【文章內(nèi)容簡介】 下輸入： del c：＼ winnt\system32\mstask． exe 們想要?jiǎng)h除的服務(wù)，對(duì)于一些不是必要的服務(wù)一定要把它們卸載，才能最大限度地保障我們系統(tǒng)的安全有一些服務(wù)即使不完全刪除也不會(huì)對(duì) Windows Server 系統(tǒng)的安全產(chǎn)生什么威脅；但是禁止它們自動(dòng)啟動(dòng)還是很有必要的；如 Server 服務(wù)就是一個(gè)典型的例子，此服務(wù)處理對(duì)于 NETBIOS 網(wǎng)絡(luò)請(qǐng)求，當(dāng)使用 Windows Server 系統(tǒng)作為 Inter 或 Intra 服務(wù)器時(shí)，你不需要支持 NETBIOS，所以還是禁止 Server 服務(wù)的運(yùn)行。 實(shí)訓(xùn) 16：使用 Sniffer 捕獲加密包和非 加密包 實(shí)訓(xùn) 目的：充分理解采用加密和不加密和技術(shù)數(shù)據(jù)的傳播狀態(tài) 實(shí)訓(xùn) 步驟： 關(guān)閉 PGP 的 IPSec 功能：打開 PGP 主機(jī)配置客戶，斷開所有用戶；單擊 Hosts頁，單擊 Disconnect 按鈕；在斷開所有主機(jī)時(shí)，應(yīng)該選擇 Off 選項(xiàng) 單擊開始 程序 SnifferSniffer Pro 在 Settings 對(duì)話框中，選擇自己主機(jī)的 NIC，然后單擊 OK 打開 Capture 菜單，選擇 Define Filter，然后選擇 Address 頁 單擊 Profiles… 按鈕，創(chuàng)建新配置文件 在 Capture Profiles 對(duì)話框中，單擊 New 輸入 sx(x 為座位號(hào) )作為新配置文件名，單擊 OK 選擇 sx文件，然后單擊 Done 按鈕 單擊 Stationl 字段，輸入本機(jī)的 IP地址：單擊 Station2 字段，輸入合作伙伴的 IP地址 將 Address Type 字段的值由 Hardware 改為 IP，然后單擊 OK 按鈕返回主屏幕 1單擊 Start 按鈕 (左起第 1 個(gè) )，開始捕捉數(shù)據(jù) 包 1合作伙伴之間互相建立 FTP 連接 1捕獲到數(shù)據(jù)包后，單擊工具欄上的 end and view 按鈕 (左起第 4 個(gè) ) 1仔細(xì)查看捕獲的數(shù)據(jù)包，應(yīng)該可以看到用戶名與密碼 1激活 PGP，重復(fù)以上各步 1仔細(xì)查看捕獲的數(shù)據(jù)包，由于數(shù)據(jù)包被加密，所以應(yīng)該看不到用戶名與密碼 1卸載 PGP，為后續(xù) 實(shí)訓(xùn) 做準(zhǔn)備 。 實(shí)訓(xùn) 17：使用 Tracert 命令檢測(cè)路由和拓?fù)浣Y(jié)構(gòu)信息 實(shí)訓(xùn) 目的：通過使用 Tracert 命令獲得網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)信息 實(shí)訓(xùn) 步驟： 打開開始 運(yùn)行，輸 入 crud，打開命令行窗口 輸入以下命令，觀察結(jié)果： tracert l92． 168． 1． x(x 為合作伙伴的座位號(hào) ) 輸入 tracert sohu． ，回車確認(rèn)，觀察結(jié)果 上圖反映了從本機(jī)到 sohu 站點(diǎn)所經(jīng)過的路由信息，客觀的顯示出了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，黑客可以通過這一命令對(duì)被攻市方的網(wǎng)絡(luò)狀況有一個(gè)初步的了解，為他實(shí)施下一步攻擊奠定基礎(chǔ)，同時(shí)，安全管理人員也可以借助于這一工具探查、分析網(wǎng)絡(luò)中的重要路由節(jié)點(diǎn) 輸入 tracert yahoo． ，回車確認(rèn)，觀察結(jié)果 登錄到 linux 系統(tǒng)中，運(yùn)行 tracertroute 命令，可以看出同樣返回了路由信息通過使用 Tracet 命令可以檢測(cè)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)，這樣就可以在黑客攻擊之前有針對(duì)性地制定安全策略、實(shí)施防火墻架構(gòu)，同時(shí)也為偵查網(wǎng)絡(luò)故障提供路由級(jí)報(bào)告 。 實(shí)訓(xùn) 18：使用 Ws_PingPrOpack 進(jìn)行網(wǎng)絡(luò)檢測(cè)和掃描 實(shí)訓(xùn) 目的：掌握 PingPro 檢測(cè)掃描的基本方法 實(shí)訓(xùn) 步驟： 從 UNC路徑＼＼ teacher\share 獲得 PingPro 安裝包文件，然后進(jìn)行本地安裝 單擊開始 程序 WS_pingProPack，打開 PingPro 選取 Ping標(biāo)簽，并在 Host Name or IP 出輸入 192． 168． 1． x(x 為任意座位號(hào) ) 選取 Scan 標(biāo)簽，選中 ScanPorts 選項(xiàng)，檢測(cè)熟知的端口號(hào) 選取 Wi 標(biāo)簽，在 Network Items 列表框中選取 domains，然后單擊開始按鈕，結(jié)束以后文本框中將列出同一網(wǎng)絡(luò)中的域／工作組信息 在 Networkltems 列表框中選取 shares，可以掃描到共享信息 PingPro 作為攻擊者常用的掃描工具， 提供了常用的網(wǎng)絡(luò)掃描功能。對(duì)于網(wǎng)絡(luò)安全審計(jì)人員來說，它可以在圖形方式下實(shí)現(xiàn)大多數(shù) 命令行程序功能，為網(wǎng)絡(luò)的管理提供了一定的方便；對(duì)網(wǎng)絡(luò)中的用戶共享進(jìn)行檢測(cè)，從而及時(shí)發(fā)現(xiàn)問題并加以防范 。 實(shí)訓(xùn) 19：審計(jì) Windows Server 引導(dǎo)與登錄 實(shí)訓(xùn) 目的：對(duì) NT的引導(dǎo)與登錄進(jìn)行審計(jì)，防范未授權(quán)的登錄企圖 實(shí)訓(xùn) 步驟： 以管理員身份登錄 Windows Server 打開 UserManager 打開 Policies 菜單，選擇 Audit，然后選擇 AuditTheseEvents 按鈕 選中 Failure復(fù)選框 單擊 OK關(guān)閉對(duì)話框后注銷 幾次人為地登錄失敗后再以管理員身份成功登錄 打開 EventViewer，選取 LogSecurity，查閱安全日志并找到關(guān)于登錄失敗的記錄 在 UserManager 中，激活登錄成功日志 注銷后再次登錄，打開 EventViewer 清除系統(tǒng)日志，不保存日志到文件： 1l、清除安全日志，然后重新啟動(dòng)并以管理員身份登錄 1打開 EventViewer 顯示系統(tǒng)日志 應(yīng)該注意到 Windows Server 默認(rèn)情況下對(duì)登錄、對(duì)象訪問與更改、帳戶管理 等事件是不進(jìn)行審計(jì)的，這顯然是非常危險(xiǎn)的，因此，安全審計(jì)人員應(yīng)該在第一時(shí)間改變系統(tǒng)默認(rèn)值 。 實(shí)訓(xùn) 20：更改 Windows Server 注冊(cè)表 增強(qiáng)系統(tǒng)安全性 實(shí)訓(xùn) 目的：更改注冊(cè)表能夠有效地防止多數(shù)潛在威脅 實(shí)訓(xùn) 步驟： 1．對(duì)于 NT 來說，經(jīng)常 139 端口是開放的，遠(yuǎn)程用戶可以利用 NETBIOS 的漏洞來利 NT 系統(tǒng)時(shí)行匿名連接，如使用下列命令 use＼＼ 192． 168． 0． 1＼ ipc$”” ／ user： ”” 即可與 IP 地址為 192． 168． 0． 1 的主機(jī)建立了匿名連接，并且 具有 everyone 組成員的權(quán)限，而對(duì)于 Windows Server 來說，新建文件和目錄的默認(rèn)權(quán)限即是 everyone 完全控制，所以這種匿名連接是非常危險(xiǎn)的，我們需要禁止這種連接。 2．點(diǎn)擊開始菜單 運(yùn)行，輸入 regedt32來打開注冊(cè)表，選中 HKEY— LOCAL— MACHINE 項(xiàng)，找開 HKLMXSystem＼ CurrentControlSet＼ Control\LSA 鍵，如下圖所示 3．在 LSA的右欄中，添加一個(gè)名為 restrictanonymous、類型為 REG— DWORD的鍵值，并且將其值賦為 1，如下圖 4．保存并退出，重新啟動(dòng)后當(dāng)再次進(jìn)行第一步那樣的匿名連接就不生效了 5．我們知道 NT 使用 SMB 協(xié)議來進(jìn)行資源訪問，并且在進(jìn)行連接的時(shí)候服務(wù)器端和客戶端 協(xié)商使用何種認(rèn)證方式，默認(rèn)情況下是由客戶端決定使用什么版本的 SMB，這樣是不安全的，所以我們要改變這種情況 6．同樣在 LSA 右欄中，新建一個(gè)名為 lmpatibili 鑼 level、類型為 REG_DWORD的鍵值，并將其值賦為 1，將些值設(shè)為 1 的目的是讓服務(wù)器端來控制建立連接時(shí)認(rèn)證方式 7．除此之外，我們還要設(shè)置 SMB數(shù)據(jù)包的簽名以防止一些偽造的數(shù)據(jù)包在網(wǎng)絡(luò)中流動(dòng) 8 ． 打 開 注 冊(cè) 表 ， 找 到 HKLMSystem ＼ CurrentCOntrolSet\services ＼LanManServer\parameters 項(xiàng)，在右欄中添加一名為 requiresecuritysignature、類型為 REG_DWORD 的鍵值，并將其值賦為 1，單擊 OK，保存退出 9．重新啟動(dòng)計(jì)算機(jī)，所有設(shè)置生效。 10．一些高明的 黑客可以自己編制一個(gè)打印機(jī)的驅(qū)動(dòng)程序木馬，雖然這需要有很高的技術(shù)并難于實(shí)施，但從安全的角度考慮，我們還是有必要防范的 11 ． 利 用 regedt32 打 開 注 冊(cè) 表 ， 選 中 HKLM＼ System ＼ CurrentControlSet ＼Control\Print\Providers＼ LanMan Print Services＼ Servers 項(xiàng)，并在右欄中添加一名為 addprintdrivers、類型為 REG— DWORD 的鍵值，并將其值賦為 1，單擊 OK，保存退出 12．大家對(duì)頁面交換文件應(yīng)該不會(huì)太陌生，我們下 面要做的就是當(dāng)系統(tǒng)關(guān)機(jī)時(shí)自動(dòng)清除頁面文件的內(nèi)容以增加安全性 13 打 開 注 冊(cè) 表 ， 找 到 HKLM\System ＼ CurrentControlSet ＼ Control ＼SessionManager\Memory Management項(xiàng)，雙擊右欄中名為 clearpagefileatshutdown 鍵值，將其值賦為 1，單擊 OK，保存退出 以上僅僅是我們對(duì) Windows Server 中部分重要的設(shè)置做了一些改動(dòng)，對(duì)于 NT 操作系統(tǒng)來說可以通過更改注冊(cè)表避免很多潛在的風(fēng)險(xiǎn)因素 。 實(shí) 訓(xùn) 21：帳號(hào)鎖定策略與暴力攻擊 實(shí)訓(xùn) 目的：理解合理定制帳號(hào)策略的重要性、強(qiáng)制使用強(qiáng)壯密碼 實(shí)訓(xùn) 步驟： 1．打開域用戶管理器，從規(guī)則菜單中選擇帳號(hào)，會(huì)出現(xiàn)如下所示的對(duì)話框，我們可以選中帳號(hào)鎖定，并可以在下面設(shè)置登錄失敗幾次后帳號(hào)鎖定，以及鎖定時(shí)間，或者是永久鎖定 (除非管理員手動(dòng)解鎖 )。 2．利用我們前面所學(xué)過的 NAT 之類的攻擊方式進(jìn)行遠(yuǎn)程破解 NT 的用戶名和密碼： nato out． Txt – u user． Txt – p passwd． Txt l92． 168． 1． X(192． 168． 1． X 為遠(yuǎn)程主機(jī)的 1P 地址 )這里我們假設(shè)在 user． txt 里存在一個(gè)遠(yuǎn)程主機(jī)中存在的用戶名 Henry，并且 passwd． txt 文件中超過 5 個(gè)密碼以上； 3．再次打開域用戶管理器時(shí)，雙擊 Henry 這個(gè)帳號(hào)，我們會(huì)發(fā)現(xiàn) Henry 這個(gè)帳號(hào)已經(jīng)被鎖定了。當(dāng)帳號(hào)被鎖定時(shí)，黑客再采用 NAT 這類工具進(jìn)行字典攻擊或暴力攻擊時(shí)就不再起作用了，因?yàn)槌绦驘o法與主機(jī)連接并驗(yàn)證身份，即使使用了正確的用戶帳號(hào)名和密碼，這樣黑客工具就判斷不出是否已猜測(cè)出相應(yīng)的密碼。不過在使用帳號(hào)鎖定策略鎖定的時(shí)候要仔細(xì)考慮，因?yàn)樵囅?如果一臺(tái)作為 MAIL 的服務(wù)器采用了帳號(hào)鎖定策略的話，黑客可以利用字典攻擊的方法導(dǎo)致服務(wù)器上所有的 Mail帳號(hào)鎖定，而不能正常的收取信件。 4．同樣，在域用戶管理器中我們可以在規(guī)則菜單中選擇帳號(hào)，并設(shè)置密碼的時(shí)效以及最短長度的要求和強(qiáng)制終端用戶使用符合一定長度的密碼；根據(jù) NT 對(duì)密碼加密的算法，建議使用 7 位或 14 位的密碼；僅僅密碼達(dá)到一定的長度是不夠的，如 123456 abcdl234 這種密碼看上去長度滿足要求，但是很簡單的字典攻擊就能破解，所以在下面的 實(shí)訓(xùn) 中，我們將學(xué)會(huì)如何強(qiáng)制使用復(fù)雜的 密碼。 實(shí)訓(xùn) 22：強(qiáng)制使用強(qiáng)壯的密碼 實(shí)訓(xùn) 目的：增強(qiáng)密碼的強(qiáng)度以防止字典攻擊或暴力攻擊 實(shí)訓(xùn) 步驟： 打開 Windows Server 資源管理器，查找 C：＼ winnt＼ system32 下是否有 passfilt． dll 文件，如沒有，可以從教師機(jī)中獲得，并拷貝到此目錄下。 單擊開始菜單，選擇運(yùn)行，輸入 regedt32，調(diào)出注冊(cè)表程序 找 到 注 冊(cè) 表 項(xiàng) ~XIKEY LOCAL MACHINE ＼ SYSTEM ＼ CurrentControlSet ＼Control\LSA 在右邊的數(shù)據(jù)欄中，雙擊 NotificationPackages 打開此鍵值，并增加 PASSFILT值，如下圖所示： 從教師機(jī)或 NT 的 RecoursesKit 盤中得到 passprop． exe 文件，在命令行模式下輸入 passprop ／ plex 我們可以簡單的把 passfilt． dll 文件看作是一個(gè)簡單密碼的數(shù)據(jù)庫，一旦發(fā)現(xiàn)用戶設(shè)置較簡單的密碼與這個(gè)數(shù)據(jù)庫中的密碼吻合就禁止，這樣再結(jié)合 NT 帳號(hào)規(guī)則的密碼長度策略就可以使用更強(qiáng)壯的密碼來抵制字典攻擊。 重新啟動(dòng)后，我們建立 一個(gè)新的帳號(hào)，并設(shè)置一些簡單的密碼，看看是什么效果。 實(shí)訓(xùn) 23：鍵盤記錄程序的潛在危險(xiǎn) 實(shí)訓(xùn) 目的：了解鍵盤記錄程序的工作原理及潛在的威脅 實(shí)訓(xùn) 步驟： 1．從教師機(jī) (或 ：／／ ssl． prosofitraining． ／ security)得到 Invisible Key LoggerStealth(IKS)程序，文件為