文档介绍:该【网络安全防护 】是由【windurst】上传分享,文档一共【9】页,该文档可以免费在线阅读,需要了解更多关于【网络安全防护 】的内容,可以使用淘豆网的站内搜索功能,选择自己适合的文档,以下文字是截取该文章内的部分文字,如需要获得完整电子版,请下载此文档到您的设备,方便您编辑和打印。网络安全防护
实验16网络安全防护
【实验类型】验证性实验
【实验目的】
通过网络安全防范方案的制定与实施,理解网络安全防护技术的基本原理。【实验环境】
网络技术实验室(科技楼404)
【实验重点及难点】
网络安全防范方案的制定与实施。
【实验内容】
使用网络搜索引擎搜索《电子计算机机房设计规范》(GB50174-93)、《计算站场地技术要求》(GB2887-89)、《电子计算机机房施工及验收规范》(SJ/T30003-93)、《计算机机房活动地板的技术要求》(GB6650-86)、《计算站场地安全技术》(GB9361-88)、《电气装置安装工程接地装置施工及验收规范》
92)、《安全防范工程程序与要求》(GA/T75-94)等标准,学习机房(GB50169-
的防盗、防静电、防火、防水、防尘、温度等安全防范实施方案及其标准。
(WindowsXP的安全配置技术)
?使用NTFS格式对硬盘进行分区,对于FAT32文件系统可以使用Windows2000/XP提供的分区格式转换工具“”或硬盘无损分区工具PartitionMagic转换成NTFS以提高安全性(以便使用加密文件系统EFS,EncryptingFileSystem)。
首先备份所有重要文件,然后选择开始?运行?输入cmd?确定?输入convertx:/fs:ntfs(其中x是驱动器的盘符)。
?XP的“简单文件共享”的功能包含许多NetBIOS漏洞,必需关闭简单文件共享。
我的电脑?工具?文件夹选项?查看?在“高级设置”中取消使用简单文件共享(推荐)。
?禁用Guest帐户。
控制面板?双击用户帐户?Guest?禁用来宾账户。
?设置Administrator帐户陷阱。首先将Administrator改名,然后创建一个没有任何权限的Administrator账户,并设置一个超复杂的密码。
控制面板?管理工具?计算机管理?右击Administrator?重命名?输入superuser。
在命令行下执行:
netuseradministrator&LU-OYI*TRU#FVJ,VJ/add
netlocalgroupguestsadministrator/add
?关闭不用的服务。
控制面板?管理工具?服务?双击以下服务?已禁用(先停止)
NetMeetingRemoteDesktopSharing
RemoteDesktopHelpSessionManager
RemoteRegistry
RoutingandRemoteAccess
SSDPDiscoveryService
telnet
UniversalPlugandPlayDeviceHost
„„
?开启安全策略
?开启系统审核功能:控制面板?管理工具?本地安全策略?本地策略?审核策略?双击以下策略?选择成功/失败。
审核策略更改成功
审核登陆事件成功,失败
审核对象访问成功,失败
审核过程追踪成功,失败
目录服务访问成功,失败审核
审核特权使用成功,失败
审核系统事件成功,失败
审核系统登陆事件成功,失败
审核帐户管理成功,失败
?开启密码策略:控制面板?管理工具?本地安全策略?账户策略?密码策略?按如下设置。
密码复杂性要求启用
密码长度最小值6位
密码最长存留期30天
强制密码历史5个
?开启账户策略:控制面板?管理工具?本地安全策略?账户策略?账户锁定策略?按如下设置。
复位账户锁定计数器30分钟
账户锁定时间30分钟
账户锁定阙值3次
?修改注册表
?关机时清除页面文件:打开注册表HKEY_local_machine,system,currentcontrolset,control,sessionmanager,memorymanagement,创建或修改ClearPageFileAtShutdown的DWORD值设置为1;
?禁止创建转储文件和Dump文件:控制面板?系统?高级?启动和故障恢复?设置?将“写入调试信息”这一栏设置成“(无)”;
在注册表中找到HKEY_local_machine,software,Microsoft,WindowsNT,CurrentVersion,AeDebug,把Auto值改成“0”。
在Windows资源管理器中打开DocumentsandSettings,AllUsers,SharedDocuments,DrWatson,。
?关闭默认共享:修改注册表HKEY_LOCAL_MACHINESYSTEMCurrentContro
lSetServicesLanmanServerParametersAutoShareServer的值为0;
?禁止建立空连接:将注册表Local_Machine\System\CurrentControlSet\
Control\LSA的RestrictAnonymous值改成1;
?禁止判断主机类型:在HKEY_LOCAL_MACHINE\SYSTEM\COURRENTCONTROLSE
T\SERVICES\TCP-IP\PARAMETERS新建一个双字节项defaultTTL,随便写一个数;
?对重要信息进行加密
资源管理器?右击文件或文件夹?属性?常规?高级?加密内容以便保护数据。
?随时起用屏保程序
开始?搜索?文件或文件夹?所有文件和文件夹?输入*.scr?本机磁盘(C:)?搜索?右击需要的屏保程序?创建快捷方式?确定。
以后要启动屏保程序时直接用鼠标双击桌面上的屏保快捷方式。
数据库安全防护(SQLServer2000的安全配置)3.
?准备工作
进行SQLServer2000数据库的安全配置之前,必须先对操作系统进行安全配置,保证操作系统处于安全状态;对操作数据库的软件(包括ASP和PHP等脚本)进行必要的安全审核,脚本的安全主要是过滤问题,需要过滤一些类似,‘;#@/等字符,防止破坏者构造恶意的SQL语句;SQLServer2000安装完毕后,马上打补丁sp1以及最新的sp2。
?使用安全的密码策略
很多数据库帐号的密码过于简单,这跟系统密码过于简单是一个道理,必须记住“健壮的密码是安全的第一步”,养成定期修改密码的好习惯,数据库管理员还应该定期查看是否有不符合密码要求的帐号。
?使用安全的帐号策略
根据实际需要分配帐号,并赋予仅仅能够满足应用要求和需要的权限;由于不能更改/删除sa用户,必须为sa设置一个非常强壮的密码;不要在数据库应用中使用sa帐号,只有当没有其它方法登录到SQLServer实例时才使用sa;删除系统帐号BUILTINAdministrators。
?加强数据库日志的记录
审核数据库登录事件的“失败和成功”,在实例属性中选择“安全性”,将其中的审核级别选定为全部;定期查看SQLServer日志,检查是否有可疑的登录事件发生。
?管理扩展存储过程
?删除不必要的存储过程(xp_cmdshell、Sp_OACreate、Sp_OADestroy、Sp_OAGetErrorInfo、Sp_OAGetProperty、Sp_OAMethod、Sp_OASetProperty、Sp_OAStop、Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regremovemultistring、Xp_regwrite),因为这些存储过程能很容易地被人利用来提升权限或进行破坏;
?删除所有危险的扩展,使用系统帐户登陆查询分析器运行以下脚本
usemaster
execsp_dropextendedproc'xp_cmdshell'
execsp_dropextendedproc'xp_dirtree'
execsp_dropextendedproc'xp_enumgroups'
execsp_dropextendedproc'xp_fixeddrives'
execsp_dropextendedproc'xp_loginconfig'
execsp_dropextendedproc'xp_enumerrorlogs'
execsp_dropextendedproc'xp_getfiledetails'
execsp_dropextendedproc'Sp_OACreate'
execsp_dropextendedproc'Sp_OADestroy'
execsp_dropextendedproc'Sp_OAGetErrorInfo'
execsp_dropextendedproc'Sp_OAGetProperty'
execsp_dropextendedproc'Sp_OAMethod'
execsp_dropextendedproc'Sp_OASetProperty'
execsp_dropextendedproc'Sp_OAStop'
execsp_dropextendedproc'Xp_regaddmultistring'
execsp_dropextendedproc'Xp_regdeletekey'
execsp_dropextendedproc'Xp_regdeletevalue'
execsp_dropextendedproc'Xp_regenumvalues'
execsp_dropextendedproc'Xp_regread'
execsp_dropextendedproc'Xp_regremovemultistring'
execsp_dropextendedproc'Xp_regwrite'
dropproceduresp_makewebtask
go
?使用协议加密
以明文来进行网络数据SQLServer2000使用的TabularDataStream协议
交换,最好使用SSL(SecureSocketLayer)来加密协议(需要证书支持)。
?禁止探测TCP/IP端口
在实例属性中选择TCP/IP协议的属性,选择隐藏SQLServer实例,禁止
对1434端口的广播作出响应(对PortScan无效)。
?修改TCP/IP使用的端口
在实例属性中选择网络配置中的TCP/IP协议的属性,将TCP/IP使用的默认
端口1433变为其他端口。
?对网络连接进行IP限制
SQLServer2000没有提供网络连接的安全解决办法,可以使用Windows2000操作系统的IPSec对IP连接进行限制,只保证自己的IP能够访问,拒绝
其他IP进行的端口连接。
一般来说,当一种网络应用软件的用户数量达到1000以上就会成为病毒攻
击的对象。由于QQ有过亿的用户,成为病毒和黑客的目标毫不奇怪。下面以QQ
安全防护为例介绍应用程序安全防护,用户可以据此制定其他网络应用软件的安
全防护措施。
?升级QQ:及时把QQ升级到最新版本,这是目前防止黑客攻击最方便、最
有效的方法,因为针对QQ开发的病毒和黑客工具肯定慢于QQ的最新版本。
?对本地消息加密:使用鼠标右键从QQ图标上选择“系统参数”,在“系
统参数”视窗选择“安全设置”标签,接着选择“启用本地消息加密”,再依次
输入口令并确认即可(为了保险,一定要选中“启用本地消息加密口令提示”)。
?修改QQ的端口值:很多QQ攻击工具固化的攻击端口值就是QQ默认的通
讯端口8000,修改自己的QQ通讯端口值,就可以减少被攻击的发生率。
?避开木马对QQ密码的监视:QQ密码的位数一定要超过8位,越长越好,而且最好包含数字、字母和特殊符号,否则以计算机的超强计算速度,要想暴力破解你的QQ密码简直是易如反掌。
在登录QQ时选择“注册向导”,在“使用已有的QQ号码”中输入的也可以
QQ号码前加入一长串0,这样的结果是既不影响正常的QQ登录,又可以避开木马软件对QQ密码的秘密监视了。
用汉字做QQ的密码也可使键盘记录器失效。由于绝大部分键盘记录器都只是对键盘输入进行记录,而不能对剪贴板中的密码做记录,所以,如果采用复制的方式拷贝事先准备好的汉字作为QQ密码,则没有被键盘记录器盗取QQ密码之忧。
?查杀QQ木马:对于简单的木马程序,只需打开任务管理器就可以查看到它们的行踪;对于隐蔽性极好的木马(例如Netspy、bloodspider和冰河等),可以点击,开始,?,附件,?,系统工具,?,系统信息,,查看软件环境下的“正在运行的任务”,记下可疑文件的路径,然后进入相应的目录删除该文件;
最后启动注册表编辑器,找到
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServi
ces]
删除主键下含有文件路径的键值。
隐身登录:在“QQ用户登录”框中找到(输入)自己的号码,选中?使用
下面“隐身登录”。
?设置身份验证:在“系统参数”设置里选中“拒绝陌生人消息”,在“个人设定”的“网络安全”里选择“需要身份验证才能把我列为好友”。
?不要随意运行别人发给你的文件:那些看起来很诱人的文件不要轻易地去打开或运行它,往往这样的文件后面都隐藏着不可告人的秘密和危险。
?使用注册向导登录:在QQ所在的文件夹下,,这样下次启动QQ只能使用“注册向导登录”,这将使“隐身穿墙术”失效。
?使用代理服务器:在QQ的“个人设置”中选择“系统设置”,然后切换到“代理设置”,在“类型”中选择“HTTP”代理,接着在“服务器”和“端口”上填好代理服务器的IP地址和端口。
【实验要求】
根据课堂实验内容,请同学们制定自己的个人联网电脑的安全防护方案。