信息安全原理与实践教程第3章.pptx

第3章 Windows系统安全加固 ;3.1 Windows操作系统安全综述 ;　　提到系统安全，就不得不说EFS的概念。EFS(Encrypting File System，加密文件系统)是Windows系统中的一项功能，针对NTFS分区中的文件和数据，用户都可以直接加密，从而达到快速提高数据安全性的目的。 　　用户帐户安全是计算机安全设置的重要对象，许多安全功能的实现都是基于用户帐户实现的，如文件访问权限设置、用户环境设置等。在独立计算机上，系统管理员帐户可以完全控制其他普通用户帐户，包括创建、禁用、删除等；在域环境中，域管理员可以通过为不同的用户帐户赋予指定的操作和访问权限，以维护整个网络的安全。;　　端口是计算机与外界通讯的渠道，它像一道道门一样控制着数据与指令的传输，但端口有时会被许多蠕虫病毒利用。对于原本脆弱的Windows系统来说，有必要把一些危险而又不经常使用的端口关闭或是封锁，以保证信息安全。 　　下面我们就逐一介绍有关Windows系统安全的问题，当然不可能面面俱到，感兴趣的读者可以根据自己的实际情况深入研究。 ;3.2 注册表配置实验;　　2. 实验原理 　　注册表是Windows中一个重要的系统数据库，它用于存储系统和应用程序的设置信息。系统设置和缺省用户配置数据存放在“系统\系统文件夹\SYSTEM32\CONFIG”文件夹下，包括6个文件：DEFAULT、SAM、SECURITY、SOFTWARE、USERDIFF和SYSTEM。用户的配置信息存放在系统所在磁盘的“\Documents and Setting\”文件夹下，包括ntuser.dat、ntuser.ini、ntuser.dat.log。;　　注册表由键(项)、子键(子项)和值项构成。 　　一个键就是分支中的一个文件夹，而子键就是这个文件夹中的子文件夹，子键同样是一个键；一个值项则是一个键的当前定义，由名称、数据类型以及分配的值组成。一个键可以有一个或多个值，每个值的名称各不相同，如果一个值的名称为空，则该值为该键的默认值。 ;　　3. 实验环境 　　基于Windows XP或Windows 2003等的操作系统。 　　4. 实验内容 　　1) 打开注册表编辑器 　　注册表的配置管理是通过注册表编辑器来完成的。依次单击“开始→运行”，输入“regedit”即可进入注册表编辑器，注册表编辑器的界面如???3.1所示。 ;;　　注册表可以导出为一个reg注册表文件，也可以把注册表文件导入到注册表中。“导入/导出”功能归属在文件菜单下，如图3.2所示。;　　注册表项和子项的新建、删除、修改权限、查找等功能可以通过编辑菜单完成，如图3.3所示，也可以通过点击鼠标右键完成。;　　收藏夹菜单下可收藏注册表项，以便快速到达以前浏览的注册表项。当然也可以删除收藏的注册表项，如图3.4所示。;　　2) 注册表安全配置 　　对注册表项进行合理的设置可以提高系统的安全性，当然前提是应以管理员权限登录。注册表的安全配置主要包括以下内容。 　　(1) 禁止远程修改注册表。 　　Windows 2000/XP支持通过网络使用注册表编辑器对注册表的数据进行修改，默认的系统配置下，用户可以进行远程操作。为了提高系统的安全性，避免自己机器的注册表被他人通过网络修改，可以禁用此功能。具体操作步骤如下： ;　　第1步：打开注册表编辑器。 　　第2步：?选择子键　　　 HKEY_LOCAL_MACHINE\system\CurrentControlSet\control\SecurePipe Servers\winreg。 　　第3步：在右侧窗口中新建一个数据类型为DWORD的键值项，命名为“RemoteReg Access”，将数值设为“1”即可。 ;　　(2) 设置密码的安全要求。 　　Windows系统在默认配置下允许使用任何字符或字符串作为密码，其中可包括空格、符号或数字等。然而普通用户往往只使用字母来组成密码，但这样的密码容易被破解，因此，可以通过修改注册表来使用户设定的密码中必须同时包含字母和数字，从而增强系统的安全性能。具体操作步骤如下：;　　第1步：打开注册表编辑器。 　　第2步：选择子键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Policies。 　　第3步：在Policies子键下新建一个数据类型为DWORD的键值项，命名为“AlphanumPwds”，然后将其键值设为“1”。 　　第4步：完成设置后，重新启动计算机使设置生效。 ;　　(3) 禁止密码缓存。 　　通常Windows系统会将用户输入的密码保存在特定的缓存中，当用户再次输入密码时，系统会自动进行匹配以检验用