计算机安全技术4.2

操作系统安全配置操作系统的安全威胁一、来自系统设计上的缺陷（隐蔽通道）调试程序块、隐含调用、隐含矢量等二、来自外部的恶意攻击（系统入侵）

计算机恶意程序，非法使用、系统破坏等。

开放性、标准化应用对系统集成提供了极好的条件，但同时也带来了新的安全性威胁，产生了一些新的安全隐患。系统被攻击的入口增多、破坏面增大、检测困难且开销很大。操作系统的安全性计算机系统的安全极大地取决于操作系统的安全操作系统的安全是利用安全手段防止操作系统本身被破坏，防止非法用户对计算机资源(如软件、硬件、时间、空间、数据、服务等资源)的窃取。操作系统安全的实施将保护计算机硬件、软件和数据，防止人为因素造成的故障和破坏操作系统安全定义•信息安全的五类服务，作为安全的操作系统时必须提供的•有些操作系统所提供的服务是不健全的、默认关闭的信息安全评估标准ITSEC和TCSECTCSEC描述的操作系统安全级别D--ACC(CommonCritical)标准BS7799:2000标准体系ISO17799标准TCSEC定义的内容没有安全性可言，例如MSDOS不区分用户，基本的访问控制D级C1级C2级B1级B2级B3级A级有自主的访问安全性，区分用户标记安全保护，如SystemV等结构化内容保护，支持硬件保护安全域，数据隐藏与分层、屏蔽校验级保护，提供低级别手段C2级安全标准的要求自主的访问控制对象再利用必须由系统控制用户标识和认证审计活动能够审计所有安全相关事件和个人活动只有管理员才有权限访问操作系统概述目前常用的操作系统有三类：Unix/LinuxWindows2000/2003Mac苹果操作系统。这些操作系统都是符合C2级安全级别的操作系统。但是都存在不少漏洞，如果对这些漏洞不了解，不采取相应的措施，就会使操作系统完全暴露给入侵者。UNIX系统UNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统。UNIX诞生于20世纪60年代末期，贝尔实验室的研究人员于1969年开始在GE645计算机上实现一种分时操作系统的雏形，后来该系统被移植到了DEC的PDP-7小型机上。1970年给系统正式取名为Unix操作系统。到1973年，Unix系统的绝大部分源代码都用C语言重新编写过，大大提高了Unix系统的可移植性，也为提高系统软件的开发效率创造了条件。主要特色UNIX操作系统经过20多年的发展后，已经成为一种成熟的主流操作系统，并在发展过程中逐步形成了一些新的特色，其中主要特色包括5个方面。（1）可靠性高（2）极强的伸缩性（3）网络功能强（4）强大的数据库支持功能（5）开放性好Linux系统Linux是一套可以免费使用和自由传播的类Unix操作系统，主要用于基于Intelx86系列CPU的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。Linux最早开始于一位名叫Linus

Torvalds的计算机业余爱好者，当时他是芬兰赫尔辛基大学的学生。目的是想设计一个代替Minix（是由一位名叫AndrewTannebaum的计算机教授编写的一个操作系统示教程序）的操作系统。这个操作系统可用于386、486或奔腾处理器的个人计算机上，并且具有Unix操作系统的全部功能。Linux是一个免费的操作系统，用户可以免费获得其源代码，并能够随意修改。它是在共用许可证GPL(GeneralPublicLicense)保护下的自由软件，也有好几种版本，如RedHatLinux、Slackware，以及国内的XteamLinux、红旗Linux等等。Linux的流行是因为它具有许多优点，典型的优点有7个。Linux典型的优点有7个。（1）完全免费（2）完全兼容POSIX1.0标准（3）多用户、多任务（4）良好的界面（5）丰富的网络功能（6）可靠的安全、稳定性能（7）支持多种平台Windows系统WindowsNT（NewTechnology）是微软公司第一个真正意义上的网络操作系统，发展经过NT3.0、NT40、NT5.0（Windows2000）和NT6.0（Windows2003）等众多版本，并逐步占据了广大的中小网络操作系统的市场。WindowsNT众多版本的操作系统使用了与WindowsXP完全一致的用户界面和完全相同的操作方法，使用户使用起来比较方便。与WindowsXP相比，WindowsNT的网络功能更加强大并且安全。Windows系统的安全架构WindowsNT系统内置支持用户认证、访问控制、管理、审核。针对Windows的入侵扫描使用的扫描软件NAT、流光、Xscan、SSS扫描远程主机

开放端口扫描

操作系统识别

主机漏洞分析扫描结果：端口扫描扫描结果：操作系统识别扫描结果：漏洞扫描针对Windows的入侵(3)查看目标主机的信息针对Windows的入侵(4)IIS攻击尝试利用IIS中知名的Unicode和“Translate:f”漏洞进行攻击，没有成功。目标主机可能已修复相应漏洞，或没有打开远程访问权限Administrator口令强行破解这里我们使用NAT（NetBIOSAuditingTool）进行强行破解：构造一个可能的用户帐户表，以及简单的密码字典，然后用NAT进行破解Administrator口令破解情况针对Windows的入侵(5)巩固权力现在我们得到了Administrator的帐户，接下去我们需要巩固权力装载后门一般的主机为防范病毒，均会安装反病毒软件，如NortonAnti-Virus、金山毒霸等，并且大部分人也能及时更新病毒库，而多数木马程序在这类软件的病毒库中均被视为Trojan木马病毒。所以，这为我们增加了难度。除非一些很新的程序或自己编写的程序才能够很好地隐藏起来针对Windows的入侵(6)本次入侵，我们都做了什么？踩点扫描渗透口令破解安装后门清除脚印端口扫描操作系统探测漏洞扫描通过入侵来看Windows的防范安装防火墙软件，对安全规则库定期进行更新及时更新操作系统厂商发布的SP补丁程序停止主机上不必要的服务，各种服务打开的端口往往成为黑客攻击的入口使用安全的密码如果没有文件和打印机共享要求，最好禁止135、139和445端口上的空会话经常利用netsession、netstat查看本机连接情况Windows系统安装使用正版可靠安装盘将系统安装在NTFS分区上系统和数据要分开存放在不同的磁盘最小化安装组件安全补丁合集和相关的Hotfix装其它的服务和应用程序补丁防止病毒、正常安装补丁等进行文件系统安全设置最少建立两个分区，一个系统分区，一个应用程序分区，因为微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。NT安装SP6a和相关的HotfixWIN2K安装SP4和相关的HotfixWINXP安装SP2和相关的HotfixWIN2003安装相关的Hotfixwindows文件系统安全文件系统&文件分区表文件系统是操作系统中用于组织、存储和命名文件的结构。磁盘或分区和它所包括的文件系统的不同是很重要的，大部分应用程序都基于文件系统进行操作，在不同种文件系统上是不能工作的。FAT文件系统FAT16文件系统使用16位的文件分配表，主要用于MS-DOS、Windows3.x、Windows9x、WindowsNT和OS/2等。FAT文件系统遵循8.3命名规则(即文件名最多为8个字符，扩展名为3个字符)。只能管理2G以下的硬盘。FAT32文件系统主要应用于Windows9x系统，它可以增强磁盘性能并增加可用磁盘空间。因为与FAT16相比，它的一个簇的大小要比FAT16小很多，所以可以节省磁盘空间。而且它支持2G以上的分区大小。NTFS文件系统优势支持长文件名，256个字符的长文件名。对文件和目录提供安全的访问控制。先进的容错能力。不易受到病毒和系统崩溃的侵袭。提供文件、目录压缩功能。NTFS权限说明NTFS的权限类型非常丰富，因此，在访问控制方面能够提供更细致的粒度。NTFS－5的标准文件访问权限有5个：完全控制、修改、读和执行、读、写。最低权限原则(PrincipleofLeastPrivilege,POLP):用户权限分配的基本原则。限制everyone组得到的访问权限。NTFS权限设置(目录)标准权限高级权限文件的安全描述符的内容NTFS标准权限允许的操作读权限和读取并执行权限的组合不用于文件列出目录扫描目录中的文件、运行可执行文件和批处理文件打开和读取文件、运行可执行文件和批处理文件读和运行创建文件和目录修改文件或向文件添加数据写除删除文件和子目录、修改权限、取得所有权之外的所有操作除删除、修改权限、取得所有权之外的所有操作修改所有权限的综合所有权限的综合完全控制允许的目录操作允许的文件操作权限注册表(Registry)注册表简介Windows的注册表是一个的二进制数据库，它按照分级结构存储了系统和应用程序以及用户的全部设置信息。Windows的注册表包含应用程序、硬件设备、驱动器驱动程序配置、网络协议等信息，注册表具有容错功能，一般不会崩溃，即使出现问题，windows系统也能够字段恢复及修改数据以保证系统正常运行。win2K下regedt32.exe或是regedit.exe都可以打开注册表。注册表的结构注册表的组织方式与文件系统的组织方式相似，注册表的根是根键(rootkeys)。每个根键包含几个子项(目录)，这些子项又包含自己的子项和值。注册表中的每个值(值项)由三部分组成：名字、数据类型、实际取值。注册表的根项HKEY_LOCAL_MACHINE(HKLM)：存储本机的所有设置。比如：系统和设备驱动记录等。HKEY_USER(HKU)：为每个登录到计算机上的用户建立一个子项。HKEY_CURRENT_CONFIG(HKCC)：系统的当前引导配置信息。HKEY_CURRENT_USER(HKCU)：指向HKU中当前登录用户的配置文件。HKEY_CLASSES_ROOT(HKCR)：将文件扩展名和OLE类标识符联系起来。几个重要的子项HKLM\HARDWARE：存储系统中所有硬件信息HKLM\SOFTWARE：存储系统中应用程序和系统组件的信息。注册表中与自动启动有关的项HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run安全配置方案初级篇安全配置方案初级篇主要介绍常规的操作系统安全配置，包括十二条基本配置原则：物理安全、停止Guest帐号、限制用户数量创建多个管理员帐号、管理员帐号改名陷阱帐号、更改默认权限、设置安全密码屏幕保护密码、使用NTFS分区运行防毒软件和确保备份盘安全。1、物理安全服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在安全的地方。2、停止Guest帐号在计算机管理的用户里面把Guest帐号停用，任何时候都不允许Guest帐号登陆系统。为了保险起见，最好给Guest加一个复杂的密码，可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串。用它作为Guest帐号的密码。并且修改Guest帐号的属性，设置拒绝远程访问，如图所示。3限制用户数量去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。帐户很多是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。对于WindowsNT/2000主机，如果系统帐户超过10个，一般能找出一两个弱口令帐户，所以帐户数量不要大于10个。4多个管理员帐号虽然这点看上去和上面有些矛盾，但事实上是服从上面规则的。创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物，另一个拥有Administrator权限的帐户只在需要的时候使用。因为只要登录系统以后，密码就存储在WinLogon进程中，当有其他用户入侵计算机的时候就可以得到登录用户的密码，尽量减少Administrator登录的次数和时间。5管理员帐号改名Windows2000中的Administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone。具体操作的时候只要选中帐户名改名就可以了。6陷阱帐号所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组。7更改默认权限共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。设置某文件夹共享默认设置如图7-4所示。8安全密码好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。一些网络管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，比如：“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。这里给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。9屏幕保护密码设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。将屏幕保护的选项“密码保护”选中就可以了，并将等待时间设置为最短时间“1秒”，如图7-5所示。10NTFS分区把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。11防毒软件Windows2000/NT服务器一般都没有安装防毒软件的，一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。设置了放毒软件，“黑客”们使用的那些有名的木马就毫无用武之地了，并且要经常升级病毒库。12备份盘的安全一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。不能把资料备份在同一台服务器上，这样的话还不如不要备份。安全配置方案中级篇安全配置方案中级篇主要介绍操作系统的安全策略配置，包括十条基本配置原则：操作系统安全策略、关闭不必要的服务关闭不必要的端口、开启审核策略开启密码策略、开启帐户策略、备份敏感文件不显示上次登陆名、禁止建立空连接和下载最新的补丁1操作系统安全策略利用Windows2000的安全配置工具来配置安全策略，微软提供了一套的基于管理控制台的安全配置和分析工具，可以配置服务器的安全策略。在管理工具中可以找到“本地安全策略”，主界面如图7-6所示。可以配置四类安全策略：帐户策略、本地策略、公钥策略和IP安全策略。在默认的情况下，这些策略都是没有开启的。2关闭不必要的服务Windows2000的TerminalServices（终端服务）和IIS（Internet信息服务）等都可能给系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果开了，要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。Windows2000作为服务器可禁用的服务及其相关说明如表7-1所示。Windows2000可禁用的服务服务名说明ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体、驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印。要用打印机的用户不能禁用这项服务IPSECPolicyAgent管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+EventSystem提供事件的自动发布到订阅COM组件3关闭不必要的端口关闭端口意味着减少功能，如果服务器安装在防火墙的后面，被入侵的机会就会少一些，但是不可以认为高枕无忧了。用端口扫描器扫描系统所开放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。该文件用记事本打开如图7-7所示。设置本机开放的端口和服务，在IP地址设置窗口中点击按钮“高级”，如图7-8所示。在出现的对话框中选择选项卡“选项”，选中“TCP/IP筛选”，点击按钮“属性”，如图7-9所示。设置端口界面如图7-10所示。一台Web服务器只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙，功能比较强大，可以替代防火墙的部分功能。4开启审核策略安全审核是Windows2000最基本的入侵检测方法。当有人尝试对系统进行某种方式（如尝试用户密码，改变帐户策略和未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。表7-2的这些审核是必须开启的，其他的可以根据需要增加。策略设置审核系统登陆事件成功，失败审核帐户管理成功，失败审核登陆事件成功，失败审核对象访问成功审核策略更改成功，失败审核特权使用成功，失败审核系统事件成功，失败审核策略默认设置审核策略在默认的情况下都是没有开启的，如图7-11所示。双击审核列表的某一项，出现设置对话框，将复选框“成功”和“失败”都选中，如图7-12所示。5开启密码策略密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如表7-3所示策略设置密码复杂性要求启用密码长度最小值6位密码最长存留期15天强制密码历史5个设置选项如图7-13所示。6开启帐户策略开启帐户策略可以有效的防止字典式攻击，设置如表7-4所示。策略设置复位帐户锁定计数器30分钟帐户锁定时间30分钟帐户锁定阈值5次设置帐户策略设置的结果如图7-14所示。7备份敏感文件把敏感文件存放在另外的文件服务器中，虽然服务器的硬盘容量都很大，但是还是应该考虑把一些重要的用户数据（文件，数据表和项目文件等）存放在另外一个安全的服务器中，并且经常备份它们8不显示上次登录名默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户名，本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名，进而做密码猜测。修改注册表禁止显示上次登录名，在HKEY_LOCAL_MACHINE主键下修改子键：Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，将键值改成1，如图7-15所示。

9禁止建立空连接默认情况下，任何用户通过空连接连上服务器，进而可以枚举出帐号，猜测密码。可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修改子键：System\CurrentControlSet\Control\LSA\RestrictAnonymous，将键值改成“1”即可。如图7-16所示。10下载最新的补丁很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的Windows2000不出一点安全漏洞。经常访问微软和一些安全站点，下载最新的ServicePack和漏洞补丁，是保障服务器长久安全的唯一方法。

安全配置方案高级篇高级篇介绍操作系统安全信息通信配置，包括十四条配置原则：关闭DirectDraw、关闭默认共享禁用DumpFile、文件加密系统加密Temp文件夹、锁住注册表、关机时清除文件禁止软盘光盘启动、使用智能卡、使用IPSec禁止判断主机类型、抵抗DDOS禁止Guest访问日志和数据恢复软件1关闭DirectDrawC2级安全标准对视频卡和内存有要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏），但是对于绝大多数的商业站点都是没有影响的。在HKEY_LOCAL_MACHINE主键下修改子键：SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，将键值改为“0”即可，如图7-17所示。2关闭默认共享Windows2000安装以后，系统会创建一些隐藏的共享，可以在DOS提示符下输入命令NetShare查看，如图7-18所示。停止默认共享禁止这些共享，打开管理工具>计算机管理>共享文件夹>共享，在相应的共享文件夹上按右键，点停止共享即可，如图7-19所示。3禁用Dump文件在系统崩溃和蓝屏的时候，Dump文件是一份很有用资料，可以帮助查找问题。然而，也能够给黑客提供一些敏感信息，比如一些应用程序的密码等需要禁止它，打开控制面板>系统属性>高级>启动和故障恢复，把写入调试信息改成无，如图7-20所示。4文件加密系统Windows2000强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。微软公司为了弥补WindowsNT4.0的不足，在Windows2000中，提供了一种基于新一代NTFS：NTFSV5（第5版本）的加密文件系统（EncryptedFileSystem，简称EFS）。EFS实现的是一种基于公共密钥的数据加密方式，利用了Windows2000中的CryptoAPI结构。5加密Temp文件夹一些应用程序在安装和升级的时候，会把一些东西拷贝到Temp文件夹，但是当程序升级完毕或关闭的时候，并不会自己清除Temp文件夹的内容。所以，给Temp文件夹加密可以给你的文件多一层保护。6锁住注册表在Windows2000中，只有Administrators和BackupOperators才有从网络上访问注册表的权限。当帐号的密码泄漏以后，黑客也可以在远程访问注册表，当服务器放到网络上的时候，一般需要锁定注册表。修改Hkey_current_user下的子键Software\microsoft\windows\currentversion\Policies\system

把DisableRegistryTools的值该为0，类型为DWORD，如图7-21所示。7关机时清除文件页面文件也就是调度文件，是Windows2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中可能含有另外一些敏感的资料。要在关机的时候清楚页面文件，可以编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键：SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPageFileAtShutdown的值设置成1，如图7-22所示。8禁止软盘光盘启动一些第三方的工具能通过引导系统来绕过原有的安全机制。比如一些管理员工具，从软盘上或者光盘上引导系统以后，就可以修改硬盘上操作系统的管理员密码。如果服务器对安全要求非常高，可以考虑使用可移动软盘和光驱，把机箱锁起来仍然不失为一个好方法。9使用智能卡对于密码，总是使安全管理员进退两难，容易受到一些工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。10使用IPSec正如其名字的含义，IPSec提供IP数据包的安全性。IPSec提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。11禁止判断主机类型黑客利用TTL（Time-To-Live，活动时间）值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。许多入侵者首先会Ping一下主机，因为攻击某一台计算机需要根据对方的操作系统，是Windows还是Unix。如过TTL值为128就可以认为你的系统为Windows2000，如图7-23所示。从图中可以看出，TTL值为128，说明改主机的操作系统是Windows2000操作系统。表7-6给出了一些常见操作系统的对照值。操作系统类型TTL返回值Windows2000128WindowsNT107win9x128or127solaris252IRIX240AIX247Linux241or240修改TTL的值，入侵者就无法入侵电脑了。比如将操作系统的TTL值改为111，修改主键HKEY_LOCAL_MACHINE的子键：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS新建一个双字节项，如图7-24所示。在键的名称中输入“defaultTTL”，然后双击改键名，选择单选框“十进制”，在文本框中输入111，如图7-25所示。设置完毕重新启动计算机，再用Ping指令，发现TTL的值已经被改成111了，如图7-26