六、消除默認(rèn)安裝目錄風(fēng)險

    Windows NT/2000默認(rèn)安裝路徑是在系統(tǒng)主分區(qū)的\WINNT目錄下，在安裝時可以修改它的安裝路徑，如C:\WINNT可以改為C:\WINDOW或D:\WINNT等；改變默認(rèn)安裝目錄對合法用戶不會造成任何影響，但對于那些企圖通過類似WEB服務(wù)器的漏洞或者缺陷來遠(yuǎn)程訪問文件的攻擊者來說就大大地增加了難度。

七、取消默認(rèn)系統(tǒng)帳號風(fēng)險

    對于在Windows NT/2000默認(rèn)系統(tǒng)帳號，如administrator，guest等都必須改名，對于其它一些帳號，比如IUSR_機器名是在安裝IIS后產(chǎn)生的，對其也必須改名。因為改變Administrator帳戶的名字，可以防止黑客對缺省命名的帳戶進行攻擊，這個措施可以解決一系列的安全漏洞，一旦帳號被他人竊取或攻破，整個網(wǎng)絡(luò)系統(tǒng)便無任何安全性可言了。

    所以應(yīng)為系統(tǒng)管理員和備份操作員創(chuàng)建特殊帳戶，系統(tǒng)管理員在進行特殊任務(wù)時必須用這個特殊帳戶注冊，然后注銷。所有具有Administrator和備份特權(quán)的帳戶絕對不能瀏覽Web。所有的帳戶只能具有User或者PowerUser組的權(quán)限，對于Guest帳戶，默認(rèn)是無口令的，所以最好能停止使用Guest帳戶。

注：停用Guest帳戶，可能會給win9x用戶通過網(wǎng)上鄰居訪問服務(wù)器帶來“無權(quán)限訪問”的錯誤。解決方法是在服務(wù)器中添加win9x機器上的用戶名或者啟用guest帳號。

八、刪除默認(rèn)共享風(fēng)險

    Windows NT/2000出于管理的目的自動地建立了一些默認(rèn)共享，包括C$，D$磁盤共享以及ADMIN$目錄共享等。盡管它們僅僅是針對管理而配置的，但仍成為一個沒必要的風(fēng)險，成為攻擊者的目標(biāo)。

    我們打開注冊表（見第二章第一節(jié)第二知識點圖示，以下同）。 在主鍵HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters目錄下，創(chuàng)建一個叫AutoShareServer的鍵值，類型為DWORD（雙字節(jié)）并且值為0，來禁止這些共享；再創(chuàng)建一個鍵值名為AutoShareWks的雙字節(jié)值，修改鍵值為0。

   

    最后，請重新啟動計算機生效。

    同樣可以通過控制面板里面的管理工具來暫時取消共享。選擇“計算機管理”程序，選擇“共享文件夾”，在相應(yīng)的共享文件夾上按右鍵，選擇“停止”共享即可。不過在系統(tǒng)重新啟動后，IPC$ 和printer$會再次共享。

   

九、如何加強系統(tǒng)打印驅(qū)動的安全

    Windows NT/2000的打印機驅(qū)動是以完全控制權(quán)限運行在操作系統(tǒng)級別。缺省情況下，任何人都可以在Windows NT/2000中安裝打印機驅(qū)動，這種默認(rèn)權(quán)限使系統(tǒng)很易遭受木馬攻擊。攻擊者可以建立假的打印機驅(qū)動而實際上進行了其它的活動，例如，開啟后門等。 因此，要嚴(yán)格限制用戶擁有安裝的權(quán)限，只允許管理員組和打印機操作員可以安裝打印驅(qū)動，具體可以打開注冊表，在主鍵HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services中增加類型為DWORD（雙字節(jié)）的AddPrintDrivers項，并設(shè)置其值為1。

   

    最后，請重新啟動計算機生效。

十、如何加強共享系統(tǒng)對象的安全

    我們應(yīng)該嚴(yán)格限制打印機、串口等共享對象，使其只能被管理員使用，由于這種限制可以影響許多程序，比如在一局域網(wǎng)中的服務(wù)器上的共享打印機，設(shè)置了權(quán)限控制后，一般用戶就無法進行網(wǎng)絡(luò)打印了。所以在應(yīng)用這種限制時要考慮是否該服務(wù)器對外提供了這些服務(wù)。如果沒有提供可以使用下面的方法來進行權(quán)限設(shè)置：請首先打開注冊表。然后在主鍵 HKEY_LOCAL_MACHINE\System\currentControlSet\Control\Session Manager中增加（或者修改）一個類型為DWORD（雙字節(jié)）的名稱為ProtectionMode的項，并將其值設(shè)成1。

   

    最后，請重新啟動計算機生效。

十一、如何手動查找并清除木馬程序

    第一種方法是查看系統(tǒng)注冊表。先打開注冊表。進入注冊表后，可以通過查看以下主鍵：

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run或RunServers

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或RunServers

    下面是否有類似Netspy.exe，空格.exe等可疑文件名，并手動刪除鍵值和相應(yīng)的程序。

    第二種方法使用一些第三方軟件，比如The Cleaner，它可以在http://antivirus.pchome.net/cleaner/7066.html下載到。

十二、加強對域和帳號數(shù)據(jù)庫的管理

    所謂“域”是指網(wǎng)絡(luò)服務(wù)器和其他計算機的邏輯分組，凡是在共享域范圍內(nèi)的用戶都使用公共的安全機制和用戶帳號信息。每個用戶有一個帳號，每次登錄的是整個域，而不是某一個服務(wù)器。即使在物理上相隔較遠(yuǎn)，但在邏輯上可以在一個域上，這樣便于管理。在網(wǎng)絡(luò)環(huán)境下，使用域的管理就顯得更為有效；在使用”域”的劃分時，我們應(yīng)該注意到“域”是建立在一個子網(wǎng)范圍內(nèi)，其根本基礎(chǔ)是相互之間的信任度很高。

    這里我們應(yīng)該注意到在Windows NT/2000中，關(guān)于域的所用安全機制信息或用戶帳號信息都存放在帳號數(shù)據(jù)庫中（稱為安全帳號管理器(SAM)數(shù)據(jù)庫）。安全帳號管理器（SAM）數(shù)據(jù)庫在磁盤上的具體位置就保存在系統(tǒng)安裝目錄下的system32\config\中的SAM文件，在這個目錄下還包括一個SECURITY文件，也是安全數(shù)據(jù)庫的內(nèi)容。安全帳號管理器（SAM）數(shù)據(jù)庫中包含所有組、帳戶的信息，包括密碼HASH結(jié)果、帳戶的SID等。所以在對Windows NT/2000進行維護時應(yīng)該特別小心安全帳號管理器（SAM）數(shù)據(jù)庫的完整性，嚴(yán)格限制Administrator組和備份組帳戶的成員資格。加強對這些帳戶的跟蹤，尤其是Administrator帳戶的登錄（Logon）失敗和注銷（Logoff）失敗。對SAM進行的任何權(quán)限改變和對其本身的修改都要進行審計，切記要改變?nèi)笔?quán)限設(shè)置來預(yù)防這個漏洞，一般來講只有管理員才允許具有對以上兩個文件的編輯權(quán)限。

    下面的過程演示了怎么樣啟用SAM訪問審核。

    首先啟動一個cmd命令窗口，在“開始”“運行”輸入：

   

    會出來一個黑底的命令窗口。

   

    以下命令均是在該窗口中進行操作

    確認(rèn)啟動schedule，如未啟動，使用以下命令啟動該服務(wù)

    net start schedule

    2.使用At 命令添加任務(wù)：

    at <時間> /interactive “regedt32.exe”

    比如當(dāng)前時間16:49，那么我們可以設(shè)置程序在16:51分啟動:

    at 14:51 /interactive “regedt32.exe”

    3. 那么到14:51分，Regedt32.exe會以系統(tǒng)帳號啟動。

    4. 選擇 HKEY_LOCAL_MACHINE 窗口；

    5. 選擇 SAM 并從“安全“菜單選擇“權(quán)限“，如下圖；

   

    再選擇”高級”出來窗口如圖示：

   

    6. 單擊“添加“，然后“顯示用戶“；

    7. 添加如下帳號：

    SYSTEM

    Domain Admins

    Administrator

    Backup Operators

   

    隨著操作系統(tǒng)版本不一樣，可能用戶組名、帳號服務(wù)器上并不存在。

    其他擁有以下權(quán)限的帳號：

    Take ownership of files or other objects（取得文件或其他對象的所有權(quán)）

    Back up files and directories（備份文件和目錄）

    Manage auditing and security log（管理審核和安全日志）

    Restore files and directories（還原文件和目錄）

    Add workstations to domain（域中添加工作站）

    Replace a process level token（替換進程級記號）

    單擊“確定“；

    為下面設(shè)置“成功“和“失敗“的審核：

    Query Value（查詢數(shù)值）

    Set Value（設(shè)置數(shù)值）

    Write DAC（寫入DAC）

    Read Control（讀取控制）

   

    單擊”確定“。單擊“是“。

    停止schedule服務(wù)，在”開始” “運行”里輸入：

    net stop schedule  

 

來源：巨靈鳥 歡迎分享本文