给远程监控更强的“外力”

■

远程监控USB操作状态

大家知道，在局域网重要主机系统中，随意进行USB设备插入操作，是相当危险的，因为这既容易感染病毒，又容易引起数据外泄事故。但为了防止随意插拔操作，网管人员频繁到主机现场进行监控，又显得不太现实。那能不能对特定主机的USB操作状态进行远程监控，以提高监控操作效率呢？答案是肯定的！借助“USB CopyNotify!”这款外力工具，就可以很轻松地远程监控局域网中USB设备操作状态，一旦看到有违规操作现象时，还能通过它进行有效拦截。

例如，现在要对局域网Web服务器的USB操作状态进行远程监控时，需要先从Internet上下载得到“USB CopyNotify!”程序的压缩包，双击其中的客户端程序（主要起监控作用，同时可以对USB设备予以拦截或放行），开启程序安装向导对话框。当安装向导提示选择安装何种组件时，必须选中“USB CopyNotify!Client”组件，再保持默认设置不变，完成剩余的安装操作。这时，在Web服务器系统后台会自动生成一个名称为“USB CopyNotify Client Service”的服务，该服务能保证客户端程序随Windows系统自启动，以实现远程监控操作智能化。接着在网管员自己使用的计算机中，安装“USB CopyNotify!”压缩包中的服务端程序，以接受客户端程序的监控结果反馈。在安装该程序的时候，必须要将安装组件提示选择为“USB CopyNotify! Server”选项，只有这样才能成功调用到远程监控的结果信息。

为了让远程监控操作更有针对性，对客户端、服务端程序进行一系列合适配置是少不了的。在配置客户端程序时，先打开如图1所示的配置界面，输入Web服务器主机的IP地址或计算机名称，当客户端程序或服务端程序都安装在同一台计算机中时，可以将客户端计算机的名称设置为“Localhost”，这样“USB CopyNotify!”程序将会实现本地监控目的。如果需要对违规的USB设备进行管理时，不妨在“Block USB”位置处进行合适设置，选用“Block USB Drive”选项，将对违规USB设备操作状态进行拦截，使 用“Unblock USB Drive”选项，则不拦截USB设备各种操作。除了可以监控到USB设备的插拔操作外，我们也可以通过“USB CopyNotify!”程序，实现对USB设备其他操作的监控。例如，打开“Select Alert”下拉列表，我们可以选择对USB设备上的文件添加操作、更名操作、删除操作、修改操作等进行远程监控，甚至可以对所在计算机的节电模式、关机操作进行远程监控。设定好监控内容后，还需要在“Path of execute to be run”位置处单击“Browse”按钮，选择并添加特定的监控报警程序，确保“USB CopyNotify!”工具的监控条件触发后，通过运行特定应用程序，达到自动报警目的，以便让网管员在第一时间知道远程监控结果。

在配置服务端程序时，可以右键单击系统任务栏右下方的“USB CopyNotify!”工具快捷图标，选择右键菜单中的“Settings”选项，进入如图2所示的参数配置界面。将“Send Mail”选中，启用电子邮件方式接受远程监控结果，在这里需要将网管员的电子邮件地址填写在“Mail To”文本框中，将发件人地址填写在“Mail From”文本框中（该地址也可以使用网管员的邮件地址），在“SMTP Server”设置项处设置好邮件服务器IP地址。考虑到邮件收发需要进行安全认证，必须要将“Require Authentication”选中，再设置好登录邮件服务器的用户名称和密码信息。当然也可以通过日志形式，接受远程监控结果，只要将“Enable Log”选中，成功启用日志存储功能，再指定好日志文件的保存路径即可。

图2 参数配置界面

图3 主操作界面

当远程监控结果较多时，不妨启用过滤功能，对监控结果进行选择性接受。点击“Apply filters”按钮，在其后界面中，可以根据实际情况对USB设备的监控结果进行选择性过滤，最后点击“Save”按钮保存设置操作。如果希望报警效果更明显，只要将“Play sound for insert and remove USB device messages”选中，选择并添加特定的声音文件，实现音乐报警操作。经过上述配置操作后，网管员就能通过外力工具“USB CopyNotify!”，轻松对Web 服务器的USB操作状态进行远程监控了。

远程监控FTP运行状态

为了既能保护FTP服务器运行安全，又能减轻网管员的监控工作量，我们可以请外力工具“FTP Guard”帮忙，来对FTP服务器的运行状态进行远程监控，以便在第一时间知道黑客悄悄登录修改FTP服务器，同时采取措施进行防范。

在远程监控FTP运行状态时，先将“FTP Guard”工具下载安装到网管员所在计算机系统中，开启它的运行状态，弹出如图3所示的主操作界面，单击“Connections”旁边的“+”按钮，切换到新建连接设置框，在其中输入好需要远程监控的新连接名称，在“FTP Host”位置处指定好待监控的目标站点名称或地址以及相应的网络端口号，要想匿名登录FTP服务器时，需要在这里将“Anonymous”选中。考虑到安全方面的原因，建议大家不要使用匿名方式登录FTP服务器，而应该在“FTP Username”位置处输入合法的登录账号名称，在“FTP Password”位置处输入对应账号的登录密码，在“Remote Directory”位置处设置好目标服务器的特定目录路径，如果不定义该参数，那么“FTP Guard”工具在缺省状态下会自动监控FTP站点根目录。要是希望对目标FTP站点下的所有子目录操作状态进行远程监控时，那要同时将“Recursive”选中，点击“OK”按钮退出监控任务设置界面。

当然，我们也可以进行相同的操作，创建若干个FTP监控任务。当所有监控任务创建好后，选中这些监控任务，这样“FTP Guard”工具就能远程监控它们了，如果要取消监控时，只要在“Connections”位置处将它们前面的勾号取消就OK了。在初次进行远程监控时，一定要先打开特定任务连接的右键菜单，点选“Check Connection”命令，强制“FTP Guard”工具对特定任务连接进行扫描测试，以判断远程监控连接能否顺利建立。之后重新选中特定监控任务连接，在“Alert Event”设置项处，按需定义好需要监控的具体操作内容，例如，要监控针对FTP服务器文件的删除操作时，只要选中“Deletion”选项，那么日后“FTP Guard”工具一旦探测到有人悄悄执行文件删除操作时，会自动向网管员发出报警提示。同样地，如果同时选中这里的“Addition”、“Modification”等选项，黑客只要对FTP服务器中的文件执行添加、修改等操作，都能被“FTP Guard”工具及时监控到。

图4 设置对话框

当需要监控的文件比较多时，我们可以对监控文件类型进行分类。只要在“File/Directory Extension Filter”设置项处，按需定义好需要重要监控的文件类型，不同文件类型需要单独占用一行。当需要对特定类型文件取消监控时，可以选中“Monitor All Except the following extensions”选项，再指定好具体的文件类型名称；要是取消对某个文件夹的远程监控时，只要在“Directory Ingore Filter”设置项处将该文件夹详细名称输入好即可。

为了能让监控到的结果及时通知给网管员，在“Notification”设置项处，我们可以选中“Show SystemTray Message” 选 项， 让“FTP Guard”外力工具日后在监控到异常状态后，及时在系统托盘区域处弹出相关报警提示，依照这些提示网管员就能初步判断出FTP服务器中究竟发生了哪些异常变化。尽管“FTP Guard”工具支持多种报警方式，建议大家还是尽量选用“Play Sound”选项，使用播放音乐文件的方式，让报警效果更直观一些。

“FTP Guard”工具在缺省状态下，每隔10分钟会扫描监控一次特定任务连接，要是认为这种监控频度不符合要求时，不妨按下主操作界面中的“Program Options”按钮，弹出如图4所示的设置对话框，在“Monitoring Interval”位置处输入合适的时间间隔。如果要调整报警音乐文件时，可以单击“Default Sound Notification File”位置处的浏览按钮，打开文件选择对话框，导入新的报警音乐文件即可。对于其他的设置参数，我们建议尽量采用默认设置，最后按下“OK”按钮保存设置操作。

除了进行上述设置操作外，还要记得启用“FTP Guard”工具的监控功能，缺省状态下该功能并没有被启用。返回“FTP Guard”工具的主操作界面，将“Monitoring”设置项处的红色“Off”修改为绿色“On”选项，就能达到启用监控功能的目的。经过这些设置以后，“FTP Guard”外力工具就能按照事先设定的要求，对目标FTP服务器进行远程监控了。一旦扫描到异常变化时，它会立即通过播放音乐等方式，及时提醒网络管理员。网管员在收到报警提示后，可以点击主操作窗口中的“Monitoring Results”按钮，切换到监控报告列表中，查看具体的监控结果信息。依照这些监控结果信息，网管员可以十分轻松地发现入侵FTP站点的不法分子，这有利于FTP站点的安全稳定运行。

图5 主监控窗口

远程监控设备变化状态

为了防止员工私下悄悄更换单位计算机中的高档硬件设备，不少单位负责人往往会要求技术人员，加大日常监控力度，定期查看单位局域网所有计算机中的硬件设备，看有没有出现无缘无故地变动。考虑到单位局域网计算机数量都很多，每次跑到计算机现场通过“开肠破肚”方式，查看硬件设备的变动状态，不但工作量很大，而且也容易得罪员工。要想提高监控效率，只要找来“DESI Network Inventory”这款外力工具，就能十分方便地到探测到局域网中每台计算机的硬件配置更新状态，甚至还能探测到软件更新状态。

在进行这种远程监控操作时，不妨先从Internet上下 载 获 取“DESI Network Inventory”工具的安装程序包文件，借助Winrar之类的压缩工具，将其释放到临时目录中，双击其中的“new_dni.exe”文件，开始进行程序安装操作。在安装的时候，“DESI Network Inventory”会对本地计算机（服务端主机）的所有硬件配置和软件配置自动扫描，并生成相关的详细配置信息。之后进入待监控的普通计算机系统中，打开该系统的网上邻居窗口，从中找到服务端主机图标，展开该主机“DESI Network Inventory”临时安装目录下的“client”文件夹，双击其中的“invClient.exe”程序，开始进行客户端程序安装操作。

返回服务端系统，逐一单 击“开 始”、“程 序”、“DESI Network Inventory”、“DNI Administrator”菜单选项，开启服务端监控程序运行状态。在主监控窗口中，逐一选择“Files”、“Preferences”菜单选项，点击其后界面中的“Add path”按钮，展开文件夹选择对话框，选择并添加之前的“client”文件夹，最后按下“apply”按钮让上述设置正式生效。

经过一系列设置后，再次点击系统“开始”菜单中的“DNI Administrator” 程序命令，重启一下服务端监控程序。这样，网管员就能从服务端系统的“DESI Network Inventory”主监控窗口中（如图5所示），远程监控到特定计算机系统的硬件配置变化状态了，监控到的内容包括CPU、内存、磁盘等设备的型号信息。