Windows系統(tǒng)安全加固

項目2

Windows系統(tǒng)安全加固項目1雙機(jī)互連對等網(wǎng)絡(luò)的組建

操作系統(tǒng)的安全防護(hù)研究通常包括以下幾個方面的內(nèi)容。(1)操作系統(tǒng)本身提供的安全功能和安全服務(wù)。目前的操作系統(tǒng)本身往往要提供一定的訪問控制、認(rèn)證與授權(quán)等方面的安全服務(wù)。(2)針對各種常用的操作系統(tǒng)，進(jìn)行相關(guān)配置，使之能正確對付和防御各種入侵。(3)保證操作系統(tǒng)本身所提供的網(wǎng)絡(luò)服務(wù)能得到安全配置。只有經(jīng)過授權(quán)的用戶或代表該用戶運行的進(jìn)程才能讀、寫、創(chuàng)建或刪除信息。操作系統(tǒng)安全的概念一、WINDOWS密碼設(shè)置實訓(xùn)windows系統(tǒng)的安全審計和安全配置

用戶身份驗證

帳戶的管理(設(shè)置各級帳戶和密碼）P196

帳戶安全防護(hù)P204帳戶安全策略P206

基于對象的訪問控制P194windows系統(tǒng)的注冊表P209windows系統(tǒng)常用的系統(tǒng)進(jìn)程和服務(wù)的安全配置P220為提高計算機(jī)WINDOWS操作系統(tǒng)的安全性，可作哪些安全配置？（小組討論，總結(jié)）3分鐘一、WINDOWS密碼設(shè)置實訓(xùn)XP與SERVER設(shè)置BIOS開機(jī)密碼設(shè)置WINDOWS登錄密碼設(shè)置屏幕保護(hù)密碼賬戶數(shù)據(jù)庫密碼(syskey)為防止別人非法使用你的計算機(jī)系統(tǒng)，可設(shè)置哪些密碼？（小組討論）3分鐘帳戶的管理(設(shè)置各級帳戶和密碼）P196一、什么樣的密碼才安全？

下面列出幾種最危險的密碼，請千萬不要使用。

1）密碼和用戶名相同。

2）密碼為用戶名中的某幾個鄰近的數(shù)字或字母。

3）密碼為連續(xù)或相同的數(shù)字或字母。

4)將用戶名顛倒或加前后綴作為密碼。

5）使用姓氏的拼音或英文名字作為密碼。

6）使用自己或親友的生日作為密碼。

7）使用常用英文單詞作為密碼。

8)使用6位以下的數(shù)字或英文字母作為密碼.6.3賬戶管理與密碼安全P196賬戶與密碼的使用通常是許多系統(tǒng)預(yù)設(shè)的防護(hù)措施。事實上，有許多用戶的密碼是很容易被猜中的，或者使用系統(tǒng)預(yù)設(shè)的密碼、甚至不設(shè)密碼。用戶應(yīng)該要避免使用不當(dāng)?shù)拿艽a、系統(tǒng)預(yù)設(shè)密碼或是使用空白密碼，也可以配置本地安全策略要求密碼符合安全性要求。(英文大小寫、數(shù)字、特殊字符，8位以上）小組為單位，討論并配置5種密碼

（以XP或SERVER為例）設(shè)置進(jìn)入BIOS的密碼系統(tǒng)開機(jī)密碼WINDOWS登錄密碼屏幕保護(hù)密碼保護(hù)WINDOWS帳戶數(shù)據(jù)庫安全密碼做一個啟動U盤要求：小組內(nèi)分工，每組同學(xué)要設(shè)置上述密碼，并進(jìn)行拷屏,文件名為：組名第6章作業(yè)1.DOC。任務(wù)1：密碼安全配置P197

1.任務(wù)目標(biāo)

(1)了解操作系統(tǒng)密碼安全的重要性。

(2)掌握密碼安全配置的方法。2.任務(wù)內(nèi)容

(1)設(shè)置開機(jī)或BIOS密碼(2)設(shè)置用戶賬戶策略。

(3)設(shè)置用戶賬戶鎖定策略。3.完成任務(wù)所需的設(shè)備和軟件裝有WindowsServer2003操作系統(tǒng)的PC機(jī)1臺，或WindowsServer2003虛擬機(jī)1臺。用虛擬機(jī)設(shè)置BIOS開機(jī)密碼運行虛擬機(jī)—VM---POWER-POWERONTOBIOSSetSupervisorPassword超級用戶口令SetUserPassword一般用戶口令Save&ExitSetup2.添加WONDOWS用戶密碼，設(shè)置密碼策略(1)用戶—添加管理員用戶（2）設(shè)置用戶賬戶策略步驟1：選擇“開始”→“程序”→“管理工具”→“本地安全策略”命令，打開“本地安全設(shè)置”窗口，在左側(cè)窗格中，選擇“安全設(shè)置”→“賬戶策略”→“密碼策略”選項，如圖2-14所示。步驟2：雙擊右側(cè)側(cè)窗格中的的“密碼長度最最小值”策略選項，，打開“密碼長度最最小值屬屬性”對話框，選選擇“本地安全設(shè)設(shè)置”選項卡，設(shè)設(shè)置密碼必必須至少是是6個字符，如如圖2-15所示，單擊擊“確定”按鈕，返回回“本地安全設(shè)設(shè)置”窗口。步驟3：在圖2-14中，雙擊右右側(cè)窗格中中的“密碼最短使使用期限”策略選項，，打開“密碼最短使使用期限屬屬性”對話框，設(shè)設(shè)置“在以下天數(shù)數(shù)后可以更更改密碼”為3天，如圖2-16所示，單擊擊“確定”按鈕，返回回“本地安全設(shè)設(shè)置”窗口。步驟4：同理，設(shè)設(shè)置“密碼最長使使用期限”為“14”天，設(shè)置“強(qiáng)制密碼歷歷史”為“10”個記住的密密碼，設(shè)置置“密碼必須符符合復(fù)雜性性要求”為“已啟用”。上述設(shè)置置完成后的的密碼策略略如圖2-17所示。(2)設(shè)置用戶賬賬戶鎖定策策略用戶賬戶鎖鎖定策略可可以防止非非法入侵者者不斷地猜猜測用戶的的賬戶密碼碼。步驟1：在圖2-17中，選擇左左側(cè)窗格中中的“賬戶鎖定策策略”選項，在右右側(cè)窗格中中顯示了賬賬戶鎖定策策略的三個個策略項，，如圖2-18所示。步驟2：雙擊右側(cè)側(cè)窗格中的的“賬戶鎖定閾閾值”策略選項，，打開“賬戶鎖定閾閾值屬性性”對話框，選選擇“本地安全設(shè)設(shè)置”選項卡，設(shè)設(shè)置“在發(fā)生以下下情況之后后，鎖定賬賬戶”為3次無效登錄錄，如圖2-19所示。步驟3：單擊“確定”按鈕，彈出出“建議的數(shù)值值改動”對話框，設(shè)設(shè)置建議的的“賬戶鎖定時時間”為“30分鐘”、“復(fù)位賬戶鎖鎖定計數(shù)器器”為“30分鐘之后”，如圖2-20所示，單擊擊“確定”按鈕，完成成賬戶鎖定定策略設(shè)置置。防止內(nèi)部人人員破壞服服務(wù)器的一一個屏障。。注意不要要使用OpenGL和一些復(fù)雜雜的屏幕保保護(hù)程序浪浪費系統(tǒng)資資源，黑屏屏就可以了了。3．設(shè)置屏幕幕保護(hù)密碼碼WINDOWS平臺安全設(shè)設(shè)置4.XP賬戶數(shù)據(jù)庫庫密碼二重密碼保保護(hù)：“啟啟動密碼””就是在系系統(tǒng)啟動是是顯示的，，在重新啟啟動系統(tǒng)后后，首先出出現(xiàn)的就是是提示你輸輸入“啟動動密碼”，，輸入了正正確的密碼碼后就會出出現(xiàn)WindowsXP的登錄界面面，輸入用用戶名和密密碼后算是是完全登錄錄系統(tǒng)。1.設(shè)置啟動密密碼開始→運行行”，輸入入“Syskey”命令，彈出出“保證WindowsXP賬戶數(shù)據(jù)庫庫安全”----更新”。。在“啟動動密碼”界界面中點選選“密碼啟啟動”單選選框。2.取消這個系系統(tǒng)啟動密密碼，則在“啟動密密碼”界面面中點選““系統(tǒng)產(chǎn)生生的密碼””下面的““在本機(jī)上上保存啟動動密碼”，，確定后后系統(tǒng)密碼碼就會保存存到硬盤上上，在下次次啟動電腦腦時就不會會再出現(xiàn)啟啟動密碼的的窗口了。。如果忘記了了密碼點辦辦?(小組討論、、思考）如何清除進(jìn)進(jìn)入物理機(jī)機(jī)的BIOS設(shè)置的的密碼?如何清除物物理開機(jī)密密碼?如何探測WINDOWS登錄錄密碼？相鄰兩小組組實訓(xùn):常用密碼破破解（10分鐘）互換機(jī)器去破解別組組設(shè)置的密密碼，并總總結(jié)方法破解方法與與工具P198L0phtcrack,WMICracker等BIOS口令的清除除由于System級口令保護(hù)護(hù)的是整個個系統(tǒng)，在在未正確輸輸入口令時時不能進(jìn)入入系統(tǒng)，因因而當(dāng)任何何“軟”方方法都無法法奏效時，，只能用““硬”方法法解決。一般的主板板在后備電電池的附近近都有一個個“Ext.Battery””、“CMOSReset”或“JCMOS”的跳線，斷斷開微機(jī)電電源打開機(jī)機(jī)箱，按照照主板說明明書上的解解說找到它它，并將其其中的兩個個腳短接數(shù)數(shù)秒鐘，然然后將跳線線恢復(fù)原狀狀，即可清清除口令。。有的主板板還要求在在放電短接接狀態(tài)開機(jī)機(jī)才能徹底底清除BIOS設(shè)置數(shù)據(jù)，，具體做法法應(yīng)該參照照主板說明明書上的敘敘述。用工具軟件件或命令（（？？）WINDOWS本本地賬戶實實訓(xùn)P198-204用帶工具U盤或光盤啟啟動，破解解WINDOWSXP登錄密碼帳戶查看方方法與工具具使用L0phtCrack5審計WindowsServer2003本地賬戶實實訓(xùn)使用Cain審計WindowsServer2003本地賬戶實實訓(xùn)要求：1.老師提供工工具，小組組內(nèi)分工，，每組同學(xué)學(xué)要用上兩兩個工具把把查看到的的本地賬戶戶密碼信息息進(jìn)行拷屏屏,文件名為：：組名第6章作業(yè)2.DOC。2.建議以小組組為單位學(xué)學(xué)會制作一一個啟動U盤，如大白白菜。2.4項目實施(小組實訓(xùn)））2062.4.1任務(wù)1:賬戶安全配配置1.任務(wù)目標(biāo)(1)了解操作系系統(tǒng)賬戶安安全的重要要性。(2)掌握賬戶安安全配置的的方法。2.任務(wù)內(nèi)容(1)更改“Administrator”賬戶名稱。。(2)創(chuàng)建一個陷陷阱賬戶。。(3)不讓系統(tǒng)顯顯示上次登登錄的賬戶戶名。3.完成任務(wù)所所需的設(shè)備備和軟件裝有WindowsServer2003操作系統(tǒng)的的PC機(jī)1臺，或WindowsServer2003虛擬機(jī)1臺。4.任務(wù)實施步步驟(1)更改“Administrator”賬戶名稱由于“Administrator”賬戶是微軟軟操作系統(tǒng)統(tǒng)的默認(rèn)系系統(tǒng)管理員員賬戶，且且此賬戶不不能被停用用，這意味味著非法入入侵者可以以一遍又一一遍地猜測測這個賬戶戶的密碼。。將“Administrator”重命名為其其他名稱，，可以有效效地解決這這一問題。。步驟1：選擇“開始”→“程序”→“管理工具”→“本地安全策策略”命令，打開開“本地安全設(shè)設(shè)置”窗口，如圖圖2-1所示。步驟2：在左側(cè)窗窗格中，選選擇“安全設(shè)置”→“本地策略”→“安全選項”選項，在右右側(cè)窗格中中，雙擊“賬戶：重命命名系統(tǒng)管管理員賬戶戶”策略選項，，打開如圖圖2-2所示的對話話框，將系系統(tǒng)管理員員賬戶名稱稱“Administrator”改為一個普普通的賬戶戶名稱，如如“huang”，而不要使使用如“Admin”之類的賬戶戶名稱，單單擊“確定”按鈕。步驟3：更改完成成后，選擇擇“開始”→“程序”→“管理工具”→“計算機(jī)管理理”命令，打開開“計算機(jī)管理理”窗口，在左左側(cè)窗格中中，選擇“系統(tǒng)工具”→“本地用戶和和組”→“用戶”選項，如圖圖2-3所示，默認(rèn)認(rèn)的“Administrator”賬戶名稱已已被更改為為“huang”。步驟驟4：在在圖圖2-3中，，選選擇擇左左側(cè)側(cè)窗窗格格中中的的“組”選項項，，然然后后雙雙擊擊右右側(cè)側(cè)窗窗格格中中的的“Administrators”組名名，，打打開開“Administrators屬性性”對話話框框，，默默認(rèn)認(rèn)只只有有“Administrator”賬戶戶，，如如圖圖2-4所示示。。選選中中“Administrator”賬戶戶，，單單擊擊“刪除除”按鈕鈕，，將將該該賬賬戶戶刪刪除除。。步驟驟5：在在圖圖2-4中，，單單擊擊“添加加”按鈕鈕，，打打開開“選擇擇用用戶戶”對話話框框，，單單擊擊“高級級”按鈕鈕，，再再單單擊擊“立即即查查找找”按鈕鈕，，雙雙擊擊對對話話框框底底部部的的“huang”選項項，，如如圖圖2-5所示示。。此此時時，，在在“輸入入對對象象名名稱稱來來選選擇擇”文本本框框中中自自動動出出現(xiàn)現(xiàn)了了已已經(jīng)經(jīng)重重命命名名的的管管理理員員賬賬戶戶名名稱稱，，如如“TEST\huang”(計算算機(jī)機(jī)名名\賬戶戶名名)，如如圖圖2-6所示示。。步驟驟6：單單擊擊“確定定”按鈕鈕返返回回“Administrators屬性性”對話話框框，，再再單單擊擊“確定定”按鈕鈕完完成成系系統(tǒng)統(tǒng)管管理理員員名名稱稱的的更更改改。。(2)創(chuàng)建建一一個個陷陷阱阱賬賬戶戶陷阱阱賬賬戶戶就就是是讓讓非非法法入入侵侵者者誤誤認(rèn)認(rèn)為為是是管管理理員員賬賬戶戶的的非非管管理理員員賬賬戶戶。。默認(rèn)認(rèn)的的管管理理員員賬賬戶戶“Administrator”重命命名名后后，，可可以以創(chuàng)創(chuàng)建建一一個個同同名名的的擁擁有有最最低低權(quán)權(quán)限限的的“Administrator”賬戶戶，，并并把把它它添添加加到到“Guests”組(“Guests”組的的權(quán)權(quán)限限為為最最低低)中，，再再為為該該賬賬戶戶設(shè)設(shè)置置一一個個超超過過20位的的超超級級復(fù)復(fù)雜雜密密碼碼(其中中包包括括字字母母、、數(shù)數(shù)字字、、特特殊殊符符號號等等字字符符)。這樣樣可可以以使使非非法法入入侵侵者者需需花花費費很很長長的的時時間間才才能能破破解解密密碼碼，，借借此此發(fā)發(fā)現(xiàn)現(xiàn)它它們們的的入入侵侵企企圖圖。。步驟1：選擇“開始”→“程序”→“管理工具”→“計算機(jī)管理理”命令，打開開“計算機(jī)管理理”窗口，在左左側(cè)窗格中中，選擇“系統(tǒng)工具”→“本地用戶和和組”→“用戶”選項，然后后右擊“用戶”選項，在彈彈出的快捷捷菜單中選選擇“新用戶”命令，打開開“新用戶”對話框，如如圖2-7所示。步驟2：在“用戶名”文本框中輸輸入用戶名名“Administrator”，在“密碼”和“確認(rèn)密碼”文件框中輸輸入一個較較復(fù)雜的密密碼，單擊擊“創(chuàng)建”按鈕，再單單擊“關(guān)閉”按鈕。步驟3：右擊新創(chuàng)創(chuàng)建的用戶戶名“Administrator”，在彈出的的快捷菜單單中選擇“屬性”命令，打開開“Administrator屬性”對話框，選選擇“隸屬于”選項卡，如如圖2-8所示，從圖圖中可見，，“Administrator”用戶默認(rèn)隸隸屬于“Users”組。步驟4：單擊“添加”按鈕，打開開“選擇組”對話框，如如圖2-9所示。步驟5：單擊“高級”按鈕，再單單擊“立即查找”按鈕，雙擊擊對話框底底部的“Guests”組名，如圖圖2-10所示。步驟6：單擊“確定”按鈕，返回回“Administrator屬性”對話框，此此時已添加加了“Guests”組，如圖2-11所示。步驟7：在圖2-11中，選中“Users”組名，單擊擊“刪除”按鈕，再單單擊“確定”按鈕。此時時，“Administrator”賬戶已設(shè)置置為陷阱賬賬戶。(3)不讓系統(tǒng)顯顯示上次登登錄的賬戶戶名默認(rèn)情況下下，登錄對對話框中會會顯示上次次登錄的賬賬戶名。這這使得非法法入侵者可可以很容易易地得到系系統(tǒng)的一些些賬戶名，，進(jìn)而做密密碼猜測，，從而給系系統(tǒng)帶來一一定的安全全隱患?？梢栽O(shè)置登登錄時不顯顯示上次登登錄的賬戶戶名，來解解決這一問問題。步驟1：在“本地安全設(shè)設(shè)置”窗口的左側(cè)側(cè)窗格中，，選擇“本地策略”→“安全選項”選項。步驟2：在右側(cè)窗窗格中，找找到并雙擊擊“交互式登錄錄：不顯示示上次的用用戶名”選項(如圖2-12所示)，打開“交互式登錄錄：不顯示示上次的用用戶名屬屬性”對話框，在在“本地安全設(shè)設(shè)置”選項卡中，，選中“已啟用”單選按鈕，，如圖2-13所示，單擊擊“確定”按鈕。組策略和注注冊表P209組策略和注注冊表，是是Windows系統(tǒng)中重要要的兩部控控制臺。組策略:管理員為用用戶和計算算機(jī)定義并并控制程序序、網(wǎng)絡(luò)資資源及操作作系統(tǒng)行為為的主要工工具。通過過使用組策策略可以設(shè)設(shè)置各種軟軟件、計算算機(jī)和用戶戶策略。注冊表:注冊表是Windows系統(tǒng)中保存存系統(tǒng)軟件件和應(yīng)用軟軟件配置的的數(shù)據(jù)庫組策略設(shè)置置就是在修修改注冊表表中的配置置。組策略使使用了更完完善的管理理組織方法法，可以對對各種對象象中的設(shè)置置進(jìn)行管理理和配置，，遠(yuǎn)比手工工修改注冊冊表方便、、靈活，功功能也更加加強(qiáng)大。利用安全配配置工具來來配置安全全策略利用基于MMC（管理控制制臺）安全全配置和分分析工具配配置服務(wù)器器。運行---gpedit.msc----組策略----計算機(jī)配置置----管理模板----系統(tǒng)---關(guān)閉自動播播放----所有驅(qū)動器器.WINDOWS平臺安全設(shè)設(shè)置注冊表運運行—REGEDITP210是windows操作系統(tǒng)中中的一個核核心數(shù)據(jù)庫庫，其中存存放著各種種參數(shù)，直直接控制著著windows的啟動、硬硬件驅(qū)動程程序的裝載載以及一些些windows應(yīng)用程序的的運行，從從而在整個個系統(tǒng)中起起著核心作作用。1．HKEY_CLASSES_ROOT管理文件系系統(tǒng)，記錄錄的是Windows操作系統(tǒng)中中所有數(shù)據(jù)據(jù)文件的信信息，主要要記錄不同同文件的文件名后綴綴和與之對對應(yīng)的應(yīng)用用程序。當(dāng)當(dāng)用戶雙擊擊一個文檔檔時，系統(tǒng)統(tǒng)可以通過過這些信息息啟動相應(yīng)應(yīng)的應(yīng)用程程序。2．HKEY_CURRENT_USER該主鍵用于于管理當(dāng)前前用戶的配配置情況。。在這個主主鍵中我們們可以查閱閱計算機(jī)中中登錄的用用戶信息密密碼等相關(guān)關(guān)信息。。3．HKEY_LOCAL_MACHINE該主主鍵鍵用用于于管管理理系系統(tǒng)統(tǒng)中中的的所所有有硬硬件件設(shè)設(shè)備備的的配配置置情情況況，，在在該該主主鍵鍵中中存存放放的的是是用用來來控控制制系系統(tǒng)統(tǒng)和和軟軟件件的的設(shè)設(shè)置置。。由由于于這這些些設(shè)設(shè)置置是是針針對對那那些些使使用用Windows系統(tǒng)統(tǒng)的的用用戶戶而而設(shè)設(shè)置置的的，，是是一一個個公公共共配配置置信信息息，，所所以以它它與與具具體體用用戶戶無無關(guān)關(guān)。。4．HKEY_USERS該主主鍵鍵用用于于管管理理系系統(tǒng)統(tǒng)中中所所有有用用戶戶的的配配置置信信息息，，電電腦腦系系統(tǒng)統(tǒng)中中每每個個用用戶戶的的信信息息都都保保存存在在該該文文件件夾夾中中，，如如用用戶戶在在該該系系統(tǒng)統(tǒng)中中的的一一些些口口令令、、標(biāo)標(biāo)識識等等。。5．HKEY_CURRENT_CONFIG該主主鍵鍵用用于于管管理理當(dāng)當(dāng)前前系系統(tǒng)統(tǒng)用用戶戶的的系系統(tǒng)統(tǒng)配配置置情情況況，，如如該該用用戶戶自自定定義義的的桌桌面面管管理理、、需需要要啟啟動動的的程程序序列列表表等等信信息息禁用用注注冊冊表表編編輯輯器器(小組組實實訓(xùn)訓(xùn)））任務(wù)務(wù)5：1.任務(wù)務(wù)目目標(biāo)標(biāo)(1)了解解操操作作系系統(tǒng)統(tǒng)注注冊冊表表的的作作用用。。(2)掌握握注注冊冊表表編編輯輯器器的的禁禁用用方方法法。。2.完成成任任務(wù)務(wù)所所需需的的設(shè)設(shè)備備和和軟軟件件裝有有WindowsServer2003操作作系系統(tǒng)統(tǒng)的的PC機(jī)1臺，，或或WindowsServer2003虛擬擬機(jī)機(jī)1臺。。3.任務(wù)務(wù)實實施施步步驟驟注冊冊表表是是MicrosoftWindows中的的一一個個重重要要的的數(shù)數(shù)據(jù)據(jù)庫庫，，用用于于存存儲儲系系統(tǒng)統(tǒng)和和應(yīng)應(yīng)用用程程序序的的設(shè)設(shè)置置信信息息。。Regedit.exe是微微軟軟提提供供的的一一個個編編輯輯注注冊冊表表的的工工具具，，是是所所有有Windows系統(tǒng)統(tǒng)通通用用的的注注冊冊表表編編輯輯工工具具。。Regedit.exe可以以進(jìn)進(jìn)行行添添加加修修改改注注冊冊表表主主鍵鍵、、修修改改鍵鍵值值、、備備份份注注冊冊表表、、局局部部導(dǎo)導(dǎo)入入導(dǎo)導(dǎo)出出注注冊冊表表等等操操作作。。Windows操作作系系統(tǒng)統(tǒng)安安裝裝完完成成后后，，默默認(rèn)認(rèn)情情況況下下Regedit.exe可以以任任意意使使用用，，為為了了防防止止非非網(wǎng)網(wǎng)絡(luò)絡(luò)管管理理人人員員惡惡意意使使用用，，應(yīng)應(yīng)禁禁止止Regedit.exe的使使用用。。步驟驟1：選選擇擇“開始始”→“運行行”命令令，，打打開開“運行行”對話話框框，，在在對對話話框框的的“打開開”文本本框框中中輸輸入入“gpedit.msc”命令令，，然然后后單單擊擊“確定定”按鈕鈕，，打打開開“組策策略略編編輯輯器器”窗口口。。步驟驟2：在窗口的的左側(cè)窗格格中，選擇擇“‘本地計算機(jī)機(jī)’策略”→“用戶配置”→“管理模板”→“系統(tǒng)”選項，如圖圖2-52所示。步驟3：然后在右右側(cè)窗格中中找到并雙雙擊“阻止訪問注注冊表編輯輯工具”選項，打開開“阻止訪問注注冊表編輯輯工具屬屬性”對話框，選選中“已啟用”單選按鈕，，如圖2-53所示，單擊擊“確定”按鈕返回“組策略編輯輯器”窗口。步驟4：選擇“開始”→“運行”命令，打開開“運行”對話框，在在對話框的的“打開”文本框中輸輸入“Regeidt.exe”命令，然后后單擊“確定”按鈕，系統(tǒng)統(tǒng)將會提示示“注冊表編輯輯已被管理理員禁用”信息，如圖圖2-54所示。注冊表應(yīng)用用的小設(shè)置置如何關(guān)閉CD自動播放功功能打開注冊表表編輯器，，進(jìn)入主鍵鍵［HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom］，將“Autorun”鍵值更改為為0（Hex）。如何禁止U盤自啟動HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer分支中找到到“NoDriveTypeAutoRun”鍵值(如果沒有，，可以新建建一個)數(shù)據(jù)類型為為REG_DWORD，修改其鍵鍵值為十六六進(jìn)制“FF”防止黑客從遠(yuǎn)程程訪問注冊冊表。修改改Hkey_current_user下的子鍵：：Software\Microsoft\windows\currentversion\policies，把DisableRegistryTools值改為0，類型為DWORD。鎖定遠(yuǎn)程注注冊表訪問問WINDOWS平臺安全設(shè)設(shè)置下節(jié)預(yù)習(xí)問問題：P220進(jìn)程是什么么？如何關(guān)閉不不響應(yīng)的進(jìn)進(jìn)程或病毒毒進(jìn)程？端口是什么么？服務(wù)是什么么？端口與服務(wù)務(wù)有什么聯(lián)聯(lián)系？進(jìn)程、端口口和服務(wù)進(jìn)程它是操作系系統(tǒng)動態(tài)執(zhí)執(zhí)行的基本本單元，在在傳統(tǒng)的操操作系統(tǒng)中中，進(jìn)程既既是基本的的分配單元元，也是基基本的執(zhí)行行單元。每一個進(jìn)程程都有它自自己的地址址空間進(jìn)程是一個個“執(zhí)行中的程程序”。程序是一個沒有有生命的實實體(靜態(tài),硬盤)，只有處理理器賦予程程序生命時時，它才能能成為一個個活動的實實體，我們們稱其為進(jìn)程(動態(tài)，內(nèi)存存)。任何程序要要運行必創(chuàng)創(chuàng)建對應(yīng)的的進(jìn)程.線程：更小進(jìn)程。。51WindowsServer2003的登登錄過程關(guān)閉不用或或有問題的的進(jìn)程方法一、[CTRL]+[ALT]+[DEL]方法三、利利用工具如如：優(yōu)化大大師、超級級兔子或PCTOOLS中的PSKILL結(jié)束進(jìn)程、、冰刃。方法二、運運行---CMDc:\ntsd––cq––ppid(為要關(guān)閉進(jìn)進(jìn)程號）要求：老師師提供IceSword120_cn工具，小組組內(nèi)分工，，每組同學(xué)學(xué)要用上述述方法查看看到本地進(jìn)進(jìn)程信息，，并會處理理。端口計算機(jī)"端口"是英文port的意譯，可可以認(rèn)為是是計算機(jī)與與外界通訊訊交流的出出口.硬件端口:其中硬件領(lǐng)領(lǐng)域的端口口又稱接口口，如：USB端口、串行行端口等。。軟件領(lǐng)域的的端口一般般指網(wǎng)絡(luò)中中面向連接接服務(wù)和無無連接服務(wù)務(wù)的通信協(xié)協(xié)議端口，，是一種抽抽象的軟件件結(jié)構(gòu)，包包括一些數(shù)數(shù)據(jù)結(jié)構(gòu)和和I/O（基本輸入入輸出）緩緩沖區(qū)。在網(wǎng)絡(luò)技術(shù)術(shù)中，端口口（Port）有好幾種種意思。集集線器、交交換機(jī)、路路由器的端端口指的是是連接其他他網(wǎng)絡(luò)設(shè)備備的接口，，如RJ-45端口、Serial端口等。TCP/IP協(xié)議中的端端口，是邏邏輯意義義上的端口口。如果果把IP地址比作一一間房子，，端口就就是出入這這間房子的的門。真正正的房子只只有幾個門門，但是一一個IP地址的端口口可以有有65536（即：256×256）個之多！！端口是通通過端口號號來標(biāo)記的的，端口號號只有整數(shù)數(shù)，范圍是是從0到65535（256×256-1）。服務(wù)與端口口的關(guān)系在TCP和UDP協(xié)議中，源源端口和目目標(biāo)端口號號共有65536個(＝216，0～65535)。按對應(yīng)的協(xié)協(xié)議類型，，端口有兩兩種：TCP端口和UDP端口。由于于TCP和UDP兩個協(xié)議是是獨立的，，因此各自自的端口號號也相互獨獨立，比如如TCP有235端口，UDP也可以有235端口，兩者者并不沖突突。關(guān)閉不用的的端口管理好端口口號在網(wǎng)絡(luò)絡(luò)安全中有有著非常重重要的意義義，黑客往往往通過探探測目標(biāo)主主機(jī)開啟的的端口號進(jìn)進(jìn)行攻擊。。開啟的端口口可能被攻攻擊者利用用，如利用用掃描軟件件，可以掃掃描到目標(biāo)標(biāo)主機(jī)中開開啟的端口口及服務(wù)，，因為提供供服務(wù)就有有可能存在在漏洞。查看端口的的相關(guān)工具具有：Windows系統(tǒng)中的netstat-na命令、fport軟件、activeport軟件、superscan軟件、VisualSniffer軟件等，此此類命令或或軟件可用用來查看主主機(jī)所開放放的端口。。冰刃可以在網(wǎng)網(wǎng)上查看看各種服服務(wù)對應(yīng)應(yīng)的端口口號和木木馬后門門常用端端口來判判斷系統(tǒng)統(tǒng)中的可可疑端口口中，并并通過軟軟件查看看開啟此此端口的的進(jìn)程。。確定可疑疑端口和和進(jìn)程后后，可以以利用防防火墻來來屏蔽此此端口，，也可以以通過選選擇本地地連接→→TCP/IP→→高級→選選項→TCP/IP篩選，啟啟用篩選選機(jī)制來來過濾這這些端口口；一些端口口常常會會被攻擊擊者或病病毒木馬馬所利用用，如端端口21、22、23、25、80、110、111、119、135、137、138、139、161、177、389、3389等。關(guān)于于常見木木馬程序序所使用用的端口口可以在在網(wǎng)上查查找到。。小組實訓(xùn)訓(xùn)P2222.4.4任務(wù)4：服務(wù)安安全配置置1.任務(wù)目標(biāo)標(biāo)(1)了解操作作系統(tǒng)服服務(wù)安全全的重要要性。(2)掌握服務(wù)務(wù)安全配配置的方方法。2.任務(wù)內(nèi)容容(1)關(guān)閉不必必要的服服務(wù)。（工具具、管理理工具---服務(wù)）(2)關(guān)閉不必必要的端端口。（關(guān)閉閉服務(wù)，，寫IP安全策略略）3.完成任務(wù)務(wù)所需的的設(shè)備和和軟件裝有WindowsServer2003虛擬機(jī)1臺。4.任務(wù)實施施步驟(1)關(guān)閉不必必要的服服務(wù)禁止所有有不必要要的服務(wù)務(wù)可以節(jié)節(jié)省內(nèi)存存和大量量的系統(tǒng)統(tǒng)資源，，提升系系統(tǒng)啟動動和運行行的速度度，更重重要的是是，可以以減少系系統(tǒng)受攻攻擊的風(fēng)風(fēng)險。步驟1：查看服服務(wù)。選選擇“開始”→“程序”→“管理工具具”→“服務(wù)”命令，打打開“服務(wù)”窗口，如如圖2-29所示，可可見有很很多服務(wù)務(wù)已啟動動。步驟2：關(guān)閉服服務(wù)。在在圖2-29中找到并并雙擊“TaskScheduler”服務(wù)選項項，打開開“TaskScheduler的屬性”對話框，，如圖2-30所示。單單擊“停止”按鈕，停停用“TaskScheduler”服務(wù)，再再在“啟動類型型”下拉列表表中選擇擇“禁用”選項，這這樣下次次系統(tǒng)重重新啟動動時不會會重新啟啟用“TaskScheduler”服務(wù)，單單擊“確定”按鈕。有些服務(wù)務(wù)不能關(guān)關(guān)?。。。。ㄗ⒁猓┤珀P(guān)閉有有Vmware的相關(guān)服服務(wù)，則則虛擬機(jī)機(jī)的相關(guān)關(guān)功能不不能用?。?！如關(guān)閉了了物理機(jī)機(jī)中的VmwareDHCPservice或則虛擬擬機(jī)的DHCP服務(wù)，虛虛擬機(jī)無無法獲得得IP。①用netstat命令查看看本機(jī)開開放的端端口。系統(tǒng)內(nèi)部部命令netstat可顯示有有關(guān)統(tǒng)計計信息和和當(dāng)前TCP/IP網(wǎng)絡(luò)連接接的情況況，它可可以用來來獲得系系統(tǒng)網(wǎng)絡(luò)絡(luò)連接的的信息(使用的端端口和在在使用的的協(xié)議等等)、收到和和發(fā)出的的數(shù)據(jù)、、被連接接的遠(yuǎn)程程系統(tǒng)的的端口等等。其語語法格式式為：netstat[-a][-e][-n][-s][-pprotocol][-r][interval]。步驟1：在“命令行提提示符”窗口中，，輸入“netstat-an”命令，查查看系統(tǒng)統(tǒng)端口狀狀態(tài)，列列出系統(tǒng)統(tǒng)正在開開放的端端口號及及其狀態(tài)態(tài)，如圖圖2-32所示，可可見系統(tǒng)統(tǒng)開放的的端口號號有135、445、137、138、139等。②關(guān)閉139端口。139端口是NetBIOS協(xié)議所使使用的端端口，在在安裝了了TCP/IP協(xié)議的同同時，NetBIOS也會被作作為默認(rèn)認(rèn)設(shè)置安安裝到系系統(tǒng)中。。139端口的開開放意味味著硬盤盤可能會會在網(wǎng)絡(luò)絡(luò)中共享享；網(wǎng)上上黑客也也可通過過NetBIOS知道用戶戶計算機(jī)機(jī)中的一一切。在以前的的Windows版本中，，只要不不安裝Microsoft網(wǎng)絡(luò)的文文件和打打印共享享協(xié)議，，就可關(guān)關(guān)閉139端口。但但在WindowsServer2003中，只這這樣做是是不行的的。如果果想徹底底關(guān)閉139端口，具具體步驟驟如下：：步驟1：右擊桌桌面上的的“網(wǎng)上鄰居居”圖標(biāo)，在在彈出的的快捷菜菜單中選選擇“屬性”命令，打打開“網(wǎng)絡(luò)連接接”窗口，再再右擊“本地連接接”圖標(biāo)，在在彈出的的快捷菜菜單中選選擇“屬性”命令，打開“本地連接接屬性性”對話框，，如圖2-33所示。步驟2：取消選選擇“Microsoft網(wǎng)絡(luò)的文文件和打打印共享享”復(fù)選框(即去掉“Microsoft網(wǎng)絡(luò)的文文件和打打印共享享”前面的“√”)，再選中中“Internet協(xié)議(TCP/IP)”選項，單單擊“屬性”按鈕，打打開“Internet協(xié)議(TCP/IP)屬性”對話框，，如圖2-34所示。步驟3：單擊“高級”按鈕，打打開“高級TCP/IP設(shè)置”對話框，，在“WINS”選項卡中中，選中中“禁用TCP/IP上的NetBIOS”單選按鈕鈕，如圖圖2-35所示。步驟4：單擊“確定”按鈕，返返回“Internet協(xié)議(TCP/IP)屬性”對話框，，再單擊擊“確定”按鈕，返返回“本地連接接屬性性”對話框，，單擊“關(guān)閉”按鈕。③端口過濾濾假如計算算機(jī)中安安裝了Internet信息服務(wù)務(wù)(IIS)，如果只只打算瀏瀏覽網(wǎng)頁頁，可設(shè)設(shè)置端口口過濾，，只允許許TCP協(xié)議的80端口通過過，而TCP協(xié)議的其其他端口口不允許許通過。。設(shè)置步步驟如下下。步驟1：在圖2-35中，選擇擇“選項”選項卡，，如圖2-36所示。步驟2：雙擊圖圖中的“TCP/IP篩選”選項，打打開“TCP/IP篩選”對話框。。步驟3：選中“啟用TCP/IP篩選(所有適配配器)”復(fù)選框，，選中“TCP端口”欄中的“只允許”單選按鈕，單單擊“添加”命令，打開“添加篩選器”對話框，在“TCP端口”文本框中輸入入端口號“80”，如圖2-37所示。步驟4：單擊“確定”按鈕，返回“TCP/IP篩選”對話框，再單單擊“確定”按鈕，返回“高級TCP/IP設(shè)置”對話框。④關(guān)閉其他端口口。在默認(rèn)情況下下，Windows操作系統(tǒng)的很很多端口是開開放的。用戶戶在上網(wǎng)的時時候，病毒和和黑客可通過過這些端口連連上用戶的計計算機(jī)，所以以應(yīng)該關(guān)閉這這些端口，比比如TCP135，139，445，593，1025端口和UDP135，137，138，445端口，以及一一些流行病毒毒的后門端口口，如TCP2745，3127，6129端口，以及遠(yuǎn)遠(yuǎn)程服務(wù)訪問問端口3389等，都需要被被關(guān)閉才可解解除隱患。2.4.3任務(wù)3：系統(tǒng)安全配配置1.任務(wù)目標(biāo)(1)了解操作系統(tǒng)統(tǒng)的系統(tǒng)安全全的重要性。。(2)掌握系統(tǒng)安全全配置的方法法。2.任務(wù)內(nèi)容(1)自動更新Windows補(bǔ)丁程序。(2)開啟審核策略略。(3)關(guān)閉默認(rèn)共享享資源。(4)關(guān)閉自動播放放功能。3.完成任務(wù)所需需的設(shè)備和軟軟件裝有WindowsServer2003操作系統(tǒng)的PC機(jī)1臺，或WindowsServer2003虛擬機(jī)1臺。4.任務(wù)實施步驟驟(1)自動更新Windows補(bǔ)丁程序幾乎所有的操操作系統(tǒng)都不不是十全十美美的，總是存存在各種安全全漏洞，這使使非法入侵者者有機(jī)可乘。。因此，及時時給Windows系統(tǒng)打上補(bǔ)丁丁程序，是加加強(qiáng)Windows系統(tǒng)安全的簡簡單、高效的的方法。步驟1：右擊桌面上上的“我的電腦”圖標(biāo)，在彈出出的快捷菜單單中選擇“屬性”命令，打開“系統(tǒng)屬性”對話框。步驟2：在“自動更新”選項卡中，選選中“自動(推薦)”單選按鈕，如如圖2-21所示，系統(tǒng)默默認(rèn)在每天凌凌晨3時自動下載推推薦的更新，，并安裝它們們。(2)開啟審核策略略P231安全審核是WindowsServer2003最基本的入侵侵檢測方法。。當(dāng)有非法入入侵者對系統(tǒng)統(tǒng)進(jìn)行入侵時時，都會被安安全審核記錄錄下來步驟1：在“本地安全設(shè)置置”窗口中，選擇擇“本地策略”→“審核策略”選項，右側(cè)窗窗格中列出了了審核策略列列表，這些審審核策略在默默認(rèn)情況下都都是未開啟的的，如圖2-22所示。步驟2：雙擊右側(cè)窗窗格中的“審核登錄事件件”策略選項，打打開“審核登錄事件件屬性”對話框，在“本地安全設(shè)置置”選項卡中，選選中“成功”和“失敗”復(fù)選框，如圖圖2-23所示，單擊“確定”按鈕。步驟3：同理，根據(jù)據(jù)需要設(shè)置其其他審核策略略。說明：以下是是各種審核策策略的含義。。①審核策略略更改：審核核對策略的改改變操作。②審核登錄錄事件：審核核賬戶的登錄錄或注銷操作作。③審核對象象訪問：審核核對文件或文文件夾等對象象的操作。④審核過程程跟蹤：審核核應(yīng)用程序的的啟動和關(guān)閉閉。⑤審核目錄錄服務(wù)訪問：：審核對活動動目錄的各種種訪問。⑥審核特權(quán)權(quán)使用：審核核用戶執(zhí)行用用戶權(quán)限的操操作，如更改改系統(tǒng)時間等等。⑦審核系統(tǒng)統(tǒng)事件：審核核與系統(tǒng)相關(guān)關(guān)的事件，如如重新啟動或或關(guān)閉計算機(jī)機(jī)等。⑧審核賬戶戶登錄事件：：審核賬戶的的登錄或注銷銷另一臺計算算機(jī)(用于驗證賬戶戶)的操作。⑨審核賬戶戶管理：審核核與賬戶管理理有關(guān)的操作作。(3)關(guān)閉默認(rèn)共享享資源Windows系統(tǒng)安裝好后后，為了便于于遠(yuǎn)程管理，，系統(tǒng)會創(chuàng)建建一些隱蔽的的特殊共享資資源，如ADMIN$、C$、IPC$等，這些共享享資源在“我的電腦”中是不可見的的。一般情況下，，用戶不會去去使用這些特特殊的共享資資源，但是非非法入侵者卻卻會利用它來來對系統(tǒng)進(jìn)行行攻擊，以獲獲取系統(tǒng)的控控制權(quán)，最典典型的就是IPC$入侵。因此，系統(tǒng)管管理員在確認(rèn)認(rèn)不會使用這這些特殊共享享資源的情況況下，應(yīng)刪除除這些特殊的的共享資源。。說明：①C$、D$等：允許管理理人員連接到到驅(qū)動器根目目錄下的共享享資源。②ADMIN$：計算機(jī)遠(yuǎn)程程管理期間使使用的資源。。該資源的路路徑總是系統(tǒng)統(tǒng)根目錄路徑徑(安裝操作系統(tǒng)統(tǒng)的目錄，如如C:\Windows)。③IPC$：共享命名管管理的資源，，在程序之間間的通信過程程中，該命名名管道起著至至關(guān)重要的作作用。在計算算機(jī)的遠(yuǎn)程管管理期間，以以及在查看計計算機(jī)的共享享資源時使用用IPC$。不能刪除該該資源。④系統(tǒng)重新新啟動后，被被刪除的特殊殊共享資源將將會重新建立立。因此，為為保證不會出出現(xiàn)特殊共享享資源攻擊，，應(yīng)使用批處處理的方式在在系統(tǒng)重啟時時自動進(jìn)行刪刪除操作。⑤全部刪除除系統(tǒng)中的特特殊共享資源源，將影響系系統(tǒng)提供的文文件共享服務(wù)務(wù)、打印共享享服務(wù)等網(wǎng)絡(luò)絡(luò)服務(wù)，刪除除前應(yīng)仔細(xì)確確認(rèn)WindowsServer2003操作系統(tǒng)所扮扮演的角色，，是作為單獨獨的桌面操作作系統(tǒng)使用，，還是作為網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)統(tǒng)提供各種網(wǎng)網(wǎng)絡(luò)服務(wù)使用用。步驟驟1：在在“命令令提提示示符符”窗口口中中，，輸輸入入“netshare”命令令，，查查看看共共享享資資源源，，如如圖圖2-24所示示。。步驟驟2：輸輸入入“netshareADMIN$/delete”命令令，，刪刪除除ADMIN$共享享資資源源，，再再輸輸入入“netshare”命令令，，驗驗證證是是否否已已刪刪除除ADMIN$共享享資資源源，，如如圖圖2-25所示示。。同理理，，可可刪刪除除C$、D$等共共享享資資源源。。步驟驟3：IPC$共享享資資源源不不能能被被netshare命令令刪刪除除，，須須利利用用注注冊冊表表編編輯輯器器來來對對它它進(jìn)進(jìn)行行限限制制使使用用。。選擇擇“開始始”→“運行行”命令令，，打打開開“運行行”對話話框框，，在在對對話話框框的的“打開開”文本本框框中中輸輸入入“regedit”命令令，，然然后后單單擊擊“確定定”按鈕鈕，，打打開開注注冊冊表表編編輯輯器器，，找找到到組組鍵鍵HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的的restrictanonymous子鍵鍵，，將將其其值值改改為為1，如如果果沒沒有有這這個個子子鍵鍵，，則則新新建建它它此時時一一個個匿匿名名用用戶戶仍仍然然可可以以空空連連接接到到IPC$共享享，，但但無無法法通通過過這這種種空空連連接接列列舉舉SAM賬號號和和共共享享信信息息的的權(quán)權(quán)限限(枚舉舉攻攻擊擊)。(4)關(guān)閉閉自自動動播播放放功功能能現(xiàn)在在很很多多病病毒毒(如U盤病病毒毒)會利利用用系系統(tǒng)統(tǒng)的的自自動動播播放放功功能能來來進(jìn)進(jìn)行行傳傳播播，，關(guān)關(guān)閉閉系系統(tǒng)統(tǒng)的的自自動動播播放放功功能能可可以以降降低低病病毒毒傳傳播播的的風(fēng)風(fēng)險險。。步驟驟1：選選擇擇“開始始”→“運行行”命令令，，打打開開“運行行”對話話框框，，在在對對話話框框的的“打開開”文本本框框中中輸輸入入“gpedit.msc”命令令，，然然后后單單擊擊“確定定”按鈕鈕，，打打開開“組策策略略編編輯輯器器”窗口口。。步驟驟2：在在窗窗口口的的左左側(cè)側(cè)窗窗格格中中，，選選擇擇“‘‘本地地計計算算機(jī)機(jī)’策略略”→“計算算機(jī)機(jī)配配置置”→“管理理模模板板”→“系統(tǒng)統(tǒng)”選項項，，然然后后在在右右側(cè)側(cè)窗窗格格中中找找到到并并雙雙擊擊“關(guān)閉閉自自動動播播放放”選項項(如圖圖2-27所示示)，打打開開“關(guān)閉閉自自動動播播放放屬屬性性”對話話框框。。步驟驟3：在在“設(shè)置置”選項項卡卡中中，，選選中中“已啟啟用用”單選選按按鈕鈕，，并并在在“關(guān)閉閉自自動動播播放放”列表表中中選選擇擇需需要要的的選選項項，，如如“所有有驅(qū)驅(qū)動動器器”，如如圖圖2-28所示示，，單單擊擊“確定定”按鈕鈕。。注意意：：“關(guān)閉閉自自動動播播放放”設(shè)置置是是只只能能使使系系統(tǒng)統(tǒng)不不再再列列出出光光盤盤和和移移動動存存儲儲設(shè)設(shè)備備的的目目錄錄，，并并不不能能夠夠阻阻止止自自動動播播放放音音樂樂CD盤。。要要阻阻止止音音樂樂CD的自自動動播播放放，，可可更更改改移移動動存存儲儲設(shè)設(shè)備備的的屬屬性性。。拓展展提提高高：：Windows系統(tǒng)統(tǒng)的的安安全全模模板板P2351.什么么是是安安全全模模板板安全全模模板板是是由由WindowsServer2003支持持的的安安全全屬屬性性的的文文件件(.inf)組成成的的。。安全全模模板板將將所所有有的的安安全全屬屬性性組組織織到到一一個個位位置置，，以以簡化化安安全全性性管管理理。。安全全模模板板包包含含了了安全全性性信信息息賬賬戶戶策策略略、本地地策策略略、事件件日日志志、受限限制制的的組組、系統(tǒng)統(tǒng)服服務(wù)務(wù)、注冊冊表表、文件件系系統(tǒng)統(tǒng)等共共7類。。安全全模模板板也也可可以以用用做做安安全全分分析析。。通過過使使用用安安全全模模板板管管理理單單元元，，可可以以創(chuàng)創(chuàng)建建對對網(wǎng)網(wǎng)絡(luò)絡(luò)或或計計算算機(jī)機(jī)的的安安全全策策略略。。安全全模模板板是是代代表表安安全全配配置置的的文文本本文文件件，，將將其其應(yīng)應(yīng)用用于于本本地地計計算算機(jī)機(jī)、、導(dǎo)導(dǎo)入入到到組組策策略略或或使使用用安安全全模模板板來來分分析析安安全全性性。。(1)默認(rèn)認(rèn)安安全全設(shè)設(shè)置置(setupsecurity.inf)。setupsecurity.inf代表表在在安安裝裝操操作作系系統(tǒng)統(tǒng)期期間間所所應(yīng)應(yīng)用用的的默默認(rèn)認(rèn)安安全全設(shè)設(shè)置置，，其其中中包包括括對對系系統(tǒng)統(tǒng)驅(qū)驅(qū)動動器器的的根根目目錄錄的的文文件件權(quán)權(quán)限限。。此此模模板板的的某某些些部部分分可可應(yīng)應(yīng)用用于于故故障障恢恢復(fù)復(fù)。。(2)兼容容(compatws.inf)。工工作作站站和和服服務(wù)務(wù)器器的的默默認(rèn)認(rèn)權(quán)權(quán)限限主主要要授授予予3個本本地地組組：：Administrators、PowerUsers和Users。Administrators享有有最最高高的的權(quán)權(quán)限限，，而而Users的權(quán)權(quán)限限最最低低。。不不要要將將兼兼容容模模板板應(yīng)應(yīng)用用到到域域控控制制器器。。(3)安全全(secure*.inf)。安安全全模模板板定定義義了了至至少少可可能能影影響響應(yīng)應(yīng)用用程程序序兼兼容容性性的的增增強(qiáng)強(qiáng)安安全全設(shè)設(shè)置置。。例例如如，，安安全全模模板板定定義義了了更更嚴(yán)嚴(yán)密密的的密密碼碼、、鎖鎖定定和和審審核核設(shè)設(shè)置置。。此外外，，安安全全模模板板還還限限制制了了LANManager和NTLM身份份認(rèn)認(rèn)證證協(xié)協(xié)議議的的使使用用，，其其方方式式是是將將客客戶戶端端配配置置為為僅僅可可發(fā)發(fā)送送NTLMv2響應(yīng)，，而將將服務(wù)務(wù)器配配置為為可拒拒絕LANManager的響應(yīng)應(yīng)。安全模模板細(xì)細(xì)分為為securews.inf和securedc.inf。securews.inf應(yīng)用于于成員員計算算機(jī)，，securedc.inf應(yīng)用于于服務(wù)務(wù)器。。(4)高級安安全(hisec*.inf)。高級級安全全模板板是對對加密密和簽簽名做做進(jìn)一一步限限制的的安全全模板板的擴(kuò)擴(kuò)展集集，這這些加加密和和簽名名是進(jìn)進(jìn)行身身份認(rèn)認(rèn)證和和保證證數(shù)據(jù)據(jù)通過過安全全通道道以及及在SMB客戶機(jī)機(jī)和服服務(wù)器器之間間進(jìn)行行安全全傳輸輸所必必需的的。例例如，，安全全模板板可以以使服服務(wù)器器拒絕絕LANManager的響應(yīng)應(yīng)，而而高級級安全全模板板則可可以使使服務(wù)務(wù)器同同時拒拒絕LANManager和NTLM的響應(yīng)應(yīng)。安安全模模板可可以啟啟用服服務(wù)器器端的的SMB數(shù)據(jù)包包簽名名，而而高級級安全全模板板則要要求這這種簽簽名。。此外外，高高級安安全模模板還還要求求對安安全通通道數(shù)數(shù)據(jù)進(jìn)進(jìn)行強(qiáng)強(qiáng)力加加密和和簽名名，從從而形形成域域到成成員以以及域域到域域的信信任關(guān)關(guān)系。。高級安安全模模板細(xì)細(xì)分為為hisecws.inf和hisecdc.inf。一般般，hisecws.inf應(yīng)用于于普通通服務(wù)務(wù)器，，hisecdc.inf應(yīng)用于于域控控制器器。(5)系統(tǒng)根根目錄錄安全全(rootsec.inf)。rootsec.inf可以指指定由由WindowsServer2003所引入入的新新的根根目錄錄權(quán)限限。默默認(rèn)情情況下下，rootsec.inf為系統(tǒng)統(tǒng)驅(qū)動動器根根目錄錄定義義這些些權(quán)限限。如如果不不小心心更改改了根根目錄錄權(quán)限限，則則可以以利用用該模模板重重新應(yīng)應(yīng)用根根目錄錄權(quán)限限，或或者通通過修修改模模板對對其他他卷應(yīng)應(yīng)用相相同的的根目目錄權(quán)權(quán)限。。3.使用安安全模模板運行“mmc.exe”命令，，打開開控制制臺，，選擇擇菜單單“文件”→“添加/刪除管管理單單元”命令，，把“安全模模板”添加到到控制制臺中中。雙雙擊“安全模模板”選項，，可以以看到到幾個個預(yù)定定義的的安全全模板板，如如圖2-55所示。。這些些模板板保存存在%systemroot%\security\templates中，用用戶也也可以以創(chuàng)建建包含含安全全設(shè)置置的自自定義義安全全模板板。雙擊要要修改改的安安全策策略，，根據(jù)據(jù)需要要進(jìn)行行修改改后，，右擊擊已修修改的的安全全配置置模板板的名名稱，，然后后選擇擇“另存為為”命令，，新建建一個個模板板。知識拓拓展（自學(xué)學(xué)內(nèi)容容）Windows系統(tǒng)體體系結(jié)結(jié)構(gòu)WindowsServer2003的安全全模型型Windows安全子子系統(tǒng)統(tǒng)結(jié)構(gòu)構(gòu)漏洞與與后門門97Windows系統(tǒng)統(tǒng)體系系結(jié)構(gòu)構(gòu)98安全策策略：：CorporateSecurityPolicy用戶認(rèn)證：UserAuthentication加密Encryption審計Audit權(quán)限控制AccessControl管理AdministrationWindows的安全全包括括6個主要要的安安全元元素：：審計：：Audit,管理：：Administration加密：：Encryption權(quán)限控控制：：AccessControl用戶認(rèn)認(rèn)證：：UserAuthentication安全策策略：：CorporateSecurityPolicy。WindowsNT/2K系統(tǒng)內(nèi)內(nèi)置支支持用用戶認(rèn)認(rèn)證、、訪問問控制制、管管理、、審核核。WindowsServer2003的安安全模模型99組策略ActiveDirectory服務(wù)用戶本地安安全策策略Kerberos審核日志SRM內(nèi)核MSV1_0NetlogonWindowsNT客戶戶和和服服務(wù)務(wù)器器Windows2000客戶戶和和服服務(wù)務(wù)器器SAM登錄本地地安安全全授授權(quán)權(quán)（（LSA）提供供Windows目錄錄服服務(wù)務(wù)和和復(fù)復(fù)制制。。它它支支持持輕輕量量級級目目錄錄訪訪問問協(xié)協(xié)議議（（LDAP）和和數(shù)數(shù)據(jù)據(jù)的的管管理理部部分分Windows中默默認(rèn)認(rèn)的的身身份份驗驗證證協(xié)協(xié)議議。。它它用用于于Windows2000計算算機(jī)機(jī)之之間間以以及及支支持持Kerberos身份份驗驗證證的的客客戶戶之之間間的的所所有有身身份份驗驗證證。。安全全子子系系統(tǒng)統(tǒng)的的中中心心組組件件，，它它促促使使訪訪問問令令牌牌、、管管理理本本地地計計算算機(jī)機(jī)上上的的安安全全策策略略并并向向用用戶戶登登錄錄提提供供身身份份驗驗證證用于于WindowsNT身份驗證的