第三章应用层协议及其安全实践.ppt

第三章应用层安全实践 主机安全防护 课程回顾 WindowsXP系统的基本安全保障控制面板 安全中心控制面板 Windows防火墙 课程回顾 WindowsXP系统的基本安全保障安全中心 Internet选项 网络基本防护措施 课程回顾 综合防护免费软件 金山清理专家 主机安全防护 主机安全防护主要涉及操作系统和安装的各种服务应用软件操作系统是网络系统的基础 操作系统的安全在网络安全中举足轻重现今的PC操作系统基本属于网络操作系统采用对操作系统进行增强与改进的技术来提高操作系统的安全性 3 1操作系统安全增强 以WindowsXP为例 我的操作系统是哪一版本 C DocumentsandSettings acer winver查看 最终用户许可协议 eula txt文件的最后一行 若显示 EULAID XPSP2 RM 0 PRO RTL CN则为MicrosoftWindowsXPServicePack2 SP2 原版镜像 3 1操作系统安全增强 以WindowsXP为例 话说ServicePack服务包 是微软修补系统安全漏洞的补丁集ServicePack2的创新特色缺省保护措施和简易安全设置 Windows防火墙 IE控制弹出式窗口 Windows安全中心 IE下载警报等等SP2领先于SP1 目前准备上市的XPSP3增加了新的Windows产品激活 WPA 模型 网络访问保护 NAP 模块和策略 新的核心模式加密模块 黑洞路由检测功能等 3 1操作系统安全增强 以WindowsXP为例 打好补丁安全漏洞的产生 程序员蓄意 程序员水平 经验 安全技术的滞后 用户忽略 安全漏洞的分类 用户 数据 作用范围 触发条件 操作角度 时序 适时打好补丁 订阅邮件列表 Windows更新 第三方补丁管理软件等 确保局域网所有主机系统的补丁一致 3 1操作系统安全增强 以WindowsXP为例 补丁工具WindowsVulnerabilityScanner免费绿色软件 3 1操作系统安全增强 以WindowsXP为例 补丁工具MicrosoftBaselineSecurityAnalyzer2 1 forITProfessionals 微软基准安全分析器ShadowSecurityScanner俄罗斯的一套非常专业的安全漏洞扫描软件 包括漏洞 端口扫描 操作系统检测 账号扫描等 金山清理专家 漏洞修补 瑞星个人防火墙 漏洞扫描 N种杀毒软件或个人防火强 3 1操作系统安全增强 以WindowsXP为例 最小化服务 服务无罪 关闭有理用户在缺省安装操作系统时 可能会把所有全部的功能 包括Web FTP等 设置为激活状态 这种不安全状态有时很容易让攻击者有机会得到系统管理员的权限慎重地从系统中删除或禁用没有明确用途的一切服务 从而减小受攻击的机会为保留下来的服务加上适当的安全增强措施 3 1操作系统安全增强 以WindowsXP为例 最小化服务 服务无罪 关闭有理手动关闭漏洞服务开始 运行 services msc右击我的电脑 管理 计算机管理 服务和应用程序 服务关闭Alert服务 MSN QQ非法推送恶意垃圾信息 关闭Server服务 信息泄露的通道 关闭ClipBook服务 暴露隐私信息 关闭RemoteRegistry服务 黑客入侵的途径 关闭TaskScheduler服务 非法攻击的载体 3 1操作系统安全增强 以WindowsXP为例 最小化服务 服务无罪 关闭有理手动关闭漏洞服务封死黑客的后门 计算机的每一项Internet协议总是与计算机的端口相对应 端口越多 被设置后门的风险就越大关闭文件和打印共享功能删除不必要的协议 如NetBIOS Windows网络的 关闭Netware和Windows网络客户端 家庭单机上网 3 1操作系统安全增强 以WindowsXP为例 最小化服务 服务无罪 关闭有理手动关闭漏洞服务部分服务或协议简介NetBEUI NetBIOS扩展用户接口 NetBIOS是IBM于1985年提出的主要用于20到200台计算机的小型局域网中 NetBEUI协议可以看作是微软在NetBIOS协议的延伸和改良版本 具有体积小 效率高及速度快等特点 NetBEUI是一种广播型传输协议 而NetBIOS仅仅是通过一组命令来让系统使用网络而已 3 1操作系统安全增强 以WindowsXP为例 最小化服务 服务无罪 关闭有理手动关闭漏洞服务部分服务或协议简介NetBEUI NetBIOS扩展用户接口 在Windows95 98和WindowsNT中被用作默认协议安装 该协议主要用于本地局域网中 一般不能用于与其他网络的计算机进行沟通 由于不支持路由功能 这是其不适合于跨网段的大型网络的重要原因 3 1操作系统安全增强 以WindowsXP为例 最小化服务 服务无罪 关闭有理手动关闭漏洞服务部分服务或协议简介NetBEUI NetBIOS扩展用户接口 要实现在网上邻居进行正常计算机及文件浏览 首先需要客户机把自己的名字 计算机名 专有NetBIOS名字 在网上注册 然后通过本地特定的名字解析方法把所注册的名称与对应的IP地址进行关联匹配 这样 Windows系统才可以通过浏览服务在网上邻居进行访问 3 1操作系统安全增强 以WindowsXP为例 最小化服务 服务无罪 关闭有理手动关闭漏洞服务部分服务或协议简介NetBEUI NetBIOS扩展用户接口 除了安装TCP IP协议之外 局域网的计算机最好也安上NetBEUI协议 另外还有一点要注意 如果一台只装了TCP IP协议的WINDOWS98机器要想加入到WINNT域 也必须安装NetBEUI协议 3 1操作系统安全增强 以WindowsXP为例 最小化服务 服务无罪 关闭有理手动关闭漏洞服务部分服务或协议简介Microsoft网络客户端 Microsoft网络的文件和打印共享一般需要联合设置 不能单独启用或禁用某一个 服务包括 ComputerBrowser WorkStation Server TCP IPNetBIOSHelper四大服务 局域网中网上邻居配置的必选项 Microsoft网络客户端卸载后无法访问局域网内的共享文件 3 1操作系统安全增强 以WindowsXP为例 最小化服务 服务无罪 关闭有理手动关闭漏洞服务部分服务或协议简介QoS数据包计划程序QoS数据包计划程序组件可以在数据传输较慢或者非常慢的情况下加快Internet连接共享速度 当两个网络通过慢速链路 如拨号线路 连接时可能出现这种性能降低 从而增加流经该慢速链路上的流量的延迟 通讯路径中终端设备之间在速度上的不匹配以及慢速链路本身通常成为网络瓶颈 在正常情况下 如果网络只用于特定的无时间限制的应用系统 并不需要QoS 比如Web应用 或E mail设置等 但是对关键应用和多媒体应用就十分必要 3 1操作系统安全增强 以WindowsXP为例 最小化服务 服务无罪 关闭有理手动关闭漏洞服务禁止建立空连接在默认情况下 任何用户都可以通过空连接来连接服务器 枚举账号并猜测密码 如admin root等 控制面板 管理工具 本地安全策略 安全设置 本地策略 安全选项 网络访问 不允许SAM账户的匿名枚举 3 1操作系统安全增强 以WindowsXP为例 最小化服务 服务无罪 关闭有理手动关闭漏洞服务关闭远程管理功能 在不需要远程管理计算机时 将有关远程登录的服务关掉Windows防火墙 高级选项卡 在网络连接设置列表框中选择要设置的连接选项 设置 高级设置 3 1操作系统安全增强 以WindowsXP为例 最小化服务 服务无罪 关闭有理手动关闭漏洞服务做好IE的安全设置 减小网页中利用ActiveX控件或JavaApplets运行的恶意代码IE浏览器 工具 Internet选项 安全设置有条件的禁用与ActiveX控件和Java相关的选项隐藏自己的IP地址许多黑客软件都需要事先了解对方的IP地址方能发起攻击 在局域网用户上网后 可通过代理服务器隐藏自己的IP地址 广域网用户要隐藏IP地址 必须找到合法的公共代理服务器 而且应兼顾代理上网的数据传输速度 IE浏览器 工具 Internet选项 连接选项卡 3 1操作系统安全增强 以WindowsXP为例 增强用户认证和访问控制实施最小权限原则 把用户能够执行的操作控制在他们完成本职工作所必须的范围内 够用就行 适合局域网用户 正确分配文件和子目录的访问权限攻击者攻陷了某一服务 但该项服务所拥有的权限较低 攻击者也打不开 甚至找不到口令文件明确文件和子目录访问权限可以保护系统免受合法用户误操作的影响 3 1操作系统安全增强 以WindowsXP为例 增强用户认证 基础安全设置第一道防线 设置BIOS开机密码防止别人擅自更改CMOS设置防止非法用户进入计算机系统开机时按下Del键 CMOS设置 找到以下两项 SetSupervisorPassword 设置管理员密码 可以进入并修改CMOS设置 可修改UserPasswordSetUserPassword 设置用户密码 输入该密码可以正常开机但不能修改CMOS设置密码长度1 8位的任意字符 分大小写 设置完毕后 光标移到Save ExitSetup上保存退出 或者按F10键选择Yes 3 1操作系统安全增强 以WindowsXP为例 增强用户认证 基础安全设置第一道防线 设置BIOS开机密码 3 1操作系统安全增强 以WindowsXP为例 增强用户认证 基础安全设置第一道防线 设置BIOS开机密码开机时按Del键进入CMOS设置画面时将要求输入密码 但若直接进入操作系统不要求输入密码 适合公共场合的计算机 单独设置SUPERVISORPASSWORD或USERPASSWORD其中的任何一项 再打开BIOSFEATURESSETUP将其中的SecurityOption设置为Setup 保存退出 3 1操作系统安全增强 以WindowsXP为例 增强用户认证 基础安全设置第一道防线 设置BIOS开机密码不但在进入CMOS设置时要求输入密码 而且进入操作系统时也要求输入密码 适合不愿让除我以外的任何人使用的计算机单独设置SUPERVISORPASSWORD或USERPASSWORD其中的任何一项 再打开BIOSFEATURESSETUP将其中的SecurityOption设置为System 保存退出 3 1操作系统安全增强 以WindowsXP为例 增强用户认证 基础安全设置第一道防线 设置BIOS开机密码进入BIOS设置和进入操作系统都要求输入密码 而且输入其中任何一个密码都能进入BIOS设置和操作系统 但管理员密码和用户密码有所区别 以管理员密码进入BIOS程序时可以进行任何设置 包括修改用户密码 但以用户密码进入时 除了修改或去除用户密码外 不能进行其它任何设置 更无法修改管理员密码 适合少数指定人员使用计算机 自己保留管理员密码 用户密码告诉其他指定的人 分别设置SUPERVISORPASSWORD和USERPASSWORD 并且采用两个不同的密码 再打开BIOSFEATURESSETUP将其中的SecurityOption设置为System 退出保存 程序破解法 3 1操作系统安全增强 以WindowsXP为例 增强用户认证 基础安全设置第一道防线 设置BIOS开机密码撤销已经设置的密码 可进入CMOS中把光标移到相应的密码设置菜单上 不输入密码 连续两次回车 出现PasswordDisabled 提示就可以了 忘记开机密码怎么办 放电法 跳线放电法 COMS电池放电法万能密码 厂家设有万能密码 3 1操作系统安全增强 以WindowsXP为例 增强用户认证 基础安全设置第一道防线 设置BIOS开机密码开机密码忘记怎么办 程序破解法 适用于可进入操作系统 但无法进入BIOS设置的情况 进入命令提示符界面 debug O7010O71ffq有时以上程序无法破解时 可采用另一个与之类似的程序来破解 O7120O7021q 3 1操作系统安全增强 以WindowsXP为例 增强用户认证 基础安全设置第二道防线 设置系统启动密码cmd syskey 更新 密码启动 3 1操作系统安全增强 以WindowsXP为例 增强用户认证 基础安全设置第三道防线 设置Windows系统登录密码计算机管理员账户 所有设置 受限账户 某些设置 来宾账户 Guest 权限最低 控制面板 用户账户对密码的管理 控制面板 管理工具 本地安全策略 安全设置 账户策略 密码策略 3 1操作系统安全增强 以WindowsXP为例 增强用户认证 基础安全设置第四道防线之一 设置屏幕保护密码防止别人在用户离开计算机时查看计算机中的文件右击桌面空白处 属性 显示属性 屏幕保护程序选项卡设置等待时间 1分钟在WindowsXP或2000中 屏保密码就是开机密码 因此 屏保密码的设置必须基于开机密码设置的基础上 3 1操作系统安全增强 以WindowsXP为例 增强用户认证 基础安全设置第四道防线之二 快速锁定系统Ctrl Alt Del 锁定计算机快捷方式法 想一想如何创建快捷方式 在创建的快捷方式中输入rundll32 exeuser32 dll LockWorkStation即可用键盘上的Win键 L键 3 1操作系统安全增强 以WindowsXP为例 增强访问控制控制启动程序 某些安装了的软件 在每次启动计算机时会自动运行 导致启动速度变慢 若是恶意程序的话 则会严重威胁计算机安全 应把自启动程序纳入系统控制的范畴系统配置实用程序 msconfig 启动选项卡从注册表中删除恶意自启动项 regedit HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Run或Runonce或RunServices 3 1操作系统安全增强 以WindowsXP为例 增强访问控制延时启动软件StartupDelay v2 3b130 免费 3 1操作系统安全增强 以WindowsXP为例 增强访问控制 注册表安全策略概述 可自学 注册表 Windows操作系统的核心数据库 存放关于计算机硬件配置的全部信息 系统和应用软件的初始化信息 应用软件和文档文件的关联关系 硬件设备的说明以及各种状态的信息和数据 Windows操作时不断引用的信息 个性化系统设置提高系统性能系统安全性自动运行程序 双刃剑 3 1操作系统安全增强 以WindowsXP为例 增强访问控制 注册表安全策略概述 可自学 访问桌面的安全限制 阻止交互用户窃听其他用户的会话regedit HKEY LOCAL MACHINE SOFTWARE Microsoft WindowsNT CurrentVersion Windows 新建一个DWORD值叫做SecureDesktop DWORD 1禁止用户运行某些程序regedit HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion policies Explorer 新建一个DWORD值叫做DisallowRun DWORD 1 不允许运行程序 或 0 允许运行程序 3 1操作系统安全增强 以WindowsXP为例 增强访问控制 注册表安全策略概述 可自学 禁止修改控制面板 防止误操作regedit HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion policies Explorer NoSetFolders DWORD 1 禁用控制面板 或 0 允许使用控制面板 禁止使用 导入 Reg文件regedit HKEY LOCAL MACHINE SOFTWARE Classes reg 右击默认 修改键值为1 3 1操作系统安全增强 以WindowsXP为例 增强访问控制 注册表安全策略概述 可自学 禁止非法用户修改用户名和密码 1 2两步骤依次完成 regedit HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion policies System 新建一个DWORD值叫做NoProfilePage DWORD 1 禁用用户设置 或 0 允许用户设置 regedit HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion policies System 新建一个DWORD值叫做NoSecCPL DWORD 1 禁用用户设置 或 0 允许用户设置 3 1操作系统安全增强 以WindowsXP为例 增强访问控制 注册表安全策略概述 可自学 屏蔽开始菜单中的运行 查找或关闭计算机等功能regedit HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion policies Explorer NoRun DWORD 1 屏蔽运行 或 0 允许运行 从网络邻居中屏蔽工作组regedit HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion policies Network 新建一个DWORD值叫做NoWorkgroupContents DWORD 1 屏蔽工作组的显示 或 0 允许显示整个工作组 3 1操作系统安全增强 以WindowsXP为例 增强访问控制 注册表安全策略概述 可自学 保护系统文件夹 防止误删除其内容regedit HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Explorer UseSystemForSystemFolders DWORD 1 采用系统默认的保护方法 隐藏共享文档 我的电脑中可以看到 regedit HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion policies Network NoSharedDocuments DWORD 1 不显示共享文档 或 0 默认设置 3 1操作系统安全增强 以WindowsXP为例 增强访问控制 注册表安全策略概述 可自学 锁定我的文档regedit HKEY CLASSES ROOT CLSID 450D8FBA AD25 11D0 98A8 0800361B1103 InProcServer32 SHELL32 dll 不锁定 或SHELL32 dll 锁定 禁止显示前一个登录者的用户名regedit HKEY LOCAL MACHINE SOFTWARE Microsoft WindowsNT CurrentVersion Winlogon DefaultUserName 修改键值1 不显示前一次登录用户名 或0 显示上一次登录用户名 3 1操作系统安全增强 以WindowsXP为例 增强访问控制 注册表安全策略概述 可自学 禁止普通用户查看事件记录事件记录 记录了计算机所有的程序 安全和系统事件 有可能涉及安全方面的敏感信息 一般在服务器上使用这一功能 regedit HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services EventlogApplicationSecuritySystem分别增加RestrictGuestAccess的DWORD 1 禁止普通用户查看事件记录 或 0 允许普通用户查看事件记录 3 1操作系统安全增强 以WindowsXP为例 增强访问控制组策略概述组策略 鉴于注册表的繁琐管理 引入组策略管理模式 把各种重要的系统配置信息汇集成模块 从而达到方便管理计算机的目的 其中的两种配置模式 计算机配置 整个计算机系统配置 对所有用户起作用 相当于注册表中的HKEY LOCAL MACHINE 用户配置 只对当前用户起作用 相当于注册表中的HKEY LOCAL USER 用户配置优先于计算机配置 有例外 运行 gpedit msc 3 1操作系统安全增强 以WindowsXP为例 增强访问控制组策略概述桌面安全设置 本地计算机策略 用户配置 管理模板 桌面 找到相应选项 右击属性 设置选项卡 已启用选项 隐藏桌面上的网上邻居 InternetExplorer图标选项 禁止用户更改 我的文档 路径选项 删除 清理桌面向导 60天启动一次 选项 禁用活动桌面 ActiveDesktop 既 启用ActiveDesktop 又 禁用ActiveDesktop 则按照响应后者处理选项 退出时不保存设置 用户的桌面设置 3 1操作系统安全增强 以WindowsXP为例 增强访问控制组策略概述 任务栏 和 开始 安全设置 本地计算机策略 用户配置 管理模板 任务栏和开始菜单 找到相应选项 右击属性 设置选项卡 已启用选项 从 开始 菜单中删除 文档 菜单 菜单 减肥 选项 阻止更改 任务栏 和 开始 菜单设置 阻止访问任务栏的上下菜单选项 不要保留最近打开文档的记录 退出时清除最近打开的文档的记录 保护个人文档隐私 C DocumentsandSettings username Recent选项 删除 开始 菜单上的 注销 用户名 删除和阻止访问 关机 命令不影响Windows任务管理器对话框中的 注销 3 1操作系统安全增强 以WindowsXP为例 增强访问控制组策略概述IE安全设置 本地计算机策略 用户配置 管理模板 WindowsComponents InternetExplorer 浏览器菜单 找到相应选项 右击属性 设置选项卡 已启用 文件 菜单 禁用 另存为 菜单项 文件 菜单 禁用另存为 网页 全部 格式 查看 菜单 禁用 源文件 菜单项 禁用上下文菜单 限制IE浏览器的保存功能 3 1操作系统安全增强 以WindowsXP为例 增强访问控制组策略概述IE安全设置 本地计算机策略 用户配置 管理模板 WindowsComponents InternetExplorer Internet控制面板 找到相应选项 右击属性 设置选项卡 已启用禁用常规页 禁用安全页等 禁用IE控制面板设置 3 1操作系统安全增强 以WindowsXP为例 增强访问控制组策略概述IE安全设置 本地计算机策略 用户配置 管理模板 WindowsComponents InternetExplorer 工具栏 配置工具栏按钮 已启用 选中相应选项选中的复选框表示要显示的按钮 没有选中的按钮即会隐藏起来若启用了Internet控制面板中的 禁止常规页 则无需启用 配置工具栏按钮 策略 因为前者已删除了界面上的 常规 选项卡 3 1操作系统安全增强 以WindowsXP为例 增强访问控制组策略概述IE安全设置 本地计算机策略 用户配置 管理模板 Windows设置 InternetExplorer维护 找到相应选项 右击属性 设置选项卡 已启用浏览器用户界面 浏览器工具栏自定义 3 1操作系统安全增强 以WindowsXP为例 增强访问控制组策略概述隐藏 我的电脑 中指定的驱动器 本地计算机策略 用户配置 管理模板 Windows组件 Windows资源管理器 隐藏 我的电脑 中的这些指定的驱动器 已启用 选中相应选项 采用其他方式访问驱动器是不受此项制约的 防止从 我的电脑 访问驱动器 本地计算机策略 用户配置 管理模板 Windows组件 Windows资源管理器 防止从 我的电脑 访问驱动器 被限制访问的驱动器图标仍能显示在 我的电脑 中 但双击后弹出消息解释框 此外 采用其他方式访问驱动器是不受此项制约的 3 1操作系统安全增强 以WindowsXP为例 增强访问控制组策略概述禁止使用命令提示符 cmd 本地计算机策略 用户配置 管理模板 Windows组件 系统 阻止访问命令提示符 设置选项卡 已启用 同时激活 也停用命令提示符脚本处理 禁止更改显示属性 本地计算机策略 用户配置 管理模板 控制面板 显示 找到相应选项 右击属性 设置选项卡 已启用 3 1操作系统安全增强 以WindowsXP为例 增强访问控制组策略概述禁止使用注册表编辑器 本地计算机策略 用户配置 系统 阻止访问注册表编辑工具 设置选项卡 已启用禁止访问 控制面板 control exe 本地计算机策略 用户配置 管理模板 控制面板 禁止访问控制面板 设置选项卡 已启用 彻底从 开始 和 Windows资源管理器 中删除 控制面板 3 1操作系统安全增强 以WindowsXP为例 增强访问控制组策略概述网络与网络安全管理 本地计算机策略 用户配置 管理模板 网络禁止建立新的拨号连接 网络连接 禁止访问 新建连接向导 设置选项卡 已启用 IE的连接可绕过该设置 启用 事件日志记录级别 记录脱机文件存储时损坏的事件 脱机文件 事件日志记录级别 已启用 3 1操作系统安全增强 以WindowsXP为例 增强访问控制组策略概述网络与网络安全管理 本地计算机策略 用户配置 管理模板 网络禁用TCP IP高级设置 通过 网络连接 文件夹中右击连接图标 属性 TCP IP 高级 网络连接 禁用TCP IP高级设置 设置选项卡 已启用禁止在DNS域网络上使用Internet连接防火墙 本地计算机策略 计算机配置 网络 网络连接 找到相应选项 右击属性 设置选项卡已启用 用户 包括管理员 无法启用或配置防火墙禁用或不配置 用户 包括管理员 可启用或配置防火墙 首选项 3 1操作系统安全增强 以WindowsXP为例 增强访问控制组策略概述网络与网络安全管理 本地计算机策略 用户配置 管理模板 网络防止用户更改LAN中的连接属性 网络连接 禁止访问LAN连接的属性 设置选项卡 已启用或其它选项删除所有用户远程访问连接 网络连接 删除所有用户远程访问连接 设置选项卡 已启用或其它选项 3 1操作系统安全增强 以WindowsXP为例 增强访问控制XP操作系统中文件和文件夹加密及其访问控制登录到有密码保护的XP系统界面 右击欲加密的文件或文件夹 属性 高级 加密内容以便保存数据 3 1操作系统安全增强 以WindowsXP为例 增强访问控制XP操作系统中文件和文件夹加密及其访问控制可使用快捷方式 迅速加密文件或文件夹regedit HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Explorer Advanced 新建DWORD 1 该值叫做EncryptionContextMenu右击欲加密的文件或文件夹便可在弹出的菜单中 找到加密 解密快捷命令 3 1操作系统安全增强 以WindowsXP为例 增强访问控制XP操作系统中文件和文件夹加密及其访问控制这是Windows2000 XP特有的一个实用功能 称为EFS EncryptingFileSystem 加密文件系统 EFS对登录用户是透明的 打开加密过的文件时无需输入密码 用户身份的认证在进入Windows系统时已经得到验证EFS加密的基础是SID SecurityIdentifier 安全标识符 每个人的SID都是不相同的 并且有唯一性 在第一次创建该帐户时 系统将给网络上的每一个帐户发布一个唯一的SID 3 1操作系统安全增强 以WindowsXP为例 增强访问控制XP操作系统中文件和文件夹加密及其访问控制SID简介如何获得自己系统上各账户的SID cmd HKEY LOCAL MACHINE SOFTWARE Microsoft WindowsNT CurrentVersion ProfileListS 1 5 21 2025429265 1801674531 725345543 1003SID类似于人类的指纹 因此即使新系统的用户名和密码与原来系统的完全一致 新系统该用户的SID与老系统同样一个用户的SID也是不相同的因此采用系统整体克隆的方法 Ghost 试图恢复 原来的 SID 也不能突破原来的加密防线 3 1操作系统安全增强 以WindowsXP为例 增强访问控制XP操作系统中文件和文件夹加密及其访问控制在重装操作系统或登录账户出问题时 是否意味着以前加密的文件或文件夹会面临永远不能打开的危险 解决办法 第一次使用EFS加密文件或文件夹后 应在第一时间备份密钥文件 以便不时之需 运行 打开证书管理器 certmgr msc 当前用户 个人 证书 选择预期目的为 加密文件系统 的那项证书 即登录用户证书 右击选择所有任务 导出 运行导出向导 选择导出私钥 3 1操作系统安全增强 以WindowsXP为例 增强访问控制XP操作系统中文件和文件夹加密及其访问控制解决办法 第一次使用EFS加密文件或文件夹后 应在第一时间备份密钥文件 以便不时之需 3 1操作系统安全增强 以WindowsXP为例 增强访问控制XP操作系统中文件和文件夹加密及其访问控制被EFS加密过的数据是不是就绝对安全 没有访问权限的用户虽然无法打开加密文件 但仍然可以删除该文件应该赋予文件或文件夹访问权限 右击已经加密的文件 属性 安全 3 1操作系统安全增强 以WindowsXP为例 增强访问控制XP操作系统中文件和文件夹加密及其访问控制什么是组 Group 3 1操作系统安全增强 以WindowsXP为例 增强访问控制XP操作系统中文件和文件夹加密及其访问控制什么是组 Group 3 1操作系统安全增强 以WindowsXP为例 增强访问控制XP操作系统中文件和文件夹加密及其访问控制如何创建组 类似于创建用户 运行 mmc 右击文件 添加 删除管理单元 添加本地用户和组 展开控制台根节点 在组中右击鼠标 新建组 添加成员 3 1操作系统安全增强 以WindowsXP为例 增强访问控制XP操作系统中文件和文件夹加密及其访问控制组或用户名称的增删选中要删除的组或用户的名称 单击删除添加新的组或用户 3 1操作系统安全增强 以WindowsXP为例 增强访问控制XP操作系统中文件和文件夹加密及其访问控制组或用户的权限 允许和拒绝 完全控制 所有权限 修改 权限包括3 6 读取和运行 权限包括4 5 列出文件夹目录 本身 读取 本身 写入 本身 特别的权限 由用户指定 单击高级 选择权限用户 单击编辑 3 1操作系统安全增强 以WindowsXP为例 增强访问控制XP操作系统中文件和文件夹加密及其访问控制关于用XPEFS加密文件或文件夹的注意事项EFS加密无需输入密码 在登录时已经输入了用户账户及其密码 EFS基于NTFS分区格式 传统的FAT和FAT32没有提供该加密系统如果重装系统或加密的文件账号不幸被删除 想一想何时会出现这种情况 需要通过恢复代理 RecoveryAgent 解密原账号文件 公司财务部的一个职工加密了财务数据的报表 某天这位职工辞职了 安全起见你直接删除了这位职工的账户 直到有一天需要用到这位职工创建的财务报表时才发现这些报表是被加密的 而用户账户已经删除 这些文件无法打开了 不过恢复代理的存在就解决了这些问题 因为被EFS加密过的文件 除了加密者本人之外还有恢复代理可以打开 对于Windows2000来说 在单机和工作组环境下 默认的恢复代理是Administrator WindowsXP在单机和工作组环境下没有默认的恢复代理 而在域环境中就完全不同了 所有加入域的Windows2000 XP计算机 默认的恢复代理全部是域管理员 3 1操作系统安全增强 以WindowsXP为例 增强访问控制XP操作系统中文件和文件夹加密及其访问控制如何获得恢复代理 生成代理证书cmd cipher r fileurl filename 文件路径和文件名 文件名无需后缀 C DocumentsandSettings acer cipher r c recovery请键入密码来保护 PFX文件 请重新键入密码来进行确认 CER文件已成功创建 PFX文件已成功创建 分别生成filename CER和filename PFX两个文件 3 1操作系统安全增强 以WindowsXP为例 增强访问控制XP操作系统中文件和文件夹加密及其访问控制如何获得恢复代理 设置恢复代理运行 gpedit msc 本地 计算机策略 计算机配置 Windows设置 安全设置 公钥策略 正在加密文件系统 在右侧窗口的空白处点击鼠标右键 并选择 添加数据恢复代理 然后会出现 添加故障恢复代理向导 按照这个向导打开filename cer 3 1操作系统安全增强 以WindowsXP为例 增强访问控制XP操作系统中文件和文件夹加密及其访问控制如何获得恢复代理 设置恢复代理双击filename pfx文件 启动证书导入向导 根据向导操作即可成功设置恢复代理后 在证书 当前用户 个人中 将显市某一证书的预期目的是 文件故障恢复 特别注意 恢复代理的设置应该在文件加密操作之前完成 因为先于恢复代理之前的EFS加密文件是不能被恢复代理恢复的 即恢复代理只能对在其之后加密的文件发挥作用 3 1操作系统安全增强 以WindowsXP为例 增强访问控制XP操作系统中文件和文件夹加密及其访问控制如何恢复文件或文件夹 在以后需要的时候 只需使用被指定为恢复代理的账户登录 就可以解密系统内所有在指定恢复代理后被加密的文件 具体解密过程请看演示 关于NTFS和FATFAT是为小磁盘及简单的目录结构而设计的文件系统 因此其文件系统组织方法也通过简单的文件分配表 FileAllocationTable 简称FAT 完成 3 1操作系统安全增强 以WindowsXP为例 增强访问控制XP操作系统中文件和文件夹加密及其访问控制关于NTFS和FATNTFS将整个磁盘分区上每件事物都看作一个文件 而文件的相关事物又视为一个属性 比如数据属性 文件名属性等 有效地发挥了文件安全管理的优势 取消该项的小钩 3 1操作系统安全增强 以WindowsXP为例 增强访问控制XP操作系统中文件和文件夹加密及其访问控制关于NTFS和FATFAT或FAT32 由FAT16派生出的 如何转换成NTFS cmd CONVERT卷标 FS NTFS例如 C DocumentsandSettings acer convertD FS NTFS可用控制面板 管理工具 计算机管理 磁盘管理 查看个分区的文件系统类型 3 1操作系统安全增强 以WindowsXP为例 系统的安全审计记录用户使用计算机系统进行所有活动的过程 是提高安全性的重要工具 多数人把安全审计理解为 日志记录 属于事后被动响应 多用于计算机取证或安全分析安全审计类产品网络设备及防火墙日志操作系统日志网络数据包捕获日志 3 1操作系统安全增强 以WindowsXP为例 系统的安全审计WindowsXP事件查看器 cmd eventvwr msc 应用程序日志 程序运行事件 安全性日志 登录 创建对象等事件 默认为关闭 可由系统管理员指定记录内容 系统日志 系统组件记录 3 1操作系统安全增强 以WindowsXP为例 系统的安全审计WindowsXP事件查看器的各种状态描述信息 描述了应用程序 驱动程序或服务的成功操作事件警告 不是很重要 但是将来有可能导致问题事件错误 重要的问题 例如数据丢失或功能丧失都会以 错误 事件的形式被记录下来 这种情况下有必要检查系统成功审核 成功的审核安全访问尝试 主要指安全性日志失败审核 失败的审核安全登录尝试 例如用户试图访问网络驱动器失败 3 1操作系统安全增强 以WindowsXP为例 系统的安全审计WindowsXP事件查看器的各种状态描述合理设置日志记录空间 定期释放多余日志空间不过如果使用的是NTFS格式的系统 在删除日志文件之前必须首先关闭事件检查器服务才行除了使用 事件查看器 管理事件日志外 也可以使用命令行工具来创建和查询事件日志 以及使程序与特殊的日志事件关联Eventcreate exe创建自定义的事件日志Eventquery vbs从一个或多个事件日志中列出事件和事件属性Eventtriggers exe创建事件触发器 3 2计算机病毒的检测与处理 每种类型的病毒都有自己特定的破坏方式 行为检测法是通过众多的病毒类型了解 分析来检测病毒的方法特征代码检测法 最简单 开销最小的方法 优点 准确快速 误报率低 可进行杀毒处理缺点 不能检测未知病毒 搜集的开销较大提示 必须保证杀毒软件的适时更新 3 2计算机病毒的检测与处理 内存病毒检测法 内存病毒以占有大量内存空间 减缓系统运行速度为特征 现在大多数杀毒软件在运行时会自动监测系统内存 通过 Windows任务管理器 进程 选择卡注意 系统进程不能随意终止 这样容易导致系统崩溃要取消当前运行的窗口 可选中explorer exe 结束后 再在 文件 新建任务 重新运行该命令 可以解决系统假死现象 让某些修改的注册表项立即生效 让某些修改的组策略立即生效 3 2计算机病毒的检测与处理 文件型病毒检测法 备份比较法 检查代码法 引导型病毒检测法 主要感染磁盘启动时的Boot引导区 病毒可以在启动计算机时取得系统控制权用mem命令查看内存总容量一般为640KB 装有硬件杀毒卡的计算机可能为639KB 若小于639KB 则常规内存有可能染毒 3 2计算机病毒的检测与处理 宏病毒检测法 主要感染带有宏的Office文档 并不是所有的宏都带有病毒 简单地删除被宏病毒感染的文档并不能清除Office系统中的宏病毒Word2003中的宏病毒防护功能 工具 选项 安全性 宏安全性 3 2计算机病毒的检测与处理 病毒进程检测法 在 任务管理器 中删除可疑进程以假乱真型 红色为病毒偷梁换柱型 用同名文件替换系统文件借尸还魂型 用dll文件控制系统进程 3 2计算机病毒的检测与处理 杀毒软件简介 个人版 瑞星2008金山独霸2008KV2008熊猫卫士2008卡巴斯基7 0Norton9 0 3 2计算机病毒的检测与处理 瑞星2008瑞星杀毒软件2008瑞星个人防火墙2008卡卡上网安全助手5 2瑞星在线杀毒金山独霸2008金山独霸2008金山网镖2008金山清理专家2008金山独霸在线杀毒2008 3 2计算机病毒的检测与处理 KV2008 江民杀毒软件 KV2008网页防马墙新安全助手熊猫卫士2008 Panda 卡巴斯基KasperskyAnti Virus7 0 KasperskyLabs 诺顿Norton9 0 Symantec 3 2计算机病毒的检测与处理 杀毒软件结构总结 个人版 查杀病毒 全盘查杀病毒 引导区杀毒 内存杀毒 手动查杀病毒 定时查杀病毒 病毒隔离 主动防御 系统监控 文件保护 邮件保护 网络防火墙 更新升级 在线升级 定时升级 系统漏洞补丁 离线数据包下载 附加特色功能 数据备份与恢复 上网痕迹清理 病毒专杀 病毒免疫 文件粉碎 3 2计算机病毒的检测与处理 杀毒软件趋势总结 个人版 随着Web2 0应用