教你降低网络风险

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,八、降低风险,1、系统默认设置,2、注册表安全保护,3、关闭和删除多余的服务,4、其他配置更改,5、Microsoft服务软件包,6、rlogin命令,7、网络信息系统（NIS）,8、网络文件系统（NFS）,1、系,统,统默认,设,设置,常见默,认,认设置：默认,文,文件位置、缓冲区溢出、,无,无争议,的,的操作,系,系统内,部,部自动信,任,任关系、,默,默认共享、无保,护,护的Windows注册表、服务,器,器消息,块,块（SMB）连接,性,性（Win2K服务,器,器可能,被,被欺骗,协,协商一,个,个具有,低,低级别,加,加密的SMB,惯,惯用语,）,）、容,易,易显露上一个登录名,和,和默认,账,账户。,降低风,险,险的方,法,法：更改Windows安装,的,的默认路,径,径（C:WINNT,）,），删,除,除默认共享，升级,操,操作系,统,统补丁软件包,防,防止缓,冲,冲溢出,攻,攻击，,使,使用反病毒软件和,个,个人防火墙防止自动信,任,任的危害,，,，保护,注,注册表,。,。,2、注,册,册表安,全,全保护,必要性：Windows系,统,统的所,有,有配置设,置,置和控制都在注,册,册表中,。,。被黑,客,客找到,的,的大多数,缺,缺陷都集中,在,在对注,册,册表的访问方面，,并,并且此,时,时对注,册,册表的,访,访问只,是,是“只读”。对,注,注册表不同部,分,分的默认安全设,置,置对于,系,系统保,护,护是不够充,分,分的。要,知,知道注,册,册表需要保护、,保,保护哪些内容及如何保护。,注册表,结,结构：是一,系,系列数据库引擎，,数,数据文件存放在C:WINNTSystem32Config,文,文件夹,中,中，一,部,部分存,在,在RAM中，,这,这些文,件,件的部,分,分或全,部,部的备份保存在C:WINNTrepair,中,中。应,该,该使用NTFS安全,措,措施正,确,确的保,护,护物理文件和备份文件，,只,只有系统账,户,户能访问,这,这些文,件,件。,主键,包含有效的硬件外壳数据，来自HKLM的SOFTWARE和SYSTEM。,HKCC,HKEY_CURRENT_CONFIG,包含软件配置数据，是HKLMSOFTWAREClasses的指针。,HKEY_CLASSES_ROOT,包含与当前用户相关的交互式数据。任何在本地登录过的账户都有一个子树的拷贝，存放在WINNTProfilesusernameNTUser.dat文件。如果一些主键在它和HKLM之间被复制，它的值优先于其他值。它实际上是HKUSID的指针。,HKCU,HKEY_CURRENT_USER,包含：Default（系统默认设置，用在当按下Ctrl+Alt+Delete显示登录屏幕的时侯）和当前用户SID。,HKU,HKEY_USERS,包含与本地计算机相关的所有操作系统配置数据，与本地登录的用户无关。,HKLM,HKEY_LOCAL_MACHINE,HKLM子树,注册表审核：记录注册表的变化，可以选择,注,注册表的相关部分，再选择用户进行审核。,例,例如增加了Everyone组，则对注,册,册表的任何改变都将被,记,记录下来。,重,重要的是对内容的谨慎选择,，,，还要注意,系,系统的负担。,备份注册表：是保护它,的,的首选，如果被攻击，则可从备,份,份文件恢复。,存储计算机这服务和设备的配置信息。,SYSTEM,包含应用程序的配置信息，独立于当前用户。,SOFTWARE,包含所有本地计算机的信息，也不能被直接访问。,SECURITY,包含实际用户的账户和密码，SAM不能被直接访问，可以从API中访问。,SAM,每次启动时重新建立，包含有关这台计算机上连接的物理设备的信息。,HARDWARE,设置注册表,权,权限：读取和完,全,全控制及高,级,级权限：,查询数值：允许用户,或,或组从主键,中,中读取键值。,设置数值：允许用户,或,或组对主键设置键值。,创建子项：允许用户,或,或组给主键,中,中建立子键。,枚举子项：允许用户,或,或组确定主键的子键。,通知：允许用户,或,或组审核主键的通告事件。,创建链接：允许用户,或,或组在特定的主键中符号连接。,删除：允许用户,或,或组删除一,个,个选中的主键。,写入DAC：允许用户,或,或组为编写,主,主键的自定,义,义的ACL,而,而获得主键,的,的使用权。,写入所有者：允许用户,或,或组为获得,主,主键的拥有权而获得主键,的,的使用权。,读取控制：允许用户,或,或组获得一,个,个选中的主,键,键的安全信息。,3、关闭和,删,删除多余的,服,服务,在“管理工具-服务”中进行设,置,置。,保护网络连,接,接：Win2K网络连接,是,是基于SMB协议工作的,，,，微软常称,它,它为“常用Internet文件,系,系统（CIFS）”。Win2K使用SMB通信,，,，SMB位,于,于MicrosoftNetworking的核心。,默,默认情况下,，,，对网络上,传,传输的SMB信息包进,行,行加密。SMB连,接,接过程如下,：,：,按加密强度升序排列的SMB惯用,语,语有：,PC NetworkProgram 1.0，Microsoft Networks 1.03，LanMan 1.0，LM1.2X002，LanMan2.1，Windows NTLM 0.12，NTLM version 2.0,协商惯用语,建立一个,TCP会话,建立一个,SMB会话,访问资源,协商惯用语过程用来发,现,现在服务器,和,和客户端之,间,间可以使用,的,的SMB的最高版本，此时,，,，验证的强,度,度依赖于客户端，而客户端,可,可能强制使,用,用过时的加密方法,，,，这可通过,配,配置客户端,只,只支持可能,的,的最低的SMB客,户,户端实现。,如果在SMB过程中验证失败，可能,：,：拒绝访问或建立一个空的SMB会话,。,。而后者很危险，因,为,为在默认情,况,况下，空会,话,话的拥有者依然是Everyone组的成员，且,任,任何Everyone,组,组可访问的,目,目标都可以被这个未授,权,权的用户访,问,问。黑客就,能,能通过利用,这,这些连接的,应,应用程序获得系统账户和,服,服务的信息,。,。,防止空会话的办,法,法是在“本地安全策,略,略”中修改注,册,册表，或直接修改注册表,的,的HKLMSystem CurrentControl SetControlLsarestrictanonymous（默认,为,为0，1是,限,限制账户和,共,共享的列表,显,显示，2是,限,限制所有的,匿,匿名访问，,除,除非FTP,等,等服务特许,它,它的使用。,）,）,SMB加密：对Win2K专业版,工,工作站，可,以,以关闭LAN Manager验,证,证，Win95/98/me、Windows forWorkgroups和Samba都使用LAN Manager验证，这,将,将关闭客户,端,端的访问，,不,不可行。如,果,果服务器是,一,一个标准的,电,电子邮件、FTP或Web服务器,，,，可以安全,的,的改变这个,设,设置。,另一个相同,控,控制权的选,项,项是让服务器强行决定允许的客户,端,端验证类型,，,，而不是让,客,客户端做出,决,决定。这个,选,选项并非特,别,别有效，因,为,为服务器将,仍,仍然向可能,的,的客户端发,出,出它的所有惯用语。它的主要,功,功能是阻止一个特殊攻,击,击（SMB降级,攻,攻击），这个攻击使用多种信,息,息包探测器,监,监听SMB验证过程，当服,务,务器检测这,个,个过程时，,它,它发出一个宣称来自客户端,的,的信息，指,出,出只有低端的、纯明码文本验证可,用,用，服务器接受这个信息并,建,建立会话，,然,然后客户端,以,以明码文本,的,的形式传输,密,密码，攻击系统可截获,并,并储存这些,信,信息,。,另一个有效,的,的选项是启动SMB,签,签名，使Win2K在所,有,有的信息包,上,上使用加密,的,的签名（MD5）防止,哄,哄骗攻击，,帮,帮助消除可,能,能的伪造信,息,息。将HKLMSystemCurrent ControlsetServiceslanmanserverparametersrequiresecuritysignature的值改为1，可以启,动,动一个服务,器,器只接受被签名的信息包，,但,但客户端还,必,必须生成和,只,只对签名的,信,信息包进行,响,响应，客户,端,端还需要将HKLMSystem CurrentControlsetServicesRdrparametersrequiresecuritysignature,的,的值改为1,。,。,4、其他配,置,置更改,如果不需要,任,任务调度器,，,，可以在“,本,本地安全设,置,置”-“,本,本地策略”-“安全选项”中实施下,列,列改动：,1）保护打,印,印机驱动程,序,序：启用“防止用户安,装,装打印机驱,动,动程序”。,2）隐藏前,一,一个登录用,户,户名：防止对计,算,算机进行直,接,接访问的非,法,法用户知道,合,合法用户的,用,用户名，把HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName键值改为1,。,。,3）关机时,清,清除页文件：页文件保,持,持一些被存,储,储的、敏感,的,的，在页文,件,件使用期间,没,没有被覆盖,的,的信息。可,以,以启用“在关机时清,理,理虚拟内存,页,页面交换文,件,件”，将在关,机,机时用随机,信,信息覆盖全,部,部的页文件,。,。,4）关闭登,录,录证书的缓,存,存：Win2K通常在本地缓存一个用户的登录证书，如果一个,域,域控制器失,败,败或联系不,到,到，这个用,户,户仍然可以,登,登录并在本,地,地工作，证,书,书缓存可能,导,导致一个攻,击,击。需设置,“,“可被缓冲保,存,存的前次登,录,录个数”为0。,5）建立一,个,个交互式登,录,录信息：可以配置,系,系统向任意,一,一个交互式,登,登录的用户显示信息，一个交互,式,式登录信息,不,不会阻止一,个,个坚定的黑,客,客，但可以,帮,帮助你向保,险,险公司证明,你,你已经采取,了,了措施保护系统。启用“用户试图登,录,录时消息标,题,题/消息文,字,字”：用户一,按,按Ctrl+Alt+Del开始,登,登录时看到,的,的对话框的,标,标题和文本,信,信息。,6）保护可,移,移动和大容,量,量存储器：可以只限,制,制交互式用,户,户对存储器,访,访问，启用,“,“只有本地登,录,录的用才能,访,访问CD-ROM/软,盘,盘”。,7）建立默,认,认的账户名。,5、Microsoft服务软件,包,包,用来发布操,作,作系统临时,的,的重大修改,，,，称作“热,修,修补”，是,用,用来纠正具,体,体故障的特,殊,殊问题的补,丁,丁软件。安,装,装补丁时，,需,需要了解软,件,件包所做的,修,修改及稳定,性,性，以免带,来,来不必要的,问,问题。,6、rlogin命令,关闭rlogin。,hosts.equiv：在支持rlogin的,系,系统中，文,件,件/etc/hosts.equiv通过,将,将远程主机,的,的名字放在,其,其中，允许,任,任意一个远,程,程主机上的,用,用户在对远,程,程目标主机,登,登录时具有,相,相同的信任,关,关系。rlogin,开,开始从上至,下,下的检查hosts.equiv,文,文件，直到,发,发现一个主,机,机满足远程,系,系统的名字,。,。