《网络操作系统安全》

计算机网络管理与平安技术主讲人匡芳君2024/3/171编辑ppt课题内容：操作系统平安〔一〕教学目的：掌握WIN2003系统效劳的配置方法 掌握WIN2003常用进程的作用 掌握WIN2003注册表的结构、值类型及应用教学方法：讲授法、任务驱动法、演示法重点：WIN2003系统效劳的配置方法难点：WIN2003常用进程的作用课堂类型：讲授课教具：投影仪、多媒体设备授课班级计应1001班第18次课授课时间5月25日星期五授课地点2024/3/172编辑ppt导入新课1、防火墙的体系结构2、操作系统常用进程与效劳2024/3/173编辑pptWindows2003

Windows2003原名是WindowsNT5.0，随着多种测试版本的发行，人们开始从各个侧面加深对它的认识。全新的界面、高度集成的功能、稳固的平安性、便捷的操作，都为计算机专业人员、普通用户带来莫大的惊喜Windows2003在界面、风格与功能上都具有统一性，是一种真正面向对象的操作系统，用户在操作本机的资源和远程资源时不会感到有什么不同2024/3/174编辑ppt主要内容操作系统平安根底Windows2003平安结构Windows2003文件系统平安Windows2003账号平安GPO的编辑活动目录平安性考察Windows2003缺省值的平安性评估Windows2003主机平安2024/3/175编辑ppt8.1操作系统平安是系统平安的根底各种应用软件均建立在操作系统提供的系统软件平台之上，上层的应用软件要想获得运行的高可靠性和信息的完整性、保密性，必须依赖于操作系统提供的系统软件根底。2024/3/176编辑ppt操作系统平安级别级别系统的安全可信性D最低安全性C1自主存取控制C2较完善的自主存取控制（DAC）、审计B1强制存取控制（MAC）B2良好的结构化设计、形式化安全模型B3全面的访问控制、可信恢复A1形式化认证2024/3/177编辑ppt常见操作系统平安级别操作系统安全级别SCOOpenServerC2OSF/1B1WindowsNT/2003C2SolarisC2DOSDUnixWare2.1/ESB22024/3/178编辑ppt常见威胁类型(一)

威胁类型示例自然和物理的水灾、火灾、风暴、地震、停电无意的不知情的员工、不知情的顾客故意的攻击者、恐怖分子、工业间谍、黑客、恶意代码2024/3/179编辑ppt常见威胁类型〔二〕安全漏洞类型示例物理的门窗未锁自然的灭火系统失灵硬件和软件防病毒软件过期媒介电干扰通信未加密协议人为不可靠的技术支持2024/3/1710编辑ppt8.2Windows2003平安结构平安六要素2024/3/1711编辑ppt8.2.2Windows2003平安组件〔一〕灵活的访问控制Windows2003支持C2级标准要求的灵活访问控制对象重用Windows2003很明确地阻止所有的应用程序不可以访问被另—应用程序使用所占用资源内的信息〔比方内存或磁盘〕2024/3/1712编辑pptWindows2003平安组件〔一〕强制登录

Windows2003用户在能访问任何资源前必须通过登录来验证他们的身份数据访问浏览打印效劳2024/3/1713编辑pptWindows2003平安组件〔二〕审计因为Windows2003采用单独地机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动控制对象的访问Windows2003不允许直接访问系统里的资源，这种不许直接访问是允许访问控制的关键2024/3/1714编辑ppt8.2.4平安的组成局部〔一〕平安标识符平安标识符〔SID〕是统计上地唯一的数组分配给所有的用户、组、和计算机。每次当一个新用户或组被建立的时候，它们都会接收到一个唯一的SID。每当Windows2003安装完毕并启动的时候，也会有一个新的SID分配给这台计算机。SID标识了用户、组和计算机的唯一性，不仅仅是在某台特定的电脑上还包括和其它计算机交互的时候。2024/3/1715编辑ppt平安的组成局部〔二〕访问令牌访问令牌是由用户的SID、用户所属于组的SID、用户名、用户所在组的组名构成的。访问令牌就好比用户能够访问计算机资源的“入场券〞。无论何时用户企图进行访问，都要向WindowsNT出示访问令牌。2024/3/1716编辑ppt平安的组成局部〔三〕平安描述符WindowsNT内的每个对象都有一个平安描述符作为它们属性的一局部。平安描述符持有对象的平安设置。平安描述符是由对象属主的SID、组SID，灵活访问控制列表以及计算机访问控制列表。2024/3/1717编辑ppt平安的组成局部〔四〕访问控制列表灵活访问控制列表里记录用户和组以及它们的相关权限，要么允许要么拒绝。访问控制条目每个访问控制条目〔ACE〕包含用户或组的SID及对对象所持有的权限。对象分配的每个权限都有一个ACE。访问控制条目有二种类型：允许访问或拒绝访问。在访问控制列表里拒绝访问ACE优先于允许访问。2024/3/1718编辑ppt8.2.5Windows2003平安机制〔一〕帐号平安计算机帐户活动目录用户帐户2024/3/1719编辑pptWindows2003平安机制〔二〕文件系统平安NTFS文件系统使用关系型数据库、事务处理以及对象技术，以提供数据平安以及文件可靠性的特性。2024/3/1720编辑pptWindows2003平安机制〔三〕认证Kerberos5Kerberos是一种被证明为非常平安的双向身份认证技术。其身份认证强调了客户机对效劳器的认证，而别的身份认证技术往往只解决了效劳器对客户机的认证。Kerberos有效地防止了来自效劳器端身份冒领的欺骗。2024/3/1721编辑pptWindows2003平安机制〔四〕NTLM认证Windows2003中仍然保存NTLM〔NT-LanMan〕认证，以便向后兼容。运行DOS、Windows3.x、Windows95、Windows98、WindowsNT3.5和WindowsNT4.0的客户仍然需要LM和NTLM支持。但LanManager中的哈希算法有漏洞。l0pht已经发布用于破解NT系统中SAM文件的工具l0phtcrack。Windows2003已支持新的更平安的认证协议NTLM2。2024/3/1722编辑pptWindows2003平安机制〔五〕ActiveDirectory管理员可以浏览活动目录，对域用户、用户组和网络资源进行管理可以通过活动目录指定局部管理员，每人以自己的平安性及许可权限进行管理分类管理员域用户用户组网络资源2024/3/1723编辑ppt8.3Windows2003文件系统平安NTFS权限基于目录基于文件读取（R）显示目录名，属性，所有者及权限显示文件数据，属性，所有者及权限写入（W）添加文件和目录，改变一个属性以及显示所有者和权限显示所有者和权限、改变文件的属性、在文件内加入数据执行（X）显示属性，可进入目录中的目录，显示所有者利权限显示文件属性、所有者和权限、如果是可执行文件可运行删除（D）可删除目录可删除文件改变权限（P）改变目录的权限改变文件的权限取得所有权（O）取得目录的所有权取得文件的所有权2024/3/1724编辑pptNT有关权限的标准标准权限基于目录基于文件不可访问无无列出RX不适用读取RXRX添加WX不适用添加和读取RWS-X?RX更改RWXDRWXD完全控制

ALLALL2024/3/1725编辑pptNT共享权限列表权限允许完全控制改变文件的权限；在NTFS卷上取得文件的所有权；能够完成所有有更改权限所执行的任务更改创建目录和添加文件；更改文件内的数据；更改文件的属性能够完成所有有更改权限所执行的任务读取显示目录和文件名：文件数据和属性；运行应用程序文件不可访问只能建立连接，不能访问目录中的内容2024/3/1726编辑ppt8.3.2文件系统类型Fat16文件系统FAT文件系统最初用于小型磁盘和简单文件结构的简单文件系统。标准文件分配表〔FAT〕，在<511MB的卷中使用。没有平安设置，不推荐使用。2024/3/1727编辑pptFAT16文件系统默认的簇大小分区大小扇区数/每簇簇大小（字节）0M~32M151233M~64M21K65M~128M42K129M~255M84K256M~511M168K512M~1023M3216K1024M~2047M6432K2048~4095M12864K2024/3/1728编辑ppt文件系统类型Fat32文件系统〔增强的文件分配表〕FAT32文件系统提供了比FAT文件系统更为先进的文件管理特性作为FAT文件系统的增强版本，它可以在容量从512MB到2TB的驱动器上使用没有平安设置，不推荐使用2024/3/1729编辑ppt文件系统类型NTFS文件系统NTFS文件系统包括了公司环境中文件效劳器和高端个人计算机所需的平安特性NTFS文件系统还支持对于关键数据完整性十分重要的数据访问控制和私有权限NTFS是Windows2003中唯一允许为单个文件指定权限的文件系统当从NTFS卷移动到FAT卷时，NTFS文件系统权限及特有属性会丧失。〔可操作〕使用convert.ex将FAT或FAT32的分区转化为NTFS分区。〔可操作〕2024/3/1730编辑pptNTFS文件系统默认的簇大小分区大小扇区数/每簇簇大小（字节）512M或更小1512513M~1024M（1GB）21K1025M~2048M（2GB）42K2049M~4096M（4GB）84K4097M~8192M（8GB）168K8193M~16384M（16GB）3216K16385M~32768M（32GB）6432K2024/3/1731编辑ppt几种文件系统的比较对比项目文件系统FAT16FAT32NTFS

与操作系统的兼容性MS-DOS，所有版本的Windows，WindowsNT，Windows2003和OS/2都可访问本地文件只有对Windows95OSR2，Windows98和Windows2003三种操作系统可以访问本地文件运行Windows2003Server的计算机可以访问本地硬盘中的文件，运行WindowsNT4.0及SP4或更高版本的计算机可以访问本地的部分文件，其他操作系统不能访问本地文件支持磁盘从软盘容量直到4GB，不支持域从512MB到2TB，在Windows2003中，用户只能把FAT32卷最大格式化到32GB最小大约10MB，建议实际最大是2TB，不能用于软盘文件大小最大文件为2GB不支持域，最大文件4GB文件大小只受限于卷的大小2024/3/1732编辑ppt文件系统类型DFS文件系统分布式文件系统(DistributedFileSystem,DFS)的作用是不管文件的物理分布情况，可以把文件组织成为树状的分层次逻辑结构，便于用户访问网络文件资源、加强容错能力和网络负载均衡等。需要安装DFS效劳，在微软管理界面MMC中创立一个DFS的根。文件的物理位置变动不会影响用户使用。Hacker难以跟踪文件的实际位置。2024/3/1733编辑ppt8.4Windows2003账号平安帐号重命名。对默认的帐号重命名。包括administrator、guest以及其它一些由安装软件时〔如IIs〕所自动建立的帐号。2024/3/1734编辑ppt帐号策略帐号策略的设置是通过域用户管理器来实施的，从策略的菜单中选择用户权限。第一项为哪一项有关密码的时效;第二项是有关密码长度的限制，以及帐号锁定等机制。2024/3/1735编辑ppt实现强壮的密码要有大小写字母，数字，和通配符等至少六个字符不使用名字和生日不含用户名局部强壮的密码2024/3/1736编辑ppt禁止枚举账号

由于Windows2003的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，任何一个远程用户通过同样的方法都能得到账户列表，使用暴力法破解账户密码后，对我们的电脑进行攻击，所以必须采用以下方法禁止这种行为。2024/3/1737编辑ppt禁止枚举账号2024/3/1738编辑pptAdministrator账号更名Windows2003的Administrator账号是不能被停用的，也不能设置平安策略，这样黑客可以一遍又一遍地尝试这个账户的密码，直到破解，所以要在“计算机管理〞中把Administrator账户更名来防止这一点.应该做点什么2024/3/1739编辑ppt本地策略设置界面2024/3/1740编辑ppt禁用Guest账号

Guest账号是一个非常危险的漏洞，因为黑客可以使用这个账号登录机器。2024/3/1741编辑ppt禁用Guest帐户2024/3/1742编辑ppt禁止Guest帐户登录本机2024/3/1743编辑ppt8.5GPO的编辑

Windows2003的得意之作GPO(GroupPolicyObject)，通过GPO来实现一个超强功能的中央集权的组策略，此策略是建立在活动目录〔ActiveDirectory〕根底之上的。2024/3/1744编辑ppt组策略组策略是什么?

GPO是一种与域、地址或组织单元相联系的物理策略。在Windows2003中，GPO包括文件和AD对象。2024/3/1745编辑ppt组策略和AD要充分发挥GPO的功能，需要有AD域架构的支持，利用AD可以定义一个集中的策略，所有的Windows2003效劳器和工作站都可以采用它。2024/3/1746编辑ppt8.6活动目录平安性考察Windows2003Server活动目录是一个完全可扩展、可伸缩的目录效劳，既能满足商业ISP的需要，又能满足企业内部网和外联网的需要，充分表达了微软产品集成性、深入性和易用性等优点。2024/3/1747编辑ppt活动目录的平安特性〔一〕集成性结合了三个方面的管理内容用户和资源管理基于目录的网络效劳基于网络的应用管理2024/3/1748编辑ppt活动目录的平安特性〔二〕集成性目录管理的根本对象是用户和计算机，还包括文件、打印机等资源活动目录完全采用了Internet标准协议活动目录集成了关键效劳和关键平安性2024/3/1749编辑ppt活动目录的平安特性〔三〕深入性Windows2003活动目录的深入性主要表达在其企业级的可伸缩性、平安性、互操作性、编程能力和升级能力上。

2024/3/1750编辑ppt活动目录的平安特性〔四〕深入性Windows2003活动目录允许用户组建单域来管理少量的网络对象，也允许用户通过域目录管理成万上亿个对象。活动目录的域树和域森林的组建方法，可帮助用户使用容器层次来模拟一个企业的组织结构。Windows2003活动目录和其平安性效劳紧密结合，相辅相成，共同完成平安任务和协同管理。2024/3/1751编辑ppt活动目录的平安特性〔五〕易用性Windows2003活动目录主要表达在其简易的安装和管理上主要有三个活动目录的管理界面〔MMC〕活动目录用户和计算机管理活动目录的域和域信任关系的管理活动目录的站点管理

2024/3/1752编辑ppt活动目录的平安特性〔六〕易用性管理员还可以方便地进行管理授权。活动目录充分地考虑到了备份和恢复目录效劳的需要。2024/3/1753编辑ppt8.7Windows2003缺省值的平安性评估Windows2003包含许多默认的设置和选项，允许更复杂的管理。这些系统默认值可以被有经验的攻击者用来渗透系统。有些默认值不能改变，但有些可以改变。这些改变可以提供足够的平安性。2024/3/1754编辑pptWindows2003缺省值的平安性评估〔二〕默认目录使用不同的目录对合法用户不会造成任何影响，但对于那些企图通过类似WEB效劳器这样的介质远程访问文件的攻击者来说大大地增加了难度。2024/3/1755编辑pptWindows2003缺省值的平安性评估〔三〕默认帐号增加了攻击者猜测帐户的难度2024/3/1756编辑pptWindows2003缺省值的平安性评估〔五〕默认共享仅仅是针对管理而配置的，形成一个没必要的风险，成为攻击者一个常见的目标。可以通过增加注册表相应的键值来禁止这些管理用的共享。2024/3/1757编辑ppt8.8Windows2003主机平安合理的配置Windows2003，那么windows2003将会是一个很平安的操作系统。2024/3/1758编辑ppt初级平安〔一〕物理平安重要的效劳器应该安放在安装了监视器的隔离房间内；机箱，键盘，电脑桌抽屉要上锁停掉Guest帐号在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登录系统；最好给guest加一个复杂的密码限制不必要的用户数量去掉不必要的帐户；去掉不用的帐户；给用户组策略设置相应权限2024/3/1759编辑ppt初级平安〔二〕创立2个管理员用帐号创立一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators权限的帐户只在需要的时候使用把系统administrator帐号改名尽量把Administrator帐户伪装成普通用户创立一个陷阱帐号用于迷惑非法入侵者，并借此发现他们的入侵企图2024/3/1760编辑ppt初级平安〔三〕把共享文件的权限从〞everyone〞组改成“授权用户〞任何时候都不要把共享文件的用户设置成“everyone〞组使用平安密码一个好的密码对于一个网络是非常重要的，设置密码的有效期，还要注意经常更改密码设置屏幕保护密码设置屏幕保护密码也是防止内部人员破坏效劳器的一个屏障；不要使用OpenGL和一些复杂的屏幕保护程序，以免浪费系统资源2024/3/1761编辑ppt初级平安〔四〕使用NTFS格式分区NTFS文件系统要比FAT，FAT32的文件系统平安得多运行防毒软件好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。经常升级病毒库保障备份盘的平安把备份盘防在平安的地方。千万别把资料备份在同一台效劳器上2024/3/1762编辑ppt中级平安〔一〕利用平安配置工具来配置策略充分利用基于MMC〔管理控制台〕平安配置和分析工具，增强系统平安性关闭不必要的效劳不必要的效劳带来平安隐患；确保正确的配置了终端效劳；留意效劳器上面开启的所有效劳关闭不必要的端口关闭端口意味着减少功能，在平安和功能上面需要作一点决策2024/3/1763编辑ppt中级平安〔二〕高级TCP/IP设置

2024/3/1764编辑ppt中级平安〔三〕TCP/IP筛选

2024/3/1765编辑ppt中级平安〔四〕翻开审核策略开启平安审核是Windows2003最根本的入侵检测方法2024/3/1766编辑ppt中级平安〔五〕Windows2003三种类型的日志记录事件应用程序日志系统日志平安日志2024/3/1767编辑ppt中级平安〔六〕事件查看器

2024/3/1768编辑ppt中级平安〔七〕平安日志2024/3/1769编辑ppt中级平安〔八〕平安日志属性2024/3/1770编辑ppt中级平安〔九〕开启密码策略开启密码复杂性要求、设置密码长度最小值、开启强制密码历史、设置强制密码最长存留期等开启帐户策略设置复位帐户锁定计数器、帐户锁定时间、帐户锁定阈值2024/3/1771编辑ppt中级平安〔十〕更改账户策略

2024/3/1772编辑ppt中级平安〔十一〕设定平安记录的访问权限把平安记录设置成只有Administrator和系统帐户才有权访问把敏感文件存放在另外的文件效劳器中有必要把一些重要的用户数据存放在另外一个平安的效劳器中，并且经常备份它们不让系统显示上次登陆的用户名防止入侵者容易得到系统的用户名，进而作密码猜测2024/3/1773编辑ppt中级平安〔十二〕禁止建立空连接用户可以通过空连接连上效劳器，进而枚举出帐号，猜测密码下载最新的补丁程序经常访问微软和一些平安站点，下载最新的servicepack和漏洞补丁，是保障效劳器长久平安的唯一方法2024/3/1774编辑ppt平安配置方案高级篇高级篇介绍操作系统平安信息通信配置，包括十四条配置原那么：关闭DirectDraw、关闭默认共享禁用DumpFile、文件加密系统加密Temp文件夹、锁住注册表、关机时去除文件禁止软盘光盘启动、使用智能卡、使用IPSec禁止判断主机类型、抵抗DDOS禁止Guest访问日志和数据恢复软件2024/3/1775编辑ppt1关闭DirectDrawC2级平安标准对视频卡和内存有要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响〔比方游戏〕，但是对于绝大多数的商业站点都是没有影响的。在HKEY_LOCAL_MACHINE主键下修改子键：SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，将键值改为“0〞即可，如图7-17所示。2024/3/1776编辑ppt2关闭默认共享Windows2003安装以后，系统会创立一些隐藏的共享，可以在DOS提示符下输入命令NetShare查看，如图7-18所示。2024/3/1777编辑ppt停止默认共享禁止这些共享，翻开管理工具>计算机管理>共享文件夹>共享，在相应的共享文件夹上按右键，点停止共享即可，如图7-19所示。2024/3/1778编辑ppt3禁用Dump文件在系统崩溃和蓝屏的时候，Dump文件是一份很有用资料，可以帮助查找问题。然而，也能够给黑客提供一些敏感信息，比方一些应用程序的密码等需要禁止它，翻开控制面板>系统属性>高级>启动和故障恢复，把写入调试信息改成无，如图7-20所示。2024/3/1779编辑ppt4文件加密系统Windows2003强大的加密系统能够给磁盘，文件夹，文件加上一层平安保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。微软公司为了弥补WindowsNT4.0的缺乏，在Windows2003中，提供了一种基于新一代NTFS：NTFSV5〔第5版本〕的加密文件系统〔EncryptedFileSystem，简称EFS〕。EFS实现的是一种基于公共密钥的数据加密方式，利用了Windows2003中的CryptoAPI结构。2024/3/1780编辑ppt5加密Temp文件夹一些应用程序在安装和升级的时候，会把一些东西拷贝到Temp文件夹，但是当程序升级完毕或关闭的时候，并不会自己去除Temp文件夹的内容。所以，给Temp文件夹加密可以给你的文件多一层保护。2024/3/1781编辑ppt6锁住注册表在Windows2003中，只有Administrators和BackupOperators才有从网络上访问注册表的权限。当帐号的密码泄漏以后，黑客也可以在远程访问注册表，当效劳器放到网络上的时候，一般需要锁定注册表。修改Hkey_current_user下的子键Software\microsoft\windows\currentversion\Policies\system把DisableRegistryTools的值该为0，类型为DWORD，如图7-21所示。2024/3/1782编辑ppt7关机时去除文件页面文件也就是调度文件，是Windows2003用来存储没有装入内存的程序和数据文件局部的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中可能含有另外一些敏感的资料。要在关机的时候清楚页面文件，可以编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键：SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPageFileAtShutdown的值设置成1，如图7-22所示。2024/3/1783编辑ppt8禁止软盘光盘启动一些第三方的工具能通过引导系统来绕过原有的平安机制。比方一些管理员工具，从软盘上或者光盘上引导系统以后，就可以修改硬盘上操作系统的管理员密码。如果效劳器对平安要求非常高，可以考虑使用可移动软盘和光驱，把机箱锁起来仍然不失为一个好方法。2024/3/1784编辑ppt9使用智能卡对于密码，总是使平安管理员进退两难，容易受到一些工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。2024/3/1785编辑ppt10使用IPSec正如其名字的含义，IPSec提供IP数据包的平安性。IPSec提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的平安性能大大增强。2024/3/1786编辑ppt11禁止判断主机类型黑客利用TTL〔Time-To-Live，活动时间〕值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。许多入侵者首先会Ping一下主机，因为攻击某一台计算机需要根据对方的操作系统，是Windows还是Unix。如过TTL值为128就可以认为你的系统为Windows2003，如图7-23所示。2024/3/1787编辑ppt从图中可以看出，TTL值为128，说明该主机的操作系统是Windows2003操作系统。表7-6给出了一些常见操作系统的对照值。操作系统类型TTL返回值Windows2003128WindowsNT107win9x128or127solaris252IRIX240AIX247Linux241or2402024/3/1788编辑ppt修改TTL的值，入侵者就无法入侵电脑了。比方将操作系统的TTL值改为111，修改主键HKEY_LOCAL_MACHINE的子键：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS新建一个双字节项，如图7-24所示。2024/3/1789编辑ppt在键的名称中输入“defaultTTL〞，然后双击改键名，选择单项选择框“十进制〞，在文本框中输入111，如图7-25所示。2024/3/1790编辑ppt设置完毕重新启动计算机，再用Ping指令，发现TTL的值已经被改成111了，如图7-26所示。2024/3/1791编辑ppt12抵抗DDOS添加注册表的一些键值，可以有效的抵抗DDOS的攻击。在键值[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加响应的键及其说明如表7-7所示。增加的键值键值说明"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000000"KeepAliveTime"=dword:00000000"PerformRouterDiscovery"=dword:00000000基本设置"EnableICMPRedirects"=dword:00000000防止ICMP重定向报文的攻击"SynAttackProtect"=dword:00000002防止SYN洪水攻击"TcpMaxHalfOpenRetried"=dword:00000080仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施"TcpMaxHalfOpen"=dword:00000100"IGMPLevel"=dword:00000000不支持IGMP协议"EnableDeadGWDetect"=dword:00000000禁止死网关监测技术"IPEnableRouter"=dword:00000001支持路由功能2024/3/1792编辑ppt13禁止Guest访问日志在默认安装的Windo