扫一扫
关注微信公众号

沙场点兵 Win XP安装盘中隐藏的安全工具(2)
2006-06-20   天极

  第四步:如果选择了别的系统的IP地址,则必须运行SNMP服务,而目标系统必须配置好网络访问的地址。同时,所需要的辅助工具也应当具备或运行。缺省情况下,Windows XP对所有另外系统的IP地址都是允许访问的。另一个问题是community,当选定community的值时,一要注意它所代表的对象必须存在;二要注意其“可读”属性只有获准许可之后才能进行读操作;三要注意这个项目在windows系列的不同版本中,对访问地址的限制可能不一样。

  第五步:凡是SNMP可以执行的功能(SNMP Function to Execute),在图中下拉组合框中都已经列出。选择好之后,用鼠标点击“Execute Command”按钮就可以执行相关操作了。以下是这些操作的功能简介:

  GET the value of the current object identifier:得到当前对象的ID标识数值

  GET the NEXT value after the current object identifier (this is the default):得到紧接当前对象之后的下一个对象的ID标识数值(这是默认的)

  GET the NEXT 20 values after the current object identifier:得到当前对象之后的20个对象的ID标识数值

  GET all values from object identifier down (WALK the tree):得到从当前对象往下的所有对象的ID标识数值

  WALK the tree from WINS values down:从WINS值往下漫游目录

  WALK the tree from DHCP values down:从DHCP值往下漫游目录

  WALK the tree from LANMAN values down:从LANMAN值往下漫游目录

  WALK the tree from MIB-II down (Internet MIB):从MIB-II往下漫游目录
 
  第六步:针对SNMP攻击的防范。SNMP服务的通讯端口是UDP端口,这也是大部分网络管理人员很容易忽略的地方。由于安装了SNMP服务,不知不觉就给系统带来了极大的隐患。最方便和容易的解决方法是关闭SNMP服务,或者卸载掉该服务。如果不想关掉SNMP服务,可以通过修改注册表或者直接修改图形界面的SNMP服务属性进行安全配置。打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,可以修改community strings,也就是微软所说的“团体名称”,即所谓的“查询密码”,或者配置是否从某些安全主机上才允许SNMP查询。

  另一种方法是修改注册表中的community strings值。打开注册表,在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSNMPParametersValidCommunities]下,将public的名称修改成其它的名称就可以了。如果要限定允许的IP才可以进行SNMP查询,还可以进入注册表中的如下位置添加字符串: [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSNMPParametersPermittedManagers],名称为“1”,内容为要允许的主机IP。当然,如果允许多台机器的话,就要名称沿用“2、3、4”等名称了。

检测肉鸡的数据:pptpsrv.exe和pptpclnt.exe

  PPTP是“点对点隧道传送协议(Point-to-Point Tunneling Protocol)”的英文缩写,这是网络上常用的传送协议。所谓“隧道传送”是指数据在传送之前先进行加密和“打包”,传送至对方后再解包和解密。这样,数据在传送过程中就像是在地下隧道中通过的那样,其内容不会被外界所看到。

  pptpsrv.exe和pptpclnt.exe就是一对用来检查网络是否连通的工具,Pptpsrv.exe是服务端,pptpclnt.exe是客户端。当将上面的两个程序用在远程的PPTP 服务器与PPTP 客户机之间的互相访问时,必须使用 1723端口,并且需要基于47类协议的支持,即GRE(Generic Routing Encapsulation:普通路由封装)协议。利用这两个工具,可以检查socket的连接和数据包的传递。

  第一步:打开两个站点,或者打开两个命令提示符窗口,其中一个运行命令pptsrv.exe,这时候pptsrv.exe会在TCP端口1723处监听,等待客户端pptpclnt.exe的连接。

  第二步:在另一个命令提示符窗口运行命令:pptpclnt.exe IP(根据实际测试情况设置),本地测试采用127.0.0.1,这时会出现如图所示的界面,然后按照提示输入,发送的字符应在255个以下,这时就可以看到两个命令提示符中记录着socket的连接和数据包的传递。

  这一组程序都是基于命令行界面的,由于诊断必须涉及PPTP 服务器与PPTP 客户机两个地方,所以,诊断程序运行的时候,要综合服务器端和客户机端的应答信息和系统提示信息,然后根据情况判断问题所在。

  管理活动目录:ldp.exe 

  Windows 2000入目录服务的概念后,用户通过389端口可以遍历目录树中所存在的用户和用户组。活动目录就是目录服务的一类,它保存了网络上所有的资源和可以访问活动目录的客户。如果用户在安装域的时候就缺乏正确的安全规划,黑客就会有机可乘了。因此,在扫描网络上的“肉鸡”时,如果发现端口为389的机器,就会发现它所对应的服务是活动目录。但是,怎么连接它呢?

  Windows XP工具包中的活动目录管理工具ldp.exe可以轻松实现这种功能。通过这种方式,不仅可以浏览全部用户帐户(cn=Users),还可以查询用户更多的信息,比如SID、GUID、帐户名和密码设置类型等重要信息。打开“Connection”菜单下的“Connect”,这时会出现一个对话框,如图6所示。在“server”中填上IP或者DNS名,端口使用默认的389端口即可。连接上以后,就可以进行管理了。

  得到合法帐户,便可以进入到远程密码猜测的角逐中。因此,实际应用中,必须对动态目录的访问权限设置限制。

  管理肉鸡的小工具:diruse.exe

  diruse.exe是一个命令行工具,登陆后,可以用它来查看目录的大小、详细的压缩信息(只适用于NTFS分区)。结合运用Windows的磁盘管理功能,就可以在重要的监控对象上密切监视所有的用户帐户,拥有肉鸡管理员权限的用户还能够检查所有目录的使用情况,包括不属于当前帐户的目录。除了文件夹占用的磁盘空间,它还能够设置指定文件夹的最大空间限额,当文件夹占用的空间超出限额时会出现警报。

  Windows XP的支持工具还有很多,以上介绍的都是安全方面的一些工具,特点在于小巧灵活,搭配自由。随着Windows版本的改进,各类工具的功能会越来越多样化、专业化。

热词搜索:

上一篇:沙场点兵 Win XP安装盘中隐藏的安全工具(1)
下一篇:系统管理:谈linux磁盘结构及分区

分享到: 收藏