科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道使用自由软件维护异构网络的安全(10)

使用自由软件维护异构网络的安全(10)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

我们做的只是使你的系统不太容易受到攻击。不要期望你能得到一个100%安全的网络,即使是一段给定的时间(当然你停掉机器不算)。

作者:51CTO.COM 2007年10月28日

关键字: 安全工具 自由软件 入侵监测

  • 评论
  • 分享微博
  • 分享邮件

  我们必需谈论一下在网络系统中绝对的参照物了:这就是孤独的NT4.0。维护它的安全简直是乌托邦的观点,当然Redmond的头头(和其他一些人)可不这么说。使用nessus模拟一次攻击,结果会使你遭遇到恶梦一般。只要NetBIOS处于激活状态,nessus会提供给你域中每台机器名和相应的用户名,包括管理员。答案是:干掉NetBIOS!对了,我们说过,没有NetBIOS就没有网络...你看着办吧。

  nessus会很可爱的告诉你可以在空事务(就是使用空(NULL)用户名和空(NULL)密码)中以客户的身份登录。删掉它,那么...怎么办?怎么成了这个样子!

  所以,必需减少进入分区(NTFS)和目录。对FAT分区来说...没有办法。不过,有时你需要使用FAT分区,因为有些软件在NTFS上不工作。最后,不要用庞大的IIS,特别是ftp服务器。实际上,不要安装它。现如今,许多的ISP真是疯了,他们还敢用这些东西,我们仅仅告诫使用Apache替代它,但是...我们不会在IIS上浪费太多的时间,在这个主题下有很多的文化。

  事实上,这里有一个办法使得筛子变成过滤器(就是漏洞小一点!)。问题是那需要费很多的口舌就是整个杂志也说不完。让我们只提示其中的要点。这些观点和自由软件没有关联:我们谈论的是微软世界!第一个建议是使用MSCE(微软安全配置编辑器),它在SP4中提供并且带有MMC(微软管理控制台)。但是,你要格外地小心!如果你犯了一个错误,你就赢了。当然,必需是英语版本。在微软的世界里,如果你使用非英文的版本,你得到的果子不会很好吃。无论如何,我可警告过你了。接下来,在这些需求中,你必需”安全化”管理员帐号,或者不要激活它。看一下从SP3中就有的passprop。你可以使用passfiltdll加固密码而且是要通过注册(我认为发明它的人真是得了LSD流感...)。干掉那个著名的客户帐号。它也不是很有用(上面说了),但这只是使得情况不至于太糟而已。不过,你可以通过注册限制log文件的进入。

  在"HKEY_LOCAL_MACHINE"中,创建关键字 SystemCurrentControlSetServicesEventLogApplication。安全和系统(这两个会取代应用程序的)。他们的名子是 "RestrictGuestAccess",其中有REG_SZ 并且它的值是1。你可以使用syskey加密密码。小心哦,这可是不可逆转的操作!最后,有一些好消息:你可以限制客户访问。再一次,我们使用注册,还是在 "HKEY_LOCAL_MACHINE"。这次的键称做 SystemCurrentControlSetControlLsa。名子是 "RestrictAnonymous",类型是"REG_DWORD" 并且它的值是1。

  不过,对微软世界来说是一个讽刺:你会被提醒:这些变更会影响一些网络服务... 这些事情的要点就是限制访问某些端口,在配置面板中开启网络应用。在TCP/IP属性中,选择”高级”和选中”激活安全”框(我认为有这个名子,但是在我家没有这个东西让我试试)。在”安全”窗口,选中”Allow only” 并且选择你想激活的端口。这里,可要小心。你要知道你干的是什么,否则一些服务会不工作的。 有很多的东西要干,不过这些是根本。你想知道更多,可以参说阅:sans.org的文档。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章