8、网络安全-降低风险.pptVIP

八、降低风险 1、系统默认设置 2、注册表安全保护 3、关闭和删除多余的服务 4、其他配置更改 5、Microsoft服务软件包 6、rlogin命令 7、网络信息系统（NIS） 8、网络文件系统（NFS） 1、系统默认设置 常见默认设置：默认文件位置、缓冲区溢出、无争议的操作系统内部自动信任关系、默认共享、无保护的Windows注册表、服务器消息块（SMB）连接性（Win2K服务器可能被欺骗协商一个具有低级别加密的SMB惯用语）、容易显露上一个登录名和默认账户。 降低风险的方法：更改Windows安装的默认路径（C:\WINNT），删除默认共享，升级操作系统补丁软件包防止缓冲溢出攻击，使用反病毒软件和个人防火墙防止自动信任的危害，保护注册表。 2、注册表安全保护 必要性：Windows系统的所有配置设置和控制都在注册表中。被黑客找到的大多数缺陷都集中在对注册表的访问方面，并且此时对注册表的访问只是“只读”。对注册表不同部分的默认安全设置对于系统保护是不够充分的。要知道注册表需要保护、保护哪些内容及如何保护。 注册表结构：是一系列数据库引擎，数据文件存放在C:\WINNT\System32\Config文件夹中，一部分存在RAM中，这些文件的部分或全部的备份保存在C:\WINNT\repair中。应该使用NTFS安全措施正确的保护物理文件和备份文件，只有系统账户能访问这些文件。 主键 HKLM子树 注册表审核：记录注册表的变化，可以选择注册表的相关部分，再选择用户进行审核。例如增加了Everyone组，则对注册表的任何改变都将被记录下来。重要的是对内容的谨慎选择，还要注意系统的负担。 备份注册表：是保护它的首选，如果被攻击，则可从备份文件恢复。 设置注册表权限：读取和完全控制及高级权限： 查询数值：允许用户或组从主键中读取键值。 设置数值：允许用户或组对主键设置键值。 创建子项：允许用户或组给主键中建立子键。 枚举子项：允许用户或组确定主键的子键。 通知：允许用户或组审核主键的通告事件。 创建链接：允许用户或组在特定的主键中符号连接。 删除：允许用户或组删除一个选中的主键。 写入DAC：允许用户或组为编写主键的自定义的ACL而获得主键的使用权。 写入所有者：允许用户或组为获得主键的拥有权而获得主键的使用权。 读取控制：允许用户或组获得一个选中的主键的安全信息。 3、关闭和删除多余的服务 在“管理工具-服务”中进行设置。 保护网络连接：Win2K网络连接是基于SMB协议工作的，微软常称它为“常用Internet文件系统（CIFS）”。Win2K使用SMB通信，SMB位于Microsoft Networking的核心。默认情况下，对网络上传输的SMB信息包进行加密。SMB连接过程如下： 　按加密强度升序排列的SMB惯用语有： 　PC Network Program 1.0，Microsoft Networks 1.03，LanMan 1.0，LM 1.2X002，LanMan 2.1，Windows NT LM 0.12，NTLM version 2.0 　协商惯用语过程用来发现在服务器和客户端之间可以使用的SMB的最高版本，此时，验证的强度依赖于客户端，而客户端可能强制使用过时的加密方法，这可通过配置客户端只支持可能的最低的SMB客户端实现。 　　　如果在SMB过程中验证失败，可能：拒绝访问或建立一个空的SMB会话。而后者很危险，因为在默认情况下，空会话的拥有者依然是Everyone组的成员，且任何Everyone组可访问的目标都可以被这个未授权的用户访问。黑客就能通过利用这些连接的应用程序获得系统账户和服务的信息。 　　　防止空会话的办法是在“本地安全策略”中修改注册表，或直接修改注册表的HKLM\System\ CurrentControl Set\Control\Lsa\restrictanonymous（默认为0，1是限制账户和共享的列表显示，2是限制所有的匿名访问，除非FTP等服务特许它的使用。） SMB加密：对Win2K专业版工作站，可以关闭LAN Manager验证，Win95/98/me、Windows for Workgroups和Samba都使用LAN Manager验证，这将关闭客户端的访问，不可行。如果服务器是一个标准的电子邮件、FTP或Web服务器，可以安全的改变这个设置。 　　　另一个相同控制权的选项是让服务器强行决定允许的客户端验证类型，而不是让客户端做出决定。这个选项并非特别有效，因为服务器将仍然向可能的客户端发出它的所有惯用语。它的主要功能是阻止一个特殊攻击（SMB降级攻击），这个攻击使用多种信息包探测器监听SMB验证过程，当服务器检测这个过程时，它发出一个宣称来自客户端的信息，指出只有低端