在数次攻击尝试失败之后将

录中的文件并可能修改或刚除它们。这些系统中的口令机制有许多漏洞。可以很容易写一个程序自动检测口令。下面有几称 可能的口令我们可试一试 ?典型的用户口令,例如 WORKGRUP, Windows,USER, ADMIN等等;   来源于资源列表和登录的用户   可试一下由管理员提供的目录文件或任何标准目录。如果很细心的话,会发现一个口令一旦被用过那么被猜出的可能性就很高。根据已经做   过的浏览发现,我们进行了每秒200个口令的非礼攻击,在不到两分钟内试了18000个口令。 Windows9S无法锁住进一步的访问企图,所以黑客可无止境地连续攻击用户的机器   Windows95对任何此类的访问企图没有记录。黑客不仅可在短时间内试用大量ロ令,而 且这些操作在系统中没有记载。因此,知道有人在试图攻击自己是解决自身安全问题的重点。     且浏览程序访问共享目录的文件,它就试图决定此机器是否对 错误脆弱,此错误还 允许黑客访问硬盘的其他部分,尽管此机器上设置的是只能访问某个特定目录。) 由于操作系统不能正确地检査 。 , ,所以此错误是很有效的。 . 使用户能访 问共享目录的上一层目录。在UNIX早期的NFS网络文件系统应用中就发现过同样的错误。共享文件如果能让任何人访问和利用,那么通过利用 。 错误能瓦解NT3.51的机器,并 使之重启动。在 Windows95上利用此错误技术可允许任何人访问整个硬盘。m 对网络浏览者来说,知道正在浏览是很容易的,只要用 Popu程序发消息即可。 Popu程 序所存在的安全问题是它缺少鉴别权,这样黑客可以利用 Popup这个安全缺陷,以管理员的身 份通知大家把他们的目录设为共享,而其他用户却无法分辦出真假管理员。日 这里有一些改进共享文件系统安全性的方法: 更好地记载黑客的袭击;   在每个错误口令的尝试之后设置一个延迟,以使非法攻击慢下来;   ?在数次攻击尝试失败之后将共享文件锁住 中 wittei is l,A3 允许或拒绝基于主机地址的功能 更好地鉴别 Popup消息。   用户应接受培训以保证进行合理配置。下面是配置更安全网络的基本步骤 (1)利用口令保护所有资源 (2)用户使用难猜的口令;   (3)除非通过鉴权过程,否则别人无法访问用户的系统或设置用户系统口令 (4)用户应安装提供商提供的安全补丁。n   由器封这些端口 SABか议使得文件共享,它在UDP/TCP的137138和139端口下,因此要确保防火   般的机器在装完NT4后默认的安全性都是 Everyone(Ful)l,这是非改不可的。如果你 用了IS里面的FP和 WWW Publish Service,或者用 ,那么肯定要大     得更快吗? 祸临头。好多Coie及其它c程序都有办法访问你的硬盘而你还偏偏不加保护,岂不是死

2章安全成与防范 55     建议在每个NTFS盘的根目录把 Everyone删掉换成 Administrator(Fu)l+ System 大人人都可以乱改,造成管理上的混乱。(Read),并替换子目录权限,另外 Administrators里最好只包括 Administrato,以免大家权限过   对于一些共享目录,则加上 Domain Admin(Read), Domain User(Read);还有一些限制级 的,则仅仅加上 Domain Admin((Read), Power User(Read);至于大家的Home(主)目录,则可以 建一个公共目录,共享时必须选 Full Control,然后在每个人的目录里加以限制。例如用户 Judy,我们就把 Public Judy安全性设为 Administrator(Ful), Domain Admin(Read),Judy     (Fu), System(Read),另外再建个公共的目录Tenp, V Public Temp设为 Domain User     (Fu)这样一来,大家的共享目录就算建好了。毎个人都可以全权控制自己的目录和Temp 目录,却不能访问别人的目录,相互之间通过Temp来传送数据。审回     切记不要用 Administrator直接从客户机登录到服务器,以防在用 Share Hub(共享式集线 器)时被某些人用 Sniffer,, Etherpeek之类工具偷听到,即使管理员本身,不在服务器上登录时 也只应该用 Admin Users登录,而且 Admin Users最好也不要有完全的权限,以防口令失窃产     生严重后果。面大       为了使所有的共享文件都能得到访问,要正确地设置权限不要默认对 Everyone用户组默     认的 完全控制 权限的设置。国需断忘日计     2.4.3.4安全措施   为了确保安全性,以下6项措施可供 Windows ND.的系统管理参考:国首 1.使用NTFS而不用FAT。NTFS(NT文件系统)可以对文件和目录使用ACL(存取控 制表),ACL可以方便、灵活地管理共享目录,使其合理使用,而FAT(文件分配表)却只能管理 共享级的安全,即不能像NTFS那样强大。hn直71a3   出于安全考虑,必须处处设置尽可能多的安全措施,相连的 Windows NT 计算机都应该使用NTFS。使用 Ntfscal F的好处在于,如果它授权用户对某分区具有全部存取 权限,但共享级权限为 只读 ,则最终的有效权限为 只读 。 Windows NT取 Ntfscal和共享权     限的交集。中iW国政。知的回女其I1       在实施这样的网络方案时, I服务器的共享, 服务器交换文件,则可借助于NTFS 且建立新的共享权限,不要忘记修改由NT指定的默认权限否则 Everyone用户组就能   享有 完全控制 的共享权限。那些已经使用了FAT的用户在x86的NT系统上可以用Con     vert命令将启动磁盘升级为NTFS。教た、曲き同     2.将系统管理员账户改名。对于试图猜测口令的非法用户,NT的 User Manager可以设 置防范措施,例如5次口令输人错误后就禁止该账号登录。用   问题在于系统管理员这个最重要的账号却用不上这项防范措施。即便将系统管理员的权 限全部授予某个用户账号并且只使用该用户账号进行管理,但是由于系统管理员账号本身不 能删掉或废止,因而非法用户仍然可以对系统管理员账号进行口令攻击。二意登 种值得推荐的方法是将系统管理员账号的用户名由原先的 Administrator 改为一个无 意义的字符串。这样要登录的非法用户不但要猜准口令,网站建设还要先猜出用户名。这种改名功能


扫描二维码分享到微信