《系统与网络安全管理实训教材.doc》由会员分享,可在线阅读,更多相关《系统与网络安全管理实训教材.doc(89页珍藏版)》请在三一办公上搜索。
1、系统与网络安全管理实训指导书信息技术系 郭毅目 录第一章 Windows Server2003系统安全管理4实训1.1利用安全模板设置系统4实训1.2“TCP/IP协议”网络安全设置11第二章 账户安全管理21实训2.1独立服务器用户账户管理及策略设置21实训2.2域控制器用户账户管理及策略设置32第三章 系统资源的安全管理43实训3.1文件系统和共享资源的安全设置43实训3.2注册表的安全管理56第四章IIS服务的实现和安全配置61实训4.1启用IIS服务功能61实训4.2 IIS服务的安全配置72第五章Windows系统的安全加固及漏洞与防范80实训5.1系统的安全加固及安全漏洞与防范80
2、前 言操作系统是计算机资源的直接管理者,是计算机软件的基础和核心,一切应用软件都是建立在操作系统之上的,如果没有操作系统的安全,就谈不上主机和网络系统的安全,更谈不上其他应用软件的安全。因此,操作系统的安全是整个计算机系统的安全的基础。本实训指导书以windows2003操作系统为配置对象,windows2003是微软公司开发的和C2级安全标准-可信计算机系统评价准则(TCSEC)相兼容的,在安全性上能够充分确保系统安全、稳定、高效地运行。但针对操作系统所提供的不同的应用和服务,也需要进行具体的安全配置操作。因此,本指导书包括的9个实训内容,分别从系统安全管理、账户安全管理、系统资源的安全管理
3、、IIS服务的实现和安全配置、Windows系统安全加固及漏洞防范等5个方面在理论指导的前提下注重实际操作过程及安全配置的实现。通过完成本书的9个实训内容,能够达到提高系统安全的风险管理意识目的,具备基本的安全配置操作能力,并使windows服务器系统处于一个相对安全的运行环境,减少系统的安全风险,提升服务器运行的安全性和稳定性,但安全问题没有统一的标准和尺度,本实训旨在当面对系统不同的服务需求如何进行针对性的安全配置以保证服务器真正处于一个安全的环境运行,减少系统风险提供操作方法。第一章 windows Server2003系统安全管理本章包括二个实训:实训1.1是利用安全模板对系统进行安全
4、设置。实训1.2对“TCP/IP协议”进行安全设置。实训1.1利用安全模板设置系统实训目的:利用安全模板进行windows Server2003系统的安全配置,提升系统整体的安全性。实训要求:安装windows Server2003系统的计算机。实训内容:通过windows Server2003系统的安全模板进行系统安全设置。添加安全配置和分析模块,新建数据库导入安全模板进行系统安全分析。实训过程:1、使用管理员权限登录首先必须以系统管理员或administrators组成员的账户身份登录系统才能完成管理单元的加载以及系统安全性分析和配置操作;注意:要执行该过程,您必须是本地计算机Admini
5、strators 组的成员,或者您必须被委派适当的权限。如果将计算机加入域,Domain Admins 组的成员也可以执行这个过程。2、打开“安全配置和分析”要使用“安全配置和分析”功能,必须先添加该功能。过程如下:请先单击“开始”,接着单击“运行”,然后输入 mmc,最后单击“确定”。在“文件”菜单上,单击“打开”,单击要打开的控制台,然后单击“打开”。然后,在控制台树中,使用Ctrl+M 快捷键打开“添加/删除管理单元” 如下图所示。3、添加“安全配置和分析”管理单元在“添加/删除管理单元”对话框中,点击选项页的“添加”,在弹出的“添加独立管理单元”对话框中,选择列表中的“安全配置和分析”
6、项,点击“添加”(同时可完成“安全模板”的添加)如下图所示。4、完成添加点击“关闭”,返回“添加/删除管理单元”对话框,此时在列表中可以看到新增加了“安全配置和分析”项;点击“确定”,完成“安全配置和分析”管理单元的加载。5、打开数据库执行安全性分析是根据系统提供的安全模板来实现的,这个过程中,需要用户打开或新建一个包含安全信息的数据库,并选择合适的安全模板。过程如下:在控制台窗口中,右键点击控制台根节点下的“安全配置和分析”,或者在快捷菜单中选择“打开数据库”命令,如下图所示。如果是首次对系统进行安全性分析,需要新建一个数据库,在“打开数据库”对话框的“文件名”处为新建的数据库输入一个名称s
7、ec1,然后点击“打开”,如下图所示。6、安全分析使用安全模板进行系统安全性分析。选择一个securews.inf安全模板(系统内置了不同安全级别的安全模板),点击“打开”,如下图所示。 右键单击“安全配置和分析”项,选择菜单中的“立即分析计算机”命令,并在“进行分析”对话框中指定保存错误日志文件的路径,点击“确定”,开始系统安全机制的分析进程,如下图所示。分析计算机安全设置后,即可进行“立即配置计算机”设置,使安全模板设置生效。最后可通过“查看日志文件”了解安全配置情况,如下图所示。实训1.2“TCP/IP协议”网络安全设置实训目的:进行windows Server2003“Internet
8、 协议”网络安全设置,提升系统网络安全性。实训要求:安装windows Server2003系统的计算机。实训内容:去掉不需要的端口,不仅可以提高网络连接速度,而且可以增强网络的安全性。下面以禁用ICMP、NetBIOS(139端口)为例进行实际操作。实训过程:一、ICMP协议是网络的一项服务,能被某些人利用这个功能通过Ping方式扫描并攻击服务器。因此,禁用ICMP可以防止用户ping服务器堵住安全威胁。说明:这里列出一些常用端口如:80为Web网站服务;21为FTP服务;25 为E-mail 邮件的SMTP服务;110为Email邮件 POP3服务,有需要可以不禁用,其他端口都可禁用。 1
9、、打开“IP安全策略管理”要打开“IP安全策略管理”,请先单击“开始”,接着单击“运行”,然后输入 mmc,最后单击“确定”。在“文件”菜单上,单击“打开”,单击要打开的控制台,然后单击“打开”。然后,在控制台树中,使用Ctrl+M 快捷键打开“添加/删除管理单元” 如下图所示。右击“IP安全策略”,选择“创建IP安全策略”,点“下一步”。输入安全策略的名称“关闭端口”,点“下一步”,“激活默认响应规则”选项去掉,最后点完成。 接着右击“关闭端口”选择“属性”,接着点击“添加”,进入管理IP筛选器和筛选器操作,在管理IP筛选器列表中,你可以添加要封锁的端口,这里以关闭ICMP和NetBIOS(
10、139端口)为例说明。 2、添加“关闭ICMP”关闭ICMP的具体操作如下:点“添加”,然后在名称中输入“关闭ICMP”,点右边的“添加”按钮,如下图所示。选择“协议”选项卡,在“选择协议类型:”中选“ICMP”,点“确定”,回到关闭ICMP属性窗口,如下图所示。 然后进入设置管理筛选器操作,点“添加”,如下图所示。选择“阻止”,选择“常规”选项卡命名“关闭ICMP操作”,最后点击“确定”,如下图所示。最后在“IP筛选器列表”和“筛选器操作”选项卡中选择上面新建的“关闭ICMP”和“关闭ICMP操作”两项,点击“应用”,如下图所示。最后回到“关闭端口”点击右键选择“指派”则将禁用ICMP。关闭
11、了ICMP,黑客软件一般不能扫描到你的机器,也Ping不到你的机器。二、禁用TCP/IP上的NetBIOS当安装TCP/IP协议时,NetBIOS 也被Windows作为默认设置载入,我们的计算机也具有了NetBIOS本身的开放性,即139端口被打开。使用户能通过文件和打印机共享访问服务器。禁用TCP/IP协议上的NetBIOS步骤如下:右击要配置的网络连接,然后单击“属性”命令项。在“常规”选项卡中选中“Internet协议(TCP/IP)”点击“属性”,然后在弹出对话框中点击“高级”,如下图所示。选择“WINS”选项卡,在此指定NetBIOS设置,选择“禁用TCP/IP上的NetBIOS”
12、选项,最后“确定”如下图所示。第二章 账户安全管理本章包括二个实训:2.1独立服务器用户账户管理及策略设置。2.2域控制器用户账户管理及策略设置。实训2.1独立服务器用户账户管理及策略设置实训目的:Windows系统的安全性在很大程度上取决于对每个用户所设置的权限,错误的授权有可能导致灾难性的后果,因此,账户的设置为系统安全管理提供了有力的保障。实训要求:安装windows Server2003系统的计算机。实训内容:对独立服务器用户账户进行设置,修改administrator账号,建立虚拟的管理员账号,禁用Guest来宾账号,并设置账户、密码策略。实训过程:一、系统账户设置原则系统管理员账户
13、拥有系统中最高的权限,相当于拥有了整个网络和系统的所有资源。因此,管理员账户也成为入侵者的主要攻击目标。同时Guest账户也是入侵者的目标之一。作为网络和计算机管理员,尤其应该做好管理员账户的安全管理,避免被破解或盗取。1、修改administrator账号选择“开始”“程序”“管理工具”“计算机管理”命令,打开“计算机管理”窗口,选择“计算机管理(本地)”“系统工具”“本地用户和组”“用户”选项,如下图所示。在窗口右侧选择administrator账号后单击鼠标右名键选择“重命名”为“dlgl”,如下图所示:2、建立一个虚拟管理员账号在该窗口中点击右键,新建一个名为Administrator
14、的陷阱帐号,为其设置最小的权限(注意此账号一定要是最小权限),操作步骤如下:然后输入任意组合的最好不低于20位的密码(保证在修改密码前无重要资料),点击“确定”如下图所示:添加的虚拟账户默认隶属于Users组,以保证该账户最小的权限。可通过该账户属性查看。如下图所示:3、修改Guest账户将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,操作如下:选择“Guest”账户,点击右键选择“重命名”为lb,如下图所示:然后输入一个复杂密码,输入的密码必需符合系统的密码过滤规范,即要包含数字、字母、特殊字符等,然后点击“确定”。选择“Guest”账户,点击右键选择“属性”,在“常规”选项卡
15、中点击“账户已禁用”打勾,然后“确定”。如下图所示:二、密码策略设置密码策略设置包含以下6个策略:l 密码必须符合复杂性要求。l 密码长度最小值。l 密码最长使用期限。l 密码最短使用期限。l 强制密码历史。l 用可还原的加密来储存密码。下面以设置“强制密码历史”策略为例来说明如何设置账户策略。该策略通过确保旧密码不能重复使用,从而使管理员能够增强安全性。具体设置如下:选择“开始”“运行”命令,显示“运行”对话框,在“打开”文本框中,输入“gpedit.msc”,单击“确定”按钮,打开“组策略控制台窗口”,选择“计算机配置”“Windows设置”“安全设置”“账户策略”“密码策略”选项,显示如
16、图所示。在右侧的策略窗口中双击“强制密码历史”策略,显示“强制密码历史属性”对话框。在“不保留密码历史”文本框中,键入许可保留的密码个数如10个,如图所示。单击“确定”按钮,即可完成强制密码历史策略的修改。三、账户锁定策略账户锁定策略用于域账户或本地用户账户,用来确定某个账户被系统锁定的情况和时间长短。账户锁定策略包含以下3个策略:l 复位账户锁定计数器。l 账户锁定时间。l 账户锁定阈值。下面以“账户锁定阈值”策略为例说明如何设置账户锁定策略。该安全设置确定造成用户账户被锁定的登录失败尝试的次数,在被锁定期间该账户将不能使用。具体设置如下:1、选择“开始”“运行”命令,显示“运行”对话框,在
17、“打开”文本框中,输入“gpedit.msc”,单击“确定”按钮,打开“组策略编辑器”窗口,选择“计算机配置”“Windows设置”“安全设置”“账户策略”“账户锁定策略”选项,显示如图所示。2、在右侧的策略窗口中,双击“账户锁定阈值”策略,显示“账户锁定阈值 属性”对话框,如下图所示。在“在发生以下情况之后,锁定账户”文本框中,键入无效登录的次数如3,则表示3次无效登录后,锁定登录所使用的账户。3、单击“确定”按钮,显示“建议的数值改动”对话框。本策略的更改将同步更改其他关联策略,如图所示。 单击“确定”按钮,完成策略的设置,如下图所示。实训2.2域控制器用户账户管理及策略设置实训目的:Wi
18、ndows系统的安全性在很大程度上取决于对每个用户所设置的权限,错误的授权有可能导致灾难性的后果,因此,账户的权限设置为系统安全管理提供了有力的保障。实训要求:安装windows Server2003系统的计算机。实训内容:对域控制器用户账户进行设置,修改administrator账号,建立虚拟的管理员账号,禁用Guest来宾账号。设置账户、密码策略。实训过程:1、修改administrator账号系统账户最好少建,更改默认的帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。操作步骤如下:选择administrator账号后单击鼠
19、标右名键选择“重命名”为“gl”,如下图所示。弹出如下对话框,选择“是”,将重新以新用户名登录。选择“gl”账号右键选择“属性”,在“常规”选项卡中修改“描述内容”,如下图所示。2、建立一个虚拟管理员账号新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后输入任意组合的最好不低于20位的密码操作步骤如下:选择“Users”目录下的“新建”子目录,然后点击“用户”,如下图所示。在“姓(L):”和“用户登录名(U):”中输入“Administrator”内容,然后点击“下一步”。如下图所示:在此处输入“密码”,输入的密码必需符合系统的密码过滤规范,即要包含数字、字母、特殊字符
20、等,然后点击“下一步”完成账号设置。如下图所示。添加的虚拟账户默认隶属于Users组,以保证该账户最小的权限。如下图所示。3、修改Guest账户将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,操作如下:选择“Guest”账户,点击右键选择“重设密码”,如下图所示。然后输入一个复杂密码,输入的密码必需符合系统的密码过滤规范,即要包含数字、字母、特殊字符等,然后点击“确定”,如下图所示。选择“Guest”账户,点击右键选择“属性”,如下图所示。选择“账户”选项卡,在“账户选项:”中点击“账户已禁用”打勾,然后“确定”。如下图所示。4、编辑默认域账户设置在“开始”“管理工具”“域安全策
21、略”,打开“默认域账户设置”窗口,选择“安全设置“账户策略”“账户锁定策略”,将账户设为“3次登陆无效”,“锁定时间60分钟”,“复位锁定计数设为60分钟”。(注:“复位锁定计数器时间”必须大于“账户锁定时间”)如下图所示。5、在“默认域安全设置”“本地策略”“安全选项”中将“不显示上次的用户名”设为“启用”,如下图所示。6、在“默认域安全设置”“本地策略”“用户权利”分配中将“从网络访问此计算机”中添加组或账号,以使其可以通过网络访问些计算机,如下图所示。选择“定义这些策略设置”打勾,并点击“添加用户或组(U)”,点击“浏览”出现窗口如下图所示。点击“高级(A)”后,出现如下图所示。点击“立
22、即查找(N)”后,在“搜索结果(U):”中列出所有账户信息,如下图所示。添加启动IIS进程账户(IIS_WPG)和域的来宾账户(Domain Guests)。如果还提供其他的服务如A,则保留相应账户即可。第三章 系统资源的安全管理本章包括二个实训:3.1文件系统和共享资源的安全设置。3.2注册表的安全管理。实训3.1文件系统和共享资源的安全设置实训目的:Windows系统为本地及网络用户提供了一系列良好应用资源,因此保障这些应用资源的有效、安全的应用是尤为重要,本实训对资源安全管理措施进行详细分析和设置。实训要求:安装windows Server2003系统的计算机。实训内容:对系统盘、c:D
23、ocuments and Settings目录及其子目录分别进行不同的权限设置,对system32目录的可执行程序进行权限设置。实训过程:1、设置系统盘(c:)权限。打开“我的电脑”选择系统盘右键选择“属性”,在弹出的窗口中选择“安全”选项卡,如下图所示。保留“administrators”和“system”用户组权限的默认值,其他用户组删除,如下图所示。2、添加IIS_WPG进程组“特别权限或高级设置,请单击高级”处点击“高级”按钮,如下图所示。点击“添加”按钮后,出现如下图所示。选择“高级(A)”按钮,然后点击“立即查找(N)”按钮,出现如下图所示。选择“IIS_WPG”后点击“确定”后,
24、在“权限项目”窗口中设置,应用到“只有该文件夹”权限为“创建文件/写入数据”,点击“确定”,如下图所示。在“高级安全设置”窗口中点击“应用”,如下图所示。重复以上过程继续添加IIS_WPG,然后到“权限项目”窗口中设置不同的权限,应用到“该文件夹,子文件夹及文件”,权限设置“遍历文件夹/运行文件 ”、“列出文件夹/读取数据”、“读取属性”、“创建文件夹/附加数据 ”、“读取权限”,如下图所示。在“高级安全设置”窗口中点击“应用”,如下图所示。2、设置系统盘Documents and Settings及其子目录权限。(Documents and Settings子目录的权限不会继承Documen
25、ts and Settings的设置,因此需分别设置)选择Documents and Settings文件夹,点击右键选择“属性”,在“安全”选项卡中只保留Administrators 和 SYSTEM 权限,其他的删除,如下图所示。选择Documents and SettingsAll Users文件夹,点击右键选择“属性”,在“安全”中只保留Administrators 和 SYSTEM 权限,其他的删除,如下图所示。选择Documents and SettingsAll UsersApplication Data文件夹,点击右键选择“属性”,在“安全”中只保留Administrators
26、 和 SYSTEM 权限,其他的删除,如下图所示。选择Windows文件夹,点击右键选择“属性”,在“安全”中只保留Administrators 和 SYSTEM和users权限,其他的删除(ASP和ASPX等应用程序运行需要users的权限),如下图所示。其他目录,如果有安装程序运行的可设置Administrators 和 SYSTEM 权限,无只给 Administrators 权限(某些程序的服务功能需要SYSTEM用户组权限)。3、设置WindowsSystem32目录下文件的权限。将WindowsSystem32目录下的net.exe,net1.exe,cmd.exe,command
27、.exe,ftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe等文件设置Administrators 权限。(下面以net.exe文件设置为例)选择文件net.exe点击右键,选择“安全”选项卡,在“组或用户名称(G):”中只保留Administrators用户组名称,其他的删除,如下图所示。实训3.2注册表的安全管理实训目的:windows的应用程序的许多初始化信息和配置信息等都存储在注册表中,如某些软件的序列号和注册信息,远程数据库的用户和明文口令等,对注册表信息进行修改即可以增强系统安全,又能为入侵者提供便利,因此进行安全
28、保护具有举足轻重的作用。实训要求:安装windows Server2003系统的计算机。实训内容:注册表中记录了windows系统和程序进行运转的几乎所有关键信息,在对注册表相关项进行设置提高系统的安全性的同时也需对注册表本身进行访问控制防止注册表的非法修改。实训过程:一、修改注册表相关项目提高安全性。1、禁用IPC空连接默认情况下,任何用户可利用net use、net view、nbtstat等网络命令建立空连接连上服务器,进而枚举出帐号,猜测密码。因此禁止空连接很有必要。具体步骤如下:在“开始”菜单中选择“运行”命令,输入“regedit”打开注册表,如下图所示。找到如下分支KEY_Loc
29、al_MachineSystemCurrentControlSetControlLSA的RestrictAnonymous值项,把该值改成“1”,如下图所示。2、更改TTL值 不同的TTL值代表不同的操作系统,因此,通过修改TTL值为任意值,可以防止入侵者根据ping回的TTL值来大致判断你的操作系统,具体操作如下: TTL=107(WINNT); TTL=108(win2000); TTL=127或128(win9x); TTL=240或241(linux); TTL=252(solaris); TTL=240(Irix); 可根据情况修改该值,找到如下分支HKEY_LOCAL_MACHIN
30、ESYSTEMCurrentControlSetServicesTcpipParameters新建名称为DefaultTTL类型为REG_DWORD的键值,如下图所示。双击DefaultTTL键名,任意设置一个十进制数字258(十六进制102)如下图所示。3、完全隐藏重要文件/目录:系统盘中的一些重要文件/目录及一些设置为“隐藏”属性的文件/目录一般可以通过修改窗口属性后看到,通过修改注册表能实现完全隐藏的效果。具体步骤如下:找到如下分支HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolder
31、Hi-ddenSHOWALL的CheckedValue值项,把数值改为0 ,如下图所示。二、注册表访问控制的安全管理对注册表的安全管理可以分为两种:一种方法是对注册表命令(regedit.exe、 Reg.exe)文件添加需要访问的账户名及权限设置即可。对文件进行权限设置的方法在实训3.2中已做介绍。下面介绍另一种方法是限制对注册表的网络访问和对注册表关键项的访问。对注册表网络访问(远程访问)的实现可以通过设置下列子关键字Winreg的访问控制列表ACL实现。打开注册表,找到下面分支HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurePi
32、peServersWinregAllowedPaths的Machine值项,如下图所示。将需要远程访问的注册表键的路径添加到Machine值中即可。也可以在“本地安全策略”的“安全选项”中的“网络访问:可远程访问的注册表路径和子路径”进行设置。第四章IIS服务的实现和安全配置本章包括二个实训:4.1启用IIS服务功能。4.2 IIS服务的安全配置。实训4.1启用IIS服务功能实训目的:IIS(Internet Information Server)作为如今最流行的WEB服务器之一,提供了强大了Internet和Intranet服务功能,因此,建立高安全性能可靠的WEB服务器,已成为网络管理的重
33、要部分。实训要求:安装windows Server2003系统的计算机。实训内容:启用IIS服务器,配置相关的IIS服务应用功能。实训过程:1、启动windows2003服务器,添加IIS服务。“开始菜单”“控制面板”“添加或删除程序”“添加/删除Windows组件”,选择“应用程序服务器”,如下图所示。在窗口中点击“详细信息”,选择“Internet信息服务(IIS)”,后点击“确定”,如下图所示。2、配置Web站点选择“开始”“程序”“管理工具”,选择“Internet信息服务(IIS)管理器”命令,如下图所示。(1)设置网站基本属性在IIS管理器窗口中,展开左侧的目录树,右击“网站”的选
34、项,选择“新建(N)”“网站(W)”如下图所示。在网站创建向导窗口中输入“shixun”,点击“下一步”按钮,如下图所示。在“IP地址和端口设置”窗口中“网站IP地址(E):”选择本服务器IP地址,(“网站TCP端口”处可修改默认端口号,以提高网站安全性,这里采用暂不修改)如下图所示。在“网站主目录”窗口“路径(P):”处输入网站内容存放的位置(可新建目录),任一个网站都需要有主目录作为默认目录,如下图所示。在“网站访问权限”窗口中可设置访问权限,如下图所示。点击“确定”后完成“shixun”网站的新建工作,以上设置如需在建站成功后修改,可右击“shixun”网站名称,选择“属性”,在“网站”
35、选项卡中可以配置网络标识中的IP地址为本服务器IP地址、TCP端口,如下图所示。(3)在“主目录”选项卡中可设置当客户端请求链接时,就会将主目录中的网页等内容显示给用户,如下图所示。(4)设置默认文档,通常情况下,Web网站都需要至少一个默认文档,当在IE浏览器中使用IP地址或域名访问时,Web服务器会将默认文档回应给浏览器,并显示其内容。在下图中添加“index.html”。(5)将制作好的整个网站全部上传到主目录,即“C:Inetpubshixun”中,其中网站的主文档名称必需是以上设置的默认内容文档的名称之一。最后输入网站IP地址“http:/192.168.2.1/index.html
36、”访问该网站如下图所示。在第三章实训3.1中对系统盘(C:)的目录及文件的权限进行过设置,删除了不需要的用户组及账户,因此在此处则需要输入用户名才对网站进行访问。可对“C:Inetpubshixun”目录添加访问用户组、单个账户及权限,如添加“Everyone”用户组或添加单个账户,以排除被限制访问网站的人员。(注:如添加的是“Everyone”账户组则将以匿名方式访问,如新建的个人账户则密码输入纯数字)实训4.2 IIS服务的安全配置实训目的:Windows系统是一个开放的系统,文件系统几乎没有进行安全设置,接入网络的任何用户都可以访问资源,IIS服务同样具有这样的风险,因此,加强对IIS服
37、务器的安全设置,是非常有必要的。实训要求:安装windows Server2003系统的计算机,并启用IIS服务。实训内容:设置从网络访问计算机的访问控制,删除不必要的访问用户组。IIS属性的安全设置主目录访问权限、目录安全性、删除不必要的默认文档、日志文件目录的修改。实训过程:一、设置从网络访问服务器的权限打开“开始”“程序”“管理工具”“本地安全策略”,在弹出的窗口的右边栏中选择“本地策略”“用户权限分配”,在右边栏中选择“从网络访问计算机”选项,如下图所示。打开“从网络访问计算机”选项,在此添加用以通过网络访问网站的用户组或单个账户,并且删除不需要的用户组或单个账户如下图所示。二、IIS
38、属性的安全设置1、打开“Internet信息服务(IIS)管理器”,选择“shixun”右键点击属性,在窗口中选择“主目录”选项卡,将“脚本资源访问(T)”及“读取(R)”打勾,如下图所示。2、选择“目录安全性”选项卡,在“身份验证和访问控制”中点击“编辑”按钮,如下图所示。将“启用匿名访问(A)”的勾去掉,不允许匿名访问,如下图所示。在“IP地址和域名限制”中点击编辑,在弹出的窗口中可授权或拒绝访问的计算机IP地址,如拒绝192.168.2.1访问,设置如下图所示。设置成功后,打开该网站,则出现“客户端IP地址被拒绝。”的网页提示,如下图所示。3、删除不必要的IIS扩展名映射。选择“主目录”
39、选项卡,删除掉主要为.shtml, .shtm, .stm4、更改IIS日志的路径选择“网站”选项卡,在“启用日志记录(E)”中点击“属性”按钮,在“日志文件目录(L):”中更改日志文件存放位置,防止非法修改,如下图所示。第五章Windows系统的安全加固及漏洞防范本章包括一个实训:5.1系统的安全加固及漏洞防范。实训5.1系统的安全加固及漏洞防范实训目的:Windows Server 2003作为Microsoft 最新推出的服务器操作系统,相比Windows 2000/XP系统来说,各方面的功能确实得到了增强,尤其在安全方面,但“金无足赤”任何事物也没有十全十美的,微软Windows 20
40、03也是如此,照样存在着系统漏洞、存在着不少安全隐患!如何让Windows Server 2003更加安全,成为广大用户十分关注的问题。实训要求:安装windows Server2003系统的计算机。实训内容:Windows2003系统加固堵住资源共享隐患、远程访问、用户切换。实训过程:1、堵住资源共享隐患为了给局域网用户相互之间传输信息带来方便,WindowsServer2003系统为各位提供了文件和打印共享功能,不过我们在享受该功能带来便利的同时也向黑客们敞开了不少漏洞,给服务器系统造成了很大的不安全性;所以,在用完文件或打印共享功能时,应随时将功能关闭,以便堵住资源共享隐患,下面就是关闭
41、共享功能的具体步骤:执行控制面板菜单项下面的“网络连接”命令,在随后出现的窗口中,用鼠标右键单击一下“本地连接”图标,如下图所示。在打开的快捷菜单中,单击“属性”命令,这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框,取消“Microsoft网络的文件和打印机共享”这个选项,如下图所示。 2、堵住远程访问隐患在Windows2003系统下,要进行远程网络访问连接时,该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码,通过普通明文内容方式传输给对应连接端的客户端程序;在明文帐号传输过程中,实现“安插”在网络通道上的各种嗅探工具,会自动进入“嗅探”状态,这个明文帐
42、号就很容易被“捕获”;明文帐号及密码内容一旦被黑客或其他攻击者利用的话,小心自己的系统被“疯狂”攻击吧!为了杜绝这种安全隐患,我们可以按下面的方法来为系统“加固”: 点击系统桌面上的“开始”按钮,打开开始菜单,从中执行控制面板命令,从弹出的下拉菜单中,选中“系统”命令,打开一个“系统属性”设置界面,鼠标单击“远程”选项卡,如下图所示。在“远程桌面”中,将“启用这台计算机上的远程桌面(E)”选项取消掉,这样就可以将远程访问连接功能屏蔽掉,从而堵住远程访问隐患了。 3、堵住页面交换隐患Windows2003操作系统即使在正常工作的情况下,也有可能会向黑客或者其他访问者泄漏重要的机密信息,特别是一些
43、重要的帐号信息。也许我们永远不会想到要查看一下,那些可能会泄漏隐私信息的文件。在操作系统中的页面交换文件中,其实就隐藏了不少重要隐私信息,这些信息都是在动态中产生的,要是不及时将它们清除,就很有可能成为黑客的入侵突破口;为此,我们可按照下面的方法,来让Windows2003操作系统在关闭系统时,自动将系统工作时产生的页面文件全部删除掉:1、在Windows2003的“开始”菜单中,执行“运行”命令,打开运行对话框,并在其中输入“Regedit”命令,来打开注册表窗口,如下图所示。2、在该窗口的左边区域中,用鼠标依次单击HKEY_local_machinesystemcurrentcontrol
44、setcontrolsession managermemorymanagement键值,找到右边区域中的ClearPageFileAtShutdown键值(如图2所示),并用鼠标双击之,在随后打开的数值设置窗口中,将该DWORD值重新修改为“1”,如下图所示。4、清除默认共享隐患使用Windows Server 2003的用户都会碰到一个问题,就是系统在默认安装时,都会产生默认的共享文件夹。虽然用户并没有设置共享,但每个盘符都被Windows自动设置了共享,其共享名为盘符后面加一个符号(共享名称分别为c$、d$、ipc$以及admin$)。也就是说,只要攻击者知道了该系统的管理员密码,就有可能
45、通过“工作站名共享名称”的方法,来打开系统的指定文件夹,因此,我们很有必要将Windows Server 2003系统默认的共享隐患,从系统中清除掉:1、删除Windows Server 2003默认共享,首先编写如下内容的批处理文件:echo offnet share C$ /delnet share D$ /delnet share E$ /delnet share F$ /delnet share admin$ /del以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat,存放到系统所在文件夹下的system32GroupPolicyUserScriptsLogon
46、目录下。然后在“开始”菜单-“运行”中输入gpedit.msc,回车即可打开组策略编辑器。点击“用户配置”-“Windows设置”-“脚本(登录/注销)”-“登录”,如下图所示。在出现的“登录 属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“确定”按钮,如下图所示。重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度。2、禁用IPC连接IPC$(Internet Process Connection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方计算机即可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。它是Windows NT/2000/XP/2003特有的功能,但它有一个特点,即在同一时间内,两个IP之
