8 、屏幕保护使用 “Blank Screen”
且设置密码保护,这样既达到安全目的也节省服务器处理资源。注意,如果使用来历不明的屏幕保护方案,要小心它可能就是一个后门程序。
9 、启动 REGEDT32 程序,修改 AutoSharexxx 参数关闭系统默认的自动共享目录,例如 ADMIN$ 、
C$ 、 D$ 等等。对于 WinNT
,这个参数的位置是:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer
对于 WinNT Workstation
,位置是:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareWks
10 、禁止匿名访问帐号,方法是设置下列项目的值为 1
:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous
11 、对于域控制器,将 “ 从网络访问计算机 ” 的权限分配给授权用户而不是默认 Everyone
,这样就禁止了使用机器的本地帐号进行远程访问的可能,只允许通过域帐号进行访问。
12
、为管理员帐号设置远程访问的帐号锁定策略,使入侵者猜测其口令失败限定次数后自动被锁。当然,我们还是可以在本地使用管理员帐号进入系统的。为了更加安全,也可以完全禁止远程使用管理员帐号,方法是将管理员帐号从
“ 从网络访问计算机 ” 的权限中去除掉。
问:如何提高 Win9X 系统的入侵保护程度?
保护措施象攻击手段一样多,在此列出我认为最重要的也是最基本的 3 条:
1 、安装最新的补丁程序。
2
、关闭打印机共享 PRINTER$ 。打印机共享后,远程用户就可以访问到被共享机器的 system32
目录下的打印机驱动程序。但是由于系统 bug 的存在,其他系统文件就有了被窃取的可能,例如密码文件。
3
、关闭文件共享。如果是家庭用户,通常根本不需要共享文件。如果非共享不可,必须添加上共享口令并且只在需要共享的时刻共享,贡献完自己的东东后立即关闭。
问:企业网的安全响应组织都应该包括哪些人员?
人从来都是第一位重要的!建立安全响应组织的目的就是确定:当安全事件发生时,用户该寻求谁的帮助、他又应该做什么?由于安全问题涉及到每一个方面,因此这个组织的成员也应该来自五湖四海,保护企业各个部门甚至社会力量。通常,安全响应组织的人员包括:
1 、上级主管
负责处理重大安全问题。比如对于一个正在遭受攻击的电子商务的站点,决断是否立即断开网络以免发生更大的损失。
2
、人力资源主管
因为许多攻击都来自内部,所以一旦发现自家人捣乱,可以立即请人事部的同志找他谈谈心。
3 、技术小组
负责对安全事件进行整理和分析,制定对策数据库,指导实施人员正确操作。
4 、实施人员
真正的救火队员,哪里发生火灾,就出现在哪里!
5 、外部资源
有些破坏行为罪大恶极、危害严重,自家人已经管不了了,这时就要靠有关的社会力量支援,比如 ISP
、公安部门等。一来他们的威慑力大,二来他们的政策权威。
问:如果有人说他们被来自我方站点的地址入侵了,该怎么办?
请假想这样一个情形:有人发给你一封 Email ,有鼻子有眼地说他遭受到了你方地址的入侵,并粘贴来一段日志信息类似如下:
Nov 6 07:13:13 pbreton in.telnetd[31565]: refused connect from
xx.xx.xx.xx
最后礼貌地说他们对此非常重视,希望你方认真调查。
在网络时代,这种情况将越来越多。作为管理者,当接收到这类状纸后,首要的任务就是冷静下来仔细地分析来信的真假以及证据的真假,从而决定采取的行为方式。通常情况下,可以考虑以下几个方面的可能:
1 、首先尽可能地确定证据(日志信息)是何种软件的产物、可能发生了什么样的攻击行为。在这个例子中,日志信息可能来自于
tcpwrappers ,一个增强 UNIX
系统服务的登录及访问控制的软件;信息还表明这只是一个探测行为而非攻击活动。对这些信息了解得越多,就越可能描绘出罪犯的 “ 长相 ”
,好像警察为将逮捕罪犯描图一样。
2 、然后从好的方面设想一下这个行为:可能是有人在敲入 “telnet
xx.xx.xx.xx” 时错打了 IP 地址;可能是想敲入 “telnet xx.xx.xx.xx 25” 连接一个 STMP
服务器但却错打成 “telnet xx.xx.xx.xx 23”
等等。就象是美国的法律,发生了案件,先假设被告无罪再寻找证据证明有罪。
3
、接着从坏的方面设想这个行为:可能是你方网络已被攻陷,入侵者从受害机器上执行了扫描工作;你方网络中的一名雇员确实执行了扫描工作。这好像与台湾的法律相似,发生了案件,先假设被告有罪再找证据证明无罪。
4
、另外,还有一个经常忽视但也绝对有可能的情况是:来信人可能就是一个入侵者!怎么说呢?通过观察你对来信的重视程度、响应速度以及可能提供的相关资料,比如管理员的
IP
地址、邮件信息等等,入侵者就可能推测到你方的网络架构是否安全、应急措施是否得当以及得到相关攻击信息。一般来说,这归类于社会工程的问题。要小心了,喊捉贼的可能就是贼!
问:怎么搜集入侵者的攻击证据?
这是一个非常有趣而且困难的课题,道高一尺、魔高一丈,精明的入侵者通常也是优秀的跳板选手和魔术大师,他们总是借助其他人的机器或者使用欺骗
IP 地址来完成他们的规定动作-攻击!但是,他攻他的,我防我的,我认为至少有以下 2 类有效方法可以采取:
1
、在关键位置安装数据包嗅探器捕获经由的通讯数据以备分析。试一试这种方法吧,你会惊奇地叫道:天啊,我的网络每日里竟然有这么多的扫描数据包在跳舞!
2 、尽可能地为开放的每个系统安装审计和日志功能,当入侵发生时,这将是最好的犯罪现场映照。
上一篇:网络安全入侵检测实战之全面问答(三)
下一篇:三招必杀技清除IE顽固病毒
【本站声明】本站刊载的部分内容全部来源互联网,对于此类文章本站仅提供交流平台,不为其版权负责。如涉及侵犯您的知识产权的文章,请联系我们,我们将尽快做出更正。并向您表示感谢!同时特别感谢对本站所有支持的网友。
