dcsimg

三个Easy Registry Hacks Armor Windows

抑制SYN泛洪,严厉打击匿名连接,并通过三个简单的技巧防止数据徘徊。

许多人认为Windows注册表是最好不要改动的地方。但是,有了适当的信息和谨慎的操作,注册表黑客可以大大提高主机的安全性。

在进行以下任何注册表更改之前,请确保对注册表进行备份,以防万一。您可以通过单击“开始”菜单,选择“运行”来备份注册表,然后输入程序名称:“ regedit.exe”。打开注册表后,突出显示左侧窗格中的“我的电脑”字段,然后从下拉菜单中选择“文件”,然后选择“导出”。将其保存到软盘上。

拒绝拒绝服务

防御最难的攻击之一是拒绝服务(DoS)攻击。一种此类攻击是SYN Flood攻击,它发送TCP连接请求的速度比计算机处理它们的速度快。

在Windows 2000和Windows Server 2003中,抵御此攻击的最重要参数是SynAttackProtect。启用此参数可使操作系统更有效地处理传入连接。可以通过将SynAttackProtect DWORD值添加到以下注册表项来设置保护:

HKLMSYSTEMCurrentControlSetServicesTcpipParameters

通常,当检测到SYN攻击时,SynAttackProtect参数会更改TCP / IP堆栈的行为。这使操作系统可以处理更多的SYN请求。它通过禁用某些套接字选项,为连接指示增加额外的延迟并更改连接请求的超时来工作。

当SynAttackProtect的值设置为1时,重新传输的次数减少,并且根据Microsoft,路由缓存条目的创建被延迟,直到建立连接为止。

SynAttackProtect的建议值为2,它另外会延迟到Windows套接字的连接指示,直到三向握手完成为止。

通过启用SynAttackProtect参数,直到受到SYN攻击,TCP / IP堆栈的行为才会改变。但是即使这样,当SynAttackProtect开始运行时,操作系统仍可以处理合法的传入连接。

从可移动媒体中删除数据移动性

每个人都面临通过可移动介质(例如闪存驱动器)丢失数据的风险。我们都听说过人们禁用USB端口,用胶水密封它们以及诉诸其他极端措施以防止数据外泄的故事。

尽管这些方法可能有效,但它们肯定不实用。通过一些简单的注册表黑客攻击,您可以禁用USB闪存驱动器,同时允许USB设备(例如CD-ROM,键盘和鼠标)正常运行。

如果计算机上尚未安装USB存储设备,则将用户或组“拒绝”权限分配给以下文件:

  • %SystemRoot%InfUsbstor.pnf
  • %SystemRoot%InfUsbstor.inf

这样做时,用户无法在计算机上安装USB存储设备。要将用户或组“拒绝”权限分配给Usbstor.pnf和Usbstor.inf文件,请按照下列步骤操作:

  1. 启动Windows资源管理器,然后找到%SystemRoot%Inf文件夹。
  2. 用鼠标右键单击Usbstor.pnf文件,然后单击属性。
  3. 单击安全选项卡。
  4. 在“组或用户名”列表中,单击要为其设置“拒绝权限”的用户或组。
  5. 在“用户名或组名的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。 注意此外,将系统帐户添加到拒绝列表。
  6. 用鼠标右键单击Usbstor.inf文件,然后单击属性。
  7. 单击安全选项卡。
  8. 在“组或用户名”列表中,单击要为其设置“拒绝权限”的用户或组。
  9. 在“用户名或组名的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。

如果计算机上已经安装了USB存储设备,请将以下注册表项中的“开始”值设置为4:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor

这样做时,当用户将USB存储设备连接到计算机时,该USB存储设备将无法工作。若要设置起始值,请按照下列步骤操作:

  1. 单击开始,然后单击运行。
  2. 在“打开”框中,键入regedit,然后单击“确定”。
  3. 找到,然后单击下面的注册表项:
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor
  4. 在右窗格中,双击“开始”。
  5. 在数值数据框中键入4,单击十六进制(如果尚未选择),然后单击确定。
  6. 退出注册表编辑器。

同样,当您完成此破解后,唯一无法使用的是闪存驱动器。更具体地说,此漏洞会在操作系统启动时阻止USB存储驱动程序的加载。如果将值恢复为默认值3,则驱动程序将在引导期间再次加载。同样重要的是要注意,此注册表黑客是在本地计算机上完成的,这意味着它将影响每个用户,而不仅仅是当前登录的用户。

不再需要匿名连接

通过设计,Null用户可以枚举域控制器,成员服务器和工作站上的帐户名和共享。因此,该Null用户(没有凭据的用户)可用于从您的网络中收集大量信息,而不会引起任何注意。不用说,这对攻击者特别有用。

为了防止这种情况的发生,我们执行以下注册表黑客操作:

  1. 运行注册表编辑器(Regedit.exe)。
  2. 转到注册表中的以下项:
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA
  3. 在“编辑”菜单上,单击“添加值”,然后使用以下输入:

    值名称:RestrictAnonymous
    资料类型:REG_DWORD
    价值:1
  4. 退出注册表编辑器,然后重新启动计算机,以使更改生效。

您可以为此设置三个值。他们是:

0-允许匿名用户
1-限制匿名用户
2-允许具有明确匿名权限的用户

此后,“ RestrictAnonymous”的设置已成为管理员的标准做法。建议用于保护Web服务器的安全。这也是敏感域控制器上的常见设置。如果您希望系统满足以前称为“ C2”的商业计算产品的最高政府评级的要求,那么甚至是必需的设置。

注意:有关DoD评级系统(例如TCSEC)的更多信息,请访问以下站点: http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD

许多人会告诉您将此值设置为1,生活会变得很充实。不幸的是没有。

虽然这将限制某些操作,但不会限制所有操作。由于核心NT域功能需要空用户功能,因此决定限制设置“ RestrictAnonymous”时此人可以执行的某些操作,而不是完全杀死他。因此,尽管某些API调用有一些 访问控制列表 为了防止空用户调用它们,有些被单独放置。

枚举工具的编写者也知道这一点,因此其中许多工具以及合法的漏洞评估工具仍然可以使用空用户帐户获取信息。

我将其设置为最高级别,对吧?

虽然将“ RestrictAnonymous”设置为2确实会阻止空用户与您的服务器通信,但也会使任何NT 4.0盒也无法这样做。因此,在您急忙将域控制器策略设置为使用“没有明确的匿名权限就无法访问”(RestrictAnonymous = 2)之前,请确保您了解这样做会阻止所有NT成员服务器和工作站查找任何域控制器使用此设置。

它还将阻止受信任域中的下层服务器与您通信,并且任何尝试从RestrictAnonymous = 2框中获取域或服务器列表的浏览器服务都将失败。由于这些不同的“结果”,建议您不要在混合模式环境中使用此设置,除非您进行了比我们任何人都做的更多的测试。

这些只是可以大大改善主机安全性的众多注册表黑客中的三个。与任何注册表黑客一样,在应用它们时要格外小心,请确保您完全理解其含义,测试配置并在进行更改之前始终备份注册表。

资源:

如何在Win 2000中强化TCP / IP堆栈以抵抗拒绝服务攻击

如何在W2K3服务器中强化TCP / IP堆栈以抵抗拒绝服务攻击

加强TCP / IP堆栈的SYN攻击

限制匿名:枚举和空用户

如何禁用USB存储设备的使用

匿名登录用户可用的限制信息

文章由 企业IT星球

本文最初于2006年6月2日发布
通过网络更新新闻获取最新消息