一些Windows处事器体系登录安详与NTFS能力

Keberos是为TCP/IP收集体系计划的可信的第三方认证协议。收集上的Keberos处事基于DES对称加密算法，但也可以用其他算法更换。因此，Keberos是一个在很多体系中得到普及应用的认证协议，Windows2000就支持该协议。

域情形中的首选。

其他账号安详配置要点：

Administrator账号改名： 因为windows的Administrator账号是不能被停用的，也不能配置安详计策，这样进攻者就可以一遍又一各处实行这个账户的暗码，直到破解，以是要在“计较机打点”中吧Administrator账户改名来防备这一点。鼠标右键单击Administrator，在右键菜单中选择“重定名”，从头输入一个名称。最好不要行使Admin、Root之类的名字，改了便是没改。只管把它伪装成平凡用户，好比改成：Guestone，别人怎么也想不到这个账号是超等用户。然后另建一个“Administrator”的陷阱帐号，不赋予任何权限，加上一个高出10为的超等伟大暗码，并对该账户启用考核。这样那些进攻者忙了半天也也许进不来，或是即便进来了也什么都得不到，还留下了我们跟踪的线索。

不要表现前次登录的用户名： 进攻者一样平常还会从当地可能Terminal Service的登岸界面看到用户名，然后去猜暗码。以是要榨取表现登录的用户名。配置要领是：选择[节制面板]--[打点器材]--[当地安详计策]--[当地计策]--[安详选项]，在右侧双击"登录屏幕上不要表现前次登录的用户名"一项，选择“已启用”，其它我们也可以修改注册表来实现。找到注册表HKEYLOCALMACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon项中的Don’t Display Last User Name串，将其数据修改为1。

逼迫windows口令的伟大性： 通过组计策来实现逼迫口令伟大性的配置：打开组计策 [计较机设置]--[Windows配置]--[安详配置]--[账户计策]--[暗码选项]，在这内里举办计策的配置。

搜查组和帐号： 计较机的通例搜查首要通过[我的电脑]--[打点]--[计较机打点]--[当地用户与组]来实验搜查；首要检点打点员组中是否存在多余账号，是否存在多个用户账号。可能通过CMD下的呼吁来查察(net user系列呼吁。)

搜查用户： 操纵体系中默认存在“Administrator”以及凭证小我私人喜欢而添加的用户名称，其他尚有一些用户譬喻启动IIS历程账户、Internet宾客账户等等，这些账号每每跟体系中提供的处事可能安装的软件有关。假如在搜查进程中，发明白多余的账号，则极有也许是入侵者添加的账号。 任何一个用户账号都必需有一个组，在安详搜查中，必要出格留意Administrator组，这个组是具有打点员权限的组，在“计较机打点”中，双击“组”中的“Administrators”即可查察是否存在多余的打点员账户。 [在cmd下也可以通过“net localgroup administrators”查察打点员组 假如入侵者在添加账号时在账号末端加上了“$”标记，则行使“net user”呼吁查察用户时，以“$”竣事的用户名不会表现，只能从计较机用户打点的图形界面来查察。]

体系权限配置NTFS:

windows2000往后的操纵体系引入了一种权限机制，以实现对计较机的分级打点，他使差异的用户有差异的权限，从而顺应了越发严厉的安详状况和应用需求：New Technology File System 在NTFS分区上，可觉得共享资源、文件夹以及文件配置会见权限。容许的配置包罗两方面的内容：一是应承哪些组或用户对文件夹、文件和共享资源举办会见；二是得到会见容许的组或用户可以举办什么级此外会见。会见容许权限的配置不单合用于当地计较机的用户，同样也合用于通过收集的共享文件夹对文件举办会见的收集用户。与FAT32文件体系下对文件夹或文件举办会见对比，安详性要高得多。

其它，在回收NTFS名目标win2000中，应用考核计策可以对文件夹、文件以及勾当目次工具举办考核，考核功效记录在安详日记中，通过安详日记就可以查察哪些组或用户对文件夹、文件或勾当目次工具举办了什么级此外操纵，从而发明体系也许面对的犯科会见，通过采纳响应的法子，将这种安详隐患减到最低。这些在FAT32文件体系下，是不能实现的。

操作供选数据流(Alternate Data Streams ADS)潜匿后门

什么是供选数据流(Alternate Data Streams ADS)？ NTFS行使Master File Table（MFT）来打点文件。在NTFS中，每个文件都对应一个MFT记录，这些记录由多少个属性（attribute）构成，如： 文件名属性($FILENAME)、数据属性($DATA)、索引根属性($INDEXROOT)等。 这次的重点在于数据属性$DATA。每个文件都有$DATA数据属性以存储文件数据内容，其巨细可觉得0，但该属性必需存在。一样平常地，$DATA数据属性在文件建设的同时就建设了，这个数据属性被称为* 主数据流（Primary Data Streams）。* 当文件内容少于约莫700字节时，文件内容会直接存储在主数据流中。而数据巨细高出700字节阁下时，就必要特另外数据属性 供选数据流(Alternate Data Streams)，觉得其分派簇空间。

供选数据流的浸染 供选数据流在许多处所都有效处，譬喻windows下，给一个文件成立择要信息时，这些信息的数据就保存在该文件的ADS中。除了择要，像索引以外的附加属性都可以生涯在ADS中。附加属性还可以用于潜匿数据，凡是的dir呼吁及windows资源打点器都无法查察其数据。这为后门木马的免杀提供了前提~

供选数据流的进攻实例 可见FreeBuf 作者nickchang的文章：《一个用ADS（供选数据流）潜匿Windows后门的要领》 http://www.freebuf.com/articles/73270.html 及作者3gstudent的技能文章：《Hidden Alternative Data Streams的进阶操作能力》 http://www.4hou.com/technology/4783.html 本ADS相干内容参考了博主 睿-行 的博文：《NTFS_c. MFT 属性范例》 http://blog.163.com/ourhappines@126/blog/static/12136315420131190171664/ 感乐趣的伴侣可进入链接赏识。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!