版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、第7章 Windows系统安全增强,第一部分 教学组织,一、目的要求 1.掌握TCP/IP端口控制的设置方式。 2.了解Windows系统安全增强的方法。 二、工具器材 1.Windows管理工具。 2.操作系统自带命令netstat。 3.工具软件netstat 、fport。,第二部分 教学内容,安全增强,又称为安全加固技术,主要分为:主机安全加固、网络加固、安全设备加固、应用系统加固、数据库加固等。操作系统安全增强是指,针对操作系统的具体情况以及不同类型的目标应用,制定相应系统的测试方案、加固方案,通过打补丁、修改安全配置、增加安全机制等方法,消除安全隐患,减少被入侵的风险,加强相应设备
2、或相应系统的安全性。,7.1 Windows系统安全设置,根据信息系统应用的实际情况,关闭Windows系统中不必要的服务、协议、端口,加强安全控制管理,将减少信息系统的安全漏洞,提高电脑系统安全防御能力。 对工作中现有信息系统所需使用的服务、协议、端口等情况进行全面摸底与调查分析,是一项繁琐复杂的工作。一旦设置错误,有可能造成机器工作不正常或联网出现问题,影响业务系统的使用。因对系统进行安全控制存在一定的风险,应分批分次进行控制操作,并在正式启用前进行充分测试,以确保系统正常运行。,7.1.1端口控制,端口是计算机与外界通讯的渠道,它们就像一道道门一样控制着数据与指令的传输。各类数据包在最终
3、封包时都会加入端口信息,以便在数据包接收后拆包识别。许多蠕虫病毒就是利用了端口信息才能实现恶意骚扰的。对于Windows系统来说,有必要把一些危险而又不常用到的端口关闭或是封锁,以保证信息安全。,面对网络攻击时,端口对于黑客来说至关重要。TCP/IP协议中的端口,端口号的范围从0到65535。每一项服务都对应相应的端口。比如我们浏览网页时,需要服务器提供WWW服务,端口是80,smtp是25,ftp是21,如果企业中的服务器仅仅是文件服务或者做内网交换,关闭一部分端口未尝不可。因为在关闭端口后,可以进一步保障系统的安全。,根据各机器上应用软件的实际情况,针对TCP/IP协议进行端口控制,确定每
4、台机器对外开放的TCP、UDP端口。操作系统自带命令Netstat可用于查看端口信息。使用工具软件Fport或Tcpview可方便的显示本机端口侦听、通信连接、关联应用程序等情况。,针对TCP/IP协议进行端口控制,控制每台机器对外开放的端口,根据各机器上应用软件的实际情况确定需要开放的端口。对于每台服务器或工作站,除非必须要开放的TCP、UDP端口,一律设置为关闭。进行端口控制后,某局域网内部信息系统端口逻辑结构图见图7.1。,7.1.2服务,Windows服务使用户能够创建在它们自己的Windows会话中可长时间运行的可执行应用程序。这些服务可以在计算机启动时自动启动,可以暂停和重新启动而
5、且不显示任何用户界面。这使服务非常适合在服务器上使用,或任何时候,为了不影响在同一台计算机上工作的其他用户,需要长时间运行功能时使用。还可以在不同于登录用户的特定用户帐户或默认计算机帐户的安全上下文中运行服务。,对Windows操作系统的绝大部分攻击均是针对系统服务来进行的,Windows2000、NT等系统默认安装时,启动了许多不必要的系统服务。对于默认启用的服务,在确认不需要的前提下尽量关闭。关闭不必要的服务能有效降低系统风险。除应用程序需要外,禁止安装和启用IIS服务、文件与打印共享服务。对于其他默认启用的服务,在确认不需要的前提下,尽量关闭。,7.1.3通信协议,协议(Protocol
6、)是网络设备用来通信的一套规则,这套规则可以理解为一种彼此都能听得懂的公用语言。网络通信协议是网络中的计算机实现通信的必备条件,两台连接到局域网中的计算机要想实现通信,则必须使用相同的通信协议。在组建局域网的过程当中经常会遇到选择和安装通信协议的问题,如果选择和安装了不合适的通信协议,往往会引发网络不通、网速太慢或网络不稳定等故障。了解不同通信协议所适用的网络环境和操作系统非常重要。局域网中常用的通信协议主要包括TCP/IP、NETBEUI和IPX/SPX三种协议,每种协议都有其适用的应用环境。,1. TCP/IP TCP/IP(传输控制协议/Internet协议)的历史应当追溯到Intern
7、et的前身ARPAnet时代。为了实现不同网络之间的互连,美国国防部于1977年到1979年间制定了TCP/IP体系结构和协议。TCP/IP是由一组具有专业用途的多个子协议组合而成的,这些子协议包括TCP、IP、UDP、ARP、ICMP等。TCP/IP凭借其实现成本低、在多平台间通信安全可靠以及可路由性等优势迅速发展,并成为Internet中的标准协议。,2. NetBEUI协议 NetBEUI(NetBIOS增强用户接口)协议由NetBIOS(网络基本输入输出系统)发展完善而来,该协议只需进行简单的配置和较少的网络资源消耗,并且可以提供非常好的纠错功能,是一种快速有效的协议。不过由于其有限的
8、网络节点支持(最多支持254个节点)和非路由性,使其仅适用于基于Windows操作系统的小型局域网中。,3. IPX/SPX及其兼容协议 IPX/SPX(网际包交换/序列包交换)协议主要应用于基于NetWare操作系统的Novell局域网中,基于其他操作系统的局域网(如Windows Server 2003)能够通过IPX/SPX协议与Novell网进行通信。在Windows 2000/XP/2003系统中,IPX/SPX协议和NetBEUI协议被统称为NWLink。,7.1.4应用实例,在进行安全加固的设置过程中,要坚持以下原则。 安全第一的原则。执行过程中,应将信息系统的安全放在首位,坚决
9、执行信息安全有关制度。 谨慎稳妥的原则。执行过程中,注意防范风险,严谨操作,规范操作,注意操作的时间选择(如在业务量空闲时、或周末时间)、回退机制、先点后面、严格测试等事项。 积极推进的原则。执行过程中,遇到疑点或难点问题应认真分析,及时寻求技术支持,积极推进工作的落实,不要半途而废。 下表为某公司网络信息系统服务、协议和端口控制表(部分)。,7.2 Windows系统安全加固与管理,7.2.1补丁管理 补丁是专门修复一些BUG而做的。因为原来发布的软件存在缺陷,发现之后另外编制一个小程序使其完善,这种小程序俗称补丁。 补丁主要有以下两种:“安全漏洞”补丁、“功能更新”补丁。,前一种补丁尽量进
10、行补丁安装,后一种补丁用户可以自主选择打不打补丁。对于大型操作系统(如微软操作系统)在使用过程中经常会暴露一些安全问题(一般由黑客或病毒设计者发现),其网站上有专门的补丁发布网页。 很多软件为弥补已发布软件的一些功能缺陷或安全漏洞,而发布了多个后继补丁。有些补丁安装后是不可退回原来状态的,有些补丁本身还不完善,因此可能会对系统造成危害。为防范风险,应做好备份、测试及应急恢复等方面的工作。,7.2.2新装机器步骤,在局域网内,安装工作机器要有规范的步骤。 在单机情况下安装好windows操作系统。NTFS文件系统要比FAT、FAT32的文件系统安全,安装时所有分区设置为NTFS格式。对于系统重装
11、的机器,须重新磁盘分区后安装。 安装完成后,通过TCP/IP筛选将TCP端口全部关闭。采用缺省安装选项,个人办公机不安装IIS服务、文件共享服务。 安装好杀毒软件,升级至最新病毒库,开启实时监控。可上互联网机器安装杀毒软件提供的防火墙软件。,安装操作系统主要补丁包(注意顺序):IE6、SP4、SP4更新汇总1(V2版)等。禁止通过尚未打补丁的新装机器上网去下载这些补丁程序,可从光盘或内网可信机器上下载,保证补丁来源的安全性。 上互联网或通过内部补丁服务器(SUS)升级至最新补丁,升级完后进行一次病毒检查。 投入使用前,根据实际需要调整TCP/IP端口控制、系统服务、协议等。个人办公机不安装II
12、S服务、文件共享服务。每台机器上只安装应用程序所需要的通讯协议。,7.2.3病毒防范,在一个局域网内部,做好病毒的防范很重要。 每台机器均安装杀毒软件,并开启杀毒软件实时监控功能。对于生产系统中,因安装或者开启实时监控会影响运行的情况,可以暂不安装或者开启病毒实时监控。 可上互联网机器安装杀毒软件提供的防火墙软件。 为提高病毒防范的有效性,须配备两种不同厂商的正版杀毒软件。生产系统中按各占一半的比例安装。,及时升级杀毒软件。可上互联网电脑设置为每天升级一次,其他电脑每周至少升级一次。 定期进行病毒查杀。可上互联网电脑设置为每天查杀一次,其他电脑每周至少查杀一次。 发现病毒后,及时采取将中毒电脑
13、断网等隔离措施,防止病毒在公司网络扩散。,7.2.4用户管理及密码策略,重命名系统管理员administrator,删除或重命名来宾帐户guest,重取的名字要有隐蔽性。根据运行需要建立用户。长期不使用的帐户应设置为禁用或者删除。 对于工作人员柜台终端,要求为工作人员建立单独的普通权限用户,并根据情况控制该普通用户不能使用U盘、软驱、光驱等。administrator用户统一由计算机管理人员掌管。 “本地安全策略帐户策略密码策略”设置。设置最小密码长度8;密码最长期限不长于90天;密码最短期限不少于2天;强制执行密码历史记录设为3。至少使用以下四个字符集中的三个:大写字母;小写字母;数字;非字
14、母数字字符。,7.2.5屏幕锁定,对于机房以外业务终端等重要系统,启用自动屏幕锁定保护,等待时间设置为10分钟。离开或下班前要求业务人员手工进入屏幕锁定状态。,7.2.6本地策略,启用审核策略。审核登录事件、系统事件、帐户管理、对象访问(仅在需要并且定义了文件系统或注册表的审核项时启用)。 对于开启了文件共享服务的机器,对匿名连接的额外限制。生产系统中相关机器设置为:不允许枚举 SAM 帐号和共享;个人办公机、上互联网机器设置为:没有显式匿名权限就无法访问。,7.2.7文件共享服务的加固,删除默认共享(C$、D$ ,ADMIN$)。 删除默认共享(IPC$)。 建立单独共享,按需设置权限。 设置好TCP/IP端口控制。,7.2.8双网卡机器管理,加强对连接外联网的双网卡计算机的管理: 除正常业务所需机器外,其他机器严禁使用双网卡。 在非业务时段,且业务不再需要时,关闭双网卡机器。 每台机器上只安装应用程序所需要的通讯协议。 除作好服务、协议、端口控制外,还必须安装使用杀毒软件以及自带的防火墙软件、防黑客软件。,7.4 SQL SERVER数据库安全配置,以SQL SERVER 7.0/2000为例进行说明。 1. 使用安全的帐号策略 2. 使用安全的密码策略 3. 删除不必要的扩展存储过程 4.
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026ios 常见的面试题及答案
- 2026java开发中级面试题及答案
- 2026map面试题及答案
- 2026年手术室无菌技术考核试题及答案
- 小学五年级数学《平行四边形的面积》单元核心教学设计
- 2026年麻精药品培训考核试题(含答案)
- 小学语文三年级上册《东方之珠》全景素养导向教学设计
- 初中八年级数学上册《等腰三角形》单元整合与拓展复习教学设计
- 高职临床医学专业二年级《烟草依赖的病理生理学基础与临床戒烟干预整合教学》教案
- 小学三年级语文(统编版)下册第八单元《方帽子店》高阶思辨与复述知识清单
- C63-TBC1D24基因相关癫痫的临床表型及头颅影像学特点研究
- 2025机修工劳动合同样本
- 智慧树知道网课《动物生理学(华南农业大学)》课后章节测试答案
- 2024八年级道德与法治上册知识点
- 2025 年小升初济南市初一新生分班考试数学试卷(带答案解析)-(人教版)
- 技改大修工程项目管理手册与实践经验分享
- 【初中数学】学霸笔记手写版
- 金华市开发区数学试卷
- 部编版六年级下册教案设计(全册)
- 低碳烯烃生产技术
- 小学作业公示管理制度
评论
0/150
提交评论