windows系统安全.ppt

2019/5/30,企业网络安全和管理,Enterprise Network Security and Management,加密技术,PKI公钥数字证书技术,防火墙技术,VPN技术,IDS入侵检测系统,windows系统安全管理,企业网络安全课程结构,企业网络安全,网络安全绪论,Linux服务器安全管理,主要内容,Windows安全设置 组策略 注册表 服务的安全设置,组策略设置,安全选项 启用不允许匿名访问SAM帐号和共享; 启用不允许为网络验证存储凭据或Passport; 启用交互登录：不显示上次的用户名; 启用在下一次密码变更时不存储LANMAN哈希值; 网络访问：可匿名访问的共享 全部删除 网络访问：可匿名访问的命名管道 全部删除 网络访问：可远程访问的注册表路径 全部删除 网络访问：可远程访问的注册表路径和子路径全部删除 帐户：重命名来宾帐户 重命名一个帐户 帐户：重命名系统管理员帐户 重命名一个帐户,组策略设置,本地策略审核策略 审核策略更改 成功 失败 审核登录事件 成功 失败 审核对象访问 失败 审核过程跟踪 无审核 审核目录服务访问 失败 审核特权使用 失败 审核系统事件 成功 失败 审核账户登录事件 成功 失败 审核账户管理 成功 失败,组策略设置,本地策略用户权限分配 关闭系统：只有Administrators组、其它全部删除。 通过终端服务拒绝登陆：加入Guests、User组 通过终端服务允许登陆：只加入Administrators组，其他全部删除 从通过网络访问此计算机中删除Power Users和Backup Operators; 禁止IIS匿名用户在本地登录;,组策略设置,账户策略-密码策略 密码复杂性要求启用 密码长度最小值 6位 强制密码历史 5次 最长存留期 30天 账户策略-账户锁定策略 账户锁定 3次错误登录 锁定时间 20分钟 复位锁定计数 20分钟,修改注册表,禁止139空连接 Hkey_local_machinesystemcurrentcontrolsetcontrollsa-restrictanonymous = 1 修改数据包的生存时间(ttl)值 hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters defaultttl reg_dword 0-0xff(0-255 十进制,默认值128),修改注册表,防止syn洪水攻击 hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters synattackprotect reg_dword 0x2(默认值为0x0) 禁止响应icmp路由通告报文 hkey_local_machinesystemcurrentcontrolset servicestcpipparametersinterfacesinterface performrouterdiscovery reg_dword 0x0(默认值为0x2),修改注册表,防止icmp重定向报文的攻击 hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters enableicmpredirects reg_dword 0x0(默认值为0x1) 禁用3389端口 HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp, 找到“PortNumber”子项，您会看到值 00000D3D，它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。,修改注册表,设置arp缓存老化时间设置 hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters arpcachelife reg_dword 0-0xffffffff(秒数,默认值为120秒) arpcacheminreferencedlife reg_dword 0-0xffffffff(秒数,默认值为600),修改注册表,禁止死网关监测技术 hkey_local_machinesystemcurrentcontrolsetservices:tcpipparameters enabledeadgwdetect reg_dword 0x0(默认值为ox1) 不支持路由功能 hkey_local_machinesystemcurrentcontrolsetservices:tcpipparameters ipenablerouter reg_dword 0x0(默认值为0x0),修改注册表,禁止WebDAV HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParameters 加以下注册表值： 数值名称：DisableWebDAV 数据类型：DWORD 数值数据：1,禁用服务,Application Experience Lookup Service Automatic Updates BITS Computer Browser DHCP Client Error Reporting Service Help and Support Network Location Awareness Print Spooler,禁用服务,Remote Registry Secondary Logon Server Smartcard TCP/IP NetBIOS Helper Workstation Windows Audio Windows Time Wireless Configuration,禁用服务,解除NetBios与TCP/IP协议的绑定 控制面版网络绑定NetBios接口禁用 2000：控制面版网络和拨号连接本地网络属性TCP/IP属性高级WINS禁用TCP/IP上的NETBIOS,服务的安全设置,IIS加固 仅安装必要的 iis 组件。(禁用不需要的如ftp 和 smtp 服务) 仅启用必要的服务和 web service 扩展 将iis目录&数据与系统磁盘分开，保存在专用磁盘空间内 在iis管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可) 在iis中将http404 object not found出错页面通过url重定向到一个定制htm文件 web站点权限设定,服务的安全设置,Web站点权限设置 读 允许 写 不允许 脚本源访问 不允许 目录浏览 建议关闭 日志访问 建议关闭 索引资源 建议关闭 执行 推荐选择 “仅限于脚本“,服务的安全设置,关于IIS日志 建议使用w3c扩充日志文件格式，每天记录客户ip地址，用户名，服务器端口，方法，uri字根，http状态，用户代理，而且每天均要审查日志。 日志的存储，最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为full control。,服务的安全设置,IIS-删除不必要的应用程序映射 IIS中默认存在很多种应用程序映射，除了ASP的这个程序映射，其他的文件在网站上都很少用到。 在“Internet 服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击配置按钮，弹出“应用程序配置”对话框，