[精选]《网络安全实用教程》配套(人民邮电出版)ch2.pptx

第第 2章章 网络操作系统平安网络操作系统平安本章有三小节本章有三小节2.1 2.1 常用的网络操作系统简介常用的网络操作系统简介2.2 2.2 操作系统平安与访问控制操作系统平安与访问控制2.3 2.3 网络操作系统的平安设置实例网络操作系统的平安设置实例2.1 2.1 常用的网络操作系统简介常用的网络操作系统简介l目前较常用的网络操作系统有Unix、Linux、Windows NT/2000/2003等，它们都是属于C2平安级别的操作系统。2.1.1 Windows NT2.1.1 Windows NTWindows NTNew Technology是由Microsoft于1993年推出的网络操作系统，其中较为成熟的版本是1996年推出的NT4.0。Windows NT是一个图形化、多用户、多任务的网络操作系统，具有强大的网络管理功能。l与其后的网络操作系统不同的是，Windows NT具有效劳器版本Windows NT Server和工作站版本Windows NT Workstation。效劳器版本使用在效劳器上，工作站版本使用在工作站客户机上。2.1.2 Windows 2000/20032.1.2 Windows 2000/2003 1 1、Windows 2000Windows 2000lWindows 2000操作系统集成了Windows 98和Windows NT4.0的优点，并且在很多方面做了改进，使得Windows 2000在功能上、平安性上都得到了很大的提高。lWindows 2000包括Windows 2000 Professional、Windows 2000 Server、Windows 2000 Advanced Server和Windows 2000 Datacenter四个版本，其中Windows 2000 Professional属于单机操作系统，而其他几种则属于网络操作系统。l活动目录是Windows 2000新增加的功能。活动目录是指一种可扩展的、可分布在多台效劳器的数据库，在这个数据库中存储了系统的账户信息。用户不管在哪一台客户机上登录效劳器，所得到的效劳都是一样的。lWindows 2000还增加了多项网络效劳，如虚拟专用网VPN技术、路由与远程访问功能和网络地址转换NAT功能等。2 2、Windows 2003Windows 2003Windows 2003是Microsoft推出的又一款网络操作系统，与Windows 2000不同的是Windows 2003只有网络版操作系统，一般称之为Windows Server 2003。Windows Server 2003的具体版本可分为Web、Standard、Enterprise和Datacenter版。Windows 2003总体上比Windows 2000更平安、更可靠，并且增加了一些新的效劳功能，是“.NET技术的应用。l在平安性方面，Windows 2003填补了Windows 2000的很多系统漏洞，如输入法漏洞、IIS漏洞和Printer漏洞等。lWindows 2003的IIS也升级为6.0，相比Windows 2000的IIS5.0更平安可靠并且提高了管理性能。2.1.3 Unix 2.1.3 Unix 和和 Linux Linux 1 1、UnixUnix系统系统Unix操作系统是由 贝尔实验室在上世纪60年代末开发成功的网络操作系统，一般用于大型机和小型机上，较少用于微机。由于各大厂商对Unix系统的开发，Unix形成了多种版本，如IBM公司的AIX系统、HP公司的HP-UX系统、SUN公司的Solaris系统等。lUnix系统在20世纪70年代用C语言进行了重新编写，提高了Unix系统的可用性和可移植性，使之得到了广泛的应用。Unix系统的主要特点：1.高可靠性。2.极强的伸缩性。3.强大的网络功能。4.开放性。2 2、LinuxLinux系统系统lLinux系统是类似于Unix系统的自由软件，主要用于基于Intel x86 CPU的计算机上。lLinux系统的主要特点：1完全免费。2良好的操作界面。3强大的网络功能。2 22 2 操作系统平安与访问控制操作系统平安与访问控制2.2.1 2.2.1 网络操作系统平安网络操作系统平安1 1、主体和客体主体和客体1 1主体：主体：主体是指行为动作的主要发动者或施行者，包括用户、主机、程序进程等。作为用户这个主体，为了保护系统的平安，必须保证每个主体的唯一性和可验证性。2 2客体：客体：客体是指被主体所调用的对象，如程序、数据等。在操作系统中，任何客体都是为主体效劳的，而任何操作都是主体对客体进行的。在平安操作系统中必须要确认主体的平安性，同时也必须确认主体对客体操作的平安性。2 2、平安策略与平安模型平安策略与平安模型1 1平安策略：平安策略：平安策略是指使计算机系统平安的实施规则。2 2平安模型平安模型：平安模型是指使计算机系统平安的一些抽象的描述和平安框架。3 3、可信计算基可信计算基可信计算基Trusted puting Base是指构成平安操作系统的一系列软件、硬件和信息平安管理人员的集合，只有这几方面的结合才能真正保证系统的平安。4 4、网络操作系统的平安机制网络操作系统的平安机制1硬件平安：硬件平安：硬件平安是网络操作系统平安的基础。2平安标记：平安标记：l对于系统用户而言，系统必须有一个平安而唯一的标记。在用户进入系统时，这个平安标记不仅可以判断用户的合法性，而且还应该防止用户的身份被破译。3访问控制：访问控制：在合法用户进入系统后，平安操作系统还应该能够控制用户对程序或数据的访问，防止用户越权使用程序或数据。4最小权力：最小权力：操作系统配置的平安策略使用户仅仅能够获得其工作需要的操作权限。5平安审计：平安审计：平安操作系统应该做到对用户操作过程的记录、检查和审计。2.2.2 2.2.2 网络访问控制网络访问控制1 1、访问控制的基本概念访问控制的基本概念访问控制Access Control是指定义和控制主体对客体的访问权限，具体可分为身份验证和授权访问。2 2、访问控制的分类访问控制的分类l访问控制一般可分为自主访问控制 Discretionary Access Control 强制访问控制Mandatory Access Control 2.2.3 2.2.3 网络操作系统漏洞与补丁程序网络操作系统漏洞与补丁程序网络系统漏洞是指网络的硬件、软件、网络协议以及系统平安策略上的缺陷，黑客可以利用这些缺陷在没有获得系统许可的情况下访问系统或破坏系统。1 1、漏洞的类型漏洞的类型1从漏洞形成的原因分类程序逻辑结构漏洞程序设计错误漏洞 协议漏洞 人为漏洞2从漏洞是否为人们所知分类l漏洞l未知漏洞l0day漏洞2 2、Windows NTWindows NT的典型漏洞的典型漏洞1账户数据库漏洞账户数据库漏洞 在Windows NT操作系统中，用户的信息及口令均保存在SAM Security Accounts Management 平安账户管理数据库中。而SAM数据库允许被Administrator、Administrator组成员、备份操作员、效劳器操作员账户所拷贝。这样的SAM备份数据并不平安，能够被一些工具软件所破译，从而使系统的用户名及密码泄密。l解决措施：严格限制具备数据备份权限的人员账户；对SAM数据库的任何操作进行审计；加强密码的强度，提高密码被破译的难度。SAM账户数据库能够被木马或病毒通过具有备份权限的账户所拷贝。l解决措施：减少有备份权限的账户上网的概率，尽量使用只有普通权限的账户上网。2SMB协议漏洞协议漏洞SMB Server Message Block 效劳器消息块是Microsoft的一种可以读取SAM数据库和其他一些效劳器文件的协议。SMB协议存在较多的漏洞，如不需授权就可以访问SAM数据库、允许远程访问共享目录、允许远程访问Registry数据库；另外，SMB在验证用户身份时使用的是一种很容易被破译的加密算法。解决措施：采取措施关闭135142端口SMB协议需要开启135142端口。3Guest账户漏洞账户漏洞Guest账户如果处于开放状态，那么其它账户可以以Guest账户身份进入系统。解决措施：给Guest账户设置一个复杂的密码或关闭Guest账户。4默认共享连接漏洞默认共享连接漏洞l系统在默认情况下具有共享连接属性，任何用户都可以使用“IPaddessC$、IPaddessD$等方式连接系统的C盘、D盘等。l解决措施：关闭系统的默认共享。5屡次尝试连接次数漏洞屡次尝试连接次数漏洞l默认情况下系统没有对用户连接系统的尝试次数进行限制，用户可以不断地尝试连接系统。l解决措施：使用平安策略，限制连接次数。6显示用户名漏洞显示用户名漏洞l默认情况下系统会显示最近一次登录系统的用户名，这会给非法用户企图进入系统减少了一次平安屏障。因为非法用户尝试进入系统时只要猜测用户密码而不需猜测用户名了。l解决措施：在注册表中修改关于登录的信息，不显示曾经登录的用户名。7打印漏洞打印漏洞l系统中具有打印操作员权限的用户对打印驱动程序具有系统级的访问权限，这会方便黑客通过在打印驱动程序中插入木马或病毒从而控制系统。l解决措施：严格限制打印操作组成员，严格审计事件记录。3 3、Windows 2000Windows 2000的典型漏洞的典型漏洞1登录输入法漏洞登录输入法漏洞l当用户登录进入系统时，可以通过使用输入法的帮助功能绕过系统的用户验证，并且能够以管理员权限访问系统。l解决措施：删除不需要的输入法；删除输入法的相关帮助文件存放在C：WINNThelp下；升级微软的平安补丁。2空连接漏洞空连接漏洞l空连接是指在没有提供用户名与密码的情况下使用匿名用户与效劳器建立的会话。建立空连接以后，攻击者就可以获取用户列表、查看共享资源等，从而为入侵系统做好准备。l解决措施：关闭IPC$共享。3Telnet拒绝效劳攻击漏洞拒绝效劳攻击漏洞l当Telnet启动连接但初始化的对话还未被复位的情况下，在一定的时间间隔内如果连接用户还没有提供登录的用户名及密码，Telnet的对话将会超时，直到用户输入一个字符后连接才会被复位。如果攻击者连接到系统的Telnet守护进程，并且阻止该连接复位，那么他就可以有效地拒绝其他用户连接该Telnet 效劳器，实现拒绝效劳攻击。l解决措施：升级微软的平安补丁。4IIS溢出漏洞溢出漏洞Windows 2000存在IIS溢出漏洞。当使用溢出漏洞攻击工具攻击Windows时，会使Windows开放相应的端口，从而使系统洞开，易于被攻击。解决措施：升级微软的专用平安补丁。5Unicode漏洞漏洞lUnicode漏洞是属于字符编码的漏洞，是由于Windows 2000在处理双字节字符时所使用的编码格式与英文版本不同所造成的。由于IIS不对超长序列进行检查，因此在URL中添加超长的Unicode序列后，可绕过Windows平安检查。l解决措施：升级微软的专用平安补丁。6IIS验证漏洞验证漏洞lIIS提供了Web、FTP和Mail等效劳，并支持匿名访问。当Web效劳器验证用户失败时，将返回“401 Access Denied信息。如效劳器支持基本认证，攻击者可将主机头域置空后，Web效劳器返回包含内部地址的信息，因此，可利用该问题对效劳器的用户口令进行暴力破解。l解决措施：设置账号平安策略防止暴力破解。7域账号锁定漏洞域账号锁定漏洞l在使用NTLMNT LAN Manager认证的域中，Windows 2000主机无法识别针对本地用户制订的域账号锁定策略，使穷举密码攻击成为可能。l解决措施：安装微软的平安升级包。8ActiveX控件漏洞控件漏洞lActiveX 控件主要用于支持基于网络的信用注册。当该控件被用于提交“PKCS#10的信用请求，并在请求得到许可后，将被存放于用户信用存储区。该控件可使网页通过复杂的过程来删除用户系统的信用账号。攻击者还可建立利用该漏洞的网页，以攻击访问该站点的用户或直接将网页作为邮件发送来攻击。l解决措施：安装微软的平安升级包。4 4、Windows XPWindows XP的典型漏洞的典型漏洞1升级程序带来的漏洞升级程序带来的漏洞l在将Windows XP升级为Windows XP Pro时，IE6.0会重新安装。但在系统重新安装时会将以前的漏洞补丁程序删除，并且会导致微软的升级效劳器无法判断IE是否有漏洞。l解决措施：及时升级微软的平安补丁。2UPnP效劳漏洞效劳漏洞lUPnP通用即插即用是面向无线设备、PC机和智能应用的效劳。该效劳提供普遍的对等网络连接，在家用信息设备、办公网络设备间提供TCP/IP连接和Web访问功能，并可用于检测和集成 UPnP 硬件。在Windows XP系统中该效劳默认是启用的，而UPnP 协议存在平安漏洞，可使攻击者在非法获取 Windows XP 的系统级访问后发动攻击。l解决措施：禁用UPnP效劳，及时升级微软的平安补丁。3压缩文件夹漏洞压缩文件夹漏洞lWindows XP的压缩文件夹可按攻击者的选择运行代码。在安装“Plus！包的Windows XP系统中，“压缩文件夹功能允许将Zip文件作为普通文件夹处理。这样的处理方法存在着如下两方面的漏洞：l在解压缩Zip文件时会有未经检查的缓冲存在于程序中以存放被解压文件，因此很可能导致浏览器崩溃或攻击者的代码被运行。l解压缩功能可以在非用户指定目录中放置文件，这样可使攻击者在用户系统的位置中放置文件。l解决措施：不下载或拒收不信任的ZIP压缩文件。4效劳拒绝漏洞效劳拒绝漏洞lWindows XP系统支持点对点协议PPTP，该协议是作为远程访问效劳实现的VPN技术协议。由于在控制用于建立、维护和撤除PPTP 连接的代码段中存在未经检查的缓存，导致Windows XP 的实现中存在漏洞。通过向一台存在该漏洞的效劳器发送不正确的 PPTP 控制数据，攻击者可损坏核心内存并导致系统失效，中断所有系统中正在运行的进程。l该漏洞可攻击任何一台提供 PPTP 效劳的效劳器，对于 PPTP客户机，攻击者只需激活PPTP会话即可进行攻击。对遭到攻击的系统，可以通过重启来恢复正常。l解决措施：不启动默认的PPTP协议5Windows Media Player漏洞漏洞Windows Media Player是Windows中的媒体播放软件。在Windows XP系统中，Windows Media Player漏洞主要产生两个问题：一是信息泄漏，它给攻击者提供一种可在用户系统上运行代码的方法；二是脚本执行，当用户选择播放一个特殊的媒体文件，并又浏览一个特殊建造的网页后，攻击者就可利用该漏洞运行脚本。解决措施：将要播放的文件先下载到本地再播放。6VM虚拟机漏洞虚拟机漏洞当攻击者在网站上拥有恶意的“Java applet 并引诱用户访问该站点时，可通过向 JDBC Java DataBase Connectivity 类传送无效的参数使宿主应用程序崩溃，这样，攻击者可以在用户机器上安装任意DLL，并执行任意的本机代码，潜在地破坏或读取内存数据。解决措施：经常进行相关软件的平安更新。7热键漏洞热键漏洞热键是系统为方便用户的操作而提供的效劳功能。但设置热键后，由于Windows XP的自注销功能，可使系统“假注销，其他用户即可通过热键调用程序。虽然无法进入桌面，但由于热键效劳还未停止，仍可使用热键启动应用程序。解决措施：关闭不需要的热键功能；启动屏幕保护功能，并设定密码。8账号快速切换漏洞账号快速切换漏洞Windows XP具有账号快速切换功能，使用户可快速地在不同的账号间进行切换。该切换功能的设计存在问题，使用时易于造成账号锁定，使所有非管理员账号均无法登录。解决措施：禁用账号快速切换功能。5 5、补丁程序补丁程序补丁程序是指对于大型软件系统在使用过程中暴露的问题而发布的解决问题的小程序。1按照对象分类，补丁程序可分为系统补丁和软件补丁。2按照安装方式分类，补丁程序可分为自动更新的补丁和手动更新的补丁。3按照补丁的重要性分类，补丁程序可分为高危漏洞补丁、功能更新补丁和不推荐补丁。2.3 2.3 网络操作系统平安设置实例网络操作系统平安设置实例2.3.1 Windows2.3.1 Windows系统的平安设置系统的平安设置1 1、通过管理电脑属性来实现系统平安通过管理电脑属性来实现系统平安右击“我的电脑，选择“管理，出现如图2.1所示“计算机管理界面。图图2.1 2.1 计算机管理计算机管理1关闭关闭Guest账户账户Guest账户是Windows系统安装后的一个默认账户。客户可以使用该账户，攻击者也可以使用该账户。使用Guest账户连接网络系统时，效劳器不能判断连接者的身份，因此，为了平安起见最好关闭该账户。第1步：在图2.1中，展开“本地用户和组，单击“用户，在右面的窗口中显示目前系统中的用户信息，如图2.2所示，图标上有“的用户表示已经停用。图图2.2 2.2 本地用户信息本地用户信息l第2步：停用Guest账户。右击“Guest，选择“属性，出现“Guest属性窗口；勾选“账户已禁用，点击“确定按钮，Guest账户即被停用图标上有“，如图2.3所示。图图2.3 2.3 停用停用GuestGuest账户账户2修改管理员账户修改管理员账户Windows系统默认的管理员账户是“Administrator且不能删除，在Windows 2000中甚至不能停用。为了减少系统被攻击的风险，将默认的管理员账户改名是很有必要的。右击“Administrator，选择“重命名，在用户名Administrator处出现闪烁的光标，如图2.3所示，即可修改Administrator的名称。必要时，再给Administrator设置一个复杂的密码。3设置陷阱账户设置陷阱账户所谓“陷阱，就像生活中猎人挖的陷阱一样，是专门给猎物预备的。新建一个账户作为陷阱账户，名称就叫做“Administrator，但它不属于管理员组而仅仅是一个有最基本权限的用户，其密码设置得复杂一些。当攻击者检测到系统中有Administrator账户时，就会花大力气去破解，这样网络管理员就可以采取反追踪措施去抓住攻击者，即使Administrator账户被破解也没有关系，因为这个账户根本就没有任何权限。4关闭不必要的效劳关闭不必要的效劳作为网络操作系统，为了提供一定的网络效劳功能，必须要开放一些效劳。从平安角度出发，开放的效劳越少，系统就越平安。因此，有必要将不需要的效劳关闭。展开“计算机管理“效劳和应用程序“效劳，在右面窗口中即可看到系统效劳的内容，如图2.4所示。图图2.4 2.4 效劳名称及状态效劳名称及状态5关闭不必要的端口关闭不必要的端口计算机之间的通信必须要开放相应的端口。但从平安角度考虑，系统开放的端口越少就越平安，因此有必要减少开放的端口，或从效劳器角度出发指定开放的端口。如果不清楚某个端口的作用，可以在Windowssystem32driversetc中找到services文件并使用记事本翻开，就可以得知某项效劳所对应的端口号及使用的协议。l第1步：依次点击“开始“设置“网络连接，右击“本地连接，选择“属性，找到“Internet协议TCP/IP属性，点击“高级按钮；在出现的窗口中，选择“选项子项，如图2.5所示。图图2.52.5 TCP/IP筛选属性筛选属性l第2步：单击“属性按钮，出现如图2.6所示窗口，勾选“启用TCP/IP筛选项。图图2.62.6启用启用TCP/IP 筛选并指定开放端口筛选并指定开放端口l第3步：如果主机是Web效劳器，只开放80端口，则可点击“TCP端口上方的单项选择项“只允许，再单击“添加按钮。在出现的“添加筛选器对话框中填入端口号80，点击“确认按钮即可，如图2.6所示。6设置屏幕保护密码设置屏幕保护密码当网络管理员暂时离开主机时，为了保证系统不被其他人操作，需要设置屏幕保护密码。设置屏幕保护密码的操作如下：右击“桌面空白处，选择“属性，在如图2.7里选择“屏幕保护程序选项卡。在“屏幕保护程序栏的下拉菜单项选择择屏幕保护时采用的程序；在“等待框里输入执行屏幕保护的时间分，并勾选“在恢复时使用密码保护。图图2.7 2.7 设置屏幕保护设置屏幕保护2 2、通过管理组策略来实现系统平安通过管理组策略来实现系统平安翻开组策略：单击“开始“运行，在“运行里输入“gpedit.msc，按“确定按钮后即可出现“组策略编辑器界面，如图2.8所示。图图2.8 2.8 组策略编辑器组策略编辑器1配置系统密码策略配置系统密码策略配置密码策略的目的是使用户使用符合策略要求的密码，以免出现某些用户设置的密码过于简单弱口令等问题。配置系统密码策略的操作如下：第1步：翻开“密码策略。在“组策略编辑器中依次展开“计算机配置“Windows设置“平安设置“账户策略“密码策略，在右侧窗口中显示可进行配置的密码策略，如图2.9所示。图图2.9 2.9 密码策略密码策略l第2步：配置密码复杂性要求。右击“密码必须符合复杂性要求，选择“属性，出现如图2.10所示窗口。点选“已启用，再单击“应用“确定，即可启动密码复杂性设置。图图2.10 2.10 配置密码复杂性配置密码复杂性l第3步：配置密码长度。右击“密码长度最小值，选择“属性，如图2.11所示。输入字符的长度值，再单击“应用“确定即可。图图2.11 2.11 配置密码长度配置密码长度l第4步：配置密码最长使用期限。右击“密码最长存留期，选择“属性，如图2.12所示。输入密码的过期时间本例为30天，系统默认为42天，单击“确定即可。图图2.12 2.12 配置密码使用期限配置密码使用期限l第5步：配置密码最短使用期限。配置“密码最短存留期的方法类似于“密码最长存留期，如图2.13所示。图图2.132.13配置密码最短使用期限配置密码最短使用期限l第6步：配置强制密码历史。右击“强制密码历史，选择“属性，出现如图2.14所示窗口；选择“保存密码历史的数字本例为3，再“确定即可。“强制密码历史的意思是用户在修改密码时必须满足所规定记住密码的个数而不能连续使用旧密码。本例选定“3，说明用户必须在第4次更换密码时才能重复使用第1次使用的密码。图图2.14 2.14 配置密码历史配置密码历史l上述系统“密码策略的各项配置结果如图2.15所示。图图2.15 2.15 密码策略配置结果密码策略配置结果2配置系统账户策略配置系统账户策略第1步：展开账户锁定策略。在“组策略编辑器中依次展开“计算机配置“Windows设置“平安设置“账户策略“账户锁定策略，在右侧窗口中显示可进行配置的账户策略，如图2.16所示。图图2.16 2.16 账户锁定策略账户锁定策略l第2步：配置账户锁定阈值。右击“账户锁定阈值，选择“属性，如图2.17所示。输入无效登录锁定账户的次数，单击“应用“确定即可。图图2.172.17配置账户锁定阈值配置账户锁定阈值l第3步：配置账户锁定时间。右击“账户锁定时间，选择“属性，出现如图2.18所示窗口，设定时间后点击“确定按钮。图图2.182.18配置账户锁定时间配置账户锁定时间l第4步：配置复位账户锁定计数器。右击“复位账户锁定计数器，选择“属性，出现如图2.19所示窗口，设定时间后点击“确定按钮。图图2.192.19配置账户锁定复位时间配置账户锁定复位时间l各项账户锁定策略配置成功后，其配置效果如图2.20所示。图图2.20 2.20 账户锁定策略配置账户锁定策略配置3配置审核策略配置审核策略审核策略是对系统发生的事件或进程进行记录的过程，网络管理员可以根据对事件的记录检查系统发生故障的原因等，这可对维护系统起到参考作用。在“组策略编辑器中依次展开“计算机配置“Windows设置平安设置 本地策略“审核策略，在右侧窗口中显示可进行配置的审核策略。l右击某项策略，如“审核登录事件，选择“属性，出现如图2.21所示属性窗口。勾选所选项，单击“确定按钮。出现如图2.22所示窗口，系统对登录成功和失败的事件都会进行记录。图图2.212.21配置审核登录事件属性配置审核登录事件属性图图2.22 2.22 配置审核事件成功配置审核事件成功4用户权限分配用户权限分配“用户权限分配是对系统中用户或用户组的权限进行分配的策略项。一般情况下可采用默认设置，网络管理员也可根据系统的实际情况进行修改。配置方法：在“组策略编辑器中依次展开“计算机配置“Windows设置“平安设置“本地策略“用户权限分配项，在右侧窗口中显示出系统默认用户组所具有的权限，如图2.23所示。图图2.23 2.23 配置用户权限配置用户权限5配置配置“平安选项平安选项配置方法：在“组策略编辑器中依次展开“计算机配置“Windows设置“平安设置“本地策略“平安选项。不显示系统最后登录的用户账户l默认情况下，系统保存最后一个登录用户的账户。但这样会使非法用户在尝试登录系统时，利用用户账户，只需尝试用户的密码即可，使系统减少了一层平安屏障。可以采用配置平安策略方法使系统不显示最后一个登录系统的用户账户。l右击策略里的“交互式登录：不显示上次的用户名，选择“属性。在出现的窗口中点选“已启用，再点击“应用“确定按钮，该项策略已启用，如图2.24所示。图图2.242.24配置不显示上次用户名属性配置不显示上次用户名属性 配置平安选项，使光驱不能被远程使用在“平安选项里右击“设备：只有本地登录的用户才能访问CD-ROM项，选择“属性，如图2.25所示；点选“已启用，再点击“应用“确定按钮，该项策略“已启用。图图2.252.25只有本地登录的用户才能访问只有本地登录的用户才能访问CD-ROM配置配置6配置只允许用户执行的程序配置只允许用户执行的程序在Windows 2003系统中，可对用户设置可以执行的程序，这样用户就只能执行配置中所规定的程序，从而增强系统的平安性。该类的配置操作如下：第1步：在“组策略编辑器中依次展开“用户配置“管理模板“系统，在右侧窗口中列出众多“设置项及其“状态。第2步：右击“设置项中的“只运行许可的Windows应用程序，选择属性。在出现的如图2.26所示的“属性窗口里点选“已启用，再点击“显示按钮，出现“显示内容窗口。l第3步：在“显示内容窗口中点击“添加按钮，在“添加工程对话框中输入允许用户执行的程序，点击“确定按钮即可。图图2.26 2.26 添加只允许运行的特定程序添加只允许运行的特定程序7隐藏驱动器隐藏驱动器在工作中有时因特殊用途，会对用户隐藏一些驱动器，在组策略中可以实现这一目的。其配置操作如下：第1步：在组策略编辑器中依次展开“用户配置“管理模板“Windows组件“Windows 资源管理器，在右侧窗口列出很多“设置项及其“状态。第2步：右击“设置项中的“隐藏“我的电脑中的这些指定的驱动器，选择“属性。第3步：在出现的如图2.27所示属性窗口中翻开“设置选项卡，点选“已启用，并在“选择以下组合中的一个下拉菜单中选择设置限制项，最后点击“确定按钮即可。图图2.27 2.27 限制驱动器限制驱动器8配置开始菜单和任务栏配置开始菜单和任务栏在某些特殊场所应用中，需要对“开始菜单和“任务栏做特殊的管理。如在网吧，一般不允许用户使用“运行命令，不允许注销用户等，这些要求都可以通过配置组策略来实现。第1步：在“组策略编辑器中依次展开“用户配置“管理模板“任务栏和开始菜单，在右侧窗口中显示出很多“设置项及其“状态。l第2步：如果需要在开始菜单中取消“搜索命令，则配置“从开始菜单中删除“搜索菜单为“已启用即可，如图2.28所示。l第3步：如果需要在开始菜单中取消“注销命令，则配置“删除开始菜单上的“注销为“已启用即可。图图2.282.28在开始菜单中取消在开始菜单中取消“注销注销命令命令3 3、通过管理注册表来实现系统平安通过管理注册表来实现系统平安注册表Registry是Windows系统中的重要数据库，用于存储计算机软硬件系统和应用程序的设置信息。因此，在不清楚某项注册表含义的情况下，切勿进行修改或删除，否则系统可能被破坏。1注册表的结构注册表的结构l单击“开始“运行，输入“Regedit并执行，即可进入注册表编辑器，如图2.29所示。l注册表结构：在左侧窗口中由“我的电脑开始，以下是五个分支，每个分支名都以HKEY开头称为主键KEY，展开后可以看到主键还包含多级的次键 SubKEY，注册表中的信息就是按照多级的层次结构组织的。当单击某一主键或次键时，右边窗口中显示的是所选主键或次键包含的一个或多个键值Value。键值由键值名称ValueName和数据ValueData组成。图图2.29 2.29 注册表编辑器界面注册表编辑器界面 主键HKEY_CLASSES_ROOT该主键用于管理文件系统，记录的是 Windows 操作系统中所有的数据文件信息。当用户双击一个文档或程序时，系统可以通过这些信息启动相应的应用程序来翻开文档或程序。主键HKEY_CURRENT_USER 该主键用于管理当前用户的配置情况。在该主键中可以查阅当前计算机中登录用户的相关信息，包括个人程序、桌面设置等。主键HKEY_LOCAL_MACHINE该主键用于管理系统中所有硬件设备的配置情况，该主键中存放用来控制系统和软件的设置，如总线类型、设备驱动程序等。由于这些设置是针对使用 Windows 系统的用户而设置的，是公共配置信息，与具体用户无关。主键HKEY_USER该主键用于管理系统中所有用户的配置信息。系统中每个用户的信息都保存在该文件夹中，如用户使用的图标、开始菜单的内容、字体、颜色等。主键HKEY_CURRENT_CONFIGl该主键用于管理当前用户的系统配置情况，其配置信息是从HKEY_LOCAL_MACHINE中映射出来。2注册表的备份与复原注册表的备份与复原 导出与导入导出与导入 l因为注册表中保存的是操作系统的重要配置信息，在对注册表进行操作前最好先对注册表做好备份。导出注册表备份单击“文件菜单，选择“导出，出现如图2.30所示窗口，选择保存路径，并在“文件名框中输入所保存的注册表文件的名称；再选择导出范围全部或分支；最后单击“保存按钮。图图2.30 2.30 导出注册表导出注册表 导入注册表恢复单击注册表中的“文件菜单，选择“导入；在出现的如图2.31所示窗口中，查找到原来所导出的注册表文件；点击“翻开按钮。图图2.312.31导入注册表导入注册表3利用注册表进行系统的平安配置利用注册表进行系统的平安配置 去除系统默认共享方法1：右击“我的电脑，选择“管理，展开“共享文件夹，选择“共享，出现如图2.32所示窗口。在右侧窗口中可见系统共享文件夹C$的共享路径实际上就是系统的C盘根目录。右击右侧窗口的C$，在出现的菜单中选择“停止共享，即可去除系统的默认共享。l这种去除默认共享的方法操作简便，但却不是一劳永逸的，因为在系统每一次启动后都需进行一次这样的操作。图图2.32 2.32 停止默认共享停止默认共享l方法2：在系统字符界面下，执行删除默认共享的命令，并将其做成一个批处理命令，放到系统的“启动程序中。这样系统每次启动时会首先执行“启动中的程序，就可删除系统默认共享，如图2.33所示。图图2.332.33建立取消默认共享批处理建立取消默认共享批处理l方法3：通过修改注册表实现：在注册表中展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanserverparameters注册表项，双击右窗格中的“AutoShareServer，将其键值改为“0即可，如图2.34所示。利用这种方法去除默认共享是一劳永逸的。图图2.342.34配置注册表取消默认共享配置注册表取消默认共享 禁止建立空连接在注册表中展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA 注册表项，双击右侧窗口中的“RestrictAnonymous，将其键值改为“1即可，如图2.35所示。图图2.352.35配置注册表取消空连接配置注册表取消空连接 不显示系统最后登录的用户账户第1步：在注册表中展开“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon，右击“Winlogon，选“新建“字符串值，如图2.36所示。图图2.362.36注册表登录项注册表登录项l第2步：在右侧窗口中，出现“新值#1项，如图2.37所示。右击“新值#1项，选择“重命名，输入新名称“DONTDISPLAYLASTUSERNAME；再右击该项，选择“修改。在出现的图2.38中，将“数值数据框中输入1，点击“确定按钮即可。图图2.372.37新建字符串值新建字符串值图图2.382.38为新建字符串值赋值为新建字符串值赋值 禁止光盘的自动运行在注册表中展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesCdrom，如图2.39所示。右击右侧窗口的“AutoRun，选择“修改。在出现的“编辑DWORD值的“数值数据数据框中填入0，即可禁止光盘的自动运行。图图2.392.39注册表中禁止光驱自动运行注册表中禁止光驱自动运行 防止U盘病毒传播l在注册表中展开“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2，右击“MountPoints2，选择“权限，出现如图2.40所示权限窗口。将Administrator和Administrators的“完全控制和“读取权限均设置为“拒绝，再点击“确定按钮即可。图图2.402.40配置配置MountPoints2 子项权限子项权限 禁止木马病毒程序的自行启动在注册表中展开“HKEY_LOCAL_MACHINE SoftwareMicrosoftWindows CurrentVersion Run。右击“Run，选择“权限，出现如图2.41所示窗口。点击“添加按钮，添加一个“Everyone用户组，将“Everyone用户组的“完全控制和“读取权限设置为拒绝，再点击“确定按钮即可。图图2.412.41配置启动子项权限配置启动子项权限 修改系统默认的TTL值l由于不同操作系统默认的TTL值不同，攻击者可以根据TTL值来判断系统主机的操作系统，进而采取相应的针对特定系统的漏洞扫描等操作。l为了系统的平安，有必要对默认TTL值进行修改。如果将系统默认的TTL值修改为不是表中的数值，或成心修改为其它操作系统的TTL值，那么当攻击者检测到TTL值时，再采用针对该系统的攻击工具进行攻击时当然就不会成功。l在注册表中展开“HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetServicesTcpipParameters，右击“Parameters，选择“新建“DWORD值，如图2.43所示。图图2.2.43 修改修改TTL之新建子项之新建子项l将新建项命名为“defaultTTL。右击“defaultTTL项，选择“修改。在出现的“编辑DWORD值框里，将“基数项选为“十进制，在“数值数据框中输入希望系统显示的TTL值，如图2.44所示。图图2.2.44修改默认修改默认TTL值值 禁止远程修改注册表在注册表中展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecure pipeserverswinreg项。新建“DWORD项，将其名称命名为“RemoteRegAccess，其值取为“1，如图2.46所示。这样，系统即可拒绝远程修改注册表。图图2.2.46配置禁止远程修改注册表配置禁止远程修改注册表 禁止操作注册表编辑器翻开注册表“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurr