09十一月2024NETWORKSECURITY1課題內容：操作系統安全（一）教學目的：掌握WIN2003系統服務的配置方法 掌握WIN2003常用進程的作用 掌握WIN2003注冊表的結構、值類型及應用教學方法：講授法、任務驅動法、演示法重點：WIN2003系統服務的配置方法難點：WIN2003常用進程的作用課堂類型：講授課教具：投影儀、多媒體設備授課班級計應1001班第18次課授課時間5月25日星期五授課地點09十一月2024NETWORKSECURITY2導入新課1、防火墻的體系結構2、操作系統常用進程與服務09十一月2024NETWORKSECURITY3Windows2003

Windows2003原名是WindowsNT5.0，隨著多種測試版本的發行，人們開始從各個側面加深對它的認識。全新的界面、高度集成的功能、鞏固的安全性、便捷的操作，都為計算機專業人員、普通用戶帶來莫大的驚喜Windows2003在界面、風格與功能上都具有統一性，是一種真正面向對象的操作系統，用戶在操作本機的資源和遠程資源時不會感到有什么不同09十一月2024NETWORKSECURITY4主要內容操作系統安全基礎Windows2003安全結構Windows2003文件系統安全Windows2003賬號安全GPO的編輯活動目錄安全性考察Windows2003缺省值的安全性評估Windows2003主機安全09十一月2024NETWORKSECURITY58.1操作系統安全是系統安全的基礎各種應用軟件均建立在操作系統提供的系統軟件平臺之上，上層的應用軟件要想獲得運行的高可靠性和信息的完整性、保密性，必須依賴于操作系統提供的系統軟件基礎。09十一月2024NETWORKSECURITY6操作系統安全級別

級別系統的安全可信性D最低安全性C1自主存取控制C2較完善的自主存取控制（DAC）、審計B1強制存取控制（MAC）B2良好的結構化設計、形式化安全模型B3全面的訪問控制、可信恢復A1形式化認證09十一月2024NETWORKSECURITY7常見操作系統安全級別

操作系統安全級別SCOOpenServerC2OSF/1B1WindowsNT/2003C2SolarisC2DOSDUnixWare2.1/ESB209十一月2024NETWORKSECURITY8常見威脅類型(一)

威脅類型示例自然和物理的水災、火災、風暴、地震、停電無意的不知情的員工、不知情的顧客故意的攻擊者、恐怖分子、工業間諜、黑客、惡意代碼09十一月2024NETWORKSECURITY9常見威脅類型（二）安全漏洞類型示例物理的門窗未鎖自然的滅火系統失靈硬件和軟件防病毒軟件過期媒介電干擾通信未加密協議人為不可靠的技術支持09十一月2024NETWORKSECURITY108.2Windows2003安全結構安全六要素09十一月2024NETWORKSECURITY118.2.2Windows2003安全組件（一）靈活的訪問控制Windows2003支持C2級標準要求的靈活訪問控制對象重用Windows2003很明確地阻止所有的應用程序不可以訪問被另—應用程序使用所占用資源內的信息（比如內存或磁盤）09十一月2024NETWORKSECURITY12Windows2003安全組件（一）強制登錄

Windows2003用戶在能訪問任何資源前必須通過登錄來驗證他們的身份數據訪問瀏覽打印服務09十一月2024NETWORKSECURITY13Windows2003安全組件（二）審計因為Windows2003采用單獨地機制來控制對任何資源的訪問，所以這種機制可以集中地記錄下所有的訪問活動控制對象的訪問Windows2003不允許直接訪問系統里的資源，這種不許直接訪問是允許訪問控制的關鍵09十一月2024NETWORKSECURITY148.2.4安全的組成部分（一）安全標識符安全標識符（SID）是統計上地唯一的數組分配給所有的用戶、組、和計算機。每次當一個新用戶或組被建立的時候，它們都會接收到一個唯一的SID。每當Windows2003安裝完畢并啟動的時候，也會有一個新的SID分配給這臺計算機。SID標識了用戶、組和計算機的唯一性，不僅僅是在某臺特定的電腦上還包括和其它計算機交互的時候。09十一月2024NETWORKSECURITY15安全的組成部分（二）訪問令牌訪問令牌是由用戶的SID、用戶所屬于組的SID、用戶名、用戶所在組的組名構成的。訪問令牌就好比用戶能夠訪問計算機資源的“入場券”。無論何時用戶企圖進行訪問，都要向WindowsNT出示訪問令牌。09十一月2024NETWORKSECURITY16安全的組成部分（三）安全描述符WindowsNT內的每個對象都有一個安全描述符作為它們屬性的一部分。安全描述符持有對象的安全設置。安全描述符是由對象屬主的SID、組SID，靈活訪問控制列表以及計算機訪問控制列表。09十一月2024NETWORKSECURITY17安全的組成部分（四）訪問控制列表靈活訪問控制列表里記錄用戶和組以及它們的相關權限，要么允許要么拒絕。訪問控制條目每個訪問控制條目（ACE）包含用戶或組的SID及對對象所持有的權限。對象分配的每個權限都有一個ACE。訪問控制條目有二種類型：允許訪問或拒絕訪問。在訪問控制列表里拒絕訪問ACE優先于允許訪問。

09十一月2024NETWORKSECURITY188.2.5Windows2003安全機制（一）帳號安全計算機帳戶活動目錄用戶帳戶09十一月2024NETWORKSECURITY19Windows2003安全機制（二）文件系統安全NTFS文件系統使用關系型數據庫、事務處理以及對象技術，以提供數據安全以及文件可靠性的特性。09十一月2024NETWORKSECURITY20Windows2003安全機制（三）認證Kerberos5

Kerberos是一種被證明為非常安全的雙向身份認證技術。其身份認證強調了客戶機對服務器的認證，而別的身份認證技術往往只解決了服務器對客戶機的認證。Kerberos有效地防止了來自服務器端身份冒領的欺騙。09十一月2024NETWORKSECURITY21Windows2003安全機制（四）NTLM認證Windows2003中仍然保留NTLM（NT-LanMan）認證，以便向后兼容。運行DOS、Windows3.x、Windows95、Windows98、WindowsNT3.5和WindowsNT4.0的客戶仍然需要LM和NTLM支持。但LanManager中的哈希算法有漏洞。l0pht已經發布用于破解NT系統中SAM文件的工具l0phtcrack。Windows2003已支持新的更安全的認證協議NTLM2。09十一月2024NETWORKSECURITY22Windows2003安全機制（五）ActiveDirectory管理員可以瀏覽活動目錄，對域用戶、用戶組和網絡資源進行管理可以通過活動目錄指定局部管理員，每人以自己的安全性及許可權限進行管理分類

09十一月2024NETWORKSECURITY238.3Windows2003文件系統安全NTFS權限基于目錄基于文件讀取（R）顯示目錄名，屬性，所有者及權限顯示文件數據，屬性，所有者及權限寫入（W）添加文件和目錄，改變一個屬性以及顯示所有者和權限顯示所有者和權限、改變文件的屬性、在文件內加入數據執行（X）顯示屬性，可進入目錄中的目錄，顯示所有者利權限顯示文件屬性、所有者和權限、如果是可執行文件可運行刪除（D）可刪除目錄可刪除文件改變權限（P）改變目錄的權限改變文件的權限取得所有權（O）取得目錄的所有權取得文件的所有權09十一月2024NETWORKSECURITY24NT有關權限的標準標準權限基于目錄基于文件不可訪問無無列出RX不適用讀取RXRX添加WX不適用添加和讀取RWS-X?RX更改RWXDRWXD完全控制

ALLALL09十一月2024NETWORKSECURITY25NT共享權限列表權限允許完全控制改變文件的權限；在NTFS卷上取得文件的所有權；能夠完成所有有更改權限所執行的任務更改創建目錄和添加文件；更改文件內的數據；更改文件的屬性能夠完成所有有更改權限所執行的任務讀取顯示目錄和文件名：文件數據和屬性；運行應用程序文件不可訪問只能建立連接，不能訪問目錄中的內容09十一月2024NETWORKSECURITY268.3.2文件系統類型Fat16文件系統FAT文件系統最初用于小型磁盤和簡單文件結構的簡單文件系統。

標準文件分配表（FAT），在<511MB的卷中使用。沒有安全設置，不推薦使用。09十一月2024NETWORKSECURITY27FAT16文件系統默認的簇大小分區大小扇區數/每簇簇大小（字節）0M~32M151233M~64M21K65M~128M42K129M~255M84K256M~511M168K512M~1023M3216K1024M~2047M6432K2048~4095M12864K09十一月2024NETWORKSECURITY28文件系統類型Fat32文件系統（增強的文件分配表）FAT32文件系統提供了比FAT文件系統更為先進的文件管理特性作為FAT文件系統的增強版本，它可以在容量從512MB到2TB的驅動器上使用

沒有安全設置，不推薦使用09十一月2024NETWORKSECURITY29文件系統類型NTFS文件系統

NTFS文件系統包括了公司環境中文件服務器和高端個人計算機所需的安全特性NTFS文件系統還支持對于關鍵數據完整性十分重要的數據訪問控制和私有權限NTFS是Windows2003中唯一允許為單個文件指定權限的文件系統當從NTFS卷移動到FAT卷時，NTFS文件系統權限及特有屬性會丟失。（可操作）使用convert.ex將FAT或FAT32的分區轉化為NTFS分區。（可操作）09十一月2024NETWORKSECURITY30NTFS文件系統默認的簇大小分區大小扇區數/每簇簇大小（字節）512M或更小1512513M~1024M（1GB）21K1025M~2048M（2GB）42K2049M~4096M（4GB）84K4097M~8192M（8GB）168K8193M~16384M（16GB）3216K16385M~32768M（32GB）6432K09十一月2024NETWORKSECURITY31幾種文件系統的比較對比項目文件系統FAT16FAT32NTFS

與操作系統的兼容性MS-DOS，所有版本的Windows，WindowsNT，Windows2003和OS/2都可訪問本地文件只有對Windows95OSR2，Windows98和Windows2003三種操作系統可以訪問本地文件運行Windows2003Server的計算機可以訪問本地硬盤中的文件，運行WindowsNT4.0及SP4或更高版本的計算機可以訪問本地的部分文件，其他操作系統不能訪問本地文件支持磁盤從軟盤容量直到4GB，不支持域從512MB到2TB，在Windows2003中，用戶只能把FAT32卷最大格式化到32GB最小大約10MB，建議實際最大是2TB，不能用于軟盤文件大小最大文件為2GB不支持域，最大文件4GB文件大小只受限于卷的大小09十一月2024NETWORKSECURITY32文件系統類型DFS文件系統分布式文件系統(DistributedFileSystem,DFS)的作用是不管文件的物理分布情況，可以把文件組織成為樹狀的分層次邏輯結構，便于用戶訪問網絡文件資源、加強容錯能力和網絡負載均衡等。需要安裝DFS服務，在微軟管理界面MMC中創建一個DFS的根。文件的物理位置變動不會影響用戶使用。Hacker難以跟蹤文件的實際位置。09十一月2024NETWORKSECURITY338.4Windows2003賬號安全帳號重命名。對默認的帳號重命名。包括administrator、guest以及其它一些由安裝軟件時（如IIs）所自動建立的帳號。

09十一月2024NETWORKSECURITY34帳號策略

帳號策略的設置是通過域用戶管理器來實施的，從策略的菜單中選擇用戶權限。第一項是有關密碼的時效;第二項是有關密碼長度的限制，以及帳號鎖定等機制。09十一月2024NETWORKSECURITY35實現強壯的密碼要有大小寫字母，數字，和通配符等至少六個字符不使用名字和生日不含用戶名部分強壯的密碼09十一月2024NETWORKSECURITY36禁止枚舉賬號

由于Windows2003的默認安裝允許任何用戶通過空用戶得到系統所有賬號和共享列表，這本來是為了方便局域網用戶共享資源和文件的，但是，任何一個遠程用戶通過同樣的方法都能得到賬戶列表，使用暴力法破解賬戶密碼后，對我們的電腦進行攻擊，所以必須采用以下方法禁止這種行為。09十一月2024NETWORKSECURITY37禁止枚舉賬號09十一月2024NETWORKSECURITY38Administrator賬號更名

Windows2003的Administrator賬號是不能被停用的，也不能設置安全策略，這樣黑客可以一遍又一遍地嘗試這個賬戶的密碼，直到破解，所以要在“計算機管理”中把Administrator賬戶更名來防止這一點.

應該做點什么09十一月2024NETWORKSECURITY39本地策略設置界面09十一月2024NETWORKSECURITY40禁用Guest賬號

Guest賬號是一個非常危險的漏洞，因為黑客可以使用這個賬號登錄機器。09十一月2024NETWORKSECURITY41禁用Guest帳戶09十一月2024NETWORKSECURITY42禁止Guest帳戶登錄本機09十一月2024NETWORKSECURITY438.5GPO的編輯

Windows2003的得意之作GPO(GroupPolicyObject)，通過GPO來實現一個超強功能的中央集權的組策略，此策略是建立在活動目錄（ActiveDirectory）基礎之上的。09十一月2024NETWORKSECURITY44組策略組策略是什么?

GPO是一種與域、地址或組織單元相聯系的物理策略。在Windows2003中，GPO包括文件和AD對象。09十一月2024NETWORKSECURITY45組策略和AD

要充分發揮GPO的功能，需要有AD域架構的支持，利用AD可以定義一個集中的策略，所有的Windows2003服務器和工作站都可以采用它。09十一月2024NETWORKSECURITY468.6活動目錄安全性考察

Windows2003Server活動目錄是一個完全可擴展、可伸縮的目錄服務，既能滿足商業ISP的需要，又能滿足企業內部網和外聯網的需要，充分體現了微軟產品集成性、深入性和易用性等優點。09十一月2024NETWORKSECURITY47活動目錄的安全特性（一）集成性結合了三個方面的管理內容用戶和資源管理基于目錄的網絡服務基于網絡的應用管理09十一月2024NETWORKSECURITY48活動目錄的安全特性（二）集成性目錄管理的基本對象是用戶和計算機，還包括文件、打印機等資源活動目錄完全采用了Internet標準協議活動目錄集成了關鍵服務和關鍵安全性

09十一月2024NETWORKSECURITY49活動目錄的安全特性（三）深入性Windows2003活動目錄的深入性主要體現在其企業級的可伸縮性、安全性、互操作性、編程能力和升級能力上。

09十一月2024NETWORKSECURITY50活動目錄的安全特性（四）深入性

Windows2003活動目錄允許用戶組建單域來管理少量的網絡對象，也允許用戶通過域目錄管理成萬上億個對象。活動目錄的域樹和域森林的組建方法，可幫助用戶使用容器層次來模擬一個企業的組織結構。

Windows2003活動目錄和其安全性服務緊密結合，相輔相成，共同完成安全任務和協同管理。09十一月2024NETWORKSECURITY51活動目錄的安全特性（五）易用性Windows2003活動目錄主要體現在其簡易的安裝和管理上主要有三個活動目錄的管理界面（MMC）活動目錄用戶和計算機管理活動目錄的域和域信任關系的管理活動目錄的站點管理

09十一月2024NETWORKSECURITY52活動目錄的安全特性（六）易用性

管理員還可以方便地進行管理授權。活動目錄充分地考慮到了備份和恢復目錄服務的需要。09十一月2024NETWORKSECURITY538.7Windows2003缺省值的安全性評估

Windows2003包含許多默認的設置和選項，允許更復雜的管理。這些系統默認值可以被有經驗的攻擊者用來滲透系統。有些默認值不能改變，但有些可以改變。這些改變可以提供足夠的安全性。09十一月2024NETWORKSECURITY54Windows2003缺省值的安全性評估（二）默認目錄使用不同的目錄對合法用戶不會造成任何影響，但對于那些企圖通過類似WEB服務器這樣的介質遠程訪問文件的攻擊者來說大大地增加了難度。09十一月2024NETWORKSECURITY55Windows2003缺省值的安全性評估（三）默認帳號

增加了攻擊者猜測帳戶的難度09十一月2024NETWORKSECURITY56Windows2003缺省值的安全性評估（五）默認共享僅僅是針對管理而配置的，形成一個沒必要的風險，成為攻擊者一個常見的目標。可以通過增加注冊表相應的鍵值來禁止這些管理用的共享。09十一月2024NETWORKSECURITY578.8Windows2003主機安全合理的配置Windows2003，那么windows2003將會是一個很安全的操作系統。09十一月2024NETWORKSECURITY58初級安全（一）物理安全重要的服務器應該安放在安裝了監視器的隔離房間內；機箱，鍵盤，電腦桌抽屜要上鎖

停掉Guest帳號在計算機管理的用戶里面把guest帳號停用掉，任何時候都不允許guest帳號登錄系統；最好給guest加一個復雜的密碼限制不必要的用戶數量去掉不必要的帳戶；去掉不用的帳戶；給用戶組策略設置相應權限09十一月2024NETWORKSECURITY59初級安全（二）創建2個管理員用帳號

創建一個一般權限帳號用來收信以及處理一些日常事物，另一個擁有Administrators權限的帳戶只在需要的時候使用

把系統administrator帳號改名

盡量把Administrator帳戶偽裝成普通用戶創建一個陷阱帳號

用于迷惑非法入侵者，并借此發現他們的入侵企圖09十一月2024NETWORKSECURITY60初級安全（三）把共享文件的權限從”everyone”組改成“授權用戶”任何時候都不要把共享文件的用戶設置成“everyone”組使用安全密碼一個好的密碼對于一個網絡是非常重要的，設置密碼的有效期，還要注意經常更改密碼設置屏幕保護密碼

設置屏幕保護密碼也是防止內部人員破壞服務器的一個屏障；不要使用OpenGL和一些復雜的屏幕保護程序，以免浪費系統資源09十一月2024NETWORKSECURITY61初級安全（四）使用NTFS格式分區NTFS文件系統要比FAT，FAT32的文件系統安全得多運行防毒軟件好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。經常升級病毒庫保障備份盤的安全把備份盤防在安全的地方。千萬別把資料備份在同一臺服務器上09十一月2024NETWORKSECURITY62中級安全（一）利用安全配置工具來配置策略充分利用基于MMC（管理控制臺）安全配置和分析工具，增強系統安全性關閉不必要的服務不必要的服務帶來安全隱患；確保正確的配置了終端服務；留意服務器上面開啟的所有服務關閉不必要的端口關閉端口意味著減少功能，在安全和功能上面需要作一點決策09十一月2024NETWORKSECURITY63中級安全（二）高級TCP/IP設置

09十一月2024NETWORKSECURITY64中級安全（三）TCP/IP篩選

09十一月2024NETWORKSECURITY65中級安全（四）打開審核策略開啟安全審核是Windows2003最基本的入侵檢測方法09十一月2024NETWORKSECURITY66中級安全（五）Windows2003三種類型的日志記錄事件應用程序日志系統日志安全日志

09十一月2024NETWORKSECURITY67中級安全（六）事件查看器

09十一月2024NETWORKSECURITY68中級安全（七）安全日志

09十一月2024NETWORKSECURITY69中級安全（八）安全日志屬性

09十一月2024NETWORKSECURITY70中級安全（九）開啟密碼策略開啟密碼復雜性要求、設置密碼長度最小值、開啟強制密碼歷史、設置強制密碼最長存留期等開啟帳戶策略設置復位帳戶鎖定計數器、帳戶鎖定時間、帳戶鎖定閾值09十一月2024NETWORKSECURITY71中級安全（十）更改賬戶策略

09十一月2024NETWORKSECURITY72中級安全（十一）設定安全記錄的訪問權限把安全記錄設置成只有Administrator和系統帳戶才有權訪問

把敏感文件存放在另外的文件服務器中有必要把一些重要的用戶數據存放在另外一個安全的服務器中，并且經常備份它們不讓系統顯示上次登陸的用戶名防止入侵者容易得到系統的用戶名，進而作密碼猜測09十一月2024NETWORKSECURITY73中級安全（十二）禁止建立空連接用戶可以通過空連接連上服務器，進而枚舉出帳號，猜測密碼

下載最新的補丁程序經常訪問微軟和一些安全站點，下載最新的servicepack和漏洞補丁，是保障服務器長久安全的唯一方法09十一月2024NETWORKSECURITY74安全配置方案高級篇高級篇介紹操作系統安全信息通信配置，包括十四條配置原則：關閉DirectDraw、關閉默認共享禁用DumpFile、文件加密系統加密Temp文件夾、鎖住注冊表、關機時清除文件禁止軟盤光盤啟動、使用智能卡、使用IPSec禁止判斷主機類型、抵抗DDOS禁止Guest訪問日志和數據恢復軟件09十一月2024NETWORKSECURITY751關閉DirectDrawC2級安全標準對視頻卡和內存有要求。關閉DirectDraw可能對一些需要用到DirectX的程序有影響（比如游戲），但是對于絕大多數的商業站點都是沒有影響的。在HKEY_LOCAL_MACHINE主鍵下修改子鍵：SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，將鍵值改為“0”即可，如圖7-17所示。09十一月2024NETWORKSECURITY762關閉默認共享Windows2003安裝以后，系統會創建一些隱藏的共享，可以在DOS提示符下輸入命令NetShare查看，如圖7-18所示。09十一月2024NETWORKSECURITY77停止默認共享禁止這些共享，打開管理工具>計算機管理>共享文件夾>共享，在相應的共享文件夾上按右鍵，點停止共享即可，如圖7-19所示。09十一月2024NETWORKSECURITY783禁用Dump文件在系統崩潰和藍屏的時候，Dump文件是一份很有用資料，可以幫助查找問題。然而，也能夠給黑客提供一些敏感信息，比如一些應用程序的密碼等需要禁止它，打開控制面板>系統屬性>高級>啟動和故障恢復，把寫入調試信息改成無，如圖7-20所示。09十一月2024NETWORKSECURITY794文件加密系統Windows2003強大的加密系統能夠給磁盤，文件夾，文件加上一層安全保護。這樣可以防止別人把你的硬盤掛到別的機器上以讀出里面的數據。微軟公司為了彌補WindowsNT4.0的不足，在Windows2003中，提供了一種基于新一代NTFS：NTFSV5（第5版本）的加密文件系統（EncryptedFileSystem，簡稱EFS）。EFS實現的是一種基于公共密鑰的數據加密方式，利用了Windows2003中的CryptoAPI結構。09十一月2024NETWORKSECURITY805加密Temp文件夾一些應用程序在安裝和升級的時候，會把一些東西拷貝到Temp文件夾，但是當程序升級完畢或關閉的時候，并不會自己清除Temp文件夾的內容。所以，給Temp文件夾加密可以給你的文件多一層保護。09十一月2024NETWORKSECURITY816鎖住注冊表在Windows2003中，只有Administrators和BackupOperators才有從網絡上訪問注冊表的權限。當帳號的密碼泄漏以后，黑客也可以在遠程訪問注冊表，當服務器放到網絡上的時候，一般需要鎖定注冊表。修改Hkey_current_user下的子鍵Software\microsoft\windows\currentversion\Policies\system把DisableRegistryTools的值該為0，類型為DWORD，如圖7-21所示。09十一月2024NETWORKSECURITY827關機時清除文件頁面文件也就是調度文件，是Windows2003用來存儲沒有裝入內存的程序和數據文件部分的隱藏文件。一些第三方的程序可以把一些沒有的加密的密碼存在內存中，頁面文件中可能含有另外一些敏感的資料。要在關機的時候清楚頁面文件，可以編輯注冊表修改主鍵HKEY_LOCAL_MACHINE下的子鍵：SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPageFileAtShutdown的值設置成1，如圖7-22所示。09十一月2024NETWORKSECURITY838禁止軟盤光盤啟動一些第三方的工具能通過引導系統來繞過原有的安全機制。比如一些管理員工具，從軟盤上或者光盤上引導系統以后，就可以修改硬盤上操作系統的管理員密碼。如果服務器對安全要求非常高，可以考慮使用可移動軟盤和光驅，把機箱鎖起來仍然不失為一個好方法。09十一月2024NETWORKSECURITY849使用智能卡對于密碼，總是使安全管理員進退兩難，容易受到一些工具的攻擊，如果密碼太復雜，用戶把為了記住密碼，會把密碼到處亂寫。如果條件允許，用智能卡來代替復雜的密碼是一個很好的解決方法。09十一月2024NETWORKSECURITY8510使用IPSec正如其名字的含義，IPSec提供IP數據包的安全性。IPSec提供身份驗證、完整性和可選擇的機密性。發送方計算機在傳輸之前加密數據，而接收方計算機在收到數據之后解密數據。利用IPSec可以使得系統的安全性能大大增強。09十一月2024NETWORKSECURITY8611禁止判斷主機類型黑客利用TTL（Time-To-Live，活動時間）值可以鑒別操作系統的類型，通過Ping指令能判斷目標主機類型。Ping的用處是檢測目標主機是否連通。許多入侵者首先會Ping一下主機，因為攻擊某一臺計算機需要根據對方的操作系統，是Windows還是Unix。如過TTL值為128就可以認為你的系統為Windows2003，如圖7-23所示。09十一月2024NETWORKSECURITY87從圖中可以看出，TTL值為128，說明該主機的操作系統是Windows2003操作系統。表7-6給出了一些常見操作系統的對照值。操作系統類型TTL返回值Windows2003128WindowsNT107win9x128or127solaris252IRIX240AIX247Linux241or24009十一月2024NETWORKSECURITY88修改TTL的值，入侵者就無法入侵電腦了。比如將操作系統的TTL值改為111，修改主鍵HKEY_LOCAL_MACHINE的子鍵：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS新建一個雙字節項，如圖7-24所示。09十一月2024NETWORKSECURITY89在鍵的名稱中輸入“defaultTTL”，然后雙擊改鍵名，選擇單選框“十進制”，在文本框中輸入111，如圖7-25所示。09十一月2024NETWORKSECURITY90設置完畢重新啟動計算機，再用Ping指令，發現TTL的值已經被改成111了，如圖7-26所示。09十一月2024NETWORKSECURITY9112抵抗DDOS添加注冊表的一些鍵值，可以有效的抵抗DDOS的攻擊。在鍵值[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加響應的鍵及其說明如表7-7所示。增加的鍵值鍵值說明"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000000"KeepAliveTime"=dword:00000000"PerformRouterDiscovery"=dword:00000000基本設置"EnableICMPRedirects"=dword:00000000防止ICMP重定向報文的攻擊"SynAttackProtect"=dword:00000002防止SYN洪水攻擊"TcpMaxHalfOpenRetried"=dword:00000080僅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried設置超出范圍時,保護機制才會采取措施"TcpMaxHalfOpen"=dword:00000100"IGMPLevel"=dword:00000000不支持IGMP協議"EnableDeadGWDetect"=dword:00000000禁止死網關監測技術"IPEnableRouter"=dword:00000001支持路由功能09十一月2024NETWORKSECURITY9213禁止Guest訪問日志在默認安裝的WindowsNT和Windows2003中，Guest