我知道我们都努力在保持我们用户的工作站被locking但仍然可用之间取得平衡。 我有一个用户不断安装工具栏,游戏,恶意软件等的客户真正的问题,我真的希望能够拿走他们的本地pipe理权(pipe理层也是如此)。 问题是他们依靠一些写得不好的应用程序,需要本地pipe理员权限才能正常运行。 在有人build议之前,不可能摆脱这些应用程序。 我意识到我可以使用runas命令为这些应用程序创build自定义快捷方式,并保存本地pipe理员凭据。 这个解决scheme的问题是: 我必须为每个用户手动提供本地pipe理员凭据。 某些程序依赖本地用户configuration文件中的数据,如果“欺骗”到认为它们正在ComputerName \ Administratorconfiguration文件下运行,则无法正常运行。 我所喜欢的是安装一些应用程序或应用组策略,允许我指定应允许提升本地configuration文件权限的应用程序。 有没有像这样的解决scheme? 其他人如何处理locking工作站,仍然支持遗留/编写不当的软件?
数字签名 数字签名发生在您将私钥应用于特定的邮件(或大多数情况下,该邮件的哈希值)。 然后收件人将您的公钥 (公开可用)毫不奇怪,然后通过将其应用于签名的邮件来validation您的身份。 encryption 另一方面的encryption发生,你把你的信息是谁的人的公钥 ,并将其应用于消息。 一旦你完成了这个任务,你实际上已经locking了每个人(包括你自己),解锁这个消息的唯一方法就是让接收者把他们的私钥应用到encryption的消息中。 “应用” 在上面的两个场景中,我使用了“apply”这个术语,那是因为这是我的最后一个问题。 数字encryption和签名基本上是一个非常大的数字(公钥/私钥)在math上适合于消息的math乘法。 当私钥被公钥“相乘”时,它们相互抵消(有些简化的描述)。 我已经在这里用Diffie-Helman写了一个简单的例子。 问题/安全问题 现在考虑到这一点,我正在考虑这个场景。 想象一下,你使用标准的不对称密码(pri / pub keys)来窃取秘密信息,并对其进行encryption。 然后,您通过不安全的渠道将该消息发送给收件人。 窃听者点击线路并捕获您的消息。 然而,对他们的消息是encryption的 – 他们猜测消息的真正接收者(拥有相应私钥的人)使用相同的公钥/私钥对进行签名,就像encryption一样。 他们以某种方式操纵/说服消息的真正收件人签署“一些文件”,并且假设她是这样做的。 文档当然是被捕获的消息,但收件人不知道这一点。 刚刚发生了什么? 收件人已将她的私钥应用于已由其公钥签名的邮件。 然后,她会把这个消息交给行凶者(让我们假设这是一个盲目的请求)。 攻击者现在有解密的消息? 澄清问题 谢谢大家的回应 – 似乎我没有把我的问题说出来,因为每个人都误解了 – 这是我的错,所以很抱歉。 澄清 :假设对整个消息执行“签名”操作(这里是学术目的),而不是该消息的散列。 是的,我知道这不是实际完成的,而且由于原因(包括性能和大小),签名是在消息的固定长度encryption哈希上完成的,而不是消息本身,但是对于这个问题,请假装这个事实并非如此。
如果尝试使用错误的密码或login尝试失败,如何延迟来自SSH的重试响应。 我希望延迟比平常多2-3秒。 我找不到在sshd_config文件中的任何选项来实现相同的。 所以任何人都可以让我知道我应该如何去做。
今天的大多数防火墙/ VPN设备允许您select可用的各种隧道技术之一。 最受欢迎的是IPSEC和PPTP,尽pipe我听说过OpenVPN的好处。 OpenVPN比另外两个有什么好处? 我最好使用IPSEC还是PPTP? 最重要的是哪个是最安全的,还是他们“足够好”?
如果我用nmap扫描我的服务器,它显示21端口打开。 但是当我login到这个服务器并运行netstat时,我什么都看不到。 $ nmap -sT服务器 开始Nmap 4.76(http://nmap.org)在2009-06-24 11:54 MSD 服务器上有趣的端口(xxxx): 未显示:994个已过滤的端口 港口国服务 21 / tcp open ftp 22 / tcp打开ssh … Nmap完成:1个IP地址(1个主机)在7.97秒内扫描 $ netstat –listen –tcp –numeric 怎么会这样? 这可能是一个安全问题? UPD:与nmap连接时的tcpdump输出 13:13:02.982805 IP 10.19.10.2.51983> server.ftp:S 767068541:767068541(0)win 5840 13:13:04.096705 IP 10.19.10.2.52000> server.ftp:S 792080356:792080356(0)win 5840 13:13:04.131169 IP server.ftp> 10.19.10.2.52000:S 3312178661:3312178661(0)ack 792080357 win 32768 13:13:04.131346 IP 10.19.10.2.52000> server.ftp:。 ack […]
什么是IIS的最佳Web应用程序防火墙(WAF)? 是什么让它比别人更好? 它是如何有用的阻止攻击写不好的代码,否则被称为入侵防御系统(IPS)? PCI-DSS需要WAF,所以如果我必须得到一个,那么它应该是最好的。
locking应用程序服务器。 服务器托pipe通过http提供的Web应用程序。 还有其他一些端口也打开。 端口53对DNS打开。 为什么我需要这个? 额外:(不需要回答这个,但是…)这个命令是否会在Linux中使用iptables打开该端口 # iptables -A INPUT -m tcp -p tcp –dport 53 -j ACCEPT
假设您有一台运行各种敏感服务的Windows Server计算机。 假设这些服务之一非常简单,在文本文件中保留less量的信息,但是由于被严重编码,有一个(未知的)任意代码执行漏洞。 是否有可能为该服务设置一个用户帐户,以便如果黑客成功利用此漏洞,他们可以做的最大的损害是读/写这个文本文件,搞砸这个特定的服务,并可能列出文件C:\ Windows的,但没有别的? 一个天真的尝试立即遇到一个问题:任何人在“用户”可以写入C:\ Program Files文件,并从该目录的ACL删除“用户”导致权限错误,让我怀疑,也许,是否一个非常糟糕的主意。 或者,如果攻击者可以执行任意代码,游戏已经丢失了,而不pipe使用哪个用户帐户? 我一直以为Windows NT的后代能够控制这个,但现在我已经试过了,我不再那么肯定了。
我需要做什么来收紧面向互联网的应用程序的ColdFusion服务器? 唯一特别想到的是将CFIDE和JRunScripts目录限制到本地子网。 我可以调整pipe理员的设置,使应用程序更安全吗?
我正在寻找一个新的pipe理工具包的工具,并会重视一些build议。 我想对一些XSS(跨站点脚本)恶意网站进行一些“自动”testing,同时检查SQL注入机会。 我意识到自动化的工具方法不一定是唯一的或最好的解决scheme,但我希望这会给我一个很好的开始。 我需要扫描的网站覆盖从PHP / MySQL到Coldfusion的堆栈范围,一些经典的ASP和ASP.NET混合在一起是很好的措施。 你会用什么工具来扫描Web应用程序的恶意? (请注意我直接关注networking应用程序,而不是服务器本身)。