[高等教育]第17.pptVIP

　　(13) 安装第三方防护软件。针对Windows系统的特定安全问题，安装第三方防护软件，如杀毒软件、个人防火墙和入侵检测系统。 17.4 Windows 2000系统安全增强实例 17.4.1 系统启动安全增强 　　非法用户若能以软盘及光盘启动计算机，那他就可以随意在DOS状态下对系统进行攻击，因此，用户必须关闭软盘及光盘的启动功能。设置方法如下： 　　启动计算机，在系统自检时进入系统的CMOS设置功能，然后将系统的启动选项设置为“Conly”(即仅允许从C盘启动)，同时为COMS设置必要的密码。 17.4.2 帐号与口令管理安全增强 　　在很多时候，用户帐号与口令是攻击者入侵系统的突破口，系统的帐号越多，攻击者得到合法用户的权限的可能性就越大。因此，为了增强Windows 2000的安全，应加强对用户帐号与口令的安全管理，具体安全增强措施如下: 　　(1) 停用Guest帐号。在计算机管理的用户里面把guest帐号停用，任何时候都不允许guest帐号登录系统。另外，最好给guest 加一个复杂的口令。 　　(2) 限制不必要的用户数量。去掉所有的duplicate user 帐号，测试用帐号，共享帐号，普通部门帐号等。给用户组策略设置相应的权限，并且经常检查系统的帐号，删除已经不再使用的帐号。 　　(3) 把系统的Administrator帐号改名。把Administrator帐号换成不易猜测到的帐号名，这样可以有效地防止口令尝试攻击。注意，请不要使用Admin之类的名字。 　　(4) 创建一个陷阱帐号。创建一个名为“Administrator”的本地帐号，把它的权限设置成最低，并且加上一个超过10位的复杂口令。这样可以增加攻击者的攻击强度，并且可以借此发现他们的入侵企图。 　　(5) 设置安全复杂的口令。设置安全复杂的口令，使得攻击者在短时间内无法破解出来，并且定期更换口令。 　　(6) 设置屏幕保护口令。设置屏幕保护口令是防止内部人员攻击的一个屏障。 　 　　(7) 不让系统显示上次登录的用户名。默认情况下，终端服务接入服务器时，登录对话框中会显示上次登录的帐号名，本地的登录对话框也是一样。这使得攻击者可以很容易地得到系统的一些用户名，进而作口令猜测。为增强系统安全，通过修改注册表，可以不让对话框里显示上次登录的用户名，具体修改操作是： HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserNam下，把REG_SZ的键值改成“1”。 (8) 开启口令安全策略： 　　策略 　设置 口令复杂性要求 启用 口令长度 最小值6位 强制口令 历史5次 强制口令 历史42天 (9) 开启帐号策略： 策略　 　　　　设置 复位帐号锁定 计数器20分钟 帐号锁定时间 20分钟 帐号锁定阈值 3次 17.4.3 安装最新系统补丁 　　攻击者常利用系统的漏洞来进行入侵，因此，必须密切注意微软或其他网站发布的漏洞和补丁信息，给系统及时安装上最新的补丁，这样有助于保护操作系统免受新出现的攻击方法和新漏洞的危害。 17.4.4 网络安全增强 　　1．禁止建立空连接 　　默认情况下，任何用户可以通过空连接连上服务器，进而枚举出帐号，猜测口令。禁止建立空连接的方法是修改注册表LSA-RestrictAnonymous的键值为1，操作如下： 　　将Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成“1”即可，如图17-4所示。 图17-4 禁止建立空连接的键值设置 　　2．关闭默认共享 　　Windows 2000安装好以后，系统会创建一些隐藏的共享，用户可以在命令窗口下用NET SHARE查看。要禁止这些共享，操作的方法是：打开管理工具→计算机管理→共享文件夹→共享，在相应的共享文件夹上按右键，点停止共享即可。 　　3．关闭不必要的网络服务和网络端口 　　网络服务和端口的开放就意味着增加了系统的安全风险，为此，应尽量避免打开不需要的网络服务和网络端口。可以使用Windows 2000的“TCP/IP筛选”机制关闭服务和端口。若开放Web服务器，则只允许TCP 80号端口的外部连接请求，即将“TCP端口”栏设定成80。对“TCP/IP筛选”操作的方法如下： 　　在“本地连接 属性”对话框中，双击“Internet协议(TCP/IP)”后，按下对话框右下侧的“高级”按钮；然后依次选择“高级TCP/IP设置”→“选项”→“TCP/IP筛选”，将弹出“TCP/IP筛选