第七章 Windows 操作系统安全.ppt

版权所有 盗版必纠 WindowsNT NewTechnology 是微软公司第一个真正意义上的网络操作系统 发展经过NT3 0 NT40 NT5 0 Windows2000 和NT6 0 Windows2003 WindowsXP等众多版本 并逐步占据了广大的中小网络操作系统的市场 但是在Windows系统里面有一些安全配置 在默认情况下是没有设置的 需要根据具体情况进行设置 第七章Windows操作系统安全 版权所有 盗版必纠 Windows2000安全配置安装Windows操作系统注意事项给操作系统打补丁 版权所有 盗版必纠 1 保护guest帐号可以将guest帐号关闭 停用或改名 如果必需要用guest帐号的话 需将guest列入拒绝从 网络访问 名单中 如果没有共享文件夹和打印机 防止guest从网络访问计算机 关闭计算机以及查看日志 保护帐号 版权所有 盗版必纠 2 限制用户数量去掉所有的测试帐户 共享帐号和普通部门帐号等等 用户组策略设置相应权限 并且经常检查系统的帐户 删除已经不使用的帐户 帐户很多是黑客们入侵系统的突破口 系统的帐户越多 黑客们得到合法用户的权限可能性一般也就越大 对于WindowsNT 2000主机 如果系统帐户超过10个 一般能找出一两个弱口令帐户 所以帐户数量不要大于10个 这些不用的帐户可以去掉 保护帐号 版权所有 盗版必纠 保护帐号 版权所有 盗版必纠 3 管理员帐号改名Windows2000中的Administrator帐号是不能被停用的 这意味着别人可以一遍又一边的尝试这个帐户的密码 把Administrator帐户改名可以有效的防止这一点 不要使用Admin之类的名字 改了等于没改 尽量把它伪装成普通用户 比如改成 guestone 具体操作的时候只要选中帐户名改名就可以了 如图11 3所示 保护帐号 版权所有 盗版必纠 保护帐号 版权所有 盗版必纠 4 建陷阱帐号陷阱帐号是创建一个名为 Administrator 的本地帐户 把它的权限设置成最低 什么事也干不了的那种 并且加上一个超过10位的超级复杂密码 这样可以让那些企图入侵者忙上一段时间了 并且可以借此发现它们的入侵企图 可以将该用户隶属的组修改成Guests组 密码为大于32位的数字 字符 符号密码 如图11 4所示 建立的陷阱帐号如图11 5所示 保护帐号 版权所有 盗版必纠 保护帐号 版权所有 盗版必纠 保护帐号 版权所有 盗版必纠 好的密码对于一个网络是非常重要的 但是也是最容易被忽略的 一些网络管理员创建帐号的时候往往用公司名 计算机名 或者一些别的一猜就到的字符做用户名 然后又把这些帐户的密码设置得比较简单 比如 welcome iloveyou letmein 或者和用户名相同的密码等 这样的帐户应该要求用户首此登陆的时候更改成复杂的密码 还要注意经常更改密码 这里给好密码下了个定义 安全期内无法破解出来的密码就是好密码 也就是说 如果得到了密码文档 必须花43天或者更长的时间才能破解出来 密码策略是42天必须改密码 设置安全的密码 版权所有 盗版必纠 设置屏幕保护密码是防止内部人员破坏服务器的一个屏障 注意不要使用OpenGL和一些复杂的屏幕保护程序 浪费系统资源 黑屏就可以了 将屏幕保护的选项 密码保护 选中就可以了 并将等待时间设置为最短时间 1分钟 如图11 6所示 设置屏幕保护密码 版权所有 盗版必纠 计算机里通常安装有了些不必要的服务 如果这些服务没有用的话 最好能将这些服务关闭 例如 为了能够在远程方便的管理服务器 很多机器的终端服务都是开着的 如果开了 要确认已经正确的配置了终端服务 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务 要留意服务器上开启的所有服务并每天检查 Windows中可禁用的服务及其相关说明如表11 1所示 关闭不必要的服务 版权所有 盗版必纠 关闭不必要的服务 版权所有 盗版必纠 关闭端口意味着减少功能 如果服务器安装在防火墙的后面 被入侵的机会就会少一些 但是不可以认为高枕无忧了 可以在操作系统里来限制端口的访问 如图11 7所示为从操作系统TCP IP里限制端口 只开放4个端口 关闭不必要的端口 版权所有 盗版必纠 审核策略在默认的情况下都是没有开启的 打开 控制面板 管理工具 本地安全设置 审核策略 如图11 8所示 开启系统审核策略 版权所有 盗版必纠 从图中可以看到 9个审核策略都没有打开 最好将这些信息审核信息都打开 以便于以后出现安全事件的时候进行查找 双击要打开的审核策略选项 出现如图11 9所示的界面 开启系统审核策略 版权所有 盗版必纠 系统密码在默认的情况下都是没有开启的 打开 控制面板 管理工具 本地安全设置 审核策略 如图11 10所示 开启密码策略 版权所有 盗版必纠 开启密码策略 版权所有 盗版必纠 系统帐户锁定策略在默认的情况下都是没有开启的 打开 控制面板 管理工具 本地安全设置 帐户锁定策略 如图11 11所示 开启帐户锁定策略 版权所有 盗版必纠 开启帐户锁定策略 版权所有 盗版必纠 下载操作系统最新的安全补丁可以下载一些工具如 奇虎360安全卫士等 打开奇虎360安全卫士软件主界面 选择 修复系统漏洞 选项 如图11 12 下载最新的补丁 版权所有 盗版必纠 下载最新的补丁 版权所有 盗版必纠 下载最新的补丁 版权所有 盗版必纠 系统的共享为用户带来了众多麻烦 经常会有病毒通过共享来进入电脑 Windows2000 XP 2003版本的操作系统提供了默认共享功能 这些默认的共享都有 标志 意为隐含的 包括所有的逻辑盘 C D E 和系统目录Winnt或Windows admin 这些共享 可以在DOS提示符下输入命令NetShare查看 如图11 15所示 因为操作系统的C盘 D盘等全是共享的 这就给黑客的入侵带来了很大的方便 震荡波 病毒的传播方式之一就是扫描局域网内所有带共享的主机 然后将病毒上传到上面 下面给大家介绍5种可以关闭操作系统共享的方法 关闭系统默认共享 版权所有 盗版必纠 关闭系统默认共享 版权所有 盗版必纠 第一种方法 右键关闭法 方法是打开 控制面板 管理工具 计算机管理 共享文件夹 共享 在相应的共享文件夹上右击停止共享即可 如图11 16所示 关闭系统默认共享 版权所有 盗版必纠 但是如果采用这种方法关闭共享 当用户重新启动计算机后 那些共享又会加上了 所以这种方法不能从根本上解决问题 第二种方法 批处理法 打开记事本 输入以下内容 记得每行最后要回车 netshareipc deletenetshareadmin deletenetsharec deletenetshared deletenetsharee delete 有几个硬盘分区就写几行这样的命令 将以上内容保存为NotShare bat 注意后缀 然后把这个批处理文件拖到 程序 启动 项 这样每次开机就会运行它 也就是通过net命令关闭共享 如果哪一天需要开启某个或某些共享 只要重新编辑这个批处理文件即可 把相应的那个命令行删掉 关闭系统默认共享 版权所有 盗版必纠 第三种方法 注册表改键值法 单击 开始 运行 输入 regedit 确定后 打开注册表编辑器 找到 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services lanmanserver parameters 项 双击右侧窗口中的 AutoShareServer 项将键值由1改为0 这样就能关闭硬盘各分区的共享 如果没有AutoShareServer项 可自己新建一个再改键值 然后还是在这一窗口下再找到 AutoShareWks 项 也把键值由1改为0 关闭admin 共享 最后到 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control Lsa 项处找到 restrictanonymous 将键值设为1 关闭IPC 共享 本方法必须重启机器才能生效 但一经改动就会永远停止共享 关闭系统默认共享 版权所有 盗版必纠 第四种方法 停止服务法 这种方法最简单 打开 控制面板 的 计算机管理 窗口中 单击展开左侧的 服务和应用程序 并选中其中的 服务 此时右侧就列出了所有服务项目 共享服务对应的名称是 Server 在进程中的名称为services 找到后右击它 在弹出的菜单中选择 属性 如图11 17所示 在弹出的Server属性界面当中选择 常规 标签 把 启动类型 由原来的 自动 更改为 已禁用 然后单击下面 服务状态 的 停止 再单击 确定 如图11 18所示 这样 系统中所有的共享都会去掉了 关闭系统默认共享 版权所有 盗版必纠 关闭系统默认共享 版权所有 盗版必纠 关闭系统默认共享 版权所有 盗版必纠 第五种方法 卸载 文件和打印机共享 法 方法是右击 网上邻居 选 属性 在弹出的 网络和拨号连接 窗口中右击 本地连接 选 属性 从 此连接使用下列选定的组件 中选中 Microsoft网络的文件和打印机共享 后 单击下面的 卸载 再单击 确定 如图11 19所示 关闭系统默认共享 版权所有 盗版必纠 关闭系统默认共享 版权所有 盗版必纠 注意 本方法最大的缺陷是当在某个文件夹上右击时 弹出的快捷菜单中的 共享 一项消失了 因为对应的功能服务已经被卸载了 以后如果再想用共享时 需要重新加载这个协议 关闭系统默认共享 版权所有 盗版必纠 黑客利用TTL Time To Live 活动时间 值可以鉴别操作系统的类型 通过Ping指令能判断目标主机类型 Ping的用处是检测目标主机是否连通 许多入侵者首先会Ping一下主机 因为攻击某一台计算机需要根据对方的操作系统是Windows还是Unix 如TTL值为128就可以认为系统为Windows2000 如图11 20所示 禁止TTL判断主机类型 版权所有 盗版必纠 禁止TTL判断主机类型 版权所有 盗版必纠 修改TTL的值 入侵者就无法入侵电脑了 比如将操作系统的TTL值改为111 方法是修改主键HKEY LOCAL MACHINE的子键 SYSTEM CURRENT CONTROLSET SERVICES TCPIP PARAMETERS中defaultTTL的键值 如果没有 则新建一个双字节项defaultTTL 如图11 21所示 然后将其值改为十进制的111 如图11 22所示 设置完毕 重新启动计算机 再用Ping指令 发现TTL的值已经被改成111了 如图11 23所示 禁止TTL判断主机类型 版权所有 盗版必纠 禁止TTL判断主机类型 版权所有 盗版必纠 如何安装一个电脑操作系统才是一个安全的操作系统呢 这是经常遇到的一个问题 安装一个安全的操作系统可以采用以下几步 1 拔掉网线 2 安装操作系统 3 安装软件防火墙 如Norton防火墙 天网防火墙 瑞星防火墙等 4 安装防病毒软件 如Norton 瑞星 江民 金山等 5 安装防恶意软件的软件 如360安全卫士 瑞星的卡卡 超级兔子等 6 给操作系统进行安全设置 如添加审核策略 密码策略 对帐号进行管理等 7 插上网线 给操作系统打补丁 可以采用360安全卫士等软件来打补丁 8 更新防火墙 防病毒 防恶意软件 包括病毒库 恶意软件库等 9 安装Easyrecovery 数据恢复软件 关于Easyrecovery软件的使用 会在后面19章是讲解 10 安装其它操作系统的应用软件 安装Windows操作系统注意事项 版权所有 盗版必纠 信息系统为什么会遭受黑客 病毒等的攻击呢 很多时候是因为没有对操作系统打补丁 作为信息系统的管理员来说 经常遇到的一个问题是如何一次性将电脑所有补丁都安装上 而不是使用互联网慢慢下载 一个一个安装呢 建议大家使用360安全卫士 这个软件不但能查杀恶意软件和木马 还可以对操作系统打补丁 打开360安全卫士主界面 如图11 24所示 给操作系统打补丁 版权所有 盗版必纠 给操作系统打补丁 版权所有 盗版必纠 给操作系统打补丁 版权所有 盗版必纠