【導讀】黑客——一個讓人感到神秘而又可怕的名詞！黑客這個名詞是由英文“hacker”音。而“hacker”又是源于英文動詞“hack”。他們喜歡追求新的技術(shù)、新的思維，來解決現(xiàn)實中。但到了90年代，黑客漸漸變成“入侵者”。因為，人們的心態(tài)一直在變，而黑客。許多所謂的黑客，學會技術(shù)后，干起犯法的事情。就因為一件件可恥的事情暴光后，傳媒把“黑客”這個名詞。強加在“入侵者”身上。真正的黑客能夠真正了解系統(tǒng)，對電。腦有創(chuàng)造有貢獻的人們。而不是以破壞為目的的入侵者。能否成功當一名黑客，最重要的是。黑客，是從一步一步走過來的。使用各種黑客程序，利用漏洞入侵服務。進入主機后，更改，刪除和破壞主機的資料。黑客技術(shù)給大家?guī)砀嗍切碌陌l(fā)現(xiàn)，新的技術(shù)。的原因主要是沒有制定完善的機房管理制度。務器操作系統(tǒng)軟件的Bug，給了黑客有利可乘的機會。序崩潰了，就會存在讓黑客認真構(gòu)造輸入并且允許進入的機會。符合規(guī)格的后果。

　　

【正文】 (1)數(shù)據(jù)傳輸加密技術(shù)。 目的是對傳輸中的數(shù)據(jù)流加密 , 常用的方針有線路加密和端 —— 端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿 , 是對保密信息通過各線路采用不同的加密密鑰提供安全保護。后者則指信息由發(fā)送者端自動加 密 , 并進入 TCP/IP數(shù)據(jù)包回封 , 然后作為不可閱讀和不可識別的數(shù)據(jù)穿過互聯(lián)網(wǎng) , 當這些信息一旦到達目的地 , 被將自動重組、解密 , 成為可讀數(shù)據(jù)。 (2)數(shù)據(jù)存儲加密技術(shù)。 目是防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密 , 可分為密文存儲和存取控制兩種。前者一般是通過加密算法轉(zhuǎn)換、附加密碼、加密模塊等方法實現(xiàn) 。 后者則是對用戶資格、格限加以審查和限制 , 防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)。 (3)數(shù)據(jù)完整性鑒別技術(shù)。 目的是對介入信息的傳送、存取、處理的人的身份和相關(guān)數(shù)據(jù)內(nèi)容進行驗 證 , 達到保密的要求 , 一般包括口令、密鑰、身份、數(shù)據(jù)等項的鑒別 , 系統(tǒng)通過對比驗證對象輸入的特征值是否符合預先設(shè)定的參數(shù) , 實現(xiàn)對數(shù)據(jù)的安全保護。 (4) 密鑰管理技術(shù)。為了數(shù)據(jù)使用的方便 , 數(shù)據(jù)加密在許多場合集中表現(xiàn)為密鑰的應用 , 因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有 : 磁卡、磁帶、磁盤、半導體存儲器等。密鑰的管理技術(shù)包括密鑰的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。 智能卡技術(shù) ：智能卡就是密鑰的一種媒體，一般就像信用卡一樣，由授權(quán)用戶所持有并由該用戶賦與它一個口令或密碼字 。該密碼與內(nèi)部網(wǎng)絡(luò)服務器上注冊的密碼一致。當口令與身份特征共同使用時，智能卡的保密性能還是相當有效的。 第四節(jié) 入侵的預防 因為我校采用的大部分是 Windows 2021 ，我們便以 2021為基礎(chǔ)，簡單的介紹一下入侵的預防工作。 1 準備工作 確定服務器的功能 ： 我校主要是提供網(wǎng)頁瀏覽服務（ Web），郵件服務（ Mail）、域名解析服務（ DNS）、文件傳輸服務（ FTP）、小型數(shù)據(jù)庫服務（ SQL）和簡單視頻點播服務（ VOD）。 選擇操作系統(tǒng) ：現(xiàn)在最為流行的 3 種服務器操作系統(tǒng)為 Unix、 Linux 和 Windows NT系列，因為我校只是提供簡單的服務功能，對服務器操作系統(tǒng)的要求不算太高，外加從經(jīng)濟上考慮，我們選擇了 Windows 2021 系列。 WIN2021有各種語言的版本，對于我們來說，可以選擇英文版或簡體中文版，在語言不成為障礙的情況下，請一定使用英文版。要知道，微軟的產(chǎn)品是以 Bug amp。 Patch而著稱的，中文版的 Bug遠遠多于英文版，而補丁一般還會遲，至少半個月。我校恰恰是因為語言問題，所以只好選擇了中文 Windows 2021 Server 做為服務器的操作系統(tǒng)。 2 安裝服務器操作系 統(tǒng) 服務器操作系統(tǒng)已經(jīng)選好了，服務器也確定下來了，可能有人會說，這樣一來不就簡單了，直到光盤放入光驅(qū)，重啟、分區(qū)、格式化、安裝不就得了，在安裝過程中選擇“下一步”很快就完成了。如果你真的是這么想的話，那就大錯特錯了， Windows 2021 在默認情況下會安裝一些常用的組件，但是正是這個默認安裝是極度危險的，米特尼科（一個著名的黑客）說過，他可以進入任何一臺默認安裝的服務器，你應該確切的知道你需要哪些服務，而且僅僅安裝你確實需要的服務，根據(jù)安全原則，最少的服務 +最小的權(quán)限 =最大的安全。安裝過程中，不選擇安裝任 何組件，下面詳細介紹一下安裝的具體步驟： 分區(qū)和邏輯盤的分配 ：有一些朋友為了省事，將硬盤僅僅分為一個邏輯盤，所有的軟件都裝在 C驅(qū)上，這是很不好的，建議最少建立兩個分區(qū)，一個系統(tǒng)分區(qū)，一個應用程序分區(qū)。這是因為，微軟的 IIS 經(jīng)常會有泄漏源碼 /溢出的漏洞，如果把系統(tǒng)和 IIS 放在同一個驅(qū)動器會導致系統(tǒng)文件的泄漏甚至入侵者遠程獲取 ADMIN。推薦的安全配置是建立三個邏輯驅(qū)動器，第一個大于 2G，用來裝系統(tǒng)和重要的日志文件，第二個放 IIS，第三個放 FTP，這樣無論 IIS或 FTP出了安全漏洞都不會直接影響到系統(tǒng)目錄和系統(tǒng) 文件。要知道， IIS和 FTP是對外服務的，比較容易出問題。而把 IIS和 FTP分開主要是為了防止入侵者上傳程序并從IIS中運行。這個可能會導致程序開發(fā)人員和編輯的苦惱，管他呢，反正你是管理員。 安裝順序的選擇 ：不要覺得順序有什么重要？只要安裝好了，怎么裝都可以的。錯！Windows 2021在安裝中有幾個順序是一定要注意的： 首先，何時接入網(wǎng)絡(luò)： Windows 2021 在安裝時有一個漏洞，在你輸入 Administrator密碼后，系統(tǒng)就建立了 ADMIN$ 的共享，但是并沒有用你剛剛輸入的密碼來保護它，這種 情況一直持續(xù)到你再次啟動后，在此期間，任何人都可以通過 ADMIN$ 進入你的機器；同時，只要安裝一完成，各種服務就會自動運行，而這時的服務器是滿身漏洞，非常容易進入的，因此，在完全安裝并配置好 Windows 2021 Server 之前，一定不要把主機接入網(wǎng)絡(luò)。 其次，補丁的安裝：補丁的安裝應該在所有應用程序安裝完之后，因為補丁程序往往要替換 /修改某些系統(tǒng)文件，如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果，例如： IIS的 HotFix就要求每次更改 IIS的配置都需要安裝。 3 安全配置 Windows 2021 Server 即使正確的安裝了 Windows 2021 Server，系統(tǒng)還是有很多的漏洞，還需要進一步進行細致地配置。 IIS的配置 ： IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的 IIS默認安裝恰恰是一個補丁鋪子，所以 IIS的配置是我們的重點： 首先，把 C盤 Ipub目錄徹底刪除掉，在 D盤建一個 Ipub 或者隨便起個什么名字，但是自己要記得。在 IIS管理器中將主目錄指向 D:\Ipub 或者你指定的目錄； 其次，那個 IIS 安裝時默認 scripts 等虛擬目錄一概刪除，這些可是罪惡之源 了。如果你需要什么權(quán)限的目錄可以自己慢慢建，需要什么權(quán)限開什么，特別注意寫權(quán)限和執(zhí)行程序的權(quán)限，沒有絕對的必要千萬不要給。 第三，應用程序配置：在 IIS管理器中刪除必須之外的任何無用映射，必須指的是 ASP, ASP和其他你確實需要用到的文件類型，例如用到 stml等（使用 server side include），實際上 90%的主機有了 上面兩個映射就夠了，其余的映射幾乎每個都有一個凄慘的故事：htw、 htr、 idq、 ida?? 別的不說 ,紅色代碼（ RedCode）、概念（ Nimda）給我們的教訓還少么。在 IIS管理器中右擊主機 屬性 WWW服務 編輯 主目錄 配置 應用程序映射，然后就開始一個個刪除吧。接著在剛剛那個窗口的應用程序調(diào)試書簽內(nèi)將腳本錯誤消息改為發(fā)送文本，除非你想 ASP出錯的時候用戶知道你的程序 /網(wǎng)絡(luò) /數(shù)據(jù)庫結(jié)構(gòu)。錯誤文本可隨便寫些你想提供給客戶端提示的信息 .確定退出時別忘了讓虛擬站點繼承設(shè)定的屬性。 為了對付日益增多 的 CGI 漏洞掃描器，在 IIS 中將 HTTP404 Object Not Found 出錯頁面通過 URL重定向到一個定制 HTM文件，可以讓目前絕大多數(shù) CGI漏洞掃描器失靈。其實原因很簡單，大多數(shù) CGI掃描器在編寫時為了方便，都是通過查看返回頁面的 HTTP 代碼來判斷漏洞是否存在的，例如，著名的 IDQ 漏洞一般都是通過取 來檢驗，如果返回HTTP200，就認為是有這個漏洞，反之如果返回 HTTP404 就認為沒有，如果你通過 URL 將HTTP404出錯信息重定向到 ，那么所有的掃描無論存不 存在漏洞都會返回HTTP200， 90%的 CGI掃描器會認為你什么漏洞都有，結(jié)果反而掩蓋了你真正的漏洞，讓入侵者茫然無處下手。不過從個人角度來說，扎實實做好安全設(shè)置比這樣的小技巧重要的多。 最后，為了保險起見，你可以使用 IIS 的備份功能，將剛剛的設(shè)定全部備份下來，這樣就可以隨時恢復 IIS的安全配置。還有，如果你怕 IIS負荷過高導致服務器滿負荷死機，也可以在性能中打開 CPU限制，例如將 IIS的最大 CPU使用率限制在 70%，同時你可以限制一下帶寬。 賬號安全 ： Windows 2021的賬號安全是另一個重點。首 先， Windows 2021 的默認安裝允許任何用戶通過空用戶得到系統(tǒng)所有賬號 /共享列表，這個本來是為了方便局域網(wǎng)用戶共享文件的，但是一個遠程用戶也可以得到你的用戶列表并使用暴力法破解用戶密碼。可以通過更改注冊表 Local_Machine\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 1 來禁止 139 空連接，實際上 Windows 2021 的本地安全策略（如果是域服務器就是在域服務器安全和域安全策略中）就有這樣的選項 RestrictAnonymous（匿名連接的額外限制），這個選項有三個值： 0： None. Rely on default permissions（無，取決于默認的權(quán)限） 1： Do not allow enumeration of SAM accounts and shares（不允許枚舉 SAM 賬號和共享） 2： No access without explicit anonymous permissions（沒有顯式匿名權(quán)限就不允許訪問） 0這個值是系統(tǒng)默認的，什么限制都沒有，遠程用戶可以知道機器上所有的賬號、組信息、共享目 錄、網(wǎng)絡(luò)傳輸列表（ NetServerTransportEnum）等等，對服務器來說這樣的設(shè)置非常危險。 1這個值是只允許非 NULL用戶存取 SAM賬號信息和共享信息。 2這個值是在 win2021中才支持的，需要注意的是，如果一旦使用了這個值，共享估計就全部出問題，所以推薦還是設(shè)為 1比較好。 入侵者現(xiàn)在沒有辦法拿到我們的用戶列表，我們的賬戶安全了，但是仍有一個賬戶是可以跑密碼的，這就是系統(tǒng)內(nèi)建的 Administrator，在計算機管理 用戶賬號中右擊Administrator然后改名，當然你也可以在本地安 全策略中改了它。但是改過以后一定要記住它，否則如果你同時在安全策略中“本地策略 安全選項 登錄屏幕上不要顯示上次登錄的用戶”的話，就會出現(xiàn)問題。 但是即使是這樣，如果是默認安裝的話，只要用 nbtstat – a 你的主機 IP，就能很容易看到的超級管理用戶名。可以通過“本地連接 屬性 Inter 協(xié)議（ TCP/IP） 屬性 高級 WINS禁用 TCP/IP上的 NetBIOS”來禁止它，不過有副作用的。 共享安全 ： 不提倡將服務器的目錄共享給幾個用戶，如果非要這么做的話，可以通過 FTP服務提供同樣的服 務，并且可以用 share 看一下，是不是有 admin$、 c$、 d$等共享，如果對方獲得了管理員的權(quán)限，這樣就相當于將服務器上的所有文件向?qū)Ψ匠ㄩ_了大門。幸好可以通過修改注冊表來去掉它，在 HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\lanmanserver\parameters\ 下 增 加 一 個 數(shù) 值A(chǔ)utoShareServer，類型為 REG_DWORD，值為 0x0 安全日志 ： 相信大家也遇到過這樣的情況，一臺主機被別人入侵了，系統(tǒng)管理員 去追查兇手，登錄進去一看：安全日志是空的，原來是 Windows 2021的默認安裝是不開任何安全審核的，這樣系統(tǒng)管理員只好傻眼了。如果沒有指定安全策略，那么請到本地安全策略 審核策略中打開相應的審核，推薦的審核是： 賬戶管理 成功 失敗 登錄事件 成功 失敗 對象訪問 失敗 策略更改 成功 失敗 特權(quán)使用 失敗 系統(tǒng)事件 成功 失敗 目錄服務訪問 失敗 賬戶登錄事件 成功 失敗 審核項目少的缺點是萬一想看發(fā)現(xiàn)沒有記錄那就一點都沒轍；審核項目太多不僅會占用系統(tǒng)資源而且會導致根本沒空去看，這樣就失去了審核的意 義。 與之相關(guān)的是，在賬戶策略 密碼策略中設(shè)定： 密碼復雜性要求 啟用 密碼長度最小值 6位 強制密碼歷史 5次 最長存留期 30天 在賬戶策略 賬戶鎖定策略中設(shè)定： 賬戶鎖定 3次錯誤登錄 鎖定時間 20分鐘 復位鎖定計數(shù) 20分鐘 同樣， Terminal Service 的安全日志默認也是不開的，可以在 Terminal Service Configration（遠程服務配置） 權(quán)限 高級中配置安全審核，一般來說只要記錄登錄、注銷事件就可以了，前提條件是你安裝了 Terminal Service。 預防 DoS： 在注冊表 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 中更改以下值可以幫助防御一定強度的 DoS攻擊 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAl