信息安全技术实验.ppt

1,数据备份与恢复,2,实验原理,数据备份：操作系统，注册表，收藏夹，cookie，数据库，一般的数据。无备份的数据恢复原理：Windows操作系统的文件删除只是将目录区中该文件的第一个字符改为“E5”来表示该文件已经删除，同时改写引导扇区的第二个扇区中表示该分区点用空间大小的相应信息。,3,实验介绍,（1）运行regedit，选择文件下的导入导出就可以备份和恢复注册表。也可以利用优化大师备份。（2）在系统盘的C:DocumentsandSettings用户名目录下可以找到收藏夹和cookies。（3）被删除文件的恢复，运行easyrecovery恢复。（4）邮件的恢复，可以用easyrecovery。,4,Windows的安全配置,5,实验介绍,（1）服务器的文件系统格式一定要划分成NTFS（新技术文件系统）格式如果你已经分成FAT32的格式了，可以用CONVERT盘符/FS：NTFS/V来把FAT32转换成NTFS格式。Helpconvert看说明。（2）账号安全：重命名Administrator账号并禁用Guest账号。,6,实验介绍,（3）禁用不必要的服务，提高安全性和系统效率。ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体、驱动程序和库。,7,实验介绍,RemoteRegistryService允许远程注册表操作。PrintSpooler将文件加载到内存中以便以后打印。要用打印机的不能禁用这项。IPSECPolicyAgent管理IP安全策略以及启动。ISAKMP/OakleyIKE）和IP安全驱动程序。DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知。Com+EventSystem提供事件的自动发布到订阅COM组件。,8,实验介绍,Alerter通知选定的用户和计算机管理警报。ErrorReportingService收集、存储和向Microsoft报告异常应用程序。Messenger传输客户端和服务器之间的NETSEND和警报器服务消息。Telnet允许远程用户登录到此计算机并运行程序。Autoupdate自动升级，10月20日前务必禁用。,9,实验介绍,（4）修改注册表，让系统更强壮。注：操作前先备份注册表，完成后请恢复注册表到开机前状态。1、隐藏重要文件/目录可以修改注册表实现完全隐藏：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0。,10,实验介绍,2、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器；3、防止SYN洪水攻击：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建DWORD值，名为SynAttackProtect，值为2EnablePMTUDiscoveryREG_DWORD0NoNameReleaseOnDemandREG_DWORD1EnableDeadGWDetectREG_DWORD0KeepAliveTimeREG_DWORD300，000PerformRouterDiscoveryREG_DWORD0EnableICMPRedirectsREG_DWORD0,11,实验介绍,4.禁止响应ICMP路由通告报文：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface新建DWORD值，名为PerformRouterDiscovery值为05.防止ICMP重定向报文的攻击：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters将EnableICMPRedirects值设为0。,12,实验介绍,6.不支持IGMP协议：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建DWORD值，名为IGMPLevel值为0。7.修改终端服务端口：运行regedit，找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrdpwdTdstcp，看到右边的PortNumber。,13,实验介绍,在十进制状态下改成想要的端口号，比如7126之类的，只要不与其它冲突即可。第二处HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-Tcp，方法同上，改的端口号和上面改的一样就行了。,14,实验介绍,8、禁止IPC空连接：cracker可以利用netuse命令建立空连接，进而入侵，还有netview，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous把这个值改成”1”即可。,15,实验介绍,9、更改TTL值：cracker可以根据ping回的TTL值来大致判断你的操作系统，如：TTL=107（WINNT）;TTL=108（win2000）;TTL=127或128（win9x）;TTL=240或241（linux）;TTL=252（solaris）;TTL=240（Irix）;实际上你可以自己更改的：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters：DefaultTTLREG_DWORD0-0 xff（0-255十进制，默认值128）改成一个莫名其妙的数字如258。,16,实验介绍,10.删除默认共享：一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters：AutoShareServer类型是REG_DWORD把值改为0即可。,17,实验介绍,11.禁止建立空连接：默认情况下，任何用户通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous的值改成”1”即可。,18,实验介绍,（6）个人上