《{安全生产管理}计算机网络安全讲义2》由会员分享,可在线阅读,更多相关《{安全生产管理}计算机网络安全讲义2(54页珍藏版)》请在金锄头文库上搜索。
1、计算机网络安全讲义,第二讲:系统加固的方法,什么是系统加固,系统安全加固是指通过一定的技术手段,提高操作系统的主机安全性和抗攻击能力,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。 常见手段有:密码系统安全增强、访问控制策略和工具、远程维护的安全性、文件系统完整性审计、增强的系统日志分析,系统加固和你们家的防盗是类似的,开尽量少的入口,堵住所有的洞 加尽可能多,尽可能强的锁 发最少的钥匙 加强巡查,及时发现问题 请保安,开尽量少的入口,一个功能越复杂的产品,出问题的概率越大,我们必需记住:简单才是美的 一台安全的计算机,其功能应该恰恰满足它功能需求,即不少,也不多。 安全是
2、有副作用的,偶尔会让你觉得不方便,我们讲的这些内容其实主要是针对服务器的,关闭服务的方法,开始菜单设置控制面板管理工具服务 直接运行services.msc,关闭不必要的服务,Windows系统会提供给用户大量的服务,实际上很多服务是很少用到的,它只是给攻击者提供了一个通道而已,把不需要的服务停掉会带来两个好处,第一是提高了安全性,第二是可以提高你的机器的性能,必需停止的服务,remote registry 远程注册表服务,允许用户通过网络修改注册表 NetMeeting Remote Desktop 允许受权的用户通过NetMeeting在网络上互相访问对方,上网时该服务会把用户名以明文形式
3、发送到连接它的客户端,黑客的嗅探程序很容易就能探测到这些账户信息。,必需停止的服务,Windows Messenger service:俗称信使服务,电脑用户在局域网内可以利用它进行资料交换(传输客户端和服务器之间的NetSend和Alerter服务消息),垃圾邮件和垃圾广告厂商,也经常利用该服务发布弹出式广告,标题为“信使服务”。而且这项服务有漏洞,MSBlast和Slammer病毒就是用它来进行快速传播的。,必需停止的服务,Performance Logs And Alerts:收集本地或远程计算机基于预先配置的日程参数的性能数据,然后将此数据写入日志或触发警报。为了防止被远程计算机搜索数
4、据,坚决禁止它 Remote Desktop Help Session Manager:如果此服务被终止,远程协助将不可用。,必需停止的服务,terminal services允许多位用户连接并控制一台机器,并且在远程计算机上显示桌面和应用程序如果你用到xp的远程控制功能,那么就需要保留该服务,否则可以禁止它。 clipbook启用“剪贴板查看器”储存信息并与远程计算机共享,必需停止的服务,fast user switching compatibility为在多用户下需要协助的应用程序提供管理 Simple File Sharing简单文件共享如果一台计算机并不是微软Windows域的一部分,
5、默认情况下所有的文件共享是可以从任何地方访问的。,必需停止的服务,Telnet(远程登录):远程登录服务是一项很老的机制,可以提供对一台计算机的远程访问。现在,很少使用telnet远程管理一个系统,取而代之的是一种加密协议即SSH。因此完全可以禁用远程登录。,不需要别打开的服务,IIS:微软的互联网信息服务(IIS)提供了将用户的计算机变成一个Web服务器的能力。这项服务可以通过以下方法关闭之:打开“控制面板”,找到“添加或删除程序”,单击“添加/删除Windows组件”,取消选择“Internet信息服务(IIS)”即可。,不需要别打开的服务,Universal Plug and Play
6、Device Host:即前面所说的“通用即插即用设备主机”服务,虽然许多用户在系统中安装了这项服务,其实并不太实用 SSDP发现服务:也称为简单服务发现服务,这种服务用于发现网络上的UpnP设备,“通用即插即用设备主机Universal Plug and Play Device Host”需要这项服务,不需要别打开的服务,TCP/IP NetBIOS Helper对于不需要文件和打印共享的用户,此项也可以禁用 Print Spooler:将文件加载到内存中以便稍后打印。如果没装打印机,可以禁用 Uninterruptible Power Supply:管理连接到计算机的不间断电源,没有安装U
7、PS的用户可以禁用。,不需要别打开的服务,smart card 管理计算机对智能卡的取读访问 Imapi Cd-burning Com Service:用Imapi管理CD录制,虽然Win XP中内置了此功能,但是我们大多会选择专业刻录软件,另外如果没有安装刻录机的话,也可以禁止该服务。,关闭以提高性能的服务,indexing service本地和远程计算机上文件的索引内容和属性,提供文件快速访问这项服务对个人用户没有多大用处,而启用后往往会占用很多cpu资源,所以禁止,关闭以提高性能的服务,application layer gateway service为internet连接共享和inte
8、rnet连接防火墙提供第三方协议插件的支持如果你没启用internet连接共享或windows xp内置防火墙,可以禁止这个服务,启用自动更新功能,Windows总是有数不清的漏洞 大部分攻击都是“拳打不识” 微软一般会在大多数人学会利用漏洞前发布补丁,所以启用自动更新可以尽可能的修好你家的栅栏 开始菜单/设置/控制面板/自动更新,尽量减少共享,不是必需的话不要共享文件、不要使用简单共享 打开任意一个文件夹,选择工具/文件夹/查看/高级选项,去掉简单共享上的钩 再共享文件时就有了安全选项,取消默认共享,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi
9、cesLanmanServerParameters 修改键AutoShareServer”(类型为“REG_DWORD”,值为“0”) 2003 serverpro 为AutoShareWks (类型为“REG_DWORD”,值为“0”),取消默认共享,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA”的“RestrictAnonymous”项设置为1可以限制IPC$ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters中AutoShareWks设置为
10、0可以禁用ADMIN$,尽量减少用户,Administrator(系统管理员)有对计算机/域的完全访问控制权;(2)Backup Operator(备份操作员)可以备份和还原计算机上的文件,而不论这些文件的权限如何;还可登录到计算机和关闭计算机,但不能更改安全性设置;(3)Guest(客人)权限同受限用户;(4)Power User(高级用户)权限同标准用户;(5)Replicator(复制员)权限是在域内复制文件;(6)User(普通用户)权限同受限用户。,尽量减少用户,在开始/设置/控制面板/管理工具/计算机管理/本地用户和组/用户中禁用所有的用户,只留一个用于使用计算机的用户,改变管理员
11、帐户名称,单击“开始运行”,在弹出的运行对话框中输入“gpedit.msc”打开组策略编辑器,依次展开“Windows设置安全设置本地策略安全选项”,并将右边列表框下拉到最底下,双击“重命名系统管理员账户”即可更名了。,禁用自动运行功能,单击“开始运行”,在“打开”框中,键入“gpedit.msc”,展开“计算机配置管理模板系统”,然后在右窗格的“设置”标题下,双击“关闭自动播放”,卸载除TCP/IP以外的网络协议,应该安装尽量少的协议 如果不需要在局域网上提供共享资源,那就只需要TCP/IP协议,应此把其他的协议都卸载把 选中网上邻居,右键选属性,把多余的协议删掉旧可以了,解除netbios
12、和tcp/ip的邦定,选中网上邻居,右键选属性,选中tcp/ip选属性,选高级/wins,选中禁用tcp/ip上的netbios,禁用不必要的端口,选中网上邻居,右键选属性,选中tcp/ip选属性,选高级/选项,选中筛选器,点击属性可以打开tcp/ip筛选器 非常遗憾, tcp/ip筛选器只能增加允许的端口而不能禁用端口,设置起来非常麻烦,我们有一个方法可以禁用端口,1. 开始-控制面板(或者管理) 管理工具 本地安全策略 2. 右击“Ip安全策略,在 本地计算机”,选择“管理 IP 筛选器表和筛选器操作”, 3. 在“管理 IP 筛选器表”中,按“添加”按钮 ,禁用端口的方法,4. 在名称(
13、N)下面添上“禁止139端口”,描述(D)也写上“禁止139端口” 添加按扭 惦记下一步 在源地址(S):处选择下拉里的第二项“任何 ip 地址”下一步,禁用端口的方法,在目标地址(D):选上“我的 ip 地址”下一步 选择协议类型(S):把”任意”选改为“tcp”下一步 设置ip协议断口:选择到端口(O) 添上你要禁止的端口“139”下一步 完成,禁用端口的方法,5. ,看完了吗?按确定按扭 6. 点击“管理筛选器操作” 同4中的,点击“关闭”按扭,禁用端口的方法,9. 右击“Ip安全策略,在 本地计算机”,选择“创建ip安全策略”同4中的进入“为此安全规则设置初始身份验证方法”,不管,点击
14、下一步 10. 出现一个警告窗口:“只有当这个规则在一台为域成员的计算机上 Kerberos 才有效。这台计算机不是一个域成员。您想继续并保留这些规则的属性吗?”选择“是”,禁用端口的方法,11. 点击“完成”按扭 12. “常规”和“规则” 点击“规则” 点击“添加”按扭 13. 点击“下一步”,一直下一步,出现一个同样的警告 yes 14. 从ip筛选器列表(I)框中点上第一个:“禁止139端口”前面的成为,禁用端口的方法,15. 同14,选择下一步。同7,出现“完成”按扭,点击完成。确定 16. 关闭 属性筐 17. 右键点击右面窗口的“禁止139端口连接” 指派,禁用端口的方法,这个方
15、法其实也很麻烦,不如安个第三方的防火墙,那里面禁用端口容易的多 应该禁用端口 TCP 135、139、445、593、1025 TCP 2745、3127、6129 、3389 UDP 135、137、138、445,端口的作用,135 为RPC通信提供一种服务端口的映射功能 139端口是一种TCP端口,该端口在你通过网上邻居访问局域网中的共享文件或共享打印机时就能发挥作用 445端口也是一种TCP端口,该端口在Windows 2000 Server或Windows Server 2003系统中发挥的作用与139端口是完全相同的。具体地说,它也是提供局域网中文件或打印机共享服务。,端口的作用,
16、593 IPC开设的端口 3389 远程登录,强化密码管理,密码是计算机的锁,要想安全,必需设定有一定强度的密码 我们可以通过安全策略来设定密码的要求,在控制面板本地安全策略帐户策略 启用复杂性要求,复杂性要求下的密码设定,不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分 至少有六个字符长 包含以下四类字符中的三类字符: 英文大写字母(A 到 Z) 英文小写字母(a 到 z) 10 个基本数字(0 到 9) 非字母字符(例如 !、$、#、%) 在更改或创建密码时执行复杂性要求。,其他的可以设置的内容,密码长度最小值 密码最大存活期 强制密码历史,帐户锁定策略,帐户锁定阈值 此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之前,无法使用该锁定帐户。可以将登录尝试失败次数设置为介于 0 和 999 之间的值。如果将值设置为 0,则永远不会锁定帐户。,帐户锁定时间,此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从 0 到 99,999 分钟。如果将帐户锁定时间设置为 0,帐户将一直被锁定直到管理员明确解除对它的锁定。,
