操作系统安全技术.ppt_三一文库31doc.com

资源描述

《操作系统安全技术.ppt》由会员分享，可在线阅读，更多相关《操作系统安全技术.ppt（112页珍藏版）》请在三一文库上搜索。

1、信息安全技术, 操作系统安全技术,本章学习目标,了解操作系统掌握Windows系统中常用的DOS命令了解Windows系统安全架构掌握审核系统的安全性了解访问控制的内容掌握帐号安全管理及策略掌握网络服务安全管理及策略掌握文件系统安全管理了解安全日志,4.1 操作系统概述,选择合适的操作系统,Windows Server 2003家族系列，包括了用户所希望的、用以支撑关键任务的功能和特性，如高安全性、高可靠性、高可用性和高可扩展性。 HP-UX 为用户提供了关键任务功能的完整套件。其中包括增强的可靠性、有效性和可维护性，Internet和Web应用服务，目录和安全服务，系统管理，

2、64路性能可测量性。 AIX符合Open group的UNIX 98行业标准，通过全面集成对32位和64位应用的并行运行支持，为这些应用提供了全面的可扩展性。它可以在所有的IBM p系列和IBM RS/6000工作站、服务器和大型并行超级计算机上运行。红旗Linux服务器是企业级的网络和应用服务器。该产品可运行在带有232路CPU的SMP架构和最大64GB内存的IA架构服务器上。它提供了标准 Linux网络服务，并能稳定运行业界主流的商业应用。此外，该产品还可以作为完整的Linux软件开发平台。,4.2 Windows基础,DOS命令可以打开 “开始” 菜单，然后选择“运行”命令并输入cm

3、d即可，系统打开命令提示符窗口。还可以通过“程序”/“附件”/“命令提示符”打开。另外，手动双击MS-DOS程序或打开“开始 ”菜单，选择“运行”命令并输入该DOS程序的可执行命令即可打开DOS会话窗口。,常用DOS命令,net命令在Windows中，用户可以使用NET命令获取特定信息。例如：如果用户想查阅映射到一台计算机上的所有当前驱动器的列表，可以简单输入NET VIEW Computername（计算机名称）。为了得到NET命令的各级帮助，只要在命令后面输入/？即可。,net命令,net命令,常用DOS命令,ping命令 ping是个使用频率极高的实用程序，主要用于确定网络的连

4、通性。简单的说，ping就是一个测试程序，如果ping运行正确，大体上就可以排除网络访问层、网卡、MODEM的输入输出线路、电缆和路由器等存在的故障，从而缩小问题的范围。,ping命令,ping -t -a -n count -l size -f -i TTL -v Tos -r count -s count -j Hostlist|-k Hostlist -w Timeout TargetName,-t：持续发送回应请求，中断显示Ctrl+Break，中断退出Ctrl+C。 -a：对目的IP地址反向名称解析，解析成功显示主机名。 -n count：指定发送回应请求的次数。 -l size：

5、指定要发送的回应请求消息中“数据”字段的字节长度，默认为32，最大值为65500。 -f：指定发送的回应请求消息带有“不要分片”标志，即不能由路由器拆分，该参数可用于检测并解决MTU故障。 -i TTL：指定回应请求消息的生存周期，win xp默认128，最大255。 -v Tos：指定要发送的IP数据报中服务类型（Tos）字段值，默认为0，最大255。 -r count：指定IP标题中的“记录路由”选项，路径中的每个节点都使用“记录路由”选项中的一个值，count值为1-9。 -s count：指定IP数据包中的“Internet时间戳”选项，count值为1-4。 -j path：指定回响

6、请求消息使用带有Hostlist指定的中间目的地集的IP标题中的“稀疏资源路由”选项，主机列表中的地址或名称最大数为9。 -k hostlist：指定回响请求消息使用带有Hostlist指定中间目的地集的IP标题中的“严格来源路由”选项。 -w Timeout：指定以微秒计的等待回响应答消息响应的时间，默认为4000s。 TargetName：指定目的端，IP或主机名。,ping命令,ping命令,ping能够以毫秒为单位显示发送请求到返回应答之间的时间量。如果应答时间短，表示数据报不必通过太多的路由器或网络，连接速度比较快。ping还能显示TTL（Time To Live，生存时间）值，通过

7、TTL值可以推算数据包通过了多少个路由器。命令格式 ping 主机名 ping 域名 ping IP地址,ping命令,ping命令的基本应用一般情况下，用户可以通过使用一系列ping命令来查找问题出在什么地方，或检验网络运行的情况。下面就给出一个典型的检测次序及对应的可能故障： ping 127.0.0.1 如果测试成功，表明网卡、TCP/IP协议的安装、IP地址、子网掩码的设置正常。如果测试不成功，就表示TCP/IP的安装或设置存在有问题。 ping 本机IP地址如果测试不成功，则表示本地配置或安装存在问题，应当对网络设备和通讯介质进行测试、检查并排除。 ping局域网内其他IP 如

8、果测试成功，表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答，那么表示子网掩码不正确或网卡配置错误或电缆系统有问题。,ping命令, ping 网关IP 这个命令如果应答正确，表示局域网中的网关路由器正在运行并能够做出应答。 ping 远程IP 如果收到正确应答，表示成功的使用了缺省网关。 ping localhost local host是系统的网络保留名，它是127.0.0.1的别名，每台计算机都应该能够将该名字转换成该地址。否则，则表示主机文件（C:WINDOWSsystem32driversetchosts）中存在问题。 ping 对此域名执行Ping命令，计算机必须先将域

9、名转换成IP地址，通常是通过DNS服务器。如果这里出现故障，则表示本机DNS服务器的IP地址配置不正确，或它所访问的DNS服务器有故障。,常用DOS命令,telnet命令 Telnet用于Internet的远程登录。习惯上来说，被连通计算机,并且为网络上所有用户提供服务的计算机称之为服务器(Servers)，而自己在使用的机器称之为客户机(Customer)。一旦连通后，客户机可以享有服务器所提供的一切服务。用户可以运行通常的交互过程(注册进入、执行命令)，也可以进入很多的特殊的服务器如寻找图书索引。网上不同的主机提供的各种服务都可以被使用。,telnet命令,常用DOS命令,netstat

10、命令运行这个命令可以检测计算机与网络之间详细的连接情况，可以得到以太网的统计信息并显示所有协议的使用状态。这些协议包括TCP协议、UDP协议以及IP协议等。另外还可以选择特定的协议并查看其具体使用信息，包括显示所有主机的端口号以及当前主机的详细路由信息。,netstat命令,netstat -a -e -n -o -p protocol -r -s Interval,-a：显示所有活动TCP连接及侦听的TCP、UDP端口。 -e：显示以太网统计信息。 -n：显示活动TCP连接，以数字形式表现地址和端口号。 -o：显示活动TCP连接，并包括每个连接的进程ID。 -p：显示Protocol指定协

11、议连接，可以是TCP、UDP、TCP V6、UDP V6。 -r：显示IP路由表内容。 -s：按协议显示统计信息，默认显示TCP、UDP、ICMP和IP协议。 Interval：每隔Interval秒重新显示一次选定信息。 /?：在命令提示符显示帮助。,netstat命令,常用DOS命令,ipconfig命令 ipconfig实用程序可用于显示当前的TCP/IP配置的设置值。这些信息一般用来检验人工配置的TCP/IP设置是否正确。而且，如果计算机和所在的局域网使用了动态主机配置协议DHCP，使用ipconfig命令可以了解到你的计算机是否成功地租用到了一个IP地址，如果已经租用到，则可以了解它

12、目前得到的是什么地址，包括IP地址、子网掩码和缺省网关等网络配置信息。,ipconfig命令,ipconfig /all /renewAdapter /releaseAdapter /flushdns /displaydns registerdns /showclassid Adapter /setclassid AdapterclassID,/all：显示所有网卡完整TCP/IP配置信息。 /renew：更新所有网卡或指定网卡的DHCP配置。 /release：释放所有网卡或指定网卡的当前DHCP配置。 /flushdns：清理并重设DNS解析器缓存内容。 /displaydns：显示DNS

13、解析器缓存内容。 /registerdns：初始化计算机上配置的DNS名称和IP地址手工动态注册。 /showclassid：显示所有网卡或指定网卡的DHCP类别ID。 /setclassid：配置所有网卡或指定网卡的DHCP类别ID。 /?：在命令提示符显示帮助。,ipconfig命令,常用DOS命令,arp命令 ARP是TCP/IP协议族中的一个重要协议，用于确定对应IP地址的网卡物理地址。使用arp命令，能够查看本地计算机或另一台计算机的ARP高速缓存中的当前内容。使用arp命令可以人工方式设置静态的网卡物理地址/IP地址对，使用这种方式可以为缺省网关和本地服务器等常用主机进行本地静态

14、配置，这有助于减少网络上的信息量。例如：arp -s 10.1.4.59 00-1C-25-A0-E2-0E,arp命令,arp -aInetAddr-N IfaceAddr -g InetAddr-N IfaceAddr -d InetAddr IfaceAddr -s InetAddr EtherAddrIfaceAddr,-a：显示所有网络接口的ARP缓存表，InetAddr为指定IP地址，-N IfaceAddr为指定接口的ARP。 -g：与-a相同。 -d：删除ARP缓存表中的记录。 -s：在ARP缓存表中添加将IP地址InetAddr解析成硬件地址EtherAddr的记录。 /?

15、：在命令提示符显示帮助。,arp命令,常用DOS命令,tracert命令这个应用程序主要用来显示数据包到达目的主机所经过的路径。通过执行一个tracert到对方主机的命令之后，结果返回数据包到达目的主机前所经历的路径详细信息，并显示到达每个路径所消耗的时间。这个命令同ping命令类似，但它所看到的信息要比ping命令详细得多，它能反馈显示送出的到某一站点的请求数据包所走的全部路径，以及通过该路由的IP地址，通过的时间是多少。,tracert命令,tracert -d -h MaximunHops -j HostList -w Timeout TargetName,-d：防止tracert试图

16、将中间路由器的IP解析为名称，加快显示。 -h：在搜索目标路径中指定最大跳数，默认为30。 -j：指定“回应请求”消息对于在主机列表中指定的中间目标集使用IP报头中的“松散路由”选项。 -w：指定以毫秒为单位的等待超时时间，默认为4000ms。 TargetName：指定目标，IP或主机名。 -?：在命令提示符显示帮助。,tracert命令,常用DOS命令,route命令大多数主机一般都是驻留在只连接一台路由器的网段上。由于只有一台路由器，因此不存在选择使用哪一台路由器将数据包发送到远程计算机上去的问题，该路由器的IP地址可作为该网段上所有计算机的缺省网关。,route命令,route -f

17、 -p Command Destination mask subnetmask Gateway metric Metric if Interface,-f：清除所有不是主路由、回环路由或多播路由的条目的路由表。 -p：与Add命令共同使用时，指定路由被添加到注册表并在启动TCP/IP协议时初始化IP路由表；与Print命令共用时，则显示永久路由列表。 Command：指定要运行的命令，包括add添加路由表、change更改路由、delete删除路由、print打印路由。 Destination：指定路由的网络目标地址。 mask subnetmask：指定与网络目标地址相关联的子网掩码。 Ga

18、teway：指定网关地址。 metric Metric：为路由器指定所需跃点数的整数值（1-9999）。 if Interface：指定目标可以到达的网络接口索引。 /?：在命令提示符显示帮助。,route命令,常用DOS命令,ftp命令将文件传输到运行文件传输协议 (FTP) 服务器服务（如 Internet 信息服务）的计算机，或从这台计算机传输文件。可以通过处理 ASCII 文本文件交互式地或以批处理模式使用 Ftp。,ftp命令,ftp -v -d -i -n -g -s:FileName -a -w:WindowSize -A Host,-v：禁止显示FTP服务器响应。 -d：启用

19、调试、显示在FTP客户端和FTP服务器之间传递的所有命令。 -i：传送多个文件时禁用交互提示。 -n：在建立初始连接后禁止自动登录功能。 -g：禁用文件名组合。Glob允许使用星号(*)和问号(?)作为本地文件和路径名的通配符字符。 -s:FileName：指定包含ftp命令的文本文件。这些命令在启动ftp后自动运行。该参数不允许带有空格。 -a：指定绑定FTP数据连接时可以使用任何本地接口。 -w:WindowSize：指定传输缓冲的大小。默认窗口大小为4096字节。 -A：匿名登录到FTP服务器。 Host：指定要连接的计算机名、IP地址或FTP服务器的IPv6地址。,ftp命令,常用DO

20、S命令,nslookup命令利用nslookup命令查看主机的IP地址和主机名称。这个命令在查看主机IP的时候跟ping命令有些相似，但得到的信息却有些不同。直接键入命令，系统返回本机的服务器名称（带域名的全称）和IP地址，并进入以“”为提示符的操作命令行状态。键入“？”可查询详细命令参数。如此时给出一个计算机名称，若在本机能够识别该名称，返回本机、查询主机的名称、IP地址及别名。,nslookup命令,nslookup -SubCommand . ComputerToFind| -Server,-SubCommand：将一个或多个 nslookup 子命令指定为命令行选项。 -Compu

21、terToFind ：如果 ComputerToFind 是 IP 地址，并且查询类型为 A 或 PTR 资源记录类型，则返回计算机的名称。如果 ComputerToFind 是一个名称，并且没有跟踪期，则向该名称添加默认 DNS 域名。 -Server ：指定将该服务器作为 DNS 名称服务器使用。如果省略了-Server，将使用默认的 DNS 名称服务器。 help|?：显示 nslookup 子命令的简短总结。例子：查询A (IPv4地址)记录：nslookup 查询MX (邮件服务器)记录：nslookup type=mx 查询CNAME (别名)记录：nslookup ty

22、pe=cname 查询域名服务器：nslookup type=ns 指定域名服务器查询：nslookup 202.96.209.133,nslookup命令,常用DOS命令,nbtstat命令使用nbtstat命令可以查看计算机上网络配置的一些信息。如果想查看自己计算机上的网络信息，可以运行nbtstat -n，可以得到你所在的工作组，计算机名以及网卡地址等等。如果想查看网络上其他的电脑情况，就运行nbtstat -a *.*.*.*，此处的*.*.*.*用IP地址代替就会返回得到那台主机上的一些信息。,nbtstat命令,nbtstat -a remotename -A IPad

23、dress -c -n -r -R -RR -s -S Interval,-a remotename 显示远程计算机的 NetBIOS 名称表，其中， remote name 是远程计算机的 NetBIOS 计算机名称。 NetBIOS 名称表是运行在该计算机上的应用程序使用的 NetBIOS 名称列表。 -A IPaddress 显示远程计算机的 NetBIOS 名称表，其名称由远程计算机的 IP 地址指定 ( 以小数点分隔 ) 。 -c 显示 NetBIOS 名称缓存内容、 NetBIOS 名称表及其解析的各个地址。 -n 显示本地计算机的 NetBIOS 名称表。 Registere

24、d 中的状态表明该名称是通过广播或 WINS 服务器注册的。 -r 显示 NetBIOS 名称解析统计资料。在配置为使用 WINS 的 Windows 计算机上，该参数将返回已通过广播和 WINS 解析和注册的名称号码。 -R 清除 NetBIOS 名称缓存的内容并从 Lmhosts 文件中重新加载带有 #PRE 标记的项目。 -RR 重新释放并刷新通过 WINS 注册的本地计算机的 NetBIOS 名称。 -s 显示 NetBIOS 客户和服务器会话，并试图将目标 IP 地址转化为名称。 -S 显示 NetBIOS 客户和服务器会话，只通过 IP 地址列出远程计算机。 Interval 重

25、新显示选择的统计资料，可中断每个显示之间的Interval中指定的秒数。,nbtstat命令,常用DOS命令,at命令 Administrators组成员可以用这个程序来调度要顺序完成的各种任务。通过在命令提示符窗口中输入AT /?，可以获得这个命令的详细语法，使用不带命令参数的AT命令可以查看当前调度的作业。例如，下述命令表示在每周一，周三和周五的晚上十点执行一个批处理文件： AT 22:00/every:m,w,f “c:buckup.bat”,at命令,4.3 Windows系统安全架构,Windows NT的安全包括6个主要的安全元素：Audit（审计）, Administrati

26、on（管理）, Encryption（加密）, Access Control（访问控制）, User Authentication（用户认证）, Corporate Security Policy（公共安全策略）。,Windows NT系统内置支持用户认证、访问控制、管理、审核。,Windows系统安全组件,访问控制的判断（Discretion access control）按照C2级别的定义，Windows 支持对象的访问控制的判断。这些需求包括允许对象的所有者可以控制谁被允许访问该对象以及访问的方式。对象重用（Object reuse）当资源（内存、磁盘等）被某应用访问时，Windo

27、ws 禁止所有的系统应用访问该资源。强制登录（Mandatory log on）与Windows for Workgroups，Windows 98不同，Windows2K/ NT/XP要求所有的用户必须登录，通过认证后才可以访问资源。审核（Auditing） Windows NT在控制用户访问资源的同时，也可以对这些访问作相应的记录。对象的访问控制（Control of access to object） Windows NT不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。,Windows安全策略,Windows安全策略主要包括两大部分，

28、即访问控制策略和信息加密策略，各种安全策略相互配合才能实现对系统的全面保护。访问控制策略是网络安全防范和保护的主要策略，也是维护网络系统安全、保护网络资源的重要手段，用来保证网络资源不被非法使用和访问。信息加密策略保证数据传输中的安全，即保证数据完整性和机密性。,Windows安全策略,Windows安全策略定义了用户在使用计算机、运行应用程序和访问网络等方面的行为，通过这些约束避免对网络安全性的有意或无意的伤害。安全策略是一个事先定义好的一系列应用计算机的行为准则，应用这些安全策略保证用户有一致的工作方式，防止用户破坏计算机上的各种重要的配置，保护网络上的敏感数据。在Windows中

29、安全策略分为“本地安全设置”和“组策略”两种。本地安全设置实现基于单个计算机的安全性，对于较小的企业或组织，或者是在网络中没有应用活动目录的网络，通常使用本地安全设置；而组策略可以在站点、OU（组织单元）或域的范围内实现，通常应用于较大规模并且实施活动目录的网络中。,Windows安全模板,Windows中包含了许多安全模板，分别适用于不同的安全需求。利用这些模板，用户可以简化策略的设定和实施操作。它们通常包含了大多数的安全设定，用户也可以按照需要继续配置，以适应一个具体网络的需要。Windows提供了四种安全级别的模板：基本、兼容、安全和高度安全，它们存放在%SystemRoot%secur

30、itytemplates文件夹中。,基本（Basic）模板,该级别的模板为Windows定义的默认安全级别，可以用作基础配置。setup security.inf 模板文件是在安装期间针对每台计算机创建的。取决于所进行的安装是完整安装还是升级，该模板在不同的计算机中可能不同。Setup security.inf 代表了在安装操作系统期间所应用的默认安全设置，包括对系统驱动器的根目录的文件权限。它可以用在服务器或客户机上，但不能应用于域控制器。此模板的某些部分可应用于故障恢复。,兼容（Compatible）模板,提供比基本模板更高的安全级别，但仍然努力兼容标准的商用应用程序的所有功能，使之仍然可

31、以有效的运行。该模板为兼容工作站或服务器模板，模板文件是compatws.inf。,安全（Secure）模板,当安全性被视为重要的考虑因素时应选用此类模板。这种模板提供多种安全性，可能会影响一些商用应用程序某些功能的运行。安全的工作站或服务器模板securews.inf。安全的DC（域控制器）模板securedc.inf。,高度安全（high）模板,提供预定义下的最高安全性，安全性被视为首要考虑的因素时选用此类模板。该级别模板不会考虑应用程序是否会受到这些设定的影响，因此要慎重。高安全的工作站或服务器模板文件hisecdc.inf。高安全的DC模板文件hisecws.inf。,导入安

32、全模板,步骤一，打开“开始”/“管理工具”；步骤二，运行“本地安全策略”应用程序，打开“本地安全策略”管理窗口；步骤三，在左侧窗体中选择根项目“安全设置”，选择菜单“操作”/“导入策略”，打开“策略导入来源”对话框，选择需要的策略模板文件，如选择“securedc.inf”,点击“打开”即可完成设置。,Windows日志系统,Windows日志系统,Windows日志系统,Windows日志系统,Windows日志系统,4.4 审核系统安全性,版本选择 Windows有各种语言的版本，对于我们来说，可以选择英文版或简体中文版，如果语言不成为障碍的情况下，可以考虑选择英文版。因为微软Wind

33、ows中文版的Bug远远多于英文版，而补丁程序一般还会推迟至少半个月。,组件定制,Windows 在默认情况下会安装一些常用的组件，但这种默认安装可能带来安全隐患。对于管理员应该明确到底需要哪些服务，只安装确实需要的服务，根据安全原则，最少的服务+最小的权限=最大的安全。典型的WEB服务器需要的最小组件选择是：只安装IIS的Com Files，IIS Snap-In，WWW Server组件。而应该谨慎安装IIS中的其他组件，例如Indexing Service， FrontPage Extensions， Internet Service Manager (HTML)等。,使用正版可靠安

34、装盘将系统安装在NTFS分区上系统和数据要分开存放在不同的磁盘最小化安装服务安全补丁合集和相关的Hotfix 安装其它的服务和应用程序补丁每次在安装其它程序之后，重新应用安全补丁,防止病毒,进行文件系统安全设置,最少建立两个分区，一个系统分区，一个应用程序分区，因为微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。,NT安装SP6a和相关的Hotfix WIN2K安装SP4和相关的Hotfix WINXP安装SP3和相关的Hotfix WIN2003安装SP2和相关的Hotfix,正确安装,系统信息检查,从“

35、operating systems”字段可以查到允许启动的系统列表,检查服务器是否安装多系统，多系统无法保障文件系统的安全。,系统信息检查,检查当前主机所安装的Service Pack以及Hotfix (Mbsa),SP版本,IE版本，请确认在Hotfix中是否存在IE SP1补丁信息,Hot fix信息,系统安全审核,系统安全审核以本地用户的身份来评估系统安全配置。检查病毒和后门。检查可疑的访问：用NTLast等审核程序来判断是否有未授权访问。确认文件系统是NTFS。检查日志记录，查看是否有不寻常事件：使用信号会经常在日志中被记录（如一次被攻击而导致服务不正常）。事件日志和其他数据也

36、有相互关系（可疑文件的创建），可以判断攻击的起因和来源。可用管理员工具查看事件记录。注册表安全：重要的安全性控制与注册表有关，经由注册表权限保证注册表项安全，以及使用NTFS权限保证参与注册表数据的所有文件安全。确认Service Pack/Hot Fixes是最新的。,4.5 访问控制,对Windows服务器的访问应该只允许授权访问，以及可靠用户。另外系统资源应该限制只允许授权用户或是那些日常维护服务器的人员访问。尽量将访问来源控制在最小范围内。限制远程登录工作组：从远程工作站登录到一台Windows服务器是通过Microsoft的远程访问服务（Remote Access Servic

37、e），有可能会危及服务器和网络的完整性。物理上加强服务器安全：只有授权管理员可以物理访问Windows NT服务器，包括备份系统和敏感用户文件。最好同时设置BIOS启动密码。禁止多重启动的设置：多重的启动系统（如Windows NT在一个扇区而Linux在另一个扇区）会危及到NT文件系统的安全。限制对注册表访问。,用户权限,网络安全性依赖于给用户或组授予的能力。权力：在系统上完成特定动作的授权，一般由系统指定给内置组，但也可以由管理员将其扩大到组和用户上。权限：可以授予用户或组的文件系统能力。共享：用户可以通过网络使用的文件夹。权限适用于对特定对象如目录和文件（只适用于NTFS卷

38、）的操作，指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是：Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和Take Ownership(O)。,目录权限,文件权限,4.6 帐户安全,多数的系统，口令是进入系统的第一道防线，也是唯一防线决大多数的口令算法是可靠的获得口令的方式有多种口令问题多数出在管理与安全意识的问题上,口令安全,口令问题一：弱口令,用户趋向于选择容易的口令，即空口令用户会选择易

39、于记住的东西做口令 Test、Password、guest、username等名字、生日、简单数字等易于选择该系统的应用 Ntserver、orancle等多数用户的安全意识薄弱,口令问题二：明文传输,使用明文密码传送的应用 FTP、POP、Telnet、HTTP、SNMP、Socks Mountd、Rlogin、 NNTP、 NFS ICQ、 IRC、 PcAnywhere、VNC等 MS SQL 、Oracle等上述服务都容易成为攻击对象,口令攻击的方式,手工猜测方法：社会工程学、尝试默认口令自动猜测工具：NAT、LC等窃听：登陆、网络截获、键盘监听工具：Dsniff、S

40、niffer Pro、IKS等,帐户安全策略,管理员权限配置,口令安全策略,使用密码强度及帐户老化、锁定策略设置最小的密码长度为8个字符，最短密码时间为1-7天，最长密码时间为42天，最小的密码历史轮回为6，失败登陆尝试为3，帐户锁定为60分钟等。,口令安全策略,口令禁忌：不要选择可以在任何字典或语言中找到的口令不要选择简单字母组成的口令不要选择任何指明个人信息的口令不要选择包含用户名或相似类容的口令不要选择短于6个字符或仅包含字母或数字的口令不要选择作为口令范例公布的口令,口令安全策略,确保每个用户都有一个有效的口令对用户进行口令教育使用防止用户选择弱口令的配置与工具进行

41、口令检查，确保没有弱口令确保系统与网络设备没有缺省帐号和口令不要在多个机器上使用相同的口令从不记录也不与他人共享密码从不将网络登录密码用作其他用途域Administrators账户和本地Administrators帐户使用不同的密码小心地保护在计算机上保存密码的地方对于特权用户强制30天更换一次口令，一般用户60天更换使用VPN、SSH、一次性口令等安全机制,Null Session,Null Session（空连接）连接也称为匿名登陆，这种机制允许匿名用户通过网络获得系统的信息或建立未授权的连接。它常被诸如explorer.exe 的应用来列举远程服务器上的共享。非授权主

42、机可以是网络里所有的主机，即这个主机不需要有访问服务器的任何权限。任何一台主机都可以和服务器之间建立一个NULL session，这个NULL session在服务器里属于everyone组。缺省情况下所有的用户都属于everyone这个组。everyone组没有很大的权力。但是可以利用它获取系统的用户信息。 net use serverIPC$ “ /user:“ 此命令用来建立一个空会话,Null Session,获得目标上的所有用户列表。包括服务器上有哪些组和用户。服务器的安全规则，包括帐户封锁、最小口令长度、口令使用周期、口令唯一性设置等。列出共享目录。读注册表。 net vi

43、ew server 此命令用来查看远程服务器的共享资源。 net time server 此命令用来得到一个远程服务器的当前时间。 At server 此命令用来得到一个远程服务器的调度作业。,IPC相关知识基于DOS命令的IPC入侵演示,IPC入侵,防御办法：解开文件和打印机共享绑定鼠标右击桌面上的“网络邻居|属性|本地连接|属性”，去掉“Microsoft网络的文件和打印机共享”前面的钩，解开文件和打印机共享绑定，这样就会禁止所有从139和445端口来的请求，别人也就看不到本机的共享了。禁用TCP/IP 上的NetBIOS 鼠标右击桌面上“网络邻居|属性|本地连接|属性”，打开“本

44、地连接属性”对话框。选择“Internet协议（TCP/IP）|属性|高级|WINS”，选中下侧的“禁用TCP/IP上的NetBIOS”一项即可解除。停止Server服务选择“我的电脑|控制面板|管理工具|服务”，进入服务管理器，关闭Server服务，这样虽然什么端口都不会关，但可以中止本机对其他机器的服务，当然也就中止了对其他机器的共享。但是关闭了该服务会导致很多相关的服务无法启动，机器中如果有IIS服务，则不能采用这种方法。,Null Session防御,帐号和口令,是否有密码过期策略。密码过期策略包括密码最长存留期和最短存留期，最长存留期是指密码在多久后过期，最短存留期是指在多久后

45、才可以修改密码。开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略： # 密码最长存留期，以天为单位，MAXDAYS天后密码过期，缺省为42天（建议不超过42天） # 密码最短存留期，以天为单位，MINDAYS天后才可以修改密码，缺省为0（建议17天）,帐号和口令,检查Guest帐号，限制Guest用户权限，或禁止登录。 Guest帐号是一个容易忽视的帐号，黑客可能修改该帐号权限，并利用该帐号登陆系统。,没有激活,帐号和口令,系统是否使用默认管理员帐号。默认管理员帐号可能被攻击者用来进行密码暴力猜测，建议修改默认管理员用户名。,Administrator用户名已被修改,帐号和

46、口令,是否存在可疑帐号。查看系统是否存在攻击者留下的可疑帐号，或检查主机操作人员遗留下的尚未删除的帐号。可禁用不需要帐号。,帐号和口令,禁止匿名用户连接： HKLMSYSTEMCurrentControlSetControlLsa “restrictanonymous”的值为0 ，将该值修改为“1” ，可以禁止匿名用户列举主机上所有用户、组、共享资源。删除主机管理共享： HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters，增加“Autoshareserver”项，并设置该值为“1”，删除主机因为管理而开放的共享。,帐号和口

展开阅读全文