第七章操作系統(tǒng)安全配置方案7內(nèi)容提要本章介紹Windows2000服務(wù)器的安全配置。操作系統(tǒng)的安全將決定網(wǎng)絡(luò)的安全，從保護(hù)級(jí)別上分成安全初級(jí)篇、中級(jí)篇和高級(jí)篇，共36條基本配置原則。安全配置初級(jí)篇講述常規(guī)的操作系統(tǒng)安全配置，中級(jí)篇介紹操作系統(tǒng)的安全策略配置，高級(jí)篇介紹操作系統(tǒng)安全信息通信配置。操作系統(tǒng)概述目前服務(wù)器常用的操作系統(tǒng)有三類：UnixLinuxWindowsNT/2000/2003Server。這些操作系統(tǒng)都是符合C2級(jí)安全級(jí)別的操作系統(tǒng)。但是都存在不少漏洞，如果對(duì)這些漏洞不了解，不采取相應(yīng)的措施，就會(huì)使操作系統(tǒng)完全暴露給入侵者。UNIX系統(tǒng)UNIX操作系統(tǒng)是由美國(guó)貝爾實(shí)驗(yàn)室開發(fā)的一種多用戶、多任務(wù)的通用操作系統(tǒng)。它從一個(gè)實(shí)驗(yàn)室的產(chǎn)品發(fā)展成為當(dāng)前使用普遍、影響深遠(yuǎn)的主流操作系統(tǒng)。UNIX誕生于20世紀(jì)60年代末期，貝爾實(shí)驗(yàn)室的研究人員于1969年開始在GE645計(jì)算機(jī)上實(shí)現(xiàn)一種分時(shí)操作系統(tǒng)的雛形，后來該系統(tǒng)被移植到了DEC的PDP-7小型機(jī)上。1970年給系統(tǒng)正式取名為Unix操作系統(tǒng)。到1973年，Unix系統(tǒng)的絕大部分源代碼都用C語言重新編寫過，大大提高了Unix系統(tǒng)的可移植性，也為提高系統(tǒng)軟件的開發(fā)效率創(chuàng)造了條件。主要特色UNIX操作系統(tǒng)經(jīng)過20多年的發(fā)展后，已經(jīng)成為一種成熟的主流操作系統(tǒng)，并在發(fā)展過程中逐步形成了一些新的特色，其中主要特色包括5個(gè)方面。（1）可靠性高（2）極強(qiáng)的伸縮性（3）網(wǎng)絡(luò)功能強(qiáng)（4）強(qiáng)大的數(shù)據(jù)庫(kù)支持功能（5）開放性好Linux系統(tǒng)Linux是一套可以免費(fèi)使用和自由傳播的類Unix操作系統(tǒng)，主要用于基于Intelx86系列CPU的計(jì)算機(jī)上。這個(gè)系統(tǒng)是由全世界各地的成千上萬的程序員設(shè)計(jì)和實(shí)現(xiàn)的。其目的是建立不受任何商品化軟件的版權(quán)制約的、全世界都能自由使用的Unix兼容產(chǎn)品。Linux最早開始于一位名叫LinusTorvalds的計(jì)算機(jī)業(yè)余愛好者，當(dāng)時(shí)他是芬蘭赫爾辛基大學(xué)的學(xué)生。目的是想設(shè)計(jì)一個(gè)代替Minix（是由一位名叫AndrewTannebaum的計(jì)算機(jī)教授編寫的一個(gè)操作系統(tǒng)示教程序）的操作系統(tǒng)。這個(gè)操作系統(tǒng)可用于386、486或奔騰處理器的個(gè)人計(jì)算機(jī)上，并且具有Unix操作系統(tǒng)的全部功能。Linux是一個(gè)免費(fèi)的操作系統(tǒng)，用戶可以免費(fèi)獲得其源代碼，并能夠隨意修改。它是在共用許可證GPL(GeneralPublicLicense)保護(hù)下的自由軟件，也有好幾種版本，如RedHatLinux、Slackware，以及國(guó)內(nèi)的XteamLinux、紅旗Linux等等。Linux的流行是因?yàn)樗哂性S多優(yōu)點(diǎn)，典型的優(yōu)點(diǎn)有7個(gè)。Linux典型的優(yōu)點(diǎn)有7個(gè)。（1）完全免費(fèi)（2）完全兼容POSIX1.0標(biāo)準(zhǔn)（3）多用戶、多任務(wù)（4）良好的界面（5）豐富的網(wǎng)絡(luò)功能（6）可靠的安全、穩(wěn)定性能（7）支持多種平臺(tái)Windows系統(tǒng)WindowsNT（NewTechnology）是微軟公司第一個(gè)真正意義上的網(wǎng)絡(luò)操作系統(tǒng)，發(fā)展經(jīng)過NT3.0、NT40、NT5.0（Windows2000）和NT6.0（Windows2003）等眾多版本，并逐步占據(jù)了廣大的中小網(wǎng)絡(luò)操作系統(tǒng)的市場(chǎng)。WindowsNT眾多版本的操作系統(tǒng)使用了與Windows9X完全一致的用戶界面和完全相同的操作方法，使用戶使用起來比較方便。與Windows9X相比，WindowsNT的網(wǎng)絡(luò)功能更加強(qiáng)大并且安全。WindowsNT系列列操操作作系系統(tǒng)統(tǒng)安全全配配置置方方案案初初級(jí)級(jí)篇篇安全全配配置置方方案案初初級(jí)級(jí)篇篇主主要要介介紹紹常常規(guī)規(guī)的的操操作作系系統(tǒng)統(tǒng)安安全全配配置置，，包包括括十十二二條條基基本本配配置置原原則則：：物理理安安全全、、停停止止Guest帳號(hào)號(hào)、、限限制制用用戶戶數(shù)數(shù)量量創(chuàng)建建多多個(gè)個(gè)管管理理員員帳帳號(hào)號(hào)、、管管理理員員帳帳號(hào)號(hào)改改名名陷阱阱帳帳號(hào)號(hào)、、更更改改默默認(rèn)認(rèn)權(quán)權(quán)限限、、設(shè)設(shè)置置安安全全密密碼碼屏幕幕保保護(hù)護(hù)密密碼碼、、使使用用NTFS分區(qū)區(qū)運(yùn)行行防防毒毒軟軟件件和和確確保保備備份份盤盤安安全全。。1、物物理理安安全全服務(wù)務(wù)器器應(yīng)應(yīng)該該安安放放在在安安裝裝了了監(jiān)監(jiān)視視器器的的隔隔離離房房間間內(nèi)內(nèi)，，并并且且監(jiān)監(jiān)視視器器要要保保留留15天以以上上的的攝攝像像記記錄錄。。另外外，，機(jī)機(jī)箱箱，，鍵鍵盤盤，，電電腦腦桌桌抽抽屜屜要要上上鎖鎖，，以以確確保保旁旁人人即即使使進(jìn)進(jìn)入入房房間間也也無無法法使使用用電電腦腦，，鑰鑰匙匙要要放放在在安安全全的的地地方方。。2、停停止止Guest帳號(hào)號(hào)在計(jì)計(jì)算算機(jī)機(jī)管管理理的的用用戶戶里里面面把把Guest帳號(hào)號(hào)停停用用，，任任何何時(shí)時(shí)候候都都不不允允許許Guest帳號(hào)號(hào)登登陸陸系系統(tǒng)統(tǒng)。。為了了保保險(xiǎn)險(xiǎn)起起見見，，最最好好給給Guest加一一個(gè)個(gè)復(fù)復(fù)雜雜的的密密碼碼，，可可以以打打開開記記事事本本，，在在里里面面輸輸入入一一串串包包含含特特殊殊字字符符,數(shù)字字，，字字母母的的長(zhǎng)長(zhǎng)字字符符串串。。用它它作作為為Guest帳號(hào)號(hào)的的密密碼碼。。并并且且修修改改Guest帳號(hào)號(hào)的的屬屬性性，，設(shè)設(shè)置置拒拒絕絕遠(yuǎn)遠(yuǎn)程程訪訪問問，，如如圖圖7-1所示示。。3限制制用用戶戶數(shù)數(shù)量量去掉掉所所有有的的測(cè)測(cè)試試帳帳戶戶、、共共享享帳帳號(hào)號(hào)和和普普通通部部門門帳帳號(hào)號(hào)等等等等。。用用戶戶組組策策略略設(shè)設(shè)置置相相應(yīng)應(yīng)權(quán)權(quán)限限，，并并且且經(jīng)經(jīng)常常檢檢查查系系統(tǒng)統(tǒng)的的帳帳戶戶，，刪刪除除已已經(jīng)經(jīng)不不使使用用的的帳帳戶戶。。帳戶戶很很多多是是黑黑客客們們?nèi)肴肭智窒迪到y(tǒng)統(tǒng)的的突突破破口口，，系系統(tǒng)統(tǒng)的的帳帳戶戶越越多多，，黑黑客客們們得得到到合合法法用用戶戶的的權(quán)權(quán)限限可可能能性性一一般般也也就就越越大大。。對(duì)于于WindowsNT/2000主機(jī)機(jī)，，如如果果系系統(tǒng)統(tǒng)帳帳戶戶超超過過10個(gè)，，一一般般能能找找出出一一兩兩個(gè)個(gè)弱弱口口令令帳帳戶戶，，所所以以帳帳戶戶數(shù)數(shù)量量不不要要大大于于10個(gè)。。4多個(gè)個(gè)管管理理員員帳帳號(hào)號(hào)雖然然這這點(diǎn)點(diǎn)看看上上去去和和上上面面有有些些矛矛盾盾，，但但事事實(shí)實(shí)上上是是服服從從上上面面規(guī)規(guī)則則的的。。創(chuàng)創(chuàng)建建一一個(gè)個(gè)一一般般用用戶戶權(quán)權(quán)限限帳帳號(hào)號(hào)用用來來處處理理電電子子郵郵件件以以及及處處理理一一些些日日常常事事物物，，另另一一個(gè)個(gè)擁?yè)碛杏蠥dministrator權(quán)限限的的帳帳戶戶只只在在需需要要的的時(shí)時(shí)候候使使用用。。因?yàn)闉橹恢灰堑卿涗浵迪到y(tǒng)統(tǒng)以以后后，，密密碼碼就就存存儲(chǔ)儲(chǔ)再再WinLogon進(jìn)程程中中，，當(dāng)當(dāng)有有其其他他用用戶戶入入侵侵計(jì)計(jì)算算機(jī)機(jī)的的時(shí)時(shí)候候就就可可以以得得到到登登錄錄用用戶戶的的密密碼碼，，盡盡量量減減少少Administrator登錄錄的的次次數(shù)數(shù)和和時(shí)時(shí)間間。。5管理理員員帳帳號(hào)號(hào)改改名名Windows2000中的的Administrator帳號(hào)號(hào)是是不不能能被被停停用用的的，，這這意意味味著著別別人人可可以以一一遍遍又又一一邊邊的的嘗嘗試試這這個(gè)個(gè)帳帳戶戶的的密密碼碼。。把把Administrator帳戶戶改改名名可可以以有有效效的的防防止止這這一一點(diǎn)點(diǎn)。。不要要使使用用Admin之類類的的名名字字，，改改了了等等于于沒沒改改，，盡盡量量把把它它偽偽裝裝成成普普通通用用戶戶，，比比如如改改成成：：guestone。具具體體操操作作的的時(shí)時(shí)候候只只要要選選中中帳帳戶戶名名改改名名就就可可以以了了，，如如圖圖7-2所示示。。6陷阱阱帳帳號(hào)號(hào)所謂謂的的陷陷阱阱帳帳號(hào)號(hào)是是創(chuàng)創(chuàng)建建一一個(gè)個(gè)名名為為“Administrator”的本本地地帳帳戶戶，，把把它它的的權(quán)權(quán)限限設(shè)設(shè)置置成成最最低低，，什什么么事事也也干干不不了了的的那那種種，，并并且且加加上上一一個(gè)個(gè)超超過過10位的的超超級(jí)級(jí)復(fù)復(fù)雜雜密密碼碼。。這樣樣可可以以讓讓那那些些企企圖圖入入侵侵者者忙忙上上一一段段時(shí)時(shí)間間了了，，并并且且可可以以借借此此發(fā)發(fā)現(xiàn)現(xiàn)它它們們的的入入侵侵企企圖圖。?？煽梢砸詫⒃撛撚糜脩魬綦`隸屬屬的的組組修修改改成成Guests組，，如如圖圖7-3所示示。。7更改改默默認(rèn)認(rèn)權(quán)權(quán)限限共享享文文件件的的權(quán)權(quán)限限從從“Everyone”組改改成成“授權(quán)權(quán)用用戶戶”?！癊veryone”在Windows2000中意意味味著著任任何何有有權(quán)權(quán)進(jìn)進(jìn)入入你你的的網(wǎng)網(wǎng)絡(luò)絡(luò)的的用用戶戶都都能能夠夠獲獲得得這這些些共共享享資資料料。。任何何時(shí)時(shí)候候不不要要把把共共享享文文件件的的用用戶戶設(shè)設(shè)置置成成“Everyone”組。。包包括括打打印印共共享享，，默默認(rèn)認(rèn)的的屬屬性性就就是是“Everyone”組的的，，一一定定不不要要忘忘了了改改。。設(shè)設(shè)置置某某文文件件夾夾共共享享默默認(rèn)認(rèn)設(shè)設(shè)置置如如圖圖7-4所示。8安全密碼碼好的密碼碼對(duì)于一一個(gè)網(wǎng)絡(luò)絡(luò)是非常常重要的的，但是是也是最最容易被被忽略的的。一些網(wǎng)絡(luò)絡(luò)管理員員創(chuàng)建帳帳號(hào)的時(shí)時(shí)候往往往用公司司名，計(jì)計(jì)算機(jī)名名，或者者一些別別的一猜猜就到的的字符做做用戶名名，然后后又把這這些帳戶戶的密碼碼設(shè)置得得比較簡(jiǎn)簡(jiǎn)單，比比如：“welcome”、“iloveyou”、“l(fā)etmein”或者和用用戶名相相同的密密碼等。。這樣的的帳戶應(yīng)應(yīng)該要求求用戶首首此登陸陸的時(shí)候候更改成成復(fù)雜的的密碼，，還要注注意經(jīng)常常更改密密碼。這里給好好密碼下下了個(gè)定定義：安安全期內(nèi)內(nèi)無法破破解出來來的密碼碼就是好好密碼，，也就是是說，如如果得到到了密碼碼文檔，，必須花花43天或者更更長(zhǎng)的時(shí)時(shí)間才能能破解出出來，密密碼策略略是42天必須改改密碼。。9屏幕保護(hù)護(hù)密碼設(shè)置屏幕幕保護(hù)密密碼是防防止內(nèi)部部人員破破壞服務(wù)務(wù)器的一一個(gè)屏障障。注意意不要使使用OpenGL和一些復(fù)復(fù)雜的屏屏幕保護(hù)護(hù)程序，，浪費(fèi)系系統(tǒng)資源源，黑屏屏就可以以了。還有一點(diǎn)點(diǎn)，所有有系統(tǒng)用用戶所使使用的機(jī)機(jī)器也最最好加上上屏幕保保護(hù)密碼碼。將屏幕保保護(hù)的選選項(xiàng)“密碼保護(hù)護(hù)”選中就可可以了，，并將等等待時(shí)間間設(shè)置為為最短時(shí)時(shí)間“1秒”，如圖7-5所示。10NTFS分區(qū)把服務(wù)器器的所有有分區(qū)都都改成NTFS格式。NTFS文件系統(tǒng)統(tǒng)要比FAT、FAT32的文件系系統(tǒng)安全全得多。。11防毒軟件件Windows2000/NT服務(wù)器一一般都沒沒有安裝裝防毒軟軟件的，，一些好好的殺毒毒軟件不不僅能殺殺掉一些些著名的的病毒，，還能查查殺大量量木馬和和后門程程序。設(shè)置了放放毒軟件件，“黑客”們使用的的那些有有名的木木馬就毫毫無用武武之地了了，并且且要經(jīng)常常升級(jí)病病毒庫(kù)。。12備份盤的的安全一旦系統(tǒng)統(tǒng)資料被被黑客破破壞，備備份盤將將是恢復(fù)復(fù)資料的的唯一途途徑。備備份完資資料后，，把備份份盤防在在安全的的地方。。不能把資資料備份份在同一一臺(tái)服務(wù)務(wù)器上，，這樣的的話還不不如不要要備份。。安全配置置方案中中級(jí)篇安全配置置方案中中級(jí)篇主主要介紹紹操作系系統(tǒng)的安安全策略略配置，，包括十十條基本本配置原原則：操作系統(tǒng)統(tǒng)安全策策略、關(guān)關(guān)閉不必必要的服服務(wù)關(guān)閉不必必要的端端口、開開啟審核核策略開啟密碼碼策略、、開啟帳帳戶策略略、備份份敏感文文件不顯示上上次登陸陸名、禁禁止建立立空連接接和下載載最新的的補(bǔ)丁1操作系統(tǒng)統(tǒng)安全策策略利用Windows2000的安全配配置工具具來配置置安全策策略，微微軟提供供了一套套的基于于管理控控制臺(tái)的的安全配配置和分分析工具具，可以以配置服服務(wù)器的的安全策策略。在管理工工具中可可以找到到“本地安全全策略”，主界面面如圖7-6所示?？梢耘渲弥盟念惏舶踩呗月裕簬魬舨呗?、、本地策策略、公公鑰策略略和IP安全策略略。在默默認(rèn)的情情況下，，這些策策略都是是沒有開開啟的。。2關(guān)閉不必必要的服服務(wù)Windows2000的TerminalServices（終端服服務(wù)）和和IIS（Internet信息服務(wù)務(wù)）等都都可能給給系統(tǒng)帶帶來安全全漏洞。。為了能夠夠在遠(yuǎn)程程方便的的管理服服務(wù)器，，很多機(jī)機(jī)器的終終端服務(wù)務(wù)都是開開著的，，如果開開了，要要確認(rèn)已已經(jīng)正確確的配置置了終端端服務(wù)。。有些惡意意的程序序也能以以服務(wù)方方式悄悄悄的運(yùn)行行服務(wù)器器上的終終端服務(wù)務(wù)。要留留意服務(wù)務(wù)器上開開啟的所所有服務(wù)務(wù)并每天天檢查。。Windows2000作為服務(wù)務(wù)器可禁禁用的服服務(wù)及其其相關(guān)說說明如表表7-1所示。Windows2000可禁用的的服務(wù)服務(wù)名說明ComputerBrowser維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表Taskscheduler允許程序在指定時(shí)間運(yùn)行RoutingandRemoteAccess在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)Removablestorage管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫(kù)RemoteRegistryService允許遠(yuǎn)程注冊(cè)表操作PrintSpooler將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的用戶不能禁用這項(xiàng)服務(wù)IPSECPolicyAgent管理IP安全策略以及啟動(dòng)ISAKMP/Oakley(IKE)和IP安全驅(qū)動(dòng)程序DistributedLinkTrackingClient當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動(dòng)時(shí)發(fā)送通知Com+EventSystem提供事件的自動(dòng)發(fā)布到訂閱COM組件3關(guān)閉不必必要的端端口關(guān)閉端口口意味著著減少功功能，如如果服務(wù)務(wù)器安裝裝在防火火墻的后后面，被被入侵的的機(jī)會(huì)就就會(huì)少一一些，但但是不可可以認(rèn)為為高枕無無憂了。。用端口掃掃描器掃掃描系統(tǒng)統(tǒng)所開放放的端口口，在Winnt\system32\drivers\etc\services文件中有有知名端端口和服服務(wù)的對(duì)對(duì)照表可可供參考考。該文文件用記記事本打打開如圖圖7-7所示。設(shè)置本機(jī)機(jī)開放的的端口和和服務(wù)，，在IP地址設(shè)置置窗口中中點(diǎn)擊按按鈕“高級(jí)”，如圖7-8所示。在出現(xiàn)的的對(duì)話框框中選擇擇選項(xiàng)卡卡“選項(xiàng)”，選中“TCP/IP篩選”，點(diǎn)擊按按鈕“屬性”，如圖7-9所示。設(shè)置端口口界面如如圖7-10所示。一臺(tái)Web服務(wù)器只只允許TCP的80端口通過過就可以以了。TCP/IP篩選器是是Windows自帶的防防火墻，，功能比比較強(qiáng)大大，可以以替代防防火墻的的部分功功能。4開啟審核核策略安全審核核是Windows2000最基本的的入侵檢檢測(cè)方法法。當(dāng)有有人嘗試試對(duì)系統(tǒng)統(tǒng)進(jìn)行某某種方式式（如嘗嘗試用戶戶密碼，，改變帳帳戶策略略和未經(jīng)經(jīng)許可的的文件訪訪問等等等）入侵侵的時(shí)候候，都會(huì)會(huì)被安全全審核記記錄下來來。很多的管管理員在在系統(tǒng)被被入侵了了幾個(gè)月月都不知知道，直直到系統(tǒng)統(tǒng)遭到破破壞。表表7-2的這些審審核是必必須開啟啟的，其其他的可可以根據(jù)據(jù)需要增增加。策略設(shè)置審核系統(tǒng)登陸事件成功，失敗審核帳戶管理成功，失敗審核登陸事件成功，失敗審核對(duì)象訪問成功審核策略更改成功，失敗審核特權(quán)使用成功，失敗審核系統(tǒng)事件成功，失敗審核策略略默認(rèn)設(shè)設(shè)置審核策略略在默認(rèn)認(rèn)的情況況下都是是沒有開開啟的，，如圖7-11所示。雙擊審核核列表的的某一項(xiàng)項(xiàng)，出現(xiàn)現(xiàn)設(shè)置對(duì)對(duì)話框，，將復(fù)選選框“成功”和“失敗”都選中，，如圖7-12所示。5開啟密碼碼策略密碼對(duì)系系統(tǒng)安全全非常重重要。本本地安全全設(shè)置中中的密碼碼策略在在默認(rèn)的的情況下下都沒有有開啟。。需要開開啟的密密碼策略略如表7-3所示策略設(shè)置密碼復(fù)雜性要求啟用密碼長(zhǎng)度最小值6位密碼最長(zhǎng)存留期15天強(qiáng)制密碼歷史5個(gè)設(shè)置選項(xiàng)項(xiàng)如圖7-13所示。6開啟帳戶戶策略開啟帳戶戶策略可可以有效效的防止止字典式式攻擊，，設(shè)置如如表7-4所示。策略設(shè)置復(fù)位帳戶鎖定計(jì)數(shù)器30分鐘帳戶鎖定時(shí)間30分鐘帳戶鎖定閾值5次設(shè)置帳戶戶策略設(shè)置的結(jié)結(jié)果如圖圖7-14所示。7備份敏感感文件把敏感文文件存放放在另外外的文件件服務(wù)器器中，雖雖然服務(wù)務(wù)器的硬硬盤容量量都很大大，但是是還是應(yīng)應(yīng)該考慮慮把一些些重要的的用戶數(shù)數(shù)據(jù)（文文件，數(shù)數(shù)據(jù)表和和項(xiàng)目文文件等））存放在在另外一一個(gè)安全全的服務(wù)務(wù)器中，，并且經(jīng)經(jīng)常備份份它們8不顯示上上次登錄錄名默認(rèn)情況下下，終端服服務(wù)接入服服務(wù)器時(shí)，，登陸對(duì)話話框中會(huì)顯顯示上次登登陸的帳戶戶名，本地地的登陸對(duì)對(duì)話框也是是一樣。黑黑客們可以以得到系統(tǒng)統(tǒng)的一些用用戶名，進(jìn)進(jìn)而做密碼碼猜測(cè)。修改注冊(cè)表表禁止顯示示上次登錄錄名，在HKEY_LOCAL_MACHINE主鍵下修改改子鍵：Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，將鍵值改改成1，如圖7-15所示。9禁止建立空空連接默認(rèn)情況下下，任何用用戶通過空空連接連上上服務(wù)器，，進(jìn)而可以以枚舉出帳帳號(hào)，猜測(cè)測(cè)密碼?？梢酝ㄟ^修修改注冊(cè)表表來禁止建建立空連接接。在HKEY_LOCAL_MACHINE主鍵下修改改子鍵：System\CurrentControlSet\Control\LSA\RestrictAnonymous，將鍵值改改成“1”即可。如圖圖7-16所示。10下載最新的的補(bǔ)丁很多網(wǎng)絡(luò)管管理員沒有有訪問安全全站點(diǎn)的習(xí)習(xí)慣，以至至于一些漏漏洞都出了了很久了，，還放著服服務(wù)器的漏漏洞不補(bǔ)給給人家當(dāng)靶靶子用。誰也不敢保保證數(shù)百萬萬行以上代代碼的Windows2000不出一點(diǎn)安安全漏洞。。經(jīng)常訪問微微軟和一些些安全站點(diǎn)點(diǎn)，下載最最新的ServicePack和漏洞補(bǔ)丁丁，是保障障服務(wù)器長(zhǎng)長(zhǎng)久安全的的唯一方法法。安全配置方方案高級(jí)篇篇高級(jí)篇介紹紹操作系統(tǒng)統(tǒng)安全信息息通信配置置，包括十十四條配置置原則：關(guān)閉DirectDraw、關(guān)閉默認(rèn)認(rèn)共享禁用DumpFile、文件加密密系統(tǒng)加密Temp文件夾、鎖鎖住注冊(cè)表表、關(guān)機(jī)時(shí)時(shí)清除文件件禁止軟盤光光盤啟動(dòng)、、使用智能能卡、使用用IPSec禁止判斷主主機(jī)類型、、抵抗DDOS禁止Guest訪問日志和和數(shù)據(jù)恢復(fù)復(fù)軟件1關(guān)閉DirectDrawC2級(jí)安全標(biāo)準(zhǔn)準(zhǔn)對(duì)視頻卡卡和內(nèi)存有有要求。關(guān)關(guān)閉DirectDraw可能對(duì)一些些需要用到到DirectX的程序有影影響（比如如游戲），，但是對(duì)于于絕大多數(shù)數(shù)的商業(yè)站站點(diǎn)都是沒沒有影響的的。在HKEY_LOCAL_MACHINE主鍵下修改改子鍵：SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，將鍵值改改為“0”即可，如圖圖7-17所示。2關(guān)閉默認(rèn)共共享Windows2000安裝以后，，系統(tǒng)會(huì)創(chuàng)創(chuàng)建一些隱隱藏的共享享，可以在在DOS提示符下輸輸入命令NetShare查看，如圖圖7-18所示。停止默認(rèn)共共享禁止這些共共享，打開開管理工具具>計(jì)算機(jī)管理理>共享文件夾夾>共享，在相相應(yīng)的共享享文件夾上上按右鍵，，點(diǎn)停止共共享即可，，如圖7-19所示。3禁用Dump文件在系統(tǒng)崩潰潰和藍(lán)屏的的時(shí)候，Dump文件是一份份很有用資資料，可以以幫助查找找問題。然然而，也能能夠給黑客客提供一些些敏感信息息，比如一一些應(yīng)用程程序的密碼碼等需要禁止它它，打開控控制面板>系統(tǒng)屬性>高級(jí)>啟動(dòng)和故障障恢復(fù)，把把寫入調(diào)試試信息改成成無，如圖圖7-20所示。4文件加密系系統(tǒng)Windows2000強(qiáng)大的加密密系統(tǒng)能夠夠給磁盤，，文件夾，，文件加上上一層安全全保護(hù)。這這樣可以防防止別人把把你的硬盤盤掛到別的的機(jī)器上以以讀出里面面的數(shù)據(jù)。。微軟公司為為了彌補(bǔ)WindowsNT4.0的不足，在在Windows2000中，提供了了一種基于于新一代NTFS：NTFSV5（第5版本）的加加密文件系系統(tǒng)（EncryptedFileSystem，簡(jiǎn)稱EFS）。EFS實(shí)現(xiàn)的是一一種基于公公共密鑰的的數(shù)據(jù)加密密方式，利利用了Windows2000中的CryptoAPI結(jié)構(gòu)。5加密Temp文件夾一些應(yīng)用程程序在安裝裝和升級(jí)的的時(shí)候，會(huì)會(huì)把一些東東西拷貝到到Temp文件夾，但但是當(dāng)程序序升級(jí)完畢畢或關(guān)閉的的時(shí)候，并并不會(huì)自己己清除Temp文件夾的內(nèi)內(nèi)容。所以，給Temp文件夾加密密可以給你你的文件多多一層保護(hù)護(hù)。6鎖住注冊(cè)表表在Windows2000中，只有Administrators和BackupOperators才有從網(wǎng)絡(luò)絡(luò)上訪問注注冊(cè)表的權(quán)權(quán)限。當(dāng)帳帳號(hào)的密碼碼泄漏以后后，黑客也也可以在遠(yuǎn)遠(yuǎn)程訪問注注冊(cè)表，當(dāng)當(dāng)服務(wù)器放放到網(wǎng)絡(luò)上上的時(shí)候，，一般需要要鎖定注冊(cè)冊(cè)表。修改改Hkey_current_user下的子鍵Software\microsoft\windows\currentversion\Policies\system把DisableRegistryTools的值該為0，類型為DWORD，如圖7-21所示。7關(guān)機(jī)時(shí)清除除文件頁(yè)面文件也也就是調(diào)度度文件，是是Windows2000用來存儲(chǔ)沒沒有裝入內(nèi)內(nèi)存的程序序和數(shù)據(jù)文文件部分的的隱藏文件件。一些第三方方的程序可可以把一些些沒有的加加密的密碼碼存在內(nèi)存存中，頁(yè)面面文件中可可能含有另另外一些敏敏感的資料料。要在關(guān)關(guān)機(jī)的時(shí)候候清楚頁(yè)面面文件，可可以編輯注注冊(cè)表修修改主鍵HKEY_LOCAL_MACHINE下的子鍵：：SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPageFileAtShutdown的值設(shè)置成成1，如圖7-22所示。8禁止軟盤光光盤啟動(dòng)一些第三方方的工具能能通過引導(dǎo)導(dǎo)系統(tǒng)來繞繞過原有的的安全機(jī)制制。比如一一些管理員員工具，從從軟盤上或或者光盤上上引導(dǎo)系統(tǒng)統(tǒng)以后，就就可以修改改硬盤上操操作系統(tǒng)的的管理員密密碼。如果服務(wù)器器對(duì)安全要要求非常高高，可以考考慮使用可可移動(dòng)軟盤盤和光驅(qū)，，把機(jī)箱鎖鎖起來仍然然不失為一一個(gè)好方法法。9使用智能卡卡對(duì)于密碼，，總是使安安全管理員員進(jìn)退兩難難，容易受受到一些工工具的攻擊擊，如果密密碼太復(fù)雜雜，用戶把把為了記住住密碼，會(huì)會(huì)把密碼到到處亂寫。。如果條件允允許，用智智能卡來代代替復(fù)雜的的密碼是一一個(gè)很好的的解決方法法。10使用IPSec正如其名字字的含義，，IPSec提供IP數(shù)據(jù)包的安安全性。IPSec提供身份驗(yàn)驗(yàn)證、完整整性和可選選擇的機(jī)密密性。發(fā)送送方計(jì)算機(jī)機(jī)在傳輸之之前加密數(shù)數(shù)據(jù)，而接接收方計(jì)算算機(jī)在收到到數(shù)據(jù)之后后解密數(shù)據(jù)據(jù)。利用IPSec可以使得系系統(tǒng)的安全全性能大大大增強(qiáng)。11禁止判斷主主機(jī)類型黑客利用TTL（Time-To-Live，活動(dòng)時(shí)間間）值可以以鑒別操作作系統(tǒng)的類類型，通過過Ping指令能判斷斷目標(biāo)主機(jī)機(jī)類型。Ping的用處是檢檢測(cè)目標(biāo)主主機(jī)是否連連通。許多入侵者者首先會(huì)Ping一下主機(jī)，，因?yàn)楣魮裟骋慌_(tái)計(jì)計(jì)算機(jī)需要要根據(jù)對(duì)方方的操作系系統(tǒng)，是Windows還是Unix。如過TTL值為128就可以認(rèn)為為你的系統(tǒng)統(tǒng)為Windows2000，如圖7-23所示。從圖中可以以看出，TTL值為128，說明改主主機(jī)的操作作系統(tǒng)是Windows2000操作系統(tǒng)。。表7-6給出了一些些常見操作作系統(tǒng)的對(duì)對(duì)照值。操作系統(tǒng)類型TTL返回值Windows2000128WindowsNT107win9x128or127solaris252IRIX240AIX247Linux241or240修改TTL的值，入侵侵者就無法法入侵電腦腦了。比如如將操作系系統(tǒng)的TTL值改為111，修改主鍵鍵HKEY_LOCAL_MACHINE的子鍵：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS新建一個(gè)雙雙字節(jié)項(xiàng)，，如圖7-24所示。在鍵的名稱稱中輸入“defaultTTL”，然后雙擊擊改鍵名，，選擇單選選框“十進(jìn)制”，在文本框框中輸入111，如圖7-25所示。設(shè)置完畢重新啟動(dòng)計(jì)計(jì)算機(jī)，再用Ping指令，發(fā)現(xiàn)現(xiàn)TTL的值已經(jīng)被被改成111了，如圖7-26所示。12抵抗DDOS添加注冊(cè)表表的一些鍵鍵值，可以以有效的抵抵抗DDOS的攻擊。在在鍵值[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加響應(yīng)應(yīng)的鍵及其其說明如表表7-7所示。增加的鍵值鍵值說明"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000000"KeepAliveTime"=dword:00000000"PerformRouterDiscovery"=dword:00000000基本設(shè)置"EnableICMPRedirects"=dword:00000000防止ICMP重定向報(bào)文的攻擊"SynAttackProtect"=dword:00000002防止SYN洪水攻擊"TcpMaxHalfOpenRetried"=dword:00000080僅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried設(shè)置超出范圍時(shí),保護(hù)機(jī)制才會(huì)采取措施"TcpMaxHalfOpen"=dword:00000100"IGMPLevel"=dword:00000000不支持IGMP協(xié)議"EnableDeadGWDetect"=dword:00000000禁止死網(wǎng)關(guān)監(jiān)測(cè)技術(shù)"IPEnableRouter"=dword:00000001支持路由功能13禁止Guest訪問日志在默認(rèn)安裝裝的WindowsNT和Windows2000中，Guest帳號(hào)和匿名名用戶可以以查看系統(tǒng)統(tǒng)的事件日日志，可能能導(dǎo)致許多多重要信息息的泄漏，，修改注冊(cè)冊(cè)表來禁止止Guest訪問事件日日志。禁止Guest訪問應(yīng)用日日志HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application下添加鍵值值名稱