云南移動信息安全培訓(xùn)——windows操作系統(tǒng)安全

1、云南移動信息安全培訓(xùn)云南移動信息安全培訓(xùn)windows操作系統(tǒng)安全操作系統(tǒng)安全WindowsWindows系統(tǒng)安全系統(tǒng)安全 Windows Windows Windows安全工具及checklist2 Windows系統(tǒng)的安全架構(gòu) Windows的安全子系統(tǒng) Windows的密碼系統(tǒng) Windows的系統(tǒng)服務(wù)和進(jìn)程 Windows的日志系統(tǒng)3Windows安全原理4Windows系統(tǒng)的安全架構(gòu)Windows NT的安全包括6個(gè)主要的安全元素：l Auditl Administrationl Encryptionl Access Control l User Authentication l C

2、orporate Security Policy Windows NTWindows NT系統(tǒng)內(nèi)置支持用戶認(rèn)證、訪問控制、管理、審核系統(tǒng)內(nèi)置支持用戶認(rèn)證、訪問控制、管理、審核5Windows系統(tǒng)的安全組件訪問控制的判斷（訪問控制的判斷（Discretion access controlDiscretion access control）按照C2級別的定義，Windows 支持對象的訪問控制的判斷。這些需求包括允許對象的所有者可以控制誰被允許訪問該對象以及訪問的方式。 對象重用（對象重用（Object reuseObject reuse）當(dāng)資源（內(nèi)存、磁盤等）被某應(yīng)用訪問時(shí)，Windows 禁止

3、所有的系統(tǒng)應(yīng)用訪問該資源。強(qiáng)制登陸（強(qiáng)制登陸（Mandatory log onMandatory log on）與Windows for Workgroups，Windwows 95，Windows 98不同，Windows2K/ NT要求所有的用戶必須登陸，通過認(rèn)證后才可以訪問資源。審核（審核（AuditingAuditing）Windows NT 在控制用戶訪問資源的同時(shí)，也可以對這些訪問作了相應(yīng)的記錄。對象的訪問控制（對象的訪問控制（Control of access to objectControl of access to object）Windows NT不允許直接訪問系統(tǒng)的某些資

4、源。必須是該資源允許被訪問，然后是用戶或應(yīng)用通過第一次認(rèn)證后再訪問 為了實(shí)現(xiàn)自身的安全特性，Windows2K/ NT把所有的資源作為系統(tǒng)的特殊的對象。這些對象包含資源本身，Windows2K/ NT提供了一種訪問機(jī)制去使用它們。由于這些基本的原因，所以把Windows2K/ NT稱為基于對象的操作系統(tǒng)。MicrosoftMicrosoft的安全就是基于以下的法則：的安全就是基于以下的法則： 用對象表現(xiàn)所有的資源 只有Windows2K/ NT才能直接訪問這些對象 對象能夠包含所有的數(shù)據(jù)和方法 對象的訪問必須通過Windows 2K/NT的安全子系統(tǒng)的第一次驗(yàn)證 存在幾種單獨(dú)的對象，每一個(gè)對象

5、的類型決定了這些對象能做些什么Windows Windows 中首要的對象類型有：中首要的對象類型有： 文件 文件夾 打印機(jī) I/O設(shè)備窗口 線程 進(jìn)程 內(nèi)存 這些安全構(gòu)架的目標(biāo)就是實(shí)現(xiàn)系統(tǒng)的牢固性。從設(shè)計(jì)來考慮，就是所有的訪問都必須通過同一種方法認(rèn)證，減少安全機(jī)制被繞過的機(jī)會。6Windows系統(tǒng)的對象7WindowsWindows系統(tǒng)的安全主體系統(tǒng)的安全主體用戶用戶 用戶、用戶帳戶、Administrator 、SYSTEM、LocalSystem用戶組用戶組 為簡化用戶管理而引入的一個(gè)概念（類似一個(gè)容器，里面是權(quán)限相同的用戶），還可以同時(shí)為多個(gè)用戶授權(quán)。計(jì)算機(jī)（機(jī)器帳戶）計(jì)算機(jī)（機(jī)器帳戶

6、） 當(dāng)一個(gè)Windows系統(tǒng)加入某個(gè)域的時(shí)候，域控制器為它創(chuàng)建的一個(gè)計(jì)算機(jī)帳戶。8用戶權(quán)限權(quán)限權(quán)限: :可以授予用戶或組的文件系統(tǒng)能力有了相應(yīng)的用戶權(quán)限，賬戶才有權(quán)去進(jìn)行特定的操作。兩類用戶權(quán)限：兩類用戶權(quán)限：登陸權(quán)限：賬戶在通過身份驗(yàn)證之前所具備的權(quán)限。操作權(quán)限：賬戶在通過身份驗(yàn)證之后所具備的權(quán)限。z 如果某個(gè)賬戶同時(shí)出現(xiàn)在“拒絕”和“允許”兩種授權(quán)策略里，結(jié)果是“拒絕”大于“允許”的權(quán)限；授權(quán)時(shí)注意“最小授權(quán)原則”網(wǎng)絡(luò)安全性依賴于給用戶或組授予的能力：權(quán)力權(quán)力: 在系統(tǒng)上完成特定動作的授權(quán)，一般由系統(tǒng)指定給內(nèi)置組，但也可以由管理員將其擴(kuò)大到組和用戶上權(quán)限權(quán)限: 可以授予用戶或組的文件系統(tǒng)能

7、力共享共享: 用戶可以通過網(wǎng)絡(luò)使用的文件夾9用戶權(quán)利、權(quán)限和共享權(quán)限10Windows系統(tǒng)的用戶權(quán)利 權(quán)利適用于對整個(gè)系統(tǒng)范圍內(nèi)的對象和任務(wù)的操作，通常是用來授權(quán)用戶執(zhí)行某些系統(tǒng)任務(wù)。當(dāng)用戶登錄到一個(gè)具有某種權(quán)利的帳號時(shí)，該用戶就可以執(zhí)行與該權(quán)利相關(guān)的任務(wù)。 下面列出了用戶的特定權(quán)利： Access this computer from network 可使用戶通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)。 Add workstation to a domain 允許用戶將工作站添加到域中。 Backup files and directories 授權(quán)用戶對計(jì)算機(jī)的文件和目錄進(jìn)行備份。 Change the sys

8、tem time 用戶可以設(shè)置計(jì)算機(jī)的系統(tǒng)時(shí)鐘。 Load and unload device drive 允許用戶在網(wǎng)絡(luò)上安裝和刪除設(shè)備的驅(qū)動程序。 Restore files and directories 允許用戶恢復(fù)以前備份的文件和目錄。 Shutdown the system 允許用戶關(guān)閉系統(tǒng)。11Windows系統(tǒng)的用戶權(quán)限權(quán)限適用于對特定對象如目錄和文件（只適用于NTFS卷）的操作， 指定允許哪些用戶可以使用這些對象，以及如何使用（如把某個(gè)目錄的訪問權(quán)限授予指定的用戶）。權(quán)限分為目錄權(quán)限和文件權(quán)限，每一個(gè)權(quán)級別都確定了一個(gè)執(zhí)行特定的任務(wù)組合的能力，這些任務(wù)是： Read(R)、E

9、xecute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O)。下表顯示了這些任務(wù)是如何與各種權(quán)限級 別相關(guān)聯(lián)的。z 下表顯示了這些任務(wù)是如何與各種權(quán)限級別相關(guān)聯(lián)的Windows系統(tǒng)的用戶權(quán)限12權(quán)限級別權(quán)限級別RXWDPO允許的用戶動作允許的用戶動作No Access 用戶不能訪問該目錄ListRX可以查看目錄中的子目錄和文件名，也可以進(jìn)入其子目錄ReadRX具有List權(quán)限，用戶可以讀取目錄中的文件和 運(yùn)行目錄中的應(yīng)用程序AddXW用戶可以添加文件和子錄Add and ReadRXW具有Read和Add的權(quán)限ChangeR

10、XWD有Add和Read的權(quán)限， 另外還可以更改文件的內(nèi)容，刪除文件和子目錄Full controlRXWDPO有Change的權(quán)限，另外用戶可以更改權(quán)限和獲取目錄的所有權(quán)Windows系統(tǒng)的用戶權(quán)限13權(quán)限級別權(quán)限級別RXWDPO允許的用戶動作允許的用戶動作No Access 用戶不能訪問該文件ReadRX用戶可以讀取該文件，如果是應(yīng)用程序可以運(yùn)行ChangeRXWD有Read的權(quán)限，還可用修和刪除文件Full controlRXWDPO包含Change的權(quán)限，還可以更改權(quán)限和獲取文件的有權(quán)Windows系統(tǒng)的共享權(quán)限14共享只適用于文件夾（目錄），如果文件夾不是共享的，那么在網(wǎng) 絡(luò)上就不會

11、有用戶看到它，也就更不能訪問。網(wǎng)絡(luò)上的絕大多數(shù)服務(wù)器主要用于存放可被網(wǎng)絡(luò)用戶訪問的文件和目錄，要使網(wǎng)絡(luò)用戶可以訪問在NT ServerNT Server服務(wù)器上的文件和目錄，必須首先對它建立共享。共享權(quán) 限建立了通過網(wǎng)絡(luò)對共享目錄訪問的最高級別。 Windows系統(tǒng)的共享權(quán)限15共享權(quán)限級別共享權(quán)限級別允許的用戶動作允許的用戶動作No Access(不能訪問)禁止對目錄和其中的文件及子目錄進(jìn)行訪問但允許查看文件名和子目錄名，改變共享Read(讀)目錄的子目錄，還允許查看文件的數(shù)據(jù) 和運(yùn)行應(yīng)用程序Change(更改)具有“讀”權(quán)限中允許的操作，另外允許往目錄中添加文件和子目錄，更改文數(shù)據(jù)，刪除文

12、件和子目錄Full control(完全控制)具有“更改”權(quán)限中允許的操作，另外還允許更改權(quán)限(只適用于NTFS卷)和獲所有權(quán)(只適用于NTFS卷)z 共享點(diǎn)一定要慎重分配，因?yàn)闄?quán)限僅僅是分配給共享點(diǎn)的，任何共享點(diǎn)下的文件或目錄都足以和共享點(diǎn)本身相同的權(quán)限被訪問到Windows安全子系統(tǒng)的組件16Windows NT安全子系統(tǒng)包含五個(gè)關(guān)鍵的組件：Security identifiers，Access tokens，Security descriptors，Access control lists，Access ControlEntries安全標(biāo)識符（安全標(biāo)識符（Security Identif

13、iersSecurity Identifiers） SID永遠(yuǎn)都是唯一的，由計(jì)算機(jī)名、當(dāng)前時(shí)間、當(dāng)前用戶態(tài)線程的CPU耗費(fèi)時(shí)間的總和三個(gè)參數(shù)決定以保證它的唯一性。 例： S-1-5-21-1763234323-3212657521-1234321321-500第一項(xiàng)S表示該字符串是SID 第二項(xiàng)是SID的版本號，對于2000來說，這個(gè)就是1 然后是標(biāo)志符的頒發(fā)機(jī)構(gòu)（identifier authority），對于2000內(nèi)的帳戶，頒發(fā)機(jī)構(gòu)就是NT，值是5 四組數(shù)字是簽發(fā)者子代碼（明確此SID的簽發(fā)者是誰）最后一個(gè)標(biāo)志著域內(nèi)的帳戶和組；500是RID Windows安全子系統(tǒng)的組件z 訪問令牌（

14、訪問令牌（Access tokens） 訪問令牌是用戶在通過驗(yàn)證的時(shí)候有登陸進(jìn)程所提供的，所以改變用戶的權(quán)限需要注銷后重新登陸，重新獲取訪問令牌。z 安全描述符（安全描述符（Security descriptors） Windows NT中的任何對象的屬性都有安全描述符這部分。它保存對象的安全配置。 訪問控制列表（訪問控制列表（Access control lists） 在NT系統(tǒng)中，每當(dāng)請求一個(gè)對象或資源訪問時(shí)，就會檢查它的ACL，確認(rèn)給用戶授予了什么樣的權(quán)利。每創(chuàng)建一個(gè)對象，對應(yīng)的ACL也會創(chuàng)建。ACL包含一個(gè)頭部，其中包含有更新版本號、ACL的大小以及它所包含的ACE數(shù)量等信息。17Wi

15、ndows安全子系統(tǒng)的組件z 訪問控制項(xiàng)（訪問控制項(xiàng)（Access control entries） 訪問控制項(xiàng)（ACE）包含了用戶或組的SID以及對象的權(quán)限。 訪問控制項(xiàng)有兩種：允許訪問和拒絕訪問。拒絕訪問的級別高于允許訪問。 當(dāng)使用管理工具列出對象的訪問權(quán)限時(shí)，列表的排序是以文字為順序的，它并不象防火墻的規(guī)則那樣由上往下的，不過好在并不會出現(xiàn)沖突，拒絕訪問總是優(yōu)先于允許訪問18Windows安全子系統(tǒng)WinlogonGraphical Identification and Authentication DLL (GINA)Local Security Authority(LSA)Secur

16、ity Support Provider Interface(SSPI)Authentication PackagesSecurity support providersNetlogon ServiceSecurity Account Manager(SAM)19Windows子系統(tǒng)實(shí)現(xiàn)圖20Winlogon, Local Security Authorit以及etlogon服務(wù)在任務(wù)管理器中都可以看到，其他的以DLL方式被這些文件調(diào)用。Windows安全子系統(tǒng)Winlogon and Gina: Winlogon調(diào)用GINA DLL，并監(jiān)視安全認(rèn)證序列。而GINA DLL提供一個(gè)交互式的界面

17、為用戶登陸提供認(rèn)證請求。GINA DLL被設(shè)計(jì)成一個(gè)獨(dú)立的模塊，當(dāng)然我們也可以用一個(gè)更加強(qiáng)有力的認(rèn)證方式（指紋、視網(wǎng)膜）替換內(nèi)置的GINA DLL。 Winlogon在注冊表中查找HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon ，如果存在GinaDLL鍵，Winlogon將使用這個(gè)DLL，如果不存在該鍵，Winlogon將使用默認(rèn)值MSGINA.DLL21Windows安全子系統(tǒng) 本地安全認(rèn)證（本地安全認(rèn)證（Local Security Authority）：）：調(diào)用所有的認(rèn)證包，檢查在注冊表重新找回本地組的SIDs和用戶的權(quán)限。創(chuàng)建

18、用戶的訪問令牌。管理本地安裝的服務(wù)所使用的服務(wù)賬號。儲存和映射用戶權(quán)限。管理審核的策略和設(shè)置。管理信任關(guān)系。22Windows安全子系統(tǒng) 安全支持提供者的接口（安全支持提供者的接口（Security Support Provide Interface）：）： 微軟的Security Support Provide Interface很簡單地遵循RFC 2743和RFC 2744的定義，提供一些安全服務(wù)的API，為應(yīng)用程序和服務(wù)提供請求安全的認(rèn)證連接的方法。z 認(rèn)證包（認(rèn)證包（Authentication Package）：）：認(rèn)證包可以為真實(shí)用戶提供認(rèn)證。通過GINA DLL的可信認(rèn)證后，認(rèn)證

19、包返回用戶的SIDs給LSA，然后將其放在用戶的訪問令牌中。23Windows安全子系統(tǒng) 安全支持提供者（安全支持提供者（Security Support Provider）：）： 安全支持提供者是以驅(qū)動的形式安裝的，能夠?qū)崿F(xiàn)一些附加的安全機(jī)制，默認(rèn)情況下，Windows NT安裝了以下三種：yMsnsspc.dll：微軟網(wǎng)絡(luò)挑戰(zhàn)/反應(yīng)認(rèn)證模塊yMsapsspc.dll：分布式密碼認(rèn)證挑戰(zhàn)/反應(yīng)模塊，該模塊也可以在微軟網(wǎng)絡(luò)中使用ySchannel.dll：該認(rèn)證模塊使用某些證書頒發(fā)機(jī)構(gòu)提供的證書來進(jìn)行驗(yàn)證，常見的證書機(jī)構(gòu)比如Verisign。這種認(rèn)證方式經(jīng)常在使用SSL（Secure Sock

20、ets Layer）和PCT（Private Communication Technology）協(xié)議通信的時(shí)候用到。24Windows安全子系統(tǒng) 網(wǎng)絡(luò)登陸（網(wǎng)絡(luò)登陸（Netlogon）：）： 網(wǎng)絡(luò)登陸服務(wù)必須在通過認(rèn)證后建立一個(gè)安全的通道。要實(shí)現(xiàn)這個(gè)目標(biāo)，必須通過安全通道與域中的域控制器建立連接，然后，再通過安全的通道傳遞用戶的口令，在域的域控制器上響應(yīng)請求后，重新取回用戶的SIDs和用戶權(quán)限。z 安全賬號管理者（安全賬號管理者（Security Account Manager）：）： 安全賬號管理者，也就是我們經(jīng)常所說的SAM，它是用來保存用戶賬號和口令的數(shù)據(jù)庫。25Windows 2000

21、 本地登陸過程26GINALSASSPIKerberosNTLMWindows的密碼系統(tǒng) windows NT及win2000中對用戶帳戶的安全管理使用了安全帳號管理器(security account manager)的機(jī)制,安全帳號管理器對帳號的管理是通過安全標(biāo)識進(jìn)行的，安全標(biāo)識在帳號創(chuàng)建時(shí)就同時(shí)創(chuàng)建，一旦帳號被刪除，安全標(biāo)識也同時(shí)被刪除。安全標(biāo)識是唯一的，即使是相同的用戶名，在每次創(chuàng)建時(shí)獲得的安全標(biāo)識都時(shí)完全不同的。27z 一旦某個(gè)賬號被刪除，它的安全標(biāo)識就不再存在了，即使使用相同的用戶名重建賬號，也會被賦予不同的安全標(biāo)識，不會保留原來的權(quán)限。Windows的密碼系統(tǒng)z 安全賬號管理器的

22、具體表現(xiàn)就是%SystemRoot%system32configsam文件。sam文件是windows NT的用戶帳戶數(shù)據(jù)庫,所有2K/NT用戶的登錄名及口令等相關(guān)信息都會保存在這個(gè)文件中。z Windows中用文件保存賬號信息,不過如果我們用編輯器打開這些NT的sam文件，除了亂碼什么也看不到。因?yàn)镹T系統(tǒng)中將這些資料全部進(jìn)行了加密處理，一般的編輯器是無法直接讀取這些信息的。注冊表中的 HKEY_LOCAL_MACHINESAMSAM HKEY_LOCAL_MACHINESECURITYSAM 保存的就是SAM文件的內(nèi)容，在正常設(shè)置下僅對system是 可讀寫的。28Windows的密碼系統(tǒng)

23、SYSKEY機(jī)制：z 在NT里，口令字密文保存在SAM文件里。NT4SP3以后，微軟又對保存在SAM文件里口令字密文增加了一層加密保護(hù)機(jī)制，這就是SYSKEY機(jī)制。z 可以在開始-運(yùn)行鍵入“SYSKEY”命令，得到如下窗口，手動激活 SYSKEY機(jī)制.29設(shè)置安全的密碼設(shè)置安全的密碼z好的密碼對于一個(gè)網(wǎng)絡(luò)是非常重要的，但是也是最容易被忽略的。一些網(wǎng)絡(luò)管理員創(chuàng)建帳號的時(shí)候往往用公司名，計(jì)算機(jī)名，或者一些別的一猜就到的字符做用戶名，然后又把這些帳戶的密碼設(shè)置得比較簡單，比如：“welcome”、“iloveyou”、“l(fā)etmein”或者和用戶名相同的密碼等。這樣的帳戶應(yīng)該要求用戶首此登陸的時(shí)候更

24、改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。z這里給好密碼下了個(gè)定義：安全期內(nèi)無法破解出來的密碼就是好密碼，也就是說，如果得到了密碼文檔，必須花43天或者更長的時(shí)間才能破解出來，密碼策略是42天必須改密碼。30口令問題口令問題1 1：弱口令：弱口令z用戶趨向于選擇容易的口令，即空口令；z用戶會選擇易于記住的東西做口令Test、Password、guest、username等名字、生日、簡單數(shù)字等z易于選擇該系統(tǒng)的應(yīng)用 Ntserver、orancle等z多數(shù)用戶的安全意識薄弱31口令問題口令問題2 2：明文傳輸：明文傳輸z使用明文密碼傳送的應(yīng)用：yFTP、POP、Telnet、HTTP、SNMP、S

25、ocksyMountd、Rlogin、 NNTP、 NFS、yICQ、 IRC、 PcAnywhere、VNC等yMS SQL 、Oracle等z上述服務(wù)都容易成為攻擊對象32口令攻擊的方式口令攻擊的方式z手工猜測；方法：社會工程學(xué)、嘗試默認(rèn)口令z自動猜測；工具：NAT、LC等z竊聽：登陸、網(wǎng)絡(luò)截獲、鍵盤監(jiān)聽工具：Dsniff、Sniffer Pro等33WindowsWindows常見的口令問題常見的口令問題z NT/2000的口令問題z 口令禁忌z 管理員注意事項(xiàng)34NT/2000NT/2000的口令問題的口令問題 SAM（Security Accounts Manager)LanMana

26、ger散列算法（LM）已被破解，但仍被保留NT散列算法（NTLM/NTLMv2 ）強(qiáng)加密、改良的身份認(rèn)證和安全的會話機(jī)制 自動降級35NT/2000NT/2000的口令問題的口令問題 LanManager散列算法的問題口令都被湊成14個(gè)字符；不足14位的，用0補(bǔ)齊；全部轉(zhuǎn)化為大寫字母；分成兩部分分別加密。 舉例：Ba01cK28tr BA01CK2和8TR0000 36NT/2000NT/2000的口令問題的口令問題 SAM數(shù)據(jù)存放位置%systemroot%system32configsam%systemroot%repairsam._(NT)Rdisk%systemroot%repairs

27、am （2000）ntbackup注冊表HKEY_LOCAL_MACHINESAMSAM 和HKEY_LOCAL_MACHINESECURITYSAM僅對system是可讀寫的 37NT/2000NT/2000的口令問題的口令問題 獲取SAM數(shù)據(jù)的方法使系統(tǒng)自舉到另外的系統(tǒng)，copy SAM文件；從repair目錄攫取備份的SAM;竊聽口令交換38口令策略口令策略使用密碼強(qiáng)度及賬戶老化、鎖定策略；設(shè)置最小的密碼程度為8個(gè)字符，最短密碼時(shí)間為1-7天，最長密碼時(shí)間為42天，最小的密碼歷史輪回為6，失敗登陸嘗試為3，賬戶鎖定為60分鐘等。39口令禁忌口令禁忌z口令禁忌:y 不要選擇可以在任何字典或

28、語言中找到的口令 y 不要選擇簡單字母組成的口令 y 不要選擇任何指明個(gè)人信息的口令 y 不要選擇包含用戶名或相似類容的口令y 不要選擇短于6個(gè)字符或僅包含字母或數(shù)字的口令y 不要選擇作為口令范例公布的口令40管理員注意事項(xiàng)管理員注意事項(xiàng)確保每個(gè)用戶都有一個(gè)有效的口令；對用戶進(jìn)行口令教育；使用防止用戶選擇弱口令的配置與工具；進(jìn)行口令檢查，確保沒有弱口令；確保系統(tǒng)與網(wǎng)絡(luò)設(shè)備沒有缺省賬號和口令；不要在多個(gè)機(jī)器上使用相同的口令；從不記錄也不與他人共享密碼；從不將網(wǎng)絡(luò)登錄密碼用作其他用途；域Administrators賬戶和 本地Administrators帳戶使用不同的密碼；小心地保護(hù)在計(jì)算機(jī)上保存

29、密碼的地方；對于特權(quán)用戶強(qiáng)制30天更換一次口令，一般用戶60天更換；使用VPN、SSH、一次性口令等安全機(jī)制.41WindowsWindows的系統(tǒng)服務(wù)的系統(tǒng)服務(wù)z 單擊“開始”，指向“設(shè)置”，然后單擊“控制面板”。雙擊“管理工具”，然后雙擊“服務(wù)”。在列表框中顯示的是系統(tǒng)可以使用的服務(wù)。z Windows 2k下可以在命令行中輸入services.msc打開服務(wù)列表42WindowsWindows的系統(tǒng)服務(wù)的系統(tǒng)服務(wù)z 服務(wù)包括三種啟動類型：自動、手動、已禁用。自動 - Windows 2000啟動的時(shí)候自動加載服務(wù) 手動 - Windows 2000啟動的時(shí)候不自動加載服務(wù)，在需要的時(shí)候手

30、動開啟 已禁用 - Windows 2000啟動的時(shí)候不自動加載服務(wù)，在需要的時(shí)候選擇手動或者自動方式開啟服務(wù)，并重新啟動電腦完成服務(wù)的配置雙擊需要進(jìn)行配置的服務(wù)，出現(xiàn)下圖所示的屬性對話框：43WindowsWindows的系統(tǒng)服務(wù)的系統(tǒng)服務(wù)在KEY_LOCAL_MACHINESYSTEMCurrentControlSetService 底下每一筆 服務(wù)項(xiàng)目子項(xiàng)都有一個(gè) Start 數(shù)值, 這個(gè)數(shù)值的內(nèi)容依照每一個(gè)服務(wù)項(xiàng)目的狀 況而又有不同。Start 數(shù)值內(nèi)容所記錄的就是服務(wù)項(xiàng)目驅(qū)動程式該在何時(shí)被加載。目前微軟對 Start 內(nèi)容的定義有 0、1、2、3、4 等五種狀態(tài), 0、1、2 分別代

31、表 Boot、 System、Auto Load 等叁種意義。而 Start 數(shù)值內(nèi)容為 3 的服務(wù)項(xiàng)目代表讓使用 者以手動的方式載入(Load on demand), 4 則是代表停用的狀態(tài), 也就是禁用。 44WindowsWindows的系統(tǒng)進(jìn)程的系統(tǒng)進(jìn)程基本的系統(tǒng)進(jìn)程ysmss.exe Session Manager 會話管理ycsrss.exe 子系統(tǒng)服務(wù)器進(jìn)程 ywinlogon.exe 管理用戶登錄 yservices.exe 包含很多系統(tǒng)服務(wù) ylsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動程序。(系統(tǒng)服務(wù)) ysv

32、chost.exe 包含很多系統(tǒng)服務(wù) yspoolsv.exe 將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)服務(wù)) yexplorer.exe 資源管理器 yinternat.exe 輸入法 45WindowsWindows的系統(tǒng)進(jìn)程的系統(tǒng)進(jìn)程非必要的系統(tǒng)進(jìn)程zmstask.exe 允許程序在指定時(shí)間運(yùn)行。(系統(tǒng)服務(wù))zregsvc.exe 允許遠(yuǎn)程注冊表操作。(系統(tǒng)服務(wù))zwinmgmt.exe 提供系統(tǒng)管理信息(系統(tǒng)服務(wù))。zinetinfo.exe 通過Internet 信息服務(wù)的管理單元提供FTP 連接和管理。(系統(tǒng)服務(wù)) ztlntsvr.exe 允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控

33、制臺程序。(系統(tǒng)服務(wù))ztermsrv.exe 提供多會話環(huán)境允許客戶端設(shè)備訪問虛擬的Windows 2000 Professional 桌面會話以及運(yùn)行在服務(wù)器 上的基于Windows的程序。(系統(tǒng)服務(wù))zdns.exe 應(yīng)答對域名系統(tǒng)(DNS)名稱的查詢和更新請求。(系統(tǒng)服務(wù))ztcpsvcs.exe 提供在PXE 可遠(yuǎn)程啟動客戶計(jì)算機(jī)上遠(yuǎn)程安裝zWindows 2000 Professional 的能力。(系統(tǒng)服務(wù))zismserv.exe 允許在Windows Advanced Server 站點(diǎn)間發(fā)送和接收消息。(系統(tǒng)服務(wù))zups.exe 管理連接到計(jì)算機(jī)的不間斷電源(UPS)。(

34、系統(tǒng)服務(wù))zwins.exe 為注冊和解析NetBIOS 型名稱的TCP/IP 客戶提供NetBIOS 名稱服務(wù)。(系統(tǒng)服務(wù))zlssrv.exe License Logging Service(system service)zntfrs.exe 在多個(gè)服務(wù)器間維護(hù)文件目錄內(nèi)容的文件同步。(系統(tǒng)服務(wù))zRsSub.exe 控制用來遠(yuǎn)程儲存數(shù)據(jù)的媒體。(系統(tǒng)服務(wù))zlocator.exe 管理RPC 名稱服務(wù)數(shù)據(jù)庫。(系統(tǒng)服務(wù))zlserver.exe 注冊客戶端許可證。(系統(tǒng)服務(wù))zdfssvc.exe 管理分布于局域網(wǎng)或廣域網(wǎng)的邏輯卷。(系統(tǒng)服務(wù))46WindowsWindows的系統(tǒng)進(jìn)程的

35、系統(tǒng)進(jìn)程非必要的系統(tǒng)進(jìn)程clipsrv.exe 支持“剪貼簿查看器”，以便可以從遠(yuǎn)程剪貼簿查閱剪貼頁面。(系統(tǒng)服務(wù))msdtc.exe 并列事務(wù)，是分布于兩個(gè)以上的數(shù)據(jù)庫，消息隊(duì)列，文件系統(tǒng)，或其它事務(wù)保護(hù)資源管理器。(系統(tǒng)服務(wù))faxsvc.exe 幫助您發(fā)送和接收 。(系統(tǒng)服務(wù))cisvc.exe Indexing Service(system service)dmadmin.exe 磁盤管理請求的系統(tǒng)管理服務(wù)。(系統(tǒng)服務(wù))mnmsrvc.exe 允許有權(quán)限的用戶使用NetMeeting 遠(yuǎn)程訪問Windows 桌面。(系統(tǒng)服務(wù))netdde.exe 提供動態(tài)數(shù)據(jù)交換(DDE) 的網(wǎng)絡(luò)傳輸

36、和安全特性。(系統(tǒng)服務(wù))smlogsvc.exe 配置性能日志和警報(bào)。(系統(tǒng)服務(wù))rsvp.exe 為依賴質(zhì)量服務(wù)(QoS)的程序和控制應(yīng)用程序提供網(wǎng)絡(luò)信號和本地通信控制安裝功能。(系統(tǒng)服務(wù))grovel.exe 掃描零備份存儲(SIS)卷上的重復(fù)文件，并將重復(fù)文件指向一個(gè)數(shù)據(jù)存儲點(diǎn)，以節(jié)省磁盤空間。(系統(tǒng)服務(wù))SCardSvr.exe 對插入在計(jì)算機(jī)智能卡閱讀器中的智能卡進(jìn)行管理和訪問控制。(系統(tǒng)服務(wù))snmp.exe 包含代理程序可以監(jiān)視網(wǎng)絡(luò)設(shè)備的活動并且向網(wǎng)絡(luò)控制臺工作站匯報(bào)。(系統(tǒng)服務(wù))snmptrap.exe 接收由本地或遠(yuǎn)程SNMP 代理程序產(chǎn)生的陷阱消息，然后將消息傳遞到運(yùn)行在這

37、臺計(jì)算機(jī)上SNMP 管理程序。(系統(tǒng)服務(wù))UtilMan.exe 從一個(gè)窗口中啟動和配置輔助工具。(系統(tǒng)服務(wù))msiexec.exe 依據(jù).MSI 文件中包含的命令來安裝、修復(fù)以及刪除軟件。(系統(tǒng)服務(wù))47WindowsWindows的的 LogLog系統(tǒng)系統(tǒng)48WindowsWindows有三種類型的事件日志：有三種類型的事件日志： 系統(tǒng)日志、應(yīng)用程序日志、安全日志跟蹤應(yīng)用程序關(guān)聯(lián)的事跟蹤應(yīng)用程序關(guān)聯(lián)的事件，比如應(yīng)用程序產(chǎn)生件，比如應(yīng)用程序產(chǎn)生的象裝載的象裝載DLLDLL（動態(tài)鏈（動態(tài)鏈接庫）失敗的信息將出接庫）失敗的信息將出現(xiàn)在日志中現(xiàn)在日志中 跟蹤事件如登錄上網(wǎng)、跟蹤事件如登錄上網(wǎng)、下網(wǎng)

38、、改變訪問權(quán)限以下網(wǎng)、改變訪問權(quán)限以及系統(tǒng)啟動和關(guān)閉。注及系統(tǒng)啟動和關(guān)閉。注意：安全日志的默認(rèn)狀意：安全日志的默認(rèn)狀態(tài)是關(guān)閉的態(tài)是關(guān)閉的跟蹤各種各樣的系統(tǒng)事件，比如跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器的故障WindowsWindows的的 LogLog系統(tǒng)系統(tǒng)z日志在系統(tǒng)的位置是： %SYSTEMROOT%system32configSysEvent.Evt %SYSTEMROOT%system32configSecEvent.Evt %SYSTEMROOT%system32configAppEvent.Evt 49系統(tǒng)日志系統(tǒng)日志安全日志安全日志應(yīng)用程序日志應(yīng)用程序日志W(wǎng)indowsWi

39、ndows的應(yīng)用系統(tǒng)日志的應(yīng)用系統(tǒng)日志50FTPFTP日志分析日志分析FTP日志分析，如下例： #Software: Microsoft Internet Information Services 5.0（微軟IIS5.0） #Version: 1.0 （版本1.0） #Date: 20001023 03:11:55 （服務(wù)啟動時(shí)間日期） 03:11:55 1USER administator 331（IP地址為用戶名為administator試圖登錄） 03:11:58 1PASS 530（登錄失?。?03:12:04 127.0.0

40、.1 1USER nt 331（IP地址為用戶名為nt的用戶試圖登錄） 03:12:06 1PASS 530（登錄失?。?03:12:32 1USER administrator 331（IP地址為用戶名為administrator試圖登錄） 03:12:34 1PASS 230（登錄成功） 03:12:41 1MKD nt 550（新建目錄失?。?03:12:45 1QUIT 550（退出FTP程序） 從日志里就能看出IP地址為的用戶一直試

41、圖登錄系統(tǒng)，換了3次用戶名和密碼才成功，管理員立即就可以得知管理員的入侵時(shí)間IP地址以及探測的用戶名。51HTTPHTTP的日志分析的日志分析52WindowsWindows系統(tǒng)安全系統(tǒng)安全 Windows安全原理 Windows安全配置 Windows安全工具及checklist53WindowsWindows安全配置z 安裝z 審核系統(tǒng)安全性z 訪問控制z 賬號安全策略z 管理員權(quán)限z 網(wǎng)絡(luò)服務(wù)安全設(shè)置z 文件系統(tǒng)安全z 安全日志z 其它的安全設(shè)置54WindowsWindows系統(tǒng)安裝系統(tǒng)安裝z使用正版可靠安裝盤z將系統(tǒng)安裝在NTFS分區(qū)上z系統(tǒng)和數(shù)據(jù)要分開存放在不同的磁盤z最小化安裝服

42、務(wù)z安全補(bǔ)丁合集和相關(guān)的Hotfixz裝其它的服務(wù)和應(yīng)用程序補(bǔ)丁z每次在安裝其它程序之后，重新應(yīng)用安全補(bǔ)丁55防止病毒進(jìn)行文件系統(tǒng)安全設(shè)置最少建立兩個(gè)分區(qū)，一個(gè)系統(tǒng)分區(qū)，一個(gè)應(yīng)用程序分區(qū)，因?yàn)槲④浀腎IS經(jīng)常會有泄漏源碼/溢出的漏洞，如果把系統(tǒng)和IIS放在同一個(gè)驅(qū)動器會導(dǎo)致系統(tǒng)文件的泄漏甚至入侵者遠(yuǎn)程獲取ADMIN。NT安裝SP6a和相關(guān)的HotfixWIN2K安裝SP4和相關(guān)的HotfixWINXP安裝SP2和相關(guān)的HotfixWIN2003安裝相關(guān)的HotfixNTFSNTFS、FATFAT、FAT32FAT3256NTFSNTFS與與FATFAT的比較的比較NTFSNTFS、FATFAT

43、、FAT32FAT3257審核系統(tǒng)安全性z 系統(tǒng)安全審核以本地用戶的身份來評估系統(tǒng)安全配置。 采用專門的殺毒軟件檢查病毒和后門。例如：安裝國外比較知名的防毒軟件進(jìn)行防范。z 防范木馬（遠(yuǎn)程控制工具）及惡意程序，采用專用清除工具進(jìn)行防范; 例如：Microsoft Windows AntiSpyware (Beta)以及隨后的升級版本Microsoft58審核系統(tǒng)安全性z后門和木馬常見種植位置： 1、啟動文件夾； % userprofile%start menuprogramsstartup 2、Windows注冊表啟動項(xiàng)； HKLMSoftwareMicrosoftWindowsCurrent

44、VersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce 3、驅(qū)動程序； % systemroot%system32drivers 4、Web瀏覽器初始頁面下載代碼； 5、計(jì)劃任務(wù)59審核系統(tǒng)安全性z審核本機(jī)的安全補(bǔ)丁安裝情況：Microsoft Baseline Security Analyzer(MBSA)60審核系統(tǒng)安全性 MBSA可以用來檢查審核Windows、IIS、SQL、IE、Office等產(chǎn)品是否存在某些特定安全配置

45、失誤以及是否打上最新的安全補(bǔ)丁/Hot Fixes是最新的； 采用第三方的安全漏洞掃描工具查找漏洞； 采用第三方安全補(bǔ)丁管理產(chǎn)品：Patchlink、Bigfix、Landesk、Ecora等軟件來自動安裝補(bǔ)丁，修復(fù)漏洞，提高系統(tǒng)的安全性。 檢查可疑的訪問:用NTLast等審核程序來判斷是否有未授權(quán)訪61審核系統(tǒng)安全性 檢查日志記錄，查看是否有不尋常事件檢查日志記錄，查看是否有不尋常事件: 使用信號會經(jīng)常在日志中被記錄(如一次被攻擊而導(dǎo)致服務(wù)不正常).事件日志和其他數(shù)據(jù)也有相互關(guān)系(可疑文件的創(chuàng)建) ，可以判斷攻擊的起因和來源?？捎霉芾韱T工具查看事件記錄。 注冊表安全注冊表安全: 重要的安全性

46、控制與注冊表有關(guān)。經(jīng)由注 冊表權(quán)限保證注冊表項(xiàng)安全，以及使用NTFS權(quán)限保證參與注冊表數(shù)據(jù)的所有文件安全。62訪問控制z對Windows 服務(wù)器的訪問應(yīng)該只允許授權(quán)訪問，以及可靠用戶。對于XP和2003系統(tǒng)可以開啟ICF功能，另外系統(tǒng)資源應(yīng)該限制只允許授權(quán)用戶或是那些日常維護(hù)服務(wù)器的人員訪問。盡量將訪問來源控制在最小范圍內(nèi)：63ICFICF訪問控制z 限制遠(yuǎn)程登錄工作組限制遠(yuǎn)程登錄工作組:從遠(yuǎn)程工作站登錄到一臺WINDOWS服務(wù)器是通過Microsoft的遠(yuǎn)程訪問服務(wù)（Remote Access Service）服務(wù)器. 然而，在保護(hù)遠(yuǎn)程工作站上可能會有問題存在，有可能會危及服務(wù)器和網(wǎng)絡(luò)的完整

47、性. 只要有可能，RAS就會將它禁止掉。z 物理上加強(qiáng)服務(wù)器安全物理上加強(qiáng)服務(wù)器安全:只有授權(quán)管理員可以物理訪問Windows NT 服務(wù)器。包括備份系統(tǒng)和敏感用戶文件。為了更長遠(yuǎn)的考慮，計(jì)算機(jī)應(yīng)該有個(gè)BIOS的啟動密碼。z 禁止多重啟動的設(shè)置禁止多重啟動的設(shè)置:多重的啟動系統(tǒng)(如Windows NT 在一個(gè)扇區(qū)而Linux 在另一個(gè)扇區(qū)) 會危及到NT文件系統(tǒng)的安全。例如，如果Linux 是第二扇區(qū)上的系統(tǒng)，一個(gè)Linux 用戶可以繞過所有的訪問控制mountNTFS 文件系統(tǒng)。z 限制對注冊表訪問限制對注冊表訪問: :對注冊表的訪問控制列表稍微有點(diǎn)不一樣，可能會有遠(yuǎn)程訪問。64帳戶安全策略

48、z 密碼安全是最重要也是必須要提及的.多數(shù)的系統(tǒng),口令是進(jìn)入系統(tǒng)的第一道防線,也是唯一防線。NT系統(tǒng)上的密碼安全可以通過以下方式來改進(jìn)： 檢查密碼策略檢查密碼策略: : 查看你的密碼策略確定其中的密碼是否是有期限的. 當(dāng)設(shè)置密碼的時(shí)候，應(yīng)該考慮到密碼老化的問題。最長的時(shí)間應(yīng)為180天。密碼的最短長度應(yīng)該至少為8個(gè)字符，三次錯誤登錄就應(yīng)該鎖住該帳號, 還有密碼的唯一性（如記錄三次的密碼）。這樣都可以防止攻擊者通過猜測密碼來實(shí)施攻擊。 刪除無用或過期帳號刪除無用或過期帳號: : 查看哪些帳號是沒有用的或者是已經(jīng)過期了的，然后將他們刪除。 檢查是否存在空密碼的帳號檢查是否存在空密碼的帳號: : 查看

49、所有帳號是否有空密碼,其中Administrator 和Guest帳號要留意。 屏幕保護(hù)使用密碼保護(hù)屏幕保護(hù)使用密碼保護(hù): : 用密碼屏幕保護(hù)來增加NT服務(wù)器的物理保護(hù)。屏幕保護(hù)的時(shí)間建議是5分鐘或更少。 設(shè)置帳號規(guī)則保證帳號安全設(shè)置帳號規(guī)則保證帳號安全 強(qiáng)大的密碼控制和帳號鎖定使黑客攻擊系統(tǒng)更為困難.65管理員權(quán)限配置z Administrator帳號是內(nèi)置的本地管理員組,擁有NT 系統(tǒng)的最高權(quán)限.以下操作可在一定程度上增強(qiáng)該帳號的安全性: 權(quán)限最高的是權(quán)限最高的是system 重命名管理員帳號重命名管理員帳號: 將Administrator 帳號名更名為和其他普通帳號名一樣。這可以增加攻擊

50、者攻擊的復(fù)雜度，這樣可以避免攻擊者猜測管理員密碼。 檢查管理員組成員檢查管理員組成員: 用NTLAST 來確認(rèn)只有授權(quán)的管理組成員可以使用該帳號。盡量減少使用管理員權(quán)限的帳號數(shù)量。 確認(rèn)密碼強(qiáng)度足夠確認(rèn)密碼強(qiáng)度足夠: 使用一個(gè)不會被猜出的密碼或是不會被暴力破解輕易破解出來的密碼。密碼應(yīng)該是隨意組合的，沒有規(guī)律，有大小寫字符、數(shù)字或著是特殊字符，用14個(gè)字符的密碼。66網(wǎng)絡(luò)服務(wù)安全配置z 限制對外開放的端口限制對外開放的端口: 在TCP/IP的高級設(shè)置中選擇只允許開放特定端口，或者可以考慮使用路由或防火墻來設(shè)置；z 在服務(wù)器區(qū)的邊界防火墻上關(guān)閉在服務(wù)器區(qū)的邊界防火墻上關(guān)閉DNS區(qū)域傳送功能；區(qū)域

51、傳送功能；z Internet Connection Firewall(ICF，因特網(wǎng)連接防火墻，因特網(wǎng)連接防火墻) ： 相當(dāng)于一個(gè)基于主機(jī)的防火墻，能夠?qū)Σ逶谕慌_機(jī)器里的多塊網(wǎng)卡進(jìn)行數(shù)據(jù)包過濾。z 禁用禁用snmp服務(wù)或者更改默認(rèn)的社區(qū)名稱和權(quán)限服務(wù)或者更改默認(rèn)的社區(qū)名稱和權(quán)限z 禁用禁用terminal server服務(wù)服務(wù)z 將不必要的服務(wù)設(shè)置為手動將不必要的服務(wù)設(shè)置為手動: Alerter 、ClipBook、 Computer Browser67IISIIS服務(wù)安全配置服務(wù)安全配置l 禁用或刪除所有的示例應(yīng)用程序禁用或刪除所有的示例應(yīng)用程序l 示例只是示例；在默認(rèn)情況下，并不安裝它

52、們示例只是示例；在默認(rèn)情況下，并不安裝它們, ,且從不在生產(chǎn)服務(wù)且從不在生產(chǎn)服務(wù)器上安裝。請注意一些示例安裝，它們只可從器上安裝。請注意一些示例安裝，它們只可從 :/localhost :/localhost 或訪或訪問；但是，它們?nèi)詰?yīng)被刪除。問；但是，它們?nèi)詰?yīng)被刪除。l 下面列出一些示例的默認(rèn)位置：下面列出一些示例的默認(rèn)位置：l 示例示例 虛擬虛擬 目錄位置目錄位置l IIS IIS 示例示例 IISSamples c:inetpubiissamples IISSamples c:inetpubiissamplesl IIS IIS 文檔文檔 IISHelp c:winnthelpiishe

53、lp IISHelp c:winnthelpiishelpl 數(shù)據(jù)訪問數(shù)據(jù)訪問 MSADC c:program filescommon MSADC c:program filescommon filessystemmsadcfilessystemmsadc68IISIIS服務(wù)安全配置服務(wù)安全配置l 啟用或刪除不需要的啟用或刪除不需要的 COM COM 組件組件 某些 COM 組件不是多數(shù)應(yīng)用程序所必需的，應(yīng)加以刪除.特別是,應(yīng)考慮禁用文件系統(tǒng)對象組件，但是要注意這將也會刪除 Dictionary 對象。切記某些程序可能需要您禁用的組件。例如，Site Server 3.0 使用 File Sy

54、stem Object。以下命令將禁用 File System Object： regsvr32 scrrun.dll /u z 刪除刪除 IISADMPWD IISADMPWD 虛擬目錄虛擬目錄 該目錄可用于重置 Windows NT 和 Windows 2000 密碼。它主要用于 Intranet 情況下，并不作為 IIS 5 的一部分安裝，但是 IIS 4 服務(wù)器升級到 IIS 5 時(shí)，它并不刪除。如果您不使用 Intranet 或如果將服務(wù)器連接到 Web 上，則應(yīng)將其刪除。69IISIIS服務(wù)安全配置服務(wù)安全配置70IISIIS服務(wù)安全配置服務(wù)安全配置l 基于基于 Web Web 的

55、密碼重設(shè)的密碼重設(shè) .htr .htrl Internet Internet 數(shù)據(jù)庫連接器（所有的數(shù)據(jù)庫連接器（所有的 IIS 5 Web IIS 5 Web 站點(diǎn)應(yīng)使用站點(diǎn)應(yīng)使用 ADO ADO 或類或類似的技術(shù)）似的技術(shù)） .idc .idcl 服務(wù)器端包括服務(wù)器端包括 .stm .stm、.shtm .shtm 和和 .shtml .shtmll Internet Internet 打印打印 .printer .printerl 索引服務(wù)器索引服務(wù)器 .htw .htw、.ida .ida 和和 .idq .idq l 設(shè)置適當(dāng)?shù)脑O(shè)置適當(dāng)?shù)?IIS IIS 日志文件日志文件 ACL AC

56、L 確保 IIS 產(chǎn)生的日志文件（%systemroot%system32LogFiles) 上的 ACL 是 ：uAdministrators（完全控制）uSystem（完全控制） uEveryone (RWC) 這有助于防止惡意用戶為隱藏他們的蹤跡而刪除文件。 71IISIIS服務(wù)安全配置服務(wù)安全配置l 禁用父路徑禁用父路徑 “父路徑”選項(xiàng)允許在對諸如MapPath 函數(shù)調(diào)用中使用“.”。在默認(rèn)情況下，該選項(xiàng)處于啟用狀態(tài)，應(yīng)該禁用它。禁用該選項(xiàng)的步驟如下：右鍵單擊該Web 站點(diǎn)的根，然后從上下文菜單中選擇“屬性”。y單擊“主目錄”選項(xiàng)卡。n單擊“配置”。n單擊“應(yīng)用程序選項(xiàng)”選項(xiàng)卡。n取消

57、選擇“啟用父路徑”復(fù)選框。z 禁用禁用- -內(nèi)容位置中的內(nèi)容位置中的IP IP 地址地址 “內(nèi)容-位置”標(biāo)頭可暴露通常在網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT) 防火墻或代理服務(wù)器后面隱藏或屏蔽的內(nèi)部IP 地址。72IISIIS服務(wù)安全配置服務(wù)安全配置l 設(shè)置適當(dāng)?shù)奶摂M目錄的權(quán)限設(shè)置適當(dāng)?shù)奶摂M目錄的權(quán)限 請確保IIS 的虛擬目錄如scripts等權(quán)限設(shè)置是否最小化,刪除不需要的目錄。z 將將iisiis目錄重新定向目錄重新定向 不要使用系統(tǒng)默認(rèn)的路徑，自定義WEB主目錄路徑并作相應(yīng)的權(quán)限設(shè)置。l 使用專門的安全工具使用專門的安全工具 微軟的IIS安全設(shè)置工具：IIS Lock Tool；是針對IIS的漏洞設(shè)計(jì)的

58、，可以有效設(shè)置IIS安全屬性73文件系統(tǒng)安全z WFP的英文全稱是Windows File Protection，即Windows文件保護(hù)。它的主要功能是防止系統(tǒng)文件被不匹配的版本替換或是覆蓋。在安裝新應(yīng)用程序時(shí)，由于不經(jīng)意間采用了過時(shí)的dll（動態(tài)鏈接庫）文件最容易使系統(tǒng)文件遭到破壞。微軟把Windows 2000安裝光盤上的所有dll、exe、fon、ocx、sys、和tff結(jié)尾的文件都加以保護(hù)）。備份在%SYSTEMROOT%/system32/dllcache 文件夾下。z 當(dāng)WFP監(jiān)控到這些文件被覆蓋或替換后就要開始自己的工作了。首先它會掃描可能有問題的文件，如果這些文件與備份文件夾

59、內(nèi)微軟“原裝”文件不符，WFP會把用SYSTEMROOT%/system32/dllcache目錄下備份的文件還原。如果該文件沒有做備份，系統(tǒng)會提示你插入Windows 2000的安裝光盤以復(fù)原該文件。74文件系統(tǒng)安全z 關(guān)閉WFP1.點(diǎn)擊開始-運(yùn)行，鍵入regedt32并回車;2.找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon；3.在右側(cè)的窗格中右鍵單擊選擇New-DWORD Value，為其命名為SFCDisable；4.在Hexadecimal項(xiàng)下輸入鍵值為ffffff9d以關(guān)閉WFP；5

60、.重新啟動系統(tǒng)使所做的更改生效。z 重啟電腦后查看日志文件。點(diǎn)擊開始-設(shè)置-控制面板。打開AdministrativeTools-Event Viewer。你會看到圖中所示的記錄。在每次Windows 2000啟動后都會記錄下WFP被關(guān)閉的情況。75文件系統(tǒng)安全z 目錄和文件權(quán)限：目錄和文件權(quán)限： 為了控制好服務(wù)器上用戶的權(quán)限，同時(shí)也為了預(yù)防以后可能的入侵和溢出，必須非常小心地設(shè)置目錄和文件的訪問權(quán)限，在默認(rèn)的情況下，大多數(shù)的文件夾（包括所有的根目錄）對所有用戶（Everyone這個(gè)組）是完全敞開的（Full Control），需要根據(jù)應(yīng)用的需要進(jìn)行權(quán)限重設(shè)。 在進(jìn)行權(quán)限控制時(shí)，遵循以下幾個(gè)原