1、第3章 Windows系統(tǒng)安全加固,3.1 Windows操作系統(tǒng)安全綜述 3.2 注冊(cè)表配置實(shí)驗(yàn) 3.3 帳號(hào)和口令的安全設(shè)置實(shí)驗(yàn) 3.4 文件系統(tǒng)安全設(shè)置實(shí)驗(yàn) 3.5 關(guān)閉默認(rèn)共享 3.6 小結(jié),3.1 Windows操作系統(tǒng)安全綜述,注冊(cè)表是Windows系統(tǒng)的核心配置文件，在系統(tǒng)中起著舉足輕重的作用，一旦注冊(cè)表出現(xiàn)問題，整個(gè)系統(tǒng)將變得混亂甚至崩潰。如果掌握了注冊(cè)表的知識(shí)，那么，它將是用戶手中用來馴服Windows的“利器”。本章可以指引讀者進(jìn)入注冊(cè)表的“精彩世界”，一起來體會(huì)注冊(cè)表的強(qiáng)大功能，對(duì)熟悉注冊(cè)表起到拋磚引玉的作用。,提到系統(tǒng)安全，就不得不說EFS的概念。EFS(Encrypt

2、ing File System，加密文件系統(tǒng))是Windows系統(tǒng)中的一項(xiàng)功能，針對(duì)NTFS分區(qū)中的文件和數(shù)據(jù)，用戶都可以直接加密，從而達(dá)到快速提高數(shù)據(jù)安全性的目的。 用戶帳戶安全是計(jì)算機(jī)安全設(shè)置的重要對(duì)象，許多安全功能的實(shí)現(xiàn)都是基于用戶帳戶實(shí)現(xiàn)的，如文件訪問權(quán)限設(shè)置、用戶環(huán)境設(shè)置等。在獨(dú)立計(jì)算機(jī)上，系統(tǒng)管理員帳戶可以完全控制其他普通用戶帳戶，包括創(chuàng)建、禁用、刪除等；在域環(huán)境中，域管理員可以通過為不同的用戶帳戶賦予指定的操作和訪問權(quán)限，以維護(hù)整個(gè)網(wǎng)絡(luò)的安全。,端口是計(jì)算機(jī)與外界通訊的渠道，它像一道道門一樣控制著數(shù)據(jù)與指令的傳輸，但端口有時(shí)會(huì)被許多蠕蟲病毒利用。對(duì)于原本脆弱的Windows系統(tǒng)來

3、說，有必要把一些危險(xiǎn)而又不經(jīng)常使用的端口關(guān)閉或是封鎖，以保證信息安全。 下面我們就逐一介紹有關(guān)Windows系統(tǒng)安全的問題，當(dāng)然不可能面面俱到，感興趣的讀者可以根據(jù)自己的實(shí)際情況深入研究。,3.2 注冊(cè)表配置實(shí)驗(yàn),1. 實(shí)驗(yàn)?zāi)康?學(xué)會(huì)使用注冊(cè)表編輯器的基本操作；學(xué)會(huì)進(jìn)行注冊(cè)表的一些基本安全配置。,2. 實(shí)驗(yàn)原理 注冊(cè)表是Windows中一個(gè)重要的系統(tǒng)數(shù)據(jù)庫，它用于存儲(chǔ)系統(tǒng)和應(yīng)用程序的設(shè)置信息。系統(tǒng)設(shè)置和缺省用戶配置數(shù)據(jù)存放在“系統(tǒng)系統(tǒng)文件夾SYSTEM32CONFIG”文件夾下，包括6個(gè)文件：DEFAULT、SAM、SECURITY、SOFTWARE、USERDIFF和SYSTEM。用戶的配置

4、信息存放在系統(tǒng)所在磁盤的“Documents and Setting”文件夾下，包括ntuser.dat、ntuser.ini、ntuser.dat.log。,注冊(cè)表由鍵(項(xiàng))、子鍵(子項(xiàng))和值項(xiàng)構(gòu)成。 一個(gè)鍵就是分支中的一個(gè)文件夾，而子鍵就是這個(gè)文件夾中的子文件夾，子鍵同樣是一個(gè)鍵；一個(gè)值項(xiàng)則是一個(gè)鍵的當(dāng)前定義，由名稱、數(shù)據(jù)類型以及分配的值組成。一個(gè)鍵可以有一個(gè)或多個(gè)值，每個(gè)值的名稱各不相同，如果一個(gè)值的名稱為空，則該值為該鍵的默認(rèn)值。,3. 實(shí)驗(yàn)環(huán)境 基于Windows XP或Windows 2003等的操作系統(tǒng)。 4. 實(shí)驗(yàn)內(nèi)容 1) 打開注冊(cè)表編輯器 注冊(cè)表的配置管理是通過注冊(cè)表編輯器

5、來完成的。依次單擊“開始運(yùn)行”，輸入“regedit”即可進(jìn)入注冊(cè)表編輯器，注冊(cè)表編輯器的界面如圖3.1所示。,圖3.1 注冊(cè)表編輯器,注冊(cè)表可以導(dǎo)出為一個(gè)reg注冊(cè)表文件，也可以把注冊(cè)表文件導(dǎo)入到注冊(cè)表中?！皩?dǎo)入/導(dǎo)出”功能歸屬在文件菜單下，如圖3.2所示。,圖3.2 注冊(cè)表編輯器文件菜單,注冊(cè)表項(xiàng)和子項(xiàng)的新建、刪除、修改權(quán)限、查找等功能可以通過編輯菜單完成，如圖3.3所示，也可以通過點(diǎn)擊鼠標(biāo)右鍵完成。,圖3.3 注冊(cè)表編輯器編輯菜單,收藏夾菜單下可收藏注冊(cè)表項(xiàng)，以便快速到達(dá)以前瀏覽的注冊(cè)表項(xiàng)。當(dāng)然也可以刪除收藏的注冊(cè)表項(xiàng)，如圖3.4所示。,圖3.4 注冊(cè)表編輯器收藏夾菜單,2) 注冊(cè)表安全

6、配置 對(duì)注冊(cè)表項(xiàng)進(jìn)行合理的設(shè)置可以提高系統(tǒng)的安全性，當(dāng)然前提是應(yīng)以管理員權(quán)限登錄。注冊(cè)表的安全配置主要包括以下內(nèi)容。 (1) 禁止遠(yuǎn)程修改注冊(cè)表。 Windows 2000/XP支持通過網(wǎng)絡(luò)使用注冊(cè)表編輯器對(duì)注冊(cè)表的數(shù)據(jù)進(jìn)行修改，默認(rèn)的系統(tǒng)配置下，用戶可以進(jìn)行遠(yuǎn)程操作。為了提高系統(tǒng)的安全性，避免自己機(jī)器的注冊(cè)表被他人通過網(wǎng)絡(luò)修改，可以禁用此功能。具體操作步驟如下：,第1步：打開注冊(cè)表編輯器。 第2步：選擇子鍵 HKEY_LOCAL_MACHINEsystemCurrentControlSetcontrolSecurePipe Serverswinreg。 第3步：在右側(cè)窗口中新建一個(gè)數(shù)據(jù)類型為

7、DWORD的鍵值項(xiàng)，命名為“RemoteReg Access”，將數(shù)值設(shè)為“1”即可。,(2) 設(shè)置密碼的安全要求。 Windows系統(tǒng)在默認(rèn)配置下允許使用任何字符或字符串作為密碼，其中可包括空格、符號(hào)或數(shù)字等。然而普通用戶往往只使用字母來組成密碼，但這樣的密碼容易被破解，因此，可以通過修改注冊(cè)表來使用戶設(shè)定的密碼中必須同時(shí)包含字母和數(shù)字，從而增強(qiáng)系統(tǒng)的安全性能。具體操作步驟如下：,第1步：打開注冊(cè)表編輯器。 第2步：選擇子鍵HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion Policies。 第3步：在Policies子鍵下新建

8、一個(gè)數(shù)據(jù)類型為DWORD的鍵值項(xiàng)，命名為“AlphanumPwds”，然后將其鍵值設(shè)為“1”。 第4步：完成設(shè)置后，重新啟動(dòng)計(jì)算機(jī)使設(shè)置生效。,(3) 禁止密碼緩存。 通常Windows系統(tǒng)會(huì)將用戶輸入的密碼保存在特定的緩存中，當(dāng)用戶再次輸入密碼時(shí)，系統(tǒng)會(huì)自動(dòng)進(jìn)行匹配以檢驗(yàn)用戶的密碼是否正確。但這一功能往往會(huì)帶來一些安全方面的隱患，因?yàn)楹诳涂赡芡ㄟ^密碼緩存查找用戶的密碼。因此可以考慮通過修改注冊(cè)表來禁用系統(tǒng)的密碼緩存功能，以提高系統(tǒng)的安全性能。具體操作步驟如下：,第1步：打開注冊(cè)表編輯器。 第2步：選擇子鍵HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCu

9、rrentVersion Policies，在“Policies”子鍵下新建一個(gè)子鍵，命名為“Network”。 第3步：在“Network”子鍵下新建一個(gè)數(shù)據(jù)類型為DWORD的鍵值項(xiàng)，命名為“Disable PwdCaching”，然后將其鍵值設(shè)為“1”。 第4步：重啟計(jì)算機(jī)即可生效。,(4) 隱藏一個(gè)服務(wù)器。 為保證局域網(wǎng)中服務(wù)器上的資源不受其他人的非法訪問和攻擊，有時(shí)需要把局域網(wǎng)中指定的服務(wù)器計(jì)算機(jī)的名稱隱藏起來，使其他局域網(wǎng)用戶無法訪問到。具體操作步驟如下：,第1步：打開注冊(cè)表編輯器。 第2步：選擇子鍵HKEY_LOCAL_MACHINESystemCurrentControlSetS

10、ervices Lanman ServerParameters。 第3步：用鼠標(biāo)單擊該鍵值下面的“Hidden”數(shù)值名稱，如果未發(fā)現(xiàn)此名稱，那么添加一個(gè)數(shù)據(jù)類型為“REG_Dword”的鍵值。 第4步：用鼠標(biāo)雙擊此項(xiàng)，在彈出的“DWORD編輯器”對(duì)話框中輸入“1”即可。 第5步：退出注冊(cè)表編輯，重新啟動(dòng)計(jì)算機(jī)就可以在局域網(wǎng)中隱藏一個(gè)服務(wù)器了。,(5) 屏蔽“控制面板”的訪問。 控制面板是Windows系統(tǒng)的控制中心，可以對(duì)設(shè)備屬性、文件系統(tǒng)、安全口令等許多對(duì)系統(tǒng)關(guān)鍵的東西進(jìn)行修改，通過此設(shè)置可以屏蔽“控制面板”的訪問。具體操作步驟 如下：,第1步：打開注冊(cè)表編輯器。 第2步：選擇子鍵HKEY_

11、CURRENT_USERSoftwareMicrsoftWindowsCurrentVersion PoliciesSystem。 第3步：在對(duì)應(yīng)System鍵值的右邊窗口中，用鼠標(biāo)右鍵單擊該窗口的空白處，并從彈出的快捷菜單中選擇“新建”/“DWORD”命令，來新建一個(gè)DWORD值。 第4步：把DWORD值的名稱命名為“NoDispCPL”，同時(shí)設(shè)置其值為“1”。,(6) 隱藏上次用戶登錄的用戶名。 Windows XP以上的操作系統(tǒng)對(duì)以前用戶登錄的信息具有記憶功能，下次重新啟動(dòng)計(jì)算機(jī)時(shí)，在用戶名欄中會(huì)出現(xiàn)上次用戶的登錄名，這個(gè)信息可能會(huì)被一些非法分子利用，從而給用戶造成威脅，為此我們有必要隱

12、藏上次用戶登錄的用戶名。具體操作步驟如下：,第1步：打開注冊(cè)表編輯器。 第2步：選擇子鍵HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion Winlogon。 第3步：在右邊的窗口中新建字符串“DontDisplayLastUserName”，并把該值設(shè)置為“1”。 第4步：重新啟動(dòng)計(jì)算機(jī)就可以隱藏上次用戶登錄的名字。,(7) 禁止修改“開始”菜單。 一般來說，用戶啟動(dòng)某個(gè)程序時(shí)往往會(huì)在開始菜單下面的程序組中尋找需要的程序，如果隨意更改“開始”菜單中的內(nèi)容，可能會(huì)影響其他用戶打開程序。因此，我們常常需要禁止修改“開始”菜單中的內(nèi)容。

13、具體操作步驟如下：,第1步：打開注冊(cè)表編輯器。 第2步：選擇子鍵HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesExplore。 第3步：在右邊的窗口中新建一個(gè)數(shù)據(jù)類型為DWORD的串值“NoChangeStartMenu”，并把它的值設(shè)置為“1”。,(8) 讓用戶只使用指定的程序。 為防止因用戶非法運(yùn)行或者修改程序，而導(dǎo)致整個(gè)計(jì)算機(jī)系統(tǒng)處于混亂狀態(tài)，我們可以通過修改注冊(cè)表來達(dá)到讓用戶只能使用指定程序的目的，從而保證系統(tǒng)的安全。 具體操作步驟如下： 第1步：打開注冊(cè)表編輯器。 第2步：選擇子鍵HKEY_CURREN

14、T_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesExplorer鍵值。,第3步：在右邊的窗口中新建一個(gè)數(shù)據(jù)類型為DWORD的串值“RestrictRun”，把它的值設(shè)為“1”，然后在RestrictRun的主鍵下分別添加名為“1”、“2”、“3”等的字符串值，將“1”、“2”、“3”等字符串的值設(shè)置為我們?cè)试S用戶使用的程序名。例如將“1”、“2”、“3”分別設(shè)置為“word.EXE”、“notepad.EXE”、“write.EXE”，則用戶只能使用Word、記事本、寫字板了。這樣我們的系統(tǒng)將會(huì)達(dá)到最大的保障，也可以限制用戶運(yùn)行不必要的

15、軟件了。,(9) 禁用“任務(wù)欄屬性”功能。 利用任務(wù)欄屬性功能，可以方便用戶對(duì)開始菜單進(jìn)行修改，也可以修改Windows系統(tǒng)的很多屬性和運(yùn)行的程序，這在我們看來是件很危險(xiǎn)的事情，所以有必要禁止對(duì)它的修改。具體操作步驟如下：,第1步：打開注冊(cè)表編輯器。 第2步：選擇子鍵HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesExplorer。 第3步：在右邊窗口內(nèi)新建一個(gè)數(shù)據(jù)類型為DWORD的串值“NoSetTaskBar”，然后雙擊“NoSetTaskBar”鍵值，在彈出的對(duì)話框中的“鍵值”框內(nèi)輸入“1”，就可以達(dá)到禁用“

16、任務(wù)欄屬性”功能了。,(10) 隱藏“網(wǎng)上鄰居”。 在局域網(wǎng)中，我們常?？梢酝ㄟ^網(wǎng)上鄰居來訪問其他計(jì)算機(jī)上的內(nèi)容，從而達(dá)到了資源共享的目的。但有時(shí)“網(wǎng)上鄰居”會(huì)給我們?cè)斐砂踩系碾[患，例如有些不懷好意的用戶可以利用“網(wǎng)上鄰居”非法刪除其他計(jì)算機(jī)上的重要數(shù)據(jù)，給該計(jì)算機(jī)造成了損失。為了避免這樣的損失，我們可以利用注冊(cè)表來隱藏“網(wǎng)上鄰居”。具體操作步驟如下：,第1步：打開注冊(cè)表編輯器。 第2步：選擇子鍵HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersion PoliciesExplorer。 第3步：在右邊的窗口中新建一個(gè)數(shù)據(jù)類型為DWOR

17、D的鍵值項(xiàng)“NoNetHood”，并把該值設(shè)置為“1”(十六進(jìn)制)。,3.3 帳號(hào)和口令的安全設(shè)置實(shí)驗(yàn),設(shè)置帳號(hào)和口令是最常用的安全措施之一，如果帳號(hào)和口令管理不當(dāng)，就會(huì)帶來巨大的安全隱患。 1. 實(shí)驗(yàn)?zāi)康?合理設(shè)置Windows帳號(hào)和口令；增加帳號(hào)和口令被破解的難度。,2. 實(shí)驗(yàn)原理 圖3.5和圖3.6列出了Windows 2000/XP操作系統(tǒng)中常見的帳戶和帳戶組。如系統(tǒng)開放的帳戶太多，就會(huì)增大弱口令存在的概率。所以從系統(tǒng)加固的角度來看，應(yīng)該盡可能地關(guān)掉不常用的帳戶或者開放盡可能少的帳戶。,圖3.5 Windows 2000/XP操作系統(tǒng)中常見的帳戶,圖3.6 Windows 2000/X

18、P操作系統(tǒng)中常見的帳戶組,3. 實(shí)驗(yàn)環(huán)境 基于Windows XP或Windows 2003等的操作系統(tǒng)。 4. 實(shí)驗(yàn)內(nèi)容 1) 帳號(hào)的安全加固 (1) 重命名和禁用默認(rèn)的帳戶。,安裝好Windows后，系統(tǒng)會(huì)自動(dòng)建立兩個(gè)帳戶，即Administrator和Guest。其中Administrator擁有最高的權(quán)限，Guest則只有基本的權(quán)限并且默認(rèn)是禁用的，而在這種默認(rèn)的帳戶帶來方便的同時(shí)也嚴(yán)重危害到了系統(tǒng)的安全。因此，安全的做法是更改Administrator帳戶的名稱，然后再建立一個(gè)幾乎沒有任何權(quán)限的假的Administrator帳戶。具體操作步驟如下： 第1步：?jiǎn)螕簟伴_始”“運(yùn)行”，在彈

19、出的對(duì)話框中輸入“secpol.msc”，并按【回車】鍵確認(rèn)。,第2步：打開“Local Security Settings(本地安全設(shè)置)”對(duì)話框，依次展開“Local Policies (本地策略)”“Security Options(安全選項(xiàng))”，在右側(cè)窗口中找到“Accounts: Rename administrator (guest) account(帳戶：重命名Administrator/Guest帳戶)”的策略。 第3步：雙擊打開該策略，給“Administrator”重新設(shè)置一個(gè)不是很引人注目的用戶名。 第4步：新建一個(gè)名稱為“Administrator”的受限制用戶，以迷惑

20、闖入者。,(2) 減少管理員組的成員數(shù)量。 從某種意義上講，限制了管理員組的成員數(shù)量，也就限制了擁有較高權(quán)限的用戶和密碼管理的難度，減少了易被識(shí)破的密碼被用于系統(tǒng)密碼的機(jī)會(huì)，從而避免了使系統(tǒng)處于危險(xiǎn)的境地。具體操作步驟如下： 第1步：依次選擇“開始”“所有程序”“計(jì)算機(jī)管理”“本地用戶和組”“組”。,第2步：雙擊“Administrators”選項(xiàng)，打開“Administrators屬性”對(duì)話框，選擇“成員”列表中想要?jiǎng)h除的管理員帳戶，并單擊【刪除】按鈕即可。 (3) 限制不必要的用戶數(shù)量。 通過關(guān)掉所有的Duplicate User帳戶、測(cè)試帳戶和共享帳戶等，刪除已經(jīng)不再使用的帳戶，可限制不

21、必要的用戶數(shù)量。 可以創(chuàng)建兩個(gè)管理員帳戶，一個(gè)是一般權(quán)限的帳戶，另一個(gè)是有“Administrators”權(quán)限的帳戶。,(4) 開機(jī)時(shí)設(shè)置為“不自動(dòng)顯示上次登錄帳戶”。 Windows 默認(rèn)設(shè)置開機(jī)時(shí)自動(dòng)顯示上次登錄的帳戶名，許多用戶也采用了這一設(shè)置，這對(duì)系統(tǒng)來說是很不安全的，攻擊者會(huì)從本地或Terminal Service的登錄界面看到用戶名。具體操作步驟如下： 第1步：依次選擇“開始”“設(shè)置”“控制面板”“管理工具”“本地安全策略”“本地策略”“安全選項(xiàng)”，打開的界面如圖3.7所示。,圖3.7 “本地安全設(shè)置”窗口,第2步：在圖3.7所示窗口的右側(cè)列表中選擇“交互式登錄：不顯示上次的用戶名

22、”選項(xiàng)，彈出圖3.8所示的對(duì)話框，選擇“已啟用”選項(xiàng)，完成設(shè)置。,圖3.8 “本地安全策略設(shè)置”對(duì)話框,(5) 禁止枚舉帳戶。 為了便于遠(yuǎn)程用戶共享本地文件，Windows 默認(rèn)設(shè)置遠(yuǎn)程用戶可以通過空連接枚舉出所有本地帳戶，這給攻擊者創(chuàng)造了可乘之機(jī)。禁止枚舉帳戶的具體操作步驟如下： 第1步：依次選擇“本地安全策略”“安全選項(xiàng)”，如圖3.9所示。,圖3.9 “本地安全設(shè)置”窗口,第2步：在“本地安全設(shè)置”菜單欄的右側(cè)列表中選擇“網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉”選項(xiàng)，彈出圖3.10所示的對(duì)話框，選擇“已啟用”選項(xiàng)，完成設(shè)置。,圖3.10 “本地安全策略設(shè)置”對(duì)話框,2) 帳號(hào)口令的安全

23、加固 目前，針對(duì)各類口令的破解工具層出不窮。管理員(Administrator)的口令可以在本地破解(如使用LC5軟件等)，也可以以遠(yuǎn)程方式破解(如使用idasnake)。無論是本地破解還是遠(yuǎn)程破解，大都采用了暴力破解的方式。原因是存儲(chǔ)在SAM數(shù)據(jù)庫中的信息并未經(jīng)過加密，而僅僅進(jìn)行了哈希(Hash)運(yùn)算，這樣就為黑客通過反復(fù)嘗試進(jìn)行口令破解留下了可能。,目前，針對(duì)密碼的加固手段主要有3類，分別是安全的密碼策略、安全的帳戶鎖定策略和啟用syskey命令對(duì)帳戶信息加密。 (1) 設(shè)置安全的密碼策略。 安全的密碼策略要求系統(tǒng)中的各帳戶都采用復(fù)雜的口令，目的是延長(zhǎng)破解口令所需的時(shí)間，提高口令的安全性。

24、但是，只要有足夠長(zhǎng)的時(shí)間，再復(fù)雜的口令也能被破解。所以，安全的密碼策略要求每個(gè)用戶都能定期地更換口令。具體操作步驟如下：,第1步：打開密碼策略設(shè)置界面。 依次選擇“開始”“設(shè)置”“控制面板”“管理工具”“本地安全策略”“帳戶策略”“密碼策略”，打開的界面如圖3.11所示。,圖3.11 “密碼策略”設(shè)置界面,第2步：設(shè)置密碼長(zhǎng)度最小值、密碼復(fù)雜性要求等。 (2) 安全的帳戶鎖定策略設(shè)置。 黑客之所以能夠采用暴力猜解的方法來破解用戶口令，一個(gè)重要原因是在大多情況下，操作系統(tǒng)允許他們進(jìn)行無限次地嘗試。雖然Windows系統(tǒng)提供了限制機(jī)制，但在默認(rèn)安裝的狀態(tài)下，這些機(jī)制并未被啟用。從安全的角度看，限制

25、機(jī)制只給攻擊者為數(shù)不多的幾次嘗試機(jī)會(huì)，一旦失敗的次數(shù)超過了事先設(shè)定的極限值，該帳戶將被鎖定，從而避免用戶口令被破解。具體操作步驟如下。,第1步：打開帳戶鎖定策略。 依次選擇“開始”“設(shè)置”“控制面板”“管理工具”“本地安全策略”“帳戶策略”“帳戶鎖定策略”，打開的界面如圖3.12所示。,圖3.12 “帳戶鎖定策略”設(shè)置界面,第2步：設(shè)置復(fù)位帳戶鎖定計(jì)數(shù)器、帳戶鎖定時(shí)間等。 (3) 啟用Syskey命令。 Syskey是從Windows NT SP3版本開始提供的一個(gè)工具，使用Syskey能對(duì)帳戶密碼數(shù)據(jù)文件(SAM)進(jìn)行二次加密，以防止用戶口令被遠(yuǎn)程或本地破解，這樣更能保證系統(tǒng)的安全。同時(shí)，S

26、yskey還能設(shè)置啟動(dòng)密碼，這個(gè)密碼先于用戶密碼之前輸入，因此，可起到雙重保護(hù)的功能。具體操作步驟如下：,第1步：選擇“開始”“運(yùn)行”，輸入“Syskey”就可以啟動(dòng)加密的窗口(這里以Windows XP)為例，如圖3.13所示。,圖3.13 Syskey的啟動(dòng)界面,第2步：在彈出的“保證Windows XP帳戶數(shù)據(jù)庫的安全”對(duì)話框中選擇“啟用加密”選項(xiàng)，單擊【更新】按鈕，彈出如圖3.14所示的界面。,圖3.14 “啟動(dòng)密碼”對(duì)話框,第3步：如果我們選擇“密碼啟動(dòng)”選項(xiàng)，則需輸入一個(gè)密碼，然后單擊【確定】按鈕，這樣做將使Windows XP在啟動(dòng)時(shí)需要多輸入一次密碼，起到了二次加密的作用。當(dāng)操

27、作系統(tǒng)啟動(dòng)時(shí)，在往常我們輸入用戶名和密碼之前系統(tǒng)會(huì)出現(xiàn)窗口提示“本臺(tái)計(jì)算機(jī)需要密碼才能啟動(dòng)，請(qǐng)輸入啟動(dòng)密碼”，這便是用Syskey剛剛創(chuàng)建的第一重密碼保護(hù)。,如果我們選擇“在軟盤上保存啟動(dòng)密碼”選項(xiàng)，則會(huì)生成一個(gè)密碼軟盤，如果沒有這張軟盤，將不能進(jìn)入操作系統(tǒng)。如果在這之前設(shè)置了Syskey系統(tǒng)啟動(dòng)密碼，這里還會(huì)需要我們?cè)俅屋斎肽莻€(gè)密碼，以獲得相應(yīng)的授權(quán)。,3.4 文件系統(tǒng)安全設(shè)置實(shí)驗(yàn),1. 實(shí)驗(yàn)?zāi)康?使用EFS對(duì)文件和文件夾加密。 2. 實(shí)驗(yàn)原理 為了實(shí)現(xiàn)更細(xì)致的權(quán)限管理，建議把服務(wù)器的所有分區(qū)都格式化為NTFS格式。NTFS文件系統(tǒng)是從Windows NT起開始支持的一種文件分配表的格式，它

28、能提供比FAT和FAT 32更多的安全功能，比如設(shè)置目錄和文件的訪問權(quán)限。這里舉一個(gè)例子說明，對(duì)操作系統(tǒng)中的任何一個(gè)文件或者文件夾單擊鼠標(biāo)右鍵，選擇“屬性”選項(xiàng)，從彈出的“xxx屬性”對(duì)話框中選擇“安全”標(biāo)簽，可出現(xiàn)如圖3.15所示的界面。,從圖3.15可見，我們可以對(duì)每個(gè)用戶進(jìn)行操作，對(duì)每個(gè)文件的權(quán)限做細(xì)致的規(guī)定。這個(gè)功能只有在NTFS分區(qū)里才能提供，在FAT或FAT 32格式的分區(qū)里是沒有“安全”這個(gè)標(biāo)簽的。建議對(duì)一般用戶賦予讀取權(quán)限，而只給管理員和SYSTEM以完全控制權(quán)限，但這樣做有可能使某些正常的腳本程序不能執(zhí)行，或者某些需要寫的操作不能完成。這時(shí)需要對(duì)這些文件所在的文件夾權(quán)限進(jìn)行更

29、改，建議在更改前先找一臺(tái)機(jī)器進(jìn)行測(cè)試，然后再更改。,另外，運(yùn)行regedt32.exe時(shí)，可使用注冊(cè)表編輯器，這樣可以對(duì)任何一個(gè)文件夾，甚至是注冊(cè)表的表項(xiàng)進(jìn)行同樣的權(quán)限設(shè)置。 Windows 2000以上的操作系統(tǒng)(除了Windows XP Home之外)本身就集成了EFS(Encryption File System，加密文件系統(tǒng))加密功能，它可以加密NTFS分區(qū)上的文件和文件夾，防止對(duì)敏感數(shù)據(jù)進(jìn)行未經(jīng)允許的物理訪問(如偷取筆記本和硬盤等)。加密之后，就等于把文件或文件夾全部鎖進(jìn)了“保險(xiǎn)柜”。EFS采用了56位的數(shù)據(jù)加密標(biāo)準(zhǔn)，到目前為止還沒有人能破解，所以，采用EFS加密具有很高的安全性。,

30、需要說明的是，EFS只能對(duì)存儲(chǔ)在磁盤上的數(shù)據(jù)進(jìn)行加密，是一種安全的本地信息加密服務(wù)，而且只有NTFS分區(qū)才支持EFS的功能，F(xiàn)AT分區(qū)上的文件和文件夾是不能被EFS加密的。 EFS加密操作非常簡(jiǎn)單，對(duì)加密文件的用戶也是透明的。文件在加密之后，不必再使用前手動(dòng)解密，只有加密者才能打開加密文件，其他用戶登錄系統(tǒng)后，將無法打開加密文件。,一旦有了一個(gè)經(jīng)過加密的目錄，以后要對(duì)某個(gè)文件或文件夾進(jìn)行EFS加密，只需要把它們移到該目錄中，就會(huì)被自動(dòng)加密了。另外，標(biāo)記為“系統(tǒng)”屬性的文件，以及位于Windows 系統(tǒng)目錄中的文件無法被EFS加密。,3. 實(shí)驗(yàn)環(huán)境 基于Windows XP或Windows 20

31、03等的操作系統(tǒng)，文件分區(qū)表格式為NTFS。 4. 實(shí)驗(yàn)內(nèi)容 使用EFS對(duì)文件和文件夾進(jìn)行加密的操作步驟如下： 第1步：?jiǎn)?dòng)“Windows 資源管理器”，找到要加密的文件或文件夾，然后單擊鼠標(biāo)右鍵并從彈出的快捷菜單中選擇“屬性”命令，打開“FAQ 屬性”對(duì)話框，如圖3.16所示。 第2步：在“常規(guī)”選項(xiàng)卡中，單擊【高級(jí)】按鈕，在彈出的“高級(jí)屬性”對(duì)話框中勾選“加密內(nèi)容以便保護(hù)數(shù)據(jù)”復(fù)選框，單擊【確定】按鈕退出，如圖3.17所示。,圖3.16 “屬性”對(duì)話框,圖3.17 “高級(jí)屬性”對(duì)話框,第3步：如果加密的是文件夾，此時(shí)會(huì)彈出一個(gè)對(duì)話框，如圖3.18所示。我們可以根據(jù)需要，選擇僅加密此文件夾

32、、還是將此目錄下的子文件夾和文件也一起加密，選擇之后，單擊【確定】按鈕，最后再單擊【應(yīng)用】按鈕完成。在默認(rèn)情況下，經(jīng)過EFS加密的文件或文件夾在資源管理器中顯示的顏色會(huì)變?yōu)榫G色，這表示它們已經(jīng)被EFS加密了。,圖3.18 “確認(rèn)屬性更改”對(duì)話框,3.5 關(guān)閉默認(rèn)共享,1. 實(shí)驗(yàn)?zāi)康?關(guān)閉NetBIOS服務(wù)的文件和打印共享功能；關(guān)閉Windows 2000/XP系統(tǒng)的默認(rèn)共享。,2. 實(shí)驗(yàn)原理 為了方便局域網(wǎng)用戶之間的信息傳輸，Windows提供了以下兩種機(jī)制。 1) 基于NetBIOS服務(wù)的文件和打印共享機(jī)制 該機(jī)制主要通過137、138和139號(hào)端口提供服務(wù)。通常通過網(wǎng)絡(luò)共享某個(gè)文件/文件夾，或者把連接到某臺(tái)計(jì)算機(jī)上的打印機(jī)設(shè)置為通過網(wǎng)絡(luò)共享，這些都是NetBIOS提供的服務(wù)。,2) 默認(rèn)共享機(jī)制 Windows操作系統(tǒng)在默認(rèn)安裝的情況下，把所有的磁盤分區(qū)都設(shè)置為默認(rèn)共享。這樣的好處是系統(tǒng)管理員可以通過遠(yuǎn)程的方式對(duì)系統(tǒng)進(jìn)行維護(hù)。 雖然共享能方便資源的使用，但是提供該服務(wù)的兩種機(jī)制都存在缺陷：,(1) NetBIOS服務(wù)存在多種漏洞，所以，137、138和139端口被公認(rèn)為危險(xiǎn)端口。 (2) 系統(tǒng)為默認(rèn)共享提供的唯一保護(hù)措施就是設(shè)置了訪問權(quán)限，即對(duì)磁盤默認(rèn)共享的訪問一般需要管