您好、欢迎来到现金彩票网!
当前位置:满堂彩 > 次口径炮弹 >

什么叫做允许该网站的窗口弹出

发布时间:2019-11-13 19:30 来源:未知 编辑:admin

  可选中1个或多个下面的关键词,搜索相关资料。也可直接点“搜索资料”搜索整个问题。

  个人空间 发短消息 加为好友 当前离线楼 大 中 小 发表于 2005-9-1 11:51 只看该作者

  从Windows NT开始微软对网络操作系统的设计就按照美国国防部的计算机系统评估标准(TCSES )开始着手安全问题。众所周知Windows NT获得了C2级认证。认证和授权访问是Windows NT/2000的安全核心。Ctrl+Alt+Del提示信号的本地认证比较简单,但是恶意的攻击者的主要目标是通过网络登录到WidowsNT/2000就需要进行网络认证。

  WidowsNT/2000主要利用质询/问答认证(Windows 挑战/响应)机制来保护通过网络认证的安全。这种认证机制中,用户口令不在网络中传输。

  虽然在网络中不传输密码,使用Lc3仍能在网络上捕获SMB通信并解码猜测出用户密码。

  用户帐户的不适当的安全问题是引起攻击侵入系统的重要手段之一。获取帐号,或者说获取更高权力帐号也是整个攻击过程中最重要的一个部分。然而严格的帐号管理则可以避免很多潜在的问题甚至可以减小一些已知漏洞对系统造成的危害。比如使用强壮的密码,严格的ACL(访问控制列表)策略,合理的分配安全权限等。所有这些只要符合一定的安全尺度,并且通过简单的操作就能面对一些小的入侵,把损失降到最低。

  首先需要确认只有必需的帐号被使用,并且每个帐号仅能满足他完成工作的最小权限。实际操作中这也是最难实现的,如何确定使用哪些帐号,最小权限是什么呢?

  System或Local System 是技术上权限最高帐户,不能删除,系统内置,最易被攻击的帐户

  Guest/Guests 非常有限的权限,但是容易被利用,一旦权限提升,后果严重

  Domain Guests 与Guest权限类似,这个组是在域中的,一般个人用户计算机没有此帐户

  Everyone 系统内置特殊身份帐户,不能删除,不能改名,代表所有帐户,危险帐户之一

  IUSR_计算机名 用于 IIS匿名访问,Guests组成员,系统安装IIS后方有此用户,很多IIS漏洞利用此帐户

  IWAM_计算机名 IIS进程外应用程序用户,Guests组成员,很多IIS漏洞利用此帐户

  EnterPrise Adminis 企业管理员组,一般用户无此帐户,在整个森林里拥有全部权限

  通过上表,我们可以看出Administrator 帐户,Guest帐户,Everyone、IUSR_计算机名、IWAM_计算机名等帐户在一般用户的操作系统中是帐户安全的重点。

  Administrator/ Administrators帐户是Windows 2000/XP系统中最具有吸引力的目标,因为他是最有权利的帐户之一。相对其他帐户来说,Administrator/ Administrators拥有所有的权限,是黑客攻击获取帐户的最终目的,因此首当其冲的是做好该帐户的安全管理。

  对于目前常用的密码猜测攻击来说,Administrator帐户非常特殊,由于帐户权限最大,帐户名又是众所周知的,当攻击者采取暴力猜测密码等手段时至少这个用户名是没有错误的。那么怎么阻止攻击者密码猜测呢?

  通常一个合格的系统管理员是很少使用Administrator登陆计算机的。建立一个帐户,将你需要访问的文件及文件夹严格授权,此帐户对系统的安全设置等其他重要设置应该没有权限修改(参见本书文件及文件夹授权小节),一般使用该帐户操作电脑。建立新帐户操作如下:依次点击【开始】→【程序】→【管理工具】→【计算机管理】打开计算机管理窗口,依次展开窗口左侧的【本地用户和组】→【用户】,并且右键单击用户,选择新建用户,在新用户属性窗口中键入用户名密码等信息如用户skybug,点创建完成帐号新建。如图w10-001.tif

  如前所述,Administrator帐户是个众所周知的帐户,为了不让攻击者猜出密码,我们还可以将 Administrator帐户名更改以避免简单的密码猜测。首先打开本地安全设置管理控制台,该工具集包括了帐户策略、本地策略等很多实用工具,将依次在本章后面部分向读者介绍。具体操作为:依次点击【开始】→【程序】→【管理工具】→【本地安全策略】,打开本地安全设置窗口(如图w10-002.tif)。在窗口左侧的导航树中展开【本地策略】,选中【安全选项】,在右面窗口中找到重命名系统管理员帐户选项,双击该选项,在弹出的本地安全策略设置窗口中将本地策略设置文本框里键入需要更改的用户名如general user。(如图w10-003.tif)使用同样的方法我们还可以将Guest帐户重新命名。

  注意:在本地策略设置中做出的所有更改并不能立即作用,需要重新启动电脑后方能生效。

  很多安全杂志中还进一步建议我们创建一个以假乱真的 Administrator帐户。用上文介绍的方法创建一个新帐户,将该加入Guest组并在帐户描述的文本框中输入类似于Administering the computer字段以迷惑攻击者。

  事实上从安全的角度来讲,将管理员帐户更名,创建假管理员等手段并不能迷惑所有的攻击者。我们知道在操作系统内部并不是通过Administrator这个名字来判断是否是管理员的,而是根据安全标识符SID来判断。 SID由几个部分组成,一般形如s-1-5-21-8-12445589-500。虽然这个标识符是全球唯一的,但是我们仍然能够通过最后一组数字来判断帐户。比如最后一组为500为系统管理员帐户,无论你将帐户改成什么名字,这个标识符是不会改变的。如果读者有兴趣的话可以去流光的开发者小榕的个人站点下载一个SAM帐号枚举工具,遍可轻易的知道现在的管理员帐户改成什么名字了。Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个功能设计初衷是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。实际上win2000的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)便可以解决这个问题。依次点击【开始】→【程序】→【管理工具】→【本地安全策略】,打开本地安全设置窗口(如图w10-002.tif)。在窗口左侧的导航树中展开【本地策略】,选中【安全选项】,在右侧窗口中选中匿名连接的额外限制选项。双击该选项弹出本地安全策略设置窗口(如图w10-004.tif)。下拉本地策略设置文本框,可以看到这个选项有三个值:无,取决于默认的权限、不允许枚举SAM帐号和共享,没有显式匿名权限就不允许访问。无,取决于默认的权限这个值是系统默认的,没有任何限制,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等,对服务器来说这样的设置非常危险。不允许枚举SAM帐号和共享这个值是只允许非NULL用户存取SAM账号信息和共享信息。可以防止139空会话枚举帐户信息,推荐采用此配置。

http://caracurran.com/cikoujingpaodan/1008.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有