Windows_Security

1、Windows 操作系统安全操作系统安全国瑞数码安全系统有限公司2003.4.12授课内容 如何保证如何保证Windows操作系统的安全操作系统的安全 Windows NT/2000/XP安全配置 Windows NT/2000/XP的日志审计日志审计 基本安全措施 Windows管理员须知为什么很难获得安全性 ,保持安全性? 调查发现 : 在经历红色代码袭击的客户中,仍有超过50%的客户并没有及时安装补丁防范 Nimda “我不知道需要安装哪些补丁” “我不知道到哪里找补丁” “我不知道哪些机器需要补丁” “我们已经更新了所有生产服务器, 但是仍有4000多台非生产服务器受到袭击”保证系统安

2、全的三步曲我有最新的补丁程序吗 ?我的所有机器已经达到安全基准吗?我如何锁定我的所有机器?网络安全补丁检查工具(HFNetChk) 和 微软基准安全分析器 (MBSA)HFNetChk 和 MBSA 是战略性技术保护计划的一个组成部分两个阶段: 获得安全性 ,保持安全性 http:/ HFNetChk是一个命令行程序，它只能运行在Windows NT, Windows 2000 and Windows XP等基于NT的平台上 扫描本地和远程计算机 检查下列系统的安全补丁的安装状态 Windows NT 4.0, Windows 2000, XP Internet Explorer 5.01和后

3、续产品 IIS 4.0 and 5.0 SQL 7.0 和后续产品HFNetChk In Action保证系统安全的三步曲我有最新的补丁程序吗?我的所有机器已经达到安全基准吗?我如何锁定我的所有机器?微软基准安全分析器 MBSA 运行在Windows 2000 和 Windows XP平台上的单个可执行文件检查常见安全误设置和漏装补丁, 服务包Windows Internet Information Server 4.0 and Internet Information Server 5.0SQL 7.0 and SQL 2000桌面应用程序Internet ExplorerOfficeOut

4、lookMBSA既有图形界面版本,又有命令行版本生成安全报表系统总得分每一项安全检查通过或失败得分针对发现的安全性漏洞,提出详细解释和修补动作是一个“只读”工具 -对被检查的机器没有任何配置或更新操作用户在每台被检查的机器上必须有本地管理员权限使用MBSA扫描单台计算机扫描多台计算机从哪里得到补丁 ? 订阅安全公告邮件http:/www.M 发送邮件到microsoft_security-subscribe- 利用Windows更新工具接受自动通知 订购安全工具包或联机访问安全工具包网站 下载补丁程序http:/ Secure Server Roles 目的：针对具有不同服务器角色的Windo

5、ws 系统，简化管理员实施安全系统的繁重任务 SSR包含了一些向导程序,用来检查和实施OS,特定应用程序的安全策略（例如：Exchange，IIS）安全服务器角色 SSR安全服务器角色框架 设置广泛（例如：服务，端口，注册表键值，审计，用户组等） “角色”众多（例如：域控制器，文件服务器，打印服务器，Web服务器等） 适用范围广泛(例如:Internet连接,DMZ,企业网络,多网卡主机) 可定制可以增加新的角色,无需编程 可扩展 可以使用VB来开发特定应用的子向导 通过与MBSA的集成,提供了对一些非可配置的选项的分析,例如:漏装补丁程序,NTFS文件系统,口令太简单 既可在本地运行,又可在

6、远程运行 支持Windows 2000 和 .Net Server安全服务器角色 SSR(2)Windows 安全配置安全配置 帐户管理 密码管理 文件系统配置管理 网络配置管理 其他配置管理帐户管理 新建合理有效的用户 重命名管理员帐号 检查用户帐号、组成员及权限 取消或禁用 Guest帐号 将Everyone可以“从网络访问计算机”改为一个特定帐号帐户管理 允许管理员帐号网络登录锁定 尝试注册三次失败后锁定账号 启用登录工作站和登录时间限制 登录屏幕上不显示上次登录的用户名 登录前，先键入ALT+DEL+CTRL密码管理 启动口令密码的复杂性要求登录名称中字符不要重复或循环； 至少包含两个

7、字母字符和一个非字母字符；至少有6个字符长度；不是用户的姓名 ，不是相关人物、著名人物的姓名，不是用户的生日和电话号码及其他容易猜测的字符组合等； 口令密码的长度限制 要求用户定期更改口令 文件系统配置管理 将硬盘格式化成NTFS 设置NTFS的存取控制列表 关闭NTFS 8.3文件系统(到注册表中的HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control FileSystem，将NtfsDisable8dot3NameCreation的值由0改为1) 加密文件系统EFS 网络配置管理 去掉所有网络共享 限制匿名网络存取 去掉NETBIOS绑定到T

8、CP/IP 取消IP路由其他配置管理 将系统的启动等待时间设置为0秒 移除OS/2和POSIX子系统 设置所有的登录/注销成功/失败审计 设置审计日志写文件的时间间隔 移动一些重要的应用程序 及时给系统打补丁日志审计的作用 任何功能正常的计算机环境都有可能受到攻击。不论安全性有多高，都存在可能会受到攻击的风险。 在一系列不得逞的攻击之后往往攻击就会得逞。如果不监视有无攻击的情况，就不能在攻击得逞之前发现它们。 如果攻击果真会得逞，那么越早发现，避免损失就越容易。 如果要在受到攻击后进行恢复，则必须知道造成了什么样的损失。 日志审计的作用 审计和侵入检测会有助于确定谁应对攻击负责。 将审计和侵入

9、检测结合起来可有助于将各种信息相互关联以弄清攻击发生的模式。 定期检查安全日志可有助于发现未知的安全配置问题，如权限不正确或帐户锁定设置不严格等。 在检测到发生攻击的情况之后，审计可有助于确定哪些网络资源受到了危害。审计的内容 系统和网络日志文件 目录和文件中不期望的改变 程序执行中的不期望行为 物理形式的入侵信息 审计的方法 模式匹配 统计分析 完整性分析 Windows 2000审计事件类别 登录事件 帐户登录事件 对象访问 目录服务访问 特权使用 进程跟踪 系统事件 策略更改 Windows 2000审计事件类别 登录事件登录事件 如果对登录事件进行审计，那么每次用户在计算机上登录或注销

10、时，都会在进行了登录尝试的计算机的安全日志中生成一个事件。此外，在用户连接到远程服务器之后，也会在远程服务器的安全日志中生成一个登录事件。在创建或者销毁登录会话和令牌时也会分别创建登录事件。 Windows 2000审计事件类别 帐户登录事件帐户登录事件 在一个用户登录到域时，是在域控制器上对登录进行处理的。如果您审计域控制器上的帐户登录事件，那么您就会看到在对帐户进行验证的域控制器上记录的此登录尝试。帐户登录事件是在身份验证程序包对用户的凭据进行验证时创建的。 Windows 2000审计事件类别 帐户管理帐户管理 帐户管理审计用于确定用户或组是在何时创建、更改或删除的。此审计可用于确定何时

11、创建了安全主体，以及什么人执行了该任务。 对象访问对象访问 可以用系统访问控制列表 (SACL) 对基于 Windows 2000 的网络中的所有对象启用审计。SACL 包含一个将要审计其对对象进行的操作的用户和组的列表。Windows 2000审计事件类别 目录服务访问目录服务访问Active Directory 对象具有与它们关联的 SACL，因此也可以对它们进行审计。 特权使用特权使用 用户在 IT 环境中工作时，他们就会行使所规定的用户权限。如果您审计“特权使用”的成功和失败，那么每次一个用户尝试行使用户权限时都会生成一个事件。 Windows 2000审计事件类别 进程跟踪进程跟踪

12、如果您审计在基于 Windows 2000 的计算机上运行的进程的详细跟踪信息，那么事件日志将显示创建进程和结束进程的尝试。 系统事件系统事件 在一个用户或进程改变计算机环境的某些方面时会生成系统事件。您可以审计对系统进行更改的尝试，如关闭计算机或更改系统时间。 策略更改策略更改 审计策略应定义将审计对您的环境的哪些更改，它会有助于确定是否有攻击您的环境的企图。 Widows日志 应用程序日志应用程序日志 包含由应用程序或系统程序记录的事件。如数据库程序中的文件错误。 系统日志系统日志 包含 系统组件记录的事件。如在启动过程将加载的驱动程序或其他系统组件的失败记录 。 安全日志安全日志记录安全

13、事件，如有效的和无效的登录尝试，以及与创建、打开或删除文件等资源使用相关联的事件。事件查看器 事件查看器 事件说明 日志事件选项配置 审核文件和文件夹访问 WWW日志 FTP日志Widows审计内容 IIS日志审计 系统日志审计 安全日志审计 应用程序日志审计 注册表审计 文件系统审计 系统服务审计 系统进程审计 系统帐号审计Windows基本安全措施 在人员配置上，应该对用户进行分类，划分不同的用户等级。规定不同的用户权限。 对资源进行区分，共享和不共享资源应该放置于不同的文件夹或路径下，对共享资源再进行细分，划分不同的共享级别，比如：只读、安全控制，备份、等等。 给不同的用户或用户组分配不

14、同的帐号、口令、密码。并且规定口令、密码的有效期，对其进行动态的分配和修改，保证密码的有效性。 Windows基本安全措施 为防止未经授权的访问，可以利用安全审查功能，以便在事件查看器安全日志中记录未经授权的访问企图，以便尽早发现安全漏洞 。 配合路由器和防火墙的使用，对一些IP地址进行过滤，可以在很大程度上防止其他用户通过TCP/IP访问你的服务器。 在Windows 上运行的Web服务器、FTP服务器、Mail服务器，I E等，应及时获得其补丁程序包，以解决其安全问题。当然还有操作系统本身的升级。管理员须知 专人专机管理机要数据。 定期对各类用户进行安全培训。 服务器上只安装NT。 服务器

15、上所有的卷全部使用NTFS。 使用最新的Service Pack升级你的NT。 设置服务器的BIOS，不允许从可移动的存储设备(软驱、光驱、ZIP、SCIS设备)启动。 通过BIOS设置软驱无效，并设置BIOS口令。 管理员须知 取消服务器上不用的服务和协议种类。 系统文件和用户数据文件分别存储在不同的卷上。 修改默认“Administrator”用户名,加上“强口令”。 管理员账号仅用于网络管理，不要在任何客户机上使用管理员账号。 限制可以登录到有敏感数据的服务器的用户数。 管理员须知 限制Guest账号的权限，最好不允许使用Guest账号。 新增用户时分配一个口令，并控制用户“首次登录必须更改口令”，最好进一步设置成口令的不低于8个字符，杜绝安全漏洞。 至少对用户“登录和注销”网络、“重新启动、关机及系统”、“安全规则更改”活动进行审计 。 一般不直接给用户赋权，而通过用户组分配用户权限。 管理员须知所有磁盘分区都是NTFS文件系统管理员帐户有一个强口令禁止所有不必要的服务删除或禁止所有不必要的账号关闭所有不必要的共享目录设置