windows系统安全技术

windows系统安全技术哈尔滨工程大学 xxx提纲nWindows账号和密码安全nWindows安全结构nWindows文件系统安全nWindows注册表的安全nWindows系统中查杀后门木马技术nWindows系统中常用安全命令nWindows安全产品线 nWindows升级服务（WSUS）nWindows安全检查清单Windows帐号与密码帐号定义n所谓用户帐号，是计算机使用者的身份标 识。每一个使用计算机的人，必须凭借他 的用户帐号才能进入计算机，进而使用计 算机中的资源。n默认账号n管理员创建的帐号默认帐号nAdministor rootnAdministrator:系统管理员帐号、具有最高权限。在 域中和计算机中具有不受限制的权利，可以管理本 地或域中的任何计算机，如创建帐号、创建组、实 施安全策略等。n从不被锁定 选装passprop.exen不能删除，可重命名n诱骗 Honey Potn采用另外的管理员帐号nGuestn默认被禁用n不能删除，可重命名默认帐号n其他帐号n如用户帐号，特定服务，应用程序n由Administrator创建n一般可被禁用或删除n如果要用IIS(Internet Information Server)建设各类站点 ，则以下两个帐号不能停用：nIUSERcomputername IIS匿名访问账号nIWAMcomputername IIS匿名执行脚本的账号n这两个账号默认有密码，是由系统分配的，用户不要更改其 密码，更不要删除，否则IIS不能匿名访问和执行脚本组n所谓组，是一组相关账号的集合。可以按 照不同用户的操作需求和资源访问需求来 创建不同的组，实现对用户的统一配置和 管理。 使用组的目的：简化对网络的管理，通过 组可以一次性地为一批用户授权。组是强 有力的管理工具之一，使用组可以减少需 要直接管理的对象数量，从而简化了网络 维护与管理。常用内置组nAdministrators,管理员组，默认情况下，Administrators中 的用户对计算机/域有不受限制的完全访问权。分配给该 组的默认权限允许对整个系统进行完全控制。所以，只 有受信任的人员才可成为该组的成员。nPower Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务 。分配给 Power Users 组的默认权限允许 Power Users 组 的成员修改整个计算机的设置。但Power Users 不具有将 自己添加到 Administrators 组的权限。在权限设置中，这 个组的权限是仅次于Administrators的。 常用内置组(cons.)nUsers:普通用户组。分配给该组的默认权限不允许成员修 改操作系统的设置或用户资料。Users 组提供了一个最安 全的程序运行环境。在经过 NTFS 格式化的卷上，默认 安全设置旨在禁止该组的成员危及操作系统和已安装程 序的完整性。用户不能修改系统注册表设置、操作系统 文件或程序文件。Users 可以关闭工作站，但不能关闭服 务器。Users 可以创建本地组，但只能修改自己创建的本 地组。nGuests:来宾组，按默认值，来宾跟普通Users的成员有同 等访问权，但来宾帐号的限制更多。 nEveryone:顾名思义，所有的用户，这个计算机上的所有 用户都属于这个组 添加/删除帐号nWin2000/XP下nü 管理工具计算机管理本地用户和组n命令行方式nü net user 用户名密码/add /deletenü 将用户加入到组nnet localgroup 组名用户名/add /delete密码复杂性要求n强壮密码的组成n大写字母n小写字母n数字n非字母、数字的字符n密码长度：不小于8字节长强壮密码应符合的规则个人名字 或呢称电话号码、生 日等敏感信息输入8字符 以上密码记录于纸上或 放置于办公处使用重复 的字符XXX X+ += =强壮的密码强壮的密码密码存放位置n注册表HKEY_LOCAL_MACHINESAMnWinnt/system32/config/samWin XP 本地安全设置n在“开始”“运行”窗口中输入“secpol.msc”并回车就可以 打开“本地安全设置窗口”。或者通过“控制面板”“管理 工具”“本地安全策略”来打开这个设置界面。n在“本地安全设置”窗口的左侧展开“账户策略”“密码策 略”，在右边窗格中就会出现一系列的密码设置项进行设 置：n密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5 次 强制密码历史 42 天开启帐号锁定策略 n复位帐号锁定计数器 20分钟 帐号锁定时间 20分钟 帐号锁定阈值 3次 打开审核策略 n开启安全审核是win2000最基本的入侵检测方法。当有人 尝试对你的系统进行某些方式（如尝试用户密码,改变帐 号策略，未经许可的文件访问等等）入侵的时候，都会 被安全审核记录下来。很多的管理员在系统被入侵了几 个月都不知道，直到系统遭到破坏。n审核系统登陆事件 成功，失败 审核帐号管理 成功，失败 审核登陆事件 成功，失败 审核对象访问 成功 审核策略更改 成功，失败 审核特权使用 成功，失败 审核系统事件 成功，失败 确保可信的登陆界面 n将您的计算机设置成登录Windows之前必须按 “CtrlAltDelete”组合键，是为了保护计算机免 受某些特洛伊木马的攻击。一些特洛伊木马程序 可以模仿Windows登录界面，欺骗用户输入用户 名和密码。使用“CtrlAltDelete”组合键可以确 保您看到的是真实可信的Windows登录界面。为 了使连接到域中计算机的这一设置有效，您需要 使用管理员身份登录，在控制面板中打开“用户 账户”图标，选择“高级”选项卡，在“安全登录”项 目中，选中“要求用户按CtrlAltDelete”复选框 ，然后点击“确定”按钮。 组合键锁定计算机 n在离开办公桌的时候，为确保计算机的安 全，需要锁定您的计算机，这样只有输入 密码才能够再次使用。n如果您的计算机已经登录到域中，只需按 下“CtrlAltDelete”组合键，然后点击“ 锁定计算机”按钮即可。 n当您返回后，再次按下“CtrlAltDelete” 组合键，输入密码即可。 给“休眠”和“待机”加个密码 n只有“屏幕保护”有密码是远远不够安全的 ，我们还要给“休眠”和“待机”加上密码， 这样才会更安全。让我们来给“休眠”和“待 机”加上密码吧。在“组策略”窗口中展开“ 用户配置管理模板系统电源管理”， 在右边的窗格中双击“从休眠/挂起恢复时 提示输入密码”，将其设置为“已启用” ，那 么当我们从“待机”或“休眠”状态返回时将 会要求你输入用户密码。 把共享文件的权限从 ”everyone”组改成“授权用 户” n“everyone” 在win2000中意味着任何有权进 入你的网络的用户都能够获得这些共享资 料。任何时候都不要把共享文件的用户设 置成”everyone”组。n包括打印共享，默认的属性就是”everyone” 组的。 客户端安全调置n拔号上网安全性n设置复杂密码n关闭所有不必要的共享n禁止Netbios over TCP/IP协议客户端安全设置n冲浪上网安全性n下载软件的注意事项nCookie的安全性nActiveX控件和Java Applet网络安全设置nWindowsXP自带ICF功能检查异常进程nnetstat an 和net sessionn利用任务管理器结束异常任务和进程nCtrl+Alt+Del键n右键点击任务栏空白处，选任务管理器n利用个人防火墙或防病毒软件定期扫描n如：天网个人防火墙客户端安全设置n设置防病软件的自动升级功能n设置Windows自动下载更新功能n系统设置nhttp:/windowsupdate.microsoft.comn时常关注相关的安全公告nhttp:/www.nsfocus.netnhttp:/www.microsoft.com/security/nhttp:/www.securityinfo.comnhttp:/www.insecure.orgnhttp:/www.mcafee.com安全威胁n来自外部的威胁n口令破解（字典、暴力）n病毒攻击n非法服务n拒绝服务安全威胁n来自内部的威胁n物理安全n误用和滥用n不当的接入方式n数据监听(Sniffer)n劫持攻击Windows文件系统安全NTFS与FAT32nNTFS 文件系统是推荐的文件系统，因为它在可 靠性和安全性方面具有优势，还因为它是大容量 驱动器必需的。FAT 和 FAT32 文件系统彼此 相似，除了 FAT32 比 FAT 适于更大的硬盘 。NTFS 一直是比 FAT 或 FAT32 更强大 的文件系统。 n在ghost2000之前的版本是看不到NTFS分区的； 挂主从硬盘时也看不到从盘的NTFS分区。nNTFS可以支持的分区大小可以达到2TB（ 2048GB）,而FAT32支持分区的大小最大为32GB 。 NTFS的优势n权限：可对单个文件设置而不仅仅是对文件夹设置。 n文件加密：大大增强了安全性。 nActive Directory：可用来方便地查看和控制网络资源。 n域：它是Active Directory的一部分，可用于在简化管理 任务的同时微调安全选项。域控制器必须NTFS。 n磁盘活动的故障恢复日志：在发生断电或其他系统问题 时，帮助您快速地还原信息。NTFS可以自动地修复磁盘 错误而不会显示出错信息。 n硬盘配额：可用于监视和控制单个用户使用的磁盘空间 大小。 磁盘分区 n因为操作系统目录的权限是非常严格的，把Windows NT 放置自己单独的分区内是个明智的选择。n通常分为3个区n系统n程序n数据n尽管这种分区需要额外地策划，但它还是很有吸引力， 特别是简化了对于目录权限的管理。目录可以根据需要 分开。如果 你在运行一个设备如WEB服务器，你可能会 考虑使用HTML，图像和其它一些静态文件在一个分区上 ，而你的脚本文件则放到另一个分区上。你可以将脚本 设置成只可以执行那些静态文件可允许读取。这种策略 的结果就是易于管理文件和目录的权限。 如何选择分区格式n如果在Windows XP中使用大于32GB的分区，唯 一可以选择的是NTFS格式。n如果计算机不考虑安全性问题，更注重与Win 9X 的兼容性，那么FAT32格式是最好的选择。n如果注重计算机系统的安全性的话，建议用户采 用NTFS格式。n如果要使用多个操作系统，需要安装Win 9X或其 它操作系统，建议用户做成多启动系统，一个分 区采用FAT32格式，另外的分区采用NTFS格式， 并且将Windowds XP安装在NTFS格式分区下，其 它操作系统安装在FAT32格式下。 安装windows注意事项n使用可靠安装盘n将系统安装在NTFS分区上n系统和数据要分开存放在不同的磁盘n最少建立两个分区，一个系统分区，一个应用程序分 区，因为微软的IIS经常会有泄漏源码/溢出的漏洞，如 果把系统和IIS放在同一个驱动器会导致系统文件的泄 漏甚至入侵者远程获取ADMIN。n最小化安装服务n只安装必需的协议安装windows注意事项(cons.)n设置BIOS密码n改变安装的默认路径n安装最新的补丁程序n安装必要的防病毒软件n安装合适的防火墙软件nGhost备份安装的系统安装windows注意事项(cons.)n建立和选择分区n选择安装目录n不安装多余的组件n停止多余的服务n安装系统补丁改变缺省安装目录n在2000的安装过程中通常使用缺省目录 C:WINNT。n很多黑客工具将这个目录用到他们的程序 代码中。n在安装