局域网网络安全管理研究 第3页
减小风险的建议:除了系统缺省创建的Administrator帐户,还应该创建至少一个具有管理员特权的帐户,并且,把缺省Administrator帐户改成另外一个名字。
安全漏洞(12):具有管理员特权的帐户在达到注册失败的次数时将被锁住,然而,30分钟后自动解锁。
解释:帐户策略(Accounts Policy)中的设置。
减小风险的建议:对于所有管理员帐户,应该使用难猜的口令。
安全漏洞(13):缺省地,Windows NT在注册对话框中显示最近一次注册的用户名。
解释:这是NT的一个预先考虑过的特征,然而,它也成为一种风险,给潜在的黑客提供了信息。
减小风险的建议:在域控制器上,修改Registry中Winlogon的设置,关闭这个功能。
安全漏洞(14):Windows NT和Windows 95的客户可以保存口令于文件中,以便快速缓冲。
解释:任何人可能通过访问内存来获取加密的口令,或者通过访问Windows NT工作站的ADMINST.PWD文件,以及Windows 95的ADMINST.PWL,来读取口令,以获得缺省管理员的访问权。尤其在Windows 95上,这个文件很容易得到。
减小风险的建议:严格限制NT域中Windows 95客户的使用。限制Windows NT工作站上的管理员特权。
安全漏洞(15):Windows NT口令可能被非NT平台进行同步。
解释:如果Windows 95中的“Change Windows Password”工具在Windows NT系统中已被授权,就可以作到这一点。结果是一个强的口令被一个弱的口令所替代。
减小风险的建议:在与Windows NT平台连接时,不能运行“Change Windows Password”工具。
安全漏洞(16):管理员有能力从非安全的工作站上进行远程登录。
解释:这种能力带来许多潜在的对系统的严重攻击。
减小风险的建议:加强计算机设施的保安工作是可行的。关闭系统管理员的远程能力,对管理员只允许直接访问控制台。可以从[用户管理器] [帐户策略] (User Manager, Policies)进行设置。使用加密的对话,在管理员的属性中,限制他可以从哪些工作站上进行远程登录。
由于远程管理员访问很危险,商业机构必须要测试和评估与此相关的风险,以满足业务的需要。在实施计划中,必须作出决定,来如何控制和限制这种风险。
安全漏洞(17):N T上的缺省Registry权限设置有很多不适当之处。
解释:Registry的缺省权限设置是对“所有人”“完全控制”(Full Control)和“创建”(Create)。这种设置可能引起Registry文件的删除或者替换。
减小风险的建议:对于Registry,严格限制只可进行本地注册,不可远程访问。在NT工作站上,限制对Registry编辑工具的访问。使用第三方工具软件,比如Enterprise Administrator (Mission Critical Software),锁住Registry。或者,至少应该实现的是,把“所有人”缺省的“完全控制”权利改成只能“创建”。实际上,如果把这种权利设置成“只读”,将会给系统带来许多潜在的功能性问题,因此,在实现之前,一定要小心谨慎地进行测试。NT 4.0引入了一个Registry Key用来关闭非管理员的远程Registry访问。在NT服务器上,这是一个缺省的Registry Key,对于NT工作站,必须把这个Registry Key添加到Registry数据库中。
安全漏洞(18):有可能远程访问NT平台上的Registry。
解释:在Windows 95上,或者系统管理共享资源上,运行REGEDT.EXE,将允许交互地,远程地访问NT域服务器。
减小风险的建议:严格限制Windows 95客户的使用。使用Registry审计。制定规章制度限制管理员的操作程序,禁止这样的访问,或者明确授权给指定的几个系统管理员。
上面我已经说明了,Windows NT系统的最常见也是最易受到利用的18个漏洞。下面我们看一下,如何避免这些漏洞。
(二)、避免安全漏洞
Windows2000 含有很多的安全功能和选项,我们只需合理的配置它们,那么windows 2000将会是一个很安全的操作系统。具体说来,应该做到以下所列:
1、物理安全
服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
2、停掉Guest 帐号
在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。
3、限制不必要的用户数量
去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。
4、创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。
5、把系统administrator帐号改名
大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。
6、创建一个陷阱帐号
什么是陷阱帐号? Look!>创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,并且加上一个超过10位的超级复杂密码
7、把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定要改。
8、使用安全密码
一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。许多管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得N简单,比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。
9、设置屏幕保护密码
很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。
10、使用NTFS格式分区
把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。
11、运行防毒软件
一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的
上一页 [1] [2] [3] [4] 下一页
局域网网络安全管理研究 第3页下载如图片无法显示或论文不完整,请联系qq752018766
