信息安全技术实验.ppt

1 数据备份与恢复 2 实验原理实验原理 n数据备份：操作系统，注册表，收藏夹 ，cookie， 数据库，一般的数据。 n无备份的数据恢复原理：Windows操作系统的文件删 除只是将目录区中该文件的第一个字符改为“E5”来表 示该文件已经删除，同时改写引导扇区的第二个扇区 中表示该分区点用空间大小的相应信息。 3 实验介绍实验介绍 （1）运行regedit，选择文件 下的导入导出就 可以备份和恢复注册表。也可以利用优化大师 备份。 （2）在系统盘的C:Documents and Settings 用户名 目录下可以找到收藏夹和cookies。 （3）被删除文件的恢复，运行easyrecovery恢 复。 （4）邮件的恢复，可以用easyrecovery。 4 Windows的安全配置 5 实验介绍实验介绍 （1）服务器的文件系统格式一定要划分成NTFS （新技术文件系统）格式 如果你已经分成FAT32的格式了，可以用 CONVERT 盘符 /FS：NTFS /V 来把 FAT32转换 成NTFS格式。Help convert看说明。 （2）账号 安全：重命名Administrator账号并 禁用Guest账号。 6 实验介绍实验介绍 （3）禁用不必要的服务，提高安全性和系统效 率。 Computer Browser 维护网络上计算机的最新列 表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Routing and Remote Access 在局域网以及广域 网环境中为企业提供路由服务 Removable storage 管理可移动媒体、驱动程序 和库。 7 实验介绍实验介绍 Remote Registry Service 允许远程注册表操作。 Print Spooler 将文件加载到内存中以便以后打印 。要用打印机的不能禁用这项。 IPSEC Policy Agent 管理IP安全策略以及启动。 ISAKMP/OakleyIKE）和IP安全驱动程序。 Distributed Link Tracking Client 当文件在网络域 的NTFS卷中移动时发送通知 。 Com+ Event System 提供事件的自动发布到订 阅COM组件 。 8 实验介绍实验介绍 Alerter 通知选定的用户和计算机管理警报。 Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序。 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息。 Telnet 允许远程用户登录到此计算机并运行程序 。 Autoupdate 自动升级，10月20日前务必禁用。 9 实验介绍实验介绍 （4）修改注册表，让系统更强壮。注：操作前先备 份注册表，完成后请恢复注册表到开机前状态。 n1、隐藏重要文件/目录可以修改注册表实现完全 隐藏： HKEY_LOCAL_MACHINESOFTWAREMicrosoftW indows Current- VersionExplorerAdvancedFolderHi- ddenSHOWALL”，鼠标右击 “CheckedValue”，选 择修改，把数值由1改为0。 10 实验介绍实验介绍 n2、启动系统自带的Internet连接防火墙，在设置服 务选项中勾选Web服务器； n3、防止SYN洪水攻击： HKEY_LOCAL_MACHINESYSTEMCurrentControlSe tServicesTcpipParameters 新建DWORD值，名为 SynAttackProtect，值为2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300 ，000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 11 实验介绍实验介绍 n4. 禁止响应ICMP路由通告报文： HKEY_LOCAL_MACHINESYSTEMCurrentCont rolSetServicesTcpipParameters Interfacesinterface 新建DWORD值，名为 PerformRouterDiscovery 值为0 n5. 防止ICMP重定向报文的攻击： HKEY_LOCAL_MACHINESYSTEMCurrentCont rolSetServicesTcpipParameters 将 EnableICMPRedirects 值设为0。 12 实验介绍实验介绍 n6. 不支持IGMP协议： HKEY_LOCAL_MACHINESYSTEMCurrentCont rolSetServicesTcpipParameters 新建 DWORD值，名为IGMPLevel 值为0。 n7.修改终端服务端口：运行regedit，找到 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server Wds rdpwd Tds tcp，看到右边的 PortNumber。 13 实验介绍实验介绍 n在十进制状态下改成想要的端口号，比如7126 之类的，只要不与其它冲突即可。 第二处 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP-Tcp，方法同上，改的端 口号和上面改的一样就行了。 14 实验介绍实验介绍 n8、禁止IPC空连接： cracker可以利用net use 命令建立空连接，进而入侵，还有net view， nbtstat这些都是基于空连接的，禁止空连接就 好了。打开注册表，找到 Local_MachineSystemCurrentControlSetCon trolLSA-RestrictAnonymous 把这个值改成”1” 即可。 15 实验介绍实验介绍 n9、更改TTL值： cracker可以根据ping回的TTL值 来大致判断你的操作系统，如： TTL=107（ WINNT）; TTL=108（win2000）; TTL=127或 128（win9x）; TTL=240或241（linux）; TTL=252（solaris）; TTL=240（Irix）; 实际上你 可以自己更改的： HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServicesTcpipParameters：DefaultTTL REG_DWORD 0-0xff（0-255 十进制，默认值128 ）改成一个莫名其妙的数字如258。 16 实验介绍实验介绍 n10. 删除默认共享：一开机就共享所有盘，改 回来以后，重启又变成了共享是怎么回事，这 是2K为管理而设置的默认共享，必须通过修改 注册表的方式取消它： HKEY_LOCAL_MACHINESYSTEMCurrentCont rolSetServicesLanmanServerParameters： AutoShareServer类型是REG_DWORD把值改为 0即可 。 17 实验介绍实验介绍 n11. 禁止建立空连接： 默认情况下，任何用户 通过空连接连上服务器，进而枚举出帐号，猜 测密码。我们可以通过修改注册表来禁止建立 空连接： Local_MachineSystemCurrentControlSetCon trolLSA-RestrictAnonymous 的值改成”1”即可 。 18 实验介绍实验介绍 n（6）个人上机