Board logo

标题: [交流]实现基本的系统网络安全 [打印本页]
作者: 天空飞人    时间: 2005-10-22 22:55     标题: [交流]实现基本的系统网络安全

[这个贴子最后由Hacker57在 2005/10/26 10:26am 第 1 次编辑]

    选择相对安全的操作系统,是实现系统安全的基础.Microsoft Windows系列中,以NT核心为架构的2000/XP/Server 2003都有相当的安全功能.另外Unix/Linux也很出色(因应用领域和占有率的不同而决定,同时,真正的攻击往往是基于Unix平台操作的).而Windows 9X则因为核心代码的先天因素,其基本的稳定性和管理功能都有待商椎,更无从取得较好的底层级安全.而且自2002年底,微软公司停止对Win9X系列的技术支持,标志着"9X"核心的生存周期已经结束.
    以下,以最为普及的Windows 2000/XP为例,从系统自身和外围两部分简单说明安全性设置及原则.

    首先一点需要说明,应尽量选择英文版的操作系统.PC操作系统技术至今仍掌握在英语语系国家手中,英文版拥有核心源代码的优势;次之,任何技术都不会是完美的,漏洞补丁的推出,英文版总早于其他语种版,这在经历2003年的袭击狂潮后,成为非英语用户的重大安全隐患.


1.  有效的安全首先是实现可靠的本地多用户管理设置.在2000/XP中,安装完毕,即会自动完成系统内建缺省帐户.系统安装者被指派为"Administrator"(管理员帐户)隶属于"Administrators"(管理员组),拥有对系统的最高权限,且不可删除或停用.其他还有多类不同权限的内建用户类别.我们应该首先以"Administrator"对系统进行全面的软硬件安装配置,完成安全管理设置.之后更改为个性化帐户名称,设置强密码.在其他类别的用户组中,选择拥有能满足个人(或各个不同用户)使用本机需求权限的用户组,新建个人帐户名,以用作日常登陆使用.最后,停用所有的"Guest"(来宾)帐户.

2.  禁止枚举账号.由于默认安装允许任何用户通过空用户得到系统所有账号和共享列表,这本来是为了拷便局域网用户共享资源和文件的,但是,任何一个远程用户通过同样的方法都能得到账户列表,使用暴力法破解账户密码后,对电脑进行攻击,所以必须采用以下方法禁止这种行为.
    可以通过修改注册表禁用空用户连接.打开注册表,将[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]的"RestrictAnonymous"设置为1,禁止空用户连接。
    另外,Windows 的本地安全策略([控制面板]→[管理工具] →[本地安全策略])里,可对本地策略进行设置,它有三个选项:
  
   "无,依赖于默认许可权限",这是系统默认值,没有任何限制,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等
   "不允许枚举SAM账号和共享",这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项.
   "没有显式匿名权限就无法访问",这个值是最安全最严格的一个,如果使用了这个,就不能再共享资源,所推荐设为"不允许枚举SAM账号和共享"

3.  使用强密码真正成为保密字码.在Windows中,密码通常以8个字符为单位校对,每8个字符的最后一个是补位符.所以,真正的有效密码位数应是7的倍数,如7位、14位、21位依次类推.密码的设置应该尽量使用强密码.即同时含有大小写字母、数字和特殊字符,混合乱序排列.不要使用具有个人特征的信息作为密码,如生日等.在密码的使用中,推荐每3个月更改一次密码.
    完成以上,可较好的抵御暴力和字典破解.常见的攻击和入侵中90%是从试探通用帐户和弱密码开始的.

4.  凡是新买的机器,许多硬盘驱动器都被格式化成FAT32.Windows 2000/XP的系统中,推荐使用NTFS文件系统,可以最大限度的发挥NT架构的优势,实现本地文件夹和文件级别的安全以及权限分配.把共享文件的权限从Everyone组改成授权用户,任何时候都不要把共享文件的用户设置成"Everyone"组,包括打印共享,默认的属性就是"Everyone"组.
    NTFS允许更全面、颗粒度地控制文件和文件夹的权限,进而还可以使用加密文件系统(EFS,Encrypting File System),从文件分区这一层次保证数据不被窃取.在"我的电脑"中用右键点击驱动器并选择"属性",可以查看驱动器当前的文件系统.如果要把文件系统转换成NTFS,先备份一下重要的文件,选择菜单"开始"→"运行",输入cmd,点击"确定".然后,在命令行窗口中,执行convert x: /fs:ntfs(其中x是驱动器的盘符).

5.  Windows 2000/XP安装之后,缺省隐藏共享所有分区(如C$、D$等)、ADMIN$、IPC$.在管理工具中无法永久停用.可以采用采用注册表修改的方法.
    1)禁止C$、D$一类的缺省共享
      HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameters
      AutoShareServer、REG_DWORD、0x0
    2)禁止ADMIN$缺省共享
      HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameters
      AutoShareWks、REG_DWORD、0x0
    3)限制IPC$缺省共享
      HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa
      restrictanonymous REG_DWORD 0x0 缺省
              0x1 匿名用户无法列举本机用户列表
              0x2 匿名用户无法连接本机IPC$共享
     说明:不建议使用2,否则可能会造成一些服务无法启动,如SQL Server

6.  停用不必要的服务.2000/XP中后台服务为操作带来了极大的方便和智能化,但同时也背负资源消耗和安全隐患的恶名.详见关于服务进程"Service" 文档的说明.

7.  卸载不必要的网络协议.2000/XP安装之后,默认加载TCP/IP、NetBEUI以及IPX/SPX NWLink三种网络协议.如果仅用于Windows 环境中和Internet服务,完全可以并应该卸载TCP/IP之外的其他网络协议.如无需要,还应该取消"文件及打印共享".
    另外,"本地连接属性-Internet协议属性-高级-WINS"选项卡中,取消"启用LMHOSTS查询"并选中"禁用TCP/IP上的NetBIOS"


8.  去掉POSIX支持."POSIX"是Portable Operating System Interface的简称,是由IEEE(Institute of Electrical and Electronic Engineers, Inc)开发的标准之一.POSIX标准的大部分被ISO组织(International Standarisation Organisation:国际标准化组织)和IEC(International Electrotechnical Commission:国际电子委员会)采纳.简言之,POSIX为不同平台下的应用程序提供了相同的API.一个完全符合POSIX标准的优秀应用程序将能完全兼容unix和windows,也就是在这两种操作系统下能同样的运行.但是一般对于个人用户是没用的.推荐取消POSIX支持.

  进入C:\winnt\system32文件夹:将OS2.exe、OS2SS.exe、PSXSS.EXE和POSIX.exe分别改为OS2.xxx、OS2SS.xxx、PSXSS.xxx、POSIX.xxx.
   
    需要指出的是Win2k resource kit是需要有POSIX的支持,如果不能使用时,要知道是什么原因.

9.  熟悉系统内建的管理工具,合理应用帐户安全策略、本地安全策略,并启用IPSec,控制IP数据流量;会查看日志记录.

10. 修改TTL值.指定传出IP数据包中设置的默认生存时间(TTL)值.TTL决定了IP数据包在到达目标前在网络中生存的最大时间.它实际上限定了IP数据包在丢弃前允许通过的路由器数量.利用此数值可以探测远程主机操作系统类型.

    HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters

    DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)

11. 可以在"TCP/IP协议""属性""高级"选项中,利用"筛选器"定义敏感端口的访问控制(也可以用防火墙软件实现).

12. 取消简单文件共享.为了让网络上的用户只需点击几下鼠标就可以实现文件共享,XP加入了一种称为"简单文件共享"的功能,但同时也打开了许多NetBIOS漏洞.关闭简单文件共享功能的步骤是:打开"我的电脑",选择菜单"工具"→"文件夹选项",点击"查看",在"高级设置"中取消"使用简单文件共享(推荐)"的选定。
  
13. 微软发布了Windows XP的UPnP安全补丁程序,修正了WinXP中存在的安全漏洞

14. 关注操作系统安全公告,及时更新安装系统的关键更新和漏洞补丁

15. 注册表编辑器锁定与解除

打开记事本,输入以下字段:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000


    这里"dword:00000001" 为禁止打开,dword为双字节值,这是在WIN98下;在2000/XP中,标识字段须改为"Windows Registry  Editor Version 5.00"。然后保存为"XX.reg"合并到注册表,即可解除注册表内部锁定。如果无法合并,如"优化大师"的禁止合并注册表文件,实际上它是更变了文件文件关联,你仍可在下拉菜单中选技合并。如果实在无法合并,则可,打开‘运行’对话框,填入注册表编辑器路径:c:\windows\regedit.exe ..\XX.reg 后加参数形式合并。

16. 禁止死网关侦测

    打开注册表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]中,"DeadGWDetectDefault",设置为"0".

17. 关于Rpair目录.Rdisk是NT技术提供的紧急修复磁盘工具,对于Administrator来说.但是对愈系统而言,这实在是个漏洞.
    用户可利用Rdisk将所有的安全信息(口令和注册信息)放在%systemroot%\repair中,攻击者用一些工具可以获得口令.

18. 修改网卡mac地址:
  
    1)直接通过网卡属性修改(此法只适用于EEPROM的网卡,旧的网卡没有修改MAC地址选项)

   (1)在WIN9X中(此法对MAC地址固化在EPROM中的网卡也同样有效)
    "控制面板→网络→配置"→网卡"属性"→"高级"→"高级"选项卡里左边有个属性框,选择"Network Adrress"→右边有两个设置框,下面那个是没有显示,现在选择上边那个→在编辑框里输入要更改的MAC地址→确定后,重新启动,新的MAC地址即生效.
    如果想恢复为原来的MAC地址,则把Network Adrress设置为空.
   (2)在WIN2000中
    "网上邻居"点击右键→"属性"→在已存在的网卡链接(Local Area Connection)点击"属性"→"配置"(上边有个框列出你现在正在使用的网卡,下面就是这个按钮)→"高级"选项卡…………以下同WIN9X中的操作

    2)修改注册表(9X版的方法)

    在Windows9x下,网卡驱动程序使用NDIS规范与操作系统通讯.MAC地址存储在操作系统的
某个存储单元内,根据这个内容来识别网卡的物理地址.所以完全不用修改EPROM的内容而只通过修改存储单元的内容就能达到修改MAC地址的目的.
    修改方法:  
    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\Net\0000下.如果
有一块以上的网卡,就还有0001,0002...在这里保存了有关网卡的信息,其中DriverDesc的内容就是网卡的信息描述,比如"Intel 21041 based Ethernet Controller"在相应的0000下新建一字符串"NetworkAddress",键值设为想设置的地址,要连续写.如"112233445566 ",设置完毕,重新启动计算机,无论是用winipcfg或用nbtstat -a xxx.xxx.xxx.xxx
(xxx.xxx.xxx.xxx是IP)来查看MAC地址都是新地址"11-22-33-44-55-66 ".
    更进一步的设置:
    在[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\Net\0000]下的NDI\Params中新建主键NetworkAddress;再在NetworkAddress主键下添加名为"default"的串值,键值设置为要预设置的MAC地址,如112233445566;继续添加名为"ParmasDesc"串,键值设置为"MAC Address"设置好后,重新启动机器,打开"网上邻居"-"属性",选择相应的网卡,查看其"属性"页中的高级选项有一项就是设置好的"Mac Addess"就是手动预设值的"112233445566".

    3)修改注册表(NT版)

    NT下的修改步骤与9X相同,但是由于内核的差异,相应键值得位置也不相同.
    在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}子键下,同样在如0000\0001中以"DriverDesc"判断网卡的注册信息所在.   

    以上是从提高操作系统自身安全能力的方面,简单阐述常用的安全设置.下面简单通过第三方软件,巩固系统安全.


1.反病毒软件

    病毒自诞生至今,由简单到复杂,从单机到网络,由被动到主动,从恶作剧升级为硬件级的破坏.没有反病毒软件的实时防护,无异于是赤身裸体的舞蹈.
    随着病毒的快速成长,反病毒技术也是层出不穷,不一而足.现在,综合病毒查杀能力、实时监测有效性、新病毒反应能力、系统资源占用和兼容易用性来看,中规中矩的赛门铁克"诺顿"(Symantec Norton)系列、技术先进的McAfee、强力的卡巴斯基(Kaspersky_AVP)和趋势(PC-Cillin)是国外产品的优秀代表;老牌实力的"江民"(KV)、市场运作占有率出色的"瑞星"(Rising)以及声势浩大技术平平的"金山"(Kingsoft),构成了国内反病毒三足鼎立之势.由于反病毒注定滞后于病毒的出现,是一种亡羊补牢之举,所以反病毒市场没有绝对的赢家,各有所长与不足.相对而言,国内企业更能够及时针对国内的病毒形式做出反应.
    与选择产品相比,用户的使用更具有现实意义.及时正确的保持最新引擎版本,全面启用在线实时监测的所有可用选项,预防为主,御敌于国门之外,才是根本.实际上并没有最好的杀毒软件.对于在网络上百无禁忌的人来说,杀毒软件只是消耗系统资源的心里安全防线.病毒不会特别针对某个人.但是引诱病毒,激活病毒,并完成最关键破坏性一步的,不是别人,正是用户自己.正所谓“苍蝇不叮无缝的鸡蛋”嘛。

2.网络防火墙

    开放与合作的网络环境下,"安全问题"很尴尬的成为另一个主题.没有网络防火墙,就好比四门大开的家.真正拥有技术的黑客(hacker)是不会光顾普通用户的,正是不计其数的初学者和骇客(cracker),在人群逐或摸索、或炫耀甚至是居心叵测,但仅仅是这样,就破坏了网络的纯净和安宁.选择强大有效的网络防火墙是每一个网络用户的不二法门.综合防护能力、灵活性来看,国外产品如"诺顿"安全特警、McAfee Firewall、KFW傲盾以及专业的Zone Alarm、Black ICE都是相当出色的;国内著名的"天网防火墙"、金山网镖和江民反黑王都可以满足一般用户的基本需求.
    与反病毒软件一样.简单的安装仍然不如个性化的高效使用安全,如手动定义端口的监视或关闭,防止本机被Ping甚至可以隐藏本机IP.
    再好的技术怕的是人;再高的骇客也有人外之人.世上没有最好的防火墙软件.最好的防火墙,是用户会设置的墙.
  
  我们为什么如此易受攻击?
  
  如果回顾过去,显然我们的基本安全理念(对损害反应)有缺陷.为什么我们必须接受所有的蠕虫或病毒?为什么要花费亿万美元来围堵和清除病毒,应用这些反病毒/IDS升级模式或操作系统补丁程序?
  病毒发作后的清除方式显然不适当.即便反病毒软件捕获了病毒,并把病毒清出了网络,但因为恶意程序可以削弱网络防卫:打开后门、盗窃文件或伪造密码,这已经为第二次攻击铺平了道路.在网络受到攻击后,谁又有时间来做详尽的安全检查:检查文件完整程度、修改密码等.
  
  我们能做什么?
  
  不要放弃已采用的防护措施:诸如反病毒软件、IDS和补丁管理系统.这些的确可以预防火势蔓延,即便这些办法无法阻止首次感染.然而,必须把这些被动技术与今天最新的的主动式解决方案结合起来,其中既有技术手段,也包括行为管理.
  用个人防火墙保护网络终端电脑和家庭电脑.配置最佳的默认安全功能,以防内部与外部威胁.事实上,微软官方推荐的办法就是使用防火墙.
    快速反应的要求,需要日常在第一时间获得安全信息,才能实现.掌握了信息,针对病毒的疯狂传播性,最迟应在48小时内升级反病毒软件;面对系统漏洞,在开发商公布的同时,首先依据漏洞原理逆向封杀,并且最迟在一个工作周内安装相应的补丁程序包.

=================================================================

    总而言之,技术是没有完美的,决定了任何系统本质上都是没有绝对安全的.只有人,是技术的主宰,可以利用技术创造,也同样可以毁灭.
    媒体的安全方法和评测,只能参照不可全信.因为不一定适合.个人用户PC的软环境全都不一样.武装大脑!才能行之有效.
    几乎所有的人都在用微软的东东.普通用户只有掌握了一定的计算机技能和安全知识,才有可能实现个人的数字化安全;也必需具备了良好的操作使用意识和习惯,才可能贯彻技术方案,最终实现安全目标.对于最终用户来说,不是你,想有多安全,而是你,能有多安全!!!

    最后重申,不要迷信反病毒软件和防火墙,一定要养成好的上网习惯.骇客有几个?病毒有多强?仔细想想,苍蝇不叮无缝的蛋!最后还不是用户自己招来的.想安全?那就别用计算机,那样啊,安全!只要用了计算机,就没有什么绝对安全可言.

  “作为房屋的建筑师,我们(微软)可以建造一间没有窗户的密闭屋子,外人无法进来,你也同时走不出去。你们(用户)要求阳光,于是我们制造了窗口,让阳光洒进来,但也同时带来了黑客的入侵。我们也制造了门锁,但是仍要住户看紧门口才行。毕竟没有一间房屋是100%安全可靠的。”(摘自微软2003年11月的发言)

PS:希望看后对大家有所帮助或启发
作者: Hacker57    时间: 2005-10-26 10:25     标题: [交流]实现基本的系统网络安全

PS:天空飞人
刚才浏览帖子的时候发现你的帖子 [求助]实现基本的系统网络安全
咋一看让人误会还以为你是在求助呢?于是进来看看,(—(*—*(以后注意下别让人误会
作者: 坏的刚刚好    时间: 2005-10-26 12:16     标题: [交流]实现基本的系统网络安全

还是一句老话
用户应及时下载安装这些系统安全漏洞补丁程序,阻止恶意攻击者利用这些漏洞进行攻击,保护好自己的计算机系统免受病毒的入侵破坏。
作者: 天空飞人    时间: 2005-10-26 23:30     标题: [交流]实现基本的系统网络安全

下面引用由Hacker572005/10/26 10:25am 发表的内容:
PS:天空飞人
刚才浏览帖子的时候发现你的帖子 实现基本的系统网络安全
咋一看让人误会还以为你是在求助呢?于是进来看看,(—(*—*(以后注意下别让人误会
没注意。。。。以后就不会了。。。。多谢提醒



欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/) Powered by Discuz! 7.2