第二讲操作系统安全配置课件

第二章第二章 操作系统安全配置操作系统安全配置操作系统的概念、安全评估操作系统的概念、安全评估操作系统的用户安全设置操作系统的用户安全设置操作系统的密码安全设置操作系统的密码安全设置操作系统的系统安全设置操作系统的系统安全设置操作系统的服务安全设置操作系统的服务安全设置操作系统的注册表安全设置操作系统的注册表安全设置本章要点：2024/7/161计算机网络安全第二章第二章 操作系统安全配置操作系统安全配置2.1 2.1 操作系统的安全问题操作系统的安全问题 2.2 2.2 用户安全配置用户安全配置 2.3 2.3 密码安全配置密码安全配置 2.4 2.4 系统安全配置系统安全配置 2.5 2.5 服务安全配置服务安全配置 2.6 2.6 注册表配置注册表配置2.7 2.7 数据恢复软件数据恢复软件 2024/7/162计算机网络安全2.1操作系统的安全问题操作系统的安全问题操作系统是计算机资源的直接管理者，它和硬操作系统是计算机资源的直接管理者，它和硬件打交道并为用户提供接口，是计算机软件的件打交道并为用户提供接口，是计算机软件的基础和核心。在网络环境中，网络的安全很大基础和核心。在网络环境中，网络的安全很大程度上依赖于网络操作系统的安全性。没有网程度上依赖于网络操作系统的安全性。没有网络操作系统的安全性，就没有主机系统和网络络操作系统的安全性，就没有主机系统和网络系统的安全性。因此操作系统的安全是整个计系统的安全性。因此操作系统的安全是整个计算机系统安全的基础。算机系统安全的基础。操作系统安全防护研究，通常包括：操作系统安全防护研究，通常包括：1 1）提供什么样的安全功能和安全服务）提供什么样的安全功能和安全服务2 2）采取什么样的配置措施）采取什么样的配置措施 3 3）如何保证服务得到安全配置）如何保证服务得到安全配置 2024/7/163计算机网络安全2.1.1操作系统安全概念操作系统安全概念一般意义上，如果说一个计算机系统是安一般意义上，如果说一个计算机系统是安全的，那么是指该系统能够控制外部对系全的，那么是指该系统能够控制外部对系统信息的访问。也就是说，只有经过授权统信息的访问。也就是说，只有经过授权的用户或代表该用户运行的进程才能读、的用户或代表该用户运行的进程才能读、写、创建或删除信息。写、创建或删除信息。2024/7/164计算机网络安全操作系统的安全通常包含两层意思：操作系统的安全通常包含两层意思：1)1)操作系统在设计时通过权限访问控制、信息操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等一些机制实现的安加密性保护、完整性鉴定等一些机制实现的安全；全；2)2)操作系统在使用中，通过一系列的配置，保操作系统在使用中，通过一系列的配置，保证操作系统避免由于实现时的缺陷或是应用环证操作系统避免由于实现时的缺陷或是应用环境因素产生的不安全因素。境因素产生的不安全因素。2.1.1操作系统安全概念操作系统安全概念2024/7/165计算机网络安全2.1.2计算机操作系统安全评估计算机操作系统安全评估 计算机系统安全性评估标准是一种技术性法计算机系统安全性评估标准是一种技术性法规。在信息安全这一特殊领域，如果没有这一标规。在信息安全这一特殊领域，如果没有这一标准，那么与此相关的立法、执法就会有失偏颇，准，那么与此相关的立法、执法就会有失偏颇，最终会给国家的信息安全带来严重后果。最终会给国家的信息安全带来严重后果。美国可信计算机安全评估标准（美国可信计算机安全评估标准（TCSECTCSEC），是计），是计算机系统安全评估的第一个正式标准。算机系统安全评估的第一个正式标准。TCSECTCSEC将将计算机系统的安全划分为计算机系统的安全划分为4 4个等级、个等级、8 8个级别。个级别。2024/7/166计算机网络安全2.1.2计算机操作系统安全评估计算机操作系统安全评估(1)(1)D D类类安安全全等等级级：D D类类安安全全等等级级只只包包括括D1D1一一个个安安全全类类别别，安安全全等等级级最最低低。D1D1系系统统只只为为文文件件和和用用户户提提供供安安全全保保护护。最最普普通通的的形形式式是是本本地地操操作作系系统，或者是一个完全没有保护的网络。统，或者是一个完全没有保护的网络。(2)(2)C C类类安安全全等等级级：该该类类安安全全等等级级能能够够提提供供审审慎慎的的保保护护，并并为为用用户户的的行行动动和和责责任任提提供供审审计计能能力力。C C类类安安全全等等级级可可划划分分为为C1C1和和C2C2两两类类。C1C1系系统统通通过过将将用用户户和和数数据据分分开开来来达达到到安安全全的的目目的的。C2C2系系统统比比C1C1系系统统加加强强了了可可调调的的审审慎慎控控制制。在在连连接接到到网网络络上上时时，C2C2系系统统的的用用户户分分别别对对各各自自的的行行为为负负责责，通通过过登登录录过过程程、安安全全事事件件和和资资源源隔隔离离来来增增强这种控制。强这种控制。2024/7/167计算机网络安全2.1.2计算机操作系统安全评估计算机操作系统安全评估(3)(3)B B类类安安全全等等级级：B B类类安安全全等等级级分分为为B1B1、B2B2、B3B3三三类类。B B类类系系统统具具有有强强制制性性保保护护功功能能，强强制制性性保保护护意意味味着着如如果果用用户户没没有有与与安安全全等等级级相相连连，系系统就不会让用户存取对象。统就不会让用户存取对象。(4)A(4)A类安全等级：目前类安全等级：目前A A类安全等级只包含类安全等级只包含A1A1一一个安全类别。其显著特征是，系统的设计者必个安全类别。其显著特征是，系统的设计者必须按照一个正式的设计规范来分析系统。对系须按照一个正式的设计规范来分析系统。对系统分析后，设计者必须运用核对技术来确保系统分析后，设计者必须运用核对技术来确保系统符合设计规范。统符合设计规范。2024/7/168计算机网络安全2.1.3国内的安全操作系统评估国内的安全操作系统评估计算机信息安全保护等级划分准则计算机信息安全保护等级划分准则将计算机将计算机信息系统安全保护等级划分为五个级别：信息系统安全保护等级划分为五个级别：1.1.用户自主保护级用户自主保护级 本本级级的的安安全全保保护护机机制制使使用用户户具具备备自自主主安安全全保保护护能能力力，保保护护用用户户和和用用户户组组信信息息，避避免免其其他他用用户户对数据的非法读写和破坏。对数据的非法读写和破坏。2024/7/169计算机网络安全2.2.系统审计保护级系统审计保护级 本级的安全保护机制具备第一级的所有安全保本级的安全保护机制具备第一级的所有安全保护功能，并创建、维护访问审计跟踪记录，以记录护功能，并创建、维护访问审计跟踪记录，以记录与系统安全相关事件发生的日期、时间、用户和事与系统安全相关事件发生的日期、时间、用户和事件类型等信息，使所有用户对自己行为的合法性负件类型等信息，使所有用户对自己行为的合法性负责。责。3.3.安全标记保护级安全标记保护级 本本级级的的安安全全保保护护机机制制有有系系统统审审计计保保护护级级的的所所有有功功能能，并并为为访访问问者者和和访访问问对对象象指指定定安安全全标标记记，以以访访问问对对象象标标记记的的安安全全级级别别限限制制访访问问者者的的访访问问权权限限，实实现对访问对象的强制保护。现对访问对象的强制保护。2.1.3国内的安全操作系统评估国内的安全操作系统评估2024/7/1610计算机网络安全4.4.结构化保护级结构化保护级 本本级级具具备备第第3 3级级的的所所有有安安全全功功能能。并并将将安安全全保保护护机机制制划划分分成成关关键键部部分分和和非非关关键键部部分分相相结结合合的的结结构构，其其中中关关键键部部分分直直接接控控制制访访问问者者对对访访问问对对象象的的存存取取。本级具有相当强的抗渗透能力。本级具有相当强的抗渗透能力。5.5.安全域级保护级安全域级保护级 本级的安全保护机制具备第本级的安全保护机制具备第4 4级的所有功能，级的所有功能，并特别增设访问验证功能，负责仲裁访问者对访问并特别增设访问验证功能，负责仲裁访问者对访问对象的所有访问活动。本级具有极强的抗渗透能力。对象的所有访问活动。本级具有极强的抗渗透能力。2.1.3国内的安全操作系统评估国内的安全操作系统评估2024/7/1611计算机网络安全2.1.3国内的安全操作系统评估国内的安全操作系统评估第第1级级第第2级级第第3级级第第4级级第第5级级自主访问控制自主访问控制身份鉴别身份鉴别数据完整性数据完整性客体重用客体重用审计审计强制访问控制强制访问控制标记标记隐蔽信道分析隐蔽信道分析可信路径可信路径可信恢复可信恢复2024/7/1612计算机网络安全2.1.4操作系统的安全配置操作系统的安全配置操作系统安全配置主要是指：操作系统安全配置主要是指：1 1）操作系统访问控制权限的恰当设置）操作系统访问控制权限的恰当设置 指利用操作系统的访问控制功能，为用户和指利用操作系统的访问控制功能，为用户和文件系统建立恰当的访问权限控制。文件系统建立恰当的访问权限控制。2 2）系统的及时更新）系统的及时更新 及时地更新系统，会使整个系统的安全性能、及时地更新系统，会使整个系统的安全性能、稳定性能、易用性能得到大幅度提高。稳定性能、易用性能得到大幅度提高。3 3）对于攻击的防范）对于攻击的防范 随着利用操作系统安全缺陷进行攻击的方法随着利用操作系统安全缺陷进行攻击的方法的不断出现，操作系统和的不断出现，操作系统和TCP/IPTCP/IP缺陷逐渐成为系缺陷逐渐成为系统安全防护的一个重要内容。统安全防护的一个重要内容。2024/7/1613计算机网络安全2.1.5操作系统的安全漏洞操作系统的安全漏洞几乎所有的操作系统都不是十全十美的，总存几乎所有的操作系统都不是十全十美的，总存在安全漏洞。在安全漏洞。在在Windows NTWindows NT中，安全账户管理中，安全账户管理(SAM)(SAM)数据数据库可以被以下用户复制：库可以被以下用户复制：AdministratorAdministrator账户、账户、AdministratorAdministrator组的所有成员、备份操作员、服组的所有成员、备份操作员、服务器操作员以及所有具有备份特权的人员。务器操作员以及所有具有备份特权的人员。SAMSAM数据库的一个备份拷贝能够被某些工具所利用来数据库的一个备份拷贝能够被某些工具所利用来破解口令。破解口令。Windows NTWindows NT对较大的对较大的ICMPICMP包是很脆弱的。如包是很脆弱的。如果发一条果发一条PingPing命令，指定包的大小为命令，指定包的大小为64KB64KB，Windows NTWindows NT的的TCP/IPTCP/IP栈将不会正常工作，可使系栈将不会正常工作，可使系统离线直至重新启动，结果造成某些服务的拒绝统离线直至重新启动，结果造成某些服务的拒绝访问。访问。2024/7/1614计算机网络安全2.1.5操作系统的安全漏洞操作系统的安全漏洞 从操作系统的等级来看，从操作系统的等级来看，Windows XPWindows XP仍然是仍然是C C级操作系统，即是一个安全等级比较低的操作系级操作系统，即是一个安全等级比较低的操作系统。统。Windows XPWindows XP发布后，与之有关的漏洞有：通发布后，与之有关的漏洞有：通用即插即用用即插即用(UPnP)(UPnP)拒绝服务漏洞、拒绝服务漏洞、GDIGDI拒绝服务拒绝服务漏洞、终端服务漏洞、终端服务IPIP地址欺骗漏洞。地址欺骗漏洞。要想绝对避免软件漏洞是不可能的要想绝对避免软件漏洞是不可能的 ！2024/7/1615计算机网络安全2.2用户安全配置用户安全配置主要有主要有1010类，分别描述如下：类，分别描述如下：1.1.新建用户新建用户帐号便于记忆与使用，而密码帐号便于记忆与使用，而密码则要求有一定的长度与复杂度。则要求有一定的长度与复杂度。2024/7/1616计算机网络安全2 2帐户授权帐户授权对不同的帐户进行授权，使其对不同的帐户进行授权，使其拥有和身份相应的权限。拥有和身份相应的权限。2.2用户安全配置用户安全配置2024/7/1617计算机网络安全3 3停用停用GuestGuest用户用户把把GuestGuest账号禁用账号禁用，并且并且修改修改GuestGuest帐号的属性帐号的属性,设置拒绝远程访问设置拒绝远程访问 。2.2用户安全配置用户安全配置2024/7/1618计算机网络安全4 4系统系统AdministratorAdministrator账号改名账号改名 防止管理员防止管理员账号密码被穷举账号密码被穷举，伪装成普通用户。，伪装成普通用户。2.2用户安全配置用户安全配置2024/7/1619计算机网络安全5 5创建一个陷阱用户创建一个陷阱用户 将管理员账号权限设置最将管理员账号权限设置最低，延缓攻击企图低，延缓攻击企图。2.2用户安全配置用户安全配置2024/7/1620计算机网络安全6 6更改默认权限更改默认权限 将共享文件的权限从将共享文件的权限从“Everyone”Everyone”改成改成“授权用户授权用户 。2.2用户安全配置用户安全配置2024/7/1621计算机网络安全7 7不显示上次登录用户名不显示上次登录用户名防止密码猜测，防止密码猜测，打开打开注册表编辑器并找到注册表项注册表编辑器并找到注册表项“HKEY_CURRENTSoftwareMicrosoftWindows HKEY_CURRENTSoftwareMicrosoftWindows NTCurrentVersionWinlogonDont-NTCurrentVersionWinlogonDont-DisplayLastUserNameDisplayLastUserName”，把，把REG_SZREG_SZ的键值改成的键值改成1 1。2.2用户安全配置用户安全配置2024/7/1622计算机网络安全8 8限制用户数量限制用户数量 减少入侵突破口，账户数不大于减少入侵突破口，账户数不大于1010 。9 9多个管理员帐号多个管理员帐号 减少管理员账号使用时间，减少管理员账号使用时间，避免被破解避免被破解 。创建一个一般用户权限帐号用来处理电子邮件及创建一个一般用户权限帐号用来处理电子邮件及处理一些日常事务，创建另一个有处理一些日常事务，创建另一个有AdministratorAdministrator权限的帐户在需要的时候使用。权限的帐户在需要的时候使用。2.2用户安全配置用户安全配置2024/7/1623计算机网络安全1010开启用户策略开启用户策略 可以有效的防止字典式攻可以有效的防止字典式攻击击 。当某一用户连续当某一用户连续5 5次录都失败后将自动锁定该次录都失败后将自动锁定该帐户，帐户，3030分钟后自动复位被锁定的帐户。分钟后自动复位被锁定的帐户。2.2用户安全配置用户安全配置2024/7/1624计算机网络安全2.3密码安全配置密码安全配置主要有主要有4 4类，分别描述如下：类，分别描述如下：1.1.安全密码安全密码 创建帐号时不用公司名、计算机创建帐号时不用公司名、计算机名、或者一些别的容易猜到的字符做用户名，名、或者一些别的容易猜到的字符做用户名，密码设置要复杂。密码设置要复杂。安全期内无法破解出来的密码就是安全期内无法破解出来的密码就是安全密码安全密码（密码策略是（密码策略是4242天必须改密码）天必须改密码）。2024/7/1625计算机网络安全2 2开启密码策略开启密码策略 对不同的帐户进行授权，使对不同的帐户进行授权，使其拥有和身份相应的权限。其拥有和身份相应的权限。策略策略设置设置要求要求密码复杂性要求密码复杂性要求启用启用数字和字母组合数字和字母组合密码最小值密码最小值6 6位位长度至少为长度至少为6 6密码最长存留期密码最长存留期1515天天超期要求改密码超期要求改密码强制密码历史强制密码历史5 5次次不能设置相同密码不能设置相同密码2.3密码安全配置密码安全配置2024/7/1626计算机网络安全3 3设置屏幕保护密码设置屏幕保护密码 防止内部人员破坏服务器防止内部人员破坏服务器的一个屏障。注意不要使用的一个屏障。注意不要使用OpenGLOpenGL和一些复杂和一些复杂的屏幕保护程序浪费系统资源，黑屏就可以了的屏幕保护程序浪费系统资源，黑屏就可以了 。2.3密码安全配置密码安全配置2024/7/1627计算机网络安全4 4加密文件或文件夹加密文件或文件夹 用加密工具来保护文件和用加密工具来保护文件和文件夹，以防别人偷看文件夹，以防别人偷看 。2.3密码安全配置密码安全配置2024/7/1628计算机网络安全2.4系统安全配置系统安全配置主要有主要有1111类，分别描述如下：类，分别描述如下：1.1.使用使用NTFSNTFS格式分区格式分区 所有分区都改成所有分区都改成NTFSNTFS格格式，式，NTFSNTFS文件系统要比文件系统要比FATFAT、FAT32FAT32的文件系的文件系统安全得多。统安全得多。2024/7/1629计算机网络安全2 2运行防毒软件运行防毒软件 不仅可杀掉一些著名的病毒，不仅可杀掉一些著名的病毒，还能查杀大量木马和后门程序。要注意经常运还能查杀大量木马和后门程序。要注意经常运行程序并升级病毒库。行程序并升级病毒库。2.4系统安全配置系统安全配置2024/7/1630计算机网络安全3 3下载最新的补丁下载最新的补丁经常访问微软和一些安全经常访问微软和一些安全站点，下载最新的站点，下载最新的Service PackService Pack和漏洞补丁。和漏洞补丁。2.4系统安全配置系统安全配置2024/7/1631计算机网络安全4 4关闭默认共享关闭默认共享 防止利用默认共享入侵防止利用默认共享入侵。默认共享目录默认共享目录路路 径径说说 明明C$D$E$C$D$E$分区的根目录分区的根目录Win2003 Advanced ServerWin2003 Advanced Server版中，只版中，只有有Administrator Administrator 和和Backup Backup OperatorsOperators级成员才可连接，级成员才可连接，Win2000 Win2000 ServerServer版本版本Server OperatorsServer Operators组也可组也可以连接到这些共享目录以连接到这些共享目录ADMIN$ADMIN$%SYSTEMTOOT%SYSTEMTOOT%远程管理用的共享目录。它的路径永远程管理用的共享目录。它的路径永远都指向远都指向WIN2003WIN2003的安装路径，比如的安装路径，比如C C：winntwinntIPC$IPC$IPC$IPC$共享提供了登的能力共享提供了登的能力PRIN$PRIN$SYSTEM32SYSTEM32 SPOOLSPOOL DRIVERDRIVERS S用户远程管理打印机用户远程管理打印机2.4系统安全配置系统安全配置2024/7/1632计算机网络安全5 5锁定注册表锁定注册表 防止防止黑客从远程访问注册表。黑客从远程访问注册表。修改修改Hkey_current_userHkey_current_user下的子键：下的子键：SoftwareMicrosoftwindowscurrentversionSoftwareMicrosoftwindowscurrentversionpoliciessystempoliciessystem，把把DisableRegistryToolsDisableRegistryTools值改为值改为0 0，类型为，类型为DWORDDWORD。2.4系统安全配置系统安全配置2024/7/1633计算机网络安全6 6禁止从软盘和光驱启动系统禁止从软盘和光驱启动系统 一些第三方一些第三方的工具能通过引导系统来绕过原有的安全机的工具能通过引导系统来绕过原有的安全机制制 。7.7.利用安全配置工具来配置安全策略利用安全配置工具来配置安全策略 利利用基于用基于MMCMMC（管理控制台）安全配置和分析工（管理控制台）安全配置和分析工具配置服务器。具配置服务器。http:/ p 2.4系统安全配置系统安全配置2024/7/1634计算机网络安全8 8开启审核策略开启审核策略 用安全审核来记录入侵日志。用安全审核来记录入侵日志。策略设置审核系统登录事件成功、失败审核帐户管理成功、失败审核登录事件成功、失败审核对象访问成功审核策略更改成功、失败审核特权使用成功、失败审核系统事件成功、失败2.4系统安全配置系统安全配置2024/7/1635计算机网络安全9 9加密加密Temp Temp 文件夹文件夹 给给TempTemp文件夹加密可以给文件多一文件夹加密可以给文件多一层保护。层保护。1010使用智能卡使用智能卡 用智能卡来代替复杂的密码。用智能卡来代替复杂的密码。1111使用使用IPSecIPSec 提供提供IPIP数据包的安全性。它提供身份验证、数据包的安全性。它提供身份验证、完整性和可选择的机密性。完整性和可选择的机密性。利用利用IPSecIPSec可以使得系统的安全性能大大增强。可以使得系统的安全性能大大增强。IPsec IPsec 在在 IP IP 层提供安全服务，它使系统能按需选择安全层提供安全服务，它使系统能按需选择安全协议，决定服务所使用的算法及放置需求服务所需密钥到协议，决定服务所使用的算法及放置需求服务所需密钥到相应位置。相应位置。IPsec IPsec 用来保护一条或多条主机与主机间、安用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。全网关与安全网关间、安全网关与主机间的路径。这些服务均在这些服务均在 IP IP 层提供，所以任何高层协议均能使用它层提供，所以任何高层协议均能使用它们，例如们，例如 TCP TCP、UDP UDP、ICMP ICMP、BGP BGP 等等。等等。2.4系统安全配置系统安全配置2024/7/1636计算机网络安全2.5服务安全配置服务安全配置主要有主要有5 5类，分别描述如下：类，分别描述如下：1.1.关闭不必要的端口关闭不必要的端口 减少被入侵的算途径，系减少被入侵的算途径，系统目录中的统目录中的system32driversetcservicessystem32driversetcservices文件中有知名端口和服务的对照表可供参考。文件中有知名端口和服务的对照表可供参考。如何设置本机开放的端口和服务？如何设置本机开放的端口和服务？2024/7/1637计算机网络安全2.5服务安全配置服务安全配置2024/7/1638计算机网络安全2 2设置好安全记录的访问权限设置好安全记录的访问权限 安全记录在安全记录在默认情况下是没有保护的，把它设置成只有默认情况下是没有保护的，把它设置成只有AdministratorsAdministrators和系统账户才有权访问。和系统账户才有权访问。2.5服务安全配置服务安全配置2024/7/1639计算机网络安全3 3备份敏感文件备份敏感文件 有必要把一些重要的用户数据有必要把一些重要的用户数据（存放在另外一个安全的服务器中，并且经常（存放在另外一个安全的服务器中，并且经常备份它们。备份它们。4 4禁止建立空连接禁止建立空连接默认情况下，任何用户都默认情况下，任何用户都可通过空连接连上服务器，进而枚举出账号，可通过空连接连上服务器，进而枚举出账号，猜测密码。我们可以通过修改注册表来禁止建猜测密码。我们可以通过修改注册表来禁止建立空连接：即把立空连接：即把Local_MachineSystemCurrentControlSetCLocal_MachineSystemCurrentControlSetControlLSA-RestrictAnonymousontrolLSA-RestrictAnonymous的值改成的值改成“1”1”即可。即可。2.5服务安全配置服务安全配置2024/7/1640计算机网络安全5 5关闭不必要的服务关闭不必要的服务 防止恶意程序以服务方式防止恶意程序以服务方式悄悄地运行服务器上的终端服务，要确认已经悄悄地运行服务器上的终端服务，要确认已经正确配置了终端服务。正确配置了终端服务。Windows 2000Windows 2000作为服务器可禁用的服务及其相作为服务器可禁用的服务及其相关说明如表所示。关说明如表所示。2.5服务安全配置服务安全配置2024/7/1641计算机网络安全2.6注册表配置注册表配置涉及到涉及到5 5类注册表配置，如下：类注册表配置，如下：1 1关机时清除文件关机时清除文件页面文件中可能含有另外页面文件中可能含有另外一些敏感产资料，因此要在关机的时候清除页一些敏感产资料，因此要在关机的时候清除页面文件。面文件。编辑注册表修改主键编辑注册表修改主键HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE下的下的子键子键 SystemCurrentControlSetControlControlSystemCurrentControlSetControlControlSessionManage/Memory Management SessionManage/Memory Management 把把ClearPageFileAtShutdownClearPageFileAtShutdown的值设置成的值设置成1 1。2024/7/1642计算机网络安全2 2关闭关闭DirectDraw DirectDraw C2C2级安全标准对视频和内级安全标准对视频和内存有一定要求。关闭存有一定要求。关闭DirectDrawDirectDraw可能对一些需可能对一些需要用到要用到DirectxDirectx程序有影响程序有影响(比如游戏比如游戏)，但是，但是对于绝大多数的商业站点是没有影响的。对于绝大多数的商业站点是没有影响的。修改主键修改主键HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE下的子键下的子键 SystemCurrentControlSetControlGraphicSystemCurrentControlSetControlGraphicsDriversDCITimeout sDriversDCITimeout 将键值设置成将键值设置成0 0。2.6注册表配置注册表配置2024/7/1643计算机网络安全3 3禁止判断主机类型禁止判断主机类型 黑客可利用黑客可利用TTLTTL（Time To Time To LiveLive，生存时间）值可以鉴别操作系统的类型，生存时间）值可以鉴别操作系统的类型，通过通过PingPing指令能判断目标主机类型。指令能判断目标主机类型。2.6注册表配置注册表配置2024/7/1644计算机网络安全修改主键修改主键HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE下的子键下的子键 SystemCurrentControlSetServicesTcpipSystemCurrentControlSetServicesTcpipParametersParameters，新建一个双字节项，在键的名称，新建一个双字节项，在键的名称中输入中输入“defaultTTL”defaultTTL”，然后双击该键名，选，然后双击该键名，选择择“十进制十进制”，在，在“数位数据数位数据”文本框中输入文本框中输入100100。设置完毕后需要重新启动计算机。设置完毕后需要重新启动计算机。2.6注册表配置注册表配置2024/7/1645计算机网络安全4 4抵抗抵抗DDOSDDOS添加注册表的一些键值，可以添加注册表的一些键值，可以有效的抵抗有效的抵抗DDOSDDOS（分布式拒绝服务）的攻击。（分布式拒绝服务）的攻击。在键值在键值HKEY_LOCAL_MACHINESYSTEMCurrentControlHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersSetServicesTcpipParameters下增加响应下增加响应的键及其说明。的键及其说明。2.6注册表配置注册表配置2024/7/1646计算机网络安全5 5禁止禁止GuestGuest访问日志访问日志 GuestGuest和匿名用户和匿名用户可以查看系统的事件日志，这可能导致许多重可以查看系统的事件日志，这可能导致许多重要的信息的泄漏。要的信息的泄漏。1 1）禁止）禁止GuestGuest访问应用日志访问应用日志在在HKEY_LOCAL_MACHINESystemCurrentControlHKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogApplicationSetServicesEventlogApplication下添加下添加键值名称为键值名称为“RestrictGuestAccess”RestrictGuestAccess”，类型，类型为为“DWORD”DWORD”，将值设置为，将值设置为1 1。2.6注册表配置注册表配置2024/7/1647计算机网络安全2 2）禁止）禁止GuestGuest访问系统日志访问系统日志在在HKEY_LOCAL_MACHINESystemCurrentControlSHKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogSystemetServicesEventlogSystem下添加键值名称下添加键值名称为为“RestrictGuestAccess”RestrictGuestAccess”，类型为，类型为“DWORD”DWORD”，将值设置为，将值设置为1 1。3 3）禁止）禁止GuestGuest访问安全日志访问安全日志在在HKEY_LOCAL_MACHINESystemCurrentControlSHKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogSecurityetServicesEventlogSecurity下添加键值名下添加键值名称为称为“RestrictGuestAccess”RestrictGuestAccess”，类型为，类型为“DWORD”DWORD”，将值设置为，将值设置为1 1。2.6注册表配置注册表配置2024/7/1648计算机网络安全2.7数据恢复软件数据恢复软件当数据被病毒或者入侵者破坏后，可以利用数当数据被病毒或者入侵者破坏后，可以利用数据恢复软件找回部分被删除的数据据恢复软件找回部分被删除的数据 。比较著。比较著名的有名的有FinalDataFinalData，EasyRecoveryEasyRecovery等。我们介等。我们介绍一下绍一下FinalDataFinalData。注意：原来的磁盘扇区被写上了新的文件，这注意：原来的磁盘扇区被写上了新的文件，这些数据就不能完全恢复！些数据就不能完全恢复！2024/7/1649计算机网络安全原来原来D D盘上有一些文件数据文件，现在被黑客盘上有一些文件数据文件，现在被黑客删除了，如何恢复？选择删除了，如何恢复？选择“文件文件”菜单，单击菜单，单击“打开打开”按钮，出现当前系统的分区情况，可按钮，出现当前系统的分区情况，可以选择需要恢复数据的分区，在这里选择以选择需要恢复数据的分区，在这里选择D D盘。盘。2.7数据恢复软件数据恢复软件2024/7/1650计算机网络安全选择分区后，软件对指定的分区的数据和目录选择分区后，软件对指定的分区的数据和目录进行扫描。扫描完成后，选择查找的扇区范围。进行扫描。扫描完成后，选择查找的扇区范围。2.7数据恢复软件数据恢复软件2024/7/1651计算机网络安全扫描完成后，选择查找的扇区范围。扫描完成后，选择查找的扇区范围。2.7数据恢复软件数据恢复软件2024/7/1652计算机网络安全扫描的结果，在软件左侧按目录、文件等进行扫描的结果，在软件左侧按目录、文件等进行分类。单击后内容出现在右侧中，下图所示是分类。单击后内容出现在右侧中，下图所示是已经被删除的目录，曾经被删除的文件。已经被删除的目录，曾经被删除的文件。2.7数据恢复软件数据恢复软件2024/7/1653计算机网络安全选中某个文件或者文件夹，单击右键，出现一个选中某个文件或者文件夹，单击右键，出现一个恢复按钮，然后单击恢复按钮，然后单击“恢复恢复”按钮，就可恢复被按钮，就可恢复被删除的文件或文件夹了。删除的文件或文件夹了。2.7数据恢复软件数据恢复软件2024/7/1654计算机网络安全小小结结第一部分首先介绍了网络操作系统的有第一部分首先介绍了网络操作系统的有关知识，并分析了的国内和国外安全操关知识，并分析了的国内和国外安全操作系统的评估标准。作系统的评估标准。第二部分主要介绍了第二部分主要介绍了Windows 2000Windows 2000的安的安全配置，分为用户安全设置、密码安全全配置，分为用户安全设置、密码安全设置、系统安全设置、服务安全设置、设置、系统安全设置、服务安全设置、注册表配置等五个方面共注册表配置等五个方面共3535项。项。2024/7/1655计算机网络安全习习题题1 1什么是操作系统的安全，主要研究什么内容？什么是操作系统的安全，主要研究什么内容？2 2简简述述操操作作系系统统帐帐号号密密码码的的重重要要性性，有有几几种种方方法法可能保护密码不被破解或者盗取？可能保护密码不被破解或者盗取？3 3简简述述审审核核策策略略、密密码码策策略略和和帐帐户户策策略略的的含含义义，以及这些策略如何保护操作系统不被入侵。以及这些策略如何保护操作系统不被入侵。4 4如何关闭不需要的端口和服务？如何关闭不需要的端口和服务？5 5完成所有本章的配置操作。完成所有本章的配置操作。以报告的形式编写以报告的形式编写Windows 2000Windows 2000配置方案。配置方案。2024/7/1656计算机网络安全