系统知识:操作系统安全信息通信配置

安全配置方案高级篇

高级篇介绍操作系统安全信息通信配置,包括十四条配置原则: (1)关闭DirectDraw,(2)关闭默认共享(3)禁用Dump File,(4)文件加密系统 (5)加密Temp文件夹(6)锁住注册表, (7)关机时清除文件 (8)禁止软盘光盘启动(9)使用智能卡, (10)使用IPSec (11)禁止判断主机类型,(12)抵抗DDOS，(13)禁止Guest访问日志操作系统安全，(14)数据恢复软件

1 关闭DirectDraw

C2级安全标准对视频卡和内存有要求.关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏),但是对于绝大多数的商业站点都是没有影响的. 在HKEY_LOCAL_MACHINE主键下修改子键:

SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeo

ut,将键值改为"0"即可.

2 关闭默认共享

Windows 2000安装以后,系统会创建一些隐藏的共享,可以在DOS提示符下输入命令Net Share 查看. 停止默认共享禁止这些共享,打开管理工具>计算机管理>共享文件夹>共享,在相应的共享文件夹上按右键,点"停止共享"即可.

3 禁用Dump文件

在系统崩溃和蓝屏的时候,Dump文件是一份很有用资料,可以帮助查找问题.然而,也能够给黑客提供一些敏感信息,比如一些应用程序的密码等需要禁止它,打开控制面板>系统属性>高级>启动和故障恢复,把写入调试信息改成无.

4 文件加密系统

Windows2000强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护.这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据.微软公司为了弥补Windows NT 4.0的不足,在Windows 2000中,提供了一种基于新一代NTFS:NTFS V5(第5版本)的加密文件系统(Encrypted File System,简称EFS). EFS实现的是一种基于公共密钥的数据加密方式,利用了Windows 2000中的CryptoAPI结构.

5 加密Temp文件夹

一些应用程序在安装和升级的时候,会把一些数据拷贝到Temp文件夹,但是当程序升级完毕或关闭的时候,并不会自己清除Temp文件夹的内容.所以,给Temp文件夹加密可以多一层保护.

6 锁住注册表

在Windows2000中,只有Administrators和Backup Operators才有从网络上访问注册表的权限.当帐号的密码泄漏以后,黑客也可以在远程访问注册表,当服务器放到网络上的时候,一般需要锁定注册表.修改 Hkey_current_user下的子键 Software\microsoft\windows\currentversion\Policies\system

把DisableRegistryTools的值该为0,类型为DWORD.

7 关机时清除文件 页面文件也就是调度文件,是Windows 2000用来存储没有装入内存的程序和数据文件部分的隐藏文件.一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中可能含有另外一些敏感的资料.要在关机的时候清除页面文件,可以编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键:

-SYSTEM\CurrentControlSet\Control\Session Manager\Memory

Management -把ClearPageFileAtShutdown的值设置成1.

8 禁止软盘光盘启动

一些第三方的工具能通过引导系统来绕过原有的安全机制.比如一些管理员工具,从软盘上或者光盘上引导系统以后,就可以修改硬盘上操作系统的管理员密码.如果服务器对安全要求非常高,可以考虑使用可移动软盘和光驱,把机箱锁起来仍然不失为一个好方法.

9 使用智能卡

对于密码,总是使安全管理员进退两难,容易受到一些工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写.如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法.

10 使用IPSec

正如其名字的含义,IPSec提供IP数据包的安全性.IPSec提供身份验证,完整性和可选择的机密性.发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据.利用IPSec可以使得系统的安全性能大大增强.

11 禁止判断主机类型

黑客利用TTL(Time-To-Live,生存时间)值可以鉴别操作系统的类型,通过Ping指令能判断目标主机类型.Ping的用处是检测目标主

机是否连通.许多入侵者首先会Ping一下主机,因为攻击某一台计算机需要根据对方的操作系统,是Windows还是Unix.如过TTL值为128就可以认为你的系统为Windows 2000.

TTL值-判断主机类型

TTL值为128,说明改主机的操作系统是Windows 2000操作系统.下表给出了一些常见操作系统的对照值.

操作系统类型TTL返回值

Windows 2000128 Windows NT107 win9x128 or 127 solaris252

IRIX240 AIX247 Linux241 or 240

BJFU Info Department, QiJd

修改TTL的值,入侵者就无法入侵电脑了.比如将操作系统的TTL值改为111,修改主键HKEY_LOCAL_MACHINE的子键: SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAME TERS新建一个双字节项。

在键的名称中输入"defaultTTL",然后双击改键名,选择单选框"十进制",在文本框中输入111.

设置完毕重新启动计算机,再用Ping指令,发现TTL的值已经被改成111了.

12 抵抗DDOS

添加注册表的一些键值,可以有效的抵抗DDOS的攻击.在键值

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcp

ip\Parameters]下增加响应的键及其说明.

增加的键值键值说明

"EnablePMTUDiscovery"=dword:00000000

"NoNameReleaseOnDemand"=dword:00000000

"KeepAliveTime"=dword:00000000

"PerformRouterDiscovery"=dword:00000000

基本设置

"EnableICMPRedirects"=dword:00000000防止ICMP重定向报文的攻击

"SynAttackProtect"=dword:00000002防止SYN洪水攻击

"TcpMaxHalfOpenRetried"=dword:00000080

"TcpMaxHalfOpen"=dword:00000100仅在TcpMaxHalfOpen和 TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施

"IGMPLevel"=dword:00000000不支持IGMP协议

"EnableDeadGWDetect"=dword:00000000禁止死网关监测技术

"IPEnableRouter"=dword:00000001支持路由功能

13 禁止Guest访问日志

在默认安装的Windows NT和Windows 2000中,Guest帐号和匿名用户可以查看系统的事件日志,可能导致许多重要信息的泄漏,修改注册表来禁止Guest访问事件日志.禁止Guest访问应用日志-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application下添加键值名称为:

RestrictGuestAccess,类型为:DWORD,将值设置为1.

系统日志:

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic

es\Eventlog\System下添加键值名称为:

RestrictGuestAccess,类型为:DWORD,将值设置为1.

安全日志

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic

es\Eventlog\Security下添加键值名称为:

RestrictGuestAccess,类型为:DWORD,将值设置为1.

14 数据恢复软件

当数据被病毒或者入侵者破坏后,可以利用数据恢复软件可以找回部分被删除的数据,在恢复软件中一个的软件是Easy Recovery.软件功能强大,可以恢复被误删除的文件,丢失的硬盘分区等等.

Easy Recovery比如原来在E盘上有一些数据文件,被删除了,选择左边

栏目"Data Recovery",然后选择左边的按钮 "Advanced Recovery".

Easy Recovery

进入Advanced Recovery对话框后,软件自动扫描出目前硬盘分区的情况,分区信息是直接从分区表中读取出来的.

现在要恢复E盘上的文件,所以选择E盘,点击按钮"Next".

软件开始自动扫描该盘上曾经有哪些被删除了文件,根据硬盘的大小,需要一段比较长的时间.

扫描完成以后,将该盘上所有的文件以及文件夹显示出来,包括曾经被删除文件和文件夹.

选中某个文件夹或者文件前面的复选框,然后点击按钮"Next",就可以恢复了.

在恢复的对话框中选择一个本地的文件夹,将文件保存到该文件夹中.

BJFU Info Department, QiJd第七章操作系统安全配置方案

选择一个文件夹后,点击按钮"Next",就出现了恢复的进度对话框.

（编辑：成都站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!