《網(wǎng)絡(luò)安全實用教程》配套(人民郵電出版)ch2解讀課件

第2章

網(wǎng)絡(luò)操作系統(tǒng)安全第2章

網(wǎng)絡(luò)操作系統(tǒng)安全本章有三小節(jié)2.1常用的網(wǎng)絡(luò)操作系統(tǒng)簡介2.2操作系統(tǒng)安全與訪問控制2.3網(wǎng)絡(luò)操作系統(tǒng)的安全設(shè)置實例本章有三小節(jié)2.1常用的網(wǎng)絡(luò)操作系統(tǒng)簡介目前較常用的網(wǎng)絡(luò)操作系統(tǒng)有Unix、Linux、WindowsNT/2000/2003等，它們都是屬于C2安全級別的操作系統(tǒng)。2.1常用的網(wǎng)絡(luò)操作系統(tǒng)簡介目前較常用的網(wǎng)絡(luò)操作系統(tǒng)有Un2.1.1WindowsNTWindowsNT(NewTechnology)是由Microsoft于1993年推出的網(wǎng)絡(luò)操作系統(tǒng)，其中較為成熟的版本是1996年推出的NT4.0。WindowsNT是一個圖形化、多用戶、多任務(wù)的網(wǎng)絡(luò)操作系統(tǒng)，具有強(qiáng)大的網(wǎng)絡(luò)管理功能。2.1.1WindowsNT與其后的網(wǎng)絡(luò)操作系統(tǒng)不同的是，WindowsNT具有服務(wù)器版本(WindowsNTServer)和工作站版本(WindowsNTWorkstation)。服務(wù)器版本使用在服務(wù)器上，工作站版本使用在工作站(客戶機(jī))上。與其后的網(wǎng)絡(luò)操作系統(tǒng)不同的是，WindowsNT具有服務(wù)器2.1.2Windows2000/20031、Windows2000Windows2000操作系統(tǒng)集成了Windows98和WindowsNT4.0的優(yōu)點，并且在很多方面做了改進(jìn)，使得Windows2000在功能上、安全性上都得到了很大的提高。Windows2000包括Windows2000Professional、Windows2000Server、Windows2000AdvancedServer和Windows2000Datacenter四個版本，其中Windows2000Professional屬于單機(jī)操作系統(tǒng)，而其他幾種則屬于網(wǎng)絡(luò)操作系統(tǒng)。2.1.2Windows2000/2003活動目錄是Windows2000新增加的功能。活動目錄是指一種可擴(kuò)展的、可分布在多臺服務(wù)器的數(shù)據(jù)庫，在這個數(shù)據(jù)庫中存儲了系統(tǒng)的賬戶信息。用戶不管在哪一臺客戶機(jī)上登錄服務(wù)器，所得到的服務(wù)都是一樣的。Windows2000還增加了多項網(wǎng)絡(luò)服務(wù)，如虛擬專用網(wǎng)（VPN）技術(shù)、路由與遠(yuǎn)程訪問功能和網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）功能等?；顒幽夸浭荳indows2000新增加的功能。活動目錄是指2、Windows2003Windows2003是Microsoft推出的又一款網(wǎng)絡(luò)操作系統(tǒng)，與Windows2000不同的是Windows2003只有網(wǎng)絡(luò)版操作系統(tǒng)，一般稱之為WindowsServer2003。WindowsServer2003的具體版本可分為Web、Standard、Enterprise和Datacenter版。Windows2003總體上比Windows2000更安全、更可靠，并且增加了一些新的服務(wù)功能，是“.NET”技術(shù)的應(yīng)用。2、Windows2003在安全性方面，Windows2003填補(bǔ)了Windows2000的很多系統(tǒng)漏洞，如輸入法漏洞、IIS漏洞和Printer漏洞等。Windows2003的IIS也升級為6.0，相比Windows2000的IIS5.0更安全可靠并且提高了管理性能。在安全性方面，Windows2003填補(bǔ)了Windows2.1.3Unix和Linux

1、Unix系統(tǒng)Unix操作系統(tǒng)是由美國貝爾實驗室在上世紀(jì)60年代末開發(fā)成功的網(wǎng)絡(luò)操作系統(tǒng)，一般用于大型機(jī)和小型機(jī)上，較少用于微機(jī)。由于各大廠商對Unix系統(tǒng)的開發(fā)，Unix形成了多種版本，如IBM公司的AIX系統(tǒng)、HP公司的HP-UX系統(tǒng)、SUN公司的Solaris系統(tǒng)等。2.1.3Unix和LinuxUnix系統(tǒng)在20世紀(jì)70年代用C語言進(jìn)行了重新編寫，提高了Unix系統(tǒng)的可用性和可移植性，使之得到了廣泛的應(yīng)用。Unix系統(tǒng)的主要特點：高可靠性。極強(qiáng)的伸縮性。強(qiáng)大的網(wǎng)絡(luò)功能。開放性。Unix系統(tǒng)在20世紀(jì)70年代用C語言進(jìn)行了重新編寫，提高了2、Linux系統(tǒng)Linux系統(tǒng)是類似于Unix系統(tǒng)的自由軟件，主要用于基于Intelx86CPU的計算機(jī)上。Linux系統(tǒng)的主要特點：(1)完全免費(fèi)。(2)良好的操作界面。(3)強(qiáng)大的網(wǎng)絡(luò)功能。2、Linux系統(tǒng)2．2操作系統(tǒng)安全與訪問控制2.2.1網(wǎng)絡(luò)操作系統(tǒng)安全1、主體和客體（1）主體：主體是指行為動作的主要發(fā)動者或施行者，包括用戶、主機(jī)、程序進(jìn)程等。作為用戶這個主體，為了保護(hù)系統(tǒng)的安全，必須保證每個主體的唯一性和可驗證性。2．2操作系統(tǒng)安全與訪問控制2.2.1網(wǎng)絡(luò)操作系統(tǒng)安全（2）客體：客體是指被主體所調(diào)用的對象，如程序、數(shù)據(jù)等。在操作系統(tǒng)中，任何客體都是為主體服務(wù)的，而任何操作都是主體對客體進(jìn)行的。在安全操作系統(tǒng)中必須要確認(rèn)主體的安全性，同時也必須確認(rèn)主體對客體操作的安全性。（2）客體：2、安全策略與安全模型（1）安全策略：安全策略是指使計算機(jī)系統(tǒng)安全的實施規(guī)則。（2）安全模型：安全模型是指使計算機(jī)系統(tǒng)安全的一些抽象的描述和安全框架。2、安全策略與安全模型3、

可信計算基可信計算基(TrustedComputingBase)是指構(gòu)成安全操作系統(tǒng)的一系列軟件、硬件和信息安全管理人員的集合，只有這幾方面的結(jié)合才能真正保證系統(tǒng)的安全。3、可信計算基4、網(wǎng)絡(luò)操作系統(tǒng)的安全機(jī)制（1）硬件安全：硬件安全是網(wǎng)絡(luò)操作系統(tǒng)安全的基礎(chǔ)。（2）安全標(biāo)記：對于系統(tǒng)用戶而言，系統(tǒng)必須有一個安全而唯一的標(biāo)記。在用戶進(jìn)入系統(tǒng)時，這個安全標(biāo)記不僅可以判斷用戶的合法性，而且還應(yīng)該防止用戶的身份被破譯。4、網(wǎng)絡(luò)操作系統(tǒng)的安全機(jī)制（3）訪問控制：

在合法用戶進(jìn)入系統(tǒng)后，安全操作系統(tǒng)還應(yīng)該能夠控制用戶對程序或數(shù)據(jù)的訪問，防止用戶越權(quán)使用程序或數(shù)據(jù)。（4）最小權(quán)力：

操作系統(tǒng)配置的安全策略使用戶僅僅能夠獲得其工作需要的操作權(quán)限。（5）安全審計：

安全操作系統(tǒng)應(yīng)該做到對用戶操作過程的記錄、檢查和審計。（3）訪問控制：2.2.2網(wǎng)絡(luò)訪問控制1、訪問控制的基本概念訪問控制（AccessControl）是指定義和控制主體對客體的訪問權(quán)限，具體可分為身份驗證和授權(quán)訪問。2、訪問控制的分類訪問控制一般可分為自主訪問控制（DiscretionaryAccessControl）強(qiáng)制訪問控制（MandatoryAccessControl）2.2.2網(wǎng)絡(luò)訪問控制2.2.3網(wǎng)絡(luò)操作系統(tǒng)漏洞與補(bǔ)丁程序網(wǎng)絡(luò)系統(tǒng)漏洞是指網(wǎng)絡(luò)的硬件、軟件、網(wǎng)絡(luò)協(xié)議以及系統(tǒng)安全策略上的缺陷，黑客可以利用這些缺陷在沒有獲得系統(tǒng)許可的情況下訪問系統(tǒng)或破壞系統(tǒng)。2.2.3網(wǎng)絡(luò)操作系統(tǒng)漏洞與補(bǔ)丁程序1、漏洞的類型（1）從漏洞形成的原因分類程序邏輯結(jié)構(gòu)漏洞程序設(shè)計錯誤漏洞

協(xié)議漏洞

人為漏洞（2）從漏洞是否為人們所知分類已知漏洞未知漏洞0day漏洞1、漏洞的類型2、WindowsNT的典型漏洞（1）賬戶數(shù)據(jù)庫漏洞①在WindowsNT操作系統(tǒng)中，用戶的信息及口令均保存在SAM（SecurityAccountsManagement安全賬戶管理）數(shù)據(jù)庫中。而SAM數(shù)據(jù)庫允許被Administrator、Administrator組成員、備份操作員、服務(wù)器操作員賬戶所拷貝。這樣的SAM備份數(shù)據(jù)并不安全，能夠被一些工具軟件所破譯，從而使系統(tǒng)的用戶名及密碼泄密。解決措施：嚴(yán)格限制具備數(shù)據(jù)備份權(quán)限的人員賬戶；對SAM數(shù)據(jù)庫的任何操作進(jìn)行審計；加強(qiáng)密碼的強(qiáng)度，提高密碼被破譯的難度。2、WindowsNT的典型漏洞②SAM賬戶數(shù)據(jù)庫能夠被木馬或病毒通過具有備份權(quán)限的賬戶所拷貝。解決措施：減少有備份權(quán)限的賬戶上網(wǎng)的概率，盡量使用只有普通權(quán)限的賬戶上網(wǎng)。②SAM賬戶數(shù)據(jù)庫能夠被木馬或病毒通過具有備份權(quán)限的賬戶所（2）SMB協(xié)議漏洞SMB(ServerMessageBlock服務(wù)器消息塊)是Microsoft的一種可以讀取SAM數(shù)據(jù)庫和其他一些服務(wù)器文件的協(xié)議。SMB協(xié)議存在較多的漏洞，如不需授權(quán)就可以訪問SAM數(shù)據(jù)庫、允許遠(yuǎn)程訪問共享目錄、允許遠(yuǎn)程訪問Registry數(shù)據(jù)庫；另外，SMB在驗證用戶身份時使用的是一種很容易被破譯的加密算法。解決措施：采取措施關(guān)閉135~142端口(SMB協(xié)議需要開啟135~142端口)。（2）SMB協(xié)議漏洞（3）Guest賬戶漏洞Guest賬戶如果處于開放狀態(tài)，那么其它賬戶可以以Guest賬戶身份進(jìn)入系統(tǒng)。解決措施：給Guest賬戶設(shè)置一個復(fù)雜的密碼或關(guān)閉Guest賬戶。（4）默認(rèn)共享連接漏洞系統(tǒng)在默認(rèn)情況下具有共享連接屬性，任何用戶都可以使用“\\IPaddess\C$、\\IPaddess\D$”等方式連接系統(tǒng)的C盤、D盤等。解決措施：關(guān)閉系統(tǒng)的默認(rèn)共享。（3）Guest賬戶漏洞（5）多次嘗試連接次數(shù)漏洞默認(rèn)情況下系統(tǒng)沒有對用戶連接系統(tǒng)的嘗試次數(shù)進(jìn)行限制，用戶可以不斷地嘗試連接系統(tǒng)。解決措施：使用安全策略，限制連接次數(shù)。（6）顯示用戶名漏洞默認(rèn)情況下系統(tǒng)會顯示最近一次登錄系統(tǒng)的用戶名，這會給非法用戶企圖進(jìn)入系統(tǒng)減少了一次安全屏障。因為非法用戶嘗試進(jìn)入系統(tǒng)時只要猜測用戶密碼而不需猜測用戶名了。解決措施：在注冊表中修改關(guān)于登錄的信息，不顯示曾經(jīng)登錄的用戶名。（5）多次嘗試連接次數(shù)漏洞（7）打印漏洞系統(tǒng)中具有打印操作員權(quán)限的用戶對打印驅(qū)動程序具有系統(tǒng)級的訪問權(quán)限，這會方便黑客通過在打印驅(qū)動程序中插入木馬或病毒從而控制系統(tǒng)。解決措施：嚴(yán)格限制打印操作組成員，嚴(yán)格審計事件記錄。（7）打印漏洞3、Windows2000的典型漏洞（1）登錄輸入法漏洞當(dāng)用戶登錄進(jìn)入系統(tǒng)時，可以通過使用輸入法的幫助功能繞過系統(tǒng)的用戶驗證，并且能夠以管理員權(quán)限訪問系統(tǒng)。解決措施：刪除不需要的輸入法；刪除輸入法的相關(guān)幫助文件(存放在C：\WINNT\help下)；升級微軟的安全補(bǔ)丁。3、Windows2000的典型漏洞（2）空連接漏洞空連接是指在沒有提供用戶名與密碼的情況下使用匿名用戶與服務(wù)器建立的會話。建立空連接以后，攻擊者就可以獲取用戶列表、查看共享資源等，從而為入侵系統(tǒng)做好準(zhǔn)備。解決措施：關(guān)閉IPC$共享。（2）空連接漏洞（3）Telnet拒絕服務(wù)攻擊漏洞當(dāng)Telnet啟動連接但初始化的對話還未被復(fù)位的情況下，在一定的時間間隔內(nèi)如果連接用戶還沒有提供登錄的用戶名及密碼，Telnet的對話將會超時，直到用戶輸入一個字符后連接才會被復(fù)位。如果攻擊者連接到系統(tǒng)的Telnet守護(hù)進(jìn)程，并且阻止該連接復(fù)位，那么他就可以有效地拒絕其他用戶連接該Telnet服務(wù)器，實現(xiàn)拒絕服務(wù)攻擊。解決措施：升級微軟的安全補(bǔ)丁。（3）Telnet拒絕服務(wù)攻擊漏洞（4）IIS溢出漏洞Windows2000存在IIS溢出漏洞。當(dāng)使用溢出漏洞攻擊工具攻擊Windows時，會使Windows開放相應(yīng)的端口，從而使系統(tǒng)洞開，易于被攻擊。解決措施：升級微軟的專用安全補(bǔ)丁。（5）Unicode漏洞Unicode漏洞是屬于字符編碼的漏洞，是由于Windows2000在處理雙字節(jié)字符時所使用的編碼格式與英文版本不同所造成的。由于IIS不對超長序列進(jìn)行檢查，因此在URL中添加超長的Unicode序列后，可繞過Windows安全檢查。解決措施：升級微軟的專用安全補(bǔ)丁。（4）IIS溢出漏洞（6）IIS驗證漏洞IIS提供了Web、FTP和Mail等服務(wù)，并支持匿名訪問。當(dāng)Web服務(wù)器驗證用戶失敗時，將返回“401AccessDenied”信息。如服務(wù)器支持基本認(rèn)證，攻擊者可將主機(jī)頭域置空后，Web服務(wù)器返回包含內(nèi)部地址的信息，因此，可利用該問題對服務(wù)器的用戶口令進(jìn)行暴力破解。解決措施：設(shè)置賬號安全策略防止暴力破解。（6）IIS驗證漏洞（7）域賬號鎖定漏洞在使用NTLM（NTLANManager）認(rèn)證的域中，Windows2000主機(jī)無法識別針對本地用戶制訂的域賬號鎖定策略，使窮舉密碼攻擊成為可能。解決措施：安裝微軟的安全升級包。（7）域賬號鎖定漏洞（8）ActiveX控件漏洞ActiveX控件主要用于支持基于網(wǎng)絡(luò)的信用注冊。當(dāng)該控件被用于提交“PKCS#10”的信用請求，并在請求得到許可后，將被存放于用戶信用存儲區(qū)。該控件可使網(wǎng)頁通過復(fù)雜的過程來刪除用戶系統(tǒng)的信用賬號。攻擊者還可建立利用該漏洞的網(wǎng)頁，以攻擊訪問該站點的用戶或直接將網(wǎng)頁作為郵件發(fā)送來攻擊。解決措施：安裝微軟的安全升級包。（8）ActiveX控件漏洞4、WindowsXP的典型漏洞（1）升級程序帶來的漏洞在將WindowsXP升級為WindowsXPPro時，IE6.0會重新安裝。但在系統(tǒng)重新安裝時會將以前的漏洞補(bǔ)丁程序刪除，并且會導(dǎo)致微軟的升級服務(wù)器無法判斷IE是否有漏洞。解決措施：及時升級微軟的安全補(bǔ)丁。4、WindowsXP的典型漏洞（2）UPnP服務(wù)漏洞UPnP(通用即插即用)是面向無線設(shè)備、PC機(jī)和智能應(yīng)用的服務(wù)。該服務(wù)提供普遍的對等網(wǎng)絡(luò)連接，在家用信息設(shè)備、辦公網(wǎng)絡(luò)設(shè)備間提供TCP/IP連接和Web訪問功能，并可用于檢測和集成UPnP硬件。在WindowsXP系統(tǒng)中該服務(wù)默認(rèn)是啟用的，而UPnP協(xié)議存在安全漏洞，可使攻擊者在非法獲取WindowsXP的系統(tǒng)級訪問后發(fā)動攻擊。解決措施：禁用UPnP服務(wù)，及時升級微軟的安全補(bǔ)丁。（2）UPnP服務(wù)漏洞（3）壓縮文件夾漏洞WindowsXP的壓縮文件夾可按攻擊者的選擇運(yùn)行代碼。在安裝“Plus！”包的WindowsXP系統(tǒng)中，“壓縮文件夾”功能允許將Zip文件作為普通文件夾處理。這樣的處理方法存在著如下兩方面的漏洞：在解壓縮Zip文件時會有未經(jīng)檢查的緩沖存在于程序中以存放被解壓文件，因此很可能導(dǎo)致瀏覽器崩潰或攻擊者的代碼被運(yùn)行。解壓縮功能可以在非用戶指定目錄中放置文件，這樣可使攻擊者在用戶系統(tǒng)的已知位置中放置文件。解決措施：不下載或拒收不信任的ZIP壓縮文件。（3）壓縮文件夾漏洞（4）服務(wù)拒絕漏洞WindowsXP系統(tǒng)支持點對點協(xié)議（PPTP），該協(xié)議是作為遠(yuǎn)程訪問服務(wù)實現(xiàn)的VPN技術(shù)協(xié)議。由于在控制用于建立、維護(hù)和拆除PPTP連接的代碼段中存在未經(jīng)檢查的緩存，導(dǎo)致WindowsXP的實現(xiàn)中存在漏洞。通過向一臺存在該漏洞的服務(wù)器發(fā)送不正確的PPTP控制數(shù)據(jù)，攻擊者可損壞核心內(nèi)存并導(dǎo)致系統(tǒng)失效，中斷所有系統(tǒng)中正在運(yùn)行的進(jìn)程。該漏洞可攻擊任何一臺提供PPTP服務(wù)的服務(wù)器，對于PPTP客戶機(jī)，攻擊者只需激活PPTP會話即可進(jìn)行攻擊。對遭到攻擊的系統(tǒng)，可以通過重啟來恢復(fù)正常。解決措施：不啟動默認(rèn)的PPTP協(xié)議（4）服務(wù)拒絕漏洞（5）WindowsMediaPlayer漏洞WindowsMediaPlayer是Windows中的媒體播放軟件。在WindowsXP系統(tǒng)中，WindowsMediaPlayer漏洞主要產(chǎn)生兩個問題：一是信息泄漏，它給攻擊者提供一種可在用戶系統(tǒng)上運(yùn)行代碼的方法；二是腳本執(zhí)行，當(dāng)用戶選擇播放一個特殊的媒體文件，并又瀏覽一個特殊建造的網(wǎng)頁后，攻擊者就可利用該漏洞運(yùn)行腳本。解決措施：將要播放的文件先下載到本地再播放。（5）WindowsMediaPlayer漏洞（6）VM虛擬機(jī)漏洞當(dāng)攻擊者在網(wǎng)站上擁有惡意的“Javaapplet”并引誘用戶訪問該站點時，可通過向JDBC（JavaDataBaseConnectivity）類傳送無效的參數(shù)使宿主應(yīng)用程序崩潰，這樣，攻擊者可以在用戶機(jī)器上安裝任意DLL，并執(zhí)行任意的本機(jī)代碼，潛在地破壞或讀取內(nèi)存數(shù)據(jù)。解決措施：經(jīng)常進(jìn)行相關(guān)軟件的安全更新。（6）VM虛擬機(jī)漏洞（7）熱鍵漏洞熱鍵是系統(tǒng)為方便用戶的操作而提供的服務(wù)功能。但設(shè)置熱鍵后，由于WindowsXP的自注銷功能，可使系統(tǒng)“假注銷”，其他用戶即可通過熱鍵調(diào)用程序。雖然無法進(jìn)入桌面，但由于熱鍵服務(wù)還未停止，仍可使用熱鍵啟動應(yīng)用程序。解決措施：關(guān)閉不需要的熱鍵功能；啟動屏幕保護(hù)功能，并設(shè)定密碼。（7）熱鍵漏洞（8）賬號快速切換漏洞WindowsXP具有賬號快速切換功能，使用戶可快速地在不同的賬號間進(jìn)行切換。該切換功能的設(shè)計存在問題，使用時易于造成賬號鎖定，使所有非管理員賬號均無法登錄。解決措施：禁用賬號快速切換功能。（8）賬號快速切換漏洞5、補(bǔ)丁程序補(bǔ)丁程序是指對于大型軟件系統(tǒng)在使用過程中暴露的問題而發(fā)布的解決問題的小程序。（1）按照對象分類，補(bǔ)丁程序可分為系統(tǒng)補(bǔ)丁和軟件補(bǔ)丁。（2）按照安裝方式分類，補(bǔ)丁程序可分為自動更新的補(bǔ)丁和手動更新的補(bǔ)丁。（3）按照補(bǔ)丁的重要性分類，補(bǔ)丁程序可分為高危漏洞補(bǔ)丁、功能更新補(bǔ)丁和不推薦補(bǔ)丁。5、補(bǔ)丁程序2.3網(wǎng)絡(luò)操作系統(tǒng)安全設(shè)置實例2.3.1Windows系統(tǒng)的安全設(shè)置1、通過管理電腦屬性來實現(xiàn)系統(tǒng)安全右擊“我的電腦”，選擇“管理”，出現(xiàn)如圖2.1所示“計算機(jī)管理”界面。圖2.1計算機(jī)管理2.3網(wǎng)絡(luò)操作系統(tǒng)安全設(shè)置實例2.3.1Windows系（1）關(guān)閉Guest賬戶Guest賬戶是Windows系統(tǒng)安裝后的一個默認(rèn)賬戶?？蛻艨梢允褂迷撡~戶，攻擊者也可以使用該賬戶。使用Guest賬戶連接網(wǎng)絡(luò)系統(tǒng)時，服務(wù)器不能判斷連接者的身份，因此，為了安全起見最好關(guān)閉該賬戶。第1步：在圖2.1中，展開“本地用戶和組”，單擊“用戶”，在右面的窗口中顯示目前系統(tǒng)中的用戶信息，如圖2.2所示，圖標(biāo)上有“×”的用戶表示已經(jīng)停用。（1）關(guān)閉Guest賬戶圖2.2本地用戶信息圖2.2本地用戶信息第2步：停用Guest賬戶。右擊“Guest”，選擇“屬性”，出現(xiàn)“Guest屬性”窗口；勾選“賬戶已禁用”，點擊“確定”按鈕，Guest賬戶即被停用(圖標(biāo)上有“×”)，如圖2.3所示。圖2.3停用Guest賬戶第2步：停用Guest賬戶。右擊“Guest”，選擇“屬性”（2）修改管理員賬戶Windows系統(tǒng)默認(rèn)的管理員賬戶是“Administrator”且不能刪除，在Windows2000中甚至不能停用。為了減少系統(tǒng)被攻擊的風(fēng)險，將默認(rèn)的管理員賬戶改名是很有必要的。右擊“Administrator”，選擇“重命名”，在用戶名Administrator處出現(xiàn)閃爍的光標(biāo)，如圖2.3所示，即可修改Administrator的名稱。必要時，再給Administrator設(shè)置一個復(fù)雜的密碼。（2）修改管理員賬戶（3）設(shè)置陷阱賬戶所謂“陷阱”，就像生活中獵人挖的陷阱一樣，是專門給獵物預(yù)備的。新建一個賬戶作為陷阱賬戶，名稱就叫做“Administrator”，但它不屬于管理員組而僅僅是一個有最基本權(quán)限的用戶，其密碼設(shè)置得復(fù)雜一些。當(dāng)攻擊者檢測到系統(tǒng)中有Administrator賬戶時，就會花大力氣去破解，這樣網(wǎng)絡(luò)管理員就可以采取反追蹤措施去抓住攻擊者，即使Administrator賬戶被破解也沒有關(guān)系，因為這個賬戶根本就沒有任何權(quán)限。（3）設(shè)置陷阱賬戶（4）關(guān)閉不必要的服務(wù)作為網(wǎng)絡(luò)操作系統(tǒng)，為了提供一定的網(wǎng)絡(luò)服務(wù)功能，必須要開放一些服務(wù)。從安全角度出發(fā)，開放的服務(wù)越少，系統(tǒng)就越安全。因此，有必要將不需要的服務(wù)關(guān)閉。展開“計算機(jī)管理”→“服務(wù)和應(yīng)用程序”→“服務(wù)”，在右面窗口中即可看到系統(tǒng)服務(wù)的內(nèi)容，如圖2.4所示。（4）關(guān)閉不必要的服務(wù)圖2.4服務(wù)名稱及狀態(tài)圖2.4服務(wù)名稱及狀態(tài)（5）關(guān)閉不必要的端口計算機(jī)之間的通信必須要開放相應(yīng)的端口。但從安全角度考慮，系統(tǒng)開放的端口越少就越安全，因此有必要減少開放的端口，或從服務(wù)器角度出發(fā)指定開放的端口。如果不清楚某個端口的作用，可以在Windows\system32\drivers\etc中找到services文件并使用記事本打開，就可以得知某項服務(wù)所對應(yīng)的端口號及使用的協(xié)議。（5）關(guān)閉不必要的端口第1步：依次點擊“開始”→“設(shè)置”→“網(wǎng)絡(luò)連接”，右擊“本地連接”，選擇“屬性”，找到“Internet協(xié)議（TCP/IP）屬性”，點擊“高級”按鈕；在出現(xiàn)的窗口中，選擇“選項”子項，如圖2.5所示。圖2.5TCP/IP篩選屬性第1步：依次點擊“開始”→“設(shè)置”→“網(wǎng)絡(luò)連接”，右擊“本地第2步：單擊“屬性”按鈕，出現(xiàn)如圖2.6所示窗口，勾選“啟用TCP/IP篩選”項。圖2.6啟用TCP/IP篩選并指定開放端口第2步：單擊“屬性”按鈕，出現(xiàn)如圖2.6所示窗口，勾選“啟用第3步：如果主機(jī)是Web服務(wù)器，只開放80端口，則可點擊“TCP端口”上方的單選項“只允許”，再單擊“添加”按鈕。在出現(xiàn)的“添加篩選器”對話框中填入端口號80，點擊“確認(rèn)”按鈕即可，如圖2.6所示。第3步：如果主機(jī)是Web服務(wù)器，只開放80端口，則可點擊“T（6）設(shè)置屏幕保護(hù)密碼當(dāng)網(wǎng)絡(luò)管理員暫時離開主機(jī)時，為了保證系統(tǒng)不被其他人操作，需要設(shè)置屏幕保護(hù)密碼。設(shè)置屏幕保護(hù)密碼的操作如下：右擊“桌面”空白處，選擇“屬性”，在如圖2.7里選擇“屏幕保護(hù)程序”選項卡。在“屏幕保護(hù)程序”欄的下拉菜單選擇屏幕保護(hù)時采用的程序；在“等待”框里輸入執(zhí)行屏幕保護(hù)的時間(分)，并勾選“在恢復(fù)時使用密碼保護(hù)”。（6）設(shè)置屏幕保護(hù)密碼圖2.7設(shè)置屏幕保護(hù)圖2.7設(shè)置屏幕保護(hù)2、通過管理組策略來實現(xiàn)系統(tǒng)安全打開組策略：單擊“開始”→“運(yùn)行”，在“運(yùn)行”里輸入“gpedit.msc”，按“確定”按鈕后即可出現(xiàn)“組策略”編輯器界面，如圖2.8所示。圖2.8組策略編輯器2、通過管理組策略來實現(xiàn)系統(tǒng)安全圖2.8組策略編輯器（1）配置系統(tǒng)密碼策略配置密碼策略的目的是使用戶使用符合策略要求的密碼，以免出現(xiàn)某些用戶設(shè)置的密碼過于簡單(弱口令)等問題。配置系統(tǒng)密碼策略的操作如下：第1步：打開“密碼策略”。在“組策略”編輯器中依次展開“計算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“賬戶策略”→“密碼策略”，在右側(cè)窗口中顯示可進(jìn)行配置的密碼策略，如圖2.9所示。（1）配置系統(tǒng)密碼策略圖2.9密碼策略圖2.9密碼策略第2步：配置密碼復(fù)雜性要求。右擊“密碼必須符合復(fù)雜性要求”，選擇“屬性”，出現(xiàn)如圖2.10所示窗口。點選“已啟用”，再單擊“應(yīng)用”→“確定”，即可啟動密碼復(fù)雜性設(shè)置。圖2.10配置密碼復(fù)雜性第2步：配置密碼復(fù)雜性要求。右擊“密碼必須符合復(fù)雜性要求”，第3步：配置密碼長度。右擊“密碼長度最小值”，選擇“屬性”，如圖2.11所示。輸入字符的長度值，再單擊“應(yīng)用”→“確定”即可。圖2.11配置密碼長度第3步：配置密碼長度。右擊“密碼長度最小值”，選擇“屬性”，第4步：配置密碼最長使用期限。右擊“密碼最長存留期”，選擇“屬性”，如圖2.12所示。輸入密碼的過期時間(本例為30天，系統(tǒng)默認(rèn)為42天)，單擊“確定”即可。圖2.12配置密碼使用期限第4步：配置密碼最長使用期限。右擊“密碼最長存留期”，選擇“第5步：配置密碼最短使用期限。配置“密碼最短存留期”的方法類似于“密碼最長存留期”，如圖2.13所示。圖2.13配置密碼最短使用期限第5步：配置密碼最短使用期限。配置“密碼最短存留期”的方法類第6步：配置強(qiáng)制密碼歷史。右擊“強(qiáng)制密碼歷史”，選擇“屬性”，出現(xiàn)如圖2.14所示窗口；選擇“保留密碼歷史”的數(shù)字(本例為3)，再“確定”即可。“強(qiáng)制密碼歷史”的意思是用戶在修改密碼時必須滿足所規(guī)定記住密碼的個數(shù)而不能連續(xù)使用舊密碼。本例選定“3”，說明用戶必須在第4次更換密碼時才能重復(fù)使用第1次使用的密碼。圖2.14配置密碼歷史第6步：配置強(qiáng)制密碼歷史。右擊“強(qiáng)制密碼歷史”，選擇“屬性”上述系統(tǒng)“密碼策略”的各項配置結(jié)果如圖2.15所示。圖2.15密碼策略配置結(jié)果上述系統(tǒng)“密碼策略”的各項配置結(jié)果如圖2.15所示。圖2.1（2）配置系統(tǒng)賬戶策略第1步：展開賬戶鎖定策略。在“組策略”編輯器中依次展開“計算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“賬戶策略”→“賬戶鎖定策略”，在右側(cè)窗口中顯示可進(jìn)行配置的賬戶策略，如圖2.16所示。圖2.16賬戶鎖定策略（2）配置系統(tǒng)賬戶策略圖2.16賬戶鎖定策略第2步：配置賬戶鎖定閾值。右擊“賬戶鎖定閾值”，選擇“屬性”，如圖2.17所示。輸入無效登錄鎖定賬戶的次數(shù)，單擊“應(yīng)用”→“確定”即可。圖2.17配置賬戶鎖定閾值第2步：配置賬戶鎖定閾值。右擊“賬戶鎖定閾值”，選擇“屬性”第3步：配置賬戶鎖定時間。右擊“賬戶鎖定時間”，選擇“屬性”，出現(xiàn)如圖2.18所示窗口，設(shè)定時間后點擊“確定”按鈕。圖2.18配置賬戶鎖定時間第3步：配置賬戶鎖定時間。右擊“賬戶鎖定時間”，選擇“屬性”第4步：配置復(fù)位賬戶鎖定計數(shù)器。右擊“復(fù)位賬戶鎖定計數(shù)器”，選擇“屬性”，出現(xiàn)如圖2.19所示窗口，設(shè)定時間后點擊“確定”按鈕。圖2.19配置賬戶鎖定復(fù)位時間第4步：配置復(fù)位賬戶鎖定計數(shù)器。右擊“復(fù)位賬戶鎖定計數(shù)器”，各項賬戶鎖定策略配置成功后，其配置效果如圖2.20所示。圖2.20賬戶鎖定策略配置各項賬戶鎖定策略配置成功后，其配置效果如圖2.20所示。圖2（3）配置審核策略審核策略是對系統(tǒng)發(fā)生的事件或進(jìn)程進(jìn)行記錄的過程，網(wǎng)絡(luò)管理員可以根據(jù)對事件的記錄檢查系統(tǒng)發(fā)生故障的原因等，這可對維護(hù)系統(tǒng)起到參考作用。在“組策略”編輯器中依次展開“計算機(jī)配置”→“Windows設(shè)置”→安全設(shè)置”→本地策略”→“審核策略”，在右側(cè)窗口中顯示可進(jìn)行配置的審核策略。（3）配置審核策略右擊某項策略，如“審核登錄事件”，選擇“屬性”，出現(xiàn)如圖2.21所示屬性窗口。勾選所選項，單擊“確定”按鈕。出現(xiàn)如圖2.22所示窗口，系統(tǒng)對登錄成功和失敗的事件都會進(jìn)行記錄。圖2.21配置審核登錄事件屬性圖2.22配置審核事件成功右擊某項策略，如“審核登錄事件”，選擇“屬性”，出現(xiàn)如圖2.（4）用戶權(quán)限分配“用戶權(quán)限分配”是對系統(tǒng)中用戶或用戶組的權(quán)限進(jìn)行分配的策略項。一般情況下可采用默認(rèn)設(shè)置，網(wǎng)絡(luò)管理員也可根據(jù)系統(tǒng)的實際情況進(jìn)行修改。配置方法：在“組策略”編輯器中依次展開“計算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“用戶權(quán)限分配”項，在右側(cè)窗口中顯示出系統(tǒng)默認(rèn)用戶(組)所具有的權(quán)限，如圖2.23所示。（4）用戶權(quán)限分配圖2.23配置用戶權(quán)限圖2.23配置用戶權(quán)限（5）配置“安全選項”配置方法：在“組策略”編輯器中依次展開“計算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“安全選項”。①不顯示系統(tǒng)最后登錄的用戶賬戶默認(rèn)情況下，系統(tǒng)保留最后一個登錄用戶的賬戶。但這樣會使非法用戶在嘗試登錄系統(tǒng)時，利用已知用戶賬戶，只需嘗試用戶的密碼即可，使系統(tǒng)減少了一層安全屏障?？梢圆捎门渲冒踩呗苑椒ㄊ瓜到y(tǒng)不顯示最后一個登錄系統(tǒng)的用戶賬戶。（5）配置“安全選項”右擊策略里的“交互式登錄：不顯示上次的用戶名”，選擇“屬性”。在出現(xiàn)的窗口中點選“已啟用”，再點擊“應(yīng)用”→“確定”按鈕，該項策略已啟用，如圖2.24所示。圖2.24配置不顯示上次用戶名屬性右擊策略里的“交互式登錄：不顯示上次的用戶名”，選擇“屬性”②配置安全選項，使光驅(qū)不能被遠(yuǎn)程使用在“安全選項”里右擊“設(shè)備：只有本地登錄的用戶才能訪問CD-ROM”項，選擇“屬性”，如圖2.25所示；點選“已啟用”，再點擊“應(yīng)用”→“確定”按鈕，該項策略“已啟用”。圖2.25只有本地登錄的用戶才能訪問CD-ROM配置②配置安全選項，使光驅(qū)不能被遠(yuǎn)程使用圖2.25只有本地登錄（6）配置只允許用戶執(zhí)行的程序在Windows2003系統(tǒng)中，可對用戶設(shè)置可以執(zhí)行的程序，這樣用戶就只能執(zhí)行配置中所規(guī)定的程序，從而增強(qiáng)系統(tǒng)的安全性。該類的配置操作如下：第1步：在“組策略”編輯器中依次展開“用戶配置”→“管理模板”→“系統(tǒng)”，在右側(cè)窗口中列出眾多“設(shè)置”項及其“狀態(tài)”。第2步：右擊“設(shè)置”項中的“只運(yùn)行許可的Windows應(yīng)用程序”，選擇屬性。在出現(xiàn)的如圖2.26所示的“屬性”窗口里點選“已啟用”，再點擊“顯示”按鈕，出現(xiàn)“顯示內(nèi)容”窗口。（6）配置只允許用戶執(zhí)行的程序第3步：在“顯示內(nèi)容”窗口中點擊“添加”按鈕，在“添加項目”對話框中輸入允許用戶執(zhí)行的程序，點擊“確定”按鈕即可。圖2.26添加只允許運(yùn)行的特定程序第3步：在“顯示內(nèi)容”窗口中點擊“添加”按鈕，在“添加項目”（7）隱藏驅(qū)動器在工作中有時因特殊用途，會對用戶隱藏一些驅(qū)動器，在組策略中可以實現(xiàn)這一目的。其配置操作如下：第1步：在”組策略”編輯器中依次展開“用戶配置”→“管理模板”→“Windows組件”→“Windows資源管理器”，在右側(cè)窗口列出很多“設(shè)置”項及其“狀態(tài)”。第2步：右擊“設(shè)置”項中的“隱藏“我的電腦”中的這些指定的驅(qū)動器”，選擇“屬性”。第3步：在出現(xiàn)的如圖2.27所示屬性窗口中打開“設(shè)置”選項卡，點選“已啟用”，并在“選擇下列組合中的一個”下拉菜單中選擇設(shè)置限制項，最后點擊“確定”按鈕即可。（7）隱藏驅(qū)動器圖2.27限制驅(qū)動器圖2.27限制驅(qū)動器（8）配置開始菜單和任務(wù)欄在某些特殊場所應(yīng)用中，需要對“開始菜單”和“任務(wù)欄”做特殊的管理。如在網(wǎng)吧，一般不允許用戶使用“運(yùn)行”命令，不允許注銷用戶等，這些要求都可以通過配置組策略來實現(xiàn)。第1步：在“組策略”編輯器中依次展開“用戶配置”→“管理模板”→“任務(wù)欄和『開始』菜單”，在右側(cè)窗口中顯示出很多“設(shè)置”項及其“狀態(tài)”。（8）配置開始菜單和任務(wù)欄第2步：如果需要在開始菜單中取消“搜索”命令，則配置“從『開始』菜單中刪除“搜索”菜單”為“已啟用”即可，如圖2.28所示。第3步：如果需要在開始菜單中取消“注銷”命令，則配置“刪除『開始』菜單上的“注銷”為“已啟用”即可。圖2.28在開始菜單中取消“注銷”命令第2步：如果需要在開始菜單中取消“搜索”命令，則配置“從『開3、通過管理注冊表來實現(xiàn)系統(tǒng)安全注冊表(Registry)是Windows系統(tǒng)中的重要數(shù)據(jù)庫，用于存儲計算機(jī)軟硬件系統(tǒng)和應(yīng)用程序的設(shè)置信息。因此，在不清楚某項注冊表含義的情況下，切勿進(jìn)行修改或刪除，否則系統(tǒng)可能被破壞。3、通過管理注冊表來實現(xiàn)系統(tǒng)安全（1）注冊表的結(jié)構(gòu)單擊“開始”→“運(yùn)行”，輸入“Regedit”并執(zhí)行，即可進(jìn)入注冊表編輯器，如圖2.29所示。注冊表結(jié)構(gòu)：在左側(cè)窗口中由“我的電腦”開始，以下是五個分支，每個分支名都以HKEY開頭(稱為主鍵KEY)，展開后可以看到主鍵還包含多級的次鍵(SubKEY)，注冊表中的信息就是按照多級的層次結(jié)構(gòu)組織的。當(dāng)單擊某一主鍵或次鍵時，右邊窗口中顯示的是所選主鍵或次鍵包含的一個或多個鍵值(Value)。鍵值由鍵值名稱(ValueName)和數(shù)據(jù)(ValueData)組成。（1）注冊表的結(jié)構(gòu)圖2.29注冊表編輯器界面圖2.29注冊表編輯器界面①主鍵HKEY_CLASSES_ROOT該主鍵用于管理文件系統(tǒng)，記錄的是Windows操作系統(tǒng)中所有的數(shù)據(jù)文件信息。當(dāng)用戶雙擊一個文檔或程序時，系統(tǒng)可以通過這些信息啟動相應(yīng)的應(yīng)用程序來打開文檔或程序。②主鍵HKEY_CURRENT_USER該主鍵用于管理當(dāng)前用戶的配置情況。在該主鍵中可以查閱當(dāng)前計算機(jī)中登錄用戶的相關(guān)信息，包括個人程序、桌面設(shè)置等。①主鍵HKEY_CLASSES_ROOT③主鍵HKEY_LOCAL_MACHINE該主鍵用于管理系統(tǒng)中所有硬件設(shè)備的配置情況，該主鍵中存放用來控制系統(tǒng)和軟件的設(shè)置，如總線類型、設(shè)備驅(qū)動程序等。由于這些設(shè)置是針對使用Windows系統(tǒng)的用戶而設(shè)置的，是公共配置信息，與具體用戶無關(guān)。④主鍵HKEY_USER該主鍵用于管理系統(tǒng)中所有用戶的配置信息。系統(tǒng)中每個用戶的信息都保存在該文件夾中，如用戶使用的圖標(biāo)、開始菜單的內(nèi)容、字體、顏色等。③主鍵HKEY_LOCAL_MACHINE⑤主鍵HKEY_CURRENT_CONFIG該主鍵用于管理當(dāng)前用戶的系統(tǒng)配置情況，其配置信息是從HKEY_LOCAL_MACHINE中映射出來。（2）注冊表的備份與還原(導(dǎo)出與導(dǎo)入)因為注冊表中保存的是操作系統(tǒng)的重要配置信息，在對注冊表進(jìn)行操作前最好先對注冊表做好備份。⑤主鍵HKEY_CURRENT_CONFIG①導(dǎo)出注冊表(備份)單擊“文件”菜單，選擇“導(dǎo)出”，出現(xiàn)如圖2.30所示窗口，選擇保存路徑，并在“文件名”框中輸入所保存的注冊表文件的名稱；再選擇導(dǎo)出范圍(全部或分支)；最后單擊“保存”按鈕。圖2.30導(dǎo)出注冊表①導(dǎo)出注冊表(備份)圖2.30導(dǎo)出注冊表②導(dǎo)入注冊表(恢復(fù))單擊注冊表中的“文件”菜單，選擇“導(dǎo)入”；在出現(xiàn)的如圖2.31所示窗口中，查找到原來所導(dǎo)出的注冊表文件；點擊“打開”按鈕。圖2.31導(dǎo)入注冊表②導(dǎo)入注冊表(恢復(fù))圖2.31導(dǎo)入注冊表（3）利用注冊表進(jìn)行系統(tǒng)的安全配置①清除系統(tǒng)默認(rèn)共享方法1：右擊“我的電腦”，選擇“管理”，展開“共享文件夾”，選擇“共享”，出現(xiàn)如圖2.32所示窗口。在右側(cè)窗口中可見系統(tǒng)共享文件夾C$的共享路徑實際上就是系統(tǒng)的C盤根目錄。右擊右側(cè)窗口的C$，在出現(xiàn)的菜單中選擇“停止共享”，即可清除系統(tǒng)的默認(rèn)共享。（3）利用注冊表進(jìn)行系統(tǒng)的安全配置這種清除默認(rèn)共享的方法操作簡便，但卻不是一勞永逸的，因為在系統(tǒng)每一次啟動后都需進(jìn)行一次這樣的操作。圖2.32停止默認(rèn)共享這種清除默認(rèn)共享的方法操作簡便，但卻不是一勞永逸的，因為在系方法2：在系統(tǒng)字符界面下，執(zhí)行刪除默認(rèn)共享的命令，并將其做成一個批處理命令，放到系統(tǒng)的“啟動”程序中。這樣系統(tǒng)每次啟動時會首先執(zhí)行“啟動”中的程序，就可刪除系統(tǒng)默認(rèn)共享，如圖2.33所示。圖2.33建立取消默認(rèn)共享批處理方法2：在系統(tǒng)字符界面下，執(zhí)行刪除默認(rèn)共享的命令，并將其做成方法3：通過修改注冊表實現(xiàn)：在注冊表中展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters”注冊表項，雙擊右窗格中的“AutoShareServer”，將其鍵值改為“0”即可，如圖2.34所示。利用這種方法清除默認(rèn)共享是一勞永逸的。圖2.34配置注冊表取消默認(rèn)共享方法3：通過修改注冊表實現(xiàn)：在注冊表中展開“HKEY_LOC②禁止建立空連接在注冊表中展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA”注冊表項，雙擊右側(cè)窗口中的“RestrictAnonymous”，將其鍵值改為“1”即可，如圖2.35所示。圖2.35配置注冊表取消空連接②禁止建立空連接圖2.35配置注冊表取消空連接③不顯示系統(tǒng)最后登錄的用戶賬戶第1步：在注冊表中展開“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon”，右擊“Winlogon”，選“新建”→“字符串值”，如圖2.36所示。圖2.36注冊表登錄項③不顯示系統(tǒng)最后登錄的用戶賬戶圖2.36注冊表登錄項第2步：在右側(cè)窗口中，出現(xiàn)“新值#1”項，如圖2.37所示。右擊“新值#1”項，選擇“重命名”，輸入新名稱“DONTDISPLAYLASTUSERNAME”；再右擊該項，選擇“修改”。在出現(xiàn)的圖2.38中，將“數(shù)值數(shù)據(jù)”框中輸入1，點擊“確定”按鈕即可。圖2.37新建字符串值圖2.38為新建字符串值賦值第2步：在右側(cè)窗口中，出現(xiàn)“新值#1”項，如圖2.37所示。④禁止光盤的自動運(yùn)行在注冊表中展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom”，如圖2.39所示。右擊右側(cè)窗口的“AutoRun”，選擇“修改”。在出現(xiàn)的“編輯DWORD值”的“數(shù)值數(shù)據(jù)”數(shù)據(jù)框中填入0，即可禁止光盤的自動運(yùn)行。圖2.39注冊表中禁止光驅(qū)自動運(yùn)行④禁止光盤的自動運(yùn)行圖2.39注冊表中禁止光驅(qū)自動運(yùn)行⑤防止U盤病毒傳播在注冊表中展開“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2”，右擊“MountPoints2”，選擇“權(quán)限”，出現(xiàn)如圖2.40所示權(quán)限窗口。將Administrator和Administrators的“完全控制”和“讀取”權(quán)限均設(shè)置為“拒絕”，再點擊“確定”按鈕即可。圖2.40配置MountPoints2子項權(quán)限⑤防止U盤病毒傳播圖2.40配置MountPoints2⑥禁止木馬病毒程序的自行啟動在注冊表中展開“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”。右擊“Run”，選擇“權(quán)限”，出現(xiàn)如圖2.41所示窗口。點擊“添加”按鈕，添加一個“Everyone”用戶組，將“Everyone”用戶組的“完全控制”和“讀取”權(quán)限設(shè)置為拒絕，再點擊“確定”按鈕即可。圖2.41配置啟動子項權(quán)限⑥禁止木馬病毒程序的自行啟動圖2.41配置啟動子項權(quán)限⑦修改系統(tǒng)默認(rèn)的TTL值由于不同操作系統(tǒng)默認(rèn)的TTL值不同，攻擊者可以根據(jù)TTL值來判斷系統(tǒng)主機(jī)的操作系統(tǒng)，進(jìn)而采取相應(yīng)的針對特定系統(tǒng)的漏洞掃描等操作。為了系統(tǒng)的安全，有必要對默認(rèn)TTL值進(jìn)行修改。如果將系統(tǒng)默認(rèn)的TTL值修改為不是表中的數(shù)值，或故意修改為其它操作系統(tǒng)的TTL值，那么當(dāng)攻擊者檢測到TTL值時，再采用針對該系統(tǒng)的攻擊工具進(jìn)行攻擊時當(dāng)然就不會成功。⑦修改系統(tǒng)默認(rèn)的TTL值在注冊表中展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”，右擊“Parameters”，選擇“新建”→“DWORD值”，如圖2.43所示。圖2.43修改TTL之新建子項在注冊表中展開“HKEY_LOCAL_MACHINE\SY將新建項命名為“defaultTTL”。右擊“defaultTTL”項，選擇“修改”。在出現(xiàn)的“編輯DWORD值”框里，將“基數(shù)”項選為“十進(jìn)制”，在“數(shù)值數(shù)據(jù)”框中輸入希望系統(tǒng)顯示的TTL值，如圖2.44所示。圖2.44修改默認(rèn)TTL值將新建項命名為“defaultTTL”。右擊“default⑧禁止遠(yuǎn)程修改注冊表在注冊表中展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Securepipeservers\winreg”項。新建“DWORD”項，將其名稱命名為“RemoteRegAccess”，其值取為“1”，如圖2.46所示。這樣，系統(tǒng)即可拒絕遠(yuǎn)程修改注冊表。圖2.46配置禁止遠(yuǎn)程修改注冊表⑧禁止遠(yuǎn)程修改注冊表圖2.46配置禁止遠(yuǎn)程修改注冊表⑨禁止操作注冊表編輯器打開注冊表“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies”，新建“system”項。在“system”項新建“DWORD”項，名稱命名為“Disableregistrytools”，取值為“1”，如圖2.47所示。這樣，重新啟動系統(tǒng)后，在用戶操作注冊表編輯器時將提示不允許操作。圖2.47配置禁止使用注冊表編輯器⑨禁止操作注冊表編輯器圖2.47配置禁止使用注冊表編輯器⑩禁止操作組策略編輯器打開注冊表“HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC”，在“MMC”項新建“DWORD”項，名稱命名為“RestrictToPermittedSnapins”，取值為“1”，如圖2.48所示。重新啟動系統(tǒng)后，在一般用戶操作組策略時將提示不允許操作。圖2.48禁止使用組策略⑩禁止操作組策略編輯器圖2.48禁止使用組策略2.3.2Linux系統(tǒng)的安全設(shè)置1．BIOS的安全設(shè)置BIOS密碼后可以防止通過在BIOS改變啟動順序，而從其他設(shè)備啟動。這就可以阻止別人試圖用特殊的啟動盤啟動系統(tǒng)，還可以阻止別人進(jìn)入BIOS改動其中的設(shè)置系統(tǒng)安裝完畢后，除了硬盤啟動外，要在BIOS中禁止除硬盤以外的任何設(shè)備啟動。2.3.2Linux系統(tǒng)的安全設(shè)置2．加載程序的啟動啟動加載程序時盡量使用GRUB而不使用LILO。雖然它們都可以加入啟動口令，但是L