第11讲 操作系统安全配置剖析.ppt

文件加密系统 §9.4 安全配置高级篇 文件加密系统 证书导入完成后，该用户成为加密文件的授权用户，可以打开EFS加密文件了。 §9.4 安全配置高级篇 加密Temp文件夹 一些应用程序在安装和升级的时候，会把一些东西拷贝到Temp文件夹，但是当程序升级完毕或关闭的时候，并不会自己清除Temp文件夹的内容。 所以，给Temp文件夹加密可以给你的文件多一层保护。 一般在C盘根目录下和Windows目录或Winnt目录下都会有一个Temp文件夹，最好将其加密。 §9.4 安全配置高级篇 锁住注册表 在Windows2000中，只有Administrators和Backup Operators才有从网络上访问注册表的权限。当帐号的密码泄漏以后，黑客也可以在远程访问注册表，当服务器放到网络上的时候，一般需要锁定注册表。修改Hkey_current_user\Software\microsoft\windows\ currentversion\Policies\system把DisableRegistryTools的值该为0，类型为DWORD §9.4 安全配置高级篇 关机时清除文件 页面文件也就是调度文件，是Windows 2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。 一些第三方程序可以把一些没有加密的密码存在内存中，页面文件中可能含有另外一些敏感的资料。 在关机的时候清除页面文件，可以编辑注册表，修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management，把ClearPageFileAtShutdown的值设置成1，如图 §9.4 安全配置高级篇 禁止软盘光盘启动 一些第三方的工具能通过引导系统来绕过原有的安全机制。比如一些管理员工具，从软盘上或者光盘上引导系统以后，就可以修改硬盘上操作系统的管理员密码。 如果服务器对安全要求非常高，可以考虑使用可移动软盘和光驱，把机箱锁起来仍然不失为一个好方法。 §9.4 安全配置高级篇 使用智能卡 对于密码，总是使安全管理员进退两难，容易受到一些工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。 如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。 §9.4 安全配置高级篇 使用IPSec 正如其名字的含义，IPSec提供IP数据包的安全性。 IPSec提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。 利用IPSec可以使得系统的安全性能大大增强。 如果条件允许，可以使用VPN里的IPSec来加密传输信息 §9.4 安全配置高级篇 禁止通过TTL判断主机类型 黑客利用TTL（Time-To-Live，活动时间）值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。 许多入侵者首先会Ping一下主机，因为攻击某一台计算机需要根据对方的操作系统，是Windows还是Unix。如果TTL值为128就可以认为你的系统为Windows 2000 §9.4 安全配置高级篇 开启审核策略 安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对系统进行某种方式（如尝试用户密码，改变帐户策略和未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。 表中的审核是必须开启的， 其他可以根据需要增加 §9.3 安全配置中级篇 成功，失败 审核系统事件 成功，失败 审核特权使用 成功，失败 审核策略更改 成功 审核对象访问 成功，失败 审核登陆事件 成功，失败 审核帐户管理 成功，失败 审核系统登陆事件 设置 策略 开启审核策略 审核策略在默认的情况下都是没有开启的，如图 §9.3 安全配置中级篇 开启审核策略 双击审核列表的某一项，出现设置对话框，将复选框 “成功”和“失败”都 选中，如图 §9.3 安全配置中级篇 开启密码策略 密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。 设置选项如图 §9.3 安全配置中级篇 开启帐户策略 开启帐户策略可以有效的防止字典式攻击 设置选项如图 §9.3 安全配置中级篇 备份敏感文件 把敏感文件存放在另外的文件服务器中，虽然服务器的硬盘容量都很大，但是还是应该考虑把一些重要的用户数据（文件，数据表和项目文件等）存放在另外一个安全的服务器中，并且经常备份它们 §9.3 安全配置中级篇 不显示上次登录名 默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户名，本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名，进而做密码猜测。 修改注册表，在HK