操作系統(tǒng)安全配置方案

1、2n本章介紹Windows 2000服務(wù)器的安全配置。n操作系統(tǒng)的安全將決定網(wǎng)絡(luò)的安全，從保護(hù)級別上分成安全初級篇、中級篇和高級篇，共36條基本配置原則。n安全配置初級篇講述常規(guī)的操作系統(tǒng)安全配置，中級篇介紹操作系統(tǒng)的安全策略配置，高級篇介紹操作系統(tǒng)安全信息通信配置。3n目前服務(wù)器常用的操作系統(tǒng)有三類：nUnixnLinuxnWindows NT/2000/2003 Server。n這些操作系統(tǒng)都是符合C2級安全級別的操作系統(tǒng)。但是都存在不少漏洞，如果對這些漏洞不了解，不采取相應(yīng)的措施，就會使操作系統(tǒng)完全暴露給入侵者。4nUNIX操作系統(tǒng)是由美國貝爾實驗室開發(fā)的一種多用戶、多任務(wù)的通用操作系統(tǒng)

2、。它從一個實驗室的產(chǎn)品發(fā)展成為當(dāng)前使用普遍、影響深遠(yuǎn)的主流操作系統(tǒng)。nUNIX誕生于20世紀(jì)60年代末期，貝爾實驗室的研究人員于1969年開始在GE645計算機(jī)上實現(xiàn)一種分時操作系統(tǒng)的雛形，后來該系統(tǒng)被移植到了DEC的PDP-7小型機(jī)上。n1970年給系統(tǒng)正式取名為Unix操作系統(tǒng)。到1973年，Unix系統(tǒng)的絕大部分源代碼都用C語言重新編寫過，大大提高了Unix系統(tǒng)的可移植性，也為提高系統(tǒng)軟件的開發(fā)效率創(chuàng)造了條件。5nUNIX操作系統(tǒng)經(jīng)過20多年的發(fā)展后，已經(jīng)成為一種成熟的主流操作系統(tǒng)，并在發(fā)展過程中逐步形成了一些新的特色，其中主要特色包括5個方面。n（1）可靠性高n（2）極強(qiáng)的伸縮性n（3

3、）網(wǎng)絡(luò)功能強(qiáng)n（4）強(qiáng)大的數(shù)據(jù)庫支持功能n（5）開放性好6nLinux是一套可以免費(fèi)使用和自由傳播的類Unix操作系統(tǒng)，主要用于基于Intel x86系列CPU的計算機(jī)上。這個系統(tǒng)是由全世界各地的成千上萬的程序員設(shè)計和實現(xiàn)的。其目的是建立不受任何商品化軟件的版權(quán)制約的、全世界都能自由使用的Unix兼容產(chǎn)品。nLinux最早開始于一位名叫Linus Torvalds的計算機(jī)業(yè)余愛好者，當(dāng)時他是芬蘭赫爾辛基大學(xué)的學(xué)生。n目的是想設(shè)計一個代替Minix（是由一位名叫Andrew Tannebaum的計算機(jī)教授編寫的一個操作系統(tǒng)示教程序）的操作系統(tǒng)。這個操作系統(tǒng)可用于386、486或奔騰處理器的個人計

4、算機(jī)上，并且具有Unix操作系統(tǒng)的全部功能。7nLinux是一個免費(fèi)的操作系統(tǒng)，用戶可以免費(fèi)獲得其源代碼，并能夠隨意修改。n它是在共用許可證GPL(General Public License)保護(hù)下的自由軟件，也有好幾種版本，如Red Hat Linux、Slackware，以及國內(nèi)的Xteam Linux、紅旗Linux等等。Linux的流行是因為它具有許多優(yōu)點(diǎn)，典型的優(yōu)點(diǎn)有7個。8n（1）完全免費(fèi)n（2）完全兼容POSIX 1.0標(biāo)準(zhǔn)n（3）多用戶、多任務(wù)n（4）良好的界面n（5）豐富的網(wǎng)絡(luò)功能n（6）可靠的安全、穩(wěn)定性能 n（7）支持多種平臺 9nWindows NT（New Tech

5、nology）是微軟公司第一個真正意義上的網(wǎng)絡(luò)操作系統(tǒng)，發(fā)展經(jīng)過NT3.0、NT40、NT5.0（Windows 2000）和NT6.0（Windows 2003）等眾多版本，并逐步占據(jù)了廣大的中小網(wǎng)絡(luò)操作系統(tǒng)的市場。nWindows NT眾多版本的操作系統(tǒng)使用了與Windows 9X完全一致的用戶界面和完全相同的操作方法，使用戶使用起來比較方便。與Windows 9X相比，Windows NT的網(wǎng)絡(luò)功能更加強(qiáng)大并且安全。1011n安全配置方案初級篇主要介紹常規(guī)的操作系統(tǒng)安全配置，包括十二條基本配置原則：n物理安全、停止Guest帳號、限制用戶數(shù)量n創(chuàng)建多個管理員帳號、管理員帳號改名n陷阱帳號

6、、更改默認(rèn)權(quán)限、設(shè)置安全密碼n屏幕保護(hù)密碼、使用NTFS分區(qū)n運(yùn)行防毒軟件和確保備份盤安全。12n服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器要保留15天以上的攝像記錄。n另外，機(jī)箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進(jìn)入房間也無法使用電腦，鑰匙要放在安全的地方。13n在計算機(jī)管理的用戶里面把Guest帳號停用，任何時候都不允許Guest帳號登陸系統(tǒng)。n為了保險起見，最好給Guest 加一個復(fù)雜的密碼，可以打開記事本，在里面輸入一串包含特殊字符,數(shù)字，字母的長字符串。n用它作為Guest帳號的密碼。并且修改Guest帳號的屬性，設(shè)置拒絕遠(yuǎn)程訪問，如圖6_1所示。14n去掉所有的測試

7、帳戶、共享帳號和普通部門帳號等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不使用的帳戶。n帳戶很多是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大。n對于Windows NT/2000主機(jī)，如果系統(tǒng)帳戶超過10個，一般能找出一兩個弱口令帳戶，所以帳戶數(shù)量不要大于10個。15n雖然這點(diǎn)看上去和上面有些矛盾，但事實上是服從上面規(guī)則的。創(chuàng)建一個一般用戶權(quán)限帳號用來處理電子郵件以及處理一些日常事物，另一個擁有Administrator權(quán)限的帳戶只在需要的時候使用。n因為只要登錄系統(tǒng)以后，密碼就存儲再WinLogon進(jìn)程中，當(dāng)有其他用戶入侵計算機(jī)的時候

8、就可以得到登錄用戶的密碼，盡量減少Administrator登錄的次數(shù)和時間。16nWindows 2000中的Administrator帳號是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點(diǎn)。n不要使用Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，比如改成：guestone。具體操作的時候只要選中帳戶名改名就可以了，如圖6_2所示。17n所謂的陷阱帳號是創(chuàng)建一個名為“Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復(fù)雜密碼。n這樣可以讓那些企圖入

9、侵者忙上一段時間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖?？梢詫⒃撚脩綦`屬的組修改成Guests組，如圖6_3所示。18n共享文件的權(quán)限從“Everyone”組改成“授權(quán)用戶”?！癊veryone”在Windows 2000中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。n任何時候不要把共享文件的用戶設(shè)置成“Everyone”組。包括打印共享，默認(rèn)的屬性就是“Everyone”組的，一定不要忘了改。設(shè)置某文件夾共享默認(rèn)設(shè)置如圖6_4所示。 19n好的密碼對于一個網(wǎng)絡(luò)是非常重要的，但是也是最容易被忽略的。n一些網(wǎng)絡(luò)管理員創(chuàng)建帳號的時候往往用公司名，計算機(jī)名，或者一些別的一猜就到的字符做用戶名

10、，然后又把這些帳戶的密碼設(shè)置得比較簡單，比如：“welcome”、“iloveyou”、“l(fā)etmein”或者和用戶名相同的密碼等。這樣的帳戶應(yīng)該要求用戶首此登陸的時候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。n這里給好密碼下了個定義：安全期內(nèi)無法破解出來的密碼就是好密碼，也就是說，如果得到了密碼文檔，必須花43天或者更長的時間才能破解出來，密碼策略是42天必須改密碼。20n設(shè)置屏幕保護(hù)密碼是防止內(nèi)部人員破壞服務(wù)器的一個屏障。注意不要使用OpenGL和一些復(fù)雜的屏幕保護(hù)程序，浪費(fèi)系統(tǒng)資源，黑屏就可以了。n還有一點(diǎn)，所有系統(tǒng)用戶所使用的機(jī)器也最好加上屏幕保護(hù)密碼。n將屏幕保護(hù)的選項“密碼保護(hù)”選中

11、就可以了，并將等待時間設(shè)置為最短時間“1秒”，如圖6_5所示。21n把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。 22nWindows 2000/NT服務(wù)器一般都沒有安裝防毒軟件的，一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。n設(shè)置了放毒軟件，“黑客”們使用的那些有名的木馬就毫無用武之地了，并且要經(jīng)常升級病毒庫。23n一旦系統(tǒng)資料被黑客破壞，備份盤將是恢復(fù)資料的唯一途徑。備份完資料后，把備份盤防在安全的地方。n不能把資料備份在同一臺服務(wù)器上，這樣的話還不如不要備份。 24n安全配置方案中級篇主要介紹操作系統(tǒng)的安全策略

12、配置，包括十條基本配置原則：n操作系統(tǒng)安全策略、關(guān)閉不必要的服務(wù)n關(guān)閉不必要的端口、開啟審核策略n開啟密碼策略、開啟帳戶策略、備份敏感文件n不顯示上次登陸名、禁止建立空連接和下載最新的補(bǔ)丁25n利用Windows 2000的安全配置工具來配置安全策略，微軟提供了一套的基于管理控制臺的安全配置和分析工具，可以配置服務(wù)器的安全策略。n在管理工具中可以找到“本地安全策略”，主界面如圖6_6所示。n可以配置四類安全策略：帳戶策略、本地策略、公鑰策略和IP安全策略。在默認(rèn)的情況下，這些策略都是沒有開啟的。26nWindows 2000的Terminal Services（終端服務(wù)）和IIS（Intern

13、et 信息服務(wù)）等都可能給系統(tǒng)帶來安全漏洞。n為了能夠在遠(yuǎn)程方便的管理服務(wù)器，很多機(jī)器的終端服務(wù)都是開著的，如果開了，要確認(rèn)已經(jīng)正確的配置了終端服務(wù)。n有些惡意的程序也能以服務(wù)方式悄悄的運(yùn)行服務(wù)器上的終端服務(wù)。要留意服務(wù)器上開啟的所有服務(wù)并每天檢查。nWindows 2000作為服務(wù)器可禁用的服務(wù)及其相關(guān)說明如表6_1所示。 27服務(wù)名服務(wù)名說明說明Computer Browser維護(hù)網(wǎng)絡(luò)上計算機(jī)的最新列表以維護(hù)網(wǎng)絡(luò)上計算機(jī)的最新列表以及提供這個列表及提供這個列表Task scheduler允許程序在指定時間運(yùn)行允許程序在指定時間運(yùn)行Routing and Remote Access在局域網(wǎng)以

14、及廣域網(wǎng)環(huán)境中為企在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)業(yè)提供路由服務(wù)Removable storage管理可移動媒體、驅(qū)動程序和庫管理可移動媒體、驅(qū)動程序和庫Remote Registry Service允許遠(yuǎn)程注冊表操作允許遠(yuǎn)程注冊表操作Print Spooler將文件加載到內(nèi)存中以便以后打?qū)⑽募虞d到內(nèi)存中以便以后打印。要用打印機(jī)的用戶不能印。要用打印機(jī)的用戶不能禁用這項服務(wù)禁用這項服務(wù)IPSEC Policy Agent管理管理IP安全策略以及啟動安全策略以及啟動ISAKMP/Oakley(IKE)和和IP安全驅(qū)動程序安全驅(qū)動程序Distributed Link Tracking

15、Client當(dāng)文件在網(wǎng)絡(luò)域的當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移卷中移動時發(fā)送通知動時發(fā)送通知Com+ Event System提供事件的自動發(fā)布到訂閱提供事件的自動發(fā)布到訂閱COM組件組件28n關(guān)閉端口意味著減少功能，如果服務(wù)器安裝在防火墻的后面，被入侵的機(jī)會就會少一些，但是不可以認(rèn)為高枕無憂了。n用端口掃描器掃描系統(tǒng)所開放的端口，在Winntsystem32driversetcservices文件中有知名端口和服務(wù)的對照表可供參考。該文件用記事本打開如圖6_7所示。29n設(shè)置本機(jī)開放的端口和服務(wù)，在IP地址設(shè)置窗口中點(diǎn)擊按鈕“高級”，如圖6_8所示。30n在出現(xiàn)的對話框中選擇選項卡“選項”，選中

16、“TCP/IP篩選”，點(diǎn)擊按鈕“屬性”，如圖6_9所示。31n設(shè)置端口界面如圖6_10所示。n一臺Web服務(wù)器只允許TCP的80端口通過就可以了。TCP/IP篩選器是Windows自帶的防火墻，功能比較強(qiáng)大，可以替代防火墻的部分功能。32n安全審核是安全審核是Windows 2000最基本的入侵檢測方法。當(dāng)有人嘗試對系統(tǒng)最基本的入侵檢測方法。當(dāng)有人嘗試對系統(tǒng)進(jìn)行某種方式（如嘗試用戶密碼，改變帳戶策略和未經(jīng)許可的文件訪問進(jìn)行某種方式（如嘗試用戶密碼，改變帳戶策略和未經(jīng)許可的文件訪問等等）入侵的時候，都會被安全審核記錄下來。等等）入侵的時候，都會被安全審核記錄下來。n很多的管理員在系統(tǒng)被入侵了幾個

17、月都不知道，直到系統(tǒng)遭到破壞。表很多的管理員在系統(tǒng)被入侵了幾個月都不知道，直到系統(tǒng)遭到破壞。表6_2的這些審核是必須開啟的，其他的可以根據(jù)需要增加。的這些審核是必須開啟的，其他的可以根據(jù)需要增加。策略策略設(shè)置設(shè)置審核系統(tǒng)登陸事件審核系統(tǒng)登陸事件成功，失敗成功，失敗審核帳戶管理審核帳戶管理成功，失敗成功，失敗審核登陸事件審核登陸事件成功，失敗成功，失敗審核對象訪問審核對象訪問成功成功審核策略更改審核策略更改成功，失敗成功，失敗審核特權(quán)使用審核特權(quán)使用成功，失敗成功，失敗審核系統(tǒng)事件審核系統(tǒng)事件成功，失敗成功，失敗33n審核策略在默認(rèn)的情況下都是沒有開啟的，如圖6_11所示。34n雙擊審核列表的某

18、一項，出現(xiàn)設(shè)置對話框，將復(fù)選框“成功”和“失敗”都選中，如圖6_12所示。35n密碼對系統(tǒng)安全非常重要。本地安全設(shè)置中的密碼策略在默認(rèn)密碼對系統(tǒng)安全非常重要。本地安全設(shè)置中的密碼策略在默認(rèn)的情況下都沒有開啟。需要開啟的密碼策略如表的情況下都沒有開啟。需要開啟的密碼策略如表6_3所示所示 策略策略設(shè)置設(shè)置密碼復(fù)雜性要求密碼復(fù)雜性要求啟用啟用密碼長度最小值密碼長度最小值6位位密碼最長存留期密碼最長存留期15天天強(qiáng)制密碼歷史強(qiáng)制密碼歷史5個個36n設(shè)置選項如圖6_13所示。37n開啟帳戶策略可以有效的防止字典式攻擊，設(shè)置如表6_4所示。策略策略設(shè)置設(shè)置復(fù)位帳戶鎖定計數(shù)器復(fù)位帳戶鎖定計數(shù)器30分鐘分鐘

19、帳戶鎖定時間帳戶鎖定時間30分鐘分鐘帳戶鎖定閾值帳戶鎖定閾值5次次38n設(shè)置的結(jié)果如圖6_14所示。39n把敏感文件存放在另外的文件服務(wù)器中，雖然服務(wù)器的硬盤容量都很大，但是還是應(yīng)該考慮把一些重要的用戶數(shù)據(jù)（文件，數(shù)據(jù)表和項目文件等）存放在另外一個安全的服務(wù)器中，并且經(jīng)常備份它們 40n默認(rèn)情況下，終端服務(wù)接入服務(wù)器時，登陸對話框中會顯示上次登陸的默認(rèn)情況下，終端服務(wù)接入服務(wù)器時，登陸對話框中會顯示上次登陸的帳戶名，本地的登陸對話框也是一樣。黑客們可以得到系統(tǒng)的一些用戶帳戶名，本地的登陸對話框也是一樣。黑客們可以得到系統(tǒng)的一些用戶名，進(jìn)而做密碼猜測。名，進(jìn)而做密碼猜測。n修改注冊表禁止顯示上次

20、登錄名，在修改注冊表禁止顯示上次登錄名，在HKEY_LOCAL_MACHINE主鍵下主鍵下修改子鍵：修改子鍵：nSoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName，將鍵值改成，將鍵值改成1，如圖，如圖6_15所示。所示。 41n默認(rèn)情況下，任何用戶通過空連接連上服務(wù)器，進(jìn)而可以枚舉出默認(rèn)情況下，任何用戶通過空連接連上服務(wù)器，進(jìn)而可以枚舉出帳號，猜測密碼。帳號，猜測密碼。n可以通過修改注冊表來禁止建立空連接。在可以通過修改注冊表來禁止建立空連接。在HKEY_LOCAL_MACHINE主鍵下修改子鍵：主鍵下

21、修改子鍵：nSystemCurrentControlSetControlLSARestrictAnonymous，將鍵值改成，將鍵值改成“1”即可。如圖即可。如圖6_16所示。所示。42n很多網(wǎng)絡(luò)管理員沒有訪問安全站點(diǎn)的習(xí)慣，以至于一些漏洞都出了很久了，還放著服務(wù)器的漏洞不補(bǔ)給人家當(dāng)靶子用。n誰也不敢保證數(shù)百萬行以上代碼的Windows 2000不出一點(diǎn)安全漏洞。n經(jīng)常訪問微軟和一些安全站點(diǎn)，下載最新的Service Pack和漏洞補(bǔ)丁，是保障服務(wù)器長久安全的唯一方法。 43n高級篇介紹操作系統(tǒng)安全信息通信配置，包括十四條配置原則：n關(guān)閉DirectDraw、關(guān)閉默認(rèn)共享n禁用Dump Fil

22、e、文件加密系統(tǒng)n加密Temp文件夾、鎖住注冊表、關(guān)機(jī)時清除文件n禁止軟盤光盤啟動、使用智能卡、使用IPSecn禁止判斷主機(jī)類型、抵抗DDOSn禁止Guest訪問日志和數(shù)據(jù)恢復(fù)軟件44nC2級安全標(biāo)準(zhǔn)對視頻卡和內(nèi)存有要求。關(guān)閉DirectDraw可能對一些需要用到DirectX的程序有影響（比如游戲），但是對于絕大多數(shù)的商業(yè)站點(diǎn)都是沒有影響的。n在HKEY_LOCAL_MACHINE主鍵下修改子鍵：nSYSTEMCurrentControlSetControlGraphicsDriversDCITimeout，將鍵值改為“0”即可，如圖6_17所示。45nWindows 2000安裝以后，系統(tǒng)

23、會創(chuàng)建一些隱藏的共享，可以在DOS提示符下輸入命令Net Share 查看，如圖6_18所示。 46n禁止這些共享，打開管理工具計算機(jī)管理共享文件夾共享，在相應(yīng)的共享文件夾上按右鍵，點(diǎn)停止共享即可，如圖6_19所示。47n在系統(tǒng)崩潰和藍(lán)屏的時候，Dump文件是一份很有用資料，可以幫助查找問題。然而，也能夠給黑客提供一些敏感信息，比如一些應(yīng)用程序的密碼等n需要禁止它，打開控制面板系統(tǒng)屬性高級啟動和故障恢復(fù)，把寫入調(diào)試信息改成無，如圖6_20所示。 48nWindows2000強(qiáng)大的加密系統(tǒng)能夠給磁盤，文件夾，文件加上一層安全保護(hù)。這樣可以防止別人把你的硬盤掛到別的機(jī)器上以讀出里面的數(shù)據(jù)。n微軟公

24、司為了彌補(bǔ)Windows NT 4.0的不足，在Windows 2000中，提供了一種基于新一代NTFS：NTFS V5（第5版本）的加密文件系統(tǒng)（Encrypted File System，簡稱EFS）。nEFS實現(xiàn)的是一種基于公共密鑰的數(shù)據(jù)加密方式，利用了Windows 2000中的CryptoAPI結(jié)構(gòu)。 49n一些應(yīng)用程序在安裝和升級的時候，會把一些東西拷貝到Temp文件夾，但是當(dāng)程序升級完畢或關(guān)閉的時候，并不會自己清除Temp文件夾的內(nèi)容。n所以，給Temp文件夾加密可以給你的文件多一層保護(hù)。50n在Windows2000中，只有Administrators和Backup Opera

25、tors才有從網(wǎng)絡(luò)上訪問注冊表的權(quán)限。當(dāng)帳號的密碼泄漏以后，黑客也可以在遠(yuǎn)程訪問注冊表，當(dāng)服務(wù)器放到網(wǎng)絡(luò)上的時候，一般需要鎖定注冊表。修改Hkey_current_user下的子鍵nSoftwaremicrosoftwindowscurrentversionPoliciessystem n把DisableRegistryTools的值該為0，類型為DWORD，如圖6_21所示。 51n頁面文件也就是調(diào)度文件，是Windows 2000用來存儲沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。n一些第三方的程序可以把一些沒有的加密的密碼存在內(nèi)存中，頁面文件中可能含有另外一些敏感的資料。要在關(guān)機(jī)的時候清

26、楚頁面文件，可以編輯注冊表 修改主鍵HKEY_LOCAL_MACHINE下的子鍵：nSYSTEMCurrentControlSetControlSession ManagerMemory Managementn把ClearPageFileAtShutdown的值設(shè)置成1，如圖6_22所示。52n一些第三方的工具能通過引導(dǎo)系統(tǒng)來繞過原有的安全機(jī)制。比如一些管理員工具，從軟盤上或者光盤上引導(dǎo)系統(tǒng)以后，就可以修改硬盤上操作系統(tǒng)的管理員密碼。n如果服務(wù)器對安全要求非常高，可以考慮使用可移動軟盤和光驅(qū)，把機(jī)箱鎖起來仍然不失為一個好方法。53n對于密碼，總是使安全管理員進(jìn)退兩難，容易受到一些工具的攻擊，如

27、果密碼太復(fù)雜，用戶把為了記住密碼，會把密碼到處亂寫。n如果條件允許，用智能卡來代替復(fù)雜的密碼是一個很好的解決方法。 54n正如其名字的含義，正如其名字的含義，IPSec提供提供IP數(shù)據(jù)包的安全性。數(shù)據(jù)包的安全性。nIPSec提供身份驗證、完整性和可選擇的機(jī)密性。發(fā)提供身份驗證、完整性和可選擇的機(jī)密性。發(fā)送方計算機(jī)在傳輸之前加密數(shù)據(jù)，而接收方計算機(jī)在送方計算機(jī)在傳輸之前加密數(shù)據(jù)，而接收方計算機(jī)在收到數(shù)據(jù)之后解密數(shù)據(jù)。收到數(shù)據(jù)之后解密數(shù)據(jù)。n利用利用IPSec可以使得系統(tǒng)的安全性能大大增強(qiáng)。可以使得系統(tǒng)的安全性能大大增強(qiáng)。 55n黑客利用TTL（Time-To-Live，活動時間）值可以鑒別操作系

28、統(tǒng)的類型，通過Ping指令能判斷目標(biāo)主機(jī)類型。Ping的用處是檢測目標(biāo)主機(jī)是否連通。n許多入侵者首先會Ping一下主機(jī)，因為攻擊某一臺計算機(jī)需要根據(jù)對方的操作系統(tǒng)，是Windows還是Unix。如過TTL值為128就可以認(rèn)為你的系統(tǒng)為Windows 2000，如圖6_23所示。56n從圖中可以看出，TTL值為128，說明改主機(jī)的操作系統(tǒng)是Windows 2000操作系統(tǒng)。表6_6給出了一些常見操作系統(tǒng)的對照值。操作系統(tǒng)類型操作系統(tǒng)類型TTL返回值返回值Windows 2000128Windows NT107win9x128 or 127solaris252IRIX240AIX247Linux2

29、41 or 24057n修改TTL的值，入侵者就無法入侵電腦了。比如將操作系統(tǒng)的TTL值改為111，修改主鍵HKEY_LOCAL_MACHINE的子鍵：nSYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERSn新建一個雙字節(jié)項，如圖6_24所示。58n在鍵的名稱中輸入“defaultTTL”，然后雙擊改鍵名，選擇單選框“十進(jìn)制”，在文本框中輸入111，如圖6_25所示。59n設(shè)置完畢重新啟動計算機(jī)，再用Ping指令，發(fā)現(xiàn)TTL的值已經(jīng)被改成111了，如圖6_26所示。60n添加注冊表的一些鍵值，可以有效的抵抗DDOS的攻擊。在鍵值nHKEY_LOCAL_

30、MACHINESystemCurrentControlSetServicesTcpipParameters下增加響應(yīng)的鍵及其說明如表6_7所示。增加的鍵值鍵值說明EnablePMTUDiscovery=dword:00000000NoNameReleaseOnDemand=dword:00000000KeepAliveTime=dword:00000000PerformRouterDiscovery=dword:00000000基本設(shè)置EnableICMPRedirects=dword:00000000防止ICMP重定向報文的攻擊SynAttackProtect=dword:00000002防

31、止SYN洪水攻擊TcpMaxHalfOpenRetried=dword:00000080僅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried設(shè)置超出范圍時,保護(hù)機(jī)制才會采取措施TcpMaxHalfOpen=dword:00000100IGMPLevel=dword:00000000不支持IGMP協(xié)議EnableDeadGWDetect=dword:00000000禁止死網(wǎng)關(guān)監(jiān)測技術(shù)IPEnableRouter=dword:00000001支持路由功能61n在默認(rèn)安裝的Windows NT和Windows 2000中，Guest帳號和匿名用戶可以查看系統(tǒng)的事件日志，可能導(dǎo)致許多重要信息的泄漏，修改注冊表來禁止Guest訪問事件日志。n禁止Guest訪問應(yīng)用日志nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplication 下添加鍵值名稱為：RestrictGuestAccess ，類型為：DWORD，將值設(shè)置為1。n系統(tǒng)日志：nHKEY_LOCAL_MACHINESYSTEMCurrentControlS