操作系统安全_第7章_Windows系统安全增强
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第7章 Windows系统安全增强
第一部分 教学组织
一、目的要求 1.掌握TCP/IP端口控制的设置方式。 2.了解Windows系统安全增强的方法。 二、工具器材 1.Windows管理工具。 2.操作系统自带命令netstat。 3.工具软件netstat 、fport。
第二部分 教学内容
安全增强,又称为安全加固技术,主要分为: 主机安全加固、网络加固、安全设备加固、应 用系统加固、数据库加固等。操作系统安全增 强是指,针对操作系统的具体情况以及不同类 型的目标应用,制定相应系统的测试方案、加 固方案,通过打补丁、修改安全配置、增加安 全机制等方法,消除安全隐患,减少被入侵的 风险,加强相应设备或相应系统的安全性。
UDP:18515 18514 18517
营业部 AR
新版 AR
UDP:18515 银证平台
TCP
TCP:9999
TCP:8888
IPX 行情组件
老版 AR
TCP 或 DBF 银证转帐 TCP
IPX:9001
TCP:9000
UDP:18515
前置机
刷卡自助
网上交易
热自助 DOSHale Waihona Puke Baidu
Windows 电话委托
1. TCP/IP
TCP/IP(传输控制协议/Internet协议)的历史应当追 溯到Internet的前身————ARPAnet时代。为了实 现不同网络之间的互连,美国国防部于1977年到1979 年间制定了TCP/IP体系结构和协议。TCP/IP是由一组 具有专业用途的多个子协议组合而成的,这些子协议包 括TCP、IP、UDP、ARP、ICMP等。TCP/IP凭借其实 现成本低、在多平台间通信安全可靠以及可路由性等优 势迅速发展,并成为Internet中的标准协议。
针对TCP/IP协议进行端口控制,控制每台 机器对外开放的端口,根据各机器上应用软 件的实际情况确定需要开放的端口。对于每 台服务器或工作站,除非必须要开放的TCP、 UDP端口,一律设置为关闭。进行端口控制 后,某局域网内部信息系统端口逻辑结构图 见图7.1。
总部核心 AR 组
NOVELL 服务器
7.1.3通信协议
协议(Protocol)是网络设备用来通信的一套规则,这 套规则可以理解为一种彼此都能听得懂的公用语言。网 络通信协议是网络中的计算机实现通信的必备条件,两 台连接到局域网中的计算机要想实现通信,则必须使用 相同的通信协议。在组建局域网的过程当中经常会遇到 选择和安装通信协议的问题,如果选择和安装了不合适 的通信协议,往往会引发网络不通、网速太慢或网络不 稳定等故障。了解不同通信协议所适用的网络环境和操 作系统非常重要。局域网中常用的通信协议主要包括 TCP/IP、NETBEUI和IPX/SPX三种协议,每种协议都 有其适用的应用环境。
对Windows操作系统的绝大部分攻击均是针对 系统服务来进行的,Windows2000、NT等系 统默认安装时,启动了许多不必要的系统服务。 对于默认启用的服务,在确认不需要的前提下 尽量关闭。关闭不必要的服务能有效降低系统 风险。除应用程序需要外,禁止安装和启用IIS 服务、文件与打印共享服务。对于其他默认启 用的服务,在确认不需要的前提下,尽量关闭。
7.1 Windows系统安全设置
根据信息系统应用的实际情况,关闭Windows系 统中不必要的服务、协议、端口,加强安全控制管 理,将减少信息系统的安全漏洞,提高电脑系统安 全防御能力。
对工作中现有信息系统所需使用的服务、协议、端 口等情况进行全面摸底与调查分析,是一项繁琐复 杂的工作。一旦设置错误,有可能造成机器工作不 正常或联网出现问题,影响业务系统的使用。因对 系统进行安全控制存在一定的风险,应分批分次进 行控制操作,并在正式启用前进行充分测试,以确 保系统正常运行。
2. NetBEUI协议
NetBEUI(NetBIOS增强用户接口)协议 由NetBIOS(网络基本输入输出系统)发 展完善而来,该协议只需进行简单的配置和 较少的网络资源消耗,并且可以提供非常好 的纠错功能,是一种快速有效的协议。不过 由于其有限的网络节点支持(最多支持254 个节点)和非路由性,使其仅适用于基于 Windows操作系统的小型局域网中。
7.1.1端口控制
端口是计算机与外界通讯的渠道,它们就像 一道道门一样控制着数据与指令的传输。各 类数据包在最终封包时都会加入端口信息, 以便在数据包接收后拆包识别。许多蠕虫病 毒就是利用了端口信息才能实现恶意骚扰的。 对于Windows系统来说,有必要把一些危 险而又不常用到的端口关闭或是封锁,以保 证信息安全。
柜台终端
电话委托
第三方
第三方
NOVELL 服务器
UDP:18515
UDP:18515
服务部 AR
柜台终端
TCP:8888
IPX 行情组件
老版 AR
刷卡自助 IPX:9001 热自助
A 银行 B 银行
7.1.2服务
Windows服务使用户能够创建在它们自己的 Windows会话中可长时间运行的可执行应用程 序。这些服务可以在计算机启动时自动启动, 可以暂停和重新启动而且不显示任何用户界面。 这使服务非常适合在服务器上使用,或任何时 候,为了不影响在同一台计算机上工作的其他 用户,需要长时间运行功能时使用。还可以在 不同于登录用户的特定用户帐户或默认计算机 帐户的安全上下文中运行服务。
面对网络攻击时,端口对于黑客来说至关重 要。TCP/IP协议中的端口,端口号的范围 从0到65535。每一项服务都对应相应的端 口。比如我们浏览网页时,需要服务器提供 WWW服务,端口是80,smtp是25,ftp 是21,如果企业中的服务器仅仅是文件服务 或者做内网交换,关闭一部分端口未尝不可。
因为在关闭端口后,可以进一步保障系统的 安全。
根据各机器上应用软件的实际情况,针对 TCP/IP协议进行端口控制,确定每台机器 对外开放的TCP、UDP端口。操作系统自带 命令Netstat可用于查看端口信息。使用工 具软件Fport或Tcpview可方便的显示本机 端口侦听、通信连接、关联应用程序等情况。
第一部分 教学组织
一、目的要求 1.掌握TCP/IP端口控制的设置方式。 2.了解Windows系统安全增强的方法。 二、工具器材 1.Windows管理工具。 2.操作系统自带命令netstat。 3.工具软件netstat 、fport。
第二部分 教学内容
安全增强,又称为安全加固技术,主要分为: 主机安全加固、网络加固、安全设备加固、应 用系统加固、数据库加固等。操作系统安全增 强是指,针对操作系统的具体情况以及不同类 型的目标应用,制定相应系统的测试方案、加 固方案,通过打补丁、修改安全配置、增加安 全机制等方法,消除安全隐患,减少被入侵的 风险,加强相应设备或相应系统的安全性。
UDP:18515 18514 18517
营业部 AR
新版 AR
UDP:18515 银证平台
TCP
TCP:9999
TCP:8888
IPX 行情组件
老版 AR
TCP 或 DBF 银证转帐 TCP
IPX:9001
TCP:9000
UDP:18515
前置机
刷卡自助
网上交易
热自助 DOSHale Waihona Puke Baidu
Windows 电话委托
1. TCP/IP
TCP/IP(传输控制协议/Internet协议)的历史应当追 溯到Internet的前身————ARPAnet时代。为了实 现不同网络之间的互连,美国国防部于1977年到1979 年间制定了TCP/IP体系结构和协议。TCP/IP是由一组 具有专业用途的多个子协议组合而成的,这些子协议包 括TCP、IP、UDP、ARP、ICMP等。TCP/IP凭借其实 现成本低、在多平台间通信安全可靠以及可路由性等优 势迅速发展,并成为Internet中的标准协议。
针对TCP/IP协议进行端口控制,控制每台 机器对外开放的端口,根据各机器上应用软 件的实际情况确定需要开放的端口。对于每 台服务器或工作站,除非必须要开放的TCP、 UDP端口,一律设置为关闭。进行端口控制 后,某局域网内部信息系统端口逻辑结构图 见图7.1。
总部核心 AR 组
NOVELL 服务器
7.1.3通信协议
协议(Protocol)是网络设备用来通信的一套规则,这 套规则可以理解为一种彼此都能听得懂的公用语言。网 络通信协议是网络中的计算机实现通信的必备条件,两 台连接到局域网中的计算机要想实现通信,则必须使用 相同的通信协议。在组建局域网的过程当中经常会遇到 选择和安装通信协议的问题,如果选择和安装了不合适 的通信协议,往往会引发网络不通、网速太慢或网络不 稳定等故障。了解不同通信协议所适用的网络环境和操 作系统非常重要。局域网中常用的通信协议主要包括 TCP/IP、NETBEUI和IPX/SPX三种协议,每种协议都 有其适用的应用环境。
对Windows操作系统的绝大部分攻击均是针对 系统服务来进行的,Windows2000、NT等系 统默认安装时,启动了许多不必要的系统服务。 对于默认启用的服务,在确认不需要的前提下 尽量关闭。关闭不必要的服务能有效降低系统 风险。除应用程序需要外,禁止安装和启用IIS 服务、文件与打印共享服务。对于其他默认启 用的服务,在确认不需要的前提下,尽量关闭。
7.1 Windows系统安全设置
根据信息系统应用的实际情况,关闭Windows系 统中不必要的服务、协议、端口,加强安全控制管 理,将减少信息系统的安全漏洞,提高电脑系统安 全防御能力。
对工作中现有信息系统所需使用的服务、协议、端 口等情况进行全面摸底与调查分析,是一项繁琐复 杂的工作。一旦设置错误,有可能造成机器工作不 正常或联网出现问题,影响业务系统的使用。因对 系统进行安全控制存在一定的风险,应分批分次进 行控制操作,并在正式启用前进行充分测试,以确 保系统正常运行。
2. NetBEUI协议
NetBEUI(NetBIOS增强用户接口)协议 由NetBIOS(网络基本输入输出系统)发 展完善而来,该协议只需进行简单的配置和 较少的网络资源消耗,并且可以提供非常好 的纠错功能,是一种快速有效的协议。不过 由于其有限的网络节点支持(最多支持254 个节点)和非路由性,使其仅适用于基于 Windows操作系统的小型局域网中。
7.1.1端口控制
端口是计算机与外界通讯的渠道,它们就像 一道道门一样控制着数据与指令的传输。各 类数据包在最终封包时都会加入端口信息, 以便在数据包接收后拆包识别。许多蠕虫病 毒就是利用了端口信息才能实现恶意骚扰的。 对于Windows系统来说,有必要把一些危 险而又不常用到的端口关闭或是封锁,以保 证信息安全。
柜台终端
电话委托
第三方
第三方
NOVELL 服务器
UDP:18515
UDP:18515
服务部 AR
柜台终端
TCP:8888
IPX 行情组件
老版 AR
刷卡自助 IPX:9001 热自助
A 银行 B 银行
7.1.2服务
Windows服务使用户能够创建在它们自己的 Windows会话中可长时间运行的可执行应用程 序。这些服务可以在计算机启动时自动启动, 可以暂停和重新启动而且不显示任何用户界面。 这使服务非常适合在服务器上使用,或任何时 候,为了不影响在同一台计算机上工作的其他 用户,需要长时间运行功能时使用。还可以在 不同于登录用户的特定用户帐户或默认计算机 帐户的安全上下文中运行服务。
面对网络攻击时,端口对于黑客来说至关重 要。TCP/IP协议中的端口,端口号的范围 从0到65535。每一项服务都对应相应的端 口。比如我们浏览网页时,需要服务器提供 WWW服务,端口是80,smtp是25,ftp 是21,如果企业中的服务器仅仅是文件服务 或者做内网交换,关闭一部分端口未尝不可。
因为在关闭端口后,可以进一步保障系统的 安全。
根据各机器上应用软件的实际情况,针对 TCP/IP协议进行端口控制,确定每台机器 对外开放的TCP、UDP端口。操作系统自带 命令Netstat可用于查看端口信息。使用工 具软件Fport或Tcpview可方便的显示本机 端口侦听、通信连接、关联应用程序等情况。