操作系统安全
第一章安全法则
概述:基本概念
NT的安全性
UNIX的安全性
一、基本概念:
1、安全级别:
低安全性:在一个安全的位置,没有保存扫描病毒
敏感信息
中等安全性:保存公众数据,需要被多人使设置权限,激活审核,实现账号策略用
高安全性:位于高风险的位置,保存有敏感最小化操作系统的功能,最大化安全
机制
信息
2、安全机制:
具体的安全机制:
环绕机制:在进程或系统之间加密数据
签名机制:抗抵赖性和抗修改性
填充机制:增加数据捕获的难度
访问控制机制:确保授权的合法性
数据统一性机制:确保数据的顺序发送
广泛的安全性机制:
安全标记:通过指出数据的安全性级别来限制对数据的访问
信任机制:提供了敏感信息的传输途径
审核:提供了监控措施
安全恢复:当出现安全性事件的时候采取的一组规则
3、安全管理:
系统安全管理:管理计算机环境的安全性,包括定义策略,选择安全性机制,负责
审核和恢复进程
安全服务管理:
安全机制管理:实现具体的安全技术
二、NT的安全性:当一个系统刚安装好的时候,处于一个最不安全的环境
1、NT的安全性组件:
随机访问控制:允许对象的所有人制定别人的访问权限
对象的重复使用:
强制登陆:
审核:
通过对象来控制对资源的访问
对象:将资源和相应的访问控制机制封装在一起,称之为对象,系统通过调用对象来
提供应用对资源的访问,禁止对资源进行直接读取
包括:文件(夹),打印机,I/O 设备,视窗,线程,进程,内存
安全组件:
安全标识符:SID ,可变长度的号码,用于在系统中唯一标示对象,在对象创建时由
系统分配,包括域的SID 和RID 。创建时根据计算机明、系统时间、进
程所消耗CPU 的时间进行创建。
S-1-5-
administrator. This account is the
first account created during operating
system installation. The account
cannot be deleted or locked out. It is
a member of the Administrators group
and cannot be removed from that group.
S-1-5-
A user account for people who do not
have individual accounts. This user
account does not require a password. By
default, the Guest account is
disabled. S-1-5-32-544 Administrators A built-in group . After the initial installation of the operating system, the only member of the group is the Administrator account. When a computer joins a domain, the Domain Admins group is added to the Administrators group. When a server becomes a domain controller, the Enterprise Admins
group also is added to the
Administrators group.
The Administrators group has built-in
capabilties that give its members full
control over the system. The group is
the default owner of any object that is
created by a member of the group.
S-1-5-32-545
Users A built-in group. After the initial installation of the operating system,
the only member is the Authenticated
Users group. When a computer joins a
domain, the Domain Users group is added
to the Users group on the computer.
Users can perform tasks such as running
applications, using local and network
printers, shutting down the computer,
and locking the computer. Users can
install applications that only they
are allowed to use if the installation
program of the application supports
per-user installation.
实验:察看用户的SID
访问控制令牌:
包含
创建:仅在用户登录的时候,刷新
作用:访问资源的凭证
安全描述符:每一个对象都具有,包括对象的SID,组的SID,随机访问控制列表和系统访问控制列表
访问控制列表:进行访问控制和审核的方式,由一系列ACE构成
DACL:控制资源的访问类型和深度
SACL:控制对资源的审核
ACL
ACE:表示一个用户对此资源的访问权限,拒绝优先于允许
访问过程:
安全子系统:
Figure 6.1 Windows NT Security Components 重要组件:
LSA
SAM:存储用户密码
Netlogon:在验证的双方之间建立安全通道
三、UNIX安全性:
1、病毒攻击:
2、缓存区溢出:
crond, wu-ftp, sendmail
3、/etc/passwd和/etc/shadow文件的安全
4、non-root user access to sensitive commands: poweroff, reboot, halt
Pluggable authentication modules: PAMs, create additional authentication parameters without affecting existing authentication systems
PAM directory: /etc/pam.d/ determine what must occur before a user can logged in
/etc/security/ set limits concerning users and daemons once they
have logged onto the system
/lib/security/ the actual location of the PAM modules PAM entry format:
Module type flags path args
Module type: determine authentication type
Flags: determine module type priority
Path: determine module location in the system
Args: optional, customize PAM behavior
/etc/security directory:
access.conf: determines who can access the machine and from where
group.conf: determines which group can login
time.conf: set logon time limits
limits.conf: set limits based upon percentage of processor usage or number of processes a user can run simultaneously
第二章账号安全性
概述:账号安全性概述
NT账号的安全性
UNIX账号的安全性
一、账号安全性:归根结底是保护密码的安全性
1、强力密码:包含大小写,数字和特殊字符,不包含用户名和个人信息
2、赋予最低的权限和及时清理无用的账号
二、NT账号的安全性
1、定期检查账号数据库,掌握账号的变化;同时定期察看系统的的调度任务
2、使用账号策略来强化密码的安全性:
在2000中账号策略必须在域的级别来进行设置
密码策略
账号锁定策略
Kerberos策略
区别:2000最多支持127位密码,NT最多14位,在存储密码时以7位为单位,所
以选择密码时应为7的整数倍
NT缺省不禁用管理员账户,2000可以远程禁用
在设置账号锁定时,要考虑会产生拒绝服务的攻击
3、激活密码复杂性需要
4、重命名管理员账户
5、限制管理员登录的工作站
6、限制账户的登录时间
7、使用SYSKEY加强对SAM的安全防护
三、UNIX账号的安全性
1、密码文件:
/etc/passwd:everyone can read, but only root can own it and change it
/etc/shadow:only root can read and write it
2、账号策略:
3、限制登录:
Solaris: /etc/default/login console = /dev/console
Linux: /etc/security list the device name where root can login
Log: /etc/default/su can include sulog = /var/adm/sulog
4、限制shell:使用rksh来限制用户所能够完成的工作
限制输入输出的重定向
检查路径
限制更改路径
限制更改环境变量
5、监视账户:wtmp
6、检查路径参数:
Windows 2000: looks in current directory for application
looks at path statement
Unix: only looks at path statement
Do not set the current directory in the first place of the PATH
Do not allow write permission for normal users about directory in
PATH of root
7、使用系统级别的日志
syslogd: 使用/etc/syslog.conf进行配置
inetd: 使用-t选项激活日志功能,可以记录相应服务的运行情况
第三章文件系统安全性
概述:windows文件安全性
Linux文件安全性
一、windows 文件系统安全:
1、所支持的文件系统:
FAT16, FAT32, NTFS4.0, NTFS5.0, CDFS
2、NTFS权限:
标准的权限
权限单元
权限的继承:ACL列表的拷贝
权限的迁移:移动和拷贝
磁盘的分区:系统,程序和数据
注意:
erveryone和authenticated users的区别
缺省,新建的文件权限为everyone full control
新添加用户的权限位read only
3、EFS:
作用:利用公钥技术,对磁盘上存储的静态数据进行加密保护的措施。
原理:根据用户的身份为每个用户构建一对密钥
实现:
恢复代理:为了防止出现由于密钥损坏造成数据不能正常解密而构建的一种补救措施。
如何恢复:
如何添加恢复代理:
注意事项:
只有被授权的用户或恢复代理才能访问加密的文件
加密和压缩是相斥的
对文件的重命名,移动不会影响加密属性
至少需要一个恢复代理
仅能对静态存储的数据进行加密,若需要网络中传输的数据提供安全性,可使用IPSec 和PPTP
对一个文件夹加密,则此文件夹内所有新创建的文件均会被加密
若将一个加密后的文件移动一个非NTFS文件系统上,则加密属性丢失,除Backup 外,所以应该分别分配备份和恢复的权利并谨慎分配恢复的权利
4、磁盘限额:
基于文件和文件夹的所有权来统计用户所使用的磁盘空间
对于压缩状态的文件按非压缩状态统计磁盘空间的使用量
基于分区水平上的
剩余空间是指可供用户使用的磁盘限额内剩余空间的大小
可以设置当用户超出限额时是仅仅提出警告还是拒绝提供空间
可以针对所有用户也可针对个别用户设置
设置限额后,对已有的用户存储不进行限额,但可对老用户添加限额
管理员组的成员不受限额的影响
仅管理员组的成员有权利设置限额
5、共享安全性:谨对网络访问生效
仅能对文件夹设置共享,不能针对文件设置缺省
Administrators、Server Operators、Power Users group有权利设置共享
新建共享后,Everyone group是FC
所能接受的最大用户数:Win 2k Professional 10 Win 2k Serve CAL
Permission:Read、Change、FC
Deny优先于Allow的权限若用户属于多个组,则share security取并集
可以在FAT、FAT32、NTFS上设置共享
6、联合NTFS安全性和共享安全性:
网络访问取交集
本地访问仅考虑NTFS安全性
隐藏文件:
attrib +H directory
NTFS文件分流:不需要重新共建文件系统就能够给一个文件添加属性和信息
的机制,Macintosh的文件兼容特性。
需使用NTRK中POSIX的工具cp
cp nc.exe oso001.009:nc.exe
反分流:
cp oso001.009:nc.exe nc.exe
分流后oso001.009大小没有变化,但修改日期可能会有变化
分流后不能直接执行:start oso001.009:nc.exe
删除:需把文件拷贝到FAT分区,在拷贝会NTFS分区
搜索:唯一可靠的工具是ISS的Streamfinder.
二、linux file system security:
ls –l output:
d rwx rwx rwx 5 james james 120 Mar 21 17:22 account
d: directory
-: normal file
5: link counter
120: file or directory size
file permission:
each file has its owner
every file belongs to one group, primary group
only one permission is suitable for you if you have three kinds of permissions
owner may have no any permission to the file that he owns
directory permission:
读权限仅在列举目录时有效
写权限可以管理控制目录
执行权限允许你访问子目录和相应的文件
umask commond:
file default: rw-rw-rw-
directory default: rwx rwx rwx
umask:027 --- -w- rwx
change umask: umask number
change permissions: chmod
absolute mode: chmod 666 filename
symbolic mode: chmod ogw+/-/=rwx filename
set bits: change shell during execute the command
setuid
setgid
sticky: user can control and management the whole directory if user has write permission about the directory, it means the user can delete
other users’files. You may set sticky so that you assign write
permission but no administrative permission to the directory.
Chmod u=rwx,og=wxt directory name
查看危险的setuid和setgid许可权限:
find /-perm -4000 –print > https://www.doczj.com/doc/0e4835267.html,
diff https://www.doczj.com/doc/0e4835267.html, https://www.doczj.com/doc/0e4835267.html,.old
Change file owner: chown new owner filename
Change file group: chgrp new group filename
第四章评估风险
一、安全性威胁:
1、随机的威胁
2、有意图的威胁:消极的攻击
积极的攻击
二、windows的安全性威胁:
1、改变缺省的目录:
2、改变缺省的账号:
3、改变缺省的共享:HKLM\System\CCS\services\ lanmanagerserver\ parameters\
autoshareserver (autosharewks)=0
4、检验:系统扫描
三、UNIX的安全性威胁:
1、R*系列程序:
不需要输入密码即可远程执行程序。
Rsh https://www.doczj.com/doc/0e4835267.html, ps -auwx
安全机制:
1)、采用/etc/hosts.equiv和用户主目录下的.rhosts两个文件来进行访问控制
2)、对于in.rshd,为了读取某一用户的.rhosts文件,要保证文件柜该用户所有,且
其他人对该文件进行写访问,接受600或644的权限
3)、对提出请求的主机进行ip的反向搜索
不安全性:
1)、伪造.rhosts
2)、进行DNS的毒化
3)、配置自己的系统成为可信系统
2、NIS:允许在网络上共享系统的管理数据。
NIS+
2、NFS:允许透明的访问远程系统的文件和目录
安全漏洞:许多与mountd和NFS服务器相关的缓冲区溢出条件已被发现
依赖于RPC服务,可以轻易的安装远程系统上的文件
在共享文件是没有合理配置权限
防护:禁用NFS和相关服务
实现客户机和用户的访问控制,/etc/exports和/etc/dfs/dfstab能够控制进行访
问控制
在允许安装某个文件系统的客户机列表中决不要加上相应服务器的本地ip
或localhost. 早期的portmapper会打开代理中转,会代理供给者中转连接请
求
接受厂家的补丁
第五章减少风险
一、增强Windows的安全性:
1、对于系统漏洞:定期的添加services pack和hot fixes,如果系统没有相关服务,不
要随意的安装补丁
2、注册表安全性:
注册表的结构:相当于win.ini,集中存储了系统的配置信息
5个配置单元(hive key),4个存放于winnt\system32\config目录下:SAM, SYSTEM, SECURITY, SOFTWARE,对此4个文件设置权限,仅允许system账号访问。
HARDW ARE又称易失关键字,每次系统启动时由https://www.doczj.com/doc/0e4835267.html,进行硬件检测,将检测的结果只与此关键字中,保存在内存中
H K E Y _ L O C A L _ M A C H I N E ( H K L M )是包含操作系统及硬件相关信息(例如计算机总线类型,系统可用内存,当前装载了哪些设备驱动程序以及启动控制数据等)的配置单元。实际上,H K L M保存着注册表中的大部分信息,因为另外四个配置单元都是其子项的别名。不同的用户登录时,此配置单元保持不变。
H K E Y _ C U R R E N T _ U S E R ( H K C U )配置单元包含着当前登录到由这个注册表服务的计算机上的用户的配置文件。其子项包含着环境变量、个人程序组、桌面设置、网络连接、打印机和应用程序首选项(环境变量在Windows 2000中被用来允许脚本、注册表条目,以及其它应用程序使用通配符来代替可能会发生改变的重要的系统信息),存储于用户配置文件的ntuser.dat中。优先于H K L M中相同关键字。这些信息是HKEY_USERS 配置单元当前登录用户的Security ID(SID)子项的映射。
H K E Y _ U S E R S ( H K U )配置单元包含的子项含有当前计算机上所有的用户配
置文件。其中一个子项总是映射为H K E Y _ C U R R E N T _ U S E R (通过用户的S I D值)。另一个子项H K E Y _U S E R S \ D E FA U LT包含用户登录前使用的信息。
H K E Y _ C L A S S E S _ R O O T ( H K C R )配置单元包含的子项列出了当前已在计算机上注册的所有C O M服务器和与应用程序相关联的所有文件扩展名。这些信息是H K E Y _ L O C A L _M A C H I N E \ S O F T WA R E \ C l a s s e s子项的映射。
H K E Y _ C U R R E N T _ C O N F I G ( H K C C )配置单元包含的子项列出了计算机当前会话的所有硬件配置信息。硬件配置文件出现于Windows NT版本4,它允许你选择在机器某个指定的会话中支持哪些设备驱动程序。这些信息是H K E Y _ L O C A L _ M A C H I N E \ S Y S T E M \ C u r r e n t C o n t r o l S e t子项的映射。
H K E Y _ L O C A L _ M A C H I N E ( H K L M )的子树:
HARDW ARE:在系统启动时建立,包含了系统的硬件的信息
SAM:包含了用户帐号和密码信息
SECURITY:包含了所有的安全配置信息
SOFTWARE:包含应用程序的配置信息
SYSTEM:包含了服务和设备的配置信息
设置注册表的权限:
Windows NT:使用C2Config和C2regacl.inf
Windows 2000:使用组策略
审核注册表:
3、禁止和删除不必要的服务
删除OS/2和POSIX
在web服务器上禁止server services
在firewall上过滤相应的数据包
4、保护网络连接安全性:
SMB connection process
Establish a TCP connection → negotiate dialect → set up SMB session → access
resource
Pc network program 1.0
Microsoft networks 1.03
Lanman 1.0
LM 1.2X002
LanMan 2.1
Windows NTLM
禁止匿名连接:HKLM\ SYSTEM\CCS\control\lsa\restrictanonymous=1
服务器控制验证方法:lmcompatibilitylevel 0 任何都是可用的
1 由服务器决定使用哪种方法
2 不使用LM验证
激活SMB签名:
HKLM\ SYSTEM\CCS\services\lanmanserver\parameters\requiresecuritysignature 0/1 HKLM\ SYSTEM\CCS\services\rdr\parameters\requiresecuritysignature 0/1
5、其他的配置:
禁止除管理员和打印操作员以外的用户安装打印驱动程序:
HKLM\ SYSTEM\CCS\control\print\providers\lanman print services\addprintdrivers=1 隐藏上一次登录的系统名
限制对打印机和串口的使用:
HKLM\ SYSTEM\CCS\control\session manager\protectionmode=1
在系统关机时清空页面文件
HKLM\ SYSTEM\CCS\control\ session manager\memory
management\clearpagefileatshutdown =1
禁止缓存登录证书
限制对scheduler服务的使用
限制对可移动介质的访问
二、增强UNIX的安全性:
1、禁用或删除服务:
finger:诞生于internet的温和期,远程用户可以使用它获得有关用户的信息,包括所登录用户的名称、邮件地址、登录路径、shell的类型和.plan、.project中的内容。
在/etc/inetd.conf中
# finger stream tcp nowait nobady /usr/sbin/tcpd in.fingerd
使用TCPWrapper限制对他的使用
/etc/hosts.allow
rwhod:允许远程用户察看察看登录到你的系统的用户名
rpm –e rwho删除rwhod
rwalld:允许远程用户向在你的系统的所有用户的屏幕上发送广播消息,通过输出很多字符到用户的屏幕上,可以完成DOS和发送伪造的消息
SNMP:通过防火墙过滤或禁用
关掉NFS, MOUNTD和portmap: 由于使用的是UDP,所以很用以伪造报文,而且使用TCPWrapper也不能解决问题。可以选择关掉或使用IPSec和SSH。
关掉rsh, rcp, rlogin, rexec:在/etc/inetd.conf中注释掉或使用ssh来代替
关掉fdmount:允许软盘组的用户从软盘驱动器安装文件系统,可以允许软盘组的任何人得到根用户的访问权限
chmod 0 /usr/bin/fdmount
关掉echo和chargen:echo简单的回应所有为测试连接发送给他的数据;chargen用于测试终端设备,产生dos攻击
关掉talk和ntalk:允许在不同两个系统上的用户进行通信,通过远程用户向你的系统的用户的屏幕发送输出,形成一次DOS攻击
关掉TFTP:TFTP允许不待本地硬盘的系统从网络上启动,而且不需要身份认证
关掉systat和netstat:systat标识系统状态,调用/bin/ps -auwwx
netstat表示网络状态,调用/https://www.doczj.com/doc/0e4835267.html,stat -a
禁用此二者,使用TCP Wrapper和IP Chains远程用户对他们的使用。
升级updatedb和locate:updatedb作为root用户运行,产生一张关于系统上所有文件的列表,可以用locate程序查到
禁用:把/var/spool/locate/locatedb和/usr/bin/updatedb移走,并把用于updatedb的项目从root用户的crontab中移走
采用slocate替代locate
升级sendmail:8.9.3是最小的可接受的版本,8.10.2包含了很多新的特性
升级wu-ftp:升级到2.6.0的版本
升级SSH:在SSH1.2.27版本和更早的版本,具有严重的缓冲区溢出,升级到2.1.1或以后的版本
升级Netscape, mounted, gpm, imwheel, innd等服务
2、使用TCP Wrapper:
包含一个程序和两个配置文件,是系统管理员能够在单纯的TCP和UDP套接字层之间报上一个安全层,能够控制哪个远程系统和用户可以访问每个服务,可以关闭TCP套接字层的任何可能的源路由来消除大部分的TCP协议的欺骗。
由于每个连接需要生成另一个tcpd并读取配置文件,消耗比ip chains高,适合于低容量的站点使用。
下载的时候注意又含有木马的版本,从tcp 421上监听,可以使用ports来确认
3、使用ip chains:属于无状态包过滤防火墙,适用于高容量的站点使用
4、使用PGP和SSH
国家公派出国留学管理信息平台 浏览器设置 国家留学基金管理委员会制 2017年4月
为保证数据准确性,请使用Internet Explorer(以下简称“IE”)浏览器进行评审。开始评审前请对IE浏览器进行以下设置。 一、启用“兼容性视图” 1)打开IE浏览器,点击菜单栏“工具”-->“兼容性视图设置”。 2)打开“兼容性视图设置”窗口,点击“添加”按钮,将https://www.doczj.com/doc/0e4835267.html,添 加至兼容性视图网站。 3)确认https://www.doczj.com/doc/0e4835267.html,已添加至兼容性视图网站,点击“关闭”按钮,完成
兼容性设置。 二、关闭“弹出窗口阻止程序” 1)打开IE浏览器,点击菜单栏“工具”-->“Internet选项”。 2)点击“隐私”按钮,进入IE浏览器安全性设置选项卡中。
3)去除“启用弹出窗口阻止程序”前面的勾,点击“确定”按钮,完成 设置。 三、安装“PDF文件阅读器” 建议安装AdobeReader10.0或以上版本PDF阅读器,安装完成后确认IE浏
览器“管理加载项”已启用。 1)打开IE浏览器,点击菜单栏“工具”-->“管理加载项”。 2)切换显示“未经许可运行”,确认加载项列表中有Adobe PDF Reader。 按照如上设置,如果申报人材料无法在IE浏览器中预览,可使用以下几种办法进行解决。 (1)关闭迅雷--浏览器下载响应 如果您安装了“迅雷”,请从设置中心中关闭“IE浏览器下载响应”。
(2)使用系统自带软件解决 如果您是“Windows10”操作系统,卸载Adobe Reader,使用系统自 带Microsoft Edge浏览器预览材料。 (3)安装其他PDF阅读器解决 安装“福昕PDF阅读器”,使用福昕阅读器预览材料。 (4)如果您是“Windows 64位”操作系统,请使用“C:\Program Files (x86)\Internet Explorer\iexplore.exe”32位版本IE浏览器进行 评审。 (5)以上方法都不能问题,请重置“IE浏览器” a)关掉ie浏览器(必须关闭)。 b)运行inetcpl.cpl命令,打开ie浏览器首选项。 c)切换至“高级”选项卡,删除个人设置,还原ie浏览器初始值。
IE11浏览器安全设置在哪里怎么设置 网络安全是目前互联网的热门话题之一,作为个人用户的我们同样需要关注,做好防护。浏览器的安全设置如果设置的过低,很容易导致病毒入侵,那么IE11浏览器的安全设置在哪里呢?又该如何进行设置?下面小编给大家揭晓答案! 方法步骤 1、首先打开IE浏览器,然后如下图所示,找到浏览器上方菜单栏上“工具”选项,单击点击此选项,点击工具选项之后在弹出的下拉列表中选择internet选项,进入到IE浏览器的设置选项; 2、进入下图之后,可以看到internet选项窗口,我们点击红框所示的安全按钮; 3、这时候就进入到浏览器的安全设置界面,然后点击下图所示的自定义级别按钮,可以对安全选项进行自定义设置,点击自定义级别之后,弹出右侧所示的窗口,这里可以进行各种安全设置;
4、滑动右侧的滑块,可以对浏览器各种拦截插件的功能进行设置,可以设置为启用或者提示或者禁用; 5、如果设置过多,自己感觉设置乱了,可以直接点击下图所示的重置按钮,然后在弹出的对话框中选择是,即可对安全设置进行重置了,以上就是IE浏览器的安全设置操作步骤。 相关阅读:2018网络安全事件: 一、英特尔处理器曝“Meltdown”和“Spectre漏洞” 2018年1月,英特尔处理器中曝“Meltdown”(熔断)和“Spectre”(幽灵)两大新型漏洞,包括AMD、ARM、英特尔系统
和处理器在内,几乎近20年发售的所有设备都受到影响,受影响的设备包括手机、电脑、服务器以及云计算产品。这些漏洞允许恶意程序从其它程序的内存空间中窃取信息,这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。 二、GitHub 遭遇大规模Memcached DDoS 攻击 2018年2月,知名代码托管网站GitHub 遭遇史上大规模Memcached DDoS 攻击,流量峰值高达1.35 Tbps。然而,事情才过去五天,DDoS攻击再次刷新纪录,美国一家服务提供商遭遇DDoS 攻击的峰值创新高,达到1.7 Tbps!攻击者利用暴露在网上的Memcached 服务器进行攻击。网络安全公司Cloudflare 的研究人员发现,截止2018年2月底,中国有2.5万Memcached 服务器暴露在网上。 三、苹果iOS iBoot源码泄露 2018年2月,开源代码分享网站GitHub(软件项目托管平台)上有人共享了iPhone 操作系统的核心组件源码,泄露的代码属于iOS 安全系统的重要组成部分——iBoot。iBoot 相当于是Windows 电脑的BIOS 系统。此次iBoot 源码泄露可
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\{0|1|2|3|4} 的设置中的各项值的含义 Internet Explorer 安全区域设置存储在以下注册表子项下面: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings 这些注册表项包含以下项: TemplatePolicies ZoneMap Zones 注意:默认情况下,安全区域设置存储在HKEY_CURRENT_USER 注册表项子树中。因为该子树是为每个用户动态加载的,所以一个用户的设置不会影响另一个用户的设置。 如果在组策略中启用了“安全区域:仅使用计算机设置”;或者Security_HKLM_only DWORD 值存在,并在以下注册表子项中的值为1,则只使用本地计算机设置,并且所有用户都具有相同的安全设置: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings 在启用Security_HKLM_only 策略的情况下,Internet Explorer 将使用HKLM 值,而HKCU 值仍会显示在Internet Explorer 中“安全”选项卡上的区域设置中。在Internet Explorer 7 中,“Internet 选项”对话框的“安全”选项卡显示以下消息,表示这些设置由系统管理员管理: 有些设置由系统管理员管理 如果在组策略中启用了“安全区域:仅使用计算机设置”;或者Security_HKLM_only DWORD 值不存在或被设置为0,则同时使用计算机设置和用户设置。不过,“Internet 选项”中只显示用户设置。例如,当此DWORD 值不存在或设置为0 时,将同时读取HKEY_LOCAL_MACHINE 设置和HKEY_CURRENT_USER 设置,但“Internet 选项”中仅显示HKEY_CURRENT_USER 设置。 TemplatePolicies TemplatePolicies 项确定默认安全区域级别的设置。这些级别包括低、中低、中和高。可以更改默认设置中的安全级别设置。但是,不能添加更多安全级别。项中包含的值决定了安全区域的设置。每项均包含一个描述字符串值和一个显示名称字符串值,它们决定了每个安全级别的安全选项卡上显示的文本。 ZoneMap ZoneMap 项包含以下项: Domains EscDomains ProtocolDefaults Ranges Domains项包含为更改其默认行为而添加的域和协议。在添加域的同时,还会为Domains 项添加一个项。子域作为项出现在它们所属的域下面。列出域的每个项都包含一个DWORD 值,其中含有受影响协议的值名称。DWORD 值与域添加到的安全区域的数值相同。
技术支持100问 1.用IE的主要原因。 新系统原则上支持所有浏览器,兼容性好,方便实用. 但是对于有打印通知书需求的同事则要求在打印时必须用IE浏览器,且要求完全安装的OFFICE2003以上. 因为调用word 模板,而word又是Microsoft Office的产品。 对于其他浏览器,比如360 做了许多阉割,有可能部分AJAX功能不正常。某些浏览器禁用客户端脚本等。Chrome 在弹出的页面间回传值异常等问题虽然已经解决,但不排除其它非知异常尚未处理。 2.点不开菜单树 1)要点菜单前面的+号,点文字是没有反应的。 2)启用兼容模式。高版本的IE默认是极速模式。是禁用这部分脚本的。 IE9的兼容性设置: 1 处和2处是同样的功能。点一下即可。 3处可以将IP 加进来,以后此IP所有操作都用兼容模式,其他IP都用极速模式。
IE11的兼容性设置: 加入IP之后,所有的对此IP的网页访问均走兼容模式。
3 通知书打印的机器基本需求 1)对于招办的通知书打印,可以只设置其中一台,其他机器正常录取,只在需要打印的时候由此打印机打印,也可以设置多台同时可以即时打印。2)打印需要IE(6-11)均可。推荐IE8-10 3)完全安装版的OFFICE2003-2010,推荐OFFICE2007 4)需要打印的机器需要可以正常打印,并驱动正常,如果驱动不正常,会引发打印乱码的问题。 4 通知书电子档: 本系统所有录取通知书均支持电子档,可以保存,也可以直接打印。只有批量打印是直接打印,不显示word模板。 5 通知书打印份数 没有要求,可以随时打印,也可随时补打。 6打印功能具体设置 1)设置可信任站点:IE--工具--internet选项—安全—可信站点—站点—添加站 点,注意此处不要加https,要加http。 加入IP: http://59.46.193.52 2)启用ActiveX 控件 只开启【可信站点】里的【自定义级别】就可以,其他区域里的【自定义级别】设置不需要。
更改IE11浏览器的安全和隐私设置 隐私设置 通过调整 Internet Explorer 的隐私设置,你可以改变网站对你的联机活动的监视方式。例如,你可以决定存储哪些 Cookie,站点在什么情况下可以以何种方式使用你的位置信息,以及阻止不需要的弹出窗口。 Cookie Cookie 是指网站放置在电脑上的小文件,其中存储有关你和你的偏好的信息。 Cookie 可让网站记住你的偏好或者让你避免在每次访问某些网站时都进行登录,从而可以改善你的浏览体验。但是,有些 Cookie 可能会跟踪你访问的站点,从而危及隐私安全。有关详细信息,请参阅在 Internet Explorer 中删除和管理 Cookie. 请勿跟踪 启用 Do Not Track 时,Internet Explorer 将向你访问的网站及在这些网站上托管内容的第三方发送 Do Not Track 请求,以此通知这些网站你不希望被跟踪。有关详细信息,请参阅请勿跟踪。 InPrivate 浏览 为提升你的 Web 体验,浏览器会存储一些信息,例如你的搜索历史记录。当使用 InPrivate 浏览时,你关闭选项卡后,诸如密码、搜索历史记录和页面历史记录等信息即被删除。 打开 InPrivate 浏览会话的步骤
1.在“开始”屏幕上,点击或单击 Internet Explorer 以打开Internet Explorer。 2.从底部向上轻扫(或右键单击)以弹出应用命令。 3.点击或单击“选项卡工具”按钮 然后点击或单击“新建 InPrivate 选项卡”。 在桌面中打开 InPrivate 浏览会话的步骤 右键单击任务栏上的 Internet Explorer 图标,并选择“启动InPrivate 浏览”。 在 InPrivate 浏览会话中关闭加载项的步骤 1.打开桌面,然后点击或单击任务栏中的 Internet Explorer 图标。 2.点击或单击“工具”按钮,然后点击或单击“Internet 选项”。 3.在“隐私”选项卡上,选中“在 InPrivate 浏览启动时禁用工具栏和扩展”复选框,然后点击或单击“确定”。 位置 定位服务允许站点询问你的物理位置以改善你的体验。例如,地图网站可能请求你的物理位置,以便将你所在的位置放在地图中央。当某个站点想要使用你的位置时,Internet Explorer 会提示你。出现此提示时,点击或单击“允许一次”可允许站点仅使用一次你的位置。如果你希望站点在你每次访问时均使用你的位置,则点击或单击“始终允许”。 关闭位置共享的步骤
浏览器要求: 推荐IE10及以上、火狐、谷歌浏览器(建议使用推荐版本火狐浏览器:FirefoxEXR52.4.0) 一、注册 1、网址 2、注册:用户在系统首页点击: 注册,进入系统的企业注册页面,如下图所示: 需要注册原产地证的企业请勾选“原产地证申领”,需要注册货物申报的企业请勾选“货物申报”,需要报关的企业请勾选“报关申报。” 在企业注册页面,填入相关注册信息(黄色文本框为必填字段),包括“单位中文名称”、“用户名”、“组织机构代码”(已“多证合一”用户,取18位“统一社会信用代码”的第9-17位)、“联系人”等,点击按钮,进入账号审核阶段(注册账号由系统管理员进行审核,审核时间一般是3-5个工作日。 注册页面中的信城通账号和密码,如果企业已经有此信息的话,可以自行填入;如果企业无此信息可以不填,由江苏电子口岸单一窗口统一向信城通公司申请填写。
3.审批状态查询:在首页点击按钮,输入注册时设置的用户名和密码,点击查询按钮,可以查看注册用户是否审核通过,如下图所示: 另外还可以通过该页面上的修改键,修改审批不通过或者待审核的数据。(按照回执修改好注册信息后,请重新录入密码,再点击提交。) 审核通过后,方可登录系统。 二、登录 进入系统首页,选择“原产地证申报模块”,点击子菜单“检验检疫原产地证申报”,如下图: 首次使用的话,有些浏览器要设置“允许弹出窗口”。 验证成功,弹出如下窗口:
验证失败的话,出现下图的错误: 江苏国际贸易原产地证交流群:271847377,客服电话:025-96080 【基础信息维护】: 产地证默认信息维护:在此页面可以做相应产地证常用数据的维护,类似产地证录入模板的功能。(此功能只针对自理申报企业) 产地证代录入企业客户信息维护:(此功能只针对代理申报企业) 三、申报单录入 点击要申报的产地证类型,进入对应的产地证列表页面,如下图: