网络终端计算机安全管理培训

1、金山词霸 2003.lnk版本信息：版本信息： 版本号：版本号：1.0.01.0.0 更新时间：更新时间：2008-10-282008-10-28编者信息：编者信息： 房仲阳房仲阳 中国移动辽宁公司网络部中国移动辽宁公司网络部 电话：电话：220813889888988-2208 邮箱：邮箱： 培训要求：培训要求：该课程主要介绍网络与信息安全基础知识该课程主要介绍网络与信息安全基础知识培训对象：培训对象：面向管理层、安全管理人员、安全技术人员、系统维面向管理层、安全管理人员、安全技术人员、系统维护人员、及普通员工，共护人员、及普通员工，共5 5类人员类人员培训时间培训

2、时间：3 3小时左右小时左右培训侧重点：培训侧重点：本教材针对本教材针对5 5类人员的培训内容并无差别类人员的培训内容并无差别n了解了解windows系统的设计原理系统的设计原理n了解终端系统的安全特性了解终端系统的安全特性n能够对终端系统进行安全配置能够对终端系统进行安全配置授课方式：讲解、演示授课方式：讲解、演示终端安全概述终端安全概述终端系统安全性终端系统安全性终端体系构架终端体系构架终端安全威胁终端安全威胁终端安全配置终端安全配置终端安全检查终端安全检查终端安全加固终端安全加固终端用户安全职责终端用户安全职责终端接入要求终端接入要求终端标准化的意见和操作建议终端标准化的意见和操作建议什

3、么是终端？什么是终端？ 终端，即计算机显示终端，是计算机系统的输入、终端，即计算机显示终端，是计算机系统的输入、输出设备。计算机显示终端伴随主机时代的集中处输出设备。计算机显示终端伴随主机时代的集中处理模式而产生，并随着计算技术的发展而不断发展理模式而产生，并随着计算技术的发展而不断发展。迄今为止，计算技术经历了主机时代、。迄今为止，计算技术经历了主机时代、PCPC时代和时代和网络计算时代这三个发展时期，终端与计算技术发网络计算时代这三个发展时期，终端与计算技术发展的三个阶段相适应，应用也经历了字符哑终端、展的三个阶段相适应，应用也经历了字符哑终端、图形终端和网络终端这三个形态。图形终端和网络

4、终端这三个形态。终端的分类终端的分类 终端的分类：目前常见的客户端设备分为两类：一终端的分类：目前常见的客户端设备分为两类：一类是胖客户端，一类是瘦客户端。那么，把以类是胖客户端，一类是瘦客户端。那么，把以PCPC为为代表的基于开放性工业标准架构、功能比较强大的代表的基于开放性工业标准架构、功能比较强大的设备叫做设备叫做“胖客户端胖客户端”，其他归入，其他归入“瘦客户端瘦客户端”。瘦客户机产业的空间和规模也很大，不会亚于瘦客户机产业的空间和规模也很大，不会亚于PCPC现现在的规模。在的规模。技术层面技术层面 数据处理模式将从分散走向集中，用户界面将更加数据处理模式将从分散走向集中，用户界面将更

5、加人性化，可管理性和安全性也将大大提升；同时，人性化，可管理性和安全性也将大大提升；同时，通信和信息处理方式也将全面实现网络化，并可实通信和信息处理方式也将全面实现网络化，并可实现前所未有的系统扩展能力和跨平台能力。现前所未有的系统扩展能力和跨平台能力。应用形态应用形态 网络终端设备将不局限在传统的桌面应用环境，随网络终端设备将不局限在传统的桌面应用环境，随着连接方式的多样化，它既可以作为桌面设备使用着连接方式的多样化，它既可以作为桌面设备使用，也能够以移动和便携方式使用，终端设备会有多，也能够以移动和便携方式使用，终端设备会有多样化的产品形态；此外，随着跨平台能力的扩展，样化的产品形态；此外

6、，随着跨平台能力的扩展，为了满足不同系统应用的需要，网络终端设备也将为了满足不同系统应用的需要，网络终端设备也将以众多的面孔出现：以众多的面孔出现：UnixUnix终端、终端、WindowsWindows终端、终端、LinuxLinux终端、终端、WebWeb终端、终端、JavaJava终端等等。终端等等。应用领域应用领域 字符哑终端和图形终端时代的终端设备只能用于窗字符哑终端和图形终端时代的终端设备只能用于窗口服务行业和柜台业务的局面将一去不复返，网上口服务行业和柜台业务的局面将一去不复返，网上银行、网上证券、银行低柜业务等非柜台业务将广银行、网上证券、银行低柜业务等非柜台业务将广泛采用网络

7、终端设备，同时网络终端设备的应用领泛采用网络终端设备，同时网络终端设备的应用领域还将会迅速拓展至电信、电力、税务、教育以及域还将会迅速拓展至电信、电力、税务、教育以及政府等新兴的非金融行业。政府等新兴的非金融行业。终端安全的重要性终端安全的重要性1 1、首先，对于一个网络来说、首先，对于一个网络来说80%80%以上的安全事件来自以上的安全事件来自于终端。于终端。2 2、其次，在企业内部至少有、其次，在企业内部至少有90%90%的员工需要每天使用的员工需要每天使用终端计算机。终端计算机。3 3、最后，终端使用者的水平参差不齐。、最后，终端使用者的水平参差不齐。 安全制度缺失制度执行不力 内部监管

8、与审计不力 内网随意接入 IP管理混乱 操作系统漏洞内网访问不受控 数据未加密保存 数据共享权限混乱 数据外泄渠道通畅 病毒 员工误操作 P2P、在线视频DOS & DDOS攻击 移动存储病毒 移动存储木马 人为泄密重要数据丢失破坏电脑崩溃、网络瘫痪内网n什么是终端什么是终端n终端安全在网络安全的地位终端安全在网络安全的地位n终端所面临的风险终端所面临的风险终端安全概述终端系统安全性终端系统安全性终端体系构架终端体系构架终端安全威胁终端安全威胁终端安全配置终端安全配置终端安全检查终端安全检查终端安全加固终端安全加固终端用户安全职责终端用户安全职责终端接入要求终端接入要求终端标准化的意见

9、和操作建议终端标准化的意见和操作建议安全级别描述D最低的级别。如MS-DOS计算机，没有安全性可言C1自主安全保护。系统不需要区分用户。可提供根本的访问控制。大部分UNIX达到此标准。C2可控访问保护。系统可通过注册过程、与安全相关事件的审计以及资源隔离等措施，使用户对他们的活动分别负责。NT属于C2级的系统B1标记安全保护。系统提供更多的保护措施包括各式的安全级别。如ATT的SYSTEM V和UNIX with MLS 以及IBM MVS/ESAB2结构化保护。支持硬件保护。内容区被虚拟分割并严格保护。如Trusted XENIX and Honeywell MULTICSB3安全域。提出数

10、据隐藏和分层，阻止层之间的交互。如Honeywell XTS-200A校验级设计。需要严格的准确的证明系统不会被危害。如Honeywell SCOMPn灵活的访问控制灵活的访问控制-要求允许对象的属主能够完全控制谁要求允许对象的属主能够完全控制谁可以访问这个对象及拥有什么样的访问权限。可以访问这个对象及拥有什么样的访问权限。n对象再利用对象再利用-Windows -Windows 很明确地阻止所有的应用程序很明确地阻止所有的应用程序访问被另一应用程序占用的资源（比如内存或磁盘）。访问被另一应用程序占用的资源（比如内存或磁盘）。 n强制登陆强制登陆-Windows -Windows 用户在能访问

11、任何资源前必须通过用户在能访问任何资源前必须通过登陆来验证他们的身份。因此，缺乏这种强制登陆的登陆来验证他们的身份。因此，缺乏这种强制登陆的NTNT要要想达到想达到C2C2级标准就必须禁止网络功能。级标准就必须禁止网络功能。n审计审计-因为因为Windows Windows 采用单独地机制来控制对任何资源采用单独地机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动。的访问，所以这种机制可以集中地记录下所有的访问活动。n控制对象的访问控制对象的访问-Windows -Windows 不允许直接访问系统里的资不允许直接访问系统里的资源。源。n2004年，年，Mydoom所造成的

12、经济损失已经达到所造成的经济损失已经达到261亿美元亿美元 。n2005年，年，Nimda电脑病毒在全球各地侵袭了电脑病毒在全球各地侵袭了830万部电脑，总共造成万部电脑，总共造成5亿亿9000万美元的损失。万美元的损失。 n2006年，美国联邦调查局公布报告估计：年，美国联邦调查局公布报告估计：“僵僵尸网络尸网络”、蠕虫、特洛伊木马等电脑病毒给美、蠕虫、特洛伊木马等电脑病毒给美国机构每年造成的损失达国机构每年造成的损失达119亿美元。亿美元。 n2007年熊猫烧香造成巨大损失。年熊猫烧香造成巨大损失。n2008年磁碟机造成熊猫烧香年磁碟机造成熊猫烧香10倍损失。倍损失。n系统安全等级划分的几

13、大标准系统安全等级划分的几大标准nwindowsXP、windows2003所处的安全等级所处的安全等级终端安全概述终端系统安全性终端体系构架终端体系构架终端安全威胁终端安全威胁终端安全配置终端安全配置终端安全检查终端安全检查终端安全加固终端安全加固终端用户安全职责终端用户安全职责终端接入要求终端接入要求终端标准化的意见和操作建议终端标准化的意见和操作建议服务管理器服务进程系统支持进程本地安全验证服务Windows登录会话管理器应用程序环境子系统Svchost.exeWinmgmt.exeSpoolerServices.exe任务管理器Windows浏览器用户级应用程序子系统动态链接库OS/2

14、POSIXWin32系统服务调度进程核心可调用接口I/O设备设备管理器管理器设备、文件设备、文件驱动程序驱动程序对象管理器虚拟内存管理器进程和线程管理器注册表配置管理器NTdll,dllWin32UserGDI图形驱动图形驱动HAL（硬件抽象层）Micro kernel安全引用监视器n什么是进程？什么是进程？ 代表了运行程序的一个实例代表了运行程序的一个实例 每一个进程有一个私有的内存地址每一个进程有一个私有的内存地址空间空间n什么是线程？什么是线程？ 进程内的一个执行上下文进程内的一个执行上下文 进程内的所有线程共享相同的进程进程内的所有线程共享相同的进程地址空间地址空间n每一个进程启动时带

15、有一个主线程每一个进程启动时带有一个主线程 运行程序的运行程序的“主主”函数函数 可以在同一个进程中创建其他的线可以在同一个进程中创建其他的线程程 可以创建额外的进程可以创建额外的进程n基本的系统进程基本的系统进程System Idle ProcessSystem Idle Process这个进程是作为单线程运行在每个处理器上，并在这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间系统不处理其他线程的时候分派处理器的时间smss.exe smss.exe 会话管理子系统，负责启动用户会话会话管理子系统，负责启动用户会话csrss.exe csrss.exe 子

16、系统服务器进程子系统服务器进程winlogon.exe winlogon.exe 管理用户登录管理用户登录services.exe services.exe 包含很多系统服务包含很多系统服务lsass.exe lsass.exe 本地安全身份验证服务器本地安全身份验证服务器 svchost.exe svchost.exe 包含很多系统服务包含很多系统服务SPOOLSV.EXE SPOOLSV.EXE 将文件加载到内存中以便迟后打印。将文件加载到内存中以便迟后打印。( (系统服务系统服务) )explorer.exe explorer.exe 资源管理器资源管理器internat.exe int

17、ernat.exe 托盘区的拼音图标托盘区的拼音图标 mstask.exe 允许程序在指定时间运行。允许程序在指定时间运行。(系统系统服务服务) regsvc.exe 允许远程注册表操作。允许远程注册表操作。 (系统服务系统服务) winmgmt.exe 提供系统管理信息提供系统管理信息(系统服务系统服务)。 inetinfo.exe 通过通过Internet 信息服务的管理单信息服务的管理单元提供信息服务连接和管理。元提供信息服务连接和管理。(系统服务系统服务) tlntsvr.exe 允许远程用户登录到系统并且使用允许远程用户登录到系统并且使用命令行运行控制台。命令行运行控制台。(系统服务

18、系统服务) dns.exe 应答对域名系统应答对域名系统 (DNS)名称的查询和名称的查询和更新请求。更新请求。(系统服务系统服务)。n安全标识符安全标识符SID：综合计算机名字、当前时间、以及处理当前用户：综合计算机名字、当前时间、以及处理当前用户模式线程所花费模式线程所花费CPU的时间所建立起来的。一个的时间所建立起来的。一个SID：S-1-5-16349933112989372637-500n访问令牌访问令牌访问令牌是由用户的访问令牌是由用户的SID、用户所属于组的、用户所属于组的SID、用户、用户名、用户所在组的组名构成的。名、用户所在组的组名构成的。n安全描

19、述符安全描述符安全描述符是由对象属主的安全描述符是由对象属主的SID、组、组SID，灵活访问控，灵活访问控制列表以及计算机访问控制列表制列表以及计算机访问控制列表 n访问控制列表访问控制列表包括包括DACL和和SACL，灵活访问控制列表里记录用户和，灵活访问控制列表里记录用户和组以及它们的相关权限。系统访问控制列表包含为组以及它们的相关权限。系统访问控制列表包含为对象审计的事件。对象审计的事件。n安全标识符安全标识符SID：综合计算机名字、当前时间、以及处理当前用户：综合计算机名字、当前时间、以及处理当前用户模式线程所花费模式线程所花费CPU的时间所建立起来的。一个的时间所建立起来的。一个SI

20、D：S-1-5-16349933112989372637-500n访问令牌访问令牌访问令牌是由用户的访问令牌是由用户的SID、用户所属于组的、用户所属于组的SID、用户、用户名、用户所在组的组名构成的。名、用户所在组的组名构成的。n安全描述符安全描述符安全描述符是由对象属主的安全描述符是由对象属主的SID、组、组SID，灵活访问控，灵活访问控制列表以及计算机访问控制列表制列表以及计算机访问控制列表 n访问控制列表访问控制列表包括包括DACL和和SACL，灵活访问控制列表里记录用户和，灵活访问控制列表里记录用户和组以及它们的相关权限。系统访问控制列表包含为组以及它们的相

21、关权限。系统访问控制列表包含为对象审计的事件。对象审计的事件。S表示该字符串是SID SID的版本号，对于win2k来说，是1 标志符的颁发机构，对于win2k的帐户，颁发机构就是NT，值是5 表示一系列的子颁发机构 最后一个标志着域内的帐户和组 使用户登陆生效使用户登陆生效 生成安全访问令牌生成安全访问令牌 管理本地安全策略管理本地安全策略 记录记录SRM审核消息审核消息产生的事件日志产生的事件日志负责负责SAM数数据库的控制与据库的控制与维护维护 防止大部分用户和进防止大部分用户和进程对对象的直接访问程对对象的直接访问 根据本地安全策略的根据本地安全策略的审核策略生成审核信息审核策略生成审

22、核信息n什么是线程？什么是线程？n什么是进程？什么是进程？n什么是进程树？什么是进程树？终端安全概述终端系统安全性终端体系构架终端体系构架终端安全威胁终端安全威胁终端安全配置终端安全配置终端安全检查终端安全检查终端安全加固终端安全加固终端用户安全职责终端用户安全职责终端接入要求终端接入要求终端标准化的意见和操作建议终端标准化的意见和操作建议终端泄密控制终端安全控制终端接入威胁桌面合规管理恶意代码终端审计终端泄密控制终端安全控制终端准入控制桌面合规管理恶意代码查杀n抵御入侵能力抵御入侵能力n防泄密能力防泄密能力n防病毒能力防病毒能力n防非法接入能力防非法接入能力n审计能力审计能力n补丁更新能力补

23、丁更新能力nIP-MAC-用户绑定能力用户绑定能力nn终端威胁的类别终端威胁的类别n抵御威胁的手段抵御威胁的手段n什么是内网合规什么是内网合规终端安全概述终端系统安全性终端体系构架终端体系构架终端安全威胁终端安全威胁终端安全配置终端安全配置终端安全检查终端安全检查终端安全加固终端安全加固终端用户安全职责终端用户安全职责终端接入要求终端接入要求终端标准化的意见和操作建议终端标准化的意见和操作建议安全管理与安全维护用户管理保护注册表数据备份漏洞与补丁安全配置程序安全分析组策略安全模板安全策略数据安全IPSECEFS访问控制TCP/IP组策略权限控制身份认证证书服务Kerberos智能卡NTLMSS

24、L/TLS建立和选择分区建立和选择分区选择安装目录选择安装目录不安装多余的组件不安装多余的组件停止多余的服务停止多余的服务安装系统补丁安装系统补丁nInterntInternt信息服务（信息服务（IISIIS）（如不需要）（如不需要）n索引服务索引服务Indexing ServiceIndexing Servicen消息队列服务（消息队列服务（MSMQMSMQ）n远程安装服务远程安装服务n远程存储服务远程存储服务n终端服务终端服务n终端服务授权终端服务授权n Computer Browser 维护网络上计算机的最新列表以及提供这个列表维护网络上计算机的最新列表以及提供这个列表 Task sch

25、eduler 允许程序在指定时间运行允许程序在指定时间运行 Messenger 传输客户端和服务器之间的传输客户端和服务器之间的 NET SEND 和和 警报器服务消息警报器服务消息 Distributed File System: 局域网管理共享文件，不需要禁用局域网管理共享文件，不需要禁用 Distributed linktracking client：用于局域网更新连接信息，不需要禁用用于局域网更新连接信息，不需要禁用 Error reporting service：禁止发送错误报告禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁用提供快速的单词搜索，不需

26、要可禁用 NTLMSecuritysupportprovide：telnet服务和服务和Microsoft Serch用的，不需要用的，不需要禁用禁用 PrintSpooler：如果没有打印机可禁用如果没有打印机可禁用 Remote Registry：禁止远程修改注册表禁止远程修改注册表 Remote Desktop Help Session Manager：禁止远程协助禁止远程协助 Workstation 关闭的话远程关闭的话远程NET命令列不出用户组命令列不出用户组安全管理与安全维护用户管理保护注册表数据备份漏洞与补丁安全配置程序安全分析组策略安全模板安全策略数据安全IPSECEFS访问控

27、制TCP/IP组策略权限控制证书服务Kerberos智能卡NTLMSSL/TLSWin2000基本安全注意事项n交互式登录交互式登录使用域帐号使用域帐号使用本地计算机帐户使用本地计算机帐户n网络身份验证网络身份验证NTLMNTLM验证验证Kerberos V5Kerberos V5安全套接字层安全套接字层/ /传输层安全（传输层安全（SSL/TLSSSL/TLS）从从NT4 Service Pack 3开始，开始，Microsoft提供提供了对了对SAM散列进行进一步加密的方法，称为散列进行进一步加密的方法，称为SYSKEY。SYSKEY是是System KEY的缩写，它生成一个随的缩写，它生

28、成一个随机的机的128位密钥，对散列再次进行加密位密钥，对散列再次进行加密(不是对不是对SAM文件加密，而是对散列文件加密，而是对散列)。n利用利用Syskey对系统中的帐号密码文件加密对系统中的帐号密码文件加密n设定系统的启动密码设定系统的启动密码安全管理与安全维护用户管理保护注册表数据备份漏洞与补丁安全配置程序安全分析组策略安全模板安全策略数据安全IPSECEFSTCP/IP组策略权限控制身份认证证书服务Kerberos智能卡NTLMSSL/TLSWin2000基本安全注意事项NTFSNTFS与与FATFAT分区文件属性分区文件属性文件权限文件权限用户权限用户权限权限控制原则权限控制原则网

29、络访问控制网络访问控制FAT32NTFSnAdministrators 组组nUsers 组组nPower Users 组组nBackup Operators组组11权限是累计权限是累计 用户对资源的有效权限是分配给该个人用户帐用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和。户和用户所属的组的所有权限的总和。22拒绝的权限要比允许的权限高拒绝的权限要比允许的权限高 拒绝权限可以覆盖所有其他的权限。甚至作为拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件，但是该组一个组的成员有权访问文件夹或文件，但是该组被拒绝访问，那么该用户本来具有的所有权限都

30、被拒绝访问，那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件。会被锁定而导致无法访问该文件夹或文件。n有一个文件叫有一个文件叫FILE。nUSER1用户属于用户属于GROUP1组组nUSER1（读取权限）（读取权限） FILE FILE GROUP1（拒绝）（拒绝）n拒绝访问拒绝访问n那么那么USER1对对FILE的权限将不再是：读取写入，而是无法访问文的权限将不再是：读取写入，而是无法访问文件件FILE。33文件权限比文件夹权限高文件权限比文件夹权限高 例如：如果我对文件夹设置了拒绝写入，例如：如果我对文件夹设置了拒绝写入，但是对文件夹里的文件设置为允许写入，但是对文件夹里

31、的文件设置为允许写入，我就可以对此文件有写入权限。我就可以对此文件有写入权限。44利用用户组来进行权限控制利用用户组来进行权限控制 不同的用户组具有不同的权限，可以把不不同的用户组具有不同的权限，可以把不同的用户划分到不同的组里。同的用户划分到不同的组里。55权限的最小化原则权限的最小化原则 只给用户真正需要的权限只给用户真正需要的权限设置设置IPSec策略，禁止策略，禁止Ping。设置设置IPsec策略，关闭策略，关闭135，445端口端口安全管理与安全维护用户管理保护注册表数据备份漏洞与补丁安全配置程序安全分析组策略安全模板安全策略IPSECEFS访问控制TCP/IP组策略权限控制身份认证

32、证书服务Kerberos智能卡NTLMSSL/TLSWin2000基本安全注意事项特性：特性：1 1、采用单一密钥技术、采用单一密钥技术2 2、核心文件加密技术仅用于、核心文件加密技术仅用于NTFSNTFS，使用户在本地计算机上安全存储数，使用户在本地计算机上安全存储数据据3 3、加密用户使用透明，其他用户被拒、加密用户使用透明，其他用户被拒4 4、不能加密压缩的和系统文件，加密后不能被共享、能被删除、不能加密压缩的和系统文件，加密后不能被共享、能被删除n故障恢复代理就是获得授权解密由其他用户加密故障恢复代理就是获得授权解密由其他用户加密的数据的管理员的数据的管理员n必须进行数据恢复时，恢复代

33、理可以从安全的存必须进行数据恢复时，恢复代理可以从安全的存储位置获得数据恢复证书导入系统。储位置获得数据恢复证书导入系统。n默认的超级管理员就是恢复代理默认的超级管理员就是恢复代理使用条件：当加密密钥丢失使用条件：当加密密钥丢失n用用EFS加密一个文件。加密一个文件。安全管理与安全维护用户管理保护注册表数据备份漏洞与补丁安全分析组策略安全模板安全策略数据安全IPSECEFS访问控制TCP/IP组策略权限控制身份认证证书服务Kerberos智能卡NTLMSSL/TLSWin2000基本安全注意事项*在账户策略-密码策略中设定：密码复杂性要求 启用密码长度最小值 6位强制密码历史 5次最长存留期

34、30天*在账户策略-账户锁定策略中设定：账户锁定 3次错误登录锁定时间 20分钟复位锁定计数 20分钟 n审核策略：决定记录在计算机（成功审核策略：决定记录在计算机（成功/ /失败的尝失败的尝试）的安全日志上的安全事件。试）的安全日志上的安全事件。n用户权利分配：决定在计算机上有登录用户权利分配：决定在计算机上有登录/ /任务特任务特权的用户或组。权的用户或组。n安全选项：启用或禁用计算机的安全设置，例安全选项：启用或禁用计算机的安全设置，例如数据的数字信号、如数据的数字信号、administrator administrator 和和guestguest的的帐号名、软驱和光盘的访问、驱动程序

35、的安装帐号名、软驱和光盘的访问、驱动程序的安装以及登录提示。以及登录提示。用户管理保护注册表数据备份漏洞与补丁安全配置程序安全分析组策略安全模板安全策略数据安全IPSECEFS访问控制TCP/IP组策略权限控制身份认证证书服务Kerberos智能卡NTLMSSL/TLSWin2000基本安全注意事项n更改超级管理名称更改超级管理名称n取消取消guestguest帐号帐号n合理分配其它用户权限合理分配其它用户权限n禁止默认网络共享禁止默认网络共享n禁止枚举域内用户禁止枚举域内用户服务器服务器:Key: HKLMSYSTEMCurrentControlSetServiceslanmanserver

36、parametersName: AutoShareServerType: DWORDValue: 0工作站：工作站：Key: HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersName: AutoShareWksType: DWORDValue: 0n取消默认共享取消默认共享编辑txt文本内容net share c$ /delnet share d$ /delnet share e$ /delnet share ADMIN$ /del改扩展名为.bat设置开机自启动此批处理文件Key:HKLMSYSTEMCurrentContro

37、lSetControlLsaName: RestrictAnonymousType: REG_DWORDValue: 1 n将文件备份到文件或磁带将文件备份到文件或磁带n备份备份“系统状态系统状态”数据数据n使用备份向导备份文件使用备份向导备份文件n计划备份计划备份 输入法漏洞输入法漏洞 空会话漏洞空会话漏洞 unicodeunicode漏洞漏洞 .ida/.idq.ida/.idq缓冲区溢出漏洞缓冲区溢出漏洞 .print isapi.print isapi扩展远程缓冲区溢出扩展远程缓冲区溢出 Frontpage Frontpage 服务器扩展漏洞服务器扩展漏洞 sqlserver sqls

38、erver 空口令空口令Windows接口远程缓冲区漏洞接口远程缓冲区漏洞 审计成功：可以确定用户或服务获得访问指定文件、审计成功：可以确定用户或服务获得访问指定文件、打印机或其他对象的频率打印机或其他对象的频率审计失败：警告那些可能发生的安全泄漏审计失败：警告那些可能发生的安全泄漏访问文件夹的审核访问文件夹的审核审核策略审核策略安全事件查看并分析安全事件查看并分析终端安全概述终端系统安全性终端体系构架终端体系构架终端安全威胁终端安全威胁终端安全配置终端安全配置终端安全检查终端安全检查终端安全加固终端安全加固终端用户安全职责终端用户安全职责终端接入要求终端接入要求终端标准化的意见和操作建议终端

39、标准化的意见和操作建议n系统日志系统日志 跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。控制器的故障。 %systemroot%system32configSysEvent.EVTn 应用程序日志应用程序日志 跟踪应用程序关联的事件，比如应用程序产生的象装载跟踪应用程序关联的事件，比如应用程序产生的象装载 DLL （动态链接库）失败的信息将出现在日志中。（动态链接库）失败的信息将出现在日志中。 %systemroot%system32configAppEvent.EVTn安全日志安全日志 跟踪事件如登录

40、上网、下网、改变访问权限以及系统启动和关闭。注意：跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意：安全日志的默认状态是关闭的。安全日志的默认状态是关闭的。 %systemroot%system32configSecEvent.EVTnInternet信息服务信息服务 FTP日志默认位置：日志默认位置：n%systemroot%/system32/logfiles/msftpsvc1 默默认每天一个日志认每天一个日志nInternet 信息服务信息服务WWW 日志默认位置：日志默认位置： ：n%systemroot%/system32/logfiles/w3svc1 ，默，默认每

41、天一个日志认每天一个日志nFTP 日志和日志和WWW 日志文件名通常为日志文件名通常为ex （年份）（年份）（月份）（日期），例如（月份）（日期），例如ex001023 就是就是2000 年年10 月月23 日产生的日志，用记事本就可直接打开日产生的日志，用记事本就可直接打开nScheduler服务日志默认位置：服务日志默认位置： %systemroot%/schedlgu.txtnFTP日志分析，日志分析， 如下例：如下例：n#Software: Microsoft Internet Information Services 5.0 （微软（微软IIS5.0 ）n#Version: 1.0

42、（版本（版本1.0）n#Date: 20001023 03:11:55 （服务启动时间日期）（服务启动时间日期）n03:11:55 1USER administator -331 （IP地址为地址为 用户名为用户名为administator 试图登录）试图登录）n03:11:58 1PASS -530 （登录失败）（登录失败） n03:12:04 1USER nt -331 （ IP地址为地址为 用户名为用户名为 nt的用户试图登录）的用户试图登录） n03:12:06 1PAS

43、S -530 （登录失败）（登录失败） n03:12:32 1USER administrator -331 （ IP地址为地址为 用户名为用户名为administrator 试图登录）试图登录）n03:12:34 1PASS 230 （登录成功）（登录成功） （登录成功）（登录成功）n03:12:41 1MKD nt 550 （新建目录失败）（新建目录失败） 03:12:45 1QUIT 550 （退出（退出FTP 程序）程序）终端安全概述终端系统安全性终端体系构架终端体系构架终端安全威胁终端安

44、全威胁终端安全配置终端安全配置终端安全检查终端安全检查终端安全加固终端安全加固终端用户安全职责终端用户安全职责终端接入要求终端接入要求终端标准化的意见和操作建议终端标准化的意见和操作建议 及时打补丁，建议启用微软自动更新功能及时打补丁，建议启用微软自动更新功能n安装杀毒软件安装杀毒软件并正确的使用并正确的使用杀毒软件，及杀毒软件，及时升级杀毒软时升级杀毒软件，开启实时件，开启实时扫描功能，定扫描功能，定期杀毒期杀毒n安装并启用个人防火墙（可以是安装并启用个人防火墙（可以是windowswindows自带的自带的或杀毒软件自带的）或杀毒软件自带的）n显示所有文件及文件扩展名显示所有文件及文件扩展

45、名n关闭自动播放功能关闭自动播放功能设置浏览器安全级别设置浏览器安全级别n离开计算机时锁屏离开计算机时锁屏 Windows 2000 Ctrl+Alt+Del Windows xp 运行-gpedit.msc 配置启用“总是用经典登录”n目录系统是什么管理中心： 资源整合安全中心： 集中管理和控制 分层次的权限委派 单一登陆开放的平台： 与多种应用进行整合n使用目录系统，实现对企业内部大量终端的规范、安全管理；根域部门 OU域控制器 OU受保护的 XP 用户 OUWindows XP OU桌面计算机 OU膝上型计算机 OUn组策略对象使用户可以集中配置大量用户和计算机。组策略对象使用户可以集中

46、配置大量用户和计算机。 可配置客户端的桌面环境、安全设置以及控制计算机和用户的状态。 减少管理员直接访问每台计算机的时间。 增加管理员的集中控制能力。n安全模板是一组预先配置的安全设置安全模板是一组预先配置的安全设置nWindows XP 安全指南模板包括：安全指南模板包括： 两个包含适用于域中所有计算机的设置的域模板 两个包含适用于桌面计算机的设置的模板 两个包含适用于膝上型计算机的设置的模板n每个模板均具有一个企业版和高安全性版每个模板均具有一个企业版和高安全性版n安全模板中的设置可被编辑、保存和导入到安全模板中的设置可被编辑、保存和导入到 GPO 中中安全设置解释帐户策略为域设置密码和帐

47、户锁定策略 帐户锁定策略在登录尝试达到一定的失败次数后阻止访问审核策略指定将记录哪些安全事件事件日志 指定日志保留和最大日志大小的设置文件系统指定文件系统对象的权限和审核设置IPSec 策略筛选往返服务器的通信以阻止不需要的通信注册表设置为注册表项指定访问权限和审核设置受限制的组指定哪些帐户是组的成员，以及组是哪些组的成员安全选项 为用户和计算机指定各种各样的安全设置 软件限制阻止在客户端计算机上运行恶意的软件系统服务指定服务的启动模式和访问权限用户权利指派 指定哪些用户和组能够在计算机上执行特定的操作 根域部门 OU域控制器 OU受保护的 XP 用户 OUWindows XP OU桌面计算机

48、 OU膝上型计算机 OU企业客户端Domain.inf域策略受保护的 XP 用户策略企业客户端Desktop.inf企业客户端Laptop.inf膝上型计算机策略桌面计算机策略n策略驱动的机制，用于标识和控制客户端计算机上的软策略驱动的机制，用于标识和控制客户端计算机上的软件件n默认的安全级别具有两个选项：默认的安全级别具有两个选项： 不受限的 可以运行除明确拒绝的软件外的所有软件 不允许的 只能运行明确允许的软件使用组策略编辑器为使用组策略编辑器为域定义策略域定义策略通过组策略将策略下载到通过组策略将策略下载到计算机计算机在运行软件时由操作系统实施在运行软件时由操作系统实施1 12 23 3

49、安全威胁和来源安全威胁和来源安全原则和体系安全原则和体系终端的安全配置内容终端的安全配置内容终端安全管理的手段和方法终端安全管理的手段和方法总结总结遵循深层防御模型应用最低权限、最少连接和最低用户访问权限的准则运用监视和审核培训用户注意安全性问题从经验中学习制定和测试事件应对计划和过程努力实现在设计上安全的系统创建安全策略和过程文档订阅安全性警告电子邮件了解更新管理的最新信息维护定期备份和还原过程捕捉攻击者的心思终端安全概述终端系统安全性终端体系构架终端体系构架终端安全威胁终端安全威胁终端安全配置终端安全配置终端安全检查终端安全检查终端安全加固终端用户安全职责终端用户安全职责终端接入要求终端接

50、入要求终端标准化的意见和操作建议终端标准化的意见和操作建议员工系统维护人员安全技术人员安全管理人员管理层需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注员工系统维护人员安全技术人员安全管理人员管理层需要关注无需关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注员工系统维护人员安全技术人员安全管理人员管理层需要

51、关注无需关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注员工系统维护人员安全技术人员安全管理人员管理层需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注员工系统维护人员安全技术人员安全管理人员管理层需要关注需要关注需要关注需要关注

52、需要关注需要关注需要关注需要关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注员工系统维护人员安全技术人员安全管理人员管理层无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注无需关注无需关注无需关注无需关注无需关注终端安全概述终端系统安全性终端体系构架终端体系构架终端安全威胁终端安全威胁终端安全配置终端安全配置终端安全检查终端安全检查终端安全加固终端用户安全职责终端用户安全职责终端接入要求终端接入要求终端标准化的意见和操作建议终端标准化的意见和操作建议终端审计终端泄密控制终端安全控制终端准入控制桌面合规管理恶意代码查杀IP&MAC比对合规性比对用户比对通过准入n802.1