网络操作系统安全与管理实践教材(PPT 124页).ppt

7) 防范SYN攻击 系统可使用SYN淹没攻击保护，进入注册表，打开HKLM\SYSTEM\CurrentControlSet\Service\Tcpip\Parameters，相关的值项如下： (1)“DWORD：SynAttackProtect”定义了是否允许SYN淹没攻击保护，值为“1”表示允许起用Windows 2000的SYN淹没攻击保护。 (2) “DWORD：TcpMaxConnectResponseRetransmissions”定义了对于连接请求回应包的重发次数。值为“1”，则SYN淹没攻击不会有效果，但是这样会使连接请求失败的概率增大。SYN淹没攻击保护只有在该值≥2时才会被启用，默认值为3。 (3) “DWORD：TcpMaxHalfOpen”定义了能够处于SYN_RECEIVED状态的TCP连接数目，默认值为100。 (4) “TcpMaxHalfOpenRetried”定义了在重新发送连接请求后，仍处于SYN_RECEIVED状态的TCP连接数目，默认值为80。 (5) “TcpMaxPortsExhausted”定义了系统拒绝连接请求的次数，默认值为5。上述前两项定义是否允许SYN淹没攻击保护，后三项定义了激活SYN淹没攻击保护的条件，满足其中之一，则系统自动激活SYN淹没攻击保护。 8) 预防DoS 进入注册表，打开HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters，更改以下值可以防御一定强度的DoS攻击：SynAttackProtectREG_DWORD 2EnablePMTUDiscoveryREG_DWORD0 NoNameReleaseOnDemandREG_DWORD 1EnableDeadGWDetectREG_DWORD 0KeepAliveTimeREG_DWORD300，000PerformRouterDiscoveryREG_DWORD 0EnableICMPRedirectsREG_DWORD 0 9）加密temp文件夹 一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹下，但是当程序升级完毕或关闭时，并不会自动清除temp文件夹中的内容。所以，给temp文件夹加密也可为文件多一层保护。 10）清空远程可访问的注册表路径 Windows 2003系统提供了注册表的远程访问功能。当将远程可访问的注册表路径设置为空时，才能有效地防止黑客利用扫描器通过远程注册表读取计算机的系统信息。设置远程可访问的注册表路径为空的步骤如下： 第1步：选择“开始”→“运行”，输入gpedit.msc，确认后打开组策略编辑器。 第2步：在组策略中，展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”。 第3步：单击“安全选项”，在右侧窗口中找到“网络访问：可远程访问的注册表路径”，并双击之，如图3.15所示。 第4步：在打开的“网络访问：可远程访问的注册表路径属性”窗口中，将可远程访问的注册表路径和子路径内容全部设置为空，再点击“确定”按钮即可。 图3.15 进入远程可访问的注册表路径 另外，在进行安全设置中，对如图3.15所示的本地策略的安全选项设置可以考虑将“网络访问：可匿名访问的共享”、“网络访问：可匿名访问的命名管道”和“网络访问：可远程访问的注册表路径和子路径”三项全部删除；将“不允许SAM账户的匿名枚举”、“不允许SAM账户和共享的匿名枚举”、“网络访问：不允许存储网络身份验证的凭据或.NETPassports”和“网络访问：限制匿名访问命名管道和共享”四项更改为“已启用”。 11）利用“密码策略”设置可靠的密码 尽管绝对安全的密码是不存在的，但是相对安全的密码还是可以实现的。这还需要运行secpol.msc来配置“本地安全设置”。展开到“账户策略”→“密码策略”，如图3.16、图3.17所示。经过对这里策略的配置，就可以建立一个完备密码策略，使密码可以得到最大限度的保护。账号密码配置如下： 图3.16 安全选项的设置 图3.17 账号的密码配置 (1) 强制密码历史。该设置决定了保存用户曾经用过的密码个数。很多人知道要经常性的更换自己的密码，可是换来换去就是有限的几个在轮换。配置该策略就可以知道用户更换的密码是否是以前曾经使用过的。默认情况下，该策略不保存用户的密码，用户可以自己设置，建议保存5个以上（最多可以保存24个）。 (2) 密码最长存留期。该策略决定了一个密码可以使用多久，之后就会过期，并要求用户更换密码。如果设置为0，则密码永不过期。一般情况下设置为30到60天左右就可以了，最长可以设置999天。具体的过期时间要看系统对安全要求