網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材

第三章網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐3.1慣用網(wǎng)絡(luò)操作系統(tǒng)介紹網(wǎng)絡(luò)操作系統(tǒng)是為使網(wǎng)絡(luò)用戶能方便而有效地共享網(wǎng)絡(luò)資源而提供各種服務(wù)軟件及相關(guān)規(guī)程集合，是網(wǎng)絡(luò)軟件系統(tǒng)基礎(chǔ)。它是整個(gè)網(wǎng)絡(luò)關(guān)鍵，經(jīng)過對網(wǎng)絡(luò)資源管理，為用戶方便而有效地使用網(wǎng)絡(luò)資源提供網(wǎng)絡(luò)接口和網(wǎng)絡(luò)服務(wù)；慣用網(wǎng)絡(luò)操作系統(tǒng)有Microsoft企業(yè)WindowsNT、WindowsServer、WindowsServer和WindowsXP，Novell企業(yè)NetWare、SCO企業(yè)UNIX和RedHat企業(yè)Linux；網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第1頁3.1.1WindowsNTWindowsNT是Microsoft企業(yè)在LANManager網(wǎng)絡(luò)操作系統(tǒng)基礎(chǔ)上于1993年推出含有更高性能NOS；WindowsNT是一個(gè)32位多用戶、多任務(wù)網(wǎng)絡(luò)操作系統(tǒng)，也是一個(gè)面向分布式圖形應(yīng)用程序完整平臺(tái)系統(tǒng)；WindowsNT網(wǎng)絡(luò)軟件主要包含WindowsNTServer（簡稱WindowsNTS）和WindowsNTWorkstation（簡稱WindowsNTWS）兩種；WindowsNT是功效強(qiáng)大網(wǎng)絡(luò)操作系統(tǒng)；WindowsNT操作系統(tǒng)在其關(guān)鍵內(nèi)置了容錯(cuò)技術(shù)；WindowsNT系統(tǒng)服務(wù)有目錄服務(wù)、文件共享服務(wù)、共享打印服務(wù)、網(wǎng)絡(luò)互連服務(wù)、遠(yuǎn)程通信服務(wù)和Internet服務(wù)等；網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第2頁3.1.2Windows/Windows系統(tǒng)

Windows系列操作系統(tǒng)有WindowsDatacenterServer、WindowsAdvancedServer、WindowsServer和WindowsProfessional版本。WindowsDatacenterServer是一個(gè)新品種，它支持32個(gè)以上CPU和64GB內(nèi)存，以及4個(gè)節(jié)點(diǎn)集群服務(wù)。WindowsServer和AdvancedServer分別是WindowsNTServer4.0及其企業(yè)版升級產(chǎn)品；網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第3頁 Windows系列操作平臺(tái)，繼承了WindowsNT高性能，融入了Windows9x易操作特點(diǎn)，又發(fā)展了一些新特征。Windows使用了活動(dòng)目錄、分布式文件系統(tǒng)、智能鏡像、管理咨詢等新技術(shù)，它具備了強(qiáng)大網(wǎng)絡(luò)功效，可作為各種網(wǎng)絡(luò)操作平臺(tái)，尤其是Windows強(qiáng)化網(wǎng)絡(luò)通信、提供了強(qiáng)大Internet功效；網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第4頁Windows系統(tǒng)WindowsServer是一款微軟推出全新操作系統(tǒng)。WindowsServer簡體漢字版分Web、Standard、Enterprise和Datacenter四個(gè)版本。Enterprise版最大支持8個(gè)處理器和32GB內(nèi)存，最小配置為CPU速度不低133MHz，內(nèi)存不少于128MB。所以，WindowsServer含有硬件適應(yīng)性面廣和伸縮性強(qiáng)特點(diǎn)；Windows安全中心是活動(dòng)目錄（AD）；網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第5頁WindowsServer在安全上下了大功夫，不但堵住了已發(fā)覺NT漏洞，而且還重新設(shè)計(jì)了安全子系統(tǒng)，增加了新安全認(rèn)證，改進(jìn)了安全算法；Windows區(qū)分于Windows之處于于軟件限制策略（SRP）。WindowsSRP允許用戶控制在當(dāng)?shù)赜?jì)算機(jī)系統(tǒng)上運(yùn)行哪些軟件。用戶可在選項(xiàng)中要求系統(tǒng)要運(yùn)行軟件，所以可阻止不被信任軟件運(yùn)行；Windows系統(tǒng)在組策略中增加了兩項(xiàng)內(nèi)容：軟件限制策略（SRP）和無線網(wǎng)絡(luò)策略（IEEE802.11）；網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第6頁3.1.3Linux和UnixLinux系統(tǒng)

Linux是一個(gè)類似UNIX操作系統(tǒng)自由軟件，它是由一位芬蘭赫爾辛基大學(xué)一位叫Linus大學(xué)生創(chuàng)造；Linux繼承了UNIX很多優(yōu)點(diǎn)(如多任務(wù)、多用戶)，還含有共享內(nèi)存頁面、使用分頁技術(shù)虛擬內(nèi)存、動(dòng)態(tài)鏈接共享庫、支持多個(gè)虛擬控制臺(tái)、調(diào)度磁盤緩沖功效、支持多平臺(tái)、與其它UNIX系統(tǒng)兼容、提供全部源代碼及支持各種CPU、各種硬件、軟件移植性好等特點(diǎn)；網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第7頁Unix系統(tǒng)1970年，在美國電報(bào)電話企業(yè)（AT&T）貝爾（Bell）試驗(yàn)室研制出了一個(gè)新計(jì)算機(jī)操作系統(tǒng)，這就是UNIX。UNIX是一個(gè)分時(shí)操作系統(tǒng)，主要用在大型機(jī)、超級小型機(jī)、RISC計(jì)算機(jī)和高檔微機(jī)上；UNIX系統(tǒng)再次成功取決于它將TCP/IP協(xié)議運(yùn)行于UNIX操作系統(tǒng)上，使之成為UNIX操作系統(tǒng)關(guān)鍵，從而組成了UNIX網(wǎng)絡(luò)操作系統(tǒng)；UNIX系統(tǒng)是一個(gè)可供多用戶同時(shí)操作會(huì)話式分時(shí)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第8頁3.2網(wǎng)絡(luò)操作系統(tǒng)安全與管理3.2.1網(wǎng)絡(luò)操作系統(tǒng)安全與訪問控制網(wǎng)絡(luò)操作系統(tǒng)安全

網(wǎng)絡(luò)操作系統(tǒng)安全保護(hù)研究，通常包含以下內(nèi)容：第一，操作系統(tǒng)本身提供安全功效和安全服務(wù)。當(dāng)代操作系統(tǒng)本身往往要提供一定訪問控制、認(rèn)證和授權(quán)等方面安全服務(wù)。怎樣對操作系統(tǒng)本身安全性能進(jìn)行研究和開發(fā)，使之符合特定環(huán)境和需求，是操作系統(tǒng)安全保護(hù)一個(gè)方面；第二，針對各種慣用操作系統(tǒng)，進(jìn)行相關(guān)配置，使之能正確對付和防御各種入侵；第三，確保網(wǎng)絡(luò)操作系統(tǒng)本身所提供網(wǎng)絡(luò)服務(wù)能得到安全配置；網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第9頁網(wǎng)絡(luò)操作系統(tǒng)安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全基礎(chǔ)。操作系統(tǒng)安全機(jī)制主要包含訪問控制和隔離控制。隔離控制主要有物理（設(shè)備或部件）隔離、時(shí)間隔離、邏輯隔離和加密隔離等實(shí)現(xiàn)方法；訪問控制是安全機(jī)制關(guān)鍵，也是操作系統(tǒng)安全中最有效、最直接安全辦法。訪問控制系統(tǒng)普通包含：主體、客體和安全訪問策略；網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第10頁網(wǎng)絡(luò)訪問控制訪問控制類型訪問控制也叫授權(quán)，它是對用戶訪問網(wǎng)絡(luò)系統(tǒng)資源進(jìn)行控制過程；訪問控制詳細(xì)包含兩方面涵義，一是指對用戶進(jìn)入系統(tǒng)控制，最簡單最慣用方法是用戶賬戶和口令限制，其次還有一些身份驗(yàn)證辦法；二是用戶進(jìn)入系統(tǒng)后對其所能訪問資源進(jìn)行限制，最慣用方法是訪問權(quán)限和資源屬性限制；訪問控制所考慮是對主體訪問客體控制；網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第11頁訪問控制可分為自主訪問控制和強(qiáng)制訪問控制兩大類；自主訪問控制，是指由系統(tǒng)提供用戶有權(quán)對本身所創(chuàng)建訪問對象（文件、數(shù)據(jù)表等）進(jìn)行訪問，并可將這些對象訪問權(quán)授予其它用戶或從授予權(quán)限用戶處收回其訪問權(quán)限；強(qiáng)制訪問控制，是指由系統(tǒng)（經(jīng)過專門設(shè)置系統(tǒng)安全員）對用戶所創(chuàng)建對象進(jìn)行統(tǒng)一強(qiáng)制性控制，按照要求規(guī)則決定哪些用戶能夠?qū)δ男ο筮M(jìn)行何種操作系統(tǒng)類型訪問，即使是創(chuàng)建者用戶，在創(chuàng)建一個(gè)對象后，也可能無權(quán)訪問該對象；網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第12頁訪問控制辦法入網(wǎng)訪問控制入網(wǎng)訪問控制是為用戶安全訪問網(wǎng)絡(luò)設(shè)置第一道關(guān)口。經(jīng)過對一些條件設(shè)置來控制用戶是否能進(jìn)入網(wǎng)絡(luò)一個(gè)安全控制方法。能控制哪些用戶能夠登錄網(wǎng)絡(luò)，在什么時(shí)間、地點(diǎn)（站點(diǎn)）登錄網(wǎng)絡(luò)等；網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第13頁權(quán)限訪問控制訪問權(quán)限控制一個(gè)用戶能訪問哪些資源（目錄和文件），以及對這些資源能進(jìn)行哪些操作；在系統(tǒng)為用戶指定用戶賬戶后，系統(tǒng)依據(jù)該用戶在網(wǎng)絡(luò)系統(tǒng)中要做工作及相關(guān)要求，可為用戶訪問系統(tǒng)資源設(shè)定訪問權(quán)限；網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第14頁屬性訪問控制屬性是文件、目錄等資源訪問特征；屬性是系統(tǒng)直接設(shè)置給資源，它對全部用戶都含有約束權(quán)，一旦目錄、文件等資源含有了一些屬性，用戶(包含超級用戶)都不能進(jìn)行超出這些屬性要求訪問，即不論用戶訪問權(quán)限怎樣，只按照資源本身屬性實(shí)施訪問控制；網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第15頁身份驗(yàn)證身份驗(yàn)證是證實(shí)某人是否為正當(dāng)用戶過程，它是信息安全體系中主要組成部分；

身份驗(yàn)證方法有很各種：

用戶名和口令驗(yàn)證；

數(shù)字證書驗(yàn)證；SecurityID驗(yàn)證；

用戶生理特征驗(yàn)證；

智能卡驗(yàn)證；網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第16頁網(wǎng)絡(luò)端口和節(jié)點(diǎn)安全控制

網(wǎng)絡(luò)中服務(wù)器端口往往使用自動(dòng)回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護(hù)，并以加密形式來識(shí)別節(jié)點(diǎn)身份。自動(dòng)回呼設(shè)備用于預(yù)防假冒正當(dāng)用戶，靜默調(diào)制解調(diào)器用以防范黑客自動(dòng)撥號(hào)程序?qū)τ?jì)算機(jī)進(jìn)行攻擊；網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第17頁3.2.2網(wǎng)絡(luò)操作系統(tǒng)漏洞與補(bǔ)丁程序Windows系統(tǒng)安全漏洞SAM數(shù)據(jù)庫漏洞SMB協(xié)議漏洞Registry數(shù)據(jù)庫權(quán)限漏洞

權(quán)限設(shè)置漏洞

建立域別名漏洞

登錄驗(yàn)證機(jī)制漏洞NetBIOS漏洞Telnet漏洞

奇怪系統(tǒng)瓦解漏洞IIS服務(wù)泄漏文件內(nèi)容ICMP漏洞網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第18頁補(bǔ)丁程序補(bǔ)丁程序是指對于大型軟件系統(tǒng)(如微軟操作系統(tǒng))在使用過程中暴露問題(普通由黑客或病毒設(shè)計(jì)者發(fā)覺)而公布處理問題小程序；補(bǔ)丁程序主要有系統(tǒng)補(bǔ)丁和軟件補(bǔ)丁:系統(tǒng)補(bǔ)丁就是操作系統(tǒng)不定時(shí)錯(cuò)誤漏洞修復(fù)程序;軟件補(bǔ)丁通常是因?yàn)榘l(fā)覺了軟件小錯(cuò)誤，為了修復(fù)個(gè)別小錯(cuò)誤而推出，或者為了增強(qiáng)一些小功效而公布，或者是為了增強(qiáng)文件抵抗電腦病毒感染而公布補(bǔ)丁。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第19頁補(bǔ)丁程序安裝

慣用“打補(bǔ)丁”方法：利用軟件自動(dòng)更新（Update）功效和手工操作。利用系統(tǒng)Update功效打補(bǔ)丁只需要在“開始”菜單中找到Update命令，單擊后即可自動(dòng)上網(wǎng)搜索官方網(wǎng)站，檢驗(yàn)有沒有最新版本或者補(bǔ)丁程序。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第20頁手工打補(bǔ)丁多數(shù)補(bǔ)丁需要先在開發(fā)商網(wǎng)站或軟件下載網(wǎng)站下載，然后再在本機(jī)上運(yùn)行對應(yīng)命令來完成。有些補(bǔ)丁需要按照一定操作步驟來完成，所以在打補(bǔ)丁之前要先仔細(xì)閱讀其說明文檔，以免產(chǎn)生錯(cuò)誤，造成不可挽回?fù)p失。一些主要軟件產(chǎn)品補(bǔ)丁網(wǎng)址和主要企業(yè)補(bǔ)丁網(wǎng)站以下：“Windows安全補(bǔ)丁”（WindowsServicePack2）下載網(wǎng)址是http:///download/swdetail.phtml?id=1746。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第21頁“Windows安全補(bǔ)丁集”（WindowsSecurityRollupPackage）下載網(wǎng)址是42/code/fixdown/down/download.asp?id=2209&tp=filename。微軟企業(yè)補(bǔ)丁網(wǎng)站是/china/msdownload/?MSCOMTB=MS_Products|

Macromedia企業(yè)補(bǔ)丁網(wǎng)站是/downloads專門補(bǔ)丁網(wǎng)站地址是

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第22頁3．3網(wǎng)絡(luò)操作系統(tǒng)安全設(shè)置實(shí)踐3.3.1Windows系統(tǒng)安全設(shè)置

1．用戶安全設(shè)置2．系統(tǒng)安全設(shè)置3．安全使用InternetExplorer網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第23頁1．用戶安全設(shè)置1）管理員賬號(hào)管理(1)創(chuàng)建2個(gè)管理員賬號(hào)(2)把Administrator賬號(hào)更名并創(chuàng)建一個(gè)陷阱賬號(hào)(3)使用安全密碼網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第24頁(1)創(chuàng)建2個(gè)管理員賬號(hào)系統(tǒng)可創(chuàng)建兩個(gè)管理員賬號(hào)，一個(gè)是含有普通權(quán)限普通賬號(hào)，一個(gè)是含有最高權(quán)限Administrator。平時(shí)利用含有普通權(quán)限普通賬號(hào)接收信息和處理一些日常事務(wù)，而Administrator只在特殊需要或關(guān)鍵時(shí)刻使用。

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第25頁(2)把Administrator賬號(hào)更名并創(chuàng)建一個(gè)陷阱賬號(hào)眾人皆知Administrator是管理員賬號(hào)，為了不使其成為眾矢之，有效預(yù)防他人對它嘗試攻擊或破譯，可將Administrator改為一個(gè)普通名字（不要使用Admin）。將Administrator更名后，再創(chuàng)建一個(gè)名為“Administrator”當(dāng)?shù)刭~號(hào)，把它權(quán)限設(shè)置成最低，并為其設(shè)置一個(gè)超級復(fù)雜密碼。這么能夠使那些別有企圖人找不到真正管理員，借此還有可能發(fā)覺它們?nèi)肭制髨D。

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第26頁(3)使用安全密碼為賬號(hào)選擇一個(gè)安全密碼是非常主要，但這卻是最輕易被忽略。一些部門管理員創(chuàng)建賬號(hào)時(shí)，往往用企業(yè)名、計(jì)算機(jī)名等做用戶名，然后又把這些賬號(hào)密碼設(shè)置得很簡單，如“welcome”、“iloveyou”或與用戶名相同。用戶在首次登錄時(shí)就應(yīng)該為這些賬號(hào)設(shè)置復(fù)雜密碼，并注意經(jīng)常更換這些密碼。

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第27頁2）普通用戶賬號(hào)管理(1)禁用或激活用戶賬號(hào)(2)為賬號(hào)雙重加密(3)重命名和禁用默認(rèn)賬號(hào)(4)刪除無須要用戶賬號(hào)網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第28頁(1)禁用或激活用戶賬號(hào)第1步：使用計(jì)算機(jī)管理員身份登錄（若使用受限用戶登錄系統(tǒng)，后續(xù)工作就不能完成；假如計(jì)算機(jī)與網(wǎng)絡(luò)連接，則網(wǎng)絡(luò)策略設(shè)置也能夠阻止用戶完成后續(xù)操作）。第2步：登錄系統(tǒng)后，選擇“開始”→“程序”→“管理工具”→“計(jì)算機(jī)管理”，打開“計(jì)算機(jī)管理”窗口。依次展開窗口左側(cè)列表中“計(jì)算機(jī)管理(當(dāng)?shù)?”→“系統(tǒng)工具”→“當(dāng)?shù)赜脩艉徒M”→“用戶”，這時(shí)在窗口右側(cè)顯示了系統(tǒng)中全部用戶賬號(hào)，如圖3.1所表示。第3步：假如管理員想禁用哪個(gè)用戶賬號(hào)，能夠選中該用戶賬號(hào)，然后單擊鼠標(biāo)右鍵，在彈出菜單中選擇“屬性”，打開該賬號(hào)“屬性”窗口。在該窗口“常規(guī)”標(biāo)簽中選擇“賬號(hào)已停用”復(fù)選框，如圖3.2所表示。然后點(diǎn)擊“確定”按鈕，這么此賬號(hào)就被禁用了。假如想激活被禁用賬號(hào)，能夠?qū)ⅰ百~號(hào)已停用”復(fù)選框選擇取消，即可激活該用戶。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第29頁圖3.1顯示系統(tǒng)中全部用戶賬號(hào)圖3.2賬號(hào)屬性網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第30頁(2)為賬號(hào)雙重加密用戶可使用系統(tǒng)組策略工具對用戶賬號(hào)密碼設(shè)置進(jìn)行限制，這么可保護(hù)自己賬號(hào)安全。第1步：在“開始”→“運(yùn)行”對話框中輸入“syskey”，回車后可打開“確保WindowsXP賬號(hào)數(shù)據(jù)庫安全”對話框，如圖3.3所表示。該項(xiàng)操作是不可逆，一旦啟用加密則不能夠禁用。在這里若直接選中“啟用加密”單項(xiàng)選擇項(xiàng)，并點(diǎn)擊“確定”按鈕，程序就對賬號(hào)完成了雙重加密，只不過該加密過程對用戶來說是透明。第2步：假如用戶想深入體驗(yàn)這種雙重加密功效，則可在“確保WindowsXP賬號(hào)數(shù)據(jù)庫安全”對話框中點(diǎn)擊“更新”按鈕，打開“開啟密碼”對話框，如圖3.4所表示。在這里有“密碼開啟”和“系統(tǒng)產(chǎn)生密碼”兩個(gè)選項(xiàng)。若選擇“開啟密碼”則需要自己設(shè)置一個(gè)密碼，這么在登錄WindowsXP之前要先輸入該密碼然后才能選擇登錄賬號(hào)。

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第31頁圖3.3為賬號(hào)雙重加密圖3.4“開啟”密碼對話框在“系統(tǒng)產(chǎn)生密碼”選項(xiàng)下又有兩個(gè)選項(xiàng)。若選擇“在本機(jī)上保留開啟密碼”項(xiàng)，則程序僅在后臺(tái)完成加密過程。在登錄時(shí)不需要輸入任何密碼，因?yàn)槊艽a就保留在計(jì)算機(jī)內(nèi)部。假如用戶對安全保密要求比較高，則能夠選擇“在軟盤上保留開啟密碼”選項(xiàng)，點(diǎn)擊“確定”按鈕后，就會(huì)有提醒在軟驅(qū)里放入一張軟盤。創(chuàng)建完成，會(huì)在軟盤上生成一個(gè)StartKey.key文件，以后每次開機(jī)時(shí)則必須放入該軟盤才能登錄，相當(dāng)于系統(tǒng)有了一張能夠隨身攜帶鑰匙盤。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第32頁(3)重命名和禁用默認(rèn)賬號(hào)安裝好Windows后，系統(tǒng)會(huì)自動(dòng)建立兩個(gè)賬號(hào)：Administrator和Guest，其中Administrator是管理員賬號(hào)，它擁有最高權(quán)限；Guest是賓客賬號(hào)，它只有基本權(quán)限且默認(rèn)是禁用。而這種默認(rèn)賬號(hào)在為用戶帶來方便同時(shí)也嚴(yán)重危害到了系統(tǒng)安全。所以，安全做法是把Administrator賬號(hào)名稱改掉，然后再建立一個(gè)幾乎沒有任何權(quán)限假Administrator賬號(hào)，以迷惑入侵者。詳細(xì)操作以下：

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第33頁在“開始”→“運(yùn)行”中輸入secpol.msc后回車，打開“當(dāng)?shù)匕踩O(shè)置”對話框。依次展開“當(dāng)?shù)夭呗浴薄鞍踩x項(xiàng)”，在右側(cè)窗口有一個(gè)“賬號(hào)：重命名Administrator賬號(hào)”策略。雙擊打開后能夠給Administrator重新設(shè)置一個(gè)不是很引人注目標(biāo)用戶名（如ABCD），如圖3.5所表示。然后還能夠再新建一個(gè)名稱為Administrator受限制用戶，以假亂真。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第34頁圖3.5Administrator重命名設(shè)置網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第35頁(4)刪除無須要用戶賬號(hào)Guest賬號(hào)很輕易被入侵者利用來攻擊系統(tǒng)，所以，為了安全起見，能夠考慮將該賬號(hào)停掉，任何時(shí)候都不允許Guest賬號(hào)登錄系統(tǒng)。管理員可利用用戶組策略設(shè)置對應(yīng)權(quán)限，并經(jīng)常檢驗(yàn)系統(tǒng)賬號(hào)，刪除已經(jīng)不用賬號(hào)。因?yàn)檫@些無用賬號(hào)很多時(shí)候都是黑客入侵系統(tǒng)突破口，系統(tǒng)賬號(hào)越多，黑客得到正當(dāng)用戶權(quán)限可能性普通也就越大。為了安全起見，限制系統(tǒng)中用戶數(shù)量是必要，所以能夠?qū)⑾到y(tǒng)中duplicateuser賬號(hào)、測試用賬號(hào)、共享賬號(hào)等刪除。

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第36頁3）用戶登錄和密碼安全(1)Administrator賬號(hào)登錄(2)找回Administrator賬號(hào)密碼(3)找回丟失系統(tǒng)密碼

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第37頁（1）Administrator賬號(hào)登錄在WindowsXP下，假如建立了一個(gè)新非受限制用戶(計(jì)算機(jī)管理員，如QAZ)，下次登錄計(jì)算機(jī)時(shí)，將不會(huì)出現(xiàn)Administrator超級用戶登錄入口了。當(dāng)必須使用Administrator賬號(hào)登錄時(shí)，能夠采取以下方法：以現(xiàn)有計(jì)算機(jī)管理員QAZ賬號(hào)登錄，進(jìn)入“程序”→“管理工具”→“計(jì)算機(jī)管理”，選擇“系統(tǒng)工具”→“當(dāng)?shù)赜脩艉徒M”，然后單擊“用戶”，即可看到Administrator賬號(hào)，如圖3.6所表示。將當(dāng)前計(jì)算機(jī)管理員賬號(hào)QAZ停用或刪除后，就能夠用Administrator用戶登錄了。其操作為：右鍵單擊“QAZ”，選擇“屬性”，勾選“賬戶已停用”復(fù)選框后，點(diǎn)擊“確定”按鈕，這么就停用了該賬號(hào)。停用后該賬號(hào)前有個(gè)紅色叉號(hào)顯示，如圖3.6所表示。這么重新開啟計(jì)算機(jī)時(shí)就會(huì)出現(xiàn)Administrator賬號(hào)登錄入口了。

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第38頁(2)找回Administrator賬號(hào)密碼WindowsXP安裝在NTFS分區(qū)上。在使用故障修復(fù)控制臺(tái)時(shí)，程序要求輸入Administrator密碼，但此時(shí)卻忘記了密碼(安裝WindowsXP時(shí)設(shè)置了密碼)?？捎靡韵路椒ㄕ一谹dministrafor密碼。

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第39頁 第一：若能正常進(jìn)入WindowsXP，則使用含有管理員權(quán)限賬號(hào)登錄WindowsXP，然后打開如圖3.6所表示計(jì)算機(jī)當(dāng)?shù)赜脩魴冢軌蚩吹疆?dāng)前系統(tǒng)里存在全部賬號(hào)。鼠標(biāo)右鍵點(diǎn)擊Administrator，選擇“設(shè)置密碼”，然后按照屏幕提醒操作即可重新設(shè)置密碼，如圖3.7所表示。

圖3.6當(dāng)?shù)赜?jì)算機(jī)用戶圖3.7重新設(shè)置密碼網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第40頁 第二：若無法正常進(jìn)入WindowsXP，假如能夠使用命令行安全模式，則可用含有管理權(quán)限賬號(hào)登錄，使用NETUSER命令修改密碼，格式為“NETUSERAdministrator(輸入你新密碼)”，然后回車即可。 第三：假如連命令行安全模式都無法進(jìn)入，那么只有使用安裝光盤選擇修復(fù)了。用安裝光盤開啟系統(tǒng)時(shí)，在安裝程序選擇菜單上選擇“現(xiàn)在運(yùn)行安裝Windows”’，然后選擇“修復(fù)”開始修復(fù)程序。修復(fù)過程類似于Windows98覆蓋安裝，修復(fù)中會(huì)要求重新創(chuàng)建密碼，而且已經(jīng)安裝軟件依然能夠繼續(xù)使用。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第41頁(3)找回丟失系統(tǒng)密碼①從SAM文件中破解密碼SAM文件是WindowsXP用戶賬號(hào)數(shù)據(jù)庫，全部WindowsXP用戶登錄名及口令等相關(guān)信息都保留在該文件中。SAM文件位于“C:\system32\config\sam”路徑下，假如刪除了SAM文件，在登錄XP時(shí)就不需要密碼了，不過賬號(hào)中包含一些信息（如所創(chuàng)建用戶及用戶組）也隨之丟失。第1步：將丟失賬號(hào)硬盤接到正常系統(tǒng)中，然后運(yùn)行LC4（一款暴力破解軟件），在程序界面菜單上選擇“Flie-NewSession”來新建一個(gè)任務(wù)，接著選擇“Import-ImprortfromSAMfile”。第2步：在彈出對話框中找到并打開待破解SAM文件，此時(shí)LC4會(huì)自動(dòng)分析此文件，并顯示文件中用戶名，確認(rèn)這個(gè)賬號(hào)是欲破解目標(biāo)后，點(diǎn)擊“Session-BeginAudit”即可開始破解密碼。假如密碼不是很復(fù)雜，很快就能得到結(jié)果；假如密碼比較復(fù)雜，需要時(shí)間會(huì)較長。

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第42頁②利用密碼重設(shè)盤恢復(fù)密碼第1步：打開“控制面板”窗口，選擇“用戶賬號(hào)”，點(diǎn)擊欲備份密碼賬號(hào)，在彈出賬號(hào)操作窗口中“相關(guān)任務(wù)”欄下方，點(diǎn)擊“阻止一個(gè)已忘記密碼”字樣，如圖3.8所表示。第2步：打開“忘記密碼向?qū)А睂υ捒?，點(diǎn)擊“下一步”按鈕，依據(jù)提醒在軟驅(qū)中插人一張空白已格式化軟盤，點(diǎn)擊“下一步”按鈕，輸入當(dāng)前賬號(hào)密碼，再次點(diǎn)擊“下一步”按鈕，即可完成密碼重設(shè)磁盤創(chuàng)建，如圖3.9所表示。第3步：當(dāng)忘記密碼需要使用密碼重設(shè)盤時(shí)，可先開啟WindowsXP，在出現(xiàn)錄入窗口時(shí)，單擊用戶名，然后隨意輸入密碼。因?yàn)檩斎朊艽a錯(cuò)誤，所以系統(tǒng)會(huì)給出“沒有記住密碼?”提醒，這時(shí)利用生成密碼重設(shè)盤，依據(jù)提醒即可進(jìn)行密碼恢復(fù)工作了。

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第43頁圖3.8進(jìn)入“忘記密碼向?qū)А眻D3.9輸入當(dāng)前賬號(hào)密碼網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第44頁2．系統(tǒng)安全設(shè)置1）使用文件加密系統(tǒng)EFS

2）目錄和文件權(quán)限設(shè)置3）備份系統(tǒng)和數(shù)據(jù)4）安裝系統(tǒng)補(bǔ)丁程序5)禁止管理共享6）設(shè)置屏幕保護(hù)密碼7)防范SYN攻擊8)預(yù)防DoS9）加密temp文件夾

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第45頁10）清空遠(yuǎn)程可訪問注冊表路徑11）利用“密碼策略”設(shè)置可靠密碼12)刪除默認(rèn)共享13)卸載不安全組件14)關(guān)閉無須要端口15）杜絕非法訪問應(yīng)用程序16）關(guān)閉自動(dòng)播放服務(wù)17）賬戶鎖定設(shè)置18)審核網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第46頁1）使用文件加密系統(tǒng)EFS

Windows系統(tǒng)強(qiáng)大文件加密功效可給磁盤、文件夾和文件加上一層安全保護(hù)。這么能夠預(yù)防他人把用戶硬盤掛到別機(jī)器上以讀出里面數(shù)據(jù)。相關(guān)EFS內(nèi)容可見5.2節(jié)。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第47頁2）目錄和文件權(quán)限設(shè)置(1)訪問權(quán)限設(shè)置 先創(chuàng)建一個(gè)用戶組，以后全部站點(diǎn)用戶都建在這個(gè)組里；再設(shè)置該組在各個(gè)分區(qū)沒有權(quán)限或者完全拒絕；然后設(shè)置各用戶在各自文件夾里權(quán)限。對Windows用戶，在系統(tǒng)中可按用戶（組）來劃分權(quán)限。在“開始”→“程序”→“管理工具”→“計(jì)算機(jī)管理（當(dāng)?shù)兀甭窂较逻x擇“當(dāng)?shù)赜脩艉徒M”，在這里可詳細(xì)管理系統(tǒng)用戶和用戶組。NTFS權(quán)限設(shè)置。分區(qū)時(shí)可把全部硬盤都分為NTFS分區(qū)，然后確定每個(gè)分區(qū)對每個(gè)用戶開放權(quán)限。右鍵單擊要設(shè)定權(quán)限文件或文件夾，選擇“屬性”→“安全”標(biāo)簽，在這里可管理NTFS文件（夾）權(quán)限。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第48頁(2)設(shè)置文件共享權(quán)限①簡單文件共享打開“我電腦”窗口，依次選擇菜單中“工具”→“文件夾選項(xiàng)”，打開“文件夾選項(xiàng)”窗口，選擇“查看”標(biāo)簽，在“高級設(shè)置”列表中，選擇“使用簡單文件共享(推薦)”復(fù)選框選擇，如圖3.10所表示。②開啟Guest賬號(hào)在系統(tǒng)默認(rèn)情況下，Guest賬號(hào)是沒有啟用。如要想讓局域網(wǎng)中其它用戶能訪問你電腦，首先就得啟用該賬號(hào)。打開“控制面板”→“用戶賬號(hào)”，單擊界面中“Guest賬號(hào)”，然后再單擊“啟用賓客賬號(hào)”按鈕，即可完成Guest賬號(hào)開啟，如圖3.11所表示。③添加共享訪問用戶因?yàn)橛脩粼谠L問共享資源時(shí)，需要依據(jù)不一樣用戶設(shè)置不一樣訪問權(quán)限，所以在這里所添加共享訪問用戶也要設(shè)置多個(gè)權(quán)限用戶和密碼，以供用戶訪問。

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第49頁圖3.10簡單文件共享圖3.11開啟Guest賬號(hào)網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第50頁第1步：打開“控制面板”中“用戶賬號(hào)”，單擊“創(chuàng)建一個(gè)新賬號(hào)”，這時(shí)會(huì)提醒為新賬號(hào)鍵入一個(gè)名稱，輸入一個(gè)要?jiǎng)?chuàng)建用戶名(如ABCD)，點(diǎn)擊“下一步”，然后系統(tǒng)會(huì)提醒選擇賬號(hào)類型，有計(jì)算機(jī)管理員和受限用戶兩個(gè)賬號(hào)類型供選擇。鑒于安全考慮，選擇創(chuàng)建受限用戶，如圖3.12所表示。

圖3.12創(chuàng)建受限賬號(hào)網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第51頁第2步：完成以上操作后，在“用戶賬號(hào)”主界面中就多了一個(gè)“ABCD”受限賬號(hào)，如圖3.13所表示。然后再為該用戶設(shè)置訪問密碼。在“用戶賬號(hào)”主界面中單擊“ABCD”賬號(hào)，再單擊“創(chuàng)建密碼”，進(jìn)入創(chuàng)建密碼對話框。在為ABCD用戶創(chuàng)建密碼對話框中輸入并驗(yàn)證新創(chuàng)建賬號(hào)密碼，并設(shè)置一個(gè)密碼提醒語，最終單擊“創(chuàng)建密碼”按鈕即可，如圖3.14所表示。圖3.13完成創(chuàng)建受限賬號(hào)ABCD圖3.14為ABCD賬號(hào)設(shè)置密碼網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第52頁④設(shè)置共享資源在完成以上操作后，就能夠設(shè)置共享了。第1步：選擇一個(gè)要共享文件或文件夾，單擊鼠標(biāo)右鍵，選擇“共享和安全”，這時(shí)界面已與先前共享界面不一樣了，多了“權(quán)限”和“緩存”設(shè)置項(xiàng)。第2步：選擇“共享該文件夾”，單擊“權(quán)限”按鈕，在“權(quán)限”設(shè)置窗口中先刪除已經(jīng)有“Everyone”，接著添加剛才所創(chuàng)建用戶。依次單擊“添加”→“高級”→“馬上查找”，搜索系統(tǒng)中已經(jīng)有用戶和組。最終在界面下方用戶和組列表中選擇“ABCD”賬號(hào)，單擊兩次“確定”按鈕回到權(quán)限設(shè)置窗口。

(3)設(shè)定安全統(tǒng)計(jì)訪問權(quán)限在默認(rèn)情況下安全統(tǒng)計(jì)是沒有保護(hù)，可把它設(shè)置成只有Administrator和系統(tǒng)賬號(hào)才有權(quán)訪問。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第53頁3）備份系統(tǒng)和數(shù)據(jù)用ghost軟件及時(shí)對C盤做好備份，并用KV、PQ等軟件將硬盤分區(qū)表進(jìn)行備份。同時(shí)，還需要制作一張開啟盤方便必要時(shí)使用。使用ntbackup軟件備份系統(tǒng)狀態(tài)，使用reg.exe備份系統(tǒng)關(guān)鍵數(shù)據(jù)，如regexportHKLM\SOFTWARE\ODBCe:\backup\system\odbc.reg/y，即可將SOFTWARE下ODBC文件備份到e:盤。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第54頁4）安裝系統(tǒng)補(bǔ)丁程序安裝系統(tǒng)補(bǔ)丁主要性是不言而喻，尤其是一些主要安全補(bǔ)丁和針對IE、OE漏洞補(bǔ)丁。盡可能安裝最新操作系統(tǒng)和瀏覽器，并經(jīng)過下載安裝補(bǔ)丁對系統(tǒng)進(jìn)行升級。Microsoft會(huì)經(jīng)常公布一些已知漏洞修補(bǔ)程序，這些程序普通都能夠經(jīng)過WindowsUpdate來安裝（可經(jīng)常性訪問WindowsUpdate網(wǎng)站或者直接點(diǎn)擊“開始”菜單中WindowsUpdate快捷方式)。而WindowsXP和最新Windows愈加先進(jìn)了，能夠自動(dòng)檢驗(yàn)更新，在后臺(tái)下載，完成后通知下載完成并問詢是否開始安裝。對于Windows/XP用戶，Microsoft還提供了一個(gè)檢驗(yàn)安全性實(shí)用工具：基準(zhǔn)安全分析器(MicrosoftBaselineSecurityAnalyzer)。該程序能夠自動(dòng)對用戶系統(tǒng)進(jìn)行安全性檢測，而且對于出現(xiàn)問題，都能夠提供一個(gè)完整處理方案，它非常適合對于安全性要求高用戶使用。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第55頁5)禁止管理共享進(jìn)入注冊表，打開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters項(xiàng)。對于服務(wù)器，添加鍵值“AutoShareServer”，類型為“REG_DWORD”，其值為“0”。對于客戶機(jī)，添加鍵值“AutoShareWks”，類型為“REG_DWORD”，其值為“0”。

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第56頁6）設(shè)置屏幕保護(hù)密碼 設(shè)置屏幕保護(hù)密碼是很必要，操作也很簡單，這也是預(yù)防內(nèi)部人員破壞服務(wù)器一個(gè)屏障。屏幕保護(hù)密碼不要很復(fù)雜，因?yàn)闆]必要浪費(fèi)很多系統(tǒng)資源。系統(tǒng)用戶所使用機(jī)器最好也加上屏幕保護(hù)密碼。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第57頁7)防范SYN攻擊系統(tǒng)可使用SYN淹沒攻擊保護(hù)，進(jìn)入注冊表，打開HKLM\SYSTEM\CurrentControlSet\Service\Tcpip\Parameters，相關(guān)值項(xiàng)以下：(1)“DWORD：SynAttackProtect”定義了是否允許SYN淹沒攻擊保護(hù)，值為“1”表示允許起用WindowsSYN淹沒攻擊保護(hù)。(2)“DWORD：TcpMaxConnectResponseRetransmissions”定義了對于連接請求回應(yīng)包重發(fā)次數(shù)。值為“1”，則SYN淹沒攻擊不會(huì)有效果，不過這么會(huì)使連接請求失敗概率增大。SYN淹沒攻擊保護(hù)只有在該值≥2時(shí)才會(huì)被啟用，默認(rèn)值為3。(3)“DWORD：TcpMaxHalfOpen”定義了能夠處于SYN_RECEIVED狀態(tài)TCP連接數(shù)目，默認(rèn)值為100。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第58頁(4)“TcpMaxHalfOpenRetried”定義了在重新發(fā)送連接請求后，仍處于SYN_RECEIVED狀態(tài)TCP連接數(shù)目，默認(rèn)值為80。(5)“TcpMaxPortsExhausted”定義了系統(tǒng)拒絕連接請求次數(shù)，默認(rèn)值為5。上述前兩項(xiàng)定義是否允許SYN淹沒攻擊保護(hù)，后三項(xiàng)定義了激活SYN淹沒攻擊保護(hù)條件，滿足其中之一，則系統(tǒng)自動(dòng)激活SYN淹沒攻擊保護(hù)。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第59頁8)預(yù)防DoS 進(jìn)入注冊表，打開HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters，更改以下值能夠防御一定強(qiáng)度DoS攻擊：SynAttackProtectREG_DWORD2EnablePMTUDiscoveryREG_DWORD0NoNameReleaseOnDemandREG_DWORD1EnableDeadGWDetectREG_DWORD0KeepAliveTimeREG_DWORD300，000PerformRouterDiscoveryREG_DWORD0EnableICMPRedirectsREG_DWORD0網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第60頁9）加密temp文件夾一些應(yīng)用程序在安裝和升級時(shí)候，會(huì)把一些東西拷貝到temp文件夾下，不過當(dāng)程序升級完成或關(guān)閉時(shí)，并不會(huì)自動(dòng)去除temp文件夾中內(nèi)容。所以，給temp文件夾加密也可為文件多一層保護(hù)。10）清空遠(yuǎn)程可訪問注冊表路徑Windows系統(tǒng)提供了注冊表遠(yuǎn)程訪問功效。當(dāng)將遠(yuǎn)程可訪問注冊表路徑設(shè)置為空時(shí)，才能有效地預(yù)防黑客利用掃描器經(jīng)過遠(yuǎn)程注冊表讀取計(jì)算機(jī)系統(tǒng)信息。設(shè)置遠(yuǎn)程可訪問注冊表路徑為空步驟以下：網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第61頁第1步：選擇“開始”→“運(yùn)行”，輸入gpedit.msc，確認(rèn)后打開組策略編輯器。第2步：在組策略中，展開“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“當(dāng)?shù)夭呗浴?。?步：單擊“安全選項(xiàng)”，在右側(cè)窗口中找到“網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問注冊表路徑”，并雙擊之，如圖3.15所表示。第4步：在打開“網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問注冊表路徑屬性”窗口中，將可遠(yuǎn)程訪問注冊表路徑和子路徑內(nèi)容全部設(shè)置為空，再點(diǎn)擊“確定”按鈕即可。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第62頁圖3.15進(jìn)入遠(yuǎn)程可訪問注冊表路徑網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第63頁另外，在進(jìn)行安全設(shè)置中，對如圖3.15所表示當(dāng)?shù)夭呗园踩x項(xiàng)設(shè)置能夠考慮將“網(wǎng)絡(luò)訪問：可匿名訪問共享”、“網(wǎng)絡(luò)訪問：可匿名訪問命名管道”和“網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問注冊表路徑和子路徑”三項(xiàng)全部刪除；將“不允許SAM賬戶匿名枚舉”、“不允許SAM賬戶和共享匿名枚舉”、“網(wǎng)絡(luò)訪問：不允許存放網(wǎng)絡(luò)身份驗(yàn)證憑據(jù)或.NETPassports”和“網(wǎng)絡(luò)訪問：限制匿名訪問命名管道和共享”四項(xiàng)更改為“已啟用”。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第64頁11）利用“密碼策略”設(shè)置可靠密碼盡管絕對安全密碼是不存在，不過相對安全密碼還是能夠?qū)崿F(xiàn)。這還需要運(yùn)行secpol.msc來配置“當(dāng)?shù)匕踩O(shè)置”。展開到“賬戶策略”→“密碼策略”，如圖3.16、圖3.17所表示。經(jīng)過對這里策略配置，就能夠建立一個(gè)完備密碼策略，使密碼能夠得到最大程度保護(hù)。賬號(hào)密碼配置以下：

圖3.16安全選項(xiàng)設(shè)置圖3.17賬號(hào)密碼配置網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第65頁(1)強(qiáng)制密碼歷史。該設(shè)置決定了保留用戶曾經(jīng)用過密碼個(gè)數(shù)。很多人知道要經(jīng)常性更換自己密碼，可是換來換去就是有限幾個(gè)在輪換。配置該策略就能夠知道用戶更換密碼是否是以前曾經(jīng)使用過。默認(rèn)情況下，該策略不保留用戶密碼，用戶能夠自己設(shè)置，提議保留5個(gè)以上（最多能夠保留24個(gè)）。(2)密碼最長存留期。該策略決定了一個(gè)密碼能夠使用多久，之后就會(huì)過期，并要求用戶更換密碼。假如設(shè)置為0，則密碼永不過期。普通情況下設(shè)置為30到60天左右就能夠了，最長能夠設(shè)置999天。詳細(xì)過期時(shí)間要看系統(tǒng)對安全要求嚴(yán)格程(3)密碼最短存留期。該策略決定了一個(gè)密碼要在使用多久之后才能再次被使用。假如設(shè)置為0，則表示一個(gè)密碼能夠被無限制重復(fù)使用。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第66頁(4)密碼長度最小值。該策略決定了一個(gè)密碼長度，有效值在0到14之間。假如設(shè)置為0，則表示不需要密碼；該數(shù)字越大，表示密碼位數(shù)越多，密碼安全程度越高。提議密碼長度≥6位。(5)密碼必須符合復(fù)雜性要求。假如啟用了該策略，則在設(shè)置和更改密碼時(shí)，系統(tǒng)將會(huì)按照一定規(guī)則檢驗(yàn)密碼是否有效。(6)為域中全部用戶使用可還原加密來存放密碼。很顯著，該策略最好不要啟用。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第67頁12)刪除默認(rèn)共享使用Windows用戶都會(huì)碰到一個(gè)問題，就是系統(tǒng)在默認(rèn)安裝時(shí)，都會(huì)產(chǎn)生默認(rèn)共享文件夾。即使用戶并沒有設(shè)置共享，但每個(gè)盤符都被Windows自動(dòng)設(shè)置了共享，其共享名為盤符后面加一個(gè)符號(hào)＄（共享名稱分別為c$、d$、ipc$等）。這么，只要攻擊者知道了該系統(tǒng)管理員密碼，就有可能經(jīng)過輸入“\\工作站名\共享名稱”來打開系統(tǒng)指定文件夾，用戶精心設(shè)置安全防范就不安全了。所以，應(yīng)將Windows系統(tǒng)默認(rèn)共享隱患從系統(tǒng)中去除掉，可采取以下步驟：網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第68頁第1步：選擇“開始”→“運(yùn)行”，輸入gpedit.msc，確認(rèn)后打開組策略編輯器；第2步：選擇“用戶配置”→“Windows設(shè)置”→“腳本(登錄/注銷)”，雙擊“登錄”腳本，在出現(xiàn)“登錄屬性”窗口中單擊“添加”按鈕，如圖3.18所表示；第3步：在出現(xiàn)“添加腳本”對話框中“腳本名”欄中輸入delshare.bat，然后單擊“確定”按鈕即可。重新開啟計(jì)算機(jī)系統(tǒng)后，就能夠自動(dòng)將系統(tǒng)全部隱藏共享文件夾全部取消。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第69頁圖3.18利用組策略刪除默認(rèn)共享網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第70頁13)卸載不安全組件 當(dāng)我們在系統(tǒng)中加入不安全組件檢測功效后，就可發(fā)覺使用服務(wù)器支持很多組件是不安全。但這些不安全也是相正確，只要做好相關(guān)設(shè)置，原來不安全組件就會(huì)安全了。 假如有些組件是不安全，且對用戶來說又可能沒有什么用途，在系統(tǒng)安裝后就能夠?qū)⑺鼈儎h除掉（卸載）。決定是否卸載一個(gè)組件時(shí)一定要慎重。因?yàn)榻M件是為了應(yīng)用而出現(xiàn)，全部組件都有它用處，所以在卸載一個(gè)組件前，必須明確該組件確實(shí)是系統(tǒng)不需要。比如，F(xiàn)SO和XML都是慣用組件，很多程序會(huì)用到它們。WSH組件會(huì)被一部分主機(jī)管理程序用到，有打包程序也會(huì)用到它。 最危險(xiǎn)組件是WSH和Shell，因?yàn)樗鼈兡軌蜻\(yùn)行硬盤里.exe程序，比如能夠運(yùn)行提升程序來提升SERV-U權(quán)限，甚至用SERV-U來運(yùn)行更高權(quán)限系統(tǒng)程序。所以，用戶能夠卸載WSH和Shell這兩個(gè)組件。卸載組件最簡單方法就是直接卸載后刪除對應(yīng)程序文件。

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第71頁例1：卸載WSH和Shell組件將下面代碼保留為一個(gè).BAT文件：regsvr32/uC:\WINDOWS\System32\wshom.ocxdelC:\WINDOWS\System32\wshom.ocx（利用regsvr32/uwshom.ocx卸載WScript.Shell組件）regsvr32/uC:\WINDOWS\system32\shell32.dlldelC:\WINDOWS\system32\shell32.dll（利用regsvr32/ushell32.dll卸載Shell.application組件）運(yùn)行該批處理文件后，WScript.Shell和Shell.application組件就會(huì)被卸載。在卸載過程中，可能會(huì)出現(xiàn)無法刪除文件提醒，能夠不用管它，重啟服務(wù)器即可。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第72頁例2：卸載FSO組件使用regsvr32/uc:windows\system32\scrrun.dll卸載組件。在“開始”菜單下運(yùn)行“regedit”，打開注冊表編輯器，將/HKEY_CLASSES_ROOT下WScript.Network、WScript.Network.1、WScript.Shell、WScript.Shell.1、Shell.Application和Shell.Application.1鍵值更名或刪除。在/HKEY_CLASSES_ROOT/CLSID中包含字串（如{72C24DD5-D70A-438B-8A42-98424B88AFB8}）下找到相關(guān)鍵值，如圖3.19所表示，并將其全部刪除。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第73頁14)關(guān)閉無須要端口在系統(tǒng)安裝后，為了安全起見，可關(guān)閉一些不需要端口。詳細(xì)步驟以下：第1步：選擇“開始”→“設(shè)置”→“網(wǎng)絡(luò)連接”→“當(dāng)?shù)剡B接”，打開“當(dāng)?shù)剡B接屬性”，如圖3.20所表示。

圖3.19注冊表修改或刪除鍵值網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第74頁第2步：選擇“Internet協(xié)議(TCP/IP)”，點(diǎn)擊“屬性”按鈕，出現(xiàn)“Internet協(xié)議屬性”窗口，如圖3.21所表示。圖3.20當(dāng)?shù)剡B接屬性圖3.21Internet協(xié)議屬性窗口網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第75頁第3步：點(diǎn)擊“高級”按鈕，進(jìn)入“高級TCP/IP”設(shè)置窗口，如圖3.22所表示。第4步：點(diǎn)擊“選項(xiàng)”標(biāo)簽，進(jìn)入“TCP/IP篩選”，點(diǎn)擊“屬性”按鈕，打開TCP/IP篩選，添加需要TCP、UDP協(xié)議即可，參見圖2.8。圖3.22高級TCP/IP設(shè)置窗口網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第76頁15）杜絕非法訪問應(yīng)用程序Windows是一個(gè)服務(wù)器操作系統(tǒng)。為了預(yù)防非法用戶登錄到系統(tǒng)中并隨意開啟服務(wù)器中應(yīng)用程序，給服務(wù)器正常運(yùn)行帶來無須要麻煩。我們可依據(jù)不一樣用戶訪問權(quán)限，來限制他們?nèi)フ{(diào)用應(yīng)用程序。實(shí)際上只要使用組策略編輯器作深入設(shè)置，即可實(shí)現(xiàn)這一目標(biāo)。詳細(xì)步驟以下：網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第77頁打開“組策略編輯器”，然后依次選擇“當(dāng)?shù)赜?jì)算機(jī)策略”→“用戶配置”→“管理模板”→“系統(tǒng)”。選擇“只運(yùn)行許可Windows應(yīng)用程序”并雙擊之，出現(xiàn)如圖3.23所表示窗口。在圖中“設(shè)置”標(biāo)簽中選擇“已啟用”，點(diǎn)擊下面“允許應(yīng)用程序列表”邊“顯示”按鈕，彈出一個(gè)“顯示內(nèi)容”對話框。單擊“添加”按鈕來添加允許運(yùn)行應(yīng)用程序，如圖3.24所表示。這么操作后普通用戶只能運(yùn)行“允許應(yīng)用程序列表”中程序。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第78頁圖3.23組策略編輯器系統(tǒng)設(shè)置圖3.24允許應(yīng)用程序列表框網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第79頁16）關(guān)閉自動(dòng)播放服務(wù)自動(dòng)播放功效不但對光驅(qū)起作用，而且對其它驅(qū)動(dòng)器也起作用，這么很輕易被黑客利用來執(zhí)行黑客程序，所以，能夠考慮關(guān)閉該服務(wù)。關(guān)閉自動(dòng)播放服務(wù)操作為：打開組策略編輯器，依次展開“計(jì)算機(jī)配置”→“管理模板”→“系統(tǒng)”。在右側(cè)窗口中找到“關(guān)閉自動(dòng)播放”選項(xiàng)，并雙擊之。在打開對話框中選擇“已啟用”，然后在“關(guān)閉自動(dòng)播放”后面下拉菜單中選擇“全部驅(qū)動(dòng)器”，按“確定”按鈕即可生效，如圖3.25所表示。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第80頁圖3.25關(guān)閉自動(dòng)播放服務(wù)網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第81頁17）賬戶鎖定設(shè)置 賬戶鎖定策略是一項(xiàng)ActiveDirectory安全功效。在指定時(shí)間段內(nèi)，假如登錄嘗試失敗次數(shù)到達(dá)指定次數(shù)，它會(huì)鎖定用戶賬戶并禁止登錄。允許嘗試次數(shù)和時(shí)間段基于為賬戶鎖定設(shè)置值。賬戶鎖定策略還能夠指定鎖定時(shí)限。賬戶鎖定設(shè)置有利于預(yù)防攻擊者猜測用戶密碼，而且會(huì)降低對網(wǎng)絡(luò)環(huán)境攻擊成功可能性。賬戶鎖定設(shè)置過程為： 點(diǎn)擊“開始”→“運(yùn)行”，輸入secpol.msc，打開當(dāng)?shù)匕踩O(shè)置界面，選擇“賬戶策略”→“賬戶鎖定策略”。雙擊“賬戶鎖定閾值”，在出現(xiàn)對話框中輸入允許嘗試最大登錄次數(shù)，再“確認(rèn)”即可，如圖3.26所表示。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第82頁圖3.26賬戶鎖定設(shè)置網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第83頁18)審核進(jìn)入“當(dāng)?shù)匕踩呗浴薄爱?dāng)?shù)夭呗浴薄皩徍瞬呗浴?，可見到以下?xiàng)目內(nèi)容：審核策略更改成功，失?。粚徍讼到y(tǒng)事件成功，失?。粚徍速~號(hào)登錄事件成功，失??；審核賬號(hào)管理成功，失敗。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第84頁對每一項(xiàng)目進(jìn)行審核：雙擊每一項(xiàng)，選擇成功（或失敗），按“確定”按鈕完成設(shè)置，如圖3.27所表示。圖3.27安全審核策略網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第85頁3．安全使用InternetExplorer(1)“Internet選項(xiàng)”“Internet”安全設(shè)置(2)“Internet選項(xiàng)”“可信站點(diǎn)”安全設(shè)置(3)“Internet選項(xiàng)”“內(nèi)容”安全設(shè)置(4)“Internet選項(xiàng)”“高級”安全設(shè)置網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第86頁（1）“Internet選項(xiàng)”“Internet”安全設(shè)置打開InternetExplorer，點(diǎn)擊菜單欄中“工具”→“Internet選項(xiàng)”，點(diǎn)開“安全”標(biāo)簽。在“安全”標(biāo)簽中選擇“Internet”（見圖3.28），就能夠針對Internet區(qū)域一些安全選項(xiàng)進(jìn)行設(shè)置。即使有不一樣級別默認(rèn)設(shè)置，但最好是依據(jù)自己實(shí)際情況親自調(diào)整一下。點(diǎn)擊下方“自定義級別”，這里就顯示了IE安全設(shè)置，如圖3.29所表示。

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第87頁“下載已署名ActiveX控件”。經(jīng)過第三方認(rèn)證機(jī)構(gòu)署名證實(shí)該ActiveX控件是安全，而且能夠設(shè)置為允許下載這種控件，除非不想安裝任何ActiveX控件，或者想從一些網(wǎng)站下載，比如WindowsUpdate，還有播放Flash插件等。“下載未署名ActiveX控件”。與經(jīng)過署名認(rèn)證ActiveX控件相比，未經(jīng)署名認(rèn)證可能會(huì)包含潛在安全隱患，所以該選項(xiàng)最好不要設(shè)置為啟用，可設(shè)為“禁用”或者設(shè)置為“提醒”，這么能夠依據(jù)正在訪問站點(diǎn)性質(zhì)決定是否下載安裝未經(jīng)認(rèn)證控件。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第88頁“對沒有標(biāo)識(shí)為安全ActiveX控件進(jìn)行初始化和腳本運(yùn)行”。與前面設(shè)置類似，假如之前都設(shè)置為“禁用”，那么該選項(xiàng)一樣“禁用”即可，不然能夠設(shè)置為“提醒”或者“啟用”，禁止那些未經(jīng)署名控件運(yùn)行?！斑\(yùn)行ActiveX控件和插件”。假設(shè)已經(jīng)“禁止”了全部ActiveX控件和插件運(yùn)行，那么該選項(xiàng)就能夠放心設(shè)置為管理員認(rèn)可?！皩?biāo)識(shí)為可安全執(zhí)行腳本ActiveX控件執(zhí)行腳本”。該設(shè)置能夠與前面選項(xiàng)相同網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第89頁“活動(dòng)腳本”?，F(xiàn)在各種腳本程序非常流行，經(jīng)過腳本程序能夠建立很多實(shí)用網(wǎng)頁，比如WindowsUpdate網(wǎng)頁，就是經(jīng)過腳本程序來判斷需要下載補(bǔ)丁。所以假如“禁用”腳本程序，一些網(wǎng)頁將不能正常瀏覽。這里提議設(shè)置為“禁用”。“允許經(jīng)過腳本進(jìn)行粘貼操作”。該選項(xiàng)允許網(wǎng)頁經(jīng)過腳本把文件復(fù)制到剪貼板，為了安全考慮最好設(shè)為“禁用”?！癑AVA小程序腳本”。Javascript是一個(gè)公開、多平臺(tái)、面向?qū)ο竽_本語言。很多網(wǎng)頁中都使用了JAVA腳本，不過安全起見最好“禁用”它。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第90頁圖3.28Internet選項(xiàng)安全設(shè)置(1)圖3.29Internet選項(xiàng)安全設(shè)置(2)網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第91頁(2)“Internet選項(xiàng)”“可信站點(diǎn)”安全設(shè)置以上設(shè)置會(huì)影響到少數(shù)必須要訪問站點(diǎn)(比如WindowsUpdate網(wǎng)站)，但為了安全起見又不想把Internet區(qū)域安全級別設(shè)置太低，則能夠把一些信任站點(diǎn)添加到“受信任站點(diǎn)”中去。方法是：在“Internet選項(xiàng)”“安全”標(biāo)簽下，點(diǎn)擊“受信任站點(diǎn)”，然后點(diǎn)擊“站點(diǎn)”按鈕，在新窗口中輸入希望添加網(wǎng)絡(luò)地址(比如)，如圖3.30所表示，然后點(diǎn)擊右側(cè)“添加”按鈕即可。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第92頁(3)“Internet選項(xiàng)”“內(nèi)容”安全設(shè)置打開“Internet選項(xiàng)”中“內(nèi)容”標(biāo)簽，可看到有“分級審查”、“證書”和“個(gè)人信息”三欄，如圖3.31所表示?！胺旨墝彶椤蹦軌驇椭脩艨刂圃谠撚?jì)算機(jī)上看到Internet內(nèi)容。點(diǎn)擊“分級審查”“啟用”按鈕，出現(xiàn)“內(nèi)容審查程序”窗口，如圖3.32所表示。在這里可對內(nèi)容級別和可信站點(diǎn)進(jìn)行查看和設(shè)置。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第93頁圖3.30Internet選項(xiàng)可信站點(diǎn)設(shè)置網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第94頁在“證書”欄，使用證書能夠正確標(biāo)識(shí)自己、證書頒發(fā)機(jī)構(gòu)和頒發(fā)商身份。點(diǎn)擊“證書”按鈕，出現(xiàn)“證書”窗口，如圖3.33所表示。在該窗口，可幫助個(gè)人用戶將證書、證書信任列表和證書吊銷列表從磁盤復(fù)制到證書存放區(qū)，可列出“中級證書頒發(fā)機(jī)構(gòu)”、“受信任根證書頒發(fā)機(jī)構(gòu)”等相關(guān)信息。在“個(gè)人信息”欄，點(diǎn)擊“自動(dòng)完成”按鈕，如圖3.34所表示。對于所列出來每一項(xiàng)，自動(dòng)完成功效都會(huì)保留特定內(nèi)容，其中“Web地址”會(huì)保留在IE地址欄中輸入過內(nèi)容；“表單”會(huì)保留在網(wǎng)頁中填寫資料，比如論壇上講話(除用戶名和密碼)、搜索引擎中使用過關(guān)鍵字等；“表單上用戶名和密碼”會(huì)保留登錄論壇或其它網(wǎng)頁時(shí)輸入用戶名和密碼。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第95頁自動(dòng)完成能夠幫助節(jié)約很多時(shí)間，不過同時(shí)也帶來了很大安全隱患。一旦有些人使用你賬號(hào)登錄，登錄網(wǎng)站用戶名和密碼等資料就有可能全部被他人看到。所以用戶能夠依據(jù)自己電腦使用情況適當(dāng)調(diào)整，決定哪些內(nèi)容能夠自動(dòng)保留，哪些不行。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第96頁圖3.31Internet選項(xiàng)“內(nèi)容”設(shè)置窗口圖3.32“分級審查”內(nèi)容審查程序窗口網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第97頁(4)“Internet選項(xiàng)”“高級”安全設(shè)置打開“Internet選項(xiàng)”“高級”標(biāo)簽，可依據(jù)實(shí)際情況對“設(shè)置”中各“安全”項(xiàng)進(jìn)行以下詳細(xì)設(shè)置，如圖3.35、圖3.36所表示：“檢驗(yàn)發(fā)行商證書吊銷”。假如選擇了該項(xiàng)，當(dāng)訪問一些需要認(rèn)證站點(diǎn)時(shí)，IE會(huì)首先檢驗(yàn)給站點(diǎn)提供證書是否依然有效。普通情況下，提議啟用該設(shè)置。“檢驗(yàn)服務(wù)器證書吊銷”。該項(xiàng)將會(huì)使IE檢驗(yàn)站點(diǎn)服務(wù)器證書是否依然有效，普通也應(yīng)該啟用該設(shè)置?！皺z驗(yàn)下載程序署名”。假如啟用該設(shè)置，在下載了程序后IE會(huì)經(jīng)過署名自動(dòng)檢驗(yàn)程序是否被非法改動(dòng)過。普通應(yīng)該啟用該設(shè)置。

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第98頁圖3.33證書存放及頒發(fā)機(jī)構(gòu)信息圖3.34個(gè)人信息“自動(dòng)完成”設(shè)置網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第99頁“不將加密頁面存入硬盤”。啟用了該項(xiàng)后，對于加密頁面(主要是URL以https打頭)將不會(huì)保留到Internet暫時(shí)文件夾中。假如多人共用同一臺(tái)電腦，該選項(xiàng)是很有必要，這么他人就無法經(jīng)過Internet暫時(shí)文件窺探到你訪問過加密網(wǎng)頁了?！皩o效站點(diǎn)證書發(fā)出警告”。啟用該設(shè)置之后，在碰到無效站點(diǎn)證書時(shí)IE就會(huì)發(fā)出警告，提醒注意。普通情況下能夠啟用該設(shè)置?！霸诎踩头前踩Ｊ街g轉(zhuǎn)換時(shí)發(fā)出警告”。當(dāng)啟用該設(shè)置之后，假如要從一個(gè)安全網(wǎng)頁(可能是經(jīng)過SSL加密)進(jìn)入到一個(gè)不安全網(wǎng)頁時(shí)，IE會(huì)發(fā)出警告，以防止在不知情情況下泄漏一些私人信息。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第100頁“重定向提交表單時(shí)發(fā)出警告”。啟用該設(shè)置后，在一些論壇或類似地方提交一些信息假如被發(fā)送到了其它服務(wù)器上，IE就會(huì)發(fā)出警報(bào)。所認(rèn)為安全起見，也應(yīng)該啟用該設(shè)置。圖3.35Internet選項(xiàng)“高級”設(shè)置(1)圖3.36Internet選項(xiàng)“高級”設(shè)置(2)網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第101頁3.3.2Linux系統(tǒng)安全及服務(wù)器配置1．BIOS安全設(shè)置

首先用戶要給自己BIOS設(shè)置密碼，這是最基本要求。這么能夠預(yù)防經(jīng)過在BIOS中改變開啟次序，而從軟盤開啟。這么能夠阻止他人試圖用特殊開啟盤開啟你系統(tǒng)，還能夠阻止他人進(jìn)入BIOS改動(dòng)其中設(shè)置，使機(jī)器硬件設(shè)置不能被他人隨意改動(dòng)。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第102頁2．GRUB安全設(shè)置(1)設(shè)置全局口令鎖定開啟菜單

全局口令用于設(shè)置只允許用戶選擇開啟菜單項(xiàng)進(jìn)行開啟。password命令可為GRUB開啟菜單和菜單項(xiàng)設(shè)置口令，在grub.conf全局配置部分使用password，比如在第一個(gè)title上輸入passwordyaohoo。Linux下用vi/vim命令來編輯，如輸入命令”vi/boot/grub/grub.conf”，即可進(jìn)入如圖3.37所表示編輯界面進(jìn)行編輯。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第103頁圖3.37設(shè)置全局口令設(shè)置全局口令后，GRUB開啟菜單被鎖定，此時(shí)只允許選擇菜單項(xiàng)進(jìn)行開啟。如需對菜單進(jìn)行其它操作（如編輯、進(jìn)入命令行界面等）都應(yīng)先對開啟菜單進(jìn)行解鎖。在鎖定開啟菜單項(xiàng)選擇"P"，輸入口令解鎖即可恢復(fù)正常狀態(tài)。

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第104頁(2)使用全局口令鎖定開啟菜單GRUB提供了菜單項(xiàng)級別保護(hù)。對于需要保護(hù)菜單項(xiàng)，能夠使用已設(shè)置全局口令進(jìn)行鎖定。假如開啟該菜單項(xiàng)需先輸入全局口令對該菜單項(xiàng)進(jìn)行解鎖。設(shè)置步驟以下：第1步：設(shè)置GRUB全局口令。圖3.38使用lock命令鎖定菜單圖3.39password設(shè)置網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第105頁第2步：在菜單項(xiàng)配置中使用lock命令鎖定菜單項(xiàng)，如圖3.38所表示。Lock作用是使用全局口令鎖定某開啟菜單項(xiàng)。該命令沒有參數(shù)，普通緊跟title。鎖定開啟菜單項(xiàng)中l(wèi)ock之后全部命令，直到輸入正確口令。

當(dāng)需要對不一樣開啟菜單項(xiàng)使用不一樣口令進(jìn)行驗(yàn)證管理時(shí)，能夠在各菜單項(xiàng)中使用獨(dú)立password設(shè)置，如圖3.39所表示。這么，就能夠?qū)崿F(xiàn)全局口令和菜單項(xiàng)口令分級管理。如為某菜單項(xiàng)設(shè)置獨(dú)立口令最好先設(shè)置全局口令，并確保口令字各不相同，如不設(shè)置全局口令會(huì)造成菜單項(xiàng)口令泄漏。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第106頁(3)使用MD5加密口令為了防止在配置文件中使用明文口令，可采取MD5加密口令，如圖3.40所表示。圖3.40采取MD5加密口令網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第107頁(4)口令安全口令能夠說是系統(tǒng)第一道防線，當(dāng)前網(wǎng)上大部分對系統(tǒng)攻擊都是從截獲口令或者猜測口令開始，所以我們應(yīng)該選擇愈加安全口令。首先要杜絕不設(shè)口令賬號(hào)存在。這能夠經(jīng)過查看/etc/passwd文件發(fā)覺。假如用戶名為test賬號(hào)沒有設(shè)置口令，則在/etc/passwd文件中就有test::100:9::/home/test:/bin/bash該行第二項(xiàng)為空，說明test賬號(hào)沒有設(shè)置口令，這是非常危險(xiǎn)，應(yīng)將該類賬號(hào)刪除或者設(shè)置口令。其次，在舊版本Linux中，/etc/passwd文件中包含有加密密碼。這么會(huì)給系統(tǒng)安全性帶來了很大隱患，因?yàn)槟軌蛴帽┝ζ平夥椒▉砣〉妹艽a。能夠使用命令/usr/sbin/pwconv或/usr/sbin/grpconv網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第108頁建立/etc/shadow或/etc/gshadow文件，這么在/etc/passwd文件中不再包含加密密碼，而是將密碼放在/etc/shadow文件中，該文件只有超級用戶root可讀。第三，修改一些系統(tǒng)賬號(hào)Shell變量。一定不要為uucp、ftp、news及一些僅僅需要FTP功效賬號(hào)設(shè)置/bin/bash或/bin/sh等Shell變量。能夠在/etc/passwd中將其Shell變量置空，比如設(shè)為/bin/false或/dev/null等，也能夠使用“usermod-s/dev/nullusername”命令更改usernameShell為/dev/null。這么使用這些賬號(hào)就不能Telnet遠(yuǎn)程登錄到系統(tǒng)中來了。第四，要修改缺省密碼長度。在用戶安裝Linux時(shí)默認(rèn)密碼長度是5個(gè)字節(jié)。但這似乎不夠，應(yīng)該再增加一些位數(shù)，比如把它設(shè)為8字節(jié)，如圖3.41所表示。修改最短密碼長度需要編輯login程序配置文件login.defs（vi/etc/login.defs）。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第109頁(5)自動(dòng)注銷賬號(hào)Unix/Linux系統(tǒng)中root賬戶含有最高權(quán)限。假如系統(tǒng)管理員在離開系統(tǒng)之前忘記注銷root賬戶，那將會(huì)帶來很大安全隱患。所以，應(yīng)該讓系統(tǒng)自動(dòng)注銷該賬號(hào)。這可經(jīng)過修改賬戶中“TMOUT”參數(shù)（如圖3.42所表示）來實(shí)現(xiàn)此功效。編輯系統(tǒng)profile文件（vi/etc/profile，用/histsize\c找到HISTSIZE)，在"HISTSIZE="后面加入TMOUT=300TMOUT是按秒計(jì)算，這里300表示300秒。這么，假如系統(tǒng)中登錄用戶在5分鐘內(nèi)都沒有動(dòng)作，那么系統(tǒng)會(huì)自動(dòng)注銷這個(gè)賬戶。管理員也能夠在個(gè)別用戶“.bashrc”文件中添加該值，方便系統(tǒng)對該用戶實(shí)施特殊自動(dòng)注銷。圖3.41修改缺省密碼長度圖3.42設(shè)置賬戶TMOUT參數(shù)改變該項(xiàng)設(shè)置后，必須先注銷用戶，再用該用戶登錄才能激活此功效

網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第110頁圖3.41修改缺省密碼長度圖3.42設(shè)置賬戶TMOUT參數(shù)網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第111頁(6)取消普通用戶控制臺(tái)訪問權(quán)限可采取shutdown、reboot、halt等命令取消普通用戶控制臺(tái)訪問權(quán)限，如：#rm-f/etc/security/console.apps/halt#rm-f/etc/security/console.apps/poweroff#rm-f/etc/security/console.apps/reboot#rm-f/etc/security/console.apps/shutdown#rm-f/etc/security/console.apps/xserver(此時(shí)只有root能用x)網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第112頁(7)取消并反安裝全部不用服務(wù)在系統(tǒng)中取消并反安裝全部不用服務(wù)，就會(huì)降低很多風(fēng)險(xiǎn)。察看“/etc/inetd.conf”文件，經(jīng)過注釋取消全部不需要服務(wù)（在該服務(wù)項(xiàng)目之前加一個(gè)“#”），然后用“sighup”命令升級“inetd.conf”文件。第1步：更改“/etc/inetd.conf”權(quán)限為600，只允許root來讀寫該文件。

#chmod600/etc/inetd.conf第2步：確定“/etc/inetd.conf”文件全部者為root。第3步：編輯/etc/inetd.conf文件（vi/etc/inetd.conf），取消不需要服務(wù)，如ftp、telnet、shell、login、exec、talk、ntalk、imap、pop3、finger、auth等。把不需要服務(wù)關(guān)閉能夠使系統(tǒng)危險(xiǎn)性降低很多。網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第113頁第4步：給inetd進(jìn)程發(fā)送一個(gè)HUP信號(hào)。

#killall-HUPinetd第5步：用chattr命令把/ec/inetd.conf文件設(shè)為不可修改，這么就能夠預(yù)防對inetd.conf任何修改。

#chattr+i/etc/inetd.conf唯一能夠取消該屬性用戶只有root。假如要修改inetd.conf文件，首先要用下面命令取消不可修改屬性，修改后再把它性質(zhì)改回不可修改。

#chattr-i/etc/inetd.conf網(wǎng)絡(luò)操作系統(tǒng)安全與管理實(shí)踐教材第114頁

(8)TCP_WRAPPERS使用TCP_WRAPPERS能夠使系統(tǒng)安全方面對外部入侵。最好策略就是阻止全部主機(jī)（在"/etc/hosts.deny"文件中加入"ALL:ALL@ALL，PARANOID"）登錄，然后再在"/etc/hosts.allow"文件中加入全部允許訪問主機(jī)列表。第1步：編輯hosts.deny文件（vi/etc/hosts.deny），加入以下一行

#Denyaccesstoeveryone

ALL:ALL@ALL，PARANOID這表明除非