計(jì)算機(jī)網(wǎng)絡(luò)管理與安全技術(shù)

09十一月2024NETWORKSECURITY1課題內(nèi)容：操作系統(tǒng)安全（一）教學(xué)目的：掌握WIN2003系統(tǒng)服務(wù)的配置方法 掌握WIN2003常用進(jìn)程的作用 掌握WIN2003注冊(cè)表的結(jié)構(gòu)、值類型及應(yīng)用教學(xué)方法：講授法、任務(wù)驅(qū)動(dòng)法、演示法重點(diǎn)：WIN2003系統(tǒng)服務(wù)的配置方法難點(diǎn)：WIN2003常用進(jìn)程的作用課堂類型：講授課教具：投影儀、多媒體設(shè)備授課班級(jí)計(jì)應(yīng)1001班第18次課授課時(shí)間5月25日星期五授課地點(diǎn)09十一月2024NETWORKSECURITY2導(dǎo)入新課1、防火墻的體系結(jié)構(gòu)2、操作系統(tǒng)常用進(jìn)程與服務(wù)09十一月2024NETWORKSECURITY3Windows2003

Windows2003原名是WindowsNT5.0，隨著多種測(cè)試版本的發(fā)行，人們開始從各個(gè)側(cè)面加深對(duì)它的認(rèn)識(shí)。全新的界面、高度集成的功能、鞏固的安全性、便捷的操作，都為計(jì)算機(jī)專業(yè)人員、普通用戶帶來莫大的驚喜Windows2003在界面、風(fēng)格與功能上都具有統(tǒng)一性，是一種真正面向?qū)ο蟮牟僮飨到y(tǒng)，用戶在操作本機(jī)的資源和遠(yuǎn)程資源時(shí)不會(huì)感到有什么不同09十一月2024NETWORKSECURITY4主要內(nèi)容操作系統(tǒng)安全基礎(chǔ)Windows2003安全結(jié)構(gòu)Windows2003文件系統(tǒng)安全Windows2003賬號(hào)安全GPO的編輯活動(dòng)目錄安全性考察Windows2003缺省值的安全性評(píng)估Windows2003主機(jī)安全09十一月2024NETWORKSECURITY58.1操作系統(tǒng)安全是系統(tǒng)安全的基礎(chǔ)各種應(yīng)用軟件均建立在操作系統(tǒng)提供的系統(tǒng)軟件平臺(tái)之上，上層的應(yīng)用軟件要想獲得運(yùn)行的高可靠性和信息的完整性、保密性，必須依賴于操作系統(tǒng)提供的系統(tǒng)軟件基礎(chǔ)。09十一月2024NETWORKSECURITY6操作系統(tǒng)安全級(jí)別

級(jí)別系統(tǒng)的安全可信性D最低安全性C1自主存取控制C2較完善的自主存取控制（DAC）、審計(jì)B1強(qiáng)制存取控制（MAC）B2良好的結(jié)構(gòu)化設(shè)計(jì)、形式化安全模型B3全面的訪問控制、可信恢復(fù)A1形式化認(rèn)證09十一月2024NETWORKSECURITY7常見操作系統(tǒng)安全級(jí)別

操作系統(tǒng)安全級(jí)別SCOOpenServerC2OSF/1B1WindowsNT/2003C2SolarisC2DOSDUnixWare2.1/ESB209十一月2024NETWORKSECURITY8常見威脅類型(一)

威脅類型示例自然和物理的水災(zāi)、火災(zāi)、風(fēng)暴、地震、停電無意的不知情的員工、不知情的顧客故意的攻擊者、恐怖分子、工業(yè)間諜、黑客、惡意代碼09十一月2024NETWORKSECURITY9常見威脅類型（二）安全漏洞類型示例物理的門窗未鎖自然的滅火系統(tǒng)失靈硬件和軟件防病毒軟件過期媒介電干擾通信未加密協(xié)議人為不可靠的技術(shù)支持09十一月2024NETWORKSECURITY108.2Windows2003安全結(jié)構(gòu)安全六要素09十一月2024NETWORKSECURITY118.2.2Windows2003安全組件（一）靈活的訪問控制Windows2003支持C2級(jí)標(biāo)準(zhǔn)要求的靈活訪問控制對(duì)象重用Windows2003很明確地阻止所有的應(yīng)用程序不可以訪問被另—應(yīng)用程序使用所占用資源內(nèi)的信息（比如內(nèi)存或磁盤）09十一月2024NETWORKSECURITY12Windows2003安全組件（一）強(qiáng)制登錄

Windows2003用戶在能訪問任何資源前必須通過登錄來驗(yàn)證他們的身份數(shù)據(jù)訪問瀏覽打印服務(wù)09十一月2024NETWORKSECURITY13Windows2003安全組件（二）審計(jì)因?yàn)閃indows2003采用單獨(dú)地機(jī)制來控制對(duì)任何資源的訪問，所以這種機(jī)制可以集中地記錄下所有的訪問活動(dòng)控制對(duì)象的訪問Windows2003不允許直接訪問系統(tǒng)里的資源，這種不許直接訪問是允許訪問控制的關(guān)鍵09十一月2024NETWORKSECURITY148.2.4安全的組成部分（一）安全標(biāo)識(shí)符安全標(biāo)識(shí)符（SID）是統(tǒng)計(jì)上地唯一的數(shù)組分配給所有的用戶、組、和計(jì)算機(jī)。每次當(dāng)一個(gè)新用戶或組被建立的時(shí)候，它們都會(huì)接收到一個(gè)唯一的SID。每當(dāng)Windows2003安裝完畢并啟動(dòng)的時(shí)候，也會(huì)有一個(gè)新的SID分配給這臺(tái)計(jì)算機(jī)。SID標(biāo)識(shí)了用戶、組和計(jì)算機(jī)的唯一性，不僅僅是在某臺(tái)特定的電腦上還包括和其它計(jì)算機(jī)交互的時(shí)候。09十一月2024NETWORKSECURITY15安全的組成部分（二）訪問令牌訪問令牌是由用戶的SID、用戶所屬于組的SID、用戶名、用戶所在組的組名構(gòu)成的。訪問令牌就好比用戶能夠訪問計(jì)算機(jī)資源的“入場(chǎng)券”。無論何時(shí)用戶企圖進(jìn)行訪問，都要向WindowsNT出示訪問令牌。09十一月2024NETWORKSECURITY16安全的組成部分（三）安全描述符WindowsNT內(nèi)的每個(gè)對(duì)象都有一個(gè)安全描述符作為它們屬性的一部分。安全描述符持有對(duì)象的安全設(shè)置。安全描述符是由對(duì)象屬主的SID、組SID，靈活訪問控制列表以及計(jì)算機(jī)訪問控制列表。09十一月2024NETWORKSECURITY17安全的組成部分（四）訪問控制列表靈活訪問控制列表里記錄用戶和組以及它們的相關(guān)權(quán)限，要么允許要么拒絕。訪問控制條目每個(gè)訪問控制條目（ACE）包含用戶或組的SID及對(duì)對(duì)象所持有的權(quán)限。對(duì)象分配的每個(gè)權(quán)限都有一個(gè)ACE。訪問控制條目有二種類型：允許訪問或拒絕訪問。在訪問控制列表里拒絕訪問ACE優(yōu)先于允許訪問。

09十一月2024NETWORKSECURITY188.2.5Windows2003安全機(jī)制（一）帳號(hào)安全計(jì)算機(jī)帳戶活動(dòng)目錄用戶帳戶09十一月2024NETWORKSECURITY19Windows2003安全機(jī)制（二）文件系統(tǒng)安全NTFS文件系統(tǒng)使用關(guān)系型數(shù)據(jù)庫、事務(wù)處理以及對(duì)象技術(shù)，以提供數(shù)據(jù)安全以及文件可靠性的特性。09十一月2024NETWORKSECURITY20Windows2003安全機(jī)制（三）認(rèn)證Kerberos5

Kerberos是一種被證明為非常安全的雙向身份認(rèn)證技術(shù)。其身份認(rèn)證強(qiáng)調(diào)了客戶機(jī)對(duì)服務(wù)器的認(rèn)證，而別的身份認(rèn)證技術(shù)往往只解決了服務(wù)器對(duì)客戶機(jī)的認(rèn)證。Kerberos有效地防止了來自服務(wù)器端身份冒領(lǐng)的欺騙。09十一月2024NETWORKSECURITY21Windows2003安全機(jī)制（四）NTLM認(rèn)證Windows2003中仍然保留NTLM（NT-LanMan）認(rèn)證，以便向后兼容。運(yùn)行DOS、Windows3.x、Windows95、Windows98、WindowsNT3.5和WindowsNT4.0的客戶仍然需要LM和NTLM支持。但LanManager中的哈希算法有漏洞。l0pht已經(jīng)發(fā)布用于破解NT系統(tǒng)中SAM文件的工具l0phtcrack。Windows2003已支持新的更安全的認(rèn)證協(xié)議NTLM2。09十一月2024NETWORKSECURITY22Windows2003安全機(jī)制（五）ActiveDirectory管理員可以瀏覽活動(dòng)目錄，對(duì)域用戶、用戶組和網(wǎng)絡(luò)資源進(jìn)行管理可以通過活動(dòng)目錄指定局部管理員，每人以自己的安全性及許可權(quán)限進(jìn)行管理分類

09十一月2024NETWORKSECURITY238.3Windows2003文件系統(tǒng)安全NTFS權(quán)限基于目錄基于文件讀?。≧）顯示目錄名，屬性，所有者及權(quán)限顯示文件數(shù)據(jù)，屬性，所有者及權(quán)限寫入（W）添加文件和目錄，改變一個(gè)屬性以及顯示所有者和權(quán)限顯示所有者和權(quán)限、改變文件的屬性、在文件內(nèi)加入數(shù)據(jù)執(zhí)行（X）顯示屬性，可進(jìn)入目錄中的目錄，顯示所有者利權(quán)限顯示文件屬性、所有者和權(quán)限、如果是可執(zhí)行文件可運(yùn)行刪除（D）可刪除目錄可刪除文件改變權(quán)限（P）改變目錄的權(quán)限改變文件的權(quán)限取得所有權(quán)（O）取得目錄的所有權(quán)取得文件的所有權(quán)09十一月2024NETWORKSECURITY24NT有關(guān)權(quán)限的標(biāo)準(zhǔn)標(biāo)準(zhǔn)權(quán)限基于目錄基于文件不可訪問無無列出RX不適用讀取RXRX添加WX不適用添加和讀取RWS-X?RX更改RWXDRWXD完全控制

ALLALL09十一月2024NETWORKSECURITY25NT共享權(quán)限列表權(quán)限允許完全控制改變文件的權(quán)限；在NTFS卷上取得文件的所有權(quán)；能夠完成所有有更改權(quán)限所執(zhí)行的任務(wù)更改創(chuàng)建目錄和添加文件；更改文件內(nèi)的數(shù)據(jù)；更改文件的屬性能夠完成所有有更改權(quán)限所執(zhí)行的任務(wù)讀取顯示目錄和文件名：文件數(shù)據(jù)和屬性；運(yùn)行應(yīng)用程序文件不可訪問只能建立連接，不能訪問目錄中的內(nèi)容09十一月2024NETWORKSECURITY268.3.2文件系統(tǒng)類型Fat16文件系統(tǒng)FAT文件系統(tǒng)最初用于小型磁盤和簡單文件結(jié)構(gòu)的簡單文件系統(tǒng)。

標(biāo)準(zhǔn)文件分配表（FAT），在<511MB的卷中使用。沒有安全設(shè)置，不推薦使用。09十一月2024NETWORKSECURITY27FAT16文件系統(tǒng)默認(rèn)的簇大小分區(qū)大小扇區(qū)數(shù)/每簇簇大?。ㄗ止?jié)）0M~32M151233M~64M21K65M~128M42K129M~255M84K256M~511M168K512M~1023M3216K1024M~2047M6432K2048~4095M12864K09十一月2024NETWORKSECURITY28文件系統(tǒng)類型Fat32文件系統(tǒng)（增強(qiáng)的文件分配表）FAT32文件系統(tǒng)提供了比FAT文件系統(tǒng)更為先進(jìn)的文件管理特性作為FAT文件系統(tǒng)的增強(qiáng)版本，它可以在容量從512MB到2TB的驅(qū)動(dòng)器上使用

沒有安全設(shè)置，不推薦使用09十一月2024NETWORKSECURITY29文件系統(tǒng)類型NTFS文件系統(tǒng)

NTFS文件系統(tǒng)包括了公司環(huán)境中文件服務(wù)器和高端個(gè)人計(jì)算機(jī)所需的安全特性NTFS文件系統(tǒng)還支持對(duì)于關(guān)鍵數(shù)據(jù)完整性十分重要的數(shù)據(jù)訪問控制和私有權(quán)限NTFS是Windows2003中唯一允許為單個(gè)文件指定權(quán)限的文件系統(tǒng)當(dāng)從NTFS卷移動(dòng)到FAT卷時(shí)，NTFS文件系統(tǒng)權(quán)限及特有屬性會(huì)丟失。（可操作）使用convert.ex將FAT或FAT32的分區(qū)轉(zhuǎn)化為NTFS分區(qū)。（可操作）09十一月2024NETWORKSECURITY30NTFS文件系統(tǒng)默認(rèn)的簇大小分區(qū)大小扇區(qū)數(shù)/每簇簇大?。ㄗ止?jié)）512M或更小1512513M~1024M（1GB）21K1025M~2048M（2GB）42K2049M~4096M（4GB）84K4097M~8192M（8GB）168K8193M~16384M（16GB）3216K16385M~32768M（32GB）6432K09十一月2024NETWORKSECURITY31幾種文件系統(tǒng)的比較對(duì)比項(xiàng)目文件系統(tǒng)FAT16FAT32NTFS

與操作系統(tǒng)的兼容性MS-DOS，所有版本的Windows，WindowsNT，Windows2003和OS/2都可訪問本地文件只有對(duì)Windows95OSR2，Windows98和Windows2003三種操作系統(tǒng)可以訪問本地文件運(yùn)行Windows2003Server的計(jì)算機(jī)可以訪問本地硬盤中的文件，運(yùn)行WindowsNT4.0及SP4或更高版本的計(jì)算機(jī)可以訪問本地的部分文件，其他操作系統(tǒng)不能訪問本地文件支持磁盤從軟盤容量直到4GB，不支持域從512MB到2TB，在Windows2003中，用戶只能把FAT32卷最大格式化到32GB最小大約10MB，建議實(shí)際最大是2TB，不能用于軟盤文件大小最大文件為2GB不支持域，最大文件4GB文件大小只受限于卷的大小09十一月2024NETWORKSECURITY32文件系統(tǒng)類型DFS文件系統(tǒng)分布式文件系統(tǒng)(DistributedFileSystem,DFS)的作用是不管文件的物理分布情況，可以把文件組織成為樹狀的分層次邏輯結(jié)構(gòu)，便于用戶訪問網(wǎng)絡(luò)文件資源、加強(qiáng)容錯(cuò)能力和網(wǎng)絡(luò)負(fù)載均衡等。需要安裝DFS服務(wù)，在微軟管理界面MMC中創(chuàng)建一個(gè)DFS的根。文件的物理位置變動(dòng)不會(huì)影響用戶使用。Hacker難以跟蹤文件的實(shí)際位置。09十一月2024NETWORKSECURITY338.4Windows2003賬號(hào)安全帳號(hào)重命名。對(duì)默認(rèn)的帳號(hào)重命名。包括administrator、guest以及其它一些由安裝軟件時(shí)（如IIs）所自動(dòng)建立的帳號(hào)。

09十一月2024NETWORKSECURITY34帳號(hào)策略

帳號(hào)策略的設(shè)置是通過域用戶管理器來實(shí)施的，從策略的菜單中選擇用戶權(quán)限。第一項(xiàng)是有關(guān)密碼的時(shí)效;第二項(xiàng)是有關(guān)密碼長度的限制，以及帳號(hào)鎖定等機(jī)制。09十一月2024NETWORKSECURITY35實(shí)現(xiàn)強(qiáng)壯的密碼要有大小寫字母，數(shù)字，和通配符等至少六個(gè)字符不使用名字和生日不含用戶名部分強(qiáng)壯的密碼09十一月2024NETWORKSECURITY36禁止枚舉賬號(hào)

由于Windows2003的默認(rèn)安裝允許任何用戶通過空用戶得到系統(tǒng)所有賬號(hào)和共享列表，這本來是為了方便局域網(wǎng)用戶共享資源和文件的，但是，任何一個(gè)遠(yuǎn)程用戶通過同樣的方法都能得到賬戶列表，使用暴力法破解賬戶密碼后，對(duì)我們的電腦進(jìn)行攻擊，所以必須采用以下方法禁止這種行為。09十一月2024NETWORKSECURITY37禁止枚舉賬號(hào)09十一月2024NETWORKSECURITY38Administrator賬號(hào)更名

Windows2003的Administrator賬號(hào)是不能被停用的，也不能設(shè)置安全策略，這樣黑客可以一遍又一遍地嘗試這個(gè)賬戶的密碼，直到破解，所以要在“計(jì)算機(jī)管理”中把Administrator賬戶更名來防止這一點(diǎn).

應(yīng)該做點(diǎn)什么09十一月2024NETWORKSECURITY39本地策略設(shè)置界面09十一月2024NETWORKSECURITY40禁用Guest賬號(hào)

Guest賬號(hào)是一個(gè)非常危險(xiǎn)的漏洞，因?yàn)楹诳涂梢允褂眠@個(gè)賬號(hào)登錄機(jī)器。09十一月2024NETWORKSECURITY41禁用Guest帳戶09十一月2024NETWORKSECURITY42禁止Guest帳戶登錄本機(jī)09十一月2024NETWORKSECURITY438.5GPO的編輯

Windows2003的得意之作GPO(GroupPolicyObject)，通過GPO來實(shí)現(xiàn)一個(gè)超強(qiáng)功能的中央集權(quán)的組策略，此策略是建立在活動(dòng)目錄（ActiveDirectory）基礎(chǔ)之上的。09十一月2024NETWORKSECURITY44組策略組策略是什么?

GPO是一種與域、地址或組織單元相聯(lián)系的物理策略。在Windows2003中，GPO包括文件和AD對(duì)象。09十一月2024NETWORKSECURITY45組策略和AD

要充分發(fā)揮GPO的功能，需要有AD域架構(gòu)的支持，利用AD可以定義一個(gè)集中的策略，所有的Windows2003服務(wù)器和工作站都可以采用它。09十一月2024NETWORKSECURITY468.6活動(dòng)目錄安全性考察

Windows2003Server活動(dòng)目錄是一個(gè)完全可擴(kuò)展、可伸縮的目錄服務(wù)，既能滿足商業(yè)ISP的需要，又能滿足企業(yè)內(nèi)部網(wǎng)和外聯(lián)網(wǎng)的需要，充分體現(xiàn)了微軟產(chǎn)品集成性、深入性和易用性等優(yōu)點(diǎn)。09十一月2024NETWORKSECURITY47活動(dòng)目錄的安全特性（一）集成性結(jié)合了三個(gè)方面的管理內(nèi)容用戶和資源管理基于目錄的網(wǎng)絡(luò)服務(wù)基于網(wǎng)絡(luò)的應(yīng)用管理09十一月2024NETWORKSECURITY48活動(dòng)目錄的安全特性（二）集成性目錄管理的基本對(duì)象是用戶和計(jì)算機(jī)，還包括文件、打印機(jī)等資源活動(dòng)目錄完全采用了Internet標(biāo)準(zhǔn)協(xié)議活動(dòng)目錄集成了關(guān)鍵服務(wù)和關(guān)鍵安全性

09十一月2024NETWORKSECURITY49活動(dòng)目錄的安全特性（三）深入性Windows2003活動(dòng)目錄的深入性主要體現(xiàn)在其企業(yè)級(jí)的可伸縮性、安全性、互操作性、編程能力和升級(jí)能力上。

09十一月2024NETWORKSECURITY50活動(dòng)目錄的安全特性（四）深入性

Windows2003活動(dòng)目錄允許用戶組建單域來管理少量的網(wǎng)絡(luò)對(duì)象，也允許用戶通過域目錄管理成萬上億個(gè)對(duì)象?；顒?dòng)目錄的域樹和域森林的組建方法，可幫助用戶使用容器層次來模擬一個(gè)企業(yè)的組織結(jié)構(gòu)。

Windows2003活動(dòng)目錄和其安全性服務(wù)緊密結(jié)合，相輔相成，共同完成安全任務(wù)和協(xié)同管理。09十一月2024NETWORKSECURITY51活動(dòng)目錄的安全特性（五）易用性Windows2003活動(dòng)目錄主要體現(xiàn)在其簡易的安裝和管理上主要有三個(gè)活動(dòng)目錄的管理界面（MMC）活動(dòng)目錄用戶和計(jì)算機(jī)管理活動(dòng)目錄的域和域信任關(guān)系的管理活動(dòng)目錄的站點(diǎn)管理

09十一月2024NETWORKSECURITY52活動(dòng)目錄的安全特性（六）易用性

管理員還可以方便地進(jìn)行管理授權(quán)?；顒?dòng)目錄充分地考慮到了備份和恢復(fù)目錄服務(wù)的需要。09十一月2024NETWORKSECURITY538.7Windows2003缺省值的安全性評(píng)估

Windows2003包含許多默認(rèn)的設(shè)置和選項(xiàng)，允許更復(fù)雜的管理。這些系統(tǒng)默認(rèn)值可以被有經(jīng)驗(yàn)的攻擊者用來滲透系統(tǒng)。有些默認(rèn)值不能改變，但有些可以改變。這些改變可以提供足夠的安全性。09十一月2024NETWORKSECURITY54Windows2003缺省值的安全性評(píng)估（二）默認(rèn)目錄使用不同的目錄對(duì)合法用戶不會(huì)造成任何影響，但對(duì)于那些企圖通過類似WEB服務(wù)器這樣的介質(zhì)遠(yuǎn)程訪問文件的攻擊者來說大大地增加了難度。09十一月2024NETWORKSECURITY55Windows2003缺省值的安全性評(píng)估（三）默認(rèn)帳號(hào)

增加了攻擊者猜測(cè)帳戶的難度09十一月2024NETWORKSECURITY56Windows2003缺省值的安全性評(píng)估（五）默認(rèn)共享僅僅是針對(duì)管理而配置的，形成一個(gè)沒必要的風(fēng)險(xiǎn)，成為攻擊者一個(gè)常見的目標(biāo)?？梢酝ㄟ^增加注冊(cè)表相應(yīng)的鍵值來禁止這些管理用的共享。09十一月2024NETWORKSECURITY578.8Windows2003主機(jī)安全合理的配置Windows2003，那么windows2003將會(huì)是一個(gè)很安全的操作系統(tǒng)。09十一月2024NETWORKSECURITY58初級(jí)安全（一）物理安全重要的服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)；機(jī)箱，鍵盤，電腦桌抽屜要上鎖

停掉Guest帳號(hào)在計(jì)算機(jī)管理的用戶里面把guest帳號(hào)停用掉，任何時(shí)候都不允許guest帳號(hào)登錄系統(tǒng)；最好給guest加一個(gè)復(fù)雜的密碼限制不必要的用戶數(shù)量去掉不必要的帳戶；去掉不用的帳戶；給用戶組策略設(shè)置相應(yīng)權(quán)限09十一月2024NETWORKSECURITY59初級(jí)安全（二）創(chuàng)建2個(gè)管理員用帳號(hào)

創(chuàng)建一個(gè)一般權(quán)限帳號(hào)用來收信以及處理一些日常事物，另一個(gè)擁有Administrators權(quán)限的帳戶只在需要的時(shí)候使用

把系統(tǒng)administrator帳號(hào)改名

盡量把Administrator帳戶偽裝成普通用戶創(chuàng)建一個(gè)陷阱帳號(hào)

用于迷惑非法入侵者，并借此發(fā)現(xiàn)他們的入侵企圖09十一月2024NETWORKSECURITY60初級(jí)安全（三）把共享文件的權(quán)限從”everyone”組改成“授權(quán)用戶”任何時(shí)候都不要把共享文件的用戶設(shè)置成“everyone”組使用安全密碼一個(gè)好的密碼對(duì)于一個(gè)網(wǎng)絡(luò)是非常重要的，設(shè)置密碼的有效期，還要注意經(jīng)常更改密碼設(shè)置屏幕保護(hù)密碼

設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障；不要使用OpenGL和一些復(fù)雜的屏幕保護(hù)程序，以免浪費(fèi)系統(tǒng)資源09十一月2024NETWORKSECURITY61初級(jí)安全（四）使用NTFS格式分區(qū)NTFS文件系統(tǒng)要比FAT，F(xiàn)AT32的文件系統(tǒng)安全得多運(yùn)行防毒軟件好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。經(jīng)常升級(jí)病毒庫保障備份盤的安全把備份盤防在安全的地方。千萬別把資料備份在同一臺(tái)服務(wù)器上09十一月2024NETWORKSECURITY62中級(jí)安全（一）利用安全配置工具來配置策略充分利用基于MMC（管理控制臺(tái)）安全配置和分析工具，增強(qiáng)系統(tǒng)安全性關(guān)閉不必要的服務(wù)不必要的服務(wù)帶來安全隱患；確保正確的配置了終端服務(wù)；留意服務(wù)器上面開啟的所有服務(wù)關(guān)閉不必要的端口關(guān)閉端口意味著減少功能，在安全和功能上面需要作一點(diǎn)決策09十一月2024NETWORKSECURITY63中級(jí)安全（二）高級(jí)TCP/IP設(shè)置

09十一月2024NETWORKSECURITY64中級(jí)安全（三）TCP/IP篩選

09十一月2024NETWORKSECURITY65中級(jí)安全（四）打開審核策略開啟安全審核是Windows2003最基本的入侵檢測(cè)方法09十一月2024NETWORKSECURITY66中級(jí)安全（五）Windows2003三種類型的日志記錄事件應(yīng)用程序日志系統(tǒng)日志安全日志

09十一月2024NETWORKSECURITY67中級(jí)安全（六）事件查看器

09十一月2024NETWORKSECURITY68中級(jí)安全（七）安全日志

09十一月2024NETWORKSECURITY69中級(jí)安全（八）安全日志屬性

09十一月2024NETWORKSECURITY70中級(jí)安全（九）開啟密碼策略開啟密碼復(fù)雜性要求、設(shè)置密碼長度最小值、開啟強(qiáng)制密碼歷史、設(shè)置強(qiáng)制密碼最長存留期等開啟帳戶策略設(shè)置復(fù)位帳戶鎖定計(jì)數(shù)器、帳戶鎖定時(shí)間、帳戶鎖定閾值09十一月2024NETWORKSECURITY71中級(jí)安全（十）更改賬戶策略

09十一月2024NETWORKSECURITY72中級(jí)安全（十一）設(shè)定安全記錄的訪問權(quán)限把安全記錄設(shè)置成只有Administrator和系統(tǒng)帳戶才有權(quán)訪問

把敏感文件存放在另外的文件服務(wù)器中有必要把一些重要的用戶數(shù)據(jù)存放在另外一個(gè)安全的服務(wù)器中，并且經(jīng)常備份它們不讓系統(tǒng)顯示上次登陸的用戶名防止入侵者容易得到系統(tǒng)的用戶名，進(jìn)而作密碼猜測(cè)09十一月2024NETWORKSECURITY73中級(jí)安全（十二）禁止建立空連接用戶可以通過空連接連上服務(wù)器，進(jìn)而枚舉出帳號(hào)，猜測(cè)密碼

下載最新的補(bǔ)丁程序經(jīng)常訪問微軟和一些安全站點(diǎn)，下載最新的servicepack和漏洞補(bǔ)丁，是保障服務(wù)器長久安全的唯一方法09十一月2024NETWORKSECURITY74安全配置方案高級(jí)篇高級(jí)篇介紹操作系統(tǒng)安全信息通信配置，包括十四條配置原則：關(guān)閉DirectDraw、關(guān)閉默認(rèn)共享禁用DumpFile、文件加密系統(tǒng)加密Temp文件夾、鎖住注冊(cè)表、關(guān)機(jī)時(shí)清除文件禁止軟盤光盤啟動(dòng)、使用智能卡、使用IPSec禁止判斷主機(jī)類型、抵抗DDOS禁止Guest訪問日志和數(shù)據(jù)恢復(fù)軟件09十一月2024NETWORKSECURITY751關(guān)閉DirectDrawC2級(jí)安全標(biāo)準(zhǔn)對(duì)視頻卡和內(nèi)存有要求。關(guān)閉DirectDraw可能對(duì)一些需要用到DirectX的程序有影響（比如游戲），但是對(duì)于絕大多數(shù)的商業(yè)站點(diǎn)都是沒有影響的。在HKEY_LOCAL_MACHINE主鍵下修改子鍵：SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，將鍵值改為“0”即可，如圖7-17所示。09十一月2024NETWORKSECURITY762關(guān)閉默認(rèn)共享Windows2003安裝以后，系統(tǒng)會(huì)創(chuàng)建一些隱藏的共享，可以在DOS提示符下輸入命令NetShare查看，如圖7-18所示。09十一月2024NETWORKSECURITY77停止默認(rèn)共享禁止這些共享，打開管理工具>計(jì)算機(jī)管理>共享文件夾>共享，在相應(yīng)的共享文件夾上按右鍵，點(diǎn)停止共享即可，如圖7-19所示。09十一月2024NETWORKSECURITY783禁用Dump文件在系統(tǒng)崩潰和藍(lán)屏的時(shí)候，Dump文件是一份很有用資料，可以幫助查找問題。然而，也能夠給黑客提供一些敏感信息，比如一些應(yīng)用程序的密碼等需要禁止它，打開控制面板>系統(tǒng)屬性>高級(jí)>啟動(dòng)和故障恢復(fù)，把寫入調(diào)試信息改成無，如圖7-20所示。09十一月2024NETWORKSECURITY794文件加密系統(tǒng)Windows2003強(qiáng)大的加密系統(tǒng)能夠給磁盤，文件夾，文件加上一層安全保護(hù)。這樣可以防止別人把你的硬盤掛到別的機(jī)器上以讀出里面的數(shù)據(jù)。微軟公司為了彌補(bǔ)WindowsNT4.0的不足，在Windows2003中，提供了一種基于新一代NTFS：NTFSV5（第5版本）的加密文件系統(tǒng)（EncryptedFileSystem，簡稱EFS）。EFS實(shí)現(xiàn)的是一種基于公共密鑰的數(shù)據(jù)加密方式，利用了Windows2003中的CryptoAPI結(jié)構(gòu)。09十一月2024NETWORKSECURITY805加密Temp文件夾一些應(yīng)用程序在安裝和升級(jí)的時(shí)候，會(huì)把一些東西拷貝到Temp文件夾，但是當(dāng)程序升級(jí)完畢或關(guān)閉的時(shí)候，并不會(huì)自己清除Temp文件夾的內(nèi)容。所以，給Temp文件夾加密可以給你的文件多一層保護(hù)。09十一月2024NETWORKSECURITY816鎖住注冊(cè)表在Windows2003中，只有Administrators和BackupOperators才有從網(wǎng)絡(luò)上訪問注冊(cè)表的權(quán)限。當(dāng)帳號(hào)的密碼泄漏以后，黑客也可以在遠(yuǎn)程訪問注冊(cè)表，當(dāng)服務(wù)器放到網(wǎng)絡(luò)上的時(shí)候，一般需要鎖定注冊(cè)表。修改Hkey_current_user下的子鍵Software\microsoft\windows\currentversion\Policies\system把DisableRegistryTools的值該為0，類型為DWORD，如圖7-21所示。09十一月2024NETWORKSECURITY827關(guān)機(jī)時(shí)清除文件頁面文件也就是調(diào)度文件，是Windows2003用來存儲(chǔ)沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。一些第三方的程序可以把一些沒有的加密的密碼存在內(nèi)存中，頁面文件中可能含有另外一些敏感的資料。要在關(guān)機(jī)的時(shí)候清楚頁面文件，可以編輯注冊(cè)表修改主鍵HKEY_LOCAL_MACHINE下的子鍵：SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPageFileAtShutdown的值設(shè)置成1，如圖7-22所示。09十一月2024NETWORKSECURITY838禁止軟盤光盤啟動(dòng)一些第三方的工具能通過引導(dǎo)系統(tǒng)來繞過原有的安全機(jī)制。比如一些管理員工具，從軟盤上或者光盤上引導(dǎo)系統(tǒng)以后，就可以修改硬盤上操作系統(tǒng)的管理員密碼。如果服務(wù)器對(duì)安全要求非常高，可以考慮使用可移動(dòng)軟盤和光驅(qū)，把機(jī)箱鎖起來仍然不失為一個(gè)好方法。09十一月2024NETWORKSECURITY849使用智能卡對(duì)于密碼，總是使安全管理員進(jìn)退兩難，容易受到一些工具的攻擊，如果密碼太復(fù)雜，用戶把為了記住密碼，會(huì)把密碼到處亂寫。如果條件允許，用智能卡來代替復(fù)雜的密碼是一個(gè)很好的解決方法。09十一月2024NETWORKSECURITY8510使用IPSec正如其名字的含義，IPSec提供IP數(shù)據(jù)包的安全性。IPSec提供身份驗(yàn)證、完整性和可選擇的機(jī)密性。發(fā)送方計(jì)算機(jī)在傳輸之前加密數(shù)據(jù)，而接收方計(jì)算機(jī)在收到數(shù)據(jù)之后解密數(shù)據(jù)。利用IPSec可以使得系統(tǒng)的安全性能大大增強(qiáng)。09十一月2024NETWORKSECURITY8611禁止判斷主機(jī)類型黑客利用TTL（Time-To-Live，活動(dòng)時(shí)間）值可以鑒別操作系統(tǒng)的類型，通過Ping指令能判斷目標(biāo)主機(jī)類型。Ping的用處是檢測(cè)目標(biāo)主機(jī)是否連通。許多入侵者首先會(huì)Ping一下主機(jī)，因?yàn)楣裟骋慌_(tái)計(jì)算機(jī)需要根據(jù)對(duì)方的操作系統(tǒng)，是Windows還是Unix。如過TTL值為128就可以認(rèn)為你的系統(tǒng)為Windows2003，如圖7-23所示。09十一月2024NETWORKSECURITY87從圖中可以看出，TTL值為128，說明該主機(jī)的操作系統(tǒng)是Windows2003操作系統(tǒng)。表7-6給出了一些常見操作系統(tǒng)的對(duì)照值。操作系統(tǒng)類型TTL返回值Windows2003128WindowsNT107win9x128or127solaris252IRIX240AIX247Linux241or24009十一月2024NETWORKSECURITY88修改TTL的值，入侵者就無法入侵電腦了。比如將操作系統(tǒng)的TTL值改為111，修改主鍵HKEY_LOCAL_MACHINE的子鍵：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS新建一個(gè)雙字節(jié)項(xiàng)，如圖7-24所示。09十一月2024NETWORKSECURITY89在鍵的名稱中輸入“defaultTTL”，然后雙擊改鍵名，選擇單選框“十進(jìn)制”，在文本框中輸入111，如圖7-25所示。09十一月2024NETWORKSECURITY90設(shè)置完畢重新啟動(dòng)計(jì)算機(jī)，再用Ping指令，發(fā)現(xiàn)TTL的值已經(jīng)被改成111了，如圖7-26所示。09十一月2024NETWORKSECURITY9112抵抗DDOS添加注冊(cè)表的一些鍵值，可以有效的抵抗DDOS的攻擊。在鍵值[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加響應(yīng)的鍵及其說明如表7-7所示。增加的鍵值鍵值說明"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000000"KeepAliveTime"=dword:00000000"PerformRouterDiscovery"=dword:00000000基本設(shè)置"EnableICMPRedirects"=dword:00000000防止ICMP重定向報(bào)文的攻擊"SynAttackProtect"=dword:00000002防止SYN洪水攻擊"TcpMaxHalfOpenRetried"=dword:00000080僅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried設(shè)置超出范圍時(shí),保護(hù)機(jī)制才會(huì)采取措施"TcpMaxHalfOpen"=dword:00000100"IGMPLevel"=dword:00000000不支持IGMP協(xié)議"EnableDeadGWDetect"=dword:00000000禁止死網(wǎng)關(guān)監(jiān)測(cè)技術(shù)"IPEnableRouter"=dword:00000001支持路由功能09十一月2024NETWORKSECURITY9213禁止Guest訪問日志在默認(rèn)安裝的WindowsNT和Windows2003中，Guest