Windows系统安全加固

项目2

Windows系统安全加固项目1双机互连对等网络的组建

操作系统的安全防护研究通常包括以下几个方面的内容。(1)操作系统本身提供的安全功能和安全服务。目前的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务。(2)针对各种常用的操作系统，进行相关配置，使之能正确对付和防御各种入侵。(3)保证操作系统本身所提供的网络服务能得到安全配置。只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。操作系统安全的概念一、WINDOWS密码设置实训windows系统的安全审计和安全配置

用户身份验证

帐户的管理(设置各级帐户和密码）P196

帐户安全防护P204帐户安全策略P206

基于对象的访问控制P194windows系统的注册表P209windows系统常用的系统进程和服务的安全配置P220为提高计算机WINDOWS操作系统的安全性，可作哪些安全配置？（小组讨论，总结）3分钟一、WINDOWS密码设置实训XP与SERVER设置BIOS开机密码设置WINDOWS登录密码设置屏幕保护密码账户数据库密码(syskey)为防止别人非法使用你的计算机系统，可设置哪些密码？（小组讨论）3分钟帐户的管理(设置各级帐户和密码）P196一、什么样的密码才安全？

下面列出几种最危险的密码，请千万不要使用。

1）密码和用户名相同。

2）密码为用户名中的某几个邻近的数字或字母。

3）密码为连续或相同的数字或字母。

4)将用户名颠倒或加前后缀作为密码。

5）使用姓氏的拼音或英文名字作为密码。

6）使用自己或亲友的生日作为密码。

7）使用常用英文单词作为密码。

8)使用6位以下的数字或英文字母作为密码.6.3账户管理与密码安全P196账户与密码的使用通常是许多系统预设的防护措施。事实上，有许多用户的密码是很容易被猜中的，或者使用系统预设的密码、甚至不设密码。用户应该要避免使用不当的密码、系统预设密码或是使用空白密码，也可以配置本地安全策略要求密码符合安全性要求。(英文大小写、数字、特殊字符，8位以上）小组为单位，讨论并配置5种密码

（以XP或SERVER为例）设置进入BIOS的密码系统开机密码WINDOWS登录密码屏幕保护密码保护WINDOWS帐户数据库安全密码做一个启动U盘要求：小组内分工，每组同学要设置上述密码，并进行拷屏,文件名为：组名第6章作业1.DOC。任务1：密码安全配置P197

1.任务目标

(1)了解操作系统密码安全的重要性。

(2)掌握密码安全配置的方法。2.任务内容

(1)设置开机或BIOS密码(2)设置用户账户策略。

(3)设置用户账户锁定策略。3.完成任务所需的设备和软件装有WindowsServer2003操作系统的PC机1台，或WindowsServer2003虚拟机1台。用虚拟机设置BIOS开机密码运行虚拟机—VM---POWER-POWERONTOBIOSSetSupervisorPassword超级用户口令SetUserPassword一般用户口令Save&ExitSetup2.添加WONDOWS用户密码，设置密码策略(1)用户—添加管理员用户（2）设置用户账户策略步骤1：选择“开始”→“程序”→“管理工具”→“本地安全策略”命令，打开“本地安全设置”窗口，在左侧窗格中，选择“安全设置”→“账户策略”→“密码策略”选项，如图2-14所示。步骤2：双击右侧侧窗格中的的“密码长度最最小值”策略选项，，打开“密码长度最最小值属属性”对话框，选选择“本地安全设设置”选项卡，设设置密码必必须至少是是6个字符，如如图2-15所示，单击击“确定”按钮，返回回“本地安全设设置”窗口。步骤3：在图2-14中，双击右右侧窗格中中的“密码最短使使用期限”策略选项，，打开“密码最短使使用期限属属性”对话框，设设置“在以下天数数后可以更更改密码”为3天，如图2-16所示，单击击“确定”按钮，返回回“本地安全设设置”窗口。步骤4：同理，设设置“密码最长使使用期限”为“14”天，设置“强制密码历历史”为“10”个记住的密密码，设置置“密码必须符符合复杂性性要求”为“已启用”。上述设置置完成后的的密码策略略如图2-17所示。(2)设置用户账账户锁定策策略用户账户锁锁定策略可可以防止非非法入侵者者不断地猜猜测用户的的账户密码码。步骤1：在图2-17中，选择左左侧窗格中中的“账户锁定策策略”选项，在右右侧窗格中中显示了账账户锁定策策略的三个个策略项，，如图2-18所示。步骤2：双击右侧侧窗格中的的“账户锁定阈阈值”策略选项，，打开“账户锁定阈阈值属性性”对话框，选选择“本地安全设设置”选项卡，设设置“在发生以下下情况之后后，锁定账账户”为3次无效登录录，如图2-19所示。步骤3：单击“确定”按钮，弹出出“建议的数值值改动”对话框，设设置建议的的“账户锁定时时间”为“30分钟”、“复位账户锁锁定计数器器”为“30分钟之后”，如图2-20所示，单击击“确定”按钮，完成成账户锁定定策略设置置。防止内部人人员破坏服服务器的一一个屏障。。注意不要要使用OpenGL和一些复杂杂的屏幕保保护程序浪浪费系统资资源，黑屏屏就可以了了。3．设置屏幕幕保护密码码WINDOWS平台安全设设置4.XP账户数据库库密码二重密码保保护：“启启动密码””就是在系系统启动是是显示的，，在重新启启动系统后后，首先出出现的就是是提示你输输入“启动动密码”，，输入了正正确的密码码后就会出出现WindowsXP的登录界面面，输入用用户名和密密码后算是是完全登录录系统。1.设置启动密密码开始→运行行”，输入入“Syskey”命令，弹出出“保证WindowsXP账户数据库库安全”----更新”。。在“启动动密码”界界面中点选选“密码启启动”单选选框。2.取消这个系系统启动密密码，则在“启动密密码”界面面中点选““系统产生生的密码””下面的““在本机上上保存启动动密码”，，确定后后系统密码码就会保存存到硬盘上上，在下次次启动电脑脑时就不会会再出现启启动密码的的窗口了。。如果忘记了了密码点办办?(小组讨论、、思考）如何清除进进入物理机机的BIOS设置的的密码?如何清除物物理开机密密码?如何探测WINDOWS登录录密码？相邻两小组组实训:常用密码破破解（10分钟）互换机器去破解别组组设置的密密码，并总总结方法破解方法与与工具P198L0phtcrack,WMICracker等BIOS口令的清除除由于System级口令保护护的是整个个系统，在在未正确输输入口令时时不能进入入系统，因因而当任何何“软”方方法都无法法奏效时，，只能用““硬”方法法解决。一般的主板板在后备电电池的附近近都有一个个“Ext.Battery””、“CMOSReset”或“JCMOS”的跳线，断断开微机电电源打开机机箱，按照照主板说明明书上的解解说找到它它，并将其其中的两个个脚短接数数秒钟，然然后将跳线线恢复原状状，即可清清除口令。。有的主板板还要求在在放电短接接状态开机机才能彻底底清除BIOS设置数据，，具体做法法应该参照照主板说明明书上的叙叙述。用工具软件件或命令（（？？）WINDOWS本本地账户实实训P198-204用带工具U盘或光盘启启动，破解解WINDOWSXP登录密码帐户查看方方法与工具具使用L0phtCrack5审计WindowsServer2003本地账户实实训使用Cain审计WindowsServer2003本地账户实实训要求：1.老师提供工工具，小组组内分工，，每组同学学要用上两两个工具把把查看到的的本地账户户密码信息息进行拷屏屏,文件名为：：组名第6章作业2.DOC。2.建议以小组组为单位学学会制作一一个启动U盘，如大白白菜。2.4项目实施(小组实训））2062.4.1任务1:账户安全配配置1.任务目标(1)了解操作系系统账户安安全的重要要性。(2)掌握账户安安全配置的的方法。2.任务内容(1)更改“Administrator”账户名称。。(2)创建一个陷陷阱账户。。(3)不让系统显显示上次登登录的账户户名。3.完成任务所所需的设备备和软件装有WindowsServer2003操作系统的的PC机1台，或WindowsServer2003虚拟机1台。4.任务实施步步骤(1)更改“Administrator”账户名称由于“Administrator”账户是微软软操作系统统的默认系系统管理员员账户，且且此账户不不能被停用用，这意味味着非法入入侵者可以以一遍又一一遍地猜测测这个账户户的密码。。将“Administrator”重命名为其其他名称，，可以有效效地解决这这一问题。。步骤1：选择“开始”→“程序”→“管理工具”→“本地安全策策略”命令，打开开“本地安全设设置”窗口，如图图2-1所示。步骤2：在左侧窗窗格中，选选择“安全设置”→“本地策略”→“安全选项”选项，在右右侧窗格中中，双击“账户：重命命名系统管管理员账户户”策略选项，，打开如图图2-2所示的对话话框，将系系统管理员员账户名称称“Administrator”改为一个普普通的账户户名称，如如“huang”，而不要使使用如“Admin”之类的账户户名称，单单击“确定”按钮。步骤3：更改完成成后，选择择“开始”→“程序”→“管理工具”→“计算机管理理”命令，打开开“计算机管理理”窗口，在左左侧窗格中中，选择“系统工具”→“本地用户和和组”→“用户”选项，如图图2-3所示，默认认的“Administrator”账户名称已已被更改为为“huang”。步骤骤4：在在图图2-3中，，选选择择左左侧侧窗窗格格中中的的“组”选项项，，然然后后双双击击右右侧侧窗窗格格中中的的“Administrators”组名名，，打打开开“Administrators属性性”对话话框框，，默默认认只只有有“Administrator”账户户，，如如图图2-4所示示。。选选中中“Administrator”账户户，，单单击击“删除除”按钮钮，，将将该该账账户户删删除除。。步骤骤5：在在图图2-4中，，单单击击“添加加”按钮钮，，打打开开“选择择用用户户”对话话框框，，单单击击“高级级”按钮钮，，再再单单击击“立即即查查找找”按钮钮，，双双击击对对话话框框底底部部的的“huang”选项项，，如如图图2-5所示示。。此此时时，，在在“输入入对对象象名名称称来来选选择择”文本本框框中中自自动动出出现现了了已已经经重重命命名名的的管管理理员员账账户户名名称称，，如如“TEST\huang”(计算算机机名名\账户户名名)，如如图图2-6所示示。。步骤骤6：单单击击“确定定”按钮钮返返回回“Administrators属性性”对话话框框，，再再单单击击“确定定”按钮钮完完成成系系统统管管理理员员名名称称的的更更改改。。(2)创建建一一个个陷陷阱阱账账户户陷阱阱账账户户就就是是让让非非法法入入侵侵者者误误认认为为是是管管理理员员账账户户的的非非管管理理员员账账户户。。默认认的的管管理理员员账账户户“Administrator”重命命名名后后，，可可以以创创建建一一个个同同名名的的拥拥有有最最低低权权限限的的“Administrator”账户户，，并并把把它它添添加加到到“Guests”组(“Guests”组的的权权限限为为最最低低)中，，再再为为该该账账户户设设置置一一个个超超过过20位的的超超级级复复杂杂密密码码(其中中包包括括字字母母、、数数字字、、特特殊殊符符号号等等字字符符)。这样样可可以以使使非非法法入入侵侵者者需需花花费费很很长长的的时时间间才才能能破破解解密密码码，，借借此此发发现现它它们们的的入入侵侵企企图图。。步骤1：选择“开始”→“程序”→“管理工具”→“计算机管理理”命令，打开开“计算机管理理”窗口，在左左侧窗格中中，选择“系统工具”→“本地用户和和组”→“用户”选项，然后后右击“用户”选项，在弹弹出的快捷捷菜单中选选择“新用户”命令，打开开“新用户”对话框，如如图2-7所示。步骤2：在“用户名”文本框中输输入用户名名“Administrator”，在“密码”和“确认密码”文件框中输输入一个较较复杂的密密码，单击击“创建”按钮，再单单击“关闭”按钮。步骤3：右击新创创建的用户户名“Administrator”，在弹出的的快捷菜单单中选择“属性”命令，打开开“Administrator属性”对话框，选选择“隶属于”选项卡，如如图2-8所示，从图图中可见，，“Administrator”用户默认隶隶属于“Users”组。步骤4：单击“添加”按钮，打开开“选择组”对话框，如如图2-9所示。步骤5：单击“高级”按钮，再单单击“立即查找”按钮，双击击对话框底底部的“Guests”组名，如图图2-10所示。步骤6：单击“确定”按钮，返回回“Administrator属性”对话框，此此时已添加加了“Guests”组，如图2-11所示。步骤7：在图2-11中，选中“Users”组名，单击击“删除”按钮，再单单击“确定”按钮。此时时，“Administrator”账户已设置置为陷阱账账户。(3)不让系统显显示上次登登录的账户户名默认情况下下，登录对对话框中会会显示上次次登录的账账户名。这这使得非法法入侵者可可以很容易易地得到系系统的一些些账户名，，进而做密密码猜测，，从而给系系统带来一一定的安全全隐患。可以设置登登录时不显显示上次登登录的账户户名，来解解决这一问问题。步骤1：在“本地安全设设置”窗口的左侧侧窗格中，，选择“本地策略”→“安全选项”选项。步骤2：在右侧窗窗格中，找找到并双击击“交互式登录录：不显示示上次的用用户名”选项(如图2-12所示)，打开“交互式登录录：不显示示上次的用用户名属属性”对话框，在在“本地安全设设置”选项卡中，，选中“已启用”单选按钮，，如图2-13所示，单击击“确定”按钮。组策略和注注册表P209组策略和注注册表，是是Windows系统中重要要的两部控控制台。组策略:管理员为用用户和计算算机定义并并控制程序序、网络资资源及操作作系统行为为的主要工工具。通过过使用组策策略可以设设置各种软软件、计算算机和用户户策略。注册表:注册表是Windows系统中保存存系统软件件和应用软软件配置的的数据库组策略设置置就是在修修改注册表表中的配置置。组策略使使用了更完完善的管理理组织方法法，可以对对各种对象象中的设置置进行管理理和配置，，远比手工工修改注册册表方便、、灵活，功功能也更加加强大。利用安全配配置工具来来配置安全全策略利用基于MMC（管理控制制台）安全全配置和分分析工具配配置服务器器。运行---gpedit.msc----组策略----计算机配置置----管理模板----系统---关闭自动播播放----所有驱动器器.WINDOWS平台安全设设置注册表运运行—REGEDITP210是windows操作系统中中的一个核核心数据库库，其中存存放着各种种参数，直直接控制着着windows的启动、硬硬件驱动程程序的装载载以及一些些windows应用程序的的运行，从从而在整个个系统中起起着核心作作用。1．HKEY_CLASSES_ROOT管理文件系系统，记录录的是Windows操作系统中中所有数据据文件的信信息，主要要记录不同同文件的文件名后缀缀和与之对对应的应用用程序。当当用户双击击一个文档档时，系统统可以通过过这些信息息启动相应应的应用程程序。2．HKEY_CURRENT_USER该主键用于于管理当前前用户的配配置情况。。在这个主主键中我们们可以查阅阅计算机中中登录的用用户信息密密码等相关关信息。。3．HKEY_LOCAL_MACHINE该主主键键用用于于管管理理系系统统中中的的所所有有硬硬件件设设备备的的配配置置情情况况，，在在该该主主键键中中存存放放的的是是用用来来控控制制系系统统和和软软件件的的设设置置。。由由于于这这些些设设置置是是针针对对那那些些使使用用Windows系统统的的用用户户而而设设置置的的，，是是一一个个公公共共配配置置信信息息，，所所以以它它与与具具体体用用户户无无关关。。4．HKEY_USERS该主主键键用用于于管管理理系系统统中中所所有有用用户户的的配配置置信信息息，，电电脑脑系系统统中中每每个个用用户户的的信信息息都都保保存存在在该该文文件件夹夹中中，，如如用用户户在在该该系系统统中中的的一一些些口口令令、、标标识识等等。。5．HKEY_CURRENT_CONFIG该主主键键用用于于管管理理当当前前系系统统用用户户的的系系统统配配置置情情况况，，如如该该用用户户自自定定义义的的桌桌面面管管理理、、需需要要启启动动的的程程序序列列表表等等信信息息禁用用注注册册表表编编辑辑器器(小组组实实训训））任务务5：1.任务务目目标标(1)了解解操操作作系系统统注注册册表表的的作作用用。。(2)掌握握注注册册表表编编辑辑器器的的禁禁用用方方法法。。2.完成成任任务务所所需需的的设设备备和和软软件件装有有WindowsServer2003操作作系系统统的的PC机1台，，或或WindowsServer2003虚拟拟机机1台。。3.任务务实实施施步步骤骤注册册表表是是MicrosoftWindows中的的一一个个重重要要的的数数据据库库，，用用于于存存储储系系统统和和应应用用程程序序的的设设置置信信息息。。Regedit.exe是微微软软提提供供的的一一个个编编辑辑注注册册表表的的工工具具，，是是所所有有Windows系统统通通用用的的注注册册表表编编辑辑工工具具。。Regedit.exe可以以进进行行添添加加修修改改注注册册表表主主键键、、修修改改键键值值、、备备份份注注册册表表、、局局部部导导入入导导出出注注册册表表等等操操作作。。Windows操作作系系统统安安装装完完成成后后，，默默认认情情况况下下Regedit.exe可以以任任意意使使用用，，为为了了防防止止非非网网络络管管理理人人员员恶恶意意使使用用，，应应禁禁止止Regedit.exe的使使用用。。步骤骤1：选选择择“开始始”→“运行行”命令令，，打打开开“运行行”对话话框框，，在在对对话话框框的的“打开开”文本本框框中中输输入入“gpedit.msc”命令令，，然然后后单单击击“确定定”按钮钮，，打打开开“组策策略略编编辑辑器器”窗口口。。步骤骤2：在窗口的的左侧窗格格中，选择择“‘本地计算机机’策略”→“用户配置”→“管理模板”→“系统”选项，如图图2-52所示。步骤3：然后在右右侧窗格中中找到并双双击“阻止访问注注册表编辑辑工具”选项，打开开“阻止访问注注册表编辑辑工具属属性”对话框，选选中“已启用”单选按钮，，如图2-53所示，单击击“确定”按钮返回“组策略编辑辑器”窗口。步骤4：选择“开始”→“运行”命令，打开开“运行”对话框，在在对话框的的“打开”文本框中输输入“Regeidt.exe”命令，然后后单击“确定”按钮，系统统将会提示示“注册表编辑辑已被管理理员禁用”信息，如图图2-54所示。注册表应用用的小设置置如何关闭CD自动播放功功能打开注册表表编辑器，，进入主键键［HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom］，将“Autorun”键值更改为为0（Hex）。如何禁止U盘自启动HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer分支中找到到“NoDriveTypeAutoRun”键值(如果没有，，可以新建建一个)数据类型为为REG_DWORD，修改其键键值为十六六进制“FF”防止黑客从远程程访问注册册表。修改改Hkey_current_user下的子键：：Software\Microsoft\windows\currentversion\policies，把DisableRegistryTools值改为0，类型为DWORD。锁定远程注注册表访问问WINDOWS平台安全设设置下节预习问问题：P220进程是什么么？如何关闭不不响应的进进程或病毒毒进程？端口是什么么？服务是什么么？端口与服务务有什么联联系？进程、端口口和服务进程它是操作系系统动态执执行的基本本单元，在在传统的操操作系统中中，进程既既是基本的的分配单元元，也是基基本的执行行单元。每一个进程程都有它自自己的地址址空间进程是一个个“执行中的程程序”。程序是一个没有有生命的实实体(静态,硬盘)，只有处理理器赋予程程序生命时时，它才能能成为一个个活动的实实体，我们们称其为进程(动态，内存存)。任何程序要要运行必创创建对应的的进程.线程：更小进程。。51WindowsServer2003的登登录过程关闭不用或或有问题的的进程方法一、[CTRL]+[ALT]+[DEL]方法三、利利用工具如如：优化大大师、超级级兔子或PCTOOLS中的PSKILL结束进程、、冰刃。方法二、运运行---CMDc:\ntsd––cq––ppid(为要关闭进进程号）要求：老师师提供IceSword120_cn工具，小组组内分工，，每组同学学要用上述述方法查看看到本地进进程信息，，并会处理理。端口计算机"端口"是英文port的意译，可可以认为是是计算机与与外界通讯讯交流的出出口.硬件端口:其中硬件领领域的端口口又称接口口，如：USB端口、串行行端口等。。软件领域的的端口一般般指网络中中面向连接接服务和无无连接服务务的通信协协议端口，，是一种抽抽象的软件件结构，包包括一些数数据结构和和I/O（基本输入入输出）缓缓冲区。在网络技术术中，端口口（Port）有好几种种意思。集集线器、交交换机、路路由器的端端口指的是是连接其他他网络设备备的接口，，如RJ-45端口、Serial端口等。TCP/IP协议中的端端口，是逻逻辑意义义上的端口口。如果果把IP地址比作一一间房子，，端口就就是出入这这间房子的的门。真正正的房子只只有几个门门，但是一一个IP地址的端口口可以有有65536（即：256×256）个之多！！端口是通通过端口号号来标记的的，端口号号只有整数数，范围是是从0到65535（256×256-1）。服务与端口口的关系在TCP和UDP协议中，源源端口和目目标端口号号共有65536个(＝216，0～65535)。按对应的协协议类型，，端口有两两种：TCP端口和UDP端口。由于于TCP和UDP两个协议是是独立的，，因此各自自的端口号号也相互独独立，比如如TCP有235端口，UDP也可以有235端口，两者者并不冲突突。关闭不用的的端口管理好端口口号在网络络安全中有有着非常重重要的意义义，黑客往往往通过探探测目标主主机开启的的端口号进进行攻击。。开启的端口口可能被攻攻击者利用用，如利用用扫描软件件，可以扫扫描到目标标主机中开开启的端口口及服务，，因为提供供服务就有有可能存在在漏洞。查看端口的的相关工具具有：Windows系统中的netstat-na命令、fport软件、activeport软件、superscan软件、VisualSniffer软件等，此此类命令或或软件可用用来查看主主机所开放放的端口。。冰刃可以在网网上查看看各种服服务对应应的端口口号和木木马后门门常用端端口来判判断系统统中的可可疑端口口中，并并通过软软件查看看开启此此端口的的进程。。确定可疑疑端口和和进程后后，可以以利用防防火墙来来屏蔽此此端口，，也可以以通过选选择本地地连接→→TCP/IP→→高级→选选项→TCP/IP筛选，启启用筛选选机制来来过滤这这些端口口；一些端口口常常会会被攻击击者或病病毒木马马所利用用，如端端口21、22、23、25、80、110、111、119、135、137、138、139、161、177、389、3389等。关于于常见木木马程序序所使用用的端口口可以在在网上查查找到。。小组实训训P2222.4.4任务4：服务安安全配置置1.任务目标标(1)了解操作作系统服服务安全全的重要要性。(2)掌握服务务安全配配置的方方法。2.任务内容容(1)关闭不必必要的服服务。（工具具、管理理工具---服务）(2)关闭不必必要的端端口。（关闭闭服务，，写IP安全策略略）3.完成任务务所需的的设备和和软件装有WindowsServer2003虚拟机1台。4.任务实施施步骤(1)关闭不必必要的服服务禁止所有有不必要要的服务务可以节节省内存存和大量量的系统统资源，，提升系系统启动动和运行行的速度度，更重重要的是是，可以以减少系系统受攻攻击的风风险。步骤1：查看服服务。选选择“开始”→“程序”→“管理工具具”→“服务”命令，打打开“服务”窗口，如如图2-29所示，可可见有很很多服务务已启动动。步骤2：关闭服服务。在在图2-29中找到并并双击“TaskScheduler”服务选项项，打开开“TaskScheduler的属性”对话框，，如图2-30所示。单单击“停止”按钮，停停用“TaskScheduler”服务，再再在“启动类型型”下拉列表表中选择择“禁用”选项，这这样下次次系统重重新启动动时不会会重新启启用“TaskScheduler”服务，单单击“确定”按钮。有些服务务不能关关！！！！（注意））如关闭有有Vmware的相关服服务，则则虚拟机机的相关关功能不不能用！！！如关闭了了物理机机中的VmwareDHCPservice或则虚拟拟机的DHCP服务，虚虚拟机无无法获得得IP。①用netstat命令查看看本机开开放的端端口。系统内部部命令netstat可显示有有关统计计信息和和当前TCP/IP网络连接接的情况况，它可可以用来来获得系系统网络络连接的的信息(使用的端端口和在在使用的的协议等等)、收到和和发出的的数据、、被连接接的远程程系统的的端口等等。其语语法格式式为：netstat[-a][-e][-n][-s][-pprotocol][-r][interval]。步骤1：在“命令行提提示符”窗口中，，输入“netstat-an”命令，查查看系统统端口状状态，列列出系统统正在开开放的端端口号及及其状态态，如图图2-32所示，可可见系统统开放的的端口号号有135、445、137、138、139等。②关闭139端口。139端口是NetBIOS协议所使使用的端端口，在在安装了了TCP/IP协议的同同时，NetBIOS也会被作作为默认认设置安安装到系系统中。。139端口的开开放意味味着硬盘盘可能会会在网络络中共享享；网上上黑客也也可通过过NetBIOS知道用户户计算机机中的一一切。在以前的的Windows版本中，，只要不不安装Microsoft网络的文文件和打打印共享享协议，，就可关关闭139端口。但但在WindowsServer2003中，只这这样做是是不行的的。如果果想彻底底关闭139端口，具具体步骤骤如下：：步骤1：右击桌桌面上的的“网上邻居居”图标，在在弹出的的快捷菜菜单中选选择“属性”命令，打打开“网络连接接”窗口，再再右击“本地连接接”图标，在在弹出的的快捷菜菜单中选选择“属性”命令，打开“本地连接接属性性”对话框，，如图2-33所示。步骤2：取消选选择“Microsoft网络的文文件和打打印共享享”复选框(即去掉“Microsoft网络的文文件和打打印共享享”前面的“√”)，再选中中“Internet协议(TCP/IP)”选项，单单击“属性”按钮，打打开“Internet协议(TCP/IP)属性”对话框，，如图2-34所示。步骤3：单击“高级”按钮，打打开“高级TCP/IP设置”对话框，，在“WINS”选项卡中中，选中中“禁用TCP/IP上的NetBIOS”单选按钮钮，如图图2-35所示。步骤4：单击“确定”按钮，返返回“Internet协议(TCP/IP)属性”对话框，，再单击击“确定”按钮，返返回“本地连接接属性性”对话框，，单击“关闭”按钮。③端口过滤滤假如计算算机中安安装了Internet信息服务务(IIS)，如果只只打算浏浏览网页页，可设设置端口口过滤，，只允许许TCP协议的80端口通过过，而TCP协议的其其他端口口不允许许通过。。设置步步骤如下下。步骤1：在图2-35中，选择择“选项”选项卡，，如图2-36所示。步骤2：双击图图中的“TCP/IP筛选”选项，打打开“TCP/IP筛选”对话框。。步骤3：选中“启用TCP/IP筛选(所有适配配器)”复选框，，选中“TCP端口”栏中的“只允许”单选按钮，单单击“添加”命令，打开“添加筛选器”对话框，在“TCP端口”文本框中输入入端口号“80”，如图2-37所示。步骤4：单击“确定”按钮，返回“TCP/IP筛选”对话框，再单单击“确定”按钮，返回“高级TCP/IP设置”对话框。④关闭其他端口口。在默认情况下下，Windows操作系统的很很多端口是开开放的。用户户在上网的时时候，病毒和和黑客可通过过这些端口连连上用户的计计算机，所以以应该关闭这这些端口，比比如TCP135，139，445，593，1025端口和UDP135，137，138，445端口，以及一一些流行病毒毒的后门端口口，如TCP2745，3127，6129端口，以及远远程服务访问问端口3389等，都需要被被关闭才可解解除隐患。2.4.3任务3：系统安全配配置1.任务目标(1)了解操作系统统的系统安全全的重要性。。(2)掌握系统安全全配置的方法法。2.任务内容(1)自动更新Windows补丁程序。(2)开启审核策略略。(3)关闭默认共享享资源。(4)关闭自动播放放功能。3.完成任务所需需的设备和软软件装有WindowsServer2003操作系统的PC机1台，或WindowsServer2003虚拟机1台。4.任务实施步骤骤(1)自动更新Windows补丁程序几乎所有的操操作系统都不不是十全十美美的，总是存存在各种安全全漏洞，这使使非法入侵者者有机可乘。。因此，及时时给Windows系统打上补丁丁程序，是加加强Windows系统安全的简简单、高效的的方法。步骤1：右击桌面上上的“我的电脑”图标，在弹出出的快捷菜单单中选择“属性”命令，打开“系统属性”对话框。步骤2：在“自动更新”选项卡中，选选中“自动(推荐)”单选按钮，如如图2-21所示，系统默默认在每天凌凌晨3时自动下载推推荐的更新，，并安装它们们。(2)开启审核策略略P231安全审核是WindowsServer2003最基本的入侵侵检测方法。。当有非法入入侵者对系统统进行入侵时时，都会被安安全审核记录录下来步骤1：在“本地安全设置置”窗口中，选择择“本地策略”→“审核策略”选项，右侧窗窗格中列出了了审核策略列列表，这些审审核策略在默默认情况下都都是未开启的的，如图2-22所示。步骤2：双击右侧窗窗格中的“审核登录事件件”策略选项，打打开“审核登录事件件属性”对话框，在“本地安全设置置”选项卡中，选选中“成功”和“失败”复选框，如图图2-23所示，单击“确定”按钮。步骤3：同理，根据据需要设置其其他审核策略略。说明：以下是是各种审核策策略的含义。。①审核策略略更改：审核核对策略的改改变操作。②审核登录录事件：审核核账户的登录录或注销操作作。③审核对象象访问：审核核对文件或文文件夹等对象象的操作。④审核过程程跟踪：审核核应用程序的的启动和关闭闭。⑤审核目录录服务访问：：审核对活动动目录的各种种访问。⑥审核特权权使用：审核核用户执行用用户权限的操操作，如更改改系统时间等等。⑦审核系统统事件：审核核与系统相关关的事件，如如重新启动或或关闭计算机机等。⑧审核账户户登录事件：：审核账户的的登录或注销销另一台计算算机(用于验证账户户)的操作。⑨审核账户户管理：审核核与账户管理理有关的操作作。(3)关闭默认共享享资源Windows系统安装好后后，为了便于于远程管理，，系统会创建建一些隐蔽的的特殊共享资资源，如ADMIN$、C$、IPC$等，这些共享享资源在“我的电脑”中是不可见的的。一般情况下，，用户不会去去使用这些特特殊的共享资资源，但是非非法入侵者却却会利用它来来对系统进行行攻击，以获获取系统的控控制权，最典典型的就是IPC$入侵。因此，系统管管理员在确认认不会使用这这些特殊共享享资源的情况况下，应删除除这些特殊的的共享资源。。说明：①C$、D$等：允许管理理人员连接到到驱动器根目目录下的共享享资源。②ADMIN$：计算机远程程管理期间使使用的资源。。该资源的路路径总是系统统根目录路径径(安装操作系统统的目录，如如C:\Windows)。③IPC$：共享命名管管理的资源，，在程序之间间的通信过程程中，该命名名管道起着至至关重要的作作用。在计算算机的远程管管理期间，以以及在查看计计算机的共享享资源时使用用IPC$。不能删除该该资源。④系统重新新启动后，被被删除的特殊殊共享资源将将会重新建立立。因此，为为保证不会出出现特殊共享享资源攻击，，应使用批处处理的方式在在系统重启时时自动进行删删除操作。⑤全部删除除系统中的特特殊共享资源源，将影响系系统提供的文文件共享服务务、打印共享享服务等网络络服务，删除除前应仔细确确认WindowsServer2003操作系统所扮扮演的角色，，是作为单独独的桌面操作作系统使用，，还是作为网网络操作系统统提供各种网网络服务使用用。步骤骤1：在在“命令令提提示示符符”窗口口中中，，输输入入“netshare”命令令，，查查看看共共享享资资源源，，如如图图2-24所示示。。步骤骤2：输输入入“netshareADMIN$/delete”命令令，，删删除除ADMIN$共享享资资源源，，再再输输入入“netshare”命令令，，验验证证是是否否已已删删除除ADMIN$共享享资资源源，，如如图图2-25所示示。。同理理，，可可删删除除C$、D$等共共享享资资源源。。步骤骤3：IPC$共享享资资源源不不能能被被netshare命令令删删除除，，须须利利用用注注册册表表编编辑辑器器来来对对它它进进行行限限制制使使用用。。选择择“开始始”→“运行行”命令令，，打打开开“运行行”对话话框框，，在在对对话话框框的的“打开开”文本本框框中中输输入入“regedit”命令令，，然然后后单单击击“确定定”按钮钮，，打打开开注注册册表表编编辑辑器器，，找找到到组组键键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的的restrictanonymous子键键，，将将其其值值改改为为1，如如果果没没有有这这个个子子键键，，则则新新建建它它此时时一一个个匿匿名名用用户户仍仍然然可可以以空空连连接接到到IPC$共享享，，但但无无法法通通过过这这种种空空连连接接列列举举SAM账号号和和共共享享信信息息的的权权限限(枚举举攻攻击击)。(4)关闭闭自自动动播播放放功功能能现在在很很多多病病毒毒(如U盘病病毒毒)会利利用用系系统统的的自自动动播播放放功功能能来来进进行行传传播播，，关关闭闭系系统统的的自自动动播播放放功功能能可可以以降降低低病病毒毒传传播播的的风风险险。。步骤骤1：选选择择“开始始”→“运行行”命令令，，打打开开“运行行”对话话框框，，在在对对话话框框的的“打开开”文本本框框中中输输入入“gpedit.msc”命令令，，然然后后单单击击“确定定”按钮钮，，打打开开“组策策略略编编辑辑器器”窗口口。。步骤骤2：在在窗窗口口的的左左侧侧窗窗格格中中，，选选择择“‘‘本地地计计算算机机’策略略”→“计算算机机配配置置”→“管理理模模板板”→“系统统”选项项，，然然后后在在右右侧侧窗窗格格中中找找到到并并双双击击“关闭闭自自动动播播放放”选项项(如图图2-27所示示)，打打开开“关闭闭自自动动播播放放属属性性”对话话框框。。步骤骤3：在在“设置置”选项项卡卡中中，，选选中中“已启启用用”单选选按按钮钮，，并并在在“关闭闭自自动动播播放放”列表表中中选选择择需需要要的的选选项项，，如如“所有有驱驱动动器器”，如如图图2-28所示示，，单单击击“确定定”按钮钮。。注意意：：“关闭闭自自动动播播放放”设置置是是只只能能使使系系统统不不再再列列出出光光盘盘和和移移动动存存储储设设备备的的目目录录，，并并不不能能够够阻阻止止自自动动播播放放音音乐乐CD盘。。要要阻阻止止音音乐乐CD的自自动动播播放放，，可可更更改改移移动动存存储储设设备备的的属属性性。。拓展展提提高高：：Windows系统统的的安安全全模模板板P2351.什么么是是安安全全模模板板安全全模模板板是是由由WindowsServer2003支持持的的安安全全属属性性的的文文件件(.inf)组成成的的。。安全全模模板板将将所所有有的的安安全全属属性性组组织织到到一一个个位位置置，，以以简化化安安全全性性管管理理。。安全全模模板板包包含含了了安全全性性信信息息账账户户策策略略、本地地策策略略、事件件日日志志、受限限制制的的组组、系统统服服务务、注册册表表、文件件系系统统等共共7类。。安全全模模板板也也可可以以用用做做安安全全分分析析。。通过过使使用用安安全全模模板板管管理理单单元元，，可可以以创创建建对对网网络络或或计计算算机机的的安安全全策策略略。。安全全模模板板是是代代表表安安全全配配置置的的文文本本文文件件，，将将其其应应用用于于本本地地计计算算机机、、导导入入到到组组策策略略或或使使用用安安全全模模板板来来分分析析安安全全性性。。(1)默认认安安全全设设置置(setupsecurity.inf)。setupsecurity.inf代表表在在安安装装操操作作系系统统期期间间所所应应用用的的默默认认安安全全设设置置，，其其中中包包括括对对系系统统驱驱动动器器的的根根目目录录的的文文件件权权限限。。此此模模板板的的某某些些部部分分可可应应用用于于故故障障恢恢复复。。(2)兼容容(compatws.inf)。工工作作站站和和服服务务器器的的默默认认权权限限主主要要授授予予3个本本地地组组：：Administrators、PowerUsers和Users。Administrators享有有最最高高的的权权限限，，而而Users的权权限限最最低低。。不不要要将将兼兼容容模模板板应应用用到到域域控控制制器器。。(3)安全全(secure*.inf)。安安全全模模板板定定义义了了至至少少可可能能影影响响应应用用程程序序兼兼容容性性的的增增强强安安全全设设置置。。例例如如，，安安全全模模板板定定义义了了更更严严密密的的密密码码、、锁锁定定和和审审核核设设置置。。此外外，，安安全全模模板板还还限限制制了了LANManager和NTLM身份份认认证证协协议议的的使使用用，，其其方方式式是是将将客客户户端端配配置置为为仅仅可可发发送送NTLMv2响应，，而将将服务务器配配置为为可拒拒绝LANManager的响应应。安全模模板细细分为为securews.inf和securedc.inf。securews.inf应用于于成员员计算算机，，securedc.inf应用于于服务务器。。(4)高级安安全(hisec*.inf)。高级级安全全模板板是对对加密密和签签名做做进一一步限限制的的安全全模板板的扩扩展集集，这这些加加密和和签名名是进进行身身份认认证和和保证证数据据通过过安全全通道道以及及在SMB客户机机和服服务器器之间间进行行安全全传输输所必必需的的。例例如，，安全全模板板可以以使服服务器器拒绝绝LANManager的响应应，而而高级级安全全模板板则可可以使使服务务器同同时拒拒绝LANManager和NTLM的响应应。安安全模模板可可以启启用服服务器器端的的SMB数据包包签名名，而而高级级安全全模板板则要要求这这种签签名。。此外外，高高级安安全模模板还还要求求对安安全通通道数数据进进行强强力加加密和和签名名，从从而形形成域域到成成员以以及域域到域域的信信任关关系。。高级安安全模模板细细分为为hisecws.inf和hisecdc.inf。一般般，hisecws.inf应用于于普通通服务务器，，hisecdc.inf应用于于域控控制器器。(5)系统根根目录录安全全(rootsec.inf)。rootsec.inf可以指指定由由WindowsServer2003所引入入的新新的根根目录录权限限。默默认情情况下下，rootsec.inf为系统统驱动动器根根目录录定义义这些些权限限。如如果不不小心心更改改了根根目录录权限限，则则可以以利用用该模模板重重新应应用根根目录录权限限，或或者通通过修修改模模板对对其他他卷应应用相相同的的根目目录权权限。。3.使用安安全模模板运行“mmc.exe”命令，，打开开控制制台，，选择择菜单单“文件”→“添加/删除管管理单单元”命令，，把“安全模模板”添加到到控制制台中中。双双击“安全模模板”选项，，可以以看到到几个个预定定义的的安全全模板板，如如图2-55所示。。这些些模板板保存存在%systemroot%\security\templates中，用用户也也可以以创建建包含含安全全设置置的自自定义义安全全模板板。双击要要修改改的安安全策策略，，根据据需要要进行行修改改后，，右击击已修修改的的安全全配置置模板板的名名称，，然后后选择择“另存为为”命令，，新建建一个个模板板。知识拓拓展（自学学内容容）Windows系统体体系结结构WindowsServer2003的安全全模型型Windows安全子子系统统结构构漏洞与与后门门97Windows系统统体系系结构构98安全策策略：：CorporateSecurityPolicy用户认证：UserAuthentication加密Encryption审计Audit权限控制AccessControl管理AdministrationWindows的安全全包括括6个主要要的安安全元元素：：审计：：Audit,管理：：Administration加密：：Encryption权限控控制：：AccessControl用户认认证：：UserAuthentication安全策策略：：CorporateSecurityPolicy。WindowsNT/2K系统内内置支支持用用户认认证、、访问问控制制、管管理、、审核核。WindowsServer2003的安安全模模型99组策略ActiveDirectory服务用户本地安安全策策略Kerberos审核日志SRM内核MSV1_0NetlogonWindowsNT客户户和和服服务务器器Windows2000客户户和和服服务务器器SAM登录本地地安安全全授授权权（（LSA）提供供Windows目录录服服务务和和复复制制。。它它支支持持轻轻量量级级目目录录访访问问协协议议（（LDAP）和和数数据据的的管管理理部部分分Windows中默默认认的的身身份份验验证证协协议议。。它它用用于于Windows2000计算算机机之之间间以以及及支支持持Kerberos身份份验验证证的的客客户户之之间间的的所所有有身身份份验验证证。。安全全子子系系统统的的中中心心组组件件，，它它促促使使访访问问令令牌牌、、管管理理本本地地计计算算机机上上的的安安全全策策略略并并向向用用户户登登录录提提供供身身份份验验证证用于于WindowsNT身份验证的