网络安全基础篇之<十>
2013-05-31 11:41
309 查看
**********操作系统安全 Windows
**
******Windows 安全模型:
![](http://img.blog.csdn.net/20130531103617024)
******windows 安全子系统主要由 : 本地安全授权(LAS)、安全帐户管理(SAM)、安全参考监视器等组成(SRM)。
******Windows 安全机制:1.Windows 安全认证2.Windows 访问机制3.windows 审计/日志 机制4.Windows 协议过滤和防火墙。5.Windows 加密文件系统(NTFS).
***1.windows 2k 认证技术:Kerberos V5 , 公鈅证书,NTML。
***2.访问机制:SRM 参考。
***3.审计/日志 机制:重要的系统日志,SysEvent.evt 、AppEvent.evt 、SecEvent.evt。在‘System32/config’ 目录下。
***4.协议过滤和防火墙:包过滤和自带防火墙。
***5.加密文件系统(NTFS):防止通过物理途径读取文件。
******Windows 系统安全分析:
1.Windows 口令。2.Windows 恶意代码。3.Windows 应用软件漏洞。4.Windows 系统程序漏洞。5.Windows 注册表安全。6.Windows 文件共享安全。7.Windows 物理临近攻击。
****Windows 系统安全增强方法概述:
***1.安装漏洞补丁(Patch)
***2.停止服务和卸载软件。
***3.升级或更换程序。
***4.修改配置或权限。
***5.去除特洛伊等恶意程序。
***6.安装专用的安全工具软件。
*
******Windows 系统安全增强流程:
***1.确认系统安全增强的系统安全目标和系统的业务用途。
***2.安装最小化的系统。
***3.安装最新的系统补丁。
***4.配置安装的系统服务。
***5.配置安全策略。
***6.禁用NetBios
***7.帐户安全配置。
***8.配置 TCP/IP 筛选和ICF(防火墙)。
***9.禁用光盘或软盘启动。
***10.文件系统安全配置。
***11.使用屏幕保护口令。
***12.设置应用软件安全。
***13.安装第三方防护软件。
*
******Continue:
**1.系统启动安全增强:C Only ,COMS 设置密码。
**2.帐号口令管理安全增强:1.停用Guest 帐户。2.限制不必要的用户数量。3.把系统的Administrator 改名。4.创建一个陷阱帐号。5.设置复杂的安全口令。6.设置屏幕保护口令。7.不让系统显示上次登录的用户名。8.开启口令安全策略。9.开启帐号策略。
**3.安装最新补丁。
**4.网络安全增强:1.禁止建立空连接。2.关闭默认共享。3.关闭不必要的网络服务和端口。
**5.增强TCP/IP 协议栈抗拒绝服务攻击能力。
**6.安装第三方防护软件。
*
******Windows 常见的系统漏洞及解决办法。
***1.Unicode 漏洞:eg : %C0%af% 代表 / ,用了两个字符,IIS 对超长序列不检查。
*解决方案:下载补丁。
***2.ISAPI 缓冲区扩展溢出。
*解决方案:下载补丁。
***3. IIS RDS : 利用管理员权限远端执行命令。
*解决方案:下载补丁。
***4.NetBIOS ,允许网络间共享文件。
*解决方案:
1. 解开文件和打印机共享绑定
鼠标右击桌面上[网络邻居]→[属性] →[本地连接] →[属性],去掉“Microsoft网络的文件和打印机共享”前面的勾,解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求,别人也就看不到本机的共享了。
2. 利用TCP/IP筛选
鼠标右击桌面上[网络邻居] →[属性]→[本地连接] →[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项], 在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮,选择“只允许”,再单击[添加]按钮(如图2),填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时,将不会有任何回应。
3. 使用IPSec安全策略
3.1 使用IPSec安全策略阻止对端口139和445的访问
选择[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地机器],在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则,这样别人使用扫描器扫描时,本机的139和445两个端口也不会给予任何回应。
4. 停止Server服务
选择[我的电脑]→[控制面板]→[管理工具]→[服务],进入服务管理器,关闭Server服务。这样虽然不会关闭端口,但可以中止本机对其他机器的服务,当然也就中止了对其他机器的共享。但是关闭了该服务会导致很多相关的服务无法启动,如机器中如果有IIS服务,则不能采用这种方法。
5. 使用防火墙防范攻击
在防火墙中也可以设置阻止其他机器使用本机共享。如在“天网个人防火墙”中,选择一条空规则,设置数据包方向为“接收”,对方IP地址选“任何地址”,协议设定为“TCP”,本地端口设置为“139到139”,对方端口设置为“0到0”,设置标志位为“SYN”,动作设置为“拦截”,最后单击[确定]按钮,并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了。
在windowsNT下你可以取消netbios与TCP/IP协议的绑定。控制面板→网络→Netbios接口→WINS客户(tcp/ip)→禁用。确定。重启。这样nt的计算机名和工作组名也隐藏了,不过会造成基于netbios的一些命令无法使用。如net等。
在windowsNT下你可以选中网络邻居→右键→本地连接→INTERNET协议(TCP/IP)→属性→高级→选项→TCP/IP筛选→在“只允许”中填入除了137,138,139只外的端口。如果你在局域网中,会影响局域网的使用
在windowsXP下你可以在控制面板上点击管理工具-本地安全策略,右击"IP安全策略,在本地计算机"选择"管理IP筛选器表和筛选器操作",点添加,在对话框里填,随便写.只要你记得住.最好还是写"禁用135/139端口"比较看的懂.点右边的添加->下一步->源地址为"任何地址"->目的地址"我的地址"->协仪为TCP->在到此端口里填135或139就可以.
***5.空对话链接造成的信息泄露。
*解决方案:1.修改注册表。2.禁用NetBIOS 3.启用防火墙进行边界端口过滤。
***6.SAM 中的弱散列:口令 易被破解。
*解决方案:1.取消LAN Manager 在整个网络中的鉴定功能。2.注册表改键值。
***6.RPC 漏洞:远程过程调用协议。
*解决方案:安装补丁,防火墙阻断端口
***
***
**
******Windows 安全模型:
******windows 安全子系统主要由 : 本地安全授权(LAS)、安全帐户管理(SAM)、安全参考监视器等组成(SRM)。
******Windows 安全机制:1.Windows 安全认证2.Windows 访问机制3.windows 审计/日志 机制4.Windows 协议过滤和防火墙。5.Windows 加密文件系统(NTFS).
***1.windows 2k 认证技术:Kerberos V5 , 公鈅证书,NTML。
***2.访问机制:SRM 参考。
***3.审计/日志 机制:重要的系统日志,SysEvent.evt 、AppEvent.evt 、SecEvent.evt。在‘System32/config’ 目录下。
***4.协议过滤和防火墙:包过滤和自带防火墙。
***5.加密文件系统(NTFS):防止通过物理途径读取文件。
******Windows 系统安全分析:
1.Windows 口令。2.Windows 恶意代码。3.Windows 应用软件漏洞。4.Windows 系统程序漏洞。5.Windows 注册表安全。6.Windows 文件共享安全。7.Windows 物理临近攻击。
****Windows 系统安全增强方法概述:
***1.安装漏洞补丁(Patch)
***2.停止服务和卸载软件。
***3.升级或更换程序。
***4.修改配置或权限。
***5.去除特洛伊等恶意程序。
***6.安装专用的安全工具软件。
*
******Windows 系统安全增强流程:
***1.确认系统安全增强的系统安全目标和系统的业务用途。
***2.安装最小化的系统。
***3.安装最新的系统补丁。
***4.配置安装的系统服务。
***5.配置安全策略。
***6.禁用NetBios
***7.帐户安全配置。
***8.配置 TCP/IP 筛选和ICF(防火墙)。
***9.禁用光盘或软盘启动。
***10.文件系统安全配置。
***11.使用屏幕保护口令。
***12.设置应用软件安全。
***13.安装第三方防护软件。
*
******Continue:
**1.系统启动安全增强:C Only ,COMS 设置密码。
**2.帐号口令管理安全增强:1.停用Guest 帐户。2.限制不必要的用户数量。3.把系统的Administrator 改名。4.创建一个陷阱帐号。5.设置复杂的安全口令。6.设置屏幕保护口令。7.不让系统显示上次登录的用户名。8.开启口令安全策略。9.开启帐号策略。
**3.安装最新补丁。
**4.网络安全增强:1.禁止建立空连接。2.关闭默认共享。3.关闭不必要的网络服务和端口。
**5.增强TCP/IP 协议栈抗拒绝服务攻击能力。
**6.安装第三方防护软件。
*
******Windows 常见的系统漏洞及解决办法。
***1.Unicode 漏洞:eg : %C0%af% 代表 / ,用了两个字符,IIS 对超长序列不检查。
*解决方案:下载补丁。
***2.ISAPI 缓冲区扩展溢出。
*解决方案:下载补丁。
***3. IIS RDS : 利用管理员权限远端执行命令。
*解决方案:下载补丁。
***4.NetBIOS ,允许网络间共享文件。
*解决方案:
1. 解开文件和打印机共享绑定
鼠标右击桌面上[网络邻居]→[属性] →[本地连接] →[属性],去掉“Microsoft网络的文件和打印机共享”前面的勾,解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求,别人也就看不到本机的共享了。
2. 利用TCP/IP筛选
鼠标右击桌面上[网络邻居] →[属性]→[本地连接] →[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项], 在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮,选择“只允许”,再单击[添加]按钮(如图2),填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时,将不会有任何回应。
3. 使用IPSec安全策略
3.1 使用IPSec安全策略阻止对端口139和445的访问
选择[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地机器],在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则,这样别人使用扫描器扫描时,本机的139和445两个端口也不会给予任何回应。
4. 停止Server服务
选择[我的电脑]→[控制面板]→[管理工具]→[服务],进入服务管理器,关闭Server服务。这样虽然不会关闭端口,但可以中止本机对其他机器的服务,当然也就中止了对其他机器的共享。但是关闭了该服务会导致很多相关的服务无法启动,如机器中如果有IIS服务,则不能采用这种方法。
5. 使用防火墙防范攻击
在防火墙中也可以设置阻止其他机器使用本机共享。如在“天网个人防火墙”中,选择一条空规则,设置数据包方向为“接收”,对方IP地址选“任何地址”,协议设定为“TCP”,本地端口设置为“139到139”,对方端口设置为“0到0”,设置标志位为“SYN”,动作设置为“拦截”,最后单击[确定]按钮,并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了。
防范方法
在windows9x下如果你是个拨号用户。完全不需要登陆到nt局域网络环境的话。只需要在控制面板→网络→删除microsoft网络用户,使用microsoft友好登陆就可以了。但是如果你需要登陆到nt网络的话。那这一项就不能去处。因为nt网里需要使用netbios。在windowsNT下你可以取消netbios与TCP/IP协议的绑定。控制面板→网络→Netbios接口→WINS客户(tcp/ip)→禁用。确定。重启。这样nt的计算机名和工作组名也隐藏了,不过会造成基于netbios的一些命令无法使用。如net等。
在windowsNT下你可以选中网络邻居→右键→本地连接→INTERNET协议(TCP/IP)→属性→高级→选项→TCP/IP筛选→在“只允许”中填入除了137,138,139只外的端口。如果你在局域网中,会影响局域网的使用
在windowsXP下你可以在控制面板上点击管理工具-本地安全策略,右击"IP安全策略,在本地计算机"选择"管理IP筛选器表和筛选器操作",点添加,在对话框里填,随便写.只要你记得住.最好还是写"禁用135/139端口"比较看的懂.点右边的添加->下一步->源地址为"任何地址"->目的地址"我的地址"->协仪为TCP->在到此端口里填135或139就可以.
***5.空对话链接造成的信息泄露。
*解决方案:1.修改注册表。2.禁用NetBIOS 3.启用防火墙进行边界端口过滤。
***6.SAM 中的弱散列:口令 易被破解。
*解决方案:1.取消LAN Manager 在整个网络中的鉴定功能。2.注册表改键值。
***6.RPC 漏洞:远程过程调用协议。
*解决方案:安装补丁,防火墙阻断端口
***
***
相关文章推荐
- 网络安全基础篇之<十一>
- 网络安全基础篇之<十三>
- 网络安全基础篇之<十五>
- 网络安全基础篇之<六>
- 网络安全基础篇之<九>
- 网络安全基础篇之<十六>
- 网络安全基础篇之<五>
- 网络安全基础篇之<十四>
- 网络安全基础篇之<十七>
- 网络安全基础篇之<八>
- 网络安全基础篇之<七>
- 网络安全基础之<十八>
- 网络安全基础之<二>
- 网络安全基础之<十二>
- 计算机网络安全基础之<一>
- 计算机网络安全基础之<三>
- 黑马程序员 Java基础<十>---> IO流<2>(File类,Properties,打印流,合并流)
- 【Android基础篇】使用<include>标签分割Layout