《網絡操作系統安全》

計算機網絡管理與平安技術主講人匡芳君2024/3/171編輯ppt課題內容：操作系統平安〔一〕教學目的：掌握WIN2003系統效勞的配置方法 掌握WIN2003常用進程的作用 掌握WIN2003注冊表的結構、值類型及應用教學方法：講授法、任務驅動法、演示法重點：WIN2003系統效勞的配置方法難點：WIN2003常用進程的作用課堂類型：講授課教具：投影儀、多媒體設備授課班級計應1001班第18次課授課時間5月25日星期五授課地點2024/3/172編輯ppt導入新課1、防火墻的體系結構2、操作系統常用進程與效勞2024/3/173編輯pptWindows2003

Windows2003原名是WindowsNT5.0，隨著多種測試版本的發(fā)行，人們開始從各個側面加深對它的認識。全新的界面、高度集成的功能、穩(wěn)固的平安性、便捷的操作，都為計算機專業(yè)人員、普通用戶帶來莫大的驚喜Windows2003在界面、風格與功能上都具有統一性，是一種真正面向對象的操作系統，用戶在操作本機的資源和遠程資源時不會感到有什么不同2024/3/174編輯ppt主要內容操作系統平安根底Windows2003平安結構Windows2003文件系統平安Windows2003賬號平安GPO的編輯活動目錄平安性考察Windows2003缺省值的平安性評估Windows2003主機平安2024/3/175編輯ppt8.1操作系統平安是系統平安的根底各種應用軟件均建立在操作系統提供的系統軟件平臺之上，上層的應用軟件要想獲得運行的高可靠性和信息的完整性、保密性，必須依賴于操作系統提供的系統軟件根底。2024/3/176編輯ppt操作系統平安級別級別系統的安全可信性D最低安全性C1自主存取控制C2較完善的自主存取控制（DAC）、審計B1強制存取控制（MAC）B2良好的結構化設計、形式化安全模型B3全面的訪問控制、可信恢復A1形式化認證2024/3/177編輯ppt常見操作系統平安級別操作系統安全級別SCOOpenServerC2OSF/1B1WindowsNT/2003C2SolarisC2DOSDUnixWare2.1/ESB22024/3/178編輯ppt常見威脅類型(一)

威脅類型示例自然和物理的水災、火災、風暴、地震、停電無意的不知情的員工、不知情的顧客故意的攻擊者、恐怖分子、工業(yè)間諜、黑客、惡意代碼2024/3/179編輯ppt常見威脅類型〔二〕安全漏洞類型示例物理的門窗未鎖自然的滅火系統失靈硬件和軟件防病毒軟件過期媒介電干擾通信未加密協議人為不可靠的技術支持2024/3/1710編輯ppt8.2Windows2003平安結構平安六要素2024/3/1711編輯ppt8.2.2Windows2003平安組件〔一〕靈活的訪問控制Windows2003支持C2級標準要求的靈活訪問控制對象重用Windows2003很明確地阻止所有的應用程序不可以訪問被另—應用程序使用所占用資源內的信息〔比方內存或磁盤〕2024/3/1712編輯pptWindows2003平安組件〔一〕強制登錄

Windows2003用戶在能訪問任何資源前必須通過登錄來驗證他們的身份數據訪問瀏覽打印效勞2024/3/1713編輯pptWindows2003平安組件〔二〕審計因為Windows2003采用單獨地機制來控制對任何資源的訪問，所以這種機制可以集中地記錄下所有的訪問活動控制對象的訪問Windows2003不允許直接訪問系統里的資源，這種不許直接訪問是允許訪問控制的關鍵2024/3/1714編輯ppt8.2.4平安的組成局部〔一〕平安標識符平安標識符〔SID〕是統計上地唯一的數組分配給所有的用戶、組、和計算機。每次當一個新用戶或組被建立的時候，它們都會接收到一個唯一的SID。每當Windows2003安裝完畢并啟動的時候，也會有一個新的SID分配給這臺計算機。SID標識了用戶、組和計算機的唯一性，不僅僅是在某臺特定的電腦上還包括和其它計算機交互的時候。2024/3/1715編輯ppt平安的組成局部〔二〕訪問令牌訪問令牌是由用戶的SID、用戶所屬于組的SID、用戶名、用戶所在組的組名構成的。訪問令牌就好比用戶能夠訪問計算機資源的“入場券〞。無論何時用戶企圖進行訪問，都要向WindowsNT出示訪問令牌。2024/3/1716編輯ppt平安的組成局部〔三〕平安描述符WindowsNT內的每個對象都有一個平安描述符作為它們屬性的一局部。平安描述符持有對象的平安設置。平安描述符是由對象屬主的SID、組SID，靈活訪問控制列表以及計算機訪問控制列表。2024/3/1717編輯ppt平安的組成局部〔四〕訪問控制列表靈活訪問控制列表里記錄用戶和組以及它們的相關權限，要么允許要么拒絕。訪問控制條目每個訪問控制條目〔ACE〕包含用戶或組的SID及對對象所持有的權限。對象分配的每個權限都有一個ACE。訪問控制條目有二種類型：允許訪問或拒絕訪問。在訪問控制列表里拒絕訪問ACE優(yōu)先于允許訪問。2024/3/1718編輯ppt8.2.5Windows2003平安機制〔一〕帳號平安計算機帳戶活動目錄用戶帳戶2024/3/1719編輯pptWindows2003平安機制〔二〕文件系統平安NTFS文件系統使用關系型數據庫、事務處理以及對象技術，以提供數據平安以及文件可靠性的特性。2024/3/1720編輯pptWindows2003平安機制〔三〕認證Kerberos5Kerberos是一種被證明為非常平安的雙向身份認證技術。其身份認證強調了客戶機對效勞器的認證，而別的身份認證技術往往只解決了效勞器對客戶機的認證。Kerberos有效地防止了來自效勞器端身份冒領的欺騙。2024/3/1721編輯pptWindows2003平安機制〔四〕NTLM認證Windows2003中仍然保存NTLM〔NT-LanMan〕認證，以便向后兼容。運行DOS、Windows3.x、Windows95、Windows98、WindowsNT3.5和WindowsNT4.0的客戶仍然需要LM和NTLM支持。但LanManager中的哈希算法有漏洞。l0pht已經發(fā)布用于破解NT系統中SAM文件的工具l0phtcrack。Windows2003已支持新的更平安的認證協議NTLM2。2024/3/1722編輯pptWindows2003平安機制〔五〕ActiveDirectory管理員可以瀏覽活動目錄，對域用戶、用戶組和網絡資源進行管理可以通過活動目錄指定局部管理員，每人以自己的平安性及許可權限進行管理分類管理員域用戶用戶組網絡資源2024/3/1723編輯ppt8.3Windows2003文件系統平安NTFS權限基于目錄基于文件讀?。≧）顯示目錄名，屬性，所有者及權限顯示文件數據，屬性，所有者及權限寫入（W）添加文件和目錄，改變一個屬性以及顯示所有者和權限顯示所有者和權限、改變文件的屬性、在文件內加入數據執(zhí)行（X）顯示屬性，可進入目錄中的目錄，顯示所有者利權限顯示文件屬性、所有者和權限、如果是可執(zhí)行文件可運行刪除（D）可刪除目錄可刪除文件改變權限（P）改變目錄的權限改變文件的權限取得所有權（O）取得目錄的所有權取得文件的所有權2024/3/1724編輯pptNT有關權限的標準標準權限基于目錄基于文件不可訪問無無列出RX不適用讀取RXRX添加WX不適用添加和讀取RWS-X?RX更改RWXDRWXD完全控制

ALLALL2024/3/1725編輯pptNT共享權限列表權限允許完全控制改變文件的權限；在NTFS卷上取得文件的所有權；能夠完成所有有更改權限所執(zhí)行的任務更改創(chuàng)建目錄和添加文件；更改文件內的數據；更改文件的屬性能夠完成所有有更改權限所執(zhí)行的任務讀取顯示目錄和文件名：文件數據和屬性；運行應用程序文件不可訪問只能建立連接，不能訪問目錄中的內容2024/3/1726編輯ppt8.3.2文件系統類型Fat16文件系統FAT文件系統最初用于小型磁盤和簡單文件結構的簡單文件系統。標準文件分配表〔FAT〕，在<511MB的卷中使用。沒有平安設置，不推薦使用。2024/3/1727編輯pptFAT16文件系統默認的簇大小分區(qū)大小扇區(qū)數/每簇簇大?。ㄗ止?jié)）0M~32M151233M~64M21K65M~128M42K129M~255M84K256M~511M168K512M~1023M3216K1024M~2047M6432K2048~4095M12864K2024/3/1728編輯ppt文件系統類型Fat32文件系統〔增強的文件分配表〕FAT32文件系統提供了比FAT文件系統更為先進的文件管理特性作為FAT文件系統的增強版本，它可以在容量從512MB到2TB的驅動器上使用沒有平安設置，不推薦使用2024/3/1729編輯ppt文件系統類型NTFS文件系統NTFS文件系統包括了公司環(huán)境中文件效勞器和高端個人計算機所需的平安特性NTFS文件系統還支持對于關鍵數據完整性十分重要的數據訪問控制和私有權限NTFS是Windows2003中唯一允許為單個文件指定權限的文件系統當從NTFS卷移動到FAT卷時，NTFS文件系統權限及特有屬性會喪失。〔可操作〕使用convert.ex將FAT或FAT32的分區(qū)轉化為NTFS分區(qū)?！部刹僮鳌?024/3/1730編輯pptNTFS文件系統默認的簇大小分區(qū)大小扇區(qū)數/每簇簇大?。ㄗ止?jié)）512M或更小1512513M~1024M（1GB）21K1025M~2048M（2GB）42K2049M~4096M（4GB）84K4097M~8192M（8GB）168K8193M~16384M（16GB）3216K16385M~32768M（32GB）6432K2024/3/1731編輯ppt幾種文件系統的比較對比項目文件系統FAT16FAT32NTFS

與操作系統的兼容性MS-DOS，所有版本的Windows，WindowsNT，Windows2003和OS/2都可訪問本地文件只有對Windows95OSR2，Windows98和Windows2003三種操作系統可以訪問本地文件運行Windows2003Server的計算機可以訪問本地硬盤中的文件，運行WindowsNT4.0及SP4或更高版本的計算機可以訪問本地的部分文件，其他操作系統不能訪問本地文件支持磁盤從軟盤容量直到4GB，不支持域從512MB到2TB，在Windows2003中，用戶只能把FAT32卷最大格式化到32GB最小大約10MB，建議實際最大是2TB，不能用于軟盤文件大小最大文件為2GB不支持域，最大文件4GB文件大小只受限于卷的大小2024/3/1732編輯ppt文件系統類型DFS文件系統分布式文件系統(DistributedFileSystem,DFS)的作用是不管文件的物理分布情況，可以把文件組織成為樹狀的分層次邏輯結構，便于用戶訪問網絡文件資源、加強容錯能力和網絡負載均衡等。需要安裝DFS效勞，在微軟管理界面MMC中創(chuàng)立一個DFS的根。文件的物理位置變動不會影響用戶使用。Hacker難以跟蹤文件的實際位置。2024/3/1733編輯ppt8.4Windows2003賬號平安帳號重命名。對默認的帳號重命名。包括administrator、guest以及其它一些由安裝軟件時〔如IIs〕所自動建立的帳號。2024/3/1734編輯ppt帳號策略帳號策略的設置是通過域用戶管理器來實施的，從策略的菜單中選擇用戶權限。第一項為哪一項有關密碼的時效;第二項是有關密碼長度的限制，以及帳號鎖定等機制。2024/3/1735編輯ppt實現強壯的密碼要有大小寫字母，數字，和通配符等至少六個字符不使用名字和生日不含用戶名局部強壯的密碼2024/3/1736編輯ppt禁止枚舉賬號

由于Windows2003的默認安裝允許任何用戶通過空用戶得到系統所有賬號和共享列表，這本來是為了方便局域網用戶共享資源和文件的，但是，任何一個遠程用戶通過同樣的方法都能得到賬戶列表，使用暴力法破解賬戶密碼后，對我們的電腦進行攻擊，所以必須采用以下方法禁止這種行為。2024/3/1737編輯ppt禁止枚舉賬號2024/3/1738編輯pptAdministrator賬號更名Windows2003的Administrator賬號是不能被停用的，也不能設置平安策略，這樣黑客可以一遍又一遍地嘗試這個賬戶的密碼，直到破解，所以要在“計算機管理〞中把Administrator賬戶更名來防止這一點.應該做點什么2024/3/1739編輯ppt本地策略設置界面2024/3/1740編輯ppt禁用Guest賬號

Guest賬號是一個非常危險的漏洞，因為黑客可以使用這個賬號登錄機器。2024/3/1741編輯ppt禁用Guest帳戶2024/3/1742編輯ppt禁止Guest帳戶登錄本機2024/3/1743編輯ppt8.5GPO的編輯

Windows2003的得意之作GPO(GroupPolicyObject)，通過GPO來實現一個超強功能的中央集權的組策略，此策略是建立在活動目錄〔ActiveDirectory〕根底之上的。2024/3/1744編輯ppt組策略組策略是什么?

GPO是一種與域、地址或組織單元相聯系的物理策略。在Windows2003中，GPO包括文件和AD對象。2024/3/1745編輯ppt組策略和AD要充分發(fā)揮GPO的功能，需要有AD域架構的支持，利用AD可以定義一個集中的策略，所有的Windows2003效勞器和工作站都可以采用它。2024/3/1746編輯ppt8.6活動目錄平安性考察Windows2003Server活動目錄是一個完全可擴展、可伸縮的目錄效勞，既能滿足商業(yè)ISP的需要，又能滿足企業(yè)內部網和外聯網的需要，充分表達了微軟產品集成性、深入性和易用性等優(yōu)點。2024/3/1747編輯ppt活動目錄的平安特性〔一〕集成性結合了三個方面的管理內容用戶和資源管理基于目錄的網絡效勞基于網絡的應用管理2024/3/1748編輯ppt活動目錄的平安特性〔二〕集成性目錄管理的根本對象是用戶和計算機，還包括文件、打印機等資源活動目錄完全采用了Internet標準協議活動目錄集成了關鍵效勞和關鍵平安性2024/3/1749編輯ppt活動目錄的平安特性〔三〕深入性Windows2003活動目錄的深入性主要表達在其企業(yè)級的可伸縮性、平安性、互操作性、編程能力和升級能力上。

2024/3/1750編輯ppt活動目錄的平安特性〔四〕深入性Windows2003活動目錄允許用戶組建單域來管理少量的網絡對象，也允許用戶通過域目錄管理成萬上億個對象?；顒幽夸浀挠驑浜陀蛏值慕M建方法，可幫助用戶使用容器層次來模擬一個企業(yè)的組織結構。Windows2003活動目錄和其平安性效勞緊密結合，相輔相成，共同完成平安任務和協同管理。2024/3/1751編輯ppt活動目錄的平安特性〔五〕易用性Windows2003活動目錄主要表達在其簡易的安裝和管理上主要有三個活動目錄的管理界面〔MMC〕活動目錄用戶和計算機管理活動目錄的域和域信任關系的管理活動目錄的站點管理

2024/3/1752編輯ppt活動目錄的平安特性〔六〕易用性管理員還可以方便地進行管理授權?；顒幽夸洺浞值乜紤]到了備份和恢復目錄效勞的需要。2024/3/1753編輯ppt8.7Windows2003缺省值的平安性評估Windows2003包含許多默認的設置和選項，允許更復雜的管理。這些系統默認值可以被有經驗的攻擊者用來滲透系統。有些默認值不能改變，但有些可以改變。這些改變可以提供足夠的平安性。2024/3/1754編輯pptWindows2003缺省值的平安性評估〔二〕默認目錄使用不同的目錄對合法用戶不會造成任何影響，但對于那些企圖通過類似WEB效勞器這樣的介質遠程訪問文件的攻擊者來說大大地增加了難度。2024/3/1755編輯pptWindows2003缺省值的平安性評估〔三〕默認帳號增加了攻擊者猜測帳戶的難度2024/3/1756編輯pptWindows2003缺省值的平安性評估〔五〕默認共享僅僅是針對管理而配置的，形成一個沒必要的風險，成為攻擊者一個常見的目標。可以通過增加注冊表相應的鍵值來禁止這些管理用的共享。2024/3/1757編輯ppt8.8Windows2003主機平安合理的配置Windows2003，那么windows2003將會是一個很平安的操作系統。2024/3/1758編輯ppt初級平安〔一〕物理平安重要的效勞器應該安放在安裝了監(jiān)視器的隔離房間內；機箱，鍵盤，電腦桌抽屜要上鎖停掉Guest帳號在計算機管理的用戶里面把guest帳號停用掉，任何時候都不允許guest帳號登錄系統；最好給guest加一個復雜的密碼限制不必要的用戶數量去掉不必要的帳戶；去掉不用的帳戶；給用戶組策略設置相應權限2024/3/1759編輯ppt初級平安〔二〕創(chuàng)立2個管理員用帳號創(chuàng)立一個一般權限帳號用來收信以及處理一些日常事物，另一個擁有Administrators權限的帳戶只在需要的時候使用把系統administrator帳號改名盡量把Administrator帳戶偽裝成普通用戶創(chuàng)立一個陷阱帳號用于迷惑非法入侵者，并借此發(fā)現他們的入侵企圖2024/3/1760編輯ppt初級平安〔三〕把共享文件的權限從〞everyone〞組改成“授權用戶〞任何時候都不要把共享文件的用戶設置成“everyone〞組使用平安密碼一個好的密碼對于一個網絡是非常重要的，設置密碼的有效期，還要注意經常更改密碼設置屏幕保護密碼設置屏幕保護密碼也是防止內部人員破壞效勞器的一個屏障；不要使用OpenGL和一些復雜的屏幕保護程序，以免浪費系統資源2024/3/1761編輯ppt初級平安〔四〕使用NTFS格式分區(qū)NTFS文件系統要比FAT，FAT32的文件系統平安得多運行防毒軟件好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。經常升級病毒庫保障備份盤的平安把備份盤防在平安的地方。千萬別把資料備份在同一臺效勞器上2024/3/1762編輯ppt中級平安〔一〕利用平安配置工具來配置策略充分利用基于MMC〔管理控制臺〕平安配置和分析工具，增強系統平安性關閉不必要的效勞不必要的效勞帶來平安隱患；確保正確的配置了終端效勞；留意效勞器上面開啟的所有效勞關閉不必要的端口關閉端口意味著減少功能，在平安和功能上面需要作一點決策2024/3/1763編輯ppt中級平安〔二〕高級TCP/IP設置

2024/3/1764編輯ppt中級平安〔三〕TCP/IP篩選

2024/3/1765編輯ppt中級平安〔四〕翻開審核策略開啟平安審核是Windows2003最根本的入侵檢測方法2024/3/1766編輯ppt中級平安〔五〕Windows2003三種類型的日志記錄事件應用程序日志系統日志平安日志2024/3/1767編輯ppt中級平安〔六〕事件查看器

2024/3/1768編輯ppt中級平安〔七〕平安日志2024/3/1769編輯ppt中級平安〔八〕平安日志屬性2024/3/1770編輯ppt中級平安〔九〕開啟密碼策略開啟密碼復雜性要求、設置密碼長度最小值、開啟強制密碼歷史、設置強制密碼最長存留期等開啟帳戶策略設置復位帳戶鎖定計數器、帳戶鎖定時間、帳戶鎖定閾值2024/3/1771編輯ppt中級平安〔十〕更改賬戶策略

2024/3/1772編輯ppt中級平安〔十一〕設定平安記錄的訪問權限把平安記錄設置成只有Administrator和系統帳戶才有權訪問把敏感文件存放在另外的文件效勞器中有必要把一些重要的用戶數據存放在另外一個平安的效勞器中，并且經常備份它們不讓系統顯示上次登陸的用戶名防止入侵者容易得到系統的用戶名，進而作密碼猜測2024/3/1773編輯ppt中級平安〔十二〕禁止建立空連接用戶可以通過空連接連上效勞器，進而枚舉出帳號，猜測密碼下載最新的補丁程序經常訪問微軟和一些平安站點，下載最新的servicepack和漏洞補丁，是保障效勞器長久平安的唯一方法2024/3/1774編輯ppt平安配置方案高級篇高級篇介紹操作系統平安信息通信配置，包括十四條配置原那么：關閉DirectDraw、關閉默認共享禁用DumpFile、文件加密系統加密Temp文件夾、鎖住注冊表、關機時去除文件禁止軟盤光盤啟動、使用智能卡、使用IPSec禁止判斷主機類型、抵抗DDOS禁止Guest訪問日志和數據恢復軟件2024/3/1775編輯ppt1關閉DirectDrawC2級平安標準對視頻卡和內存有要求。關閉DirectDraw可能對一些需要用到DirectX的程序有影響〔比方游戲〕，但是對于絕大多數的商業(yè)站點都是沒有影響的。在HKEY_LOCAL_MACHINE主鍵下修改子鍵：SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，將鍵值改為“0〞即可，如圖7-17所示。2024/3/1776編輯ppt2關閉默認共享Windows2003安裝以后，系統會創(chuàng)立一些隱藏的共享，可以在DOS提示符下輸入命令NetShare查看，如圖7-18所示。2024/3/1777編輯ppt停止默認共享禁止這些共享，翻開管理工具>計算機管理>共享文件夾>共享，在相應的共享文件夾上按右鍵，點停止共享即可，如圖7-19所示。2024/3/1778編輯ppt3禁用Dump文件在系統崩潰和藍屏的時候，Dump文件是一份很有用資料，可以幫助查找問題。然而，也能夠給黑客提供一些敏感信息，比方一些應用程序的密碼等需要禁止它，翻開控制面板>系統屬性>高級>啟動和故障恢復，把寫入調試信息改成無，如圖7-20所示。2024/3/1779編輯ppt4文件加密系統Windows2003強大的加密系統能夠給磁盤，文件夾，文件加上一層平安保護。這樣可以防止別人把你的硬盤掛到別的機器上以讀出里面的數據。微軟公司為了彌補WindowsNT4.0的缺乏，在Windows2003中，提供了一種基于新一代NTFS：NTFSV5〔第5版本〕的加密文件系統〔EncryptedFileSystem，簡稱EFS〕。EFS實現的是一種基于公共密鑰的數據加密方式，利用了Windows2003中的CryptoAPI結構。2024/3/1780編輯ppt5加密Temp文件夾一些應用程序在安裝和升級的時候，會把一些東西拷貝到Temp文件夾，但是當程序升級完畢或關閉的時候，并不會自己去除Temp文件夾的內容。所以，給Temp文件夾加密可以給你的文件多一層保護。2024/3/1781編輯ppt6鎖住注冊表在Windows2003中，只有Administrators和BackupOperators才有從網絡上訪問注冊表的權限。當帳號的密碼泄漏以后，黑客也可以在遠程訪問注冊表，當效勞器放到網絡上的時候，一般需要鎖定注冊表。修改Hkey_current_user下的子鍵Software\microsoft\windows\currentversion\Policies\system把DisableRegistryTools的值該為0，類型為DWORD，如圖7-21所示。2024/3/1782編輯ppt7關機時去除文件頁面文件也就是調度文件，是Windows2003用來存儲沒有裝入內存的程序和數據文件局部的隱藏文件。一些第三方的程序可以把一些沒有的加密的密碼存在內存中，頁面文件中可能含有另外一些敏感的資料。要在關機的時候清楚頁面文件，可以編輯注冊表修改主鍵HKEY_LOCAL_MACHINE下的子鍵：SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPageFileAtShutdown的值設置成1，如圖7-22所示。2024/3/1783編輯ppt8禁止軟盤光盤啟動一些第三方的工具能通過引導系統來繞過原有的平安機制。比方一些管理員工具，從軟盤上或者光盤上引導系統以后，就可以修改硬盤上操作系統的管理員密碼。如果效勞器對平安要求非常高，可以考慮使用可移動軟盤和光驅，把機箱鎖起來仍然不失為一個好方法。2024/3/1784編輯ppt9使用智能卡對于密碼，總是使平安管理員進退兩難，容易受到一些工具的攻擊，如果密碼太復雜，用戶把為了記住密碼，會把密碼到處亂寫。如果條件允許，用智能卡來代替復雜的密碼是一個很好的解決方法。2024/3/1785編輯ppt10使用IPSec正如其名字的含義，IPSec提供IP數據包的平安性。IPSec提供身份驗證、完整性和可選擇的機密性。發(fā)送方計算機在傳輸之前加密數據，而接收方計算機在收到數據之后解密數據。利用IPSec可以使得系統的平安性能大大增強。2024/3/1786編輯ppt11禁止判斷主機類型黑客利用TTL〔Time-To-Live，活動時間〕值可以鑒別操作系統的類型，通過Ping指令能判斷目標主機類型。Ping的用處是檢測目標主機是否連通。許多入侵者首先會Ping一下主機，因為攻擊某一臺計算機需要根據對方的操作系統，是Windows還是Unix。如過TTL值為128就可以認為你的系統為Windows2003，如圖7-23所示。2024/3/1787編輯ppt從圖中可以看出，TTL值為128，說明該主機的操作系統是Windows2003操作系統。表7-6給出了一些常見操作系統的對照值。操作系統類型TTL返回值Windows2003128WindowsNT107win9x128or127solaris252IRIX240AIX247Linux241or2402024/3/1788編輯ppt修改TTL的值，入侵者就無法入侵電腦了。比方將操作系統的TTL值改為111，修改主鍵HKEY_LOCAL_MACHINE的子鍵：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS新建一個雙字節(jié)項，如圖7-24所示。2024/3/1789編輯ppt在鍵的名稱中輸入“defaultTTL〞，然后雙擊改鍵名，選擇單項選擇框“十進制〞，在文本框中輸入111，如圖7-25所示。2024/3/1790編輯ppt設置完畢重新啟動計算機，再用Ping指令，發(fā)現TTL的值已經被改成111了，如圖7-26所示。2024/3/1791編輯ppt12抵抗DDOS添加注冊表的一些鍵值，可以有效的抵抗DDOS的攻擊。在鍵值[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加響應的鍵及其說明如表7-7所示。增加的鍵值鍵值說明"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000000"KeepAliveTime"=dword:00000000"PerformRouterDiscovery"=dword:00000000基本設置"EnableICMPRedirects"=dword:00000000防止ICMP重定向報文的攻擊"SynAttackProtect"=dword:00000002防止SYN洪水攻擊"TcpMaxHalfOpenRetried"=dword:00000080僅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried設置超出范圍時,保護機制才會采取措施"TcpMaxHalfOpen"=dword:00000100"IGMPLevel"=dword:00000000不支持IGMP協議"EnableDeadGWDetect"=dword:00000000禁止死網關監(jiān)測技術"IPEnableRouter"=dword:00000001支持路由功能2024/3/1792編輯ppt13禁止Guest訪問日志在默認安裝的Windo