Windows 2000系统安全管理(ppt 41页).ppt

Windows2000系统安全管理，系统帐户管理文件系统管理系统进程服务系统安全基本配置，用户类型，管理员(默认超级管理员)系统帐户(打印操作员，备份操作员)来宾(默认来宾帐户)，系统帐户管理，本地用户和组，帐户-定义用户在Windows中所需的信息，包括密码，安全标识(SID)，组成员资格，登录限制，组：管理员、备份操作员、来宾、超级用户、系统帐户管理、密码存储位置、注册表HKEY_LOCAL_MACHINESAM下的Winnt/system32/config/sam、系统帐户管理、窗口下的管理工具-计算机管理-本地用户和组-窗口(域)命令行模式下的用户管理器网络用户用户名密码/添加/删除将用户添加到组网络本地组组组组组组名用户名/添加/删除，添加/删除帐户、系统帐户管理、默认安装Win2000允许任何用户获取所有帐户列表/组但是远程用户也可以获得您的用户列表，并使用暴力破解用户密码。您可以通过更改注册表local _ machine system current control set control LSA-restrictanonymous=1来禁用139个空连接。同时，Windows的本地安全策略有一个选项，即RestrictAnonymous(对匿名连接的附加限制)。此选项有三个值：0:无。RelyonDefaultPermissions(无。取决于默认权限)1:DonotallowenumerationOnofsamaccountsendshares(不允许枚举SAM帐户和共享)2:noaccesswithetexplicityonymousPermissions(没有显式匿名权限，不允许访问)0，这是系统默认值，没有任何限制。远程用户可以知道所有帐户、组信息、共享目录、NetServerTransportEnum等。在你的机器上。1.该值为空允许非空用户访问SAM帐户信息和共享信息。2、这个值需要注意，如果使用这个值，共享的信息将完全完成。本地帐户、系统帐户管理、SAM数据库和AD，SAM中的密码存储由单向函数(OWF)或哈希算法在DC的% Systemroot % System32 Config SAM中实现，帐户和密码哈希存储在%systemroot%ntdsntds.dit中，SYSKEY函数由NT4sp3提供。样本号和令牌。样本号唯一标识一个对象。使用用户2标识号和sid 2用户工具执行双向查询令牌：SID标识帐户对象及其所属的组，SID-1-5-21-1507001333-1204550764-1011284298-500。令牌用户=s-1-21-s-1-5-21-1507001333-1204550764-1011284298-500 group 1=every one-1-1-0 group 2=管理员ss-1-5-32-544，解释SID，SIDS-1-5-21-1507001333-1204550764-1011284294具有唯一性，相对标识符RID，通常是常数，S-1-1-0每一个，S-1-2-0交互式用户，S-1-3-0创建者所有者，S-1-3-1创建者组，Windows 2000身份验证和授权访问，用户A，SRM，安全参考监视器，文件系统管理，特定权限的窗口系统用户：访问此计算机从网络使用户能够通过网络访问计算机。将工作站添加到域允许用户将工作站添加到域。备份文件和目录授权用户备份计算机的文件和目录。更改系统时间用户可以设置计算机的系统时钟。Loadandunloaddevicedrive允许在网络上安装和删除设备驱动程序。Restorefilesanddirectories允许用户恢复以前备份的文件和目录。关闭系统允许用户关闭系统。文件系统管理、Windows系统用户权限、适用于特定对象(如目录和文件)的权限(仅适用于NTFS卷)、指定允许哪些用户使用这些对象以及如何使用它们(如向指定用户授予对目录的访问权限)。权限分为目录权限和文件权限。每个权限级别决定了执行特定任务组合的能力，这些任务是：读取(R)、执行(X)、写入(W)、删除(D)、设置权限(P)和接管(O)。、文件系统管理、窗口系统用户权限、目录权限、文件权限、窗口系统用户权限、窗口系统共享权限、从一个NTFS分区复制或移动到另一个NTFS分区都是继承权限(不同分区，移动=复制删除)相同的NTFS分区复制：继承移动：保留复制或移动到FAT(32)分区NTFS权限丢失、文件传输权限、文件系统管理、系统进程和服务、窗口系统服务、服务启动类型：自动、手动、在Win2000启动时禁用自动加载服务手动-在Win2000时不自动加载服务需要时手动打开和禁用-Win2000在启动时不会自动加载服务。当需要时，选择手动或自动打开服务，并重新启动计算机以完成服务的配置注册表项：HKEY _ LOCAL _ MACHINE SYSTEM CURRENT CONtrol SET 服务下的每个服务项子项都有一个“开始”值，该值记录应该何时加载服务项驱动程序。目前，视窗系统有五个开始内容的定义：0，1，2，3和4。0、1和2分别代表启动、系统和自动加载。另一方面，开始值为3的服务项目表示允许用户手动加载命令，4表示禁用。视窗系统进程基本系统进程smss.exeSessionManagercsrss.exe子系统服务器进程winlogon.exe用户登录管理services.exe包含许多系统服务(DNS、NetBIOS、)lsass.exe管理知识产权安全政策，并启动ISAKMP/奥克利(IKE)和IPSEC安全驱动程序。Svchost.exe包含许多系统服务(RPC、红外设备、移动设备.)斯波尔索夫。Exe将文件加载到内存中，以便以后打印。Explorer.exe资源经理winmgmt.exe提供系统管理信息。Internat.exe输入法，附加系统进程(这些进程不是必需的)mstask.exe允许程序在指定时间运行，也称为任务服务。Regsvc.exe允许远程注册操作。Inetinfo.exe通过互联网信息服务管理部门提供FTP连接和管理。Tlntsvr.exe允许远程用户登录系统并使用命令行运行控制台程序(telnet)。Termsrv.exe提供多会话环境，允许客户端设备访问虚拟窗口2000专业桌面会话和运行在服务器上的基于窗口的程序。视窗系统进程、系统安全基本配置、系统安全基本配置、视窗系统安装本地安全策略设置补丁程序库更新紧急修复、视窗系统安装、在NTFS分区上安装系统、系统、数据、应用程序应安装在不同的分区上。初始化硬盘只有一个逻辑磁盘。建议至少建立三个分区，一个系统分区和两个应用程序分区。这是因为在Windows中IIS通常有一个源代码泄漏/溢出漏洞。如果系统和IIS放在同一个驱动器上，系统文件将被泄露，甚至入侵者将远程获得ADMIN权限。建议的安全配置是设置三个逻辑驱动器，第一个大于2G，用于安装系统和重要的日志文件，第二个是放置IIS或FTP，第三个是放置其他应用程序或数据。这样，无论是IIS还是FTP都有一个安全漏洞，它不会直接影响系统目录和系统文件。您知道，IIS和FTP是外部服务，很容易出现问题。将IIS和FTP分开的主要目的是防止入侵者从IIS上传程序并运行它们。系统安装、组件定制：默认情况下，系统会安装一些常用的组件，但这种默认安装极其危险，黑客可以进入任何默认安装的系统。安装时，您应该确切地知道您需要哪些服务，并且只安装您真正需要的服务。根据安全原则，最低服务，最低权限=最高安全。例如，典型的网络服务器所需的最小组件选择是只安装IIS组件、IIS管理单元和WWWServer组件。如果您真的需要安装其他组件，请小心，特别是：索引服务、前页面2000服务器扩展、互联网服务管理器(HTML)，这些都是危险的服务。，安装后网络访问：当安装过程中出现漏洞时，在您输入管理员密码后，系统将自动建立ADMIN$共享，但它不受您刚才输入的密码的保护，这种情况将持续到您再次启动。在此期间，任何人都可以通过ADMIN$ 1进入您的机器。同时，一旦安装完成，各种服务就会自动运行，此时的服务器漏洞百出，非常容易受到入侵。因此，在完全安装和配置之前，不要将主机连接到网络。Windows系统安装、本地安全策略设置、帐户安全策略设置审核策略设置其他安全参数设置、帐户安全策略设置、重命名管理员、重命名来宾用户、关闭和更改其他用户设置，例如：本地安全策略-安全选项-启用不在登录屏幕上显示上次登录的用户名的策略中的IUSR_HOSTNAME(匿名访问互联网信息服务的内置帐户)。这样，系统不会自动显示上次登录的用户名。建议设置密码策略，建议设置帐户锁定策略，为远程访问定制密码策略，策略审查：Win2000默认安装不打开任何安全审查，建议审查是：过多的审查项目不仅会占用系统资源，还会导致管理员没有时间详细检查，从而失去审查的意义。审核策略设置，其他安全参数设置，其他安全参数设置，安全模板C : Winnt 安全模板目录包含在窗口系统中，安全模板应用程序运行-mmc控制台-添加/删除管理单元。添加-安全配置和分析，安全模板。创建新数据库-右键单击安全配置和分析域项目-选择打开数据库-键入新的数据库名称，然后按打开。选择要导入的安全配置文件，然后按“打开”。右键单击“安全配置和分析”-立即配置计算机。其他安全参数设置，为解决Windows2000造成的安全漏洞，共享方法1，修改注册表，具体步骤如下：1，删除2000启动时没有默认共享的c$，d$，winnt $HKEY _ local _ machine system current controlset services lanmanserver Parameters创建dword类型的数据2000professional是autosharewks=02，删除ipc$，admin$在注册表中共享的自动运行选项创建一个新项，可以任意重命名，修改在每个项目中，它分别被修改为netshareadmin$/del。对于其他安全参数设置，方法2的实际清理过程可以通过创建批处理文件delshare来实现. bat: echo修改注册表项，修改系统默认共享属性echo.echo生成delshare.reg准备修改注册表EchoWindowsRegistryEditorVersion 5.00 c : DELSARE . regechoHKEY _ LOCAL _ MAChine SYSTEM CurrentControlSet SerVices lanmanserver parametersc : delshare . regecho AutoshareWks =dword :00000000 Bug的中文版远远超过英文版，而且补丁通常至少要在半个月之后，也就是说，在微软宣布漏洞后的半个月内