NT系统的安全策略.doc

《NT系统的安全策略.doc》由会员分享，可在线阅读，更多相关《NT系统的安全策略.doc（6页珍藏版）》请在咨信网上搜索。

1、-各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-NT系统的安全策略 NT系统的安全策略- 徐 彬 贺蕴普 刘雪宁 中国科学院广州化学研究所 当年WINDOWS NT刚刚推出的时候，人们还在怀疑这样一个原代码非公开性的操作系统如何能占领服务器市场，但随着1996年NT4.0的推出，越来越多的使用者开始使用NT来构建自己的网络平台，WINDOWS NT的优点也慢慢被人们所发现：使用简单、图形化界面友好、稳定性也可以接受（较之WINDOWS系列的不稳定而言）、开发工具完善等。今年WINDOWS2000的发布更加坚定了微软抢占服务器市场的决心，特别是WINDOWS 2000

2、ADVANCE SERVER，WINDOWS 2000 DATACENTER及群集技术的推出更是说明了微软决心要进军高端服务器市场，与UNIX和LINUX三分天下。 但是，仅仅是使用简单是不够的，作为一个安全级别为C2级以及原代码非公开性的操作系统，NT从一推出来便漏洞百出。NT4.0从推出至今已有了6个服务升级包（微软不好意思称之为补丁），每一个都有几十兆之巨，下载的时候令人痛苦万分。NT系统的安全性不好是因为其复杂的结构和源代码不对外公开，整个操作系统只有微软自己可以修改，不象LINUX及多种UNIX系统，内核的源码是公开的，当一个安全性问题或漏洞被发现后，全球许多优秀的程序员都可以参与修

3、改，使得LINUX、UNIX系统的错误很快被修正。所以当NT 的漏洞被发现后，人们首先看到的是MICROSOFT安全公告上的长篇大论的解释或是让你删除出问题的组件，随后就是耐心的等待，直到补丁或服务升级包的推出。 WINDOWS 2000的推出并没有改变NT系统安全性不好的问题，让我们一起来看看WINDOWS 2000安装时出现的一个漏洞：在Windows 2000安装过程中未对ADMIN$进行保护，也就是说当安装过程中第一次输入管理员密码到下一次重新启动前，任意网络用户都可以不用密码而通过直接连接ADMIN$共享来访问系统，即在网络共享输入：服务器名ADMIN$ 从而进入系统。所以建议大家在

4、安装WINDOWS 2000的时候物理隔断服务器的网络连接。 从上面的例子可以看出，Windows NT系列并不是令人放心的系统，我们需要了解NT系统的漏洞，了解黑客的入侵方式，定出我们的安全策略。 一、NT系统的漏洞 1. 密码： 对任何人来讲，较短的密码都是极不安全的，Windows NT的密码实际上没有以文件形式保存，而是一些杂乱的暗码夹杂在某些文件的内部。已经发现包含有NT密码的文件有8个，包括WINNTrapairsam._,这个文件中包含管理员的密码，以及WINNTsystem32inetsrv MetaBase.bin，这个文件中包含有IUSR_ComputerName等帐号的密

5、码。破解NT的密码有许多小工具，比如L0phtCrack这个小软件，从菜单中选取注册表获取信息或从SAM文件中获取信息，对于六位数密码（不包含特殊字符），一般情况下20分钟内可以解出来（当然，破解机器的速度不能太慢）。所以对于管理员的密码，最好是8-9位，而且要带有特殊字符。 2. IIS: Internet Information Server是一个很好用的WEB和FTP服务平台，由于IIS与ASP脚本语言及ACTIVE X控件紧密结合，用户可以在服务器端用简单的脚本作出功能强大的数据库查询及动态WEB页面，另外IIS也提供了远程管理的功能，使用户通过WEB可以对IIS进行管理。虽然IIS简

6、单好用，但是漏洞百出。我们知道ASP脚本语言的一大好处是无法查看源代码，所有的ASP脚本均在服务器端执行，客户端得到的是程序执行的结果，得不到ASP脚本的源代码，这在一定程度上保护了开发者的利益。但是IIS3的一个经典漏洞便暴露了ASP脚本的源代码，只要在浏览器里加上几个特殊字符，便可以看到源码，如(假设要访问的文件为 在浏览器地址框内敲入红框内的内容，即可在查看源码中看到整个ASP源码。当然，这个漏洞已被补上，但现在已知能查看ASP源码的漏洞已有六个，真是令人防不胜防。下面我们来看看最近的一些典型的漏洞： （1）shtml.dll的问题 在NT4+ Frontpage Extention以及

7、WINDOWS2000的_vti_bin 的虚拟目录下有一个文件shtml.dll，目的是用来浏览smart HTML文件。如果在windows2000上安装Frontpage，将在web根目录下创建一个 _vti_bin 的虚拟目录，shtml.dll是位于该目录下的文件之一。当我们要访问的文件不存在的时候，例如访问一个根本不存在的aaa.html， 则会返回一个错误信息，而其中也会包含WEB的本地路径信息。获取WEB的本地路径信息对黑客来说是一件开心的事，是他准备入侵系统所做的准备工作中的重要一步。更糟的是由于注意到shtml.dll对较长的带html后缀的文件名都会进行识别和处理，利用这

8、一点，可以对IIS服务器执行DOS攻击。 D.O.S（Denial of Service）：拒绝服务攻击，是指一个用户占据了大量的共享资源，使系统没剩余的资源给其它用户再提供服务的一种攻击方式。拒绝服务攻击的结果可以降低系统资源的可用性，这些资源可以是CPU、CPU时间、磁盘空间、Mode、打印机、甚至是系统管理员的时间，往往是减少或者失去服务。 拒绝服务攻击是针对IP实现的核心进行的，它可以出现在任何一个平台之上。 利用shtml.dll的漏洞，通过编制一小段的D.O.S攻击程序，便可以使目标的资源耗尽。 建议：禁止 /_vti_bin 目录远程访问。 （2） 过长的ida后缀使IIS5.0

9、服务崩溃 这也是一个典型的D.O.S漏洞，对于IIS4+SP4以及IIS5，只要在所要访问的URL后面粘贴25K的字符，如： 建议：将无用的应用程序映射删除。 （3）关于MSADC目录下的两个漏洞 两个漏洞均为IIS4的漏洞，IIS4若安装了范例文件则会在/wwwroot下生成/msadc目录，其中有两个文件带来了漏洞： Showcode.asp:这是一个ASP的范例文件，通过它我们可以查看ASP源码甚至是系统配置文件。例如我们想要看的是test.asp： Msadcs.dll: 这是一个允许通过web远程访问ODBC，获取系统的控制权的文件，微软为此发布过补丁，但没有彻底解决问题，黑客可以通

10、过该文件通过vb函数调用VbBusObj请求或shell，从而获得系统最高权限。 建议：删除MSADC目录及Msadcs.dll。 （4） 微软的动态库文件与Netscape 在装有Frontpage Extion Server的IIS 服务器上,有两个动态库文件 dvwssr.dll，mtd2lv.dll被发现有后门，所谓后门也就是程序开发者设计程序时留下的供自己日后可随意访问系统的入口，一般是有口令的，这个后门的功能是允许用户远程读取asp、asa和CGI程序的源代码，但要求解码后才能发挥读取asp等源程序的功能，有趣的是这个后门的密码竟然是Netscape engineers are w

11、eenies!。微软的操作系统已经不止一次被人发现有后门了，但是密码如此有攻击性确实少见。另一方面，发展我们中国自己的操作系统是势在必行了。 建议：删除dvwssr.dll。 二、黑客的入侵方式 黑客经常端坐在电脑面前，废寝忘食，他们大部分的时间是在寻找主机，查找漏洞，然后进入你的系统。但是黑客不完全等于入侵者，好的黑客会帮你查找系统的漏洞，然后告诉你解决方法，但我们不能期望只碰到善意的黑客，我们必须了解黑客入侵的方法（由于本文并不是黑客教程，故具体操作内容从略）： 1. 查找指纹 这是入侵的最重要的一步，首先使用的工具是PING。查找想要入侵的一段IP地址，如果没有任何机器，再换一段，直到找

12、到目标。然后判断它是否是NT服务器？你可以这样判断 (1) Telnet远程登录到它的21号端口（ftp）,看它是不是显示nt信息。 (2) 检查一下服务器是否只是说它在运行什么（检查它们的页面）。 (3) 试一下NBTSTAT -A ip address看它的回应。如果未出错，并出现相关的共享信息，就可以得到结果了。 然后就是用一些端口扫描器扫描目标机器所运行的服务，从而判断从那一个端口进攻。 2. 寻找漏洞 运行类似letmein.exe这样的程序可以对目标机器的帐号进行攻击，并取得相应的密码。另一个方法是由NBTSTAT -A ip address得到目标机器详细的共享目录，然后编辑本地

13、文件c:windowslmhosts（LMHOSTS文件是一个包含NetBIOS到IP地址映射的简单文本文件），将目标主机IP解析加入，然后尝试连接目标机的共享逻辑盘。SNIFFER也是黑客常用的工具，用SNIFFER可以分析各种信息包可以很清楚的描述出网络的结构和使用的机器，由于它接受任何一个在同一网段上传输的数据包，所以也就存在着 SNIFFER可以用来捕获密码，EMAIL信息，秘密文档等一些其他没有加密的信息。所以这成为黑客们常用的扩大战果的方法，夺取其他主机的控制权。当然最容易入侵的是IIS及FTP，黑客可以用自制的小程序监听IIS及FTP，发现未加密的密码，以及如上文所讲的利用IIS

14、及FTP的已公开的漏洞，逐个尝试进行入侵。 3. 入侵系统 能入侵系统的人不一定都是坏人，但典型的破坏者入侵后会更改你的首页，窃取你的帐号密码，下载你硬盘的重要资料，在你的系统里放入木马程序，运行DOS攻击程序，或利用你的机器作为向别人发动攻击的中转站。 三、安全策略 为了防止恶意的入侵，我们必须定出详细的安全策略： 1 硬件或软件的防火墙是必须的，同时也是有效的，防火墙可以抵挡大部分的恶意进攻，也可以记录进出网络的每一个包的简要信息，为日后查找入侵记录提供了方便。但防火墙并不是买回来就摆在那里，它需要细心的配置和升级。 2 硬盘最好Format 成NTFS格式，经常看看一些安全站点，使用最新

15、的Service Pack，并时常打一些微软发布的小补丁。 3 删除不必要的网络共享，可以命令net share /d。那些为了管理而设置的共享，如C$,D$,ADMIN$，删除后重启就又共享了，所以必须通过修改注册表的方法来实现，对NT4，可以修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlServices LanmanServerParameters 的 AutoShareServer设置为0。 4 重要的系统配置如信任机器的配置,共享资源的配置,注册表的配置,系统服务的配置和域用户管理器的配置，都必须经常检查。注册表是一个很容易被入侵和

16、修改的地方,你应该经常备份注册表。. 5 在防火墙上，截止所有从端口137到139的TCP和UDP连，这样做有助于对远程连接的控制。另外，在内部路由器上，设置ACL，在各个独立子网之间，截止从端口137到139的连接，以限制安全漏洞。 6 任何时候查看系统日志都是有用的，可以在域用户管理器-规则-审核中添加审核Success/Failed Logon/Logoff日志。 7 严格控制FTP的权限，最好禁止匿名FTP上载及对FTP用户的读写活动进行详细的监控，禁止FTP目录的脚本执行权利。 8 控制一般用户对注册表Run项的可写权限，就可以防止一般用户都具有对 HKEY_LOCAL_MACHIN

17、ESOFTWAREMICROSOFTWINDOWSCurrentVersionRun 项的可读可写权限，防止其在Run项创建文件，将自己加入到管理员组内。 9 管理员的密码最好是8-9位，包含有字符及特殊字符，同时严格监控密码文件SAM的读写。 10 最好能将默认的系统服务端口移至较高位置，如10000以上，这样可以防止黑客扫描你的端口，因为如此大的端口值，黑客要扫描很久，多数会知难而退。 11 把一些工具从你的NT目录中转移到一个安全的目录，例如：cmd.exe，net.exe，telnet.exe，ftp.exe等，可以使黑客上来后找不到合适的工具和SHELL。 12 用NBTSTAT -

18、A 本机IP查看本机的共享，看看有没有非法用户联接，查看木马程序常用的端口，如7306，7307、7308、12345、12345、12346、31337、6680、8111、9910，看看有没有木马程序的存在。 13 检查是否有用户帐号配置被修改,是否有组的特性被修改。黑客有时会把 Iuser_计算机名，这类用来匿名访问web的帐号加到管理组，.建议用户帐号尽量地少,发现入侵后将所有用户密码改掉。 14 对IIS ，我们需要做的工作比较多： * 设置正确的Server访问控制权限； * 正确设置虚拟目录，建议把默认安装后的那些虚拟目录删除； * 正确设置脚本及CGI的访问权限，建议将脚本程序

19、与HTML分开放置； * 正确设置IIS日志访问权限； * 适当地设置IP拒绝访问列表，防止黑客攻击你的Server； * 如果有需要的话，应用SSL( Secure Sockets Layer); * 删除一些你用不上的组件，regedit XXX.dll /u; * 删除虚拟目录IISADMPWD，因为它允许你重新设置你的管理员口令。 * 删除一些不必要的映射，象.htr,.idc,. shtm, .stm, .shtml，都可以在IIS服务管理器删除； * 禁用RDS； * 使用IIS登陆日志，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理； * 禁止

20、Parent Paths，即禁止用来访问你的上一层目录。 以上是我们在NT使用中的一点心得，如有错漏，还请批评指正。 个人工作业务总结本人于2009年7月进入新疆中正鑫磊地矿技术服务有限公司(前身为“西安中正矿业信息咨询有限公司”)，主要从事测量技术工作，至今已有三年。在这宝贵的三年时间里，我边工作、边学习测绘相专业书籍，遇到不懂得问题积极的请教工程师们，在他们耐心的教授和指导下，我的专业知识水平得到了很到的提高，并在实地测量工作中加以运用、总结，不断的提高自己的专业技术水平。同时积极的参与技术培训学习，加速自身知识的不断更新和自身素质的提高。努力使自己成为一名合格的测绘技术人员。在这三年中，

21、在公司各领导及同事的帮助带领下，按照岗位职责要求和行为规范，努力做好本职工作，认真完成了领导所交给的各项工作，在思想觉悟及工作能力方面有了很大的提高。 在思想上积极向上，能够认真贯彻党的基本方针政策，积极学习政治理论，坚持四项基本原则，遵纪守法，爱岗敬业，具有强烈的责任感和事业心。积极主动学习专业知识，工作态度端正，认真负责，具有良好的思想政治素质、思想品质和职业道德。 在工作态度方面，勤奋敬业，热爱本职工作，能够正确认真的对待每一项工作，能够主动寻找自己的不足并及时学习补充，始终保持严谨认真的工作态度和一丝不苟的工作作风。 在公司领导的关怀以及同事们的支持和帮助下，我迅速的完成了职业角色的转

22、变。一、回顾这四年来的职业生涯，我主要做了以下工作：1、参与了新疆库车县新疆库车县胡同布拉克石灰岩矿的野外测绘和放线工作、点之记的编写工作、1:2000地形地质图修测、1:1000勘探剖面测量、测绘内业资料的编写工作，提交成果新疆库车县胡同布拉克石灰岩矿普查报告已通过评审。2、参与了库车县城北水厂建设项目用地压覆矿产资源评估项目的室内地质资料编写工作，提交成果为库车县城北水厂建设项目用地压覆矿产资源评估报告，现已通过评审。3、参与了新疆库车县巴西克其克盐矿普查项目的野外地质勘查工作，参与项目包括：1:2000地质测图、1:1000勘查线剖面测量、测绘内业资料的编写工作；最终提交的新疆库车县康村

23、盐矿普查报告已通过评审。4、参与了新疆哈密市南坡子泉金矿2009年度矿山储量监测工作，项目包括：野外地质测量与室内地质资料的编写，提交成果为新疆哈密市南坡子泉金矿2009年度矿山储量年报，现已通过评审。5、参与了新疆博乐市浑德伦切亥尔石灰岩矿勘探项目的野外地质勘查工作，项目包括：1:5000地质填图、1:2000勘探剖面测量、测绘内业资料的编写工作，最终提交新疆库车县胡同布拉克石灰岩矿普查报告评审已通过。6、参与了新疆博乐市五台石灰岩矿9号矿区勘探项目的野外地质勘查工作，项目包括：1:2000地质测图、1:1000勘探剖面测量、测绘内业资料的编写工作，并绘制相应图件。7、参与了新疆博乐市托特克

24、斜花岗岩矿详查报告项目的野外地质勘查工作，项目包括：1:2000地质测图、1:1000勘探剖面测量、测绘内业资料的编写工作，并绘制相应图件。通过以上的这些工作，我学习并具备了以下工作能力： 1、通过实习，对测绘这门学科的研究内容及实际意义有了系统的认识。加深对测量学基本理论的理解，能够用有关理论指导作业实践，做到理论与实践相统一，提高分析问题、解决问题的能力，从而对测量学的基本内容得到一次实际应用，使所学知识进一步巩固、深化。2、熟悉了三、四等控制测量的作业程序及施测方法，并掌握了全站仪、静态GPS、RTK等测量仪器的工作原理和操作方法。3、掌握了GPS控制测量内业解算软件（南方测绘 Gps数

25、据处理）以及内业成图软件（南方cass）的操作应用。能够将外业测量的数据导入软件进行地形图成图和处理。4、在项目技术负责的指导下熟悉了测量技术总结的编写要求和方法，并参与了部分项目测量技术总结章节的编写工作。5、在项目负责的领导下参与整个测量项目的组织运作，对项目的实施过程有了深刻理解。通过在项目组的实习锻炼了自己的组织协调能力，为以后的工作打下了坚实基础。二、工作中尚存在的问题 从事测绘工作以来，深深感受到工作的繁忙、责任的重大，也因此没能全方位地进行系统地学习实践，主要表现为没有足够的经验，对于地形复杂的地段理解不够深刻；理论知识掌握不够系统，实践能力尚为有限。以上问题，在今后工作中自己将努力做到更好。三、今后的工作打算 通过总结四年来的工作，我无论从工作技术上，还是从世界观、人生观、价值观等各个方面，都有了很大的提高。今后，我会在此基础上，刻苦钻研，再接再厉，使自己在业务知识水平更上一层楼，为测绘事业的发展，贡献自己的力量。-各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-