《《计算机网络安全技术》电子教案 第十章 系统平台与网络站点的》由会员分享,可在线阅读,更多相关《《计算机网络安全技术》电子教案 第十章 系统平台与网络站点的(62页珍藏版)》请在金锄头文库上搜索。
1、第十章 系统平台与网络站点的安全,10.1 Windows NT系统的安全性 10.2 UNIX系统的安全性 10.3 Web站点的安全 10.4 反黑客技术,本章学习目标,(1)了解保证Windows NT的Registry的安全性的三种办法。 (2)理解UNIX的系统安全和网络安全要求及其安全措施。 (3)熟悉Web站点的主要安全问题、典型安全漏洞及其安全策略。 (4)掌握黑客的攻击步骤、手法及防黑客的基本技术和受到黑客攻击的处理对策。,返回本章首页,10.1 Windows NT系统的安全性,10.1.1 Windows NT的Registry的安全性 10.1.2 NT服务器和工作站的
2、安全漏洞及解决建议 10.1.3 NT与浏览器有关的安全漏洞及防范措施 10.1.4 基于Windows NT操作系统的安全技术 10.1.5 Windows操作系统的安全维护技术,返回本章首页,10.1.1 Windows NT的Registry的安全性,1审核 2对Registry的不同部分设置不同的许可权 3保护Registry,返回本节,10.1.2 NT服务器和工作站的安全漏洞及解决建议,(1)安全漏洞1 安全账户管理数据库由:Administrator账户、Administrator组中的所有成员、备份操作员、服务器操作员,以及所有具有备份特权的人员。 (2)安全漏洞2 每次紧急修
3、复盘(ERD:Emergency Repair Disk)在更新时,整个SAM数据库被复制为%system%repairsam._。,(3)安全漏洞3 SAM数据库和其他NT服务器文件可能被NT的SMB读取。 (4)安全漏洞4 特洛伊木马和病毒,可能依靠缺省权利作SAM的备份,获取访问SAM中的口令信息,或者通过访问紧急修复盘ERD的更新盘。,(5)安全漏洞5 能够物理上访问Windows NT计算机的任何人,都可能利用某些工具程序来获得Administrator级别的访问权。 (6)安全漏洞6 重新安装Windows NT软件时,可以获得Administrator级别的访问权。,(7)安全漏
4、洞7 Windows NT域中的缺省账户Guest。 (8)安全漏洞8 某些系统程序的不适当使用。 (9)安全漏洞9 所有用户可能通过命令行方式,试图连接管理系统的共享资源。,(10)安全漏洞10 由于没有定义尝试注册的失败次数,导致可以被无限制地尝试连接系统管理的共享资源。 (11)安全漏洞11 如果系统里只有一个Administrator账户,当注册失败的次数达到设置时,该账户也不可能被锁住。,(12)安全漏洞12 具有管理员特权的账户在达到注册失败次数时将被锁住,然而,30分钟后自动解锁。 (13)安全漏洞13 Windows NT缺省时,在注册对话框中显示最近一次注册的用户名。,(14
5、)安全漏洞14 Windows NT和Windows 95的客户可以在文件中保存口令,以便快速验证。 (15)安全漏洞15 Windows NT口令可能被非NT平台的口令所代替。,(16)安全漏洞16 管理员有能力从非安全的工作站上进行远程登录。 (17)安全漏洞17 NT上的缺省Registry权限设置有很多不适当之处。 (18)安全漏洞18 有可能远程访问NT平台上的Registry。,(19)安全漏洞19 通过访问其他的并存操作系统,就有可能绕过NTFS的安全设置。 (20)安全漏洞20 文件句柄可能从内存中被读取到,然后用来访问文件,而无须授权。,(21)安全漏洞21 缺省权限设置允许
6、“所有人”对关键目录具有“改变”级的访问权。 (22)安全漏洞22 打印操作员组中的任何一个成员对打印驱动程序具有系统级的访问权。,(23)安全漏洞23 通过FTP有可能进行无授权的文件访问。 (24)安全漏洞24 基于NT的文件访问权限对于非NT文件系统不可读。,(25)安全漏洞25 Windows NT文件安全权限的错误设置有可能带来潜在的危险。 (26)安全漏洞26 标准的NTFS“读”权限意味着同时具有“读”和“执行”的权限。,(27)安全漏洞27 Windows NT总是不正确地执行“删除”权限。 (28)安全漏洞28 缺省组的权利和能力不能被删除。,(29)安全漏洞29 NT的进程
7、定期处理机制有Bug。 (30)安全漏洞30 如果一个帐户被设置成同时具有Guest组和另一组的成员资格,那么Guest组的成员资格可能会失效,导致用户Profiles和其他设置受到意想不到的损失。,(31)安全漏洞31 “所有人”的缺省权利是,可以创建公共GUI组,不受最大数目的限制。 (32)安全漏洞32 事件管理器中Security Log的设置,允许记录被覆写,否则它将导致服务器挂起。 (33)安全漏洞33 审计文件是不完全的。,(34)安全漏洞34 Security Log不是全部集成的。 (35)安全漏洞35 屏幕保护有Bug,它允许非授权用户访问闲置终端。,(36)安全漏洞36
8、任何用户可以通过命令行方式,远程查询任何一台NT服务器上的已注册的用户名。 (37)安全漏洞37 使用SATAN扫描可使Windows NT平台崩溃。另外,使用SafeSuite的Internet Scanner同样可使NT平台崩溃。,(38)安全漏洞38 Red Button程序允许任何人远程访问NT服务器。 (39)安全漏洞39 用Ping命令可导致一台NT计算机死机。,(40)安全漏洞40 NT计算机允许在安装时输入空白口令。 (41)安全漏洞41 作为一个TCP连接的一部分,向Windows NT计算机发送out-of-band数据,可使服务拒绝访问的攻击成为可能。,10.1.3 NT
9、与浏览器有关的安全漏洞及防范措施,(1)安全漏洞1 Internet Explorer在指定的情况下,随意地向Internet上发送用户的名字和口令。 (2)安全漏洞2 NT和Windows 95计算机上的所有浏览器,都有一个相似的弱点,对于一个HTML页上的超级链接,浏览器都首先假设该链接是指向本地计算机上的一个文件。,(3)安全漏洞3 ASP数据流的弱点,它主要影响IIS。 (4)安全漏洞4 IE读出本地文件,它主要影响IE 4.0,4.01;SP1,Windows 98等系统。,(5)安全漏洞5 IIS的FTP拒绝服务,它主要影响如下系统IIS 2.0,3.0,4.0。 (6)安全漏洞6
10、 IIS中的可执行目录,它主要影响IIS 4.0。 (7)安全漏洞7 RPC受到Snork拒绝服务攻击。,返回本节,10.1.4 基于Windows NT操作系统的安全技术,1登录安全 (1)登录过程:同时按下CtrlAltDel键的欢迎窗口开始。寻问用户名、口令及用户希望存取的服务器或域名。输入传递给安全帐号管理器安全子系统就创建一个访问令牌。 (2)设置登录安全:设置工作站登录限制、)设置时间登录限制、设置帐号失效日期、设置用户登录失败次数。,2存取控制 存取控制项提供了一个用户或一组用户在对象的访问或审计许可权方面的信息。存取控制列表与文件系统一起保护着对象,使它们免受非法访问的侵害。共
11、有三种不同类型的存取控制项:系统审计、允许访问、禁止访问。,3用户权限 1)从网络上访问某台计算机。 2)备份系统启动时必须登录的某些服务程序帐号。 4许可权 (1)NTFS文件系统目录的许可权 (2)与打印机相关的许可权 5所有权 创建对象的用户就不能把自己的对象显示为别的用户可用,他们必须对自己创建的对象负责。,6访问许可权 在共享一个对象时设置对它的访问许可权,可以随时修改这些许可权。 7共享许可权 提供一组规则,来控制用户对文件和目录的访问。共享许可权为网络共享资源提供了另外一层的安全性保护。访问共享资源的过程如图10.1所示。,图10.1 访问共享资源的过程,8审计 审计系统可以确保
12、系统的遵循性。可以揭露并跟踪企图对系统进行破坏的行为。审计按照机构的安全策略和实施安全标准的适应性平台来对系统进行评估。,返回本节,10.1.5 Windows操作系统的安全维护技术,1备份系统初始化文件 2备份程序组文件 3给Win.ini和System.ini注释 4删除带扩展名的.pwl文件 5避免设置好的配置被别人修改 6隐藏共享目录 7避免未经授权的访问,返回本节,10.2 UNIX系统的安全性,10.2.1 UNIX系统安全 10.2.2 UNIX网络安全,返回本章首页,10.2.1 UNIX系统安全,1口令安全 2文件许可权 3目录许可 4umask命令 5设置用户ID和同组用户
13、ID许可 6cp、mv、ln和cpio命令,7su和newgrp命令 8文件加密 9其他安全问题 10确保户头安全的要点,返回本节,10.2.2 UNIX网络安全,1UUCP系统概述 2UUCP的安全问题 3HONEYDANBER UUCP的新特性,1UUCP系统概述,(1)UUCP命令:该命令用于两系统间的文件传输 。命令的一般格式如下: uucp source_file destination_file (2)uux命令:uux最通常的用处是在系统之间发送邮件。典型的uux请求如下: pr listing| uux - “remote1!lp -d prl“,(3)uucico程序:uuc
14、ico完成数据的发送和接收。 (4)uuxqt程序:执行远程命令请求。,(1)USERFILE文件:uucico用文件/usr/lib/uucp/USERFILE确定远程系统发送或接收什么文件,其格式为: login,sysc path_namepath_name (2)L.cmds文件:uuxqt利用/usr/lib/uucp/L.cmds文件确定要执行的远程执行请求命令。该文件的格式是每行一条命令。,2UUCP的安全问题,(3)uucp登录:UUCP系统需要两个登录户头,一个是其他系统登录的户头,另一个是系统管理使用的户头。 (4)uucp使用的文件和目录:uucp用/usr/spool/
15、uucp目录存放工作文件。,3HONEYDANBER UUCP的新特性,(1)HONEYDANBER UUCP较之老UUCP的改进: 1)支持更多的拨号和网络。 2)重新组织了/usr/spool/uucp目录,在该目录下,对每个远程系统有一个目录。 3)加强了安全。,(2)HONEYDANBER UUCP与老UUCP的差别: HONEYDANBER UUCP中的/usr/lib/uucp/Systems文件是原来UUCP中的/usr/lib/uucp/L.sys。HONEYDANBER UUCP中,/usr/spool/uucp/.log下的一个子目录代替了老UUCP的文件/usr/spoo
16、l/uucp/logFILE。,(3)登录名规则: LOGNAME规则用于控制作为登录shell启动的uucico。 LOGNAMEnuucp 指定对所有登录到nuucp户头下的系统加缺省限制。,(4)MACHINE规则 MACHINE规则用于忽略缺省限制,MYNAME选项所定义的必须与LOGNAME规则联用,指定将赋给调用系统的名,该名仅当调用所定义的系统时才用。 MACHINE规则的格式如下: MACHINE=zuul:gozur:enigma WRITE=/READ=/,(5)组合MACHINE和LOGNAME规则:确保一组系统的统一安全,而不管远程系统调用局域系统还是局域系统调用用远程系统。 (6)uucheck命令:一旦建立了Permissions文件,可用uucheck -v 命令了解uucp如何解释该文件。输出的前几行是确认HONEYDANBER UUCP使用的所有文件、目录、命令都存在,然后是对Permissions文件的检查。,(7)网关(Gateway) gateway
