給遠程監控更強的“外力”

■

遠程監控USB操作狀態

大家知道，在局域網重要主機系統中，隨意進行USB設備插入操作，是相當危險的，因為這既容易感染病毒，又容易引起數據外泄事故。但為了防止隨意插拔操作，網管人員頻繁到主機現場進行監控，又顯得不太現實。那能不能對特定主機的USB操作狀態進行遠程監控，以提高監控操作效率呢？答案是肯定的！借助“USB CopyNotify!”這款外力工具，就可以很輕松地遠程監控局域網中USB設備操作狀態，一旦看到有違規操作現象時，還能通過它進行有效攔截。

例如，現在要對局域網Web服務器的USB操作狀態進行遠程監控時，需要先從Internet上下載得到“USB CopyNotify!”程序的壓縮包，雙擊其中的客戶端程序（主要起監控作用，同時可以對USB設備予以攔截或放行），開啟程序安裝向導對話框。當安裝向導提示選擇安裝何種組件時，必須選中“USB CopyNotify!Client”組件，再保持默認設置不變，完成剩余的安裝操作。這時，在Web服務器系統后臺會自動生成一個名稱為“USB CopyNotify Client Service”的服務，該服務能保證客戶端程序隨Windows系統自啟動，以實現遠程監控操作智能化。接著在網管員自己使用的計算機中，安裝“USB CopyNotify!”壓縮包中的服務端程序，以接受客戶端程序的監控結果反饋。在安裝該程序的時候，必須要將安裝組件提示選擇為“USB CopyNotify! Server”選項，只有這樣才能成功調用到遠程監控的結果信息。

為了讓遠程監控操作更有針對性，對客戶端、服務端程序進行一系列合適配置是少不了的。在配置客戶端程序時，先打開如圖1所示的配置界面，輸入Web服務器主機的IP地址或計算機名稱，當客戶端程序或服務端程序都安裝在同一臺計算機中時，可以將客戶端計算機的名稱設置為“Localhost”，這樣“USB CopyNotify!”程序將會實現本地監控目的。如果需要對違規的USB設備進行管理時，不妨在“Block USB”位置處進行合適設置，選用“Block USB Drive”選項，將對違規USB設備操作狀態進行攔截，使 用“Unblock USB Drive”選項，則不攔截USB設備各種操作。除了可以監控到USB設備的插拔操作外，我們也可以通過“USB CopyNotify!”程序，實現對USB設備其他操作的監控。例如，打開“Select Alert”下拉列表，我們可以選擇對USB設備上的文件添加操作、更名操作、刪除操作、修改操作等進行遠程監控，甚至可以對所在計算機的節電模式、關機操作進行遠程監控。設定好監控內容后，還需要在“Path of execute to be run”位置處單擊“Browse”按鈕，選擇并添加特定的監控報警程序，確?！癠SB CopyNotify!”工具的監控條件觸發后，通過運行特定應用程序，達到自動報警目的，以便讓網管員在第一時間知道遠程監控結果。

在配置服務端程序時，可以右鍵單擊系統任務欄右下方的“USB CopyNotify!”工具快捷圖標，選擇右鍵菜單中的“Settings”選項，進入如圖2所示的參數配置界面。將“Send Mail”選中，啟用電子郵件方式接受遠程監控結果，在這里需要將網管員的電子郵件地址填寫在“Mail To”文本框中，將發件人地址填寫在“Mail From”文本框中（該地址也可以使用網管員的郵件地址），在“SMTP Server”設置項處設置好郵件服務器IP地址?？紤]到郵件收發需要進行安全認證，必須要將“Require Authentication”選中，再設置好登錄郵件服務器的用戶名稱和密碼信息。當然也可以通過日志形式，接受遠程監控結果，只要將“Enable Log”選中，成功啟用日志存儲功能，再指定好日志文件的保存路徑即可。

圖2 參數配置界面

圖3 主操作界面

當遠程監控結果較多時，不妨啟用過濾功能，對監控結果進行選擇性接受。點擊“Apply filters”按鈕，在其后界面中，可以根據實際情況對USB設備的監控結果進行選擇性過濾，最后點擊“Save”按鈕保存設置操作。如果希望報警效果更明顯，只要將“Play sound for insert and remove USB device messages”選中，選擇并添加特定的聲音文件，實現音樂報警操作。經過上述配置操作后，網管員就能通過外力工具“USB CopyNotify!”，輕松對Web 服務器的USB操作狀態進行遠程監控了。

遠程監控FTP運行狀態

為了既能保護FTP服務器運行安全，又能減輕網管員的監控工作量，我們可以請外力工具“FTP Guard”幫忙，來對FTP服務器的運行狀態進行遠程監控，以便在第一時間知道黑客悄悄登錄修改FTP服務器，同時采取措施進行防范。

在遠程監控FTP運行狀態時，先將“FTP Guard”工具下載安裝到網管員所在計算機系統中，開啟它的運行狀態，彈出如圖3所示的主操作界面，單擊“Connections”旁邊的“+”按鈕，切換到新建連接設置框，在其中輸入好需要遠程監控的新連接名稱，在“FTP Host”位置處指定好待監控的目標站點名稱或地址以及相應的網絡端口號，要想匿名登錄FTP服務器時，需要在這里將“Anonymous”選中?？紤]到安全方面的原因，建議大家不要使用匿名方式登錄FTP服務器，而應該在“FTP Username”位置處輸入合法的登錄賬號名稱，在“FTP Password”位置處輸入對應賬號的登錄密碼，在“Remote Directory”位置處設置好目標服務器的特定目錄路徑，如果不定義該參數，那么“FTP Guard”工具在缺省狀態下會自動監控FTP站點根目錄。要是希望對目標FTP站點下的所有子目錄操作狀態進行遠程監控時，那要同時將“Recursive”選中，點擊“OK”按鈕退出監控任務設置界面。

當然，我們也可以進行相同的操作，創建若干個FTP監控任務。當所有監控任務創建好后，選中這些監控任務，這樣“FTP Guard”工具就能遠程監控它們了，如果要取消監控時，只要在“Connections”位置處將它們前面的勾號取消就OK了。在初次進行遠程監控時，一定要先打開特定任務連接的右鍵菜單，點選“Check Connection”命令，強制“FTP Guard”工具對特定任務連接進行掃描測試，以判斷遠程監控連接能否順利建立。之后重新選中特定監控任務連接，在“Alert Event”設置項處，按需定義好需要監控的具體操作內容，例如，要監控針對FTP服務器文件的刪除操作時，只要選中“Deletion”選項，那么日后“FTP Guard”工具一旦探測到有人悄悄執行文件刪除操作時，會自動向網管員發出報警提示。同樣地，如果同時選中這里的“Addition”、“Modification”等選項，黑客只要對FTP服務器中的文件執行添加、修改等操作，都能被“FTP Guard”工具及時監控到。

圖4 設置對話框

當需要監控的文件比較多時，我們可以對監控文件類型進行分類。只要在“File/Directory Extension Filter”設置項處，按需定義好需要重要監控的文件類型，不同文件類型需要單獨占用一行。當需要對特定類型文件取消監控時，可以選中“Monitor All Except the following extensions”選項，再指定好具體的文件類型名稱；要是取消對某個文件夾的遠程監控時，只要在“Directory Ingore Filter”設置項處將該文件夾詳細名稱輸入好即可。

為了能讓監控到的結果及時通知給網管員，在“Notification”設置項處，我們可以選中“Show SystemTray Message” 選 項， 讓“FTP Guard”外力工具日后在監控到異常狀態后，及時在系統托盤區域處彈出相關報警提示，依照這些提示網管員就能初步判斷出FTP服務器中究竟發生了哪些異常變化。盡管“FTP Guard”工具支持多種報警方式，建議大家還是盡量選用“Play Sound”選項，使用播放音樂文件的方式，讓報警效果更直觀一些。

“FTP Guard”工具在缺省狀態下，每隔10分鐘會掃描監控一次特定任務連接，要是認為這種監控頻度不符合要求時，不妨按下主操作界面中的“Program Options”按鈕，彈出如圖4所示的設置對話框，在“Monitoring Interval”位置處輸入合適的時間間隔。如果要調整報警音樂文件時，可以單擊“Default Sound Notification File”位置處的瀏覽按鈕，打開文件選擇對話框，導入新的報警音樂文件即可。對于其他的設置參數，我們建議盡量采用默認設置，最后按下“OK”按鈕保存設置操作。

除了進行上述設置操作外，還要記得啟用“FTP Guard”工具的監控功能，缺省狀態下該功能并沒有被啟用。返回“FTP Guard”工具的主操作界面，將“Monitoring”設置項處的紅色“Off”修改為綠色“On”選項，就能達到啟用監控功能的目的。經過這些設置以后，“FTP Guard”外力工具就能按照事先設定的要求，對目標FTP服務器進行遠程監控了。一旦掃描到異常變化時，它會立即通過播放音樂等方式，及時提醒網絡管理員。網管員在收到報警提示后，可以點擊主操作窗口中的“Monitoring Results”按鈕，切換到監控報告列表中，查看具體的監控結果信息。依照這些監控結果信息，網管員可以十分輕松地發現入侵FTP站點的不法分子，這有利于FTP站點的安全穩定運行。

圖5 主監控窗口

遠程監控設備變化狀態

為了防止員工私下悄悄更換單位計算機中的高檔硬件設備，不少單位負責人往往會要求技術人員，加大日常監控力度，定期查看單位局域網所有計算機中的硬件設備，看有沒有出現無緣無故地變動。考慮到單位局域網計算機數量都很多，每次跑到計算機現場通過“開腸破肚”方式，查看硬件設備的變動狀態，不但工作量很大，而且也容易得罪員工。要想提高監控效率，只要找來“DESI Network Inventory”這款外力工具，就能十分方便地到探測到局域網中每臺計算機的硬件配置更新狀態，甚至還能探測到軟件更新狀態。

在進行這種遠程監控操作時，不妨先從Internet上下 載 獲 取“DESI Network Inventory”工具的安裝程序包文件，借助Winrar之類的壓縮工具，將其釋放到臨時目錄中，雙擊其中的“new_dni.exe”文件，開始進行程序安裝操作。在安裝的時候，“DESI Network Inventory”會對本地計算機（服務端主機）的所有硬件配置和軟件配置自動掃描，并生成相關的詳細配置信息。之后進入待監控的普通計算機系統中，打開該系統的網上鄰居窗口，從中找到服務端主機圖標，展開該主機“DESI Network Inventory”臨時安裝目錄下的“client”文件夾，雙擊其中的“invClient.exe”程序，開始進行客戶端程序安裝操作。

返回服務端系統，逐一單 擊“開 始”、“程 序”、“DESI Network Inventory”、“DNI Administrator”菜單選項，開啟服務端監控程序運行狀態。在主監控窗口中，逐一選擇“Files”、“Preferences”菜單選項，點擊其后界面中的“Add path”按鈕，展開文件夾選擇對話框，選擇并添加之前的“client”文件夾，最后按下“apply”按鈕讓上述設置正式生效。

經過一系列設置后，再次點擊系統“開始”菜單中的“DNI Administrator” 程序命令，重啟一下服務端監控程序。這樣，網管員就能從服務端系統的“DESI Network Inventory”主監控窗口中（如圖5所示），遠程監控到特定計算機系統的硬件配置變化狀態了，監控到的內容包括CPU、內存、磁盤等設備的型號信息。