WINDOWS网络安全ppt课件

1、Windows系统平安设置初步一、系统的安装1、不要选择从网络上安装 虽然微软支持在线安装，但这绝对不平安。在系统未全部安装完之前不要连入网络，特别是Internet！甚至不要把一切硬件都衔接好来安装。由于Windows 2000安装时，在输入用户管理员账号“Administrator的密码后，系统会建立一个“ADMIN的共享账号，但是并没有用刚输入的密码来维护它，这种情况不断会继续到计算机再次启动。在此期间，任何人都可以经过“ADMIN进入系统；同时，安装完成，各种效力会马上自动运转，而这时的效力器还四处是破绽，非常容易从外部侵入。 2、要选择NTFS格式来分区 最好一切的分区都是NTFS格

2、式，由于NTFS格式的分区在平安性方面更加有保证。就算其他分区采用别的格式(如FAT32)，但至少系统所在的分区中应是NTFS格式。 另外，运用程序不要和系统放在同一个分区中，以免攻击者利用运用程序的破绽(如微软的IIS的破绽)导致系统文件的走漏，甚至让入侵者远程获取管理员权限。 3、系统版本的选择 WIN2000有各种言语的版本，对于我们来说，可以选择英文版或简体中文版，我剧烈建议：在言语不成为妨碍的情况下，请一定运用英文版。要知道，微软的产品是以Bug & Patch而著称的，中文版的Bug远远多于英文版，而补丁普通还会迟至少半个月也就是说普通微软公布了破绽后他的机子还会有半个月处于无维护

3、情况 4、组件的定制 win2000在默许情况下会安装一些常用的组件，但是正是这个默许安装是很危险的，他应该确切的知道他需求哪些效力，而且仅仅安装他确实需要的效力，根据平安原那么，最少的效力+最小的权限=最大的平安。典型的WEB效力器需求的最小组件选择是：只安装IIS的Com Files，IIS Snap-In，WWW Server组件。假设他确实需求安装其他组件，请慎重，特别是：Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)这几个危险效力。 5、分区和逻辑盘的分配 建议最少

4、建立两个分区，一个系统分区，一个运用程序分区，这是由于，微软的IIS经常会有走漏源码/溢出的破绽，假设把系统和IIS放在同一个驱动器会导致系统文件的走漏甚至入侵者远程获取ADMIN。引荐的平安配置是建立三个逻辑驱动器，第一个大于2G，用来装系统和重要的日志文件，第二个放IIS，第三个放FTP，这样无论IIS或FTP出了平安破绽都不会直接影响到系统目录和系统文件。 IIS和FTP是对外效力的，比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上程序并从IIS中运转。这个能够会导致程序开发人员和编辑的苦恼 6、安装杀毒软件。 杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序，因

5、此一定要运转杀毒程序并把它设为开机自动运转，并留意经常晋级病毒库。 7、安装防火墙。 8、安装系统补丁。 到微软网站下载最新的补丁程序：经常访问微软和一些平安站点，下载最新的Service Pack和破绽补丁，是保证效力器长久平安的独一方法。 9、安装顺序的选择 首先，何时接入网络：Win2000在安装时的ADMIN$的共享的破绽；同时，只需安装一完成，各种效力就会自动运转，而这时的效力器是满身破绽，非常容易进入的，因此，在完全安装并配置好Win2000 SERVER之前，一定不要把主机接入网络。其次，补丁的安装：补丁的安装应该在一切运用程序安装完之后由于补丁程序往往要交换/修正某些系统文件，

6、假设先安装补丁再安装运用程序有能够导致补丁不能起到应有的效果，例如：IIS的HotFix就要求每次更改IIS的配置都需求安装。 二、系统的平安设置 1、用户平安设置 1)、禁用Guest账号 在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。 2)、限制不用要的用户 去掉一切的Duplicate User用户、测试用户、共享用户等等。用户组战略设置相应权限，并且经常检查系统的用户，删除曾经不再运用的用户。 3)、创建两个管理员账号 创建一个普通权限用户用来收信以及处置一些日常事物，另一个拥有Administrators权限的用户只在需求的时候运用。 4

7、)、把系统Administrator账号改名 大家都知道，Windows 2000的Administrator用户是不能被停用的，这意味着他人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。 5)、创建一个圈套用户 什么是圈套用户?即创建一个名为“Administrator的本地用户，把它的权限设置成最低，什么事也干不了，加上一个超越10位的超级复杂密码。这样可以让想入侵的人渐渐忙一段时间。 6)、把共享文件的权限从Everyone组改成授权用户不要把共享文件的用户设置成“Everyone组，包括打印共享，默许的属性就是“Everyone组的。 7)、

8、开启用户战略 不建议运用用户战略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。 8)、不让系统显示上次登录的用户名 可选翻开注册表编辑器并找到注册表项HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName，把键值改成1 9)、系统账号/共享列表Win2000的默许安装允许任何用户经过空用户得到系统一切账号/共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到他的用户列表并运用暴力法破解用户密码。可以经过更改注册表Local_Machi

9、neSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来制止空衔接。还可以在win2000的本地平安战略假设是域效力器就是在域效力器平安和域平安战略中就有这样的选项RestrictAnonymous匿名衔接的额外限制，这个选项有三个值： 0：None. Rely on default permissions无，取决于默许的权限 1：Do not allow enumeration of SAM accounts and shares不允许枚举SAM帐号和共享 2：No access without explicit anonymous

10、 permissions没有显式匿名权限就不允许访问 0这个值是系统默许的，什么限制都没有，远程用户可以知道他机器上一切的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等，对效力器来说这样的设置非常危险。 1这个值是只允许非NULL用户存取SAM账号信息和共享信息。 2这个值是在win2000中才支持的，假设不想有任何共享，就设为2。普通引荐设为1。2、口令平安设置 1)、运用平安密码 要留意密码的复杂性，还要记住经常改密码。 2)、开启密码战略 留意运用密码战略，如启用密码复杂性要求，设置密码长度最小值为8位，设置强迫密码历史为5次，时间为42天。 3、

11、系统平安设置 1)、利用Windows 2000的平安配置工具来配 置平安战略：微软提供了一套基于MMC管理控制台平安配置和分析工具，利用它们他可以很方便地配置他的效力器以满足他的要求。详细内容请参考微软主页：详细内容请参考微软主页：microsoft/windows2000/techinfo/ howitworks/security/sctoolset.asp2)、平安日志：Win2000的默许安装是不开任何平安审核的！可以到本地平安战略-审核战略中翻开相应的审核，引荐的审核是：账户管理 胜利 失败登录事件 胜利 失败 对象访问 失败 战略更改 胜利 失败特权运用 失败 系统事件 胜利 失败

12、目录效力访问 失败 账户登录事件 胜利 失败 审核工程少的缺陷是万一他想看发现没有记录那就一点都没辙；审核工程太多不仅会占用系统资源而且会导致他根本没空去看，这样就失去了审核的意义。与之相关的是： 在账户战略-密码战略中设定： 密码复杂性要求 启用 密码长度最小值 8位 强迫密码历史 5次 最长存留期 42天在账户战略-账户锁定战略中设定： 账户锁定 5次错误登录 锁定时间 20分钟复位锁定计数 20分钟 同样，Terminal Service的平安日志默许也是不开的，我们可以在Terminal Service Configration远程效力配置-权限-高级中配置平安审核，普通来说只需记录登

13、录、注销事件就可以了。 3)、目录和文件权限： 为了控制好效力器上用户的权限，同时也为了预防以后能够的入侵和溢出，我们还必需非常小心地设置目录和文件的访问权限，NT的访问权限分为：读取、写入、读取及执行、修正、列目录、完全控制。在默许的情况下，大多数的文件夹对一切用户Everyone这个组是完全敞开的Full Control，他需求根据运用的需求进展权限重设。 在进展权限控制时，请记住以下几个原那么： 1权限是累计的：假设一个用户同时属于两个组，那么他就有了这两个组所允许的一切权限； 2回绝的权限要比允许的权限高回绝战略会先执行假设一个用户属于一个被回绝访问某个资源的组，那么不论其他的权限设置

14、给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地运用回绝，任何一个不当的回绝都有能够呵斥系统无法正常运转； 3文件权限比文件夹权限高4利用用户组来进展权限控制是一个成熟的系统管理员必需具有的优良习惯之一； 5仅给用户真正需求的权限，权限的最小化原那么是平安的重要保证；4)、制止建立空衔接IPC默许情况下，任何用户都可经过空衔接连上效力器，进而枚举出账号，猜测密码。我们可以经过修正注册表来制止建立空衔接：即把“ Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成“1即可。假设运用“2能够会呵斥他

15、的一些效力无法启动，如SQL Server 。此外，平安和运用在很多时候是矛盾的。因此，他需求在其中找到平衡点，假设平安原那么妨碍了系统运用，那么这个平安原那么也不是一个好的原那么 5)、制止管理共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters项对于效力器，添加键值“AutoShareServer，类型为“REG_DWORD，值为“0。对于客户机，添加键值“AutoShareWks，类型为“REG_DWORD，值为“0。(封锁server效力) 6)、还有一个就是端口，端口是NetBIOSSess

16、ion端口，用来文件和打印共享，留意的是运行samba的unix机器也开放了端口，功能一样。以前流光2000用来判别对方主机类型不太准确，估计就是端口开放既以为是NT机，如今好了。 封锁口听方法是在“网络和拨号衔接中“本地衔接中选取“Internet协议(TCP/IP)属性，进入“高级TCP/IP设置“WINS设置里面有一项“禁用TCP/IP的NETBIOS，打勾就封锁了端口。(可以在各项效力属性设置中设为“禁用)7)、运用组战略，IP战略8)、防备SYN攻击运用SYN淹没攻击维护相关的值项在HKLMSYSTEMCurrentControlSetServiceTcpipParameters下。

17、1DWORD：SynAttackProtect：定义了能否允许SYN淹没攻击维护，值1表示允许起用WIN2000的SYN淹没攻击维护。2DWORD：TcpMaxConnectResponseRetransmissions：定义了对于衔接恳求回应包的重发次数。值为1，那么SYN淹没攻击不会有效果，但是这样会呵斥衔接恳求失败几率的增高。SYN淹没攻击维护只需在该值=2时才会被启用，默许值为3。上边两个值定义能否允许SYN淹没攻击维护，下面三个那么定义了激活SYN淹没攻击维护的条件，满足其中之一，那么系统自动激活SYN淹没攻击维护。 3) DWORD：TcpMaxHalfOpen：定义可以处于SYN

18、_RECEIVED形状的TCP衔接的数目。默许值100。 4TcpMaxHalfOpenRetried：定义在重新发送衔接恳求后，依然处于SYN_RECEIVED形状的TCP衔接的数目。默许值80。5 TcpMaxPortsExhausted：定义系统回绝衔接恳求的次数。默许值5。 减小syn-ack包的呼应时间。HKLMSYSTEMCurrentControlSetServicesTcpipParametersTcpMaxConnectResponseRetransmissions定义了重发SYN-ACK包的次数。增大NETBT的衔接块添加幅度和最大数器。NETBT运用端口。HKLMSYST

19、EMCurrentControlSetServicesNetBtParametersBacklogIncrement默许值为3，最大20，最小1。HKLMSYSTEMCurrentControlSetServicesNetBtParametersMaxConnBackLog默许值为1000，最大可取40000 动态配置Backlog。相关的值项在HKLMSYSTEMCurrentControlSetServiceAFDParameters下1) DWORD：EnableDynamicBacklog：定义能否允许动态Backlog，默以为0，1为允许。2) DWORD：MinimumDynami

20、cBacklog：定义动态Backlog分配的未运用的自在衔接的最小数目。默许值为0，建议设为20。3) DWORD：MaximumDynamicBacklog：定义最大“准衔接数目。大小取决于内存的大小，普通每32M最大可以添加5000个。 4) DWORD：DynamicBacklogGrowthDelta：定义每次添加的自在衔接数目，建议设置为10。 10)、预防DoS： 在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以防御一定强度的DoS攻击 SynAttackProtect REG_DWORD 2 Enabl

21、ePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 011)、防止ICMP重定向报文的攻击HKLMSYSTEMCurrentControlSetServicesTcpipParametersEnableICMPRedirects REG_DWORD 0 x0(默许值为0 x

22、1)该参数控制Windows 2000能否会改动其路由表以呼应网络设备(如路由器)发送给它的ICMP重定向音讯，有时会被利用来干坏事。Win2000中默许值为1，表示呼应ICMP重定向报文。 12)、制止呼应ICMP路由通告报文HKLMSYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterfacePerformRouterDiscovery REG_DWORD 0 x0(默许值为0 x2)“ICMP路由公告功能可呵斥他人计算机的网络衔接异常,数据被窃听，计算机被用于流量攻击等严重后果。此问题曾导致校园网某些局域网大面积，长时间

23、的网络异常。建议封锁呼应ICMP路由通告报文.Win2000中默许值为2，表示当DHCP发送路由器发现选项时启用 13)、设置生存时间HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersDefaultTTL REG_DWORD 0-0 xff(0-255 十进制,默许值128)指定传出IP数据包中设置的默许生存时间(TTL)值。TTL决议了IP数据包在到达目的前在网络中生存的最大时间。它实践上限定了IP数据包在丢弃前允许经过的路由器数量.有时利用此数值来探测远程主机操作系统。 14)、不支持IGMP协议HKLMSYST

24、EMCurrentControlSetServicesTcpipParametersIGMPLevel REG_DWORD 0 x0(默许值为0 x2)记得Win9x下有个bug，就是用可以用IGMP使他人蓝屏，修正注册表可以修正这个bug。Win2000虽然没这个bug了，但IGMP并不是必要的，因此照样可以去掉。改成0后用route print将看不到那个厌恶的项了。 15)、设置arp缓存老化时间设置HKLMSYSTEMCurrentControlSetServices:TcpipParametersArpCacheLife REG_DWORD 0-0 xFFFFFFFF(秒数,默许值为

25、120秒)ArpCacheMinReferencedLife REG_DWORD 0-0 xFFFFFFFF(秒数,默许值为600)假设ArpCacheLife大于或等于ArpCacheMinReferencedLife，那么援用或未援用的ARP缓存项在ArpCacheLife秒后到期。假设ArpCacheLife小于ArpCacheMinReferencedLife，未援用项在ArpCacheLife秒后到期，而援用项在ArpCacheMinReferencedLife秒后到期。每次将出站数据包发送到项的IP地址时，就会援用ARP缓存中的项。 16)、制止死网关监测技术HKLMSYSTEMC

26、urrentControlSetServices:TcpipParametersEnableDeadGWDetect REG_DWORD 0 x0(默许值为ox1)假设他设置了多个网关，那么他的机器在处置多个衔接有困难时，就会自动改用备份网关，有时候这并不是一项好主意，建议制止死网关监测。 17)、不支持路由功能HKLMSYSTEMCurrentControlSetServices:TcpipParametersIPEnableRouter REG_DWORD 0 x0(默许值为0 x0)把值设置为0 x1可以使Win2000具备路由功能，由此带来不用要的问题。 18)、做NAT时放大转换的对

27、外端口最大值HKLMSYSTEMCurrentControlSetServices:TcpipParametersMaxUserPort REG_DWORD 5000-65534(十进制)(默许值0 x8-十进制为5000)当运用程序从系统恳求可用的用户端口数时，该参数控制所运用的最大端口数。正常情况下，短期端口的分配数量为1024-5000。将该参数设置到有效范围以外时，就会运用最接近的有效数值(5000或65534)。运用NAT时建议把值放大点 19)、修正MAC地址HKLMSYSTEMCurrentControlSetControlClass找到右窗口的阐明为网卡“的目录，比如说是4D3

28、6E972-E325-11CE-BFC1-08002BE10318展开之，在其下0000,0001,0002.的分支中找到DriverDesc“的键值为他网卡的阐明，比如说DriverDesc“的值为Intel(R) 82559 Fast Ethernet LAN on Motherboard“然后在右窗口新建一字符串值，名字为Networkaddress“，内容为他想要的MAC值，比如说是004040404040“然后重起计算机，ipconfig /all查看。 20)、制止光盘的自动运转功能Windows 2000的光盘的自动运转功能也是系统平安的隐患，光盘中只需存在autoruninf文

29、件，那么系统会自动试图执行文件中open字段后的文件途径(市场上曾经出现了破解屏严密码的光盘，假设不制止光盘的自动运转功能，以上所做的设置都将是白费)，步骤为：展开HKEYLOCALMACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer子键分支；在Explorer主键中新建DWORD值NoDriveTypeAutoRun，改值为1。 21)、制止运用MSDOS方式采用上述方法隐藏某个磁盘分区的作用仅限于图形界面，但在字符界面如MSDOS方式无效，因此我们必需采用适当的方法制止普通用户运用MSDOS方式。方法为：展开HKLUSO

30、FTWARE PoliciesMicrosoftWindowssystem分支；新建一个名为DisableCMD的DWORD值，改值为1(这项用于制止用户进入Windows 2000的MSDOS方式)。值为2那么批处置文件也不能运转。 23)、只允许运转指定的程序24)、制止运用注册表编辑器HKCUSoftwareMicrosoftWindowsCurrent VersionpoliciesSystem下DWORD：DisableRegistryTools：值为1那么禁用注册表编辑器。留意：运用此功能最好作个注册表备份，或者预备一个其他的注册表修正工具，由于制止了注册表编辑器以后，就不能再用该注册表编辑器将值项改回来了。 22)、制止运用任何程序对于前边设置的圈套用户不允许运