Đang tải... (xem toàn văn)
Windown 2003 network security Trong chủ đề này, bạn sẽ xem xét các tác động của biến bật / tắt các giao thức NetBIOS trên một máy Windown 2003.NetBIOS là viết tắt của Network Basic Input Output System, và là một A
Topic 3G Windown 2003 network security Trong chủ đề này, bạn xem xét tác động biến bật / tắt giao thức NetBIOS máy Windown 2003.NetBIOS viết tắt Network Basic Input Output System, API cho phép để giải thiết bị mạng, giao thức tiềm ẩn IP IPX.NetBIOS dựa vào SMB SMB, viết tắt Server Message Block, giao thức chia sẻ tập tin, máy in, cổng nối tiếp, truyền thông trừu tượng TASK 3G-1 Investigating Printer Spooler Security Trong phân vùng khởi động, tạo folder có tên Share Nhấp chuột phải vào folder đó, chọn Sharing And Security Click Share This Folder, để lại tên chia mặc định Share, click OK Từ Start Menu, chọn Printers And Faxes Nhấp đôi chuột vào Add Printer, click Next Xác định chọn Local Printer Bỏ chọn Automatically Detect And Install My Plug And Play Printer Click Next Xác định chọn Use The Following Port, để cổng mặc định LPT1, click Next Chọn any printer từ danh sách, click Next Rút ngắn tên printer với kí tự đầu tên, click Next 10 Cho phép printer phép chia sẽ, click Next twice 11 Khi bạn nhắc nhở để in trang kiểm tra, click No, click Next click Finish 12 Chọn printer, chọn FileServer Properties 13 Chọn Advanced tab, lưu ý vị trí mặc định thư mục spool Nó \WINDOWS\ System32\Spool\PRINTERS 14 Click OK 15 Nhấp chuột phải vào printer chọn Properties 16 Chọn Advanced tab, xác minh máy in ln ln có sẵn tài liệu spooled để tăng tốc độ in ấn 17 Chọn Keep Printed Documents, click OK 18 Nhấp đôi chuột vào My Network Places 19 Nhấp đôi chuột vào Computers Near Me 20 Nhấp đôi chuột vào printer server of yout partner’s computer 21 Nhấp đối chuột vào tên printer, chọn Connect 22 Khởi động Notepad 23 Nhập vào dòng text this is a classified document 24 Lưu tập tin ngồi hình desktop với tên TOP_SECRET.txt 25 Chọn FilePrint, chọn printer để bạn kết nối, click Print Tập tin bạn gởi đến máy chủ print 26 Thực hình 27 Khi thơng báo lỗi hiển thị, click Cancel 28 Đường dẫn đến \WINNT\System32\Spool\PRINTERS folder 29 Thực nội dung thư mục Printers 30 Nhấp đôi chuột vào tập tin SPL 31 Khi mở với hộp thoại hiển thị, bỏ chọn Always Use This Program To Open These Files, chọn Notepad từ bảng danh sách 32 Cuộc xuống vùng tập tin Vào cuối tập tin, sau tất ngôn ngữ máy in đưa chăm sóc bạn thấy tên tập tin nội dung 33 Nhấp đôi chuột vào tập tin SHD 34 Bỏ chọn Always Use This Program To Open These Files, chọn Notepad từ danh sách Bạn thấy người gởi tập tin từ máy tính 35 Đóng trường hợp Notepad NAT and ICS Tính đến thời điểm này, tất hệ thống an ninh phương pháp bạn sử dụng hướng tới bảo mật hệ điều hành liệu ổ cứng vật lý Tất hệ thống bảo mật mà bạn tạo sử dụng kẻ cơng cần ngửi tất gói tin mạng biên dịch lại cho họ giải trí Network Address Translation (NAT) tiêu chuẩn Internet xác định RFC 1631.NAT sử dụng mặt nạ IP riêng với địa IP kết nối Internet bên ngồi.Mặc dù NAT khơng thiết kế chế an ninh, nhiều mạng cần NAT sách an ninh họ để thêm lớp bổ sung Internet mạng nội Khách hàng mạng nội không bắt buộc phải có địa IP cơng cộng, bảo tồn cơng địa IP Các khách hàng nội cấu hình với địa IP từ khối mạng riêng Hãy nhớ rằng, địa IP riêng người mà không định tuyến Internet Chúng định nghĩa RFC 1918, dãy địa được: Nó định nghĩa RFC 1918, dãy địa là: 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 -192.168.255.255 Nó đáng ý Microsoft sử dụng khoảng khác cho phạm vi riêng tư 169.254.0.0169.254.255.255 Cái giải không định nghĩa RFC cho phép địa tư nhân khác sử dụng mạng NAT phần tích hợp định tuyến Dịch vụ truy cập từ xa(RRAS), mà giải ngay, phần việc chia sẻ kết nối Internet (ICS) Các phiên NAT sử dụng ICS thu nhỏ lại so với phiên đầy đủ khơng cho phép mức độ cấu hình RRAS NAT cho phép ICS thiết kế cho văn phòng nhỏ cho mạng gia đình, nơi có kết nối internet mà để chia sẻ toàn mạng Tất người dùng kết nối thông qua giao diện nhất, thường kết nối qua modem, DSL, điểm truy cập cáp Remote Access Các Windown 2003 Routing Remote Access Serveci (RRAS) bao gồm: Network Address Translation (NAT) Giao thức định tuyến (RIP OSPF) Remote Authentication Dial-In Service (RADIUS) Remote Access Server RRAS cho phép cho kết nốiPPP thiết lập để yêu cầu chứng nhận authentication.RRAS thiết lập để sử dụng Remote Authentication Dial-In Service (RADIUS) WindowsAuthentication.If RRAS sử dụng RADIUS, yêu cầu người dùng cho việc chứng thực thực cho máy chủRRAS, dial-in thông tin truyền tới máy chủ RADIUS.Các máy chủ RADIUS sau thực việc chứng thực ủy quyền để truy cập cho khách hàng để truy cập vào mạng Internet Explorer Enhanced Security Configuration Một điều bạn nhận thấy sử dụng WindowsServer 2003 chức Internet Explorer (IE) khác với phiên trước Windows.IE cấu hình vùng theo mặc định, để bạn sử dụng trình duyệt, bạn thấy bạn cần phải thay đổi cấu hình mặc định Hardening TCP/IP Các giao thức TCP / IP Windows thành phần công hầu hết máy tính cá nhân Các cơng thơng thường bao gồm acttacks Demial dịch vụ (DoS) công từ chối dịch vụ phân tán (DDos) công, giả mạo, smurf, Land attacks Có số cấu hình thực cho Registry để đảm bảo vững choTCP / IP Windows2003 Cấu hình Đây khuyến cáo Microsoft, thiết kế đặc biệt giúp bảo vệ chống lại công từ chối dịch.Các thiết lập sau cấu hình Registry Hãy nhớ phải cẩn thận Registry, lỗi cấu hình ngun nhân.Windows để khơng có chức cịn yêu cầu phải cài đặt lại.Tấ cấu hình sau đây, tất giá, tìm thấy Registry:_MACHINE HKEY_LOCAL \ SYSTEM \ CurrentControlSet \Services Syn Attack Defense Nếu hiểu nguy hiểm nguy tiềm ẩn hệ thống bị cơng DoS (Denial of service) có chuẩn bị tốt cho hệ thống, giảm tối thiểu ảnh hưởng cơng u cầu nhà quản trị mạng đặt Trong viết giới thiệu cách hạn chế công DoS hệ thống Windows Server 2003 Trước tiên bạn phải cập nhật vá lỗi từ Microsoft chắn khơng cịn vá lỗi chưa cài đặt Các thông tin update có website Và việc harden (làm rắn – đảm bảo vững chắc) cho giao thức TCP/IP máy chủ Windows Server 2003 việc cần làm với nhà quản trị mạng Với mặc định cấu hình TCP/IP thiết lập chuẩn cho việc trao đổi thơng tin cách thuận tiện Nếu máy tính bạn kết nối chực tiếp với Internet theo khuyến cáo Microsoft bạn nên đảm bảo giao thức TCP/IP cấu hình để hạn chế cơng DoS Cấu hình tham số TCP/IP Registry nhằm đảm bảo Harden cho TCP/IP Một số lỗi sảy bạn chỉnh sửa thông số registry việc sử dụng Registry Editor phương pháp khác Một số lỗi xảy buộc bạn phải cài lại hệ điều hành Microsoft cam đoan tất lỗi khắc phục Việc chỉnh sửa registry nguy lớn Dưới thơng số TCP/IP registry bạn cấu hình để nâng cao tính vững cho giao thức TCP/IP máy tính bạn kết nối trực tiếp tới Internet Tất thông số registry lưu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services Value name: SynAttackProtect Key: Tcpip\Parameters Value Type: REG_DWORD Valid Range: 0,1 Default: Các thông số TCP truyền lại gói tin dạng SYN-ACKS Khi bạn cấu hình thơng số này, kết nối nhanh bị time out vụ công SYN (là dạng công DoS) Dưới vài thơng số bạn sử dụng để thiết lập Registry (tham số mặc định): Không bảo vệ trước công SYN 1: Thiết lập SynAttackProtect tốt bảo vệ hệ thống trước cơng SYN Tham số có nghĩa, hệ thống truyền lại thơng tin SYN-ACKS Nếu bạn thiết lập tham số 1, kết nối có kết time out nhanh hệ thống phát thấy công SYN Windows sử dụng tham số sau để hạn chế vụ công TcpMaxPortsExhausted TCPMaxHalfOpen TCPMaxHalfOpenRetried Lưu ý phiên Windows Server 2003 Service Pack tham số SynAttackProtect với mặc định Dead Gateway Nhiều cổng cấu hình thiết lập TCP / IP.Youcó thể, nhiên vơ hiệu hóa chức này, từ chối dịch vụ(hoặc khác) cơng gây máy tính bạn để chuyển đổi cổng.Các chi tiết cụ thể cho việc định nghĩa sau: Value Name:DeadGWDetectDefault Key:Tcpip\Parameters Value Range:REG_DWORD Valid Range:0(False),1 (True) Default Value:1 (True) Khi bạn thiết lập EnableDeadGWDetect 1, TCP cho phép thực việc phát deadgateway Khi dead-gateway phát enable, TCP truy vấn đến giao thức IP để thay đổi gateway Việc sử dụng backup gateway định nghĩa tab Advanced TCP/IP configuration Microsoft khuyến cáo bạn thiết lập tham số EnableDeadGWDetect Nếu bạn khơng thiết lập 0, cơng sảy hướng máy chủ qua gatewary khác, gói tin từ bị tóm hay làm liệu chạy qua gateway kẻ công MTU Restrictions Những kẻ cơng sử dụng tối đa để truyền đơn vị lực lượng mạng lưới để sử dụng phân đoạn nhỏ Bằng cách sử dụng Path MTU Discovery, TCP cố gắng để xác định kích thước gói lớn mà đường dẫn tới máy chủ từ xa đáp ứng Ngược lại, sử dụng khơng cách, mạngcó thể bị ngập với phân đoạn nhỏ.Các chi tiết cụ thể để điều chỉnh giá trị xác định sau: Value Name:EnablePMTUDiscovery Key:Tcpip\Parameters Valid Range:0(False),1 (True) Default Value:1 (True) Khi bạn thiết lập EnablePMTUDiscovery 1, TCP cố gắng khám phá Maximum Transmission Unit (MTU) hay gói tin lớn từ người dùng từ xa Gói tin TCP bị vỡ chúng qua cac Routers để kết nối vào hệ thống mạng với MTUs khác việc khám phá đường MTU giới hạn kích cỡ gói TCP Microsoft khuyến cáo bạn thiết lập EnablePMTUDiscovery Khi bạn thực việc này, MTU với kích thước 576 sử dụng tất kết nối Nếu bạn không thiết lập thông số công dựa thông số MTU từ kết nối ảnh hưởng đến hệ thống bạn Keep Alive TCP mặc định hành vi Windows không xác minh kết nốinhàn rỗi Đó khuyến cáo kết nối xác nhận(bằng cách sử dụng phần mềm bên thứ ba, cần thiết) chosẵn có cách gửi gói tin giữ-sống chờ đợi phản hồi.Nếu khơng có phản ứng, sau kết nối nhàn rỗi bị đóng cửa Các chi tiết cụ thể để điều chỉnh giá trị xác định sau: Value Name:KeepAliveTime Key:Tcpip\Parameters Value Range:REG_DWORD (Giá trị tính mili giây) Valid Range:1-0xFFFFFFFF Default Value:7,200,000 (2 giờ) Tham số điều khiển: việc TCP cố gắng kiểm tra kết nối, gói tin chưa bị chết Nếu máy tính từ xa kết nối, lưu lại gói tin bị thất lạc Keep-alive khơng gửi (với thiết lập mặc định) Bạn sử dụng chương trình để cấu hình thơng số cho kết nối Khuyên cáo từ nhà sản xuất thiết lập 300,000 (5 phút) TASK 3G-2 Configuring TCP/IP in the Registry Mở Registry Editor Vào HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services Mở key Tcpip\Parameters Ở bảng bên phải, nhấp chuột phải thêm giá trị REG_DWORD sau đây: a SynAttackProtect b EnablePMTUDiscovery c KeepAliveTime Nhấp đôi chuột vào SynAttackProtect, nhập giá trị Nhấp đôi chuột vào EnablePMTUDiscovery, nhập giá trị Nhấp đôi chuột vào KeepAliveTime, nhập giá trị thập phân 300,000 Trong kí hiệu thập phân 493E0 Đóng Registry Editor TCP/IP Filtering Một tính xây dựng Windows 2003 bạn thêm vào phương pháp bạn lớp bảo vệ TCP / IP lọc kiểm soát truy cập mạng nước cho host Lọc TCP / IP độc lập trình khác, chẳng hạn IPSec, dịch vụ khác, chẳng hạn máy chủ máy trạm dịch vụ Để truy cập, bạn cần phải thực định tuyến truy cập từ xa lọc Khi bạn cấu hình lọc, bạn có tùy chọn để kiểm soát truy cập vào cổng TCP, đến cổng UDP, giao thức IP cụ thể Mỗi điểm truy cập điều khiển giá trị số Nói cách khác, bạn kiểm soát truy cập cảng số cổng, chẳng hạn 80 cho cá nhân truy cập Để kiểm sốt tồn giao thức, sử dụng số giao thức IP Các bảng danh sách sau đây, để tham khảo nhanh chóng, số thơng số giao thức IP để sử dụng lọc Protocol Number Protocol Acronym Full Name of Protocol IP Internet Protocol TCP Transmission Control Protocol 17 UDP User Datagram Protocol Khi bạn kích hoạt giao thức TCP / IP lọc giao diện, kích hoạt giao diện tất Tuy nhiên, bạn phải cấu hình lọc cụ thể sở giao diện Khi bạn cấu hình lọc, tùy chọn phép tất cổng ,các cổng cho phép Hãy nhớ cấu hình cảng nước-khơng gửi Hệ thống khơng lọc yêu cầu bắt đầu để lưu trữ, bạn khơng cần phải mở cổng cao phản hồi mạng Cuối cùng, bạn muốn lọc giao thức, ý thức bạn chặn ICMP tin nhắn trường hợp, bạn loại trừ giao thức IP từ danh sách giao thức cho phép Một cách đơn giản để ngăn chặn lưu thơng TCP, ví dụ, việc chọn tùy chọn để lọc cổng TCP, không thêmbất kỳ cổng vào danh sách cho phép TASK 3G-3 Configuring Port and Protocol Filtering Điều hướng đến thuộc tính giao diện mạng bạn Di chuyển chọn Internet Protocol (TCP/IP), click Properties Click nút Advanced Hiển thị Options tab Chọn TCP/IP Filtering click Properties Check Enable TCP/IP Filtering Chỉ cho phép cổng TCP sau: 20,21,23,25,80,110 443 Chỉ cho phép giao thức sau: 17 9 Click OK để thực sàng lọc bạn 10 Click OK để đóng Advanced TCP/IP Properties 11 Click OK, click Close để đóng TCP/IP Interface Properties 12 Khi bạn nhắc khởi động lại máy chủ, click No Thực đầy đủ thay đổi bạn, bạn phải khởi động lại máy chủ, nhiên, mục đích lớp này, cần phải có tất cổng giao thức có sẵn 13 Quay trở lại trở lại thiết lập lọc để giúp cho phần cịn lại nhiệm vụ chức khơng có giới hạn 14 Thời gian này, khởi động lại máy tính bạn bạn nhắc đến Sau đó, đăng nhập vào tài khoản Administrator xác định thiết lập TCP/IP chưa 15 Đóng tất cửa sổ mở Windows Firewall Trong bạn cần phải có tường lửa chạy mạng bạn, bạn muốn xem xét việc sử dụng phần mềm tường lửa địa phương máy chủ bạncó nhiều nhà cung cấp sản phẩm có sẵn để sử dụng, phần này, bạn nhìn vào Windows Firewall giải pháp mà phần Server 2003 Đơn giản cần gọi Windows Firewall, điều thay sản phẩm bảo mật lớn hơn, hiệu quả,Internet Connection Firewall Các tường lửa tìm thấy Windows Server 2003 Để chạy Windows Firewall máy chủ bạn, bạn cần phảikích hoạt Windows Firewall/Dịch vụ ICS Một bạn kích hoạt dịch vụ, nhiên, tường lửa không tự động chạy, bạn phải quay tường lửa TASK 3G-4 Enabling Windows Firewall Từ Start Menu, chọn Control PanelWindows Firewall Bạn phải kích hoạt Windows Firewall/ICS service, click Yes Chọn nút radio On Bạn kích hoạt Windows Firewall Click OK TASK 3G-5 Configuring Windows Firewall Từ Start Menu, chọn Control PanelWindows Firewall Mở Windows Firewall, mở command prompt Trong command prompt, ping máy tính mạng Lưu ý, dù không ping thành công Rời khỏi command prompt Chuyển tiếp tới Advanced tab, click nút Setting tới ICMP Chuyển tiếp tới Windows Firewall ICMP Settings 6 Check vào check box kế tiếp: Cho phép đến yêu cầu echo click OK Chuyển tiếp tới command prompt, xác minh máy mạng hoàn thành bước Trong command prompt, Ping máy tính mạng bạn Đóng tất cửa sổ mở TASK 3G-6 Configure Server 2003 Từ Start Menu, chọn Administrative ToolsLocal Security Policy Mở Account Policies, Password Policy Thiết lập tùy chọn sau đây: ● Enfore password history: ● Maximum Password age: ● Minimum password age: ● Minimum password length: ● Password must meet complexity requirements: Disable Đóng local Security policy Từ Start Menu, chọn Control PanelWindows Firewall Chọn nút tắt radio, click OK Mở Computer Management, chọn Local Users And Groups option Nhấp chuột phải vào tài khoản Administrator, chọn Delete Chọn Yes để cảnh báo kịp thời Nhấp chuột phải vào tài khoản scnpXXX, chọn Rename 10 Nhập Administrator với tên tài khoản 11 Đóng cửa sổ Computer Management 12 Đăng xuất khỏi Windows 13 Đăng nhập trở lại Administrator Nhớ mật bạn aA1234! 14 Nhấn Cntrl+Alt+Del thay đổi mật 15 Thay đổi tài khoản Administrator sang Administrator2 đổi tên tài khoản SCNP001 sang Administrator Với mật cũ, gõ aA1234! để trống New Password Confirm Password, click OK 16 Click OK để thay đổi mật thành công, click Cancel 17 Đăng xuất đăng nhập Administrator với khơng có mật để đảm bảo thay đổi diễn ... thường kết nối qua modem, DSL, điểm truy cập cáp Remote Access Các Windown 2003 Routing Remote Access Serveci (RRAS) bao gồm: Network Address Translation (NAT) Giao thức định tuyến (RIP OSPF)... cho khách hàng để truy cập vào mạng Internet Explorer Enhanced Security Configuration Một điều bạn nhận thấy sử dụng WindowsServer 2003 chức Internet Explorer (IE) khác với phiên trước Windows.IE... pháp mà phần Server 2003 Đơn giản cần gọi Windows Firewall, điều thay sản phẩm bảo mật lớn hơn, hiệu quả,Internet Connection Firewall Các tường lửa tìm thấy Windows Server 2003 Để chạy Windows