mf117 
级别:精灵王
威望:0
经验:0
货币:2217
体力:
来源:61.183.67.*
总发帖数:362
注册日期:2002-03-27
|
|
 查看  邮件  主页  QQ  消息  引用  复制  下载
Windows文件共享安全性
简述:网络的产生给我们的生活带来了翻天覆地的变化。网络推动了信息共享,大大缩短了时间、空间的差异。人们通过网络可以获取感兴趣的资源,还可以提供有趣的东西给别人。那么你有没有想过在别人访问你指定的资源时,访问其他你不希望被访问的资料(比如信用卡号码、个人资料〕呢?我想大多数人都不会希望这种情况发生。可是总有些怀有恶意的人会在你不知不觉的情况下查看你的文件,这样岂不是可恶致极?那么我们怎样来杜绝这种情况发生呢?
文件共享原理
文件共享和信息共享大多是通过NetBIOS和Windows
NT下的135->139号端口服务(在Windows 2000是445号端口)实现的,而在UNIX
NFS中是通过2049端口实现的。这些服务允许文件通过网络共享。而如果配置不当,可能会威胁系统文件或者给恶意第三方连接完全的文件系统访问权限。许多计算机拥有者和管理员使用这些服务来使他们的文件系统具有可读性和可写性,以此来提高数据访问的便捷性。但不出两天,其它人就会发现开放的文件共享,并窃取任务计划软件。
现在应用比较普遍的操作系统是微软公司的Windows系列操作系统。但在Windows机器中允许文件共享时,文件共享变成了信息窃贼和病毒可利用的漏洞。最近发现的一个新版病毒叫"911蠕虫",它利用文件共享使Windows
95、98系统感染这种病毒并让受害主机通过Modem拨打911火警电话。同样的NetBIOS机制使Windows文件共享能用来列举NT系统的一些敏感系统信息:用户和组信息(例如用户名、最后登录日期、密码策略、RAS信息),系统信息,特定注册信息,这些信息都可能通过一个系统的"null
session"漏洞连接到NetBIOS 会话服务而被访问。这个漏洞通常是用来发起针对NT目标的密码猜测或暴力密码攻击的。
Ok,其实我们更关心如何解决这些烦人的问题。下面我们就一一介绍:
解决问题的建议
A.对加载的驱动器进行共享时,确保只共享了需要共享的目录。
B.为了增强安全系数,只允许指定的IP地址能够访问共享资源。(一般不要支持域名访问功能,因为域名可能被伪造。)
C.对于Windows 系统,应确保所有的共享资源都有高强度密码保护。
D.对于WindowsNT系统,禁止通过"null
session"连接以匿名方式列举用户、群组、系统配置和注册键值。堵住向路由器或NT主机上的NetBIOS会话服务(tcp
139端口)发出的越界连接请求。在单机或无信任域的环境中对与Internet连接的主机执行限制匿名访问等。具体情况在后文还有描述。
E.采用一种快速、免费、安全的测试方法来避免NetBIOS文件共享和一些相关漏洞。这种方法对运行任何操作系统的计算机都有效。你可以在Gibson
Research 公司的官方网站获取,只需访问 http://grc.com/
然后点击"ShieldsUP"图标来进行一次支持任何系统NetBIOS风险的实时评估。微软Windows用户还可以获取详细介绍来辅助他们更好地解决NetBIOS的漏洞问题。
下面我们针对D做进一步介绍(主要以WindowsNT为主)
限制匿名登录用户可访问的信息
原理
WindowsNT具有一个特点,匿名登录用户能列出域用户名和共享资源名。需要加强安全性的客户要求能有选择地限制这个功能。WindowsNT4.0
SP3和及时修补过的WindowsNT3.51提供给管理员限制匿名登录用户(前面提到的"null
session")列出域用户名和共享资源名的能力。从域控制器侦听帐户名对一个WindowsNT
ACL编辑器来说是必需的。比如获取欲获取访问权限的用户和组的列表。Windows NT
资源管理器也是用侦听帐户名并从用户和组列表中获得访问共享资源权限的。
详述
建立在一个单一WindowsNT域基础上的WindowsNT网络能认证列举域帐号信息的连接,而使用多域的WindowsNT网络需要匿名用户登录来列出帐户信息。以下是一个说明怎样使用匿名连接的范例。
假设有两个WindowsNT域,一个帐户域和一个资源域,资源域对帐户域有一种单向信任关系。也就是说,资源域"信任"帐户域,但帐户域却不一定信任资源域。帐户域中的用户根据单向认证可以认证并访问资源域中的资源。如果资源域中的一个管理员想获得一个帐户域用户的文件的访问权,他们想从帐户域获取用户和组的列表,从而选择用户/组来获得访问权限,而帐户域并没有对资源域的信任关系,那个管理员的请求是不会被认证的,这个连接是通过使用"null
session"来获取帐户域用户列表的。
在使用一次匿名连接(允许的用户接口工具包括WindowsNT资源管理器,用户管理器,ACL编辑器,通过多WindowsNT域来管理访问控制信息)获取帐户名时也有相似情况。
WindowsNT环境下如果要限制来自罗列帐户名来进行的匿名连接,须先安装WindowsNT4.0
ServicePack 3或WindowsNT 3.51Hotfix。在安装完WindowsNT4.0 ServicePack
3或WindowsNT 3.51Hotfix之后,如果希望认证列举的帐户名,并禁止匿名连接列举帐户名的系统管理员需要对注册表做以下修改。
(警告:不正确地修改注册表会导致严重的系统错误,请慎重行事!)
1.运行注册表编辑器(Regedt32.exe)。
2.定位在注册表中的下列键上:HKEY_LOCAL_MACHINE\CurrentControlSet\Control\LSA
3.在编辑菜单栏中选取加键值:
Value Name:RestrictAnonymous
Data Type:REG_DWORD
Value:1
4.
退出注册表编辑器并重启计算机,使改动生效。
这样,我们在WindowsNT环境下就简单地实现了对匿名用户的限制。
|
首页 
小榕软件实验室 
刀光雪影 
Windows文件共享安全性 
将此页发给您的朋友
编辑
删除
发表于
2002-08-21.23:57:15 
IP: 
