Windows XP中隐藏的几个安全小工具(3)

检测肉鸡的数据：pptpsrv.exe和pptpclnt.exe

　　 PPTP是“点对点隧道传送协议（Point-to-Point Tunneling Protocol）”的英文缩写，这是网络上常用的传送协议。所谓“隧道传送”是指数据在传送之前先进行加密和“打包”，传送至对方后再解包和解密。这样，数据在传送过程中就像是在地下隧道中通过的那样，其内容不会被外界所看到。

　　 pptpsrv.exe和pptpclnt.exe就是一对用来检查网络是否连通的工具，Pptpsrv.exe是服务端，pptpclnt.exe是客户端。当将上面的两个程序用在远程的PPTP 服务器与PPTP 客户机之间的互相访问时，必须使用 1723端口，并且需要基于47类协议的支持，即GRE（Generic Routing Encapsulation：普通路由封装）协议。利用这两个工具，可以检查socket的连接和数据包的传递。

　　第一步：打开两个站点，或者打开两个命令提示符窗口，其中一个运行命令pptsrv.exe，这时候pptsrv.exe会在TCP端口1723处监听，等待客户端pptpclnt.exe的连接。

　　第二步：在另一个命令提示符窗口运行命令：pptpclnt.exe IP（根据实际测试情况设置），本地测试采用127.0.0.1，这时会出现如图所示的界面，然后按照提示输入，发送的字符应在255个以下，这时就可以看到两个命令提示符中记录着socket的连接和数据包的传递。

　　这一组程序都是基于命令行界面的，由于诊断必须涉及PPTP 服务器与PPTP 客户机两个地方，所以，诊断程序运行的时候，要综合服务器端和客户机端的应答信息和系统提示信息，然后根据情况判断问题所在。

　　管理活动目录：ldp.exe

　　 Windows 2000入目录服务的概念后，用户通过389端口可以遍历目录树中所存在的用户和用户组。活动目录就是目录服务的一类，它保存了网络上所有的资源和可以访问活动目录的客户。如果用户在安装域的时候就缺乏正确的安全规划，黑客就会有机可乘了。因此，在扫描网络上的“肉鸡”时，如果发现端口为389的机器，就会发现它所对应的服务是活动目录。但是，怎么连接它呢？

　　 Windows XP工具包中的活动目录管理工具ldp.exe可以轻松实现这种功能。通过这种方式，不仅可以浏览全部用户帐户(cn=Users)，还可以查询用户更多的信息，比如SID、GUID、帐户名和密码设置类型等重要信息。打开“Connection”菜单下的“Connect”，这时会出现一个对话框。在“server”中填上IP或者DNS名，端口使用默认的389端口即可。连接上以后，就可以进行管理了。

　　得到合法帐户，便可以进入到远程密码猜测的角逐中。因此，实际应用中，必须对动态目录的访问权限设置限制。

　　 管理肉鸡的小工具：diruse.exe

　　 diruse.exe是一个命令行工具，登陆后，可以用它来查看目录的大小、详细的压缩信息（只适用于NTFS分区）。结合运用Windows的磁盘管理功能，就可以在重要的监控对象上密切监视所有的用户帐户，拥有肉鸡管理员权限的用户还能够检查所有目录的使用情况，包括不属于当前帐户的目录。除了文件夹占用的磁盘空间，它还能够设置指定文件夹的最大空间限额，当文件夹占用的空间超出限额时会出现警报。

　　 Windows XP的支持工具还有很多，以上介绍的都是安全方面的一些工具，特点在于小巧灵活，搭配自由。随着Windows版本的改进，各类工具的功能会越来越多样化、专业化。