8、网络安全降低风险 .pptx

八、降低风险;1、系统默认设置;2、注册表安全保护;主键;HKLM子树;设置注册表权限：读取和完全控制及高级权限： 查询数值：允许用户或组从主键中读取键值。 设置数值：允许用户或组对主键设置键值。 创建子项：允许用户或组给主键中建立子键。 枚举子项：允许用户或组确定主键的子键。 通知：允许用户或组审核主键的通告事件。 创建链接：允许用户或组在特定的主键中符号连接。 删除：允许用户或组删除一个选中的主键。 写入DAC：允许用户或组为编写主键的自定义的ACL而获得主键的使用权。 写入所有者：允许用户或组为获得主键的拥有权而获得主键的使用权。 读取控制：允许用户或组获得一个选中的主键的安全信息。;3、关闭和删除多余的服务;　协商惯用语过程用来发现在服务器和客户端之间可以使用的SMB的最高版本，此时，验证的强度依赖于客户端，而客户端可能强制使用过时的加密方法，这可通过配置客户端只支持可能的最低的SMB客户端实现。 　　　如果在SMB过程中验证失败，可能：拒绝访问或建立一个空的SMB会话。而后者很危险，因为在默认情况下，空会话的拥有者依然是Everyone组的成员，且任何Everyone组可访问的目标都可以被这个未授权的用户访问。黑客就能通过利用这些连接的应用程序获得系统账户和服务的信息。 　　　防止空会话的办法是在“本地安全策略”中修改注册表，或直接修改注册表的HKLM\System\ CurrentControl Set\Control\Lsa\restrictanonymous（默认为0，1是限制账户和共享的列表显示，2是限制所有的匿名访问，除非FTP等服务特许它的使用。）;SMB加密：对Win2K专业版工作站，可以关闭LAN Manager验证，Win95/98/me、Windows for Workgroups和Samba都使用LAN Manager验证，这将关闭客户端的访问，不可行。如果服务器是一个标准的电子邮件、FTP或Web服务器，可以安全的改变这个设置。 　　　另一个相同控制权的选项是让服务器强行决定允许的客户端验证类型，而不是让客户端做出决定。这个选项并非特别有效，因为服务器将仍然向可能的客户端发出它的所有惯用语。它的主要功能是阻止一个特殊攻击（SMB降级攻击），这个攻击使用多种信息包探测器监听SMB验证过程，??服务器检测这个过程时，它发出一个宣称来自客户端的信息，指出只有低端的、纯明码文本验证可用，服务器接受这个信息并建立会话，然后客户端以明码文本的形式传输密码，攻击系统可截获并储存这些信息。;　　　另一个有效的选项是启动SMB签名，使Win 2K在所有的信息包上使用加密的签名（MD5）防止哄骗攻击，帮助消除可能的伪造信息。将HKLM\System\Current Controlset\Services\lanmanserver\parameters\requiresecuritysignature的值改为1，可以启动一个服务器只接受被签名的信息包，但客户端还必须生成和只对签名的信息包进行响应，客户端还需要将HKLM\System\ CurrentControlset\Ser vices\Rdr\parameters\requiresecuritysignature的值改为1。;4、其他配置更改;4）关闭登录证书的缓存：Win2K通常在本地缓存一个用户的登录证书，如果一个域控制器失败或联系不到，这个用户仍然可以登录并在本地工作，证书缓存可能导致一个攻击。需设置“可被缓冲保存的前次登录个数”为0。 5）建立一个交互式登录信息：可以配置系统向任意一个交互式登录的用户显示信息，一个交互式登录信息不会阻止一个坚定的黑客，但可以帮助你向保险公司证明你已经采取了措施保护系统。启用“用户试图登录时消息标题/消息文字”：用户一按Ctrl+Alt+Del开始登录时看到的对话框的标题和文本信息。 6）保护可移动和大容量存储器：可以只限制交互式用户对存储器访问，启用“只有本地登录的用才能访问CD-ROM/软盘”。 7）建立默认的账户名。;5、Microsoft服务软件包;　　　该文件内容的选项有、-@devils和+@angels，它们向rlogin指出，在主机“”上的用户可能用他们通常的没有密码的名字登录到目标主机，因此是一个可信任的主机。 　　　条目-@devils用于工作组，说明它不应该被信任或允许登录到目标系统。 　 　　　如果工作组+@angels在目标系统中有登录用户名，那么它是完全可信的并且被允许访问。;7、网络信息系统（NIS）;NIS的缺点： 1）后台Portmapper程序：负责接受一个远程过程调用（RPC）。RPC允许本地主机上的一个应用程序对远程主机上的应用或后台程序提出请求，后台portmapper程序即时回