[精选]操作系统安全配置方案(PPT 72页).pptx

《[精选]操作系统安全配置方案(PPT 72页).pptx》由会员分享，可在线阅读，更多相关《[精选]操作系统安全配置方案(PPT 72页).pptx（72页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、操作系统安全配置方案操作系统安全配置方案 内容提要内容提要n本章介绍Windows 2000效劳器的安全配置。n操作系统的安全将决定网络的安全，从保护级别上分成安全初级篇、中级篇和高级篇，共36条基本配置原则。n安全配置初级篇讲述常规的操作系统安全配置，中级篇介绍操作系统的安全策略配置，高级篇介绍操作系统安全信息通信配置。操作系统概述操作系统概述n目前效劳器常用的操作系统有三类：nUnixnLinuxnWindows NT/2000/2003 Server。n这些操作系统都是符合C2级安全级别的操作系统。但是都存在不少漏洞，如果对这些漏洞不了解，不采取相应的措施，就会使操作系统完全暴露给入侵者

2、。UNIX系统系统nUNIX操作系统是由 贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品开展成为当前使用普遍、影响深远的主流操作系统。nUNIX诞生于20世纪60年代末期，贝尔实验室的研究人员于1969年开始在GE645计算机上实现一种分时操作系统的雏形，后来该系统被移植到了DEC的PDP-7小型机上。n1970年给系统正式取名为Unix操作系统。到1973年，Unix系统的绝大局部源代码都用C语言重新编写过，大大提高了Unix系统的可移植性，也为提高系统软件的开发效率创造了条件。主要特色主要特色nUNIX操作系统经过20多年的开展后，已经成为一种成熟的主流操作系统，并

3、在开展过程中逐步形成了一些新的特色，其中主要特色包括5个方面。n1可靠性高n2极强的伸缩性n3网络功能强n4强大的数据库支持功能n5开放性好Linux系统系统 nLinux是一套可以免费使用和自由传播的类Unix操作系统，主要用于基于Intel x86系列CPU的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。nLinux最早开始于一位名叫Linus Torvalds的计算机业余爱好者，当时他是芬兰赫尔辛基大学的学生。n目的是想设计一个代替Minix是由一位名叫Andrew Tannebaum的计

4、算机教授编写的一个操作系统示教程序的操作系统。这个操作系统可用于386、486或奔腾处理器的个人计算机上，并且具有Unix操作系统的全部功能。nLinux是一个免费的操作系统，用户可以免费获得其源代码，并能够随意修改。n它是在共用许可证GPLGeneral Public License保护下的自由软件，也有好几种版本，如Red Hat Linux、Slackware，以及国内的Xteam Linux、红旗Linux等等。Linux的流行是因为它具有许多优点，典型的优点有7个。Linux典型的优点有典型的优点有7个。个。n1完全免费n2完全兼容POSIX 1.0标准n3多用户、多任务n4良好的界

5、面n5丰富的网络功能n6可靠的安全、稳定性能 n7支持多种平台 Windows系统系统nWindows NTNew Technology是微软公司第一个真正意义上的网络操作系统，开展经过NT3.0、NT40、NT5.0Windows 2000和NT6.0Windows 2003等众多版本，并逐步占据了广阔的中小网络操作系统的市场。nWindows NT众多版本的操作系统使用了与Windows 9X完全一致的用户界面和完全相同的操作方法，使用户使用起来比较方便。与Windows 9X相比，Windows NT的网络功能更加强大并且安全。Windows NT系列操作系统系列操作系统安全配置方案初级

6、篇安全配置方案初级篇 n安全配置方案初级篇主要介绍常规的操作系统安全配置，包括十二条基本配置原则：n物理安全、停止Guest帐号、限制用户数量n创立多个管理员帐号、管理员帐号改名n陷阱帐号、更改默认权限、设置安全密码n屏幕保护密码、使用NTFS分区n运行防毒软件和确保备份盘安全。1、物理安全、物理安全n效劳器应该安放在安装了监视器的隔离房间内，并且监视器要保存15天以上的摄像记录。n另外，机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在安全的地方。2、停止、停止Guest帐号帐号n在计算机管理的用户里面把Guest帐号停用，任何时候都不允许Guest帐号登陆系统。

7、n为了保险起见，最好给Guest 加一个复杂的密码，可以翻开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串。n用它作为Guest帐号的密码。并且修改Guest帐号的属性，设置拒绝远程访问，如图6_1所示。3 限制用户数量限制用户数量n去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。n帐户很多是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。n对于Windows NT/2000主机，如果系统帐户超过10个，一般能找出一两个弱口令帐户，所以帐户数量不要大于10个。4 多个管理员帐号多

8、个管理员帐号n虽然这点看上去和上面有些矛盾，但事实上是服从上面规则的。创立一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物，另一个拥有Administrator权限的帐户只在需要的时候使用。n因为只要登录系统以后，密码就存储再WinLogon进程中，当有其他用户入侵计算机的时候就可以得到登录用户的密码，尽量减少Administrator登录的次数和时间。5 管理员帐号改名管理员帐号改名nWindows 2000中的Administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。n不要使用Admin之

9、类的名字，改了等于没改，尽量把它伪装成普通用户，比方改成：guestone。具体操作的时候只要选中帐户名改名就可以了，如图6_2所示。6 陷阱帐号陷阱帐号n所谓的陷阱帐号是创立一个名为“Administrator的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。n这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组，如图6_3所示。7 更改默认权限更改默认权限n共享文件的权限从“Everyone组改成“授权用户。“Everyone在Windows 2000中意味着任何有权进入你的网络的用户都

10、能够获得这些共享资料。n任何时候不要把共享文件的用户设置成“Everyone组。包括打印共享，默认的属性就是“Everyone组的，一定不要忘了改。设置某文件夹共享默认设置如图6_4所示。8安全密码安全密码n好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。n一些网络管理员创立帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，比方：“wel e、“iloveyou、“letmein或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。n这里给好密码下了个定义：安全期内无法破解出来的

11、密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。9屏幕保护密码屏幕保护密码n设置屏幕保护密码是防止内部人员破坏效劳器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，黑屏就可以了。n还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。n将屏幕保护的选项“密码保护选中就可以了，并将等待时间设置为最短时间“1秒，如图6_5所示。10 NTFS分区分区n把效劳器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。11防毒软件防毒软件nWindows 2000/NT效劳

12、器一般都没有安装防毒软件的，一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。n设置了放毒软件，“黑客们使用的那些有名的木马就毫无用武之地了，并且要经常升级病毒库。12备份盘的安全备份盘的安全n一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。n不能把资料备份在同一台效劳器上，这样的话还不如不要备份。安全配置方案中级篇安全配置方案中级篇n安全配置方案中级篇主要介绍操作系统的安全策略配置，包括十条基本配置原则：n操作系统安全策略、关闭不必要的效劳n关闭不必要的端口、开启审核策略n开启密码策略、开启帐户策略、备份敏感文件n不显示上次登陆

13、名、禁止建立空连接和下载最新的补丁1 操作系统安全策略操作系统安全策略n利用Windows 2000的安全配置工具来配置安全策略，微软提供了一套的基于管理控制台的安全配置和分析工具，可以配置效劳器的安全策略。n在管理工具中可以找到“本地安全策略，主界面如图6_6所示。n可以配置四类安全策略：帐户策略、本地策略、公钥策略和IP安全策略。在默认的情况下，这些策略都是没有开启的。2 关闭不必要的效劳关闭不必要的效劳nWindows 2000的Terminal Services终端效劳和IISInternet 信息效劳等都可能给系统带来安全漏洞。n为了能够在远程方便的管理效劳器，很多机器的终端效劳都是

14、开着的，如果开了，要确认已经正确的配置了终端效劳。n有些恶意的程序也能以效劳方式悄悄的运行效劳器上的终端效劳。要留意效劳器上开启的所有效劳并每天检查。nWindows 2000作为效劳器可禁用的效劳及其相关说明如表6_1所示。Windows2000可禁用的效劳可禁用的效劳 效效劳劳名名说说明明 puter Browser维护维护网网络络上上计计算机的最新列表以算机的最新列表以及提供及提供这这个列表个列表Task scheduler允允许许程序在指定程序在指定时间时间运行运行Routing and Remote Access在局域网以及广域网在局域网以及广域网环环境中境中为为企企业业提供路由效提

15、供路由效劳劳Removable storage管理可移管理可移动动媒体、媒体、驱动驱动程序和程序和库库Remote Registry Service允允许远许远程注册表操作程注册表操作Print Spooler将文件加将文件加载载到内存中以便以后打到内存中以便以后打印。要用打印机的用印。要用打印机的用户户不能不能禁用禁用这项这项效效劳劳IPSEC Policy Agent管理管理IP安全策略以及启安全策略以及启动动ISAKMP/OakleyIKE和和IP安全安全驱动驱动程序程序Distributed Link Tracking Client当文件在网当文件在网络络域的域的NTFS卷中移卷中移动

16、时发动时发送通知送通知 +Event System提供事件的自提供事件的自动发动发布到布到订阅订阅 组组件件3 关闭不必要的端口关闭不必要的端口n关闭端口意味着减少功能，如果效劳器安装在防火墙的后面，被入侵的时机就会少一些，但是不可以认为高枕无忧了。n用端口扫描器扫描系统所开放的端口，在Winntsystem32driversetcservices文件中有知名端口和效劳的对照表可供参考。该文件用记事本翻开如图6_7所示。n设置本机开放的端口和效劳，在IP地址设置窗口中点击按钮“高级，如图6_8所示。n在出现的对话框中选择选项卡“选项，选中“TCP/IP筛选，点击按钮“属性，如图6_9所示。n设

17、置端口界面如图6_10所示。n一台Web效劳器只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙，功能比较强大，可以替代防火墙的局部功能。4 开启审核策略开启审核策略n安全审核是安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对系统最基本的入侵检测方法。当有人尝试对系统进行某种方式如尝试用户密码，改变帐户策略和未经许可的文件访问等进行某种方式如尝试用户密码，改变帐户策略和未经许可的文件访问等等入侵的时候，都会被安全审核记录下来。等入侵的时候，都会被安全审核记录下来。n很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。表很多的管理员在系

18、统被入侵了几个月都不知道，直到系统遭到破坏。表6_2的这些审核是必须开启的，其他的可以根据需要增加。的这些审核是必须开启的，其他的可以根据需要增加。策略策略设设置置审审核系核系统统登登陆陆事件事件成功，失成功，失败败审审核核帐户帐户管理管理成功，失成功，失败败审审核登核登陆陆事件事件成功，失成功，失败败审审核核对对象象访问访问成功成功审审核策略更改核策略更改成功，失成功，失败败审审核特核特权权使用使用成功，失成功，失败败审审核系核系统统事件事件成功，失成功，失败败审核策略默认设置审核策略默认设置 n审核策略在默认的情况下都是没有开启的，如图6_11所示。n双击审核列表的某一项，出现设置对话框，

19、将复选框“成功和“失败都选中，如图6_12所示。5 开启密码策略开启密码策略n密码对系统安全非常重要。本地安全设置中的密码策略在默认密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如表的情况下都没有开启。需要开启的密码策略如表6_3所示所示 策略策略设设置置密密码码复复杂杂性要求性要求启用启用密密码长码长度最小度最小值值6位位密密码码最最长长存留期存留期15天天强强制密制密码历码历史史5个个n设置选项如图6_13所示。6 开启帐户策略开启帐户策略n开启帐户策略可以有效的防止字典式攻击，设置如表6_4所示。策略策略设设置置复位复位帐户锁帐户锁定定计计数

20、器数器30分分钟钟帐户锁帐户锁定定时间时间30分分钟钟帐户锁帐户锁定定阈值阈值5次次设置帐户策略设置帐户策略 n设置的结果如图6_14所示。7 备份敏感文件备份敏感文件n把敏感文件存放在另外的文件效劳器中，虽然效劳器的硬盘容量都很大，但是还是应该考虑把一些重要的用户数据文件，数据表和工程文件等存放在另外一个安全的效劳器中，并且经常备份它们 8 不显示上次登录名不显示上次登录名n默认情况下，终端效劳接入效劳器时，登陆对话框中会显示上次登陆的默认情况下，终端效劳接入效劳器时，登陆对话框中会显示上次登陆的帐户名，本地的登陆对话框也是一样。黑客们可以得到系统的一些用户帐户名，本地的登陆对话框也是一样。

21、黑客们可以得到系统的一些用户名，进而做密码猜测。名，进而做密码猜测。n修改注册表禁止显示上次登录名，在修改注册表禁止显示上次登录名，在HKEY_LOCAL_MACHINE主键下主键下修改子键：修改子键：nSoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName，将键值改成，将键值改成1，如图，如图6_15所示。所示。9 禁止建立空连接禁止建立空连接n默认情况下，任何用户通过空连接连上效劳器，进而可以枚举出默认情况下，任何用户通过空连接连上效劳器，进而可以枚举出帐号，猜测密码。帐号，猜测密码。n可以通过修改注册

22、表来禁止建立空连接。在可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修改子键：主键下修改子键：nSystemCurrentControlSetControlLSARestrictAnonymous，将键值改成，将键值改成“1即可。如图即可。如图6_16所示。所示。10 下载最新的补丁下载最新的补丁n很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着效劳器的漏洞不补给人家当靶子用。n谁也不敢保证数百万行以上代码的Windows 2000不出一点安全漏洞。n经常访问微软和一些安全站点，下载最新的Service Pack和漏洞补丁，是保障效劳器

23、长久安全的唯一方法。安全配置方案高级篇安全配置方案高级篇n高级篇介绍操作系统安全信息通信配置，包括十四条配置原则：n关闭DirectDraw、关闭默认共享n禁用Dump File、文件加密系统n加密Temp文件夹、锁住注册表、关机时去除文件n禁止软盘光盘启动、使用智能卡、使用IPSecn禁止判断主机类型、抵抗DDOSn禁止Guest访问日志和数据恢复软件1 关闭关闭DirectDrawnC2级安全标准对视频卡和内存有要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响比方游戏，但是对于绝大多数的商业站点都是没有影响的。n在HKEY_LOCAL_MACHINE主键下修改子键

24、：nSYSTEMCurrentControlSetControlGraphicsDriversDCITimeout，将键值改为“0即可，如图6_17所示。2 关闭默认共享关闭默认共享nWindows 2000安装以后，系统会创立一些隐藏的共享，可以在DOS提示符下输入命令Net Share 查看，如图6_18所示。停止默认共享停止默认共享 n禁止这些共享，翻开管理工具计算机管理共享文件夹共享，在相应的共享文件夹上按右键，点停止共享即可，如图6_19所示。3 禁用禁用Dump文件文件n在系统崩溃和蓝屏的时候，Dump文件是一份很有用资料，可以帮助查找问题。然而，也能够给黑客提供一些敏感信息，比方

25、一些应用程序的密码等n需要禁止它，翻开控制面板系统属性高级启动和故障恢复，把写入调试信息改成无，如图6_20所示。4 文件加密系统文件加密系统nWindows2000强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。n微软公司为了弥补Windows NT 4.0的缺乏，在Windows 2000中，提供了一种基于新一代NTFS：NTFS V5第5版本的加密文件系统Encrypted File System，简称EFS。nEFS实现的是一种基于公共密钥的数据加密方式，利用了Windows 2000中的CryptoAPI结构。5 加密

26、加密Temp文件夹文件夹n一些应用程序在安装和升级的时候，会把一些东西拷贝到Temp文件夹，但是当程序升级完毕或关闭的时候，并不会自己去除Temp文件夹的内容。n所以，给Temp文件夹加密可以给你的文件多一层保护。6 锁住注册表锁住注册表n在Windows2000中，只有Administrators和Backup Operators才有从网络 问注册表的权限。当帐号的密码泄漏以后，黑客也可以在远程访问注册表，当效劳器放到网络上的时候，一般需要锁定注册表。修改Hkey_current_user下的子键nSoftwaremicrosoftwindowscurrentversionPoliciess

27、ystem n把DisableRegistryTools的值该为0，类型为DWORD，如图6_21所示。7 关机时去除文件关机时去除文件n页面文件也就是调度文件，是Windows 2000用来存储没有装入内存的程序和数据文件局部的隐藏文件。n一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中可能含有另外一些敏感的资料。要在关机的时候清楚页面文件，可以编辑注册表 修改主键HKEY_LOCAL_MACHINE下的子键：nSYSTEMCurrentControlSetControlSession ManagerMemory Managementn把ClearPageFileAtShut

28、down的值设置成1，如图6_22所示。8 禁止软盘光盘启动禁止软盘光盘启动n一些第三方的工具能通过引导系统来绕过原有的安全机制。比方一些管理员工具，从软盘上或者光盘上引导系统以后，就可以修改硬盘上操作系统的管理员密码。n如果效劳器对安全要求非常高，可以考虑使用可移动软盘和光驱，把机箱锁起来仍然不失为一个好方法。9 使用智能卡使用智能卡n对于密码，总是使安全管理员进退两难，容易受到一些工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。n如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。10 使用使用IPSecn正如其名字的含义，正如其名字的含义，IPSec提供提供IP

29、数据包的安全性。数据包的安全性。nIPSec提供身份验证、完整性和可选择的机密性。发提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。收到数据之后解密数据。n利用利用IPSec可以使得系统的安全性能大大增强。可以使得系统的安全性能大大增强。11 禁止判断主机类型禁止判断主机类型n黑客利用TTLTime-To-Live，活动时间值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。n许多入侵者首先会Ping一下主机，因为攻击某一台计算机需要根据对方

30、的操作系统，是Windows还是Unix。如过TTL值为128就可以认为你的系统为Windows 2000，如图6_23所示。n从图中可以看出，TTL值为128，说明改主机的操作系统是Windows 2000操作系统。表6_6给出了一些常见操作系统的对照值。操作系操作系统类统类型型TTL返回返回值值Windows 2000128Windows NT107win9x128 or 127solaris252IRIX240AIX247Linux241 or 240n修改TTL的值，入侵者就无法入侵电脑了。比方将操作系统的TTL值改为111，修改主键HKEY_LOCAL_MACHINE的子键：nSYS

31、TEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERSn新建一个双字节项，如图6_24所示。n在键的名称中输入“defaultTTL，然后双击改键名，选择单项选择框“十进制，在文本框中输入111，如图6_25所示。n设置完毕重新启动计算机，再用Ping指令，发现TTL的值已经被改成111了，如图6_26所示。12 抵抗抵抗DDOSn添加注册表的一些键值，可以有效的抵抗DDOS的攻击。在键值nHKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters下增加响应的键及其说明如表6_7所示。增加的

32、键值键值说明EnablePMTUDiscovery=dword:00000000NoNameReleaseOnDemand=dword:00000000KeepAliveTime=dword:00000000PerformRouterDiscovery=dword:00000000基本设置EnableICMPRedirects=dword:00000000防止ICMP重定向报文的攻击SynAttackProtect=dword:00000002防止SYN洪水攻击TcpMaxHalfOpenRetried=dword:00000080仅在TcpMaxHalfOpen和TcpMaxHalfOpen

33、Retried设置超出范围时,保护机制才会采取措施TcpMaxHalfOpen=dword:00000100IGMPLevel=dword:00000000不支持IGMP协议EnableDeadGWDetect=dword:00000000禁止死网关监测技术IPEnableRouter=dword:00000001支持路由功能13 禁止禁止Guest访问日志访问日志n在默认安装的Windows NT和Windows 2000中，Guest帐号和匿名用户可以查看系统的事件日志，可能导致许多重要信息的泄漏，修改注册表来禁止Guest访问事件日志。n禁止Guest访问应用日志nHKEY_LOCAL_

34、MACHINESYSTEMCurrentControlSetServicesEventlogApplication 下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为1。n系统日志：nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSystem下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为1。n安全日志nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSecurity下添加键值名称为：

35、RestrictGuestAccess，类型为：DWORD，将值设置为1。14 数据恢复软件数据恢复软件n当数据被病毒或者入侵者破坏后，可以利用数据恢复软件可以找回局部被删除的数据，在恢复软件中一个著名的软件是Easy Recovery。软件功能强大，可以恢复被误删除的文件、丧失的硬盘分区等等。软件的主界面如图6_26所示。n比方原来在E盘上有一些数据文件，被黑客删除了，选择左边栏目“Data Recovery，然后选择左边的按钮“Advanced Recovery，如图6_28所示。n进入Advanced Recovery对话框后，软件自动扫描出目前硬盘分区的情况，分区信息是直接从分区表中读

36、取出来的，如图6_29所示。n现在要恢复E盘上的文件，所以选择E盘，点击按钮“Next，如图6_30所示。n软件开始自动扫描该盘上曾经有哪些被删除了文件，根据硬盘的大小，需要一段比较长的时间，如图6_31所示。n扫描完成以后，将该盘上所有的文件以及文件夹显示出来，包括曾经被删除文件和文件夹，如图6_32所示。n选中某个文件夹或者文件前面的复选框，然后点击按钮“Next，就可以恢复了。如图6_33所示。n在恢复的对话框中选择一个本地的文件夹，将文件保存到该文件夹中，如图6_34所示。n选择一个文件夹后，电击按钮“Next，就出现了恢复的进度对话框，如图6_35所示。本章总结本章总结n本章分成三局

37、部介绍Windows 2000的安全配置。n三局部共介绍安全配置三十六项，如果每一条都能得到很好的实施的话，改效劳器无论是在局域网还是广域网，即使没有网络防火墙，已经比较安全了。n需要重点理解三大局部中的每一项设置，并掌握如何设置。本章习题本章习题n【1】、简述操作系统帐号密码的重要性，有几种方法可以保护密码不被破解或者被盗取？n【2】、简述审核策略、密码策略和帐户策略的含义？这些策略如何保护操作系统不被入侵。n【3】、如何关闭不需要的端口和效劳？n【4】、编写程序实现本章所有注册表的操作。上机完成n【5】、以报告的形式编写Windows 2000 Server/Advanced Server的安全配置方案。