Windows系統(tǒng)安全,0,Windows安全模型,1,操作系統(tǒng)安全定義, 信息安全的五類服務，作為安全的操作系統(tǒng)時必須提供的 有些操作系統(tǒng)所提供的服務是不健全的、默認關閉的,2,信息安全評估標準,ITSEC和TCSEC TCSEC描述的系統(tǒng)安全級別 D-A CC(Common Critical)標準 BS 7799:2000標準體系 ISO 17799標準,3,TCSEC定義的內容,沒有安全性可言，例如MS DOS,不區(qū)分用戶，基本的訪問控制,有自主的訪問安全性，區(qū)分用戶,標記安全保護，如System V等,結構化內容保護，支持硬件保護,安全域，數據隱藏與分層、屏蔽,校驗級保護，提供低級別手段,4,C2級安全標準的要求,自主的訪問控制 對象再利用必須由系統(tǒng)控制 用戶標識和認證 審計活動 能夠審計所有安全相關事件和個人活動 只有管理員才有權限訪問,5,CC(Common Critical)標準,CC的基本功能 標準化敘述 技術實現基礎敘述 CC的概念 維護文件 安全目標 評估目標,6,Windows 2000安全結構,7,Windows 安全子系統(tǒng),Winlogon,加載GINA，監(jiān)視認證順序,加載認證包,支持額外的驗證機制,為認證建立安全通道,提供登陸接口,提供真正的用戶校驗,管理用戶和用戶證書的數據庫,8,Windows賬號管理,9,Windows采用的賬號認證方案,LanManager認證(稱為LM協議) 早期版本 NTLM v1 認證協議 NT 4.0 SP3之前的版本 NTLM v2 認證協議 NT 4.0 SP4開始支持 Kerberos v5認證協議 Windows 2000引進,10,用戶類型,Administrator(默認的超級管理員) 系統(tǒng)帳號(Print Operater、Backup Operator) Guest(默認來賓帳號),11,帳戶(accounts)和組(groups),帳戶(user accounts) 定義了Windows中一個用戶所必要的信息，包括口令、安全ID(SID)、組成員關系、登錄限制. 組：universal groups、global groups、local groups Account Identifier: Security identifier(SID) 時間和空間唯一 S-1-N-Y1-Y2-Y3-Y4 Some well-known SIDs 字符串形式和二進制形式的SID,12,Windows 2000的默認賬號,賬戶名 注釋 System/localsystem 本地計算機的所有特權 Administrator 同上；可以改名，但不能刪除 Guest 有限的權限，默認禁用 IUER_計算機名 IIS的匿名訪問，guests組成員 IWAM_計算機名 IIS進程外應用程序運行的賬號， Guests組成員 TSInternetUser 終端服務 Krbtgt Kerberos密鑰分發(fā)賬號，只在DC上出現，默認禁用,13,Windows 2000下的內建組,組名 注釋 Administrators 成員具有本地計算機的全部權限 Users 所有賬號，較低的權限 Guests 有限的權限，與users相同 Authenticated users 特殊的隱含組，包含所有已登錄的用戶 Replicator 用于域中的文件復制 Backup Operators 沒有administrators權限高，但十分接近 Server Operators 沒有administrators權限高，但十分接近 Account Operators 沒有administrators權限高，但十分接近 Print Operators 沒有administrators權限高，但十分接近,14,密碼存放位置,注冊表HKEY_LOCAL_MACHINESAM下 Winnt/system32/config/sam,15,添加/刪除帳戶,Win2000/XP下 管理工具計算機管理本地用戶和組 WinNT下 (域)用戶管理器 命令行方式 net user 用戶名 密碼 /add /delete 將用戶加入到組 net localgroup 組名 用戶名 /add /delete,16,帳戶重命名,將Administrator重命名 將Guest來賓用戶重命名 新建一Administrator用戶，隸屬于Guest組,17,密碼策略的推薦設置,18,針對遠程破解的策略定制,密碼復雜性要求 賬戶鎖定策略的推薦設置,19,SAM數據庫與AD,SAM中口令的保存采用單向函數(OWF)或散列算法實現 在%systemroot%system32configsam中實現 DC上，賬號與密碼散列保存在%systemroot%ntdsntds.dit中,20,SYSKEY功能,從NT4 sp3開始提供,21,SID與令牌,SID唯一標示一個對象 使用User2sid和sid2user工具進行雙向查詢 令牌：通過SID標示賬號對象以及所屬的組,SID S-1-5-21-1507001333-1204550764-1011284298-500,令牌 User=S-1-21- S-1-5-21-1507001333-1204550764-1011284298-500 Group1=EveryOne S-1-1-0 Group2=Administrators S-1-5-32-544,22,解讀SID,SID S-1-5-21-1507001333-1204550764-1011284298-500,修訂版本編號,頒發(fā)機構代碼，Windows 2000總為5,子頒發(fā)機構代碼，共有4個；具有唯一性,相對標示符RID，一般為常數,S-1-1-0 Everyone,S-1-2-0 Interactive用戶,S-1-3-0 Creator Owner,S-1-3-1 Creator Group,23,Windows 2000認證與授權訪問,用戶A,SRM,安全參考監(jiān)視器,24,Windows文件系統(tǒng)管理,25,Windows 2000默認共享,C$、D$ Ipc$：遠程會話管理 Admin$：指向%WinDir%目錄，用于遠程管理,26,Windows系統(tǒng)的用戶權限,權限適用于對特定對象如目錄和文件（只適用于NTFS卷）的操作， 指定允許哪些用戶可以使用這些對象，以及如何使用（如把某個目錄的訪問權限授予指定的用戶）。權限分為目錄權限和文件權限，每一個權級別都確定了一個執(zhí)行特定的任務組合的能力，這些任務是： Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O)。下表顯示了這些任務是如何與各種權限級 別相關聯的,27,Windows系統(tǒng)的用戶權限,28,Windows系統(tǒng)的用戶權限,29,Windows系統(tǒng)的共享權限,30,復制和移動文件夾,從一個NTFS分區(qū)到另一個NTFS分區(qū) 復制/移動都是繼承權限(不同分區(qū)，移動=復制+刪除) 同一個NTFS分區(qū) 復制：繼承 移動：保留 復制/移動到FAT(32)分區(qū) NTFS權限丟失,31,Windows系統(tǒng)服務,服務包括三種啟動類型：自動，手動，禁用 自動：啟動時自動加載服務 手動 :啟動時不自動加載服務，在需要的時候手動開啟 禁用：啟動的時候不自動加載服務，在需要的時候選擇手動或者自動方式開啟服務，并重新啟動電腦完成服務的配置 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService 底下每一筆 服務項目子項都有一個 Start 數值, 該 數值內容所記錄的就是服務項目驅動程式該在何時被加載 目前微軟對 Start 內容的定義有 0、1、2、3、4 等五種狀態(tài), 0、1、2 分別代表 Boot、 System、Auto Load 等叁種意義。而 Start 數值內容為 3 的服務項目代表讓使用 者以手動的方式載入(Load on demand), 4 則是代表停用的狀態(tài), 也就是禁用,32,Windows的系統(tǒng)進程,基本的系統(tǒng)進程 smss.exe Session Manager csrss.exe 子系統(tǒng)服務器進程 winlogon.exe 管理用戶登錄 lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。(系統(tǒng)服務) svchost.exe 包含很多系統(tǒng)服務 spoolsv.exe 將文件加載到內存中以便遲后打印。(系統(tǒng)服務) explorer.exe 資源管理器 internat.exe 輸入法,33,Windows的系統(tǒng)進程,附加的系統(tǒng)進程（這些進程不是必要的） mstask.exe 允許程序在指定時間運行。(系統(tǒng)服務) regsvc.exe 允許遠程注冊表操作。(系統(tǒng)服務) winmgmt.exe 提供系統(tǒng)管理信息(系統(tǒng)服務)。 inetinfo.exe 通過 Internet 信息服務的管理單元提供 FTP 連接和管理。(系統(tǒng)服務) tlntsvr.exe 允許遠程用戶登錄到系統(tǒng)并且使用命令行運行控制臺程序。(系統(tǒng)服務) termsrv.exe 提供多會話環(huán)境允許客戶端設備訪問虛擬的 Windows 2000 Professional 桌面會話以及運行在服務器上的基于 Windows 的程序。(系統(tǒng)服務) dns.exe 應答對域名系統(tǒng)(DNS)名稱的查詢和更新請求。(系統(tǒng)服務),34,Windows的系統(tǒng)進程,tcpsvcs.exe 提供在 PXE 可遠程啟動客戶計算機上遠程安裝 Windows 2000 Professional 的能力。(系統(tǒng)服務) ismserv.exe 允許在 Windows Advanced Server 站點間發(fā)送和接收消息。(系統(tǒng)服務) ups.exe 管理連接到計算機的不間斷電源(UPS)。(系統(tǒng)服務) wins.exe 為注冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS 名稱服務。(系統(tǒng)服務) llssrv.exe License Logging Service(system service) ntfrs.exe 在多個服務器間維護文件目錄內容的文件同步。(系統(tǒng)服務) RsSub.exe 控制用來遠程儲存數據的媒體。(系統(tǒng)服務) locator.exe 管理 RPC 名稱服務數據庫。(系統(tǒng)服務) lserver.exe 注冊客戶端許可證。(系統(tǒng)服務) dfssvc.exe 管理分布于局域網或廣域網的邏輯卷。(系統(tǒng)服務),35,Windows的系統(tǒng)進程,msdtc.exe 并列事務，是分布于兩個以上的數據庫，消息隊列，文件系統(tǒng)，或其它事務保護資源管理器。(系統(tǒng)服務) faxsvc.exe 幫助您發(fā)送和接收傳真。(系統(tǒng)服務) cisvc.exe Indexing Service(system service) dmadmin.exe 磁盤管理請求的系統(tǒng)管理服務。(系統(tǒng)服務) mnmsrvc.exe 允許有權限的用戶使用 NetMeeting 遠程訪問 Windows 桌面。(系統(tǒng)服務) netdde.exe 提供動態(tài)數據交換 (DDE) 的網絡傳輸和安全特性。(系統(tǒng)服務) smlogsvc.exe 配置性能日志和警報。(系統(tǒng)服務) rsvp.exe 為依賴質量服務(QoS)的程序和控制應用程序提供網絡信號和本地通信控制安裝功能。(系統(tǒng)服務) RsEng.exe 協調用來儲存不常用數據的服務和管理工具。(系統(tǒng)服務) RsFsa.exe 管理遠程儲存的文件的操作。(系統(tǒng)服務),36,Windows的系統(tǒng)進程,grovel.exe 掃描零備份存儲(SIS)卷上的重復文件，并且將重復文件指向一個數據存儲點，以節(jié)省磁盤空間。(系統(tǒng)服務) SCardSvr.exe 對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。(系統(tǒng)服務) snmp.exe 包含代理程序可以監(jiān)視網絡設備的活動并且向網絡控制臺工作站匯報。(系統(tǒng)服務) snmptrap.exe 接收由本地或遠程 SNMP 代理程序產生的陷阱消息，然后將消息傳遞到運行在這臺計算機上 SNMP 管理程序。(系統(tǒng)服務) UtilMan.exe 從一個窗口中啟動和配置輔助工具。(系統(tǒng)服務) msiexec.exe 依據 .MSI 文件中包含的命令來安裝、修復以及刪除軟件。(系統(tǒng)服務),37,Windows安全風險,38,基本HTTP請求,“ ”等價于HTTP命令“GET /files/index.html HTTP/1.0” CGI調用 “ ”表示將var1和var2提交給cgi.exe(“+”是分隔符) ASP調用 表示將X、Y分別作為兩個變量提交,39,HTTP文件遍歷和URL編碼,40,IIS溢出問題(1),.htr緩沖區(qū)溢出漏洞 IPP(Internet Printing Protocol)緩沖區(qū)溢出(IPP是處理.printer文件的- C:winntsystem32msw3prt.dll) 當以下調用超過420字節(jié)時，問題就會發(fā)生 對策：刪除DLL和文件擴展之間的映射,GET /NULL.printer HTTP/1.0 Host : buffer,41,刪除DLL和文件擴展之間的映射,42,IIS溢出問題(2),索引服務ISAPI擴展溢出(通常被稱為ida/idq溢出) 由idq.dll引起，當buffer長度超過240字節(jié)時，問題就會發(fā)生 Null.ida為文件名，無需真的存在 直至現在上沒有漏洞利用代碼 Code Red的感染途徑 對策：刪除idq.dll和文件擴展之間的映射,GET /NULL.ida? HTTP/1.1 Host : buffer,43,IIS溢出問題(3),Frontpage 2000服務擴展溢出 最早由NSFocus(中國安全研究小組)提出 FPSE在Windows 2000中的位置：C:Program filesCommom FilesMicrosoft SharedWeb Server Extensions 問題焦點是fp30reg.dll和fp4areg.dll(后者默認總是提供的) 收到超過258字節(jié)的URL請求時，問題就會出現 漏洞利用工具：fpse2000ex 對策：刪除fp30reg.dll和fp4areg.dll文件,44,IIS的Unicode問題,問題產生的要義 “%c0%af”和“%c1%9c”分別是“/”“”的unicode表示 其它的非法表示法：“%c1%1c”、“%c1%9c”、“%c0%9v”、“%c0%af”、”%c1%8s”等 對策 安裝MS00-086中的補丁 由于沒有實現分區(qū)跳轉功能，可以在系統(tǒng)分區(qū)之外安裝IIS 設置嚴格的NTFS權限 在服務器的Write和Excute ACL中刪除Everyone和User組,45,更近一步-雙解碼/二次解碼,同樣由NSFocus發(fā)布 對策：應用MS01-26給出的補丁(不包括在sp2中) 注意和Unicode的區(qū)別，包括相關日志,GET /scripts/%255c255c%winnt/system32/cmd.exe,46,IIS的其它問題,源代碼泄漏的危險 .htr風險 .htw/webhits風險 權限提升的問題 遠程調用RevertToself的ISAPI DLL 向LSA本地注射代碼,47,Windows 2000終端服務,TS(Terminal Service)工作于3389端口 TS基于RDP(Remote Desktop Protocol)實現 終端服務不是使用HTTP或HTTPS的，而是通過RDP通道實現 TS監(jiān)聽端口可以自己指定 HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 值-PortNumber REG_WORD 3389(默認),48,針對TS的攻擊,密碼猜測攻擊風險(TSGrinder) 權限提升風險(PipeUpAdmin、GetAdmin) IME攻擊風險 RDP DoS攻擊風險,49,走進MS客戶端-客戶端風險評估,惡意電子郵件-MIME擴展 Outlook緩沖區(qū)溢出 Media Play緩沖區(qū)溢出 VBS地址簿蠕蟲,50,惡意郵件實例,Helo Mail froam:hi Rcpt to:attack Data Sublect:Read me Importance:high MIME-Version:1.0 Content-type:text/html;charset=us-ascii Content-Transfer-Encoding:7bit Hi! . quit,通過下列命令執(zhí)行： Type mail.txt | telnet IP 25,51,Outlook溢出,起源于vCard(一種電子名片) Outlook直接打開并運行附件中的vCards而不提示用戶 vCards存儲于.vcf文件中，也是沒有提示而直接運行的 當vCards的生日字段(BDAY)超過55字符時，就會出現溢出 對策：應用IE 5.5 sp2,52,Windows 2000的打印驅動,以full control權限運行在OS級別 面臨的主要威脅-默認情況下任何人都可以安裝打印驅動 通過配置組策略或直接修改注冊表 攻擊者可能會使用木馬替換打印驅動,53,媒體元文件,54,IIS服務安全配置,禁用或刪除所有的示例應用程序,示例只是示例；在默認情況下，并不安裝它們，且從不在生產服務器上安裝。請注意一些示例安裝，它們只可從 http:/localhost 或 127.0.0.1 訪問；但是，它們仍應被刪除。下面 列出一些示例的默認位置。 示例 虛擬目錄 位置 IIS 示例 IISSamples c :inetpubiissamples IIS 文檔 IISHelp c:winnthelpiishelp 數據訪問 MSADC c:program filescommon filessystemmsadc,55,IIS服務安全配置,啟用或刪除不需要的 COM 組件 某些 COM 組件不是多數應用程序所必需的，應加以刪除。特別是，應考慮禁用文件系統(tǒng)對象組件，但要注意這將也會刪除 Dictionary 對象。切記某些程序可能需要您禁用的組件。如Site Server 3.0 使用 File System Object。以下命令將禁用 File System Object： regsvr32 scrrun.dll /u 刪除 IISADMPWD 虛擬目錄 該目錄可用于重置 Windows NT 和 Windows 2000 密碼。它主要用于 Intranet 情況下，并不作為 IIS 5 的一部分安裝，但是 IIS 4 服務器升級到 IIS 5 時，它并不刪除。如果您不使用 Intranet 或如果將服務器連接到 Web 上，則應將其刪除,56,IIS服務安全配置,刪除無用的腳本映射 IIS 被預先配置為支持常用的文件名擴展如 .asp 和 .shtm 文件。IIS 接收到這些類型的文件請求時，該調用由 DLL 處理。如果您不使用其中的某些擴展或功能，則應刪除該映射，步驟如下： 打開 Internet 服務管理器。 右鍵單擊 Web 服務器，然后從上下文菜單中選擇“屬性”。 主目錄 | 配置 | 刪除無用的.htr .ida .idq .printer .idc .stm .shtml等,57,IIS服務安全配置,禁用父路徑 “父路徑”選項允許在對諸如 MapPath 函數調用中使用“”，禁用該選項的步驟如下： 右鍵單擊該 Web 站點的根，然后從上下文菜單中選擇“屬性” 單擊“主目錄”選項卡 單擊“配置” 單擊“應用程序選項”選項卡 取消選擇“啟用父路徑”復選框 禁用-內容位置中的 IP 地址 “內容-位置”標頭可暴露通常在網絡地址轉換 (NAT) 防火墻或代理服務器后面隱藏或屏蔽的內部 IP 地址,58,IIS服務安全配置,設置適當的 IIS 日志文件 ACL 確保 IIS 日志文件 (%systemroot%system32LogFiles) 上的 ACL 是 Administrators（完全控制） System（完全控制） Everyone (RWC) 這有助于防止惡意用戶為隱藏他們的蹤跡而刪除文件 設置適當的 虛擬目錄的權限 確保 IIS 虛擬目錄如scripts等權限設置是否最小化，刪除不需要目錄 將IIS目錄重新定向 更改系統(tǒng)默認路徑，自定義WEB主目錄路徑并作相應的權限設置 使用專門的安全工具 微軟的IIS安全設置工具：IIS Lock Tool；是針對IIS的漏洞設計的，可以有效設置IIS安全屬性,59,終端服務安全,輸入法漏洞造成的威脅,net user abc 123 /add net localgroup administrators abc /add 注冊表 DontDisplayLastUserName 1,60,SMB連接與驗證過程,隨機生成一把加密密鑰key(8或16字節(jié)),采用DES的變形算法，使用key對密碼散列進行加密,61,SMB提供的服務,SMB會話服務 TCP 139和TCP 443端口 SMB數據報支持服務 UDP 138和UDP 445端口 SMB名稱支持服務 UDP 137端口 SMB通用命令支持服務,62,開放SMB服務的危險,63,SMB名稱類型列表(1),64,SMB名稱類型列表(2),65,強化SMB會話安全,強制的顯式權限許可：限制匿名訪問 控制LAN Manager驗證 使用SMB的簽名 服務端和客戶端都需要配置注冊表,66,降低Windows風險,67,安全修補程序,Windows系列 Service Pack NT(SP6A)、2000(SP4)、XP(SP2) Hotfix Microsoft出品的hfnetchk程序 檢查補丁安裝情況 ,68,服務和端口限制,限制對外開放的端口: 在TCP/IP的高級設置中選擇只允許開放特定端口，或者可以考慮使用路由或防火墻來設置 禁用snmp服務或者更改默認的社區(qū)名稱和權限 禁用terminal server服務 將不必要的服務設置為手動 Alerter ClipBook Computer Browser ,69,Netbios的安全設置,Windows 2000/2003 取消綁定文件和共享綁定 打開 控制面板網絡高級高級設置 選擇網卡并將Microsoft 網絡的文件和打印共享的復選框取消，即可以完全禁止 TCP 139 和445 Windows NT 在WinNT下取消NetBIOS與TCP/IP協議的綁定。可以按如下步驟進行： 點擊“控制面板-網絡-NetBIOS接口-WINS客戶（TCP/IP)-禁用”，再點“確定”，然后重啟 這樣NT的計算機名和工作組名也隱藏了,70,Netbios的安全設置,禁止匿名連接列舉帳戶名需要對注冊表做以下修改 運行注冊表編輯器（Regedt32.exe） 定位在注冊表中的下列鍵上：HKEY_LOCAL_MACHINESystemtCurrentControlLSA 在編輯菜單欄中選取加一個鍵值： Value Name:RestrictAnonymous DataType:REG_DWORD Value:1（Windows 2000下為2）,71,Netbios的安全設置,Windows 2000的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名連接的額外限制）選項，提供三個值可選 0：None. Rely on default permissions（無，取決于默認的權限） 1：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳號和共享） 2：No access without explicit anonymous permissions（沒有顯式匿名權限就不允許訪問）,72,Windows 2000注冊表,所有的配置和控制選項都存儲在注冊表中 分為五個子樹，分別是Hkey_local_machine、Hkey_users、Hkey_current_user、Hkey_classes_root、Hkey_current_config Hkey_local_machine包含所有本機相關配置信息,73,注冊表安全,74,注冊表的默認權限,75,注冊表的審計,對注冊表的審計是必需的 審計內容的選擇 注冊表每秒被訪問500-1500次 任何對象都有可能訪問注冊表 默認的注冊表審計策略為空,76,禁止對注冊表的遠程訪問,77,禁止和刪除服務,通過services.msc禁止服務 使用Resource Kit徹底刪除服務 Sc命令行工具 Instsrv工具 舉例 OS/2和Posix系統(tǒng)僅僅為了向后兼容 Server服務僅僅為了接受netbios請求,78,針對Windows 2000的入侵 (1),探測 選擇攻擊對象，了解部分簡單的對象信息；針對具體的攻擊目標，隨便選擇了一組IP地址，進行測試，選擇處于活動狀態(tài)的主機，進行攻擊嘗試 針對探測的安全建議 對于網絡：安裝防火墻，禁止這種探測行為 對于主機：安裝個人防火墻軟件，禁止外部主機的ping包，使對方無法獲知主機當前正確的活動狀態(tài),79,針對Windows 2000的入侵 (2),掃描 使用的掃描軟件 NAT、流光、Xscan、SSS 掃描遠程主機 開放端口掃描 操作系統(tǒng)識別 主機漏洞分析,80,掃描結果：端口掃描,81,掃描結果：操作系統(tǒng)識別,82,掃描結果：漏洞掃描,83,針對Windows 2000的入侵(3),查看目標主機的信息,84,針對Windows 2000的入侵(4),IIS攻擊 嘗試利用IIS中知名的Unicode和“Translate:f”漏洞進行攻擊，沒有成功。目標主機可能已修復相應漏洞，或沒有打開遠程訪問權限 Administrator口令強行破解 這里我們使用NAT（NetBIOS Auditing Tool）進行強行破解：構造一個可能的用戶帳戶表，以及簡單的密碼字典，然后用NAT進行破解,85,Administrator口令破解情況,86,針對Windows 2000的入侵(5),鞏固權力 現在我們得到了Administrator的帳戶，接下去我們需要鞏固權力 裝載后門 一般的主機為防范病毒，均會安裝反病毒軟件，如Norton Anti-Virus、金山毒霸等，并且大部分人也能及時更新病毒庫，而多數木馬程序在這類軟件的病毒庫中均被視為Trojan木馬病毒。所以，這為我們增加了難度。除非一些很新的程序或自己編寫的程序才能夠很好地隱藏起來 我們使用NetCat作為后門程序進行演示,87,安裝后門程序(1),利用剛剛獲取的Administrator口令，通過Net use映射對方驅動器,88,安裝后門程序(2),將netcat主程序nc.exe復制到目標主機的系統(tǒng)目錄下，可將程序名稱改為容易迷惑對方的名字 利用at命令遠程啟動NetCat,89,安裝后門程序(3),90,針對Windows 2000的入侵(6),清除痕跡 我們留下了痕跡了嗎 del *.evt echo xxx *.evt 看看它的日志文件 無安全日志記錄,91,通過入侵來看Win 2000的防范,安裝防火墻軟件，對安全規(guī)則庫定期進行更新 及時更新操作系統(tǒng)廠商發(fā)布的SP補丁程序 停止主機上不必要的服務，各種服務打開的端口往往成為黑客攻擊的入口 使用安全的密碼 如果沒有文件和打印機共享要求，最好禁止135、139和445端口上的空會話 經常利用net session、netstat查看本機連接情況,92,Q&A,感謝聆聽！ Thank you for attending！,93,