反黑风暴-第36章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！


程的构件并连接智能芯片，如果密码连续三次输入错误及检测到机箱外部碰触到可疑物体时，可编程的构件即可破坏硬盘盘片。

●物理型

物理型的反监控需要将硬盘与外箱紧密焊接在一起，内部的构造彼此间都要关联起来，硬盘内部的关键部件要进行特殊处理，机箱不能倒置、倾斜。外壳不能太硬，同时将硬盘所有接口都铅封起来，开箱验证的方式是使用物理性密码。一旦有人试图使用铁制工具打开机箱，即使是轻微的震动，硬盘就会自动报废，数据也就自动销毁了。

第七章　专家课堂（常见问题与解答）

点拨1：利用FinalData等软件能恢复一些以前删除的文件，进而窃取文件。若希望某些文件删除后就不再恢复，该如何彻底删除这些文件呢？

解答：在文件被彻底删除之后，其实在硬盘上并没有删除，只是将存放这个文件的硬盘磁道标记出来，等待其他新文件的覆盖。这也是为何删除文件后，FinalData之类软件能够恢复的原因所在。知道了这个原理，只要往删除文件的地方添加一些新文件，把原来的文件覆盖，则恢复软件就无能为力了。

另外，还可以使用一些数据毁灭软件达到彻底删除的效果，例如SafeEarse。

点拨2：EFS加密功能默认是开启的，若要禁用EFS文件加密，应该如何操作呢？

解答：如果要禁止该功能，可以先打开【注册表编辑器】窗口，在其左侧列表中找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionEFS，在下面新建一个EfsConfiguration的DWORD类型数值，并将其值设置为“1”（值为“0”时，表示启用EFS），再重新启动计算机即可。需要注意的是，如果禁用了EFS，原先的EFS加密文件不可访问，直到恢复EFS为止。

第一章　服务器安全防御

家庭、企业或办公网络中总有一些服务器在运作，如WEB、DNS、FTP、VPN等服务器，这样，自然少不了被攻击者虎视眈眈地利用代理来扫描这些扫描器，进而对服务器的安全构成威胁。为了减少电脑被攻击的可能，我们应做好服务器安全防御措施，使黑客们无计可施。

12。1。1强化服务器策略

加强服务器的安全也是安全威胁防御技术中的一种方式，它包括程序安装与配置系统两个方面。这两个方面都必须遵循“最小权限”的法则，也就是说它们要包括最小的服务提供、最小的端口开放、最小的特权分配。

1。程序安装

程序的安装包括从安装操作系统到安装与配置计算机中的应用程序，它们也必须遵循“最小权限”法则。

（1）安装最小化操作系统

在安装操作系统时，为了保证安装的系统最干净、最轻便，最好事先断开网络连接，并确认磁盘中原来的数据都被删除干净。另外，选择的操作系统版本最好是原版操作系统的相关版本，如WindowsXPProfessional版本，不要使用Ghost版系统。安装好系统后，若需要添加一些Windows组件，可对必需的服务进行安装，不要安装额外的服务。

添加Windows组件的具体操作方法如下：

步骤01单击【开始】→【控制面板】按钮，打开【控制面板】窗口。在该窗口中双击“添加或删除程序”图标。

步骤02打开【添加或删除程序】窗口，并单击左侧列表中的【添加/删除Windows组件】按钮。

步骤03此时，即可打开【Windows组件向导】对话框。在“组件”列表框中选中要添加的组件前的复选框。单击【下一步】按钮，根据提示进行安装即可。

（2）安装和配置应用程序

安装好操作系统后，可在计算机中安装需要使用的应用程序。但为了避免安装的软件给系统带来风险，如漏洞、病毒、恶评插件等，最好不要安装多余的应用程序。

（3）安装最新的安全补丁

补丁分为系统补丁与应用软件补丁，是用来修复系统或软件的已知缺陷及漏洞的。这些缺陷漏洞所带的后果是执行恶意命令（挂马）、提升权限或拒绝服务攻击等，因此，为了保证系统的安全，要定时对系统和软件进行扫描，查找需要安装的补丁。

一般来说，系统补丁的安装可以通过Windows自动更新功能进行修补。在桌面上的“我的电脑”图标上右键单击，在弹出菜单中选择【属性】菜单项，即可打开【系统属性】对话框。切换到【自动更新】选项卡，选中“自动（建议）”选项并设置自动更新的时间。单击【确定】按钮，即可按照设置的时间定期检查重要的更新，并安装它们。

另外，还可以通过第三方软件，如超级兔子、360安全卫士等检查并安装系统补丁。对于应用软件的补丁来说，可以直接下载最新版本的应用软件，进行缺陷漏洞的修补。

2．配置系统

（1）配置系统服务

遵循“最小权限”法则，必须停用和禁止系统不必要的服务。如何查看并修改系统中的服务呢？下面介绍其具体的操作方法。

步骤01单击【开始】→【控制面板】按钮，即可打开【控制面板】窗口。双击窗口中的“管理工具”图标，即可打开【管理工具】窗口。

步骤02双击“计算机管理”图标，即可打开【计算机管理】窗口。在窗口左侧的树形目录中单击“服务和应用程序”下的“服务”选项，在窗口右侧即可出现系统中的服务。选中要停用的服务并右击，在弹出菜单中选择【停止】菜单项，即可禁用该服务。

（2）配置系统端口

若系统中开放的端口较多，容易受到黑客的攻击，给系统带来危险。因此，为了保证系统的安全，可用系统的“TCP/IP筛选”过滤掉不必要的端口。其具体操作方法如下：

步骤01在【控制面板】窗口中双击“网络连接”图标，即可打开【网络连接】窗口。在“本地连接”图标上右键单击，在弹出的快捷菜单中选择【属性】菜单项。

步骤02此时，即可打开【本地连接属性】对话框。在“此连接使用下列项目”列表框中选择“Inter协议（TCP/IP）”选项，并单击【属性】按钮。

步骤03打开【Inter协议（TCP/IP）属性】对话框，单击【高级】按钮。打开【高级TCP/IP设置】对话框，在其中选择“可选的设置”列表框中的“TCP/IP筛选”选项，并单击【属性】按钮。

步骤04打开【TCP/IP筛选】对话框，在其中可进行端口过滤。若只允许TCP端口，选中“TCP端口”上方对应的“只允许”选项即可。

利用“TCP/IP筛选”过滤端口比较麻烦，还可以通过防火墙来配置。配置方法非常简单，只需在【高级TCP/IP设置】对话框中切换到【WINS】选项卡，在其中选择“禁用TCP/IP上的BIOS”选项，禁止BIOS接口即可进行端口过滤。

（3）设置文件权限

设置文件权限即在NTFS文件系统上限制分区与文件访问的条件，FAT、FAT32等系统文件不能对存储的数据进行用户级的保护，尤其是对用户本地登录缺乏保护。下面以取消D分区的“Administrators”组对磁盘的安全控制权限为例，介绍其具体的操作步骤。

步骤01在【控制面板】窗口中双击“文件夹选项”图标，即可打开【文件夹选项】对话框。在“高级设置”列表框中取消勾选“使用简单文件共享（推荐）”复选框，并单击【确定】按钮。

步骤02打开【我的电脑】窗口，在D盘盘符上右键单击，在弹出的快捷菜单中选择【属性】菜单项，即可打开D盘的属性窗口。在“组或用户名称”列表框中选择“Administrators”，并单击【删除】按钮，即可取消D分区的“Administrators”组对磁盘的安全控制权限。

要设置其他分区的文件权限，可按照同样的方法进行设置即可。但该设置只在NTFS分区上有效，因为FAT、FAT32分区的属性对话框中没有【安全】选项卡，该选项卡的用途是为了设置安全的文件系统。

12。1。2“账户策略”配置与应用

组策略设置可用于管理桌面显示、指派脚本、将文件夹从本地计算机重新定向到网络位置、确定安全选项，以及控制特定计算机上可安装的软件和特定用户组可用的软件等。组策略包括账户策略、本地策略、软件策略等，而账户策略包括“密码策略”和“账户锁定策略”。

下面介绍“密码策略”和“账户锁定策略”的配置方法。

1。配置“密码策略”

配置“密码策略”的具体操作步骤如下：

步骤01在打开的【运行】对话框中输入“gpedit。msc”，即可打开【组策略】窗口。

步骤02在窗口左侧的树形目录中依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”选项，即可打开“账户策略”窗口，在其中选择“密码策略”选项。此时，右侧的窗口中即可显示各个策略。

步骤03在右侧的窗口中双击“密码必须符合复杂性要求”选项，弹出【密码必须符合复杂性要求属性】对话框。选中“已启用”选项，启用密码复杂性要求。

步骤04单击【确定】按钮，按照同样的方法在【组策略】窗口中选择其他项目，设置相应的密码策略即可。

2．配置“账户锁定策略”

为了加强服务器的安全，防止其他人员用管理员的身份登录服务器，可以限定账户登录的次数，还可以设置当密码输入错误时，用户不能登录的时间，以及账户登录次数的复位时间。下面介绍配置“账户锁定策略”的具体操作步骤。

步骤01在【组策略】窗口的左侧树形目录中选择“账户策略”下的“账户锁定策略”选项，在右侧的窗口中即可显示其包含的各个策略。

步骤02双击“账户锁定阈值”选项，即可弹出【账户锁定阈值属性】对话框，在文本框中输入无效登录的次数。

步骤03单击【确定】按钮，即可弹出【建议的数值改动】对话框。保持默认设置不变，并单击【确定】按钮，表示接受建议的数值。

步骤04在右侧的窗口中双击“账户锁定时间”选项，即可打开【账户锁定时间属性】对话框。在“账户锁定时间”文本框中输入账户锁定的时间。

步骤05在右侧的窗口中双击“复位账户锁定计数器”选项，即可打开【复位账户锁定计数器属性】对话框，在“在此后复位账户锁定计数器”文本框中输入账户登录次数的复位时间。

12。1。3“本地策略”配置与应用

“本地策略”的配置也是保护服务器安全的一个重要方面，它包括审核策略、用户权限分配、安全选项三个方面。下面分别介绍这三个方面的配置方法。

1．配置“审核策略”

配置“审核策略”的具体操作步骤如下：

步骤01在【组策略】窗口的左侧树形目录中依次展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”选项，选择其下的“审核策略”选项。此时，右侧的窗口中即可显示各个策略。

步骤02在窗口右侧的窗格中双击“审核策略更改”选项，即可打开【审核策略更改属性】对话框。在其中根据需要勾选“成功”和“失败”复选框；如果两个都不选择，表示无审核。单击【确定】按钮，按照同样的方法设置其他选项的审核。

2．配置“用户权限分配”策略

不同的用户分配不同的权限，这是服务器实现分级管理的依据，如何进行分级管理就需要为服务器配置“用户权限分配”策略。配置“用户权限分配”策略的具体操作步骤如下：

步骤01双击【控制面板】窗口中的“管理工具”图标，在打开的【管理工具】窗口中双击“计算机管理”图标，即可打开【计算机管理】窗口。

步骤02在窗口左侧的树形目录中依次展开“系统工具”→“本地用户和组”→“用户”选项，右侧空白区域中右击，在弹出菜单中选择【新用户】菜单项。

步骤03此时，即可打开【新用户】对话框。在其中输入“用户名”、“全名”、“描述”，并设置密码，建立一个新用户。单击【创建】按钮，创建好的用户即可出现在【计算机管理】窗口右侧的区域中。

步骤04打开【组策略】窗口，在窗口左侧的树形目录中选择“本地策略”下的“用户权限分配”选项，在右侧的窗口中即可列出各项策略。

步骤05在窗口右侧双击“备份文件和目录”选项，即可打开【备份文件和目录属性】对话框。单击【添加用户或组】按钮，即可打开【选择用户或组】对话框。在“输入对象名称来选择”文本框中输入用户名“林林”。单击【确定】按钮，按照同样的方法设置其他项目的用户权限。

3．配置“安全选项”策略

“安全选项”策略为为用户在访问服务器时配置一些类似如