打造服務(wù)器整體安全性1

1、第32講 第17章 打造服務(wù)器整體安全性本節(jié)重點(diǎn)介紹如何利用系統(tǒng)的自身功能配置服務(wù)器的安全。 現(xiàn)在有很多人都認(rèn)為Windows的漏洞太多，系統(tǒng)安全性極差，其實(shí)各種系統(tǒng)都有很多漏洞，只不過使用Windows的人最多，不會做各種安全設(shè)置，所以才會讓很多的人都認(rèn)為Windows很不安全。其實(shí)Windows NT/2000/XP/2003的服務(wù)器如果真的做好了各項(xiàng)安全設(shè)置之后，其安全性絕對不會比Linux系統(tǒng)差。 u 利用Syskey實(shí)現(xiàn)系統(tǒng)雙重加密 u 配置服務(wù)器不響應(yīng)Ping命令 u Windows 2000/XP/2003賬號管理 u 修改IIS、Apache的Banner實(shí)現(xiàn)操作系統(tǒng)版本的隱藏

2、 u 指定服務(wù)器的開放端口 u 禁用服務(wù)器相關(guān)程序 u 刪除服務(wù)器的默認(rèn)共享 u 提高服務(wù)器抗拒絕服務(wù)攻擊能力 利用Syskey實(shí)現(xiàn)系統(tǒng)雙重加密 (1) 選擇【開始】【運(yùn)行】命令，在【打開】下拉文本框中輸入“syskey.exe”，然后單擊【確定】按鈕。(2) 在【保證Windows NT賬戶數(shù)據(jù)庫的安全】對話框中提示用戶一旦啟用加密就不能禁用，選擇【啟用加密】單選按鈕，然后單擊【更新】按鈕。 (3) 接著系統(tǒng)打開【賬戶數(shù)據(jù)庫項(xiàng)】對話框，其中有兩個(gè)選項(xiàng)組：【密碼啟動】、【系統(tǒng)產(chǎn)生的密碼】。【密碼啟動】是指在系統(tǒng)啟動時(shí)需要輸入一個(gè)密碼方能啟動；【系統(tǒng)產(chǎn)生的密碼】是指在軟盤上保存啟動密碼，當(dāng)系統(tǒng)啟

3、動后需要插入該軟盤方能啟動。由于軟盤不易保存，在這里推薦選擇【密碼啟動】單選按鈕，并輸入一個(gè)啟動密碼。然后單擊【確定】按鈕。接著系統(tǒng)會彈出一個(gè)【成功】對話框，提示賬戶數(shù)據(jù)庫的開始密碼已更改，單擊【確定】按鈕退出Syskey程序。 4) 當(dāng)再次啟動計(jì)算機(jī)時(shí)，系統(tǒng)就會彈出【W(wǎng)indows 2000啟動密碼】對話框，并要求用戶在【密碼】文本框中輸入啟動密碼。 配置服務(wù)器不響應(yīng)Ping命令 本節(jié)重點(diǎn)介紹如何通過配置安全策略來實(shí)現(xiàn)服務(wù)器不響應(yīng)Ping命令。 大家可能都知道我們通常用Ping命令是來檢查網(wǎng)絡(luò)是否暢通的一個(gè)簡單的方法，可是這個(gè)Ping也能給Windows系統(tǒng)帶來嚴(yán)重的后果，那就是Ping攻擊

4、即是ICMP(Internet Control and Message Protocal，網(wǎng)際消息控制協(xié)議)攻擊，原理是惡意攻擊者在一個(gè)時(shí)段內(nèi)連續(xù)使用Ping命令向目標(biāo)服務(wù)器發(fā)送大量的數(shù)據(jù)包使得計(jì)算機(jī)的CPU處理不及而使用資源被占盡，從而造成服務(wù)器崩潰，這種攻擊手法也被稱為拒絕服務(wù)攻擊，它只是拒絕服務(wù)攻擊中的一種。u 攻擊原理u 拒絕Ping響應(yīng)u 測試 Ping命令通過發(fā)送ICMP報(bào)文，回響請求來驗(yàn)證與另一臺TCP/IP計(jì)算機(jī)的 IP 級連接?；仨憫?yīng)答消息的接收情況將和往返過程的次數(shù)一起顯示出來，也就是說，我們向目標(biāo)計(jì)算機(jī)發(fā)送一個(gè)ICMP報(bào)文，目標(biāo)計(jì)算機(jī)接到此報(bào)文后就會返回一個(gè)給我們。攻擊者

5、如果使用以下Ping命令格式，就會造成目標(biāo)服務(wù)器拒絕服務(wù)： Ping t l 60000 5 (1) 選擇【開始】【設(shè)置】【控制面板】命令，雙擊【控制面板】窗口中的“管理工具”圖標(biāo)，在打開的“管理工具”窗口中雙擊【本地安全策略】圖標(biāo)。(2) 在【本地安全設(shè)置】窗口中，右擊【IP安全策略，在本地機(jī)器】，在彈出的快捷菜單中選擇【創(chuàng)建IP安全策略】命令。 (3) 進(jìn)入歡迎使用【IP安全策略向?qū)А繉υ捒?，單擊【下一步】按鈕繼續(xù)以下操作。(4) 接下來系統(tǒng)要求為創(chuàng)建的IP安全策略命名一個(gè)【名稱】并給出一個(gè)簡短的【描述】?？梢噪S便輸入，該名稱將顯示在【本地安全設(shè)置】窗口中。在這里為此

6、IP安全策略輸入的名稱是“ping” ，然后單擊【下一步】按鈕繼續(xù)。 (1) 選擇【開始】【設(shè)置】【控制面板】命令，雙擊【控制面板】窗口中的“管理工具”圖標(biāo)，在打開的“管理工具”窗口中雙擊【本地安全策略】圖標(biāo)。(2) 在【本地安全設(shè)置】窗口中，右擊【IP安全策略，在本地機(jī)器】，在彈出的快捷菜單中選擇【創(chuàng)建IP安全策略】命令。 (3) 進(jìn)入歡迎使用【IP安全策略向?qū)А繉υ捒颍瑔螕簟鞠乱徊健堪粹o繼續(xù)以下操作。(4) 接下來系統(tǒng)要求為創(chuàng)建的IP安全策略命名一個(gè)【名稱】并給出一個(gè)簡短的【描述】。可以隨便輸入，該名稱將顯示在【本地安全設(shè)置】窗口中。在這里為此IP安全策略輸入的名稱是“ping” ，然后單

7、擊【下一步】按鈕繼續(xù)。 (5) 進(jìn)入安全通信請求設(shè)置，選中【激活默認(rèn)響應(yīng)規(guī)則】復(fù)選框，然后單擊【下一步】按鈕繼續(xù)。 (6) 設(shè)置默認(rèn)響應(yīng)規(guī)則身份驗(yàn)證方式，在這里可以選擇此安全規(guī)則設(shè)置初始身份驗(yàn)證方法為【此字串用來保護(hù)密鑰交換】，此項(xiàng)設(shè)置是用于基于多臺計(jì)算機(jī)之間認(rèn)證的。在這里為本地計(jì)算機(jī)創(chuàng)建IP策略，可隨便在此文本框中輸入幾個(gè)字符，然后單擊【下一步】按鈕繼續(xù)。 (7) 此時(shí)系統(tǒng)提示已成功地完成IP安全策略向?qū)?，要對剛?chuàng)建的向?qū)нM(jìn)行編輯，可選中【編輯屬性】復(fù)選框，然后單擊【完成】按鈕。 (8) 接著系統(tǒng)會打開一個(gè)【ping屬性】對話框，單擊【添加】按鈕(9) 進(jìn)入歡迎使用創(chuàng)建IP【安全規(guī)則向?qū)А繉?/p>

8、話框，單擊【下一步】按鈕繼續(xù)。 (10) 指定IP安全規(guī)則的隧道終結(jié)點(diǎn)，選擇【此規(guī)則不指定隧道】單選按鈕，然后單擊【下一步】按鈕繼續(xù)。 (11) 選擇網(wǎng)絡(luò)類型。接著系統(tǒng)要求指定所創(chuàng)建的安全規(guī)則所針對的網(wǎng)絡(luò)類型，共有3個(gè)選項(xiàng)，分別是【所有網(wǎng)絡(luò)連接】、【局域網(wǎng)】、【遠(yuǎn)程訪問】。在這里推薦選擇【所有網(wǎng)絡(luò)連接】單選按鈕，單擊【下一步】按鈕繼續(xù)。 (12) 接著進(jìn)入【身份驗(yàn)證方法】設(shè)置，步驟(6)，選擇【此字串用來保護(hù)密鑰交換】單選按鈕，然后在文本框中輸入幾個(gè)字符即可，單擊【下一步】按鈕繼續(xù)。 (13) 進(jìn)入【IP篩選器列表】設(shè)置，為創(chuàng)建的安全規(guī)則添加一個(gè)新的IP篩選器，單擊【添加】按鈕。 (14) 為

9、要新創(chuàng)建的IP篩選器輸入一個(gè)【名稱】。在這里輸入“ping-2”作為它的名稱，然后單擊【添加】按鈕。 (15) 進(jìn)入歡迎使用【IP篩選器向?qū)А繉υ捒?，單擊【下一步】按鈕繼續(xù)。 (16) 指定IP通信源地址。這里所謂的IP源地址是指要拒絕響應(yīng)ICMP報(bào)文的IP地址范圍。如果要拒絕所有人對服務(wù)器發(fā)送ICMP報(bào)文，可單擊【源地址】下拉列表框，從中選擇【任何IP地址】選項(xiàng)，單擊【下一步】按鈕繼續(xù)。 (17) 指定IP通信目標(biāo)、單擊【目標(biāo)地址】下拉列表框，從中選擇【我的IP地址】選項(xiàng)，即拒絕任何IP地址對本機(jī)發(fā)送ICMP報(bào)文，單擊【下一步】按鈕繼續(xù)。 (18) 選擇IP協(xié)議類型。在這里所要實(shí)現(xiàn)的就是要拒

10、絕惡意攻擊者對服務(wù)器發(fā)送大量的ICMP報(bào)文，因此單擊【選擇協(xié)議類型】下拉列表框，從中選擇【ICMP】選項(xiàng)，然后單擊【下一步】按鈕繼續(xù)。 (21) 接下來就是要對IP篩選器ping-2進(jìn)行篩選操作。在【篩選器操作】列表框中選擇【要求安全設(shè)置】選項(xiàng)，然后單擊【下一步】按鈕。(22) 系統(tǒng)將提示我們已成功指定新規(guī)則屬性，單擊【完成】按鈕退出安全規(guī)則向?qū)А?23) 返回【本地安全設(shè)置】窗口，單擊左邊窗口中的【IP安全策略，在本地機(jī)器】，這時(shí)我們發(fā)現(xiàn)在右邊窗口中一個(gè)名稱為ping的安全策略已被成功創(chuàng)建。右擊【ping】，在彈出的快捷菜單中選擇【指派】命令，這樣就可以激活此安全策略，剛才的設(shè)置才會生效。

11、完成上述操作后，在其他計(jì)算機(jī)上對目標(biāo)計(jì)算機(jī)發(fā)送ICMP報(bào)文。此時(shí)我們發(fā)現(xiàn)對遠(yuǎn)程計(jì)算機(jī)使用Ping命令時(shí)，Ping返回的結(jié)果是Request timed out(超時(shí)) 。這就證明我們已成功地配置了服務(wù)器拒絕響應(yīng)ICMP報(bào)文，因此在防范ICMP攻擊方面就安全多了，對于那些惡意攻擊者所發(fā)來的大量數(shù)據(jù)包都能攔截下來，從而在這方面保證了計(jì)算機(jī)免受破壞的危險(xiǎn)。 Windows 2000/XP/2003賬號管理 本節(jié)重點(diǎn)介紹如何管理服務(wù)器的賬號，從而來提高服務(wù)器的安全。 入侵者最基本的攻擊方法就是破解系統(tǒng)的密碼，如果系統(tǒng)密碼被入侵者獲取，那么整個(gè)主機(jī)也將會被入侵者控制，后果也將不堪設(shè)想。u 禁止枚舉賬號

12、u Administrator賬號更名 u 禁止顯示上次登錄的用戶名 u 禁用Guest 賬號 使用注冊表法對這種行為禁止的操作步驟如下： (1) 選擇【開始】【運(yùn)行】命令，在【運(yùn)行】對話框的【打開】下拉列表框中輸入“regedit.exe”，單擊【確定】按鈕，運(yùn)行注冊表編輯器，依次打開以下鍵：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa (2) 雙擊子鍵下的RestrictAnonymous鍵值名，打開【編輯雙字節(jié)值】對話框，在【數(shù)值數(shù)據(jù)】文本框中輸入“1”，然后退出注冊表即可禁止空會話。 (1) 選擇【開始】【設(shè)置】【控制面板】命令

13、，雙擊【控制面板】窗口中的“管理工具”圖標(biāo)，在打開的“管理工具”窗口中雙擊【本地安全策略】圖標(biāo)。 (2) 在【本地安全設(shè)置】窗口中，依次展開【本地策略】【安全選項(xiàng)】，然后雙擊右邊窗口【策略】列表下的【對匿名連接額外限制】。 (3) 在打開的【本地安全策略設(shè)置】對話框中，單擊【本地策略設(shè)置】下拉列表框，從中選擇【不允許枚舉SAM賬號和共享】選項(xiàng) 。(1) 選擇【開始】【設(shè)置】【控制面板】命令，雙擊【控制面板】窗口中的“管理工具”圖標(biāo)，在打開的“管理工具”窗口中雙擊【計(jì)算機(jī)管理】圖標(biāo)。(2) 在【計(jì)算機(jī)管理】窗口中，依次展開【系統(tǒng)工具】【本地用戶和組】【用戶】，然后在右邊的窗口中右擊Adminis

14、trator用戶，在彈出的快捷菜單中選擇【重命名】命令。(3) 重新輸入一個(gè)名稱代替Administrator用戶，最好不要使用Admin、Root之類的名字，這樣很有可能被入侵者猜到。盡量把它偽裝成別人想不到的用戶名。還可以在另建一個(gè)名為Administrator的陷阱賬號，不賦予任何權(quán)限，為其設(shè)一個(gè)超過10位的字母與數(shù)字組合而成的密碼，并對該賬戶啟用審核。這樣入侵者忙了半天也可能進(jìn)不來，或者即便進(jìn)來了也什么都得不到，還給我們留下了跟蹤的線索。 使用注冊表法的操作步驟如下： (1) 選擇【開始】【運(yùn)行】命令，在【運(yùn)行】對話框的【打開】下拉列表框中輸入“regedit.exe”，單擊【確定】按

15、鈕，運(yùn)行注冊表編輯器，依次打開以下鍵：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon(2) 雙擊子鍵下的DontDisplayLastUserName鍵值名，打開【編輯字符串】對話框，在【數(shù)值數(shù)據(jù)】文本框中輸入“1”，然后退出注冊表即可隱藏系統(tǒng)上次登錄的用戶名。 使用安全策略法的操作步驟如下：(1) 選擇【開始】【設(shè)置】【控制面板】命令，雙擊【控制面板】“管理工具”【本地安全策略】圖標(biāo)。 (2) 在【本地安全設(shè)置】窗口中，依次展開【本地策略】【安全選項(xiàng)】，然后雙擊右邊窗口【策略】列表下的【對匿名連接的額外限

16、制】。 (3) 在【本地安全策略設(shè)置】對話框中，在【本地策略設(shè)置】選項(xiàng)組中選擇【已啟用】單選按鈕，便可隱藏系統(tǒng)上次登錄的用戶名。 (1) 選擇【開始】【設(shè)置】【控制面板】命令，雙擊【控制面板】“管理工具” 下的【計(jì)算機(jī)管理】圖標(biāo)。 (2) 在【計(jì)算機(jī)管理】窗口中，依次展開【系統(tǒng)工具】【本地用戶和組】【用戶】，然后在右邊的窗口中雙擊【Guest】用戶。 (3) 在【Guest屬性】對話框，選中【賬戶已停用】復(fù)選框，這樣入侵者就無法使用Guest賬號登錄我們的系統(tǒng)了。 修改IIS、Apache的Banner實(shí)現(xiàn)操作系統(tǒng)版本的隱藏 本節(jié)重點(diǎn)介紹如何通過手工和利用第三方程序來修改IIS、Apache的

17、Banner。 入侵者在攻擊一臺目標(biāo)服務(wù)器之前，第一步就是通過查看對方服務(wù)器所使用的操作系統(tǒng)及其的版本，然后針對不同的操作系統(tǒng)及其版本對服務(wù)器進(jìn)行攻擊。接下來介紹如何通過修改IIS、Apache的Banner來隱藏操作系統(tǒng)的版本，從而來達(dá)到“瞞天過海”。 u 入侵方法檢測 u 修改IIS的Web 服務(wù)器Banneru 通過第三方軟件修改Banner (1) 選擇【開始】【運(yùn)行】命令，在【打開】下拉文本框中輸入“CMD.exe”，單擊【確定】按鈕運(yùn)行【命令提示符】程序。 (2) 在【命令提示符】程序窗口中的命令提示符下輸入如下格式命令：telnet 命令解釋通過遠(yuǎn)程登錄的方式登錄到目標(biāo)Web服務(wù)

18、器上。在這里目標(biāo)Web服務(wù)器的IP地址是2，端口是80，即輸入如下命令：telnet 2 80 (3) 登錄到Web服務(wù)器后，【命令提示符】程序窗口成為黑色，沒有該服務(wù)器的任何輸出結(jié)果，這是因?yàn)槲覀冞€沒有向該服務(wù)器發(fā)送請求。此時(shí)只要我們連按兩下【回車】鍵，將會得到如圖所示的結(jié)果，該結(jié)果就被我們稱為系統(tǒng)的Banner。在第二行可以看到“Server: Microsoft-IIS/5.1”字段，從而得知目標(biāo)服務(wù)器使用的是微軟公司的Windows XP架設(shè)的Web服務(wù)器(很多黑客掃描軟件都是根據(jù)這一原因判斷目標(biāo)服務(wù)器操作系統(tǒng)的)。IIS的版本為5.1，即W

19、indows XP系統(tǒng)，Windows NT/2000/2003的IIS版本分為4.0、5.0、5.5。同樣也可以利用此方法得到FTP服務(wù)器的類型。 (1) 在【命令提示符】程序窗口中的命令提示符下輸入“iisreset /stop”命令停止IIS服務(wù)。 (2) 下載一款名為【W(wǎng)inHex】的十六進(jìn)制文件編輯軟件。安裝完畢后運(yùn)行【W(wǎng)inHex】程序，選擇【文件】【打開】命令，打開%system32%system32inetsrvw3svc.dll程序，然后按Ctrl+F組合鍵打開【查找文本】對話框，查找“Microsoft-IIS/5.1”字段。 (3) 找到Microsoft-IIS/5.1字段后，只要把此字段修改為想讓IIS的Web服務(wù)器顯示的Banner即可。我們將其修改為“ server/0.0”，然后選擇【