反黑风暴-第36章
按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
程的构件并连接智能芯片,如果密码连续三次输入错误及检测到机箱外部碰触到可疑物体时,可编程的构件即可破坏硬盘盘片。
●物理型
物理型的反监控需要将硬盘与外箱紧密焊接在一起,内部的构造彼此间都要关联起来,硬盘内部的关键部件要进行特殊处理,机箱不能倒置、倾斜。外壳不能太硬,同时将硬盘所有接口都铅封起来,开箱验证的方式是使用物理性密码。一旦有人试图使用铁制工具打开机箱,即使是轻微的震动,硬盘就会自动报废,数据也就自动销毁了。
第七章 专家课堂(常见问题与解答)
点拨1:利用FinalData等软件能恢复一些以前删除的文件,进而窃取文件。若希望某些文件删除后就不再恢复,该如何彻底删除这些文件呢?
解答:在文件被彻底删除之后,其实在硬盘上并没有删除,只是将存放这个文件的硬盘磁道标记出来,等待其他新文件的覆盖。这也是为何删除文件后,FinalData之类软件能够恢复的原因所在。知道了这个原理,只要往删除文件的地方添加一些新文件,把原来的文件覆盖,则恢复软件就无能为力了。
另外,还可以使用一些数据毁灭软件达到彻底删除的效果,例如SafeEarse。
点拨2:EFS加密功能默认是开启的,若要禁用EFS文件加密,应该如何操作呢?
解答:如果要禁止该功能,可以先打开【注册表编辑器】窗口,在其左侧列表中找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionEFS,在下面新建一个EfsConfiguration的DWORD类型数值,并将其值设置为“1”(值为“0”时,表示启用EFS),再重新启动计算机即可。需要注意的是,如果禁用了EFS,原先的EFS加密文件不可访问,直到恢复EFS为止。
第一章 服务器安全防御
家庭、企业或办公网络中总有一些服务器在运作,如WEB、DNS、FTP、VPN等服务器,这样,自然少不了被攻击者虎视眈眈地利用代理来扫描这些扫描器,进而对服务器的安全构成威胁。为了减少电脑被攻击的可能,我们应做好服务器安全防御措施,使黑客们无计可施。
12。1。1强化服务器策略
加强服务器的安全也是安全威胁防御技术中的一种方式,它包括程序安装与配置系统两个方面。这两个方面都必须遵循“最小权限”的法则,也就是说它们要包括最小的服务提供、最小的端口开放、最小的特权分配。
1。程序安装
程序的安装包括从安装操作系统到安装与配置计算机中的应用程序,它们也必须遵循“最小权限”法则。
(1)安装最小化操作系统
在安装操作系统时,为了保证安装的系统最干净、最轻便,最好事先断开网络连接,并确认磁盘中原来的数据都被删除干净。另外,选择的操作系统版本最好是原版操作系统的相关版本,如WindowsXPProfessional版本,不要使用Ghost版系统。安装好系统后,若需要添加一些Windows组件,可对必需的服务进行安装,不要安装额外的服务。
添加Windows组件的具体操作方法如下:
步骤01单击【开始】→【控制面板】按钮,打开【控制面板】窗口。在该窗口中双击“添加或删除程序”图标。
步骤02打开【添加或删除程序】窗口,并单击左侧列表中的【添加/删除Windows组件】按钮。
步骤03此时,即可打开【Windows组件向导】对话框。在“组件”列表框中选中要添加的组件前的复选框。单击【下一步】按钮,根据提示进行安装即可。
(2)安装和配置应用程序
安装好操作系统后,可在计算机中安装需要使用的应用程序。但为了避免安装的软件给系统带来风险,如漏洞、病毒、恶评插件等,最好不要安装多余的应用程序。
(3)安装最新的安全补丁
补丁分为系统补丁与应用软件补丁,是用来修复系统或软件的已知缺陷及漏洞的。这些缺陷漏洞所带的后果是执行恶意命令(挂马)、提升权限或拒绝服务攻击等,因此,为了保证系统的安全,要定时对系统和软件进行扫描,查找需要安装的补丁。
一般来说,系统补丁的安装可以通过Windows自动更新功能进行修补。在桌面上的“我的电脑”图标上右键单击,在弹出菜单中选择【属性】菜单项,即可打开【系统属性】对话框。切换到【自动更新】选项卡,选中“自动(建议)”选项并设置自动更新的时间。单击【确定】按钮,即可按照设置的时间定期检查重要的更新,并安装它们。
另外,还可以通过第三方软件,如超级兔子、360安全卫士等检查并安装系统补丁。对于应用软件的补丁来说,可以直接下载最新版本的应用软件,进行缺陷漏洞的修补。
2.配置系统
(1)配置系统服务
遵循“最小权限”法则,必须停用和禁止系统不必要的服务。如何查看并修改系统中的服务呢?下面介绍其具体的操作方法。
步骤01单击【开始】→【控制面板】按钮,即可打开【控制面板】窗口。双击窗口中的“管理工具”图标,即可打开【管理工具】窗口。
步骤02双击“计算机管理”图标,即可打开【计算机管理】窗口。在窗口左侧的树形目录中单击“服务和应用程序”下的“服务”选项,在窗口右侧即可出现系统中的服务。选中要停用的服务并右击,在弹出菜单中选择【停止】菜单项,即可禁用该服务。
(2)配置系统端口
若系统中开放的端口较多,容易受到黑客的攻击,给系统带来危险。因此,为了保证系统的安全,可用系统的“TCP/IP筛选”过滤掉不必要的端口。其具体操作方法如下:
步骤01在【控制面板】窗口中双击“网络连接”图标,即可打开【网络连接】窗口。在“本地连接”图标上右键单击,在弹出的快捷菜单中选择【属性】菜单项。
步骤02此时,即可打开【本地连接属性】对话框。在“此连接使用下列项目”列表框中选择“Inter协议(TCP/IP)”选项,并单击【属性】按钮。
步骤03打开【Inter协议(TCP/IP)属性】对话框,单击【高级】按钮。打开【高级TCP/IP设置】对话框,在其中选择“可选的设置”列表框中的“TCP/IP筛选”选项,并单击【属性】按钮。
步骤04打开【TCP/IP筛选】对话框,在其中可进行端口过滤。若只允许TCP端口,选中“TCP端口”上方对应的“只允许”选项即可。
利用“TCP/IP筛选”过滤端口比较麻烦,还可以通过防火墙来配置。配置方法非常简单,只需在【高级TCP/IP设置】对话框中切换到【WINS】选项卡,在其中选择“禁用TCP/IP上的BIOS”选项,禁止BIOS接口即可进行端口过滤。
(3)设置文件权限
设置文件权限即在NTFS文件系统上限制分区与文件访问的条件,FAT、FAT32等系统文件不能对存储的数据进行用户级的保护,尤其是对用户本地登录缺乏保护。下面以取消D分区的“Administrators”组对磁盘的安全控制权限为例,介绍其具体的操作步骤。
步骤01在【控制面板】窗口中双击“文件夹选项”图标,即可打开【文件夹选项】对话框。在“高级设置”列表框中取消勾选“使用简单文件共享(推荐)”复选框,并单击【确定】按钮。
步骤02打开【我的电脑】窗口,在D盘盘符上右键单击,在弹出的快捷菜单中选择【属性】菜单项,即可打开D盘的属性窗口。在“组或用户名称”列表框中选择“Administrators”,并单击【删除】按钮,即可取消D分区的“Administrators”组对磁盘的安全控制权限。
要设置其他分区的文件权限,可按照同样的方法进行设置即可。但该设置只在NTFS分区上有效,因为FAT、FAT32分区的属性对话框中没有【安全】选项卡,该选项卡的用途是为了设置安全的文件系统。
12。1。2“账户策略”配置与应用
组策略设置可用于管理桌面显示、指派脚本、将文件夹从本地计算机重新定向到网络位置、确定安全选项,以及控制特定计算机上可安装的软件和特定用户组可用的软件等。组策略包括账户策略、本地策略、软件策略等,而账户策略包括“密码策略”和“账户锁定策略”。
下面介绍“密码策略”和“账户锁定策略”的配置方法。
1。配置“密码策略”
配置“密码策略”的具体操作步骤如下:
步骤01在打开的【运行】对话框中输入“gpedit。msc”,即可打开【组策略】窗口。
步骤02在窗口左侧的树形目录中依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”选项,即可打开“账户策略”窗口,在其中选择“密码策略”选项。此时,右侧的窗口中即可显示各个策略。
步骤03在右侧的窗口中双击“密码必须符合复杂性要求”选项,弹出【密码必须符合复杂性要求属性】对话框。选中“已启用”选项,启用密码复杂性要求。
步骤04单击【确定】按钮,按照同样的方法在【组策略】窗口中选择其他项目,设置相应的密码策略即可。
2.配置“账户锁定策略”
为了加强服务器的安全,防止其他人员用管理员的身份登录服务器,可以限定账户登录的次数,还可以设置当密码输入错误时,用户不能登录的时间,以及账户登录次数的复位时间。下面介绍配置“账户锁定策略”的具体操作步骤。
步骤01在【组策略】窗口的左侧树形目录中选择“账户策略”下的“账户锁定策略”选项,在右侧的窗口中即可显示其包含的各个策略。
步骤02双击“账户锁定阈值”选项,即可弹出【账户锁定阈值属性】对话框,在文本框中输入无效登录的次数。
步骤03单击【确定】按钮,即可弹出【建议的数值改动】对话框。保持默认设置不变,并单击【确定】按钮,表示接受建议的数值。
步骤04在右侧的窗口中双击“账户锁定时间”选项,即可打开【账户锁定时间属性】对话框。在“账户锁定时间”文本框中输入账户锁定的时间。
步骤05在右侧的窗口中双击“复位账户锁定计数器”选项,即可打开【复位账户锁定计数器属性】对话框,在“在此后复位账户锁定计数器”文本框中输入账户登录次数的复位时间。
12。1。3“本地策略”配置与应用
“本地策略”的配置也是保护服务器安全的一个重要方面,它包括审核策略、用户权限分配、安全选项三个方面。下面分别介绍这三个方面的配置方法。
1.配置“审核策略”
配置“审核策略”的具体操作步骤如下:
步骤01在【组策略】窗口的左侧树形目录中依次展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”选项,选择其下的“审核策略”选项。此时,右侧的窗口中即可显示各个策略。
步骤02在窗口右侧的窗格中双击“审核策略更改”选项,即可打开【审核策略更改属性】对话框。在其中根据需要勾选“成功”和“失败”复选框;如果两个都不选择,表示无审核。单击【确定】按钮,按照同样的方法设置其他选项的审核。
2.配置“用户权限分配”策略
不同的用户分配不同的权限,这是服务器实现分级管理的依据,如何进行分级管理就需要为服务器配置“用户权限分配”策略。配置“用户权限分配”策略的具体操作步骤如下:
步骤01双击【控制面板】窗口中的“管理工具”图标,在打开的【管理工具】窗口中双击“计算机管理”图标,即可打开【计算机管理】窗口。
步骤02在窗口左侧的树形目录中依次展开“系统工具”→“本地用户和组”→“用户”选项,右侧空白区域中右击,在弹出菜单中选择【新用户】菜单项。
步骤03此时,即可打开【新用户】对话框。在其中输入“用户名”、“全名”、“描述”,并设置密码,建立一个新用户。单击【创建】按钮,创建好的用户即可出现在【计算机管理】窗口右侧的区域中。
步骤04打开【组策略】窗口,在窗口左侧的树形目录中选择“本地策略”下的“用户权限分配”选项,在右侧的窗口中即可列出各项策略。
步骤05在窗口右侧双击“备份文件和目录”选项,即可打开【备份文件和目录属性】对话框。单击【添加用户或组】按钮,即可打开【选择用户或组】对话框。在“输入对象名称来选择”文本框中输入用户名“林林”。单击【确定】按钮,按照同样的方法设置其他项目的用户权限。
3.配置“安全选项”策略
“安全选项”策略为为用户在访问服务器时配置一些类似如