分享
 
 
 

Internet上WindowsNT安全措施

王朝system·作者佚名  2006-11-24
窄屏简体版  字體: |||超大  

作者:win2000

日期:00-5-10 12:58:51

人们普遍认为NT在安全性方面不如Unix。难道是NT本身比Unix不安全吗?答案是否定的。原因在于多年以来Unix管理员已经学会了在复杂的Internet环境中实现Unix服务,所以NT管理员也应该学习在Internet上保护自己的系统,从而使自己的WindowsNT高枕无忧。

在Internet的广泛应用中,WindowsNT的安全性一度令NT管理员们深感不安。在运行Windows95的环境下,任何一位略懂网络技术的用户键入命令:“net Q:\\SERVER-NAME\SHARENAME”,就能通过网络存取服务器的启动分区!为了确保安全性,以下7项措施可供NT管理员参考。

1.用NTFS,不用FAT

NTFS(NT文件系统)可以对文件和目录使用ACL存取控制表),ACL可以管理共享目录的合理使用,而FAT(文件分配表)却只能管理共享级的安全。出于安全考虑,您必须处处设置尽可能多的安全措施,凡是与Internet相连的WindowsNT计算机都应该使用NTFS。使用NTFSACL的好处在于,如果它授权用户对某分区具有全部存取权限,但共享级权限为"只读”,则最终的有效权限为“只读”。WindowsNT取NTFSACL和共享权限的交集。在实施这样的网络方案时,您最好限制Internet服务器的共享,但是如果非要与Internet服务器交换文件,则可借助于NTFS。一旦建立新的共享权限,不要忘记修改由NT指定的缺省权限,否则Everyone用户组就能享有“完全控制”的共享权限。那些已经使用了FAT的用户,在x86的NT系统上可以用convert 命令将启动卷升级为NTFS。

2.将系统管理员账号改名

对于试图猜测口令的非法用户,NT的UserManager可以设置防范措施,例如5次口令输入错误后就禁止该账号登录。问题在于系统管理员这个最重要的账号却用不上这项防范措施。即使将系统管理员的权限全部授予某个用户账号,并且只使用该用户账号进行管理,但是由于系统管理员账号本身不能删掉或废止,因而非法用户仍然可以对系统管理员账号进行口令攻击。

一种值得推荐的方法是将系统管理员账号的用户名由原先的“Administrator”改为一个无意义的字符串。这样要登录的非法用户不但要猜准口令,还要先猜出用户名。这种改名功能在UserManager的UserProperties对话框中并没有设置,不过它的“User”*“Rename”菜单选项却能实现这一功能。

用于提供Internet公共服务的计算机不需要也不应该有除了系统管理用途之外的其他用户账号。因此,应该废止Guest账号,移走或限制所有的其他用户账号。

如果用的是NT4.0,可以用ResourceKit中提供的工具封锁联机系统管理员账号。这种封锁只对由网络过来的非法登录起作用。账号一旦被封锁掉,系统管理员还可以通过本地登录重新设置封锁特性。

3.别忘了打开审计系统

如何才能知道在NT环境中安全性是否已经被攻击或攻破呢?NT的事件审计系统就设有此项功能,但该系统需要被激活。UserManager中的“Policies”*“Audit”菜单选项可以激发控制审计事件的屏幕。问题的关键在于您应当收集有用的信息,而不是收集得越多越好。您可以审计各种操作成功和失败的情况。失败的情况通常比成功的情况少得多,但从安全性的角度考虑,失败事件更值得注意。另外不常用的操作也值得注意,如安全性策略的改变和再启动往往反映了未经授权的行为。NT允许跟踪诸如FileAccess、UseofUserRights和ProcessTracking等成功的操作,但它需要大量的存储空间,而且对跟踪所得的数据进行分析也不是一件容易的事情。使用审计功能,最关键的一步是要查看NT在正常运行时所记录的事件日志,它能帮助我们发现问题的前兆。审计日志本身也需要保护,因为非法用户在进入系统之后通常会抹掉其活动踪迹。首先我们应该定时自动备份日志文件,但是如果这些备份仍然是联机的,则也有可能被非法用户找到。一个比较好的解决方法是将审计事件记录同时制成硬拷贝,或者将其通过E-mail发送给系统管理员。NTPerl为我们提供了一个阅读事件日志的模块。

4.废止TCP/IP上的NetBIOS

连接到Internet上的NT支持NetBEUI和TCP/IP两种传输协议的Windows网络功能。那么什么是Windows网络功能呢?它就是所有要求\\NAME句法形式的操作,包括目录和打印机共享、NetDDE和远程管理。通过Internet连到某个驱动器编辑或寄存内容,只需要在本地lmhosts 文件里构造目标站NetBIOS名与其IP地址之间的映象。例如,使用Windows95中的EventViewer和UserManager就可以管理Internet上的其他服务器,这种特性为管理员提供了方便,但同时也使非法用户找到了可乘之机。

好在NT已能够对TCP/IP上的NetBIOS施行严密的控制。您可以使用网络控制面板中的装订对话框废止多种基于NetBIOS服务与TCP/IP之间的装订。由于NT的网络服务同时运行多种传输功能,做上述废止操作的计算机之间可以使用Server、Workstation和其他服务进行对话,因为这些对话不从Internet上走,而是通过NetBEUI通道。当然,完成了这种废止操作之后,不仅是非法用户,就连系统管理员也不能做远程驱动器安装并远程编辑或寄存内容了。

5.关闭不必要的向内TCP/IP端口

一旦非法用户进入系统并得到管理员权限之后,他定要想办法恢复管理员刻意废止的NBT(TCP/IP上的NetBIOS)装订。管理员应该使用路由器作为另一道防线。假设有个NT服务器没有太多的防护系统,暴露在防火墙以外,其作用是提供诸如Web和FTP之类的公共服务。这种情况下只须保留两条路由器到服务器的向内路径:端口80的HTTP和端口21的FTP。路由器应该并能够阻塞所有其他的向内途径。如果管理员有调整包过滤规则的权限,他可能会给自己多留一点便利。例如,在取消全部非Web和非FTP服务时留一个例外,即用于远程管理的端口137、138、139从IP地址来的NBT途径。虽然一般来说只有管理员才能远程操作服务器,但事实上发现了管理员和IP地址之间这种连接的非法用户也能盗用该路径。非法用户若想知道主系统的IP地址,通常会按如下步骤进行:

1.了解目标服务器管理员的情况。

2.针对管理员的兴趣爱好,做个假Web页面。

3.发送E-mail邀请他访问该页面。

4.截获主系统的IP地址。

5.用JavaScript或ActiveX钻进该系统。

这种管理员为自己开后门、留一条路径的做法,其安全性只依赖于别人不知道IP地址。[Image]但这种安全性在非法用户系统而耐心的猜试攻势面前也是极不安全的,所以要禁止一切多余的向内路径。

6.取消Access from Network的便利

在缺省情况下,NT授予Everyone用户组Access from Network(从网络存取)的权限。取消了该权限虽然会阻塞Windows的全部网络服务,但仍然可以支持Web 服务。在一个NTWeb服务器上,既能以SYSTEM方式运行,也能以本地用户方式运行,这两种状态在NT看来都不存在远程用户。由于与NT连用的FTP服务器要求用户进行网络登录,所以这种情况下就无法使用FTP服务器,但包括Microsoft Internet Information Server(IIS)在内的其他FTP服务器是采用本地登录的,并不受取消Accessfrom Network权限的影响。与NBT方法不同的是,这里讲的技术无法对协议选择弃留。所以Access from Network权限取消后运行Web和FTP服务,不但通过Internet的、而且本地使用NetBEUI协议的文件共享都被阻塞掉了。当然还有一种妥协方案,只给管理员本人账号留有Access from Network的权限。

7.不可轻易发布信息

有人认为,在Internet上没人知道你在运行WindowsNT。然而事实并非如此,如联机FTP 服务是这样宣布连接的:

ftp>open ftp.myhost.com

Connected to ftp.myhost.com

220 ftp WindowsNT FTP Server

(Version3.51)

正常的用户不需要以上信息,而非法用户却能根据该信息有效地对特定操作系统进行攻击。IISFTP服务也发布同样明显的消息:

Connected to ftp.myhost.com.

220 ftp Microsoft. FTP Service

(Version2.0)

上面两种情况表明您连接在NT上工作以及您运行的NT是什么版本。所以如果您不想为非法用户攻击您的系统提供便利的话,最好不要轻易发布信息。

(出处:viphot)

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有