M_D's questions

我有一台配备英特尔酷睿 i7-5600U CPU 和英特尔高清显卡 5500（集成显卡）的笔记本电脑。

我注意到当我的 GPU（集成显卡）正在使用/加载时，CPU 时钟会显著降低。这严重影响了系统的响应能力 - 即使 CPU 利用率不是太高，使用 GPU 时系统也会非常迟缓。（我猜是因为时钟速度低）。

请参阅下面的图片来了解我的意思：

低 GPU 使用率、高时钟速度：

GPU 正在使用，时钟速度低：

ThrottleStop 在 GPU 负载期间显示以下内容：

为什么使用集成显卡会降低我的 CPU 速度？温度？

在 Windows 10 服务器上设置我的 OpenSSH 服务器以暴露给 WAN。（到目前为止，它只是在 LAN 上使用）。

我想要实现的目标：

当连接来自互联网时，只应允许 1 个特定用户 ( remoteuser)。从互联网连接的用户应该被允许执行很少的操作：仅将 TCP 端口转发到某些特定主机（请参阅我的PermitOpen指令），无 shell 访问，无 SFTP，无我可能从未听说过的任何其他功能。

然后，我使用了一个Match块来匹配来自我的安全 LAN 的连接。对于这些，安全性应该更宽松。允许密码验证，允许更多用户（尽管sftpuser1应该仅限于 SFTP）等。

问题： 我的 Match 块会按预期工作吗？这是实现我目标的有效方法吗？此外，是否还有其他我不知道的功能需要为互联网客户端禁用（除了 shell、SFTP、X11 转发之外）？

到目前为止的配置：

Port 22
AddressFamily inet #IPv4 only 
ListenAddress 10.10.10.15 #Listen on servers LAN IP

Protocol 2
TCPKeepAlive yes

HostKey __PROGRAMDATA__/ssh/ssh_host_rsa_key
HostKey __PROGRAMDATA__/ssh/ssh_host_dsa_key
HostKey __PROGRAMDATA__/ssh/ssh_host_ecdsa_key
HostKey __PROGRAMDATA__/ssh/ssh_host_ed25519_key

RekeyLimit 1G

#SyslogFacility AUTH # LOCAL0 - Logs to %programdata%\ssh\logs, AUTH - Logs to event viewer
LogLevel DEBUG

LoginGraceTime 1m
StrictModes yes
MaxAuthTries 3
MaxStartups 3:50:10

# SET TO 0 ON WAN TO DISABLE ALL BUT TUNNELS. INCREASED FOR LAN CONNECTIONS

MaxSessions 0

PubkeyAuthentication yes
PasswordAuthentication no
PermitEmptyPasswords no

AuthorizedKeysFile  __PROGRAMDATA__/ssh/keys/%u/authorized_keys #Where to look for keys for each user.

AllowUsers remoteuser (Allow only one port forwarding user for access from WAN)

X11Forwarding no
AllowTcpForwarding yes
PermitOpen ws1.internal:80 ws2.internal:80 #Only allow forwards to certain hosts & ports.

Match Address 10.10.10.0/24, 10.10.20.0/24
    LoginGraceTime 1m
    MaxAuthTries 5
    MaxStartups 10
    MaxSessions 5
    PubkeyAuthentication yes
    PasswordAuthentication yes
    AllowUsers john sftpuser1

Match User sftpuser1
    ChrootDirectory E:\
    X11Forwarding no
    AllowTcpForwarding no
    AllowAgentForwarding no
    ForceCommand internal-sftp -d /%u

说明：我的目标是 - 向 WAN 和 LAN 开放 SSH 服务器。当连接来自 WAN（即源 IP 不是我的 LAN 之一）时，只remoteuser允许连接（AllowUsers remoteuser），并且只能使用 TCP 转发。当连接来自 LAN 时，用户john和sftpuser1被允许连接，并且他们可以使用 shell 访问、SFTP 等功能。

因此基本上尝试运行一个启用了最少功能的强化 WAN 配置和一个更为宽松的仅限本地配置，而无需运行两个单独的实例sshd。

编辑：刚刚发现这个资源在一定程度上有助于 Match 语句......

在 Windows 10 服务器机箱上运行 Windows 版本的 OpenSSH（通过管理可选功能 GUI 安装）已有一段时间了。到目前为止，SSH 仅在 LAN 上使用，但我正在努力强化我的 SSH 配置，以便将其暴露给 WAN。

除了强化sshd_config自身功能，IE 仅允许一个特定的受限用户在连接来自 WAN 时使用，我还在考虑服务本身。我知道在特定用户帐户下运行服务通常是一种很好的做法。（尽管我在这方面的经验非常有限）

目前，sshd.exe似乎在SYSTEM帐户下运行，我曾想过要更改这一点，因为SYSTEM权限很高。但是，我注意到，当用户通过 SSH 连接时，sshd.exe会创建另一个进程，并在该用户帐户下运行。这是否意味着可以将“初始”sshd.exe进程作为 运行SYSTEM？

另外，我注意到，当用户已连接但尚未进行身份验证（使用密码身份验证，最终将在 WAN 上被禁用）时，sshd.exe将创建一个以该用户身份运行的实例sshd_644。有人能解释一下这个用户帐户是什么吗？

任何意见均表示赞赏。

使用 PHP 在 IIS 上托管多个站点 (2)。每个站点都在自己的应用程序池下运行，因此w3wp.exe（IIS 工作进程）的每个实例都php-cgi.exe在各自的应用程序池标识下运行。

我有一个文件夹C:\Web，其中包含与网络服务器相关的文件。目录结构如下：

C:\WEB
├───AVP
│   ├───1.0
│   │   └───wwwroot
│   │       ├───api
│   │       ├───images
│   │       ├───scripts
│   │       └───styles
│   ├───PHPLogs
│   └───Sessions
├───Dev01
│   ├───PHPLogs
│   ├───Sessions
│   └───wwwroot
└───IISLogs
    ├───W3SVC
    └───W3SVC1.old

我正在尝试设置权限，以便每个站点都无法访问其他站点的文件，以防一个站点上的脚本存在漏洞。

我尝试过的操作： 从 上的“用户”组中删除了权限C:\Web，因为应用程序池身份是用户组的成员。然后，我将为每个应用程序池标识为其自己的目录添加显式权限。 IE 'IIS AppPool\Site1' 将具有 读/写权限C:\Web\AVP，但不具有读/写权限C\Web\Dev01。然而，有一个复杂的问题：该C:\Web文件夹也通过网络共享 - 这是为了让我可以从其他计算机编辑网络文件。我已经使用“高级共享”菜单完成了此操作，并且我已向用户分配了共享权限：

这是可行的，但是如果我只从（和子文件夹）中删除“用户”组C:\Web，PHP 实例仍然可以访问这些文件。我还必须删除“经过身份验证的用户”（我不完全理解）的权限，以阻止我的应用程序池身份访问这些文件。然而这样做会破坏网络访问......

这样做的最佳方法是什么？

我有一个外部硬盘，我使用该磁盘上的一个分区来进行 Windows 10 系统映像备份。理论上，如果灾难发生，我有一个完整的 SSD 映像，可以从中恢复我的系统。

我如何管理存储在该磁盘上的备份？如果我去创建另一个图像，Windows 会检测到已经存在的图像，并告诉我最近一个图像的创建日期（见下文），因此它显然知道有关存在的图像的所有信息。

如果我想删除“WindowsImageBackup”文件夹中可能存在的多个图像之一，除了尝试手动执行而不损坏任何其他图像之外，我该怎么办？有点像这样，但我似乎无法在 Windows 10 中找到它。

OpenVPN 配置文件中的“auth”指令有什么作用？

我正在使用带有 OpenVPN 设置的 PKI 系统，详细信息请参见此处，并且一切正常（IE 客户端连接到服务器）。但是，在服务器或客户端的配置文件中，我没有使用“auth”指令。我在其他人的配置文件中看到过这样的内容：

auth SHA512

我需要使用这个指令吗？如果我不指定 OpenVPN 默认是什么？

抱歉，我对密码学、PKI 等有点陌生，并且希望尽可能强化我的 OpenVPN 服务器。请指出我应该做的任何其他改进！

编辑：

这是我的服务器配置：

port 23535
proto udp4
dev tun
ca "C:\\Program Files\\OpenVPN\\Keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\Keys\\server.crt"
key "C:\\Program Files\\OpenVPN\\Keys\\server.key"
dh "C:\\Program Files\\OpenVPN\\Keys\\dh2048.pem"
tls-crypt-v2 "C:\\Program Files\\OpenVPN\\Keys\\server-tls-crypt-v2.key"
topology subnet
server 10.43.166.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
cipher AES-256-GCM
status openvpn-status.log
verb 4
explicit-exit-notify 1

和我的客户端配置：

setenv FRIENDLY_NAME "Test VPN."
client
dev tun
proto udp4
remote vpn.server.local 23535
resolv-retry infinite
nobind
remote-cert-tls server
cipher AES-256-GCM
verb 4
mute-replay-warnings


<ca>
REDACTED
</ca>

<cert>
REDACTED
</cert>

<key>
REDACTED
</key>

<tls-crypt-v2>
REDACTED
</tls-crypt-v2>

另一个可能愚蠢的问题是：我正在设置 VPN 连接，以便远程访问我的家庭 LAN 上的服务。我为此使用的路由器、防火墙和 VPN 服务器是 Draytek Vigor 2865。我这里最大的问题是选择 VPN 协议/理解 IPSec。

我已经成功设置了 PPTP VPN，运行良好。Draytek 设置为服务器，Draytek 上有几个用户帐户，具有唯一的用户名和密码，可用于连接到 VPN，我可以根据用户更改各种设置。（即我可以为特定的拨入用户分配特定的IP）。然而，我知道 PPTP 不是最安全的选择。确实，对于我的需求，具有最大 MPPE 加密和强密码的 PPTP 可能就可以了，但如果可用的话，我会选择使用更好的选项。

以下是 draytek 中的拨入选项： Draytek 中的 VPN 选项

显然，我试图避免 PPTP。我不想使用 OpenVPN，因为我需要能够使用内置的 Windows VPN 客户端，而且根据我的理解，我认为 SSL VPN 也不是我想要的。这就留下了 IPsec 隧道或 L2TP（使用 IPsec）。

我真正不明白 IPSec 的是它似乎使用“预共享密钥”进行身份验证，而且我不太知道它是如何工作的。每个远程用户是否都使用相同的 PSK 登录？那么服务器端如何区分远程用户呢？如果除了用户/通行证之外还使用 PSK，这是有意义的，但在某些情况下，似乎只使用 PSK...（示例：https: //draytek.co.uk/support/guides/ kb-远程工作人员-smartvpn-ipsec )

您会推荐 IPsec 隧道选项吗？或者采用 IPsec 的 L2TP 是否良好且安全？Windows VPN 客户端支持哪个选项？

很抱歉这篇文章很长，如有任何建议，我们将不胜感激。