个人网络安全防卫手册
核心提示:网络技术的飞速发展,随之而来的不单单是舒服与便利,资料的使用、数据的安全更是让我们忧心仲仲,网络安全事件层见叠出。尽不夸大地说,不论是企业用户,还是个人用户,只是你上网,就身处危险当中!如何将这类危险降到最低点?本文试着将各种攻击伎俩列出,并给出具体的
网络技术的飞速发展,随之而来的不单单是舒服与便利,资料的使用、数据的安全更是让我们忧心仲仲,网络安全事件层见叠出。尽不夸大地说,不论是企业用户,还是个人用户,只是你上网,就身处危险当中!如何将这类危险降到最低点?本文试着将各种攻击伎俩列出,并给出具体的解决方案,希看能给你修建出1个安全的网络环境。
1、网络攻击概览
1.服务拒尽攻击
服务拒尽攻击企图通过使你的服务计算机崩溃或把它压跨来禁止你提供服务,服务拒尽攻击是最轻易实行的攻击行动,主要包括:
(1)死亡之ping (ping of death):由于在网络技术构成早期,路由器对数据包的最大尺寸都有限制,很多操纵系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取以后,要根据该标题头里包括的信息来为有效载荷天生缓冲区,当产生畸形的,宣称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配毛病,导致TCP/IP堆栈崩溃,导致接受方死机。
(2)泪滴(teardrop):泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包括的信息来实现攻击。IP分段含有唆使该分段所包括的是原包的哪1段的信息,某些TCP/IP(包括Service pack 4之前的NT)在收到含有堆叠偏移的捏造分段时将崩溃。
(3)UDP洪水(UDP flood):各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过捏造与某1主机的Chargen服务之间的1次的UDP连接,回复地址指向开着Echo服务的1台主机,这样就天生在两台主机之间的足够多的无用数据流,假设足够多的数据流就会导致带宽的服务攻击。
(4)SYN洪水(SYN flood):1些TCP/IP栈的实现只能等待从有限数目的计算机发来的ACK消息,由于他们只有有限的内存缓冲区用于创建连接,假设这1缓冲区布满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在1些创建连接不受限制的实现里,SYN洪水具有类似的影响。
未来的SYN洪水使人耽忧,由于开释洪水的其实不寻求响应,所以没法从1个简单高容量的传输中鉴别出来。
(5)Land攻击:在Land攻击中,1个特别打造的SYN包它的原地址和目标地址都被设置成某1个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建1个空连接,每1个这样的连接都将保存直到超时掉,对Land攻击反应不同,很多UNIX实现将崩溃,NT变得极其缓慢(大约延续5分钟)。
(6)Smurf攻击:1个简单的Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应对要求(ping)数据包来沉没受害主机的方式进行,终极导致该网络的所有主机都对此ICMP应对要求作出答复,导致网络阻塞,比ping of death洪水的流量高出1或两个数目级。更加复杂的Smurf将源地址改成第3方的受害者,终极导致第3方雪崩。
(7)Fraggle攻击:Fraggle攻击对Smurf攻击作了简单的修改,使用的是UDP应对消息而非ICMP。
(8)电子邮件炸弹:电子邮件炸弹是最古老的匿名攻击之1,通过设置1台机器不断的大量的向同1地址发送电子邮件,攻击者能够耗尽接受者网络的带宽。
(9)畸形消息攻击:各类操纵系统上的很多服务都存在此类题目,由于这些服务在处理信息之前没有进行适当正确的毛病校验,在收到畸形的信息可能会崩溃。
2.利用型攻击
利用型攻击是1类试图直接对你的机器进行控制的攻击,最多见的有3种:
(1)口令猜想:1旦黑客辨认了1台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户账号,成功的口令猜想能提供对机器的控制。
(2)特洛伊木马:特洛伊木马是1种或是直接由1个黑客,或是通过1个不使人起疑的用户秘密安装到目标系统的程序。1旦安装成功并取得治理员权限,安装此程序的人便可以够直接远程控制目标系统。最有效的1种叫做后门程序,恶意程序包括:NetBus、BackOrifice和BO2k,用于控制系统的良性程序如:netcat、VNC、pcAnywhere。理想的后门程序透明运行。
(3)缓冲区溢出:由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数,终很可能导致恶意用户编写1小段利用程序来进1步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当产生缓冲区溢出时,返回指针指向恶意代码,这样系统的控制权就会被夺取。
3.信息搜集型攻击
信息搜集型攻击其实不对目标本身造成危害,如名所示这类攻击被用来为进1步进侵提供有用的信息。主要包括:扫描技术、体系结构打探、利用信息服务。
(1)扫描技术:
地址扫描:应用ping这样的程序探测目标地址,对此作出响应的表示其存在。
端口扫描:通常使用1些软件,向大范围的主机连接1系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。
慢速扫描:由于1般扫描侦测器的实现是通过监视某个时间帧里1台特定主机发起的连接的数目(例如每秒10次)来决定是否是在被扫描,这样黑客可以通过使用扫描速度慢1些的扫描软件进行扫描。
体系结构探测:黑客使用具有已知响应类型的数据库的自开工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操纵系统都有其独特的响应方法(NT和Solaris的TCP/IP堆栈具体实现有所不同),通过将此独特的响应与数据库中的已知响应进行对照,黑客常常能够肯定出目标主机所运行的操纵系统。
(2)利用信息服务:
DNS域转换:DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以1些不同的方式加以利用。假设你保护着1台公共的DNS服务器,黑客只需实行1次域转换操纵便可以得到你所有主机的名称和内部IP地址。
Finger服务:黑客使用finger命令来打探1台finger服务器以获得关于该系统的用户的信息。
上进行过滤。
LDAP服务:黑客使用LDAP协议窥测网络内部的系统和它们的用户的信息。
4.假消息攻击
用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、捏造电子邮件。
(1)DNS高速缓存污染:由于DNS服务器与其他名称服务器交换信息的时候其实不进行身份验证,这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。
(2)捏造电子邮件:由于SMTP其实不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户捏造电子邮件,宣称是来自某个客户熟习并相信的人,并附带上可安装的特洛伊木马程序,或是1个引向恶意网站的连接。
1 2 3 4 5 下1页
核心提示:网络技术的飞速发展,随之而来的不单单是舒服与便利,资料的使用、数据的安全更是让我们忧心仲仲,网络安全事件层见叠出。尽不夸大地说,不论是企业用户,还是个人用户,只是你上网,就身处危险当中!如何将这类危险降到最低点?本文试着将各种攻击伎俩列出,并给出具体的
2、1般性防卫原则
对1些常见的攻击技术有所了解,可使我们更好地防范黑客的攻击。实在,很多网络安全危机,有多半来自于用户本身没有具有基本的网络安全常识。导致黑客有机会进侵计算机,到达破坏的目的。因此,不论是企业或个人用户加强本身的网络保防知识,有其尽对的必要性。
1. 必要的网络安全知识
(1)不要开启来路不明的邮件:很多黑客进侵主机的方式,都是先寄发内含进侵程序的E-mail给对方,欺骗对方开启附在邮件内的的履行文件,只要收件者在不知情的情况下履行了,进侵程序便无声无息的进驻到计算机里,任由黑客进进出出,不但盗取重要机密文件,乃至破坏掉整部计算机的硬盘资料。
因此,强烈建议常常收发电子邮件的朋友(特别在公司),开启每1封邮件时,无妨多留意,碰到来路不明的信件(如广告信),特别内含附加文件,且扩大名为EXE的文件,请别开启,由于这很有多是黑客进侵程序。最好的方式是将整封信件直接删除。
(2)谨慎邮件中的网页:即使不含履行文件的邮件,都有多是危险的!由于E-mail支持HTM格式的关系,使寄件者可以利用这个技术将邮件内容以网页(WebPage)的方式寄出,而利用IE浏览器的安全漏洞。这些漏洞,可让黑客撰写1些简单的JAVA程序,只要上网者点击上面的按钮,便可能让黑客从你的硬盘中盗取重要的文件(如,密码文件等)。因此,就算你只是开启网页,都可能遭受黑客的进侵。
(3)密码设定勿过于简单:1般使用者,面对账号或是邮件密码的设定,常常随便就以简单的数字,或是单纯的英文名字、单字设定。更离谱的是,有人就直接将密码跟账号设定成同1个,即是给了黑客最轻易猜中的机率。由于黑客有时要进侵计算机,若是碰到有密码保护的主机时,通常会试着先以简单的可能猜对方的密码,若这道防线被这么轻易的突破,那就失往设定密码的意义。因此,建议你在设定密码时,最好能以英文加上特定的数字(例如自己的生日),只要设定的密码愈复杂,就对网络安全的防护愈有保障。
(4)严禁账号及密码外借他人:有些朋友常常将自己的账号与密码借给他人,固然心想才借1下没关系,但却不知这是相当危险的行动。就算对方是多么熟的朋友,但究竟密码已不只自己知道而已,这便可能造成账号与密码外流,被人拿来做些犯法的事情了。
这类情形常产生在初学上网的朋友,由于不知该如何设定密码,便找来朋友或是计算机公司的工程师来帮忙,这时候假设对方是有心人,可能会记住你的账号跟密码,变成对方“免费”的账号,而受害者常常在接到拨接帐单时才惊觉,到时就为时已晚了。因此若是你不得已将账号及密码借给他人,也希看你能在最短的时间内更改原来的密码,以免他人用原来的密码登录你的账号。
(5)加强服务器主机的独立性:只要是局域网络架构,1定有1台以上的主机服务器,提供所有计算机的连结并予以控制。通常,这些计算机就是黑客攻击的目标。因此,企业内部应当对服务器主机的安全性加强控制,尽可能的将其独立,不要将重要的资料放置此处,利用某些方式将重要机密资料独立于其他机器,再另外由公司内部的网络进行连结。
(6)架构网络安全防卫系统:有鉴于网络进侵的严重性,很多网络安全软件公司,致力开发并研究出很多防卫系统安全的技术,罗列以下:
防火墙:英文原名为Firewall。它是1种文件在主机服务器与外界网络中间的“过滤器”。其功能就是有效地阻尽外界非法存取内部资料。
资料加密:网络上1些有心人士,会针对特定的资料在传输时,加以从中拦截,进而盗取机密文件。因此为了防范这类状态产生,便是先把资料用钥匙(KEY)进行重新编码,使拦截者即使得到资料,也没法获知内容。而这个钥匙则是由1连串的数字所组成。
认证身分:最多见的方式就是在登录主机时,系统询问你账号及密码,以开放1定程度的使用权限。但是,随着科技的进步,认证身份的方式千奇百怪,例如,指纹辨识、视网膜辨识、声音辨识、字迹动态辨识等。这都是为了取得更高的保防功能。
网络监控:这是1种由监视封包资料传送情形,来适时提示系统治理者,是否是传送不正常现象的防范措施。由于只要封包在传送期间,没有照着既定的路径进行,或是出现不正常现象,就有多是遭到有心人士的拦截了。
2.网络服务的安全性
所谓网络服务是指1般人上网要做的事情。例如,用浏览器在WWW上面获知讯息,以E-mail方式与远方的朋友联系,使用FTP传输文件或是Telnet到BBS站,与网友们聊个天南地北。固然网络上可以做这么多事,但只要略不谨慎,可能你在不知不觉中,已遭到黑客的进侵了。因此了解网络服务的安全性,是你必备的上网常识喔!
(1)WWW世界的圈套:当你在使用IE或Netscape浏览器翱翔在WWW中时,必须要谨慎某些看似奇特,或主题不明确的网站。可别以为浏览网页不会有甚么题目,却不知点点网页上的按钮,也能够让黑客从你的计算机中将你的密码文件回传到自己的计算机中。而且,这只是其中1种从WWW上盗取资料的方法。
(2)FTP:FTP是1种文件传输的服务,通过网络上架设的FTP主机,治理者可以提供访客上传或下载文件的服务,但这也一样存在着资料被黑客恶意进侵破坏的风险。而且这些网站有很多是所谓的“地下网站”,专门提供1些非法软件的取得服务,而这些软件由于来源不明,内含病毒或黑客程序的机率相当高,若没有高度的警觉心,你就很有可能成为黑客的下1个目标。
(3)E-mail:E-mail恐怕是每个上网者必用的网络服务。它夸大实时、迅速、环保等多种优良条件的特性,使现在的人们大大地改变了以往用纸跟邮票来传送邮件的习惯。不过E-mail是目前网络上传递病毒与黑客程序最好的途径。惟有加强自己本身的危机意识和网络安全常识,才能在享受这个科技带来的便利外,更能多1层安全上的保障。
(4)Telnet:Telnet是1种远程登录的网络服务。这个技术最多见的利用就是BBS。只要你接触网络有1段时间,应当都见识过BBS的威力吧!在1开始时,系统会要求你键进账号和密码,而当你键进数据时,这组账号及密码会以不加密的方式,直接送到提供服务的主机端。这段进程,相当轻易遭到有心人士的从中撷取资料,而对1般人惯性的将很多账号及密码都设为同1组的原因,恐怕这个损失将没法计算了。
(5)NEWS:这是网络上供人讨论网站的新闻群组,由于这样的群组夸大纯文字的特性,舍弃了图片与其他费时的网络资源,因此深获1般想上网取得实时讯息的朋友爱好。不过在NEWS上常常有很多内容及吸引人的广告文章,让人产生1种不劳而获的空想。若警觉性不高,可能你就中了黑客的骗局,而1步1步陷进往了。
上1页 1 2 3 4 5 下1页
核心提示:网络技术的飞速发展,随之而来的不单单是舒服与便利,资料的使用、数据的安全更是让我们忧心仲仲,网络安全事件层见叠出。尽不夸大地说,不论是企业用户,还是个人用户,只是你上网,就身处危险当中!如何将这类危险降到最低点?本文试着将各种攻击伎俩列出,并给出具体的
3、操纵系统安全配置
操纵系统是你使用计算机的动身点,所有对资料、文件的操纵都需要通过操纵系统来协同完成。由于操纵系统本身所存在的1些缺点,使得黑客能在你的计算机系统中随便进出。配置1个安全的计算机系统,将黑客“拒之门外”。
(1)Windows 2000服务器安全配置
1. 定制自己的Windows 2000 Server
(1)版本的选择:Windows 2000有各种语言的版本,对我们来讲,可以选择英文版或简体中文版。强烈建议,在语言不成为障碍的情况下,请1定使用英文版。要知道,微软的产品是以Bug & Patch而著称的,中文版的Bug远远多于英文版,而补钉1般还会迟最少半个月(也就是说1般微软公布了漏洞后你的机子还会有半个月处于无保护状态)。
(2)组件的定制:Windows 2000在默许情况下会安装1些常常使用的组件。但是,正是这个默许安装是极度危险的你应当确切地知道你需要哪些服务,而且仅仅安装你确切需要的服务。根据安全原则,最少的服务+最小的权限=最大的安全。典型的Web服务器需要的最小组件选择是:只安装IIS的ComFiles、IIS Snap-In、WWW Server组件。假设你确切需要安装其他组件,请慎重,特别是Indexing Service、FrontPage 2000 Server Extensions、Internet Service Manager(HTML)这几个危险服务。
(3)治理利用程序的选择:选择1个好的远程治理软件是非常重要的事,这不单单是安全方面的要求,也是利用方面的需要。Windows 2000的终端服务是基于RDP(远程桌面协议)的远程控制软件,它速度快,操纵方便,比较适适用来进行常规操纵。但是,终端服务也有其不足的地方,由于它使用的是虚拟桌面,当你使用终端服务进行安装软件或重启服务器等与真实桌面交互的操纵时,常常会出现哭笑不得的现象,例如,使用终端服务重启微软的认证服务器(Compaq, IBM等)可能会直接关机。所以,为了安全起见,建议再配备1个远程控制软件作为辅助,与终端服务互补,如PcAnyWhere就是1个不错的选择。
2. 正确安装Windows 2000 Server
(1)分区和逻辑盘的分配。有1些朋友为了省事,将硬盘仅仅分为1个逻辑盘,所有的软件都装在C盘上。建议最少建立两个分区,1个系统分区,1个利用程序分区,这是由于,微软的IIS常常会有泄漏源码/溢出的漏洞,假设把系统和IIS放在同1个驱动器会导致系统文件的泄漏乃至进侵者远程获得Admin。推荐的安全配置是建立3个逻辑驱动器,第1个大于2GB,用来装系统和重要的日志文件,第2个放IIS,第3个放FTP,这样不管IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。
(2)安装顺序的选择:Windows 2000在安装中有几个顺序是1定要留意的:
首先,甚么时候接进网络。Windows 2000在安装时有1个漏洞,在你输进Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输进的密码来保护它,这类情况1直延续到你再次启动后,在此期间,任何人都可以通过ADMIN$进进你的机器;同时,只要安装1完成,各种服务就会自动运行,而这时候的服务器是满身漏洞,非常轻易进进的,因此,在完全安装并配置好Windows 2000之前,1定不要把主机接进网络。
其次,补钉的安装。补钉的安装应当在所有益用程序安装完以后,由于补钉程序常常要替换/修改某些系统文件,假设先安装补钉再安装利用程序有可能导致补钉不能起到应有的效果。例如,IIS的HotFix就要求每次更改IIS的配置都需要安装。
3. 端口
端口是计算机和外部网络相连的逻辑接口,也是计算机的第1道屏障,端口配置正确与否直接影响到主机的安全。1般来讲,仅打开你需要使用的端口会比较安全,配置的方法:打开“本地连接属性”对话框,顺次点击“Internet协议(TCP/IP)→高级→选项→TCP/IP挑选→属性”,在打开的对话框中启用TCP/IP挑选。
4. IIS
IIS是微软的组件中漏洞最多的1个,所以IIS的配置是我们的重点:
(1)将\Inetpub目录完全删掉,然后在D盘建1个Inetpub目录,在IIS治理器中将主目录指向D:\Inetpub。
(2)将IIS安装时默许的Scripts等虚拟目录1概删除,假设你需要甚么权限的目录可以自己建(特别留意写权限和履行程序的权限,没有必要千万不要给)。
(3)利用程序配置:在IIS治理器中删除必须之外的任何无用映照。
(4)为了保险起见,你可使用IIS的备份功能,将上面的设定全部备份下来,这样便可以够随时恢复IIS的安全配置。假设你怕IIS负荷太高导致服务器满负荷死机,也能够在性能中打开CPU限制,例如将IIS的最大CPU使用率限制在70%。
5. 账号安全
Windows 2000的账号安全是另1个重点,首先,默许安装答应任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是1个远程用户也能够得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表HKEYLOCALMACHINE\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1来制止139空连接,实际上Windows 2000的本地安全策略就有这样的选项RestrictAnonymous(匿名连接的额外限制),这个选项有3个值:
0:None. Rely on default permissions(无,取决于默许的权限)。这个值是系统默许的,甚么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等,对服务器来讲这样的设置非常危险。
1:Do not allow enumeration of SAM accounts and shares(不答应枚举SAM帐号和共享)。这个值是只答应非NULL用户存取SAM账号信息和共享信息。
2:No access without explicit anonymous permissions(没有显式匿名权限就不答应访问)。这个值是在Windows 2000中才支持的,需要留意的是,假设你1旦使用了这个值,你的共享估计就全部完蛋,所以我推荐你还是设为1比较好。
好了,进侵者现在没有办法拿到我们的用户列表,我们的账户安全了……慢着,最少还有1个账户是可以跑密码的,这就是系统内建的Administrator。怎样办?在“计算机治理→用户账号”中右击Administrator,然后改名。然后再来把HKEYLOCALMACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon项中的“Don't Display Last User Name”串数据改成1,这样系统不会自动显示上次的登录用户名。
将服务器注册表\HKEYLOCALMACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon项中的Don't Display Last User Name串数据修改成1,隐躲上次登陆控制台的用户名。
上1页 1 2 3 4 5 下1页
核心提示:网络技术的飞速发展,随之而来的不单单是舒服与便利,资料的使用、数据的安全更是让我们忧心仲仲,网络安全事件层见叠出。尽不夸大地说,不论是企业用户,还是个人用户,只是你上网,就身处危险当中!如何将这类危险降到最低点?本文试着将各种攻击伎俩列出,并给出具体的
6.安全日志
Windows 2000的默许安装是不开启任何安全审核的。请你到“本地安全策略”的“审核策略”中打开相应的审核。推荐的审核是:
账户治理 成功/失败
登录事件 成功/失败
对象访问 失败
策略更改 成功/失败
特权使用 失败
系统事件 成功/失败
目录服务访问 失败
账户登录事件 成功/失败
与之相干的是在“账户策略”的“密码策略”中设定:
密码复杂性要求 启用
密码长度最小值 6位
强迫密码历史 5次
最长存留期 30天
在”账户策略”的“账户锁定策略”中设定:
账户锁定 3次毛病登录
锁定时间 20分钟
复位锁定计数 20分钟
7. 目录和文件权限
为了控制好服务器上用户的权限,同时也为了预防以后可能的进侵,我们还必须设置目录和文件的访问权限,Windows 2000的访问权限分为:读取、写进、读取及履行、修改、列目录、完全控制。在默许的情况下,大多数的文件夹对所有用户是完全敞开的,你需要根据利用的需要进行权限重设。
在进行权限控制时,请记住以下几个原则:
(1)权限是累计的:假设1个用户同时属于两个组,那末他就有了这两个组所答应的所有权限。
(2)拒尽的权限要比答应的权限高。假设1个用户属于1个被拒尽访问某个资源的组,那末不管其他的权限设置给他开放了多少权限,他也不能访问这个资源。
(3)文件权限比文件夹权限高。
(4)仅给用户真正需要的权限,权限的最小化原则是安全的重要保障。
8. 预防DoS
在注册表\HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御1定强度的DoS攻击:
名称 类型 值
SynAttackProtect REGDWORD 2
EnablePMTUDiscovery REGDWORD 0
NoNameReleaseOnDemand REGDWORD 1
EnableDeadGWDetect REGDWORD 0
KeepAliveTime REGDWORD 300,000
PerformRouterDiscovery REGDWORD 0
EnableICMPRedirects REGDWORD 0
9. ICMP攻击
ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法,实在应付的方法也很简单,Windows 2000自带1个Routing & Remote Access工具,这个工具初具路由器的雏形。在这个工具中,我们可以轻易地定义输进输出包过滤器。例如,设定输进ICMP代码255抛弃就表示抛弃所有的外来ICMP报文。
上1页 1 2 3 4 5 下1页
核心提示:网络技术的飞速发展,随之而来的不单单是舒服与便利,资料的使用、数据的安全更是让我们忧心仲仲,网络安全事件层见叠出。尽不夸大地说,不论是企业用户,还是个人用户,只是你上网,就身处危险当中!如何将这类危险降到最低点?本文试着将各种攻击伎俩列出,并给出具体的
(2)Windows 98安全配置
有时候,可能会有很多人共用1台计算机。每个使用者都不愿意将包括自己隐私的文件让其他人看到,但每个人又都有使用计算机的权利。这个时候,如何保证每个用户系统和文件的安全就显得10分重要,下面我们来告知你如何解决这个题目。
1. 设置用户权限
对不同的用户设置不同的使用权限,限制1些用户对系统文件的修改权,将大大地进步系统的安全性。其具体步骤以下(这里以设立“治理员”和“用户”两个级别为例):
(1)顺次点击“控制面板→密码→用户配置文件”,选择“用户可自定义首选项及桌面设置。登录时,Windows自动启用个人设置(C)”选项。单击“肯定”按钮,依照屏幕提示设置“治理员”用户及密码。如图1所示。
(2)重启计算机后,以“治理员”身份进进Windows 98。顺次点击“控制面板→用户”。按向导提示,设置用户及密码。此时要根据需要设置“用户”级别所需项目。
2. 避免非法用户进进
为避免非法用户以系统默许配置进进Windows 98,可采取以下措施:运行“Regedit”,打开注册表编辑器。在\HKEYUSER\Default\Software \Micorosoft\Windows\CurrentVersion\Run中创建新“字符串值”,串值名为“用户非法,退出”。编辑字符串值为“rundll.exe user.exe, EXITWINDOWS”。这样,当非法用户试图进进你的Windows 98系统时,计算机便会自动关机。
为了避免非法用户按F8键调出Windows 98的启动菜单,以安全方式进进系统,我们还需编辑Msdos.sys文件。在该文件的[option]小节中加进以下几行:
BootMulti=0:设置系统不能进行多重引导。
BootGUI=1:在启动时直接进进Windows 98图形用户界面。
BootDelay=0:设置在启动时“Staring Windows 98……”信息停留的时间为0秒。
BootKeys=0:设置在启动进程中F4、F5、F6、F8功能键失效。
3. “用户”级别用户新建使用权限
使用“用户”身份进进Windows 98,此时你可以通过修改文件注册表来限制“用户”级用户的使用权限。
(1)隐躲“开始”菜单的部份内容:打开注册表,在\HKEYCURRENTUSER\Software\Micorsoft\Windows
\Current Version\Policies\Explorer中新建1个DWORD值“NoSetFolders”,键值为“1”。这样,用户便不能使用“控制面板”和“设置”中的“打印机”。
在该分支下新建1个DWORD值“NoSetTaskbar”,键值为“1”,则“任务栏属性”功能被制止;在该分支下新建1个DWORD值“NoFind”,键值为“1”,则“查找”功能被制止;在该分支下新建1个2进制值“NoRun”,键值为“0x00000001”,则“运行”菜单项被封闭。
(2)禁用“活动桌面”:在封闭了“控制面板”和“打印机”功能后,普通用户可以通过“活动桌面”更改显示属性,因此要封闭“活动桌面”,在\HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Policies\System中新建DWORD值“NoDispCPL”,键值为“1”。这样“活动桌面”也被禁用。
(3)禁用注册表编辑器:为了避免普通用户使用注册表,我们可以用以下的方法制止普通用户使用注册表:
在\HKEYCURRENTUSER\Software\Micorsoft\Windows\CurrentVersion\Policies\System中新建DWORD值“DisableRegistryTools”,键值为“1”。
(4)禁用MS-DOS方式:隐躲了驱动器后,普通用户还可以通过MS-DOS方式进进任何驱动器,为了限制用户进进,可封闭MS-DOS功能:\HKEYCURRENTUSER\Software\Micorsoft\Windows\CurrentVersion\Policies中新建“WinOldApp”主键,在其下新建1个DOWRD值“Disabled”,键值为“1”。
(5)隐躲口令文件:在Windows 98系统中,用户设置的口令都被寄存于Windows子目录中,其文件名为***.pwl。普通用户可以方便地找到你设置的口令文件,并将其删除。这样,他便能顺利地以治理员身份进进系统。为此,你有必要将口令文件隐躲起来。在System.ini文件中的[Password Lists]中将寄存口令文件的寄存位置修改到你隐躲的驱动器下的目录中。这样,普通用户便没法找到口令文件,也没法将它删除。
(6)制止光盘的自动运行功能
为屏幕保护设置了密码后,你是否是就以为万无1失了吗?不!光盘的自动运行功能会给我们带来麻烦。尽人皆知,Windows 98具有自动运行光盘的功能,当我们在光驱中插进CD以后,CD会自动进行播放,而当我们插进根目录中带有Autorun.inf文件的光盘后,光盘也会自动运行。Windows 98的屏幕保护功能并没有制止光盘的自动运行功能,也就是说即使处于屏幕保护程序密码控制之下,用户在插进1个根目录中含有Autorun.inf文件的光盘以后,系统仍会自动运行,这就给恶意攻击者带来了可乘之机。目前市面上出现了1种专门用于破解屏幕保护程序的自动运行光盘,为此我们必须封闭系统的光盘自动运行功能。有两种方法可以封闭光驱的自动运行功能:
选择“我的电脑→属性”,打开“系统属性”对话框,单击“设备治理器”标签;展开“CDROM”分支,从当选择用户所用光驱。单击“属性”按钮,打开光驱属性对话框,单击“设置”标签,取消“自动插进功能”即可。这1方法可有效的制止光盘的自动运行功能,但它同时也将CD的自动播放功能制止了。
第2种方法是:打开注册表在\HKEYCURRENTUSER\Software\Micorsoft\Windows\CurrentVersion\Policies\Explorer,创建1个DWORD值“NoDriveTypeAutoRun”,键值为“1”。
这样光盘的自动运行功能将被制止,插进根目录中含有Autorun.inf文件的光盘后将不会产生任何作用,而CD的自动播放功能将不受影响。
经过上面的设置,你的Windows 98系统的安全性将大大进步,你没必要再担心非法用户的进进,也不用担心普通用户误操纵损坏你的系统了,你要做的就是牢记你的密码。
最后,再谈谈用户设置的删除题目。首先,在“控制面板→用户”当选中用户设置,单击“删除”按钮,删除用户。然后在注册表\HKEYLOCALMACHINE中将Network主键删除,在\HKEYCURRENTUSER\Software\Micorsoft\Windows\CurrentVersion中将ProfileList主键删除。重启计算机,在进进Windows 98的“输进Windows密码”提示框中的用户栏输进用户名,但1定不要输进密码,单击“肯定”按钮。则将用户设置删除,以后启动时将不再出现“输进Windows密码”的提示框了。
4. 制止采取软盘及光盘启动计算机
很明显,非法用户若能以软盘及光盘启动计算机,那他便可以够随便在DOS状态下对系统进行攻击,因此我们必须封闭软盘及光盘的启动功能。为此,我们必须重新启动计算机,并在系统自检时进进系统的CMOS设置功能,然后将系统的启动选项设置为“C only”(即仅答应从C盘启动),并同时为COMS设置必要的密码。
TAG:用户,密码,系统,文件,黑客
|
评论加载中...
|
邮 箱:admin@fw8.net 