Windows系统安全加固ppt课件.pptVIP

1 项目2Windows系统安全加固 项目1双机互连对等网络的组建 2 操作系统安全的概念 操作系统的安全防护研究通常包括以下几个方面的内容 1 操作系统本身提供的安全功能和安全服务 目前的操作系统本身往往要提供一定的访问控制 认证与授权等方面的安全服务 2 针对各种常用的操作系统 进行相关配置 使之能正确对付和防御各种入侵 3 保证操作系统本身所提供的网络服务能得到安全配置 只有经过授权的用户或代表该用户运行的进程才能读 写 创建或删除信息 3 一 WINDOWS密码设置实训 windows系统的安全审计和安全配置用户身份验证帐户的管理 设置各级帐户和密码 P196帐户安全防护P204帐户安全策略P206基于对象的访问控制P194windows系统的注册表P209windows系统常用的系统进程和服务的安全配置P220 为提高计算机WINDOWS操作系统的安全性 可作哪些安全配置 小组讨论 总结 3分钟 4 一 WINDOWS密码设置实训 XP与SERVER设置BIOS开机密码设置WINDOWS登录密码设置屏幕保护密码账户数据库密码 syskey 为防止别人非法使用你的计算机系统 可设置哪些密码 小组讨论 3分钟帐户的管理 设置各级帐户和密码 P196 5 一 什么样的密码才安全 下面列出几种最危险的密码 请千万不要使用 1 密码和用户名相同 2 密码为用户名中的某几个邻近的数字或字母 3 密码为连续或相同的数字或字母 4 将用户名颠倒或加前后缀作为密码 5 使用姓氏的拼音或英文名字作为密码 6 使用自己或亲友的生日作为密码 7 使用常用英文单词作为密码 8 使用6位以下的数字或英文字母作为密码 6 6 3账户管理与密码安全P196 账户与密码的使用通常是许多系统预设的防护措施 事实上 有许多用户的密码是很容易被猜中的 或者使用系统预设的密码 甚至不设密码 用户应该要避免使用不当的密码 系统预设密码或是使用空白密码 也可以配置本地安全策略要求密码符合安全性要求 英文大小写 数字 特殊字符 8位以上 7 小组为单位 讨论并配置5种密码 以XP或SERVER为例 设置进入BIOS的密码系统开机密码WINDOWS登录密码屏幕保护密码保护WINDOWS帐户数据库安全密码做一个启动U盘要求 小组内分工 每组同学要设置上述密码 并进行拷屏 文件名为 组名第6章作业1 DOC 8 任务1 密码安全配置P197 1 任务目标 1 了解操作系统密码安全的重要性 2 掌握密码安全配置的方法 2 任务内容 1 设置开机或BIOS密码 2 设置用户账户策略 3 设置用户账户锁定策略 3 完成任务所需的设备和软件装有WindowsServer2003操作系统的PC机1台 或WindowsServer2003虚拟机1台 9 用虚拟机设置BIOS开机密码 运行虚拟机 VM POWER POWERONTOBIOSSetSupervisorPassword超级用户口令SetUserPassword一般用户口令Save ExitSetup 10 2 添加WONDOWS用户密码 设置密码策略 1 用户 添加管理员用户 2 设置用户账户策略步骤1 选择 开始 程序 管理工具 本地安全策略 命令 打开 本地安全设置 窗口 在左侧窗格中 选择 安全设置 账户策略 密码策略 选项 如图2 14所示 11 步骤2 双击右侧窗格中的 密码长度最小值 策略选项 打开 密码长度最小值属性 对话框 选择 本地安全设置 选项卡 设置密码必须至少是6个字符 如图2 15所示 单击 确定 按钮 返回 本地安全设置 窗口 12 步骤3 在图2 14中 双击右侧窗格中的 密码最短使用期限 策略选项 打开 密码最短使用期限属性 对话框 设置 在以下天数后可以更改密码 为3天 如图2 16所示 单击 确定 按钮 返回 本地安全设置 窗口 13 步骤4 同理 设置 密码最长使用期限 为 14 天 设置 强制密码历史 为 10 个记住的密码 设置 密码必须符合复杂性要求 为 已启用 上述设置完成后的密码策略如图2 17所示 14 2 设置用户账户锁定策略用户账户锁定策略可以防止非法入侵者不断地猜测用户的账户密码 步骤1 在图2 17中 选择左侧窗格中的 账户锁定策略 选项 在右侧窗格中显示了账户锁定策略的三个策略项 如图2 18所示 15 步骤2 双击右侧窗格中的 账户锁定阈值 策略选项 打开 账户锁定阈值属性 对话框 选择 本地安全设置 选项卡 设置 在发生以下情况之后 锁定账户 为3次无效登录 如图2 19所示 16 步骤3 单击 确定 按钮 弹出 建议的数值改动 对话框 设置建议的 账户锁定时间 为 30分钟 复位账户锁定计数器 为 30分钟之后 如图2 20所示 单击 确定 按钮 完成账户锁定策略设置 17 防止内部人员破坏服务器的一个屏障 注意不要使用OpenGL和一些复杂的屏幕保护程序浪费系统资源 黑屏就可以了 3 设置屏幕保护密码 WINDOWS平台安全设置 18 4 XP账户数据库密码 二重密码保护 启动密码 就是在系统启动是显示的 在重新启动系统后 首先出现的就是提示你输入 启动密码 输入了正确的密码后就会出现WindowsXP的登录界面 输入用户名和密码后算是完全登录系统 1 设置启动密码开始 运行 输入 Syskey 命令 弹出 保证WindowsXP账户数据库安全 更新 在 启动密码 界面中点选 密码启动 单选框 2 取消这个系统启动密码 则在 启动密码 界面中点选 系统产生的密码 下面的 在本机上保存启动密码 确定后系统密码就会保存到硬盘上 在下次启动电脑时就不会再出现启动密码的窗口了 19 如果忘记了密码点办 小组讨论 思考 如何清除进入物理机的BIOS设置的密码 如何清除物理开机密码 如何探测WINDOWS登录密码 20 相邻两小组实训 常用密码破解 10分钟 互换机器去破解别组设置的密码 并总结方法破解方法与工具P198L0phtcrack WMICracker等 21 BIOS口令的清除由于System级口令保护的是整个系统 在未正确输入口令时不能进入系统 因而当任何 软 方法都无法奏效时 只能用 硬 方法解决 一般的主板在后备电池的附近都有一个 Ext Battery CMOSReset 或 JCMOS 的跳线 断开微机电源打开机箱 按照主板说明书上的解说找到它 并将其中的两个脚短接数秒钟 然后将跳线恢复原状 即可清除口令 有的主板还要求在放电短接状态开机才能彻底清除BIOS设置数据 具体做法应该参照主板说明书上的叙述 用工具软件或命令 22 WINDOWS本地账户实训P198 204 用带工具U盘或光盘启动 破解WINDOWSXP登录密码帐户查看方法与工具使用L0phtCrack5审计WindowsServer2003本地账户实训使用Cain审计WindowsServer2003本地账户实训要求 1 老师提供工具 小组内分工 每组同学要用上两个工具把查看到的本地账户密码信息进行拷屏 文件名为 组名第6章作业2 DOC 2 建议以小组为单位学会制作一个启动U盘 如大白菜 23 2 4项目实施 小组实训 206 2 4 1任务1 账户安全配置1 任务目标 1 了解操作系统账户安全的重要性 2 掌握账户安全配置的方法 2 任务内容 1 更改 Administrator 账户名称 2 创建一个陷阱账户 3 不让系统显示上次登录的账户名 3 完成任务所需的设备和软件装有WindowsServer2003操作系统的PC机1台 或WindowsServer2003虚拟机1台 24 4 任务实施步骤 1 更改 Administrator 账户名称由于 Administrator 账户是微软操作系统的默认系统管理员账户 且此账户不能被停用 这意味着非法入侵者可以一遍又一遍地猜测这个账户的密码 将 Administrator 重命名为其他名称 可以有效地解决这一问题 25 步骤1 选择 开始 程序 管理工具 本地安全策略 命令 打开 本地安全设置 窗口 如图2 1所示 26 步骤2 在左侧窗格中 选择 安全设置 本地策略 安全选项 选项 在右侧窗格中 双击 账户 重命名系统管理员账户 策略选项 打开如图2 2所示的对话框 将系统管理员账户名称 Administrator 改为一个普通的账户名称 如 huang 而不要使用如 Admin 之类的账户名称 单击 确定 按钮 27 步骤3 更改完成后 选择 开始 程序 管理工具 计算机管理 命令 打开 计算机管理 窗口 在左侧窗格中 选择 系统工具 本地用户和组 用户 选项 如图2 3所示 默认的 Administrator 账户名称已被更改为 huang 28 步骤4 在图2 3中 选择左侧窗格中的 组 选项 然后双击右侧窗格中的 Administrators 组名 打开 Administrators属性 对话框 默认只有 Administrator 账户 如图2 4所示 选中 Administrator 账户 单击 删除 按钮 将该账户删除 29 步骤5 在图2 4中 单击 添加 按钮 打开 选择用户 对话框 单击 高级 按钮 再单击 立即查找 按钮 双击对话框底部的 huang 选项 如图2 5所示 此时 在 输入对象名称来选择 文本框中自动出现了已经重命名的管理员账户名称 如 TEST huang 计算机名 账户名 如图2 6所示 30 步骤6 单击 确定 按钮返回 Administrators属性 对话框 再单击 确定 按钮完成系统管理员名称的更改 31 2 创建一个陷阱账户陷阱账户就是让非法入侵者误认为是管理员账户的非管理员账户 默认的管理员账户 Administrator 重命名后 可以创建一个同名的拥有最低权限的 Administrator 账户 并把它添加到 Guests 组 Guests 组的权限为最低 中 再为该账户设置一个超过20位的超级复杂密码 其中包括字母 数字 特殊符号等字符 这样可以使非法入侵者需花费很长的时间才能破解密码 借此发现它们的入侵企图 32 步骤1 选择 开始 程序 管理工具 计算机管理 命令 打开 计算机管理 窗口 在左侧窗格中 选择 系统工具 本地用户和组 用户 选项 然后右击 用户 选项 在弹出的快捷菜单中选择 新用户 命令 打开 新用户 对话框 如图2 7所示 步骤2 在 用户名 文本框中输入用户名 Administrator 在 密码 和 确认密码 文件框中输入一个较复杂的密码 单击 创建 按钮 再单击 关闭 按钮 33 步骤3 右击新创建的用户名 Administrator 在弹出的快捷菜单中选择 属性 命令 打开 Administrator属性 对话框 选择 隶属于 选项卡 如图2 8所示 从图中可见 Administrator 用户默认隶属于 Users 组 步骤4 单击 添加 按钮 打开 选择组 对话框 如图2 9所示 34 步骤5 单击 高级 按钮 再单击 立即查找 按钮 双击对话框底部的 Guests 组名 如图2 10所示 步骤6 单击 确定 按钮 返回 Administrator属性 对话框 此时已添加了 Guests 组 如图2 11所示 步骤7 在图2 11中 选中 Users 组名 单击 删除 按钮 再单击 确定 按钮 此时 Administrator 账户已设置为陷阱账户 35 3 不让系统显示上次登录的账户名默认情况下 登录对话框中会显示上次登录的账户名 这使得非法入侵者可以很容易地得到系统的一些账户名 进而做密码猜测 从而给系统带来一定的安全隐患 可以设置登录时不显示上次登录的账户名 来解决这一问题 36 步骤1 在 本地安全设置 窗口的左侧窗格中 选择 本地策略 安全选项 选项 步骤2 在右侧窗格中 找到并双击 交互式登录 不显示上次的用户名 选项 如图2 12所示 打开 交互式登录 不显示上次的用户名属性 对话框 在 本地安全设置 选项卡中 选中 已启用 单选按钮 如图2 13所示 单击 确定 按钮 37 组策略和注册表P209 组策略和注册表 是Windows系统中重要的两部控制台 组策略 管理员为用户和计算机定义并控制程序 网络资源及操作系统行为的主要工具 通过使用组策略可以设置各种软件 计算机和用户策略 注册表 注册表是Windows系统中保存系统软件和应用软件配置的数据库组策略设置就是在修改注册表中的配置 组策略使用了更完善的管理组织方法 可以对各种对象中的设置进行管理和配置 远比手工修改注册表方便 灵活 功能也更加强大 38 利用安全配置工具来配置安全策略 利用基于MMC 管理控制台 安全配置和分析工具配置服务器 运行 gpedit msc 组策略 计算机配置 管理模板 系统 关闭自动播放 所有驱动器 WINDOWS平台安全设置 39 注册表运行 REGEDITP210 是windows操作系统中的一个核心数据库 其中存放着各种参数 直接控制着windows的启动 硬件驱动程序的装载以及一些windows应用程序的运行 从而在整个系统中起着核心作用 1 HKEY CLASSES ROOT管理文件系统 记录的是Windows操作系统中所有数据文件的信息 主要记录不同文件的文件名后缀和与之对应的应用程序 当用户双击一个文档时 系统可以通过这些信息启动相应的应用程序 2 HKEY CURRENT USER该主键用于管理当前用户的配置情况 在这个主键中我们可以查阅计算机中登录的用户信息密码等相关信息 3 HKEY LOCAL MACHINE该主键用于管理系统中的所有硬件设备的配置情况 在该主键中存放的是用来控制系统和软件的设置 由于这些设置是针对那些使用Windows系统的用户而设置的 是一个公共配置信息 所以它与具体用户无关 4 HKEY USERS该主键用于管理系统中所有用户的配置信息 电脑系统中每个用户的信息都保存在该文件夹中 如用户在该系统中的一些口令 标识等 5 HKEY CURRENT CONFIG该主键用于管理当前系统用户的系统配置情况 如该用户自定义的桌面管理 需要启动的程序列表等信息 40 禁用注册表编辑器 小组实训 任务5 1 任务目标 1 了解操作系统注册表的作用 2 掌握注册表编辑器的禁用方法 2 完成任务所需的设备和软件装有WindowsServer2003操作系统的PC机1台 或WindowsServer2003虚拟机1台 41 3 任务实施步骤注册表是MicrosoftWindows中的一个重要的数据库 用于存储系统和应用程序的设置信息 Regedit exe是微软提供的一个编辑注册表的工具 是所有Windows系统通用的注册表编辑工具 Regedit exe可以进行添加修改注册表主键 修改键值 备份注册表 局部导入导出注册表等操作 Windows操作系统安装完成后 默认情况下Regedit exe可以任意使用 为了防止非网络管理人员恶意使用 应禁止Regedit exe的使用 42 步骤1 选择 开始 运行 命令 打开 运行 对话框 在对话框的 打开 文本框中输入 gpedit msc 命令 然后单击 确定 按钮 打开 组策略编辑器 窗口 步骤2 在窗口的左侧窗格中 选择 本地计算机 策略 用户配置 管理模板 系统 选项 如图2 52所示 43 步骤3 然后在右侧窗格中找到并双击 阻止访问注册表编辑工具 选项 打开 阻止访问注册表编辑工具属性 对话框 选中 已启用 单选按钮 如图2 53所示 单击 确定 按钮返回 组策略编辑器 窗口 44 步骤4 选择 开始 运行 命令 打开 运行 对话框 在对话框的 打开 文本框中输入 Regeidt exe 命令 然后单击 确定 按钮 系统将会提示 注册表编辑已被管理员禁用 信息 如图2 54所示 45 注册表应用的小设置 如何关闭CD自动播放功能打开注册表编辑器 进入主键 HKEY LOCAL MACHINE System CurrentControlSet Services CDRom 将 Autorun 键值更改为0 Hex 如何禁止U盘自启动HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies Explorer分支中找到 NoDriveTypeAutoRun 键值 如果没有 可以新建一个 数据类型为REG DWORD 修改其键值为十六进制 FF 46 防止黑客从远程访问注册表 修改Hkey current user下的子键 Software Microsoft windows currentversion policies 把DisableRegistryTools值改为0 类型为DWORD 锁定远程注册表访问 WINDOWS平台安全设置 47 下节预习问题 P220 进程是什么 如何关闭不响应的进程或病毒进程 端口是什么 服务是什么 端口与服务有什么联系 48 进程 端口和服务 进程它是操作系统动态执行的基本单元 在传统的操作系统中 进程既是基本的分配单元 也是基本的执行单元 每一个进程都有它自己的地址空间进程是一个 执行中的程序 程序是一个没有生命的实体 静态 硬盘 只有处理器赋予程序生命时 它才能成为一个活动的实体 我们称其为进程 动态 内存 任何程序要运行必创建对应的进程 线程 更小进程 49 50 51 WindowsServer2003的登录过程 52 关闭不用或有问题的进程 方法一 CTRL ALT DEL 方法三 利用工具如 优化大师 超级兔子或PCTOOLS中的PSKILL结束进程 冰刃 方法二 运行 CMDc ntsd cq ppid 为要关闭进程号 要求 老师提供IceSword120 cn工具 小组内分工 每组同学要用上述方法查看到本地进程信息 并会处理 53 端口 计算机 端口 是英文port的意译 可以认为是计算机与外界通讯交流的出口 硬件端口 其中硬件领域的端口又称接口 如 USB端口 串行端口等 软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口 是一种抽象的软件结构 包括一些数据结构和I O 基本输入输出 缓冲区 在网络技术中 端口 Port 有好几种意思 集线器 交换机 路由器的端口指的是连接其他网络设备的接口 如RJ 45端口 Serial端口等 TCP IP协议中的端口 是逻辑意义上的端口 如果把IP地址比作一间房子 端口就是出入这间房子的门 真正的房子只有几个门 但是一个IP地址的端口可以有65536 即 256 256 个之多 端口是通过端口号来标记的 端口号只有整数 范围是从0到65535 256 256 1 54 服务与端口的关系 一台拥有IP地址的主机可以提供许多服务 比如Web服务 FTP服务 SMTP服务等 这些服务完全可以通过1个IP地址来实现 主机是怎样区分不同的网络服务呢 实际上是通过 IP地址 端口号 来区分不同的服务的 一个通信连接中 源端口与目标端口并不是相同的 如客户机访问WWW服务器时 WWW服务器使用的是80端口 而客户端的端口则是系统动态分配的大于1023的随机端口 55 在TCP和UDP协议中 源端口和目标端口号共有65536个 216 0 65535 按对应的协议类型 端口有两种 TCP端口和UDP端口 由于TCP和UDP两个协议是独立的 因此各自的端口号也相互独立 比如TCP有235端口 UDP也可以有235端口 两者并不冲突 56 57 关闭不用的端口 管理好端口号在网络安全中有着非常重要的意义 黑客往往通过探测目标主机开启的端口号进行攻击 开启的端口可能被攻击者利用 如利用扫描软件 可以扫描到目标主机中开启的端口及服务 因为提供服务就有可能存在漏洞 58 查看端口的相关工具有 Windows系统中的netstat na命令 fport软件 activeport软件 superscan软件 VisualSniffer软件等 此类命令或软件可用来查看主机所开放的端口 冰刃 59 可以在网上查看各种服务对应的端口号和木马后门常用端口来判断系统中的可疑端口中 并通过软件查看开启此端口的进程 确定可疑端口和进程后 可以利用防火墙来屏蔽此端口 也可以通过选择本地连接 TCP IP 高级 选项 TCP IP筛选 启用筛选机制来过滤这些端口 一些端口常常会被攻击者或病毒木马所利用 如端口21 22 23 25 80 110 111 119 135 137 138 139 161 177 389 3389等 关于常见木马程序所使用的端口可以在网上查找到 60 小组实训P222 2 4 4任务4 服务安全配置1 任务目标 1 了解操作系统服务安全的重要性 2 掌握服务安全配置的方法 2 任务内容 1 关闭不必要的服务 工具 管理工具 服务 2 关闭不必要的端口 关闭服务 写IP安全策略 3 完成任务所需的设备和软件装有WindowsServer2003虚拟机1台 61 4 任务实施步骤 1 关闭不必要的服务禁止所有不必要的服务可以节省内存和大量的系统资源 提升系统启动和运行的速度 更重要的是 可以减少系统受攻击的风险 62 步骤1 查看服务 选择 开始 程序 管理工具 服务 命令 打开 服务 窗口 如图2 29所示 可见有很多服务已启动 63 步骤2 关闭服务 在图2 29中找到并双击 TaskScheduler 服务选项 打开 TaskScheduler的属性 对话框 如图2 30所示 单击 停止 按钮 停用 TaskScheduler 服务 再在 启动类型 下拉列表中选择 禁用 选项 这样下次系统重新启动时不会重新启用 TaskScheduler 服务 单击 确定 按钮 64 有些服务不能关 注意 如关闭有Vmware的相关服务 则虚拟机的相关功能不能用 如关闭了物理机中的VmwareDHCPservice或则虚拟机的DHCP服务 虚拟机无法获得IP 65 2 关闭不必要的端口每一项服务都对应相应的端口 比如众所周知WWW服务的端口为80 SMTP服务的端口为25 FTP服务的端口为21 TELNET服务的端口为23 等等 对于一些不必要的端口 应将它关闭 在Windows系统目录中的system32 drivers etc services文件中有公认端口和服务的对照表 如图2 31所示 66 用netstat命令查看本机开放的端口 系统内部命令netstat可显示有关统计信息和当前TCP IP网络连接的情况 它可以用来获得系统网络连接的信息 使用的端口和在使用的协议等 收到和发出的数据 被连接的远程系统的端口等 其语法格式为 netstat a e n s pprotocol r interval 步骤1 在 命令行提示符 窗口中 输入 netstat an 命令 查看系统端口状态 列出系统正在开放的端口号及其状态 如图2 32所示 可见系统开放的端口号有135 445 137 138 139等 67 关闭139端口 139端口是NetBIOS协议所使用的端口 在安装了TCP IP协议的同时 NetBIOS也会被作为默认设置安装到系统中 139端口的开放意味着硬盘可能会在网络中共享 网上黑客也可通过NetBIOS知道用户计算机中的一切 在以前的Windows版本中 只要不安装Microsoft网络的文件和打印共享协议 就可关闭139端口 但在WindowsServer2003中 只这样做是不行的 如果想彻底关闭139端口 具体步骤如下 68 步骤1 右击桌面上的 网上邻居 图标 在弹出的快捷菜单中选择 属性 命令 打开 网络连接 窗口 再右击 本地连接 图标 在弹出的快捷菜单中选择 属性 命令 打开 本地连接属性 对话框 如图2 33所示 69 步骤2 取消选择 Microsoft网络的文件和打印共享 复选框 即去掉 Microsoft网络的文件和打印共享 前面的 再选中 Internet协议 TCP IP 选项 单击 属性 按钮 打开 Internet协议 TCP IP 属性 对话框 如图2 34所示 70 步骤3 单击 高级 按钮 打开 高级TCP IP设置 对话框 在 WINS 选项卡中 选中 禁用TCP IP上的NetBIOS 单选按钮 如图2 35所示 步骤4 单击 确定 按钮 返回 Internet协议 TCP IP 属性 对话框 再单击 确定 按钮 返回 本地连接属性 对话框 单击 关闭 按钮 71 端口过滤假如计算机中安装了Internet信息服务 IIS 如果只打算浏览网页 可设置端口过滤 只允许TCP协议的80端口通过 而TCP协议的其他端口不允许通过 设置步骤如下 步骤1 在图2 35中 选择 选项 选项卡 如图2 36所示 步骤2 双击图中的 TCP IP筛选 选项 打开 TCP IP筛选 对话框 72 步骤3 选中 启用TCP IP筛选 所有适配器 复选框 选中 TCP端口 栏中的 只允许 单选按钮 单击 添加 命令 打开 添加筛选器 对话框 在 TCP端口 文本框中输入端口号 80 如图2 37所示 步骤4 单击 确定 按钮 返回 TCP IP筛选 对话框 再单击 确定 按钮 返回 高级TCP IP设置 对话框 73 关闭其他端口 在默认情况下 Windows操作系统的很多端口是开放的 用户在上网的时候 病毒和黑客可通过这些端口连上用户的计算机 所以应该关闭这些端口 比如TCP135 139 445 593 1025端口和UDP135 137 138 445端口 以及一些流行病毒的后门端口 如TCP2745 3127 6129端口 以及远程服务访问端口3389等 都需要被关闭才可解除隐患 74 2 4 3任务3 系统安全配置1 任务目标 1 了解操作系统的系统安全的重要性 2 掌握系统安全配置的方法 2 任务内容 1 自动更新Windows补丁程序 2 开启审核策略 3 关闭默认共享资源 4 关闭自动播放功能 3 完成任务所需的设备和软件装有WindowsServer2003操作系统的PC机1台 或WindowsServer2003虚拟机1台 75 4 任务实施步骤 1 自动更新Windows补丁程序几乎所有的操作系统都不是十全十美的 总是存在各种安全漏洞 这使非法入侵者有机可乘 因此 及时给Windows系统打上补丁程序 是加强Windows系统安全的简单 高效的方法 步骤1 右击桌面上的 我的电脑 图标 在弹出的快捷菜单中选择 属性 命令 打开 系统属性 对话框 76 步骤2 在 自动更新 选项卡中 选中 自动 推荐 单选按钮 如图2 21所示 系统默认在每天凌晨3时自动下载推荐的更新 并安装它们 77 2 开启审核策略P231 安全审核是WindowsServer2003最基本的入侵检测方法 当有非法入侵者对系统进行入侵时 都会被安全审核记录下来步骤1 在 本地安全设置 窗口中 选择 本地策略 审核策略 选项 右侧窗格中列出了审核策略列表 这些审核策略在默认情况下都是未开启的 如图2 22所示 78 步骤2 双击右侧窗格中的 审核登录事件 策略选项 打开 审核登录事件属性 对话框 在 本地安全设置 选项卡中 选中 成功 和 失败 复选框 如图2 23所示 单击 确定 按钮 79 步骤3 同理 根据需要设置其他审核策略 说明 以下是各种审核策略的含义 审核策略更改 审核对策略的改变操作 审核登录事件 审核账户的登录或注销操作 审核对象访问 审核对文件或文件夹等对象的操作 审核过程跟踪 审核应用程序的启动和关闭 审核目录服务访问 审核对活动目录的各种访问 审核特权使用 审核用户执行用户权限的操作 如更改系统时间等 审核系统事件 审核与系统相关的事件 如重新启动或关闭计算机等 审核账户登录事件 审核账户的登录或注销另一台计算机 用于验证账户 的操作 审核账户管理 审核与账户管理有关的操作 80 3 关闭默认共享资源Windows系统安装好后 为了便于远程管理 系统会创建一些隐蔽的特殊共享资源 如ADMIN C IPC 等 这些共享资源在 我的电脑 中是不可见的 一般情况下 用户不会去使用这些特殊的共享资源 但是非法入侵者却会利用它来对系统进行攻击 以获取系统的控制权 最典型的就是IPC 入侵 因此 系统管理员在确认不会使用这些特殊共享资源的情况下 应删除这些特殊的共享资源 81 说明 C D 等 允许管理人员连接到驱动器根目录下的共享资源 ADMIN 计算机远程管理期间使用的资源 该资源的路径总是系统根目录路径 安装操作系统的目录 如C Windows IPC 共享命名管理的资源 在程序之间的通信过程中 该命名管道起着至关重要的作用 在计算机的远程管理期间 以及在查看计算机的共享资源时使用IPC 不能删除该资源 系统重新启动后 被删除的特殊共享资源将会重新建立 因此 为保证不会出现特殊共享资源攻击 应使用批处理的方式在系统重启时自动进行删除操作 全部删除系统中的特殊共享资源 将影响系统提供的文件共享服务 打印共享服务等网络服务 删除前应仔细确认WindowsServer2003操作系统所扮演的角色 是作为单独的桌面操作系统使用 还是作为网络操作系统提供各种网络服务使用 82 步骤1 在 命令提示符 窗口中 输入 netshare 命令 查看共享资源 如图2 24所示 83 步骤2 输入 netshareADMIN delete 命令 删除ADMIN 共享资源 再输入 netshare 命令 验证是否已删除ADMIN 共享资源 如图2 25所示 同理 可删除C D 等共享资源 84 步骤3 IPC 共享资源不能被netshare命令删除 须利用注册表编辑器来对它进行限制使用 选择 开始 运行 命令 打开 运行 对话框 在对话框的 打开 文本框中输入 regedit 命令 然后单击 确定 按钮 打开注册表编辑器 找到组键HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control Lsa中的restrictanonymous子键 将其值改为1 如果没有这个子键 则新建它此时一个匿名用户仍然可以空连接到IPC 共享 但无法通过这种空连接列举SAM账号和共享信息的权限 枚举攻击 85 86 4 关闭自动播放功能现在很多病毒 如U盘病毒 会利用系统的自动播放功能来进行传播 关闭系统的自动播放功能可以降低病毒传播的风险 步骤1 选择 开始 运行 命令 打开 运行 对话框 在对话框的 打开 文本框中输入 gpedit msc 命令 然后单击 确定 按钮 打开 组策略编辑器 窗口 87 步骤2 在窗口的左侧窗格中 选择 本地计算机 策略 计算机配置 管理模板 系统 选项 然后在右侧窗格中找到并双击 关闭自动播放 选项 如图2 27所示 打开 关闭自动播放属性 对话框 88 步骤3 在 设置 选项卡中 选中 已启用 单选按钮 并在 关闭自动播放 列表中选择需要的选项 如 所有驱动器 如图2 28所示 单击 确定 按钮 注意 关闭自动播放 设置是只能使系统不再列出光盘和移动存储设备的目录 并不能够阻止自动播放音乐CD盘 要阻止音乐CD的自动播放 可更改移动存储设备的属性 89 拓展提高 Windows系统的安全模板P235 1 什么是安全模板安全模板是由WindowsServer2003支持的安全属性的文件 inf 组成的 安全模板将所有的安全属性组织到一个位置 以简化安全性管理 安全模板包含了安全性信息账户策略 本地策略 事件日志 受限制的组 系统服务 注册表 文件系统等共7类 安全模板也可以用做安全分析 通过使用安全模板管理单元 可以创建对网络或计算机的安全策略 安全模板是代表安全配置的文本文件 将其应用于本地计算机 导入到组策略或使用安全模板来分析安全性 90 1 默认安全设置 setupsecurity inf setupsecurity inf代表在安装操作系统期间所应用的默认安全设置 其中包括对系统驱动器的根目录的文件权限 此模板的某些部分可应用于故障恢复 2 兼容 compatws inf 工作站和服务器的默认权限主要授予3个本地组 Administrators PowerUsers和Users Administrators享有最高的权限 而Users的权限最低 不要将兼容模板应用到域控制器 91 3 安全 secure inf 安全模板定义了至少可能影响应用程序兼容性的增强安全设置 例如 安全模板定义了更严密的密码 锁定和审核设置 此外 安全模板还限制了LANManager和NTLM身份认证协议的使用 其方式是将客户端配置为仅可发送NTLMv2响应 而将服务器配置为可拒绝LANManager的响应 安全模板细分为securews inf和securedc inf securews inf应用于成员计算机 securedc inf应用于服务器 92 4 高级安全 hisec inf 高级安全模板是对加密和签名做进一步限制的安全模板的扩展集 这些加密和签名是进行身份认证和保证数据通过安全通道以及在SMB客户机和服务器之间进行安全传输所必需的 例如 安全模板可以使服务器拒绝LANManager的响应 而高级安全模板则可以使服务器同时拒绝LANManager和NTLM的响应 安全模板可以启用服务器端的SMB数据包签名 而高级安全模板则要求这种签名 此外 高级安全模板还要求对安全通道数据进行强力加密和签名 从而形成域到成员以及域到域的信任关系 高级安全模板细分为hisecws inf和hisecdc inf 一般 hisecws inf应用于普通服务器 hisecdc inf应用于域控制器 93 5 系统根目录安全 rootsec inf rootsec inf可以指定由WindowsServer2003所引入的新的根目录权限 默认情况下 rootsec inf为系统驱动器根目录定义这些权限 如果不小心更改了根目录权限 则可以利用该模板重新应用根目录权限 或者通过修改模板对其他卷应用相同的根目录权限 94 3 使用安全模板运行 mmc exe 命令 打开控制台 选择菜单 文件 添加 删除管理单元 命令 把 安全模板 添加到控制台中 双击 安全模板 选项 可以看到几个预定义的安全模板 如图2 55所示 这些模板保存在 systemroot security templates中 用户也可以创建包含安全设置的自定义安全模板 95 双击要修改的安全策略 根据需要进行修改后 右击已修改的安全配置模板的名称 然后选择 另存为 命令 新建一个模板 96 知识拓展 自学内容 Windows系统体系结构WindowsServer2003的安全模型Windows安全子系统结构漏洞与后门 97 Windows系统体系结构 98 WindowsServer2003的安全模型 安全策略 CorporateSecurityPolicy 审计Audit 管理Administration Windows的安全包括6个主要的安全元素 审计 Audit 管理 Administration加密 Encryption权限控制 AccessControl用户认证 UserAuthentication安全策略 CorporateSecurityPolicy WindowsNT 2K系统内置支持用户认证 访问控制 管理 审核 99 Windows安全子系统结构 本地安全策略 Kerberos 审核日志 MSV1 0 Netlogon WindowsNT客户和服务器 Windows2000客户和服务器 SAM 登录 本地安全授权 LSA 提供Windows目录服务和复制 它支持轻量级目录访问协议 LDAP 和数据的管理部分 Windows中默认的身份验证协议 它用于Windows2000计算机之间以及支持Kerberos身份验证的客户之间的所有身份验证 安全子系统的中心组件 它促使访问令牌 管理本地计算机上的安全策略并向用户登录提供身份验证 用于WindowsNT身份验证的身份验证包 它用于为不支持Kerberos身份验证的Windows客户提供兼容支持 一个内核模式组件 它可以避免任何用户或进程直接访问对象而且还可以验证所有对象访问 它还生成相应的审核消息 是本地用户和工作组的一个数据库 用于对本地用户的登录身份进行验证以及对所有登录的用户权限进行设置 100 漏洞与后门1 漏洞漏洞即某个程序 包括操作系统 在设计时未考虑周全 当程序遇到一个看似合理 但实际无法处理的问题时 引发的不可预见的错误 系统漏洞又称安全缺陷 对用户造成的不良后果有 如漏洞被恶意用户利用 会造成信息泄漏 例如 黑客攻击网站即利用网络服务器操作系统的漏洞 对用户操作造成不便 例如 不明原因的死机和丢失文件等 101 可见 仅有堵住系统漏洞 用户才会有一个安全和稳定的工作环境 漏洞的产生大致有以下3个原因 编程人员的人为因素 在程序编写过程中 为实现不可告人的目的 在程序代码的隐蔽处留有后门 受编程人员的能力 经验和当时安全技术所限 在程序中难免会有不足之处 轻则影响程序效率 重则导致非授权用户的权限提升 由于硬件原因 使编程人员无法弥补硬件的漏洞 从而使硬件的问题通过软件表现出来 几乎所有的操作系统都不是十全十美的 总是存在各种安全漏洞 102 2 后门后门又称为BackDoor 是绕过安全性控制而获取对程序或系统访问权的方法 在软件的开发阶段 程序员常会在软件内创建后门以便可以修改程序中的缺陷 如果后门被其他人知道 或是在发布软件之前没有删除后门 那么它就成了安全风险 103 后门产生的必要条件有 必须以某种方式与其他终端节点相连 因为都是从其他节点访问后门 因此必须使用双绞线 光纤 串 并口 蓝牙 红外等设备与目标主机连接才可以对端口进行访问 只有访问成功 双方才可以进行信息交流 攻击方才有机会进行入侵 目标主机默认开放的可供外界访问的端口必须在一个以上 因为一台默认无任何端口开放的机器是无法进行通信的 而如果开放的端口无法被外界访问 则目标主机同样不可能遭到入侵 目标机存在程序设计或人为疏忽 导致攻击者能以权限较高的身份执行程序 并不是任何一个权限的帐号都能够被利用的 只有权限达到操作系统一定要求后 才允许执行修改注册表 修改日志记录等操作 104 后门的分类方式有多种 为了便于大家理解 下面从技术方面来考虑后门的分类方法 网页后门 这类后门一般都是利用服务器上正常的Web服务来构造自己的连接方式 比如现在非常流行的ASP CGI脚本后门等 线程插入后门 利用系统自身的某个服务或者线程 将后门程序插入到其中 这也是现在最流行的一个后门技术 扩展后门 所谓的 扩展 是指在功能上有大的提升 比普通的单一功能的后门有更强的使用性 这种后门本身就相当于一个小的安全工具包 能实现非常多的常见安全功能 105 C S后门 采用 客户端 服务器 的控制方式 通过某种特定的访问方式来启动后门 从而达到控制服务器的目的 rootkit rootkit出现于20世纪90年代初 在1994年2月的一篇安全咨询报告中首先使用了rootkit这个名词 rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具 通常 攻击者通过远程攻击获得root访问权限 进入系统后 攻击者会在侵入的主机中安装rootkit 然后他将经常通过rootkit的后门检查是否有其他的用户登录系统 如果只有自己 攻击者就开始清理日志中的有关信息 通过rootkit的嗅探器获得其他系统的用户和密码之后 攻击者就会利用这些信息侵入其他系统 106 3 漏洞与后