三、如何设置安全的帐号策略
对于Windows NT系统而言,帐号策略的设置是通过域用户管理器来实施的,从用户管理器的菜单中选择用户权限,可以设置密码使用时间,长度以及连续登录失败后的锁定机制等。具体方法是:
在上面的本地安全策略编辑器里,打开”帐户策略”,配置如下图所示:
四、系统文件权限的分类
当要给文件设置权限的时候,要首先保证该分区格式为NTFS(Windows NT的文件系统),当然你也可以使用文件分配表(FAT)格式,但是FAT文件系统没有对文件的访问权限加以任何限制,FAT只在那些相对来讲对安全要求较低的情况下使用。在NTFS文件系统中,可以使用权限对单个文件进行保护,并且可以把该权限应用到本地访问和网络访问中。在NTFS文件系统上,可以对文件设置文件权限,对目录设置目录权限,用于指定可以访问的组和用户以及允许的访问等级时。
如果实施了NTFS的文件系统格式,可通过系统的资源管理器直接来管理文件的安全,设置目录或文件的权限。以regedit.exe文件为例,右键选择“属性”,
在“安全”标签里面选择不同组的名称,就可以更改配置他们对该文件的操作权限。
基于文件级的权限可以分配下面几种:读取(用户可以读取该文件的内容),写入(用户可以写入数据到该文件中),读取及执行(用户可以执行该程序),修改(用户可以修改该文件内容,包括删除),完全控制(以上所有权限都有)。因此,适当地为不同权限的帐号分配相应的访问权限(在”允许”,”拒绝”栏分别打勾,如下图)对于文件系统的安全是致关重要的。
五、如何保护注册表的安全
Windows NT/2000中的注册表(Registry)是一系列的数据库文件,主要存储在 系统安装目录\ System32\Config下,有些注册表文件建立和存储在内存中,这些文件的备份也存储在系统安装目录\Repair下。由于所有配置和控制系统数据最终都存在于注册表中,而且Registry的缺省权限设置是对“所有人”“完全控制” (FullControl)和“创建”(Create),这种设置可能会被恶意用户删除或者替换掉注册表(Registry)文件。所以,如果注册表权限没有设置好的话,整个 Windows NT/2000的系统就不安全,因此我们必须控制注册表的访问权。
对于注册表(Registry),建议应严格限制只能在本地进行注册,不能被远程访问,限制对注册表(Registry)编辑工具的访问。具体可以利用文件管理器设置只允许网络管理员使用注册表编辑工具regedit.exe或regedt32.exe,其他任何用户不得使用;还可使用第三方工具软件,比如Enterprise Administrator (Mission Critical Software)来锁住注册表(Registry)。或者把对注册表缺省的所有用户都能“完全控制”的权利改成只能“读取”. 在“开始”“运行”里面输入regedt32如下图:假设我们将HKEY_CURRENT_USER支更改成一般用户只能读,在菜单中选择“安全”“权限” 如下图:选择组用户users(在win2000系统中默认uers是一般用户,如果在上面列表中没有定义users组权限,可以选择”添加”按纽,将该组进行权限设置)同时,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers \winreg 这个键应该只允许Administrators组成员访问。修改方法参照上图。为了能识别用户,防止匿名登陆,应该在 HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\LSA 下新建一个DWORD(双字节)类型的RestrictAnonymous项,并设置其值为1(具体操作请参考上面的图示)。
实际上,如果把用户操作注册表的这种权利设置成“只读”,将会给一些应用软件带来许多潜在的功能性问题,比如Dlexpert(下载专家,一个下载软件),在下载的时候会将当前下载地址等信息写入到注册表里面,如果在设置了注册表权限的机器上运行该程序,会出现下载地址无法保存的现象,解决办法就是使用regedt32软件将用户权限更改回去,在这里,我们建议在重要服务器上不要安装和运行其他非系统的软件。
六、消除默认安装目录风险
Windows NT/2000默认安装路径是在系统主分区的\WINNT目录下,在安装时可以修改它的安装路径,如C:\WINNT可以改为C:\WINDOW或D:\WINNT等;改变默认安装目录对合法用户不会造成任何影响,但对于那些企图通过类似WEB服务器的漏洞或者缺陷来远程访问文件的攻击者来说就大大地增加了难度。
七、取消默认系统帐号风险
对于在Windows NT/2000默认系统帐号,如administrator,guest等都必须改名,对于其它一些帐号,比如IUSR_机器名是在安装IIS后产生的,对其也必须改名。因为改变Administrator帐户的名字,可以防止黑客对缺省命名的帐户进行攻击,这个措施可以解决一系列的安全漏洞,一旦帐号被他人窃取或攻破,整个网络系统便无任何安全性可言了。
所以应为系统管理员和备份操作员创建特殊帐户,系统管理员在进行特殊任务时必须用这个特殊帐户注册,然后注销。所有具有Administrator和备份特权的帐户绝对不能浏览Web。所有的帐户只能具有User或者PowerUser组的权限,对于Guest帐户,默认是无口令的,所以最好能停止使用 Guest帐户。
注:停用Guest帐户,可能会给win9x用户通过网上邻居访问服务器带来“无权限访问”的错误。解决方法是在服务器中添加win9x机器上的用户名或者启用guest帐号。
八、删除默认共享风险
Windows NT/2000出于管理的目的自动地建立了一些默认共享,包括C$,D$磁盘共享以及ADMIN$目录共享等。尽管它们仅仅是针对管理而配置的,但仍成为一个没必要的风险,成为攻击者的目标。
我们打开注册表(见第二章第一节第二知识点图示,以下同)。在主键HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\ Parameters目录下,创建一个叫AutoShareServer的键值,类型为DWORD(双字节)并且值为0,来禁止这些共享;再创建一个键值名为AutoShareWks的双字节值,修改键值为0。
最后,请重新启动计算机生效。
同样可以通过控制面板里面的管理工具来暂时取消共享。选择“计算机管理”程序,选择“共享文件夹”,在相应的共享文件夹上按右键,选择“停止”共享即可。不过在系统重新启动后,IPC$ 和printer$会再次共享。
九、如何加强系统打印驱动的安全
Windows NT/2000的打印机驱动是以完全控制权限运行在操作系统级别。缺省情况下,任何人都可以在Windows NT/2000中安装打印机驱动,这种默认权限使系统很易遭受木马攻击。攻击者可以建立假的打印机驱动而实际上进行了其它的活动,例如,开启后门等。因此,要严格限制用户拥有安装的权限,只允许管理员组和打印机操作员可以安装打印驱动,具体可以打开注册表,在主键HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services中增加类型为DWORD(双字节)的AddPrintDrivers项,并设置其值为1。
最后,请重新启动计算机生效。
十、如何加强共享系统对象的安全
我们应该严格限制打印机、串口等共享对象,使其只能被管理员使用,由于这种限制可以影响许多程序,比如在一局域网中的服务器上的共享打印机,设置了权限控制后,一般用户就无法进行网络打印了。所以在应用这种限制时要考虑是否该服务器对外提供了这些服务。如果没有提供可以使用下面的方法来进行权限设置:请首先打开注册表。然后在主键HKEY_LOCAL_MACHINE\System\currentControlSet\Control\Session Manager中增加(或者修改)一个类型为DWORD(双字节)的名称为ProtectionMode的项,并将其值设成1。
最后,请重新启动计算机生效。
十一、如何手动查找并清除木马程序
第一种方法是查看系统注册表。先打开注册表。进入注册表后,可以通过查看以下主键:HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Run或RunServersHKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run或RunServers下面是否有类似 Netspy.exe,空格.exe等可疑文件名,并手动删除键值和相应的程序。
第二种方法使用一些第三方软件,比如The Cleaner,它可以在 HYPERLINK "http://antivirus.pchome.net/cleaner/7066.html" http://antivirus.pchome.net/cleaner/7066.html 下载到。
十二、加强对域和帐号数据库的管理
所谓“域”是指网络服务器和其他计算机的逻辑分组,凡是在共享域范围内的用户都使用公共的安全机制和用户帐号信息。每个用户有一个帐号,每次登录的是整个域,而不是某一个服务器。即使在物理上相隔较远,但在逻辑上可以在一个域上,这样便于管理。在网络环境下,使用域的管理就显得更为有效;在使用”域”的划分时,我们应该注意到“域”是建立在一个子网范围内,其根本基础是相互之间的信任度很高。
这里我们应该注意到在Windows NT/2000中,关于域的所用安全机制信息或用户帐号信息都存放在帐号数据库中(称为安全帐号管理器(SAM)数据库)。安全帐号管理器(SAM)数据库在磁盘上的具体位置就保存在系统安装目录下的system32\config\中的SAM文件,在这个目录下还包括一个SECURITY文件,也是安全数据库的内容。安全帐号管理器(SAM)数据库中包含所有组、帐户的信息,包括密码HASH结果、帐户的SID等。所以在对Windows NT/2000进行维护时应该特别小心安全帐号管理器(SAM)数据库的完整性,严格限制Administrator组和备份组帐户的成员资格。加强对这些帐户的跟踪,尤其是Administrator帐户的登录(Logon)失败和注销(Logoff)失败。对SAM进行的任何权限改变和对其本身的修改都要进行审计,切记要改变缺省权限设置来预防这个漏洞,一般来讲只有管理员才允许具有对以上两个文件的编辑权限。下面的过程演示了怎么样启用SAM访问审核。首先启动一个cmd命令窗口,在“开始”“运行”输入: 会出来一个黑底的命令窗口。 以下命令均是在该窗口中进行操作1. 确认启动schedule,如未启动,使用以下命令启动该服务net start schedule 2.使用At 命令添加任务:at <时间> /interactive “regedt32.exe” 比如当前时间16:49,那么我们可以设置程序在16:51分启动:at 14:51 /interactive “regedt32.exe”3. 那么到14:51分,Regedt32.exe会以系统帐号启动。4. 选择 HKEY_LOCAL_MACHINE 窗口;5. 选择 SAM 并从“安全“菜单选择“权限“,如下图; 再选择”高级”出来窗口如图示: 6. 单击“添加“,然后“显示用户“;7. 添加如下帐号:2. SYSTEM3. Domain Admins4. Administrator5. Backup Operators 随着操作系统版本不一样,可能用户组名、帐号服务器上并不存在。其他拥有以下权限的帐号:6. Take ownership of files or other objects(取得文件或其他对象的所有权)7. Back up files and directories(备份文件和目录)8. Manage auditing and security log(管理审核和安全日志)9. Restore files and directories(还原文件和目录)10. Add workstations to domain(域中添加工作站)11. Replace a process level token(替换进程级记号)单击“确定“;12. 为下面设置“成功“和“失败“的审核:13. Query Value(查询数值)14. Set Value(设置数值)15. Write DAC(写入DAC)16. Read Control(读取控制) 17. 单击”确定“。单击“是“。18. 停止schedule服务,在”开始” “运行”里输入:net stop schedule十三、修改共享目录默认控制权限对于Windows NT/2000系统来说,默认情况下当新增一个共享目录时,操作系统会自动将EveryOne这个用户组添加到权限模块当中,由于这个组的默认权限是完全控制,结果使得任何人都可以对共享目录进行读写。因此,在新建共享目录之后,要立刻删除EveryOne组或者将该组的权限调整为读取。相关编辑界面见下图所示:
十四、禁止不必要的服务Windows NT/2000系统中有许多用不着的服务自动处于激活状态,它们中可能存在的安全漏洞使攻击者甚至不需要账户就能控制机器.为了系统的安全,应把该关的功能服务及时关闭,从而大大减少安全风险。具体操作可以在“控制面板”的“管理工具”里面“服务”菜单中,选取不必要的服务进行禁止,见下图:
相关需要禁止的服务如下:Alerter:通知所选用户和计算机有关系统管理级警报。Application Management:提供软件安装服务,诸如分派,发行以及删除。ClipBook:支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。COM + Event System:提供事件的自动发布到订阅 COM 组件。Computer Browser:维护网络上计算机的最新列表以及提供这个列表给请求的程序。Distributed Link Tracking Client:当文件在网络域的 NTFS 卷中移动时发送通知。Distributed Transaction Coordinator:并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。Fax Service:帮助您发送和接收传真。FTP publishing service: 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。Indexing Service:本地和远程计算机上文件的索引内容和属性;通过灵活查询语言提供文件快速访问。Messenger:发送和接收系统管理员或者”警报器” 服务传递的消息。Net Logon:支持网络上计算机 pass-through 帐户登录身份验证事件。”Network DDE :提供动态数据交换 (DDE) 的网络传输和安全特性。Network DDE DSDM : 管理网络 DDE 的共享动态数据交换Network Monitor : 网络监视器NetMeeting Remote Desktop Sharing:允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。Plug and Play (在配置好所有硬件后应该禁止掉):管理设备安装以及配置,并且通知程序关于设备更改的情况。Remote Procedure Call (RPC): 提供终结点映射程序(endpoint mapper) 以及其它 RPC 服务。Remote Registry Service:允许远程注册表操作。Removable Storage:管理可移动媒体、驱动程序和库。Routing and Remote Access:在局域网以及广域网环境中为企业提供路由服务。RunAs Service:在不同凭据下启用启动过程。Server: 提供 RPC 支持、文件、打印以及命名管道共享。Smart Card:对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。Smart Card Helper:提供对连接到计算机上旧式智能卡的支持。Task Schedule: 允许程序在指定时间运行。TCP/IP Netbios Helper:允许对“TCP/IP 上 NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持。Telephone Service:供 TAPI 的支持,以便程序控制本地计算机,服务器以及 LAN 上的电话设备和基于 IP 的语音连接。Windows Management Instrumentation:提供系统管理信息。必要时需禁止的服务如下:SNMP service:简单网络管理协议SNMP trap:简单网络协议陷阱跟踪UPS:USP电源管理。十五、如何防范NetBIOS漏洞攻击NetBIOS(Network Basic Input Output System,网络基本输入输出系统),是一种应用程序接口(API),系统可以利用WINS(管理计算机netbios名和IP影射关系)服务、广播及 Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,从而实现信息通讯。在局域网内部使用NetBIOS协议可以非常方便地实现消息通信,但是如果在互联网上,NetBIOS就相当于一个后门程序,很多攻击者都是通过NetBIOS漏洞发起攻击。对于Windows NT系统,可以取消NetBIOS与TCP/IP协议的绑定,具体方法是:首先打开“控制面板”,然后双击“网络”图标,并在“NetBIOS接口”中选择“WINS客户(TCP/IP)”为“禁用”,最后重新启动计算机即可。对于Windows2000系统而言,它没有限制TCP/IP绑定在 NetBIOS上,我们可以通过以下方式来设置:首先选择“开始”→“设置”→“控制面板”→“网络和拨号连接”→“本地连接”菜单中,双击 “Internet协议(TCP/IP)”,界面见下图:
接着在打开的对话框中单击“高级”按钮,并选择“选项”菜单,如下图:
随后点击“属性”按钮,将弹出“TCP/IP筛选”对话框,选择“启用TCP/IP筛选”,见下图:
最后在以上“TCP端口”对话框中添加除了139之外要用到的服务端口即可。十六、如何解决SNMP缓冲区溢出漏洞SNMP(Simple Network Management Protocol,简单网络管理协议)是所有基于TCP/IP网络上管理不同网络设备的基本协议,比如防火墙、计算机和路由器。所有的Windows系统(除了Windows ME)都提供了SNMP功能,但是在所有版本的系统中都不是默认安装和执行的。现在已经发现,如果攻击者发送怀有恶意信息给SNMP的信息接收处理模块,就会引起服务停止(拒绝服务)或缓冲器溢出;或者说通过向运行SNMP服务的系统发送一个畸形的管理请求,此时就存在一个缓冲区溢出漏洞,或者造成拒绝服务影响。一旦缓冲区溢出,可以在本地运行任意的代码,可以让攻击者进行任意的操作。因为SNMP的程序一般需要系统权限来运行,因此缓冲器溢出攻击可能会造成系统权限被夺取,而形成严重的安全漏洞。具体解决方法如下:由于许多基于 Windows安全设备和程序都是使用SNMP服务进行管理的,所以我们建议如果不需要使用SNMP服务就应该停止它。如果要防止从外界进行的攻击破坏,请在防火墙或者路由器上设置禁止从外界进行SNMP(UDP161和UDP162端口)操作。另外,微软已经为此发布了一个安全公告(MS02-006)以及相应补丁程序: http://www.microsoft.com/technet/security/bulletin/MS02-006.asp ,请用户及时下载安装补丁程序。
十七、如何加固IIS服务器的安全
Windows系统近几年的攻击都偏重在IIS上,曾在2001到2002年大肆流行的Nimda,CodeRed病毒等都是通过利用IIS的一些漏洞入侵并且开始传播的。由于NT/2000系统上使用IIS作为WWW服务程序居多,再加上IIS的脆弱性以及与操作系统相关性,整个NT/2000系统的安全性也受到了很大的影响。通过IIS的漏洞入侵来获得整个操作系统的管理员权限对于一台未经安全配置的机器来说是轻而易举的事情,所以,配置和管理好你的IIS在整个系统配置里面显得举足轻重了。
IIS的配置可以分为以下几方面: (以下操作均是使用Internet服务管理器操作,你可以在控制面板的管理工具里面找到该快捷方式,运行界面如下:)
a)删除目录映射。
默认安装的IIS默认的根目录是C:\inetpub,我们建议你更改到其他分区的目录里面,比如:D:\inetpub目录。
默认在IIS里面有Scripts,IISAdmin,IISSamples,MSADC,IISHelp,Printers这些目录映射,建议你完全删除掉安装IIS默认映射的目录,包括在服务器上真实的路径(%systemroot%是一个环境变量,在具体每台服务器上可能不一样,默认值由安装时候选择目录决定):
Scripts对应c:\inetpub\scripts目录
IISAdmin对应%systemroot%\System32\inetsrv\iisadmin目录
IISSamples对应c:\inetpub\iissamples目录。
MSADC对应c:\program files\common files\system\msadc目录。
IISHelp对应%systemroot%\help\iishelp目录。
Printers对应%systemroot%web\printers目录。
还有一些IIS管理员页面目录:
IISADMPWD 对应%systemroot%\system32\inetsrv\iisadmpwd目录
IISADMIN 对应 %systemroot%\system32\inetsrv\iisadmin目录
b)删除可执行文件扩展名(应用程序)映射。
在应用程序配置里面 (上图“配置按钮”),默认有以下程序映射:
如果不使用SSI(server side include, 服务器端嵌入脚本),建议删除“.shtm” “.stm” 和 “.shtml”这些映射.像:“.cer” “.cdx” “htr” “idc” “printer”等,如无特别需要,建议只保留“.asp”和“.asa”的映射。
c)Frontpage扩展服务
从控制面板里面打开“添加或删除程序”选择“添加/删除windows组件”,
选择“Internet信息服务(IIS)”,点“详细信息”,请确认FrontPage 2000服务器扩展没有被勾上。如果有,则取消掉,点确定就可以了。
提示: 微软公司提供了一个叫iislockd的程序,它可以用来帮助你更安全的配置IIS。除了上面的Frontpage扩展没有提供外,其他两点均能很好的支持。
下载地址:download.microsoft.com/download/iis50/Utility/2.1/
NT45XP/EN-US/iislockd.exe
| 共8页: 上一页 [1] [2] [3] 4 [5] [6] [7] [8] 下一页 |