《Windows安全防护-MSE安全攻防培训资料课件.ppt》由会员分享,可在线阅读,更多相关《Windows安全防护-MSE安全攻防培训资料课件.ppt(48页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Windows 安全防护安全防护主要内容如何保证如何保证Windows操作系统的安全操作系统的安全Windows NT/2000/XP安全配置Windows NT/2000/XP的日志审计日志审计基本安全措施Windows管理员须知为什么很难获得安全性,保持安全性?调查发现:在经历红色代码袭击的客户中,仍有超过50%的客户并没有及时安装补丁防范 Nimda“我不知道需要安装哪些补丁我不知道需要安装哪些补丁”“我不知道到哪里找补丁我不知道到哪里找补丁”“我不知道哪些机器需要补丁我不知道哪些机器需要补丁”“我们已经更新了所有生产服务器我们已经更新了所有生产服务器,但是仍有但是仍有40004000多
2、台非生产服务器受到袭击多台非生产服务器受到袭击”保证系统安全的三步曲我有最新的补丁程序吗?我的所有机器已经达到安全基准吗?我如何锁定我的所有机器?网络安全补丁检查工具(HFNetChk)和 微软基准安全分析器(MBSA)HFNetChk 和 MBSA 是战略性技术保护计划的一个组成部分两个阶段两个阶段:获得安全性获得安全性,保持安全性保持安全性 http:/ NT,Windows 2000 and Windows XP等基于NT的平台上扫描本地和远程计算机检查下列系统的安全补丁的安装状态Windows NT 4.0,Windows 2000,XPWindows NT 4.0,Windows 2
3、000,XPInternet Explorer 5.01Internet Explorer 5.01和后续产品和后续产品IIS 4.0 and 5.0IIS 4.0 and 5.0SQL 7.0 SQL 7.0 和后续产品和后续产品HFNetChk In Action运行运行运行运行HFNetChk.exeHFNetC下载最新下载最新下载最新下载最新的的的的XMLXML补补补补丁数据库丁数据库丁数据库丁数据库XMXML L基于下列扫描基于下列扫描基于下列扫描基于下列扫描l l主机名主机名主机名主机名l lIPIP地址范围地址范围地址范围地址范围l l域名域名域名域名保证系统安全的三步曲我有最新
4、的补丁程序吗?我的所有机器已经达到安全基准吗?我如何锁定我的所有机器?微软基准安全分析器 MBSA运行在Windows 2000 和 Windows XP平台上的单个可执行文件检查常见安全误设置和漏装补丁,服务包Windows Windows Internet Information Server 4.0 and Internet Internet Information Server 4.0 and Internet Information Server 5.0Information Server 5.0SQL 7.0 and SQL 2000SQL 7.0 and SQL 2000桌面应用
5、程序桌面应用程序Internet ExplorerInternet ExplorerOfficeOfficeOutlookOutlookMBSA既有图形界面版本,又有命令行版本生成安全报表系统总得分系统总得分每一项安全检查通过或失败得分每一项安全检查通过或失败得分针对发现的安全性漏洞针对发现的安全性漏洞,提出详细解释和修补动提出详细解释和修补动作作是一个“只读”工具-对被检查的机器没有任何配置或更新操作用户在每台被检查的机器上必须有本地管理员权限使用MBSA扫描单台计算机扫描多台计算机从哪里得到补丁?订阅安全公告邮件http:/www.M Secure Server Roles目的:针对具有不
6、同服务器角色的Windows 系统,简化管理员实施安全系统的繁重任务SSR包含了一些向导程序,用来检查和实施OS,特定应用程序的安全策略(例如:Exchange,IIS)安全服务器角色 SSR安全服务器角色框架设置广泛(例如:服务,端口,注册表键值,审计,用户组等)“角色”众多(例如:域控制器,文件服务器,打印服务器,Web服务器等)适用范围广泛(例如:Internet连接,DMZ,企业网络,多网卡主机)可定制可以增加新的角色,无需编程可扩展可以使用VB来开发特定应用的子向导通过与MBSA的集成,提供了对一些非可配置的选项的分析,例如:漏装补丁程序,NTFS文件系统,口令太简单既可在本地运行,
7、又可在远程运行支持Windows 2000 和.Net Server安全服务器角色 SSR(2)Windows 安全配置安全配置帐户管理密码管理文件系统配置管理网络配置管理其他配置管理帐户管理新建合理有效的用户重命名管理员帐号检查用户帐号、组成员及权限取消或禁用 Guest帐号将Everyone可以“从网络访问计算机”改为一个特定帐号帐户管理允许管理员帐号网络登录锁定尝试注册三次失败后锁定账号 启用登录工作站和登录时间限制 登录屏幕上不显示上次登录的用户名 登录前,先键入ALT+DEL+CTRL密码管理启动口令密码的复杂性要求登录名称中字符不要重复或循环;至少包含两个字母字符和一个非字母字符;
8、至少有6个字符长度;不是用户的姓名,不是相关人物、著名人物的姓名,不是用户的生日和电话号码及其他容易猜测的字符组合等;口令密码的长度限制要求用户定期更改口令 文件系统配置管理将硬盘格式化成NTFS设置NTFS的存取控制列表关闭NTFS 8.3文件系统(到注册表中的HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control FileSystem,将NtfsDisable8dot3NameCreation的值由0改为1)加密文件系统EFS 网络配置管理去掉所有网络共享限制匿名网络存取去掉NETBIOS绑定到TCP/IP取消IP路由其他配置管理将系统的启动
9、等待时间设置为0秒移除OS/2和POSIX子系统设置所有的登录/注销成功/失败审计设置审计日志写文件的时间间隔移动一些重要的应用程序及时给系统打补丁日志审计的作用任何功能正常的计算机环境都有可能受到攻击。不论安全性有多高,都存在可能会受到攻击的风险。在一系列不得逞的攻击之后往往攻击就会得逞。如果不监视有无攻击的情况,就不能在攻击得逞之前发现它们。如果攻击果真会得逞,那么越早发现,避免损失就越容易。如果要在受到攻击后进行恢复,则必须知道造成了什么样的损失。日志审计的作用审计和侵入检测会有助于确定谁应对攻击负责。将审计和侵入检测结合起来可有助于将各种信息相互关联以弄清攻击发生的模式。定期检查安全日
10、志可有助于发现未知的安全配置问题,如权限不正确或帐户锁定设置不严格等。在检测到发生攻击的情况之后,审计可有助于确定哪些网络资源受到了危害。审计的内容系统和网络日志文件 目录和文件中不期望的改变 程序执行中的不期望行为 物理形式的入侵信息 审计的方法模式匹配 统计分析 完整性分析 Windows 2000审计事件类别 登录事件帐户登录事件 对象访问 目录服务访问 特权使用 进程跟踪 系统事件 策略更改 Windows 2000审计事件类别登录事件登录事件 如果对登录事件进行审计,那么每次用户在计算机上登录或注销时,都会在进行了登录尝试的计算机的安全日志中生成一个事件。此外,在用户连接到远程服务器
11、之后,也会在远程服务器的安全日志中生成一个登录事件。在创建或者销毁登录会话和令牌时也会分别创建登录事件。Windows 2000审计事件类别帐户登录事件帐户登录事件 在一个用户登录到域时,是在域控制器上对登录进行处理的。如果您审计域控制器上的帐户登录事件,那么您就会看到在对帐户进行验证的域控制器上记录的此登录尝试。帐户登录事件是在身份验证程序包对用户的凭据进行验证时创建的。Windows 2000审计事件类别帐户管理帐户管理 帐户管理审计用于确定用户或组是在何时创建、更改或删除的。此审计可用于确定何时创建了安全主体,以及什么人执行了该任务。对象访问对象访问 可以用系统访问控制列表(SACL)对
12、基于 Windows 2000 的网络中的所有对象启用审计。SACL 包含一个将要审计其对对象进行的操作的用户和组的列表。Windows 2000审计事件类别目录服务访问目录服务访问Active Directory 对象具有与它们关联的 SACL,因此也可以对它们进行审计。特权使用特权使用 用户在 IT 环境中工作时,他们就会行使所规定的用户权限。如果您审计“特权使用”的成功和失败,那么每次一个用户尝试行使用户权限时都会生成一个事件。Windows 2000审计事件类别进程跟踪进程跟踪 如果您审计在基于 Windows 2000 的计算机上运行的进程的详细跟踪信息,那么事件日志将显示创建进程和
13、结束进程的尝试。系统事件系统事件 在一个用户或进程改变计算机环境的某些方面时会生成系统事件。您可以审计对系统进行更改的尝试,如关闭计算机或更改系统时间。策略更改策略更改 审计策略应定义将审计对您的环境的哪些更改,它会有助于确定是否有攻击您的环境的企图。Widows日志应用程序日志应用程序日志 包含由应用程序或系统程序记录的事件。如数据库程序中的文件错误。系统日志系统日志 包含 系统组件记录的事件。如在启动过程将加载的驱动程序或其他系统组件的失败记录。安全日志安全日志记录安全事件,如有效的和无效的登录尝试,以及与创建、打开或删除文件等资源使用相关联的事件。事件查看器事件查看器事件说明日志事件选项
14、配置审核文件和文件夹访问WWW日志FTP日志Widows审计内容IIS日志审计系统日志审计安全日志审计应用程序日志审计注册表审计文件系统审计系统服务审计系统进程审计系统帐号审计Windows基本安全措施 在人员配置上,应该对用户进行分类,划分不同的用户等级。规定不同的用户权限。对资源进行区分,共享和不共享资源应该放置于不同的文件夹或路径下,对共享资源再进行细分,划分不同的共享级别,比如:只读、安全控制,备份、等等。给不同的用户或用户组分配不同的帐号、口令、密码。并且规定口令、密码的有效期,对其进行动态的分配和修改,保证密码的有效性。Windows基本安全措施为防止未经授权的访问,可以利用安全审
15、查功能,以便在事件查看器安全日志中记录未经授权的访问企图,以便尽早发现安全漏洞。配合路由器和防火墙的使用,对一些IP地址进行过滤,可以在很大程度上防止其他用户通过TCP/IP访问你的服务器。在Windows 上运行的Web服务器、FTP服务器、Mail服务器,I E等,应及时获得其补丁程序包,以解决其安全问题。当然还有操作系统本身的升级。管理员须知专人专机管理机要数据。定期对各类用户进行安全培训。服务器上只安装NT。服务器上所有的卷全部使用NTFS。使用最新的Service Pack升级你的NT。设置服务器的BIOS,不允许从可移动的存储设备(软驱、光驱、ZIP、SCIS设备)启动。通过BIO
16、S设置软驱无效,并设置BIOS口令。管理员须知取消服务器上不用的服务和协议种类。系统文件和用户数据文件分别存储在不同的卷上。修改默认“Administrator”用户名,加上“强口令”。管理员账号仅用于网络管理,不要在任何客户机上使用管理员账号。限制可以登录到有敏感数据的服务器的用户数。管理员须知限制Guest账号的权限,最好不允许使用Guest账号。新增用户时分配一个口令,并控制用户“首次登录必须更改口令”,最好进一步设置成口令的不低于8个字符,杜绝安全漏洞。至少对用户“登录和注销”网络、“重新启动、关机及系统”、“安全规则更改”活动进行审计。一般不直接给用户赋权,而通过用户组分配用户权限。
17、管理员须知所有磁盘分区都是NTFS文件系统管理员帐户有一个强口令禁止所有不必要的服务删除或禁止所有不必要的账号关闭所有不必要的共享目录设置访问控制列表设置严格的安全策略安装最新的服务包和补丁程序安装反病毒软件安装反病毒软件提供Internet访问服务的策略 文件服务器不与Internet直接连接,设专用代理服务器;不允许客户机通过Modem连到Internet,形成在防火墙内的连接。可以考虑将对外的Web服务器放在防火墙之外,隔离外界对内的访问以保护内部的敏感数据。利用端口扫描工具,定期在防火墙外对网络内所有的服务器和客户进行端口扫描。结束语给给Microsoft一个宽容吧!一个宽容吧!让我们理解让我们理解Windows吧!吧!