一些Windows服务器系统登录安全与NTFS技巧

Keberos是为TCP/IP网络系统设计的可信的第三方认证协议。网络上的Keberos服务基于DES对称加密算法，但也可以用其他算法替代。因此，Keberos是一个在许多系统中获得广泛应用的认证协议，Windows2000就支持该协议。

域环境中的首选。

其他账号安全设置要点：

Administrator账号更名： 由于windows的Administrator账号是不能被停用的，也不能设置安全策略，这样攻击者就可以一遍又一遍地尝试这个账户的密码，直到破解，所以要在“计算机管理”中吧Administrator账户更名来防止这一点。鼠标右键单击Administrator，在右键菜单中选择“重命名”，重新输入一个名称。最好不要使用Admin、Root之类的名字，改了等于没改。尽量把它伪装成普通用户，比如改成：Guestone，别人怎么也想不到这个账号是超级用户。然后另建一个“Administrator”的陷阱帐号，不赋予任何权限，加上一个超过10为的超级复杂密码，并对该账户启用审核。这样那些攻击者忙了半天也可能进不来，或是即便进来了也什么都得不到，还留下了我们跟踪的线索。

不要显示上次登录的用户名： 攻击者一般还会从本地或者Terminal Service的登陆界面看到用户名，然后去猜密码。所以要禁止显示登录的用户名。设置方法是：选择[控制面板]--[管理工具]--[本地安全策略]--[本地策略]--[安全选项]，在右侧双击"登录屏幕上不要显示上次登录的用户名"一项，选择“已启用”，另外我们也可以修改注册表来实现。找到注册表HKEYLOCALMACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon项中的Don’t Display Last User Name串，将其数据修改为1。

强制windows口令的复杂性： 通过组策略来实现强制口令复杂性的设置：打开组策略 [计算机配置]--[Windows设置]--[安全设置]--[账户策略]--[密码选项]，在这里面进行策略的设置。

检查组和帐号： 计算机的常规检查主要通过[我的电脑]--[管理]--[计算机管理]--[本地用户与组]来实施检查；主要检查管理员组中是否存在多余账号，是否存在多个用户账号。或者通过CMD下的命令来查看(net user系列命令。)

检查用户： 操作系统中默认存在“Administrator”以及按照个人喜爱而添加的用户名称，其他还有一些用户例如启动IIS进程账户、Internet来宾账户等等，这些账号往往跟系统中提供的服务或者安装的软件有关。如果在检查过程中，发现了多余的账号，则极有可能是入侵者添加的账号。 任何一个用户账号都必须有一个组，在安全检查中，需要特别注意Administrator组，这个组是具有管理员权限的组，在“计算机管理”中，双击“组”中的“Administrators”即可查看是否存在多余的管理员账户。 [在cmd下也可以通过“net localgroup administrators”查看管理员组 如果入侵者在添加账号时在账号末尾加上了“$”符号，则使用“net user”命令查看用户时，以“$”结束的用户名不会显示，只能从计算机用户管理的图形界面来查看。]

系统权限设置NTFS:

windows2000以后的操作系统引入了一种权限机制，以实现对计算机的分级管理，他使不同的用户有不同的权限，从而适应了更加严峻的安全状况和应用需求：New Technology File System 在NTFS分区上，可以为共享资源、文件夹以及文件设置访问权限。许可的设置包括两方面的内容：一是允许哪些组或用户对文件夹、文件和共享资源进行访问；二是获得访问许可的组或用户可以进行什么级别的访问。访问许可权限的设置不但适用于本地计算机的用户，同样也适用于通过网络的共享文件夹对文件进行访问的网络用户。与FAT32文件系统下对文件夹或文件进行访问相比，安全性要高得多。

另外，在采用NTFS格式的win2000中，应用审核策略可以对文件夹、文件以及活动目录对象进行审核，审核结果记录在安全日志中，通过安全日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操作，从而发现系统可能面临的非法访问，通过采取相应的措施，将这种安全隐患减到最低。这些在FAT32文件系统下，是不能实现的。

利用供选数据流(Alternate Data Streams ADS)隐藏后门

什么是供选数据流(Alternate Data Streams ADS)？ NTFS使用Master File Table（MFT）来管理文件。在NTFS中，每个文件都对应一个MFT记录，这些记录由若干个属性（attribute）组成，如： 文件名属性($FILENAME)、数据属性($DATA)、索引根属性($INDEXROOT)等。 这次的重点在于数据属性$DATA。每个文件都有$DATA数据属性以存储文件数据内容，其大小可以为0，但该属性必须存在。一般地，$DATA数据属性在文件创建的同时就创建了，这个数据属性被称为* 主数据流（Primary Data Streams）。* 当文件内容少于大约700字节时，文件内容会直接存储在主数据流中。而数据大小超过700字节左右时，就需要额外的数据属性 供选数据流(Alternate Data Streams)，以为其分配簇空间。

供选数据流的作用 供选数据流在很多地方都有用处，例如windows下，给一个文件建立摘要信息时，这些信息的数据就保留在该文件的ADS中。除了摘要，像索引以外的附加属性都可以保存在ADS中。附加属性还可以用于隐藏数据，通常的dir命令及windows资源管理器都无法查看其数据。这为后门木马的免杀提供了条件~

供选数据流的攻击实例 可见FreeBuf 作者nickchang的文章：《一个用ADS（供选数据流）隐藏Windows后门的方法》 http://www.freebuf.com/articles/73270.html 及作者3gstudent的技术文章：《Hidden Alternative Data Streams的进阶利用技巧》 http://www.4hou.com/technology/4783.html 本ADS相关内容参考了博主 睿-行 的博文：《NTFS_c. MFT 属性类型》 http://blog.163.com/ourhappines@126/blog/static/12136315420131190171664/ 感兴趣的朋友可进入链接浏览。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!