信息安全技术第十讲 操作系统安全配ppt课件.ppt

信息安全技术 万涛E mail Tel QQ 471387802 第10讲操作系统安全配置 10 1操作系统概述 10 2安全配置初级篇 10 3安全配置中级篇 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 3 2020 3 28 10 1操作系统概述 目前服务器常用的操作系统有三类UnixLinuxWindowsNT 2000 2003Server XP这些操作系统都是符合C2级安全级别的操作系统 但是都存在不少漏洞 如果对这些漏洞不了解 不采取相应的措施 就会使操作系统完全暴露给入侵者 信息安全技术 万涛 万涛 万涛 万涛 4 2020 3 28 UNIX系统UNIX操作系统是由美国贝尔实验室开发的一种多用户 多任务的通用操作系统 它从一个实验室的产品发展成为当前使用普遍 影响深远的主流操作系统UNIX诞生于20世纪60年代末期 贝尔实验室的研究人员于1969年开始在GE645计算机上实现一种分时操作系统的雏形 后来该系统被移植到了DEC的PDP 7小型机上1970年给系统正式取名为Unix操作系统 到1973年 Unix系统的绝大部分源代码都用C语言重新编写过 大大提高了Unix系统的可移植性 也为提高系统软件的开发效率创造了条件 10 1操作系统概述 信息安全技术 万涛 万涛 万涛 万涛 5 2020 3 28 UNIX系统UNIX操作系统经过20多年的发展后 已经成为一种成熟的主流操作系统 并在发展过程中逐步形成了一些新的特色 其中主要特色包括5个方面可靠性高极强的伸缩性网络功能强强大的数据库支持功能开放性好 10 1操作系统概述 信息安全技术 万涛 万涛 万涛 万涛 6 2020 3 28 Linux系统Linux是一套可以免费使用和自由传播的类Unix操作系统 这个系统是由全世界各地的成千上万的程序员设计和实现的 其目的是建立不受任何商品化软件的版权制约的 全世界都能自由使用的Unix兼容产品Linux最早开始于一位名叫LinusTorvalds的计算机业余爱好者 当时他是芬兰赫尔辛基大学的学生 想设计一个代替Minix 是由一位名叫AndrewTannebaum的计算机教授编写的一个操作系统示教程序 的操作系统 这个操作系统可用于386 486或奔腾处理器的个人计算机上 并且具有Unix操作系统的全部功能 10 1操作系统概述 信息安全技术 万涛 万涛 万涛 万涛 7 2020 3 28 Linux系统Linux是一个免费的操作系统 用户可以免费获得其源代码 并能够随意修改它是在共用许可证GPL GeneralPublicLicense 保护下的自由软件 也有好几种版本 如RedHatLinux Slackware 以及国内的XteamLinux 红旗Linux等Linux的流行是因为它具有许多优点 典型的优点有7个完全免费 完全兼容POSIX1 0标准多用户 多任务 良好的界面丰富的网络功能 可靠的安全 稳定性能支持多种平台 10 1操作系统概述 信息安全技术 万涛 万涛 万涛 万涛 8 2020 3 28 Windows系统WindowsNT是微软第一个真正意义上的网络操作系统 发展经过NT3 0 NT4 0 NT5 0 Windows2000 和NT6 0 Windows2003 等众多版本 并逐步占据了广大的中小网络操作系统的市场WindowsNT众多版本的操作系统使用了与Windows9X完全一致的用户界面和完全相同的操作方法 使用户使用起来比较方便 与Windows9X相比 WindowsNT的网络功能更加强大并且安全 10 1操作系统概述 信息安全技术 万涛 万涛 万涛 万涛 9 2020 3 28 Windows系统WindowsNT系列操作系统具有以下三方面的优点支持多种网络协议 在网络中可能存在多种客户机 如Windows95 98 AppleMacintosh Unix OS 2等 这些客户机可能使用了不同的网络协议 如TCP IP协议 IPX SPX等内置Internet功能 内置了IIS 可以使网络管理员轻松的配置等服务支持NTFS文件系统 提高文件管理的安全性 用户可以对NTFS系统中的任何文件 目录设置权限 当多用户同时访问系统时 可增加文件的安全性 10 1操作系统概述 信息安全技术 万涛 万涛 万涛 万涛 10 2020 3 28 10 2安全配置初级篇 安全配置方案初级篇主要涉及常规的操作系统安全配置 包括十二条基本配置原则物理安全 停止Guest帐号限制用户数量 创建多个管理员帐号管理员帐号改名 陷阱帐号更改默认权限 设置安全密码屏幕保护密码 使用NTFS分区运行防毒软件 确保备份盘安全 信息安全技术 万涛 万涛 万涛 万涛 11 2020 3 28 物理安全服务器应该安放在安装了监视器的隔离房间内 并且监视器要保留15天以上的摄像记录机箱 键盘 电脑桌抽屉要上锁 以确保旁人即使进入房间也无法使用电脑 钥匙要放在安全的地方 10 2安全配置初级篇 信息安全技术 万涛 万涛 万涛 万涛 12 2020 3 28 停止Guest帐号在计算机管理的用户里把Guest帐号停用 任何时候都不允许Guest帐号登陆系统 如图为保险起见 最好给Guest加一个复杂的密码 可以打开记事本 在里面输入一串包含特殊字符 数字 字母的长字符串用它作为Guest帐号的密码 并且修改Guest帐号的属性 设置拒绝远程访问 如图 10 2安全配置初级篇 信息安全技术 万涛 万涛 万涛 万涛 13 2020 3 28 限制用户数量去掉所有的测试帐户 共享帐号和普通部门帐号等等 用户组策略设置相应权限 并且经常检查系统的帐户 删除已经不使用的帐户 如图帐户很多是黑客们入侵系统的突破口 系统的帐户越多 黑客们得到合法用户的权限可能性一般也就越大对于WindowsNT 2000主机 如果系统帐户超过10个 一般能找出一两个弱口令帐户 所以帐户数量不要大于10个 10 2安全配置初级篇 信息安全技术 万涛 万涛 万涛 万涛 14 2020 3 28 多个管理员帐号虽然这点看上去和上面有些矛盾 但事实上是服从上面规则的 创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物 另一个拥有Administrator权限的帐户只在需要的时候使用因为只要登录系统以后 密码就存储再WinLogon进程中 当有其他用户入侵计算机的时候就可以得到登录用户的密码 尽量减少Administrator登录的次数和时间 10 2安全配置初级篇 信息安全技术 万涛 万涛 万涛 万涛 15 2020 3 28 管理员帐号改名Windows2000中的Administrator帐号是不能被停用的 这意味着别人可以一遍又一边的尝试这个帐户的密码 把Administrator帐户改名可以有效的防止这一点不要使用Admin之类的名字 改了等于没改 尽量把它伪装成普通用户 如改成guestone 具体操作的时候只要选中帐户名改名就可以了 如图 10 2安全配置初级篇 信息安全技术 万涛 万涛 万涛 万涛 16 2020 3 28 陷阱帐号所谓的陷阱帐号是创建一个名为 Administrator 的本地帐户 把它的权限设置成最低 什么事也干不了的那种 并且加上一个超过10位的超级复杂密码这样可以让那些企图入侵者忙上一段时间了 并且可以借此发现它们的入侵企图 可以将该用户隶属的组修改成Guests组 如图设置相当复杂的密码 32位的数字 字符 符号密码 用户不能更改密码 如图 10 2安全配置初级篇 信息安全技术 万涛 万涛 万涛 万涛 17 2020 3 28 更改默认权限共享文件的权限从 Everyone 组改成 授权用户 Everyone 在Windows2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料 任何时候不要把共享文件的用户设置成 Everyone 组 包括打印共享 默认的属性就是 Everyone 组的 一定不要忘了改 设置某文件夹共享 10 2安全配置初级篇 Demo 信息安全技术 万涛 万涛 万涛 万涛 18 2020 3 28 安全密码好密码对一个网络是非常重要的 但也最容易被忽略 一些网络管理员创建帐号时往往用公司名 计算机名 或者一些易猜的字符做用户名 然后又把这些帐户的密码设置得比较简单或者和用户名相同的密码等 这样的帐户应该要求用户首次登陆时更改成复杂的密码 还要注意经常更改密码 好密码的定义 安全期内无法破解出来的密码就是好密码 也就是说 如果得到了密码文档 必须花43天或者更长的时间才能破解出来 密码策略是42天必须改密码 10 2安全配置初级篇 信息安全技术 万涛 万涛 万涛 万涛 19 2020 3 28 屏幕保护密码设置屏幕保护密码是防止内部人员破坏服务器的一个屏障 注意不要使用OpenGL和一些复杂的屏幕保护程序 浪费系统资源 黑屏就可以了 所有系统用户所使用的机器也最好加上屏幕保护密码 将屏幕保护的选项 密码保护 选中 并将等待时间设置为最短时间 1秒 如图 10 2安全配置初级篇 信息安全技术 万涛 万涛 万涛 万涛 20 2020 3 28 NTFS分区把服务器的所有分区都改成NTFS格式 NTFS文件系统要比FAT FAT32的文件系统安全得多 10 2安全配置初级篇 信息安全技术 万涛 万涛 万涛 万涛 21 2020 3 28 防毒软件Windows2000 NT服务器一般都没有安装防毒软件的 一些好的杀毒软件不仅能杀掉一些著名的病毒 还能查杀大量木马和后门程序 设置了防毒软件 黑客 们使用的那些有名的木马就毫无用武之地了 并且要经常升级病毒库 10 2安全配置初级篇 信息安全技术 万涛 万涛 万涛 万涛 22 2020 3 28 备份盘的安全一旦系统资料被黑客破坏 备份盘将是恢复资料的唯一途径 备份完资料后 把备份盘防在安全的地方 不能把资料备份在同一台服务器上 这样的话还不如不要备份 10 2安全配置初级篇 信息安全技术 万涛 万涛 万涛 万涛 23 2020 3 28 10 3安全配置中级篇 安全配置方案中级篇主要涉及常规的操作系统安全策略配置 包括十一条基本配置原则 操作系统安全策略 关闭不必要的服务关闭不必要的端口 开启审核策略开启密码策略 开启帐户策略备份敏感文件 不显示上次登录名备份注册表 禁止建立空连接下载最新的补丁 信息安全技术 万涛 万涛 万涛 万涛 24 2020 3 28 操作系统安全策略利用Windows2000的安全配置工具来配置安全策略 微软提供了一套的基于管理控制台的安全配置和分析工具 可以配置服务器的安全策略 在管理工具中可以找到 本地安全策略 主界面如图可配置四类安全策略 帐户策略 本地策略 公钥策略和IP安全策略 默认的情况下 这些策略都没有开启 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 25 2020 3 28 关闭不必要的服务Windows2000的TerminalServices 终端服务 和IIS Internet信息服务 等都可能给系统带来安全漏洞 为了能够远程方便的管理服务器 很多机器的终端服务都是开着 如果开了 要确认已经正确的配置了终端服务 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务 要留意服务器上开启的所有服务并每天检查 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 26 2020 3 28 关闭不必要的服务Alerter 错误警报器 关Automaticupdates windows自动更新 关Clipbook 用与局域网电脑来共享 粘贴 剪贴的内容 关Computerbrowser 用来浏览局域网电脑的服务 但关了也不影响浏览 有点消耗内存Cryptographicservices windows更新时用来确认Windows文件指纹的 关Indexingservice 恐怖的xp减速的东东 关Messenger 信使服务 不是MSN 服务有漏洞 关Smartcard Smartcardhelper 关 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 27 2020 3 28 关闭不必要的服务Netmeetingremotedesktopsharing 用Netmeeting实现电脑共享 关RemoteRegistry 远程注册表运行 修改设置 服务极其危险 关TerminalServices 允许多位用户连接并控制一台机器 不使用WinXP的远程控制功能 可以禁止它Telnet 允许远程用户登录到此计算机并运行程序 又一个危险的服务 关 Taskscheduler 允许程序在指定时间运行 关 ShellHardwareDetection 自动播放服务 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 28 2020 3 28 关闭不必要的服务方法一 程序 运行 打开services msc方法二 我的电脑 鼠标右键下拉菜单 管理方法三 控制面板 性能和维护 管理工具 服务 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 29 2020 3 28 关闭不必要的服务 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 30 2020 3 28 关闭不必要的端口关闭端口意味着减少功能 如果服务器安装在防火墙的后面 被入侵的机会就会少一些 但不可认为高枕无忧了 用端口扫描器扫描系统所开放的端口 在Winnt system32 drivers etc services文件中有知名端口和服务的对照表可供参考 该文件用记事本打开如图 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 31 2020 3 28 关闭不必要的端口设置本机开放的端口和服务 在IP地址设置窗口中点击按钮 高级 如图 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 32 2020 3 28 关闭不必要的端口在出现的对话框中选择选项卡 选项 选中 TCP IP筛选 点击按钮 属性 如图 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 33 2020 3 28 关闭不必要的端口设置端口界面如图一台Web服务器只允许TCP的80端口通过就可以了 TCP IP筛选器是Windows自带的防火墙 功能比较强大 可以替代防火墙的部分功能 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 34 2020 3 28 开启审核策略安全审核是Windows2000最基本的入侵检测方法 当有人尝试对系统进行某种方式 如尝试用户密码 改变帐户策略和未经许可的文件访问等等 入侵的时候 都会被安全审核记录下来 表中的审核是必须开启的 其他可以根据需要增加 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 35 2020 3 28 开启审核策略审核策略在默认的情况下都是没有开启的 如图 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 36 2020 3 28 开启审核策略双击审核列表的某一项 出现设置对话框 将复选框 成功 和 失败 都选中 如图 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 37 2020 3 28 开启密码策略密码对系统安全非常重要 本地安全设置中的密码策略在默认的情况下都没有开启 设置选项如图 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 38 2020 3 28 开启帐户策略开启帐户策略可以有效的防止字典式攻击设置选项如图 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 39 2020 3 28 备份敏感文件把敏感文件存放在另外的文件服务器中 虽然服务器的硬盘容量都很大 但是还是应该考虑把一些重要的用户数据 文件 数据表和项目文件等 存放在另外一个安全的服务器中 并且经常备份它们 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 40 2020 3 28 不显示上次登录名默认情况下 终端服务接入服务器时 登陆对话框中会显示上次登陆的帐户名 本地的登陆对话框也是一样 黑客们可以得到系统的一些用户名 进而做密码猜测 修改注册表 在HKEY LOCAL MACHINE Software Microsoft WindowsNT CurrentVersion Winlogon 将DontDisplayLastUserName键值改成1 如图 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 41 2020 3 28 不显示上次登录名打开管理工具 本地安全策略 本地策略 安全选项 在打开窗口右侧列表中选择 登录屏幕上不要显示上次登录的用户名 选项 在弹出对话框选择 已启用 如图 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 42 2020 3 28 备份注册表注册表是不能随便改动的 除非特别有把握注册表更改处理不好的话 可能会导致计算机不能正常启动或计算机某些功能不能用 甚至当将原来的更改还原回去也一样不能用 所以在更改注册表的任何一项之前 最好将注册表备份当系统因为更改注册表而出问题时 可以采用恢复注册表的方式来恢复系统注册表备份与恢复方法如图 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 43 2020 3 28 禁止建立空连接默认情况下 任何用户通过空连接连上服务器 进而可以枚举出帐号 猜测密码 修改注册表 在HKEY LOCAL MACHINE System CurrentControlSet Control LSA 将RestrictAnonymous键值改成 1 即可 如图 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 44 2020 3 28 下载最新的补丁很多网络管理员没有访问安全站点的习惯 以至于一些漏洞都出了很久 还放着服务器的漏洞未打补丁 谁也不敢保证数百万行以上代码的Windows2000不出一点安全漏洞 经常访问微软和一些安全站点 下载最新的ServicePack和漏洞补丁 是保障服务器长久安全的唯一方法 可以使用一些常用的漏洞扫描软件 先扫描出漏洞 10 3安全配置中级篇 信息安全技术 万涛 万涛 万涛 万涛 45 2020 3 28 安全配置方案高级篇主要涉及操作系统安全信息通信配置 包括十四条配置原则 关闭DirectDraw 关闭默认共享禁用DumpFile 文件加密系统加密Temp文件夹 锁住注册表关机时清除文件 禁止软盘光盘启动使用智能卡 使用IPSec禁止判断主机类型 抵抗DDOS禁止Guest访问日志 数据恢复软件快速锁定桌面 使用syskey增加额外保护 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 46 2020 3 28 关闭DirectDrawC2级安全标准对视频卡和内存有要求 关闭DirectDraw可能对一些需要用到DirectX的程序有影响 比如游戏 但是对于绝大多数的商业站点都是没有影响的 修改注册表 在HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control GraphicsDrivers DCI 将Timeout键值改为 0 即可 如图 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 47 2020 3 28 关闭默认共享Windows2000安装以后 系统会创建一些隐藏的共享 可以在DOS提示符下输入命令NetShare查看 如图Windows2000 XP 2003版本的操作系统提供了默认共享功能 这些默认的共享都有 标志 意为隐含的 包括所有的逻辑盘 C D E 和系统目录Winnt或Windows admin 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 48 2020 3 28 关闭默认共享微软的初衷是便于网管进行远程管理 这虽然方便了局域网用户 但对我们个人用户来说这样的设置是不安全的 如果电脑联网 网络上的任何人都可以通过共享硬盘 随意进入你的电脑 更为可怕的是 黑客可以通过连接你的电脑实现对这些默认共享的访问 并且为黑客的攻击带来了许多方便之处 震荡波 病毒的传播方式之一就是扫描局域网内所有带共享的主机 然后将病毒上传到上面 因此如何关掉共享 特别是系统默认的共享就是一个很关键的问题 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 49 2020 3 28 关闭默认共享Windows2000系统当中 可以采用鼠标右键等方式 来关掉如C D 等共享 但是当用户重新启动计算机后 那些共享又会加上 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 50 2020 3 28 关闭默认共享在WinowsXP中 采用鼠标右键方式是无法关闭共享的 如下图所示 只有两项 刷新和帮助 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 51 2020 3 28 关闭默认共享关闭共享方法一 右键 停止共享 法到 计算机管理 窗口中某个共享项 比如C 上右键单击 选择 停止共享 并确认后就会关闭这个共享 其共享图标就会消失 但这种方法治标不治本 如果机器重启的话 这些共享又会恢复 此法比较适合于永不关闭的服务器 简单而且有效 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 52 2020 3 28 关闭默认共享关闭共享方法二 批处理自启动法打开记事本 输入如图内容保存为NotShare bat 注意后缀 然后把这个批处理文件拖到 程序 启动 项 这样每次开机就会运行它 也就是通过net命令关闭共享 如果哪一天你需要开启某个或某些共享 只要重新编辑这个批处理文件即可 把相应的那个命令行删掉 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 53 2020 3 28 关闭默认共享关闭共享方法三 注册表改键值法 最好的方式 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services lanmanserver parameters 将AutoShareServer键值由1改为0 若没有AutoShareServer项 可自己新建一个再改键值 这样就能关闭硬盘各分区的共享 在 parameters下再找到AutoShareWks项 也把键值由1改为0 关闭admin 共享 CurrentControlSet Control Lsa 将restrictanonymous键值设为1 关闭IPC 共享 注意 需重启机器 一经改动就会永远停止共享 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 54 2020 3 28 关闭默认共享关闭共享方法四 停止服务法 最简单的方式 到 计算机管理 窗口中 展开左侧的 服务和应用程序 并选中其中的 服务 此时右侧就列出了所有服务项目 共享服务对应的名称是 Server 在进程中的名称为services 找到后双击它 在弹出的 常规 标签中把 启动类型 由原来的 自动 更改为 已禁用 然后单击下面 服务状态 的 停止 按钮 再确认一下就OK了 停止后 再点击系统共享 出现如图对话框 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 55 2020 3 28 关闭默认共享关闭共享方法五 卸载 文件和打印机共享 法 最笨的办法 右击 网上邻居 选 属性 在弹出的 网络和拨号连接 窗口中右击 本地连接 选 属性 从 此连接使用下列选定的组件 中选中 Microsoft网络的文件和打印机共享 后 单击下面的 卸载 按钮并确认一下 注意 本方法最大的缺陷是当你在某个文件夹上右击时 弹出的快捷菜单中的 共享 一项消失了 因为对应的功能服务已经被卸载掉了 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 56 2020 3 28 禁用Dump文件在系统崩溃和蓝屏的时候 Dump文件是一份很有用资料 可以帮助查找问题 然而 也能够给黑客提供一些敏感信息 比如一些应用程序的密码等需要禁止它 打开控制面板 系统属性 高级 启动和故障恢复 把写入调试信息改成无 如图 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 57 2020 3 28 文件加密系统Windows2000强大的加密系统能够给磁盘 文件夹 文件加上一层安全保护 这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据 微软公司为了弥补WindowsNT4 0的不足 在Windows2000中 提供了一种基于新一代NTFSV5的加密文件系统EFS Encrypted EFS实现的是一种基于公共密钥的数据加密方式 利用了Windows2000中的CryptoAPI结构 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 58 2020 3 28 文件加密系统右键单击文件夹 打开属性 常规 高级完成设置后 其他用户将无法访问该文件夹 会弹出没有访问权的错误提示 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 59 2020 3 28 文件加密系统设置某个用户对文件夹的访问权开始 运行 输入 mmc 打开系统控制台 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 60 2020 3 28 文件加密系统 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 61 2020 3 28 文件加密系统 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 62 2020 3 28 文件加密系统选中用于EFS的证书 单击右键 在弹出菜单中单击 所有任务 在展开菜单中单击 导出 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 63 2020 3 28 文件加密系统 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 64 2020 3 28 文件加密系统 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 65 2020 3 28 文件加密系统切换用户 同样进入下图界面 选择 导入 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 66 2020 3 28 文件加密系统 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 67 2020 3 28 文件加密系统证书导入完成后 该用户成为加密文件的授权用户 可以打开EFS加密文件了 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 68 2020 3 28 加密Temp文件夹一些应用程序在安装和升级的时候 会把一些东西拷贝到Temp文件夹 但是当程序升级完毕或关闭的时候 并不会自己清除Temp文件夹的内容 所以 给Temp文件夹加密可以给你的文件多一层保护 一般在C盘根目录下和Windows目录或Winnt目录下都会有一个Temp文件夹 最好将其加密 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 69 2020 3 28 锁住注册表在Windows2000中 只有Administrators和BackupOperators才有从网络上访问注册表的权限 当帐号的密码泄漏以后 黑客也可以在远程访问注册表 当服务器放到网络上的时候 一般需要锁定注册表 修改Hkey current user Software microsoft windows currentversion Policies system把DisableRegistryTools的值改为1 类型为DWORD 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 70 2020 3 28 关机时清除文件页面文件也就是调度文件 是Windows2000用来存储没有装入内存的程序和数据文件部分的隐藏文件 一些第三方程序可以把一些没有加密的密码存在内存中 页面文件中可能含有另外一些敏感的资料 在关机的时候清除页面文件 可以编辑注册表 修改HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control SessionManager MemoryManagement 把ClearPage的值设置成1 如图 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 71 2020 3 28 禁止软盘光盘启动一些第三方的工具能通过引导系统来绕过原有的安全机制 比如一些管理员工具 从软盘上或者光盘上引导系统以后 就可以修改硬盘上操作系统的管理员密码 如果服务器对安全要求非常高 可以考虑使用可移动软盘和光驱 把机箱锁起来仍然不失为一个好方法 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 72 2020 3 28 使用智能卡对于密码 总是使安全管理员进退两难 容易受到一些工具的攻击 如果密码太复杂 用户把为了记住密码 会把密码到处乱写 如果条件允许 用智能卡来代替复杂的密码是一个很好的解决方法 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 73 2020 3 28 使用IPSec正如其名字的含义 IPSec提供IP数据包的安全性 IPSec提供身份验证 完整性和可选择的机密性 发送方计算机在传输之前加密数据 而接收方计算机在收到数据之后解密数据 利用IPSec可以使得系统的安全性能大大增强 如果条件允许 可以使用VPN里的IPSec来加密传输信息 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 74 2020 3 28 禁止通过TTL判断主机类型黑客利用TTL Time To Live 活动时间 值可以鉴别操作系统的类型 通过Ping指令能判断目标主机类型 许多入侵者首先会Ping一下主机 因为攻击某一台计算机需要根据对方的操作系统 是Windows还是Unix 如果TTL值为128就可以认为你的系统为Windows2000 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 75 2020 3 28 禁止通过TTL判断主机类型修改TTL的值 入侵者就无法入侵电脑了 比如将操作系统的TTL值改为111 修改HKEY LOCAL MACHINE SYSTEM CURRENT CONTROLSET SERVICES TCPIP PARAMETERS 新建一个双字节项 如图 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 76 2020 3 28 禁止通过TTL判断主机类型在键的名称中输入 defaultTTL 然后双击改键名 选择单选框 十进制 在文本框中输入111 如图 10 4安全配置高级篇 信息安全技术 万涛 万涛 万涛 万涛 77 2020 3 28 禁止通过TTL判断主机类型设置完毕重新启动计算机 再用Ping指令 发现TTL的值已经被改成111了 如图 10 4安全配置高级篇 信息安全技术 万涛 万涛