Page 129

Chỉ có IKE, Multicast, và Broadcast là vẫn được miễn, và không bị tác động bởi thiết lập Registry. Thông tin Kerberos và RSVP không được mặc định miễn nữa nếu như Registry này là 1. Chú ý: Cảm ơn Michael Howard và William Dixon thuộc Microsoft về những lời khuyên trên IPSec. Do cú pháp dòng lệnh mạnh, ipsecpol có thể quá kiểu cách. Trong ví dụ trước đó, ta thấy rằng danh sách bộ lọc phân tích từ trên xuống (giả sử rằng mỗi bộ lọc mới được ipsecpol viết lên phía trên của danh sách). Nếu ta chỉ đơn giản thay đổi trật tự áp dụng những nguyên tắc này sử dụng ipsecpol thì sẽ dẫn đến việc lọc không đầy đủ, đây là một vấn đề rất nan giải. Ngoài ra, dường như chưa có một phương cách nào giúp xác định dãy cổng bằng cú pháp filterspec đích hoặc nguồn. Do đó, mặc dầu các bộ lọc IPSec là bước cải tiến đáng chú ý cho việc lọc cổng TCP/IP, ta cần sử dụng cẩn thận và nhớ rằng bạn chỉ đóng những cổng cần thiết mà thôi. Tiếp theo, chúng tôi sẽ đưa ra một số lời khuyên thu được từ những thử nghiệm rộng rãi ipsecpol. ▼Nếu như bạn muốn loại bỏ một chính sách, đôi khi bạn sử dụng đối số -y sẽ giúp vô hiệu hóa các chính sách trước hoặc sau khi xóa chúng bằng khóa chuyển đổi –o. Chúng ta đã từng biết đến trường hợp ngay cả những chính sách đã bị xóa vẫn có tác dụng cho đến khi nó bị vô hiệu hóa hoàn toàn. ■ Sử dụng công cụ dòng lệnh ipsecpol hoặc GUI duy nhất khi tiến hành thay đổi các chính sách. Khi chúng ta tạo lập các chính sách sử dụng ipsecpol và sau đó hiệu chỉnh chúng thông qua GUI, những xung đột xuất hiện và để lại những kẽ hở lớn trong vấn đề bảo vệ. ▲ Đảm bảo rằng bạn xóa đi tất cả những nguyên tắc bộ lọc không sử dụng nhằm tránh xung đột. Đây là một khu vực mà GUI thể hiện hết tính năng đếm các bộ lọc hiện thời và các chính sách. ĐẾM Chương 3 cho ta thấy NT4 “thân thiện” như thế nào khi tác động tích cực nhằm phát hiện thông tin như tên đối tượng sử dụng, phần dùng chung file, …Trong chương đó, chúng ta cũng đã biết cách dịch vụ NetBIOS thu thập dữ liệu đối với các đối tượng sử dụng nặc danh trên vùng trống nguy hiểm. Chúng ta cũng biết Active Directory để lộ thông tin cho những kẻ tấn công chưa được xác định như thế nào. Trong phần này chúng ta không miêu tả lại những cuộc tấn công đó nữa nhưng ta cần chú ý rằng Windows 2000 cung cấp một số biện pháp mới nhằm khắc phục những sự cố NetBIOS và SMB. Khả năng tự họat động mà không dựa trên NetBIOS có thể là một trong những thay đổi quan trọng nhất trong Windows 2000. Như đã đề cập trong Chương 3, NetBIOS trên TCP/IP có thẻ bị vô hiệu hóa sử dụng Các tính năng của Network và Dial-up Connections thích hợp | Properties of Internet

Bảo mật mạng và bí quyết giải pháp[bookbooming.com]  
Bảo mật mạng và bí quyết giải pháp[bookbooming.com]  
Advertisement