《信息系统安全》PPT课件.ppt

信息系统安全,信息系统安全,一、提高信息系统安全意识二、提高系统维护效率三、网络攻击与防范技术四、Windows系统安全加固技术,一、提高信息系统安全意识,（一）信息系统安全的重要性（二）破坏信息系统安全的因素（三）互联网安全威胁现状,（一）信息系统安全的重要性,信息系统安全是指信息系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。“黑客”的特征，在近两年已经发生了明显的改变，网络攻击已经从表现特征明显、以炫耀技术为目的转变为有组织的、更加隐秘的、以赚取经济利益为目的。网络犯罪也从全球范围的普遍爆发，转向瞄准具体组织进行敲诈勒索的小范围、更秘密的攻击，更像是“游击战”了。,（二）破坏网络安全的因素,1.物理上的2.技术上的3.管理上的4.用户意识,用户意识,请先试着回答下面几个假设的问题：1)你的计算机用户名和你的E-mail账户名、QQ昵称、网络游戏ID、论坛昵称等是否有几个是一致的？2)以上用户名对应的密码是否有几个是完全一样的？3)你常用的密码是否和你的名字拼音、生日或者手机、电话号码有关？4)你在网上常用的数字密码是否和你持有的各类银行卡密码亦有关联，甚至一样？,（三）互联网安全威胁现状,病毒木马肉鸡虚拟交易的灰色链条肉鸡就是被黑客控制的计算机，黑客可以控制该肉鸡对其它服务器进行攻击（肉鸡作为帮凶）。在中国，有上百万的网民毫无察觉地为网络黑色产业链无偿地“贡献着力量”。,（三）互联网安全威胁现状,僵尸网络：(英文名称叫BotNet)，是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。目前，中国的互联网世界中，有5个僵尸网络操控的“肉鸡”规模超过10万台，个别僵尸网络能达到30万台的规模。这些僵尸网络可以被租借、买卖，黑客们每年可以有上百万元的收入。,（三）互联网安全威胁现状,黑客产业主要有两种典型模式。模式一:黑客侵入个人、企业电脑窃取机密资料在互联网上出售获取金钱。模式二:黑客侵入大型网站，在网站上植入病毒用户浏览后中毒，网游账号和装备被窃取黑客把账号装备拿到网上出售获取金钱。,（三）互联网安全威胁现状,互联网病毒地下交易市场初步形成，获取利益的渠道更为广泛。黑客产业分工明确中国每天有数百甚至上千种病毒被制造出来，其中大部分是木马和后门病毒，占到全球该类病毒的三分之一左右。这个产业链每年的整体利润预计高达数亿元。,二、提高系统维护效率,（一）系统维护（二）系统备份及还原（三）硬盘保护卡（还原卡）及还原软件,（一）系统维护,尽量使用正版品牌机使用OEM版的操作系统熟练使用Ghost之类的磁盘备份还原软件维护工具（自启动光盘）深山红叶PE工具箱V30,（二）系统备份及还原,系统备份品牌机的“一键还原”兼容机可以安装“一键还原精灵”一键还原精灵官方网站建立隐藏分区开机时按F11键备份、还原系统,（二）系统备份及还原,系统备份“一键还原精灵”,（一）系统维护,数据备份,（一）系统维护,数据备份,三、网络攻击与防范技术,局域网环境简介局域网的安全威胁局域网监听与防范局域网ARP攻击与防范局域网病毒入侵与防范快速关闭端口防止入侵局域网共享资源安全防范无线局域网嗅探与防范局域网上网的安全防范与技巧,局域网环境简介,计算机网络的分类按作用范围的大小分广域网（WAN）也叫远程网。作用范围通常为几十到几千公里，是一种可跨越国家及地区的遍布全球的计算机网络城域网（MAN）也叫市域网。它的范围约为几千米到几十千米局域网（LAN）也叫局部网。一般将微机通过高速通信线路相连，范围一般在几百米到几千米,局域网环境简介,局域网最主要的特点覆盖的地理范围较小，几米到几公里以微机为主要联网对象通常为某个单位或部门所有具有较高的数据传输速率、较低的时延和较小的误码率易于安装、配置和维护简单，造价低实用性强，已经成为计算机网络中使用最广的形式局域网一般分为令牌网和以太网两种令牌网主要用于广域网及大型局域网的主干部分，其操作系统大多是UNIX。组建和管理非常繁琐，需专业人员胜任以太网是当今世界应用范围最广的一种网络技术，组建较为容易，各设备之间的兼容性较好，Windows和Netware都支持它,局域网的组成,局域网由网络硬件和网络软件两部分组成网络硬件用于实现局域网的物理连接为连接在局域网上的计算机之间的通信提供一条物理信道和实现局域网间的资源共享网络软件则主要用于控制并具体实现信息的传送和网络资源的分配与共享这两部分互相依赖,共同完成局域网的通信功能,局域网的拓朴结构,最常见的局域网拓朴结构有星型、环型、总线型和树型,集线器,(a)星型网*,(b)环型网,(c)总线网,(d)树型网,注：图(a)在物理上是一个星型网，但在逻辑上仍是一个总线网,干线耦合器,匹配电阻,按网络使用的传输介质分类,局域网使用的传输介质有双绞线,光纤,同轴电缆,无线电波,微波等对应的局域网有双绞线网,光纤网,同轴电缆网,无线局域网,微波网目前小型局域网大都是双绞线网,而较大型局域网则采用光纤和双绞线传输介质的混合型网络近年来,无线网络技术发展迅速,它将成为未来局域网的一个重要发展方向,局域网环境简介,无线局域网WirelessLAN可提供所有无线局域网的功能，而不需要物理线路连接数据先被调制到射频载波中，然后以大气为载体进行传输典型速率为11Mbps和54Mbps，但实际应用中得到的速率通常为此速率的一部分无线局域网的实现可以非常简单，只要在计算机上安装无线网卡即可如果想和有线网络连接在一起需要添加一个无线接入点AP。AP一般位于无线客户端的中心接入位置,WirelessLAN的优缺点,优点：移动性安装安装的灵活性减少用户投入易于扩展缺点：WirelessLAN和有线局域网相比速率较低无线网络的硬件投入会高于有线网络,三、网络攻击与防范技术,局域网环境简介局域网的安全威胁局域网监听与防范局域网ARP攻击与防范局域网病毒入侵与防范快速关闭端口防止入侵局域网共享资源安全防范无线局域网嗅探与防范局域网上网的安全防范与技巧,局域网安全威胁,局域网技术将网络资源共享的特性体现得淋漓尽致不仅能提供软件资源、硬件资源共享还提供Internet连接共享等各种网络共享服务越来越多的局域网被应用在学校、写字楼，办公区,局域网的安全威胁,目前绝大多数的局域网使用的协议都是和Internet一样的TCP/IP协议各种黑客工具一样适用于局域网局域网中的计算机更多体现的是共享和服务因此局域网的安全隐患较之于Internet更是有过之而无不及,局域网的安全威胁,目前的局域网基本上都采用以广播为技术基础的以太网任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取黑客只要接入以太网上的任一节点进行侦听就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患,安全无内、外之分,长期以来，对于信息安全问题，通常认为安全问题主要源于外面因素，都希望在互联网接入处，把病毒和攻击挡在门外，就可安全无忧有许多重大的网络安全问题正是由于内部员工引起一些间谍软件、木马程序等恶意软件就会不知不觉地被下载到电脑中在员工浏览色情网站、利用即时通讯和访问购物网站时这些恶意软件还会在企业内部网络中进行传播，不仅会产生安全隐患，而且还会影响到网络的使用率特别值得注意的是，企业的机密资料、客户数据等信息可能会由于恶意软件的存在，不知不觉被盗取,局域网内的安全误区,局域网中无需单机防火墙没有人会针对我安装杀毒软件和病毒防火墙就不怕病毒安装了SP2的WindowsXP就安全了,三、网络攻击与防范技术,局域网环境简介局域网的安全威胁局域网监听与防范局域网ARP攻击与防范局域网病毒入侵与防范快速关闭端口防止入侵局域网共享资源安全防范无线局域网嗅探与防范局域网上网的安全防范与技巧,以太网协议工作方式,将要发送的数据包发往连接在一起的所有主机包中包含着应该接收数据包主机的正确地址只有与数据包中目标地址一致的那台主机才能接收当主机网卡设置为混杂模式时(监听模式)经过自己网络接口的那些数据包无论数据包中的目标地址是什么，主机都将接收（监听）,以太网协议工作方式,现在网络中使用的大部分协议都是很早设计的许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上许多信息以明文发送,局域网监听与防范,局域网中采用广播方式在某个广播域中可以监听到所有的信息包黑客通过对信息包进行分析，就能获取局域网上传输的一些重要信息很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤和手段，原因是想用这种方法获取其想要的密码等信息对黑客入侵活动和其它网络犯罪进行侦查、取证时，也可以使用网络监听技术来获取必要的信息因此，了解以太网监听技术的原理、实现方法和防范措施就显得尤为重要,网络监听,网络监听技术本来是提供给网络安全管理人员进行管理的工具，可以用来监视网络的状态、数据流动情况以及网络上传输的信息等当信息以明文的形式在网络上传输时，使用监听技术进行攻击并不是一件难事，只要将网络接口设置成监听模式，便可以源源不断地将网上传输的信息截获网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等,网络监听的应用场景,如果用户的账户名和口令等信息也以明文的方式在网上传输只要具有初步的网络和TCP/IP协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分黑客或网络攻击者会利用此方法进行网络监听正确使用网络监听技术也可以发现入侵并对入侵者进行追踪定位在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段,使用snifferpro进行监听,获取邮箱密码通过对用监听工具捕获的数据帧进行分析，可以很容易的发现敏感信息和重要信息对一些明码传输的邮箱用户名和口令可以直接显示出来,网络监听的相关软件,密码监听器(01),如何检测并防范网络监听,网络监听是很难被发现的，特点隐蔽性强运行网络监听的主机只是被动地接收在局域局上传输的信息不主动的与其他主机交换信息，也没有修改在网上传输的数据包手段灵活网络监听可以在网上的任何位置实施可以是网上的一台主机、路由器，也可以是调制解调器网络监听效果最好的地方是在网络中某些具有战略意义的位置如网关、路由器、防火墙之类的设备或重要网段；而使用最方便的地方是在网中的一台主机上,对可能存在的网络监听的检测,1)对于怀疑运行监听程序的主机，可用正确的IP地址和错误的物理地址去探测(如Ping)，运行监听程序的主机会有响应这是因为正常的机器不接收错误的物理地址处理监听状态的机器能接收如果他的IPstack不再次反向检查的话，就会响应,对可能存在的网络监听的检测,2)可向网上发送大量目的地址根本不存在的数据包由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降通过比较前后该机器性能加以判断这种方法难度比较大3)使用反监听工具如antisniffer等进行检测,对网络监听的检测,当前，有两个比较可行的办法搜索网上所有主机运行的进程网络管理员使用UNIX或WindowsNT的主机，可以很容易地得到当前进程的清单确定是否有一个进程被从管理员主机上启动搜查监听程序现在监听程序只有有限的几种，管理员可以检查目录，找出监听程序,对网络监听的检测,还有两个方法比较有效，缺点也是难度较大检查被怀疑主机中是否有一个随时间不断增长的文件存在因为网络监听输出的文件通常很大，且随时间不断增长通过运行ipconfig命令，检查网卡是否被设置成了监听模式或使用Ifstatus工具，定期检测网络接口是否处于监听状态当网络接口处于监听状态时，可能是入侵者侵入了系统，并正在运行一个监听程序，就要有所注意,对网络监听的防范措施,从逻辑或物理上对网络分段以交换式集线器代替共享式集线器控制单播包而无法控制广播包和多播包使用加密技术划分VLAN运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵,三、网络攻击与防范技术,局域网环境简介局域网的安全威胁局域网监听与防范局域网ARP攻击与防范局域网病毒入侵与防范快速关闭端口防止入侵局域网共享资源安全防范无线局域网嗅探与防范局域网上网的安全防范与技巧,ARP协议,AddressResolutionProtocol(地址解析协议)在局域网中，网络中实际传输的是“帧”帧里面是有目标主机的MAC地址的在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址但这个目标MAC地址是如何获得的呢通过地址解析协议获得,ARP协议原理,所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的ARP协议对网络安全具有重要的意义通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞,局域网内部的ARP攻击,ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包数据包内包含有与当前设备重复的Mac地址使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信,受ARP攻击可能出现的现象,1)不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框2)计算机不能正常上网，出现网络中断的症状因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截普通的防火墙很难抵挡这种攻击,ARP病毒攻击症状,现在局域网中感染ARP病毒的情况比较多清理和防范都比较困难，给不少的网络管理员造成了很多的困扰症状有时候无法正常上网，有时候有好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误局域网内的ARP包爆增使用Arp查询的时候会发现不正常的Mac地址，或错误的Mac地址对应，还有就是一个Mac地址对应多个IP的情况也会有出现,ARP攻击的原理,ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库MAC/IP不匹配,ARP攻击的原理,这些统统第一时间报警查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道哪台机器在发起攻击了现在有网络管理工具比如网络执法官、P2P终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问也就是会获取发到网关的流量，从而实现网络流量管理和网络监控等功能同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关敏感信息,ARP攻击软件,WinArpAttackerARP攻击器01/down?cid=FFD08C9FD517C57D9C9F162AC1C35DA8D72CDE1F+MSIE+5.0;+Windows+98;+DigExt)2000102303:09:346780GET/pagerror.gif200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)通过分析第六行，可以看出2000年10月23日，IP地址为6的用户通过访问IP地址为7机器的80端口，查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt，有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间,Windows系统安装,使用正版可靠安装盘将系统安装在NTFS分区上系统和数据要分开存放在不同的磁盘最小化安装服务安全补丁合集和相关的Hotfix装其它的服务和应用程序补丁每次在安装其它程序之后，重新应用安全补丁,防止病毒,进行文件系统安全设置,最少建立两个分区，一个系统分区，一个应用程序分区，因为微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。,NT安装SP6a和相关的HotfixWIN2K安装SP4和相关的HotfixWINXP安装SP2和相关的HotfixWIN2003安装相关的Hotfix,系统信息,检查服务器是否安装多系统，多系统无法保障文件系统的安全,从“operatingsystems”字段可以查到允许启动的系统列表,系统信息,查看主机路由信息,补丁安装情况,检查当前主机所安装的ServicePack以及Hotfix(Mbsa),SP版本,IE版本，请确认在Hotfix中是否存在IESP1补丁信息,Hotfix信息,帐号和口令,多数的系统，口令是进入系统的第一道防线，也是唯一防线；决大多数的口令算法是可靠的；获得口令的方式有多种；口令问题多数出在管理与安全意识的问题上。,口令问题1：弱口令,用户趋向于选择容易的口令，即空口令；用户会选择易于记住的东西做口令Test、Password、guest、username等名字、生日、简单数字等易于选择该系统的应用Ntserver、orancle等多数用户的安全意识薄弱,口令问题2：明文传输,使用明文密码传送的应用：FTP、POP、Telnet、HTTP、SNMP、SocksMountd、Rlogin、NNTP、NFS、ICQ、IRC、PcAnywhere、VNC等MSSQL、Oracle等上诉服务都容易成为攻击对象,口令攻击的方式,手工猜测；方法：社会工程学、尝试默认口令自动猜测；工具：NAT、LC等窃听：登陆、网络截获、键盘监听工具：Dsniff、SnifferPro、IKS等,Windows常见的口令问题,NT/2000的口令问题；用户教育的问题；管理员注意事项。,NT/2000的口令问题,SAM（SecurityAccountsManager)LanManager散列算法（LM）已被破解，但仍被保留NT散列算法（NTLM/NTLMv2）强加密、改良的身份认证和安全的会话机制自动降级,NT/2000的口令问题,LanManager散列算法的问题口令都被凑成14个字符；不足14位的，用0补齐；全部转化为大写字母；分成两部分分别加密。举例：Ba01cK28trBA01CK2和8TR0000,NT/2000的口令问题,SAM数据存放位置%systemroot%system32configsam%systemroot%repairsam._(NT)Rdisk%systemroot%repairsam（2000）ntbackup注册表HKEY_LOCAL_MACHINESAMSAM和HKEY_LOCAL_MACHINESECURITYSAM仅对system是可读写的,NT/2000的口令问题,获取SAM数据的方法使系统自举到另外的系统，copySAM文件；从repair目录攫取备份的SAM;窃听口令交换,口令策略,使用密码强度及账户老化、锁定策略；设置最小的密码程度为8个字符，最短密码时间为1-7天，最长密码时间为42天，最小的密码历史轮回为6，失败登陆尝试为3，账户锁定为60分钟等。,用户教育,口令禁忌:不要选择可以在任何字典或语言中找到的口令不要选择简单字母组成的口令不要选择任何指明个人信息的口令不要选择包含用户名或相似类容的口令不要选择短于6个字符或仅包含字母或数字的口令不要选择作为口令范例公布的口令,管理员注意事项,确保每个用户都有一个有效的口令；对用户进行口令教育；使用防止用户选择弱口令的配置与工具；进行口令检查，确保没有弱口令；确保系统与网络设备没有缺省账号和口令；不要在多个机器上使用相同的口令；从不记录也不与他人共享密码；,管理员注意事项,从不将网络登录密码用作其他用途；域Administrators账户和本地Administrators帐户使用不同的密码；小心地保护在计算机上保存密码的地方；对于特权用户强制30天更换一次口令，一般用户60天更换；使用VPN、SSH、一次性口令等安全机制.,NullSession,NullSession（空连接）连接也称为匿名登陆，这种机制允许匿名用户通过网络获得系统的信息或建立未授权的连接。它常被诸如explorer.exe的应用来列举远程服务器上的共享。非授权主机可以是网络里所有的主机，即这个主机不需要有访问服务器的任何权限。任何一台主机都可以和服务器之间建立一个NULLsession，这个NULLsession在服务器里属于everyone组。缺省情况下所有的用户都属于everyone这个组。everyone组没有很大的权力。但是可以利用它获取系统的用户信息。,NullSession,netuseserverIPC$/user:此命令用来建立一个空会话获得目标上的所有用户列表。包括服务器上有哪些组和用户。服务器的安全规则，包括帐户封锁、最小口令长度、口令使用周期、口令唯一性设置等。列出共享目录。读注册表。,NullSession,netviewserver此命令用来查看远程服务器的共享资源nettimeserver此命令用来得到一个远程服务器的当前时间。Atserver此命令用来得到一个远程服务器的调度作业,防御办法,屏蔽135-139，445端口（网络属性）去除NetBiosOverTCP/IP(在服务中去除server）修改注册表HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSAValueName:RestrictAnonymousDataType:REG_DWORDValue:1（2Win2000)参考KBarticlesQ143474,Q143475,Q161372,Q155363，Q246261,入侵实例,通过NetBIOS入侵139端口是NetBIOSSession端口，用来进行文件和打印共享，是NT潜在的危险。1、用NBTSTAT命令，用来查询NetBIOS信息。CnbtstatAx.x.x.x2、用netuse建立连接c:netusex.x.x.xipc$“密码”/user:”用户名”c:netviewx.x.x.xc:netusex:x.x.x.xc$c:dirx:/p注意：通过IPC$连接会在Eventlog中留下记录。,入侵实例,C:netuseIPC$“/user:admintitratorsC:copysrv.exeadmin$C:nettime的当前时间是2007/11/22上午11:53C:at11:55srv.exeC:telnet99,C:netuserguest/active:yesC:netuserguest1234C:netlocalgroupadministratorsguest/addC:netstarttelnet,帐号和口令,是否有密码过期策略密码过期策略包括密码最长存留期和最短存留期，最长存留期是指密码在多久后过期，最短存留期是指在多久后才可以修改密码开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略：#密码最长存留期，以天为单位，MAXDAYS天后密码过期，缺省为42天（建议不超过42天）#密码最短存留期，以天为单位，MINDAYS天后才可以修改密码，缺省为0（建议17天）,帐号和口令,检查Guest帐号Guest帐号是一个容易忽视的帐号，黑客可能修改该帐号权限，并利用该帐号登陆系统,没有激活,帐号和口令,系统是否使用默认管理员帐号默认管理员帐号可能被攻击者用来进行密码暴力猜测，建议修改默认管理员用户名。,Administrator用户名已被修改,帐号和口令,是否存在可疑帐号查看系统是否存在攻击者留下的可疑帐号，或检查主机操作人员遗留下的尚未删除的帐号。可禁用不需要帐号：,帐号和口令,检查系统中是否存在脆弱口令系统存在脆弱口令帐号可能导致攻击者轻易猜出帐号密码。强壮口令要求：8位或以上口令长度、大小写字母、数字、特殊符号,网络与服务,查看网络开放端口,查看监听端口,网络与服务,得到网络流量信息,网络与服务,检查主机端口、进程对应信息Fport-,网络与服务,查看系统已经启动的服务列表,网络与服务,查看主机是否开放了共享或管理共享未关闭。,文件系统,查看主机磁盘分区类型服务器应使用具有安全特性的NTFS格式，而不应该使用FAT或FAT32分区。开始|管理工具|计算机管理|磁盘管理,文件系统,检查特定文件的文件权限对于一些敏感文件权限需要进行修改，避免文件被恶意用户执行。,仅适用于NTFS分区,文件系统,检查特定目录的权限在检查中一般检查各个磁盘根目录权限、Temp目录权限,日志审核,检查主机的审核情况开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|审核策略,日志审核,检查系统日志大小、覆盖天数开始|运行|eventvwr|右键“系统”,可设置更大的空间存储日志,如果空间足够，建议手动清除日志,安全性增强,保护注册表，防止匿名访问默认权限并不限制对注册表的远程访问。只有管理员才应具有对注册表的远程访问权限，因为默认情况下Windows2000注册表编辑工具支持远程访问。对匿名连接的额外限制默认情况下，Windows系统允许匿名用户枚举主机帐号列表，获得一些敏感信息。开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项建议设置为“不允许枚举SAM帐号和共享”,安全性增强,检查是否登陆时间用完后自动注销用户开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项是否显示上次成功登陆的用户名开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项,安全性增强,是否允许未登陆系统执行关机命令开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项仅登陆用户允许使用光盘开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项,文件系统安全性增强,限制特定执行文件的权限未对敏感执行文件设置合适的权限建议禁止Guest组用户访问资源：,安全性增强,禁止匿名用户连接HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous”的值为0，将该值修改为“1”可以禁止匿名用户列举主机上所有用户、组、共享资源删除主机管理共享HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters，增加“Autoshareserver”项，并设置该值为“1”删除主机因为管理而开放的共享,安全性增强,禁止匿名用户连接HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous”的值为0，修改为“1”可以禁止匿名用户列举主机上所有用户、组、共享资源限制Guest用户权限禁止Guest帐号本地登录和网络登录的权限。避免Guest帐号被黑客激活作为后门,IIS服务安全配置,禁用或删除所有的示例应用程序示例只是示例；在默认情况下，并不安装它们，且从不在生产服务器上安装。请注意一些示例安装，它们只可从http:/localhost或访问；但是，它们仍应被删除。下面列出一些示例的默认位置。示例虚拟目录位置IIS示例IISSamplesc:inetpubiissamplesIIS文档IISHelpc:winnthelpiishelp数据访问MSADCc:programfilescommonfilessystemmsadc,IIS服务安全配置,启用或删除不需要的COM组件某些COM组件不是多数应用程序所必需的，应加以删除。特别是，应考虑禁用文件系统对象组件，但是要注意这将也会删除Dictionary对象。切记某些程序可能需要您禁用的组件。例如，SiteServer3.0使用FileSystemObject。以下命令将禁用FileSystemObject：regsvr32scrrun.dll/u删除IISADMPWD虚拟目录该目录可用于重置WindowsNT和Windows2000密码。它主要用于Intranet情况下，并不作为IIS5的一部分安装，但是IIS4服务器升级到IIS5时，它并不删除。如果您不使用Intranet或如果将服务器连接到Web上，则应将其删除。,IIS服务安全配置,删除无用的脚本映射IIS被预先配置为支持常用的文件名扩展如.asp和.shtm文件。IIS接收到这些类型的文件请求时，该调用由DLL处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下：打开Internet服务管理器。右键单击Web服务器，然后从上下文菜单中选择“属性”。主属性选择WWW服务|编辑|主目录|配置,IIS服务安全配置,基于Web的密码重设.htrInternet数据库连接器（所有的IIS5Web站点应使用ADO或类似的技术）.idc服务器端包括.stm、.shtm和.shtmlInternet打印.printer索引服务器.htw、.ida和.idq,IIS服务安全配置,设置适当的IIS日志文件ACL请确保IIS产生的日志文件(%systemroot%system32LogFiles)上的ACL是Administrators（完全控制）System（完全控制）Everyone(RWC)这有助于防止恶意用户为隐藏他们的踪迹而删除文件。设置适当的虚拟目录的权限请确保IIS的虚拟目录如scripts等权限设置是否最小化，删除不需要的目录。将iis目录重新定向不要使用系统默认的路径，自定义WEB主目录路径并作相应的权限设置。使用专门的安全工具微软的IIS安全设置工具：IISLockTool；是针对IIS的漏洞设计的，可以有效设置IIS安全属性。,SQLServer口令,设置强壮的SQLServerSA口令口令策略：8位或更高位数口令，包含大小写字母、数字和特殊符号,SQLServer补丁查询,用Isql或者SQL查询分析器登