管理員防黑客入侵需知道
被黑客入侵是一件相當受傷的事情,不僅容易導致數據泄漏、系統破壞,還有諸多不必要的麻煩。那么作為網絡管理員,能不能學習一些相關的知識,在面臨黑客入侵之時有所準備呢?下邊的文章就為大家講述一些有關防御黑客入侵的相關知識。
一、關閉多余的端口
在黑客入侵前的準備工作中,掃描端口是一個很重要的部分,因此說關閉不必要的端口可以減少我們很多麻煩。在論壇上也經常遇到新手朋友問到如果關閉某個端口之類的問題,在這里我們首先需要明確,端口與服務是相互對應的關系,開放了一個端口,必然有其相對應的服務。遠望IT論壇的病毒與網絡安全版精華區有完善的端口列表文章,無論是對于系統管理員還是個人用戶來說了解這些端口都是很有必要的,建議大家去看看。在了解了端口所對應的服務后,想要關閉某個端口就很容易了,我們只需要在管理工具的服務中停止相應的服務就可以了。當然,我們還可以右鍵單擊行網絡鄰居”圖際,選擇”屬性”。查看”本地連接屬性”,雙擊”Internet協議(TPC/IP)”,然后選擇”高級”對話框,選擇”選項”,最后點擊”TCP/IP篩選”,在這里設置端口過濾。至于具體需要關閉哪些端口,就完全看個人的需要而定了。但是,從前面的黑客入侵過程我們可以發現,一些黑客工具完全可以遠程打開我們已經禁用了的服務,例如Telnet、終端服務。遇到這種情況怎么辦?微軟的2000資源工具包和XP系統本身為管理員提供了sc.exe這個小程序,它可以做到徹底地刪除一個服務,使用起來很簡單,具體的用法就不在這里多說了。
這里需要對139端口多說幾句,因為它在網絡黑客入侵中是一個飽受騷擾的端口,但是對于不少人來說,開放共享資源又是必須的。由于445端口是作為139端口的替代端口來使用的,因此只要445端口沒有關閉,仍然可以共享文件。關閉139端口的方法很簡單,只要我們不安裝netbeui協議,就不會開放139端口和NetRios了,別人掃描也就無法得知我們的操作系統版本。用戶列表等-系列信息了。
二、打補丁,設密碼
從實際黑客入侵開始的第一步我們可以看到,IIS的漏洞幫了我們的大忙,而實際上更多的人侵是以弱口令作為突破點的。因為黑客入侵無論采用什么方式,總是會想方設法先獲得一個賬戶和密碼的。所以,我們就需要給操作系統的管理員賬戶設置一個足夠強壯、并且好記的密碼,并且打上最新的補丁。SP3是必須的了,最新的針對IIS的補丁也是不可缺少的。如果嫌麻煩,還可以使用Window up date來進行補丁的安裝。對于系統管理員來說,訂閱微軟的安全公告是很有必要的,它會告訴體育什么最新的漏洞被發現了,有什么解決措施。這可是免費的哦,只需要在微軟的網站上申請就可以了。
三、關閉IPC$
IPC$也許是出干微軟的一廂情愿,但實際上對大部分用戶來說它并不實用,相反卻成了黑客入侵的一個很好的方式。”至少從本次黑客入侵來看,IPC$起到了很大的作用哦。關閉IPC$需要修改注冊表,具體方法黑防以前已經講得很多了,這里就不再多說了。對于個人用戶,如果沒有特別需要,在管理工具中停止Server服務并且禁用是最簡單的了,這樣可以徹底地關閉共享。
四、配置組策略
盡管在這次黑客入侵中沒有遇到用戶弱口令的好運,但是從經驗來看,弱口令的情況并不少見。因此,加強密碼策略是非常必要的。既然微軟為我們提供了功能強大的組策略,我們沒有理由不用它。運行gpedit.msc。選擇”Windows設置”中的”安全設置”,首先選擇 “賬戶策略”中的”密碼策略”,在這里我們可以設置密碼的復雜,注、最長保留周期等。這些設置可以保證我們的密碼不會被輕易猜出,而且動態的密碼才是由于大多數掃描器在默認情況下具有簡單的破解密碼的功能,如果換h一個足夠大的字典文件,便有可能會破解我們的管理員賬戶的密碼。
在賬戶鎖定策略中設置賬戶鎖定閥值和賬戶鎖定時間就可以解決這個問題。我們可以設置為輸入密碼5次錯誤就鎖定該賬戶,30分鐘后再解鎖,這樣就可以有效防止密碼被暴力玻解了,本地安全策略中的可設置項還有很多,限于篇幅和適用范圍就不在這里多說了,感興趣的讀者可以仔細研究研究。當然,安全和性能始終是一對矛盾,高安全必然會使性能在–定程度上降低,反之亦然。所以,我們需要根據自己的實際情況選擇其中的一個平衡點就可以了。
五、偽裝
黑客入侵后通常會進行克隆用戶權限,修改端口等一系列的偽裝行動,那么系統管理員為什么就不可以在被黑客入侵前也進行一系列的偽裝,從而迷惑入侵者呢。
(1)偽裝用戶:首先,將系統默認的內置賬戶administrator改名,然后新建一個名字為adminis-trator的賬戶,描述改為”管理計算機(域)的內置賬戶”,設置好足夠長的密碼。僅僅將它加入guest組,這樣便吸引了入侵者的目光去破解一個很低權限的賬戶,即使他破解成功也沒有多大利用價值。有的時候,我們會擔心自己的機器里面有沒有用戶被克隆了管理員權限,怎么辦?黑客入侵者可以使用系統工具來作為黑客工具,我們同樣可以使用黑客工具來為管理員效勞。我們可以利用cca這個黑客工具來進行檢測。
(2)偽裝端門:有的時候處于特別的需要,我們可能會需要運行終端服務或者Telnet等服務。那么,降低風險的最好方法便是修改它們的默認服務端口,修改方法與入侵篇一樣。例如,我們可以將Telnet修改為木馬冰河的默認端口7626,將終端服務修改為pcanwhere的5631。
入侵者打到了端口,自然會以為這臺機器被種了木馬,就拿那兩個遠程控制軟件慢慢地連吧,呵呵。
六、保護事件日志
事件日志對每一位管理員來說都是非常重要的,因此它也成了黑客入侵者的眼中釘。凡是成功入侵一臺機器后,黑客入侵者都會在退出前想方設法清除事件日志的。那么,保護好事件日志,隨時做好備份就成不管理員必然的工作了。而對于個人用戶來說,事件日志也會為我們提供重要線索的。那么,這些事件日志都在什么地方呢?
安全日志、系統日志和應用程序”志存放在%systemroot%\system32\config路徑下。默認文件大小512KB。
安全日志文年:%systemroot%\system32\config\SecEvent.EVT。
系統日志文件:%sysytemroot%\system32\config\SysEvent.EVT
應用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
IIS的日志文件位置我們可以通過日志記錄的屬性對話框得知,Web的日志記錄為W3WVC1文件夾,FTP的日志記錄為MSFTPSVC1文件夾。
做個勤勞的管理員,經常查看和備份日志,將有利于及時地發現問題,在這次黑客入侵中,如果管理員能夠較早地發現日志文件被清空,自然會引起懷疑。這樣一來,黑客入侵者后面的計劃就很可能會落空。
七、全面檢測,誘捕黑客
如果我們發現有黑客入侵的跡象,千萬不要手忙腳亂,要從每個可能被改動了的地方進行檢查,服務、賬戶。系統根目錄的可疑文件、進程、端口、日志文件、Documentsand Settings文件夾……再狡猾的狐貍也斗不過好獵手的。在服務列表中,我們可能會發現莫名其妙地多出了某一項服務,例如snake的socksserver就會生成一項服務;在用戶列表中。我們也許會發現某些賬戶的權限發生了改變,以及guest賬戶被激活之類的情況 系統根目錄多出了一個reboot.exe文件;任務管理器的迸程列表多出了cccproxy(被安裝了代理服務器軟件)。在命令行下使用netstatan發現開發了某個木馬的默認端口;日志文件中顯示某一天服務器居然沒有一個人來訪問’,Document sand Settings文件夾下又生成了某個賬戶名的文件夾(這個賬戶曾經以圖形界面登錄過操作系統)。
當然。了解到自己系統可能存在的弱點,才能更好地把握黑客入侵者的心理和人侵方式。這里,我建議大家使用微軟官方的免費檢測軟件MBSA(微軟基準安全分析器),它以微軟的官方數據庫為依托,可以檢測出微軟大多數產品的最新漏洞,并且使用起來非常簡單。這樣,我們就能了解到黑客入侵者是從哪個弱點人手進人我們的系統了。
實際上,從整個黑客入侵和防御的過程來看,系統管理員的安全意識的重要性遠高于技術。管理員多點擊一次鼠標,“黑客”就很可能要多敲N欠鍵盤的。管理員的安全意識差,這也正是國內網絡安全狀況差的一個重要原因。在黑客工具、黑客教程隨處可見。網絡入侵日益傻瓜化的今天,希望不論是服務器的管理人員,還是個人用戶。都能負起自己的責任,提高安全防范的意識,在遭受人侵前就杜絕一切安全隱患。
【編輯推薦】
