【正文】 數據庫和加密過程導致了一系列安全漏洞 ， 這個問題值得探討 。 (1)? Windows NT對較大的 ICMP包是很脆弱的 。 安裝 NT時別忘了趕快安裝 Service Pack 3以上的補丁程序 。 能解碼 SAM數據庫并能破解口令的工具有PWDump和 NTCrack。 (5) 所有用戶可能通過命令行方式試圖連接管理系統(tǒng)的共享資源 。 (7) 通過訪問其他并存的操作系統(tǒng) ， 有可能繞過 NTFS的安全設置 。 第 6章 計算機網絡的安全性 (8) 任何用戶可以通過命令行方式遠程查詢任何一臺 NT/2023服務器上的已注冊的用戶名 ， 如果它涉及到特權賬號的話 ， 這個安全漏洞意味著一個十分嚴重的風險 。 用鼠標左鍵單擊選項按鈕 ， 在出現的對話框中選擇 Inter選項 ， 也可以對主頁 、鏈接 、 安全 、 高級選項等做任何修改 。 (3) 不創(chuàng)建任何 DOS分區(qū) 。 要加強服務器的安全 ， 必須根據需要設置這些功能 。 最明智的做法就是為每個用戶指定一個工作組 ， 為工作組指定文件 、 文件夾訪問權 。 (2) 至少包含兩個字母字符和一個非字母字符 。 (6) 給系統(tǒng)的默認用戶特別是 Administrator改名 。 第 6章 計算機網絡的安全性 8) 控制遠程訪問服務 遠程訪問是黑客攻擊 NT/2023系統(tǒng)的常用手段 ，Windows NT/2023集成的防止外來入侵最好的功能是認證系統(tǒng) 。 但要結合工作實際 ， 設置合理的審計規(guī)則 ， 切忌審查事件太多 ， 以免無時間全部審查安全問題 。 網絡監(jiān)聽原本是網絡管理員使用的一個工具 ， 主要用來監(jiān)視網絡的流量 、 狀態(tài) 、 數據等信息 。其次，在計算機網絡中，大量的數據是以明文傳輸的，如局域網上的 FTP、 Web等服務一般都是明文傳輸的。通常設置的這些條件是包含字“ username”或“ password”的包。 一個連到以太網總線上的設備在任何時間內都在接收數據，不過它只是將屬于自己的數據傳給該計算機上的應用程序。 Sniffer除了能得到口令或用戶名外 ， 還能得到更多的其他信息 ， 比如網上傳送的金融信息等等 。 因為如果沒有恰當地設置這個程序 ，根本就不能從大量的數據中找出需要的信息 。 第 6章 計算機網絡的安全性 在 Windows系統(tǒng)下 ， 按下 Ctrl+Alt+Del鍵 ， 看一下任務列表 。 還有許多工具能用來查看系統(tǒng)會不會工作在Promiscuous模式 ， 從而發(fā)現是否有 Sniffer程序在運行 。 第 6章 計算機網絡的安全性 3． 怎樣防止 Sniffer 要防止 Sniffer并不困難 ， 有許多可以選用的方法 ， 但關鍵是需要增加開銷 。 加密一般采用 SSH， SSH又叫 Secure Shell， 是一個在應用程序中提供安全通信的協議 ， 它建立在客戶機 /服務器模型上 。 目前 ， 還沒有人突破過這種加密方法 。 有一種智力游戲 ， 它通常由一系列數字組成 ， 游戲的目的是要安排好數字 ， 用最少的步驟把它們按遞減順序排好 。 由于網絡分段了 ， 因而數據包只能在某個網段上被監(jiān)聽 ， 多個網段間將不可能被監(jiān)聽 ， 除非它們之間建立了信任關系 。 對于劃分網段和建立信任關系 ， 可通過 VLAN(虛擬局域網 )技術來實現 ， 目前市面上的許多交換機都支持 VLAN技術 ， 可以通過設置將網絡上的任意幾個站點邏輯設定在同一個網段上 。 端口掃描 在 OSI/RM模型的傳輸層上 ， 計算機通過端口進行通信和提供服務 ， 一個端口就是一個潛在的通信通道 ， 也就是一個入侵通道 。 用端口掃描軟件掃描時 ， 許多掃描軟件都有分析數據的功能 。 如果返回的數據包和發(fā)送的數據包一致 ， 那就是說 Ping命令成。 1． Ping命令 Ping命令經常用來對 TCP/IP網絡進行診斷 。 進行掃描的方法很多 ， 可以手工掃描 ， 也可以用端口掃描軟件掃描 。 系統(tǒng)安全管理員要定期對所管理的網絡進行安全測試 ， 防止安全隱患 ， 同時要控制擁有相當權限的用戶的數量 。 系統(tǒng)管理員的工作是構造一個策略 ， 使得計算機之間的信任關系很小 ， 這樣就建立了一種框架 ， 建立信任策略表的目的是保證一旦出現了監(jiān)聽問題 ， 它只對最小范圍有效 。 這里網段僅由能互相信任的計算機組成 ， 通常它們在同一個房間里 ， 或在同一個辦公室里 。 當然 ， 最關鍵的是怎樣使用 SSH和 FSSH加密方法 ， SSH和 FSSH都有商業(yè)或自由軟件版本存在 ， 即 NT are available。 第 6章 計算機網絡的安全性 SSH后來發(fā)展成為 FSSH， 提供了高層次的軍方級別的對通信過程的加密 ， 它為通過 TCP/IP網絡進行通信提供了通用的最強的加密技術 。 有些數據是沒有經過處理的 ， 一旦遇到 Sniffer， 對方就能獲得這些信息 。例如，網卡處于Promiscuous模式，對于 TCP/IP協議中的 IGMP、 ARP等協議沒有反應 (不同的系統(tǒng)有不同的反應或反應很慢 )，通過對這些協議進行測試就可以知道對方的主機狀態(tài)，從而發(fā)現監(jiān)聽者。 另一個方法就是在系統(tǒng)中搜索 ， 查找可懷疑的文件 。 2. 怎樣在一個網絡上發(fā)現一個 Sniffer 網絡監(jiān)聽是被動的 ， 它不與其他主機交換信息 ， 也不修改密碼 ， 這就使對監(jiān)聽者的追蹤變得十分困難 ， 因為他們根本就沒有留下任何痕跡 。 有許多運行于不同平臺上的 Sniffer程序： Linux tcpdump、 DOS ETHLOAD、 The Gobbler、 LanPatrol、LanWatch 、 Netmon、 Netwatch、 Netzhack等 ， 都可以從 Inter上找到 。 第 6章 計算機網絡的安全性 Sniffer通常運行在路由器或有路由器功能的主機上 ， 這樣就能對大量的數據進行監(jiān)控 。 Promiscuous模式中網絡上的所有設備都對總線上傳送的數據進行偵聽，而不僅僅是偵聽它們自己的數據。 另外 ， 網絡監(jiān)聽采用被動的方式 ， 它不與其他主機交換信息 ， 也不修改密碼 ， 這就使對監(jiān)聽者的追蹤變得十分困難 。 第 6章 計算機網絡的安全性 網絡監(jiān)聽的危害很大。 第 6章 計算機網絡的安全性 12) 應用系統(tǒng)的安全 在 Windows NT/2023上運行的應用系統(tǒng)如 Web服務器 、 FTP服務器 、 Email服務器 、 Inter Explorer等 ，應及時通過各種途徑 (如 Web站點 )獲得其補丁程序包 ，以解決其安全問題 。 9) 啟用登錄工作站和登錄時間限制 如果每個用戶只有一個 PC，并且只允許工作時間登錄，可以把每個用戶的賬號限制在自己的 PC上且在工作時間內使用，從而保護網絡數據的安全。 (8) 禁用 Guest賬號 。 (4) 不是用戶的姓名 ， 不是相關人物 、 著名人物的姓名 ， 不是用戶的生日和電話號碼及其他容易猜測的字符組合等 。 第 6章 計算機網絡的安全性 6) 實施賬號及口令策略 用域用戶管理器配置口令策略 。 5) 避免給用戶定義特定的訪問控制 將用戶以 “ 組 ” 的方式進行管理是一個用戶管理的有效方法 。 第 6章 計算機網絡的安全性 2) 用最新的 Service Pack升級 Windows NT/2023 Server 因為服務包 (Service Pack)包括所有補丁程序和后來發(fā)表的很多安全補丁程序 。 1) 加強物理安全管理 (1) 去掉或鎖死軟盤驅動器 ， 禁止 DOS或其他操作系統(tǒng)訪問 NTFS分區(qū) 。在登錄界面將光標移至用戶名輸入框，按 Ctrl+Shift鍵，這時在缺省的安裝狀態(tài)下會出現輸入法狀態(tài)條，將鼠標移至輸入法狀態(tài)條上單擊鼠標右鍵，在出現的對話框中選擇幫助，選擇操作指南或輸入法入門 (微軟的拼音輸入法和智能 ABC沒有這個選項 )，在出現的操作指南或輸入法入門窗口中會出現幾個按鈕，關鍵是選項按鈕。 這些工具有 DOS/Windows的 NTFS文件系統(tǒng)重定向器 (NTFS File System Redirector for DOS/Windows)、 SAMBA或者 Linux NTFS Reader。 第 6章 計算機網絡的安全性 (6) 如果系統(tǒng)里只有一個 Administrator賬號 ， 當注冊失敗的次數達到設置時 ， 該賬號也不可能被鎖住 。Inter上有些工具程序可以相對容易地獲得 Administrator特權 (比如 NT R e c o v e r、 W i n t e r n a l S o f t w a r e的NTLocksmith)。 NT在對用戶進行身份驗證時 ， 只能達到加密RSA的水平 。 下面的命令可以作為例子用于測試這個安全漏洞： pingl 65524 。 加密口令時先用 RSA MD4系統(tǒng)對口令進行加密 ， 但其后的加密過程缺乏復雜度 ， 比如加密口令時沒有考慮時間的因素 ， 結果 NT/2023口令比 UNIX口令更加脆弱 ， 更容易受到一本簡單字典的攻擊 。 (2) 若目錄對象有訪問控制列表 ACL， 但訪問控制條目 ACE為空 ， 則系統(tǒng)對所有用戶都拒絕訪問該對象 。 資源對象的安全屬性在 NT/2023內部以訪問控制列表 ACL形式存放 ， ACL中包含了每個權限的分配 ， 以訪問控制條目 ACE來表示 。當用戶初始化一個進程時，存取標識的一個副本就被永久地附于這個進程。 每次用戶登錄到系統(tǒng)上時 ， 便生成了用戶的存取 SID， 并且在登錄后不再更新 。所有的 SID用一個用戶信息、時間、日期和域信息的結合體來創(chuàng)建。 對資源的靈活 、 具體的存取控制能作用于特定的用戶 、 多個用戶 、 用戶組 、 無人或者所有人 ， 由資源擁有者 、 系統(tǒng)管理賬號的用戶或者任何被授權控制系統(tǒng)上資源的用戶來設定 。 第 6章 計算機網絡的安全性 2. ?Windows NT/2023的資源訪問控制機制 根據需要選擇的存取控制 ， 使資源擁有者可以控制網絡用戶存取其資源以及能存取的權限 。 用戶成功登錄之后 ， 只要沒有注銷 ， 其在系統(tǒng)中的權力就以存取標識 SID為準 ， NT/2023安全系統(tǒng)在此期間不再檢查安全賬號數據庫 SAM， 這主要是為了提高效率 。 如果賬號及口令無效 ， 則用戶的登錄企圖被拒絕；如果賬號及口令有效 ， 則把安全賬號數據庫中有關該賬號的信息收集在一起 ， 形成一個使用者的安全存取標識 SID。當用戶開始登錄時，按下 Ctrl+Alt+Del鍵， NT系統(tǒng)啟動登錄進程執(zhí)行 ，彈出登錄對話框，讓用戶輸入用戶名及口令。 用戶對系統(tǒng)資源所具有的權限應與特定的資源一起存放 。 第 6章 計算機網絡的安全性 Windows NT/2023的安全保護及模型 Windows NT/2023系統(tǒng)安全模型 好的安全系統(tǒng)可以確認試圖訪問計算環(huán)境的個人的身份 ， 防止冒名頂替者訪問 、 盜竊或者破壞系統(tǒng)資源 ， 保護環(huán)境中的特定資源免受用戶的不正當訪問 ， 為設置和維護用戶工作環(huán)境的安全性提供了一種簡單而有效的方法 ， 同時防止信息和資源被損壞以及未授權訪問 。 (3) 利用防火墻建立專用網 (VPN是較長一段時間內用戶使用的主流 )， IP加密需求越來越強 ， 安全協議的開發(fā)是一大熱點 。 ● 安全控制策略的規(guī)范性 、 邏輯上的正確合理性 ，避免了由于各大防火墻廠商推出的防火墻產品在安全策略上有漏洞而對整個內部保護網絡產生危害 。 子網屏蔽防火墻是最安全的一種防火墻體系結構，它具有主機屏蔽防火墻的所有優(yōu)點，并且比之更加優(yōu)越。 Intra不能直接通過路由器和 Inter相聯系，信息包要通過路由器和堡壘主機兩道防線。 第 6章 計算機網絡的安全性 3) 主機屏蔽防火墻 (Screened Host Firewall) 包過濾路由器雖有較好的透明性 ， 但無法有效區(qū)分同一 IP地址的不同用戶；應用型防火墻可以提供詳細的日志及身份驗證 ， 但又缺少透明性 。 它既能作為服務器接收外來請求 ， 又能作為客戶轉發(fā)請求 。 2. 防火墻的基本準則 1)過濾不安全服務 2) 過濾非法用戶和訪問特殊站點 第 6章 計算機網絡的安全性 3． 防火墻的分類 目前，根據防火墻在 ISO/OSI模型中的邏輯位置和網絡中的物理位置及其所具備的功能，可以將其分為兩大類：基本型防火墻和復合型防火墻。防火墻能有效地控制內部網絡與外部網絡之間的訪問及數據傳送，從而達到保護內部網絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的。 第 6章 計算機網絡的安全性 防火墻技術