【正文】 右側(cè)窗口的 “AutoRun” ，選擇 “ 修改 ” 。在出現(xiàn)的 “ 編輯 DWORD值 ” 的 “ 數(shù)值數(shù)據(jù) ” 數(shù)據(jù)框中填入 0，即可禁止光盤的自動(dòng)運(yùn)行。 圖 ⑤ 防止 U盤病毒傳播 ? 在注冊(cè)表中展開“HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2” ， 右擊“MountPoints2” ，選擇 “ 權(quán)限 ” ，出現(xiàn)如圖 窗口。將 Administrator和 Administrators的 “ 完全控制 ” 和“ 讀取 ” 權(quán)限均設(shè)臵為 “ 拒絕 ” ，再點(diǎn)擊 “ 確定 ” 按鈕即可。 圖 MountPoints2 子項(xiàng)權(quán)限 ⑥ 禁止木馬病毒程序的自行啟動(dòng) ? 在注冊(cè)表中展開 “HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\ CurrentVersion \Run” 。 右擊 “Run” ，選擇 “ 權(quán)限 ” ，出現(xiàn)如圖 。點(diǎn)擊“ 添加 ” 按鈕，添加一個(gè) “Everyone” 用戶組，將“Everyone” 用戶組的 “ 完全控制 ” 和 “ 讀取 ” 權(quán)限設(shè)臵為拒絕，再點(diǎn)擊 “ 確定 ” 按鈕即可。 圖 ⑦ 修改系統(tǒng)默認(rèn)的 TTL值 ? 由于不同操作系統(tǒng)默認(rèn)的 TTL值不同，攻擊者可以根據(jù) TTL值來判斷系統(tǒng)主機(jī)的操作系統(tǒng)，進(jìn)而采取相應(yīng)的針對(duì)特定系統(tǒng)的漏洞掃描等操作。 ? 為了系統(tǒng)的安全，有必要對(duì)默認(rèn) TTL值進(jìn)行修改。如果將系統(tǒng)默認(rèn)的 TTL值修改為不是表中的數(shù)值，或故意修改為其它操作系統(tǒng)的 TTL值，那么當(dāng)攻擊者檢測(cè)到 TTL值時(shí)，再采用針對(duì)該系統(tǒng)的攻擊工具進(jìn)行攻擊時(shí)當(dāng)然就不會(huì)成功。 ? 在注冊(cè)表中展開 “HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Tcpip\Parameters” ，右擊 “Parameters” ，選擇 “ 新建 ”→“DWORD 值 ” ，如圖 。 圖 修改 TTL之新建子項(xiàng) ? 將新建項(xiàng)命名為 “defaultTTL” 。右擊“defaultTTL” 項(xiàng)，選擇 “ 修改 ” 。在出現(xiàn)的 “ 編輯 DWORD值 ” 框里，將 “ 基數(shù) ” 項(xiàng)選為 “ 十進(jìn)制 ” ，在 “ 數(shù)值數(shù)據(jù) ” 框中輸入希望系統(tǒng)顯示的TTL值，如圖 。 圖 TTL值 ⑧ 禁止遠(yuǎn)程修改注冊(cè)表 ? 在注冊(cè)表中展開“HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Secure pipeservers\winreg” 項(xiàng)。新建 “DWORD”項(xiàng)，將其名稱命名為 “RemoteRegAccess” ，其值取為“1” ，如圖 。這樣，系統(tǒng)即可拒絕遠(yuǎn)程修改注冊(cè)表。 圖 ⑨ 禁止操作注冊(cè)表編輯器 ? 打開注冊(cè)表“HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Policies” ，新建 “system” 項(xiàng)。在 “system”項(xiàng)新建 “DWORD” 項(xiàng)，名稱命名為“Disableregistrytools” ，取值為 “1” ，如圖 。這樣，重新啟動(dòng)系統(tǒng)后，在用戶操作注冊(cè)表編輯器時(shí)將提示不允許操作。 圖 ⑩ 禁止操作組策略編輯器 ? 打開注冊(cè)表“HKEY_CURRENT_USER \Software\Policies\Microsoft\MMC” ，在 “MMC” 項(xiàng)新建 “DWORD” 項(xiàng)，名稱命名為“RestrictToPermittedSnapins” ，取值為 “1” ，如圖 示。重新啟動(dòng)系統(tǒng)后，在一般用戶操作組策略時(shí)將提示不允許操作。 圖 Linux系統(tǒng)的安全設(shè)臵 1． BIOS的安全 ? 設(shè)臵 BIOS密碼后可以防止通過在 BIOS改變啟動(dòng)順序，而從其他設(shè)備啟動(dòng) 。 這就可以阻止別人試圖用特殊的啟動(dòng)盤啟動(dòng)系統(tǒng)，還可以阻止別人進(jìn)入 BIOS改動(dòng)其中的設(shè)臵 ? 系統(tǒng)安裝完畢后，除了硬盤啟動(dòng)外，要在BIOS中禁止除硬盤以外的任何設(shè)備啟動(dòng)。 2．加載程序的啟動(dòng) ? 啟動(dòng)加載程序時(shí)盡量使用 GRUB而不使用LILO。 雖然它們都可以加入啟動(dòng)口令，但是 LILO在配臵文件中使用明文口令，而GRUB是使用 MD5算法加密的 。 加密碼保護(hù)后可以防止使用被定制的內(nèi)核來啟動(dòng)系統(tǒng)，并在沒有其他操作系統(tǒng)的情況下，將啟動(dòng)等待時(shí)間設(shè)為 0。 3． sudo的使用 ? 盡量不要對(duì)用戶分配 root權(quán)限，但有時(shí)用戶會(huì)使用一些需要 root權(quán)限的命令 。 sudo是一種以限制在配臵文件中的命令為基礎(chǔ)，在有限時(shí)間內(nèi)給用戶使用并且記錄到日志中的工具，其配臵在 /etc/sudoers文件中 。 當(dāng)用戶使用 sudo時(shí)，需要輸入自己的口令以驗(yàn)證使用者身份，隨后可以使用定義好的命令。當(dāng)使用配臵文件中沒有的命令時(shí)，將會(huì)有報(bào)警的記錄 。 4．限制 SU用戶個(gè)數(shù) ? SU(替代用戶 )命令允許用戶成為系統(tǒng)中其他已存在的用戶。如果不希望任何人通過 SU命令改變?yōu)閞oot用戶或?qū)δ承┯脩粝拗剖褂?SU命令，可以在SU配臵文件 (在 “/etc/”目錄下 )的開頭添加相應(yīng)的 命令行 。 5．系統(tǒng)登錄安全 ? 通過修改 /etc/延遲、記錄日志、登錄密碼長(zhǎng)度限制、過期限制等設(shè)臵，以增加系統(tǒng)安全性 。 6．關(guān)閉不必要的服務(wù) ? 安裝 RedHat Linux后會(huì)有上百種服務(wù)進(jìn)程，但服務(wù)越多開放的端口就越多，安全隱患就越大。因此系統(tǒng)只保留必要的服務(wù)就可以了 。 ? 使用 “chkconfig – list” 命令可以查看系統(tǒng)打開的服務(wù)進(jìn)程 。 ? 使用 “chkconfig – del” 命令可以刪除指定的服務(wù)進(jìn)程 。 7．刪除不必要的用戶和組 ? Linux系統(tǒng)可以刪除的用戶有 news、 uucp和 gopher，可以刪除的組有 news、 uucp和 dip。 ? Linux系統(tǒng)刪除賬號(hào)的命令為 userdelr username；刪除組的命令為 groupdelr groupname。 8．限制 NFS服務(wù) ? 如果希望禁止用戶任意的共享目錄，可以增加對(duì)NFS的限制，鎖定 /etc/exports文件，并事先定義共享的目錄 。 9．密碼安全 ? Linux在默認(rèn)安裝時(shí)其密碼長(zhǎng)度是 5個(gè)字節(jié) ， 但該長(zhǎng)度稍短，需要對(duì)密碼長(zhǎng)度進(jìn)行修改。修改最短密碼長(zhǎng)度要編輯 。 10．禁止顯示系統(tǒng)歡迎信息 ? 修改 “/etc/” 文件，將命令行 tel stream tcp nowait root /usr/sbin/tcpd ? 修改為： tel stream tcp nowait root /usr/sbin/tcpd h 11．禁止未經(jīng)許可的刪除或添加服務(wù) ? chattr +i /etc/services 12．禁止從不同的控制臺(tái)登錄 root ? “/etc/securetty” 文件允許定義 root用戶可以從哪個(gè) TTY設(shè)備登錄 。 通過編輯“/etc/securetty” 文件，將不需要登錄的TTY設(shè)備前添加 標(biāo)志，從而禁止從該TTY設(shè)備登錄 root 。 13．禁止使用 ControlAltDelete命令 ? 在 “/etc/inittab” 文件中將命令行 ca::ctrlaltdel:/sbin/shutdown t3 r now 改為： ca::ctrlaltdel:/sbin/shutdown t3 r now ? 然后，使命令生效： /sbin/init q 14．給 “/etc/” 下的 script文件設(shè)臵權(quán)限 ? 給執(zhí)行或關(guān)閉啟動(dòng)時(shí)執(zhí)行的程序 script文件設(shè)臵權(quán)限。使只有 root用戶才允許讀、寫和執(zhí)行該目錄下的 script文件。 ? chmod R 700 /etc/* 15．隱藏系統(tǒng)信息 ? 默認(rèn)情況下當(dāng)用戶登錄到 Linux系統(tǒng)時(shí)，會(huì)顯示該Linux系統(tǒng)的名稱、版本、內(nèi)核版本、服務(wù)器名稱等信息。這些信息足以使攻擊者了解并入侵系統(tǒng) ，因此需要通過修改配臵使系統(tǒng)只顯示一個(gè) “l(fā)ogin:”提示符而不顯示其他任何信息。 16．阻止系統(tǒng)響應(yīng) Ping請(qǐng)求 ? Ping命令是經(jīng)常使用的命令，攻擊者通過使用 Ping命令可以判斷對(duì)方是否在線，從而再進(jìn)一步實(shí)施攻擊行為。 ? 在 Linux系統(tǒng)中，可以通過修改/etc/，使系統(tǒng)不響應(yīng) Ping請(qǐng)求，從而使攻擊者無法判斷主機(jī)是否在線。 演講完畢，謝謝觀看！