课件10信息安全技术第十讲 操作系统安全配.ppt

文件加密系统 选中用于EFS的证书，单击右键，在弹出菜单中单击“所有任务”，在展开菜单中单击“导出” §10.4 安全配置高级篇 文件加密系统 §10.4 安全配置高级篇 文件加密系统 §10.4 安全配置高级篇 文件加密系统 切换用户，同样进入下图界面，选择“导入” §10.4 安全配置高级篇 文件加密系统 §10.4 安全配置高级篇 文件加密系统 证书导入完成后，该用户成为加密文件的授权用户，可以打开EFS加密文件了。 §10.4 安全配置高级篇 加密Temp文件夹 一些应用程序在安装和升级的时候，会把一些东西拷贝到Temp文件夹，但是当程序升级完毕或关闭的时候，并不会自己清除Temp文件夹的内容。 所以，给Temp文件夹加密可以给你的文件多一层保护。 一般在C盘根目录下和Windows目录或Winnt目录下都会有一个Temp文件夹，最好将其加密。 §10.4 安全配置高级篇 锁住注册表 在Windows2000中，只有Administrators和Backup Operators才有从网络上访问注册表的权限。当帐号的密码泄漏以后，黑客也可以在远程访问注册表，当服务器放到网络上的时候，一般需要锁定注册表。修改Hkey_current_user\Software\microsoft\windows\ currentversion\Policies\system把DisableRegistryTools的值改为1，类型为DWORD §10.4 安全配置高级篇 关机时清除文件 页面文件也就是调度文件，是Windows 2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。 一些第三方程序可以把一些没有加密的密码存在内存中，页面文件中可能含有另外一些敏感的资料。 在关机的时候清除页面文件，可以编辑注册表，修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management，把ClearPageFileAtShutdown的值设置成1，如图 §10.4 安全配置高级篇 禁止软盘光盘启动 一些第三方的工具能通过引导系统来绕过原有的安全机制。比如一些管理员工具，从软盘上或者光盘上引导系统以后，就可以修改硬盘上操作系统的管理员密码。 如果服务器对安全要求非常高，可以考虑使用可移动软盘和光驱，把机箱锁起来仍然不失为一个好方法。 §10.4 安全配置高级篇 使用智能卡 对于密码，总是使安全管理员进退两难，容易受到一些工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。 如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。 §10.4 安全配置高级篇 使用IPSec 正如其名字的含义，IPSec提供IP数据包的安全性。 IPSec提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。 利用IPSec可以使得系统的安全性能大大增强。 如果条件允许，可以使用VPN里的IPSec来加密传输信息 §10.4 安全配置高级篇 禁止通过TTL判断主机类型 黑客利用TTL（Time-To-Live，活动时间）值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。 许多入侵者首先会Ping一下主机，因为攻击某一台计算机需要根据对方的操作系统，是Windows还是Unix。如果TTL值为128就可以认为你的系统为Windows 2000 §10.4 安全配置高级篇 禁止通过TTL判断主机类型 修改TTL的值，入侵者就无法入侵电脑了。比如将操作系统的TTL值改为111，修改HKEY_LOCAL_MACHINE\ SYSTEM\CURRENT_CONTROLSET\SERVICES\ TCPIP\PARAMETERS，新建一个双字节项，如图 §10.4 安全配置高级篇 禁止通过TTL判断主机类型 在键的名称中输入“defaultTTL”，然后双击改键名，选择单选框“十进制”，在文本框中输入111，如图 §10.4 安全配置高级篇 禁止通过TTL判断主机类型 设置完毕重新启动计算机，再用Ping指令，发现TTL的值已经被改成111了，如图 §10.4 安全配置高级篇 抵抗DDOS 添加注册表的一些键值，可以有效的抵抗DDOS的攻击。在键值HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\Tcpip\Parameters下增加响应的键及其说明如表 §10.4 安全配置高级篇 抵抗DDOS 支持路由功能 IPEnableRouter=dword禁止死网关监测技术