網絡安全重在日常防護
[ 2007-03-25 03:45:39 | 作者: sun ]
近期讀了一些關于網絡入侵的文章,感覺到增強網絡安全是一項日常性的工作,并不是說網絡設備、服務器配置好了就絕對安全了,操作系統和一些軟件的漏洞是不斷被發現的,比如沖擊波、震蕩波病毒就是利用系統漏洞,同樣利用這些漏洞可以溢出得到系統管理員權限, server-U的提升權限漏洞也可以被利用。在這些漏洞未被發現前,我們覺得系統是安全的,其實還是不安全的,也許漏洞在未公布前已經被部分hacker 所知,也就是說系統和應用軟件我們不知道還會存在什么漏洞,那么日常性的防護就顯得尤為必要。
一、做好基礎性的防護工作,服務器安裝干凈的操作系統,不需要的服務一律不裝,多一項就多一種被入侵的可能性,打齊所有補丁,微軟的操作系統當然推薦WIN2K3,性能和安全性比WIN2K都有所增強,選擇一款優秀的殺毒軟件,至少能對付大多數木馬和病毒 的,安裝好殺毒軟件,設置好時間段自動上網升級,設置好帳號和權限,設置的用戶盡可能的少,對用戶的權限盡可能的小,密碼設置要足夠強壯。對于MSSQL,也要設置分配好權限,按照最小原則分配。最好禁用xp_cmdshell。有的網絡有硬件防火墻,當 然好,但僅僅依靠硬件防火墻,并不能阻擋hacker的攻擊,利用反向連接型的木馬和其他的辦法還是可以突破硬件防火墻的阻擋。WIN2K3系統自帶的防火墻功能還不夠強大,建議打開,但還需要安裝一款優秀的軟件防火墻保護系統,我一般習慣用ZA,論壇有 很多教程了。對于對互聯網提供服務的服務器,軟件防火墻的安全級別設置為最高,然后僅僅開放提供服務的端口,其他一律關閉,對于服務器上所有要訪問網絡的程序,現在防火墻都會給予提示是否允許訪問,根據情況對于系統升級,殺毒軟件自動升級等有必要訪問外網 的程序加到防火墻允許訪問列表。那么那些反向連接型的木馬就會被防火墻阻止,這樣至少系統多了一些安全性的保障,給hacker入侵就多一些阻礙。網絡上有很多基礎型的防護資料,大家可以查查相關服務器安全配置方面的資料。
二、修補所有已知的漏洞,未知的就沒法修補了,所以要養成良好的習慣,就是要經常去關注。了解自己的系統,知彼知己,百戰百勝。所有補丁是否打齊,比如mssql,server-U,論壇程序是否還有漏洞,每一個漏洞幾乎都是致命的,系統開了哪些服務,開了哪些端口,目前開的這些服務中有沒有漏洞可以被黑客應用,經常性的了解當前黑客攻擊的手法和可以被利用的漏洞,檢查自己的系統中是否存在這些漏洞。比如SQL注入漏洞,很多網站 都是因為這個服務器被入侵,如果我們作為網站或者服務器的管理者,我們就應該經常去關注這些技術,自己經常可以用一些安全性掃描工具檢測檢測,比如X- scan,snamp, nbsi,PHP注入檢測工具等,或者是用當前比較流行的hacker入侵工具檢測自己的系統是否存在漏洞,這得針對自己的系統開的服務去檢測,發現漏洞及時修補。網絡管理人員不可能對每一方面都很精通,可以請精通的人員幫助檢測,當然對于公司來說,如果 系統非常重要,應該請專業的安全機構來檢測,畢竟他們比較專業。
三、服務器的遠程管理,相信很多人都喜歡用server自帶的遠程終端,我也喜歡,簡潔速度快。但對于外網開放的服務器來說,就要謹慎了,要想到自己能用,那么這個端口就對外開放了,黑客也可以用,所以也要做一些防護了。一就是用證書策略來限制訪問者,給 TS配置安全證書,客戶端訪問需要安全證書。二就是限制能夠訪問服務器終端服務的IP地址。三是可以在前兩者的基礎上再把默認的3389端口改一下。當然也可以用其他的遠程管理軟件,pcanywhere也不錯。
四、另外一個容易忽視的環節是網絡容易被薄弱的環節所攻破,服務器配置安全了,但網絡存在其他不安全的機器,還是容易被攻破,“千里之堤,潰于蟻穴 ”。利用被控制的網絡中的一臺機器做跳板,可以對整個網絡進行滲透攻擊,所以安全的配置網絡中的機器也很必要。說到跳板攻擊,水平稍高一點的hacker攻擊一般都會隱藏其真實IP,所以說如果被入侵了,再去追查的話是很難成功的。Hacker利用控制的 肉雞,肉雞一般都是有漏洞被完全控制的計算機,安裝了一些代理程序或者黑客軟件,比如DDOS攻擊軟件,跳板程序等,這些肉雞就成為黑客的跳板,從而隱藏了真實IP。
五、最后想說的是即使大家經過層層防護,系統也未必就絕對安全了,但已經可以抵擋一般的hacker的攻擊了。連老大微軟都不能說他的系統絕對安全。系統即使只開放80端口, 如果服務方面存在漏洞的話,水平高的hacker還是可以鉆進去,所以最關鍵的一點我認為還是關注最新漏洞,發現就要及時修補。“攻就是防,防就是攻” ,這個觀點我比較贊同,我說的意思并不是要去攻擊別人的網站,而是要了解別人的攻擊手法,更好的做好防護。比如不知道什么叫克隆管理員賬號,也許你的機器已經被入侵并被克隆了賬號,可能你還不知道呢?如果知道有這種手法,也許就會更注意這方面。自己的網站 如果真的做得無漏洞可鉆,hacker也就無可奈何了。
希望大家有好的思路和經驗能夠多探討探討,要做好網絡安全還有很多細節需要注意,一個微小的疏忽都可能導致功虧一簣。
MRTG在IIS 6.0上實現入侵檢測功能
[ 2007-03-25 03:45:27 | 作者: sun ]
MRTG(Multi Router Traffic Grapher)是一個跨平臺的監控網絡鏈路流量負載的工具軟件,目前它可以運行在大多數Unix系統和Windows NT之上。它通過snmp協議從設備得到設備的流量信息,并將流量負載以包含PNG格式的圖形的HTML 文檔方式顯示給用戶,以非常直觀的形式顯示流量負載。
或許你還不知道,MRTG還是一個有效的入侵檢測工具。大家都知道,入侵者掃描與破壞后都能生成一些異常的網絡流量,而人們在一般情況下是意識不到的。但是MRTG卻能通過圖形化的形式給管理員提供入侵的信息。并可以查出數周之前的入侵信息,以備管理員參考。
一,攻擊行為對服務器造成的信息
1,攻擊者使用CGI漏洞掃描器對潛在的CGI漏洞腳本進行掃描時,HTTP 404 Not Found errors的記錄會增長。
2,攻擊者嘗試暴力破解服務器上的帳戶,HTTP 401 Authorization Required errors 的記錄會增長。
3,一種新的蠕蟲出現,某一個特定的協議的流量會增長。
4,蠕蟲通過傀儡主機,攻擊其他的服務器,出外的流量增加,并增大CPU的負荷。
5,入侵者嘗試SQL injection攻擊,HTTP 500 Server Errors記錄會增長。
6,垃圾郵件發送者在網絡上尋找中繼SMTP服務器來發送垃圾郵件,會造成SMTP的和DNS lookups流量大增,同時造成CPU負荷增大。
7,攻擊者進行DDOS攻擊,會造成ICMP流量,TCP連接,虛假的IP,多播廣播流量大增。造成浪費大量的帶寬。
看完上面的,我們可以總結出,攻擊者要入侵必須會影響到服務器的這些資源:: CPU, RAM,磁盤空間,網絡連接和帶寬。入侵者還有可能對服務器建立進程后門,開放端口,他們還對他們的入侵行為進行偽裝掩蓋,避免遭到入侵檢測系統的監視。
二,攻擊者使用以下的方法避免被檢測到:
1,探測掃描很長時間后,才進行真正的入侵進攻。
2,從多個主機進行攻擊,避免單一的主機記錄。
3,盡量避免入侵造成的CPU, RAM和驅動器的負荷。
4,利用管理員無人職守時入侵,在周末或者節假日發起攻擊。
三,對于IIS 6,我們需要監視的是
1,網絡流量,包括帶寬,數據包,連接的數量等。
2,網絡協議的異常錯誤。
3,網站的內外流量,包括用戶的權限設置,外部請求的錯誤流量等。
4,線程和進程。
四,在Windows 2003下安裝MRTG
在使用MRTG之前,你需要在你的服務器里安裝SNMP 服務。具體步驟如下:從控制面板中選擇添加/刪除程序,點擊添加和刪除windows組件。管理和監視工具中的詳細資料里就可以找到簡單網絡管理協議,即可安裝。
安裝成功后,你需要立刻安全配置一下,我們大家都知道,SNMP在網絡上決不是一個安全的協議,你可以通過http://support.microsoft.com/?kbid=324261這個連接來具體了解。但是我們只是在本地使用SNMP,但是還是建議你通過防火墻屏蔽SNMP的161與162端口和使用IPSec。并且要配置為obscure community string。在管理工具中,在服務中選擇安全,設為只讀訪問。盡管community string安全問題不多,但是你還是要避免使用community string為只讀訪問。
MRTG是一個用Perl編譯的C程序。你還要安裝ActivePerl來解決支持腳本的問題。下載最新的MRTG。可以到http://people.ee.ethz.ch/~oetiker/webtools/mrtg/pub/下載,
注意要選擇.zip的文件下載。這篇文章所使用的版本請到http://securityfocus.com/microsoft/images/burnett_MRTG_files.zip下載。
把MRTG解壓到C:\Program Files\MRTG目錄下。
在你的Inetpub目錄下為MRTG建立一個子目錄。為了安全,不要建立在wwwroot目錄下。然后,使用IIS建立一個MRTG的新站點。如果可能的話,最好能為MRTG站點配置一個主機頭和一個獨立的IP。也可以在一個已存在的目錄下為MRTG站點建立一個合法的虛擬目錄,也能達到同樣的目的。
注意,在新建立的MRTG站點不要運行可執行的腳本,只提供只讀訪問。在NTFS下,要注意對用戶的權限的設置。如果可能的話,最好對指定MRTG站點的IP來選擇特定的主機。
現在,就可以把配置文件放到C:\Program Files\MRTG\Bin下了,并把index.html 文件拷貝到你的\Inetpub\MRTG 目錄下。
下面,我們來測試一下,在命令提示符下輸入:
C:\ProgramFiles\MRTG>perl mrtg mrtg.cfg
如果一些正常的話,就會在在你的MRTG站點就有了一些配置文件。如果安裝失敗,你可以回顧一下你安裝的步驟,是否有錯誤,并參考MRTG 的參考手冊。
五,具體配置SNMP計數器
盡管微軟提供了SNMP的計數器,但是我發現它對一些應用程序支持有些問題,然而,MRTG卻能從很多的應用程序中得到消息。但是我們通過Windows Management Instrumentation (WMI) 也能得到包括所有的計數器的性能信息。同SNMP不同的是,微軟在WMI下了很大的時間和金錢。比如:我想得到關于線程和進程的信息,我可以使用以下的腳本輕易實現:
Set oWService=GetObject("winmgmts:\\localhost\root\cimv2")
Set colItems=oWService.ExecQuery("Select * FROM Win32_PerfFormattedData_PerfOS_System",,48)
For Each Item in colItems
Param1=Param1 + Item.Processes
Param2=Param2 + Item.Threads
Uptime=Item.SystemUptime
Next
WScript.Echo Param1
WScript.Echo Param2
WScript.Echo Uptime & " seconds"
WScript.Echo "LocalHost"
Another problem I had was getting detailed or custom web statistics through either SNMP or WMI. To solve that, I used Microsoft's LogParser tool to run custom queries from a simple batch file:
@for /f "tokens=1,2,3,4* delims=/ " %%i in ('date /t') do @set year=%%l&& @set month=%%j&& @set day=%%k
@set logfile=c:\windows\system32\LogFiles\%1\ex%YEAR:~2,2%%month%%day%.log
@If Exist %logfile% (
@logparser "Select COUNT(*) FROM %logfile% Where (sc-status>= 400AND sc-status<500)
AND TO_TIMESTAMP(date, time) > SUB(SYSTEM_TIMESTAMP(), TO_TIMESTAMP('5','m'))" -q
@logparser "Select COUNT(*) FROM %logfile% Where (sc-status>= 500AND sc-status<600)
AND TO_TIMESTAMP(date, time) > SUB(SYSTEM_TIMESTAMP(), TO_TIMESTAMP('5','m'))" -q
) ELSE (
@Echo %logfile%
@Echo 0
)
@Echo Unknown
@Echo %1
因為微軟的日志記錄工具也非常強大,和MRTG的計數器配合使用,在加上免費的入侵檢測系統Snort,效果會更好。
六,最后
在你自定義的完你的計數器完成之后,通過圖行化的狀況就可以輕易的找出入侵者。可以在網站http://snmpboy.msft.net看到在Windows 2003 server中的snmp更多的信息。
或許你還不知道,MRTG還是一個有效的入侵檢測工具。大家都知道,入侵者掃描與破壞后都能生成一些異常的網絡流量,而人們在一般情況下是意識不到的。但是MRTG卻能通過圖形化的形式給管理員提供入侵的信息。并可以查出數周之前的入侵信息,以備管理員參考。
一,攻擊行為對服務器造成的信息
1,攻擊者使用CGI漏洞掃描器對潛在的CGI漏洞腳本進行掃描時,HTTP 404 Not Found errors的記錄會增長。
2,攻擊者嘗試暴力破解服務器上的帳戶,HTTP 401 Authorization Required errors 的記錄會增長。
3,一種新的蠕蟲出現,某一個特定的協議的流量會增長。
4,蠕蟲通過傀儡主機,攻擊其他的服務器,出外的流量增加,并增大CPU的負荷。
5,入侵者嘗試SQL injection攻擊,HTTP 500 Server Errors記錄會增長。
6,垃圾郵件發送者在網絡上尋找中繼SMTP服務器來發送垃圾郵件,會造成SMTP的和DNS lookups流量大增,同時造成CPU負荷增大。
7,攻擊者進行DDOS攻擊,會造成ICMP流量,TCP連接,虛假的IP,多播廣播流量大增。造成浪費大量的帶寬。
看完上面的,我們可以總結出,攻擊者要入侵必須會影響到服務器的這些資源:: CPU, RAM,磁盤空間,網絡連接和帶寬。入侵者還有可能對服務器建立進程后門,開放端口,他們還對他們的入侵行為進行偽裝掩蓋,避免遭到入侵檢測系統的監視。
二,攻擊者使用以下的方法避免被檢測到:
1,探測掃描很長時間后,才進行真正的入侵進攻。
2,從多個主機進行攻擊,避免單一的主機記錄。
3,盡量避免入侵造成的CPU, RAM和驅動器的負荷。
4,利用管理員無人職守時入侵,在周末或者節假日發起攻擊。
三,對于IIS 6,我們需要監視的是
1,網絡流量,包括帶寬,數據包,連接的數量等。
2,網絡協議的異常錯誤。
3,網站的內外流量,包括用戶的權限設置,外部請求的錯誤流量等。
4,線程和進程。
四,在Windows 2003下安裝MRTG
在使用MRTG之前,你需要在你的服務器里安裝SNMP 服務。具體步驟如下:從控制面板中選擇添加/刪除程序,點擊添加和刪除windows組件。管理和監視工具中的詳細資料里就可以找到簡單網絡管理協議,即可安裝。
安裝成功后,你需要立刻安全配置一下,我們大家都知道,SNMP在網絡上決不是一個安全的協議,你可以通過http://support.microsoft.com/?kbid=324261這個連接來具體了解。但是我們只是在本地使用SNMP,但是還是建議你通過防火墻屏蔽SNMP的161與162端口和使用IPSec。并且要配置為obscure community string。在管理工具中,在服務中選擇安全,設為只讀訪問。盡管community string安全問題不多,但是你還是要避免使用community string為只讀訪問。
MRTG是一個用Perl編譯的C程序。你還要安裝ActivePerl來解決支持腳本的問題。下載最新的MRTG。可以到http://people.ee.ethz.ch/~oetiker/webtools/mrtg/pub/下載,
注意要選擇.zip的文件下載。這篇文章所使用的版本請到http://securityfocus.com/microsoft/images/burnett_MRTG_files.zip下載。
把MRTG解壓到C:\Program Files\MRTG目錄下。
在你的Inetpub目錄下為MRTG建立一個子目錄。為了安全,不要建立在wwwroot目錄下。然后,使用IIS建立一個MRTG的新站點。如果可能的話,最好能為MRTG站點配置一個主機頭和一個獨立的IP。也可以在一個已存在的目錄下為MRTG站點建立一個合法的虛擬目錄,也能達到同樣的目的。
注意,在新建立的MRTG站點不要運行可執行的腳本,只提供只讀訪問。在NTFS下,要注意對用戶的權限的設置。如果可能的話,最好對指定MRTG站點的IP來選擇特定的主機。
現在,就可以把配置文件放到C:\Program Files\MRTG\Bin下了,并把index.html 文件拷貝到你的\Inetpub\MRTG 目錄下。
下面,我們來測試一下,在命令提示符下輸入:
C:\ProgramFiles\MRTG>perl mrtg mrtg.cfg
如果一些正常的話,就會在在你的MRTG站點就有了一些配置文件。如果安裝失敗,你可以回顧一下你安裝的步驟,是否有錯誤,并參考MRTG 的參考手冊。
五,具體配置SNMP計數器
盡管微軟提供了SNMP的計數器,但是我發現它對一些應用程序支持有些問題,然而,MRTG卻能從很多的應用程序中得到消息。但是我們通過Windows Management Instrumentation (WMI) 也能得到包括所有的計數器的性能信息。同SNMP不同的是,微軟在WMI下了很大的時間和金錢。比如:我想得到關于線程和進程的信息,我可以使用以下的腳本輕易實現:
Set oWService=GetObject("winmgmts:\\localhost\root\cimv2")
Set colItems=oWService.ExecQuery("Select * FROM Win32_PerfFormattedData_PerfOS_System",,48)
For Each Item in colItems
Param1=Param1 + Item.Processes
Param2=Param2 + Item.Threads
Uptime=Item.SystemUptime
Next
WScript.Echo Param1
WScript.Echo Param2
WScript.Echo Uptime & " seconds"
WScript.Echo "LocalHost"
Another problem I had was getting detailed or custom web statistics through either SNMP or WMI. To solve that, I used Microsoft's LogParser tool to run custom queries from a simple batch file:
@for /f "tokens=1,2,3,4* delims=/ " %%i in ('date /t') do @set year=%%l&& @set month=%%j&& @set day=%%k
@set logfile=c:\windows\system32\LogFiles\%1\ex%YEAR:~2,2%%month%%day%.log
@If Exist %logfile% (
@logparser "Select COUNT(*) FROM %logfile% Where (sc-status>= 400AND sc-status<500)
AND TO_TIMESTAMP(date, time) > SUB(SYSTEM_TIMESTAMP(), TO_TIMESTAMP('5','m'))" -q
@logparser "Select COUNT(*) FROM %logfile% Where (sc-status>= 500AND sc-status<600)
AND TO_TIMESTAMP(date, time) > SUB(SYSTEM_TIMESTAMP(), TO_TIMESTAMP('5','m'))" -q
) ELSE (
@Echo %logfile%
@Echo 0
)
@Echo Unknown
@Echo %1
因為微軟的日志記錄工具也非常強大,和MRTG的計數器配合使用,在加上免費的入侵檢測系統Snort,效果會更好。
六,最后
在你自定義的完你的計數器完成之后,通過圖行化的狀況就可以輕易的找出入侵者。可以在網站http://snmpboy.msft.net看到在Windows 2003 server中的snmp更多的信息。
提升安全性Win XP必禁的十大服務
[ 2007-03-25 03:45:11 | 作者: sun ]
Windows提供了很多非常有價值的服務,但很多服務都是雙刃劍,用不好就會帶來諸多安全隱患。以下十項服務是對安全威脅較大的服務,建議普通用戶一定要禁用它。
Win XP必須禁止的服務
1.NetMeeting Remote Desktop Sharing:允許受權的用戶通過NetMeeting在網絡上互相訪問對方。這項服務對大多數個人用戶并沒有多大用處,況且服務的開啟還會帶來安全問題,因為上網時該服務會把用戶名以明文形式發送到連接它的客戶端,黑客的嗅探程序很容易就能探測到這些賬戶信息。
2.Universal Plug and Play Device Host:此服務是為通用的即插即用設備提供支持。這項服務存在一個安全漏洞,運行此服務的計算機很容易受到攻擊。攻擊者只要向某個擁有多臺Win XP系統的網絡發送一個虛假的UDP包,就可能會造成這些Win XP主機對指定的主機進行攻擊(DDoS)。另外如果向該系統1900端口發送一個UDP包,令“Location”域的地址指向另一系統的chargen端口,就有可能使系統陷入一個死循環,消耗掉系統的所有資源(需要安裝硬件時需手動開啟)。
3.Messenger:俗稱信使服務,電腦用戶在局域網內可以利用它進行資料交換(傳輸客戶端和服務器之間的Net Send和Alerter服務消息,此服務與Windows Messenger無關。如果服務停止,Alerter消息不會被傳輸)。這是一個危險而討厭的服務,Messenger服務基本上是用在企業的網絡管理上,但是垃圾郵件和垃圾廣告廠商,也經常利用該服務發布彈出式廣告,標題為“信使服務”。而且這項服務有漏洞,MSBlast和Slammer病毒就是用它來進行快速傳播的。
4.Terminal Services:允許多位用戶連接并控制一臺機器,并且在遠程計算機上顯示桌面和應用程序。如果你不使用Win XP的遠程控制功能,可以禁止它。
5.Remote Registry:使遠程用戶能修改此計算機上的注冊表設置。注冊表可以說是系統的核心內容,一般用戶都不建議自行更改,更何況要讓別人遠程修改,所以這項服務是極其危險的。
6.Fast User Switching Compatibility:在多用戶下為需要協助的應用程序提供管理。Windows XP允許在一臺電腦上進行多用戶之間的快速切換,但是這項功能有個漏洞,當你點擊“開始→注銷→快速切換”,在傳統登錄方式下重復輸入一個用戶名進行登錄時,系統會認為是暴力破解,而鎖定所有非管理員賬戶。如果不經常使用,可以禁止該服務。或者在“控制面板→用戶賬戶→更改用戶登錄或注銷方式”中取消“使用快速用戶切換”。
7.Telnet:允許遠程用戶登錄到此計算機并運行程序,并支持多種 TCP/IP Telnet客戶,包括基于 UNIX 和 Windows 的計算機。又一個危險的服務,如果啟動,遠程用戶就可以登錄、訪問本地的程序,甚至可以用它來修改你的ADSL Modem等的網絡設置。除非你是網絡專業人員或電腦不作為服務器使用,否則一定要禁止它。
8.Performance Logs And Alerts:收集本地或遠程計算機基于預先配置的日程參數的性能數據,然后將此數據寫入日志或觸發警報。為了防止被遠程計算機搜索數據,堅決禁止它。
9.Remote Desktop Help Session Manager:如果此服務被終止,遠程協助將不可用。
10.TCP/IP NetBIOS Helper:NetBIOS在Win 9X下就經常有人用它來進行攻擊,對于不需要文件和打印共享的用戶,此項也可以禁用
進階:可以禁止的服務
另外還有一些普通用戶可以按需求禁止的服務:
1.Alerter:通知所選用戶和計算機有關系統管理級警報。如果你未連上局域網且不需要管理警報,則可將其禁止。
2.Indexing Service:本地和遠程計算機上文件的索引內容和屬性,提供文件快速訪問。這項服務對個人用戶沒有多大用處。
3.Application Layer Gateway Service:為Internet連接共享和Internet連接防火墻提供第三方協議插件的支持。如果你沒有啟用Internet連接共享或Windows XP的內置防火墻,可以禁止該服務。
4.Uninterruptible Power Supply:管理連接到計算機的不間斷電源,沒有安裝UPS的用戶可以禁用。
5.Print Spooler:將文件加載到內存中以便稍后打印。如果沒裝打印機,可以禁用。
6.Smart Card:管理計算機對智能卡的讀取訪問。基本上用不上,可以禁用。
7.Ssdp Discovery Service:啟動家庭網絡上的upnp設備自動發現。具有upnp的設備還不多,對于我們來說這個服務是沒有用的。
8.Automatic Updates:自動從Windows Update網絡更新補丁。利用Windows Update功能進行升級,速度太慢,建議大家通過多線程下載工具下載補丁到本地硬盤后,再進行升級。
9.Clipbook:啟用“剪貼板查看器”儲存信息并與遠程計算機共享。如果不想與遠程計算機進行信息共享,就可以禁止。
10.Imapi Cd-burning Com Service:用Imapi管理CD錄制,雖然Win XP中內置了此功能,但是我們大多會選擇專業刻錄軟件,另外如果沒有安裝刻錄機的話,也可以禁止該服務。
11.Workstation:創建和維護到遠程服務的客戶端網絡連接。如果服務停止,這些連接都將不可用。
12.Error Reporting Service:服務和應用程序在非標準環境下運行時,允許錯誤報告。如果你不是專業人員,這個錯誤報告對你來說根本沒用。
再就是如下幾種服務對普通用戶而言也沒有什么作用,大家可以自己決定取舍,如:Routing and Remote Access、Net Logon、Network DDE和Network DDE DSDM。
Win XP必須禁止的服務
1.NetMeeting Remote Desktop Sharing:允許受權的用戶通過NetMeeting在網絡上互相訪問對方。這項服務對大多數個人用戶并沒有多大用處,況且服務的開啟還會帶來安全問題,因為上網時該服務會把用戶名以明文形式發送到連接它的客戶端,黑客的嗅探程序很容易就能探測到這些賬戶信息。
2.Universal Plug and Play Device Host:此服務是為通用的即插即用設備提供支持。這項服務存在一個安全漏洞,運行此服務的計算機很容易受到攻擊。攻擊者只要向某個擁有多臺Win XP系統的網絡發送一個虛假的UDP包,就可能會造成這些Win XP主機對指定的主機進行攻擊(DDoS)。另外如果向該系統1900端口發送一個UDP包,令“Location”域的地址指向另一系統的chargen端口,就有可能使系統陷入一個死循環,消耗掉系統的所有資源(需要安裝硬件時需手動開啟)。
3.Messenger:俗稱信使服務,電腦用戶在局域網內可以利用它進行資料交換(傳輸客戶端和服務器之間的Net Send和Alerter服務消息,此服務與Windows Messenger無關。如果服務停止,Alerter消息不會被傳輸)。這是一個危險而討厭的服務,Messenger服務基本上是用在企業的網絡管理上,但是垃圾郵件和垃圾廣告廠商,也經常利用該服務發布彈出式廣告,標題為“信使服務”。而且這項服務有漏洞,MSBlast和Slammer病毒就是用它來進行快速傳播的。
4.Terminal Services:允許多位用戶連接并控制一臺機器,并且在遠程計算機上顯示桌面和應用程序。如果你不使用Win XP的遠程控制功能,可以禁止它。
5.Remote Registry:使遠程用戶能修改此計算機上的注冊表設置。注冊表可以說是系統的核心內容,一般用戶都不建議自行更改,更何況要讓別人遠程修改,所以這項服務是極其危險的。
6.Fast User Switching Compatibility:在多用戶下為需要協助的應用程序提供管理。Windows XP允許在一臺電腦上進行多用戶之間的快速切換,但是這項功能有個漏洞,當你點擊“開始→注銷→快速切換”,在傳統登錄方式下重復輸入一個用戶名進行登錄時,系統會認為是暴力破解,而鎖定所有非管理員賬戶。如果不經常使用,可以禁止該服務。或者在“控制面板→用戶賬戶→更改用戶登錄或注銷方式”中取消“使用快速用戶切換”。
7.Telnet:允許遠程用戶登錄到此計算機并運行程序,并支持多種 TCP/IP Telnet客戶,包括基于 UNIX 和 Windows 的計算機。又一個危險的服務,如果啟動,遠程用戶就可以登錄、訪問本地的程序,甚至可以用它來修改你的ADSL Modem等的網絡設置。除非你是網絡專業人員或電腦不作為服務器使用,否則一定要禁止它。
8.Performance Logs And Alerts:收集本地或遠程計算機基于預先配置的日程參數的性能數據,然后將此數據寫入日志或觸發警報。為了防止被遠程計算機搜索數據,堅決禁止它。
9.Remote Desktop Help Session Manager:如果此服務被終止,遠程協助將不可用。
10.TCP/IP NetBIOS Helper:NetBIOS在Win 9X下就經常有人用它來進行攻擊,對于不需要文件和打印共享的用戶,此項也可以禁用
進階:可以禁止的服務
另外還有一些普通用戶可以按需求禁止的服務:
1.Alerter:通知所選用戶和計算機有關系統管理級警報。如果你未連上局域網且不需要管理警報,則可將其禁止。
2.Indexing Service:本地和遠程計算機上文件的索引內容和屬性,提供文件快速訪問。這項服務對個人用戶沒有多大用處。
3.Application Layer Gateway Service:為Internet連接共享和Internet連接防火墻提供第三方協議插件的支持。如果你沒有啟用Internet連接共享或Windows XP的內置防火墻,可以禁止該服務。
4.Uninterruptible Power Supply:管理連接到計算機的不間斷電源,沒有安裝UPS的用戶可以禁用。
5.Print Spooler:將文件加載到內存中以便稍后打印。如果沒裝打印機,可以禁用。
6.Smart Card:管理計算機對智能卡的讀取訪問。基本上用不上,可以禁用。
7.Ssdp Discovery Service:啟動家庭網絡上的upnp設備自動發現。具有upnp的設備還不多,對于我們來說這個服務是沒有用的。
8.Automatic Updates:自動從Windows Update網絡更新補丁。利用Windows Update功能進行升級,速度太慢,建議大家通過多線程下載工具下載補丁到本地硬盤后,再進行升級。
9.Clipbook:啟用“剪貼板查看器”儲存信息并與遠程計算機共享。如果不想與遠程計算機進行信息共享,就可以禁止。
10.Imapi Cd-burning Com Service:用Imapi管理CD錄制,雖然Win XP中內置了此功能,但是我們大多會選擇專業刻錄軟件,另外如果沒有安裝刻錄機的話,也可以禁止該服務。
11.Workstation:創建和維護到遠程服務的客戶端網絡連接。如果服務停止,這些連接都將不可用。
12.Error Reporting Service:服務和應用程序在非標準環境下運行時,允許錯誤報告。如果你不是專業人員,這個錯誤報告對你來說根本沒用。
再就是如下幾種服務對普通用戶而言也沒有什么作用,大家可以自己決定取舍,如:Routing and Remote Access、Net Logon、Network DDE和Network DDE DSDM。
詳解網站的安全保護方法
[ 2007-03-25 03:44:59 | 作者: sun ]
一、網站的通用保護方法
針對黑客威脅,網絡安全管理員采取各種手段增強服務器的安全,確保WWW服務的正常運行。象在Internet上的Email、ftp等服務器一樣,可以用如下的方法來對WWW服務器進行保護:
安全配置
關閉不必要的服務,最好是只提供WWW服務,安裝操作系統的最新補丁,將WWW服務升級到最新版本并安裝所有補丁,對根據WWW服務提供者的安全建議進行配置等,這些措施將極大提供WWW服務器本身的安全。
防火墻
安裝必要的防火墻,阻止各種掃描工具的試探和信息收集,甚至可以根據一些安全報告來阻止來自某些特定IP地址范圍的機器連接,給WWW服務器增加一個防護層,同時需要對防火墻內的網絡環境進行調整,消除內部網絡的安全隱患。
漏洞掃描
使用商用或免費的漏洞掃描和風險評估工具定期對服務器進行掃描,來發現潛在的安全問題,并確保由于升級或修改配置等正常的維護工作不會帶來安全問題。
入侵檢測系統
利用入侵檢測系統(IDS)的實時監控能力,發現正在進行的攻擊行為及攻擊前的試探行為,記錄黑客的來源及攻擊步驟和方法。
這些安全措施都將極大提供WWW服務器的安全,減少被攻擊的可能性。
二、網站的專用保護方法
盡管采用的各種安全措施能防止很多黑客的攻擊,然而由于各種操作系統和服務器軟件漏洞的不斷發現,攻擊方法層出不窮,技術高明的黑客還是能突破層層保護,獲得系統的控制權限,從而達到破壞主頁的目的。這種情況下,一些網絡安全公司推出了專門針對網站的保護軟件,只保護網站最重要的內容--網頁。一旦檢測到被保護的文件發生了{非正常的}改變,就進行恢復。一般情況下,系統首先需要對正常的頁面文件進行備份,然后啟動檢測機制,檢查文件是否被修改,如果被修改就需要進行恢復。我們對以下幾個方面的技術進行分析比較:
監測方式
本地和遠程:檢測可以是在本地運行一個監測端,也可以在網絡上的另一臺主機。如果是本地的話,監測端進程需要足夠的權限讀取被保護目錄或文件。監測端如果在遠端的話,WWW服務器需要開放一些服務并給監測端相應的權限,較常見的方式是直接利用服務器的開放的WWW服務,使用HTTP協議來監測被保護的文件和目錄。也可利用其它常用協議來檢測保護文件和目錄,如FTP等。采用本地方式檢測的優點是效率高,而遠程方式則具有平臺無關性,但會增加網絡流量等負擔。
定時和觸發:絕大部分保護軟件是使用的定時檢測的方式,不論在本地還是遠程檢測都是根據系統設定的時間定時檢測,還可將被保護的網頁分為不同等級,等級高的檢測時間間隔可以設得較短,以獲得較好的實時性,而將保護等級較低的網頁文件檢測時間間隔設得較長,以減輕系統的負擔。觸發方式則是利用操作系統提供的一些功能,在文件被創建、修改或刪除時得到通知,這種方法的優點是效率高,但無法實現遠程檢測。
比較方法
在判斷文件是否被修改時,往往采用被保護目錄和備份庫中的文件進行比較,比較最常見的方式全文比較。使用全文比較能直接、準確地判斷出該文件是否被修改。然而全文比較在文件較大較多時效率十分低下,一些保護軟件就采用文件的屬性如文件大小、創建修改時間等進行比較,這種方法雖然簡單高效,但也有嚴重的缺陷:{惡意入侵者}可以通過精心構造,把替換文件的屬性設置得和原文件完全相同,{從而使被惡意更改的文件無法被檢測出來}。另一種方案就是比較文件的數字簽名,最常見的是MD5簽名算法,由于數字簽名的不可偽造性,數字簽名能確保文件的相同。
恢復方式
恢復方式與備份庫存放的位置直接相關。如果備份庫存放在本地的話,恢復進程必須有寫被保護目錄或文件的權限。如果在遠程則需要通過文件共享或FTP的方式來進行,那么需要文件共享或FTP的帳號,并且該帳號擁有對被保護目錄或文件的寫權限。
備份庫的安全
當黑客發現其更換的主頁很快被恢復時,往往會激發起進一步破壞的欲望,此時備份庫的安全尤為重要。網頁文件的安全就轉變為備份庫的安全。對備份庫的保護一種是通過文件隱藏來實現,讓黑客無法找到備份目錄。另一種方法是對備份庫進行數字簽名,如果黑客修改了備份庫的內容,保護軟件可以通過簽名發現,就可停止WWW服務或使用一個默認的頁面。
通過以上分析比較我們發現各種技術都有其優缺點,需要結合實際的網絡環境來選擇最適合的技術方案。
三、網站保護的缺陷
盡管網站保護軟件能進一步提高系統的安全,仍然存在一些缺陷。首先這些保護軟件都是針對靜態頁面而設計,而現在動態頁面占據的范圍越來越大,盡管本地監測方式可以檢測腳本文件,但對腳本文件使用的數據庫卻無能為力。
另外,有些攻擊并不是針對頁面文件進行的,前不久泛濫成災的"Red Code"就是使用修改IIS服務的一個動態庫來達到攻擊頁面的目的。另一個方面,網站保護軟件本身會增加WWW服務器的負載,在WWW服務器負載本身已經很重的情況下,一定好仔細規劃好使用方案。
四、結論
本文討論了網站常用的保護方法,詳細地分析比較了專用網站保護軟件采用的各種技術實現和優缺點,并指出了其缺陷。安全雖不是使用某個工具或某些工具就可以解決的,但使用這些工具能幫助提高安全性,減少安全風險。
針對黑客威脅,網絡安全管理員采取各種手段增強服務器的安全,確保WWW服務的正常運行。象在Internet上的Email、ftp等服務器一樣,可以用如下的方法來對WWW服務器進行保護:
安全配置
關閉不必要的服務,最好是只提供WWW服務,安裝操作系統的最新補丁,將WWW服務升級到最新版本并安裝所有補丁,對根據WWW服務提供者的安全建議進行配置等,這些措施將極大提供WWW服務器本身的安全。
防火墻
安裝必要的防火墻,阻止各種掃描工具的試探和信息收集,甚至可以根據一些安全報告來阻止來自某些特定IP地址范圍的機器連接,給WWW服務器增加一個防護層,同時需要對防火墻內的網絡環境進行調整,消除內部網絡的安全隱患。
漏洞掃描
使用商用或免費的漏洞掃描和風險評估工具定期對服務器進行掃描,來發現潛在的安全問題,并確保由于升級或修改配置等正常的維護工作不會帶來安全問題。
入侵檢測系統
利用入侵檢測系統(IDS)的實時監控能力,發現正在進行的攻擊行為及攻擊前的試探行為,記錄黑客的來源及攻擊步驟和方法。
這些安全措施都將極大提供WWW服務器的安全,減少被攻擊的可能性。
二、網站的專用保護方法
盡管采用的各種安全措施能防止很多黑客的攻擊,然而由于各種操作系統和服務器軟件漏洞的不斷發現,攻擊方法層出不窮,技術高明的黑客還是能突破層層保護,獲得系統的控制權限,從而達到破壞主頁的目的。這種情況下,一些網絡安全公司推出了專門針對網站的保護軟件,只保護網站最重要的內容--網頁。一旦檢測到被保護的文件發生了{非正常的}改變,就進行恢復。一般情況下,系統首先需要對正常的頁面文件進行備份,然后啟動檢測機制,檢查文件是否被修改,如果被修改就需要進行恢復。我們對以下幾個方面的技術進行分析比較:
監測方式
本地和遠程:檢測可以是在本地運行一個監測端,也可以在網絡上的另一臺主機。如果是本地的話,監測端進程需要足夠的權限讀取被保護目錄或文件。監測端如果在遠端的話,WWW服務器需要開放一些服務并給監測端相應的權限,較常見的方式是直接利用服務器的開放的WWW服務,使用HTTP協議來監測被保護的文件和目錄。也可利用其它常用協議來檢測保護文件和目錄,如FTP等。采用本地方式檢測的優點是效率高,而遠程方式則具有平臺無關性,但會增加網絡流量等負擔。
定時和觸發:絕大部分保護軟件是使用的定時檢測的方式,不論在本地還是遠程檢測都是根據系統設定的時間定時檢測,還可將被保護的網頁分為不同等級,等級高的檢測時間間隔可以設得較短,以獲得較好的實時性,而將保護等級較低的網頁文件檢測時間間隔設得較長,以減輕系統的負擔。觸發方式則是利用操作系統提供的一些功能,在文件被創建、修改或刪除時得到通知,這種方法的優點是效率高,但無法實現遠程檢測。
比較方法
在判斷文件是否被修改時,往往采用被保護目錄和備份庫中的文件進行比較,比較最常見的方式全文比較。使用全文比較能直接、準確地判斷出該文件是否被修改。然而全文比較在文件較大較多時效率十分低下,一些保護軟件就采用文件的屬性如文件大小、創建修改時間等進行比較,這種方法雖然簡單高效,但也有嚴重的缺陷:{惡意入侵者}可以通過精心構造,把替換文件的屬性設置得和原文件完全相同,{從而使被惡意更改的文件無法被檢測出來}。另一種方案就是比較文件的數字簽名,最常見的是MD5簽名算法,由于數字簽名的不可偽造性,數字簽名能確保文件的相同。
恢復方式
恢復方式與備份庫存放的位置直接相關。如果備份庫存放在本地的話,恢復進程必須有寫被保護目錄或文件的權限。如果在遠程則需要通過文件共享或FTP的方式來進行,那么需要文件共享或FTP的帳號,并且該帳號擁有對被保護目錄或文件的寫權限。
備份庫的安全
當黑客發現其更換的主頁很快被恢復時,往往會激發起進一步破壞的欲望,此時備份庫的安全尤為重要。網頁文件的安全就轉變為備份庫的安全。對備份庫的保護一種是通過文件隱藏來實現,讓黑客無法找到備份目錄。另一種方法是對備份庫進行數字簽名,如果黑客修改了備份庫的內容,保護軟件可以通過簽名發現,就可停止WWW服務或使用一個默認的頁面。
通過以上分析比較我們發現各種技術都有其優缺點,需要結合實際的網絡環境來選擇最適合的技術方案。
三、網站保護的缺陷
盡管網站保護軟件能進一步提高系統的安全,仍然存在一些缺陷。首先這些保護軟件都是針對靜態頁面而設計,而現在動態頁面占據的范圍越來越大,盡管本地監測方式可以檢測腳本文件,但對腳本文件使用的數據庫卻無能為力。
另外,有些攻擊并不是針對頁面文件進行的,前不久泛濫成災的"Red Code"就是使用修改IIS服務的一個動態庫來達到攻擊頁面的目的。另一個方面,網站保護軟件本身會增加WWW服務器的負載,在WWW服務器負載本身已經很重的情況下,一定好仔細規劃好使用方案。
四、結論
本文討論了網站常用的保護方法,詳細地分析比較了專用網站保護軟件采用的各種技術實現和優缺點,并指出了其缺陷。安全雖不是使用某個工具或某些工具就可以解決的,但使用這些工具能幫助提高安全性,減少安全風險。
系統特性與web安全
[ 2007-03-25 03:44:47 | 作者: sun ]
一、WINDOWS系統
windows對..\的支持
windows對.的忽略
二、*nix系統
freebsd系統下/的利用
大小寫的區分
三,iis與apache
解析文件類型的利用
iis6的特性
apache文件名解析缺陷漏洞
四、配置文件的位置
==================================
一、WINDOWS系統
1、windows對..\的支持
特性:win系統下可以用..\進行跨目錄操作
利用:web入侵中進行跨目錄操作時,在web程序過濾了/的情況下,我們可以通過..\突破。
實例:MolyX Board的attachment.php中attach變量過慮不嚴漏洞(http://4ngel.net/article/50.htm)在angel的文章里提供的解決方案里,只過濾了/,并沒有對\過濾,導致在win主機上漏洞依舊,詳見:http://www.4ngel.net/blog/hei/index.php?action=show&id=92
2、windows對.的忽略
特性:win系統下在文件后綴后的.將被忽略,如test.php. 與test.php是等同的
利用:導致上傳文件時,被利用上傳webshell
實例:缺
二、*nix系統
1、freebsd系統下/的利用 (ps:也有可能存在于其他系統)
特性:freebsd下因系統文件格式不同導致可以利用/進行目錄列片攻擊:如在freebsd下運行cat / 得到根目錄下的所有文件夾及文件:
cat /
.
.. .snap(
dev\
usr
var stand犅p
etc? cdromg? distsg?
bin? boot唜<
lib \ libexec
mnt ? proc唜?( rescue?? root唜?? sbin唜??
tmp
sys ? .cshrc?? .profile
? COPYRIGHTe?
compat?
home]D? entropy \t service ( d greenarmy玩
利用:mysql注射時可以配合load_file()進行目錄列片攻擊。如load_file(0x2F) [0x2F為/的hex值] ,load_file(0x2Froot0x2F)
2、大小寫的區分
特性:*nix系統是文件格式區分大小寫,而windows系統不區分。
利用:最簡單的利用也是最直接的 用來區分web服務器使用的系統
實例:分別提交
http://www.4ngel.net/blog/hei/index.php 正常返回
http://www.4ngel.net/blog/hei/inDex.php 提示文件不存在
這個說明www.4ngel.net主機為非windows系統。
三,iis與apache
1、解析文件類型的利用
iis在支持asp外,還支持asa,cer,cdx,htr
apache+php在支持php外,還支持php3,php4,phpx等
由于web程序的過慮不足,導致可以上傳webshell
2、iis6的特性
IIS 6.0 目錄名里包含有文件.asp會導致其目錄下任意文件當做asp文件來運行。如我們把webshell保存到test.asp/webshell.gif,當iis6下訪問http://xxx/test.asp/webshell.gif 時webshell.gif被當作asp文件來解析。可以利用到通過數據庫備用得到的webshell,存放后門等方面。
3、apache文件名解析缺陷漏洞
apache 文件名解析時,是從后面開始檢查后綴,按最后一個合法后綴執行。如:cmdshell.php.heige 因為heige不被apache解析,所以apache把這個文件當php文件解析了.
利用:
a、有的web程序安裝后,會把install.php改名為install.php.lock,install.php.bak等等
實例:BMForum等
b、挖掘上傳漏洞
實例:Discuz!等
c、.....
四、配置文件的位置
每個系統都自己特定的配置文件(包括第3方軟件的配置文件)其位置也是相對固定的。文件內容包含了服務器的敏感信息。在我們利用web漏洞任意操作文件時(如 include包含漏洞,mysql注射load_file()的利用,等等)讀取或下載這些配置文件,導致敏感信息的泄露。如:
windows系統:boot.ini mysql的%SYSTEMROOT%/my.ini servu的c:\program files\serv-u\servudeamon.ini 等等
*nix系統的 etc/目錄下的文件 等等
小結
本文只是個人的一些經驗的整理,由于個人的知識有限,如果有什么不對的或者你有好的發現和經驗,等待您的分享!
windows對..\的支持
windows對.的忽略
二、*nix系統
freebsd系統下/的利用
大小寫的區分
三,iis與apache
解析文件類型的利用
iis6的特性
apache文件名解析缺陷漏洞
四、配置文件的位置
==================================
一、WINDOWS系統
1、windows對..\的支持
特性:win系統下可以用..\進行跨目錄操作
利用:web入侵中進行跨目錄操作時,在web程序過濾了/的情況下,我們可以通過..\突破。
實例:MolyX Board的attachment.php中attach變量過慮不嚴漏洞(http://4ngel.net/article/50.htm)在angel的文章里提供的解決方案里,只過濾了/,并沒有對\過濾,導致在win主機上漏洞依舊,詳見:http://www.4ngel.net/blog/hei/index.php?action=show&id=92
2、windows對.的忽略
特性:win系統下在文件后綴后的.將被忽略,如test.php. 與test.php是等同的
利用:導致上傳文件時,被利用上傳webshell
實例:缺
二、*nix系統
1、freebsd系統下/的利用 (ps:也有可能存在于其他系統)
特性:freebsd下因系統文件格式不同導致可以利用/進行目錄列片攻擊:如在freebsd下運行cat / 得到根目錄下的所有文件夾及文件:
cat /
.
.. .snap(
dev\
usr
var stand犅p
etc? cdromg? distsg?
bin? boot唜<
lib \ libexec
mnt ? proc唜?( rescue?? root唜?? sbin唜??
tmp
sys ? .cshrc?? .profile
? COPYRIGHTe?
compat?
home]D? entropy \t service ( d greenarmy玩
利用:mysql注射時可以配合load_file()進行目錄列片攻擊。如load_file(0x2F) [0x2F為/的hex值] ,load_file(0x2Froot0x2F)
2、大小寫的區分
特性:*nix系統是文件格式區分大小寫,而windows系統不區分。
利用:最簡單的利用也是最直接的 用來區分web服務器使用的系統
實例:分別提交
http://www.4ngel.net/blog/hei/index.php 正常返回
http://www.4ngel.net/blog/hei/inDex.php 提示文件不存在
這個說明www.4ngel.net主機為非windows系統。
三,iis與apache
1、解析文件類型的利用
iis在支持asp外,還支持asa,cer,cdx,htr
apache+php在支持php外,還支持php3,php4,phpx等
由于web程序的過慮不足,導致可以上傳webshell
2、iis6的特性
IIS 6.0 目錄名里包含有文件.asp會導致其目錄下任意文件當做asp文件來運行。如我們把webshell保存到test.asp/webshell.gif,當iis6下訪問http://xxx/test.asp/webshell.gif 時webshell.gif被當作asp文件來解析。可以利用到通過數據庫備用得到的webshell,存放后門等方面。
3、apache文件名解析缺陷漏洞
apache 文件名解析時,是從后面開始檢查后綴,按最后一個合法后綴執行。如:cmdshell.php.heige 因為heige不被apache解析,所以apache把這個文件當php文件解析了.
利用:
a、有的web程序安裝后,會把install.php改名為install.php.lock,install.php.bak等等
實例:BMForum等
b、挖掘上傳漏洞
實例:Discuz!等
c、.....
四、配置文件的位置
每個系統都自己特定的配置文件(包括第3方軟件的配置文件)其位置也是相對固定的。文件內容包含了服務器的敏感信息。在我們利用web漏洞任意操作文件時(如 include包含漏洞,mysql注射load_file()的利用,等等)讀取或下載這些配置文件,導致敏感信息的泄露。如:
windows系統:boot.ini mysql的%SYSTEMROOT%/my.ini servu的c:\program files\serv-u\servudeamon.ini 等等
*nix系統的 etc/目錄下的文件 等等
小結
本文只是個人的一些經驗的整理,由于個人的知識有限,如果有什么不對的或者你有好的發現和經驗,等待您的分享!
MAC地址與IP地址綁定的策略
[ 2007-03-25 03:44:36 | 作者: sun ]
引言 對“IP地址盜用”的解決方案絕大多數都是采取MAC與IP地址綁定策略,這種做法是十分危險的,本文將就這個問題進行探討。在這里需要聲明的是,本文是處于對對MAC與IP地址綁定策略安全的憂慮,不帶有任何黑客性質。
為什么要綁定MAC與IP 地址
影響網絡安全的因素很多,IP地址盜用或地址欺騙就是其中一個常見且危害極大的因素。現實中,許多網絡應用是基于IP的,比如流量統計、賬號控制等都將IP地址作為標志用戶的一個重要的參數。如果有人盜用了合法地址并偽裝成合法用戶,網絡上傳輸的數據就可能被破壞、竊聽,甚至盜用,造成無法彌補的損失。
盜用外部網絡的IP地址比較困難,因為路由器等網絡互連設備一般都會設置通過各個端口的IP地址范圍,不屬于該IP地址范圍的報文將無法通過這些互連設備。但如果盜用的是Ethernet內部合法用戶的IP地址,這種網絡互連設備顯然無能為力了。“道高一尺,魔高一丈”,對于Ethernet內部的IP地址被盜用,當然也有相應的解決辦法。綁定MAC地址與IP地址就是防止內部IP盜用的一個常用的、簡單的、有效的措施。
MAC與IP 地址綁定原理
IP地址的修改非常容易,而MAC地址存儲在網卡的EEPROM中,而且網卡的MAC地址是唯一確定的。因此,為了防止內部人員進行非法IP盜用(例如盜用權限更高人員的IP地址,以獲得權限外的信息),可以將內部網絡的IP地址與MAC地址綁定,盜用者即使修改了IP地址,也因MAC地址不匹配而盜用失敗:而且由于網卡MAC地址的唯一確定性,可以根據MAC地址查出使用該MAC地址的網卡,進而查出非法盜用者。
目前,很多單位的內部網絡,尤其是學校校園網都采用了MAC地址與IP地址的綁定技術。許多防火墻(硬件防火墻和軟件防火墻)為了防止網絡內部的IP地址被盜用,也都內置了MAC地址與IP地址的綁定功能。
從表面上看來,綁定MAC地址和IP地址可以防止內部IP地址被盜用,但實際上由于各層協議以及網卡驅動等實現技術,MAC地址與IP地址的綁定存在很大的缺陷,并不能真正防止內部IP地址被盜用。
破解MAC與IP地址綁定策略
IP地址和MAC地址簡介
現行的TCP/IP網絡是一個四層協議結構,從下往上依次為鏈路層、網絡層、傳輸層和應用層。
Ethernet協議是鏈路層協議,使用的地址是MAC地址。MAC地址是Ethernet網卡在Ethernet中的硬件標志,網卡生產時將其存于網卡的EEPROM中。網卡的MAC地址各不相同,MAC地址可以唯一標志一塊網卡。在Ethernet上傳輸的每個報文都含有發送該報文的網卡的MAC地址。
Ethernet根據Ethernet報文頭中的源MAC地址和目的MAC來識別報文的發送端和接收端。IP協議應用于網絡層,使用的地址為IP地址。使用IP協議進行通訊,每個IP報文頭中必須含有源IP和目的IP地址,用以標志該IP報文的發送端和接收端。在Ethernet上使用IP協議傳輸報文時,IP報文作為Ethernet報文的數據。IP地址對于Ethernet交換機或處理器是透明的。用戶可以根據實際網絡的需要為網卡配置一個或多個IP地址。MAC地址和IP地址之間并不存在一一對應的關系。
MAC地址存儲在網卡的EEPROM中并且唯一確定,但網卡驅動在發送Ethernet報文時,并不從EEPROM中讀取MAC地址,而是在內存中來建立一塊緩存區,Ethernet報文從中讀取源MAC地址。而且,用戶可以通過操作系統修改實際發送的Ethernet報文中的源MAC地址。既然MAC地址可以修改,那么MAC地址與IP地址的綁定也就失去了它原有的意義。
破解方案
下圖是破解試驗的結構示意圖。其內部服務器和外部服務器都提供Web服務,防火墻中實現了MAC地址和IP地址的綁定。報文中的源MAC地址與1P地址對如果無法與防火墻中設置的MAC地址與1P地址對匹配,將無法通過防火墻。主機2和內部服務器都是內部網絡中的合法機器;主機1是為了做實驗而新加入的機器。安裝的操作系統是W2000企業版,網卡是3Com的。
試驗需要修改主機1中網卡的MAC和IP地址為被盜用設備的MAC和IP地址。首先,在控制面板中選擇“網絡和撥號連接”,選中對應的網卡并點擊鼠標右鍵,選擇屬性,在屬性頁的“常規”頁中點擊“配置”按鈕。在配置屬性頁中選擇“高級”,再在“屬性”欄中選擇“Network Address”,在“值”欄中選中輸人框,然后在輸人框中輸人被盜用設備的MAC地址,MAC地址就修改成功了。
然后再將IP地址配置成被盜用設備的IP地址。盜用內部客戶機IP地址:將主機1的MAC地址和IP地址分別修改為主機2的MAC地址和IP地址。主機1可以訪問外部服務器,能夠順利地通過防火墻,訪問權限與主機2沒有分別。而且,與此同時主機2也可以正常地訪問外部服務器,完全不受主機1的影響。無論是主機2還是防火墻都察覺不到主機1的存在。主機1如果訪問內部服務器,根本無需通過防火墻,更是暢通無阻了。
盜用內部服務器IP地址:將主機1的MAC地址和U地址修改為內部服務器的MAC地址和IP地址。主機1也提供Web服務。為了使效果更明顯,主機1上提供的Web服務內容與內部服務器提供的內容不同。
因為在實際的實驗中主機1與主機2連在同一個HUB上,主機2的訪問請求總是先被主機1響應,主機2期望訪問的是內部服務器,得到的卻總是主機1提供的內容。更一般地,主機2如果試圖訪問內部服務器,獲得的到底是主機1提供的內容還是內部服務器提供的內容具有隨機性,要看它的訪問請求首先被誰響應,在后面的分析中我們將進一步對此進行闡述。
盜用服務器的MAC和IP危害可能更大,如果主機1提供的Web內容和內部服務器中的內容一樣,那么主機2將無法識別它訪問的到底是哪個機器;如果Web內容中要求輸人賬號、密碼等信息,那么這些信息對于主機1來說則是一覽無遺了。
破解成功的原因
上面的實驗驗證了綁定MAC地址與IP地址的確存在很大的缺陷,無法有效地防止內部IP地址被盜用。接下來,將從理論上對該缺陷進行詳細的分析。
缺陷存在的前提是網卡的混雜接收模式,所謂混雜接收模式是指網卡可以接收網絡上傳輸的所有報文,無論其目的MAC地址是否為該網卡的MAC地址。正是由于網卡支持混雜模式,才使網卡驅動程序支持MAC地址的修改成為可能;否則,就算修改了MAC地址,但是網卡根本無法接收相應地址的報文,該網卡就變得只能發送,無法接收,通信也就無法正常進行了。
MAC地址可以被盜用的直接原因是網卡驅動程序發送Ethernet報文的實現機制。Ethernet報文中的源MAC地址是驅動程序負責填寫的,但驅動程序并不從網卡的EEPROM中讀取MAC,而是在內存中建立一個MAC地址緩存區。網卡初始化的時候將EEPROM中的內容讀入到該緩存區。如果將該緩存區中的內容修改為用戶設置的MAC地址,以后發出去的Ethernet報文的源地址就是修改后的MAC地址了。
如果僅僅是修改MAC地址,地址盜用并不見得能夠得逞。Ethernet是基于廣播的,Ethernet網卡都能監聽到局域網中傳輸的所有報文,但是網卡只接收那些目的地址與自己的MAC地址相匹配的Ethernet報文。如果有兩臺具有相同MAC地址的主機分別發出訪問請求,而這兩個訪問請求的響應報文對于這兩臺主機都是匹配的,那么這兩臺主機就不只接收到自己需要的內容,而且還會接收到目的為另外一臺同MAC主機的內容。
按理說,兩臺主機因為接收了多余的報文后,都應該無法正常工作,盜用馬上就會被察覺,盜用也就無法繼續了;但是,在實驗中地址被盜用之后,各臺實驗設備都可以互不干擾的正常工作。這又是什么原因呢?答案應該歸結于上層使用的協議。
目前,網絡中最常用的協議是TCP/IP協議,網絡應用程序一般都是運行在TCP或者UDP之上。例如,實驗中Web服務器采用的HTTP協議就是基于TCP的。在TCP或者UDP中,標志通信雙方的不僅僅是IP地址,還包括端口號。在一般的應用中,用戶端的端口號并不是預先設置的,而是協議根據一定的規則生成的,具有隨機性。像上面利用IE來訪問Web服務器就是這樣。UDP或者TCP的端口號為16位二進制數,兩個16位的隨機數字相等的幾率非常小,恰好相等又談何容易?兩臺主機雖然MAC地址和IP地址相同,但是應用端口號不同,接收到的多余數據由于在TCP/UDP層找不到匹配的端口號,被當成無用的數據簡單地丟棄了,而TCP/UDP層的處理對于用戶層來說是透明的;所以用戶可以“正確無誤”地正常使用相應的服務,而不受地址盜用的干擾。
當然,某些應用程序的用戶端口號可能是用戶或者應用程序自己設置的,而不是交給協議來隨機的生成。那么,結果又會如何呢?例如,在兩臺MAC地址和IP地址都相同的主機上,啟動了兩個端口相同的應用程序,這兩個應用是不是就無法正常工作了呢?其實不盡然。
如果下層使用的是UDP協議,兩個應用將互相干擾無法正常工作。如果使用的是TCP協議,結果就不一樣了。因為TCP是面向連接的,為了實現重發機制,保證數據的正確傳輸,TCP引入了報文序列號和接收窗口的概念。在上述的端口號匹配的報文中,只有那些序列號的偏差屬于接收窗口之內的報文才會被接收,否則,會被認為是過期報文而丟棄。TCP協議中的報文的序列號有32位,每個應用程序發送的第一個報文的序列號是嚴格按照隨機的原則產生的,以后每個報文的序列號依次加1。
窗口的大小有16位,也就是說窗口最大可以是216,而序列號的范圍是232,主機期望接收的TCP數據的序列號正好也處于對方的接收范圍之內的概率為1/216,可謂小之又小。 TCP的序列號本來是為了實現報文的正確傳輸,現在卻成了地址盜用的幫兇。
解決MAC與IP地址綁定被破解的方法
解決MAC與IP地址綁定被破解的方法很多,主要以下幾種。
交換機端口、MAC地址和IP地址三者綁定的方法;代理服務與防火墻相結合的方法;用PPPoE協議進行用戶認證的方法;基于目錄服務策略的方法;統一身份認證與計費軟件相結合的方法等(這些方法的實現原理和過程可以參考拙作《校園網IP地址盜用解決方案》)。在這里筆者尤其推薦最后一種方法,這種方法是將校園網辦公自動化系統和網絡計費軟件結合在一起而實現的,這在校園網信息化建設的今天具有很強的實踐性。
為什么要綁定MAC與IP 地址
影響網絡安全的因素很多,IP地址盜用或地址欺騙就是其中一個常見且危害極大的因素。現實中,許多網絡應用是基于IP的,比如流量統計、賬號控制等都將IP地址作為標志用戶的一個重要的參數。如果有人盜用了合法地址并偽裝成合法用戶,網絡上傳輸的數據就可能被破壞、竊聽,甚至盜用,造成無法彌補的損失。
盜用外部網絡的IP地址比較困難,因為路由器等網絡互連設備一般都會設置通過各個端口的IP地址范圍,不屬于該IP地址范圍的報文將無法通過這些互連設備。但如果盜用的是Ethernet內部合法用戶的IP地址,這種網絡互連設備顯然無能為力了。“道高一尺,魔高一丈”,對于Ethernet內部的IP地址被盜用,當然也有相應的解決辦法。綁定MAC地址與IP地址就是防止內部IP盜用的一個常用的、簡單的、有效的措施。
MAC與IP 地址綁定原理
IP地址的修改非常容易,而MAC地址存儲在網卡的EEPROM中,而且網卡的MAC地址是唯一確定的。因此,為了防止內部人員進行非法IP盜用(例如盜用權限更高人員的IP地址,以獲得權限外的信息),可以將內部網絡的IP地址與MAC地址綁定,盜用者即使修改了IP地址,也因MAC地址不匹配而盜用失敗:而且由于網卡MAC地址的唯一確定性,可以根據MAC地址查出使用該MAC地址的網卡,進而查出非法盜用者。
目前,很多單位的內部網絡,尤其是學校校園網都采用了MAC地址與IP地址的綁定技術。許多防火墻(硬件防火墻和軟件防火墻)為了防止網絡內部的IP地址被盜用,也都內置了MAC地址與IP地址的綁定功能。
從表面上看來,綁定MAC地址和IP地址可以防止內部IP地址被盜用,但實際上由于各層協議以及網卡驅動等實現技術,MAC地址與IP地址的綁定存在很大的缺陷,并不能真正防止內部IP地址被盜用。
破解MAC與IP地址綁定策略
IP地址和MAC地址簡介
現行的TCP/IP網絡是一個四層協議結構,從下往上依次為鏈路層、網絡層、傳輸層和應用層。
Ethernet協議是鏈路層協議,使用的地址是MAC地址。MAC地址是Ethernet網卡在Ethernet中的硬件標志,網卡生產時將其存于網卡的EEPROM中。網卡的MAC地址各不相同,MAC地址可以唯一標志一塊網卡。在Ethernet上傳輸的每個報文都含有發送該報文的網卡的MAC地址。
Ethernet根據Ethernet報文頭中的源MAC地址和目的MAC來識別報文的發送端和接收端。IP協議應用于網絡層,使用的地址為IP地址。使用IP協議進行通訊,每個IP報文頭中必須含有源IP和目的IP地址,用以標志該IP報文的發送端和接收端。在Ethernet上使用IP協議傳輸報文時,IP報文作為Ethernet報文的數據。IP地址對于Ethernet交換機或處理器是透明的。用戶可以根據實際網絡的需要為網卡配置一個或多個IP地址。MAC地址和IP地址之間并不存在一一對應的關系。
MAC地址存儲在網卡的EEPROM中并且唯一確定,但網卡驅動在發送Ethernet報文時,并不從EEPROM中讀取MAC地址,而是在內存中來建立一塊緩存區,Ethernet報文從中讀取源MAC地址。而且,用戶可以通過操作系統修改實際發送的Ethernet報文中的源MAC地址。既然MAC地址可以修改,那么MAC地址與IP地址的綁定也就失去了它原有的意義。
破解方案
下圖是破解試驗的結構示意圖。其內部服務器和外部服務器都提供Web服務,防火墻中實現了MAC地址和IP地址的綁定。報文中的源MAC地址與1P地址對如果無法與防火墻中設置的MAC地址與1P地址對匹配,將無法通過防火墻。主機2和內部服務器都是內部網絡中的合法機器;主機1是為了做實驗而新加入的機器。安裝的操作系統是W2000企業版,網卡是3Com的。
試驗需要修改主機1中網卡的MAC和IP地址為被盜用設備的MAC和IP地址。首先,在控制面板中選擇“網絡和撥號連接”,選中對應的網卡并點擊鼠標右鍵,選擇屬性,在屬性頁的“常規”頁中點擊“配置”按鈕。在配置屬性頁中選擇“高級”,再在“屬性”欄中選擇“Network Address”,在“值”欄中選中輸人框,然后在輸人框中輸人被盜用設備的MAC地址,MAC地址就修改成功了。
然后再將IP地址配置成被盜用設備的IP地址。盜用內部客戶機IP地址:將主機1的MAC地址和IP地址分別修改為主機2的MAC地址和IP地址。主機1可以訪問外部服務器,能夠順利地通過防火墻,訪問權限與主機2沒有分別。而且,與此同時主機2也可以正常地訪問外部服務器,完全不受主機1的影響。無論是主機2還是防火墻都察覺不到主機1的存在。主機1如果訪問內部服務器,根本無需通過防火墻,更是暢通無阻了。
盜用內部服務器IP地址:將主機1的MAC地址和U地址修改為內部服務器的MAC地址和IP地址。主機1也提供Web服務。為了使效果更明顯,主機1上提供的Web服務內容與內部服務器提供的內容不同。
因為在實際的實驗中主機1與主機2連在同一個HUB上,主機2的訪問請求總是先被主機1響應,主機2期望訪問的是內部服務器,得到的卻總是主機1提供的內容。更一般地,主機2如果試圖訪問內部服務器,獲得的到底是主機1提供的內容還是內部服務器提供的內容具有隨機性,要看它的訪問請求首先被誰響應,在后面的分析中我們將進一步對此進行闡述。
盜用服務器的MAC和IP危害可能更大,如果主機1提供的Web內容和內部服務器中的內容一樣,那么主機2將無法識別它訪問的到底是哪個機器;如果Web內容中要求輸人賬號、密碼等信息,那么這些信息對于主機1來說則是一覽無遺了。
破解成功的原因
上面的實驗驗證了綁定MAC地址與IP地址的確存在很大的缺陷,無法有效地防止內部IP地址被盜用。接下來,將從理論上對該缺陷進行詳細的分析。
缺陷存在的前提是網卡的混雜接收模式,所謂混雜接收模式是指網卡可以接收網絡上傳輸的所有報文,無論其目的MAC地址是否為該網卡的MAC地址。正是由于網卡支持混雜模式,才使網卡驅動程序支持MAC地址的修改成為可能;否則,就算修改了MAC地址,但是網卡根本無法接收相應地址的報文,該網卡就變得只能發送,無法接收,通信也就無法正常進行了。
MAC地址可以被盜用的直接原因是網卡驅動程序發送Ethernet報文的實現機制。Ethernet報文中的源MAC地址是驅動程序負責填寫的,但驅動程序并不從網卡的EEPROM中讀取MAC,而是在內存中建立一個MAC地址緩存區。網卡初始化的時候將EEPROM中的內容讀入到該緩存區。如果將該緩存區中的內容修改為用戶設置的MAC地址,以后發出去的Ethernet報文的源地址就是修改后的MAC地址了。
如果僅僅是修改MAC地址,地址盜用并不見得能夠得逞。Ethernet是基于廣播的,Ethernet網卡都能監聽到局域網中傳輸的所有報文,但是網卡只接收那些目的地址與自己的MAC地址相匹配的Ethernet報文。如果有兩臺具有相同MAC地址的主機分別發出訪問請求,而這兩個訪問請求的響應報文對于這兩臺主機都是匹配的,那么這兩臺主機就不只接收到自己需要的內容,而且還會接收到目的為另外一臺同MAC主機的內容。
按理說,兩臺主機因為接收了多余的報文后,都應該無法正常工作,盜用馬上就會被察覺,盜用也就無法繼續了;但是,在實驗中地址被盜用之后,各臺實驗設備都可以互不干擾的正常工作。這又是什么原因呢?答案應該歸結于上層使用的協議。
目前,網絡中最常用的協議是TCP/IP協議,網絡應用程序一般都是運行在TCP或者UDP之上。例如,實驗中Web服務器采用的HTTP協議就是基于TCP的。在TCP或者UDP中,標志通信雙方的不僅僅是IP地址,還包括端口號。在一般的應用中,用戶端的端口號并不是預先設置的,而是協議根據一定的規則生成的,具有隨機性。像上面利用IE來訪問Web服務器就是這樣。UDP或者TCP的端口號為16位二進制數,兩個16位的隨機數字相等的幾率非常小,恰好相等又談何容易?兩臺主機雖然MAC地址和IP地址相同,但是應用端口號不同,接收到的多余數據由于在TCP/UDP層找不到匹配的端口號,被當成無用的數據簡單地丟棄了,而TCP/UDP層的處理對于用戶層來說是透明的;所以用戶可以“正確無誤”地正常使用相應的服務,而不受地址盜用的干擾。
當然,某些應用程序的用戶端口號可能是用戶或者應用程序自己設置的,而不是交給協議來隨機的生成。那么,結果又會如何呢?例如,在兩臺MAC地址和IP地址都相同的主機上,啟動了兩個端口相同的應用程序,這兩個應用是不是就無法正常工作了呢?其實不盡然。
如果下層使用的是UDP協議,兩個應用將互相干擾無法正常工作。如果使用的是TCP協議,結果就不一樣了。因為TCP是面向連接的,為了實現重發機制,保證數據的正確傳輸,TCP引入了報文序列號和接收窗口的概念。在上述的端口號匹配的報文中,只有那些序列號的偏差屬于接收窗口之內的報文才會被接收,否則,會被認為是過期報文而丟棄。TCP協議中的報文的序列號有32位,每個應用程序發送的第一個報文的序列號是嚴格按照隨機的原則產生的,以后每個報文的序列號依次加1。
窗口的大小有16位,也就是說窗口最大可以是216,而序列號的范圍是232,主機期望接收的TCP數據的序列號正好也處于對方的接收范圍之內的概率為1/216,可謂小之又小。 TCP的序列號本來是為了實現報文的正確傳輸,現在卻成了地址盜用的幫兇。
解決MAC與IP地址綁定被破解的方法
解決MAC與IP地址綁定被破解的方法很多,主要以下幾種。
交換機端口、MAC地址和IP地址三者綁定的方法;代理服務與防火墻相結合的方法;用PPPoE協議進行用戶認證的方法;基于目錄服務策略的方法;統一身份認證與計費軟件相結合的方法等(這些方法的實現原理和過程可以參考拙作《校園網IP地址盜用解決方案》)。在這里筆者尤其推薦最后一種方法,這種方法是將校園網辦公自動化系統和網絡計費軟件結合在一起而實現的,這在校園網信息化建設的今天具有很強的實踐性。
當心!HTML文件也能格式化你的硬盤
[ 2007-03-25 03:44:24 | 作者: sun ]
一日,忽然聽朋友說,他在上網的時候,不知點擊了什么東西,而將他的硬盤全部給格式化了。筆者首先的念頭就是:該不會是中了那個有名的國產宏病毒"七月殺手"?不過這個宏病毒是在系統Autoexec.bat文件中加入了"deltree c:/y",應該不會格式化整個硬盤。
曾經在某個雜志上看到過一個介紹,說什么IE瀏覽器可以通過執行ActiveX而把硬盤格式化,而且記得當時還公布了源代碼,只是當時公布的源代碼是針對西班牙版的Windows,對中文版的Windows沒有用,說不定那些代碼現在已經被一些高手給改成了針對中文Windows的呢。
問問自己的朋友,他也是稀里糊涂地被格式化掉硬盤的,當時進入的網站也不記得了。
沒有辦法,筆者只好自己跑到國內的一些網站去找類似的主題文章。皇天不負苦心人,終于找到了幾個可以格式化硬盤的HTML文件。網站上的版主出自好心,提醒下載的網友:只能供自己研究,不可害人。
考慮到危險性,筆者先用記事本隨便打開其中一個看看源代碼,沒有想到這個源文件竟給加了密,里面是用JavaScript寫的腳本,加密的部分好像只是一些字符的定義,而真正的腳本內容也只是顯示一些字符在屏幕上。
因為自己的機器是剛裝好的,沒有什么特別重要的數據,所以就抱著"過把癮就死"的念頭,用IE瀏覽器打開了這個HTML文件。
接著,瀏覽器發出一個警告:"該頁上的ActiveX控件與頁上的其它部分進行交互可能不安全,是否允許進行交互?"。
如果你選擇"是",則就會運行那些不安全控件。不過筆者試的這個HTML文件只是給大家開個玩笑,你打開它后,它說什么"你的C盤已經被它強行輸入格式化,一旦重新啟動就格式化了。
請不要啟動,立即保存有用的文件。"等諸如此類的話。筆者仔細檢查了一下Windows啟動程序里的內容,也沒有什么變化,于是放心大膽地重啟,果然是開的玩笑。
在下載的另外一個HTML文件中,看看源代碼,不禁嚇了一跳。程序僅有的不足30代代碼中有24行都是調用Windows里自帶的format.com命令,真是夠狠的。除了A、B兩個驅外,只要你能夠分的區C-Z,都會被格式化。
為了驗證其效果,又不想筆者的硬盤被格式化,筆者把Windows里自帶的format.com給改了名字,然后用IE打開該HTML文件,瀏覽器同樣發出一個警告:"該頁上的某些軟件(ActiveX控件)可能不安全。建議您不要運行。是否允許運行?"。
當你選擇"是"的時候,會彈出幾十個DOS窗口,可能是因為它找不到format.com這個文件,找開的所有DOS窗口都是什么顯示也沒有。
它不但調用了format.com,另外還加上了一些參數,如快速格式化等,再加上格式化時窗口就已經自動完成了硬盤格式化的工作,等你發現時也已經悔之晚矣。幸好筆者事先已經把硬盤里的format.com給改了名字,否則后果可想而知。
看來現在通過HTML文件來格式化中文版的Windows確實是可以做到的。以后大家上網可要小心點啦。不過,大家也不必怕被噎著而不吃飯,只要你按下面的方法做,照樣能痛快淋漓地進行網上沖浪。
一、不要隨便打開陌生人寄來的Email的附件,現在對于HTML文件,打開時如果出現所謂的"頁面含有不安全的ActiveX"等信息時都該小心了,最好不要運行該ActiveX控件。
二、將Windows系統里比較危險的一些程序改名,比如format.com、deltree.exe等。我們在Windows下真正用到這些DOS命令的情況并不是很多,所以對直接調用DOS命令來惡意破壞系統的代碼,改名不失為一種對付的好方法。你可以改為一些容易記的名字,如format.com改為format-1.com。
三、注意更新自己的系統,系統不一定是要最新的版本,但是其安全性方面的補丁就一定要注意,最好能去下載并安裝上。我們常用的反病毒、反黑客程序要定期去更新。
值得注意的是:對于筆者這次用到的格式化硬盤的HTML文件,還沒有什么反病毒、反黑客程序能夠做出反應(這也難怪,因為這個惡意代碼并不屬于病毒和黑客程序的范疇)。
四、在網上遇到的一些非法網站,如果它要求你下載或者點擊什么東西,要先看看說明,最好不要輕易相信。以前報紙上介紹的因為下載一個程序而造成撥號上網用戶支付國際長途電話費就是一個慘痛的教訓。
像筆者的朋友那樣因為在網上不聽網頁版主的勸告,硬要去試一試那些程序,結果糊里糊涂地硬盤被格,這個教訓大家也要好好地汲取。
曾經在某個雜志上看到過一個介紹,說什么IE瀏覽器可以通過執行ActiveX而把硬盤格式化,而且記得當時還公布了源代碼,只是當時公布的源代碼是針對西班牙版的Windows,對中文版的Windows沒有用,說不定那些代碼現在已經被一些高手給改成了針對中文Windows的呢。
問問自己的朋友,他也是稀里糊涂地被格式化掉硬盤的,當時進入的網站也不記得了。
沒有辦法,筆者只好自己跑到國內的一些網站去找類似的主題文章。皇天不負苦心人,終于找到了幾個可以格式化硬盤的HTML文件。網站上的版主出自好心,提醒下載的網友:只能供自己研究,不可害人。
考慮到危險性,筆者先用記事本隨便打開其中一個看看源代碼,沒有想到這個源文件竟給加了密,里面是用JavaScript寫的腳本,加密的部分好像只是一些字符的定義,而真正的腳本內容也只是顯示一些字符在屏幕上。
因為自己的機器是剛裝好的,沒有什么特別重要的數據,所以就抱著"過把癮就死"的念頭,用IE瀏覽器打開了這個HTML文件。
接著,瀏覽器發出一個警告:"該頁上的ActiveX控件與頁上的其它部分進行交互可能不安全,是否允許進行交互?"。
如果你選擇"是",則就會運行那些不安全控件。不過筆者試的這個HTML文件只是給大家開個玩笑,你打開它后,它說什么"你的C盤已經被它強行輸入格式化,一旦重新啟動就格式化了。
請不要啟動,立即保存有用的文件。"等諸如此類的話。筆者仔細檢查了一下Windows啟動程序里的內容,也沒有什么變化,于是放心大膽地重啟,果然是開的玩笑。
在下載的另外一個HTML文件中,看看源代碼,不禁嚇了一跳。程序僅有的不足30代代碼中有24行都是調用Windows里自帶的format.com命令,真是夠狠的。除了A、B兩個驅外,只要你能夠分的區C-Z,都會被格式化。
為了驗證其效果,又不想筆者的硬盤被格式化,筆者把Windows里自帶的format.com給改了名字,然后用IE打開該HTML文件,瀏覽器同樣發出一個警告:"該頁上的某些軟件(ActiveX控件)可能不安全。建議您不要運行。是否允許運行?"。
當你選擇"是"的時候,會彈出幾十個DOS窗口,可能是因為它找不到format.com這個文件,找開的所有DOS窗口都是什么顯示也沒有。
它不但調用了format.com,另外還加上了一些參數,如快速格式化等,再加上格式化時窗口就已經自動完成了硬盤格式化的工作,等你發現時也已經悔之晚矣。幸好筆者事先已經把硬盤里的format.com給改了名字,否則后果可想而知。
看來現在通過HTML文件來格式化中文版的Windows確實是可以做到的。以后大家上網可要小心點啦。不過,大家也不必怕被噎著而不吃飯,只要你按下面的方法做,照樣能痛快淋漓地進行網上沖浪。
一、不要隨便打開陌生人寄來的Email的附件,現在對于HTML文件,打開時如果出現所謂的"頁面含有不安全的ActiveX"等信息時都該小心了,最好不要運行該ActiveX控件。
二、將Windows系統里比較危險的一些程序改名,比如format.com、deltree.exe等。我們在Windows下真正用到這些DOS命令的情況并不是很多,所以對直接調用DOS命令來惡意破壞系統的代碼,改名不失為一種對付的好方法。你可以改為一些容易記的名字,如format.com改為format-1.com。
三、注意更新自己的系統,系統不一定是要最新的版本,但是其安全性方面的補丁就一定要注意,最好能去下載并安裝上。我們常用的反病毒、反黑客程序要定期去更新。
值得注意的是:對于筆者這次用到的格式化硬盤的HTML文件,還沒有什么反病毒、反黑客程序能夠做出反應(這也難怪,因為這個惡意代碼并不屬于病毒和黑客程序的范疇)。
四、在網上遇到的一些非法網站,如果它要求你下載或者點擊什么東西,要先看看說明,最好不要輕易相信。以前報紙上介紹的因為下載一個程序而造成撥號上網用戶支付國際長途電話費就是一個慘痛的教訓。
像筆者的朋友那樣因為在網上不聽網頁版主的勸告,硬要去試一試那些程序,結果糊里糊涂地硬盤被格,這個教訓大家也要好好地汲取。
電子郵件炸彈攻擊原理及相關預防方法
[ 2007-03-25 03:43:50 | 作者: sun ]
互聯網這個自由世界,導致一些別有用心的人利用網絡缺陷去攻擊網民。目前最為普遍的一種攻擊手段就是“郵件炸彈”,這也是我們這些個人用戶在網絡安全中最需要注意的地方。那什么是郵件炸彈,它有哪些危害,知道了厲害之后,我們該采取怎樣的辦法去對付電子郵件炸彈,以免遭非法用戶的“暗算”?對于這些問題的答案,相信大家在看完本篇文章后,一定是很清楚了。
郵件炸彈的概念
談起“炸彈”,腦海中馬上會出現一種戰爭場面,而所謂的電子郵件炸彈,危害與炸彈是一樣的,只不過是電子的,郵件炸彈具體說,指的是郵件發送者,利用特殊的電子郵件軟件,在很短的時間內連續不斷地將郵件郵寄給同一個收信人,在這些數以千萬計的大容量信件面前收件箱肯定不堪重負,而最終“爆炸身亡”。
我們往往會把郵件炸彈與郵件Spaming混淆,其實這兩者實質不盡相同。Spaming指的是發件者在同一時間內將同一電子郵件寄出給千萬個不同的用戶(或寄到新聞組),主要是一些公司用來宣傳其產品的廣告方式,這種方式一般不會對收件人造成太大的傷害。
郵件炸彈的危害
郵件炸彈可以說是目前網絡中最“流行”的一種惡作劇,而用來制作惡作劇的特殊程序也稱為E-mail Bomber。當某人所作所為引起了好事者不滿時,好事者就可以通過這種手段來發動進攻。這種攻擊手段不僅會干擾用戶的電子郵件系統的正常使用,甚至它還能影響到郵件系統所在的服務器系統的安全,造成整個網絡系統全部癱瘓,所以郵件炸彈具有很大危害。
郵件炸彈可以大量消耗網絡資源,常常導致網絡塞車,使大量的用戶不能正常地工作。通常,網絡用戶的信箱容量是很有限的,在有限的空間中,如果用戶在短時間內收到上千上萬封電子郵件,那么經過一輪郵件炸彈轟炸后的電子郵件的總容量很容易就把用戶有限的陣地擠垮。這樣用戶的郵箱中將沒有多余的空間接納新的郵件,那么新郵件將會被丟失或者被退回,這時用戶的郵箱已經失去了作用;另外,這些郵件炸彈所攜帶的大容量信息不斷在網絡上來回傳輸,很容易堵塞帶寬并不富裕的傳輸信道,這樣會加重服務器的工作強度,減緩了處理其他用戶的電子郵件的速度,從而導致了整個過程的延遲。
預防炸彈襲擊的措施
遭受“炸彈”襲擊后,第一個舉動可能就是對那些無聊之人表示極端的憤慨,同時也想“以其人之道還治其人之身”,讓這些“惡人”也嘗嘗“中彈”的滋味,于是有憤憤不平者可能會想到用電子郵件中的回復和轉信的功能將整個炸彈“回放”給發件人。然而這些狡猾的“惡人”可能想到他們的舉動會遭人唾罵、遭人報復,為避免“殺身之禍”,這些人早已將退路準備好,他們把電子郵件中的發信人和收信人的兩個地址欄都改換成了被攻擊者的郵件地址,如果你想報復他們的話,你的“回禮”行動不僅不能夠成功,而且他們還會讓你“搬起石頭砸自己的腳”,使你的郵箱“雪上加霜”,你所寄出的電子郵件就會永無止境地返回給自己。
作戰方法
報復肯定不是好方法,還是要預防為主。下面筆者推薦幾種“作戰方案”供大家參考:
向ISP求援
一旦信箱被轟炸了,但自己又沒有好的辦法來對付它,這時你應該做的就是拿起電話向你上網的ISP服務商求援,他們就會采取辦法幫你清除E-mail Bomb。
不要“惹是生非”在聊天室同人聊天,在論壇上與人爭鳴,都要注意言辭不可過激,更不能進行人身攻擊。否則……
采用過濾功能
在郵件軟件中安裝一個過濾器(比如說E-mail notify)是一種最有效的防范措施。在接收任何電子郵件之前預先檢查發件人的資料, 如果覺得有可疑之處,可以將之刪除,不讓它進入你的郵件系統。但這種做法有時會誤刪除一些有用的郵件。如果擔心有人惡意破壞你的信箱,給你發來一個“重磅炸彈”,你可以在郵件軟件中啟用過濾功能,把你的郵件服務器設置為,超過你信箱容量的大郵件時,自動進行刪除。
使用轉信功能
有些郵件服務器為了提高服務質量往往設有“自動轉信”功能,利用該功能可以在一定程度上解決容量特大郵件的攻擊。假設你申請了一個轉信信箱,利用該信箱的轉信功能和過濾功能,可以將那些不愿意看到的郵件統統過濾掉,刪除在郵件服務器中,或者將垃圾郵件轉移到自己其他免費的信箱中,或者干脆放棄使用被轟炸的郵箱,另外重新申請一個新的信箱。
謹慎使用自動回信功能
所謂“自動回信”就是指對方給你的這個信箱發來一封信而你沒有及時收取的話,郵件系統會按照你事先的設定自動給發信人回復一封確認收到的信件。這個功能本來給大家帶來了方便,但也有可能制造成郵件炸彈!試想一下,如果給你發信的人使用的郵件賬號系統也開啟了自動回信功能,那么當你收到他發來的信而沒有及時收取時,你的系統就會給他自動發送一封確認信。恰巧他在這段時間也沒有及時收取信件,那么他的系統又會自動給你發送一封確認收到的信。如此一來,這種自動發送的確認信便會在你們雙方的系統中不斷重復發送,直到把你們雙方的信箱都撐爆為止!
用專用工具來對付
如果你的郵箱不幸已經“中彈”,而且你還想繼續使用這個信箱名的話,可以用一些郵件工具軟件如PoP-It來清除這些垃圾信息。這些清除軟件可以登錄到郵件服務器上,使用其中的命令來刪除不需要的郵件,保留有用的信件。
郵件炸彈的概念
談起“炸彈”,腦海中馬上會出現一種戰爭場面,而所謂的電子郵件炸彈,危害與炸彈是一樣的,只不過是電子的,郵件炸彈具體說,指的是郵件發送者,利用特殊的電子郵件軟件,在很短的時間內連續不斷地將郵件郵寄給同一個收信人,在這些數以千萬計的大容量信件面前收件箱肯定不堪重負,而最終“爆炸身亡”。
我們往往會把郵件炸彈與郵件Spaming混淆,其實這兩者實質不盡相同。Spaming指的是發件者在同一時間內將同一電子郵件寄出給千萬個不同的用戶(或寄到新聞組),主要是一些公司用來宣傳其產品的廣告方式,這種方式一般不會對收件人造成太大的傷害。
郵件炸彈的危害
郵件炸彈可以說是目前網絡中最“流行”的一種惡作劇,而用來制作惡作劇的特殊程序也稱為E-mail Bomber。當某人所作所為引起了好事者不滿時,好事者就可以通過這種手段來發動進攻。這種攻擊手段不僅會干擾用戶的電子郵件系統的正常使用,甚至它還能影響到郵件系統所在的服務器系統的安全,造成整個網絡系統全部癱瘓,所以郵件炸彈具有很大危害。
郵件炸彈可以大量消耗網絡資源,常常導致網絡塞車,使大量的用戶不能正常地工作。通常,網絡用戶的信箱容量是很有限的,在有限的空間中,如果用戶在短時間內收到上千上萬封電子郵件,那么經過一輪郵件炸彈轟炸后的電子郵件的總容量很容易就把用戶有限的陣地擠垮。這樣用戶的郵箱中將沒有多余的空間接納新的郵件,那么新郵件將會被丟失或者被退回,這時用戶的郵箱已經失去了作用;另外,這些郵件炸彈所攜帶的大容量信息不斷在網絡上來回傳輸,很容易堵塞帶寬并不富裕的傳輸信道,這樣會加重服務器的工作強度,減緩了處理其他用戶的電子郵件的速度,從而導致了整個過程的延遲。
預防炸彈襲擊的措施
遭受“炸彈”襲擊后,第一個舉動可能就是對那些無聊之人表示極端的憤慨,同時也想“以其人之道還治其人之身”,讓這些“惡人”也嘗嘗“中彈”的滋味,于是有憤憤不平者可能會想到用電子郵件中的回復和轉信的功能將整個炸彈“回放”給發件人。然而這些狡猾的“惡人”可能想到他們的舉動會遭人唾罵、遭人報復,為避免“殺身之禍”,這些人早已將退路準備好,他們把電子郵件中的發信人和收信人的兩個地址欄都改換成了被攻擊者的郵件地址,如果你想報復他們的話,你的“回禮”行動不僅不能夠成功,而且他們還會讓你“搬起石頭砸自己的腳”,使你的郵箱“雪上加霜”,你所寄出的電子郵件就會永無止境地返回給自己。
作戰方法
報復肯定不是好方法,還是要預防為主。下面筆者推薦幾種“作戰方案”供大家參考:
向ISP求援
一旦信箱被轟炸了,但自己又沒有好的辦法來對付它,這時你應該做的就是拿起電話向你上網的ISP服務商求援,他們就會采取辦法幫你清除E-mail Bomb。
不要“惹是生非”在聊天室同人聊天,在論壇上與人爭鳴,都要注意言辭不可過激,更不能進行人身攻擊。否則……
采用過濾功能
在郵件軟件中安裝一個過濾器(比如說E-mail notify)是一種最有效的防范措施。在接收任何電子郵件之前預先檢查發件人的資料, 如果覺得有可疑之處,可以將之刪除,不讓它進入你的郵件系統。但這種做法有時會誤刪除一些有用的郵件。如果擔心有人惡意破壞你的信箱,給你發來一個“重磅炸彈”,你可以在郵件軟件中啟用過濾功能,把你的郵件服務器設置為,超過你信箱容量的大郵件時,自動進行刪除。
使用轉信功能
有些郵件服務器為了提高服務質量往往設有“自動轉信”功能,利用該功能可以在一定程度上解決容量特大郵件的攻擊。假設你申請了一個轉信信箱,利用該信箱的轉信功能和過濾功能,可以將那些不愿意看到的郵件統統過濾掉,刪除在郵件服務器中,或者將垃圾郵件轉移到自己其他免費的信箱中,或者干脆放棄使用被轟炸的郵箱,另外重新申請一個新的信箱。
謹慎使用自動回信功能
所謂“自動回信”就是指對方給你的這個信箱發來一封信而你沒有及時收取的話,郵件系統會按照你事先的設定自動給發信人回復一封確認收到的信件。這個功能本來給大家帶來了方便,但也有可能制造成郵件炸彈!試想一下,如果給你發信的人使用的郵件賬號系統也開啟了自動回信功能,那么當你收到他發來的信而沒有及時收取時,你的系統就會給他自動發送一封確認信。恰巧他在這段時間也沒有及時收取信件,那么他的系統又會自動給你發送一封確認收到的信。如此一來,這種自動發送的確認信便會在你們雙方的系統中不斷重復發送,直到把你們雙方的信箱都撐爆為止!
用專用工具來對付
如果你的郵箱不幸已經“中彈”,而且你還想繼續使用這個信箱名的話,可以用一些郵件工具軟件如PoP-It來清除這些垃圾信息。這些清除軟件可以登錄到郵件服務器上,使用其中的命令來刪除不需要的郵件,保留有用的信件。
詳解有關Windows系統下的權限設置
[ 2007-03-25 03:43:35 | 作者: sun ]
隨著動網論壇的廣泛應用和動網上傳漏洞的被發現以及SQL注入式攻擊越來越多的被使用,WEBSHELL讓防火墻形同虛設,一臺即使打了所有微軟補丁、只讓80端口對外開放的WEB服務器也逃不過被黑的命運。難道我們真的無能為力了嗎?其實,只要你弄明白了NTFS系統下的權限設置問題,我們可以對crackers們說:NO!
要打造一臺安全的WEB服務器,那么這臺服務器就一定要使用NTFS和Windows NT/2000/2003。眾所周知,Windows是一個支持多用戶、多任務的操作系統,這是權限設置的基礎,一切權限設置都是基于用戶和進程而言的,不同的用戶在訪問這臺計算機時,將會有不同的權限。DOS是個單任務、單用戶的操作系統。但是我們能說DOS沒有權限嗎?不能!當我們打開一臺裝有DOS操作系統的計算機的時候,我們就擁有了這個操作系統的管理員權限,而且,這個權限無處不在。所以,我們只能說DOS不支持權限的設置,不能說它沒有權限。隨著人們安全意識的提高,權限設置隨著NTFS的發布誕生了。
Windows NT里,用戶被分成許多組,組和組之間都有不同的權限,當然,一個組的用戶和用戶之間也可以有不同的權限。下面我們來談談NT中常見的用戶組。
Administrators:管理員組,默認情況下,Administrators中的用戶對計算機/域有不受限制的完全訪問權。分配給該組的默認權限允許對整個系統進行完全控制。所以,只有受信任的人員才可成為該組的成員。
Power Users:高級用戶組,Power Users 可以執行除了為 Administrators 組保留的任務外的其他任何操作系統任務。分配給 Power Users 組的默認權限允許 Power Users 組的成員修改整個計算機的設置。但Power Users 不具有將自己添加到 Administrators 組的權限。在權限設置中,這個組的權限是僅次于Administrators的。
Users:普通用戶組,這個組的用戶無法進行有意或無意的改動。因此,用戶可以運行經過驗證的應用程序,但不可以運行大多數舊版應用程序。Users 組是最安全的組,因為分配給該組的默認權限不允許成員修改操作系統的設置或用戶資料。Users 組提供了一個最安全的程序運行環境。在經過 NTFS 格式化的卷上,默認安全設置旨在禁止該組的成員危及操作系統和已安裝程序的完整性。用戶不能修改系統注冊表設置、操作系統文件或程序文件。Users 可以關閉工作站,但不能關閉服務器。Users 可以創建本地組,但只能修改自己創建的本地組。
Guests:來賓組,按默認值,來賓跟普通Users的成員有同等訪問權,但來賓帳戶的限制更多。
Everyone:顧名思義,所有的用戶,這個計算機上的所有用戶都屬于這個組。
其實還有一個組也很常見,它擁有和Administrators一樣、甚至比其還高的權限,但是這個組不允許任何用戶的加入,在察看用戶組的時候,它也不會被顯示出來,它就是SYSTEM組。系統和系統級的服務正常運行所需要的權限都是靠它賦予的。由于該組只有這一個用戶SYSTEM,也許把該組歸為用戶的行列更為貼切。
權限是有高低之分的,有高權限的用戶可以對低權限的用戶進行操作,但除了Administrators之外,其他組的用戶不能訪問 NTFS 卷上的其他用戶資料,除非他們獲得了這些用戶的授權。而低權限的用戶無法對高權限的用戶進行任何操作。
我們平常使用計算機的過程當中不會感覺到有權限在阻撓你去做某件事情,這是因為我們在使用計算機的時候都用的是Administrators中的用戶登陸的。這樣有利也有弊,利當然是你能去做你想做的任何一件事情而不會遇到權限的限制。弊就是以 Administrators 組成員的身份運行計算機將使系統容易受到特洛伊木馬、病毒及其他安全風險的威脅。訪問 Internet 站點或打開電子郵件附件的簡單行動都可能破壞系統。不熟悉的 Internet 站點或電子郵件附件可能有特洛伊木馬代碼,這些代碼可以下載到系統并被執行。如果以本地計算機的管理員身份登錄,特洛伊木馬可能使用管理訪問權重新格式化您的硬盤,造成不可估量的損失,所以在沒有必要的情況下,最好不用Administrators中的用戶登陸。Administrators中有一個在系統安裝時就創建的默認用戶——Administrator,Administrator 帳戶具有對服務器的完全控制權限,并可以根據需要向用戶指派用戶權利和訪問控制權限。因此強烈建議將此帳戶設置為使用強密碼。永遠也不可以從 Administrators 組刪除 Administrator 帳戶,但可以重命名或禁用該帳戶。由于大家都知道“管理員”存在于許多版本的 Windows 上,所以重命名或禁用此帳戶將使惡意用戶嘗試并訪問該帳戶變得更為困難。對于一個好的服務器管理員來說,他們通常都會重命名或禁用此帳戶。Guests用戶組下,也有一個默認用戶——Guest,但是在默認情況下,它是被禁用的。如果沒有特別必要,無須啟用此賬戶。我們可以通過“控制面板”——“管理工具”——“計算機管理”——“用戶和用戶組”來查看用戶組及該組下的用戶。
我們用鼠標右鍵單擊一個NTFS卷或NTFS卷下的一個目錄,選擇“屬性”——“安全”就可以對一個卷,或者一個卷下面的目錄進行權限設置,此時我們會看到以下七種權限:完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入、和特別的權限。“完全控制”就是對此卷或目錄擁有不受限制的完全訪問。地位就像Administrators在所有組中的地位一樣。選中了“完全控制”,下面的五項屬性將被自動被選中。“修改”則像Power users,選中了“修改”,下面的四項屬性將被自動被選中。下面的任何一項沒有被選中時,“修改”條件將不再成立。“讀取和運行”就是允許讀取和運行在這個卷或目錄下的任何文件,“列出文件夾目錄”和“讀取”是“讀取和運行”的必要條件。“列出文件夾目錄”是指只能瀏覽該卷或目錄下的子目錄,不能讀取,也不能運行。“讀取”是能夠讀取該卷或目錄下的數據。“寫入”就是能往該卷或目錄下寫入數據。而“特別”則是對以上的六種權限進行了細分。讀者可以自行對“特別”進行更深的研究,鄙人在此就不過多贅述了。
下面我們對一臺剛剛安裝好操作系統和服務軟件的WEB服務器系統和其權限進行全面的刨析。服務器采用Windows 2000 Server版,安裝好了SP4及各種補丁。WEB服務軟件則是用了Windows 2000自帶的IIS 5.0,刪除了一切不必要的映射。整個硬盤分為四個NTFS卷,C盤為系統卷,只安裝了系統和驅動程序;D盤為軟件卷,該服務器上所有安裝的軟件都在D盤中;E盤是WEB程序卷,網站程序都在該卷下的WWW目錄中;F盤是網站數據卷,網站系統調用的所有數據都存放在該卷的WWWDATABASE目錄下。這樣的分類還算是比較符合一臺安全服務器的標準了。希望各個新手管理員能合理給你的服務器數據進行分類,這樣不光是查找起來方便,更重要的是這樣大大的增強了服務器的安全性,因為我們可以根據需要給每個卷或者每個目錄都設置不同的權限,一旦發生了網絡安全事故,也可以把損失降到最低。當然,也可以把網站的數據分布在不同的服務器上,使之成為一個服務器群,每個服務器都擁有不同的用戶名和密碼并提供不同的服務,這樣做的安全性更高。不過愿意這樣做的人都有一個特點——有錢。好了,言歸正傳,該服務器的數據庫為MS-SQL,MS-SQL的服務軟件SQL2000安裝在d:\ms-sqlserver2K目錄下,給SA賬戶設置好了足夠強度的密碼,安裝好了SP3補丁。為了方便網頁制作員對網頁進行管理,該網站還開通了FTP服務,FTP服務軟件使用的是SERV-U 5.1.0.0,安裝在d:\ftpservice\serv-u目錄下。殺毒軟件和防火墻用的分別是Norton Antivirus和BlackICE,路徑分別為d:\nortonAV和d:\firewall\blackice,病毒庫已經升級到最新,防火墻規則庫定義只有80端口和21端口對外開放。網站的內容是采用動網7.0的論壇,網站程序在e:\www\bbs下。細心的讀者可能已經注意到了,安裝這些服務軟件的路徑我都沒有采用默認的路徑或者是僅僅更改盤符的默認路徑,這也是安全上的需要,因為一個黑客如果通過某些途徑進入了你的服務器,但并沒有獲得管理員權限,他首先做的事情將是查看你開放了哪些服務以及安裝了哪些軟件,因為他需要通過這些來提升他的權限。一個難以猜解的路徑加上好的權限設置將把他阻擋在外。相信經過這樣配置的WEB服務器已經足夠抵擋大部分學藝不精的黑客了。讀者可能又會問了:“這根本沒用到權限設置嘛!我把其他都安全工作都做好了,權限設置還有必要嗎?”當然有!智者千慮還必有一失呢,就算你現在已經把系統安全做的完美無缺,你也要知道新的安全漏洞總是在被不斷的發現。權限將是你的最后一道防線!那我們現在就來對這臺沒有經過任何權限設置,全部采用Windows默認權限的服務器進行一次模擬攻擊,看看其是否真的固若金湯。
假設服務器外網域名為http://www.webserver.com,用掃描軟件對其進行掃描后發現開放WWW和FTP服務,并發現其服務軟件使用的是IIS 5.0和Serv-u 5.1,用一些針對他們的溢出工具后發現無效,遂放棄直接遠程溢出的想法。打開網站頁面,發現使用的是動網的論壇系統,于是在其域名后面加個/upfile.asp,發現有文件上傳漏洞,便抓包,把修改過的ASP木馬用NC提交,提示上傳成功,成功得到WEBSHELL,打開剛剛上傳的ASP木馬,發現有MS-SQL、Norton Antivirus和BlackICE在運行,判斷是防火墻上做了限制,把SQL服務端口屏蔽了。通過ASP木馬查看到了Norton Antivirus和BlackICE的PID,又通過ASP木馬上傳了一個能殺掉進程的文件,運行后殺掉了Norton Antivirus和BlackICE。再掃描,發現1433端口開放了,到此,便有很多種途徑獲得管理員權限了,可以查看網站目錄下的conn.asp得到SQL的用戶名密碼,再登陸進SQL執行添加用戶,提管理員權限。也可以抓SERV-U下的ServUDaemon.ini修改后上傳,得到系統管理員權限。還可以傳本地溢出SERV-U的工具直接添加用戶到Administrators等等。大家可以看到,一旦黑客找到了切入點,在沒有權限限制的情況下,黑客將一帆風順的取得管理員權限。
那我們現在就來看看Windows 2000的默認權限設置到底是怎樣的。對于各個卷的根目錄,默認給了Everyone組完全控制權。這意味著任何進入電腦的用戶將不受限制的在這些根目錄中為所欲為。系統卷下有三個目錄比較特殊,系統默認給了他們有限制的權限,這三個目錄是Documents and settings、Program files和Winnt。對于Documents and settings,默認的權限是這樣分配的:Administrators擁有完全控制權;Everyone擁有讀&運,列和讀權限;Power users擁有讀&運,列和讀權限;SYSTEM同Administrators;Users擁有讀&運,列和讀權限。對于Program files,Administrators擁有完全控制權;Creator owner擁有特殊權限;Power users有完全控制權;SYSTEM同Administrators;Terminal server users擁有完全控制權,Users有讀&運,列和讀權限。對于Winnt,Administrators擁有完全控制權;Creator owner擁有特殊權限;Power users有完全控制權;SYSTEM同Administrators;Users有讀&運,列和讀權限。而非系統卷下的所有目錄都將繼承其父目錄的權限,也就是Everyone組完全控制權!
現在大家知道為什么我們剛剛在測試的時候能一帆風順的取得管理員權限了吧?權限設置的太低了!一個人在訪問網站的時候,將被自動賦予IUSR用戶,它是隸屬于Guest組的。本來權限不高,但是系統默認給的Everyone組完全控制權卻讓它“身價倍增”,到最后能得到Administrators了。那么,怎樣設置權限給這臺WEB服務器才算是安全的呢?大家要牢記一句話:“最少的服務+最小的權限=最大的安全”對于服務,不必要的話一定不要裝,要知道服務的運行是SYSTEM級的哦,對于權限,本著夠用就好的原則分配就是了。對于WEB服務器,就拿剛剛那臺服務器來說,我是這樣設置權限的,大家可以參考一下:各個卷的根目錄、Documents and settings以及Program files,只給Administrator完全控制權,或者干脆直接把Program files給刪除掉;給系統卷的根目錄多加一個Everyone的讀、寫權;給e:\www目錄,也就是網站目錄讀、寫權。最后,還要把cmd.exe這個文件給挖出來,只給Administrator完全控制權。經過這樣的設置后,再想通過我剛剛的方法入侵這臺服務器就是不可能完成的任務了。可能這時候又有讀者會問:“為什么要給系統卷的根目錄一個Everyone的讀、寫權?網站中的ASP文件運行不需要運行權限嗎?”問的好,有深度。是這樣的,系統卷如果不給Everyone的讀、寫權的話,啟動計算機的時候,計算機會報錯,而且會提示虛擬內存不足。當然這也有個前提——虛擬內存是分配在系統盤的,如果把虛擬內存分配在其他卷上,那你就要給那個卷Everyone的讀、寫權。ASP文件的運行方式是在服務器上執行,只把執行的結果傳回最終用戶的瀏覽器,這沒錯,但ASP文件不是系統意義上的可執行文件,它是由WEB服務的提供者——IIS來解釋執行的,所以它的執行并不需要運行的權限。
經過上面的講解以后,你一定對權限有了一個初步了了解了吧?想更深入的了解權限,那么權限的一些特性你就不能不知道了,權限是具有繼承性、累加性 、優先性、交叉性的。
繼承性是說下級的目錄在沒有經過重新設置之前,是擁有上一級目錄權限設置的。這里還有一種情況要說明一下,在分區內復制目錄或文件的時候,復制過去的目錄和文件將擁有它現在所處位置的上一級目錄權限設置。但在分區內移動目錄或文件的時候,移動過去的目錄和文件將擁有它原先的權限設置。
累加是說如一個組GROUP1中有兩個用戶USER1、USER2,他們同時對某文件或目錄的訪問權限分別為“讀取”和“寫入”,那么組GROUP1對該文件或目錄的訪問權限就為USER1和USER2的訪問權限之和,實際上是取其最大的那個,即“讀取”+“寫入”=“寫入”。 又如一個用戶USER1同屬于組GROUP1和GROUP2,而GROUP1對某一文件或目錄的訪問權限為“只讀”型的,而GROUP2對這一文件或文件夾的訪問權限為“完全控制”型的,則用戶USER1對該文件或文件夾的訪問權限為兩個組權限累加所得,即:“只讀”+“完全控制”=“完全控制”。
優先性,權限的這一特性又包含兩種子特性,其一是文件的訪問權限優先目錄的權限,也就是說文件權限可以越過目錄的權限,不顧上一級文件夾的設置。另一特性就是“拒絕”權限優先其它權限,也就是說“拒絕”權限可以越過其它所有其它權限,一旦選擇了“拒絕”權限,則其它權限也就不能取任何作用,相當于沒有設置。
交叉性是指當同一文件夾在為某一用戶設置了共享權限的同時又為用戶設置了該文件夾的訪問權限,且所設權限不一致時,它的取舍原則是取兩個權限的交集,也即最嚴格、最小的那種權限。如目錄A為用戶USER1設置的共享權限為“只讀”,同時目錄A為用戶USER1設置的訪問權限為“完全控制”,那用戶USER1的最終訪問權限為“只讀”。
權限設置的問題我就說到這了,在最后我還想給各位讀者提醒一下,權限的設置必須在NTFS分區中才能實現的,FAT32是不支持權限設置的。同時還想給各位管理員們一些建議:
1.養成良好的習慣,給服務器硬盤分區的時候分類明確些,在不使用服務器的時候將服務器鎖定,經常更新各種補丁和升級殺毒軟件。
2.設置足夠強度的密碼,這是老生常談了,但總有管理員設置弱密碼甚至空密碼。
3.盡量不要把各種軟件安裝在默認的路徑下。
4.在英文水平不是問題的情況下,盡量安裝英文版操作系統。
5.切忌在服務器上亂裝軟件或不必要的服務。
6.牢記:沒有永遠安全的系統,經常更新你的知識。
要打造一臺安全的WEB服務器,那么這臺服務器就一定要使用NTFS和Windows NT/2000/2003。眾所周知,Windows是一個支持多用戶、多任務的操作系統,這是權限設置的基礎,一切權限設置都是基于用戶和進程而言的,不同的用戶在訪問這臺計算機時,將會有不同的權限。DOS是個單任務、單用戶的操作系統。但是我們能說DOS沒有權限嗎?不能!當我們打開一臺裝有DOS操作系統的計算機的時候,我們就擁有了這個操作系統的管理員權限,而且,這個權限無處不在。所以,我們只能說DOS不支持權限的設置,不能說它沒有權限。隨著人們安全意識的提高,權限設置隨著NTFS的發布誕生了。
Windows NT里,用戶被分成許多組,組和組之間都有不同的權限,當然,一個組的用戶和用戶之間也可以有不同的權限。下面我們來談談NT中常見的用戶組。
Administrators:管理員組,默認情況下,Administrators中的用戶對計算機/域有不受限制的完全訪問權。分配給該組的默認權限允許對整個系統進行完全控制。所以,只有受信任的人員才可成為該組的成員。
Power Users:高級用戶組,Power Users 可以執行除了為 Administrators 組保留的任務外的其他任何操作系統任務。分配給 Power Users 組的默認權限允許 Power Users 組的成員修改整個計算機的設置。但Power Users 不具有將自己添加到 Administrators 組的權限。在權限設置中,這個組的權限是僅次于Administrators的。
Users:普通用戶組,這個組的用戶無法進行有意或無意的改動。因此,用戶可以運行經過驗證的應用程序,但不可以運行大多數舊版應用程序。Users 組是最安全的組,因為分配給該組的默認權限不允許成員修改操作系統的設置或用戶資料。Users 組提供了一個最安全的程序運行環境。在經過 NTFS 格式化的卷上,默認安全設置旨在禁止該組的成員危及操作系統和已安裝程序的完整性。用戶不能修改系統注冊表設置、操作系統文件或程序文件。Users 可以關閉工作站,但不能關閉服務器。Users 可以創建本地組,但只能修改自己創建的本地組。
Guests:來賓組,按默認值,來賓跟普通Users的成員有同等訪問權,但來賓帳戶的限制更多。
Everyone:顧名思義,所有的用戶,這個計算機上的所有用戶都屬于這個組。
其實還有一個組也很常見,它擁有和Administrators一樣、甚至比其還高的權限,但是這個組不允許任何用戶的加入,在察看用戶組的時候,它也不會被顯示出來,它就是SYSTEM組。系統和系統級的服務正常運行所需要的權限都是靠它賦予的。由于該組只有這一個用戶SYSTEM,也許把該組歸為用戶的行列更為貼切。
權限是有高低之分的,有高權限的用戶可以對低權限的用戶進行操作,但除了Administrators之外,其他組的用戶不能訪問 NTFS 卷上的其他用戶資料,除非他們獲得了這些用戶的授權。而低權限的用戶無法對高權限的用戶進行任何操作。
我們平常使用計算機的過程當中不會感覺到有權限在阻撓你去做某件事情,這是因為我們在使用計算機的時候都用的是Administrators中的用戶登陸的。這樣有利也有弊,利當然是你能去做你想做的任何一件事情而不會遇到權限的限制。弊就是以 Administrators 組成員的身份運行計算機將使系統容易受到特洛伊木馬、病毒及其他安全風險的威脅。訪問 Internet 站點或打開電子郵件附件的簡單行動都可能破壞系統。不熟悉的 Internet 站點或電子郵件附件可能有特洛伊木馬代碼,這些代碼可以下載到系統并被執行。如果以本地計算機的管理員身份登錄,特洛伊木馬可能使用管理訪問權重新格式化您的硬盤,造成不可估量的損失,所以在沒有必要的情況下,最好不用Administrators中的用戶登陸。Administrators中有一個在系統安裝時就創建的默認用戶——Administrator,Administrator 帳戶具有對服務器的完全控制權限,并可以根據需要向用戶指派用戶權利和訪問控制權限。因此強烈建議將此帳戶設置為使用強密碼。永遠也不可以從 Administrators 組刪除 Administrator 帳戶,但可以重命名或禁用該帳戶。由于大家都知道“管理員”存在于許多版本的 Windows 上,所以重命名或禁用此帳戶將使惡意用戶嘗試并訪問該帳戶變得更為困難。對于一個好的服務器管理員來說,他們通常都會重命名或禁用此帳戶。Guests用戶組下,也有一個默認用戶——Guest,但是在默認情況下,它是被禁用的。如果沒有特別必要,無須啟用此賬戶。我們可以通過“控制面板”——“管理工具”——“計算機管理”——“用戶和用戶組”來查看用戶組及該組下的用戶。
我們用鼠標右鍵單擊一個NTFS卷或NTFS卷下的一個目錄,選擇“屬性”——“安全”就可以對一個卷,或者一個卷下面的目錄進行權限設置,此時我們會看到以下七種權限:完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入、和特別的權限。“完全控制”就是對此卷或目錄擁有不受限制的完全訪問。地位就像Administrators在所有組中的地位一樣。選中了“完全控制”,下面的五項屬性將被自動被選中。“修改”則像Power users,選中了“修改”,下面的四項屬性將被自動被選中。下面的任何一項沒有被選中時,“修改”條件將不再成立。“讀取和運行”就是允許讀取和運行在這個卷或目錄下的任何文件,“列出文件夾目錄”和“讀取”是“讀取和運行”的必要條件。“列出文件夾目錄”是指只能瀏覽該卷或目錄下的子目錄,不能讀取,也不能運行。“讀取”是能夠讀取該卷或目錄下的數據。“寫入”就是能往該卷或目錄下寫入數據。而“特別”則是對以上的六種權限進行了細分。讀者可以自行對“特別”進行更深的研究,鄙人在此就不過多贅述了。
下面我們對一臺剛剛安裝好操作系統和服務軟件的WEB服務器系統和其權限進行全面的刨析。服務器采用Windows 2000 Server版,安裝好了SP4及各種補丁。WEB服務軟件則是用了Windows 2000自帶的IIS 5.0,刪除了一切不必要的映射。整個硬盤分為四個NTFS卷,C盤為系統卷,只安裝了系統和驅動程序;D盤為軟件卷,該服務器上所有安裝的軟件都在D盤中;E盤是WEB程序卷,網站程序都在該卷下的WWW目錄中;F盤是網站數據卷,網站系統調用的所有數據都存放在該卷的WWWDATABASE目錄下。這樣的分類還算是比較符合一臺安全服務器的標準了。希望各個新手管理員能合理給你的服務器數據進行分類,這樣不光是查找起來方便,更重要的是這樣大大的增強了服務器的安全性,因為我們可以根據需要給每個卷或者每個目錄都設置不同的權限,一旦發生了網絡安全事故,也可以把損失降到最低。當然,也可以把網站的數據分布在不同的服務器上,使之成為一個服務器群,每個服務器都擁有不同的用戶名和密碼并提供不同的服務,這樣做的安全性更高。不過愿意這樣做的人都有一個特點——有錢。好了,言歸正傳,該服務器的數據庫為MS-SQL,MS-SQL的服務軟件SQL2000安裝在d:\ms-sqlserver2K目錄下,給SA賬戶設置好了足夠強度的密碼,安裝好了SP3補丁。為了方便網頁制作員對網頁進行管理,該網站還開通了FTP服務,FTP服務軟件使用的是SERV-U 5.1.0.0,安裝在d:\ftpservice\serv-u目錄下。殺毒軟件和防火墻用的分別是Norton Antivirus和BlackICE,路徑分別為d:\nortonAV和d:\firewall\blackice,病毒庫已經升級到最新,防火墻規則庫定義只有80端口和21端口對外開放。網站的內容是采用動網7.0的論壇,網站程序在e:\www\bbs下。細心的讀者可能已經注意到了,安裝這些服務軟件的路徑我都沒有采用默認的路徑或者是僅僅更改盤符的默認路徑,這也是安全上的需要,因為一個黑客如果通過某些途徑進入了你的服務器,但并沒有獲得管理員權限,他首先做的事情將是查看你開放了哪些服務以及安裝了哪些軟件,因為他需要通過這些來提升他的權限。一個難以猜解的路徑加上好的權限設置將把他阻擋在外。相信經過這樣配置的WEB服務器已經足夠抵擋大部分學藝不精的黑客了。讀者可能又會問了:“這根本沒用到權限設置嘛!我把其他都安全工作都做好了,權限設置還有必要嗎?”當然有!智者千慮還必有一失呢,就算你現在已經把系統安全做的完美無缺,你也要知道新的安全漏洞總是在被不斷的發現。權限將是你的最后一道防線!那我們現在就來對這臺沒有經過任何權限設置,全部采用Windows默認權限的服務器進行一次模擬攻擊,看看其是否真的固若金湯。
假設服務器外網域名為http://www.webserver.com,用掃描軟件對其進行掃描后發現開放WWW和FTP服務,并發現其服務軟件使用的是IIS 5.0和Serv-u 5.1,用一些針對他們的溢出工具后發現無效,遂放棄直接遠程溢出的想法。打開網站頁面,發現使用的是動網的論壇系統,于是在其域名后面加個/upfile.asp,發現有文件上傳漏洞,便抓包,把修改過的ASP木馬用NC提交,提示上傳成功,成功得到WEBSHELL,打開剛剛上傳的ASP木馬,發現有MS-SQL、Norton Antivirus和BlackICE在運行,判斷是防火墻上做了限制,把SQL服務端口屏蔽了。通過ASP木馬查看到了Norton Antivirus和BlackICE的PID,又通過ASP木馬上傳了一個能殺掉進程的文件,運行后殺掉了Norton Antivirus和BlackICE。再掃描,發現1433端口開放了,到此,便有很多種途徑獲得管理員權限了,可以查看網站目錄下的conn.asp得到SQL的用戶名密碼,再登陸進SQL執行添加用戶,提管理員權限。也可以抓SERV-U下的ServUDaemon.ini修改后上傳,得到系統管理員權限。還可以傳本地溢出SERV-U的工具直接添加用戶到Administrators等等。大家可以看到,一旦黑客找到了切入點,在沒有權限限制的情況下,黑客將一帆風順的取得管理員權限。
那我們現在就來看看Windows 2000的默認權限設置到底是怎樣的。對于各個卷的根目錄,默認給了Everyone組完全控制權。這意味著任何進入電腦的用戶將不受限制的在這些根目錄中為所欲為。系統卷下有三個目錄比較特殊,系統默認給了他們有限制的權限,這三個目錄是Documents and settings、Program files和Winnt。對于Documents and settings,默認的權限是這樣分配的:Administrators擁有完全控制權;Everyone擁有讀&運,列和讀權限;Power users擁有讀&運,列和讀權限;SYSTEM同Administrators;Users擁有讀&運,列和讀權限。對于Program files,Administrators擁有完全控制權;Creator owner擁有特殊權限;Power users有完全控制權;SYSTEM同Administrators;Terminal server users擁有完全控制權,Users有讀&運,列和讀權限。對于Winnt,Administrators擁有完全控制權;Creator owner擁有特殊權限;Power users有完全控制權;SYSTEM同Administrators;Users有讀&運,列和讀權限。而非系統卷下的所有目錄都將繼承其父目錄的權限,也就是Everyone組完全控制權!
現在大家知道為什么我們剛剛在測試的時候能一帆風順的取得管理員權限了吧?權限設置的太低了!一個人在訪問網站的時候,將被自動賦予IUSR用戶,它是隸屬于Guest組的。本來權限不高,但是系統默認給的Everyone組完全控制權卻讓它“身價倍增”,到最后能得到Administrators了。那么,怎樣設置權限給這臺WEB服務器才算是安全的呢?大家要牢記一句話:“最少的服務+最小的權限=最大的安全”對于服務,不必要的話一定不要裝,要知道服務的運行是SYSTEM級的哦,對于權限,本著夠用就好的原則分配就是了。對于WEB服務器,就拿剛剛那臺服務器來說,我是這樣設置權限的,大家可以參考一下:各個卷的根目錄、Documents and settings以及Program files,只給Administrator完全控制權,或者干脆直接把Program files給刪除掉;給系統卷的根目錄多加一個Everyone的讀、寫權;給e:\www目錄,也就是網站目錄讀、寫權。最后,還要把cmd.exe這個文件給挖出來,只給Administrator完全控制權。經過這樣的設置后,再想通過我剛剛的方法入侵這臺服務器就是不可能完成的任務了。可能這時候又有讀者會問:“為什么要給系統卷的根目錄一個Everyone的讀、寫權?網站中的ASP文件運行不需要運行權限嗎?”問的好,有深度。是這樣的,系統卷如果不給Everyone的讀、寫權的話,啟動計算機的時候,計算機會報錯,而且會提示虛擬內存不足。當然這也有個前提——虛擬內存是分配在系統盤的,如果把虛擬內存分配在其他卷上,那你就要給那個卷Everyone的讀、寫權。ASP文件的運行方式是在服務器上執行,只把執行的結果傳回最終用戶的瀏覽器,這沒錯,但ASP文件不是系統意義上的可執行文件,它是由WEB服務的提供者——IIS來解釋執行的,所以它的執行并不需要運行的權限。
經過上面的講解以后,你一定對權限有了一個初步了了解了吧?想更深入的了解權限,那么權限的一些特性你就不能不知道了,權限是具有繼承性、累加性 、優先性、交叉性的。
繼承性是說下級的目錄在沒有經過重新設置之前,是擁有上一級目錄權限設置的。這里還有一種情況要說明一下,在分區內復制目錄或文件的時候,復制過去的目錄和文件將擁有它現在所處位置的上一級目錄權限設置。但在分區內移動目錄或文件的時候,移動過去的目錄和文件將擁有它原先的權限設置。
累加是說如一個組GROUP1中有兩個用戶USER1、USER2,他們同時對某文件或目錄的訪問權限分別為“讀取”和“寫入”,那么組GROUP1對該文件或目錄的訪問權限就為USER1和USER2的訪問權限之和,實際上是取其最大的那個,即“讀取”+“寫入”=“寫入”。 又如一個用戶USER1同屬于組GROUP1和GROUP2,而GROUP1對某一文件或目錄的訪問權限為“只讀”型的,而GROUP2對這一文件或文件夾的訪問權限為“完全控制”型的,則用戶USER1對該文件或文件夾的訪問權限為兩個組權限累加所得,即:“只讀”+“完全控制”=“完全控制”。
優先性,權限的這一特性又包含兩種子特性,其一是文件的訪問權限優先目錄的權限,也就是說文件權限可以越過目錄的權限,不顧上一級文件夾的設置。另一特性就是“拒絕”權限優先其它權限,也就是說“拒絕”權限可以越過其它所有其它權限,一旦選擇了“拒絕”權限,則其它權限也就不能取任何作用,相當于沒有設置。
交叉性是指當同一文件夾在為某一用戶設置了共享權限的同時又為用戶設置了該文件夾的訪問權限,且所設權限不一致時,它的取舍原則是取兩個權限的交集,也即最嚴格、最小的那種權限。如目錄A為用戶USER1設置的共享權限為“只讀”,同時目錄A為用戶USER1設置的訪問權限為“完全控制”,那用戶USER1的最終訪問權限為“只讀”。
權限設置的問題我就說到這了,在最后我還想給各位讀者提醒一下,權限的設置必須在NTFS分區中才能實現的,FAT32是不支持權限設置的。同時還想給各位管理員們一些建議:
1.養成良好的習慣,給服務器硬盤分區的時候分類明確些,在不使用服務器的時候將服務器鎖定,經常更新各種補丁和升級殺毒軟件。
2.設置足夠強度的密碼,這是老生常談了,但總有管理員設置弱密碼甚至空密碼。
3.盡量不要把各種軟件安裝在默認的路徑下。
4.在英文水平不是問題的情況下,盡量安裝英文版操作系統。
5.切忌在服務器上亂裝軟件或不必要的服務。
6.牢記:沒有永遠安全的系統,經常更新你的知識。
教你上網前保證Windows XP安全的辦法
[ 2007-03-25 03:43:12 | 作者: sun ]
當您安裝新的 Windows XP Home、Professional 計算機時,需要確保系統安裝了最新的更新軟件和安全軟件,以便在連接至 Internet 之前防御病毒和其它潛在威脅。連接至 Internet 后,定期更新操作系統和防病毒軟件也同樣重要。
下面這些步驟可幫助您以最新可用的 Windows XP 安全工具來設置新計算機。
第1步:正確安裝系統補丁
安裝完Windows XP后,我們接著馬上需要進行Windows XP SP2的安裝(硬盤剩余空間最好不要小于1.6GB),該補丁是2004年7月前發現的Windows XP系統安全漏洞的總包。
第2步:驗證防火墻
安裝完Windows XP SP2后,應該已安裝了 Windows 防火墻(XP SP防火墻的設置見隨后的教程)。
要驗證計算機是否安裝了 SP2,單擊“開始”、“我的電腦”,然后單擊“查看系統信息”以彈出“系統屬性”窗口。此信息列在“系統:”標題下。“系統屬性”窗口
第3步:獲取軟件更新
? 激活 Windows 自動更新。
? 插入調制解調器或網線以訪問 Internet,然后啟動“網絡連接向導”。
? 連接后,讓 Windows Update 安裝最新的安全更新和軟件更新。
一旦完成了所有更新且設定設置,您就可以在 Internet 沖浪了!只是要記住,勤于了解計算機安全技術很重要,因此,請定期運行 Windows Update,檢查最新的下載和產品更新,保持啟用自動更新并了解最新的安全威脅。同時多學習網絡安全防范知識。
