【文章內(nèi)容簡介】 密文件系統(tǒng) EFS。 EFS使加密和解密對用戶都是透明的，加密和解密過程自動地發(fā)生在從硬盤中讀取數(shù)據(jù)和向硬盤中寫入數(shù)據(jù)時。 EFS提供從單一文件到整個目錄的加密和解密功能。如果對于一個目錄進行加密，目錄中所有的子目錄和文件都被自動加密。 77 (3) Windows IP Security 安全性支持 ? NT IP Security。 它符合 IETF 的 IP安全性協(xié)議標(biāo)準(zhǔn)，支持在網(wǎng)絡(luò)層一級的驗證、數(shù)據(jù)完整性和加密。它與 NTS內(nèi)置的安全性集成在一起，使 NT 能夠同時抵御來自內(nèi)部和外部的攻擊。 利用IPSec功能，網(wǎng)絡(luò)管理員可為網(wǎng)絡(luò)提供一層強有力的保護 。 78 Windows NT的安全管理措施 1．物理安全管理 Windows NT采取了摘掉或鎖死軟盤驅(qū)動器，禁止 DOS或其他操作系統(tǒng)訪問 NTFS分區(qū)，在服務(wù)器上設(shè)置系統(tǒng)啟動口令，設(shè)置 BIOS禁用軟盤引導(dǎo)系統(tǒng)，不創(chuàng)建任何 DOS分區(qū)、保證機房的物理安全等管理措施。 79 2．賬號和密碼策略 Windows NT域用戶管理器通過為用戶分配的賬號和密碼來驗證用戶身份，保證系統(tǒng)資源的安全。用戶賬號是系統(tǒng)根據(jù)用戶的使用要求和網(wǎng)絡(luò)所能給予的服務(wù)為用戶分配的，賬號名稱通常是公開的。用戶賬號密碼在密碼的選取、密碼的維護等方面都要符合安全性要求和使用方便的原則，用戶賬號密碼是保密的。 80 3．控制授權(quán)用戶的訪問 ? 在 Windows NT域中配置適當(dāng)?shù)?NTFS訪問控制可增強網(wǎng)絡(luò)安全。在系統(tǒng)默認(rèn)情況下，每建立一個新的共享， Everyone用戶就享有“完全控制”的共享權(quán)限，因此在使用時要取消或更改默認(rèn)情況下 Everyone組的“完全控制”權(quán)限，要始終設(shè)置用戶所能允許的最小目錄和文件的訪問權(quán)限。為安裝后默認(rèn)的 Guest用戶設(shè)置密碼，以防被黑客利用。 81 ? 為每個用戶指定一個工作組，為工作組指定文件和目錄訪問權(quán)限，這樣，當(dāng)某個用戶角色變更時，只要把該用戶從工作組中刪除或指定他屬于另一組，即可收回或更改該用戶的訪問權(quán)限。所以說，將用戶以“組”的方式進行管理，是用戶管理的一個有效方法。 82 4．及時下載和更新補丁程序 經(jīng)常光顧安全網(wǎng)站，下載最新補丁程序，或用最新的 Service Pack升級 Windows NT Server， 因為 Service Pack中有所有補丁程序和新發(fā)表的諸多安全補丁程序。 83 5．控制遠(yuǎn)程訪問服務(wù) 遠(yuǎn)程訪問是入侵者攻擊 Windows NT系統(tǒng)的常用手段，因此可以采取控制遠(yuǎn)程服務(wù)的方法減少對系統(tǒng)的攻擊。 Windows NT防止外來入侵最好的功能是認(rèn)證系統(tǒng)。 Windows 95/98和 Windows NT Workstation客戶機不僅可以交換用戶 ID和口令數(shù)據(jù)，而且還使用 Windows專用的響應(yīng)協(xié)議，這可確保不會出現(xiàn)相同的認(rèn)證數(shù)據(jù)，并可以有效地阻止內(nèi)部黑客捕捉網(wǎng)絡(luò)信息包。如條件允許，可使用回叫安全機制，并盡量采用數(shù)據(jù)加密技術(shù)，以保證數(shù)據(jù)安全。 84 6．啟動審查功能 為防止未經(jīng)授權(quán)的訪問，可以利用域用戶管理器啟用安全審查功能，以便在安全日志中記錄未經(jīng)授權(quán)的訪問企圖，以便盡早發(fā)現(xiàn)安全漏洞并及時補救。但要結(jié)合工作實際，設(shè)置合理的審計規(guī)則。切忌審查太多，以免無時間全部審查安全問題。 85 7．應(yīng)用系統(tǒng)的安全 在 Windows NT上運行的應(yīng)用系統(tǒng)，應(yīng)及時通過各種途徑獲得補丁程序，以解決其安全問題。把IIS中的 sample、 scripts、 iisadmin和 msadc等Web目錄設(shè)置為禁止匿名訪問并限制 IP地址。把FTP、 Tel的 TCP端口改為非標(biāo)準(zhǔn)端口。 Web目錄、 CGI目錄、 scripts目錄和 WinNT目錄只允許管理員完全控制。凡是涉及到訪問與系統(tǒng)有關(guān)的重要文件，除系統(tǒng)管理員賬號 Administrator外，其他賬號均應(yīng)設(shè)置為只讀權(quán)限。 86 8．取消 TCP/IP上的 NetBIOS綁定 Windows NT系統(tǒng)管理員可以通過構(gòu)造目標(biāo)站NetBIOS名與其 IP地址之間的影像，對Inter或 Intra上的其他服務(wù)器進行管理，但非法用戶也可從中找到可乘之機。如果這種遠(yuǎn)程管理不是必需的，可立即取消 (通過網(wǎng)絡(luò)屬性的綁定選項，取消 NetBIOS與 TCP/IP之間的綁定 )，如禁用 NetBIOS端口。 87 Windows NT的數(shù)據(jù)保護 由于網(wǎng)絡(luò)系統(tǒng)出現(xiàn)故障、數(shù)據(jù)丟失等原因致使系統(tǒng)不能可靠運行或系統(tǒng)不能正常啟動時， Windows NT系統(tǒng)可為網(wǎng)絡(luò)用戶提供快速、準(zhǔn)確的服務(wù)，如系統(tǒng)修復(fù)或數(shù)據(jù)恢復(fù)等，使系統(tǒng)能正常工作。 88 1． Windows NT數(shù)據(jù)保護方法 NT系統(tǒng)可提供以下的數(shù)據(jù)保護方法。 (1) 磁帶備份 ? 磁帶備份就是將主機上的數(shù)據(jù)備份到其他存儲介質(zhì)上，以確保數(shù)據(jù)的安全，這是最簡單也是最經(jīng)濟的數(shù)據(jù)保護方法。 ? 磁帶備份又分為完全備份、一般拷貝、日常備份、增量備份和差異備份。 89 (2) 不間斷電源保護 ? 不間斷電源 (UPS)保護可使 Windows NT系統(tǒng)在突然斷電的情況下繼續(xù)使用一段時間，在電源恢復(fù)之前安全關(guān)機，從而避免因斷電造成的數(shù)據(jù)丟失。 90 ? 扇區(qū)備份。 扇區(qū)備份也叫“熱修復(fù)”，是Windows NT提供的又一種容錯方法。系統(tǒng)在發(fā)現(xiàn)扇區(qū)損壞時，對該壞扇區(qū)進行標(biāo)記，并將其上的數(shù)據(jù)盡可能地轉(zhuǎn)儲到好的扇區(qū)上，從而保證數(shù)據(jù)的完整。這種容錯方法只是在 NTFS分區(qū)的 SCSI硬盤上才能實現(xiàn)，而 ESDI和 IDE磁盤上無法實現(xiàn)此項功能。 91 2． Windows NT系統(tǒng)的恢復(fù)和修復(fù) 采用了容錯技術(shù)的系統(tǒng)恢復(fù)的效果較好。但如果沒有采用容錯技術(shù)，由于各種原因使得 Windows NT系統(tǒng)無法正常啟動時，無論采取什么方法修復(fù)系統(tǒng)，效果都是有限的。以下是常用的 Windows NT系統(tǒng)修復(fù)或恢復(fù)方法。 92 (1) 利用“系統(tǒng)配置”環(huán)境恢復(fù) Windows NT系統(tǒng) 當(dāng)用戶由于新增了驅(qū)動程序和用戶修改了注冊表 Registry數(shù)據(jù)庫后而無法正常啟動 Windows NT系統(tǒng)時，可以嘗試?yán)蒙弦淮握_的“系統(tǒng)配置”環(huán)境啟動系統(tǒng)。但它不適合由于驅(qū)動程序或文件損壞、丟失所造成的不能啟動的情況。 93 (2) 利用“緊急修復(fù)磁盤”修復(fù)被損壞的 Windows NT系統(tǒng) 在 Windows NT系統(tǒng)工作站或服務(wù)器安裝時，都允許用戶制作一張“緊急修復(fù)磁盤”。該磁盤中包含了修復(fù)系統(tǒng)所必需的數(shù)據(jù)。當(dāng) Windows NT系統(tǒng)文件、啟動變量或啟動分區(qū)被損壞時，無法利用上一次正確“系統(tǒng)配置”環(huán)境啟動，則利用該磁盤可以恢復(fù)系統(tǒng)正常工作。作為網(wǎng)絡(luò)管理員，應(yīng)該及時制作該磁盤，并且要定期進行更新。 94 (3) 利用“ Windows NT啟動盤”修復(fù)被損壞的系統(tǒng) 當(dāng) Windows NT系統(tǒng)損壞而又無法啟動時，用戶可以利用自己制作的“ Windows NT啟動盤”修復(fù)系統(tǒng)。當(dāng)用戶系統(tǒng)的部分啟動文件損壞或映射磁盤區(qū)出現(xiàn)故障時，也可以使用“ Windows NT啟動盤”進行修復(fù)。 95 Windows 2022系統(tǒng)安全 96 Windows 2022 的安全漏洞 ? Windows 2022系統(tǒng)面世不久，就被發(fā)現(xiàn)存在安全漏洞。作為已被廣泛應(yīng)用的網(wǎng)絡(luò)操作系統(tǒng)，無論是對普通用戶還是對于公司企業(yè)用戶， Windows 2022的影響都是巨大的。如果用戶不能對這些漏洞進行及時的補救，系統(tǒng)就可能被攻擊，造成不必要的損失。 97 1. 登錄驗證機制漏洞 ? 當(dāng) Windows 2022啟動后，按屏幕提示按下 Alt +Ctrl+Del進行登錄 ,在登錄界面將光標(biāo)移至用戶名輸入框，按鍵盤上的Ctrl+ Shift鍵進行輸入法切換。在進行輸入法選擇時，屏幕上會出現(xiàn)一些 “ 選項 ”按鈕，點擊某些選項時，可進入 “ 網(wǎng)絡(luò)設(shè)置 ” 項。 98 ? 這樣，任何人都可對網(wǎng)絡(luò)進行設(shè)置，甚至在控制面板上做任何修改操作；或者進入 “ Inter選項 ” 中，可以對主頁、連接、安全、高級選項等進行任何操作而不受限制；或者進入 “ 跳至 URL”框，操作者可獲得系統(tǒng)管理員權(quán)限，對相關(guān)磁盤的數(shù)據(jù)做任何操作 (修改、刪除、重命名、設(shè)置共享等 )。 99 ? Windows 2022的這種登錄漏洞可使操作者完全繞過了 Windows 2022的登錄驗證機制，并能以最高管理員身份訪問整個系統(tǒng)。而且在進入系統(tǒng)后，操作者還可以利用 Terminal Server遠(yuǎn)程通信漏洞對系統(tǒng)進行攻擊。因此，該漏洞的危害性是很大的，可采取以下步驟修補漏洞： 100 ① 把不必要的輸入法刪除掉 ， 如鄭碼 。 ② 把要使用的但有漏洞的輸入法的幫助文件刪除掉 。 ③ 盡快從微軟公司網(wǎng)站上下載相關(guān)的簡體中文和英文版 Windows 2022補丁程序 。 101 2. NetBIOS漏洞 ? NetBIOS共享入侵問題從 NT問世時就從未解決，且一直是 NT系統(tǒng)最常見的入侵手段。特別是 IPC$Null Session(空對話 )，雖然加了補丁程序后可以對其進行限制，但不知為什么在Windows 2022中又原封不動地保留了該漏洞。對于該漏洞，可以通過在注冊表中做相應(yīng)修改來解決 。 102 3. Tel漏洞 ? Windows 中的 Tel是網(wǎng)絡(luò)管理員很喜歡的網(wǎng)絡(luò)實用工具之一。但在 Windows 2022中 Tel在守護其進程時，在已經(jīng)被初始化的會話還未復(fù)位的情況下，很容易受到一種普通的拒絕服務(wù)攻擊。2022年 2月，該攻擊出現(xiàn)在多個大型網(wǎng)站上。 103 ? Tel連接后，在初始化的對話還沒復(fù)位時，在一定的時間間隔后，如果連接用戶還沒有提供登錄的用戶名和密碼， Tel對話將超時。直到用戶輸入一個字符后連接才被復(fù)位。這樣，如果惡意用戶連接到Windows 2022的 Tel守護進程中，并且對該連接不進行復(fù)位操作，就可以有效地拒絕其他任何用戶連接到該 Tel服務(wù)器。 104 4. 奇怪的系統(tǒng)崩潰漏洞 ? Windows 2022 系統(tǒng)有一個奇怪的特性：用戶可以通過按住右 Ctrl鍵，同時再按兩次 Scroll Lock鍵，就可使整個 Windows 2022系統(tǒng)完全崩潰。但同時又在 C:\WinNT\目錄下刪除完整的當(dāng)前系統(tǒng)內(nèi)存記錄，內(nèi)存記錄文件名為 。該奇怪特性在默認(rèn)狀態(tài)下是關(guān)閉的，但可通過修改注冊表的方法將其激活。 105 5. IIS服務(wù)泄漏文件內(nèi)容 ? Windows 的 IIS是在大多數(shù) Windows NT/ Windows 2022服務(wù)器上使用的服務(wù)器軟件。安裝了 IIS后，就自動安裝了多個ISAPI(Inter服務(wù)的應(yīng)用編程接口 )，允許開發(fā)人員使用 DLL擴展 IIS服務(wù)器的性能。 ? IIS服務(wù)泄漏文件內(nèi)容漏洞：當(dāng) Windows IIS (遠(yuǎn)東地區(qū)版 )在處理包含有不完整的雙字節(jié)編碼字符的 HTTP命令請求時，將導(dǎo)致WEB目錄下的文件內(nèi)容泄漏給遠(yuǎn)程攻擊者。 106 ? Windows IIS的遠(yuǎn)東地區(qū)版本包括中文、韓文和日文版，這些都是使用雙字節(jié)編碼的格式。攻擊者通過提交一個特殊的 URL，可使 IIS使用某個 ISAPI動態(tài)鏈接庫打開某種所不能解釋的類型文件，并獲得該文件的內(nèi)容。依靠系統(tǒng)安裝的 ISAPI應(yīng)用程序的類型，攻擊者可以獲得 Web根目錄或虛擬目錄下的文件內(nèi)容，這些文件可以是普通的文本文件，也可以是二進制文件。 107 ? 黑客們可使用 Unicode(采用雙字節(jié)對字符進行編碼的統(tǒng)一的字符編碼標(biāo)準(zhǔn) )方法對這個漏洞進行攻擊 . ? 由于某些雙字節(jié)的原因， Windows 2022在處理某些特殊字符時，與英文版本不同。利用這種漏洞，攻擊者就可以通過這些特殊字符繞過 IIS的目錄審計，遠(yuǎn)程執(zhí)行任意命令。 108 6. ICMP漏洞 ? ICMP的主要作用是當(dāng)系統(tǒng)出錯時向源主機傳輸錯誤報告控制信息，以便源主機重發(fā)失敗的數(shù)據(jù)報。 ICMP的一個特點是無連接。只要發(fā)送端完成 ICMP報文的封裝，并將其傳輸給路由器，該報文就會自己去尋找目的地址。該特點使得ICMP協(xié)議非常靈活方便，但這同時也帶來了致命的缺陷，信息包很容易被偽造。 109 ? 任何人都可以偽造一個 ICMP報文并發(fā)送出去。偽造者可以利用 SOCK_RAW編程直接改寫報文的 ICMP首部和 IP首部，這樣的報文攜帶的源地址是偽造的，目的端根本無法追查。根據(jù)這個原理，出現(xiàn)了不少基于 ICMP的攻擊軟件。 110 Windows 2022的安全性措施和技術(shù) 1. 安全性措施 ? 由于 Windows 2022操作系統(tǒng)有良好的網(wǎng)絡(luò)功能，在 Inter中有部分網(wǎng)站服務(wù)器使用Windows 2022作為主操作系統(tǒng)，因此它也往往會被攻擊者選為攻擊對象。作為 Windows 2022的用戶，可以采取以下措施來提高