论坛: 菜鸟乐园 标题: 如何给自己的网络设防 复制本贴地址    
作者: biyuntian [biyuntian]    论坛用户   登录
黑客如此猖獗,应该采取什么样的有效手段来防止黑客的入侵呢?俗话说:亡羊补牢,为时未晚。人类社会总 是在邪恶势力的不断斗争中向前发展的,魔高一尺,道高一丈,总有办法有效地阻止黑客的入侵,保护好自己的计算机系统的。 
  企业要建立自己的计算机安全系统,也应根据自己单 位的实际情况来选择安全级别,选择相应的软硬件设施和 资金投入。对于已经建立了企业内部网络的用户,根据其 在Internet上开展业务量的多少,分三种情况详细说明。 

  一、未连接Internet 

  这类单位只需要建立初级的计算机网络安全系统,主 要包括以下几点: 

  1.选好系统管理员。这是最后的防线,如果系统管理员也成了黑客,那损失就不可避免了。 

  2.对系统管理员有制度上的制约,以消除安全隐患。比如限制管理员的操作权限,对管理员的行动进行监控等。 

  3.对计算机操作人员必须明确具体的权限,每个人 的密码应进行定期或不定期的修改,口令最好由数字和字 母混合组成,并尽量用足规定的字符长度。 

  4.防止病毒入侵系统。严格限制外来盘片的使用, 应该备有经国家计算机安全产品检测中心检测合格的杀病 毒软件,发现可疑情况及时查杀病毒。 
5.加强机房管理,严格限制外来人员进入机房使用 计算机。 

  二、偶尔使用Internet 

  这类单位的特点是:每天需要查阅几个固定站点的信 息,如报刊杂志,股票行情以及本行业的相关站点。这些 单位除了应该做到上述五点要求以外,还应采取下列措 施: 

  1.建立代理服务器,每天由专人负责定时接收这些 固定站点的信息,接收完毕就立即与国际互联网断开。进 行接收时,代理服务器最好脱离开企业内部网。 

  2.在企业内部网中,尤其是服务器上,应尽量使用 高版本的操作系统软件如UNIX Open Server 5.0.4, Windows NT 4.0等。对操作系统的安全级别应使用系统 软件所能提供的最高级。 

  三、大量使用Internet 

  这类企业的特点是:要在国际互联网上实时地处理业 务,所以会遇到各种复杂情况。这类企业除了练好上述两 类企业的基本功以外,还应该做到以下几点(说明:以下的条目中,有些漏洞在高版本的操作系统中已经消 除。): 

  1.必须认真设置操作系统:值得注意的是,操作系 统的许多缺省值都已被黑客利用来作为入侵系统的突破 口,所以,尽量不要使用系统缺省值。具体地说,主要注 意以下几点: 

  (1)改变Administrator账户的名字,为系统管理员 和备份操作员创建特殊账户。使黑客猜不到系统管理员和 备份操作员的账户名。禁止所有具有Administrator和备 份特权的账户浏览Web,以防黑客网上即时侦听。不要设 置缺省的Guest账户。 

  (2)确保%system%\reparir\sam.―在每次ERD更 新后,对所有人不可读。因为,Windows NT把用户信息和 加密口令保存于NT Registry中的SAM文件中,即安全账户 管理(Security Accounts Management)数据库。 

  (3)限制远程管理员访问NT平台。因为任何一个用 户都可以在命令行下,键入\\IPaddress\C$(或者 \\IPad��dress\D$,\\IPaddress\WINNT$)试图连接任 意一个NT平台上管理系统的共享资源。 

  (4)在域控制器上,修改Registry中Winlogon的设 置为“OFF”。以免Windows NT在注册对话框中显示最近 一次注册的用户名,给潜在的黑客提供信息。 

  (5)严格限制NT域中Windows NT工作站上的管理员 特权,决不用缺省值。因为任何人可能通过访问内存来获 取加密的口令,以获得缺省管理员的访问权。 

  (6)对于注册表Registry,严格限制为只可进行本 地注册,不可远程访问。因为,Registry的缺省权限设置是对“所有人”“安全控制”(Full Control)和“创 建”(Create)。这种设置可能引起Registry文件的删除 或者替换。 

  (7)对关键目录,应改变其缺省权限为“读”。缺 省权限设置允许“所有人”对关键目录具有“变更”级的访问权。其中,“关键目录”包括:每个NTFS卷的根目 录,System32目录,以及Win32App目录。 

  (8)在赋予打印操作员权限时,要限制人数。因为 打印操作员组中的任何一个成员对打印驱动程序具有系统 级的访问权,这会被黑客利用来在打印驱动程序中插入恶 意病毒。 

  (9)合理配置FTP,确保服务器必须验证所有FTP申 请。因为FTP有一个设置选项,允许客户直接进入一个账户,使无需授权而访问用户的文件和文件夹成为可能。   2.加强计算机系统的保安工作: 

  (1)关闭系统管理员的远程能力,只允许他直接访 问控制台。 

  (2)未经许可,不得重新安装WindowsNT软件。因为 重新安装整个的操作系统,覆盖原来的系统,就可以获得 Administrator特权。 

  3.对金融等安全性特别重要的系统应建立信息系统防火墙: 

  在防火墙上,应截止从端口135到142的所有TCP和UDP 连接,这样有利于控制。最安全的方法是利用代理 (Proxy)来限制或者完全拒绝网络上基于SMB的连接。 SMB是指服务消息块(ServerMessageBlock)。SMB有很多 尚未公开的“后门”,能不用授权就可以存取SAM和NT服 务器上的其他文件。SMB协议允许远程访问共享目录, Registry数据库,以及其他一些系统服务



  


地主 发表时间: 04/20 22:13

回复: xiaojun [xiaojun]   剑客   登录
你这几篇还算可以,继续努力。

B1层 发表时间: 04/21 13:56

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号