Windows安全--培训

1、Windows安全管理篇安全管理篇Windows安全管理篇安全管理篇Windows系统安装系统安全检查系统安全配置Windows系统安装系统安装使用正版可靠安装盘将系统安装在NTFS分区上系统和数据要分开存放在不同的磁盘最小化安装服务安全补丁合集和相关的Hotfix装其它的服务和应用程序补丁每次在安装其它程序之后，重新应用安全补丁防止病毒进行文件系统安全设置最少建立两个分区，一个系统分区，一个应用程序分区，因为微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。NT安装SP6a和相关的HotfixWIN2K安装SP4和相

2、关的HotfixWINXP安装SP2和相关的HotfixWIN2003安装相关的Hotfix系统安全检查系统安全检查系统信息补丁安装情况帐号和口令网络与服务文件系统日志审核安全性增强系统信息系统信息检查服务器是否安装多系统，多系统无法保障文件系统的安全 从“operating systems”字段可以查到允许启动的系统列表 系统信息系统信息查看主机路由信息 补丁安装情况补丁安装情况检查当前主机所安装的Service Pack以及Hotfix (Mbsa)SP版本IE版本，请确认在Hotfix中是否存在IE SP1补丁信息Hotfix信息8帐号和口令帐号和口令多数的系统，口令是进入系统的第一道防

3、线，也是唯一防线；决大多数的口令算法是可靠的；获得口令的方式有多种；口令问题多数出在管理与安全意识的问题上。9口令问题口令问题1：弱口令：弱口令用户趋向于选择容易的口令，即空口令；用户会选择易于记住的东西做口令 Test、Password、guest、username等 名字、生日、简单数字等易于选择该系统的应用 Ntserver、orancle等多数用户的安全意识薄弱10口令问题口令问题2：明文传输：明文传输使用明文密码传送的应用： FTP、POP、Telnet、HTTP、SNMP、Socks Mountd、Rlogin、 NNTP、 NFS、 ICQ、 IRC、 PcAnywhere、VN

4、C等 MS SQL 、Oracle等上诉服务都容易成为攻击对象11口令攻击的方式口令攻击的方式手工猜测； 方法：社会工程学、尝试默认口令自动猜测； 工具：NAT、LC等窃听：登陆、网络截获、键盘监听 工具：Dsniff、Sniffer Pro、IKS等12Windows常见的口令问题常见的口令问题NT/2000的口令问题；用户教育的问题；管理员注意事项。13NT/2000的口令问题的口令问题SAM（Security Accounts Manager) LanManager散列算法（LM） 已被破解，但仍被保留 NT散列算法（NTLM/NTLMv2 ） 强加密、改良的身份认证和安全的会话机制 1

5、4NT/2000的口令问题的口令问题LanManager散列算法的问题 口令都被凑成14个字符； 不足14位的，用0补齐； 全部转化为大写字母； 分成两部分分别加密。举例： Ba01cK28tr BA01CK2和8TR0000 15NT/2000的口令问题的口令问题SAM数据存放位置 %systemroot%system32configsam %systemroot%repairsam._(NT)Rdisk %systemroot%repairsam （2000）ntbackup 注册表HKEY_LOCAL_MACHINESAMSAM 和HKEY_LOCAL_MACHINESECURITYSA

6、M仅对system是可读写的 16NT/2000的口令问题的口令问题获取SAM数据的方法 使系统自举到另外的系统，copy SAM文件； 从repair目录攫取备份的SAM; 窃听口令交换17口令策略口令策略使用密码强度及账户老化、锁定策略；设置最小的密码程度为8个字符，最短密码时间为1-7天，最长密码时间为42天，最小的密码历史轮回为6，失败登陆尝试为3，账户锁定为60分钟等。18用户教育用户教育口令禁忌: 不要选择可以在任何字典或语言中找到的口令 不要选择简单字母组成的口令 不要选择任何指明个人信息的口令 不要选择包含用户名或相似类容的口令 不要选择短于6个字符或仅包含字母或数字的口令 不

7、要选择作为口令范例公布的口令19管理员注意事项管理员注意事项确保每个用户都有一个有效的口令；对用户进行口令教育；使用防止用户选择弱口令的配置与工具；进行口令检查，确保没有弱口令；确保系统与网络设备没有缺省账号和口令；不要在多个机器上使用相同的口令；从不记录也不与他人共享密码；20管理员注意事项管理员注意事项从不将网络登录密码用作其他用途；域Administrators账户和 本地Administrators帐户使用不同的密码；小心地保护在计算机上保存密码的地方；对于特权用户强制30天更换一次口令，一般用户60天更换；使用VPN、SSH、一次性口令等安全机制.Null SessionNull S

8、ession（空连接）连接也称为匿名登陆，这种机制允许匿名用户通过网络获得系统的信息或建立未授权的连接。它常被诸如explorer.exe 的应用来列举远程服务器上的共享。非授权主机可以是网络里所有的主机，即这个主机不需要有访问服务器的任何权限。任何一台主机都可以和服务器之间建立一个NULL session，这个NULL session在服务器里属于everyone组。缺省情况下所有的用户都属于everyone这个组。everyone组没有很大的权力。但是可以利用它获取系统的用户信息。Null Session net use serverIPC$ /user: 此命令用来建立一个空会话 获得目

9、标上的所有用户列表。包括服务器上有哪些组和用户。服务器的安全规则，包括帐户封锁、最小口令长度、口令使用周期、口令唯一性设置等。列出共享目录。读注册表。Null Sessionnet view server 此命令用来查看远程服务器的共享资源 net time server 此命令用来得到一个远程服务器的当前时间。 At server此命令用来得到一个远程服务器的调度作业防御办法防御办法屏蔽屏蔽135-139，445端口（网络属性）端口（网络属性）去除去除NetBios Over TCP/IP(在服务中去除在服务中去除server）修改注册表修改注册表 HKEY-LOCAL_MACHINESYS

10、TEMCurrentControSetControlLSA Value Name: RestrictAnonymous Data Type: REG_DWORD Value: 1（2 Win2000)参考KB articles Q143474, Q143475, Q161372, Q155363， Q246261帐号和口令帐号和口令是否有密码过期策略 密码过期策略包括密码最长存留期和最短存留期，最长存留期是指密码在多久后过期，最短存留期是指在多久后才可以修改密码 开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略：# 密码最长存留期，以天为单位，MAXDAYS天后密码过期，缺省为

11、42天（建议不超过42天）# 密码最短存留期，以天为单位，MINDAYS天后才可以修改密码，缺省为0（建议17天） 帐号和口令帐号和口令检查Guest帐号 Guest帐号是一个容易忽视的帐号，黑客可能修改该帐号权限，并利用该帐号登陆系统 没有激活帐号和口令帐号和口令系统是否使用默认管理员帐号 默认管理员帐号可能被攻击者用来进行密码暴力猜测，建议修改默认管理员用户名。 Administrator用户名已被修改帐号和口令帐号和口令是否存在可疑帐号查看系统是否存在攻击者留下的可疑帐号，或检查主机操作人员遗留下的尚未删除的帐号。 可禁用不需要帐号： 帐号和口令帐号和口令检查系统中是否存在脆弱口令 系统

12、存在脆弱口令帐号可能导致攻击者轻易猜出帐号密码。 强壮口令要求：8位或以上口令长度、大小写字母、数字、特殊符号网络与服务网络与服务查看网络开放端口 查看监听端口网络与服务网络与服务得到网络流量信息 网络与服务网络与服务查看系统已经启动的服务列表 网络与服务网络与服务检查主机端口、进程对应信息 Fport -http:/ 网络与服务网络与服务查看主机是否开放了共享或管理共享未关闭。 文件系统文件系统查看主机磁盘分区类型 服务器应使用具有安全特性的NTFS格式，而不应该使用FAT或FAT32分区。 开始|管理工具|计算机管理|磁盘管理 文件系统文件系统检查特定文件的文件权限 对于一些敏感文件权限需

13、要进行修改，避免文件被恶意用户执行。 仅适用于NTFS分区 文件系统文件系统检查特定目录的权限 在检查中一般检查各个磁盘根目录权限、Temp目录权限 日志审核日志审核检查主机的审核情况 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|审核策略 日志审核日志审核检查系统日志大小、覆盖天数 开始|运行|eventvwr|右键“系统” 可设置更大的空间存储日志如果空间足够，建议手动清除日志安全性增强安全性增强保护注册表，防止匿名访问 默认权限并不限制对注册表的远程访问。只有管理员才应具有对注册表的远程访问权限，因为默认情况下 Windows 2000 注册表编辑工具支持远

14、程访问。 对匿名连接的额外限制 默认情况下，Windows系统允许匿名用户枚举主机帐号列表，获得一些敏感信息。 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项 建议设置为“不允许枚举 SAM 帐号和共享” 安全性增强安全性增强检查是否登陆时间用完后自动注销用户 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项 是否显示上次成功登陆的用户名 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项 安全性增强安全性增强是否允许未登陆系统执行关机命令 开始|运行|gpedit.msc|计算机配置|

15、Windows设置|本地策略|安全选项 仅登陆用户允许使用光盘 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项 系统安全配置系统安全配置补丁安装帐号、口令策略修改网络与服务安全性增强文件系统安全性增强日志审核增强安全性增强补丁安装补丁安装使用Windows update安装最新补丁 手工安装补丁：http:/ 密码长度最小值7 字符密码最长存留期90天密码最短存留期30天帐号锁定计数器5次帐户锁定时间5分钟帐户锁定阀值1分钟网络与服务安全性增强网络与服务安全性增强卸载不需要的服务 开始|设置|控制面板|添加/删除程序|Windows组件，卸载不需要的服务

16、避免未知漏洞给主机带来的风险 网络与服务安全性增强网络与服务安全性增强将暂时不需要开放的服务停止 开始|运行|services.msc|将上述服务的启动类型设置为手动并停止上述服务 避免未知漏洞给主机带来的风险 文件系统安全性增强文件系统安全性增强限制特定执行文件的权限 未对敏感执行文件设置合适的权限 建议禁止Guest组用户访问资源：xcopy.exe wscript.exe cscript.exe net.exe arp.exe edlin.exe ping.exe route.exe posix.exe Rsh.exe atsvc.exe Copy.execacls.exe ipconf

17、ig.exe rcp.exe cmd.exedebug.exe regedt32.exe regedit.exe telnet.exeFinger.exeNslookup.exeRexec.exeftp.exeat.exerunonce.exe nbtstat.exe Tracert.exenetstat.exe 日志审核增强日志审核增强建议安全策略文件修改下述值：对系统事件进行审核，在日后出现故障时用于排查故障。 审核策略更改成功审核登录事件无审核审核对象访问成功, 失败审核过程追踪无审核审核目录服务访问无审核审核特权使用无审核审核系统事件成功, 失败审核帐户登录事件成功, 失败审核帐户管理成功, 失败日志审核增强日志审核增强调整事件日志的大小、覆盖策略增大日志大小，避免由于日志文件容量过小导致日志记录不全 大小覆盖方式应用日志16382K覆盖早于30天的事件安全日志16384K覆盖早于30天的事件系统日志16384K覆盖早于30天的事件安全性增强安全性增强禁止匿名用户连接 HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous”的值为0 ，将该值修改为“1” 可以禁止匿名用户列举主机上所有用户、组、共享资