4.信息加密策略
加密是我们在 Intranet、Extranet 和 Internet上进行信息交换的安全基础。加密主要用在三个地方:(1)、身份验证,主要是使收件人确信发件人就是他或她所期望的那个人,而不是别人冒名;(2)、机密性,主要是确保只有预期的收件人才能够阅读所传递的信息;(3)、完整性,主要是确保邮件在传输过程中没有发生不期望的更改。从加密的原理来看,加密是利用数学方法将信息转换为不可读格式从而达到保护数据的目的的一门科学。
如果按照收发双方密钥是否相同来分类,可以将加密分为对称密钥加密和非对称密钥加密。
4.1对称加密:一个密钥
也叫做机密密钥加密或共享密钥加密,发件人和收件人共用同一个密钥,这个密钥叫做机密密钥(也称为对称密钥或会话密钥),它既用于加密,也用于解密。由于对称密钥加密在加密和解密时使用相同的密钥,所以这种加密过程的安全性取决于是否有未经授权的人获得了对称密钥。希望使用对称密钥加密通信的双方,在交换加密数据之前必须先安全地交换密钥。
对称密钥加密速度较快,主要用于加密大量数据。对称密钥加密的算法有许多种,都用可还原的方式将明文(未加密的数据)转换为暗文。暗文使用加密密钥编码,对于没有解密密钥的任何人来说它都是一堆毫无意义的乱码。
对称算法可靠与否的关键是其密钥的长度和复杂性。密钥越长,在采用枚举法破解密码的时候需要测试的数据量就越多,所需要的时间也就越长。同样,密钥越复杂(也就是说密钥包含的字符类型多)所需要测试的数据量也越大,时间也就越长,破解这种算法就越困难。有了好的加密算法和足够长而复杂的密钥,如果有人想在一段实际可行的时间内逆转转换过程,并从暗文中推导出明文,从计算的角度来讲,这种做法是行不通的。
4.2公钥加密:两个密钥
公钥加密(也叫做不对称密钥)使用两个数学上是相关联的密钥——一个私钥和一个公钥。在公钥加密中,公钥可在通信双方之间公开传递,甚至对外发布,但相关的私钥是保密的。只有使用私钥才能解密用公钥加密的数据。使用私钥加密的数据只能用公钥解密。
公钥加密与对称密钥加密一样,同样有许多算法。公钥算法是复杂的数学方程式,使用了非常大的数字,因而这种加密方式的速度相对较低,所以它一般仅在关键时候才使用公钥算法,如在交换对称密钥或进行数字签名时使用。
5.日志文件的重要性
Windows网络操作系统都设计有各种各样的日志文件,如应用程序日志,安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等,这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时,这些日志文件通常会记录下我们操作的一些相关内容,这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测,系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等,用FTP探测后,就会在FTP日志中记下IP、时间、探测所用的用户名等。甚至你的系统里什么时候启动或停止了某项服务,日志文件里也会有相关情况的记录。而优秀的黑客们在干尽坏事后往往会删除对他(她)有记录的日志。所以保护日志文件的安全也相关重要。
日志文件默认位置:
安全日志文件:%systemroot%\system32\config\SecEvent.EVT,默认文件大小512KB;
系统日志文件:%systemroot%\system32\config\SysEvent.EVT,默认文件大小512KB;
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT,默认文件大小512KB;
DNS日志文件:%systemroot%\system32\config\DnsEvent.EVT,默认文件大小512KB;
WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志;
FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志;
Scheduler服务日志默认位置:%systemroot%\schedlgu.txt。
上面提及的日志在注册表里均有相应的键,我们可以在注册表中找到日志文件的相关设置。
应用程序日志,安全日志,系统日志,DNS日志在注册表中的位置是:
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog
为了保护日志文件的安全,管理员将日志文件重定向是相当有必要的,我们可以在这里看到重定向的目录。
Scheduler服务日志在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
由于日志文件在管理员了解网络潜在危险中起了举足轻重的作用,所以作为网络安全管理员,我们要养成经常查看日志文件的习惯,同时要采取切实可行的方法保障这些文件的安全,如:注意保护系统管理员帐户安全,对日志文件重定向等等。
6.其他修改注册表来提高安全性的技巧
为了有效地保障网络系统的安全和可靠,我们还可以对注册表做一些必要的修改以保证安全。修改注册表来完善我们的安全系统涉及的地方很多,这里只列举很少的一部分,大家有兴趣可以参阅相关的资料。
(1) 隐藏一个服务器
为了保证网络中的服务器不被末授权的访问、更改和非法攻击,从安全的角度出发,有时需要把网络中指定的服务器名称隐藏起来,以便让其他网络用户无法访问。修改注册表的方法是:
1、打开注册表编辑器,来到下面分支:HKEY_LOCAL_ MACHINE \ SYSTEM \ CurrentControlSet \Services \ LanmanServer \ Parameters键值;
2、用鼠标单击该键值下面的Hidden数值名称,如果未发现此名称,那么添加一个,其数据类型为REG_DWORD,值设为1;
3、重新启动计算机后就可以在网络中隐藏一个服务器了。
(2) 阻止非法修改注册表
注册表是整个系统的灵魂,任何对注册表的错误修改都有可能导致整个系统瘫痪。因此,阻止注册表被恶意或无意修改,是我们安全工作者必须要考虑的问题。我们可以通过修改注册表来达到阻止修改的目的。
1、在注册表编辑器中,来到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\键值;
2、在Policies键值的下面新建一个System主键,如果该主键已经存在,进行下一步操作;
3、在System主键右边窗口的空白处新建一个名为DisableRegistryTools的 DWORD串值,并将其值设为1;
4、重启系统就达到了防止其他人非法编辑注册表的目的。
(3) 屏蔽“控制面板”的访问
我们可以利用系统自带的控制面板进行许多的系统软硬件设置工作,因此防止他人随意利用控制面板对Windows系统进行非法修改也是很有必要的,要达到这个目的,我们也可对注册表进行修改:
1、首先在注册表中来到以下分支:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System键值;
2、随后在对应System键值的右边窗口中,用鼠标右键单击该窗口的空白处,并从弹出的快捷菜单中选择“新建”/“DWORD”命令,来新建一个DWORD值;
3、把DWORD值的名称命名为NoDispCPL,设置NoDispCPL的值为1。
(4) 将用户登录名隐藏
Win9x以后的操作系统对以前用户登录的信息具有记忆功能,当重新启动系统时,系统默认会在用户名栏中显示上次用户的登录名,这个信息可能会被一些非法分子利用,造成系统隐患。我们可以通过设置注册表将上次用户的登录名隐藏。
1、打开注册表编辑器,并在编辑器中依次展开以下键值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon;
2、在Winlogon键值右边的窗口中, “新建”/“字符串”;
3、给新建字符串命名为"DontDisplayLastUserName",并把该字符串值设置为"1";
4、设置完后,重新启动计算机就可以隐藏上机用户登录的名字了。
(5) 禁止用户拨号访问
如果用户的计算机上面有重要的信息,有可能不允许其他人随便访问。那么如何禁止其他人拨入访问你的计算机,减少安全隐患呢,具体步骤为:
1、打开注册表编辑器,并在编辑器中依次展开以下键值: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network];
2、在编辑器右边的列表中用选择“NoDialIn”键值,如果没有,则新建一个DWORD值,名称设置为“NoDialIn”;
3、接着用鼠标双击“NoDialIn”键值,编辑器就会弹出一个名为“字符串编辑器”的对话框,在该对话框的文本栏中输入数值“1”,其中1代表允许拨入访问功能,0代表禁止拨入访问功能;
4、退出后重新登录网络,上述设置就会起作用。
(6) 屏蔽对软盘的网络访问
病毒有很多都是通过访问染毒软盘而被感染得来的,如果我们允许用户通过网络来访问软盘的话,那么整个网络都有可能被感染病毒,最终将会使网络中的所有计算机都中毒瘫痪。为了防止病毒入侵整个网络,我们必须严格管理计算机的输入设备,以断绝病毒的源头,我们可以通过设置注册表来限制通过网络访问软盘。
1、打开注册表编辑器,并在编辑器中依次展开以下键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon;
3、在对应Winlogon右边的窗口中,看看有没有包含键值AllocateFloppies,如果没有,用鼠标右键单击窗口的空白处,从弹出的快捷菜单中选择“新建”/“DWORD值”;
4、把新建的DWORD值取名为AllocateFloppies,同时把它的值修改为0或1,其中0代表可被域内所有管理员访问,1代表仅可被当地登陆者访问。
(7) 隐藏网上邻居
通过网上邻居我们可以访问到局域网中其他的计算机,如果其他计算机没有设置特别的访问权限的话,那么我们就可以干任何我们想干的事,为了保护局网中其他计算机上的数据安全,我们可以利用注册表来隐藏“网上邻居”。
1、打开注册表编辑器,并在编辑器中依次展开以下键值:HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer;
2、在对应Explorer键值右边的窗口中,用鼠标单击窗口的空白处,从弹出的快捷菜单中,用鼠标依次访问“新建”/“DWORD串值”;
3、将新建的DWORD串值命名为NoNetHood,同时把该值设置为1(十六进制);
4、设置好后,重新启动计算机就可以使设置生效了。
(8) 限制用户使用指定程序
为防止用户非法运行或者修改程序,我们可以通过修改注册表来让用户只能运行指定的程序,从而保证系统安全。
1、在注册表编辑器窗口中依次打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer键值;
2、在对应Explorer键值右边的窗口中,新建一个DWORD串值,名字取为“RestrictRun”,把它的值设为“1”;
3、在RestrictRun的主键下分别添加名为“1”、“2”、“3”等字符串值,然后将“1”,“2”、“3”等字符串的值设置为我们允许用户使用的程序名,样,用户就只能使用指定的程序了。
7.结束语
随着计算机技术和通信技术的融合和发展,计算机网络将日益成为商业、工业、农业和国防等方面的重要信息存储和交换手段,渗透到社会生活的各个领域。我们一定要认清网络的脆弱性和看到网络潜在威胁,并采取强有力的安全策略,保障网络的安全性,这对于维护社会、经济稳定和国家安全都将起着重要作用。