第三章应用层协议及其安全实践

第三章

应用层安全实践——主机安全防护课程回顾WindowsXP系统的基本安全保障控制面板→安全中心控制面板→Windows防火墙课程回顾WindowsXP系统的基本安全保障安全中心→Internet选项（网络基本防护措施）课程回顾综合防护免费软件——金山清理专家主机安全防护主机安全防护主要涉及操作系统和安装的各种服务应用软件操作系统是网络系统的基础，操作系统的安全在网络安全中举足轻重现今的PC操作系统基本属于网络操作系统采用对操作系统进行增强与改进的技术来提高操作系统的安全性3.1操作系统安全增强

——以WindowsXP为例我的操作系统是哪一版本？C:\DocumentsandSettings\acer>winver查看《最终用户许可协议》eula.txt文件的最后一行，若显示：EULAID:XPSP2_RM.0_PRO_RTL_CN则为MicrosoftWindowsXPServicePack2(SP2)原版镜像3.1操作系统安全增强

——以WindowsXP为例话说ServicePack服务包，是微软修补系统安全漏洞的补丁集ServicePack2的创新特色缺省保护措施和简易安全设置：Windows防火墙、IE控制弹出式窗口、Windows安全中心、IE下载警报等等SP2领先于SP1，目前准备上市的XPSP3增加了新的Windows产品激活(WPA)模型、网络访问保护(NAP)模块和策略、新的核心模式加密模块、黑洞路由检测功能等3.1操作系统安全增强

——以WindowsXP为例打好补丁安全漏洞的产生（程序员蓄意、程序员水平/经验、安全技术的滞后、用户忽略）安全漏洞的分类（用户、数据、作用范围、触发条件、操作角度、时序）适时打好补丁（订阅邮件列表、Windows更新、第三方补丁管理软件等）确保局域网所有主机系统的补丁一致3.1操作系统安全增强

——以WindowsXP为例补丁工具WindowsVulnerabilityScanner免费绿色软件3.1操作系统安全增强

——以WindowsXP为例补丁工具MicrosoftBaselineSecurityAnalyzer2.1(forITProfessionals)微软基准安全分析器ShadowSecurityScanner俄罗斯的一套非常专业的安全漏洞扫描软件（包括漏洞、端口扫描、操作系统检测、账号扫描等）金山清理专家（漏洞修补）瑞星个人防火墙（漏洞扫描）N种杀毒软件或个人防火强3.1操操作作系系统统安安全全增增强强————以以WindowsXP为为例例最小小化化服服务务————服服务务无无罪罪，，关关闭闭有有理理用户户在在缺缺省省安安装装操操作作系系统统时时，，可可能能会会把把所所有有全全部部的的功功能能（（包包括括Web、、FTP等等））设设置置为为激激活活状状态态，，这这种种不不安安全全状状态态有有时时很很容容易易让让攻攻击击者者有有机机会会得得到到系系统统管管理理员员的的权权限限慎重重地地从从系系统统中中删删除除或或禁禁用用没没有有明明确确用用途途的的一一切切服服务务，，从从而而减减小小受受攻攻击击的的机机会会为保保留留下下来来的的服服务务加加上上适适当当的的安安全全增增强强措措施施3.1操操作作系系统统安安全全增增强强————以以WindowsXP为为例例最小小化化服服务务————服服务务无无罪罪，，关关闭闭有有理理手动动关关闭闭漏漏洞洞服服务务开始始→运行行→services.msc右击击我我的的电电脑脑→→管管理理→→计计算算机机管管理理→→服服务务和和应应用用程程序序→→服服务务关闭闭Alert服服务务（（MSN、、QQ非非法法推推送送恶恶意意垃垃圾圾信信息息））关闭闭Server服服务务（（信信息息泄泄露露的的通通道道））关闭闭ClipBook服服务务（（暴暴露露隐隐私私信信息息））关闭闭RemoteRegistry服服务务（（黑黑客客入入侵侵的的途途径径））关闭闭TaskScheduler服服务务（（非非法法攻攻击击的的载载体体））3.1操操作作系系统统安安全全增增强强————以以WindowsXP为为例例最小小化化服服务务————服服务务无无罪罪，，关关闭闭有有理理手动动关关闭闭漏漏洞洞服服务务封死死黑黑客客的的后后门门：：计计算算机机的的每每一一项项Internet协议议总总是是与与计计算算机机的的端端口口相相对对应应，，端端口口越越多多，，被被设设置置后后门门的的风风险险就就越越大大关闭闭文文件件和和打打印印共共享享功功能能删除除不不必必要要的的协协议议，，如如NetBIOS（（Windows网网络络的的））关闭闭Netware和和Windows网网络络客客户户端端（（家家庭庭单单机机上上网网））3.1操操作作系系统统安安全全增增强强————以以WindowsXP为为例例最小小化化服服务务————服服务务无无罪罪，，关关闭闭有有理理手动动关关闭闭漏漏洞洞服服务务部分分服服务务或或协协议议简简介介NetBEUI（（NetBIOS扩扩展展用用户户接接口口））NetBIOS是是IBM于于1985年年提提出出的的主主要要用用于于20到到200台台计计算算机机的的小小型型局局域域网网中中。。NetBEUI协协议议可可以以看看作作是是微微软软在在NetBIOS协协议议的的延延伸伸和和改改良良版版本本，，具具有有体体积积小小、、效效率率高高及及速速度度快快等等特特点点。。NetBEUI是是一一种种广广播播型型传传输输协协议议，，而而NetBIOS仅仅仅仅是是通通过过一一组组命命令令来来让让系系统统使使用用网网络络而而已已。。3.1操操作作系系统统安安全全增增强强————以以WindowsXP为为例例最小小化化服服务务————服服务务无无罪罪，，关关闭闭有有理理手动动关关闭闭漏漏洞洞服服务务部分分服服务务或或协协议议简简介介NetBEUI（（NetBIOS扩扩展展用用户户接接口口））在在Windows95/98和和WindowsNT中中被被用用作作默默认认协协议议安安装装。。该该协协议议主主要要用用于于本本地地局局域域网网中中，，一一般般不不能能用用于于与与其其他他网网络络的的计计算算机机进进行行沟沟通通，，由由于于不不支支持持路路由由功功能能，，这这是是其其不不适适合合于于跨跨网网段段的的大大型型网网络络的的重重要要原原因因。。3.1操操作作系系统统安安全全增增强强————以以WindowsXP为为例例最小小化化服服务务————服服务务无无罪罪，，关关闭闭有有理理手动动关关闭闭漏漏洞洞服服务务部分分服服务务或或协协议议简简介介NetBEUI（（NetBIOS扩扩展展用用户户接接口口））要要实实现现在在网网上上邻邻居居进进行行正正常常计计算算机机及及文文件件浏浏览览，，首首先先需需要要客客户户机机把把自自己己的的名名字字（（计计算算机机名名————专专有有NetBIOS名名字字））在在网网上上注注册册，，然然后后通通过过本本地地特特定定的的名名字字解解析析方方法法把把所所注注册册的的名名称称与与对对应应的的IP地地址址进进行行关关联联匹匹配配，，这这样样，，Windows系系统统才才可可以以通通过过浏浏览览服服务务在在网网上上邻邻居居进进行行访访问问。。3.1操操作作系系统统安安全全增增强强————以以WindowsXP为为例例最小小化化服服务务————服服务务无无罪罪，，关关闭闭有有理理手动动关关闭闭漏漏洞洞服服务务部分分服服务务或或协协议议简简介介NetBEUI（（NetBIOS扩扩展展用用户户接接口口））除除了了安安装装TCP/IP协协议议之之外外，，局局域域网网的的计计算算机机最最好好也也安安上上NetBEUI协协议议。。另另外外还还有有一一点点要要注注意意，，如如果果一一台台只只装装了了TCP/IP协协议议的的WINDOWS98机机器器要要想想加加入入到到WINNT域域，，也也必必须须安安装装NetBEUI协协议议。。3.1操操作系系统安安全增增强———以以WindowsXP为例例最小化化服务务———服务务无罪罪，关关闭有有理手动关关闭漏漏洞服服务部分服服务或或协议议简介介Microsoft网络络客户户端、、Microsoft网网络的的文件件和打打印共共享一一般需需要联联合设设置，，不能能单独独启用用或禁禁用某某一个个。服服务包包括：：ComputerBrowser、WorkStation、Server、、TCP/IPNetBIOSHelper四四大服服务。。局域域网中中网上上邻居居配置置的必必选项项，Microsoft网络络客户户端卸卸载后后无法法访问问局域域网内内的共共享文文件。。3.1操操作系系统安安全增增强———以以WindowsXP为例例最小化化服务务———服务务无罪罪，关关闭有有理手动关关闭漏漏洞服服务部分服服务或或协议议简介介QoS数据据包计计划程程序QoS数数据包包计划划程序序组件件可以以在数数据传传输较较慢或或者非非常慢慢的情情况下下加快快Internet连接接共享享速度度。当当两个个网络络通过过慢速速链路路（如如拨号号线路路）连连接时时可能能出现现这种种性能能降低低，从从而增增加流流经该该慢速速链路路上的的流量量的延延迟。。通讯讯路径径中终终端设设备之之间在在速度度上的的不匹匹配以以及慢慢速链链路本本身通通常成成为网网络瓶瓶颈。。在正正常情情况下下，如如果网网络只只用于于特定定的无无时间间限制制的应应用系系统，，并不不需要要QoS，，比如如Web应应用，，或E-mail设设置等等。但但是对对关键键应用用和多多媒体体应用用就十十分必必要。。3.1操操作系系统安安全增增强———以以WindowsXP为例例最小化化服务务———服务务无罪罪，关关闭有有理手动关关闭漏漏洞服服务禁止建建立空空连接接在默认认情况况下，，任何何用户户都可可以通通过空空连接接来连连接服服务器器，枚枚举账账号并并猜测测密码码（如如admin、、root等））控制面面板→管理理工具具→本本地安安全策策略→→安全全设置置→本本地策策略→→安全全选项项→→网络络访问问：不不允许许SAM账账户的的匿名名枚举举3.1操操作系系统安安全增增强———以以WindowsXP为例例最小化化服务务———服务务无罪罪，关关闭有有理手动关关闭漏漏洞服服务关闭远远程管管理功功能：：在不不需要要远程程管理理计算算机时时，将将有关关远程程登录录的服服务关关掉Windows防火墙墙→高高级选选项卡卡→在在网络络连接接设置置列表表框中中选择择要设设置的的连接接选项项→设设置→→高级级设置置3.1操操作系系统安安全增增强———以以WindowsXP为例例最小化化服务务———服务务无罪罪，关关闭有有理手动关关闭漏漏洞服服务做好IE的的安全全设置置，减减小网网页中中利用用ActiveX控件件或JavaApplets运行行的恶恶意代代码IE浏浏览器器→工工具→→Internet选项项→安安全设设置有条件件的禁禁用与与ActiveX控控件和和Java相关关的选选项隐藏自自己的的IP地址址许多黑黑客软软件都都需要要事先先了解解对方方的IP地地址方方能发发起攻攻击，，在局局域网网用户户上网网后，，可通通过代代理服服务器器隐藏藏自己己的IP地地址；；广域域网用用户要要隐藏藏IP地址址，必必须找找到合合法的的公共共代理理服务务器，，而且且应兼兼顾代代理上上网的的数据据传输输速度度。IE浏浏览器器→工工具→→Internet选项项→连连接选选项卡卡3.1操操作系系统安安全增增强———以以WindowsXP为例例增强用用户认认证和和访问问控制制实施最最小权权限原原则：：把用用户能能够执执行的的操作作控制制在他他们完完成本本职工工作所所必须须的范范围内内，够够用就就行。。适合合局域域网用用户。。正确分分配文文件和和子目目录的的访问问权限限攻击者者攻陷陷了某某一服服务，，但该该项服服务所所拥有有的权权限较较低，，攻击击者也也打不不开、、甚至至找不不到口口令文文件明确文文件和和子目目录访访问权权限可可以保保护系系统免免受合合法用用户误误操作作的影影响3.1操操作系系统安安全增增强———以以WindowsXP为例例增强用用户认认证———基基础安安全设设置第一道道防线线：设设置BIOS开开机密密码防止别别人擅擅自更更改CMOS设设置防止非非法用用户进进入计计算机机系统统开机时时按下下Del键键→CMOS设置，，找到到以下下两项项：SetSupervisorPassword：设设置管管理员员密码码，可可以进进入并并修改改CMOS设置置，可可修改改UserPasswordSetUserPassword：设设置用用户密密码，，输入入该密密码可可以正正常开开机但但不能能修改改CMOS设置置密码长长度1~8位的的任意意字符符（分分大小小写））设置完完毕后后，光光标移移到Save&ExitSetup上保保存退退出，，或者者按F10键选选择Yes3.1操操作系系统安安全增增强———以以WindowsXP为例例增强用用户认认证———基基础安安全设设置第一道道防线线：设设置BIOS开开机密密码3.1操操作系系统安安全增增强———以以WindowsXP为例例增强用用户认认证———基基础安安全设设置第一道道防线线：设设置BIOS开开机密密码开机时时按Del键进进入CMOS设设置画画面时时将要要求输输入密密码，，但若若直接接进入入操作作系统统不要要求输输入密密码。。适合合公共共场合合的计计算机机。单独设设置SUPERVISORPASSWORD或USERPASSWORD其中中的任任何一一项，，再打打开BIOSFEATURESSETUP将其其中的的SecurityOption设设置为为Setup，，保存存退出出。3.1操操作系系统安安全增增强———以以WindowsXP为例例增强用用户认认证———基基础安安全设设置第一道道防线线：设设置BIOS开开机密密码不但在在进入入CMOS设置置时要要求输输入密密码，，而且且进入入操作作系统统时也也要求求输入入密码码。适适合不不愿让让除我我以外外的任任何人人使用用的计计算机机单独设设置SUPERVISORPASSWORD或USERPASSWORD其中中的任任何一一项，，再打打开BIOSFEATURESSETUP将其其中的的SecurityOption设设置为为System，保保存退退出。。3.1操操作系系统安安全增增强———以以WindowsXP为例例增强用用户认认证———基基础安安全设设置第一道道防线线：设设置BIOS开开机密密码进入BIOS设设置和和进入入操作作系统统都要要求输输入密密码，，而且且输入入其中中任何何一个个密码码都能能进入入BIOS设置置和操操作系系统。。但管管理员员密码码和用用户密密码有有所区区别：：以管管理员员密码码进入入BIOS程序序时可可以进进行任任何设设置，，包括括修改改用户户密码码。但但以用用户密密码进进入时时，除除了修修改或或去除除用户户密码码外，，不能能进行行其它它任何何设置置，更更无法法修改改管理理员密密码。。适合合少数数指定定人员员使用用计算算机，，自己己保留留管理理员密密码，，用户户密码码告诉诉其他他指定定的人人。分别设设置SUPERVISORPASSWORD和USERPASSWORD，并并且采采用两两个不不同的的密码码。再再打开开BIOSFEATURESSETUP将将其中中的SecurityOption设置置为System，，退出出保存存。程序破破解法法3.1操操作系系统安安全增增强———以以WindowsXP为例例增强用用户认认证———基基础安安全设设置第一道道防线线：设设置BIOS开开机密密码撤销已已经设设置的的密码码，可可进入入CMOS中把把光标标移到到相应应的密密码设设置菜菜单上上，不不输入入密码码，连连续两两次回回车，，出现现PasswordDisabled！！提示示就可可以了了。忘记开开机密密码怎怎么办办？放电法法：跳跳线放放电法法、COMS电电池放放电法法万能密密码：：厂家家设有有万能能密码码（******））3.1操操作系系统安安全增增强———以以WindowsXP为例例增强用用户认认证———基基础安安全设设置第一道道防线线：设设置BIOS开开机密密码开机密密码忘忘记怎怎么办办？程序破破解法法：适适用于于可进进入操操作系系统，，但无无法进进入BIOS设设置的的情况况。进进入命命令提提示符符界面面→debug：：O7010O71ffq有时以以上程程序无无法破破解时时，可可采用用另一一个与与之类类似的的程序序来破破解：：O7120O7021q3.1操操作系系统安安全增增强———以以WindowsXP为例例增强用用户认认证———基基础安安全设设置第二道道防线线：设设置系系统启启动密密码cmd→syskey→更新新→密码码启动3.1操操作系系统安全全增强———以WindowsXP为例增强用户户认证———基础础安全设设置第三道防防线：设设置Windows系系统登录录密码计算机管管理员账账户（所所有设置置）受限账户户（某些些设置））来宾账户户（Guest，权限限最低））控制面板板→用户账户户对密码的的管理：：控制面面板→管管理工具具→本地地安全策策略→安安全设置置→账户户策略→→密码策策略3.1操操作系系统安全全增强———以WindowsXP为例增强用户户认证———基础础安全设设置第四道防防线之一一：设置置屏幕保保护密码码防止别人人在用户户离开计计算机时时查看计计算机中中的文件件右击桌面面空白处处→属性→→显示属属性→屏屏幕保护护程序选选项卡设置等待待时间：：1分钟钟在WindowsXP或2000中，屏保保密码就就是开机机密码，，因此，，屏保密密码的设设置必须须基于开开机密码码设置的的基础上上3.1操操作系系统安全全增强———以WindowsXP为例增强用户户认证———基础础安全设设置第四道防防线之二二：快速速锁定系系统Ctrl+Alt+Del→锁定计计算机快捷方式式法（想想一想如如何创建建快捷方方式？））：在创创建的快快捷方式式中输入入rundll32.exeuser32.dll,LockWorkStation即即可用键盘上上的Win键+L键3.1操操作系系统安全全增强———以WindowsXP为例增强访问问控制控制启动动程序：：某些安安装了的的软件，，在每次次启动计计算机时时会自动动运行，，导致启启动速度度变慢，，若是恶恶意程序序的话，，则会严严重威胁胁计算机机安全。。应把自启启动程序序纳入系系统控制制的范畴畴系统配置置实用程程序（msconfig）→启动动选项卡卡从注册表表中删除除恶意自自启动项项：regedit→HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Runonce或RunServices3.1操操作系系统安全全增强———以WindowsXP为例增强访问问控制延时启动动软件StartupDelay(v2.3b130)免费费3.1操操作系系统安全全增强———以WindowsXP为例增强访问问控制*注册表表安全策策略概述述（可自自学）注册表：：Windows操作作系统的的核心数数据库，，存放关关于计算算机硬件件配置的的全部信信息、系系统和应应用软件件的初始始化信息息、应用用软件和和文档文文件的关关联关系系、硬件件设备的的说明以以及各种种状态的的信息和和数据、、Windows操作作时不断断引用的的信息。。个性化系系统设置置提高系统统性能系统安全全性自动运行行程序（（双刃剑剑）3.1操操作系系统安全全增强———以WindowsXP为例增强访问问控制*注册表表安全策策略概述述（可自自学）访问桌面面的安全全限制：：阻止交交互用户户窃听其其他用户户的会话话regedit→HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows→新建一一个DWORD值叫做做SecureDesktop→DWORD=1禁止用户运行行某些程序regedit→HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer→新建建一个DWORD值叫做做DisallowRun→DWORD=1（（不允许运行行程序）或=0（允许运运行程序）3.1操作作系统安全增增强————以WindowsXP为例增强访问控制制*注册表安全全策略概述（（可自学）禁止修改控制制面板，防止止误操作regedit→HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer→NoSetFolders→DWORD=1（禁禁用控制面板板）或=0（（允许使用控控制面板）禁止使用（导导入）Reg文件regedit→HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.reg→→右击默默认→修改改键值为13.1操作作系统安全增增强————以WindowsXP为例增强访问控制制*注册表安全全策略概述（（可自学）禁止非法用户户修改用户名名和密码（1、2两步骤骤依次完成））regedit→HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System→新建一个个DWORD值叫做NoProfilePage→DWORD=1（禁用用户户设置）或=0（允许用用户设置）regedit→HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System→新建一个个DWORD值叫做NoSecCPL→DWORD=1（禁用用户户设置）或=0（允许用用户设置）3.1操作作系统安全增增强————以WindowsXP为例增强访问控制制*注册表安全全策略概述（（可自学）屏蔽开始菜单单中的运行、、查找或关闭闭计算机等功功能regedit→HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer→NoRun→DWORD=1（屏蔽运运行）或=0（允许运行行）从网络邻居中中屏蔽工作组组regedit→HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Network→新建一一个DWORD值叫做NoWorkgroupContents→DWORD=1（屏蔽工工作组的显示示）或=0（（允许显示整整个工作组））3.1操作作系统安全增增强————以WindowsXP为例增强访问控制制*注册表安全全策略概述（（可自学）保护系统文件件夹，防止误误删除其内容容regedit→HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer→UseSystemForSystemFolders→→DWORD=1（采用用系统默认的的保护方法））隐藏共享文档档（我的电脑脑中可以看到到！）regedit→HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Network→NoSharedDocuments→→DWORD=1（不显显示共享文档档）或=0（（默认设置））3.1操作作系统安全增增强————以WindowsXP为例增强访问控制制*注册表安全全策略概述（（可自学）锁定我的文档档regedit→HKEY_CLASSES_ROOT\CLSID\{450D8FBA-AD25-11D0-98A8-0800361B1103}\InProcServer32→SHELL32.dll（不锁定））或SHELL32.dll-（锁锁定）禁止显示前一一个登录者的的用户名regedit→HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon→DefaultUserName→修改改键值1（不不显示前一次次登录用户名名）或0（显显示上一次登登录用户名））3.1操作作系统安全增增强————以WindowsXP为例增强访问控制制*注册表安全全策略概述（（可自学）禁止普通用户户查看事件记记录事件记录：记记录了计算机机所有的程序序、安全和系系统事件，有有可能涉及安安全方面的敏敏感信息。一一般在服务器器上使用这一一功能。regedit→HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventlogApplicationSecuritySystem分别增加RestrictGuestAccess的DWORD=1（禁止普通通用户查看事事件记录）或或=0（允许许普通用户查查看事件记录录）3.1操作作系统安全增增强————以WindowsXP为例增强访问控制制组策略概述组策略：鉴于于注册表的繁繁琐管理，引引入组策略管管理模式，把把各种重要的的系统配置信信息汇集成模模块，从而达达到方便管理理计算机的目目的。其中的的两种配置模模式：计算机配置：：整个计算机机系统配置，，对所有用户户起作用，相相当于注册表表中的HKEY_LOCAL_MACHINE。用户配置：只只对当前用户户起作用，相相当于注册表表中的HKEY_LOCAL_USER。用户配置优先先于计算机配配置（有例外外）运行→gpedit.msc3.1操作作系统安全增增强————以WindowsXP为例增强访问控制制组策略概述桌面安全设置置：本地计算算机策略→用用户配置→管管理模板→桌桌面→（找到到相应选项））右击属性性→设置选项项卡→已启用用选项：隐藏桌桌面上的网上上邻居/InternetExplorer图标选项：禁止用用户更改“我我的文档”路路径选项：删除““清理桌面向向导”（60天启动一次次）选项：禁用用活动桌面面（ActiveDesktop））既“启用ActiveDesktop”又““禁用ActiveDesktop”，则按按照响应后后者处理选项：退出出时不保存存设置（用用户的桌面面设置）3.1操操作系统安安全增强———以WindowsXP为例增强访问控控制组策略概述述“任务栏””和“开始始”安全设设置：本地地计算机策策略→用户户配置→管管理模板→→任务栏和和开始菜单单→（找到到相应选项项）右击属属性→设设置选项卡卡→已启用用选项：从““开始”菜菜单中删除除“文档””菜单（菜菜单“减肥肥”）选项：阻止止更改“任任务栏”和和“开始””菜单设置置；阻止访访问任务栏栏的上下菜菜单选项：不要要保留最近近打开文档档的记录；；退出时清清除最近打打开的文档档的记录（（保护个人人文档隐私私）C:\DocumentsandSettings\username\Recent选项：删除除“开始””菜单上的的“注销（（用户名））”；删除除和阻止访访问“关机机”命令不影响Windows任务管管理器对话话框中的““注销”3.1操操作系统安安全增强———以WindowsXP为例增强访问控控制组策略概述述IE安全设设置：本地地计算机策策略→用户户配置→管管理模板→→WindowsComponents→InternetExplorer→浏览器器菜单→（（找到相应应选项）右右击属性性→设置选选项卡→已已启用“文件”菜菜单:禁禁用“另存存为...”菜单项项；“文件件”菜单:禁用另另存为“网网页，全部部”格式；；“查看””菜单:禁禁用“源源文件”菜菜单项；禁禁用上下文文菜单（限限制IE浏浏览器的保保存功能））3.1操操作系统安安全增强———以WindowsXP为例增强访问控控制组策略概述述IE安全设设置：本地地计算机策策略→用户户配置→管管理模板→→WindowsComponents→InternetExplorer→Internet控制面面板→（找找到相应选选项）右击击属性→→设置选项项卡→已启启用禁用常规页页；禁用安安全页等（（禁用IE控制面板板设置）3.1操操作系统安安全增强———以WindowsXP为例增强访问控控制组策略概述述IE安全设设置：本地地计算机策策略→用户户配置→管管理模板→→WindowsComponents→InternetExplorer→工具栏栏→配置工工具栏按钮钮→已启用用→选中相相应选项选中的复选选框表示要要显示的按按钮，没有有选中的按按钮即会隐隐藏起来若启用了Internet控控制面板中中的“禁止止常规页””，则无需需启用“配配置工具栏栏按钮”策策略，因为为前者已删删除了界面面上的“常常规”选项项卡3.1操操作系统安安全增强———以WindowsXP为例增强访问控控制组策略概述述IE安全设设置：本地地计算机策策略→用户户配置→管管理模板→→Windows设设置→InternetExplorer维维护→（找找到相应选选项）右击击属性→→设置选项项卡→已启启用浏览器用户户界面→浏浏览器工具具栏自定义义3.1操操作系统安安全增强———以WindowsXP为例增强访问控控制组策略概述述隐藏“我的的电脑”中中指定的驱驱动器：本本地计算机机策略→用用户配置→→管理模板板→Windows组件→Windows资源源管理器→→隐藏“我我的电脑””中的这些些指定的驱驱动器→已已启用→选选中相应选选项（采用用其他方式式访问驱动动器是不受受此项制约约的）防止从“我我的电脑””访问驱驱动器：本本地计算机机策略→用用户配置→→管理模板板→Windows组件→Windows资源源管理器→→防止从““我的电脑脑”访问驱驱动器（被被限制访问问的驱动器器图标仍能能显示在““我的电脑脑”中，，但双击后后弹出消息息解释框，，此外，采采用其他方方式访问驱驱动器是不不受此项制制约的）3.1操操作作系系统统安安全全增增强强————以以WindowsXP为为例例增强强访访问问控控制制组策策略略概概述述禁止止使使用用命命令令提提示示符符（（cmd））：：本本地地计计算算机机策策略略→→用用户户配配置置→→管管理理模模板板→→Windows组组件件→→系系统统→→阻阻止止访访问问命命令令提提示示符符→→设设置置选选项项卡卡→→已已启启用用（（同同时时激激活活““也也停停用用命命令令提提示示符符脚脚本本处处理理””））禁止止更更改改显显示示属属性性：：本本地地计计算算机机策策略略→→用用户户配配置置→→管管理理模模板板→→控控制制面面板板→→显显示示→→（（找找到到相相应应选选项项））右右击击属属性性→→设设置置选选项项卡卡→→已已启启用用3.1操操作作系系统统安安全全增增强强————以以WindowsXP为为例例增强强访访问问控控制制组策策略略概概述述禁止止使使用用注注册册表表编编辑辑器器：：本本地地计计算算机机策策略略→→用用户户配配置置→→系系统统→→阻阻止止访访问问注注册册表表编编辑辑工工具具→→设设置置选选项项卡卡→→已已启启用用禁止止访访问问““控控制制面面板板””（（control.exe））：：本本地地计计算算机机策策略略→→用用户户配配置置→→管管理理模模板板→→控控制制面面板板→→禁禁止止访访问问控控制制面面板板→→设设置置选选项项卡卡→→已已启启用用（（彻彻底底从从““开开始始””和和““Windows资资源源管管理理器器””中中删删除除““控控制制面面板板””））3.1操操作作系系统统安安全全增增强强————以以WindowsXP为为例例增强强访访问问控控制制组策策略略概概述述网络络与与网网络络安安全全管管理理：：本本地地计计算算机机策策略略→→用用户户配配置置→→管管理理模模板板→→网网络络禁止止建建立立新新的的拨拨号号连连接接：：网网络络连连接接→→禁禁止止访访问问““新新建建连连接接向向导导””→→设设置置选选项项卡卡→→已已启启用用（（IE的的连连接接可可绕绕过过该该设设置置））启用用““事事件件日日志志记记录录级级别别””：：记记录录脱脱机机文文件件存存储储时时损损坏坏的的事事件件。。脱脱机机文文件件→→事事件件日日志志记记录录级级别别→→已已启启用用3.1操操作作系系统统安安全全增增强强————以以WindowsXP为为例例增强强访访问问控控制制组策策略略概概述述网络络与与网网络络安安全全管管理理：：本本地地计计算算机机策策略略→→用用户户配配置置→→管管理理模模板板→→网网络络禁用用TCP/IP高高级级设设置置（（通通过过““网网络络连连接接””文文件件夹夹中中右右击击连连接接图图标标→→属属性性→→TCP/IP→→高高级级））：：网网络络连连接接→→禁禁用用TCP/IP高高级级设设置置→→设设置置选选项项卡卡→→已已启启用用禁止止在在DNS域域网网络络上上使使用用Internet连连接接防防火火墙墙：：本地地计计算算机机策策略略→→计计算算机机配配置置→→网网络络→→网网络络连连接接→→（（找找到到相相应应选选项项））右右击击属属性性→→设设置置选选项项卡卡已启启用用：：用用户户（（包包括括管管理理员员））无无法法启启用用或或配配置置防防火火墙墙禁用用或或不不配配置置：：用用户户（（包包括括管管理理员员））可可启启用用或或配配置置防防火火墙墙（（首首选选项项））3.1操操作作系系统统安安全全增增强强————以以WindowsXP为为例例增强强访访问问控控制制组策策略略概概述述网络络与与网网络络安安全全管管理理：：本本地地计计算算机机策策略略→→用用户户配配置置→→管管理理模模板板→→网网络络防止止用用户户更更改改LAN中中的的连连接接属属性性：：网网络络连连接接→→禁禁止止访访问问LAN连连接接的的属属性性→→设设置置选选项项卡卡→→已已启启用用或或其其它它选选项项删除所所有用用户远远程访访问连连接：：网络络连接接→删删除所所有用用户远远程访访问连连接→→设置置选项项卡→→已启启用或或其它它选项项3.1操操作系系统安安全增增强———以以WindowsXP为例例增强访访问控控制XP操操作系系统中中文件件和文文件夹夹加密密及其其访问问控制制登录到到有密密码保保护的的XP系统统界面面→右击击欲加加密的的文件件或文文件夹夹→属属性→→高级级→加加密内内容以以便保保存数数据3.1操操作系系统安安全增增强———以以WindowsXP为例例增强访访问控控制XP操操作系系统中中文件件和文文件夹夹加密密及其其访问问控制制可使用用快捷捷方式式，迅迅速加加密文文件或或文件件夹regedit→HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced→新建建DWORD=1，，该值值叫做做EncryptionContextMenu右击欲欲加密密的文文件或或文件件夹便便可在在弹出出的菜菜单中中，找找到加加密/解密密快捷捷命令令3.1操操作系系统安安全增增强———以以WindowsXP为例例增强访访问控控制XP操操作系系统中中文件件和文文件夹夹加密密及其其访问问控制制这是Windows2000/XP特有有的一一个实实用功功能，，称为为EFS（（EncryptingFileSystem，加加密文文件系系统））EFS对登登录用用户是是透明明的，，打开开加密密过的的文件件时无无需输输入密密码，，用户户身份份的认认证在在进入入Windows系系统时时已经经得到到验证证EFS加密密的基基础是是SID（（SecurityIdentifier，，安全全标识识符））：每每个人人的SID都是是不相相同的的，并并且有有唯一一性。。在第第一次次创建建该帐帐户时时，系系统将将给网网络上上的每每一个个帐户户发布布一个个唯一一的SID3.1操操作系系统安安全增增强———以以WindowsXP为例例增强访访问控控制XP操操作系系统中中文件件和文文件夹夹加密密及其其访问问控制制SID简介介如何获获得自自己系系统上上各账账户的的SID：：cmd→HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileListS-1-5-21-2025429265-1801674531-725345543-1003SID类似似于人人类的的指纹纹，因因此即即使新新系统统的用用户名名和密密码与与原来来系统统的完完全一一致，，新系系统该该用户户的SID与老老系统统同样样一个个用户户的SID也是是不相相同的的因此采采用系系统整整体克克隆的的方法法（Ghost）试试图恢恢复““原来来的””SID，，也不不能突突破原原来的的加密密防线线3.1操操作系系统安安全增增强———以以WindowsXP为例例增强访访问控控制XP操操作系系统中中文件件和文文件夹夹加密密及其其访问问控制制在重装装操作作系统统或登登录账账户出出问题题时，，是否否意味味着以以前加加密的的文件件或文文件夹夹会面面临永永远不不能打打开的的危险险？解决办办法：：第一一次使使用EFS加密密文件件或文文件夹夹后，，应在在第一一时间间备份份密钥钥文件件，以以便不不时之之需。。运行→打开开证书书管理理器（（certmgr.msc）→当前前用户户→个个人→→证书书→选选择预预期目目的为为“加加密文文件系系统””的那那项证证书（（即登登录用用户证证书））→右右击选选择所所有任任务→→导出出→运运行导导出向向导（（选择择导出出私钥钥）3.1操操作系系统安安全增增强———以以WindowsXP为例例增强访访问控控制XP操操作系系统中中文件件和文文件夹夹加密密及其其访问问控制制解决办办法：：第一一次使使用EFS加密密文件件或文文件夹夹后，，应在在第一一时间间备份份密钥钥文件件，以以便不不时之之需。。3.1操操作系系统安安全增增强———以以WindowsXP为例例增强访访问控控制XP操操作系系统中中文件件和文文件夹夹加密密及其其访问问控制制被EFS加加密过过的数数据是是不是是就绝绝对安安全？？没有访访问权权限的的用户户虽然然无法法打开开加密密文件件，但但仍然然可以以删除除该文文件应该赋赋予文文件或或文件件夹访访问权权限：：右击击已经经加密密的文文件→属性性→安安全3.1操操作系系统安安全增增强———以以WindowsXP为例例增强访访问控控制XP操操作系系统中中文件件和文文件夹夹加密密及其其访问问控制制什么是是组（（Group））？3.1操操作系系统安安全增增强———以以WindowsXP为例例增强访访问控控制XP操操作系系统中中文件件和文文件夹夹加密密及其其访问问控制制什么是是组（（Group））？3.1操操作系系统安安全增增强———以以WindowsXP为例例增强访访问控控制XP操操作系系统中中文件件和文文件夹夹加密密及其其访问问控制制如何创创建组组（类类似于于创建建用户户）？？运行→→mmc→→右击击文件件→添添加/删除除管理理单元元→添添加本本地用用户和和组→→展开开控制制台根根节点点，在在组中中右击击鼠标标→新新建组组→添添加成成员3.1操操作系统安安全增强———以WindowsXP为例增强访问控控制XP操作系系统中文件件和文件夹夹加密及其其访问控制制组或用户名名称的增删删选中要删除除的组或用用户的名称称，单击删删除添加新的组组或用户3.1操操作系统安安全增强———以WindowsXP为例增强访问控控制XP操作系系统中文件件和文件夹夹加密及其其访问控制制组或用户的的权限（允允许和拒绝绝）完全控制（（所有权限限）修改（权限限包括3~6）读取和运行行（权限包包括4、5）列出文件夹夹目录（本本身）读取（本身身）写入（本身身）特别的权限限（由用户户指定。单单击高级→→选择权限限用户→单单击编辑））3.1操操作系统安安全增强———以WindowsXP为例增强访问控控制XP操作系系统中文件件和文件夹夹加密及其其访问控制制关于用XPEFS加密文件件或文件夹夹的注意事事项EFS加密无需输输入密码（（在登录时时已经输入入了用户账账户及其密密码）EFS基于NTFS分区格式，，传统的FAT和FAT32没有提供该加密密系统如果重装系系统或加密密的文件账账号不幸被被删除（想想一想何时时会出现这这种情况？？），需要要通过恢复代理（（RecoveryAgent）解解密原账号号文件公司财务部部的一个职职工加密了了财务数据据的报表，，某天这位位职工辞职职了，安全全起见你直直接删除了了这位职工工的账户。。直到有一一天需要用用到这位职职工创建的的财务报表表时才发现现这些报表表是被加密密的，而用用户账户已已经删除，，这些文件件无法打开开了。不过过恢复代理理的存在就就解决了这这些问题。。因为被EFS加密密过的文件件，除了加加密者本人人之外还有有恢复代理理可以打开开。对于Windows2000来说，，在单机和和工作组环环境下，默默认的恢复复代理是Administrator；WindowsXP在单机机和工作组组环境下没没有默认的的恢复代理理。而在域域环境中就就完全不同同了，所有有加入域的的Windows2000/XP计计算机，默默认的恢复复代理全部部是域管理理员。3.1操操作系统安安全增强———以WindowsXP为例增强访问控控制XP操作系系统中文件件和文件夹夹加密及其其访问控制制如何获得恢恢复代理？？生成代理证证书cmd→cipher/r:fileurl\filename（文件件路径和文文件名，文文件名无需需后缀）C:\DocumentsandSettings\acer>cipher/r:c:\recovery请键入密码码来保护.PFX文件:请重新键入入密码来进进行确认:.CER文文件已成成功创建。。.PFX文文件已成成功创建。。分别生成filename.CER和和filename.PFX两个文件件3.1操操作系统安安全增强———以WindowsXP为例增强访问控控制XP操作系系统中文件件和文件夹夹加密及其其访问控制制如何获得恢恢复代理？？设置恢复代代理运行→gpedit.msc→本地“计计算机策略略”计算机配置置→Windows设置置→安全设置→公钥策略→正在加密文文件系统，，在右侧窗窗口的空白白处点击鼠鼠标右键，，并选择““添加数据据恢复代理理”，然后后会出现““添加故障障恢复代理理向导”按按照这个向向导打开filename.cer。。3.1操操作系统安安全增强———以WindowsXP为例增强访问控控制XP操作系系统中文件件和文件夹夹加密及其其访问控制制如何获得恢恢复代理？？设置恢复代代理双击filename.pfx文件，，启动证书书导入向导导，根据向向导操作即即可成功设置恢恢复代理后后，在证书书-当前用用户-个人人中，将显显市某一证证书的预期期目的是““文件故障障恢复”特别注意：：恢复代理理的设置应应该在文件件加密操作作之前完成成，因为先先于恢复代代理之前的的EFS加加密文件是是不能被恢恢复代理恢恢复的，即即恢复代理理只能对在在其之后加加密的文件件发挥作用用3.1操操作系统安安全增强———以WindowsXP为例增强访问控控制XP操作系系统中文件件和文件夹夹加密及其其访问控制制如何恢复文文件或文件件夹？在以后需要要的时候，，只需使用用被指定为为恢复代理理的账户登登录，就可可以解密系系统内所有有在指定恢恢复代理后后被加密的的文件（具体解密过过程请看演演示）关于NTFS和FATFAT是为为小磁盘及及简单的目目录结构而而设计的文文件系统，，因此其文文件系统组组织方法也也通过简单单的文件分分配表（