Windows操作系统的安全配置
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
账号密码安全信息安全8?开启密码密码策略策略密码复杂性要求启用密码长度最小值6位强制密码历史5次强制密码历史42天设置?开启帐户策略策略复位帐户锁定计数器20分钟帐户锁定时间20分钟帐户锁定阈值3次设置本地安全策略信息安全9?本地安全策略打开管理工具找到本地安全设置
1
物理安全
账号、密码安全
本地安全策略
查看键盘、主机、显示器、计算机桌等与计算机环境相关的设备 是否有多余的东西
信息安全
3
账号、密码安全
停掉Guest 帐号 在计算机管理的用户里面把guest帐号停用掉, 任何时候都不允许guest帐号登陆系统。为了保险 起见,最好给guest 加一个复杂的密码。 如果要启动Guest 帐号,一定要查看该账号的 权限,只能以受限权限运行。
信息安全
6
账号、密码安全
不让系统显示上次登陆的用户名 默认情况下,终端服务接入服务器时,登陆对话 框中会显示上次登陆的帐户,本地的登陆对话框也 是一样。这使得别人可以很容易的得到系统的一些 用户名,进而作密码猜测。修改注册表可以不让对 话框里显示上次登陆的用户名,具体是: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUser Name把 REG_SZ 的键值改成 1 .
创建一个陷阱帐号 什么是陷阱帐号? 创建一个名为” Administrator”的本地 帐户,把它的权限设置成最低,什么事也干不了的那种,并且 加上一个超过10位的超级复杂密码。这样可以让那些 Scripts 忙上一段时间了,并且可以借此发现它们的入侵企图。或者在 它的login scripts上面做点手脚。
信息安全
11
服务安全
1.Alerter[通知选定的用户和计算机管理警报] 2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享] 3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远 程计算机无法访问共享 4.Distributed Link Tracking Server[适用局域网分布式链接? 倏突Ф 5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] 6.IMAPI CD-Burning COM Service[管理 CD 录制] 7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] 8.Kerberos Key Distribution Center[授权协议登录网络] 9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止] 10.Messenger[警报] Meeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集] work DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] work DDE DSDM[管理动态数据交换 (DDE) 网络共享] 14.Print Spooler[打印机服务,没有打印机就禁止吧] 15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助] 16.Remote Registry[使远程计算机用户修改本地注册表] 17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探 注册信息] 18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] 19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行 提示符] 20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络] 21.Telnet[允许远程用户登录到此计算机并运行程序] 22.Terminal Services[允许用户以交互方式连接到远程计算机] 23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机] 如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务, 因为这完全有可能是黑客使用控制程序的服务端。 信息安全
服务安全
网络安全 Microsoft 基准安全分析器 文件加密
信息安全
2
物理安全
物理安全 重要主机应该安放在安装了监视器的隔离房间内,并且监视器 要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上 锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外 的安全的地方。 禁止从软盘和CD Rom启动系统 一些第三方的工具能通过引导系统来绕过原有的安全机制。如 果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光 驱。把机箱锁起来扔不失为一个好方法。
本地安全策略
打开审核策略
开启安全审核是win2000/XP最基本的入侵检测方法。当有人尝试 对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许 可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多 的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下 面的这些审核是必须开启的,其他的可以根据需要增加: 策略 设置 审核系统登陆事件 成功,失败 审核帐户管理 成功,失败 审核登陆事件 成功,失败 审核对象访问 成功 审核策略更改 成功,失败 审核特权使用 成功,失败 审核系统事件 成功,失败
阻止ICMP重定向报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Param etersEnableICMPRedirects REG_DWORD 0x0( 默认值为0x1)
信息安全
5
账号、密码安全
ቤተ መጻሕፍቲ ባይዱ
把系统administrator帐号改名 大家都知道,windows 2000 的administrator帐号是不能 被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密 码。把Administrator帐户改名可以有效的防止这一点。当然, 请不要使用Admin之类的名字,改了等于没改,尽量把它伪装 成普通用户,比如改成:guestone 。
信息安全
17
网络安全
把共享文件的权限从”everyone”组改成“授 权用户” “everyone” 在win2000中意味着任何有权进 入你的网络的用户都能够获得这些共享资料。 任何时候都不要把共享文件的用户设置 成”everyone”组。包括打印共享,默认的属性 就是”everyone”组的,一定不要忘了改。
信息安全
16
网络安全
net share ipc$ /delete net share admin$ /delete net share c$ /delete net share d$ /delete net share e$ /delete 到“计算机管理”窗口中,单击展开左侧的“服务 和应用程序”并选中其中的“服务”,此时右侧就 列出了所有服务项目。共享服务对应的名称是 “Server”(在进程中的名称为services),找到 后双击它,在弹出的“常规”标签中把“启动类型” 由原来的“自动”更改为“已禁用”。然后单击下 面“服务状态”的“停止”按钮,再确认一下就 OK了。
信息安全
15
网络安全
关闭默认共享
win2000安装好以后,系统会创建一些隐藏的共享,你可以在 cmd下打 net share 查看他们。要禁止这些共享 ,打开 管理工具> 计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键,点 停止共享即可,不过机器重新启动后,这些共享又会重新开启的。 C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有 Administrator和Backup Operators组成员才可连接,Win2000 Server版本Server Operatros组也可以连接到这些共享目录。 ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永 远都指向Win2000的安装路径。 IPC$ 空连接。IPC$共享提供了登录到系统的能力。 NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处 理登陆域请求时用到 PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户 远程管理打印机
信息安全
10
服务安全
关闭不必要的服务 windows 2000 的 终端、远程注册表等服务,都 可能给你的系统带来安全漏洞。为了能够在远程 方便的管理服务器,很多机器的终端服务都是开 着的,如果你的也开了,要确认你已经正确的配 置了终端服务。有些恶意的程序也能以服务方式 悄悄的运行。要留意服务器上面开启的所有服务, 中期性(每天)的检查他们。下面是C2级别不安全 服务:
12
服务安全
防止rpc漏洞 打开管理工具——服务——找到 RPC(Remote Procedure Call (RPC) Locator)服 务——将故障恢复中的第一次失败,第二次失败, 后续失败,都设置为不操作。
信息安全
13
网络安全
关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点 决策。如果服务器安装在防火墙的后面,冒的险就会少些, 但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描 系统所开放的端口,确定开放了哪些服务是黑客入侵你的系 统的第一步。\system32\drivers\etc\services 文件中有知名 端口和服务的对照表可供参考。
信息安全
7
本地安全策略
开启密码密码策略 策略 设置 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5 次 强制密码历史 42 天 开启帐户策略 策略 设置 复位帐户锁定计数器 20分钟 帐户锁定时间 20分钟 帐户锁定阈值 3次
信息安全
8
本地安全策略
本地安全策略
打开管理工具找到本地安全设置.本地策略.安全选项
网络访问.不允许SAM帐户的匿名枚举 启用 网络访问.可匿名的共享 将后面的值删除 网络访问.可匿名的命名管道 将后面的值删除 网络访问.可远程访问的注册表路径 将后面的值删除 网络访问.可远程访问的注册表的子路径 将后面的值删除 网络访问.限制匿名访问命名管道和共享
信息安全
9
信息安全
18
修改注册表加强安全性
禁止默认共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserv er\parameters ] 新建DOWRD“AutoShareServer”设置为“0”
修改默认的TTL值
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Para meters]新建DOWRD值为DefaultTTL
使用安全密码
一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。前面 的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往 往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把 这些帐户的密码设置得N简单,比如 “welcome” “iloveyou” “letmein”或者和 用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密 码,还要注意经常更改密码。
信息安全
4
账号、密码安全
限制不必要的用户数量
去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。 用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的 帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多, 黑客们得到合法用户的权限可能性一般也就越大。
信息安全
14
网络安全
禁止建立空连接 默认情况下,任何用户通过通过空连接连上服务 器,进而枚举出帐号,猜测密码。我们可以通过修改 注册表来禁止建立空连接: Local_Machine\System\CurrentControlSet\Control \LSA-RestrictAnonymous 的值改成”1”即可。
1
物理安全
账号、密码安全
本地安全策略
查看键盘、主机、显示器、计算机桌等与计算机环境相关的设备 是否有多余的东西
信息安全
3
账号、密码安全
停掉Guest 帐号 在计算机管理的用户里面把guest帐号停用掉, 任何时候都不允许guest帐号登陆系统。为了保险 起见,最好给guest 加一个复杂的密码。 如果要启动Guest 帐号,一定要查看该账号的 权限,只能以受限权限运行。
信息安全
6
账号、密码安全
不让系统显示上次登陆的用户名 默认情况下,终端服务接入服务器时,登陆对话 框中会显示上次登陆的帐户,本地的登陆对话框也 是一样。这使得别人可以很容易的得到系统的一些 用户名,进而作密码猜测。修改注册表可以不让对 话框里显示上次登陆的用户名,具体是: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUser Name把 REG_SZ 的键值改成 1 .
创建一个陷阱帐号 什么是陷阱帐号? 创建一个名为” Administrator”的本地 帐户,把它的权限设置成最低,什么事也干不了的那种,并且 加上一个超过10位的超级复杂密码。这样可以让那些 Scripts 忙上一段时间了,并且可以借此发现它们的入侵企图。或者在 它的login scripts上面做点手脚。
信息安全
11
服务安全
1.Alerter[通知选定的用户和计算机管理警报] 2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享] 3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远 程计算机无法访问共享 4.Distributed Link Tracking Server[适用局域网分布式链接? 倏突Ф 5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] 6.IMAPI CD-Burning COM Service[管理 CD 录制] 7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] 8.Kerberos Key Distribution Center[授权协议登录网络] 9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止] 10.Messenger[警报] Meeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集] work DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] work DDE DSDM[管理动态数据交换 (DDE) 网络共享] 14.Print Spooler[打印机服务,没有打印机就禁止吧] 15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助] 16.Remote Registry[使远程计算机用户修改本地注册表] 17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探 注册信息] 18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] 19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行 提示符] 20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络] 21.Telnet[允许远程用户登录到此计算机并运行程序] 22.Terminal Services[允许用户以交互方式连接到远程计算机] 23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机] 如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务, 因为这完全有可能是黑客使用控制程序的服务端。 信息安全
服务安全
网络安全 Microsoft 基准安全分析器 文件加密
信息安全
2
物理安全
物理安全 重要主机应该安放在安装了监视器的隔离房间内,并且监视器 要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上 锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外 的安全的地方。 禁止从软盘和CD Rom启动系统 一些第三方的工具能通过引导系统来绕过原有的安全机制。如 果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光 驱。把机箱锁起来扔不失为一个好方法。
本地安全策略
打开审核策略
开启安全审核是win2000/XP最基本的入侵检测方法。当有人尝试 对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许 可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多 的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下 面的这些审核是必须开启的,其他的可以根据需要增加: 策略 设置 审核系统登陆事件 成功,失败 审核帐户管理 成功,失败 审核登陆事件 成功,失败 审核对象访问 成功 审核策略更改 成功,失败 审核特权使用 成功,失败 审核系统事件 成功,失败
阻止ICMP重定向报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Param etersEnableICMPRedirects REG_DWORD 0x0( 默认值为0x1)
信息安全
5
账号、密码安全
ቤተ መጻሕፍቲ ባይዱ
把系统administrator帐号改名 大家都知道,windows 2000 的administrator帐号是不能 被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密 码。把Administrator帐户改名可以有效的防止这一点。当然, 请不要使用Admin之类的名字,改了等于没改,尽量把它伪装 成普通用户,比如改成:guestone 。
信息安全
17
网络安全
把共享文件的权限从”everyone”组改成“授 权用户” “everyone” 在win2000中意味着任何有权进 入你的网络的用户都能够获得这些共享资料。 任何时候都不要把共享文件的用户设置 成”everyone”组。包括打印共享,默认的属性 就是”everyone”组的,一定不要忘了改。
信息安全
16
网络安全
net share ipc$ /delete net share admin$ /delete net share c$ /delete net share d$ /delete net share e$ /delete 到“计算机管理”窗口中,单击展开左侧的“服务 和应用程序”并选中其中的“服务”,此时右侧就 列出了所有服务项目。共享服务对应的名称是 “Server”(在进程中的名称为services),找到 后双击它,在弹出的“常规”标签中把“启动类型” 由原来的“自动”更改为“已禁用”。然后单击下 面“服务状态”的“停止”按钮,再确认一下就 OK了。
信息安全
15
网络安全
关闭默认共享
win2000安装好以后,系统会创建一些隐藏的共享,你可以在 cmd下打 net share 查看他们。要禁止这些共享 ,打开 管理工具> 计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键,点 停止共享即可,不过机器重新启动后,这些共享又会重新开启的。 C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有 Administrator和Backup Operators组成员才可连接,Win2000 Server版本Server Operatros组也可以连接到这些共享目录。 ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永 远都指向Win2000的安装路径。 IPC$ 空连接。IPC$共享提供了登录到系统的能力。 NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处 理登陆域请求时用到 PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户 远程管理打印机
信息安全
10
服务安全
关闭不必要的服务 windows 2000 的 终端、远程注册表等服务,都 可能给你的系统带来安全漏洞。为了能够在远程 方便的管理服务器,很多机器的终端服务都是开 着的,如果你的也开了,要确认你已经正确的配 置了终端服务。有些恶意的程序也能以服务方式 悄悄的运行。要留意服务器上面开启的所有服务, 中期性(每天)的检查他们。下面是C2级别不安全 服务:
12
服务安全
防止rpc漏洞 打开管理工具——服务——找到 RPC(Remote Procedure Call (RPC) Locator)服 务——将故障恢复中的第一次失败,第二次失败, 后续失败,都设置为不操作。
信息安全
13
网络安全
关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点 决策。如果服务器安装在防火墙的后面,冒的险就会少些, 但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描 系统所开放的端口,确定开放了哪些服务是黑客入侵你的系 统的第一步。\system32\drivers\etc\services 文件中有知名 端口和服务的对照表可供参考。
信息安全
7
本地安全策略
开启密码密码策略 策略 设置 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5 次 强制密码历史 42 天 开启帐户策略 策略 设置 复位帐户锁定计数器 20分钟 帐户锁定时间 20分钟 帐户锁定阈值 3次
信息安全
8
本地安全策略
本地安全策略
打开管理工具找到本地安全设置.本地策略.安全选项
网络访问.不允许SAM帐户的匿名枚举 启用 网络访问.可匿名的共享 将后面的值删除 网络访问.可匿名的命名管道 将后面的值删除 网络访问.可远程访问的注册表路径 将后面的值删除 网络访问.可远程访问的注册表的子路径 将后面的值删除 网络访问.限制匿名访问命名管道和共享
信息安全
9
信息安全
18
修改注册表加强安全性
禁止默认共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserv er\parameters ] 新建DOWRD“AutoShareServer”设置为“0”
修改默认的TTL值
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Para meters]新建DOWRD值为DefaultTTL
使用安全密码
一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。前面 的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往 往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把 这些帐户的密码设置得N简单,比如 “welcome” “iloveyou” “letmein”或者和 用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密 码,还要注意经常更改密码。
信息安全
4
账号、密码安全
限制不必要的用户数量
去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。 用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的 帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多, 黑客们得到合法用户的权限可能性一般也就越大。
信息安全
14
网络安全
禁止建立空连接 默认情况下,任何用户通过通过空连接连上服务 器,进而枚举出帐号,猜测密码。我们可以通过修改 注册表来禁止建立空连接: Local_Machine\System\CurrentControlSet\Control \LSA-RestrictAnonymous 的值改成”1”即可。