windows系統(tǒng)安全加固(修正版)

1、20112011中國移動(dòng)信息與業(yè)務(wù)支撐部中國移動(dòng)信息與業(yè)務(wù)支撐部安全培訓(xùn)安全培訓(xùn)Windows 主要內(nèi)容主要內(nèi)容uWindows系統(tǒng)安全問題uWindows系統(tǒng)安全加固操作系統(tǒng)安全問題操作系統(tǒng)安全問題操作系統(tǒng)概述操作系統(tǒng)安全概念操作系統(tǒng)安全配置問題操作系統(tǒng)安全漏洞問題vMS- Dos Windows 1.0 ( 1985 ) Windows 2.0 ( 1987 ) Windows 2.1 ( 1988 ) windows 3.0 ( 1990 ) windows 3.1 ( 1992 ) Windows 3.2 ( 1994 )vWIN 9X Windows 95 ( 1995 ) Wind

2、ows 98 ( 1998 ) Windows 98 SE ( 1999 ) Windows Me ( 2000 )vNT 系列系列Windows NT 3.1 ( 1993 ) Windows NT 3.5 ( 1994 ) Windows NT 3.51 ( 1995 ) Windows NT 4.0 ( 1996 ) Windows 2000 NT 5.0 ( 2000 ) windows xp NT 5.1 ( 2001 ) Windows Vista NT 6.0 ( 2005 ) Windows 7 NT 6.1 ( 2009 ) Windows 8 NT 6.？ ( 2011 )

3、vNT 系列系列Windows Server 2003 ( 2003 ) Windows Server 2008 ( 2008 ) Windows Home Server ( 2008 ) Windows HPC Server 2008 ( 2010 )Windows系統(tǒng)安全系統(tǒng)安全問題問題操作系統(tǒng)概述操作系統(tǒng)安全概念操作系統(tǒng)配置問題操作系統(tǒng)安全漏洞問題一般意義上說，一個(gè)操作系統(tǒng)是安全的，是指該系統(tǒng)能夠控制外部對系統(tǒng)信息的訪問，也就是說，只有經(jīng)過授權(quán)的用戶或代表該用戶運(yùn)行的進(jìn)程才能讀、寫、創(chuàng)建和刪除信息。通俗地說身份認(rèn)證解決的是“你是誰，你是否真的是你所聲稱的身份”。訪問控制解決的是“你能做什

4、么，你有什么樣的權(quán)限”。u操作系統(tǒng)安全具有兩層含義：u 一、是指操作系統(tǒng)設(shè)計(jì)時(shí)，通過權(quán)限訪問控制、信息加密性保護(hù)、完整性鑒定等一些安全機(jī)制實(shí)現(xiàn)的安全。u二、是指在操作系統(tǒng)使用過程中，考慮系統(tǒng)缺陷和應(yīng)用環(huán)境的不安全因素而必須進(jìn)行系統(tǒng)的安全配置。操作系統(tǒng)安全問題操作系統(tǒng)安全問題操作系統(tǒng)概述操作系統(tǒng)安全概念操作系統(tǒng)配置問題操作系統(tǒng)安全漏洞問題1. 訪問權(quán)限的恰當(dāng)設(shè)置 指利用操作系統(tǒng)提供的訪問控制功能為用戶和文件系統(tǒng)設(shè)置恰當(dāng)?shù)脑L問權(quán)限。2. 系統(tǒng)的及時(shí)更新 幾乎所有操作系統(tǒng)都不同程度的存在著設(shè)計(jì)和程序缺陷，在應(yīng)用中會產(chǎn)生安全漏洞，容易被病毒利用來侵入并攻擊用戶計(jì)算機(jī)。3. 對于攻擊的防范 利用操作系統(tǒng)

5、提供的各種功能及安裝各種防范軟件來提高系統(tǒng)的防護(hù)能力。操作系統(tǒng)安全問題操作系統(tǒng)安全問題操作系統(tǒng)概述操作系統(tǒng)安全概念操作系統(tǒng)配置問題操作系統(tǒng)安全漏洞問題幾乎說有的操作系統(tǒng)都不是十全十美的，總存在些安全漏洞幾乎說有的操作系統(tǒng)都不是十全十美的，總存在些安全漏洞一些常見及重大的操作系統(tǒng)安全漏洞類型：一些常見及重大的操作系統(tǒng)安全漏洞類型：1. 緩沖區(qū)溢出漏洞2. TCP/IP協(xié)議漏洞3. Web應(yīng)用安全漏洞4. 開放端口的安全漏洞主要內(nèi)容主要內(nèi)容uWindows系統(tǒng)安全問題uWindows系統(tǒng)安全加固Windows系統(tǒng)安全加固系統(tǒng)安全加固1.保護(hù)賬號可以將guest帳號關(guān)閉、停用或改名。如果必需要用gu

6、est帳號的話，需將guest列入拒絕從“網(wǎng)絡(luò)訪問”名單中(如果沒有共享文件夾和打印機(jī))，防止guest從網(wǎng)絡(luò)訪問計(jì)算機(jī)、關(guān)閉計(jì)算機(jī)以及查看日志。l去掉所有的測試帳戶、共享帳號和普通部門帳號等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不使用的帳戶。l帳戶很多是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大。l對于Windows NT/2000主機(jī)，如果系統(tǒng)帳戶超過10個(gè)，一般能找出一兩個(gè)弱口令帳戶，所以帳戶數(shù)量不要大于10個(gè)。這些不用的帳戶可以去掉。lWindows 主機(jī)中的Administrator帳號是不能被停用的，這意味著別人可以一遍

7、又一邊的嘗試這個(gè)帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點(diǎn)。l不要使用Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，比如改成：guestone。具體操作的時(shí)候只要選中帳戶名改名就可以了。l陷阱帳號是創(chuàng)建一個(gè)名為“Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過10位的超級復(fù)雜密碼。l這樣可以讓那些企圖入侵者忙上一段時(shí)間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖?？梢詫⒃撚脩綦`屬的組修改成Guests組。密碼為大于32位的數(shù)字字符符號密碼。建立的陷阱帳號。l好的密碼對于一個(gè)網(wǎng)絡(luò)是非常重要的，但是也是最容易被忽略的

8、。一些網(wǎng)絡(luò)管理員創(chuàng)建帳號的時(shí)候往往用公司名，計(jì)算機(jī)名，或者一些別的一猜就到的字符做用戶名，然后又把這些帳戶的密碼設(shè)置得比較簡單，比如：“welcome”、“iloveyou”、“123456”或者和用戶名相同的密碼等。這樣的帳戶應(yīng)該要求用戶首此登陸的時(shí)候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。l這里給好密碼下了個(gè)定義：安全期內(nèi)無法破解出來的密碼就是好密碼，也就是說，如果得到了密碼文檔，必須花43天或者更長的時(shí)間才能破解出來，密碼策略是42天必須改密碼。設(shè)置屏幕保護(hù)密碼是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。注意不要使用OpenGL和一些復(fù)雜的屏幕保護(hù)程序，浪費(fèi)系統(tǒng)資源，黑屏就可以了。將屏幕保護(hù)的選

9、項(xiàng)“密碼保護(hù)”選中就可以了，并將等待時(shí)間設(shè)置為最短時(shí)間“1分鐘”。計(jì)算機(jī)里通常安裝有了些不必要的服務(wù)，如果這些服務(wù)沒有用的話，最好能將這些服務(wù)關(guān)閉。例如：為了能夠在遠(yuǎn)程方便的管理服務(wù)器，很多機(jī)器的終端服務(wù)都是開著的如果開了要確認(rèn)已經(jīng)正確的配置了終端服務(wù)。有些惡意的程序也能以服務(wù)方式悄悄的運(yùn)行服務(wù)器上的終端服務(wù)。要留意服務(wù)器上開啟的所有服務(wù)并每天檢查。關(guān)閉端口意味著減少功能，如果服務(wù)器安裝在防火墻的后面，被入侵的機(jī)會就會少一些，但是不可以認(rèn)為高枕無憂了?？梢栽诓僮飨到y(tǒng)里來限制端口的訪問，如圖所示為從操作系統(tǒng)TCP/IP里限制端口，只開放4個(gè)端口。審核策略在默認(rèn)的情況下都是沒有開啟的。打開“控制面

10、板”“管理工具”“本地安全設(shè)置”“審核策略”從圖中可以看到,9個(gè)審核策略都沒有打開。最好將這些信息審核信息都打開。以便于以后出現(xiàn)安全事件的時(shí)候進(jìn)行查找。雙擊要打開的審核策略選項(xiàng)。系統(tǒng)密碼在默認(rèn)的情況下都是沒有開啟的。打開“控制面板”“管理工具”“本地安全設(shè)置”“審核策略”。l密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)。 密碼至少包含以下四種類別的字符中的三種： 英語大寫字母 A, B, C, Z 英語小寫字母 a, b, c, z 西方阿拉伯?dāng)?shù)字 0, 1, 2, 9 非字母數(shù)字字符，如標(biāo)點(diǎn)符號，, #, $, %, &, *等l最短密碼長度 6-8個(gè)字符l密碼最長存留期”設(shè)置為“90天l強(qiáng)

11、制密碼歷史”設(shè)置為“記住5個(gè)密碼系統(tǒng)帳戶鎖定策略在默認(rèn)的情況下都是沒有開啟的。打開“控制面板”“管理工具”“本地安全設(shè)置”“帳戶鎖定策略”。l系統(tǒng)的共享為用戶帶來了眾多麻煩，經(jīng)常會有病毒通過共享來進(jìn)入電腦。Windows 2000/XP/2003版本的操作系統(tǒng)提供了默認(rèn)共享功能，這些默認(rèn)的共享都有“$”標(biāo)志，意為隱含的，包括所有的邏輯盤（C$，D$，E$）和系統(tǒng)目錄Winnt或Windows（admin$）。l這些共享，可以在DOS提示符下輸入命令Net Share 查看。因?yàn)椴僮飨到y(tǒng)的C盤、D盤等全是共享的，這就給黑客的入侵帶來了很大的方便?！罢鹗幉ā辈《镜膫鞑シ绞街痪褪菕呙杈钟蚓W(wǎng)內(nèi)所有帶

12、共享的主機(jī)，然后將病毒上傳到上面。下面給大家介紹5種可以關(guān)閉操作系統(tǒng)共享的方法。第一種方法: 右鍵關(guān)系法。方法是打開“控制面板”“管理工具”“計(jì)算機(jī)管理”“共享文件夾”“共享”，在相應(yīng)的共享文件夾上右擊停止共享即可.l如果采用第一種方法關(guān)閉共享，當(dāng)用戶重新啟動(dòng)計(jì)算機(jī)后，那些共享又會加上了!所以這種方法不能從根本上解決問題。l第二種方法：批處理法。打開記事本，輸入以下內(nèi)容（記得每行最后要回車）：net share admin$ /deletenet share c$ /deletenet share d$ /deletenet share e$ /delete（有幾個(gè)硬盤分區(qū)就寫幾行這樣的命令）

13、l將以上內(nèi)容保存為NotShare.bat（注意后綴），然后把這個(gè)批處理文件拖到“程序”“啟動(dòng)”項(xiàng)，這樣每次開機(jī)就會運(yùn)行它，也就是通過net命令關(guān)閉共享。如果哪一天需要開啟某個(gè)或某些共享，只要重新編輯這個(gè)批處理文件即可（把相應(yīng)的那個(gè)命令行刪掉）。l第三種方法：注冊表改鍵值法。l單擊“開始”“運(yùn)行”輸入“regedit”確定后，打開注冊表編輯器，找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”項(xiàng)，雙擊右側(cè)窗口中的“AutoShareServer”項(xiàng)將鍵值由1改為0，這樣就能關(guān)閉硬盤各分區(qū)的共享。

14、“AutoShareWks”項(xiàng)，也把鍵值由1改為0，關(guān)閉admin$共享。如果沒有以上兩項(xiàng)，可自己新建一個(gè)再改鍵值。l第四種方法：停止服務(wù)法。這種方法最簡單，打開“控制面板”的“計(jì)算機(jī)管理”窗口中，單擊展開左側(cè)的“服務(wù)和應(yīng)用程序”并選中其中的“服務(wù)”，此時(shí)右側(cè)就列出了所有服務(wù)項(xiàng)目。共享服務(wù)對應(yīng)的名稱是“Server”（在進(jìn)程中的名稱為services），也是最徹底刪除ipc$共享服務(wù)的辦法。l第五種方法：卸載“文件和打印機(jī)共享”法。方法是右擊“網(wǎng)上鄰居”選“屬性”，在彈出的“網(wǎng)絡(luò)和撥號連接”窗口中右擊“本地連接”選“屬性”，從“此連接使用下列選定的組件”中選中“Microsoft網(wǎng)絡(luò)的文件和打

15、印機(jī)共享”后，單擊下面的“卸載”，再單擊“確定”l注意：本方法最大的缺陷是當(dāng)在某個(gè)文件夾上右擊時(shí)，彈出的快捷菜單中的“共享”一項(xiàng)消失了，因?yàn)閷?yīng)的功能服務(wù)已經(jīng)被卸載了，以后如果再想用共享時(shí)，需要重新加載這個(gè)協(xié)議l黑客利用TTL（Time-To-Live，活動(dòng)時(shí)間）值可以鑒別操作系統(tǒng)的類型，通過Ping指令能判斷目標(biāo)主機(jī)類型。Ping的用處是檢測目標(biāo)主機(jī)是否連通。l許多入侵者首先會Ping一下主機(jī)，因?yàn)楣裟骋慌_計(jì)算機(jī)需要根據(jù)對方的操作系統(tǒng)是Windows還是Unix。如TTL值為128就可以認(rèn)為系統(tǒng)為Windows 2000。l UNIX 及類 UNIX 操作系統(tǒng) ICMP 回顯應(yīng)答的 TTL

16、 字段值為 255 l微軟 Windows NT/2K/XP操作系統(tǒng) ICMP 回顯應(yīng)答的 TTL 字段值為 128 l微軟 Windows 95 操作系統(tǒng) ICMP 回顯應(yīng)答的 TTL 字段值為 32 修改TTL的值，比如將操作系統(tǒng)的TTL值改為111。方法是修改主鍵HKEY_LOCAL_MACHINE的子鍵：SYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERS中defaultTTL的鍵值。如果沒有，則新建一個(gè)雙字節(jié)項(xiàng)defaultTTL，然后將其值改為十進(jìn)制的111，設(shè)置完畢，重新啟動(dòng)計(jì)算機(jī)，再用Ping指令，發(fā)現(xiàn)TTL的值已經(jīng)被改成111了。通常

17、方法有兩個(gè)，第一，用系統(tǒng)自帶補(bǔ)丁更新功能下載更新（搭建的WSUS服務(wù)器）。第二，載三方軟件更新，金山衛(wèi)士（360等都有的）。推薦使用第一種方式下載更新補(bǔ)丁。應(yīng)安裝最新的Service Pack補(bǔ)丁集。對服務(wù)器系統(tǒng)應(yīng)先進(jìn)行兼容性測試。Windows XP的Service Pack為SP2。Windows2000的Service Pack為SP4,Windows 2003的Servoce Pack為SP1l “數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡，設(shè)置為“ 僅為基本 Windows 操作系統(tǒng)程序和服務(wù)啟用DEP”，防止在受保護(hù)內(nèi)存位置運(yùn)行有害代碼。l如需啟用IIS服務(wù)，則將IIS升級到最新補(bǔ)?。ㄒ寻惭bIIS 補(bǔ)丁包或IIS6.0 ）。l如對互聯(lián)網(wǎng)開放WindowsTerminial服務(wù)(Remote Desktop)，需修改默認(rèn)服務(wù)端口，HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 找到“PortNumber”子項(xiàng)，會看到默00000D3D， 它是 3389 的十六進(jìn)制表示形式。使用十六進(jìn)制數(shù)值修改此端口號，并保存新