操作系統(tǒng)的安全配置

網(wǎng)絡(luò)平安防御術(shù)第八章操作系統(tǒng)平安配置方案精選ppt內(nèi)容提要平安操作系統(tǒng)根底平安操作系統(tǒng)的根本概念平安操作系統(tǒng)的機(jī)制Windows2000效勞器的平安配置操作系統(tǒng)的平安將決定網(wǎng)絡(luò)的平安，從保護(hù)級(jí)別上分成平安初級(jí)篇、中級(jí)篇和高級(jí)篇，共36條根本配置原那么。初級(jí)篇講述常規(guī)的操作系統(tǒng)平安配置

中級(jí)篇介紹操作系統(tǒng)的平安策略配置

高級(jí)篇介紹操作系統(tǒng)平安信息通信配置精選ppt操作系統(tǒng)平安概述目前效勞器常用的操作系統(tǒng)有三類：UnixLinuxWindowsServer這些操作系統(tǒng)都是符合C2級(jí)平安級(jí)別的操作系統(tǒng)。精選pptUNIX系統(tǒng)UNIX操作系統(tǒng)是由美國(guó)貝爾實(shí)驗(yàn)室開發(fā)的一種多用戶、多任務(wù)的通用操作系統(tǒng)。它從一個(gè)實(shí)驗(yàn)室的產(chǎn)品開展成為當(dāng)前使用普遍、影響深遠(yuǎn)的主流操作系統(tǒng)。UNIX操作系統(tǒng)經(jīng)過數(shù)十年的開展后，已經(jīng)成為一種成熟的主流操作系統(tǒng)，并在開展過程中逐步形成了一些新的特色，其中主要特色包括5個(gè)方面?！?〕可靠性高〔2〕極強(qiáng)的伸縮性〔3〕網(wǎng)絡(luò)功能強(qiáng)〔4〕強(qiáng)大的數(shù)據(jù)庫支持功能〔5〕開放性好精選pptLinux系統(tǒng)Linux是一套可以免費(fèi)使用和自由傳播的類Unix操作系統(tǒng)，這個(gè)系統(tǒng)是由全世界各地的成千上萬的程序員設(shè)計(jì)和實(shí)現(xiàn)的。其目的是建立不受任何商品化軟件的版權(quán)制約的、全世界都能自由使用的Unix兼容產(chǎn)品。Linux是一個(gè)免費(fèi)的操作系統(tǒng)，用戶可以免費(fèi)獲得其源代碼，并能夠隨意修改。精選pptLinux典型的優(yōu)點(diǎn)有7個(gè)〔1〕完全免費(fèi)〔2〕完全兼容POSIX1.0標(biāo)準(zhǔn)〔3〕多用戶、多任務(wù)〔4〕良好的界面〔5〕豐富的網(wǎng)絡(luò)功能〔6〕可靠的平安、穩(wěn)定性能〔7〕支持多種平臺(tái)精選pptWindows操作系統(tǒng)WindowsNT系列操作系統(tǒng)具有以下優(yōu)點(diǎn):〔1〕支持多種網(wǎng)絡(luò)協(xié)議由于在網(wǎng)絡(luò)中可能存在多種客戶機(jī)，而這些客戶機(jī)可能使用了不同的網(wǎng)絡(luò)協(xié)議。WindowsNT系列操作支持幾乎所有常見的網(wǎng)絡(luò)協(xié)議?！?〕內(nèi)置Internet功能隨著Internet的流行和TCP/IP協(xié)議組的標(biāo)準(zhǔn)化，WindowsNT內(nèi)置了IIS，可以使網(wǎng)絡(luò)管理員輕松的配置WWW和FTP等效勞?！?〕支持NTFS文件系統(tǒng)在2000中內(nèi)置同時(shí)支持FAT和NTFS的磁盤分區(qū)格式。使用NTFS可以提高文件管理的平安性，用戶可以對(duì)NTFS系統(tǒng)中的任何文件、目錄設(shè)置權(quán)限，可以增加文件的平安性。精選ppt平安操作系統(tǒng)的根本概念平安操作系統(tǒng)涉及很多概念：主體和客體平安策略和平安模型訪問監(jiān)控器平安內(nèi)核可信計(jì)算基精選pptA.主體和客體操作系統(tǒng)中的每一個(gè)實(shí)體組件都必須是主體或者是客體，或者既是主體又是客體。主體是一個(gè)主動(dòng)的實(shí)體，它包括用戶、用戶組、進(jìn)程等。系統(tǒng)中最根本的主體是用戶，系統(tǒng)中的所有事件要求，幾乎全是由用戶激發(fā)的。進(jìn)程是系統(tǒng)中最活潑的實(shí)體，用戶的所有事件要求都要通過進(jìn)程的運(yùn)行來處理?？腕w是一個(gè)被動(dòng)的實(shí)體。在操作系統(tǒng)中，客體可以是按照一定格式存儲(chǔ)在一定記錄介質(zhì)上的數(shù)據(jù)信息，也可以是操作系統(tǒng)中的進(jìn)程。操作系統(tǒng)中的進(jìn)程〔包括用戶進(jìn)程和系統(tǒng)進(jìn)程〕一般有著雙重身份。精選pptB.平安策略和平安模型平安策略與平安模型是計(jì)算機(jī)平安理論中容易相互混淆的兩個(gè)概念。平安策略是指有關(guān)管理、保護(hù)和發(fā)布敏感信息的規(guī)定和實(shí)施細(xì)那么。平安模型那么是對(duì)平安策略所表達(dá)的平安需求的簡(jiǎn)單、抽象和無歧義的描述，它為平安策略和平安策略實(shí)現(xiàn)機(jī)制的關(guān)聯(lián)提供了一種框架。平安模型描述了對(duì)某個(gè)平安策略需要用哪種機(jī)制來滿足；而模型的實(shí)現(xiàn)那么描述了如何把特定的機(jī)制應(yīng)用于系統(tǒng)中，從而實(shí)現(xiàn)某一特定平安策略所需的平安保護(hù)。精選pptC.訪問監(jiān)控器訪問控制機(jī)制的理論根底是訪問監(jiān)控器。訪問監(jiān)控器是一個(gè)抽象概念，其具體實(shí)現(xiàn)是引用驗(yàn)證思想，它是實(shí)現(xiàn)訪問監(jiān)控器思想的硬件和軟件的組合。訪問監(jiān)控器需要同時(shí)滿足以下3個(gè)原那么：(1)必須具有自我保護(hù)能力；(2)必須總是處于活潑狀態(tài)；(3)必須設(shè)計(jì)得足夠小，以利于分析和測(cè)試，從而能夠證明其實(shí)現(xiàn)是正確的。精選pptD.平安內(nèi)核平安內(nèi)核由硬件和介于硬件和操作系統(tǒng)之間的一層軟件組成，在一個(gè)大型操作系統(tǒng)中，只有其中的一小局部軟件用于平安目的。平安內(nèi)核必須予以適當(dāng)?shù)谋Ｗo(hù)，不能篡改。同時(shí)絕不能有任何繞過平安內(nèi)核存取控制檢查的存取行為存在。平安內(nèi)核必須盡可能地小，便于進(jìn)行正確性驗(yàn)證。精選pptE.可信計(jì)算基操作系統(tǒng)的平安依賴于一些具體實(shí)施平安策略的可信的軟件和硬件。這些軟件、硬件和負(fù)責(zé)系統(tǒng)平安管理的人員一起組成了系統(tǒng)的可信計(jì)算基〔TrustedComputingBase，TCB〕。具體來說可信計(jì)算基由以下7個(gè)局部組成：1.操作系統(tǒng)的平安內(nèi)核。2.具有特權(quán)的程序和命令。3.處理敏感信息的程序，如系統(tǒng)管理命令等。4.與TCB實(shí)施平安策略有關(guān)的文件。5.其它有關(guān)的固件、硬件和設(shè)備。6.負(fù)責(zé)系統(tǒng)管理的人員。7.保障固件和硬件正確的程序和診斷軟件。精選ppt平安操作系統(tǒng)的機(jī)制平安操作系統(tǒng)的機(jī)制包括：硬件平安機(jī)制平安標(biāo)識(shí)與鑒別訪問控制最小特權(quán)管理可信通路平安審計(jì)精選pptA.硬件平安機(jī)制計(jì)算機(jī)硬件平安的目標(biāo)是，保證其自身的可靠性和為系統(tǒng)提供根本平安機(jī)制。根本平安機(jī)制包括：存儲(chǔ)保護(hù)存儲(chǔ)保護(hù)是操作系統(tǒng)中最根本的平安要求，要求存儲(chǔ)器中的數(shù)據(jù)被合法地訪問。保護(hù)單元是最小的數(shù)據(jù)范圍，保護(hù)單元越小，保護(hù)精度越高。系統(tǒng)存儲(chǔ)區(qū)域分為用戶空間和系統(tǒng)空間，用戶模式下運(yùn)行的非特權(quán)程序應(yīng)禁止訪問系統(tǒng)空間，而內(nèi)核模式下運(yùn)行的程序應(yīng)可以訪問任何空間。應(yīng)該防止用戶程序訪問操作系統(tǒng)內(nèi)核的存儲(chǔ)區(qū)域以及進(jìn)程間非法訪問對(duì)方的存儲(chǔ)區(qū)域。精選ppt運(yùn)行保護(hù)進(jìn)程運(yùn)行的區(qū)域稱為運(yùn)行域。一般操作系統(tǒng)都會(huì)包含硬件層、內(nèi)核層、應(yīng)用層、用戶層等假設(shè)干層次，這種分層的目的是為了隔離運(yùn)行域。運(yùn)行域可以看成一系列同心圓，內(nèi)層權(quán)限最高外層權(quán)限最低，形成等級(jí)域。等級(jí)域規(guī)定每個(gè)進(jìn)程都在規(guī)定的層上運(yùn)行，層號(hào)越低，保護(hù)越多。I/O保護(hù)為保證平安，I/O應(yīng)是只有操作系統(tǒng)才能完成的特權(quán)操作。對(duì)于一般I/O設(shè)備，操作系統(tǒng)都會(huì)提供該設(shè)備的系統(tǒng)調(diào)用；對(duì)網(wǎng)絡(luò)訪問，也提供標(biāo)準(zhǔn)訪問接口，而不需用戶控制操作細(xì)節(jié)。I/O設(shè)備應(yīng)被看成一個(gè)客體，對(duì)其所有的訪問都需經(jīng)過相應(yīng)的訪問控制機(jī)制。精選pptB.標(biāo)識(shí)與鑒別標(biāo)識(shí)與鑒別是涉及系統(tǒng)和用戶的一個(gè)過程。標(biāo)識(shí)就是系統(tǒng)要標(biāo)識(shí)用戶的身份，每個(gè)用戶有一個(gè)系統(tǒng)可以識(shí)別的用戶標(biāo)識(shí)符。用戶標(biāo)識(shí)符必須是惟一的且不能被偽造。將用戶標(biāo)識(shí)符與用戶聯(lián)系的過程稱為鑒別，鑒別過程主要用以識(shí)別用戶的真實(shí)身份。鑒別操作總是要求用戶具有能夠證明他的身份的特殊信息，并且這個(gè)信息是秘密的，任何其他用戶都不能擁有它。精選pptC.訪問控制訪問控制用來決定用戶是否有權(quán)訪問一些特定客體的一種訪問約束機(jī)制。在平安操作系統(tǒng)領(lǐng)域中，訪問控制一般都涉及：自主訪問控制

〔DiscretionaryAccessControl，DAC〕強(qiáng)制訪問控制

〔MandatoryAccessControl，MAC〕精選pptC1.自主訪問控制自主訪問控制是最常用的一類訪問控制機(jī)制，在自主訪問控制機(jī)制下，文件的擁有者可以按照自己的意愿精確指定系統(tǒng)中的其他用戶對(duì)其文件的訪問權(quán)。使用自主訪問控制機(jī)制，一個(gè)用戶可以自主地說明他所擁有的資源允許系統(tǒng)中哪些用戶以何種權(quán)限進(jìn)行共享。從這種意義上講，是“自主〞的。另外自主也指對(duì)其他具有授予某種訪問權(quán)力的用戶能夠自主地〔可能是間接的〕將訪問權(quán)或訪問權(quán)的某個(gè)子集授予另外的用戶。精選pptC2.強(qiáng)制訪問控制在強(qiáng)制訪問控制機(jī)制下，系統(tǒng)中的每個(gè)客體都被賦予了相應(yīng)的平安屬性，這些平安屬性是不能改變的，它由管理部門〔如平安管理員〕或由操作系統(tǒng)自動(dòng)地按照嚴(yán)格的規(guī)那么來設(shè)置，不像訪問控制表那樣由用戶或他們的程序直接或間接地修改。在強(qiáng)制訪問控制機(jī)制下，當(dāng)一主體訪問一個(gè)客體時(shí)，需要比較主體的平安屬性和客體的平安屬性，從而確定是否允許進(jìn)程對(duì)客體的訪問。精選ppt主體不能改變自身的或任何客體的平安屬性，包括不能改變屬于主體的客體的平安屬性，而且也不能通過授予其他用戶客體存取權(quán)限簡(jiǎn)單地實(shí)現(xiàn)客體共享。如果系統(tǒng)判定擁有某一平安屬性的主體不能訪問某個(gè)客體，那么任何人〔包括客體的擁有者〕也不能使它訪問該客體。精選ppt強(qiáng)制訪問控制和自主訪問控制強(qiáng)制訪問控制和自主訪問控制是兩種不同類型的訪問控制機(jī)制，它們常結(jié)合起來使用。僅當(dāng)主體能夠同時(shí)通過自主訪問控制和強(qiáng)制訪問控制檢查時(shí)，它才能訪問一個(gè)客體。用戶使用自主訪問控制防止其他用戶非法入侵自己的文件，強(qiáng)制訪問控制那么作為更強(qiáng)有力的平安保護(hù)方式，使用戶不能通過意外事件和有意識(shí)的誤操作逃避平安控制。強(qiáng)制訪問控制用于將系統(tǒng)中的信息分密級(jí)和類進(jìn)行管理，適用于政府部門、軍事和金融等領(lǐng)域。精選pptD.最小特權(quán)管理在現(xiàn)有多用戶操作系統(tǒng)中，超級(jí)用戶具有所有特權(quán)，普通用戶不具有任何特權(quán)。一個(gè)進(jìn)程要么具有所有特權(quán)，要么不具有任何特權(quán)。這種特權(quán)管理方式不利于系統(tǒng)的平安性。一旦超級(jí)用戶的口令喪失或被冒充或誤操作，將會(huì)對(duì)系統(tǒng)造成極大的損失。因此必須實(shí)行最小特權(quán)管理機(jī)制。最小特權(quán)管理的思想是系統(tǒng)不應(yīng)給用戶超過執(zhí)行任務(wù)所需特權(quán)以外的特權(quán)。如將超級(jí)用戶的特權(quán)劃分為一組細(xì)粒度的特權(quán)，分別授予不同的系統(tǒng)操作員/管理員，使各種系統(tǒng)操作員/管理員只具有完成其任務(wù)所需的特權(quán)，從而減少由于特權(quán)用戶口令喪失或誤操作所引起的損失。精選ppt把傳統(tǒng)的超級(jí)用戶劃分為平安管理員、系統(tǒng)管理員、系統(tǒng)操作員三種特權(quán)用戶。平安管理員行使諸如設(shè)定平安等級(jí)、管理審計(jì)信息等系統(tǒng)平安維護(hù)職能；系統(tǒng)管理員行使諸如創(chuàng)立和刪除用戶帳戶、處理記帳信息等系統(tǒng)管理職能。系統(tǒng)操作員行使諸如磁盤數(shù)據(jù)備份、啟動(dòng)和關(guān)閉系統(tǒng)等系統(tǒng)日常維護(hù)職能；傳統(tǒng)的超級(jí)用戶不復(fù)存在，任何一個(gè)用戶都不能獲取足夠的權(quán)力破壞系統(tǒng)的平安策略。精選pptE.可信通路終端用戶直接同可信計(jì)算基進(jìn)行通信的一種機(jī)制。只能由有關(guān)人員或可信計(jì)算基啟動(dòng)，且不能被不可信軟件模仿。主要應(yīng)用于用戶登錄或注冊(cè)時(shí)，保證用戶確實(shí)和平安內(nèi)核通信，防止不可信進(jìn)程如木馬等模擬系統(tǒng)的登錄過程而竊取口令。精選pptF.平安審計(jì)一個(gè)系統(tǒng)的平安審計(jì)就是對(duì)系統(tǒng)中有關(guān)平安的活動(dòng)進(jìn)行記錄、檢查及審核。目的是檢測(cè)和阻止非法用戶對(duì)計(jì)算機(jī)系統(tǒng)的入侵，并顯示合法用戶的誤操作。審計(jì)作為一種事后追查的手段來保證系統(tǒng)的平安，它對(duì)涉及系統(tǒng)平安的操作做一個(gè)完整的記錄。審計(jì)為系統(tǒng)進(jìn)行事故原因的查詢、定位，事故發(fā)生前的預(yù)測(cè)、報(bào)警以及事故發(fā)生之后的實(shí)時(shí)處理提供詳細(xì)、可靠的依據(jù)和支持，以備有違反系統(tǒng)平安規(guī)那么的事件發(fā)生后能夠有效地追查事件發(fā)生的地點(diǎn)和過程以及責(zé)任人。精選ppt平安配置方案初級(jí)篇平安配置方案初級(jí)篇主要介紹常規(guī)的操作系統(tǒng)平安配置，包括十二條根本配置原那么：物理平安、停止Guest帳號(hào)、限制用戶數(shù)量創(chuàng)立多個(gè)管理員帳號(hào)、管理員帳號(hào)改名陷阱帳號(hào)、更改默認(rèn)權(quán)限、設(shè)置平安密碼屏幕保護(hù)密碼、使用NTFS分區(qū)運(yùn)行防毒軟件和確保備份盤平安。精選ppt1、物理平安效勞器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器要保存15天以上的攝像記錄。機(jī)箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進(jìn)入房間也無法使用電腦，鑰匙要放在平安的地方。精選ppt2、停止Guest帳號(hào)在計(jì)算機(jī)管理的用戶里面把Guest帳號(hào)停用，任何時(shí)候都不允許Guest帳號(hào)登陸系統(tǒng)。為了保險(xiǎn)起見，最好給Guest加一個(gè)復(fù)雜的密碼，包含特殊字符,數(shù)字，字母的長(zhǎng)字符串。修改Guest帳號(hào)的屬性，設(shè)置拒絕遠(yuǎn)程訪問，如下圖。精選ppt3限制用戶數(shù)量去掉所有的測(cè)試帳戶、共享帳號(hào)和普通部門帳號(hào)等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不使用的帳戶。帳戶很多是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大。如果系統(tǒng)帳戶超過10個(gè)，一般能找出一兩個(gè)弱口令帳戶，所以帳戶數(shù)量不要大于10個(gè)。精選ppt4多個(gè)管理員帳號(hào)這點(diǎn)事實(shí)上是服從上面規(guī)那么的(最小特權(quán)管理的思想)。如：創(chuàng)立一個(gè)一般用戶權(quán)限帳號(hào)用來處理電子郵件以及處理一些日常事物，另一個(gè)擁有Administrator權(quán)限的帳戶只在需要的時(shí)候使用。盡量減少Administrator登錄的次數(shù)和時(shí)間。精選ppt5管理員帳號(hào)改名把Administrator帳戶改名可以有效的防止密碼猜測(cè)。盡量把它偽裝成普通用戶，比方改成：guestone。具體操作的時(shí)候只要選中帳戶名改名就可以了。精選ppt6陷阱帳號(hào)所謂的陷阱帳號(hào)是創(chuàng)立一個(gè)名為“Administrator〞的本地帳戶，把它的權(quán)限設(shè)置成最低，并且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼。這樣可以讓那些企圖入侵者忙上一段時(shí)間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖。精選ppt7更改默認(rèn)權(quán)限任何時(shí)候不要把共享文件的用戶設(shè)置成“Everyone〞組。包括打印共享，默認(rèn)的屬性就是“Everyone〞組的。精選ppt8平安密碼好的密碼對(duì)于一個(gè)網(wǎng)絡(luò)是非常重要的，密碼長(zhǎng)度決定其平安性，還要注意經(jīng)常更改密碼。平安密碼的定義：平安期內(nèi)無法破解出來的密碼，也就是說，如果得到了密碼文檔，必須花43天或者更長(zhǎng)的時(shí)間才能破解出來，密碼策略是42天必須改密碼。精選ppt9屏幕保護(hù)密碼設(shè)置屏幕保護(hù)密碼是防止內(nèi)部人員破壞效勞器的一個(gè)屏障。注意不要使用一些復(fù)雜的屏幕保護(hù)程序，浪費(fèi)系統(tǒng)資源，黑屏就可以了。所有系統(tǒng)用戶所使用的機(jī)器也最好加上屏幕保護(hù)密碼。將等待時(shí)間設(shè)置為最短時(shí)間“1秒〞。精選ppt10NTFS分區(qū)把效勞器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)平安得多。精選ppt11防毒軟件Windows2000/NT效勞器一般都沒有安裝防毒軟件的，一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。設(shè)置了放毒軟件，“黑客〞們使用的那些有名的木馬就毫無用武之地了，并且要經(jīng)常升級(jí)病毒庫。精選ppt12備份盤的平安一旦系統(tǒng)資料被黑客破壞，備份盤將是恢復(fù)資料的唯一途徑。備份完資料后，把備份盤防在平安的地方。不能把資料備份在同一臺(tái)效勞器上，這樣的話還不如不要備份。精選ppt平安配置方案中級(jí)篇平安配置方案中級(jí)篇主要介紹操作系統(tǒng)的平安策略配置，包括十條根本配置原那么：操作系統(tǒng)平安策略、關(guān)閉不必要的效勞關(guān)閉不必要的端口、開啟審核策略開啟密碼策略、開啟帳戶策略、備份敏感文件不顯示上次登陸名、禁止建立空連接和下載最新的補(bǔ)丁精選ppt1操作系統(tǒng)平安策略利用Windows2000的平安配置工具來配置平安策略，微軟提供了一套的基于管理控制臺(tái)的平安配置和分析工具，可以配置效勞器的平安策略。在管理工具中可以找到“本地平安策略〞，可以配置四類平安策略：帳戶策略、本地策略、公鑰策略和IP平安策略。在默認(rèn)的情況下，這些策略都是沒有開啟的。精選ppt2關(guān)閉不必要的效勞Windows2000的TerminalServices〔終端效勞〕和IIS〔Internet信息效勞〕等都可能給系統(tǒng)帶來平安漏洞。為了能夠在遠(yuǎn)程方便的管理效勞器，很多機(jī)器的終端效勞都是開著的，如果開了，要確認(rèn)已經(jīng)正確的配置了終端效勞。要留意效勞器上開啟的所有效勞并每天檢查。Windows2000作為效勞器可禁用的效勞及其相關(guān)說明如表所示。精選pptWindows2000可禁用的效勞服務(wù)名說明ComputerBrowser維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表Taskscheduler允許程序在指定時(shí)間運(yùn)行RoutingandRemoteAccess在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)Removablestorage管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫RemoteRegistryService允許遠(yuǎn)程注冊(cè)表操作PrintSpooler將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的用戶不能禁用這項(xiàng)服務(wù)IPSECPolicyAgent管理IP安全策略以及啟動(dòng)ISAKMP/Oakley(IKE)和IP安全驅(qū)動(dòng)程序DistributedLinkTrackingClient當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動(dòng)時(shí)發(fā)送通知Com+EventSystem提供事件的自動(dòng)發(fā)布到訂閱COM組件精選ppt3關(guān)閉不必要的端口關(guān)閉端口意味著減少功能，用端口掃描器掃描系統(tǒng)所開放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和效勞的對(duì)照表可供參考。精選ppt設(shè)置本機(jī)開放的端口和效勞，在IP地址設(shè)置窗口中點(diǎn)擊按鈕“高級(jí)〞。精選ppt在出現(xiàn)的對(duì)話框中選擇選項(xiàng)卡“選項(xiàng)〞，選中“TCP/IP篩選〞，點(diǎn)擊按鈕“屬性〞。精選pptTCP/IP篩選器是Windows自帶的防火墻，可以替代防火墻的局部功能。如：一臺(tái)Web效勞器只允許TCP的80端口通過就可以了。精選ppt4開啟審核策略平安審核是Windows2000最根本的入侵檢測(cè)方法。當(dāng)有人嘗試對(duì)系統(tǒng)進(jìn)行某種方式入侵的時(shí)候，都會(huì)被平安審核記錄下來。平安審核需要經(jīng)常觀察。下表的這些審核是必須開啟的，其他的可以根據(jù)需要增加。策略設(shè)置審核系統(tǒng)登陸事件成功，失敗審核帳戶管理成功，失敗審核登陸事件成功，失敗審核對(duì)象訪問成功審核策略更改成功，失敗審核特權(quán)使用成功，失敗審核系統(tǒng)事件成功，失敗精選ppt審核策略默認(rèn)設(shè)置審核策略在默認(rèn)的情況下都是沒有開啟的，如下圖。精選ppt雙擊審核列表的某一項(xiàng)，出現(xiàn)設(shè)置對(duì)話框，將復(fù)選框“成功〞和“失敗〞都選中。精選ppt5開啟密碼策略密碼對(duì)系統(tǒng)平安非常重要。本地平安設(shè)置中的密碼策略在默認(rèn)的情況下都沒有開啟。需要開啟的密碼策略如表所示：策略設(shè)置密碼復(fù)雜性要求啟用密碼長(zhǎng)度最小值6位密碼最長(zhǎng)存留期15天強(qiáng)制密碼歷史5個(gè)精選ppt設(shè)置選項(xiàng)。精選ppt6開啟帳戶策略開啟帳戶策略可以有效的防止字典式攻擊，設(shè)置如表所示。策略設(shè)置復(fù)位帳戶鎖定計(jì)數(shù)器30分鐘帳戶鎖定時(shí)間30分鐘帳戶鎖定閾值5次精選ppt帳戶策略設(shè)置賬戶鎖定閾值：指用戶輸入幾次錯(cuò)誤的密碼后，其賬戶將被鎖定。設(shè)置范圍0~999之間，默認(rèn)值為0，表示不鎖定賬戶。賬戶鎖定時(shí)間：指當(dāng)用戶賬戶被鎖定后，經(jīng)過多少分鐘后將被自動(dòng)解鎖。設(shè)置范圍：0~99999，0表示必須由管理員手動(dòng)解鎖。復(fù)位賬戶鎖定計(jì)數(shù)器：指用戶由于輸入密碼錯(cuò)誤開始計(jì)時(shí)，計(jì)數(shù)器保持的時(shí)間，當(dāng)時(shí)間過后，計(jì)數(shù)器將被復(fù)位為0。有效范圍為1到99,999分鐘之間。如果定義了帳戶鎖定閾值，那么該復(fù)位時(shí)間必須小于或等于帳戶鎖定時(shí)間。默認(rèn)值：無，因?yàn)橹挥挟?dāng)指定了“帳戶鎖定閾值〞時(shí)，該策略設(shè)置才有意義。精選ppt設(shè)置帳戶策略設(shè)置的結(jié)果如下圖。精選ppt7備份敏感文件把敏感文件存放在另外的文件效勞器中，雖然效勞器的硬盤容量都很大，但是還是應(yīng)該考慮把一些重要的用戶數(shù)據(jù)〔文件，數(shù)據(jù)表和工程文件等〕存放在另外一個(gè)平安的效勞器中，并且經(jīng)常備份。精選ppt8不顯示上次登錄名默認(rèn)情況下，本地的登陸或終端效勞接入效勞器時(shí)，登陸對(duì)話框中會(huì)顯示上次登陸的帳戶名。黑客們可以得到系統(tǒng)的一些用戶名，進(jìn)而做密碼猜測(cè)。修改注冊(cè)表禁止顯示上次登錄名，在HKEY_LOCAL_MACHINE主鍵下修改子鍵：Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，將鍵值改成1，如下圖。精選ppt9禁止建立空連接默認(rèn)情況下，任何用戶通過空連接連上效勞器，進(jìn)而可以枚舉出管理員帳號(hào)，猜測(cè)密碼?？梢酝ㄟ^修改注冊(cè)表來禁止建立空連接。在HKEY_LOCAL_MACHINE主鍵下修改子鍵：System\CurrentControlSet\Control\LSA\RestrictAnonymous，將鍵值改成“1〞即可。精選ppt10下載最新的補(bǔ)丁很多網(wǎng)絡(luò)管理員沒有訪問平安站點(diǎn)的習(xí)慣，以至于一些漏洞都出了很久了，還放著效勞器的漏洞不補(bǔ)給人家當(dāng)靶子用。誰也不敢保證數(shù)百萬行以上代碼的Windows2000不出一點(diǎn)平安漏洞。經(jīng)常訪問微軟和一些平安站點(diǎn)，下載最新的ServicePack和漏洞補(bǔ)丁，是保障效勞器長(zhǎng)久平安的唯一方法。精選ppt平安配置方案高級(jí)篇高級(jí)篇介紹操作系統(tǒng)平安信息通信配置，包括十四條配置原那么：關(guān)閉DirectDraw、關(guān)閉默認(rèn)共享禁用DumpFile、文件加密系統(tǒng)加密Temp文件夾、鎖住注冊(cè)表、關(guān)機(jī)時(shí)去除文件禁止軟盤光盤啟動(dòng)、使用智能卡、使用IPSec禁止判斷主機(jī)類型、抵抗DDOS禁止Guest訪問日志和數(shù)據(jù)恢復(fù)軟件精選ppt1關(guān)閉DirectDrawC2級(jí)平安標(biāo)準(zhǔn)對(duì)視頻卡和內(nèi)存有要求。關(guān)閉DirectDraw可能對(duì)一些需要用到DirectX的程序有影響〔比方游戲〕，但是對(duì)于絕大多數(shù)的商業(yè)站點(diǎn)都是沒有影響的。在HKEY_LOCAL_MACHINE主鍵下修改子鍵：SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，將鍵值改為“0〞即可。精選ppt2關(guān)閉默認(rèn)共享Windows2000安裝以后，系統(tǒng)會(huì)創(chuàng)立一些隱藏的共享，可以在DOS提示符下輸入命令NetShare查看，如下圖。精選ppt禁止這些共享，翻開管理工具>計(jì)算機(jī)管理>共享文件夾>共享，在相應(yīng)的共享文件夾上按右鍵，點(diǎn)停止共享即可，如下圖。精選ppt3禁用Dump文件在系統(tǒng)崩潰和藍(lán)屏的時(shí)候，Dump文件是一份很有用資料，可以幫助查找問題。然而，也能夠給黑客提供一些敏感信息，比方一些應(yīng)用程序的密碼等。需要禁止它，翻開控制面板>系統(tǒng)屬性>高級(jí)>啟動(dòng)和故障恢復(fù)，把寫入調(diào)試信息改成無，如下圖。精選ppt4文件加密系統(tǒng)Windows2000強(qiáng)大的加密系統(tǒng)能夠給磁盤，文件夾，文件加上一層平安保護(hù)。這樣可以防止別人把硬盤掛到別的機(jī)器上以讀出里面的數(shù)據(jù)。微軟公司為了彌補(bǔ)WindowsNT4.0的缺乏，在Windows2000中，提供了一種基于新一代NTFS：NTFSV5〔第5版本〕的加密文件系統(tǒng)〔EncryptedFileSystem，簡(jiǎn)稱EFS〕。精選ppt5加密Temp文件夾一些應(yīng)用程序在安裝和升級(jí)的時(shí)候，會(huì)把一些東西拷貝到Temp文件夾，但是當(dāng)程序升級(jí)完畢或關(guān)閉的時(shí)候，并不會(huì)自己去除Temp文件夾的內(nèi)容。給Temp〔c:\windows〕文件夾加密可以給你的文件多一層保護(hù)。精選ppt6鎖住注冊(cè)表在Windows2000中，當(dāng)效勞器放到網(wǎng)絡(luò)上的時(shí)候，為防止黑客在遠(yuǎn)程訪問注冊(cè)表，一般需要鎖定注冊(cè)表。修改Hkey_current_user下的子鍵Software\microsoft\windows\currentversion\Policies\system把DisableRegistryTools的值改為0，類型為DWORD。精選ppt7關(guān)機(jī)時(shí)去除文件頁面文件也就是操作系統(tǒng)用來構(gòu)建虛擬內(nèi)存的硬盤空間，是Windows2000用來存儲(chǔ)沒有裝入內(nèi)存的程序和數(shù)據(jù)文件局部的隱藏文件。頁面文件中可能含有另外一些敏感的資料。要在關(guān)機(jī)的時(shí)候去除頁面文件，可以編輯注冊(cè)表修改主鍵HKEY_LOCAL_MACHINE下的子鍵：SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPageFileAtShutdown的值設(shè)置成1。精選ppt8禁止軟盤光盤啟動(dòng)一些第三方的工具能通過引導(dǎo)系統(tǒng)來繞過原有的平安機(jī)制。比方一些管理員工具，從軟盤上或者光盤上引導(dǎo)系統(tǒng)以后，就可以修改硬盤上操作系統(tǒng)的管理員密碼。如果效勞器對(duì)平安要求非常高，可以考慮使用可移動(dòng)軟盤和光驅(qū)，把機(jī)箱鎖起來仍然不失為一個(gè)好方法。精選ppt9使用智能卡對(duì)于密碼，總是使平安管理員進(jìn)退兩難，容易受到一些工具的攻擊，如果密碼太復(fù)雜，用戶把為了記住密碼，會(huì)把密碼到處亂寫。如果條件允許，用智能卡來代替復(fù)雜的密碼是一個(gè)很好的解決方法。精選ppt10使用IPSecIPSec提供IP數(shù)據(jù)包的平安性。IPSec提供身份驗(yàn)證、完整性和可選擇的機(jī)密性。發(fā)送方計(jì)算機(jī)在傳輸之前加密數(shù)據(jù)，而接收方計(jì)算機(jī)在收到數(shù)據(jù)之后解密數(shù)據(jù)。利用IPSec可以使得系統(tǒng)的平安性能大大增強(qiáng)。精選ppt11禁止判斷主機(jī)類型黑客利用TTL〔Time-To-Live，活動(dòng)時(shí)間〕值可以鑒別操作系統(tǒng)的類型，通過Ping指令能判斷目標(biāo)主機(jī)類型。Ping的用處是檢測(cè)目標(biāo)主機(jī)是否連通。許多入侵者首先會(huì)Ping一下主機(jī)，因?yàn)楣裟骋慌_(tái)計(jì)算機(jī)需要根據(jù)對(duì)方的操作系統(tǒng)，是Windows還是Unix。如過TTL值為128就可以認(rèn)為你的系統(tǒng)為Windows2000，如下圖。精選ppt從圖中可以看出，TTL值為128，說明改主機(jī)的操作系統(tǒng)是Windows2000操作系統(tǒng)。下表給出了一些常見操作系統(tǒng)的對(duì)照值。操作系統(tǒng)類型TTL返回值Windows2000128WindowsNT107win9x128or127solaris252IRIX240AIX247Linux241or240精選ppt修改TTL的值，入侵者就無法入侵電腦了。修改主鍵HKEY_LOCAL_MACHINE的子鍵：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS新建一個(gè)雙字節(jié)項(xiàng)，如下圖。精選ppt在鍵的名稱中輸入“defaultTTL〞，然后雙擊改鍵名，選擇單項(xiàng)選擇框“十進(jìn)制〞，在文本框中輸入其他數(shù)值，如下圖。精選ppt設(shè)置完畢重新啟動(dòng)計(jì)算機(jī)，再用Ping指令，發(fā)現(xiàn)TTL的值已經(jīng)被改了。精選ppt12抵抗DDOS添加注冊(cè)表的一些鍵值，可以有效的抵抗DDOS的攻擊。在鍵值[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加響應(yīng)的鍵及其說明如表所示。增加的鍵值鍵值說明"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000000"KeepAliveTime"=dword:00000000"PerformRouterDiscovery"=dword:00000000基本設(shè)置"EnableICMPRedirects"=dword:00000000防止ICMP重定向報(bào)文的攻擊"SynAttackProtect"=dword:00000002防止SYN洪水攻擊"TcpMaxHalfOpenRetried"=dword:00000080僅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried設(shè)置超出范圍時(shí),保護(hù)機(jī)制才會(huì)采取措施"TcpMaxHalfOpen"=dword:00000100"IGMPL