防范共享入侵
比如,在某局域網(wǎng)中,服務(wù)器裝有Win2000 Server系統(tǒng)且采用NTFS分區(qū),客戶機(jī)計(jì)算機(jī)分別為Workl、Work2……WorkN,并裝有Win2000 Pro系統(tǒng)。假如其中一臺(tái)客戶機(jī)的用戶名為YD_xlpos,密碼為Ei(已經(jīng)登錄到域do main,則它可使用默認(rèn)共享方式入侵服務(wù)器:在該客戶機(jī)的網(wǎng)絡(luò)鄰居地址欄中輸入\\server\admin$,便可進(jìn)入Win2000的系統(tǒng)目錄Win NT,此時(shí)該用戶可以刪除文件。若再輸入\\server\d$,即可進(jìn)入服務(wù)器上的D盤,此時(shí)該客戶機(jī)用戶已經(jīng)具備服務(wù)器的管理員權(quán)限,這是相當(dāng)危險(xiǎn)的。居心叵測(cè)的人可以通過新建Winstart.bat或者Wininit.ini文件,并在其中加入格式化C盤的語句,使系統(tǒng)丟失所有C盤文件; 或是在服務(wù)器的啟動(dòng)項(xiàng)中加入現(xiàn)在任何流行木馬的啟動(dòng)程序,后果也不堪設(shè)想。
Win2000采用默認(rèn)共享方式以便遠(yuǎn)程維護(hù),但同樣給了黑客可乘之機(jī)。打開注冊(cè)表編輯器,定位到HKEY_L0 CAl_MACHINE\ SYSTEM\Current Control Set\Services\lanmanserver,若系統(tǒng)為Win2000 Pro,則新建Autosharewks的DWORD值,并設(shè)鍵值為0;若系統(tǒng)為Win2000 Server,則新建Autoshareserver的DWORD值,并設(shè)鍵值為0。重新啟動(dòng)計(jì)算機(jī)后默認(rèn)共享便不會(huì)再出現(xiàn)。
不過危險(xiǎn)并沒有消除,裝有Win2000平臺(tái)的客戶機(jī)還可以通過IPS$的空連接入侵服務(wù)器。客戶機(jī)用戶可以先用端口掃描軟件X-Scan填入服務(wù)器的IP,在掃描模塊里選擇sqlserver弱口令和nt-server弱口令,當(dāng)?shù)玫絥t-server弱口令后,可在客戶機(jī)的cmd窗口中輸入“net use \\192.168.0.88\ips$''/user:'用戶'”來建立空連接,然后激活Guest,并添加管理員權(quán)限,安裝后門(如netcat)后就可以進(jìn)行遠(yuǎn)程控制。管理員怎么禁止IPS$空連接呢?可定位到注冊(cè)表HKEY_LOCAL_MACHINE\ SYSTEM\Current Control Set\Control\LSA,修改Restrict Anony-mous的DWORD值為0000001。
防范Ping入侵
Ping入侵方式也叫ICMP入侵,它也利用了Windows系統(tǒng)的漏洞。在Work1的DOS窗口中輸入“ping -1 65500 -t192.168.0.88”(服務(wù)器的IP地址),則可看到服務(wù)器上系統(tǒng)托盤的小電腦一直在閃動(dòng),那是客戶機(jī)Work1在向服務(wù)器發(fā)出請(qǐng)求。我們?cè)囅耄绻钟蚓W(wǎng)內(nèi)的計(jì)算機(jī)很多,并在每臺(tái)計(jì)算機(jī)的Aotoexec.bat文件中加入“ping -l 65500 -t192.168.0.88”,那會(huì)怎么樣?服務(wù)器將會(huì)因CPU使用率居高不下而崩潰,這也就是有名的DoS服務(wù)(拒絕服務(wù))攻擊:在一個(gè)時(shí)段內(nèi)連續(xù)向服務(wù)器發(fā)出大量請(qǐng)求,服務(wù)器來不及回應(yīng)而死機(jī)。
對(duì)付這類攻擊可安裝網(wǎng)絡(luò)防火墻,如天網(wǎng)等,在設(shè)置里面選擇“不允許別人用Ping命令探測(cè)本機(jī)”; 或者在“管理工具”中點(diǎn)擊“本地安全策略”,進(jìn)入“IP安全策略”,在本地機(jī)器中進(jìn)行設(shè)置(設(shè)置過程略)。
維護(hù)和管理服務(wù)器
黑客入侵服務(wù)器,必須知道服務(wù)器的IP地址和所開放的端口,因此可以在網(wǎng)上鄰居中隱藏服務(wù)器的IP地址,為服務(wù)器的計(jì)算機(jī)名保密。建立服務(wù)器通訊端口列表,屏蔽一些敏感的端口如139、3389、5000, 了解部分病毒或者木馬的常用連接端口,如“冰河”的7626端口、“廣外女生”的6267端口。
安裝病毒防火墻和網(wǎng)絡(luò)防火墻,定期對(duì)病毒庫進(jìn)行更新,按計(jì)劃查毒殺毒。定期用DOS命令netstat -a或者SuperScan軟件對(duì)服務(wù)器開放的端口進(jìn)行檢測(cè),將檢測(cè)結(jié)果和以往備份的端口列表進(jìn)行比較。若發(fā)現(xiàn)未知端口有異常連接建立或者正在監(jiān)聽,特別是高端端口,則立即斷開網(wǎng)絡(luò),用檢測(cè)木馬的軟件如Trojan Remover等進(jìn)行檢測(cè)。用進(jìn)程檢測(cè)軟件如Windows優(yōu)化大師監(jiān)測(cè)服務(wù)器所開的進(jìn)程,并和以往的進(jìn)程列表作比較,留意不明進(jìn)程。注意觀察Win2000的服務(wù),因?yàn)樗窃谙到y(tǒng)啟動(dòng)前加載的。可將Task Scheduler、Run As Service、FTP等改為手動(dòng),最好能夠了解各種服務(wù)的作用,了解服務(wù)器所開的共享,可用net share命令來查看。盡可能不要設(shè)置文件共享,不要打開寫文件的權(quán)限。即使開啟共享,也應(yīng)設(shè)置相應(yīng)密碼。
打開“計(jì)算機(jī)管理”,檢查用戶和組里是否有非法用戶,尤其小心管理員權(quán)限的非法用戶。禁止系統(tǒng)提供的Guest用戶,因?yàn)楹诳统S肎uest進(jìn)行系統(tǒng)控制,對(duì)于Administrator則應(yīng)進(jìn)行改名操作。在C:\Documents and Settings\下查看用戶,對(duì)于有非法用戶的目錄,應(yīng)仔細(xì)察看并定期對(duì)事件查看器進(jìn)行篩選和分析。審核安全日志,選擇“管理工具”里面的“本地安全策略”,在本地策略里的審核策略中進(jìn)行審核操作。
若英文功底良好,則推薦使用Win2000英文版,因?yàn)橹形陌娴腂ug較多,補(bǔ)丁推出也相對(duì)較晚。多去微軟的站點(diǎn)檢測(cè),及時(shí)更新微軟的SP補(bǔ)丁包,注意微軟發(fā)布的安全公告。了解病毒和系統(tǒng)漏洞的最新動(dòng)態(tài),堵上系統(tǒng)存在的漏洞。對(duì)于系統(tǒng)管理員,則要合理選擇安裝相關(guān)組件,不需要的不必安裝,當(dāng)然需要的組件除外,如網(wǎng)絡(luò)監(jiān)視器。另外,盡量修改一些特殊的DOS命令的擴(kuò)展名,盡量少用超級(jí)用戶登錄,其密碼也要做到科學(xué)配置,大小寫加特殊字符,從而減低被暴力破解的幾率。
此外,系統(tǒng)管理員不要私自在服務(wù)器上試用新軟件,尤其是大型軟件和Beta版軟件,不要用服務(wù)器作為上網(wǎng)的主機(jī),不要讓不具備權(quán)限的人接近服務(wù)器。Win2000 Server系統(tǒng)的穩(wěn)定性和安全性還是非常高的,系統(tǒng)的崩潰多由于人為的誤刪除或者誤操作所致。
總之,服務(wù)器的安全問題應(yīng)引起極大的重視,應(yīng)掛接多個(gè)硬盤做好備份,使服務(wù)器在出錯(cuò)后能夠快速恢復(fù)。
