教你降低網(wǎng)絡(luò)風(fēng)險

八、降低風(fēng)險1、系統(tǒng)默認(rèn)設(shè)置2、注冊表平安保護(hù)3、關(guān)閉和刪除多余的效勞4、其他配置更改5、Microsoft效勞軟件包6、rlogin命令7、網(wǎng)絡(luò)信息系統(tǒng)〔NIS〕8、網(wǎng)絡(luò)文件系統(tǒng)〔NFS〕1、系統(tǒng)默認(rèn)設(shè)置常見默認(rèn)設(shè)置：默認(rèn)文件位置、緩沖區(qū)溢出、無爭議的操作系統(tǒng)內(nèi)部自動信任關(guān)系、默認(rèn)共享、無保護(hù)的Windows注冊表、效勞器消息塊〔SMB〕連接性〔Win2K效勞器可能被欺騙協(xié)商一個具有低級別加密的SMB慣用語〕、容易顯露上一個登錄名和默認(rèn)賬戶。降低風(fēng)險的方法：更改Windows安裝的默認(rèn)路徑〔C:\WINNT〕，刪除默認(rèn)共享，升級操作系統(tǒng)補丁軟件包防止緩沖溢出攻擊，使用反病毒軟件和個人防火墻防止自動信任的危害，保護(hù)注冊表。2、注冊表平安保護(hù)必要性：Windows系統(tǒng)的所有配置設(shè)置和控制都在注冊表中。被黑客找到的大多數(shù)缺陷都集中在對注冊表的訪問方面，并且此時對注冊表的訪問只是“只讀〞。對注冊表不同局部的默認(rèn)平安設(shè)置對于系統(tǒng)保護(hù)是不夠充分的。要知道注冊表需要保護(hù)、保護(hù)哪些內(nèi)容及如何保護(hù)。注冊表結(jié)構(gòu)：是一系列數(shù)據(jù)庫引擎，數(shù)據(jù)文件存放在C:\WINNT\System32\Config文件夾中，一局部存在RAM中，這些文件的局部或全部的備份保存在C:\WINNT\repair中。應(yīng)該使用NTFS平安措施正確的保護(hù)物理文件和備份文件，只有系統(tǒng)賬戶能訪問這些文件。主鍵包含有效的硬件外殼數(shù)據(jù)，來自HKLM的SOFTWARE和SYSTEM。HKCCHKEY_CURRENT_CONFIG包含軟件配置數(shù)據(jù)，是HKLM\SOFTWARE\Classes的指針。HKEY_CLASSES_ROOT包含與當(dāng)前用戶相關(guān)的交互式數(shù)據(jù)。任何在本地登錄過的賬戶都有一個子樹的拷貝，存放在\WINNT\Profiles\username\NTUser.dat文件。如果一些主鍵在它和HKLM之間被復(fù)制，它的值優(yōu)先于其他值。它實際上是HKU\SID的指針。HKCUHKEY_CURRENT_USER包含：Default（系統(tǒng)默認(rèn)設(shè)置，用在當(dāng)按下Ctrl+Alt+Delete顯示登錄屏幕的時侯）和當(dāng)前用戶SID。HKUHKEY_USERS包含與本地計算機(jī)相關(guān)的所有操作系統(tǒng)配置數(shù)據(jù)，與本地登錄的用戶無關(guān)。HKLMHKEY_LOCAL_MACHINEHKLM子樹注冊表審核：記錄注冊表的變化，可以選擇注冊表的相關(guān)局部，再選擇用戶進(jìn)行審核。例如增加了Everyone組，那么對注冊表的任何改變都將被記錄下來。重要的是對內(nèi)容的謹(jǐn)慎選擇，還要注意系統(tǒng)的負(fù)擔(dān)。備份注冊表：是保護(hù)它的首選，如果被攻擊，那么可從備份文件恢復(fù)。存儲計算機(jī)這服務(wù)和設(shè)備的配置信息。SYSTEM包含應(yīng)用程序的配置信息，獨立于當(dāng)前用戶。SOFTWARE包含所有本地計算機(jī)的信息，也不能被直接訪問。SECURITY包含實際用戶的賬戶和密碼，SAM不能被直接訪問，可以從API中訪問。SAM每次啟動時重新建立，包含有關(guān)這臺計算機(jī)上連接的物理設(shè)備的信息。HARDWARE設(shè)置注冊表權(quán)限：讀取和完全控制及高級權(quán)限：查詢數(shù)值：允許用戶或組從主鍵中讀取鍵值。設(shè)置數(shù)值：允許用戶或組對主鍵設(shè)置鍵值。創(chuàng)立子項：允許用戶或組給主鍵中建立子鍵。枚舉子項：允許用戶或組確定主鍵的子鍵。通知：允許用戶或組審核主鍵的通告事件。創(chuàng)立鏈接：允許用戶或組在特定的主鍵中符號連接。刪除：允許用戶或組刪除一個選中的主鍵。寫入DAC：允許用戶或組為編寫主鍵的自定義的ACL而獲得主鍵的使用權(quán)。寫入所有者：允許用戶或組為獲得主鍵的擁有權(quán)而獲得主鍵的使用權(quán)。讀取控制：允許用戶或組獲得一個選中的主鍵的平安信息。3、關(guān)閉和刪除多余的效勞在“管理工具->效勞〞中進(jìn)行設(shè)置。保護(hù)網(wǎng)絡(luò)連接：Win2K網(wǎng)絡(luò)連接是基于SMB協(xié)議工作的，微軟常稱它為“常用Internet文件系統(tǒng)〔CIFS〕〞。Win2K使用SMB通信，SMB位于MicrosoftNetworking的核心。默認(rèn)情況下，對網(wǎng)絡(luò)上傳輸?shù)腟MB信息包進(jìn)行加密。SMB連接過程如下：按加密強(qiáng)度升序排列的SMB慣用語有：PCNetworkProgram1.0，MicrosoftNetworks1.03，LanMan1.0，LM1.2X002，LanMan2.1，WindowsNTLM0.12，NTLMversion2.0協(xié)商慣用語建立一個TCP會話建立一個SMB會話訪問資源協(xié)商慣用語過程用來發(fā)現(xiàn)在效勞器和客戶端之間可以使用的SMB的最高版本，此時，驗證的強(qiáng)度依賴于客戶端，而客戶端可能強(qiáng)制使用過時的加密方法，這可通過配置客戶端只支持可能的最低的SMB客戶端實現(xiàn)。如果在SMB過程中驗證失敗，可能：拒絕訪問或建立一個空的SMB會話。而后者很危險，因為在默認(rèn)情況下，空會話的擁有者依然是Everyone組的成員，且任何Everyone組可訪問的目標(biāo)都可以被這個未授權(quán)的用戶訪問。黑客就能通過利用這些連接的應(yīng)用程序獲得系統(tǒng)賬戶和效勞的信息。防止空會話的方法是在“本地平安策略〞中修改注冊表，或直接修改注冊表的HKLM\System\CurrentControlSet\Control\Lsa\restrictanonymous〔默認(rèn)為0，1是限制賬戶和共享的列表顯示，2是限制所有的匿名訪問，除非FTP等效勞特許它的使用?！砈MB加密：對Win2K專業(yè)版工作站，可以關(guān)閉LANManager驗證，Win95/98/me、WindowsforWorkgroups和Samba都使用LANManager驗證，這將關(guān)閉客戶端的訪問，不可行。如果效勞器是一個標(biāo)準(zhǔn)的電子郵件、FTP或Web效勞器，可以平安的改變這個設(shè)置。另一個相同控制權(quán)的選項是讓效勞器強(qiáng)行決定允許的客戶端驗證類型，而不是讓客戶端做出決定。這個選項并非特別有效，因為效勞器將仍然向可能的客戶端發(fā)出它的所有慣用語。它的主要功能是阻止一個特殊攻擊〔SMB降級攻擊〕，這個攻擊使用多種信息包探測器監(jiān)聽SMB驗證過程，當(dāng)效勞器檢測這個過程時，它發(fā)出一個宣稱來自客戶端的信息，指出只有低端的、純明碼文本驗證可用，效勞器接受這個信息并建立會話，然后客戶端以明碼文本的形式傳輸密碼，攻擊系統(tǒng)可截獲并儲存這些信息。另一個有效的選項是啟動SMB簽名，使Win2K在所有的信息包上使用加密的簽名〔MD5〕防止哄騙攻擊，幫助消除可能的偽造信息。將HKLM\System\CurrentControlset\Services\lanmanserver\parameters\requiresecuritysignature的值改為1，可以啟動一個效勞器只接受被簽名的信息包，但客戶端還必須生成和只對簽名的信息包進(jìn)行響應(yīng)，客戶端還需要將HKLM\System\CurrentControlset\Services\Rdr\parameters\requiresecuritysignature的值改為1。4、其他配置更改如果不需要任務(wù)調(diào)度器，可以在“本地平安設(shè)置〞->“本地策略〞->“平安選項〞中實施以下改動：1〕保護(hù)打印機(jī)驅(qū)動程序：啟用“防止用戶安裝打印機(jī)驅(qū)動程序〞。2〕隱藏前一個登錄用戶名：防止對計算機(jī)進(jìn)行直接訪問的非法用戶知道合法用戶的用戶名，把HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName鍵值改為1。3〕關(guān)機(jī)時去除頁文件：頁文件保持一些被存儲的、敏感的，在頁文件使用期間沒有被覆蓋的信息。可以啟用“在關(guān)機(jī)時清理虛擬內(nèi)存頁面交換文件〞，將在關(guān)機(jī)時用隨機(jī)信息覆蓋全部的頁文件。4〕關(guān)閉登錄證書的緩存：Win2K通常在本地緩存一個用戶的登錄證書，如果一個域控制器失敗或聯(lián)系不到，這個用戶仍然可以登錄并在本地工作，證書緩存可能導(dǎo)致一個攻擊。需設(shè)置“可被緩沖保存的前次登錄個數(shù)〞為0。5〕建立一個交互式登錄信息：可以配置系統(tǒng)向任意一個交互式登錄的用戶顯示信息，一個交互式登錄信息不會阻止一個堅決的黑客，但可以幫助你向保險公司證明你已經(jīng)采取了措施保護(hù)系統(tǒng)。啟用“用戶試圖登錄時消息標(biāo)題/消息文字〞：用戶一按Ctrl+Alt+Del開始登錄時看到的對話框的標(biāo)題和文本信息。6〕保護(hù)可移動和大容量存儲器：可以只限制交互式用戶對存儲器訪問，啟用“只有本地登錄的用才能訪問CD-ROM/軟盤〞。7〕建立默認(rèn)的賬戶名。5、Microsoft效勞軟件包用來發(fā)布操作系統(tǒng)臨時的重大修改，稱作“熱修補〞，是用來糾正具體故障的特殊問題的補丁軟件。安裝補丁時，需要了解軟件包所做的修改及穩(wěn)定性，以免帶來不必要的問題。6、rlogin命令關(guān)閉rlogin。hosts.equiv：在支持rlogin的系統(tǒng)中，文件/etc/hosts.equiv通過將遠(yuǎn)程主機(jī)的名字放在其中，允許任意一個遠(yuǎn)程主機(jī)上的用戶在對遠(yuǎn)程目標(biāo)主機(jī)登錄時具有相同的信任關(guān)系。rlogin開始從上至下的檢查hosts.equiv文件，直到發(fā)現(xiàn)一個主機(jī)滿足遠(yuǎn)程系統(tǒng)的名字。該文件內(nèi)容的選項有、-@devils和+@angels，它們向rlogin指出，在主機(jī)“〞上的用戶可能用他們通常的沒有密碼的名字登錄到目標(biāo)主機(jī)，因此是一個可信任的主機(jī)。條目-@devils用于工作組，說明它不應(yīng)該被信任或允許登錄到目標(biāo)系統(tǒng)。如果工作組+@angels在目標(biāo)系統(tǒng)中有登錄用戶名，那么它是完全可信的并且被允許訪問。7、網(wǎng)絡(luò)信息系統(tǒng)〔NIS〕是建立分布式計算機(jī)環(huán)境的一個方法。它提供一個集中的用戶賬戶數(shù)據(jù)庫，將其存儲在一個單獨的效勞器上，叫主效勞器；客戶端可以訪問主效勞器進(jìn)行驗證，一旦通過驗證，這些客戶端就可以只有一個密碼登錄到多個效勞器上，允許用戶在網(wǎng)絡(luò)中的所有機(jī)器上具有唯一的賬戶。主效勞器可以把用戶數(shù)據(jù)庫備份到另一個效勞器上，稱作從效勞器。NIS允許維護(hù)對保持機(jī)器在網(wǎng)絡(luò)中正確操作必要的配置文件，它們從一個中心位置分配，而不需登錄每一臺機(jī)器修改配置。NIS+使用公共密鑰加密對有效的信任關(guān)系進(jìn)行保護(hù)。NIS的缺點：1〕后臺Portmapper程序：負(fù)責(zé)接受一個遠(yuǎn)程過程調(diào)用〔RPC〕。RPC允許本地主機(jī)上的一個應(yīng)用程序?qū)h(yuǎn)程主機(jī)上的應(yīng)用或后臺程序提出請求，后臺portmapper程序即時回復(fù)這個請求，并將這個請求映射到一個本地的效勞，通過分配一個臨時的端口完成。RPC不需要驗證，缺乏平安性。解決方案是：a〕使用一個包裝程序〔TCPWrappers〕，使你能夠限制對具備某些IP地址或域名的主機(jī)的訪問，但還是容易受得哄騙攻擊。b〕在一個強(qiáng)大的防火墻內(nèi)使用RPC，且信任所有內(nèi)部的主機(jī)。c〕使用平安RPC協(xié)議，通過一個基于公鑰的主機(jī)和用戶驗證方案解決一定范圍內(nèi)的驗證問題。2〕效勞器通過播送進(jìn)行聯(lián)系，任何可以訪問局域網(wǎng)的人都能夠建立一個效勞器并分配偽造的NIS映像。通過指定NIS效勞器的IP地址增強(qiáng)平安性。3〕明碼文本分配：NIS映像以明碼文本的方式進(jìn)行分配，特別是NIS密碼映像，它可以被任何可以訪問網(wǎng)絡(luò)的人使用ypcat程序讀取，看到加密的密碼?？梢酝ㄟ^分配一個隱蔽密碼映像增強(qiáng)平安性。4〕加密和驗證：默認(rèn)情況下，NIS不對驗證事務(wù)進(jìn)行加密，因此當(dāng)一個用戶改變其密碼時，在網(wǎng)絡(luò)中就會出現(xiàn)明碼文本形式的、未加密的密碼傳遞。8、網(wǎng)絡(luò)文件系統(tǒng)〔NFS〕用來在網(wǎng)絡(luò)中分布文件系統(tǒng)，NFS客戶端可以安裝一些文件系統(tǒng)，它們物理上位于其他NFS效勞器上，一個使文件系統(tǒng)可用于遠(yuǎn)程安裝的NFS效勞器被認(rèn)為是導(dǎo)出或共享這些文件系統(tǒng)。NFS效勞器在/etc/exports文件夾中列出要與客戶端共享的文件夾。NFS包括的應(yīng)用程序有：1〕分布式主目錄：某個文件系統(tǒng)被NFS效勞器導(dǎo)出并隨后被網(wǎng)絡(luò)中的一個計算機(jī)團(tuán)體安裝，如果一個用戶的主目錄位于這個文件系統(tǒng)上，那么這個用戶在哪個計算機(jī)上登錄都可以訪問到自己的文件。2〕集中軟件包的管理：NFS可以在一個效勞器上放置一個大型軟件包，然后允許客戶端安裝它；只需對導(dǎo)出局部的單一拷貝進(jìn)行管理權(quán)限的更改，客戶端主機(jī)就可以立即使用這個更新后的軟件包。3〕保存磁盤空間：可以在多個計算機(jī)之間，通過將很少改動的、大量的文件安裝在一個共享的NFS分區(qū)上共享這些文件。