操作系統(tǒng)安全配■方案內(nèi)容提要Windows的安全配置。操作系統(tǒng)的安全將決定網(wǎng)絡(luò)的安全，從愛惜級(jí)別上分成安全低級(jí)篇、中級(jí)篇和高級(jí)篇，共36條大體配置原則。安全配置低級(jí)篇講述常規(guī)的操作系統(tǒng)安全配置，中級(jí)篇介紹操作系統(tǒng)的安全策略配置，高級(jí)篇介紹操作系統(tǒng)安全信息通信配置。操作系統(tǒng)概述目前服務(wù)器經(jīng)常使用的操作系統(tǒng)有三類：UnixLinuxWindowsNT/2000/2003Servero這些操作系統(tǒng)都是符合C2級(jí)安全級(jí)別的操作系統(tǒng)?？墒嵌即嬖诤芏嗦┒?，若是對(duì)這些漏洞不了解，不采取相應(yīng)的方法，就會(huì)使操作系統(tǒng)完全暴露給入侵者。UNIX系統(tǒng)UNIX操作系統(tǒng)是由美國貝爾實(shí)驗(yàn)室開發(fā)的一種多用戶、多任務(wù)的通用操作系統(tǒng)。它從一個(gè)實(shí)驗(yàn)室的產(chǎn)品進(jìn)展成為當(dāng)前利用普遍、阻礙深遠(yuǎn)的主流操作系統(tǒng)。UNIX誕生于20世紀(jì)60年代末期，貝爾實(shí)驗(yàn)室的研究人員于1969年開始在GE645運(yùn)算機(jī)上實(shí)現(xiàn)一種分時(shí)操作系統(tǒng)的雛形，后來該系統(tǒng)被移植到了DEC的PDP-7小型機(jī)上。1970年給系統(tǒng)正式取名為Unix操作系統(tǒng)。到1973年，Unix系統(tǒng)的絕大部份源代碼都用C語言從頭編寫過，大大提高了Unix系統(tǒng)的可移植性，也為提高系統(tǒng)軟件的開發(fā)效率制造了條件。要緊特色UNIX操作系統(tǒng)通過20連年的進(jìn)展后，已經(jīng)成為一種成熟的主流操作系統(tǒng)，并在進(jìn)展進(jìn)程中慢慢形成了一些新的特色，其中要緊特色包括5個(gè)方面。（1）靠得住性高（2）極強(qiáng)的伸縮性（3）網(wǎng)絡(luò)功能強(qiáng)（4）壯大的數(shù)據(jù)庫支持功能（5）開放性好Linux系統(tǒng)Linux是一套能夠免費(fèi)利用和自由傳播的類Unix操作系統(tǒng)，要緊用于基于Intelx86系列CPU的運(yùn)算機(jī)上。那個(gè)系統(tǒng)是由全世界各地的成千上萬的程序員設(shè)計(jì)和實(shí)現(xiàn)的。其目的是成立不受任何商品化軟件的版權(quán)制約的、全世界都能自由利用的Unix兼容產(chǎn)品。Linux最先開始于一名名叫LinusTorvalds的運(yùn)算機(jī)業(yè)余愛好者，那時(shí)他是芬蘭赫爾辛基大學(xué)的學(xué)生。目的是想設(shè)計(jì)一個(gè)代替Minix（是由一名名叫AndrewTannebaum的運(yùn)算機(jī)教授編寫的一個(gè)操作系統(tǒng)示教程序）的操作系統(tǒng)。那個(gè)操作系統(tǒng)可用于386、486或奔騰處置器的個(gè)人運(yùn)算機(jī)上，而且具有Unix操作系統(tǒng)的全數(shù)功能。Linux是一個(gè)免費(fèi)的操作系統(tǒng)，用戶能夠免費(fèi)取得其源代碼，并能夠隨意修改。它是在共用許可證GPL（GeneralPublicLicense）愛惜下的自由軟件，也有好幾種版本，如RedHatLinux、Slackware，和國內(nèi)的XteamLinux、紅旗Linux等等。Linux的流行是因?yàn)樗哂性S多優(yōu)勢(shì)，典型的優(yōu)勢(shì)有7個(gè)。Linux典型的優(yōu)勢(shì)有7個(gè)。（1）完全免費(fèi)（2）完全兼容POSIX標(biāo)準(zhǔn)（3）多用戶、多任務(wù)（4）良好的界面（5）豐碩的網(wǎng)絡(luò)功能（6）靠得住的安全、穩(wěn)固性能（7）支持多種平臺(tái)Windows系統(tǒng)Windows系統(tǒng)是現(xiàn)今最流行的操作系統(tǒng)，進(jìn)展通過WIN9X、WINME、WINXP、、NT40、（Windows2000）和（Windows2003）等眾多版本，并慢慢占據(jù)了廣大的中小網(wǎng)絡(luò)操作系統(tǒng)的市場(chǎng)。WindowsNT以后的版本的操作系統(tǒng)利用了與Windows9X完全一致的用戶界面和完全相同的操作方式，利用戶利用起來比較方便。與Windows9X相較，WindowsNT及后續(xù)版本的網(wǎng)絡(luò)功能加倍壯大而且安全。WindowsNT以后的操作系統(tǒng)具有以下三方面的優(yōu)勢(shì)。（1）支持多種網(wǎng)絡(luò)協(xié)議由于在網(wǎng)絡(luò)中可能存在多種客戶機(jī)，如Windows95/9八、AppleMacintosh.Unix、OS/2等等，而這些客戶機(jī)可能利用了不同的網(wǎng)絡(luò)協(xié)議，如TCP/IP協(xié)議、IPX/SPX等。WindowsNT以后的操作系統(tǒng)操作支持幾乎所有常見的網(wǎng)絡(luò)協(xié)議。(2)內(nèi)置Internet功能隨著Internet的流行和TCP/IP協(xié)議組的標(biāo)準(zhǔn)化，WindowsNT以后的操作系統(tǒng)內(nèi)置了IIS(InternetInformationServer)，能夠使網(wǎng)絡(luò)治理員輕松的配置WWW和FTP等服務(wù)。(3)支持NTFS文件系統(tǒng)Windows9X所利用的文件系統(tǒng)是FAT，在NT中內(nèi)置同時(shí)支持「人丁和NTFS的磁盤分區(qū)格式。利用NTFS的益處主若是能夠提高文件治理的安全性，用戶能夠?qū)TFS系統(tǒng)中的任何文件、目錄設(shè)置權(quán)限，如此當(dāng)多用戶同時(shí)訪問系統(tǒng)的時(shí)候，能夠增加文件的安全性。安全配置方案低級(jí)篇安全配置方案低級(jí)篇要緊介紹常規(guī)的操作系統(tǒng)安全配置，包括十二條大體配置原則：物理安全、停止Guest帳號(hào)、限制用戶數(shù)量創(chuàng)建多個(gè)治理員帳號(hào)、治理員帳號(hào)更名陷阱帳號(hào)、更改默許權(quán)限、設(shè)置安全密碼屏幕愛惜密碼、利用NTFS分區(qū)運(yùn)行防毒軟件和確保備份盤安全。1、物理安全服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，而且監(jiān)視器要保留15天以上的攝像記錄。另外，機(jī)箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即便進(jìn)入房間也無法利用電腦，鑰匙要放在安全的地址。2、停止Guest帳號(hào)在運(yùn)算機(jī)治理的用戶里面把Guest帳號(hào)停用，任何時(shí)候都不許諾Guest帳號(hào)登岸系統(tǒng)。為了保險(xiǎn)起見，最好給Guest加一個(gè)復(fù)雜的密碼，能夠打開記事本，在里面輸入一串包括特殊字符，數(shù)字，字母的長(zhǎng)字符串。用它作為Guest帳號(hào)的密碼。而且修改Guest帳號(hào)的屬性，設(shè)置拒絕遠(yuǎn)程訪問，如圖1所示3限制用戶數(shù)量去掉所有的測(cè)試帳戶、共享帳號(hào)和一般部門帳號(hào)等等。用戶組策略設(shè)置相應(yīng)權(quán)限，而且常常檢查系統(tǒng)的帳戶，刪除已經(jīng)不利用的帳戶。帳戶很多是黑客們?nèi)肭窒到y(tǒng)的沖破口，系統(tǒng)的帳戶越多，黑客們?nèi)〉煤戏ㄓ脩舻臋?quán)限可能性一樣也就越大。關(guān)于WindowsNT/2000/XP主機(jī)，若是系統(tǒng)帳戶超過10個(gè)，一樣能找出一兩個(gè)弱口令帳戶，因此帳戶數(shù)量不要大于10個(gè)。4多個(gè)治理員帳號(hào)盡管這點(diǎn)看上去和上面有些矛盾，但事實(shí)上是服從上面規(guī)則的。創(chuàng)建一個(gè)一樣用戶權(quán)限帳號(hào)用來處置電子郵件和處置一些日常事物，另一個(gè)擁有Administrator權(quán)限的帳戶只在需要的時(shí)候利用。因?yàn)橹灰卿浵到y(tǒng)以后，密碼就存儲(chǔ)再WinLogon進(jìn)程中，當(dāng)有其他用戶入侵運(yùn)算機(jī)的時(shí)候就能夠夠取得登錄用戶的密碼，盡可能減少Administrator登錄的次數(shù)和時(shí)刻。5治理員帳號(hào)更名Windows2000和WindowsXp中的Administrator帳號(hào)是不能被停用的，這意味著他人能夠一遍又一邊的嘗試那個(gè)帳戶的密碼。把Administrator帳戶更名能夠有效的避免這一點(diǎn)。不要利用Admin之類的名字，改了等于沒改，盡可能把它假裝成一般用戶，比如改成：guestone。具體操作的時(shí)候只要選中帳戶名更名就能夠夠了。6陷阱帳號(hào)所謂的陷阱帳號(hào)是創(chuàng)建一個(gè)名為"Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，而且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼。如此能夠讓那些企圖入侵者忙上一段時(shí)刻了，而且能夠借此發(fā)覺它們的入侵企圖。能夠?qū)⒃撚脩綦`屬的組修改成Guests組。依照HACKER提示。把那個(gè)賬戶不加權(quán)限為最安全狀態(tài)！謝謝7更改默許權(quán)限共享文件的權(quán)限從"Everyone"組改成"授權(quán)用戶"。"Everyone"在Windows2000中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠取得這些共享資料。任何時(shí)候不要把共享文件的用戶設(shè)置成"Everyone"組。包括打印共享，默許的屬性確實(shí)是"Everyone"組的，必然不要忘了改。設(shè)置某文件夾共享默許設(shè)置如圖所示。8安全密碼好的密碼關(guān)于一個(gè)網(wǎng)絡(luò)是超級(jí)重要的，可是也是最容易被忽略的。一些網(wǎng)絡(luò)治理員創(chuàng)建帳號(hào)的時(shí)候往往用公司名，運(yùn)算機(jī)名，或一些別的一猜就到的字符做用戶名，然后又把這些帳戶的密碼設(shè)置得比較簡(jiǎn)單，比如：“welcome"、“iloveyou"、“l(fā)etmein"或和用戶名相同的密碼等。如此的帳戶應(yīng)該要求用戶首此登岸的時(shí)候更改成復(fù)雜的密碼，還要注意常常更改密碼。那個(gè)地址給好密碼下了個(gè)概念:安全期內(nèi)無法破解出來的密碼確實(shí)是好密碼，也確實(shí)是說，若是取得了密碼文檔，必需花43天或更長(zhǎng)的時(shí)刻才能破解出來，密碼策略是42天必需改密碼.9屏幕愛惜密碼設(shè)置屏幕愛惜密碼是避免內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。注意不要利用OpenGL和一些復(fù)雜的屏幕愛惜程序，浪費(fèi)系統(tǒng)資源，黑屏就能夠夠了。還有一點(diǎn)，所有系統(tǒng)用戶所利用的機(jī)械也最好加上屏幕愛惜密碼。將屏幕愛惜的選項(xiàng)“密碼愛惜"選中就能夠夠了，并將等待時(shí)刻設(shè)置為最短時(shí)刻“1秒"。把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。11防毒軟件Windows沒有安裝防毒軟件的，一些好的殺毒軟件不僅能殺掉一些聞名的病毒，還能查殺大量木馬和后門程序。建議利用NOD32等殺毒軟件，具體能夠去安全區(qū)討論.設(shè)置了防毒軟件，"黑客"們利用的那些出名的木馬就毫無用武之地了，而且要常常升級(jí)病毒庫。12備份盤的安全一旦系統(tǒng)資料被黑客破壞，備份盤將是恢復(fù)資料的唯一途徑。備份完資料后，把備份盤防在安全的地址。不能把資料備份在同一臺(tái)服務(wù)器上，如此的話還不如不要備份。安全配置方案中級(jí)篇安全配置方案中級(jí)篇要緊介紹操作系統(tǒng)的安全策略配置，包括十條大體配置原則：操作系統(tǒng)安全策略、關(guān)閉沒必要要的服務(wù)關(guān)閉沒必要要的端口、開啟審核策略開啟密碼策略、開啟帳戶策略、備份靈敏文件不顯示上次登岸名、禁止成立空連接和下載最新的補(bǔ)丁1操作系統(tǒng)安全策略利用Windows2000的安全配置工具來配置安全策略，微軟提供了一套的基于治理操縱臺(tái)的安全配置和分析工具，能夠配置服務(wù)器的安全策略。在治理工具中能夠找到“本地安全策略"，主界面如圖所示。能夠配置四類安全策略：帳戶策略、本地策略、公鑰策略和IP安全策略。在默許的情形下，這些策略都是沒有開啟的。2關(guān)閉沒必要要的服務(wù)Windows的TerminalServices（終端服務(wù)）和IIS（Internet信息服務(wù)）等都可能給系統(tǒng)帶來安全漏洞。為了能夠在遠(yuǎn)程方便的治理服務(wù)器，很多機(jī)械的終端服務(wù)都是開著的，若是開了，要確認(rèn)已經(jīng)正確的配置了終端服務(wù)。有些歹意的程序也能以服務(wù)方式偷偷的運(yùn)行服務(wù)器上的終端服務(wù)。要留意服務(wù)器上開啟的所有服務(wù)并天天檢查。Windows及WINXP作為可禁用的服務(wù)及其相關(guān)說明如下表所示。服務(wù)名說明ComputerBrowser保護(hù)網(wǎng)絡(luò)上運(yùn)算機(jī)的最新列表和提供那個(gè)列表Taskscheduler許諾程序在指按時(shí)刻運(yùn)行RoutingandRemoteAccess在局域網(wǎng)和廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)Removablestorage治理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫RemoteRegistryService許諾遠(yuǎn)程注冊(cè)表操作PrintSpooler將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的用戶不能禁用這項(xiàng)服務(wù)IPSECPolicyAgent治理IP安全策略和啟動(dòng)ISAKMP/Oakley(IKE)和IP安全驅(qū)動(dòng)程序DistributedLinkTrackingClient當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動(dòng)時(shí)發(fā)送通知Com+EventSystem提供事件的自動(dòng)發(fā)布到定閱COM組件3關(guān)閉沒必要要的端口關(guān)閉端口意味著減少功能，若是服務(wù)器安裝在防火墻的后面，被入侵的機(jī)遇就會(huì)少一些，可是不能夠以為安枕無憂了。用端口掃描器掃描系統(tǒng)所開放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服務(wù)的對(duì)照表可供參考。該文件用記事本打開如圖所示。設(shè)置本機(jī)開放的端口和服務(wù)，在IP地址設(shè)置窗口中點(diǎn)擊按鈕“高級(jí)"。在顯現(xiàn)的對(duì)話框當(dāng)選擇選項(xiàng)卡“選項(xiàng)"，選中“TCP/IP挑選"，點(diǎn)擊按鈕“屬性"。設(shè)置端口界面如圖所示。一臺(tái)Web服務(wù)器只許諾TCP的80端口通過就能夠夠了。個(gè)人運(yùn)算性能夠不利用，咱們說的禁止端口就能夠夠在那個(gè)地址進(jìn)行。而不用防火墻來進(jìn)行！.TCP/IP挑選器是Windows自帶的防火墻，功能比較壯大，能夠替代防火墻的部份功能。依照HACK提示還得許諾DNS的53口。可是前提是你的這臺(tái)服務(wù)器是DNS服務(wù)器。不然能夠不開4開啟審核策略安全審核是Windows2000最大體的入侵檢測(cè)方式。當(dāng)有人嘗試對(duì)系統(tǒng)進(jìn)行某種方式（如嘗試用戶密碼，改變帳戶策略和未經(jīng)許可的文件訪問等等）入侵的時(shí)候，都會(huì)被安全審核記錄下來。很多的治理員在系統(tǒng)被入侵了幾個(gè)月都不明白，直到系統(tǒng)受到破壞。表2的這些審核是必需開啟的，其他的能夠依照需要增加。審核策略在默許的情形下都是沒有開啟的。雙擊審核列表的某一項(xiàng)，顯現(xiàn)設(shè)置對(duì)話框，將復(fù)選框“成功"和“失敗"都選中。5開啟密碼策略密碼對(duì)系統(tǒng)安全超級(jí)重要。本地安全設(shè)置中的密碼策略在默許的情形下都沒有開啟。需要開啟的密碼策略如表所示策略設(shè)置密碼復(fù)雜性要求啟用密碼長(zhǎng)度最小值6位密碼最長(zhǎng)存留期15天強(qiáng)制密碼歷史5個(gè)設(shè)置選項(xiàng)如圖所示。6開啟帳戶策略開啟帳戶策略能夠有效的避免字典式解決，設(shè)置如表所示。策略設(shè)置復(fù)位帳戶鎖定計(jì)數(shù)器30分鐘帳戶鎖按時(shí)刻30分鐘帳戶鎖定閾值5次設(shè)置帳戶策略設(shè)置的結(jié)果如圖所示。7備份靈敏文件把靈敏文件寄存在另外的文件服務(wù)器中，盡管服務(wù)器的硬盤容量都專門大，可是仍是應(yīng)該考慮把一些重要的用戶數(shù)據(jù)（文件，數(shù)據(jù)表和項(xiàng)目文件等）寄存在另外一個(gè)安全的服務(wù)器中，而且常常備份它們8不顯示上次登錄名默許情形下，終端服務(wù)接入服務(wù)器時(shí)，登岸對(duì)話框中會(huì)顯示上次登岸的帳戶名，本地的登岸對(duì)話框也是一樣。黑客們能夠取得系統(tǒng)的一些用戶名，進(jìn)而做密碼猜想。修改注冊(cè)表禁止顯示上次登錄名，在HKEY_LOCAL_MACHINE主鍵下修改子鍵：Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，將鍵值改成1。9禁止成立空連接默許情形下，任何用戶通過空連接連上服務(wù)器，進(jìn)而能夠列舉出帳號(hào)，猜想密碼。能夠通過修改注冊(cè)表來禁止成立空連接。在HKEY_LOCAL_MACHINE主鍵下修改子鍵：System\CurrentControlSet\Control\LSA\RestrictAnonymous，將鍵值改成"1”即可。10下載最新的補(bǔ)丁很多初學(xué)者沒有訪問安全站點(diǎn)的適應(yīng)，以至于一些漏洞都出了好久了，還放著漏洞不補(bǔ)給人家當(dāng)靶子用。誰也不敢保證數(shù)百萬行以上代碼的Windows不出一點(diǎn)安全漏洞。常常訪問微軟和一些安全站點(diǎn)，下載最新的ServicePack和漏洞補(bǔ)丁，是保障服務(wù)器長(zhǎng)久安全的唯一方式。點(diǎn)開始-windowsupdate去打上最新補(bǔ)丁安全配置方案高級(jí)篇高級(jí)篇介紹操作系統(tǒng)安全信息通信配置，包括十四條配置原則:關(guān)閉DirectDraw、關(guān)閉默許共享禁用DumpFile、文件加密系統(tǒng)加密Temp文件夾、鎖住注冊(cè)表、關(guān)機(jī)時(shí)清除文件禁止軟盤光盤啟動(dòng)、利用智能卡、利用IPSec禁止判定主機(jī)類型、抗擊DDOS禁止Guest訪問日記和數(shù)據(jù)恢復(fù)軟件1關(guān)閉DirectDrawC2級(jí)安全標(biāo)準(zhǔn)對(duì)視頻卡和內(nèi)存有要求。關(guān)閉DirectDraw可能對(duì)一些需要用到DirectX的程序有阻礙（比如游戲），可是關(guān)于絕大多數(shù)的商業(yè)站點(diǎn)都是沒有阻礙的。在HKEY_LOCAL_MACHINE主鍵下修改子鍵：SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，將鍵值改成“0即可，如圖17所示也能夠在開始菜單的運(yùn)行中dxdiag,在里面的顯示選項(xiàng)卡中點(diǎn)禁用DirectDraw加速。2關(guān)閉默許共享Windows安裝以后，系統(tǒng)會(huì)創(chuàng)建一些隱藏的共享，能夠在DOS提示符下輸入命令NetShare查看。停止默許共享在WindowsXp下能夠輸入netshare共享盤符$/del,如下圖在WINDOWS2000下能夠打開治理工具>運(yùn)算機(jī)治理>共享文件夾>共享，在相應(yīng)的共享文件夾上按右鍵，點(diǎn)停止共享即可。3禁用Dump文件在系統(tǒng)崩潰和藍(lán)屏的時(shí)候，Dump文件是一份很有效資料，能夠幫忙查找問題。但是，也能夠給黑客提供一些靈敏信息，比如一些應(yīng)用程序的密碼等需要禁止它，打開操縱面板>系統(tǒng)屬性>高級(jí)>啟動(dòng)和故障恢復(fù)，把事件寫入系統(tǒng)日去掉勾。4文件加密系統(tǒng)Windows壯大的加密系統(tǒng)能夠給磁盤，文件夾，文件加上一層安全愛惜。如此能夠避免他人把你的硬盤掛到別的機(jī)械上以讀出里面的數(shù)據(jù)。微軟公司為了彌補(bǔ)WindowsNT的不足，在Windows2000及后續(xù)版本中，提供了一種基于新一代NTFS:NTFSV5（第5版本）的加密文件系統(tǒng)（EncryptedFileSystem，簡(jiǎn)稱EFS）。EFS實(shí)現(xiàn)的是一種基于公共密鑰的數(shù)據(jù)加密方式，利用了WindowsNT結(jié)構(gòu)中的CryptoAPI結(jié)構(gòu)。5加密Temp文件夾一些應(yīng)用程序在安裝和升級(jí)的時(shí)候，會(huì)把一些東西拷貝到Temp文件夾，可是當(dāng)程序升級(jí)完畢或關(guān)閉的時(shí)候，并非會(huì)自己清除Temp文件夾的內(nèi)容。因此，給Temp文件夾加密能夠給你的文件多一層愛惜。6鎖住注冊(cè)表在Windows2000中，只有Administrators和BackupOperators才有從網(wǎng)絡(luò)上訪問注冊(cè)表的權(quán)限。當(dāng)帳號(hào)的密碼泄漏以后，黑客也能夠在遠(yuǎn)程訪問注冊(cè)表，當(dāng)服務(wù)器放到網(wǎng)絡(luò)上的時(shí)候，一樣需要鎖定注冊(cè)表。修改Hkey_current_user下的子鍵Software\microsoft\windows\currentversion\Policies\system把DisableRegistryTools的值該為0，類型為DWORD。7關(guān)機(jī)時(shí)清除文件頁面文件也確實(shí)是調(diào)度文件，是Windows2000用來存儲(chǔ)沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部份的隱藏文件。盡管浪費(fèi)了一些時(shí)刻偶以為是值得的拉！一些第三方的程序能夠把一些沒有的加密的密碼存在內(nèi)存中，頁面文件中可能含有另外一些靈敏的資料。要在關(guān)機(jī)的時(shí)候清楚頁面文件，能夠編輯注冊(cè)表修改主鍵HKEY_LOCAL_MACHINE下的子鍵：SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPageFileAtShutdown的值設(shè)置成1。8禁止軟盤光盤啟動(dòng)一些第三方的工具能通過引導(dǎo)系統(tǒng)來繞過原有的安全機(jī)制。比如一些治理員工具，從軟盤上或光盤上引導(dǎo)系統(tǒng)以后，就能夠夠修改硬盤上操作系統(tǒng)的治理員密碼。若是電腦對(duì)安全要求超級(jí)高，能夠考慮利用可移動(dòng)軟盤和光驅(qū)，把機(jī)箱鎖起來仍然不失為一個(gè)好方式。9利用智能卡關(guān)于密碼，老是使安全治理員進(jìn)退維谷，容易受到一些工具的解決，若是密碼太復(fù)雜，用戶把為了記住密碼，會(huì)把密碼處處亂寫。若是條件許諾，用智能卡來代替復(fù)雜的密碼是一個(gè)專門好的解決方式。10利用IPSec正如其名字的含義，IPSec提供IP數(shù)據(jù)包的安全性。IPSec提供身份驗(yàn)證、完整性和可選擇的機(jī)密性。發(fā)送方運(yùn)算機(jī)在傳輸之前加密數(shù)據(jù)，而接收方運(yùn)算機(jī)在收到數(shù)據(jù)以后解密數(shù)據(jù)。利用IPSec能夠使得系統(tǒng)的安全性能大大增強(qiáng)。11禁止判定主機(jī)類型黑客利用TTL（Time-To-Live，活動(dòng)時(shí)刻）值能夠辨別操作系統(tǒng)的類型，通過Ping指令能判定目標(biāo)主機(jī)類型。Ping的用途是檢測(cè)目標(biāo)主機(jī)是不是連通。許多入侵者第一會(huì)Ping一下主機(jī)，因?yàn)榻鉀Q某一臺(tái)運(yùn)算機(jī)需要依照對(duì)方的操作系統(tǒng)，是Windows仍是Unix。如過TTL值為128就能夠夠以為你的系統(tǒng)為Windows2000。從圖中能夠看出，TTL值為128，說明改主機(jī)的操作系統(tǒng)是Windows2000操作系統(tǒng)。表給出了一些常見操作系統(tǒng)的對(duì)照值。操作系統(tǒng)類型TTL返回值Windows2000128WindowsNT107win9x128or127solaris252IRIX240AIX247Linux241or240修改TTL的值，入侵者就無法入侵電腦了。比如將操作系統(tǒng)的TTL值改成111，修改主鍵HKEY_LOCAL_MACHINE的子鍵：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS新建一個(gè)雙字節(jié)項(xiàng)。在鍵的名稱中輸入“defaultTTL”，然后雙擊改鍵名，選擇單選框“十進(jìn)制”，在文本框中輸入111。設(shè)置完畢從頭啟動(dòng)運(yùn)算機(jī)，再用Ping指令，發(fā)覺TTL的值已經(jīng)被改成111了。12抗擊DDOS添加注冊(cè)表的一些鍵值，能夠有效的抗擊DDOS的解決。在鍵值[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加響應(yīng)的鍵及其說明如下所示。增加的鍵值鍵值說明"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000000"KeepAliveTime"=dword:00000000"PerformRouterDiscovery"=dword:00000000大體設(shè)置"EnableICMPRedirects"=dword:00000000避免ICMP重定向報(bào)文的解決"SynAttackProtect"=dword:00000002避免SYN洪水解決"TcpMaxHalfOpenRetried"=dword:00000080僅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried設(shè)置超出范圍時(shí)，愛惜機(jī)制才會(huì)采取方法"TcpMaxHalfOpen"=dword:00000100"IGMPLevel"=dword:00000000不支持IGMP協(xié)議"EnableDeadGWDetect"=dword