北京大学出版社2019/10/1网络安全技术12.2操作系统安全配置实验2.2.1用户安全配置主要有10类,分别描述如下:1.新建用户账号便于记忆与使用,而密码则要求有一定的长度与复杂度。北京大学出版社2019/10/1网络安全技术22.账户授权对不同的账户进行授权,使其拥有和身份相应的权限。北京大学出版社2019/10/1网络安全技术33.停用Guest用户把Guest账号禁用,并且修改Guest账号的属性,设置拒绝远程访问。北京大学出版社2019/10/1网络安全技术44.系统Administrator账号改名防止管理员账号密码被穷举,伪装成普通用户。北京大学出版社2019/10/1网络安全技术55.创建一个陷阱用户将管理员账号权限设置最低,延缓攻击企图。北京大学出版社2019/10/1网络安全技术66.更改默认权限将共享文件的权限从“Everyone”改成“授权用户。北京大学出版社2019/10/1网络安全技术77.不显示上次登录用户名防止密码猜测,打开注册表编辑器并找到注册表项“HKEY_CURRENT\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把REG_SZ的键值改成1。北京大学出版社2019/10/1网络安全技术88.限制用户数量减少入侵突破口,账户数不大于10。9.多个管理员账号减少管理员账号使用时间,避免被破解。创建一个一般用户权限账号用来处理电子邮件及处理一些日常事务,创建另一个有Administrator权限的账户在需要的时候使用。北京大学出版社2019/10/1网络安全技术910.开启用户策略可以有效的防止字典式攻击。当某一用户连续5次录都失败后将自动锁定该账户,30分钟后自动复位被锁定的账户。北京大学出版社2019/10/1网络安全技术102.2.2密码安全配置主要有4类,分别描述如下:1.安全密码创建账号时不用公司名、计算机名、或者一些别的容易猜到的字符做用户名,密码设置要复杂。安全期内无法破解出来的密码就是安全密码(密码策略是42天必须改密码)。北京大学出版社2019/10/1网络安全技术112.开启密码策略对不同的账户进行授权,使其拥有和身份相应的权限。策略设置要求密码复杂性要求启用数字和字母组合密码最小值6位长度至少为6密码最长存留期15天超期要求改密码强制密码历史5次不能设置相同密码北京大学出版社2019/10/1网络安全技术123.设置屏幕保护密码防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序浪费系统资源,黑屏就可以了。北京大学出版社2019/10/1网络安全技术134.加密文件或文件夹用加密工具来保护文件和文件夹,以防别人偷看。北京大学出版社2019/10/1网络安全技术142.2.3系统安全配置主要有11类,分别描述如下:1.使用NTFS格式分区所有分区都改成NTFS格式,NTFS文件系统要比FAT、FAT32的文件系统安全得多。北京大学出版社2019/10/1网络安全技术152.运行防毒软件不仅可杀掉一些著名的病毒,还能查杀大量木马和后门程序。要注意经常运行程序并升级病毒库。北京大学出版社2019/10/1网络安全技术163.下载最新的补丁经常访问微软和一些安全站点,下载最新的ServicePack和漏洞补丁。北京大学出版社2019/10/1网络安全技术174.关闭默认共享防止利用默认共享入侵。默认共享目录路径说明C$D$E$分区的根目录Win2003AdvancedServer版中,只有Administrator和BackupOperators级成员才可连接,Win2000Server版本ServerOperators组也可以连接到这些共享目录ADMIN$%SYSTEMTOOT%远程管理用的共享目录。它的路径永远都指向WIN2003的安装路径,比如C:\\winntIPC$IPC$共享提供了登的能力PRIN$SYSTEM32\SPOOL\DRIVERS用户远程管理打印机北京大学出版社2019/10/1网络安全技术185.锁定注册表防止黑客从远程访问注册表。修改Hkey_current_user下的子键:Software\Microsoft\windows\currentversion\policies\system,把DisableRegistryTools值改为0,类型为DWORD。北京大学出版社2019/10/1网络安全技术196.禁止从软盘和光驱启动系统一些第三方的工具能通过引导系统来绕过原有的安全机制。7.利用安全配置工具来配置安全策略利用基于MMC(管理控制台)安全配置和分析工具配置服务器。北京大学出版社2019/10/1网络安全技术208.开启审核策略用安全审核来记录入侵日志。策略设置审核系统登录事件成功、失败审核账户管理成功、失败审核登录事件成功、失败审核对象访问成功审核策略更改成功、失败审核特权使用成功、失败审核系统事件成功、失败北京大学出版社2019/10/1网络安全技术219.加密Temp文件夹给Temp文件夹加密可以给文件多一层保护。10.使用智能卡用智能卡来代替复杂的密码。11.使用IPSec提供IP数据包的安全性。它提供身份验证、完整性和可选择的机密性。利用IPSec可以使得系统的安全性能大大增强。北京大学出版社2019/10/1网络安全技术222.2.4服务安全配置主要有5类,分别描述如下:1.关闭不必要的端口减少被入侵的算途径,系统目录中的system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。如何设置本机开放的端口和服务?北京大学出版社2019/10/1网络安全技术23北京大学出版社2019/10/1网络安全技术242.设置好安全记录的访问权限安全记录在默认情况下是没有保护的,把它设置成只有Administrators和系统账户才有权访问。北京大学出版社2019/10/1网络安全技术253.备份敏感文件有必要把一些重要的用户数据(存放在另外一个安全的服务器中,并且经常备份它们。4.禁止建立空连接默认情况下,任何用户都可通过空连接连上服务器,进而枚举出账号,猜测密码。我们可以通过修改注册表来禁止建立空连接:即把Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成“1”即可。北京大学出版社2019/10/1网络安全技术265.关闭不必要的服务防止恶意程序以服务方式悄悄地运行服务器上的终端服务,要确认已经正确配置了终端服务。Windows2000作为服务器可禁用的服务及其相关说明如表所示。北京大学出版社2019/10/1网络安全技术272.2.5注册表配置涉及到5类注册表配置,如下:1.关机时清除文件页面文件中可能含有另外一些敏感产资料,因此要在关机的时候清除页面文件。编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键System\CurrentControlSet\Control\Control\SessionManage/MemoryManagement把ClearPageFileAtShutdown的值设置成1。北京大学出版社2019/10/1网络安全技术282.关闭DirectDrawC2级安全标准对视频和内存有一定要求。关闭DirectDraw可能对一些需要用到Directx程序有影响(比如游戏),但是对于绝大多数的商业站点是没有影响的。修改主键HKEY_LOCAL_MACHINE下的子键System\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout将键值设置成0。北京大学出版社2019/10/1网络安全技术293.禁止判断主机类型黑客可利用TTL(TimeToLive,生存时间)值可以鉴别操作系统的类型,通过Ping指令能判断目标主机类型。北京大学出版社2019/10/1网络安全技术30修改主键HKEY_LOCAL_MACHINE下的子键System\CurrentControlSet\Services\Tcpip\Parameters,新建一个双字节项,在键的名称中输入“defaultTTL”,然后双击该键名,选择“十进制”,在“数位数据”文本框中输入100。设置完毕后需要重新启动计算机。北京大学出版社2019/10/1网络安全技术314.抵抗DDOS添加注册表的一些键值,可以有效的抵抗DDOS(分布式拒绝服务)的攻击。在键值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters下增加响应的键及其说明。北京大学出版社2019/10/1网络安全技术325.禁止Guest访问日志Guest和匿名用户可以查看系统的事件日志,这可能导致许多重要的信息的泄漏。1)禁止Guest访问应用日志在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application下添加键值名称为“RestrictGuestAccess”,类型为“DWORD”,将值设置为1。北京大学出版社2019/10/1网络安全技术332)禁止Guest访问系统日志在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System下添加键值名称为“RestrictGuestAccess”,类型为“DWORD”,将值设置为1。3)禁止Guest访问安全日志在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Security下添加键值名称为“RestrictGuestAccess”,类型为“DWORD”,将值设置为1。北京大学出版社2019/10/1网络安全技术342.2.6数据恢复软件当数据被病毒或者入侵者破坏后,可以利用数据恢复软件找回部分被删除的数据。比较著名的有FinalData,EasyRecovery等。我们介绍一下FinalData。注意:原来的磁盘扇区被写上了新的文件,这些数据就不能完全恢复!北京大学出版社2019/10/1网络安全技术35原来D盘上有一些文件数据文件,现在被黑客删除了,如何恢复?选择“文件”菜单,单击“打开”按钮,出现当前系统的分区情况,可以选择需要恢复数据的分区,在这里选择D盘。北京大学出版社2019/10/1网络安全技术36选择分区后,软件对指定的分区的数据和目录进行扫描。扫描完成后,选择查找的扇区范围。北京大学出版社2019/10/1网络安全技术37扫描完成后,选择查找的扇区范围。北京大学出版社2019/10/1网络安全技术38扫描的结果,在软件左侧按目录、文件等进行分类。单击后内容出现在右侧中,下图所示是已经被删除的目录,曾经被删除的文件。北京大学出版社2019/10/1网络安全技术39选中某个文件或者文件夹,单击右键,出现一个恢复按钮,然后单击“恢复”按钮,就可恢复被删除的文件或文件夹了。北京大学出版社2019/10/1网络安全技术40习题1.什么是操作系统的安全,主要研究什么内容?2.简述操作系统账号密码的重要性,有几种方法可能保护密码不被破解或者盗取?3.简述审核策略、密码策略和账户策略的含义,以及这些策略如何保护操作系统不被入侵。4.如何关闭不需要的端口和服务?5.完成所有本章的配置操作。以报告的形式编写Windows2000配置方案。北京大学出版社2019/10/1网络安全技术41小结第一部分首先介绍了网