第三章应用层协议及其安全实践

第三章应用层安全实践——主机安全防护课程回顾WindowsXP系统的基本安全保障控制面板→安全中心控制面板→Windows防火墙课程回顾WindowsXP系统的基本安全保障安全中心→Internet选项（网络基本防护措施）课程回顾综合防护免费软件——金山清理专家主机安全防护主机安全防护主要涉及操作系统和安装的各种服务应用软件操作系统是网络系统的基础，操作系统的安全在网络安全中举足轻重现今的PC操作系统基本属于网络操作系统采用对操作系统进行增强与改进的技术来提高操作系统的安全性3.1操作系统安全增强——以WindowsXP为例我的操作系统是哪一版本？C:\DocumentsandSettings\acerwinver查看《最终用户许可协议》eula.txt文件的最后一行，若显示：EULAID:XPSP2_RM.0_PRO_RTL_CN则为MicrosoftWindowsXPServicePack2(SP2)原版镜像3.1操作系统安全增强——以WindowsXP为例话说ServicePack服务包，是微软修补系统安全漏洞的补丁集ServicePack2的创新特色缺省保护措施和简易安全设置：Windows防火墙、IE控制弹出式窗口、Windows安全中心、IE下载警报等等SP2领先于SP1，目前准备上市的XPSP3增加了新的Windows产品激活(WPA)模型、网络访问保护(NAP)模块和策略、新的核心模式加密模块、黑洞路由检测功能等3.1操作系统安全增强——以WindowsXP为例打好补丁安全漏洞的产生（程序员蓄意、程序员水平/经验、安全技术的滞后、用户忽略）安全漏洞的分类（用户、数据、作用范围、触发条件、操作角度、时序）适时打好补丁（订阅邮件列表、Windows更新、第三方补丁管理软件等）确保局域网所有主机系统的补丁一致3.1操作系统安全增强——以WindowsXP为例补丁工具WindowsVulnerabilityScanner免费绿色软件3.1操作系统安全增强——以WindowsXP为例补丁工具MicrosoftBaselineSecurityAnalyzer2.1(forITProfessionals)微软基准安全分析器ShadowSecurityScanner俄罗斯的一套非常专业的安全漏洞扫描软件（包括漏洞、端口扫描、操作系统检测、账号扫描等）金山清理专家（漏洞修补）瑞星个人防火墙（漏洞扫描）N种杀毒软件或个人防火强3.1操作系统安全增强——以WindowsXP为例最小化服务——服务无罪，关闭有理用户在缺省安装操作系统时，可能会把所有全部的功能（包括Web、FTP等）设置为激活状态，这种不安全状态有时很容易让攻击者有机会得到系统管理员的权限慎重地从系统中删除或禁用没有明确用途的一切服务，从而减小受攻击的机会为保留下来的服务加上适当的安全增强措施3.1操作系统安全增强——以WindowsXP为例最小化服务——服务无罪，关闭有理手动关闭漏洞服务开始→运行→services.msc右击我的电脑→管理→计算机管理→服务和应用程序→服务关闭Alert服务（MSN、QQ非法推送恶意垃圾信息）关闭Server服务（信息泄露的通道）关闭ClipBook服务（暴露隐私信息）关闭RemoteRegistry服务（黑客入侵的途径）关闭TaskScheduler服务（非法攻击的载体）3.1操作系统安全增强——以WindowsXP为例最小化服务——服务无罪，关闭有理手动关闭漏洞服务封死黑客的后门：计算机的每一项Internet协议总是与计算机的端口相对应，端口越多，被设置后门的风险就越大关闭文件和打印共享功能删除不必要的协议，如NetBIOS（Windows网络的）关闭Netware和Windows网络客户端（家庭单机上网）3.1操作系统安全增强——以WindowsXP为例最小化服务——服务无罪，关闭有理手动关闭漏洞服务部分服务或协议简介1.NetBEUI（NetBIOS扩展用户接口）NetBIOS是IBM于1985年提出的主要用于20到200台计算机的小型局域网中。NetBEUI协议可以看作是微软在NetBIOS协议的延伸和改良版本，具有体积小、效率高及速度快等特点。NetBEUI是一种广播型传输协议，而NetBIOS仅仅是通过一组命令来让系统使用网络而已。3.1操作系统安全增强——以WindowsXP为例最小化服务——服务无罪，关闭有理手动关闭漏洞服务部分服务或协议简介1.NetBEUI（NetBIOS扩展用户接口）在Windows95/98和WindowsNT中被用作默认协议安装。该协议主要用于本地局域网中，一般不能用于与其他网络的计算机进行沟通，由于不支持路由功能，这是其不适合于跨网段的大型网络的重要原因。3.1操作系统安全增强——以WindowsXP为例最小化服务——服务无罪，关闭有理手动关闭漏洞服务部分服务或协议简介1.NetBEUI（NetBIOS扩展用户接口）要实现在网上邻居进行正常计算机及文件浏览，首先需要客户机把自己的名字（计算机名——专有NetBIOS名字）在网上注册，然后通过本地特定的名字解析方法把所注册的名称与对应的IP地址进行关联匹配，这样，Windows系统才可以通过浏览服务在网上邻居进行访问。3.1操作系统安全增强——以WindowsXP为例最小化服务——服务无罪，关闭有理手动关闭漏洞服务部分服务或协议简介1.NetBEUI（NetBIOS扩展用户接口）除了安装TCP/IP协议之外，局域网的计算机最好也安上NetBEUI协议。另外还有一点要注意，如果一台只装了TCP/IP协议的WINDOWS98机器要想加入到WINNT域，也必须安装NetBEUI协议。3.1操作系统安全增强——以WindowsXP为例最小化服务——服务无罪，关闭有理手动关闭漏洞服务部分服务或协议简介2.Microsoft网络客户端、Microsoft网络的文件和打印共享一般需要联合设置，不能单独启用或禁用某一个。服务包括：ComputerBrowser、WorkStation、Server、TCP/IPNetBIOSHelper四大服务。局域网中网上邻居配置的必选项，Microsoft网络客户端卸载后无法访问局域网内的共享文件。3.1操作系统安全增强——以WindowsXP为例最小化服务——服务无罪，关闭有理手动关闭漏洞服务部分服务或协议简介3.QoS数据包计划程序QoS数据包计划程序组件可以在数据传输较慢或者非常慢的情况下加快Internet连接共享速度。当两个网络通过慢速链路（如拨号线路）连接时可能出现这种性能降低，从而增加流经该慢速链路上的流量的延迟。通讯路径中终端设备之间在速度上的不匹配以及慢速链路本身通常成为网络瓶颈。在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。3.1操作系统安全增强——以WindowsXP为例最小化服务——服务无罪，关闭有理手动关闭漏洞服务禁止建立空连接在默认情况下，任何用户都可以通过空连接来连接服务器，枚举账号并猜测密码（如admin、root等）控制面板→管理工具→本地安全策略→安全设置→本地策略→安全选项→网络访问：不允许SAM账户的匿名枚举3.1操作系统安全增强——以WindowsXP为例最小化服务——服务无罪，关闭有理手动关闭漏洞服务关闭远程管理功能：在不需要远程管理计算机时，将有关远程登录的服务关掉Windows防火墙→高级选项卡→在网络连接设置列表框中选择要设置的连接选项→设置→高级设置3.1操作系统安全增强——以WindowsXP为例最小化服务——服务无罪，关闭有理手动关闭漏洞服务做好IE的安全设置，减小网页中利用ActiveX控件或JavaApplets运行的恶意代码IE浏览器→工具→Internet选项→安全设置有条件的禁用与ActiveX控件和Java相关的选项隐藏自己的IP地址许多黑客软件都需要事先了解对方的IP地址方能发起攻击，在局域网用户上网后，可通过代理服务器隐藏自己的IP地址；广域网用户要隐藏IP地址，必须找到合法的公共代理服务器，而且应兼顾代理上网的数据传输速度。IE浏览器→工具→Internet选项→连接选项卡3.1操作系统安全增强——以WindowsXP为例增强用户认证和访问控制实施最小权限原则：把用户能够执行的操作控制在他们完成本职工作所必须的范围内，够用就行。适合局域网用户。正确分配文件和子目录的访问权限攻击者攻陷了某一服务，但该项服务所拥有的权限较低，攻击者也打不开、甚至找不到口令文件明确文件和子目录访问权限可以保护系统免受合法用户误操作的影响3.1操作系统安全增强——以WindowsXP为例增强用户认证——基础安全设置第一道防线：设置BIOS开机密码防止别人擅自更改CMOS设置防止非法用户进入计算机系统开机时按下Del键→CMOS设置，找到以下两项：SetSupervisorPassword：设置管理员密码，可以进入并修改CMOS设置，可修改UserPasswordSetUserPassword：设置用户密码，输入该密码可以正常开机但不能修改CMOS设置密码长度1~8位的任意字符（分大小写）设置完毕后，光标移到Save&ExitSetup上保存退出，或者按F10键选择Yes3.1操作系统安全增强——以WindowsXP为例增强用户认证——基础安全设置第一道防线：设置BIOS开机密码3.1操作系统安全增强——以WindowsXP为例增强用户认证——基础安全设置第一道防线：设置BIOS开机密码1.开机时按Del键进入CMOS设置画面时将要求输入密码，但若直接进入操作系统不要求输入密码。适合公共场合的计算机。单独设置SUPERVISORPASSWORD或USERPASSWORD其中的任何一项，再打开BIOSFEATURESSETUP将其中的SecurityOption设置为Setup，保存退出。3.1操作系统安全增强——以WindowsXP为例增强用户认证——基础安全设置第一道防线：设置BIOS开机密码2.不但在进入CMOS设置时要求输入密码，而且进入操作系统时也要求输入密码。适合不愿让除我以外的任何人使用的计算机单独设置SUPERVISORPASSWORD或USERPASSWORD其中的任何一项，再打开BIOSFEATURESSETUP将其中的SecurityOption设置为System，保存退出。3.1操作系统安全增强——以WindowsXP为例增强用户认证——基础安全设置第一道防线：设置BIOS开机密码3.进入BIOS设置和进入操作系统都要求输入密码，而且输入其中任何一个密码都能进入BIOS设置和操作系统。但管理员密码和用户密码有所区别：以管理员密码进入BIOS程序时可以进行任何设置，包括修改用户密码。但以用户密码进入时，除了修改或去除用户密码外，不能进行其它任何设置，更无法修改管理员密码。适合少数指定人员使用计算机，自己保留管理员密码，用户密码告诉其他指定的人。分别设置SUPERVISORPASSWORD和USERPASSWORD，并且采用两个不同的密码。再打开BIOSFEATURESSETUP将其中的SecurityOption设置为System，退出保存。程序破解法3.1操作系统安全增强——以WindowsXP为例增强用户认证——基础安全设置第一道防线：设置BIOS开机密码撤销已经设置的密码，可进入CMOS中把光标移到相应的密码设置菜单上，不输入密码，连续两次回车，出现PasswordDisabled！提示就可以了。忘记开机密码怎么办？放电法：跳线放电法、COMS电池放电法万能密码：厂家设有万能密码（******）3.1操作