入侵检测实战之全面问答
|
3、创建一个新的管理员帐号,将administrator的功能限制到最小以设置陷阱,观察是否有人试图盗用其权限;禁止guest帐号或者将guest帐号改名并创建一个新的guest帐号,目的同样是监测是否有人试图使用它入侵系统。 4、去掉对%systemroot%/system32目录的默认权限:Everyone/写。 5、启动REGEDT32程序打开“HKEY_LOCAL_MACHINESecurity”项,以检测远程注册表浏览行为。 6、安装系统时默认目录不要选择“c:winnt”,让入侵者费些心思猜测系统文件的位置。还有一个更好的方法是:首先安装在c:winnt目录下,然后重新安装系统到其他目录,并且对c:winnt目录添加审计功能,这样就可以监测是否有人想访问c:winnt目录了。正所谓真真假假、假假真真,你在不断窥视、我设陷阱无数。 7、启动分区只存放系统文件,数据和应用程序放到其他分区,甚至将数据和应用程序也分区存放。总之,隔离是避免“火烧联营”的最好方法。 8、屏幕保护使用“Blank Screen”且设置密码保护,这样既达到安全目的也节省服务器处理资源。注意,如果使用来历不明的屏幕保护方案,要小心它可能就是一个后门程序。 9、启动REGEDT32程序,修改AutoSharexxx参数关闭系统默认的自动共享目录,例如ADMIN$、C$、D$等等。对于WinNT,这个参数的位置是: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParametersAutoShareServer 对于WinNT Workstation,位置是: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParametersAutoShareWks 10、禁止匿名访问帐号,方法是设置下列项目的值为1: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSARestrictAnonymous 11、对于域控制器,将“从网络访问计算机”的权限分配给授权用户而不是默认Everyone,这样就禁止了使用机器的本地帐号进行远程访问的可能,只允许通过域帐号进行访问。 12、为管理员帐号设置远程访问的帐号锁定策略,使入侵者猜测其口令失败限定次数后自动被锁。当然,我们还是可以在本地使用管理员帐号进入系统的。为了更加安全,也可以完全禁止远程使用管理员帐号,方法是将管理员帐号从“从网络访问计算机”的权限中去除掉。 问:如何提高Win9X系统的入侵保护程度? 保护措施象攻击手段一样多,在此列出我认为最重要的也是最基本的3条: 1、安装最新的补丁程序。 2、关闭打印机共享PRINTER$。打印机共享后,远程用户就可以访问到被共享机器的system32目录下的打印机驱动程序。但是由于系统bug的存在,其他系统文件就有了被窃取的可能,例如密码文件。 3、关闭文件共享。如果是家庭用户,通常根本不需要共享文件。如果非共享不可,必须添加上共享口令并且只在需要共享的时刻共享,贡献完自己的东东后立即关闭。 问:企业网的安全响应组织都应该包括哪些人员? 人从来都是第一位重要的!建立安全响应组织的目的就是确定:当安全事件发生时,用户该寻求谁的帮助、他又应该做什么?由于安全问题涉及到每一个方面,因此这个组织的成员也应该来自五湖四海,保护企业各个部门甚至社会力量。通常,安全响应组织的人员包括: 1、上级主管 负责处理重大安全问题。比如对于一个正在遭受攻击的电子商务的站点,决断是否立即断开网络以免发生更大的损失。 2、人力资源主管 因为许多攻击都来自内部,所以一旦发现自家人捣乱,可以立即请人事部的同志找他谈谈心。 3、技术小组 负责对安全事件进行整理和分析,制定对策数据库,指导实施人员正确操作。 4、实施人员 真正的救火队员,哪里发生火灾,就出现在哪里! 5、外部资源 有些破坏行为罪大恶极、危害严重,自家人已经管不了了,这时就要靠有关的社会力量支援,比如ISP、公安部门等。一来他们的威慑力大,二来他们的政策权威。 问:如果有人说他们被来自我方站点的地址入侵了,该怎么办? 请假想这样一个情形:有人发给你一封Email,有鼻子有眼地说他遭受到了你方地址的入侵,并粘贴来一段日志信息类似如下: Nov 6 07:13:13 pbreton in.telnetd[31565]: refused connect from xx.xx.xx.xx 最后礼貌地说他们对此非常重视,希望你方认真调查。 (编辑:171手机网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
