网络安全理论与技术（第二十讲）.pptVIP

9 禁止建立空连接 默认情况下，任何用户通过空连接连上服务器，进而可以枚 举出帐号，猜测密码。 可以通过修改注册表来禁止建立空连接。在 HKEY_LOCAL_MACHINE主键下修改子键： System\CurrentControlSet\Control\LSA\RestrictAnony mous，将键值改成“1”即可。如图所示。 2008-5-29 系统平台安全 32/61 10 下载最新的补丁 很多网络管理员没有访问安全站点的习惯，以至于一 些漏洞都出了很久了，还放着服务器的漏洞不补给人 家当靶子用。 谁也不敢保证数百万行以上代码的Windows 2000不 出一点安全漏洞。 经常访问微软和一些安全站点，下载最新的Service Pack和漏洞补丁，是保障服务器长久安全的唯一方法。 2008-5-29 系统平台安全 33/61 Windows系统安全应用案例 安全配置方案高级篇 高级篇介绍操作系统安全信息通信配置，包 括十四条配置原则： 关闭DirectDraw、关闭默认共享 禁用Dump File、文件加密系统 加密Temp文件夹、锁住注册表、关机时清除文件 禁止软盘光盘启动、使用智能卡、使用IPSec 禁止判断主机类型、抵抗DDOS 禁止Guest访问日志和数据恢复软件 2008-5-29 系统平台安全 34/61 1 关闭DirectDraw C2级安全标准对视频卡和内存有要求。关闭DirectDraw可能对 一些需要用到DirectX的程序有影响（比如游戏），但是对于绝 大多数的商业站点都是没有影响的。 在HKEY_LOCAL_MACHINE主键下修改子键： SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI \Timeout，将键值改为“0”即可，如图所示。 2008-5-29 系统平台安全 35/61 2 关闭默认共享 Windows 2000安装以后，系统会创建一些隐藏的共享，可 以在DOS提示符下输入命令Net Share 查看，如图所示。 2008-5-29 系统平台安全 36/61 停止默认共享 禁止这些共享，打开管理工具计算机管理共享文件 夹共享，在相应的共享文件夹上按右键，点停止共享 即可，如图所示。 2008-5-29 系统平台安全 37/61 3 禁用Dump文件 在系统崩溃和蓝屏的时候，Dump文件是一份很有用 资料，可以帮助查找问题。然而，也能够给黑客提供 一些敏感信息，比如一些应用程序的密码等 需要禁止它，打开控制面板系统属性高级启动和故 障恢复，把写入调试信息改成无，如图所示。 2008-5-29 系统平台安全 38/61 4 文件加密系统 Windows2000强大的加密系统能够给磁盘，文件夹， 文件加上一层安全保护。这样可以防止别人把你的硬 盘挂到别的机器上以读出里面的数据。 微软公司为了弥补Windows NT 4.0的不足，在 Windows 2000中，提供了一种基于新一代NTFS： NTFS V5（第5版本）的加密文件系统（Encrypted File System，简称EFS）。 EFS实现的是一种基于公共密钥的数据加密方式，利 用了Windows 2000中的CryptoAPI结构。 2008-5-29 系统平台安全 39/61 5 加密Temp文件夹 一些应用程序在安装和升级的时候，会把一些东西拷贝 到Temp文件夹，但是当程序升级完毕或关闭的时候， 并不会自己清除Temp文件夹的内容。 所以，给Temp文件夹加密可以给你的文件多一层保护。 2008-5-29 系统平台安全 40/61 6 锁住注册表 在Windows2000中，只有Administrators和Backup Operators才有从 网络上访问注册表的权限。当帐号的密码泄漏以后，黑客也可以在远程 访问注册表，当服务器放到网络上的时候，一般需要锁定注册表。修改 Hkey_current_user下的子键 Software\microsoft\windows\currentversion\Policies\system 把DisableRegistryTools的值该为0，类型为DWORD，如图所示。 2008-5-29 系统平台安全 41/61 7 关机时清除文件 页面文件也就是调度文件，是Windows 2000用来存储没有装入内存的 程序和数据文件部分的隐藏文件。 一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件 中可能含有另外一些敏感的资料。要在关机的时候清楚页面文件，可以 编辑注