操作系統(tǒng)安全配置方案-PowerPointPresen.ppt

第七章操作系統(tǒng)安全配置方案 7 內(nèi)容提要 本章介紹Windows2000服務(wù)器的安全配置 操作系統(tǒng)的安全將決定網(wǎng)絡(luò)的安全 從保護(hù)級(jí)別上分成安全初級(jí)篇 中級(jí)篇和高級(jí)篇 共36條基本配置原則 安全配置初級(jí)篇講述常規(guī)的操作系統(tǒng)安全配置 中級(jí)篇介紹操作系統(tǒng)的安全策略配置 高級(jí)篇介紹操作系統(tǒng)安全信息通信配置 操作系統(tǒng)概述 目前服務(wù)器常用的操作系統(tǒng)有三類 UnixLinuxWindowsNT 2000 2003Server 這些操作系統(tǒng)都是符合C2級(jí)安全級(jí)別的操作系統(tǒng) 但是都存在不少漏洞 如果對(duì)這些漏洞不了解 不采取相應(yīng)的措施 就會(huì)使操作系統(tǒng)完全暴露給入侵者 UNIX系統(tǒng) UNIX操作系統(tǒng)是由美國貝爾實(shí)驗(yàn)室開發(fā)的一種多用戶 多任務(wù)的通用操作系統(tǒng) 它從一個(gè)實(shí)驗(yàn)室的產(chǎn)品發(fā)展成為當(dāng)前使用普遍 影響深遠(yuǎn)的主流操作系統(tǒng) UNIX誕生于20世紀(jì)60年代末期 貝爾實(shí)驗(yàn)室的研究人員于1969年開始在GE645計(jì)算機(jī)上實(shí)現(xiàn)一種分時(shí)操作系統(tǒng)的雛形 后來該系統(tǒng)被移植到了DEC的PDP 7小型機(jī)上 1970年給系統(tǒng)正式取名為Unix操作系統(tǒng) 到1973年 Unix系統(tǒng)的絕大部分源代碼都用C語言重新編寫過 大大提高了Unix系統(tǒng)的可移植性 也為提高系統(tǒng)軟件的開發(fā)效率創(chuàng)造了條件 主要特色 UNIX操作系統(tǒng)經(jīng)過20多年的發(fā)展后 已經(jīng)成為一種成熟的主流操作系統(tǒng) 并在發(fā)展過程中逐步形成了一些新的特色 其中主要特色包括5個(gè)方面 1 可靠性高 2 極強(qiáng)的伸縮性 3 網(wǎng)絡(luò)功能強(qiáng) 4 強(qiáng)大的數(shù)據(jù)庫支持功能 5 開放性好 Linux系統(tǒng) Linux是一套可以免費(fèi)使用和自由傳播的類Unix操作系統(tǒng) 主要用于基于Intelx86系列CPU的計(jì)算機(jī)上 這個(gè)系統(tǒng)是由全世界各地的成千上萬的程序員設(shè)計(jì)和實(shí)現(xiàn)的 其目的是建立不受任何商品化軟件的版權(quán)制約的 全世界都能自由使用的Unix兼容產(chǎn)品 Linux最早開始于一位名叫LinusTorvalds的計(jì)算機(jī)業(yè)余愛好者 當(dāng)時(shí)他是芬蘭赫爾辛基大學(xué)的學(xué)生 目的是想設(shè)計(jì)一個(gè)代替Minix 是由一位名叫AndrewTannebaum的計(jì)算機(jī)教授編寫的一個(gè)操作系統(tǒng)示教程序 的操作系統(tǒng) 這個(gè)操作系統(tǒng)可用于386 486或奔騰處理器的個(gè)人計(jì)算機(jī)上 并且具有Unix操作系統(tǒng)的全部功能 Linux是一個(gè)免費(fèi)的操作系統(tǒng) 用戶可以免費(fèi)獲得其源代碼 并能夠隨意修改 它是在共用許可證GPL GeneralPublicLicense 保護(hù)下的自由軟件 也有好幾種版本 如RedHatLinux Slackware 以及國內(nèi)的XteamLinux 紅旗Linux等等 Linux的流行是因?yàn)樗哂性S多優(yōu)點(diǎn) 典型的優(yōu)點(diǎn)有7個(gè) Linux典型的優(yōu)點(diǎn)有7個(gè) 1 完全免費(fèi) 2 完全兼容POSIX1 0標(biāo)準(zhǔn) 3 多用戶 多任務(wù) 4 良好的界面 5 豐富的網(wǎng)絡(luò)功能 6 可靠的安全 穩(wěn)定性能 7 支持多種平臺(tái) Windows系統(tǒng) WindowsNT NewTechnology 是微軟公司第一個(gè)真正意義上的網(wǎng)絡(luò)操作系統(tǒng) 發(fā)展經(jīng)過NT3 0 NT40 NT5 0 Windows2000 和NT6 0 Windows2003 等眾多版本 并逐步占據(jù)了廣大的中小網(wǎng)絡(luò)操作系統(tǒng)的市場 WindowsNT眾多版本的操作系統(tǒng)使用了與Windows9X完全一致的用戶界面和完全相同的操作方法 使用戶使用起來比較方便 與Windows9X相比 WindowsNT的網(wǎng)絡(luò)功能更加強(qiáng)大并且安全 WindowsNT系列操作系統(tǒng) WindowsNT系列操作系統(tǒng)具有以下三方面的優(yōu)點(diǎn) 1 支持多種網(wǎng)絡(luò)協(xié)議由于在網(wǎng)絡(luò)中可能存在多種客戶機(jī) 如Windows95 98 AppleMacintosh Unix OS 2等等 而這些客戶機(jī)可能使用了不同的網(wǎng)絡(luò)協(xié)議 如TCP IP協(xié)議 IPX SPX等 WindowsNT系列操作支持幾乎所有常見的網(wǎng)絡(luò)協(xié)議 2 內(nèi)置Internet功能隨著Internet的流行和TCP IP協(xié)議組的標(biāo)準(zhǔn)化 WindowsNT內(nèi)置了IIS InternetInformationServer 可以使網(wǎng)絡(luò)管理員輕松的配置WWW和FTP等服務(wù) 3 支持NTFS文件系統(tǒng)Windows9X所使用的文件系統(tǒng)是FAT 在NT中內(nèi)置同時(shí)支持FAT和NTFS的磁盤分區(qū)格式 使用NTFS的好處主要是可以提高文件管理的安全性 用戶可以對(duì)NTFS系統(tǒng)中的任何文件 目錄設(shè)置權(quán)限 這樣當(dāng)多用戶同時(shí)訪問系統(tǒng)的時(shí)候 可以增加文件的安全性 安全配置方案初級(jí)篇 安全配置方案初級(jí)篇主要介紹常規(guī)的操作系統(tǒng)安全配置 包括十二條基本配置原則 物理安全 停止Guest帳號(hào) 限制用戶數(shù)量創(chuàng)建多個(gè)管理員帳號(hào) 管理員帳號(hào)改名陷阱帳號(hào) 更改默認(rèn)權(quán)限 設(shè)置安全密碼屏幕保護(hù)密碼 使用NTFS分區(qū)運(yùn)行防毒軟件和確保備份盤安全 1 物理安全 服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi) 并且監(jiān)視器要保留15天以上的攝像記錄 另外 機(jī)箱 鍵盤 電腦桌抽屜要上鎖 以確保旁人即使進(jìn)入房間也無法使用電腦 鑰匙要放在安全的地方 2 停止Guest帳號(hào) 在計(jì)算機(jī)管理的用戶里面把Guest帳號(hào)停用 任何時(shí)候都不允許Guest帳號(hào)登陸系統(tǒng) 為了保險(xiǎn)起見 最好給Guest加一個(gè)復(fù)雜的密碼 可以打開記事本 在里面輸入一串包含特殊字符 數(shù)字 字母的長字符串 用它作為Guest帳號(hào)的密碼 并且修改Guest帳號(hào)的屬性 設(shè)置拒絕遠(yuǎn)程訪問 如圖7 1所示 3限制用戶數(shù)量 去掉所有的測試帳戶 共享帳號(hào)和普通部門帳號(hào)等等 用戶組策略設(shè)置相應(yīng)權(quán)限 并且經(jīng)常檢查系統(tǒng)的帳戶 刪除已經(jīng)不使用的帳戶 帳戶很多是黑客們?nèi)肭窒到y(tǒng)的突破口 系統(tǒng)的帳戶越多 黑客們得到合法用戶的權(quán)限可能性一般也就越大 對(duì)于WindowsNT 2000主機(jī) 如果系統(tǒng)帳戶超過10個(gè) 一般能找出一兩個(gè)弱口令帳戶 所以帳戶數(shù)量不要大于10個(gè) 4多個(gè)管理員帳號(hào) 雖然這點(diǎn)看上去和上面有些矛盾 但事實(shí)上是服從上面規(guī)則的 創(chuàng)建一個(gè)一般用戶權(quán)限帳號(hào)用來處理電子郵件以及處理一些日常事物 另一個(gè)擁有Administrator權(quán)限的帳戶只在需要的時(shí)候使用 因?yàn)橹灰卿浵到y(tǒng)以后 密碼就存儲(chǔ)再WinLogon進(jìn)程中 當(dāng)有其他用戶入侵計(jì)算機(jī)的時(shí)候就可以得到登錄用戶的密碼 盡量減少Administrator登錄的次數(shù)和時(shí)間 5管理員帳號(hào)改名 Windows2000中的Administrator帳號(hào)是不能被停用的 這意味著別人可以一遍又一邊的嘗試這個(gè)帳戶的密碼 把Administrator帳戶改名可以有效的防止這一點(diǎn) 不要使用Admin之類的名字 改了等于沒改 盡量把它偽裝成普通用戶 比如改成 guestone 具體操作的時(shí)候只要選中帳戶名改名就可以了 如圖7 2所示 6陷阱帳號(hào) 所謂的陷阱帳號(hào)是創(chuàng)建一個(gè)名為 Administrator 的本地帳戶 把它的權(quán)限設(shè)置成最低 什么事也干不了的那種 并且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼 這樣可以讓那些企圖入侵者忙上一段時(shí)間了 并且可以借此發(fā)現(xiàn)它們的入侵企圖 可以將該用戶隸屬的組修改成Guests組 如圖7 3所示 7更改默認(rèn)權(quán)限 共享文件的權(quán)限從 Everyone 組改成 授權(quán)用戶 Everyone 在Windows2000中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料 任何時(shí)候不要把共享文件的用戶設(shè)置成 Everyone 組 包括打印共享 默認(rèn)的屬性就是 Everyone 組的 一定不要忘了改 設(shè)置某文件夾共享默認(rèn)設(shè)置如圖7 4所示 8安全密碼 好的密碼對(duì)于一個(gè)網(wǎng)絡(luò)是非常重要的 但是也是最容易被忽略的 一些網(wǎng)絡(luò)管理員創(chuàng)建帳號(hào)的時(shí)候往往用公司名 計(jì)算機(jī)名 或者一些別的一猜就到的字符做用戶名 然后又把這些帳戶的密碼設(shè)置得比較簡單 比如 welcome iloveyou letmein 或者和用戶名相同的密碼等 這樣的帳戶應(yīng)該要求用戶首此登陸的時(shí)候更改成復(fù)雜的密碼 還要注意經(jīng)常更改密碼 這里給好密碼下了個(gè)定義 安全期內(nèi)無法破解出來的密碼就是好密碼 也就是說 如果得到了密碼文檔 必須花43天或者更長的時(shí)間才能破解出來 密碼策略是42天必須改密碼 9屏幕保護(hù)密碼 設(shè)置屏幕保護(hù)密碼是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障 注意不要使用OpenGL和一些復(fù)雜的屏幕保護(hù)程序 浪費(fèi)系統(tǒng)資源 黑屏就可以了 還有一點(diǎn) 所有系統(tǒng)用戶所使用的機(jī)器也最好加上屏幕保護(hù)密碼 將屏幕保護(hù)的選項(xiàng) 密碼保護(hù) 選中就可以了 并將等待時(shí)間設(shè)置為最短時(shí)間 1秒 如圖7 5所示 10NTFS分區(qū) 把服務(wù)器的所有分區(qū)都改成NTFS格式 NTFS文件系統(tǒng)要比FAT FAT32的文件系統(tǒng)安全得多 11防毒軟件 Windows2000 NT服務(wù)器一般都沒有安裝防毒軟件的 一些好的殺毒軟件不僅能殺掉一些著名的病毒 還能查殺大量木馬和后門程序 設(shè)置了放毒軟件 黑客 們使用的那些有名的木馬就毫無用武之地了 并且要經(jīng)常升級(jí)病毒庫 12備份盤的安全 一旦系統(tǒng)資料被黑客破壞 備份盤將是恢復(fù)資料的唯一途徑 備份完資料后 把備份盤防在安全的地方 不能把資料備份在同一臺(tái)服務(wù)器上 這樣的話還不如不要備份 安全配置方案中級(jí)篇 安全配置方案中級(jí)篇主要介紹操作系統(tǒng)的安全策略配置 包括十條基本配置原則 操作系統(tǒng)安全策略 關(guān)閉不必要的服務(wù)關(guān)閉不必要的端口 開啟審核策略開啟密碼策略 開啟帳戶策略 備份敏感文件不顯示上次登陸名 禁止建立空連接和下載最新的補(bǔ)丁 1操作系統(tǒng)安全策略 利用Windows2000的安全配置工具來配置安全策略 微軟提供了一套的基于管理控制臺(tái)的安全配置和分析工具 可以配置服務(wù)器的安全策略 在管理工具中可以找到 本地安全策略 主界面如圖7 6所示 可以配置四類安全策略 帳戶策略 本地策略 公鑰策略和IP安全策略 在默認(rèn)的情況下 這些策略都是沒有開啟的 2關(guān)閉不必要的服務(wù) Windows2000的TerminalServices 終端服務(wù) 和IIS Internet信息服務(wù) 等都可能給系統(tǒng)帶來安全漏洞 為了能夠在遠(yuǎn)程方便的管理服務(wù)器 很多機(jī)器的終端服務(wù)都是開著的 如果開了 要確認(rèn)已經(jīng)正確的配置了終端服務(wù) 有些惡意的程序也能以服務(wù)方式悄悄的運(yùn)行服務(wù)器上的終端服務(wù) 要留意服務(wù)器上開啟的所有服務(wù)并每天檢查 Windows2000作為服務(wù)器可禁用的服務(wù)及其相關(guān)說明如表7 1所示 Windows2000可禁用的服務(wù) 3關(guān)閉不必要的端口 關(guān)閉端口意味著減少功能 如果服務(wù)器安裝在防火墻的后面 被入侵的機(jī)會(huì)就會(huì)少一些 但是不可以認(rèn)為高枕無憂了 用端口掃描器掃描系統(tǒng)所開放的端口 在Winnt system32 drivers etc services文件中有知名端口和服務(wù)的對(duì)照表可供參考 該文件用記事本打開如圖7 7所示 設(shè)置本機(jī)開放的端口和服務(wù) 在IP地址設(shè)置窗口中點(diǎn)擊按鈕 高級(jí) 如圖7 8所示 在出現(xiàn)的對(duì)話框中選擇選項(xiàng)卡 選項(xiàng) 選中 TCP IP篩選 點(diǎn)擊按鈕 屬性 如圖7 9所示 設(shè)置端口界面如圖7 10所示 一臺(tái)Web服務(wù)器只允許TCP的80端口通過就可以了 TCP IP篩選器是Windows自帶的防火墻 功能比較強(qiáng)大 可以替代防火墻的部分功能 4開啟審核策略 安全審核是Windows2000最基本的入侵檢測方法 當(dāng)有人嘗試對(duì)系統(tǒng)進(jìn)行某種方式 如嘗試用戶密碼 改變帳戶策略和未經(jīng)許可的文件訪問等等 入侵的時(shí)候 都會(huì)被安全審核記錄下來 很多的管理員在系統(tǒng)被入侵了幾個(gè)月都不知道 直到系統(tǒng)遭到破壞 表7 2的這些審核是必須開啟的 其他的可以根據(jù)需要增加 審核策略默認(rèn)設(shè)置 審核策略在默認(rèn)的情況下都是沒有開啟的 如圖7 11所示 雙擊審核列表的某一項(xiàng) 出現(xiàn)設(shè)置對(duì)話框 將復(fù)選框 成功 和 失敗 都選中 如圖7 12所示 5開啟密碼策略 密碼對(duì)系統(tǒng)安全非常重要 本地安全設(shè)置中的密碼策略在默認(rèn)的情況下都沒有開啟 需要開啟的密碼策略如表7 3所示 設(shè)置選項(xiàng)如圖7 13所示 6開啟帳戶策略 開啟帳戶策略可以有效的防止字典式攻擊 設(shè)置如表7 4所示 設(shè)置帳戶策略 設(shè)置的結(jié)果如圖7 14所示 7備份敏感文件 把敏感文件存放在另外的文件服務(wù)器中 雖然服務(wù)器的硬盤容量都很大 但是還是應(yīng)該考慮把一些重要的用戶數(shù)據(jù) 文件 數(shù)據(jù)表和項(xiàng)目文件等 存放在另外一個(gè)安全的服務(wù)器中 并且經(jīng)常備份它們 8不顯示上次登錄名 默認(rèn)情況下 終端服務(wù)接入服務(wù)器時(shí) 登陸對(duì)話框中會(huì)顯示上次登陸的帳戶名 本地的登陸對(duì)話框也是一樣 黑客們可以得到系統(tǒng)的一些用戶名 進(jìn)而做密碼猜測 修改注冊表禁止顯示上次登錄名 在HKEY LOCAL MACHINE主鍵下修改子鍵 Software Microsoft WindowsNT CurrentVersion Winlogon DontDisplayLastUserName 將鍵值改成1 如圖7 15所示 9禁止建立空連接 默認(rèn)情況下 任何用戶通過空連接連上服務(wù)器 進(jìn)而可以枚舉出帳號(hào) 猜測密碼 可以通過修改注冊表來禁止建立空連接 在HKEY LOCAL MACHINE主鍵下修改子鍵 System CurrentControlSet Control LSA RestrictAnonymous 將鍵值改成 1 即可 如圖7 16所示 10下載最新的補(bǔ)丁 很多網(wǎng)絡(luò)管理員沒有訪問安全站點(diǎn)的習(xí)慣 以至于一些漏洞都出了很久了 還放著服務(wù)器的漏洞不補(bǔ)給人家當(dāng)靶子用 誰也不敢保證數(shù)百萬行以上代碼的Windows2000不出一點(diǎn)安全漏洞 經(jīng)常訪問微軟和一些安全站點(diǎn) 下載最新的ServicePack和漏洞補(bǔ)丁 是保障服務(wù)器長久安全的唯一方法 安全配置方案高級(jí)篇 高級(jí)篇介紹操作系統(tǒng)安全信息通信配置 包括十四條配置原則 關(guān)閉DirectDraw 關(guān)閉默認(rèn)共享禁用DumpFile 文件加密系統(tǒng)加密Temp文件夾 鎖住注冊表 關(guān)機(jī)時(shí)清除文件禁止軟盤光盤啟動(dòng) 使用智能卡 使用IPSec禁止判斷主機(jī)類型 抵抗DDOS禁止Guest訪問日志和數(shù)據(jù)恢復(fù)軟件 1關(guān)閉DirectDraw C2級(jí)安全標(biāo)準(zhǔn)對(duì)視頻卡和內(nèi)存有要求 關(guān)閉DirectDraw可能對(duì)一些需要用到DirectX的程序有影響 比如游戲 但是對(duì)于絕大多數(shù)的商業(yè)站點(diǎn)都是沒有影響的 在HKEY LOCAL MACHINE主鍵下修改子鍵 SYSTEM CurrentControlSet Control GraphicsDrivers DCI Timeout 將鍵值改為 0 即可 如圖7 17所示 2關(guān)閉默認(rèn)共享 Windows2000安裝以后 系統(tǒng)會(huì)創(chuàng)建一些隱藏的共享 可以在DOS提示符下輸入命令NetShare查看 如圖7 18所示 停止默認(rèn)共享 禁止這些共享 打開管理工具 計(jì)算機(jī)管理 共享文件夾 共享 在相應(yīng)的共享文件夾上按右鍵 點(diǎn)停止共享即可 如圖7 19所示 3禁用Dump文件 在系統(tǒng)崩潰和藍(lán)屏的時(shí)候 Dump文件是一份很有用資料 可以幫助查找問題 然而 也能夠給黑客提供一些敏感信息 比如一些應(yīng)用程序的密碼等需要禁止它 打開控制面板 系統(tǒng)屬性 高級(jí) 啟動(dòng)和故障恢復(fù) 把寫入調(diào)試信息改成無 如圖7 20所示 4文件加密系統(tǒng) Windows2000強(qiáng)大的加密系統(tǒng)能夠給磁盤 文件夾 文件加上一層安全保護(hù) 這樣可以防止別人把你的硬盤掛到別的機(jī)器上以讀出里面的數(shù)據(jù) 微軟公司為了彌補(bǔ)WindowsNT4 0的不足 在Windows2000中 提供了一種基于新一代NTFS NTFSV5 第5版本 的加密文件系統(tǒng) EncryptedFileSystem 簡稱EFS EFS實(shí)現(xiàn)的是一種基于公共密鑰的數(shù)據(jù)加密方式 利用了Windows2000中的CryptoAPI結(jié)構(gòu) 5加密Temp文件夾 一些應(yīng)用程序在安裝和升級(jí)的時(shí)候 會(huì)把一些東西拷貝到Temp文件夾 但是當(dāng)程序升級(jí)完畢或關(guān)閉的時(shí)候 并不會(huì)自己清除Temp文件夾的內(nèi)容 所以 給Temp文件夾加密可以給你的文件多一層保護(hù) 6鎖住注冊表 在Windows2000中 只有Administrators和BackupOperators才有從網(wǎng)絡(luò)上訪問注冊表的權(quán)限 當(dāng)帳號(hào)的密碼泄漏以后 黑客也可以在遠(yuǎn)程訪問注冊表 當(dāng)服務(wù)器放到網(wǎng)絡(luò)上的時(shí)候 一般需要鎖定注冊表 修改Hkey current user下的子鍵Software microsoft windows currentversion Policies system把DisableRegistryTools的值該為0 類型為DWORD 如圖7 21所示 7關(guān)機(jī)時(shí)清除文件 頁面文件也就是調(diào)度文件 是Windows2000用來存儲(chǔ)沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件 一些第三方的程序可以把一些沒有的加密的密碼存在內(nèi)存中 頁面文件中可能含有另外一些敏感的資料 要在關(guān)機(jī)的時(shí)候清楚頁面文件 可以編輯注冊表修改主鍵HKEY LOCAL MACHINE下的子鍵 SYSTEM CurrentControlSet Control SessionManager MemoryManagement把ClearPageFileAtShutdown的值設(shè)置成1 如圖7 22所示 8禁止軟盤光盤啟動(dòng) 一些第三方的工具能通過引導(dǎo)系統(tǒng)來繞過原有的安全機(jī)制 比如一些管理員工具 從軟盤上或者光盤上引導(dǎo)系統(tǒng)以后 就可以修改硬盤上操作系統(tǒng)的管理員密碼 如果服務(wù)器對(duì)安全要求非常高 可以考慮使用可移動(dòng)軟盤和光驅(qū) 把機(jī)箱鎖起來仍然不失為一個(gè)好方法 9使用智能卡 對(duì)于密碼 總是使安全管理員進(jìn)退兩難 容易受到一些工具的攻擊 如果密碼太復(fù)雜 用戶把為了記住密碼 會(huì)把密碼到處亂寫 如果條件允許 用智能卡來代替復(fù)雜的密碼是一個(gè)很好的解決方法 10使用IPSec 正如其名字的含義 IPSec提供IP數(shù)據(jù)包的安全性 IPSec提供身份驗(yàn)證 完整性和可選擇的機(jī)密性 發(fā)送方計(jì)算機(jī)在傳輸之前加密數(shù)據(jù) 而接收方計(jì)算機(jī)在收到數(shù)據(jù)之后解密數(shù)據(jù) 利用IPSec可以使得系統(tǒng)的安全性能大大增強(qiáng) 11禁止判斷主機(jī)類型 黑客利用TTL Time To Live 活動(dòng)時(shí)間 值可以鑒別操作系統(tǒng)的類型 通過Ping指令能判斷目標(biāo)主機(jī)類型 Ping的用處是檢測目標(biāo)主機(jī)是否連通 許多入侵者首先會(huì)Ping一下主機(jī) 因?yàn)楣裟骋慌_(tái)計(jì)算機(jī)需要根據(jù)對(duì)方的操作系統(tǒng) 是Windows還是Unix 如過TTL值為128就可以認(rèn)為你的系統(tǒng)為Windows2000 如圖7 23所示 從圖中可以看出 TTL值為128 說明改主機(jī)的操作系統(tǒng)是Windows2000操作系統(tǒng) 表7 6給出了一些常見操作系統(tǒng)的對(duì)照值 修改TTL的值 入侵者就無法入侵電腦了 比如將操作系統(tǒng)的TTL值改為111 修改主鍵HKEY LOCAL MACHINE的子鍵 SYSTEM CURRENT CONTROLSET SERVICES TCPIP PARAMETERS新建一個(gè)雙字節(jié)項(xiàng) 如圖7 24所示 在鍵的名稱中輸入 defaultTTL 然后雙擊改鍵名 選擇單選框 十進(jìn)制 在文本框中輸入111 如圖7 25所示 設(shè)置完畢重新啟動(dòng)計(jì)算機(jī) 再用Ping指令 發(fā)現(xiàn)TTL的值已經(jīng)被改成111了 如圖7 26所示 12抵抗DDOS 添加注冊表的一些鍵值 可以有效的抵抗DDOS的攻擊 在鍵值 HKEY LOCAL MACHINE System CurrentControlSet Services Tcpip Parameters 下增加響應(yīng)的鍵及其說明如表7 7所示 13禁止Guest訪問日志 在默認(rèn)安裝的WindowsNT和Windows2000中 Guest帳號(hào)和匿名用戶可以查看系統(tǒng)的事件日志 可能導(dǎo)致許多重要信息的泄漏 修改注冊表來禁止Guest訪問事件日志 禁止Guest訪問應(yīng)用日志HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Eventlog Application下添加鍵值名稱為 RestrictGuestAccess 類型為 DWORD 將值設(shè)置為1 系統(tǒng)日志 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Eventlog System下添加鍵值名稱為 RestrictGuestAccess 類型為 DWORD 將值設(shè)置為1 安全日志HKEY LOCAL MACH