• -n - wyłącza przetwarzanie adresów IP komputerów na odpowiadające im nazwy ONS; opcja ta może znacząco przyspieszyć działanie polecenia w przypadkach, gdy serwer DNS jest niedostępny lub źle skonfigurowany, przyspiesza też wyraźnie wyświetlanie listy w przypadku, gdy serwer DNS pracuje normalnie,
• -o - włącza tryb wyświetlania dodatkowej kolumny listy, zawierającej identyfikatory (PID) procesów, które odpowiadają za dane połączenie TCP lub nasłuch na wybranym porcie; nazwę procesu można uzyskać z pomocą Menedżera zadań Windows, włączając w nim wyświetlanie kolumny prezentującej identyfikatory PID,
• i - włącza tryb wyświetlania dodatkowej kolumny listy, zawierającej identyfikatory (PID) oraz nazwy procesów, które odpowiadają za dane połączenie TCP lub nasłuch na wybranym porcie,
• -e - powoduje wyświetlenie statystyk interfejsów sieciowych Ethernet.
i rp Wyświetla zawartość tablicy translacji adresów IP komputerów na adresy sprzętowe (MAC) interfejsów sieciowych
Ethernet Przydatne przy diagnozowaniu problemów z działaniem adresów IP oraz wykrywaniu obecności komputerów w sieci lokalnej.
Najczęściej używane przełączniki:
• -a - wyświetla wszystkie wpisy z tablicy translacji; przykład:
C:\> arp -a
Interfejs: 10.0.0.4 — 0x10005 Adres internetowy Adres fizyczny Typ
10.0. 0.1 00-0d-61-57-94-a9 dynamiczne
10.0. 0.254 00-40-f4-64-ae-Od dynamiczne
• -d zp • usuwa z tablicy wpis odpowiadający adresowi IP równemu i n.
C:\> arp -d 10.0.0.1
•-S ip mac - tworzy nowy wpis w tablicy, wiążący adres IP równy ip ze sprzętowym adresem MAC karty sieciowej Ethernet równym mac.
C:\> arp -s 10.0.0.40 00-aa-00-62-c6-09
Polecenie Opis
netsh Uniwersalne narzędzie służące do wyświetlania informacji na temat konfiguracji interfejsów siedowych oraz modyfikowania parametrów ich pracy.
Przykłady:
C:\> netsh dump > konfiguracja.txt Zapisuje aktualną konfigurację połączeń sieciowych w pliku konfiguracja.txt.
C:\> netsh exec konfiguracja.txt Przywraca konfigurację połączeń sieciowych zapisaną w pliku konfiguracjo.txt.
Polecenie netsh może być bardzo przydatne przy automatyzacji zmian konfiguracji sieci komputerów przenośnych w środowiskach niewyposażonych w serwery DHCP. Analiza pliku utworzonego za pomocą polecenia netsh dump pozwoli Ci wybrać polecenia zmieniające wymagane parametry (na przykład adresy IP) i stworzyć pliki konfiguracyjne dostosowane do poszczególnych sieci (wykonywane następnie poleceniem netsh exec).
rout e Wyświetla lub modyfikuje tablicę routingu protokołu TCP/IP systemu Windows. Wiersz polecenia route może zawierać przełączniki oraz polecenie wraz z parametrami.
Przełączniki:
• - f - usuwa wszystkie wpisy z tablicy routingu; używaj tego przełącznika tylko, jeżeli jesteś pewien, że potrafisz odtworzyć prawidłowy kształt tablicy routingu,
• -p - czyni wpis dodawany do tablicy routingu za pomocą polecenia route add stałym (odtwarzanym przy każdym kolejnym uruchamianiu systemu operacyjnego).
Polecenia:
• pri nt - wyświetla aktualną zawartość tablicy routingu;
• add odressieci mask maskasieci adresbramy - dodaje nowy wpis do tablicy routingu, wymuszający przekazywanie pakietów skierowanych do sieci o adresie adres siec.: i masce maskasieci przez bramę o adresie IP równym adresbramy,
• change odressieci mask maskasieci adresbramy - modyfikuje istniejący wpis tablicy routingu, wymuszający przekazywanie pakietów skierowanych do sieci o adresie adress ieci i masce maskas i ec i przez bramę o adresie IP równym adresbramy, modyfikowany jest tylko adres bramy (adres i maska sieci muszą znajdować się już na liście),
• del ete adressi ec. - usuwa wpis z tablicy routingu, wymuszający przekazywanie pakietów do sieci oadresie odressieci.
Przykłady:
C:\>route print
Lista interfejsów
0x1 ........................... MS TCP Loopback interface
0x10005 ...00 03 Od 07 69 20 .. VIA Rhine II Fast Ethernet Adapter
Aktywne trasy:
Miejsce docelowe w sieci |
Maska sieci |
Brama |
Interfejs |
Metryka |
0.0.0.0 |
0.0.0.0 |
10.0.0.254 |
10.0.0.4 |
20 |
10.0.0.0 |
255.0.0.0 |
10.0.0.4 |
10.0.0.4 |
20 |
10.0.0.4 |
255.255.255.255 |
127.0.0.1 |
127.0.0.1 |
20 |
10.255.255.255 |
255.255.255.255 |
10.0.0.4 |
10.0.0.4 |
20 |
127.0.0.0 |
255.0.0.0 |
127.0.0.1 |
127.0.0.1 |
1 |
224.0.0.0 |
240.0.0.0 |
10.0.0.4 |
10.0.0.4 |
20 |
255.255.255.255 |
255.255.255.255 |
10.0.0.4 |
10.0.0.4 |
1 |
Domyślna brama: |
10.0.0.254. | |||
Trasy trwałe: |
Brak |
Wszelkie modyfikacje rejestru systemowego powinieneś przeprowadzać za pomocą Edytora rejestru systemu Windows. Aby go uruchomić, otwórz menu Uruchamianie, wprowadź nazwę programu regedi t. exe i naciśnij klawisz Enter.
Nazwa klucza
HKEY CLASSES ROOT
HKEY CURRENT USER
HKEY LOCAL MACHINĘ
Funkcja
Baza danych typów plików, skojarzeń plików z aplikacjami, poleceń powłoki systemu Windows oraz obiektów OLE/COM.
Rejestr aktualnie załogowanego użytkownika. W przypadku sieci lokalnych korzystających z systemu domenowego ta część rejestru będzie pobierana na każdy komputer w domenie, na którym będzie się logował dany użytkownik.
Rejestr wspólny wszystkich użytkowników, stały dla każdego komputera. Prawo zapisu w nim mają wyłącznie administratorzy komputera.
HKI Y USERS Gałąź zawierająca bazy rejestrów poszczególnych użytkowników komputera.
UKF. Y CURRENT Klucz dynamiczny, prezentujący fragment informacji dotyczących bieżącej konfiguracji
systemu operacyjnego.
Lista programów uruchamianych automatycznie podczas startu systemu odczytywana jest z następujących miejsc rejestru systemowego:
HKEY_CURRENT USER\Software\M1crosoft\W1ndows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_L.OCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHIN£\SOFTWARE\Microsoft\Window$\CurrentVersion\RunOnceEx Ponadto podczas logowania się użytkownika do systemu uruchamiane są programy, do których skróty znajdują się w menu podrzędnym Autostart menu Wszystkie programy w menu Start.
Programy, co do których masz wątpliwości, czy powinny być uruchamiane podczas startu systemu, najwygodniej jest przeglądać i tymczasowo wyłączać za pomocą programu Narzędzie konfiguracji systemu. Aby go uruchomić, otwórz menu Uruchamianie, wprowadź nazwę programu msconfig.exe i naciśnij klawisz Enter. Lista programów uruchamianych w czasie logowania się użytkownib do systemu wyświetlana jest na zakładce Uruchamianie tego programu.
Jeżeli niemożliwe jest odinstalowanie programu za pomocą okna Dodaj/usuń programy w Panelu sterowania systemu Windows XP, możesz go usunąć ręcznie. Po skasowaniu katalogu, w którym zainstalowany został program, usuń odpowiadający mu wpis z okna Dodaj/Usuń programy, usuwając jeden z kluczy rejestru znajdujących się wewnątrz klucza o następującej ścieżce:
HKEY_L0CAL_MACHINE\S0ETWARE\M1crosoftAWindows\CurrentVersion\Un1nstal1 Usunięcie klucza spowoduje, że odpowiadający mu wiersz listy zainstalowanych aplikacji zniknie z okna Dodaj/Usuń programy.
Dzienniki systemowe zawierają raporty z działania systemu operacyjnego. Regularne przeglądanie dzienników może pomóc w wykryciu nieprawidłowości działania komputera i systemu operacyjnego oraz ewentualnych prób włamania do komputera.
Aby uzysbć dostęp do dzienników systemowych, otwórz okno Uruchamianie, wprowadź nazwę eventvwr.msc i kliknij przycisk OK. Na ekranie pojawi się okno prezentujące zawartość trzech dzienników systemowych:
Nazwa dziennika Zawartość
Aplikacja Prezentuje informacje na temat działania aplikacji użytkownib oraz niektórych aplikacji należących
do systemu operacyjnego. Przechowuje informacje na temat awarii poszczególnych aplikacji. Zabezpieczenia Prezentuje informacje na temat systemu zabezpieczeń systemu Windows XP. Przechowuje wpisy
odpowiadające wszystkim próbom zalogowania się na komputer (lokalnie lub poprzez połączenie sieciowe). Pojawiają się w nim również wpisy będące efektem audytu wybranych plików i folderów, zdefiniowanego przez administratora systemu.
System Prezentuje informacje na temat działania podstawowych modułów systemu operacyjnego, w tym sterowników
urządzeń ora: niektórych usług systemowych. Przechowuje informacje na temat awarii i restartów całego systemu operacyjnego oraz ewentualnych błędów wykrytych prze: sterowniki urządzeń oraz sterowniki sieciowe.
Jeżeli w dzienniku zabezpieczeń istnieje jedynie jeden wpis, informujący o wyczyszczeniu dziennika, najprawdopodobniej Twój komputer padł ofiarą włamania poprzez sieć. W takim przypadku powinieneś od nowa zainstalować system operacyjny i wszystkie aplikacje, zaktualizować i zabezpieczyć system operacyjny i dopiero wtedy podłączyć komputer do sieci.
Aby zdefiniować stopitń szczegółowości raportowania o zdarzeniach dotyczących bezpieczeństwa systemu, otwórz okno Uruchamianie, wprowadź nazwę gpedit.msc, kliknij przycisk OK i w nowo otwartym oknie zatytułowanym Zasady grupy wsbż pozycję drzewa Zasady inspekcji:
Po prawej stronie okna wyświetlona zostanie lista kategorii zdarzeń podlegających raportowaniu.
Dla bżdej z pozycji możesz wybrać jedną z czterech możliwości:
• brak zaznaczenia - zdarzenia z tej btegorii nie będą raportowane,
• Sukces - raportowane będą zdarzenia będące efektem pomyślnego zakończenia operacji,
• Niepowodzenie - raportowane będą zdarzenia będące efektem niepomyślnego zakończenia operacji,
• Sukces i Niepowodzenie - raportowane będą wszystkie zdarzenia z danej kategorii
Kategoria Opis
Przeprowadź inspekcję Inspekcji poddane jest wykorzystanie obiektów, dla których zadeklarowany został audyt
dostępu do obiektów
Przeprowadź inspekcję Inspekcji poddany jest dostęp użytkowników i komputerów do usługi
dostępu do usługi katalogowej katalogu Active Directory.
Przeprowadź inspekcję Inspekcji poddane są procesy systemowe i wykorzystywane prze: nie zasoby.
śledzenia procesów
Przeprowadź inspekcję Inspekcji poddane jest wykorzystywanie praw i przywilejów użytkowników,
użycia uprawnień na przykład zmiana czasu systemowego lub wykonanie kopii zapasowej.
Przeprowadź inspekcję Inspekcji poddawane są zmiany dotyczące kont użytkowników,
zarządzania kontami na przykład dodanie lub usunięcie konta.
Przeprowadź inspekcję Inspekcji poddane są zdarzenia dotyczące logowania się użytkowników poprzez sieć.
zdarzeń logowania
Przeprowadź inspekcję Inspekcji poddane są zdarzenia lokalnego logowania
zdarzeń logowania na kontach i wylogowania się użytkowników.
Przeprowadź inspekcję Inspekcji poddane są zdarzenia systemowe, takie jak uruchomienie, zamknięcie
zdarzeń systemowych i restart systemu, oraz czynności mające wpływ na zabezpieczenia lub dzienniki zdarzeń.
Przeprowadź inspekcję Inspekcji poddane są zmiany zestawów zasad grup (polis systemowych).
zmian zasad
Aby zmodyfikować zasady bezpieczeństwa, którymi kieruje się system operacyjny, obsługując hasła chroniące dostępu do kont użytkowników, otwórz okno Uruchamianie, wprowadź nazwę gpedit.msc, kliknij przycisk OKiwnowo otwartym oknie zatytułowanym Zasady grupy wskaż jedną z dwóch pozycji drzewa: Zasady haseł lub Zasady blokady konter.
Pozycja listy Opis
Zasady haseł / Hasło Określa, czy hasła do kont użytkowników muszą spełniać zwiększone wymagania musi spelniad co do ich złożoności. Wymagania są następujące:
wymagania • hasła nie mogą zawierać fragmentu lub całej nazwy konta użytkownika,
co do złożoności • hasła muszą mieć długość minimum sześciu znaków,
• hasła muszą zawierać jednocześnie znaki z co najmniej trzech kategorii: wielkie litery od A do l, małe litery od a do z, 10 cyfr podstawowych od O do 9, znaki specjalne (;!,@#$*8).
Ciąg dalszy na stronie 5