信息系统安全18914.ppt

TechEd 2002 * LM对口令的处理方法是：如果口令不足14位，就用0把口令补足14位，并把所有的字母转称大写字母。之后将处理后的口令分成两组数字，每组是7位。刚才我们所提到的口令经处理后就变成BA01CK2和8TR0000部分。然后由这两个7位的数字分别生成8位的DES KEY，每一个8位的DES KEY都使用一个魔法数字(将0x4B47532140232425用全是1的一个KEY进行加密获得的)再进行一次加密，将两组加密完后的字符串连在一起，这就是最终的口令散列。这个字符传看起来是个整体，但是象L0phtcrack这样的破解软件，他能将口令字符串的两部分独立的破解，因此，破解上面所提到口令(10位)，由于口令已经被分解为两部分破解，而后面的那部分口令由于只有3位，破解难度可想而知并不困难。实际的难度就在前面的七位口令上了。因此就NT而言，一个10位的口令与一个7位的口令相比并没有太高的安全意义。由此还可以了解：1234567*$#这样的口令可能还不如SHic6这样的口令安全。(关于如何设置安全口令的问题不是本文的范围，有兴趣的可以参考相关文章) 而正式的口令(加密NT版)是将用户的口令转换成unicode编码，然后使用MD4算法将口令加密。  TechEd 2002 * TechEd 2002 * TechEd 2002 * TechEd 2002 * TechEd 2002 * 从不记录密码。 从不和别人共享密码。 从不将网络登录密码用作其他用途。 计算机的网络登录帐户和 Administrator 帐户使用不同的密码。 每 60 天到 90 天更改一次网络密码。 如果您认为密码已经泄露，请立即更改密码。 还应该小心地保护在计算机上保存密码的地方。一些对话框（例如，用于远程访问和其他电话连接对话框）会提供保存或记住密码的选项。不要选中该选项。 -摘自2000帮助信息 TechEd 2002 * 从不记录密码。 从不和别人共享密码。 从不将网络登录密码用作其他用途。 计算机的网络登录帐户和 Administrator 帐户使用不同的密码。 每 60 天到 90 天更改一次网络密码。 如果您认为密码已经泄露，请立即更改密码。 还应该小心地保护在计算机上保存密码的地方。一些对话框（例如，用于远程访问和其他电话连接对话框）会提供保存或记住密码的选项。不要选中该选项。 -摘自2000帮助信息 TechEd 2002 * Windows NT/2000有个“问题”，缺省安装时，会允许匿名用户不提供任何信任凭证就连接到系统上并查看特定的网络资源，这就是著名的“空会话连接”漏洞（NULL session connection，或Anonymous Logon）。其实，这项“功能”本来是Windows NT/2000专为某些应用程序（比如explorer.exe）提供用来列举网上共享资源的，而且也并非真的无需任何凭证，只不过当客户端进行空会话连接时，Windows NT/2000给空会话操作分配了一个everyone内建组的访问许可（如果目标主机上的共享资源不设密码或者赋予everyone组访问权限的话，一个空会话用户就可以随意访问其共享资源了）。 TechEd 2002 * TechEd 2002 * TechEd 2002 * TechEd 2002 * TechEd 2002 * TechEd 2002 * TechEd 2002 * TechEd 2002 * TechEd 2002 * TechEd 2002 * TechEd 2002 * TechEd 2002 * 2.2.1网络分段　　网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是防范网络监听的一项重要措施。将网络划分为不同的网段，其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。 2.2.2以交换式集线器代替共享式集线器 　　对局域网的中心交换机进行网络分段后，局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包(单播包)还是会被同一台集线器上的其他用户监听。因此，应该以交换式集线器代替共享式集线器，使 单播包仅在两个节点之间传送，从而防止非法监听。 2.2.3使用加密技术　　数据经过加密后，通过监听仍然可以得到传送的信息,但显示的是乱码。使用加密技术的 缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。 2.2.4划分VLAN　　运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，VLAN子网隔离了广播风暴 ，可以防止大部分基于网