【正文】 word:00000000 PerformRouterDiscovery=dword:00000000 基本設(shè)置 EnableICMPRedirects=dword:00000000 防止 ICMP重定向報文的攻擊 SynAttackProtect=dword:00000002 防止 SYN洪水攻擊 TcpMaxHalfOpenRetried=dword:00000080 僅在 TcpMaxHalfOpen和TcpMaxHalfOpenRetried設(shè)置超出范圍時 ,保護(hù)機(jī)制才會采取措施 TcpMaxHalfOpen=dword:00000100 IGMPLevel=dword:00000000 不支持 IGMP協(xié)議 EnableDeadGWDetect=dword:00000000 禁止死網(wǎng)關(guān)監(jiān)測技術(shù) IPEnableRouter=dword:00000001 支持路由功能 13 禁止 Guest訪問日志 ? 在默認(rèn)安裝的 Windows NT和 Windows 2023中， Guest帳號和匿名用戶可以查看系統(tǒng)的事件日志，可能導(dǎo)致許多重要信息的泄漏，修改注冊表來禁止 Guest訪問事件日志。 12 抵抗 DDOS ? 添加注冊表的一些鍵值，可以有效的抵抗 DDOS的攻擊。 ? 在鍵的名稱中輸入“ defaultTTL”，然后雙擊改鍵名，選擇單選框“十進(jìn)制”，在文本框中輸入 111，如圖 725所示。 操作系統(tǒng)類型 TTL返回值 Windows 2023 128 Windows NT 107 win9x 128 or 127 solaris 252 IRIX 240 AIX 247 Linux 241 or 240 ? 修改 TTL的值，入侵者就無法入侵電腦了。 ? 從圖中可以看出， TTL值為 128，說明改主機(jī)的操作系統(tǒng)是Windows 2023操作系統(tǒng)。 ? 許多入侵者首先會 Ping一下主機(jī)，因為攻擊某一臺計算機(jī)需要根據(jù)對方的操作系統(tǒng)，是 Windows還是 Unix。 11 禁止判斷主機(jī)類型 ? 黑客利用 TTL（ TimeToLive，活動時間）值可以鑒別操作系統(tǒng)的類型，通過 Ping指令能判斷目標(biāo)主機(jī)類型。發(fā)送方計算機(jī)在傳輸之前加密數(shù)據(jù)，而接收方計算機(jī)在收到數(shù)據(jù)之后解密數(shù)據(jù)。 10 使用 IPSec ? 正如其名字的含義， IPSec提供 IP數(shù)據(jù)包的安全性。 9 使用智能卡 ? 對于密碼，總是使安全管理員進(jìn)退兩難，容易受到一些工具的攻擊，如果密碼太復(fù)雜，用戶把為了記住密碼，會把密碼到處亂寫。比如一些管理員工具，從軟盤上或者光盤上引導(dǎo)系統(tǒng)以后，就可以修改硬盤上操作系統(tǒng)的管理員密碼。要在關(guān)機(jī)的時候清楚頁面文件，可以編輯注冊表 修改主鍵 HKEY_LOCAL_MACHINE下的子鍵： ? SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management ? 把 ClearPageFileAtShutdown的值設(shè)置成 1，如圖 722所示。 7 關(guān)機(jī)時清除文件 ? 頁面文件也就是調(diào)度文件，是 Windows 2023用來存儲沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。當(dāng)帳號的密碼泄漏以后，黑客也可以在遠(yuǎn)程訪問注冊表，當(dāng)服務(wù)器放到網(wǎng)絡(luò)上的時候，一般需要鎖定注冊表。 ? 所以，給 Temp文件夾加密可以給你的文件多一層保護(hù)。 ? EFS實現(xiàn)的是一種基于公共密鑰的數(shù)據(jù)加密方式，利用了Windows 2023中的 CryptoAPI結(jié)構(gòu)。這樣可以防止別人把你的硬盤掛到別的機(jī)器上以讀出里面的數(shù)據(jù)。然而，也能夠給黑客提供一些敏感信息，比如一些應(yīng)用程序的密碼等 ? 需要禁止它，打開控制面板 系統(tǒng)屬性 高級 啟動和故障恢復(fù)，把寫入調(diào)試信息改成無，如圖 720所示。 停止默認(rèn)共享 ? 禁止這些共享，打開管理工具 計算機(jī)管理 共享文件夾 共享，在相應(yīng)的共享文件夾上按右鍵，點停止共享即可，如圖 719所示。 ? 在 HKEY_LOCAL_MACHINE主鍵下修改子鍵： ? SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，將鍵值改為“ 0”即可，如圖 717所示。 安全配置方案高級篇 ? 高級篇介紹操作系統(tǒng)安全信息通信配置，包括十四條配置原則： ? 關(guān)閉 DirectDraw、關(guān)閉默認(rèn)共享 ? 禁用 Dump File、文件加密系統(tǒng) ? 加密 Temp文件夾、鎖住注冊表、關(guān)機(jī)時清除文件 ? 禁止軟盤光盤啟動、使用智能卡、使用 IPSec ? 禁止判斷主機(jī)類型、抵抗 DDOS ? 禁止 Guest訪問日志和數(shù)據(jù)恢復(fù)軟件 1 關(guān)閉 DirectDraw ? C2級安全標(biāo)準(zhǔn)對視頻卡和內(nèi)存有要求。 ? 誰也不敢保證數(shù)百萬行以上代碼的 Windows 2023不出一點安全漏洞。如圖 716所示。 ? 可以通過修改注冊表來禁止建立空連接。 ? 修改注冊表禁止顯示上次登錄名，在 HKEY_LOCAL_MACHINE主鍵下修改子鍵： ? Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，將鍵值改成 1，如圖 715所示。 7 備份敏感文件 ? 把敏感文件存放在另外的文件服務(wù)器中，雖然服務(wù)器的硬盤容量都很大，但是還是應(yīng)該考慮把一些重要的用戶數(shù)據(jù)（文件，數(shù)據(jù)表和項目文件等）存放在另外一個安全的服務(wù)器中，并且經(jīng)常備份它們 8 不顯示上次登錄名 ? 默認(rèn)情況下，終端服務(wù)接入服務(wù)器時，登陸對話框中會顯示上次登陸的帳戶名，本地的登陸對話框也是一樣。 6 開啟帳戶策略 ? 開啟帳戶策略可以有效的防止字典式攻擊，設(shè)置如表 74所示。本地安全設(shè)置中的密碼策略在默認(rèn)的情況下都沒有開啟。 ? 雙擊審核列表的某一項，出現(xiàn)設(shè)置對話框，將復(fù)選框“成功”和“失敗”都選中，如圖 712所示。表 72的這些審核是必須開啟的，其他的可以根據(jù)需要增加。當(dāng)有人嘗試對系統(tǒng)進(jìn)行某種方式（如嘗試用戶密碼，改變帳戶策略和未經(jīng)許可的文件訪問等等）入侵的時候，都會被安全審核記錄下來。TCP/IP篩選器是 Windows自帶的防火墻，功能比較強大，可以替代防火墻的部分功能。 ? 設(shè)置端口界面如圖 710所示。 ? 設(shè)置本機(jī)開放的端口和服務(wù)，在 IP地址設(shè)置窗口中點擊按鈕“高級”，如圖 78所示。 ? 用端口掃描器掃描系統(tǒng)所開放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服務(wù)的對照表可供參考。 Windows2023可禁用的服務(wù) 服務(wù)名 說明 Computer Browser 維護(hù)網(wǎng)絡(luò)上計算機(jī)的最新列表以及提供這個列表 Task scheduler 允許程序在指定時間運行 Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù) Removable storage 管理可移動媒體、驅(qū)動程序和庫 Remote Registry Service 允許遠(yuǎn)程注冊表操作 Print Spooler 將文件加載到內(nèi)存中以便以后打印。要留意服務(wù)器上開啟的所有服務(wù)并每天檢查。 ? 為了能夠在遠(yuǎn)程方便的管理服務(wù)器，很多機(jī)器的終端服務(wù)都是開著的，如果開了，要確認(rèn)已經(jīng)正確的配置了終端服務(wù)。在默認(rèn)的情況下，這些策略都是沒有開啟的。 ? 在管理工具中可以找到“本地安全策略”，主界面如圖 76所示。 ? 不能把資料備份在同一臺服務(wù)器上，這樣的話還不如不要備份。 12備份盤的安全 ? 一旦系統(tǒng)資料被黑客破壞，備份盤將是恢復(fù)資料的唯一途徑。 11防毒軟件 ? Windows 2023/NT服務(wù)器一般都沒有安裝防毒軟件的，一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。 10 NTFS分區(qū) ? 把服務(wù)器的所有分區(qū)都改成 NTFS格式。 ? 還有一點，所有系統(tǒng)用戶所使用的機(jī)器也最好加上屏幕保護(hù)密碼。 9屏幕保護(hù)密碼 ? 設(shè)置屏幕保護(hù)密碼是防止內(nèi)部人員破壞服務(wù)器的一個屏障。這樣的帳戶應(yīng)該要求用戶首此登陸的時候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。 8安全密碼 ? 好的密碼對于一個網(wǎng)絡(luò)是非常重要的，但是也是最容易被忽略的。包括打印共享，默認(rèn)的屬性就是“ Everyone”組的，一定不要忘了改?！?Everyone”在Windows 2023中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料?？梢詫⒃撚脩綦`屬的組修改成Guests組，如圖 73所示。 6 陷阱帳號 ? 所謂的陷阱帳號是創(chuàng)建一個名為“ Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個超過 10位的超級復(fù)雜密碼。 ? 不要使用 Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，比如改成： guestone。 5 管理員帳號改名 ? Windows 2023中的 Administrator帳號是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。創(chuàng)建一個一般用戶權(quán)限帳號用來處理電子郵件以及處理一些日常事物，另一個擁有 Administrator權(quán)限的帳戶只在需要的時候使用。 ? 對于 Windows NT/2023主機(jī)，如果系統(tǒng)帳戶超過 10個，一般能找出一兩個弱口令帳戶，所以帳戶數(shù)量不要大于 10個。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不使用的帳戶。并且修改 Guest帳號的屬性，設(shè)置拒絕遠(yuǎn)程訪問，如圖 71所示。 ? 為了保險起見，最好給 Guest 加一個復(fù)雜的密碼，可以打開記事本，在里面輸入一串包含特殊字符 ,數(shù)字，字母的長字符串。 ? 另外，機(jī)箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進(jìn)入房間也無法使用電腦，鑰匙要放在安全的地方。 安全配置方案初級篇 ? 安全配置方案初級篇主要介紹常規(guī)的操作系統(tǒng)安全配置，包括十二條基本配置原則： ? 物理安全、停止 Guest帳號、限制用戶數(shù)量 ? 創(chuàng)建多個管理員帳號、管理員帳號改名 ? 陷阱帳號、更改默認(rèn)權(quán)限、設(shè)置安全密碼 ? 屏幕保護(hù)密碼、使用 NTFS分區(qū) ? 運行防毒軟件和確保備份盤安全。 Windows NT眾多版本的操作系統(tǒng)使用了與Windows 9X完全一致的用戶界面和完全相同的操作方法，使用戶使用起來比較方便。假設(shè)有一定的物理保障，該標(biāo)準(zhǔn)適合政府和軍隊，不適合企業(yè)，這個模型是靜態(tài)的。 ? 橙皮書也存在不足。該級別包含了較低級別的所有的安全特性 ? 設(shè)計必須從數(shù)學(xué)角度上進(jìn)行驗證，而且必須進(jìn)行秘密通道和可信任分布分析。該級別也要求用戶通過一條可信任途徑連接到系統(tǒng)上。 安全級別 ? B2級，又叫結(jié)構(gòu)保護(hù)級別（ Structured Protection），它要求計算機(jī)系統(tǒng)中所有的對象都要加上標(biāo)簽，而且給設(shè)備（磁盤、磁帶和終端）分配單個或者多個安全級別。 ? 能夠達(dá)到 C2級別的常見操作系統(tǒng)有： ? （ 1）、 Unix系統(tǒng) ? （ 2）、 Novell ? （ 3）、 Windows NT、 Windows 2023和 Windows 2023 安全級別 ? B級中有三個級別， B1級即標(biāo)志安全保護(hù)（ Labeled Security Protection），是支持多級安全（例如：秘密和絕密）的第一個級別，這個級別說明處于強制性訪問控制之下的對象，系統(tǒng)不允許文件的擁有者改變其許可權(quán)限。 安全級別 ? 使用附加身份驗證就可以讓一個 C2級系統(tǒng)用戶在不是超級用戶的情況下有權(quán)執(zhí)行系統(tǒng)管理任務(wù)。 ? 用戶擁有的訪問權(quán)是指對文件和目標(biāo)的訪問權(quán)。 安全級別 ? C1是 C類的一個安全子級。 ? 對于硬件來說，是沒有任何保護(hù)措施的，操作系統(tǒng)容易受到損害，沒有系統(tǒng)訪問限制和數(shù)據(jù)訪問限制，任何人不需任何賬戶都可以進(jìn)入系統(tǒng)，不受任何限制可以訪問他人的數(shù)據(jù)文件。 ? 其他子系統(tǒng)（如數(shù)據(jù)庫和網(wǎng)絡(luò)）也一直用橙皮書來解釋評估。 國際評價標(biāo)準(zhǔn) ? 根據(jù)美國國防部開發(fā)的計算機(jī)安全標(biāo)準(zhǔn) ——可信任計算機(jī)標(biāo)準(zhǔn)評價準(zhǔn)則（ Trusted Computer Standards Evaluation Criteria： TCSEC），也就是網(wǎng)絡(luò)安全橙皮書，一些計算機(jī)安全級別被用來評價一個計算機(jī)系統(tǒng)的安全性。 ? 第三級為安全標(biāo)記保護(hù)級：除繼承前一個級別的安全功能外，還要求以訪問對象標(biāo)記的安全級別限制訪問者的訪問權(quán)限，實現(xiàn)對訪問對象的強制保護(hù)。 我國評價標(biāo)準(zhǔn) ? 在我國根據(jù) 《 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 》 ， 199