在弹出的对话框中选择安全.ppt

第3章 操作系统安全技术 ;第3章 操作系统安全技术 ;第3章 操作系统安全技术 ;1、重命名和禁用默认的账户 2、可靠的密码 密码策略： 开始菜单中打开“运行”对话框，输入“secpol.msc”打开“本地安全设置”窗口 ，展开“账户策略”，单击“密码策略” ，右侧有6项关于密码的设置策略 给账户双重加密 ： 在开始菜单中打开“运行”对话框，输入“syskey” ;1、查看当前链接的端口 netstat –na 2、查看链接端口的宿主 netstat –nab 如本机在135端口监听，由“svchost.exe”程序创建的，该程序一共调用了组件（WS2_32.dll等） ;3、关闭不需要的端口 右键单击“本地连接”，选择“属性”，打开“本地连接属性”对话框，然后在“常规”选项卡里双击“Internet协议（TCP/IP）”，弹出“Internet协议（TCP/IP）属性”对话框，单击下面的“高级”按钮，弹出“高级TCP/IP设置”对话框，选择“选项”选项卡，如图所示。再单击“属性”按钮，弹出“TCP/IP筛选”对话框 。选中“只允许”单选框，添加TCP、UDP和IP等网络协议允许的端口;4、关闭不需要的服务 5、禁止远程协助 取消“允许从这台计算机发送远程协助邀请” ;6、终端服务 （1）禁用“终端服务”。在“远程”选项卡里取消“允许用户远程连接到此计算机”。 （2）更改“终端服务”监听端口在注册表编辑器中，按照HKEY_ LOCAL_MACHINE\SYSTEM\Current ControlSet\Control\TerminalServer\WinStations\ RDP-Tcp路径找到“PortNumber”=dword将端口值更改为5858 （任意指定）;IPC$功能 对于Windows NT操作系统，在默认安全设置下，借助空连接可以列举目标主机上的用户和共享，访问Everyone权限的共享，访问小部分注册表等。 防范IPC默认共享 第1步：将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous项设置为1 ;第2步：将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanman Server\Parameters的AutoShareServer项设置为0 第3步：将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanman Server\Parameters的AutoShareWks项设置为0 另外，也可永久关闭IPC$和默认共享所依赖的服务：lanmanserver（server）。 ;7、IP安全策略 默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。 为了安全，应应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口： ;依次选择“开始”→“设置”→“控制面板”→“性能和维护”→“管理工具”菜单命令，双击“本地安全策略”图标，打开“本地安全设置”窗口，选中“IP安全策略，在本地计算机”，然后在右边窗格的空白处右键单击鼠标，再右键菜单选择“创建IP安全策略”，弹出“IP安全策略向导”对话框， 以关闭135端口为例;打开Internet Explorer，依次选择“工具”→“Internet选项”，打开“Internet选项”对话框，选择“安全”选项卡;打开图中的“高级”选项卡 ，进行安全配置;注册表中与IE相关的设置 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\ ;3.2.4 Windows 权限;（1）NTFS权限。 只要是在NTFS分区上的文件夹或文件，无论是否被共享，都具有此权限。此权限对于使用FAT16/FAT32分区上的文件与文件夹无效。 NTFS权限有两大要素：一是标准访问权限；二是特别访问权限。 标准访问权限将一些常用的系统权限选项比较笼统地组成7组权限，分别是：完全控制、修改、读取和运行、列出文件夹目录、读取、写入、特别的权限。;① 设置标准访问权