项目六 WINDOWS系统安全.ppt

项目六操作系统安全防护 项目六操作系统安全防护 任务一设置文件权限任务二加密文件任务三配置注册表任务四配置安全策略任务五配置IPSEC和NETBIOS任务六协议过滤任务七审计 日志技能拓展操作系统配置检查列表 Winlogon SRM Test txtDACLREAD 彦清S 1 5 21 WRITE AdminitratorsS 1 5 32 544 Test txt 文件访问权限 设置文件权限 文件夹 文件的属性页 安全 设置文件权限 文件夹 文件的属性页 安全 左键点击 添加 按钮 Windows支持的文件系统 NTFS NTFileSystem 特点 NTFS文件系统称为卷 簇是基本的分配单位 由连续的扇区组成 NTFS卷可以位于一个硬盘分区上 也可以位于多个硬盘上 NTFS文件系统根据卷的大小决定簇的大小 1簇等于1 128个扇区 NTFS NTFileSystem NTFS安全性 文件和目录的权限 只有用户被赋予权限或者属于拥有权限的组才能对文件或目录进行操作 权限积累原则 拒绝访问优先 原则 文件权限优先原则 权限继承原则 拥有者 控制原则 文件内容的加密 加密文件系统 EFS EncryptedFilesystem 实现文件的DES加密 项目六操作系统安全与防护 任务一设置文件权限任务二加密文件任务三配置注册表任务四配置安全策略任务五配置IPSEC和NETBIOS任务六协议过滤任务七审计 日志 文件加密设置 文件夹 文件的属性页 常规 文件加密设置 文件夹 文件的属性页 常规 左键点击 高级 按钮 使用PGP加密 PGP软件的英文全名是 PrettyGoodPrivacy 是一个广泛用于电子邮件和其他场合的十分出色的加密软件 PGP实现了大部分浒的加密和认证的算法 如Blowfish CAST DES TripleDES IDEA RC2 RC4 RC5 Safer Safer SK等传统的加密方法 以及MD2 MD4 MD5 RIPEMD 160 SHA等散列算法 当然也包括D H DSA Elgamal RSA等公开密钥加密算法 PGP先进的加密技术使它成为最好的 攻击成本最高的安全性程序 使用PGP产生和管理密钥 PGP注册信息 使用PGP产生和管理密钥 产生密钥向导 使用PGP产生和管理密钥 输入用户名和电子邮件地址 使用PGP产生和管理密钥 输入并确认输入一个符合要求的短语 使用PGP产生和管理密钥 自动产生密钥 使用PGP产生和管理密钥 密钥产生向导完成 使用PGP产生和管理密钥 密钥管理窗口 使用PGP产生和管理密钥 生成了新的密钥 使用PGP进行加密 脱密和签名 验证 右击文件弹出菜单 使用PGP进行加密 脱密和签名 验证 加密文件的密钥选择对话框 使用PGP进行加密 脱密和签名 验证 输入口令进行签名 使用PGP进行加密 脱密和签名 验证 使用PGP销毁秘密文件确认销毁 使用PGP进行加密 脱密和签名 验证 请用户相互之间发布公钥 并利用电子邮件发送加密 签名的附件 再根据已有的公钥对加密 签名的文件进行脱密 验证 项目六操作系统安全与防护 任务一设置文件权限任务二加密文件任务三配置注册表任务四配置安全策略任务五配置IPSEC和NETBIOS任务六协议过滤任务七审计 日志 注册表 注册表 Registry 是微软公司从Windows95系统开始 至目前最新Win2000系统依然使用的是它 引入用于代替原先Win32系统里 ini文件 管理配置系统运行参数的一个全新的核心数据库 注册表 注册表采用 关键字 及其 键值 来描述登录项及其数据 在注册表编辑器右窗格中 保存的都是键值项数据 这些键值项数据可分为如下三种类型 字符串值 二进制值 DWORD值 注册表 结构 WINDOWS的注册表有五大根键 相当于一个硬盘被分成了五个分区 在 运行 对话框中输入Regedit 然后单击 确定 按钮 则可以运行注册表编辑器 如下页图示 虽然在注册表中 五个根键看上去处于一种并列的地位 彼此毫无关系 但事实上并非如此 注册表 配置界面 开始 运行 注册表 配置界面 开始 运行 注册表 文件 注册表 构造 注册表 安全 打开注册表编辑器 在Windows2000系统中 运行Regedit exe或Regedt32 exe就可以打开注册表编辑器 看到注册表中的关键字 如图6 2所示 Windows2000 Me XP注册表中系统预定义的5个主关键字 1 HKEY CLASSES ROOT主关键字 2 HKEY USERS主关键字 3 HKEY CURRENT USER主关键字 4 HKEY LOCAL MOCHINE主关键字 5 HKEY CURRENT CONFIG主关键字 HKEY CLASSES ROOT HKEY USERS主关键字 HKEY CURRENT USER主关键 HKEY LOCAL MOCHINE主关键字 HKEY CURRENT CONFIG主关键字 注册表的数据结构 1 注册表的显示方式根键 主键 子键及键值 注册表的数据结构 2 键值项数据 的组成 3 注册表中 键值项数据 类型 二进制值 BINARY 字符串值 SZ DWORD值 DWORD值 REG SZ REG MULTI SZ REG EXPAND SZ REG DWORD REG BINARY 注册表的备份和恢复 1 应用备份程序2 利用注册表编辑器3 用恢复控制台4 利用安装光盘5 利用紧急修复盘 备份程序Ntbackup 修改注册表以加强计算机系统的安全性 设置生存时间 关闭DirectDraw 防止重定向报文攻击 禁止响应ICMP路由通告报文 防止SYN洪水攻击 禁止C D 一类的缺省共享 修改注册表以加强计算机系统的安全性 禁止ADMIN 缺省共享 限制IPC 缺省空链接 不支持IGMP协议 设置arp缓存老化时间设置 禁止死网关检测技术 不支持路由功能 做NAT时放大转换的对外端口最大值 修改MAC地址 选择待编辑的主键 审核项目 修改注册表以加强计算机系统的安全性 超级兔子注册表优化 注册表优化工具软件 Windows优化大师注册表清理 注册表优化工具软件 项目六操作系统安全与防护 任务一设置文件权限任务二加密文件任务三配置注册表任务四配置安全策略任务五配置IPSEC和NETBIOS任务六协议过滤任务七审计 日志 安全策略 帐户安全策略 开始 管理工具 本地安全策略 安全策略 帐户安全策略 安全策略 本地安全策略 安全策略 本地安全策略 安全策略 本地安全策略 安全策略 公钥策略 安全策略 组策略 开始 运行 gpedit msc 项目六操作系统安全与防护 任务一设置文件权限任务二加密文件任务三配置注册表任务四配置安全策略任务五配置IPSEC和NETBIOS任务六协议过滤任务七审计 日志 IPSEC IP安全性对于保护网络安全传输的问题来说是一个非常好且有效的解决方案 因为 IP安全性是一个由不同软件供应商所支持的开放工业标准 它是一种在协议 服务和API的底层所实现的透明机制 它确保了数据的置信度和完整性 同时可以对发送者进行强有力的认证 IP安全性是一种非常灵活的机制 可以免遭潜在的可能攻击 它易于管理和设置 IPSEC 配置 NetBIOS NetBIOS 网络基本输入 输出系统 最初由IBM开发 MS利用NetBIOS作为构建LAN的上层协议 NetBIOS使得程序和网络之间有了标准的接口 方便应用程序的开发 并且可以移植到其他的网络中 NetBIOS位于OSI模型的会话层 也位于TCP IP之上 NetBIOS NetBIOS有两种通讯模式 会话模式 一对一通讯 LAN中的机器之间建立会话 可以传输较多的信息 并且可以检查传输错误 数据报模式 广播或者一对多的通讯 传输数据大小受限制 没有错误检查机制 也不必建立通讯会话 NetBIOSoverTCP IP 支持三种服务 名字服务 会话服务 数据报服务 NETBIOS 端口 NetBIOS Nullsession漏洞 Win2000中 nullsession是系统内置的一个功能 Windows的网络资源共享通过445端口和139端口 Null会话是同服务器建立的无信任支持的会话 Null会话也需要提供一个令牌 但是 令牌中不包含用户信息 但是有一个SID 所对应的用户名为AnonymousLogon 在用户列表中能看得到 Null会话的用途 有一些系统功能需要用到nullsession NetBIOS Nullsession漏洞 NullSession的条件通过139端口或者445端口 系统打开IPC 共享 做法 C netuse Ip address IPC u NetBIOS Nullsession漏洞对策 禁止135 139和445端口的使用 禁止SMB服务修改注册表HKLM SYSTEM CurrentControlSet Control LSA中的RestrictAnonymous 2 NetBIOS Nullsession漏洞对策 本地连接的属性页 Internet协议 TCP IP 高级 WINS WINS是名字服务 它是实现NetBIOS名字解析的一种方式 项目六操作系统安全与防护 任务一设置文件权限任务二加密文件任务三配置注册表任务四配置安全策略任务五配置IPSEC和NETBIOS任务六协议过滤任务七审计 日志 协议过滤 协议过滤ICF WindowsXP以后版本集成Internet连接防火墙 InternetConnectionFirewall 进程和服务管理 项目六操作系统安全与防护 任务一设置文件权限任务二加密文件任务三配置注册表任务四配置安全策略任务五配置IPSEC和NETBIOS任务六协议过滤任务七审计 日志 审计 日志 系统和网络日志文件目录和文件中不期望的改变程序执行中的不期望行为 审计 日志 审计的方法 模式匹配统计分析完整性分析 审计 日志 审计的配置 1 缺省安装情况下都是无审核 审计 日志 审计的配置 2 推荐的审核设置 审计 日志 审计的配置 2 文件访问相关的安全审计配置 文件夹 文件的属性页 安全 高级 审核 审计 日志 事件查看器 Windows日志分为三种 应用程序日志 系统日志 安全日志 审计 日志 其他日志 WWW日志和FTP日志 一般存储在 SYSTEM SYSTEM32 LOGFILES其他应用程序日志根据相关配置进行存储和查看 项目六操作系统安全与防护 任务一设置文件权限任务二加密文件任务三配置注册表任务四配置安全策略任务五配置IPSEC和NETB