【正文】 5 ． 對主機(jī)或路由器上的 NetBIOS 會(huì)話服務(wù) ( tcp 139), Microsoft CIFS (TCP/UDP 445)禁止不綁定的連接 。 4． 對 Windows系統(tǒng) ， 禁止通過 空對話 連接對用戶 ， 組 ， 系統(tǒng)配置和注冊密鑰進(jìn)行匿名列舉 。 2． 為增加安全性 ， 只對特定 IP地址進(jìn)行共享 ， 因?yàn)?DNS名可以欺詐 。 在 Windows的主機(jī)上允許文件共享使得它們?nèi)菀资艿叫畔⒏`賊和某種快速移動(dòng)的病毒的攻擊 。 170 W4 NETBIOS 未保護(hù)的Windows網(wǎng)絡(luò)共享 Server Message Block (SMB)協(xié)議 ， 也稱為 Common Inter File System (CIFS), 允許網(wǎng)絡(luò)間的文件共享 。s Remote Data Services (RDS)中的漏洞以 administrator權(quán)限在遠(yuǎn)端運(yùn)行命令 。 請記住最小權(quán)限規(guī)則 ， 你的系統(tǒng)應(yīng)運(yùn)行系統(tǒng)正常工作所需的最少服務(wù) 。 該漏洞不影響 Windows XP. 同時(shí) ， 管理員應(yīng)檢查并取消所有不需要的 ISAPI擴(kuò)展 。 攻擊者可以利用這一點(diǎn)向 DLL發(fā)送數(shù)據(jù) ， 造成緩沖區(qū)溢出 ， 進(jìn)而控制 IIS服務(wù)器 。 一些動(dòng)態(tài)連接庫 ， 例如 ， 有編程錯(cuò)誤 ， 使得他們做不正確的邊界檢查 。 168 W2 ISAPI 緩沖區(qū)擴(kuò)展溢出 安裝 IIS后 ， 就自動(dòng)安裝了多個(gè) ISAPI extensions。如果你在運(yùn)行一個(gè)未打補(bǔ)丁的 IIS， 那么你是易受到攻擊的 。 IIS不對超長序列進(jìn)行檢查 。 /和 \均可以用一個(gè)字節(jié)來表示 。 但你也可以用所謂的 超長 序列來代表這些字符 。 通過向 IIS服務(wù)器發(fā)出一個(gè)包括非法 Unicode UTF8序列的 URL,攻擊者可以迫使服務(wù)器逐字 進(jìn)入或退出 目錄并執(zhí)行任意 (程序 )(script腳本 )，這種攻擊被稱為目錄轉(zhuǎn)換攻擊 。 大多數(shù)的 web服務(wù)器可以配置成較低的權(quán)限 ， 例如 nobody. 8． 不要在不需要 CGI的 web服務(wù)器上配置 CGI支持 。 6． 從 CGI bin目錄下刪除 viewsource腳本 。 4． 為所有不能除去的漏洞打上補(bǔ)丁 。 2． 審核剩余的 CGI腳本 ， 移走不安全的部分 。 166 G7 易被攻擊的 CGI程序 大多數(shù)的 web服務(wù)器 ， 都支持 CGI程序 。 這提供了冗余和一個(gè)額外的安全保護(hù)層 。 查看每一個(gè)主要系統(tǒng)的日志 ， 如果你沒有日志或它們不能確定被保存了下來 ， 你是易被攻擊的 。 一旦被攻擊 ， 沒有日志 ， 你會(huì)很難發(fā)現(xiàn)攻擊者都作了什么 。 3． 任何進(jìn)入或離開你網(wǎng)絡(luò)的數(shù)據(jù)包不能把一個(gè)私有地址 （ private address） 或在 RFC1918中列出的屬于保留空間 （ 包括 , 絡(luò)回送地址 ） 的地址作為源或目的地址 。 1． 任何進(jìn)入你網(wǎng)絡(luò)的數(shù)據(jù)包不能把你網(wǎng)絡(luò)內(nèi)部的地址作為源地址；必須把你網(wǎng)絡(luò)內(nèi)部的地址作為目的地址 。 例如 smurf攻擊 。 一旦你確定了哪些端口是打開的 ， 接下來的任務(wù)是確定所必須打開的端口的最小集合 關(guān)閉其他端口 ，找到這些端口對應(yīng)的服務(wù) ， 并關(guān)閉 /移走它們 。端口開得越多 ， 進(jìn)入系統(tǒng)的途徑就越多 。 制定備份方式和策略 。 162 G3 沒有備份或者備份不完整 從事故中恢復(fù)要求及時(shí)的備份和可靠的數(shù)據(jù)存儲(chǔ)方式 。 當(dāng)雇員或承包人離開公司時(shí) ， 或當(dāng)帳號不再需要時(shí) ， 應(yīng)有嚴(yán)格的制度保證刪除這些帳號 。 2． 制定管理制度 ， 規(guī)范增加帳號的操作 ， 及時(shí)移走不再使用的帳號 。 161 G2 沒有口令或使用弱口令的帳號 易猜的口令或缺省口令是個(gè)嚴(yán)重的問題 ， 更嚴(yán)重的是有的帳號根本沒有口令 。 卸載不必要的軟件 ， 關(guān)掉不需要的服務(wù)和額外的端口 。 而且很多用戶根本不知道實(shí)際安裝了什么 ， 很多系統(tǒng)中留有安全漏洞就是因?yàn)橛脩舾静恢腊惭b了這些程序 。 159 20個(gè)最危險(xiǎn)的安全漏洞 三類安全漏洞： 1）影響所有系統(tǒng)的七個(gè)漏洞（ G1~G7） 2） 影響 Windows系統(tǒng)的六個(gè)漏洞（ W1~W6) 3） 影響 Unix系統(tǒng)的七個(gè)漏洞（ U1~U7） 160 G1操作系統(tǒng)和應(yīng)用軟件的缺省安裝 軟件開發(fā)商的邏輯是最好先激活還不需要的功能 ，而不是讓用戶在需要時(shí)再去安裝額外的組件 。 158 6. Linux安全工具 ?網(wǎng)絡(luò)上有各種各樣的攻擊工具，也有各種各樣的安全工具。 157 5. 強(qiáng)制訪問控制 ? 強(qiáng)制訪問控制是一種由管理員從全系統(tǒng)角度定義和實(shí)施的訪問控制。 156 4. 安全審計(jì)和系統(tǒng)日志 ? Linux系統(tǒng)具有安全審計(jì)功能，它可對網(wǎng)絡(luò)安全進(jìn)行檢測，利用系統(tǒng)日志記錄攻擊者的行蹤。 TCFS通過將加密服務(wù)和文件系統(tǒng)緊密結(jié)合，使用戶感覺不到文件的加密過程。 ? SUID機(jī)制就是在權(quán)限組中增加 SUID和SGID位。 154 2. 用戶權(quán)限體系 ? Linux的用戶權(quán)限體系包括用戶權(quán)限、超級用戶權(quán)限和 SUID機(jī)制。這些安全機(jī)制 (措施 )如下： 153 1. 身份驗(yàn)證機(jī)制 ? 在 Linux中，用戶的身份驗(yàn)證和用戶權(quán)限是分開設(shè)計(jì)的，這樣，用戶的身份驗(yàn)證就比較簡單。 ? Linux的安全達(dá)到了 TCSEC的 C2安全級，更高級別的 Linux在開發(fā)中。 151 ? 系統(tǒng)配置安全性措施 包括 禁止 root遠(yuǎn)程Tel登錄和 FTP、 禁止匿名 FTP、 在非郵件服務(wù)器上禁止運(yùn)行 Sendmail、 不必要時(shí)不運(yùn)行 NFS server、 關(guān)閉潛在的危險(xiǎn)服務(wù)、禁止非路由器設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)包、為系統(tǒng)打最新補(bǔ)丁等等。 ? 用戶與口令安全性措施包括： 設(shè)置 /etc/ passwd文件權(quán)限、設(shè)置用戶密碼、設(shè)置帳號鎖定功能、封閉不常用的帳號和啟用審計(jì)功能 等。 Unix操作系統(tǒng)規(guī)定了較詳細(xì)的安全性原則，從技術(shù)層面指導(dǎo)用戶對主機(jī)系統(tǒng)進(jìn)行安全設(shè)置和管理，使信息系統(tǒng)的安全達(dá)到一個(gè)更高的層次。 ? 由于軟件開發(fā)人員的失誤，導(dǎo)致這些應(yīng)用緩沖區(qū)溢出，攻擊者可以利用這些漏洞進(jìn)行攻擊，以獲取 root的存取權(quán)限。 147 ? Sadmind和 Mountd缺陷： Sadmind允許遠(yuǎn)程登錄到 Unix系統(tǒng)進(jìn)行管理，并提供一個(gè)系統(tǒng)管理功能的圖形用戶接口。 146 ? BIND的脆弱性： BIND是域名服務(wù) DNS中用得最多的軟件包。攻擊者可利用 Sendmail存在的缺陷進(jìn)行攻擊。 145 ? Sendmail漏洞： Sendmail是 Unix上用得最多的發(fā)送、接收和轉(zhuǎn)發(fā)電子郵件的程序。因?yàn)镽PC不能進(jìn)行必要的錯(cuò)誤檢查，所以緩沖區(qū)溢出允許攻擊者發(fā)送程序不支持的數(shù)據(jù)，使這些數(shù)據(jù)被繼續(xù)傳送和處理。它被廣泛用來提供網(wǎng)絡(luò)遠(yuǎn)程服務(wù)。 143 2. Unix系統(tǒng)漏洞 ? RPC服務(wù)緩沖區(qū)溢出： 遠(yuǎn)程過程調(diào)用(RPC)是用來在遠(yuǎn)程主機(jī)上執(zhí)行特定任務(wù)的一種協(xié)議。在 UNIX中，所有的對象都是文件。NetWare還提供了完善的數(shù)據(jù)備份和恢復(fù)功能來保證數(shù)據(jù)的完整性和可恢復(fù)性。如某文件具有只讀屬性，對其有讀寫有效權(quán)限的用戶也不能寫該文件。通過設(shè)置資源屬性可以控制用戶對資源的訪問。 140 (4) 屬性安全性 ? 屬性用來直接規(guī)定文件和目錄的訪問特性。 NDB中的對象包括用戶對象和資源對象，通過 NDS管理這些對象，可以跟蹤和定位網(wǎng)絡(luò)中的用戶和資源。在 NDS目錄庫中，數(shù)據(jù)一般不是根據(jù)對象的物理位置進(jìn)行組織的，而是根據(jù)機(jī)構(gòu)的組織結(jié)構(gòu)將對象組織成層次 (樹型 )結(jié)構(gòu)，這就形成了網(wǎng)絡(luò)的目錄樹。 網(wǎng)絡(luò)管理員和用戶通過訪問此目錄數(shù)據(jù)庫可以迅速地定位用戶和網(wǎng)絡(luò)資源。 NetWare可以使用一個(gè)控制臺(tái)實(shí)現(xiàn)對整個(gè)網(wǎng)絡(luò)環(huán)境的管理。這些權(quán)限可以單獨(dú)使用，也可以組合起來使用。這樣，受托者指定和繼承權(quán)限過濾的組合就可以建立一個(gè)用戶訪問網(wǎng)絡(luò)資源的有效權(quán)限，從而控制用戶對網(wǎng)絡(luò)資源的訪問。 136 ? 繼承權(quán)限是指在建立文件和目錄等網(wǎng)絡(luò)資源后，它們即自動(dòng)地從父目錄中繼承所有的權(quán)限。Novell網(wǎng)絡(luò) NetWare系統(tǒng)的用戶訪問權(quán)限由受托者指定和繼承權(quán)限過濾兩種方式實(shí)現(xiàn)。系統(tǒng)管理員使用 NWadmn95實(shí)用程序即可容易地實(shí)現(xiàn)這些限制。網(wǎng)絡(luò)管理員根據(jù)需要，在服務(wù)器的賬號數(shù)據(jù)庫中為每個(gè)要使用網(wǎng)絡(luò)的用戶建立一個(gè)賬號，一個(gè)用戶賬號包括用戶名 (進(jìn)入同一個(gè)服務(wù)器的用戶的惟一名字 )和用戶口令。這些安全性機(jī)制可以控制哪些用戶是合法用戶，可以入網(wǎng)；合法用戶可以在何時(shí)何站點(diǎn)入網(wǎng)；用戶入網(wǎng)后可以對哪些資源進(jìn)行訪問；對這些資源能訪問到何種程度等。 131 其他網(wǎng)絡(luò)操作 系統(tǒng)的安全 NetWare系統(tǒng)安全 1. NetWare的安全等級 ? NetWare 符合 C2級安全標(biāo)準(zhǔn)，被美國國家計(jì)算機(jī)安全中心 (NCSC)認(rèn)證為信得過網(wǎng)絡(luò)系統(tǒng) ? C2 級安全特性：唯一地識別系統(tǒng)用戶 、 跟蹤用戶登錄和對象修改 、維護(hù)審核日志并識別記錄來源、權(quán)限訪問控制和判斷系統(tǒng)是否工作正常 132 2. NetWare 的安全漏洞 NetWare網(wǎng)絡(luò)經(jīng)常遭到黑客的攻擊： ? 獲取帳號：為剛裝好系統(tǒng)的缺省帳號設(shè)置口令 ? 查閱和列表合法帳號： ? 獲取超級用戶帳號：攻擊者可利用普通磁盤編輯工具找到存放系統(tǒng)帳號和口令的文件，并將其修改或刪除，這樣就可得到超級用戶的口令。 ? IPSec： 支持對數(shù)據(jù)的加密，同時(shí)確保數(shù)據(jù)的完整性。證書服務(wù)可以對數(shù)據(jù)庫進(jìn)行獨(dú)立管理。在 Windows 2022中更名為證書服務(wù)，它是通過密碼保護(hù)的加密數(shù)據(jù)文件，其中包含的數(shù)據(jù)可用于對傳輸系統(tǒng)進(jìn)行鑒別。此外， Windows 2022還使用 Kerberos認(rèn)證協(xié)議作為認(rèn)證系統(tǒng)。 128 ? 認(rèn)證服務(wù)： Windows 2022提供了完全支持提供者界面 (SSPI)， 利用其 API函數(shù)提供完整的認(rèn)證功能。 127 ? 保護(hù)存儲(chǔ)數(shù)據(jù)可用 Windows 2022的文件加密系統(tǒng) EFS和數(shù)字簽名技術(shù)來實(shí)現(xiàn)。 126 ? 網(wǎng)絡(luò)數(shù)據(jù)保護(hù)是指對本地網(wǎng)絡(luò)中的數(shù)據(jù)和不同網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)的安全保護(hù)。 ? 在用戶登錄網(wǎng)絡(luò)時(shí)，系統(tǒng)的數(shù)據(jù)保護(hù)開始。 ? Windows 2022提供了進(jìn)行身份驗(yàn)證的三種身份驗(yàn)證機(jī)制： Kerberos V5身份驗(yàn)證、公鑰證書身份驗(yàn)證和 NTLM(NT Lan Manager)身份驗(yàn)證。 124 ? Windows 2022的安全系統(tǒng)提供了兩種類型的身份驗(yàn)證。 123 (2) 身份認(rèn)證 ? Windows 2022的身份驗(yàn)證賦予用戶登錄系統(tǒng)訪問網(wǎng)絡(luò)資源的能力，它允許對整個(gè)網(wǎng)絡(luò)資源進(jìn)行單獨(dú)登記。由于 AD允許管理員創(chuàng)建組用戶，因此管理員可以更有效地管理系統(tǒng)的安全性。登錄用戶可同時(shí)獲得訪問系統(tǒng)資源的身份驗(yàn)證和權(quán)限。對不同組的用戶分別授予拒絕訪問、讀寫和更改權(quán)限，一般只賦予所需要的最小目錄和文件權(quán)限，對授予完全控制的情況要特別小心。如果收到一封不明用戶發(fā)送的帶有附件的電子郵件，千萬不要隨意打開或運(yùn)行，因?yàn)檫@個(gè)不熟悉的程序可能就是一個(gè)病毒程序，要立即刪除這樣的來歷不明的程序。為此要限制對日志文件的訪問，禁止一切權(quán)限用戶查看日志文件。當(dāng)黑客攻擊系統(tǒng)時(shí)，其蛛絲馬跡將被記錄在日志文件中。 ? 利用安全規(guī)則可以限定用戶口令的有效期和長度，設(shè)置帳戶鎖定功能，并對用戶備份文件、目錄、關(guān)機(jī)、網(wǎng)絡(luò)訪問等各項(xiàng)行為進(jìn)行有效控制。服務(wù)器必須是一個(gè)能夠滿足所有系統(tǒng)登錄需求并擁有足夠磁盤空間的服務(wù)器系統(tǒng)，在該系統(tǒng)上應(yīng)該沒有其他服務(wù)運(yùn)行。 116 (6) 改進(jìn)登錄服務(wù)器 ? 使用一個(gè)更安全的登錄服務(wù)器來取代 Windows 2022自身的登錄工具也能進(jìn)一步提高安全性。在創(chuàng)建該啟動(dòng)磁盤時(shí)，可以利用Windows 2022的一個(gè)名為 工具實(shí)現(xiàn)。因此在新建共享目錄后，要立即刪除 EveryOne組或?qū)⒃摻M的權(quán)限設(shè)置為只讀。 114 (4) 取消共享目錄的 EveryOne組 ? 默認(rèn)情況下為 Windows 2022新增共享目錄時(shí)，操作系統(tǒng)會(huì)自動(dòng)將 EveryOne用戶組添加到權(quán)限模塊中。 113 (3) 加密文件或文件夾 ? 為提高文件的保密性，可利用 Windows 2022系統(tǒng)提供的加密工具對文件或文件夾進(jìn)行保護(hù)。因?yàn)榉?wù)和協(xié)議安裝得越多，入侵者可利用的途徑就越多，潛在的系統(tǒng)安全隱患也就越大。如果發(fā)生系統(tǒng)文件被破壞，也可使用系統(tǒng)備份來恢復(fù)到正常狀態(tài)。 111 (1) 及時(shí)備份系統(tǒng) ? 為防止系統(tǒng)發(fā)生意外而不能正常運(yùn)行，應(yīng)對 Windows 2022系統(tǒng)進(jìn)行系統(tǒng)備份。 110 Windows 2022的安全性措施和技術(shù) 1. 安全性措施 ? 由于 Windows 2022操作系統(tǒng)有良好的網(wǎng)絡(luò)功能，在 Inter中有部分網(wǎng)站服務(wù)器使用Windows 2022作為主操作系統(tǒng)，因此它也往往會(huì)被攻擊者選為攻擊對象。偽造者可以利用 SOCK_RAW編程直接改寫報(bào)文的 ICMP首部和 I