【文章內(nèi)容簡介】 下輸入： del c：＼ winnt\system32\mstask． exe 們想要刪除的服務(wù)，對于一些不是必要的服務(wù)一定要把它們卸載，才能最大限度地保障我們系統(tǒng)的安全有一些服務(wù)即使不完全刪除也不會對 Windows Server 系統(tǒng)的安全產(chǎn)生什么威脅；但是禁止它們自動啟動還是很有必要的；如 Server 服務(wù)就是一個典型的例子，此服務(wù)處理對于 NETBIOS 網(wǎng)絡(luò)請求，當(dāng)使用 Windows Server 系統(tǒng)作為 Inter 或 Intra 服務(wù)器時，你不需要支持 NETBIOS，所以還是禁止 Server 服務(wù)的運行。 實訓(xùn) 16：使用 Sniffer 捕獲加密包和非 加密包 實訓(xùn) 目的：充分理解采用加密和不加密和技術(shù)數(shù)據(jù)的傳播狀態(tài) 實訓(xùn) 步驟： 關(guān)閉 PGP 的 IPSec 功能：打開 PGP 主機配置客戶，斷開所有用戶；單擊 Hosts頁，單擊 Disconnect 按鈕；在斷開所有主機時，應(yīng)該選擇 Off 選項 單擊開始 程序 SnifferSniffer Pro 在 Settings 對話框中，選擇自己主機的 NIC，然后單擊 OK 打開 Capture 菜單，選擇 Define Filter，然后選擇 Address 頁 單擊 Profiles… 按鈕，創(chuàng)建新配置文件 在 Capture Profiles 對話框中，單擊 New 輸入 sx(x 為座位號 )作為新配置文件名，單擊 OK 選擇 sx文件，然后單擊 Done 按鈕 單擊 Stationl 字段，輸入本機的 IP地址：單擊 Station2 字段，輸入合作伙伴的 IP地址 將 Address Type 字段的值由 Hardware 改為 IP，然后單擊 OK 按鈕返回主屏幕 1單擊 Start 按鈕 (左起第 1 個 )，開始捕捉數(shù)據(jù) 包 1合作伙伴之間互相建立 FTP 連接 1捕獲到數(shù)據(jù)包后，單擊工具欄上的 end and view 按鈕 (左起第 4 個 ) 1仔細(xì)查看捕獲的數(shù)據(jù)包，應(yīng)該可以看到用戶名與密碼 1激活 PGP，重復(fù)以上各步 1仔細(xì)查看捕獲的數(shù)據(jù)包，由于數(shù)據(jù)包被加密，所以應(yīng)該看不到用戶名與密碼 1卸載 PGP，為后續(xù) 實訓(xùn) 做準(zhǔn)備 。 實訓(xùn) 17：使用 Tracert 命令檢測路由和拓?fù)浣Y(jié)構(gòu)信息 實訓(xùn) 目的：通過使用 Tracert 命令獲得網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)信息 實訓(xùn) 步驟： 打開開始 運行，輸 入 crud，打開命令行窗口 輸入以下命令，觀察結(jié)果： tracert l92． 168． 1． x(x 為合作伙伴的座位號 ) 輸入 tracert sohu． ，回車確認(rèn)，觀察結(jié)果 上圖反映了從本機到 sohu 站點所經(jīng)過的路由信息，客觀的顯示出了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，黑客可以通過這一命令對被攻市方的網(wǎng)絡(luò)狀況有一個初步的了解，為他實施下一步攻擊奠定基礎(chǔ)，同時，安全管理人員也可以借助于這一工具探查、分析網(wǎng)絡(luò)中的重要路由節(jié)點 輸入 tracert yahoo． ，回車確認(rèn)，觀察結(jié)果 登錄到 linux 系統(tǒng)中，運行 tracertroute 命令，可以看出同樣返回了路由信息通過使用 Tracet 命令可以檢測系統(tǒng)的拓?fù)浣Y(jié)構(gòu)，這樣就可以在黑客攻擊之前有針對性地制定安全策略、實施防火墻架構(gòu)，同時也為偵查網(wǎng)絡(luò)故障提供路由級報告 。 實訓(xùn) 18：使用 Ws_PingPrOpack 進行網(wǎng)絡(luò)檢測和掃描 實訓(xùn) 目的：掌握 PingPro 檢測掃描的基本方法 實訓(xùn) 步驟： 從 UNC路徑＼＼ teacher\share 獲得 PingPro 安裝包文件，然后進行本地安裝 單擊開始 程序 WS_pingProPack，打開 PingPro 選取 Ping標(biāo)簽，并在 Host Name or IP 出輸入 192． 168． 1． x(x 為任意座位號 ) 選取 Scan 標(biāo)簽，選中 ScanPorts 選項，檢測熟知的端口號 選取 Wi 標(biāo)簽，在 Network Items 列表框中選取 domains，然后單擊開始按鈕，結(jié)束以后文本框中將列出同一網(wǎng)絡(luò)中的域／工作組信息 在 Networkltems 列表框中選取 shares，可以掃描到共享信息 PingPro 作為攻擊者常用的掃描工具， 提供了常用的網(wǎng)絡(luò)掃描功能。對于網(wǎng)絡(luò)安全審計人員來說，它可以在圖形方式下實現(xiàn)大多數(shù) 命令行程序功能，為網(wǎng)絡(luò)的管理提供了一定的方便；對網(wǎng)絡(luò)中的用戶共享進行檢測，從而及時發(fā)現(xiàn)問題并加以防范 。 實訓(xùn) 19：審計 Windows Server 引導(dǎo)與登錄 實訓(xùn) 目的：對 NT的引導(dǎo)與登錄進行審計，防范未授權(quán)的登錄企圖 實訓(xùn) 步驟： 以管理員身份登錄 Windows Server 打開 UserManager 打開 Policies 菜單，選擇 Audit，然后選擇 AuditTheseEvents 按鈕 選中 Failure復(fù)選框 單擊 OK關(guān)閉對話框后注銷 幾次人為地登錄失敗后再以管理員身份成功登錄 打開 EventViewer，選取 LogSecurity，查閱安全日志并找到關(guān)于登錄失敗的記錄 在 UserManager 中，激活登錄成功日志 注銷后再次登錄，打開 EventViewer 清除系統(tǒng)日志，不保存日志到文件： 1l、清除安全日志，然后重新啟動并以管理員身份登錄 1打開 EventViewer 顯示系統(tǒng)日志 應(yīng)該注意到 Windows Server 默認(rèn)情況下對登錄、對象訪問與更改、帳戶管理 等事件是不進行審計的，這顯然是非常危險的，因此，安全審計人員應(yīng)該在第一時間改變系統(tǒng)默認(rèn)值 。 實訓(xùn) 20：更改 Windows Server 注冊表 增強系統(tǒng)安全性 實訓(xùn) 目的：更改注冊表能夠有效地防止多數(shù)潛在威脅 實訓(xùn) 步驟： 1．對于 NT 來說，經(jīng)常 139 端口是開放的，遠(yuǎn)程用戶可以利用 NETBIOS 的漏洞來利 NT 系統(tǒng)時行匿名連接，如使用下列命令 use＼＼ 192． 168． 0． 1＼ ipc$”” ／ user： ”” 即可與 IP 地址為 192． 168． 0． 1 的主機建立了匿名連接，并且 具有 everyone 組成員的權(quán)限，而對于 Windows Server 來說，新建文件和目錄的默認(rèn)權(quán)限即是 everyone 完全控制，所以這種匿名連接是非常危險的，我們需要禁止這種連接。 2．點擊開始菜單 運行，輸入 regedt32來打開注冊表，選中 HKEY— LOCAL— MACHINE 項，找開 HKLMXSystem＼ CurrentControlSet＼ Control\LSA 鍵，如下圖所示 3．在 LSA的右欄中，添加一個名為 restrictanonymous、類型為 REG— DWORD的鍵值，并且將其值賦為 1，如下圖 4．保存并退出，重新啟動后當(dāng)再次進行第一步那樣的匿名連接就不生效了 5．我們知道 NT 使用 SMB 協(xié)議來進行資源訪問，并且在進行連接的時候服務(wù)器端和客戶端 協(xié)商使用何種認(rèn)證方式，默認(rèn)情況下是由客戶端決定使用什么版本的 SMB，這樣是不安全的，所以我們要改變這種情況 6．同樣在 LSA 右欄中，新建一個名為 lmpatibili 鑼 level、類型為 REG_DWORD的鍵值，并將其值賦為 1，將些值設(shè)為 1 的目的是讓服務(wù)器端來控制建立連接時認(rèn)證方式 7．除此之外，我們還要設(shè)置 SMB數(shù)據(jù)包的簽名以防止一些偽造的數(shù)據(jù)包在網(wǎng)絡(luò)中流動 8 ． 打 開 注 冊 表 ， 找 到 HKLMSystem ＼ CurrentCOntrolSet\services ＼LanManServer\parameters 項，在右欄中添加一名為 requiresecuritysignature、類型為 REG_DWORD 的鍵值，并將其值賦為 1，單擊 OK，保存退出 9．重新啟動計算機，所有設(shè)置生效。 10．一些高明的 黑客可以自己編制一個打印機的驅(qū)動程序木馬，雖然這需要有很高的技術(shù)并難于實施，但從安全的角度考慮，我們還是有必要防范的 11 ． 利 用 regedt32 打 開 注 冊 表 ， 選 中 HKLM＼ System ＼ CurrentControlSet ＼Control\Print\Providers＼ LanMan Print Services＼ Servers 項，并在右欄中添加一名為 addprintdrivers、類型為 REG— DWORD 的鍵值，并將其值賦為 1，單擊 OK，保存退出 12．大家對頁面交換文件應(yīng)該不會太陌生，我們下 面要做的就是當(dāng)系統(tǒng)關(guān)機時自動清除頁面文件的內(nèi)容以增加安全性 13 打 開 注 冊 表 ， 找 到 HKLM\System ＼ CurrentControlSet ＼ Control ＼SessionManager\Memory Management項，雙擊右欄中名為 clearpagefileatshutdown 鍵值，將其值賦為 1，單擊 OK，保存退出 以上僅僅是我們對 Windows Server 中部分重要的設(shè)置做了一些改動，對于 NT 操作系統(tǒng)來說可以通過更改注冊表避免很多潛在的風(fēng)險因素 。 實 訓(xùn) 21：帳號鎖定策略與暴力攻擊 實訓(xùn) 目的：理解合理定制帳號策略的重要性、強制使用強壯密碼 實訓(xùn) 步驟： 1．打開域用戶管理器，從規(guī)則菜單中選擇帳號，會出現(xiàn)如下所示的對話框，我們可以選中帳號鎖定，并可以在下面設(shè)置登錄失敗幾次后帳號鎖定，以及鎖定時間，或者是永久鎖定 (除非管理員手動解鎖 )。 2．利用我們前面所學(xué)過的 NAT 之類的攻擊方式進行遠(yuǎn)程破解 NT 的用戶名和密碼： nato out． Txt – u user． Txt – p passwd． Txt l92． 168． 1． X(192． 168． 1． X 為遠(yuǎn)程主機的 1P 地址 )這里我們假設(shè)在 user． txt 里存在一個遠(yuǎn)程主機中存在的用戶名 Henry，并且 passwd． txt 文件中超過 5 個密碼以上； 3．再次打開域用戶管理器時，雙擊 Henry 這個帳號，我們會發(fā)現(xiàn) Henry 這個帳號已經(jīng)被鎖定了。當(dāng)帳號被鎖定時，黑客再采用 NAT 這類工具進行字典攻擊或暴力攻擊時就不再起作用了，因為程序無法與主機連接并驗證身份，即使使用了正確的用戶帳號名和密碼，這樣黑客工具就判斷不出是否已猜測出相應(yīng)的密碼。不過在使用帳號鎖定策略鎖定的時候要仔細(xì)考慮，因為試想 如果一臺作為 MAIL 的服務(wù)器采用了帳號鎖定策略的話，黑客可以利用字典攻擊的方法導(dǎo)致服務(wù)器上所有的 Mail帳號鎖定，而不能正常的收取信件。 4．同樣，在域用戶管理器中我們可以在規(guī)則菜單中選擇帳號，并設(shè)置密碼的時效以及最短長度的要求和強制終端用戶使用符合一定長度的密碼；根據(jù) NT 對密碼加密的算法，建議使用 7 位或 14 位的密碼；僅僅密碼達到一定的長度是不夠的，如 123456 abcdl234 這種密碼看上去長度滿足要求，但是很簡單的字典攻擊就能破解，所以在下面的 實訓(xùn) 中，我們將學(xué)會如何強制使用復(fù)雜的 密碼。 實訓(xùn) 22：強制使用強壯的密碼 實訓(xùn) 目的：增強密碼的強度以防止字典攻擊或暴力攻擊 實訓(xùn) 步驟： 打開 Windows Server 資源管理器，查找 C：＼ winnt＼ system32 下是否有 passfilt． dll 文件，如沒有，可以從教師機中獲得，并拷貝到此目錄下。 單擊開始菜單，選擇運行，輸入 regedt32，調(diào)出注冊表程序 找 到 注 冊 表 項 ~XIKEY LOCAL MACHINE ＼ SYSTEM ＼ CurrentControlSet ＼Control\LSA 在右邊的數(shù)據(jù)欄中，雙擊 NotificationPackages 打開此鍵值，并增加 PASSFILT值，如下圖所示： 從教師機或 NT 的 RecoursesKit 盤中得到 passprop． exe 文件，在命令行模式下輸入 passprop ／ plex 我們可以簡單的把 passfilt． dll 文件看作是一個簡單密碼的數(shù)據(jù)庫，一旦發(fā)現(xiàn)用戶設(shè)置較簡單的密碼與這個數(shù)據(jù)庫中的密碼吻合就禁止，這樣再結(jié)合 NT 帳號規(guī)則的密碼長度策略就可以使用更強壯的密碼來抵制字典攻擊。 重新啟動后，我們建立 一個新的帳號，并設(shè)置一些簡單的密碼，看看是什么效果。 實訓(xùn) 23：鍵盤記錄程序的潛在危險 實訓(xùn) 目的：了解鍵盤記錄程序的工作原理及潛在的威脅 實訓(xùn) 步驟： 1．從教師機 (或 ：／／ ssl． prosofitraining． ／ security)得到 Invisible Key LoggerStealth(IKS)程序，文件為