《網(wǎng)絡攻擊與防御》課件第四章 基于系統(tǒng)的攻擊與防御

第四章基于系統(tǒng)的攻擊與防御4.1基于Windows的系統(tǒng)攻擊與防御4.2Linux系統(tǒng)的攻擊與防御 4.1基于Windows的系統(tǒng)攻擊與防御4.1.1系統(tǒng)口令攻擊1.口令攻擊概述

口令是網(wǎng)絡系統(tǒng)的第一道防線。當前的網(wǎng)絡系統(tǒng)都是通過口令來驗證用戶身份、實施訪問控制的。口令攻擊是指黑客以口令為攻擊目標，破解合法用戶的口令，或避開口令驗證過程，然后冒充合法用戶潛入目標網(wǎng)絡系統(tǒng)，奪取目標系統(tǒng)控制權的過程。在典型的計算機系統(tǒng)中，每個用戶都有一個固定的口令，除非用戶決定進行更改。當口令通過鍵盤輸入時，系統(tǒng)的身份認證內核模塊會對它進行加密運算，經(jīng)過運算后的加密字符串同系統(tǒng)的密碼表進行逐項比較，通常密碼表是一個存儲在計算機上的密碼文件，如果認證模塊發(fā)現(xiàn)某項與輸入的加密串等同，則允許登錄。基于這種密碼驗證原理，攻擊者攻擊目標時常常把破譯用戶的口令作為攻擊的開始。如果口令攻擊成功，黑客進入了目標網(wǎng)絡系統(tǒng)，他就能夠隨心所欲地竊取、破壞和篡改被侵入方的信息，直至完全控制被侵入方。所以，口令攻擊是黑客實施網(wǎng)絡攻擊最基本、最重要、最有效的方法之一。進行口令攻擊的前提是必須先得到該主機上的某個合法用戶的賬號，獲得普通用戶賬號的方法很多，例如：

(1)利用目標主機的Finger功能。使用finger[options]user[@address]格式的命令，可以讓使用者查詢一些其他使用者的資料，如用戶名、登錄時間等。例如：在Linux下使用Finger指令查詢本機管理員的資料：其操作方法如下：

Fingerroot

其結果如下：

Login:rootName:root

Directory:/rootShell:/bin/bash

Neverloggedin.

Nomail.

NoPlan.

(2)從電子郵件地址中收集。有些用戶的電子郵件地址常會透露其在目標主機上的賬號。

(3)查看主機是否有習慣性的賬號。有經(jīng)驗的用戶都知道，很多系統(tǒng)會使用一些習慣性的賬號，造成賬號的泄露。

2.口令攻擊的方法

口令攻擊主要采用以下幾種方法。

(1)猜測攻擊。也就是使用口令猜測程序進行攻擊?？诹畈聹y程序往往根據(jù)用戶定義口令的習慣來猜測用戶口令，像姓名縮寫、生日、寵物名、部門名等。在詳細了解用戶的社會背景之后，黑客可以列舉出幾百種可能的口令，并在很短的時間內完成猜測攻擊。

(2)字典攻擊。如果猜測攻擊不成功，攻擊者可以繼續(xù)擴大攻擊范圍，對所有英文單詞進行嘗試，程序將按序取出一個又一個的單詞，進行一次又一次嘗試，直到成功。對于一個有8萬個英文單詞的集合來說，入侵者不到一分半鐘就可以試完。所以，如果用戶的口令不太長或是單詞、短語，那么很快就會被破譯出來。

(3)窮舉攻擊。如果字典攻擊仍然不能夠成功，攻擊者可以采取窮舉攻擊。一般從長度為1的口令開始，按長度遞增進行嘗試攻擊。由于人們往往偏愛簡單易記的口令，因此窮舉攻擊的成功率很高。如果每千分之一秒檢查一個口令，那么86%的口令可以在一周內破譯出來。

(4)混合攻擊。該種攻擊方法結合了字典攻擊和窮舉攻擊的特點，先字典攻擊，再進行海量連續(xù)測試口令的方法進行攻擊。

(5)直接破解系統(tǒng)口令文件。所有的攻擊都不能夠奏效時，入侵者會尋找目標主機的安全漏洞和薄弱環(huán)節(jié)，伺機偷走存放系統(tǒng)口令的文件，然后破譯加密的口令，以便冒充合法用戶訪問這臺主機。

(6)網(wǎng)絡嗅探(sniffer)。通過嗅探器在局域網(wǎng)內嗅探明文傳輸?shù)目诹钭址?/p>

(7)鍵盤記錄。在目標系統(tǒng)中安裝鍵盤記錄后門，記錄操作員輸入的口令字符串，如很多間諜軟件、木馬等都可能會盜取用戶的口令。

(8)其他攻擊方式。中間人攻擊(Man-in-the-MiddleAttack，簡稱“MITM攻擊”)是一種“間接”的入侵攻擊，這種攻擊模式是通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網(wǎng)絡連接中的兩臺通信計算機之間，這臺計算機就稱為“中間人”。然后入侵者把這臺計算機模擬為一臺或兩臺原始計算機，使“中間人”能夠與原始計算機建立活動連接并允許其讀取或篡改傳遞的信息，然而兩個原始計算機用戶卻認為他們是在互相通信，因而這種攻擊方式并不很容易被發(fā)現(xiàn)，通過這種方式可以順利進入網(wǎng)絡獲取口令。

(9)社會工程學(SocialEngineering)。通過人際交往這一非技術手段以欺騙、套取的方式來獲得口令。

3.Windows操作系統(tǒng)的口令破解技術

在Windows系統(tǒng)中，以WindowsXP為例，由于系統(tǒng)本身保存密碼的特點和缺陷，以及系統(tǒng)管理員的疏忽，可以對系統(tǒng)口令進行本地的破解。下面介紹利用SAMInside工具實現(xiàn)針對WindowsXP系統(tǒng)口令的本地破解。

1)破解Syskey加密過的密碼文件

在Windows2003及后續(xù)系統(tǒng)中，本地的用戶名和密碼一般是保存在SAM密碼文件中的，SAM文件位于Windows目錄下的“system32\config”或“repair”文件夾中。用LC5之類的工具，可以直接從SAM文件中還原破解出登錄密碼。但是如果用戶運行位于“system32”文件夾下的“syskey.exe”程序時，將會出現(xiàn)一個賬戶數(shù)據(jù)庫加密提示界面，如圖4-1所示。

圖4-1運行syskey.exe文件圖4-2設置啟動密碼2)導入SAM密碼文件圖4-3運行SAMInside工具圖4-4選擇菜單

小提示：破解方式下拉選擇菜單中的“從SAM和SYSKEY注冊表文件導入”命令是常見的密碼破解方式，用于破解經(jīng)過Syskey加密的SAM文件。運行該命令后選擇相應的SAM文件及System文件后，即可像LC5一樣快速還原破解出登錄密碼。如果是破解遠程入侵主機的密碼，切記需要將主機上與SAM文件同一文件夾下的“Syskey”文件下載到本地進行破解。另外的幾個菜單選項命令是用來破解其他格式的密碼文檔的，比如?.LCP、.LCS、.LC格式密碼文件或PWDUMP文件等。圖4-5選擇SAM文件圖4-6打開syskey文件

3)導入SYSKEY加密文件

在SAMInside目錄下的tools子目錄下選擇GetSyskey工具，運行該工具可以生成SYSKEY文件，如圖4-7所示。圖4-7選擇Getsyskey文件

此工具是一個DOS命令行下使用的程序，格式如下：

GetSyskey<SYSTEM-file>[OutputSYSKEY-file]

其中SYSTEM-file表示系統(tǒng)中與SAM文件放在同一目錄下經(jīng)過Syskey加密過的“System”文件路徑，一般位于“C:\windows\system32\config\”或“C:\windows\repair\”下。運行命令“GetSyskeyC:\windows\repair\systemsyskey.key”。命令執(zhí)行后，提示“Thesystemkeyfile“syskey”iscreated.”，即可在DOS的運行目錄(筆者的運行目錄是C:\DocumentsandSettings\test)中生成一個16個字節(jié)的二進制代碼文件“syskey”，如圖4-8所示，將其導入SAMIniside中即可，如圖4-9所示。

圖4-8生成syskey文件圖4-9導入syskey文件

小提示：在破解的時候，要求SAM文件和SYSKEY-file未被使用中，也就是說假如我們要破解當前登錄的Windows系統(tǒng)的密碼的話，首先應該在DOS下或其他Windows系統(tǒng)中將SAM密碼文檔復制保存到其他的文件夾中，然后再從SAMinside中導入進行破解。否則將會出現(xiàn)“共享違例”的錯誤提示對話框，如圖4-10所示。圖4-10共享違例

4)選擇破解方式

將SAM文件和SYSKEY加密文檔導入后，在SAMIniside程序窗口中點擊工具欄上的“AttackOptions”按鈕，在彈出菜單中可以看到當前可使用的密碼破解方式。首先選擇使用“LMHashattack”或“NTHashattack”破解方式，其中LMHash只能破解長度為14位字符的密碼，而NTHash可以破解長度為32位字符的密碼。由于這里是在本機測試，知道密碼長度為7，因此選擇了“LMHashattack”破解方式。設置完密碼破解方式后，點擊“審計”菜單，選擇“開始攻擊”，即可開始破解選中用戶的登錄密碼了。很快就可以看到破解結果了，如圖4-11所示。圖4-11破解結果

4.?Windows操作系統(tǒng)的口令保護技術

Windows系統(tǒng)對口令的安全性做了很多設計，使用128位以上的加密技術，并支持Windows中幾乎所有的加密服務，如Kerberos、加密文件系統(tǒng)以及IPSec等。表4-1提供了Windows2003支持的多種不同的標準身份驗證協(xié)議，而這些方式使得Windows2003在口令安全上有了很大的選擇性。圖4-12注冊表中的SAM文件

保持口令安全的措施包括以下幾點：

·口令長度不要小于8位，并應同時包含大小寫字母、數(shù)字以及標點符號和控制字符。

·口令中不要使用常用單詞(避免字典攻擊)、英文簡稱、個人信息(如生日、名字、系統(tǒng)登錄名等)、年份以及機器中的命令等。

·不要將口令寫下來，不要將口令存于電腦文件中。

·不要在不同系統(tǒng)上，特別是不同級別的用戶上使用同一口令。

·為防止旁人竊取口令，輸入口令時應確認無人在身邊。

·定期改變口令；至少6個月改變一次。

·對口令文件進行隱藏。

·對用戶口令設置情況進行檢測，并強制用戶定期改變口令。任何一個脆弱的口令，都可能影響整個系統(tǒng)的安全。

·作為系統(tǒng)管理員應該定期運行破解口令的工具，來嘗試破解口令文件，若用戶的口令密碼輕易被破譯，說明用戶的密碼取得過于簡單或有規(guī)律可循，應盡快地更換密碼，以防止黑客的入侵。

保護好系統(tǒng)口令的另一個重要的方面就是合理地對系統(tǒng)的策略進行設置。以下介紹幾個策略設置的例子，系統(tǒng)策略的合理設置也有助于口令的保護。

(1)連接策略：默認情況下系統(tǒng)沒有設置登錄的失敗次數(shù)限制，導致可以被無限制地嘗試連接系統(tǒng)管理的共享資源。利用這個問題攻擊者可以進行口令的暴力猜測。解決這個問題的方法是設置用戶的訪問策略，定義用戶登錄失敗達到一定次數(shù)時鎖定賬號，并限制管理員遠程訪問。賬戶鎖定的策略在活動目錄中進行設定，設定的方法如下：

·在“開始”菜單中的“程序”中的“管理工具”中，選擇“本地安全策略”，如圖4-13所示。

·在“本地安全策略”中選擇“賬戶策略”，如圖4-14所示，其中的“密碼策略”可以對密碼的長度、密碼的存留時間等進行設置。比如：在“密碼必須符合復雜性要求”的選項中，系統(tǒng)默認是停用該功能，但推薦用戶在使用時將該功能開啟。圖4-13本地安全策略位置

·在“本地安全策略”中選擇“賬戶策略”，如圖4-14所示，其中的“密碼策略”可以對密碼的長度、密碼的存留時間等進行設置。比如：在“密碼必須符合復雜性要求”的選項中，系統(tǒng)默認是停用該功能，但推薦用戶在使用時將該功能開啟。圖4-14本地安全設置圖4-15賬戶鎖定策略圖4-16賬戶鎖定閾值設定圖4-16賬戶鎖定閾值設定圖4-17閾值修改界面

(2)管理員無法設置賬號鎖定：為抵御對用戶口令的暴力猜解，Windows2003提供了賬號策略，允許在某個賬號登錄失敗次數(shù)達到一定閾值時，將賬號鎖定。由于Administrator賬號的特殊性，Administrator賬號無法設置賬號鎖定，即使登錄失敗的次數(shù)達到閾值時，該賬號也不可能被鎖定。這是為了避免由于入侵者對管理員口令進行猜解而使得管理員賬號被鎖，管理員自己都無法登錄維護系統(tǒng)，這個設計使得管理員賬號無法受到賬號策略的保護。因此除了系統(tǒng)默認創(chuàng)建的Administrator賬號，還應該創(chuàng)建至少一個具有管理員特權的賬號，并且，把默認賬號Administrator改成另外一個名字。修改Administrator的名字，可以使得入侵者進行密碼猜解的難度加大，入侵者不僅要猜管理員的密碼，還必須首先知道管理員的用戶名。

4.1.2SMB/NetBIOS協(xié)議攻擊

1.?SMB/NetBIOS原理

SMB(ServerMessageBlock，服務器消息塊)是一種通過網(wǎng)絡在共享文件、設備、命名管道和郵槽之間操作數(shù)據(jù)的協(xié)議。CIFS(CommonInternetFileSystem)是SMB的一個公共版本。SMB中有兩種安全模式：共享級安全模式和用戶級安全模式。共享級安全模式把一個網(wǎng)絡上的共享資源同一個口令關聯(lián)起來，用戶通過這個正確的口令來訪問網(wǎng)絡資源；用戶級安全模式是對共享級模式的增強，它把一對用戶名/口令同共享資源關聯(lián)起來，所以如果某一個用戶需要訪問這種類型的共享資源，必須同時提供用戶名和口令。

NetBIOS(NetworkBasicInputOutputSystem，網(wǎng)絡基本輸入輸出系統(tǒng))是一種應用程序接口(API)，作用就是為局域網(wǎng)(LAN)添加特殊功能，幾乎所有的局域網(wǎng)電腦都是在NetBIOS基礎上工作的。Windows系統(tǒng)下的SMB可以運行在TCP/IP、DECnet和IPX/SPX協(xié)議之上，目前運行在端口TCP/139或端口TCP/445上，這主要依賴于NetBIOS是否運行在TCP/IP協(xié)議之上。Windows2003中SMB可以直接運行在TCP/IP協(xié)議上，端口是445(TCP)。Windows2003的NetBIOS通訊協(xié)議本身存在大量的安全漏洞，使得入侵者很容易收集到目標網(wǎng)絡的大量信息，當入侵者攻擊類似Windows2003、NT系統(tǒng)時，NetBIOS往往是首選的攻擊對象。針對SMB/BIOS協(xié)議進行攻擊的方法有很多種，下面我們將介紹一種具有代表性的空會話攻擊。

2.空會話(NullSession)攻擊

Windows2003可以使用協(xié)議同遠程主機建立一個會話。會話是通信雙方交換信息的安全通道，每次會話都包含了訪問資源所需的認證信息。而同遠程服務器建立的空會話則沒有用戶認證。換句話說，就好比是一個匿名訪問。在會話建立時用戶不提供用戶和口令憑證，所以令牌中不會包含用戶信息，因此建立會話雙方?jīng)]有密匙的交換，也不能在系統(tǒng)間發(fā)送加密信息和簽名信息。由于NULL會話沒有用戶的認證信息，攻擊者可以輕而易舉地通過空連接取得目標主機上的賬號信息。訪問令牌包含用戶的SID：“S-1-5-7”，以及用戶名“ANONYMOUSLOGON”。這個用戶名可以在用戶列表中看到，但不能在SAM數(shù)據(jù)庫中找到，屬于系統(tǒng)內置的賬號。

1)空會話的建立

從用戶的角度來看，在登錄系統(tǒng)或者訪問服務器的某些資源時需要同服務器建立會話。例如：名為“BOB”的用戶希望訪問名為“DATASTORE”的服務器上的共享資源“DATA”，那么它可以發(fā)布以下命令：netuse*\\DATASTROE\DATA*/user:BOB。

另一方面，如果允許空會話，即“DATA”共享是一個空共享，那么它只要輸入：netuse*\\DATASTORE\DATA“”/user:，BOB將作為匿名用戶獲得DATA共享的訪問權，而不需要提供用戶名和口令。

空會話可以把連接建立成空會話管道(NullSessionPipes)，如果服務器許可的話，管道是另一種工具，允許不同系統(tǒng)之間的進程相互通信?？諘掃€可以用來建立共享連接。包括

\\servername\IPC$?這類系統(tǒng)級共享，IPC$?是一種特殊的隱藏的共享，它給用戶提供了一個同服務器進程通信的接口，可以從遠程訪問。

2)空會話的攻擊方法

在默認的安全設置下，借助空會話可以列舉目標用戶和共享資源，訪問everyone權限的共享，訪問部分注冊表等。

最簡單的方法就是用netuse命令建立空會話，然后利用netview命令獲取目標系統(tǒng)的共享資源名列表。同時利用其他一些專用工具如enum還可以獲得用戶、機器名、口令、LSA策略信息等，甚至進行窮舉口令攻擊。

在此我們來看一個例子說明空會話的隱患：

Netuser\\server\IPC$“”/user:“”//建立一個空會話

Netview\\server//查看遠程服務器的共享資源

服務器名稱注釋

\\pc1

\\pc2

命令成功完成。

Nettime\\server//得到一個遠程服務器的當前時間

Nbtstat-Aserver//得到遠程服務器的NetBIOS用戶名列表NetbiosRemotemachinenametable

Nametypestatus

NULL<00>UNIQUERegistered

NULL<20>UNIQUERegistered

INTERNET<00>GROUPRegistered

XIXI<03>UNIQUERegistered

IS~NULL……<00>UNIQUERegistered

INTERNET<1E>GOURPRegistered

ADMINSTRATOR<03>UNIQUERegistered

INTERNET<1D>GOURPRegistered

.._MSBROWSE_.<01>GROUPRegistered

MACAddress=00-54-4f-34-d8-80

這里出現(xiàn)的兩個<03>，就是對方所有的用戶名

3)空會話攻擊的防御

預防空會話最簡單的方法就是設置復雜的密碼，防止通過IPC$窮舉密碼。但如果有其他漏洞，IPC$將為進一步入侵提供方便。

防范IPC$入侵的方法如下：

(1)禁止空會話。方法是修改以下注冊表鍵值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Restrictanonymous在Windows2003中將值改為“2”，表示限制所有的匿名訪問，除非明確許可。

(2)禁止自動打開默認共享。對于Windows2003Server來說，修改[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]，把AUTOShareWks(DWORD)的鍵值該為00000000。如果主鍵不存在，就新建一個再修改鍵值。

4.1.3NTFS文件系統(tǒng)

1.?NTFS格式

NTFS(NewTechnologyFileSystem，新技術文件系統(tǒng))是微軟專為WindowsNT操作環(huán)境所設計的文件系統(tǒng)，并且廣泛應用在WindowsNT的后續(xù)版本W(wǎng)indows2000、WindowsXP等中。與傳統(tǒng)的FAT/FAT32格式的文件系統(tǒng)相比，NTFS具有以下的優(yōu)勢：

·長文件名支持

·對文件目錄的安全控制

·先進的容錯能力

·不易受到病毒和系統(tǒng)崩潰的侵襲

而在這些優(yōu)勢中，NTFS文件系統(tǒng)最主要的特色是增了額外的安全功能，使得用戶能對Windows中的每一個對象賦予特定的訪問權限。對文件夾和文件可控制的權限包括：

·完全控制(包括讀、修改、刪除、運行和其他所有的權限)

·修改(包括讀、寫、修改、運行和列舉文件夾內容)

·讀取和運行(列出文件夾內容、讀文件、運行)

·列出文件夾目錄(文件夾才有的特殊權限)

·讀取(讀取文件、目錄內容)

·寫入(能修改文件，向目錄中寫入文件，但不能讀)

實際上，上面所列的基本權限設置都是一個權限設置的集合，具體的權限設置可在文件或文件夾對象屬性頁的安全屬性標簽的高級選項中進行控制。

2.?Windows中NTFS權限使用

1)?NTFS文件保護

要實現(xiàn)文件夾和文件級別的安全控制，前提條件是分區(qū)是NTFS分區(qū)。如果是FAT或者FAT32分區(qū)，是無法實現(xiàn)該功能的，其實如果電腦上只有一個Windows2003操作系統(tǒng)，

那么用NTFS分區(qū)是一個非常好的選擇，這將大大提高系統(tǒng)的穩(wěn)定性和安全性。如果分區(qū)是FAT32分區(qū)，那么可以通過這條命令來把它轉成NTFS分區(qū)：

convertx:/fs:ntfs

其中的x可以用實際的盤符替換。

使用了NTFS分區(qū)以后，必須為需要訪問一個資源的每一個用戶賬號授予NTFS權限，用戶必須獲得明確的授權才能訪問經(jīng)過設置的資源。如果沒有權限，那么它將被拒絕訪問該資源。打個比方：假設有一個文件，用戶對其進行NTFS權限設置，用戶設置成只有他自己和A用戶才能訪問，那么除了該用戶和A以外，其他任何賬戶登陸都將無法使用該文件，Windows2003會給出“沒有適當?shù)臋嘞拮x取”等字樣的提示。這就實現(xiàn)了該文件的安全性，而且該安全性無論是在計算機上還是在網(wǎng)絡上都有效，也就是說即使通過網(wǎng)絡連接到該計算機，也只有該用戶和A用戶可以使用該文件，其他人也是無法使用的，雖然該文件被共享，但是其他人只能看到有這個文件，卻不能讀取，如圖4-18所示。圖4-18NTFS文件保護

Windows2003中的AccessControlList(ACL，訪問控制列表)里面包含了可以訪問該資源的用戶的賬戶、組和計算機。當一個用戶訪問該資源時，必須在ACL中有它的賬號，Windows2003才允許該用戶訪問該資源，否則拒絕。

需要說明的是，Windows2003不是根據(jù)用戶名是否相同來識別用戶的。每一個賬號在創(chuàng)建的時候都有一個SecurityID(SID，安全標識符)，Windows2003是根據(jù)這個SID是否相同來識別用戶的，如果SID不一樣，就算用戶名等其他設置一模一樣，Windows2003也會認為是不一樣的兩個賬號，這就像我們在核查身份時，只認你的身份證是否符合，而不管你的名字是否相同是一個道理，而該SID是Windows2003在創(chuàng)建該賬號的時候隨機給的，所以說當刪除了一個賬號后，再次重新建立一個一模一樣的賬號，其SID和原來的那個不一樣，那么他的NTFS權限就必須重新設置。

2)文件權限設置

如何設置文件的權限呢？用鼠標右鍵點擊你想要設置權限的文件或者文件夾，選“屬性”→“安全”，這時可以看到允許使用該文件的賬號或者組，默認是都有Everyone組的，如圖4-19所示，該組表示所有的用戶，下面部分就是可以為該組或者賬號設置的權限。如果Everyone的權限設置為完全控制，那么意味著所有的用戶都可以隨意操作該文件，包括讀取、修改、刪除等，這也是Windows2003默認的權限。還可以添加賬號，為賬號設置權限，如圖4-20所示。圖4-19文件權限設置1圖4-20文件權限設置2

以下舉例說明具體的操作：

假設有一個文件叫做FILE，現(xiàn)要設置為只有USER1、USER2和USER3這三個用戶可以使用該文件，但是USER1用戶可以隨意操作該文件，USER2用戶只能讀取該文件，而不能進行如修改等其他操作，USER3可以讀取，可以寫入，但是不能刪除該文件。具體設置步驟如下：

(1)右鍵點擊FILE，選“屬性”→“安全”。

(2)將下面的“允許將來自父系的可繼承權限傳播給該對象”前面的勾去掉。此時會彈出一個對話框，選“刪除”。也就是說把上面的Everyone等所有的賬號刪除。

(3)點“添加”，彈出一個對話框，選中USER1，添加，確定。

(4)然后選中USER1，將“完全控制”后面的“允許”打上勾。

(5)依照前面的方法添加USER2。

(6)選中USER2，將“讀取”后面的“允許”打勾，其他的勾全部去掉。

(7)添加USER3。

(8)選中USER3，將“修改”后面的“允許”打勾，確認“完全控制”的勾去掉。

(9)選“高級”，選中USER3，點“查看/編輯”，將“刪除”后面“允許”的勾去掉。

這時，用USER1登錄，就可以完全控制該文件。用USER2登錄，可以打開該文件，當保存的時候會出現(xiàn)“不能創(chuàng)建FILE，請確認路徑和文件名是否正確”的提示框，這說明現(xiàn)在USER2無法保存該文件，當然也無法進行其他操作，只能讀取該文件。用USER3登錄，可以打開該文件，也可以保存，當刪除該文件的時候會出現(xiàn)“無法刪除FILE：拒絕訪問。源文件可能正在使用”的提示框，說明無法刪除該文件。

至于給文件夾設置權限，步驟和上面差不多，不過文件夾會多了一個“繼承”，也就是說可以選擇權限設置是僅僅對該文件夾進行起作用，還是對該文件夾和該文件夾的子文件夾及文件起作用。只要將“重置所有子對象的權限并允許傳播可繼承權限”前面打勾就可以了。

3)多重權限

當然，在權限分配中還存在著多重權限的問題，在多重權限中應該遵循以下幾個原則：

(1)用戶對資源的有效權限是分配給該個人用戶賬戶和用戶所屬的組的所有權限的總和。如果用戶對文件具有“讀取”權限，該用戶所屬的組又對該文件具有“寫入”的權限，那么該用戶就對該文件同時具有“讀取”和“寫入”的權限。

(2)文件權限高于文件夾權限。NTFS文件權限對于NTFS文件夾權限具有優(yōu)先權，假設你能夠訪問一個文件，那么即使該文件位于你不具有訪問權限的文件夾中，你也可以進行訪問(前提是該文件沒有繼承它所屬的文件夾的權限)。

(3)拒絕權限高于其他權限。拒絕權限可以覆蓋所有其他的權限。甚至作為一個組的成員有權訪問文件夾或文件，但是該組被拒絕訪問，那么該用戶本來具有的所有權限都會被鎖定而導致無法訪問該文件夾或文件。也就是說上面第一點的權限累積原則將失效。

4.1.4文件系統(tǒng)加密與保護

1.文件系統(tǒng)加密

文件加密系統(tǒng)(EFS)是WindowsXP的一項新功能，也應用于之后的Windows操作系統(tǒng)中，任何在NTFS上的文件和文件夾都可被授權用戶進行加密。EFS使用的是擴展的數(shù)據(jù)加密標準(DESX)，能讓用戶在一個硬盤上使用公鑰加密去保護數(shù)據(jù)。如果硬盤上的文件已經(jīng)使用EFS進行了加密，這樣即使一個攻擊者能訪問硬盤，由于沒有解密的Key，文件也是不可用的。

1)加密操作

(1)利用WindowsXP資源管理器選中待設置加密屬性的文件或文件夾(如文件夾為“WindowsXP”)。

(2)單擊鼠標右鍵，選擇“屬性”，啟動“WindowsXP屬性”對話框窗口。

(3)單擊“常規(guī)”選項卡中的[高級]按鈕，啟動“高級屬性”對話框，如圖4-21所示。

(4)選擇“壓縮或加密屬性”框中的“加密內容以便保護數(shù)據(jù)”復選框，單擊[確定]按鈕，即可完成文件或文件夾的加密。

圖4-21文件系統(tǒng)加密

2)解密操作

(1)利用WindowsXP資源管理器選中待設置加密屬性的文件或文件夾(如文件夾為“WindowsXP”)。

(2)單擊鼠標右鍵，選擇“屬性”，啟動“WindowsXP屬性”對話框窗口。

(3)單擊“常規(guī)”選項卡中的[高級]按鈕，啟動“高級屬性”對話框。

(4)清除“高級屬性”對話框“壓縮或加密屬性”框中的“加密內容以便保護數(shù)據(jù)”復選框中的“√”(如圖4-22所示)。

此外，在NTFS分區(qū)上復制和移動加密文件，文件的加密狀態(tài)會繼續(xù)保持，但是將加密文件復制或者移動到一個非NTFS分區(qū)時，例如從NTFS分區(qū)移動到FAT分區(qū)時，文件加密狀態(tài)丟失，文件加載復制的過程中就已經(jīng)被解密了。

2.文件系統(tǒng)保護

WindowsXP提供了兩種方式對系統(tǒng)文件進行保護，一種是瀏覽保護，一種是文件保護。

1)瀏覽保護

當用戶打開WindowsXP的系統(tǒng)文件夾時，文件夾的所有資料都是被隱藏的，會出現(xiàn)如圖4-22所示的警告信息。用戶必須先單擊“顯示文件”才能看到系統(tǒng)目錄下的資料。這是WindowsXP為保護系統(tǒng)文件的一項措施。不啟用瀏覽保護模式的設置如下：將文件夾“菜單”工具下的“文件夾選項”對話框“常規(guī)”標簽中的“Web”視圖選項由默認的“允許文件夾中使用Web內容”改為“使用Windows傳統(tǒng)風格的文件夾”。圖4-22瀏覽保護

2)Windows文件保護

Windows中有大量重要的系統(tǒng)文件，這些文件如果受到破壞，可能會引起Windows系統(tǒng)的運行效率降低甚至無法正常運行。在WindowsXP中設計了“Windows文件保護”來確保WindowsXP重要系統(tǒng)文件的安全?！癢indows文件保護”能阻止替換受保護的系統(tǒng)文件，這些受保護的文件包括.sys、.dll、.exe、.ttf等系統(tǒng)文件。

Windows文件保護能檢測其他程序是否在替換或移動受保護的系統(tǒng)文件，同時檢查文件的數(shù)字簽名以確定新文件是否是正確的Microsoft版本。默認情況下總是啟用Windows文件保護，只有通過以下方法才允許替換受保護的系統(tǒng)文件：

?執(zhí)行Update.exe安裝WindowsXPServicePack

?Windows更新

?使用Winnt32.exe升級操作系統(tǒng)

4.1.5安全恢復

1.安全恢復

從一定程度上說，如果系統(tǒng)沒有完善的安全恢復機制，即使有完善的保安措施，也不能認為是安全的。運行中的系統(tǒng)隨時都有發(fā)生崩潰的可能，崩潰會造成系統(tǒng)數(shù)據(jù)的丟失，這是無法避免的，造成系統(tǒng)崩潰的原因可能有很多種：

?硬件問題，硬件的物理損壞導致系統(tǒng)無法工作。

?病毒破壞，由于病毒、木馬軟件對系統(tǒng)的破壞造成系統(tǒng)崩潰。

?程序問題，由于安裝新軟件產生兼容性問題導致系統(tǒng)崩潰。

?人為失誤，由于人為的操作失誤對系統(tǒng)的破壞導致系統(tǒng)無法工作。

?人為破壞，人為的惡意破壞導致系統(tǒng)的癱瘓。

?自然災害，由不可抗拒的問題導致系統(tǒng)崩潰，如火災等。

因此，創(chuàng)建好的安全恢復機制能最大程度地恢復系統(tǒng)中的寶貴數(shù)據(jù)。常見的恢復機制主要有以下幾點：

(1)創(chuàng)建系統(tǒng)緊急修復盤。WindowsXP系統(tǒng)可將系統(tǒng)的基本信息(如口令和注冊信息)保存在ERD(緊急修復磁盤)中，當系統(tǒng)發(fā)生故障時，管理員可通過緊急修復磁盤恢復系統(tǒng)的基本信息。緊急修復磁盤可以通過“系統(tǒng)工具”中的“備份”來創(chuàng)建。當安裝并配置好一臺服務器之后，有必要創(chuàng)建一個應急修復磁盤，并將應急修復磁盤保存在一個安全的地方，當系統(tǒng)發(fā)生故障時，應急修復磁盤對管理員修復系統(tǒng)起到關鍵性的作用。

(2)定期對系統(tǒng)中的重要數(shù)據(jù)進行備份。從理論上說，只要有足夠的備份，系統(tǒng)就能完全恢復到故障前的狀態(tài)，因此備份對系統(tǒng)崩潰后的數(shù)據(jù)恢復起著很重要的作用。WindowsXP系統(tǒng)中自帶的軟件提供了備份和還原的功能。用戶也可安裝專業(yè)的備份和還原軟件來備份系統(tǒng)。

2.安全設置

1)設置賬戶安全策略

對賬戶安全策略和密碼安全策略分別進行設置。

(1)開啟賬戶策略。

在“開始”→“運行”中輸入gpedit.msc，回車，出現(xiàn)組策略窗口，如圖4-23所示。

圖4-23組策略圖4-24安全設置圖4-25賬戶策略可進行如下的賬戶策略設置，開啟賬戶策略可以有效地防止字典式攻擊。

?復位賬戶鎖定計數(shù)器——30分鐘之后

在此后復位賬戶鎖定計數(shù)器。此安全設置確定在某次登錄嘗試失敗之后將登錄嘗試失敗計數(shù)器重置為0次錯誤登錄嘗試之前需要的時間。可用范圍是1到99999分鐘。

如果定義了賬戶鎖定閾值，此重置時間必須小于或等于賬戶鎖定時間。

默認值：無，因為只有在指定了賬戶鎖定閾值時，此策略設置才有意義。

?賬戶鎖定時間——30分鐘

賬戶鎖定時間。此安全設置確定鎖定賬戶在自動解鎖之前保持鎖定的分鐘數(shù)。可用范圍從0到99999分鐘。如果將賬戶鎖定時間設置為0，賬戶將一直被鎖定直到管理員明確解除對它的鎖定。

如果定義了賬戶鎖定閾值，則賬戶鎖定時間必須大于或等于重置時間。

默認值：無，因為只有在指定了賬戶鎖定閾值時，此策略設置才有意義。

?賬戶鎖定閾值——5次無效登錄

賬戶鎖定閾值。此安全設置確定導致用戶賬戶被鎖定的登錄嘗試失敗的次數(shù)。在管理員重置鎖定賬戶或賬戶鎖定時間期滿之前，無法使用該鎖定賬戶?？梢詫⒌卿泧L試失敗次數(shù)設置為介于0和999之間的值。如果將值設置為0，則永遠不會鎖定賬戶。

在使用Ctrl+Alt+Del或密碼保護的屏幕保護程序鎖定的工作站或成員服務器上的密碼嘗試失敗將計作登錄嘗試失敗。

默認值：0。

賬戶策略設置如圖4-26所示。

圖4-26設置賬戶策略

(2)開啟密碼策略。

密碼對系統(tǒng)安全非常重要，本地安全設置中的密碼策略在默認的情況下都沒有開啟。選擇密碼策略，如圖4-27所示。圖4-27密碼策略可進行如下的密碼策略設置：

?“密碼必須符合復雜性要求”已啟用。

此安全設置確定密碼是否必須符合復雜性要求。如果啟用此策略，密碼必須符合下列最低要求：

①不能包含用戶的賬戶名，不能包含用戶姓名中超過兩個連續(xù)字符的部分。

②至少有六個字符長。

③包含以下四類字符中的三類字符：英文大寫字母(A到Z)；英文小寫字母(a到z)；10個基本數(shù)字(0到9)；非字母字符(例如!、$、#、%)。

更改或創(chuàng)建密碼時，會強制執(zhí)行復雜性要求。

默認值：在域控制器上啟用；在獨立服務器上禁用。

圖4-28出錯提示

?密碼長度最小值——6個字符此安全設置確定用戶賬戶密碼包含的最少字符數(shù)?？梢栽O置為1到14個字符之間的某個值，或者將字符數(shù)設置為0以確定不需要密碼。默認值：在域控制器上為7；在獨立服務器上為0。注意：默認情況下，成員計算機沿用各自域控制器的配置。

?密碼最長存留期——15天

此安全設置確定在系統(tǒng)要求用戶更改某個密碼之前可以使用該密碼的時間(以天為單位)?？梢詫⒚艽a設置為在某些天數(shù)(1到999之間)后到期，或者將天數(shù)設置為0，指定密碼永不過期。如果密碼最長使用期限介于1和999天之間，那么密碼最短使用期限必須小于密碼最長使用期限。如果將密碼最長使用期限設置為0，則可以將密碼最短使用期限設置為介于0和998天之間的任何值。

注意：最佳安全操作是將密碼設置為30到90天后過期，具體取決于用戶的環(huán)境。這樣，攻擊者用來破解用戶密碼以及訪問網(wǎng)絡資源的時間將受到限制。

默認值：42。

?密碼最短存留期——1天

此安全設置確定在用戶更改某個密碼之前必須使用該密碼一段時間(以天為單位)?？梢栽O置為1到998天之間的某個值，或者將天數(shù)設置為0，允許立即更改密碼。

密碼最短使用期限必須小于密碼最長使用期限，除非將密碼最長使用期限設置為0，指定密碼永不過期。如果將密碼最長使用期限設置為0，則可以將密碼最短使用期限設置為介于0和998之間的任何值。

如果希望“強制密碼歷史”有效，則需要將密碼最短使用期限設置為大于0的值。如果沒有設置密碼最短使用期限，則用戶可以循環(huán)選擇密碼，直到獲得期望的舊密碼。默認設置沒有遵從此建議，以便管理員能夠為用戶指定密碼，然后要求用戶在登錄時更改管理員定義的密碼。如果將密碼歷史設置為0，用戶將不必選擇新密碼。因此，默認情況下將“強制密碼歷史”設置為1。

默認值：在域控制器上為1；在獨立服務器上設置為0。

注意：默認情況下，成員計算機沿用各自域控制器的配置。

?強制密碼歷史——5個記住的密碼

此安全設置確定再次使用某個舊密碼之前必須與某個用戶賬戶關聯(lián)的唯一新密碼數(shù)。該值必須介于0個和24個之間。此策略使管理員能夠通過確保舊密碼不被連續(xù)重新使用來增強安全性。

默認值：在域控制器上為24；在獨立服務器上為0。

注意：默認情況下，成員計算機沿用各自域控制器的配置。

若要維護密碼歷史的有效性，還要同時啟用密碼最短使用期限安全策略設置，不允許在密碼更改之后立即再次更改密碼。有關密碼最短使用期限安全策略設置的信息，請參閱“密碼最短使用期限”。

?為域中所有用戶使用可還原的加密來存儲密碼——已停用

使用此安全設置確定操作系統(tǒng)是否使用可還原的加密來存儲密碼。此策略為某些應用程序提供支持，這些應用程序使用的協(xié)議需要用戶密碼來進行身份驗證。使用可還原的加密存儲密碼與存儲純文本密碼在本質上是相同的。因此，除非應用程序需求比保護密碼信息更重要，否則絕不要啟用此策略。

通過遠程訪問或Internet身份驗證服務(IAS)使用質詢握手身份驗證協(xié)議(CHAP)驗證時需要設置此策略。在Internet信息服務(IIS)中使用摘要式身份驗證時也需要設置此策略。

默認值：禁用。

密碼策略設置如圖4-29所示。

圖4-29設置密碼策略

2)網(wǎng)絡安全策略

(1)關閉不必要的端口。

關閉端口意味著減少功能，在安全和功能上面需要你做一點決策。

具體方法為：打開“網(wǎng)上鄰居/屬性/本地連接/屬性/internet協(xié)議(TCP/IP)/屬性/高級/選項/TCP/IP篩選/屬性”打開“TCP/IP篩選”，添加需要的TCP、UDP協(xié)議即可。

①關閉自己的139端口，IPC和RPC漏洞存在于此。

關閉139端口的方法是在“網(wǎng)絡和撥號連接”→“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性，進入“高級TCP/IP設置”→“WINS設置”，里面有一項“禁用TCP/IP上的NetBIOS”，打勾重啟后就關閉了139端口，如圖4-30所示。

圖4-30關閉139端口②關閉445端口。

修改注冊表，添加一個鍵值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，在右面的窗口建立一個SMBDeviceEnabled為REG_DWORD類型，鍵值為0這樣就OK了。

③關閉3389端口。

在“我的電腦”上點右鍵選“屬性”→“遠程”，將里面的“遠程協(xié)助”和“遠程桌面”兩個選項框里的勾去掉，如圖4-31所示。

圖4-31關閉3389端口

設置完成后，可以運行CMD輸入netstat-na，查看這些端口是否已經(jīng)關閉。

(2)刪除本地共享資源。

①查看本地共享資源。運行CMD，輸入netshare，如圖4-32所示。如果看到有異常的共享，那么應該關閉。但是有時剛關閉共享下次開機的時候又出現(xiàn)了，這時應該考慮一下機器是否已經(jīng)被黑客所控制，或者中了病毒。圖4-32本地共享資源②刪除共享。圖4-32中顯示C、D、E、ADMIN是默認共享，可以通過如下命令進行刪除。

netshareadmin$/delete

netsharec$/delete

netshared$/delete(如果有e、f……可以繼續(xù)刪除)

刪除默認共享ADMIN如圖4-33所示。

③刪除ipc$空連接。在“開始”→“運行”中輸入regedit，在注冊表中找到HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSA鍵下面的RestrictAnonymous值由0改為1。

圖4-33刪除默認共享ADMIN圖4-34防止RPC漏洞

3)應用安全策略設置

(1)禁用服務。

打開控制面板，進入“管理工具”→“服務”，如圖4-35所示。圖4-35服務關閉以下服務：

?Alerter(通知選定的用戶和計算機管理警報)

?ClipBook(啟用“剪貼簿查看器”儲存信息并與遠程計算機共享)

?DistributedFileSystem(將分散的文件共享合并成一個邏輯名稱，共享出去，關閉后遠程計算機無法訪問共享)

?DistributedLinkTrackingServer(適用局域網(wǎng)分布式鏈接)

?IndexingService(提供本地或遠程計算機上文件的索引內容和屬性，泄露信息)

?Messenger(警報)

?NetMeetingRemoteDesktopSharing(NetMeeting公司留下的客戶信息收集)

?NetworkDDE(為在同一臺計算機或不同計算機上運行的程序提供動態(tài)數(shù)據(jù)交換)

?NetworkDDEDSDM(管理動態(tài)數(shù)據(jù)交換(DDE)網(wǎng)絡共享)

?RemoteDesktopHelpSessionManager(管理并控制遠程協(xié)助)

?RemoteRegistry(使遠程計算機用戶修改本地注冊表)

?RoutingandRemoteAccess(在局域網(wǎng)和廣域網(wǎng)中提供路由服務，黑客利用路由服務刺探注冊信息)

?Server(支持此計算機通過網(wǎng)絡的文件、打印和命名管道共享)

?TCP/IPNetBIOSHelper(提供TCP/IP服務上的NetBIOS功能，以及為網(wǎng)絡上的客戶端提供NetBIOS名稱解析功能，允許用戶共享文件、打印和登錄到網(wǎng)絡)

?Telnet(允許遠程用戶登錄到此計算機并運行程序)

?TerminalServices(允許用戶以交互方式連接到遠程計算機)

?WindowsImageAcquisition(WIA)(為掃描儀和數(shù)碼相機提供圖像捕獲)

如果發(fā)現(xiàn)機器開啟了一些很奇怪的服務，必須馬上停止該服務，因為這完全有可能是黑客用來控制程序的服務端。

(2)本地策略。

打開管理工具，找到本地安全設置→“本地策略”→“審核策略”，如圖4-36所示。

圖4-36審核策略進行如下的本地策略設置：

?審核策略更改——成功+失敗

此安全設置確定是否審核用戶權限分配策略、審核策略或信任策略的每一個更改事件。

如果定義此策略設置，可以指定是否審核成功、審核失敗或者根本不審核該事件類型。成功審核在成功更改用戶權限分配策略、審核策略或信任策略時生成審核項。失敗審核在更改用戶權限分配策略、審核策略或信任策略失敗時生成審核項。

若要將該值設置為“無審核”，請在此策略設置的“屬性”對話框中選擇“定義這些策略設置”復選框，清除“成功”和“失敗”復選框。

默認值：在域控制器上為“成功”；在成員服務器上為“無審核”。

?審核登錄事件——成功+失敗

此安全設置確定是否審核用戶登錄或注銷計算機的每個實例。

對于域賬戶活動，在域控制器上生成賬戶登錄事件；對于本地賬戶活動，在本地計算機上生成賬戶登錄事件。如果同時啟用賬戶登錄和登錄審核策略類別，使用域賬戶的登錄在工作站或服務器上生成登錄或注銷事件，并且在域控制器上生成賬戶登錄事件。此外，在成員服務器或工作站上使用域賬戶的交互式登錄將在域控制器上生成登錄事件，與此同時在用戶登錄時還檢索登錄腳本和策略。有關賬戶登錄事件的詳細信息，請參閱“審核賬戶登錄事件”。如果定義此策略設置，可以指定是否審核成功、審核失敗或者根本不審核事件類型。成功審核在登錄嘗試成功時生成審核項。失敗審核在登錄嘗試失敗時生成審核項。

若要將該值設置為“無審核”，請在此策略設置的“屬性”對話框中，選擇“定義這些策略設置”復選框，清除“成功”和“失敗”復選框。

默認值：成功。

?審核對象訪問——失敗

此安全設置確定是否審核用戶訪問指定了它自己的系統(tǒng)訪問控制列表(SACL)的對象(例如文件、文件夾、注冊表項、打印機等)的事件。

如果定義此策略設置，可以指定是否審核成功、審核失敗或者根本不審核該事件類型。成功審核在用戶成功訪問指定了相應SACL的對象時生成審核項。失敗審核在用戶嘗試訪問指定了SACL的對象失敗時生成審核項。

若要將該值設置為“無審核”，請在此策略設置的“屬性”對話框中選擇“定義這些策略設置”復選框，清除“成功”和“失敗”復選框。

請注意，使用文件系統(tǒng)對象“屬性”對話框中的“安全”選項卡，可以在該對象上設置SACL。

默認值：無審核。

?審核跟蹤過程——無審核

此安全設置確定是否審核事件的詳細跟蹤信息，例如程序激活、進程退出、句柄復制以及間接對象訪問。

如果定義此策略設置，可以指定是否審核成功、審核失敗或者根本不審核該事件類型。成功審核在被跟蹤的進程成功時生成審核項。失敗審核在被跟蹤的進程失敗時生成審核項。

若要將該值設置為“無審核”，請在此策略設置的“屬性”對話框中選擇“定義這些策略設置”復選框，清除“成功”和“失敗”復選框。

默認值：無審核

?審核目錄服務訪問——失敗

此安全設置確定是否審核用戶訪問指定了它自己的系統(tǒng)訪問控制列表(SACL)的ActiveDirectory對象的事件。

默認情況下，此值在默認域控制器組策略對象(GPO)中設置為“無審核”，并且對于其不具意義的工作站和服務器保持為“未定義”。

如果定義此策略設置，可以指定是否審核成功、審核失敗或者根本不審核事件類型。成功審核在用戶成功訪問指定了SACL的ActiveDirectory對象時生成審核項。失敗審核在用戶嘗試訪問指定了SACL的ActiveDirectory對象失敗時生成審核項。若要將該值設置為“無審核”，請在此策略設置的“屬性”對話框中，選擇“定義這些策略設置”復選框，清除“成功”和“失敗”復選框。

?審核特權使用——失敗

此安全設置確定是否審核執(zhí)行用戶權限的用戶的每個實例。

如果定義此策略設置，可以指定是否審核成功、審核失敗或者根本不審核此類型的事件。成功審核在用戶權限執(zhí)行成功時生成審核項。失敗審核在用戶權限執(zhí)行失敗時生成審核項。

若要將該值設置為“無審核”，請在此策略設置的“屬性”對話框中選擇“定義這些策略設置”復選框，清除“成功”和“失敗”復選框。

默認值：無審核。

使用下列用戶權限時不生成審核，即使為“審核權限使用”指定了成功審核或失敗審核。啟用對這些用戶權限的審核往往會在安全日志中生成許多事件，這會影響計算機的性能。若要審核下列用戶權限，請啟用FullPrivilegeAuditing注冊表項。

繞過遍歷檢查

調試程序

創(chuàng)建令牌對象

替換進程級令牌

生成安全審核

備份文件和目錄

還原文件和目錄

?審核系統(tǒng)事件——成功+失敗

此安全設置確定在用戶重新啟動或關閉計算機時或者在發(fā)生影響系統(tǒng)安全或安全日志的事件時是否審核。

如果定義此策略設置，可以指定是否審核成功、審核失敗或者根本不審核該事件類型。成功審核在系統(tǒng)事件執(zhí)行成功時生成審核項。失敗審核在系統(tǒng)事件嘗試失敗時生成審核項。

若要將該值設置為“無審核”，請在此策略設置的“屬性”對話框中選擇“定義這些策略設置”復選框，清除“成功”和“失敗”復選框。

默認值：在域控制器上為“成功”；在成員服務器上為“無審核”。

?審核賬戶登錄事件——成功+失敗

此安全設置確定是否審核用戶登錄或注銷另一臺計算機(用于驗證賬戶)的每個實例。在域控制器上對域用戶賬戶進行身份驗證時會生成賬戶登錄事件。該事件記錄在域控制器的安全日志中。在本地計算機上對本地用戶進行身份驗證時會生成登錄事件。該事件記錄在本地安全日志中，不生成賬戶注銷事件。

如果定義此策略設置，可以指定是否審核成功、審核失敗或者根本不審核事件類型。成功審核在賬戶登錄嘗試成功時生成審核項。失敗審核在賬戶登錄嘗試失敗時生成審核項。

若要將該值設置為“無審核”，請在此策略設置的“屬性”對話框中選擇“定義這些策略設置”復選框，清除“成功”和“失敗”復選框。

如果在域控制器上為賬戶登錄事件啟用成功審核，則為該域服務器驗證的每位用戶記錄審核項，即使該用戶事實上已登錄到加入該域的工作站上。

默認值：成功。

?審核賬戶管理——成功+失敗

此安全設置確定是否審核計算機上的每個賬戶管理事件。賬戶管理事件示例包括：創(chuàng)建、更改或刪除用戶賬戶；重命名、禁用或啟用用戶賬戶；設置或更改密碼。

如果定義此策略設置，可以指定是否審核成功、審核失敗或者根本不審核事件類型。成功審核在賬戶管理事件成功時生成審核項。失敗審核在賬戶管理事件失敗時生成審核項。

若要將該值設置為“無審核”，請在此策略設置的“屬性”對話框中選擇“定義這些策略設置”復選框，清除“成功”和“失敗”復選框。

默認值：在域控制器上為“成功”；在成員服務器上為“無審核”。

4.2Linux系統(tǒng)的攻擊與防御4.2.1基于Linux的口令攻擊與防御

1.?Linux口令基礎

幾乎所有的類UNIX操作系統(tǒng)的口令文件的格式都雷同，Linux亦不例外。早期的Linux系統(tǒng)的“/etc/passwd”是存放用戶基本信息的口令文件。登錄時，用戶需要提供用戶名和口令，操作系統(tǒng)根據(jù)用戶名查找/etc/passwd文件中與之相對應的記錄，以獲得口令的密文，然后將用戶輸入的口令傳遞給加密函數(shù)crypt()產生密文。如果兩個密文一致，則允許用戶訪問系統(tǒng)。/etc/passwd文件的每一行都包含由6個冒號分隔的7個域：

username:passwd:uid:gid:comments:directory:shell

?username：用戶登錄使用的名字。

?passwd：口令密文域，一般常見的是使用DES、MD5算法。

?uid：系統(tǒng)用于唯一標識用戶名的數(shù)字。0表示超級用戶；1～10表示守護程序和偽用戶；11～99表示系統(tǒng)保留用戶；100以后為正常用戶。

?gid：表示用戶所在默認組號。由/etc/group文件決定。

?comments：描述用戶的個人信息。

?directory：定義用戶的初始工作目錄即賬號登錄后所處的目錄。

?shell：指定用戶登錄到系統(tǒng)后啟動的外殼程序，一般為/bin/bash、/bin/csh。

2.Linux口令破解

與攻擊Windows系統(tǒng)相同，對Linux的口令破解也是一種獲得計算機權限的最好方法。在前面章節(jié)中說過，Windows系統(tǒng)的口令安全性比不上Linux系統(tǒng)的口令安全性，但這并不意味著Linux系統(tǒng)的口令系統(tǒng)是無懈可擊的。Linux和UNIX下的權限是比較嚴格的，很多系統(tǒng)的功能是不對普通用戶開放的。黑客們經(jīng)常使用的工具都需要調用系統(tǒng)的高級功能，而且這些功能需要高的權限。無論是直接攻擊還是遠程攻擊都需要高的權限，因此root賬號的口令也就成為了Linux和UNIX口令安全的焦點之一。多數(shù)口令破解工具可以從某個字典選擇常用的單詞(字典攻擊)或設定常見的口令模式來破解，口令破解通常要獲得/etc/passwd文件的拷貝，然后在自己的機器上執(zhí)行口令破解工具。Linux系統(tǒng)的很多服務都是通過用戶ID/口令的組合來實施訪問控制的。因此不可避免地都會受到口令的暴力攻擊。容易受到口令暴力攻擊的服務包括：

?Telnet服務

?FTP

?R命令

?安全shell

?SNMP團體名字(CommunityNames)

?郵局協(xié)議(PostOfficeProtocol，POP)

?超文本協(xié)議(HTTP)

針對這些服務的口令攻擊通常不需要手工完成，在網(wǎng)上有大量的口令猜測工具。在此我們將介紹一些著名的UNIX口令破解程序。

1)Crack

Crack是最有名的UNIX口令破解程序之一，是破解標準的UNIX8字符DES加密口令的程序。它由AlecD.E.Muffett編寫，工作原理十分簡單。Crack程序中包含了幾個很大的字典庫，進行破解時它會按照一定的規(guī)則將字詞進行組合，然后對之進行加密，再與要解破的加密口令匹配。在使用中，如果口令文件很小，時間和資源都不成問題，但是如果口令文件比較大，則要花費很長的時間和耗費相當多的資源，所以需要10MB左右的硬盤空間，會占用大量CPU時間。

下載Crack文件時，用戶不能像Windows2000那樣下載可執(zhí)行文件，當下載源代碼文件后，還要編譯和配置程序?？梢允褂胓unzipcrack5.0.tar.z命令解壓文件，這個過程中會創(chuàng)建一個名為crack5.0.tar的文件，然后使用tar–xvfcrack5.0.tar命令untar這個文件。當tar文件解開后，會產生一個名為e50a的目錄，其子目錄中存放配置文件、文檔、腳本、源代碼等。隨后需要編輯Crack腳本文件并重新配置CRACK-PATH、C5FLAGS、LIBS、CC和CFLACS的值，使得與操作系統(tǒng)相符。最后輸入命令Crack-makeonly，然后輸入Crack-makedict，產生一個可執(zhí)行的Crack文件。

運行程序時只需要輸入?./crack，它的格式是?./crack[option][-fmtformat][file…]。例如，在一般情況下，輸入Crack/ect/passwd破解所使用系統(tǒng)的口令文件，在破解過程中程序會不斷地將信息顯示到屏幕上，指示程序的狀態(tài)。

2)JohntheRipper

JohntheRipper是一個十分強大、靈活、快速的多平臺哈?？诹钇平馄鳎O計的主要目的是用于檢查UNIX系統(tǒng)的弱口令，支持幾乎所有UNIX平臺上經(jīng)crypt()函數(shù)加密后的口令哈希類型，也支持KerberosAFS和WindowsNT/2000/XPLM哈希等。關于該工具更多的信息可以參考/john/。

3)Fragroute

這個軟件和DSniff出自一家，其開發(fā)的本意是去測試入侵檢測系統(tǒng)、防火墻、基本的TCP/IP棧的行為，因此，它是一個能夠破壞入侵檢測系統(tǒng)的強大工具。此外，它還能夠截取、修改和重寫向外發(fā)送的報文，實現(xiàn)了大部分的IDS攻擊功能。Fragroute有一個簡單的規(guī)則設置語言，通過它，可以實現(xiàn)延遲、復制、丟棄、碎片、重疊、打印、重排、分割、源路由或其他一些向目標主機發(fā)送數(shù)據(jù)包的攻擊。

3.Shadow(陰影)文件

如果有惡意用戶取得了/etc/passwd文件，他就可以窮舉所有可能的明文通過相同的算法計算出密文進行比較，直到相同，于是他就破解了口令。因此，針對這種安全問題，Linux/UNIX廣泛采用了“shadow(影子)”機制，將加密的口令轉移到/etc/shadow文件里，從而最大限度減少密文泄露的機會。在高版本的Linux中，把口令文件分成兩個文件。口令(passwd)文件依然存在，它包括除了加密口令以外的所有內容，創(chuàng)建的第二個文件shadow在/etc/shadow中保存，包含機密口令，shadow只能被根用戶訪問，同時還包含許多口令有效時間字段。RedHatLinux缺省安裝shadow，如果發(fā)現(xiàn)系統(tǒng)的/etc/passwd文件仍然可以看到密文，就說明沒有啟用shadow，可以執(zhí)行pwconv來啟用shadow。

/etc/shadow包括9個字段，分別用“：”隔開，每個字段的含義如下：

?Login-id：用戶名。

?Password：口令密文。

?Lastchg：口令最后修改日期(與1970年1月1日的相隔天數(shù))。

?Min：允許用戶修改口令的最少天數(shù)。

?Max：允許用戶修改口令的最多天數(shù)。

?Warn：系統(tǒng)提醒用戶必須修改口令的剩余天數(shù)。

?Inactive：用戶仍可修改口令的剩余天數(shù)，過期將被禁用。

?Expire：口令過期。

?Flag：未使用。

以下是一個典型的/etc/shadow文件：

Root:st44wfkgx33qz:::::::

Daemon:NP:6445::::::

Bin:NP:6445::::::

Sys:NP:6445::::::

Adm:NP:6445::::::

Lp:NP:6445::::::

Smtp:NP:6445::::::

Listen:*LK*:::::::

Nobody:NP:6445::::::

同陰影口令相關的命令有：

?Change：設置用戶何時更改口令的相關信息

?Gpasswd：向組內添加新用戶

?Groupadd：創(chuàng)建新組

?Groupdel：刪除組

?Groupmod：修改組信息

?Passwd：更改口令及屬性

?Useradd：添加新用戶

?Userdel：刪除用戶

?Usermod：修改用戶信息

4.Linux口令保護

正如我們在Windows系統(tǒng)口令攻擊中所講到的，沒有能解決口令破解的萬能鑰匙，但有很多方法可以減少成功破解的幾率，比如采用強口令策略、使用一次性口令或生物技術認證等。除了這些以外，針對Linux系統(tǒng)來說，root賬號是Linux系統(tǒng)中管理員使用的賬號，其擁有最高權限，不受任何限制和制約。因此在使用root權限時要注意：平時盡量不使用root登錄，在進行必要操作時再使用su命令轉化為root用戶使用root權限；采取限制root從遠程登錄等措施來保護root賬號的安全。

系統(tǒng)不只管理員一個賬號在使用時，其他用戶如果存在弱口令，同樣會對系統(tǒng)安全造成較大的危害。所以在進行系統(tǒng)口令管理時應該注意口令的保存和口令策略的選擇。

(1)盡量使用shadow文件保存賬號口令。

(2)更改Linux口令的最短長度。Linux系統(tǒng)默認最短口令長度為5個字符，這個長度不足以保證口令的健壯性，應該改為最短8個字符，方法是編輯/etc/login.defs文件，在此文件中，將

PASS_MIN_LEN5

改為：

PASS_MIN_LEN8

(3)刪除所有的特殊賬戶。刪除所有不用的缺省用戶和組賬戶(比如lp、sync、shutdown、halt、news、uucp、operator、games、gopher等)。

刪除用戶：[root@kapil/]#userdelLP

刪除組：[root@kapil/]#groupdelLP

(4)系統(tǒng)自動注銷root用戶。通過修改賬戶中“TMOUT”參數(shù)，可以實現(xiàn)此功能。TMOUT按秒計算。編輯profile文件(vi/etc/profile)，在“HISTFILESIZE=”后面加入下面這行：

TMOUT=3600