分享
 
 
 

理解Windows验证增强系统安全性

王朝system·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

概述:

彻底地理解Windows验证方法将使你能解决问题并增强网络安全。看,这是你需要知道的。

如果你正有关于登录到多变的、完全地安全的网络的问题,解决方法大概就是允许设备间适当的端口和协议来验证,然而,理解开始用户验证的事件序列是很重要的。

WinLogon过程

WinLogon的第一阶段是[Ctrl][Alt][Delete],Windows默认安全警告序列(Security Attention Sequence,SAS)。这个序列发信号通知操作系统有人尝试登录。

当SAS初始化后,所有用户模式应用程序中断直到安全操作完成或取消。这个用户模式应用程序的暂停是重要的安全特性。当用启输入口令时,按键记录程序或木马病毒被禁用并防止记录击键。

WinLogon过程是本地安全授权(Local Security Authority,LSA)中用于Windows操作系统登录过程的一部分。

要完成这个过程,操作系统作登录服务器验证用户凭证,并且依据验证类型,如果客户机和服务间的适当的的端口和协议没有打开,登录可能失败。

NT局域网管理器(NT LAN Manager,NTLM)被WinLogon过程用作默认验证方法;它使用客户机和域控制器(domain controller,DC)间的三个端口:

UDP 137 - UDP 137 (NetBIOS Name)

《endurer注:137/UDP--NetBIOS名称服务器,网络基本输入/输出系统(NetBIOS)名称服务器(NBNS)协议是TCP/IP上的NetBIOS(NetBT)协议族的一部分,它在基于NetBIOS名称访问的网络上提供主机名和地址映射方法。》

UDP 138 - UDP 138 (NetBIOS Netlogon and Browsing)

《endurer注:138/UDP--NetBIOS数据报,NetBIOS数据报是TCP/IP上的NetBIOS(NetBT)协议族的一部分,它用于网络登录和浏览。》

1024-65535/TCP - TCP 139 (NetBIOS Session)

《endurer注:139/TCP--NetBIOS会话服务,NetBIOS会话服务是TCP/IP上的NetBIOS(NetBT)协议族的一部分,它用于服务器消息块(SMB)、文件共享和打印。》

Logon authentications will succeed with these ports open between your clients and their domain controllers.

随着客户机和域控制器间的端口打开,登录验证将成功。

Windows默认验证相当缺乏安全

在默认情况下,Windows NT和Windows 2000机器的验证方法是设置局域网管理器(LAN Manager,LM),这个管理器使用非常弱的安全算法来传送和存储每个用户口令哈稀(hash)。

微软已经对所有的验证方法升级了四次。当前NT客户机和NT/Win2K服务器间的验证标准是NTLMv2。然而,如果你没有改变NT/Win2K客户机和服务器上的下列注册表键下的LMCompatabilityLevel值,在默认情况下你仍会使用LM方法―它极大地降低了整个网络的安全性。

确认你已经设置只使用NTLMv2,并且Reg_Dword被设置为至少级别3。这迫使客户机只发送NTLMv2验证。(关于这个改变的更多信息,请阅读微软件知道库文章 147706.)

作者注

编辑系统注册表是危险的。在做注册表编辑前,请确认备份了注册表,这样如果出现错误,你可以恢复它。

做了这个改变后,你还需要迫使系统移除LM hash。运行Regedt32.exe回到同一个注册表键,在编辑菜单,点击增加键,增加的键名为NoLMHash,类型区留空。(关于这个注册表改变的更多信息,请阅读微软件知道库文章299656.)

这个新注册表键将迫使NT和Win2K移除LM hash,这将减少口令破解者的攻击。然而,你做的注册表修改不会生效,直到用户改变他或她的口令并且新的hash被创建。

现在你除去了LM hash,网络正使用NTLMv2于客户机验证,基于Windows的网络安全验证的下一步是升级客户机和服务器去利用Kerberos,最新的Windows验证方法。

什么是Kerberos for NT

没有什么“Kerberos for NT”。如果仍将运行NT客户机,你能安装活动目录(Active Directory,AD)客户机,并使它们活动目录感知,但非Kerberos-enabled。活动目录客户机安装了活动目录服务接口(Active Directory Service Interfaces,ADSI),提供位置感知到NT计算机,这样它们可以发现最新的域控制器,让NT使用Win2K的Dfs( 分布式文件系统

深度优先搜索)和 活动目录Windows地址本(AD Windows Address Book)。

NT机器将只使用NTLM来验证,不管它们是否与NT或win2K服务器通信。要允许客户机和服务器安全通信,确信适当的端口打开了,并检验客户机和服务器已设置使用NTLMv2。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有