09-計算機(jī)網(wǎng)絡(luò)安全(3)-安全操作系統(tǒng)基礎(chǔ)

1、1 內(nèi)容提要介紹安全操作系統(tǒng)的基本概念、實現(xiàn)機(jī)制、安全模型以及安全體系結(jié)構(gòu)操作系統(tǒng)攻擊 安全操作系統(tǒng)邀請操作系統(tǒng)安全配置2通常計算機(jī)由兩部分組成：硬件和軟件。操作系統(tǒng)是系統(tǒng)軟件中最基本部分，主要作用是：管理系統(tǒng)資源；共享系統(tǒng)資源，對資源合理調(diào)度；提供輸入輸出的便利，簡化用戶工作；規(guī)定用戶接口，發(fā)現(xiàn)并處理各種錯誤的發(fā)生1操作系統(tǒng)概述2022/7/21操作系統(tǒng)安全是系統(tǒng)安全的基礎(chǔ)，上層軟件要獲得運行的可靠性和信息的完整性、保密性，必須依賴于操作系統(tǒng)提供的系統(tǒng)軟件基礎(chǔ)。在網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)安全性依賴于網(wǎng)絡(luò)中各主機(jī)的安全性，而主機(jī)的安全性是由其操作系統(tǒng)的安全性所決定的。操作系統(tǒng)安全32022/7/21類

2、別級別名稱主要特征AA1 驗證設(shè)計形式化的最高級描述和驗證，形式化的隱蔽通道分析，非形式化的代碼對應(yīng)證明BB3安全區(qū)域存取監(jiān)控，高抗?jié)B透能力B2結(jié)構(gòu)化保護(hù)形式化模型/隱通道約束、面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B1標(biāo)識的安全保護(hù)強(qiáng)制存取控制、安全標(biāo)識CC2受控制的存取控制單獨的可查性、廣泛的審計跟蹤C(jī)1自主安全保護(hù)自主存取控制DD低級保護(hù)相當(dāng)于無安全功能的個人微機(jī)TCSEC:可信計算機(jī)系統(tǒng)安全等級42022/7/21操作系統(tǒng)級別OSF/1B1級Linux/Unix/NetwareC2級MS WinNT/2000,XPC2級SalorisC2級DOS/Win9XD級幾種操作系統(tǒng)的安全等級UN

3、IX操作系統(tǒng)UNIX操作系統(tǒng)是由美國貝爾實驗室開發(fā)的一種多用戶、多任務(wù)的通用操作系統(tǒng)。它從一個實驗室的產(chǎn)品發(fā)展成為當(dāng)前使用普遍、影響深遠(yuǎn)的主流操作系統(tǒng)。UNIX操作系統(tǒng)經(jīng)過20多年的發(fā)展，已經(jīng)成為一種成熟的主流操作系統(tǒng) 6 UNIX操作系統(tǒng)比較有影響的版本包括：SUN公司的SUN OS操作系統(tǒng)Microsoft和SCO公司的XENIX操作系統(tǒng)，Interactive公司的UNIX 386/x操作系統(tǒng)，DEC公司ULTRIX操作系統(tǒng)，IBM公司的AIX操作系統(tǒng)，HP公司HP-UX操作系統(tǒng)，SCO公司的UNIX和ODT操作系統(tǒng)UN公司的Solaris操作系統(tǒng)。7 UNIX操作系統(tǒng)5個主要特色（1）

4、可靠性高。（2）極強(qiáng)的伸縮性。（3）網(wǎng)絡(luò)功能強(qiáng)。（4）強(qiáng)大的數(shù)據(jù)庫支持功能。（5）開放性好。8 Linux系統(tǒng) Linux是一套可以免費使用和自由傳播的類Unix操作系統(tǒng)，是由世界各地成千上萬程序員設(shè)計和實現(xiàn)的。其目的是建立不受商品化軟件版權(quán)制約的、全世界都能自由使用Unix兼容產(chǎn)品。Linux最早開始于一位名叫Linus Torvalds的計算機(jī)業(yè)余愛好者，當(dāng)時他是芬蘭赫爾辛基大學(xué)的學(xué)生。目的是想設(shè)計一個代替Minix（Andrew Tannebaum教授編寫的一個操作系統(tǒng)示教程序）的操作系統(tǒng)。這個操作系統(tǒng)可用于386、486或奔騰處理器的個人計算機(jī)上，并且具有Unix操作系統(tǒng)的全部功能。9

5、 Linux是一個免費的操作系統(tǒng)，用戶可以免費獲得其源代碼，并能夠隨意修改。它是在共用許可證GPL(General Public License)保護(hù)下的自由軟件，也有好幾種版本，如Red Hat Linux、Slackware，以及國內(nèi)的Xteam Linux、紅旗Linux等等。10 Linux系統(tǒng) Linux優(yōu)點（1）完全免費（2）完全兼容POSIX 1.0標(biāo)準(zhǔn)（3）多用戶、多任務(wù)（4）良好的界面（5）豐富的網(wǎng)絡(luò)功能（6）可靠的安全、穩(wěn)定性能 （7）支持多種平臺 11 Windows系統(tǒng)Windows NT（New Technology）是微軟公司第一個真正意義上的網(wǎng)絡(luò)操作系統(tǒng)，發(fā)展經(jīng)過

6、NT3.0、NT40、NT5.0（Windows 2000）和NT6.0（Windows 2003）等眾多版本，并逐步占據(jù)了廣大的中小網(wǎng)絡(luò)操作系統(tǒng)的市場。Windows NT眾多版本的操作系統(tǒng)使用了與Windows 9X完全一致的用戶界面和完全相同的操作方法，使用戶使用起來比較方便。與Windows 9X相比，Windows NT的網(wǎng)絡(luò)功能更加強(qiáng)大并且安全。12 Windows NT優(yōu)點（1）支持多種網(wǎng)絡(luò)協(xié)議：各種版本W(wǎng)indows 95/98、Apple Macintosh、Unix、OS/2等等，TCP/IP協(xié)議、IPX/SPX等。（2）內(nèi)置Internet功能：內(nèi)置了IIS（Intern

7、et Information Server），可以使網(wǎng)絡(luò)管理員輕松的配置WWW和FTP等服務(wù)。（3）支持NTFS文件系統(tǒng)：同時支持FAT和NTFS的磁盤分區(qū)格式。NTFS提高文件管理的安全性。13 142操作系統(tǒng)攻擊 針對認(rèn)證的攻擊基于漏洞的攻擊直接攻擊 被動攻擊 2022/7/21151. 針對認(rèn)證的攻擊 操作系統(tǒng)通過認(rèn)證手段鑒別并控制計算機(jī)用戶對系統(tǒng)的登錄和訪問。雖然操作系統(tǒng)提供了多種認(rèn)證登錄手段，但在認(rèn)證機(jī)制方面存在缺陷或者不健全之處，可以實施對操作系統(tǒng)的攻擊。常見的有：利用字典攻擊或者暴力破解等手段，獲取操作系統(tǒng)的賬號口令；利用Windows的IPC$功能，實現(xiàn)空連接并傳輸惡意代碼；利

8、用遠(yuǎn)程終端服務(wù)即3389端口，開啟遠(yuǎn)程桌面控制等。2022/7/2116系統(tǒng)漏洞是攻擊者對操作系統(tǒng)進(jìn)行攻擊時經(jīng)常利用的手段。在系統(tǒng)存在漏洞的情況下，通過攻擊腳本，可以使攻擊者遠(yuǎn)程獲得對操作系統(tǒng)的控制。對系統(tǒng)威脅最大的漏洞包括:遠(yuǎn)程溢出漏洞本地提權(quán)類漏洞用戶交互類漏洞等。2. 基于漏洞的攻擊 2022/7/21微軟公司每月定期對外公布Windows漏洞。17直接攻擊是攻擊者在對方防護(hù)很嚴(yán)密的情況下，通常采用的一種攻擊方法。攻擊者采用電子郵件，以及QQ、MSN等即時消息軟件，發(fā)送帶有惡意代碼的信息，通過誘騙對方點擊，安裝惡意代碼。這種攻擊手段，可直接穿過防火墻等防范手段對系統(tǒng)進(jìn)行攻擊。3. 直接攻

9、擊 2022/7/21當(dāng)操作系統(tǒng)的補(bǔ)丁及時打上，并配備防火墻、防病毒、網(wǎng)絡(luò)監(jiān)控等基本防護(hù)手段時，通過上面的攻擊手段就難以奏效。18被動攻擊是通過建立或者攻陷一個對外提供服務(wù)的應(yīng)用服務(wù)器，篡改網(wǎng)頁內(nèi)容，設(shè)置惡意代碼，誘騙普通用戶點擊的情況下，對普通用戶進(jìn)行的攻擊。由于普通用戶不知網(wǎng)頁被篡改后含有惡意代碼，自己點擊后被動的安裝上惡意軟件，從而被實施了對系統(tǒng)的有效滲透。被動攻擊通常是在沒有明確的攻擊目標(biāo)，并且對方防范措施比較嚴(yán)密情況下的一種攻擊手段。4. 被動攻擊 2022/7/21一般所說的操作系統(tǒng)的安全通常包含兩個方面內(nèi)容：安全機(jī)制：操作系統(tǒng)在設(shè)計時通過權(quán)限訪問控制、信息加密性保護(hù)、完整性鑒定等

10、機(jī)制實現(xiàn)的安全。安全設(shè)置：操作系統(tǒng)在使用中，通過一系列的配置，保證操作系統(tǒng)避免由于實現(xiàn)時的缺陷或是應(yīng)用環(huán)境因素產(chǎn)生的不安全因素。192022/7/213 安全操作系統(tǒng)3.1 安全操作系統(tǒng)的基本概念安全操作系統(tǒng)涉及很多概念：主體和客體安全策略和安全模型訪問監(jiān)控器安全內(nèi)核可信計算基。20 3.2 主體和客體操作系統(tǒng)中的每一個實體組件都必須是主體或者是客體，或者既是主體又是客體。主體是一個主動的實體，它包括用戶、用戶組、進(jìn)程等?？腕w是一個被動的實體。在操作系統(tǒng)中，客體可以是按照一定格式存儲在一定記錄介質(zhì)上的數(shù)據(jù)信息（通常以文件系統(tǒng)格式存儲數(shù)據(jù)），也可以是操作系統(tǒng)中的進(jìn)程。21 3.3 安全策略和安全

11、模型安全策略是指有關(guān)管理、保護(hù)和發(fā)布敏感信息的法律、規(guī)定和實施細(xì)則。安全策略由一整套嚴(yán)密的規(guī)則組成，這些確定授權(quán)存取的規(guī)則是決定存取控制的基礎(chǔ)。許多系統(tǒng)的安全控制遭到失敗，主要不是因為程序錯誤，而是沒有明確的安全策略。22 3.3 安全策略和安全模型安全模型則是對安全策略所表達(dá)的安全需求的簡單、抽象和無歧義的描述，它為安全策略和安全策略實現(xiàn)機(jī)制的關(guān)聯(lián)提供了一種框架。安全模型描述了對某個安全策略需要用哪種機(jī)制來滿足；而模型的實現(xiàn)則描述了如何把特定的機(jī)制應(yīng)用于系統(tǒng)中，從而實現(xiàn)某一特定安全策略所需的安全保護(hù)。23 3.4 訪問監(jiān)控器和安全內(nèi)核訪問控制機(jī)制的實現(xiàn)是訪問監(jiān)控器。訪問監(jiān)控器是實現(xiàn)訪問監(jiān)控器

12、思想的硬件和軟件的組合。 24 3.5 訪問監(jiān)控器和安全內(nèi)核訪問控制器依據(jù)安全策略控制從主體到客體的每一次存取，并將重要的安全事件存入審計文件之中。訪問控制數(shù)據(jù)庫包含有關(guān)由主體存取的客體及其存取方式的信息。數(shù)據(jù)庫是動態(tài)的，它隨著主體和客體的產(chǎn)生或刪除及其權(quán)限的修改而改變。25 3.6 訪問監(jiān)控器和安全內(nèi)核在操作系統(tǒng)中，可用其中安全相關(guān)的軟件來構(gòu)成操作系統(tǒng)的一個可信內(nèi)核，稱之為安全內(nèi)核。安全內(nèi)核必須予以適當(dāng)?shù)谋Ｗo(hù)，不能篡改。同時絕不能有任何繞過安全內(nèi)核存取控制檢查的存取行為存在。安全內(nèi)核必須盡可能地小，便于進(jìn)行正確性驗證。安全內(nèi)核由硬件和介于硬件和操作系統(tǒng)之間的一層軟件組成。 26 操作系統(tǒng)安全

13、內(nèi)核 27 3.7 可信計算基操作系統(tǒng)的安全依賴于一些具體實施安全策略的可信的軟件和硬件。這些軟件、硬件和負(fù)責(zé)系統(tǒng)安全管理的人員一起組成了系統(tǒng)的可信計算基（Trusted Computing Base，TCB）。具體來說可信計算基由以下7個部分組成：1. 操作系統(tǒng)的安全內(nèi)核。2. 具有特權(quán)的程序和命令。3. 處理敏感信息的程序，如系統(tǒng)管理命令等。4. 與TCB實施安全策略有關(guān)的文件。5. 其它有關(guān)的固件、硬件和設(shè)備。 6. 負(fù)責(zé)系統(tǒng)管理的人員。 7. 保障固件和硬件正確的程序和診斷軟件。28 4 安全操作系統(tǒng)的機(jī)制安全操作系統(tǒng)的機(jī)制包括：硬件安全機(jī)制，操作系統(tǒng)的安全標(biāo)識與鑒別，訪問控制、最小特

14、權(quán)管理、可信通路和安全審計。29 4.1 硬件安全機(jī)制絕大多數(shù)實現(xiàn)操作系統(tǒng)安全的硬件機(jī)制也是傳統(tǒng)操作系統(tǒng)所要求的，優(yōu)秀的硬件保護(hù)性能是高效、可靠的操作系統(tǒng)的基礎(chǔ)。計算機(jī)硬件安全的目標(biāo)是，保證其自身的可靠性和為系統(tǒng)提供基本安全機(jī)制。其中基本安全機(jī)制包括：存儲保護(hù)、運行保護(hù)、I/O保護(hù)等。30 4.2 標(biāo)識與鑒別標(biāo)識就是系統(tǒng)要標(biāo)識用戶的身份，并為每個用戶取一個系統(tǒng)可以識別的內(nèi)部名稱用戶標(biāo)識符。用戶標(biāo)識符必須是惟一的且不能被偽造，防止一個用戶冒充另一個用戶。將用戶標(biāo)識符與用戶聯(lián)系的過程稱為鑒別，鑒別過程主要用以識別用戶的真實身份，鑒別操作總是要求用戶具有能夠證明他的身份的特殊信息，并且這個信息是秘密

15、的，任何其他用戶都不能擁有它。31 4.3 訪問控制在安全操作系統(tǒng)領(lǐng)域中，訪問控制一般都涉及自主訪問控制（Discretionary Access Control，DAC）強(qiáng)制訪問控制（Mandatory Access Control，MAC）兩種形式32 4.4 最小特權(quán)管理最小特權(quán)管理的思想是系統(tǒng)不應(yīng)給用戶超過執(zhí)行任務(wù)所需特權(quán)以外的特權(quán)，如將超級用戶的特權(quán)劃分為一組細(xì)粒度的特權(quán)，分別授予不同的系統(tǒng)操作員/管理員，使各種系統(tǒng)操作員/管理員只具有完成其任務(wù)所需的特權(quán)，從而減少由于特權(quán)用戶口令丟失或錯誤軟件、惡意軟件、誤操作所引起的損失。33 4.5可信通路用戶是通過不可信的中間應(yīng)用層和操作系統(tǒng)

16、相互作用的。但用戶登錄，定義用戶的安全屬性，改變文件的安全級等操作，用戶必須確實與安全核心通信，而不是與一個特洛伊木馬打交道。系統(tǒng)必須防止特洛伊木馬模仿登錄過程，竊取用戶的口令。特權(quán)用戶在進(jìn)行特權(quán)操作時，也要有辦法證實從終端上輸出的信息是正確的，而不是來自于特洛伊木馬。這些都需要一個機(jī)制保障用戶和內(nèi)核的通信，這種機(jī)制就是由可信通路提供的。34 4.6安全審計安全審計就是對系統(tǒng)中有關(guān)安全的活動進(jìn)行記錄、檢查及審核。它的主要目的就是檢測和阻止非法用戶對計算機(jī)系統(tǒng)的入侵，并顯示合法用戶的誤操作。審計為系統(tǒng)進(jìn)行事故原因的查詢、定位，事故發(fā)生前的預(yù)測、報警以及事故發(fā)生之后的實時處理提供詳細(xì)、可靠的依據(jù)和

17、支持，以備有違反系統(tǒng)安全規(guī)則的事件發(fā)生后能夠有效地追查事件發(fā)生的地點和過程以及責(zé)任人。35 5操作系統(tǒng)安全配置常規(guī)的操作系統(tǒng)安全配置用戶安全配置密碼安全配置系統(tǒng)安全配置服務(wù)安全配置 注冊表配置 362022/7/21用戶安全配置（ 1/10）1、新建用戶：帳號便于記憶與使用，而密碼則要求有一定的長度與復(fù)雜度。 372022/7/212帳戶授權(quán)對不同的帳戶進(jìn)行授權(quán)，使其擁有和身份相應(yīng)的權(quán)限。 用戶安全配置（ 2/10）382022/7/213停用Guest用戶把Guest賬號禁用，并且修改Guest帳號的屬性,設(shè)置拒絕遠(yuǎn)程訪問 。用戶安全配置（ 3/10）392022/7/214系統(tǒng)Admini

18、strator賬號改名 防止管理員賬號密碼被窮舉，偽裝成普通用戶。用戶安全配置（ 4/10）402022/7/215創(chuàng)建一個陷阱用戶 將管理員賬號權(quán)限設(shè)置最低，延緩攻擊企圖。 用戶安全配置（ 5/10）412022/7/216更改默認(rèn)權(quán)限 將共享文件的權(quán)限從“Everyone”改成“授權(quán)用戶” 。用戶安全配置（ 6/10）422022/7/217不顯示上次登錄用戶名防止密碼猜測，打開注冊表編輯器并找到注冊表項 “HKEY_CURRENTSoftwareMicrosoft WindowsNTCurrentVersionWinlogonDontDisplayLastUserName”，把REG_S

19、Z的鍵值改成1。 用戶安全配置（ 7/10）432022/7/218限制用戶數(shù)量 減少入侵突破口，賬戶數(shù)不大于10(二進(jìn)制) 。 9多個管理員帳號 減少管理員賬號使用時間，避免被破解 。創(chuàng)建一個一般用戶權(quán)限帳號用來處理電子郵件及處理一些日常事務(wù)，創(chuàng)建另一個有Administrator權(quán)限的帳戶在需要的時候使用。用戶安全配置（ 8，9/10）442022/7/2110開啟用戶策略 可以有效的防止字典式攻擊 。 當(dāng)某一用戶連續(xù)5次錄都失敗后將自動鎖定該帳戶，30分鐘后自動復(fù)位被鎖定的帳戶。 用戶安全配置（ 10/10）452022/7/21密碼安全配置 （1/4）安全密碼 創(chuàng)建帳號時不用公司名、計

20、算機(jī)名、或者一些別的容易猜到的字符做用戶名，密碼設(shè)置要復(fù)雜。安全期內(nèi)無法破解出來的密碼就是安全密碼（密碼策略是42天必須改密碼） 。462022/7/212開啟密碼策略 對不同的帳戶進(jìn)行授權(quán)，使其擁有和身份相應(yīng)的權(quán)限。 策略設(shè)置要求密碼復(fù)雜性要求啟用數(shù)字和字母組合密碼最小值6位長度至少為6密碼最長存留期15天超期要求改密碼強(qiáng)制密碼歷史5次不能設(shè)置相同密碼密碼安全配置 （2/4）472022/7/213設(shè)置屏幕保護(hù)密碼 防止內(nèi)部人員破壞服務(wù)器的一個屏障。注意不要使用OpenGL和一些復(fù)雜的屏幕保護(hù)程序浪費系統(tǒng)資源，黑屏就可以了 。密碼安全配置 （3/4）482022/7/214加密文件或文件夾

21、用加密工具來保護(hù)文件和文件夾，以防別人偷看 。 密碼安全配置 （4/4）492022/7/21系統(tǒng)安全配置（1/11） 1、使用NTFS格式分區(qū) 所有分區(qū)都改成NTFS格式，NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。502022/7/212運行防毒軟件 不僅可殺掉一些著名的病毒，還能查殺大量木馬和后門程序。要注意經(jīng)常運行程序并升級病毒庫。 系統(tǒng)安全配置（2/11） 512022/7/213下載最新的補(bǔ)丁經(jīng)常訪問微軟和一些安全站點，下載最新的Service Pack和漏洞補(bǔ)丁。 系統(tǒng)安全配置（3/11） 522022/7/214關(guān)閉默認(rèn)共享 防止利用默認(rèn)共享入侵。默認(rèn)共享目錄路

22、徑說 明C$ D$ E$分區(qū)的根目錄Win2003 Advanced Server版中，只有Administrator 和Backup Operators級成員才可連接，Win2000 Server版本Server Operators組也可以連接到這些共享目錄ADMIN$%SYSTEMTOOT%遠(yuǎn)程管理用的共享目錄。它的路徑永遠(yuǎn)都指向WIN2003的安裝路徑，比如C：winntIPC$IPC$共享提供了登的能力PRIN$SYSTEM32SPOOLDRIVERS用戶遠(yuǎn)程管理打印機(jī)系統(tǒng)安全配置（4/11） 532022/7/215鎖定注冊表 防止黑客從遠(yuǎn)程訪問注冊表。修改Hkey_current_

23、user下的子鍵：SoftwareMicrosoft windowscurrentversionpoliciessystem，把DisableRegistryTools值改為0，類型為DWORD。系統(tǒng)安全配置（5/11） 542022/7/216禁止從軟盤和光驅(qū)啟動系統(tǒng) 一些第三方的工具能 通過引導(dǎo)系統(tǒng)來繞過原有的安全機(jī)制 。 7利用安全配置工具來配置安全策略 利用基于MMC（管理控制臺）安全配置和分析工具配置服務(wù)器。/windows2000/techinfo/howitworks/security/sctoolset.asp 系統(tǒng)安全配置（6，7/11） 552022/7/218開啟審核策略

24、 用安全審核來記錄入侵日志。 策略設(shè)置審核系統(tǒng)登錄事件成功、失敗審核帳戶管理成功、失敗審核登錄事件成功、失敗審核對象訪問成功審核策略更改成功、失敗審核特權(quán)使用成功、失敗審核系統(tǒng)事件成功、失敗系統(tǒng)安全配置（8/11） 562022/7/219加密Temp 文件夾 給Temp文件夾加密可以給文件多一層保護(hù)。10使用智能卡 用智能卡來代替復(fù)雜的密碼。11使用IPSec 提供IP數(shù)據(jù)包的安全性。它提供身份驗證、完整性和可選擇的機(jī)密性。 利用IPSec可以使得系統(tǒng)的安全性能大大增強(qiáng)。 系統(tǒng)安全配置（9，10，11/11） 572022/7/21服務(wù)安全配置（1/5） 1.關(guān)閉不必要的端口 減少被入侵的算

25、途徑，系統(tǒng)目錄中的system32driversetcservices文件中有知名端口和服務(wù)的對照表可供參考。如何設(shè)置本機(jī)開放的端口和服務(wù)？582022/7/21服務(wù)安全配置（1/5） 592022/7/212設(shè)置好安全記錄的訪問權(quán)限 安全記錄在默認(rèn)情況下是沒有保護(hù)的，把它設(shè)置成只有Administrators和系統(tǒng)賬戶才有權(quán)訪問。 服務(wù)安全配置（2/5） 602022/7/213備份敏感文件有必要把一些重要的用戶數(shù)據(jù)（存放在另外一個安全的服務(wù)器中，并且經(jīng)常備份它們。4禁止建立空連接默認(rèn)情況下，任何用戶都可通過空連接連上服務(wù)器，進(jìn)而枚舉出賬號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：

26、即把Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous的值改成“1”即可。 服務(wù)安全配置（3，4/5） 612022/7/215關(guān)閉不必要的服務(wù) 防止惡意程序以服務(wù)方式悄悄地運行服務(wù)器上的終端服務(wù)，要確認(rèn)已經(jīng)正確配置了終端服務(wù)。Windows 2000作為服務(wù)器可禁用的服務(wù)及其相關(guān)說明如表所示。服務(wù)安全配置（5/5） 622022/7/21注冊表配置（1/5） 1關(guān)機(jī)時清除文件頁面文件中可能含有另外一些敏感產(chǎn)資料，因此要在關(guān)機(jī)的時候清除頁面文件。 編輯注冊表修改主鍵HKEY_LOCAL_MACHINE下的子鍵 Sys

27、temCurrentControlSetControlControlSessionManage/Memory Management 把ClearPageFileAtShutdown的值設(shè)置成1。632022/7/212關(guān)閉DirectDraw C2級安全標(biāo)準(zhǔn)對視頻和內(nèi)存有一定要求。關(guān)閉DirectDraw可能對一些需要用到Directx程序有影響(比如游戲)，但是對于絕大多數(shù)的商業(yè)站點是沒有影響的。修改主鍵HKEY_LOCAL_MACHINE下的子鍵 SystemCurrentControlSetControlGraphicsDriversDCITimeout 將鍵值設(shè)置成0。 注冊表配置（2/5） 642022/7/213禁止判斷主機(jī)類型 黑客可利用TTL（Time To Live，生存時間）值可以鑒別操作系統(tǒng)的類型，通過Ping指令能判斷目標(biāo)主機(jī)類型。注冊表配置（3/5） 652022/7/21修改主鍵HKEY_LOCAL_MACHINE下的子鍵 SystemCurrentControlSetServicesTcpipParameters，新建一個雙字節(jié)項，在鍵的名稱中輸入“default