(2)确保%system%reparirsam.—在每次ERD更新后,对所有人不可读。因为,Windows NT把用户信息和加密口令保存于NT Registry中的SAM文件中,即安全账户管理(Security Accounts Management)数据库。
(3)限制远程管理员访问NT平台。因为任何一个用户都可以在命令行下,键入IPaddressC$(或者IPaddressD$,IPaddressWINNT$)试图连接任意一个NT平台上管理系统的共享资源。
(4)在域控制器上,修改Registry中Winlogon的设置为“OFF”。以免Windows NT在注册对话框中显示最近一次注册的用户名,给潜在的黑客提供信息。
(5)严格限制NT域中Windows NT工作站上的管理员特权,决不用缺省值。因为任何人可能通过访问内存来获取加密的口令,以获得缺省管理员的访问权。
(6)对于注册表Registry,严格限制为只可进行本地注册,不可远程访问。因为,Registry的缺省权限设置是对“所有人”“安全控制”(Full Control)和“创建”(Create)。这种设置可能引起Registry文件的删除或者替换。
(7)对关键目录,应改变其缺省权限为“读”。缺省权限设置允许“所有人”对关键目录具有“变更”级的访问权。其中,“关键目录”包括:每个NTFS卷的根目录,System32目录,以及Win32App目录。
(8)在赋予打印操作员权限时,要限制人数。因为打印操作员组中的任何一个成员对打印驱动程序具有系统级的访问权,这会被黑客利用来在打印驱动程序中插入恶意病毒。
(9)合理配置FTP,确保服务器必须验证所有FTP申请。因为FTP有一个设置选项,允许客户直接进入一个账户,使无需授权而访问用户的文件和文件夹成为可能。
2.加强计算机系统的保安工作:
(1)关闭系统管理员的远程能力,只允许他直接访问控制台。
(2)未经许可,不得重新安装WindowsNT软件。因为重新安装整个的操作系统,覆盖原来的系统,就可以获得Administrator特权。
3.对金融等安全性特别重要的系统应建立信息系统防火墙:
在防火墙上,应截止从端口135到142的所有TCP和UDP连接,这样有利于控制。最安全的方法是利用代理(Proxy)来限制或者完全拒绝网络上基于SMB的连接。SMB是指服务消息块(ServerMessageBlock)。SMB有很多尚未公开的“后门”,能不用授权就可以存取SAM和NT服务器上的其他文件。SMB协议允许远程访问共享目录,Registry数据库,以及其他一些系统服务。
(责任编辑:董建伟)