个人网络安全防卫手册(5)

　　7. 目录和文件权限

　　为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵，我们还必须设置目录和文件的访问权限，Windows 2000的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户是完全敞开的，你需要根据应用的需要进行权限重设。

　　在进行权限控制时，请记住以下几个原则:

　　(1)权限是累计的:如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。

　　(2)拒绝的权限要比允许的权限高。如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也不能访问这个资源。

　　(3)文件权限比文件夹权限高。

　　(4)仅给用户真正需要的权限，权限的最小化原则是安全的重要保障。

　　8. 预防DoS

　　在注册表\HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击:

　　名称 类型 值

　　SynAttackProtect REGDWORD 2

　　EnablePMTUDiscovery REGDWORD 0

　　NoNameReleaseOnDemand REGDWORD 1

　　EnableDeadGWDetect REGDWORD 0

　　KeepAliveTime REGDWORD 300,000

　　PerformRouterDiscovery REGDWORD 0

　　EnableICMPRedirects REGDWORD 0

　　9. ICMP攻击

　　ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法，其实应付的方法也很简单，Windows 2000自带一个Routing & Remote Access工具，这个工具初具路由器的雏形。在这个工具中，我们可以轻易地定义输入输出包过滤器。例如，设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。

　　(二)Windows 98安全配置

　　有时候，可能会有很多人共用一台计算机。每个使用者都不愿意将包含自己隐私的文件让其他人看到，但每个人又都有使用计算机的权利。这个时候，如何保证每个用户系统和文件的安全就显得十分重要，下面我们来告诉你如何解决这个问题。

　　1. 设置用户权限

　　对不同的用户设置不同的使用权限，限制一些用户对系统文件的修改权，将大大地提高系统的安全性。其具体步骤如下(这里以设立“管理员”和“用户”两个级别为例):

　　(1)依次点击“控制面板→密码→用户配置文件”，选择“用户可自定义首选项及桌面设置。登录时，Windows自动启用个人设置(C)”选项。单击“确定”按钮，按照屏幕提示设置“管理员”用户及密码。如图1所示。

　　(2)重启计算机后，以“管理员”身份进入Windows 98。依次点击“控制面板→用户”。按向导提示，设置用户及密码。此时要根据需要设置“用户”级别所需项目。

　　2. 防止非法用户进入

　　为防止非法用户以系统默认配置进入Windows 98，可采用以下措施:运行“Regedit”，打开注册表编辑器。在\HKEYUSER\Default\Software \Micorosoft\Windows\CurrentVersion\Run中创建新“字符串值”，串值名为“用户非法，退出”。编辑字符串值为“rundll.exe user.exe， EXITWINDOWS”。这样，当非法用户试图进入你的Windows 98系统时，计算机便会自动关机。

　　为了防止非法用户按F8键调出Windows 98的启动菜单，以安全方式进入系统，我们还需编辑Msdos.sys文件。在该文件的[option]小节中加入如下几行:

　　BootMulti=0:设置系统不能进行多重引导。

　　BootGUI=1:在启动时直接进入Windows 98图形用户界面。

　　BootDelay=0:设置在启动时“Staring Windows 98……”信息停留的时间为0秒。

　　BootKeys=0:设置在启动过程中F4、F5、F6、F8功能键失效。