NT/2000服务器终极安全设置与效率优化指南（3）

好了，入侵者现在没有办法拿到我们的用户列表，我们的账户安全了

2。禁止显示上次登陆的用户名HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionwinlogon项中的Don’t

DisplayLastUserName串数据改成1，这样系统不会自动显示上次的登录用户名。将服务器注册表HKEY_LOCAL_

MACHINESOFTWAREMicrosoft

WindowsNTCurrentVersionWinlogon项中的DontDisplayLastUser

Name串数据修改为1，隐藏上次登陆控制台的用户名。其实，在2000的本地安全策略中也存在该选项

Winnt4.0修改注册表：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon

中增加DontDisplayLastUserName，将其值设为1。

2.预防DoS：

在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击

SynAttackProtectREG_DWORD2

EnablePMTUDiscoveryREG_DWORD0NoNameReleaseOnDemandREG_DWORD1

EnableDeadGWDetectREG_DWORD0KeepAliveTimeREG_DWORD300,000

PerFORMRouterDiscoveryREG_DWORD0EnableICMPRedirectsREG_DWORD0

在Win2000中如何关闭ICMP(Ping)

3.针对ICMP攻击

ICMP的全名是InternetControlandMessage

Protocal即因特网控制消息/错误报文协议，这个协议主要是用来进行错误信息和控制信息的传递，例如著名的Ping和Tracert工具都是利用ICMP协议中的ECHO

request报文进行的（请求报文ICMPECHO类型8代码0，应答报文ICMPECHOREPLY类型0代码0）。

ICMP协议有一个特点---它是无连结的，也就是说只要发送端完成ICMP报文的封装并传递给路由器，这个报文将会象邮包一样自己去寻找目的地址，这个特点使得ICMP协议非常灵活快捷，但是同时也带来一个致命的缺陷---易伪造（邮包上的寄信人地址是可以随便写的），任何人都可以伪造一个ICMP报文并发送出去，伪造者可以利用SOCK_RAW编程直接改写报文的ICMP首部和IP首部，这样的报文携带的源地址是伪造的，在目的端根本无法追查，（攻击者不怕被抓那还不有恃无恐？）根据这个原理，外面出现了不少基于ICMP的攻击软件，有通过网络架构缺陷制造ICMP风暴的，有使用非常大的报文堵塞网络的，有利用ICMP碎片攻击消耗服务器CPU的，甚至如果将ICMP协议用来进行通讯，可以制作出不需要任何TCP/UDP端口的木马（参见揭开木马的神秘面纱三）......既然ICMP协议这么危险，我们为什么不关掉它呢？