54 同安全與控
錄中的文件并可能修改或剛除它們。這些系統中的口令機制有許多漏洞。可以很容易寫一個程序自動檢測口令。下面有幾稱
可能的口令我們可試一試 ?典型的用戶口令,例如 WORKGRUP, Windows,USER, ADMIN等等;
來源于資源列表和登錄的用戶
可試一下由管理員提供的目錄文件或任何標準目錄。如果很細心的話,會發現一個口令一旦被用過那么被猜出的可能性就很高。根據已經做
過的瀏覽發現,我們進行了每秒200個口令的非禮攻擊,在不到兩分鐘內試了18000個口令。
Windows9S無法鎖住進一步的訪問企圖,所以黑客可無止境地連續攻擊用戶的機器
Windows95對任何此類的訪問企圖沒有記錄。黑客不僅可在短時間內試用大量ロ令,而
且這些操作在系統中沒有記載。因此,知道有人在試圖攻擊自己是解決自身安全問題的重點。
且瀏覽程序訪問共享目錄的文件,它就試圖決定此機器是否對“”錯誤脆弱,此錯誤還
允許黑客訪問硬盤的其他部分,盡管此機器上設置的是只能訪問某個特定目錄。)
由于操作系統不能正確地檢査“。”,“”,所以此錯誤是很有效的。“.”使用戶能訪
問共享目錄的上一層目錄。在UNIX早期的NFS網絡文件系統應用中就發現過同樣的錯誤。共享文件如果能讓任何人訪問和利用,那么通過利用“。”錯誤能瓦解NT3.51的機器,并
使之重啟動。在 Windows95上利用此錯誤技術可允許任何人訪問整個硬盤。m 對網絡瀏覽者來說,知道正在瀏覽是很容易的,只要用 Popu程序發消息即可。 Popu程
序所存在的安全問題是它缺少鑒別權,這樣黑客可以利用 Popup這個安全缺陷,以管理員的身
份通知大家把他們的目錄設為共享,而其他用戶卻無法分辦出真假管理員。日
這里有一些改進共享文件系統安全性的方法:
更好地記載黑客的襲擊;
在每個錯誤口令的嘗試之后設置一個延遲,以使非法攻擊慢下來;
?在數次攻擊嘗試失敗之后將共享文件鎖住 中 wittei is l,A3
允許或拒絕基于主機地址的功能
更好地鑒別 Popup消息。
用戶應接受培訓以保證進行合理配置。下面是配置更安全網絡的基本步驟
(1)利用口令保護所有資源
(2)用戶使用難猜的口令;
(3)除非通過鑒權過程,否則別人無法訪問用戶的系統或設置用戶系統口令
(4)用戶應安裝提供商提供的安全補丁。n
由器封這些端口 SABか議使得文件共享,它在UDP/TCP的137138和139端口下,因此要確保防火
般的機器在裝完NT4后默認的安全性都是 Everyone(Ful)l,這是非改不可的。如果你
用了IS里面的FP和 WWW Publish Service,或者用 Browser瀏覽 Internet,那么肯定要大
得更快嗎? 禍臨頭。好多Coie及其它c程序都有辦法訪問你的硬盤而你還偏偏不加保護,豈不是死
2章安全成與防范 55
建議在每個NTFS盤的根目錄把 Everyone刪掉換成 Administrator(Fu)l+ System
大人人都可以亂改,造成管理上的混亂。(Read),并替換子目錄權限,另外 Administrators里最好只包括 Administrato,以免大家權限過
對于一些共享目錄,則加上 Domain Admin(Read), Domain User(Read);還有一些限制級
的,則僅僅加上 Domain Admin((Read), Power User(Read);至于大家的Home(主)目錄,則可以
建一個公共目錄,共享時必須選 Full Control,然后在每個人的目錄里加以限制。例如用戶
Judy,我們就把 Public Judy安全性設為 Administrator(Ful), Domain Admin(Read),Judy
(Fu), System(Read),另外再建個公共的目錄Tenp, V Public Temp設為 Domain User
(Fu)這樣一來,大家的共享目錄就算建好了。毎個人都可以全權控制自己的目錄和Temp
目錄,卻不能訪問別人的目錄,相互之間通過Temp來傳送數據。審回
切記不要用 Administrator直接從客戶機登錄到服務器,以防在用 Share Hub(共享式集線
器)時被某些人用 Sniffer,, Etherpeek之類工具偷聽到,即使管理員本身,不在服務器上登錄時
也只應該用 Admin Users登錄,而且 Admin Users最好也不要有完全的權限,以防口令失竊產
生嚴重后果。面大
為了使所有的共享文件都能得到訪問,要正確地設置權限不要默認對 Everyone用戶組默
認的“完全控制”權限的設置。國需斷忘日計
2.4.3.4安全措施
為了確保安全性,以下6項措施可供 Windows ND.的系統管理參考:國首
1.使用NTFS而不用FAT。NTFS(NT文件系統)可以對文件和目錄使用ACL(存取控
制表),ACL可以方便、靈活地管理共享目錄,使其合理使用,而FAT(文件分配表)卻只能管理
共享級的安全,即不能像NTFS那樣強大。hn直71a3
出于安全考慮,必須處處設置盡可能多的安全措施,凡是與 Internet相連的 Windows NT
計算機都應該使用NTFS。使用 Ntfscal F的好處在于,如果它授權用戶對某分區具有全部存取
權限,但共享級權限為“只讀”,則最終的有效權限為“只讀”。 Windows NT取 Ntfscal和共享權
限的交集。中iW國政。知的回女其I1
在實施這樣的網絡方案時,您最好限制 Internet I服務器的共享,但是如果非要與 Internet
服務器交換文件,則可借助于NTFS 且建立新的共享權限,不要忘記修改由NT指定的默認權限否則 Everyone用戶組就能
享有“完全控制”的共享權限。那些已經使用了FAT的用戶在x86的NT系統上可以用Con
vert命令將啟動磁盤升級為NTFS。教た、曲き同
2.將系統管理員賬戶改名。對于試圖猜測口令的非法用戶,NT的 User Manager可以設
置防范措施,例如5次口令輸人錯誤后就禁止該賬號登錄。用
問題在于系統管理員這個最重要的賬號卻用不上這項防范措施。即便將系統管理員的權
限全部授予某個用戶賬號并且只使用該用戶賬號進行管理,但是由于系統管理員賬號本身不
能刪掉或廢止,因而非法用戶仍然可以對系統管理員賬號進行口令攻擊。二意登
種值得推薦的方法是將系統管理員賬號的用戶名由原先的“ Administrator”改為一個無
意義的字符串。這樣要登錄的非法用戶不但要猜準口令,網站建設還要先猜出用戶名。這種改名功能
本文地址:http://123beaconmarketing.com//article/3739.html
