子任務(wù)1-1-3 系統(tǒng)加固

1.1任務(wù)概覽了解系統(tǒng)安全基礎(chǔ)知識掌握安全基本措施熟悉常見端口與服務(wù)及其對應(yīng)關(guān)系學(xué)習(xí)目標(biāo)：知識目標(biāo)技能目標(biāo)態(tài)度目標(biāo)會熟練完成系統(tǒng)安裝能完成系統(tǒng)基本加固工作，保證系統(tǒng)安全能關(guān)閉不必要的端口與服務(wù)，通過不同方式確保應(yīng)用安全能解決系統(tǒng)應(yīng)用過程中出現(xiàn)的問題有強(qiáng)烈的安全意識養(yǎng)成勤學(xué)、好問、獨(dú)立思考和細(xì)心檢查的學(xué)習(xí)習(xí)慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定自學(xué)能力，分析問題、解決問題能力和創(chuàng)新的能力系統(tǒng)安裝完成后，為了確保系統(tǒng)安全可靠運(yùn)行，首先要降低系統(tǒng)本身存在的安全風(fēng)險。主要從賬戶、密碼設(shè)置、等方面來考慮。1.設(shè)置陷阱賬戶企圖入侵計算機(jī)的人員通常喜歡獲取權(quán)限高的用戶名和密碼，尤其是administrator帳戶，在設(shè)置過程中如何能讓入侵者花費(fèi)一番工夫，并借此發(fā)現(xiàn)其入侵意圖呢。設(shè)置思路：在Guests組中設(shè)置一個administrator賬戶，把它的權(quán)限設(shè)置成最低，并設(shè)置一個復(fù)雜密碼（至少要超過10位的超級復(fù)雜密碼），而且用戶不能更改密碼，這樣就可以讓那些企圖入侵者花費(fèi)一番功夫了。任務(wù)1-1系統(tǒng)安裝安全防護(hù)子任務(wù)1-1-3系統(tǒng)加固步驟1：在“運(yùn)行”文本框中輸入gpedit.msc，回車，打開如圖1-1-28所示的“本地組策略編輯器”，依次選擇“計算機(jī)配置”-->“Windows設(shè)置”-->“安全設(shè)置”-->“本地策略”-->“安全選項”，在右邊窗格中選中“帳戶：重命名系統(tǒng)管理員帳戶”。子任務(wù)1-1-3系統(tǒng)加固圖1-1-28

“本地組策略編輯器”對話框步驟2：鼠標(biāo)右鍵，在彈出的菜單中單擊“屬性”，打開如圖1-1-29所示“帳戶：重命名系統(tǒng)管理員帳戶屬性”對話框，在其中的文本框中輸入帳戶名。圖1-1-29Account賬戶已創(chuàng)建子任務(wù)1-1-3系統(tǒng)加固步驟3：依次單擊“開始-->管理工具-->計算機(jī)管理”，打開如圖1-1-30所示的“計算機(jī)管理”對話框，單擊“本地用戶和組”，選中用戶Account。子任務(wù)1-1-3系統(tǒng)加固圖1-1-30“計算機(jī)管理”對話框步驟4：鼠標(biāo)右鍵，打開如圖1-1-31所示“Account屬性”對話框，打開“隸屬于”選項卡，可發(fā)現(xiàn)該用戶隸屬于“Administrators”組，單擊“刪除”按鈕，將“Administrators”組刪除。子任務(wù)1-1-3系統(tǒng)加固圖1-1-31“Account屬性”對話框步驟5：然后單擊“添加”按鈕，打開如圖1-1-32所示的“選擇組”對話框，單擊“高級（A）…”按鈕子任務(wù)1-1-3系統(tǒng)加固圖1-1-32“選擇組”對話框步驟6：打開如圖1-1-33所示的“選擇組-立即查找”對話框，單擊“立即查找”按鈕，在下面的組中選中“Guests”組。子任務(wù)1-1-3系統(tǒng)加固圖1-1-33“選擇組-立即查找”對話框步驟7：依次單擊“確定”按鈕，返回如圖1-1-34所示的“Account屬性”對話框，已添加“Guests”組，單擊“確定”按鈕，則成功將Account帳戶添加到Guests組中，擁有Guests組的權(quán)限。該設(shè)置也可以逆向思維，在Guests組中創(chuàng)建一個Administrator用戶。子任務(wù)1-1-3系統(tǒng)加固圖1-1-34“Account屬性”對話框步驟8：在“運(yùn)行”文本框中輸入gpedit.msc，回車，打開如圖1-1-35所示的“本地組策略編輯器”，依次選擇“計算機(jī)配置”-->“Windows設(shè)置”-->“安全設(shè)置”-->“帳戶策略”-->“密碼策略”，在右邊窗格中選中“密碼必須符合復(fù)雜性要求”。子任務(wù)1-1-3系統(tǒng)加固圖1-1-35本地組策略編輯器—密碼策略步驟9：在彈出的菜單中單擊“屬性”，打開如圖1-1-36所示的“密碼必須符合復(fù)雜性要求屬性”對話框，選中“已啟用”單選框。給帳戶設(shè)置密碼時需要滿足如下要求。（1）不能包含用戶的帳戶名，不能包含用戶姓名中超過兩個連續(xù)字符的部分；（2）至少有六個字符長（3）包含以下四類字符中的三類字符:英文大寫字母(A到Z)、英文小寫字母(a到z)、10個基本數(shù)字(0到9)、非字母字符(例如!、$、#、%)（4）在更改或創(chuàng)建密碼時執(zhí)行復(fù)雜性要求。子任務(wù)1-1-3系統(tǒng)加固圖1-1-36“密碼必須符合復(fù)雜性要求屬性”對話框Guest帳戶的權(quán)限低，往往會被忽視。甚至為了方便訪問而使用Guest用戶。設(shè)置思路：Guest賬戶的使用雖然可以方便其他訪問者進(jìn)行訪問，但同時也給想入侵計算機(jī)的人提供了便利，矛與盾之間，需要有個取舍，一般不是必要的話就禁用該帳戶。圖1-1-37“計算機(jī)管理”對話框2.不允許Guest賬戶登錄系統(tǒng)步驟1：依次單擊“開始”-->“管理工具”-->“計算機(jī)管理”，打開如圖1-1-37所示的“計算機(jī)管理”對話框。任務(wù)1-1系統(tǒng)安裝安全防護(hù)子任務(wù)1-1-3系統(tǒng)加固步驟2：展開“系統(tǒng)工具”，找到“本地用戶和組”，展開，選中“用戶”，在右邊窗格中選中Guest用戶。步驟3：右擊Guest用戶，在彈出的菜單中單擊“屬性”，彈出如圖1-1-38所示“guest屬性”對話框。選中“賬戶已停用”復(fù)選框。子任務(wù)1-1-3系統(tǒng)加固圖1-1-38“guest屬性”對話框步驟4：在“Guest”屬性對話框中，打開如圖1-1-39所示的“隸屬于”選項卡，選中“Guests”，單擊“刪除”按鈕，刪除Guests組，單擊“應(yīng)用”-->“確定”。子任務(wù)1-1-3系統(tǒng)加固圖1-1-39““Guest”屬性—隸屬于”選項卡

Guest用戶的這些相關(guān)設(shè)置不會立即生效，直到下一次用戶登錄時對用戶的組成員關(guān)系的更改才生效。默認(rèn)情況下,Guest用戶的“遠(yuǎn)程控制”是啟用的。在“Guest”屬性對話框中，打開如圖1-1-40所示的“遠(yuǎn)程控制”選項卡，去掉“啟用遠(yuǎn)程控制”復(fù)選框中的“√”，單擊“確定”按鈕即可。子任務(wù)1-1-3系統(tǒng)加固圖1-1-40““Guest”屬性—遠(yuǎn)程控制”選項卡如果顯示上次登錄用戶名，登錄系統(tǒng)就已經(jīng)取得了一半的成功，只需要一心一意破解密碼了，甚至還可以從用戶名上獲得靈感，有助于猜解密碼。設(shè)置思路：默認(rèn)情況下，每次本地登錄或終端服務(wù)接入服務(wù)器時，登錄對話框中會顯示上次登錄的賬戶名，這些信息會泄露一些信息，導(dǎo)致攻擊更加容易。因此，最好將系統(tǒng)設(shè)置為不顯示登錄用戶名。3.禁止顯示上次登錄用戶嗎任務(wù)1-1系統(tǒng)安裝安全防護(hù)子任務(wù)1-1-3系統(tǒng)加固方式1：菜單操作步驟1：依次單擊選擇“控制面板”→“管理工具”→“本地安全策略”，打開如圖1-1-41所示“本地安全策略”對話框，在左側(cè)窗格中選擇“本地策略”→“安全選項”，在右側(cè)窗格中選中“交互式登錄：不顯示最后的用戶名”。子任務(wù)1-1-3系統(tǒng)加固圖1-1-41所示“本地安全策略”對話框步驟2：鼠標(biāo)右鍵，單擊屬性，打開如圖1-1-42所示的“交互式登錄：不顯示最后的用戶名屬性”對話框，選擇“已啟用”單選項，單擊“應(yīng)用”-->“確定”按鈕即可。這樣就不會顯示上次登錄的用戶名了。子任務(wù)1-1-3系統(tǒng)加固圖1-1-42“交互式登錄：不顯示最后的用戶名屬性”對話框子任務(wù)1-1-3系統(tǒng)加固圖1-1-43“注冊表編輯器”對話框方式2：注冊表操作不顯示上次登錄用戶名也可以通過修改注冊表來實現(xiàn)，在“運(yùn)行”文本框中輸入regedit，單擊確定，打開如圖1-1-43所示的“注冊表編輯器”對話框，在左邊窗格中依次查找如下項，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogon，在右側(cè)窗格中找到“Don'tDisplayLastUserName”，鼠標(biāo)右鍵，單擊“修改”，打開“編輯字符串”對話框，在“數(shù)值數(shù)據(jù)”文本框中將其數(shù)據(jù)值修改為1，單擊“確定”即可。SYSKEY可以使用啟動密鑰來保護(hù)SAM文件中的賬戶信息。默認(rèn)情況下，啟動密鑰是一個隨機(jī)生成的密鑰，存儲在本地計算機(jī)上，這個啟動密鑰在計算機(jī)啟動時必須正確輸入才能登錄系統(tǒng)，運(yùn)行SYSKEY有兩種方式：4.使用syskey保護(hù)賬號信息任務(wù)1-1系統(tǒng)安裝安全防護(hù)子任務(wù)1-1-3系統(tǒng)加固方式一：“運(yùn)行”文本框方式步驟1：依次單擊“開始”→“運(yùn)行”命令，打開如圖1-1-44所示的“運(yùn)行”文本框，在其中輸入syskey命令，單擊“確定”按鈕。圖1-1-44

運(yùn)行SYSKEY子任務(wù)1-1-3系統(tǒng)加固圖1-1-45

“保證windows賬戶數(shù)據(jù)庫的安全”對話框步驟2：打開如圖1-1-45所示的“保證windows帳戶數(shù)據(jù)庫的安全”對話框，選擇“啟用加密”單選項，單擊“確定”按鈕，會出現(xiàn)SYSKEY設(shè)置界面。子任務(wù)1-1-3系統(tǒng)加固圖1-1-46

“DOS命令”方式二：DOS命令提示方式步驟1：依次單擊“開始”→“程序”→“附件”→“命令提示符”命令，在DOS提示符后輸入syskey命令，單擊Enter鍵，會出現(xiàn)如圖1-1-45所示“保證Windows帳戶數(shù)據(jù)庫的安全”的對話框，也就是skskey的設(shè)置界面。子任務(wù)1-1-3系統(tǒng)加固圖1-1-47

“啟動密鑰”對話框步驟2：單擊“確定”按鈕，看不到任何提示信息，但已完成了對SAM散列值的二次加密工作。此時，即使攻擊者通過另外一個系統(tǒng)進(jìn)入系統(tǒng)，盜走SAM文件的副本或者在線提取密碼散列值，這份副本或散列值對于攻擊者也是沒有意義的，因為syskey提供了安全保護(hù)。步驟3：如果要設(shè)置系統(tǒng)啟動密碼或啟動軟盤，單擊對話框中的“更新”按鈕，彈出如圖1-1-47所示的“啟動密鑰”對話框。子任務(wù)1-1-3系統(tǒng)加固“密碼啟動”單選項：單擊此項可設(shè)置系統(tǒng)啟動時的密碼，即在文本框中輸入需設(shè)置的密碼?！跋到y(tǒng)產(chǎn)生的密碼”單選項下的“在軟盤上保存啟動密碼”單選項：制作啟動盤時使用；“系統(tǒng)產(chǎn)生的密碼”單選項下的“在本機(jī)上保存啟動密碼”單選項：把密碼保存為操作系統(tǒng)的一部分，在系統(tǒng)開始時不需要任何交互操作。

為了防止黑客進(jìn)入系統(tǒng)后對本地計算機(jī)上存儲的啟動密鑰進(jìn)行暴力搜索，還是建議將啟動密鑰存儲在軟盤或移動硬盤上，實現(xiàn)啟動密鑰與本地計算機(jī)的分離。5.禁止建立空鏈接任務(wù)1-1系統(tǒng)安裝安全防護(hù)子任務(wù)1-1-3系統(tǒng)加固默認(rèn)情況下，任何用戶都可通過空鏈接連接服務(wù)器，進(jìn)而枚舉出賬號，猜測密碼?？梢酝ㄟ^修改注冊表來禁止建立空鏈接：即把LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下的restrictanonymous的值改成1即可，如圖1-1-48所示。圖1-1-48修改注冊表6.關(guān)閉默認(rèn)共享任務(wù)1-1系統(tǒng)安裝安全防護(hù)子任務(wù)1-1-3系統(tǒng)加固操作系統(tǒng)安裝完成以后，系統(tǒng)會創(chuàng)建一些隱藏的共享。（1）查看共享在“運(yùn)行”文本框中輸入cmd命令，單擊“確定”按鈕，打開“命令提示符”對話框，在DOS提示符下輸入netshare命令，單擊回車符，運(yùn)行結(jié)果如圖1-1-49所示。這些就是系統(tǒng)安裝完成后存在的默認(rèn)共享，利用這些默認(rèn)共享，可實現(xiàn)IPC入侵。圖1-1-49查看共享命令使用子任務(wù)1-1-3系統(tǒng)加固各默認(rèn)共享的說明如表1-1-2所示。表1-1-2共享目錄及其功能默認(rèn)共享目錄路徑說明C$D$E$分區(qū)的根目錄

ADMIN$%SYSTEMTOOT%遠(yuǎn)程管理用的共享目錄。它的路徑永遠(yuǎn)都指向Windows的安裝路徑，比如C：\WINNTIPC$

IPC$共享提供了登錄的能力PRIN$SYSTEM32\SPOOL\DRIVERS用戶遠(yuǎn)程管理打印機(jī)（2）禁止共享方法1：在“計算機(jī)管理”窗口中選擇“系統(tǒng)工具”，打開“共享文件夾”下的“共享”項，在右方的列表中選擇相應(yīng)的共享，鼠標(biāo)右鍵，在彈出的菜單中選中并執(zhí)行“停止共享”命令即可，如圖1-1-50所示。圖1-1-50停止默認(rèn)共享子任務(wù)1-1-3系統(tǒng)加固方法2：在非域環(huán)境中，關(guān)閉Windows硬盤默認(rèn)共享，例如C$，D$。具體操作如下：首先打開注冊表編輯器，依次找到HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters項，查看是否存在REG_DWORD類型的AutoShareServer

鍵，如不存在，則手動添加，將其值設(shè)置為0。然后關(guān)閉注冊表，重新啟動服務(wù)器后，Windows將關(guān)閉硬盤的默認(rèn)共享。方法3：使用以下命令刪除共享：netshare/delete<共享名>，例如命令netshare/deleteC$將刪除默認(rèn)共享C$。解決這種問題的方法是用文本編輯軟件如或notepad.exe建立一個批處理文件，例如delshare.bat，其內(nèi)容如下：netshare/deleteC$netshare/deleteADMIN$然后將該批處理文件delshare.bat放入操作系統(tǒng)“程序”→“啟動”組中，這樣每次系統(tǒng)啟動時即可刪除默認(rèn)的共享。

使用該種方式刪除默認(rèn)共享后，只要重新啟動操作系統(tǒng)，默認(rèn)共享就又存在了7.基本策略設(shè)置任務(wù)1-1系統(tǒng)安裝安全防護(hù)子任務(wù)1-1-3系統(tǒng)加固（1）設(shè)置密碼策略一些網(wǎng)絡(luò)管理員創(chuàng)建賬號時往往使用公司名、計算機(jī)名或者一些別的容易猜到的字符當(dāng)用戶名，然后又把這些賬戶的密碼設(shè)置得比較簡單，比如：route、switch、welcome或者與用戶名相同的密碼等。這對系統(tǒng)安全非常重要，應(yīng)該要求用戶首次登錄時更改為復(fù)雜密碼，還要注意經(jīng)常更改密碼。所謂安全密碼就是安全期內(nèi)無法破解出來的密碼，也就是說，如果得到了密碼文檔，必須花大于42天或者更長的時間才能破解出來的密碼，因為密碼策略默認(rèn)的最大期限是42天必須更改密碼。

在默認(rèn)的情況下，安全設(shè)置中的密碼策略都沒有開啟。子任務(wù)1-1-3系統(tǒng)加固