《系统安全配置》PPT课件.ppt

Windows 系统安全配置,Windows操作系统安全配置,NTFS分区 把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多 确认分区 进入DOS 输入命令:chkntfs 盘符,Windows系统安全措施初级篇,NTFS分区 转换分区(将FNT分区转换为NTFS分区) 进入DOS 输入命令:convert 盘符 /fs:ntfs,Windows系统安全措施初级篇,操作系统安全策略 利用Windows安全配置工具配置安全策略 管理工具本地安全策略,Windows系统安全措施中级篇,关闭不必要的端口 C:windowssystem32driversetcservices 具体操作见另外文档,开启审核策略 安全审核是Windows最基本的入侵检测方法。当有人尝试对系统进行某种方式入侵时，都会被安全审核记录下来 表中所列审核是必须开启的，其他的可以根据需要增加,Windows系统安全措施中级篇,开启审核策略,Windows系统安全措施中级篇,开启审核策略,Windows系统安全措施中级篇,开启密码策略 密码对系统安全非常重要。本地安全设置中密码策略在默认情况下均未开启,Windows系统安全措施中级篇,开启密码策略 密码对系统安全非常重要。本地安全设置中密码策略在默认情况下均未开启,Windows系统安全措施中级篇,开启帐户密码 开启帐户策略可有效的防止字典式攻击,Windows系统安全措施中级篇,开启帐户密码 开启帐户策略可有效的防止字典式攻击,Windows系统安全措施中级篇,不显示上次登录 默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆帐户名。本地登陆对话框也是一样 设置方法：管理工具本地安全策略本地策略安全选项登录屏幕上不显示上次登录的用户名已启用确定,Windows系统安全措施中级篇,不显示上次登录 默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆帐户名。本地登陆对话框也是一样 设置方法：管理工具本地安全策略本地策略安全选项登录屏幕上不显示上次登录的用户名已启用确定,Windows系统安全措施中级篇,不显示上次登录 修改注册表禁止显示上次登录名 在HKEY_LOCAL_MACHINE主键下修改子键：SoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName，将数值数据改成1,Windows系统安全措施中级篇,不显示上次登录 修改注册表禁止显示上次登录名,Windows系统安全措施中级篇,不显示上次登录 修改注册表禁止显示上次登录名,Windows系统安全措施中级篇,不显示上次登录 修改注册表禁止显示上次登录名,Windows系统安全措施中级篇,输入1,不显示上次登录 如果在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon中无DontDisplayLastUserName，则创建一个,并将数值数据置为1 方法,右击鼠标新建字符串 在项中输入相应名 用前面方法修改数值数据为1,禁止建立空连接 默认情况下，任何用户通过空连接连上服务器，可以枚举出帐号，猜测密码 可通过修改注册表来禁止建立空连接 在HKEY_LOCAL_MACHINE主键下修改子键：SystemCurrentControlSetControlLSARestrictAnonymous，将键值改成“1”,Windows系统安全措施中级篇,禁止建立空连接,Windows系统安全措施中级篇,关闭默认共享 Windows安装后，系统会创建一些隐藏的共享，可以在DOS提示符下输入命令Net Share 查看,Windows系统安全措施高级篇,关闭共享 关闭139、445端口 安装防火墙，设置端口过滤 给计算机的重要帐户设置复杂密码（15，大小写字母符号）,如何防范IPC$入侵,关闭默认共享 停止默认共享方法：管理工具计算机管理共享文件夹共享，在相应的共享文件夹上按右键，点停止共享,Windows系统安全措施高级篇,关闭默认共享,关闭默认共享,方法四：停止服务法 (最简单的方式) 在弹出的“常规”标签中把“启动类型”由原来的“自动”更改为“已禁用”。然后单击下面“服务状态”的“停止”按钮 确认,关闭默认共享,关闭默认共享,关闭默认共享,关闭默认共享,关闭默认共享,关闭默认共享,关闭默认共享,139端口可以通过NBT来屏蔽,屏蔽139端口,禁用Dump文件 在系统崩溃和蓝屏的时候，Dump文件是一份很有用资料，可以帮助查找问题。然而，也能够给黑客提供一些敏感信息，比如一些应用程序的密码等 禁止方法：控制面板系统高级启动和故障恢复，把写入调试信息改成无,Windows系统安全措施高级篇,锁住注册表 在Windows2000中，只有Administrators和Backup Operators才有从网络上访问注册表的权限。当帐号的密码泄漏以后，黑客也可以在远程访问注册表，当服务器放到网络上的时候，一般需要锁定注册表,Windows系统安全措施高级篇,锁住注册表 方法：修改Hkey_current_user下的子键：SoftwaremicrosoftwindowscurrentversionPoliciessystem 。把DisableRegistryTools的值改为0，类型为DWORD,Windows系统安全措施高级篇,锁住注册表,Windows系统安全措施高级篇,禁止判断主机类型 黑客利用TTL（Time-To-Live，活动时间）值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型 Ping的用处是检测目标主机是否连通,Windows系统安全措施高级篇,禁止判断主机类型 许多入侵者首先会Ping一下主机，因为攻击某一台计算机需要根据对方的操作系统，是Windows还是Unix。如过TTL值为128就可以认为你的系统为Windows 2000,Windows系统安全措施高级篇,禁止判断主机类型,Windows系统安全措施高级篇,禁止判断主机类型,Windows系统安全措施高级篇,禁止判断主机类型 修改TTL值，入侵者就无法入侵了 比如将操作系统的TTL值改为111，改主键HKEY_LOCAL_MACHINE的子键：SYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERS,Windows系统安全措施高级篇,regedit.exe,禁止判断主机类型 设置完毕重新启动计算机 用Ping指令，发现TTL值已被改成111,Windows系统安全措施高级篇,禁止Guest访问日志 在默认安装的Windows NT和Windows 2000中，Guest帐号和匿名用户可以查看系统的事件日志，可能导致许多重要信息的泄漏，修改注册表来禁止Guest访问事件日志 禁止Guest访问应用日志,Windows系统安全措施高级篇,禁止Guest访问日志 禁止Guest访问应用日志 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplication 下添加键值名称为：RestrictGuestAccess ，类型为：DWORD，将值设置为1,Windows系统安全措施高级篇,禁止Guest访问日志 系统日志 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSystem下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将