計算機網(wǎng)絡(luò)管理與安全技術(shù)

09十一月2024NETWORKSECURITY1課題內(nèi)容：操作系統(tǒng)安全（一）教學(xué)目的：掌握WIN2003系統(tǒng)服務(wù)的配置方法 掌握WIN2003常用進程的作用 掌握WIN2003注冊表的結(jié)構(gòu)、值類型及應(yīng)用教學(xué)方法：講授法、任務(wù)驅(qū)動法、演示法重點：WIN2003系統(tǒng)服務(wù)的配置方法難點：WIN2003常用進程的作用課堂類型：講授課教具：投影儀、多媒體設(shè)備授課班級計應(yīng)1001班第18次課授課時間5月25日星期五授課地點09十一月2024NETWORKSECURITY2導(dǎo)入新課1、防火墻的體系結(jié)構(gòu)2、操作系統(tǒng)常用進程與服務(wù)09十一月2024NETWORKSECURITY3Windows2003

Windows2003原名是WindowsNT5.0，隨著多種測試版本的發(fā)行，人們開始從各個側(cè)面加深對它的認識。全新的界面、高度集成的功能、鞏固的安全性、便捷的操作，都為計算機專業(yè)人員、普通用戶帶來莫大的驚喜Windows2003在界面、風(fēng)格與功能上都具有統(tǒng)一性，是一種真正面向?qū)ο蟮牟僮飨到y(tǒng)，用戶在操作本機的資源和遠程資源時不會感到有什么不同09十一月2024NETWORKSECURITY4主要內(nèi)容操作系統(tǒng)安全基礎(chǔ)Windows2003安全結(jié)構(gòu)Windows2003文件系統(tǒng)安全Windows2003賬號安全GPO的編輯活動目錄安全性考察Windows2003缺省值的安全性評估Windows2003主機安全09十一月2024NETWORKSECURITY58.1操作系統(tǒng)安全是系統(tǒng)安全的基礎(chǔ)各種應(yīng)用軟件均建立在操作系統(tǒng)提供的系統(tǒng)軟件平臺之上，上層的應(yīng)用軟件要想獲得運行的高可靠性和信息的完整性、保密性，必須依賴于操作系統(tǒng)提供的系統(tǒng)軟件基礎(chǔ)。09十一月2024NETWORKSECURITY6操作系統(tǒng)安全級別

級別系統(tǒng)的安全可信性D最低安全性C1自主存取控制C2較完善的自主存取控制（DAC）、審計B1強制存取控制（MAC）B2良好的結(jié)構(gòu)化設(shè)計、形式化安全模型B3全面的訪問控制、可信恢復(fù)A1形式化認證09十一月2024NETWORKSECURITY7常見操作系統(tǒng)安全級別

操作系統(tǒng)安全級別SCOOpenServerC2OSF/1B1WindowsNT/2003C2SolarisC2DOSDUnixWare2.1/ESB209十一月2024NETWORKSECURITY8常見威脅類型(一)

威脅類型示例自然和物理的水災(zāi)、火災(zāi)、風(fēng)暴、地震、停電無意的不知情的員工、不知情的顧客故意的攻擊者、恐怖分子、工業(yè)間諜、黑客、惡意代碼09十一月2024NETWORKSECURITY9常見威脅類型（二）安全漏洞類型示例物理的門窗未鎖自然的滅火系統(tǒng)失靈硬件和軟件防病毒軟件過期媒介電干擾通信未加密協(xié)議人為不可靠的技術(shù)支持09十一月2024NETWORKSECURITY108.2Windows2003安全結(jié)構(gòu)安全六要素09十一月2024NETWORKSECURITY118.2.2Windows2003安全組件（一）靈活的訪問控制Windows2003支持C2級標(biāo)準(zhǔn)要求的靈活訪問控制對象重用Windows2003很明確地阻止所有的應(yīng)用程序不可以訪問被另—應(yīng)用程序使用所占用資源內(nèi)的信息（比如內(nèi)存或磁盤）09十一月2024NETWORKSECURITY12Windows2003安全組件（一）強制登錄

Windows2003用戶在能訪問任何資源前必須通過登錄來驗證他們的身份數(shù)據(jù)訪問瀏覽打印服務(wù)09十一月2024NETWORKSECURITY13Windows2003安全組件（二）審計因為Windows2003采用單獨地機制來控制對任何資源的訪問，所以這種機制可以集中地記錄下所有的訪問活動控制對象的訪問Windows2003不允許直接訪問系統(tǒng)里的資源，這種不許直接訪問是允許訪問控制的關(guān)鍵09十一月2024NETWORKSECURITY148.2.4安全的組成部分（一）安全標(biāo)識符安全標(biāo)識符（SID）是統(tǒng)計上地唯一的數(shù)組分配給所有的用戶、組、和計算機。每次當(dāng)一個新用戶或組被建立的時候，它們都會接收到一個唯一的SID。每當(dāng)Windows2003安裝完畢并啟動的時候，也會有一個新的SID分配給這臺計算機。SID標(biāo)識了用戶、組和計算機的唯一性，不僅僅是在某臺特定的電腦上還包括和其它計算機交互的時候。09十一月2024NETWORKSECURITY15安全的組成部分（二）訪問令牌訪問令牌是由用戶的SID、用戶所屬于組的SID、用戶名、用戶所在組的組名構(gòu)成的。訪問令牌就好比用戶能夠訪問計算機資源的“入場券”。無論何時用戶企圖進行訪問，都要向WindowsNT出示訪問令牌。09十一月2024NETWORKSECURITY16安全的組成部分（三）安全描述符WindowsNT內(nèi)的每個對象都有一個安全描述符作為它們屬性的一部分。安全描述符持有對象的安全設(shè)置。安全描述符是由對象屬主的SID、組SID，靈活訪問控制列表以及計算機訪問控制列表。09十一月2024NETWORKSECURITY17安全的組成部分（四）訪問控制列表靈活訪問控制列表里記錄用戶和組以及它們的相關(guān)權(quán)限，要么允許要么拒絕。訪問控制條目每個訪問控制條目（ACE）包含用戶或組的SID及對對象所持有的權(quán)限。對象分配的每個權(quán)限都有一個ACE。訪問控制條目有二種類型：允許訪問或拒絕訪問。在訪問控制列表里拒絕訪問ACE優(yōu)先于允許訪問。

09十一月2024NETWORKSECURITY188.2.5Windows2003安全機制（一）帳號安全計算機帳戶活動目錄用戶帳戶09十一月2024NETWORKSECURITY19Windows2003安全機制（二）文件系統(tǒng)安全NTFS文件系統(tǒng)使用關(guān)系型數(shù)據(jù)庫、事務(wù)處理以及對象技術(shù)，以提供數(shù)據(jù)安全以及文件可靠性的特性。09十一月2024NETWORKSECURITY20Windows2003安全機制（三）認證Kerberos5

Kerberos是一種被證明為非常安全的雙向身份認證技術(shù)。其身份認證強調(diào)了客戶機對服務(wù)器的認證，而別的身份認證技術(shù)往往只解決了服務(wù)器對客戶機的認證。Kerberos有效地防止了來自服務(wù)器端身份冒領(lǐng)的欺騙。09十一月2024NETWORKSECURITY21Windows2003安全機制（四）NTLM認證Windows2003中仍然保留NTLM（NT-LanMan）認證，以便向后兼容。運行DOS、Windows3.x、Windows95、Windows98、WindowsNT3.5和WindowsNT4.0的客戶仍然需要LM和NTLM支持。但LanManager中的哈希算法有漏洞。l0pht已經(jīng)發(fā)布用于破解NT系統(tǒng)中SAM文件的工具l0phtcrack。Windows2003已支持新的更安全的認證協(xié)議NTLM2。09十一月2024NETWORKSECURITY22Windows2003安全機制（五）ActiveDirectory管理員可以瀏覽活動目錄，對域用戶、用戶組和網(wǎng)絡(luò)資源進行管理可以通過活動目錄指定局部管理員，每人以自己的安全性及許可權(quán)限進行管理分類

09十一月2024NETWORKSECURITY238.3Windows2003文件系統(tǒng)安全NTFS權(quán)限基于目錄基于文件讀?。≧）顯示目錄名，屬性，所有者及權(quán)限顯示文件數(shù)據(jù)，屬性，所有者及權(quán)限寫入（W）添加文件和目錄，改變一個屬性以及顯示所有者和權(quán)限顯示所有者和權(quán)限、改變文件的屬性、在文件內(nèi)加入數(shù)據(jù)執(zhí)行（X）顯示屬性，可進入目錄中的目錄，顯示所有者利權(quán)限顯示文件屬性、所有者和權(quán)限、如果是可執(zhí)行文件可運行刪除（D）可刪除目錄可刪除文件改變權(quán)限（P）改變目錄的權(quán)限改變文件的權(quán)限取得所有權(quán)（O）取得目錄的所有權(quán)取得文件的所有權(quán)09十一月2024NETWORKSECURITY24NT有關(guān)權(quán)限的標(biāo)準(zhǔn)標(biāo)準(zhǔn)權(quán)限基于目錄基于文件不可訪問無無列出RX不適用讀取RXRX添加WX不適用添加和讀取RWS-X?RX更改RWXDRWXD完全控制

ALLALL09十一月2024NETWORKSECURITY25NT共享權(quán)限列表權(quán)限允許完全控制改變文件的權(quán)限；在NTFS卷上取得文件的所有權(quán)；能夠完成所有有更改權(quán)限所執(zhí)行的任務(wù)更改創(chuàng)建目錄和添加文件；更改文件內(nèi)的數(shù)據(jù)；更改文件的屬性能夠完成所有有更改權(quán)限所執(zhí)行的任務(wù)讀取顯示目錄和文件名：文件數(shù)據(jù)和屬性；運行應(yīng)用程序文件不可訪問只能建立連接，不能訪問目錄中的內(nèi)容09十一月2024NETWORKSECURITY268.3.2文件系統(tǒng)類型Fat16文件系統(tǒng)FAT文件系統(tǒng)最初用于小型磁盤和簡單文件結(jié)構(gòu)的簡單文件系統(tǒng)。

標(biāo)準(zhǔn)文件分配表（FAT），在<511MB的卷中使用。沒有安全設(shè)置，不推薦使用。09十一月2024NETWORKSECURITY27FAT16文件系統(tǒng)默認的簇大小分區(qū)大小扇區(qū)數(shù)/每簇簇大小（字節(jié)）0M~32M151233M~64M21K65M~128M42K129M~255M84K256M~511M168K512M~1023M3216K1024M~2047M6432K2048~4095M12864K09十一月2024NETWORKSECURITY28文件系統(tǒng)類型Fat32文件系統(tǒng)（增強的文件分配表）FAT32文件系統(tǒng)提供了比FAT文件系統(tǒng)更為先進的文件管理特性作為FAT文件系統(tǒng)的增強版本，它可以在容量從512MB到2TB的驅(qū)動器上使用

沒有安全設(shè)置，不推薦使用09十一月2024NETWORKSECURITY29文件系統(tǒng)類型NTFS文件系統(tǒng)

NTFS文件系統(tǒng)包括了公司環(huán)境中文件服務(wù)器和高端個人計算機所需的安全特性NTFS文件系統(tǒng)還支持對于關(guān)鍵數(shù)據(jù)完整性十分重要的數(shù)據(jù)訪問控制和私有權(quán)限NTFS是Windows2003中唯一允許為單個文件指定權(quán)限的文件系統(tǒng)當(dāng)從NTFS卷移動到FAT卷時，NTFS文件系統(tǒng)權(quán)限及特有屬性會丟失。（可操作）使用convert.ex將FAT或FAT32的分區(qū)轉(zhuǎn)化為NTFS分區(qū)。（可操作）09十一月2024NETWORKSECURITY30NTFS文件系統(tǒng)默認的簇大小分區(qū)大小扇區(qū)數(shù)/每簇簇大?。ㄗ止?jié)）512M或更小1512513M~1024M（1GB）21K1025M~2048M（2GB）42K2049M~4096M（4GB）84K4097M~8192M（8GB）168K8193M~16384M（16GB）3216K16385M~32768M（32GB）6432K09十一月2024NETWORKSECURITY31幾種文件系統(tǒng)的比較對比項目文件系統(tǒng)FAT16FAT32NTFS

與操作系統(tǒng)的兼容性MS-DOS，所有版本的Windows，WindowsNT，Windows2003和OS/2都可訪問本地文件只有對Windows95OSR2，Windows98和Windows2003三種操作系統(tǒng)可以訪問本地文件運行Windows2003Server的計算機可以訪問本地硬盤中的文件，運行WindowsNT4.0及SP4或更高版本的計算機可以訪問本地的部分文件，其他操作系統(tǒng)不能訪問本地文件支持磁盤從軟盤容量直到4GB，不支持域從512MB到2TB，在Windows2003中，用戶只能把FAT32卷最大格式化到32GB最小大約10MB，建議實際最大是2TB，不能用于軟盤文件大小最大文件為2GB不支持域，最大文件4GB文件大小只受限于卷的大小09十一月2024NETWORKSECURITY32文件系統(tǒng)類型DFS文件系統(tǒng)分布式文件系統(tǒng)(DistributedFileSystem,DFS)的作用是不管文件的物理分布情況，可以把文件組織成為樹狀的分層次邏輯結(jié)構(gòu)，便于用戶訪問網(wǎng)絡(luò)文件資源、加強容錯能力和網(wǎng)絡(luò)負載均衡等。需要安裝DFS服務(wù)，在微軟管理界面MMC中創(chuàng)建一個DFS的根。文件的物理位置變動不會影響用戶使用。Hacker難以跟蹤文件的實際位置。09十一月2024NETWORKSECURITY338.4Windows2003賬號安全帳號重命名。對默認的帳號重命名。包括administrator、guest以及其它一些由安裝軟件時（如IIs）所自動建立的帳號。

09十一月2024NETWORKSECURITY34帳號策略

帳號策略的設(shè)置是通過域用戶管理器來實施的，從策略的菜單中選擇用戶權(quán)限。第一項是有關(guān)密碼的時效;第二項是有關(guān)密碼長度的限制，以及帳號鎖定等機制。09十一月2024NETWORKSECURITY35實現(xiàn)強壯的密碼要有大小寫字母，數(shù)字，和通配符等至少六個字符不使用名字和生日不含用戶名部分強壯的密碼09十一月2024NETWORKSECURITY36禁止枚舉賬號

由于Windows2003的默認安裝允許任何用戶通過空用戶得到系統(tǒng)所有賬號和共享列表，這本來是為了方便局域網(wǎng)用戶共享資源和文件的，但是，任何一個遠程用戶通過同樣的方法都能得到賬戶列表，使用暴力法破解賬戶密碼后，對我們的電腦進行攻擊，所以必須采用以下方法禁止這種行為。09十一月2024NETWORKSECURITY37禁止枚舉賬號09十一月2024NETWORKSECURITY38Administrator賬號更名

Windows2003的Administrator賬號是不能被停用的，也不能設(shè)置安全策略，這樣黑客可以一遍又一遍地嘗試這個賬戶的密碼，直到破解，所以要在“計算機管理”中把Administrator賬戶更名來防止這一點.

應(yīng)該做點什么09十一月2024NETWORKSECURITY39本地策略設(shè)置界面09十一月2024NETWORKSECURITY40禁用Guest賬號

Guest賬號是一個非常危險的漏洞，因為黑客可以使用這個賬號登錄機器。09十一月2024NETWORKSECURITY41禁用Guest帳戶09十一月2024NETWORKSECURITY42禁止Guest帳戶登錄本機09十一月2024NETWORKSECURITY438.5GPO的編輯

Windows2003的得意之作GPO(GroupPolicyObject)，通過GPO來實現(xiàn)一個超強功能的中央集權(quán)的組策略，此策略是建立在活動目錄（ActiveDirectory）基礎(chǔ)之上的。09十一月2024NETWORKSECURITY44組策略組策略是什么?

GPO是一種與域、地址或組織單元相聯(lián)系的物理策略。在Windows2003中，GPO包括文件和AD對象。09十一月2024NETWORKSECURITY45組策略和AD

要充分發(fā)揮GPO的功能，需要有AD域架構(gòu)的支持，利用AD可以定義一個集中的策略，所有的Windows2003服務(wù)器和工作站都可以采用它。09十一月2024NETWORKSECURITY468.6活動目錄安全性考察

Windows2003Server活動目錄是一個完全可擴展、可伸縮的目錄服務(wù)，既能滿足商業(yè)ISP的需要，又能滿足企業(yè)內(nèi)部網(wǎng)和外聯(lián)網(wǎng)的需要，充分體現(xiàn)了微軟產(chǎn)品集成性、深入性和易用性等優(yōu)點。09十一月2024NETWORKSECURITY47活動目錄的安全特性（一）集成性結(jié)合了三個方面的管理內(nèi)容用戶和資源管理基于目錄的網(wǎng)絡(luò)服務(wù)基于網(wǎng)絡(luò)的應(yīng)用管理09十一月2024NETWORKSECURITY48活動目錄的安全特性（二）集成性目錄管理的基本對象是用戶和計算機，還包括文件、打印機等資源活動目錄完全采用了Internet標(biāo)準(zhǔn)協(xié)議活動目錄集成了關(guān)鍵服務(wù)和關(guān)鍵安全性

09十一月2024NETWORKSECURITY49活動目錄的安全特性（三）深入性Windows2003活動目錄的深入性主要體現(xiàn)在其企業(yè)級的可伸縮性、安全性、互操作性、編程能力和升級能力上。

09十一月2024NETWORKSECURITY50活動目錄的安全特性（四）深入性

Windows2003活動目錄允許用戶組建單域來管理少量的網(wǎng)絡(luò)對象，也允許用戶通過域目錄管理成萬上億個對象。活動目錄的域樹和域森林的組建方法，可幫助用戶使用容器層次來模擬一個企業(yè)的組織結(jié)構(gòu)。

Windows2003活動目錄和其安全性服務(wù)緊密結(jié)合，相輔相成，共同完成安全任務(wù)和協(xié)同管理。09十一月2024NETWORKSECURITY51活動目錄的安全特性（五）易用性Windows2003活動目錄主要體現(xiàn)在其簡易的安裝和管理上主要有三個活動目錄的管理界面（MMC）活動目錄用戶和計算機管理活動目錄的域和域信任關(guān)系的管理活動目錄的站點管理

09十一月2024NETWORKSECURITY52活動目錄的安全特性（六）易用性

管理員還可以方便地進行管理授權(quán)?；顒幽夸洺浞值乜紤]到了備份和恢復(fù)目錄服務(wù)的需要。09十一月2024NETWORKSECURITY538.7Windows2003缺省值的安全性評估

Windows2003包含許多默認的設(shè)置和選項，允許更復(fù)雜的管理。這些系統(tǒng)默認值可以被有經(jīng)驗的攻擊者用來滲透系統(tǒng)。有些默認值不能改變，但有些可以改變。這些改變可以提供足夠的安全性。09十一月2024NETWORKSECURITY54Windows2003缺省值的安全性評估（二）默認目錄使用不同的目錄對合法用戶不會造成任何影響，但對于那些企圖通過類似WEB服務(wù)器這樣的介質(zhì)遠程訪問文件的攻擊者來說大大地增加了難度。09十一月2024NETWORKSECURITY55Windows2003缺省值的安全性評估（三）默認帳號

增加了攻擊者猜測帳戶的難度09十一月2024NETWORKSECURITY56Windows2003缺省值的安全性評估（五）默認共享僅僅是針對管理而配置的，形成一個沒必要的風(fēng)險，成為攻擊者一個常見的目標(biāo)?？梢酝ㄟ^增加注冊表相應(yīng)的鍵值來禁止這些管理用的共享。09十一月2024NETWORKSECURITY578.8Windows2003主機安全合理的配置Windows2003，那么windows2003將會是一個很安全的操作系統(tǒng)。09十一月2024NETWORKSECURITY58初級安全（一）物理安全重要的服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)；機箱，鍵盤，電腦桌抽屜要上鎖

停掉Guest帳號在計算機管理的用戶里面把guest帳號停用掉，任何時候都不允許guest帳號登錄系統(tǒng)；最好給guest加一個復(fù)雜的密碼限制不必要的用戶數(shù)量去掉不必要的帳戶；去掉不用的帳戶；給用戶組策略設(shè)置相應(yīng)權(quán)限09十一月2024NETWORKSECURITY59初級安全（二）創(chuàng)建2個管理員用帳號

創(chuàng)建一個一般權(quán)限帳號用來收信以及處理一些日常事物，另一個擁有Administrators權(quán)限的帳戶只在需要的時候使用

把系統(tǒng)administrator帳號改名

盡量把Administrator帳戶偽裝成普通用戶創(chuàng)建一個陷阱帳號

用于迷惑非法入侵者，并借此發(fā)現(xiàn)他們的入侵企圖09十一月2024NETWORKSECURITY60初級安全（三）把共享文件的權(quán)限從”everyone”組改成“授權(quán)用戶”任何時候都不要把共享文件的用戶設(shè)置成“everyone”組使用安全密碼一個好的密碼對于一個網(wǎng)絡(luò)是非常重要的，設(shè)置密碼的有效期，還要注意經(jīng)常更改密碼設(shè)置屏幕保護密碼

設(shè)置屏幕保護密碼也是防止內(nèi)部人員破壞服務(wù)器的一個屏障；不要使用OpenGL和一些復(fù)雜的屏幕保護程序，以免浪費系統(tǒng)資源09十一月2024NETWORKSECURITY61初級安全（四）使用NTFS格式分區(qū)NTFS文件系統(tǒng)要比FAT，F(xiàn)AT32的文件系統(tǒng)安全得多運行防毒軟件好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。經(jīng)常升級病毒庫保障備份盤的安全把備份盤防在安全的地方。千萬別把資料備份在同一臺服務(wù)器上09十一月2024NETWORKSECURITY62中級安全（一）利用安全配置工具來配置策略充分利用基于MMC（管理控制臺）安全配置和分析工具，增強系統(tǒng)安全性關(guān)閉不必要的服務(wù)不必要的服務(wù)帶來安全隱患；確保正確的配置了終端服務(wù)；留意服務(wù)器上面開啟的所有服務(wù)關(guān)閉不必要的端口關(guān)閉端口意味著減少功能，在安全和功能上面需要作一點決策09十一月2024NETWORKSECURITY63中級安全（二）高級TCP/IP設(shè)置

09十一月2024NETWORKSECURITY64中級安全（三）TCP/IP篩選

09十一月2024NETWORKSECURITY65中級安全（四）打開審核策略開啟安全審核是Windows2003最基本的入侵檢測方法09十一月2024NETWORKSECURITY66中級安全（五）Windows2003三種類型的日志記錄事件應(yīng)用程序日志系統(tǒng)日志安全日志

09十一月2024NETWORKSECURITY67中級安全（六）事件查看器

09十一月2024NETWORKSECURITY68中級安全（七）安全日志

09十一月2024NETWORKSECURITY69中級安全（八）安全日志屬性

09十一月2024NETWORKSECURITY70中級安全（九）開啟密碼策略開啟密碼復(fù)雜性要求、設(shè)置密碼長度最小值、開啟強制密碼歷史、設(shè)置強制密碼最長存留期等開啟帳戶策略設(shè)置復(fù)位帳戶鎖定計數(shù)器、帳戶鎖定時間、帳戶鎖定閾值09十一月2024NETWORKSECURITY71中級安全（十）更改賬戶策略

09十一月2024NETWORKSECURITY72中級安全（十一）設(shè)定安全記錄的訪問權(quán)限把安全記錄設(shè)置成只有Administrator和系統(tǒng)帳戶才有權(quán)訪問

把敏感文件存放在另外的文件服務(wù)器中有必要把一些重要的用戶數(shù)據(jù)存放在另外一個安全的服務(wù)器中，并且經(jīng)常備份它們不讓系統(tǒng)顯示上次登陸的用戶名防止入侵者容易得到系統(tǒng)的用戶名，進而作密碼猜測09十一月2024NETWORKSECURITY73中級安全（十二）禁止建立空連接用戶可以通過空連接連上服務(wù)器，進而枚舉出帳號，猜測密碼

下載最新的補丁程序經(jīng)常訪問微軟和一些安全站點，下載最新的servicepack和漏洞補丁，是保障服務(wù)器長久安全的唯一方法09十一月2024NETWORKSECURITY74安全配置方案高級篇高級篇介紹操作系統(tǒng)安全信息通信配置，包括十四條配置原則：關(guān)閉DirectDraw、關(guān)閉默認共享禁用DumpFile、文件加密系統(tǒng)加密Temp文件夾、鎖住注冊表、關(guān)機時清除文件禁止軟盤光盤啟動、使用智能卡、使用IPSec禁止判斷主機類型、抵抗DDOS禁止Guest訪問日志和數(shù)據(jù)恢復(fù)軟件09十一月2024NETWORKSECURITY751關(guān)閉DirectDrawC2級安全標(biāo)準(zhǔn)對視頻卡和內(nèi)存有要求。關(guān)閉DirectDraw可能對一些需要用到DirectX的程序有影響（比如游戲），但是對于絕大多數(shù)的商業(yè)站點都是沒有影響的。在HKEY_LOCAL_MACHINE主鍵下修改子鍵：SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，將鍵值改為“0”即可，如圖7-17所示。09十一月2024NETWORKSECURITY762關(guān)閉默認共享Windows2003安裝以后，系統(tǒng)會創(chuàng)建一些隱藏的共享，可以在DOS提示符下輸入命令NetShare查看，如圖7-18所示。09十一月2024NETWORKSECURITY77停止默認共享禁止這些共享，打開管理工具>計算機管理>共享文件夾>共享，在相應(yīng)的共享文件夾上按右鍵，點停止共享即可，如圖7-19所示。09十一月2024NETWORKSECURITY783禁用Dump文件在系統(tǒng)崩潰和藍屏的時候，Dump文件是一份很有用資料，可以幫助查找問題。然而，也能夠給黑客提供一些敏感信息，比如一些應(yīng)用程序的密碼等需要禁止它，打開控制面板>系統(tǒng)屬性>高級>啟動和故障恢復(fù)，把寫入調(diào)試信息改成無，如圖7-20所示。09十一月2024NETWORKSECURITY794文件加密系統(tǒng)Windows2003強大的加密系統(tǒng)能夠給磁盤，文件夾，文件加上一層安全保護。這樣可以防止別人把你的硬盤掛到別的機器上以讀出里面的數(shù)據(jù)。微軟公司為了彌補WindowsNT4.0的不足，在Windows2003中，提供了一種基于新一代NTFS：NTFSV5（第5版本）的加密文件系統(tǒng)（EncryptedFileSystem，簡稱EFS）。EFS實現(xiàn)的是一種基于公共密鑰的數(shù)據(jù)加密方式，利用了Windows2003中的CryptoAPI結(jié)構(gòu)。09十一月2024NETWORKSECURITY805加密Temp文件夾一些應(yīng)用程序在安裝和升級的時候，會把一些東西拷貝到Temp文件夾，但是當(dāng)程序升級完畢或關(guān)閉的時候，并不會自己清除Temp文件夾的內(nèi)容。所以，給Temp文件夾加密可以給你的文件多一層保護。09十一月2024NETWORKSECURITY816鎖住注冊表在Windows2003中，只有Administrators和BackupOperators才有從網(wǎng)絡(luò)上訪問注冊表的權(quán)限。當(dāng)帳號的密碼泄漏以后，黑客也可以在遠程訪問注冊表，當(dāng)服務(wù)器放到網(wǎng)絡(luò)上的時候，一般需要鎖定注冊表。修改Hkey_current_user下的子鍵Software\microsoft\windows\currentversion\Policies\system把DisableRegistryTools的值該為0，類型為DWORD，如圖7-21所示。09十一月2024NETWORKSECURITY827關(guān)機時清除文件頁面文件也就是調(diào)度文件，是Windows2003用來存儲沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。一些第三方的程序可以把一些沒有的加密的密碼存在內(nèi)存中，頁面文件中可能含有另外一些敏感的資料。要在關(guān)機的時候清楚頁面文件，可以編輯注冊表修改主鍵HKEY_LOCAL_MACHINE下的子鍵：SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPageFileAtShutdown的值設(shè)置成1，如圖7-22所示。09十一月2024NETWORKSECURITY838禁止軟盤光盤啟動一些第三方的工具能通過引導(dǎo)系統(tǒng)來繞過原有的安全機制。比如一些管理員工具，從軟盤上或者光盤上引導(dǎo)系統(tǒng)以后，就可以修改硬盤上操作系統(tǒng)的管理員密碼。如果服務(wù)器對安全要求非常高，可以考慮使用可移動軟盤和光驅(qū)，把機箱鎖起來仍然不失為一個好方法。09十一月2024NETWORKSECURITY849使用智能卡對于密碼，總是使安全管理員進退兩難，容易受到一些工具的攻擊，如果密碼太復(fù)雜，用戶把為了記住密碼，會把密碼到處亂寫。如果條件允許，用智能卡來代替復(fù)雜的密碼是一個很好的解決方法。09十一月2024NETWORKSECURITY8510使用IPSec正如其名字的含義，IPSec提供IP數(shù)據(jù)包的安全性。IPSec提供身份驗證、完整性和可選擇的機密性。發(fā)送方計算機在傳輸之前加密數(shù)據(jù)，而接收方計算機在收到數(shù)據(jù)之后解密數(shù)據(jù)。利用IPSec可以使得系統(tǒng)的安全性能大大增強。09十一月2024NETWORKSECURITY8611禁止判斷主機類型黑客利用TTL（Time-To-Live，活動時間）值可以鑒別操作系統(tǒng)的類型，通過Ping指令能判斷目標(biāo)主機類型。Ping的用處是檢測目標(biāo)主機是否連通。許多入侵者首先會Ping一下主機，因為攻擊某一臺計算機需要根據(jù)對方的操作系統(tǒng)，是Windows還是Unix。如過TTL值為128就可以認為你的系統(tǒng)為Windows2003，如圖7-23所示。09十一月2024NETWORKSECURITY87從圖中可以看出，TTL值為128，說明該主機的操作系統(tǒng)是Windows2003操作系統(tǒng)。表7-6給出了一些常見操作系統(tǒng)的對照值。操作系統(tǒng)類型TTL返回值Windows2003128WindowsNT107win9x128or127solaris252IRIX240AIX247Linux241or24009十一月2024NETWORKSECURITY88修改TTL的值，入侵者就無法入侵電腦了。比如將操作系統(tǒng)的TTL值改為111，修改主鍵HKEY_LOCAL_MACHINE的子鍵：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS新建一個雙字節(jié)項，如圖7-24所示。09十一月2024NETWORKSECURITY89在鍵的名稱中輸入“defaultTTL”，然后雙擊改鍵名，選擇單選框“十進制”，在文本框中輸入111，如圖7-25所示。09十一月2024NETWORKSECURITY90設(shè)置完畢重新啟動計算機，再用Ping指令，發(fā)現(xiàn)TTL的值已經(jīng)被改成111了，如圖7-26所示。09十一月2024NETWORKSECURITY9112抵抗DDOS添加注冊表的一些鍵值，可以有效的抵抗DDOS的攻擊。在鍵值[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加響應(yīng)的鍵及其說明如表7-7所示。增加的鍵值鍵值說明"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000000"KeepAliveTime"=dword:00000000"PerformRouterDiscovery"=dword:00000000基本設(shè)置"EnableICMPRedirects"=dword:00000000防止ICMP重定向報文的攻擊"SynAttackProtect"=dword:00000002防止SYN洪水攻擊"TcpMaxHalfOpenRetried"=dword:00000080僅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried設(shè)置超出范圍時,保護機制才會采取措施"TcpMaxHalfOpen"=dword:00000100"IGMPLevel"=dword:00000000不支持IGMP協(xié)議"EnableDeadGWDetect"=dword:00000000禁止死網(wǎng)關(guān)監(jiān)測技術(shù)"IPEnableRouter"=dword:00000001支持路由功能09十一月2024NETWORKSECURITY9213禁止Guest訪問日志在默認安裝的WindowsNT和Windows2003中，Guest