Windows安全系统加固建议.ppt

windows系统 安全加固技术,windows系统安全加固技术,配置注册表提高系统安全 账号安全策略设置 系统服务安全设置 系统权限技术 注册表和系统文件监控 系统进程和端口检查和分析 系统漏洞检查和分析 iis安全设置,配置注册表提高系统安全,通过注册表，用户可以轻易地添加、删除、修改 windows系统内的软件配置信息或硬件驱动程序， 这不仅方便了用户对系统软硬件的工作状态进行适时 的调整，与此同时注册表也成为入侵者攻击的目标， 通过注册表种植木马、修改软件信息，甚至删除、停 用或改变硬件的工作状态,注册表相关知识,注册表根项说明,hkey_local_machine包含关于本地计算机系统的信息，包括硬件和操作系统数据。 heky_classes_root包含由各种ole技术使用的信息技术和文件类别关联数据 hkey_current_user包括环境变量、桌面设置、网络连接、打印机和程序首选项。 hkey_users包含关于动态加载的用户配置文件和默认的配置文件的信息。有些信息和hkey_current_user交叉出现。 hkey_current_config包含在启动时由本地计算机系统使用的硬件配置文件的相关信息。,确保注册表安全,利用文件管理器对regedit.exe 文件设置成只允许管理员能够 使用该命令访问修改注册表， 其他用户只能读取，但不能修 改，这样可以防止非法用户恶 意修改注册表。,注册表安全设置的典型案例,彻底隐藏文件及文件夹 hkey_local_machinesoftwaremicrosoftwindowscurrentversionexploreradvancedfolderhiddenshowall，checkedvalue键值项，将它的键值修改为“0”，如果没有该键值的话，可以自己新建一个名为“checkedvalue”的“dword值”，然后将其值修改为“0”即可。 隐藏磁盘“hkey_current_usersoftwaremi crosoftwindowscurrentversionpolicies explorer”，在右侧窗口中新增一个名为“nodrives”的dword值。若将“数值数据”设为“1”，则表示隐藏a盘;设为“2”则表示隐藏b盘;设为“4”表示隐藏c盘，隐藏其它的盘符可按此规律类推，只要“数值数据”是上一个数值一倍即可,将多个盘符数值相加可以同时隐藏多个磁盘。,账号及安全策略,帐号安全是计算机系统安全的第一关，如果计算机系统帐号被盗，那么计算机将会很危险的，轻则入侵者可以任意控制计算机，如果我们的计算机中保存着重要的机密文件或者银行卡号与密码，那么损失将会非常严重。 个人计算机用户防范： 1、安装杀毒软件及防火墙，并经常升级。 2、经常升级系统和应用软件补丁。3、不要轻易打开来历不明的文件。4、关闭不需要的系统服务。5、为所有帐号加上足够复杂的密码 服务器及企业用户的防范： 1、安装杀毒软件及防火墙（最好是硬件防火墙）2、经常升级系统及应用软件补丁3、不要打开来历不明的文件4、关闭不需要的系统服务5、关闭guest帐户或者给所有的用户加一个足够复杂的密码6、把管理员组administrators改名7、服务器的分区格式都采用ntfs格式8、开启安全审核9、使用扫描工具对服务器和web站点进行安全扫描10、经常查看系统进程和系统日志11、定期做好备份,防止“帐号克隆”的本地安全设置,黑客通过入侵得到一台计算机的帐号及密码后，一般会想办法让自己隐藏起来，避免被管理员发现，他们会 “克隆” 一个帐号，这个账号一般是管理员不太注意的，这样他就可以长期控制着台计算机而不被发现。 因此我们必须阻断其“克隆”的途径，方法是禁用存有帐户名称和密码的sam帐户。 1、控制面板-管理工具-本地安全策略选项 2、在“本地安全设置”中单击“本地策略”中的“安全选项”命令，将右边“策略”中“网络访问：不允许sam帐户的匿名枚举”及“网络访问：不允许sam帐户和共享的匿名枚举”命令启用，如下图：,防止“帐号克隆”的本地安全设置,系统服务安全设置,计算机提供的服务具有两面性，一是为合法用 户服务，二也有可能被入侵者利用，通过系统服务 的漏洞入侵计算机的安全事件数不胜数，为了让计 算机系统的安全性更加坚固，下面讲述一下如何配 置系统服务安全。,禁止不必要的系统服务,系统服务安全配置,修改ttl值 防止icmp重定向报文攻击 修改注册表防御dos攻击 禁止默认共享 提高cookie安全级别 防止跨站攻击,系统服务安全配置,黑客为了得到入侵的第一手资料，通常会先判断目标计算机的操作系统类型。通过ping目标计算机的ip地址，由返回来的ttl（存活时间）值来判断是什么操作系统。因此我们修改ttl值来迷惑黑客对操作系统的探测和判断：1、打开注册表，展开子项键：hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters改变defaultttl键值，windowsxp的默认键值为64，我们可以改为128或256等,ttl修改后的键值项,修改注册表防御dos攻击,黑客工具的普遍流传，造成dos攻击越来越来 傻瓜化，攻击者不需要很高的计算机技术知识就可以 实施。因此防范dos攻击提高系统的抵抗能力也成为 我们的当务之急。这里以windowsxp为例讲述利用简 单的修改注册表提高系统对于dos攻击的抵抗能力。,修改注册表抵御dos攻击,hkey_local_machinesystemcurrent controlsetservicestcpipparameters找到synattackprotect键值项，把默认的数值由“1”改为“2”，启动syn攻击保护，从而实现抵御dos攻击,进入注册表，展开：,禁止默认共享,默认共享是windows内核的windows操作系统为了方便远程管理而开放的共享，它使用的是139端口。它包含了所有的逻辑盘（c$,d$）和系统目录，默认共享很容易被恶意利用，ipc$攻击就是针对默认共享的，用net share查看系统开放的共享,禁止空连接进行枚举,展开分支：hkey_local_machinesystemcurrentcontrolsetcontrollsa 修改restrictanonymous的值，有默认的“0”改为“1” 禁止默认共享 hkey_local_machinesystemcurrentcontrolsetserviceslanmanserverparanmeters修改autoshareserver为“0” 关闭默认共享依靠server服务 打开控制面板-管理工具-服务 选项，在本地服务中找到“server”，右击后选择“属性”，然后在常规选项中单击“停止”，禁用。,系统权限设置,windows2000以后的操作系统引入了一种权限机制，以 实现对计算机的分级管理，它使不同的用户有不同的权限，从 而适应了更加目前严峻的安全状况和应用需求。windows默认 的权限设置存在纰漏，很容易被黑客以及病毒木马利用，合理 设置权限才能保障计算机的安全。,fat32转为ntfs格式,由于ntfs磁盘格式具有fat32所没有的文件权限分级和 加密安全性设计，因此为防止病毒或黑客木马破坏系统， 可以利用ntfs强大的权限分级来实现。 fat32转换成ntfs过程：进入命令行操作窗口输入 convert d：/fs:ntfs，其中d：为要转换的盘符，这样d盘 就转换成ntfs格式了。,文件夹权限的设置,大多数木马或病毒经常将自身文件通过administrators用户写入system32 文件夹中，因此我们可以通过ntfs格式中文件或文件夹属性中的权限设 置杜绝木马或病毒随意将文件写入system32中。 修改办法：右击“system32”文件夹，点击“属性”，在安全选项卡中选择 administrators，然后在“administrators的权限窗口中”在“写入”多选框中 选中“拒绝”。这样就避免病毒或木马文件在此目录下形成文件。 （如何开启windows xp文件、文件夹的安全选项卡 windows xp安装完成以后，默认情况下，文件、文件夹的安全选项卡不能设置（显示），打开方法如下： 1. 单击“开始”，然后单击“我的电脑”。 2. 在“工具”菜单上，单击“文件夹选项”，然后单击“查看”选项卡。 3. 在“高级设置”部分中，清除“使用简单文件共享（推荐）”复选框。 4. 单击“确定”。 这样，你再次打开文件、文件夹的属性窗口，即可看见您期待的安全选项卡。）,修改system文件夹安全选项,限制协议和端口,tcp/ip属性-高级-选项-tcp/ip筛选属性 中添加或删除端口、协议 修改完成后，“禁用”-”启动“后即生效,注册表及系统文件监控,病毒及黑客入侵往往会改写注册表和向系统文件 夹中添加其运行必需的文件和参数，因此监控注册表 和系统文件是否发生变化，使我们查找和防御黑客和 病毒入侵的一个必要手段。下面我们通过regsnap工 具演示一下监控注册表和系统文件的方法和过程,regsnap介绍,regsnap是一个优秀的注册表快照工具。主要功能有： 详细地向你报告注册表及其他与系统有关项目的修改和变化情况。报告结果既可以纯文本的方式，也可以 html 网页的方式显示，非常便于查看。 regsnap 报告的内容有：注册表的变化情况；windows、system 和我的文档目录下文件的变化情况，包括删除、替换、增加了哪些文件；系统配置文件 win.ini 和 system.ini 的变化情况，包括删除、修改和增加了哪些内容；自动批处理文件 autoexec.bat 是否被修改过。 该软件可以在需要的时候方便地恢复注册表，可以直接调用注册表编 辑器查看或修改注册表，还可以查看当前计算机的计算机名和用户名。,regsnap使用流程,1、初始快照 2、时间结束快照 3、对比快照内容,regsnap快照设置,配置,regsnap快照,regsnap快照比较,regsnap快照结果,端口检查命令,netstat -a 查看开启了哪些端口 netstat -n 查看端口的网络连接情况 我们往往将这两个参数合并执行,进程查看器,我们通过进程查看器可以随时监视及其内存中的程序活动状态-prcview,系统漏洞检查和分析,系统漏洞往往是黑客和病毒入侵的突破口，因此在 运用一些工具及设置加固系统的时候，堵塞漏洞是必 需的。目前检查漏洞的工具很多，几乎每个杀毒软件 都有相应的功能，例如瑞星防火墙不仅可以查找漏洞 还可以自动连接微软的补丁网站下载并安装漏洞补丁。 这里就不再赘述了。,iis安全设置,iis安装时，尽量避免把iis安装在系统分区上，否则系统文件 与iis同样面临非法访问，容易使非法用户侵入系统分区。 www目录的访问