《網(wǎng)絡(luò)攻擊與防御》課件第四章 基于系統(tǒng)的攻擊與防御_第1頁
《網(wǎng)絡(luò)攻擊與防御》課件第四章 基于系統(tǒng)的攻擊與防御_第2頁
《網(wǎng)絡(luò)攻擊與防御》課件第四章 基于系統(tǒng)的攻擊與防御_第3頁
《網(wǎng)絡(luò)攻擊與防御》課件第四章 基于系統(tǒng)的攻擊與防御_第4頁
《網(wǎng)絡(luò)攻擊與防御》課件第四章 基于系統(tǒng)的攻擊與防御_第5頁
已閱讀5頁,還剩162頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第四章基于系統(tǒng)的攻擊與防御4.1基于Windows的系統(tǒng)攻擊與防御4.2Linux系統(tǒng)的攻擊與防御 4.1基于Windows的系統(tǒng)攻擊與防御4.1.1系統(tǒng)口令攻擊1.口令攻擊概述

口令是網(wǎng)絡(luò)系統(tǒng)的第一道防線。當(dāng)前的網(wǎng)絡(luò)系統(tǒng)都是通過口令來驗(yàn)證用戶身份、實(shí)施訪問控制的??诹罟羰侵负诳鸵钥诹顬楣裟繕?biāo),破解合法用戶的口令,或避開口令驗(yàn)證過程,然后冒充合法用戶潛入目標(biāo)網(wǎng)絡(luò)系統(tǒng),奪取目標(biāo)系統(tǒng)控制權(quán)的過程。在典型的計(jì)算機(jī)系統(tǒng)中,每個(gè)用戶都有一個(gè)固定的口令,除非用戶決定進(jìn)行更改。當(dāng)口令通過鍵盤輸入時(shí),系統(tǒng)的身份認(rèn)證內(nèi)核模塊會(huì)對(duì)它進(jìn)行加密運(yùn)算,經(jīng)過運(yùn)算后的加密字符串同系統(tǒng)的密碼表進(jìn)行逐項(xiàng)比較,通常密碼表是一個(gè)存儲(chǔ)在計(jì)算機(jī)上的密碼文件,如果認(rèn)證模塊發(fā)現(xiàn)某項(xiàng)與輸入的加密串等同,則允許登錄?;谶@種密碼驗(yàn)證原理,攻擊者攻擊目標(biāo)時(shí)常常把破譯用戶的口令作為攻擊的開始。如果口令攻擊成功,黑客進(jìn)入了目標(biāo)網(wǎng)絡(luò)系統(tǒng),他就能夠隨心所欲地竊取、破壞和篡改被侵入方的信息,直至完全控制被侵入方。所以,口令攻擊是黑客實(shí)施網(wǎng)絡(luò)攻擊最基本、最重要、最有效的方法之一。進(jìn)行口令攻擊的前提是必須先得到該主機(jī)上的某個(gè)合法用戶的賬號(hào),獲得普通用戶賬號(hào)的方法很多,例如:

(1)利用目標(biāo)主機(jī)的Finger功能。使用finger[options]user[@address]格式的命令,可以讓使用者查詢一些其他使用者的資料,如用戶名、登錄時(shí)間等。例如:在Linux下使用Finger指令查詢本機(jī)管理員的資料:其操作方法如下:

Fingerroot

其結(jié)果如下:

Login:rootName:root

Directory:/rootShell:/bin/bash

Neverloggedin.

Nomail.

NoPlan.

(2)從電子郵件地址中收集。有些用戶的電子郵件地址常會(huì)透露其在目標(biāo)主機(jī)上的賬號(hào)。

(3)查看主機(jī)是否有習(xí)慣性的賬號(hào)。有經(jīng)驗(yàn)的用戶都知道,很多系統(tǒng)會(huì)使用一些習(xí)慣性的賬號(hào),造成賬號(hào)的泄露。

2.口令攻擊的方法

口令攻擊主要采用以下幾種方法。

(1)猜測(cè)攻擊。也就是使用口令猜測(cè)程序進(jìn)行攻擊??诹畈聹y(cè)程序往往根據(jù)用戶定義口令的習(xí)慣來猜測(cè)用戶口令,像姓名縮寫、生日、寵物名、部門名等。在詳細(xì)了解用戶的社會(huì)背景之后,黑客可以列舉出幾百種可能的口令,并在很短的時(shí)間內(nèi)完成猜測(cè)攻擊。

(2)字典攻擊。如果猜測(cè)攻擊不成功,攻擊者可以繼續(xù)擴(kuò)大攻擊范圍,對(duì)所有英文單詞進(jìn)行嘗試,程序?qū)葱蛉〕鲆粋€(gè)又一個(gè)的單詞,進(jìn)行一次又一次嘗試,直到成功。對(duì)于一個(gè)有8萬個(gè)英文單詞的集合來說,入侵者不到一分半鐘就可以試完。所以,如果用戶的口令不太長(zhǎng)或是單詞、短語,那么很快就會(huì)被破譯出來。

(3)窮舉攻擊。如果字典攻擊仍然不能夠成功,攻擊者可以采取窮舉攻擊。一般從長(zhǎng)度為1的口令開始,按長(zhǎng)度遞增進(jìn)行嘗試攻擊。由于人們往往偏愛簡(jiǎn)單易記的口令,因此窮舉攻擊的成功率很高。如果每千分之一秒檢查一個(gè)口令,那么86%的口令可以在一周內(nèi)破譯出來。

(4)混合攻擊。該種攻擊方法結(jié)合了字典攻擊和窮舉攻擊的特點(diǎn),先字典攻擊,再進(jìn)行海量連續(xù)測(cè)試口令的方法進(jìn)行攻擊。

(5)直接破解系統(tǒng)口令文件。所有的攻擊都不能夠奏效時(shí),入侵者會(huì)尋找目標(biāo)主機(jī)的安全漏洞和薄弱環(huán)節(jié),伺機(jī)偷走存放系統(tǒng)口令的文件,然后破譯加密的口令,以便冒充合法用戶訪問這臺(tái)主機(jī)。

(6)網(wǎng)絡(luò)嗅探(sniffer)。通過嗅探器在局域網(wǎng)內(nèi)嗅探明文傳輸?shù)目诹钭址?/p>

(7)鍵盤記錄。在目標(biāo)系統(tǒng)中安裝鍵盤記錄后門,記錄操作員輸入的口令字符串,如很多間諜軟件、木馬等都可能會(huì)盜取用戶的口令。

(8)其他攻擊方式。中間人攻擊(Man-in-the-MiddleAttack,簡(jiǎn)稱“MITM攻擊”)是一種“間接”的入侵攻擊,這種攻擊模式是通過各種技術(shù)手段將受入侵者控制的一臺(tái)計(jì)算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺(tái)通信計(jì)算機(jī)之間,這臺(tái)計(jì)算機(jī)就稱為“中間人”。然后入侵者把這臺(tái)計(jì)算機(jī)模擬為一臺(tái)或兩臺(tái)原始計(jì)算機(jī),使“中間人”能夠與原始計(jì)算機(jī)建立活動(dòng)連接并允許其讀取或篡改傳遞的信息,然而兩個(gè)原始計(jì)算機(jī)用戶卻認(rèn)為他們是在互相通信,因而這種攻擊方式并不很容易被發(fā)現(xiàn),通過這種方式可以順利進(jìn)入網(wǎng)絡(luò)獲取口令。

(9)社會(huì)工程學(xué)(SocialEngineering)。通過人際交往這一非技術(shù)手段以欺騙、套取的方式來獲得口令。

3.Windows操作系統(tǒng)的口令破解技術(shù)

在Windows系統(tǒng)中,以WindowsXP為例,由于系統(tǒng)本身保存密碼的特點(diǎn)和缺陷,以及系統(tǒng)管理員的疏忽,可以對(duì)系統(tǒng)口令進(jìn)行本地的破解。下面介紹利用SAMInside工具實(shí)現(xiàn)針對(duì)WindowsXP系統(tǒng)口令的本地破解。

1)破解Syskey加密過的密碼文件

在Windows2003及后續(xù)系統(tǒng)中,本地的用戶名和密碼一般是保存在SAM密碼文件中的,SAM文件位于Windows目錄下的“system32\config”或“repair”文件夾中。用LC5之類的工具,可以直接從SAM文件中還原破解出登錄密碼。但是如果用戶運(yùn)行位于“system32”文件夾下的“syskey.exe”程序時(shí),將會(huì)出現(xiàn)一個(gè)賬戶數(shù)據(jù)庫加密提示界面,如圖4-1所示。

圖4-1運(yùn)行syskey.exe文件圖4-2設(shè)置啟動(dòng)密碼2)導(dǎo)入SAM密碼文件圖4-3運(yùn)行SAMInside工具圖4-4選擇菜單

小提示:破解方式下拉選擇菜單中的“從SAM和SYSKEY注冊(cè)表文件導(dǎo)入”命令是常見的密碼破解方式,用于破解經(jīng)過Syskey加密的SAM文件。運(yùn)行該命令后選擇相應(yīng)的SAM文件及System文件后,即可像LC5一樣快速還原破解出登錄密碼。如果是破解遠(yuǎn)程入侵主機(jī)的密碼,切記需要將主機(jī)上與SAM文件同一文件夾下的“Syskey”文件下載到本地進(jìn)行破解。另外的幾個(gè)菜單選項(xiàng)命令是用來破解其他格式的密碼文檔的,比如?.LCP、.LCS、.LC格式密碼文件或PWDUMP文件等。圖4-5選擇SAM文件圖4-6打開syskey文件

3)導(dǎo)入SYSKEY加密文件

在SAMInside目錄下的tools子目錄下選擇GetSyskey工具,運(yùn)行該工具可以生成SYSKEY文件,如圖4-7所示。圖4-7選擇Getsyskey文件

此工具是一個(gè)DOS命令行下使用的程序,格式如下:

GetSyskey<SYSTEM-file>[OutputSYSKEY-file]

其中SYSTEM-file表示系統(tǒng)中與SAM文件放在同一目錄下經(jīng)過Syskey加密過的“System”文件路徑,一般位于“C:\windows\system32\config\”或“C:\windows\repair\”下。運(yùn)行命令“GetSyskeyC:\windows\repair\systemsyskey.key”。命令執(zhí)行后,提示“Thesystemkeyfile“syskey”iscreated.”,即可在DOS的運(yùn)行目錄(筆者的運(yùn)行目錄是C:\DocumentsandSettings\test)中生成一個(gè)16個(gè)字節(jié)的二進(jìn)制代碼文件“syskey”,如圖4-8所示,將其導(dǎo)入SAMIniside中即可,如圖4-9所示。

圖4-8生成syskey文件圖4-9導(dǎo)入syskey文件

小提示:在破解的時(shí)候,要求SAM文件和SYSKEY-file未被使用中,也就是說假如我們要破解當(dāng)前登錄的Windows系統(tǒng)的密碼的話,首先應(yīng)該在DOS下或其他Windows系統(tǒng)中將SAM密碼文檔復(fù)制保存到其他的文件夾中,然后再從SAMinside中導(dǎo)入進(jìn)行破解。否則將會(huì)出現(xiàn)“共享違例”的錯(cuò)誤提示對(duì)話框,如圖4-10所示。圖4-10共享違例

4)選擇破解方式

將SAM文件和SYSKEY加密文檔導(dǎo)入后,在SAMIniside程序窗口中點(diǎn)擊工具欄上的“AttackOptions”按鈕,在彈出菜單中可以看到當(dāng)前可使用的密碼破解方式。首先選擇使用“LMHashattack”或“NTHashattack”破解方式,其中LMHash只能破解長(zhǎng)度為14位字符的密碼,而NTHash可以破解長(zhǎng)度為32位字符的密碼。由于這里是在本機(jī)測(cè)試,知道密碼長(zhǎng)度為7,因此選擇了“LMHashattack”破解方式。設(shè)置完密碼破解方式后,點(diǎn)擊“審計(jì)”菜單,選擇“開始攻擊”,即可開始破解選中用戶的登錄密碼了。很快就可以看到破解結(jié)果了,如圖4-11所示。圖4-11破解結(jié)果

4.?Windows操作系統(tǒng)的口令保護(hù)技術(shù)

Windows系統(tǒng)對(duì)口令的安全性做了很多設(shè)計(jì),使用128位以上的加密技術(shù),并支持Windows中幾乎所有的加密服務(wù),如Kerberos、加密文件系統(tǒng)以及IPSec等。表4-1提供了Windows2003支持的多種不同的標(biāo)準(zhǔn)身份驗(yàn)證協(xié)議,而這些方式使得Windows2003在口令安全上有了很大的選擇性。圖4-12注冊(cè)表中的SAM文件

保持口令安全的措施包括以下幾點(diǎn):

·口令長(zhǎng)度不要小于8位,并應(yīng)同時(shí)包含大小寫字母、數(shù)字以及標(biāo)點(diǎn)符號(hào)和控制字符。

·口令中不要使用常用單詞(避免字典攻擊)、英文簡(jiǎn)稱、個(gè)人信息(如生日、名字、系統(tǒng)登錄名等)、年份以及機(jī)器中的命令等。

·不要將口令寫下來,不要將口令存于電腦文件中。

·不要在不同系統(tǒng)上,特別是不同級(jí)別的用戶上使用同一口令。

·為防止旁人竊取口令,輸入口令時(shí)應(yīng)確認(rèn)無人在身邊。

·定期改變口令;至少6個(gè)月改變一次。

·對(duì)口令文件進(jìn)行隱藏。

·對(duì)用戶口令設(shè)置情況進(jìn)行檢測(cè),并強(qiáng)制用戶定期改變口令。任何一個(gè)脆弱的口令,都可能影響整個(gè)系統(tǒng)的安全。

·作為系統(tǒng)管理員應(yīng)該定期運(yùn)行破解口令的工具,來嘗試破解口令文件,若用戶的口令密碼輕易被破譯,說明用戶的密碼取得過于簡(jiǎn)單或有規(guī)律可循,應(yīng)盡快地更換密碼,以防止黑客的入侵。

保護(hù)好系統(tǒng)口令的另一個(gè)重要的方面就是合理地對(duì)系統(tǒng)的策略進(jìn)行設(shè)置。以下介紹幾個(gè)策略設(shè)置的例子,系統(tǒng)策略的合理設(shè)置也有助于口令的保護(hù)。

(1)連接策略:默認(rèn)情況下系統(tǒng)沒有設(shè)置登錄的失敗次數(shù)限制,導(dǎo)致可以被無限制地嘗試連接系統(tǒng)管理的共享資源。利用這個(gè)問題攻擊者可以進(jìn)行口令的暴力猜測(cè)。解決這個(gè)問題的方法是設(shè)置用戶的訪問策略,定義用戶登錄失敗達(dá)到一定次數(shù)時(shí)鎖定賬號(hào),并限制管理員遠(yuǎn)程訪問。賬戶鎖定的策略在活動(dòng)目錄中進(jìn)行設(shè)定,設(shè)定的方法如下:

·在“開始”菜單中的“程序”中的“管理工具”中,選擇“本地安全策略”,如圖4-13所示。

·在“本地安全策略”中選擇“賬戶策略”,如圖4-14所示,其中的“密碼策略”可以對(duì)密碼的長(zhǎng)度、密碼的存留時(shí)間等進(jìn)行設(shè)置。比如:在“密碼必須符合復(fù)雜性要求”的選項(xiàng)中,系統(tǒng)默認(rèn)是停用該功能,但推薦用戶在使用時(shí)將該功能開啟。圖4-13本地安全策略位置

·在“本地安全策略”中選擇“賬戶策略”,如圖4-14所示,其中的“密碼策略”可以對(duì)密碼的長(zhǎng)度、密碼的存留時(shí)間等進(jìn)行設(shè)置。比如:在“密碼必須符合復(fù)雜性要求”的選項(xiàng)中,系統(tǒng)默認(rèn)是停用該功能,但推薦用戶在使用時(shí)將該功能開啟。圖4-14本地安全設(shè)置圖4-15賬戶鎖定策略圖4-16賬戶鎖定閾值設(shè)定圖4-16賬戶鎖定閾值設(shè)定圖4-17閾值修改界面

(2)管理員無法設(shè)置賬號(hào)鎖定:為抵御對(duì)用戶口令的暴力猜解,Windows2003提供了賬號(hào)策略,允許在某個(gè)賬號(hào)登錄失敗次數(shù)達(dá)到一定閾值時(shí),將賬號(hào)鎖定。由于Administrator賬號(hào)的特殊性,Administrator賬號(hào)無法設(shè)置賬號(hào)鎖定,即使登錄失敗的次數(shù)達(dá)到閾值時(shí),該賬號(hào)也不可能被鎖定。這是為了避免由于入侵者對(duì)管理員口令進(jìn)行猜解而使得管理員賬號(hào)被鎖,管理員自己都無法登錄維護(hù)系統(tǒng),這個(gè)設(shè)計(jì)使得管理員賬號(hào)無法受到賬號(hào)策略的保護(hù)。因此除了系統(tǒng)默認(rèn)創(chuàng)建的Administrator賬號(hào),還應(yīng)該創(chuàng)建至少一個(gè)具有管理員特權(quán)的賬號(hào),并且,把默認(rèn)賬號(hào)Administrator改成另外一個(gè)名字。修改Administrator的名字,可以使得入侵者進(jìn)行密碼猜解的難度加大,入侵者不僅要猜管理員的密碼,還必須首先知道管理員的用戶名。

4.1.2SMB/NetBIOS協(xié)議攻擊

1.?SMB/NetBIOS原理

SMB(ServerMessageBlock,服務(wù)器消息塊)是一種通過網(wǎng)絡(luò)在共享文件、設(shè)備、命名管道和郵槽之間操作數(shù)據(jù)的協(xié)議。CIFS(CommonInternetFileSystem)是SMB的一個(gè)公共版本。SMB中有兩種安全模式:共享級(jí)安全模式和用戶級(jí)安全模式。共享級(jí)安全模式把一個(gè)網(wǎng)絡(luò)上的共享資源同一個(gè)口令關(guān)聯(lián)起來,用戶通過這個(gè)正確的口令來訪問網(wǎng)絡(luò)資源;用戶級(jí)安全模式是對(duì)共享級(jí)模式的增強(qiáng),它把一對(duì)用戶名/口令同共享資源關(guān)聯(lián)起來,所以如果某一個(gè)用戶需要訪問這種類型的共享資源,必須同時(shí)提供用戶名和口令。

NetBIOS(NetworkBasicInputOutputSystem,網(wǎng)絡(luò)基本輸入輸出系統(tǒng))是一種應(yīng)用程序接口(API),作用就是為局域網(wǎng)(LAN)添加特殊功能,幾乎所有的局域網(wǎng)電腦都是在NetBIOS基礎(chǔ)上工作的。Windows系統(tǒng)下的SMB可以運(yùn)行在TCP/IP、DECnet和IPX/SPX協(xié)議之上,目前運(yùn)行在端口TCP/139或端口TCP/445上,這主要依賴于NetBIOS是否運(yùn)行在TCP/IP協(xié)議之上。Windows2003中SMB可以直接運(yùn)行在TCP/IP協(xié)議上,端口是445(TCP)。Windows2003的NetBIOS通訊協(xié)議本身存在大量的安全漏洞,使得入侵者很容易收集到目標(biāo)網(wǎng)絡(luò)的大量信息,當(dāng)入侵者攻擊類似Windows2003、NT系統(tǒng)時(shí),NetBIOS往往是首選的攻擊對(duì)象。針對(duì)SMB/BIOS協(xié)議進(jìn)行攻擊的方法有很多種,下面我們將介紹一種具有代表性的空會(huì)話攻擊。

2.空會(huì)話(NullSession)攻擊

Windows2003可以使用協(xié)議同遠(yuǎn)程主機(jī)建立一個(gè)會(huì)話。會(huì)話是通信雙方交換信息的安全通道,每次會(huì)話都包含了訪問資源所需的認(rèn)證信息。而同遠(yuǎn)程服務(wù)器建立的空會(huì)話則沒有用戶認(rèn)證。換句話說,就好比是一個(gè)匿名訪問。在會(huì)話建立時(shí)用戶不提供用戶和口令憑證,所以令牌中不會(huì)包含用戶信息,因此建立會(huì)話雙方?jīng)]有密匙的交換,也不能在系統(tǒng)間發(fā)送加密信息和簽名信息。由于NULL會(huì)話沒有用戶的認(rèn)證信息,攻擊者可以輕而易舉地通過空連接取得目標(biāo)主機(jī)上的賬號(hào)信息。訪問令牌包含用戶的SID:“S-1-5-7”,以及用戶名“ANONYMOUSLOGON”。這個(gè)用戶名可以在用戶列表中看到,但不能在SAM數(shù)據(jù)庫中找到,屬于系統(tǒng)內(nèi)置的賬號(hào)。

1)空會(huì)話的建立

從用戶的角度來看,在登錄系統(tǒng)或者訪問服務(wù)器的某些資源時(shí)需要同服務(wù)器建立會(huì)話。例如:名為“BOB”的用戶希望訪問名為“DATASTORE”的服務(wù)器上的共享資源“DATA”,那么它可以發(fā)布以下命令:netuse*\\DATASTROE\DATA*/user:BOB。

另一方面,如果允許空會(huì)話,即“DATA”共享是一個(gè)空共享,那么它只要輸入:netuse*\\DATASTORE\DATA“”/user:,BOB將作為匿名用戶獲得DATA共享的訪問權(quán),而不需要提供用戶名和口令。

空會(huì)話可以把連接建立成空會(huì)話管道(NullSessionPipes),如果服務(wù)器許可的話,管道是另一種工具,允許不同系統(tǒng)之間的進(jìn)程相互通信。空會(huì)話還可以用來建立共享連接。包括

\\servername\IPC$?這類系統(tǒng)級(jí)共享,IPC$?是一種特殊的隱藏的共享,它給用戶提供了一個(gè)同服務(wù)器進(jìn)程通信的接口,可以從遠(yuǎn)程訪問。

2)空會(huì)話的攻擊方法

在默認(rèn)的安全設(shè)置下,借助空會(huì)話可以列舉目標(biāo)用戶和共享資源,訪問everyone權(quán)限的共享,訪問部分注冊(cè)表等。

最簡(jiǎn)單的方法就是用netuse命令建立空會(huì)話,然后利用netview命令獲取目標(biāo)系統(tǒng)的共享資源名列表。同時(shí)利用其他一些專用工具如enum還可以獲得用戶、機(jī)器名、口令、LSA策略信息等,甚至進(jìn)行窮舉口令攻擊。

在此我們來看一個(gè)例子說明空會(huì)話的隱患:

Netuser\\server\IPC$“”/user:“”//建立一個(gè)空會(huì)話

Netview\\server//查看遠(yuǎn)程服務(wù)器的共享資源

服務(wù)器名稱注釋

\\pc1

\\pc2

命令成功完成。

Nettime\\server//得到一個(gè)遠(yuǎn)程服務(wù)器的當(dāng)前時(shí)間

Nbtstat-Aserver//得到遠(yuǎn)程服務(wù)器的NetBIOS用戶名列表NetbiosRemotemachinenametable

Nametypestatus

NULL<00>UNIQUERegistered

NULL<20>UNIQUERegistered

INTERNET<00>GROUPRegistered

XIXI<03>UNIQUERegistered

IS~NULL……<00>UNIQUERegistered

INTERNET<1E>GOURPRegistered

ADMINSTRATOR<03>UNIQUERegistered

INTERNET<1D>GOURPRegistered

.._MSBROWSE_.<01>GROUPRegistered

MACAddress=00-54-4f-34-d8-80

這里出現(xiàn)的兩個(gè)<03>,就是對(duì)方所有的用戶名

3)空會(huì)話攻擊的防御

預(yù)防空會(huì)話最簡(jiǎn)單的方法就是設(shè)置復(fù)雜的密碼,防止通過IPC$窮舉密碼。但如果有其他漏洞,IPC$將為進(jìn)一步入侵提供方便。

防范IPC$入侵的方法如下:

(1)禁止空會(huì)話。方法是修改以下注冊(cè)表鍵值:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Restrictanonymous在Windows2003中將值改為“2”,表示限制所有的匿名訪問,除非明確許可。

(2)禁止自動(dòng)打開默認(rèn)共享。對(duì)于Windows2003Server來說,修改[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters],把AUTOShareWks(DWORD)的鍵值該為00000000。如果主鍵不存在,就新建一個(gè)再修改鍵值。

4.1.3NTFS文件系統(tǒng)

1.?NTFS格式

NTFS(NewTechnologyFileSystem,新技術(shù)文件系統(tǒng))是微軟專為WindowsNT操作環(huán)境所設(shè)計(jì)的文件系統(tǒng),并且廣泛應(yīng)用在WindowsNT的后續(xù)版本W(wǎng)indows2000、WindowsXP等中。與傳統(tǒng)的FAT/FAT32格式的文件系統(tǒng)相比,NTFS具有以下的優(yōu)勢(shì):

·長(zhǎng)文件名支持

·對(duì)文件目錄的安全控制

·先進(jìn)的容錯(cuò)能力

·不易受到病毒和系統(tǒng)崩潰的侵襲

而在這些優(yōu)勢(shì)中,NTFS文件系統(tǒng)最主要的特色是增了額外的安全功能,使得用戶能對(duì)Windows中的每一個(gè)對(duì)象賦予特定的訪問權(quán)限。對(duì)文件夾和文件可控制的權(quán)限包括:

·完全控制(包括讀、修改、刪除、運(yùn)行和其他所有的權(quán)限)

·修改(包括讀、寫、修改、運(yùn)行和列舉文件夾內(nèi)容)

·讀取和運(yùn)行(列出文件夾內(nèi)容、讀文件、運(yùn)行)

·列出文件夾目錄(文件夾才有的特殊權(quán)限)

·讀取(讀取文件、目錄內(nèi)容)

·寫入(能修改文件,向目錄中寫入文件,但不能讀)

實(shí)際上,上面所列的基本權(quán)限設(shè)置都是一個(gè)權(quán)限設(shè)置的集合,具體的權(quán)限設(shè)置可在文件或文件夾對(duì)象屬性頁的安全屬性標(biāo)簽的高級(jí)選項(xiàng)中進(jìn)行控制。

2.?Windows中NTFS權(quán)限使用

1)?NTFS文件保護(hù)

要實(shí)現(xiàn)文件夾和文件級(jí)別的安全控制,前提條件是分區(qū)是NTFS分區(qū)。如果是FAT或者FAT32分區(qū),是無法實(shí)現(xiàn)該功能的,其實(shí)如果電腦上只有一個(gè)Windows2003操作系統(tǒng),

那么用NTFS分區(qū)是一個(gè)非常好的選擇,這將大大提高系統(tǒng)的穩(wěn)定性和安全性。如果分區(qū)是FAT32分區(qū),那么可以通過這條命令來把它轉(zhuǎn)成NTFS分區(qū):

convertx:/fs:ntfs

其中的x可以用實(shí)際的盤符替換。

使用了NTFS分區(qū)以后,必須為需要訪問一個(gè)資源的每一個(gè)用戶賬號(hào)授予NTFS權(quán)限,用戶必須獲得明確的授權(quán)才能訪問經(jīng)過設(shè)置的資源。如果沒有權(quán)限,那么它將被拒絕訪問該資源。打個(gè)比方:假設(shè)有一個(gè)文件,用戶對(duì)其進(jìn)行NTFS權(quán)限設(shè)置,用戶設(shè)置成只有他自己和A用戶才能訪問,那么除了該用戶和A以外,其他任何賬戶登陸都將無法使用該文件,Windows2003會(huì)給出“沒有適當(dāng)?shù)臋?quán)限讀取”等字樣的提示。這就實(shí)現(xiàn)了該文件的安全性,而且該安全性無論是在計(jì)算機(jī)上還是在網(wǎng)絡(luò)上都有效,也就是說即使通過網(wǎng)絡(luò)連接到該計(jì)算機(jī),也只有該用戶和A用戶可以使用該文件,其他人也是無法使用的,雖然該文件被共享,但是其他人只能看到有這個(gè)文件,卻不能讀取,如圖4-18所示。圖4-18NTFS文件保護(hù)

Windows2003中的AccessControlList(ACL,訪問控制列表)里面包含了可以訪問該資源的用戶的賬戶、組和計(jì)算機(jī)。當(dāng)一個(gè)用戶訪問該資源時(shí),必須在ACL中有它的賬號(hào),Windows2003才允許該用戶訪問該資源,否則拒絕。

需要說明的是,Windows2003不是根據(jù)用戶名是否相同來識(shí)別用戶的。每一個(gè)賬號(hào)在創(chuàng)建的時(shí)候都有一個(gè)SecurityID(SID,安全標(biāo)識(shí)符),Windows2003是根據(jù)這個(gè)SID是否相同來識(shí)別用戶的,如果SID不一樣,就算用戶名等其他設(shè)置一模一樣,Windows2003也會(huì)認(rèn)為是不一樣的兩個(gè)賬號(hào),這就像我們?cè)诤瞬樯矸輹r(shí),只認(rèn)你的身份證是否符合,而不管你的名字是否相同是一個(gè)道理,而該SID是Windows2003在創(chuàng)建該賬號(hào)的時(shí)候隨機(jī)給的,所以說當(dāng)刪除了一個(gè)賬號(hào)后,再次重新建立一個(gè)一模一樣的賬號(hào),其SID和原來的那個(gè)不一樣,那么他的NTFS權(quán)限就必須重新設(shè)置。

2)文件權(quán)限設(shè)置

如何設(shè)置文件的權(quán)限呢?用鼠標(biāo)右鍵點(diǎn)擊你想要設(shè)置權(quán)限的文件或者文件夾,選“屬性”→“安全”,這時(shí)可以看到允許使用該文件的賬號(hào)或者組,默認(rèn)是都有Everyone組的,如圖4-19所示,該組表示所有的用戶,下面部分就是可以為該組或者賬號(hào)設(shè)置的權(quán)限。如果Everyone的權(quán)限設(shè)置為完全控制,那么意味著所有的用戶都可以隨意操作該文件,包括讀取、修改、刪除等,這也是Windows2003默認(rèn)的權(quán)限。還可以添加賬號(hào),為賬號(hào)設(shè)置權(quán)限,如圖4-20所示。圖4-19文件權(quán)限設(shè)置1圖4-20文件權(quán)限設(shè)置2

以下舉例說明具體的操作:

假設(shè)有一個(gè)文件叫做FILE,現(xiàn)要設(shè)置為只有USER1、USER2和USER3這三個(gè)用戶可以使用該文件,但是USER1用戶可以隨意操作該文件,USER2用戶只能讀取該文件,而不能進(jìn)行如修改等其他操作,USER3可以讀取,可以寫入,但是不能刪除該文件。具體設(shè)置步驟如下:

(1)右鍵點(diǎn)擊FILE,選“屬性”→“安全”。

(2)將下面的“允許將來自父系的可繼承權(quán)限傳播給該對(duì)象”前面的勾去掉。此時(shí)會(huì)彈出一個(gè)對(duì)話框,選“刪除”。也就是說把上面的Everyone等所有的賬號(hào)刪除。

(3)點(diǎn)“添加”,彈出一個(gè)對(duì)話框,選中USER1,添加,確定。

(4)然后選中USER1,將“完全控制”后面的“允許”打上勾。

(5)依照前面的方法添加USER2。

(6)選中USER2,將“讀取”后面的“允許”打勾,其他的勾全部去掉。

(7)添加USER3。

(8)選中USER3,將“修改”后面的“允許”打勾,確認(rèn)“完全控制”的勾去掉。

(9)選“高級(jí)”,選中USER3,點(diǎn)“查看/編輯”,將“刪除”后面“允許”的勾去掉。

這時(shí),用USER1登錄,就可以完全控制該文件。用USER2登錄,可以打開該文件,當(dāng)保存的時(shí)候會(huì)出現(xiàn)“不能創(chuàng)建FILE,請(qǐng)確認(rèn)路徑和文件名是否正確”的提示框,這說明現(xiàn)在USER2無法保存該文件,當(dāng)然也無法進(jìn)行其他操作,只能讀取該文件。用USER3登錄,可以打開該文件,也可以保存,當(dāng)刪除該文件的時(shí)候會(huì)出現(xiàn)“無法刪除FILE:拒絕訪問。源文件可能正在使用”的提示框,說明無法刪除該文件。

至于給文件夾設(shè)置權(quán)限,步驟和上面差不多,不過文件夾會(huì)多了一個(gè)“繼承”,也就是說可以選擇權(quán)限設(shè)置是僅僅對(duì)該文件夾進(jìn)行起作用,還是對(duì)該文件夾和該文件夾的子文件夾及文件起作用。只要將“重置所有子對(duì)象的權(quán)限并允許傳播可繼承權(quán)限”前面打勾就可以了。

3)多重權(quán)限

當(dāng)然,在權(quán)限分配中還存在著多重權(quán)限的問題,在多重權(quán)限中應(yīng)該遵循以下幾個(gè)原則:

(1)用戶對(duì)資源的有效權(quán)限是分配給該個(gè)人用戶賬戶和用戶所屬的組的所有權(quán)限的總和。如果用戶對(duì)文件具有“讀取”權(quán)限,該用戶所屬的組又對(duì)該文件具有“寫入”的權(quán)限,那么該用戶就對(duì)該文件同時(shí)具有“讀取”和“寫入”的權(quán)限。

(2)文件權(quán)限高于文件夾權(quán)限。NTFS文件權(quán)限對(duì)于NTFS文件夾權(quán)限具有優(yōu)先權(quán),假設(shè)你能夠訪問一個(gè)文件,那么即使該文件位于你不具有訪問權(quán)限的文件夾中,你也可以進(jìn)行訪問(前提是該文件沒有繼承它所屬的文件夾的權(quán)限)。

(3)拒絕權(quán)限高于其他權(quán)限。拒絕權(quán)限可以覆蓋所有其他的權(quán)限。甚至作為一個(gè)組的成員有權(quán)訪問文件夾或文件,但是該組被拒絕訪問,那么該用戶本來具有的所有權(quán)限都會(huì)被鎖定而導(dǎo)致無法訪問該文件夾或文件。也就是說上面第一點(diǎn)的權(quán)限累積原則將失效。

4.1.4文件系統(tǒng)加密與保護(hù)

1.文件系統(tǒng)加密

文件加密系統(tǒng)(EFS)是WindowsXP的一項(xiàng)新功能,也應(yīng)用于之后的Windows操作系統(tǒng)中,任何在NTFS上的文件和文件夾都可被授權(quán)用戶進(jìn)行加密。EFS使用的是擴(kuò)展的數(shù)據(jù)加密標(biāo)準(zhǔn)(DESX),能讓用戶在一個(gè)硬盤上使用公鑰加密去保護(hù)數(shù)據(jù)。如果硬盤上的文件已經(jīng)使用EFS進(jìn)行了加密,這樣即使一個(gè)攻擊者能訪問硬盤,由于沒有解密的Key,文件也是不可用的。

1)加密操作

(1)利用WindowsXP資源管理器選中待設(shè)置加密屬性的文件或文件夾(如文件夾為“WindowsXP”)。

(2)單擊鼠標(biāo)右鍵,選擇“屬性”,啟動(dòng)“WindowsXP屬性”對(duì)話框窗口。

(3)單擊“常規(guī)”選項(xiàng)卡中的[高級(jí)]按鈕,啟動(dòng)“高級(jí)屬性”對(duì)話框,如圖4-21所示。

(4)選擇“壓縮或加密屬性”框中的“加密內(nèi)容以便保護(hù)數(shù)據(jù)”復(fù)選框,單擊[確定]按鈕,即可完成文件或文件夾的加密。

圖4-21文件系統(tǒng)加密

2)解密操作

(1)利用WindowsXP資源管理器選中待設(shè)置加密屬性的文件或文件夾(如文件夾為“WindowsXP”)。

(2)單擊鼠標(biāo)右鍵,選擇“屬性”,啟動(dòng)“WindowsXP屬性”對(duì)話框窗口。

(3)單擊“常規(guī)”選項(xiàng)卡中的[高級(jí)]按鈕,啟動(dòng)“高級(jí)屬性”對(duì)話框。

(4)清除“高級(jí)屬性”對(duì)話框“壓縮或加密屬性”框中的“加密內(nèi)容以便保護(hù)數(shù)據(jù)”復(fù)選框中的“√”(如圖4-22所示)。

此外,在NTFS分區(qū)上復(fù)制和移動(dòng)加密文件,文件的加密狀態(tài)會(huì)繼續(xù)保持,但是將加密文件復(fù)制或者移動(dòng)到一個(gè)非NTFS分區(qū)時(shí),例如從NTFS分區(qū)移動(dòng)到FAT分區(qū)時(shí),文件加密狀態(tài)丟失,文件加載復(fù)制的過程中就已經(jīng)被解密了。

2.文件系統(tǒng)保護(hù)

WindowsXP提供了兩種方式對(duì)系統(tǒng)文件進(jìn)行保護(hù),一種是瀏覽保護(hù),一種是文件保護(hù)。

1)瀏覽保護(hù)

當(dāng)用戶打開WindowsXP的系統(tǒng)文件夾時(shí),文件夾的所有資料都是被隱藏的,會(huì)出現(xiàn)如圖4-22所示的警告信息。用戶必須先單擊“顯示文件”才能看到系統(tǒng)目錄下的資料。這是WindowsXP為保護(hù)系統(tǒng)文件的一項(xiàng)措施。不啟用瀏覽保護(hù)模式的設(shè)置如下:將文件夾“菜單”工具下的“文件夾選項(xiàng)”對(duì)話框“常規(guī)”標(biāo)簽中的“Web”視圖選項(xiàng)由默認(rèn)的“允許文件夾中使用Web內(nèi)容”改為“使用Windows傳統(tǒng)風(fēng)格的文件夾”。圖4-22瀏覽保護(hù)

2)Windows文件保護(hù)

Windows中有大量重要的系統(tǒng)文件,這些文件如果受到破壞,可能會(huì)引起Windows系統(tǒng)的運(yùn)行效率降低甚至無法正常運(yùn)行。在WindowsXP中設(shè)計(jì)了“Windows文件保護(hù)”來確保WindowsXP重要系統(tǒng)文件的安全?!癢indows文件保護(hù)”能阻止替換受保護(hù)的系統(tǒng)文件,這些受保護(hù)的文件包括.sys、.dll、.exe、.ttf等系統(tǒng)文件。

Windows文件保護(hù)能檢測(cè)其他程序是否在替換或移動(dòng)受保護(hù)的系統(tǒng)文件,同時(shí)檢查文件的數(shù)字簽名以確定新文件是否是正確的Microsoft版本。默認(rèn)情況下總是啟用Windows文件保護(hù),只有通過以下方法才允許替換受保護(hù)的系統(tǒng)文件:

?執(zhí)行Update.exe安裝WindowsXPServicePack

?Windows更新

?使用Winnt32.exe升級(jí)操作系統(tǒng)

4.1.5安全恢復(fù)

1.安全恢復(fù)

從一定程度上說,如果系統(tǒng)沒有完善的安全恢復(fù)機(jī)制,即使有完善的保安措施,也不能認(rèn)為是安全的。運(yùn)行中的系統(tǒng)隨時(shí)都有發(fā)生崩潰的可能,崩潰會(huì)造成系統(tǒng)數(shù)據(jù)的丟失,這是無法避免的,造成系統(tǒng)崩潰的原因可能有很多種:

?硬件問題,硬件的物理損壞導(dǎo)致系統(tǒng)無法工作。

?病毒破壞,由于病毒、木馬軟件對(duì)系統(tǒng)的破壞造成系統(tǒng)崩潰。

?程序問題,由于安裝新軟件產(chǎn)生兼容性問題導(dǎo)致系統(tǒng)崩潰。

?人為失誤,由于人為的操作失誤對(duì)系統(tǒng)的破壞導(dǎo)致系統(tǒng)無法工作。

?人為破壞,人為的惡意破壞導(dǎo)致系統(tǒng)的癱瘓。

?自然災(zāi)害,由不可抗拒的問題導(dǎo)致系統(tǒng)崩潰,如火災(zāi)等。

因此,創(chuàng)建好的安全恢復(fù)機(jī)制能最大程度地恢復(fù)系統(tǒng)中的寶貴數(shù)據(jù)。常見的恢復(fù)機(jī)制主要有以下幾點(diǎn):

(1)創(chuàng)建系統(tǒng)緊急修復(fù)盤。WindowsXP系統(tǒng)可將系統(tǒng)的基本信息(如口令和注冊(cè)信息)保存在ERD(緊急修復(fù)磁盤)中,當(dāng)系統(tǒng)發(fā)生故障時(shí),管理員可通過緊急修復(fù)磁盤恢復(fù)系統(tǒng)的基本信息。緊急修復(fù)磁盤可以通過“系統(tǒng)工具”中的“備份”來創(chuàng)建。當(dāng)安裝并配置好一臺(tái)服務(wù)器之后,有必要?jiǎng)?chuàng)建一個(gè)應(yīng)急修復(fù)磁盤,并將應(yīng)急修復(fù)磁盤保存在一個(gè)安全的地方,當(dāng)系統(tǒng)發(fā)生故障時(shí),應(yīng)急修復(fù)磁盤對(duì)管理員修復(fù)系統(tǒng)起到關(guān)鍵性的作用。

(2)定期對(duì)系統(tǒng)中的重要數(shù)據(jù)進(jìn)行備份。從理論上說,只要有足夠的備份,系統(tǒng)就能完全恢復(fù)到故障前的狀態(tài),因此備份對(duì)系統(tǒng)崩潰后的數(shù)據(jù)恢復(fù)起著很重要的作用。WindowsXP系統(tǒng)中自帶的軟件提供了備份和還原的功能。用戶也可安裝專業(yè)的備份和還原軟件來備份系統(tǒng)。

2.安全設(shè)置

1)設(shè)置賬戶安全策略

對(duì)賬戶安全策略和密碼安全策略分別進(jìn)行設(shè)置。

(1)開啟賬戶策略。

在“開始”→“運(yùn)行”中輸入gpedit.msc,回車,出現(xiàn)組策略窗口,如圖4-23所示。

圖4-23組策略圖4-24安全設(shè)置圖4-25賬戶策略可進(jìn)行如下的賬戶策略設(shè)置,開啟賬戶策略可以有效地防止字典式攻擊。

?復(fù)位賬戶鎖定計(jì)數(shù)器——30分鐘之后

在此后復(fù)位賬戶鎖定計(jì)數(shù)器。此安全設(shè)置確定在某次登錄嘗試失敗之后將登錄嘗試失敗計(jì)數(shù)器重置為0次錯(cuò)誤登錄嘗試之前需要的時(shí)間。可用范圍是1到99999分鐘。

如果定義了賬戶鎖定閾值,此重置時(shí)間必須小于或等于賬戶鎖定時(shí)間。

默認(rèn)值:無,因?yàn)橹挥性谥付速~戶鎖定閾值時(shí),此策略設(shè)置才有意義。

?賬戶鎖定時(shí)間——30分鐘

賬戶鎖定時(shí)間。此安全設(shè)置確定鎖定賬戶在自動(dòng)解鎖之前保持鎖定的分鐘數(shù)??捎梅秶鷱?到99999分鐘。如果將賬戶鎖定時(shí)間設(shè)置為0,賬戶將一直被鎖定直到管理員明確解除對(duì)它的鎖定。

如果定義了賬戶鎖定閾值,則賬戶鎖定時(shí)間必須大于或等于重置時(shí)間。

默認(rèn)值:無,因?yàn)橹挥性谥付速~戶鎖定閾值時(shí),此策略設(shè)置才有意義。

?賬戶鎖定閾值——5次無效登錄

賬戶鎖定閾值。此安全設(shè)置確定導(dǎo)致用戶賬戶被鎖定的登錄嘗試失敗的次數(shù)。在管理員重置鎖定賬戶或賬戶鎖定時(shí)間期滿之前,無法使用該鎖定賬戶??梢詫⒌卿泧L試失敗次數(shù)設(shè)置為介于0和999之間的值。如果將值設(shè)置為0,則永遠(yuǎn)不會(huì)鎖定賬戶。

在使用Ctrl+Alt+Del或密碼保護(hù)的屏幕保護(hù)程序鎖定的工作站或成員服務(wù)器上的密碼嘗試失敗將計(jì)作登錄嘗試失敗。

默認(rèn)值:0。

賬戶策略設(shè)置如圖4-26所示。

圖4-26設(shè)置賬戶策略

(2)開啟密碼策略。

密碼對(duì)系統(tǒng)安全非常重要,本地安全設(shè)置中的密碼策略在默認(rèn)的情況下都沒有開啟。選擇密碼策略,如圖4-27所示。圖4-27密碼策略可進(jìn)行如下的密碼策略設(shè)置:

?“密碼必須符合復(fù)雜性要求”已啟用。

此安全設(shè)置確定密碼是否必須符合復(fù)雜性要求。如果啟用此策略,密碼必須符合下列最低要求:

①不能包含用戶的賬戶名,不能包含用戶姓名中超過兩個(gè)連續(xù)字符的部分。

②至少有六個(gè)字符長(zhǎng)。

③包含以下四類字符中的三類字符:英文大寫字母(A到Z);英文小寫字母(a到z);10個(gè)基本數(shù)字(0到9);非字母字符(例如!、$、#、%)。

更改或創(chuàng)建密碼時(shí),會(huì)強(qiáng)制執(zhí)行復(fù)雜性要求。

默認(rèn)值:在域控制器上啟用;在獨(dú)立服務(wù)器上禁用。

圖4-28出錯(cuò)提示

?密碼長(zhǎng)度最小值——6個(gè)字符此安全設(shè)置確定用戶賬戶密碼包含的最少字符數(shù)??梢栽O(shè)置為1到14個(gè)字符之間的某個(gè)值,或者將字符數(shù)設(shè)置為0以確定不需要密碼。默認(rèn)值:在域控制器上為7;在獨(dú)立服務(wù)器上為0。注意:默認(rèn)情況下,成員計(jì)算機(jī)沿用各自域控制器的配置。

?密碼最長(zhǎng)存留期——15天

此安全設(shè)置確定在系統(tǒng)要求用戶更改某個(gè)密碼之前可以使用該密碼的時(shí)間(以天為單位)??梢詫⒚艽a設(shè)置為在某些天數(shù)(1到999之間)后到期,或者將天數(shù)設(shè)置為0,指定密碼永不過期。如果密碼最長(zhǎng)使用期限介于1和999天之間,那么密碼最短使用期限必須小于密碼最長(zhǎng)使用期限。如果將密碼最長(zhǎng)使用期限設(shè)置為0,則可以將密碼最短使用期限設(shè)置為介于0和998天之間的任何值。

注意:最佳安全操作是將密碼設(shè)置為30到90天后過期,具體取決于用戶的環(huán)境。這樣,攻擊者用來破解用戶密碼以及訪問網(wǎng)絡(luò)資源的時(shí)間將受到限制。

默認(rèn)值:42。

?密碼最短存留期——1天

此安全設(shè)置確定在用戶更改某個(gè)密碼之前必須使用該密碼一段時(shí)間(以天為單位)??梢栽O(shè)置為1到998天之間的某個(gè)值,或者將天數(shù)設(shè)置為0,允許立即更改密碼。

密碼最短使用期限必須小于密碼最長(zhǎng)使用期限,除非將密碼最長(zhǎng)使用期限設(shè)置為0,指定密碼永不過期。如果將密碼最長(zhǎng)使用期限設(shè)置為0,則可以將密碼最短使用期限設(shè)置為介于0和998之間的任何值。

如果希望“強(qiáng)制密碼歷史”有效,則需要將密碼最短使用期限設(shè)置為大于0的值。如果沒有設(shè)置密碼最短使用期限,則用戶可以循環(huán)選擇密碼,直到獲得期望的舊密碼。默認(rèn)設(shè)置沒有遵從此建議,以便管理員能夠?yàn)橛脩糁付艽a,然后要求用戶在登錄時(shí)更改管理員定義的密碼。如果將密碼歷史設(shè)置為0,用戶將不必選擇新密碼。因此,默認(rèn)情況下將“強(qiáng)制密碼歷史”設(shè)置為1。

默認(rèn)值:在域控制器上為1;在獨(dú)立服務(wù)器上設(shè)置為0。

注意:默認(rèn)情況下,成員計(jì)算機(jī)沿用各自域控制器的配置。

?強(qiáng)制密碼歷史——5個(gè)記住的密碼

此安全設(shè)置確定再次使用某個(gè)舊密碼之前必須與某個(gè)用戶賬戶關(guān)聯(lián)的唯一新密碼數(shù)。該值必須介于0個(gè)和24個(gè)之間。此策略使管理員能夠通過確保舊密碼不被連續(xù)重新使用來增強(qiáng)安全性。

默認(rèn)值:在域控制器上為24;在獨(dú)立服務(wù)器上為0。

注意:默認(rèn)情況下,成員計(jì)算機(jī)沿用各自域控制器的配置。

若要維護(hù)密碼歷史的有效性,還要同時(shí)啟用密碼最短使用期限安全策略設(shè)置,不允許在密碼更改之后立即再次更改密碼。有關(guān)密碼最短使用期限安全策略設(shè)置的信息,請(qǐng)參閱“密碼最短使用期限”。

?為域中所有用戶使用可還原的加密來存儲(chǔ)密碼——已停用

使用此安全設(shè)置確定操作系統(tǒng)是否使用可還原的加密來存儲(chǔ)密碼。此策略為某些應(yīng)用程序提供支持,這些應(yīng)用程序使用的協(xié)議需要用戶密碼來進(jìn)行身份驗(yàn)證。使用可還原的加密存儲(chǔ)密碼與存儲(chǔ)純文本密碼在本質(zhì)上是相同的。因此,除非應(yīng)用程序需求比保護(hù)密碼信息更重要,否則絕不要啟用此策略。

通過遠(yuǎn)程訪問或Internet身份驗(yàn)證服務(wù)(IAS)使用質(zhì)詢握手身份驗(yàn)證協(xié)議(CHAP)驗(yàn)證時(shí)需要設(shè)置此策略。在Internet信息服務(wù)(IIS)中使用摘要式身份驗(yàn)證時(shí)也需要設(shè)置此策略。

默認(rèn)值:禁用。

密碼策略設(shè)置如圖4-29所示。

圖4-29設(shè)置密碼策略

2)網(wǎng)絡(luò)安全策略

(1)關(guān)閉不必要的端口。

關(guān)閉端口意味著減少功能,在安全和功能上面需要你做一點(diǎn)決策。

具體方法為:打開“網(wǎng)上鄰居/屬性/本地連接/屬性/internet協(xié)議(TCP/IP)/屬性/高級(jí)/選項(xiàng)/TCP/IP篩選/屬性”打開“TCP/IP篩選”,添加需要的TCP、UDP協(xié)議即可。

①關(guān)閉自己的139端口,IPC和RPC漏洞存在于此。

關(guān)閉139端口的方法是在“網(wǎng)絡(luò)和撥號(hào)連接”→“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性,進(jìn)入“高級(jí)TCP/IP設(shè)置”→“WINS設(shè)置”,里面有一項(xiàng)“禁用TCP/IP上的NetBIOS”,打勾重啟后就關(guān)閉了139端口,如圖4-30所示。

圖4-30關(guān)閉139端口②關(guān)閉445端口。

修改注冊(cè)表,添加一個(gè)鍵值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,在右面的窗口建立一個(gè)SMBDeviceEnabled為REG_DWORD類型,鍵值為0這樣就OK了。

③關(guān)閉3389端口。

在“我的電腦”上點(diǎn)右鍵選“屬性”→“遠(yuǎn)程”,將里面的“遠(yuǎn)程協(xié)助”和“遠(yuǎn)程桌面”兩個(gè)選項(xiàng)框里的勾去掉,如圖4-31所示。

圖4-31關(guān)閉3389端口

設(shè)置完成后,可以運(yùn)行CMD輸入netstat-na,查看這些端口是否已經(jīng)關(guān)閉。

(2)刪除本地共享資源。

①查看本地共享資源。運(yùn)行CMD,輸入netshare,如圖4-32所示。如果看到有異常的共享,那么應(yīng)該關(guān)閉。但是有時(shí)剛關(guān)閉共享下次開機(jī)的時(shí)候又出現(xiàn)了,這時(shí)應(yīng)該考慮一下機(jī)器是否已經(jīng)被黑客所控制,或者中了病毒。圖4-32本地共享資源②刪除共享。圖4-32中顯示C、D、E、ADMIN是默認(rèn)共享,可以通過如下命令進(jìn)行刪除。

netshareadmin$/delete

netsharec$/delete

netshared$/delete(如果有e、f……可以繼續(xù)刪除)

刪除默認(rèn)共享ADMIN如圖4-33所示。

③刪除ipc$空連接。在“開始”→“運(yùn)行”中輸入regedit,在注冊(cè)表中找到HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSA鍵下面的RestrictAnonymous值由0改為1。

圖4-33刪除默認(rèn)共享ADMIN圖4-34防止RPC漏洞

3)應(yīng)用安全策略設(shè)置

(1)禁用服務(wù)。

打開控制面板,進(jìn)入“管理工具”→“服務(wù)”,如圖4-35所示。圖4-35服務(wù)關(guān)閉以下服務(wù):

?Alerter(通知選定的用戶和計(jì)算機(jī)管理警報(bào))

?ClipBook(啟用“剪貼簿查看器”儲(chǔ)存信息并與遠(yuǎn)程計(jì)算機(jī)共享)

?DistributedFileSystem(將分散的文件共享合并成一個(gè)邏輯名稱,共享出去,關(guān)閉后遠(yuǎn)程計(jì)算機(jī)無法訪問共享)

?DistributedLinkTrackingServer(適用局域網(wǎng)分布式鏈接)

?IndexingService(提供本地或遠(yuǎn)程計(jì)算機(jī)上文件的索引內(nèi)容和屬性,泄露信息)

?Messenger(警報(bào))

?NetMeetingRemoteDesktopSharing(NetMeeting公司留下的客戶信息收集)

?NetworkDDE(為在同一臺(tái)計(jì)算機(jī)或不同計(jì)算機(jī)上運(yùn)行的程序提供動(dòng)態(tài)數(shù)據(jù)交換)

?NetworkDDEDSDM(管理動(dòng)態(tài)數(shù)據(jù)交換(DDE)網(wǎng)絡(luò)共享)

?RemoteDesktopHelpSessionManager(管理并控制遠(yuǎn)程協(xié)助)

?RemoteRegistry(使遠(yuǎn)程計(jì)算機(jī)用戶修改本地注冊(cè)表)

?RoutingandRemoteAccess(在局域網(wǎng)和廣域網(wǎng)中提供路由服務(wù),黑客利用路由服務(wù)刺探注冊(cè)信息)

?Server(支持此計(jì)算機(jī)通過網(wǎng)絡(luò)的文件、打印和命名管道共享)

?TCP/IPNetBIOSHelper(提供TCP/IP服務(wù)上的NetBIOS功能,以及為網(wǎng)絡(luò)上的客戶端提供NetBIOS名稱解析功能,允許用戶共享文件、打印和登錄到網(wǎng)絡(luò))

?Telnet(允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序)

?TerminalServices(允許用戶以交互方式連接到遠(yuǎn)程計(jì)算機(jī))

?WindowsImageAcquisition(WIA)(為掃描儀和數(shù)碼相機(jī)提供圖像捕獲)

如果發(fā)現(xiàn)機(jī)器開啟了一些很奇怪的服務(wù),必須馬上停止該服務(wù),因?yàn)檫@完全有可能是黑客用來控制程序的服務(wù)端。

(2)本地策略。

打開管理工具,找到本地安全設(shè)置→“本地策略”→“審核策略”,如圖4-36所示。

圖4-36審核策略進(jìn)行如下的本地策略設(shè)置:

?審核策略更改——成功+失敗

此安全設(shè)置確定是否審核用戶權(quán)限分配策略、審核策略或信任策略的每一個(gè)更改事件。

如果定義此策略設(shè)置,可以指定是否審核成功、審核失敗或者根本不審核該事件類型。成功審核在成功更改用戶權(quán)限分配策略、審核策略或信任策略時(shí)生成審核項(xiàng)。失敗審核在更改用戶權(quán)限分配策略、審核策略或信任策略失敗時(shí)生成審核項(xiàng)。

若要將該值設(shè)置為“無審核”,請(qǐng)?jiān)诖瞬呗栽O(shè)置的“屬性”對(duì)話框中選擇“定義這些策略設(shè)置”復(fù)選框,清除“成功”和“失敗”復(fù)選框。

默認(rèn)值:在域控制器上為“成功”;在成員服務(wù)器上為“無審核”。

?審核登錄事件——成功+失敗

此安全設(shè)置確定是否審核用戶登錄或注銷計(jì)算機(jī)的每個(gè)實(shí)例。

對(duì)于域賬戶活動(dòng),在域控制器上生成賬戶登錄事件;對(duì)于本地賬戶活動(dòng),在本地計(jì)算機(jī)上生成賬戶登錄事件。如果同時(shí)啟用賬戶登錄和登錄審核策略類別,使用域賬戶的登錄在工作站或服務(wù)器上生成登錄或注銷事件,并且在域控制器上生成賬戶登錄事件。此外,在成員服務(wù)器或工作站上使用域賬戶的交互式登錄將在域控制器上生成登錄事件,與此同時(shí)在用戶登錄時(shí)還檢索登錄腳本和策略。有關(guān)賬戶登錄事件的詳細(xì)信息,請(qǐng)參閱“審核賬戶登錄事件”。如果定義此策略設(shè)置,可以指定是否審核成功、審核失敗或者根本不審核事件類型。成功審核在登錄嘗試成功時(shí)生成審核項(xiàng)。失敗審核在登錄嘗試失敗時(shí)生成審核項(xiàng)。

若要將該值設(shè)置為“無審核”,請(qǐng)?jiān)诖瞬呗栽O(shè)置的“屬性”對(duì)話框中,選擇“定義這些策略設(shè)置”復(fù)選框,清除“成功”和“失敗”復(fù)選框。

默認(rèn)值:成功。

?審核對(duì)象訪問——失敗

此安全設(shè)置確定是否審核用戶訪問指定了它自己的系統(tǒng)訪問控制列表(SACL)的對(duì)象(例如文件、文件夾、注冊(cè)表項(xiàng)、打印機(jī)等)的事件。

如果定義此策略設(shè)置,可以指定是否審核成功、審核失敗或者根本不審核該事件類型。成功審核在用戶成功訪問指定了相應(yīng)SACL的對(duì)象時(shí)生成審核項(xiàng)。失敗審核在用戶嘗試訪問指定了SACL的對(duì)象失敗時(shí)生成審核項(xiàng)。

若要將該值設(shè)置為“無審核”,請(qǐng)?jiān)诖瞬呗栽O(shè)置的“屬性”對(duì)話框中選擇“定義這些策略設(shè)置”復(fù)選框,清除“成功”和“失敗”復(fù)選框。

請(qǐng)注意,使用文件系統(tǒng)對(duì)象“屬性”對(duì)話框中的“安全”選項(xiàng)卡,可以在該對(duì)象上設(shè)置SACL。

默認(rèn)值:無審核。

?審核跟蹤過程——無審核

此安全設(shè)置確定是否審核事件的詳細(xì)跟蹤信息,例如程序激活、進(jìn)程退出、句柄復(fù)制以及間接對(duì)象訪問。

如果定義此策略設(shè)置,可以指定是否審核成功、審核失敗或者根本不審核該事件類型。成功審核在被跟蹤的進(jìn)程成功時(shí)生成審核項(xiàng)。失敗審核在被跟蹤的進(jìn)程失敗時(shí)生成審核項(xiàng)。

若要將該值設(shè)置為“無審核”,請(qǐng)?jiān)诖瞬呗栽O(shè)置的“屬性”對(duì)話框中選擇“定義這些策略設(shè)置”復(fù)選框,清除“成功”和“失敗”復(fù)選框。

默認(rèn)值:無審核

?審核目錄服務(wù)訪問——失敗

此安全設(shè)置確定是否審核用戶訪問指定了它自己的系統(tǒng)訪問控制列表(SACL)的ActiveDirectory對(duì)象的事件。

默認(rèn)情況下,此值在默認(rèn)域控制器組策略對(duì)象(GPO)中設(shè)置為“無審核”,并且對(duì)于其不具意義的工作站和服務(wù)器保持為“未定義”。

如果定義此策略設(shè)置,可以指定是否審核成功、審核失敗或者根本不審核事件類型。成功審核在用戶成功訪問指定了SACL的ActiveDirectory對(duì)象時(shí)生成審核項(xiàng)。失敗審核在用戶嘗試訪問指定了SACL的ActiveDirectory對(duì)象失敗時(shí)生成審核項(xiàng)。若要將該值設(shè)置為“無審核”,請(qǐng)?jiān)诖瞬呗栽O(shè)置的“屬性”對(duì)話框中,選擇“定義這些策略設(shè)置”復(fù)選框,清除“成功”和“失敗”復(fù)選框。

?審核特權(quán)使用——失敗

此安全設(shè)置確定是否審核執(zhí)行用戶權(quán)限的用戶的每個(gè)實(shí)例。

如果定義此策略設(shè)置,可以指定是否審核成功、審核失敗或者根本不審核此類型的事件。成功審核在用戶權(quán)限執(zhí)行成功時(shí)生成審核項(xiàng)。失敗審核在用戶權(quán)限執(zhí)行失敗時(shí)生成審核項(xiàng)。

若要將該值設(shè)置為“無審核”,請(qǐng)?jiān)诖瞬呗栽O(shè)置的“屬性”對(duì)話框中選擇“定義這些策略設(shè)置”復(fù)選框,清除“成功”和“失敗”復(fù)選框。

默認(rèn)值:無審核。

使用下列用戶權(quán)限時(shí)不生成審核,即使為“審核權(quán)限使用”指定了成功審核或失敗審核。啟用對(duì)這些用戶權(quán)限的審核往往會(huì)在安全日志中生成許多事件,這會(huì)影響計(jì)算機(jī)的性能。若要審核下列用戶權(quán)限,請(qǐng)啟用FullPrivilegeAuditing注冊(cè)表項(xiàng)。

繞過遍歷檢查

調(diào)試程序

創(chuàng)建令牌對(duì)象

替換進(jìn)程級(jí)令牌

生成安全審核

備份文件和目錄

還原文件和目錄

?審核系統(tǒng)事件——成功+失敗

此安全設(shè)置確定在用戶重新啟動(dòng)或關(guān)閉計(jì)算機(jī)時(shí)或者在發(fā)生影響系統(tǒng)安全或安全日志的事件時(shí)是否審核。

如果定義此策略設(shè)置,可以指定是否審核成功、審核失敗或者根本不審核該事件類型。成功審核在系統(tǒng)事件執(zhí)行成功時(shí)生成審核項(xiàng)。失敗審核在系統(tǒng)事件嘗試失敗時(shí)生成審核項(xiàng)。

若要將該值設(shè)置為“無審核”,請(qǐng)?jiān)诖瞬呗栽O(shè)置的“屬性”對(duì)話框中選擇“定義這些策略設(shè)置”復(fù)選框,清除“成功”和“失敗”復(fù)選框。

默認(rèn)值:在域控制器上為“成功”;在成員服務(wù)器上為“無審核”。

?審核賬戶登錄事件——成功+失敗

此安全設(shè)置確定是否審核用戶登錄或注銷另一臺(tái)計(jì)算機(jī)(用于驗(yàn)證賬戶)的每個(gè)實(shí)例。在域控制器上對(duì)域用戶賬戶進(jìn)行身份驗(yàn)證時(shí)會(huì)生成賬戶登錄事件。該事件記錄在域控制器的安全日志中。在本地計(jì)算機(jī)上對(duì)本地用戶進(jìn)行身份驗(yàn)證時(shí)會(huì)生成登錄事件。該事件記錄在本地安全日志中,不生成賬戶注銷事件。

如果定義此策略設(shè)置,可以指定是否審核成功、審核失敗或者根本不審核事件類型。成功審核在賬戶登錄嘗試成功時(shí)生成審核項(xiàng)。失敗審核在賬戶登錄嘗試失敗時(shí)生成審核項(xiàng)。

若要將該值設(shè)置為“無審核”,請(qǐng)?jiān)诖瞬呗栽O(shè)置的“屬性”對(duì)話框中選擇“定義這些策略設(shè)置”復(fù)選框,清除“成功”和“失敗”復(fù)選框。

如果在域控制器上為賬戶登錄事件啟用成功審核,則為該域服務(wù)器驗(yàn)證的每位用戶記錄審核項(xiàng),即使該用戶事實(shí)上已登錄到加入該域的工作站上。

默認(rèn)值:成功。

?審核賬戶管理——成功+失敗

此安全設(shè)置確定是否審核計(jì)算機(jī)上的每個(gè)賬戶管理事件。賬戶管理事件示例包括:創(chuàng)建、更改或刪除用戶賬戶;重命名、禁用或啟用用戶賬戶;設(shè)置或更改密碼。

如果定義此策略設(shè)置,可以指定是否審核成功、審核失敗或者根本不審核事件類型。成功審核在賬戶管理事件成功時(shí)生成審核項(xiàng)。失敗審核在賬戶管理事件失敗時(shí)生成審核項(xiàng)。

若要將該值設(shè)置為“無審核”,請(qǐng)?jiān)诖瞬呗栽O(shè)置的“屬性”對(duì)話框中選擇“定義這些策略設(shè)置”復(fù)選框,清除“成功”和“失敗”復(fù)選框。

默認(rèn)值:在域控制器上為“成功”;在成員服務(wù)器上為“無審核”。

4.2Linux系統(tǒng)的攻擊與防御4.2.1基于Linux的口令攻擊與防御

1.?Linux口令基礎(chǔ)

幾乎所有的類UNIX操作系統(tǒng)的口令文件的格式都雷同,Linux亦不例外。早期的Linux系統(tǒng)的“/etc/passwd”是存放用戶基本信息的口令文件。登錄時(shí),用戶需要提供用戶名和口令,操作系統(tǒng)根據(jù)用戶名查找/etc/passwd文件中與之相對(duì)應(yīng)的記錄,以獲得口令的密文,然后將用戶輸入的口令傳遞給加密函數(shù)crypt()產(chǎn)生密文。如果兩個(gè)密文一致,則允許用戶訪問系統(tǒng)。/etc/passwd文件的每一行都包含由6個(gè)冒號(hào)分隔的7個(gè)域:

username:passwd:uid:gid:comments:directory:shell

?username:用戶登錄使用的名字。

?passwd:口令密文域,一般常見的是使用DES、MD5算法。

?uid:系統(tǒng)用于唯一標(biāo)識(shí)用戶名的數(shù)字。0表示超級(jí)用戶;1~10表示守護(hù)程序和偽用戶;11~99表示系統(tǒng)保留用戶;100以后為正常用戶。

?gid:表示用戶所在默認(rèn)組號(hào)。由/etc/group文件決定。

?comments:描述用戶的個(gè)人信息。

?directory:定義用戶的初始工作目錄即賬號(hào)登錄后所處的目錄。

?shell:指定用戶登錄到系統(tǒng)后啟動(dòng)的外殼程序,一般為/bin/bash、/bin/csh。

2.Linux口令破解

與攻擊Windows系統(tǒng)相同,對(duì)Linux的口令破解也是一種獲得計(jì)算機(jī)權(quán)限的最好方法。在前面章節(jié)中說過,Windows系統(tǒng)的口令安全性比不上Linux系統(tǒng)的口令安全性,但這并不意味著Linux系統(tǒng)的口令系統(tǒng)是無懈可擊的。Linux和UNIX下的權(quán)限是比較嚴(yán)格的,很多系統(tǒng)的功能是不對(duì)普通用戶開放的。黑客們經(jīng)常使用的工具都需要調(diào)用系統(tǒng)的高級(jí)功能,而且這些功能需要高的權(quán)限。無論是直接攻擊還是遠(yuǎn)程攻擊都需要高的權(quán)限,因此root賬號(hào)的口令也就成為了Linux和UNIX口令安全的焦點(diǎn)之一。多數(shù)口令破解工具可以從某個(gè)字典選擇常用的單詞(字典攻擊)或設(shè)定常見的口令模式來破解,口令破解通常要獲得/etc/passwd文件的拷貝,然后在自己的機(jī)器上執(zhí)行口令破解工具。Linux系統(tǒng)的很多服務(wù)都是通過用戶ID/口令的組合來實(shí)施訪問控制的。因此不可避免地都會(huì)受到口令的暴力攻擊。容易受到口令暴力攻擊的服務(wù)包括:

?Telnet服務(wù)

?FTP

?R命令

?安全shell

?SNMP團(tuán)體名字(CommunityNames)

?郵局協(xié)議(PostOfficeProtocol,POP)

?超文本協(xié)議(HTTP)

針對(duì)這些服務(wù)的口令攻擊通常不需要手工完成,在網(wǎng)上有大量的口令猜測(cè)工具。在此我們將介紹一些著名的UNIX口令破解程序。

1)Crack

Crack是最有名的UNIX口令破解程序之一,是破解標(biāo)準(zhǔn)的UNIX8字符DES加密口令的程序。它由AlecD.E.Muffett編寫,工作原理十分簡(jiǎn)單。Crack程序中包含了幾個(gè)很大的字典庫,進(jìn)行破解時(shí)它會(huì)按照一定的規(guī)則將字詞進(jìn)行組合,然后對(duì)之進(jìn)行加密,再與要解破的加密口令匹配。在使用中,如果口令文件很小,時(shí)間和資源都不成問題,但是如果口令文件比較大,則要花費(fèi)很長(zhǎng)的時(shí)間和耗費(fèi)相當(dāng)多的資源,所以需要10MB左右的硬盤空間,會(huì)占用大量CPU時(shí)間。

下載Crack文件時(shí),用戶不能像Windows2000那樣下載可執(zhí)行文件,當(dāng)下載源代碼文件后,還要編譯和配置程序??梢允褂胓unzipcrack5.0.tar.z命令解壓文件,這個(gè)過程中會(huì)創(chuàng)建一個(gè)名為crack5.0.tar的文件,然后使用tar–xvfcrack5.0.tar命令untar這個(gè)文件。當(dāng)tar文件解開后,會(huì)產(chǎn)生一個(gè)名為e50a的目錄,其子目錄中存放配置文件、文檔、腳本、源代碼等。隨后需要編輯Crack腳本文件并重新配置CRACK-PATH、C5FLAGS、LIBS、CC和CFLACS的值,使得與操作系統(tǒng)相符。最后輸入命令Crack-makeonly,然后輸入Crack-makedict,產(chǎn)生一個(gè)可執(zhí)行的Crack文件。

運(yùn)行程序時(shí)只需要輸入?./crack,它的格式是?./crack[option][-fmtformat][file…]。例如,在一般情況下,輸入Crack/ect/passwd破解所使用系統(tǒng)的口令文件,在破解過程中程序會(huì)不斷地將信息顯示到屏幕上,指示程序的狀態(tài)。

2)JohntheRipper

JohntheRipper是一個(gè)十分強(qiáng)大、靈活、快速的多平臺(tái)哈希口令破解器,它設(shè)計(jì)的主要目的是用于檢查UNIX系統(tǒng)的弱口令,支持幾乎所有UNIX平臺(tái)上經(jīng)crypt()函數(shù)加密后的口令哈希類型,也支持KerberosAFS和WindowsNT/2000/XPLM哈希等。關(guān)于該工具更多的信息可以參考/john/。

3)Fragroute

這個(gè)軟件和DSniff出自一家,其開發(fā)的本意是去測(cè)試入侵檢測(cè)系統(tǒng)、防火墻、基本的TCP/IP棧的行為,因此,它是一個(gè)能夠破壞入侵檢測(cè)系統(tǒng)的強(qiáng)大工具。此外,它還能夠截取、修改和重寫向外發(fā)送的報(bào)文,實(shí)現(xiàn)了大部分的IDS攻擊功能。Fragroute有一個(gè)簡(jiǎn)單的規(guī)則設(shè)置語言,通過它,可以實(shí)現(xiàn)延遲、復(fù)制、丟棄、碎片、重疊、打印、重排、分割、源路由或其他一些向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包的攻擊。

3.Shadow(陰影)文件

如果有惡意用戶取得了/etc/passwd文件,他就可以窮舉所有可能的明文通過相同的算法計(jì)算出密文進(jìn)行比較,直到相同,于是他就破解了口令。因此,針對(duì)這種安全問題,Linux/UNIX廣泛采用了“shadow(影子)”機(jī)制,將加密的口令轉(zhuǎn)移到/etc/shadow文件里,從而最大限度減少密文泄露的機(jī)會(huì)。在高版本的Linux中,把口令文件分成兩個(gè)文件。口令(passwd)文件依然存在,它包括除了加密口令以外的所有內(nèi)容,創(chuàng)建的第二個(gè)文件shadow在/etc/shadow中保存,包含機(jī)密口令,shadow只能被根用戶訪問,同時(shí)還包含許多口令有效時(shí)間字段。RedHatLinux缺省安裝shadow,如果發(fā)現(xiàn)系統(tǒng)的/etc/passwd文件仍然可以看到密文,就說明沒有啟用shadow,可以執(zhí)行pwconv來啟用shadow。

/etc/shadow包括9個(gè)字段,分別用“:”隔開,每個(gè)字段的含義如下:

?Login-id:用戶名。

?Password:口令密文。

?Lastchg:口令最后修改日期(與1970年1月1日的相隔天數(shù))。

?Min:允許用戶修改口令的最少天數(shù)。

?Max:允許用戶修改口令的最多天數(shù)。

?Warn:系統(tǒng)提醒用戶必須修改口令的剩余天數(shù)。

?Inactive:用戶仍可修改口令的剩余天數(shù),過期將被禁用。

?Expire:口令過期。

?Flag:未使用。

以下是一個(gè)典型的/etc/shadow文件:

Root:st44wfkgx33qz:::::::

Daemon:NP:6445::::::

Bin:NP:6445::::::

Sys:NP:6445::::::

Adm:NP:6445::::::

Lp:NP:6445::::::

Smtp:NP:6445::::::

Listen:*LK*:::::::

Nobody:NP:6445::::::

同陰影口令相關(guān)的命令有:

?Change:設(shè)置用戶何時(shí)更改口令的相關(guān)信息

?Gpasswd:向組內(nèi)添加新用戶

?Groupadd:創(chuàng)建新組

?Groupdel:刪除組

?Groupmod:修改組信息

?Passwd:更改口令及屬性

?Useradd:添加新用戶

?Userdel:刪除用戶

?Usermod:修改用戶信息

4.Linux口令保護(hù)

正如我們?cè)赪indows系統(tǒng)口令攻擊中所講到的,沒有能解決口令破解的萬能鑰匙,但有很多方法可以減少成功破解的幾率,比如采用強(qiáng)口令策略、使用一次性口令或生物技術(shù)認(rèn)證等。除了這些以外,針對(duì)Linux系統(tǒng)來說,root賬號(hào)是Linux系統(tǒng)中管理員使用的賬號(hào),其擁有最高權(quán)限,不受任何限制和制約。因此在使用root權(quán)限時(shí)要注意:平時(shí)盡量不使用root登錄,在進(jìn)行必要操作時(shí)再使用su命令轉(zhuǎn)化為root用戶使用root權(quán)限;采取限制root從遠(yuǎn)程登錄等措施來保護(hù)root賬號(hào)的安全。

系統(tǒng)不只管理員一個(gè)賬號(hào)在使用時(shí),其他用戶如果存在弱口令,同樣會(huì)對(duì)系統(tǒng)安全造成較大的危害。所以在進(jìn)行系統(tǒng)口令管理時(shí)應(yīng)該注意口令的保存和口令策略的選擇。

(1)盡量使用shadow文件保存賬號(hào)口令。

(2)更改Linux口令的最短長(zhǎng)度。Linux系統(tǒng)默認(rèn)最短口令長(zhǎng)度為5個(gè)字符,這個(gè)長(zhǎng)度不足以保證口令的健壯性,應(yīng)該改為最短8個(gè)字符,方法是編輯/etc/login.defs文件,在此文件中,將

PASS_MIN_LEN5

改為:

PASS_MIN_LEN8

(3)刪除所有的特殊賬戶。刪除所有不用的缺省用戶和組賬戶(比如lp、sync、shutdown、halt、news、uucp、operator、games、gopher等)。

刪除用戶:[root@kapil/]#userdelLP

刪除組:[root@kapil/]#groupdelLP

(4)系統(tǒng)自動(dòng)注銷root用戶。通過修改賬戶中“TMOUT”參數(shù),可以實(shí)現(xiàn)此功能。TMOUT按秒計(jì)算。編輯profile文件(vi/etc/profile),在“HISTFILESIZE=”后面加入下面這行:

TMOUT=3600

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論