《Windows操作系统的安全配置PPT演示文稿》由会员分享,可在线阅读,更多相关《Windows操作系统的安全配置PPT演示文稿(41页珍藏版)》请在金锄头文库上搜索。
1、Windows 操作系统的安全配置,物理安全 账号、密码安全 本地安全策略 服务安全 网络安全 Microsoft 基准安全分析器 文件加密,物理安全,物理安全 重要主机应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。 禁止从软盘和CD Rom启动系统 一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。 查看键盘、主机、显示器、计算机桌等与计算机环境相关的设备是否有多余的东
2、西,账号、密码安全,停掉Guest 帐号在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码。 如果要启动Guest 帐号,一定要查看该账号的权限,只能以受限权限运行。,限制不必要的用户数量 去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。 使用安全密码 一个好的密码对于一个网络是非常重要的,但是它
3、是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得N简单,比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。,账号、密码安全,把系统administrator帐号改名大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然
4、,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。 创建一个陷阱帐号什么是陷阱帐号? 创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts 忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。,账号、密码安全,不让系统显示上次登陆的用户名 默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密
5、码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName把 REG_SZ 的键值改成 1 .,账号、密码安全,开启密码密码策略策略 设置 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5 次 强制密码历史 42 天 开启帐户策略 策略 设置 复位帐户锁定计数器 20分钟 帐户锁定时间 20分钟 帐户锁定阈值 3次,本地安全策略,本地安全策略 打开管理工具找到本地安全设置.本地策略.安全选项 网络访问.不允许SAM帐户的匿名枚
6、举 启用 网络访问.可匿名的共享 将后面的值删除 网络访问.可匿名的命名管道 将后面的值删除 网络访问.可远程访问的注册表路径 将后面的值删除 网络访问.可远程访问的注册表的子路径 将后面的值删除 网络访问.限制匿名访问命名管道和共享,本地安全策略,打开审核策略 开启安全审核是win2000/XP最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:策略设置审核系统登陆事件 成功,失败 审核帐
7、户管理 成功,失败 审核登陆事件 成功,失败 审核对象访问 成功 审核策略更改 成功,失败 审核特权使用 成功,失败 审核系统事件 成功,失败,本地安全策略,关闭不必要的服务 windows 2000 的 终端、远程注册表等服务,都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别不安全服务:,服务安全,1.Alerter通知选定的用户和计算机管理警报 2.ClipBook启用“剪贴簿查看器”储
8、存信息并与远程计算机共享 3.Distributed File System将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享 4.Distributed Link Tracking Server适用局域网分布式链接? 倏突朔馷 5.Human Interface Device Access启用对人体学接口设备(HID)的通用输入访问 6.IMAPI CD-Burning COM Service管理 CD 录制 7.Indexing Service提供本地或远程计算机上文件的索引内容和属性,泄露信息 8.Kerberos Key Distribution Center授
9、权协议登录网络 9.License Logging监视IIS和SQL如果你没安装IIS和SQL的话就停止 10.Messenger警报 11.NetMeeting Remote Desktop Sharingnetmeeting公司留下的客户信息收集 12.Network DDE为在同一台计算机或不同计算机上运行的程序提供动态数据交换 13.Network DDE DSDM管理动态数据交换 (DDE) 网络共享 14.Print Spooler打印机服务,没有打印机就禁止吧 15.Remote Desktop HelpSession Manager管理并控制远程协助 16.Remote Reg
10、istry使远程计算机用户修改本地注册表 17.Routing and Remote Access在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息 18.Server支持此计算机通过网络的文件、打印、和命名管道共享 19.Special Administration Console Helper允许管理员使用紧急管理服务远程访问命令行提示符 20.TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络 21.Telnet允许远程用户登录到此计算机并运行程序 22.Te
11、rminal Services允许用户以交互方式连接到远程计算机 23.Window s Image Acquisition (WIA)照相服务,应用与数码摄象机 如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。,服务安全,防止rpc漏洞 打开管理工具服务找到RPC(Remote Procedure Call (RPC) Locator)服务将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。,服务安全,关闭不必要的端口 关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙
12、的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。system32driversetcservices 文件中有知名端口和服务的对照表可供参考。,网络安全,禁止建立空连接 默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接: Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。,网络安全,关闭默认共享win2000安装好以后,系统会创建一些隐藏的共享
13、,你可以在cmd下打 net share 查看他们。要禁止这些共享 ,打开 管理工具计算机管理共享文件夹共享 在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。 C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有Administrator和Backup Operators组成员才可连接,Win2000 Server版本Server Operatros组也可以连接到这些共享目录。 ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都指向Win2000的安装路径。 IPC$ 空连接。IPC$共享提供了登录到系统的能力。
14、 NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处理登陆域请求时用到 PRINT$ %SYSTEMROOT%SYSTEM32SPOOLDRIVERS 用户远程管理打印机,网络安全,net share ipc$ /deletenet share admin$ /deletenet share c$ /deletenet share d$ /deletenet share e$ /delete 到“计算机管理”窗口中,单击展开左侧的“服务和应用程序”并选中其中的“服务”,此时右侧就列出了所有服务项目。共享服务对应的名称是“Server”(在进程中的名称为s
15、ervices),找到后双击它,在弹出的“常规”标签中把“启动类型”由原来的“自动”更改为“已禁用”。然后单击下面“服务状态”的“停止”按钮,再确认一下就OK了。,网络安全,把共享文件的权限从”everyone”组改成“授权用户” “everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。,网络安全,修改注册表加强安全性,禁止默认共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServic
16、eslanmanserverparameters 新建DOWRD“AutoShareServer”设置为“0” 修改默认的TTL值 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建DOWRD值为DefaultTTL 阻止ICMP重定向报文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersEnableICMPRedirects REG_DWORD 0 x0(默认值为0 x1),锁住注册表 在winXP中,只有administrators和Backup Operators才有从网络上访问注册表的权限。,注册表安全,启动安全,注册表启动项: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
