8、網(wǎng)絡(luò)安全-降低風(fēng)險(xiǎn).ppt

八、降低風(fēng)險(xiǎn),1、系統(tǒng)默認(rèn)設(shè)置2、注冊(cè)表安全保護(hù)3、關(guān)閉和刪除多余的服務(wù)4、其他配置更改5、Microsoft服務(wù)軟件包6、rlogin命令7、網(wǎng)絡(luò)信息系統(tǒng)（NIS）8、網(wǎng)絡(luò)文件系統(tǒng)（NFS）,1、系統(tǒng)默認(rèn)設(shè)置,常見(jiàn)默認(rèn)設(shè)置：默認(rèn)文件位置、緩沖區(qū)溢出、無(wú)爭(zhēng)議的操作系統(tǒng)內(nèi)部自動(dòng)信任關(guān)系、默認(rèn)共享、無(wú)保護(hù)的Windows注冊(cè)表、服務(wù)器消息塊（SMB）連接性（Win2K服務(wù)器可能被欺騙協(xié)商一個(gè)具有低級(jí)別加密的SMB慣用語(yǔ)）、容易顯露上一個(gè)登錄名和默認(rèn)賬戶。降低風(fēng)險(xiǎn)的方法：更改Windows安裝的默認(rèn)路徑（C:WINNT），刪除默認(rèn)共享，升級(jí)操作系統(tǒng)補(bǔ)丁軟件包防止緩沖溢出攻擊，使用反病毒軟件和個(gè)人防火墻防止自動(dòng)信任的危害，保護(hù)注冊(cè)表。,2、注冊(cè)表安全保護(hù),必要性：Windows系統(tǒng)的所有配置設(shè)置和控制都在注冊(cè)表中。被黑客找到的大多數(shù)缺陷都集中在對(duì)注冊(cè)表的訪問(wèn)方面，并且此時(shí)對(duì)注冊(cè)表的訪問(wèn)只是“只讀”。對(duì)注冊(cè)表不同部分的默認(rèn)安全設(shè)置對(duì)于系統(tǒng)保護(hù)是不夠充分的。要知道注冊(cè)表需要保護(hù)、保護(hù)哪些內(nèi)容及如何保護(hù)。注冊(cè)表結(jié)構(gòu)：是一系列數(shù)據(jù)庫(kù)引擎，數(shù)據(jù)文件存放在C:WINNTSystem32Config文件夾中，一部分存在RAM中，這些文件的部分或全部的備份保存在C:WINNTrepair中。應(yīng)該使用NTFS安全措施正確的保護(hù)物理文件和備份文件，只有系統(tǒng)賬戶能訪問(wèn)這些文件。,主鍵,HKLM子樹(shù),注冊(cè)表審核：記錄注冊(cè)表的變化，可以選擇注冊(cè)表的相關(guān)部分，再選擇用戶進(jìn)行審核。例如增加了Everyone組，則對(duì)注冊(cè)表的任何改變都將被記錄下來(lái)。重要的是對(duì)內(nèi)容的謹(jǐn)慎選擇，還要注意系統(tǒng)的負(fù)擔(dān)。備份注冊(cè)表：是保護(hù)它的首選，如果被攻擊，則可從備份文件恢復(fù)。,設(shè)置注冊(cè)表權(quán)限：讀取和完全控制及高級(jí)權(quán)限：查詢數(shù)值：允許用戶或組從主鍵中讀取鍵值。設(shè)置數(shù)值：允許用戶或組對(duì)主鍵設(shè)置鍵值。創(chuàng)建子項(xiàng)：允許用戶或組給主鍵中建立子鍵。枚舉子項(xiàng)：允許用戶或組確定主鍵的子鍵。通知：允許用戶或組審核主鍵的通告事件。創(chuàng)建鏈接：允許用戶或組在特定的主鍵中符號(hào)連接。刪除：允許用戶或組刪除一個(gè)選中的主鍵。寫入DAC：允許用戶或組為編寫主鍵的自定義的ACL而獲得主鍵的使用權(quán)。寫入所有者：允許用戶或組為獲得主鍵的擁有權(quán)而獲得主鍵的使用權(quán)。讀取控制：允許用戶或組獲得一個(gè)選中的主鍵的安全信息。,3、關(guān)閉和刪除多余的服務(wù),在“管理工具-服務(wù)”中進(jìn)行設(shè)置。保護(hù)網(wǎng)絡(luò)連接：Win2K網(wǎng)絡(luò)連接是基于SMB協(xié)議工作的，微軟常稱它為“常用Internet文件系統(tǒng)（CIFS）”。Win2K使用SMB通信，SMB位于MicrosoftNetworking的核心。默認(rèn)情況下，對(duì)網(wǎng)絡(luò)上傳輸?shù)腟MB信息包進(jìn)行加密。SMB連接過(guò)程如下：按加密強(qiáng)度升序排列的SMB慣用語(yǔ)有：PCNetworkProgram1.0，MicrosoftNetworks1.03，LanMan1.0，LM1.2X002，LanMan2.1，WindowsNTLM0.12，NTLMversion2.0,協(xié)商慣用語(yǔ)過(guò)程用來(lái)發(fā)現(xiàn)在服務(wù)器和客戶端之間可以使用的SMB的最高版本，此時(shí)，驗(yàn)證的強(qiáng)度依賴于客戶端，而客戶端可能強(qiáng)制使用過(guò)時(shí)的加密方法，這可通過(guò)配置客戶端只支持可能的最低的SMB客戶端實(shí)現(xiàn)。如果在SMB過(guò)程中驗(yàn)證失敗，可能：拒絕訪問(wèn)或建立一個(gè)空的SMB會(huì)話。而后者很危險(xiǎn)，因?yàn)樵谀J(rèn)情況下，空會(huì)話的擁有者依然是Everyone組的成員，且任何Everyone組可訪問(wèn)的目標(biāo)都可以被這個(gè)未授權(quán)的用戶訪問(wèn)。黑客就能通過(guò)利用這些連接的應(yīng)用程序獲得系統(tǒng)賬戶和服務(wù)的信息。防止空會(huì)話的辦法是在“本地安全策略”中修改注冊(cè)表，或直接修改注冊(cè)表的HKLMSystemCurrentControlSetControlLsarestrictanonymous（默認(rèn)為0，1是限制賬戶和共享的列表顯示，2是限制所有的匿名訪問(wèn)，除非FTP等服務(wù)特許它的使用。）,SMB加密：對(duì)Win2K專業(yè)版工作站，可以關(guān)閉LANManager驗(yàn)證，Win95/98/me、WindowsforWorkgroups和Samba都使用LANManager驗(yàn)證，這將關(guān)閉客戶端的訪問(wèn)，不可行。如果服務(wù)器是一個(gè)標(biāo)準(zhǔn)的電子郵件、FTP或Web服務(wù)器，可以安全的改變這個(gè)設(shè)置。另一個(gè)相同控制權(quán)的選項(xiàng)是讓服務(wù)器強(qiáng)行決定允許的客戶端驗(yàn)證類型，而不是讓客戶端做出決定。這個(gè)選項(xiàng)并非特別有效，因?yàn)榉?wù)器將仍然向可能的客戶端發(fā)出它的所有慣用語(yǔ)。它的主要功能是阻止一個(gè)特殊攻擊（SMB降級(jí)攻擊），這個(gè)攻擊使用多種信息包探測(cè)器監(jiān)聽(tīng)SMB驗(yàn)證過(guò)程，當(dāng)服務(wù)器檢測(cè)這個(gè)過(guò)程時(shí)，它發(fā)出一個(gè)宣稱來(lái)自客戶端的信息，指出只有低端的、純明碼文本驗(yàn)證可用，服務(wù)器接受這個(gè)信息并建立會(huì)話，然后客戶端以明碼文本的形式傳輸密碼，攻擊系統(tǒng)可截獲并儲(chǔ)存這些信息。,另一個(gè)有效的選項(xiàng)是啟動(dòng)SMB簽名，使Win2K在所有的信息包上使用加密的簽名（MD5）防止哄騙攻擊，幫助消除可能的偽造信息。將HKLMSystemCurrentControlsetServiceslanmanserverparametersrequiresecuritysignature的值改為1，可以啟動(dòng)一個(gè)服務(wù)器只接受被簽名的信息包，但客戶端還必須生成和只對(duì)簽名的信息包進(jìn)行響應(yīng)，客戶端還需要將HKLMSystemCurrentControlsetServicesRdrparametersrequiresecuritysignature的值改為1。,4、其他配置更改,如果不需要任務(wù)調(diào)度器，可以在“本地安全設(shè)置”-“本地策略”-“安全選項(xiàng)”中實(shí)施下列改動(dòng)：1）保護(hù)打印機(jī)驅(qū)動(dòng)程序：?jiǎn)⒂谩胺乐褂脩舭惭b打印機(jī)驅(qū)動(dòng)程序”。2）隱藏前一個(gè)登錄用戶名：防止對(duì)計(jì)算機(jī)進(jìn)行直接訪問(wèn)的非法用戶知道合法用戶的用戶名，把HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName鍵值改為1。3）關(guān)機(jī)時(shí)清除頁(yè)文件：頁(yè)文件保持一些被存儲(chǔ)的、敏感的，在頁(yè)文件使用期間沒(méi)有被覆蓋的信息?？梢詥⒂谩霸陉P(guān)機(jī)時(shí)清理虛擬內(nèi)存頁(yè)面交換文件”，將在關(guān)機(jī)時(shí)用隨機(jī)信息覆蓋全部的頁(yè)文件。,4）關(guān)閉登錄證書(shū)的緩存：Win2K通常在本地緩存一個(gè)用戶的登錄證書(shū)，如果一個(gè)域控制器失敗或聯(lián)系不到，這個(gè)用戶仍然可以登錄并在本地工作，證書(shū)緩存可能導(dǎo)致一個(gè)攻擊。需設(shè)置“可被緩沖保存的前次登錄個(gè)數(shù)”為0。5）建立一個(gè)交互式登錄信息：可以配置系統(tǒng)向任意一個(gè)交互式登錄的用戶顯示信息，一個(gè)交互式登錄信息不會(huì)阻止一個(gè)堅(jiān)定的黑客，但可以幫助你向保險(xiǎn)公司證明你已經(jīng)采取了措施保護(hù)系統(tǒng)。啟用“用戶試圖登錄時(shí)消息標(biāo)題/消息文字”：用戶一按Ctrl+Alt+Del開(kāi)始登錄時(shí)看到的對(duì)話框的標(biāo)題和文本信息。6）保護(hù)可移動(dòng)和大容量存儲(chǔ)器：可以只限制交互式用戶對(duì)存儲(chǔ)器訪問(wèn)，啟用“只有本地登錄的用才能訪問(wèn)CD-ROM/軟盤”。7）建立默認(rèn)的賬戶名。,5、Microsoft服務(wù)軟件包,用來(lái)發(fā)布操作系統(tǒng)臨時(shí)的重大修改，稱作“熱修補(bǔ)”，是用來(lái)糾正具體故障的特殊問(wèn)題的補(bǔ)丁軟件。安裝補(bǔ)丁時(shí)，需要了解軟件包所做的修改及穩(wěn)定性，以免帶來(lái)不必要的問(wèn)題。6、rlogin命令關(guān)閉rlogin。hosts.equiv：在支持rlogin的系統(tǒng)中，文件/etc/hosts.equiv通過(guò)將遠(yuǎn)程主機(jī)的名字放在其中，允許任意一個(gè)遠(yuǎn)程主機(jī)上的用戶在對(duì)遠(yuǎn)程目標(biāo)主機(jī)登錄時(shí)具有相同的信任關(guān)系。rlogin開(kāi)始從上至下的檢查hosts.equiv文件，直到發(fā)現(xiàn)一個(gè)主機(jī)滿足遠(yuǎn)程系統(tǒng)的名字。,該文件內(nèi)容的選項(xiàng)有、-devils和+angels，它們向rlogin指出，在主機(jī)“”上的用戶可能用他們通常的沒(méi)有密碼的名字登錄到目標(biāo)主機(jī)，因此是一個(gè)可信任的主機(jī)。條目-devils用于工作組，說(shuō)明它不應(yīng)該被信任或允許登錄到目標(biāo)系統(tǒng)。如果工作組+angels在目標(biāo)系統(tǒng)中有登錄用戶名，那么它是完全可信的并且被允許訪問(wèn)。,7、網(wǎng)絡(luò)信息系統(tǒng)（NIS）,是建立分布式計(jì)算機(jī)環(huán)境的一個(gè)方法。它提供一個(gè)集中的用戶賬戶數(shù)據(jù)庫(kù)，將其存儲(chǔ)在一個(gè)單獨(dú)的服務(wù)器上，叫主服務(wù)器；客戶端可以訪問(wèn)主服務(wù)器進(jìn)行驗(yàn)證，一旦通過(guò)驗(yàn)證，這些客戶端就可以只有一個(gè)密碼登錄到多個(gè)服務(wù)器上，允許用戶在網(wǎng)絡(luò)中的所有機(jī)器上具有唯一的賬戶。主服務(wù)器可以把用戶數(shù)據(jù)庫(kù)備份到另一個(gè)服務(wù)器上，稱作從服務(wù)器。NIS允許維護(hù)對(duì)保持機(jī)器在網(wǎng)絡(luò)中正確操作必要的配置文件，它們從一個(gè)中心位置分配，而不需登錄每一臺(tái)機(jī)器修改配置。NIS+使用公共密鑰加密對(duì)有效的信任關(guān)系進(jìn)行保護(hù)。,NIS的缺點(diǎn)：1）后臺(tái)Portmapper程序：負(fù)責(zé)接受一個(gè)遠(yuǎn)程過(guò)程調(diào)用（RPC）。RPC允許本地主機(jī)上的一個(gè)應(yīng)用程序?qū)h(yuǎn)程主機(jī)上的應(yīng)用或后臺(tái)程序提出請(qǐng)求，后臺(tái)portmapper程序即時(shí)回復(fù)這個(gè)請(qǐng)求，并將這個(gè)請(qǐng)求映射到一個(gè)本地的服務(wù)，通過(guò)分配一個(gè)臨時(shí)的端口完成。RPC不需要驗(yàn)證，缺乏安全性。解決方案是：a）使用一個(gè)包裝程序（TCPWrappers），使你能夠限制對(duì)具備某些IP地址或域名的主機(jī)的訪問(wèn)，但還是容易受得哄騙攻擊。b）在一個(gè)強(qiáng)大的防火墻內(nèi)使用RPC，且信任所有內(nèi)部的主機(jī)。c）使用安全RPC協(xié)議，通過(guò)一個(gè)基于公鑰的主機(jī)和用戶驗(yàn)證方案解決一定范圍內(nèi)的驗(yàn)證問(wèn)題。,2）服務(wù)器通過(guò)廣播進(jìn)行聯(lián)系，任何可以訪問(wèn)局域網(wǎng)的人都能夠建立一個(gè)服務(wù)器并分配偽造的NIS映像。通過(guò)指定NIS服務(wù)器的IP地址增強(qiáng)安全性。3）明碼文本分配：NIS映像以明碼文本的方式進(jìn)行分配，特別是NIS密碼映像，它可以被任何可以訪問(wèn)網(wǎng)絡(luò)的人使用ypcat程序讀取，看到加密的密碼?？梢酝ㄟ^(guò)分配一個(gè)隱蔽密碼映像增強(qiáng)安全性。4）加密和驗(yàn)證：默認(rèn)情況下，NIS不對(duì)驗(yàn)證事務(wù)進(jìn)行加密，因此當(dāng)一個(gè)用戶改變其密碼時(shí)，在網(wǎng)絡(luò)中就會(huì)出現(xiàn)明碼文本形式的、未加密的密碼傳遞。,8、網(wǎng)絡(luò)文件系統(tǒng)（NFS）,用來(lái)在網(wǎng)絡(luò)中分布文件系統(tǒng)，NFS客戶端可以安裝一些文件系統(tǒng)，它們物理上位于其他NFS服務(wù)器上，一個(gè)使文件系統(tǒng)可用于遠(yuǎn)程安裝的NFS服務(wù)器被認(rèn)為是導(dǎo)出或共享這些文件系統(tǒng)。NFS服務(wù)器在/etc/exports文件夾中列出要與客戶端共享的文件夾。NFS包括的應(yīng)用程序有：1）分布式主目錄：某個(gè)文件系統(tǒng)被NFS服務(wù)器導(dǎo)出并隨后被網(wǎng)絡(luò)中的一個(gè)計(jì)算機(jī)團(tuán)體安裝，如果一個(gè)用戶的主目錄位于這個(gè)文件系統(tǒng)上，那么這個(gè)用戶在哪個(gè)計(jì)算機(jī)上登錄都可以訪問(wèn)到自己的文件。,2）集中軟件包的管理：NFS可以在一個(gè)服務(wù)器上放置一個(gè)大型軟件包，然后允許客戶端安裝它；只需對(duì)導(dǎo)出部分的單一拷貝進(jìn)行管理權(quán)限的更改，客戶端主機(jī)就可以立即使用這個(gè)更新后的軟件包。3）保存磁盤空間：可以在多個(gè)計(jì)算機(jī)之間，通過(guò)將很少改動(dòng)的、大量的文件安裝在一個(gè)共享的NFS分區(qū)上共享這些文件。NFS安全：NFS使用的Portmapper后臺(tái)程序會(huì)導(dǎo)致驗(yàn)證