网络安全

Windows操作系统在服务器上安装非常广泛,企业或个人经常安装的操作系统有VhndowsServer2000、2003和2008等,这些操作系统的本身漏洞我们无法控制,但我们可以通过系统安全加固手段有效降低自己服务器被黑客入侵的几率。日前常见的加固手段主要包括账户设置、组策略设置、注册表设置、IPSec、服务设置等,本文主要讲如何通过编程方式操控组策略从而实现Windows操作系统的安全加固,下表为在组策略巾需要进行的相关配置。密码复杂性要求:启用最短密码长度:8位帐户策略密码最长使用期限:0天密码最短使用期限:0天强制密码历史:0个记住的密码复位帐户锁定计数器:5分钟帐户锁定时间:30分钟帐户锁定策略“复位帐户锁定阐值”5次成功,失败:审核帐户登录事件、审核帐户管理、审核日录服务访问、审核登录事件、审核特权使用审核策略失败:审核对象访问成功:审核策略更改、审核系统事件无审核:审核过程追踪通过终端服务拒绝登录:无用户权限指派通过终端服务允许登录:Administrators组和remotedesktopusers组交互式登录:不显示上次的用户名启用网络访问:不允许SAM帐户和共享的匿名枚举启用网络访问:不允许为网络身份验证储存凭证启用安全选项网络访问:可匿名访问的共享全部删除网络访问:可匿名访问的命名管道全部删除网络访问:可远程访问的注册表路径全部删除帐户:重命名系统管理员帐户重命名一个帐户组策略与注册表的关系非常紧密,许多组策略中的设置可以通过修改注册表,然后用RefreshPolicy函数强制刷新组策略来实现(其实有些组策略修改的实质也正是修改注册表相关配置),例如上表巾的“不显示上次的用户名”和“不允许SAM帐户和共享的匿名枚举”等。但是有些组策略的设置无法通过注册表进行修改,例如上表巾的账户策略、账户锁定策略、审核策略和用户权限指派等。所以本文通过Kindows白带的secedit这个命令对组策略进行设置,主要用到的命令是secedit/configure/dbFileName/cfgFileName/quiet.其巾/db后的文件名可任意取,一股以.sdb为后缀名,/cfg后的文件为我们需要配置的文件。该命令的其他语法和具体使用方法网上可以查到,这里不再赘述。如何将表巾的组策略设置对应到配置文件巾,账户策略、账户锁定策略在配置文件巾的配置命令格式如何,这些我们可以参考Windows自带的配置文件模板,模板位于C:WINDOWS\Security\templates下。通常为inf格式文件。在配置文件中,分号代表注释符,其后可跟注释语句.....:头部一些声明[SystemAccess]blinimumPassvrordAge=0:密码最短使用期限MaximumPassvrordAge=-1:密码最长使用期限,此处一1代表0.若写0则会出错blinimumPassrrordLength=8:最短密码长度PassvrordCoruplexity=1:密码复杂性要求PassvrordHistorySize:0:强制密码历史NerrAdministratorName=’testAdministrator’:重命名系统管理员账户,名字可自己设定LockoutBadCount=5:账户锁定阀值ResetLockoutCount=5:复位账户锁定计数器LockoutDuration=30:账户锁定时间[EventAudit]:事件审计,0代表不审汁,1代表成功审计,2代表失败审计,3代表成功失败均审计AuditSystemEvents=1:系统事件成功AuditObjectAccess:2:对象访问失败AuditPrivilegeUse=3:特权使用成功失败AuditPolicyChange=1:策略改变成功AuditAccountllanage=3:账户管理成功失败AuditProcessTracking=0:过程追踪无审核AuditDSAccess=3:目录服务访问成功失败AuditAccountLogon=3;账户登录成功失败AuditLogonEvents=3:登录事件成功失败[RegistryValues]:这里的设置格式为path=Type,Value.其中常用的Type有:1代表REG-SZ.2代表REGEXPAND_SZ,3代表REG_BINARY,4代表REG_DWORD.7代表REGHULTI_SZMACHINE\Softvrare\XicrosoftVVindoWs\CurrentVersion\Policies\System\DontDisplayLastUserName=4,1:显示上次的用户名lIACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds=4,1:小允许为刚络身份验证储存凭证MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4,1:小允许SAM帐户和共享的匿名枚举HACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllorredExactPaths\Uachine=7,,可远挫访问的注册表路径MACHINE\System\CurrentControlSet\Services\LanllanServer\Parameters\NullSessionPipes=7,.可匿名访问的命名管道MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares=7,.可匿名访问共享.PrivilegeRights]SeRemoteInteractiveLogonRight=:*S-1-o-32-550,:*S-1-5-32-544:通过终端服务允许登录SeDenyRemoteInteractiveLogonRight=:通过终端服务拒绝登录如果需要对其他的组策略进行设置,但是又不知道对应的修改项和值,可以采用以下的方法:首先,打开注册表,选择相应的项右击,点击“导出策略”,保存为1.inf,如图1所示:然后手工修改需要设置的项和值,再次选择“导出策略”,保存为2.inf:最后使用文本比较软件(如ucl.exe).将两者进行比对,不同之处就是刚才设置的值,找到之后就可以在配置文件中进行相应的设置。图1下面我们编程实现组策略的设置,具体的思路是通过用户的选择设置组策略的配置文件,然后通过secedit命令将配置文件导入到组策略巾生效,最后清除产生的中间文件,核心代码如下:CFileinf;inf.Open(_T("c:\\czbankinf"),CFile::modeCreateCFile::modeWrite)://创建配置文件char*str=":Unicode]\r\nLnicode3res\r\n-----------”://具体配置信息此处略过inf.Write(str,strlen(str))://写入配置信息if(用户的选择)(char*str:-blinimumPasssrordAge:0\r\n……”:inf.wrrite(str,strlen(str))://根据用户选择写入配置信息)//重命名系统管理员用户名需要特殊处理LpdateData(TRUE)://用户填写的用户名输入if(adminName.Compare(_T(~))f_0){//用户名为空则小处理CStringstrName=_T(-NevrAdministratorName2\""):strName+:adminName+_T(’\’\r\n’)::intlen2strName.GetLength():char~str=newchar[len+l];//CString类型的字符串无法调用\rrite函数写入文本,需要转变成charnt~型;在Unicode编码下(VisualStduio环境),无法直接通过强制转换柬将CString变成char*,需要调用WideCharToblultiByte函数转换,该函数的具体格式可查阅USDNJideCharTo~lultiByte(CPACP,0,strName,strName.GetLength(),str,len,NULL,NULL):str[len]='\O’://最后一位加入字符串结柬符inf.TVrite(str,strlen(str)):delete:lstr;}//其他一些配置信息q入inf.Close()://关闭配置文件//创建进程调用secedit,将配置文件导入到组簧略中PROCESS_INFOIOIATIONpi;STARTUPINFOsi;si.cb=sizeof(STARllPINFO)~..//进程启动的一些参数配置,略过//执行的命令rCw\Rcorrmand:]2_TCsecedit/configure/dbc:\\czbank.sdb/cfgc:\\czbank.inf/quiet’):BOOLret=CreateProcess(NULL,cormand,NLLL,NLLL,FALSE,NOR11AL-PRIORITYCLASS,NULL,NULL,ksi,&pi)://创建进程执行命令if(ret){CloseHandle(pi.hThread)://关闭线程句柄/fraitForSingleObject(pi.hProcess,INFINITE)://等待进程结束GetExitCodeProcess(pi.hProcess,&cbrExitCode):CloseHandle(pi.hProcess)://关闭进程句柄,退出}CFile::Remove(_T("c:\\czbank.inf”))://删除临时产生的文件CFile::Remove(_T("c:\\czbanksdb")):以上代码在VisualStudi02008中测试通过,加同的操作系统是WindowsServer2003。在MSDN中说对组策略的操作可以通过IGroupPolicyObject接口实现,对应的说明可以在巾找到,但是关于这个接口的实际用例以及操作流程网上资料实在太少,我研究了,但未能搞清楚,如果有朋友研究过这个接口的相关编程。选自黑防

2011-3-23 6406 0
软件

今天随意打开一个服务器上的网站,发现nod32发警报了。网站是最新的dede程序,最近应该没有什么被公开的大漏洞,而且网站的补丁也都打过了。在安全方面应该没什么可以利用得手的。立即进入服务器,打开该网站的目录,打开index.html,发现没有异常。打开index.php,仍然没有异常。进入IIS,打开该网站的文档页脚页发现没有开启从目前来看,该网站自身是没有问题的。那么就是服务器本身的问题了,打开同服务器的其他网站发现也有被挂相同恶意代码的现象。便知道是怎么回事了,一定是传说中的ARP攻击而造成的,家贼难防啊。防止ARP欺骗的软件并不是很多,但一款软件是很不错的,大多数IDC商在上机器的时候都会随手安装一个,那就是antiarp防火墙。这款软件对同网段ARP攻击有着很好的防御措施。antiarp防火墙软件界面:软件界面并不复杂,而且也不需要做什么设置,安装后的默认设置就很好了。不必去刻意修改什么东西。在网上找了个可以永不过期的版本打开后马上发现arp攻击:再次打开网站,网站的恶意代码已经没有了。antiarp防火墙确实很不错,如果有条件的朋友去买个正版的。支持支持,呵呵,支持正版。antiarp防火墙下载地址:http://pan.baidu.com/s/1c0ybNWWnod32报毒请慎重下载,应该是误报,所以设置了密码。密码为:www.hack001.com如果有什么问题,请留言。

互联网新闻

搞互联网的都知道com是国际,net是网络,org是组织。cn是组织。。。你是否知道.xxx后缀的域名是什么吗?我想有的人猜对了.xxx的域名代表的是:成人娱乐行业周五ICANN表示,它将建立一个XXX域名,它希望将增加的可预测性和安全性措施,对互联网网站的世界。对于互联网域名和号码分配公司(ICANN)的过程中从签署了关于在旧金山会议上。色情是经常被用来引诱网民到危险的或欺诈性网站。通过调节。ICANN希望把事情做好。谁想要注册.XXX域名必须首先经过一个应用程序进程的基金会批准,由国际在线责任。此过程是为了保证。xxx域名不从事诈骗,儿童色情和其他做法。这一举措让消他们更危险的病毒,身份盗窃,信用卡欺诈和虐待儿童不慎接触到的图像保护。ICANN表示,周五在宣布该决定的声明。然而,批评人士说,建立色情网站都不会放弃自己的。com域名只是因为有一个.xxx选项。这意味着任何人谁认为他的色情过滤,筛选出从他的网络中的所有.xxx域名是一个讨厌的惊喜到期。此外,色情网站经营者将不会被强迫得到.XXX域名的名称,并办理审批过程。ICANN一直在玩弄理念的引入。十年xxx代表约。该董事会已批准了一级新的顶级域名在六月,但不知道现在的决定是不是最终的决定。上周五,在指定名称和号码,负责监督互联网的命名系统,互联网公司的董事局批准了一个色情网站的红灯区在线创作。它遵循了这样一个名字长达十年之久的战斗。在喧嚣的想法不可能带来共同的伙伴。宗教团体认为,成人网站给他们自己的互联网内容合法化的角落。色情担心它会ghettoize他们的网站。虽然它的意思是自愿的,他们担心政府可以努力的任务域的使用,使色情内容更容易被堵。黛安杜克大学,成人娱乐产业的自由言论联盟执行主任在一份声明中ICANN已表示,“不顾来自成人娱乐界的反对压倒性的流露-假定的赞助社区”,并驳回对自由言论的“互联网上的利益。“支持者们认为,在审批领域的开放已经推动了互联网的增长的原则是一致的。虽然想法“。XXX”的哲学辩论已经引发了对美国公司提交了该领域的应用,这个问题只不过是一个金钱更为重要。ICM的注册处及公司首席执行官斯图亚特劳力,谁领导了ICANN的批准战斗“。三十,”而获利丰厚从网站推出的“XXX。”-因为他将在收费收费作的使用新的领域。劳利证券登记收费的计划,每年为域名60元。他估计,他能卖出多达卷的时候,他在今年夏天他们50万。“这是永远将是一个非常有利可图的安排,”​​他在接受采访时说,星期五。劳利的价格一直是他的计划,对手的关键问题,因为通常域名卖了什么劳利收费的计划的一部分。他们经常卖10美元或更少。ICANN的一再拒绝劳利的申请自2000年以来,根据基督教团体和各国政府的网上色情传播不满的压力。劳利已投作为父母的一种方式更容易地阻止访问内容后缀。他认为这将是网页过滤软件,以阻止更容易“。XXX”的网站,因为他们明确地标记为色情。.xxx倡议者的ICM注册处将.xxx注册处处长。该公司表示,它已经收到的申请预注册超过20万的.xxx域名。不知道.xxx域名到中国那时候会不会又引来一片浪潮。中文的.xxx好域名会不会又是一批米农的一桶金。

互联网新闻

昨天在修改一客户网站的时候,突然发现网站上传不了,一想可能是服务器出问题了?但在进入服务器的一刹那我发现不是服务器的问题,因为服务器进入的飞快。经过排查果然不是自己服务器的问题。但在IIS上浏览网站却怎么也打不开,随手在IIS上打开另一网站发现也打不开。嘿、怪事情了。第三反应下随手ping了下域名。发现域名ping不动,立即打开爱名网。发现所有22域名全部打不开,无奈之下,只能等!因为以前也发生过爱名DNS出问题的事情,一般都是24小时内得到的解决。等到网上9点,我再次打开网站,ping了下域名,问题还没有解决,这次好像比以前的时间要长恨多,在百度搜索了下22DNS看到以上相关搜索,看来爱名网的dns还不是一般的出名,左看看爱名网,右看看爱名网,发现22首页的公告。2011-03-18爱名网DNS解析问题说明今天下午4点后,一用户的域名遭受巨大流量攻击,导致爱名网的几台DNS服务器都接近瘫痪。由此导致大部分其他用户的域名解析出现问题。给爱名网和爱名网的用户带来巨大的损失,现在技术部门已经紧急联系机房在处理。如有用户需紧急处理解析,请把DNS改成第三方免费的dns做解析。为防止今后类似的事情再发生或遭受攻击,爱名网将对用户底下的非法域名的访问进行监控,严禁私服,色情等违法域名。由此给用户带来的损失和麻烦我们深感抱歉。我们将尽快恢复DNS服务器正常运行。并将在硬件和软件配置上做加大升级,以改善我们的DNS服务器。爱名网2011-3-18以上是官方的说法,爱名网公告的地址:http://22.cn/news/message/2011-03-18-653.html不管是爱名网的dns服务器不怎么样,还是被人攻击,我已经决定不用爱名网的dns了,这样经常出问题,又无法解决是很被动的。看来要换dns服务器了。在网上找了些DNS服务器供应商,有很多,这里为了避免有人说我做广告的嫌疑,所以我不推荐任何服务器供应商。有需要的站长,可以自己去网上搜索。最终我找了家国内的dns服务器的供应商换了DNS而解决了这又一次爱名网dns服务器问题的浩劫。也终止了22dns服务器的使用。希望爱名网一路走好,中国站长们一路走好。常来本小博客转转。