1、数据通信技术培训windows系统 安全加固Contents Page目录页01 Windows系统安全分析02 Windows系统安全加固Transition Page过渡页01 Windows系统安全分析02 Windows系统安全加固01 Windows系统安全分析- 4 - 01 Windows系统安全分析 什么是安全的操作系统?一般意义上说,一个操作系统是安全的,是指该系统能够控制 外部对系统信息 的访问,也就是说,只有经过授权的用户或代表该用户运行的进程才能读、写、创建和删除信息 。【 通俗的说 】身份认证解决的是 “ 你是谁,你是否真的是你所声称的身份 ”访问控制解决的是 “ 你
2、能做什么,你有什么样的权限 ” 。- 5 - 01 Windows系统安全分析 操作系统安全的含义操作系统安全具有两层含义:一、是指操作系统设计时,通过权限访问控制、信息加密保护、完整性鉴定等一些安全机制实现的安全。二、是指在操作系统使用过程中,考虑系统缺陷和应用环境的不安全因素而必须进行系统的安全配置。- 6 - 01 Windows系统安全分析 操作系统的安全配置操作系统安全 配置主要包含以下三个方面:1、访问权限的恰当设置指 利用操作系统提供的访问控制功能为用户和文件系统设置恰当的访问权限。2、系统的及时更新几乎 所有操作系统都不同程度的存在着设计和程序缺陷,在应用中产生安全漏洞,容易被
3、病毒利用来侵入并攻击用户计算机。3、对于攻击 的防范利用 操作系统提供的各种 功能 和安装各种防范软件来提高系统的安全防护能力。- 7 - 01 Windows系统安全分析 操作系统的安全漏洞几乎所有的操作系统都不是十全十美的,总存在些安全漏洞。一些常见及重大的操作系统安全漏洞类型包括:n 1、缓冲区溢出漏洞n 2、 TCP/IP协议漏洞n 3、 web应用安全漏洞n 4、开放端口的安全漏洞Transition Page过渡页01 Windows系统安全分析02 Windows系统安全加固系统安全加固- 9 - 02 Windows系统安全加固 Windows系统安全加固策略n1、账号 安全设
4、置n2、设置安全的密码n3、设置屏幕保护密码n4、关闭不必要的服务n5、关闭不必要的端口n6、开启系统审核策略n7、开启密码策略n8、开启账户锁定策略n9、关闭系统默认共享n10、禁止 TTL判断主机类型n11、修补操作系统漏洞n12、其他安全设置- 10 - 02 Windows系统安全加固 2.1 windows账户安全设置可以将 guest账号关闭、停用或改名。如果必须要用 guest账号的话,需将 guest列入拒绝 “网络访问 ”的名单中,防止 guest账号从网络访问本计算机、关闭计算机以及查看系统日志等。(如果本地有打印机共享或者文件夹共享则不能做此设置)第一步:禁用 guest
5、- 11 - 02 Windows系统安全加固 2.1 windows账户安全设置n 去掉所有的测试账户、共享账户和普通部门账号等。用户组策略设置相应权限,并且经常检查系统的账户,删除已经不适用的账户。n 账户很多是黑客们入侵系统的突破口,系统的账户越多,黑客们得到合法用户的权限可能性也就越大。n 对于 windows NT主机,如果系统账户超过 10个,一般能找出一两个弱口令账户,所以账户数量不要大于 10个。这些不用的账户要定期清理掉。第 二 步:限制用户数量- 12 - 02 Windows系统安全加固 2.1 windows账户安全设置n windows系统中的 administrat
6、or账号是不能被停用的,这意味着别人可以一遍又一遍地尝试这个账号的密码。如果把 administrator账号更名则可以有效地防止这一点。n 不要使用 admin之类的迷你工资,改了等于没改,尽量把它伪装成普通用户。例如,将 administrator改成guesttest。第三步:管理员账号更名- 13 - 02 Windows系统安全加固 2.1 windows账户安全设置n 陷阱账号是创建是一个名为“administrator”的本地账户,把它的权限设置为最低,基本上什么权限都没有,并且为账号设置一个特别复杂的密码。n 这样可以让那些企图入侵者忙上很长一段时间了,借此来发现其入侵的企图。
7、例如,将此用户隶属于 guests组,并且密码为 20位以上的数字 +大小写字母 +特殊符号的密码。第 四 步:创建陷阱账户- 14 - 02 Windows系统安全加固 2.2 设置安全的密码1. 1234562. 1234567893. qwerty4. 123456785. 1111116. 12345678907. 12345678. password9. 12312310. 98765432111. qwertyuiop12. mynoob13. 12332114. 66666615. 18atcskd2w16. 777777717. 1q2w3e4r18. 65432119. 55
8、555520. 3rjs1la7qen 好的密码对于一个网络是非常重要的,但是也是最容易被忽略的。一些网络管理员创建账号的时候往往用公司名、计算机名、用户姓名等,或者一些别的一猜就能得到的字符做用户名,然后又把这些账户的密码设置得比较简单。n 什么样的密码是安全的密码:安全期内无法破解出来的密码就是安全的密码,也就是说,如果得到了密码的密文,必须经过 43天以上才能破解出来,密码策略是 42天必须改密码。20个最常用的弱口令:- 15 - 02 Windows系统安全加固 2.3 设置屏幕保护密码n 设置屏幕保护密码可以防止内部人员破坏计算机的一个屏障。注意,不要使用OpenGL和一些复杂的屏
9、幕保护程序,浪费系统资源,设置黑屏即可。将屏幕保护的选项 “密码保护 ”选中,并将等待时间设置为最短的 1分钟 。n 养成 平时离开电脑前按 windows+L组合键的习惯。- 16 - 02 Windows系统安全加固 2.4 关闭不必要的服务n 计算机里通常安装有了些不不要的服务,如果这些服务没有用的话,最好能将这些服务关闭掉。例如:为了能够在远程 方便管理 服务器,很多机器的终端服务都是开着的。n 如果开了要确认已经正常的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务 并定期进行检查 。- 17 - 02 Windows系统安全加固
10、 2.5 关闭不必要的端口关闭端口则意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以人为高枕无忧了。可以在操作系统里再来限制端口的访问,如图所示为操作系统 TCP/IP限制 端口。- 18 - 02 Windows系统安全加固 2.6 开启系统审核策略n 默认情况下, windows系统的审核策略都是没有开启的。n 打开方法:控制面板 管理工具 本地安全设置 审核策略- 19 - 02 Windows系统安全加固 2.6 开启系统审核策略n “ 审核策略更改 ” ,成功 +失败 。n “ 审核登录事件 ” ,成功 +失败 。n “ 审核访问对象 ” ,失败 。n
11、 “ 审核目录服务访问 ” ,失败 。n “ 审核特权使用 ” ,失败 。n “ 审核系统事件 ” ,成功 +失败 。n “ 审核账户登录事件 ” ,成功 +失败 。n “ 审核账户管理 ” ,成功 +失败。 建议的系统审核策略:- 20 - 02 Windows系统安全加固 2.7 开启密码策略n 系统 密码策略在 默认的情况下都是没有开启的。n 【控制面板】 【管理工具】 【本地安全设置】 【审核策略】- 21 - 02 Windows系统安全加固 2.7 开启密码策略密码策略设置参考:n 密码必须符合复杂性要求设置为 “启动 ”n 密码 至少包含以下四类字符中的三种:n 英语 大写字母:
12、 ABCDEn 英语 小写字母: abcdefgn 阿拉伯数字: 01234567890n 特殊 符号:,。 ! #¥ %&*n 最短密码长度 6-8个字符n 密码 最常存留期设置为 42天 -90天n 强制密码历史设置为 “记住 5个密码 ”- 22 - 02 Windows系统安全加固 2.8 开启账户锁定策略n 系统账户锁定策略在默认的情况下都是没有开启的。n 【控制面板】 【管理工具】 【本地安全设置】 【账户锁定策略】- 23 - 02 Windows系统安全加固 2.8 开启账户锁定策略开启账户锁定策略能有效地防止字典攻击,设置建议值如下表所示:策略 建议设置值复位账户锁定计数器
13、30分钟账户锁定时间 30分钟账户锁定阈值 5次- 24 - 02 Windows系统安全加固 2.9 关闭系统默认共享在 Windows电脑系统安装后都会有默认的共享分区,但是这些默认共享分区在方便局域网中共享文件的同时也存在了安全隐患,若不经常使用这些最好关掉,给系统一个安全保障。 1、利用快捷键 Win+R打开运行框,输入cmd,打开命令提示符窗口; 2、再窗口中输入命令 net share回车。如下图所示。 C$, D$, E$, F$默认共享,以及IPC$远程 IPC, ADMIN$远程管理; 3、 print$为打印机共享, 一般办公室中 一台电脑上安装打印机,然后把打印机共享。
14、查看默认共享:- 25 - 02 Windows系统安全加固 2.9 关闭系统默认共享关闭默认共享方法一: 打开 【 控制面板 】 【 管理工具 】 【 计算机管理 】 【共享文件夹 】 【 共享 】 , 在相应的共享文件夹上右击停止共享。注意:此种方法关闭共享后,如果计算机重启,默认共享又会开启。- 26 - 02 Windows系统安全加固 2.9 关闭系统默认共享关闭默认共享 方法二:批处理法1、打开记事本,输入如下内容:net share admin$ /deletenet share c$ /deletenet share d$ /deletenet share e$ /delete
15、net share f$ /delete2、将以上内容保存为 netshare.bat(注意后缀名),然后把这个批处理文件拖到 “程序 ”“启动 ”项中,这样每次开机就会自动运行此文件,也就通过 net命令关闭了共享。- 27 - 02 Windows系统安全加固 2.9 关闭系统默认共享关闭默认共享 方法三:注册表编辑法1、打开注册表编辑器2、找到路径:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters3、将 AutoShareServer项的键值由 1改为 0,这样就能关闭硬盘分区的默认共享;4、将
16、 AutoSharkWks项的键值由 1改为 0,关闭 admin$共享。5、如果没有以上两项,可自己新建一个再改键值。- 28 - 02 Windows系统安全加固 2.10 禁止 TTL值判断主机类型n 黑客可以利用 TTL值来鉴别操作系统的类型,通过 ping命令能判断目标主机的类型。n 许多入侵者首先会 ping一下目标主机,因为攻击某一台计算机需要根据对方的操作系统是 windows还是其他的系统。如 TTL值为 128就 可以认为系统 为 windows 2000。n Unix及类 Unix系统 ICMP回显应答的 TTL字段值为 255n 微软的 windows NT/2000/
17、XP操作系统 ICMP回显应答的 TTL字段值为 128, WIN 7的TTL值为 64,打开注册表编辑器,展开“HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters”,找到“DefaultTTL”,将该值修改 为一个新的值, 重新启动服务器系统后即可。- 29 - 02 Windows系统安全加固 2.11 修补操作系统漏洞n Windows系统漏洞其实是指 windows操作系统本身所存在的技术缺陷。系统漏洞往往会被病毒利用侵入并攻击用户计算机 。n 微软会定期 对已知的系统漏洞发布补丁程序,用户只要定期下载并安装
18、补丁程序,可以保证计算机不会轻易被病毒入侵 。n 所以 我们一般都应该对 windows提示的系统漏洞进行下载更新(也就是我们俗称的打补丁),以此保护我们的计算机系统。补丁更新方法系统自动更新第三方程序VS- 30 - 02 Windows系统安全加固 2.12 其他安全设置禁用 TCP/IP上的 NetBIOS禁用 TCP/IP上的 NetBIOS协议,可以关闭监听的 UDP 137( netbios-ns)、 UDP 138( netbios-dgm)以及 TCP 139( netbios-ssn)端口。1. 在 计算机管理 服务和应用程序 服务 中禁用 TCP/IP NetBIOS Helper 服务 。2. 在 网络连接属性中,双击 Internet协议版本 4( TCP/IPv4) ,单击 高级 。在 WINS 页签中,进行 如 右 设置 :操作步骤:
