网络安全员培训-2操作系统配置

1、第二章 操作系统配置 课程内容课程内容操作系统安全操作系统安全l 系统用户安全系统用户安全l 文件系统安全文件系统安全l 权限管理权限管理l 系统进程系统进程l 系统服务系统服务l 系统加固系统加固l 系统备份与恢复系统备份与恢复Windows 2003Windows 2003基本安装配置基本安装配置基本安装配置基本安装配置1.1.分区选择分区选择 NTFSNTFS分区分区内容内容分区1系统分区分区2应用程序安装分区3数据分区Windows 2003Windows 2003基本安装配置基本安装配置l 安装目录选择（默认安装目录安装目录选择（默认安装目录 C:winnt）l 卸载多余组件（卸载多

2、余组件（IIS）和多余软件）和多余软件l 及时升级或更换程序及时升级或更换程序l 停止多余的服务（停止多余的服务（Alerter警报器服务）警报器服务） 系统启动时会启动很多不必要的服务系统启动时会启动很多不必要的服务 服务启动类型：自动，手动，禁用服务启动类型：自动，手动，禁用l 安装系统补丁安装系统补丁l 修改配置或权限修改配置或权限l 安装安全工具软件安装安全工具软件l 对病毒与木马定期查杀对病毒与木马定期查杀WindowsWindows操作系统安全管理操作系统安全管理WindowWindow注册表管理介绍注册表管理介绍注册表是注册表是Microsoft WindowsMicrosoft

3、 Windows中的一个重要的数据库，用于存储系统和中的一个重要的数据库，用于存储系统和应用程序的设置信息。系统设置和缺省用户配置数据存放在系统应用程序的设置信息。系统设置和缺省用户配置数据存放在系统 系统系统文件夹文件夹SYSTEM32CONFIGSYSTEM32CONFIG文件夹下的文件夹下的6 6个文件个文件 DEFAULT DEFAULT、SAMSAM、SECURITYSECURITY、SOFTWARESOFTWARE、USERDIFFUSERDIFF和和SYSTEMSYSTEM中中注册表打开方式：注册表打开方式：regeditregeditWindows Windows 注册表注册表

4、l HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE：显示控制系统和软件的处理键：显示控制系统和软件的处理键 , ,保存计算保存计算机的系统信息机的系统信息l HKEY_CLASSES_ROOTHKEY_CLASSES_ROOT：是：是HKLMClassesHKLMClasses的映射，包含了所有应用的映射，包含了所有应用程序运行时必需的信息程序运行时必需的信息l HKEY_CURRENT_CONFIGHKEY_CURRENT_CONFIG：当前硬件配置信息的映射：当前硬件配置信息的映射l HKEY_USERSHKEY_USERS：保存缺省用户信息和当前登陆用户信息：保

5、存缺省用户信息和当前登陆用户信息l HKEY_CURRENT_USERHKEY_CURRENT_USER：系统现有的所有配置文件的细节：系统现有的所有配置文件的细节Windows Windows 注册表注册表注册表故障的主要原因注册表故障的主要原因l 病毒，木马等病毒，木马等l 应用程序或驱动更改应用程序或驱动更改l 硬件设备改变或硬件失败硬件设备改变或硬件失败l 用户对注册表进行了修改用户对注册表进行了修改Windows Windows 注册表注册表注册表安全注册表安全l 权限设置权限设置l 注册表禁用及恢复注册表禁用及恢复HKEY_CURRENT_USERSoftwareMicrosoft

6、WindowsCurrentVersionPoliciesSystemDisableRegistryTools=dword:00000001恢复：恢复：gpedit.mscgpedit.msc用户配置用户配置管理模块管理模块系统系统-阻止访问注册表工具阻止访问注册表工具l 备份注册表备份注册表Windows Windows 注册表注册表注册表添加、修改、删除操作注册表添加、修改、删除操作Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsbHKEY_LOCAL_MACHINE

7、SYSTEMCurrentControlSetControlLsbRestrictanonymous2=dword:00000000-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsbHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsbRestrictanonymous2=-修改注册表保护系统安全修改注册表保护系统安全HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 新建新建 DWORD值值值名为值名

8、为 AutoShareServer 数据值为数据值为0 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 新建新建 DWORD值值值名为值名为 AutoShareWks 数据值为数据值为0 禁止系统自动启用共享禁止系统自动启用共享 禁止系统自动启动管理共享禁止系统自动启动管理共享防止小规模防止小规模DOSDOS攻击攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建新建 DWORD值值值名为值名为 SynAttac

9、kProtect 数据值为数据值为1 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 新建新建 DWORD值值值名为值名为 RestrictAnonymous 数据值为数据值为1 2003默认为默认为1 禁止空连接（共享命名管道的资源）禁止空连接（共享命名管道的资源）WindowsWindows用户安全管理用户安全管理l 重命名系统管理员账号重命名系统管理员账号l 新建新建1个自己用的账号个自己用的账号l 建立建立1个无用户组的个无用户组的Administrat账户账户l 禁用禁用”guest”账户账户l 不显示上次登陆名（两种方法）不显

10、示上次登陆名（两种方法）gpedit.msc“本地计算机策略本地计算机策略”Windows设置设置安全设置安全设置本地策略本地策略安安全选项全选项交互式登录：不显示上次的用户交互式登录：不显示上次的用户HKLMSoftwareMicrosoftWindows NTCurrentVersionpoliciessystem的的DontDisplayLastUserName设为设为1。Windows 2003 Server Windows 2003 Server 访问控制访问控制用户权限用户权限Windows 2003 Server Windows 2003 Server 的默认安全设置可以为对的默

11、认安全设置可以为对 4 4 个默认组和个默认组和 3 3 个特个特殊组的权限许可。殊组的权限许可。l 管理员（管理员（AdministratorAdministrator）：执行操作系统所有功能）：执行操作系统所有功能l 用户（用户（usersusers）：提供了一个最安全的程序运行环境。）：提供了一个最安全的程序运行环境。l 超级用户（超级用户（Power usersPower users）：介于管理员和用户之间。）：介于管理员和用户之间。l 备份操作员（备份操作员（Backup OperatorsBackup Operators）：备份和还原计算机的文件。）：备份和还原计算机的文件。l 特

12、殊组特殊组 交互组：包含当前登录到计算机的用户。交互组：包含当前登录到计算机的用户。 网络组：包含通过网络远程访问系统的所有用户。网络组：包含通过网络远程访问系统的所有用户。 终端服务器用户组：包含使用终端服务器登录到该系统的任何用户。终端服务器用户组：包含使用终端服务器登录到该系统的任何用户。Windows 2003 Server Windows 2003 Server 访问控制访问控制权限原则权限原则l 权限是累加的权限是累加的l 拒绝权限比允许限权高拒绝权限比允许限权高l 文件权限比文件夹权限高（只给用户最小的权限）文件权限比文件夹权限高（只给用户最小的权限）l 利用用户组来进行权限控制

13、利用用户组来进行权限控制l 权限最小化原则权限最小化原则Windows 2003 Server Windows 2003 Server 安全审核安全审核安全审核是安全审核是Windows 2003 ServerWindows 2003 Server的一项功能，负责监视各种与安全性有关的事件。应的一项功能，负责监视各种与安全性有关的事件。应该被审核的最普通的事件类型包括：该被审核的最普通的事件类型包括： l 访问对象，例如文件和文件夹。访问对象，例如文件和文件夹。l 用户帐户和组帐户的管理。用户帐户和组帐户的管理。l 用户登录到系统和从系统注销。用户登录到系统和从系统注销。访问文件夹的审核访问文

14、件夹的审核文件夹的审核：右击目录文件夹的审核：右击目录属性属性安全安全高级高级审核审核添加添加everyoneeveryone审核策略审核策略“开始开始”“程序程序”“管理工具管理工具”“本地安全策略本地安全策略”“审核策略审核策略”安全事件查看并分析安全事件查看并分析“开始开始”“程序程序”“管理工具管理工具”“事件查看器事件查看器”Windows 2003 Server Windows 2003 Server 系统日志文件系统日志文件Windows 2003 Windows 2003 默认文件大小默认文件大小512KB512KB，应用程序日志、安全日志、系统日志、，应用程序日志、安全日志、

15、系统日志、DNSDNS日志默日志默认位置：认位置：%systemroot%system32config%systemroot%system32config。安全日志文件：安全日志文件：%systemroot%system32configSecEvent.EVT%systemroot%system32configSecEvent.EVT系统日志文件：系统日志文件：%systemroot%system32configSysEvent.EVT%systemroot%system32configSysEvent.EVT应用程序日志文件：应用程序日志文件：%systemroot%system32configAppEvent.EVT%systemroot%system32configApp