2008年4月8日星期二

安全配置方案高级篇

安全配置方案高级篇
高级篇介绍操作系统安全信息通信配置,包括十四条配置原则: 关闭 DirectDraw 、关闭默认共享 禁用 Dump File 、文件加密系统 加密 Temp 文件夹、锁住注册表、关机时清除文件 禁止软盘光盘启动、使用智能卡、使用 IPSec 禁止判断主机类型、抵抗 DDOS 禁止 Guest 访问日志和数据恢复软件 1 关闭 DirectDraw C2 级安全标准对视频卡和内存有要求。关闭 DirectDraw 可能对一些需要用到 DirectX 的程序有影响(比如游戏),但是对于绝大多数的商业站点都是没有影响的。 在 HKEY_LOCAL_MACHINE 主键下修改子键: SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout ,将键值改为 “ 0” 即可,如图 17 所示 也可以在开始菜单的运行中 dxdiag, 在里面的显示选项卡中点禁用 DirectDraw 加速。 2 关闭默认共享 Windows 安装以后,系统会创建一些隐藏的共享,可以在 DOS 提示符下输入命令 Net Share 查看,如图所示。 停止默认共享 在 Windows Xp 下可以输入 net share 共享盘符 $ /del, 如下图 在 WINDOWS2000 下可以打开管理工具 > 计算机管理 > 共享文件 夹 > 共享,在相应的共享文件夹上按右键,点停止共享即可,如图所示。 3 禁用 Dump 文件 在系统崩溃和蓝屏的时候, Dump 文件是一份很有用资料,可以帮助查找问题。然而,也能够给黑客提供一些敏感信息,比如一些应用程序的密码等 需要禁止它,打开控制面板 > 系统属性 > 高级 > 启动和故障恢复,把事件写入系统日去掉勾,如图所示。 4 文件加密系统 Windows强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。 微软公司为了弥补 Windows NT 4.0 的不足,在 Windows 2000 及后续版本中,提供了一种基于新一代 NTFS : NTFS V5 (第 5 版本)的加密文件系统( Encrypted File System ,简称 EFS )。 EFS 实现的是一种基于公共密钥的数据加密方式,利用了 WindowsNT 结构中的 CryptoAPI 结构。 5 加密 Temp 文件夹 一些应用程序在安装和升级的时候,会把一些东西拷贝到 Temp 文件夹,但是当程序升级完毕或关闭的时候,并不会自己清除 Temp 文件夹的内容。 所以,给 Temp 文件夹加密可以给你的文件多一层保护。 6 锁住注册表 在 Windows2000 中,只有 Administrators 和 Backup Operators 才有从网络上访问注册表的权限。当帐号的密码泄漏以后,黑客也可以在远程访问注册表,当服务器放到网络上的时候,一般需要锁定注册表。修改 Hkey_current_user 下的子键 Software\microsoft\windows\currentversion\Policies\system 把 DisableRegistryTools 的值该为 0 ,类型为 DWORD ,如图所示。 7 关机时清除文件 页面文件也就是调度文件,是 Windows 2000 用来存储没有装入内存的程序和数据文件部分的隐藏文件。虽然浪费了一些时间偶认为是值得的拉 ! 一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中可能含有另外一些敏感的资料。要在关机的时候清楚页面文件,可以编辑注册表 修改主键 HKEY_LOCAL_MACHINE 下的子键: SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management 把 ClearPageFileAtShutdown 的值设置成 1 ,如图所示。 8 禁止软盘光盘启动 一些第三方的工具能通过引导系统来绕过原有的安全机制。比如一些管理员工具,从软盘上或者光盘上引导系统以后,就可以修改硬盘上操作系统的管理员密码。 如果电脑对安全要求非常高,可以考虑使用可移动软盘和光驱,把机箱锁起来仍然不失为一个好方法。 9 使用智能卡 对于密码,总是使安全管理员进退两难,容易受到一些工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。 如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。 10 使用 IPSec 正如其名字的含义, IPSec 提供 IP 数据包的安全性。 IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。 利用 IPSec 可以使得系统的安全性能大大增强。 11 禁止判断主机类型 黑客利用 TTL ( Time-To-Live ,活动时间)值可以鉴别操作系统的类型,通过 Ping 指令能判断目标主机类型。 Ping 的用处是检测目标主机是否连通。 许多入侵者首先会 Ping 一下主机,因为攻击某一台计算机需要根据对方的操作系统,是 Windows 还是 Unix 。如过 TTL 值为 128 就可以认为你的系统为 Windows 2000 ,如图所示。 从图中可以看出, TTL 值为 128 ,说明改主机的操作系统是 Windows 2000 操作系统。表给出了一些常见操作系统的对照值。 操作系统类型 TTL 返回值 Windows 2000 128 Windows NT 107 win9x 128 or 127 solaris 252 IRIX 240 AIX 247 Linux 241 or 240 修改 TTL 的值,入侵者就无法入侵电脑了。比如将操作系统的 TTL 值改为 111 ,修改主键 HKEY_LOCAL_MACHINE 的子键: SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS 新建一个双字节项,如图所示。 在键的名称中输入 “defaultTTL” ,然后双击改键名,选择单选框 “ 十进制 ” ,在文本框中输入 111 ,如图所示。 设置完毕重新启动计算机,再用 Ping 指令,发现 TTL 的值已经被改成 111 了,如图所示。 12 抵抗 DDOS 添加注册表的一些键值,可以有效的抵抗 DDOS 的攻击。在键值 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters] 下增加响应的键及其说明如下所示。 增加的键值 键值说明 "EnablePMTUDiscovery"=dword:00000000 "NoNameReleaseOnDemand"=dword:00000000 "KeepAliveTime"=dword:00000000 "PerformRouterDiscovery"=dword:00000000 基本设置 "EnableICMPRedirects"=dword:00000000 防止 ICMP 重定向报文的攻击 "SynAttackProtect"=dword:00000002 防止 SYN 洪水攻击 "TcpMaxHalfOpenRetried"=dword:00000080 仅在 TcpMaxHalfOpen 和 TcpMaxHalfOpenRetried 设置超出范围时 , 保护机制才会采取措施 "TcpMaxHalfOpen"=dword:00000100 "IGMPLevel"=dword:00000000 不支持 IGMP 协议 "EnableDeadGWDetect"=dword:00000000 禁止死网关监测技术 "IPEnableRouter"=dword:00000001 支持路由功能 13 禁止 Guest 访问日志 在默认安装的 Windows NT 和 Windows 2000 中, Guest 帐号和匿名用户可以查看系统的事件日志,可能导致许多重要信息的泄漏,修改注册表来禁止 Guest 访问事件日志。 禁止 Guest 访问应用日志 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application 下添加键值名称为: RestrictGuestAccess ,类型为: DWORD ,将值设置为 1 。 系统日志: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System 下添加键值名称为: RestrictGuestAccess ,类型为: DWORD ,将值设置为 1 。 安全日志 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security 下添加键值名称为: RestrictGuestAccess ,类型为: DWORD ,将值设置为 1 。 14 数据恢复软件 当数据被病毒或者入侵者破坏后,可以利用数据恢复软件可以找回部分被删除的数据,在恢复软件中一个著名的软件是 Easy Recovery 。软件功能强大,可以恢复被误删除的文件、丢失的硬盘分区等等。软件的主界面如图所示。 比如原来在 E 盘上有一些数据文件,被黑客删除了,选择左边栏目 “Data Recovery” ,然后选择左边的按钮 “Advanced Recovery” ,如图所示。 进入 Advanced Recovery 对话框后,软件自动扫描出目前硬盘分区的情况,分区信息是直接从分区表中读取出来的,如图所示。 现在要恢复 E 盘上的文件,所以选择 E 盘,点击按钮 “Next” ,如图所示。 软件开始自动扫描该盘上曾经有哪些被删除了文件,根据硬盘的大小,需要一段比较长的时间,如图所示。 扫描完成以后,将该盘上所有的文件以及文件夹显示出来,包括曾经被删除文件和文件夹,如图 32 所示。 选中某个文件夹或者文件前面的复选框,然后点击按钮 “Next” ,就可以恢复了。如图所示。 在恢复的对话框中选择一个本地的文件夹,将文件保存到该文件夹中,如图所示。 选择一个文件夹后,点击按钮 “Next” ,就出现了恢复的进度对话框,如图所示。

没有评论: