《网络安全技术》课件第3章.ppt

139端口是NetBIOS协议所使用的端口，它的开放意味着硬盘可能会在网络中共享，而黑客也可通过NetBIOS窥视到用户电脑中的内容。在WindowsServer2003中彻底关闭139端口的具体步骤如下：

(1)打开【本地连接属性】界面，取消“Microsoft网络的文件和打印共享”前面的“√”，如图3.15所示。

(2)选中“Internet协议(TCP/IP)”，单击“属性”→“高级”→“WINS”，选中“禁用TCP/IP上的NetBIOS”选项，从而彻底关闭139端口，如图3.16所示。图3.15本地连接属性图3.16高级TCP/IP设置Windows系统中还可以设置端口过滤功能来限定只有指定的端口才能对外通信。在如图所示【高级TCP/IP设置】界面中单击“选项”→“TCP/IP筛选”→“属性”，选中“启用TCP/IP筛选(所有适配器)”，然后根据需要配置就可以了。如只打算浏览网页，则只需开放TCP端口80。方法为，可以在“TCP端口”上方选择“只允许”，然后单击“添加”按钮，输入80再单击“确定”按钮即可，如图3.17所示。图3.17TCP/IP筛选5.杜绝非法访问应用程序

根据不同用户的访问权限来限制他们调用应用程序，可以防止由于登录的用户随意启动服务器中的应用程序，给服务器的正常运行带来的麻烦，因此应对访问应用程序进行设置。方法如下：

在“运行”中输入“gpedit.msc”，打开【组策略编辑器】界面，选择“用户配置”→“管理模板”→“系统”→双击“只运行许可的Windows应用程序”，选中“已启用”→单击“允许的应用程序列表”边的“显示”按钮，弹出一个【显示内容】对话框，单击“添加”按钮，添加允许运行的应用程序，使一般用户只能运行“允许的应用程序列表”中的程序，如图3.18所示。图3.18添加允许的应用程序3.6.2Linux安全设置

【实验背景】

Linux操作系统是一个开放源代码的免费操作系统，不论在功能、价格或性能上都有很多优点，所以受到越来越多用户的欢迎，然而针对它的攻击也越来越多。因此要仔细地设定Linux的各种系统功能，尽可能让黑客们无机可乘。【实验目的】

掌握Linux常用的安全设置。

【实验条件】

安装了Linux的计算机。

【实验任务】

从系统启动、帐户安全、限制远程访问等方面给Linux加上必要的安全措施。

【实验内容】1.?LILO启动安全

1)?Linux启动模块配置

LILO是LInuxLOader的缩写，它是Linux的启动模块。可以通过修改/etc/LILO.conf文件中的内容来进行配置。在该文件中加上下面两行语句，使系统在启动LILO时就要求密码验证：

restricted

password=设置的口令

另外还需要在/etc/LILO.conf文件中加上prompt。

通过上面的设置，LILO将一直等待用户选择操作系统，但是，如果有timeout这个选项，则时间到达后，用户没有做出选择，LILO就会自行引导默认的系统。这里列举一个LILO.conf的例子：

prompt

timeout=50

default=linux

boot=/dev/hda1

map=/boot/map

install=/boot/boot.b

message=/boot/message

linear

image=/boot/vmlinuz-2.4.20-8

label=linuxinitrd=/boot/initrd-2.4.20-8.img

read-only

append?=?“hdc=ide-scsiroot=LABEL=/”

restricted#加入这行

password=#加入这行并设置口令

LILO.conf中参数的意义为：以/boot/vmlinuz-2.4.20-8内核来启动系统，如果用参数“linuxsingle”来启动Linux，timeout选项将给出5秒钟的时间用于接受口令。其中，message=

/boot/message让LILO以图形模式显示，如果取消这一行，那么LILO将以传统的文本模式显示。2)设定LILO.conf权限

因为LILO的口令是以明文形式存在的，所以一定要确保LILO.conf变成仅root可以读写，其设置方法是执行：

chmod600/etc/LILO.conf

然后必须执行下面的操作才能使LILO生效：

/sbin/LILO

将会显示“Ad