1.序言

　　隨著信息全球化的加劇和計算機網絡的不斷發展，加上計算機網絡的多樣性、開放性、互連性和廣泛性等特點，致使現在的電腦和網絡越來越弱不禁風，全球的黑客、間諜、病毒爆炸式的增長，所以網絡系統中的信息的安全和保密是一個至關重要的問題。對于一些特殊的政府、銀行和軍事網絡等傳輸敏感數據的計算機網絡系統而言，網上信息的安全和保密工作更為重要。不管是在局域網還是在廣域網中，網絡安全工作都要全面、細致，要充分考慮到來自網內網外的各種不同的威脅，并積極采取相應措施，這樣才能有力地確保網絡信息系統的安全和保密。

　　2.網絡系統的不安全因素

　　計算機網絡系統的不安全因素按威脅的對象可以分為三種:一是對網絡硬件的威脅，這主要指那些惡意破壞網絡設施的行為，如偷竊、無意或惡意毀損等等;二是對網絡軟件的威脅，如病毒、木馬入侵，流量攻擊等等;三是對網絡上傳輸或存儲的數據進行的攻擊，比如修改數據，解密數據，刪除破壞數據等等。這些威脅有很多很多，可能是無意的，也可能是有意的，可能是系統本來就存在的，也可能是我們安裝、配置不當造成的，有些威脅甚至會同時破壞我們的軟硬件和存儲的寶貴數據。如CIH病毒在破壞數據和軟件的同時還會破壞系統BIOS，使整個系統癱瘓。針對威脅的來源主要有以下幾方面:

　　2.1無意過失

　　如管理員安全配置不當造成的安全漏洞，有些不需要開放的端口沒有即時用戶帳戶密碼設置過于簡單，用戶將自己的帳號密碼輕意泄漏或轉告他人，或幾人共享帳號密碼等，都會對網絡安全帶來威脅。

　　2.2惡意攻擊

　　這是我們賴以生存的網絡所面臨的最大威脅。此類攻擊又可以分為以下兩種:一種是顯在攻擊，它有選擇地破壞信息的有效性和完整性，破壞網絡的軟硬件系統，或制造信息流量使我們的網絡系統癱瘓;另一類是隱藏攻擊，它是在不影響用戶和系統日常工作的前提下，采取竊取、截獲、破譯和方式獲得機密信息。這兩種攻擊均可對計算機網絡系統造成極大的危害，并導致機密數據的外泄或系統癱瘓。

　　2.3漏洞后門

　　網絡操作系統和其他工具、應用軟件不可能是百分之百的無缺陷和無漏洞的，尤其是我們既愛又恨的“Windows”系統，這些漏洞和缺陷就是病毒和黑客進行攻擊的首選通道，無數次出現過的病毒(如近期的沖擊波和震蕩波就是采用了Windows系統的漏洞)造成的重大損失和慘痛教訓，就是由我們的漏洞所造成的。黑客浸入網絡的事件，大部分也是利用漏洞進行的。“后門”是軟件開發人員為了自己的方便，在軟件開發時故意為自己設置的，這在一般情況下沒有什么問題，但是一旦該開發人員有一天想不通要利用利用該“后門”，那么后果就嚴重了，就算他自己安分守己，但一旦“后門”洞開和泄露，其造成的后果將更不堪設想。

　　3.計算機網絡的安全策略

　　3.1 物理安全策略

　　物理安全策略的目的是保護計算機系統、服務器、網絡設備、打印機等硬件實體和通信鏈路的物理安全，如采取措施防止自然災害、化學品腐蝕、人為盜竊和破壞、搭線竊取和攻擊等等;由于很多計算機系統都有較強的電磁泄漏和輻射，確保計算機系統有一個良好的電磁兼容工作環境就是我們需要考慮的;另外建立完備的安全管理制度，服務器應該放在安裝了監視器的隔離房間內，并且要保留10天以上的監視記錄，另外機箱、鍵盤、電腦桌抽屜要上鎖，鑰匙要放在另外的安全位置，防止未經授權而進入計算機控制室，防止各種偷竊、竊取和破壞活動的發生。

　　3.2 訪問控制策略

　　網絡中所能采用的各種安全策略必須相互配合、相互協調才能起到有效的保護作用，但訪問控制策略可以說是保證網絡安全最重要的核心策略之一。它的主要目的是保證網絡信息不被非法訪問和保證網絡資源不被非法使用。它也是維護網絡系統安全、保護網絡資源的重要手段。下面我們分述各種訪問控制策略。

　　3.2.1 登陸訪問控制

　　登陸訪問控制為網絡訪問提供了第一層訪問控制。通過設置帳號，可以控制哪些用戶能夠登錄到服務器并獲取網絡信息和使用資源;通過設置帳號屬性，可以設置密碼需求條件，控制用戶在哪些時段能夠登陸到指定域，控制用戶從哪臺工作站登陸到指定域，設置用戶帳號的失效日期。

　　注:當用戶的登錄時段失效時，到域中網絡資源的鏈接不會被終止。然而，該用戶不能再創建到域中其他計算機的新鏈接。

　　用戶的登陸過程為:首先是用戶名和密碼的識別與驗證、然后是用戶帳號的登陸限制的檢查。兩個過程只要有一個不成功就不能登陸。

　　由于用戶名和密碼是對網絡用戶的進行驗證的第一道防線。所以作為網絡安全工作人員在些就可以采取一系列的措施防止非法訪問。

　　a. 基本的設置

　　應該限制普通用戶的帳號使用時間、方式和權限。只有系統管理員才能建立用戶帳號。用戶密碼方面應該考慮以下情況:密碼的復雜情況、最小密碼長度、密碼的有效期等。應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。應對所有用戶的訪問進行審計，如果多次輸入口令不正確，則應該認為是非法入侵，應給出報警信息，并立即停用該帳戶。

　　b. 認真考慮和處理系統內置帳號

　　建議采取以下措施:i.停用Guest帳號，搞不懂Microsoft為何不允許刪除Guest帳號，但不刪除我們也有辦法:在計算機管理的用戶和組里面，把Guest帳號禁用，任何時候都不允許Guest帳號登陸系統。如果還不放心，可以給Guest帳號設置一個長而復雜的密碼。這里為對Windows 2000有深入了解的同行提供一個刪除Guest帳號的方法:Windows 2000系統的帳號信息，是存放在注冊表HKEY_LOCAL_MACHINE/SAM里的，但即使我們的系統管理員也無法打開看到這個主鍵，這主要也是基于安全的原因，但是“System”帳號卻有這個權限，聰明的讀者應該知道怎么辦了吧，對了，以“SYSTEM”權限啟動注冊表就可以了，具體方法為:以“AT”命令來添加一個計劃任務來啟動Regedit.exe程序，然后檢查注冊表項，把帳號Guest清除掉。首先，看一下時間 00:30,在“運行”對話框中或“cmd”中運行命令:at 0:31 /interactive regedit.exe。這樣啟動regedit.exe的身份就是“SYSTEM”了，/interactive的目的是讓運行的程序以交互式界面的方式運行。一分鐘后regedit.exe程序運行了，依次來到以下位置: HKEY_LOCAL_MACHINE/SAM/Domains/Account/Users，將以下兩個相關鍵全部刪掉:一個是000001F5，一個是Names下面的Guest。完成后我們可是用以下命令證實Guest帳號確實被刪掉了“net user guest”。ii.系統管理員要擁有兩個帳號，一個帳號是具有管理員權限，用于系統管理，另一個帳號只有一般權限，用于日常操作。這樣只有在維護系統或安裝軟件時才用管理員身份登陸，有利于保障安全。iii.將administrator帳號改名。Microsoft不允許將administrator帳號刪除和停用，這樣Microsoft就給Hacker們提供了特別大的幫助，但我們也可將之改名，如改為everyones等看視普通的名字。千萬不要改為Admin、Admins等改了等于白改的名字。

　　c. 設置欺騙帳號

　　這是一個自我感覺非常有用的方法:創建一個名為Administrator的權限最低的欺騙帳號，密碼設置相當復雜，既長又含特殊字符，讓Hacker們使勁破解，也許他破解還沒有成功我們就已經發現了他的入侵企圖，退一步，即使他破解成功了最后還是會大失所望的發現白忙半天。

　　d. 限制用戶數量

　　因為用戶數量越多，用戶權限、密碼等設置的缺陷就會越多，Hacker們的機會和突破口也就越多，刪除臨時帳號、測試帳號、共享帳號、普通帳號、已離職員工帳號和不再使用的其他帳號能有效地降低系統缺陷。

　　e. 禁止系統顯示上次登陸的用戶名

　　Win9X以上的操作系統對以前用戶登陸的信息具有記憶功能，下次重啟時，會在用戶名欄中提示上次用戶的登陸名，這個信息可能被別有用心的人利用，給系統和用戶造成隱患，我們可以通過修改注冊表來隱藏上次用戶的登陸名。修改方法如下:打開注冊表，展開到以下分支:

　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon

　　在此分支下新建字符串命名為:DontDisplayLastUserName，并把該字符串值設為:“1”，完成后重新啟動計算機就不會顯示上次登錄用戶的名字了。

　　f. 禁止建立空連接

　　默認情況下，任何用戶通過空連接連上服務器后，可能進行枚舉帳號，猜測密碼，我們可以通過修改注冊表來禁止空連接。方法如下:打開注冊表，展開到以下分支:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa，然后將該分支下的restrictanonymous的值改為“1”即可。

　　g. 通過智能卡登錄

　　采用便攜式驗證器來驗證用戶的身份。如廣泛采用的智能卡驗證方式。通過智能卡登錄到網絡提供了很強的身份驗證方式，因為，在驗證進入域的用戶時，這種方式使用了基于加密的身份驗證和所有權證據。

　　例如，如果一些別有用心的人得到了用戶的密碼，就可以用該密碼在網絡上冒稱用戶的身份做一些他自己想做的事情。而現實中有很多人都選擇相當容易記憶的密碼(如姓名、生日、電話號碼、銀行帳號、身份證號碼等)，這會使密碼先天脆弱，很容易受到攻擊。

　　在使用智能卡的情況下，那些別有用心的人只有在獲得用戶的智能卡和個人識別碼 (PIN) 前提下才能假扮用戶。由于需要其它的信息才能假扮用戶，因而這種組合可以減少攻擊的可能性。另一個好處是連續幾次輸入錯誤的 PIN 后，智能卡將被鎖定，因而使得采用詞典攻擊智能卡非常困難。

　　3.2.2 資源的權限管理

　　資源包括系統的軟硬件以及磁盤上存儲的信息等。我們可以利用Microsoft 在Windows 2000中給我們提供的豐富的權限管理來控制用戶對系統資源的訪問，從而起到安全管理的目的。

　　a. 利用組管理對資源的訪問

　　組是用戶帳號的集合，利用組而不用單個的用戶管理對資源的訪問可以簡化對網絡資源的管理。利用組可以一次對多個用戶授予權限，而且在我們對一個組設置一定權限后，以后要將相同的權限授予別的組或用戶時只要將該用戶或組添加進該組即可。

　　如銷售部的成員可以訪問產品的成本信息，不能訪問公司員工的工資信息，而人事部的員工可以訪問員工的工資信息卻不能訪問產品成本信息，當一個銷售部的員工調到人事部后，如果我們的權限控制是以每個用戶為單位進行控制，則權限設置相當麻煩而且容易出錯，如果我們用組進行管理則相當簡單，我們只需將該用戶從銷售組中刪除再將之添加進人事組即可。

　　b. 利用NTFS管理數據

　　NTFS文件系統為我們提供了豐富的權限管理功能，利用了NTFS文件系統就可以在每個文件或文件夾上對每個用戶或組定義諸如讀、寫、列出文件夾內容、讀和執行、修改、全面控制等權限，甚至還可以定義一些特殊權限。NTFS只適用于NTFS磁盤分區，不能用于FAT或FAT32分區。不管用戶是訪問文件還是文件夾，也不管這些文件或文件夾是在計算機上還是在網絡上，NTFS的安全功能都有效。NTFS用訪問控制列表(ACL)來記錄被授予訪問該文件或文件夾的所有用戶、帳號、組、計算機，還包括他們被授予的訪問權限。注意:要正確和熟練地使用NTFS控制權限的分配必須深入了解NTFS權限的特點、繼承性、“拒絕”權限的特性以及文件和文件夾在復制和移動后的結果。一個網絡系統管理員應當系統地考慮用戶的工作情況并將各種權限進行有效的組合，然后授予用戶。各種權限的有效組合可以讓用戶方便地完成工作，同時又能有效地控制用戶對服務器資源的訪問，從而加強了網絡和服務器的安全性。

　　3.2.3 網絡服務器安全控制

　　網絡服務器是我們網絡的心臟，保護網絡服務器的安全是我們安全工作的首要任務，沒有服務器的安全就沒有網絡的安全。為了有效地保護服務器的安全，我們必須從以下幾個方面開展工作。

　　a. 嚴格服務器權限管理

　　由于服務器的重要地位，我們必須認真分析和評估需要在服務器上工作的用戶的工作內容和工作性質，根據其工作特點授予適當的權限，這些權限要保證該用戶能夠順利地完成工作，但也決不要多給他一點權限(即使充分相信他不會破壞也要考慮他的誤操作)，同時刪除一些不用的和沒有必要存在的用戶和組(如員工調動部門或辭退等)。根據情況限制或禁止遠程管理，限制遠程訪問權限等也是網絡安全工作者必需考慮的工作。

　　b. 嚴格執行備份操作

　　作為一個網絡管理員，由于磁盤驅動器失靈、電源故障、病毒感染、黑客攻擊、誤操作、自然災害等原因造成數據丟失是最為常見的事情。為了保證系統能夠從災難中以最快的速度恢復工作，最大化地降低停機時間，最大程度地挽救數據，備份是一個最為簡單和可靠的方法。Windows 2000 集成了一個功能強大的圖形化備份實用程序。它專門為防止由于硬件或存儲媒體發生故障而造成數據丟失而設計的。它提供了五個備份類型:普通、副本、差異、增量和每日，我們根據備份所耗時間和空間可以靈活安排這五種備份類型來達到我們的目的。

　　警告:對于從Windows 2000 NTFS卷中備份的數據，必須將之還原到一個Windows 2000 NTFS卷中，這樣可以避免數據丟失，同時能夠保留訪問權限、加密文件系統(Encrypting File System)設置信息、磁盤限額信息等。如果將之還原到了FAT文件系統中，將丟失所有加密數據，同時文件不可讀。

　　c. 嚴格起用備用服務器

　　對于一些非常重要的服務器，如域控制器、橋頭服務器、DHCP服務器、DNS服務器、WINS服務器等擔負網絡重要功能的服務器，也包括那些一旦癱瘓就要嚴重影響公司業務的應用程序服務器，我們應該不惜成本建立備份機制，這樣即使某個服務器發生故障，對我們的工作也不會造成太大的影響。我們也可以利用Windows 2000 Advance Server的集群功能使用兩個或兩個以上的服務器，這樣不但可以起到備用的作用，同時也能很好地提高服務性能。

　　d. 使用RAID實現容錯功能

　　使用RAID有軟件和硬件的方法，究竟采用哪種要考慮以下一些因素:

　　硬件容錯功能比軟件容錯功能速度快。

　　硬件容錯功能比軟件容錯功能成本高。

　　硬件容錯功能可能被廠商限制只能使用單一廠商的設備。

　　硬件容錯功能可以實現硬盤熱交換技術，因此可以在不關機的情況下更換失敗的硬盤。

　　硬件容錯功能可以采用高速緩存技術改善性能。

　　Microsoft Windows 2000 Server支持三種類型的軟件RAID，在此作一些簡單描述:

　　u RAID 0(條帶卷)

　　RAID 0 也被稱為磁盤條帶技術，它主要用于提高性能，不屬于安全范疇，在此略過，有興趣的朋友可以參閱相關資料。

　　u RAID 1(鏡像卷)

　　RAID 1 也被稱為磁盤鏡像技術，它是利用Windows 2000 Server的容錯驅動程序(Ftdisk.sys)來實現，采用這種方法，數據被同時寫入兩個磁盤中，如果一個磁盤失敗了，系統將自動用來自另一個磁盤中的數據繼續運行。采用這種方案，磁盤利用率僅有50%。

　　可以利用鏡像卷保護系統磁盤分區或引導磁盤分區，它具有良好的讀寫性能，比RAID 5 卷使用的內存少。

　　可以采用磁盤雙工技術更進一步增強鏡像卷的安全性，它不需要附加軟件支持和配置。(磁盤雙工技術:如果用一個磁盤控制器控制兩個物理磁盤，那么當磁盤控制器發生故障，則兩個磁盤均不能訪問，而磁盤雙工技術是用兩個磁盤控制器控制兩個物理磁盤，當這兩個磁盤組成鏡像卷時更增強了安全性:即使一個磁盤控制器損壞，系統也能工作。)

　　鏡像卷可以包含任何分區，包括引導磁盤分區或系統磁盤分區，然而，鏡像卷中的兩個磁盤必須都是Windows 2000 的動態磁盤。

　　u RAID 5(帶有奇偶校驗的條帶卷)

　　在Windows 2000 Server中，對于容錯卷，RAID 5是目前運用最廣的一種方法，它至少需要三個驅動器，最多可以多達32個驅動器。Windows 2000 通過在RAID-5卷中的各個磁盤分區中添加奇偶校檢翻譯片來實現容錯功能。如果單個磁盤失敗了，系統可以利用奇偶信息和剩余磁盤中的數據來重建丟失的數據。

　　注:RAID-5卷不能保護系統磁盤和引導磁盤分區。
　　e. 嚴格監控系統啟動的服務

　　很多木馬或病毒程序都要在系統中創建一個后臺服務或進程，我們應該經常檢查系統，一旦發現一些陌生的進程或服務，就要特別注意是否有木馬、病毒或間諜等危險軟件運行。作為網絡管理員，經常檢查系統進程和啟動選項是應該養成的一個經常習慣。這里有一個對初級網絡管理員的建議:在操作系統和應用程序安裝完成后利用工具軟件(如Windows優化大師等軟件)導出一個系統服務和進程列表，以后經常用現有的服務和進程列表與以前導出的列表進行比較，一旦發現陌生進程或服務就要特別小心了。

　　3.2.4 網絡監測和鎖定控制

　　網絡管理員應對網絡實施監控，服務器應記錄用戶對網絡資源的訪問，對非法的網絡訪問，服務器應以圖形、文字或聲音等形式報警，以引起網絡管理員的注意。如果不法之徒試圖進入網絡，網絡服務器應會自動記錄企圖嘗試進入網絡的次數，如果非法訪問的次數達到設定數值，那么該帳戶將被自動鎖定。

　　服務器允許在服務器控制臺上執行一些如裝載和卸載管理模塊的操作，也可以進行安裝和刪除軟件等操作。網絡服務器的安全控制包括設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要服務組件或破壞數據;可以設定服務器登錄時間和時長、非法訪問者檢測和關閉的時間間隔。

　　3.2.5 防火墻控制

　　防火墻的概念來源于古時候的城堡防衛系統，古代戰爭中為了保護一座城市的安全，通常是在城市周圍挖出一條護城河，每一個進出城堡的人都要通過一個吊橋，吊橋上有守衛把守檢查。在設計現代網絡的時候，設計者借鑒了這一思想，設計出了現在我要介紹的網絡防火墻技術。

　　防火墻的基本功能是根據一定的安全規定，檢查、過濾網絡之間傳送的報文分組，以確定它們的合法性。它通過在網絡邊界上建立起相應的通信監控系統來隔離內外網絡，以阻止外部網絡的侵入。我們一般是通過一個叫做分組過濾路由器的設備來實現這個功能的，這個路由器也叫做篩選路由器。作為防火墻的路由器與普通路由器在工作機理上有較大的不同。普通路由器工作在網絡層，可以根據網絡層分組的ip地址決定分組的路由;而分組過濾路由器要對IP地址、TCP或UDP分組頭進行檢查與過濾。通過分組過濾路由器檢查過的報文還要進一步接受應用網關的檢查。因此，從協議層次模型的角度看，防火墻應覆蓋網絡層、傳輸層與應用層。

　　4.信息加密策略

　　加密是我們在 Intranet、Extranet 和 Internet上進行信息交換的安全基礎。加密主要用在三個地方:(1)、身份驗證，主要是使收件人確信發件人就是他或她所期望的那個人，而不是別人冒名;(2)、機密性，主要是確保只有預期的收件人才能夠閱讀所傳遞的信息;(3)、完整性，主要是確保郵件在傳輸過程中沒有發生不期望的更改。從加密的原理來看，加密是利用數學方法將信息轉換為不可讀格式從而達到保護數據的目的的一門科學。

　　如果按照收發雙方密鑰是否相同來分類，可以將加密分為對稱密鑰加密和非對稱密鑰加密。

　　4.1對稱加密:一個密鑰

　　也叫做機密密鑰加密或共享密鑰加密，發件人和收件人共用同一個密鑰，這個密鑰叫做機密密鑰(也稱為對稱密鑰或會話密鑰)，它既用于加密，也用于解密。由于對稱密鑰加密在加密和解密時使用相同的密鑰，所以這種加密過程的安全性取決于是否有未經授權的人獲得了對稱密鑰。希望使用對稱密鑰加密通信的雙方，在交換加密數據之前必須先安全地交換密鑰。

　　對稱密鑰加密速度較快，主要用于加密大量數據。對稱密鑰加密的算法有許多種，都用可還原的方式將明文(未加密的數據)轉換為暗文。暗文使用加密密鑰編碼，對于沒有解密密鑰的任何人來說它都是一堆毫無意義的亂碼。

　　對稱算法可靠與否的關鍵是其密鑰的長度和復雜性。密鑰越長，在采用枚舉法破解密碼的時候需要測試的數據量就越多，所需要的時間也就越長。同樣，密鑰越復雜(也就是說密鑰包含的字符類型多)所需要測試的數據量也越大，時間也就越長，破解這種算法就越困難。有了好的加密算法和足夠長而復雜的密鑰，如果有人想在一段實際可行的時間內逆轉轉換過程，并從暗文中推導出明文，從計算的角度來講，這種做法是行不通的。

　　4.2公鑰加密:兩個密鑰

　　公鑰加密(也叫做不對稱密鑰)使用兩個數學上是相關聯的密鑰——一個私鑰和一個公鑰。在公鑰加密中，公鑰可在通信雙方之間公開傳遞，甚至對外發布，但相關的私鑰是保密的。只有使用私鑰才能解密用公鑰加密的數據。使用私鑰加密的數據只能用公鑰解密。

　　公鑰加密與對稱密鑰加密一樣，同樣有許多算法。公鑰算法是復雜的數學方程式，使用了非常大的數字，因而這種加密方式的速度相對較低，所以它一般僅在關鍵時候才使用公鑰算法，如在交換對稱密鑰或進行數字簽名時使用。

　　5.日志文件的重要性

　　Windows網絡操作系統都設計有各種各樣的日志文件，如應用程序日志，安全日志、系統日志、Scheduler服務日志、FTP日志、WWW日志、DNS服務器日志等等，這些根據你的系統開啟的服務的不同而有所不同。我們在系統上進行一些操作時，這些日志文件通常會記錄下我們操作的一些相關內容，這些內容對系統安全工作人員相當有用。比如說有人對系統進行了IPC探測，系統就會在安全日志里迅速地記下探測者探測時所用的IP、時間、用戶名等，用FTP探測后，就會在FTP日志中記下IP、時間、探測所用的用戶名等。甚至你的系統里什么時候啟動或停止了某項服務，日志文件里也會有相關情況的記錄。而優秀的黑客們在干盡壞事后往往會刪除對他(她)有記錄的日志。所以保護日志文件的安全也相關重要。

　　日志文件默認位置:

　　安全日志文件:%systemroot%/system32/config/SecEvent.EVT，默認文件大小512KB;

　　系統日志文件:%systemroot%/system32/config/SysEvent.EVT，默認文件大小512KB;

　　應用程序日志文件:%systemroot%/system32/config/AppEvent.EVT，默認文件大小512KB;

　　DNS日志文件:%systemroot%/system32/config/DnsEvent.EVT，默認文件大小512KB;

　　WWW日志默認位置:%systemroot%/system32/logfiles/w3svc1/，默認每天一個日志;

　　FTP日志默認位置:%systemroot%/system32/logfiles/msftpsvc1/，默認每天一個日志;

　　Scheduler服務日志默認位置:%systemroot%/schedlgu.txt。

　　上面提及的日志在注冊表里均有相應的鍵，我們可以在注冊表中找到日志文件的相關設置。

　　應用程序日志，安全日志，系統日志，DNS日志在注冊表中的位置是:

　　HKEY_LOCAL_MACHINE/system/CurrentControlSet/Services/Eventlog

　　為了保護日志文件的安全，管理員將日志文件重定向是相當有必要的，我們可以在這里看到重定向的目錄。

　　Scheduler服務日志在注冊表中

　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SchedulingAgent

　　由于日志文件在管理員了解網絡潛在危險中起了舉足輕重的作用，所以作為網絡安全管理員，我們要養成經常查看日志文件的習慣，同時要采取切實可行的方法保障這些文件的安全，如:注意保護系統管理員帳戶安全，對日志文件重定向等等。

　　6.其他修改注冊表來提高安全性的技巧

　　為了有效地保障網絡系統的安全和可靠，我們還可以對注冊表做一些必要的修改以保證安全。修改注冊表來完善我們的安全系統涉及的地方很多，這里只列舉很少的一部分，大家有興趣可以參閱相關的資料。

　　(1) 隱藏一個服務器

　　為了保證網絡中的服務器不被末授權的訪問、更改和非法攻擊，從安全的角度出發，有時需要把網絡中指定的服務器名稱隱藏起來，以便讓其他網絡用戶無法訪問。修改注冊表的方法是:

　　1、打開注冊表編輯器，來到下面分支:HKEY_LOCAL_ MACHINE / SYSTEM / CurrentControlSet /Services / LanmanServer / Parameters鍵值;

　　2、用鼠標單擊該鍵值下面的Hidden數值名稱，如果未發現此名稱，那么添加一個，其數據類型為REG_DWord，值設為1;

　　3、重新啟動計算機后就可以在網絡中隱藏一個服務器了。

　　(2) 阻止非法修改注冊表

　　注冊表是整個系統的靈魂，任何對注冊表的錯誤修改都有可能導致整個系統癱瘓。因此，阻止注冊表被惡意或無意修改，是我們安全工作者必須要考慮的問題。我們可以通過修改注冊表來達到阻止修改的目的。

　　1、在注冊表編輯器中，來到HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/鍵值;

　　2、在Policies鍵值的下面新建一個System主鍵，如果該主鍵已經存在，進行下一步操作;

　　3、在System主鍵右邊窗口的空白處新建一個名為DisableRegistryTools的 DWORD串值，并將其值設為1;

　　4、重啟系統就達到了防止其他人非法編輯注冊表的目的。

　　(3) 屏蔽“控制面板”的訪問

　　我們可以利用系統自帶的控制面板進行許多的系統軟硬件設置工作，因此防止他人隨意利用控制面板對Windows系統進行非法修改也是很有必要的，要達到這個目的，我們也可對注冊表進行修改:

　　1、首先在注冊表中來到以下分支:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System鍵值;

　　2、隨后在對應System鍵值的右邊窗口中，用鼠標右鍵單擊該窗口的空白處，并從彈出的快捷菜單中選擇“新建”/“DWORD”命令，來新建一個DWORD值;

　　3、把DWORD值的名稱命名為NoDispCPL，設置NoDispCPL的值為1。

　　(4) 將用戶登錄名隱藏

　　Win9x以后的操作系統對以前用戶登錄的信息具有記憶功能，當重新啟動系統時，系統默認會在用戶名欄中顯示上次用戶的登錄名，這個信息可能會被一些非法分子利用，造成系統隱患。我們可以通過設置注冊表將上次用戶的登錄名隱藏。

　　1、打開注冊表編輯器，并在編輯器中依次展開以下鍵值:HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon;

　　2、在Winlogon鍵值右邊的窗口中， “新建”/“字符串”;

　　3、給新建字符串命名為"DontDisplayLastUserName",并把該字符串值設置為"1";

　　4、設置完后，重新啟動計算機就可以隱藏上機用戶登錄的名字了。

　　(5) 禁止用戶撥號訪問

　　如果用戶的計算機上面有重要的信息，有可能不允許其他人隨便訪問。那么如何禁止其他人撥入訪問你的計算機，減少安全隱患呢，具體步驟為:

　　1、打開注冊表編輯器，并在編輯器中依次展開以下鍵值: [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Network];

　　2、在編輯器右邊的列表中用選擇“NoDialIn”鍵值，如果沒有，則新建一個DWORD值，名稱設置為“NoDialIn”;

　　3、接著用鼠標雙擊“NoDialIn”鍵值，編輯器就會彈出一個名為“字符串編輯器”的對話框，在該對話框的文本欄中輸入數值“1”，其中1代表允許撥入訪問功能，0代表禁止撥入訪問功能;

　　4、退出后重新登錄網絡，上述設置就會起作用。

　　(6) 屏蔽對軟盤的網絡訪問

　　病毒有很多都是通過訪問染毒軟盤而被感染得來的，如果我們允許用戶通過網絡來訪問軟盤的話，那么整個網絡都有可能被感染病毒，最終將會使網絡中的所有計算機都中毒癱瘓。為了防止病毒入侵整個網絡，我們必須嚴格管理計算機的輸入設備，以斷絕病毒的源頭，我們可以通過設置注冊表來限制通過網絡訪問軟盤。

　　1、打開注冊表編輯器，并在編輯器中依次展開以下鍵值:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon;

　　3、在對應Winlogon右邊的窗口中，看看有沒有包含鍵值AllocateFloppies，如果沒有，用鼠標右鍵單擊窗口的空白處，從彈出的快捷菜單中選擇“新建”/“DWORD值”;

　　4、把新建的DWORD值取名為AllocateFloppies，同時把它的值修改為0或1，其中0代表可被域內所有管理員訪問，1代表僅可被當地登陸者訪問。

　　(7) 隱藏網上鄰居

　　通過網上鄰居我們可以訪問到局域網中其他的計算機，如果其他計算機沒有設置特別的訪問權限的話，那么我們就可以干任何我們想干的事，為了保護局網中其他計算機上的數據安全，我們可以利用注冊表來隱藏“網上鄰居”。

　　1、打開注冊表編輯器，并在編輯器中依次展開以下鍵值:HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Policies/Explorer;

　　2、在對應Explorer鍵值右邊的窗口中，用鼠標單擊窗口的空白處，從彈出的快捷菜單中，用鼠標依次訪問“新建”/“DWORD串值”;

　　3、將新建的DWORD串值命名為NoNetHood，同時把該值設置為1(十六進制);

　　4、設置好后，重新啟動計算機就可以使設置生效了。

　　(8) 限制用戶使用指定程序

　　為防止用戶非法運行或者修改程序，我們可以通過修改注冊表來讓用戶只能運行指定的程序，從而保證系統安全。

　　1、在注冊表編輯器窗口中依次打開HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer鍵值;

　　2、在對應Explorer鍵值右邊的窗口中，新建一個DWORD串值，名字取為“RestrictRun”，把它的值設為“1”;

　　3、在RestrictRun的主鍵下分別添加名為“1”、“2”、“3”等字符串值，然后將“1”，“2”、“3”等字符串的值設置為我們允許用戶使用的程序名，樣，用戶就只能使用指定的程序了。

　　7.結束語

　　隨著計算機技術和通信技術的融合和發展，計算機網絡將日益成為商業、工業、農業和國防等方面的重要信息存儲和交換手段，滲透到社會生活的各個領域。我們一定要認清網絡的脆弱性和看到網絡潛在威脅，并采取強有力的安全策略，保障網絡的安全性，這對于維護社會、經濟穩定和國家安全都將起著重要作用。