信息安全原理与实践教程第章

第3章Windows系统安全加固

3.1Windows操作系统安全综述

3.2注册表配置实验3.3帐号和口令的安全设置实验

3.4文件系统安全设置实验

3.5关闭默认共享

3.6小结

3.1Windows操作系统安全综述注册表是Windows系统的核心配置文件，在系统中起着举足轻重的作用，一旦注册表出现问题，整个系统将变得混乱甚至崩溃。如果掌握了注册表的知识，那么，它将是用户手中用来驯服Windows的“利器”。本章可以指引读者进入注册表的“精彩世界”，一起来体会注册表的强大功能，对熟悉注册表起到抛砖引玉的作用。提到系统安全，就不得不说EFS的概念。EFS(EncryptingFileSystem，加密文件系统)是Windows系统中的一项功能，针对NTFS分区中的文件和数据，用户都可以直接加密，从而达到快速提高数据安全性的目的。用户帐户安全是计算机安全设置的重要对象，许多安全功能的实现都是基于用户帐户实现的，如文件访问权限设置、用户环境设置等。在独立计算机上，系统管理员帐户可以完全控制其他普通用户帐户，包括创建、禁用、删除等；在域环境中，域管理员可以通过为不同的用户帐户赋予指定的操作和访问权限，以维护整个网络的安全。端口是计算机与外界通讯的渠道，它像一道道门一样控制着数据与指令的传输，但端口有时会被许多蠕虫病毒利用。对于原本脆弱的Windows系统来说，有必要把一些危险而又不经常使用的端口关闭或是封锁，以保证信息安全。下面我们就逐一介绍有关Windows系统安全的问题，当然不可能面面俱到，感兴趣的读者可以根据自己的实际情况深入研究。

3.2注册表配置实验1.实验目的学会使用注册表编辑器的基本操作；学会进行注册表的一些基本安全配置。

2.实验原理注册表是Windows中一个重要的系统数据库，它用于存储系统和应用程序的设置信息。系统设置和缺省用户配置数据存放在“系统\系统文件夹\SYSTEM32\CONFIG”文件夹下，包括6个文件：DEFAULT、SAM、SECURITY、SOFTWARE、USERDIFF和SYSTEM。用户的配置信息存放在系统所在磁盘的“\DocumentsandSetting\”文件夹下，包括ntuser.dat、ntuser.ini、ntuser.dat.log。注册表由键(项)、子键(子项)和值项构成。一个键就是分支中的一个文件夹，而子键就是这个文件夹中的子文件夹，子键同样是一个键；一个值项则是一个键的当前定义，由名称、数据类型以及分配的值组成。一个键可以有一个或多个值，每个值的名称各不相同，如果一个值的名称为空，则该值为该键的默认值。

3.实验环境基于WindowsXP或Windows2003等的操作系统。4.实验内容1)打开注册表编辑器注册表的配置管理是通过注册表编辑器来完成的。依次单击“开始→运行”，输入“regedit”即可进入注册表编辑器，注册表编辑器的界面如图3.1所示。图3.1注册表编辑器注册表可以导出为一个reg注册表文件，也可以把注册表文件导入到注册表中。“导入/导出”功能归属在文件菜单下，如图3.2所示。图3.2注册表编辑器文件菜单注册表项和和子项的新新建、删除除、修改权权限、查找找等功能可可以通过编编辑菜单完完成，如图图3.3所所示，也可可以通过点点击鼠标右右键完成。。图3.3注注册表表编辑器编编辑菜单收藏夹菜单单下可收藏藏注册表项项，以便快快速到达以以前浏览的的注册表项项。当然也也可以删除除收藏的注注册表项，，如图3.4所示。。图3.4注注册表表编辑器收收藏夹菜单单2)注册册表安全配配置对注册表项项进行合理理的设置可可以提高系系统的安全全性，当然然前提是应应以管理员员权限登录录。注册表表的安全配配置主要包包括以下内内容。(1)禁禁止远程修修改注册表表。Windows2000/XP支持持通过网络络使用注册册表编辑器器对注册表表的数据进进行修改，，默认的系系统配置下下，用户可可以进行远远程操作。。为了提高高系统的安安全性，避避免自己机机器的注册册表被他人人通过网络络修改，可可以禁用此此功能。具具体操作步步骤如下：：第1步：打打开注册表表编辑器。。第2步：选选择子键键HKEY_LOCAL_MACHINE\system\CurrentControlSet\control\SecurePipeServers\winreg。第3步：在在右侧窗口口中新建一一个数据类类型为DWORD的的键值项，，命名为““RemoteRegAccess”，将数数值设为““1”即可可。(2)设设置密码的的安全要求求。Windows系统统在默认配配置下允许许使用任何何字符或字字符串作为为密码，其其中可包括括空格、符符号或数字字等。然而而普通用户户往往只使使用字母来来组成密码码，但这样样的密码容容易被破解解，因此，，可以通过过修改注册册表来使用用户设定的的密码中必必须同时包包含字母和和数字，从从而增强系系统的安全全性能。具具体操作步步骤如下：第1步：打打开注册表表编辑器。。第2步：选选择子键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies。第3步：在在Policies子键下新新建一个数数据类型为为DWORD的键值值项，命名名为“AlphanumPwds”，，然后将其其键值设为为“1”。。第4步：完完成设置后后，重新启启动计算机机使设置生生效。(3)禁禁止密码缓缓存。通常Windows系统会将将用户输入入的密码保保存在特定定的缓存中中，当用户户再次输入入密码时，，系统会自自动进行匹匹配以检验验用户的密密码是否正正确。但这这一功能往往往会带来来一些安全全方面的隐隐患，因为为黑客可能能通过密码码缓存查找找用户的密密码。因此此可以考虑虑通过修改改注册表来来禁用系统统的密码缓缓存功能，，以提高系系统的安全全性能。具具体操作步步骤如下：：第1步：打打开注册表表编辑器。。第2步：选选择子键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies，在““Policies”子键下下新建一个个子键，命命名为“Network”。。第3步：在在“Network”子键下下新建一个个数据类型型为DWORD的键键值项，命命名为“DisablePwdCaching”，然然后将其键键值设为““1”。第4步：重重启计算机机即可生效效。(4)隐隐藏一个服服务器。为保证局域域网中服务务器上的资资源不受其其他人的非非法访问和和攻击，有有时需要把把局域网中中指定的服服务器计算算机的名称称隐藏起来来，使其他他局域网用用户无法访访问到。具具体操作步步骤如下：：第1步：打打开注册表表编辑器。。第2步：选选择子键HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters。第3步：用用鼠标单击击该键值下下面的“Hidden”数值值名称，如如果未发现现此名称，，那么添加加一个数据据类型为““REG_Dword”的键键值。第4步：用用鼠标双击击此项，在在弹出的““DWORD编辑器器”对话框框中输入““1”即可可。第5步：退退出注册表表编辑，重重新启动计计算机就可可以在局域域网中隐藏藏一个服务务器了。(5)屏屏蔽“控制制面板”的的访问。控制面板是是Windows系系统的控制制中心，可可以对设备备属性、文文件系统、、安全口令令等许多对对系统关键键的东西进进行修改，，通过此设设置可以屏屏蔽“控制制面板”的的访问。具具体操作步步骤如下：第1步：打打开注册表表编辑器。。第2步：选选择子键HKEY_CURRENT_USER\Software\Micrsoft\Windows\CurrentVersion\Policies\System。第3步：在在对应System键值的右右边窗口中中，用鼠标标右键单击击该窗口的的空白处，，并从弹出出的快捷菜菜单中选择择“新建””/“DWORD””命令，来来新建一个个DWORD值。第4步：把把DWORD值的名名称命名为为“NoDispCPL”，，同时设置置其值为““1”。(6)隐隐藏上次用用户登录的的用户名。。WindowsXP以上的的操作系统统对以前用用户登录的的信息具有有记忆功能能，下次重重新启动计计算机时，，在用户名名栏中会出出现上次用用户的登录录名，这个个信息可能能会被一些些非法分子子利用，从从而给用户户造成威胁胁，为此我我们有必要要隐藏上次次用户登录录的用户名名。具体操操作步骤如如下：第1步：打打开注册表表编辑器。。第2步：选选择子键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon。第3步：在在右边的窗窗口中新建建字符串““DontDisplayLastUserName””，并把该该值设置为为“1”。。第4步：重重新启动计计算机就可可以隐藏上上次用户登登录的名字字。(7)禁禁止修改““开始”菜菜单。一般来说，，用户启动动某个程序序时往往会会在开始菜菜单下面的的程序组中中寻找需要要的程序，，如果随意意更改“开开始”菜单单中的内容容，可能会会影响其他他用户打开开程序。因因此，我们们常常需要要禁止修改改“开始””菜单中的的内容。具具体操作步步骤如下：：第1步：打打开注册表表编辑器。。第2步：选选择子键HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explore。第3步：在在右边的窗窗口中新建建一个数据据类型为DWORD的串值““NoChangeStartMenu”，并并把它的值值设置为““1”。(8)让让用户只使使用指定的的程序。为防止因用用户非法运运行或者修修改程序，，而导致整整个计算机机系统处于于混乱状态态，我们可可以通过修修改注册表表来达到让让用户只能能使用指定定程序的目目的，从而而保证系统统的安全。。具体操作步步骤如下：：第1步：打打开注册表表编辑器。。第2步：选选择子键HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer键值。。第3步：在在右边的窗窗口中新建建一个数据据类型为DWORD的串值““RestrictRun””，把它的的值设为““1”，然然后在RestrictRun的主键键下分别添添加名为““1”、““2”、““3”等的的字符串值值，将“1”、“2”、“3”等字符符串的值设设置为我们们允许用户户使用的程程序名。例例如将“1”、“2”、“3”分别设设置为“word.EXE””、“notepad.EXE”、““write.EXE”，则则用户只能能使用Word、记记事本、写写字板了。。这样我们们的系统将将会达到最最大的保障障，也可以以限制用户户运行不必必要的软件件了。(9)禁禁用“任务务栏属性””功能。利用任务栏栏属性功能能，可以方方便用户对对开始菜单单进行修改改，也可以以修改Windows系统的的很多属性性和运行的的程序，这这在我们看看来是件很很危险的事事情，所以以有必要禁禁止对它的的修改。具具体操作步步骤如下：：第1步：打打开注册表表编辑器。。第2步：选选择子键HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer。第3步：在在右边窗口口内新建一一个数据类类型为DWORD的的串值“NoSetTaskBar””，然后双双击“NoSetTaskBar”键键值，在弹弹出的对话话框中的““键值”框框内输入““1”，就就可以达到到禁用“任任务栏属性性”功能了了。(10)隐隐藏“网网上邻居””。在局域网中中，我们常常常可以通通过网上邻邻居来访问问其他计算算机上的内内容，从而而达到了资资源共享的的目的。但但有时“网网上邻居””会给我们们造成安全全上的隐患患，例如有有些不怀好好意的用户户可以利用用“网上邻邻居”非法法删除其他他计算机上上的重要数数据，给该该计算机造造成了损失失。为了避避免这样的的损失，我我们可以利利用注册表表来隐藏““网上邻居居”。具体体操作步骤骤如下：第1步：打打开注册表表编辑器。。第2步：选选择子键HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer。第3步：在在右边的窗窗口中新建建一个数据据类型为DWORD的键值项项“NoNetHood”，，并把该值值设置为““1”(十十六进制)。3.3帐帐号和口口令的安全全设置实验验设置帐号和和口令是最最常用的安安全措施之之一，如果果帐号和口口令管理不不当，就会会带来巨大大的安全隐隐患。1.实验验目的合理设置Windows帐号号和口令；；增加帐号号和口令被被破解的难难度。2.实验验原理图3.5和和图3.6列出了Windows2000/XP操作作系统中常常见的帐户户和帐户组组。如系统统开放的帐帐户太多，，就会增大大弱口令存存在的概率率。所以从从系统加固固的角度来来看，应该该尽可能地地关掉不常常用的帐户户或者开放放尽可能少少的帐户。。图3.5Windows2000/XP操作系统统中常见的的帐户图3.6Windows2000/XP操作系统统中常见的的帐户组3.实验验环境基于WindowsXP或或Windows2003等的操作作系统。4.实验验内容1)帐号号的安全加加固(1)重重命名和禁禁用默认的的帐户。安装好Windows后，系系统会自动动建立两个个帐户，即即Administrator和Guest。。其中Administrator拥拥有最高的的权限，Guest则只有基基本的权限限并且默认认是禁用的的，而在这这种默认的的帐户带来来方便的同同时也严重重危害到了了系统的安安全。因此此，安全的的做法是更更改Administrator帐户户的名称，，然后再建建立一个几几乎没有任任何权限的的假的Administrator帐帐户。具体体操作步骤骤如下：第1步：单单击“开始始”→“运运行”，在在弹出的对对话框中输输入“secpol.msc”，并按按【回车】】键确认。。第2步：打打开“LocalSecuritySettings(本地地安全设置置)”对话话框，依次次展开“LocalPolicies(本地策略略)”→““SecurityOptions(安全选选项)”，，在右侧窗窗口中找到到“Accounts:Renameadministrator(guest)account(帐户：重重命名Administrator/Guest帐户)”的策略略。第3步：双双击打开该该策略，给给“Administrator”重重新设置一一个不是很很引人注目目的用户名名。第4步：新新建一个名名称为“Administrator”的受限限制用户，，以迷惑闯闯入者。(2)减减少管理员员组的成员员数量。从某种意义义上讲，限限制了管理理员组的成成员数量，，也就限制制了拥有较较高权限的的用户和密密码管理的的难度，减减少了易被被识破的密密码被用于于系统密码码的机会，，从而避免免了使系统统处于危险险的境地。。具体操作作步骤如下下：第1步：依依次选择““开始”→→“所有程程序”→““计算机管管理”→““本地用户户和组”→→“组”。。第2步：：双击““Administrators””选项，，打开““Administrators属属性”对对话框，，选择““成员””列表中中想要删删除的管管理员帐帐户，并并单击【【删除】】按钮即即可。(3)限限制不不必要的的用户数数量。通过关掉掉所有的的DuplicateUser帐帐户、测测试帐户户和共享享帐户等等，删除除已经不不再使用用的帐户户，可限限制不必必要的用用户数量量。可以创建建两个管管理员帐帐户，一一个是一一般权限限的帐户户，另一一个是有有“Administrators”权限限的帐户户。(4)开开机时时设置为为“不自自动显示示上次登登录帐户户”。Windows默认认设置开开机时自自动显示示上次登登录的帐帐户名，，许多用用户也采采用了这这一设置置，这对对系统来来说是很很不安全全的，攻攻击者会会从本地地或TerminalService的的登录界界面看到到用户名名。具体体操作步步骤如下下：第1步：：依次选选择“开开始”→→“设置置”→““控制面面板”→→“管理理工具””→“本本地安全全策略””→“本本地策略略”→““安全选选项”，，打开的的界面如如图3.7所示示。图3.7““本地安安全设置置”窗口口第2步：：在图3.7所所示窗口口的右侧侧列表中中选择““交互式式登录：：不显示示上次的的用户名名”选项项，弹出出图3.8所示示的对话话框，选选择“已已启用””选项，，完成设设置。图3.8““本地安安全策略略设置””对话框框(5)禁禁止枚枚举帐户户。为了便于于远程用用户共享享本地文文件，Windows默认认设置远远程用户户可以通通过空连连接枚举举出所有有本地帐帐户，这这给攻击击者创造造了可乘乘之机。。禁止枚枚举帐户户的具体体操作步步骤如下下：第1步：：依次选选择“本本地安全全策略””→“安安全选项项”，如如图3.9所示示。图3.9““本地安安全设置置”窗口口第2步：：在“本本地安全全设置””菜单栏栏的右侧侧列表中中选择““网络访访问：不不允许SAM帐帐户和共共享的匿匿名枚举举”选项项，弹出出图3.10所所示的对对话框，，选择““已启用用”选项项，完成成设置。。图3.10““本地地安全策策略设置置”对话话框2)帐帐号口令令的安全全加固目前，针针对各类类口令的的破解工工具层出出不穷。。管理员员(Administrator)的口令令可以在在本地破破解(如如使用LC5软软件等)，也可可以以远远程方式式破解(如使用用ida－snake)。无无论是本本地破解解还是远远程破解解，大都都采用了了暴力破破解的方方式。原原因是存存储在SAM数数据库中中的信息息并未经经过加密密，而仅仅仅进行行了哈希希(Hash)运算，，这样就就为黑客客通过反反复尝试试进行口口令破解解留下了了可能。目前，针针对密码码的加固固手段主主要有3类，分分别是安安全的密密码策略略、安全全的帐户户锁定策策略和启启用syskey命令令对帐户户信息加加密。(1)设设置安安全的密密码策略略。安全的密密码策略略要求系系统中的的各帐户户都采用用复杂的的口令，，目的是是延长破破解口令令所需的的时间，，提高口口令的安安全性。。但是，，只要有有足够长长的时间间，再复复杂的口口令也能能被破解解。所以以，安全全的密码码策略要要求每个个用户都都能定期期地更换换口令。。具体操操作步骤骤如下：：第1步：：打开密密码策略略设置界界面。依次选择择“开始始”→““设置””→“控控制面板板”→““管理工工具”→→“本地地安全策策略”→→“帐户户策略””→“密密码策略略”，打打开的界界面如图图3.11所示示。图3.11““密码码策略””设置界界面第2步：：设置密密码长度度最小值值、密码码复杂性性要求等等。(2)安安全的的帐户锁锁定策略略设置。。黑客之所所以能够够采用暴暴力猜解解的方法法来破解解用户口口令，一一个重要要原因是是在大多多情况下下，操作作系统允允许他们们进行无无限次地地尝试。。虽然Windows系统提提供了限限制机制制，但在在默认安安装的状状态下，，这些机机制并未未被启用用。从安安全的角角度看，，限制机机制只给给攻击者者为数不不多的几几次尝试试机会，，一旦失失败的次次数超过过了事先先设定的的极限值值，该帐帐户将被被锁定，，从而避避免用户户口令被被破解。。具体操操作步骤骤如下。。第1步：：打开帐帐户锁定定策略。。依次选择择“开始始”→““设置””→“控控制面板板”→““管理工工具”→→“本地地安全策策略”→→“帐户户策略””→“帐帐户锁定定策略””，打开开的界面面如图3.12所示。。图3.12““帐户户锁定策策略”设设置界面面第2步：：设置复复位帐户户锁定计计数器、、帐户锁锁定时间间等。(3)启启用Syskey命命令。Syskey是是从WindowsNTSP3版本开开始提供供的一个个工具，，使用Syskey能能对帐户户密码数数据文件件(SAM)进进行二次次加密，，以防止止用户口口令被远远程或本本地破解解，这样样更能保保证系统统的安全全。同时时，Syskey还能能设置启启动密码码，这个个密码先先于用户户密码之之前输入入，因此此，可起起到双重重保护的的功能。。具体操操作步骤骤如下：：第1步：：选择““开始””→“运运行”，，输入““Syskey”就可可以启动动加密的的窗口(这里以以WindowsXP)为为例，如如图3.13所所示。图3.13Syskey的启动动界面第2步：：在弹出出的“保保证WindowsXP帐帐户数据据库的安安全”对对话框中中选择““启用加加密”选选项，单单击【更更新】按按钮，弹弹出如图图3.14所示示的界面面。图3.14““启动动密码””对话框框第3步：：如果我我们选择择“密码码启动””选项，，则需输输入一个个密码，，然后单单击【确确定】按按钮，这这样做将将使WindowsXP在在启动时时需要多多输入一一次密码码，起到到了二次次加密的的作用。。当操作作系统启启动时，，在往常常我们输输入用户户名和密密码之前前系统会会出现窗窗口提示示“本台台计算机机需要密密码才能能启动，，请输入入启动密密码”，，这便是是用Syskey刚刚刚创建的的第一重重密码保保护。如果我们们选择““在软盘盘上保存存启动密密码”选选项，则则会生成成一个密密码软盘盘，如果果没有这这张软盘盘，将不不能进入入操作系系统。如如果在这这之前设设置了Syskey系系统启动动密码，，这里还还会需要要我们再再次输入入那个密密码，以以获得相相应的授授权。3.4文文件件系统安安全设置置实验1.实实验目的的使用EFS对文文件和文文件夹加加密。2.实实验原理理为了实现现更细致致的权限限管理，，建议把把服务器器的所有有分区都都格式化化为NTFS格格式。NTFS文件系系统是从从WindowsNT起开开始支持持的一种种文件分分配表的的格式，，它能提提供比FAT和和FAT32更多的的安全功功能，比比如设置置目录和和文件的的访问权权限。这这里举一一个例子子说明，，对操作作系统中中的任何何一个文文件或者者文件夹夹单击鼠鼠标右键键，选择择“属性性”选项项，从弹弹出的““xxx属性””对话框框中选择择“安全全”标签签，可出出现如图图3.15所示示的界面面。图3.15文件权限设置界面从图3.15可可见，我我们可以以对每个个用户进进行操作作，对每每个文件件的权限限做细致致的规定定。这个个功能只只有在NTFS分区里里才能提提供，在在FAT或FAT32格式式的分区区里是没没有“安安全”这这个标签签的。建建议对一一般用户户赋予读读取权限限，而只只给管理理员和SYSTEM以以完全控控制权限限，但这这样做有有可能使使某些正正常的脚脚本程序序不能执执行，或或者某些些需要写写的操作作不能完完成。这这时需要要对这些些文件所所在的文文件夹权权限进行行更改，，建议在在更改前前先找一一台机器器进行测测试，然然后再更更改。另外，运运行regedt32.exe时，，可使用用注册表表编辑器器，这样样可以对对任何一一个文件件夹，甚甚至是注注册表的的表项进进行同样样的权限限设置。。Windows2000以以上的操操作系统统(除了了WindowsXPHome之外)本身就就集成了了EFS(EncryptionFileSystem，，加密文文件系统统)加密密功能，，它可以以加密NTFS分区上上的文件件和文件件夹，防防止对敏敏感数据据进行未未经允许许的物理理访问(如偷取取笔记本本和硬盘盘等)。。加密之之后，就就等于把把文件或或文件夹夹全部锁锁进了““保险柜柜”。EFS采采用了56位的的数据加加密标准准，到目目前为止止还没有有人能破破解，所所以，采采用EFS加密密具有很很高的安安全性。需要说明明的是，，EFS只能对对存储在在磁盘上上的数据据进行加加密，是是一种安安全的本本地信息息加密服服务，而而且只有有NTFS分区区才支持持EFS的功能能，FAT分区区上的文文件和文文件夹是是不能被被EFS加密的的。EFS加加密操作作非常简简单，对对加密文文件的用用户也是是透明的的。文件件在加密密之后，，不必再再使用前前手动解解密，只只有加密密者才能能打开加加密文件件，其他他用户登登录系统统后，将将无法打打开加密密文件。。一旦有了了一个经经过加密密的目录录，以后后要对某某个文件件或文件件夹进行行EFS加密，，只需要要把它们们移到该该目录中中，就会会被自动动加密了了。另外外，标记记为“系系统”属属性的文文件，以以及位于于Windows系系统目录录中的文文件无法法被EFS加密密。3.实实验环境境基于WindowsXP或或Windows2003等的操操作系统统，文件件分区表表格式为为NTFS。4.实实验内容容使用EFS对文文件和和文件件夹进进行加加密的的操作作步骤骤如下下：第1步步：启启动““Windows资资源源管理理器””，找找到要要加密密的文文件或或文件件夹，，然后后单击击鼠标标右键键并从从弹出出的快快捷菜菜单中中选择择“属属性””命令令，打打开““FAQ属属性””对话话框，，如图图3.16所示示。第2步步：在在“常常规””选项项卡中中，单单击【【高级级】按按钮，，在弹弹出的的“高高级属属性””对话话框中中勾选选“加加密内内容以以便保保护数数据””复选选框，，单击击【确确定】】按钮钮退出出，如如图3.17所所示。。图3.16““属属性””对话话框图3.17““高高级属属性””对话话框第3步步：如如果加加密的的是文文件夹夹，此此时会会弹出出一个个对话话框，，如图图3.18所示示。我我们可可以根根据需需要，，选择择仅加加密此此文件件夹、、还是是将此此目录录下的的子文文件夹夹和文文件也也一起起加密密，选选择之之后，，单击击【确确定】】按钮钮，最最后再再单击击【应应用】】按钮钮完成成。在在默认认情况况下，，经过过EFS加加密的的文件件或文文件夹夹在资资源管管理器器中显显示的的颜色色会变变为绿绿色，，这表表示它它们已已经被被EFS加加密了了。图3.18““确确认属属性更更改””对话话框3.5关关闭闭默认认共享享1.实实验验目的的关闭NetBIOS服务务的文文件和和打印印共享享功能能；关关闭Windows2000/XP系统统的默默认共共享。。2.实实验验原理理为了方方便局局域网网用户户之间间的信信息传传输，，Windows提提供了了以下下两种种机制制。1)基基于于NetBIOS服服务的的文件件和打打印共共享机机制该机制制主要要通过过137、、138和和139号号端口口提供供服务务。通通常常通过过网络络共享享某个个文件件/文文件夹夹，或或者把把连接接到某某台计计算机机上的的打印印机设设置为为通过过网络络共享享，这这些都都是NetBIOS提供供的服服务。2)默默认认共享享机制制Windows操作作系统统在默默认安安装的的情况况下，，把所所有的的磁盘盘分区区都设设置为为默认认共享享。这这样的的好处处是系系统管管理员员可以以通过过远程程的方方式对对系统统进行行维护护。虽然共共享能能方便便资源源的使使用，，但是是提供供该服服务的的两种种机制制都存存在缺缺陷：：(1)NetBIOS服服务存存在多多种漏漏洞，，所以以，137、138和139端口口被公公认为为危险险端口口。(2)系系统为为默认认共享享提供供的唯唯一保保护措措施就就是设设置了了访问问权限限，即即对磁磁盘默默认共共享的的访问问一般般需要要管理理员的的权限限。由由于破破解管管理员员口令令的方方法层层出不不穷，，对默默认共共享提提供这这样的的安全全机制制是远远远不不够的的。鉴于这这两种种共享享机制制均存存在安安全缺缺陷，，从系系统安安全的的角度度考虑虑，建建议把把它们们关掉掉。3.实实验验环境境基于WindowsXP或或Windows2003等的的操作作系统统。4.实实验验内容容1)关关闭闭NetBIOS服服务使用完完文件件或打打印共共享功功能后后，要要随时时将NetBIOS服务务关闭闭，以以便堵堵住资资源共共享隐隐患。。关闭闭共享享功能能的具具体步步骤如如下：：第1步步：用用鼠标标右键键单击击“本本地连连接””图标标，在在打开开的快快捷菜菜单中中，单单击““属性性”命命令，，打开开“本本地连连接属属性””对话话框，，如图图3.19所示示，在在该界界面取取消““Microsoft网网络的的文件件和打打印机机共享享”选选项。。第2步步：用用鼠标标左键键选中中图3.19中中的““Internet协议议(TCP/IP)”，，单击击“属属性””命令令，打打开““Internet协议议(TCP/IP)属性性”对对话框框，选选择““高级级”选选项，，在打打开的的“高高级TCP/IP设设置””对话话框中中选择择“WINS””选项项，打打开的的界面面如图图3.20所示示，选选择““禁用用TCP/IP上的的NetBIOS””选项项，即即可关关闭NetBIOS服务务。图3.19““本本地连连接属属性””对话话框图3.20““高高级TCP/IP设设置””对话话框2)关关闭闭Windows2000/XP系系统的的默认认共享享可以采采用netshare命令令来删删除Windows2000/XP系统统的默默认共共享：：netsharec$/deletenetshared$/deletenetsharee$/deletenetsharef$/deletenetshareadmin$/deletenetshareipc$/delete但是，，机器器重启启后默默认共共享仍仍会自自动出出现，，要想想彻底底关掉掉默认认共享享，还还必须须对注注册表表做相相应的的配置置。具具体的的方法法是首首先寻寻找键键值““HKEY_LOCAL_MACHINE\System\CurrentControlSet\Service\lanmanserver\parameters”，，如果果是““Professional”版版，则则在其其下新新建一一数据据类型型为DWORD的键键值““autoShareWks”，，且使使autoShareWks＝0；如如果是是“Server””版，，则建建新一一数据据类型型为DWORD的键键值““autoShareserver””，且且使autoShareserver=0。3.6小小结结操作系系统的的安全全是信信息安安全的的基础础，如如果操操作系系统都都存在在着安安全隐隐患，，那么么其他他所谓谓的安安全措措施就就成了了“空空中楼楼阁””。本本章主主要介介绍了了Windows系系统一一些安安全巩巩固手手段，，如注注册表表的安安全配配置、、帐号号和口口令的的安全全设置置、文文件系系统的的加密密、关关闭默默认共共享等等。9、静静夜夜四四无无邻邻，，荒荒居居旧旧业业贫贫。。。。12月月-2212月月-22Wednesday,December28,202210、雨雨中中黄黄叶叶树树，，灯灯下下白白头头人人。。。。20:28:2120:28:2120:2812/28/20228:28:21PM11、以我我独沈沈久，，愧君君相见见频。。。12月月-2220:28:2120:28Dec-2228-Dec-2212、故人人江海海别，，几度度隔山山川。。。20:28:2220:28:2220:28Wednesday,December28,202213、乍见翻疑疑梦，相悲悲各问年。。。12月-2212月-2220:28:2220:28:22December28,202214、他他乡乡生生白白发发，，旧旧国国见见青青山山。。。。28十十二二月月20228:28:22下下午午20:28:2212月月-2215、比不了得就就不比，得不不到的就不要要。。。十二月228:28下下午12月-2220:28Decemb