一、網(wǎng)絡攻擊概覽

　　1.服務拒絕攻擊

　　服務拒絕攻擊企圖通過使你的服務計算機崩潰或把它壓跨來阻止你提供服務，服務拒絕攻擊是最容易實施的攻擊行為，主要包括:

　　(1)死亡之ping (ping of death):由于在網(wǎng)絡技術形成早期，路由器對數(shù)據(jù)包的最大尺寸都有限制，許多操作系統(tǒng)對TCP/IP棧的實現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對包的標題頭進行讀取之后，要根據(jù)該標題頭里包含的信息來為有效載荷生成緩沖區(qū)，當產(chǎn)生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時，就會出現(xiàn)內(nèi)存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方死機。

　　(2)淚滴(teardrop):淚滴攻擊利用那些在TCP/IP堆棧實現(xiàn)中信任IP碎片中的包的標題頭所包含的信息來實現(xiàn)攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP(包括Service pack 4以前的NT)在收到含有重疊偏移的偽造分段時將崩潰。

　　(3)UDP洪水(UDP flood):各種各樣的假冒攻擊利用簡單的TCP/IP服務，如Chargen和Echo來傳送毫無用處的占滿帶寬的數(shù)據(jù)。通過偽造與某一主機的Chargen服務之間的一次的UDP連接，回復地址指向開著Echo服務的一臺主機，這樣就生成在兩臺主機之間的足夠多的無用數(shù)據(jù)流，如果足夠多的數(shù)據(jù)流就會導致帶寬的服務攻擊。

　　(4)SYN洪水(SYN flood):一些TCP/IP棧的實現(xiàn)只能等待從有限數(shù)量的計算機發(fā)來的ACK消息，因為他們只有有限的內(nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務器就會對接下來的連接停止響應，直到緩沖區(qū)里的連接企圖超時。在一些創(chuàng)建連接不受限制的實現(xiàn)里，SYN洪水具有類似的影響。

　　未來的SYN洪水令人擔憂，由于釋放洪水的并不尋求響應，所以無法從一個簡單高容量的傳輸中鑒別出來。

　　(5)Land攻擊:在Land攻擊中，一個特別打造的SYN包它的原地址和目標地址都被設置成某一個服務器地址，此舉將導致接受服務器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超時掉，對Land攻擊反應不同，許多UNIX實現(xiàn)將崩潰，NT變得極其緩慢(大約持續(xù)五分鐘)。

　　(6)Smurf攻擊:一個簡單的Smurf攻擊通過使用將回復地址設置成受害網(wǎng)絡的廣播地址的ICMP應答請求(ping)數(shù)據(jù)包來淹沒受害主機的方式進行，最終導致該網(wǎng)絡的所有主機都對此ICMP應答請求作出答復，導致網(wǎng)絡阻塞，比ping of death洪水的流量高出一或兩個數(shù)量級。更加復雜的Smurf將源地址改為第三方的受害者，最終導致第三方雪崩。

　　(7)Fraggle攻擊:Fraggle攻擊對Smurf攻擊作了簡單的修改，使用的是UDP應答消息而非ICMP。

　　(8)電子郵件炸彈:電子郵件炸彈是最古老的匿名攻擊之一，通過設置一臺機器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡的帶寬。

　　(9)畸形消息攻擊:各類操作系統(tǒng)上的許多服務都存在此類問題，由于這些服務在處理信息之前沒有進行適當正確的錯誤校驗，在收到畸形的信息可能會崩潰。

　　2.利用型攻擊

　　利用型攻擊是一類試圖直接對你的機器進行控制的攻擊，最常見的有三種:

　　(1)口令猜測:一旦黑客識別了一臺主機而且發(fā)現(xiàn)了基于NetBIOS、Telnet或NFS這樣的服務的可利用的用戶賬號，成功的口令猜測能提供對機器的控制。

　　(2)特洛伊木馬:特洛伊木馬是一種或是直接由一個黑客，或是通過一個不令人起疑的用戶秘密安裝到目標系統(tǒng)的程序。一旦安裝成功并取得管理員權限，安裝此程序的人就可以直接遠程控制目標系統(tǒng)。最有效的一種叫做后門程序，惡意程序包括:NetBus、BackOrifice和BO2k,用于控制系統(tǒng)的良性程序如:netcat、VNC、pcAnywhere。理想的后門程序透明運行。

　　(3)緩沖區(qū)溢出:由于在很多的服務程序中大意的程序員使用象strcpy(),strcat()類似的不進行有效位檢查的函數(shù)，最終可能導致惡意用戶編寫一小段利用程序來進一步打開安全豁口然后將該代碼綴在緩沖區(qū)有效載荷末尾，這樣當發(fā)生緩沖區(qū)溢出時，返回指針指向惡意代碼，這樣系統(tǒng)的控制權就會被奪取。

　　3.信息收集型攻擊

　　信息收集型攻擊并不對目標本身造成危害，如名所示這類攻擊被用來為進一步入侵提供有用的信息。主要包括:掃描技術、體系結(jié)構刺探、利用信息服務。

　　(1)掃描技術:

　　地址掃描:運用ping這樣的程序探測目標地址，對此作出響應的表示其存在。

　　端口掃描:通常使用一些軟件，向大范圍的主機連接一系列的TCP端口，掃描軟件報告它成功的建立了連接的主機所開的端口。

　　慢速掃描:由于一般掃描偵測器的實現(xiàn)是通過監(jiān)視某個時間幀里一臺特定主機發(fā)起的連接的數(shù)目(例如每秒10次)來決定是否在被掃描，這樣黑客可以通過使用掃描速度慢一些的掃描軟件進行掃描。

　　體系結(jié)構探測:黑客使用具有已知響應類型的數(shù)據(jù)庫的自動工具，對來自目標主機的、對壞數(shù)據(jù)包傳送所作出的響應進行檢查。由于每種操作系統(tǒng)都有其獨特的響應方法(NT和Solaris的TCP/IP堆棧具體實現(xiàn)有所不同)，通過將此獨特的響應與數(shù)據(jù)庫中的已知響應進行對比，黑客經(jīng)常能夠確定出目標主機所運行的操作系統(tǒng)。

　　(2)利用信息服務:

　　DNS域轉(zhuǎn)換:DNS協(xié)議不對轉(zhuǎn)換或信息性的更新進行身份認證，這使得該協(xié)議被人以一些不同的方式加以利用。如果你維護著一臺公共的DNS服務器，黑客只需實施一次域轉(zhuǎn)換操作就能得到你所有主機的名稱以及內(nèi)部IP地址。

　　Finger服務:黑客使用finger命令來刺探一臺finger服務器以獲取關于該系統(tǒng)的用戶的信息。

　　上進行過濾。

　　LDAP服務:黑客使用LDAP協(xié)議窺探網(wǎng)絡內(nèi)部的系統(tǒng)和它們的用戶的信息。

　　4.假消息攻擊

　　用于攻擊目標配置不正確的消息，主要包括:DNS高速緩存污染、偽造電子郵件。

　　(1)DNS高速緩存污染:由于DNS服務器與其他名稱服務器交換信息的時候并不進行身份驗證，這就使得黑客可以將不正確的信息摻進來并把用戶引向黑客自己的主機。

　　(2)偽造電子郵件:由于SMTP并不對郵件的發(fā)送者的身份進行鑒定，因此黑客可以對你的內(nèi)部客戶偽造電子郵件，聲稱是來自某個客戶認識并相信的人，并附帶上可安裝的特洛伊木馬程序，或者是一個引向惡意網(wǎng)站的連接。

　　對一些常見的攻擊技術有所了解，可以使我們更好地防范黑客的攻擊。其實，許多網(wǎng)絡安全危機，有多半來自于用戶本身沒有具備基本的網(wǎng)絡安全常識。導致黑客有機會入侵計算機，達到破壞的目的。因此，不管是企業(yè)或個人用戶加強本身的網(wǎng)絡保防知識，有其絕對的必要性。

　　1. 必要的網(wǎng)絡安全知識

　　(1)不要開啟來路不明的郵件:許多黑客入侵主機的方式，都是先寄發(fā)內(nèi)含入侵程序的E-mail給對方，騙取對方開啟附在郵件內(nèi)的的執(zhí)行文件，只要收件者在不知情的情況下執(zhí)行了，入侵程序便無聲無息的進駐到計算機里，任由黑客進進出出，不僅竊取重要機密文件，甚至破壞掉整部計算機的硬盤資料。

　　因此，強烈建議經(jīng)常收發(fā)電子郵件的朋友(尤其在公司)，開啟每一封郵件時，不妨多留意，遇到來路不明的信件(如廣告信)，尤其內(nèi)含附加文件，且擴展名為EXE的文件，請別開啟，因為這很有可能是黑客入侵程序。最好的方式是將整封信件直接刪除。

　　(2)小心郵件中的網(wǎng)頁:即使不含執(zhí)行文件的郵件，都有可能是危險的!因為E-mail支持HTM格式的關系，使寄件者可以利用這個技術將郵件內(nèi)容以網(wǎng)頁(WebPage)的方式寄出，而利用IE瀏覽器的安全漏洞。這些漏洞，可以讓黑客撰寫一些簡單的JAVA程序，只要上網(wǎng)者點擊上面的按鈕，就可能讓黑客從你的硬盤中竊取重要的文件(如，密碼文件等)。因此，就算你只是開啟網(wǎng)頁，都可能遭受黑客的入侵。

　　(3)密碼設定勿過于簡單:一般使用者，面對賬號或是郵件密碼的設定，常常隨便就以簡單的數(shù)字，或是單純的英文名字、單字設定。更離譜的是，有人就直接將密碼跟賬號設定成同一個，等于給了黑客最容易猜中的機率。因為黑客有時要入侵計算機，若是遇到有密碼保護的主機時，通常會試著先以簡單的可能猜對方的密碼，若這道防線被這么輕易的突破，那就失去設定密碼的意義。因此，建議你在設定密碼時，最好能以英文加上特定的數(shù)字(例如自己的生日)，只要設定的密碼愈復雜，就對網(wǎng)絡安全的防護愈有保障。

　　(4)嚴禁賬號及密碼外借他人:有些朋友常常將自己的賬號與密碼借給他人，雖然心想才借一下不要緊，但卻不知這是相當危險的行為。就算對方是多么熟的朋友，但畢竟密碼已經(jīng)不只自己知道而已，這就可能造成賬號與密碼外流，被人拿來做些犯法的事情了。

　　這種情形常發(fā)生在初學上網(wǎng)的朋友，由于不知該如何設定密碼，便找來朋友或是計算機公司的工程師來幫忙，這時如果對方是有心人，可能會記住你的賬號跟密碼，變成對方“免費”的賬號，而受害者往往在接到撥接帳單時才驚覺，到時就為時已晚了。因此若是你不得已將賬號及密碼借給他人，也希望你能在最短的時間內(nèi)更改原來的密碼，以避免他人用原來的密碼登錄你的賬號。

　　(5)加強服務器主機的獨立性:只要是局域網(wǎng)絡架構，一定有一臺以上的主機服務器，提供所有計算機的連結(jié)并予以控制。通常，這些計算機就是黑客攻擊的目標。因此，企業(yè)內(nèi)部應該對于服務器主機的安全性加強控制，盡可能的將其獨立，不要將重要的資料放置此處，利用某些方式將重要機密資料獨立于其他機器，再另外由公司內(nèi)部的網(wǎng)絡進行連結(jié)。

　　(6)架構網(wǎng)絡安全防衛(wèi)系統(tǒng):有鑒于網(wǎng)絡入侵的嚴重性，不少網(wǎng)絡安全軟件公司，致力開發(fā)并研究出不少防衛(wèi)系統(tǒng)安全的技術，列舉如下:

　　防火墻:英文原名為Firewall。它是一種文件在主機服務器與外界網(wǎng)絡中間的“過濾器”。其功能就是有效地阻絕外界非法存取內(nèi)部資料。

　　資料加密:網(wǎng)絡上一些有心人士，會針對特定的資料在傳輸時，加以從中攔截，進而竊取機密文件。因此為了防范這種狀況發(fā)生，便是先把資料用鑰匙(KEY)進行重新編碼，使攔截者即使得到資料，也無法獲知內(nèi)容。而這個鑰匙則是由一連串的數(shù)字所組成。

　　認證身分:最常見的方式就是在登錄主機時，系統(tǒng)詢問你賬號及密碼，以開放一定程度的使用權限。然而，隨著科技的進步，認證身份的方式千奇百怪，例如，指紋辨識、視網(wǎng)膜辨識、聲音辨識、筆跡動態(tài)辨識等。這都是為了取得更高的保防功能。

　　網(wǎng)絡監(jiān)控:這是一種由監(jiān)視封包資料傳送情形，來適時提醒系統(tǒng)管理者，是否傳送不正�，F(xiàn)象的防范措施。因為只要封包在傳送期間，沒有照著既定的路徑進行，或是出現(xiàn)不正�，F(xiàn)象，就有可能是遭到有心人士的攔截了。

　　2.網(wǎng)絡服務的安全性

　　所謂網(wǎng)絡服務是指一般人上網(wǎng)要做的事情。例如，用瀏覽器在WWW上面獲知訊息，以E-mail方式與遠方的朋友聯(lián)絡，使用FTP傳輸文件或是Telnet到BBS站，與網(wǎng)友們聊個天南地北。雖然網(wǎng)絡上可以做這么多事，但只要稍不小心，可能你在不知不覺中，已經(jīng)受到黑客的入侵了。因此了解網(wǎng)絡服務的安全性，是你必備的上網(wǎng)常識喔!

　　(1)WWW世界的陷阱:當你在使用IE或Netscape瀏覽器遨游在WWW中時，必須要小心某些看似怪異，或者主題不明確的網(wǎng)站�？蓜e以為瀏覽網(wǎng)頁不會有什么問題，殊不知點點網(wǎng)頁上的按鈕，也可以讓黑客從你的計算機中將你的密碼文件回傳到自己的計算機中。而且，這只是其中一種從WWW上竊取資料的方法。

　　(2)FTP:FTP是一種文件傳輸?shù)姆�務，通過網(wǎng)絡上架設的FTP主機，管理者可以提供訪客上傳或下載文件的服務，但這也同樣存在著資料被黑客惡意入侵破壞的風險。而且這些網(wǎng)站有許多是所謂的“地下網(wǎng)站”，專門提供一些非法軟件的取得服務，而這些軟件由于來源不明，內(nèi)含病毒或黑客程序的機率相當高，若沒有高度的警覺心，你就很有可能成為黑客的下一個目標。

　　(3)E-mail:E-mail恐怕是每個上網(wǎng)者必用的網(wǎng)絡服務。它強調(diào)實時、迅速、環(huán)保等多種優(yōu)質(zhì)條件的特性，使現(xiàn)在的人們大大地改變了以往用紙跟郵票來傳送郵件的習慣。不過E-mail是目前網(wǎng)絡上傳遞病毒與黑客程序最佳的途徑。唯有加強自己本身的危機意識和網(wǎng)絡安全常識，才能在享受這個科技帶來的便利外，更能多一層安全上的保障。

　　(4)Telnet:Telnet是一種遠程登錄的網(wǎng)絡服務。這個技術最常見的應用就是BBS。只要你接觸網(wǎng)絡有一段時間，應該都見識過BBS的威力吧!在一開始時，系統(tǒng)會要求你鍵入賬號和密碼，而當你鍵入數(shù)據(jù)時，這組賬號及密碼會以不加密的方式，直接送到提供服務的主機端。這段過程，相當容易遭到有心人士的從中擷取資料，而對于一般人慣性的將許多賬號及密碼都設為同一組的緣故，恐怕這個損失將難以估計了。

　　(5)NEWS:這是網(wǎng)絡上供人討論網(wǎng)站的新聞群組，由于這樣的群組強調(diào)純文字的特性，舍棄了圖片與其他費時的網(wǎng)絡資源，因此深獲一般想上網(wǎng)獲得實時訊息的朋友喜愛。不過在NEWS上常常有許多內(nèi)容及吸引人的廣告文章，讓人產(chǎn)生一種不勞而獲的幻想。若警覺性不高，可能你就中了黑客的圈套，而一步一步陷進去了。

　　操作系統(tǒng)是你使用計算機的起點，所有對資料、文件的操作都需要通過操作系統(tǒng)來協(xié)同完成。由于操作系統(tǒng)本身所存在的一些缺陷，使得黑客能在你的計算機系統(tǒng)中隨意進出。配置一個安全的計算機系統(tǒng)，將黑客“拒之門外”。

　　(一)Windows 2000服務器安全配置

　　1. 定制自己的Windows 2000 Server

　　(1)版本的選擇:Windows 2000有各種語言的版本，對于我們來說，可以選擇英文版或簡體中文版。強烈建議，在語言不成為障礙的情況下，請一定使用英文版。要知道，微軟的產(chǎn)品是以Bug & Patch而著稱的，中文版的Bug遠遠多于英文版，而補丁一般還會遲至少半個月(也就是說一般微軟公布了漏洞后你的機子還會有半個月處于無保護狀況)。

　　(2)組件的定制:Windows 2000在默認情況下會安裝一些常用的組件。但是，正是這個默認安裝是極度危險的你應該確切地知道你需要哪些服務，而且僅僅安裝你確實需要的服務。根據(jù)安全原則，最少的服務+最小的權限=最大的安全。典型的Web服務器需要的最小組件選擇是:只安裝IIS的ComFiles、IIS Snap-In、WWW Server組件。如果你確實需要安裝其他組件，請慎重，特別是Indexing Service、FrontPage 2000 Server Extensions、Internet Service Manager(HTML)這幾個危險服務。

　　(3)管理應用程序的選擇:選擇一個好的遠程管理軟件是非常重要的事，這不僅僅是安全方面的要求，也是應用方面的需要。Windows 2000的終端服務是基于RDP(遠程桌面協(xié)議)的遠程控制軟件，它速度快，操作方便，比較適合用來進行常規(guī)操作。但是，終端服務也有其不足之處，由于它使用的是虛擬桌面，當你使用終端服務進行安裝軟件或重啟服務器等與真實桌面交互的操作時，往往會出現(xiàn)哭笑不得的現(xiàn)象，例如，使用終端服務重啟微軟的認證服務器(Compaq, IBM等)可能會直接關機。所以，為了安全起見，建議再配備一個遠程控制軟件作為輔助，與終端服務互補，如PcAnyWhere就是一個不錯的選擇。

　　2. 正確安裝Windows 2000 Server

　　(1)分區(qū)和邏輯盤的分配。有一些朋友為了省事，將硬盤僅僅分為一個邏輯盤，所有的軟件都裝在C盤上。建議最少建立兩個分區(qū)，一個系統(tǒng)分區(qū)，一個應用程序分區(qū)，這是因為，微軟的IIS經(jīng)常會有泄漏源碼/溢出的漏洞，如果把系統(tǒng)和IIS放在同一個驅(qū)動器會導致系統(tǒng)文件的泄漏甚至入侵者遠程獲取Admin。推薦的安全配置是建立三個邏輯驅(qū)動器，第一個大于2GB，用來裝系統(tǒng)和重要的日志文件，第二個放IIS，第三個放FTP，這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統(tǒng)目錄和系統(tǒng)文件。

　　(2)安裝順序的選擇:Windows 2000在安裝中有幾個順序是一定要注意的:

　　首先，何時接入網(wǎng)絡。Windows 2000在安裝時有一個漏洞，在你輸入Administrator密碼后，系統(tǒng)就建立了ADMIN$的共享，但是并沒有用你剛剛輸入的密碼來保護它，這種情況一直持續(xù)到你再次啟動后，在此期間，任何人都可以通過ADMIN$進入你的機器;同時，只要安裝一完成，各種服務就會自動運行，而這時的服務器是滿身漏洞，非常容易進入的，因此，在完全安裝并配置好Windows 2000之前，一定不要把主機接入網(wǎng)絡。

　　其次，補丁的安裝。補丁的安裝應該在所有應用程序安裝完之后，因為補丁程序往往要替換/修改某些系統(tǒng)文件，如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果。例如，IIS的HotFix就要求每次更改IIS的配置都需要安裝。

　　3. 端口

　　端口是計算機和外部網(wǎng)絡相連的邏輯接口，也是計算機的第一道屏障，端口配置正確與否直接影響到主機的安全。一般來說，僅打開你需要使用的端口會比較安全，配置的方法:打開“本地連接屬性”對話框，依次點擊“Internet協(xié)議(TCP/IP)→高級→選項→TCP/IP篩選→屬性”，在打開的對話框中啟用TCP/IP篩選。

　　4. IIS

　　IIS是微軟的組件中漏洞最多的一個，所以IIS的配置是我們的重點:

　　(1)將\Inetpub目錄徹底刪掉，然后在D盤建一個Inetpub目錄，在IIS管理器中將主目錄指向D:\Inetpub。

　　(2)將IIS安裝時默認的Scripts等虛擬目錄一概刪除，如果你需要什么權限的目錄可以自己建(特別注意寫權限和執(zhí)行程序的權限，沒有必要千萬不要給)。

　　(3)應用程序配置:在IIS管理器中刪除必須之外的任何無用映射。

　　(4)為了保險起見，你可以使用IIS的備份功能，將上面的設定全部備份下來，這樣就可以隨時恢復IIS的安全配置。如果你怕IIS負荷過高導致服務器滿負荷死機，也可以在性能中打開CPU限制，例如將IIS的最大CPU使用率限制在70%。

　　5. 賬號安全

　　Windows 2000的賬號安全是另一個重點，首先，默認安裝允許任何用戶通過空用戶得到系統(tǒng)所有賬號/共享列表，這個本來是為了方便局域網(wǎng)用戶共享文件的，但是一個遠程用戶也可以得到你的用戶列表并使用暴力法破解用戶密碼。很多朋友都知道可以通過更改注冊表HKEYLOCALMACHINE\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1來禁止139空連接，實際上Windows 2000的本地安全策略就有這樣的選項RestrictAnonymous(匿名連接的額外限制)，這個選項有三個值:

　　0:None. Rely on default permissions(無，取決于默認的權限)。這個值是系統(tǒng)默認的，什么限制都沒有，遠程用戶可以知道你機器上所有的賬號、組信息、共享目錄、網(wǎng)絡傳輸列表等，對服務器來說這樣的設置非常危險。

　　1:Do not allow enumeration of SAM accounts and shares(不允許枚舉SAM帳號和共享)。這個值是只允許非NULL用戶存取SAM賬號信息和共享信息。

　　2:No access without explicit anonymous permissions(沒有顯式匿名權限就不允許訪問)。這個值是在Windows 2000中才支持的，需要注意的是，如果你一旦使用了這個值，你的共享估計就全部完蛋，所以我推薦你還是設為1比較好。

　　好了，入侵者現(xiàn)在沒有辦法拿到我們的用戶列表，我們的賬戶安全了……慢著，至少還有一個賬戶是可以跑密碼的，這就是系統(tǒng)內(nèi)建的Administrator。怎么辦?在“計算機管理→用戶賬號”中右擊Administrator，然后改名。然后再來把HKEYLOCALMACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon項中的“Don't Display Last User Name”串數(shù)據(jù)改成1，這樣系統(tǒng)不會自動顯示上次的登錄用戶名。

　　將服務器注冊表\HKEYLOCALMACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon項中的Don't Display Last User Name串數(shù)據(jù)修改為1，隱藏上次登陸控制臺的用戶名。

　　Windows 2000的默認安裝是不開啟任何安全審核的。請你到“本地安全策略”的“審核策略”中打開相應的審核。推薦的審核是:

　　賬戶管理 成功/失敗

　　登錄事件 成功/失敗

　　對象訪問 失敗

　　策略更改 成功/失敗

　　特權使用 失敗

　　系統(tǒng)事件 成功/失敗

　　目錄服務訪問 失敗

　　賬戶登錄事件 成功/失敗

　　與之相關的是在“賬戶策略”的“密碼策略”中設定:

　　密碼復雜性要求 啟用

　　密碼長度最小值 6位

　　強制密碼歷史 5次

　　最長存留期 30天

　　在”賬戶策略”的“賬戶鎖定策略”中設定:

　　賬戶鎖定 3次錯誤登錄

　　鎖定時間 20分鐘

　　復位鎖定計數(shù) 20分鐘

　　7. 目錄和文件權限

　　為了控制好服務器上用戶的權限，同時也為了預防以后可能的入侵，我們還必須設置目錄和文件的訪問權限，Windows 2000的訪問權限分為:讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認的情況下，大多數(shù)的文件夾對所有用戶是完全敞開的，你需要根據(jù)應用的需要進行權限重設。

　　在進行權限控制時，請記住以下幾個原則:

　　(1)權限是累計的:如果一個用戶同時屬于兩個組，那么他就有了這兩個組所允許的所有權限。

　　(2)拒絕的權限要比允許的權限高。如果一個用戶屬于一個被拒絕訪問某個資源的組，那么不管其他的權限設置給他開放了多少權限，他也不能訪問這個資源。

　　(3)文件權限比文件夾權限高。

　　(4)僅給用戶真正需要的權限，權限的最小化原則是安全的重要保障。

　　8. 預防DoS

　　在注冊表\HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以幫助你防御一定強度的DoS攻擊:

　　名稱 類型 值

　　SynAttackProtect REGDWORD 2

　　EnablePMTUDiscovery REGDWORD 0

　　NoNameReleaseOnDemand REGDWORD 1

　　EnableDeadGWDetect REGDWORD 0

　　KeepAliveTime REGDWORD 300,000

　　PerformRouterDiscovery REGDWORD 0

　　EnableICMPRedirects REGDWORD 0

　　9. ICMP攻擊

　　ICMP的風暴攻擊和碎片攻擊也是NT主機比較頭疼的攻擊方法，其實應付的方法也很簡單，Windows 2000自帶一個Routing & Remote Access工具，這個工具初具路由器的雛形。在這個工具中，我們可以輕易地定義輸入輸出包過濾器。例如，設定輸入ICMP代碼255丟棄就表示丟棄所有的外來ICMP報文。

　　有時候，可能會有很多人共用一臺計算機。每個使用者都不愿意將包含自己隱私的文件讓其他人看到，但每個人又都有使用計算機的權利。這個時候，如何保證每個用戶系統(tǒng)和文件的安全就顯得十分重要，下面我們來告訴你如何解決這個問題。

　　1. 設置用戶權限

　　對不同的用戶設置不同的使用權限，限制一些用戶對系統(tǒng)文件的修改權，將大大地提高系統(tǒng)的安全性。其具體步驟如下(這里以設立“管理員”和“用戶”兩個級別為例):

　　(1)依次點擊“控制面板→密碼→用戶配置文件”，選擇“用戶可自定義首選項及桌面設置。登錄時，Windows自動啟用個人設置(C)”選項。單擊“確定”按鈕，按照屏幕提示設置“管理員”用戶及密碼。如圖1所示。

　　(2)重啟計算機后，以“管理員”身份進入Windows 98。依次點擊“控制面板→用戶”。按向?qū)�提示，設置用戶及密碼。此時要根據(jù)需要設置“用戶”級別所需項目。

　　2. 防止非法用戶進入

　　為防止非法用戶以系統(tǒng)默認配置進入Windows 98，可采用以下措施:運行“Regedit”，打開注冊表編輯器。在\HKEYUSER\Default\Software \Micorosoft\Windows\CurrentVersion\Run中創(chuàng)建新“字符串值”，串值名為“用戶非法，退出”。編輯字符串值為“rundll.exe user.exe， EXITWINDOWS”。這樣，當非法用戶試圖進入你的Windows 98系統(tǒng)時，計算機便會自動關機。

　　為了防止非法用戶按F8鍵調(diào)出Windows 98的啟動菜單，以安全方式進入系統(tǒng)，我們還需編輯Msdos.sys文件。在該文件的[option]小節(jié)中加入如下幾行:

　　BootMulti=0:設置系統(tǒng)不能進行多重引導。

　　BootGUI=1:在啟動時直接進入Windows 98圖形用戶界面。

　　BootDelay=0:設置在啟動時“Staring Windows 98……”信息停留的時間為0秒。

　　BootKeys=0:設置在啟動過程中F4、F5、F6、F8功能鍵失效。

　　3. “用戶”級別用戶新建使用權限

　　使用“用戶”身份進入Windows 98，此時你可以通過修改文件注冊表來限制“用戶”級用戶的使用權限。

　　(1)隱藏“開始”菜單的部分內(nèi)容:打開注冊表，在\HKEYCURRENTUSER\Software\Micorsoft\Windows

　　\Current Version\Policies\Explorer中新建一個DWORD值“NoSetFolders”，鍵值為“1”。這樣，用戶便不能使用“控制面板”和“設置”中的“打印機”。

　　在該分支下新建一個DWORD值“NoSetTaskbar”，鍵值為“1”，則“任務欄屬性”功能被禁止;在該分支下新建一個DWORD值“NoFind”，鍵值為“1”，則“查找”功能被禁止;在該分支下新建一個二進制值“NoRun”，鍵值為“0x00000001”，則“運行”菜單項被關閉。

　　(2)禁用“活動桌面”:在關閉了“控制面板”和“打印機”功能后，普通用戶可以通過“活動桌面”更改顯示屬性，因此要關閉“活動桌面”，在\HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Policies\System中新建DWORD值“NoDispCPL”，鍵值為“1”。這樣“活動桌面”也被禁用。

　　(3)禁用注冊表編輯器:為了防止普通用戶使用注冊表，我們可以用如下的方法禁止普通用戶使用注冊表:

　　在\HKEYCURRENTUSER\Software\Micorsoft\Windows\CurrentVersion\Policies\System中新建DWORD值“DisableRegistryTools”，鍵值為“1”。

　　(4)禁用MS-DOS方式:隱藏了驅(qū)動器后，普通用戶還可以通過MS-DOS方式進入任何驅(qū)動器，為了限制用戶進入，可關閉MS-DOS功能:\HKEYCURRENTUSER\Software\Micorsoft\Windows\CurrentVersion\Policies中新建“WinOldApp”主鍵，在其下新建一個DOWRD值“Disabled”，鍵值為“1”。

　　(5)隱藏口令文件:在Windows 98系統(tǒng)中，用戶設置的口令都被存放于Windows子目錄中，其文件名為xxx.pwl。普通用戶可以方便地找到你設置的口令文件，并將其刪除。這樣，他便能順利地以管理員身份進入系統(tǒng)。為此，你有必要將口令文件隱藏起來。在System.ini文件中的[Password Lists]中將存放口令文件的存放位置修改到你隱藏的驅(qū)動器下的目錄中。這樣，普通用戶便無法找到口令文件，也無法將它刪除了。

　　(6)禁止光盤的自動運行功能

　　為屏幕保護設置了密碼后，你是否就認為萬無一失了嗎?不!光盤的自動運行功能會給我們帶來麻煩。眾所周知，Windows 98具有自動運行光盤的功能，當我們在光驅(qū)中插入CD之后，CD會自動進行播放，而當我們插入根目錄中帶有Autorun.inf文件的光盤后，光盤也會自動運行。Windows 98的屏幕保護功能并沒有禁止光盤的自動運行功能，也就是說即使處于屏幕保護程序密碼控制之下，用戶在插入一個根目錄中含有Autorun.inf文件的光盤之后，系統(tǒng)仍會自動運行，這就給惡意攻擊者帶來了可乘之機。目前市面上出現(xiàn)了一種專門用于破解屏幕保護程序的自動運行光盤，為此我們必須關閉系統(tǒng)的光盤自動運行功能。有兩種方法可以關閉光驅(qū)的自動運行功能:

　　選擇“我的電腦→屬性”，打開“系統(tǒng)屬性”對話框，單擊“設備管理器”標簽;展開“CDROM”分支，從中選擇用戶所用光驅(qū)。單擊“屬性”按鈕，打開光驅(qū)屬性對話框，單擊“設置”標簽，取消“自動插入功能”即可。這一方法可有效的禁止光盤的自動運行功能，但它同時也將CD的自動播放功能禁止了。

　　第二種方法是:打開注冊表在\HKEYCURRENTUSER\Software\Micorsoft\Windows\CurrentVersion\Policies\Explorer，創(chuàng)建一個DWORD值“NoDriveTypeAutoRun”，鍵值為“1”。

　　這樣光盤的自動運行功能將被禁止，插入根目錄中含有Autorun.inf文件的光盤后將不會發(fā)生任何作用，而CD的自動播放功能將不受影響。

　　經(jīng)過上面的設置，你的Windows 98系統(tǒng)的安全性將大大提高，你不必再擔心非法用戶的進入，也不用擔心普通用戶誤操作毀壞你的系統(tǒng)了，你要做的就是牢記你的密碼。

　　最后，再談談用戶設置的刪除問題。首先，在“控制面板→用戶”中選中用戶設置，單擊“刪除”按鈕，刪除用戶。然后在注冊表\HKEYLOCALMACHINE中將Network主鍵刪除，在\HKEYCURRENTUSER\Software\Micorsoft\Windows\CurrentVersion中將ProfileList主鍵刪除。重啟計算機，在進入Windows 98的“輸入Windows密碼”提示框中的用戶欄輸入用戶名，但一定不要輸入密碼，單擊“確定”按鈕。則將用戶設置刪除了，以后啟動時將不再出現(xiàn)“輸入Windows密碼”的提示框了。

　　4. 禁止采用軟盤及光盤啟動計算機

　　很顯然，非法用戶若能以軟盤及光盤啟動計算機，那他就可以隨意在DOS狀態(tài)下對系統(tǒng)進行攻擊，因此我們必須關閉軟盤及光盤的啟動功能。為此，我們必須重新啟動計算機，并在系統(tǒng)自檢時進入系統(tǒng)的CMOS設置功能，然后將系統(tǒng)的啟動選項設置為“C only”(即僅允許從C盤啟動)，并同時為COMS設置必要的密碼。