Win2008安全配置与维护-副本

1、网络安全现状新华网 月日电（记者徐扬）年，中国内地共有近万家网站被黑客篡改，其中被篡改的政府网站达个。这是国家互联网应急中心日在大连举行的“中国计算机网络安全年会”上发布的。 监测显示，年被篡改的政府网站数量比年上升。中央和省部级政府网站安全状况明显优于地市以下级别的政府网站，但仍有约的部委级网站存在不同程度的安全隐患。 在国家互联网应急中心监测的政府网站中，年被篡改的政府网站比例达到，即全国有约十分之一的政府网站遭遇了黑客篡改。黑客常用攻击方法1、获取口令 2、放置特洛伊木马程序 3、网络监听 4、寻找系统漏洞 5、利用帐号进行攻击 6、偷取特权 1、获取口令1：通过网络监听获得用户口令，监

2、听者往往能够获得其所在网段的所有用户账号和口令，对局域网安全威胁巨大。2：是在获取用户的账号后（如电子邮件前面的部分）利用一些专门软件强行破解用户口令。2、放置特洛伊木马程序 特洛伊木马程序常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就留在用户的电脑中，并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知黑客，来报告用户IP地址以及预先设定的端口。黑客在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改您的计算机的参数设定、复制文

3、件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的 。3、网络监听网络监听是主机的一种工作模式，在这种模式下，主机可以接受到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，NetXray ，sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。 4、寻找系统漏洞许多系统都有这样那样的安全漏洞（Bugs），这些漏洞在补丁未被开发出来之前一般很

4、难防御黑客的破坏，除非你将网线拔掉；还有一些漏洞是由于系统管理员配置错误引起的，如在网络文件系统中，将目录和文件以可写的方式调出，这都会给黑客带来可乘之机，应及时加以修正。 5、利用帐号进行攻击 有的黑客会利用操作系统提供的缺省账户和密码进行攻击，Guest缺省账户。这类攻击只要系统管理员提高警惕，将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。6、偷取特权利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击，前者可使黑客非法获得对用户机器的完全控制权，后者可使黑客获得超级用户的权限，从而拥有对整个网络的绝对控制权。不安全系统可能的后果系统若被感染病毒、木

5、马入侵、黑客攻击，轻则可能 运行速度变慢，帐号密码及重要信息等被窃取，系统莫名其妙地出错或死机，文件被篡改和替换；重则可能格式化硬盘；导致数据全部丢失，还可能被攻击者利用成为他们对其他系统发动攻击的跳板，或其他犯罪的工具。Windows 2008服务器安全加固方面1. 把好大门用户号及权限管理2. 关好窗户关闭不用的进程和端口3 做好监控查看日志功能4. 清点财物及时数据备份、恢复1 修改超级帐户2 强制按 Ctrl+Alt+Del 登录3 审核审核4 用户权限分配5 安全选项6 密码策略与帐户锁定策略7 网络身份验证保护远程桌面登录8 本地组策略编辑设置9 关闭系统默认共享，禁止连接修改超级

6、帐户重命名超级管理员（administrator）帐户。设置陷井，新建administrator 隶属于guest帐户 并设置一强壮的密码。强制按 Ctrl+Alt+Del 登录作用：防止模仿登录程序检索密码信息方法 开始运行control userpasswords2 或netplwize 用户帐户高级勾选“要示用户按Ctrl+Alt+Del 登录”1.3 本地安全策略设置-审核审核的作用审核的作用: 审核提供了一种在审核提供了一种在Windows Server 2008中跟踪所中跟踪所有事件从而监视系统访问和保证系统安全的方法。有事件从而监视系统访问和保证系统安全的方法。它是一个保证系统安

7、全的重要工具。审核允许跟踪它是一个保证系统安全的重要工具。审核允许跟踪特定的事件，具体地说，审核允许跟踪特定事件的特定的事件，具体地说，审核允许跟踪特定事件的成败。例如，可以通过审核登录来跟踪谁登录成功成败。例如，可以通过审核登录来跟踪谁登录成功以及谁（以及何时）登录失败，还可以审核对给定以及谁（以及何时）登录失败，还可以审核对给定文件夹或文件对象的访问，跟踪是谁在使用这些文文件夹或文件对象的访问，跟踪是谁在使用这些文件夹和文件以及对它们进行了什么操作。这些事件件夹和文件以及对它们进行了什么操作。这些事件都可以记录在安全日志中。都可以记录在安全日志中。审核开始菜单管理工具本地安全策略审核策略设

8、置A、本地策略审核策略 1、审核策略更改成功失败 2、审核登录事件成功失败 3、审核对象访问失败 4、审核过程跟踪无审核 5、审核目录服务访问无审核 6、审核特权使用失败 7、审核系统事件成功失败 8、审核账户登录事件成功失败 9、审核账户管理成功失败 审核对给定文件夹或文件对象审核对给定文件夹或文件对象如果要审核对给定文件夹或文件对象的访问，可通如果要审核对给定文件夹或文件对象的访问，可通过如下方法设置：过如下方法设置：（1 1）右键文件夹选择）右键文件夹选择“属性属性” ” “安全安全”“高高级级”“高级安全设置高级安全设置”对话框对话框 “审核审核” ” “编辑编辑” ” “添加添加”

9、” 选择所要审核的用户、选择所要审核的用户、计算机或组计算机或组“确定确定”（2 2）系统弹出审核项目的对话框，列出了被选中）系统弹出审核项目的对话框，列出了被选中对象的可审核的事件，包括对象的可审核的事件，包括“完全控制完全控制”或或“遍历遍历文件夹文件夹/ /运行文件运行文件”、“读取属性读取属性”、“写入属写入属性性”、“删除删除”等权限。等权限。（3 3）定义完对象的审核策略后，关闭对象的属性）定义完对象的审核策略后，关闭对象的属性窗口，审核将立即开始生效。窗口，审核将立即开始生效。本地安全策略设置B、本地策略用户权限分配关闭系统：只有Administrators组、其它全部删除。拒绝

10、通过远程桌面服务登陆：加入Guests、User组允许通过远程桌面服务登陆：只加入Administrators 组，其他全部删除本地安全策略设置 C、本地策略安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用 网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除 网络访问：可匿名访问的命名管道全部删除 网络访问：可远程访问的注册表路径全部删除 网络访问：可远程访问的注册表路径和子路径全部删除 本地安全策略设置D 帐户策略密码策略E 帐户策略帐户锁定策略保护远程桌面登录网络级别身份验证 (NLA) ，可以防止远程计算机受到黑客或恶意软

11、件的攻击。降低拒绝服务攻击的风险,提供更高的安全保障。打开方法：服务管理器配置远程桌面-“只允许运行带网络级身份验证的远程桌面的计算机连接” 。Xp sp3 不支持网络级别身份验证处理方法 打开注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa下打开security packages添加tspkg到最后 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders下找到securityproviders编辑字符串添加数值：, credssp.dll（逗号后有个空格）

12、本地组策略编辑设置1、禁止恶意程序、禁止恶意程序“不请自来不请自来”2、禁止改变本地安全访问级别、禁止改变本地安全访问级别 3、禁止、禁止U盘病毒盘病毒“趁虚而入趁虚而入” 4、禁止运行注册表编辑器禁止恶意程序禁止恶意程序“不请自来不请自来”禁止恶意程序自动下载文件 “开始”-“运行”-gpedit.msc-本地计算机组策略编辑器;“计算机配置” “管理模板” “Windows组件” “Internet Explorer” “安全功能” “限制文件下载” 双击 “Internet Explorer进程” “已启用” 禁止改变本地安全访问级别禁止改变本地安全访问级别安全级别要是设置得太低，会导致

13、潜藏在网络中的安全级别要是设置得太低，会导致潜藏在网络中的各种病毒或木马对本地计算机进行恶意攻击各种病毒或木马对本地计算机进行恶意攻击 A 禁用安全页“用户配置” “管理模板” “Windows组件” “Internet Explorer” “Internet控制模板” “禁用安全页” “已启用” B 禁用 Internet选项 “用户配置” “管理模板” “Windows组件” “Internet Explorer” “浏览器菜单” “Internet选项” 禁止禁止U盘病毒盘病毒“趁虚而入趁虚而入”禁止本地计算机系统读取U盘，阻断U盘病毒的传播。“用户配置” “管理模板” “系统” “可移

14、动存储” “可移动磁盘：拒绝读取权限”禁止运行注册表编辑器“用户配置” “管理模板” “系统” “阻止访问注册表编辑器” “已启用”关闭系统默认共享，禁止连接下面给出如何关闭系统的默认共享的操作： 从“开始| 管理工具 | 计算机管理”中打开“计算机管理”界面。 打开“共享文件夹”下面的子项，点中“共享”，在右边的默认共享窗口中可以看到系统提供的默认共享，如图14.43所示。若想要删除C盘的共享，可以在“C$”上右击鼠标，在弹出的快捷菜单中选中“停止共享”。 对于其他的默认共享，可以使用同样的操作，将系统提供的默认共享全部删，但是要注意IPC$ 的共享由于被系统的远程IPC服务使用是不能被删除

15、的，删除完默认共享的系统共享特性。卸载和中止无用程序和系统进程服务器环境以“最精、最简”为原则卸载不用使用程序。防止程序中有后门或漏洞导致被攻击者利用。 中止不使用的系统进程。关闭危险和不用端口查看本地计算机正打开的端口 netstat。IPsec IP安全策略屏蔽IP或端口。认识Windows Server 2008安全记录可以在事件查看器查看到很多事件日志，包括应用程序日志、安全日志、系统日志、目录服务日志、DNS服务日志和文件复制服务日志等。通过查看这些事件，管理员可以了解系统和网络的情况，也能跟踪安全事件。当系统出现故障问题时，可以通过日志记录进行查错或恢复系统。安全事件是记录关于审核

16、的结果，打开计算机的审核功能后，计算机或用户的行为会触发系统安全记录事件。例如，管理员删除域中的用户账户，会触发系统写入目录服务访问策略事件记录；修改一个文件内容，会触发系统写入对象访问策略事件记录。查看安全记录只要做了审核策略，被审核的事件都会被记录到安全记录中，可以通过事件查看器查到每一条安全记录。选择“开始| 管理工具 | 事件查看器”或者在命令行中输入eventvwr.msc命令，便可打开“事件查看器”控制台查看安全记录。安全记录的内容包括：安全记录的内容包括：类型：包括审核成功或失败。类型：包括审核成功或失败。日期：事件发生的日期。日期：事件发生的日期。时间：事件发生的时间。时间：事件发生的时间。来源：事件种类，安全事件为来源：事件种类，安全事件为SecuritySecurity。分类：审核策略，例如登录分类：审核策略，例如登录/ /注销、目录服务访问、账户登注销、目录服务访问、账户登录等。录等。事件：指定事件标识符，标明事件事件：指定事件标识符，标明事件IDID，为整数值。，为整数值。用户：触发事件的用户名称。用户：触发事件的用户名称。计算机：指定事件发生的计算机名称，一般是本地计算机名计算机：指定事件发生的计算机名称，一般是本地计算机名称。称。 事