在数次攻击尝试失败之后将
发布:2018-08-29 17:36:16 浏览:3223
54同安全与控
录中的文件并可能修改或刚除它们。这些系统中的口令机制有许多漏洞。可以很容易写一个程序自动检测口令。下面有几称
可能的口令我们可试一试?典型的用户口令,例如WORKGRUP,Windows,USER,ADMIN等等;
来源于资源列表和登录的用户
可试一下由管理员提供的目录文件或任何标准目录。如果很细心的话,会发现一个口令一旦被用过那么被猜出的可能性就很高。根据已经做
过的浏览发现,我们进行了每秒200个口令的非礼攻击,在不到两分钟内试了18000个口令。
Windows9S无法锁住进一步的访问企图,所以黑客可无止境地连续攻击用户的机器
Windows95对任何此类的访问企图没有记录。黑客不仅可在短时间内试用大量ロ令,而
且这些操作在系统中没有记载。因此,知道有人在试图攻击自己是解决自身安全问题的重点。
且浏览程序访问共享目录的文件,它就试图决定此机器是否对“”错误脆弱,此错误还
允许黑客访问硬盘的其他部分,尽管此机器上设置的是只能访问某个特定目录。)
由于操作系统不能正确地检査“。”,“”,所以此错误是很有效的。“.”使用户能访
问共享目录的上一层目录。在UNIX早期的NFS网络文件系统应用中就发现过同样的错误。共享文件如果能让任何人访问和利用,那么通过利用“。”错误能瓦解NT3.51的机器,并
使之重启动。在Windows95上利用此错误技术可允许任何人访问整个硬盘。m对网络浏览者来说,知道正在浏览是很容易的,只要用Popu程序发消息即可。Popu程
序所存在的安全问题是它缺少鉴别权,这样黑客可以利用Popup这个安全缺陷,以管理员的身
份通知大家把他们的目录设为共享,而其他用户却无法分辦出真假管理员。日
这里有一些改进共享文件系统安全性的方法:
更好地记载黑客的袭击;
在每个错误口令的尝试之后设置一个延迟,以使非法攻击慢下来;
?在数次攻击尝试失败之后将共享文件锁住中witteiisl,A3
允许或拒绝基于主机地址的功能
更好地鉴别Popup消息。
用户应接受培训以保证进行合理配置。下面是配置更安全网络的基本步骤
(1)利用口令保护所有资源
(2)用户使用难猜的口令;
(3)除非通过鉴权过程,否则别人无法访问用户的系统或设置用户系统口令
(4)用户应安装提供商提供的安全补丁。n
由器封这些端口SABか议使得文件共享,它在UDP/TCP的137138和139端口下,因此要确保防火
般的机器在装完NT4后默认的安全性都是Everyone(Ful)l,这是非改不可的。如果你
用了IS里面的FP和WWWPublishService,或者用Browser浏览Internet,那么肯定要大
得更快吗?祸临头。好多Coie及其它c程序都有办法访问你的硬盘而你还偏偏不加保护,岂不是死
2章安全成与防范55
建议在每个NTFS盘的根目录把Everyone删掉换成Administrator(Fu)l+System
大人人都可以乱改,造成管理上的混乱。(Read),并替换子目录权限,另外Administrators里最好只包括Administrato,以免大家权限过
对于一些共享目录,则加上DomainAdmin(Read),DomainUser(Read);还有一些限制级
的,则仅仅加上DomainAdmin((Read),PowerUser(Read);至于大家的Home(主)目录,则可以
建一个公共目录,共享时必须选FullControl,然后在每个人的目录里加以限制。例如用户
Judy,我们就把PublicJudy安全性设为Administrator(Ful),DomainAdmin(Read),Judy
(Fu),System(Read),另外再建个公共的目录Tenp,VPublicTemp设为DomainUser
(Fu)这样一来,大家的共享目录就算建好了。毎个人都可以全权控制自己的目录和Temp
目录,却不能访问别人的目录,相互之间通过Temp来传送数据。审回
切记不要用Administrator直接从客户机登录到服务器,以防在用ShareHub(共享式集线
器)时被某些人用Sniffer,,Etherpeek之类工具偷听到,即使管理员本身,不在服务器上登录时
也只应该用AdminUsers登录,而且AdminUsers最好也不要有完全的权限,以防口令失窃产
生严重后果。面大
为了使所有的共享文件都能得到访问,要正确地设置权限不要默认对Everyone用户组默
认的“完全控制”权限的设置。国需断忘日计
2.4.3.4安全措施
为了确保安全性,以下6项措施可供WindowsND.的系统管理参考:国首
1.使用NTFS而不用FAT。NTFS(NT文件系统)可以对文件和目录使用ACL(存取控
制表),ACL可以方便、灵活地管理共享目录,使其合理使用,而FAT(文件分配表)却只能管理
共享级的安全,即不能像NTFS那样强大。hn直71a3
出于安全考虑,必须处处设置尽可能多的安全措施,凡是与Internet相连的WindowsNT
计算机都应该使用NTFS。使用NtfscalF的好处在于,如果它授权用户对某分区具有全部存取
权限,但共享级权限为“只读”,则最终的有效权限为“只读”。WindowsNT取Ntfscal和共享权
限的交集。中iW国政。知的回女其I1
在实施这样的网络方案时,您最好限制InternetI服务器的共享,但是如果非要与Internet
服务器交换文件,则可借助于NTFS且建立新的共享权限,不要忘记修改由NT指定的默认权限否则Everyone用户组就能
享有“完全控制”的共享权限。那些已经使用了FAT的用户在x86的NT系统上可以用Con
vert命令将启动磁盘升级为NTFS。教た、曲き同
2.将系统管理员账户改名。对于试图猜测口令的非法用户,NT的UserManager可以设
置防范措施,例如5次口令输人错误后就禁止该账号登录。用
问题在于系统管理员这个最重要的账号却用不上这项防范措施。即便将系统管理员的权
限全部授予某个用户账号并且只使用该用户账号进行管理,但是由于系统管理员账号本身不
能删掉或废止,因而非法用户仍然可以对系统管理员账号进行口令攻击。二意登
种值得推荐的方法是将系统管理员账号的用户名由原先的“Administrator”改为一个无
意义的字符串。这样要登录的非法用户不但要猜准口令,
网站建设还要先猜出用户名。这种改名功能