我的電腦本地安全設(shè)置的密碼是14位數(shù)，怎樣設(shè)置開機密碼......

最短密碼長度

創(chuàng)新互聯(lián)建站公司2013年成立，先為安福等服務(wù)建站，安福等地企業(yè)，進行企業(yè)商務(wù)咨詢服務(wù)。為安福企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

此安全設(shè)置確定用戶帳戶密碼包含的最少字符數(shù)?？梢詫⒅翟O(shè)置為介于 1 和 14 個字符之間，或者將字符數(shù)設(shè)置為 0 以確定不需要密碼。

默認值:

在域控制器上為 7。

在獨立服務(wù)器上為 0。

注意: 默認情況下，成員計算機沿用各自域控制器的配置。

這是計算機安全策略中的說明內(nèi)容，所以我懷疑你的密碼已經(jīng)超出了14個字符，建議你重新檢查，或者換一個短一點兒 比如11位 的密碼試試 看是不是這個原因

路由器的14個保護技巧

路由器的安全防范是網(wǎng)絡(luò)安全的一個重要組成部分，還必須配合其他的安全防范措施，這樣才能共同構(gòu)筑起安全防范的整體工程。下面是可可經(jīng)驗頻道我收集整理的路由器應(yīng)當怎樣保護，歡迎閱讀。

1.為路由器間的協(xié)議交換增加認證功能，提高網(wǎng)絡(luò)安全性

路由器的一個重要功能是路由的管理和維護，目前具有一定規(guī)模的網(wǎng)絡(luò)都采用動態(tài)的路由協(xié)議,常用 的有：RIP、EIGRP、OSPF、IS-IS、BGP等。當一臺設(shè)置了相同路由協(xié)議和相同區(qū)域標示符的路由器加入網(wǎng)絡(luò)后，會學習網(wǎng)絡(luò)上的路由信息表。 但此種方法可能導(dǎo)致網(wǎng)絡(luò)拓撲信息泄漏，也可能由于向網(wǎng)絡(luò)發(fā)送自己的路由信息表，擾亂網(wǎng)絡(luò)上正常工作的路由信息表，嚴重時可以使整個網(wǎng)絡(luò)癱瘓。

這個問題的解 決辦法是對網(wǎng)絡(luò)內(nèi)的路由器之間相互交流的路由信息進行認證。當路由器配置了認證方式，就會鑒別路由信息的收發(fā)方。有兩種鑒別方式，其中“純文本方式”安全 性低，建議使用“MD5方式”。

2.路由器的物理安全防范

路由器控制端口是具有特殊權(quán)限的端口，如果攻擊者物理接觸路由器后，斷電重啟，實施“密碼修復(fù)流程”，進而登錄路由器，就可以完全控制路由器。

3.保護路由器口令

在備份的路由器配置文件中，密碼即使是用加密的形式存放，密碼明文仍存在被破解的可能。一旦密碼泄漏，網(wǎng)絡(luò)也就毫無安全可言。

4.阻止察看路由器診斷信息

關(guān)閉命令如下：noservicetcp-small-serversnoserviceudp-small-servers

5.阻止查看到路由器當前的用戶列表

關(guān)閉命令為：noservicefinger。

6.關(guān)閉CDP服務(wù)

在OSI二層協(xié)議即鏈路層的基礎(chǔ)上可發(fā)現(xiàn)對端路由器的部分配置信息:設(shè)備平臺、操作系統(tǒng)版本、端口、IP地址等重要信息?？梢杂妹?nocdprunning或nocdpenable關(guān)閉這個服務(wù)。

7.阻止路由器接收帶源路由標記的包，將帶有源路由選項的數(shù)據(jù)流丟棄

“IPsource-route”是一個全局配置命令，允許路由器處理帶源路由選項標記的數(shù)據(jù)流。啟用源路由選項后，源路由信息指定的路由使數(shù)據(jù)流能夠越過默認的路由，這種包就可能繞過防火墻。關(guān)閉命令如下：noipsource-route。

8.關(guān)閉路由器廣播包的轉(zhuǎn)發(fā)

SumrfD.o.S攻擊以有廣播轉(zhuǎn)發(fā)配置的路由器作為反射板，占用網(wǎng)絡(luò)資源，甚至造成網(wǎng)絡(luò)的癱瘓。應(yīng)在每個端口應(yīng)用“noipdirected-broadcast”關(guān)閉路由器廣播包。

9.管理HTTP服務(wù)

HTTP服務(wù)提供Web管理接口?！皀oiphttpserver”可以停止HTTP服務(wù)。如 果必須使用HTTP，一定要使用訪問列表“iphttpaccess-class”命令，嚴格過濾允許的IP地址，同時用 “iphttpauthentication”命令設(shè)定授權(quán)限制。

10.抵御spoofing(欺騙)類攻擊

使用訪問控制列表，過濾掉所有目標地址為網(wǎng)絡(luò)廣播地址和宣稱來自內(nèi)部網(wǎng)絡(luò)，實際卻來自外部的 包。在路由器端口配置：ipaccess-grouplistinnumber訪問控制列表如下：

access- listnumberdenyicmpanyanyredirectaccess- listnumberdenyip127.0.0.00.255.255.255anyaccess- listnumberdenyip224.0.0.031.255.255.255anyaccess- listnumberdenyiphost0.0.0.0any

注:上述四行命令將過濾BOOTP/DHCP應(yīng)用中的部分數(shù)據(jù)包，在類似環(huán)境中使用時要有 充分的認識。

11.防止包嗅探

黑客經(jīng)常將嗅探軟件安裝在已經(jīng)侵入的網(wǎng)絡(luò)上的計算機內(nèi)，監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流，從而盜竊密碼,包括 SNMP通信密碼，也包括路由器的登錄和特權(quán)密碼，這樣網(wǎng)絡(luò)管理員難以保證網(wǎng)絡(luò)的安全性。在不可信任的網(wǎng)絡(luò)上不要用非加密協(xié)議登錄路由器。如果路由器支持 加密協(xié)議，請使用SSH或KerberizedTelnet，或使用IPSec加密路由器所有的管理流。

12.校驗數(shù)據(jù)流路徑的合法性

使用RPF(reversepathforwarding)反相路徑轉(zhuǎn)發(fā)，由于攻擊者地址是違 法的，所以攻擊包被丟棄，從而達到抵御spoofing攻擊的目的。RPF反相路徑轉(zhuǎn)發(fā)的配置命令為:ipverifyunicastrpf。注意:首先 要支持CEF(CiscoExpressForwarding)快速轉(zhuǎn)發(fā)。

13.防止SYN攻擊

目前，一些路由器的'軟件平臺可以開啟TCP攔截功能，防止SYN攻擊，工作模式分攔截和監(jiān)視兩 種，默認情況是攔截模式。(攔截模式:路由器響應(yīng)到達的SYN請求，并且代替服務(wù)器發(fā)送一個SYN-ACK報文，然后等待客戶機ACK。如果收到ACK， 再將原來的SYN報文發(fā)送到服務(wù)器;監(jiān)視模式：路由器允許SYN請求直接到達服務(wù)器，如果這個會話在30秒內(nèi)沒有建立起來，路由器就會發(fā)送一個RST,以 清除這個連接。)首先，配置訪問列表，以備開啟需要保護的IP地址:

accesslist[1-199] [deny|permit]tcpanydestinationdestination-wildcard

然后，開啟TCP攔截：

IptcpinterceptmodeinterceptIptcpinterceptlistaccesslist- numberIptcpinterceptmodewatch

14.使用安全的SNMP管理方案

SNMP廣泛應(yīng)用在路由器的監(jiān)控、配置方面。SNMPVersion1在穿越公網(wǎng)的管理應(yīng)用方 面，安全性低，不適合使用。利用訪問列表僅僅允許來自特定工作站的SNMP訪問通過這一功能可以來提升SNMP服務(wù)的安全性能。配置命令：snmp- servercommunityxxxxxRWxx;xx是訪問控制列表號SNMPVersion2使用MD5數(shù)字身份鑒別方式。不同的路由器設(shè)備配置不 同的數(shù)字簽名密碼，這是提高整體安全性能的有效手段。

總之，路由器的安全防范是網(wǎng)絡(luò)安全的一個重要組成部分，還必須配合其他的安全防范措施，這樣才能共同構(gòu)筑起安全防范的整體工程。

目前有關(guān)服務(wù)器系統(tǒng)的最新技術(shù)有哪些

目前服務(wù)器常用的操作系統(tǒng)有三類: -Unix -Linux -Windows NT/2000/2003 Server. 這些操作系統(tǒng)都是符合C2級安全級別的操作系 統(tǒng).但是都存在不少漏洞,如果對這些漏洞不了 解,不采取相應(yīng)的措施,就會使操作系統(tǒng)完全暴 露給入侵者. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 UNIX系統(tǒng) UNIX操作系統(tǒng)是由美國貝爾實驗室開發(fā)的 一種多用戶,多任務(wù)的通用操作系統(tǒng). 誕生于1969年,在GE645計算機上實現(xiàn)一 種分時操作系統(tǒng)的雛形 1970年給系統(tǒng)正式取名為Unix操作系統(tǒng). 到1973年,Unix系統(tǒng)的絕大部分源代碼都 用C語言重新編寫過,大大提高了Unix系統(tǒng) 的可移植性,也為提高系統(tǒng)軟件的開發(fā)效率 創(chuàng)造了條件. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 主要特色 UNIX操作系統(tǒng)經(jīng)過20多年的發(fā)展后,已經(jīng)成為一種成 熟的主流操作系統(tǒng),并在發(fā)展過程中逐步形成了一些 新的特色,其中主要特色包括5個方面. -(1)可靠性高 -(2)極強的伸縮性 -(3)網(wǎng)絡(luò)功能強 -(4)強大的數(shù)據(jù)庫支持功能 -(5)開放性好 BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 Linux系統(tǒng) Linux是一套可以免費使用和自由傳播的 類Unix操作系統(tǒng),主要用于基于Intel x86 系列CPU的計算機上. Linux是在GPL(General Public License)保護下的自由軟件,版本有: Redhatlinux,Suse,Slackware, Debian等;國內(nèi)有:XteamLinux,紅旗 Linux.Linux流行的原因是免費并且功能 強大. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 Linux典型的優(yōu)點 (1)完全免費 (2)完全兼容POSIX 1.0標準 (3)多用戶,多任務(wù) (4)良好的界面 (5)豐富的網(wǎng)絡(luò)功能 (6)可靠的安全,穩(wěn)定性能 (7)支持多種平臺 BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 Windows系統(tǒng) Windows NT(New Technology)是微軟 公司第一個真正意義上的網(wǎng)絡(luò)操作系統(tǒng), 發(fā)展經(jīng)過NT3.0,NT40,NT5.0 (Windows 2000)和NT6.0(Windows 2003)等眾多版本,并逐步占據(jù)了廣大的 中小網(wǎng)絡(luò)操作系統(tǒng)的市場. Windows NT眾多版本的操作系統(tǒng)使用了 與Windows 9X完全一致的用戶界面和完全 相同的操作方法,使用戶使用起來比較方 便.與Windows 9X相比,Windows NT的 網(wǎng)絡(luò)功能更加強大并且安全. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 Windows NT系列操作系統(tǒng) Windows NT系列操作系統(tǒng)具有以下三方面的優(yōu)點. (1)支持多種網(wǎng)絡(luò)協(xié)議 -由于在網(wǎng)絡(luò)中可能存在多種客戶機,如Windows 95/98,Apple Macintosh,Unix,OS/2等等,而這些客戶機可能使用了不同的 網(wǎng)絡(luò)協(xié)議,如TCP/IP協(xié)議,IPX/SPX等.Windows NT系列操作支 持幾乎所有常見的網(wǎng)絡(luò)協(xié)議. (2)內(nèi)置Internet功能 -內(nèi)置IIS(Internet Information Server),可以使網(wǎng)絡(luò)管理員輕松 的配置WWW和FTP等服務(wù). (3)支持NTFS文件系統(tǒng) -NT同時支持FAT和NTFS的磁盤分區(qū)格式.使用NTFS的好處主要 是可以提高文件管理的安全性,用戶可以對NTFS系統(tǒng)中的任何文 件,目錄設(shè)置權(quán)限,這樣當多用戶同時訪問系統(tǒng)的時候,可以增加 文件的安全性. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 安全配置方案初級篇 安全配置方案初級篇主要介紹常規(guī)的操作 系統(tǒng)安全配置,包括十二條基本配置原 則: (1)物理安全,(2)停止Guest帳號, (3)限制用戶數(shù)量 (4)創(chuàng)建多個管理員帳號,(5)管理員帳號改名 (6)陷阱帳號,(7)更改默認權(quán)限,(8)設(shè)置 安全密碼 (9)屏幕保護密碼,(10)使用NTFS分區(qū) (11)運行防毒軟件,(12)確保備份盤安全. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 1,物理安全 服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房 間內(nèi),并且監(jiān)視器要保留15天以上的攝像 記錄. 另外,機箱,鍵盤,電腦桌抽屜要上鎖, 以確保旁人即使進入房間也無法使用電 腦,鑰匙要放在安全的地方. 2,停止Guest帳號 在計算機管理的用戶里面把Guest帳號停用,任何時候都不允許 Guest帳號登陸系統(tǒng). 為了保險起見,最好給Guest 加一個復(fù)雜的密碼,包含特殊字符,數(shù) 字,字母的長字符串. 用它作為Guest帳號的密碼.并且修改Guest帳號的屬性,設(shè)置拒絕 遠程訪問,如圖所示. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 3 限制用戶數(shù)量 去掉所有的測試帳戶,共享帳號和普通部門帳號 等等.用戶組策略設(shè)置相應(yīng)權(quán)限,并且經(jīng)常檢查 系統(tǒng)的帳戶,刪除已經(jīng)不使用的帳戶. 帳戶很多是黑客們?nèi)肭窒到y(tǒng)的突破口,系統(tǒng)的帳 戶越多,黑客們得到合法用戶的權(quán)限可能性一般 也就越大. 對于Windows NT/2000主機,如果系統(tǒng)帳戶超過 10個,一般能找出一兩個弱口令帳戶,所以帳戶 數(shù)量不要大于10個. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 4 多個管理員帳號 雖然這點看上去和上面有些矛盾,但事實上是服 從上面規(guī)則的.創(chuàng)建一個一般用戶權(quán)限帳號用來 處理電子郵件以及處理一些日常事物,另一個擁 有Administrator權(quán)限的帳戶只在需要的時候使 用. 因為只要登錄系統(tǒng)以后,密碼就存儲再 WinLogon進程中,當有其他用戶入侵計算機的 時候就可以得到登錄用戶的密碼,盡量減少 Administrator登錄的次數(shù)和時間. 5 管理員帳號改名 Windows 2000中的Administrator帳號是不能被停用的,這意味著 別人可以一遍又一邊的嘗試這個帳戶的密碼.把Administrator帳戶 改名可以有效的防止這一點. 不要使用Admin之類的名字,改了等于沒改,盡量把它偽裝成普通用 戶,比如改成:guestone.具體操作的時候只要選中帳戶名改名就 可以了,如圖所示. 6 陷阱帳號 所謂的陷阱帳號是創(chuàng)建一個名為"Administrator"的本地帳 戶,把它的權(quán)限設(shè)置成最低,什么事也干不了的那種,并 且加上一個超過10位的超級復(fù)雜密碼. 這樣可以讓那些企圖入侵者忙上一段時間了,并且可以借 此發(fā)現(xiàn)它們的入侵企圖.可以將該用戶隸屬的組修改成 Guests組,如圖所示. 7 更改默認權(quán)限 共享文件的權(quán)限從"Everyone"組改成"授權(quán)用戶"."Everyone"在 Windows 2000中意味著任何有權(quán)進入你的網(wǎng)絡(luò)的用戶都能夠獲得這 些共享資料. 任何時候不要把共享文件的用戶設(shè)置成"Everyone"組.包括打印共 享,默認的屬性就是"Everyone"組的,一定不要忘了改.設(shè)置某文 件夾共享默認設(shè)置如圖所示. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 8安全密碼 一些網(wǎng)絡(luò)管理員創(chuàng)建帳號的時候往往用公司名, 計算機名,或者一些別的一猜就到的字符做用戶 名,然后又把這些帳戶的密碼設(shè)置得比較簡單, 這樣的帳戶應(yīng)該要求用戶首此登陸的時候更改成 復(fù)雜的密碼,還要注意經(jīng)常更改密碼. 這里給好密碼下了個定義:安全期內(nèi)無法破解出 來的密碼就是好密碼,也就是說,如果得到了密 碼文檔,必須花43天或者更長的時間才能破解出 來,密碼策略是42天必須改密碼. 9屏幕保護密碼 設(shè)置屏幕保護密碼是防止內(nèi)部人員破壞服務(wù)器的一個屏 障. 還有一點,所有系統(tǒng)用戶所使用的機器也最好加上屏幕保 護密碼. 將屏幕保護的選項"密碼保護"選中就可以了,并將等待時 間設(shè)置為最短時間"1秒",如圖所示. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 10 NTFS分區(qū) 把服務(wù)器的所有分區(qū)都改成NTFS格式.NTFS文 件系統(tǒng)要比FAT,FAT32的文件系統(tǒng)安全得多. 11防毒軟件 Windows 2000/NT服務(wù)器一般都沒有安裝防毒軟 件的,一些好的殺毒軟件不僅能殺掉一些著名的 病毒,還能查殺大量木馬和后門程序. 要經(jīng)常升級病毒庫. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 12備份盤的安全 一旦系統(tǒng)資料被黑客破壞,備份盤將是恢 復(fù)資料的唯一途徑.備份完資料后,把備 份盤防在安全的地方. 把資料備份放在多臺服務(wù)器上. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 安全配置方案中級篇 安全配置方案中級篇主要介紹操作系統(tǒng)的安全策 略配置,包括十條基本配置原則: (1)操作系統(tǒng)安全策略, (2)關(guān)閉不必要的服務(wù) (3)關(guān)閉不必要的端口, (4)開啟審核策略 (5)開啟密碼策略, (6)開啟帳戶策略,(7)備份敏感文件 (8)不顯示上次登陸名,(9)禁止建立空連接 (10)下載最新的補丁 1 操作系統(tǒng)安全策略 利用Windows 2000的安全配置工具來配置安全策略,微 軟提供了一套的基于管理控制臺的安全配置和分析工具, 可以配置服務(wù)器的安全策略. 在管理工具中可以找到"本地安全策略". 可以配置四類安全策略:帳戶策略,本地策略,公鑰策略 和IP安全策略.在默認的情況下,這些策略都是沒有開啟 的. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 2 關(guān)閉不必要的服務(wù) Windows 2000的Terminal Services(終 端服務(wù))和IIS(Internet 信息服務(wù))等都 可能給系統(tǒng)帶來安全漏洞. 為了能夠在遠程方便的管理服務(wù)器,很多 機器的終端服務(wù)都是開著的,如果開了, 要確認已經(jīng)正確的配置了終端服務(wù). 有些惡意的程序也能以服務(wù)方式悄悄的運 行服務(wù)器上的終端服務(wù).要留意服務(wù)器上 開啟的所有服務(wù)并每天檢查. Windows2000可禁用的服務(wù) 服務(wù)名說明 Computer Browser維護網(wǎng)絡(luò)上計算機的最新列表以及提供這個 列表 Task scheduler允許程序在指定時間運行 Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由 服務(wù) Removable storage管理可移動媒體,驅(qū)動程序和庫 Remote Registry Service允許遠程注冊表操作 Print Spooler將文件加載到內(nèi)存中以便以后打印.要用打 印機的用戶不能禁用這項服務(wù) IPSEC Policy Agent管理IP安全策略以及啟動 ISAKMP/Oakley(IKE)和IP安全驅(qū)動程序 Distributed Link Tracking Client 當文件在網(wǎng)絡(luò)域的NTFS卷中移動時發(fā)送通 知 Com+ Event System提供事件的自動發(fā)布到訂閱COM組件 3 關(guān)閉不必要的端口 關(guān)閉端口意味著減少功能,如果服務(wù)器安裝在防火墻的后面,被入侵 的機會就會少一些,但是不可以認為高枕無憂了. 用端口掃描器掃描系統(tǒng)所開放的端口,在 Winnt\system32\drivers\etc\services文件中有知名端口和服務(wù)的對 照表可供參考.該文件用記事本打開如圖所示. 設(shè)置本機開放的端口 設(shè)置本機開放的端口和服務(wù),在IP地址設(shè)置窗口 中點擊按鈕"高級",如圖所示. 設(shè)置本機開放的端口 在出現(xiàn)的對話框中選擇選項卡"選項",選中 "TCP/IP篩選",點擊按鈕"屬性",如圖所示. 設(shè)置本機開放的端口 設(shè)置端口界面如圖所示. 一臺Web服務(wù)器只允許TCP的80端口通過就可以了. TCP/IP篩選器是Windows自帶的防火墻,功能比較強 大,可以替代防火墻的部分功能. 4 開啟審核策略 安全審核是Windows 2000最基本的入侵檢測方法.當有人嘗試對系 統(tǒng)進行某種方式(如嘗試用戶密碼,改變帳戶策略和未經(jīng)許可的文件 訪問等等)入侵的時候,都會被安全審核記錄下來. 必須開啟的審核如下表: 策略設(shè)置 審核系統(tǒng)登陸事件成功,失敗 審核帳戶管理成功,失敗 審核登陸事件成功,失敗 審核對象訪問成功 審核策略更改成功,失敗 審核特權(quán)使用成功,失敗 審核系統(tǒng)事件成功,失敗 審核策略默認設(shè)置 審核策略在默認的情況下都是沒有開啟的,如圖所 示. 設(shè)置審核策略 雙擊審核列表的某一項,出現(xiàn)設(shè)置對話框,將復(fù) 選框"成功"和"失敗"都選中,如圖所示. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 5 開啟密碼策略 密碼對系統(tǒng)安全非常重要.本地安全設(shè)置 中的密碼策略在默認的情況下都沒有開 啟.需要開啟的密碼策略如表所示 策略設(shè)置 密碼復(fù)雜性要求啟用 密碼長度最小值6位 密碼最長存留期15天 強制密碼歷史5個 設(shè)置密碼策略 設(shè)置選項如圖所示. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 6 開啟帳戶策略 開啟帳戶策略可以有效的防止字典式攻擊, 設(shè)置如表所示. 策略設(shè)置 復(fù)位帳戶鎖定計數(shù)器30分鐘 帳戶鎖定時間30分鐘 帳戶鎖定閾值5次 BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 設(shè)置帳戶策略 設(shè)置的結(jié)果如圖所示. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 7 備份敏感文件 把敏感文件存放在另外的文件服務(wù)器中; 把一些重要的用戶數(shù)據(jù)(文件,數(shù)據(jù)表和 項目文件等)存放在另外一個安全的服務(wù) 器中,并且經(jīng)常備份它們 8 不顯示上次登錄名 默認情況下,終端服務(wù)接入服務(wù)器時,登陸對話框中會顯示上次登陸 的帳戶名,本地的登陸對話框也是一樣.黑客們可以得到系統(tǒng)的一些 用戶名,進而做密碼猜測. 修改注冊表禁止顯示上次登錄名,在HKEY_LOCAL_MACHINE主鍵 下修改子鍵: Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont DisplayLastUserName,將鍵值改成1,如圖所示. 9 禁止建立空連接 默認情況下,任何用戶通過空連接連上服務(wù)器,進而可以 枚舉出帳號,猜測密碼. 可以通過修改注冊表來禁止建立空連接.在 HKEY_LOCAL_MACHINE主鍵下修改子鍵: System\CurrentControlSet\Control\LSA\RestrictAnon ymous,將鍵值改成"1"即可.如圖所示. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 10 下載最新的補丁 很多網(wǎng)絡(luò)管理員沒有訪問安全站點的習 慣,以至于一些漏洞都出了很久了,還放 著服務(wù)器的漏洞不補給人家當靶子用. 經(jīng)常訪問微軟和一些安全站點,下載最新 的Service Pack和漏洞補丁,是保障服務(wù) 器長久安全的唯一方法. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 安全配置方案高級篇 高級篇介紹操作系統(tǒng)安全信息通信配置,包 括十四條配置原則: (1)關(guān)閉DirectDraw,(2)關(guān)閉默認共享 (3)禁用Dump File,(4)文件加密系統(tǒng) (5)加密Temp文件夾(6)鎖住注冊表, (7)關(guān)機時清除文件 (8)禁止軟盤光盤啟動(9)使用智能卡, (10)使用IPSec (11)禁止判斷主機類型,(12)抵抗DDOS (13)禁止Guest訪問日志 (14)數(shù)據(jù)恢復(fù)軟件 1 關(guān)閉DirectDraw C2級安全標準對視頻卡和內(nèi)存有要求.關(guān)閉DirectDraw可能對一些 需要用到DirectX的程序有影響(比如游戲),但是對于絕大多數(shù)的 商業(yè)站點都是沒有影響的. 在HKEY_LOCAL_MACHINE主鍵下修改子鍵: SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeo ut,將鍵值改為"0"即可,如圖所示. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 2 關(guān)閉默認共享 Windows 2000安裝以后,系統(tǒng)會創(chuàng)建一些隱藏的 共享,可以在DOS提示符下輸入命令Net Share 查 看,如圖所示. 停止默認共享 禁止這些共享,打開管理工具計算機管理共享文件夾 共享,在相應(yīng)的共享文件夾上按右鍵,點"停止共享"即 可,如圖所示. 3 禁用Dump文件 在系統(tǒng)崩潰和藍屏的時候,Dump文件是一份很有用資 料,可以幫助查找問題.然而,也能夠給黑客提供一些敏 感信息,比如一些應(yīng)用程序的密碼等 需要禁止它,打開控制面板系統(tǒng)屬性高級啟動和故障 恢復(fù),把寫入調(diào)試信息改成無,如圖所示. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 4 文件加密系統(tǒng) Windows2000強大的加密系統(tǒng)能夠給磁盤,文 件夾,文件加上一層安全保護.這樣可以防止別 人把你的硬盤掛到別的機器上以讀出里面的數(shù) 據(jù). 微軟公司為了彌補Windows NT 4.0的不足,在 Windows 2000中,提供了一種基于新一代 NTFS:NTFS V5(第5版本)的加密文件系統(tǒng) (Encrypted File System,簡稱EFS). EFS實現(xiàn)的是一種基于公共密鑰的數(shù)據(jù)加密方 式,利用了Windows 2000中的CryptoAPI結(jié) 構(gòu). BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 5 加密Temp文件夾 一些應(yīng)用程序在安裝和升級的時候,會把 一些數(shù)據(jù)拷貝到Temp文件夾,但是當程序 升級完畢或關(guān)閉的時候,并不會自己清除 Temp文件夾的內(nèi)容. 所以,給Temp文件夾加密可以多一層保 護. 6 鎖住注冊表 在Windows2000中,只有Administrators和Backup Operators才有從 網(wǎng)絡(luò)上訪問注冊表的權(quán)限.當帳號的密碼泄漏以后,黑客也可以在遠程 訪問注冊表,當服務(wù)器放到網(wǎng)絡(luò)上的時候,一般需要鎖定注冊表.修改 Hkey_current_user下的子鍵 Software\microsoft\windows\currentversion\Policies\system 把DisableRegistryTools的值該為0,類型為DWORD,如圖所示. 7 關(guān)機時清除文件 頁面文件也就是調(diào)度文件,是Windows 2000用來存儲沒有裝入內(nèi)存 的程序和數(shù)據(jù)文件部分的隱藏文件. 一些第三方的程序可以把一些沒有的加密的密碼存在內(nèi)存中,頁面文 件中可能含有另外一些敏感的資料.要在關(guān)機的時候清除頁面文件, 可以編輯注冊表修改主鍵HKEY_LOCAL_MACHINE下的子鍵: -SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management -把ClearPageFileAtShutdown的值設(shè)置成1,如圖所示. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 8 禁止軟盤光盤啟動 一些第三方的工具能通過引導(dǎo)系統(tǒng)來繞過原有的 安全機制.比如一些管理員工具,從軟盤上或者 光盤上引導(dǎo)系統(tǒng)以后,就可以修改硬盤上操作系 統(tǒng)的管理員密碼. 如果服務(wù)器對安全要求非常高,可以考慮使用可 移動軟盤和光驅(qū),把機箱鎖起來仍然不失為一個 好方法. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 9 使用智能卡 對于密碼,總是使安全管理員進退兩難, 容易受到一些工具的攻擊,如果密碼太復(fù) 雜,用戶把為了記住密碼,會把密碼到處 亂寫. 如果條件允許,用智能卡來代替復(fù)雜的密 碼是一個很好的解決方法. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 10 使用IPSec 正如其名字的含義,IPSec提供IP數(shù)據(jù)包的 安全性. IPSec提供身份驗證,完整性和可選擇的機 密性.發(fā)送方計算機在傳輸之前加密數(shù) 據(jù),而接收方計算機在收到數(shù)據(jù)之后解密 數(shù)據(jù). 利用IPSec可以使得系統(tǒng)的安全性能大大增 強. 11 禁止判斷主機類型 黑客利用TTL(Time-To-Live,生存時間)值可以鑒別操作系統(tǒng)的類 型,通過Ping指令能判斷目標主機類型.Ping的用處是檢測目標主 機是否連通. 許多入侵者首先會Ping一下主機,因為攻擊某一臺計算機需要根據(jù) 對方的操作系統(tǒng),是Windows還是Unix.如過TTL值為128就可以認 為你的系統(tǒng)為Windows 2000,如圖所示. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 TTL值-判斷主機類型 從表中可以看出,TTL值為128,說明改主機的操作系統(tǒng) 是Windows 2000操作系統(tǒng).下表給出了一些常見操作系 統(tǒng)的對照值. 操作系統(tǒng)類型TTL返回值 Windows 2000128 Windows NT107 win9x128 or 127 solaris252 IRIX240 AIX247 Linux241 or 240 BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 修改TTL的值 修改TTL的值,入侵者就無法入侵電腦了.比如將操作系統(tǒng)的TTL值 改為111,修改主鍵HKEY_LOCAL_MACHINE的子鍵: SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAME TERS 新建一個雙字節(jié)項,如圖所示. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 修改TTL的值 在鍵的名稱中輸入"defaultTTL",然后雙擊改鍵名,選擇 單選框"十進制",在文本框中輸入111,如圖所示. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 修改TTL的值 設(shè)置完畢重新啟動計算機,再用Ping指令,發(fā)現(xiàn) TTL的值已經(jīng)被改成111了,如圖所示. 12 抵抗DDOS 添加注冊表的一些鍵值,可以有效的抵抗DDOS的攻擊.在鍵值 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcp ip\Parameters]下增加響應(yīng)的鍵及其說明如表所示. 增加的鍵值鍵值說明 "EnablePMTUDiscovery"=dword:00000000 "NoNameReleaseOnDemand"=dword:00000000 "KeepAliveTime"=dword:00000000 "PerformRouterDiscovery"=dword:00000000 基本設(shè)置 "EnableICMPRedirects"=dword:00000000防止ICMP重定向報文的攻擊 "SynAttackProtect"=dword:00000002防止SYN洪水攻擊 "TcpMaxHalfOpenRetried"=dword:00000080 "TcpMaxHalfOpen"=dword:00000100 僅在TcpMaxHalfOpen和 TcpMaxHalfOpenRetried設(shè)置 超出范圍時,保護機制才會采取 措施 "IGMPLevel"=dword:00000000不支持IGMP協(xié)議 "EnableDeadGWDetect"=dword:00000000禁止死網(wǎng)關(guān)監(jiān)測技術(shù) "IPEnableRouter"=dword:00000001支持路由功能 BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 13 禁止Guest訪問日志 在默認安裝的Windows NT和Windows 2000中,Guest 帳號和匿名用戶可以查看系統(tǒng)的事件日志,可能導(dǎo)致許多 重要信息的泄漏,修改注冊表來禁止Guest訪問事件日 志. 禁止Guest訪問應(yīng)用日志 -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Eventlog\Application下添加鍵值名稱為: RestrictGuestAccess,類型為:DWORD,將值設(shè)置為1. 系統(tǒng)日志: -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Eventlog\System下添加鍵值名稱為: RestrictGuestAccess,類型為:DWORD,將值設(shè)置為1. 安全日志 -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Eventlog\Security下添加鍵值名稱為: RestrictGuestAccess,類型為:DWORD,將值設(shè)置為1. 14 數(shù)據(jù)恢復(fù)軟件 當數(shù)據(jù)被病毒或者入侵者破壞后,可以利用數(shù)據(jù)恢復(fù)軟件 可以找回部分被刪除的數(shù)據(jù),在恢復(fù)軟件中一個著名的軟 件是Easy Recovery.軟件功能強大,可以恢復(fù)被誤刪除 的文件,丟失的硬盤分區(qū)等等.軟件的主界面如圖所示. Easy Recovery 比如原來在E盤上有一些數(shù)據(jù)文件,被刪除了,選擇左邊 欄目"Data Recovery",然后選擇左邊的按鈕 "Advanced Recovery",如圖所示. Easy Recovery 進入Advanced Recovery對話框后,軟件自動掃描出目 前硬盤分區(qū)的情況,分區(qū)信息是直接從分區(qū)表中讀取出來 的,如圖所示. Easy Recovery 現(xiàn)在要恢復(fù)E盤上的文件,所以選擇E盤,點擊按 鈕"Next",如圖所示. Easy Recovery 軟件開始自動掃描該盤上曾經(jīng)有哪些被刪除了文件,根據(jù) 硬盤的大小,需要一段比較長的時間,如圖所示. Easy Recovery 掃描完成以后,將該盤上所有的文件以及文件夾顯示出 來,包括曾經(jīng)被刪除文件和文件夾,如圖所示. Easy Recoery 選中某個文件夾或者文件前面的復(fù)選框,然后點 擊按鈕"Next",就可以恢復(fù)了.如圖所示. Easy Recovery 在恢復(fù)的對話框中選擇一個本地的文件夾,將文件保存到 該文件夾中,如圖所示. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 Easy Recovery 選擇一個文件夾后,點擊按鈕"Next",就出現(xiàn)了恢復(fù)的 進度對話框,如圖所示. BJFU Info Department, QiJd第七章操作系統(tǒng)安全配置方案 本章總結(jié) 本章分成三部分介紹Windows 2000的安 全配置. 三部分共介紹安全配置三十六項,如果每 一條都能得到很好的實施的話,該服務(wù)器 無論是在局域網(wǎng)還是廣域網(wǎng),即使沒有網(wǎng) 絡(luò)防火墻,已經(jīng)比較安全了. 需要重點理解三大部分中的每一項設(shè)置, 并掌握如何設(shè)置.