目前服务器常用的操作系统有三类:
-Unix
-Linux
-Windows NT/2000/2003 Server
统但是都存在不少漏洞,如果对这些漏洞不了
解,不采取相应的措施,就会使操作系统完全暴
露给入侵者
BJFU Info Department, QiJd第七章操作系统安全配置方案
UNIX系统
UNIX操作系统是由美国贝尔实验室开发的
一种多用户,多任务的通用操作系统
诞生于1969年,在GE645计算机上实现一
种分时操作系统的雏形
1970年给系统正式取名为Unix操作系统
到1973年,Unix系统的绝大部分源代码都
用C语言重新编写过,大大提高了Unix系统
的可移植性,也为提高系统软件的开发效率
创造了条件
BJFU Info Department, QiJd第七章操作系统安全配置方案
主要特色
UNIX操作系统经过20多年的发展后,已经成为一种成
熟的主流操作系统,并在发展过程中逐步形成了一些
新的特色,其中主要特色包括5个方面
-(1)可靠性高
-(2)极强的伸缩性
-(3)网络功能强
-(4)强大的数据库支持功能
-(5)开放性好
BJFU Info Department, QiJd第七章操作系统安全配置方案
Linux系统
Linux是一套可以免费使用和自由传播的
类Unix操作系统,主要用于基于Intel x86
系列CPU的计算机上
Linux是在GPL(General Public
License)保护下的自由软件,版本有:
Redhatlinux,Suse,Slackware,
Debian等;国内有:XteamLinux,红旗
LinuxLinux流行的原因是免费并且功能
强大
BJFU Info Department, QiJd第七章操作系统安全配置方案
Linux典型的优点
(1)完全免费
(2)完全兼容POSIX 10标准
(3)多用户,多任务
(4)良好的界面
(5)丰富的网络功能
(6)可靠的安全,稳定性能
(7)支持多种平台
BJFU Info Department, QiJd第七章操作系统安全配置方案
Windows系统
Windows NT(New Technology)是微软
公司第一个真正意义上的网络操作系统,
发展经过NT30,NT40,NT50
(Windows 2000)和NT60(Windows
2003)等众多版本,并逐步占据了广大的
中小网络操作系统的市场
Windows NT众多版本的操作系统使用了
与Windows 9X完全一致的用户界面和完全
相同的操作方法,使用户使用起来比较方
便与Windows 9X相比,Windows NT的
网络功能更加强大并且安全
BJFU Info Department, QiJd第七章操作系统安全配置方案
Windows NT系列操作系统
Windows NT系列操作系统具有以下三方面的优点
(1)支持多种网络协议
-由于在网络中可能存在多种客户机,如Windows 95/98,Apple
Macintosh,Unix,OS/2等等,而这些客户机可能使用了不同的
网络协议,如TCP/IP协议,IPX/SPX等Windows NT系列操作支
持几乎所有常见的网络协议
(2)内置Internet功能
-内置IIS(Internet Information Server),可以使网络管理员轻松
的配置WWW和FTP等服务
(3)支持NTFS文件系统
-NT同时支持FAT和NTFS的磁盘分区格式使用NTFS的好处主要
是可以提高文件管理的安全性,用户可以对NTFS系统中的任何文
件,目录设置权限,这样当多用户同时访问系统的时候,可以增加
文件的安全性
BJFU Info Department, QiJd第七章操作系统安全配置方案
安全配置方案初级篇
安全配置方案初级篇主要介绍常规的操作
系统安全配置,包括十二条基本配置原
则:
(1)物理安全,(2)停止Guest帐号,
(3)限制用户数量
(4)创建多个管理员帐号,(5)管理员帐号改名
(6)陷阱帐号,(7)更改默认权限,(8)设置
安全密码
(9)屏幕保护密码,(10)使用NTFS分区
(11)运行防毒软件,(12)确保备份盘安全
BJFU Info Department, QiJd第七章操作系统安全配置方案
1,物理安全
服务器应该安放在安装了监视器的隔离房
间内,并且监视器要保留15天以上的摄像
记录
另外,机箱,键盘,电脑桌抽屉要上锁,
以确保旁人即使进入房间也无法使用电
脑,钥匙要放在安全的地方
2,停止Guest帐号
在计算机管理的用户里面把Guest帐号停用,任何时候都不允许
Guest帐号登陆系统
为了保险起见,最好给Guest 加一个复杂的密码,包含特殊字符,数
字,字母的长字符串
用它作为Guest帐号的密码并且修改Guest帐号的属性,设置拒绝
远程访问,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
3 限制用户数量
去掉所有的测试帐户,共享帐号和普通部门帐号
等等用户组策略设置相应权限,并且经常检查
系统的帐户,删除已经不使用的帐户
帐户很多是黑客们入侵系统的突破口,系统的帐
户越多,黑客们得到合法用户的权限可能性一般
也就越大
对于Windows NT/2000主机,如果系统帐户超过
10个,一般能找出一两个弱口令帐户,所以帐户
数量不要大于10个
BJFU Info Department, QiJd第七章操作系统安全配置方案
4 多个管理员帐号
虽然这点看上去和上面有些矛盾,但事实上是服
从上面规则的创建一个一般用户权限帐号用来
处理电子邮件以及处理一些日常事物,另一个拥
有Administrator权限的帐户只在需要的时候使
用
因为只要登录系统以后,密码就存储再
WinLogon进程中,当有其他用户入侵计算机的
时候就可以得到登录用户的密码,尽量减少
Administrator登录的次数和时间
5 管理员帐号改名
Windows 2000中的Administrator帐号是不能被停用的,这意味着
别人可以一遍又一边的尝试这个帐户的密码把Administrator帐户
改名可以有效的防止这一点
不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用
户,比如改成:guestone具体操作的时候只要选中帐户名改名就
可以了,如图所示
6 陷阱帐号
所谓的陷阱帐号是创建一个名为"Administrator"的本地帐
户,把它的权限设置成最低,什么事也干不了的那种,并
且加上一个超过10位的超级复杂密码
这样可以让那些企图入侵者忙上一段时间了,并且可以借
此发现它们的入侵企图可以将该用户隶属的组修改成
Guests组,如图所示
7 更改默认权限
共享文件的权限从"Everyone"组改成"授权用户""Everyone"在
Windows 2000中意味着任何有权进入你的网络的用户都能够获得这
些共享资料
任何时候不要把共享文件的用户设置成"Everyone"组包括打印共
享,默认的属性就是"Everyone"组的,一定不要忘了改设置某文
件夹共享默认设置如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
8安全密码
一些网络管理员创建帐号的时候往往用公司名,
计算机名,或者一些别的一猜就到的字符做用户
名,然后又把这些帐户的密码设置得比较简单,
这样的帐户应该要求用户首此登陆的时候更改成
复杂的密码,还要注意经常更改密码
这里给好密码下了个定义:安全期内无法破解出
来的密码就是好密码,也就是说,如果得到了密
码文档,必须花43天或者更长的时间才能破解出
来,密码策略是42天必须改密码
9屏幕保护密码
设置屏幕保护密码是防止内部人员破坏服务器的一个屏
障
还有一点,所有系统用户所使用的机器也最好加上屏幕保
护密码
将屏幕保护的选项"密码保护"选中就可以了,并将等待时
间设置为最短时间"1秒",如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
10 NTFS分区
把服务器的所有分区都改成NTFS格式NTFS文
件系统要比FAT,FAT32的文件系统安全得多
11防毒软件
Windows 2000/NT服务器一般都没有安装防毒软
件的,一些好的杀毒软件不仅能杀掉一些著名的
病毒,还能查杀大量木马和后门程序
要经常升级病毒库
BJFU Info Department, QiJd第七章操作系统安全配置方案
12备份盘的安全
一旦系统资料被黑客破坏,备份盘将是恢
复资料的唯一途径备份完资料后,把备
份盘防在安全的地方
把资料备份放在多台服务器上
BJFU Info Department, QiJd第七章操作系统安全配置方案
安全配置方案中级篇
安全配置方案中级篇主要介绍操作系统的安全策
略配置,包括十条基本配置原则:
(1)操作系统安全策略,
(2)关闭不必要的服务
(3)关闭不必要的端口,
(4)开启审核策略
(5)开启密码策略,
(6)开启帐户策略,(7)备份敏感文件
(8)不显示上次登陆名,(9)禁止建立空连接
(10)下载最新的补丁
1 操作系统安全策略
利用Windows 2000的安全配置工具来配置安全策略,微
软提供了一套的基于管理控制台的安全配置和分析工具,
可以配置服务器的安全策略
在管理工具中可以找到"本地安全策略"
可以配置四类安全策略:帐户策略,本地策略,公钥策略
和IP安全策略在默认的情况下,这些策略都是没有开启
的
BJFU Info Department, QiJd第七章操作系统安全配置方案
2 关闭不必要的服务
Windows 2000的Terminal Services(终
端服务)和IIS(Internet 信息服务)等都
可能给系统带来安全漏洞
为了能够在远程方便的管理服务器,很多
机器的终端服务都是开着的,如果开了,
要确认已经正确的配置了终端服务
有些恶意的程序也能以服务方式悄悄的运
行服务器上的终端服务要留意服务器上
开启的所有服务并每天检查
Windows2000可禁用的服务
服务名说明
Computer Browser维护网络上计算机的最新列表以及提供这个
列表
Task scheduler允许程序在指定时间运行
Routing and Remote
Access
在局域网以及广域网环境中为企业提供路由
服务
Removable storage管理可移动媒体,驱动程序和库
Remote Registry Service允许远程注册表操作
Print Spooler将文件加载到内存中以便以后打印要用打
印机的用户不能禁用这项服务
IPSEC Policy Agent管理IP安全策略以及启动
ISAKMP/Oakley(IKE)和IP安全驱动程序
Distributed Link Tracking
Client
当文件在网络域的NTFS卷中移动时发送通
知
Com+ Event System提供事件的自动发布到订阅COM组件
3 关闭不必要的端口
关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵
的机会就会少一些,但是不可以认为高枕无忧了
用端口扫描器扫描系统所开放的端口,在
Winnt\system32\drivers\etc\services文件中有知名端口和服务的对
照表可供参考该文件用记事本打开如图所示
设置本机开放的端口
设置本机开放的端口和服务,在IP地址设置窗口
中点击按钮"高级",如图所示
设置本机开放的端口
在出现的对话框中选择选项卡"选项",选中
"TCP/IP筛选",点击按钮"属性",如图所示
设置本机开放的端口
设置端口界面如图所示
一台Web服务器只允许TCP的80端口通过就可以了
TCP/IP筛选器是Windows自带的防火墙,功能比较强
大,可以替代防火墙的部分功能
4 开启审核策略
安全审核是Windows 2000最基本的入侵检测方法当有人尝试对系
统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件
访问等等)入侵的时候,都会被安全审核记录下来
必须开启的审核如下表:
策略设置
审核系统登陆事件成功,失败
审核帐户管理成功,失败
审核登陆事件成功,失败
审核对象访问成功
审核策略更改成功,失败
审核特权使用成功,失败
审核系统事件成功,失败
审核策略默认设置
审核策略在默认的情况下都是没有开启的,如图所
示
设置审核策略
双击审核列表的某一项,出现设置对话框,将复
选框"成功"和"失败"都选中,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
5 开启密码策略
密码对系统安全非常重要本地安全设置
中的密码策略在默认的情况下都没有开
启需要开启的密码策略如表所示
策略设置
密码复杂性要求启用
密码长度最小值6位
密码最长存留期15天
强制密码历史5个
设置密码策略
设置选项如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
6 开启帐户策略
开启帐户策略可以有效的防止字典式攻击,
设置如表所示
策略设置
复位帐户锁定计数器30分钟
帐户锁定时间30分钟
帐户锁定阈值5次
BJFU Info Department, QiJd第七章操作系统安全配置方案
设置帐户策略
设置的结果如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
7 备份敏感文件
把敏感文件存放在另外的文件服务器中;
把一些重要的用户数据(文件,数据表和
项目文件等)存放在另外一个安全的服务
器中,并且经常备份它们
8 不显示上次登录名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆
的帐户名,本地的登陆对话框也是一样黑客们可以得到系统的一些
用户名,进而做密码猜测
修改注册表禁止显示上次登录名,在HKEY_LOCAL_MACHINE主键
下修改子键:
Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont
DisplayLastUserName,将键值改成1,如图所示
9 禁止建立空连接
默认情况下,任何用户通过空连接连上服务器,进而可以
枚举出帐号,猜测密码
可以通过修改注册表来禁止建立空连接在
HKEY_LOCAL_MACHINE主键下修改子键:
System\CurrentControlSet\Control\LSA\RestrictAnon
ymous,将键值改成"1"即可如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
10 下载最新的补丁
很多网络管理员没有访问安全站点的习
惯,以至于一些漏洞都出了很久了,还放
着服务器的漏洞不补给人家当靶子用
经常访问微软和一些安全站点,下载最新
的Service Pack和漏洞补丁,是保障服务
器长久安全的唯一方法
BJFU Info Department, QiJd第七章操作系统安全配置方案
安全配置方案高级篇
高级篇介绍操作系统安全信息通信配置,包
括十四条配置原则:
(1)关闭DirectDraw,(2)关闭默认共享
(3)禁用Dump File,(4)文件加密系统
(5)加密Temp文件夹(6)锁住注册表,
(7)关机时清除文件
(8)禁止软盘光盘启动(9)使用智能卡,
(10)使用IPSec
(11)禁止判断主机类型,(12)抵抗DDOS
(13)禁止Guest访问日志
(14)数据恢复软件
1 关闭DirectDraw
C2级安全标准对视频卡和内存有要求关闭DirectDraw可能对一些
需要用到DirectX的程序有影响(比如游戏),但是对于绝大多数的
商业站点都是没有影响的
在HKEY_LOCAL_MACHINE主键下修改子键:
SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeo
ut,将键值改为"0"即可,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
2 关闭默认共享
Windows 2000安装以后,系统会创建一些隐藏的
共享,可以在DOS提示符下输入命令Net Share 查
看,如图所示
停止默认共享
禁止这些共享,打开管理工具>计算机管理>共享文件夹>
共享,在相应的共享文件夹上按右键,点"停止共享"即
可,如图所示
3 禁用Dump文件
在系统崩溃和蓝屏的时候,Dump文件是一份很有用资
料,可以帮助查找问题然而,也能够给黑客提供一些敏
感信息,比如一些应用程序的密码等
需要禁止它,打开控制面板>系统属性>高级>启动和故障
恢复,把写入调试信息改成无,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
4 文件加密系统
Windows2000强大的加密系统能够给磁盘,文
件夹,文件加上一层安全保护这样可以防止别
人把你的硬盘挂到别的机器上以读出里面的数
据
微软公司为了弥补Windows NT 40的不足,在
Windows 2000中,提供了一种基于新一代
NTFS:NTFS V5(第5版本)的加密文件系统
(Encrypted File System,简称EFS)
EFS实现的是一种基于公共密钥的数据加密方
式,利用了Windows 2000中的CryptoAPI结
构
BJFU Info Department, QiJd第七章操作系统安全配置方案
5 加密Temp文件夹
一些应用程序在安装和升级的时候,会把
一些数据拷贝到Temp文件夹,但是当程序
升级完毕或关闭的时候,并不会自己清除
Temp文件夹的内容
所以,给Temp文件夹加密可以多一层保
护
6 锁住注册表 在Windows2000中,只有Administrators和Backup Operators才有从
网络上访问注册表的权限当帐号的密码泄漏以后,黑客也可以在远程
访问注册表,当服务器放到网络上的时候,一般需要锁定注册表修改
Hkey_current_user下的子键
Software\microsoft\windows\currentversion\Policies\system
把DisableRegistryTools的值该为0,类型为DWORD,如图所示
7 关机时清除文件 页面文件也就是调度文件,是Windows 2000用来存储没有装入内存
的程序和数据文件部分的隐藏文件
一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文
件中可能含有另外一些敏感的资料要在关机的时候清除页面文件,
可以编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键:
-SYSTEM\CurrentControlSet\Control\Session Manager\Memory
Management
-把ClearPageFileAtShutdown的值设置成1,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
8 禁止软盘光盘启动
一些第三方的工具能通过引导系统来绕过原有的
安全机制比如一些管理员工具,从软盘上或者
光盘上引导系统以后,就可以修改硬盘上操作系
统的管理员密码
如果服务器对安全要求非常高,可以考虑使用可
移动软盘和光驱,把机箱锁起来仍然不失为一个
好方法
BJFU Info Department, QiJd第七章操作系统安全配置方案
9 使用智能卡
对于密码,总是使安全管理员进退两难,
容易受到一些工具的攻击,如果密码太复
杂,用户把为了记住密码,会把密码到处
乱写
如果条件允许,用智能卡来代替复杂的密
码是一个很好的解决方法
BJFU Info Department, QiJd第七章操作系统安全配置方案
10 使用IPSec
正如其名字的含义,IPSec提供IP数据包的
安全性
IPSec提供身份验证,完整性和可选择的机
密性发送方计算机在传输之前加密数
据,而接收方计算机在收到数据之后解密
数据
利用IPSec可以使得系统的安全性能大大增
强
11 禁止判断主机类型
黑客利用TTL(Time-To-Live,生存时间)值可以鉴别操作系统的类
型,通过Ping指令能判断目标主机类型Ping的用处是检测目标主
机是否连通
许多入侵者首先会Ping一下主机,因为攻击某一台计算机需要根据
对方的操作系统,是Windows还是Unix如过TTL值为128就可以认
为你的系统为Windows 2000,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
TTL值-判断主机类型
从表中可以看出,TTL值为128,说明改主机的操作系统
是Windows 2000操作系统下表给出了一些常见操作系
统的对照值
操作系统类型TTL返回值
Windows 2000128
Windows NT107
win9x128 or 127
solaris252
IRIX240
AIX247
Linux241 or 240
BJFU Info Department, QiJd第七章操作系统安全配置方案
修改TTL的值
修改TTL的值,入侵者就无法入侵电脑了比如将操作系统的TTL值
改为111,修改主键HKEY_LOCAL_MACHINE的子键:
SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAME
TERS
新建一个双字节项,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
修改TTL的值
在键的名称中输入"defaultTTL",然后双击改键名,选择
单选框"十进制",在文本框中输入111,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
修改TTL的值
设置完毕重新启动计算机,再用Ping指令,发现
TTL的值已经被改成111了,如图所示
12 抵抗DDOS
添加注册表的一些键值,可以有效的抵抗DDOS的攻击在键值
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcp
ip\Parameters]下增加响应的键及其说明如表所示
增加的键值键值说明
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000000
"KeepAliveTime"=dword:00000000
"PerformRouterDiscovery"=dword:00000000
基本设置
"EnableICMPRedirects"=dword:00000000防止ICMP重定向报文的攻击
"SynAttackProtect"=dword:00000002防止SYN洪水攻击
"TcpMaxHalfOpenRetried"=dword:00000080
"TcpMaxHalfOpen"=dword:00000100
仅在TcpMaxHalfOpen和
TcpMaxHalfOpenRetried设置
超出范围时,保护机制才会采取
措施
"IGMPLevel"=dword:00000000不支持IGMP协议
"EnableDeadGWDetect"=dword:00000000禁止死网关监测技术
"IPEnableRouter"=dword:00000001支持路由功能
BJFU Info Department, QiJd第七章操作系统安全配置方案
13 禁止Guest访问日志
在默认安装的Windows NT和Windows 2000中,Guest
帐号和匿名用户可以查看系统的事件日志,可能导致许多
重要信息的泄漏,修改注册表来禁止Guest访问事件日
志
禁止Guest访问应用日志
-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic
es\Eventlog\Application下添加键值名称为:
RestrictGuestAccess,类型为:DWORD,将值设置为1
系统日志:
-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic
es\Eventlog\System下添加键值名称为:
RestrictGuestAccess,类型为:DWORD,将值设置为1
安全日志
-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic
es\Eventlog\Security下添加键值名称为:
RestrictGuestAccess,类型为:DWORD,将值设置为1
14 数据恢复软件
当数据被病毒或者入侵者破坏后,可以利用数据恢复软件
可以找回部分被删除的数据,在恢复软件中一个著名的软
件是Easy Recovery软件功能强大,可以恢复被误删除
的文件,丢失的硬盘分区等等软件的主界面如图所示
Easy Recovery
比如原来在E盘上有一些数据文件,被删除了,选择左边
栏目"Data Recovery",然后选择左边的按钮
"Advanced Recovery",如图所示
Easy Recovery
进入Advanced Recovery对话框后,软件自动扫描出目
前硬盘分区的情况,分区信息是直接从分区表中读取出来
的,如图所示
Easy Recovery
现在要恢复E盘上的文件,所以选择E盘,点击按
钮"Next",如图所示
Easy Recovery
软件开始自动扫描该盘上曾经有哪些被删除了文件,根据
硬盘的大小,需要一段比较长的时间,如图所示
Easy Recovery
扫描完成以后,将该盘上所有的文件以及文件夹显示出
来,包括曾经被删除文件和文件夹,如图所示
Easy Recoery
选中某个文件夹或者文件前面的复选框,然后点
击按钮"Next",就可以恢复了如图所示
Easy Recovery
在恢复的对话框中选择一个本地的文件夹,将文件保存到
该文件夹中,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
Easy Recovery
选择一个文件夹后,点击按钮"Next",就出现了恢复的
进度对话框,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
本章总结
本章分成三部分介绍Windows 2000的安
全配置
三部分共介绍安全配置三十六项,如果每
一条都能得到很好的实施的话,该服务器
无论是在局域网还是广域网,即使没有网
络防火墙,已经比较安全了
需要重点理解三大部分中的每一项设置,
并掌握如何设置
我是电脑初学者,电脑应该怎么用呢!
你几岁。
一般打字连起。
然后慢慢熟悉浏览器。
我是电脑初学者,我该怎么办把打字速度练习上来,再找一家美术社,工作一段时间,然后找一家设计为主的公司做。这时你需要掌握word,photoshop,dreamweave,等软件。
我是电脑初学者应该怎么样重新做系统?叛翅御沫前诊挡这马奖
重装电脑系统的步骤
1首先,打开电脑电源,光驱中放入XP安装光盘,然后按住DEL进入BIOS先设置CD-ROM为第1启动!如果出现提示"Boot from CD" 的时候请按一下回车就可以了!
2进入启动画面,选择安装WinXP,按回车就安装了!可能按回车会出现或 "Press any key to Boot from CD",这时候继续按一下回车,不然会硬盘启动了!
3选择第1个,按回车,就开始安装了,读取驱动程序到内存!
4加载驱动以后可以看到你硬盘的分区情况,建议安装C盘,这里注意的是,如果你想全新安装,那么就需要格式化,所以格式化的关键先要删除C盘,只有这样安装的XP才是全新的XP!所以请把光标移动到C盘,然后按"D",删除分区C!
5你按了"D"(删除)以后,XP会确认,因为怕你删除错,提示删除会丢失数据,这个当然,我就是要格式化再安装!所以请按"回车"继续! 6继续按"L"!
7删除以后,C盘就变成未划分的分区了!按"回车"继续!
8这里会让你选择磁盘格式,下面我说说NTFS和FTA的区别~!
首先NTFS具有FAT所有的优点,NTFS相对于FAT碎片少,安全性高,可以加密文件,支持磁盘配额支持30G以上的分区,支持压缩,最高压缩50%,当然问我的话,我喜欢用NTFS!整理磁盘也很快!但是呢,NTFS由于安全性高,所以NTFS分区在DOS下访问不到,对于启动软盘就不能对它格式化了,只有XP光盘才能格式化!
所以,如果你不清楚的话,那建议还是用 FAT!下面4个选择,(快)表示快速格式化!
9按"回车"继续!
10正在格式化!
11安装开始啦,你可以去看电视了,光盘安装都是自动的,从现在开始到安装完毕估计20-30分钟!
12熟悉的安装画面!
13安装好了,第1次重新启动
电脑初学者应该怎样过一级啊一级就是打字的速度,office软件的熟练度,没其他的
电脑初学者应该怎么样轻松配置一台自己的电脑找个懂行的帮你啊。
主要问题是要根据预算和用途怎么选配置
最合理 性价比高
不懂追问。看俺等级大神在。
我是一个电脑初学者,应该怎样学习函数函数所指的是offece excel函数还是其它方面的
offece 函数 ——到 EXCELHOME 论坛免费注册一个帐号,从那里可学到很多初学者入门的知识
如果上网不方便可以到当当网买一本《EXCEL实用大全》这本书由浅入深帮你学习。
先从简单 match lookup offset 开始,祝你成为EXCEL高手!
编程函数——先从linux开始,在熟悉VB 、PB 、SQL语句格式后再试着编写一些小程序,比如手机游戏等练习一下。祝你成功
电脑初学者应该怎么学习电脑啊?希望先行者给点建议!谢谢了基础:
如何去学习
·要有学习目标
·要有学习计划
·要有正确的心态
·有很强的自学能力
学习目标
·1明确自己的发展方向(你现在或者将来要做什么,程序员安全专家网络黑客等)
·2自己目前的水平和能力有多高
·能简单操作windows2000
·能简单配置windows2000的一些服务
·能熟练的配置Windows2000的各种服务
·能熟练配置win2000和各种网络设备联网
·能简单操作Linux,Unix,Hp-unix, Solaris中的一种或者多种操作系统
·能配置cicso,huawei,3,朗迅等网络设备
·会简单编写C/C++,Delphi,Java,PB,VB,Perl
·能简单编写Asp,Php,Cgi和script,shell脚本
·3必须学会不相信态度,尊重各种各样的能力
·不要为那些装模做样的人浪费时间
·尊重别人的能力,
·会享受提高自己能力的乐趣
·在知道了自己的水平和能力之后就要开始自己的目标了
·--------安全专家
·--------黑客
·---- ----高级程序员
·黑客是建设网络,不是破坏网络, 破坏者是骇客;
·黑客有入侵的技术,但是他们是维护网络的,所以和安全专家是差不多的;
·因为懂得如何入侵才知道如何维护
·因为懂得如何维护才更要了解如何入侵
·这是 黑客与安全专家的联系
·但,他们都是在会编程的基础上成长的!
·下面我们开始我们的学习计划!
学习计划
有了学习计划才能更有效的学习
安全学习计划
不奢求对win98有多么精通,我们也不讲解win98如何应用,如何精通,我们的起步是win2000 s
erver,这是我们培训的最低标准,你对英语有一定的了解也是必不可少
最基础
·a会装win2000,知道在安装的时候有两种分区格式,NTFS与FAT32 及他们的区别,知道win2
000可以在安装的时候分区,格式化硬盘, 可以定制安装,可以定制自己需要安装的一些组件
,如果有网络适配器,可以直接加入域中 学习点:NTFS和FAT32分区的不同 各个组件的作用
域的定义
·b知道如何开,关机 知道注销的用处
·c知道win2000下面各主要目录的作用 Documents and Settings,WINNT,system32 Progra
m Files
·d知道管理工具里面各个组件的定义
·e学会应用命令提示符cmd(dos)
·f 知道计算机管理里面的各个选项的不通
·g知道win2000强大的网络管理功能
·h能非常熟练的操作win2000
·i知道IP地址,子网掩码,网关和MAC的区别
进阶
·A配置IIS,知道各个选项的作用
·B配置DNS,DHCP
·C配置主控制域,辅助域
·D配置DFS
·E配置路由和远程访问
·F配置安全策略IPSEC
·G配置service(服务)
·H配置磁盘管理,磁盘分额
·i 配置RAID(0,1,0+1,5)
·J路由器的安装与简单配置
·K交换机的安装与简单配置
·L常见的***,VLAN,NAT配置
·M配置常见的企业级防火墙
·N配置常见的企业级防病毒软件
高级
·之前我们学到的是任何一个想成为网络安全专家和黑客基本知识中的一部分
·你作到了吗
·如果你做到了,足以找到一份很不错的工作!
配置负载均衡
·配置WIN2000+IIS+EXCHANGE+MSSQL+SERVER-U+负载均衡+ASP(PHPCGI)+CHECK PIONT(ISA
SERVER) ·
·配置三层交换网络 ·
·配置各种复杂的网络环境
·能策划一个非常完整的网络方案 ·
·能独自组建一个大型的企业级网络 ·
·能迅速解决网络中出现的各种疑难问题
结束
·在你上面的都学好了,你已经是一个高级人才了,也是我们VIP培训的目标!
·可以找到一份非常好的工作
·不会再因为给女朋友买不起玫瑰而发愁了!
安全:
导读
·系统安全服务(SYSTEM)
·防火墙系统(FIREWALL)
·入侵检测(IDS)
·身份验证(CA)
·网站监控和恢复(WEBSITE)
·安全电子商务(E-BUSINESS)
·安全电子邮件(E-MAIL)
·安全办公自动化(OA)
·Inter访问和监控(A&C)
·病毒防范(VIRUS)
·虚拟局域网(***)
系统安全服务
·系统安全管理
·系统安全评估
·系统安全加固
·系统安全维护
·安全技能学习
系统安全管理
·信息系统安全策略
·信息系统管理员安全手册
·信息系统用户安全手册
·紧急事件处理流程
系统安全评估
1、系统整体安全分析
· 分析用户的网络拓扑结构,以找出其结构性及网络 配置上存在的安全隐患。
· 通过考察用户信息设备的放置场地,以使得设备物理上是安全的。
· 分析用户信息系统的管理、使用流程,以使得系统 能够安全地管理、安全地使用
2、主机系统安全检测
· 通过对主机进行安全扫描,以发现系统的常见的安全漏洞。
· 对于特定的系统,采用特别的工具进行安全扫描。
· 根据经验,对系统存在的漏洞进行综合分析。
· 给出系统安全漏洞报告。
· 指出各个安全漏洞产生的原因以及会造成的危险。
· 给出修复安全漏洞的建议
3、网络设备安全检测
· 通过对网络进行安全扫描,以发现网络设备的安全漏洞。
· 根据经验,对网络设备存在的漏洞进行综合析。
· 给出网络设备安全漏洞报告。
· 指出各个安全漏洞产生的原因以及会造成的险。
· 给出修复安全漏洞的建议。
安全系统加固
·为用户系统打最新安全补丁程序。
·为用户修复系统、网络中的安全漏洞。
·为用户去掉不必要的服务和应用系统。
·为用户系统设置用户权限访问策略。
·为用户系统设置文件和目录访问策略。
·针对用户系统应用进行相应的安全处理。
安全系统维护
·防火墙系统维护,安全日志分析
·IDS系统维护,安全日志分析
·***系统维护,安全日志分析
·认证系统维护,安全日志分析
·服务器、主机系统,安全日志分析
·其它各类安全设施维护及日志分析
安全技能培训
·网络安全基础知识
·网络攻击手段演示和防范措施
·防火墙的原理和使用
·***的原理和使用
·漏洞扫描工具的原理和使用
·IDS(入侵检测系统)的原理和使用
·身份认证系统的原理和使用
·防病毒产品的原理和使用
·系统管理员安全培训
·一般用户安全培训
防火墙系统
·防火墙的定义
·防火墙的分类
·包过滤防火墙
·应用网关防火墙
·状态检测防火墙
·一般企业防火墙配置
· 机构防火墙配置
·涉密网络保密网关配置
·高可用性和负载均衡防火墙系统
·高速防火墙系统
防火墙的定义
·用以连接不同信任级别网络的设备。
·用来根据制定的安全规则对网络间的通信进行控制
防火墙的分类
·包过滤 (Packet Filters)
·应用网关 (Application Gateways)
·状态检测(Stateful Inspection)
包过滤防火墙
·包 过 滤 技 术
·主要在路由器上实现,根据用户定义的内容(如IP地址、端口号)进行过滤。包过滤在网
络层进行包检查与应用无关。
· 优 点
· 具有良好的性能和可伸缩性。
· 缺点
· 由于包过滤技术是对应用不敏感的,无法理解特定通讯的含义,因而安全性很差。
应用网关防火墙
·应用网关技术
·第二代防火墙技术,其在应用的检查方面有了较大的改进,能监测所有应用层,同时对应
用“内容”(Content Information)的含义引入到了防火墙策略的决策处理。
· 优点
· 安全性比较高。
· 缺点
· 1、该方法对每一个请求都必须建立两个连接,一个从客户端到防火墙系统,另一个从
防火墙系统到服务器,这会严重影响性能。
· 2、防火墙网关暴露在攻击者之中。
· 3、对每一个代理需要有一个独立的应用进程或 daemon 来处理, 这样扩展性和支持
新应用方面存在问题。
电脑初学者该看什么书(电脑的应用,技巧)要看你以后是准备向哪个方向发展的,如果你只是简单了解下电脑知识,并不准备学习电脑专业,就是会用电脑就可以的,一些电脑入门,软件应用和简单维修 保养的书就可以了,如果你是准备学习办公的,那就是OFFIC学习的书了,如果你准备要进入IT这行业的,那你就要开始看编程 网络 网页设计等书了,不过一般来说,WIN XP这些学习的书都是最开始学习的
我是电脑初学者,请教一下。PrtScSysRq是屏幕打印键
ScrollLock是滚动锁定键
PauseBreak暂停,终止键
lnsert插入键
PsK,一为美妆,另一为路由器的秘钥方式。
品牌故事
在一个极为偶尔的机缘下发现,中美集团的科研人员在从事研发工作中,长时间的接触精纯提炼的水溶性辅酶Q10原料,意外的使原本粗糙的手部肌肤逐渐变得细腻柔滑随後便将水溶性辅酶Q10送至中美集团位於台北的实验室(后为PSK品牌台北研发中心)进行分析分析数据显示,精纯的水溶性辅酶Q10可被肌肤表皮所吸收,从而在肌肤表面发挥辅酶Q10原本的功效,大量清除自由基(人体衰老的关键物质),再生肌肤表皮内的维生素e从来达到逆转肌肤老化进程
中美集团经过反复体外实验,证明了辅酶Q10成份的安全性以及有效性(辅酶Q10产品在欧盟被认定为非处方药物,可任意购买及使用中国药监局也於2009年认可辅酶Q10成份具有抗衰老的功效)并开始了小批量的以水溶性辅酶Q10为核心成份的保养品制造,在台湾进行了第一次消费者试用活动活动反馈数据表明988%的试用人群认可产品的护肤功效并且无一例敏感性报告
2008年伊始,中美联合实业股份有限公司在台湾隆重推出美妆品牌-PSK
品牌历程
PSK宝丝汀品牌诞生于2008年,品牌自诞生之初就以独树一帜的“教育营销”模式,创造了发展奇迹,以卓越不凡的产品品质和物超所值的产品价值为消费者认可。现今PSK已成为广大爱美人群“可负担的奢侈品”。PSK坚持品质第一的生产理念,选择最优质的纯天然材料,制作生产高品质的保养产品以及彩妆产品。
2011年PSK宝丝汀品牌被台湾牧人企业收入囊中之后快速发展,公司先后在上海、沈阳、哈尔滨、郑州、福州、温州都设立办事处。是目前台湾在大陆规模最大、实力最强、最具发展潜力的美容化妆品企业之一。
共享密钥预共享密钥是用于验证 L2TP/IPSec 连接的 Unicode 字符串。可以配置“路由和远程访问”来验证支持预共享密钥的 *** 连接。许多操作系统都支持使用预共享密钥,包括 Windows Server 2003 家族和 Windows XP。也可以配置运行 Windows Server 2003 家族版的“路由和远程访问”的服务器,使用预共享密钥验证来自其他路由器的连接。
预共享密钥模式(pre-shared key,PSK, 又称为个人模式)是设计给负担不起 8021X 验证服务器的成本和复杂度的家庭和小型公司网络用的,每一个使用者必须输入密语来取用网络,而密语可以是 8 到 63 个 ASCII 字符、或是 64 个16位数字(256位元)。使用者可以自行斟酌要不要把密语存在电脑里以省去重复键入的麻烦,但密语一定要存在 Wi-Fi 取用点里。
安全性是利用密钥导出函数来增强的,然而使用者采用的典型的弱密语会被密码破解攻击。WPA 和 WPA2 可以用至少 5 个Diceware词或是 14 个完全随机字母当密语来击败密码破解攻击,不过若是想要有最大强度的话,应该采用 8 个 Diceware 词或 22 个随机字母。密语应该要定期更换,在有人使用网络的权利被撤消、或是设定好要使用网络的装置遗失或被攻破时,也要立刻更换。
WPA-PSK加密方式尚有一漏洞,攻击者可利用spoonwpa等工具,搜索到合法用户的网卡地址,并伪装该地址对路由器进行攻击,迫使合法用户掉线重新连接,在此过程中获得一个有效的握手包,并对握手包批量猜密码,如果猜密的字典中有合法用户设置的密码,即可被破解。建议用户在加密时尽可能使用无规律的字母与数字,以提高网络的安全性。
优缺点
预共享密钥验证不需要在公钥结构 (PKI) 方面上进行硬件投资与配置,只在使用计算机证书进行 L2TP/IPSec 验证时需要用到它。在远程访问服务器上配置预共享密钥很简单,在远程访问客户端上配置它也相对容易。如果预共享密钥是以放在“连接管理器”配置文件内的方式发行,则对用户可以是透明的。如果您要建立 PKI 或者在管理 Active Directory 域,则可以配置“路由和远程访问”以接受使用计算机证书或预共享密钥的 L2TP/IPSec 连接。
但是,单个远程访问服务器对需要预共享密钥进行身份验证的所有 L2TP/IPSec 连接只使用一个预共享密钥。因此,必须对使用预共享密钥连接到远程访问服务器的所有 L2TP/IPSec *** 客户端发行相同的预共享密钥。除非预共享密钥是以放在“连接管理器”配置文件内的方式分发,否则每个用户必须手动输入预共享密钥。此限制进一步降低了部署安全性,增加了发生错误的机率。而且,如果远程访问服务器上的预共享密钥发生更改,则手工配置预共享密钥的客户端将无法连接到该服务器上,除非客户端上的预共享密钥也进行更改。如果预共享密钥是以放在“连接管理器”配置文件内的方式分发给客户端的,则必须重新发行包括新预共享密钥的配置文件,并在客户端计算机上进行重新安装。与证书不同,预共享密钥的起源和历史都无法确定。由于这些原因,使用预共享密钥验证 L2TP/IPSec 连接被认为是一种安全性相对较差的身份验证方法。如果需要一种长期、可靠的身份验证方法,则应考虑使用 PKI。
问题
预共享密钥是在远程访问服务器和 L2TP/IPSec 客户端上都要配置的字符序列。预共享密钥可以是至多 256 个 Unicode 字符任意组合的任意非空字符串。当选择预共享密钥时,请考虑到使用“新建连接”向导创建 *** 客户端连接的用户必须手动键入预共享密钥。为提供足够的安全性,密钥通常很长也很复杂,这对大部分用户来说很难准确地键入。如果 *** 客户端出现的预共享密钥与远程访问服务器上配置的预共享密钥有任何不同,客户端身份验证将失败。
首次存储预共享密钥时,远程访问服务器和 *** 客户端会尝试将 Unicode 字符串转化为 ASCII。如果尝试成功,则将使用 ASCII 版本的字符串进行身份验证。该策略确保预共享密钥不会在传输过程中被与 Unicode 标准不兼容的任何设备(如其他公司的路由器)所破坏。如果预共享密钥无法存储为 ASCII,则使用 Unicode 字符串。如果 Unicode 预共享密钥必须由与 Unicode 标准不兼容的任何设备所处理,则连接尝试无疑会失败。
工具包
通过使用“连接管理器管理工具包 (CMAK)”向导,可以为用户创建自定义的连接。可使用 CMAK 向导创建包含预共享密钥的 *** 连接配置文件。因为配置文件是自解压缩的,所以用户不必键入预共享密钥,甚至不必知道存在预共享密钥。通过用个人识别码 (PIN) 加密预共享密钥,可进一步增加“连接管理器”配置文件分发的安全性。通过这种方法,用户不仅看不到而且也不必键入预共享密钥,您可以分别分发配置文件和 PIN,以减少未经授权的用户可能对网络的访问。
5相移键控词名:PSK
中文解释:相移键控
常用别名:phase-shift keying
缩写:PSK
来历:phase shift keying
相关术语:ASK,FSK,QAM,Modulation
定义 :移相键控方法是通过改变载波信号的相位值来表示数字信号 1,0的。如果用相位的绝对值表示数字信号1,0,则称为绝对调相。如果用相对偏移值表示数字信号10,则成为相对调相。
PSK的一般表达式:si(t)=(2E/T)^1/2cos[ω0t+φi(t)],0≤t≤T,i=1,2,,M
其中φi(t)=2πi/M
若为二进制PSK(BPSK),M=2
概 述 在某些调制解调器中用于数据传输的调制系统,在最简单的方式中,二进制调制信号产生0和1。载波相位来表示信号占和空或者二进制1和O。对于有线线路上较高的数据传输速率,可能发生4个或8个不同的相移,系统要求在接收机上有精确和稳定的参考相位来分辨所使用的各种相位。利用不同的连续的相移键控,这个参考相位被按照相位改变而进行的编码数据所取代,并且通过将相位与前面的位进行比较来检测。
相移键控(PSK):一种用载波相位表示输入信号信息的调制技术。移相键控分为绝对移相和相对移相两种。以未调载波的相位作为基准的相位调制叫作绝对移相。以二进制调相为例,取码元为“1”时,调制后载波与未调载波同相;取码元为“0”时,调制后载波与未调载波反相;“1”和“0”时调制后载波相位差180°。
根据香农理论,在确定的带宽里面,对于给定的信号SNR其传送的无差错数据速率存在着理论上的极限值,从另一个方面来理解这个理论,可以认为,在特定的数据速率下,信号的带宽和功率比(或理解成SNR)可以互相转换,这一理论成功地使用在传播状态极端恶劣的短波段,在这里具有活力的通信方式比快速方式更有实用意义。PSK就是这一理论的成功应用。所谓PSK就是根据数字基带信号的两个电平使载波相位在两个不同的数值之间切换的一种相位调制方法。
传统的本地通讯借助于电线传输,因为这既省钱又可保证信息可靠传送。而长途通讯则需要通过无线电波传送信息。从系统硬件设备方面考虑这很方便省事,但是从传送信息的准确性考虑,却导致了信息传送不确定性增加,而且由于常常需要借助于大功率传送设备来克服因气象条件、高大建筑物以及其他各种各样的电磁干扰。 各种不同类型的调制方式能够根据系统造价、接收信号品质要求提供各种不同的解决方案,但是直到不久以前它们大部分还是属于模拟调制范畴,频率调制和相位调制噪声小,而幅度调制解调结构要简单的多。如今由于低成本微控制器的出现以及民用移动电话和卫星通信的引入,数字调制技术日益普及。数字式调制具有采用微处理器的模拟调制方式的所有优点,通讯链路中的任何不足均可借助于软件根除,它不仅可实现信息加密,而且通过误差校准技术,使接收到的数据更加可靠,另外借助于DSP,还可减小分配给每个用户设备的有限带宽,频率利用率得以提高。 如同模拟调制,数字调制也可分为频率调制、相位调制和幅度调制,性能各有千秋。由于频率、相位调制对噪声抑制更好,因此成为当今大多数通讯设备的首选方案。
一:***概念
***即虚拟专用网(Virtal Private Network),是一条穿过混乱的公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输,在一个公用网络(通常是因特网)建立一个临时的、安全的连接,从而实现在公网上传输私有数据、达到私有网络的安全级别,如果接入方式为拨号方式,则称之为VPDN。通常,***是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。***可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
二:***工作原理
***通过公众IP网络建立了私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来。减轻了企业的远程访问费用负担,节省电话费用开支,并且提供了安全的端到端的数据通讯。
用户连接***的形式:
常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中,PPP(点对点协议)数据包流是通过专用线路传输的。在***中,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。
这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN中拉出一根串行通信电缆。那么,如何形成***隧道呢?
建立隧道有两种主要的方式:客户启动(Client-Initiated)或客户透明(Client-Transparent)。客户启动要求客户和隧道服务器(或网关)都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道,隧道服务器中止隧道,ISP可以不必支持隧道。客户和隧道服务器只需建立隧道,并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立,就可以进行通信了,如同ISP没有参与连接一样。
另一方面,如果希望隧道对客户透明,ISP的POPs就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器,服务器必须能识别这一连接要与某一特定的远程点建立隧道,然后服务器与隧道服务器建立隧道,通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件,但客户只能拨号进入正确配置的访问服务器。
三:***的应用
目前,用于企业内部自建***的主要有两种技术——IP Sec ***和SSL ***,IPSec***和SSL ***主要解决的是基于互联网的远程接入和互联,虽然在技术上来说,它们也可以部署在其它的网络上(如专线),但那样就失去了其应用的灵活性,它们更适用于商业客户等对价格特别敏感的客户。
但针对IPSec ***和SSL ***两种技术,目前业内存在着较多争议。虽然目前企业应用最广泛的是IPSec ***,然而Infornetics Research研究表明,在未来的几年中IPSec的市场份额将下降,而SSL ***将逐渐上升。用户在考虑采用哪种技术时经常会遇到两难的选择,即安全性与使用便利的冲突。而事实上没有哪一种技术是完美的,只有用户明确了自己的需求,才能选择到适合自己的解决方案。IPSec ***比较适合中小企业,其拥有较多的分支机构,并通过***隧道进行站点之间的连接,交换大容量的数据。企业有一定的规模,并且在IT建设、管理和维护方面拥有一定经验的员工。企业的数据比较敏感,要求安全级别较高。企业员工不能随便通过任意一台电脑就访问企业内部信息,移动办公员工的笔记本或电脑要配置防火墙和杀毒软件。而SSL ***更适合那些需要很强灵活性的企业,员工需要在不同地点都可以轻易的访问公司内部资源,并可能通过各种移动终端或设备。企业的IT维护水平较低,员工对IT技术了解甚少,并且IT方面的投资不多。
SSL *** 三大好处:
1、使用方便,不需要配置,可以立即安装和使用;
2、无需客户端,直接使用内嵌的SSL协议,而且几乎所有的浏览器都支持SSL协议。
3、兼容性好,支持电脑、PDA、智能手机、3G手机等一系列终端设备及大量移动用户接入的应用。
SSL ***缺点
只适合Site-to-LAN(点对网)的连接,无法解决LAN to LAN *** 需求。
四:***的发展趋势
从目前的市场情况看,IPSec仍占据最大的市场份额,但是它的种种弊端已经暴露出来。一些用户已经开始同时部署两种解决方案,比如远程访问办公通过SSL ***,而站点之间的连接通过IPSec。在未来几年内,两种解决方案还将共存,但是SSL ***凭借其简单易用、部署及维护成本低,会受到企业用户的青睐,将会有更大的发展空间。
在深信服科技公司11月的冬季巡展上相关人员介绍说:SSL ***、多功能合一的***产品,会逐渐成为市场热点。用户的需求正在从简单的通过***实现“连接”这一基本要求,逐渐在向***网络的效率、可管理性、扩展性等方面发展。另外移动办公的***应用也在迅速发展。SSL ***以其不需安装客户端的最明显特点,在移动办公领域具有易用、易于管理的显著优势。同时,***作为网关产品、用户(尤其是中小企业用户)也希望该网关不仅仅具备单一的***功能,而是能把防火墙、网关杀毒、垃圾邮件过滤等实用功能集成于一体。网关数量较多的***网络,更是对整网的可管理性提出了进一步的要求。
目前服务器常用的操作系统有三类:
-Unix
-Linux
-Windows NT/2000/2003 Server
这些操作系统都是符合C2级安全级别的操作系
统但是都存在不少漏洞,如果对这些漏洞不了
解,不采取相应的措施,就会使操作系统完全暴
露给入侵者
BJFU Info Department, QiJd第七章操作系统安全配置方案
UNIX系统
UNIX操作系统是由美国贝尔实验室开发的
一种多用户,多任务的通用操作系统
诞生于1969年,在GE645计算机上实现一
种分时操作系统的雏形
1970年给系统正式取名为Unix操作系统
到1973年,Unix系统的绝大部分源代码都
用C语言重新编写过,大大提高了Unix系统
的可移植性,也为提高系统软件的开发效率
创造了条件
BJFU Info Department, QiJd第七章操作系统安全配置方案
主要特色
UNIX操作系统经过20多年的发展后,已经成为一种成
熟的主流操作系统,并在发展过程中逐步形成了一些
新的特色,其中主要特色包括5个方面
-(1)可靠性高
-(2)极强的伸缩性
-(3)网络功能强
-(4)强大的数据库支持功能
-(5)开放性好
BJFU Info Department, QiJd第七章操作系统安全配置方案
Linux系统
Linux是一套可以免费使用和自由传播的
类Unix操作系统,主要用于基于Intel x86
系列CPU的计算机上
Linux是在GPL(General Public
License)保护下的自由软件,版本有:
Redhatlinux,Suse,Slackware,
Debian等;国内有:XteamLinux,红旗
LinuxLinux流行的原因是免费并且功能
强大
BJFU Info Department, QiJd第七章操作系统安全配置方案
Linux典型的优点
(1)完全免费
(2)完全兼容POSIX 10标准
(3)多用户,多任务
(4)良好的界面
(5)丰富的网络功能
(6)可靠的安全,稳定性能
(7)支持多种平台
BJFU Info Department, QiJd第七章操作系统安全配置方案
Windows系统
Windows NT(New Technology)是微软
公司第一个真正意义上的网络操作系统,
发展经过NT30,NT40,NT50
(Windows 2000)和NT60(Windows
2003)等众多版本,并逐步占据了广大的
中小网络操作系统的市场
Windows NT众多版本的操作系统使用了
与Windows 9X完全一致的用户界面和完全
相同的操作方法,使用户使用起来比较方
便与Windows 9X相比,Windows NT的
网络功能更加强大并且安全
BJFU Info Department, QiJd第七章操作系统安全配置方案
Windows NT系列操作系统
Windows NT系列操作系统具有以下三方面的优点
(1)支持多种网络协议
-由于在网络中可能存在多种客户机,如Windows 95/98,Apple
Macintosh,Unix,OS/2等等,而这些客户机可能使用了不同的
网络协议,如TCP/IP协议,IPX/SPX等Windows NT系列操作支
持几乎所有常见的网络协议
(2)内置Internet功能
-内置IIS(Internet Information Server),可以使网络管理员轻松
的配置WWW和FTP等服务
(3)支持NTFS文件系统
-NT同时支持FAT和NTFS的磁盘分区格式使用NTFS的好处主要
是可以提高文件管理的安全性,用户可以对NTFS系统中的任何文
件,目录设置权限,这样当多用户同时访问系统的时候,可以增加
文件的安全性
BJFU Info Department, QiJd第七章操作系统安全配置方案
安全配置方案初级篇
安全配置方案初级篇主要介绍常规的操作
系统安全配置,包括十二条基本配置原
则:
(1)物理安全,(2)停止Guest帐号,
(3)限制用户数量
(4)创建多个管理员帐号,(5)管理员帐号改名
(6)陷阱帐号,(7)更改默认权限,(8)设置
安全密码
(9)屏幕保护密码,(10)使用NTFS分区
(11)运行防毒软件,(12)确保备份盘安全
BJFU Info Department, QiJd第七章操作系统安全配置方案
1,物理安全
服务器应该安放在安装了监视器的隔离房
间内,并且监视器要保留15天以上的摄像
记录
另外,机箱,键盘,电脑桌抽屉要上锁,
以确保旁人即使进入房间也无法使用电
脑,钥匙要放在安全的地方
2,停止Guest帐号
在计算机管理的用户里面把Guest帐号停用,任何时候都不允许
Guest帐号登陆系统
为了保险起见,最好给Guest 加一个复杂的密码,包含特殊字符,数
字,字母的长字符串
用它作为Guest帐号的密码并且修改Guest帐号的属性,设置拒绝
远程访问,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
3 限制用户数量
去掉所有的测试帐户,共享帐号和普通部门帐号
等等用户组策略设置相应权限,并且经常检查
系统的帐户,删除已经不使用的帐户
帐户很多是黑客们入侵系统的突破口,系统的帐
户越多,黑客们得到合法用户的权限可能性一般
也就越大
对于Windows NT/2000主机,如果系统帐户超过
10个,一般能找出一两个弱口令帐户,所以帐户
数量不要大于10个
BJFU Info Department, QiJd第七章操作系统安全配置方案
4 多个管理员帐号
虽然这点看上去和上面有些矛盾,但事实上是服
从上面规则的创建一个一般用户权限帐号用来
处理电子邮件以及处理一些日常事物,另一个拥
有Administrator权限的帐户只在需要的时候使
用
因为只要登录系统以后,密码就存储再
WinLogon进程中,当有其他用户入侵计算机的
时候就可以得到登录用户的密码,尽量减少
Administrator登录的次数和时间
5 管理员帐号改名
Windows 2000中的Administrator帐号是不能被停用的,这意味着
别人可以一遍又一边的尝试这个帐户的密码把Administrator帐户
改名可以有效的防止这一点
不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用
户,比如改成:guestone具体操作的时候只要选中帐户名改名就
可以了,如图所示
6 陷阱帐号
所谓的陷阱帐号是创建一个名为"Administrator"的本地帐
户,把它的权限设置成最低,什么事也干不了的那种,并
且加上一个超过10位的超级复杂密码
这样可以让那些企图入侵者忙上一段时间了,并且可以借
此发现它们的入侵企图可以将该用户隶属的组修改成
Guests组,如图所示
7 更改默认权限
共享文件的权限从"Everyone"组改成"授权用户""Everyone"在
Windows 2000中意味着任何有权进入你的网络的用户都能够获得这
些共享资料
任何时候不要把共享文件的用户设置成"Everyone"组包括打印共
享,默认的属性就是"Everyone"组的,一定不要忘了改设置某文
件夹共享默认设置如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
8安全密码
一些网络管理员创建帐号的时候往往用公司名,
计算机名,或者一些别的一猜就到的字符做用户
名,然后又把这些帐户的密码设置得比较简单,
这样的帐户应该要求用户首此登陆的时候更改成
复杂的密码,还要注意经常更改密码
这里给好密码下了个定义:安全期内无法破解出
来的密码就是好密码,也就是说,如果得到了密
码文档,必须花43天或者更长的时间才能破解出
来,密码策略是42天必须改密码
9屏幕保护密码
设置屏幕保护密码是防止内部人员破坏服务器的一个屏
障
还有一点,所有系统用户所使用的机器也最好加上屏幕保
护密码
将屏幕保护的选项"密码保护"选中就可以了,并将等待时
间设置为最短时间"1秒",如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
10 NTFS分区
把服务器的所有分区都改成NTFS格式NTFS文
件系统要比FAT,FAT32的文件系统安全得多
11防毒软件
Windows 2000/NT服务器一般都没有安装防毒软
件的,一些好的杀毒软件不仅能杀掉一些著名的
病毒,还能查杀大量木马和后门程序
要经常升级病毒库
BJFU Info Department, QiJd第七章操作系统安全配置方案
12备份盘的安全
一旦系统资料被黑客破坏,备份盘将是恢
复资料的唯一途径备份完资料后,把备
份盘防在安全的地方
把资料备份放在多台服务器上
BJFU Info Department, QiJd第七章操作系统安全配置方案
安全配置方案中级篇
安全配置方案中级篇主要介绍操作系统的安全策
略配置,包括十条基本配置原则:
(1)操作系统安全策略,
(2)关闭不必要的服务
(3)关闭不必要的端口,
(4)开启审核策略
(5)开启密码策略,
(6)开启帐户策略,(7)备份敏感文件
(8)不显示上次登陆名,(9)禁止建立空连接
(10)下载最新的补丁
1 操作系统安全策略
利用Windows 2000的安全配置工具来配置安全策略,微
软提供了一套的基于管理控制台的安全配置和分析工具,
可以配置服务器的安全策略
在管理工具中可以找到"本地安全策略"
可以配置四类安全策略:帐户策略,本地策略,公钥策略
和IP安全策略在默认的情况下,这些策略都是没有开启
的
BJFU Info Department, QiJd第七章操作系统安全配置方案
2 关闭不必要的服务
Windows 2000的Terminal Services(终
端服务)和IIS(Internet 信息服务)等都
可能给系统带来安全漏洞
为了能够在远程方便的管理服务器,很多
机器的终端服务都是开着的,如果开了,
要确认已经正确的配置了终端服务
有些恶意的程序也能以服务方式悄悄的运
行服务器上的终端服务要留意服务器上
开启的所有服务并每天检查
Windows2000可禁用的服务
服务名说明
Computer Browser维护网络上计算机的最新列表以及提供这个
列表
Task scheduler允许程序在指定时间运行
Routing and Remote
Access
在局域网以及广域网环境中为企业提供路由
服务
Removable storage管理可移动媒体,驱动程序和库
Remote Registry Service允许远程注册表操作
Print Spooler将文件加载到内存中以便以后打印要用打
印机的用户不能禁用这项服务
IPSEC Policy Agent管理IP安全策略以及启动
ISAKMP/Oakley(IKE)和IP安全驱动程序
Distributed Link Tracking
Client
当文件在网络域的NTFS卷中移动时发送通
知
Com+ Event System提供事件的自动发布到订阅COM组件
3 关闭不必要的端口
关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵
的机会就会少一些,但是不可以认为高枕无忧了
用端口扫描器扫描系统所开放的端口,在
Winnt\system32\drivers\etc\services文件中有知名端口和服务的对
照表可供参考该文件用记事本打开如图所示
设置本机开放的端口
设置本机开放的端口和服务,在IP地址设置窗口
中点击按钮"高级",如图所示
设置本机开放的端口
在出现的对话框中选择选项卡"选项",选中
"TCP/IP筛选",点击按钮"属性",如图所示
设置本机开放的端口
设置端口界面如图所示
一台Web服务器只允许TCP的80端口通过就可以了
TCP/IP筛选器是Windows自带的防火墙,功能比较强
大,可以替代防火墙的部分功能
4 开启审核策略
安全审核是Windows 2000最基本的入侵检测方法当有人尝试对系
统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件
访问等等)入侵的时候,都会被安全审核记录下来
必须开启的审核如下表:
策略设置
审核系统登陆事件成功,失败
审核帐户管理成功,失败
审核登陆事件成功,失败
审核对象访问成功
审核策略更改成功,失败
审核特权使用成功,失败
审核系统事件成功,失败
审核策略默认设置
审核策略在默认的情况下都是没有开启的,如图所
示
设置审核策略
双击审核列表的某一项,出现设置对话框,将复
选框"成功"和"失败"都选中,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
5 开启密码策略
密码对系统安全非常重要本地安全设置
中的密码策略在默认的情况下都没有开
启需要开启的密码策略如表所示
策略设置
密码复杂性要求启用
密码长度最小值6位
密码最长存留期15天
强制密码历史5个
设置密码策略
设置选项如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
6 开启帐户策略
开启帐户策略可以有效的防止字典式攻击,
设置如表所示
策略设置
复位帐户锁定计数器30分钟
帐户锁定时间30分钟
帐户锁定阈值5次
BJFU Info Department, QiJd第七章操作系统安全配置方案
设置帐户策略
设置的结果如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
7 备份敏感文件
把敏感文件存放在另外的文件服务器中;
把一些重要的用户数据(文件,数据表和
项目文件等)存放在另外一个安全的服务
器中,并且经常备份它们
8 不显示上次登录名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆
的帐户名,本地的登陆对话框也是一样黑客们可以得到系统的一些
用户名,进而做密码猜测
修改注册表禁止显示上次登录名,在HKEY_LOCAL_MACHINE主键
下修改子键:
Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont
DisplayLastUserName,将键值改成1,如图所示
9 禁止建立空连接
默认情况下,任何用户通过空连接连上服务器,进而可以
枚举出帐号,猜测密码
可以通过修改注册表来禁止建立空连接在
HKEY_LOCAL_MACHINE主键下修改子键:
System\CurrentControlSet\Control\LSA\RestrictAnon
ymous,将键值改成"1"即可如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
10 下载最新的补丁
很多网络管理员没有访问安全站点的习
惯,以至于一些漏洞都出了很久了,还放
着服务器的漏洞不补给人家当靶子用
经常访问微软和一些安全站点,下载最新
的Service Pack和漏洞补丁,是保障服务
器长久安全的唯一方法
BJFU Info Department, QiJd第七章操作系统安全配置方案
安全配置方案高级篇
高级篇介绍操作系统安全信息通信配置,包
括十四条配置原则:
(1)关闭DirectDraw,(2)关闭默认共享
(3)禁用Dump File,(4)文件加密系统
(5)加密Temp文件夹(6)锁住注册表,
(7)关机时清除文件
(8)禁止软盘光盘启动(9)使用智能卡,
(10)使用IPSec
(11)禁止判断主机类型,(12)抵抗DDOS
(13)禁止Guest访问日志
(14)数据恢复软件
1 关闭DirectDraw
C2级安全标准对视频卡和内存有要求关闭DirectDraw可能对一些
需要用到DirectX的程序有影响(比如游戏),但是对于绝大多数的
商业站点都是没有影响的
在HKEY_LOCAL_MACHINE主键下修改子键:
SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeo
ut,将键值改为"0"即可,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
2 关闭默认共享
Windows 2000安装以后,系统会创建一些隐藏的
共享,可以在DOS提示符下输入命令Net Share 查
看,如图所示
停止默认共享
禁止这些共享,打开管理工具>计算机管理>共享文件夹>
共享,在相应的共享文件夹上按右键,点"停止共享"即
可,如图所示
3 禁用Dump文件
在系统崩溃和蓝屏的时候,Dump文件是一份很有用资
料,可以帮助查找问题然而,也能够给黑客提供一些敏
感信息,比如一些应用程序的密码等
需要禁止它,打开控制面板>系统属性>高级>启动和故障
恢复,把写入调试信息改成无,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
4 文件加密系统
Windows2000强大的加密系统能够给磁盘,文
件夹,文件加上一层安全保护这样可以防止别
人把你的硬盘挂到别的机器上以读出里面的数
据
微软公司为了弥补Windows NT 40的不足,在
Windows 2000中,提供了一种基于新一代
NTFS:NTFS V5(第5版本)的加密文件系统
(Encrypted File System,简称EFS)
EFS实现的是一种基于公共密钥的数据加密方
式,利用了Windows 2000中的CryptoAPI结
构
BJFU Info Department, QiJd第七章操作系统安全配置方案
5 加密Temp文件夹
一些应用程序在安装和升级的时候,会把
一些数据拷贝到Temp文件夹,但是当程序
升级完毕或关闭的时候,并不会自己清除
Temp文件夹的内容
所以,给Temp文件夹加密可以多一层保
护
6 锁住注册表 在Windows2000中,只有Administrators和Backup Operators才有从
网络上访问注册表的权限当帐号的密码泄漏以后,黑客也可以在远程
访问注册表,当服务器放到网络上的时候,一般需要锁定注册表修改
Hkey_current_user下的子键
Software\microsoft\windows\currentversion\Policies\system
把DisableRegistryTools的值该为0,类型为DWORD,如图所示
7 关机时清除文件 页面文件也就是调度文件,是Windows 2000用来存储没有装入内存
的程序和数据文件部分的隐藏文件
一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文
件中可能含有另外一些敏感的资料要在关机的时候清除页面文件,
可以编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键:
-SYSTEM\CurrentControlSet\Control\Session Manager\Memory
Management
-把ClearPageFileAtShutdown的值设置成1,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
8 禁止软盘光盘启动
一些第三方的工具能通过引导系统来绕过原有的
安全机制比如一些管理员工具,从软盘上或者
光盘上引导系统以后,就可以修改硬盘上操作系
统的管理员密码
如果服务器对安全要求非常高,可以考虑使用可
移动软盘和光驱,把机箱锁起来仍然不失为一个
好方法
BJFU Info Department, QiJd第七章操作系统安全配置方案
9 使用智能卡
对于密码,总是使安全管理员进退两难,
容易受到一些工具的攻击,如果密码太复
杂,用户把为了记住密码,会把密码到处
乱写
如果条件允许,用智能卡来代替复杂的密
码是一个很好的解决方法
BJFU Info Department, QiJd第七章操作系统安全配置方案
10 使用IPSec
正如其名字的含义,IPSec提供IP数据包的
安全性
IPSec提供身份验证,完整性和可选择的机
密性发送方计算机在传输之前加密数
据,而接收方计算机在收到数据之后解密
数据
利用IPSec可以使得系统的安全性能大大增
强
11 禁止判断主机类型
黑客利用TTL(Time-To-Live,生存时间)值可以鉴别操作系统的类
型,通过Ping指令能判断目标主机类型Ping的用处是检测目标主
机是否连通
许多入侵者首先会Ping一下主机,因为攻击某一台计算机需要根据
对方的操作系统,是Windows还是Unix如过TTL值为128就可以认
为你的系统为Windows 2000,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
TTL值-判断主机类型
从表中可以看出,TTL值为128,说明改主机的操作系统
是Windows 2000操作系统下表给出了一些常见操作系
统的对照值
操作系统类型TTL返回值
Windows 2000128
Windows NT107
win9x128 or 127
solaris252
IRIX240
AIX247
Linux241 or 240
BJFU Info Department, QiJd第七章操作系统安全配置方案
修改TTL的值
修改TTL的值,入侵者就无法入侵电脑了比如将操作系统的TTL值
改为111,修改主键HKEY_LOCAL_MACHINE的子键:
SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAME
TERS
新建一个双字节项,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
修改TTL的值
在键的名称中输入"defaultTTL",然后双击改键名,选择
单选框"十进制",在文本框中输入111,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
修改TTL的值
设置完毕重新启动计算机,再用Ping指令,发现
TTL的值已经被改成111了,如图所示
12 抵抗DDOS
添加注册表的一些键值,可以有效的抵抗DDOS的攻击在键值
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcp
ip\Parameters]下增加响应的键及其说明如表所示
增加的键值键值说明
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000000
"KeepAliveTime"=dword:00000000
"PerformRouterDiscovery"=dword:00000000
基本设置
"EnableICMPRedirects"=dword:00000000防止ICMP重定向报文的攻击
"SynAttackProtect"=dword:00000002防止SYN洪水攻击
"TcpMaxHalfOpenRetried"=dword:00000080
"TcpMaxHalfOpen"=dword:00000100
仅在TcpMaxHalfOpen和
TcpMaxHalfOpenRetried设置
超出范围时,保护机制才会采取
措施
"IGMPLevel"=dword:00000000不支持IGMP协议
"EnableDeadGWDetect"=dword:00000000禁止死网关监测技术
"IPEnableRouter"=dword:00000001支持路由功能
BJFU Info Department, QiJd第七章操作系统安全配置方案
13 禁止Guest访问日志
在默认安装的Windows NT和Windows 2000中,Guest
帐号和匿名用户可以查看系统的事件日志,可能导致许多
重要信息的泄漏,修改注册表来禁止Guest访问事件日
志
禁止Guest访问应用日志
-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic
es\Eventlog\Application下添加键值名称为:
RestrictGuestAccess,类型为:DWORD,将值设置为1
系统日志:
-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic
es\Eventlog\System下添加键值名称为:
RestrictGuestAccess,类型为:DWORD,将值设置为1
安全日志
-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic
es\Eventlog\Security下添加键值名称为:
RestrictGuestAccess,类型为:DWORD,将值设置为1
14 数据恢复软件
当数据被病毒或者入侵者破坏后,可以利用数据恢复软件
可以找回部分被删除的数据,在恢复软件中一个著名的软
件是Easy Recovery软件功能强大,可以恢复被误删除
的文件,丢失的硬盘分区等等软件的主界面如图所示
Easy Recovery
比如原来在E盘上有一些数据文件,被删除了,选择左边
栏目"Data Recovery",然后选择左边的按钮
"Advanced Recovery",如图所示
Easy Recovery
进入Advanced Recovery对话框后,软件自动扫描出目
前硬盘分区的情况,分区信息是直接从分区表中读取出来
的,如图所示
Easy Recovery
现在要恢复E盘上的文件,所以选择E盘,点击按
钮"Next",如图所示
Easy Recovery
软件开始自动扫描该盘上曾经有哪些被删除了文件,根据
硬盘的大小,需要一段比较长的时间,如图所示
Easy Recovery
扫描完成以后,将该盘上所有的文件以及文件夹显示出
来,包括曾经被删除文件和文件夹,如图所示
Easy Recoery
选中某个文件夹或者文件前面的复选框,然后点
击按钮"Next",就可以恢复了如图所示
Easy Recovery
在恢复的对话框中选择一个本地的文件夹,将文件保存到
该文件夹中,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
Easy Recovery
选择一个文件夹后,点击按钮"Next",就出现了恢复的
进度对话框,如图所示
BJFU Info Department, QiJd第七章操作系统安全配置方案
本章总结
本章分成三部分介绍Windows 2000的安
全配置
三部分共介绍安全配置三十六项,如果每
一条都能得到很好的实施的话,该服务器
无论是在局域网还是广域网,即使没有网
络防火墙,已经比较安全了
需要重点理解三大部分中的每一项设置,
并掌握如何设置
信息安全工程师是信息产业部和人事部举办的软考中新增开的一门考试。那么信息安全工程师含金量怎么样呢?
信息安全工程师含金量
随着信息技术的不断发展,信息安全也变得尤为重要,现在很多企业都需要信息安全工程师来提高数据信息的安全性,信息安全这一行业的市场也会越来越大。由此可见,信息安全工程师的含金量也是比较高的。
提高手中证书含金量,那么需要自身的技术过硬,企业都会想要技术更好以及经验更丰富的信息安全工程师,因此,如果想要有更好的待遇更高的薪资,那就要不断提高自己的技术水平,让自己在这个行业比别人更具优势,这样自身信息安全工程师的含金量也就更高。
信息安全工程师从业要求1、精通网络安全技术:包括端口、服务漏洞扫描、程序漏洞分析检测、权限管理、入侵和攻击分析追踪、网站渗透、病毒木马防范等。
2、熟悉tcp/ip协议,熟悉sql注入原理和手工检测、熟悉内存缓冲区溢出原理和防范措施、熟悉信息存储和传输安全、熟悉数据包结构、熟悉ddos攻击类型和原理有一定的ddos攻防经验,熟悉iis安全设置、熟悉ipsec、组策略等系统安全设置;
3、熟悉windows或linux系统,精通php/shell/perl/python/c/c++ 等至少一种语言;
4、了解主流网络安全产品(如fw、ids、scanner、audit等)的配置及使用;
5、善于表达沟通,诚实守信,责任心强,讲求效率,具有良好的团队协作精神;
信息安全工程师从业方向信息安全工程师主要在计算机软硬件、网络、应用相关领域从事安全系统设计、安全产品开发、产品集成、信息系统安全检测与审计等方面工作,服务单位可以是国家机关、企事业单位及科研教学单位等。譬如系统安全工程师、网络系统安全软件工程师、信息安全工程师、Linux操作系统工程师等都是不错的选择。公安局信息监查 网站安全 病毒杀毒公司 以及一切涉及到信息安全的地方,比如说电信,网通的技术安全维护员,各个重要政府部门的网络安全监测等等都是。
Microsoft的Windows XP发布已经很久了,相信有不少朋友也都将自己的操作系统升级成XP。这款号称得上是至今功能最强大的操作系统,在功能与界面上的确比以往的Windows操作系统有了很大的改进,但新安装的Windows XP系统并不是处于最佳的状态,大多数功能与介面都是按照预设值设置的,今天在这里,我将教大家如何通过改造windows XP的神经系统—注册表,使你的windows xp的性能更佳,更具个性化!
1、加快开机及关机速度
在[开始]-->[运行]-->键入[Regedit]-->[HKEY_CURRENT_USER]-->[Control Panel]-->[Desktop],将字符串值[HungAppTimeout]的数值数据更改为[200],将字符串值[WaitToKillAppTimeout]的数值数据更改为1000另外在[HKEY_LOCAL_MACHINE]-->[System]-->[CurrentControlSet]-->[Control],将字符串值[HungAppTimeout]的数值数据更改为[200],将字符串值[WaitToKillServiceTimeout]的数值数据更改1000
2、自动关闭停止响应程序
在[开始]-->[运行]-->键入[Regedit]-->[HKEY_CURRENT_USER]-->[Control Panel]-->[Desktop],将字符串值[AutoEndTasks]的数值数据更改为1,重新启动即可。
3、清除内存内被不使用的DLL文件
在[开始]-->[运行]-->键入[Regedit]-->[HKKEY_LOCAL_MACHINE]-->[SOFTWARE]-->[Microsoft]-->[Windows]-->[CurrentVersion],在[Explorer]增加一个项[AlwaysUnloadDLL],默认值设为1。注:如由默认值设定为[0]则代表停用此功能。
4、加快宽带接入速度
(1)家用版本:在[开始]-->[运行]-->键入[regedit]-->在[HKEY_LOCAL_MACHINE]-->[SOFTWARE]-->[Policies]-->[Microsoft] -->[Windows],增加一个名为[Psched]的项,在[Psched]右面窗口增加一个Dword值[NonBestEffortLimit]数值数据为0。
(2)商业版本:在[开始]-->[运行]-->键入[gpeditmsc],打开本地计算机策略,在左边窗口中选取[计算机配置]-->[管理模板]-->[网络]-->[QoS数据包调度程序],在右边的窗口中双击"限制可保留的带宽",选择"已启用"并将"带宽限制(%)"设为0应用-->确定,重启动即可。
5、加快菜单显示速度
在[开始]-->[运行]-->键入[Regedit]-->[HKEY_CURRENT_USER]-->[Control Panel]-->[Desktop],将字符串值[MenuShowDelay]的数值数据更改为[0],调整后如觉得菜单显示速度太快而不适应者可将[MenuShowDelay]的数值数据更改为[200],重新启动即可。
6、加快自动刷新率
在[开始]-->[运行]-->键入[Regedit]-->[HKEY_LOCAL_MACHINE]-->[System]-->[CurrentControlSet]-->[Control]-->[Update],将Dword[UpdateMode]的数值数据更改为[0],重新启动即可。
7、加快预读能力改善开机速度
Windows XP预读设定可提高系统速度,加快开机速度。按下修改可进一步善用CPU的效率:在[开始]-->[运行]-->键入[Regedit]-->[HKEY_LOCAL_MACHINE]-->[SYSTEM]-->[CurrentControlSet]-->[Control]-->[SessionManager]-->[MemoryManagement],在[PrefetchParameters]右边窗口,将[EnablePrefetcher]的数值数据如下更改,如使用PIII 800MHz CPU以上的建议将数值数据更改为4或5,否则建议保留数值数据为默认值即3。
8、利用CPU的L2 Cache加快整体效能
在[开始]-->[运行]-->键入[Regedit]-->[HKEY_LOCAL_MACHINE]-->[SYSTEM]-->[CurrentControlSet]-->[Control]-->[SessionManager],在[MemoryManagement]的右边窗口,将[SecondLevelDataCache]的数值数据更改为与CPU L2 Cache相同的十进制数值:例如:P4 16G A的L2 Cache为512Kb,数值数据更改为十进制数值512。
9、在启动计算机时运行Defrag程序
在[开始]-->[运行]-->键入[Regedit]-->[HKEY_LOCAL_MACHINE]-->[SOFTWARE]-->[Microsoft]-->[Dfrg]-->[BootOptimizeFunction ],将字符串值[Enable]设定为:Y等于开启而设定为N等于关闭。
10、关机时自动关闭停止响应程序
在[开始]-->[运行]-->键入[Regedit]-->[HKEY_USERS]-->[DEFAULT]-->[Control Panel],然后在[Desktop]右面窗口将[AutoEndTasks]的数值数据改为1,注销或重新启动。
Windows XP 被微软称为其历史上最优秀的操作系统 有让你眼花缭乱的各种功能 更快的速度 当然这一切都对计算机的硬件提出了更市制要求 如果你希望 Windows XP 能够尽可能少地点用你有限的系统资源 不妨根据自己的需要对它进行一次 小手术
虽然 Windows XP 被微软自称为有史以来最稳定 功能最强大的 Windows 操作系统 并且运行速度飞快 启动速度甚至比同样配置的 Windows 2000 还要快许多 你可能依然不满足于此 希望让 XP 发挥其最佳性能 或者你的硬件配置不是太高 想让 Windows XP 运行得更为流畅 本文将针对一些可提高系统运行效率的设置作详细介绍 希望对已经安装Windows XP 的朋友能有所帮助
一 使用朴素界面 XP 安装后默认的界面包括任务栏 开始选单 桌面背景 窗口 按钮等都采用的是 XP的豪华 炫目的风格 但缺点显而易见 它们将消耗掉不少系统资源 但实用意义不大 方法 鼠标右键单击桌面空白处 在弹出选单点击 属性 进入显示属性设置窗口 将主题 外观 都设置为 Windows 经典将桌面背景设置为 无按确定保存退出
二 减少启动时加载项目 许多应用程序在安装时都会自作主张添加至系统启动组 每次启动系统都会自动运行这不仅延长了启动时间 而且启动完成后系统资源已经被吃掉不少 方法 选择 开始 选单的 运行键入 msconfig 启动 系统配置实用程序进入 启动 标签 在此窗口列出了系统启动时加载的项目及来源 仔细查看你是否需要它自动加载 否则清除项目前的复选框 加载的项目愈少 启动的速度自然愈快 此项需要重机关报启动方能生效
三 优化视觉效果 方法 选择 系统属性 中的 高级 标签进入 性能选项 界面 其中 视觉效果中可供选择的包括 自动设置为最佳 最佳外观 最佳性能 自定义 选中的效果越多则占用的系统资源越多 选定 最佳性能 项将关闭列表中列出诸如淡入淡出 平滑滚动 滑动打开等所有视觉效果 四 关闭系统还原 默认情况下系统还原功能处于启用状态 每个驱动器约被占用高达 4%-12%的硬盘空间并且系统还原的监视系统会自动创建还原点 这样在后台运行就会占用较多的系统资源 方法 鼠标右键点击桌面 我的电脑 中的 属性 进入 系统属性 设置窗口 选择系统还原 标签 将 在所有驱动器上关闭系统还原 置为选中状态
五 加快选单显示速度 方法 运行注册表编辑器 进入 HKEY_CURRENT_USER\Control Panel\Desktop将名称为 MenuShowDelay 的数据值由原来默认的 400 修改为 0 修改后 XP 的开始选单 甚至应用软件的选单显示速度都会明显加快
六 启动 DMA 传输模式 所谓 DMA 即直接存储器存储模式 指计算机周边设备 主要指硬盘 可直接与内存交换数据 这样可加快硬盘读写速度 提高数据传输速度 方法 选择 系统属性 中的 硬件 标签 打开 设备管理器其中 IDE 控制器有两项 Primary IDE Channel 及 Secondary IDE Channel依次进入 属性 高级设置该对话框会列出目前 IDE 接口所连接设备的传输模式 点击列表按钮将 传输模式设置为 DMA 若可用
七 移动临时文件储存路径 多数应用软件在运行时都会产生临时文件 而且这些临时文件都默认保存于启动分区 C盘 长时间频繁读写 C 盘极易产生大量文件碎片 从而影响 C 盘性能 而 C 盘又是储存系统启动核心文件的分区 C 盘的性能直接影响到系统的稳定性与运行效率 应尽量将应用软件安装于启动盘以外的分区并定期对硬盘进行整理 此举可最大程序避免产生磁盘碎片 将启动或读写速度保持在最佳状态 1 Internet Explorer 临时文件夹 方法 在 IE 主窗口中 依次进入 工具 Internet 选项 常规 标签 打开 Internet临时文件 设置界面 点击 移动文件夹 按钮将原来保存于 C 盘的临时目录移动至 C 盘以外的驱动器中 如果你使用的是宽带 可将 临时文件夹 使用空间设置为最小值 1M 2 刻录时产生的临时文件 方法 文件在刻录之前都会保存于 C 盘的刻录临时文件夹中 进入资源管理器 选择刻录机盘符并单击鼠标右键选单的 属性 项 在 录制 标签下可将此临时文件夹安置于其它驱动器 3 我的文档 方法 鼠标右键点击 我的文档在属性设置项中可将 我的文档 默认的保存路径修改至其它盘符
八 增加虚拟内存 方法 进入 性能选项 的 高级 设置窗口 首先将 处理器计划 及 内存使用都调整为 程序 优化模式 点击 更改 按钮进入虚拟内存设置窗口 如图 7若你的内存大于 256M 建议你禁用分页文件 默认的分页文件为物理内存的 15 倍 禁用系统缓存需重新启动系统 如果你的内存低于 256M 请勿禁用分页文件 否则会导致系统崩溃或无法再启动 XP 除了 CPU 及硬盘 XP 运行性能很大程序取决于内存 鉴于目前内存的价格已经降至低谷 笔者强烈建议大家将内存升级至 256M 以上 最好是 512M这样才可以更尽情地体验XP 的魅力哦
不知道这回大家看懂没?
》优化服务《
经常有人问起,XP系统里各项服务哪些可以关闭,以节省系统资源,此前我也曾多次在太平洋论坛答复过一些此类问题,每次都要花费一定的时间来分辨各人的系统进程,而且只能帮助一个人。这一次,我就将自己使用WINDOWS XP系统五年来,对于系统服务的一点认识写出来,供大家参考、拍砖。
首先要说明一下我现用的机器配置、常用软件和网络环境。
我现用的机器配置是奔三 650MHz,256M内存,40G硬盘,ATI 8M显卡,呵呵,很古董吧,不过应付日常办公娱乐还是没问题的,优化一下还可以玩CS和极品飞车6。常用的操作系统是WINDOWS XP SP2,最常用办公软件是OFFICE 97,也装有OFFICE 2003和WPS OFFICE 2005以应付一些特殊需要。
上网用的是MYIE2和OPERA,使用卡巴斯基防病毒。这台本本每天至少要在两种网络环境中切换:日常办公使用公司局域网、在家使用GPRS(与ADSL拨号上网一样使用动态IP),我尔通过切换代理服务软件使用FOXMAIL收私人邮件。
所以,个人认为我的机器使用环境还是具有一定代表性的,因此所进行的系统服务优化方案具有较广的适用范围。系统服务进行优化后,以后的使用就基本上无需再进行调整了。
评价一个操作系统,最常用的指标包括安全性、稳定性、易用性、运行效率等。下面,就按照这个顺序,对WINDOWS XP系统的服务分类进行逐一说明。
一、关系到系统安全的服务
在病毒横行的今天,系统安全可能是最受关注的问题了,除了病毒、外来恶意程序以外,微软默认开启的系统服务也存在一些值得反思的问题。
1、Portable Media Serial Number Service
描述:Retrieves the serial number of any portable media player connected to this computer If this service is stopped, protected content might not be down loaded to the device
进程名:svchostexe
这项服务表面上看只有一个作用,向微软报告你有的Windows Media Player播放器的序列号,但我们实在不知道它是否还报告了其他东西,所以我坚决设为禁用,这并不影响使用WMP收看网络**、电视。
2、Remote Registry
描述:使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。
进程名:svchostexe
光看描述就知道这绝对是一项垃圾服务,实在不明白微软为什么会默认将其设为自动,我是坚决将其改为禁用,因为从不使用远程协助功能。
3、Security Accounts Manager
描述:存储本地用户帐户的安全信息。
进程名:lsassexe
存储是为了留给谁的?不知道。那我就不存储了,禁用。
4、Shell Hardware Detection
描述:为自动播放硬件事件提供通知。
进程名:svchostexe
当放入一张光盘或U盘后,机器就自动出现光盘里的引导程序画面或询问用什么程序打开U盘里的文件,这就是该项服务辛勤工作的成果。是否关闭看个人的使用习惯,从安全的角度出发,我还是习惯将其禁用,这样就不怕光盘自启动程序夹带恶意程序,也不会占用大量系统资源运行一些不必要的程序。
二、关系到系统稳定、便捷的服务
现今,各种针对WIDNOWS XP系统的优化方法数不胜数,在有GHOST保驾下,我们完全可以积极尝试。如果不想过多的进行那种高风险试验,又让自己的操作系统方便易用、稳定且兼容性良好,那就千万不要禁用下面这些服务,这是我进行N次高风险试验后总结的一点心得。
5、COM+ System Application
描述:管理基于COM+ 组件的配置和跟踪。如果服务停止,大多数基于 COM+ 组件将不能正常工作。如果本服务被禁用,任何明确依赖它的服务都将不能启动。
进程名:dllhostexe
可以设为手动,若禁用的话,WPS OFFICE 2005及其他一些需要调用COM+组件的软件就无法启动。
6、DCOM Server Process Launcher
描述:为 DCOM 服务提供加载功能。
进程名:svchostexe
不知道微软是怎么想的,关于这项重要的服务的描述居然这么短,而那些莫名其妙的服务的描述却又那么长而难懂。我将其设为自动,原因是设为手动的话,任何一个程序都不会在需要的时候自动开启该服务,而WPS OFFICE 2005和磁盘管理、磁盘整理等程序都要用上它。将其禁用的话,重启系统后,系统栏那个反映网络连通状况的小电脑图标就会消失了,哪怕你拔掉网线它也不会冒出来。这项服务似乎与任何一项网络应用均无实际关联,禁用后仍可正常使用局域网或使用ADSL拨号、GPRS上网。
7、Event Log
描述:启用在事件查看器查看基于 Windows 的程序和组件颁发的事件日志消息。无法终止此服务。
进程名:servicesexe
与DCOM Server Process Launcher服务一样,确是无法终止,但可以禁用。不过禁用了至少会有一个麻烦,系统开机时会让你至少多等一分钟,所以还是老老实实设为自动的好。
8、kavsvc
描述:Provides anti-virus functionality of Personal, installed on your computer
进程名:kavsvcexe
这个就不必说了吧,大名鼎鼎的卡巴斯基,后台监控程序,设为自动。
9、Logical Disk Manager
描述:监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。如果此服务被终止,动态磁盘状态和配置信息会过时。如果此服务被禁用,任何依赖它的服务将无法启动。
进程名:svchostexe
设为手动即可。遇上U盘之类的东东插上机器却无反应需要用到磁盘管理时,它是会自动启用的。
10、Logical Disk Manager Administrative Service
描述:配置硬盘驱动器和卷。此服务只为配置处理运行,然后终止。
进程名:dmadminexe
只在硬盘分区调整后的第一次系统重启时会用到,其他时候基本在放假,设为手动就行了。
11、Net Logon
描述:支持网络上计算机 pass-through 帐户登录身份验证事件。
进程名:lsassexe
你会用到这个莫名其妙的帐户吗?估计很少有人会,但若设为禁用,在某些机器上会出现系统无法登录的现象,设为手动即可。
12、NT LM Security Support Provider
描述:为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。
进程名:lsassexe
不清楚具体作用是什么,但禁用的话极有可能导致系统无法登录,设为手动即可。
13、Plug and Play
描述:使计算机在极少或没有用户输入的情况下能识别并适应硬件的更改。终止或禁用此服务会造成系统不稳定。
进程名:servicesexe
不管你是否相信微软,但他的这个描述你一定得相信,否则使用U盘、打印机时麻烦一定不少,此项服务应该设为自动。
14、Remote Procedure Call (RPC)
描述:提供终结点映射程序 (endpoint mapper) 以及其它 RPC 服务。
进程名:svchost
还记得冲击波吗?那东东就是拿它下手。不过,要是你禁用或将其设为了手动以后还能正常进入系统,那真的叫奇迹。
(注:小编的Windows 2003上面,这项服务是设置为手动的,并能正常进入系统。)
15、Windows Audio
描述:管理基于 Windows 的程序的音频设备。如果此服务被终止,音频设备及其音效将不能正常工作。如果此服务被禁用,任何依赖它的服务将无法启动。
进程名:svchostexe
在WINDOWS 2003中,这项服务被默认禁用,想听歌得手动启用。估计现今不会有谁的机器没有声卡吧,那就设为自动吧。
16、Windows Management Instrumentation
描述:提供共同的界面和对象模式以便访问有关操作系统、设备、应用程序和服务的管理信息。如果此服务被终止,多数基于 Windows 的软件将无法正常运行。如果此服务被禁用,任何依赖它的服务将无法启动。
进程名:svchostexe
搞不清这东东存在有什么意义,经验告诉我,禁用它,系统稳定性反而会有所好转。
三、一些安装大型软件必须用到的服务
这些服务平时基本不用,但在安装OFFICE、一些大型游戏等软件时却必须开启,否则肯定会反复报错,无法安装。
17、Application Management
描述:提供软件安装服务,诸如分派,发行以及删除。
我的进程中通常有5个svchostexe,但不会是它。一般在安装一些程序时会被开启,比如OFFICE 2003,通常设为手动。一般的安装程序不会用到这项服务,若有程序安装时提示某项服务未启用,再手动启用下就OK。
18、ASPNET State Service
描述:Provides support for out-of-process session states for ASPNET If this service is stopped, out-of-process requests will not be processed If this service is disabled, any services that explicitly depend on it will fail to start
若有安装NET开发环境,就会有这项服务,我装了Framework,目的是运行nlite精减系统安装程序。通常设为禁用,用的时候临时启用下便是。我想,不会有人有事没事制作系统精简光盘吧。
19、Windows Installer
描述:添加、修改和删除以 Windows 安装程序(msi)的软件包提供的应用程序。如果禁用了此服务,任何完全依赖它的服务不会被启动。
进程名:msiexecexe
只在安装OFFICE、大型游戏、微软补丁等东东时会用上,设为手动即可,要用的时候它会自个启动。
四、一些非必需服务
下列服务并不是系统正常工作所必须启动的,但却与我们一些日常应用息息相关,可以有选择的启动或禁用。
20、Fast User Switching Compatibility
描述:为在多用户下需要协助的应用程序提供管理。
进程名:svchostexe
若系统只有一个用户名,大胆设为禁用吧。就算有多个用户名,设为手动就行。事实上,我用两个用户名的时候,设为禁用也可以进行切换。
21、Human Interface Device Access
描述:启用对智能界面设备 (HID)的通用输入访问,它激活并保存键盘、远程控制和其它多媒体设备上的预先定义的热按钮。如果此服务被终止,由此服务控制的热按钮将不再运行。如果此服务被禁用,任何依赖它的服务将无法启动。
进程名:svchostexe
若在用USB鼠标或手写板一类的东东,禁用这项服务会带来灾难。若用PS/2鼠标,大胆设为禁用吧。不过有些主板似乎不受影响,禁用该服务后照样能正常使用USB鼠标。
22、Network Connections
描述:管理“网络和拨号连接”文件夹中对象,在其中您可以查看局域网和远程连接。
进程名:svchostexe
局域网用户可以设为手动,开机时会自动启动,若禁用,将无法使用网络邻居。非局域网用户设为禁用。禁用后,进程中的svchostexe会由5个减至4个。
23、Network Location Awareness (NLA)
描述:收集并保存网络配置和位置信息,并在信息改动时通知应用程序。
进程名:svchostexe
与22、Network Connections服务配套使用,设置原则相同。若禁用,进程中的svchostexe也会减少1个。若与Network Connections一同禁用,进程中的svchostexe就会减少到3个。
24、Performance Logs and Alerts
描述:收集本地或远程计算机基于预先配置的日程参数的性能数据,然后将此数据写入日志或触发警报。如果此服务被终止,将不会收集性能信息。如果此服务被禁用,任何依赖它的服务将无法启动。
进程名:smlogsvcexe
系统预读,你有启用吗?我觉得启用前后对启动速度并无影响,所以“禁用”。如果你有用到启动预读功能,那就设为自动吧。
25、Print Spooler
描述:将文件加载到内存中以便迟后打印。
进程名:spoolsvexe
要使用打印机或打印预览功能的机器,必须将此项服务设为自动。没有这项服务需要的用户,可以设为禁用。注意,绝大部分局域网安装的OA、ERP系统会需要这项服务读写电子版公文。
26、Protected Storage
描述:提供对敏感数据(如私钥)的保护性存储,以便防止未授权的服务,过程或用户对其的非法访问。
进程名:lsassexe
登录网站时,单击用户名那一栏,会有一个以往登录时输入的用户名,只要选中,相应的密码就会自动填上,支持这种偷懒功能的就是这项服务。若想确保系统安全或个人隐私,禁用是个好办法,我就是这么干的。
27、Remote Access Connection Manager
描述:创建网络连接。
进程名:svchostexe
若是局域网,完全可以设为禁用。若是ADSL,我是GPRS上网,就必须设为手动或自动,否则没法上网。ADSL拨号的用户也必须设为手动或自动,否则一样不能上网。
28、Remote Procedure Call (RPC) Locator
描述:管理 RPC 名称服务数据库。
进程名:locatorexe
设为手动,有需要时会自动启用,但我忘了是在什么时候启用过。
29、Routing and Remote Access
描述:在局域网以及广域网环境中为企业提供路由服务。
进程名:svchostexe
一般用户根本用不上,禁用。要用它的人根本就不会再问别人它是干什么的了。
30、Secondary Logon
描述:启用替换凭据下的启用进程。如果此服务被终止,此类型登录访问将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。
进程名:svchostexe
不知微软想干什么,一个简单的东西硬要说得这么复杂,这项服务只有一个功能,那就是支持在不同用户间进行切换。机器上只有一个用户名的完全可以设为禁用,就像我这样。
31、Server
描述:支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止,这些功能不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
进程名:svchostexe
这是微软为数不多的几个清楚说明了作用的服务,局域网内需要与别的机器共享文档、共享自己的打印机或使用别人共享出来的打印机,就得启用这项服务,最好是设为自动。家庭单机用户完全用不上,禁用吧。
32、SSDP Discovery Service
描述:启动您家庭网络上的 UPnP 设备的发现。
进程名:svchostexe
听人说,很少有网络设备支持UPnP功能,但实际使用中发现,若禁用该服务,无法与一些激光打印机正常联机,所以局域网用户还是设为手动的好。单机就没关系了,放心禁用便是。
33、Task Scheduler
描述:使用户能在此计算机上配置和制定自动任务的日程。如果此服务被终止,这些任务将无法在日程时间里运行。如果此服务被禁用,任何依赖它的服务将无法启动。
进程名:svchostexe
有配置自动运行的任务吗?反正我是没有,禁用。
34、Telephony
描述:提供 TAPI 的支持,以便程序控制本地计算机,服务器以及 LAN 上的电话设备和基于 IP 的语音连接。
进程名:svchostexe
简单说,这项服务就是支持调制解调器。若在使用小猫上网,包括内、外置调制解调器、GPRS或CDMA上网卡、通过数据线连接手机等方式上网,将其设为手动即可,开机时会自动启用。使用局域网或ADSL的用户,放心禁用便是。禁用后,进程中会减少1个svchostexe。
35、Themes
描述:为用户提供使用主题管理的经验。
进程名:svchostexe
若坚持使用类似WINDOWS 2000的界面,那就禁用吧,可以节省不少的系统资源。我喜欢苹果界面,所以尽管机器配置很老,但仍将其设为了自动。
36、Universal Plug and Play Device Host
描述:为主持通用即插即用设备提供支持。
进程名:svchostexe
不知道它具体负责哪项工作,但禁用了某些U盘用起来就不正常,得手动分配盘符,设为手动。
37、User Profile Hive Cleanup
描述:Cleans up handles to allow unloading of user profile hive This can help speed up logging off, reconciliation of roaming profiles and prevent exceeding the registry size limit
进程名:uphcleanexe
这是微软元月份发布的一个补丁,装上后才知道我根本用不上,它是为那些关机总需要很长时间的用户准备的,若你的机器不巧有这种现象,建议设为自动。
38、Windows Firewall/Internet Connection Sharing (ICS)
描述:为家庭和小型办公网络提供网络地址转换、寻址、名称解析和/或入侵保护服务。
进程名:svchostexe
这就是系统内置的防火墙功能。我觉得卡
尽管IPv4中常见的攻击方式将在IPv6网络中失效,使来自网络层的一些安全攻击得以抑制,但采用IPv6并不意味着关紧了安全的大门,来自应用层的威胁将以新的方式出现。 总有人误认为“网络改成IPv6,安全问题就全面解决了”。诚然,IPv4中常见的一些攻击方式将在IPv6网络中失效,例如网络侦察、报头攻击、碎片攻击、假冒地址及蠕虫病毒等,但IPv6不仅不可能彻底解决所有安全问题,反而还会产生新的安全问题。
虽然与IPv4相比,IPv6在网络保密性、完整性方面做了更好的改进,在可控性和抗否认性方面有了新的保证,但目前多数网络攻击和威胁来自应用层而非网络层。因此,保护网络安全与信息安全,只靠一两项技术并不能实现,还需配合多种手段,诸如认证体系、加密体系、密钥分发体系、可信计算体系等。
安全新问题如影随形
IPv6是新的协议,在其发展过程中必定会产生一些新的安全问题,主要包括:
● 针对IPv6的网管设备和网管软件都不太成熟。
IPv6的管理可借鉴IPv4。但对于一些网管技术,如SNMP(简单网络管理)等,不管是移植还是重建,其安全性都必须从本质上有所提高。由于目前针对IPv6的网管都不太成熟,因此缺乏对IPv6网络进行监测和管理的手段,对大范围的网络故障定位和性能分析的能力还有待提高。
● IPv6中同样需要防火墙、***、IDS(入侵检测系统)、漏洞扫描、网络过滤、防病毒网关等网络安全设备。
事实上,IPv6环境下的病毒已经出现。例如,有研究人员在IPv6中发现了一处安全漏洞,可能导致用户遭受拒绝服务攻击。据悉,该漏洞存在于IPv6的type 0路由头(RH0)特征中。某些系统在处理IPv6 type 0路由头时存在拒绝服务漏洞。
● IPv6协议仍需在实践中完善。
IPv6组播功能仅仅规定了简单的认证功能,所以还难以实现严格的用户限制功能。移动IPv6(Mobile IPv6)也存在很多新的安全挑战,目前移动IPv6可能遭受的攻击主要包括拒绝服务攻击、重放攻击以及信息窃取攻击。另外,DHCP( Dynamic Host Configuration Protocol,动态主机配置协议)必须经过升级才可以支持IPv6地址,DHCPv6仍然处于研究、制订之中。
●向IPv6迁移过程中可能出现漏洞。
目前安全人员已经发现从IPv4向 IPv6转移时出现的一些安全漏洞,例如黑客可以非法访问采用了IPv4和IPv6两种协议的LAN网络资源,攻击者可以通过安装了双栈的IPv6主机建立由IPv6到IPv4的隧道,从而绕过防火墙对IPv4进行攻击。
IPv6协议在网络安全上的改进
● IP安全协议(IPSec)技术
IP安全协议(IPSec)是IPv4的一个可选扩展协议,而在IPv6中则是一个必备的组成部分。IPSec协议可以“无缝”地为IP提供安全特性,如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证,以及抗重播(Replay)攻击等。
IPSec通过三种不同的形式来保护通过公有或私有IP网络来传送的私有数据。
(1)验证:通过认证可以确定所接受的数据与所发送的数据是否一致,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。
(2)数据完整验证:通过验证保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
(3)保密:使相应的接收者能获取发送的真正内容,而无关的接收者无法获知数据的真正内容。
需要指出的是,虽然IPSec能够防止多种攻击,但无法抵御Sniffer、DoS攻击、洪水(Flood)攻击和应用层攻击。IPSec作为一个网络层协议,只能负责其下层的网络安全,不能对其上层如Web、E-mail及FTP等应用的安全负责。
●灵活的扩展报头
一个完整的IPv6数据包包括多种扩展报头,例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。这些扩展报头不仅为IPv6扩展应用领域奠定了基础,同时也为安全性提供了保障。
比较IPv4和Ipv6的报头可以发现,IPv6报头采用基本报头+扩展报头链组成的形式,这种设计可以更方便地增添选项,以达到改善网络性能、增强安全性或添加新功能的目的。
IPv6基本报头被固定为40bit,使路由器可以加快对数据包的处理速度,网络转发效率得以提高,从而改善网络的整体吞吐量,使信息传输更加快速。
IPv6基本报头中去掉了IPv4报头中的部分字段,其中段偏移选项和填充字段被放到IPv6扩展报头中进行处理。
去掉报头校验(Header Checksum,中间路由器不再进行数据包校验)的原因有三: 一是因为大部分链路层已经对数据包进行了校验和纠错控制,链路层的可靠保证使得网络层不必再进行报头校验; 二是端到端的传输层协议也有校验功能以发现错包; 三是报头校验需随着TTL值的变化在每一跳重新进行计算,增加包传送的时延。
●地址分配与源地址检查
地址分配与源地址检查在IPv6的地址概念中,有了本地子网(Link-local)地址和本地网络(Site-local)地址的概念。从安全角度来说,这样的地址分配为网络管理员强化网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系,网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务,那么就可以只给这台服务器分配一个本地网络地址,而企业网外部的任何人都无法访问这些主机。
由于IPv6地址构造是可会聚的(aggregate-able)、层次化的地址结构,因此,IPv6接入路由器对用户进入时进行源地址检查,使得ISP可以验证其客户地址的合法性。
源路由检查出于安全性和多业务的考虑,允许核心路由器根据需要,开启反向路由检测功能,防止源路由篡改和攻击。
IPv6固有的对身份验证的支持,以及对数据完整性和数据机密性的支持和改进,使得IPv6增强了防止未授权访问的能力,更加适合于那些对敏感信息和资源有特别处理要求的应用。
通过端到端的安全保证,网络可以满足用户对安全性和移动性的要求。IPv6限制使用NAT(Network Address Translation,网络地址转换),允许所有的网络节点使用全球惟一的地址进行通信。每当建立一个IPv6的连接,系统都会在两端主机上对数据包进行 IPSec封装,中间路由器对有IPSec扩展头的IPv6数据包进行透明传输。通过对通信端的验证和对数据的加密保护,使得敏感数据可以在IPv6 网络上安全地传递,因此,无需针对特别的网络应用部署ALG(应用层网关),就可保证端到端的网络透明性,有利于提高网络服务速度。
●域名系统DNS
基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础,有助于抵御网上的身份伪装与偷窃。当采用可以提供认证和完整性安全特性的DNS安全扩展 (DNS Security Extensions)协议时,能进一步增强对DNS新的攻击方式的防护,例如网络钓鱼(Phishing)攻击、DNS中毒(DNS poisoning)攻击等,这些攻击会控制DNS服务器,将合法网站的IP地址篡改为假冒、恶意网站的IP地址。
欢迎分享,转载请注明来源:品搜搜测评网
微信扫一扫
支付宝扫一扫
