引言： 在系統(tǒng)管理中，管理員需要面對(duì)數(shù)量眾多，類別各異的處理對(duì)象，這就要求管理員根據(jù)具體情況，從大量的信息中篩選出真正需要管控的目標(biāo)，這樣才能靈活自如地提高系統(tǒng)運(yùn)行效率。本文就從不同的角度，介紹各種篩選操作的方法和技巧。

對(duì)DHCP地址進(jìn)行篩選

利用DHCP服務(wù)器，可以快速分發(fā)IP地址。但是，對(duì)于有些客戶端，管理員并不希望為使其自動(dòng)獲取IP。利用DHCP篩選器功能，可以基于MAC地址的方式，對(duì)客戶端的請求進(jìn)行過濾，允許或者禁止其獲得IP。例如，在Windows Server 2012的DHCP管理器左側(cè)選擇“IPv4”項(xiàng)，在其右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在彈出窗口中的“篩選器”面板（如圖1）中選擇“啟用允許列表”和“啟用拒絕列表”項(xiàng)，保存配置后，在DHCP管理器左側(cè)選擇“篩選器→拒絕”項(xiàng)，在右鍵菜單上點(diǎn)擊“新建篩選器”項(xiàng)，輸入目標(biāo)MAC地址以及描述信息，點(diǎn)擊“添加”按鈕，將其添加進(jìn)來。按照同樣的方法，可以將多個(gè)MAC地址導(dǎo)入到禁用列表中。這樣，在對(duì)應(yīng)客戶端執(zhí)行“ipconfig/renew”命令，就無法獲取IP地址。當(dāng)然，管理員可以根據(jù)情況，在禁用項(xiàng)的右鍵菜單上點(diǎn)擊“移動(dòng)以允許”項(xiàng)，讓對(duì)應(yīng)的客戶端可以正常獲取IP。

圖1 DHCP屬性設(shè)置窗口

設(shè)置輸入/輸出IP篩選器

對(duì)于處于不同網(wǎng)段中的主機(jī)來說，需要借助于路由器進(jìn)行訪問。例如，可以在Windows Server 20012主機(jī)上安裝路由和遠(yuǎn)程訪問組件，來充當(dāng)路由器的角色，可以連接兩個(gè)不同的網(wǎng)段。例如，可以允許IP為192.168.1.50的PC1和IP為192.168.2.50的PC2兩臺(tái)主機(jī)進(jìn)行通訊。在有些時(shí)候，管理員可能希望對(duì)雙方的通訊進(jìn)行控制，只允許PC2對(duì)PC1進(jìn)行Ping探測，不允許PC1對(duì)PC2進(jìn)行Ping探測等。這就需要使用IP篩選器功能來實(shí)現(xiàn)。例如，在Windows Server 20012主機(jī)打開路由和遠(yuǎn)程訪問管理器，在左側(cè)選擇“IPv4→常規(guī)”項(xiàng)，在右側(cè)選擇和IP為192.168.2.1端口關(guān)聯(lián)的本地連接項(xiàng)目。

在其屬性窗口中點(diǎn)擊“出站篩選器”按鈕，在出站篩選器窗口中點(diǎn)擊“新建”按鈕，在打開窗口中選擇“源網(wǎng)絡(luò)”項(xiàng)，在“IP地址”欄中 輸入“192.168.1.50”，在“子網(wǎng)掩碼”欄中輸入“255.255.255.0”。選擇“目標(biāo)網(wǎng)絡(luò)”項(xiàng)，在，在“IP地址”欄中輸入“192.168.2.50”，在“子網(wǎng)掩碼”欄中輸入“255.255.255.0”。在“協(xié)議”列表中選擇的“ICMP”項(xiàng)，在“ICMP類型”欄中輸入“8”，在“ICMP代碼”欄中輸入“255”，點(diǎn)擊確定按鈕，在列表中選擇該篩選器，選擇“傳輸所有除符合下列條件以外的數(shù)據(jù)包”項(xiàng)。點(diǎn)擊確定按鈕保存配置，這樣，就實(shí)現(xiàn)了以上的管控要求，即PC2可以Ping探測PC1，而PC1是禁止Ping探測PC2的。

圖2 設(shè)置請求篩選項(xiàng)目

對(duì)Web訪問請求進(jìn)行篩選

利用IIS組件，可以很方便地架設(shè)網(wǎng)站。在處理用戶訪問請求時(shí)，管理員可以根據(jù)實(shí)際情況，對(duì)其進(jìn)行篩選，只允許其訪問指定的內(nèi)容。當(dāng)然，這要去在IIS角色中選用了“請求篩選”組件。在IIS管理器左側(cè)選擇對(duì)應(yīng)的網(wǎng)站，在右側(cè)雙擊“請求篩選”項(xiàng)，在其中的“文件擴(kuò)展名”面板中（如圖2）可以針對(duì)文件擴(kuò)展名設(shè)置對(duì)應(yīng)的規(guī)則，例如在右側(cè)點(diǎn)擊“拒絕文件擴(kuò)展名”鏈接，輸入所需的擴(kuò)展名（例如“.asp”）項(xiàng)，這樣當(dāng)用戶試圖訪問網(wǎng)站中的ASP文件時(shí)，就會(huì)被系統(tǒng)拒絕。在“隱藏段”面板中點(diǎn)擊“添加隱藏段”鏈接，在彈出窗口中輸入需要隱藏的內(nèi)容（例如目錄，文件名等），這樣客戶端就無法查看這些隱藏的內(nèi)容。

在“URL”面板中可以編輯允許或者拒絕訪問的地址，例如點(diǎn)擊“拒絕序列”鏈接，輸入對(duì)應(yīng)的URL（例如“/data/show.html”）等。這樣，當(dāng)用戶訪問包含該URL的地址時(shí)，就會(huì)被IIS拒絕。在“HTTP謂詞”面板中點(diǎn)擊“拒絕謂詞”鏈接，在彈出窗口中輸入對(duì)應(yīng)的謂詞（例如‘Post”），這樣，當(dāng)用戶在對(duì)應(yīng)頁面中輸入所需內(nèi)容，點(diǎn)擊“提交”按鈕后，服務(wù)器就會(huì)拒絕其提交數(shù)據(jù)的操作。在客戶端發(fā)送名的數(shù)據(jù)包中，實(shí)際上包 含“Host”、“ACCEPT”、“CONTENT-TYPE”、“SET-COOKIE”等標(biāo)頭信息，管理員可以根據(jù)情況，對(duì)其進(jìn)行過濾。在“標(biāo)頭”面板右側(cè)點(diǎn)擊“添加標(biāo)頭”鏈接，在彈出窗口中的“標(biāo)頭”欄中輸入具體的標(biāo)頭名，在“大小限制”欄中輸入允許提交的數(shù)據(jù)大小。

這樣，如客戶端提交的這類標(biāo)頭后面跟隨的數(shù)據(jù)量過大時(shí)，就禁止其訪問動(dòng)作。這樣的好處在于可以防止不法用戶通過構(gòu)建特殊數(shù)據(jù)包的辦法，來對(duì)網(wǎng)站進(jìn)行襲擾。如果網(wǎng)站提供了查詢功能，管理員可以根據(jù)需要，對(duì)用戶查詢的數(shù)據(jù)進(jìn)行管控。在“查詢字符串”面板右側(cè)點(diǎn)擊“拒絕查詢字符串”鏈接，輸入需要拒絕的內(nèi)容。這樣，當(dāng)客戶端試圖查詢非法的數(shù)據(jù)時(shí)就會(huì)遭到攔截。上述篩選項(xiàng)目其實(shí)都可以在“規(guī)則”面板進(jìn)行集成管理，在該面板中點(diǎn)擊“添加篩選規(guī)則”鏈接，輸入規(guī)則名稱，選擇“掃描url”和“掃描查詢字符串”項(xiàng)，在“掃描標(biāo)頭”、“文件擴(kuò)展名”以及“字符串”欄中輸入對(duì)應(yīng)的內(nèi)容，針對(duì)的特定的標(biāo)頭，允許訪問特定的文件擴(kuò)展名，拒絕訪問特定的字符串。

在組策略中實(shí)現(xiàn)安全篩選

在域環(huán)境中，利用組策略可以高效管理網(wǎng)絡(luò)。在應(yīng)用組策略之前，必須創(chuàng)建對(duì)應(yīng)的組策略對(duì)象GPO，并對(duì)其進(jìn)行合理的編輯。之后將該GPO鏈接到目標(biāo)容器中，在該容器中的所有用戶或計(jì)算機(jī)就會(huì)應(yīng)用這些組策略設(shè)置。如果想針對(duì)特定的組、用戶或者計(jì)算機(jī)，來應(yīng)用組策略配置信息的話，就需要借助于安全篩選來實(shí)現(xiàn)。在組策略管理器左側(cè)選擇某個(gè)容器中的GPO，在右側(cè)的“安全篩選”可以看到，在默認(rèn)情況下，經(jīng)過身份驗(yàn)證的用戶是可以應(yīng)用該GPO的。

為了實(shí)現(xiàn)上述要求，選擇“Authenticated Users”項(xiàng)，點(diǎn)擊“刪除”按鈕將其刪除。點(diǎn)擊“添加”按鈕，導(dǎo)入特定的賬戶和組（例如“Domain Users”）。這樣，這些用戶就可以應(yīng)用該GPO。實(shí)際上，在域控上打開“C:WindowsSYSVOLxxx.comPolicies”目錄，在其中顯示和組策略對(duì)象關(guān)聯(lián)的數(shù)據(jù)。選擇其中某個(gè)文件夾，在其屬性窗口中的“安全”面板點(diǎn)擊“編輯”按鈕，可以看到上述導(dǎo)入的用戶和組其實(shí)是擁有了“讀取和執(zhí)行”、“列出文件夾內(nèi)容”、“讀取”等權(quán)限，對(duì)該目錄具有合理的訪問權(quán)限，才可以讀取和設(shè)置相應(yīng)的組策略信息。

在組策略中實(shí)現(xiàn)WMI篩選

除了安全篩選外，組策略還提供了WMI篩選功能，實(shí)現(xiàn)更加精細(xì)的篩選操作。利用該功能，就可以依據(jù)用戶或計(jì)算機(jī)特定的屬性，來過濾組策略對(duì)象應(yīng)用的范圍。例如，可以針對(duì)目標(biāo)容器中安裝了Windows 8.1的計(jì)算機(jī)，或者使用了AMD CPU的計(jì)算機(jī)才可以應(yīng)用組策略對(duì)象等。在使用之前，需要下載和安裝WMITools工具。在“WMI Tools”程序組中運(yùn)行“WMI Object Browser”程序，在打開的網(wǎng)頁中選擇“允許阻止的內(nèi)容”項(xiàng)，在“Connect to namespace”窗口中可以輸入要鏈接到的WMI的命令空間，可以采用默認(rèn)值，點(diǎn)擊OK按鈕，在WMI對(duì)象瀏覽器界面左側(cè)打開“Win32_ComputerSystem“DC””項(xiàng)，在其下顯示很多類別。例如選擇“Win32_SystemOperatingSystem.PartComponent” →“Win32_OperatingSystem=@”，在右側(cè)就可以查看和操作系統(tǒng)相關(guān)的屬性。例如操作系統(tǒng)名稱、版本號(hào)等。

依據(jù)這些信息，就可以創(chuàng)建WMI篩選器。在組策略管理窗口左側(cè)選擇“WMI篩選器”項(xiàng)，在其右鍵菜單上點(diǎn)擊“新建”項(xiàng)，在彈出窗口中輸入其名稱，點(diǎn)擊“添加”按鈕，在WMI查詢窗口中火速如命名空間名稱，例如默認(rèn)值為“rootCIMv2”。在“查詢”欄中輸入所需的查詢語句，例如“select*from Win32_OperationSystem where Caption ="Microsoft Windows Server 2008 Enterprise"”，表示僅僅針對(duì)安裝了Windows 2008企業(yè)版的計(jì)算機(jī)應(yīng)用組策略對(duì)象。在組策略管理窗口左側(cè)選擇目標(biāo)GPO，在右側(cè)窗口中的“作用域”面板中的“WMI篩選”列表中選擇所需的WMI篩選器項(xiàng)即可。

利用防火墻對(duì)端口進(jìn)行篩選

當(dāng)黑客試圖入侵目標(biāo)主機(jī)之前，一般都會(huì)利用掃描工具對(duì)其進(jìn)行掃描，來探測其開啟了哪些端口。利用這些端口信息，黑客就可以知曉該機(jī)上開啟了哪些服務(wù)，進(jìn)而利用各種系統(tǒng)漏洞和黑客工具，對(duì)目標(biāo)主機(jī)進(jìn)行滲透。為了提高安全性，管理員可以將無關(guān)的端口全部關(guān)閉，只開啟正常的端口即可。

圖3 篩選日志界面

運(yùn) 行“firewall.cpl” 程序，在Windows防火墻窗口左側(cè)點(diǎn)擊“高級(jí)設(shè)置”項(xiàng)，在高級(jí)安全Windows防火墻窗口左側(cè)的“入站規(guī)則”項(xiàng)的右鍵菜單上點(diǎn)擊“新建規(guī)則”項(xiàng)，在向?qū)Ы缑嬷羞x擇“端口”項(xiàng)，在下一步窗口中選擇該規(guī)則應(yīng)用于TCP還是UDP協(xié)議，選擇“特定本地端口”項(xiàng)，輸入過濾的端口，例如“21,80,3389,5000-5010”等，端口之間以逗號(hào)分隔。點(diǎn)擊下一步按鈕，選擇“允許連接”或者“只允許安全連接”項(xiàng)。之后依次完成所需的操作，創(chuàng)建該規(guī)則，這樣，只允許特定的端口對(duì)外開放，有效地保護(hù)了系統(tǒng)安全。

使用篩選快速查詢系統(tǒng)日志

在系統(tǒng)運(yùn)行過程中，所有的活動(dòng)信息幾乎都會(huì)被記錄到系統(tǒng)日志中。通過對(duì)日志進(jìn)行分析，可以有效排除故障，保證系統(tǒng)穩(wěn)定工作。

但是，系統(tǒng)記錄的日志條目非常多，采用查詢的話效率很地下。使用日志過濾功能，可以快速定位所需的日志信息。

在事件查看器中點(diǎn)擊菜單“操作→篩選當(dāng)前日志”項(xiàng)，可以按照記錄時(shí)間，事件級(jí)別、事件ID、任務(wù)類別、關(guān)鍵字，用戶以及計(jì)算機(jī)的設(shè)置等項(xiàng)目，對(duì)日志進(jìn)行篩選操作（如圖3）。

例如，在“記錄時(shí)間”列表中選擇“最后7天”項(xiàng)，針對(duì)安全日志進(jìn)行篩選，點(diǎn)擊確定按鈕，就只顯示最近七天的安全日志信息。也可以針對(duì)事件進(jìn)行過濾，在“時(shí)間級(jí)別”欄中選擇關(guān)鍵、警告、詳細(xì)、錯(cuò)誤、信息等類別，選擇合適的事件來源和ID（例 如“5152,5153-5156,-5155”，多個(gè)ID以逗號(hào)分隔,對(duì)于需要排除的ID，可以在前面添加“-”符號(hào)），點(diǎn)擊確定按鈕，所有符合條件的日志就會(huì)顯示出來。