電子商務(wù)安全

PAGE

PAGE

16

電子商務(wù)安全

上機(jī)實(shí)驗(yàn)指導(dǎo)書(shū)

實(shí)驗(yàn)名稱(chēng):電子商務(wù)安全實(shí)驗(yàn)_____

實(shí)驗(yàn)班級(jí):電商網(wǎng)011－014班_____

指導(dǎo)老師:高新亞_____

武漢理工大學(xué)經(jīng)濟(jì)學(xué)院電子商務(wù)系

2004年8月30日

實(shí)驗(yàn)一:Windows安全配置調(diào)整(上)

1、實(shí)驗(yàn)?zāi)康模毫私鈝indows的安全配置

2、實(shí)驗(yàn)內(nèi)容（根據(jù)實(shí)驗(yàn)?zāi)康膶?shí)驗(yàn)要求細(xì)化）：

使用Windows的人非常多，而Windows系統(tǒng)的安全問(wèn)題也越來(lái)越被人們關(guān)注。雖然Windows的漏洞眾多，安全隱患也很多，不過(guò)經(jīng)過(guò)適當(dāng)?shù)脑O(shè)置和調(diào)整，你還是可以用上相對(duì)安全的Windows的。

針對(duì)一些常見(jiàn)的安全問(wèn)題給出一些解決方法，其中大部分的操作都是針對(duì)Windows2000/XP的，不保證在Windows98/Me上可行。

準(zhǔn)備活動(dòng)：

給系統(tǒng)安裝補(bǔ)丁程序的重要性是不言而喻的，尤其是一些重要的安全補(bǔ)丁和針對(duì)IE，OE漏洞的補(bǔ)?。词鼓悴⒉淮蛩闶褂盟鼈儯?。微軟會(huì)經(jīng)常的發(fā)布一些已知漏洞的修補(bǔ)程序，這些東西一般都可以通過(guò)WindowsUpdate來(lái)安裝。需要做的只是經(jīng)常性的訪問(wèn)WindowsUpdate網(wǎng)站。或者直接點(diǎn)擊開(kāi)始菜單中WindowsUpdate的快捷方式。而WindowsXP和最新的Windows2000更加進(jìn)步了，可以自動(dòng)檢查更新，在后臺(tái)下載，完成后通知你下載完成并詢(xún)問(wèn)是否開(kāi)始安裝。對(duì)于Windows2000/XP的用戶，微軟還提供了一個(gè)檢查安全性的實(shí)用工具：基準(zhǔn)安全分析器（MicrosoftBaselineSecurityAnalyzer），這個(gè)程序可以自動(dòng)對(duì)你的系統(tǒng)進(jìn)行安全性檢測(cè)，并且對(duì)于出現(xiàn)的問(wèn)題，都可以提供一個(gè)完整的解決方案。非常適合對(duì)于安全性要求高的用戶使用。

在你安裝了所有的補(bǔ)丁程序后，下面開(kāi)始調(diào)整設(shè)置。

1．重命名和禁用默認(rèn)的帳戶

安裝好Windows后，系統(tǒng)會(huì)自動(dòng)建立兩個(gè)賬戶：Administrator和Guest，其中Administrator擁有最高的權(quán)限，Guest則只有基本的權(quán)限并且默認(rèn)是禁用的。而這種默認(rèn)的帳戶在給你帶來(lái)方便的同時(shí)也嚴(yán)重危害到了你的系統(tǒng)安全。如果有黑客入侵或者其他什么問(wèn)題，他將輕易的得知你的超級(jí)用戶的名稱(chēng)，剩下的就是尋找密碼了。因此，安全的做法是把Administrator賬戶的名稱(chēng)改掉，然后再建立一個(gè)幾乎沒(méi)有任何權(quán)限的假Administrator賬戶。具體的方法是：

在運(yùn)行中輸入secpol.msc然后回車(chē)，打開(kāi)“LocalSecuritySettings（本地安全設(shè)置）”對(duì)話框，依次展開(kāi)LocalPolicies（本地策略）－SecurityOptions（安全選項(xiàng)），在右側(cè)窗口有一個(gè)“Accounts:Renameadministrator(guest)account（賬戶：重命名Administrator/Guest賬戶）”的策略，雙擊打開(kāi)后可以給Administrator重新設(shè)置一個(gè)不是很引人注目的用戶名。然后還可以再新建一個(gè)名稱(chēng)為Administrator的受限制用戶，以迷惑闖入者。

2．安全選項(xiàng)的設(shè)置

同樣是在LocalSecuritySettings中，展開(kāi)LocalPolicies－SecurityOptions，這里還有很多其它的設(shè)置，經(jīng)過(guò)合理的配置，可以使你的系統(tǒng)更加安全。

一下列舉的選項(xiàng)最好全部禁止：

Interactivelogon:DonotrequireCTRL+ALT+DEL，交互式登錄：不需要按Ctrl＋Alt＋Del。

Networkaccess:AllowanonymousSID/nametranslation，網(wǎng)絡(luò)訪問(wèn)：允許匿名SID/名稱(chēng)轉(zhuǎn)換。

Networkaccess:LetEveryonepermissionsapplytoanonymoususers，網(wǎng)絡(luò)訪問(wèn)：讓Everyone權(quán)限應(yīng)用到匿名用戶。

Recoveryconsole:Allowautomaticadministrativelogon，故障恢復(fù)控制臺(tái)：允許自動(dòng)系統(tǒng)管理級(jí)登錄。

而以下的選項(xiàng)最好啟用：

Devices:RestrictCD-ROMaccesstolocallylogged-onuseronly,設(shè)備：只有本地登錄的用戶才能訪問(wèn)CD－ROM。

Devices:Restrictfloppyaccesstolocallylogged-onuseronly，設(shè)備：只有本地登錄的用戶才能訪問(wèn)軟驅(qū)。

Interactivelogon:Donotdisplaylastusername，交互式登錄：不顯示上一次使用的用戶名。

Networkaccess:DonotallowanonymousenumerationofSAMaccounts，網(wǎng)絡(luò)訪問(wèn)：不允許匿名SAM帳戶的匿名枚舉。

Networkaccess:DonotallowanonymousenumerationofSAMaccounts&shares，網(wǎng)絡(luò)訪問(wèn)：不允許SAM賬戶和共享的匿名枚舉。

Networksecurity:DonotstoreLANManagerhashvalueonnextpasswordchange，網(wǎng)絡(luò)安全：不要在下次更改密碼時(shí)存儲(chǔ)LANManager的Hash值。

Systemobjects:Strengthendefaultpermissionsofinternalsystemobjects(e.g.,SymbolicLinks)，系統(tǒng)對(duì)象：增強(qiáng)內(nèi)部系統(tǒng)對(duì)象的默認(rèn)權(quán)限（例如SymbolicLinks）。

3．可靠的密碼

盡管絕對(duì)安全的密碼是不存在的，但是相對(duì)安全的密碼還是可以實(shí)現(xiàn)的。這個(gè)還是需要運(yùn)行secpol.msc來(lái)配置LocalSecuritySettings。展開(kāi)到AccountPolicies－PasswordPolicy，經(jīng)過(guò)這里的配置，你就可以建立一個(gè)完備密碼策略，并且你的密碼也可以得到最大限度的保護(hù)。

Enforcepasswordhistory(強(qiáng)制密碼歷史)。這個(gè)設(shè)置決定了保存用戶曾經(jīng)用過(guò)的密碼的個(gè)數(shù)。很多人知道要經(jīng)常性的更換自己的密碼，可是換來(lái)?yè)Q去就是有限的幾個(gè)在輪換，配置這個(gè)策略就可以知道用戶更換的密碼是否是以前曾經(jīng)使用過(guò)的。如果再配合Maximumpasswordage這個(gè)策略，就能保證密碼安全了。默認(rèn)情況下，這個(gè)策略不保存用戶的密碼，你可以自己設(shè)置，建議保存5個(gè)以上，而最多可以保存24個(gè)。

Maximumpasswordage（密碼最長(zhǎng)存留期）。這個(gè)策略決定了一個(gè)密碼可以使用多久，之后就會(huì)過(guò)期，并要求用戶更換密碼。如果設(shè)置為0，則密碼永不過(guò)期。一般情況下設(shè)置為30到60天左右就可以了，具體的過(guò)期時(shí)間要看你的系統(tǒng)對(duì)安全的要求有多嚴(yán)格。而最長(zhǎng)可以設(shè)置999天。

Minimumpasswordage（密碼最短存留期）。這個(gè)策略決定了一個(gè)密碼要在使用了多久之后才能再次被使用。跟上面講到的Enforcepasswordhistory結(jié)合起來(lái)就可以得知新的密碼是否是以前使用過(guò)的，如果是，則不能繼續(xù)使用這個(gè)密碼。如果設(shè)置為0則表示一個(gè)密碼可以被無(wú)限制的重復(fù)使用，而最大值為999。

Minimumpasswordlength（密碼長(zhǎng)度最小值）。這個(gè)策略決定了一個(gè)密碼的長(zhǎng)度，有效值在0到14之間。如果設(shè)置為0，則表示不需要密碼。建議的密碼長(zhǎng)度不能小于6位。

Passwordmustmeetcomplexityrequirements（密碼必須符合復(fù)雜性要求）。如果啟用了這個(gè)策略，則在設(shè)置和更改一個(gè)密碼的時(shí)候，系統(tǒng)將會(huì)按照下面的規(guī)則檢查密碼是否有效：

密碼不能包含全部或者部分的用戶名。

最少包括6個(gè)字符。

并且在字符的使用上還要遵循以下的規(guī)則，密碼必須是：

英文字母，A－Z，大小寫(xiě)敏感。

基本的10個(gè)數(shù)字，0－9。

不能包含特殊字符，例如!,$,#,%等等。

如果啟用了這個(gè)策略，相信你的密碼就會(huì)比較安全了。

Storepasswordusingreversibleencryptionforallusersinthedomain（為域中的所有用戶使用可還原的加密來(lái)存儲(chǔ)密碼）。很明顯，這個(gè)策略最好不要啟用。

3、預(yù)習(xí)要求及參考書(shū)目（參考書(shū)目最好有章節(jié)要求）：

《電子商務(wù)安全與保密》，祁明主編，高等教育出版社，2001年7月第1版

第1，2，3章。

4、實(shí)驗(yàn)步驟（具體操作流程）：

上機(jī)，打開(kāi)windows2000或windowsXP，打開(kāi)管理工具或控制面板，進(jìn)行設(shè)置。

5、實(shí)驗(yàn)報(bào)告要求：

寫(xiě)下實(shí)驗(yàn)過(guò)程及結(jié)果，適當(dāng)總結(jié)實(shí)驗(yàn)經(jīng)驗(yàn)。

實(shí)驗(yàn)二:Windows安全配置調(diào)整(下)

1、實(shí)驗(yàn)?zāi)康模毫私夂驼莆誻indows和IE的安全設(shè)置

2、實(shí)驗(yàn)內(nèi)容（根據(jù)實(shí)驗(yàn)?zāi)康膶?shí)驗(yàn)要求細(xì)化）：

（接上一個(gè)實(shí)驗(yàn)內(nèi)容）

4．安全使用InternetExplorer

InternetExplorer是當(dāng)今最流行的瀏覽器軟件。因?yàn)槭褂玫娜硕?，因此IE被發(fā)現(xiàn)的安全性問(wèn)題也就最多。以下的敘述全部以IE6.0版為準(zhǔn)，如果你使用了較低的版本，有些細(xì)節(jié)方面可能會(huì)不一樣。

打開(kāi)InternetExplorer，依次點(diǎn)擊工具－Internet選項(xiàng)，然后打開(kāi)安全選項(xiàng)卡。

在安全選項(xiàng)卡中選擇“Internet”，就可以針對(duì)Internet區(qū)域的一些安全選項(xiàng)進(jìn)行設(shè)置。雖然有不同級(jí)別的默認(rèn)設(shè)置，不過(guò)我們最好根據(jù)自己的實(shí)際情況親自調(diào)整一下。點(diǎn)擊下方的CustomLevel（自定義級(jí)別）。會(huì)出現(xiàn)一個(gè)窗口，這里顯示了所有的IE安全設(shè)置。

DownloadsignedActiveXcontrols（下載已簽名的ActiveX控件）。經(jīng)過(guò)第三方的認(rèn)證機(jī)構(gòu)簽名證明該ActiveX控件是安全的，并且你可以設(shè)置為允許下載這種控件，除非你不想安裝任何ActiveX控件，或者你想自己從一些網(wǎng)站下載，例如WindowsUpdate，還有播放Flash的插件等。

DownloadunsignedActiveXcontrols(下載未簽名的ActiveX控件)。跟經(jīng)過(guò)簽名認(rèn)證的ActiveX控件相比，未經(jīng)簽名認(rèn)證的可能會(huì)包含潛在的安全隱患因此這個(gè)選項(xiàng)你最好不要設(shè)置為啟用，或禁用，或者設(shè)置為詢(xún)問(wèn)，這樣你可以根據(jù)正在訪問(wèn)的站點(diǎn)的性質(zhì)自己決定是否下載安裝未經(jīng)認(rèn)證的控件。

Initialize&scriptActiveXcontrolsnotmarkedassafe（對(duì)沒(méi)有標(biāo)記為安全的ActiveX控件進(jìn)行初始化和腳本運(yùn)行）。跟前面的設(shè)置類(lèi)似的，如果你之前都設(shè)置為禁用，那么這個(gè)選項(xiàng)同樣禁用就可以，否則可以設(shè)置為詢(xún)問(wèn)（建議的設(shè)置）或者允許（不建議）來(lái)禁止那些為經(jīng)簽名的控件運(yùn)行。

RunActiveXcontrols&plug-ins（運(yùn)行ActiveX控件和插件）。假設(shè)你已經(jīng)禁止了所有ActiveX控件和插件的運(yùn)行，那么這個(gè)選項(xiàng)就可以放心的設(shè)置為管理員認(rèn)可。這里不建議設(shè)置為允許。

ScriptActiveXcontrolsmarkedsafeforscripting(對(duì)標(biāo)記為可安全執(zhí)行腳本的ActiveX控件執(zhí)行腳本)。這個(gè)設(shè)置可以設(shè)置的跟前面的選項(xiàng)相同。

Activescripting（活動(dòng)腳本）?，F(xiàn)在各種的腳本程序非常流行，通過(guò)腳本程序可以建立很多實(shí)用的網(wǎng)頁(yè)，例如WindowsUpdate網(wǎng)頁(yè)，就是通過(guò)腳本程序來(lái)判斷你需要下載的補(bǔ)丁的。因此如果禁用掉腳本程序，一些網(wǎng)頁(yè)將不能正常瀏覽。這里建議你設(shè)置為禁用，至于少數(shù)重要的但是不能正常瀏覽的網(wǎng)頁(yè)，我們將在后面看到解決辦法。

Allowpasteoperationsviascript（允許通過(guò)腳本進(jìn)行粘貼操作）。這個(gè)選項(xiàng)允許網(wǎng)頁(yè)通過(guò)腳本把文件復(fù)制進(jìn)你的剪貼板，為了安全考慮最好禁用。

ScriptingofJavaapplets（JAVA小程序腳本）。JavaScript是一種公開(kāi)的，多平臺(tái)，面向?qū)ο蟮哪_本語(yǔ)言。很多網(wǎng)頁(yè)中都使用了JAVA腳本，但是安全起見(jiàn)最好禁用它。

如果以上的設(shè)置會(huì)影響到少數(shù)你必須要訪問(wèn)的站點(diǎn)（例如WindowsUpdate網(wǎng)站），但是安全起見(jiàn)你又不想把Internet區(qū)域的安全級(jí)別設(shè)置的太低，那么你可以把一些你信任的站點(diǎn)添加到Trustedsites（信任站點(diǎn)）中去。方法是：

在Internet選項(xiàng)的安全選項(xiàng)卡下，點(diǎn)擊Trustedsites（信任站點(diǎn)），然后點(diǎn)擊Sites（站點(diǎn)）按鈕，會(huì)出現(xiàn)圖四的窗口，在新窗口中輸入我們希望添加的網(wǎng)絡(luò)地址（例如）然后點(diǎn)擊右側(cè)的Add（添加），這樣就可以了。

現(xiàn)在，打開(kāi)Internet選項(xiàng)中的Content（內(nèi)容）選項(xiàng)卡，點(diǎn)擊AutoComplete（自動(dòng)完成），在這里也有一些東西需要調(diào)整。

對(duì)于所列出來(lái)的每一項(xiàng)，自動(dòng)完成功能都會(huì)保存特定的內(nèi)容，其中Webaddress（Web地址）會(huì)保存你在IE地址欄中輸入過(guò)的內(nèi)容；Forms（表單）會(huì)保存你在網(wǎng)頁(yè)中填寫(xiě)的資料，例如論壇上的發(fā)言（除用戶名和密碼），搜索引擎中使用過(guò)的關(guān)鍵字；Usernamesandpasswordsonforms（表單上的用戶名和密碼）會(huì)保存你登陸論壇或其它網(wǎng)頁(yè)時(shí)輸入的用戶名和密碼。自動(dòng)完成可以幫助你節(jié)省很多時(shí)間，但是同時(shí)也帶來(lái)了很大的安全隱患。一旦有人使用你的賬號(hào)登陸，你登陸網(wǎng)站的用戶名和密碼等資料就有可能全部被別人看到。因此你可以根據(jù)你的電腦的使用情況適當(dāng)?shù)恼{(diào)整，決定哪些內(nèi)容可以自動(dòng)保存，哪些不行。

現(xiàn)在我們轉(zhuǎn)到Internet選項(xiàng)的高級(jí)選項(xiàng)卡。這里有一下幾點(diǎn)需要注意：

UsePassiveFTP(forfirewall&DSLmodemcompatibility)（使用被動(dòng)FTP，為防火墻和DSL調(diào)制解調(diào)器兼容性），這個(gè)設(shè)置將會(huì)允許在使用IE瀏覽FTP服務(wù)器時(shí)使用被動(dòng)模式,這種模式更加安全，因?yàn)榉?wù)器方無(wú)法獲得你的IP地址，如果某些FTP服務(wù)器你不能正常訪問(wèn)，就可以試試啟用或者禁用這個(gè)設(shè)置。

Checkforpublisher’scertificaterevocation（檢查發(fā)行商的證書(shū)吊銷(xiāo)），如果選擇了這個(gè)選項(xiàng)，當(dāng)你訪問(wèn)某些需要認(rèn)證的站點(diǎn)時(shí)，IE會(huì)首先檢查給站點(diǎn)提供的證書(shū)是否依然有效。一般情況下，建議你啟用這個(gè)設(shè)置。

Checkforservercertificaterevocation（檢查服務(wù)器的證書(shū)吊銷(xiāo)），這個(gè)選項(xiàng)將會(huì)使IE檢查站點(diǎn)服務(wù)器的證書(shū)是否仍然有效，一般也應(yīng)該啟用這個(gè)設(shè)置。

Checkforsignaturesondownloadedprograms（檢查下載的程序的簽名），如果啟用了這個(gè)設(shè)置，在你下載了程序后IE會(huì)通過(guò)簽名自動(dòng)檢查程序是否被非法改動(dòng)過(guò)。一般應(yīng)當(dāng)啟用這個(gè)設(shè)置。

Donotsaveencryptedpagetodisk（不將加密的頁(yè)面存入硬盤(pán)），啟用了這個(gè)選項(xiàng)后，對(duì)于加密頁(yè)面(主要是URL以https打頭的)將不會(huì)保存到Internet臨時(shí)文件夾中。如果多人共用同一臺(tái)電腦，這個(gè)選項(xiàng)是很有必要的，這樣別人就無(wú)法通過(guò)Internet臨時(shí)文件窺探到你訪問(wèn)過(guò)的加密網(wǎng)頁(yè)了（例如某些電子商務(wù)網(wǎng)站的信用卡付費(fèi)頁(yè)面）。

接下來(lái)的三個(gè)設(shè)置：UseSSL2.0,UseSSL3.0&UseTLS1.0（使用SSL2.0,使用SSL3.0和使用TLS1.0）都跟在Internet上通過(guò)協(xié)議加密數(shù)據(jù)有關(guān)。例如一些網(wǎng)站的身分認(rèn)證和重要數(shù)據(jù)的傳輸，在這過(guò)程中都會(huì)使用到SSL加密。因此最佳建議是這三個(gè)選項(xiàng)全部啟用。但是如果啟用后你訪問(wèn)某些加密站點(diǎn)時(shí)出現(xiàn)錯(cuò)誤，那么可以禁用除SSL2.0之外的其它兩個(gè)協(xié)議，因?yàn)椴煌姹局g可能會(huì)有沖突，而SSL2.0是被采用的最廣泛的，一般的加密站點(diǎn)都會(huì)支持。

Warnaboutinvalidsitecertificates（對(duì)無(wú)效站點(diǎn)證書(shū)發(fā)出警告），啟用這個(gè)設(shè)置之后，在遇到無(wú)效的站點(diǎn)證書(shū)時(shí)IE就會(huì)發(fā)出警告，提醒你注意。一般情況下可以啟用這個(gè)。

Warnaboutchangingbetweensecure¬securemode（在安全和非安全模式之間轉(zhuǎn)換時(shí)發(fā)出警告），當(dāng)啟用這個(gè)設(shè)置之后，如果你要從一個(gè)安全的網(wǎng)頁(yè)（可能是經(jīng)過(guò)SSL加密的）進(jìn)入到一個(gè)不安全的網(wǎng)頁(yè)的時(shí)候，IE會(huì)發(fā)出警告提醒你，以避免你在不知情的情況下泄漏一些私人的信息。

Warnifformssubmittalisbeingredirected（重定向提交的表單時(shí)發(fā)出警告），啟用這個(gè)設(shè)置后，你在某些論壇或類(lèi)似的地方提交的一些信息如果被發(fā)送到了其它的服務(wù)器上，IE就會(huì)發(fā)出警報(bào)提醒你。所以安全起見(jiàn)這個(gè)也應(yīng)當(dāng)啟用。

5．安全使用OutlookExpress

OutlookExpress是Windows自帶的一個(gè)電子郵件程序，通過(guò)OE不僅可以收發(fā)電子郵件，還可以瀏覽新聞組，十分方便。不過(guò)很多人并不喜歡這個(gè)程序，還想千方百計(jì)的把它從自己的系統(tǒng)中卸載掉，主要是因?yàn)槭褂肙E容易傳染病毒。菜刀也容易傷人呢，但是每個(gè)家庭都得有個(gè)菜刀吧，所以，與其考慮怎么卸載OE還不如考慮一下怎么設(shè)置才能讓OE更安全。本節(jié)全部以O(shè)E6為主，如果你使用得是較低的版本，某些細(xì)節(jié)方面可能會(huì)不同。

OE的主要設(shè)置都可以在工具－選項(xiàng)下看到，在這里我們主要關(guān)注的是安全選項(xiàng)卡。

SelecttheInternetExplorersecurityzonetouse（選擇要使用的InternetExplorer安全區(qū)域），這個(gè)設(shè)置可以讓你決定把電子郵件（尤其是使用HTML語(yǔ)言的電子郵件）當(dāng)作什么安全區(qū)域?qū)Υㄒ簿褪俏覀冊(cè)贗nternetExplorer的Internet選項(xiàng)中設(shè)置的不同安全級(jí)別的區(qū)域）.把它設(shè)置為Restrictedsiteszone（受限制的區(qū)域）是比較明智和安全的做法。這樣，如果你收到的HTML郵件中含有一些有害的代碼就不會(huì)危害到你的系統(tǒng)了。

Warnmewhenotherapplicationstrytosendmailasme（當(dāng)其他程序以我的名義發(fā)送電子郵件時(shí)提醒我），這也是一個(gè)很有效的安全策略，曾經(jīng)有很多病毒都是通過(guò)OE的地址簿中的聯(lián)系人地址來(lái)發(fā)送含病毒的右鍵來(lái)擴(kuò)散的，而啟用這個(gè)設(shè)置就可以有效的解決這個(gè)問(wèn)題。一旦有其他程序通過(guò)OE發(fā)送電子郵件，OE會(huì)首先詢(xún)問(wèn)你是否發(fā)送，對(duì)于那些可疑的右鍵，只要取消發(fā)送就可以了。

Donotallowattachmentstobesavedoropenedthatcouldpotentiallybeavirus（不允許可能包含病毒的附件被保存或者被打開(kāi)），當(dāng)啟用這個(gè)設(shè)置后，電子郵件中某些格式的附件就不能被保存和打開(kāi)了，這時(shí)如果你收到了含有附件的右鍵，保存和打開(kāi)附件的選項(xiàng)將為不可用，進(jìn)一步增強(qiáng)了安全性。

6．加固你的Internet連接

默認(rèn)情況下，為了建立網(wǎng)絡(luò)連接，Windows會(huì)安裝很多協(xié)議和運(yùn)行很多服務(wù)其中一些協(xié)議和服務(wù)都不是必須的，例如NetBIOS、文件和打印機(jī)共享等，而“最小的服務(wù)＋最小的權(quán)限＝最大的安全”這個(gè)等式是永遠(yuǎn)成立的，因此我們有必要關(guān)掉不需要的服務(wù)，卸載不需要的協(xié)議，來(lái)增強(qiáng)我們的系統(tǒng)安全。

對(duì)于Windows9x/Me的系統(tǒng)

1.在控制面板中雙擊網(wǎng)絡(luò)圖標(biāo)

2.選擇Microsoft網(wǎng)絡(luò)客戶端，然后點(diǎn)擊卸載

3.禁用文件和打印機(jī)共享，如果你確實(shí)需要共享，可以給它們?cè)O(shè)置一個(gè)密碼

4.選擇TCP/IP，然后點(diǎn)擊屬性按鈕，打開(kāi)NetBIOS選項(xiàng)卡，取消對(duì)“我要在TCP/IP上使用NetBIOS的選擇。然后選擇DNS設(shè)置選項(xiàng)卡，并選擇禁用DNS（如果你確實(shí)不需要的話）。在WINS設(shè)置選項(xiàng)卡下，選中禁用WINS解析

5.確定，然后重啟動(dòng)電腦

對(duì)于Windows2000/XP的系統(tǒng)

1.打開(kāi)控制面板中的網(wǎng)絡(luò)連接，右鍵點(diǎn)擊Internet連接，選擇屬性

2.如果你不需要共享文件和打印機(jī)，那么選中并卸載（可以不卸載，但是至少不要再使用）Windows網(wǎng)絡(luò)的文件和打印機(jī)共享

3.雙擊Internet協(xié)議(TCP/IP)，然后點(diǎn)擊高級(jí)按鈕

4.打開(kāi)WINS選項(xiàng)卡，取消對(duì)啟用LMHOSTS查詢(xún)的選擇，然后選擇禁用TCP/IP上的NetBIOS

5.在運(yùn)行中輸入Services.msc然后回車(chē)

6.找到TCP/IPNetBIOSHelper這個(gè)服務(wù)，把這個(gè)服務(wù)停止掉，并且設(shè)置啟動(dòng)類(lèi)型為手動(dòng)或者禁止

7.重啟動(dòng)電腦

7.防火墻和殺毒軟件

不管你做了怎樣的設(shè)置，只要你連接在Internet上，防火墻都是必要的。防火墻可以完全保護(hù)你的系統(tǒng)，把網(wǎng)絡(luò)上有害的東西擋在門(mén)外。推薦你使用的防火墻主要有兩種，一是Symantec公司的NortonInternetSecurity，這個(gè)軟件不僅包含網(wǎng)絡(luò)防火墻，還包含NortonAntivirus，一個(gè)著名的殺毒軟件。NortonInternetSecurity的功能非常強(qiáng)大，不僅可以防病毒，防黑客，還可以幫助你過(guò)濾瀏覽網(wǎng)頁(yè)時(shí)看到的廣告，過(guò)濾收到的電子郵件，過(guò)濾網(wǎng)絡(luò)中的一些色情和其它非法內(nèi)容。不過(guò)NortonInternetSecurity對(duì)系統(tǒng)的要求比較高老的電腦運(yùn)行起來(lái)可能會(huì)慢一些。這樣的話你可以試試ZoneAlarm或者國(guó)產(chǎn)的天網(wǎng)，他們對(duì)系統(tǒng)的要求都不錯(cuò)，功能也夠強(qiáng)大，還有一點(diǎn)，他們兩者都可以從互聯(lián)網(wǎng)上免費(fèi)下載到。

對(duì)于使用WindowsXP的用戶也可以用系統(tǒng)自帶的防火墻，雖然沒(méi)有那么多花哨的功能，不過(guò)最基本的防護(hù)還是可以勝任的。啟用的方法是：打開(kāi)控制面板－網(wǎng)絡(luò)和Internet連接，雙擊網(wǎng)絡(luò)連接打開(kāi)屬性對(duì)話框，在高級(jí)選項(xiàng)卡下，選中在我的電腦上使用Internet連接防火墻，之后還可以點(diǎn)擊設(shè)置進(jìn)行更進(jìn)一步的配置。

3、預(yù)習(xí)要求及參考書(shū)目（參考書(shū)目最好有章節(jié)要求）：

《電子商務(wù)安全與保密》，祁明主編，高等教育出版社，2001年7月第1版

第1，2，3章。

4、實(shí)驗(yàn)步驟（具體操作流程）：

上機(jī)，打開(kāi)windows2000或windowsXP，打開(kāi)管理工具或控制面板，進(jìn)行設(shè)置。

5、實(shí)驗(yàn)報(bào)告要求：

寫(xiě)下實(shí)驗(yàn)過(guò)程及結(jié)果，適當(dāng)總結(jié)實(shí)驗(yàn)經(jīng)驗(yàn)。

實(shí)驗(yàn)三:Windows2000安全設(shè)置

1、實(shí)驗(yàn)?zāi)康模赫莆誛indows2000安全設(shè)置

2、實(shí)驗(yàn)內(nèi)容（根據(jù)實(shí)驗(yàn)?zāi)康膶?shí)驗(yàn)要求細(xì)化）：

Windows2000Server是比較流行的服務(wù)器操作系統(tǒng)，如何安全地配置這個(gè)操作系統(tǒng)呢？本文試圖從用戶安全設(shè)置、密碼安全設(shè)置、系統(tǒng)安全設(shè)置、服務(wù)安全設(shè)置四個(gè)方面進(jìn)行初步的探討。

1．用戶安全設(shè)置

1、禁用Guest賬號(hào)

在計(jì)算機(jī)管理的用戶里面把Guest賬號(hào)禁用。為了保險(xiǎn)起見(jiàn)，最好給Guest加一個(gè)復(fù)雜的密碼。你可以打開(kāi)記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的長(zhǎng)字符串，然后把它作為Guest用戶的密碼拷進(jìn)去。

2、限制不必要的用戶

去掉所有的DuplicateUser用戶、測(cè)試用戶、共享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的用戶，刪除已經(jīng)不再使用的用戶。這些用戶很多時(shí)候都是黑客們?nèi)肭窒到y(tǒng)的突破口。

3、創(chuàng)建兩個(gè)管理員賬號(hào)

創(chuàng)建一個(gè)一般權(quán)限用戶用來(lái)收信以及處理一些日常事物，另一個(gè)擁有Administrators權(quán)限的用戶只在需要的時(shí)候使用。

4、把系統(tǒng)Administrator賬號(hào)改名

大家都知道，Windows2000的Administrator用戶是不能被停用的，這意味著別人可以一遍又一遍地嘗試這個(gè)用戶的密碼。盡量把它偽裝成普通用戶，比如改成Guesycludx。

5、創(chuàng)建一個(gè)陷阱用戶

什么是陷阱用戶?即創(chuàng)建一個(gè)名為“Administrator”的本地用戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼。這樣可以讓那些Hacker們忙上一段時(shí)間，借此發(fā)現(xiàn)它們的入侵企圖。

6、把共享文件的權(quán)限從Everyone組改成授權(quán)用戶

任何時(shí)候都不要把共享文件的用戶設(shè)置成“Everyone”組，包括打印共享，默認(rèn)的屬性就是“Everyone”組的，一定不要忘了改。

7、開(kāi)啟用戶策略

使用用戶策略，分別設(shè)置復(fù)位用戶鎖定計(jì)數(shù)器時(shí)間為20分鐘，用戶鎖定時(shí)間為20分鐘，用戶鎖定閾值為3次。

8、不讓系統(tǒng)顯示上次登錄的用戶名

默認(rèn)情況下，登錄對(duì)話框中會(huì)顯示上次登錄的用戶名。這使得別人可以很容易地得到系統(tǒng)的一些用戶名，進(jìn)而做密碼猜測(cè)。修改注冊(cè)表可以不讓對(duì)話框里顯示上次登錄的用戶名。方法為：打開(kāi)注冊(cè)表編輯器并找到注冊(cè)表項(xiàng)“HKLM\Software\Microsoft\WindowsT\CurrentVersion\Winlogon\Dont-DisplayLastUserName”，把REG_SZ的鍵值改成1。

2．密碼安全設(shè)置

1、使用安全密碼

一些公司的管理員創(chuàng)建賬號(hào)的時(shí)候往往用公司名、計(jì)算機(jī)名做用戶名，然后又把這些用戶的密碼設(shè)置得太簡(jiǎn)單，比如“welcome”等等。因此，要注意密碼的復(fù)雜性，還要記住經(jīng)常改密碼。

2、設(shè)置屏幕保護(hù)密碼

這是一個(gè)很簡(jiǎn)單也很有必要的操作。設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。

3、開(kāi)啟密碼策略

注意應(yīng)用密碼策略，如啟用密碼復(fù)雜性要求，設(shè)置密碼長(zhǎng)度最小值為6位，設(shè)置強(qiáng)制密碼歷史為5次，時(shí)間為42天。

4、考慮使用智能卡來(lái)代替密碼

對(duì)于密碼，總是使安全管理員進(jìn)退兩難，密碼設(shè)置簡(jiǎn)單容易受到黑客的攻擊，密碼設(shè)置復(fù)雜又容易忘記。如果條件允許，用智能卡來(lái)代替復(fù)雜的密碼是一個(gè)很好的解決方法。

3．系統(tǒng)安全設(shè)置

1、使用NTFS格式分區(qū)

最好把服務(wù)器的所有分區(qū)都改成NTFS格式，NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。

2、運(yùn)行防毒軟件

殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門(mén)程序，因此要注意經(jīng)常運(yùn)行程序并升級(jí)病毒庫(kù)。

3、到微軟網(wǎng)站下載最新的補(bǔ)丁程序

很多網(wǎng)絡(luò)管理員沒(méi)有訪問(wèn)安全站點(diǎn)的習(xí)慣，以至于一些漏洞都出現(xiàn)很久了，還放著服務(wù)器的漏洞不補(bǔ)給人家當(dāng)靶子用。經(jīng)常訪問(wèn)微軟和一些安全站點(diǎn)，下載最新的ServicePack和漏洞補(bǔ)丁，是保障服務(wù)器長(zhǎng)久安全的惟一方法。

4、關(guān)閉默認(rèn)共享

Windows2000安裝好以后，系統(tǒng)會(huì)創(chuàng)建一些隱藏的共享，你可以在Cmd下打“NetShare”查看他們。網(wǎng)上有很多關(guān)于IPC入侵的文章，都利用了默認(rèn)共享連接。要禁止這些共享，打開(kāi)“管理工具\(yùn)計(jì)算機(jī)管理\共享文件夾\共享”在相應(yīng)的共享文件夾上按右鍵，點(diǎn)[停止共享]即可。

5、鎖住注冊(cè)表

在Windows2000中，只有Administrators和BackupOperators才有從網(wǎng)絡(luò)上訪問(wèn)注冊(cè)表的權(quán)限。如果你覺(jué)得還不夠的話，可以進(jìn)一步設(shè)定注冊(cè)表訪問(wèn)權(quán)限。

詳細(xì)信息請(qǐng)參考：

/support/kb/articles/Q153/1/83.asp

6、禁止用戶從軟盤(pán)和光驅(qū)啟動(dòng)系統(tǒng)

一些第三方的工具能通過(guò)引導(dǎo)系統(tǒng)來(lái)繞過(guò)原有的安全機(jī)制。如果你的服務(wù)器對(duì)安全要求非常高，可以考慮使用可移動(dòng)軟盤(pán)和光驅(qū)。當(dāng)然，把機(jī)箱鎖起來(lái)仍不失為一個(gè)好方法。

7、利用Windows2000的安全配置工具來(lái)配置安全策略

微軟提供了一套基于MMC（管理控制臺(tái)）安全配置和分析工具，利用它們你可以很方便地配置你的服務(wù)器以滿足你的要求。具體內(nèi)容請(qǐng)參考微軟主頁(yè)：/windows2000/techinfo/

howitworks/security/sctoolset.asp

4．服務(wù)安全設(shè)置

1、關(guān)閉不必要的端口

關(guān)閉端口意味著減少功能，在安全和功能上面需要你做一點(diǎn)決策。如果服務(wù)器安裝在防火墻的后面，冒險(xiǎn)就會(huì)少些。但是，永遠(yuǎn)不要認(rèn)為你可以高枕無(wú)憂了。用端口掃描器掃描系統(tǒng)已開(kāi)放的端口，確定系統(tǒng)開(kāi)放的哪些服務(wù)可能引起黑客入侵。在系統(tǒng)目錄中的\system32\drivers\etc\services文件中有知名端口和服務(wù)的對(duì)照表可供參考。具體方法為：打開(kāi)“網(wǎng)上鄰居/屬性/本地連接/屬性/internet協(xié)議(TCP/IP)/屬性/高級(jí)/選項(xiàng)/TCP/IP篩選/屬性”打開(kāi)“TCP/IP篩選”，添加需要的TCP、UDP協(xié)議即可。

2、設(shè)置好安全記錄的訪問(wèn)權(quán)限

安全記錄在默認(rèn)情況下是沒(méi)有保護(hù)的，把它設(shè)置成只有Administrators和系統(tǒng)賬戶才有權(quán)訪問(wèn)。

3、把敏感文件存放在另外的文件服務(wù)器中

雖然現(xiàn)在服務(wù)器的硬盤(pán)容量都很大，但是你還是應(yīng)該考慮是否有必要把一些重要的用戶數(shù)據(jù)（文件、數(shù)據(jù)表、項(xiàng)目文件等）存放在另外一個(gè)安全的服務(wù)器中，并且經(jīng)常備份它們。

4、禁止建立空連接

默認(rèn)情況下，任何用戶都可通過(guò)空連接連上服務(wù)器，進(jìn)而枚舉出賬號(hào)，猜測(cè)密碼。我們可以通過(guò)修改注冊(cè)表來(lái)禁止建立空連接：即把“Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous”的值改成“1”即可。

此外，安全和應(yīng)用在很多時(shí)候是矛盾的。因此，你需要在其中找到平衡點(diǎn)，如果安全原則妨礙了系統(tǒng)應(yīng)用，那么這個(gè)安全原則也不是一個(gè)好的原則。

3、預(yù)習(xí)要求及參考書(shū)目（參考書(shū)目最好有章節(jié)要求）：

《電子商務(wù)安全與保密》，祁明主編，高等教育出版社，2001年7月第1版，第2，3，4章。

4、實(shí)驗(yàn)步驟（具體操作流程）：

上機(jī)，打開(kāi)windows2000，打開(kāi)管理工具或控制面板，進(jìn)行設(shè)置。

5、實(shí)驗(yàn)報(bào)告要求：

寫(xiě)下實(shí)驗(yàn)過(guò)程及結(jié)果，適當(dāng)總結(jié)實(shí)驗(yàn)經(jīng)驗(yàn)。

實(shí)驗(yàn)四:如何關(guān)閉windows系統(tǒng)中不安全的端口

1、實(shí)驗(yàn)?zāi)康模菏煜indows系統(tǒng)中不安全的端口

2、實(shí)驗(yàn)內(nèi)容（根據(jù)實(shí)驗(yàn)?zāi)康膶?shí)驗(yàn)要求細(xì)化）：

Windows系統(tǒng)被安裝的遠(yuǎn)程控制軟件或其它各種木馬通常是由于您沒(méi)有正確的設(shè)置您的管理員密碼造成的，比如administrator的口令為空。所以請(qǐng)先檢查系統(tǒng)中所有帳號(hào)的口令是否設(shè)置的足夠安全。

1.

Windows2000口令設(shè)置方法:

當(dāng)前用戶口令：

在桌面環(huán)境下按ctrl+alt+del鍵后彈出選項(xiàng)單，選擇其中的更改密碼項(xiàng)后按要求輸入你的密碼（注意：如果以前administrator沒(méi)有設(shè)置密碼的話，舊密碼那項(xiàng)就不用輸入，只需直接輸入新的密碼）。

其他用戶口令：

在開(kāi)始->控制面板->用戶和密碼->選定一個(gè)用戶名->點(diǎn)擊設(shè)置密碼

2.

如何關(guān)閉Windows2000下的445端口？

關(guān)閉445端口的方法有很多，通常用修改注冊(cè)表的方法：

1)

在命令行窗口運(yùn)行修改注冊(cè)表命令RegEdit。

2)

在彈出的注冊(cè)表編輯窗口的左邊找到下面目錄

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters

你可以一級(jí)一級(jí)目錄往下點(diǎn)擊，也可用“查找”命令找到NetBT項(xiàng)，然后點(diǎn)擊Parameters項(xiàng)。

3)

在編輯窗口的右邊空白處點(diǎn)擊鼠標(biāo)右鍵，出現(xiàn)的“新建”菜單中選擇“DWORD值”。

4)

將新建的DWORD參數(shù)命名為“SMBDeviceEnabled”，數(shù)值為缺省的“0”。

5)

修改完后退出RegEdit，重啟機(jī)器。

6)

運(yùn)行“netstat–an”，你將會(huì)發(fā)現(xiàn)你的445端口已經(jīng)不再Listening了。

7)

如何關(guān)閉Windows2000下的5800,5900端口？

1)

首先使用fport命令確定出監(jiān)聽(tīng)在5800和5900端口的程序所在位置（通常會(huì)是c:\winnt\fonts\explorer.exe)

2)

在任務(wù)管理器中殺掉相關(guān)的進(jìn)程（注意有一個(gè)是系統(tǒng)本身正常的，請(qǐng)注意！如果錯(cuò)殺可以重新運(yùn)行c:\winnt\explorer.exe)

3)

刪除C:\winnt\fonts\中的explorer.exe程序。

4)

刪除注冊(cè)表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的Explorer項(xiàng)。

5)

重新啟動(dòng)機(jī)器。

4．如何獲得fport工具？

Fport工具可以把本機(jī)開(kāi)放的TCP/UDP端口同應(yīng)用程序關(guān)聯(lián)起來(lái)，這和使用'netstat-an'命令產(chǎn)生的效果類(lèi)似，但是該軟件還可以把端口和運(yùn)行著的進(jìn)程關(guān)聯(lián)起來(lái)，并可以顯示進(jìn)程PID，名稱(chēng)和路徑。該軟件可以用于將未知的端口同應(yīng)用程序關(guān)聯(lián)起來(lái)。

在CERNET應(yīng)急響應(yīng)組的網(wǎng)站上可以獲得fport工具，下載路徑為：

/tools/index.php

。

下載的文件為fport.zip,用winzip或winrar解開(kāi)后存放到一個(gè)目錄下就可以。比如我們把fport放在D:\fport-2.0下。那么，我們運(yùn)行fport:：

D:\fport-2.0>fport

輸出結(jié)果如下：

FPortv2.0-TCP/IPProcesstoPortMapper

Copyright2000byFoundstone,Inc.

PidProcessPortProtoPath

744svchost->135TCPC:\WINDOWS\system32\svchost.exe

4System->139TCP

4System->445TCP

792svchost->1025TCPC:\WINDOWS\System32\svchost.exe

1652navapw32->1027TCPC:\PROGRA~1\NORTON~1\navapw32.exe

1860inetinfo->1031TCPC:\WINDOWS\System32\inetsrv\inetinfo.exe

1880msmsgs->1226TCPC:\ProgramFiles\Messenger\msmsgs.exe

2736iexplore->2162TCPC:\ProgramFiles\InternetExplorer\iexplore.exe

956->5000TCP

1880msmsgs->13863TCPC:\ProgramFiles\Messenger\msmsgs.exe

2736iexplore->123UDPC:\ProgramFiles\InternetExplorer\iexplore.exe

744svchost->135UDPC:\WINDOWS\system32\svchost.exe

1332SecureCRT->137UDPC:\ProgramFiles\SecureCRT\SecureCRT.exe

2664SecureCRT->138UDPC:\ProgramFiles\SecureCRT\SecureCRT.exe

4System->445UDP

792svchost->500UDPC:\WINDOWS\System32\svchost.exe

2524SecureCRT->1028UDPC:\ProgramFiles\SecureCRT\SecureCRT.EXE

1860inetinfo->1032UDPC:\WINDOWS\System32\inetsrv\inetinfo.exe

1880msmsgs->1033UDPC:\ProgramFiles\Messenger\msmsgs.exe

2812wsftppro->1035UDPD:\tools\wsftppro.exe

956->1543UDP

1652navapw32->1561UDPC:\PROGRA~1\NORTON~1\navapw32.exe

4System->1610UDP

1880msmsgs->1900UDPC:\ProgramFiles\Messenger\msmsgs.exe

2736iexplore->3336UDPC:\ProgramFiles\InternetExplorer\iexplore.exe

2812wsftppro->3456UDPD:\tools\wsftppro.exe

1880msmsgs->9356UDPC:\ProgramFiles\Messenger\msmsgs.exe

從fport的輸出結(jié)果中我們可以發(fā)現(xiàn)有沒(méi)有不安全的tcp/udp端口開(kāi)著,如果有就用前面介紹的方法把該端口關(guān)閉，或?qū)⑾嚓P(guān)程序刪除。

3、預(yù)習(xí)要求及參考書(shū)目（參考書(shū)目最好有章節(jié)要求）：

《電子商務(wù)安全與保密》，祁明主編，高等教育出版社，2001年7月第1版，第3，4，5章。

4、實(shí)驗(yàn)步驟（具體操作流程）：

上機(jī)，打開(kāi)windows2000或win98，打開(kāi)管理工具或控制面板，進(jìn)行設(shè)置。

5、實(shí)驗(yàn)報(bào)告要求：

寫(xiě)下實(shí)驗(yàn)過(guò)程及結(jié)果，適當(dāng)總結(jié)實(shí)驗(yàn)經(jīng)驗(yàn)。

實(shí)驗(yàn)五:文件共享的配置、使用與入侵防范

1、實(shí)驗(yàn)?zāi)康模赫莆瘴募蚕淼呐渲谩⑹褂?，防范入?/p>

2、實(shí)驗(yàn)內(nèi)容（根據(jù)實(shí)驗(yàn)?zāi)康膶?shí)驗(yàn)要求細(xì)化）：

當(dāng)你發(fā)現(xiàn)硬盤(pán)燈突然閃爍不停時(shí)，你是否想知道是誰(shuí)訪問(wèn)了你的電腦？他們又在你的電腦里干什么？讓我們一起揭開(kāi)來(lái)訪者頭上的神秘面紗。

一、在Windows98/Me中

使用Windows98/Me提供的“網(wǎng)絡(luò)監(jiān)視器”可以查看目前誰(shuí)在使用你的計(jì)算機(jī)上的資源?？梢蕴砑庸蚕砦募A，也可以斷開(kāi)用戶與你的計(jì)算機(jī)或指定的文件的連接。

安裝打開(kāi)“控制面板”，選擇“添加刪除程序→Windows安裝程序”標(biāo)簽，在“組件”列表框中選中“系統(tǒng)工具”，單擊下面的“詳細(xì)信息按鈕”，然后勾選“網(wǎng)絡(luò)監(jiān)視器”復(fù)選框，單擊“確定”按鈕完成安裝。安裝好的網(wǎng)絡(luò)監(jiān)視器快捷方式位于“開(kāi)始→程序→系統(tǒng)工具”中。

使用查看來(lái)訪者及其訪問(wèn)的資源，有三種方式：

一是以“按連接”方式查看。按下工具欄上的“顯示用戶”，“網(wǎng)絡(luò)監(jiān)視器”左邊會(huì)顯示所有已連接到你的計(jì)算機(jī)上的用戶、計(jì)算機(jī)名、打開(kāi)的文件數(shù)以及來(lái)訪時(shí)間等基本信息。在左邊選中一個(gè)連接，右邊即會(huì)顯示這個(gè)連接打開(kāi)的文件和文件夾(如圖)。

二是“按共享文件夾”方式查看。按下工具欄上的“顯示共享的文件夾”按鈕，“網(wǎng)絡(luò)監(jiān)視器”主界面左邊會(huì)顯示已共享出去的文件夾，選中一個(gè)文件夾，右邊會(huì)顯示連接到這個(gè)共享文件夾的計(jì)算機(jī)名及其打開(kāi)的文件。

三是以“打開(kāi)的文件”方式查看。按下工具欄上的“顯示共享的文件夾”按鈕，即會(huì)顯示已被來(lái)訪者打開(kāi)的文件列表及打開(kāi)文件者的計(jì)算機(jī)名。

阻止惡意用戶的訪問(wèn)當(dāng)發(fā)現(xiàn)來(lái)訪者正在窺探敏感文件時(shí)，可以及時(shí)阻止他們的訪問(wèn)，也有三種方法：

一是直接關(guān)閉來(lái)訪者打開(kāi)的文件。單擊工具欄上的“顯示共享的文件夾”，選中欲關(guān)閉的文件，單擊菜單欄的“管理”，選擇“關(guān)閉文件”即可。

二是斷開(kāi)來(lái)訪者的連接。單擊工具欄上的“顯示用戶”按鈕，選中惡意來(lái)訪者，單擊菜單欄的“管理”，選擇“斷開(kāi)用戶連接”即可。

三是停止共享或用密碼來(lái)限制來(lái)訪者的訪問(wèn)權(quán)限。單擊工具欄上的“顯示共享的文件夾”按鈕，選中需管理的文件夾，單擊菜單欄的“管理”，選擇“停止共享”即可取消該文件夾的共享；若不希望停止共享，又要限制用戶的訪問(wèn)，可以選擇“共享文件夾的屬性”為共享文件添加密碼，限制未經(jīng)授權(quán)的用戶的訪問(wèn)。需要注意的是，設(shè)置好密碼后，必需斷開(kāi)已連接用戶的連接后，密碼方能起作用。

二、在Windows2000/XP中

在Windows2000/XP中，網(wǎng)絡(luò)監(jiān)視器不再監(jiān)測(cè)訪問(wèn)本機(jī)的連接及來(lái)訪者的訪問(wèn)信息，但來(lái)訪者的一舉一動(dòng)仍在Windows的監(jiān)視之下。單擊“開(kāi)始→設(shè)置→控制面板”，雙擊“管理工具”，再雙擊“計(jì)算機(jī)管理”，在右邊的目錄樹(shù)中雙擊展開(kāi)“共享文件夾”，下面共有三個(gè)選項(xiàng)：“共享”、“會(huì)話”和“打開(kāi)文件”。

共享顯示當(dāng)前系統(tǒng)的共享資源，在這里可以創(chuàng)建和設(shè)置共享及其權(quán)限。

會(huì)話顯示當(dāng)前來(lái)訪者的用戶名、IP地址、打開(kāi)的文件數(shù)以及來(lái)訪時(shí)間等基本信息。在用戶名上單擊右鍵，還可以斷開(kāi)惡意來(lái)訪者的連接。如果對(duì)方也使用Windows2000/XP系統(tǒng)，還能給對(duì)方發(fā)送信使消息，通知對(duì)方關(guān)于自己共享資源的一些情況。

打開(kāi)文件顯示所有來(lái)訪者及其打開(kāi)的文件，如果你不希望對(duì)方瀏覽你的文件，單擊右鍵，在彈出菜單中可以關(guān)閉其中一個(gè)或所有打開(kāi)的文件。

3、預(yù)習(xí)要求及參考書(shū)目（參考書(shū)目最好有章節(jié)要求）：

《電子商務(wù)安全與保密》，祁明主編，高等教育出版社，2001年7月第1版，第5，6，7章。

4、實(shí)驗(yàn)步驟（具體操作流程）：

上機(jī)，打開(kāi)windows2000或win98，打開(kāi)管理工具或控制面板，進(jìn)行設(shè)置。

5、實(shí)驗(yàn)報(bào)告要求：

寫(xiě)下實(shí)驗(yàn)過(guò)程及結(jié)果，適當(dāng)總結(jié)實(shí)驗(yàn)經(jīng)驗(yàn)。

實(shí)驗(yàn)六:常見(jiàn)的木馬病毒清除方法

1、實(shí)驗(yàn)?zāi)康模菏煜こＲ?jiàn)的木馬病毒清除方法

2、實(shí)驗(yàn)內(nèi)容（根據(jù)實(shí)驗(yàn)?zāi)康膶?shí)驗(yàn)要求細(xì)化）：

當(dāng)前最為常見(jiàn)的木馬通常是基于TCP/UDP協(xié)議進(jìn)行client端與server端之間的通訊的，既然利用到這兩個(gè)協(xié)議，就不可避免要在server端（就是被種了木馬的機(jī)器了）打開(kāi)監(jiān)聽(tīng)端口來(lái)等待連接。例如鼎鼎大名的冰河使用的監(jiān)聽(tīng)端口是7626，BackOrifice2000則是使用54320等等。那么，我們可以利用查看本機(jī)開(kāi)放端口的方法來(lái)檢查自己是否被種了木馬或其它黑客程序。

1．Windows本身自帶的netstat命令

關(guān)于netstat命令，我們先來(lái)看看windows幫助文件中的介紹：

Netstat

顯示協(xié)議統(tǒng)計(jì)和當(dāng)前的TCP/IP網(wǎng)絡(luò)連接。該命令只有在安裝了TCP/IP協(xié)議后才可以使用。

netstat[-a][-e][-n][-s][-pprotocol][-r][interval]

參數(shù)

-a顯示所有連接和偵聽(tīng)端口。服務(wù)器連接通常不顯示。

-e顯示以太網(wǎng)統(tǒng)計(jì)。該參數(shù)可以與-s選項(xiàng)結(jié)合使用。

-n以數(shù)字格式顯示地址和端口號(hào)（而不是嘗試查找名稱(chēng)）。

-s顯示每個(gè)協(xié)議的統(tǒng)計(jì)。默認(rèn)情況下，顯示TCP、UDP、ICMP和IP的統(tǒng)計(jì)。-p選項(xiàng)可以用來(lái)指定默認(rèn)的子集。

-pprotocol顯示由protocol指定的協(xié)議的連接；protocol可以是tcp或udp。如果與-s選項(xiàng)一同使用顯示每個(gè)協(xié)議的統(tǒng)計(jì)，protocol可以是tcp、udp、icmp或ip。

-r顯示路由表的內(nèi)容。

interval重新顯示所選的統(tǒng)計(jì)，在每次顯示之間暫停interval秒。按CTRL+B停止重新顯示統(tǒng)計(jì)。如果省略該參數(shù)，netstat將打印一次當(dāng)前的配置信息。

好了，看完這些幫助文件，我們應(yīng)該明白netstat命令的使用方法了。現(xiàn)在就讓我們現(xiàn)學(xué)現(xiàn)用，用這個(gè)命令看一下自己的機(jī)器開(kāi)放的端口。進(jìn)入到命令行下，使用netstat命令的a和n兩個(gè)參數(shù)：

C:\>netstat-an

ActiveConnections

Proto

LocalAddress

ForeignAddress

State

TCP

:80

:0

LISTENING

TCP

:21

:0

LISTENING

TCP

:7626

:0

LISTENING

UDP

:445

:0

UDP

:1046

:0

UDP

:1047

:0

解釋一下，ActiveConnections是指當(dāng)前本機(jī)活動(dòng)連接，Proto是指連接使用的協(xié)議名稱(chēng)，LocalAddress是本地計(jì)算機(jī)的IP地址和連接正在使用的端口號(hào)，F(xiàn)oreignAddress是連接該端口的遠(yuǎn)程計(jì)算機(jī)的IP地址和端口號(hào)，State則是表明TCP連接的狀態(tài)，你可以看到后面三行的監(jiān)聽(tīng)端口是UDP協(xié)議的，所以沒(méi)有State表示的狀態(tài)?？?！我的機(jī)器的7626端口已經(jīng)開(kāi)放，正在監(jiān)聽(tīng)等待連接，像這樣的情況極有可能是已經(jīng)感染了冰河！急忙斷開(kāi)網(wǎng)絡(luò)，用殺毒軟件查殺病毒是正確的