54 同安全與控
錄中的文件并可能修改或剛除它們。這些系統(tǒng)中的口令機(jī)制有許多漏洞??梢院苋菀讓懸粋€(gè)程序自動(dòng)檢測(cè)口令。下面有幾稱
可能的口令我們可試一試 ?典型的用戶口令,例如 WORKGRUP, Windows,USER, ADMIN等等;
來(lái)源于資源列表和登錄的用戶
可試一下由管理員提供的目錄文件或任何標(biāo)準(zhǔn)目錄。如果很細(xì)心的話,會(huì)發(fā)現(xiàn)一個(gè)口令一旦被用過(guò)那么被猜出的可能性就很高。根據(jù)已經(jīng)做
過(guò)的瀏覽發(fā)現(xiàn),我們進(jìn)行了每秒200個(gè)口令的非禮攻擊,在不到兩分鐘內(nèi)試了18000個(gè)口令。
Windows9S無(wú)法鎖住進(jìn)一步的訪問(wèn)企圖,所以黑客可無(wú)止境地連續(xù)攻擊用戶的機(jī)器
Windows95對(duì)任何此類的訪問(wèn)企圖沒(méi)有記錄。黑客不僅可在短時(shí)間內(nèi)試用大量ロ令,而
且這些操作在系統(tǒng)中沒(méi)有記載。因此,知道有人在試圖攻擊自己是解決自身安全問(wèn)題的重點(diǎn)。
且瀏覽程序訪問(wèn)共享目錄的文件,它就試圖決定此機(jī)器是否對(duì)“”錯(cuò)誤脆弱,此錯(cuò)誤還
允許黑客訪問(wèn)硬盤的其他部分,盡管此機(jī)器上設(shè)置的是只能訪問(wèn)某個(gè)特定目錄。)
由于操作系統(tǒng)不能正確地檢査“。”,“”,所以此錯(cuò)誤是很有效的。“.”使用戶能訪
問(wèn)共享目錄的上一層目錄。在UNIX早期的NFS網(wǎng)絡(luò)文件系統(tǒng)應(yīng)用中就發(fā)現(xiàn)過(guò)同樣的錯(cuò)誤。共享文件如果能讓任何人訪問(wèn)和利用,那么通過(guò)利用“。”錯(cuò)誤能瓦解NT3.51的機(jī)器,并
使之重啟動(dòng)。在 Windows95上利用此錯(cuò)誤技術(shù)可允許任何人訪問(wèn)整個(gè)硬盤。m 對(duì)網(wǎng)絡(luò)瀏覽者來(lái)說(shuō),知道正在瀏覽是很容易的,只要用 Popu程序發(fā)消息即可。 Popu程
序所存在的安全問(wèn)題是它缺少鑒別權(quán),這樣黑客可以利用 Popup這個(gè)安全缺陷,以管理員的身
份通知大家把他們的目錄設(shè)為共享,而其他用戶卻無(wú)法分辦出真假管理員。日
這里有一些改進(jìn)共享文件系統(tǒng)安全性的方法:
更好地記載黑客的襲擊;
在每個(gè)錯(cuò)誤口令的嘗試之后設(shè)置一個(gè)延遲,以使非法攻擊慢下來(lái);
?在數(shù)次攻擊嘗試失敗之后將共享文件鎖住 中 wittei is l,A3
允許或拒絕基于主機(jī)地址的功能
更好地鑒別 Popup消息。
用戶應(yīng)接受培訓(xùn)以保證進(jìn)行合理配置。下面是配置更安全網(wǎng)絡(luò)的基本步驟
(1)利用口令保護(hù)所有資源
(2)用戶使用難猜的口令;
(3)除非通過(guò)鑒權(quán)過(guò)程,否則別人無(wú)法訪問(wèn)用戶的系統(tǒng)或設(shè)置用戶系統(tǒng)口令
(4)用戶應(yīng)安裝提供商提供的安全補(bǔ)丁。n
由器封這些端口 SABか議使得文件共享,它在UDP/TCP的137138和139端口下,因此要確保防火
般的機(jī)器在裝完NT4后默認(rèn)的安全性都是 Everyone(Ful)l,這是非改不可的。如果你
用了IS里面的FP和 WWW Publish Service,或者用 Browser瀏覽 Internet,那么肯定要大
得更快嗎? 禍臨頭。好多Coie及其它c(diǎn)程序都有辦法訪問(wèn)你的硬盤而你還偏偏不加保護(hù),豈不是死
2章安全成與防范 55
建議在每個(gè)NTFS盤的根目錄把 Everyone刪掉換成 Administrator(Fu)l+ System
大人人都可以亂改,造成管理上的混亂。(Read),并替換子目錄權(quán)限,另外 Administrators里最好只包括 Administrato,以免大家權(quán)限過(guò)
對(duì)于一些共享目錄,則加上 Domain Admin(Read), Domain User(Read);還有一些限制級(jí)
的,則僅僅加上 Domain Admin((Read), Power User(Read);至于大家的Home(主)目錄,則可以
建一個(gè)公共目錄,共享時(shí)必須選 Full Control,然后在每個(gè)人的目錄里加以限制。例如用戶
Judy,我們就把 Public Judy安全性設(shè)為 Administrator(Ful), Domain Admin(Read),Judy
(Fu), System(Read),另外再建個(gè)公共的目錄Tenp, V Public Temp設(shè)為 Domain User
(Fu)這樣一來(lái),大家的共享目錄就算建好了。毎個(gè)人都可以全權(quán)控制自己的目錄和Temp
目錄,卻不能訪問(wèn)別人的目錄,相互之間通過(guò)Temp來(lái)傳送數(shù)據(jù)。審回
切記不要用 Administrator直接從客戶機(jī)登錄到服務(wù)器,以防在用 Share Hub(共享式集線
器)時(shí)被某些人用 Sniffer,, Etherpeek之類工具偷聽(tīng)到,即使管理員本身,不在服務(wù)器上登錄時(shí)
也只應(yīng)該用 Admin Users登錄,而且 Admin Users最好也不要有完全的權(quán)限,以防口令失竊產(chǎn)
生嚴(yán)重后果。面大
為了使所有的共享文件都能得到訪問(wèn),要正確地設(shè)置權(quán)限不要默認(rèn)對(duì) Everyone用戶組默
認(rèn)的“完全控制”權(quán)限的設(shè)置。國(guó)需斷忘日計(jì)
2.4.3.4安全措施
為了確保安全性,以下6項(xiàng)措施可供 Windows ND.的系統(tǒng)管理參考:國(guó)首
1.使用NTFS而不用FAT。NTFS(NT文件系統(tǒng))可以對(duì)文件和目錄使用ACL(存取控
制表),ACL可以方便、靈活地管理共享目錄,使其合理使用,而FAT(文件分配表)卻只能管理
共享級(jí)的安全,即不能像NTFS那樣強(qiáng)大。hn直71a3
出于安全考慮,必須處處設(shè)置盡可能多的安全措施,凡是與 Internet相連的 Windows NT
計(jì)算機(jī)都應(yīng)該使用NTFS。使用 Ntfscal F的好處在于,如果它授權(quán)用戶對(duì)某分區(qū)具有全部存取
權(quán)限,但共享級(jí)權(quán)限為“只讀”,則最終的有效權(quán)限為“只讀”。 Windows NT取 Ntfscal和共享權(quán)
限的交集。中iW國(guó)政。知的回女其I1
在實(shí)施這樣的網(wǎng)絡(luò)方案時(shí),您最好限制 Internet I服務(wù)器的共享,但是如果非要與 Internet
服務(wù)器交換文件,則可借助于NTFS 且建立新的共享權(quán)限,不要忘記修改由NT指定的默認(rèn)權(quán)限否則 Everyone用戶組就能
享有“完全控制”的共享權(quán)限。那些已經(jīng)使用了FAT的用戶在x86的NT系統(tǒng)上可以用Con
vert命令將啟動(dòng)磁盤升級(jí)為NTFS。教た、曲き同
2.將系統(tǒng)管理員賬戶改名。對(duì)于試圖猜測(cè)口令的非法用戶,NT的 User Manager可以設(shè)
置防范措施,例如5次口令輸人錯(cuò)誤后就禁止該賬號(hào)登錄。用
問(wèn)題在于系統(tǒng)管理員這個(gè)最重要的賬號(hào)卻用不上這項(xiàng)防范措施。即便將系統(tǒng)管理員的權(quán)
限全部授予某個(gè)用戶賬號(hào)并且只使用該用戶賬號(hào)進(jìn)行管理,但是由于系統(tǒng)管理員賬號(hào)本身不
能刪掉或廢止,因而非法用戶仍然可以對(duì)系統(tǒng)管理員賬號(hào)進(jìn)行口令攻擊。二意登
種值得推薦的方法是將系統(tǒng)管理員賬號(hào)的用戶名由原先的“ Administrator”改為一個(gè)無(wú)
意義的字符串。這樣要登錄的非法用戶不但要猜準(zhǔn)口令,網(wǎng)站建設(shè)還要先猜出用戶名。這種改名功能
本文地址:http://m.cdrpkj.cn//article/3739.html