操作系统的安全配置

网络平安防御术第八章操作系统平安配置方案精选ppt内容提要平安操作系统根底平安操作系统的根本概念平安操作系统的机制Windows2000效劳器的平安配置操作系统的平安将决定网络的平安，从保护级别上分成平安初级篇、中级篇和高级篇，共36条根本配置原那么。初级篇讲述常规的操作系统平安配置

中级篇介绍操作系统的平安策略配置

高级篇介绍操作系统平安信息通信配置精选ppt操作系统平安概述目前效劳器常用的操作系统有三类：UnixLinuxWindowsServer这些操作系统都是符合C2级平安级别的操作系统。精选pptUNIX系统UNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品开展成为当前使用普遍、影响深远的主流操作系统。UNIX操作系统经过数十年的开展后，已经成为一种成熟的主流操作系统，并在开展过程中逐步形成了一些新的特色，其中主要特色包括5个方面。〔1〕可靠性高〔2〕极强的伸缩性〔3〕网络功能强〔4〕强大的数据库支持功能〔5〕开放性好精选pptLinux系统Linux是一套可以免费使用和自由传播的类Unix操作系统，这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。Linux是一个免费的操作系统，用户可以免费获得其源代码，并能够随意修改。精选pptLinux典型的优点有7个〔1〕完全免费〔2〕完全兼容POSIX1.0标准〔3〕多用户、多任务〔4〕良好的界面〔5〕丰富的网络功能〔6〕可靠的平安、稳定性能〔7〕支持多种平台精选pptWindows操作系统WindowsNT系列操作系统具有以下优点:〔1〕支持多种网络协议由于在网络中可能存在多种客户机，而这些客户机可能使用了不同的网络协议。WindowsNT系列操作支持几乎所有常见的网络协议。〔2〕内置Internet功能随着Internet的流行和TCP/IP协议组的标准化，WindowsNT内置了IIS，可以使网络管理员轻松的配置WWW和FTP等效劳。〔3〕支持NTFS文件系统在2000中内置同时支持FAT和NTFS的磁盘分区格式。使用NTFS可以提高文件管理的平安性，用户可以对NTFS系统中的任何文件、目录设置权限，可以增加文件的平安性。精选ppt平安操作系统的根本概念平安操作系统涉及很多概念：主体和客体平安策略和平安模型访问监控器平安内核可信计算基精选pptA.主体和客体操作系统中的每一个实体组件都必须是主体或者是客体，或者既是主体又是客体。主体是一个主动的实体，它包括用户、用户组、进程等。系统中最根本的主体是用户，系统中的所有事件要求，几乎全是由用户激发的。进程是系统中最活泼的实体，用户的所有事件要求都要通过进程的运行来处理。客体是一个被动的实体。在操作系统中，客体可以是按照一定格式存储在一定记录介质上的数据信息，也可以是操作系统中的进程。操作系统中的进程〔包括用户进程和系统进程〕一般有着双重身份。精选pptB.平安策略和平安模型平安策略与平安模型是计算机平安理论中容易相互混淆的两个概念。平安策略是指有关管理、保护和发布敏感信息的规定和实施细那么。平安模型那么是对平安策略所表达的平安需求的简单、抽象和无歧义的描述，它为平安策略和平安策略实现机制的关联提供了一种框架。平安模型描述了对某个平安策略需要用哪种机制来满足；而模型的实现那么描述了如何把特定的机制应用于系统中，从而实现某一特定平安策略所需的平安保护。精选pptC.访问监控器访问控制机制的理论根底是访问监控器。访问监控器是一个抽象概念，其具体实现是引用验证思想，它是实现访问监控器思想的硬件和软件的组合。访问监控器需要同时满足以下3个原那么：(1)必须具有自我保护能力；(2)必须总是处于活泼状态；(3)必须设计得足够小，以利于分析和测试，从而能够证明其实现是正确的。精选pptD.平安内核平安内核由硬件和介于硬件和操作系统之间的一层软件组成，在一个大型操作系统中，只有其中的一小局部软件用于平安目的。平安内核必须予以适当的保护，不能篡改。同时绝不能有任何绕过平安内核存取控制检查的存取行为存在。平安内核必须尽可能地小，便于进行正确性验证。精选pptE.可信计算基操作系统的平安依赖于一些具体实施平安策略的可信的软件和硬件。这些软件、硬件和负责系统平安管理的人员一起组成了系统的可信计算基〔TrustedComputingBase，TCB〕。具体来说可信计算基由以下7个局部组成：1.操作系统的平安内核。2.具有特权的程序和命令。3.处理敏感信息的程序，如系统管理命令等。4.与TCB实施平安策略有关的文件。5.其它有关的固件、硬件和设备。6.负责系统管理的人员。7.保障固件和硬件正确的程序和诊断软件。精选ppt平安操作系统的机制平安操作系统的机制包括：硬件平安机制平安标识与鉴别访问控制最小特权管理可信通路平安审计精选pptA.硬件平安机制计算机硬件平安的目标是，保证其自身的可靠性和为系统提供根本平安机制。根本平安机制包括：存储保护存储保护是操作系统中最根本的平安要求，要求存储器中的数据被合法地访问。保护单元是最小的数据范围，保护单元越小，保护精度越高。系统存储区域分为用户空间和系统空间，用户模式下运行的非特权程序应禁止访问系统空间，而内核模式下运行的程序应可以访问任何空间。应该防止用户程序访问操作系统内核的存储区域以及进程间非法访问对方的存储区域。精选ppt运行保护进程运行的区域称为运行域。一般操作系统都会包含硬件层、内核层、应用层、用户层等假设干层次，这种分层的目的是为了隔离运行域。运行域可以看成一系列同心圆，内层权限最高外层权限最低，形成等级域。等级域规定每个进程都在规定的层上运行，层号越低，保护越多。I/O保护为保证平安，I/O应是只有操作系统才能完成的特权操作。对于一般I/O设备，操作系统都会提供该设备的系统调用；对网络访问，也提供标准访问接口，而不需用户控制操作细节。I/O设备应被看成一个客体，对其所有的访问都需经过相应的访问控制机制。精选pptB.标识与鉴别标识与鉴别是涉及系统和用户的一个过程。标识就是系统要标识用户的身份，每个用户有一个系统可以识别的用户标识符。用户标识符必须是惟一的且不能被伪造。将用户标识符与用户联系的过程称为鉴别，鉴别过程主要用以识别用户的真实身份。鉴别操作总是要求用户具有能够证明他的身份的特殊信息，并且这个信息是秘密的，任何其他用户都不能拥有它。精选pptC.访问控制访问控制用来决定用户是否有权访问一些特定客体的一种访问约束机制。在平安操作系统领域中，访问控制一般都涉及：自主访问控制

〔DiscretionaryAccessControl，DAC〕强制访问控制

〔MandatoryAccessControl，MAC〕精选pptC1.自主访问控制自主访问控制是最常用的一类访问控制机制，在自主访问控制机制下，文件的拥有者可以按照自己的意愿精确指定系统中的其他用户对其文件的访问权。使用自主访问控制机制，一个用户可以自主地说明他所拥有的资源允许系统中哪些用户以何种权限进行共享。从这种意义上讲，是“自主〞的。另外自主也指对其他具有授予某种访问权力的用户能够自主地〔可能是间接的〕将访问权或访问权的某个子集授予另外的用户。精选pptC2.强制访问控制在强制访问控制机制下，系统中的每个客体都被赋予了相应的平安属性，这些平安属性是不能改变的，它由管理部门〔如平安管理员〕或由操作系统自动地按照严格的规那么来设置，不像访问控制表那样由用户或他们的程序直接或间接地修改。在强制访问控制机制下，当一主体访问一个客体时，需要比较主体的平安属性和客体的平安属性，从而确定是否允许进程对客体的访问。精选ppt主体不能改变自身的或任何客体的平安属性，包括不能改变属于主体的客体的平安属性，而且也不能通过授予其他用户客体存取权限简单地实现客体共享。如果系统判定拥有某一平安属性的主体不能访问某个客体，那么任何人〔包括客体的拥有者〕也不能使它访问该客体。精选ppt强制访问控制和自主访问控制强制访问控制和自主访问控制是两种不同类型的访问控制机制，它们常结合起来使用。仅当主体能够同时通过自主访问控制和强制访问控制检查时，它才能访问一个客体。用户使用自主访问控制防止其他用户非法入侵自己的文件，强制访问控制那么作为更强有力的平安保护方式，使用户不能通过意外事件和有意识的误操作逃避平安控制。强制访问控制用于将系统中的信息分密级和类进行管理，适用于政府部门、军事和金融等领域。精选pptD.最小特权管理在现有多用户操作系统中，超级用户具有所有特权，普通用户不具有任何特权。一个进程要么具有所有特权，要么不具有任何特权。这种特权管理方式不利于系统的平安性。一旦超级用户的口令丧失或被冒充或误操作，将会对系统造成极大的损失。因此必须实行最小特权管理机制。最小特权管理的思想是系统不应给用户超过执行任务所需特权以外的特权。如将超级用户的特权划分为一组细粒度的特权，分别授予不同的系统操作员/管理员，使各种系统操作员/管理员只具有完成其任务所需的特权，从而减少由于特权用户口令丧失或误操作所引起的损失。精选ppt把传统的超级用户划分为平安管理员、系统管理员、系统操作员三种特权用户。平安管理员行使诸如设定平安等级、管理审计信息等系统平安维护职能；系统管理员行使诸如创立和删除用户帐户、处理记帐信息等系统管理职能。系统操作员行使诸如磁盘数据备份、启动和关闭系统等系统日常维护职能；传统的超级用户不复存在，任何一个用户都不能获取足够的权力破坏系统的平安策略。精选pptE.可信通路终端用户直接同可信计算基进行通信的一种机制。只能由有关人员或可信计算基启动，且不能被不可信软件模仿。主要应用于用户登录或注册时，保证用户确实和平安内核通信，防止不可信进程如木马等模拟系统的登录过程而窃取口令。精选pptF.平安审计一个系统的平安审计就是对系统中有关平安的活动进行记录、检查及审核。目的是检测和阻止非法用户对计算机系统的入侵，并显示合法用户的误操作。审计作为一种事后追查的手段来保证系统的平安，它对涉及系统平安的操作做一个完整的记录。审计为系统进行事故原因的查询、定位，事故发生前的预测、报警以及事故发生之后的实时处理提供详细、可靠的依据和支持，以备有违反系统平安规那么的事件发生后能够有效地追查事件发生的地点和过程以及责任人。精选ppt平安配置方案初级篇平安配置方案初级篇主要介绍常规的操作系统平安配置，包括十二条根本配置原那么：物理平安、停止Guest帐号、限制用户数量创立多个管理员帐号、管理员帐号改名陷阱帐号、更改默认权限、设置平安密码屏幕保护密码、使用NTFS分区运行防毒软件和确保备份盘平安。精选ppt1、物理平安效劳器应该安放在安装了监视器的隔离房间内，并且监视器要保存15天以上的摄像记录。机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在平安的地方。精选ppt2、停止Guest帐号在计算机管理的用户里面把Guest帐号停用，任何时候都不允许Guest帐号登陆系统。为了保险起见，最好给Guest加一个复杂的密码，包含特殊字符,数字，字母的长字符串。修改Guest帐号的属性，设置拒绝远程访问，如下图。精选ppt3限制用户数量去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。帐户很多是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。如果系统帐户超过10个，一般能找出一两个弱口令帐户，所以帐户数量不要大于10个。精选ppt4多个管理员帐号这点事实上是服从上面规那么的(最小特权管理的思想)。如：创立一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物，另一个拥有Administrator权限的帐户只在需要的时候使用。尽量减少Administrator登录的次数和时间。精选ppt5管理员帐号改名把Administrator帐户改名可以有效的防止密码猜测。尽量把它伪装成普通用户，比方改成：guestone。具体操作的时候只要选中帐户名改名就可以了。精选ppt6陷阱帐号所谓的陷阱帐号是创立一个名为“Administrator〞的本地帐户，把它的权限设置成最低，并且加上一个超过10位的超级复杂密码。这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。精选ppt7更改默认权限任何时候不要把共享文件的用户设置成“Everyone〞组。包括打印共享，默认的属性就是“Everyone〞组的。精选ppt8平安密码好的密码对于一个网络是非常重要的，密码长度决定其平安性，还要注意经常更改密码。平安密码的定义：平安期内无法破解出来的密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。精选ppt9屏幕保护密码设置屏幕保护密码是防止内部人员破坏效劳器的一个屏障。注意不要使用一些复杂的屏幕保护程序，浪费系统资源，黑屏就可以了。所有系统用户所使用的机器也最好加上屏幕保护密码。将等待时间设置为最短时间“1秒〞。精选ppt10NTFS分区把效劳器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统平安得多。精选ppt11防毒软件Windows2000/NT效劳器一般都没有安装防毒软件的，一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。设置了放毒软件，“黑客〞们使用的那些有名的木马就毫无用武之地了，并且要经常升级病毒库。精选ppt12备份盘的平安一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘防在平安的地方。不能把资料备份在同一台效劳器上，这样的话还不如不要备份。精选ppt平安配置方案中级篇平安配置方案中级篇主要介绍操作系统的平安策略配置，包括十条根本配置原那么：操作系统平安策略、关闭不必要的效劳关闭不必要的端口、开启审核策略开启密码策略、开启帐户策略、备份敏感文件不显示上次登陆名、禁止建立空连接和下载最新的补丁精选ppt1操作系统平安策略利用Windows2000的平安配置工具来配置平安策略，微软提供了一套的基于管理控制台的平安配置和分析工具，可以配置效劳器的平安策略。在管理工具中可以找到“本地平安策略〞，可以配置四类平安策略：帐户策略、本地策略、公钥策略和IP平安策略。在默认的情况下，这些策略都是没有开启的。精选ppt2关闭不必要的效劳Windows2000的TerminalServices〔终端效劳〕和IIS〔Internet信息效劳〕等都可能给系统带来平安漏洞。为了能够在远程方便的管理效劳器，很多机器的终端效劳都是开着的，如果开了，要确认已经正确的配置了终端效劳。要留意效劳器上开启的所有效劳并每天检查。Windows2000作为效劳器可禁用的效劳及其相关说明如表所示。精选pptWindows2000可禁用的效劳服务名说明ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体、驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印。要用打印机的用户不能禁用这项服务IPSECPolicyAgent管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+EventSystem提供事件的自动发布到订阅COM组件精选ppt3关闭不必要的端口关闭端口意味着减少功能，用端口扫描器扫描系统所开放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和效劳的对照表可供参考。精选ppt设置本机开放的端口和效劳，在IP地址设置窗口中点击按钮“高级〞。精选ppt在出现的对话框中选择选项卡“选项〞，选中“TCP/IP筛选〞，点击按钮“属性〞。精选pptTCP/IP筛选器是Windows自带的防火墙，可以替代防火墙的局部功能。如：一台Web效劳器只允许TCP的80端口通过就可以了。精选ppt4开启审核策略平安审核是Windows2000最根本的入侵检测方法。当有人尝试对系统进行某种方式入侵的时候，都会被平安审核记录下来。平安审核需要经常观察。下表的这些审核是必须开启的，其他的可以根据需要增加。策略设置审核系统登陆事件成功，失败审核帐户管理成功，失败审核登陆事件成功，失败审核对象访问成功审核策略更改成功，失败审核特权使用成功，失败审核系统事件成功，失败精选ppt审核策略默认设置审核策略在默认的情况下都是没有开启的，如下图。精选ppt双击审核列表的某一项，出现设置对话框，将复选框“成功〞和“失败〞都选中。精选ppt5开启密码策略密码对系统平安非常重要。本地平安设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如表所示：策略设置密码复杂性要求启用密码长度最小值6位密码最长存留期15天强制密码历史5个精选ppt设置选项。精选ppt6开启帐户策略开启帐户策略可以有效的防止字典式攻击，设置如表所示。策略设置复位帐户锁定计数器30分钟帐户锁定时间30分钟帐户锁定阈值5次精选ppt帐户策略设置账户锁定阈值：指用户输入几次错误的密码后，其账户将被锁定。设置范围0~999之间，默认值为0，表示不锁定账户。账户锁定时间：指当用户账户被锁定后，经过多少分钟后将被自动解锁。设置范围：0~99999，0表示必须由管理员手动解锁。复位账户锁定计数器：指用户由于输入密码错误开始计时，计数器保持的时间，当时间过后，计数器将被复位为0。有效范围为1到99,999分钟之间。如果定义了帐户锁定阈值，那么该复位时间必须小于或等于帐户锁定时间。默认值：无，因为只有当指定了“帐户锁定阈值〞时，该策略设置才有意义。精选ppt设置帐户策略设置的结果如下图。精选ppt7备份敏感文件把敏感文件存放在另外的文件效劳器中，虽然效劳器的硬盘容量都很大，但是还是应该考虑把一些重要的用户数据〔文件，数据表和工程文件等〕存放在另外一个平安的效劳器中，并且经常备份。精选ppt8不显示上次登录名默认情况下，本地的登陆或终端效劳接入效劳器时，登陆对话框中会显示上次登陆的帐户名。黑客们可以得到系统的一些用户名，进而做密码猜测。修改注册表禁止显示上次登录名，在HKEY_LOCAL_MACHINE主键下修改子键：Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，将键值改成1，如下图。精选ppt9禁止建立空连接默认情况下，任何用户通过空连接连上效劳器，进而可以枚举出管理员帐号，猜测密码。可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修改子键：System\CurrentControlSet\Control\LSA\RestrictAnonymous，将键值改成“1〞即可。精选ppt10下载最新的补丁很多网络管理员没有访问平安站点的习惯，以至于一些漏洞都出了很久了，还放着效劳器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的Windows2000不出一点平安漏洞。经常访问微软和一些平安站点，下载最新的ServicePack和漏洞补丁，是保障效劳器长久平安的唯一方法。精选ppt平安配置方案高级篇高级篇介绍操作系统平安信息通信配置，包括十四条配置原那么：关闭DirectDraw、关闭默认共享禁用DumpFile、文件加密系统加密Temp文件夹、锁住注册表、关机时去除文件禁止软盘光盘启动、使用智能卡、使用IPSec禁止判断主机类型、抵抗DDOS禁止Guest访问日志和数据恢复软件精选ppt1关闭DirectDrawC2级平安标准对视频卡和内存有要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响〔比方游戏〕，但是对于绝大多数的商业站点都是没有影响的。在HKEY_LOCAL_MACHINE主键下修改子键：SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，将键值改为“0〞即可。精选ppt2关闭默认共享Windows2000安装以后，系统会创立一些隐藏的共享，可以在DOS提示符下输入命令NetShare查看，如下图。精选ppt禁止这些共享，翻开管理工具>计算机管理>共享文件夹>共享，在相应的共享文件夹上按右键，点停止共享即可，如下图。精选ppt3禁用Dump文件在系统崩溃和蓝屏的时候，Dump文件是一份很有用资料，可以帮助查找问题。然而，也能够给黑客提供一些敏感信息，比方一些应用程序的密码等。需要禁止它，翻开控制面板>系统属性>高级>启动和故障恢复，把写入调试信息改成无，如下图。精选ppt4文件加密系统Windows2000强大的加密系统能够给磁盘，文件夹，文件加上一层平安保护。这样可以防止别人把硬盘挂到别的机器上以读出里面的数据。微软公司为了弥补WindowsNT4.0的缺乏，在Windows2000中，提供了一种基于新一代NTFS：NTFSV5〔第5版本〕的加密文件系统〔EncryptedFileSystem，简称EFS〕。精选ppt5加密Temp文件夹一些应用程序在安装和升级的时候，会把一些东西拷贝到Temp文件夹，但是当程序升级完毕或关闭的时候，并不会自己去除Temp文件夹的内容。给Temp〔c:\windows〕文件夹加密可以给你的文件多一层保护。精选ppt6锁住注册表在Windows2000中，当效劳器放到网络上的时候，为防止黑客在远程访问注册表，一般需要锁定注册表。修改Hkey_current_user下的子键Software\microsoft\windows\currentversion\Policies\system把DisableRegistryTools的值改为0，类型为DWORD。精选ppt7关机时去除文件页面文件也就是操作系统用来构建虚拟内存的硬盘空间，是Windows2000用来存储没有装入内存的程序和数据文件局部的隐藏文件。页面文件中可能含有另外一些敏感的资料。要在关机的时候去除页面文件，可以编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键：SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPageFileAtShutdown的值设置成1。精选ppt8禁止软盘光盘启动一些第三方的工具能通过引导系统来绕过原有的平安机制。比方一些管理员工具，从软盘上或者光盘上引导系统以后，就可以修改硬盘上操作系统的管理员密码。如果效劳器对平安要求非常高，可以考虑使用可移动软盘和光驱，把机箱锁起来仍然不失为一个好方法。精选ppt9使用智能卡对于密码，总是使平安管理员进退两难，容易受到一些工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。精选ppt10使用IPSecIPSec提供IP数据包的平安性。IPSec提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的平安性能大大增强。精选ppt11禁止判断主机类型黑客利用TTL〔Time-To-Live，活动时间〕值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。许多入侵者首先会Ping一下主机，因为攻击某一台计算机需要根据对方的操作系统，是Windows还是Unix。如过TTL值为128就可以认为你的系统为Windows2000，如下图。精选ppt从图中可以看出，TTL值为128，说明改主机的操作系统是Windows2000操作系统。下表给出了一些常见操作系统的对照值。操作系统类型TTL返回值Windows2000128WindowsNT107win9x128or127solaris252IRIX240AIX247Linux241or240精选ppt修改TTL的值，入侵者就无法入侵电脑了。修改主键HKEY_LOCAL_MACHINE的子键：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS新建一个双字节项，如下图。精选ppt在键的名称中输入“defaultTTL〞，然后双击改键名，选择单项选择框“十进制〞，在文本框中输入其他数值，如下图。精选ppt设置完毕重新启动计算机，再用Ping指令，发现TTL的值已经被改了。精选ppt12抵抗DDOS添加注册表的一些键值，可以有效的抵抗DDOS的攻击。在键值[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加响应的键及其说明如表所示。增加的键值键值说明"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000000"KeepAliveTime"=dword:00000000"PerformRouterDiscovery"=dword:00000000基本设置"EnableICMPRedirects"=dword:00000000防止ICMP重定向报文的攻击"SynAttackProtect"=dword:00000002防止SYN洪水攻击"TcpMaxHalfOpenRetried"=dword:00000080仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施"TcpMaxHalfOpen"=dword:00000100"IGMPL