《信息安全技术基础》课件 4.1windows操作系统安全加固

第四单元操作系统安全加固主要内容任务1windows操作系统安全加固任务1windows操作系统安全加固随着奇威公司业务量持续上涨，办公员工、使用用户逐步增多。现有的Windows服务器已经接近饱和状态，在持续稳步发展的情况下，目前的Windows系统服务器很有可能满足不了接下来业务的支撑。在IT部门建议后，单位接受了采购一批新的Windows服务器的提议，为了企业业务更安全，领导找到了小卫，让小卫为新采购的服务器进行安全配置。在采购后，小卫了解到，由于新采购的Windows服务器硬件版本、系统补丁都是一致的，采用的都是出厂设置。安全性对于公司来说容不得半点马虎。于是，小卫在梳理清楚系统配置后，决定为新Windows服务器编写一份基于当前配置而进行的安全加固方案。而当相关工作人员在使用小卫的方案对服务器进行加固时，由于相关实施人员对于Windows安全基础较为薄弱，总会出现配置失误等情况，严重耽误了装配时间，影响进度。为此，领导再一次寻求小卫的帮助，让小卫为同事们做个安全培训，提高一下Windows安全基础知识。因此在进行任务实施之前，需要提前准备一些Windows服务器系统安全方面相关的知识。【任务情境】1、Windows系统安全特性Windows在安全设计上是基于系统安全对象为依据，影响windows系统安全安全对象有很多，比如：注册表、文件系统、服务和进程、域和工作组等一系列对象，以下我们将简单介绍在实际使用中常见的几个术语。（1）权限权限指的是系统用户可对计算机资源如：磁盘、U盘、光驱、文件夹、注册表等系统设备和文件的读取、写入和删除等操作，例如，系统默认Administrators组成员拥有读取+写入+删除等操作权限等。用户权限是可以通过系统设置改变不同用户和分组的权限，从而限制用户和组执行某些特定的操作，实现不同的用户身份拥有不同的权限。【知识准备】任务1windows操作系统安全加固任务1windows操作系统安全加固（2）注册表注册表被称为Windows操作系统的核心，它的工作原理实质是一个庞大的数据库，存放了关于计算机硬件的配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备的说明以及各种状态信息和数据，包括Windows操作时不断引用的信息。例如：系统中的硬件资源、硬件信息、分配正在使用的端口、每个用户的配置文件、计算机上安装的应用程序以及每个应用程序可以创建的文件类型等。主要作用包括记录安装信息；设置硬件；设置软件；定制Windows；系统安全管理；自动运行程序；网络设置等。（3）服务与进程服务：系统启动时启动，可暂停或重启，且不显示任何用户界面的可长时间运行的程序。进程：具有独立功能的程序关于某个数据集合的一次运行活动，即执行中的程序。提示：服务也是运行时的程序，就操作系统的原型而言，两者是没有区分的，即服务就是进程，符合进程的一些基本特征。任务1windows操作系统安全加固

2、Windows安全机制微软的Windows一直致力于提供最安全的用户应用体验。从Windows早期版本发展至今，其系统自身的安全概念和安全机制不断更新和演化，确保系统安全性更高。当前各个版本的Windows操作系统安全机制主要体现在用户认证、访问控制、安全审计、防火墙、文件加密等方面。认证机制从Windows2000开始，微软逐步增强了Windows系统的认证机制，系统提供两种基本认证类型，即本地认证和网络认证。其中，本地认证是根据用户的本地计算机账号确认用户身份。网络认证是根据用户访问的服务确认用户的身份。我们一般使用的是本地认证方式。访问控制机制Windows系统的访问控制策略是根据对用户进行授权，根据用户不同权限决定用户可以访问哪些资源和操作（读、写），保证系统资源的合法、受控地使用。可以防止未授权的用户闯入，也可以防止授权用户做不该做的事情。审计机制日志文件是Windows系统中一个比较特殊的文件，它记录了Windows系统运行状况，如各类服务的启动、运行和关闭等信息。Windows日志主要有3种类型，系统日志、应用程序日志和安全日志，它们对应的文件名为SysEvent.evt、AppEvent.evt。这些日志文件通常存放在操作系统安装的区域“system32\config”目录下。防火墙Windows基本都自带防火墙，通过包过滤和应用（程序）的访问控制，能够监控和限制用户计算机的网络访问。文件加密为了防范由于电脑硬盘被偷窃导致存储在硬盘信息泄密，Windows系统提供了加密的文件系统EFS，利用EFS，文件中的数据在磁盘上是加密的。用户如果访问加密的文件，必须拥有这个文件的密钥才可以读取。任务1windows操作系统安全加固任务1windows操作系统安全加固正好公司因业务需要购买一台Windows服务器，由于该服务器需求安装公司重要财务系统软件，公司领导要求对这台服务器的用户权限和访问控制必须采用安全加固，保证公司财务信息安全。小卫通过上面的学习，了解到Windows系统的安全隐患主要是由于系统自身默认Admin和Guest用户具有远程连接和访问功能，用户可以通过密码猜测和破解获取用户权限，同时系统默认开启一些和业务无关的服务，非法用户可以通过扫描获得这些服务对象，从而通过对这些服务漏洞利用攻击服务器最终获得服务器授权，因此，在Windows系统加固上主要是对系统的账户管理、权限、注册表以及服务与进程的几个方面进行加固。【任务实施】任务1windows操作系统安全加固一、用户管理（1）账号管理步骤1：点击开始

运行，在运行窗口中输入compmgmt.msc命令，打开计算机管理窗口,如下图所示。【任务实施】图4-1服务器管理任务1windows操作系统安全加固步骤2：展开系统工具-本地用户和组-用户，并检查是否存在可疑或者不明账户，如此用于实验的账号（test），如图下图所示。【任务实施】图4-2账户检查任务1windows操作系统安全加固步骤3：需要删除可疑或者不明的账号，此次删除账号test。右键点击“test”账号，在弹出的菜单中选择“删除”，打开删除确认窗口，如下图所示。【任务实施】图4-3删除可疑账户任务1windows操作系统安全加固步骤4：右键点击“test”账号，在弹出的菜单中选择“删除”，打开删除确认窗口，如下图所示。【任务实施】图4-4删除账户确认任务1windows操作系统安全加固步骤5：点击“是”，即可完成对指定账号的删除，如下图所示，test账号已被删除。【任务实施】图4-5指定账户已删除任务1windows操作系统安全加固步骤6：禁用Guest账号。右键点击“Guest”账号，在弹出的菜单中选择“属性”，打开账号属性窗口，如下图所示。【任务实施】图4-6打开Guest账号属性任务1windows操作系统安全加固步骤7：禁用Guest账号。右键点击“Guest”账号，在弹出的菜单中选择“属性”，打开账号属性窗口，如下图所示，确保已经勾选上“账户已禁用”。【任务实施】图4-7禁用Guest账户任务1windows操作系统安全加固（2）设置账户策略步骤1：打开开始菜单，找到“运行”窗口，输入secpol.msc命令，打开本地安全策略窗口，如下图所示。【任务实施】图4-8打开本地安全策略任务1windows操作系统安全加固步骤2：在打开的本地安全策略窗口中，从左侧展开帐户策略-密码策略，即可看到可设置的账号口令策略项，如下图所示。【任务实施】图4-9帐户口令策略设置任务1windows操作系统安全加固步骤3：双击各个口令策略项，即可打开具体的策略设置窗口，例如密码长度最小值设置窗口，如下图所示。【任务实施】4-10设置密码长度最小值提示：服务器帐户密码长度最小值一般设置为8位，密码最短使用期限为0天，密码最长使用期限为90天，强制密码历史设置为0个（不保留历史密码）。任务1windows操作系统安全加固步骤4：在打开的本地安全策略窗口中，从左侧展开帐户策略-帐户锁定策略，即可看到可设置的账号锁定策略项，如下图所示。【任务实施】图4-11帐户锁定策略设置任务1windows操作系统安全加固步骤5：如上图4-11所示，可从三个方面进行帐户锁定策略的设置，此处必须先对帐户锁定阈值进行设置为大于0次的无效登录，才能对另外两项进行设置。【任务实施】提示：一般服务器帐户锁定阈值设置为5次无效登录，帐户锁定时间为30分钟，重置帐户锁定计数器为30分钟。任务1windows操作系统安全加固（1）删除已有共享默认情况下，计算机的磁盘是默认开启共享的，如果配合windows特有的IPC$空链接的话，攻击者是可以不需要账户名密码就可以窃取你计算机上的资料的。所以在这里，我们要做的就是关闭计算机系统中各个磁盘的共享。步骤1：点击开始-运行，输入regedit，如下图所示。【任务实施】图4-12运行窗口任务1windows操作系统安全加固步骤2,：输入regedit后，点击确定，打开注册表编辑器，如下图所示。【任务实施】图4-13注册表编辑器任务1windows操作系统安全加固步骤3：从左侧栏内依次选择计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry，鼠标右键点击弹出菜单，选择“删除”，完成ipc远程空链接删除操作，如下图所示。【任务实施】图4-14删除ipc远程空链接任务1windows操作系统安全加固步骤4：点击开始菜单，找到并打开命令行窗口，如下图所示。【任务实施】图4-15打开DOS界面任务1windows操作系统安全加固步骤5：输入命令netsharexx$/del，删除已有的共享，如下图所示。【任务实施】图4-16删除已有共享任务1windows操作系统安全加固（2）优化服务优化服务主要就是关闭或删除windows上不必要的服务，减小风险。步骤1：点击开始-运行，输入services.msc命令，如下图所示，打开服务管理器。【任务实施】图4-17服务管理器任务1windows操作系统安全加固步骤2：在打开的服务管理器内，选择不必要的服务项，鼠标右键点击不必要的服务项，如下图所示。【任务实施】图4-18选定不必要的服务项任务1windows操作系统安全加固步骤3：在弹出的菜单中，选择“属性”，打开属性窗口，如下图所示。【任务实施】图4-19服务属性窗口任务1windows操作系统安全加固步骤4：从服务属性窗口中，选择启动类型，点击服务状态，即可完成对服务的启动和状态修改，将不必要的服务进行停止。【任务实施】提示：建议将以下服务停止，并将启动方式修改为手动：DHCPClient、RemoteRegistry、PrintSpooler（不使用打印可以关闭）、Server（不使用文件共享可以关闭）、SimpleTCP/IPService、SimpleMailTransportProtocol(SMTP)、SNMPService、TaskSchedule、TCP/IPNetBIOSHelper等。任务1windows操作系统安全加固三、远程访问控制远程访问计算机的形式肯定不止通过远程连接你的计算机这一种方法，还有远程连接共享文件夹、远程连接磁盘、远程连接控制器，远程连接cmd命令行等等。尤其是远程连接控制台，windows是可以不需要密码就可以远程连接控制台的，十分危险。步骤1：打开本地安全策略，展开安全设置-本地策略-安全选项，如下图所示。【任务实施】任务1windows操作系统安全加固【任务实施】图4-20安全选项窗口任务1windows操作系统安全加固步骤2：将安全选项内的以下项逐一进行安全设置，如下图所示。网络访问:不允许SAM帐户的匿名枚举：已启用网络访问:不允许SAM帐户和共享的匿名枚举：已启用网络访问:将everyone权限应用于匿名用户：已禁用帐户:使用空密码的本地帐户只允许进行控制台登录：已启用【任务实施】图4-21安全选项设置任务1windows操作系统安全加固四、文件系统步骤1：将服务器各磁盘文件格式设置为NTFS文件系统。步骤2：检查everyone的权限。为了系统的安全性，everyone不应该拥有磁盘的所有权。选择磁盘-属性-安全，检查是否存在everyone用户，everyone用户是否有所有权，如下图所示。如有，则删除everyone的权限或者取消everyone的写权限。【任务实施】任务1windows操作系统安全加固【任务实施】图4-22检查everyone的权限任务1windows操作系统安全加固步骤3：命令权限限制。除了system和administrators组和必要的组以外，不让其他用户执行特殊命令。打开我的电脑-C:/windows/system32文件夹，找到cmd.exe、regsvr32.exe、tftp.exe、ftp.exe、telnet.exe、net.exe、net1.exe、cscript.exe、wscript.exe、regedt32.exe、cacls.exe、、at.exe等文件，如下图所示。【任务实施】任务1windows操作系统安全加固【任务实施】图4-23找到特殊命令文件任务1windows操作系统安全加固步骤4：对这些命令文件逐一进行权限限制。点击属性-安全，查看每个命令有哪些用户拥有执行权限，如下图所示。如有无关用户，则删除。【任务实施】图4-24特殊命令权限限制任务1windows操作系统安全加固五、日志审核（1）增强日志我们应该设置服务器增大日志量的大小，避免因为容量太小而日志记录记录不全，发生紧急事情时无法找到对应日志。步骤1：打开开始菜单，找到运行窗口，输入eventvwr.msc命令，如下图所示。【任务实施】图4-25输入命令任务1windows操作系统安全加固步骤2：点击确定后，打开事件查看器，如下图所示。【任务实施】图4-26查看事件任务1windows操作系统安全加固步骤3：分别查看“应用程序”、“安全”、“系统”的属性，根据需要进行日志大小上限的设置，如下图所示。【任务实施】图4-27设置日志任务1windows操作系统安全加固（2）增强审核步骤1：打开开始菜单，找到“运行”窗口，输入secpol.msc命令，找到本地安全策略-安全设置-本地策略-审核策略，如下图所示。【任务实施】图4-28安全策略置任务1windows操作系统安全加固步骤2：按以下要求逐一对各个审核策略进行设置，如下图所示：审核策略更改：成功，失败审核对象访问：成功，失败审核系统事件：成功，失败审核帐户登录事件：成功，失败审核帐户管理：成功，失败审核登录事件：成功，失败审核过程跟踪：成功，失败审核目录服务访问：成功，失败审核特权使用：成功，失败【任务实施】图4-29设置安全策略任务1windows操作系统安全加固六、系统优化（1）禁止系统自动登录步骤1：打开开始菜单，找到“运行”窗口，输入controluserpasswords2命令，如下图所示。【任务实施】图4-30输入命令任务1windows操作系统安全加固步骤2：点击确定后，打开用户账户设置窗口，确保“要使用本计算机，用户必须输入用户名和密码”复选框已勾选上，如下图所示。【任务实施】

图4-31选择安全设置任务1windows操作系统安全加固（2）隐藏最后