第11講操作系統(tǒng)安全配置

第9講操作系統(tǒng)安全配置§9.1操作系統(tǒng)概述§9.2安全配置初級篇§9.3安全配置中級篇§9.4安全配置高級篇§9.1操作系統(tǒng)概述目前服務(wù)器常用的操作系統(tǒng)有三類UnixLinuxWindowsNT/2000/2003Server/XP這些操作系統(tǒng)都是符合C2級安全級別的操作系統(tǒng)。但是都存在不少漏洞，如果對這些漏洞不了解，不采取相應(yīng)的措施，就會使操作系統(tǒng)完全暴露給入侵者2023/2/12信息安全概論§9.1操作系統(tǒng)概述UNIX系統(tǒng)UNIX操作系統(tǒng)是由美國貝爾實驗室開發(fā)的一種多用戶、多任務(wù)的通用操作系統(tǒng)。它從一個實驗室的產(chǎn)品發(fā)展成為當前使用普遍、影響深遠的主流操作系統(tǒng)UNIX誕生于20世紀60年代末期，貝爾實驗室的研究人員于1969年開始在GE645計算機上實現(xiàn)一種分時操作系統(tǒng)的雛形，后來該系統(tǒng)被移植到了DEC的PDP-7小型機上1970年給系統(tǒng)正式取名為Unix操作系統(tǒng)。到1973年，Unix系統(tǒng)的絕大部分源代碼都用C語言重新編寫過，大大提高了Unix系統(tǒng)的可移植性，也為提高系統(tǒng)軟件的開發(fā)效率創(chuàng)造了條件2023/2/13信息安全概論§9.1操作系統(tǒng)概述UNIX系統(tǒng)UNIX操作系統(tǒng)經(jīng)過20多年的發(fā)展后，已經(jīng)成為一種成熟的主流操作系統(tǒng)，并在發(fā)展過程中逐步形成了一些新的特色，其中主要特色包括5個方面可靠性高極強的伸縮性網(wǎng)絡(luò)功能強強大的數(shù)據(jù)庫支持功能開放性好2023/2/14信息安全概論§9.1操作系統(tǒng)概述Linux系統(tǒng)Linux是一套可以免費使用和自由傳播的類Unix操作系統(tǒng)，這個系統(tǒng)是由全世界各地的成千上萬的程序員設(shè)計和實現(xiàn)的。其目的是建立不受任何商品化軟件的版權(quán)制約的、全世界都能自由使用的Unix兼容產(chǎn)品Linux最早開始于一位名叫LinusTorvalds的計算機業(yè)余愛好者，當時他是芬蘭赫爾辛基大學的學生。想設(shè)計一個代替Minix（是由一位名叫AndrewTannebaum的計算機教授編寫的一個操作系統(tǒng)示教程序）的操作系統(tǒng)。這個操作系統(tǒng)可用于386、486或奔騰處理器的個人計算機上，并且具有Unix操作系統(tǒng)的全部功能2023/2/15信息安全概論§9.1操作系統(tǒng)概述Linux系統(tǒng)Linux是一個免費的操作系統(tǒng)，用戶可以免費獲得其源代碼，并能夠隨意修改它是在共用許可證GPL(GeneralPublicLicense)保護下的自由軟件，也有好幾種版本，如RedHatLinux、Slackware，以及國內(nèi)的XteamLinux、紅旗Linux等Linux的流行是因為它具有許多優(yōu)點，典型的優(yōu)點有7個完全免費●完全兼容POSIX1.0標準多用戶、多任務(wù)●良好的界面豐富的網(wǎng)絡(luò)功能●可靠的安全、穩(wěn)定性能支持多種平臺2023/2/16信息安全概論§9.1操作系統(tǒng)概述Windows系統(tǒng)WindowsNT是微軟第一個真正意義上的網(wǎng)絡(luò)操作系統(tǒng)，發(fā)展經(jīng)過NT3.0、NT4.0、NT5.0（Windows2000）和NT6.0（Windows2003）等眾多版本，并逐步占據(jù)了廣大的中小網(wǎng)絡(luò)操作系統(tǒng)的市場WindowsNT眾多版本的操作系統(tǒng)使用了與Windows9X完全一致的用戶界面和完全相同的操作方法，使用戶使用起來比較方便。與Windows9X相比，WindowsNT的網(wǎng)絡(luò)功能更加強大并且安全2023/2/17信息安全概論§9.1操作系統(tǒng)概述Windows系統(tǒng)WindowsNT系列操作系統(tǒng)具有以下三方面的優(yōu)點支持多種網(wǎng)絡(luò)協(xié)議：在網(wǎng)絡(luò)中可能存在多種客戶機，如Windows95/98、AppleMacintosh、Unix、OS/2等，這些客戶機可能使用了不同的網(wǎng)絡(luò)協(xié)議，如TCP/IP協(xié)議、IPX/SPX等內(nèi)置Internet功能：內(nèi)置了IIS，可以使網(wǎng)絡(luò)管理員輕松的配置WWW和FTP等服務(wù)支持NTFS文件系統(tǒng)：提高文件管理的安全性，用戶可以對NTFS系統(tǒng)中的任何文件、目錄設(shè)置權(quán)限。當多用戶同時訪問系統(tǒng)時，可增加文件的安全性2023/2/18信息安全概論§9.2安全配置初級篇安全配置方案初級篇主要涉及常規(guī)的操作系統(tǒng)安全配置，包括十二條基本配置原則物理安全■停止Guest帳號限制用戶數(shù)量■創(chuàng)建多個管理員帳號管理員帳號改名■陷阱帳號更改默認權(quán)限■設(shè)置安全密碼屏幕保護密碼■使用NTFS分區(qū)運行防毒軟件■確保備份盤安全2023/2/19信息安全概論物理安全服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器要保留15天以上的攝像記錄機箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進入房間也無法使用電腦，鑰匙要放在安全的地方§9.2安全配置初級篇2023/2/110信息安全概論停止Guest帳號在計算機管理的用戶里把Guest帳號停用，任何時候都不允許Guest帳號登陸系統(tǒng)，如圖為保險起見，最好給Guest加一個復(fù)雜的密碼，可以打開記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的長字符串用它作為Guest帳號的密碼。并且修改Guest帳號的屬性，設(shè)置拒絕遠程訪問，如圖§9.2安全配置初級篇2023/2/111信息安全概論限制用戶數(shù)量去掉所有的測試帳戶、共享帳號和普通部門帳號等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不使用的帳戶，如圖帳戶很多是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大對于WindowsNT/2000主機，如果系統(tǒng)帳戶超過10個，一般能找出一兩個弱口令帳戶，所以帳戶數(shù)量不要大于10個§9.2安全配置初級篇2023/2/112信息安全概論多個管理員帳號雖然這點看上去和上面有些矛盾，但事實上是服從上面規(guī)則的。創(chuàng)建一個一般用戶權(quán)限帳號用來處理電子郵件以及處理一些日常事物，另一個擁有Administrator權(quán)限的帳戶只在需要的時候使用因為只要登錄系統(tǒng)以后，密碼就存儲再WinLogon進程中，當有其他用戶入侵計算機的時候就可以得到登錄用戶的密碼，盡量減少Administrator登錄的次數(shù)和時間§9.2安全配置初級篇2023/2/113信息安全概論管理員帳號改名Windows2000中的Administrator帳號是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點不要使用Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，如改成guestone。具體操作的時候只要選中帳戶名改名就可以了，如圖§9.2安全配置初級篇2023/2/114信息安全概論陷阱帳號所謂的陷阱帳號是創(chuàng)建一個名為“Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復(fù)雜密碼這樣可以讓那些企圖入侵者忙上一段時間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖?？梢詫⒃撚脩綦`屬的組修改成Guests組，如圖設(shè)置相當復(fù)雜的密碼（32位的數(shù)字＋字符＋符號密碼），用戶不能更改密碼，如圖§9.2安全配置初級篇2023/2/115信息安全概論更改默認權(quán)限共享文件的權(quán)限從“Everyone”組改成“授權(quán)用戶”。“Everyone”在Windows2000中意味著任何有權(quán)進入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時候不要把共享文件的用戶設(shè)置成“Everyone”組。包括打印共享，默認的屬性就是“Everyone”組的，一定不要忘了改。設(shè)置某文件夾共享§9.2安全配置初級篇Demo2023/2/116信息安全概論安全密碼好密碼對一個網(wǎng)絡(luò)是非常重要的，但也最容易被忽略。一些網(wǎng)絡(luò)管理員創(chuàng)建帳號時往往用公司名，計算機名，或者一些易猜的字符做用戶名，然后又把這些帳戶的密碼設(shè)置得比較簡單或者和用戶名相同的密碼等。這樣的帳戶應(yīng)該要求用戶首次登陸時更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。好密碼的定義：安全期內(nèi)無法破解出來的密碼就是好密碼，也就是說，如果得到了密碼文檔，必須花43天或者更長的時間才能破解出來，密碼策略是42天必須改密碼?！?.2安全配置初級篇2023/2/117信息安全概論屏幕保護密碼設(shè)置屏幕保護密碼是防止內(nèi)部人員破壞服務(wù)器的一個屏障。注意不要使用OpenGL和一些復(fù)雜的屏幕保護程序，浪費系統(tǒng)資源，黑屏就可以了。所有系統(tǒng)用戶所使用的機器也最好加上屏幕保護密碼。將屏幕保護的選項“密碼保護”選中，并將等待時間設(shè)置為最短時間“1秒”，如圖§9.2安全配置初級篇2023/2/118信息安全概論NTFS分區(qū)把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多?！?.2安全配置初級篇2023/2/119信息安全概論防毒軟件Windows2000/NT服務(wù)器一般都沒有安裝防毒軟件的，一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。設(shè)置了防毒軟件，“黑客”們使用的那些有名的木馬就毫無用武之地了，并且要經(jīng)常升級病毒庫?！?.2安全配置初級篇2023/2/120信息安全概論備份盤的安全一旦系統(tǒng)資料被黑客破壞，備份盤將是恢復(fù)資料的唯一途徑。備份完資料后，把備份盤防在安全的地方。不能把資料備份在同一臺服務(wù)器上，這樣的話還不如不要備份。§9.2安全配置初級篇2023/2/121信息安全概論§9.3安全配置中級篇安全配置方案中級篇主要涉及常規(guī)的操作系統(tǒng)安全策略配置，包括十一條基本配置原則：操作系統(tǒng)安全策略■關(guān)閉不必要的服務(wù)關(guān)閉不必要的端口■開啟審核策略開啟密碼策略■開啟帳戶策略備份敏感文件■不顯示上次登錄名備份注冊表■禁止建立空連接下載最新的補丁2023/2/122信息安全概論§9.3安全配置中級篇操作系統(tǒng)安全策略利用Windows2000的安全配置工具來配置安全策略，微軟提供了一套的基于管理控制臺的安全配置和分析工具，可以配置服務(wù)器的安全策略。在管理工具中可以找到“本地安全策略”，主界面如圖可配置四類安全策略：帳戶策略、本地策略、公鑰策略和IP安全策略。默認的情況下，這些策略都沒有開啟。2023/2/123信息安全概論關(guān)閉不必要的服務(wù)Windows2000的TerminalServices（終端服務(wù)）和IIS（Internet信息服務(wù)）等都可能給系統(tǒng)帶來安全漏洞。為了能夠遠程方便的管理服務(wù)器，很多機器的終端服務(wù)都是開著，如果開了，要確認已經(jīng)正確的配置了終端服務(wù)。有些惡意的程序也能以服務(wù)方式悄悄的運行服務(wù)器上的終端服務(wù)。要留意服務(wù)器上開啟的所有服務(wù)并每天檢查?！?.3安全配置中級篇2023/2/124信息安全概論關(guān)閉不必要的服務(wù)Windows2000作為服務(wù)器可禁用的服務(wù)及相關(guān)說明如表§9.3安全配置中級篇2023/2/125信息安全概論關(guān)閉不必要的端口關(guān)閉端口意味著減少功能，如果服務(wù)器安裝在防火墻的后面，被入侵的機會就會少一些，但不可認為高枕無憂了。用端口掃描器掃描系統(tǒng)所開放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服務(wù)的對照表可供參考。該文件用記事本打開如圖§9.3安全配置中級篇2023/2/126信息安全概論關(guān)閉不必要的端口設(shè)置本機開放的端口和服務(wù)，在IP地址設(shè)置窗口中點擊按鈕“高級”，如圖§9.3安全配置中級篇2023/2/127信息安全概論關(guān)閉不必要的端口在出現(xiàn)的對話框中選擇選項卡“選項”，選中“TCP/IP篩選”，點擊按鈕“屬性”，如圖§9.3安全配置中級篇2023/2/128信息安全概論關(guān)閉不必要的端口設(shè)置端口界面如圖一臺Web服務(wù)器只允許TCP的80端口通過就可以了。TCP/IP篩選器是Windows自帶的防火墻，功能比較強大，可以替代防火墻的部分功能?！?.3安全配置中級篇2023/2/129信息安全概論開啟審核策略安全審核是Windows2000最基本的入侵檢測方法。當有人嘗試對系統(tǒng)進行某種方式（如嘗試用戶密碼，改變帳戶策略和未經(jīng)許可的文件訪問等等）入侵的時候，都會被安全審核記錄下來。表中的審核是必須開啟的，其他可以根據(jù)需要增加§9.3安全配置中級篇2023/2/130信息安全概論開啟審核策略審核策略在默認的情況下都是沒有開啟的，如圖§9.3安全配置中級篇2023/2/131信息安全概論開啟審核策略雙擊審核列表的某一項，出現(xiàn)設(shè)置對話框，將復(fù)選框“成功”和“失敗”都選中，如圖§9.3安全配置中級篇2023/2/132信息安全概論開啟密碼策略密碼對系統(tǒng)安全非常重要。本地安全設(shè)置中的密碼策略在默認的情況下都沒有開啟。設(shè)置選項如圖§9.3安全配置中級篇2023/2/133信息安全概論開啟帳戶策略開啟帳戶策略可以有效的防止字典式攻擊設(shè)置選項如圖§9.3安全配置中級篇2023/2/134信息安全概論備份敏感文件把敏感文件存放在另外的文件服務(wù)器中，雖然服務(wù)器的硬盤容量都很大，但是還是應(yīng)該考慮把一些重要的用戶數(shù)據(jù)（文件，數(shù)據(jù)表和項目文件等）存放在另外一個安全的服務(wù)器中，并且經(jīng)常備份它們§9.3安全配置中級篇2023/2/135信息安全概論不顯示上次登錄名默認情況下，終端服務(wù)接入服務(wù)器時，登陸對話框中會顯示上次登陸的帳戶名，本地的登陸對話框也是一樣。黑客們可以得到系統(tǒng)的一些用戶名，進而做密碼猜測。修改注冊表，在HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\將DontDisplayLastUserName鍵值改成1，如圖§9.3安全配置中級篇2023/2/136信息安全概論不顯示上次登錄名打開管理工具-->本地安全策略-->本地策略-->安全選項，在打開窗口右側(cè)列表中選擇“登錄屏幕上不要顯示上次登錄的用戶名”選項，在彈出對話框選擇“已啟用”，如圖§9.3安全配置中級篇2023/2/137信息安全概論備份注冊表注冊表是不能隨便改動的，除非特別有把握注冊表更改處理不好的話，可能會導(dǎo)致計算機不能正常啟動或計算機某些功能不能用，甚至當將原來的更改還原回去也一樣不能用。所以在更改注冊表的任何一項之前，最好將注冊表備份當系統(tǒng)因為更改注冊表而出問題時，可以采用恢復(fù)注冊表的方式來恢復(fù)系統(tǒng)注冊表備份與恢復(fù)方法如圖§9.3安全配置中級篇2023/2/138信息安全概論禁止建立空連接默認情況下，任何用戶通過空連接連上服務(wù)器，進而可以枚舉出帳號，猜測密碼。修改注冊表，在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\，將RestrictAnonymous鍵值改成“1”即可。如圖§9.3安全配置中級篇2023/2/139信息安全概論下載最新的補丁很多網(wǎng)絡(luò)管理員沒有訪問安全站點的習慣，以至于一些漏洞都出了很久，還放著服務(wù)器的漏洞未打補丁。誰也不敢保證數(shù)百萬行以上代碼的Windows2000不出一點安全漏洞。經(jīng)常訪問微軟和一些安全站點，下載最新的ServicePack和漏洞補丁，是保障服務(wù)器長久安全的唯一方法。可以使用一些常用的漏洞掃描軟件！先掃描出漏洞?！?.3安全配置中級篇2023/2/140信息安全概論安全配置方案高級篇主要涉及操作系統(tǒng)安全信息通信配置，包括十四條配置原則：關(guān)閉DirectDraw■關(guān)閉默認共享禁用DumpFile■文件加密系統(tǒng)加密Temp文件夾■鎖住注冊表關(guān)機時清除文件■禁止軟盤光盤啟動使用智能卡■使用IPSec禁止判斷主機類型■抵抗DDOS禁止Guest訪問日志■數(shù)據(jù)恢復(fù)軟件快速鎖定桌面■使用syskey增加額外保護§9.4安全配置高級篇2023/2/141信息安全概論關(guān)閉DirectDrawC2級安全標準對視頻卡和內(nèi)存有要求。關(guān)閉DirectDraw可能對一些需要用到DirectX的程序有影響（比如游戲），但是對于絕大多數(shù)的商業(yè)站點都是沒有影響的。修改注冊表，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\，將Timeout鍵值改為“0”即可，如圖§9.4安全配置高級篇2023/2/142信息安全概論關(guān)閉默認共享Windows2000安裝以后，系統(tǒng)會創(chuàng)建一些隱藏的共享，可以在DOS提示符下輸入命令NetShare查看，如圖Windows2000/XP/2003版本的操作系統(tǒng)提供了默認共享功能，這些默認的共享都有“$”標志，意為隱含的，包括所有的邏輯盤（C$，D$，E$……）和系統(tǒng)目錄Winnt或Windows（admin$）§9.4安全配置高級篇2023/2/143信息安全概論關(guān)閉默認共享微軟的初衷是便于網(wǎng)管進行遠程管理，這雖然方便了局域網(wǎng)用戶，但對我們個人用戶來說這樣的設(shè)置是不安全的。如果電腦聯(lián)網(wǎng)，網(wǎng)絡(luò)上的任何人都可以通過共享硬盤，隨意進入你的電腦。更為可怕的是，黑客可以通過連接你的電腦實現(xiàn)對這些默認共享的訪問，并且為黑客的攻擊帶來了許多方便之處！“震蕩波”病毒的傳播方式之一就是掃描局域網(wǎng)內(nèi)所有帶共享的主機，然后將病毒上傳到上面。因此如何關(guān)掉共享，特別是系統(tǒng)默認的共享就是一個很關(guān)鍵的問題?！?.4安全配置高級篇2023/2/144信息安全概論關(guān)閉默認共享Windows2000系統(tǒng)當中，可以采用鼠標右鍵等方式，來關(guān)掉如C$,D$等共享，但是當用戶重新啟動計算機后，那些共享又會加上?！?.4安全配置高級篇2023/2/145信息安全概論關(guān)閉默認共享在WinowsXP中，采用鼠標右鍵方式是無法關(guān)閉共享的。如下圖所示：（只有兩項：刷新和幫助）§9.4安全配置高級篇2023/2/146信息安全概論關(guān)閉默認共享關(guān)閉共享方法一：右鍵“停止共享”法到“計算機管理”窗口中某個共享項（比如C$）上右鍵單擊，選擇“停止共享”并確認后就會關(guān)閉這個共享，其共享圖標就會消失。但這種方法治標不治本，如果機器重啟的話，這些共享又會恢復(fù)。此法比較適合于永不關(guān)閉的服務(wù)器，簡單而且有效?！?.4安全配置高級篇2023/2/147信息安全概論關(guān)閉默認共享關(guān)閉共享方法二：批處理自啟動法打開記事本，輸入如圖內(nèi)容保存為NotShare.bat（注意后綴！），然后把這個批處理文件拖到“程序”→“啟動”項，這樣每次開機就會運行它，也就是通過net命令關(guān)閉共享。如果哪一天你需要開啟某個或某些共享，只要重新編輯這個批處理文件即可（把相應(yīng)的那個命令行刪掉）?！?.4安全配置高級篇2023/2/148信息安全概論關(guān)閉默認共享關(guān)閉共享方法三：注冊表改鍵值法(最好的方式)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，將AutoShareServer鍵值由1改為0，若沒有AutoShareServer項，可自己新建一個再改鍵值。這樣就能關(guān)閉硬盤各分區(qū)的共享。在……\parameters下再找到AutoShareWks項，也把鍵值由1改為0，關(guān)閉admin$共享?！璡CurrentControlSet\Control\Lsa，將restrictanonymous鍵值設(shè)為1，關(guān)閉IPC$共享。注意：需重啟機器，一經(jīng)改動就會永遠停止共享?！?.4安全配置高級篇2023/2/149信息安全概論關(guān)閉默認共享關(guān)閉共享方法四：停止服務(wù)法（最簡單的方式）到“計算機管理”窗口中，展開左側(cè)的“服務(wù)和應(yīng)用程序”并選中其中的“服務(wù)”，此時右側(cè)就列出了所有服務(wù)項目。共享服務(wù)對應(yīng)的名稱是“Server”（在進程中的名稱為services），找到后雙擊它，在彈出的“常規(guī)”標簽中把“啟動類型”由原來的“自動”更改為“已禁用”。然后單擊下面“服務(wù)狀態(tài)”的“停止”按鈕，再確認一下就OK了。停止后，再點擊系統(tǒng)共享，出現(xiàn)如圖對話框§9.4安全配置高級篇2023/2/150信息安全概論關(guān)閉默認共享關(guān)閉共享方法五：卸載“文件和打印機共享”法(最笨的辦法)右擊“網(wǎng)上鄰居”選“屬性”，在彈出的“網(wǎng)絡(luò)和撥號連接”窗口中右擊“本地連接”選“屬性”，從“此連接使用下列選定的組件”中選中“Microsoft網(wǎng)絡(luò)的文件和打印機共享”后，單擊下面的“卸載”按鈕并確認一下。注意：本方法最大的缺陷是當你在某個文件夾上右擊時，彈出的快捷菜單中的“共享”一項消失了，因為對應(yīng)的功能服務(wù)已經(jīng)被卸載掉了！§9.4安全配置高級篇2023/2/151信息安全概論禁用Dump文件在系統(tǒng)崩潰和藍屏的時候，Dump文件是一份很有用資料，可以幫助查找問題。然而，也能夠給黑客提供一些敏感信息，比如一些應(yīng)用程序的密碼等需要禁止它，打開控制面板>系統(tǒng)屬性>高級>啟動和故障恢復(fù)，把寫入調(diào)試信息改成無，如圖§9.4安全配置高級篇2023/2/152信息安全概論文件加密系統(tǒng)Windows2000強大的加密系統(tǒng)能夠給磁盤，文件夾，文件加上一層安全保護。這樣可以防止別人把你的硬盤掛到別的機器上以讀出里面的數(shù)據(jù)。微軟公司為了彌補WindowsNT4.0的不足，在Windows2000中，提供了一種基于新一代NTFSV5的加密文件系統(tǒng)EFS（EncryptedFileSystem）。EFS實現(xiàn)的是一種基于公共密鑰的數(shù)據(jù)加密方式，利用了Windows2000中的CryptoAPI結(jié)構(gòu)?！?.4安全配置高級篇2023/2/153信息安全概論文件加密系統(tǒng)右鍵單擊文件夾，打開屬性-->常規(guī)-->高級完成設(shè)置后，其他用戶將無法訪問該文件夾，會彈出沒有訪問權(quán)的錯誤提示?！?.4安全配置高級篇2023/2/154信息安全概論文件加密系統(tǒng)開始-->運行-->輸入“mmc”，打開系統(tǒng)控制臺§9.4安全配置高級篇2023/2/155信息安全概論文件加密系統(tǒng)§9.4安全配置高級篇2023/2/156信息安全概論文件加密系統(tǒng)§9.4安全配置高級篇2023/2/157信息安全概論文件加密系統(tǒng)選中用于EFS的證書，單擊右鍵，在彈出菜單中單擊“所有任務(wù)”，在展開菜單中單擊“導(dǎo)出”§9.4安全配置高級篇2023/2/158信息安全概論文件加密系統(tǒng)§9.4安全配置高級篇2023/2/159信息安全概論文件加密系統(tǒng)§9.4安全配置高級篇2023/2/160信息安全概論文件加密系統(tǒng)切換用戶，同樣進入下圖界面，選擇“導(dǎo)入”§9.4安全配置高級篇2023/2/161信息安全概論文件加密系統(tǒng)§9.4安全配置高級篇2023/2/162信息安全概論文件加密系統(tǒng)證書導(dǎo)入完成后，該用戶成為加密文件的授權(quán)用戶，可以打開EFS加密文件了。§9.4安全配置高級篇2023/2/163信息安全概論加密Temp文件夾一些應(yīng)用程序在安裝和升級的時候，會把一些東西拷貝到Temp文件夾，但是當程序升級完畢或關(guān)閉的時候，并不會自己清除Temp文件夾的內(nèi)容。所以，給Temp文件夾加密可以給你的文件多一層保護。一般在C盤根目錄下和Windows目錄或Winnt目錄下都會有一個Temp文件夾，最好將其加密?！?.4安全配置高級篇2023/2/164信息安全概論鎖住注冊表在Windows2000中，只有Administrators和BackupOperators才有從網(wǎng)絡(luò)上訪問注冊表的權(quán)限。當帳號的密碼泄漏以后，黑客也可以在遠程訪問注冊表，當服務(wù)器放到網(wǎng)絡(luò)上的時候，一般需要鎖定注冊表。修改Hkey_current_user\Software\microsoft\windows\currentversion\Policies\system把DisableRegistryTools的值該為0，類型為DWORD§9.4安全配置高級篇2023/2/165信息安全概論關(guān)機時清除文件頁面文件也就是調(diào)度文件，是Windows2000用來存儲沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。一些第三方程序可以把一些沒有加密的密碼存在內(nèi)存中，頁面文件中可能含有另外一些敏感的資料。在關(guān)機的時候清除頁面文件，可以編輯注冊表，修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement，把ClearPageFileAtShutdown的值設(shè)置成1，如圖§9.4安全配置高級篇2023/2/166信息安全概論禁止軟盤光盤啟動一些第三方的工具能通過引導(dǎo)系統(tǒng)來繞過原有的安全機制。比如一些管理員工具，從軟盤上或者光盤上引導(dǎo)系統(tǒng)以后，就可以修改硬盤上操作系統(tǒng)的管理員密碼。如果服務(wù)器對安全要求非常高，可以考慮使用可移動軟盤和光驅(qū)，把機箱鎖起來仍然不失為一個好方法?！?.4安全配置高級篇2023/2/167信息安全概論使用智能卡對于密碼，總是使安全管理員進退兩難，容易受到一些工具的攻擊，如果密碼太復(fù)雜，用戶把為了記住密碼，會把密碼到處亂寫。如果條件允許，用智能卡來代替復(fù)雜的密碼是一個很好的解決方法?！?.4安全配置高級篇2023/2/168信息安全概論使用IPSec正如其名字的含義，IPSec提供IP數(shù)據(jù)包的安全性。IPSec提供身份驗證、完整性和可選擇的機密性。發(fā)送方計算機在傳輸之前加密數(shù)據(jù)，而接收方計算機在收到數(shù)據(jù)之后解密數(shù)據(jù)。利用IPSec可以使得系統(tǒng)的安全性能大大增強。如果條件允許，可以使用VPN里的IPSec來加密傳輸信息§9.4安全配置高級篇2023/2/169信息安全概論禁止通過TTL判斷主機類型黑客利用TTL（Time-To-Live，活動時間）值可以鑒別操作系統(tǒng)的類型，通過Ping指令能判斷目標主機類型。許多入侵者首先會Ping一下主機，因為攻擊某一臺計算機需要根據(jù)對方的操作系統(tǒng)，是Windows還是Unix。如果TTL值為128就可以認為你的系統(tǒng)為Windows2000§9.4安全配置高級篇2023/2/170信息安全概論禁止通過TTL判斷主機類型修改TTL的值，入侵者就無法入侵電腦了。比如將操作系統(tǒng)的TTL值改為111，修改HKEY_LOCAL_MACHINE\SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS，新建一個雙字節(jié)項，如圖§9.4安全配置高級篇2023/2/171信息安全概論禁止通過TTL判斷主機類型在鍵的名稱中輸入“defaultTTL”，然后雙擊改鍵名，選擇單選框“十進制”，在文本框中輸入111，如圖§9.4安全配置高級篇2023/2/172信息安全概論禁止通過TTL判斷主機類型設(shè)置完畢重新啟動計算機，再用Ping指令，發(fā)現(xiàn)TTL的值已經(jīng)被改成111了，如圖§9.4安全配置高級篇2023/2/173信息安全概論抵抗DDOS添加注冊表的一些鍵值，可以有效的抵抗DDOS的攻擊。在鍵值HKEY_LOCA