windows系统安全加固ppt课件.pptxVIP

网络运行部安全培训 1 主要内容 Windows系统安全问题 Windows系统安全加固 2 操作系统安全问题 操作系统概述 操作系统安全概念 操作系统安全配置问题 操作系统安全漏洞问题 3 操作系统概述 MS DosWindows1 0 1985 Windows2 0 1987 Windows2 1 1988 windows3 0 1990 windows3 1 1992 Windows3 2 1994 4 操作系统概述 WIN9XWindows95 1995 Windows98 1998 Windows98SE 1999 WindowsMe 2000 5 操作系统概述 NT系列WindowsNT3 1 1993 WindowsNT3 5 1994 WindowsNT3 51 1995 WindowsNT4 0 1996 Windows2000NT5 0 2000 windowsxpNT5 1 2001 WindowsVistaNT6 0 2005 Windows7NT6 1 2009 Windows8NT6 2011 6 操作系统概述 NT系列WindowsServer2003 2003 WindowsServer2008 2008 WindowsHomeServer 2008 WindowsHPCServer2008 2010 7 Windows系统安全问题 操作系统概述 操作系统安全概念 操作系统配置问题 操作系统安全漏洞问题 8 操作系统安全概念 一般意义上说 一个操作系统是安全的 是指该系统能够控制外部对系统信息的访问 也就是说 只有经过授权的用户或代表该用户运行的进程才能读 写 创建和删除信息 9 操作系统安全概念 通俗地说身份认证解决的是 你是谁 你是否真的是你所声称的身份 访问控制解决的是 你能做什么 你有什么样的权限 10 操作系统安全概念 操作系统安全具有两层含义 一 是指操作系统设计时 通过权限访问控制 信息加密性保护 完整性鉴定等一些安全机制实现的安全 二 是指在操作系统使用过程中 考虑系统缺陷和应用环境的不安全因素而必须进行系统的安全配置 11 操作系统安全问题 操作系统概述 操作系统安全概念 操作系统配置问题 操作系统安全漏洞问题 12 操作系统安全配置问题 1 访问权限的恰当设置指利用操作系统提供的访问控制功能为用户和文件系统设置恰当的访问权限 2 系统的及时更新几乎所有操作系统都不同程度的存在着设计和程序缺陷 在应用中会产生安全漏洞 容易被病毒利用来侵入并攻击用户计算机 3 对于攻击的防范利用操作系统提供的各种功能及安装各种防范软件来提高系统的防护能力 13 操作系统安全问题 操作系统概述 操作系统安全概念 操作系统配置问题 操作系统安全漏洞问题 14 操作系统安全漏洞问题 几乎说有的操作系统都不是十全十美的 总存在些安全漏洞一些常见及重大的操作系统安全漏洞类型 1 缓冲区溢出漏洞2 TCP IP协议漏洞3 Web应用安全漏洞4 开放端口的安全漏洞 15 主要内容 Windows系统安全问题 Windows系统安全加固 16 Windows系统安全加固 1 保护账号2 设置安全的密码3 设置屏幕保护密码4 关闭不必要的服务5 关闭不必要的端口6 开启系统审核策略7 开启密码策略8 开启帐户锁定策略9 关闭系统默认共享10 禁止TTL判断主机类型11 修补操作系统漏洞12 其它安全设置 17 2 1保护账号 可以将guest帐号关闭 停用或改名 如果必需要用guest帐号的话 需将guest列入拒绝从 网络访问 名单中 如果没有共享文件夹和打印机 防止guest从网络访问计算机 关闭计算机以及查看日志 18 2 1 2限制用户数量 去掉所有的测试帐户 共享帐号和普通部门帐号等等 用户组策略设置相应权限 并且经常检查系统的帐户 删除已经不使用的帐户 帐户很多是黑客们入侵系统的突破口 系统的帐户越多 黑客们得到合法用户的权限可能性一般也就越大 对于WindowsNT 2000主机 如果系统帐户超过10个 一般能找出一两个弱口令帐户 所以帐户数量不要大于10个 这些不用的帐户可以去掉 19 2 1 2限制用户数量 20 2 1 3管理员账号改名 Windows主机中的Administrator帐号是不能被停用的 这意味着别人可以一遍又一边的尝试这个帐户的密码 把Administrator帐户改名可以有效的防止这一点 不要使用Admin之类的名字 改了等于没改 尽量把它伪装成普通用户 比如改成 guestone 具体操作的时候只要选中帐户名改名就可以了 21 2 1 3管理员账号改名 22 2 1 4建陷阱账号 陷阱帐号是创建一个名为 Administrator 的本地帐户 把它的权限设置成最低 什么事也干不了的那种 并且加上一个超过10位的超级复杂密码 这样可以让那些企图入侵者忙上一段时间了 并且可以借此发现它们的入侵企图 可以将该用户隶属的组修改成Guests组 密码为大于32位的数字 字符 符号密码 建立的陷阱帐号 23 2 1 4建陷阱账号 24 2 1 4建陷阱账号 25 2 2设置安全的密码 好的密码对于一个网络是非常重要的 但是也是最容易被忽略的 一些网络管理员创建帐号的时候往往用公司名 计算机名 或者一些别的一猜就到的字符做用户名 然后又把这些帐户的密码设置得比较简单 比如 welcome iloveyou 123456 或者和用户名相同的密码等 这样的帐户应该要求用户首此登陆的时候更改成复杂的密码 还要注意经常更改密码 这里给好密码下了个定义 安全期内无法破解出来的密码就是好密码 也就是说 如果得到了密码文档 必须花43天或者更长的时间才能破解出来 密码策略是42天必须改密码 26 2 3设置屏幕保护密码 设置屏幕保护密码是防止内部人员破坏服务器的一个屏障 注意不要使用OpenGL和一些复杂的屏幕保护程序 浪费系统资源 黑屏就可以了 将屏幕保护的选项 密码保护 选中就可以了 并将等待时间设置为最短时间 1分钟 27 2 4关闭不必要的服务 计算机里通常安装有了些不必要的服务 如果这些服务没有用的话 最好能将这些服务关闭 例如 为了能够在远程方便的管理服务器 很多机器的终端服务都是开着的如果开了要确认已经正确的配置了终端服务 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务 要留意服务器上开启的所有服务并每天检查 28 2 4关闭不必要的服务 29 2 5关闭不必要的端口 关闭端口意味着减少功能 如果服务器安装在防火墙的后面 被入侵的机会就会少一些 但是不可以认为高枕无忧了 可以在操作系统里来限制端口的访问 如图所示为从操作系统TCP IP里限制端口 只开放4个端口 30 2 6开启系统审核策略 审核策略在默认的情况下都是没有开启的 打开 控制面板 管理工具 本地安全设置 审核策略 31 2 6开启系统审核策略 从图中可以看到 9个审核策略都没有打开 最好将这些信息审核信息都打开 以便于以后出现安全事件的时候进行查找 双击要打开的审核策略选项 32 2 7开启密码策略 系统密码在默认的情况下都是没有开启的 打开 控制面板 管理工具 本地安全设置 审核策略 33 2 7开启密码策略 密码必须符合复杂性要求 选择 已启动 密码至少包含以下四种类别的字符中的三种 英语大写字母A B C Z英语小写字母a b c z西方阿拉伯数字0 1 2 9非字母数字字符 如标点符号 等最短密码长度6 8个字符密码最长存留期 设置为 90天强制密码历史 设置为 记住5个密码 34 2 8开启帐户锁定策略 系统帐户锁定策略在默认的情况下都是没有开启的 打开 控制面板 管理工具 本地安全设置 帐户锁定策略 35 2 8开启帐户锁定策略 36 2 9关闭系统默认共享 系统的共享为用户带来了众多麻烦 经常会有病毒通过共享来进入电脑 Windows2000 XP 2003版本的操作系统提供了默认共享功能 这些默认的共享都有 标志 意为隐含的 包括所有的逻辑盘 C D E 和系统目录Winnt或Windows admin 这些共享 可以在DOS提示符下输入命令NetShare查看 因为操作系统的C盘 D盘等全是共享的 这就给黑客的入侵带来了很大的方便 震荡波 病毒的传播方式之一就是扫描局域网内所有带共享的主机 然后将病毒上传到上面 下面给大家介绍5种可以关闭操作系统共享的方法 37 2 9关闭系统默认共享 38 2 9关闭系统默认共享 第一种方法 右键关系法 方法是打开 控制面板 管理工具 计算机管理 共享文件夹 共享 在相应的共享文件夹上右击停止共享即可 39 2 9关闭系统默认共享 如果采用第一种方法关闭共享 当用户重新启动计算机后 那些共享又会加上了 所以这种方法不能从根本上解决问题 第二种方法 批处理法 打开记事本 输入以下内容 记得每行最后要回车 netshareadmin deletenetsharec deletenetshared deletenetsharee delete 有几个硬盘分区就写几行这样的命令 将以上内容保存为NotShare bat 注意后缀 然后把这个批处理文件拖到 程序 启动 项 这样每次开机就会运行它 也就是通过net命令关闭共享 如果哪一天需要开启某个或某些共享 只要重新编辑这个批处理文件即可 把相应的那个命令行删掉 40 2 9关闭系统默认共享 第三种方法 注册表改键值法 单击 开始 运行 输入 regedit 确定后 打开注册表编辑器 找到 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services lanmanserver parameters 项 双击右侧窗口中的 AutoShareServer 项将键值由1改为0 这样就能关闭硬盘各分区的共享 AutoShareWks 项 也把键值由1改为0 关闭admin 共享 如果没有以上两项 可自己新建一个再改键值 41 2 9关闭系统默认共享 第四种方法 停止服务法 这种方法最简单 打开 控制面板 的 计算机管理 窗口中 单击展开左侧的 服务和应用程序 并选中其中的 服务 此时右侧就列出了所有服务项目 共享服务对应的名称是 Server 在进程中的名称为services 也是最彻底删除ipc 共享服务的办法 42 2 9关闭系统默认共享 43 2 9关闭系统默认共享 44 2 9关闭系统默认共享 第五种方法 卸载 文件和打印机共享 法 方法是右击 网上邻居 选 属性 在弹出的 网络和拨号连接 窗口中右击 本地连接 选 属性 从 此连接使用下列选定的组件 中选中 Microsoft网络的文件和打印机共享 后 单击下面的 卸载 再单击 确定 注意 本方法最大的缺陷是当在某个文件夹上右击时 弹出的快捷菜单中的 共享 一项消失了 因为对应的功能服务已经被卸载了 以后如果再想用共享时 需要重新加载这个协议 45 2 9关闭系统默认共享 46 2 10禁止TTL判断主机类型 黑客利用TTL Time To Live 活动时间 值可以鉴别操作系统的类型 通过Ping指令能判断目标主机类型 Ping的用处是检测目标主机是否连通 许多入侵者首先会Ping一下主机 因为攻击某一台计算机需要根据对方的操作系统是Windows还是Unix 如TTL值为128就可以认为系统为Windows2000 47 2 10禁止TTL判断主机类型 UNIX及类UNIX操作系统ICMP回显应答的TTL字段值为255微软WindowsNT 2K XP操作系统ICMP回显应答的TTL字段值为128微软Windows95操作系统ICMP回显应答的TTL字段值为32 48 2 10禁止TTL判断主机类型 修改TTL的值 比如将操作系统的TTL值改为111 方法是修改主键HKEY LOCAL MACHINE的子键 SYSTEM CURRENT CONTROLSET SERVICES TCPIP PARAMETERS中defaultTTL的键值 如果没有 则新建一个双字节项defaultTTL 然后将其值改为十进制的111 设置完毕 重新启动计算机 再用Ping指令 发现TTL的值已经被改成111了 49 2 10禁止TTL判断主机类型 50 2 11操作系统漏洞 通常方法有两个 第一 用系统自带补丁更新功能下载更新 搭建的WSUS服务器 第二 载三方软件更新 金山卫士 360等都有的 推荐使用第一种方式下载更新补丁 应安装最新的ServicePack补丁集 对服务器系统应先进行兼容性测试 WindowsXP的ServicePack为SP2 Windows2000的ServicePack为SP4 Windows2003的ServocePack为SP1 51 2 12其它设置 数据执行保护 选项卡 设置为 仅为基本Windows操作系统程序和服务启用DEP 防止在受保护内存位置运行有害代码 如需启用IIS服务 则将IIS升级到最新补丁 已安装IIS补丁包或IIS6 0 如对互联网开放WindowsTerminial服务 RemoteDesktop 需修改默认服务端口 HKEY LOCAL MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP Tcp找到 PortNumber 子项 会看到默00000D3D 它是3389的十六进制表示形式 使用十六进制数值修改此端口号 并保存新值 52 2 12其