信息安全技术——Windows系统安全

1、信息安全技术Windows系统安全内容Windows安全原理篇Windows安全管理篇Windows安全原理篇Windows安全原理篇Windows系统的安全架构Windows的安全子系统Windows的密码系统Windows的系统服务和进程Windows的日志系统Windows系统的安全架构 Windows NT的安全包括6个主要的安全元素：Audit（审计）, Administration（管理）, Encryption（加密）, Access Control（访问控制）, User Authentication（用户认证）, Corporate Security Policy（公共安全策

2、略）。Windows NT系统内置支持用户认证、访问控制、管理、审核。Windows系统的安全组件 访问控制的判断（Discretion access control） 按照C2级别的定义，Windows 支持对象的访问控制的判断。这些需求包括允许对象的所有者可以控制谁被允许访问该对象以及访问的方式。 对象重用（Object reuse） 当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有的系统应用访问该资源。 强制登陆（Mandatory log on） 与Windows for Workgroups，Windwows 95，Windows 98不同，Windows2K/ NT要

3、求所有的用户必须登陆，通过认证后才可以访问资源。审核（Auditing） Windows NT 在控制用户访问资源的同时，也可以对这些访问作了相应的记录。对象的访问控制（Control of access to object） Windows NT不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。强制访问控制Windows安全子系统的组件安全标识符（Security Identifiers）: SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。 例： S-1-5-21-1763234323-

4、3212657521-1234321321-500访问令牌（Access tokens）:。 访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。第一项S表示该字符串是SID 第二项是SID的版本号，对于2000来说，这个就是1 然后是标志符的颁发机构（identifier authority），对于2000内的帐户，颁发机构就是NT，值是5 然后表示一系列的子颁发机构，前面几项是标志域的 最后一个标志着域内的帐户和组 Windows安全子系统的组件安全描述符（Security descriptors）： Windows NT中的任何对象的

5、属性都有安全描述符这部分。它保存对象的安全配置。访问控制列表（Access control lists）： 在NT系统中，每当请求一个对象或资源访问时，就会检查它的ACL，确认给用户授予了什么样的权利。每创建一个对象，对应的ACL也会创建。ACL包含一个头部，其中包含有更新版本号、ACL的大小以及它所包含的ACE数量等信息。访问控制项（Access control entries）： 访问控制项（ACE）包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。 当你使用管理工具列出对象的访问权限时，列表的排序是以文字为顺序的，它并不象防火墙的规则

6、那样由上往下的，不过好在并不会出现冲突，拒绝访问总是优先于允许访问的。Windows安全子系统WinlogonGraphical Identification and Authentication DLL (GINA)Local Security Authority(LSA)Security Support Provider Interface(SSPI)Authentication PackagesSecurity support providersNetlogon ServiceSecurity Account Manager(SAM)本地安全认证/授权服务MS03-026MS03-039

7、Windows子系统实现图Winlogon, Local Security Authorit以及Netlogon服务在任务管理器中都可以看到，其他的以DLL方式被这些文件调用。Windows安全子系统Winlogon and Gina: Winlogon调用GINA DLL，并监视安全认证序列。而GINA DLL提供一个交互式的界面为用户登陆提供认证请求。GINA DLL被设计成一个独立的模块，当然我们也可以用一个更加强有力的认证方式（指纹、视网膜）替换内置的GINA DLL。 Winlogon在注册表中查找HKLMSoftwareMicrosoftWindows NTCurrentVersi

8、onWinlogon ，如果存在GinaDLL键，Winlogon将使用这个DLL，如果不存在该键，Winlogon将使用默认值MSGINA.DLLWindows安全子系统本地安全认证（Local Security Authority）：调用所有的认证包，检查在注册表重新找回本地组的SIDs和用户的权限。创建用户的访问令牌。管理本地安装的服务所使用的服务账号。储存和映射用户权限。管理审核的策略和设置。管理信任关系。Windows安全子系统安全支持提供者的接口（Security Support Provide Interface）： 微软的Security Support Provide Int

9、erface很简单地遵循RFC 2743和RFC 2744的定义，提供一些安全服务的API，为应用程序和服务提供请求安全的认证连接的方法。认证包（Authentication Package）：认证包可以为真实用户提供认证。通过GINA DLL的可信认证后，认证包返回用户的SIDs给LSA，然后将其放在用户的访问令牌中。Windows安全子系统安全支持提供者（Security Support Provider）： 安全支持提供者是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，Windows NT安装了以下三种：Msnsspc.dll：微软网络挑战/反应认证模块Msapsspc.d

10、ll：分布式密码认证挑战/反应模块，该模块也可以在微软网络中使用Schannel.dll：该认证模块使用某些证书颁发机构提供的证书来进行验证，常见的证书机构比如Verisign。这种认证方式经常在使用SSL（Secure Sockets Layer）和PCT（Private Communication Technology）协议通信的时候用到。Windows安全子系统网络登陆（Netlogon）：。安全账号管理者（Security Account Manager）： 安全账号管理者，也就是我们经常所说的SAM，它是用来保存用户账号和口令的数据库。Windows 2000 本地登陆过程 GINA

11、LSASSPIKerberosNTLMWindows的密码系统 windows NT及win2000中对用户帐户的安全管理使用了安全帐号管理器(security account manager)的机制,安全帐号管理器对帐号的管理是通过安全标识进行的，安全标识在帐号创建时就同时创建，一旦帐号被删除，安全标识也同时被删除。安全标识是唯一的，即使是相同的用户名，在每次创建时获得的安全标识都时完全不同的。Windows的密码系统安全账号管理器的具体表现就是%SystemRoot%system32configsam文件。 在正常设置下仅对system是可读写的。用户权利、权限和共享权限 网络安全性依赖于

12、给用户或组授予的能力：权力:在系统上完成特定动作的授权，一般由系统指定给内置组，但也可以由管理员将其扩大到组和用户上。权限:可以授予用户或组的文件系统能力。共享:用户可以通过网络使用的文件夹。Windows系统的用户权利 权利适用于对整个系统范围内的对象和任务的操作，通常是用来授权用户执行某些系统任务。当用户登录到一个具有某种权利的帐号时，该用户就可以执行与该权利相关的任务。 下面列出了用户的特定权利：Access this computer from network 可使用户通过网络访问该计算机。Add workstation to a domain 允许用户将工作站添加到域中。Backup

13、 files and directories 授权用户对计算机的文件和目录进行备份。Change the system time 用户可以设置计算机的系统时钟。Load and unload device drive 允许用户在网络上安装和删除设备的驱动程序。 Restore files and directories 允许用户恢复以前备份的文件和目录。Shutdown the system 允许用户关闭系统。Windows系统的用户权限RWXDPOWindows系统的用户权限权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作， 指定允许哪些用户可以使用这些对象，以及如何使用（如把某

14、个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是： Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O)。下表显示了这些任务是如何与各种权限级 别相关联的。Windows系统的用户权限目录权限权限级别RXWDPO允许的用户动作No Access用户不能访问该目录ListRX可以查看目录中的子目录和文件名，也可以进入其子目录ReadRX具有List权限，用户可以读取目录中的文件和 运行目录中的应用程序AddXW用户可以添加文件和

15、子录Add and ReadRXW具有Read和Add的权限ChangeRXWD有Add和Read的权限， 另外还可以更改文件的内容，删除文件和子目录Full controlRXWDPO有Change的权限，另外用户可以更改权限和获取目录的所有权 如果对目录有Execute(X)权限，表示可以穿越目录，进入其子目。Windows系统的用户权限文件权限权限级别RXWDPO允许的用户动作No Access用户不能访问该文件ReadRX用户可以读取该文件，如果是应用程序可以运行ChangeRXWD有Read的权限，还可用修和删除文件Full controlRXWDPO包含Change的权限，还可以更

16、改权限和获取文件的有权Windows系统的共享权限共享只适用于文件夹（目录），如果文件夹不是共享的，那么在网 络上就不会有用户看到它，也就更不能访问。网络上的绝大多数服务器 主要用于存放可被网络用户访问的文件和目录，要使网络用户可以访问 在NT Server服务器上的文件和目录，必须首先对它建立共享。共享权 限建立了通过网络对共享目录访问的最高级别。 Windows系统的共享权限下表列出从最大限制到最小限制的共享权限。共享权限共享权限级别允许的用户动作No Access(不能访问)禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名，改变共享Read(读)目录的子目录，还允许查看文

17、件的数据 和运行应用程序Change(更改)具有“读”权限中允许的操作，另外允许往目录中添加文件和子目录，更改文数据，删除文件和子目录Full control(完全控制)具有“更改”权限中允许的操作，另外还允许更改权限(只适用于NTFS卷)和获所有权(只适用于NTFS卷)共享点一定要小心地分配。因为权限仅仅是分配给共享点的，任何共享点下的文件：或目录都足以和共享点本身相同的权限被访问的。Windows的系统服务 单击“开始”，指向“设置”，然后单击“控制面板”。双击“管理工具”，然后双击“服务”。在列表框中显示的是系统可以使用的服务 。 Windows 2k下可以在命令行中输入services

18、.msc打开服务列表。Windows的系统服务服务包括三种启动类型：自动，手动，已禁用。自动 - Windows 2000启动的时候自动加载服务 手动 - Windows 2000启动的时候不自动加载服务，在需要的时候手动开启 已禁用 - Windows 2000启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置双击需要进行配置的服务，出现下图所示的属性对话框：Windows的系统服务在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService 底下每一笔 服务项目子项都有一个 Start 数值, 这个数值的内

19、容依照每一个服务项目的状 况而又有不同。Start 数值内容所记录的就是服务项目驱动程式该在何时被加载。目 前微软对 Start 内容的定义有 0、1、2、3、4 等五种状态, 0、1、2 分别代表 Boot、 System、Auto Load 等叁种意义。而 Start 数值内容为 3 的服务项目代表让使用 者以手动的方式载入(Load on demand), 4 则是代表停用的状态, 也就是禁用。 Windows的系统进程基本的系统进程smss.exe Session Manager 会话管理csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.e

20、xe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) svchost.exe 包含很多系统服务 spoolsv.exe 将文件加载到内存中以便迟后打印。(系统服务) explorer.exe 资源管理器 internat.exe 输入法 Windows的 Log系统Windows有三种类型的事件日志：系统日志 跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。应用程序日志 跟踪应用程序关联的事件，比如应用程序产生的象装载DLL（动态链接库）失败的信息将出现在日志中。安全日

21、志 跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意：安全日志的默认状态是关闭的。Windows的 Log系统日志在系统的位置是：%SYSTEMROOT%system32configSysEvent.Evt%SYSTEMROOT%system32configSecEvent.Evt%SYSTEMROOT%system32configAppEvent.EvtLOG文件在注册表的位置是：HKEY_LOCAL_MACHINESystemCurrent Control SetServicesEventlog Windows的应用系统日志Internet信息服务FTP日志默认位置： %sy

22、stemroot%system32logfilesmsftpsvc1，默认每天一个日志 Internet信息服务WWW日志默认位置：%systemroot%system32logfilesw3svc1，默认每天一个日志 FTP日志和WWW日志文件名通常为ex（年份）（月份）（日期），例如ex001023，就是2000年10月23日产生的日志，用记事本就可直接打开Scheduler服务日志默认位置： %systemroot%schedlgu.txt FTP日志分析FTP日志分析，如下例： #Software: Microsoft Internet Information Services 5.0

23、（微软IIS5.0） #Version: 1.0 （版本1.0） #Date: 20001023 03:11:55 （服务启动时间日期） 03:11:55 1USER administator 331（IP地址为用户名为administator试图登录） 03:11:58 1PASS 530（登录失败） 03:12:04 1USER nt 331（IP地址为用户名为nt的用户试图登录） 03:12:06 1PASS 530（登录失败） 03:12:32 1USER administrator 331（IP地址为用户名为administrator试图登录） 03:12:34 1PASS 230（

24、登录成功） 03:12:41 1MKD nt 550（新建目录失败） 03:12:45 1QUIT 550（退出FTP程序） 从日志里就能看出IP地址为的用户一直试图登录系统，换了3次用户名和密码才成功，管理员立即就可以得知管理员的入侵时间IP地址以及探测的用户名。HTTP的日志分析HTTP日志分析，如下例： #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 20001023 03:09:31 #Fields: date time cip csusername sip sport csmeth

25、od csuristem csuriquery scstatus cs(UserAgent) 20001023 03:09:31 6 7 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 20001023 03:09:34 6 7 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 通过分析第六行，可以看出2000年10月23日，IP地址为6的用户通过访问IP地址为7机器的80端

26、口，查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt，有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间 Windows安全管理篇Windows安全管理篇Windows系统安装系统安全检查系统安全配置IIS安全配置SQL Server口令和补丁Windows系统安装使用正版可靠安装盘将系统安装在NTFS分区上系统和数据要分开存放在不同的磁盘最小化安装服务安全补丁合集和相关的Hotfix装其它的服务和应用程序补丁每次在安装其它程序之后，重新应用安全补丁防止病毒进行文件系统

27、安全设置最少建立两个分区，一个系统分区，一个应用程序分区，因为微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。NT安装SP6a和相关的HotfixWIN2K安装SP4和相关的HotfixWINXP安装SP2和相关的HotfixWIN2003安装相关的Hotfix系统安全检查系统信息补丁安装情况帐号和口令网络与服务文件系统日志审核安全性增强系统信息检查服务器是否安装多系统，多系统无法保障文件系统的安全 从“operating systems”字段可以查到允许启动的系统列表 系统信息查看主机路由信息 补丁安装情况检查当前

28、主机所安装的Service Pack以及Hotfix (Mbsa)SP版本IE版本，请确认在Hotfix中是否存在IE SP1补丁信息Hotfix信息帐号和口令多数的系统，口令是进入系统的第一道防线，也是唯一防线；决大多数的口令算法是可靠的；获得口令的方式有多种；口令问题多数出在管理与安全意识的问题上。43口令问题1：弱口令用户趋向于选择容易的口令，即空口令；用户会选择易于记住的东西做口令Test、Password、guest、username等名字、生日、简单数字等易于选择该系统的应用Ntserver、orancle等多数用户的安全意识薄弱44口令问题2：明文传输使用明文密码传送的应用：FT

29、P、POP、Telnet、HTTP、SNMP、SocksMountd、Rlogin、 NNTP、 NFS、ICQ、 IRC、 PcAnywhere、VNC等MS SQL 、Oracle等上诉服务都容易成为攻击对象45口令攻击的方式手工猜测；方法：社会工程学、尝试默认口令自动猜测；工具：NAT、LC等窃听：登陆、网络截获、键盘监听工具：Dsniff、Sniffer Pro、IKS等46Windows常见的口令问题NT/2000的口令问题；用户教育的问题；管理员注意事项。47NT/2000的口令问题SAM（Security Accounts Manager)LanManager散列算法（LM）已被

30、破解，但仍被保留NT散列算法（NTLM/NTLMv2 ）强加密、改良的身份认证和安全的会话机制 自动降级48NT/2000的口令问题LanManager散列算法的问题口令都被凑成14个字符；不足14位的，用0补齐；全部转化为大写字母；分成两部分分别加密。举例：Ba01cK28tr BA01CK2和8TR0000 49NT/2000的口令问题SAM数据存放位置%systemroot%system32configsam%systemroot%repairsam._(NT)Rdisk%systemroot%repairsam （2000）ntbackup注册表HKEY_LOCAL_MACHINESA

31、MSAM 和HKEY_LOCAL_MACHINESECURITYSAM仅对system是可读写的 50NT/2000的口令问题获取SAM数据的方法使系统自举到另外的系统，copy SAM文件；从repair目录攫取备份的SAM;窃听口令交换51口令策略使用密码强度及账户老化、锁定策略；设置最小的密码程度为8个字符，最短密码时间为1-7天，最长密码时间为42天，最小的密码历史轮回为6，失败登陆尝试为3，账户锁定为60分钟等。52用户教育口令禁忌: 不要选择可以在任何字典或语言中找到的口令 不要选择简单字母组成的口令 不要选择任何指明个人信息的口令 不要选择包含用户名或相似类容的口令 不要选择短于

32、6个字符或仅包含字母或数字的口令 不要选择作为口令范例公布的口令53管理员注意事项确保每个用户都有一个有效的口令；对用户进行口令教育；使用防止用户选择弱口令的配置与工具；进行口令检查，确保没有弱口令；确保系统与网络设备没有缺省账号和口令；不要在多个机器上使用相同的口令；从不记录也不与他人共享密码；54管理员注意事项从不将网络登录密码用作其他用途；域Administrators账户和 本地Administrators帐户使用不同的密码；小心地保护在计算机上保存密码的地方；对于特权用户强制30天更换一次口令，一般用户60天更换；使用VPN、SSH、一次性口令等安全机制.55Null Session

33、Null Session（空连接）连接也称为匿名登陆，这种机制允许匿名用户通过网络获得系统的信息或建立未授权的连接。它常被诸如explorer.exe 的应用来列举远程服务器上的共享。非授权主机可以是网络里所有的主机，即这个主机不需要有访问服务器的任何权限。任何一台主机都可以和服务器之间建立一个NULL session，这个NULL session在服务器里属于everyone组。缺省情况下所有的用户都属于everyone这个组。everyone组没有很大的权力。但是可以利用它获取系统的用户信息。Null Sessionnet use serverIPC$ /user:此命令用来建立一个空会话

34、 获得目标上的所有用户列表。包括服务器上有哪些组和用户。服务器的安全规则，包括帐户封锁、最小口令长度、口令使用周期、口令唯一性设置等。列出共享目录。读注册表。Null Sessionnet view server此命令用来查看远程服务器的共享资源 net time server此命令用来得到一个远程服务器的当前时间。 At server此命令用来得到一个远程服务器的调度作业防御办法屏蔽135-139，445端口（网络属性）去除NetBios Over TCP/IP(在服务中去除server）修改注册表HKEY-LOCAL_MACHINESYSTEMCurrentControSetControl

35、LSA Value Name: RestrictAnonymous Data Type: REG_DWORD Value: 1（2 Win2000)参考KB articles Q143474, Q143475, Q161372, Q155363， Q246261第六节 入侵实例通过NetBIOS入侵139端口是NetBIOSSession端口，用来进行文件和打印共享，是NT潜在的危险。1、用NBTSTAT命令，用来查询NetBIOS信息。Cnbtstat A x.x.x.x2、用net use建立连接c:net use x.x.x.xipc$ “密码”/user:”用户名”c:net view

36、 x.x.x.x c:net use x: x.x.x.xc$c:dir x: /p注意：通过IPC$连接会在Eventlog中留下记录。copy winshell.exe admin$system32at 11:55 winshell.exe 54088telnet 54088帐号和口令是否有密码过期策略 密码过期策略包括密码最长存留期和最短存留期，最长存留期是指密码在多久后过期，最短存留期是指在多久后才可以修改密码 开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略：# 密码最长存留期，以天为单位，MAXDAYS天后密码过期，缺省为42天（建议不超过42天）# 密码最短存留期

37、，以天为单位，MINDAYS天后才可以修改密码，缺省为0（建议17天） 帐号和口令检查Guest帐号 Guest帐号是一个容易忽视的帐号，黑客可能修改该帐号权限，并利用该帐号登陆系统 没有激活帐号和口令系统是否使用默认管理员帐号 默认管理员帐号可能被攻击者用来进行密码暴力猜测，建议修改默认管理员用户名。 Administrator用户名已被修改帐号和口令是否存在可疑帐号查看系统是否存在攻击者留下的可疑帐号，或检查主机操作人员遗留下的尚未删除的帐号。 可禁用不需要帐号： 帐号和口令检查系统中是否存在脆弱口令 系统存在脆弱口令帐号可能导致攻击者轻易猜出帐号密码。 强壮口令要求：8位或以上口令长度、

38、大小写字母、数字、特殊符号网络与服务查看网络开放端口 查看监听端口网络与服务得到网络流量信息 网络与服务检查主机端口、进程对应信息 Fport -http:/ 网络与服务查看系统已经启动的服务列表 网络与服务查看主机是否开放了共享或管理共享未关闭。 文件系统查看主机磁盘分区类型 服务器应使用具有安全特性的NTFS格式，而不应该使用FAT或FAT32分区。 开始|管理工具|计算机管理|磁盘管理 文件系统检查特定文件的文件权限 对于一些敏感文件权限需要进行修改，避免文件被恶意用户执行。 仅适用于NTFS分区 文件系统检查特定目录的权限 在检查中一般检查各个磁盘根目录权限、Temp目录权限 日志审核

39、检查主机的审核情况 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|审核策略 日志审核检查系统日志大小、覆盖天数 开始|运行|eventvwr|右键“系统” 可设置更大的空间存储日志如果空间足够，建议手动清除日志安全性增强保护注册表，防止匿名访问 默认权限并不限制对注册表的远程访问。只有管理员才应具有对注册表的远程访问权限，因为默认情况下 Windows 2000 注册表编辑工具支持远程访问。 对匿名连接的额外限制 默认情况下，Windows系统允许匿名用户枚举主机帐号列表，获得一些敏感信息。 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策

40、略|安全选项 建议设置为“不允许枚举 SAM 帐号和共享” 安全性增强检查是否登陆时间用完后自动注销用户 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项 是否显示上次成功登陆的用户名 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项 安全性增强是否允许未登陆系统执行关机命令 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项 仅登陆用户允许使用光盘 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项 系统安全配置补丁安装帐号、口令策略修改网络与服务安全性

41、增强文件系统安全性增强日志审核增强安全性增强补丁安装使用Windows update安装最新补丁 手工安装补丁：http:/ 密码长度最小值7 字符密码最长存留期90天密码最短存留期30天帐号锁定计数器5次帐户锁定时间5分钟帐户锁定阀值1分钟网络与服务安全性增强卸载不需要的服务 开始|设置|控制面板|添加/删除程序|Windows组件，卸载不需要的服务 避免未知漏洞给主机带来的风险 网络与服务安全性增强将暂时不需要开放的服务停止 开始|运行|services.msc|将上述服务的启动类型设置为手动并停止上述服务 避免未知漏洞给主机带来的风险 文件系统安全性增强限制特定执行文件的权限 未对敏感执

42、行文件设置合适的权限 建议禁止Guest组用户访问资源：xcopy.exe wscript.exe cscript.exe net.exe arp.exe edlin.exe ping.exe route.exe posix.exe Rsh.exe atsvc.exe Copy.execacls.exe ipconfig.exe rcp.exe cmd.exedebug.exe regedt32.exe regedit.exe telnet.exeFinger.exeNslookup.exeRexec.exeftp.exeat.exerunonce.exe nbtstat.exe Tracer

43、t.exenetstat.exe 日志审核增强建议安全策略文件修改下述值：对系统事件进行审核，在日后出现故障时用于排查故障。 审核策略更改成功审核登录事件无审核审核对象访问成功, 失败审核过程追踪无审核审核目录服务访问无审核审核特权使用无审核审核系统事件成功, 失败审核帐户登录事件成功, 失败审核帐户管理成功, 失败日志审核增强调整事件日志的大小、覆盖策略增大日志大小，避免由于日志文件容量过小导致日志记录不全 大小覆盖方式应用日志16382K覆盖早于30天的事件安全日志16384K覆盖早于30天的事件系统日志16384K覆盖早于30天的事件安全性增强禁止匿名用户连接 HKLMSYSTEMCur

44、rentControlSetControlLsa“restrictanonymous”的值为0 ，将该值修改为“1” 可以禁止匿名用户列举主机上所有用户、组、共享资源 删除主机管理共享 HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters，增加“Autoshareserver”项，并设置该值为“1” 删除主机因为管理而开放的共享 安全性增强禁止匿名用户连接 HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous”的值为0 ，修改为“1” 可以禁止匿名用户列举主机上所有用户、组、

45、共享资源 限制Guest用户权限 禁止Guest帐号本地登录和网络登录的权限。 避免Guest帐号被黑客激活作为后门 IIS服务安全配置禁用或删除所有的示例应用程序 示例只是示例；在默认情况下，并不安装它们，且从不在生产服务器上安装。请注意一些示例安装，它们只可从 http:/localhost 或 访问；但是，它们仍应被删除。 下面 列出一些示例的默认位置。 示例 虚拟目录 位置IIS 示例 IISSamples c :inetpubiissamplesIIS 文档 IISHelp c:winnthelpiishelp数据访问 MSADC c:program filescommon filessystemmsadcIIS服务安全配置启用或删除不需要的 COM 组件 某些 COM 组件不是多数应用程序所必需的，应加以删除。特别是，应考虑禁用文件系统对象组件，但是要注意这将也会删除 Dictionary 对象。切记某些程序可能需要您禁用的组件。例如，Site Server 3.0 使用 File System Object。以下命令将禁用 File System