操作系统安全配置之高级篇

更新时间:2023-12-28 23:38:01 阅读量: 教育文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

任务三:操作系统安全通信配置

一、 实验目的

在windows Server 2003中,利用计算机管理程序等,来进行操作系统安全通信配置。

二、 实验步骤(说明 + 截图)。

1关闭DirectDraw、关闭默认共享 1)关闭DirectDraw

按 开始——运行——输入“regedit”——确定,打开注册表编辑器对话框,再按如下路径,

“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\GraphicsDrivers\\DCI\\Timeout”,图1所示项,将键值改为“0”即可。

图1

关闭的关闭DirectDraw的好处远多于坏处,只是对少数网络游戏有影响。

2)关闭默认共享

按 开始——运行——输入“cmd”——确定、打开命令窗口,再输入“net share”

命令,点击回车键,如图2所示,可以看见计算机上已经有哪些默认共享。

图2

按 开始——程序——管理工具——计算机管理——共享文件夹——共享,打开图3所示对话框、把右边红圈圈框起来的项,依次选中,右击、停止共享,即可。

图3

2 禁用Dump File、文件加密系统

按 开始——设置——控制面板——系统-——高级——启动和故障恢复——设

置,打开图4所示对话框,把写入调试信息改成无即可。

图4

3 加密Temp文件夹、锁住注册表、关机时清除文件

1)加密Temp文件夹

按 路径“C:\\Documents and Settings\\Administrator\\Local Settings”打开图5所示对话框,再选中Temp文件夹、点右键、选在属性、再选择高级,打开如图6所示对话框,勾选加密内容以便保护数据项,最后点确定即可。

图5

图6

2)锁住注册表

开始——运行——输入“Gpedit.msc”——确定,打开“组策略”,然后,依次展开“用户配置——管理模板——系统、打开图7所示对话框,双击右侧窗口中的“阻止访问注册表编辑工具”,在弹出的窗口中选择“已启用”,“确定”后再退出“组策略”,即可锁定注册表。

图7

3)关机时清除文件

按上述相同的方法打开注册表编辑器对话框,再按下列路径依次打开,如图8所示,双击ClearPageFileAtShutdown项,把它的值设置成1即可。

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SessionManager\\Memory Management

图8

4 禁止软盘光盘启动、使用智能卡、使用IPSec

1)禁止软盘光盘启动

一些第三方的工具能通过引导系统来绕过原有的安全机制。比如一些管理员工具,从软盘上或者光盘上引导系统以后,就可以修改硬盘上操作系统的管理员密码

如果服务器对安全要求非常高,可以考虑使用可移动软盘和光驱,把机箱锁起来仍然不失为一个好方法

2)使用智能卡

对于密码,总是使安全管理员进退两难,容易受到一些工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写

如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。

3)使用IPSec

正如其名字的含义,IPSec提供IP数据包的安全性

IPSec提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据

利用IPSec可以使得系统的安全性能大大增强

5 禁止判断主机类型、抵抗DDoS

1)禁止判断主机类型

修改TTL的值,入侵者就无法判断主机类型了。比如将操作系统的TTL值改为111,修改主键HKEY_LOCAL_MACHINE的子键:

SYSTEM\\CURRENT_CONTROLSET\\SERVICES\\TCPIP\\PARAMETERS 新建一个双字节项,如图9所示

图9

在键的名称中输入“defaultTTL”,然后双击该键名,选择单选框“十进制”,在文本框中输入111,如图10所示,再点确定即可。

图10

2)抵抗DDoS

我们可以通过修改注册表来减小DDOS对我们的伤害 ①设置生存时间

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters

DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)

说明:指定传出IP数据包中设置的默认生存时间(TTL)值.TTL决定了IP数据包在到达目标前在网络中生存的最大时间.它实际上限定了IP数据包在丢弃前允许通过的路由器数量.有时利用此数值来探测远程主机操作系统.我建议设置为1,因为这里是ICMP数据包的寸活时间。越小对方用 PING DDOS你的话,一般1M带宽的话就必须要100台以上的肉鸡来实现。不修改20几台就可以搞定 ②防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)

说明:该参数控制Windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给它的ICMP重定向消息,有时会被利用来干坏事.Win2000中默认值为1,表示响应ICMP重定向报文.

③禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Interfaces\\interface\\PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)

说明:“ICMP路由公告”功能可造成他人计算机的网络连接异常,数据被窃听,计算机被用于流量攻击等严重后果.此问题曾导致校园网某些局域网大面积,长时间的网络异常.因此建议关闭响应ICMP路由通告报文.Win2000中默认值为2,表示当DHCP发送路由器发现选项时启用.

④防止SYN洪水攻击

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters SynAttackProtect REG_DWORD 0x2(默认值为0x0)

说明:SYN攻击保护包括减少SYN-ACK重新传输次数,以减少分配资源所保留的时间.路由缓存项资源分配延迟,直到建立连接为止.如果

synattackprotect=2,则AFD的连接指示一直延迟到三路握手完成为止.注意,仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施.

⑤禁止C$、D$一类的缺省共享

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameters

AutoShareServer、REG_DWORD、0x0 ⑥ 禁止ADMIN$缺省共享

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameters

AutoShareWks、REG_DWORD、0x0 ⑦限制IPC$缺省共享

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa restrictanonymous REG_DWORD 0x0 缺省 0x1 匿名用户无法列举本机用户列表 0x2 匿名用户无法连接本机IPC$共享

说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server ⑧不支持IGMP协议

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters IGMPLevel REG_DWORD 0x0(默认值为0x2)

说明:记得Win9x下有个bug,就是用可以用IGMP使别人蓝屏,修改注册表可以修正这个bug.Win2000虽然没这个bug了,但IGMP并不是必要的,因此照样可以去掉.改成0后用route print将看不到那个讨厌的224.0.0.0项了. ⑨设置arp缓存老化时间设置

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services:\\Tcpip\\Parameters

ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)

ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600) 说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP缓存项在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife,未引用项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期.每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。 ⑩禁止死网关监测技术

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services:\\Tcpip\\Parameters

EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)

说明:如果你设置了多个网关,那么你的机器在处理多个连接有困难时,就会自动改用备份网关.有时候这并不是一项好主意,建议禁止死网关监测. ⑾不支持路由功能

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services:\\Tcpip\\Parameters

IPEnableRouter REG_DWORD 0x0(默认值为0x0)

说明:把值设置为0x1可以使Win2000具备路由功能,由此带来不必要的问题.

(12)做NAT时放大转换的对外端口最大值

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services:\\Tcpip\\Parameters

MaxUserPort REG_DWORD 5000-65534(十进制)(默认值0x1388--十进制为5000) 说明:当应用程序从系统请求可用的用户端口数时,该参数控制所使用的最大端口数.正常情况下,短期端口的分配数量为1024-5000.将该参数设置到有效范围以外时,就会使用最接近的有效数值(5000或65534).使用NAT时建议把值放大点.

(13)修改MAC地址

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Class\\ 找到右窗口的说明为\网卡\的目录,

比如说是{4D36E972-E325-11CE-BFC1-08002BE10318}

展开之,在其下的0000,0001,0002...的分支中找到\的键值为你网卡的说明,比如说\的值为\on Motherboard\然后在右窗口新建一字符串值,名字为\,内容为你想要的MAC值,比如说是\然后重起计算机,ipconfig /all看看. 最后在加上个BLACKICE放火墙,应该可以抵抗一般的DDOS

6 禁止Guest访问日志和数据恢复软件

1)禁止Guest访问日志

A禁止Guest访问应用日志:

仍按上述方法打开注册表编辑器对话框,再按下列路径依次打开,如图11所示再添加键值名称为RestrictGuestAccess ,类型为DWORD,将值设置为1即可。 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Eventlog\\Application

图11

下面两个操作类似:

B禁止Guest访问系统日志:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Eventlog\\System下添加键值名称为RestrictGuestAccess,类型为DWORD、将值设置为1

C禁止Guest访问安全日志:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Eventlog\\Security下添加键值名称为RestrictGuestAccess,类型为DWORD,将值设置为1

2)数据恢复软件

当数据被病毒或者入侵者破坏后,可以利用数据恢复软件可以找回部分被删除的数据,在恢复软件中一个著名的软件是Easy Recovery。软件功能强大,可以恢复被误删除的文件、丢失的硬盘分区等等。软件的主界面如下图所示

?

三、 实验小结

本实验中我们了解到一些有关操作系统安全通信配置的知识,基本掌握了常

规的操作系统安全通信配置的做法。但仍有很多不足,需要进一步钻研。

本文来源:https://www.bwwdw.com/article/kblx.html

Top