操作系統(tǒng)安全配置方案Presen

第七章操作系統(tǒng)安全配置方案7第1頁內(nèi)容提要本章介紹Windows服務(wù)器安全配置。操作系統(tǒng)安全將決定網(wǎng)絡(luò)安全，從保護(hù)級(jí)別上分成安全初級(jí)篇、中級(jí)篇和高級(jí)篇，共36條基本配置標(biāo)準(zhǔn)。安全配置初級(jí)篇講述常規(guī)操作系統(tǒng)安全配置，中級(jí)篇介紹操作系統(tǒng)安全策略配置，高級(jí)篇介紹操作系統(tǒng)安全信息通信配置。第2頁操作系統(tǒng)概述當(dāng)前服務(wù)器慣用操作系統(tǒng)有三類：UnixLinuxWindowsNT//Server。這些操作系統(tǒng)都是符合C2級(jí)安全級(jí)別操作系統(tǒng)。不過都存在不少漏洞，假如對(duì)這些漏洞不了解，不采取對(duì)應(yīng)辦法，就會(huì)使操作系統(tǒng)完全暴露給入侵者。第3頁UNIX系統(tǒng)UNIX操作系統(tǒng)是由美國貝爾試驗(yàn)室開發(fā)一個(gè)多用戶、多任務(wù)通用操作系統(tǒng)。它從一個(gè)試驗(yàn)室產(chǎn)品發(fā)展成為當(dāng)前使用普遍、影響深遠(yuǎn)主流操作系統(tǒng)。UNIX誕生于20世紀(jì)60年代末期，貝爾試驗(yàn)室研究人員于1969年開始在GE645計(jì)算機(jī)上實(shí)現(xiàn)一個(gè)分時(shí)操作系統(tǒng)雛形，以后該系統(tǒng)被移植到了DECPDP-7小型機(jī)上。1970年給系統(tǒng)正式取名為Unix操作系統(tǒng)。到1973年，Unix系統(tǒng)絕大部分源代碼都用C語言重新編寫過，大大提升了Unix系統(tǒng)可移植性，也為提升系統(tǒng)軟件開發(fā)效率創(chuàng)造了條件。第4頁主要特色UNIX操作系統(tǒng)經(jīng)過20多年發(fā)展后，已經(jīng)成為一個(gè)成熟主流操作系統(tǒng)，并在發(fā)展過程中逐步形成了一些新特色，其中主要特色包含5個(gè)方面。（1）可靠性高（2）極強(qiáng)伸縮性（3）網(wǎng)絡(luò)功效強(qiáng)（4）強(qiáng)大數(shù)據(jù)庫支持功效（5）開放性好第5頁Linux系統(tǒng)Linux是一套能夠無償使用和自由傳輸類Unix操作系統(tǒng)，主要用于基于Intelx86系列CPU計(jì)算機(jī)上。這個(gè)系統(tǒng)是由全世界各地成千上萬程序員設(shè)計(jì)和實(shí)現(xiàn)。其目標(biāo)是建立不受任何商品化軟件版權(quán)制約、全世界都能自由使用Unix兼容產(chǎn)品。Linux最早開始于一位名叫LinusTorvalds計(jì)算機(jī)業(yè)余興趣者，當(dāng)初他是芬蘭赫爾辛基大學(xué)學(xué)生。目標(biāo)是想設(shè)計(jì)一個(gè)代替Minix（是由一位名叫AndrewTannebaum計(jì)算機(jī)教授編寫一個(gè)操作系統(tǒng)示教程序）操作系統(tǒng)。這個(gè)操作系統(tǒng)可用于386、486或飛躍處理器個(gè)人計(jì)算機(jī)上，而且含有Unix操作系統(tǒng)全部功效。第6頁Linux是一個(gè)無償操作系統(tǒng)，用戶能夠無償取得其源代碼，并能夠隨意修改。它是在共用許可證GPL(GeneralPublicLicense)保護(hù)下自由軟件，也有好幾個(gè)版本，如RedHatLinux、Slackware，以及國內(nèi)XteamLinux、紅旗Linux等等。Linux流行是因?yàn)樗性S多優(yōu)點(diǎn)，經(jīng)典優(yōu)點(diǎn)有7個(gè)。第7頁Linux經(jīng)典優(yōu)點(diǎn)有7個(gè)。（1）完全無償（2）完全兼容POSIX1.0標(biāo)準(zhǔn)（3）多用戶、多任務(wù)（4）良好界面（5）豐富網(wǎng)絡(luò)功效（6）可靠安全、穩(wěn)定性能（7）支持各種平臺(tái)第8頁Windows系統(tǒng)WindowsNT（NewTechnology）是微軟企業(yè)第一個(gè)真正意義上網(wǎng)絡(luò)操作系統(tǒng)，發(fā)展經(jīng)過NT3.0、NT40、NT5.0（Windows）和NT6.0（Windows）等眾多版本，并逐步占據(jù)了廣大中小網(wǎng)絡(luò)操作系統(tǒng)市場。WindowsNT眾多版本操作系統(tǒng)使用了與Windows9X完全一致用戶界面和完全相同操作方法，使用戶使用起來比較方便。與Windows9X相比，WindowsNT網(wǎng)絡(luò)功效愈加強(qiáng)大而且安全。第9頁WindowsNT系列操作系統(tǒng)WindowsNT系列操作系統(tǒng)含有以下三方面優(yōu)點(diǎn)。（1）支持各種網(wǎng)絡(luò)協(xié)議因?yàn)樵诰W(wǎng)絡(luò)中可能存在各種客戶機(jī)，如Windows95/98、AppleMacintosh、Unix、OS/2等等，而這些客戶機(jī)可能使用了不一樣網(wǎng)絡(luò)協(xié)議，如TCP/IP協(xié)議、IPX/SPX等。WindowsNT系列操作支持幾乎全部常見網(wǎng)絡(luò)協(xié)議。（2）內(nèi)置Internet功效伴隨Internet流行和TCP/IP協(xié)議組標(biāo)準(zhǔn)化，WindowsNT內(nèi)置了IIS（InternetInformationServer），能夠使網(wǎng)絡(luò)管理員輕松配置WWW和FTP等服務(wù)。（3）支持NTFS文件系統(tǒng)Windows9X所使用文件系統(tǒng)是FAT，在NT中內(nèi)置同時(shí)支持FAT和NTFS磁盤分區(qū)格式。使用NTFS好處主要是能夠提升文件管理安全性，用戶能夠?qū)TFS系統(tǒng)中任何文件、目錄設(shè)置權(quán)限，這么當(dāng)多用戶同時(shí)訪問系統(tǒng)時(shí)候，能夠增加文件安全性。第10頁安全配置方案初級(jí)篇安全配置方案初級(jí)篇主要介紹常規(guī)操作系統(tǒng)安全配置，包含十二條基本配置標(biāo)準(zhǔn)：物理安全、停頓Guest帳號(hào)、限制用戶數(shù)量創(chuàng)建多個(gè)管理員帳號(hào)、管理員帳號(hào)更名陷阱帳號(hào)、更改默認(rèn)權(quán)限、設(shè)置安全密碼屏幕保護(hù)密碼、使用NTFS分區(qū)運(yùn)行防毒軟件和確保備份盤安全。第11頁1、物理安全服務(wù)器應(yīng)該安放在安裝了監(jiān)視器隔離房間內(nèi)，而且監(jiān)視器要保留15天以上攝像統(tǒng)計(jì)。另外，機(jī)箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進(jìn)入房間也無法使用電腦，鑰匙要放在安全地方。第12頁2、停頓Guest帳號(hào)在計(jì)算機(jī)管理用戶里面把Guest帳號(hào)停用，任何時(shí)候都不允許Guest帳號(hào)登陸系統(tǒng)。為了保險(xiǎn)起見，最好給Guest加一個(gè)復(fù)雜密碼，能夠打開記事本，在里面輸入一串包含特殊字符,數(shù)字，字母長字符串。用它作為Guest帳號(hào)密碼。而且修改Guest帳號(hào)屬性，設(shè)置拒絕遠(yuǎn)程訪問，如圖7-1所表示。第13頁3限制用戶數(shù)量去掉全部測試帳戶、共享帳號(hào)和普通部門帳號(hào)等等。用戶組策略設(shè)置對(duì)應(yīng)權(quán)限，而且經(jīng)常檢驗(yàn)系統(tǒng)帳戶，刪除已經(jīng)不使用帳戶。帳戶很多是黑客們?nèi)肭窒到y(tǒng)突破口，系統(tǒng)帳戶越多，黑客們得到正當(dāng)用戶權(quán)限可能性普通也就越大。對(duì)于WindowsNT/主機(jī)，假如系統(tǒng)帳戶超出10個(gè)，普通能找出一兩個(gè)弱口令帳戶，所以帳戶數(shù)量不要大于10個(gè)。第14頁4多個(gè)管理員帳號(hào)即使這點(diǎn)看上去和上面有些矛盾，但實(shí)際上是服從上面規(guī)則。創(chuàng)建一個(gè)普通用戶權(quán)限帳號(hào)用來處理電子郵件以及處理一些日常事物，另一個(gè)擁有Administrator權(quán)限帳戶只在需要時(shí)候使用。因?yàn)橹灰卿浵到y(tǒng)以后，密碼就存放再WinLogon進(jìn)程中，當(dāng)有其它用戶入侵計(jì)算機(jī)時(shí)候就能夠得到登錄用戶密碼，盡可能降低Administrator登錄次數(shù)和時(shí)間。第15頁5管理員帳號(hào)更名Windows中Administrator帳號(hào)是不能被停用，這意味著他人能夠一遍又一邊嘗試這個(gè)帳戶密碼。把Administrator帳戶更名能夠有效預(yù)防這一點(diǎn)。不要使用Admin之類名字，改了等于沒改，盡可能把它偽裝成普通用戶，比如改成：guestone。詳細(xì)操作時(shí)候只要選中帳戶名更名就能夠了，如圖7-2所表示。第16頁6陷阱帳號(hào)所謂陷阱帳號(hào)是創(chuàng)建一個(gè)名為“Administrator”當(dāng)?shù)貛?，把它?quán)限設(shè)置成最低，什么事也干不了那種，而且加上一個(gè)超出10位超級(jí)復(fù)雜密碼。這么能夠讓那些企圖入侵者忙上一段時(shí)間了，而且能夠借此發(fā)覺它們?nèi)肭制髨D。能夠?qū)⒃撚脩綦`屬組修改成Guests組，如圖7-3所表示。第17頁7更改默認(rèn)權(quán)限共享文件權(quán)限從“Everyone”組改成“授權(quán)用戶”?！癊veryone”在Windows中意味著任何有權(quán)進(jìn)入你網(wǎng)絡(luò)用戶都能夠取得這些共享資料。任何時(shí)候不要把共享文件用戶設(shè)置成“Everyone”組。包含打印共享，默認(rèn)屬性就是“Everyone”組，一定不要忘了改。設(shè)置某文件夾共享默認(rèn)設(shè)置如圖7-4所表示。第18頁8安全密碼好密碼對(duì)于一個(gè)網(wǎng)絡(luò)是非常主要，不過也是最輕易被忽略。一些網(wǎng)絡(luò)管理員創(chuàng)建帳號(hào)時(shí)候往往用企業(yè)名，計(jì)算機(jī)名，或者一些別一猜就到字符做用戶名，然后又把這些帳戶密碼設(shè)置得比較簡單，比如：“welcome”、“iloveyou”、“l(fā)etmein”或者和用戶名相同密碼等。這么帳戶應(yīng)該要求用戶首此登陸時(shí)候更改成復(fù)雜密碼，還要注意經(jīng)常更改密碼。這里給好密碼下了個(gè)定義：安全期內(nèi)無法破解出來密碼就是好密碼，也就是說，假如得到了密碼文檔，必須花43天或者更長時(shí)間才能破解出來，密碼策略是42天必須改密碼。第19頁9屏幕保護(hù)密碼設(shè)置屏幕保護(hù)密碼是預(yù)防內(nèi)部人員破壞服務(wù)器一個(gè)屏障。注意不要使用OpenGL和一些復(fù)雜屏幕保護(hù)程序，浪費(fèi)系統(tǒng)資源，黑屏就能夠了。還有一點(diǎn)，全部系統(tǒng)用戶所使用機(jī)器也最好加上屏幕保護(hù)密碼。將屏幕保護(hù)選項(xiàng)“密碼保護(hù)”選中就能夠了，并將等候時(shí)間設(shè)置為最短時(shí)間“1秒”，如圖7-5所表示。第20頁10NTFS分區(qū)把服務(wù)器全部分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT、FAT32文件系統(tǒng)安全得多。第21頁11防毒軟件Windows/NT服務(wù)器普通都沒有安裝防毒軟件，一些好殺毒軟件不但能殺掉一些著名病毒，還能查殺大量木馬和后門程序。設(shè)置了放毒軟件，“黑客”們使用那些有名木馬就毫無用武之地了，而且要經(jīng)常升級(jí)病毒庫。第22頁12備份盤安全一旦系統(tǒng)資料被黑客破壞，備份盤將是恢復(fù)資料唯一路徑。備份完資料后，把備份盤防在安全地方。不能把資料備份在同一臺(tái)服務(wù)器上，這么話還不如不要備份。第23頁安全配置方案中級(jí)篇安全配置方案中級(jí)篇主要介紹操作系統(tǒng)安全策略配置，包含十條基本配置標(biāo)準(zhǔn)：操作系統(tǒng)安全策略、關(guān)閉無須要服務(wù)關(guān)閉無須要端口、開啟審核策略開啟密碼策略、開啟帳戶策略、備份敏感文件不顯示上次登陸名、禁止建立空連接和下載最新補(bǔ)丁第24頁1操作系統(tǒng)安全策略利用Windows安全配置工具來配置安全策略，微軟提供了一套基于管理控制臺(tái)安全配置和分析工具，能夠配置服務(wù)器安全策略。在管理工具中能夠找到“當(dāng)?shù)匕踩呗浴?，主界面如圖7-6所表示。能夠配置四類安全策略：帳戶策略、當(dāng)?shù)夭呗浴⒐€策略和IP安全策略。在默認(rèn)情況下，這些策略都是沒有開啟。第25頁2關(guān)閉無須要服務(wù)WindowsTerminalServices（終端服務(wù)）和IIS（Internet信息服務(wù)）等都可能給系統(tǒng)帶來安全漏洞。為了能夠在遠(yuǎn)程方便管理服務(wù)器，很多機(jī)器終端服務(wù)都是開著，假如開了，要確認(rèn)已經(jīng)正確配置了終端服務(wù)。有些惡意程序也能以服務(wù)方式悄悄運(yùn)行服務(wù)器上終端服務(wù)。要留心服務(wù)器上開啟全部服務(wù)并天天檢驗(yàn)。Windows作為服務(wù)器可禁用服務(wù)及其相關(guān)說明如表7-1所表示。第26頁Windows可禁用服務(wù)服務(wù)名說明ComputerBrowser維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)最新列表以及提供這個(gè)列表Taskscheduler允許程序在指定時(shí)間運(yùn)行RoutingandRemoteAccess在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)Removablestorage管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫RemoteRegistryService允許遠(yuǎn)程注冊(cè)表操作PrintSpooler將文件加載到內(nèi)存中方便以后打印。要用打印機(jī)用戶不能禁用這項(xiàng)服務(wù)IPSECPolicyAgent管理IP安全策略以及開啟ISAKMP/Oakley(IKE)和IP安全驅(qū)動(dòng)程序DistributedLinkTrackingClient當(dāng)文件在網(wǎng)絡(luò)域NTFS卷中移動(dòng)時(shí)發(fā)送通知Com+EventSystem提供事件自動(dòng)公布到訂閱COM組件第27頁3關(guān)閉無須要端口關(guān)閉端口意味著降低功效，假如服務(wù)器安裝在防火墻后面，被入侵機(jī)會(huì)就會(huì)少一些，不過不能夠認(rèn)為高枕無憂了。用端口掃描器掃描系統(tǒng)所開放端口，在Winnt\system32\drivers\etc\services文件中有著名端口和服務(wù)對(duì)照表可供參考。該文件用記事本打開如圖7-7所表示。第28頁設(shè)置本機(jī)開放端口和服務(wù)，在IP地址設(shè)置窗口中點(diǎn)擊按鈕“高級(jí)”，如圖7-8所表示。第29頁在出現(xiàn)對(duì)話框中選擇選項(xiàng)卡“選項(xiàng)”，選中“TCP/IP篩選”，點(diǎn)擊按鈕“屬性”，如圖7-9所表示。第30頁設(shè)置端口界面如圖7-10所表示。一臺(tái)Web服務(wù)器只允許TCP80端口經(jīng)過就能夠了。TCP/IP篩選器是Windows自帶防火墻，功效比較強(qiáng)大，能夠替換防火墻部分功效。第31頁4開啟審核策略安全審核是Windows最基本入侵檢測方法。當(dāng)有些人嘗試對(duì)系統(tǒng)進(jìn)行某種方式（如嘗試用戶密碼，改變帳戶策略和未經(jīng)許可文件訪問等等）入侵時(shí)候，都會(huì)被安全審核統(tǒng)計(jì)下來。很多管理員在系統(tǒng)被入侵了幾個(gè)月都不知道，直到系統(tǒng)遭到破壞。表7-2這些審核是必須開啟，其它能夠依據(jù)需要增加。策略設(shè)置審核系統(tǒng)登陸事件成功，失敗審核帳戶管理成功，失敗審核登陸事件成功，失敗審查對(duì)象訪問成功審核策略更改成功，失敗審核特權(quán)使用成功，失敗審核系統(tǒng)事件成功，失敗第32頁審核策略默認(rèn)設(shè)置審核策略在默認(rèn)情況下都是沒有開啟，如圖7-11所表示。第33頁雙擊審核列表某一項(xiàng)，出現(xiàn)設(shè)置對(duì)話框，將復(fù)選框“成功”和“失敗”都選中，如圖7-12所表示。第34頁5開啟密碼策略密碼對(duì)系統(tǒng)安全非常主要。當(dāng)?shù)匕踩O(shè)置中密碼策略在默認(rèn)情況下都沒有開啟。需要開啟密碼策略如表7-3所表示策略設(shè)置密碼復(fù)雜性要求啟用密碼長度最小值6位密碼最長存留期15天強(qiáng)制密碼歷史5個(gè)第35頁設(shè)置選項(xiàng)如圖7-13所表示。第36頁6開啟帳戶策略開啟帳戶策略能夠有效預(yù)防字典式攻擊，設(shè)置如表7-4所表示。策略設(shè)置復(fù)位帳戶鎖定計(jì)數(shù)器30分鐘帳戶鎖定時(shí)間30分鐘帳戶鎖定閾值5次第37頁設(shè)置帳戶策略設(shè)置結(jié)果如圖7-14所表示。第38頁7備份敏感文件把敏感文件存放在另外文件服務(wù)器中，即使服務(wù)器硬盤容量都很大，不過還是應(yīng)該考慮把一些主要用戶數(shù)據(jù)（文件，數(shù)據(jù)表和項(xiàng)目文件等）存放在另外一個(gè)安全服務(wù)器中，而且經(jīng)常備份它們第39頁8不顯示上次登錄名默認(rèn)情況下，終端服務(wù)接入服務(wù)器時(shí)，登陸對(duì)話框中會(huì)顯示上次登陸帳戶名，當(dāng)?shù)氐顷憣?duì)話框也是一樣。黑客們能夠得到系統(tǒng)一些用戶名，進(jìn)而做密碼猜測。修改注冊(cè)表禁止顯示上次登錄名，在HKEY_LOCAL_MACHINE主鍵下修改子鍵：Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，將鍵值改成1，如圖7-15所表示。

第40頁9禁止建立空連接默認(rèn)情況下，任何用戶經(jīng)過空連接連上服務(wù)器，進(jìn)而能夠枚舉出帳號(hào)，猜測密碼。能夠經(jīng)過修改注冊(cè)表來禁止建立空連接。在HKEY_LOCAL_MACHINE主鍵下修改子鍵：System\CurrentControlSet\Control\LSA\RestrictAnonymous，將鍵值改成“1”即可。如圖7-16所表示。第41頁10下載最新補(bǔ)丁很多網(wǎng)絡(luò)管理員沒有訪問安全站點(diǎn)習(xí)慣，以至于一些漏洞都出了很久了，還放著服務(wù)器漏洞不補(bǔ)給人家當(dāng)靶子用。誰也不敢確保數(shù)百萬行以上代碼Windows不出一點(diǎn)安全漏洞。經(jīng)常訪問微軟和一些安全站點(diǎn)，下載最新ServicePack和漏洞補(bǔ)丁，是保障服務(wù)器長久安全唯一方法。

第42頁安全配置方案高級(jí)篇高級(jí)篇介紹操作系統(tǒng)安全信息通信配置，包含十四條配置標(biāo)準(zhǔn)：關(guān)閉DirectDraw、關(guān)閉默認(rèn)共享禁用DumpFile、文件加密系統(tǒng)加密Temp文件夾、鎖住注冊(cè)表、關(guān)機(jī)時(shí)去除文件禁止軟盤光盤開啟、使用智能卡、使用IPSec禁止判斷主機(jī)類型、抵抗DDOS禁止Guest訪問日志和數(shù)據(jù)恢復(fù)軟件第43頁1關(guān)閉DirectDrawC2級(jí)安全標(biāo)準(zhǔn)對(duì)視頻卡和內(nèi)存有要求。關(guān)閉DirectDraw可能對(duì)一些需要用到DirectX程序有影響（比如游戲），不過對(duì)于絕大多數(shù)商業(yè)站點(diǎn)都是沒有影響。在HKEY_LOCAL_MACHINE主鍵下修改子鍵：SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，將鍵值改為“0”即可，如圖7-17所表示。第44頁2關(guān)閉默認(rèn)共享Windows安裝以后，系統(tǒng)會(huì)創(chuàng)建一些隱藏共享，能夠在DOS提醒符下輸入命令NetShare查看，如圖7-18所表示。第45頁停頓默認(rèn)共享禁止這些共享，打開管理工具>計(jì)算機(jī)管理>共享文件夾>共享，在對(duì)應(yīng)共享文件夾上按右鍵，點(diǎn)停頓共享即可，如圖7-19所表示。第46頁3禁用Dump文件在系統(tǒng)瓦解和藍(lán)屏?xí)r候，Dump文件是一份很有用資料，能夠幫助查找問題。然而，也能夠給黑客提供一些敏感信息，比如一些應(yīng)用程序密碼等需要禁止它，打開控制面板>系統(tǒng)屬性>高級(jí)>開啟和故障恢復(fù)，把寫入調(diào)試信息改成無，如圖7-20所表示。第47頁4文件加密系統(tǒng)Windows強(qiáng)大加密系統(tǒng)能夠給磁盤，文件夾，文件加上一層安全保護(hù)。這么能夠預(yù)防他人把你硬盤掛到別機(jī)器上以讀出里面數(shù)據(jù)。微軟企業(yè)為了填補(bǔ)WindowsNT4.0不足，在Windows中，提供了一個(gè)基于新一代NTFS：NTFSV5（第5版本）加密文件系統(tǒng)（EncryptedFileSystem，簡稱EFS）。EFS實(shí)現(xiàn)是一個(gè)基于公共密鑰數(shù)據(jù)加密方式，利用了Windows中CryptoAPI結(jié)構(gòu)。第48頁5加密Temp文件夾一些應(yīng)用程序在安裝和升級(jí)時(shí)候，會(huì)把一些東西拷貝到Temp文件夾，不過當(dāng)程序升級(jí)完成或關(guān)閉時(shí)候，并不會(huì)自己去除Temp文件夾內(nèi)容。所以，給Temp文件夾加密能夠給你文件多一層保護(hù)。第49頁6鎖住注冊(cè)表在Windows中，只有Administrators和BackupOperators才有從網(wǎng)絡(luò)上訪問注冊(cè)表權(quán)限。當(dāng)帳號(hào)密碼泄漏以后，黑客也能夠在遠(yuǎn)程訪問注冊(cè)表，當(dāng)服務(wù)器放到網(wǎng)絡(luò)上時(shí)候，普通需要鎖定注冊(cè)表。修改Hkey_current_user下子鍵Software\microsoft\windows\currentversion\Policies\system把DisableRegistryTools值該為0，類型為DWORD，如圖7-21所表示。第50頁7關(guān)機(jī)時(shí)去除文件頁面文件也就是調(diào)度文件，是Windows用來存放沒有裝入內(nèi)存程序和數(shù)據(jù)文件部分隱藏文件。一些第三方程序能夠把一些沒有加密密碼存在內(nèi)存中，頁面文件中可能含有另外一些敏感資料。要在關(guān)機(jī)時(shí)候清楚頁面文件，能夠編輯注冊(cè)表修改主鍵HKEY_LOCAL_MACHINE下子鍵：SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPageFileAtShutdown值設(shè)置成1，如圖7-22所表示。第51頁8禁止軟盤光盤開啟一些第三方工具能經(jīng)過引導(dǎo)系統(tǒng)來繞過原有安全機(jī)制。比如一些管理員工具，從軟盤上或者光盤上引導(dǎo)系統(tǒng)以后，就能夠修改硬盤上操作系統(tǒng)管理員密碼。假如服務(wù)器對(duì)安全要求非常高，能夠考慮使用可移動(dòng)軟盤和光驅(qū)，把機(jī)箱鎖起來依然不失為一個(gè)好方法。第52頁9使用智能卡對(duì)于密碼，總是使安全管理員進(jìn)退兩難，輕易受到一些工具攻擊，假如密碼太復(fù)雜，用戶把為了記住密碼，會(huì)把密碼處處亂寫。假如條件允許，用智能卡來代替復(fù)雜密碼是一個(gè)很好處理方法。第53頁10使用IPSec正如其名字含義，IPSec提供IP數(shù)據(jù)包安全性。IPSec提供身份驗(yàn)證、完整性和可選擇機(jī)密性。發(fā)送方計(jì)算機(jī)在傳輸之前加密數(shù)據(jù)，而接收方計(jì)算機(jī)在收到數(shù)據(jù)之后解密數(shù)據(jù)。利用IPSec能夠使得系統(tǒng)安全性能大大增強(qiáng)。第54頁11禁止判斷主機(jī)類型黑客利用TTL（Time-To-Live，活動(dòng)時(shí)間）值能夠判別操作系統(tǒng)類型，經(jīng)過Ping指令能判斷目標(biāo)主機(jī)類型。Ping用處是檢測目標(biāo)主機(jī)是否連通。許多入侵者首先會(huì)Ping一下主機(jī)，因?yàn)楣裟骋慌_(tái)計(jì)算機(jī)需要依據(jù)對(duì)方操作系統(tǒng)，是Windows還是Unix。如過TTL值為128就能夠認(rèn)為你系統(tǒng)為Windows，如圖7-23所表示。第55頁從圖中能夠看出，TTL值為128，說明改主機(jī)操作系統(tǒng)是Windows操作系統(tǒng)。表7-6給出了一些常見操作系統(tǒng)對(duì)照值。操作系統(tǒng)類型TTL返回值Windows128WindowsNT107win9x128or127solaris252IRIX240AIX247Linux241or240第56頁修改TTL值，入侵者就無法入侵電腦了。比如將操作系統(tǒng)TTL值改為111，修改主鍵HKEY_LOCAL_MACHINE子鍵：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS新建一個(gè)雙字節(jié)項(xiàng)，如圖7-24所表示。第57頁在鍵名稱中輸入“defaultTTL”，然后雙擊改鍵名，選擇單項(xiàng)選擇框“十進(jìn)制”，在文本框中輸入111，如圖7-25所表示。第58頁設(shè)置完成重新開啟計(jì)算機(jī)，再用Ping指令，發(fā)覺TTL值已經(jīng)被改成111了，如圖7-26所表示。第59頁12抵抗DDOS添加注冊(cè)表一些鍵值，能夠有效抵抗DDOS攻擊。在鍵值[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加響應(yīng)鍵及其說明如表7-7所表示。增加鍵值鍵值說明"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000000"KeepAliveTime"=dword:00000000"PerformRouterDiscovery"=dword:00000000基本設(shè)置"EnableICMPRedirects"=dword:00000000預(yù)防ICMP重定向報(bào)文攻擊"SynAttackProtect"=dword:00000002預(yù)防SYN洪水攻擊"TcpMaxHalfOpenRetried"=dword:00000080僅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried設(shè)置超出范圍時(shí),保護(hù)機(jī)制才會(huì)采取方法"TcpMaxHalfOpen"=dword:00000100"IGMPLevel"=dword:00000000不支持IGMP協(xié)議"EnableDeadGWDetect"=dword:00000000禁止死網(wǎng)關(guān)監(jiān)測技術(shù)"IPEnableRouter"=dword:00000001支持路由功效第60頁13禁止Guest訪問日志在默認(rèn)安裝WindowsNT和Windows中，Guest帳號(hào)和匿名用戶能夠查看系統(tǒng)事件日志，可能造成許多主要信息泄漏，修改注冊(cè)表來禁止Guest訪問事件日志。禁止Guest訪問應(yīng)用日志HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application下添加鍵值名稱為：RestrictGuestAccess，類型為：DWORD，將值設(shè)置為1。系統(tǒng)日志：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog