201x计算机网络管理与安全技术.ppt

计算机网算机网络管理与安全技管理与安全技术2024/9/181整理ppt课题内容：操作系统安全（一）教学目的： 掌握WIN2003系统服务的配置方法 掌握WIN2003常用进程的作用 掌握WIN2003注册表的结构、值类型及应用教学方法：讲授法、任务驱动法、演示法重 点： WIN2003系统服务的配置方法难 点： WIN2003常用进程的作用课堂类型：讲授课教 具：投影仪、多媒体设备 授课班级 计应1001班第 18次课 授课时间5月25日星期五 授课地点2024/9/182整理ppt导入新课1、防火墙的体系结构2、操作系统常用进程与服务2024/9/183整理pptWindows 2003 §Windows 2003原名是Windows NT 5.0，随着多种测试版本的发行，人们开始从各个侧面加深对它的认识全新的界面、高度集成的功能、巩固的安全性、便捷的操作，都为计算机专业人员、普通用户带来莫大的惊喜§ Windows 2003在界面、风格与功能上都具有统一性，是一种真正面向对象的操作系统，用户在操作本机的资源和远程资源时不会感到有什么不同2024/9/184整理ppt主要内容§操作系统安全基础 §Windows 2003 安全结构 §Windows 2003 文件系统安全§Windows 2003 账号安全§GPO 的编辑§活动目录安全性考察§Windows 2003 缺省值的安全性评估§Windows 2003 主机安全 2024/9/185整理ppt操作系统安全是系统安全的基础§各种应用软件均建立在操作系统提供的系统软件平台之上，上层的应用软件要想获得运行的高可靠性和信息的完整性、保密性，必须依赖于操作系统提供的系统软件基础。

2024/9/186整理ppt操作系统安全级别 级别￿￿系统的安全可信性￿D最低安全性￿C1自主存取控制￿C2较完善的自主存取控制（DAC）、审计￿B1强制存取控制（MAC） B2良好的结构化设计、形式化安全模型￿B3全面的访问控制、可信恢复￿A1形式化认证￿2024/9/187整理ppt常见操作系统安全级别 操作系统￿安全级别￿SCO OpenServer C2 OSF/1 B1Windows NT/ 2003 C2Solaris C2DOS DUnixWare 2.1/ES B22024/9/188整理ppt常见威胁类型 (一) 威胁类型￿示￿￿例自然和物理的￿水灾、火灾、风暴、地震、停电￿无意的￿不知情的员工、不知情的顾客￿故意的￿攻击者、恐怖分子、工业间谍、黑客、恶意代码￿2024/9/189整理ppt常见威胁类型 （二）安全漏洞类型￿示￿￿例物理的￿门窗未锁￿自然的灭火系统失灵￿硬件和软件￿防病毒软件过期￿媒介￿电干扰￿通信￿未加密协议￿人为￿不可靠的技术支持￿2024/9/1810整理ppt8.2 Windows 2003 安全结构n安全六要素2024/9/1811整理ppt8.2.2 Windows 2003 安全组件 （一）§灵活的访问控制 •Windows 2003支持C2级标准要求的灵活访问控制§对象重用 •Windows 2003很明确地阻止所有的应用程序不可以访问被另—应用程序使用所占用资源内的信息（比如内存或磁盘）2024/9/1812整理pptWindows 2003 安全组件 （一）§强制登录 •Windows 2003用户在能访问任何资源前必须通过登录来验证他们的身份数据数据数据数据访问访问浏览浏览打印打印打印打印服服服服务务2024/9/1813整理pptWindows 2003 安全组件 （二）§审计•因为Windows 2003采用单独地机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动§控制对象的访问•Windows 2003不允许直接访问系统里的资源，这种不许直接访问是允许访问控制的关键2024/9/1814整理ppt安全的组成部分（一）§安全标识符•安全标识符（SID）是统计上地唯一的数组分配给所有的用户、组、和计算机。

•每次当一个新用户或组被建立的时候，它们都会接收到一个唯一的SID•每当Windows 2003安装完毕并启动的时候，也会有一个新的SID分配给这台计算机•SID标识了用户、组和计算机的唯一性，不仅仅是在某台特定的电脑上还包括和其它计算机交互的时候2024/9/1815整理ppt安全的组成部分（二）§访问令牌•访问令牌是由用户的SID、用户所属于组的SID、用户名、用户所在组的组名构成的 •访问令牌就好比用户能够访问计算机资源的“入场券”无论何时用户企图进行访问，都要向Windows NT出示访问令牌2024/9/1816整理ppt安全的组成部分（三）§安全描述符•Windows NT内的每个对象都有一个安全描述符作为它们属性的一部分•安全描述符持有对象的安全设置•安全描述符是由对象属主的SID、组SID，灵活访问控制列表以及计算机访问控制列表 2024/9/1817整理ppt安全的组成部分（四）§访问控制列表•灵活访问控制列表里记录用户和组以及它们的相关权限，要么允许要么拒绝§访问控制条目•每个访问控制条目（ACE）包含用户或组的SID及对对象所持有的权限对象分配的每个权限都有一个ACE。

•访问控制条目有二种类型：允许访问或拒绝访问在访问控制列表里拒绝访问ACE优先于允许访问 2024/9/1818整理ppt8.2.5Windows 2003 安全机制（一）§帐号安全•计算机帐户•活动目录用户帐户2024/9/1819整理pptWindows 2003 安全机制（二）§文件系统安全•NTFS文件系统使用关系型数据库、事务处理以及对象技术，以提供数据安全以及文件可靠性的特性2024/9/1820整理pptWindows 2003 安全机制（三）§认证 Kerberos 5• Kerberos是一种被证明为非常安全的双向身份认证技术• 其身份认证强调了客户机对服务器的认证，而别的身份认证技术往往只解决了服务器对客户机的认证• Kerberos有效地防止了来自服务器端身份冒领的欺骗2024/9/1821整理pptWindows 2003 安全机制（四）§NTLM 认证•Windows 2003中仍然保留NTLM（NT-LanMan）认证，以便向后兼容•运行和的客户仍然需要LM和NTLM支持•但LanManager中的哈希算法有漏洞•l0pht已经发布用于破解NT系统中SAM文件的工具l0phtcrack。

•Windows 2003已支持新的更安全的认证协议NTLM 22024/9/1822整理pptWindows 2003 安全机制（五）§Active Directory•管理员可以浏览活动目录，对域用户、用户组和网络资源进行管理•可以通过活动目录指定局部管理员，每人以自己的安全性及许可权限进行管理分类 管理管理员员域用域用户户用用户组户组网网络资络资源源2024/9/1823整理ppt8.3 Windows 2003文件系统安全NTFS权限基于目录￿基于文件读取（R） 显示目录名，属性，所有者及权限￿显示文件数据，属性，所有者及权限￿写入（W） 添加文件和目录，改变一个属性以及显示所有者和权限￿显示所有者和权限、改变文件的属性、在文件内加入数据￿执行（X）显示属性，可进入目录中的目录，显示所有者利权限显示文件属性、所有者和权限、如果是可执行文件可运行删除（D） 可删除目录￿￿可删除文件改变权限（P） 改变目录的权限改变文件的权限取得所有权（O） 取得目录的所有权￿￿取得文件的所有权2024/9/1824整理pptNT有关权限的标准标准权限标准权限基于目录基于目录￿ ￿基于文件基于文件不可访问不可访问无无无无列出列出￿ ￿RX RX 不适用不适用读取读取RXRXRXRX添加添加￿ ￿WX WX 不适用不适用￿ ￿添加和读取添加和读取RWS-X? RWS-X? RX RX 更改更改RWXD RWXD RWXD RWXD 完全控制完全控制￿ ￿ ALL ALL ALL ALL 2024/9/1825整理pptNT共享权限列表权限允许完全控制改变文件的权限；在NTFS卷上取得文件的所有权；能够完成所有有更改权限所执行的任务更改创建目录和添加文件；更改文件内的数据；更改文件的属性能够完成所有有更改权限所执行的任务读取显示目录和文件名：文件数据和属性；运行应用程序文件不可访问只能建立连接，不能访问目录中的内容2024/9/1826整理ppt8.3.2 文件系统类型§Fat16文件系统 • FAT文件系统最初用于小型磁盘和简单文件结构的简单文件系统。

• 标准文件分配表（FAT），在<511MB的卷中使用• 没有安全设置，不推荐使用2024/9/1827整理pptFAT 16 文件系统默认的簇大小分区大小扇区数/每簇簇大小（字节）0M~32M151233M~64M21K65M~128M42K129M~255M84K256M~511M168K512M~1023M3216K1024M~2047M6432K2048~4095M12864K2024/9/1828整理ppt文件系统类型§ §Fat 32 文件系统（增强的文件分配表） • • FAT32 FAT32文件系文件系统统提供了比提供了比FATFAT文件系文件系统统更更为为先先进进的文件管理特性的文件管理特性• • 作作为为FATFAT文件系文件系统统的增的增强强版本，它可以在容版本，它可以在容量从量从512 512 MBMB到到2 2TBTB的的驱动驱动器上使用器上使用 • •没有安全没有安全设设置，不推荐使用置，不推荐使用2024/9/1829整理ppt文件系统类型§NTFS 文件系统 • NTFS文件系统包括了公司环境中文件服务器和高端个人计算机所需的安全特性• NTFS文件系统还支持对于关键数据完整性十分重要的数据访问控制和私有权限• NTFS是Windows 2003 中唯一允许为单个文件指定权限的文件系统•当从NTFS卷移动到FAT卷时，NTFS文件系统权限及特有属性会丢失。

可操作）•使用convert.ex 将FAT或FAT32的分区转化为NTFS分区 （可操作）2024/9/1830整理pptNTFS 文件系统默认的簇大小分区大小分区大小扇区数扇区数/ /每簇每簇簇大小（字节）簇大小（字节）512512M M或更小或更小1 1512512513513M~1024MM~1024M（（1GB1GB））2 21 1K K1025M~2048M1025M~2048M（（2GB2GB））4 42K2K2049M~4096M2049M~4096M（（4GB4GB））8 84K4K4097M~8192M4097M~8192M（（8GB8GB））16168K8K8193M~16384M8193M~16384M（（16GB16GB））323216K16K16385M~32768M16385M~32768M（（32GB32GB））646432K32K2024/9/1831整理ppt几种文件系统的比较对比项目对比项目文件系统文件系统 FAT16FAT16FAT32FAT32NTFSNTFS  与与 操操 作作系系 统统 的的 兼兼容性容性M M S S - - D D O O S S，，所所有有版版本本的的Wi Wi n n d d o o w w s s，， Windows Windows NTNT，， Windows Windows 20032003和和OS/2OS/2都都可可访访问问本本地文件地文件只只 有有 对对 Windows Windows 95 95 OSR2OSR2，， Windows Windows 9898和和Windows Windows 20032003三三种种操操作作系统可以访问本地文件系统可以访问本地文件运运 行行 Windows Windows 2003 2003 ServerServer的的计计算算机机可可以以访访问问本本地地硬硬盘盘中中的的文文件件，，运运行行Windows Windows NT NT 4.04.0及及SP SP 4 4或或更更高高版版本本的的计计算算机机可可以以访访问问本本地地的的部部分分文文件件，，其其他他操操作作系系统统不不能能访访问问本本地地文文件件支持磁盘支持磁盘从从软软盘盘容容量量直直到到4 4 GBGB，，不支持域不支持域从从 512512MBMB到到 2 2TBTB，， 在在Windows Windows 20032003中中，，用用户户只只能能把把FAT FAT 3232卷卷最最大大格格式化到式化到32 32 GBGB最最小小大大约约10 10 MBMB，，建建议议实实际际最最大大是是2 2 TBTB，，不不能能用用于于软盘软盘文件大小文件大小 最大文件为最大文件为2 2 GBGB不不支支持持域域，，最最大大文文件件4 4 GBGB文文件件大大小小只只受受限限于于卷卷的的大大小小2024/9/1832整理ppt文件系统类型§DFS 文件系统 •分布式文件系统(Distributed File System, DFS) 的作用是不管文件的物理分布情况，可以把文件组织成为树状的分层次逻辑结构，便于用户访问网络文件资源、加强容错能力和网络负载均衡等。

•需要安装DFS服务，在微软管理界面MMC中创建一个DFS的根•文件的物理位置变动不会影响用户使用•Hacker难以跟踪文件的实际位置 2024/9/1833整理ppt8.4 Windows 2003账号安全§ §帐帐号重命名号重命名§对默认的帐号重命名包括administrator、guest以及其它一些由安装软件时（如IIs）所自动建立的帐号 2024/9/1834整理ppt帐号策略§ 帐号策略的设置是通过域用户管理器来实施的，从策略的菜单中选择用户权限§第一项是有关密码的时效;§第二项是有关密码长度的限制，以及帐号锁定等机制2024/9/1835整理ppt实现强壮的密码要有大小写字母，要有大小写字母，数字，和通配符等数字，和通配符等至少六个字符至少六个字符不使用名字和生日不使用名字和生日不含用不含用户名部分名部分强壮的密壮的密码2024/9/1836整理ppt禁止枚举账号§ 由于Windows 2003的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，任何一个远程用户通过同样的方法都能得到账户列表，使用暴力法破解账户密码后，对我们的电脑进行攻击，所以必须采用以下方法禁止这种行为。

2024/9/1837整理ppt禁止枚举账号2024/9/1838整理pptAdministrator账号更名§ Windows 2003 的Administrator账号是不能被停用的，也不能设置安全策略，这样黑客可以一遍又一遍地尝试这个账户的密码，直到破解，所以要在“计算机管理”中把Administrator账户更名来防止这一点. 应该应该做点什么做点什么做点什么做点什么2024/9/1839整理ppt本地策略设置界面2024/9/1840整理ppt禁用 Guest 账号§ Guest账号是一个非常危险的漏洞，因为黑客可以使用这个账号登录机器2024/9/1841整理ppt禁用Guest帐户2024/9/1842整理ppt禁止Guest帐户登录本机2024/9/1843整理ppt8.5 GPO的编辑 § Windows 2003的得意之作 GPO (Group Policy Object) ，通过 GPO 来实现一个超强功能的中央集权的组策略，此策略是建立在活动目录（Active Directory）基础之上的 2024/9/1844整理ppt组策略§组策略是什么? • GPO是一种与域、地址或组织单元相联系的物理策略。

• 在Windows 2003中，GPO包括文件和AD对象2024/9/1845整理ppt组策略和 AD§ 要充分发挥GPO的功能，需要有AD域架构的支持，利用AD可以定义一个集中的策略，所有的Windows 2003服务器和工作站都可以采用它2024/9/1846整理ppt8.6 活动目录安全性考察 § Windows 2003 Server活动目录是一个完全可扩展、可伸缩的目录服务，既能满足商业ISP的需要，又能满足企业内部网和外联网的需要，充分体现了微软产品集成性、深入性和易用性等优点2024/9/1847整理ppt活动目录的安全特性（一）§集成性 n 结合了三个方面的管理内容•用户和资源管理•基于目录的网络服务•基于网络的应用管理2024/9/1848整理ppt活动目录的安全特性（二）§集成性• 目录管理的基本对象是用户和计算机，还包括文件、打印机等资源 • 活动目录完全采用了Internet标准协议• 活动目录集成了关键服务和关键安全性 2024/9/1849整理ppt活动目录的安全特性（三）§深入性 •Windows 2003活动目录的深入性主要体现在其企业级的可伸缩性、安全性、互操作性、编程能力和升级能力上。

n 2024/9/1850整理ppt活动目录的安全特性（四）§深入性 • Windows 2003活动目录允许用户组建单域来管理少量的网络对象，也允许用户通过域目录管理成万上亿个对象• 活动目录的域树和域森林的组建方法，可帮助用户使用容器层次来模拟一个企业的组织结构• Windows 2003活动目录和其安全性服务紧密结合，相辅相成，共同完成安全任务和协同管理2024/9/1851整理ppt活动目录的安全特性（五）§易用性•Windows 2003活动目录主要体现在其简易的安装和管理上 • 主要有三个活动目录的管理界面（ MMC ）•活动目录用户和计算机管理•活动目录的域和域信任关系的管理 •活动目录的站点管理 n 2024/9/1852整理ppt活动目录的安全特性（六）§易用性• 管理员还可以方便地进行管理授权• 活动目录充分地考虑到了备份和恢复目录服务的需要2024/9/1853整理ppt8.7Windows 2003缺省值的安全性评估 §Windows 2003包含许多默认的设置和选项，允许更复杂的管理§ 这些系统默认值可以被有经验的攻击者用来渗透系统有些默认值不能改变，但有些可以改变。

§ 这些改变可以提供足够的安全性2024/9/1854整理pptWindows 2003缺省值的安全性评估（二）§默认目录•使用不同的目录对合法用户不会造成任何影响，但对于那些企图通过类似WEB服务器这样的介质远程访问文件的攻击者来说大大地增加了难度 2024/9/1855整理pptWindows 2003缺省值的安全性评估（三）§默认帐号• 增加了攻击者猜测帐户的难度 2024/9/1856整理pptWindows 2003缺省值的安全性评估（五）§默认共享•仅仅是针对管理而配置的，形成一个没必要的风险，成为攻击者一个常见的目标•可以通过增加注册表相应的键值来禁止这些管理用的共享2024/9/1857整理ppt8.8 Windows 2003主机安全§合理的配置Windows 2003，那么windows 2003将会是一个很安全的操作系统 2024/9/1858整理ppt初级安全（一）§物理安全 •重要的服务器应该安放在安装了监视器的隔离房间内；机箱，键盘，电脑桌抽屉要上锁 §停掉Guest 帐号 •在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登录系统；最好给guest 加一个复杂的密码§限制不必要的用户数量 •去掉不必要的帐户；去掉不用的帐户；给用户组策略设置相应权限2024/9/1859整理ppt初级安全（二）§创建2个管理员用帐号 •创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用 §把系统administrator帐号改名 •尽量把Administrator帐户伪装成普通用户§创建一个陷阱帐号 •用于迷惑非法入侵者，并借此发现他们的入侵企图2024/9/1860整理ppt初级安全（三）§把共享文件的权限从”everyone”组改成“授权用户”•任何时候都不要把共享文件的用户设置成“everyone”组 §使用安全密码 •一个好的密码对于一个网络是非常重要的，设置密码的有效期，还要注意经常更改密码§设置屏幕保护密码 •设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障；不要使用OpenGL和一些复杂的屏幕保护程序，以免浪费系统资源 2024/9/1861整理ppt初级安全（四）§使用NTFS格式分区 •NTFS文件系统要比FAT，FAT32的文件系统安全得多 §运行防毒软件 •好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。

经常升级病毒库§保障备份盘的安全•把备份盘防在安全的地方千万别把资料备份在同一台服务器上2024/9/1862整理ppt中级安全（一）§利用安全配置工具来配置策略 •充分利用基于MMC（管理控制台）安全配置和分析工具，增强系统安全性§关闭不必要的服务 •不必要的服务带来安全隐患；确保正确的配置了终端服务；留意服务器上面开启的所有服务§关闭不必要的端口•关闭端口意味着减少功能，在安全和功能上面需要作一点决策2024/9/1863整理ppt中级安全（二）§高级 TCP/IP 设置 2024/9/1864整理ppt中级安全（三）§TCP/IP 筛选 2024/9/1865整理ppt中级安全（四）§打开审核策略 •开启安全审核是Windows 2003最基本的入侵检测方法 2024/9/1866整理ppt中级安全（五）§Windows 2003 三种类型的日志记录事件•应用程序日志 •系统日志 •安全日志 2024/9/1867整理ppt中级安全（六）§事件查看器 2024/9/1868整理ppt中级安全（七）§安全日志 2024/9/1869整理ppt中级安全（八）§安全日志属性 2024/9/1870整理ppt中级安全（九）§开启密码策略 •开启密码复杂性要求、设置密码长度最小值、开启强制密码历史、设置强制密码最长存留期等§开启帐户策略 •设置复位帐户锁定计数器、帐户锁定时间、帐户锁定阈值2024/9/1871整理ppt中级安全（十）§更改账户策略 2024/9/1872整理ppt中级安全（十一）§设定安全记录的访问权限 •把安全记录设置成只有Administrator和系统帐户才有权访问 §把敏感文件存放在另外的文件服务器中 •有必要把一些重要的用户数据存放在另外一个安全的服务器中，并且经常备份它们§不让系统显示上次登陆的用户名 •防止入侵者容易得到系统的用户名，进而作密码猜测2024/9/1873整理ppt中级安全（十二）§禁止建立空连接 •用户可以通过空连接连上服务器，进而枚举出帐号，猜测密码 §下载最新的补丁程序 •经常访问微软和一些安全站点，下载最新的service pack和漏洞补丁，是保障服务器长久安全的唯一方法2024/9/1874整理ppt安全配置方案高级篇n高级篇介绍操作系统安全信息通信配置，包括十四条配置原则：n关闭DirectDraw、关闭默认共享n禁用Dump File、文件加密系统n加密Temp文件夹、锁住注册表、关机时清除文件n禁止软盘光盘启动、使用智能卡、使用IPSecn禁止判断主机类型、抵抗DDOSn禁止Guest访问日志和数据恢复软件2024/9/1875整理ppt1 关闭DirectDrawnC2级安全标准对视频卡和内存有要求。

关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏），但是对于绝大多数的商业站点都是没有影响的n在HKEY_LOCAL_MACHINE主键下修改子键：nSYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，将键值改为“0”即可，如图7-17所示2024/9/1876整理ppt2 关闭默认共享nWindows 2003安装以后，系统会创建一些隐藏的共享，可以在DOS提示符下输入命令Net Share 查看，如图7-18所示 2024/9/1877整理ppt停止默认共享 n禁止这些共享，打开管理工具>计算机管理>共享文件夹>共享，在相应的共享文件夹上按右键，点停止共享即可，如图7-19所示2024/9/1878整理ppt3 禁用Dump文件n在系统崩溃和蓝屏的时候，Dump文件是一份很有用资料，可以帮助查找问题然而，也能够给黑客提供一些敏感信息，比如一些应用程序的密码等n需要禁止它，打开控制面板>系统属性>高级>启动和故障恢复，把写入调试信息改成无，如图7-20所示 2024/9/1879整理ppt4 文件加密系统nWindows2003强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。

这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据n微软公司为了弥补的不足，在Windows 2003中，提供了一种基于新一代NTFS：NTFS V5（第5版本）的加密文件系统（Encrypted File System，简称EFS）nEFS实现的是一种基于公共密钥的数据加密方式，利用了Windows 2003中的CryptoAPI结构 2024/9/1880整理ppt5 加密Temp文件夹n一些应用程序在安装和升级的时候，会把一些东西拷贝到Temp文件夹，但是当程序升级完毕或关闭的时候，并不会自己清除Temp文件夹的内容n所以，给Temp文件夹加密可以给你的文件多一层保护2024/9/1881整理ppt6 锁住注册表n在Windows2003中，只有Administrators和Backup Operators才有从网络上访问注册表的权限当帐号的密码泄漏以后，黑客也可以在远程访问注册表，当服务器放到网络上的时候，一般需要锁定注册表修改Hkey_current_user下的子键nSoftware\microsoft\windows\currentversion\Policies\system n把DisableRegistryTools的值该为0，类型为DWORD，如图7-21所示。

2024/9/1882整理ppt7 关机时清除文件n页面文件也就是调度文件，是Windows 2003用来存储没有装入内存的程序和数据文件部分的隐藏文件n一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中可能含有另外一些敏感的资料要在关机的时候清楚页面文件，可以编辑注册表 修改主键HKEY_LOCAL_MACHINE下的子键：nSYSTEM\CurrentControlSet\Control\Session Manager\Memory Managementn把ClearPageFileAtShutdown的值设置成1，如图7-22所示2024/9/1883整理ppt8 禁止软盘光盘启动n一些第三方的工具能通过引导系统来绕过原有的安全机制比如一些管理员工具，从软盘上或者光盘上引导系统以后，就可以修改硬盘上操作系统的管理员密码n如果服务器对安全要求非常高，可以考虑使用可移动软盘和光驱，把机箱锁起来仍然不失为一个好方法2024/9/1884整理ppt9 使用智能卡n对于密码，总是使安全管理员进退两难，容易受到一些工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。

n如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法 2024/9/1885整理ppt10 使用IPSecn正如其名字的含正如其名字的含义，，IPSec提供提供IP数据包的安全性数据包的安全性nIPSec提供身份提供身份验证、完整性和可、完整性和可选择的机密性的机密性发送送方方计算机在算机在传输之前加密数据，而接收方之前加密数据，而接收方计算机在收算机在收到数据之后解密数据到数据之后解密数据n利用利用IPSec可以使得系可以使得系统的安全性能大大增的安全性能大大增强 2024/9/1886整理ppt11 禁止判断主机类型n黑客利用TTL（Time-To-Live，活动时间）值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型Ping的用处是检测目标主机是否连通n许多入侵者首先会Ping一下主机，因为攻击某一台计算机需要根据对方的操作系统，是Windows还是Unix如过TTL值为128就可以认为你的系统为Windows 2003，如图7-23所示2024/9/1887整理pptn从图中可以看出，TTL值为128，说明该主机的操作系统是Windows 2003操作系统。

表7-6给出了一些常见操作系统的对照值操作系统类型操作系统类型TTL返回值返回值Windows 2003128Windows NT107win9x128 or 127solaris252IRIX240AIX247Linux241 or 2402024/9/1888整理pptn修改TTL的值，入侵者就无法入侵电脑了比如将操作系统的TTL值改为111，修改主键HKEY_LOCAL_MACHINE的子键：nSYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERSn新建一个双字节项，如图7-24所示2024/9/1889整理pptn在键的名称中输入“defaultTTL”，然后双击改键名，选择单选框“十进制”，在文本框中输入111，如图7-25所示2024/9/1890整理pptn设置完毕重新启动计算机，再用Ping指令，发现TTL的值已经被改成111了，如图7-26所示2024/9/1891整理ppt12 抵抗DDOSn添加注册表的一些键值，可以有效的抵抗DDOS的攻击在键值n[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加响应的键及其说明如表7-7所示。

增加的键值键值说明"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000000"KeepAliveTime"=dword:00000000"PerformRouterDiscovery"=dword:00000000基本设置"EnableICMPRedirects"=dword:00000000防止ICMP重定向报文的攻击"SynAttackProtect"=dword:00000002防止SYN洪水攻击"TcpMaxHalfOpenRetried"=dword:00000080仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施"TcpMaxHalfOpen"=dword:00000100"IGMPLevel"=dword:00000000不支持IGMP协议"EnableDeadGWDetect"=dword:00000000禁止死网关监测技术"IPEnableRouter"=dword:00000001支持路由功能2024/9/1892整理ppt13 禁止Guest访问日志n在默认安装的Windows NT和Windows 2003中，Guest帐号和匿名用户可以查看系统的事件日志，可能导致许多重要信息的泄漏，修改注册表来禁止Guest访问事件日志。

n禁止Guest访问应用日志nHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application 下添加键值名称为：RestrictGuestAccess ，类型为：DWORD，将值设置为1n系统日志：nHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为1n安全日志nHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为12024/9/1893整理ppt14 数据恢复软件n当数据被病毒或者入侵者破坏后，可以利用数据恢复软件可以找回部分被删除的数据，在恢复软件中一个著名的软件是Easy Recovery软件功能强大，可以恢复被误删除的文件、丢失的硬盘分区等等软件的主界面如图7-26所示。

2024/9/1894整理pptn比如原来在E盘上有一些数据文件，被黑客删除了，选择左边栏目“Data Recovery”，然后选择左边的按钮“Advanced Recovery”，如图7-28所示2024/9/1895整理pptn进入Advanced Recovery对话框后，软件自动扫描出目前硬盘分区的情况，分区信息是直接从分区表中读取出来的，如图7-29所示2024/9/1896整理pptn现在要恢复E盘上的文件，所以选择E盘，点击按钮“Next”，如图7-30所示2024/9/1897整理pptn软件开始自动扫描该盘上曾经有哪些被删除了文件，根据硬盘的大小，需要一段比较长的时间，如图7-31所示2024/9/1898整理pptn扫描完成以后，将该盘上所有的文件以及文件夹显示出来，包括曾经被删除文件和文件夹，如图7-32所示2024/9/1899整理pptn选中某个文件夹或者文件前面的复选框，然后点击按钮“Next”，就可以恢复了如图7-33所示2024/9/18100整理pptn在恢复的对话框中选择一个本地的文件夹，将文件保存到该文件夹中，如图7-34所示2024/9/18101整理pptn选择一个文件夹后，电击按钮“Next”，就出现了恢复的进度对话框，如图7-35所示。

2024/9/18102整理pptWindows XP 的安全特性§ Internet 连接防火墙 § 软件限制政策 2024/9/18103整理pptWindows XP 的安全特性§ 智能卡的支持 § Kerberos V5鉴定协议 2024/9/18104整理ppt本章小结§本章从操作系统入手，着重讨论了Windows 的安全结构随后，我们从Windows 2003的文件系统安全、账号安全等方面加强了对Windows 2003 的安全认识 2024/9/18105整理ppt。