小编Rob*_*oir的帖子

这是一个关于冗余 DHCP 服务器的规范问题。

是否可以在同一个 LAN 上拥有多个 DHCP 服务器？这样做有什么影响？

1. 如果有多个 DHCP 服务器可用，会发生什么情况？我的客户如何知道使用哪一种？
2. 如何让 DHCP 服务器向多个子网\网段提供地址？
3. 如何配置多个 DHCP 服务器为同一子网提供地址。

对于具有适度虚拟化需求的公司——VirtualBox 目前在托管一些轻型服务器方面做得很好——迁移到更强大的平台有什么好处？

我希望能稍微缩短我的研究 - 获得企业级虚拟化具有 VBox 及其同类产品没有的功能的简短列表。

作为 19 英寸机架式设备的新手，请多多包涵。

我最近想了很多关于将 4x 或 6x 的 2.5" 硬盘驱动器放入我的机架的最佳方法，目前我真的很困惑将是最好的（读经济）解决方案。

在对市场进行考察之后，我发现这种类型的磁盘阵列单元提供内置 RAID 和大量驱动器插槽以及一卡车的极客信誉，但价格不适合我的预算。

我还发现这些可爱的适配器在一个 3.5" 插槽中安装两个 2.5" 驱动器，但我显然需要一个有很多 3.5" 空间的机箱才能使其工作。

那么，在机架中放置硬盘驱动器的最经济方式是什么？

TL; 博士

我很确定我们的小网络已经被某种蠕虫/病毒感染了。然而，它似乎只影响我们的 Windows XP 机器。Windows 7 机器和 Linux（嗯，是的）计算机似乎不受影响。防病毒扫描未显示任何内容，但我们的域服务器已记录了数千次针对各种有效和无效用户帐户（尤其是管理员）的失败登录尝试。我怎样才能阻止这种不明蠕虫的传播？

症状

我们的一些 Windows XP 用户报告了类似的问题，但并不完全相同。它们都经历了由软件启动的随机关机/重启。在其中一台计算机上弹出一个对话框，并在系统重新启动之前进行倒计时，显然是由 NT-AUTHORITY\SYSTEM 启动的，并且与 RPC 调用有关。特别是这个对话框与详细介绍旧的 RPC 漏洞利用蠕虫的文章中描述的完全相同。

当其中两台计算机重新启动时，它们在登录提示处重新启动（它们是域计算机），但列出的用户名为“admin”，即使它们没有以管理员身份登录。

在我们运行域的 Windows Server 2003 机器上，我注意到来自不同来源的数千次登录尝试。他们尝试了所有不同的登录名，包括管理员、管理员、用户、服务器、所有者和其他人。

有些日志列出了 IP，有些则没有。在那些确实有源 IP 地址（对于失败的登录）的那些中，其中两个对应于两台经历重新启动的 Windows XP 机器。就在昨天，我注意到来自外部 IP 地址的一系列登录尝试失败。跟踪路由显示外部 IP 地址来自加拿大 ISP。我们不应该从那里建立连接（尽管我们确实有 VPN 用户）。所以我仍然不确定来自外国 IP 的登录尝试是怎么回事。

很明显，这些计算机上存在某种恶意软件，它所做的部分工作是尝试枚举域帐户的密码以获取访问权限。

到目前为止我所做的

在意识到发生了什么之后，我的第一步是确保每个人都运行最新的防病毒软件并进行扫描。在受影响的计算机中，其中一台具有过期的防病毒客户端，但另外两台是当前版本的诺顿，并且对两个系统的完整扫描都没有结果。

服务器本身定期运行最新的防病毒软件，并且没有显示任何感染。

因此，3/4 的基于 Windows NT 的计算机具有最新的防病毒软件，但它没有检测到任何东西。但是，我确信某些事情正在发生，主要是通过各种帐户的数千次登录尝试失败来证明。

我还注意到我们的主文件共享的根目录具有非常开放的权限，所以我只是将它限制为普通用户读取+执行。管理员当然拥有完全访问权限。我还将让用户更新他们的密码（强密码），我将在服务器上重命名为管理员并更改其密码。

我已经把机器从网络上取下来了，一台正在换一台新的，但我知道这些东西会通过网络传播，所以我仍然需要深入了解。

此外，服务器具有仅打开某些端口的 NAT/防火墙设置。由于我来自 Linux 背景，因此我还没有完全调查一些打开端口的 Windows 相关服务。

怎么办？

所以所有现代和最新的防病毒软件都没有检测到任何东西，但我绝对相信这些计算机有某种病毒。我基于 XP 机器的随机重启/不稳定性以及源自这些机器的数千次登录尝试。

我打算做的是备份受影响机器上的用户文件，然后重新安装 Windows 并重新格式化驱动器。我还采取了一些措施来保护可能已用于传播到其他计算机的公共文件共享。

了解所有这些后，我能做些什么来确保该蠕虫不在网络的其他地方，我又该如何阻止它传播？

我知道这是一个冗长的问题，但我在这里超出了我的深度，可以使用一些指针。

感谢您的关注！

这是关于不同类型的 Microsoft 证书颁发机构的规范问题

我正在寻找有关 Microsoft ADCS Enterprise CA 和独立 CA 之间区别的信息？

我应该在何时何地使用每种 CA 类型？我试着用谷歌搜索这个问题，发现只有一个答案是独立 CA 不喜欢 Active Directory。在选择之前我应该​​考虑什么？

我正在尝试为我的每个用户从 Windows 7 的“库”位置添加和删除库位置。

虽然从桌面执行此操作很容易，并且很容易禁用资源管理器中出现的库，但如何从库位置添加或删除位置（例如，从用户的文档库中删除 c:\users\public\documents）？

我不需要“锁定”他们的图书馆位置列表，我很高兴他们可以根据需要添加和删除自己的位置，但我想控制提供给他们的初始位置。

擅长NTP配置的人可以分享哪种方法是实现NTP的安全、防篡改版本的最佳/最容易的方法吗？这里有一些困难...

1. 我没有拥有自己的第 0 层时间源的奢侈，所以必须依赖外部时间服务器。

2. 我应该阅读 AutoKey 方法还是应该尝试走 MD5 路线？

3. 根据我对对称加密的了解，MD5 方法似乎依赖于客户端和服务器之间预先商定的一组密钥（对称加密），因此很容易受到中间人攻击.

4. 另一方面，AutoKey似乎不能在 NAT 或伪装主机后面工作。顺便说一句，这仍然是真的吗？（这个参考链接的日期是 2004 年，所以我不确定今天的最新技术是什么。）

   4.1 公共 AutoKey-talking 时间服务器是否可用？

5. 我浏览了 David Mills 的 NTP 书。这本书在某种程度上看起来很棒（毕竟来自 NTP 创建者），但其中的信息也很丰富。我只需要先配置一个安全版本的 NTP，然后可能会担心它的架构和工程基础。

有人可以帮我渡过这些溺水的 NTP 水域吗？不一定需要您提供工作配置，只需提供有关要尝试的 NTP 模式/配置的信息，也可能是支持该模式/配置的公共时间服务器。

非常感谢，

/HS

我今天登录了一个网站，发现了这条消息：

作为新安全系统升级的一部分，我们要求所有现有客户更改其密码，以加强对其私人信息的保护。
我们建议使用您容易记住但其他人难以猜到的密码。请注意新密码应在 8 ~ 16 个字符和特殊字符之间，"'"、"""、";"、"|"、"?"、"<"、">"、"^"、"* ", ":", "=", and "#" 禁止使用，感谢您的理解与配合。

16 个字符可能足够长，但我没有看到长度限制的充分理由。

对我来说更有趣的是不允许使用某些特殊字符。尽管我听说其他网站只允许使用字母数字字符，但该方案仍然有很多特殊字符可用。为什么我的密码内容对散列算法很重要？它只是一个散列，或该散列的 base-64 编码，对吗？

1. 此政策是否会使我的帐户安全处于危险之中？
2. 是否有特定的密码处理程序无法处理字符集',";|?<>^*:=#？
3. 我是否应该关注网站其他地方的安全政策？

实际上我对使用 SSL 加密的唯一要求是当用户登录时，密码被加密传输。然而，在阅读了一些关于协议切换的内容后，HTTPS 会话不能作为 HTTP 会话等被接管。我一直在问自己，让整个应用程序只使用 HTTPS 是否太糟糕了。

反对它的理由是什么？您如何评价它们的重要性？另请提及：

• 我在服务器端（大致）损失了多少性能？
• 我在客户端（大致）损失了多少性能？
• 服务器/客户端还有其他问题吗？

是否可以将我的 EC2 实例（运行 Windows Server 2012 R2）加入我的 LAN？

我不想将其设为域控制器，但我希望它足够本地化，以便我可以从 AWS 实例 ping 本地网络中的其他设备。

我读到过有关使用 VPS 的内容，但我想我可能误解了它，这不是更多地用于从您的个人计算机连接到 AWS 以实现更安全的浏览等吗？