黑客攻防布鲁司作品

　　C2级安全标准对视频卡和内存有一定要求。关闭DirectDraw可能对有一些需要用到DirectX的程序有影响（比如游戏），但是对于绝大部分的商业站点是没有影响的，修改值为 0 即关闭此功能。

此类共享默认每次系统启动都被共享，可以利用批处理命令关闭此类共享。

　　当系统崩溃和蓝屏时，Dump文件时一份很有用资料，可以帮助查找问题。然而，也能给黑客提供一些敏感信息，比如一些应用程序的密码等。禁止Dump文件，可打开 [系统属性] 的 [高级] 选项卡，并选择 [启动和故障恢复]，设置写入调试信息改为 [无] 。

　　NTFS 文件系统中的 EFS (Encrypted File System) 可以提供数据物理安全性，EFS是一种基于公共密钥的数据加密技术。

　　一些应用程序在安装和升级时，会把一些内容拷贝到 temp 文件夹，但是当程序升级完毕或关闭时，并不会自动清除 temp 文件夹的内容。所以，给 temp 文件夹加密可以给文件多一层保护。

　　在windows2000系统中，只有 Administrator 和 Backup Operators 才有从网络上访问注册表的权限。当帐号的密码泄露以后，黑客可以在远程访问注册表，当服务器放置到网络上时，一般需要锁定注册表。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system 下的 DisableRegistryTools 值改为 0

　　页面文件也是调度文件，是 widows2000 用来存储没有装入内存的程序和数据文件部分的隐藏文件。

　　某些第三方程序可以把一些没有加密的密码存在内存中，页面文件中可能含有另外一些敏感的资料，因此需要在关机时清除页面文件。

　　某些第三方工具可以通过引导系统来绕过原有的安全机制。可以考虑禁止光盘软盘，并建议锁起服务器。

　　密码是传统安全保护机制，但是新的技术能够更好的保护系统，如IC卡。

　　ＩＰＳｅｃ提供 IP 数据报安全性。它提供身份验证、完整性和可选择的机密性。发送端在传输前加密数据，而接受端接收后解密数据。

　　有些黑客利用TTL值来判断操作系统类型，通过ping指令判断目标主机类型。

操作系统类型	TTL返回值
Windows 2000	128
Windows NT	107
Win 9x	128 or 127
solaris	252
IRIX	240
AIX	247
Linux	241 or 240

需要新建双字节项并编辑十进制值为 111(TTL值)

十二、抵抗DDOS

　　在　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters　中建立以下键，可以有效抵御DDOS攻击：

增加的键值

说明

"EnablePMTUDiscovery" = dword:00000000
"NoNameReleaseOnDemand" = dword:00000000
"KeepAliveTime" = dword:00000000
"PerformRouterDiscovery" = dword:00000000

基本设置

“EnableICMPRedirects" = dword:00000000
防止 ICMP 重定向报文的攻击

"SynAttackProtect" = dword:00000002
防止 SYN 洪水攻击

"TcpMaxHalfOpenRetried" = dword:00000080
仅在TcpMaxHalfOpen和TcpMaxHalfOpen设置超出范围时，保护机制才会采取措施

"TcpMaxHalfOpen" = dword:00000100

"IGMPLevel" = = dword:00000000
不支持 IGMP 协议

"EnableDeadGWDetect" = dword:00000000
禁止死网关监测技术

"IPEnableRouter" = dword:00000001
支持路由功能

十三、禁止 Guest 访问日志

　　默认在WIN2000中 GUEST 可以访问日志，从而可能导致重要信息泄露，可以在注册表中添加相应项目来禁止 GUEST 访问日志：

禁止GUEST访问应用日志

禁止GUEST访问安全日志

禁止GUEST访问系统日志

十四、数据恢复

　　如果在服务器运行初期就有完备的数据备份机制当然最好，比如使用镜像或备份工具，但是真的如果数据丢失，也可以尝试使用数据恢复软件，典型的如 Easy Recovery 或者 FinalData 。