計算機的安全配置

====Word====Word行業(yè)資料分享--可編輯版本--雙擊可刪====計算機的安全配置1.windows的默認配置windows操作系統(tǒng)預(yù)置了許多默認配置，以便于操作系統(tǒng)的使用以及計算機的互聯(lián)和資源共享，然而，這些默認配置卻存在著許多的安全隱患，容易帶來信息安全問題。例如，在默認情況下,windows2003系統(tǒng)啟動后，通過Netshare命令就可以在本地計算機上發(fā)現(xiàn)admin$,IPC$,C$,D等默認共享，這些默認共享有利于網(wǎng)絡(luò)管理員便捷地管理遠程的計算機設(shè)備，但是若這些計算機上的管理員帳號被泄露，那么黑客就易于通過這些共享資源來獲取非授權(quán)的信息。因此，windows系統(tǒng)的默認配置僅是一種考慮了計算機系統(tǒng)普通應(yīng)用情況的預(yù)置配置方式，當在自身的應(yīng)用環(huán)境中使用安裝有windows操作系統(tǒng)的計算機時，應(yīng)對其中的默認配置進行修改，以確保計算機系統(tǒng)哦你的信息安全性。本實驗將對默認配置中一些與安全有關(guān)的配置進行修改，用以提高計算機系統(tǒng)的安全性。sc.exe為一個用于與服務(wù)控制管理器和服務(wù)進行通信的命令行程序。該程序主要有以下功能： 檢索和設(shè)置有關(guān)服務(wù)的控制信息。管理服務(wù)程序，如：測試，調(diào)試和刪除服務(wù)程序。設(shè)置存儲在注冊表中的服務(wù)屬性來控制啟動服務(wù)程序。sc.exe的用法如下:sc<server>[command][servicename]<option1><option2>…其中，選項〈server>的格式為\\ServerName，用于指定服務(wù)說在的遠程服務(wù)器名稱。參數(shù)[command]中包含32個命令，其中常有的命令有：Query查詢服務(wù)的狀態(tài)，或枚舉服務(wù)類型的狀態(tài)。Start啟動服務(wù)。Privs更改服務(wù)的所需權(quán)限。qc查詢服務(wù)的配置信息。qdescripton查詢服務(wù)的描述。delete （從注冊表）刪除服務(wù)。Create創(chuàng)建服務(wù)（將其添加到注冊表）。注冊表是windows系統(tǒng)中的核心數(shù)據(jù)庫，管理著系統(tǒng)運行所必需的重要數(shù)據(jù)。注冊表中的數(shù)據(jù)來源于系統(tǒng)注冊表文件和用戶注冊表文件兩類，其中系統(tǒng)注冊表文件包括：\system32\config下的Default，SAM，Security,Software,Userdiff和System6個文件；用用戶注冊表文件包括\DocumentsandSetting\下的ntuser.dat,ntuser.ini和ntuser.bat.log3個文件。通過windows系統(tǒng)自帶的regedit.exe注冊表編輯器工具可以打開注冊表數(shù)據(jù)庫，對上述兩類文件中的數(shù)據(jù)進行集中的配置和管理。而在本章的實驗中，將演示如何通過修改注冊表來加強windows系統(tǒng)抗DOS攻擊能力。4.ICMP協(xié)議及攻擊ICMP（internetcontrolmessageprotocol）協(xié)議是TCP/IP協(xié)議族中眾多協(xié)議中的一個，用于在主機之間，主機和路由器之間，路由器之間傳遞網(wǎng)絡(luò)控制信息。這些控制信息不屬于用戶數(shù)據(jù)的一部分，但是對于整個網(wǎng)絡(luò)的正常運行和維護卻起著重要的作用，比如通過ICMP消息可以得知網(wǎng)絡(luò)的連通性，主機是否在線，路由器是否可用等網(wǎng)絡(luò)狀態(tài)。由于ICMP協(xié)議是一種網(wǎng)絡(luò)控制協(xié)議，因此它是網(wǎng)絡(luò)傳輸中的必要數(shù)據(jù)，也正因為此，它非常容易被用來攻擊網(wǎng)絡(luò)中的主機和路由器。例如，大量的ICMP數(shù)據(jù)包會形成ICMP風暴，當主機受到這種ICMP數(shù)據(jù)風暴的攻擊時，其處理器會耗費大量的資源來處理這些ICMP數(shù)據(jù),這最終會導致整個主機系統(tǒng)的癱瘓。-|gHI_|引I凰計堂:抑誕咐、"龜涂城工M4-適串件査君器:亢-|gHI_|引I凰計堂:抑誕咐、"龜涂城工M4-適串件査君器:亢7共享文件央u.-g本地用戶利詛

m葡性能日古汨普推

恩設(shè)省昔在格-!■貿(mào)存牀H-爭可密動存儲B圖挹:碎片晝理程序費密盤首落日泌服薈和應(yīng)用程序H-J早詢賭I狀恣丨啟動類型丨登錄為*鼎I控制J目索引服罟莊滯捎劇隊列田F,internet信點照務(wù)（II5）?拿A.Ierter^ijApaah.e2.2^jApplicaL：anLav...喻MplicatiorMajt...嚓蛇F.EETStateS...^AutoniaticUpdates^EackfroiutdInte...^jjClipBook卷ODH十EventS/slem蜂COM+System版.^jConputei：-BrtfffseryptographicS...%DHEFClient^jDisiributedFil...:%^Di5tributedLiii...^DistributedLin...sitiB'itcdTt-4...%DN5Client^ErrorReportinj...喻EmntLog%FiLeReplicatioil%rrrrubiishins..辱^HaLpon』Support卸rmsslHumanInterface...AdminSeryjcc：調(diào)ad-為前為從存啟支肯維垠方K.啟啟隊池檢啟色允啟此啟允已啟動已啟動己g巳啟動己啟動巳啟的巳啟動己后動己啟動已啟動本粗眼苔本迎蒙藐本:均案読本電委窺去地系統(tǒng)蔔也系藐本地系統(tǒng)本電墓筑曲也苗.藐本地塞抗網(wǎng)洛摳售現(xiàn)旅読本地爰藐本電系統(tǒng)本地系藐樹皤統(tǒng)本均塞統(tǒng)本地系藐首先在桌面上右擊“我的電腦”，在彈出的快捷菜單中選擇“管理”，打開“計算機管理”窗口。在該對話框左邊的列表中展開“服務(wù)和應(yīng)用程序”，并單擊下屬的“服務(wù)”列表項，這樣在“計算機管理”窗口的右邊則會出現(xiàn)本地計算機所有支持的各種服務(wù)，如圖3.1所示。2計點機晉理國玄件心躁作心查看⑦身口魚〕排頃〕“計算機管理”窗口雙擊其中的Telnet列表項，則可對該服務(wù)進行啟動，停止，暫停和恢復操作，如圖3.2所示。但是，windows操作系統(tǒng)并沒有提供一個圖形界面來對其實實施卸載和刪除操作。下面通過sc.exe命令來演示如何卸載Telnet服務(wù)（既TlntSvr服務(wù)）。單擊“開始”- “運行”命令，在彈出的“運行”對話框中輸入CMD命令，單擊“確定”按鈕，從而打開命令行窗口。在命令行窗口中可以輸入scqctlntsvr,查看tlntsvr服務(wù)的配置信息，如圖3.3所示。圖3.2Telnet服務(wù)的狀態(tài)====Word====Word行業(yè)資料分享--可編輯版本--雙擊可刪===TMTelnet-1口1幻C\c'\TIHOVS\KJF￡ ￡■d?MicrosoFtUindouc 本5.2.2790]<C>版權(quán)所有1985-2003MicrosoftCorp.Cs^DocumentsandSettingsSftdninistrator^scqctIntsvr[SC]Querj^SeruiceConFig成功CsSDociimcntGandSettings'sftdninistratoi*^SEBUlCE_SlARrJfirtEGERUICE_MftME=tlrtsvrTYPESTAETJYPEERBOR_COHTEOLRTHfiBV_PATH_MAHELQ"UH皿_GROUFTAGDIEPLfiV_NfiMEDEFENDINGIES4DISABLED1HOPNflLC:KlJIHDOURijis：t：BrTi32Xtlntsui*_exfiEPGSSTCPIPNTLMSSPNTAUTHOR1f￥^ocalSepyiceWIN22_0UN_PR0CE￡S圖3.3tlntsvr服務(wù)配置信息====Word====Word行業(yè)資料分享--可編輯版本--雙擊可刪====為了將tIntsvr服務(wù)卸載，先在命令行窗口中通過命令scstoptlntsvr停止該服務(wù)（若停止失敗，則說明該服務(wù)本身就是stop的），然后通過命令scdeletetlbtsvr將tlntsvr服務(wù)在服務(wù)列表中刪除，如圖3.4所示。單擊“計算機管理”對話框中工具欄的“刷新”按鈕后，會發(fā)現(xiàn)在右邊的服務(wù)列表中已沒有了telnet服務(wù)（既tIntsvr服務(wù)），如圖3.5所示。利用類似方法可以禁止和刪除其他一些想要刪除的服務(wù)。例如，Schedule服務(wù)非常容易被黑客利用來執(zhí)行一些系統(tǒng)命令和可執(zhí)行文件，如果僅是簡單地停止Schedule服務(wù)，也不能保證安全性，因為有些黑客工具可以遠程地開啟該服務(wù)。百I|偵底入標推/?開始|J.圍■玲百I|偵底入標推/?開始|J.圍■玲|鳳計豊機管理|國I[?州：ND即脂可蛀泗笠；計球即鳥停止并刪除tlntsvr服務(wù)￡襯苴機琶建-舊XI電琳11感蹬■昨II回計mt鶴 一竺￡:\l?ZILU/?3\5ysten3E.. 丨每I*甲|方冶皿E 1J ■ J 」刪除tlntsvr服務(wù)后的效果首先“開始”- “運行”命令，在彈出的“運行”對話框中輸入gpedit.msc,單擊“確定”按鈕，即可打開“組策略”窗口，如圖3.6所示，下面的四種安全配置將在“組策略”窗口中完成?！敖M策略”窗口1.隱藏驅(qū)動器選擇“用戶配置"- “管理模板" -"windows組件"-"windows資源管理器”-“隱藏'我的電腦'中的這些指定的驅(qū)動器”，打開相應(yīng)的對話框，如圖3.7所示，在對話框中選擇“已啟用”選項，并在其下拉列表框中選擇一個組合，單擊“確定”按鈕后，組合框中選中的驅(qū)動器符號就不會出現(xiàn)在標準的打開對話框中。隱藏驅(qū)動器名稱但需要注意的是，這項策略僅刪除驅(qū)動器的圖標，用戶仍然可以通過其他方式訪問驅(qū)動器的內(nèi)容，如：通過在映射網(wǎng)絡(luò)驅(qū)動對話框，運行對話框或命令窗口上輸入一個驅(qū)動器的目錄路徑。同時，此策略不會防止用戶使用程序訪問這些驅(qū)動器或其內(nèi)容，也不會防止用戶使用“磁盤管理”管理單元查看并更改驅(qū)動器特性。當人們暫時離開工作電腦時，可能有一些打開的文檔還在處理之中，為了避免其他人動用電腦，一般會將電腦鎖定，但是，但電腦處于局域網(wǎng)環(huán)境時，可能已在本地電腦上創(chuàng)建了一些來賓帳戶，以方便他人的網(wǎng)絡(luò)登錄需求。但是其他人也可以利用這些來賓帳號注銷當前帳號并進行本地登錄，這樣會對當前的文檔處理工作造成影響。為了解決該問題，可以通過“組策略”的設(shè)置來禁止一些來賓帳號的本地登錄，僅保留他們的網(wǎng)絡(luò)登錄權(quán)限。====Word====Word行業(yè)資料分享■■可編輯版本■■雙擊可刪==“拒“拒絕本地登錄屬性”對話框在“組策略”窗口的左側(cè)依次選擇“計算機配置”-“windows配置”-“安全配置”-“本地策略”-“用戶權(quán)利指派”，然后在”組策略”窗口的右側(cè)雙擊“拒絕本地登錄”，則彈出“拒絕本地登錄屬性”====Word====Word行業(yè)資料分享--可編輯版本--雙擊可刪====在該對話框中通過單擊“添加用戶或組”按鈕，則彈出“選擇用戶或組”對話框，如圖3.9所示，然后單擊左下方的“高級”按鈕，在彈出的對話框中單擊左側(cè)的“立即查找”按鈕,則會在對話框下方顯示出本地計算機的所有帳戶，如圖3.10所示，選中所需的帳戶temp,單擊"確定"“選擇用戶或組”對話框查找需要禁止的用戶====Word====Word行業(yè)資料分享--可編輯版本--雙擊可刪===將指定賬號添加到禁止登錄列表中====Word====Word行業(yè)資料分享--可編輯版本--雙擊可刪====在“組策略”對話框的左側(cè)依次選擇“計算機配置”-“windows配置”-“安全配置”- “本地策略”-“策略審核”，然后在“組策略”查看審核策略通過設(shè)置各個審核策略，系統(tǒng)便可記錄相應(yīng)的事件，比如，雙擊“審核登錄事件”后，在彈出的“審核登錄事件屬性”對話框中選中“成功”和“失敗”兩個選項，如圖3.13所示,則系統(tǒng)將會自動記錄用戶何時登錄過系統(tǒng)。值得注意的是，系統(tǒng)管理員應(yīng)養(yǎng)成時常查看“控制面板”-“管理工具”-“時間查看器”中所記錄的事件的習慣，比如，若“組策略”被修改后系統(tǒng)發(fā)生了問題，“事件查看器”就會及時顯示修改了哪些策略；在“登錄事件”里，系統(tǒng)管理員可以查看詳細的登錄事件，知道誰曾嘗試使用禁用的帳戶登錄，誰的帳戶密碼一過期等。文件心操缶Q）斎看壓）幫助區(qū)1年普囪函文件心操缶Q）斎看壓）幫助區(qū)1年普囪函＞■曾協(xié)由言"擊地討萱機.策略庁穗計聳機配畳:年一］軟件設(shè)豈E"Ifiniows慢實5W$塩咖美卯安全設(shè)責莊盤帳戶策昭E 本趾策璐：*?苫審核策略

愆用戶根限勢記:彌啓安全選項莊??口公朝策昭莊??二I軟件跟制策略住園遷支至景昭』在本地計!底□離模板廣感用戶配置莊軟怦設(shè)宜■：■‘.3沒置+I離模愎無審核無由核無薛-核*開珂丨*開珂丨#圜■*丨圖C.他皿豚球t卽32...|惟廳略鶏聞 |剤鹼仕|専冬留2口；均審核登錄事件的設(shè)置在“組策略”窗口的左側(cè)一次選擇“用戶配置”-“管理模板”-“windows組件"-internetexplorer分支，在右側(cè)窗口中會出現(xiàn)“internet控制面板"，“瀏覽器菜單”，“工具欄”，“持續(xù)行為”和“管理員認可的控件”等策略選項，利用它可以充分打造一個極有個性和安全的IE瀏覽器。(1) 禁止修改IE瀏覽器主頁當用戶上網(wǎng)時，一些惡意網(wǎng)站通過自身的惡意代碼會對用戶的IE瀏覽器主頁的設(shè)置進行修改，從而對用戶的上網(wǎng)行為造成影響。為了避免此類事件的發(fā)生，可以在“組策略”窗口的左側(cè)一次選擇“用戶配置”-“管理模板”-“windows組件”-圖3.14IE的全安設(shè)置====Word====Word行業(yè)資料分享--可編輯版本--雙擊可刪===然后在右側(cè)的窗口中雙擊“禁用更改主頁設(shè)置”策略，在彈出的對話框中選中“已啟用”單選按鈕，并單擊“確定”====Word====Word行業(yè)資料分享--可編輯版本--雙擊可刪====(2)禁用“常規(guī)”選項卡如圖3.14所示，在加固IE的安全選項中還提供了“禁止更改歷史記錄設(shè)置”，“禁止更改顏色設(shè)置”以及“禁止更改Internet臨時文件設(shè)置”等策略。如果啟用可這些安全策略，在IE瀏覽器的“Internet選項”對話框中“常規(guī)”選項卡的“主頁”區(qū)域的設(shè)置將變灰。但如果在“用戶配置"- “管理模板" -"windows組件"-"InternetExplorer"-"Internet控制面板”中雙擊“禁用常規(guī)頁”策略，并在彈出的”禁用常規(guī)頁屬性”對話框中選中“已禁用”，如圖3.16所示，則無需設(shè)置該策略，因為“禁用常規(guī)頁”策略將刪除界面上的“常規(guī)”選項卡。禁用IE瀏覽器中的常規(guī)頁(3)IE安全的高級配置在圖3.14的右側(cè)部分，可以看到還列出了7個子文件夾，單擊其中的每一個子文件夾，均可顯示出一組關(guān)于IE安全的配置項。其中“Internet控制面板"包含了一組從“Internet選項”對話框“添加”和“刪除”選項卡的設(shè)置；“脫機頁”包含了脫機頁和頻道的設(shè)置；“瀏覽器菜單”包含了顯示和隱藏InternetExploer中菜單和菜單選項的設(shè)置；“工具欄”包含允許和限制用戶編輯InternetExplore的工具欄；“持續(xù)行為"包含了Internet安全區(qū)域的文件大小限制和設(shè)置；“管理員認可的控件”包含了啟用和禁止ActiveX控件的設(shè)置;“安全功能"包含了啟用和禁用InternetExplorer,windowsExplorer和其他應(yīng)用程序的安全功能的設(shè)置。對這些設(shè)置選項進行適當?shù)呐渲?，會大大的增強IE的安全性。通過過濾ICMP報文阻止ICMP攻擊很多針對windows2003系統(tǒng)的攻擊均是通過ICMP報文的漏洞攻擊實現(xiàn)的。如pingofdeath攻擊。下面我們通過安全配置來過濾ICMP報文，從而阻止ICMP攻擊?！氨镜匕踩O(shè)置”在“控制面板”中打開“管理工具”，從中雙擊“本地安全策略”，從而打開“本地安全設(shè)置"窗口，如圖3.18所示?！氨镜匕踩O(shè)置”窗口在“本地安全設(shè)置”窗口中，右擊點擊“IP安全策略，在本地計算機”并從彈出的快捷菜單中選擇“管理IP篩選器和IP篩選器操作”，從而彈出“管理IP篩選器和篩選器操作”對話框。在該對話框的“管理IP篩選器列表”屬性頁中，單擊左下方的“添加”按鈕，彈出“IP篩選器列表”對話框。在該對話框的“名稱”框中輸入“防止ICMP攻擊”，并取消選中右側(cè)的“使用'添加向?qū)?”復選框，如圖3.19所示。圖3.19IP篩選器列表“添加”按鈕，彈出“篩選器屬性”對話框。在該對話框的“尋址”屬性性頁中，源地址選擇“任何IP地址”，目標地址選擇“我的IP地址”，如圖3.20所示；在“協(xié)議”屬性頁中，協(xié)議選擇ICMP,然后單擊“確定”按鈕，設(shè)置完畢。“篩選器屬性”對話框在“管理IP篩選器和篩選器操作”