项目02Windows系统安全加固
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
16
这里重点说说139端口,139端口也就是NetBIOS Session端口,用作文件和打印的共享。
关闭139端口的方法是在“本地连接”中选取 “Internet协议(TCP/IP)”属性,进入“高级TCP/IP 设置”,在“WINS”选项卡中,有一“禁用TCP/IP的 NETBIOS”选项,选中后即可关闭139端口。
打开组策略后在左侧列表区域中的“‘本地计算机’策略”→“计 算机配置”→“Windows设置”→“安全设置”→“本地策 略”→“审核策略”选项,在“审核策略”中找到“审核对象访 问”,选中属性界面中的“失败”、“成功”选项,以后出现问题 时就能有针对性地进入系统安全日志文件,来查看相关事件记录。
19
5
操作系统内的活动都可以认为是主体对计算机系统内 部所有客体的一系列操作。
主体是指发出访问操作、存取请求的主动方,它包括 用户、用户组、主机、终端或应用进程等。主体可以 访问客体。
客体是指被调用的程序或要存取的数据访问,它包括 文件、程序、内存、目录、队列、进程间报文、I/O 设备和物理介质等。
主体对客体的安全访问策略是一套规则,可用于确定 一个主体是否对客体拥有访问能力。
6
一般所说的操作系统的安全通常包含两方面的含义: ① 操作系统在设计时通过权限访问控制、信息加密性
保护、完整性鉴定等机制实现的安全; ② 操作系统在使用中,通过一系列的配置,保证操作
系统避免由于实现时的缺陷或是应用环境因素产生的 不安全因素。 只有在这两方面同时努力,才能够最大可能地建立安 全的操作系统。
9
我们知道,在 TCP和 UDP协议中,源端 口和目标端口是用一个16位无符号整数 来表示的,这就意味着端口号共有 65536个(=216,0~65535)。
按对应的协议类型,端口有两种:TCP 端口和UDP端口。由于TCP和UDP 两个协 议是独立的,因此各自的端口号也相互 独立,比如TCP有235端口,UDP也可以 有235端口,两者并不indows Server 2003操作系统时,为了提高 系统的安全性,张先生按系统建议,采用最小化方式 安装,只安装网络服务所必需的组件。如果以后有新 的服务需求,再安装相应的服务组件,并及时进行安 全设置。
在完成操作系统安装全过程后,张先生要对Windows 系统安全性方面进行加固,系统加固工作主要包括账 户安全配置、密码安全配置、系统安全配置、服务安 全配置以及禁用注册表编辑器等内容,从而使得操作 系统变得更加安全可靠,为以后的工作提供一个良好 的环境平台。
比如,在一个特定网络环境中,如果部分用户共同使用相同的 一台工作站进行网络访问时,安全隐患就显露出来、倘若我们 没有划定安全的上网区域,那样会造成工作站的权限紊乱,从 而带来系统危机。轻者造成系统瘫痪,重者则可遭受远程入侵, 损失宝贵资料。
所以,为了保护本地网络以及本地工作站的安全,我们可以尝 试在公共计算机系统中,通过设置组策略的方法为普通用户界 定安全上网区域,强制进入系统的用户只能在设定内的安全区 域中上网冲浪。
查看端口的相关工具有:Windows系统中的netstat命令、fport 软件、activeport软件、superscan软件、Visual Sniffer软件 等,此类命令或软件可用来查看主机所开放的端口。
14
可以在网上查看各种服务对应的端口号和木马后门常 用端口来判断系统中的可疑端口中,并通过软件查看 开启此端口的进程。
22
可以说,几乎所有的操作系统都不是十全十美的,总 是存在各种安全漏洞。
例如,在Windows NT中,安全账户管理(SAM)数据库 可 以 被 以 下 用 户 所 复 制 : Administrator 账 户 、 Administrators组中的所有成员、备份操作员、服务 器操作员以及所有具有备份特权的人员。SAM数据库 的一个备份拷贝能够被某些工具所利用来破解口令。
同样的,面对网络攻击时,端口对于黑客来说至关重要。每一 项服务都对应相应的端口号,比如我们浏览网页时,需要服务 器提供WWW服务,端口号是80,SMTP服务的端口号是25,FTP服 务的端口号是21,如果企业中的服务器仅仅是文件服务或者做 内网交换,应关闭不必要的端口,因为在关闭这些端口后,可 以进一步保障系统的安全。
18
由于组策略有着直观的名字和功能解释,所以应用上比较简单,对 于管理员和终端用户都非常方便,但它的功能远没有限制起来那样 简单,我们可以将它作为一种安全保护跟踪工具。比如,可以利用 组策略寻找共享目录访问痕迹。
这对于局域网内的用户监测来说非常重要。因为在网络内部,一旦 出现非法用户,大多与共享入侵和访问共享资源有关,此时查询共 享目录的访问信息就可以追踪求源,查到真凶。
21
可见,仅有堵住系统漏洞,用户才会有一个安全和稳 定的工作环境。
漏洞的产生大致有以下3个原因。 ① 编程人员的人为因素。在程序编写过程中,为实现
不可告人的目的,在程序代码的隐蔽处留有后门。 ② 受编程人员的能力、经验和当时安全技术所限,在
程序中难免会有不足之处,轻则影响程序效率,重则 导致非授权用户的权限提升。 ③ 由于硬件原因,使编程人员无法弥补硬件的漏洞, 从而使硬件的问题通过软件表现出来。
确定可疑端口和进程后,可以利用防火墙来屏蔽此端 口,也可以通过选择本地连接→TCP/IP→高级→选项 →TCP/IP筛选,启用筛选机制来过滤这些端口;
对于Windows系统主机,如不对外提供服务也可以进 行过滤设置。对于网络中的普通客户计算机,可以限 制对外的所有的端口,不必对外提供任何服务;而对 于服务器,则把需要提供服务的端口,如WWW服务端 口80等开放,不使用的其他端口则全部关闭。可以利 用端口查看工具检查开启的非业务端口。
11
12
管理好端口号在网络安全中有着非常重要的 意义,黑客往往通过探测目标主机开启的端 口号进行攻击。所以,对那些没有用到的端 口号,最好将它们关闭。
一个通信连接中,源端口与目标端口并不是 相同的,如客户机访问WWW服务器时,WWW服 务器使用的是80端口,而客户端的端口则是 系统动态分配的大于1023的随机端口。
2.3.4 账户与密码安全 账户与密码的使用通常是许多系统预设的防护
措施。事实上,有许多用户的密码是很容易被 猜中的,或者使用系统预设的密码、甚至不设 密码。 用户应该要避免使用不当的密码、系统预设密 码或是使用空白密码,也可以配置本地安全策 略要求密码符合安全性要求。
20
2.3.5 漏洞与后门
13
开启的端口可能被攻击者利用,如利用扫描软件,可以扫描到 目标主机中开启的端口及服务,因为提供服务就有可能存在漏 洞。
入侵者通常会用扫描软件对对目标主机的端口进行扫描,以确 定哪些端口是开放的。从开放的端口,入侵者可以知道目标主 机大致提供了哪些服务,进而寻找可能存在的漏洞。因此对端 口的扫描有助于了解目标主机,从管理角度来看,扫描本机的 端口也是做好安全防范的前提。
10
IETF定义了以下三种端口组。 (1) 公认端口(Well-Known Ports):从0到1023,它们紧密绑定
(binding)于一些服务。通常这些端口的通讯明确表明了某种服 务的协议。例如:80端口实际上总是HTTP通讯。 (2) 注册端口(Registered Ports):从1024到49151。它们松散地 绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端 口同样用于许多其它目的。例如:许多系统处理动态端口从1024 左右开始。 (3) 动态和/或私有端口(Dynamic and/or Private Ports):从 49152到65535。理论上,不应为服务分配这些端口。实际上,机 器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从 32768开始。
7
2.3.2 服务与端口 我们知道,一台拥有IP地址的主机可以提供许多服务,比如Web
服务、FTP服务、SMTP服务等,这些服务完全可以通过1个IP地 址来实现。那么,主机是怎样区分不同的网络服务呢?显然不 能只靠IP地址,因为IP 地址与网络服务的关系是一对多的关系。 实际上是通过“IP地址+端口号”来区分不同的服务的。 我们来打个形象的比喻: 假设IP地址是一栋大楼的地址,那么 端口号就代表着这栋大楼的不同房间。如果一封信(数据包)上 的地址仅包含了这栋大楼的地址(IP)而没有具体的房间号(端口 号),那么没有人知道谁(网络服务)应该去接收它。为了让邮递 成功,发信人不仅需要写明大楼的地址(IP地址),还需要标注 具体的收信人房间号(端口号),这样这封信才能被顺利地投递 到它应该前往的房间。
身往往要提供一定的访问控制、认证与授权等方面的安全服务, 如何对操作系统本身的安全性能进行研究和开发使之符合选定 的环境和需求。 (2) 针对各种常用的操作系统,进行相关配置,使之能正确对付和 防御各种入侵。 (3) 保证操作系统本身所提供的网络服务能得到安全配置。 一般来说,如果说一个计算机系统是安全的,那么是指该系统 能够控制外部对系统信息的访问。也就是说,只有经过授权的 用户或代表该用户运行的进程才能读、写、创建或删除信息。
为什么要关闭139端口呢?这里涉及一个139端口入侵 的问题。如果黑客确定一台存在139端口漏洞的主机, 用扫描工具扫描,然后使用“nbtstat -a IP”命令得 到用户的情况,最后完成非法访问的操作。
17
2.3.3 组策略
组策略和注册表,是Windows系统中重要的两部控制台。对于系 统中安全方面的部署,组策略又以其直观化的表现形式更受用 户青睐。我们可以通过组策略禁止第三方非法更改地址,也可 以禁止别人随意修改防火墙配置参数,更可以提高共享密码强 度免遭其被破解。
8
端口是计算机与外界通讯的渠道,它们就像一道道门一样控制 着数据与指令的传输。各类数据包在最终封包时都会加入端口 信息,以便在数据包接收后拆包识别。我们知道,许多蠕虫病 毒正是利用了端口信息才能实现恶意骚扰的。所以,对于原本 脆弱的Windows系统来说,有必要把一些危险而又不常用到的端 口关闭或是封锁,以保证网络安全。
1. 漏洞 漏洞即某个程序(包括操作系统)在设计时未考虑周全,
当程序遇到一个看似合理,但实际无法处理的问题时, 引发的不可预见的错误。系统漏洞又称安全缺陷,对 用户造成的不良后果有: ① 如漏洞被恶意用户利用,会造成信息泄漏。例如, 黑客攻击网站即利用网络服务器操作系统的漏洞。 ② 对用户操作造成不便。例如,不明原因的死机和丢 失文件等。
15
关闭端口的方法非常简单,在“控制面板”→“管理 工具”→“服务”中即可配置。
一些端口常常会被攻击者或病毒木马所利用,如端口 21、22、23、25、80、110、111、119、135、137、 138、139、161、177、389、3389等。关于常见木马 程序所使用的端口可以在网上查找到。
3
操作系统的安全是整个计算机系统安全的基 础,其安全问题日益引起人们的高度重视。
作为用户使用计算机和网络资源的操作界面, 操作系统发挥着十分重要的作用。因此,操 作系统本身的安全就成了安全防护的头等大 事。
4
2.3 相关知识点
2.3.1 操作系统安全的概念 操作系统的安全防护研究通常包括以下几个方面的内容。 (1) 操作系统本身提供的安全功能和安全服务。目前的操作系统本
项目2 Windows系统安全加固
项目1 双机互连对等网络的组建 1
2021/6/12
2.1 项目提出
张先生的计算机新装了Windows Server 2003 操作系统,该系统具有高性能、高可靠性和 高安全性等特点。
Windows Server 2003在默认安装的时候,基 于安全的考虑已经实施了很多安全策略,但 由于服务器操作系统的特殊性,在默认安装 完成后还需要张先生对其进行安全加固,进 一步提升服务器操作系统的安全性,保证应 用系统以及数据库系统的安全。
这里重点说说139端口,139端口也就是NetBIOS Session端口,用作文件和打印的共享。
关闭139端口的方法是在“本地连接”中选取 “Internet协议(TCP/IP)”属性,进入“高级TCP/IP 设置”,在“WINS”选项卡中,有一“禁用TCP/IP的 NETBIOS”选项,选中后即可关闭139端口。
打开组策略后在左侧列表区域中的“‘本地计算机’策略”→“计 算机配置”→“Windows设置”→“安全设置”→“本地策 略”→“审核策略”选项,在“审核策略”中找到“审核对象访 问”,选中属性界面中的“失败”、“成功”选项,以后出现问题 时就能有针对性地进入系统安全日志文件,来查看相关事件记录。
19
5
操作系统内的活动都可以认为是主体对计算机系统内 部所有客体的一系列操作。
主体是指发出访问操作、存取请求的主动方,它包括 用户、用户组、主机、终端或应用进程等。主体可以 访问客体。
客体是指被调用的程序或要存取的数据访问,它包括 文件、程序、内存、目录、队列、进程间报文、I/O 设备和物理介质等。
主体对客体的安全访问策略是一套规则,可用于确定 一个主体是否对客体拥有访问能力。
6
一般所说的操作系统的安全通常包含两方面的含义: ① 操作系统在设计时通过权限访问控制、信息加密性
保护、完整性鉴定等机制实现的安全; ② 操作系统在使用中,通过一系列的配置,保证操作
系统避免由于实现时的缺陷或是应用环境因素产生的 不安全因素。 只有在这两方面同时努力,才能够最大可能地建立安 全的操作系统。
9
我们知道,在 TCP和 UDP协议中,源端 口和目标端口是用一个16位无符号整数 来表示的,这就意味着端口号共有 65536个(=216,0~65535)。
按对应的协议类型,端口有两种:TCP 端口和UDP端口。由于TCP和UDP 两个协 议是独立的,因此各自的端口号也相互 独立,比如TCP有235端口,UDP也可以 有235端口,两者并不indows Server 2003操作系统时,为了提高 系统的安全性,张先生按系统建议,采用最小化方式 安装,只安装网络服务所必需的组件。如果以后有新 的服务需求,再安装相应的服务组件,并及时进行安 全设置。
在完成操作系统安装全过程后,张先生要对Windows 系统安全性方面进行加固,系统加固工作主要包括账 户安全配置、密码安全配置、系统安全配置、服务安 全配置以及禁用注册表编辑器等内容,从而使得操作 系统变得更加安全可靠,为以后的工作提供一个良好 的环境平台。
比如,在一个特定网络环境中,如果部分用户共同使用相同的 一台工作站进行网络访问时,安全隐患就显露出来、倘若我们 没有划定安全的上网区域,那样会造成工作站的权限紊乱,从 而带来系统危机。轻者造成系统瘫痪,重者则可遭受远程入侵, 损失宝贵资料。
所以,为了保护本地网络以及本地工作站的安全,我们可以尝 试在公共计算机系统中,通过设置组策略的方法为普通用户界 定安全上网区域,强制进入系统的用户只能在设定内的安全区 域中上网冲浪。
查看端口的相关工具有:Windows系统中的netstat命令、fport 软件、activeport软件、superscan软件、Visual Sniffer软件 等,此类命令或软件可用来查看主机所开放的端口。
14
可以在网上查看各种服务对应的端口号和木马后门常 用端口来判断系统中的可疑端口中,并通过软件查看 开启此端口的进程。
22
可以说,几乎所有的操作系统都不是十全十美的,总 是存在各种安全漏洞。
例如,在Windows NT中,安全账户管理(SAM)数据库 可 以 被 以 下 用 户 所 复 制 : Administrator 账 户 、 Administrators组中的所有成员、备份操作员、服务 器操作员以及所有具有备份特权的人员。SAM数据库 的一个备份拷贝能够被某些工具所利用来破解口令。
同样的,面对网络攻击时,端口对于黑客来说至关重要。每一 项服务都对应相应的端口号,比如我们浏览网页时,需要服务 器提供WWW服务,端口号是80,SMTP服务的端口号是25,FTP服 务的端口号是21,如果企业中的服务器仅仅是文件服务或者做 内网交换,应关闭不必要的端口,因为在关闭这些端口后,可 以进一步保障系统的安全。
18
由于组策略有着直观的名字和功能解释,所以应用上比较简单,对 于管理员和终端用户都非常方便,但它的功能远没有限制起来那样 简单,我们可以将它作为一种安全保护跟踪工具。比如,可以利用 组策略寻找共享目录访问痕迹。
这对于局域网内的用户监测来说非常重要。因为在网络内部,一旦 出现非法用户,大多与共享入侵和访问共享资源有关,此时查询共 享目录的访问信息就可以追踪求源,查到真凶。
21
可见,仅有堵住系统漏洞,用户才会有一个安全和稳 定的工作环境。
漏洞的产生大致有以下3个原因。 ① 编程人员的人为因素。在程序编写过程中,为实现
不可告人的目的,在程序代码的隐蔽处留有后门。 ② 受编程人员的能力、经验和当时安全技术所限,在
程序中难免会有不足之处,轻则影响程序效率,重则 导致非授权用户的权限提升。 ③ 由于硬件原因,使编程人员无法弥补硬件的漏洞, 从而使硬件的问题通过软件表现出来。
确定可疑端口和进程后,可以利用防火墙来屏蔽此端 口,也可以通过选择本地连接→TCP/IP→高级→选项 →TCP/IP筛选,启用筛选机制来过滤这些端口;
对于Windows系统主机,如不对外提供服务也可以进 行过滤设置。对于网络中的普通客户计算机,可以限 制对外的所有的端口,不必对外提供任何服务;而对 于服务器,则把需要提供服务的端口,如WWW服务端 口80等开放,不使用的其他端口则全部关闭。可以利 用端口查看工具检查开启的非业务端口。
11
12
管理好端口号在网络安全中有着非常重要的 意义,黑客往往通过探测目标主机开启的端 口号进行攻击。所以,对那些没有用到的端 口号,最好将它们关闭。
一个通信连接中,源端口与目标端口并不是 相同的,如客户机访问WWW服务器时,WWW服 务器使用的是80端口,而客户端的端口则是 系统动态分配的大于1023的随机端口。
2.3.4 账户与密码安全 账户与密码的使用通常是许多系统预设的防护
措施。事实上,有许多用户的密码是很容易被 猜中的,或者使用系统预设的密码、甚至不设 密码。 用户应该要避免使用不当的密码、系统预设密 码或是使用空白密码,也可以配置本地安全策 略要求密码符合安全性要求。
20
2.3.5 漏洞与后门
13
开启的端口可能被攻击者利用,如利用扫描软件,可以扫描到 目标主机中开启的端口及服务,因为提供服务就有可能存在漏 洞。
入侵者通常会用扫描软件对对目标主机的端口进行扫描,以确 定哪些端口是开放的。从开放的端口,入侵者可以知道目标主 机大致提供了哪些服务,进而寻找可能存在的漏洞。因此对端 口的扫描有助于了解目标主机,从管理角度来看,扫描本机的 端口也是做好安全防范的前提。
10
IETF定义了以下三种端口组。 (1) 公认端口(Well-Known Ports):从0到1023,它们紧密绑定
(binding)于一些服务。通常这些端口的通讯明确表明了某种服 务的协议。例如:80端口实际上总是HTTP通讯。 (2) 注册端口(Registered Ports):从1024到49151。它们松散地 绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端 口同样用于许多其它目的。例如:许多系统处理动态端口从1024 左右开始。 (3) 动态和/或私有端口(Dynamic and/or Private Ports):从 49152到65535。理论上,不应为服务分配这些端口。实际上,机 器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从 32768开始。
7
2.3.2 服务与端口 我们知道,一台拥有IP地址的主机可以提供许多服务,比如Web
服务、FTP服务、SMTP服务等,这些服务完全可以通过1个IP地 址来实现。那么,主机是怎样区分不同的网络服务呢?显然不 能只靠IP地址,因为IP 地址与网络服务的关系是一对多的关系。 实际上是通过“IP地址+端口号”来区分不同的服务的。 我们来打个形象的比喻: 假设IP地址是一栋大楼的地址,那么 端口号就代表着这栋大楼的不同房间。如果一封信(数据包)上 的地址仅包含了这栋大楼的地址(IP)而没有具体的房间号(端口 号),那么没有人知道谁(网络服务)应该去接收它。为了让邮递 成功,发信人不仅需要写明大楼的地址(IP地址),还需要标注 具体的收信人房间号(端口号),这样这封信才能被顺利地投递 到它应该前往的房间。
身往往要提供一定的访问控制、认证与授权等方面的安全服务, 如何对操作系统本身的安全性能进行研究和开发使之符合选定 的环境和需求。 (2) 针对各种常用的操作系统,进行相关配置,使之能正确对付和 防御各种入侵。 (3) 保证操作系统本身所提供的网络服务能得到安全配置。 一般来说,如果说一个计算机系统是安全的,那么是指该系统 能够控制外部对系统信息的访问。也就是说,只有经过授权的 用户或代表该用户运行的进程才能读、写、创建或删除信息。
为什么要关闭139端口呢?这里涉及一个139端口入侵 的问题。如果黑客确定一台存在139端口漏洞的主机, 用扫描工具扫描,然后使用“nbtstat -a IP”命令得 到用户的情况,最后完成非法访问的操作。
17
2.3.3 组策略
组策略和注册表,是Windows系统中重要的两部控制台。对于系 统中安全方面的部署,组策略又以其直观化的表现形式更受用 户青睐。我们可以通过组策略禁止第三方非法更改地址,也可 以禁止别人随意修改防火墙配置参数,更可以提高共享密码强 度免遭其被破解。
8
端口是计算机与外界通讯的渠道,它们就像一道道门一样控制 着数据与指令的传输。各类数据包在最终封包时都会加入端口 信息,以便在数据包接收后拆包识别。我们知道,许多蠕虫病 毒正是利用了端口信息才能实现恶意骚扰的。所以,对于原本 脆弱的Windows系统来说,有必要把一些危险而又不常用到的端 口关闭或是封锁,以保证网络安全。
1. 漏洞 漏洞即某个程序(包括操作系统)在设计时未考虑周全,
当程序遇到一个看似合理,但实际无法处理的问题时, 引发的不可预见的错误。系统漏洞又称安全缺陷,对 用户造成的不良后果有: ① 如漏洞被恶意用户利用,会造成信息泄漏。例如, 黑客攻击网站即利用网络服务器操作系统的漏洞。 ② 对用户操作造成不便。例如,不明原因的死机和丢 失文件等。
15
关闭端口的方法非常简单,在“控制面板”→“管理 工具”→“服务”中即可配置。
一些端口常常会被攻击者或病毒木马所利用,如端口 21、22、23、25、80、110、111、119、135、137、 138、139、161、177、389、3389等。关于常见木马 程序所使用的端口可以在网上查找到。
3
操作系统的安全是整个计算机系统安全的基 础,其安全问题日益引起人们的高度重视。
作为用户使用计算机和网络资源的操作界面, 操作系统发挥着十分重要的作用。因此,操 作系统本身的安全就成了安全防护的头等大 事。
4
2.3 相关知识点
2.3.1 操作系统安全的概念 操作系统的安全防护研究通常包括以下几个方面的内容。 (1) 操作系统本身提供的安全功能和安全服务。目前的操作系统本
项目2 Windows系统安全加固
项目1 双机互连对等网络的组建 1
2021/6/12
2.1 项目提出
张先生的计算机新装了Windows Server 2003 操作系统,该系统具有高性能、高可靠性和 高安全性等特点。
Windows Server 2003在默认安装的时候,基 于安全的考虑已经实施了很多安全策略,但 由于服务器操作系统的特殊性,在默认安装 完成后还需要张先生对其进行安全加固,进 一步提升服务器操作系统的安全性,保证应 用系统以及数据库系统的安全。