网络安全课件：第2章 操作系统配置

第二章操作系统配置

课程内容操作系统安全系统用户安全文件系统安全权限管理系统进程系统服务系统加固系统备份与恢复Windows2003基本安装配置基本安装配置1.分区选择

NTFS分区内容分区1系统分区分区2应用程序安装分区3数据分区Windows2003基本安装配置安装目录选择（默认安装目录C:\winnt）卸载多余组件（IIS）和多余软件及时升级或更换程序停止多余的服务（Alerter警报器服务）

系统启动时会启动很多不必要的服务

服务启动类型：自动，手动，禁用安装系统补丁修改配置或权限安装安全工具软件对病毒与木马定期查杀Windows操作系统安全管理Window注册表管理介绍注册表是MicrosoftWindows中的一个重要的数据库，用于存储系统和应用程序的设置信息。系统设置和缺省用户配置数据存放在系统\系统文件夹\SYSTEM32\CONFIG文件夹下的6个文件

DEFAULT、SAM、SECURITY、SOFTWARE、USERDIFF和SYSTEM中注册表打开方式：regeditWindows注册表HKEY_LOCAL_MACHINE：显示控制系统和软件的处理键,保存计算机的系统信息HKEY_CLASSES_ROOT：是HKLM\\Classes的映射，包含了所有应用程序运行时必需的信息HKEY_CURRENT_CONFIG：当前硬件配置信息的映射HKEY_USERS：保存缺省用户信息和当前登陆用户信息HKEY_CURRENT_USER：系统现有的所有配置文件的细节Windows注册表注册表故障的主要原因病毒，木马等应用程序或驱动更改硬件设备改变或硬件失败用户对注册表进行了修改Windows注册表注册表安全权限设置注册表禁用及恢复[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]"DisableRegistryTools"=dword:00000001恢复：gpedit.msc—用户配置—管理模块—系统--阻止访问注册表工具备份注册表Windows注册表注册表添加、修改、删除操作WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsb][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsb]"Restrictanonymous2"=dword:00000000[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsb][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsb]"Restrictanonymous2"=-修改注册表保护系统安全HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建"DWORD值"值名为"AutoShareServer"数据值为"0"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建"DWORD值"值名为"AutoShareWks"数据值为"0"禁止系统自动启用共享禁止系统自动启动管理共享防止小规模DOS攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建"DWORD值"值名为"SynAttackProtect"数据值为"1"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建"DWORD值"值名为"RestrictAnonymous"数据值为"1"[2003默认为1]禁止空连接（共享命名管道的资源）Windows用户安全管理重命名系统管理员账号新建1个自己用的账号建立1个无用户组的Administrat账户禁用”guest”账户不显示上次登陆名（两种方法）gpedit.msc—“本地计算机策略”—Windows设置—安全设置—本地策略—安全选项—交互式登录：不显示上次的用户

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\policies\system的DontDisplayLastUserName设为1。Windows2003Server访问控制用户权限Windows2003Server的默认安全设置可以为对4个默认组和3个特殊组的权限许可。管理员（Administrator）：执行操作系统所有功能用户（users）：提供了一个最安全的程序运行环境。超级用户（Powerusers）：介于管理员和用户之间。

备份操作员（BackupOperators）：备份和还原计算机的文件。特殊组交互组：包含当前登录到计算机的用户。

网络组：包含通过网络远程访问系统的所有用户。

终端服务器用户组：包含使用终端服务器登录到该系统的任何用户。Windows2003Server访问控制权限原则权限是累加的拒绝权限比允许限权高文件权限比文件夹权限高（只给用户最小的权限）利用用户组来进行权限控制权限最小化原则Windows2003Server安全审核安全审核是Windows2003Server的一项功能，负责监视各种与安全性有关的事件。应该被审核的最普通的事件类型包括：访问对象，例如文件和文件夹。用户帐户和组帐户的管理。用户登录到系统和从系统注销。访问文件夹的审核文件夹的审核：右击目录—属性—安全—高级—审核—添加—everyone审核策略“开始”—“程序”—“管理工具”—“本地安全策略”—“审核策略”安全事件查看并分析“开始”—“程序”—“管理工具”—“事件查看器”Windows2003Server系统日志文件Windows2003默认文件大小512KB，应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\system32\config。安全日志文件：%systemroot%\system32\config\SecEvent.EVT系统日志文件：%systemroot%\system32\config\SysEvent.EVT应用程序日志文件：%systemr