使用自由软件维护异构网络的安全(10)

　　我们必需谈论一下在网络系统中绝对的参照物了：这就是孤独的NT4.0。维护它的安全简直是乌托邦的观点，当然Redmond的头头（和其他一些人）可不这么说。使用nessus模拟一次攻击，结果会使你遭遇到恶梦一般。只要NetBIOS处于激活状态，nessus会提供给你域中每台机器名和相应的用户名，包括管理员。答案是：干掉NetBIOS！对了，我们说过，没有NetBIOS就没有网络...你看着办吧。

　　nessus会很可爱的告诉你可以在空事务（就是使用空（NULL）用户名和空（NULL）密码）中以客户的身份登录。删掉它，那么...怎么办？怎么成了这个样子！

　　所以，必需减少进入分区（NTFS）和目录。对FAT分区来说...没有办法。不过，有时你需要使用FAT分区，因为有些软件在NTFS上不工作。最后，不要用庞大的IIS，特别是ftp服务器。实际上，不要安装它。现如今，许多的ISP真是疯了，他们还敢用这些东西，我们仅仅告诫使用Apache替代它，但是...我们不会在IIS上浪费太多的时间，在这个主题下有很多的文化。

　　事实上，这里有一个办法使得筛子变成过滤器（就是漏洞小一点！）。问题是那需要费很多的口舌就是整个杂志也说不完。让我们只提示其中的要点。这些观点和自由软件没有关联：我们谈论的是微软世界！第一个建议是使用MSCE（微软安全配置编辑器），它在SP４中提供并且带有MMC（微软管理控制台）。但是，你要格外地小心！如果你犯了一个错误，你就赢了。当然，必需是英语版本。在微软的世界里，如果你使用非英文的版本，你得到的果子不会很好吃。无论如何，我可警告过你了。接下来，在这些需求中，你必需”安全化”管理员帐号，或者不要激活它。看一下从SP３中就有的passprop。你可以使用passfiltdll加固密码而且是要通过注册（我认为发明它的人真是得了LSD流感...）。干掉那个著名的客户帐号。它也不是很有用（上面说了），但这只是使得情况不至于太糟而已。不过，你可以通过注册限制log文件的进入。

　　在"HKEY_LOCAL_MACHINE"中，创建关键字 SystemCurrentControlSetServicesEventLogApplication。安全和系统（这两个会取代应用程序的）。他们的名子是 "RestrictGuestAccess"，其中有REG_SZ 并且它的值是１。你可以使用syskey加密密码。小心哦，这可是不可逆转的操作！最后，有一些好消息：你可以限制客户访问。再一次，我们使用注册，还是在 "HKEY_LOCAL_MACHINE"。这次的键称做 SystemCurrentControlSetControlLsa。名子是 "RestrictAnonymous"，类型是"REG_DWORD" 并且它的值是１。

　　不过，对微软世界来说是一个讽刺：你会被提醒：这些变更会影响一些网络服务... 这些事情的要点就是限制访问某些端口，在配置面板中开启网络应用。在TCP/IP属性中，选择”高级”和选中”激活安全”框（我认为有这个名子，但是在我家没有这个东西让我试试）。在”安全”窗口，选中”Allow only” 并且选择你想激活的端口。这里，可要小心。你要知道你干的是什么，否则一些服务会不工作的。 有很多的东西要干，不过这些是根本。你想知道更多，可以参说阅：sans.org的文档。