发信人: globality()
整理人: ipaq(2001-05-27 14:37:18), 站内信件
|
谈Internet上Windows NT的安全措施
---- 在Internet 的 广 泛 应用 中,Windows NT 的 安 全 性 一 度 令NT 管
理 员们 深 感 不 安。 在 运 行Windows 95 的 环 境 下,任 何 一 位 略
懂 网 络 技 术 的 用 户 键 入 命令:“net Q:\\SERVER-NAME\SHARENAME”
, 就 能 通 过网 络 存 取 服 务 器 的 启 动 分 区 ! 为 了 确保 安 全
性, 以 下7 项 措 施 可 供NT 管 理 员 参考。
1.用NTFS,不用FAT
---- NTFS(NT 文 件 系 统)可 以 对 文 件 和 目 录 使 用ACL( 存 取 控
制表),ACL 可 以 管 理 共 享 目 录 的 合 理 使用, 而FAT( 文 件 分
配 表) 却 只 能 管 理 共享 级 的 安 全。 出 于 安 全 考 虑, 您 必 须
处处 设 置 尽 可 能 多 的 安 全 措 施, 凡 是 与Internet 相 连 的Wind
ows NT 计 算 机 都 应 该 使 用NTFS。 使用NTFS ACL 的 好 处 在 于, 如
果 它 授 权 用 户对 某 分 区 具 有 全 部 存 取 权 限, 但 共 享级 权 限
为“ 只 读”, 则 最 终 的 有 效 权 限为“ 只 读”。Windows NT 取NTFS
ACL 和 共 享 权 限的 交 集。
---- 在 实 施 这 样 的 网络 方 案 时, 您 最 好 限 制Internet 服 务 器
的共 享, 但 是 如 果 非 要 与Internet 服 务 器 交换 文 件, 则 可 借
助 于NTFS。 一 旦 建 立 新 的共 享 权 限, 不 要 忘 记 修 改 由NT 指
定 的 缺省 权 限, 否 则Everyone 用 户 组 就 能 享 有“ 完全 控 制” 的
共 享 权 限。 那 些 已 经 使 用 了FAT 的 用 户, 在x86 的NT 系 统 上
可 以 用convert 命令 将 启 动 卷 升 级 为NTFS。
2.将系统管理员账号改名
---- 对 于 试 图 猜 测 口令 的 非 法 用 户,NT 的User Manager 可 以 设
置 防范 措 施, 例 如5 次 口 令 输 入 错 误 后 就 禁止 该 账 号 登 录
。 问 题 在 于 系 统 管 理 员这 个 最 重 要 的 账 号 却 用 不 上 这 项
防 范措 施。 即 使 将 系 统 管 理 员 的 权 限 全 部授 予 某 个 用 户
账 号, 并 且 只 使 用 该 用户 账 号 进 行 管 理, 但 是 由 于 系 统 管
理员 账 号 本 身 不 能 删 掉 或 废 止, 因 而 非法 用 户 仍 然 可 以
对 系 统 管 理 员 账 号 进行 口 令 攻 击。
---- 一 种 值 得 推 荐 的方 法 是 将 系 统 管 理 员 账 号 的 用 户 名
由原 先 的“Administrator” 改 为 一 个 无 意 义 的字 符 串。 这 样 要
登 录 的 非 法 用 户 不 但要 猜 准 口 令, 还 要 先 猜 出 用 户 名。
这 种改 名 功 能 在User Manager 的User Properties 对 话 框中 并 没 有
设 置, 不 过 它 的“User”*“Rename” 菜 单 选 项 却 能 实 现 这 一 功
能。
---- 用 于 提 供Internet 公共 服 务 的 计 算 机 不 需 要 也 不 应 该 有
除了 系 统 管 理 用 途 之 外 的 其 他 用 户 账号。 因 此, 应 该 废 止
Guest 账 号, 移 走 或 限制 所 有 的 其 他 用 户 账 号。
---- 如 果 用 的 是NT 4.0,可 以 用Resource Kit 中 提 供 的 工 具 封 锁
联 机系 统 管 理 员 账 号。 这 种 封 锁 只 对 由 网络 过 来 的 非 法
登 录 起 作 用。 账 号 一 旦被 封 锁 掉, 系 统 管 理 员 还 可 以 通 过
本地 登 录 重 新 设 置 封 锁 特 性。
3.别忘了打开审计系统
---- 如 何 才 能 知 道 在NT 环 境 中 安 全 性 是 否 已 经 被 攻 击 或
攻 破呢 ?NT 的 事 件 审 计 系 统 就 设 有 此 项 功能, 但 该 系 统 需
要 被 激 活。User Manager 中 的“Policies”*“Audit” 菜 单 选 项 可
以 激 发 控 制 审 计 事 件 的 屏幕。
---- 问 题 的 关 键 在 于您 应 当 收 集 有 用 的 信 息, 而 不 是 收 集
得 越 多 越 好。 您 可 以 审 计 各 种 操 作 成功 和 失 败 的 情 况。 失
败 的 情 况 通 常 比成 功 的 情 况 少 得 多, 但 从 安 全 性 的 角度
考 虑, 失 败 事 件 更 值 得 注 意。 另 外 不常 用 的 操 作 也 值 得 注
意, 如 安 全 性 策略 的 改 变 和 再 启 动 往 往 反 映 了 未 经 授权
的 行 为。
---- NT 允 许 跟 踪 诸 如File Access、Use of User Rights 和Process Tra
cking 等 成 功 的操 作, 但 它 需 要 大 量 的 存 储 空 间, 而 且对 跟
踪 所 得 的 数 据 进 行 分 析 也 不 是 一件 容 易 的 事 情。
---- 使 用 审 计 功 能,最 关 键 的 一 步 是 要 查 看NT 在 正 常 运 行
时所 记 录 的 事 件 日 志, 它 能 帮 助 我 们 发现 问 题 的 前 兆。
---- 审 计 日 志 本 身 也需 要 保 护, 因 为 非 法 用 户 在 进 入 系 统
之 后 通 常 会 抹 掉 其 活 动 踪 迹。 首 先 我们 应 该 定 时 自 动 备
份 日 志 文 件, 但 是如 果 这 些 备 份 仍 然 是 联 机 的, 则 也 有可
能 被 非 法 用 户 找 到。 一 个 比 较 好 的解 决 方 法 是 将 审 计 事
件 记 录 同 时 制 成硬 拷 贝, 或 者 将 其 通 过E-mail 发 送 给 系 统
管 理 员。NT Perl 为 我 们 提 供 了 一 个 阅 读 事件 日 志 的 模 块。
4.废止TCP/IP上的NetBIOS
---- 连 接 到Internet 上 的NT 支 持NetBEUI 和TCP/IP 两 种 传 输 协 议
的Windows 网络 功 能。 那 么 什 么 是Windows 网 络 功 能 呢 ?它 就 是
所 有 要 求\\NAME 句 法 形 式 的 操 作,包 括 目 录 和 打 印 机 共 享
、NetDDE 和 远 程 管理。 通 过Internet 连 到 某 个 驱 动 器 编 辑 或寄
存 内 容, 只 需 要 在 本 地lmhosts 文 件 里 构造 目 标 站NetBIOS 名
与 其IP 地 址 之 间 的 映象。 例 如, 使 用Windows 95 中 的Event Viewe
r 和User Manager 就 可 以 管 理Internet 上 的 其 他 服 务器, 这 种 特
性 为 管 理 员 提 供 了 方 便, 但同 时 也 使 非 法 用 户 找 到 了 可
乘 之 机。
---- 好 在NT 已 能 够 对TCP/IP 上 的NetBIOS 施 行 严 密 的 控 制。 您
可 以 使 用网 络 控 制 面 板 中 的 装 订 对 话 框 废 止 多种 基 于NetB
IOS 服 务 与TCP/IP 之 间 的 装 订。 由于NT 的 网 络 服 务 同 时 运 行
多 种 传 输 功能, 做 上 述 废 止 操 作 的 计 算 机 之 间 可以 使 用Se
rver、Workstation 和 其 他 服 务 进 行 对话, 因 为 这 些 对 话 不 从I
nternet 上 走, 而 是通 过NetBEUI 通 道。 当 然, 完 成 了 这 种 废 止
操 作 之 后, 不 仅 是 非 法 用 户, 就 连 系 统管 理 员 也 不 能 做 远
程 驱 动 器 安 装 并 远程 编 辑 或 寄 存 内 容 了。
5.关闭不必要的向内TCP/IP端口
---- 一 旦 非 法 用 户 进入 系 统 并 得 到 管 理 员 权 限 之 后, 他 定
要 想 办 法 恢 复 管 理 员 刻 意 废 止 的NBT(TCP/IP 上 的NetBIOS) 装
订。 管 理 员 应 该 使 用 路 由器 作 为 另 一 道 防 线。
---- 假 设 有 个NT 服 务器 没 有 太 多 的 防 护 系 统, 暴 露 在 防 火
墙 以 外, 其 作 用 是 提 供 诸 如Web 和FTP 之 类的 公 共 服 务。 这 种
情 况 下 只 须 保 留 两条 路 由 器 到 服 务 器 的 向 内 路 径: 端 口
80 的HTTP 和 端 口21 的FTP。 路 由 器 应 该 并 能 够阻 塞 所 有 其 他
的 向 内 途 径。
---- 如 果 管 理 员 有 调整 包 过 滤 规 则 的 权 限, 他 可 能 会 给 自
己 多 留 一 点 便 利。 例 如, 在 取 消 全 部 非Web 和 非FTP 服 务 时
留 一 个 例 外, 即 用 于 远 程管 理 的 端 口137、138、139 从IP 地 址
来 的NBT 途径。 虽 然 一 般 来 说 只 有 管 理 员 才 能 远程 操 作 服 务
器, 但 事 实 上 发 现 了 管 理员 和IP 地 址 之 间 这 种 连 接 的 非
法 用 户 也能 盗 用 该 路 径。
---- 非 法 用 户 若 想 知道 主 系 统 的IP 地 址, 通 常 会 按 如 下 步
骤进 行:
了 解 目 标 服 务 器 管 理 员 的 情 况。
针 对 管 理 员 的 兴 趣 爱 好, 做 个 假Web 页 面。
发 送E-mail 邀 请 他 访 问 该 页 面。
截 获 主 系 统 的IP 地 址。
用JavaScript 或ActiveX 钻 进 该 系 统。
---- 这 种 管 理 员 为 自己 开 后 门、 留 一 条 路 径 的 做 法, 其 安
全性 只 依 赖 于 别 人 不 知 道IP 地 址。 但 这 种安 全 性 在 非 法 用
户 系 统 而 耐 心 的 猜 试攻 势 面 前 也 是 极 不 安 全 的, 所 以 要
禁止 一 切 多 余 的 向 内 路 径。
6.取消Access from Network的便利
---- 在 缺 省 情 况 下,NT 授 予Everyone 用 户 组Access from Network(
从 网 络 存取) 的 权 限。 取 消 了 该 权 限 虽 然 会 阻 塞Windows 的 全
部 网 络 服 务, 但 仍 然 可 以 支 持Web 服务。 在 一 个NT Web 服 务
器 上, 既 能 以SYSTEM 方式 运 行, 也 能 以 本 地 用 户 方 式 运 行,
这两 种 状 态 在NT 看 来 都 不 存 在 远 程 用 户。由 于 与NT 连 用 的
FTP 服 务 器 要 求 用 户 进 行网 络 登 录, 所 以 这 种 情 况 下 就 无
法 使用FTP 服 务 器, 但 包 括Microsoft Internet Information Server (
IIS) 在 内 的 其 他FTP 服 务 器 是 采 用 本地 登 录 的, 并 不 受 取 消
Access from Network 权 限的 影 响。
---- 与NBT 方 法 不 同 的是, 这 里 讲 的 技 术 无 法 对 协 议 选 择 弃
留。 所 以Access from Network 权 限 取 消 后 运 行Web 和FTP 服 务, 不
但 通 过Internet 的、 而 且 本 地使 用NetBEUI 协 议 的 文 件 共 享 都
被 阻 塞 掉了。 当 然 还 有 一 种 妥 协 方 案, 只 给 管 理员 本 人 账
号 留 有Access from Network 的 权 限。
7.不可轻易发布信息
---- 有 人 认 为, 在Internet 上 没 人 知 道 你 在 运 行Windows NT。 然
而 事 实并 非 如 此, 如 联 机FTP 服 务 是 这 样 宣 布 连接 的:
---- ftp > open ftp.myhost.com
---- Connected to ftp.myhost.com
---- 220 ftp Windows NT FTP Server
---- (Version 3.51)
---- 正 常 的 用 户 不 需要 以 上 信 息, 而 非 法 用 户 却 能 根 据 该
信 息 有 效 地 对 特 定 操 作 系 统 进 行 攻击。IIS FTP 服 务 也 发 布
同 样 明 显 的 消 息:
---- Connected to ftp.myhost.com.
---- 220 ftp Microsoft.FTP Service
---- (Version 2.0)
---- 上 面 两 种 情 况 表明 您 连 接 在NT 上 工 作 以 及 您 运 行 的NT
是什 么 版 本。 所 以 如 果 您 不 想 为 非 法 用户 攻 击 您 的 系 统
提 供 便 利 的 话, 最 好不 要 轻 易 发 布 信 息。
--
WindowsNT欢迎你的加入
---NEW TECHOLOGY---
------GLOBLITY-----
全球境
※ 来源:.月光程序代码网 http://www.moon-soft.com.[FROM: 210.72.250.16]
|
|