計(jì)算機(jī)的安全配置

====Word====Word行業(yè)資料分享--可編輯版本--雙擊可刪====計(jì)算機(jī)的安全配置1.windows的默認(rèn)配置windows操作系統(tǒng)預(yù)置了許多默認(rèn)配置，以便于操作系統(tǒng)的使用以及計(jì)算機(jī)的互聯(lián)和資源共享，然而，這些默認(rèn)配置卻存在著許多的安全隱患，容易帶來(lái)信息安全問(wèn)題。例如，在默認(rèn)情況下,windows2003系統(tǒng)啟動(dòng)后，通過(guò)Netshare命令就可以在本地計(jì)算機(jī)上發(fā)現(xiàn)admin$,IPC$,C$,D等默認(rèn)共享，這些默認(rèn)共享有利于網(wǎng)絡(luò)管理員便捷地管理遠(yuǎn)程的計(jì)算機(jī)設(shè)備，但是若這些計(jì)算機(jī)上的管理員帳號(hào)被泄露，那么黑客就易于通過(guò)這些共享資源來(lái)獲取非授權(quán)的信息。因此，windows系統(tǒng)的默認(rèn)配置僅是一種考慮了計(jì)算機(jī)系統(tǒng)普通應(yīng)用情況的預(yù)置配置方式，當(dāng)在自身的應(yīng)用環(huán)境中使用安裝有windows操作系統(tǒng)的計(jì)算機(jī)時(shí)，應(yīng)對(duì)其中的默認(rèn)配置進(jìn)行修改，以確保計(jì)算機(jī)系統(tǒng)哦你的信息安全性。本實(shí)驗(yàn)將對(duì)默認(rèn)配置中一些與安全有關(guān)的配置進(jìn)行修改，用以提高計(jì)算機(jī)系統(tǒng)的安全性。sc.exe為一個(gè)用于與服務(wù)控制管理器和服務(wù)進(jìn)行通信的命令行程序。該程序主要有以下功能： 檢索和設(shè)置有關(guān)服務(wù)的控制信息。管理服務(wù)程序，如：測(cè)試，調(diào)試和刪除服務(wù)程序。設(shè)置存儲(chǔ)在注冊(cè)表中的服務(wù)屬性來(lái)控制啟動(dòng)服務(wù)程序。sc.exe的用法如下:sc<server>[command][servicename]<option1><option2>…其中，選項(xiàng)〈server>的格式為\\ServerName，用于指定服務(wù)說(shuō)在的遠(yuǎn)程服務(wù)器名稱(chēng)。參數(shù)[command]中包含32個(gè)命令，其中常有的命令有：Query查詢(xún)服務(wù)的狀態(tài)，或枚舉服務(wù)類(lèi)型的狀態(tài)。Start啟動(dòng)服務(wù)。Privs更改服務(wù)的所需權(quán)限。qc查詢(xún)服務(wù)的配置信息。qdescripton查詢(xún)服務(wù)的描述。delete （從注冊(cè)表）刪除服務(wù)。Create創(chuàng)建服務(wù)（將其添加到注冊(cè)表）。注冊(cè)表是windows系統(tǒng)中的核心數(shù)據(jù)庫(kù)，管理著系統(tǒng)運(yùn)行所必需的重要數(shù)據(jù)。注冊(cè)表中的數(shù)據(jù)來(lái)源于系統(tǒng)注冊(cè)表文件和用戶(hù)注冊(cè)表文件兩類(lèi)，其中系統(tǒng)注冊(cè)表文件包括：\system32\config下的Default，SAM，Security,Software,Userdiff和System6個(gè)文件；用用戶(hù)注冊(cè)表文件包括\DocumentsandSetting\下的ntuser.dat,ntuser.ini和ntuser.bat.log3個(gè)文件。通過(guò)windows系統(tǒng)自帶的regedit.exe注冊(cè)表編輯器工具可以打開(kāi)注冊(cè)表數(shù)據(jù)庫(kù)，對(duì)上述兩類(lèi)文件中的數(shù)據(jù)進(jìn)行集中的配置和管理。而在本章的實(shí)驗(yàn)中，將演示如何通過(guò)修改注冊(cè)表來(lái)加強(qiáng)windows系統(tǒng)抗DOS攻擊能力。4.ICMP協(xié)議及攻擊ICMP（internetcontrolmessageprotocol）協(xié)議是TCP/IP協(xié)議族中眾多協(xié)議中的一個(gè)，用于在主機(jī)之間，主機(jī)和路由器之間，路由器之間傳遞網(wǎng)絡(luò)控制信息。這些控制信息不屬于用戶(hù)數(shù)據(jù)的一部分，但是對(duì)于整個(gè)網(wǎng)絡(luò)的正常運(yùn)行和維護(hù)卻起著重要的作用，比如通過(guò)ICMP消息可以得知網(wǎng)絡(luò)的連通性，主機(jī)是否在線，路由器是否可用等網(wǎng)絡(luò)狀態(tài)。由于ICMP協(xié)議是一種網(wǎng)絡(luò)控制協(xié)議，因此它是網(wǎng)絡(luò)傳輸中的必要數(shù)據(jù)，也正因?yàn)榇耍浅Ｈ菀妆挥脕?lái)攻擊網(wǎng)絡(luò)中的主機(jī)和路由器。例如，大量的ICMP數(shù)據(jù)包會(huì)形成ICMP風(fēng)暴，當(dāng)主機(jī)受到這種ICMP數(shù)據(jù)風(fēng)暴的攻擊時(shí)，其處理器會(huì)耗費(fèi)大量的資源來(lái)處理這些ICMP數(shù)據(jù),這最終會(huì)導(dǎo)致整個(gè)主機(jī)系統(tǒng)的癱瘓。-|gHI_|引I凰計(jì)堂:抑誕咐、"龜涂城工M4-適串件査君器:亢-|gHI_|引I凰計(jì)堂:抑誕咐、"龜涂城工M4-適串件査君器:亢7共享文件央u.-g本地用戶(hù)利詛

m葡性能日古汨普推

恩設(shè)省昔在格-!■貿(mào)存牀H-爭(zhēng)可密動(dòng)存儲(chǔ)B圖挹:碎片晝理程序費(fèi)密盤(pán)首落日泌服薈和應(yīng)用程序H-J早詢(xún)賭I狀恣丨啟動(dòng)類(lèi)型丨登錄為*鼎I控制J目索引服罟莊滯捎劇隊(duì)列田F,internet信點(diǎn)照務(wù)（II5）?拿A.Ierter^ijApaah.e2.2^jApplicaL：anLav...喻MplicatiorMajt...嚓蛇F.EETStateS...^AutoniaticUpdates^EackfroiutdInte...^jjClipBook卷ODH十EventS/slem蜂COM+System版.^jConputei：-BrtfffseryptographicS...%DHEFClient^jDisiributedFil...:%^Di5tributedLiii...^DistributedLin...sitiB'itcdTt-4...%DN5Client^ErrorReportinj...喻EmntLog%FiLeReplicatioil%rrrrubiishins..辱^HaLpon』Support卸rmsslHumanInterface...AdminSeryjcc：調(diào)ad-為前為從存啟支肯維垠方K.啟啟隊(duì)池檢啟色允啟此啟允已啟動(dòng)已啟動(dòng)己g巳啟動(dòng)己?jiǎn)?dòng)巳啟的巳啟動(dòng)己后動(dòng)己?jiǎn)?dòng)已啟動(dòng)本粗眼苔本迎蒙藐本:均案読本電委窺去地系統(tǒng)蔔也系藐本地系統(tǒng)本電墓筑曲也苗.藐本地塞抗網(wǎng)洛摳售現(xiàn)旅読本地爰藐本電系統(tǒng)本地系藐樹(shù)皤統(tǒng)本均塞統(tǒng)本地系藐首先在桌面上右擊“我的電腦”，在彈出的快捷菜單中選擇“管理”，打開(kāi)“計(jì)算機(jī)管理”窗口。在該對(duì)話框左邊的列表中展開(kāi)“服務(wù)和應(yīng)用程序”，并單擊下屬的“服務(wù)”列表項(xiàng)，這樣在“計(jì)算機(jī)管理”窗口的右邊則會(huì)出現(xiàn)本地計(jì)算機(jī)所有支持的各種服務(wù)，如圖3.1所示。2計(jì)點(diǎn)機(jī)晉理國(guó)玄件心躁作心查看⑦身口魚(yú)〕排頃〕“計(jì)算機(jī)管理”窗口雙擊其中的Telnet列表項(xiàng)，則可對(duì)該服務(wù)進(jìn)行啟動(dòng)，停止，暫停和恢復(fù)操作，如圖3.2所示。但是，windows操作系統(tǒng)并沒(méi)有提供一個(gè)圖形界面來(lái)對(duì)其實(shí)實(shí)施卸載和刪除操作。下面通過(guò)sc.exe命令來(lái)演示如何卸載Telnet服務(wù)（既TlntSvr服務(wù)）。單擊“開(kāi)始”- “運(yùn)行”命令，在彈出的“運(yùn)行”對(duì)話框中輸入CMD命令，單擊“確定”按鈕，從而打開(kāi)命令行窗口。在命令行窗口中可以輸入scqctlntsvr,查看tlntsvr服務(wù)的配置信息，如圖3.3所示。圖3.2Telnet服務(wù)的狀態(tài)====Word====Word行業(yè)資料分享--可編輯版本--雙擊可刪===TMTelnet-1口1幻C\c'\TIHOVS\KJF￡ ￡■d?MicrosoFtUindouc 本5.2.2790]<C>版權(quán)所有1985-2003MicrosoftCorp.Cs^DocumentsandSettingsSftdninistrator^scqctIntsvr[SC]Querj^SeruiceConFig成功CsSDociimcntGandSettings'sftdninistratoi*^SEBUlCE_SlARrJfirtEGERUICE_MftME=tlrtsvrTYPESTAETJYPEERBOR_COHTEOLRTHfiBV_PATH_MAHELQ"UH皿_GROUFTAGDIEPLfiV_NfiMEDEFENDINGIES4DISABLED1HOPNflLC:KlJIHDOURijis：t：BrTi32Xtlntsui*_exfiEPGSSTCPIPNTLMSSPNTAUTHOR1f￥^ocalSepyiceWIN22_0UN_PR0CE￡S圖3.3tlntsvr服務(wù)配置信息====Word====Word行業(yè)資料分享--可編輯版本--雙擊可刪====為了將tIntsvr服務(wù)卸載，先在命令行窗口中通過(guò)命令scstoptlntsvr停止該服務(wù)（若停止失敗，則說(shuō)明該服務(wù)本身就是stop的），然后通過(guò)命令scdeletetlbtsvr將tlntsvr服務(wù)在服務(wù)列表中刪除，如圖3.4所示。單擊“計(jì)算機(jī)管理”對(duì)話框中工具欄的“刷新”按鈕后，會(huì)發(fā)現(xiàn)在右邊的服務(wù)列表中已沒(méi)有了telnet服務(wù)（既tIntsvr服務(wù)），如圖3.5所示。利用類(lèi)似方法可以禁止和刪除其他一些想要?jiǎng)h除的服務(wù)。例如，Schedule服務(wù)非常容易被黑客利用來(lái)執(zhí)行一些系統(tǒng)命令和可執(zhí)行文件，如果僅是簡(jiǎn)單地停止Schedule服務(wù)，也不能保證安全性，因?yàn)橛行┖诳凸ぞ呖梢赃h(yuǎn)程地開(kāi)啟該服務(wù)。百I(mǎi)|偵底入標(biāo)推/?開(kāi)始|J.圍■玲百I(mǎi)|偵底入標(biāo)推/?開(kāi)始|J.圍■玲|鳳計(jì)豊機(jī)管理|國(guó)I[?州：ND即脂可蛀泗笠；計(jì)球即鳥(niǎo)停止并刪除tlntsvr服務(wù)￡襯苴機(jī)琶建-舊XI電琳11感蹬■昨II回計(jì)mt鶴 一竺￡:\l?ZILU/?3\5ysten3E.. 丨每I*甲|方冶皿E 1J ■ J 」刪除tlntsvr服務(wù)后的效果首先“開(kāi)始”- “運(yùn)行”命令，在彈出的“運(yùn)行”對(duì)話框中輸入gpedit.msc,單擊“確定”按鈕，即可打開(kāi)“組策略”窗口，如圖3.6所示，下面的四種安全配置將在“組策略”窗口中完成?！敖M策略”窗口1.隱藏驅(qū)動(dòng)器選擇“用戶(hù)配置"- “管理模板" -"windows組件"-"windows資源管理器”-“隱藏'我的電腦'中的這些指定的驅(qū)動(dòng)器”，打開(kāi)相應(yīng)的對(duì)話框，如圖3.7所示，在對(duì)話框中選擇“已啟用”選項(xiàng)，并在其下拉列表框中選擇一個(gè)組合，單擊“確定”按鈕后，組合框中選中的驅(qū)動(dòng)器符號(hào)就不會(huì)出現(xiàn)在標(biāo)準(zhǔn)的打開(kāi)對(duì)話框中。隱藏驅(qū)動(dòng)器名稱(chēng)但需要注意的是，這項(xiàng)策略?xún)H刪除驅(qū)動(dòng)器的圖標(biāo)，用戶(hù)仍然可以通過(guò)其他方式訪問(wèn)驅(qū)動(dòng)器的內(nèi)容，如：通過(guò)在映射網(wǎng)絡(luò)驅(qū)動(dòng)對(duì)話框，運(yùn)行對(duì)話框或命令窗口上輸入一個(gè)驅(qū)動(dòng)器的目錄路徑。同時(shí)，此策略不會(huì)防止用戶(hù)使用程序訪問(wèn)這些驅(qū)動(dòng)器或其內(nèi)容，也不會(huì)防止用戶(hù)使用“磁盤(pán)管理”管理單元查看并更改驅(qū)動(dòng)器特性。當(dāng)人們暫時(shí)離開(kāi)工作電腦時(shí)，可能有一些打開(kāi)的文檔還在處理之中，為了避免其他人動(dòng)用電腦，一般會(huì)將電腦鎖定，但是，但電腦處于局域網(wǎng)環(huán)境時(shí)，可能已在本地電腦上創(chuàng)建了一些來(lái)賓帳戶(hù)，以方便他人的網(wǎng)絡(luò)登錄需求。但是其他人也可以利用這些來(lái)賓帳號(hào)注銷(xiāo)當(dāng)前帳號(hào)并進(jìn)行本地登錄，這樣會(huì)對(duì)當(dāng)前的文檔處理工作造成影響。為了解決該問(wèn)題，可以通過(guò)“組策略”的設(shè)置來(lái)禁止一些來(lái)賓帳號(hào)的本地登錄，僅保留他們的網(wǎng)絡(luò)登錄權(quán)限。====Word====Word行業(yè)資料分享■■可編輯版本■■雙擊可刪==“拒“拒絕本地登錄屬性”對(duì)話框在“組策略”窗口的左側(cè)依次選擇“計(jì)算機(jī)配置”-“windows配置”-“安全配置”-“本地策略”-“用戶(hù)權(quán)利指派”，然后在”組策略”窗口的右側(cè)雙擊“拒絕本地登錄”，則彈出“拒絕本地登錄屬性”====Word====Word行業(yè)資料分享--可編輯版本--雙擊可刪====在該對(duì)話框中通過(guò)單擊“添加用戶(hù)或組”按鈕，則彈出“選擇用戶(hù)或組”對(duì)話框，如圖3.9所示，然后單擊左下方的“高級(jí)”按鈕，在彈出的對(duì)話框中單擊左側(cè)的“立即查找”按鈕,則會(huì)在對(duì)話框下方顯示出本地計(jì)算機(jī)的所有帳戶(hù)，如圖3.10所示，選中所需的帳戶(hù)temp,單擊"確定"“選擇用戶(hù)或組”對(duì)話框查找需要禁止的用戶(hù)====Word====Word行業(yè)資料分享--可編輯版本--雙擊可刪===將指定賬號(hào)添加到禁止登錄列表中====Word====Word行業(yè)資料分享--可編輯版本--雙擊可刪====在“組策略”對(duì)話框的左側(cè)依次選擇“計(jì)算機(jī)配置”-“windows配置”-“安全配置”- “本地策略”-“策略審核”，然后在“組策略”查看審核策略通過(guò)設(shè)置各個(gè)審核策略，系統(tǒng)便可記錄相應(yīng)的事件，比如，雙擊“審核登錄事件”后，在彈出的“審核登錄事件屬性”對(duì)話框中選中“成功”和“失敗”兩個(gè)選項(xiàng)，如圖3.13所示,則系統(tǒng)將會(huì)自動(dòng)記錄用戶(hù)何時(shí)登錄過(guò)系統(tǒng)。值得注意的是，系統(tǒng)管理員應(yīng)養(yǎng)成時(shí)常查看“控制面板”-“管理工具”-“時(shí)間查看器”中所記錄的事件的習(xí)慣，比如，若“組策略”被修改后系統(tǒng)發(fā)生了問(wèn)題，“事件查看器”就會(huì)及時(shí)顯示修改了哪些策略；在“登錄事件”里，系統(tǒng)管理員可以查看詳細(xì)的登錄事件，知道誰(shuí)曾嘗試使用禁用的帳戶(hù)登錄，誰(shuí)的帳戶(hù)密碼一過(guò)期等。文件心操缶Q）斎看壓）幫助區(qū)1年普囪函文件心操缶Q）斎看壓）幫助區(qū)1年普囪函＞■曾協(xié)由言"擊地討萱機(jī).策略庁穗計(jì)聳機(jī)配畳:年一］軟件設(shè)豈E"Ifiniows慢實(shí)5W$塩咖美卯安全設(shè)責(zé)莊盤(pán)帳戶(hù)策昭E 本趾策璐：*?苫審核策略

愆用戶(hù)根限勢(shì)記:彌啓安全選項(xiàng)莊??口公朝策昭莊??二I軟件跟制策略住園遷支至景昭』在本地計(jì)!底□離模板廣感用戶(hù)配置莊軟怦設(shè)宜■：■‘.3沒(méi)置+I離模愎無(wú)審核無(wú)由核無(wú)薛-核*開(kāi)珂丨*開(kāi)珂丨#圜■*丨圖C.他皿豚球t卽32...|惟廳略鶏聞 |剤鹼仕|専冬留2口；均審核登錄事件的設(shè)置在“組策略”窗口的左側(cè)一次選擇“用戶(hù)配置”-“管理模板”-“windows組件"-internetexplorer分支，在右側(cè)窗口中會(huì)出現(xiàn)“internet控制面板"，“瀏覽器菜單”，“工具欄”，“持續(xù)行為”和“管理員認(rèn)可的控件”等策略選項(xiàng)，利用它可以充分打造一個(gè)極有個(gè)性和安全的IE瀏覽器。(1) 禁止修改IE瀏覽器主頁(yè)當(dāng)用戶(hù)上網(wǎng)時(shí)，一些惡意網(wǎng)站通過(guò)自身的惡意代碼會(huì)對(duì)用戶(hù)的IE瀏覽器主頁(yè)的設(shè)置進(jìn)行修改，從而對(duì)用戶(hù)的上網(wǎng)行為造成影響。為了避免此類(lèi)事件的發(fā)生，可以在“組策略”窗口的左側(cè)一次選擇“用戶(hù)配置”-“管理模板”-“windows組件”-圖3.14IE的全安設(shè)置====Word====Word行業(yè)資料分享--可編輯版本--雙擊可刪===然后在右側(cè)的窗口中雙擊“禁用更改主頁(yè)設(shè)置”策略，在彈出的對(duì)話框中選中“已啟用”單選按鈕，并單擊“確定”====Word====Word行業(yè)資料分享--可編輯版本--雙擊可刪====(2)禁用“常規(guī)”選項(xiàng)卡如圖3.14所示，在加固IE的安全選項(xiàng)中還提供了“禁止更改歷史記錄設(shè)置”，“禁止更改顏色設(shè)置”以及“禁止更改Internet臨時(shí)文件設(shè)置”等策略。如果啟用可這些安全策略，在IE瀏覽器的“Internet選項(xiàng)”對(duì)話框中“常規(guī)”選項(xiàng)卡的“主頁(yè)”區(qū)域的設(shè)置將變灰。但如果在“用戶(hù)配置"- “管理模板" -"windows組件"-"InternetExplorer"-"Internet控制面板”中雙擊“禁用常規(guī)頁(yè)”策略，并在彈出的”禁用常規(guī)頁(yè)屬性”對(duì)話框中選中“已禁用”，如圖3.16所示，則無(wú)需設(shè)置該策略，因?yàn)椤敖贸Ｒ?guī)頁(yè)”策略將刪除界面上的“常規(guī)”選項(xiàng)卡。禁用IE瀏覽器中的常規(guī)頁(yè)(3)IE安全的高級(jí)配置在圖3.14的右側(cè)部分，可以看到還列出了7個(gè)子文件夾，單擊其中的每一個(gè)子文件夾，均可顯示出一組關(guān)于IE安全的配置項(xiàng)。其中“Internet控制面板"包含了一組從“Internet選項(xiàng)”對(duì)話框“添加”和“刪除”選項(xiàng)卡的設(shè)置；“脫機(jī)頁(yè)”包含了脫機(jī)頁(yè)和頻道的設(shè)置；“瀏覽器菜單”包含了顯示和隱藏InternetExploer中菜單和菜單選項(xiàng)的設(shè)置；“工具欄”包含允許和限制用戶(hù)編輯InternetExplore的工具欄；“持續(xù)行為"包含了Internet安全區(qū)域的文件大小限制和設(shè)置；“管理員認(rèn)可的控件”包含了啟用和禁止ActiveX控件的設(shè)置;“安全功能"包含了啟用和禁用InternetExplorer,windowsExplorer和其他應(yīng)用程序的安全功能的設(shè)置。對(duì)這些設(shè)置選項(xiàng)進(jìn)行適當(dāng)?shù)呐渲?，?huì)大大的增強(qiáng)IE的安全性。通過(guò)過(guò)濾ICMP報(bào)文阻止ICMP攻擊很多針對(duì)windows2003系統(tǒng)的攻擊均是通過(guò)ICMP報(bào)文的漏洞攻擊實(shí)現(xiàn)的。如pingofdeath攻擊。下面我們通過(guò)安全配置來(lái)過(guò)濾ICMP報(bào)文，從而阻止ICMP攻擊。“本地安全設(shè)置”在“控制面板”中打開(kāi)“管理工具”，從中雙擊“本地安全策略”，從而打開(kāi)“本地安全設(shè)置"窗口，如圖3.18所示?！氨镜匕踩O(shè)置”窗口在“本地安全設(shè)置”窗口中，右擊點(diǎn)擊“IP安全策略，在本地計(jì)算機(jī)”并從彈出的快捷菜單中選擇“管理IP篩選器和IP篩選器操作”，從而彈出“管理IP篩選器和篩選器操作”對(duì)話框。在該對(duì)話框的“管理IP篩選器列表”屬性頁(yè)中，單擊左下方的“添加”按鈕，彈出“IP篩選器列表”對(duì)話框。在該對(duì)話框的“名稱(chēng)”框中輸入“防止ICMP攻擊”，并取消選中右側(cè)的“使用'添加向?qū)?”復(fù)選框，如圖3.19所示。圖3.19IP篩選器列表“添加”按鈕，彈出“篩選器屬性”對(duì)話框。在該對(duì)話框的“尋址”屬性性頁(yè)中，源地址選擇“任何IP地址”，目標(biāo)地址選擇“我的IP地址”，如圖3.20所示；在“協(xié)議”屬性頁(yè)中，協(xié)議選擇ICMP,然后單擊“確定”按鈕，設(shè)置完畢。“篩選器屬性”對(duì)話框在“管理IP篩選器和篩選器操作”