windows系统安全加固(修正版)

1、20112011中国移动信息与业务支撑部中国移动信息与业务支撑部安全培训安全培训Windows 主要内容主要内容uWindows系统安全问题uWindows系统安全加固操作系统安全问题操作系统安全问题操作系统概述操作系统安全概念操作系统安全配置问题操作系统安全漏洞问题vMS- Dos Windows 1.0 ( 1985 ) Windows 2.0 ( 1987 ) Windows 2.1 ( 1988 ) windows 3.0 ( 1990 ) windows 3.1 ( 1992 ) Windows 3.2 ( 1994 )vWIN 9X Windows 95 ( 1995 ) Wind

2、ows 98 ( 1998 ) Windows 98 SE ( 1999 ) Windows Me ( 2000 )vNT 系列系列Windows NT 3.1 ( 1993 ) Windows NT 3.5 ( 1994 ) Windows NT 3.51 ( 1995 ) Windows NT 4.0 ( 1996 ) Windows 2000 NT 5.0 ( 2000 ) windows xp NT 5.1 ( 2001 ) Windows Vista NT 6.0 ( 2005 ) Windows 7 NT 6.1 ( 2009 ) Windows 8 NT 6.？ ( 2011 )

3、vNT 系列系列Windows Server 2003 ( 2003 ) Windows Server 2008 ( 2008 ) Windows Home Server ( 2008 ) Windows HPC Server 2008 ( 2010 )Windows系统安全系统安全问题问题操作系统概述操作系统安全概念操作系统配置问题操作系统安全漏洞问题一般意义上说，一个操作系统是安全的，是指该系统能够控制外部对系统信息的访问，也就是说，只有经过授权的用户或代表该用户运行的进程才能读、写、创建和删除信息。通俗地说身份认证解决的是“你是谁，你是否真的是你所声称的身份”。访问控制解决的是“你能做什

4、么，你有什么样的权限”。u操作系统安全具有两层含义：u 一、是指操作系统设计时，通过权限访问控制、信息加密性保护、完整性鉴定等一些安全机制实现的安全。u二、是指在操作系统使用过程中，考虑系统缺陷和应用环境的不安全因素而必须进行系统的安全配置。操作系统安全问题操作系统安全问题操作系统概述操作系统安全概念操作系统配置问题操作系统安全漏洞问题1. 访问权限的恰当设置 指利用操作系统提供的访问控制功能为用户和文件系统设置恰当的访问权限。2. 系统的及时更新 几乎所有操作系统都不同程度的存在着设计和程序缺陷，在应用中会产生安全漏洞，容易被病毒利用来侵入并攻击用户计算机。3. 对于攻击的防范 利用操作系统

5、提供的各种功能及安装各种防范软件来提高系统的防护能力。操作系统安全问题操作系统安全问题操作系统概述操作系统安全概念操作系统配置问题操作系统安全漏洞问题几乎说有的操作系统都不是十全十美的，总存在些安全漏洞几乎说有的操作系统都不是十全十美的，总存在些安全漏洞一些常见及重大的操作系统安全漏洞类型：一些常见及重大的操作系统安全漏洞类型：1. 缓冲区溢出漏洞2. TCP/IP协议漏洞3. Web应用安全漏洞4. 开放端口的安全漏洞主要内容主要内容uWindows系统安全问题uWindows系统安全加固Windows系统安全加固系统安全加固1.保护账号可以将guest帐号关闭、停用或改名。如果必需要用gu

6、est帐号的话，需将guest列入拒绝从“网络访问”名单中(如果没有共享文件夹和打印机)，防止guest从网络访问计算机、关闭计算机以及查看日志。l去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。l帐户很多是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。l对于Windows NT/2000主机，如果系统帐户超过10个，一般能找出一两个弱口令帐户，所以帐户数量不要大于10个。这些不用的帐户可以去掉。lWindows 主机中的Administrator帐号是不能被停用的，这意味着别人可以一遍

7、又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。l不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone。具体操作的时候只要选中帐户名改名就可以了。l陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。l这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组。密码为大于32位的数字字符符号密码。建立的陷阱帐号。l好的密码对于一个网络是非常重要的，但是也是最容易被忽略的

8、。一些网络管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，比如：“welcome”、“iloveyou”、“123456”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。l这里给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，黑屏就可以了。将屏幕保护的选

9、项“密码保护”选中就可以了，并将等待时间设置为最短时间“1分钟”。计算机里通常安装有了些不必要的服务，如果这些服务没有用的话，最好能将这些服务关闭。例如：为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的如果开了要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。关闭端口意味着减少功能，如果服务器安装在防火墙的后面，被入侵的机会就会少一些，但是不可以认为高枕无忧了。可以在操作系统里来限制端口的访问，如图所示为从操作系统TCP/IP里限制端口，只开放4个端口。审核策略在默认的情况下都是没有开启的。打开“控制面

10、板”“管理工具”“本地安全设置”“审核策略”从图中可以看到,9个审核策略都没有打开。最好将这些信息审核信息都打开。以便于以后出现安全事件的时候进行查找。双击要打开的审核策略选项。系统密码在默认的情况下都是没有开启的。打开“控制面板”“管理工具”“本地安全设置”“审核策略”。l密码必须符合复杂性要求”选择“已启动。 密码至少包含以下四种类别的字符中的三种： 英语大写字母 A, B, C, Z 英语小写字母 a, b, c, z 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符，如标点符号，, #, $, %, &, *等l最短密码长度 6-8个字符l密码最长存留期”设置为“90天l强制密码历

11、史”设置为“记住5个密码系统帐户锁定策略在默认的情况下都是没有开启的。打开“控制面板”“管理工具”“本地安全设置”“帐户锁定策略”。l系统的共享为用户带来了众多麻烦，经常会有病毒通过共享来进入电脑。Windows 2000/XP/2003版本的操作系统提供了默认共享功能，这些默认的共享都有“$”标志，意为隐含的，包括所有的逻辑盘（C$，D$，E$）和系统目录Winnt或Windows（admin$）。l这些共享，可以在DOS提示符下输入命令Net Share 查看。因为操作系统的C盘、D盘等全是共享的，这就给黑客的入侵带来了很大的方便。“震荡波”病毒的传播方式之一就是扫描局域网内所有带共享的主

12、机，然后将病毒上传到上面。下面给大家介绍5种可以关闭操作系统共享的方法。第一种方法: 右键关系法。方法是打开“控制面板”“管理工具”“计算机管理”“共享文件夹”“共享”，在相应的共享文件夹上右击停止共享即可.l如果采用第一种方法关闭共享，当用户重新启动计算机后，那些共享又会加上了!所以这种方法不能从根本上解决问题。l第二种方法：批处理法。打开记事本，输入以下内容（记得每行最后要回车）：net share admin$ /deletenet share c$ /deletenet share d$ /deletenet share e$ /delete（有几个硬盘分区就写几行这样的命令）l将以上

13、内容保存为NotShare.bat（注意后缀），然后把这个批处理文件拖到“程序”“启动”项，这样每次开机就会运行它，也就是通过net命令关闭共享。如果哪一天需要开启某个或某些共享，只要重新编辑这个批处理文件即可（把相应的那个命令行删掉）。l第三种方法：注册表改键值法。l单击“开始”“运行”输入“regedit”确定后，打开注册表编辑器，找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”项，双击右侧窗口中的“AutoShareServer”项将键值由1改为0，这样就能关闭硬盘各分区的共享。“Aut

14、oShareWks”项，也把键值由1改为0，关闭admin$共享。如果没有以上两项，可自己新建一个再改键值。l第四种方法：停止服务法。这种方法最简单，打开“控制面板”的“计算机管理”窗口中，单击展开左侧的“服务和应用程序”并选中其中的“服务”，此时右侧就列出了所有服务项目。共享服务对应的名称是“Server”（在进程中的名称为services），也是最彻底删除ipc$共享服务的办法。l第五种方法：卸载“文件和打印机共享”法。方法是右击“网上邻居”选“属性”，在弹出的“网络和拨号连接”窗口中右击“本地连接”选“属性”，从“此连接使用下列选定的组件”中选中“Microsoft网络的文件和打印机共享

15、”后，单击下面的“卸载”，再单击“确定”l注意：本方法最大的缺陷是当在某个文件夹上右击时，弹出的快捷菜单中的“共享”一项消失了，因为对应的功能服务已经被卸载了，以后如果再想用共享时，需要重新加载这个协议l黑客利用TTL（Time-To-Live，活动时间）值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。l许多入侵者首先会Ping一下主机，因为攻击某一台计算机需要根据对方的操作系统是Windows还是Unix。如TTL值为128就可以认为系统为Windows 2000。l UNIX 及类 UNIX 操作系统 ICMP 回显应答的 TTL 字段值

16、为 255 l微软 Windows NT/2K/XP操作系统 ICMP 回显应答的 TTL 字段值为 128 l微软 Windows 95 操作系统 ICMP 回显应答的 TTL 字段值为 32 修改TTL的值，比如将操作系统的TTL值改为111。方法是修改主键HKEY_LOCAL_MACHINE的子键：SYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERS中defaultTTL的键值。如果没有，则新建一个双字节项defaultTTL，然后将其值改为十进制的111，设置完毕，重新启动计算机，再用Ping指令，发现TTL的值已经被改成111了。通常方法有两

17、个，第一，用系统自带补丁更新功能下载更新（搭建的WSUS服务器）。第二，载三方软件更新，金山卫士（360等都有的）。推荐使用第一种方式下载更新补丁。应安装最新的Service Pack补丁集。对服务器系统应先进行兼容性测试。Windows XP的Service Pack为SP2。Windows2000的Service Pack为SP4,Windows 2003的Servoce Pack为SP1l “数据执行保护”选项卡，设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”，防止在受保护内存位置运行有害代码。l如需启用IIS服务，则将IIS升级到最新补丁（已安装IIS 补丁包或IIS6.0 ）。l如对互联网开放WindowsTerminial服务(Remote Desktop)，需修改默认服务端口，HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 找到“PortNumber”子项，会看到默00000D3D， 它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号，并保存新