系统安全配置ppt课件

1、l Windows Windows 系统安全配置系统安全配置q Windows操作系统安全配置操作系统安全配置l NTFS NTFS分区分区l把服务器的所有分区都改成把服务器的所有分区都改成NTFSNTFS格式。格式。NTFSNTFS文件系统要文件系统要比比FATFAT、FAT32FAT32的文件系统安全得多的文件系统安全得多l确认分区确认分区l 进入进入DOSDOSl 输入命令输入命令:chkntfs :chkntfs 盘符盘符q Windows系统安全措施初级篇系统安全措施初级篇l NTFS NTFS分区分区l转换分区转换分区( (将将FNTFNT分区转换为分区转换为NTFSNTFS分区分

2、区) )l 进入进入DOSDOSl 输入命令输入命令:convert :convert 盘符盘符 /fs:ntfs /fs:ntfsq Windows系统安全措施初级篇系统安全措施初级篇l 操作系统安全策略操作系统安全策略l利用利用WindowsWindows安全配置工具配置安全策略安全配置工具配置安全策略l管理工具管理工具本地安全策略本地安全策略l q Windows系统安全措施中级篇系统安全措施中级篇l 关闭不必要的端口关闭不必要的端口lC:windowssystem32driversetcservicesC:windowssystem32driversetcservicesl具体操作见另

3、外文档具体操作见另外文档l l 开启审核策略开启审核策略l安全审核是安全审核是WindowsWindows最基本的入侵检测方法。当有人尝试最基本的入侵检测方法。当有人尝试对系统进行某种方式入侵时，都会被安全审核记录下来对系统进行某种方式入侵时，都会被安全审核记录下来l表中所列审核是必须开启的，其他的可以根据需要增加表中所列审核是必须开启的，其他的可以根据需要增加l q Windows系统安全措施中级篇系统安全措施中级篇l 开启审核策略开启审核策略l q Windows系统安全措施中级篇系统安全措施中级篇默认默认下未下未开启开启l 开启审核策略开启审核策略l q Windows系统安全措施中级篇

4、系统安全措施中级篇l 开启密码策略开启密码策略l密码对系统安全非常重要。本地安全设置中密码策略在密码对系统安全非常重要。本地安全设置中密码策略在默认情况下均未开启默认情况下均未开启l q Windows系统安全措施中级篇系统安全措施中级篇l 开启密码策略开启密码策略l密码对系统安全非常重要。本地安全设置中密码策略在密码对系统安全非常重要。本地安全设置中密码策略在默认情况下均未开启默认情况下均未开启l q Windows系统安全措施中级篇系统安全措施中级篇l 开启帐户密码开启帐户密码l开启帐户策略可有效的防止字典式攻击开启帐户策略可有效的防止字典式攻击l q Windows系统安全措施中级篇系统

5、安全措施中级篇l 开启帐户密码开启帐户密码l开启帐户策略可有效的防止字典式攻击开启帐户策略可有效的防止字典式攻击l q Windows系统安全措施中级篇系统安全措施中级篇l 不显示上次登录不显示上次登录l默认情况下，终端服务接入服务器时，登陆对话框中会默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆帐户名。本地登陆对话框也是一样显示上次登陆帐户名。本地登陆对话框也是一样l设置方法：管理工具设置方法：管理工具本地安全策略本地安全策略本地策略本地策略安全安全选项选项登录屏幕上不显示上次登录的用户名登录屏幕上不显示上次登录的用户名已启用已启用确确定定q Windows系统安全措施中级篇系

6、统安全措施中级篇l 不显示上次登录不显示上次登录l默认情况下，终端服务接入服务器时，登陆对话框中会默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆帐户名。本地登陆对话框也是一样显示上次登陆帐户名。本地登陆对话框也是一样l设置方法：管理工具设置方法：管理工具本地安全策略本地安全策略本地策略本地策略安全安全选项选项登录屏幕上不显示上次登录的用户名登录屏幕上不显示上次登录的用户名已启用已启用确确定定q Windows系统安全措施中级篇系统安全措施中级篇l 不显示上次登录不显示上次登录l修改注册表禁止显示上次登录名修改注册表禁止显示上次登录名l 在在HKEY_LOCAL_MACHINEHK

7、EY_LOCAL_MACHINE主键下修改子键：主键下修改子键：SoftwareMicrosoftWindowsNTCurrentVersionWinlogSoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserNameonDontDisplayLastUserName，将数值数据改成，将数值数据改成1 1q Windows系统安全措施中级篇系统安全措施中级篇l 不显示上次登录不显示上次登录l修改注册表禁止显示上次登录名修改注册表禁止显示上次登录名l q Windows系统安全措施中级篇系统安全措施中级篇l 不显示上

8、次登录不显示上次登录l修改注册表禁止显示上次登录名修改注册表禁止显示上次登录名l q Windows系统安全措施中级篇系统安全措施中级篇l 不显示上次登录不显示上次登录l修改注册表禁止显示上次登录名修改注册表禁止显示上次登录名l q Windows系统安全措施中级篇系统安全措施中级篇输入输入1l 不显示上次登录不显示上次登录l如果在如果在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCuHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogonrrentVersionWinlog

9、on中无中无DontDisplayLastUserNameDontDisplayLastUserName，则创建一个则创建一个, ,并将数值数据置为并将数值数据置为1 1l方法方法 右击鼠标右击鼠标新建新建字符串字符串 在项中输入相应名在项中输入相应名 用前面方法修改数值数据用前面方法修改数值数据为为1 1l 禁止建立空连接禁止建立空连接l默认情况下，任何用户通过空连接连上服务器，可以枚默认情况下，任何用户通过空连接连上服务器，可以枚举出帐号，猜测密码举出帐号，猜测密码l可通过修改注册表来禁止建立空连接可通过修改注册表来禁止建立空连接l在在HKEY_LOCAL_MACHINEHKEY_LOCA

10、L_MACHINE主键下修改子键：主键下修改子键：SystemCurrentControlSetControlLSARestrictAnonySystemCurrentControlSetControlLSARestrictAnonymousmous，将键值改成，将键值改成“1 1”q Windows系统安全措施中级篇系统安全措施中级篇l 禁止建立空连接禁止建立空连接q Windows系统安全措施中级篇系统安全措施中级篇l 关闭默认共享关闭默认共享lWindowsWindows安装后，系统会创建一些隐藏的共享，可以在安装后，系统会创建一些隐藏的共享，可以在DOSDOS提示符下输入命令提示符下输

11、入命令Net Share Net Share 查看查看q Windows系统安全措施高级篇系统安全措施高级篇l 关闭共享关闭共享l 关闭关闭139139、445445端口端口l 安装防火墙，设置端口过滤安装防火墙，设置端口过滤l 给计算机的重要帐户设置复杂密码（给计算机的重要帐户设置复杂密码（1515，大小写字母，大小写字母符号）符号）q 如何防范如何防范IPC$入侵入侵l 关闭默认共享关闭默认共享l停止默认共享方法：管理工具停止默认共享方法：管理工具计算机管理计算机管理共享文件共享文件夹夹共享，在相应的共享文件夹上按右键，点停止共享共享，在相应的共享文件夹上按右键，点停止共享q Window

12、s系统安全措施高级篇系统安全措施高级篇q 关闭默认共享关闭默认共享q 关闭默认共享关闭默认共享l 方法四：停止服务法方法四：停止服务法 ( (最简单的方式最简单的方式) )l在弹出的在弹出的“常规标签中把常规标签中把“启动类型由原来的启动类型由原来的“自自动更改为动更改为“已禁用已禁用”。然后单击下面。然后单击下面“服务状态的服务状态的“停顿按钮停顿按钮l确认确认q 关闭默认共享关闭默认共享q 关闭默认共享关闭默认共享q 关闭默认共享关闭默认共享q 关闭默认共享关闭默认共享q 关闭默认共享关闭默认共享q 关闭默认共享关闭默认共享q 关闭默认共享关闭默认共享l 139 139端口可以通过端口可以

13、通过NBTNBT来屏蔽来屏蔽q 屏蔽屏蔽139端口端口l禁用禁用DumpDump文件文件l在系统崩溃和蓝屏的时候，在系统崩溃和蓝屏的时候，DumpDump文文件是一份很有用资料，可以帮助查件是一份很有用资料，可以帮助查找问题。然而，也能够给黑客提供找问题。然而，也能够给黑客提供一些敏感信息，比如一些应用程序一些敏感信息，比如一些应用程序的密码等的密码等l禁止方法：控制面板禁止方法：控制面板系统系统高级高级启动和故障恢复，把写入调试信启动和故障恢复，把写入调试信息改成无息改成无q Windows系统安全措施高级篇系统安全措施高级篇l锁住注册表锁住注册表l在在Windows2000Windows2

14、000中，只有中，只有AdministratorsAdministrators和和Backup Backup OperatorsOperators才有从网络上访问注册才有从网络上访问注册表的权限。当帐号的密码泄漏以后，表的权限。当帐号的密码泄漏以后，黑客也可以在远程访问注册表，当黑客也可以在远程访问注册表，当服务器放到网络上的时候，一般需服务器放到网络上的时候，一般需要锁定注册表要锁定注册表q Windows系统安全措施高级篇系统安全措施高级篇l锁住注册表锁住注册表l方法：修改方法：修改Hkey_current_userHkey_current_user下下的子键：的子键：Softwaremi

15、crosoftwindowscurSoftwaremicrosoftwindowscurrentversionPoliciessystem rentversionPoliciessystem 。把把DisableRegistryToolsDisableRegistryTools的值改为的值改为0 0，类型为，类型为DWORDDWORDq Windows系统安全措施高级篇系统安全措施高级篇l锁住注册表锁住注册表q Windows系统安全措施高级篇系统安全措施高级篇l禁止判断主机类型禁止判断主机类型l黑客利用黑客利用TTLTTLTime-To-LiveTime-To-Live，活，活动时间值可以鉴

16、别操作系统的类动时间值可以鉴别操作系统的类型，通过型，通过PingPing指令能判断目标主机指令能判断目标主机类型类型lPingPing的用处是检测目标主机是否连的用处是检测目标主机是否连通通q Windows系统安全措施高级篇系统安全措施高级篇l禁止判断主机类型禁止判断主机类型l许多入侵者首先会许多入侵者首先会PingPing一下主机，一下主机，因为攻击某一台计算机需要根据对因为攻击某一台计算机需要根据对方的操作系统，是方的操作系统，是WindowsWindows还是还是UnixUnix。如过。如过TTLTTL值为值为128128就可以认为就可以认为你的系统为你的系统为Windows 200

17、0Windows 2000q Windows系统安全措施高级篇系统安全措施高级篇l禁止判断主机类型禁止判断主机类型q Windows系统安全措施高级篇系统安全措施高级篇l禁止判断主机类型禁止判断主机类型q Windows系统安全措施高级篇系统安全措施高级篇l禁止判断主机类型禁止判断主机类型l修改修改TTLTTL值，入侵者就无法入侵了值，入侵者就无法入侵了l比如将操作系统的比如将操作系统的TTLTTL值改为值改为111111，改主键改主键HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE的子键：的子键：SYSTEMCURRENT_CONTROLSETSERVSYSTEMCU

18、RRENT_CONTROLSETSERVICESTCPIPPARAMETERSICESTCPIPPARAMETERSq Windows系统安全措施高级篇系统安全措施高级篇regedit.exel禁止判断主机类型禁止判断主机类型l设置完毕重新启动计算机设置完毕重新启动计算机l用用PingPing指令，发现指令，发现TTLTTL值已被改成值已被改成111111q Windows系统安全措施高级篇系统安全措施高级篇l禁止禁止GuestGuest访问日志访问日志l在默认安装的在默认安装的Windows NTWindows NT和和Windows 2000Windows 2000中，中，GuestGue

19、st帐号和匿帐号和匿名用户可以查看系统的事件日志，名用户可以查看系统的事件日志，可能导致许多重要信息的泄漏，修可能导致许多重要信息的泄漏，修改注册表来禁止改注册表来禁止GuestGuest访问事件日访问事件日志志l禁止禁止GuestGuest访问应用日志访问应用日志q Windows系统安全措施高级篇系统安全措施高级篇l禁止禁止GuestGuest访问日志访问日志l禁止禁止GuestGuest访问应用日志访问应用日志l HKEY_LOCAL_MACHINESYSTEMCurrHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventloentControlSetServicesEventlogApplication gApplication 下添加键值名称为：下添加键值名称为：RestrictGuestAccess