8、网络安全-降低风险

八、降低风险1、系统默认设置2、注册表安全保护3、关闭和删除多余的服务4、其他配置更改5、Microsoft服务软件包6、rlogin命令7、网络信息系统（NIS）8、网络文件系统（NFS）1、系统默认设置常见默认设置：默认文件位置、缓冲区溢出、无争议的操作系统内部自动信任关系、默认共享、无保护的Windows注册表、服务器消息块（SMB）连接性（Win2K服务器可能被欺骗协商一个具有低级别加密的SMB惯用语）、容易显露上一个登录名和默认账户。降低风险的方法：更改Windows安装的默认路径（C:\WINNT），删除默认共享，升级操作系统补丁软件包防止缓冲溢出攻击，使用反病毒软件和个人防火墙防止自动信任的危害，保护注册表。2、注册表安全保护必要性：Windows系统的所有配置设置和控制都在注册表中。被黑客找到的大多数缺陷都集中在对注册表的访问方面，并且此时对注册表的访问只是“只读”。对注册表不同部分的默认安全设置对于系统保护是不够充分的。要知道注册表需要保护、保护哪些内容及如何保护。注册表结构：是一系列数据库引擎，数据文件存放在C:\WINNT\System32\Config文件夹中，一部分存在RAM中，这些文件的部分或全部的备份保存在C:\WINNT\repair中。应该使用NTFS安全措施正确的保护物理文件和备份文件，只有系统账户能访问这些文件。主键包含有效的硬件外壳数据，来自HKLM的SOFTWARE和SYSTEM。HKCCHKEY_CURRENT_CONFIG包含软件配置数据，是HKLM\SOFTWARE\Classes的指针。HKEY_CLASSES_ROOT包含与当前用户相关的交互式数据。任何在本地登录过的账户都有一个子树的拷贝，存放在\WINNT\Profiles\username\NTUser.dat文件。如果一些主键在它和HKLM之间被复制，它的值优先于其他值。它实际上是HKU\SID的指针。HKCUHKEY_CURRENT_USER包含：Default（系统默认设置，用在当按下Ctrl+Alt+Delete显示登录屏幕的时侯）和当前用户SID。HKUHKEY_USERS包含与本地计算机相关的所有操作系统配置数据，与本地登录的用户无关。HKLMHKEY_LOCAL_MACHINEHKLM子树注册表审核：记录注册表的变化，可以选择注册表的相关部分，再选择用户进行审核。例如增加了Everyone组，则对注册表的任何改变都将被记录下来。重要的是对内容的谨慎选择，还要注意系统的负担。备份注册表：是保护它的首选，如果被攻击，则可从备份文件恢复。存储计算机这服务和设备的配置信息。SYSTEM包含应用程序的配置信息，独立于当前用户。SOFTWARE包含所有本地计算机的信息，也不能被直接访问。SECURITY包含实际用户的账户和密码，SAM不能被直接访问，可以从API中访问。SAM每次启动时重新建立，包含有关这台计算机上连接的物理设备的信息。HARDWARE设置注册表权限：读取和完全控制及高级权限：查询数值：允许用户或组从主键中读取键值。设置数值：允许用户或组对主键设置键值。创建子项：允许用户或组给主键中建立子键。枚举子项：允许用户或组确定主键的子键。通知：允许用户或组审核主键的通告事件。创建链接：允许用户或组在特定的主键中符号连接。删除：允许用户或组删除一个选中的主键。写入DAC：允许用户或组为编写主键的自定义的ACL而获得主键的使用权。写入所有者：允许用户或组为获得主键的拥有权而获得主键的使用权。读取控制：允许用户或组获得一个选中的主键的安全信息。3、关闭和删除多余的服务在“管理工具-服务”中进行设置。保护网络连接：Win2K网络连接是基于SMB协议工作的，微软常称它为“常用Internet文件系统（CIFS）”。Win2K使用SMB通信，SMB位于MicrosoftNetworking的核心。默认情况下，对网络上传输的SMB信息包进行加密。SMB连接过程如下：按加密强度升序排列的SMB惯用语有：PCNetworkProgram1.0，MicrosoftNetworks1.03，LanMan1.0，LM1.2X002，LanMan2.1，WindowsNTLM0.12，NTLMversion2.0协商惯用语建立一个TCP会话建立一个SMB会话访问资源协商惯用语过程用来发现在服务器和客户端之间可以使用的SMB的最高版本，此时，验证的强度依赖于客户端，而客户端可能强制使用过时的加密方法，这可通过配置客户端只支持可能的最低的SMB客户端实现。如果在SMB过程中验证失败，可能：拒绝访问或建立一个空的SMB会话。而后者很危险，因为在默认情况下，空会话的拥有者依然是Everyone组的成员，且任何Everyone组可访问的目标都可以被这个未授权的用户访问。黑客就能通过利用这些连接的应用程序获得系统账户和服务的信息。防止空会话的办法是在“本地安全策略”中修改注册表，或直接修改注册表的HKLM\System\CurrentControlSet\Control\Lsa\restrictanonymous（默认为0，1是限制账户和共享的列表显示，2是限制所有的匿名访问，除非FTP等服务特许它的使用。）SMB加密：对Win2K专业版工作站，可以关闭LANManager验证，Win95/98/me、WindowsforWorkgroups和Samba都使用LANManager验证，这将关闭客户端的访问，不可行。如果服务器是一个标准的电子邮件、FTP或Web服务器，可以安全的改变这个设置。另一个相同控制权的选项是让服务器强行决定允许的客户端验证类型，而不是让客户端做出决定。这个选项并非特别有效，因为服务器将仍然向可能的客户端发出它的所有惯用语。它的主要功能是阻止一个特殊攻击（SMB降级攻击），这个攻击使用多种信息包探测器监听SMB验证过程，当服务器检测这个过程时，它发出一个宣称来自客户端的信息，指出只有低端的、纯明码文本验证可用，服务器接受这个信息并建立会话，然后客户端以明码文本的形式传输密码，攻击系统可截获并储存这些信息。另一个有效的选项是启动SMB签名，使Win2K在所有的信息包上使用加密的签名（MD5）防止哄骗攻击，帮助消除可能的伪造信息。将HKLM\System\CurrentControlset\Services\lanmanserver\parameters\requiresecuritysignature的值改为1，可以启动一个服务器只接受被签名的信息包，但客户端还必须生成和只对签名的信息包进行响应，客户端还需要将HKLM\System\CurrentControlset\Services\Rdr\parameters\requiresecuritysignature的值改为1。4、其他配置更改如果不需要任务调度器，可以在“本地安全设置”-“本地策略”-“安全选项”中实施下列改动：1）保护打印机驱动程序：启用“防止用户安装打印机驱动程序”。2）隐藏前一个登录用户名：防止对计算机进行直接访问的非法用户知道合法用户的用户名，把HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName键值改为1。3）关机时清除页文件：页文件保持一些被存储的、敏感的，在页文件使用期间没有被覆盖的信息。可以启用“在关机时清理虚拟内存页面交换文件”，将在关机时用随机信息覆盖全部的页文件。4）关闭登录证书的缓存：Win2K通常在本地缓存一个用户的登录证书，如果一个域控制器失败或联系不到，这个用户仍然可以登录并在本地工作，证书缓存可能导致一个攻击。需设置“可被缓冲保存的前次登录个数”为0。5）建立一个交互式登录信息：可以配置系统向任意一个交互式登录的用户显示信息，一个交互式登录信息不会阻止一个坚定的黑客，但可以帮助你向保险公司证明你已经采取了措施保护系统。启用“用户试图登录时消息标题/消息文字”：用户一按Ctrl+Alt+Del开始登录时看到的对话框的标题和文本信息。6）保护可移动和大容量存储器：可以只限制交互式用户对存储器访问，启用“只有本地登录的用才能访问CD-ROM/软盘”。7）建立默认的账户名。5、Microsoft服务软件包用来发布操作系统临时的重大修改，称作“热修补”，是用来纠正具体故障的特殊问题的补丁软件。安装补丁时，需要了解软件包所做的修改及稳定性，以免带来不必要的问题。6、rlogin命令关闭rlogin。hosts.equiv：在支持rlogin的系统中，文件/etc/hosts.equiv通过将远程主机的名字放在其中，允许任意一个远程主机上的用户在对远程目标主机登录时具有相同的信任关系。rlogin开始从上至下的检查hosts.equiv文件，直到发现一个主机满足远程系统的名字。该文件内容的选项有spam.com、-@devils和+@angels，它们向rlogin指出，在主机“spam.com”上的用户可能用他们通常的没有密码的名字登录到目标主机，因此spam.com是一个可信任的主机。条目-@devils用于工作组，说明它不应该被信任或允许登录到目标系统。如果工作组+@angels在目标系统中有登录用户名，那么它是完全可信的并且被允许访问。7、网络信息系统（NIS）是建立分布式计算机环境的一个方法。它提供一个集中的用户账户数据库，将其存储在一个单独的服务器上，叫主服务器；客户端可以访问主服务器进行验证，一旦通过验证，这些客户端就可以只有一个密码登录到多个服务器上，允许用户在网络中的所有机器上具有唯一的账户。主服务器可以把用户数据库备份到另一个服务器上，称作从服务器。NIS允许维护对保持机器在网络中正确操作必要的配置文件，它们从一个中心位置分配，而不需登录每一台机器修改配置。NIS+使用公共密钥加密对有效的信任关系进行保护。NIS的缺点：1）后台Portmapper程序：负责接受一个远程过程调用（RPC）。RPC允许本地主机上的一个应用程序对远程主机上的应用或后台程序提出请求，后台portmapper程序即时回复这个请求，并将这个请求映射到一个本地的服务，通过分配一个临时的端口完成。RPC不需要验证，缺乏安全性。解决方案是：a）使用一个包装程序（TCPWrappers），使你能够限制对具备某些IP地址或域名的主机的访问，但还是容易受得哄骗攻击。b）在一个强大的防火墙内使用RPC，且信任所有内部的主机。c）使用安全RPC协议，通过一个基于公钥的主机和用户验证方案解决一定范围内的验证问题。2）服务器通过广播进行联系，任何可以访问局域网的人都能够建立一个服务器并分配伪造的NIS映像。通过指定NIS服务器的IP地址增强安全性。3）明码文本分配：NIS映像以明码文本的方式进行分配，特别是NIS密码映像，它可以被任何可以访问网络的人使用ypcat程序读取，看到加密的密码。可以通过分配一个隐蔽密码映像增强安全性。4）加密和验证：默认情况下，NIS不对验证事务进行加密，因此当一个用户改变其密码时，在网络中就会出现明码文本形式的、未加密的密码传递。8、网络文件系统（NFS）用来在网络中分布文件系统，NFS客户端可以安装一些文件系统，它们物理上位于其他NFS服务器上，一个使文件系统可用于远程安装的NFS服务器被认为是导出或共享这些文件系统。NFS服务器在/etc/exports文件夹中列出要与客户端共享的文件夹。NFS包括的应用程序有：1）分布式主目录：某个文件系统被NFS服务器导出并随后被网络中的一个计算机团体安装，如果一个用户的主目录位于这个文件系统上，那么这个用户在哪个计算机上登录都可以访问到自己的文件。2）集中软件包的管理：NFS可以在一个服务器上放置一个大型软件包，然后允许客户端安装它；只需对导出部分的单一拷贝进行管理权限的更改，客户端主机就可以立即使用这个更新后的软件包。3）保存磁盘空间：可以在多个计算机之间，通过将很少