今天给大家带来{黑客24小时在线接单网站},和入侵一个网站的相关知识,如果可以可以选择收藏本站。
从“火星人入侵地球”说起
文/谭峰
“ 火星人入侵 地球”,现如今听起来的天方夜谭,在上个世纪居然掀起了一场不小的轰动。
1938年10月,美国哥伦比亚广播公司(CBS)在深夜播放了一个广播剧《 火星人入侵 地球》。这一广播剧是根据英国科幻小说家赫伯特·G.威尔斯(Herbert G. Wells)1898年的科幻作品《世界大战》(the War of the Worlds)改编而成的。
这部科幻作品又被后人称为《宇宙战争》《星际战争》,作者威尔斯描写的场景发生在19世界。那时,火星即将灭亡,火星人开启了探寻地球之旅。他们对英国发动战争,进而希望统治全世界。作者以目击者的角度描写了人类对火星人的反击,由于火星 科技 远远大于地球人,他们一度成为战争的“赢家”。就在火星人马上主宰地球万物的时候,他们“不幸”受到了地球上细菌的感染而全部消亡。
和原版小说比起来,改编的广播剧因为水银剧团(Mercury Theater Group)演员奥森·威尔斯(Orsen Wells)倾情并茂地演绎,给人一种逼真的现场感。这让原本就很有感染力的科幻情结,经由精湛音效技艺的发挥显得更具股蛊惑性了。
1938年正值二战期间,火星爆炸的“天灾”加上战争爆发的“人祸”,让人们不寒而栗。更为甚者,《 火星人入侵 地球》的广播剧采用急促的、恐慌的表演方式与一个月前报道“慕尼黑危机”(the munich crisis)时,如出一辙。人们更愿意相信这样的“假戏”时时会在现实中上演。
哥伦比亚广播公司于1927年1月创办于芝加哥,1941年开播电视节目。在其起步的近15年的时间中,这家媒体便是用广播这样的媒介方式来支撑自己的“关注流量”。逐渐地,哥伦比亚广播公司基于这样的“流量”,一跃升级为美国五大五大网络公司之一,与其他四家媒介巨头美国广播公司(ABC)、全国广播公司(NBC)、福克斯广播公司(FOX)和有线新闻网(CNN)相提并论。
CBS走的路线就是借势而为,制造噱头,无中生有之中实现了假戏真做的效果。这就让人们开启了“好奇模式”,为何听起来很不靠谱的消息,在很多人看来就是真的一样。
传播学中有个著名的“魔弹论”,认为媒体传播的信息如同发出去的子弹,接触媒介的听众或观众,就像被射中的靶子似的应声而倒。因为这些受众在关键时刻自觉地“中断”了自己的认知系统 ,而是更愿意相信媒体蓄势待发的消息来源。
“魔弹论”的前提是“孱弱的受众”。在媒体眼里,受众都是没有判断能力的易宰“羊羔”,他们成为了狂轰滥炸信息子弹的“替罪羊”。这种弱势的状况,甚至与受众所受的教育、所处的地位,毫无关联。媒体的危言诳语顺势而为,集中起来营建虚拟的话语生态,分散着的受众无暇彼此统一的意见,这事实上挪占了受众的想象空间。
可以说,哥伦比亚广播公司和其他媒体一样,都在做着一个精美的议题设置工程。他们一方面把恐慌、压抑的故事情节和战争联系在一起,将一种莫须有的气氛营造到极致。另一方面,他们又把科幻故事中的浪漫、遐想的空间尽力地压缩殆尽,让人们在不知不觉中相信设置的场域,而放弃了对科幻本身的探究和追随,受众对消息接受的地位由主动沦为被动。
魔弹论产生于20世纪20年代,但在21世纪的今天是否就完全无以适用呢?这其实取决于受众自身所形成的媒介素养。简单而言,媒介素养就是受众要养成一种面对各种媒介形态独立思考的思辨能力。尤为强调的是,这种思辨能力不仅局限于传统意义上的大众传媒,还包括现如今方兴未艾的自媒体。
随着互联网思维的大行其道,受众在接受多元信息方面出现了一定的“窄化”现象,这被视为受众意识到苏醒和独立。但是,受众群体所固有的分散性和盲目性,并未因为时代的变化而变化,反而使越来越专业化的受众出现了一种信息接受的悖论,即越专业,越封闭。因为对信息收发的过度精细,而疏忽别的领域。这也被学者认定为“网络巴尔干化”危机。
“网络巴尔干化”,这个概念是美国麻省理工学院教授马歇尔·范阿尔斯泰恩和埃里克·布林约尔松于1997年共同提出的,是指互联网分裂成无数小群体,各群体的成员几乎总是在网上阅读或传播仅吸引本群体成员的材料。
网络时代的受众非但没有形成包罗万象的信息体系,反倒因为网络的存在使他们的交流出现了某种“认同断层”,形成了一种“信息茧房”。每个种类的受众沉浸在这种茧房里难以自拔,形成了小众性的思维习性和看待事物的刻板观念。
越是在信息畅通无阻的时代,人们的头脑其实越是刻板和封闭的。这样的“互联网悖论”就越是要求我们每个人跳出“信息茧房”的诱惑,跳出自己信息的“舒适圈”,去尝试了解不一样的风景,积淀林林总总的知识构架,培养独立思辨的习惯和能力。如此,诸如“火星人到访”的奇谈怪论才不会像子弹一样直中靶心,谣言更不会风云四起。
版权有限,关注无限 。图片部分来源于网络,若有问题请联系。
毕业论文
相关资料:
企业内网安全分析与策略
一、背景分析
提起网络信息安全,人们自然就会想到病毒破坏和黑客攻击。其实不然,政府和企业因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失,据权威机构调查:三分之二以上的安全威胁来自泄密和内部人员犯罪,而非病毒和外来黑客引起。
目前,政府、企业等社会组织在网络安全防护建设中,普遍采用传统的内网边界安全防护技术,即在组织网络的边缘设置网关型边界防火墙、AAA认证、入侵检测系统IDS等等网络边界安全防护技术,对网络入侵进行监控和防护,抵御来自组织外部攻击、防止组织网络资源、信息资源遭受损失,保证组织业务流程的有效进行。
这种解决策略是针对外部入侵的防范,对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障,企业基于网络边界的安全防护技术就更是鞭长莫及了,由此危及到内部网络的安全。一方面,企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面,黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络,发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。
二、内网安全风险分析
现代企业的网络环境是建立在当前飞速发展的开放网络环境中,顾名思义,开放的环境既为信息时代的企业提供与外界进行交互的窗口,同时也为企业外部提供了进入企业最核心地带——企业信息系统的便捷途径,使企业网络面临种种威胁和风险:病毒、蠕虫对系统的破坏;系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏,导致企业安全策略不能真正的得到很好的落实,开放的网络给企业的信息安全带来巨大的威胁。
1.病毒、蠕虫入侵
目前,开放网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点,即使再先进的防病毒软件、入侵检测技术也不能独立有效地完成安全防护,特别是对新类型新变种的病毒、蠕虫,防护技术总要相对落后于新病毒新蠕虫的入侵。
病毒、蠕虫很容易通过各种途径侵入企业的内部网络,除了利用企业网络安全防护措施的漏洞外,最大的威胁却是来自于内部网络用户的各种危险应用:不安装杀毒软件;安装杀毒软件但不及时升级;网络用户在安装完自己的办公桌面系统后,未采取任何有效防护措施就连接到危险的网络环境中,特别是Internet;移动用户计算机连接到各种情况不明网络环境,在没有采取任何防护措施的情况下又连入企业网络;桌面用户在终端使用各种数据介质、软件介质等等都可能将病毒、蠕虫在不知不觉中带入到企业网络中,给企业信息基础设施,企业业务带来无法估量的损失。
2.软件漏洞隐患
企业网络通常由数量庞大、种类繁多的软件系统组成,有系统软件、数据库系统、应用软件等等,尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂,每一个软件系统都有不可避免的、潜在的或已知的软件漏洞。无论哪一部分的漏洞被利用,都会给企业带来危害,轻者危及个别设备,重者成为攻击整个企业网络媒介,危及整个企业网络安全。
3.系统安全配置薄弱
企业网络建设中应用的各种软件系统都有各自默认的安全策略增强的安全配置设置,例如,账号策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用,但在实际的企业网络环境中,这些安全配置却被忽视,尤其是那些网络的终端用户,导致软件系统的安全配置成为“软肋”、有时可能严重为配置漏洞,完全暴露给整个外部。例如某些软件系统攻击中采用的“口令强制攻击”就是利用了弱口令习惯性的使用安全隐患,黑客利用各种网络应用默认安装中向外部提供的有限信息获取攻击的必要信息等等。
4.脆弱的网络接入安全防护
传统的网络访问控制都是在企业网络边界进行的,或在不同的企业内网不同子网边界进行且在网络访问用户的身份被确认后,用户即可以对企业内网进行各种访问操作。在这样一个访问控制策略中存在无限的企业网络安全漏洞,例如,企业网络的合法移动用户在安全防护较差的外网环境中使用VPN连接、远程拨号、无线AP,以太网接入等等网络接入方式,在外网和企业内网之间建立一个安全通道。
另一个传统网络访问控制问题来自企业网络内部,尤其对于大型企业网络拥有成千上万的用户终端,使用的网络应用层出不穷,目前对于企业网管很难准确的控制企业网络的应用,这样的现实导致安全隐患的产生:员工使用未经企业允许的网络应用,如邮件服务器收发邮件,这就可能使企业的保密数据外泄或感染邮件病毒;企业内部员工在终端上私自使用未经允许的网络应用程序,在此过程中就有可能下载到带有病毒、木马程序等恶意代码的软件,从而感染内部网络,进而造成内部网络中敏感数据的泄密或损毁。
5.企业网络入侵
现阶段黑客攻击技术细分下来共有8类,分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序/木马程序攻击、后门攻击。
对于采取各种传统安全防护措施的企业内网来说,都没有万无一失的把握;对于从企业内网走出到安全防护薄弱的外网环境的移动用户来说,安全保障就会严重恶化,当移动用户连接到企业内网,就会将各种网络入侵带入企业网络。
6.终端用户计算机安全完整性缺失
随着网络技术的普及和发展,越来越多的员工会在企业专网以外使用计算机办公,同时这些移动员工需要连接回企业的内部网络获取工作必须的数据。由于这些移动用户处于专网的保护之外,很有可能被黑客攻陷或感染网络病毒。同时,企业现有的安全投资(如:防病毒软件、各种补丁程序、安全配置等)若处于不正常运行状态,终端员工没有及时更新病毒特征库,或私自卸载安全软件等,将成为黑客攻击内部网络的跳板。
三、内网安全实施策略
1.多层次的病毒、蠕虫防护
病毒、蠕虫破坏网络安全事件一直以来在网络安全领域就没有一个根本的解决办法,其中的原因是多方面的,有人为的原因,如不安装防杀病毒软件,病毒库未及时升级等等,也有技术上的原因,杀毒软件、入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步。危害好像是无法避免的,但我们可以控制它的危害程度,只要我们针对不同的原因采取有针对性的切实有效的防护办法,就会使病毒、蠕虫对企业的危害减少到最低限度,甚至没有危害。这样,仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。
2.终端用户透明、自动化的补丁管理,安全配置
为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个企业网络安全不至由于个别软件系统的漏洞而受到危害,完全必要在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。
用户可通过管理控制台集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略,定义终端补丁下载。将补丁升级策略、增强终端系统安全配置策略下发给运行于各终端设备上的安全代理,安全代理执行这些策略,以保证终端系统补丁升级、安全配置的完备有效,整个管理过程都是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网络的补丁及安全配置管理策略得到有效的落实。
3.全面的网络准入控制
为了解决传统的外网用户接入企业网络给企业网络带来的安全隐患,以及企业网络安全管理人员无法控制内部员工网络行为给企业网络带来的安全问题,除了有效的解决企业员工从企业内网、外网以各种网络接入方式接入企业网络的访问控制问题,同时对传统的网络边界访问控制没有解决的网络接入安全防护措施,而采用边界准入控制、接入层准入控制等技术进行全面的实现准入控制。当外网用户接入企业网络时,检查客户端的安全策略状态是否符合企业整体安全策略,对于符合的外网访问则放行。一个全面的网络准入检测系统。
4.终端设备安全完整性保证
主机完整性强制是确保企业网络安全的关键组件。主机完整性可确保连接到企业网的客户端正运行着所需的应用程序和数据文件。信息安全业界已经开发出了多种基于主机的安全产品,以确保企业网络和信息的安全,阻止利用网络连接技术、应用程序和操作系统的弱点和漏洞所发起的攻击。并已充分采用了在个人防火墙、入侵检测、防病毒、文件完整性、文件加密和安全补丁程序等方面的技术进步来有效地保护企业设备。然而,只有在充分保证这些安全技术的应用状态、更新级别和策略完整性之后,才能享受这些安全技术给企业网络安全带来的益处。如果企业端点设备不能实施主机完整性,也就不能将该设备看成企业网络受信设备。
仅供参考,请自借鉴
希望对您有帮助
windows2000 server应该关闭哪些不安全的端口?
Windows2000安全配置教程
Windows2000绝版安全配置教程:前段时间,中美网络大战,我看了一些被黑的服务器,发现绝大部分被黑的服务器都是Nt/win2000的机器,真是惨不忍睹。Windows2000 真的那么不安全么?其实,Windows2000 含有很多的安全功能和选项,如果你合理的配置它们,那么windows 2000将会是一个很安全的操作系统。我抽空翻了一些网站,翻译加凑数的整理了一篇checklist出来。希望对win2000管理员有些帮助。本文并没有什么高深的东西,所谓的清单,也并不完善,很多东西要等以后慢慢加了,希望能给管理员作一参考。
具体清单如下:
初级安全篇
1.物理安全
服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
2.停掉Guest 帐号
在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。
3.限制不必要的用户数量
去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。
4.创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。
5.把系统administrator帐号改名
大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。
6.创建一个陷阱帐号
什么是陷阱帐号? Look!创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿,够损!
7.把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。
8.使用安全密码
一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得N简单,比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候,我们给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果人家得到了你的密码文档,必须花43天或者更长的时间才能破解出来,而你的密码策略是42天必须改密码。
9.设置屏幕保护密码
很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。
10. 使用NTFS格式分区
把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说,想必大家得服务器都已经是NTFS的了。
11.运行防毒软件
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库
12.保障备份盘的安全
一旦系统资料被破坏,备份盘将是你恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。千万别把资料备份在同一台服务器上,那样的话,还不如不要备份。
中级安全篇:
1.利用win2000的安全配置工具来配置策略
微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页:
2.关闭不必要的服务
windows 2000 的 Terminal Services(终端服务),IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务:
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
3.关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为:
网上邻居属性本地连接属性internet 协议(tcp/ip)属性高级选项tcp/ip筛选属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。
4.打开审核策略
开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
策略 设置
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核对象访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败
5.开启密码密码策略
策略 设置
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5 次
强制密码历史 42 天
6.开启帐户策略
策略 设置
复位帐户锁定计数器 20分钟
帐户锁定时间 20分钟
帐户锁定阈值 3次
7.设定安全记录的访问权限
安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。
8.把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。
9.不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName
把 REG_SZ 的键值改成 1 .
10.禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
10.到微软网站下载最新的补丁程序
很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。
高级篇
1. 关闭 DirectDraw
这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^??),但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。
2.关闭默认共享
win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享 ,打开 管理工具计算机管理共享文件夹共享 在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。
默认共享目录 路径和功能
C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有Administrator
和Backup Operators组成员才可连接,Win2000 Server版本
Server Operatros组也可以连接到这些共享目录
ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都
指向Win2000的安装路径,比如 c:\winnt
FAX$ 在Win2000 Server中,FAX$在fax客户端发传真的时候会到。
IPC$ 空连接。IPC$共享提供了登录到系统的能力。
NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处
理登陆域请求时用到
PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机
3.禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它,打开 控制面板系统属性高级启动和故障恢复 把 写入调试信息 改成无。要用的时候,可以再重新打开它。
4.使用文件加密系统EFS
Windows2000 强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看
5.加密temp文件夹
一些应用程序在安装和升级的时候,会把一些东西拷贝到temp文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除temp文件夹的内容。所以,给temp文件夹加密可以给你的文件多一层保护。
6.锁住注册表
在windows2000中,只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话,可以进一步设定注册表访问权限,详细信息请参考:
7.关机时清除掉页面文件
页面文件也就是调度文件,是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件,可以编辑注册表
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
把ClearPageFileAtShutdown的值设置成1。
8.禁止从软盘和CD Rom启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。
9.考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,容易受到 10phtcrack 等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
10.考虑使用IPSec
正如其名字的含义,IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。
黑客是干什么的啊?
是的。
所谓黑客原来是指那些年少无知,爱自我表现,爱搞恶作剧的一些电脑天才。现都指那些利用网络安全的脆弱性,把网上任何漏洞和缺陷作为“靶子”,在网上进行诸如修改网页、非法进入主机破坏程序、串入银行网络转移金额、窃取网上信息兴风作浪、进行电子邮件骚扰以及阻塞用户和窃取密码等行为的人。政府、军事和金融网络更是他们攻击的主要目标。美国司法部主页被纳粹标志所取代,美国空军站点由于黑客攻击不得不暂时关闭,美国金融界由于计算机犯罪造成的金额损失每年计近百亿美元。近几年来,我国网络受黑客侵犯事件也屡屡发生,且呈明显上升趋势。为了确保网络的健康发展和网络电子化业务的广泛应用,应加大对黑客和计算机犯罪的打击力度,加强对网络安全的防护。
怎样通过组策略限制某网站的浏览
在本篇技术指南中,将概要介绍你如何修改最重要的组策略安全设置。
在本篇技术指南中,将概要介绍你如何修改最重要的组策略安全设置。
你可以在采用Windows XP、2000和Server 2003操作系统的本地计算机上使用这些方法,或者在Server 2003和2000中的OU域名级上使用这些方法。为了简明扼要和提供最新的信息,我准备介绍一下如何设置基于Windows Server 2003的域名。请记住,这些只是你在你的域名中能够设置的组策略对象中最有可能出现问题的。按照我的观点,这些设置可以保持或者破坏Windows的安全。而且由于设置的不同,你的进展也不同。因此,我鼓励你在使用每一个设置之前都进行深入的研究,以确保这些设置能够兼容你的网络。如果有可能的话,对这些设置进行试验(如果你很幸运有一个测试环境的话)。
如果你没有进行测试,我建议你下载和安装微软的组策略管理控制台(GPMC)来做这些改变。这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。要开始这个编辑流程,你就上载GPMC,扩展你的域名,用鼠标右键点击“缺省域名策略”,然后选择“编辑”。这样就装载了组策略对象编辑器。如果你要以更快的速度或者“次企业级”的方式编辑你的域名组策略对象,你可以在“开始”菜单中运行“gpedit.msc”。
1.确定一个缺省的口令策略,使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。
2.为了防止自动口令破解,在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置:
·账号关闭持续时间(确定至少5-10分钟)
·账号关闭极限(确定最多允许5至10次非法登录)
·随后重新启动关闭的账号(确定至少10-15分钟以后)
3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能:
·检查账号管理
·检查登录事件
·检查策略改变
·检查权限使用
·检查系统事件
理想的情况是,你要启用记录成功和失败的登录。但是,这取决于你要保留什么类型的记录以及你是否能够管理这些记录。Roberta Bragg在这里介绍了一些普通的检查记录设置。要记住,启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。
4.作为增强Windows安全的最佳做法和为攻击者设置更多的障碍以减少对Windows的攻击,你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行如下设置:
·账号:重新命名管理员账号--不是要求更有效而是增加一个安全层(确定一个新名字)
·账号:重新命名客户账号(确定一个新名字)
·交互式登录:不要显示最后一个用户的名字(设置为启用)
·交互式登录:不需要最后一个用户的名字(设置为关闭)
·交互式登录: 为企图登录的用户提供一个消息文本(确定为让用户阅读banner text(旗帜文本),内容大致为“这是专用和受控的系统。
如果你滥用本系统,你将受到制裁。--首先让你的律师运行这个程序)
·交互式登录: 为企图登录的用户提供的消息题目--在警告!!!后面写的东西
·网络接入:不允许SAM账号和共享目录(设置为“启用”)
·网络接入:将“允许每一个人申请匿名用户”设置为关闭
·网络安全:“不得存储局域网管理员关于下一个口令变化的散列值”设置为“启用”
·关机:“允许系统在没有登录的情况下关闭”设置为“关闭”
·关机:“清除虚拟内存的页面文件”设置为“启用”
如果你没有Windows Server 2003域名控制器,你在这里可以找到有哪些Windows XP本地安全设置的细节,以及这里有哪些详细的Windows 2000 Server组策略的设置。要了解更多的有关Windows Server 2003组策略的信息,请查看微软的专门网页。
十一、如何设置IE中的安全设置选项按钮?
问:我在Windows 2000桌面右击IE图标并选择“属性”,选择了“安全”标签后,发现“自定义级别”和“默认级别”按钮变成灰色不可选状态,无法改变IE的安全等级。请问该如何解决?
答:出现这个问题的原因是系统在注册表中添加了一个“SecChangeSettings”键进行了限制。请打开注册表编辑器,找到[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel],将右侧窗口中的“SecChangeSettings”键删除后,重启IE即可解决问题。
十二、FAT32转换为NTFS
如果要使用文件访问权限,文件还必须位于NTFS文件系统的分区上。跟FAT和FAT32文件系统相比,NTFS文件系统可以在保持簇大小不变的情况下支持更大的分区,还有一系列的安全特性,建议使用。不过DOS和Windows 9x操作系统并不能支持这种文件系统。有两种方法获得NTFS文件系统的分区:创建一个分区,然后格式化为NTFS文件系统;或者把现有的FAT或者FAT32文件系统的分区在保留数据的前提下转化为NTFS文件系统。这个转化可以使用Windows自带的convert.exe程序,在命令行状态下输入“convert c:/fs:ntfs”并回车就可以把C盘转换,其他盘需要替换C为相应的盘符。另外要注意,转换系统盘可能需要你重启动系统才能完成。
十三、用组策略从十大方面保护Windows安全
Windows操作系统中组策略的应用无处不在,如何让系统更安全,也是一个常论不休的话题,下面就让我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。
一、给我们的IP添加安全策略
在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略,在本地计算机”下与有与网络有关的几个设置项目(如图1)。如果大家对Internet较为熟悉,那也可以通过它来添加或修改更多的网络安全设置,这样在Windows上运行网络程序或者畅游Internet时将会更加安全。
小提示 :由于此项较为专业,其间会涉及到很多的专业概念,一般用户用不到,在这里只是给网络管理员们提个醒,因此在此略过。
二、隐藏驱动器
平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项:选择“用户配置→管理模板→Windows组件→Windows资源管理器”。
三、禁用指定的文件类型
在“组策略”中,我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型,而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件,不让系统运行REG文件,具体操作方法如下:
1. 打开组策略,点击“计算机配置→Windows设置→安全设置→软件限制策略”,在弹出的右键菜单上选择“创建软件限制策略”,即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”项。
2. 双击“指派的文件类型”打开“指派的文件类型属性”窗口,只留下REG文件类型,将其他的文件全部删除,如果还有其他的文件类型要禁用,可以再次打开这个窗口,在“文件扩展名”空白栏里输入要禁用的文件类型,将它添加上去。
3. 双击“安全级别→不允许的”项,点击“设为默认”按钮。然后注销系统或者重新启动系统,此策略即生效,运行REG文件时,会提示“由于一个软件限制策略的阻止,Windows无法打开此程序”。
4.要取消此软件限制策略的话,双击“安全级别→不受限的”,打开“不受限的属性”窗口,按“设为默认值”即可。
如果你鼠标右键点击“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”,你会看到它可以建立哈希规则、Internet 区域规则、路径规则等策略,利用这些规则我们可以让系统更加安全,比如利用“路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则,并将安全级别设置为“不允许的”,以防止电子邮件病毒。
提示:为了避免“软件限制策略”将系统管理员也限制,我们可以双击“强制”,选择“除本地管理员以外的所有用户”。如果用你的是文件类型限制策略,此选项可以确保管理员有权运行被限制的文件类型,而其他用户无权运行。
四、未经许可,不得在本机登录
使用电脑时,我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在下载东西、挂POPO等等,为了避免有人动用电脑,我们一般会把电脑锁定。但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户登录到别的账户,那就麻烦了。既然我们不能删除或禁用这些账户,那么我们可以通过“组策略”来禁止一些账户在本机上登录,让对方只能通过网络登录。
在“组策略”窗口中依次打开“计算机配置→Windows设置→安全设置→本地策略→用户权限分配”,然后双击右侧窗格的“拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现。
如果我们想反其道而行之,禁止用户从网络登录,只能从本地登录,可以双击“拒绝从网络访问这台计算机”项将用户加上去。
五、给“休眠”和“待机”加个密码
只有“屏幕保护”有密码是远远不够安全的,我们还要给“休眠”和“待机”加上密码,这样才会更安全。让我们来给“休眠”和“待机”加上密码吧。在“组策略”窗口中展开“用户配置→管理模板→系统→电源管理”,在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”,将其设置为“已启用”(图5),那么当我们从“待机”或“休眠”状态返回时将会要求你输入用户密码。
六、自动给操作做个记录
在“计算机配置→Windows设置→安全设置→本地策略→审核策略”上,我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等(图6)。这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作:几时登录、关闭系统或更改过哪些策略等等。
我们应该养成经常在“控制面板→管理工具→事件查看器”里查看事件的好习惯。比如,当你修改过“组策略”后,系统就发生了问题,此时“事件查看器”就会及时告诉你改了哪些策略。在“登录事件”里,你可以查看到详细的登录事件,知道有人曾尝试使用禁用的账户登录、谁的账户密码已过期……而要启用哪些审核,只要双击相应的项目,选中“成功”和“失败”两个选项即可。
注意:Windows XP Home Edition没有“组策略”,只有Windows XP Professional版本才有“组策略”,这一点注意。
七、限制IE浏览器的保存功能
当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制使用,那么如何才能实现呢?具体方法为:选择“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”→“浏览器菜单”分支。双击右侧窗格中的“‘文件’菜单:禁用‘另存为…’菜单项”,在打开的设置窗口中选中“已启用”单选按钮(如图7)。
提示 : 我们还可以对“‘文件’菜单:禁用另存为网页菜单项”、“‘查看’菜单:禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目进行修改,这样我们的IE将会安全一些。
八、禁止修改IE浏览器的主页
如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话,我们可以选择“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”分支,然后在右侧窗格中,双击“禁用更改主页设置”策略启用即可。
(1)在图8,还提供了更改历史记录设置、更改颜色设置和更改Internet临时文件设置等项目的禁用功能。如果启用了这个策略,在IE浏览器的“Internet 选项”对话框中,其“常规”选项卡的“主页”区域的设置将变灰。
(2)如果设置了位于“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”→“Internet 控制面板”中的“禁用常规页”策略,则无需设置该策略,因为“禁用常规页”策略将删除界面上的“常规”选项卡。
(3)逐级展开“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”分支,我们可以在其下发现“Internet控制面板”、“脱机页”、“浏览器菜单”、“工具栏”、“持续行为”和“管理员认可的控件”等策略选项。利用它可以充分打造一个极有个性和安全的IE。
九、把Administrator藏起来
Windows系统默认的系统管理员账户名是Administrator。因此,为了避免有人恶意破解系统管理员Administrator账户的密码,我们可以将Administrator改为其他名字以加强安全。点击“开始→运行”,输入gpedit.msc,打开“组策略”,如图9所示,选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右边窗格里双击“账户:重命名系统管理员账户”项,在上面输入你想要的用户名。重新启动计算机后,输入的新用户名即刻生效。如果再新建一个Guest用户,用户名为Administrator,然后再加上十分复杂的密码就更安全。
提示:为了避免让人在Windows的登录框中看到曾经登录过的用户名,就要双击“交互式登录:不显示上次的用户名”子项,选择“已启用”将该策略启用。这样上次登录到计算机的用户名就不会显示在Windows的登录画面中。
十.禁用IE组件自动安装
选择“计算机配置”→“管理模板”→“Windows组件”→“Internet Explorer”项目,双击右边窗口中“禁用Internet Explorer组件的自动安装”项目,在打开的窗口中选择“已启用”单选按钮(如图10),将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件,篡改IE的行为也会得到遏制!相对来说IE也会安全许多!
小提示
如果禁用该策略或不对其进行配置,则用户在访问需要某个组件的网站时,将会收到一则消息,提示用户下载并安装该组件。有时用户看也不看就选择“安装”则往往会出问题。网上的很多恶意代码往往都是这样工作的。
十四、Windows 2000 安全检查清单
在网上偶尔看到这篇关于Window 2000安全的问题,虽然有点老了,但觉得还是挺实用的,于是就转过来了,希望大家有所帮助。注意:很多操作请不要在服务器上直接尝试,因为操作不当可能会引起服务器很多功能出错或无法使用,建议您在个人的机器上操作成功后再试。 ---51windows(海娃)
前段时间,中美网络大战,我看了一些被黑的服务器,发现绝大部分被黑的服务器都是Nt/win2000的机器,真是惨不忍睹。Windows2000 真的那么不安全么?其实,Windows2000 含有很多的安全功能和选项,如果你合理的配置它们,那么windows 2000将会是一个很安全的操作系统.我抽空翻了一些网站,翻译加凑数的整理了一篇checklist出来。希望对win2000管理员有些帮助。本文并没有什么高深的东西,所谓的清单,也并不完善,很多东西要等以后慢慢加了,希望能给管理员作一参考。
具体清单如下:
初级安全篇
1.物理安全
服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
2.停掉Guest 帐号
在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。
3.限制不必要的用户数量
去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。
4.创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。
5.把系统administrator帐号改名
大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。
6.创建一个陷阱帐号
什么是陷阱帐号? Look!创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿,够损!
7.把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。
8.使用安全密码
一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得N简单,比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候,我们给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果人家得到了你的密码文档,必须花43天或者更长的时间才能破解出来,而你的密码策略是42天必须改密码。
9.设置屏幕保护密码
很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。
10. 使用NTFS格式分区
把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说,想必大家得服务器都已经是NTFS的了。
11.运行防毒软件
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库
12.保障备份盘的安全
一旦系统资料被破坏,备份盘将是你恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。千万别把资料备份在同一台服务器上,那样的话,还不如不要备份。
中级安全篇:
1.利用win2000的安全配置工具来配置策略
微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页:
2.关闭不必要的服务
windows 2000 的 Terminal Services(终端服务),IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务:
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
3.关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为:
网上邻居属性本地连接属性internet 协议(tcp/ip)属性高级选项tcp/ip筛选属性打开tcp/ip筛选,添加需要的tcp,udp,协议即可。
4.打开审核策略
开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
策略 设置
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核对象访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败
5.开启密码密码策略
策略 设置
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5 次
强制密码历史 42 天
6.开启帐户策略
策略 设置
复位帐户锁定计数器 20分钟
帐户锁定时间 20分钟
帐户锁定阈值 3次
7.设定安全记录的访问权限
安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。
8.把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。
9.不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName 把 REG_SZ 的键值改成 1 .
10.禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接: Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
11.到微软网站下载最新的补丁程序
很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。
组策略如何限制IE访问网站
在本篇技术指南中,将概要介绍你如何修改最重要的组策略安全设置。
在本篇技术指南中,将概要介绍你如何修改最重要的组策略安全设置。
你可以在采用Windows XP、2000和Server 2003操作系统的本地计算机上使用这些方法,或者在Server 2003和2000中的OU域名级上使用这些方法。为了简明扼要和提供最新的信息,我准备介绍一下如何设置基于Windows Server 2003的域名。请记住,这些只是你在你的域名中能够设置的组策略对象中最有可能出现问题的。按照我的观点,这些设置可以保持或者破坏Windows的安全。而且由于设置的不同,你的进展也不同。因此,我鼓励你在使用每一个设置之前都进行深入的研究,以确保这些设置能够兼容你的网络。如果有可能的话,对这些设置进行试验(如果你很幸运有一个测试环境的话)。
如果你没有进行测试,我建议你下载和安装微软的组策略管理控制台(GPMC)来做这些改变。这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。要开始这个编辑流程,你就上载GPMC,扩展你的域名,用鼠标右键点击“缺省域名策略”,然后选择“编辑”。这样就装载了组策略对象编辑器。如果你要以更快的速度或者“次企业级”的方式编辑你的域名组策略对象,你可以在“开始”菜单中运行“gpedit.msc”。
1.确定一个缺省的口令策略,使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。
2.为了防止自动口令破解,在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置:
·账号关闭持续时间(确定至少5-10分钟)
·账号关闭极限(确定最多允许5至10次非法登录)
·随后重新启动关闭的账号(确定至少10-15分钟以后)
3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能:
·检查账号管理
·检查登录事件
·检查策略改变
·检查权限使用
·检查系统事件
理想的情况是,你要启用记录成功和失败的登录。但是,这取决于你要保留什么类型的记录以及你是否能够管理这些记录。Roberta Bragg在这里介绍了一些普通的检查记录设置。要记住,启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。
4.作为增强Windows安全的最佳做法和为攻击者设置更多的障碍以减少对Windows的攻击,你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行如下设置:
·账号:重新命名管理员账号--不是要求更有效而是增加一个安全层(确定一个新名字)
·账号:重新命名客户账号(确定一个新名字)
·交互式登录:不要显示最后一个用户的名字(设置为启用)
·交互式登录:不需要最后一个用户的名字(设置为关闭)
·交互式登录: 为企图登录的用户提供一个消息文本(确定为让用户阅读banner text(旗帜文本),内容大致为“这是专用和受控的系统。
如果你滥用本系统,你将受到制裁。--首先让你的律师运行这个程序)
·交互式登录: 为企图登录的用户提供的消息题目--在警告!!!后面写的东西
·网络接入:不允许SAM账号和共享目录(设置为“启用”)
·网络接入:将“允许每一个人申请匿名用户”设置为关闭
·网络安全:“不得存储局域网管理员关于下一个口令变化的散列值”设置为“启用”
·关机:“允许系统在没有登录的情况下关闭”设置为“关闭”
·关机:“清除虚拟内存的页面文件”设置为“启用”
如果你没有Windows Server 2003域名控制器,你在这里可以找到有哪些Windows XP本地安全设置的细节,以及这里有哪些详细的Windows 2000 Server组策略的设置。要了解更多的有关Windows Server 2003组策略的信息,请查看微软的专门网页。
十一、如何设置IE中的安全设置选项按钮?
问:我在Windows 2000桌面右击IE图标并选择“属性”,选择了“安全”标签后,发现“自定义级别”和“默认级别”按钮变成灰色不可选状态,无法改变IE的安全等级。请问该如何解决?
答:出现这个问题的原因是系统在注册表中添加了一个“SecChangeSettings”键进行了限制。请打开注册表编辑器,找到[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel],将右侧窗口中的“SecChangeSettings”键删除后,重启IE即可解决问题。
十二、FAT32转换为NTFS
如果要使用文件访问权限,文件还必须位于NTFS文件系统的分区上。跟FAT和FAT32文件系统相比,NTFS文件系统可以在保持簇大小不变的情况下支持更大的分区,还有一系列的安全特性,建议使用。不过DOS和Windows 9x操作系统并不能支持这种文件系统。有两种方法获得NTFS文件系统的分区:创建一个分区,然后格式化为NTFS文件系统;或者把现有的FAT或者FAT32文件系统的分区在保留数据的前提下转化为NTFS文件系统。这个转化可以使用Windows自带的convert.exe程序,在命令行状态下输入“convert c:/fs:ntfs”并回车就可以把C盘转换,其他盘需要替换C为相应的盘符。另外要注意,转换系统盘可能需要你重启动系统才能完成。
十三、用组策略从十大方面保护Windows安全
Windows操作系统中组策略的应用无处不在,如何让系统更安全,也是一个常论不休的话题,下面就让我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。
一、给我们的IP添加安全策略
在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略,在本地计算机”下与有与网络有关的几个设置项目(如图1)。如果大家对Internet较为熟悉,那也可以通过它来添加或修改更多的网络安全设置,这样在Windows上运行网络程序或者畅游Internet时将会更加安全。
小提示 :由于此项较为专业,其间会涉及到很多的专业概念,一般用户用不到,在这里只是给网络管理员们提个醒,因此在此略过。
二、隐藏驱动器
平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项:选择“用户配置→管理模板→Windows组件→Windows资源管理器”。
三、禁用指定的文件类型
在“组策略”中,我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型,而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件,不让系统运行REG文件,具体操作方法如下:
1. 打开组策略,点击“计算机配置→Windows设置→安全设置→软件限制策略”,在弹出的右键菜单上选择“创建软件限制策略”,即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”项。
2. 双击“指派的文件类型”打开“指派的文件类型属性”窗口,只留下REG文件类型,将其他的文件全部删除,如果还有其他的文件类型要禁用,可以再次打开这个窗口,在“文件扩展名”空白栏里输入要禁用的文件类型,将它添加上去。
3. 双击“安全级别→不允许的”项,点击“设为默认”按钮。然后注销系统或者重新启动系统,此策略即生效,运行REG文件时,会提示“由于一个软件限制策略的阻止,Windows无法打开此程序”。
4.要取消此软件限制策略的话,双击“安全级别→不受限的”,打开“不受限的属性”窗口,按“设为默认值”即可。
如果你鼠标右键点击“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”,你会看到它可以建立哈希规则、Internet 区域规则、路径规则等策略,利用这些规则我们可以让系统更加安全,比如利用“路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则,并将安全级别设置为“不允许的”,以防止电子邮件病毒。
提示:为了避免“软件限制策略”将系统管理员也限制,我们可以双击“强制”,选择“除本地管理员以外的所有用户”。如果用你的是文件类型限制策略,此选项可以确保管理员有权运行被限制的文件类型,而其他用户无权运行。
四、未经许可,不得在本机登录
使用电脑时,我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在下载东西、挂POPO等等,为了避免有人动用电脑,我们一般会把电脑锁定。但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户登录到别的账户,那就麻烦了。既然我们不能删除或禁用这些账户,那么我们可以通过“组策略”来禁止一些账户在本机上登录,让对方只能通过网络登录。
在“组策略”窗口中依次打开“计算机配置→Windows设置→安全设置→本地策略→用户权限分配”,然后双击右侧窗格的“拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现。
如果我们想反其道而行之,禁止用户从网络登录,只能从本地登录,可以双击“拒绝从网络访问这台计算机”项将用户加上去。
五、给“休眠”和“待机”加个密码
只有“屏幕保护”有密码是远远不够安全的,我们还要给“休眠”和“待机”加上密码,这样才会更安全。让我们来给“休眠”和“待机”加上密码吧。在“组策略”窗口中展开“用户配置→管理模板→系统→电源管理”,在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”,将其设置为“已启用”(图5),那么当我们从“待机”或“休眠”状态返回时将会要求你输入用户密码。
六、自动给操作做个记录
在“计算机配置→Windows设置→安全设置→本地策略→审核策略”上,我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等(图6)。这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作:几时登录、关闭系统或更改过哪些策略等等。
我们应该养成经常在“控制面板→管理工具→事件查看器”里查看事件的好习惯。比如,当你修改过“组策略”后,系统就发生了问题,此时“事件查看器”就会及时告诉你改了哪些策略。在“登录事件”里,你可以查看到详细的登录事件,知道有人曾尝试使用禁用的账户登录、谁的账户密码已过期……而要启用哪些审核,只要双击相应的项目,选中“成功”和“失败”两个选项即可。
注意:Windows XP Home Edition没有“组策略”,只有Windows XP Professional版本才有“组策略”,这一点注意。
七、限制IE浏览器的保存功能
当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制使用,那么如何才能实现呢?具体方法为:选择“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”→“浏览器菜单”分支。双击右侧窗格中的“‘文件’菜单:禁用‘另存为…’菜单项”,在打开的设置窗口中选中“已启用”单选按钮(如图7)。
提示 : 我们还可以对“‘文件’菜单:禁用另存为网页菜单项”、“‘查看’菜单:禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目进行修改,这样我们的IE将会安全一些。
八、禁止修改IE浏览器的主页
如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话,我们可以选择“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”分支,然后在右侧窗格中,双击“禁用更改主页设置”策略启用即可。
(1)在图8,还提供了更改历史记录设置、更改颜色设置和更改Internet临时文件设置等项目的禁用功能。如果启用了这个策略,在IE浏览器的“Internet 选项”对话框中,其“常规”选项卡的“主页”区域的设置将变灰。
(2)如果设置了位于“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”→“Internet 控制面板”中的“禁用常规页”策略,则无需设置该策略,因为“禁用常规页”策略将删除界面上的“常规”选项卡。
(3)逐级展开“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”分支,我们可以在其下发现“Internet控制面板”、“脱机页”、“浏览器菜单”、“工具栏”、“持续行为”和“管理员认可的控件”等策略选项。利用它可以充分打造一个极有个性和安全的IE。
九、把Administrator藏起来
Windows系统默认的系统管理员账户名是Administrator。因此,为了避免有人恶意破解系统管理员Administrator账户的密码,我们可以将Administrator改为其他名字以加强安全。点击“开始→运行”,输入gpedit.msc,打开“组策略”,如图9所示,选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右边窗格里双击“账户:重命名系统管理员账户”项,在上面输入你想要的用户名。重新启动计算机后,输入的新用户名即刻生效。如果再新建一个Guest用户,用户名为Administrator,然后再加上十分复杂的密码就更安全。
提示:为了避免让人在Windows的登录框中看到曾经登录过的用户名,就要双击“交互式登录:不显示上次的用户名”子项,选择“已启用”将该策略启用。这样上次登录到计算机的用户名就不会显示在Windows的登录画面中。
十.禁用IE组件自动安装
选择“计算机配置”→“管理模板”→“Windows组件”→“Internet Explorer”项目,双击右边窗口中“禁用Internet Explorer组件的自动安装”项目,在打开的窗口中选择“已启用”单选按钮(如图10),将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件,篡改IE的行为也会得到遏制!相对来说IE也会安全许多!
小提示
如果禁用该策略或不对其进行配置,则用户在访问需要某个组件的网站时,将会收到一则消息,提示用户下载并安装该组件。有时用户看也不看就选择“安装”则往往会出问题。网上的很多恶意代码往往都是这样工作的。
十四、Windows 2000 安全检查清单
在网上偶尔看到这篇关于Window 2000安全的问题,虽然有点老了,但觉得还是挺实用的,于是就转过来了,希望大家有所帮助。注意:很多操作请不要在服务器上直接尝试,因为操作不当可能会引起服务器很多功能出错或无法使用,建议您在个人的机器上操作成功后再试。 ---51windows(海娃)
前段时间,中美网络大战,我看了一些被黑的服务器,发现绝大部分被黑的服务器都是Nt/win2000的机器,真是惨不忍睹。Windows2000 真的那么不安全么?其实,Windows2000 含有很多的安全功能和选项,如果你合理的配置它们,那么windows 2000将会是一个很安全的操作系统.我抽空翻了一些网站,翻译加凑数的整理了一篇checklist出来。希望对win2000管理员有些帮助。本文并没有什么高深的东西,所谓的清单,也并不完善,很多东西要等以后慢慢加了,希望能给管理员作一参考。
具体清单如下:
初级安全篇
1.物理安全
服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
2.停掉Guest 帐号
在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。
3.限制不必要的用户数量
去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。
4.创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。
5.把系统administrator帐号改名
大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。
6.创建一个陷阱帐号
什么是陷阱帐号? Look!创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿,够损!
7.把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。
8.使用安全密码
一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得N简单,比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候,我们给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果人家得到了你的密码文档,必须花43天或者更长的时间才能破解出来,而你的密码策略是42天必须改密码。
9.设置屏幕保护密码
很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。
10. 使用NTFS格式分区
把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说,想必大家得服务器都已经是NTFS的了。
11.运行防毒软件
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库
12.保障备份盘的安全
一旦系统资料被破坏,备份盘将是你恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。千万别把资料备份在同一台服务器上,那样的话,还不如不要备份。
中级安全篇:
1.利用win2000的安全配置工具来配置策略
微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页:
2.关闭不必要的服务
windows 2000 的 Terminal Services(终端服务),IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务:
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
3.关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为:
网上邻居属性本地连接属性internet 协议(tcp/ip)属性高级选项tcp/ip筛选属性打开tcp/ip筛选,添加需要的tcp,udp,协议即可。
4.打开审核策略
开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
策略 设置
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核对象访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败
5.开启密码密码策略
策略 设置
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5 次
强制密码历史 42 天
6.开启帐户策略
策略 设置
复位帐户锁定计数器 20分钟
帐户锁定时间 20分钟
帐户锁定阈值 3次
7.设定安全记录的访问权限
安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。
8.把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。
9.不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName 把 REG_SZ 的键值改成 1 .
10.禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接: Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
11.到微软网站下载最新的补丁程序
很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。
入侵网站靶子的介绍到这里结束,感谢您的关注,入侵一个网站、入侵网站靶子的信息别忘了在本站进行查找喔。