《网络终端计算机安全管理培训.ppt》由会员分享,可在线阅读,更多相关《网络终端计算机安全管理培训.ppt(127页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络终端计算机安全管理培训 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望版本信息:版本信息:版本号:版本号:1.0.01.0.0 更新时间:更新时间:2008-10-282008-10-28编者信息:编者信息:房仲阳房仲阳 中国移动辽宁公司网络部中国移动辽宁公司网络部 电话:电话:13889888988-220813889888988-2208 邮箱:邮箱:培训要求:培训要求:该课程主要介绍网络与信息安全基础知识该课程主要介绍网络与信息安全基础知识培训对象:培训
2、对象:面向管理层、安全管理人员、安全技术人员、系统维面向管理层、安全管理人员、安全技术人员、系统维护人员、及普通员工,共护人员、及普通员工,共5 5类人员类人员培训时间培训时间:3 3小时左右小时左右培训侧重点:培训侧重点:本教材针对本教材针对5 5类人员的培训内容并无差别类人员的培训内容并无差别课程目的课程目的n了解了解windows系统的设计原理系统的设计原理n了解终端系统的安全特性了解终端系统的安全特性n能够对终端系统进行安全配置能够对终端系统进行安全配置授课方式:讲解、演示授课方式:讲解、演示目录目录目录目录终端安全概述终端安全概述终端系统安全性终端系统安全性终端体系构架终端体系构架终
3、端安全威胁终端安全威胁终端安全配置终端安全配置终端安全检查终端安全检查终端安全加固终端安全加固终端用户安全职责终端用户安全职责终端接入要求终端接入要求终端标准化的意见和操作建议终端标准化的意见和操作建议终端的定义及分类终端的定义及分类什么是终端?什么是终端?终端,即计算机显示终端,是计算机系统的输入、终端,即计算机显示终端,是计算机系统的输入、输出设备。计算机显示终端伴随主机时代的集中处输出设备。计算机显示终端伴随主机时代的集中处理模式而产生,并随着计算技术的发展而不断发展。理模式而产生,并随着计算技术的发展而不断发展。迄今为止,计算技术经历了主机时代、迄今为止,计算技术经历了主机时代、PCP
4、C时代和网时代和网络计算时代这三个发展时期,终端与计算技术发展络计算时代这三个发展时期,终端与计算技术发展的三个阶段相适应,应用也经历了字符哑终端、图的三个阶段相适应,应用也经历了字符哑终端、图形终端和网络终端这三个形态。形终端和网络终端这三个形态。终端的定义及分类终端的定义及分类终端的分类终端的分类 终端的分类:目前常见的客户端设备分为两类:一终端的分类:目前常见的客户端设备分为两类:一类是胖客户端,一类是瘦客户端。那么,把以类是胖客户端,一类是瘦客户端。那么,把以PCPC为为代表的基于开放性工业标准架构、功能比较强大的代表的基于开放性工业标准架构、功能比较强大的设备叫做设备叫做“胖客户端胖
5、客户端”,其他归入,其他归入“瘦客户端瘦客户端”。瘦客户机产业的空间和规模也很大,不会亚于瘦客户机产业的空间和规模也很大,不会亚于PCPC现现在的规模。在的规模。终端的定义及分类终端的定义及分类技术层面技术层面 数据处理模式将从分散走向集中,用户界面将更加数据处理模式将从分散走向集中,用户界面将更加人性化,可管理性和安全性也将大大提升;同时,人性化,可管理性和安全性也将大大提升;同时,通信和信息处理方式也将全面实现网络化,并可实通信和信息处理方式也将全面实现网络化,并可实现前所未有的系统扩展能力和跨平台能力。现前所未有的系统扩展能力和跨平台能力。终端的定义及分类终端的定义及分类应用形态应用形态
6、 网络终端设备将不局限在传统的桌面应用环境,随网络终端设备将不局限在传统的桌面应用环境,随着连接方式的多样化,它既可以作为桌面设备使用,着连接方式的多样化,它既可以作为桌面设备使用,也能够以移动和便携方式使用,终端设备会有多样也能够以移动和便携方式使用,终端设备会有多样化的产品形态;此外,随着跨平台能力的扩展,为化的产品形态;此外,随着跨平台能力的扩展,为了满足不同系统应用的需要,网络终端设备也将以了满足不同系统应用的需要,网络终端设备也将以众多的面孔出现:众多的面孔出现:UnixUnix终端、终端、WindowsWindows终端、终端、LinuxLinux终端、终端、WebWeb终端、终端
7、、JavaJava终端等等。终端等等。终端的定义及分类终端的定义及分类应用领域应用领域 字符哑终端和图形终端时代的终端设备只能用于窗字符哑终端和图形终端时代的终端设备只能用于窗口服务行业和柜台业务的局面将一去不复返,网上口服务行业和柜台业务的局面将一去不复返,网上银行、网上证券、银行低柜业务等非柜台业务将广银行、网上证券、银行低柜业务等非柜台业务将广泛采用网络终端设备,同时网络终端设备的应用领泛采用网络终端设备,同时网络终端设备的应用领域还将会迅速拓展至电信、电力、税务、教育以及域还将会迅速拓展至电信、电力、税务、教育以及政府等新兴的非金融行业。政府等新兴的非金融行业。终端的定义及分类终端的定
8、义及分类终端安全的重要性终端安全的重要性1 1、首先,对于一个网络来说、首先,对于一个网络来说80%80%以上的安全事件来自以上的安全事件来自于终端。于终端。2 2、其次,在企业内部至少有、其次,在企业内部至少有90%90%的员工需要每天使用的员工需要每天使用终端计算机。终端计算机。3 3、最后,终端使用者的水平参差不齐。、最后,终端使用者的水平参差不齐。制度执行层制度执行层 安全制度缺失制度执行不力 内部监管与审计不力 内网随意接入 IP管理混乱 操作系统漏洞内网访问不受控 数据未加密保存 数据共享权限混乱 数据外泄渠道通畅 病毒 员工误操作 P2P、在线视频DOS&DDOS攻击 移动存储病
9、毒 移动存储木马 人为泄密重要数据丢失破坏电脑崩溃、网络瘫痪Burning Issue(Burning Issue(Burning Issue(Burning Issue(燃眉之急)燃眉之急)燃眉之急)燃眉之急)管理手段层管理手段层外来威胁层外来威胁层内网问题广泛存在于此问题广泛存在于此问题广泛存在于此问题广泛存在于此!透过现象看本质透过现象看本质本章回顾本章回顾n什么是终端什么是终端n终端安全在网络安全的地位终端安全在网络安全的地位n终端所面临的风险终端所面临的风险目录目录目录目录终端安全概述终端安全概述终端系统安全性终端系统安全性终端体系构架终端体系构架终端安全威胁终端安全威胁终端安全配置
10、终端安全配置终端安全检查终端安全检查终端安全加固终端安全加固终端用户安全职责终端用户安全职责终端接入要求终端接入要求终端标准化的意见和操作建议终端标准化的意见和操作建议 TCSEC 安全等级安全等级 安全级别描述D最低的级别。如MS-DOS计算机,没有安全性可言C1自主安全保护。系统不需要区分用户。可提供根本的访问控制。大部分UNIX达到此标准。C2可控访问保护。系统可通过注册过程、与安全相关事件的审计以及资源隔离等措施,使用户对他们的活动分别负责。NT属于C2级的系统B1标记安全保护。系统提供更多的保护措施包括各式的安全级别。如ATT的SYSTEM V和UNIX with MLS 以及IBM
11、 MVS/ESAB2结构化保护。支持硬件保护。内容区被虚拟分割并严格保护。如Trusted XENIX and Honeywell MULTICSB3安全域。提出数据隐藏和分层,阻止层之间的交互。如Honeywell XTS-200A校验级设计。需要严格的准确的证明系统不会被危害。如Honeywell SCOMP基于基于C2级标准的安全组件级标准的安全组件n灵活的访问控制灵活的访问控制-要求允许对象的属主能够完全控制谁要求允许对象的属主能够完全控制谁可以访问这个对象及拥有什么样的访问权限。可以访问这个对象及拥有什么样的访问权限。n对象再利用对象再利用-Windows-Windows 很明确地阻
12、止所有的应用程序很明确地阻止所有的应用程序访问被另一应用程序占用的资源(比如内存或磁盘)。访问被另一应用程序占用的资源(比如内存或磁盘)。n强制登陆强制登陆-Windows-Windows 用户在能访问任何资源前必须通过用户在能访问任何资源前必须通过登陆来验证他们的身份。因此,缺乏这种强制登陆的登陆来验证他们的身份。因此,缺乏这种强制登陆的NTNT要要想达到想达到C2C2级标准就必须禁止网络功能。级标准就必须禁止网络功能。n审计审计-因为因为Windows Windows 采用单独地机制来控制对任何资源采用单独地机制来控制对任何资源的访问,所以这种机制可以集中地记录下所有的访问活动。的访问,所
13、以这种机制可以集中地记录下所有的访问活动。n控制对象的访问控制对象的访问-Windows-Windows 不允许直接访问系统里的资不允许直接访问系统里的资源。源。系统漏洞导致的损失系统漏洞导致的损失n2004年,年,Mydoom所造成的经济损失已经达到所造成的经济损失已经达到261亿美元亿美元。n2005年,年,Nimda电脑病毒在全球各地侵袭了电脑病毒在全球各地侵袭了830万部电脑,总共造成万部电脑,总共造成5亿亿9000万美元的损失。万美元的损失。n2006年,美国联邦调查局公布报告估计:年,美国联邦调查局公布报告估计:“僵僵尸网络尸网络”、蠕虫、特洛伊木马等电脑病毒给美、蠕虫、特洛伊木马
14、等电脑病毒给美国机构每年造成的损失达国机构每年造成的损失达119亿美元。亿美元。n2007年熊猫烧香造成巨大损失。年熊猫烧香造成巨大损失。n2008年磁碟机造成熊猫烧香年磁碟机造成熊猫烧香10倍损失。倍损失。本章回顾本章回顾n系统安全等级划分的几大标准系统安全等级划分的几大标准nwindowsXP、windows2003所处的安全等级所处的安全等级目录目录目录目录终端安全概述终端安全概述终端系统安全性终端系统安全性终端体系构架终端体系构架终端安全威胁终端安全威胁终端安全配置终端安全配置终端安全检查终端安全检查终端安全加固终端安全加固终端用户安全职责终端用户安全职责终端接入要求终端接入要求终端标
15、准化的意见和操作建议终端标准化的意见和操作建议Windows系统构架系统构架(仅以仅以NT示意示意)XP VISTA服务管理器服务进程系统支持进程本地安全验证服务Windows登录会话管理器应用程序环境子系统Svchost.exeWinmgmt.exeSpoolerServices.exe任务管理器Windows浏览器用户级应用程序子系统动态链接库OS/2POSIXWin32系统服务调度进程核心可调用接口I/O设备设备管理器管理器设备、文件设备、文件驱动程序驱动程序对象管理器虚拟内存管理器进程和线程管理器注册表配置管理器NTdll,dllWin32UserGDI图形驱动图形驱动HAL(硬件抽象
16、层)Micro kernel安全引用监视器进程地址空间进程地址空间进程地址空间进程地址空间系统地址空间系统地址空间系统地址空间系统地址空间线程线程线程线程线程线程线程线程线程线程线程线程进程和线程进程和线程n什么是进程?什么是进程?代表了运行程序的一个实例代表了运行程序的一个实例每一个进程有一个私有的内存地址每一个进程有一个私有的内存地址空间空间n什么是线程?什么是线程?进程内的一个执行上下文进程内的一个执行上下文进程内的所有线程共享相同的进程进程内的所有线程共享相同的进程地址空间地址空间n每一个进程启动时带有一个主线程每一个进程启动时带有一个主线程运行程序的运行程序的“主主”函数函数可以在同
17、一个进程中创建其他的线可以在同一个进程中创建其他的线程程可以创建额外的进程可以创建额外的进程系统进程系统进程n基本的系统进程基本的系统进程System Idle ProcessSystem Idle Process这个进程是作为单线程运行在每个处理器上,并在这个进程是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间系统不处理其他线程的时候分派处理器的时间smss.exe smss.exe 会话管理子系统,负责启动用户会话会话管理子系统,负责启动用户会话csrss.exe csrss.exe 子系统服务器进程子系统服务器进程winlogon.exe winlogon.e
18、xe 管理用户登录管理用户登录services.exe services.exe 包含很多系统服务包含很多系统服务lsass.exe lsass.exe 本地安全身份验证服务器本地安全身份验证服务器 svchost.exe svchost.exe 包含很多系统服务包含很多系统服务SPOOLSV.EXE SPOOLSV.EXE 将文件加载到内存中以便迟后打印。将文件加载到内存中以便迟后打印。(系统服务系统服务)explorer.exe explorer.exe 资源管理器资源管理器internat.exe internat.exe 托盘区的拼音图标托盘区的拼音图标附加的系统进程附加的系统进程 m
19、stask.exe 允许程序在指定时间运行。允许程序在指定时间运行。(系统系统服务服务)regsvc.exe 允许远程注册表操作。允许远程注册表操作。(系统服务系统服务)winmgmt.exe 提供系统管理信息提供系统管理信息(系统服务系统服务)。inetinfo.exe 通过通过Internet 信息服务的管理单信息服务的管理单元提供信息服务连接和管理。元提供信息服务连接和管理。(系统服务系统服务)tlntsvr.exe 允许远程用户登录到系统并且使用允许远程用户登录到系统并且使用命令行运行控制台。命令行运行控制台。(系统服务系统服务)dns.exe 应答对域名系统应答对域名系统 (DNS)
20、名称的查询和名称的查询和更新请求。更新请求。(系统服务系统服务)。系统进程树系统进程树安全的元素安全的元素n安全标识符安全标识符SID:综合计算机名字、当前时间、以及处理当前用户:综合计算机名字、当前时间、以及处理当前用户模式线程所花费模式线程所花费CPU的时间所建立起来的。一个的时间所建立起来的。一个SID:S-1-5-163499331-18283675290-12989372637-500n访问令牌访问令牌访问令牌是由用户的访问令牌是由用户的SID、用户所属于组的、用户所属于组的SID、用户、用户名、用户所在组的组名构成的。名、用户所在组的组名构成的。n安全描述符安全描述符安全描述符是由
21、对象属主的安全描述符是由对象属主的SID、组、组SID,灵活访问控,灵活访问控制列表以及计算机访问控制列表制列表以及计算机访问控制列表 n访问控制列表访问控制列表包括包括DACL和和SACL,灵活访问控制列表里记录用户和,灵活访问控制列表里记录用户和组以及它们的相关权限。系统访问控制列表包含为组以及它们的相关权限。系统访问控制列表包含为对象审计的事件。对象审计的事件。安全的元素安全的元素n安全标识符安全标识符SID:综合计算机名字、当前时间、以及处理当前用户:综合计算机名字、当前时间、以及处理当前用户模式线程所花费模式线程所花费CPU的时间所建立起来的。一个的时间所建立起来的。一个SID:S-
22、1-5-163499331-18283675290-12989372637-500n访问令牌访问令牌访问令牌是由用户的访问令牌是由用户的SID、用户所属于组的、用户所属于组的SID、用户、用户名、用户所在组的组名构成的。名、用户所在组的组名构成的。n安全描述符安全描述符安全描述符是由对象属主的安全描述符是由对象属主的SID、组、组SID,灵活访问控,灵活访问控制列表以及计算机访问控制列表制列表以及计算机访问控制列表 n访问控制列表访问控制列表包括包括DACL和和SACL,灵活访问控制列表里记录用户和,灵活访问控制列表里记录用户和组以及它们的相关权限。系统访问控制列表包含为组以及它们的相关权限。
23、系统访问控制列表包含为对象审计的事件。对象审计的事件。S表示该字符串是SID SID的版本号,对于win2k来说,是1 标志符的颁发机构,对于win2k的帐户,颁发机构就是NT,值是5 表示一系列的子颁发机构 最后一个标志着域内的帐户和组 windowsNT安全模型安全模型Logon processLogon processSAMSAMUser Account User Account DatabaseDatabaseSecurity PolicySecurity Policy Database DatabaseLSALSAAudit logAudit logWin32 subsystemWi
24、n32 subsystemSecurity Reference MonitorSecurity Reference MonitorUser modeUser modeKernel modeKernel modeSecurity policySecurity policyAudit messageAudit messageWin32 applicationWin32 applicationwindowsNT安全模型安全模型Logon processLogon processSAMSAMUser Account User Account DatabaseDatabaseSecurity Polic
25、ySecurity Policy Database DatabaseLSALSAAudit logAudit logWin32 subsystemWin32 subsystemSecurity Reference MonitorSecurity Reference MonitorUser modeUser modeKernel modeKernel modeSecurity policySecurity policyAudit messageAudit messageWin32 applicationWin32 application 使用户登陆生效使用户登陆生效 生成安全访问令牌生成安全访问
26、令牌 管理本地安全策略管理本地安全策略 记录记录SRM审核消息审核消息产生的事件日志产生的事件日志负责负责SAM数数据库的控制与据库的控制与维护维护 防止大部分用户和进防止大部分用户和进程对对象的直接访问程对对象的直接访问 根据本地安全策略的根据本地安全策略的审核策略生成审核信息审核策略生成审核信息用户登录认证过程用户登录认证过程本章回顾本章回顾n什么是线程?什么是线程?n什么是进程?什么是进程?n什么是进程树?什么是进程树?目录目录目录目录终端安全概述终端安全概述终端系统安全性终端系统安全性终端体系构架终端体系构架终端安全威胁终端安全威胁终端安全配置终端安全配置终端安全检查终端安全检查终端安
27、全加固终端安全加固终端用户安全职责终端用户安全职责终端接入要求终端接入要求终端标准化的意见和操作建议终端标准化的意见和操作建议终端安全关注点终端安全关注点终端免疫终端免疫终端免疫终端免疫终端安全管控终端安全管控终端安全管控终端安全管控ITIT支持支持支持支持终端泄密控制移动存储移动存储移动存储移动存储泄密、病毒泄密、病毒泄密、病毒泄密、病毒非法外联非法外联非法外联非法外联文档泄密文档泄密文档泄密文档泄密漏打补丁漏打补丁漏打补丁漏打补丁共享文件共享文件共享文件共享文件ARPARPARPARP病毒、欺病毒、欺病毒、欺病毒、欺骗、攻击骗、攻击骗、攻击骗、攻击终端密码问题终端密码问题终端密码问题终端密
28、码问题违规服务违规服务违规服务违规服务违规恶意进程违规恶意进程违规恶意进程违规恶意进程注册表篡改注册表篡改注册表篡改注册表篡改终端安全控制恶意流量恶意流量恶意流量恶意流量身份鉴别身份鉴别身份鉴别身份鉴别无法绑定唯一无法绑定唯一无法绑定唯一无法绑定唯一IP-MAC-IP-MAC-IP-MAC-IP-MAC-用户用户用户用户非法接入非法接入非法接入非法接入违规资源利用违规资源利用违规资源利用违规资源利用终端接入威胁资产滥用资产滥用资产滥用资产滥用终端运行监控终端运行监控终端运行监控终端运行监控外设硬件滥用外设硬件滥用外设硬件滥用外设硬件滥用软件安装管理软件安装管理软件安装管理软件安装管理IPIPI
29、PIP管理、记录管理、记录管理、记录管理、记录表表表表网络管理、备网络管理、备网络管理、备网络管理、备忘表忘表忘表忘表桌面合规管理AVAVAVAVA-OtherA-OtherA-OtherA-OtherA-SPYA-SPYA-SPYA-SPYA-PhishingA-PhishingA-PhishingA-Phishing恶意代码终端管理的一些必要手段和措施终端管理的一些必要手段和措施终端管理的一些必要手段和措施终端管理的一些必要手段和措施终端免疫终端免疫终端免疫终端免疫终端安全管控终端安全管控终端安全管控终端安全管控ITIT支持支持支持支持文件共享审计文件共享审计文件共享审计文件共享审计上网行
30、为审计上网行为审计上网行为审计上网行为审计邮件审计邮件审计邮件审计邮件审计移动存储审计移动存储审计移动存储审计移动存储审计网络共享审计网络共享审计网络共享审计网络共享审计打印审计打印审计打印审计打印审计注册表审计注册表审计注册表审计注册表审计终端操作审计终端操作审计终端操作审计终端操作审计终端审计终端泄密控制移动存储管理移动存储管理移动存储管理移动存储管理非法外联监控非法外联监控非法外联监控非法外联监控文档防泄密文档防泄密文档防泄密文档防泄密补丁管理补丁管理补丁管理补丁管理共享控制共享控制共享控制共享控制ARPARPARPARP欺骗防御欺骗防御欺骗防御欺骗防御口令控制口令控制口令控制口令控制安
31、全状态检测安全状态检测安全状态检测安全状态检测服务控制服务控制服务控制服务控制进程控制进程控制进程控制进程控制注册表保护注册表保护注册表保护注册表保护终端安全控制流量控制流量控制流量控制流量控制身份认证身份认证身份认证身份认证终端强制修复终端强制修复终端强制修复终端强制修复网络准入网络准入网络准入网络准入客户端准入客户端准入客户端准入客户端准入应用准入应用准入应用准入应用准入终端准入控制第三方联动第三方联动第三方联动第三方联动资产管理资产管理资产管理资产管理软件分发软件分发软件分发软件分发终端运行监控终端运行监控终端运行监控终端运行监控外设管理外设管理外设管理外设管理软件安装管理软件安装管理软
32、件安装管理软件安装管理远程维护远程维护远程维护远程维护IPIPIPIP管理管理管理管理网络管理网络管理网络管理网络管理桌面合规管理AVAVAVAVA-OtherA-OtherA-OtherA-OtherA-SPYA-SPYA-SPYA-SPYA-PhishingA-PhishingA-PhishingA-Phishing恶意代码查杀内网安全的规划内网安全的规划-内网合规内网合规n抵御入侵能力抵御入侵能力n防泄密能力防泄密能力n防病毒能力防病毒能力n防非法接入能力防非法接入能力n审计能力审计能力n补丁更新能力补丁更新能力nIP-MAC-用户绑定能力用户绑定能力n内网合规实践内网合规实践基于策略的
33、访问控制基于策略的访问控制基于网络行为的攻击防护基于网络行为的攻击防护ARPARP欺骗主动防御欺骗主动防御分布式流量管理分布式流量管理安全状态检测及自动修复安全状态检测及自动修复资产管理资产管理 外设管理外设管理进程管理进程管理 IPIP管理管理 补丁分发补丁分发 软件分发软件分发HODHOD远程按需支援远程按需支援移动存储设备认证移动存储设备认证文件透明加密与授权文件透明加密与授权文件授权共享文件授权共享文件操作审计文件操作审计文件打印审计文件打印审计上网行为审计上网行为审计移动存储审计移动存储审计异常路由审计异常路由审计WindowsWindows登录审计登录审计网络准入控制网络准入控制网
34、络准入控制网络准入控制802.1x802.1x接入层接入层EOUEOU汇聚层汇聚层应用准入控制应用准入控制应用准入控制应用准入控制DNS DNS、WebWeb、ProxyProxy、EmailEmailWindows&Linux ServerWindows&Linux Server网管及准入控制网管及准入控制客户端准入控制客户端准入控制客户端准入控制客户端准入控制 五维化终端合规管理模型五维化终端合规管理模型五维化终端合规管理模型五维化终端合规管理模型 打造安全可信的合规内网打造安全可信的合规内网打造安全可信的合规内网打造安全可信的合规内网本章回顾本章回顾n终端威胁的类别终端威胁的类别n抵御威
35、胁的手段抵御威胁的手段n什么是内网合规什么是内网合规目录目录目录目录终端安全概述终端安全概述终端系统安全性终端系统安全性终端体系构架终端体系构架终端安全威胁终端安全威胁终端安全配置终端安全配置终端安全检查终端安全检查终端安全加固终端安全加固终端用户安全职责终端用户安全职责终端接入要求终端接入要求终端标准化的意见和操作建议终端标准化的意见和操作建议安全管理与安全维护用户管理保护注册表数据备份漏洞与补丁安全配置程序安全分析组策略安全模板安全策略数据安全IPSECEFS访问控制TCP/IP组策略权限控制身份认证证书服务Kerberos智能卡NTLMSSL/TLSWin2000Win2000安装配置安
36、装配置建立和选择分区建立和选择分区选择安装目录选择安装目录不安装多余的组件不安装多余的组件停止多余的服务停止多余的服务安装系统补丁安装系统补丁多余的组件多余的组件nInterntInternt信息服务(信息服务(IISIIS)(如不需要)(如不需要)n索引服务索引服务Indexing ServiceIndexing Servicen消息队列服务(消息队列服务(MSMQMSMQ)n远程安装服务远程安装服务n远程存储服务远程存储服务n终端服务终端服务n终端服务授权终端服务授权关闭不必要的服务关闭不必要的服务n Computer Browser 维护网络上计算机的最新列表以及提供这个列表维护网络上计
37、算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行允许程序在指定时间运行 Messenger 传输客户端和服务器之间的传输客户端和服务器之间的 NET SEND 和和 警报器服务消息警报器服务消息 Distributed File System:局域网管理共享文件,不需要禁用局域网管理共享文件,不需要禁用 Distributed linktracking client:用于局域网更新连接信息,不需要禁用用于局域网更新连接信息,不需要禁用 Error reporting service:禁止发送错误报告禁止发送错误报告 Microsoft Serch:提供快速的
38、单词搜索,不需要可禁用提供快速的单词搜索,不需要可禁用 NTLMSecuritysupportprovide:telnet服务和服务和Microsoft Serch用的,不需要用的,不需要禁用禁用 PrintSpooler:如果没有打印机可禁用如果没有打印机可禁用 Remote Registry:禁止远程修改注册表禁止远程修改注册表 Remote Desktop Help Session Manager:禁止远程协助禁止远程协助 Workstation 关闭的话远程关闭的话远程NET命令列不出用户组命令列不出用户组安全管理与安全维护用户管理保护注册表数据备份漏洞与补丁安全配置程序安全分析组策略
39、安全模板安全策略数据安全IPSECEFS访问控制TCP/IP组策略权限控制证书服务Kerberos智能卡NTLMSSL/TLSWin2000基本安全注意事项用户身份验证用户身份验证n交互式登录交互式登录使用域帐号使用域帐号使用本地计算机帐户使用本地计算机帐户n网络身份验证网络身份验证NTLMNTLM验证验证Kerberos V5Kerberos V5安全套接字层安全套接字层/传输层安全(传输层安全(SSL/TLSSSL/TLS)SYSKEY从从NT4 Service Pack 3开开始始,Microsoft提提供供了了对对SAM散列进行进一步加密的方法,称为散列进行进一步加密的方法,称为SYS
40、KEY。SYSKEY是是System KEY的的缩缩写写,它它生生成成一一个个随随机机的的128位位密密钥钥,对对散散列列再再次次进进行行加加密密(不不是是对对SAM文件加密,而是对散列文件加密,而是对散列)。SYSKEY练练 习习 n利用利用Syskey对系统中的帐号密码文件加密对系统中的帐号密码文件加密n设定系统的启动密码设定系统的启动密码安全管理与安全维护用户管理保护注册表数据备份漏洞与补丁安全配置程序安全分析组策略安全模板安全策略数据安全IPSECEFSTCP/IP组策略权限控制身份认证证书服务Kerberos智能卡NTLMSSL/TLSWin2000基本安全注意事项访问控制访问控制N
41、TFSNTFS与与FATFAT分区文件属性分区文件属性文件权限文件权限用户权限用户权限权限控制原则权限控制原则网络访问控制网络访问控制NTFS与与FAT分区权限分区权限FAT32NTFS用户权限用户权限nAdministrators 组组nUsers 组组nPower Users 组组nBackup Operators组组权限控制原则和特点权限控制原则和特点11权限是累计权限是累计 用户对资源的有效权限是分配给该个人用户帐用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和。户和用户所属的组的所有权限的总和。22拒绝的权限要比允许的权限高拒绝的权限要比允许的权限高 拒绝权限
42、可以覆盖所有其他的权限。甚至作为拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件,但是该组一个组的成员有权访问文件夹或文件,但是该组被拒绝访问,那么该用户本来具有的所有权限都被拒绝访问,那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件。会被锁定而导致无法访问该文件夹或文件。n有一个文件叫有一个文件叫FILE。nUSER1用户属于用户属于GROUP1组组nUSER1(读取权限)(读取权限)FILE FILE GROUP1(拒绝)(拒绝)n拒绝访问拒绝访问n那么那么USER1对对FILE的权限将不再是:读取写入,而是无法访问文的权限将不再是:读取写入,而是
43、无法访问文件件FILE。权限控制原则和特点权限控制原则和特点33文件权限比文件夹权限高文件权限比文件夹权限高 例如:如果我对文件夹设置了拒绝写入,例如:如果我对文件夹设置了拒绝写入,但是对文件夹里的文件设置为允许写入,但是对文件夹里的文件设置为允许写入,我就可以对此文件有写入权限。我就可以对此文件有写入权限。44利用用户组来进行权限控制利用用户组来进行权限控制 不同的用户组具有不同的权限,可以把不不同的用户组具有不同的权限,可以把不同的用户划分到不同的组里。同的用户划分到不同的组里。55权限的最小化原则权限的最小化原则 只给用户真正需要的权限只给用户真正需要的权限权限控制原则和特点权限控制原则
44、和特点网络访问控制网络访问控制利用利用IPIP安全策略实现访问控制安全策略实现访问控制设置设置IPSec策略,禁止策略,禁止Ping。设置设置IPsec策略,关闭策略,关闭135,445端口端口安全管理与安全维护用户管理保护注册表数据备份漏洞与补丁安全配置程序安全分析组策略安全模板安全策略IPSECEFS访问控制TCP/IP组策略权限控制身份认证证书服务Kerberos智能卡NTLMSSL/TLSWin2000基本安全注意事项EFSEFS加密文件系统加密文件系统特性:特性:1 1、采用单一密钥技术、采用单一密钥技术2 2、核心文件加密技术仅用于、核心文件加密技术仅用于NTFSNTFS,使用户在
45、本地计算机上安全存储数,使用户在本地计算机上安全存储数据据3 3、加密用户使用透明,其他用户被拒、加密用户使用透明,其他用户被拒4 4、不能加密压缩的和系统文件,加密后不能被共享、能被删除、不能加密压缩的和系统文件,加密后不能被共享、能被删除建议加密文件夹,不要加密单独的文件建议加密文件夹,不要加密单独的文件建议加密文件夹,不要加密单独的文件建议加密文件夹,不要加密单独的文件EFS恢复代理恢复代理n故障恢复代理就是获得授权解密由其他用户加密故障恢复代理就是获得授权解密由其他用户加密的数据的管理员的数据的管理员n必须进行数据恢复时,恢复代理可以从安全的存必须进行数据恢复时,恢复代理可以从安全的存
46、储位置获得数据恢复证书导入系统。储位置获得数据恢复证书导入系统。n默认的超级管理员就是恢复代理默认的超级管理员就是恢复代理使用条件:当加密密钥丢失使用条件:当加密密钥丢失练习练习n用用EFS加密一个文件。加密一个文件。安全管理与安全维护用户管理保护注册表数据备份漏洞与补丁安全分析组策略安全模板安全策略数据安全IPSECEFS访问控制TCP/IP组策略权限控制身份认证证书服务Kerberos智能卡NTLMSSL/TLSWin2000基本安全注意事项本地安全策略本地安全策略-帐号策略帐号策略帐号策略帐号策略*在账户策略-密码策略中设定:密码复杂性要求 启用密码长度最小值 6位强制密码历史 5次最长
47、存留期 30天*在账户策略-账户锁定策略中设定:账户锁定 3次错误登录锁定时间 20分钟复位锁定计数 20分钟 本地安全策略本地安全策略-本地策略本地策略本地策略本地策略n审核策略:决定记录在计算机(成功审核策略:决定记录在计算机(成功/失败的尝失败的尝试)的安全日志上的安全事件。试)的安全日志上的安全事件。n用户权利分配:决定在计算机上有登录用户权利分配:决定在计算机上有登录/任务特任务特权的用户或组。权的用户或组。n安全选项:启用或禁用计算机的安全设置,例如安全选项:启用或禁用计算机的安全设置,例如数据的数字信号、数据的数字信号、administrator administrator 和和
48、guestguest的帐的帐号名、软驱和光盘的访问、驱动程序的安装以及号名、软驱和光盘的访问、驱动程序的安装以及登录提示。登录提示。用户管理保护注册表数据备份漏洞与补丁安全配置程序安全分析组策略安全模板安全策略数据安全IPSECEFS访问控制TCP/IP组策略权限控制身份认证证书服务Kerberos智能卡NTLMSSL/TLSWin2000基本安全注意事项用户管理用户管理n更改超级管理名称更改超级管理名称n取消取消guestguest帐号帐号n合理分配其它用户权限合理分配其它用户权限注册表安全设置注册表安全设置n禁止默认网络共享禁止默认网络共享n禁止枚举域内用户禁止枚举域内用户删除默认网络共享
49、删除默认网络共享服务器服务器:Key:HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersName:AutoShareServerType:DWORDValue:0工作站:工作站:Key:HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersName:AutoShareWksType:DWORDValue:0n取消默认共享取消默认共享编辑txt文本内容net share c$/delnet share d$/delnet share e$/delnet share ADMI
50、N$/del改扩展名为.bat设置开机自启动此批处理文件删除默认网络共享删除默认网络共享禁止枚举用户名和共享禁止枚举用户名和共享Key:HKLMSYSTEMCurrentControlSetControlLsaName:RestrictAnonymousType:REG_DWORDValue:1 备份和还原数据备份和还原数据n将文件备份到文件或磁带将文件备份到文件或磁带n备份备份“系统状态系统状态”数据数据n使用备份向导备份文件使用备份向导备份文件n计划备份计划备份系统文件备份系统文件备份系统文件备份系统文件备份系统文件备份系统文件备份系统文件备份系统文件备份系统文件备份系统文件备份系统漏洞及