《[精选]Windows2000系统安全管理(1).pptx》由会员分享,可在线阅读,更多相关《[精选]Windows2000系统安全管理(1).pptx(42页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Windows 2000系统平安管理系统平安管理系统帐号管理文件系统管理系统进程效劳系统平安基本配置用户类型Administrator默认的超级管理员系统帐号PrintOperater、BackupOperatorGuest默认来宾帐号系统帐号管理系统帐号管理本地用户accounts和组groups帐户useraccounts-定义了Windows中一个用户所必要的信息,包括口令、平安IDSID、组成员关系、登录限制,组:Administrators、BackupOperators、Guest、PowerUsers系统帐号管理系统帐号管理密码存放位置注册表HKEY_LOCAL_MACHINES
2、AM下Winnt/system32/config/sam系统帐号管理系统帐号管理Windows下管理工具计算机管理本地用户和组Windows下域用户管理器命令行方式netuser用户名密码/add/delete将用户参加到组netlocalgroup组名用户名/add/delete添加/删除帐户系统帐号管理系统帐号管理Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这是为了方便局域网用户共享文件的。但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。可以通过更改注册表Local_MachineSystemCurrentControlSetControlLS
3、A-RestrictAnonymous=1来禁止139空连接。同时Windows的本地平安策略就有这样的选项RestrictAnonymous匿名连接的额外限制,这个选项有三个值:0:None.Relyondefaultpermissions无,取决于默认的权限1:DonotallowenumerationofSAMaccountsandshares不允许枚举SAM帐号和共享2:Noaccesswithoutexplicitanonymouspermissions没有显式匿名权限就不允许访问0,这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列
4、表NetServerTransportEnum等等。1,这个值是只允许非NULL用户存取SAM账号信息和共享信息。2,这个值需要注意的是,如果你一旦使用了这个值,共享信息就全完了。本地帐户系统帐号管理系统帐号管理SAM数据库与ADSAM中口令的保存采用单向函数OWF或散列算法实现在%systemroot%system32configsam中实现DC上,账号与密码散列保存在%systemroot%ntdsntds.dit中SYSKEY功能从从NT4 sp3开始提供开始提供散列128位随机密钥保存到SAM文件中保存随机密钥注册表中注册表中,同时使用额外的口令加密软磁盘SID与令牌SID唯一标示一个
5、对象使用User2sid和sid2user工具进行双向查询令牌:通过SID标示账号对象以及所属的组SIDS-1-5-21-1507001333-1204550764-1011284298-500令牌令牌User=S-1-21-S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOne S-1-1-0Group2=Administrators S-1-5-32-544解读SIDSIDS-1-5-21-1507001333-1204550764-1011284298-500修订版本编号颁发机构代码,Windows2000总为5子颁发机构
6、代码,共有4个;具有唯一性相对标示符RID,一般为常数著名的SIDvS-1-1-0 EveryonevS-1-2-0 Interactive用户vS-1-3-0 Creator OwnervS-1-3-1 Creator GroupWindows2000认证与授权访问用户AWinlogon使用账户名称/口令进行认证成功成功令牌令牌令牌令牌User=S-1-21-S-1-5-21-1507001333-User=S-1-21-S-1-5-21-1507001333-1204550764-1011284298-5001204550764-1011284298-500Group1=EveryOne
7、S-1-1-0Group1=EveryOne S-1-1-0Group2=Administrators S-1-5-32-544Group2=Administrators S-1-5-32-544允许允许Read=A S-1-5-21 Read=A S-1-5-21 Write=administrators S-1-5-32-544Write=administrators S-1-5-32-544File.txtSRM,平安平安参考监视器参考监视器访问文件系统管理文件系统管理Windows系统用户的特定权利:Accessthisputerfromnetwork可使用户通过网络访问该计算机。Ad
8、dworkstationtoadomain允许用户将工作站添加到域中。Backupfilesanddirectories授权用户对计算机的文件和目录进行备份。Changethesystemtime用户可以设置计算机的系统时钟。Loadandunloaddevicedrive允许在网络上安装和删除设备驱动程序。Restorefilesanddirectories允许用户恢复以前备份的文件和目录。Shutdownthesystem允许用户关闭系统。文件系统管理文件系统管理Windows系统的用户权限权限适用于对特定对象如目录和文件只适用于NTFS卷的操作,指定允许哪些用户可以使用这些对象,以及如何
9、使用如把某个目录的访问权限授予指定的用户。权限分为目录权限和文件权限,每一个权级别都确定了一个执行特定的任务组合的能力,这些任务是:ReadR、ExecuteX、WriteW、DeleteD、SetPermissionP和TakeOwnershipO。文件系统管理文件系统管理目录权限级别目录权限级别RXWDPO允许系统用户的操作允许系统用户的操作NoAccessNone用户不能访问该目录ListRX可以查看目录中的子目录和文件名,也可以进入其子目录ReadRX具有List权限,用户可以读取目录中的文件和运行目录中的应用程序AddXW用户可以添加文件和子目录AddandReadRXW具有Read
10、和Add的权限ChangeRXWD有Add和Read的权限,另外还可以更改文件的内容,删除文件和子目录FullcontrolRXWDPO有Change的权限,另外用户可以更改权限和获取目录的所有权Windows系统的用户权限目录权限文件权限Windows系统的用户权限权限级别权限级别RXWDPO允许系统用户的操作允许系统用户的操作NoAccess用户不能访问该文件ReadRX用户可以读取该文件,如果是应用程序可以运行ChangeRXWD有Read的权限,还可用修和删除文件FullcontrolRXWDPO包含Change的权限,还可以更改权限和获取文件的所有权Windows 系统的共享权限系统
11、的共享权限共享权限级别共享权限级别允许系统用户的操作允许系统用户的操作NoAccess不能访问禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名,改变共享Read读目录的子目录,还允许查看文件的数据和运行应用程序Change更改具有“读权限中允许的操作,另外允许往目录中添加文件和子目录,更改文数据,删除文件和子目录Fullcontrol完全控制具有“更改权限中允许的操作,另外还允许更改权限只适用于NTFS卷和获所有权只适用于NTFS卷从一个NTFS分区到另一个NTFS分区复制或移动都是继承权限不同分区,移动=复制+删除同一个NTFS分区复制:继承移动:保存复制或移动到FAT32分
12、区NTFS权限丧失文件转移权限文件系统管理文件系统管理系统进程和效劳系统进程和效劳Windows系统效劳系统效劳效劳启动类型:自动,手动,禁用自动-Win2000启动时自动加载效劳手动-Win2000启动时不自动加载效劳,在需要的时候手动开启禁用-Win2000启动的时候不自动加载效劳,在需要的时候选择手动或者自动方式开启效劳,并重新启动电脑完成效劳的配置注册表项:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService底下每一笔效劳工程子项都有一个Start数值,该数值内容所记录的就是效劳工程驱动程式该在何时被加载。目前Windows系统对于Start
13、内容的定义有0、1、2、3、4等五种状态,0、1、2分别代表Boot、System、AutoLoad等三种意义。而Start数值内容为3的效劳工程代表让使用者以手动的方式载入Loadondemand,4则是代表禁用状态。Windows系统进程系统进程基本的系统进程smss.exeSessionManagercsrss.exe子系统效劳器进程winlogon.exe用户登录管理services.exe包含很多的系统效劳DNS、NETBIOSlsass.exe管理IP平安策略以及启动ISAKMP/OakleyIKE和IPSEC平安驱动程序。svchost.exe包含很多系统效劳RPC、红外设备、移
14、动设备spoolsv.exe将文件加载到内存中以便迟后打印。explorer.exe资源管理器winmgmt.exe提供系统管理信息。internat.exe输入法附加的系统进程这些进程不是必要的mstask.exe允许程序在指定时间运行,也叫任务效劳。regsvc.exe允许远程注册表操作。inetinfo.exe通过Internet信息效劳的管理单元提供FTP连接和管理。tlntsvr.exe允许远程用户登录到系统并且使用命令行运行控制台程序telnet。termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在效劳器上的基
15、于Windows的程序。Windows系统进程系统进程系统平安基本配置系统平安基本配置系统平安基本配置Windows系统安装系统安装本地平安策略的设置本地平安策略的设置补丁库的更新补丁库的更新紧急修复紧急修复Windows 系统安装系统安装将系统安装在NTFS分区上,系统、数据、应用程序应安装在不同的分区。初始化硬盘只有一个逻辑盘,建议最少建立三个分区,一个系统分区,两个应用程序分区。因为,Windows的IIS经常会有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN权限。推荐的平安配置是建立三个逻辑驱动器,第一个大于2G,用来装系统和重
16、要的日志文件,第二个放IIS或者FTP,第三个放其它应用程序或者数据。这样无论IIS或FTP出了平安漏洞都不会直接影响到系统目录和系统文件。要知道,IIS和FTP是对外效劳的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。Windows 系统安装系统安装安装后网络接入:当Windows在安装时有一个漏洞,在你输入Administrator密码后,系统就自动会建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后。在此期间,任何人都可以通过ADMIN$进入你的机器。同时,只要安装一完成各种效劳就会自动运行,而这时的效劳
17、器是满身漏洞,非常容易被侵入。因此,在完全安装并配置好之前,一定不要把主机接入网络。Windows 系统安装系统安装本地平安策略的设置本地平安策略的设置帐户平安策略设置审核策略设置其它平安参数设置帐户平安策略设置帐户平安策略设置将Administrator重命名将Guest来宾用户重命名关闭和更改其它用户设置如:IUSR_HOSTNAME匿名访问Internet信息效劳的内置帐号在本地平安策略-平安选项中-启用登录屏幕上不要显示上次的登录的用户名这条策略。这样系统不会自动显示上次的登录用户名。密码策略的推荐设置强制执行密码历史记录强制执行密码历史记录 密码最长期限密码最长期限密码最短期限密码最
18、短期限密码必须符合复杂性要求密码必须符合复杂性要求24个密码个密码42天天2天天启启 用用6位位密码长度最小值密码长度最小值为域中所有用户使用可还为域中所有用户使用可还原的加密来储存密码原的加密来储存密码禁禁 用用账户锁定策略的推荐设置策 略默认设置推荐最低设置帐户锁定时间未定义30 分钟帐户锁定阈值03 次无效登录复位帐户锁定计数器未定义30 分钟针对远程访问的密码策略定制策略Win2000的默认安装是不开任何平安审核的,推荐的审核是:审核工程太多不仅会占用系统资源而且会导致管理员根本没有时间去详细查看,这样就失去了审核的意义。审核策略设置审核策略设置策 略本地设置有效设置帐户管理成功失败登
19、录事件成功失败策略更改成功失败特权使用失败无审核系统事件成功失败目录效劳访问失败无审核帐户登录事件成功失败对象访问失败无审核其它平安参数设置Windows系统自带的平安模板C:winntsecuritytemplates目录下其它平安参数设置平安模板应用平安模板应用运行-mmc控制台-添加/删除管理单元。添加-平安配置和分析、平安模版。创立新数据库-右击“平安配置和分析领域项-选择“翻开数据库-键入新的数据库名,按“翻开。选择要导入的平安配置文件,然后按“翻开。右击“平安配置和分析-立刻配置计算机。其它平安参数设置解决Windows2000的共享引起的平安漏洞方法一、修改注册表,具体步骤如下:
20、1、删除2000启动时没有默认共享c$,d$,WINNT$HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters下建立一个dword类型数据2000professional是autosharewks=02、删除ipc$,admin$的共享在注册表的自动运行选项里新建一个工程,可以任意改名,然后修改键值为netshareipc$/del或是多新建几个运行工程,分别在每个工程里修改为netshareadmin$/del其它平安参数设置方法二实际去除过程可以通过创立批处理文件delshare.bat来实现:ech
21、o修改注册表项,修改系统默认共享属性echo.echo生成delshare.reg准备修改注册表echoWindowsRegistryEditorVersion5.00c:delshare.regechoHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparametersc:delshare.regecho“AutoShareWks=dword:00000000c:delshare.regecho“AutoShareServer=dword:00000000c:delshare.regecho运行delshare.reg
22、修改注册表regedit/sc:delshare.regecho删除delshare.reg临时文件delc:delshare.reg补丁库的更新补丁库的更新Windows的产品是以Bug&Patch而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月,也就是说一般微软公布了漏洞后系统还会有半个月处于无保护状况。使用Windows自动更新程序自动下载安装补丁程序。补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装Windows自带应用程序有可能导致补丁不能起到应有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要
23、安装。紧急修复紧急修复制作紧急修复盘:开始-运行-rdisk/sNT开始-运行-Ntbackup2000开始-附件-系统工具-备份Windows Windows 的加固检查列表的加固检查列表的加固检查列表的加固检查列表使用平安配置工具集的循序渐进指南使用平安配置工具集的循序渐进指南9、静夜四无邻,荒居旧业贫。11月-2311月-23Sunday,November26,202310、雨中黄叶树,灯下白头人。08:41:2408:41:2408:4111/26/20238:41:24AM11、以我独沈久,愧君相见频。11月-2308:41:2408:41Nov-2326-Nov-2312、故人江海
24、别,几度隔山川。08:41:2408:41:2408:41Sunday,November26,202313、乍见翻疑梦,相悲各问年。11月-2311月-2308:41:2408:41:24November26,202314、他乡生白发,旧国见青山。26十一月20238:41:24上午08:41:2411月-2315、比不了得就不比,得不到的就不要。十一月238:41上午11月-2308:41November26,202316、行动出成果,工作出财富。2023/11/268:41:2408:41:2426November202317、做前,能够环视四周;做时,你只能或者最好沿着以脚为起点的射线向
25、前。8:41:24上午8:41上午08:41:2411月-239、没有失败,只有暂时停止成功!。11月-2311月-23Sunday,November26,202310、很多事情努力了未必有结果,但是不努力却什么改变也没有。08:41:2408:41:2408:4111/26/20238:41:24AM11、成功就是日复一日那一点点小小努力的积累。11月-2308:41:2408:41Nov-2326-Nov-2312、世间成事,不求其绝对圆满,留一份缺乏,可得无限完美。08:41:2408:41:2408:41Sunday,November26,202313、不知香积寺,数里入云峰。11月-
26、2311月-2308:41:2408:41:24November26,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。26十一月20238:41:24上午08:41:2411月-2315、楚塞三湘接,荆门九派通。十一月238:41上午11月-2308:41November26,202316、少年十五二十时,步行夺得胡马骑。2023/11/268:41:2408:41:2426November202317、空山新雨后,天气晚来秋。8:41:24上午8:41上午08:41:2411月-239、杨柳散和风,青山澹吾虑。11月-2311月-23Sunday,November26,2023
27、10、阅读一切好书如同和过去最杰出的人谈话。08:41:2408:41:2408:4111/26/20238:41:24AM11、越是没有本领的就越加自命非凡。11月-2308:41:2408:41Nov-2326-Nov-2312、越是无能的人,越喜欢挑剔别人的错儿。08:41:2408:41:2408:41Sunday,November26,202313、知人者智,自知者明。胜人者有力,自胜者强。11月-2311月-2308:41:2408:41:24November26,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。26十一月20238:41:24上午08:41:2411
28、月-2315、最具挑战性的挑战莫过于提升自我。十一月238:41上午11月-2308:41November26,202316、业余生活要有意义,不要越轨。2023/11/268:41:2408:41:2426November202317、一个人即使已登上顶峰,也仍要自强不息。8:41:24上午8:41上午08:41:2411月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉