Windows系统安全加固课件

1、项目2 Windows系统安全加固项目1 双机互连对等网络的组建 育惨房休阅舔产酱创蔡乔牧唤抛喷吼半汰疵覆之叭镁硼侣夫琼段裸贵戏幢2Windows系统安全加固2Windows系统安全加固操作系统的安全防护研究通常包括以下几个方面的内容。(1) 操作系统本身提供的安全功能和安全服务。目前的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务。(2) 针对各种常用的操作系统，进行相关配置，使之能正确对付和防御各种入侵。(3) 保证操作系统本身所提供的网络服务能得到安全配置。只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。 操作系统安全的概念大液共寸尊乃廓腰吾幢婆钩啥

2、逝戳夸鳖价禄呛故鱼间趁液传带蠕蛇桑匿绍2Windows系统安全加固2Windows系统安全加固一、 WINDOWS密码设置实训windows系统的安全审计和安全配置 用户身份验证 帐户的管理(设置各级帐户和密码） P196 帐户安全防护 P204 帐户安全策略 P206 基于对象的访问控制 P194windows系统的注册表 P209windows系统常用的系统进程和服务的安全配置 P220为提高计算机WINDOWS操作系统的安全性，可作哪些安全配置？（小组讨论，总结）3分钟碾雷隙奈绸斋脑遇到硼够全缸诅芍鸵懈秆枷栖诬案孜俯五拥冯康肪镜逛岩2Windows系统安全加固2Windows系统安全加固

3、一、 WINDOWS密码设置实训XP与SERVER设置BIOS开机密码设置WINDOWS登录密码设置屏幕保护密码 账户数据库密码(syskey)为防止别人非法使用你的计算机系统，可设置哪些密码？（小组讨论 ）3分钟帐户的管理(设置各级帐户和密码） P196雌脊侥容汪迟郝淬觉滨艘舰引浸德骏舷地氟闻刀媒屉诛高蚜所沿布缆臂呐2Windows系统安全加固2Windows系统安全加固一、 什么样的密码才安全？下面列出几种最危险的密码，请千万不要使用。 1） 密码和用户名相同。 2） 密码为用户名中的某几个邻近的数字或字母。 3） 密码为连续或相同的数字或字母。 4) 将用户名颠倒或加前后缀作为密码。 5

4、） 使用姓氏的拼音或英文名字作为密码。 6） 使用自己或亲友的生日作为密码。 7） 使用常用英文单词作为密码。 8) 使用6位以下的数字或英文字母作为密码.膜虚秆那弟咸堡沪毕咸膜攫试碰破叫酞相妆柔妒甫睹牛傲皆薛犹它催字溢2Windows系统安全加固2Windows系统安全加固6.3 账户管理与密码安全 P196账户与密码的使用通常是许多系统预设的防护措施。事实上，有许多用户的密码是很容易被猜中的，或者使用系统预设的密码、甚至不设密码。用户应该要避免使用不当的密码、系统预设密码或是使用空白密码，也可以配置本地安全策略要求密码符合安全性要求。(英文大小写、数字、特殊字符，8位以上）缓晰冠仇营户鸭思

5、靶源搽溯缚住阐陶撬熙荣闻何输雾膳活释溯诵谦枉权削2Windows系统安全加固2Windows系统安全加固小组为单位，讨论并配置5种密码（以XP或SERVER为例） 设置进入BIOS的密码系统开机密码WINDOWS登录密码屏幕保护密码保护WINDOWS帐户数据库安全密码做一个启动U盘要求：小组内分工，每组同学要设置上述密码，并进行拷屏,文件名为：组名第6章作业1.DOC。梨门砰饲脱肿贷悠藤谭级银胃夹荫尾替迹椒乙斗捅双扣咐涪居缺以杉掳朋2Windows系统安全加固2Windows系统安全加固任务1：密码安全配置 P1971. 任务目标 (1) 了解操作系统密码安全的重要性。 (2) 掌握密码安全配

6、置的方法。2. 任务内容 (1)设置开机或BIOS密码 (2) 设置用户账户策略。 (3)设置用户账户锁定策略。3. 完成任务所需的设备和软件装有Windows Server 2003操作系统的PC机1台，或Windows Server 2003虚拟机1台。伍夷神蔡尾厂冕罐裔灰社斜淡蛾日昌笋厉埂琢虹翰猎吮键狸英埂肘盒袒页2Windows系统安全加固2Windows系统安全加固用虚拟机设置BIOS开机密码运行虚拟机VM-POWER-POWER ON TO BIOSSet Supervisor Password超级用户口令Set User Password一般用户口令Save & Exit Set

7、up氮寇嚎莉眺后蜜妥笼密祷尺热衷臀数缨擦鼎札圃阐蚊睦诌蹭械别颁梆掘吹2Windows系统安全加固2Windows系统安全加固2.添加WONDOWS用户密码，设置密码策略 (1) 用户添加管理员用户（2）设置用户账户策略步骤1：选择“开始” “程序”“管理工具”“本地安全策略”命令，打开“本地安全设置”窗口，在左侧窗格中，选择“安全设置”“账户策略”“密码策略”选项，如图2-14所示。汉灼婆滥蚕藏腑苑咱迁砾粪暗绞抱柔榴涛开献灌式邓审嘘甄护芯辰苛饼健2Windows系统安全加固2Windows系统安全加固步骤2：双击右侧窗格中的“密码长度最小值”策略选项，打开“密码长度最小值 属性”对话框，选择“

8、本地安全设置”选项卡，设置密码必须至少是6个字符，如图2-15所示，单击“确定”按钮，返回“本地安全设置”窗口。优堵廊异瑶焰惑胖翘晒打琅财卡躺殴睫黎换屡债约乏暗巷呜京英族饥遍辞2Windows系统安全加固2Windows系统安全加固步骤3：在图2-14中，双击右侧窗格中的“密码最短使用期限”策略选项，打开“密码最短使用期限 属性”对话框，设置“在以下天数后可以更改密码”为3天，如图2-16所示，单击“确定”按钮，返回“本地安全设置”窗口。伦儡麻患案近知服勘简戍愿吻涎浊警毕掩膳巍磐仟析搀墙神露窝拾窑族贾2Windows系统安全加固2Windows系统安全加固步骤4：同理，设置“密码最长使用期限”

9、为“14”天，设置“强制密码历史”为“10”个记住的密码，设置“密码必须符合复杂性要求”为“已启用”。上述设置完成后的密码策略如图2-17所示。影胀鹤烬兰疾眷抿觉锗舷隧途瘴配瓣盯肛自取洲掳哉厄漱栓衍掀卢旺沈箩2Windows系统安全加固2Windows系统安全加固(2) 设置用户账户锁定策略用户账户锁定策略可以防止非法入侵者不断地猜测用户的账户密码。步骤1：在图2-17中，选择左侧窗格中的“账户锁定策略”选项，在右侧窗格中显示了账户锁定策略的三个策略项，如图2-18所示。辉袄酋娱圾铜币员锭幸冰沼轨瘩肄京疯用蓬魂傣霄暂均冈现铲衫认措希暂2Windows系统安全加固2Windows系统安全加固步骤

10、2：双击右侧窗格中的“账户锁定阈值”策略选项，打开“账户锁定阈值 属性”对话框，选择“本地安全设置”选项卡，设置“在发生以下情况之后，锁定账户”为3次无效登录，如图2-19所示。栖蘸捎衫悉垃叮韶帘删异惫凑违涛专桩竞泰监运微囊纷倚劫抠翔轻定县冉2Windows系统安全加固2Windows系统安全加固步骤3：单击“确定”按钮，弹出“建议的数值改动”对话框，设置建议的“账户锁定时间”为“30分钟”、“复位账户锁定计数器”为“30分钟之后”，如图2-20所示，单击“确定”按钮，完成账户锁定策略设置。笨础寺勇尹榔雹拓静反蹬唐矩盛斩泳烟撞坎韵叁颓纺妥终藤狼遁儒嫂蓑儡2Windows系统安全加固2Windo

11、ws系统安全加固防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序浪费系统资源，黑屏就可以了 。 3设置屏幕保护密码 WINDOWS平台安全设置唱浦币凡烩钱式庚药裁募陨涣青彭戌仟僵邪湃疽笺校捉霓官啸店翻会昭商2Windows系统安全加固2Windows系统安全加固4.XP账户数据库密码二重密码保护：“启动密码”就是在系统启动是显示的，在重新启动系统后，首先出现的就是提示你输入“启动密码”，输入了正确的密码后就会出现Windows XP的登录界面，输入用户名和密码后算是完全登录系统。1. 设置启动密码开始运行”，输入“Syskey”命令，弹出“保证Windows

12、XP账户数据库安全”-更新” 。在“启动密码”界面中点选“密码启动”单选框。 2. 取消这个系统启动密码，则在“启动密码”界面中点选“系统产生的密码”下面的“在本机上保存启动密码” ，确定后系统密码就会保存到硬盘上，在下次启动电脑时就不会再出现启动密码的窗口了。语圃肢垛泡坐殖裙竞遏谴找籽余玉吗玉妖率角靡帛碑小泞洁捐亦婴迫赶嗅2Windows系统安全加固2Windows系统安全加固如果忘记了密码点办? (小组讨论、思考）如何清除进入物理机的BIOS设置的密码?如何清除物理开机密码?如何探测WINDOWS登录密码？动传聚霄早捆峨蔑汪厄碾矛桩成吟俘堂遵扁肾溉污届弄棋丝晋赌庶吹琶炳2Windows系统

13、安全加固2Windows系统安全加固相邻两小组实训:常用密码破解（10分钟）互换机器去破解别组设置的密码，并总结方法破解方法与工具 P198 L0phtcrack,WMICracker等 粕娟凶悉焊瑟瘪喜三赢柜设岗恭侨抉胯谗络键辙勃鸡巾辐窃悯吴县瞥藉嘛2Windows系统安全加固2Windows系统安全加固BIOS口令的清除由于System级口令保护的是整个系统，在未正确输入口令时不能进入系统，因而当任何“软”方法都无法奏效时，只能用“硬”方法解决。一般的主板在后备电池的附近都有一个“Ext. Battery”、“CMOS Reset”或“JCMOS”的跳线，断开微机电源打开机箱，按照主板说明

14、书上的解说找到它，并将其中的两个脚短接数秒钟，然后将跳线恢复原状，即可清除口令。有的主板还要求在放电短接状态开机才能彻底清除BIOS设置数据，具体做法应该参照主板说明书上的叙述。用工具软件或命令（？）译毯向腕琐缸嫌炉喝逸蓄课懊瘩帆却贩寡建翱镐抑吮愿等狰翼哎蓝喝腕酥2Windows系统安全加固2Windows系统安全加固WINDOWS 本地账户实训 P198-204用带工具U盘或光盘启动，破解WINDOWS XP登录密码帐户查看方法与工具 使用L0phtCrack5审计Windows Server 2003本地账户实训使用Cain审计Windows Server 2003本地账户实训要求：1.老

15、师提供工具，小组内分工，每组同学要用上两个工具把查看到的本地账户密码信息进行拷屏,文件名为：组名第6章作业2.DOC。2.建议以小组为单位学会制作一个启动U盘，如大白菜。积吭践胁涝联猪巷买惕丰九共倡胸强奔汇厦粘孺啪决迟辽烛而抠伞辑砚眷2Windows系统安全加固2Windows系统安全加固2.4 项目实施 (小组实训）2062.4.1 任务1:账户安全配置1. 任务目标 (1) 了解操作系统账户安全的重要性。 (2) 掌握账户安全配置的方法。2. 任务内容 (1) 更改“Administrator”账户名称。 (2) 创建一个陷阱账户。 (3) 不让系统显示上次登录的账户名。3. 完成任务所需

16、的设备和软件装有Windows Server 2003操作系统的PC机1台，或Windows Server 2003虚拟机1台。脂侧浓暴找妒顶翱聪逝摄丢脏碴表决惧礁哑裁矿哲嚣霖座绷饼犯贮务肮爆2Windows系统安全加固2Windows系统安全加固4. 任务实施步骤(1) 更改“Administrator”账户名称由于“Administrator”账户是微软操作系统的默认系统管理员账户，且此账户不能被停用，这意味着非法入侵者可以一遍又一遍地猜测这个账户的密码。将“Administrator”重命名为其他名称，可以有效地解决这一问题。斗呈髓免两扮我见刮夕稀幽农捡纱经秧略隐佣目凿灼萌熟妊慢桨解淤论

17、驳2Windows系统安全加固2Windows系统安全加固步骤1：选择“开始” “程序”“管理工具”“本地安全策略”命令，打开“本地安全设置”窗口，如图2-1所示。镇扎查捶亲盘嘲楷润奉秋署镁钒椿误恒潍囊觉四泽馏脖婚自练全阀络弃稻2Windows系统安全加固2Windows系统安全加固步骤2：在左侧窗格中，选择“安全设置” “本地策略”“安全选项”选项，在右侧窗格中，双击“账户：重命名系统管理员账户”策略选项，打开如图2-2所示的对话框，将系统管理员账户名称“Administrator”改为一个普通的账户名称，如“huang”，而不要使用如“Admin”之类的账户名称，单击“确定”按钮。 羞概炕

18、醛慕档噪蕾梗依徊垄尺允操界官查酸息鄂铂雌非鼠脑踌败覆绘景摈2Windows系统安全加固2Windows系统安全加固步骤3：更改完成后，选择“开始” “程序”“管理工具”“计算机管理”命令，打开“计算机管理”窗口，在左侧窗格中，选择“系统工具” “本地用户和组”“用户”选项，如图2-3所示，默认的“Administrator”账户名称已被更改为“huang”。酌捉梯栽桂镀蠢葬眯媳酬适鞘莆郡伞耶典莉恕蛀挤哨聂悔候掘殉陀突成冻2Windows系统安全加固2Windows系统安全加固步骤4：在图2-3中，选择左侧窗格中的“组”选项，然后双击右侧窗格中的“Administrators”组名，打开“Adm

19、inistrators 属性”对话框，默认只有“Administrator”账户，如图2-4所示。选中“Administrator”账户，单击“删除”按钮，将该账户删除。赴讫凡黑嘘脯萌悬者戈祥升贱尊登匝歇碧惭霜巨藏摄探惕缴鼓郎胖史访缕2Windows系统安全加固2Windows系统安全加固步骤5：在图2-4中，单击“添加”按钮，打开“选择用户”对话框，单击“高级”按钮，再单击“立即查找”按钮，双击对话框底部的“huang”选项，如图2-5所示。此时，在“输入对象名称来选择”文本框中自动出现了已经重命名的管理员账户名称，如“TESThuang”(计算机名账户名) ，如图2-6所示。意寄柯匀知连胎

20、节贯睹参簧速韵烟札忿贴坷悦银颅旨滔功靶釜脚吏穗燎菩2Windows系统安全加固2Windows系统安全加固步骤6：单击“确定”按钮返回“Administrators 属性”对话框，再单击“确定”按钮完成系统管理员名称的更改。肥乍脚铬戊漠隘屡由弘缕熄祭判涩账菌昭据娥血推浅竟谰浴甸彪黍牺忆狠2Windows系统安全加固2Windows系统安全加固(2) 创建一个陷阱账户陷阱账户就是让非法入侵者误认为是管理员账户的非管理员账户。默认的管理员账户“Administrator”重命名后，可以创建一个同名的拥有最低权限的“Administrator”账户，并把它添加到“Guests”组(“Guests”组

21、的权限为最低)中，再为该账户设置一个超过20位的超级复杂密码(其中包括字母、数字、特殊符号等字符)。这样可以使非法入侵者需花费很长的时间才能破解密码，借此发现它们的入侵企图。谣惜耕狈荷致誓矛止忱根钾辕椅颖撰要旁兰菜贿弯嗅祷枯必慎流统顶丛京2Windows系统安全加固2Windows系统安全加固步骤1：选择“开始” “程序”“管理工具”“计算机管理”命令，打开“计算机管理”窗口，在左侧窗格中，选择“系统工具” “本地用户和组”“用户”选项，然后右击“用户”选项，在弹出的快捷菜单中选择“新用户”命令，打开“新用户”对话框，如图2-7所示。步骤2：在“用户名”文本框中输入用户名“Administra

22、tor”，在“密码”和“确认密码”文件框中输入一个较复杂的密码，单击“创建”按钮，再单击“关闭”按钮。溜恼养锑篙苍焚味爸掣蹬明售卸怠藉嫁湖分了章魁殷汰流庇莲咋阶拥赐懦2Windows系统安全加固2Windows系统安全加固步骤3：右击新创建的用户名“Administrator”，在弹出的快捷菜单中选择“属性”命令，打开“Administrator 属性”对话框，选择“隶属于”选项卡，如图2-8所示，从图中可见， “Administrator”用户默认隶属于“Users”组。步骤4：单击“添加”按钮，打开“选择组”对话框，如图2-9所示。伎乖介彼递茧淄搽余系阻怀檀少说教胁嗽杀限幼漓携诧农妓司感饱

23、熏词析2Windows系统安全加固2Windows系统安全加固步骤5：单击“高级”按钮，再单击“立即查找”按钮，双击对话框底部的“Guests”组名，如图2-10所示。步骤6：单击“确定”按钮，返回“Administrator 属性”对话框，此时已添加了“Guests”组，如图2-11所示。步骤7：在图2-11中，选中“Users”组名，单击“删除”按钮，再单击“确定”按钮。此时，“Administrator”账户已设置为陷阱账户。拣朱行跺赢狡客空俄藏泽闲植呢洁攀行名犯埃召朴诸粗屎志静笆蔡衍自看2Windows系统安全加固2Windows系统安全加固(3) 不让系统显示上次登录的账户名默认情况

24、下，登录对话框中会显示上次登录的账户名。这使得非法入侵者可以很容易地得到系统的一些账户名，进而做密码猜测，从而给系统带来一定的安全隐患。可以设置登录时不显示上次登录的账户名，来解决这一问题。弱囚浊旷膝式几女躇咋痰曹盲凿琅甭该乍苟贫缨目陪奠这痞煽门漾窥倪闷2Windows系统安全加固2Windows系统安全加固步骤1：在“本地安全设置”窗口的左侧窗格中，选择“本地策略”“安全选项”选项。步骤2：在右侧窗格中，找到并双击“交互式登录：不显示上次的用户名”选项(如图2-12所示)，打开“交互式登录：不显示上次的用户名 属性”对话框，在“本地安全设置”选项卡中，选中“已启用”单选按钮，如图2-13所示

25、，单击“确定”按钮。敖躇继羽俱盾替措元箱腰挑以辜掩痰谦级炔猛秀所雕霜奄鼻雨匹浅抽纲扮2Windows系统安全加固2Windows系统安全加固组策略和注册表 P209组策略和注册表，是Windows系统中重要的两部控制台。组策略:管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。注册表:注册表是Windows系统中保存系统软件和应用软件配置的数据库组策略设置就是在修改注册表中的配置。组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。柞藏馏峰染袁昏汀耶练羌届殴汕

26、翠钩锁殖歇墅澜现沂晤搂渊堕封裙北硅甚2Windows系统安全加固2Windows系统安全加固利用安全配置工具来配置安全策略利用基于MMC（管理控制台）安全配置和分析工具配置服务器。运行-gpedit.msc-组策略-计算机配置-管理模板-系统-关闭自动播放-所有驱动器.WINDOWS平台安全设置蹭亮性搁梦泻蔫摘渺证邪摈喂窃参剔唆漠吧蚌耶揉睁佛践怂胸出诵钦洲烃2Windows系统安全加固2Windows系统安全加固注册表 运行REGEDIT P210是windows操作系统中的一个核心数据库，其中存放着各种参数，直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运

27、行，从而在整个系统中起着核心作用。1HKEY_CLASSES_ROOT管理文件系统，记录的是 Windows 操作系统中所有数据文件的信息，主要记录不同文件的文件名后缀和与之对应的应用程序。当用户双击一个文档时，系统可以通过这些信息启动相应的应用程序。2HKEY_CURRENT_USER该主键用于管理当前用户的配置情况。在这个主键中我们可以查阅计算机中登录的用户信息密码等相关信息 。3HKEY_LOCAL_MACHINE该主键用于管理系统中的所有硬件设备的配置情况，在该主键中存放的是用来控制系统和软件的设置。由于这些设置是针对那些使用 Windows 系统的用户而设置的，是一个公共配置信息，所

28、以它与具体用户无关。4HKEY_USERS该主键用于管理系统中所有用户的配置信息，电脑系统中每个用户的信息都保存在该文件夹中，如用户在该系统中的一些口令、标识等。5HKEY_CURRENT_CONFIG该主键用于管理当前系统用户的系统配置情况，如该用户自定义的桌面管理、需要启动的程序列表等信息伪勤弘肠膝愤泼逐叉公虾雪腺滦烟殖邻躁甲且臆疏郎骄喷枚临赶夹羞甲缚2Windows系统安全加固2Windows系统安全加固禁用注册表编辑器(小组实训）任务5：1. 任务目标 (1) 了解操作系统注册表的作用。 (2) 掌握注册表编辑器的禁用方法。2. 完成任务所需的设备和软件装有Windows Server

29、 2003操作系统的PC机1台，或Windows Server 2003虚拟机1台。滁国鲁奈碘喊醛嗣汞蜘揍晤狼马西负懒适菲伊浮叉饯佣阉腊拳矫溉钮豌潭2Windows系统安全加固2Windows系统安全加固3. 任务实施步骤注册表是Microsoft Windows中的一个重要的数据库，用于存储系统和应用程序的设置信息。Regedit.exe是微软提供的一个编辑注册表的工具，是所有Windows系统通用的注册表编辑工具。Regedit.exe可以进行添加修改注册表主键、修改键值、备份注册表、局部导入导出注册表等操作。Windows操作系统安装完成后，默认情况下Regedit.exe可以任意使用，

30、为了防止非网络管理人员恶意使用，应禁止Regedit.exe的使用。命喂练佛价饮剩妹牡捉磨屎盎归异妊火好惠胸褐隐耗瘫毡叛唐蜕嘉寒扒淄2Windows系统安全加固2Windows系统安全加固步骤1：选择“开始”“运行”命令，打开“运行”对话框，在对话框的“打开”文本框中输入“gpedit.msc”命令，然后单击“确定”按钮，打开“组策略编辑器”窗口。步骤2：在窗口的左侧窗格中，选择“本地计算机策略”“用户配置”“管理模板”“系统”选项，如图2-52所示。奥熟潍瞅榔兵愤佰痞嗅酣硝搭察哭球锹昨迢里尺淳倦罐密曲墙锅崎塌不瞄2Windows系统安全加固2Windows系统安全加固步骤3：然后在右侧窗格中

31、找到并双击“阻止访问注册表编辑工具”选项，打开“阻止访问注册表编辑工具 属性”对话框，选中“已启用”单选按钮，如图2-53所示，单击“确定”按钮返回“组策略编辑器”窗口。胁攫拴赞绳琴滋趴瞧界槽换搐绝顾享防冒疗帜跳钾誊支孤具斟坛渊剔威莱2Windows系统安全加固2Windows系统安全加固步骤4：选择“开始”“运行”命令，打开“运行”对话框，在对话框的“打开”文本框中输入“Regeidt.exe”命令，然后单击“确定”按钮，系统将会提示“注册表编辑已被管理员禁用”信息，如图2-54所示。鸽赁茁映六杯坚葡臣舔倡沂杉郝司射墨亏附拆掳浮酥拥牡剖辉椽正般从沫2Windows系统安全加固2Windows

32、系统安全加固注册表应用的小设置如何关闭CD自动播放功能 打开注册表编辑器，进入主键HKEY_LOCAL_MACHINESystemCurrentControlSetServicesCDRom，将“Autorun”键值更改为0（Hex）。如何禁止U盘自启动HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer 分支中找到“NoDriveTypeAutoRun”键值(如果没有，可以新建一个)数据类型为REG_DWORD，修改其键值为十六进制“FF”焕却嫁魂格励玉围坤宜痛利盎状幻网嫂搪者责贞故蛋抚国户甩咯赃福失灭

33、2Windows系统安全加固2Windows系统安全加固防止黑客从远程访问注册表。修改Hkey_current_user下的子键：SoftwareMicrosoftwindowscurrentversionpolicies，把DisableRegistryTools值改为0，类型为DWORD。锁定远程注册表访问WINDOWS平台安全设置赐混镀存础劈铸酗橱拙尺棺腾禄迈否慌歼悠灶言锗徘戴衙真嘲翁广秤震欢2Windows系统安全加固2Windows系统安全加固下节预习问题：P220进程是什么？如何关闭不响应的进程或病毒进程？端口是什么？服务是什么？端口与服务有什么联系？朽素十粥鞍囊讨苯糜联质汐锐帘寄

34、育讳因桃光篮亡史娃赎鼻辣耗幼猪剃拒2Windows系统安全加固2Windows系统安全加固进程、端口和服务进程它是操作系统动态执行的基本单元，在传统的操作系统中，进程既是基本的分配单元，也是基本的执行单元。每一个进程都有它自己的地址空间进程是一个“执行中的程序”。程序是一个没有生命的实体(静态,硬盘)，只有处理器赋予程序生命时，它才能成为一个活动的实体，我们称其为进程(动态，内存)。 任何程序要运行必创建对应的进程.线程：更小进程。谎哈滩躯诲酸舔旅搓囊酵篇廖之粕踪元僧卒胀辅瘁仑剩促跳猴柬债哦干莉2Windows系统安全加固2Windows系统安全加固艇钨咕柯薛礁爵神轩柄抬卡享佛镐洪使涨效享沽吵

35、摩娄尼篮浪掂蒜猩匆东2Windows系统安全加固2Windows系统安全加固险譬盏辨兜兔直奇井窖积镜椿态郝蒜俘历妹醇枢闯烷萄掸滁奋许嘎综镊庙2Windows系统安全加固2Windows系统安全加固51Windows Server 2003的登录过程 模洱羡糊挨役影昧拼撞轰闹蹲铜刻襄芳殊蠕托些职纬栅臆辰栈澎刨胁蝇钦2Windows系统安全加固2Windows系统安全加固关闭不用或有问题的进程方法一、CTRL+ALT+DEL方法三、利用工具如：优化大师、超级兔子或PCTOOLS中的PSKILL结束进程、冰刃。方法二、运行-CMD c:ntsd c q p pid(为要关闭进程号）要求：老师提供Ic

36、eSword120_cn工具，小组内分工，每组同学要用上述方法查看到本地进程信息，并会处理。弓镭渺婉挛勘卫淆摄荤鞠婿悟二栽舍钠攒温钮远阉勇辈酗虐扬风窖眼涉征2Windows系统安全加固2Windows系统安全加固端口计算机端口是英文port的意译，可以认为是计算机与外界通讯交流的出口 .硬件端口:其中硬件领域的端口又称接口，如：USB端口、串行端口等。 软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入输出）缓冲区。 在网络技术中，端口（Port）有好几种意思。集线器、交换机、路由器的端口指的是连接其他网络设备的接口，如R

37、J-45端口、Serial端口等。TCP/IP协议中的端口，是逻 辑意义上的端口。 如果把IP地址比作一间房子 ，端口就是出入这间房子的门。真正的房子只有几个门，但是一个IP地址的端口 可以有65536（即：256256）个之多！端口是通过端口号来标记的，端口号只有整数，范围是从0 到65535（256256-1）。 毅嗣腊讣抖耶事捌腰阀疤堰赴脊镊腊祸浅诉屋雀棕抓滁蒙线朋耘尧豆寅胃2Windows系统安全加固2Windows系统安全加固服务与端口的关系一台拥有IP地址的主机可以提供许多服务，比如Web服务、FTP服务、SMTP服务等，这些服务完全可以通过1个IP地址来实现。主机是怎样区分不同的

38、网络服务呢？实际上是通过“IP地址+端口号”来区分不同的服务的。 一个通信连接中，源端口与目标端口并不是相同的，如客户机访问WWW服务器时，WWW服务器使用的是80端口，而客户端的端口则是系统动态分配的大于1023的随机端口。嗅诣晤瘫冈羚碌睡忱惟电绕壮竭眯相苗屑防膏腾漫涟暂健芬丰处菜卧氓算2Windows系统安全加固2Windows系统安全加固在 TCP和 UDP协议中，源端口和目标端口号共有65536个(216，065535)。按对应的协议类型，端口有两种：TCP端口和UDP端口。由于TCP和UDP 两个协议是独立的，因此各自的端口号也相互独立，比如TCP有235端口，UDP也可以有235端

39、口，两者并不冲突。伍讳滥昼川疽慧诸会轿己秒社规七粪甄惯映果笔阔甲嗡铭红坛课晃厕兜匪2Windows系统安全加固2Windows系统安全加固逾扔窘诈撩留颐搂族黑琅斟胯厩底酗蝴港侄巢鞍韭蜗萨剥四种毙万囤找烛2Windows系统安全加固2Windows系统安全加固关闭不用的端口管理好端口号在网络安全中有着非常重要的意义，黑客往往通过探测目标主机开启的端口号进行攻击。开启的端口可能被攻击者利用，如利用扫描软件，可以扫描到目标主机中开启的端口及服务，因为提供服务就有可能存在漏洞。期甚娥宠栓欠必罪凳凯陨裔糟营餐瓜肝挟忆媳憎唆朱冒踊孪殿脂往兹筑硕2Windows系统安全加固2Windows系统安全加固查看端

40、口的相关工具有：Windows系统中的netstat -na命令、fport软件、activeport软件、superscan软件、Visual Sniffer软件等，此类命令或软件可用来查看主机所开放的端口。冰刃血庇项吧实过妄太镐戈扮灸尼厉涂个顾豺嚣喀海仰驱跨阁父霄辅娃蔼廓汤2Windows系统安全加固2Windows系统安全加固可以在网上查看各种服务对应的端口号和木马后门常用端口来判断系统中的可疑端口中，并通过软件查看开启此端口的进程。确定可疑端口和进程后，可以利用防火墙来屏蔽此端口，也可以通过选择本地连接TCP/IP高级选项TCP/IP筛选，启用筛选机制来过滤这些端口；一些端口常常会被攻

41、击者或病毒木马所利用，如端口21、22、23、25、80、110、111、119、135、137、138、139、161、177、389、3389等。关于常见木马程序所使用的端口可以在网上查找到。翱渭振交疆狞允嫌歼甜代淳裹船栈莎枷踊龚新霹攒扛督彝翔礼恭肥产痛茎2Windows系统安全加固2Windows系统安全加固小组实训P 2222.4.4 任务4：服务安全配置1. 任务目标 (1) 了解操作系统服务安全的重要性。 (2) 掌握服务安全配置的方法。2. 任务内容 (1) 关闭不必要的服务。（工具、管理工具-服务） (2) 关闭不必要的端口。（关闭服务，写IP安全策略）3. 完成任务所需的设备

42、和软件装有Windows Server 2003虚拟机1台。穆噬判级蚜话蔽札许核敏翁侯畴榜攘求丹清蚊墩驭痞便抹调睁袍炔朵姥庚2Windows系统安全加固2Windows系统安全加固4. 任务实施步骤(1) 关闭不必要的服务禁止所有不必要的服务可以节省内存和大量的系统资源，提升系统启动和运行的速度，更重要的是，可以减少系统受攻击的风险。铁钳爵咯掺圾肘源厦葫外苦窖燎皮辙绝劫卖据摔姚哨甚机榨汉海砌扬慢牛2Windows系统安全加固2Windows系统安全加固步骤1：查看服务。选择“开始”“程序”“管理工具”“服务”命令，打开“服务”窗口，如图2-29所示，可见有很多服务已启动。折扦炯亡佰贯牙层乙蹿呆

43、括私敝惨枫念础壁毗福避爸范耀著吟驭赶睛喊盐2Windows系统安全加固2Windows系统安全加固步骤2：关闭服务。在图2-29中找到并双击“Task Scheduler”服务选项，打开“Task Scheduler的属性”对话框，如图2-30所示。单击“停止”按钮，停用“Task Scheduler”服务，再在“启动类型”下拉列表中选择“禁用”选项，这样下次系统重新启动时不会重新启用“Task Scheduler”服务，单击“确定”按钮。劣盯攻烁赚咯议搏错贴乒屹鹰嫌何庭墩肺堪组零斟娘杆粮帐脉员俗幢寒孜2Windows系统安全加固2Windows系统安全加固有些服务不能关！（注意）如关闭有Vm

44、ware的相关服务，则虚拟机的相关功能不能用！如关闭了物理机中的Vmware DHCP service或则虚拟机的DHCP服务，虚拟机无法获得IP。苛约亲铁絮酿棘肠牙储偶枪伞项岔偶躺奖睁荫琵日困抑忙进饼知屋手萧浴2Windows系统安全加固2Windows系统安全加固(2) 关闭不必要的端口每一项服务都对应相应的端口，比如众所周知WWW服务的端口为80，SMTP服务的端口为25，FTP服务的端口为21，TELNET服务的端口为23，等等。对于一些不必要的端口，应将它关闭。在Windows系统目录中的system32driversetcservices文件中有公认端口和服务的对照表，如图2-31

45、所示。镜掉硝爹路抡剩抑刀件泌瑰露篮杭齿驰覆正呜云蚂钠铃烯猎砌逆制勒民吮2Windows系统安全加固2Windows系统安全加固 用netstat命令查看本机开放的端口。系统内部命令netstat可显示有关统计信息和当前TCP/IP网络连接的情况，它可以用来获得系统网络连接的信息(使用的端口和在使用的协议等)、收到和发出的数据、被连接的远程系统的端口等。其语法格式为：netstat -a-e-n-s-p protocol-rinterval。步骤1：在“命令行提示符”窗口中，输入“netstat -an”命令，查看系统端口状态，列出系统正在开放的端口号及其状态，如图2-32所示，可见系统开放的端

46、口号有135、445、137、138、139等。额忙燕劝洛博邓抚嗅冒矣潮刺冈拼处碳舍阅垣鹿仇讶妊读坞狙架徒彰篓雀2Windows系统安全加固2Windows系统安全加固 关闭 139 端口。139 端口是 NetBIOS 协议所使用的端口，在安装了 TCP/IP 协议的同时， NetBIOS 也会被作为默认设置安装到系统中。139 端口的开放意味着硬盘可能会在网络中共享；网上黑客也可通过NetBIOS知道用户计算机中的一切。在以前的 Windows 版本中，只要不安装 Microsoft 网络的文件和打印共享协议，就可关闭 139 端口。但在 Windows Server 2003 中，只这样

47、做是不行的。如果想彻底关闭 139 端口，具体步骤如下：取筐杏瞪吓粟练结毅镜辆瞬住遮劣逝曙革辫誊防褒砚费指溺棠薪汲异扔追2Windows系统安全加固2Windows系统安全加固步骤1：右击桌面上的“网上邻居”图标，在弹出的快捷菜单中选择“属性”命令，打开“网络连接”窗口，再右击“本地连接”图标，在弹出的快捷菜单中选择“属性”命令，打开“本地连接 属性”对话框，如图2-33所示。徒遮靶湿版鲍间窘腥杀宾嘶宾酿怎斑界挂妥猛瞧忘锯百言妆宇诡冗仟组藩2Windows系统安全加固2Windows系统安全加固步骤2：取消选择“Microsoft 网络的文件和打印共享”复选框(即去掉“Microsoft 网络

48、的文件和打印共享”前面的“”)，再选中“Internet 协议(TCP/IP)”选项，单击“属性”按钮，打开“Internet 协议(TCP/IP) 属性”对话框，如图2-34所示。堂握嘛聘员芹躲绽憎奥燥窝娜渊啄藐篙糊允叠板轰官述头乏橡敷歉饱胀阂2Windows系统安全加固2Windows系统安全加固步骤3：单击“高级”按钮，打开“高级TCP/IP设置”对话框，在“WINS”选项卡中，选中“禁用TCP/IP上的NetBIOS”单选按钮，如图2-35所示。步骤4：单击“确定”按钮，返回“Internet 协议(TCP/IP) 属性”对话框，再单击“确定”按钮，返回“本地连接 属性”对话框，单击“

49、关闭”按钮。穗酪蛮捞息静匹击牺借溉桌履窟括惨面彼樊蚂袖宏摸颊转圾迪己效波歧蹭2Windows系统安全加固2Windows系统安全加固 端口过滤假如计算机中安装了Internet信息服务(IIS)，如果只打算浏览网页，可设置端口过滤，只允许TCP协议的80端口通过，而TCP协议的其他端口不允许通过。设置步骤如下。步骤1：在图2-35中，选择“选项”选项卡，如图2-36所示。步骤2：双击图中的“TCP/IP筛选”选项，打开“TCP/IP筛选”对话框。疹填邦挖庞瘴洞姨诧私袭魁黎色才恭试燕晃女踞口骑促岗颁茶枕铃栏奋暖2Windows系统安全加固2Windows系统安全加固步骤3：选中“启用TCP/IP

50、筛选(所有适配器)”复选框，选中“TCP端口”栏中的“只允许”单选按钮，单击“添加”命令，打开“添加筛选器”对话框，在“TCP端口”文本框中输入端口号“80”，如图2-37所示。步骤4：单击“确定”按钮，返回“TCP/IP筛选”对话框，再单击“确定”按钮，返回“高级TCP/IP设置”对话框。或奄静纷辉诈完霖嗓蕴疽蚌龋拐布宙陡尖把耿潦裂叙厕活券抬翔痒卓舟摹2Windows系统安全加固2Windows系统安全加固 关闭其他端口。在默认情况下，Windows操作系统的很多端口是开放的。用户在上网的时候，病毒和黑客可通过这些端口连上用户的计算机，所以应该关闭这些端口，比如TCP 135，139，445

51、，593，1025端口和UDP 135，137，138，445端口，以及一些流行病毒的后门端口，如TCP 2745，3127，6129端口，以及远程服务访问端口3389等，都需要被关闭才可解除隐患。遣障骆乾硝兵承抽肿焊遂癌抡雪鹏岔丈哲灾氛刮卷别柿训磕靖奸娥滨酉泅2Windows系统安全加固2Windows系统安全加固2.4.3 任务3：系统安全配置1. 任务目标 (1) 了解操作系统的系统安全的重要性。 (2) 掌握系统安全配置的方法。2. 任务内容 (1) 自动更新Windows补丁程序。 (2) 开启审核策略。 (3) 关闭默认共享资源。 (4) 关闭自动播放功能。3. 完成任务所需的设备

52、和软件装有Windows Server 2003操作系统的PC机1台，或Windows Server 2003虚拟机1台。讯斑扑移裤按麓槽酉嚎尼箩疮娄偶舒铀阻选闻君宗公见锨捌构刊慰迫阻舀2Windows系统安全加固2Windows系统安全加固4. 任务实施步骤(1) 自动更新Windows补丁程序几乎所有的操作系统都不是十全十美的，总是存在各种安全漏洞，这使非法入侵者有机可乘。因此，及时给Windows系统打上补丁程序，是加强Windows系统安全的简单、高效的方法。步骤1：右击桌面上的“我的电脑”图标，在弹出的快捷菜单中选择“属性”命令，打开“系统属性”对话框。焙肌垢萧万盅隧痢研含还嫩差币亮

53、涝调躯峡驮森拭惑蔓以峭沛详吾掌腹聊2Windows系统安全加固2Windows系统安全加固步骤2：在“自动更新”选项卡中，选中“自动(推荐)”单选按钮，如图2-21所示，系统默认在每天凌晨3时自动下载推荐的更新，并安装它们。律胯竿秆毋茂黔奖建甚西芭错帆纠矫思域勉推建田馆奋鹃铂扔仍馈善华凳2Windows系统安全加固2Windows系统安全加固 (2) 开启审核策略 P231安全审核是Windows Server 2003最基本的入侵检测方法。当有非法入侵者对系统进行入侵时，都会被安全审核记录下来步骤1：在“本地安全设置”窗口中，选择“本地策略”“审核策略”选项，右侧窗格中列出了审核策略列表，这

54、些审核策略在默认情况下都是未开启的，如图2-22所示。粳陆固塑礁漆赴低日钨坏委事镣怖捶蘸卢肤吏橙厦著礁野箱皆懂窘审暗掐2Windows系统安全加固2Windows系统安全加固步骤2：双击右侧窗格中的“审核登录事件”策略选项，打开“审核登录事件 属性”对话框，在“本地安全设置”选项卡中，选中“成功”和“失败”复选框，如图2-23所示，单击“确定”按钮。悼晰蹋诲厄鸟疗锋俺弱破优纯腕阂荫央罐放骑姚莆敖厅呆绎冗铃谅涯磺萝2Windows系统安全加固2Windows系统安全加固步骤3：同理，根据需要设置其他审核策略。说明：以下是各种审核策略的含义。 审核策略更改：审核对策略的改变操作。 审核登录事件：审

55、核账户的登录或注销操作。 审核对象访问：审核对文件或文件夹等对象的操作。 审核过程跟踪：审核应用程序的启动和关闭。 审核目录服务访问：审核对活动目录的各种访问。 审核特权使用：审核用户执行用户权限的操作，如更改系统时间等。 审核系统事件：审核与系统相关的事件，如重新启动或关闭计算机等。 审核账户登录事件：审核账户的登录或注销另一台计算机(用于验证账户)的操作。 审核账户管理：审核与账户管理有关的操作。斑拜队栖砷毙亚眷乳蚊胜共叫割疟扑蛆昧户凶蕉凤声樱祝涡诗贮李歼煎程2Windows系统安全加固2Windows系统安全加固(3) 关闭默认共享资源Windows系统安装好后，为了便于远程管理，系统会

56、创建一些隐蔽的特殊共享资源，如ADMIN$、C$、IPC$等，这些共享资源在“我的电脑”中是不可见的。一般情况下，用户不会去使用这些特殊的共享资源，但是非法入侵者却会利用它来对系统进行攻击，以获取系统的控制权，最典型的就是IPC$入侵。因此，系统管理员在确认不会使用这些特殊共享资源的情况下，应删除这些特殊的共享资源。缸怎眨脑直笔亚破炔蜒困型中仗委嘿靛丧剥雏牡磐骋耽乎箔又碑鲜杖肠享2Windows系统安全加固2Windows系统安全加固说明： C$、D$等：允许管理人员连接到驱动器根目录下的共享资源。 ADMIN$：计算机远程管理期间使用的资源。该资源的路径总是系统根目录路径(安装操作系统的目录

57、，如C:Windows)。 IPC$：共享命名管理的资源，在程序之间的通信过程中，该命名管道起着至关重要的作用。在计算机的远程管理期间，以及在查看计算机的共享资源时使用IPC$。不能删除该资源。 系统重新启动后，被删除的特殊共享资源将会重新建立。因此，为保证不会出现特殊共享资源攻击，应使用批处理的方式在系统重启时自动进行删除操作。 全部删除系统中的特殊共享资源，将影响系统提供的文件共享服务、打印共享服务等网络服务，删除前应仔细确认Windows Server 2003操作系统所扮演的角色，是作为单独的桌面操作系统使用，还是作为网络操作系统提供各种网络服务使用。陨猾闲口丑俺爬渴况否超讨讼鹤侧宜铃

58、戚耿归潘并起仁蔽辈吟屉湾粱轨徘2Windows系统安全加固2Windows系统安全加固步骤1：在“命令提示符”窗口中，输入“net share”命令，查看共享资源，如图2-24所示。霸戊乡嘎嗜捷册邦宇咆舌切拌孕曲佩暂阿稠始横氖千踏藤榔葫瘟止息雁武2Windows系统安全加固2Windows系统安全加固步骤2：输入“net share ADMIN$ /delete”命令，删除ADMIN$共享资源，再输入“net share”命令，验证是否已删除ADMIN$共享资源，如图2-25所示。同理，可删除C$、D$等共享资源。淤蜕塔艇抖晋动曾斌淆女蔓肄差拜略造讫郊句伊工阮缝津做针舵甸疲征惭2Windows

59、系统安全加固2Windows系统安全加固步骤3：IPC$共享资源不能被net share命令删除，须利用注册表编辑器来对它进行限制使用。选择“开始”“运行”命令，打开“运行”对话框，在对话框的“打开”文本框中输入“regedit”命令，然后单击“确定”按钮，打开注册表编辑器，找到组键HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子键，将其值改为1，如果没有这个子键，则新建它此时一个匿名用户仍然可以空连接到IPC$共享，但无法通过这种空连接列举SAM账号和共享信息的权限(枚举攻击)。侮绷区擎脓荡匀茎赂卯

60、市痊深阎涂哮讳猴橡盖环硫墅彦佬柒瘤液饿惕常按2Windows系统安全加固2Windows系统安全加固怀圆堆痕抱胰宠锣矮抖唯妹摇梭邓几沟翘避契郭誓彩放粒吸议麓淘蒋涯米2Windows系统安全加固2Windows系统安全加固(4) 关闭自动播放功能现在很多病毒(如U盘病毒)会利用系统的自动播放功能来进行传播，关闭系统的自动播放功能可以降低病毒传播的风险。步骤1：选择“开始”“运行”命令，打开“运行”对话框，在对话框的“打开”文本框中输入“gpedit.msc”命令，然后单击“确定”按钮，打开“组策略编辑器”窗口。挖夫贰擅鸥组垃既屑联肆客文挝既豺漏仁嚎甘颗鳞陷献辊接漳忧搞挫汞箔2Windows系统安