个人网络安全防卫手册(5)

发表于:2007-05-25来源:作者:点击数: 标签:手册防卫个人网络安全
7. 目录和文件权限 为了控制好 服务器 上用户的权限,同时也为了预防以后可能的入侵,我们还必须设置目录和文件的访问权限,Windows 2000的访问权限分为:读

  7. 目录和文件权限

  为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵,我们还必须设置目录和文件的访问权限,Windows 2000的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户是完全敞开的,你需要根据应用的需要进行权限重设。

  在进行权限控制时,请记住以下几个原则:

  (1)权限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限。

  (2)拒绝的权限要比允许的权限高。如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也不能访问这个资源。

  (3)文件权限比文件夹权限高。

  (4)仅给用户真正需要的权限,权限的最小化原则是安全的重要保障。

  8. 预防DoS

  在注册表\HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击:

  名称 类型 值

  SynAttackProtect REGDWORD 2

  EnablePMTUDiscovery REGDWORD 0

  NoNameReleaseOnDemand REGDWORD 1

  EnableDeadGWDetect REGDWORD 0

  KeepAliveTime REGDWORD 300,000

  PerformRouterDiscovery REGDWORD 0

  EnableICMPRedirects REGDWORD 0

  9. ICMP攻击

  ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法,其实应付的方法也很简单,Windows 2000自带一个Routing & Remote Aclearcase/" target="_blank" >ccess工具,这个工具初具路由器的雏形。在这个工具中,我们可以轻易地定义输入输出包过滤器。例如,设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。

  (二)Windows 98安全配置

  有时候,可能会有很多人共用一台计算机。每个使用者都不愿意将包含自己隐私的文件让其他人看到,但每个人又都有使用计算机的权利。这个时候,如何保证每个用户系统和文件的安全就显得十分重要,下面我们来告诉你如何解决这个问题。

  1. 设置用户权限

  对不同的用户设置不同的使用权限,限制一些用户对系统文件的修改权,将大大地提高系统的安全性。其具体步骤如下(这里以设立“管理员”和“用户”两个级别为例):

  (1)依次点击“控制面板→密码→用户配置文件”,选择“用户可自定义首选项及桌面设置。登录时,Windows自动启用个人设置(C)”选项。单击“确定”按钮,按照屏幕提示设置“管理员”用户及密码。如图1所示。

  (2)重启计算机后,以“管理员”身份进入Windows 98。依次点击“控制面板→用户”。按向导提示,设置用户及密码。此时要根据需要设置“用户”级别所需项目。

  2. 防止非法用户进入

  为防止非法用户以系统默认配置进入Windows 98,可采用以下措施:运行“Regedit”,打开注册表编辑器。在\HKEYUSER\Default\Software \Micorosoft\Windows\CurrentVersion\Run中创建新“字符串值”,串值名为“用户非法,退出”。编辑字符串值为“rundll.exe user.exe, EXITWINDOWS”。这样,当非法用户试图进入你的Windows 98系统时,计算机便会自动关机。

  为了防止非法用户按F8键调出Windows 98的启动菜单,以安全方式进入系统,我们还需编辑Msdos.sys文件。在该文件的[option]小节中加入如下几行:

  BootMulti=0:设置系统不能进行多重引导。

  BootGUI=1:在启动时直接进入Windows 98图形用户界面。

  BootDelay=0:设置在启动时“Staring Windows 98……”信息停留的时间为0秒。

  BootKeys=0:设置在启动过程中F4、F5、F6、F8功能键失效。

原文转自:http://www.ltesting.net