第11章 Windows 操作系统安全_y

版权所有，盗版必纠
11.2.1 保护账号
版权所有，盗版必纠
11.2.1 保护账号
版权所有，盗版必纠
11.2.2 设置安全的密码
• 一些网络管理员创建账号的时候往往用公司名，计算机名，或 者一些别的一猜就到的字符做用户名，然后又把这些账户的密 码设置得比较简单，比如：“welcome”、“iloveyou”、 “letmein”或者和用户名相同的密码等。这样的账户应该要 求用户首此登陆的时候更改成复杂的密码，还要注意经常更改 密码。 • 这里给好密码下了个定义：安全期内无法破解出来的密码就是 好密码，也就是说，如果得到了密码文档，必须花43天或者更 长的时间才能破解出来，密码策略是42天必须改密码。
版权所有，盗版必纠
11.2.1 保护账号
• 2. 限制用户数量 • 去掉所有的测试账户、共享账号和普通部门账号等等。用户组 策略设置相应权限，并且经常检查系统的账户，删除已经不使 用的账户。 • 账户很多是黑客们入侵系统的突破口，系统的账户越多，黑客 们得到合法用户的权限可能性一般也就越大。 • 对于Windows NT/2000主机，如果系统账户超过10个， 一般能找出一两个弱口令账户，所以账户数量不要大于10个。 这些不用的账户可以去掉，如图11.2所示。
版权所有，盗版必纠
11.2.6 开启系统审核策略
• 审核策略在默认的情况下都是没有开启的。打开“控制 面板”→“管理工具”→“本地安全设置”→“审核策 略”，如图11.8所示。（或者运行secpol.msc程序）
Leabharlann Baidu
版权所有，盗版必纠
11.2.6 开启系统审核策略
• 从图中可以看到,9个审核策略都没有打开。最好将这些信 息审核信息都打开。以便于以后出现安全事件的时候进行 查找。双击要打开的审核策略选项，出现如图 11.9 所示 的界面。
11.2.9 下载最新的补丁
版权所有，盗版必纠
11.2.10 关闭系统默认共享
• 系统的共享为用户带来了众多麻烦，经常会有病毒通过共享 来进入电脑。Windows 2000/XP/2003版本的操作系统 提供了默认共享功能，这些默认的共享都有“$”标志，意为 隐含的，包括所有的逻辑盘（C$，D$，E$……）和系统目 录Winnt或Windows（admin$）。 • 这些共享，可以在DOS提示符下输入命令net share 查看， 如图11.15所示。因为操作系统的C盘、D盘等全是共享的， 这就给黑客的入侵带来了很大的方便。“震荡波”病毒的传 播方式之一就是扫描局域网内所有带共享的主机，然后将病 毒上传到上面。下面给大家介绍5种可以关闭操作系统共享 的方法。
第11章 Windows 操作系统安全
版权所有，盗版必纠
概
述
Windows NT（New Technology）是微软公司 第一个真正意义上的网络操作系统，发展经过NT3.0、 NT4.0 、 NT5.0 （ Windows 2000 ） 、 Windows XP(NT5.1) 和 Windows Vista （NT6.0）、Windows 7(NT6.1)、 Windows 8 （ NT6.2 ）、 Windows 10 （ NT10.0 ）等众多 版本，并逐步占据了广大的中小网络操作系统的市场。 但是在 Windows 系统里面有一些安全配置，在默认 情况下是没有设置的，需要根据具体情况进行设置。
版权所有，盗版必纠
11.2.8 开启账户锁定策略
版权所有，盗版必纠
11.2.9 下载最新的补丁
• 下载操作系统最新的安全补丁可以下载一些工具如，奇虎360安全卫士 等。打开奇虎360安全卫士软件主界面，选择“修复系统漏洞”选项， 如图11.12：
版权所有，盗版必纠
11.2.9 下载最新的补丁
版权所有，盗版必纠
11.2.4 关闭不必要的服务
• 计算机里通常安装有了些不必要的服务，如果这些服务没有 用的话，最好能将这些服务关闭。例如：为了能够在远程方 便的管理服务器，很多机器的终端服务都是开着的，如果开 了，要确认已经正确的配置了终端服务。有些恶意的程序也 能以服务方式悄悄的运行服务器上的终端服务。要留意服务 器上开启的所有服务并每天检查。Windows 中可禁用的服 务及其相关说明如表11.1所示。
版权所有，盗版必纠
目
录
• 第11章 Windows 操作系统安全 • 11.1 Windows 操作系统介绍 • 11.2 Windows 2000安全配置 • 11.3 安装Windows操作系统注意事项 • 11.4 给操作系统打补丁
版权所有，盗版必纠
• Windows NT系列操作系统具有以下三方面的优点。 • 1. 支持多种网络协议 • 由于在网络中可能存在多种客户机，如Windows 95/98、 Apple Macintosh、Unix、OS/2等等，而这些客户机可能 使用了不同的网络协议，如TCP/IP协议、SPX/IPX等。 Windows NT系列操作支持几乎所有常见的网络协议。 • 2. 内置Internet功能 • 随着Internet的流行和TCP/IP协议组的标准化，Windows NT内置了IIS（Internet Information Server），可以使 网络管理员轻松的配置WWW和FTP等服务。 • 3. 支持NTFS文件系统 • Windows 9X所使用的文件系统是FAT，在NT中内置同时支 持FAT和NTFS的磁盘分区格式。使用NTFS的好处主要是可以 提高文件管理的安全性，用户可以对NTFS系统中的任何文件、 目录设置权限，这样当多用户同时访问系统的时候，可以增加文 件的安全性。
版权所有，盗版必纠
11.2.1 保护账号
版权所有，盗版必纠
11.2.1 保护账号
• 4. 建陷阱账号 • 陷阱账号是创建一个名为“Administrator”的本地账户， 把它的权限设置成最低，什么事也干不了的那种，并且加 上一个超过20位的超级复杂密码。 • 这样可以让那些企图入侵者忙上一段时间了，并且可以借 此发现它们的入侵企图。可以将该用户隶属的组修改成 Guests组。密码为大于32位的数字＋字符＋符号密码， 如图11.4所示。建立的陷阱账号如图11.5所示。
版权所有，盗版必纠
11.2.4 关闭不必要的服务
版权所有，盗版必纠
11.2.5 关闭不必要的端口
• 关闭端口意味着减少功能，如果服务器安装在防火墙的后面，被 入侵的机会就会少一些，但是不可以认为高枕无忧了。可以在操 作 系 统 里 来 限 制 端 口 的 访 问 ， 如 图 11.7 所 示 为 从 操 作 系 统 TCP/IP里限制端口，只开放4个端口。关于这一点，在前面网 络后门与网络隐患一章中已经讲过了。
版权所有，盗版必纠
11.1 Windows 操作系统介绍
11.2.1 保护账号
• 1. 保护guest账号 • 可以将guest账号关闭、停用或改名。如果必需要用guest账号 的话，需将guest列入拒绝从“网络访问”名单中(如果没有共享文件 夹和打印机)，防止guest从网络访问计算机、关闭计算机以及查看日 志。如图11.1所示。
版权所有，盗版必纠
11.2.10 关闭系统默认共享
版权所有，盗版必纠
11.2.10 关闭系统默认共享
•
第一种方法: 右键关系法。方法是打开“控制面 板”→“管理工具”→“计算机管理”→“共享文件 夹”→“共享”，在相应的共享文件夹上右击停止共享即可， 如图11.16所示。
版权所有，盗版必纠
11.2.10 关闭系统默认共享
版权所有，盗版必纠
11.2.3 设置屏幕保护密码
• 设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。 注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费 系统资源，黑屏就可以了。将屏幕保护的选项“密码保护” 选中就可以了，并将等待时间设置为最短时间“ 1 分钟”， 如图11.6所示。
版权所有，盗版必纠
• 如果采用这种方法关闭共享，当用户重新启动计算机后，那些共享又会加上 了!所以这种方法不能从根本上解决问题。
• 第二种方法：批处理法。打开记事本，输入以下内容（记得每行最后要
回车）： • net share ipc$ /delete net share admin$ /delete net share c$ /delete net share d$ /delete net share e$ /delete • ……（有几个硬盘分区就写几行这样的命令） • 将以上内容保存为NotShare.bat（注意后缀），然后把这个批处理文件拖 到“程序”→“启动”项，这样每次开机就会运行它，也就是通过net命令 关闭共享。如果哪一天需要开启某个或某些共享，只要重新编辑这个批处理 文件即可（把相应的那个命令行删掉）。
版权所有，盗版必纠
11.2.10 关闭系统默认共享
• 第四种方法：停止服务法。这种方法最简单，打开“控制面板” 的“计算机管理”窗口中，单击展开左侧的“服务和应用程序” 并选中其中的“服务”，此时右侧就列出了所有服务项目。共享 服务对应的名称是“Server”（在进程中的名称为 services）， 找到后右击它，在弹出的菜单中选择“属性”，如图 11.17 所 示。在弹出的Server属性界面当中选择“常规”标签，把“启 动类型”由原来的“自动”更改为“已禁用”。然后单击下面 “服务状态”的“停止”，再单击“确定”，如图 11.18 所示。 这样，系统中所有的共享都会去掉了。
版权所有，盗版必纠
11.2.7 开启密码策略
• 系统密码在默认的情况下都是没有开启的。打开“控制面 板”→“管理工具”→“本地安全设置”→“密码策略”， 如图11.10所示。
版权所有，盗版必纠
11.2.7 开启密码策略
版权所有，盗版必纠
11.2.8 开启账户锁定策略
• 系统账户锁定策略在默认的情况下都是没有开启的 。打开 “控制面板”→“管理工具”→“本地安全设置”→“账户 锁定策略”，如图11.11所示。
版权所有，盗版必纠
11.2.10 关闭系统默认共享
• 第三种方法：注册表改键值法。
• 单击“开始”→“运行”输入“regedit”确定后，打开注册表编辑器，找 到 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ lanmanserver\parameters”项，双击右侧窗口中的 “AutoShareServer”项将键值由1改为0，这样就能关闭硬盘各分区的共 享。如果没有AutoShareServer项，可自己新建一个再改键值。然后还 是在这一窗口下再找到“AutoShareWks”项，也把键值由1改为0，关闭 admin$共享。最后到 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\L sa”项处找到“restrictanonymous”，将键值设为1，关闭IPC$共享。本 方法必须重启机器才能生效，但一经改动就会永远停止共享。
版权所有，盗版必纠
11.2.1 保护账号
版权所有，盗版必纠
11.2.1 保护账号
• 3. 管理员账号改名 • Windows 2000中的Administrator账号是不能被停用的， 这意味着别人可以一遍又一边的尝试这个账户的密码。把 Administrator账户改名可以有效的防止这一点。 • 不要使用Admin之类的名字，改了等于没改，尽量把它伪装 成普通用户，比如改成：guestone。具体操作的时候只要选 中账户名改名就可以了，如图11.3所示。
版权所有，盗版必纠
11.2.10 关闭系统默认共享
版权所有，盗版必纠
11.2.10 关闭系统默认共享
版权所有，盗版必纠
11.2.10 关闭系统默认共享
• 第五种方法：卸载“文件和打印机共享”法。方法是右 击“网上邻居”选“属性”，在弹出的“网络和拨号连 接”窗口中右击“本地连接”选“属性”，从“此连接 使用下列选定的组件”中选中“ Microsoft 网络的文件 和打印机共享”后，单击下面的“卸载”，再单击“确 定”，如图11.19所示。