关于系统安全的常规操作(系统级别的优化操作)

《网络安全》课程之后写的这篇论文,查找了很多资料,希望对大家有用

计算机学院计算机科学与技术专业

《网络安全》报告

（2010/2011学年 第一学期）

学生姓名：学生班级： 计算机072202H

学生学号： 200722030223

指导教师：

2010年11月 28 日

《网络安全》课程之后写的这篇论文,查找了很多资料,希望对大家有用

目录

目录 .................................................................................................................................................. 1

引言与概述....................................................................................................................................... 3

1 初级防护....................................................................................................................................... 4

（1）对administrator设置密码，更改名称 ..................................................................... 4

（2）停用guest用户 ............................................................................................................. 4

（3）启用密码锁定策略 ......................................................................................................... 4

（4）创建陷阱账号 ................................................................................................................. 5

（5）把共享文件的权限从“everyone”组改成“授权用户” ......................................... 5

（6）使用安全密码 ................................................................................................................. 5

（7）使用NTFS格式分区 ....................................................................................................... 5

（8）禁用默认共享 ................................................................................................................. 5

2 中级防护....................................................................................................................................... 7

（1）取消远程协助和远程桌面连接 ..................................................................................... 7

（2）关闭有安全隐患的和不必要的服务 ............................................................................. 7

（3）关闭有安全隐患的和不必要的端口 ............................................................................. 8

（4）禁止建立空连接 ............................................................................................................. 8

（5）启动系统审核策略 ......................................................................................................... 8

（6）设置用户权利指派 ......................................................................................................... 9

3 高级防护..................................................................................................................................... 10

（1）禁止dump file的产生 ............................................................................................... 10

（2）加密temp文件夹 ......................................................................................................... 10

（3）修改TTL值 ................................................................................................................... 10

（4）设置ping扫描无响应 ................................................................................................. 10

4 系统安全检测常用命令 ............................................................................................................. 12

（1）进程查询——tasklist ............................................................................................... 12

（2）服务查询——net start ............................................................................................. 12

（3）查询端口信息——netstat ......................................................................................... 13

（4）检测黑客账户——net user ....................................................................................... 14

《网络安全》课程之后写的这篇论文,查找了很多资料,希望对大家有用

引言与概述

随着国家网络信息化建设的飞速发展，有越来越多的学校建立起自己的校园网络进行教学和管理，同时，通过 Internet的远程教育网络，教育不再受国家、地区、学校、学科的限制，学生能够充分享受教育的多面性、多样性，提高学生学习的趣味性、选择性。但与此同时，愈演愈烈的黑客攻击事件以及非法信息的不断蔓延、网络病毒的爆发、邮件蠕虫的扩散，也给网络蒙上了阴影。在高速发展的校园网及远程教育网络系统中也同样存在着威胁网络安全的诸多因素。 本文旨在从系统本身的层面对系统做出优化，从而在一定程度上阻止网络入侵，保护个人和企业数据，在此的基础上可以配合防火墙和杀毒软件的作用来进一步提升系统的安全性。

本文从四方面阐述了网络安全的防御手段，由浅入深，逐层深入，其中初级防护主要介绍了基本的网络安全防护手段，比如修改密码与启用安全策略；中级防护主要介绍了远程协助的危害与解决方案，以及关闭有安全隐患的端口与服务；高级防护则涉及到一些高级的安全策略，比如dump文件的隐患，ping扫描等高级主题；最后的系统安全检测命令则提供了我们进行网络管理时候常用的一些有用命令，从而发现系统安全威胁等等。

希望通过本文能让大家的电脑的安全性得到进一步提升，原理木马蠕虫等常见安全隐患的威胁，更好得保护用户数据。

《网络安全》课程之后写的这篇论文,查找了很多资料,希望对大家有用

1 初级防护

（1）对administrator设置密码，更改名称

在此一定要注意关于administrator用户名的修改，因为在很多的网络攻击实例中，攻击者会优先破解administrator的密码，因为很多用户不会刻意修改管理员用户名，都是默认为administrator，得到了admin用户的密码就会执行高权限的操作。

（2）停用guest用户

Guest用户是用于为来宾用户准备的访问的临时用户，这个用户存在很多的安全隐患，比如攻击者可以使用一些特定工具来提升guest的权限来执行破坏操作，因此很多情况下最好是禁止guest用户，禁用方法很简单，可以直接从开始—>控制面板—>用户账户里面直接禁用，在需要启用的时候可以用同样的方法启用。

（3）启用密码锁定策略

进入到组策略编辑器（gpedit.msc），计算机配置—〉windows 设置-〉安全设置—〉账户策略—〉账户锁定策略，双击“账户锁定阀值”，输入重试密码次数（如3次），输入账户锁定时间（如30分钟）

《网络安全》课程之后写的这篇论文,查找了很多资料,希望对大家有用

（4）创建陷阱账号

什么是陷阱帐号? 即创建一个名为” Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以一定程度上防御字典密码破解软件，并且可以借此误导入侵者，让他们以为是管理员用户，从而保护真正的用户账户。

（5）把共享文件的权限从“everyone”组改成“授权用户”

“everyone” 在windows系统中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是”everyone”组的，一定不要忘了改。

（6）使用安全密码

一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得非常简单，比如 “welcome”与“Rocker”，甚至用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。经常修改用户名和密码是一个防止入侵的良好习惯。

（7）使用NTFS格式分区

把服务器与PC的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。

（8）禁用默认共享

1） “计算机配置”—〉Windows 设置—〉安全设置—〉安全选项中，将“网络访问：不允许SAM帐户的匿名枚举”、“网络访问：不允许SAM账户和共享的匿名枚举”全部启用，将“网络访问：可匿名访问的共享”、 “网络访问：可匿名访问的管道”、“网络访问：可远程访问注册表路径”内容都删除。

《网络安全》课程之后写的这篇论文,查找了很多资料,希望对大家有用

2）编辑注册表

HKEY_LOCAL_MACHINE\SYSTEM\CurrrentControlSet\Services\LanmanServer\Parameters项，在其右边新建一个键值名为Autoshareserver”,键值为0的DWORD值，就可以禁止系统C$、D$方式的共享，建立键值名Autosharewks, 键值为0的DWORD值可以禁止Admin$共享。

《网络安全》课程之后写的这篇论文,查找了很多资料,希望对大家有用

2 中级防护

（1）取消远程协助和远程桌面连接

（2）关闭有安全隐患的和不必要的服务

windows 操作系统的Terminal Services（终端服务），IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。

启动“服务”管理，services.msc

关闭 :

NetMeeting Remote Desktop Sharing

Remote Desktop Help Session Manage

Remote Registry

Routing and Remote Access

《网络安全》课程之后写的这篇论文,查找了很多资料,希望对大家有用

Server

Tcp/IP NetBios Helper

Telnet

Terminal Services

（3）关闭有安全隐患的和不必要的端口

关闭端口意味着减少功能，在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面，冒的险就会少些，但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为：

网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选，添加需要的tcp,udp,协议即可。 关闭137—139端口、445端口 ：

本地连接属性—〉TCP/IP 高级—〉WINS—〉禁用TCP/IP上的NetBios，可以关闭137—139端口；

通过取消“本地连接”属性中的“Microsoft 打印机和文件共享”可关闭445端口，此外，关闭特定的端口可以使用防火墙实现。

（4）禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可

（5）启动系统审核策略

进入到组策略编辑器（gpedit.msc）

计算机配置—〉windows 设置—〉安全设置—〉本地策略—〉审核策略，把其中的审核登录事件、审核对象访问、审核系统事件和审核帐户登录事件等，启用为成功方式的审核

《网络安全》课程之后写的这篇论文,查找了很多资料,希望对大家有用

（6）设置用户权利指派

进入到组策略编辑器，“计算机配置”—〉Windows 设置—〉安全设置—〉本地策略—〉用户权利指派：1）将“从网络访问此计算机”策略中的所有用户都删除 2）在“拒绝从网络访问此计算机”策略中确保已有“Everyone”帐户 3）删除“通过终端服务允许登录”策略中的所有用户 4）确保“通过终端服务拒绝登录”策略中有Everyone帐户。

《网络安全》课程之后写的这篇论文,查找了很多资料,希望对大家有用

3 高级防护

（1）禁止dump file的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候，可以再重新打开它。

（2）加密temp文件夹

一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。

（3）修改TTL值

入侵者可以根据ping回的TTL值来大致判断你的操作系统，如： TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

实际上你可以自己更改的：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，可以起到误导黑客入侵的目的。

（4）设置ping扫描无响应

1） 点击 开始--运行，在运行框中输入“Gpedit.msc”打开组策略。

2） 打开 计算机配置--WINDOWS设置--安全设置，右击“IP安全策略，在本地机器”，在弹出菜单中选“创建IP安全策略”打开“IP安全策略向导”。

3） 设置IP安全策略名称，比如“禁止PING”，并输入简单的描述。安全通讯请求：勾选“激活默认响应错误”。默认响应规则身份验证方式： 选中“此字串用来保护密匙交换”，再在文字框中随意输入一些字符，比如“PCDigest”。创建IP安全规则最好要选中“编辑属性”，单击“完成”，打开属性对话框。

4） 在“禁止PING”属性窗口，单击“添加”按钮，在“安全规则向导”中进行以下简单的设置，其余一路回车就行。

《网络安全》课程之后写的这篇论文,查找了很多资料,希望对大家有用

身份验证方法： 选中“此字串用来保护密匙交换”，再在文字框中输入原来设置的字符，比如“PCDigest”。

IP筛选器列表：

单击“添加”/“添加”，设置源地址为“我的IP地址”，目标地址为“任何IP地址”，协议类型为“ICMP”协议。添加完毕之后，你就可以在IP筛选器中看到新创建的筛选器，选中它单击“下一步”继续。

筛选器操作： 选择“要求安全设置”，单击“下一步”，再点击“完成”--“关闭”即可保存设置，返回到组策略窗口。

5）

在组策略窗口，点击“IP安全策略，在本地机器”，在右面的窗口中会显示你新创建的禁止PING的安全策略，右击该策略，在弹出的对话框中选“指派”命令，退出组策略。这时别人就不能再PING你的机器了。

《网络安全》课程之后写的这篇论文,查找了很多资料,希望对大家有用

4 系统安全检测常用命令

（1）进程查询——tasklist

Tasklist命令是用来显示运行在本地或远程计算机上所有进程的命令，使用方法为：点击“开始”菜单→“运行”，输入“cmd”运行“命令提示符”，输入命令“Tasklist”并回车，当前系统中所有的进程就都显示出来了。我们要做的就是查看这些进程中是否有陌生进程，当然这需要你有一点手工杀毒的经验。找到危险进程后，就可以使用“Tasklist”命令的搭档——“Taskkill”命令结束进程。首先通过“Tasklist”命令查询危险进程的PID值，然后输入命令“Taskkill /pid 1234”结束进程，1234即危险进程的PID值。

（2）服务查询——net start

不少病毒会将自身注册为系统服务，以此实现随系统启动。要查询系统中的服务我们只需在“命令提示符”中输入“net start”命令就可以了，回车后将会显示系统中所有的服务。停止服务的方法为“net stop 服务名”，例如输入：“net stop G_Server”并回车，便可以结束灰鸽子木马的服务。开启服务的命令则为“net stop 服务名”。

《网络安全》课程之后写的这篇论文,查找了很多资料,希望对大家有用

（3）查询端口信息——netstat

木马潜伏在系统中，会打开一个端口与黑客进行通信，而不少流氓软件也会打开系统的端口搜集并发送用户的信息。因此端口也是判定系统安全的一个重要位置。“netstat”命令的功能是显示网络连接、路由表和网络接口信息，可以让用户得知目前都有哪些网络连接正在运作

《网络安全》课程之后写的这篇论文,查找了很多资料,希望对大家有用

（4）检测黑客账户——net user

黑客入侵我们的电脑后，通常会建立一个账户，方便下次入侵。因此，系统账户的情况也是我们必须要查询的地方，用“net user”命令即可轻松办到。当我们在“命令提示符”中使用“net user”命令后，便可列出当前系统中所有已存在的账户，一般情况下只有“administrator”和“guest”账户，如果出现陌生的账户，那就一定要小心了，很可能是黑客留下的。删除账号的方法为输入：“net user 账户名 /del”，回车后就OK了。

本文来源：https://www.bwwdw.com/article/lqzm.html