Topic 3G
Windown 2003 network security
Trong chủ đề này, bạn sẽ xem xét các tác động của biến bật / tắt các giao thức NetBIOS trên một
máy Windown 2003.NetBIOS là viết tắt của Network Basic Input Output System, và là một API
cho phép để giải quyết các thiết bị trên mạng, bất kể giao thức tiềm ẩn như IP hoặc IPX.NetBIOS
dựa vào SMB
SMB, đó là viết tắt của Server Message Block, là một giao thức chia sẻ tập tin, máy in, cổng nối
tiếp, và truyền thông trừu tượng ...
TASK 3G-1
Investigating Printer Spooler Security
1. Trong phân vùng khởi động, tạo folder có tên là Share.
2. Nhấp chuột phải vào folder đó, và chọn Sharing And Security.
3. Click Share This Folder, để lại tên chia sẽ mặc định là Share, và click OK.
4. Từ Start Menu, chọn Printers And Faxes.
5. Nhấp đôi chuột vào Add Printer, click Next.
6. Xác định chọn Local Printer. Bỏ chọn Automatically Detect And Install My Plug And
Play Printer. Click Next.
7. Xác định chọn Use The Following Port, để cổng mặc định là LPT1, và click Next.
8. Chọn any printer từ danh sách, và click Next.
9. Rút ngắn tên printer với 4 kí tự đầu tên, và click Next.
10. Cho phép printer được phép chia sẽ, click Next twice.
11. Khi bạn được nhắc nhở để in một trang kiểm tra, click No, và click Next và click Finish.
12. Chọn printer, và chọn FileServer Properties.
13. Chọn Advanced tab, lưu ý vị trí mặc định của thư mục spool. Nó là
\WINDOWS\System32\Spool\PRINTERS.
14. Click OK.
15. Nhấp chuột phải vào printer và chọn Properties.
16. Chọn Advanced tab, và xác minh rằng máy in luôn luôn có sẵn và các tài liệu sẽ được
spooled để tăng tốc độ in ấn.
17. Chọn Keep Printed Documents, và click OK.
18. Nhấp đôi chuột vào My Network Places.

19. Nhấp đôi chuột vào Computers Near Me.
20. Nhấp đôi chuột vào printer server of yout partner’s computer.
21. Nhấp đối chuột vào tên printer, và chọn Connect.
22. Khởi động Notepad.
23. Nhập vào dòng text this is a classified document.
24. Lưu tập tin ngoài màn hình desktop với tên TOP_SECRET.txt.
25. Chọn FilePrint, chọn printer để bạn kết nối, và click Print. Tập tin của bạn sẽ được
gởi đến máy chủ print.
26. Thực hiện trên màn hình.
27. Khi thông báo lỗi hiển thị, click Cancel.
28. Đường dẫn đến \WINNT\System32\Spool\PRINTERS folder.
29. Thực hiện nội dung trên thư mục Printers.
30. Nhấp đôi chuột vào tập tin SPL.
31. Khi mở với hộp thoại hiển thị, bỏ chọn Always Use This Program To Open These Files,
và chọn Notepad từ bảng danh sách.
32. Cuộc xuống dưới vùng của tập tin. Vào cuối tập tin, sau khi tất cả các ngôn ngữ máy in
được đưa về chăm sóc bạn sẽ thấy tên của tập tin và nội dung.
33. Nhấp đôi chuột vào tập tin SHD.
34. Bỏ chọn Always Use This Program To Open These Files, và chọn Notepad từ danh sách.
Bạn sẽ thấy người gởi tập tin này từ máy tính.
35. Đóng cả 2 trường hợp của Notepad.
NAT and ICS
Tính đến thời điểm này, tất cả các hệ thống an ninh và các phương pháp bạn đã được sử dụng là
hướng tới bảo mật hệ điều hành và dữ liệu trên ổ cứng vật lý. Tất cả các hệ thống bảo mật mà bạn
tạo ra ít được sử dụng nếu kẻ tấn công có thể chỉ cần ngửi tất cả các gói tin ra mạng và biên dịch
lại cho họ tại giải trí của mình.
Network Address Translation (NAT) là một tiêu chuẩn Internet được xác định trong RFC
1631.NAT được sử dụng mặt nạ là IP riêng với địa chỉ IP của kết nối Internet bên ngoài.Mặc dù
NAT không được thiết kế như một cơ chế an ninh, nhiều mạng cần NAT trong các chính sách an
ninh của họ để thêm một lớp bổ sung giữa các Internet và mạng nội bộ..

Khách hàng trên mạng nội bộ không bắt buộc phải có một địa chỉ IP công cộng, do đó sẽ bảo tồn
các công địa chỉ IP. Các khách hàng nội bộ có thể được cấu hình với một địa chỉ IP từ các khối
mạng riêng. Hãy nhớ rằng, địa chỉ IP riêng là những người mà không được định tuyến trên Internet
Chúng được định nghĩa bởi RFC 1918, và các dãy địa chỉ được:
Nó được định nghĩa bởi RFC 1918, và các dãy địa chỉ là:
• 10.0.0.0 - 10.255.255.255
• 172.16.0.0 - 172.31.255.255
• 192.168.0.0 -192.168.255.255
Nó cũng đáng chú ý là Microsoft đã sử dụng khoảng khác cho các phạm vi riêng tư 169.254.0.0-
169.254.255.255. Cái này giải quyết không được định nghĩa trong RFC nhưng nó cho phép các địa
chỉ tư nhân khác được sử dụng trên mạng.
NAT là một phần tích hợp của một định tuyến Dịch vụ truy cập từ xa(RRAS), mà sẽ được giải
quyết ngay, cũng như một phần của việc chia sẻ kết nối Internet (ICS). Các phiên bản của NAT
được sử dụng bởi ICS được thu nhỏ lại so với phiên bản đầy đủ không cho phép mức độ cấu hình
RRAS NAT cho phép ICS được thiết kế cho một văn phòng nhỏ hoặc cho một mạng gia đình, nơi
có một kết nối internet mà là để được chia sẻ toàn bộ mạng. Tất cả người dùng kết nối thông qua
một giao diện duy nhất, thường kết nối qua một modem, DSL, hoặc điểm truy cập cáp.
Remote Access
Các Windown 2003 Routing và Remote Access Serveci (RRAS) bao gồm:
• Network Address Translation (NAT)
• Giao thức định tuyến (RIP và OSPF)
• Remote Authentication Dial-In Service (RADIUS)
Remote Access Server của RRAS sẽ cho phép cho các kết nốiPPP và có thể được thiết lập để yêu
cầu chứng nhận authentication.RRAS có thể được thiết lập để sử dụng Remote Authentication
Dial-In Service (RADIUS) hoặc WindowsAuthentication.If RRAS đang sử dụng RADIUS, khi yêu
cầu người dùng cho việc chứng thực được thực hiện cho các máy chủRRAS, các dial-in các thông
tin được truyền tới máy chủ RADIUS.Các máy chủ RADIUS sau đó thực hiện việc chứng thực và
ủy quyền để truy cập cho khách hàng để truy cập vào mạng
Internet Explorer Enhanced Security Configuration
Một điều bạn sẽ nhận thấy ngay lập tức khi sử dụng WindowsServer 2003 là các chức năng của

Internet Explorer (IE) khác với phiên bản trước của Windows.IE được cấu hình trong một vùng
theo mặc định, và để bạn sử dụng trình duyệt, bạn có thể thấy rằng bạn cần phải thay đổi cấu hình
mặc định
Hardening TCP/IP
Các giao thức TCP / IP trong Windows là một trong những thành phần tấn công hầu hết các máy
tính cá nhân. Các cuộc tấn công thông thường bao gồm acttacks Demial dịch vụ (DoS) tấn công từ
chối dịch vụ phân tán (DDos) tấn công, giả mạo, smurf, và Land attacks... Có một số cấu hình có
thể được thực hiện cho các Registry để đảm bảo vững chắc choTCP / IP trong Windows2003. Cấu
hình Đây là khuyến cáo của Microsoft, được thiết kế đặc biệt giúp bảo vệ chống lại các cuộc tấn
công từ chối dịch.Các thiết lập sau đây có thể được cấu hình trong Registry. Hãy nhớ phải cẩn thận
trong Registry, là lỗi trong cấu hình có thể là nguyên nhân.Windows để không có chức năng còn
đúng và có thể yêu cầu phải cài đặt lại.Tấ cả cấu hình sau đây, đó là tất cả các giá, được tìm thấy ở
Registry:_MACHINE HKEY_LOCAL \ SYSTEM \ CurrentControlSet \Services.
Syn Attack Defense
Nếu ai hiểu về sự nguy hiểm cũng như nguy cơ tiềm ẩn của hệ thống có thể bị tấn công DoS
(Denial of service) sẽ có sự chuẩn bị tốt nhất cho hệ thống, giảm tối thiểu các ảnh hưởng của các
cuộc tấn công đó là yêu cầu luôn được các nhà quản trị mạng đặt ra. Trong bài viết này tôi giới
thiệu cách hạn chế các tấn công DoS trong hệ thống Windows Server 2003.
Trước tiên bạn phải cập nhật bản vá lỗi mới nhất từ Microsoft và chắc chắn không còn bản vá lỗi
nào chưa được cài đặt. Các thông tin về các bản update có trên website Và việc harden (làm rắn –
đảm bảo vững chắc) cho giao thức TCP/IP trên máy chủ Windows Server 2003 là việc cần làm với
nhà quản trị mạng. Với mặc định các cấu hình trong TCP/IP được thiết lập chuẩn cho việc trao đổi
thông tin một cách thuận tiện. Nếu máy tính của bạn kết nối chực tiếp với Internet thì theo khuyến
cáo của Microsoft bạn nên đảm bảo giao thức TCP/IP được cấu hình để hạn chế các cuộc tấn công
DoS.
Cấu hình các tham số TCP/IP trong Registry nhằm đảm bảo Harden cho TCP/IP
Một số lỗi có thể sẽ sảy ra khi bạn chỉnh sửa các thông số trong registry bằng việc sử dụng
Registry Editor hoặc bằng một phương pháp nào khác. Một số lỗi xảy ra có thể buộc bạn phải cài
lại hệ điều hành. Microsoft không thể cam đoan là tất cả các lỗi đều có thể khắc phục được. Việc
chỉnh sửa registry là một nguy cơ rất lớn.

Dưới đây là các thông số của TCP/IP trong registry và bạn có thể cấu hình để nâng cao tính vững
chắc cho giao thức TCP/IP khi máy tính của bạn kết nối trực tiếp tới Internet. Tất cả các thông số
của nó trong registry được lưu tại.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
• Value name: SynAttackProtect
• Key: Tcpip\Parameters
• Value Type: REG_DWORD
• Valid Range: 0,1
• Default: 0
Các thông số trong TCP có thể là truyền lại các gói tin trong dạng SYN-ACKS. Khi bạn cấu hình
thông số này, các kết nối sẽ nhanh trong bị time out hơn trong các vụ tấn công SYN (là một dạng
tấn công DoS).
Dưới đây là vài thông số bạn có thể sử dụng để thiết lập trong Registry
0 (tham số mặc định): Không bảo vệ trước các cuộc tấn công SYN
1: Thiết lập SynAttackProtect là 1 sẽ tốt hơn và nó sẽ bảo vệ hệ thống trước các cuộc tấn công
SYN. Tham số này có nghĩa, nếu là 0 thì hệ thống sẽ truyền lại thông tin SYN-ACKS. Nếu bạn
thiết lập tham số là 1, khi một kết nối sẽ có kết quả time out nhanh hơn nếu như hệ thống phát hiện
thấy tấn công SYN. Windows sử dụng các tham số sau để hạn chế các vụ tấn công.
• TcpMaxPortsExhausted
• TCPMaxHalfOpen
• TCPMaxHalfOpenRetried
Lưu ý là trong phiên bản Windows Server 2003 Service Pack 1 tham số trong SynAttackProtect
với mặc định là 1
Dead Gateway