《05第五章-windowsxp系统高阶安全》由会员分享,可在线阅读,更多相关《05第五章-windowsxp系统高阶安全(25页珍藏版)》请在金锄头文库上搜索。
1、第五章 Windowsxp系统高阶安全信息安全个人防护 主讲:梁晓琦本讲的目标本讲的目标了解系统的常见进程,分析和辨别系统基本进程,对进程进行管理操作。了解系统日志,掌握对系统日志的分析操作。掌握安全模板概念、作用,能够管理和配置安全模板。信息安全个人防护 主讲:梁晓琦授课建议授课建议重点介绍系统的进程管理,分析和辨别系统基本进程,对进程进行管理操作。通过演示介绍系统日志管理,掌握对系统日志的分析操作。介绍安全模板概念、作用,能够管理和配置安全模板。信息安全个人防护 主讲:梁晓琦进程管理进程管理信息安全个人防护 主讲:梁晓琦WindowsXPWindowsXP的基本进程的基本进程Csrss.e
2、xe这是子系统服务器进程,负责控制Windows 创建或删除线程以及16 位的虚拟DOS 环境。System Idle Process这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。Smss.exe这是一个会话管理子系统,负责启动用户会话。Services.exe系统服务的管理工具。Lsass.exe本地的安全授权服务。Explorer.exe资源管理器。Spoolsv.exe管理缓冲区中的打印和传真作业。Svchost.exe用来运行动态链接库DLL 文件,从而启动对应的服务。svchost.exe 进程可以同时启动多个服务。信息安全个人防护 主讲:梁晓
3、琦svchost.exesvchost.exe常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。是一个服务宿主,它本身并不能给用户提供任何服务,但是可以用来运行动态链接库DLL 文件,从而启动对应的服务。svchost.exe 进程可以同时启动多个服务。通过读取某服务在注册表中的信息,即可知道应该调用哪个动态链接库,从而启动该服务。“server”服务:HKEY_LOCAL_MACHINESYSTEMCurrentControlSet Serviceslanmanservertasklist /svc,查看svchost启动了哪些进程信息安全个人防
4、护 主讲:梁晓琦explorer.exeexplorer.exe常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exeexplorer.exe 进程默认是和系统一起启动的, 其对应可执行文件的路径为“C:Windows”目录,除此之外则为病毒信息安全个人防护 主讲:梁晓琦iexplore.exeiexplore.exe常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe信息安全个人防护 主讲:梁晓琦rundll32.exerundll32.exe常被病毒冒充的进程名有:rundl132.exe、ru
5、ndl32.exe在系统中的作用是执行DLL 文件中的内部函数,系统中存在多少个Rundll32.exe 进程,就表示Rundll32.exe 启动了多少个的DLL 文件。信息安全个人防护 主讲:梁晓琦spoolsv.exespoolsv.exe常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe 是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。信息安全个人防护 主讲:梁晓琦病毒进程隐藏病毒进程隐藏以假乱真假借类似前面提到的正常进程:svch0st.exe、explore.exe、iexp
6、lorer.exe、winlogin.exe偷梁换柱如果病毒将自身复制到“C:WINDOWS”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。借尸还魂病毒采用了进程插入技术,将病毒运行所需的dll 文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了。信息安全个人防护 主讲:梁晓琦进程管理工具进程管理工具Process ExplorerProcess Explorer信息安全个人防护 主讲:梁晓琦日志与审计日志与审计事件查看器事件查看器“控制面板”-“管理工具”-“事件查看器”五种类型的日志记
7、录事件应用程序日志:记录应用程序或一般程序的事件。安全性日志:可以记录例如有效和无效的登录尝试等安全事件,以及与资源使用有关的事件。例如创建、打开或删除文件以及有关设置的修改。系统日志:包含由Windows XP 系统组件记录的事件,例如,在系统日志中记录启动期间要加载的驱动程序或其他系统组件的故障。Microsoft Office Sessions: Office 应用的会话管理日志。Microsoft Office Diagnostics: Microsoft Office 诊断服务。普通用户基本用不上.事件查看器显示以下事件类型信息警告错误审核成功审核失败信息安全个人防护 主讲:梁晓琦如
8、何规划事件日志审计规则如何规划事件日志审计规则注意事项:太多的审核会消耗大量的资源。用户每一次移动鼠标都会被记录下来(这太过分了。但是,记录一次并不过分)。过多的审核是无用的特别需要记录下来的事件登录和登出事件,由审计账户登录事件和审计登录设置进行跟踪,能够指出反复登录失败的事件并且指出一个特定的账户正在被一个攻击利用。账户管理,由审计账户管理设置进行跟踪,能够指出曾经使用或者设法使用他们的用户权限和计算机管理员权限的那些用户。启动和关闭事件,由审计系统事件设置跟踪,能够显示用户已经设法管理了一个系统以及在启动时什么服务没有正常启动。策略改变,由审计策略改变设置进行跟踪,能够指出用户篡改安全设
9、置。权限使用事件,由审计权限使用设置进行跟踪,能够显示修改某些目标许可权限的企图。信息安全个人防护 主讲:梁晓琦设置事件日志设置事件日志日志保留天数日志保留方法限制本地来宾组访问日志日志最大值信息安全个人防护 主讲:梁晓琦修复损害的事件日志文件修复损害的事件日志文件1 1、禁用事件日志服务、禁用事件日志服务2 2、 重新启动重新启动windows XPwindows XP3 3、 从从%SystemRoot%System32Config %SystemRoot%System32Config 目录中(或其它位置上)删除受损日志文件目录中(或其它位置上)删除受损日志文件-Appevent.evtA
10、ppevent.evt、Secevent.evtSecevent.evt 和和/ /或或Sysevent.evtSysevent.evt。你的现有事件数据将全部丢失,但新的日志文件将在事件日志服务重新。你的现有事件数据将全部丢失,但新的日志文件将在事件日志服务重新启动时予以创建并重新开始收集新的事件数据。启动时予以创建并重新开始收集新的事件数据。4 4、 重新启用事件日志服务并将其启动。重新启用事件日志服务并将其启动。5 5、 如果事件日志服务未能成功启动,请重新启动如果事件日志服务未能成功启动,请重新启动Windows XPWindows XP。注意:在事件日志服务运行过程中,你将无法删除或
11、重命名日志文件。注意:在事件日志服务运行过程中,你将无法删除或重命名日志文件。信息安全个人防护 主讲:梁晓琦网络差错网络差错信息安全个人防护 主讲:梁晓琦网上邻居访问故障解决网上邻居访问故障解决1别人无法看到自己的电脑经检查网络配置,发现是漏装“Microsoft 网络上的文件与打印机共享”所致。2.可以看见计算机但无法访问主浏览器的列表更新需要每隔一段时间进行,这样客户机得到的浏览列表就不是实时更新的3.无法访问局域网内电脑怎么办?通常我们通过网上邻居访问其它计算机资源是以“guest(来宾)”账号进行的。这个guest 用户访问是不需输入任何密码的,用户名也不用,由系统默认了(就是gues
12、t)。guest 账户不可用的解决方案1)首先启用guest 来宾帐户2) 检查用户权利指派,对guest 帐户进行设置,在“控制面板管理工具本地安全策略本地策略用户权利指派”里,“从网络访问此计算机”中加入guest 帐户,而“拒绝从网络访问这台计算机”中删除guest 帐户。3) 控制面板管理工具本地安全策略本地策略安全选项里,把“网络访问:本地帐户的共享和安全模式”设为“仅来宾-本地用户以来宾的身份验证”(可选,此项设置可去除访问时要求输入密码的对话框,也可视情况设为“经典-本地用户以自己的身份验证”)4) 右击“我的电脑”“属性”“计算机名”,该选项卡中有没有出现你的局域网工作组名称,
13、如“work”等。然后单击“网络 ID”按钮,根据“网络标识向导”配置。信息安全个人防护 主讲:梁晓琦安全模板安全模板安全模板是一种可以定义安全策略的文件表示方式安全区域说明账户策略账户策略密码策略、账户锁定策略以及密码策略、账户锁定策略以及Kerberos策略策略本地策略本地策略审计策略、用户权限分配和安全选项审计策略、用户权限分配和安全选项时间日志时间日志应用程序、用户权限分配和安全选项应用程序、用户权限分配和安全选项受限制的组受限制的组与安全性相关的组成员关系与安全性相关的组成员关系系统服务系统服务系统服务的启动和权限系统服务的启动和权限注册表注册表注册项权限注册项权限文件系统文件系统文
14、件和文件夹权限文件和文件夹权限信息安全个人防护 主讲:梁晓琦预定义安全模板预定义安全模板1默认安全设置 (Setup security.inf)Setup security.inf 是一个针对于特定计算机的模板,它代表在安装操作系统期间所应用的默认安全设置,其设置包括系统驱动器的根目录的文件权限。可将该模板或其一部分用于灾难恢复目的。2. 兼容(Compatws.inf)提供基本的安全策略,执行具有较低级别的安全性但兼容性更好的环境。放松用户组的默认文件和注册表权限,使之与多数没有验证的应用程序的要求一致。3.安全(Secure*.inf )定义了至少可能影响应用程序兼容性的增强安全设置,还限
15、制了LAN Manager 和NTLM身份认证协议的使用,其方式是将客户端配置为仅可发送NTLMv2 响应,而将服务器配置为可拒绝LAN Manager 的响应。4.高级安全(Hisec*.inf)提供高安全的客户端策略模板,执行高级安全的环境,是对加密和签名作进一步限制的安全模板的扩展集,这些加密和签名是进行身份认证和保证数据通过安全通道以及在SMB客户机和服务器之间进行安全传输所必需的。5.系统根目录安全Rootsec.inf确保系统根的安全,可以指定由Windows XP Professional 所引入的新的根目录权限。默认情况下,Rootsec.inf 为系统驱动器根目录定义这些权限
16、。如果不小心更改了根目录权限,则可利用该模板重新应用根目录权限,或者通过修改模板对其他卷应用相同的根目录权限。注:这些模板存储在%Systemroot%SecurityTemplates目录下信息安全个人防护 主讲:梁晓琦安装安全模板安装安全模板依次点击开始和运行按钮,键入mmc并点击确定按钮就会打开控制台节点;点击文件菜单中的添加/删除管理单元,在打开的窗口中点击独立标签页中的”添加按钮;在可用的独立管理单元列表中选中安全模板,然后点击添加按钮,最后点击”关闭,这样安全模板管理单元就被添加到MMC 控制台中了。信息安全个人防护 主讲:梁晓琦应用安全模板应用安全模板首先要添加首先要添加“安全配
17、置和分析安全配置和分析”管管理单元,打开理单元,打开MMC MMC 控制台的控制台的“文件文件”菜单,点击菜单,点击“添加添加/ /删除管理单元删除管理单元”,在,在“添加独立管理单元添加独立管理单元”列表中选列表中选中中“安全配置和分析安全配置和分析”,并点击,并点击“添添加加”按钮,这样按钮,这样 安全配置和分析安全配置和分析 管管理单元就被添加到理单元就被添加到MMC MMC 控制台中了;控制台中了;在控制台树中的在控制台树中的“安全配置和分析安全配置和分析”上点击鼠标右键,选择上点击鼠标右键,选择“打开数据打开数据库库”,在弹出的窗口中键入新数据库,在弹出的窗口中键入新数据库名,然后点
18、击名,然后点击 打开打开 按钮;按钮;在安全模板列表窗口中选择要导入在安全模板列表窗口中选择要导入的安全模板,然后点击的安全模板,然后点击“打开打开”按钮,按钮,这样该安全模板就被成功导入了;这样该安全模板就被成功导入了;在控制台树中的在控制台树中的“安全配置和分析安全配置和分析”上点击右键,然后在快捷菜单中选上点击右键,然后在快捷菜单中选择择“立即配置计算机立即配置计算机 ,就会弹出确,就会弹出确认错误日志文件路径窗口,点击认错误日志文件路径窗口,点击 确确定定 按钮。按钮。信息安全个人防护 主讲:梁晓琦设置安全模板设置安全模板设置账户策略设置账户策略密码策略 账户锁定策略 信息安全个人防护
19、 主讲:梁晓琦设置安全模板设置安全模板设置本地策略设置本地策略审核策略用户权限策略安全选项信息安全个人防护 主讲:梁晓琦设置安全模板设置安全模板设置注册表设置注册表在控制台树中,用鼠标右键点在控制台树中,用鼠标右键点击击 注册表注册表 节点,在弹出的快捷节点,在弹出的快捷菜单中选择菜单中选择 添加密钥添加密钥 ; 在在 选择注册表项选择注册表项 对话框中,对话框中,选择好要添加密钥的注册表项,选择好要添加密钥的注册表项,然后点击然后点击 确定确定 按钮;按钮; 在在 数据库安全设置数据库安全设置 对话框中,对话框中,为该注册表项选择合适的权限,为该注册表项选择合适的权限,然后点击然后点击 确定确定 按钮;按钮; 在在 模板安全策略设置模板安全策略设置 对话框对话框中,选择需要的继承权限方式,中,选择需要的继承权限方式,最后点击最后点击 确定确定 按钮。按钮。信息安全个人防护 主讲:梁晓琦
