系統(tǒng)防御技能基礎(chǔ)知識(shí)-Windows

系統(tǒng)防御技能目錄Windows操作系統(tǒng)安全Windows安全配置實(shí)踐目錄Windows操作系統(tǒng)安全Windows安全配置實(shí)踐4Windows用戶組和安全安全主體類型用戶帳戶本地用戶域用戶組帳戶everyone組network組計(jì)算機(jī)服務(wù)Windows系統(tǒng)最高權(quán)限的賬戶是SYSTEM5Windows用戶組和安全對(duì)象Windows中的資源例如文件、文件夾、設(shè)備、窗口、線程、進(jìn)程、內(nèi)存域用戶安全對(duì)象安全管理的基本單元文件、目錄、注冊(cè)表項(xiàng)、動(dòng)態(tài)目錄對(duì)象、內(nèi)核對(duì)象、服務(wù)、線程、進(jìn)程等所有資源進(jìn)行統(tǒng)一認(rèn)證和統(tǒng)一管理6Windows用戶組和安全安全標(biāo)識(shí)符一個(gè)安全主體的代表S-1-5-21-1736401710-1141508419-1540318053-10007Windows用戶組和安全帳號(hào)信息存儲(chǔ)C:\windows\system32\config\SAM注冊(cè)表體現(xiàn)訪問機(jī)制：SAM（安全帳號(hào)管理器）用戶一用戶二SecurityAccountsManagerSAM8SAM機(jī)制的優(yōu)勢(shì)存儲(chǔ)格式加密運(yùn)行期鎖定僅對(duì)system帳號(hào)有權(quán)限，通過服務(wù)進(jìn)行訪問，控制較嚴(yán)格9Windows用戶驗(yàn)證網(wǎng)絡(luò)登錄的驗(yàn)證（Netlogon）挑戰(zhàn)機(jī)制本地登錄驗(yàn)證SAM（安全帳號(hào)管理器）10Windows進(jìn)程及服務(wù)Windows系統(tǒng)進(jìn)程概念基本系統(tǒng)進(jìn)程smss.exewinlogon.exeservices.exelsass.exesvchost.exe……

其他系統(tǒng)進(jìn)程tcpsvcs.exeismserv.exeups.exe……11Windows進(jìn)程及服務(wù)Windows服務(wù)（windowsservice)Windows服務(wù)程序是一個(gè)長時(shí)間運(yùn)行的可執(zhí)行程序，不需要用戶的交互，也不需要用戶登錄12運(yùn)行方式獨(dú)立EXE程序運(yùn)行以DLL形式，依附在svchost.exe程序運(yùn)行13Windows服務(wù)的啟動(dòng)類型及權(quán)限服務(wù)啟動(dòng)類型自動(dòng)手動(dòng)已禁用服務(wù)的啟動(dòng)權(quán)限System(本地系統(tǒng))LocalServiceNetworkService

14Windows日志系統(tǒng)事件日志(默認(rèn))系統(tǒng)日志應(yīng)用程序日志安全日志事件日志（擴(kuò)展）DNS日志目錄服務(wù)日志應(yīng)用日志IISFTP

15事件日志安全管理日志保存路徑HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog”Application應(yīng)用程序日志Security安全日志System系統(tǒng)日志”日志屬性日志大小覆蓋時(shí)間日志文件權(quán)限16Windows應(yīng)用系統(tǒng)日志日志路徑IIS:%systemroot%/system32/logfile/sw3svc1FTP:%systemroot%/system32/logfile/smsftpsvc1日志格式及名稱文本格式默認(rèn)每天生成一個(gè)，以當(dāng)天日期命名，例如ex001023.log就是2000年10月23日當(dāng)天的日志17Windows應(yīng)用系統(tǒng)日志（1）遠(yuǎn)程主機(jī)的地址（2）用于記錄瀏覽者進(jìn)行身份驗(yàn)證時(shí)提供的名字，只有在有登錄的時(shí)候才會(huì)出現(xiàn)（3）請(qǐng)求的時(shí)間。（4）顯示的是服務(wù)器受到的是一個(gè)什么樣的請(qǐng)求，如：GETPOSTHEAD。也顯示了客戶端請(qǐng)求的URL地址，如：//index.php（5）顯示服務(wù)器返回的狀態(tài)碼，如200（6）發(fā)送給給客戶端的總字節(jié)數(shù)，可以用來確定傳輸是否被打斷。18Windows系統(tǒng)安全策略策略就是思想。是思想的方式和方法確定的表現(xiàn)，思想成果與結(jié)論的形式與內(nèi)容的表現(xiàn)與表示。Windows的安全策略就是Windows系統(tǒng)安全思想的體現(xiàn)。

安全直接體現(xiàn)-本地安全策略計(jì)算機(jī)相關(guān)-組策略19Windows系統(tǒng)安全策略本地安全策略打開方式：控制面板-》管理工具-》本地安全策略策略設(shè)置帳戶策略密碼策略帳戶鎖定策略本地策略審核策略用戶權(quán)利指派安全選項(xiàng)帳戶策略密碼策略：密碼設(shè)置（如強(qiáng)制執(zhí)行和有效期限）帳戶鎖定策略：帳戶無效登錄處理Kerberos策略。確定與Kerberos相關(guān)的設(shè)置（如票的有限期限和強(qiáng)制執(zhí)行20Windows系統(tǒng)安全策略21Windows系統(tǒng)安全策略22組策略gpedit.msc軟件設(shè)置Windows設(shè)置管理模板使用NTFS文件系統(tǒng)安裝在獨(dú)立服務(wù)器上單一操作系統(tǒng)修改安裝缺省目錄最小化安裝23Windows安全安裝配置實(shí)踐目錄Windows操作系統(tǒng)安全Windows安全配置實(shí)踐補(bǔ)丁檢查系統(tǒng)補(bǔ)丁安裝情況命令行執(zhí)行systeminfo,查看系統(tǒng)已經(jīng)安裝的補(bǔ)丁列表

補(bǔ)丁更新手動(dòng)安裝：使用IE訪問，按提示安裝必要的activeX控件后，按提示安裝補(bǔ)丁開始–控制面板–自動(dòng)更新，在自動(dòng)更新面板中選中自動(dòng)（建議）(U)，然后根據(jù)個(gè)人需求設(shè)置升級(jí)時(shí)間防護(hù)軟件安裝殺毒軟件并保持病毒庫更新

防火墻對(duì)于防火墻軟件，建議屏蔽以下端口：TCP135TCP139TCP445Windows通用安全加固方案補(bǔ)丁及防護(hù)軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強(qiáng)系統(tǒng)服務(wù)查看系統(tǒng)服務(wù)執(zhí)行services.msc,檢查啟動(dòng)類型為自動(dòng)的服務(wù)關(guān)閉非必需的服務(wù)建議關(guān)閉一下服務(wù)：TaskScheduler/RemoteRegistry/SNMPService/PrintSpooler/Telnet/ComputerBrowser/Messenger/Alerter/DHCPClient關(guān)閉方法：雙擊需要關(guān)閉的服務(wù)，將啟動(dòng)類型設(shè)置為禁用，點(diǎn)擊停止按鈕以停止當(dāng)前正在運(yùn)行的服務(wù)SNMP服務(wù)修改SNMP的字符串為什么要修改SNMP的字符串？它會(huì)泄露什么？通過SNMP服務(wù)，遠(yuǎn)程惡意用戶可以列舉本地的帳號(hào)、帳號(hào)組、運(yùn)行的進(jìn)程、安裝的補(bǔ)丁和軟件等敏感信息，禁用或修改SNMP配置可以有效防止遠(yuǎn)程惡意用戶的這類行為。攻擊工具:

snmputilwalk0public.1.3.6......服務(wù)與進(jìn)程SNMPService服務(wù)加固方法：為修改SNMP團(tuán)體名限制遠(yuǎn)程主機(jī)對(duì)SNMP的訪問關(guān)閉自動(dòng)播放功能關(guān)閉所有驅(qū)動(dòng)器的自動(dòng)播放功能點(diǎn)擊開始→運(yùn)行→輸入gpedit.msc，打開組策略編輯器，瀏覽到計(jì)算機(jī)配置→管理模板→系統(tǒng)，在右邊窗格中雙擊“關(guān)閉自動(dòng)播放”，對(duì)話框中選擇所有驅(qū)動(dòng)器，確定即可。

Windows通用安全加固方案補(bǔ)丁及防護(hù)軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強(qiáng)密碼策略密碼策略長度7≤Windows2000≤12714≥Windows9X≈0期限定期修改密碼復(fù)雜性Pyth0n&^!@大小寫數(shù)字特殊字符密碼策略加固要點(diǎn)密碼策略:

開始→運(yùn)行→gpedit.msc計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→帳戶策略→帳戶鎖定策略->密碼策略”：帳戶鎖定策略用戶權(quán)利指派檢查用戶權(quán)限策略是否設(shè)置：

開始→運(yùn)行→gpedit.msc計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)利指派本地安全策略配置檢查本地安全策略配置：

開始→運(yùn)行→gpedit.msc計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)Windows通用安全加固方案補(bǔ)丁及防護(hù)軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強(qiáng)日志和審核策略審核了解Windows審核策略審核策略并不完整很多審核內(nèi)容默認(rèn)未開啟只有在NTFS磁盤上才能開啟對(duì)象訪問審核,日志量較大步驟打開審核策略編輯審核對(duì)象的審核項(xiàng)日志和審核策略審核打開審核策略要做什么審核？要審核什么？位置：gpedit.msc–

計(jì)算機(jī)配置–Windows設(shè)置–

安全設(shè)置–審核設(shè)置12日志和審核策略審核查看審核日志eventvwr（事件查看器）Windows通用安全加固方案補(bǔ)丁及防護(hù)軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強(qiáng)文件系統(tǒng)Windows文件系統(tǒng)FATFAT16FAT32NTFS將FAT卷轉(zhuǎn)換成NTFSconvertC:/FS:NTFS用戶用戶和組特殊的組Administrators、Guests、PowerUsers……

可通過netlocalgroup命令打印特殊的用戶Administrator、Guest可通過netuser命令打印隱藏帳號(hào)netuserhide$password/add用戶加固要點(diǎn)檢查用戶克隆隱藏清除用戶未使用的未知的鎖定用戶GuestSUPPORT_XXXXX設(shè)置重要文件權(quán)限權(quán)限前提（關(guān)鍵字）NTFSAdministrators設(shè)置重要文件權(quán)限權(quán)限ACL（訪問控制列表）包含了用戶帳戶和訪問對(duì)象之間許可關(guān)系由四個(gè)權(quán)限項(xiàng)組成的權(quán)限項(xiàng)集（即，ACL）設(shè)置重要文件權(quán)限權(quán)限ACE（訪問控制項(xiàng)）ACL中包含ACE訪問控制條目設(shè)置重要文件權(quán)限加密和壓縮設(shè)置重要文件權(quán)限審核編輯審核對(duì)象的審核項(xiàng)123設(shè)置重要文件權(quán)限加固要點(diǎn)目錄及文件的權(quán)限查找具有everyone的權(quán)限項(xiàng)重要對(duì)象的審核策略@echooffdir/s/b>>all.txtfor/f%%iin(all.txt)docacls%%i|find"Everyone"Windows通用安全加固方案補(bǔ)丁及防護(hù)軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強(qiáng)安全增強(qiáng)刪除匿名用戶空連接注冊(cè)表如下鍵值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa