程控制时的一些属性。缺省情况下在实施远程控制时，会在被控主机的屏幕上显示一个信息框，并在其任务栏中显示DameWare程序图标。第11章远程监控工具 图11-38DWRCS.INI文件内容第11章远程监控工具 如 果 不 希 望 这 些 信 息 出 现，应 在 配 置 文 件 的“Settings”下一行(不要留任何空行)添加如下内容，其中第6行和第8行用于解决上述问题。Port=6129AdgangNTLM=YesAdgang1=Adgang2=Adgang3=0Notify On New Connection=NoPermissionRequired=No第11章远程监控工具 Show SysTray Icon=NoPermissionRequiredfornonAdmin=YesOnDisconnectLogoffDesktop=NoForceApplicationsClose=NoOnDisconnectLockWorkstation=NoLogonAtLogonDesktopOnly=NoEnableAddClientConnectionMenu=YesEnableDisconnectionMenu=Yes第11章远程监控工具 需要注意的是，只有在正确注册的版本中上述配置才有效。设置完毕后，单击“确定”按钮返回“远程连接”对话框。单击“连接”按钮。如果被控主机尚未安装DameWare服务，将显示如图11-39所示的对话框，单击“确定”按钮。经过一段时间“复制文件”和“启动服务”，在DameWare主机屏幕上显示出远程主机的当前屏幕。第11章远程监控工具 图图11-39 在远程主机上安装远程控制服务在远程主机上安装远程控制服务 第11章远程监控工具 连接成功后，在DameWare主机上可以像操作自己的计算机一样操作远程主机。主要功能可使用如图11-40所示的远程屏幕窗口中工具栏按钮实现。图11-40远程控制工具栏第11章远程监控工具“连接”按钮：用于创建与远程主机的连接。处于连接状态时该按钮无效，呈灰色显示。“断开连接”按钮：用于断开当前与远程主机的连接，若当前没有任何连接则该按钮无效，呈灰色显示。“全屏查看”按钮：将远程主机屏幕以全屏方式或窗口方式，显示到本地计算机屏幕上。“发送Ctrl+Alt+Del键”按钮：相当于在被控主机键盘上按Ctrl+Alt+Del键。“锁定远程键盘和鼠标”按钮：锁定或解锁远程主机的键盘和鼠标。该按钮被按下后，被控主机的键盘和鼠标失效。第11章远程监控工具“仅仅查看”按钮：单击此按钮将控制方式切换到查看状态，此时不能操作远程主机。“显示警告边框”按钮：单击该按钮可打开或关闭显示在远程桌面窗口四周的警告边框。其他工具，如启用/禁用Windows热键按钮，是否将本地鼠标显示为点按钮，是否显示远程主机鼠标指针按钮，显示程序属性按钮，查看/编辑服务器端设置按钮等，它们的功能和其名称一致，这里不再赘述。如图11-41和图11-42所示的是单击“程序属性”按钮和单击“查看/编辑服务器端设置”按钮时打开的设置对话框。第11章远程监控工具 图11-41程序属性设置对话框第11章远程监控工具 图11-42服务器端设置对话框第11章远程监控工具 11.5.3 DameWare的其他操作的其他操作假设局域网中有一工作站“PC6”，其为Windows2000Professional操 作 系 统，并 已 通 过 管 理 员 帐 号 安 装 了DameWare服务。基于该情况进行下面的操作。在DameWare左窗格“浏览器”中，单击“服务器”或“工作站”列表中某主机前面的“”标记，弹出如图11-43所示的可进行管理或操作的项目。第11章远程监控工具 图11-43被控主机可被管理的项目第11章远程监控工具 1.查阅远程主机用户信息查阅远程主机用户信息DameWare启动后，会自动搜索本局域网内所有服务器、工作站的有关信息，并将可控制管理的项目显示在“浏览器”窗格中。在管理项目列表中，单击“用户”项，在右侧窗格中将显示出该主机用户列表。其中包括有用户名、全名、注释及其他一些有用的信息。第11章远程监控工具 2.操作远程主机的文件操作远程主机的文件使用DameWare可以方便地与远程主机进行文件上传或下载操作。例如，要将远程主机上的文件复制到本地机上，操作步骤如下：双击管理项目列表中的“共享”，在右窗格中显示类似如图11-44所示的信息。需要注意的是，不同配置的主机，内容会有所不同。第11章远程监控工具 图11-44与远程主机共享资源第11章远程监控工具 单击希望复制(删除、改名等)的文件或文件夹所在驱动器标记(如本例的E$)，在内容列表窗格中，将显示该驱动器中所有文件或文件夹名称。单击右键，在快捷菜单中执行相应的命令(如本例的“复制”）。切换到本计算机“我的电脑”或“资源浏览器”进入目标磁盘，在空白处单击右键，执行“粘贴”命令，即可完成文件或文件夹的复制操作。第11章远程监控工具 3.执行远程命令执行远程命令在管理项目列表中，单击“远程命令”前面的“”标记，在该项目下有“远程命令视图”和“远程命令控制台”两个选项。双击“远程命令视图”，在右窗格中显示如图11-45所示的窗口，在窗格下方输入希望在远程主机上执行的命令后按Enter键，即可显示出命令执行结果。本例在远程主机上执行了一个“netstat-an”命令，从执行结果中可以看到DameWare主机(218.198.48.88)与被控主机(218.198.48.66)通过TCP139端口建立了一个连接。第11章远程监控工具 命令执行结果命令输入栏图11-45执行远程命令第11章远程监控工具 4.查看或修改远程主机注册表查看或修改远程主机注册表在管理项目列表窗格中，双击“注册表”项，在右窗格中打开如图11-46所示的对话框。其样式与在本地计算机上执行“regedit”命令打开的Windows注册表编辑器的样式基本一致，操作方法完全相同。如果希望在注册表中搜索某关键词时，应单击窗口下方“搜索注册表中的文本”按钮，在“查找”对话框中完成搜索。第11章远程监控工具 图11-46搜索注册表关键字第11章远程监控工具 5.关闭或注销远程主机关闭或注销远程主机双击管理项目列表中的“关机”项，在右侧窗格中打开如图11-47所示的窗口。在窗口空白处单击鼠标右键，执行快捷菜单中相应命令可实现对远程主机的“关机”、“注销”、“断电”等操作。第11章远程监控工具 图11-47关闭远程计算机第11章远程监控工具 6.查看远程主机属性查看远程主机属性双击管理项目列表中“属性”项，在右侧窗格中打开远程主机属性对话框。该对话框分为“时间”、“版本”、“系统”、“显示”、“资源”、“环境变量”、“网络”、已安装的“修复补丁”几个选项卡，如图11-48和图11-49所示的是远程主机的“时间”和“系统”信息。利用这些信息可以对远程主机硬件及软件配置有更多的了解。第11章远程监控工具 图11-48远程主机时间属性第11章远程监控工具 图11-49远程主机系统属性第11章远程监控工具 7.管理远程主机的服务管理远程主机的服务双击管理项目列表中“服务”下的“服务视图”项，打开如图11-50所示的对话框。在服务选项卡中列出了远程主机已安装的所有服务及服务的当前状态(“运行中”或“已停止”)、启动方式(“手动”、“自动”或“禁用”)等信息。用鼠标指向某一服务单击右键，在快捷菜单中执行“停止服务”、“重启服务”、“安装服务”或“删除服务”命令可实现对远程主机服务的控制。第11章远程监控工具 图11-50控制远程主机上的服务第11章远程监控工具 如果希望改变某服务的启动方式，可执行快捷菜单中“服务属性”命令。在如图11-51所示的对话框中进行相应的设置。图11-51更改服务的启动方式第11章远程监控工具 11.6 网路岗第四代企业版网路岗第四代企业版“网路岗”可适用于不同的网络结构，一般小单位(小企业、网吧、规模较小的教育机构)中拥有的计算机数量大多在254台以(单网段)，以双网卡代理服务器上网，网络结构如图11-52所示。这种情况下仅需将“网路岗”软件安装在代理服务上即可实现控制。第11章远程监控工具 代理服务器监控软件用户计算机普通交换机Internet图11-52双网卡网络连接方式第11章远程监控工具 图11-53带路由器的单网段网络结构第11章远程监控工具 如果网络中使用了路由器，使用“网路岗”时可考虑如图11-53所示的安装方法。如果网络结构复杂，存在多个网段则可参考如图11-54所示的安装方法。本节主要介绍在单网段下使用代理服务器上网时，“网路岗”的安装设置方法。第11章远程监控工具 监控软件路由器网段192.168.2.X网段192.168.0.X网段192.168.1.X探测器探测器Internet图11-54多网段网络结构第11章远程监控工具 11.6.1 安装安装“网路岗网路岗”本例使用WindowsXP操作系统，安装有两块网卡分别用于连接Internet和企业内部网(Intranet)，在连接Internet的网卡上启用了Windows自带的“Internet连接共享”作为Internet连接通道。使用Internet搜索引擎搜索并下载软件的安装程序，双击“网路岗第四代企业黄金版”安装包中的“Sentry4Corp.exe”启动安装程序，与其他软件的安装过程相似，用户可根据屏幕提示顺利地完成安装。第11章远程监控工具 在Windows“开始”菜单“程序”组中将出现一个名为“网路岗.企业金版”的新组。如果是第一次在计算机中安装“网路岗”，还需要运行软件包中的“SentryDrv.exe”程序来安装Winpcap驱动。执行“网路岗.企业金版”程序组中的“网路岗.企业金版”命令，显示如图11-55所示的信息框，提示用户当前使用的是演示版，许多功能将无法正常使用，并且有时间限制。第11章远程监控工具 图11-55演示版提示第11章远程监控工具 11.6.2 “网路岗网路岗”的基本设置方法的基本设置方法1.绑定网卡及启动服务程序启动后，显示如图11-56所示的主界面。第11章远程监控工具 图11-56网路岗企业金版界面第11章远程监控工具 2.选择监控模式选择监控模式程序为用户提供了“基于网卡MAC”、“基于帐户”、“基于IP”和适用于多VLan情况的“混合模式”四种监控模式，如图11-57所示。本例选取了缺省模式“基于网卡MAC”模式。图11-57选择监控模式第11章远程监控工具 3.指定被控对象指定被控对象单击左窗格“监控策略”下的“基于网卡”项，查看是否有如图11-58所示的机器信息。如果没有，可用“搜索邻居”功能进行搜索。其中标记表示该机器被监控，标记表示该机器不被监控，标记表示该机器不被监控但也不允许上网。设置完毕后，单击左窗口中“保存设置”按钮。图11-58选择被控主机第11章远程监控工具 4.网络设置网络设置单击左窗格中“网络定义”项，在打开的对话框中单击“添加”按钮，在如图11-59所示的对话框中进行设置，本例的设置结果“内部网网段”和“因特网出口IP”如图11-60所示。在描述内部网段时，IP地址可以是网段中任意一个。第11章远程监控工具 图11-59定义IP地址段第11章远程监控工具 图11-60设置完毕网络接口第11章远程监控工具 如果内部网段有多个，例如“192.168.20.0”、“192.168.21.0”、“192.168.22.0”等。为了简化表达方式可表示为“192.168.20.2”，并设置子网掩码为“255.255.0.0”。因特网出口地址一般为被监控计算机网关的IP地址，如本例的“192.168.20.1”。第11章远程监控工具 5.检测设置的正确性检测设置的正确性执行“文件”菜单下的“现场观察”命令，打开如图11-61所示的窗口。在确保被测试的机器处于状态后，使用该机器访问某一网站(如等)。并留意“现场观察”窗口中是否有对应的信息；如果该窗口中能正确显示目标机器的上网情况，那么说明对该机器的监控是正常的，也说明对该机器的封堵也将起作用。“现场观察”记录中显示有被观察计算机的IP地址、网卡的MAC地址和访问网络资源的URL地址。执行“文件”菜单中的“导出”命令可将记录保存到一个.rtf文件中。第11章远程监控工具 图11-61用户访问网络的实时记录第11章远程监控工具 11.6.3 监控对象的上网行为监控对象的上网行为1.设置允许上网的时间设置允许上网的时间在左窗格中选择“基于网卡”的“监控策略”后，在右窗格中将打开如图11-62所示的对话框。在选择了被控计算机后，用鼠标在时间表上拖动以指定用户不可以上网的时间(白色区域)，也可在时间表上单击右键，在快捷菜单中执行相应的命令。本例设置计算机“192.168.20.2”周一到周四上班时间不可上网，周五全天不可上网。第11章远程监控工具 图11-62设置允许上网时间第11章远程监控工具 如果选择了“在禁止区，仍开放下列项目”中的“发送邮件(通过工具软件）”或“接收邮件(通过工具软件)”，则使用Outlook、Foxmail等软件的邮件处理操作不受限制。设置完毕后，单击“更新规则=192.168.20.2”按钮，或“更新规则=群组NewFolder属下的所有计算机”按钮保存设置。第11章远程监控工具 2.限制访问在“网页过滤”选项卡中，可以设置禁止访问的自定义网站列表(存放在文本文件中)，以及只允许访问的网站列表(存放在文本文件中)。在“过滤库”选项卡中，可以设置对某类网站(如“不良站点”、“聊天”、“股票”等)的过滤。在“上网反馈”选项卡中，设置当用户违反了过滤规则时的处理方法，可以显示文字信息或转到指定的URL。第11章远程监控工具 在“下载控制”选项卡中，可以指定禁止下载的文件类型，缺省时软件提供了“.mp3”、“.rar”和“.zip”三种类型，用户可单击“添加”按钮指定新的文件类型。在“封堵端口”选项卡中，如图11-63所示，可以禁止用户使用某些TCP/UDP端口。这样某些游戏(如联众、中国游戏中心、可乐吧等)、聊天工具(如ICQ、网易泡泡、MSN等)将无法使用。第11章远程监控工具 在“外发尺寸”选项卡中，可以指定“限制外发邮件大小”、“限制FTP上传文件大小”和“限制网页粘贴的文字长度”。这样可有效地避免公司的商业或技术机密通过上述渠道泄漏、失密。在“限制流量”选项卡中，如图11-64所示，可以设置是否对被控计算机限制流量，每周、每天、每小时、每刻钟、每分钟允许的流量大小。“当前累计流量”栏中显示有当前用户发生的总流量数据。第11章远程监控工具 图11-63封堵端口对话框第11章远程监控工具 图11-64限制流量对话框第11章远程监控工具 3.设置监控选项设置监控选项单击左窗格中“监控选项”下的“监控项目”，在右窗格中打开如图11-65所示的对话框。可以看到软件将监控项目分为“常见网络活动监控项目”和“外发资料的监控项目”两大类。设置时需要用鼠标单击项目名称前面的复选框，带有“”标记时表示监控该项目。第11章远程监控工具 图11-65设置监控项目第11章远程监控工具 4.查看日志查看日志执行“文件”菜单下“网络活动日志”或“外发资料日志”命令，可查看有关监控项目的日志内容。单击左窗格“监控档案”下“档案管理”项，在右窗格中将打开如图11-66所示的对话框。使用该对话框，可设置日志文件存放的位置、最多保存的天数等。第11章远程监控工具 图11-66档案管理对话框第11章远程监控工具 5.设置操作权限设置操作权限由于“网路岗企业版”软件具有强大的网络管理功能，并能对用户的网络活动进行监控，因而，应严格指定管理员权限，并设置相应的密码