网络安全降低风险

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,八、降低风险,1、系统默认设置,2、注册表安全保护,3、关闭和删除多余的服务,4、其他配置更改,5、Microsoft服务软件包,6、rlogin命令,7、网络信息系统（NIS）,8、网络文件系统（NFS）,1、系统默认设置,常见默认设置,：默认文件,位置,、,缓冲区,溢出、无争议的操作系统内部,自动信任,关系、默认,共享,、无保护的Windows,注册表,、服务器消息块（,SMB,）连接性（Win2K服务器可能被欺骗协商一个具有低级别加密的SMB惯用语）、容易显露,上一个,登录名和默认账户。,降低风险的方法,：更改Windows安装的,默认路径,（C:WINNT），删除默认,共享,，升级操作系统,补丁,软件包防止缓冲溢出攻击，使用,反病毒,软件和个人,防火墙,防止,自动信任,的危害，保护注册表。,2、注册表安全保护,必要性,：Windows系统的所有,配置设置,和,控制,都在注册表中。被黑客找到的,大多数缺陷,都集中在对注册表的,访问,方面，并且此时对注册表的访问只是“,只读,”。对注册表,不同部分,的,默认,安全设置对于系统保护是,不够充分,的。要知道注册表,需要,保护、保护,哪些,内容及,如何,保护。,注册表结构,：是一系列,数据库,引擎，数据,文件,存放在C:WINNTSystem32Config文件夹中，一部分存在RAM中，这些文件的部分或全部的,备份,保存在C:WINNTrepair中。应该使用NTFS安全措施正确的保护,物理,文件和,备份,文件，只有,系统账户,能访问这些文件。,主键,包含有效的硬件外壳数据，来自HKLM的SOFTWARE和SYSTEM。,HKCC,HKEY_CURRENT_CONFIG,包含软件配置数据，是HKLMSOFTWAREClasses的指针。,HKEY_CLASSES_ROOT,包含与当前用户相关的交互式数据。任何在本地登录过的账户都有一个子树的拷贝，存放在WINNTProfilesusernameNTUser.dat文件。如果一些主键在它和HKLM之间被复制，它的值优先于其他值。它实际上是HKUSID的指针。,HKCU,HKEY_CURRENT_USER,包含：Default（系统默认设置，用在当按下Ctrl+Alt+Delete显示登录屏幕的时侯）和当前用户SID。,HKU,HKEY_USERS,包含与本地计算机相关的所有操作系统配置数据，与本地登录的用户无关。,HKLM,HKEY_LOCAL_MACHINE,HKLM子树,注册表审核,：,记录,注册表的,变化,，可以选择注册表的,相关部分,，再选择,用户,进行审核。例如增加了,Everyone,组，则对注册表的,任何,改变都将被记录下来。重要的是对,内容,的谨慎选择，还要注意系统的,负担,。,备份注册表,：是保护它的,首选,，如果被,攻击,，则可从备份文件,恢复,。,存储计算机这服务和设备的配置信息。,SYSTEM,包含应用程序的配置信息，独立于当前用户。,SOFTWARE,包含所有本地计算机的信息，也不能被直接访问。,SECURITY,包含实际用户的账户和密码，SAM不能被直接访问，可以从API中访问。,SAM,每次启动时重新建立，包含有关这台计算机上连接的物理设备的信息。,HARDWARE,设置注册表权限,：读取和完全控制及高级权限：,查询数值,：允许用户或组从主键中,读取键值,。,设置数值,：允许用户或组对主键,设置,键值。,创建子项,：允许用户或组给主键中,建立子键,。,枚举子项,：允许用户或组,确定,主键的,子键,。,通知,：允许用户或组,审核,主键的,通告事件,。,创建链接,：允许用户或组在,特定,的主键中,符号连接,。,删除,：允许用户或组删除一个选中的,主键,。,写入DAC,：允许用户或组为编写主键的自定义的ACL而获得主键的,使用权,。,写入所有者,：允许用户或组为获得主键的,拥有权,而获得主键的,使用权,。,读取控制,：允许用户或组获得一个选中的主键的,安全信息,。,3、关闭和删除多余的服务,在“,管理工具-服务,”中进行设置。,保护网络连接,：Win2K网络连接是基于,SMB,协议工作的，微软常称它为“常用Internet文件系统（,CIFS,）”。Win2K使用SMB通信，SMB位于Microsoft Networking的核心。默认情况下，对网络上传输的SMB信息包进行,加密,。SMB连接过程如下：,按加密,强度升序,排列的,SMB惯用语,有：,PC Network Program 1.0，Microsoft Networks 1.03，LanMan 1.0，LM 1.2X002，LanMan 2.1，Windows NT LM 0.12，NTLM version 2.0,协商惯用语,建立一个,TCP会话,建立一个,SMB会话,访问资源,协商惯用语,过程用来发现在服务器和客户端之间可以使用的SMB的,最高,版本，此时，验证的强度依赖于,客户端,，而客户端可能强制使用,过时,的加密方法，这可通过配置客户端只支持可能的,最低,的SMB客户端实现。,如果在SMB过程中,验证,失败，可能：,拒绝访问,或建立一个,空的,SMB会话。而,后者,很危险，因为在默认情况下，空会话的,拥有者,依然是,Everyone组,的成员，且任何Everyone组可访问的目标,都可以,被这个未授权的用户访问。黑客就能通过利用这些连接的应用程序,获得,系统账户和服务的信息。,防止,空会话的办法是在“,本地安全策略,”中修改注册表，或,直接,修改注册表的HKLMSystem CurrentControl SetControlLsarestrictanonymous（默认为0，1是限制账户和共享的列表显示，2是限制所有的匿名访问，除非FTP等服务特许它的使用。）,SMB加密,：对Win2K专业版工作站，可以关闭LAN Manager验证，Win95/98/me、Windows for Workgroups和Samba都使用LAN Manager验证，这将关闭客户端的访问，不可行。如果服务器是一个标准的电子邮件、FTP或Web服务器，可以安全的改变这个设置。,另一个相同控制权的选项,是让服务器,强行决定,允许的客户端验证类型，而不是让客户端做出决定。这个选项并非特别有效，因为服务器将仍然向可能的客户端发出它的所有,惯用语,。它的主要功能是,阻止,一个特殊攻击（,SMB降级攻击,），这个,攻击,使用多种信息包探测器监听,SMB验证,过程，当服务器检测这个过程时，它发出一个,宣称,来自客户端的信息，指出只有,低端的,、,纯明码,文本验证可用，服务器,接受,这个信息并建立会话，然后客户端以明码文本的形式传输密码，,攻击,系统可截获并储存这些信息,。,另一个有效的选项是,启动SMB签名,，使Win 2K在所有的信息包上使用加密的签名（MD5）防止哄骗攻击，帮助消除可能的伪造信息。将HKLMSystemCurrent ControlsetServiceslanmanserverparametersrequiresecuritysignature的值改为1，可以启动一个服务器只接受,被签名,的信息包，但客户端还必须生成和只对签名的信息包进行响应，客户端还需要将HKLMSystem CurrentControlsetSer vicesRdrparametersrequiresecuritysignature的值改为1。,4、其,他,他配置,更,更改,如果不,需,需要任,务,务调度,器,器，可,以,以在“,本,本地安,全,全设置,”,”-,“,“本地,策,策略”-“安全选,项,项”中实,施,施下列,改,改动：,1）保,护,护打印,机,机驱动,程,程序：启用,“,“防止用,户,户安装,打,打印机,驱,驱动程,序,序”。,2）隐,藏,藏前一,个,个登录,用,用户名：防止,对,对计算,机,机进行,直,直接访,问,问的非,法,法用户,知,知道合,法,法用户,的,的用户,名,名，把HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName键值改,为,为1。,3）关,机,机时清,除,除页文,件,件：页文,件,件保持,一,一些被,存,存储的,、,、敏感,的,的，在,页,页文件,使,使用期,间,间没有,被,被覆盖,的,的信息,。,。可以,启,启用“在关机,时,时清理,虚,虚拟内,存,存页面,交,交换文,件,件”，将,在,在关机,时,时用随,机,机信息,覆,覆盖全,部,部的页,文,文件。,4）关,闭,闭登录,证,证书的,缓,缓存：Win2K,通,通常在本地缓,存,存一个用,户,户的登录证,书,书，如果,一,一个域,控,控制器,失,失败或,联,联系不,到,到，这,个,个用户,仍,仍然可,以,以登录,并,并在本,地,地工作,，,，证书,缓,缓存可,能,能导致,一,一个攻,击,击。需,设,设置“可被缓,冲,冲保存,的,的前次,登,登录个,数,数”为0,。,。,5）建,立,立一个,交,交互式,登,登录信,息,息：可以,配,配置系,统,统向任,意,意一个,交,交互式,登,登录的,用,用户显示信,息,息，一个,交,交互式,登,登录信,息,息不会,阻,阻止一,个,个坚定,的,的黑客,，,，但可,以,以帮助,你,你向保,险,险公司,证,证明你,已,已经采,取,取了措,施,施保护系,统,统。启用,“,“用户试,图,图登录,时,时消息,标,标题/,消,消息文,字,字”：用,户,户一按Ctrl+Alt+Del,开,开始登,录,录时看,到,到的对,话,话框的,标,标题和,文,文本信,息,息。,6）保,护,护可移,动,动和大,容,容量存,储,储器：可以,只,只限制,交,交互式,用,用户对,存,存储器,访,访问，,启,启用“只有本,地,地登录,的,的用才,能,能访问CD-ROM/软盘”。,7）建,立,立默认,的,的账户,名,名。,5、Microsoft服,务,务软件,包,包,用来发布操,作,作系统临时,的,的重大修改,，,，称作“热,修,修补”，是,用,用来纠正具,体,体故障的特,殊,殊问题的补,丁,丁软件。安,装,装补丁时，,需,需要了解软,件,件包所做的,修,修改及稳定,性,性，以免带,来,来不必要的,问,问题。,6、rlogin命令,关闭rlogin。,hosts.equiv：在支持rlogin的,系,系统中，文,件,件/etc/hosts.equiv通过,将,将远程主机,的,的名字放在,其,其中，允许,任,任意一个远,程,程主机上的,用,用户在对远,程,程目标主机,登,登录时具有,相,相同的信任,关,关系。rlogin,开,开始从上至,下,下的检查hosts.equiv,文,文件，直到,发,发现一个主,机,机满足远程,系,系统的名字,。,。,该文件内,容,容的选项有、-devils和+angels，,它,它们向rlogin指出，,在,在主机“,”,”上的用,户,户可能用,他,他们通常,的,的没有密码的名字登,录,录到目标,主,主机，因,此,此是一个可信任的主机。,条目-devils用于工作组，说明它不应该被,信,信任或允许登录到目,标,标系统。,如果工作,组,组+angels在目标,系,系统中有,登,登录用户,名,名，那么,它,它是完全可信的并且被,允,允许访问,。,。,7、网络,信,信息系统,（,（NIS,）,）,是建立分布式计算机环,境,境的一个,方,方法。它,提,提供一个集中的用户,账,账户,数,数据,库,库，将,其,其存,储,储在,一,一个单独的服,务,务器,上,上，,叫,叫主服,务,务器；客,户,户端,可,可以,访,访问,主,主服,务,务器,进,进行验证，一,旦,旦通,过,过验,证,证，,这,这些,客,客户,端,端就,可,可以,只,只有一个,密,密码登录,到,到多个服务,器,器上,，,，允