网络终端计算机安全管理培训

1、金山词霸 2003.lnk 金山词霸 2003.lnk 版本信息：版本信息： 版本号：版本号：1.0.01.0.0 更新时间：更新时间：2008-10-282008-10-28 编者信息：编者信息： 房仲阳房仲阳 中国移动辽宁公司网络部中国移动辽宁公司网络部 电话：电话：220813889888988-2208 邮箱：邮箱： 培训要求：培训要求： 该课程主要介绍网络与信息安全基础知识该课程主要介绍网络与信息安全基础知识 培训对象：培训对象： 面向管理层、安全管理人员、安全技术人员、系统维面向管理层、安全管理人员、安全技术人员、系统维 护人员、及普通员工，共护人员、及普

2、通员工，共5 5类人员类人员 培训时间培训时间： 3 3小时左右小时左右 培训侧重点：培训侧重点： 本教材针对本教材针对5 5类人员的培训内容并无差别类人员的培训内容并无差别 n了解了解windows系统的设计原理系统的设计原理 n了解终端系统的安全特性了解终端系统的安全特性 n能够对终端系统进行安全配置能够对终端系统进行安全配置 授课方式：讲解、演示授课方式：讲解、演示 终端安全概述终端安全概述 终端系统安全性终端系统安全性 终端体系构架终端体系构架 终端安全威胁终端安全威胁 终端安全配置终端安全配置 终端安全检查终端安全检查 终端安全加固终端安全加固 终端用户安全职责终端用户安全职责 终端

3、接入要求终端接入要求 终端标准化的意见和操作建议终端标准化的意见和操作建议 什么是终端？什么是终端？ 终端，即计算机显示终端，是计算机系统的输入、终端，即计算机显示终端，是计算机系统的输入、 输出设备。计算机显示终端伴随主机时代的集中处输出设备。计算机显示终端伴随主机时代的集中处 理模式而产生，并随着计算技术的发展而不断发展理模式而产生，并随着计算技术的发展而不断发展 。迄今为止，计算技术经历了主机时代、。迄今为止，计算技术经历了主机时代、pcpc时代和时代和 网络计算时代这三个发展时期，终端与计算技术发网络计算时代这三个发展时期，终端与计算技术发 展的三个阶段相适应，应用也经历了字符哑终端、

4、展的三个阶段相适应，应用也经历了字符哑终端、 图形终端和网络终端这三个形态。图形终端和网络终端这三个形态。 终端的分类终端的分类 终端的分类：目前常见的客户端设备分为两类：一终端的分类：目前常见的客户端设备分为两类：一 类是胖客户端，一类是瘦客户端。那么，把以类是胖客户端，一类是瘦客户端。那么，把以pcpc为为 代表的基于开放性工业标准架构、功能比较强大的代表的基于开放性工业标准架构、功能比较强大的 设备叫做设备叫做“胖客户端胖客户端”，其他归入，其他归入“瘦客户端瘦客户端”。 瘦客户机产业的空间和规模也很大，不会亚于瘦客户机产业的空间和规模也很大，不会亚于pcpc现现 在的规模。在的规模。

5、技术层面技术层面 数据处理模式将从分散走向集中，用户界面将更加数据处理模式将从分散走向集中，用户界面将更加 人性化，可管理性和安全性也将大大提升；同时，人性化，可管理性和安全性也将大大提升；同时， 通信和信息处理方式也将全面实现网络化，并可实通信和信息处理方式也将全面实现网络化，并可实 现前所未有的系统扩展能力和跨平台能力。现前所未有的系统扩展能力和跨平台能力。 应用形态应用形态 网络终端设备将不局限在传统的桌面应用环境，随网络终端设备将不局限在传统的桌面应用环境，随 着连接方式的多样化，它既可以作为桌面设备使用着连接方式的多样化，它既可以作为桌面设备使用 ，也能够以移动和便携方式使用，终端设

6、备会有多，也能够以移动和便携方式使用，终端设备会有多 样化的产品形态；此外，随着跨平台能力的扩展，样化的产品形态；此外，随着跨平台能力的扩展， 为了满足不同系统应用的需要，网络终端设备也将为了满足不同系统应用的需要，网络终端设备也将 以众多的面孔出现：以众多的面孔出现：unixunix终端、终端、windowswindows终端、终端、 linuxlinux终端、终端、webweb终端、终端、javajava终端等等。终端等等。 应用领域应用领域 字符哑终端和图形终端时代的终端设备只能用于窗字符哑终端和图形终端时代的终端设备只能用于窗 口服务行业和柜台业务的局面将一去不复返，网上口服务行业和柜

7、台业务的局面将一去不复返，网上 银行、网上证券、银行低柜业务等非柜台业务将广银行、网上证券、银行低柜业务等非柜台业务将广 泛采用网络终端设备，同时网络终端设备的应用领泛采用网络终端设备，同时网络终端设备的应用领 域还将会迅速拓展至电信、电力、税务、教育以及域还将会迅速拓展至电信、电力、税务、教育以及 政府等新兴的非金融行业。政府等新兴的非金融行业。 终端安全的重要性终端安全的重要性 1 1、首先，对于一个网络来说、首先，对于一个网络来说80%80%以上的安全事件来自以上的安全事件来自 于终端。于终端。 2 2、其次，在企业内部至少有、其次，在企业内部至少有90%90%的员工需要每天使用的员工需

8、要每天使用 终端计算机。终端计算机。 3 3、最后，终端使用者的水平参差不齐。、最后，终端使用者的水平参差不齐。 安全制度缺失 制度执行不力 内部监管与审计不力 内网随意接入 ip管理混乱 操作系统漏洞 内网访问不受控 数据未加密保存 数据共享权限混乱 数据外泄渠道通畅 病毒 员工误操作 p2p、在线视频 dos & ddos攻击 移动存储 病毒 移动存储木马 人为泄密 重要数据丢失破坏电脑崩溃、网络瘫痪 内 网 n什么是终端什么是终端 n终端安全在网络安全的地位终端安全在网络安全的地位 n终端所面临的风险终端所面临的风险 终端安全概述 终端系统安全性终端系统安全性 终端体系构架终端体系构架

9、终端安全威胁终端安全威胁 终端安全配置终端安全配置 终端安全检查终端安全检查 终端安全加固终端安全加固 终端用户安全职责终端用户安全职责 终端接入要求终端接入要求 终端标准化的意见和操作建议终端标准化的意见和操作建议 安全级别 描述 d最低的级别。如ms-dos计算机，没有安全性可言 c1自主安全保护。系统不需要区分用户。可提供根本的访问控制。 大部分unix达到此标准。 c2 可控访问保护。系统可通过注册过程、与安全相关事件的审计 以及资源隔离等措施，使用户对他们的活动分别负责。nt属 于c2级的系统 b1 标记安全保护。系统提供更多的保护措施包括各式的安全级别。 如att的system v

10、和unix with mls 以及ibm mvs/esa b2 结构化保护。支持硬件保护。内容区被虚拟分割并严格保护。 如trusted xenix and honeywell multics b3安全域。提出数据隐藏和分层，阻止层之间的交互。如 honeywell xts-200 a 校验级设计。需要严格的准确的证明系统不会被危害。如 honeywell scomp n灵活的访问控制灵活的访问控制-要求允许对象的属主能够完全控制谁要求允许对象的属主能够完全控制谁 可以访问这个对象及拥有什么样的访问权限。可以访问这个对象及拥有什么样的访问权限。 n对象再利用对象再利用-windows -win

11、dows 很明确地阻止所有的应用程序很明确地阻止所有的应用程序 访问被另一应用程序占用的资源（比如内存或磁盘）。访问被另一应用程序占用的资源（比如内存或磁盘）。 n强制登陆强制登陆-windows -windows 用户在能访问任何资源前必须通过用户在能访问任何资源前必须通过 登陆来验证他们的身份。因此，缺乏这种强制登陆的登陆来验证他们的身份。因此，缺乏这种强制登陆的ntnt要要 想达到想达到c2c2级标准就必须禁止网络功能。级标准就必须禁止网络功能。 n审计审计-因为因为windows windows 采用单独地机制来控制对任何资源采用单独地机制来控制对任何资源 的访问，所以这种机制可以集中

12、地记录下所有的访问活动。的访问，所以这种机制可以集中地记录下所有的访问活动。 n控制对象的访问控制对象的访问-windows -windows 不允许直接访问系统里的资不允许直接访问系统里的资 源。源。 n2004年，年，mydoom所造成的经济损失已经达到所造成的经济损失已经达到 261亿美元亿美元 。 n2005年，年，nimda电脑病毒在全球各地侵袭了电脑病毒在全球各地侵袭了 830万部电脑，总共造成万部电脑，总共造成5亿亿9000万美元的损失。万美元的损失。 n2006年，美国联邦调查局公布报告估计：年，美国联邦调查局公布报告估计：“僵僵 尸网络尸网络”、蠕虫、特洛伊木马等电脑病毒给美

13、、蠕虫、特洛伊木马等电脑病毒给美 国机构每年造成的损失达国机构每年造成的损失达119亿美元。亿美元。 n2007年熊猫烧香造成巨大损失。年熊猫烧香造成巨大损失。 n2008年磁碟机造成熊猫烧香年磁碟机造成熊猫烧香10倍损失。倍损失。 n系统安全等级划分的几大标准系统安全等级划分的几大标准 nwindowsxp、windows2003所处的安全等级所处的安全等级 终端安全概述 终端系统安全性 终端体系构架终端体系构架 终端安全威胁终端安全威胁 终端安全配置终端安全配置 终端安全检查终端安全检查 终端安全加固终端安全加固 终端用户安全职责终端用户安全职责 终端接入要求终端接入要求 终端标准化的意见

14、和操作建议终端标准化的意见和操作建议 服务管理器 服务进程系统支持进程 本地安全验证服务 windows登录 会话管理器 应用程序 环境子系统 svchost.exe winmgmt.exe spooler services.exe 任务管理器 windows浏览器 用户级应用程序 子系统动态链接库 os/2 posix win32 系统服务调度进程 核心可调用接口 i/o设备设备 管理器管理器 设备、文件设备、文件 驱动程序驱动程序 对象 管理器 虚拟内存 管理器 进程和 线程管 理器 注册表 配置 管理器 ntdll,dll win32 user gdi 图形驱动图形驱动 hal（硬件抽象

15、层） micro kernel 安全引用 监视器 n什么是进程？什么是进程？ 代表了运行程序的一个实例代表了运行程序的一个实例 每一个进程有一个私有的内存地址每一个进程有一个私有的内存地址 空间空间 n什么是线程？什么是线程？ 进程内的一个执行上下文进程内的一个执行上下文 进程内的所有线程共享相同的进程进程内的所有线程共享相同的进程 地址空间地址空间 n每一个进程启动时带有一个主线程每一个进程启动时带有一个主线程 运行程序的运行程序的“主主”函数函数 可以在同一个进程中创建其他的线可以在同一个进程中创建其他的线 程程 可以创建额外的进程可以创建额外的进程 n基本的系统进程基本的系统进程 sys

16、tem idle processsystem idle process 这个进程是作为单线程运行在每个处理器上，并在这个进程是作为单线程运行在每个处理器上，并在 系统不处理其他线程的时候分派处理器的时间系统不处理其他线程的时候分派处理器的时间 smss.exe smss.exe 会话管理子系统，负责启动用户会话会话管理子系统，负责启动用户会话 csrss.exe csrss.exe 子系统服务器进程子系统服务器进程 winlogon.exe winlogon.exe 管理用户登录管理用户登录 services.exe services.exe 包含很多系统服务包含很多系统服务 lsass.ex

17、e lsass.exe 本地安全身份验证服务器本地安全身份验证服务器 svchost.exe svchost.exe 包含很多系统服务包含很多系统服务 spoolsv.exe spoolsv.exe 将文件加载到内存中以便迟后打印。将文件加载到内存中以便迟后打印。 ( (系统服务系统服务) ) explorer.exe explorer.exe 资源管理器资源管理器 internat.exe internat.exe 托盘区的拼音图标托盘区的拼音图标 mstask.exe 允许程序在指定时间运行。允许程序在指定时间运行。(系统系统 服务服务) regsvc.exe 允许远程注册表操作。允许远程

18、注册表操作。 (系统服务系统服务) winmgmt.exe 提供系统管理信息提供系统管理信息(系统服务系统服务)。 inetinfo.exe 通过通过internet 信息服务的管理单信息服务的管理单 元提供信息服务连接和管理。元提供信息服务连接和管理。(系统服务系统服务) tlntsvr.exe 允许远程用户登录到系统并且使用允许远程用户登录到系统并且使用 命令行运行控制台。命令行运行控制台。(系统服务系统服务) dns.exe 应答对域名系统应答对域名系统 (dns)名称的查询和名称的查询和 更新请求。更新请求。(系统服务系统服务) 。 n安全标识符安全标识符 sid：综合计算机名字、当前

19、时间、以及处理当前用户：综合计算机名字、当前时间、以及处理当前用户 模式线程所花费模式线程所花费cpu的时间所建立起来的。一个的时间所建立起来的。一个 sid： s-1-5-16349933112989372637-500 n访问令牌访问令牌 访问令牌是由用户的访问令牌是由用户的sid、用户所属于组的、用户所属于组的sid、用户、用户 名、用户所在组的组名构成的。名、用户所在组的组名构成的。 n安全描述符安全描述符 安全描述符是由对象属主的安全描述符是由对象属主的sid、组、组sid，灵活访问控，灵活访问控 制列表以及计算机访问控制列表制列表以及计算机访问控制列表 n

20、访问控制列表访问控制列表 包括包括dacl和和sacl，灵活访问控制列表里记录用户和，灵活访问控制列表里记录用户和 组以及它们的相关权限。系统访问控制列表包含为组以及它们的相关权限。系统访问控制列表包含为 对象审计的事件。对象审计的事件。 n安全标识符安全标识符 sid：综合计算机名字、当前时间、以及处理当前用户：综合计算机名字、当前时间、以及处理当前用户 模式线程所花费模式线程所花费cpu的时间所建立起来的。一个的时间所建立起来的。一个 sid： s-1-5-16349933112989372637-500 n访问令牌访问令牌 访问令牌是由用户的访问令牌是由用户的s

21、id、用户所属于组的、用户所属于组的sid、用户、用户 名、用户所在组的组名构成的。名、用户所在组的组名构成的。 n安全描述符安全描述符 安全描述符是由对象属主的安全描述符是由对象属主的sid、组、组sid，灵活访问控，灵活访问控 制列表以及计算机访问控制列表制列表以及计算机访问控制列表 n访问控制列表访问控制列表 包括包括dacl和和sacl，灵活访问控制列表里记录用户和，灵活访问控制列表里记录用户和 组以及它们的相关权限。系统访问控制列表包含为组以及它们的相关权限。系统访问控制列表包含为 对象审计的事件。对象审计的事件。 s表示该字 符串是sid sid的版本 号，对于 win2k来说，

22、是1 标志符的颁发机构， 对于win2k的帐户， 颁发机构就是nt， 值是5 表示一系列的子 颁发机构 最后一个标 志着域内的 帐户和组 使用户登陆生效使用户登陆生效 生成安全访问令牌生成安全访问令牌 管理本地安全策略管理本地安全策略 记录记录srm审核消息审核消息 产生的事件日志产生的事件日志 负责负责sam数数 据库的控制与据库的控制与 维护维护 防止大部分用户和进防止大部分用户和进 程对对象的直接访问程对对象的直接访问 根据本地安全策略的根据本地安全策略的 审核策略生成审核信息审核策略生成审核信息 n什么是线程？什么是线程？ n什么是进程？什么是进程？ n什么是进程树？什么是进程树？ 终

23、端安全概述 终端系统安全性 终端体系构架终端体系构架 终端安全威胁终端安全威胁 终端安全配置终端安全配置 终端安全检查终端安全检查 终端安全加固终端安全加固 终端用户安全职责终端用户安全职责 终端接入要求终端接入要求 终端标准化的意见和操作建议终端标准化的意见和操作建议 终端泄密控制 终端安全控制终端接入威胁桌面合规管理恶意代码 终端审计终端泄密控制 终端安全控制终端准入控制桌面合规管理恶意代码查杀 n抵御入侵能力抵御入侵能力 n防泄密能力防泄密能力 n防病毒能力防病毒能力 n防非法接入能力防非法接入能力 n审计能力审计能力 n补丁更新能力补丁更新能力 nip-mac-用户绑定能力用户绑定能力

24、 n n终端威胁的类别终端威胁的类别 n抵御威胁的手段抵御威胁的手段 n什么是内网合规什么是内网合规 终端安全概述 终端系统安全性 终端体系构架终端体系构架 终端安全威胁终端安全威胁 终端安全配置终端安全配置 终端安全检查终端安全检查 终端安全加固终端安全加固 终端用户安全职责终端用户安全职责 终端接入要求终端接入要求 终端标准化的意见和操作建议终端标准化的意见和操作建议 安全管理与安全维护 用户管理 保护注册表 数据备份 漏洞与补丁 安全配置程序 安全分析 组策略 安全模板 安全策略 数据安全 ipsec efs 访问控制 tcp/ip 组策略 权限控制 身份认证 证书服务 kerberos

25、 智能卡 ntlm ssl/tls 建立和选择分区建立和选择分区 选择安装目录选择安装目录 不安装多余的组件不安装多余的组件 停止多余的服务停止多余的服务 安装系统补丁安装系统补丁 ninterntinternt信息服务（信息服务（iisiis）（如不需要）（如不需要） n索引服务索引服务indexing serviceindexing service n消息队列服务（消息队列服务（msmqmsmq） n远程安装服务远程安装服务 n远程存储服务远程存储服务 n终端服务终端服务 n终端服务授权终端服务授权 n computer browser 维护网络上计算机的最新列表以及提供这个列表维护网络上

26、计算机的最新列表以及提供这个列表 task scheduler 允许程序在指定时间运行允许程序在指定时间运行 messenger 传输客户端和服务器之间的传输客户端和服务器之间的 net send 和和 警报器服务消息警报器服务消息 distributed file system: 局域网管理共享文件，不需要禁用局域网管理共享文件，不需要禁用 distributed linktracking client：用于局域网更新连接信息，不需要禁用用于局域网更新连接信息，不需要禁用 error reporting service：禁止发送错误报告禁止发送错误报告 microsoft serch：提供快

27、速的单词搜索，不需要可禁用提供快速的单词搜索，不需要可禁用 ntlmsecuritysupportprovide：telnet服务和服务和microsoft serch用的，不需要用的，不需要 禁用禁用 printspooler：如果没有打印机可禁用如果没有打印机可禁用 remote registry：禁止远程修改注册表禁止远程修改注册表 remote desktop help session manager：禁止远程协助禁止远程协助 workstation 关闭的话远程关闭的话远程net命令列不出用户组命令列不出用户组 安全管理与安全维护 用户管理 保护注册表 数据备份 漏洞与补丁 安全配置

28、程序 安全分析 组策略 安全模板 安全策略 数据安全 ipsec efs 访问控制 tcp/ip 组策略 权限控制 证书服务 kerberos 智能卡 ntlm ssl/tls n交互式登录交互式登录 使用域帐号使用域帐号 使用本地计算机帐户使用本地计算机帐户 n网络身份验证网络身份验证 ntlmntlm验证验证 kerberos v5kerberos v5 安全套接字层安全套接字层/ /传输层安全（传输层安全（ssl/tlsssl/tls） 从从nt4 service pack 3开始，开始，microsoft提供提供 了对了对sam散列进行进一步加密的方法，称为散列进行进一步加密的方法，称

29、为 syskey。 syskey是是system key的缩写，它生成一个随的缩写，它生成一个随 机的机的128位密钥，对散列再次进行加密位密钥，对散列再次进行加密(不是对不是对 sam文件加密，而是对散列文件加密，而是对散列)。 n利用利用syskey对系统中的帐号密码文件加密对系统中的帐号密码文件加密 n设定系统的启动密码设定系统的启动密码 安全管理与安全维护 用户管理 保护注册表 数据备份 漏洞与补丁 安全配置程序 安全分析 组策略 安全模板 安全策略 数据安全 ipsec efs tcp/ip 组策略 权限控制 身份认证 证书服务 kerberos 智能卡 ntlm ssl/tls n

30、tfsntfs与与fatfat分区文件属性分区文件属性 文件权限文件权限 用户权限用户权限 权限控制原则权限控制原则 网络访问控制网络访问控制 fat32ntfs nadministrators 组组 nusers 组组 npower users 组组 nbackup operators组组 11权限是累计权限是累计 用户对资源的有效权限是分配给该个人用户用户对资源的有效权限是分配给该个人用户 帐户和用户所属的组的所有权限的总和。帐户和用户所属的组的所有权限的总和。 22拒绝的权限要比允许的权限高拒绝的权限要比允许的权限高 拒绝权限可以覆盖所有其他的权限。甚至作为拒绝权限可以覆盖所有其他的权限

31、。甚至作为 一个组的成员有权访问文件夹或文件，但是该组一个组的成员有权访问文件夹或文件，但是该组 被拒绝访问，那么该用户本来具有的所有权限都被拒绝访问，那么该用户本来具有的所有权限都 会被锁定而导致无法访问该文件夹或文件。会被锁定而导致无法访问该文件夹或文件。 n有一个文件叫有一个文件叫file。 nuser1用户属于用户属于group1组组 nuser1（读取权限）（读取权限） file file group1（拒绝）（拒绝） n拒绝访问拒绝访问 n那么那么user1对对file的权限将不再是：读取写入，而是无法访问文的权限将不再是：读取写入，而是无法访问文 件件file。 33文件权限比文

32、件夹权限高文件权限比文件夹权限高 例如：如果我对文件夹设置了拒绝写入，例如：如果我对文件夹设置了拒绝写入， 但是对文件夹里的文件设置为允许写入，但是对文件夹里的文件设置为允许写入， 我就可以对此文件有写入权限。我就可以对此文件有写入权限。 44利用用户组来进行权限控制利用用户组来进行权限控制 不同的用户组具有不同的权限，可以把不不同的用户组具有不同的权限，可以把不 同的用户划分到不同的组里。同的用户划分到不同的组里。 55权限的最小化原则权限的最小化原则 只给用户真正需要的权限只给用户真正需要的权限 设置设置ipsec策略，禁止策略，禁止ping。 设置设置ipsec策略，关闭策略，关闭135

33、，445端口端口 安全管理与安全维护 用户管理 保护注册表 数据备份 漏洞与补丁 安全配置程序 安全分析 组策略 安全模板 安全策略 ipsec efs 访问控制 tcp/ip 组策略 权限控制 身份认证 证书服务 kerberos 智能卡 ntlm ssl/tls 特性：特性： 1 1、采用单一密钥技术、采用单一密钥技术 2 2、核心文件加密技术仅用于、核心文件加密技术仅用于ntfsntfs，使用户在本地计算机上安全存储数，使用户在本地计算机上安全存储数 据据 3 3、加密用户使用透明，其他用户被拒、加密用户使用透明，其他用户被拒 4 4、不能加密压缩的和系统文件，加密后不能被共享、能被删除

34、、不能加密压缩的和系统文件，加密后不能被共享、能被删除 n故障恢复代理就是获得授权解密由其他用户加密故障恢复代理就是获得授权解密由其他用户加密 的数据的管理员的数据的管理员 n必须进行数据恢复时，恢复代理可以从安全的存必须进行数据恢复时，恢复代理可以从安全的存 储位置获得数据恢复证书导入系统。储位置获得数据恢复证书导入系统。 n默认的超级管理员就是恢复代理默认的超级管理员就是恢复代理 使用条件：当加密密钥丢失使用条件：当加密密钥丢失 n用用efs加密一个文件。加密一个文件。 安全管理与安全维护 用户管理 保护注册表 数据备份 漏洞与补丁 安全分析 组策略 安全模板 安全策略 数据安全 ipse

35、c efs 访问控制 tcp/ip 组策略 权限控制 身份认证 证书服务 kerberos 智能卡 ntlm ssl/tls *在账户策略-密码策略中设定： 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5次 最长存留期 30天 *在账户策略-账户锁定策略中设定： 账户锁定 3次错误登录 锁定时间 20分钟 复位锁定计数 20分钟 n审核策略：决定记录在计算机（成功审核策略：决定记录在计算机（成功/ /失败的尝失败的尝 试）的安全日志上的安全事件。试）的安全日志上的安全事件。 n用户权利分配：决定在计算机上有登录用户权利分配：决定在计算机上有登录/ /任务特任务特 权的用户或组。权

36、的用户或组。 n安全选项：启用或禁用计算机的安全设置，例安全选项：启用或禁用计算机的安全设置，例 如数据的数字信号、如数据的数字信号、administrator administrator 和和guestguest的的 帐号名、软驱和光盘的访问、驱动程序的安装帐号名、软驱和光盘的访问、驱动程序的安装 以及登录提示。以及登录提示。 用户管理 保护注册表 数据备份 漏洞与补丁 安全配置程序 安全分析 组策略 安全模板 安全策略 数据安全 ipsec efs 访问控制 tcp/ip 组策略 权限控制 身份认证 证书服务 kerberos 智能卡 ntlm ssl/tls n更改超级管理名称更改超级管

37、理名称 n取消取消guestguest帐号帐号 n合理分配其它用户权限合理分配其它用户权限 n禁止默认网络共享禁止默认网络共享 n禁止枚举域内用户禁止枚举域内用户 服务器服务器: key: hklmsystemcurrentcontrolsetserviceslanmanserverpar ameters name: autoshareserver type: dword value: 0 工作站：工作站： key: hklmsystemcurrentcontrolsetserviceslanmanserverpar ameters name: autosharewks type: dword

38、 value: 0 n取消默认共享取消默认共享 编辑txt文本内容 net share c$ /del net share d$ /del net share e$ /del net share admin$ /del 改扩展名为.bat 设置开机自启动此批处理文件 key:hklmsystemcurrentcontrolsetcontrol lsa name: restrictanonymous type: reg_dword value: 1 n将文件备份到文件或磁带将文件备份到文件或磁带 n备份备份“系统状态系统状态”数据数据 n使用备份向导备份文件使用备份向导备份文件 n计划备份计划备

39、份 输入法漏洞输入法漏洞 空会话漏洞空会话漏洞 unicodeunicode漏洞漏洞 .ida/.idq.ida/.idq缓冲区溢出漏洞缓冲区溢出漏洞 .print isapi.print isapi扩展远程缓冲区溢出扩展远程缓冲区溢出 frontpage frontpage 服务器扩展漏洞服务器扩展漏洞 sqlserver sqlserver 空口令空口令 windows接口远程缓冲区漏洞接口远程缓冲区漏洞 审计成功：可以确定用户或服务获得访问指定文件、审计成功：可以确定用户或服务获得访问指定文件、 打印机或其他对象的频率打印机或其他对象的频率 审计失败：警告那些可能发生的安全泄漏审计失败：

40、警告那些可能发生的安全泄漏 访问文件夹的审核访问文件夹的审核 审核策略审核策略 安全事件查看并分析安全事件查看并分析 终端安全概述 终端系统安全性 终端体系构架终端体系构架 终端安全威胁终端安全威胁 终端安全配置终端安全配置 终端安全检查终端安全检查 终端安全加固终端安全加固 终端用户安全职责终端用户安全职责 终端接入要求终端接入要求 终端标准化的意见和操作建议终端标准化的意见和操作建议 n系统日志系统日志 跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和 控制器的故障。控制器的故障。 %systemroot%syst

41、em32configsysevent.evt n 应用程序日志应用程序日志 跟踪应用程序关联的事件，比如应用程序产生的象装载跟踪应用程序关联的事件，比如应用程序产生的象装载 dll （动态链接库）失败的信息将出现在日志中。（动态链接库）失败的信息将出现在日志中。 %systemroot%system32configappevent.evt n安全日志安全日志 跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意：跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意： 安全日志的默认状态是关闭的。安全日志的默认状态是关闭的。 %systemroot%system32confi

42、gsecevent.evt ninternet信息服务信息服务 ftp日志默认位置：日志默认位置： n%systemroot%/system32/logfiles/msftpsvc1 默默 认每天一个日志认每天一个日志 ninternet 信息服务信息服务www 日志默认位置：日志默认位置： ： n%systemroot%/system32/logfiles/w3svc1 ，默，默 认每天一个日志认每天一个日志 nftp 日志和日志和www 日志文件名通常为日志文件名通常为ex （年份）（年份） （月份）（日期），例如（月份）（日期），例如ex001023 就是就是2000 年年10 月月23

43、 日产生的日志，用记事本就可直接打开日产生的日志，用记事本就可直接打开 nscheduler服务日志默认位置：服务日志默认位置： %systemroot%/schedlgu.txt nftp日志分析，日志分析， 如下例：如下例： #software: microsoft internet information services 5.0 （微软（微软 iis5.0 ） #version: 1.0 （版本（版本1.0） #date: 20001023 03:11:55 （服务启动时间日期）（服务启动时间日期） 03:11:55 1user administator -331

44、（ip地址为地址为 用户名为用户名为administator 试图登录）试图登录） 03:11:58 1pass -530 （登录失败）（登录失败） 03:12:04 1user nt -331 （ ip地址为地址为 用户名为用户名为 nt的用户试图登录）的用户试图登录） 03:12:06 1pass -530 （登录失败）（登录失败） 03:12:32 1user administrator -331 （ ip地址为地址为 用户名为用户名为administr

45、ator 试图登录）试图登录） 03:12:34 1pass 230 （登录成功）（登录成功） （登录成功）（登录成功） 03:12:41 1mkd nt 550 （新建目录失败）（新建目录失败） 03:12:45 1quit 550 （退出（退出ftp 程序）程序） 终端安全概述 终端系统安全性 终端体系构架终端体系构架 终端安全威胁终端安全威胁 终端安全配置终端安全配置 终端安全检查终端安全检查 终端安全加固终端安全加固 终端用户安全职责终端用户安全职责 终端接入要求终端接入要求 终端标准化的意见和操作建议终端标准化的意见和操作建

46、议 及时打补丁，建议启用微软自动更新功能及时打补丁，建议启用微软自动更新功能 n安装杀毒软件安装杀毒软件 并正确的使用并正确的使用 杀毒软件，及杀毒软件，及 时升级杀毒软时升级杀毒软 件，开启实时件，开启实时 扫描功能，定扫描功能，定 期杀毒期杀毒 n安装并启用个人防火墙（可以是安装并启用个人防火墙（可以是windowswindows自带的自带的 或杀毒软件自带的）或杀毒软件自带的） n显示所有文件及文件扩展名显示所有文件及文件扩展名 n关闭自动播放功能关闭自动播放功能 设置浏览器安全级别设置浏览器安全级别 n离开计算机时锁屏离开计算机时锁屏 windows 2000 ctrl+alt+del

47、 windows xp 运行- gpedit.msc 配置启用“总 是用经典登录” n目录系统是什么 管理中心： 资源整合 安全中心： 集中管理和控制 分层次的权限委派 单一登陆 开放的平台： 与多种应用进行整合 n使用目录系统，实现对企业内部大量终端的规范、安全管 理； 根域 部门 ou 域控制器 ou 受保护的 xp 用户 ou windows xp ou 桌面计算机 ou 膝上型计算机 ou n组策略对象使用户可以集中配置大量用户和计算机。组策略对象使用户可以集中配置大量用户和计算机。 可配置客户端的桌面环境、安全设置以及控制计算机和 用户的状态。 减少管理员直接访问每台计算机的时间。

48、增加管理员的集中控制能力。 n安全模板是一组预先配置的安全设置安全模板是一组预先配置的安全设置 nwindows xp 安全指南模板包括：安全指南模板包括： 两个包含适用于域中所有计算机的设置的域模板 两个包含适用于桌面计算机的设置的模板 两个包含适用于膝上型计算机的设置的模板 n每个模板均具有一个企业版和高安全性版每个模板均具有一个企业版和高安全性版 n安全模板中的设置可被编辑、保存和导入到安全模板中的设置可被编辑、保存和导入到 gpo 中中 安全设置解释 帐户策略为域设置密码和帐户锁定策略 帐户锁定策略在登录尝试达到一定的失败次数后阻止访问 审核策略指定将记录哪些安全事件 事件日志 指定日

49、志保留和最大日志大小的设置 文件系统指定文件系统对象的权限和审核设置 ipsec 策略筛选往返服务器的通信以阻止不需要的通信 注册表设置为注册表项指定访问权限和审核设置 受限制的组指定哪些帐户是组的成员，以及组是哪些组的成员 安全选项 为用户和计算机指定各种各样的安全设置 软件限制阻止在客户端计算机上运行恶意的软件 系统服务指定服务的启动模式和访问权限 用户权利指派 指定哪些用户和组能够在计算机上执行特定的操作 根域 部门 ou域控制器 ou 受保护的 xp 用户 ou windows xp ou 桌面计算机 ou 膝上型计算 机 ou 企业客户端 domain.inf 域策略 受保护的 xp

50、 用户策略 企业客户端 desktop.inf 企业客户端 laptop.inf 膝上型计 算机策略 桌面计算 机策略 n策略驱动的机制，用于标识和控制客户端计算机上的软策略驱动的机制，用于标识和控制客户端计算机上的软 件件 n默认的安全级别具有两个选项：默认的安全级别具有两个选项： 不受限的 可以运行除明确拒绝的软件外的所有软件 不允许的 只能运行明确允许的软件 使用组策略编辑器为使用组策略编辑器为 域定义策略域定义策略 通过组策略将策略下载到通过组策略将策略下载到 计算机计算机 在运行软件时由操作系统实施在运行软件时由操作系统实施 1 1 2 2 3 3 安全威胁和来源安全威胁和来源 安全

51、原则和体系安全原则和体系 终端的安全配置内容终端的安全配置内容 终端安全管理的手段和方法终端安全管理的手段和方法 总结总结 遵循深层防御模型 应用最低权限、最少连接和最低用户访问 权限的准则 运用监视和审核 培训用户注意安全性问题 从经验中学习 制定和测试事件应对计划和过程 努力实现在设计上安全的系统 创建安全策略和过程文档 订阅安全性警告电子邮件 了解更新管理的最新信息 维护定期备份和还原过程 捕捉攻击者的心思 终端安全概述 终端系统安全性 终端体系构架终端体系构架 终端安全威胁终端安全威胁 终端安全配置终端安全配置 终端安全检查终端安全检查 终端安全加固 终端用户安全职责终端用户安全职责

52、终端接入要求终端接入要求 终端标准化的意见和操作建议终端标准化的意见和操作建议 员工系统维护人员安全技术人员安全管理人员管理层 需要关注需要关注需要关注需要关注需要关注 需要关注需要关注需要关注 需要关注需要关注 需要关注需要关注无需关注无需关注 无需关注无需关注 无需关注 无需关注 无需关注 无需关注 员工系统维护人员安全技术人员安全管理人员管理层 需要关注 无需关注 需要关注 需要关注需要关注 需要关注需要关注需要关注需要关注需要关注 需要关注需要关注 需要关注 需要关注 需要关注 无需关注无需关注 无需关注 无需关注无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无

53、需关注 无需关注 无需关注 无需关注 员工系统维护人员安全技术人员安全管理人员管理层 需要关注 无需关注 需要关注 需要关注需要关注需要关注需要关注需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 员工系统维护人员安全技术人员安全管理人员管理层 需要关注 需要关注 需要关注

54、需要关注 需要关注需要关注 需要关注需要关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 员工系统维护人员安全技术人员安全管理人员管理层 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 员工系统维护人员安全技术人员安全管理人

55、员管理层 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 无需关注 无需关注 无需关注 无需关注 无需关注 终端安全概述 终端系统安全性 终端体系构架终端体系构架 终端安全威胁终端安全威胁 终端安全配置终端安全配置 终端安全检查终端安全检查 终端安全加固 终端用户安全职责终端用户安全职责 终端接入要求终端接入要求 终端标准化的意见和操作建议终端标准化的意见和操作建议 终端审计终端泄密控制 终端安全控制终端准入控制桌面合规管理恶意代码查杀 ip&mac比对合规性比对 用户比对通过准入 n802.1x网络准