第11章 Windows 操作系统安全_y.ppt

版权所有，盗版必纠 第三种方法：注册表改键值法。 单击“开始”→“运行”输入“regedit”确定后，打开注册表编辑器，找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”项，双击右侧窗口中的“AutoShareServer”项将键值由1改为0，这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项，可自己新建一个再改键值。然后还是在这一窗口下再找到“AutoShareWks”项，也把键值由1改为0，关闭admin$共享。最后到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”项处找到“restrictanonymous”，将键值设为1，关闭IPC$共享。本方法必须重启机器才能生效，但一经改动就会永远停止共享。 11.2.10 关闭系统默认共享 版权所有，盗版必纠 第四种方法：停止服务法。这种方法最简单，打开“控制面板”的“计算机管理”窗口中，单击展开左侧的“服务和应用程序”并选中其中的“服务”，此时右侧就列出了所有服务项目。共享服务对应的名称是“Server”（在进程中的名称为services），找到后右击它，在弹出的菜单中选择“属性”，如图11.17所示。在弹出的Server属性界面当中选择“常规”标签，把“启动类型”由原来的“自动”更改为“已禁用”。然后单击下面“服务状态”的“停止”，再单击“确定”，如图11.18所示。这样，系统中所有的共享都会去掉了。 11.2.10 关闭系统默认共享 版权所有，盗版必纠 11.2.10 关闭系统默认共享 版权所有，盗版必纠 11.2.10 关闭系统默认共享 版权所有，盗版必纠 第五种方法：卸载“文件和打印机共享”法。方法是右击“网上邻居”选“属性”，在弹出的“网络和拨号连接”窗口中右击“本地连接”选“属性”，从“此连接使用下列选定的组件”中选中“Microsoft网络的文件和打印机共享”后，单击下面的“卸载”，再单击“确定”，如图11.19所示。 11.2.10 关闭系统默认共享 版权所有，盗版必纠 11.2.10 关闭系统默认共享 版权所有，盗版必纠 注意：本方法最大的缺陷是当在某个文件夹上右击时，弹出的快捷菜单中的“共享”一项消失了，因为对应的功能服务已经被卸载了，以后如果再想用共享时，需要重新加载这个协议。 11.2.10 关闭系统默认共享 版权所有，盗版必纠 黑客利用TTL（Time-To-Live，活动时间）值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。 许多入侵者首先会Ping一下主机，因为攻击某一台计算机需要根据对方的操作系统是Windows还是Unix。如TTL值为128就可以认为系统为Windows 2000，如图11.20所示。 11.2.11 禁止TTL判断主机类型 版权所有，盗版必纠 UNIX 及类 UNIX操作系统 ICMP 回显应答的 TTL 字段值为 255 　　Windows 7 ICMP 回显应答的 TTL 字段值为 64 　　WINXP-32bit 回显应答的 TTL 字段值为 128 　　微软 Windows NT/2K/2003操作系统 ICMP 回显应答的 TTL 字段值为 128 　　微软 Windows 95 操作系统 ICMP 回显应答的 TTL 字段值为 32 　　LINUX Kernel 2.2.x 2.4.x ICMP 回显应答的 TTL 字段值为 64 11.2.11 禁止TTL判断主机类型 版权所有，盗版必纠 修改TTL的值，入侵者就无法入侵电脑了。比如将操作系统的TTL值改为111。方法是修改主键HKEY_LOCAL_MACHINE的子键：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS中defaultTTL的键值。如果没有，则新建一个双字节项defaultTTL，如图11.21所示；然后将其值改为十进制的111，如图11.22所示。设置完毕，重新启动计算机，再用Ping指令，发现TTL的值已经被改成111了，如图11.23所示。 11.2.11 禁止TTL判断主机类型 版权所有，盗版必纠 11.2.11 禁止TTL判断主机类型 如何安装一个电脑操作系统才是一个安全的操作系统呢？这是经常遇到的一个问题。安装一个安全的操作系统可以采用以下几步： 1. 拔掉网线。 2．安装操作系统。 3. 安装软件防火墙，如Norton防火墙、天网防火墙、瑞星防火墙等。 4. 安装防病毒软件，如Norton、瑞星、江