任务1 加固windows系统安全1.ppt

1、,Windows系统安全配置,学习目标,1. 知识目标,2. 能力目标,返回,下页,上页,1. 知识目标,返回,下页,上页,2. 能力目标,返回,下页,上页,工作任务,2. 工作任务背景,4. 条件准备,1. 工作名称,3. 工作任务分析,返回,下页,上页,任务名称：对Windows server 2003系统进行安全设置。,任务名称与背景,任务背景：张老师办公室的计算机新安装了Windows server 2003操作系统，该系统具有高性能、高可靠性和高安全性等特点。Windows server 2003在默认安装的时候，基于安全的考虑已经实施了很多安全策略。但由于服务器操作系统的特殊性，在

2、默认安装完成后还需要张老师对系统操作系统进行加固，进一步提升服务器操作系统的安全，保证业务系统以及数据库系统的安全。,返回,下页,上页,任务分析：在安装Windows server 2003操作系统时，为了提高系统安全，张老师按系统建议，采用最小化方式安装，只安装网络服务所必需的模块。当有新的服务需求时，再安装相应的服务模块，并及时进行安全设置。在完成操作系统安装全过程后，张老师下面要进行的工作，就是对Windows系统安全方面进行加固，使操作系统变得更加安全可靠，为以后的工作提供一个良好的环境平台。,任务分析与准备,条件准备： Windows Server 2003 R2操作系统,返回,下页

3、,上页,实践操作,返回,下页,上页,1.更改Administrator账户名称,由于Administrator账户是微软操作系统的默认账户，建议将此账户重命名为其他名称，以增加非法入侵者对系统管理员账户探测的难度。重命名Administrator账户的方法。,“开始”-“所有程序”-“管理工具”-“本地安全策略”,选择“安全设置”-“本地策略”-“安全选项”选项，在右侧的安全列表框中选择“帐户”：重命名系统管理员帐户“策略选项”,返回,下页,上页,1.更改Administrator账户名称,更改完成后，返回“计算机管理”窗口，单击“用户”，可以看到默认的Administrator帐户名已被更改

4、。,双击“帐户：重命名系统管理员帐户”策略，双击打开 “帐户：重命名系统管理员帐户属性”对话框，更改系统管理员帐户的名称，应将Administrator设置成一个普通的用户名，而不要使用如Admin之类的用户名称。,返回,下页,上页,1.更改Administrator账户名称,“Administrator属性”对话框中，单击“添加”按钮，在“选择用户”对话框的“输入对象名称来选择”文本框中，输入已经重命名的系统管理员帐户名称，单击“检查名称”按钮完成帐户的确认。,选择“组”，在默认组列表中选择“Administrators”管理员组，右击鼠标弹出快捷菜单，选择“属性”，弹出“属性”对话框，默认

5、只有Administrator帐户。选中Administrator帐户，单击“删除”按钮将其删除。,返回,下页,上页,1.更改Administrator账户名称,单击“确定”按钮，将更改后的系统管理员帐户添加到“Administrators”，单击“确定”按钮，完成系统管理员名称的更改。,返回,下页,上页,2创建陷阱账号,默认的系统账号Administrator重命名后，系统管理员可以创建一个同名的拥有最低权限的同名的Administrator账户，并且添加到Guests中，同时将它的权限设置成最低，并且加上一个超过20位的超级复杂密码（包括字母、数字、特殊符号）。新创建的Administra

6、tor帐户名称虽然和默认的系统管理员帐户的名称相同，但是SID安全描述符不同，不会出现帐户名称重复的问题。,返回,下页,上页,3管理帐户,由于Administrator账户是微软操作系统的默认账户，建议将此账户重命名为其他名称，以增加非法入侵者对系统管理员账户探测的难度。,（1）帐户锁定安全策略配置,（2）用户帐户权限配置,1）将用户权限指派到组,2）配置特权和权利,返回,下页,上页,4. 磁盘访问权限配置,（1）设置磁盘访问权限 磁盘在系统安装完成以后，就赋予了部分权限，为了保证系统的安全，建议系统管理员对默认的磁盘权限进行调整，授予仅有窗口Administrator和SYSTEM才可以访问

7、的权限。 （2）查看磁盘权限 微软公司提供了查看磁盘文件或者文件夹当前权限的图形化工具，利用AccessEnum可全面了解文件系统和注册表安全设置，它是网络管理员查看安全权限的理想工具。,返回,下页,上页,组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如，可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上（在计算机启动或停止时，以及用户登录或注销时）运行的脚本，甚至可配置Internet Explorer。,5. 组策略的配置,返回,下页,上页,5. 组策略的配置,组

8、策略中审核策略的设置 1）审核帐户登录事件 2）推荐的审核策略设置 3）调整日志审核文件的大小 4）调整日志审核文件的大小。 “桌面”安全设置 1）隐藏桌面的系统图标 2）不要将最近打开的文档的共享添加到网上邻居,返回,下页,上页,3）禁止用户更改“我的文档”路径 IE安全设置 1）管理好Cookie 2）禁用或限制使用Java程序及ActiveX控件 3）消除潜在威胁 4）组策略中对IE浏览器进行安全配置 5）禁用“在新窗口中打开”菜单项 6）禁用“Internet 选项”控制面板 7）给工具栏减肥 8）禁止修改IE浏览器的主页 9）自定义IE工具栏,5. 组策略的配置,返回,下页,上页,6

9、. 注册表基本知识及安全配置,Regedit.exe是微软提供的一个编辑注册表的工具，是所有Windows系统通用的注册表编辑工具。Windows系统没有提供运行这个应用程序的菜单项，因此必须手动启动。Regedit.exe这个工具可以对注册表进行添加修改主键、修改键值、备份注册表、局部导入导出注册表和权限简称等操作。,返回,下页,上页,6. 注册表基本知识及安全配置,（1）禁止注册表编辑器运行 Windows操作系统安装完成后，默认情况下Regedit.exe工具可以任意使用，为了防止具有恶意的非网络管理人员使用，建议禁止Regedit.exe的使用，下面介绍两种禁止Regedit.exe使

10、用的方法。禁止注册表编辑器运行方法中我们使用组策略禁止Regedit.exe的使用。,返回,下页,上页,6. 注册表基本知识及安全配置,选择“开始”-“运行”命令，显示“运行”对话框，在文本框中输入“Gpedit.msc”，单击“确定”按钮，显示“组策略编辑器”窗口。,在左侧的“本地计算机策略”列表中，依次展开“用户配置”-“管理模板”-“系统”,在右侧的组策略列表中，双击“不要运行指定的Windows应用程序”策略，显示“不要运行指定的Windows应用程序 属性”对话框。,返回,下页,上页,6. 注册表基本知识及安全配置,选择“已启用”单选按钮，“不允许的应用程序列表”右侧的“显示”按钮的

11、状态由不可编辑状态转变为可编辑状态,单击“显示”按钮，显示 “显示内容”对话框。单击“添加”按钮，显示 “添加项目对话框”。在“输入要添加的项目”文本框中，输入要禁止运行的“Regedit.exe”程序名称，单击“确定”按钮，返回到 “显示内容”对话框。,返回,下页,上页,6. 注册表基本知识及安全配置,单击多次“确定”按钮，完成限制策略的设置。选择“开始”-“运行”命令，显示“运行”对话框，在文本框中输入“Regedit.exe”，单击“确定”按钮，显示如图1.40所示的“限制“对话框，注册表编辑器不能正常运行 。 如果需要恢复注册表编辑器的使用，将此策略设置为“未配置”或者“已禁用”，即可

12、恢复注册表编辑器的使用。,返回,下页,上页,6. 注册表基本知识及安全配置,安全登录配置 1）显示登录窗口选项 2）指定密码的最小长度 3）禁止显示前一个登录者的名称 4）将Windows网络登录口令不保存为PWL文件 5）开机自动进入屏幕保护,返回,下页,上页,6. 注册表基本知识及安全配置,加强文件/文件夹安全 1）修改系统文件夹的保护属性 2）从Windows资源管理器中删除“文件”菜单 限制系统功能 1）从“我的电脑”菜单中删除“属性”菜单项 2）禁止在桌面及资源管理器中右击时弹出快捷菜单 3）禁止用户运行某些程序 4）通过注册表删除各种历史记录,返回,下页,上页,6. 注册表基本知识

13、及安全配置,注册表备份和恢复 1）备份注册表数据库 2） 恢复注册表数据库,返回,下页,上页,问题探究,3. 磁盘访问权限,2. 用户访问限制,4. 组策略的基本概念,1. 系统管理员账户设置,5.注册表的基本概念及安全问题,返回,下页,上页,1. 系统管理员账户设置,帐户是计算机的基本安全对象，Windows server 2003本地计算机包含了两种帐户：用户帐户和组帐户。用户帐户适用于鉴别用户身份，并让用户登录系统，访问资源，而组帐户适用于组织用户帐户和指派访问资源的权限。 Windows server 2003操作系统安装完成后，默认的系统管理员帐户是Administrator，这已经

14、是总所周知的事情。系统管理员权限，正是非法入侵者梦寐以求的权限，一旦成功，操作系统将完全暴露在黑客的眼前。,返回,下页,上页,1. 系统管理员账户设置,在这里建议应尽量减少管理员的数量，因为管理员组成员拥有对系统的各项操作、配置和访问权限。因此，系统管理员的数量越少，密码丢失或被猜到的可能性就越小，相对而言，系统也就越安全，这也是最大限度保证网络安全的重要手段。 在Windows server 2003操作系统安装完成后，建议重命名Administrator帐户，因为黑客往往会从Administrator帐户进行探测。并且禁用Guest账户，或者给Guest加一个复杂的密码，同时停用该用户，从

15、而实现更高的安全机制，因为此用户还可以重新启用，一旦启用将可以建立IPC$连接。,返回,下页,上页,2. 用户访问限制,保护计算机和计算机内存数据的安全措施之一，就是指定拥有不同访问权限的用户帐户，通过限制用户帐户权限的方式，实现对资源访问控制。用户名和密码用于在登录Windows 2000/XP/2003时进行身份验证，登录的身份决定了该用户是否可以进入该计算机，以及可以在该计算机上做什么。因此，对用户帐户和管理员帐户的严格审批、发放和控制。另外，在进行严格的帐户策略，是确保服务器安全的重要手段。,返回,下页,上页,2. 用户访问限制,禁止匿名访问 Internet Guest帐户是在IIS

16、安装过程中自动创建的。默认状态下，所有IIS用户都使用该帐户实现对Web或FTP网站的访问。也就是说，所有用户在通过匿名方式访问Web或FTP网站时，都被映射为Internet Guest帐户，并拥有该帐户的相应权限。这样，就跟利用该帐号从本地直接登录到服务器时一样。如果允许只能用Internet Guest帐户远程访问服务器，远程用户不必提供自己的用户名和密码，但只分给他们Internet Guest帐户的权限。,返回,下页,上页,2. 用户访问限制,这样做可以防止任何人以骗得的或非法获得的密码来得到对敏感信息的访问。一般来说，以上策略可以建立最为安全的系统。 由于Internet Gues

17、t帐户被加在Guest用户组中，Guest组的设置同样适用于Internet Guest帐户。所以，应当重新查看一下Guest组的设置，以确保它们适用于Internet Guest帐户。,返回,下页,上页,2. 用户访问限制,（2）采用安全验证方式 基本验证和Windows验证要求用户必须提供一个合法的Windows 2000/2003/XP用户名和密码才能访问服务器，否则，将被拒绝对服务器的访问。它们两者的区别在于，Windows验证将用户名和密码加密后再进行传输，确保了用户名和密码在Internet传输过程中的安全，保证用户名和密码不会在传输过程中被恶意用户截获，并冒名顶替该用户登录服务器

18、窃取敏感资料或对服务器进行破坏。基本验证方法则不经加密，直接在Internet上传输，因此用户名和密码对在传输过程中极易被截获从而对服务器及其数据造成难以估计的损失。,返回,下页,上页,2. 用户访问限制,验证方法只是利用uuencode对资源信息进行了编码，可以被任何访问网络的人轻易的解开，甚至对那些只能访问传送数据包的某一因特网网段的人来说，也是如此。因此，微软公司只建议采用Windows 2000/2003/XP的质询/应答（Challenge/Response）这一密码验证方式。,返回,下页,上页,3. 磁盘访问权限,权限有高低之分，具备有高权限的用户可以访问、修改的权限用户的文件夹和

19、文件。除了Administrators之外，其他组的用户不能访问NTFS卷上的其他用户资料。除非获得了显示授权，具备低权限的用户无法访问、修改具备高权限用户的文件和文件夹。,返回,下页,上页,3. 磁盘访问权限,完全控制,修改,读取和运行,读取,7种权限的控制范围,特别的权限,列出文件夹目录,写入,返回,下页,上页,4. 组策略的基本概念,说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂

20、。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。,返回,下页,上页,5.注册表的基本概念及安全问题,注册表是Windows系统核心配置数据库，在系统中起着举足轻重的作用，一旦组册表出现问题，整个系统将变得混乱甚至崩溃。注册表主要存储如下内容： 软、硬件的配置和状态信息。 应用程序和资源管理外壳的初始条件、首选项和卸载数据。 计算机整个系统的设置和各种许可。 文件扩展名与应用程序

21、的关联。 硬件描述、状态和属性。 计算机性能和底层的系统状态信息，以及各类其他数据。,返回,下页,上页,知识拓展,3.关闭“远程注册表服务”,2.拒绝“信”骚扰,4.禁止病毒启动服务,1. 操作系统注册表安全知识拓展,5.拒绝ActiveX控件的恶意骚扰,返回,下页,上页, 操作系统注册表安全知识拓展,操作系统中所有系统设置都可以在注册表中找到踪影，所有的程序启动方式和服务启动类型都可通过注册表中的小小键值来控制。 然而，正因为注册表的强大使得它也成为了一个藏污纳垢的地方。病毒和木马常常寄生在此，偷偷摸摸地干着罪恶勾当，威胁着原本健康的操作系统。如何才能有效地防范病毒和木马的侵袭，保证系统的正

22、常运行呢?我们将从服务、默认设置、权限分配等九个方面入手为大家介绍如何通过注册表打造一个安全的系统。特别提示:在进行修改之前，一定要备份原有注册表。,返回,下页,上页,2.拒绝“信”骚扰,安全隐患:在Windows 2000/XP系统中，默认Messenger服务处于启动状态，不怀好意者可通过“net send”指令向目标计算机发送信息。目标计算机会不时地收到他人发来的骚扰信息，严重影响正常使用。 解决方法:首先打开注册表编辑器。对于系统服务来说，我们可以通过注册表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”项下的各个选项来进行管理，

23、其中的每个子键就是系统中对应的“服务”，如“Messenger”服务对应的子键是“Messenger”。我们只要找到Messenger项下的START键值，将该值修改为4即可。这样该服务就会被禁用，用户就再也不会受到“信”骚扰了,返回,下页,上页,3.关闭“远程注册表服务”,安全隐患:如果黑客连接到了我们的计算机，而且计算机启用了远程注册表服务(Remote Registry)，那么黑客就可远程设置注册表中的服务，因此远程注册表服务需要特别保护。 解决方法:我们可将远程注册表服务(Remote Registry)的启动方式设置为禁用。不过，黑客在入侵我们的计算机后，仍然可以通过简单的操作将该服

24、务从“禁用”转换为“自动启动”。因此我们有必要将该服务删除。找到注册表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”下的RemoteRegistry项，右键点击该项选择“删除”，将该项删除后就无法启动该服务了。在删除之前，一定要将该项信息导出并保存。想使用该服务时，只要将已保存的注册表文件导入即可。,返回,下页,上页,4.禁止病毒启动服务,安全隐患:现在的病毒很聪明，不像以前只会通过注册表的RUN值或MSCONFIG中的项目进行加载。一些高级病毒会通过系统服务进行加载。那么，我们能不能使病毒或木马没有启动服务的相应权限呢? 解决方法:运

25、行“regedt32”指令启用带权限分配功能的注册表编辑器。在注册表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支，接着点击菜单栏中的“安全权限”，在弹出的Services权限设置窗口中单击“添加”按钮，将Everyone账号导入进来，然后选中“Everyone”账号，将该账号的“读取”权限设置为“允许”，将它的“完全控制”权限取消。现在任何木马或病毒都无法自行启动系统服务了。当然，该方法只对没有获得管理员权限的病毒和木马有效。,返回,下页,上页,5.拒绝ActiveX控件的恶意骚扰,安全隐患:不少木马和病毒都是通过在网页中隐藏恶意ActiveX控件的方法来私自运行系统中的程序，从而达到破坏本地系统的目的。为了保证系统安全，我们应该阻止ActiveX控件私自运行程序。 解决方法:ActiveX控件是通过调用Windows scripting hos