六、消除默認(rèn)安裝目錄風(fēng)險(xiǎn)

    Windows NT/2000默認(rèn)安裝路徑是在系統(tǒng)主分區(qū)的\WINNT目錄下，在安裝時(shí)可以修改它的安裝路徑，如C:\WINNT可以改為C:\WINDOW或D:\WINNT等；改變默認(rèn)安裝目錄對(duì)合法用戶不會(huì)造成任何影響，但對(duì)于那些企圖通過類似WEB服務(wù)器的漏洞或者缺陷來遠(yuǎn)程訪問文件的攻擊者來說就大大地增加了難度。

七、取消默認(rèn)系統(tǒng)帳號(hào)風(fēng)險(xiǎn)

    對(duì)于在Windows NT/2000默認(rèn)系統(tǒng)帳號(hào)，如administrator，guest等都必須改名，對(duì)于其它一些帳號(hào)，比如IUSR_機(jī)器名是在安裝IIS后產(chǎn)生的，對(duì)其也必須改名。因?yàn)楦淖傾dministrator帳戶的名字，可以防止黑客對(duì)缺省命名的帳戶進(jìn)行攻擊，這個(gè)措施可以解決一系列的安全漏洞，一旦帳號(hào)被他人竊取或攻破，整個(gè)網(wǎng)絡(luò)系統(tǒng)便無任何安全性可言了。

    所以應(yīng)為系統(tǒng)管理員和備份操作員創(chuàng)建特殊帳戶，系統(tǒng)管理員在進(jìn)行特殊任務(wù)時(shí)必須用這個(gè)特殊帳戶注冊(cè)，然后注銷。所有具有Administrator和備份特權(quán)的帳戶絕對(duì)不能瀏覽Web。所有的帳戶只能具有User或者PowerUser組的權(quán)限，對(duì)于Guest帳戶，默認(rèn)是無口令的，所以最好能停止使用Guest帳戶。

注：停用Guest帳戶，可能會(huì)給win9x用戶通過網(wǎng)上鄰居訪問服務(wù)器帶來“無權(quán)限訪問”的錯(cuò)誤。解決方法是在服務(wù)器中添加win9x機(jī)器上的用戶名或者啟用guest帳號(hào)。

八、刪除默認(rèn)共享風(fēng)險(xiǎn)

    Windows NT/2000出于管理的目的自動(dòng)地建立了一些默認(rèn)共享，包括C$，D$磁盤共享以及ADMIN$目錄共享等。盡管它們僅僅是針對(duì)管理而配置的，但仍成為一個(gè)沒必要的風(fēng)險(xiǎn)，成為攻擊者的目標(biāo)。

    我們打開注冊(cè)表（見第二章第一節(jié)第二知識(shí)點(diǎn)圖示，以下同）。 在主鍵HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters目錄下，創(chuàng)建一個(gè)叫AutoShareServer的鍵值，類型為DWORD（雙字節(jié)）并且值為0，來禁止這些共享；再創(chuàng)建一個(gè)鍵值名為AutoShareWks的雙字節(jié)值，修改鍵值為0。

   

    最后，請(qǐng)重新啟動(dòng)計(jì)算機(jī)生效。

    同樣可以通過控制面板里面的管理工具來暫時(shí)取消共享。選擇“計(jì)算機(jī)管理”程序，選擇“共享文件夾”，在相應(yīng)的共享文件夾上按右鍵，選擇“停止”共享即可。不過在系統(tǒng)重新啟動(dòng)后，IPC$ 和printer$會(huì)再次共享。

   

九、如何加強(qiáng)系統(tǒng)打印驅(qū)動(dòng)的安全

    Windows NT/2000的打印機(jī)驅(qū)動(dòng)是以完全控制權(quán)限運(yùn)行在操作系統(tǒng)級(jí)別。缺省情況下，任何人都可以在Windows NT/2000中安裝打印機(jī)驅(qū)動(dòng)，這種默認(rèn)權(quán)限使系統(tǒng)很易遭受木馬攻擊。攻擊者可以建立假的打印機(jī)驅(qū)動(dòng)而實(shí)際上進(jìn)行了其它的活動(dòng)，例如，開啟后門等。 因此，要嚴(yán)格限制用戶擁有安裝的權(quán)限，只允許管理員組和打印機(jī)操作員可以安裝打印驅(qū)動(dòng)，具體可以打開注冊(cè)表，在主鍵HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services中增加類型為DWORD（雙字節(jié)）的AddPrintDrivers項(xiàng)，并設(shè)置其值為1。

   

    最后，請(qǐng)重新啟動(dòng)計(jì)算機(jī)生效。

十、如何加強(qiáng)共享系統(tǒng)對(duì)象的安全

    我們應(yīng)該嚴(yán)格限制打印機(jī)、串口等共享對(duì)象，使其只能被管理員使用，由于這種限制可以影響許多程序，比如在一局域網(wǎng)中的服務(wù)器上的共享打印機(jī)，設(shè)置了權(quán)限控制后，一般用戶就無法進(jìn)行網(wǎng)絡(luò)打印了。所以在應(yīng)用這種限制時(shí)要考慮是否該服務(wù)器對(duì)外提供了這些服務(wù)。如果沒有提供可以使用下面的方法來進(jìn)行權(quán)限設(shè)置：請(qǐng)首先打開注冊(cè)表。然后在主鍵 HKEY_LOCAL_MACHINE\System\currentControlSet\Control\Session Manager中增加（或者修改）一個(gè)類型為DWORD（雙字節(jié)）的名稱為ProtectionMode的項(xiàng)，并將其值設(shè)成1。

   

    最后，請(qǐng)重新啟動(dòng)計(jì)算機(jī)生效。

十一、如何手動(dòng)查找并清除木馬程序

    第一種方法是查看系統(tǒng)注冊(cè)表。先打開注冊(cè)表。進(jìn)入注冊(cè)表后，可以通過查看以下主鍵：

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run或RunServers

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或RunServers

    下面是否有類似Netspy.exe，空格.exe等可疑文件名，并手動(dòng)刪除鍵值和相應(yīng)的程序。

    第二種方法使用一些第三方軟件，比如The Cleaner，它可以在http://antivirus.pchome.net/cleaner/7066.html下載到。

十二、加強(qiáng)對(duì)域和帳號(hào)數(shù)據(jù)庫的管理

    所謂“域”是指網(wǎng)絡(luò)服務(wù)器和其他計(jì)算機(jī)的邏輯分組，凡是在共享域范圍內(nèi)的用戶都使用公共的安全機(jī)制和用戶帳號(hào)信息。每個(gè)用戶有一個(gè)帳號(hào)，每次登錄的是整個(gè)域，而不是某一個(gè)服務(wù)器。即使在物理上相隔較遠(yuǎn)，但在邏輯上可以在一個(gè)域上，這樣便于管理。在網(wǎng)絡(luò)環(huán)境下，使用域的管理就顯得更為有效；在使用”域”的劃分時(shí)，我們應(yīng)該注意到“域”是建立在一個(gè)子網(wǎng)范圍內(nèi)，其根本基礎(chǔ)是相互之間的信任度很高。

    這里我們應(yīng)該注意到在Windows NT/2000中，關(guān)于域的所用安全機(jī)制信息或用戶帳號(hào)信息都存放在帳號(hào)數(shù)據(jù)庫中（稱為安全帳號(hào)管理器(SAM)數(shù)據(jù)庫）。安全帳號(hào)管理器（SAM）數(shù)據(jù)庫在磁盤上的具體位置就保存在系統(tǒng)安裝目錄下的system32\config\中的SAM文件，在這個(gè)目錄下還包括一個(gè)SECURITY文件，也是安全數(shù)據(jù)庫的內(nèi)容。安全帳號(hào)管理器（SAM）數(shù)據(jù)庫中包含所有組、帳戶的信息，包括密碼HASH結(jié)果、帳戶的SID等。所以在對(duì)Windows NT/2000進(jìn)行維護(hù)時(shí)應(yīng)該特別小心安全帳號(hào)管理器（SAM）數(shù)據(jù)庫的完整性，嚴(yán)格限制Administrator組和備份組帳戶的成員資格。加強(qiáng)對(duì)這些帳戶的跟蹤，尤其是Administrator帳戶的登錄（Logon）失敗和注銷（Logoff）失敗。對(duì)SAM進(jìn)行的任何權(quán)限改變和對(duì)其本身的修改都要進(jìn)行審計(jì)，切記要改變?nèi)笔?quán)限設(shè)置來預(yù)防這個(gè)漏洞，一般來講只有管理員才允許具有對(duì)以上兩個(gè)文件的編輯權(quán)限。

    下面的過程演示了怎么樣啟用SAM訪問審核。

    首先啟動(dòng)一個(gè)cmd命令窗口，在“開始”“運(yùn)行”輸入：

   

    會(huì)出來一個(gè)黑底的命令窗口。

   

    以下命令均是在該窗口中進(jìn)行操作

    確認(rèn)啟動(dòng)schedule，如未啟動(dòng)，使用以下命令啟動(dòng)該服務(wù)

    net start schedule

    2.使用At 命令添加任務(wù)：

    at <時(shí)間> /interactive “regedt32.exe”

    比如當(dāng)前時(shí)間16:49，那么我們可以設(shè)置程序在16:51分啟動(dòng):

    at 14:51 /interactive “regedt32.exe”

    3. 那么到14:51分，Regedt32.exe會(huì)以系統(tǒng)帳號(hào)啟動(dòng)。

    4. 選擇 HKEY_LOCAL_MACHINE 窗口；

    5. 選擇 SAM 并從“安全“菜單選擇“權(quán)限“，如下圖；

   

    再選擇”高級(jí)”出來窗口如圖示：

   

    6. 單擊“添加“，然后“顯示用戶“；

    7. 添加如下帳號(hào)：

    SYSTEM

    Domain Admins

    Administrator

    Backup Operators

   

    隨著操作系統(tǒng)版本不一樣，可能用戶組名、帳號(hào)服務(wù)器上并不存在。

    其他擁有以下權(quán)限的帳號(hào)：

    Take ownership of files or other objects（取得文件或其他對(duì)象的所有權(quán)）

    Back up files and directories（備份文件和目錄）

    Manage auditing and security log（管理審核和安全日志）

    Restore files and directories（還原文件和目錄）

    Add workstations to domain（域中添加工作站）

    Replace a process level token（替換進(jìn)程級(jí)記號(hào)）

    單擊“確定“；

    為下面設(shè)置“成功“和“失敗“的審核：

    Query Value（查詢數(shù)值）

    Set Value（設(shè)置數(shù)值）

    Write DAC（寫入DAC）

    Read Control（讀取控制）

   

    單擊”確定“。單擊“是“。

    停止schedule服務(wù)，在”開始” “運(yùn)行”里輸入：

    net stop schedule  

 

來源：巨靈鳥 歡迎分享本文