Windows操作系统的安全配置课件.pptx

《Windows操作系统的安全配置课件.pptx》由会员分享，可在线阅读，更多相关《Windows操作系统的安全配置课件.pptx（40页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、信息安全信息安全信息安全信息安全1n物理安全物理安全n账号、密码安全账号、密码安全n本地安全策略本地安全策略n服务安全服务安全n网络安全网络安全nMicrosoft基准安全分析器基准安全分析器n文件加密文件加密信息安全信息安全信息安全信息安全2物理安全物理安全物理安全物理安全n物理安全物理安全重要主机重要主机应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱,键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。n禁止从禁止从软盘和和CDRom启启动系系统一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安

2、全要求非常高，可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。n查看看键盘、主机、主机、显示器、示器、计算机桌等与算机桌等与计算机算机环境相关的境相关的设备是否有多余的是否有多余的东西西信息安全信息安全信息安全信息安全3账账号、密号、密号、密号、密码码安全安全安全安全n停掉停掉Guest帐号号在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest 加一个复杂的密码。如果要启动Guest 帐号，一定要查看该账号的权限，只能以受限权限运行。信息安全信息安全信息安全信息安全4n限制不必要的用限制不必要的用户数量数量去掉所有的

3、duplicate user 帐户,测试用帐户,共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。n使用安全密使用安全密码一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得N简单，比如“welcome”“iloveyou”“letmein”或者和用户名相同等等。这样的帐户应该要

4、求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。账账号、密号、密号、密号、密码码安全安全安全安全信息安全信息安全信息安全信息安全5n把系把系统administrator帐号改名号改名大家都知道，windows 2000 的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone。n创建一个陷阱建一个陷阱帐号号什么是陷阱帐号?创建一个名为”Administrator”的本地帐户，把它的权限

5、设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts 忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。账账号、密号、密号、密号、密码码安全安全安全安全信息安全信息安全信息安全信息安全6n不不让系系统显示上次登示上次登陆的用的用户名名默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是：HKLMSoftwareMicrosoftWindows

6、NTCurrentVersionWinlogonDontDisplayLastUserName把 REG_SZ 的键值改成 1.账账号、密号、密号、密号、密码码安全安全安全安全信息安全信息安全信息安全信息安全7n开启密开启密码密密码策略策略策略 设置 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5 次 强制密码历史 42 天 n开启开启帐户策略策略策略 设置 复位帐户锁定计数器 20分钟 帐户锁定时间 20分钟 帐户锁定阈值 3次 本地安全策略本地安全策略本地安全策略本地安全策略信息安全信息安全信息安全信息安全8n本地安全策略本地安全策略打开管理工具找到本地安全设置.本地策略.安

7、全选项u 网络访问.不允许SAM帐户的匿名枚举 启用u 网络访问.可匿名的共享 将后面的值删除u 网络访问.可匿名的命名管道 将后面的值删除u 网络访问.可远程访问的注册表路径 将后面的值删除u 网络访问.可远程访问的注册表的子路径 将后面的值删除u 网络访问.限制匿名访问命名管道和共享 本地安全策略本地安全策略本地安全策略本地安全策略信息安全信息安全信息安全信息安全9n打开打开审核策略核策略开启安全审核是win2000/XP最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵

8、了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加：策略设置审核系统登陆事件 成功，失败 审核帐户管理 成功，失败 审核登陆事件 成功，失败 审核对象访问 成功 审核策略更改 成功，失败 审核特权使用 成功，失败 审核系统事件 成功，失败 本地安全策略本地安全策略本地安全策略本地安全策略信息安全信息安全信息安全信息安全10n关关闭不必要的服不必要的服务windows 2000 的 终端、远程注册表等服务，都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序

9、也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们。下面是C2级别不安全服务：服服服服务务安全安全安全安全信息安全信息安全信息安全信息安全11 1.Alerter通知选定的用户和计算机管理警报 2.ClipBook启用“剪贴簿查看器”储存信息并与远程计算机共享 3.Distributed File System将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无法访问共享 4.Distributed Link Tracking Server适用局域网分布式链接?倏突朔馷 5.Human Interface Device Access启用对人体学接口设

10、备(HID)的通用输入访问 6.IMAPI CD-Burning COM Service管理 CD 录制 7.Indexing Service提供本地或远程计算机上文件的索引内容和属性，泄露信息 8.Kerberos Key Distribution Center授权协议登录网络 9.License Logging监视IIS和SQL如果你没安装IIS和SQL的话就停止 10.Messenger警报 11.NetMeeting Remote Desktop Sharingnetmeeting公司留下的客户信息收集 12.Network DDE为在同一台计算机或不同计算机上运行的程序提供动态数据交

11、换 13.Network DDE DSDM管理动态数据交换(DDE)网络共享 14.Print Spooler打印机服务，没有打印机就禁止吧 15.Remote Desktop Help Session Manager管理并控制远程协助 16.Remote Registry使远程计算机用户修改本地注册表 17.Routing and Remote Access在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息 18.Server支持此计算机通过网络的文件、打印、和命名管道共享 19.Special Administration Console Helper允许管理员使用紧急管

12、理服务远程访问命令行提示符 20.TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络 21.Telnet允许远程用户登录到此计算机并运行程序 22.Terminal Services允许用户以交互方式连接到远程计算机 23.Window s Image Acquisition(WIA)照相服务，应用与数码摄象机 如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端。服服服服务务安全安全安全安全信息安

13、全信息安全信息安全信息安全12n防止防止rpc漏洞漏洞打开管理工具服务找到RPC(Remote Procedure Call(RPC)Locator)服务将故障恢复中的第一次失败，第二次失败，后续失败，都设置为不操作。服服服服务务安全安全安全安全信息安全信息安全信息安全信息安全13n关关闭不必要的端口不必要的端口关闭端口意味着减少功能，在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面，冒的险就会少些，但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵你的系统的第一步。system32driversetcservices 文件中有知名

14、端口和服务的对照表可供参考。网网网网络络安全安全安全安全信息安全信息安全信息安全信息安全14n禁止建立空禁止建立空连接接默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。网网网网络络安全安全安全安全信息安全信息安全信息安全信息安全15n关关闭默默认共享共享win2000安装好以后，系统会创建一些隐藏的共享，你可以在cmd下打 net share 查看他们。要禁止这些共享，打开 管理工具

15、计算机管理共享文件夹共享 在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的。uC$D$E$每个分区的根目录。Win2000 Pro版中，只有Administrator和Backup Operators组成员才可连接，Win2000 Server版本Server Operatros组也可以连接到这些共享目录。uADMIN$%SYSTEMROOT%远程管理用的共享目录。它的路径永远都指向Win2000的安装路径。uIPC$空连接。IPC$共享提供了登录到系统的能力。uNetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处理登

16、陆域请求时用到uPRINT$%SYSTEMROOT%SYSTEM32SPOOLDRIVERS 用户远程管理打印机 网网网网络络安全安全安全安全信息安全信息安全信息安全信息安全16nnetshareipc$/deletenetshareadmin$/deletenetsharec$/deletenetshared$/deletenetsharee$/deleten到到“计算机管理算机管理”窗口中，窗口中，单击展开左展开左侧的的“服服务和和应用程序用程序”并并选中其中的中其中的“服服务”，此，此时右右侧就就列出了所有服列出了所有服务项目。共享服目。共享服务对应的名称是的名称是“Server”（在（

17、在进程中的名称程中的名称为services），找到），找到后双后双击它，在它，在弹出的出的“常常规”标签中把中把“启启动类型型”由原来的由原来的“自自动”更改更改为“已禁用已禁用”。然后。然后单击下面下面“服服务状状态”的的“停止停止”按按钮，再确，再确认一下就一下就OK了。了。网网网网络络安全安全安全安全信息安全信息安全信息安全信息安全17n把共享文件的把共享文件的权限从限从”everyone”组改成改成“授授权用用户”“everyone”在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的

18、属性就是”everyone”组的，一定不要忘了改。网网网网络络安全安全安全安全信息安全信息安全信息安全信息安全18修改注册表加修改注册表加修改注册表加修改注册表加强强安全性安全性安全性安全性n禁止默禁止默认共享共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserveHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters rparameters 新建新建DOWRDDOWRD“AutoShareServerAutoShareServer”设置置

19、为“0 0”n修改默修改默认的的TTLTTL值HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParamHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameterseters新建新建DOWRDDOWRD值为DefaultTTL DefaultTTL n阻止阻止ICMPICMP重定向重定向报文文HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameHKEY_LOCAL_MACHINESYSTEMCurre

20、ntControlSetServicesTcpipParametersEnableICMPRedirects REG_DWORD 0 x0(tersEnableICMPRedirects REG_DWORD 0 x0(默默认值为0 x1)0 x1)信息安全信息安全信息安全信息安全19n锁住注册表住注册表在winXP中，只有administrators和Backup Operators才有从网络上访问注册表的权限。注册表安全注册表安全注册表安全注册表安全信息安全信息安全信息安全信息安全20启动安全启动安全启动安全启动安全注册表启动项：注册表启动项：vHKLMSOFTWAREMicrosoftWi

21、ndowsCurrentVersionRunvHKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOncevHKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceExvHKCUSOFTWAREMicrosoftWindowsCurrentVersionRunvHKCUSOFTWAREMicrosoftWindowsCurrentVersionRunOncev信息安全信息安全信息安全信息安全21删删除不安全的除不安全的除不安全的除不安全的组组件件件件网网络脚本病毒嵌在网脚本病毒嵌在网页中，上网中，上网时在不在不知不

22、知不觉中机器就会感染上中机器就会感染上这种病毒。网种病毒。网络脚本病毒的复制、脚本病毒的复制、传播都离不开播都离不开FSO（FileSystemObject）、）、WScript.Shell和和Shell.application组件件。nregsvr32uscrrun.dllnregsvr32uc:winntsystem32wshom.ocxnregsvr32/uc:winntsystem32shell32.dllndelscrrun.dllwshom.ocxshell32.dll信息安全信息安全信息安全信息安全22WindowsWindows的文件保的文件保的文件保的文件保护护机制机制机制机

23、制n微微软为了提高了提高Windows系系统的可靠性和的可靠性和稳定性，定性，从从Windows2000开始使用一种叫做开始使用一种叫做WFP（WindowsFileProtection，Windows文件保文件保护）的机制。的机制。nWFP把某些文件把某些文件认为是非常重要的系是非常重要的系统文件，例如文件，例如所有的所有的dll文件，文件，exe、fon、ocx、sys还有有tff等后等后缀的文件。在的文件。在Windows2000/XP刚装好后，系装好后，系统会会自自动备份份这些文件到一个些文件到一个专门的叫做的叫做dllcache的的文件文件夹，这个个dllcache文件文件夹的位置默

24、的位置默认保存在保存在%SYSTEMROOT%system32dllcache。nsfc信息安全信息安全信息安全信息安全23缓缓冲区溢出保冲区溢出保冲区溢出保冲区溢出保护护nMicrosoftWindowsXPServicePack2(SP2)通通过实施一系列称施一系列称为数据数据执行保行保护(DEP)的硬件和的硬件和软件件实施技施技术，可以防止在，可以防止在已已标记为数据存数据存储区的内存区域中区的内存区域中执行代行代码。信息安全信息安全信息安全信息安全24n运行防毒运行防毒软件件我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉

25、一些著名的病毒，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库。n安装使用防火安装使用防火墙例如：WinXP防火墙、天网个人防火墙、诺顿防火墙、瑞星防火墙等等。因为防火墙具有数据过滤功能，可以有效的过滤掉恶意代码，和阻止DDOS攻击等等。总之如今的防火墙功能强大，连漏洞扫描都有，所以你只要安装防火墙就可以杜绝大多数网络攻击，但是就算是装防火墙也不要以为就万事无忧。因为安全只是相对的，如果哪个邪派高手看上你的机器，防火墙也无济于事。我们只能尽量提高我们的安全系数，尽量把损失减少到最小。n保障保障备份份盘的安全的安全一旦系统资料被破坏，

26、备份盘将是你恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。千万别把资料备份在同一台服务器上，那样的话，还不如不要备份。附加安全附加安全附加安全附加安全信息安全信息安全信息安全信息安全25n考考虑使用智能卡来代替密使用智能卡来代替密码对于密码，总是使安全管理员进退两难，容易受到 10phtcrack 等工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。n考考虑使用使用IPSec正如其名字的含义，IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密

27、数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。有关IPSes的详细信息可以参考：http:/ pack和漏洞补丁，是保障服务器长久安全的唯一方法。nMicrosoft基准安全分析器基准安全分析器(MBSA)微软公司有一套免费的系统检测工具“微软基线安全分析仪（MBSA）”，安装此软件，对系统扫描后将生成一份检测报告，该报告将列举系统中存在的所有漏洞和弱点。附加安全附加安全附加安全附加安全信息安全信息安全信息安全信息安全27附加安全附加安全附加安全附加安全n安装影子系安装影子系统影子系影子系统主要用于保主要用于保护您的系您的系统，它构建，它构建现有有操

28、作系操作系统的虚的虚拟影像影像(即影子模式即影子模式)，它和真，它和真实的系的系统完全一完全一样，用，用户可随可随时选择启用或者退出启用或者退出这个虚个虚拟影像。用影像。用户进入影子模式后，所有操作都是虚入影子模式后，所有操作都是虚拟的，不会的，不会对真正的系真正的系统产生影响，一切改生影响，一切改变将在退将在退出影子模式后消失。因此所有的病毒、木出影子模式后消失。因此所有的病毒、木马程序、程序、流氓流氓软件都无法侵害真正的操作系件都无法侵害真正的操作系统，它，它们的所有的所有操作都只是假象。操作都只是假象。n安装虚安装虚拟机上网机上网信息安全信息安全信息安全信息安全28n采用采用EFS加密硬

29、加密硬盘以保以保护数据数据采用加密文件系统(EFS)对敏感数据文件进行加密，可以加强数据的安生性。该解决方案可以有效的减小数据失窃的隐患。加密是一种采用数学算法的应用程序。文件经过加密处理后，只有拥有正确密钥的用户方可读取其内容。Microsoft 的 EFS 技术可以对计算机上的数据进行加密，并控制哪些人有权解密或恢复数据。文件被加密后，即使攻击者能够物理访问计算机的数据存储器，也无法读取用户数据。所有用户都必须拥有 EFS 证书，方可运用 EFS 对数据进行加密和解密。附加安全附加安全附加安全附加安全信息安全信息安全信息安全信息安全29特性：特性：n1、采用、采用单一密一密钥技技术n2、核

30、心文件加密技、核心文件加密技术仅用于用于NTFS，使用，使用户在在本地本地计算机上安全存算机上安全存储数据数据n3、加密用、加密用户使用透明，其他用使用透明，其他用户被拒被拒n4、不能加密、不能加密压缩的和系的和系统文件，加密后不能文件，加密后不能被共享、能被被共享、能被删除除EFSEFS信息安全信息安全信息安全信息安全30信息安全信息安全信息安全信息安全31信息安全信息安全信息安全信息安全32切换用户或在别的机器上打开该文件切换用户或在别的机器上打开该文件切换用户或在别的机器上打开该文件切换用户或在别的机器上打开该文件信息安全信息安全信息安全信息安全33信息安全信息安全信息安全信息安全34信息安全信息安全信息安全信息安全35信息安全信息安全信息安全信息安全36信息安全信息安全信息安全信息安全37信息安全信息安全信息安全信息安全38信息安全信息安全信息安全信息安全39信息安全信息安全信息安全信息安全40