《Windows 操作系统的安全配置ppt课件.ppt》由会员分享,可在线阅读,更多相关《Windows 操作系统的安全配置ppt课件.ppt(41页珍藏版)》请在三一办公上搜索。
1、1,Windows 操作系统的安全配置,2,物理安全账号、密码安全本地安全策略服务安全网络安全Microsoft 基准安全分析器文件加密,3,物理安全,物理安全 重要主机应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。禁止从软盘和CD Rom启动系统 一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。 查看键盘、主机、显示器、计算机桌等与计算机环境相关的设备是否有多余的东西
2、,4,账号、密码安全,停掉Guest 帐号在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码。如果要启动Guest 帐号,一定要查看该账号的权限,只能以受限权限运行。,5,限制不必要的用户数量 去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。使用安全密码 一个好的密码对于一个网络是非常重要的,但是
3、它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得N简单,比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。,账号、密码安全,6,把系统administrator帐号改名大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点
4、。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。 创建一个陷阱帐号什么是陷阱帐号? 创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts 忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。,账号、密码安全,7,不让系统显示上次登陆的用户名 默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名
5、,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName把 REG_SZ 的键值改成 1 .,账号、密码安全,8,开启密码密码策略策略 设置 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5 次 强制密码历史 42 天 开启帐户策略 策略 设置 复位帐户锁定计数器 20分钟 帐户锁定时间 20分钟 帐户锁定阈值 3次,本地安全策略,9,本地安全策略打开管理工具找到本地安全设置.本地策略.安全选项 网络访问.不允许S
6、AM帐户的匿名枚举 启用 网络访问.可匿名的共享 将后面的值删除 网络访问.可匿名的命名管道 将后面的值删除 网络访问.可远程访问的注册表路径 将后面的值删除 网络访问.可远程访问的注册表的子路径 将后面的值删除 网络访问.限制匿名访问命名管道和共享,本地安全策略,10,打开审核策略 开启安全审核是win2000/XP最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:策略设置审核系统登陆事
7、件 成功,失败 审核帐户管理 成功,失败 审核登陆事件 成功,失败 审核对象访问 成功 审核策略更改 成功,失败 审核特权使用 成功,失败 审核系统事件 成功,失败,本地安全策略,11,关闭不必要的服务 windows 2000 的 终端、远程注册表等服务,都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别不安全服务:,服务安全,12,1.Alerter通知选定的用户和计算机管理警报 2.Cl
8、ipBook启用“剪贴簿查看器”储存信息并与远程计算机共享 3.Distributed File System将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享 4.Distributed Link Tracking Server适用局域网分布式链接? 倏突朔馷 5.Human Interface Device Access启用对人体学接口设备(HID)的通用输入访问 6.IMAPI CD-Burning COM Service管理 CD 录制 7.Indexing Service提供本地或远程计算机上文件的索引内容和属性,泄露信息 8.Kerberos Key Dis
9、tribution Center授权协议登录网络 9.License Logging监视IIS和SQL如果你没安装IIS和SQL的话就停止 10.Messenger警报 11.NetMeeting Remote Desktop Sharingnetmeeting公司留下的客户信息收集 12.Network DDE为在同一台计算机或不同计算机上运行的程序提供动态数据交换 13.Network DDE DSDM管理动态数据交换 (DDE) 网络共享 14.Print Spooler打印机服务,没有打印机就禁止吧 15.Remote Desktop HelpSession Manager管理并控制远
10、程协助 16.Remote Registry使远程计算机用户修改本地注册表 17.Routing and Remote Access在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息 18.Server支持此计算机通过网络的文件、打印、和命名管道共享 19.Special Administration Console Helper允许管理员使用紧急管理服务远程访问命令行提示符 20.TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络 21.Telnet允许远程用户登
11、录到此计算机并运行程序 22.Terminal Services允许用户以交互方式连接到远程计算机 23.Window s Image Acquisition (WIA)照相服务,应用与数码摄象机 如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。,服务安全,13,防止rpc漏洞 打开管理工具服务找到RPC(Remote Procedure Call (RPC) Locator)服务将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。,服务安全,14,关闭不必要的端口 关闭端口意味着减少功能,在安全和功
12、能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。system32driversetcservices 文件中有知名端口和服务的对照表可供参考。,网络安全,15,禁止建立空连接 默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接: Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。,网络安全,16,关闭
13、默认共享win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们。要禁止这些共享 ,打开 管理工具计算机管理共享文件夹共享 在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。 C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有Administrator和Backup Operators组成员才可连接,Win2000 Server版本Server Operatros组也可以连接到这些共享目录。ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都指向Win2000的安装路径。
14、 IPC$ 空连接。IPC$共享提供了登录到系统的能力。NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处理登陆域请求时用到PRINT$ %SYSTEMROOT%SYSTEM32SPOOLDRIVERS 用户远程管理打印机,网络安全,17,net share ipc$ /deletenet share admin$ /deletenet share c$ /deletenet share d$ /deletenet share e$ /delete到“计算机管理”窗口中,单击展开左侧的“服务和应用程序”并选中其中的“服务”,此时右侧就列出了所有服务项目。
15、共享服务对应的名称是“Server”(在进程中的名称为services),找到后双击它,在弹出的“常规”标签中把“启动类型”由原来的“自动”更改为“已禁用”。然后单击下面“服务状态”的“停止”按钮,再确认一下就OK了。,网络安全,18,把共享文件的权限从”everyone”组改成“授权用户” “everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。,网络安全,19,修改注册表加强安全性,禁止默认共享HKEY_LOCAL_MAC
16、HINESYSTEMCurrentControlSetServiceslanmanserverparameters 新建DOWRD“AutoShareServer”设置为“0” 修改默认的TTL值HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建DOWRD值为DefaultTTL 阻止ICMP重定向报文HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersEnableICMPRedirects REG_DWORD 0 x0(默认值为0 x1
17、),20,锁住注册表 在winXP中,只有administrators和Backup Operators才有从网络上访问注册表的权限。,注册表安全,21,启动安全,注册表启动项:HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunHKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceExHKCUSOFTWAREMicrosoftWindowsCurrentVersionRunHKCUSOFTWAREMicrosoft
18、WindowsCurrentVersionRunOnce,22,删除不安全的组件,网络脚本病毒嵌在网页中,上网时在不知不觉中机器就会感染上这种病毒。网络脚本病毒的复制、传播都离不开FSO(File System Object)、WScript.Shell 和 Shell.application 组件 。regsvr32 -u scrrun.dll regsvr32 -uc:winntsystem32wshom.ocxregsvr32/uc:winntsystem32 shell32.dlldel scrrun.dll wshom.ocx shell32.dll,23,Windows 的文件保护
19、机制,微软为了提高 Windows 系统的可靠性和稳定性,从 Windows 2000 开始使用一种叫做 WFP ( Windows File Protection,Windows 文件保护)的机制。 WFP 把某些文件认为是非常重要的系统文件,例如所有的dll文件,exe、fon、ocx、sys还有tff等后缀的文件。在Windows 2000/XP刚装好后,系统会自动备份这些文件到一个专门的叫做 dllcache 的文件夹,这个dllcache 文件夹的位置默认保存在%SYSTEMROOT%system32dllcache。sfc,24,缓冲区溢出保护,Microsoft Windows
20、XP Service Pack 2 (SP2) 通过实施一系列称为数据执行保护 (DEP) 的硬件和软件实施技术,可以防止在已标记为数据存储区的内存区域中执行代码。,25,运行防毒软件我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库 。安装使用防火墙例如:WinXP防火墙、天网个人防火墙、诺顿防火墙、瑞星防火墙等等。因为防火墙具有数据过滤功能,可以有效的过滤掉恶意代码,和阻止DDOS攻击等等。总之如今的防火墙
21、功能强大,连漏洞扫描都有,所以你只要安装防火墙就可以杜绝大多数网络攻击,但是就算是装防火墙也不要以为就万事无忧。因为安全只是相对的,如果哪个邪派高手看上你的机器,防火墙也无济于事。我们只能尽量提高我们的安全系数,尽量把损失减少到最小。 保障备份盘的安全 一旦系统资料被破坏,备份盘将是你恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。千万别把资料备份在同一台服务器上,那样的话,还不如不要备份。,附加安全,26,考虑使用智能卡来代替密码 对于密码,总是使安全管理员进退两难,容易受到 10phtcrack 等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用
22、智能卡来代替复杂的密码是一个很好的解决方法。 考虑使用IPSec正如其名字的含义,IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。有关IPSes的详细信息可以参考: http:/,附加安全,27,到微软网站下载最新的补丁程序(包括和其它微软软件OFFICE等)很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全
23、站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。 Microsoft 基准安全分析器(MBSA) 微软公司有一套免费的系统检测工具“微软基线安全分析仪(MBSA)”,安装此软件,对系统扫描后将生成一份检测报告,该报告将列举系统中存在的所有漏洞和弱点。,附加安全,28,附加安全,安装影子系统影子系统主要用于保护您的系统,它构建现有操作系统的虚拟影像(即影子模式),它和真实的系统完全一样,用户可随时选择启用或者退出这个虚拟影像。用户进入影子模式后,所有操作都是虚拟的,不会对真正的系统产生影响,一切改变将在退出影子模式后消失。因此所有的病毒、木马程序、流氓软件都无
24、法侵害真正的操作系统,它们的所有操作都只是假象。安装虚拟机上网,29,采用 EFS 加密硬盘以保护数据采用加密文件系统 (EFS) 对敏感数据文件进行加密,可以加强数据的安生性。该解决方案可以有效的减小数据失窃的隐患。加密是一种采用数学算法的应用程序。文件经过加密处理后,只有拥有正确密钥的用户方可读取其内容。Microsoft 的 EFS 技术可以对计算机上的数据进行加密,并控制哪些人有权解密或恢复数据。文件被加密后,即使攻击者能够物理访问计算机的数据存储器,也无法读取用户数据。所有用户都必须拥有 EFS 证书,方可运用 EFS 对数据进行加密和解密。,附加安全,30,特性:1、采用单一密钥技术2、核心文件加密技术仅用于NTFS,使用户在本地计算机上安全存储数据3、加密用户使用透明,其他用户被拒4、不能加密压缩的和系统文件,加密后不能被共享、能被删除,EFS,31,32,33,切换用户或在别的机器上打开该文件,34,35,36,37,38,39,40,41,