信息技術-趙澤茂-第八章

8.1系統(tǒng)漏洞8.2Windows系統(tǒng)安全模型8.3Windows注冊表安全8.4Windows帳號與密碼8.5Windows2000安全策略8.6Windows系統(tǒng)的其他安全措施小結習題“漏洞””一詞的的本義是是指小孔孔或縫隙隙，引申申義為用用來表達達說話、、做事存存在不嚴嚴密的地地方。在在計算機機系統(tǒng)中中，漏洞洞特指系系統(tǒng)中存存在的弱弱點或缺缺陷，也也叫系統(tǒng)統(tǒng)脆弱性性，是計計算機系統(tǒng)在在硬件、、軟件、、協(xié)議的的設計與與實現(xiàn)過過程中或或系統(tǒng)安安全策略略上存在在的缺陷陷和不足足。非法法用戶戶可利用用漏洞獲獲得計算算機系統(tǒng)統(tǒng)的額外外權限，，在未經經授權的的情況下下訪問或或提高其其訪問權權限，從從而破壞壞系統(tǒng)的的安全性性。8.1系系統(tǒng)統(tǒng)漏洞洞漏洞產生生的原因因在于程程序員不不正確和和不安全全地編程程。雖然然程序員員在設計計系統(tǒng)時時考慮了了很多安安全因素素，但是是由于操操作系統(tǒng)統(tǒng)功能龐龐大、涉涉及內容容多，而而且開發(fā)發(fā)團隊人人員眾多多，總會會有考慮慮不周的的地方，，這就是是通常所所說的系系統(tǒng)漏洞洞。漏洞洞對系統(tǒng)統(tǒng)造成的的危害在在于它可可能會被被攻擊者者利用，，繼而破破壞系統(tǒng)統(tǒng)的正常常運行，，而它本本身不會會直接對對系統(tǒng)造造成危害害。漏洞洞是廣泛泛存在的的，不同同的設備備、操作作系統(tǒng)、、應用系系統(tǒng)都可可能會存存在安全全漏洞。。一般來來說，漏漏洞具有有時間局局限性，，任何系系統(tǒng)從發(fā)發(fā)布的第第一天起起，隨著著用戶的的深入使使用，以以及安全全管理人人員和黑黑客的研研究，系系統(tǒng)中存存在的漏漏洞會被被不斷地地暴露出出來。這這些被發(fā)發(fā)現(xiàn)的漏漏洞也會會不斷地地被系統(tǒng)統(tǒng)供應商商提供的的補丁軟軟件修補補，或者者在以后后的新版版系統(tǒng)中中得以糾糾正。不過，在在新版糾糾正舊版版的系統(tǒng)統(tǒng)漏洞的的同時，，可能會會引入一一些新的的漏洞和和錯誤。。隨著時時間的推推移，舊舊的漏洞洞會不斷斷地消失失，但新新的漏洞洞也會不不斷地出出現(xiàn)，所所以系統(tǒng)統(tǒng)漏洞問問題會長長期存在在。因此此，脫離離具體的的時間和和具體的的系統(tǒng)環(huán)環(huán)境來討討論漏洞洞的問題題是毫無無意義的的。只有有針對具具體版本本的目標標系統(tǒng)以以及系統(tǒng)統(tǒng)設置，，才可能能討論系系統(tǒng)中存存在的漏漏洞及可可行的解解決辦法法。同時時，無論論操作系系統(tǒng)的安安全級別別如何，，它們都都可能存存在一些些漏洞，，這些漏漏洞可能能被發(fā)現(xiàn)現(xiàn)或尚未未被發(fā)現(xiàn)現(xiàn)，但一一旦被攻攻擊者利利用，攻攻擊者很很可能獲獲得對系系統(tǒng)的一一定的訪訪問權限限，繼而而對系統(tǒng)統(tǒng)造成危危害。1.漏漏洞的分分類1)按按照漏洞洞的形成成原因分分按按照照漏洞的的形成原原因，漏漏洞大體體上可以以分為程程序邏輯輯結構漏漏洞、程程序設計計錯誤漏漏洞、開開放式協(xié)協(xié)議造成成的漏洞洞和人為為因素造造成的漏漏洞。((1))程序序邏輯結結構漏洞洞有可能能是程序序員在編編寫程序序時，因因為程序序的邏輯輯設計不不合理或或者錯誤誤而造成成的。這這類漏洞洞最典型型的例子子要數微微軟的Windows2000用用戶登錄錄的中文文輸入法法漏洞洞。非授授權人員員可以通通過登錄錄界面的的輸入法法的幫助助文件繞繞過Windows的的用戶名名和密碼碼驗證而而取得計計算機的的最高訪訪問權限限。這類類漏洞也也有可能能使合法法的程序序用途被被黑客利利用去做做不正當當的事。。(2)程程序設設計錯誤誤漏洞是是程序員員在編寫寫程序時時由于技技術上的的疏忽而而造成的的。這類類漏洞最最典型的的例子是是緩沖區(qū)區(qū)溢出漏漏洞，它它也是被被黑客利利用得最最多的一一種類型型的漏洞洞。((3)開開放式式協(xié)議造造成的漏漏洞是因因為在互互聯(lián)網上上用戶之之間的通通信普遍遍采用TCP//IP協(xié)協(xié)議。TCP//IP協(xié)協(xié)議的最最初設計計者在設設計通信信協(xié)議時時只考慮慮到了協(xié)協(xié)議的實實用性，，而沒有有考慮到到協(xié)議的的安全性性，所以以在TCP/IP協(xié)議議中存在在著很多多漏洞。。比如說說，利用用TCP/IP協(xié)議的的開放性性和透明明性嗅探探網絡數數據包，，竊取數數據包里里面的用用戶口令令和密碼碼等信息息;TCP協(xié)協(xié)議三次次握手的的潛在缺缺陷導致致的拒絕絕服務攻攻擊等。。(4)人人為因因素造成成的漏洞洞可能是是整個網網絡系統(tǒng)統(tǒng)中存在在的最大大安全隱隱患。網網絡管理理員或者者網絡用用戶都擁擁有相應應的權限限，他們們利用這這些權限限進行非非法操作作是可能能的，隱隱患是存存在的。。如操作作口令被被泄露、、磁盤上上的機密密文件被被人利用用及未將將臨時文文件刪除除導致重重要信息息被竊取取，這些些都可能能使內部部網絡遭遭受嚴重重破壞。。2)按按照漏洞洞被人掌掌握的情情況分按按照漏漏洞被人人掌握的的情況，，漏洞又又可以分分為已知知漏洞、、未知漏漏洞和0day漏洞。。((1)已已知漏洞洞是指已已經被人人們發(fā)現(xiàn)現(xiàn)，并被被人們廣廣為傳播播的公開開漏洞。。這類漏漏洞的特特點是漏漏洞形成成的原因因和利用用方法已已經被眾眾多的安安全組織織、黑客客和黑客客組織所所掌握。。安全組組織或廠廠商按照照公布的的漏洞形形成原因因和利用用方法，，在他們們的安全全防護產產品或安安全服務務項目中中加入針針對相應應類型漏漏洞的防防護方法法。黑客客和黑客客組織利利用公布布的漏洞洞形成原原因，寫寫出專門門的具有有針對性性的漏洞洞利用程程序文件件，并能能繞過安安全防護護軟件。。(2)未未知的的漏洞則則是指那那些已經經存在但但還沒有有被發(fā)現(xiàn)現(xiàn)的漏洞洞，這類類漏洞的的特征是是雖然它它們沒有有被發(fā)現(xiàn)現(xiàn)，但它它們在客客觀上已已經存在在了，它它們帶給給計算機機網絡安安全的威威脅是隱隱蔽性的的，如果果它們哪哪一天被被黑客有有意或無無意地找找出來后后，就會會對計算算機網絡絡安全構構成巨大大的威脅脅。所以以軟件開開發(fā)商、、安全組組織、黑黑客和黑黑客組織織都在努努力地發(fā)發(fā)現(xiàn)漏洞洞，可以以說誰先先發(fā)現(xiàn)了了漏洞，，誰就可可以掌握握主動權權。(3)0day漏洞洞是指已已經被發(fā)發(fā)掘出來來，但還還沒有大大范圍傳傳播開的的漏洞，，也就是是說，這這類漏洞洞有可能能掌握在在極少數數人的手手里。黑黑客有可可能在這這類漏洞洞的信息息還沒有有大范圍圍地被傳傳播開的的時候候，利用用這段時時間差攻攻擊他們們想要攻攻擊的目目標機器器，因為為絕大多多數用戶戶還沒有有獲取到到相關的的漏洞信信息，也也無從防防御，所所以黑客客要想得得手還是是很容易易的。2.漏漏洞檢測測一般來說說，操作作系統(tǒng)本本身存在在很多的的安全漏漏洞，常常用的漏漏洞掃描描工具有有以下幾幾種:((1)微微軟公司司提供的的MBSA(MicrosoftBaselineSecurityAnalyzer))工具，，它可以以對Windows系系統(tǒng)的漏漏洞進行行掃描，，分析系系統(tǒng)安全全配置并并形成相相關的報報表。MBSA工具可可以檢查查Windows系統(tǒng)統(tǒng)的漏洞洞、弱口口令、IIS漏漏洞、SQL漏漏洞及檢檢測安全全升級等等。((2)金金山毒毒霸漏洞洞掃描工工具。((3))360安全全衛(wèi)士漏漏洞掃描描工具。。((4)瑞瑞星漏洞洞掃描工工具。((5))X--scan漏洞洞掃描工工具。Windows系統(tǒng)具具有模塊塊化的設設計結構構?！澳ＤK”就就是一組組可執(zhí)行行的服務務程序，，它們運運行在內內核模式式(KernelMode)下。。在內核核模式之之上是用用戶模式式，由非非特權服服務組成成，其啟啟動與否否由用戶戶決定。。Windows系統(tǒng)統(tǒng)的安全全性根植植于Windows系系統(tǒng)的核核心層，，它為各各層次提提供一致致的安全全模型。。Windows系統(tǒng)統(tǒng)安全模模型是Windows系統(tǒng)中中的密不不可分的的子系統(tǒng)統(tǒng)，它控控制著Windows系統(tǒng)中中的對象象(如文文件、內內存、外外部設備備、網絡絡等)的的訪問。。本節(jié)以以Windows2000為例介介紹Windows系系統(tǒng)的安安全特性性。8.2Windows系系統(tǒng)安安全模型型Windows系統(tǒng)安安全模型型由登錄錄流程((LoginProcess，LP)、、本地安安全授權權(LocalSecurityAuthority,LSA)、、安全帳帳號管理理器(SecurityAccountManger，SAM))和安全全引用監(jiān)監(jiān)視器((SecurityReferenceMonitor，，SRM)組合合而成，，如圖8-2--1所示示。圖8-2-1Windows系統(tǒng)安全模型1.登登錄流流程登錄流程程接收本本地用戶戶或遠程程用戶的的登錄請請求，使使用戶名名和系統(tǒng)統(tǒng)之間建建立聯(lián)系系。Windows系系統(tǒng)登錄錄流程如如圖8--2-2所示。。圖8-2-2Windows系統(tǒng)登錄流程用戶登錄錄時，Windows系統(tǒng)會會彈出一一個交互互對話框框，要求求用戶輸輸入用戶戶名、密密碼等信信息。如如果用戶戶信息有有效，系系統(tǒng)將開開始確認認用戶身身份。Windows系統(tǒng)把把用戶信信息通過過安全系系統(tǒng)傳輸輸到安全全帳號管管理器，，安全帳帳號管理理器確認認用戶身身份后返返回安全全標識((SecurityIdentifier,SID)，，然后本本地安全全權威開開始構造造訪問令令牌，與與用戶進進行的所所有操作作相連接接。訪問問令牌的的內容將將決定允允許或或拒絕用用戶所發(fā)發(fā)出的訪訪問要求求。2.本本地安安全授權權本地安全全授權確確保用戶戶有讀//寫系統(tǒng)統(tǒng)的權限限，進而而產生訪訪問令牌牌，管理理本地安安全策略略并提供供交互式式的認證證服務。。同時，，本地安安全授權權控制審審計策略略，記錄錄安全引引用監(jiān)視視器生成成的審計計信息，，能使Windows系統(tǒng)和和第三方方供應商商的有效效確認軟軟件包共共同管理理安全性性策略。。本地安安全授權權是一一個保護護子系統(tǒng)統(tǒng)，主要要負責下下列任務務:加加載所有有的認證證包，包包括檢查查存在于于注冊表表＼HKEY__LOCAL__MACHINE＼SYSTEM＼＼CurrentControlSet＼＼Control＼LSA中中的AuthenticationPackages值值;為為用戶找找回本地地組的SID以以及用戶戶的權限限;創(chuàng)創(chuàng)建用戶戶的訪問問令牌;;管理理本地安安全服務務的服務務帳號;;存儲儲和映射射用戶權權限;管管理審審計策略略和設置置;管管理信任任關系等等。3.安安全帳帳號管理理器安全帳號號管理器器維護帳帳號的安安全性數數據庫((SAM數據庫庫)，該該數據庫庫包含所所有用戶戶和組的的帳號信信息。用用戶名和和密碼等等信息通通過散列列函數并并被加密密，現(xiàn)有有的技術術不能將將打亂的的口令恢恢復。SAM組組成了注注冊表的的5個配配置單元元之一，，它在文文件%systemroot%＼system32＼config＼＼sam中實現(xiàn)現(xiàn)。4.安安全引引用監(jiān)視視器訪問控制制機制的的理論基基礎是安安全引用用監(jiān)視器器，它它由J..P.Anderson在1972年首次次提出，，D.B.Baker于1996年年則再次次強調其其重要性性。安安全引用用監(jiān)視器器是一個個抽象的的概念，，它表現(xiàn)現(xiàn)的是一一種思想想。J..P.Anderson把安安全引用用監(jiān)視器器的具體體實現(xiàn)稱稱為引用用驗證機機制。引引用驗證證機制需需要同時時滿足以以下3個個原則::((1))必須須具有自自我保護護能力;;((2)必必須總總是處于于活躍狀狀態(tài);((3)必必須設計計得足夠夠小，以以利于分分析和測測試，從從而能夠夠證明它它的實現(xiàn)現(xiàn)是正確確的。引引用驗驗證機制制是實現(xiàn)現(xiàn)安全引引用思想想的硬件件和軟件件的組合合，如圖圖8-2-3所所示。圖8-2-3安全引用監(jiān)視器總之，安安全引用用監(jiān)視器器是Windows系系統(tǒng)的一一個組成成部分，，它以內內核模式式運行，，負責檢檢查Windows系系統(tǒng)的讀讀/寫的的合法性性，以保保護系統(tǒng)統(tǒng)免受非非法讀//寫。注冊表是是用來存存儲計算算機軟、、硬件的的各種配配置數據據的，是是一個龐龐大的二二進制數數據庫。。注冊表表中記錄錄了用戶戶安裝在在計算機機上的軟軟件和每每個程序序的相關關信息，，用戶可可以通過過注冊表表調整軟軟件的運運行性能能、檢測測和恢復復系統(tǒng)錯錯誤、定定制桌面面等。用用戶修改改配置，，只需要要通過注注冊表編編輯器即即可輕松松完成。。系統(tǒng)管管理員還還可以通通過注冊冊表來完完成系統(tǒng)統(tǒng)遠程管管理。因因而，用用戶掌握握了注冊冊表，即即掌握了了對計算算機配置置的控制制權，用用戶只需需要通過過注冊表表即可將將自己計計算機的的工作狀狀態(tài)調整整到最佳佳。8.3Windows注注冊表安安全計算機在在執(zhí)行操操作命令令時，需需要不斷斷地參考考這些信信息，這這些信息息包括以以下內容容:((1))每個個用戶的的配置文文件;((2)計計算機上上安裝的的文件和和每個程程序可以以創(chuàng)建的的文件類類型;((3)文文件夾和和程序的的圖標設設置;((4)計計算機硬硬件參數數配置;;((5)正正在使使用的端端口。注注冊表表是按照照子樹、、項、子子項和值值組成的的分層結結構。根根據系統(tǒng)統(tǒng)配置的的不同，，注冊表表實際的的文件和和大小也也不一樣樣。1.注注冊表的的結構Windows中的注注冊表是是一系列列的數據據庫文件件，主要要存儲在在＼WINNT＼System32＼Config目錄錄下;有有些注注冊表文文件建立立和存儲儲在內存存中，這這些文件件的備份份存儲在在＼WINNT＼Repair目錄錄下，只只有系統(tǒng)統(tǒng)的帳號號才需要要訪問這這些文件件。圖圖8-3-1為為一個注注冊表典典型結構構圖。圖8-3-1注冊表結構圖實際上注注冊表只只有兩個個子樹::HKEY_LOCAL_MACHINE和和HKEY_USERS。但但為了便便于檢索索，用用注冊表表編輯器器打開注注冊表時時，展現(xiàn)現(xiàn)為五個個子樹，，這些子子樹的總總體組成成了Windows中中所有的的系統(tǒng)配配置。表表8--3-1列出了了這些子子樹和它它們的用用途。表8-3-1注冊表子樹2.用用注冊冊表編輯輯器設定定注冊表表的訪問問權限在Windows2000的32位注冊冊表編輯輯器窗口口中，每每個子樹樹都有安安全選項項，可以以對每個個子樹、、項、子子項的安安全進行行設定，，從而限限制用戶戶對注冊冊表的操操作權限限。注冊冊表對于于很多用用戶來說說是很危危險的，，尤其是是初學者者，為了了安全，，最好是是禁止注注冊表編編輯器regedit.exe運行行。在注冊表表編輯器器操作界界面里，，用鼠標標依次單單擊HKEY__CURRENT_USER＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼鍵鍵值，在在右邊的的窗口中中如果果發(fā)現(xiàn)Policies下面面沒有System主主鍵，則則應在它它下面新新建一個個主鍵，，取名為為System，然后后在右邊邊空白處處新建一一個DWORD串值值，取名名為DisableRegistryTools，把它它的值修修改為1，這樣樣修改以以后，使使用這個個計算機機的人都都無法再再運行regedit.exe來修修改注冊冊表了。。3.注注冊表使使用的一一些技巧巧1)ActiveX漏洞防防范方法法ActiveX是是微軟提提出的一一組使用用COM(ComponentObjectModel，，部件對對象模型型)技術術，使得得軟件部部件在網網絡環(huán)境境中進行行交互的的技術集集，它與與具體的的編程語語言無關關。目前前，利用用ActiveX技術術漏洞的的網頁木木馬越來來越多，，這已成成為系統(tǒng)統(tǒng)安全不不可回避避的一個個問題。。ActiveX技術術漏洞對對IE、、Outlook、Foxmail等也有有著巨大大的威脅脅。它它把com.ms.activeX.ActiveXComponent對對象嵌入入<APPLET>標標記，可可能導致致任意創(chuàng)創(chuàng)建和解解釋執(zhí)行行ActiveX對象象，從而而可以創(chuàng)創(chuàng)建任意意文件，，寫注冊冊表，運運行程序序，甚至至可以使使程序在在后臺運運行。修改注冊冊表的防防范方法法:禁禁用WSHShell對象象，阻止止運行程程序。刪刪除或更更名系統(tǒng)統(tǒng)文件夾夾中的wshom.ocx文文件，或或刪除除注冊表表項HKEY__LOCAL__MACHINE＼SOFTWARE＼Classes＼CLSID＼{F935DC221CF011D0ADB900C04FD58A0B}}。2)Word隱藏木木馬的防防范方法法利利用用Word來隱隱藏木馬馬是比較較流行的的一種攻攻擊方法法。具體體方法是是新建..doc文件，，利用VBA寫寫一段特特定的代代碼，把把文檔保保存為newdoc..doc，然后后把木馬馬程序與與這個..doc文件放放在同一一個目目錄下，，運行如如下命令令:copy//bxxxx.doc+xxxx.exenewdoc..doc在在Word文檔末末尾加入入木馬文文件，如如圖8--3-2所示，，只要別別人點擊擊這個所所謂的Word文件就就會中木木馬。其其中，參參數“//b”表表示用戶戶所合并并的文件件是二進進制格式式的。圖8-3-2木馬和Word文檔合并方法以上方法法能得以以實現(xiàn)的的前提是是用戶的的Word2000安全度度為最低低，即HKEY_CURRENT_USER＼SOFTWARE＼Microsoft＼Office＼＼9.0＼Word＼＼Security中中的Level值必須須是1或或者0。。當Level值為3(代表表安全度度為高))時，Word不會運運行任何何宏;當當Level值為為2(代代表安全全度為中中)時，，Word會詢詢問用戶戶是否運運行宏。。3)防防范WinNuke黑黑客程序序的攻擊擊WinNuke是是一個破破壞力極極強的黑黑客程序序，該程程序能對對計算機機中的Windows系統(tǒng)進進行破壞壞，從而而導致整整個計算算機系統(tǒng)統(tǒng)癱瘓，，我們可可以通過過修改注注冊表來來防范它它。展開開注冊表表到HKEY_LOCAL_MACHINE＼＼SYSTEM＼CurrentControlSet＼Services＼VxD＼MSTCP，在在對應MSTCP鍵值值的右邊邊窗口中中新建一一個DWORD值，將將它命名名為“BSDUrgent””，然后后將BSDUrgent的鍵鍵值設為為0，重重新啟動動計算機機即可。。4)防防止ICMP重重定向報報文的攻攻擊ICMP即網際際控制報報文協(xié)議議，用來來發(fā)送關關于IP數據報報傳輸的的控制和和錯誤信信息的TCP//IP協(xié)協(xié)議。ICMP攻擊主主要是指指向裝有有Windows操作作系統(tǒng)的的機器發(fā)發(fā)送數量量較大且且類型隨隨機變化化的ICMP包包，遭受受攻擊的的計算機機會出現(xiàn)現(xiàn)系統(tǒng)崩崩潰的情情況，不不能正常常運行。。修改注注冊表可可以防范范重定向向報文的的攻擊，，方法是是打開注注冊表，，展開到到HKEY_LOCAL_MACHINE＼SYSTEM＼＼CurrentControlSet＼＼Services＼＼Tcpip＼＼Parameters，將將DWORD值值中EnableICMPRedirects的鍵鍵值改為為0即可可。該參參數控制制Windows2000是否會會改變其其路由表表以響應應網絡設設備發(fā)送送給它的的ICMP重定定向消息息。Windows2000中該該值的默默認值為為1，表表示響應應ICMP重定定向報文文。5)防防止SYN洪水水攻擊SYN攻擊保保護包括括減少SYN--ACK重新傳傳輸次數數，以減減少分配配資源所所保留的的時間和和路由緩緩存項資資源分配配延遲，，直到建建立連接接為止。。修修改改注冊表表防范SYN洪洪水攻擊擊的方法法是:打打開注注冊表，，展開到到HKEY_LOCAL_MACHINE＼＼SYSTEM＼CurrentControlSet＼Services＼Tcpip＼Parameters，，將DWORD值中SynAttackProtect的鍵值值改為2即可((默認值值為0))。如果果SynAttackProtect=2，則AFD((一種內內核模式式驅動程程序，用用于支持持基于Windowsocket的應用用程序，，如Ftp、Telnet等等)的連連接指示示一直延延遲到三三路握手手完成為為止。注注意，僅僅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried設置超超

出范范圍時，，保護機機制才會會采取措措施。4.攻攻擊IE的惡意意代碼解解決實例例例8-1IE的默默認首頁頁灰色按按鈕不可可選。這這是由由于注冊冊表HKEY__USERS＼＼DEAFAULT＼＼SOFTWARE＼＼Policies＼＼Microsoft＼InternetExplorer＼＼ControlPanel下的的DWORD值值中homepage的鍵值值被修改改的緣故故。原來來的鍵值值為0，，被修改改后為1(即為為灰色不不可選狀狀態(tài))。。解解決決方法::將homepage的鍵鍵值修改改為0。。例8-2修改IE起始頁頁。有有些IE被修改改了起始始頁后，，即使設設置了““使用默默認頁””仍然無無效，這這是因為為IE起起始頁的的默認頁頁也被修修改了，，也就是是以下注注冊表項項被篡改改了:HKEY__LOCAL__MACHINE＼＼SOFTWARE＼＼InternetExplorer＼＼Main＼Default_Page__URL的Default__Page_URL子子鍵的鍵鍵值。解決方法法:運行注冊冊表編輯輯器，修修改上述述子鍵的的鍵值，，將篡改改網站的的網址改改掉。例8-3網頁病毒毒鎖住注注冊表。。注注冊冊表被鎖鎖住是病病毒攻擊擊的常用用手段，，在用戶戶輸入regedit命令時時，注冊冊表不能能夠使用用，并且且系統(tǒng)會會提示用用戶沒有有權限運運行該程程序。這這是在HKEY_CURRENT__USER＼SOFTWARE＼Windows＼CurrentVersion＼Policies＼System下的的DWORD值值中DisableRegistryTools的鍵值值被修改改為1的緣故故，此時時，將其其鍵值恢恢復為0即可恢恢復注冊冊表的使使用。解決方法法:把下面內內容復制制到記事事本上，，保存為為擴展名名為reg的文文件，如如保存在在C盤，，名為aa.reg。。WindowsRegistryEditorVersion5.00［［HKEY_CURRENT_USER＼＼SOFTWARE＼＼Microsoft＼Windows＼＼CurrentVersion＼＼Policies＼＼System］""DisableRegistryTools"=dword:00000000雙雙擊““aa..reg”文件件，這時時系統(tǒng)彈彈出“是是否確認認要將C:＼＼aa.reg中中的信息息添加進進注冊表表？”的的對話框框，點擊擊“是是”按鈕鈕，彈出出對話框框“C::＼aa.reg里里的信信息已被被成功地地輸入注注冊表””，表明明導入成成功，按按“確確定”按按鈕，關關閉對話話框。另外，在在Windows2000下也可可以用組組策略解解決該問問題，單單擊“開開始”→→“運行行”選項項，輸入入Gpedit.msc后按按回車鍵鍵，打開開“組策策略”窗窗口。然然后依次次選擇““用戶配配”→““管理模模板”→→“系統(tǒng)統(tǒng)”選項項，雙擊擊右側窗窗口中的的“阻止止訪問注注冊表編編輯工具具”選項項，在彈彈出的窗窗口中選選擇“已已禁用””選項，，點擊““確定””按鈕后后再退出出“組策策略”窗窗口，即即可為注注冊表解解鎖。帳號是Windows網絡中中的一個個重要組組成部分分，從某某種意義義上說，，帳號就就是網絡絡世界中中用戶的的身份證證。Windows2000網絡絡依靠帳帳號來管管理用戶戶，控制制用戶對對資源的的訪問，，每一個個需要訪訪問網絡絡的用戶戶都要有有一個帳帳號。在在Windows2000網絡絡中有兩兩種主要要的帳號號類型::域用用戶帳號號和本地地用戶帳帳號。除除此之外外，Windows2000操操作系統(tǒng)統(tǒng)中還有有內置的的用戶帳帳號。8.4Windows帳帳號與密密碼1.域域用戶帳帳號域用戶帳帳號是用用戶訪問問域的唯唯一憑證證，因此此，在域域中必須須是唯一一的。域域用戶帳帳號在域域控制器器上建立立，作為為活動目目錄的一一個對象象保存在在域的數數據庫中中。用戶戶在從域域中的任任何一臺臺計算機機登錄到到域中的的時候必必須提供供一個合合法的域域用戶帳帳號，該該帳號將將被域控控制器所所驗證。。保存域用用戶帳號號的數據據庫叫做做安全帳帳號管理理器(SecurityAccountsManager，SAM)，，SAM數據據庫位于于域控制制器上的的＼％systemroot％NTDS＼＼NTDS.DIT文文件中中。為了了保證帳帳號在域域中的唯唯一性，，每個帳帳號都被被Windows2000分配配一個唯唯一的SID((SecurityIdentifier，安安全識別別符),,該SID是是獨一一無二的的，相當當于身份份證號。。SID成為一一個帳號號的屬性性，不隨隨帳號的的修改、、更名而而改變，，并且一一旦帳號號被刪除除，對應應的SID也將將不復存存在。即即使重新新創(chuàng)建一一個一模模一樣的的帳號，，其SID也也不會和和原有的的SID一樣樣，對于于Windows2000而言言，這就就是兩個個不同的的帳號。。在Windows2000系系統(tǒng)中，，實際上上是利用用SID來對對應用戶戶的權限限，因此此只要SID不不同，，新建的的帳號就就不會繼繼承原有有帳號的的權限與與組的隸隸屬關系系。2.本本地用戶戶帳號本地用戶戶帳號只只能建立立在Windows2000獨獨立服務務器上，，以控制制用戶對對該計算算機資源源的訪問問。也就就是說，，如果一一個用戶戶需要訪訪問多臺臺計算機機上的資資源，而而這些計計算機不不屬于某某個域，，則用戶戶要在每每一臺需需要訪問問的計算算機上擁擁有相應應的本地地用戶帳帳號，并并在登錄錄某臺計計算機時時由該計計算機驗驗證。這這些本地地用戶帳帳號存放放在創(chuàng)建建該帳號號的計算算機上的的本地SAM數數據庫庫中，且且在存放放該帳號號的計算算機上必必須是唯唯一的。。由由于于本地用用戶帳號號的驗證證是由創(chuàng)創(chuàng)建該帳帳號的計計算機來來進行的的，因此此對于這這種類型型帳號的的管理是是分散的的，通常常不建議議在成員員服務器器和基于于Windows2000Professional的的計算機機上建立立本地用用戶帳號號。這些些帳號不不能在域域環(huán)境中中統(tǒng)一管管理、設設置和維維護，并并且使用用這種類類型帳號號的用戶戶在訪問問域的資資源時還還要再提提供一個個域用戶戶帳戶，，同時要要經過域域控制器器的驗證證。這些都使使得本地地用戶帳帳號不適適用在域域的環(huán)境境下，并并且也容容易造成成安全隱隱患，因因此應當當在域的的環(huán)境中中只使用用域用戶戶帳號。。本地用用戶帳號號適用于于工作組組模式中中，該模模式中沒沒有集中中的網絡絡管理者者，必須須由每臺臺計算機機自己維維護帳號號與資源源。與與域用戶戶帳號一一樣，本本地用戶戶帳號也也有一個個唯一的的SID來標標識帳號號，并記記錄帳號號的權限限和組的的隸屬關關系。3.內內置的用用戶帳號號內置的用用戶帳號號是Windows2000操作作系統(tǒng)自自帶的帳帳號，在在安裝好好Windows2000之后，，這些帳帳號就存存在了，，并已經經賦予了了相應的的權限，，Windows2000利用這這些帳號號來完成成某些特特定的工工作。Windows2000中中常見見的內置置用戶帳帳號包括括Administrator和和Guest帳帳號，，這些內內置用戶戶帳號不不允許被被刪除，，并且Administrator帳號號也不允允許被屏屏蔽，但但內置用用戶帳號號允許被被更名。。1)Administrator帳號號Administrator((管理員員)帳號號被賦予予在域中中和在計計算機中中，具有有不受限限制的權權利，該該帳號被被設計用用于對本本地計算算機或域域進行管管理，可可以從事事創(chuàng)建其其他用戶戶帳號、、創(chuàng)建組組、實施施安全策策略、管管理打印印機以及及分配用用戶對資資源的訪訪問權限限等工作作。由由于Administrator帳號號的特殊殊性，該該帳號深深受黑客客及不懷懷好意的的用戶的的青睞，，成為攻攻擊的首首選對象象。出于于安全考考慮，建建議將該該帳號更更名，以以降低該該帳號的的安全風風險。2)Guest帳號號Guest(來賓賓)帳號號一般被被用于在在域中或或計算機機中沒有有固定帳帳號的用用戶臨時時訪問域域或計算算機。該該帳號默默認情況況下不允允許對域域或計算算機中的的設置和和資源做做永久性性的更改改。出于于安全考考慮，Guest帳號號在Windows2000安裝裝好之后后是被屏屏蔽的，，如果需需要，可可以手動動啟動。。用戶應應該注意意分配給給該帳號號的權限限，該帳帳號也是是黑客攻攻擊的主主要對象象。4.使使用安全全密碼一個好的的密碼對對于一個個網絡而而言是非非常重要要的，但但它是最最容易被被忽略的的。一一些公公司的管管理員在在創(chuàng)建帳帳號的時時候往往往用公司司名、計計算機名名或者一一些很容容易被猜猜到的名名稱作為為用戶名名，然后后又把這這些帳戶戶的密碼碼設置得得很簡單單，比如如“welcome”、““iloveyou”、““l(fā)etmein””或者和和用戶名名相同等等。這樣樣的帳戶戶應該要要求用戶戶首次登登錄的時時候更改改成復雜雜的密碼碼，還要要注意經經常更改改密碼。。密碼設置置的一般般規(guī)則如如下:((1)至至少6個個字符;;((2)不不包含含Administrator或Admin;((3)包包含大寫寫字母((A、B、C等等);((4)包包含小寫寫字母((a、b、c等等);((5)包包含數字字(0、、1、2等);;((6)包包含非非字母數數字字符符(#、、&、~~等)。。5.使使用文件件加密系系統(tǒng)EFSWindows2000強強大的的加密系系統(tǒng)能夠夠給磁盤盤、文件件夾、文文件加上上一層安安全保護護，這樣樣可以防防止別人人把自己己的硬盤盤掛到別別的機器器上以讀讀出里面面的數據據。注注意，要要給文件件夾也使使用EFS，而而不僅僅僅是單個個的文件件。6.加加密Temp文文件夾一些應用用程序在在安裝和和升級的的時候，，會把一一些東西西拷貝到到Temp文件件夾中，，但是當當程序升升級完畢畢或關閉閉的時候候，它們們并不會會自己清清除Temp文文件夾中中的內容容。所以以，給Temp文件夾夾加密可可以給用用戶的文文件多一一層保護護。7.設設置開機機密碼及及CMOS密碼碼CMOS密碼是是啟動電電腦后的的第一道道安全屏屏障，Windows系統(tǒng)登登錄密碼碼是啟動動電腦后后的第二二道安全全屏障，，其安全全性很高高，一般般是難以以破解的的。Windows2000安安全策略略定義了了用戶在在使用計計算機、、運行應應用程序序和訪問問網絡等等方面的的行為，，通過這這些約束束避免了了各種對對網絡安安全的有有意或無無意的傷傷害。安安全策略略是一個個事先定定義好的的一系列列應用計計算機的的行為準準則，應應用這些些安全策策略將使使用戶有有一致的的工作方方式，防防止用戶戶破壞計計算機上上的各種種重要配配置，保保護網絡絡上的敏敏感數據據。8.5Windows2000安全策策略在Windows2000系統(tǒng)中中，安全全策略是是以本地地安全設設置和組組策略兩兩種形式式出現(xiàn)的的。本地地安全設設置是基基于單個個計算機機的安全全性而設設置的，，對于較較小的企企業(yè)或組組織，或或者是在在網絡中中沒有應應用活動動目錄的的網絡((基于工工作組模模式)，，適用本本地安全全設置;;而組組策略可可以在站站點、組組織單元元或域的的范圍內內實現(xiàn)，，通常在在較大規(guī)規(guī)模并且且實施活活動目錄錄的網絡絡中應用用組策略略。下下面從從安全策策略的角角度來考考慮Windows2000系統(tǒng)統(tǒng)的安全全。1.打打開審核核策略開啟安全全審核是是Windows2000最基本本的入侵侵監(jiān)測方方法。當當未經授授權者對對用戶的的系統(tǒng)進進行某些些方式((如嘗試試用戶密密碼、改改變帳戶戶策略、、未經許許可的文文件訪問問等)入入侵的時時候，都都會被安安全審核核記錄下下來。審審核策略略如表8-5--1所示示。表8-5-1審核策略2.開開啟帳戶戶策略帳戶的保保護主要要使用密密碼保護護機制，，為了避避免用戶戶身份因因密碼被被破解而而被奪取取或盜用用，通常常可采取取諸如提提高密碼碼的破解解難度、、啟用帳帳戶鎖定定策略、、限制用用戶登錄錄、限制制外部連連接和防防范網絡絡嗅探等等措施。。帳戶策策略定義義在計算算機上，，然而卻卻可影響響用戶帳帳戶與計計算機或或域交互互作用的的方式。。帳戶策策略在安安全區(qū)域域有如下下內容的的屬性。。(1)密密碼策策略:對對于域域或本地地用戶帳帳戶，決決定密碼碼的設置置，如強強制性和和期限。。((2)帳帳戶鎖定定策略::對于于域或本本地用戶戶帳戶，，決定系系統(tǒng)鎖定定帳戶的的時間以以及鎖定定哪個帳帳戶。((3))Kerberos策略::對于于域用戶戶帳戶，，決定于于Kerberos有有關的設設置，如如帳戶有有效期和和強制性性。在活動目目錄(ActiveDirectory)中設設置帳戶戶策略時時，Windows2000只允允許一個個域帳戶戶策略及及應用于于域目錄錄樹的根根域的帳帳戶策略略。該域域帳戶策策略將成成為域成成員中任任何Windows2000工作作站或服服務器的的默認帳帳戶策略略。此規(guī)規(guī)則唯一一的例外外是為一一個組織織單位定定義了另另一個帳帳戶策略略，組織織單位的的帳戶策策略設置置將影響響該組織織單位中中任何計計算機上上的本地地策略。。開啟帳帳戶策略略如表8-5--2所示示。表8-5-2開啟帳戶策略3.開開啟密碼碼策略提高密碼碼的破解解難度主主要是通通過采用用提高密密碼復雜雜性、增增大密碼碼長度、、提高更更換頻率率等措施施來實現(xiàn)現(xiàn)的，但但普通用用戶很難難做到，，對于企企業(yè)網絡絡中的一一些敏感感用戶就就必須采采取一些些相關的的措施，，以強制制改變不不安全密密碼的使使用習慣慣。密碼碼策略包包含以下下6個策策略，即即密碼必必須符合合復雜性性要求、、密碼長長度最小小值、密密碼最長長存留期期、密碼碼最短存存留期、、強制制密碼歷歷史、為為域中所所有用戶戶使用可可還原的的加密來來存儲密密碼。在Windows2000及以上上版本中中都可以以對帳戶戶策略設設置響應應的密碼碼策略，，設置方方法如下下:依依次選選擇“控控制面板板”→““管理工工具”→→“本地地安全策策略”→→“帳戶戶策略””→“密密碼策略略”選項項，如圖圖8-5-1所所示。為了了更有效效地保護護計算機機密碼，，在啟用用密碼策策略時，，建議的的配置如如表8--5-3所示。。圖8-5-1配置密碼策略表8-5-3開啟密碼策略4.停停用Guest帳號Guest用戶戶作為一一個來賓賓用戶，，其權限限是很低低的，而而且默認認密碼為為空，這這就使得得入侵者者可以利利用種種種途徑，，通過Guest登錄錄并最終終拿到Administrator權。因因此，，應在計計算機管管理的用用戶里面面把Guest帳號停停用，任任何時候候都不允允許Guest帳號號登錄系系統(tǒng)。為為了保險險起見，，最好給給Guest加加一個復復雜的密密碼(用用戶可以以打開記記事本，，在里面面輸入一一串包含含特殊字字符、數數字、字字母的長長字符串串，然后后把它作作為Guest帳號的的密碼拷拷貝進去去)。首先是要要給Guest加一個個強的密密碼，在在“管理理工”→→“計算算機管理理”→““本地用用戶和組組”→““用戶””里面設設置，單單擊右鍵鍵，選擇擇“屬性性”選項項，然然后可以以設置Guest帳戶戶對物理理路徑的的訪問權權限，如如圖8--5-2所示。。圖8-5-2停用Guest帳號5.限限制不必必要的用用戶數量量去掉所有有的不必必要的帳帳戶、測測試用帳帳戶、共共享帳號號、普通通部門帳帳號等，，同時用用戶組策策略設置置相應權權限，并并且經常常檢查系系統(tǒng)的帳帳戶，刪刪除已經經不再使使用的帳帳戶。這這些帳戶戶很多時時候都是是黑客們們入侵系系統(tǒng)的突突破口，，系統(tǒng)的的帳戶越越多，黑黑客們得得到合法法用戶權權限的可可能性一一般也就就越大。。6.為為系統(tǒng)統(tǒng)Administrator帳號號改名Windows2000的的Administrator帳號號是不能能被停用用的，這這意味著著別人可可以一遍遍又一邊邊地嘗試試這個帳帳戶的密密碼。把把Administrator帳戶戶改名，，可以有有效地防防止這一一點。當當然，也也不要使使用Admin之類的的名字，，盡量把把它偽裝裝成普通通用戶，，比如改改成Guestone。選選擇“管管理工具具”→““本地安安全設置置”選項項，打開開其“本本地策略略”中的的“安全全選項””，從中中看到有有一項帳帳戶策略略——重重命名系系統(tǒng)管理理員帳戶戶(如圖圖8-5-3所所示)，，雙擊此此項進入入其屬性性即可修修改。圖8-5-3重命名系統(tǒng)管理員帳戶7.創(chuàng)創(chuàng)建一個個陷阱帳帳號創(chuàng)建一個個名為““Administrator”的的本地帳帳戶，把把它的權權限設置置成最低低(什么么事也干干不了的的那種))，并且且加上一一個超過過10位位的超級級復雜密密碼，這這樣未經經授權者者即使得得到Administrator權權限也沒沒有用。。8.關關閉不必必要的服服務WindowsServer2000安裝完完后默認認有84項服務務，默認認隨系統(tǒng)統(tǒng)啟動的的有36項。這這里面每每一項服服務是否否安全，，特別是是那些隨隨系統(tǒng)啟啟動的服服務是否否有被利利用的可可能性，，這對系系統(tǒng)安全全來說是是非常重重要的。。方法:依次選擇擇“設置置”→““控制面面板”→→“管理理工具””→“服服務”選選項，在在欄目中中羅列了了系統(tǒng)中中的各種種服務項項目，，對要禁禁止的服服務項目目，選擇擇“操作作”→““停止””命令，，如圖8-5--4所示示。圖8-5-4服務設置9.關關閉不必必要的端端口關閉端口口意味著著減少功功能，在在安全和和功能上上面需要要作一點點決策。。具體方方法為::依依次選擇擇“網上上鄰居””→“屬屬性”→→“本地地連接””→“屬屬性”→→“Internet協(xié)議((TCP/IP)”→→“屬性性”→““高級””→“選選項”→→“TCP/IP篩選選”選項項，打開開“TCP/IP篩選選”對話話框，添添加需要要的TCP、UDP協(xié)協(xié)議即可可，如圖圖8-5-5所所示。圖8-5-5“TCP/IP篩選”對話框10.設設置目目錄和文文件權限限要控制服服務器上上用戶的的權限，，應當認認真地設設置目錄錄和文件件的訪問問權限，，其訪問問權限分分為讀取取、寫入入、讀取取及執(zhí)行行、修改改、列目目錄、完完全控制制。在默默認的情情況下，，大多數數的文件件夾和文文件對所所有用戶戶(Everyone這個組組)是完完全控制制的(FullControl))，這根根本不能能滿足不不同網絡絡的權限限設置需需求，所所以還應應根據應應用的需需要進行行重新設設置，設設置時應應遵循如如下原則則:((1))級別別不同的的權限是是累加的的。假如如一個用用戶同時時屬于3個組，，那它就就擁有3個組所所允許的的所有權權限。(2)拒拒絕的的權限要要比允許許的權限限高(拒拒絕策略略會先執(zhí)執(zhí)行)。。如果果一個用用戶屬于于一個被被拒絕訪訪問資源源的組，，那么不不管其他他的權限限設置給給他開放放了多少少權限，，他也不不能訪問問該資源源。因此此要注意意使用拒拒絕權限限，任何何一個不不當的拒拒絕都有有可能造造成系統(tǒng)統(tǒng)無法正正常運行行。((3)文文件權權限要比比文件夾夾權限高高。((4)僅僅給用用戶真正正需要的的權限，，權限的的最小化化原則是是安全的的重要保保障。對于操縱縱系統(tǒng)而而言，從從軟盤和和CD--ROM啟動動系統(tǒng)，，可以繞繞過原有有的安全全機制，，如果服服務器對對安全要要求非常常高，未未經授權權者可以以考慮使使用移動動軟盤或或光驅竊竊取系統(tǒng)統(tǒng)機密，，所以在在CMOS設置置禁用從從軟盤、、CD--ROM啟動系系統(tǒng)是必必要的。。8.6Windows系統(tǒng)的的其他安安全措施施Windows2000使使用NTFS文文件系統(tǒng)統(tǒng)，該格格式是基基于NTFS分分區(qū)實現(xiàn)現(xiàn)的，支支持用戶戶對文件件的訪問問權限，，也支持持對文件件和文件件夾的加加密，因因而具有有更高的的安全性性。所以以，從安安全的角角度來說說，Windows2000的安安裝要求求使用NTFS格式分分區(qū)。NTFS是微軟軟WindowsNT內核核的系列列操作系系統(tǒng)支持持的、一一個特別別為網絡絡和磁盤盤配額、、文件加加密等管管理安全全特性設設計的磁磁盤格式式。NTFS除除了提供供磁盤壓壓縮、數數據加密密、磁盤盤配額、、動態(tài)磁磁盤管理理等功能能外，還還提供了了為不同同用戶設設置訪問問控制制、隱私私和安全全管理的的功能。。對于Windows系系統(tǒng)的安安全措施施，除了了上面講講述的啟啟用安全全策略、、安裝時時使用NTFS文件系系統(tǒng)、開開機禁止止CD--ROM啟動系系統(tǒng)外，，通常還還有下面面一些措措施。((1))關閉閉IPC和默認認共享。。把把共享享文件的的權限從從“Everyone”組改改成“授授權用戶戶”，“Everyone”在在Windows2000中意味味著任何何有權權進入該該網絡的的用戶都都能夠獲獲得這些些共享資資料。任任何時候候都不要要把共享享文件的的用戶設設置成““Everyone””組(包包括打印印共享、、默認的的屬性是是“Everyone”組的的)。方方法是::選選擇“共共享”→→“安全全”選項項，在權權限欄目目中對““Everyone””進行有有效設置置，或單單擊“刪刪除”按按鈕，如如圖8--6-1所示。。圖8-6-1共享安全設置(2)禁禁止空空連接。。在在默認認的情況況下，任任何用戶戶都可以以通過空空連接連連上服務務器，枚枚舉帳號號并猜測測密碼，，因此，，必須禁禁止建立立空連接接。禁禁止建建立空連連接的方方法是::打打開注冊冊表編輯輯器，展展開HKEY_LOCAL_MACHINE＼＼SYSTEM＼CurrentControlSet＼Control＼＼LSA，將DWORD值中中RestrictAnonymous的鍵值值改為1即可。。(3)關關閉默默認共享享。系系統(tǒng)統(tǒng)默認一一些隱藏藏的共享享，可以以通過在在Cmd下輸入入“netshare”命命令來查查看共享享情況，，如圖8-6--2所示示。圖8-6-2查看計算機的共享資源圖中，C$為默默認共享享盤;ADMIN$是是遠程管管理用的的共享目目錄;IPC$為為空連接接，提供供了登錄錄到系統(tǒng)統(tǒng)的能力力。關關閉方法法是:在在盤符符上選擇擇右鍵的的“共享享”→““不共享享該文件件夾”選選項，然然后重新新啟動計計算機。。(4)備備份數數據。一一旦系統(tǒng)統(tǒng)資料被被破壞，，備份盤盤將是恢恢復資料料的唯一一途徑。。備份完完資料后后，應把把備份盤盤放在安安全的地地方，特特別敏感感的文件件應存放放在另外外的文件件服務器器上。雖雖然現(xiàn)現(xiàn)在服務務器的硬硬盤容量量都很大大，但還還是應該該考慮一一下是否否有必要要把一些些重要的的用戶數數據(文文件、數數據表、、項目文文件等))存放在在另外一一個安全全的服務務器中，，并且經經常備份份它們。。對于保護護不安全全程序，，可通過過一些工工具使它它們從系系統(tǒng)目錄錄中轉移移到另外外一個安安全的目目錄，例例如cmd.exe、、

net.exe、、telnet.exe、ftp..exe、tftp..exe、debug.exe、xcopy.exe等等，可以以使黑客客上來后后找不到到合適的的工具和和Shell。。例如，配配置本地地安全設設置:從從“管管理工具具”里打打開“本本地安全全設置””，其中中的密碼碼策略、、帳戶鎖鎖定策略略、審核核策略、、用戶權權限分配配、安全全選項等等都需要要仔細配配置。②②使使用安全全漏洞掃掃描器，，對系統(tǒng)統(tǒng)經常進進行掃描描，可以以找出各各系統(tǒng)的的漏洞。。③③配配置Windows日志查查看器，，可以查查找不安安全的進進程。④安安裝MicrosoftBaselineSecurityAnalyzer工工具，對對系統(tǒng)進進行安全全分析。。⑤鎖住住注冊表表。在Windows2000中中，只有有Administrators和和BackupOperators才有有從網絡絡上訪問問注冊表表的權限限。為了了更加安