欢迎来到淘文阁 - 分享文档赚钱的网站! | 帮助中心 好文档才是您的得力助手!
淘文阁 - 分享文档赚钱的网站
全部分类
  • 研究报告>
  • 管理文献>
  • 标准材料>
  • 技术资料>
  • 教育专区>
  • 应用文书>
  • 生活休闲>
  • 考试试题>
  • pptx模板>
  • 工商注册>
  • 期刊短文>
  • 图片设计>
  • ImageVerifierCode 换一换

    第32讲-第17章-打造服务器整体安全性1(共16页).doc

    • 资源ID:12041770       资源大小:498.50KB        全文页数:16页
    • 资源格式: DOC        下载积分:20金币
    快捷下载 游客一键下载
    会员登录下载
    微信登录下载
    三方登录下载: 微信开放平台登录   QQ登录  
    二维码
    微信扫一扫登录
    下载资源需要20金币
    邮箱/手机:
    温馨提示:
    快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
    如填写123,账号就是123,密码也是123。
    支付方式: 支付宝    微信支付   
    验证码:   换一换

     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    第32讲-第17章-打造服务器整体安全性1(共16页).doc

    精选优质文档-倾情为你奉上第32讲 第17章 打造服务器整体安全性<一>本节重点介绍如何利用系统的自身功能配置服务器的安全。 现在有很多人都认为Windows的漏洞太多,系统安全性极差,其实各种系统都有很多漏洞,只不过使用Windows的人最多,不会做各种安全设置,所以才会让很多的人都认为Windows很不安全。其实Windows NT/2000/XP/2003的服务器如果真的做好了各项安全设置之后,其安全性绝对不会比Linux系统差。 u 利用Syskey实现系统双重加密 u 配置服务器不响应Ping命令 u Windows 2000/XP/2003账号管理 u 修改IIS、Apache的Banner实现操作系统版本的隐藏 u 指定服务器的开放端口 u 禁用服务器相关程序 u 删除服务器的默认共享 u 提高服务器抗拒绝服务攻击能力 17.1.1 利用Syskey实现系统双重加密 (1) 选择【开始】【运行】命令,在【打开】下拉文本框中输入“syskey.exe”,然后单击【确定】按钮。(2) 在【保证Windows NT账户数据库的安全】对话框中提示用户一旦启用加密就不能禁用,选择【启用加密】单选按钮,然后单击【更新】按钮。 (3) 接着系统打开【账户数据库项】对话框,其中有两个选项组:【密码启动】、【系统产生的密码】。【密码启动】是指在系统启动时需要输入一个密码方能启动;【系统产生的密码】是指在软盘上保存启动密码,当系统启动后需要插入该软盘方能启动。由于软盘不易保存,在这里推荐选择【密码启动】单选按钮,并输入一个启动密码。然后单击【确定】按钮。接着系统会弹出一个【成功】对话框,提示账户数据库的开始密码已更改,单击【确定】按钮退出Syskey程序。 4) 当再次启动计算机时,系统就会弹出【Windows 2000启动密码】对话框,并要求用户在【密码】文本框中输入启动密码。 17.1.2 配置服务器不响应Ping命令 本节重点介绍如何通过配置安全策略来实现服务器不响应Ping命令。 大家可能都知道我们通常用Ping命令是来检查网络是否畅通的一个简单的方法,可是这个Ping也能给Windows系统带来严重的后果,那就是Ping攻击即是ICMP(Internet Control and Message Protocal,网际消息控制协议)攻击,原理是恶意攻击者在一个时段内连续使用Ping命令向目标服务器发送大量的数据包使得计算机的CPU处理不及而使用资源被占尽,从而造成服务器崩溃,这种攻击手法也被称为拒绝服务攻击,它只是拒绝服务攻击中的一种。u 攻击原理u 拒绝Ping响应u 测试 Ping命令通过发送ICMP报文,回响请求来验证与另一台TCP/IP计算机的 IP 级连接。回响应答消息的接收情况将和往返过程的次数一起显示出来,也就是说,我们向目标计算机发送一个ICMP报文,目标计算机接到此报文后就会返回一个给我们。攻击者如果使用以下Ping命令格式,就会造成目标服务器拒绝服务: Ping t l 60000 192.168.1.25 (1) 选择【开始】【设置】【控制面板】命令,双击【控制面板】窗口中的“管理工具”图标,在打开的“管理工具”窗口中双击【本地安全策略】图标。(2) 在【本地安全设置】窗口中,右击【IP安全策略,在本地机器】,在弹出的快捷菜单中选择【创建IP安全策略】命令。 (3) 进入欢迎使用【IP安全策略向导】对话框,单击【下一步】按钮继续以下操作。(4) 接下来系统要求为创建的IP安全策略命名一个【名称】并给出一个简短的【描述】。可以随便输入,该名称将显示在【本地安全设置】窗口中。在这里为此IP安全策略输入的名称是“ping” ,然后单击【下一步】按钮继续。 (1) 选择【开始】【设置】【控制面板】命令,双击【控制面板】窗口中的“管理工具”图标,在打开的“管理工具”窗口中双击【本地安全策略】图标。(2) 在【本地安全设置】窗口中,右击【IP安全策略,在本地机器】,在弹出的快捷菜单中选择【创建IP安全策略】命令。 (3) 进入欢迎使用【IP安全策略向导】对话框,单击【下一步】按钮继续以下操作。(4) 接下来系统要求为创建的IP安全策略命名一个【名称】并给出一个简短的【描述】。可以随便输入,该名称将显示在【本地安全设置】窗口中。在这里为此IP安全策略输入的名称是“ping” ,然后单击【下一步】按钮继续。 (5) 进入安全通信请求设置,选中【激活默认响应规则】复选框,然后单击【下一步】按钮继续。 (6) 设置默认响应规则身份验证方式,在这里可以选择此安全规则设置初始身份验证方法为【此字串用来保护密钥交换】,此项设置是用于基于多台计算机之间认证的。在这里为本地计算机创建IP策略,可随便在此文本框中输入几个字符,然后单击【下一步】按钮继续。 (7) 此时系统提示已成功地完成IP安全策略向导,要对刚创建的向导进行编辑,可选中【编辑属性】复选框,然后单击【完成】按钮。 (8) 接着系统会打开一个【ping属性】对话框,单击【添加】按钮(9) 进入欢迎使用创建IP【安全规则向导】对话框,单击【下一步】按钮继续。 (10) 指定IP安全规则的隧道终结点,选择【此规则不指定隧道】单选按钮,然后单击【下一步】按钮继续。 (11) 选择网络类型。接着系统要求指定所创建的安全规则所针对的网络类型,共有3个选项,分别是【所有网络连接】、【局域网】、【远程访问】。在这里推荐选择【所有网络连接】单选按钮,单击【下一步】按钮继续。 (12) 接着进入【身份验证方法】设置,步骤(6),选择【此字串用来保护密钥交换】单选按钮,然后在文本框中输入几个字符即可,单击【下一步】按钮继续。 (13) 进入【IP筛选器列表】设置,为创建的安全规则添加一个新的IP筛选器,单击【添加】按钮。 (14) 为要新创建的IP筛选器输入一个【名称】。在这里输入“ping-2”作为它的名称,然后单击【添加】按钮。 (15) 进入欢迎使用【IP筛选器向导】对话框,单击【下一步】按钮继续。 (16) 指定IP通信源地址。这里所谓的IP源地址是指要拒绝响应ICMP报文的IP地址范围。如果要拒绝所有人对服务器发送ICMP报文,可单击【源地址】下拉列表框,从中选择【任何IP地址】选项,单击【下一步】按钮继续。 (17) 指定IP通信目标、单击【目标地址】下拉列表框,从中选择【我的IP地址】选项,即拒绝任何IP地址对本机发送ICMP报文,单击【下一步】按钮继续。 (18) 选择IP协议类型。在这里所要实现的就是要拒绝恶意攻击者对服务器发送大量的ICMP报文,因此单击【选择协议类型】下拉列表框,从中选择【ICMP】选项,然后单击【下一步】按钮继续。 (21) 接下来就是要对IP筛选器ping-2进行筛选操作。在【筛选器操作】列表框中选择【要求安全设置】选项,然后单击【下一步】按钮。(22) 系统将提示我们已成功指定新规则属性,单击【完成】按钮退出安全规则向导。(23) 返回【本地安全设置】窗口,单击左边窗口中的【IP安全策略,在本地机器】,这时我们发现在右边窗口中一个名称为ping的安全策略已被成功创建。右击【ping】,在弹出的快捷菜单中选择【指派】命令,这样就可以激活此安全策略,刚才的设置才会生效。 完成上述操作后,在其他计算机上对目标计算机发送ICMP报文。此时我们发现对远程计算机使用Ping命令时,Ping返回的结果是Request timed out(超时) 。这就证明我们已成功地配置了服务器拒绝响应ICMP报文,因此在防范ICMP攻击方面就安全多了,对于那些恶意攻击者所发来的大量数据包都能拦截下来,从而在这方面保证了计算机免受破坏的危险。 17.1.3 Windows 2000/XP/2003账号管理 本节重点介绍如何管理服务器的账号,从而来提高服务器的安全。 入侵者最基本的攻击方法就是破解系统的密码,如果系统密码被入侵者获取,那么整个主机也将会被入侵者控制,后果也将不堪设想。u 禁止枚举账号 u Administrator账号更名 u 禁止显示上次登录的用户名 u 禁用Guest 账号 使用注册表法对这种行为禁止的操作步骤如下: (1) 选择【开始】【运行】命令,在【运行】对话框的【打开】下拉列表框中输入“regedit.exe”,单击【确定】按钮,运行注册表编辑器,依次打开以下键:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa (2) 双击子键下的RestrictAnonymous键值名,打开【编辑双字节值】对话框,在【数值数据】文本框中输入“1”,然后退出注册表即可禁止空会话。 (1) 选择【开始】【设置】【控制面板】命令,双击【控制面板】窗口中的“管理工具”图标,在打开的“管理工具”窗口中双击【本地安全策略】图标。 (2) 在【本地安全设置】窗口中,依次展开【本地策略】【安全选项】,然后双击右边窗口【策略】列表下的【对匿名连接额外限制】。 (3) 在打开的【本地安全策略设置】对话框中,单击【本地策略设置】下拉列表框,从中选择【不允许枚举SAM账号和共享】选项 。(1) 选择【开始】【设置】【控制面板】命令,双击【控制面板】窗口中的“管理工具”图标,在打开的“管理工具”窗口中双击【计算机管理】图标。(2) 在【计算机管理】窗口中,依次展开【系统工具】【本地用户和组】【用户】,然后在右边的窗口中右击Administrator用户,在弹出的快捷菜单中选择【重命名】命令。(3) 重新输入一个名称代替Administrator用户,最好不要使用Admin、Root之类的名字,这样很有可能被入侵者猜到。尽量把它伪装成别人想不到的用户名。还可以在另建一个名为Administrator的陷阱账号,不赋予任何权限,为其设一个超过10位的字母与数字组合而成的密码,并对该账户启用审核。这样入侵者忙了半天也可能进不来,或者即便进来了也什么都得不到,还给我们留下了跟踪的线索。 使用注册表法的操作步骤如下: (1) 选择【开始】【运行】命令,在【运行】对话框的【打开】下拉列表框中输入“regedit.exe”,单击【确定】按钮,运行注册表编辑器,依次打开以下键:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon(2) 双击子键下的DontDisplayLastUserName键值名,打开【编辑字符串】对话框,在【数值数据】文本框中输入“1”,然后退出注册表即可隐藏系统上次登录的用户名。 使用安全策略法的操作步骤如下:(1) 选择【开始】【设置】【控制面板】命令,双击【控制面板】“管理工具”【本地安全策略】图标。 (2) 在【本地安全设置】窗口中,依次展开【本地策略】【安全选项】,然后双击右边窗口【策略】列表下的【对匿名连接的额外限制】。 (3) 在【本地安全策略设置】对话框中,在【本地策略设置】选项组中选择【已启用】单选按钮,便可隐藏系统上次登录的用户名。 (1) 选择【开始】【设置】【控制面板】命令,双击【控制面板】“管理工具” 下的【计算机管理】图标。 (2) 在【计算机管理】窗口中,依次展开【系统工具】【本地用户和组】【用户】,然后在右边的窗口中双击【Guest】用户。 (3) 在【Guest属性】对话框,选中【账户已停用】复选框,这样入侵者就无法使用Guest账号登录我们的系统了。 17.1.4 修改IIS、Apache的Banner实现操作系统版本的隐藏 本节重点介绍如何通过手工和利用第三方程序来修改IIS、Apache的Banner。 入侵者在攻击一台目标服务器之前,第一步就是通过查看对方服务器所使用的操作系统及其的版本,然后针对不同的操作系统及其版本对服务器进行攻击。接下来介绍如何通过修改IIS、Apache的Banner来隐藏操作系统的版本,从而来达到“瞒天过海”。 u 入侵方法检测 u 修改IIS的Web 服务器Banneru 通过第三方软件修改Banner (1) 选择【开始】【运行】命令,在【打开】下拉文本框中输入“CMD.exe”,单击【确定】按钮运行【命令提示符】程序。 (2) 在【命令提示符】程序窗口中的命令提示符下输入如下格式命令:telnet <目标服务器IP地址或域名> <Web服务器端口>命令解释通过远程登录的方式登录到目标Web服务器上。在这里目标Web服务器的IP地址是192.168.1.12,端口是80,即输入如下命令:telnet 192.168.1.12 80 (3) 登录到Web服务器后,【命令提示符】程序窗口成为黑色,没有该服务器的任何输出结果,这是因为我们还没有向该服务器发送请求。此时只要我们连按两下【回车】键,将会得到如图所示的结果,该结果就被我们称为系统的Banner。在第二行可以看到“Server: Microsoft-IIS/5.1”字段,从而得知目标服务器使用的是微软公司的Windows XP架设的Web服务器(很多黑客扫描软件都是根据这一原因判断目标服务器操作系统的)。IIS的版本为5.1,即Windows XP系统,Windows NT/2000/2003的IIS版本分为4.0、5.0、5.5。同样也可以利用此方法得到FTP服务器的类型。 (1) 在【命令提示符】程序窗口中的命令提示符下输入“iisreset /stop”命令停止IIS服务。 (2) 下载一款名为【WinHex】的十六进制文件编辑软件。安装完毕后运行【WinHex】程序,选择【文件】【打开】命令,打开%system32%system32inetsrvw3svc.dll程序,然后按Ctrl+F组合键打开【查找文本】对话框,查找“Microsoft-IIS/5.1”字段。 (3) 找到Microsoft-IIS/5.1字段后,只要把此字段修改为想让IIS的Web服务器显示的Banner即可。我们将其修改为“www.54hack.org server/0.0”,然后选择【WinHex】程序菜单栏中的【文件】【保存】命令,对所修改的w3svc.dll进行保存。 (4) 由于Windows 2000/XP/2003系统后台的文件具有保护机制,当系统发现重要的文件被修改后会恢复备份文件,如果无法恢复时将会弹出【Windows文件保护】对话框,提示Windows所需的文件已被替换成无法识别的版本,插入安装盘恢复该文件。在这里我们不用理会此提示,单击【取消】按钮,接着系统会再次提示用户决定不还原文件的原始版本,确实要保留这些不可识别的文件版本吗?此时单击【是】按钮即可。 (5) Banner修改已完成,接下来启动IIS服务。在【命令提示符】程序窗口中的命令提示符下输入“iisreset /start”命令启动IIS服务。 (6) 此时,同样在【命令提示符】程序下输入“telnet 192.168.1.12 80”命令,然后连续按两下回车键,就会在第二行发现Web服务器的版本信息已被修改为www.54hack.org server/0.0。这样可以迷惑入侵者,从而减小了服务器被攻击的几率。 除以上介绍的通过手工来修改Banner外,还可以利用第三方软件进行修改,如IIS/PWS Banner Edit、Apache-Win32 Banner Edit等就是修改系统Banner的小工具,而且操作简单。我们只需在它的New banner文本框中输入要修改的内容,然后单击Save to file按钮即可实现对Banner的修改,在这里不做介绍了。 专心-专注-专业

    注意事项

    本文(第32讲-第17章-打造服务器整体安全性1(共16页).doc)为本站会员(飞****2)主动上传,淘文阁 - 分享文档赚钱的网站仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知淘文阁 - 分享文档赚钱的网站(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    关于淘文阁 - 版权申诉 - 用户使用规则 - 积分规则 - 联系我们

    本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

    工信部备案号:黑ICP备15003705号 © 2020-2023 www.taowenge.com 淘文阁 

    收起
    展开