54 同安全与控
录中的文件并可能修改或刚除它们。这些系统中的口令机制有许多漏洞。可以很容易写一个程序自动检测口令。下面有几称
可能的口令我们可试一试 ?典型的用户口令,例如 WORKGRUP, Windows,USER, ADMIN等等;
来源于资源列表和登录的用户
可试一下由管理员提供的目录文件或任何标准目录。如果很细心的话,会发现一个口令一旦被用过那么被猜出的可能性就很高。根据已经做
过的浏览发现,我们进行了每秒200个口令的非礼攻击,在不到两分钟内试了18000个口令。
Windows9S无法锁住进一步的访问企图,所以黑客可无止境地连续攻击用户的机器
Windows95对任何此类的访问企图没有记录。黑客不仅可在短时间内试用大量ロ令,而
且这些操作在系统中没有记载。因此,知道有人在试图攻击自己是解决自身安全问题的重点。
且浏览程序访问共享目录的文件,它就试图决定此机器是否对“”错误脆弱,此错误还
允许黑客访问硬盘的其他部分,尽管此机器上设置的是只能访问某个特定目录。)
由于操作系统不能正确地检査“。”,“”,所以此错误是很有效的。“.”使用户能访
问共享目录的上一层目录。在UNIX早期的NFS网络文件系统应用中就发现过同样的错误。共享文件如果能让任何人访问和利用,那么通过利用“。”错误能瓦解NT3.51的机器,并
使之重启动。在 Windows95上利用此错误技术可允许任何人访问整个硬盘。m 对网络浏览者来说,知道正在浏览是很容易的,只要用 Popu程序发消息即可。 Popu程
序所存在的安全问题是它缺少鉴别权,这样黑客可以利用 Popup这个安全缺陷,以管理员的身
份通知大家把他们的目录设为共享,而其他用户却无法分辦出真假管理员。日
这里有一些改进共享文件系统安全性的方法:
更好地记载黑客的袭击;
在每个错误口令的尝试之后设置一个延迟,以使非法攻击慢下来;
?在数次攻击尝试失败之后将共享文件锁住 中 wittei is l,A3
允许或拒绝基于主机地址的功能
更好地鉴别 Popup消息。
用户应接受培训以保证进行合理配置。下面是配置更安全网络的基本步骤
(1)利用口令保护所有资源
(2)用户使用难猜的口令;
(3)除非通过鉴权过程,否则别人无法访问用户的系统或设置用户系统口令
(4)用户应安装提供商提供的安全补丁。n
由器封这些端口 SABか议使得文件共享,它在UDP/TCP的137138和139端口下,因此要确保防火
般的机器在装完NT4后默认的安全性都是 Everyone(Ful)l,这是非改不可的。如果你
用了IS里面的FP和 WWW Publish Service,或者用 Browser浏览 Internet,那么肯定要大
得更快吗? 祸临头。好多Coie及其它c程序都有办法访问你的硬盘而你还偏偏不加保护,岂不是死
2章安全成与防范 55
建议在每个NTFS盘的根目录把 Everyone删掉换成 Administrator(Fu)l+ System
大人人都可以乱改,造成管理上的混乱。(Read),并替换子目录权限,另外 Administrators里最好只包括 Administrato,以免大家权限过
对于一些共享目录,则加上 Domain Admin(Read), Domain User(Read);还有一些限制级
的,则仅仅加上 Domain Admin((Read), Power User(Read);至于大家的Home(主)目录,则可以
建一个公共目录,共享时必须选 Full Control,然后在每个人的目录里加以限制。例如用户
Judy,我们就把 Public Judy安全性设为 Administrator(Ful), Domain Admin(Read),Judy
(Fu), System(Read),另外再建个公共的目录Tenp, V Public Temp设为 Domain User
(Fu)这样一来,大家的共享目录就算建好了。毎个人都可以全权控制自己的目录和Temp
目录,却不能访问别人的目录,相互之间通过Temp来传送数据。审回
切记不要用 Administrator直接从客户机登录到服务器,以防在用 Share Hub(共享式集线
器)时被某些人用 Sniffer,, Etherpeek之类工具偷听到,即使管理员本身,不在服务器上登录时
也只应该用 Admin Users登录,而且 Admin Users最好也不要有完全的权限,以防口令失窃产
生严重后果。面大
为了使所有的共享文件都能得到访问,要正确地设置权限不要默认对 Everyone用户组默
认的“完全控制”权限的设置。国需断忘日计
2.4.3.4安全措施
为了确保安全性,以下6项措施可供 Windows ND.的系统管理参考:国首
1.使用NTFS而不用FAT。NTFS(NT文件系统)可以对文件和目录使用ACL(存取控
制表),ACL可以方便、灵活地管理共享目录,使其合理使用,而FAT(文件分配表)却只能管理
共享级的安全,即不能像NTFS那样强大。hn直71a3
出于安全考虑,必须处处设置尽可能多的安全措施,凡是与 Internet相连的 Windows NT
计算机都应该使用NTFS。使用 Ntfscal F的好处在于,如果它授权用户对某分区具有全部存取
权限,但共享级权限为“只读”,则最终的有效权限为“只读”。 Windows NT取 Ntfscal和共享权
限的交集。中iW国政。知的回女其I1
在实施这样的网络方案时,您最好限制 Internet I服务器的共享,但是如果非要与 Internet
服务器交换文件,则可借助于NTFS 且建立新的共享权限,不要忘记修改由NT指定的默认权限否则 Everyone用户组就能
享有“完全控制”的共享权限。那些已经使用了FAT的用户在x86的NT系统上可以用Con
vert命令将启动磁盘升级为NTFS。教た、曲き同
2.将系统管理员账户改名。对于试图猜测口令的非法用户,NT的 User Manager可以设
置防范措施,例如5次口令输人错误后就禁止该账号登录。用
问题在于系统管理员这个最重要的账号却用不上这项防范措施。即便将系统管理员的权
限全部授予某个用户账号并且只使用该用户账号进行管理,但是由于系统管理员账号本身不
能删掉或废止,因而非法用户仍然可以对系统管理员账号进行口令攻击。二意登
种值得推荐的方法是将系统管理员账号的用户名由原先的“ Administrator”改为一个无
意义的字符串。这样要登录的非法用户不但要猜准口令,网站建设还要先猜出用户名。这种改名功能
本文地址://cosda.cn//article/3739.html