《信息安全概论 教学课件 ppt 作者 李剑 张然 第11章 Windows 操作系统安全》由会员分享,可在线阅读,更多相关《信息安全概论 教学课件 ppt 作者 李剑 张然 第11章 Windows 操作系统安全(50页珍藏版)》请在金锄头文库上搜索。
1、版权所有,盗版必纠,第11章 Windows 操作系统安全,李 剑 北京邮电大学信息安全中心 E-mail: 电话:13001936882,版权所有,盗版必纠,概 述,Windows NT(New Technology)是微软公司第一个真正意义上的网络操作系统,发展经过NT3.0、NT40、NT5.0(Windows 2000)和NT6.0(Windows 2003)、Windows XP等众多版本,并逐步占据了广大的中小网络操作系统的市场。但是在Windows系统里面有一些安全配置,在默认情况下是没有设置的,需要根据具体情况进行设置。,版权所有,盗版必纠,目 录,第11章 Windows
2、操作系统安全 11.1 Windows 操作系统介绍 11.2 Windows 2000安全配置 11.3 安装Windows操作系统注意事项 11.4 给操作系统打补丁,版权所有,盗版必纠,Windows NT众多版本的操作系统使用了与Windows 9X完全一致的用户界面和完全相同的操作方法,使用户使用起来比较方便。与Windows 9X相比,Windows NT的网络功能更加强大并且安全。 Windows NT系列操作系统具有以下三方面的优点。 1. 支持多种网络协议 由于在网络中可能存在多种客户机,如Windows 95/98、Apple Macintosh、Unix、OS/2等等,而
3、这些客户机可能使用了不同的网络协议,如TCP/IP协议、IPX/SPX等。Windows NT系列操作支持几乎所有常见的网络协议。 2. 内置Internet功能 随着Internet的流行和TCP/IP协议组的标准化,Windows NT内置了IIS(Internet Information Server),可以使网络管理员轻松的配置WWW和FTP等服务。 3. 支持NTFS文件系统 Windows 9X所使用的文件系统是FAT,在NT中内置同时支持FAT和NTFS的磁盘分区格式。使用NTFS的好处主要是可以提高文件管理的安全性,用户可以对NTFS系统中的任何文件、目录设置权限,这样当多用户
4、同时访问系统的时候,可以增加文件的安全性。,11.1 Windows 操作系统介绍,版权所有,盗版必纠,1. 保护guest帐号 可以将guest帐号关闭、停用或改名。如果必需要用guest帐号的话,需将guest列入拒绝从“网络访问”名单中(如果没有共享文件夹和打印机),防止guest从网络访问计算机、关闭计算机以及查看日志。如图11.1所示。,11.2.1 保护帐号,版权所有,盗版必纠,2. 限制用户数量 去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户。 帐户很多是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用
5、户的权限可能性一般也就越大。 对于Windows NT/2000主机,如果系统帐户超过10个,一般能找出一两个弱口令帐户,所以帐户数量不要大于10个。这些不用的帐户可以去掉,如图11.2所示。,11.2.1 保护帐号,版权所有,盗版必纠,11.2.1 保护帐号,版权所有,盗版必纠,3. 管理员帐号改名 Windows 2000中的Administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。 不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone。具体操作的时候只要
6、选中帐户名改名就可以了,如图11.3所示。,11.2.1 保护帐号,版权所有,盗版必纠,11.2.1 保护帐号,版权所有,盗版必纠,4. 建陷阱帐号 陷阱帐号是创建一个名为“Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。 这样可以让那些企图入侵者忙上一段时间了,并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组。密码为大于32位的数字字符符号密码,如图11.4所示。建立的陷阱帐号如图11.5所示。,11.2.1 保护帐号,版权所有,盗版必纠,11.2.1 保护帐号,版权所有,盗版必纠,11.2.1
7、 保护帐号,版权所有,盗版必纠,好的密码对于一个网络是非常重要的,但是也是最容易被忽略的。一些网络管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的字符做用户名,然后又把这些帐户的密码设置得比较简单,比如:“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。 这里给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果得到了密码文档,必须花43天或者更长的时间才能破解出来,密码策略是42天必须改密码。,11.2.2 设置安全的密码,版权所有,盗版必纠,设
8、置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,黑屏就可以了。将屏幕保护的选项“密码保护”选中就可以了,并将等待时间设置为最短时间“1分钟”,如图11.6所示。,11.2.3 设置屏幕保护密码,版权所有,盗版必纠,计算机里通常安装有了些不必要的服务,如果这些服务没有用的话,最好能将这些服务关闭。例如:为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。Windows 中可禁用的服务
9、及其相关说明如表11.1所示。,11.2.4 关闭不必要的服务,版权所有,盗版必纠,11.2.4 关闭不必要的服务,版权所有,盗版必纠,关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了。可以在操作系统里来限制端口的访问,如图11.7所示为从操作系统TCP/IP里限制端口,只开放4个端口。关于这一点,在前面网络后门与网络隐患一章中已经讲过了。,11.2.5 关闭不必要的端口,版权所有,盗版必纠,审核策略在默认的情况下都是没有开启的。打开“控制面板”“管理工具”“本地安全设置”“审核策略”,如图11.8所示。,11.2.6 开启系统审核策略,版
10、权所有,盗版必纠,从图中可以看到,9个审核策略都没有打开。最好将这些信息审核信息都打开。以便于以后出现安全事件的时候进行查找。双击要打开的审核策略选项,出现如图11.9所示的界面。,11.2.6 开启系统审核策略,版权所有,盗版必纠,系统密码在默认的情况下都是没有开启的。打开“控制面板”“管理工具”“本地安全设置”“审核策略”,如图11.10所示。,11.2.7 开启密码策略,版权所有,盗版必纠,11.2.7 开启密码策略,版权所有,盗版必纠,系统帐户锁定策略在默认的情况下都是没有开启的。打开“控制面板”“管理工具”“本地安全设置”“帐户锁定策略”,如图11.11所示。,11.2.8 开启帐户
11、锁定策略,版权所有,盗版必纠,11.2.8 开启帐户锁定策略,版权所有,盗版必纠,下载操作系统最新的安全补丁可以下载一些工具如,奇虎360安全卫士等。打开奇虎360安全卫士软件主界面,选择“修复系统漏洞”选项,如图11.12:,11.2.9 下载最新的补丁,版权所有,盗版必纠,11.2.9 下载最新的补丁,版权所有,盗版必纠,11.2.9 下载最新的补丁,版权所有,盗版必纠,系统的共享为用户带来了众多麻烦,经常会有病毒通过共享来进入电脑。Windows 2000/XP/2003版本的操作系统提供了默认共享功能,这些默认的共享都有“$”标志,意为隐含的,包括所有的逻辑盘(C$,D$,E$)和系统
12、目录Winnt或Windows(admin$)。 这些共享,可以在DOS提示符下输入命令Net Share 查看,如图11.15所示。因为操作系统的C盘、D盘等全是共享的,这就给黑客的入侵带来了很大的方便。“震荡波”病毒的传播方式之一就是扫描局域网内所有带共享的主机,然后将病毒上传到上面。下面给大家介绍5种可以关闭操作系统共享的方法。,11.2.10 关闭系统默认共享,版权所有,盗版必纠,11.2.10 关闭系统默认共享,版权所有,盗版必纠,第一种方法: 右键关系法。方法是打开“控制面板”“管理工具”“计算机管理”“共享文件夹”“共享”,在相应的共享文件夹上右击停止共享即可,如图11.16所示
13、。,11.2.10 关闭系统默认共享,版权所有,盗版必纠,但是细心的读者会发现,如果采用这种方法关闭共享,当用户重新启动计算机后,那些共享又会加上了!所以这种方法不能从根本上解决问题。 第二种方法:批处理法。打开记事本,输入以下内容(记得每行最后要回车): net share ipc$ /delete net share admin$ /delete net share c$ /delete net share d$ /delete net share e$ /delete (有几个硬盘分区就写几行这样的命令) 将以上内容保存为NotShare.bat(注意后缀),然后把这个批处理文件拖到“程
14、序”“启动”项,这样每次开机就会运行它,也就是通过net命令关闭共享。如果哪一天需要开启某个或某些共享,只要重新编辑这个批处理文件即可(把相应的那个命令行删掉)。,11.2.10 关闭系统默认共享,版权所有,盗版必纠,第三种方法:注册表改键值法。 单击“开始”“运行”输入“regedit”确定后,打开注册表编辑器,找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”项,双击右侧窗口中的“AutoShareServer”项将键值由1改为0,这样就能关闭硬盘各分区的共享。如果没有AutoShareSe
15、rver项,可自己新建一个再改键值。然后还是在这一窗口下再找到“AutoShareWks”项,也把键值由1改为0,关闭admin$共享。最后到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”项处找到“restrictanonymous”,将键值设为1,关闭IPC$共享。本方法必须重启机器才能生效,但一经改动就会永远停止共享。,11.2.10 关闭系统默认共享,版权所有,盗版必纠,第四种方法:停止服务法。这种方法最简单,打开“控制面板”的“计算机管理”窗口中,单击展开左侧的“服务和应用程序”并选中其中的“服务”,此时右侧就列出了所有服务项
16、目。共享服务对应的名称是“Server”(在进程中的名称为services),找到后右击它,在弹出的菜单中选择“属性”,如图11.17所示。在弹出的Server属性界面当中选择“常规”标签,把“启动类型”由原来的“自动”更改为“已禁用”。然后单击下面“服务状态”的“停止”,再单击“确定”,如图11.18所示。这样,系统中所有的共享都会去掉了。,11.2.10 关闭系统默认共享,版权所有,盗版必纠,11.2.10 关闭系统默认共享,版权所有,盗版必纠,11.2.10 关闭系统默认共享,版权所有,盗版必纠,第五种方法:卸载“文件和打印机共享”法。方法是右击“网上邻居”选“属性”,在弹出的“网络和拨号连接”窗口中右击“本地连接”选“属性”,从“此连接使用下列选定的组件”中选中“Microsoft网络的文件和打印机共享”后,单击下面的“卸载”,再单击“确定”,如图11.19所示。,11.2.10 关闭系统默认共享,版权所有,盗版必纠,11.2.10 关闭系
