云南移动信息安全培训-windows操作系统安全

云南移动信息安全培训

——windows操作系统安全讲师：刘晓光Telmail: liuxg@Windows系统安全Windows安全原理Windows安全配置Windows安全工具及checklist2

Windows系统的安全架构

Windows的安全子系统

Windows的密码系统

Windows的系统服务和进程

Windows的日志系统

3Windows安全原理4Windows系统的安全架构WindowsNT的安全包括6个主要的安全元素：AuditAdministrationEncryptionAccessControlUserAuthenticationCorporateSecurityPolicyWindowsNT系统内置支持用户认证、访问控制、管理、审核5Windows系统的安全组件访问控制的判断（Discretionaccesscontrol）按照C2级别的定义，Windows支持对象的访问控制的判断。这些需求包括允许对象的所有者可以控制谁被允许访问该对象以及访问的方式。对象重用（Objectreuse）当资源（内存、磁盘等）被某应用访问时，Windows禁止所有的系统应用访问该资源。强制登陆（Mandatorylogon）与WindowsforWorkgroups，Windwows95，Windows98不同，Windows2K/NT要求所有的用户必须登陆，通过认证后才可以访问资源。审核（Auditing）WindowsNT在控制用户访问资源的同时，也可以对这些访问作了相应的记录。对象的访问控制（Controlofaccesstoobject）WindowsNT不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问

为了实现自身的安全特性，Windows2K/NT把所有的资源作为系统的特殊的对象。这些对象包含资源本身，Windows2K/NT提供了一种访问机制去使用它们。由于这些基本的原因，所以把Windows2K/NT称为基于对象的操作系统。

Microsoft的安全就是基于以下的法则：

◦用对象表现所有的资源

◦只有Windows2K/NT才能直接访问这些对象

◦对象能够包含所有的数据和方法

◦对象的访问必须通过Windows2K/NT的安全子系统的第一次验证

◦存在几种单独的对象，每一个对象的类型决定了这些对象能做些什么

Windows中首要的对象类型有：

文件文件夹打印机I/O设备窗口线程进程内存

这些安全构架的目标就是实现系统的牢固性。从设计来考虑，就是所有的访问都必须通过同一种方法认证，减少安全机制被绕过的机会。6Windows系统的对象7Windows系统的安全主体用户用户、用户帐户、Administrator、SYSTEM、LocalSystem用户组为简化用户管理而引入的一个概念（类似一个容器，里面是权限相同的用户），还可以同时为多个用户授权。计算机（机器帐户）当一个Windows系统加入某个域的时候，域控制器为它创建的一个计算机帐户。8用户权限权限:可以授予用户或组的文件系统能力有了相应的用户权限，账户才有权去进行特定的操作。两类用户权限：登陆权限：账户在通过身份验证之前所具备的权限。操作权限：账户在通过身份验证之后所具备的权限。如果某个账户同时出现在“拒绝”和“允许”两种授权策略里，结果是“拒绝”大于“允许”的权限；授权时注意“最小授权原则”网络安全性依赖于给用户或组授予的能力：权力:

在系统上完成特定动作的授权，一般由系统指定给内置组，但也可以由管理员将其扩大到组和用户上权限:可以授予用户或组的文件系统能力共享:

用户可以通过网络使用的文件夹9用户权利、权限和共享权限10Windows系统的用户权利

权利适用于对整个系统范围内的对象和任务的操作，通常是用来授权用户执行某些系统任务。当用户登录到一个具有某种权利的帐号时，该用户就可以执行与该权利相关的任务。下面列出了用户的特定权利：Accessthiscomputerfromnetwork可使用户通过网络访问该计算机。Addworkstationtoadomain允许用户将工作站添加到域中。Backupfilesanddirectories授权用户对计算机的文件和目录进行备份。Changethesystemtime用户可以设置计算机的系统时钟。Loadandunloaddevicedrive允许用户在网络上安装和删除设备的驱动程序。Restorefilesanddirectories允许用户恢复以前备份的文件和目录。Shutdownthesystem允许用户关闭系统。11Windows系统的用户权限权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作，指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。下表显示了这些任务是如何与各种权限级别相关联的。下表显示了这些任务是如何与各种权限级别相关联的Windows系统的用户权限12权限级别RXWDPO允许的用户动作NoAccess

用户不能访问该目录ListRX可以查看目录中的子目录和文件名，也可以进入其子目录ReadRX具有List权限，用户可以读取目录中的文件和运行目录中的应用程序AddXW用户可以添加文件和子录AddandReadRXW具有Read和Add的权限ChangeRXWD有Add和Read的权限，另外还可以更改文件的内容，删除文件和子目录FullcontrolRXWDPO有Change的权限，另外用户可以更改权限和获取目录的所有权Windows系统的用户权限13权限级别RXWDPO允许的用户动作NoAccess

用户不能访问该文件ReadRX用户可以读取该文件，如果是应用程序可以运行ChangeRXWD有Read的权限，还可用修和删除文件FullcontrolRXWDPO包含Change的权限，还可以更改权限和获取文件的有权Windows系统的共享权限14

共享只适用于文件夹（目录），如果文件夹不是共享的，那么在网络上就不会有用户看到它，也就更不能访问。网络上的绝大多数服务器主要用于存放可被网络用户访问的文件和目录，要使网络用户可以访问在NTServer服务器上的文件和目录，必须首先对它建立共享。共享权限建立了通过网络对共享目录访问的最高级别。Windows系统的共享权限15共享权限级别允许的用户动作NoAccess(不能访问)禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名，改变共享Read(读)目录的子目录，还允许查看文件的数据和运行应用程序Change(更改)具有“读”权限中允许的操作，另外允许往目录中添加文件和子目录，更改文数据，删除文件和子目录Fullcontrol(完全控制)具有“更改”权限中允许的操作，另外还允许更改权限(只适用于NTFS卷)和获所有权(只适用于NTFS卷)共享点一定要慎重分配，因为权限仅仅是分配给共享点的，任何共享点下的文件或目录都足以和共享点本身相同的权限被访问到Windows安全子系统的组件16WindowsNT安全子系统包含五个关键的组件：Securityidentifiers，Accesstokens，Securitydescriptors，Accesscontrollists，AccessControlEntries安全标识符（SecurityIdentifiers）

SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。

例：S-1-5-21-1763234323-3212657521-1234321321-500

第一项S表示该字符串是SID

第二项是SID的版本号，对于2000来说，这个就是1

然后是标志符的颁发机构（identifierauthority），对于2000内的帐户，颁发机构就是NT，值是5四组数字是签发者子代码（明确此SID的签发者是谁）最后一个标志着域内的帐户和组；500是RID

Windows安全子系统的组件访问令牌（Accesstokens）

访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。安全描述符（Securitydescriptors）

WindowsNT中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。访问控制列表（Accesscontrollists）在NT系统中，每当请求一个对象或资源访问时，就会检查它的ACL，确认给用户授予了什么样的权利。每创建一个对象，对应的ACL也会创建。ACL包含一个头部，其中包含有更新版本号、ACL的大小以及它所包含的ACE数量等信息。17Windows安全子系统的组件访问控制项（Accesscontrolentries）

访问控制项（ACE）包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。

当使用管理工具列出对象的访问权限时，列表的排序是以文字为顺序的，它并不象防火墙的规则那样由上往下的，不过好在并不会出现冲突，拒绝访问总是优先于允许访问18Windows安全子系统Winlogon GraphicalIdentificationandAuthenticationDLL(GINA)LocalSecurityAuthority(LSA)SecuritySupportProviderInterface(SSPI)AuthenticationPackagesSecuritysupportprovidersNetlogonServiceSecurityAccountManager(SAM)19Windows子系统实现图20Winlogon,LocalSecurityAuthorit以及etlogon服务在任务管理器中都可以看到，其他的以DLL方式被这些文件调用。Windows安全子系统WinlogonandGina: Winlogon调用GINADLL，并监视安全认证序列。而GINADLL提供一个交互式的界面为用户登陆提供认证请求。GINADLL被设计成一个独立的模块，当然我们也可以用一个更加强有力的认证方式（指纹、视网膜）替换内置的GINADLL。

Winlogon在注册表中查找\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon，如果存在GinaDLL键，Winlogon将使用这个DLL，如果不存在该键，Winlogon将使用默认值MSGINA.DLL21Windows安全子系统本地安全认证（LocalSecurityAuthority）：调用所有的认证包，检查在注册表重新找回本地组的SIDs和用户的权限。创建用户的访问令牌。管理本地安装的服务所使用的服务账号。储存和映射用户权限。管理审核的策略和设置。管理信任关系。22Windows安全子系统安全支持提供者的接口（SecuritySupportProvideInterface）：微软的SecuritySupportProvideInterface很简单地遵循RFC2743和RFC2744的定义，提供一些安全服务的API，为应用程序和服务提供请求安全的认证连接的方法。认证包（AuthenticationPackage）： 认证包可以为真实用户提供认证。通过GINADLL的可信认证后，认证包返回用户的SIDs给LSA，然后将其放在用户的访问令牌中。23Windows安全子系统安全支持提供者（SecuritySupportProvider）：

安全支持提供者是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，WindowsNT安装了以下三种：Msnsspc.dll：微软网络挑战/反应认证模块Msapsspc.dll：分布式密码认证挑战/反应模块，该模块也可以在微软网络中使用Schannel.dll：该认证模块使用某些证书颁发机构提供的证书来进行验证，常见的证书机构比如Verisign。这种认证方式经常在使用SSL（SecureSocketsLayer）和PCT（PrivateCommunicationTechnology）协议通信的时候用到。24Windows安全子系统网络登陆（Netlogon）：

网络登陆服务必须在通过认证后建立一个安全的通道。要实现这个目标，必须通过安全通道与域中的域控制器建立连接，然后，再通过安全的通道传递用户的口令，在域的域控制器上响应请求后，重新取回用户的SIDs和用户权限。安全账号管理者（SecurityAccountManager）：

安全账号管理者，也就是我们经常所说的SAM，它是用来保存用户账号和口令的数据库。25Windows2000本地登陆过程26GINALSASSPIKerberosNTLMWindows的密码系统

windowsNT及win2000中对用户帐户的安全管理使用了安全帐号管理器(securityaccountmanager)的机制,安全帐号管理器对帐号的管理是通过安全标识进行的，安全标识在帐号创建时就同时创建，一旦帐号被删除，安全标识也同时被删除。安全标识是唯一的，即使是相同的用户名，在每次创建时获得的安全标识都时完全不同的。27一旦某个账号被删除，它的安全标识就不再存在了，即使使用相同的用户名重建账号，也会被赋予不同的安全标识，不会保留原来的权限。Windows的密码系统安全账号管理器的具体表现就是%SystemRoot%\system32\config\sam文件。sam文件是windowsNT的用户帐户数据库,所有2K/NT用户的登录名及口令等相关信息都会保存在这个文件中。Windows中用文件保存账号信息,不过如果我们用编辑器打开这些NT的sam文件，除了乱码什么也看不到。因为NT系统中将这些资料全部进行了加密处理，一般的编辑器是无法直接读取这些信息的。注册表中的◦HKEY_LOCAL_MACHINE\SAM\SAM◦HKEY_LOCAL_MACHINE\SECURITY\SAM保存的就是SAM文件的内容，在正常设置下仅对system是可读写的。28Windows的密码系统SYSKEY机制：在NT里，口令字密文保存在SAM文件里。NT4SP3以后，微软又对保存在SAM文件里口令字密文增加了一层加密保护机制，这就是SYSKEY机制。可以在开始-〉运行键入“SYSKEY”命令，得到如下窗口，手动激活SYSKEY机制.29设置安全的密码

好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。一些网络管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，比如：“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。这里给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。30口令问题1：弱口令用户趋向于选择容易的口令，即空口令；用户会选择易于记住的东西做口令Test、Password、guest、username等名字、生日、简单数字等易于选择该系统的应用Ntserver、orancle等多数用户的安全意识薄弱31口令问题2：明文传输使用明文密码传送的应用：FTP、POP、Telnet、HTTP、SNMP、SocksMountd、Rlogin、NNTP、NFS、ICQ、IRC、PcAnywhere、VNC等MSSQL、Oracle等上述服务都容易成为攻击对象32口令攻击的方式手工猜测；方法：社会工程学、尝试默认口令自动猜测；工具：NAT、LC等窃听：登陆、网络截获、键盘监听工具：Dsniff、SnifferPro等33Windows常见的口令问题NT/2000的口令问题口令禁忌管理员注意事项34NT/2000的口令问题SAM（SecurityAccountsManager)LanManager散列算法（LM）已被破解，但仍被保留NT散列算法（NTLM/NTLMv2）强加密、改良的身份认证和安全的会话机制自动降级35NT/2000的口令问题LanManager散列算法的问题口令都被凑成14个字符；不足14位的，用0补齐；全部转化为大写字母；分成两部分分别加密。举例：Ba01cK28tr－BA01CK2和8TR000036NT/2000的口令问题SAM数据存放位置%systemroot%\system32\config\sam%systemroot%\repair\sam._(NT)Rdisk%systemroot%\repair\sam（2000）ntbackup注册表HKEY_LOCAL_MACHINE\SAM\SAM和

HKEY_LOCAL_MACHINE\SECURITY\SAM仅对system是可读写的37NT/2000的口令问题获取SAM数据的方法使系统自举到另外的系统，copySAM文件；从repair目录攫取备份的SAM;窃听口令交换38口令策略使用密码强度及账户老化、锁定策略；设置最小的密码程度为8个字符，最短密码时间为1-7天，最长密码时间为42天，最小的密码历史轮回为6，失败登陆尝试为3，账户锁定为60分钟等。39口令禁忌口令禁忌:

不要选择可以在任何字典或语言中找到的口令不要选择简单字母组成的口令不要选择任何指明个人信息的口令 不要选择包含用户名或相似类容的口令不要选择短于6个字符或仅包含字母或数字的口令不要选择作为口令范例公布的口令40管理员注意事项确保每个用户都有一个有效的口令；对用户进行口令教育；使用防止用户选择弱口令的配置与工具；进行口令检查，确保没有弱口令；确保系统与网络设备没有缺省账号和口令；不要在多个机器上使用相同的口令；从不记录也不与他人共享密码；从不将网络登录密码用作其他用途；域Administrators账户和本地Administrators帐户使用不同的密码；小心地保护在计算机上保存密码的地方；对于特权用户强制30天更换一次口令，一般用户60天更换；使用VPN、SSH、一次性口令等安全机制.41Windows的系统服务单击“开始”，指向“设置”，然后单击“控制面板”。双击“管理工具”，然后双击“服务”。在列表框中显示的是系统可以使用的服务。Windows2k下可以在命令行中输入services.msc打开服务列表42Windows的系统服务服务包括三种启动类型：自动、手动、已禁用。

自动-Windows2000启动的时候自动加载服务

手动-Windows2000启动的时候不自动加载服务，在需要的时候手动开启

已禁用-Windows2000启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置

双击需要进行配置的服务，出现下图所示的属性对话框：43Windows的系统服务在KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service底下每一笔服务项目子项都有一个Start数值,这个数值的内容依照每一个服务项目的状况而又有不同。Start数值内容所记录的就是服务项目驱动程式该在何时被加载。目前微软对Start内容的定义有0、1、2、3、4等五种状态,0、1、2分别代表Boot、System、AutoLoad等叁种意义。而Start数值内容为3的服务项目代表让使用者以手动的方式载入(Loadondemand),4则是代表停用的状态,也就是禁用。44Windows的系统进程基本的系统进程smss.exeSessionManager会话管理csrss.exe子系统服务器进程winlogon.exe管理用户登录services.exe包含很多系统服务lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。(系统服务)svchost.exe包含很多系统服务spoolsv.exe将文件加载到内存中以便迟后打印。(系统服务)explorer.exe资源管理器internat.exe输入法

45Windows的系统进程非必要的系统进程mstask.exe允许程序在指定时间运行。(系统服务)regsvc.exe允许远程注册表操作。(系统服务)winmgmt.exe提供系统管理信息(系统服务)。inetinfo.exe通过Internet信息服务的管理单元提供FTP连接和管理。(系统服务)tlntsvr.exe允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在服务器

上的基于Windows的程序。(系统服务)dns.exe应答对域名系统(DNS)名称的查询和更新请求。(系统服务)tcpsvcs.exe提供在PXE可远程启动客户计算机上远程安装Windows2000Professional的能力。(系统服务)ismserv.exe允许在WindowsAdvancedServer站点间发送和接收消息。(系统服务)ups.exe管理连接到计算机的不间断电源(UPS)。(系统服务)wins.exe为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称服务。(系统服务)lssrv.exeLicenseLoggingService(systemservice)ntfrs.exe在多个服务器间维护文件目录内容的文件同步。(系统服务)RsSub.exe控制用来远程储存数据的媒体。(系统服务)locator.exe管理RPC名称服务数据库。(系统服务)lserver.exe注册客户端许可证。(系统服务)dfssvc.exe管理分布于局域网或广域网的逻辑卷。(系统服务)46Windows的系统进程非必要的系统进程clipsrv.exe支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)msdtc.exe并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)faxsvc.exe帮助您发送和接收传真。(系统服务)cisvc.exeIndexingService(systemservice)dmadmin.exe磁盘管理请求的系统管理服务。(系统服务)mnmsrvc.exe允许有权限的用户使用NetMeeting远程访问Windows桌面。(系统服务)netdde.exe提供动态数据交换(DDE)的网络传输和安全特性。(系统服务)smlogsvc.exe配置性能日志和警报。(系统服务)rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)grovel.exe扫描零备份存储(SIS)卷上的重复文件，并将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)SCardSvr.exe对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)snmptrap.exe接收由本地或远程SNMP代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上SNMP管理程序。(系统服务)UtilMan.exe从一个窗口中启动和配置辅助工具。(系统服务)msiexec.exe依据.MSI文件中包含的命令来安装、修复以及删除软件。(系统服务)47Windows的Log系统48Windows有三种类型的事件日志：系统日志、应用程序日志、安全日志跟踪应用程序关联的事件，比如应用程序产生的象装载DLL（动态链接库）失败的信息将出现在日志中

跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意：安全日志的默认状态是关闭的跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障Windows的Log系统日志在系统的位置是：%SYSTEMROOT%\system32\config\SysEvent.Evt%SYSTEMROOT%\system32\config\SecEvent.Evt%SYSTEMROOT%\system32\config\AppEvent.Evt

49系统日志安全日志应用程序日志Windows的应用系统日志Internet信息服务FTP日志默认位置：%systemroot%system32logfilesmsftpsvc1，默认每天一个日志Internet信息服务WWW日志默认位置：

%systemroot%system32logfilesw3svc1，默认每天一个日志Scheduler服务日志默认位置：

%systemroot%schedlgu.txt50FTP日志和WWW日志文件通常为ex(年份)（月份）（日期）。例如：ex131023就是2013年10月23日，用记事本可以直接打开日志文件。FTP日志分析FTP日志分析，如下例：

#Software:MicrosoftInternetInformationServices5.0（微软IIS5.0）

#Version:1.0（版本1.0）

#Date:2000102303:11:55（服务启动时间日期）

03:11:55[1]USERadministator331（IP地址为用户名为administator试图登录）

03:11:58[1]PASS–530（登录失败）

03:12:04[1]USERnt331（IP地址为用户名为nt的用户试图登录）

03:12:06[1]PASS–530（登录失败）

03:12:32[1]USERadministrator331（IP地址为用户名为administrator试图登录）

03:12:34[1]PASS–230（登录成功）

03:12:41[1]MKDnt550（新建目录失败）

03:12:45[1]QUIT–550（退出FTP程序）

从日志里就能看出IP地址为的用户一直试图登录系统，换了3次用户名和密码才成功，管理员立即就可以得知管理员的入侵时间IP地址以及探测的用户名。51HTTP的日志分析HTTP日志分析，如下例：#Software:MicrosoftInternetInformationServices5.0#Version:1.0#Date:2000102303:09:31#Fields:datetimecipcsusernamesipsportcsmethodcsuristemcsuriqueryscstatuscs(UserAgent)2000102303:09:316780GET/iisstart.asp200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)2000102303:09:346780GET/pagerror.gif200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)通过分析第六行，可以看出2000年10月23日，IP地址为6的用户通过访问IP地址为7机器的80端口，查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt，有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间52Windows系统安全

Windows安全原理

Windows安全配置Windows安全工具及checklist53Windows安全配置安装审核系统安全性访问控制账号安全策略管理员权限网络服务安全设置文件系统安全安全日志其它的安全设置54Windows系统安装使用正版可靠安装盘将系统安装在NTFS分区上系统和数据要分开存放在不同的磁盘最小化安装服务安全补丁合集和相关的Hotfix装其它的服务和应用程序补丁每次在安装其它程序之后，重新应用安全补丁55防止病毒进行文件系统安全设置最少建立两个分区，一个系统分区，一个应用程序分区，因为微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。NT安装SP6a和相关的HotfixWIN2K安装SP4和相关的HotfixWINXP安装SP2和相关的HotfixWIN2003安装相关的HotfixNTFS、FAT、FAT3256NTFS与FAT的比较NTFS、FAT、FAT3257审核系统安全性系统安全审核以本地用户的身份来评估系统安全配置。采用专门的杀毒软件检查病毒和后门。例如：安装国外比较知名的防毒软件进行防范。防范木马（远程控制工具）及恶意程序，采用专用清除工具进行防范;例如：Microsoft®WindowsAntiSpyware(Beta)以及随后的升级版本Microsoft®58审核系统安全性后门和木马常见种植位置：1、启动文件夹；%userprofile%\startmenu\programs\startup2、Windows注册表启动项；HKLM\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce3、驱动程序；%systemroot%\system32\drivers4、Web浏览器初始页面下载代码；

5、计划任务59审核系统安全性审核本机的安全补丁安装情况：MicrosoftBaselineSecurityAnalyzer(MBSA)60审核系统安全性MBSA可以用来检查审核Windows、IIS、SQL、IE、Office等产品是否存在某些特定安全配置失误以及是否打上最新的安全补丁/HotFixes是最新的；采用第三方的安全漏洞扫描工具查找漏洞；

采用第三方安全补丁管理产品：Patchlink、Bigfix、Landesk、Ecora等软件来自动安装补丁，修复漏洞，提高系统的安全性。检查可疑的访问:用NTLast等审核程序来判断是否有未授权访61审核系统安全性检查日志记录，查看是否有不寻常事件:

使用信号会经常在日志中被记录(如一次被攻击而导致服务不正常).事件日志和其他数据也有相互关系(可疑文件的创建)，可以判断攻击的起因和来源。可用管理员工具查看事件记录。注册表安全:

重要的安全性控制与注册表有关。经由注册表权限保证注册表项安全，以及使用NTFS权限保证参与注册表数据的所有文件安全。62访问控制对Windows服务器的访问应该只允许授权访问，以及可靠用户。对于XP和2003系统可以开启ICF功能，另外系统资源应该限制只允许授权用户或是那些日常维护服务器的人员访问。尽量将访问来源控制在最小范围内：63ICF访问控制限制远程登录工作组:

从远程工作站登录到一台WINDOWS服务器是通过Microsoft的远程访问服务（RemoteAccessService）服务器.然而，在保护远程工作站上可能会有问题存在，有可能会危及服务器和网络的完整性.只要有可能，RAS就会将它禁止掉。物理上加强服务器安全:

只有授权管理员可以物理访问WindowsNT服务器。包括备份系统和敏感用户文件。为了更长远的考虑，计算机应该有个BIOS的启动密码。禁止多重启动的设置:

多重的启动系统(如WindowsNT在一个扇区而Linux在另一个扇区)会危及到NT文件系统的安全。例如，如果Linux是第二扇区上的系统，一个Linux用户可以绕过所有的访问控制mountNTFS文件系统。限制对注册表访问:

对注册表的访问控制列表稍微有点不一样，可能会有远程访问。64帐户安全策略密码安全是最重要也是必须要提及的.多数的系统,口令是进入系统的第一道防线,也是唯一防线。NT系统上的密码安全可以通过以下方式来改进：

检查密码策略:

查看你的密码策略确定其中的密码是否是有期限的.当设置密码的时候，应该考虑到密码老化的问题。最长的时间应为180天。密码的最短长度应该至少为8个字符，三次错误登录就应该锁住该帐号,还有密码的唯一性（如记录三次的密码）。这样都可以防止攻击者通过猜测密码来实施攻击。

删除无用或过期帐号:

查看哪些帐号是没有用的或者是已经过期了的，然后将他们删除。检查是否存在空密码的帐号:

查看所有帐号是否有空密码,其中Administrator和Guest帐号要留意。屏幕保护使用密码保护:

用密码屏幕保护来增加NT服务器的物理保护。屏幕保护的时间建议是5分钟或更少。设置帐号规则保证帐号安全

强大的密码控制和帐号锁定使黑客攻击系统更为困难.65管理员权限配置Administrator帐号是内置的本地管理员组,拥有NT系统的最高权限.以下操作可在一定程度上增强该帐号的安全性:

权限最高的是system重命名管理员帐号:将Administrator帐号名更名为和其他普通帐号名一样。这可以增加攻击者攻击的复杂度，这样可以避免攻击者猜测管理员密码。检查管理员组成员:用NTLAST来确认只有授权的管理组成员可以使用该帐号。尽量减少使用管理员权限的帐号数量。确认密码强度足够:使用一个不会被猜出的密码或是不会被暴力破解轻易破解出来的密码。密码应该是随意组合的，没有规律，有大小写字符、数字或着是特殊字符，用14个字符的密码。66网络服务安全配置限制对外开放的端口:在TCP/IP的高级设置中选择只允许开放特定端口，或者可以考虑使用路由或防火墙来设置；在服务器区的边界防火墙上关闭DNS区域传送功能；InternetConnectionFirewall(ICF，因特网连接防火墙)：

相当于一个基于主机的防火墙，能够对插在同一台机器里的多块网卡进行数据包过滤。禁用snmp服务或者更改默认的社区名称和权限禁用terminalserver服务将不必要的服务设置为手动:

Alerter、ClipBook、Computer

Browser……67IIS服务安全配置禁用或删除所有的示例应用程序

示例只是示例；在默认情况下，并不安装它们,且从不在生产服务器上安装。请注意一些示例安装，它们只可从http://localhost或访问；但是，它们仍应被删除。

下面列出一些示例的默认位置：示例虚拟目录位置IIS示例\IISSamplesc:\inetpub\iissamplesIIS文档\IISHelpc:\winnt\help\iishelp数据访问\MSADCc:\programfiles\commonfiles\system\msadc68IIS服务安全配置启用或删除不需要的COM组件

某些COM组件不是多数应用程序所必需的，应加以删除.特别是,应考虑禁用文件系统对象组件，但是要注意这将也会删除Dictionary对象。切记某些程序可能需要您禁用的组件。例如，SiteServer3.0使用FileSystemObject。以下命令将禁用FileSystemObject：regsvr32scrrun.dll/u删除IISADMPWD虚拟目录

该目录可用于重置WindowsNT和Windows2000密码。它主要用于Intranet情况下，并不作为IIS5的一部分安装，但是IIS4服务器升级到IIS5时，它并不删除。如果您不使用Intranet或如果将服务器连接到Web上，则应将其删除。69IIS服务安全配置删除无用的脚本映射

IIS被预先配置为支持常用的文件名扩展如.asp和.shtm文件。IIS接收到这些类型的文件请求时，该调用由DLL处理。如果不使用其中的某些扩展或功能，则应删除该映射.步骤如下：

打开Internet服务管理器。

右键单击Web服务器，然后从上下文菜单中选择“属性”。

主属性

选择WWW服务|编辑|主目录|配置70IIS服务安全配置基于Web的密码重设.htrInternet数据库连接器（所有的IIS5Web站点应使用ADO或类似的技术）.idc服务器端包括.stm、.shtm和.shtmlInternet打印.printer索引服务器.htw、.ida和.idq设置适当的IIS日志文件ACL

确保IIS产生的日志文件（%systemroot%\system32\LogFiles)上的ACL是：Administrators（完全控制）System（完全控制）Everyone(RWC)

这有助于防止恶意用户为隐藏他们的踪迹而删除文件。71IIS服务安全配置禁用父路径“父路径”选项允许在对诸如MapPath函数调用中使用“..”。在默认情况下，该选项处于启用状态，应该禁用它。禁用该选项的步骤如下：右键单击该Web站点的根，然后从上下文菜单中选择“属性”。单击“主目录”选项卡。单击“配置”。单击“应用程序选项”选项卡。取消选择“启用父路径”复选框。禁用-内容位置中的IP地址“内容-位置”标头可暴露通常在网络地址转换(NAT)防火墙或代理服务器后面隐藏或屏蔽的内部IP地址。72IIS服务安全配置设置适当的虚拟目录的权限请确保IIS的虚拟目录如scripts等权限设置是否最小化,删除不需要的目录。将iis目录重新定向不要使用系统默认的路径，自定义WEB主目录路径并作相应的权限设置。使用专门的安全工具微软的IIS安全设置工具：IISLockTool；是针对IIS的漏洞设计的，可以有效设置IIS安全属性73文件系统安全WFP的英文全称是WindowsFileProtection，即Windows文件保护。它的主要功能是防止系统文件被不匹配的版本替换或是覆盖。在安装新应用程序时，由于不经意间采用了过时的dll（动态链接库）文件最容易使系统文件遭到破坏。微软把Windows2000安装光盘上的所有dll、exe、fon、ocx、sys、和tff结尾的文件都加以保护）。备份在%SYSTEMROOT%/system32/dllcache文件夹下。当WFP监控到这些文件被覆盖或替换后就要开始自己的工作了。首先它会扫描可能有问题的文件，如果这些文件与备份文件夹内微软“原装”文件不符，WFP会把用SYSTEMROOT%/system32/dllcache目录下备份的文件还原。如果该文件没有做备份，系统会提示你插入Windows2000的安装光盘以复原该文件。74文件系统安全关闭WFP点击开始-->运行，键入regedt32并回车;找到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon]；在右侧的窗格中右键单击选择New-->DWORDValue，为其命名为SFCDisable；在Hexadecimal项下输入键值为ffffff9d以关闭WFP；重新启动系统使所做的更改生效。重启电脑后查看日志文件。点击开始-->设置-->控制面板。打开AdministrativeTools-->EventViewer。你会看到图中所示的记录。在每次Windows2000启动后都会记录下WFP被关闭的情况。75文件系统安全目录和文件权限：为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，必须非常小心地设置目录和文件的访问权限，在默认的情况下，大多数的文件夹（包括所有的根目录）对所有用户（Everyone这个组）是完全敞开的（FullControl），需要根据应用的需要进行权限重设。在进行权限控制时，遵循以下几个原则：权限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限；拒绝的权限要比允许的权限高（拒绝策略会先执行）：如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行；文件权限比文件夹权限高:仅给用户真正需要的权限：权限的最小化原则是安全的重要保证76文件系统安全EFS-加密文件系统

EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK(FileEncryptionKey，文件加密钥匙)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对(统称为密钥)，则会首先生成密钥，然后加密数据。如果你登录到了域环境中，密钥的生成依赖于域控制器，否则依赖于本地机器。 EFS加密系统对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。77文件系统安全EFS加密注意事项a.只有NTFS格式的分区才可以使用EFS加密技术b.第一次使用EFS加密后应及时备份密钥c.如果将未加密的文件复制到具有加密属性的文件夹中，这些文件将会被自动加密。若是将加密数据移出来则有两种情况：若移动到NTFS分区上，数据依旧保持加密属性；若移动到FAT分区上，这些数据将会被自动解密。d.被EFS加密过的数据不能在Windows中直接共享e.NTFSF分区中加密和压缩功能不能同时使用f.Windows系统文件和文件夹无法加密78文件系统安全将下列可执行文件放到一个新建的目录D:\XXX下cmd.exe(重命名为shell.exe）

ping.exe、ftp.exe、route.exe、net.exe、wscript.exe、cscript.exe、arp.exe、cacls.exe、netstat.exe、regedit.exe、regedt32.exe、nslookup.exe、tracert.exe、ipconfig.exe、syskey.exe、issync.exe将此目录进行权限设置删除系统中的如下可执行文件runas.exe、xcopy.exe、tftp.exe、telnet.exeat.exe、nbtstat.exe、rsh.exe、rcp.exe、debug.exe、rexec.exe、

、finger.exe、edlin.exe、runonce.exe、netsh.exe、regini.exe、find.exe79安全日志Windows的默认安装是不开安全审核。Windows2000下本地安全策略->审核策略中打开相应的审核推荐的审核是：策略更改成功失败登录事件成功失败对象访问失败目录服务访问失败特权使用失败系统事件成功失败账户登录事件成功失败账户管理成功失败80谨慎打开“过程追踪”，否则大量的日志信息反而可能使审核困难其他的安全设置关闭自动打开的管理共享

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

键值 AutoShareServer

类型 REG_DWORD

数据 0不显示最后登录用户姓名HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon增添键值DontDisplayLastUserName类型REG_SZ数值181关闭系统默认共享系统的共享为用户带来了众多麻烦，经常会有病毒通过共享来进入电脑。Windows2000/XP/2003版本的操作系统提供了默认共享功能，这些默认的共享都有“$”标志，意为隐含的，包括所有的逻辑盘（C$，D$，E$……）和系统目录Winnt或Windows（admin$）。这些共享，可以在DOS提示符下输入命令NetShare查看。因为操作系统的C盘、D盘等全是共享的，这就给黑客的入侵带来了很大的方便。“震荡波”病毒的传播方式之一就是扫描局域网内所有带共享的主机，然后将病毒上传到上面。下面给大家介绍5种可以关闭操作系统共享的方法。82关闭系统默认共享

83第一种方法:右键关系法。方法是打开“控制面板”→“管理工具”→“计算机管理”→“共享文件夹”→“共享”，在相应的共享文件夹上右击停止共享即可关闭系统默认共享采用这种方法关闭共享，当用户重新启动计算机后，那些共享又会加上了!所以这种方法不能从根本上解决问题。第二种方法：批处理法。打开记事本，输入以下内容（记得每行最后要回车）：

netshareipc$/delete

n