第六部分-网络通信安全概述-攻击与防御.ppt

网络通信安全概述：攻击与防御 加强Windows口令安全性－3 启用Windows账户锁定策略： 当某个账号登录失败次数达到管理员设定的上限时，该账号将被禁用 设置锁定上限为3到5次 账号锁定计数器在30分钟后才被复位 设置锁定期限为“永远（直到管理员解锁）”（其值为0） 在NTRK中包含一个passprop工具（Windows 2000是admnlock），可用来调整某些常规管理工具所不能访问的账号属性，例如锁定管理员账号 加强Windows口令安全性－4 启用SYSKEY口令加密机制： 为了增进口令的机密性，Windows NT在SP3之后提供了一个syskey的小工具，syskey缺省提供的是40位加密机制，但通过命令行中运行syskey.exe，可以实现128位的口令加密机制。当syskey被激活，口令信息在存入注册表前进行了再次加密处理，加密密钥在激活syskey时由用户选择保存位置 在Windows 2000中，syskey加密机制已经是缺省配置了 加强Windows口令安全性－5 禁止在网络登录时使用脆弱的LM散列： Windows NT/2000支持6个登录验证级别： Level0：发送LM和NTLM应答，不使用NTLMv2，默认设置 Level1：客户端使用LM和NTML应答，经过协商，使用NTLMv2 Level2：客户端只使用NTLM应答，也可以使用NTLMv2 Level3：只发送NTLMv2应答 Level4：客户端只使用NTLMv2应答，域控制器拒绝LM应答 Level5：客户端只使用NTLMv2应答，域控制器拒绝LM和NTML应答 若网络中只存在NT SP4以上版本的系统，可以将安全级别设置为2以上 对于Windows 2000系统，可以设置： 本地安全策略/本地策略/安全选项/LanManager身份验证级别 对于Windows NT系统，可以设置注册表： HKLM\System\CurrentControlSet\LSA\LMCompatibilityLevel 如果要让旧的Windows 9x系统也支持上述选项，需要安装执行Windows 2000光盘上的Clients\Win9x\Dsclient.exe文件，并设置注册表： HKLM\System\CurrentControlSet\Control\LSA\LMCompatibility 加强Windows口令安全性－6 禁止Windows 9x口令文件高速缓存： HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network 将DisablePwdCaching（DWORD类型）设为1，删除所有扩展名为PWL的文件 禁止在注册表中保存LM散列： HKLM\SYSTEM\CurrentControlSet\Control\Lsa\NoLmHash 可能导致某些应用系统故障，只应该用在测试系统 尽管用户修改密码时SAM中的LM散列不会被更新，但旧的LM散列仍然会保存在SAM中，在网络挑战/应答认证交换时，旧的LM散列可能仍会和NTLM散列一起发送，二者不一致，可能导致认证失败 将真正的administrator改名，创建一个假的administrator账户，不要将其加入任何组 启用审计策略，对登录事件加强审核 警惕HTML邮件或Web页面，避免file://URL方式的欺骗 在加强常规SMB安全的同时，应该注意IIS、SQL、Telnet等服务，这些服务也是SMB会话的通道 怎样设置健壮的口令 口令设置的禁忌： 不要选择可以在字典中找到的单词作为口令 不要选择简单字母或数字组合而成的口令 不要选择任何指明个人信息的口令，例如人名、生日、电话号码等 不要选择流行的单词作为口令，例如admin、test等 不要在多个设备多个系统中使用相同的口令 不要将口令与他人共享 健壮口令应该遵循的规则： 至少各有一个字符来自这些字符集：[a-z][A-Z][标点符号][0-9] 经常用口令破解工具审查自己用户口令设置的强度 创建有效口令的简单方法： 找到一个生僻但易记的短语或句子（可以摘自歌曲、书或电影），然后创建它的缩写形式，其中包括大写字母和标点符号 例如： 选择“I like this PiaoLiangMeiMei!”这句话 取其缩写“iLtPPMM!” 可以再添加两个数字，变成“iLtP2M2!” 会话劫持攻击 所谓会话劫持，就是以第三方身份控制某个已经建立在两台主机间的活动TCP连接，通常用在可进行嗅探的共享局域网内 因为某些网络服务采用的是一次性口令等强