学习情境二主机入侵技术的应用与防护任务二主机的远程控制与防护

学习情境二主机入侵技术的应用与防护 任务二主机的远程控制与防护课程负责人：杨文虎济南铁道职业技术学院信息工程系

任务规划 学生探究师生析疑完成任务检查评测综合创新 2.2 主机的远程控制与防护教学的实施过程明确需要完成的工作任务；教师进行点评、确定最终的实施方法；对技术问题进行讲授和答疑。思考、探讨完成任务需要的相关资料，搜集资料，制定工作计划学生分组相互检查任务完成情况，分析不足，给出评价；教师对学生的日志和总结进行分析，给出评价。学生进入网络实训室，根据工作计划完成每个工作项目，完成每个项目实施日志和心得总结探索更多的主机的远程控制与防护的方法，让主机可以更安全的进行远程管理操作。

2.2 主机的远程控制与防护 问题引领 • 什么是如何通过各种方式远程管理计算机？ • Telnet入侵的方法有哪些？ • 完成远程管理计算机需要哪些工具和它们的具体使用方法。

2.2 主机的远程控制与防护 项目一、使用远程管理计算机一、远程管理的原理远程管理是在网络上由一台电脑（主控端 Remote/客户端）远距离去控制另一台电脑（被控端 Host/服务器端）的技术。远程控制必须通过网络才能进行。位于本地的计算机是操纵指令的发出端，称为主控端或客户端，非本地的被控计算机叫做被控端或服务器端。“远程”不等同于远距离，主控端和被控端可以是位于同一局域网的同一房间中，也可以是连入Internet的处在任何位置的两台或多台计算机。入侵者通过建立IPC$连接就可以通过Windows自带的“计算机管理”工具控制远程计算机。

2.2 主机的远程控制与防护 项目一、使用远程管理计算机二、计算机管理工具的打开 1.通过控制面板-管理工具-计算机管理

2.2 主机的远程控制与防护 项目二、Telnet入侵以及可以去掉NTLM验证一、Telnet 概述 Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器。终端使用者可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个telnet会话，必须输入用户名和密码来登录服务器。Telnet是常用的远程控制Web服务器的方法。

2.2 主机的远程控制与防护 项目二、Telnet入侵以及可以去掉NTLM验证步骤一：建立IPC$连接。其中sysback是前面建立的后门账号，命令如图所示。步骤二：开启远程主机中被禁用的Telnet服务，如图所示。步骤三：断开IPC$连接，如图所示。

2.2 主机的远程控制与防护 项目二、Telnet入侵以及可以去掉NTLM验证步骤四：去掉NTLM验证。如果没有去除远程计算机上的NTLM验证，在登录远程计算机的时候就会失败，如图所示。

2.2 主机的远程控制与防护 项目二、Telnet入侵以及可以去掉NTLM验证不过入侵者会使用各种方法使NTLM验证形同虚设。解除NTLM的方法有很多，下面列出一些常用的方法，来看看入侵者如何去除NTLM验证。首先在本地计算机上建立一个与远程主机上相同的账号和密码，如图所示。然后，通过“开始”→“程序”→“附件”找到“命令提示符”，使用鼠标右键单击“命令提示符”，然后选择“属性”，打开后如图所示。

2.2 主机的远程控制与防护 项目二、Telnet入侵以及可以去掉NTLM验证在“以其他用户身份运行（U）”前面“打钩”，然后单击“确定”按钮。接着，仍然按照上述路径找到“命令提示符”，用鼠标左键单击打开，得到如图所示对话框。如图所示，键入“用户名”和“密码”。

2.2 主机的远程控制与防护 项目二、Telnet入侵以及可以去掉NTLM验证单击“确定”按钮后，得到MS-DOS界面，然后用该MS-DOS进行Telnet登录，如图所示。键入“telnet 192.168.27.128”命令并回车后，在得到的界面中键入“y”表示发送密码并登录，如图所示。

2.2 主机的远程控制与防护 项目二、Telnet入侵以及可以去掉NTLM验证最后得到如图所示。这就是远程主机为Telnet终端用户打开的Shell，在该Shell中输入的命令将会直接在远程计算机上执行。

2.2 主机的远程控制与防护 项目三、服务的注入 • （一）Instsrv简介 • Instsrv是一款用命令行就可以安装、卸载服务的程序，可以自由指定服务名称和服务所执行的程序 • 使用方式： • Instsrv <服务名称><执行程序的位置> • Instsrv <服务名称>REMOVE • Windows执行telnet服务实际上运行的是： • C:\Winnt\System32\tlntsvr.exe

2.2 主机的远程控制与防护 项目三、服务的注入（二）安装隐蔽的telnet服务使用instsrv.exe建立一个名为syshealth的服务

2.2 主机的远程控制与防护 项目三、服务的注入

2.2 主机的远程控制与防护 项目四、远程命令的执行能够远程执行命令，也就完全控制了远程主机。使用Telnet执行远程命令就是其中一种主要方法。使用工具PSEXEC可以不用Telnet实现远程命令的执行。使用方法PSEXEC \\computer [-u user][-p password][-s][-i][-c][-f][-d] cmd [arguments] PSEXEC使用实例一：通过PSEXEC实现与Telnet登录同样的功能使用命令psexec \\192.168.0.106 –u administrator –p “” cmd

2.2 主机的远程控制与防护 项目四、远程命令的执行 PSEXEC使用实例二：使用PSEXEC，将本地可执行程序拷贝到远程主机执行

2.2 主机的远程控制与防护 项目五、主机的远程控制防护（一）、为系统帐户改名，防登录测试 Administrator和guest是Windows 2000/XP/2003默认的系统帐户，正因如此它们是最可能被利用，攻击者通过破解码而登录服务器。对此，我们可以通过为其改名进行防范。 administrator改名：“开始→运行”，在其中输入Secpol.msc回车打开本地安全组策略，在左侧窗格中依次展开“安全设置→本地策略→安全选项”，在右侧找到并双击打开“帐户：重命名系统管理员帐户”，然后在其中输入新的名称比如gslw即可。

2.2 主机的远程控制与防护 项目五、主机的远程控制防护（二）、启用密码策略，防暴力破解　　如果系统的密码不复合型复杂性要求，就有可能被暴力破解。而用户常常为了方便记忆，密码总是比较简单。为此我们可以启用密码策略，强制用户设置复杂密码。　　密码策略作用于域帐户或本地帐户，其中就包含以下几个方面：强制密码历史，密码最长使用期限，密码最短使用期限，密码长度最小值，密码必须符合复杂性要求，用可还原的加密来存储密码。　　对于本地计算机的用户帐户，其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法：执行“开始→管理工具→本地安全策略 ”打开“本地安全设置”窗口。打开“用户策略”选项，然后再选择“密码策略”选项，在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。然后双击相应的项打开“属性”后进行配置。需要说明的是，“强制密码历史”和“用可还原的加密来储存密码”这两项密码策略最好保持默认，不要去修改。

2.2 主机的远程控制与防护 项目五、主机的远程控制防护图2

2.2 主机的远程控制与防护 项目五、主机的远程控制防护（三）、启用帐户锁定，防恶意登录当系统帐户密码不够“强壮”时，非法用户很容易通过多次重试“猜”出用户密码而登录系统，存在很大的安全风险。那如何来防止黑客猜解或者爆破服务器密码呢? 　　其实，要避免这一情况，通过组策略设置帐户锁定策略即可完美解决。此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定，在帐户锁定期满之前，该用户将不可使用，除非管理员手动解除锁定。其设置方法如下：　　在开始菜单的搜索框输入“Gpedit.msc”打开组策略对象编辑器，然后依次点击定位到“计算机设置→Windows设置→安全设置→帐户策略→帐户锁定策略”策略项下。双击右侧的“帐户锁定阈值”，此项设置触发用户帐户被锁定的登录尝试失败的次数。该值在0到999之间，默认为0表示登录次数不受限制。大家可以根据自己的安全策略进行设置，比如设置为5。

2.2 主机的远程控制与防护 项目五、主机的远程控制防护

谢谢！

学习情境二 主机入侵技术的应用与防护 任务二 主机的远程控制与防护