《如何使你的Windows》由会员分享,可在线阅读,更多相关《如何使你的Windows(40页珍藏版)》请在金锄头文库上搜索。
1、如何使你的Windows系统统更安 全刘浩 A OpenSource Network目录录l微软软基准安全分析器l安全补补丁的管理l安全服务务器角色l审审核和侵入的探测测l响应应意外事件微软软基准安全分析器l运行在Windows 2000 和 Windows XP平台上的单单个 可执执行文件l检查检查 常见见安全误设误设 置和漏装补补丁, 服务务包Windows Internet Information Server 4.0 and Internet Information Server 5.0SQL 7.0 and SQL 2000桌面应应用程序 Internet Explorer Offi
2、ce Outlook微软软基准安全分析器l既有图图形界面版本,又有命令行版本l生成安全报报表系统总统总 得分每一项项安全检查检查 通过过或失败败得分针对发现针对发现 的安全性漏洞,提出详细详细 解释释 和修补动补动 作l是一个“只读读”工具 -对对被检查检查 的机器没有任何配置 或更新操作l用户户在每台被检查检查 的机器上必须须有本地管理员权员权 限微软软基准安全分析器l管理员员可以从一台机器上扫扫描整个网络络,寻寻找可能 潜在的操作系统统和应应用程序的脆弱性为为每一台机器产产生一份安全报报告,集中 存放l家庭用户户也可以在家里扫扫描他们们的机器l网络络管理员员也可以用命令行作一批处处理程序,
3、然后 定期调调度该该批程序微软软基准安全分析器微软软基准安全分析器MBSAMBSA提供了提供了提供了一种容易的方法来提供了一种容易的方法来扫扫扫扫描一台或多台描一台或多台计计计计 算机算机, ,寻寻寻寻找安全脆弱性找安全脆弱性获获获获或漏装安全或漏装安全补补补补丁丁为为为为家庭用家庭用户户户户和和专业专业专业专业 人人员员员员提供了一种提供了一种简简简简便的便的 图图图图形界面形界面网网络络络络管理管理员员员员也可以定期也可以定期调调调调度度该该该该命令行程序命令行程序安全补补丁的管理目前Windows 2000 SP3、Windows XP SP1和Windows Server 2003已经
4、经包含了客户户端自动动更新软软件。如果使用其他版本的操作系统统,那么需要在客户户端 上安装一个自动动更新包(msi文件),这这个自动动更 新包(Automatic Update Package)可在微软软站点下 载载。安全补补丁的管理客户端计算机的“我的电脑”的“自动更新”属性设置或在域相应的OU组策略 中,选择“计算机设置”- “管理模版”- “Windows Update”:安全补补丁的管理SUS, 软软件升级级服务务,是用来在内部网络络中提供 Windows升级级服务务。通过过在内部网络络中配置SUS服务务,所有Windows的 更新都集中下载载到内部网的SUS服务务器中,而网 络络中的
5、客户户机通过过SUS服务务器来得到更新。这这很大程度地节节省了资资源,避免了资资源浪费费并且 提高了效率。安全补补丁的管理安装SUS默认认情况下,Windows Server操作系统统是不包含SUS 组组件的,我们们需要通过过在微软软下载载中心下载载SUS 安装包,并安装至服务务器。只有包含SP2或更高版本的Windows 2000 Server,以 及Windows Server 2003才能够够作为为SUS服务务器。并 且SUS服务务器需安装有IIS5.0或更高版本,Internet Explorer 6或更高版本才能正常使用。安全补补丁的管理安全补补丁的管理配置和管理SUS服务务器Syn
6、chronize ServerApprove updatesSet options如果选择选择 存储储在本地,您将被允许许从下面的列表中 选择选择 从Windows Update服务务器下载载更新的语语言,如 果你的网络络中有多种语语言的计计算机操作系统统,那么 你需要选择这选择这 些语语言才能使它们们都正常更新。但是 ,不建议选择议选择 多余的语语言,因为这样为这样 会严严重浪费费 下载时间载时间 和网络带宽络带宽 。安全补补丁的管理安全服务务器角 色安全服务务器角 色相应应角色的组组策略设设置相应应角色的注册表设设置相应应角色的服务务开启审审核策略l所有的审审核日志配置到 10 MBs不要
7、覆盖日志l审审核成功和失败败的系统统配制用户户登陆陆事件, 帐帐号管理, 登陆陆事件, 对对 象的访问访问 , 策略的更改, 和系统统事件l审审核失败败的系统统配制目录录服务务的访问访问 和特权权的使用安全选项设选项设 置l激活设设置系统统关机时时清除 page file Digitally sign client communicationDigitally sign server communicationSecure channel Digitally encrypt or sign secure channel data Require strong (Windows 2000 or
8、later) session key安全审审核不能被记录时记录时 立即关机安全选项设选项设 置l匿名连连接No access without explicit anonymous permissionlLAN Manager Authentication LevelSend NTLMv2 only, refuse LM and NTLMl登陆陆到缓缓存的次数0 Logonsl重命名 administrator and guest 帐帐号l限制Guest 帐帐号访问访问注册表设设置(针对针对 网络络攻击击的安全考虑虑事 项项)lTCP/IP Settings HKLMSystemCurrentC
9、ontrolSetServicesTcpip|Parameters EnableICMPRedirect 0 EnableSecurityFilters 1 SynAttackProtect 2 EnableDeadGWDetect 0 EnablePMTUDiscovery 0 KeepAliveTime 300,000 DisableIPSourceRouting 2 TcpMaxConnectResponseRetransmissions 2 TcpMaxDataRetransmissions 3 NoNameReleaseOnDemand 1 PerformRouterDiscover
10、y - 0 TcpMaxPortsExhausted 5注册表设设置lHKLMSystemCurrentControlSetServicesAFDParametersEnableDynamicBacklog - 1MinimumBacklog - 20MaximumBacklog - 20000DynamicBacklogGrowthDelta 10lHKLMSystemCurrentControlSetControlFileSystem HKLMSYSTEMCurrentControlSetControlLsaNo LmHash - 1基本的Automatic ServiceslDHCP C
11、lientlDistributed Link TrackinglDNS ClientlEvent LoglLogical Disk ManagerlNetlogonlPlug and PlaylProtected StoragelRPClRemote RegistrylSecurity Accounts ManagerlServerlSystem Event NotificationlTCP/IP NetBIOS HelperlWindows TimelWorkstation基本的 Manual ServiceslCOM+ event serviceslLogical disk manager
12、 administrative servicelNetwork connectionslPerformance logs and alertslWindows Management Instrumentation driver域服务务器的基本要求l添加下列服务务 Distributed file system DNS Server File replication Kerberos key distribution center NTLM security support provider RPC locatorl没有包括在域服务务器的基本要求中的关键键服务务Simple Mail Trans
13、port Protocol (SMTP) Intersite messaging IIS admin service Distributed link tracking server service应应用程序服务务器角色l最受限制的角色能够够和域认证认证l在启动动一个应应用程序时时, 你必须须启动动相应应的服务务更改相应应的注册表设设置文件/打印服务务和域功能性角色的服务务器l文件和打印服务务所需添加的策略启动动 spooler service禁止 digitally sign client communication (always)l域功能服务务器需添加的策略 启动动如下服务务DHCP S
14、erverDNSNTLMSSPWINSIIS 服务务器角色l添加的策略启动动 IISAdmin and W3SVC servicesConfigures SynAttackProtect to 1l除策略设设置外, 还还需要。Run IIS Lockdown WizardInstall URLScan审审核和入侵侦测侦测 的重要性l任何一个功能性的服务务器环环境都有可能被入侵l成功的入侵其实实都是在很多不成功入侵的基础础上 产产生的l如果一个入侵真的发发生了, 越早发现对发现对 排除危险险 就越有利l如果你是在对对一个入侵作恢复, 你也必须须知道已 经产经产 生了什么破坏审审核和入侵侦测侦测
15、的重要性l审审核和入侵侦测侦测 能够够帮助你推测谁应对这测谁应对这 个入 侵负责负责l把审审核和入侵侦测结侦测结 合起来能够够帮助鉴别鉴别 和清 理入侵信息l日常安全日志的检查检查 能够够帮助发现发现 安全设设置漏 洞l当一个入侵被发现发现 后, 审审核能够够帮助检查检查 并得 知什么资资源的安全已经经受到波及登入日志l本地登入尝试尝试 失败败Event IDs 529, 530, 531, 532, 533, 534, and 537 indicate failed logon attemptsl域登入尝试尝试 失败败Event IDs 675 and 677 indicate failed attempts to logon to the domainl帐帐号错误错误 使用Events 530, 531, 532, and 533 can all represent misuse of a user account l帐帐号锁锁定Event 539 indicates that an account was locked out帐帐号管理l创创建用户帐户帐 号IDs 624 and 626 确定用户户是什么时时候创创 建和启用的l用户帐户帐 号密码码改动动IDs 627 and 628 确定一次成功的密码码改 动动l用户
