第5章操作系统安全基础案例.ppt

  1. 1、本文档共120页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
7 关机时清除文件 页面文件也就是调度文件,是Windows 2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。 一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中可能含有另外一些敏感的资料。要在关机的时候清楚页面文件,可以编辑注册表 修改主键HKEY_LOCAL_MACHINE下的子键: SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management 把ClearPageFileAtShutdown的值设置成1,如图7-22所示。 8 禁止软盘光盘启动 一些第三方的工具能通过引导系统来绕过原有的安全机制。比如一些管理员工具,从软盘上或者光盘上引导系统以后,就可以修改硬盘上操作系统的管理员密码。 如果服务器对安全要求非常高,可以考虑使用可移动软盘和光驱,把机箱锁起来仍然不失为一个好方法。 9 使用智能卡 对于密码,总是使安全管理员进退两难,容易受到一些工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。 如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。 10 使用IPSec 正如其名字的含义,IPSec提供IP数据包的安全性。 IPSec提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。 利用IPSec可以使得系统的安全性能大大增强。 11 禁止判断主机类型 黑客利用TTL(Time-To-Live,活动时间)值可以鉴别操作系统的类型,通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。 许多入侵者首先会Ping一下主机,因为攻击某一台计算机需要根据对方的操作系统,是Windows还是Unix。如过TTL值为128就可以认为你的系统为Windows 2000,如图7-23所示。 从图中可以看出,TTL值为128,说明改主机的操作系统是Windows 2000操作系统。表7-6给出了一些常见操作系统的对照值。 操作系统类型 TTL返回值 Windows 2000 128 Windows NT 107 win9x 128 or 127 solaris 252 IRIX 240 AIX 247 Linux 241 or 240 修改TTL的值,入侵者就无法入侵电脑了。比如将操作系统的TTL值改为111,修改主键HKEY_LOCAL_MACHINE的子键: SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS 新建一个双字节项,如图7-24所示。 在键的名称中输入“defaultTTL”,然后双击改键名,选择单选框“十进制”,在文本框中输入111,如图7-25所示。 设置完毕重新启动计算机,再用Ping指令,发现TTL的值已经被改成111了,如图7-26所示。 12 抵抗DDOS 添加注册表的一些键值,可以有效的抵抗DDOS的攻击。在键值[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加响应的键及其说明如表7-7所示。 增加的键值 键值说明 EnablePMTUDiscovery=dwordNoNameReleaseOnDemand=dwordKeepAliveTime=dwordPerformRouterDiscovery=dword基本设置 EnableICMPRedirects=dword防止ICMP重定向报文的攻击 SynAttackProtect=dword防止SYN洪水攻击 TcpMaxHalfOpenRetried=dword仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施 TcpMaxHalfOpen=dwordIGMPLevel=dword不支持IGMP协议 EnableDeadGWDetect=dword禁止死网关监测技术 IPEnableRouter=dword支持路由功能 13 禁止Guest访问日志 在默认安装的Windows NT和Windows 2000中,Guest帐号和匿名用户可以查看系统的事件日志,可能导致许多重要信息的泄漏,修改注册表来禁止Guest访问事件日志。 禁止Guest访问应用日志 HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont

文档评论(0)

1112111 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档