萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> 理解Windows驗證 增強系統安全性

理解Windows驗證 增強系統安全性

  概述:    徹底地理解Windows驗證方法將使你能解決問題並增強網絡安全。看,這是你需要知道的。    如果你正有關於登錄到多變的、完全地安全的網絡的問題,解決方法大概就是允許設備間適當的端口和協議來驗證,然而,理解開始用戶驗證的事件序列是很重要的。    WinLogon過程    WinLogon的第一階段是[Ctrl][Alt][Delete],Windows默認安全警告序列(Security Attention Sequence,SAS)。這個序列發信號通知操作系統有人嘗試登錄。    當SAS初始化後,所有用戶模式應用程序中斷直到安全操作完成或取消。這個用戶模式應用程序的暫停是重要的安全特性。當用啟輸入口令時,按鍵記錄程序或木馬病毒被禁用並防止記錄擊鍵。    WinLogon過程是本地安全授權(Local Security Authority,LSA)中用於Windows操作系統登錄過程的一部分。    要完成這個過程,操作系統作登錄服務器驗證用戶憑證,並且依據驗證類型,如果客戶機和服務間的適當的的端口和協議沒有打開,登錄可能失敗。    NT局域網管理器(NT LAN Manager,NTLM)被WinLogon過程用作默認驗證方法;它使用客戶機和域控制器(domain controller,DC)間的三個端口:    UDP 137 - UDP 137 (NetBIOS Name)    《endurer注:137/UDP--NetBIOS名稱服務器,網絡基本輸入/輸出系統(NetBIOS)名稱服務器(NBNS)協議是TCP/IP上的NetBIOS(NetBT)協議族的一部分,它在基於NetBIOS名稱訪問的網絡上提供主機名和地址映射方法。》    UDP 138 - UDP 138 (NetBIOS Netlogon and Browsing)    《endurer注:138/UDP--NetBIOS數據報,NetBIOS數據報是TCP/IP上的NetBIOS(NetBT)協議族的一部分,它用於網絡登錄和浏覽。》    1024-65535/TCP - TCP 139 (NetBIOS Session)    《endurer注:139/TCP--NetBIOS會話服務,NetBIOS會話服務是TCP/IP上的NetBIOS(NetBT)協議族的一部分,它用於服務器消息塊(SMB)、文件共享和打印。》    Logon authentications will succeed with these ports open between your clients and their domain controllers.    隨著客戶機和域控制器間的端口打開,登錄驗證將成功。    Windows默認驗證相當缺乏安全    在默認情況下,Windows NT和Windows 2000機器的驗證方法是設置局域網管理器(LAN Manager,LM),這個管理器使用非常弱的安全算法來傳送和存儲每個用戶口令哈稀(hash)。    微軟已經對所有的驗證方法升級了四次。當前NT客戶機和NT/Win2K服務器間的驗證標准是NTLMv2。然而,如果你沒有改變NT/Win2K客戶機和服務器上的下列注冊表鍵下的LMCompatabilityLevel值,5自學網,在默認情況下你仍會使用LM方法—它極大地降低了整個網絡的安全性。    確認你已經設置只使用NTLMv2,並且Reg_Dword被設置為至少級別3。這迫使客戶機只發送NTLMv2驗證。(關於這個改變的更多信息,請閱讀微軟件知道庫文章 147706.)    作者注    編輯系統注冊表是危險的。在做注冊表編輯前,請確認備份了注冊表,這樣如果出現錯誤,你可以恢復它。    做了這個改變後,你還需要迫使系統移除LM hash。運行Regedt32.exe回到同一個注冊表鍵,在編輯菜單,點擊增加鍵,增加的鍵名為NoLMHash,類型區留空。(關於這個注冊表改變的更多信息,請閱讀微軟件知道庫文章299656.)    這個新注冊表鍵將迫使NT和Win2K移除LM hash,這將減少口令破解者的攻擊。然而,你做的注冊表修改不會生效,直到用戶改變他或她的口令並且新的hash被創建。    現在你除去了LM hash,網絡正使用NTLMv2於客戶機驗證,基於Windows的網絡安全驗證的下一步是升級客戶機和服務器去利用Kerberos,最新的Windows驗證方法。    什麼是Kerberos for NT    沒有什麼“Kerberos for NT”。如果仍將運行NT客戶機,你能安裝活動目錄(Active Directory,AD)客戶機,並使它們活動目錄感知,但非Kerberos-enabled。活動目錄客戶機安裝了活動目錄服務接口(Active Directory Service Interfaces,ADSI),提供位置感知到NT計算機,這樣它們可以發現最新的域控制器,讓NT使用Win2K的Dfs( 分布式文件系統 或 深度優先搜索)和 活動目錄Windows地址本(AD Windows Address Book)。    NT機器將只使用NTLM來驗證,不管它們是否與NT或win2K服務器通信。要允許客戶機和服務器安全通信,確信適當的端口打開了,並檢驗客戶機和服務器已設置使用NTLMv2。 ,5自學網
copyright © 萬盛學電腦網 all rights reserved