windows系统安全加固

码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还
要注意经常更改密码。 这里给好密码下了个定义：安全期内无法破解出来的密码就是好密码，
也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解
出来，密码策略是42天必须改密码。
2.3 设置屏幕保护Baidu Nhomakorabea码
设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使
操作系统安全问题
操作系统概述
操作系统安全概念 操作系统配置问题 操作系统安全漏洞问题
操作系统安全配置问题
1. 访问权限的恰当设置
指利用操作系统提供的访问控制功能为用户和文件系统设置恰
当的访问权限。 2. 系统的及时更新
几乎所有操作系统都不同程度的存在着设计和程序缺陷，在应用
中会产生安全漏洞，容易被病毒利用来侵入并攻击用户计算机。 3. 对于攻击的防范 利用操作系统提供的各种功能及安装各种防范软件来提高系统 的防护能力。
操作系统安全概念
通俗地说 身份认证解决的是“你是谁，你是否真的是你所声称的身份
”。
访问控制解决的是“你能做什么，你有什么样的权限”。
操作系统安全概念
操作系统安全具有两层含义： 一、是指操作系统设计时，通过权限访问控制、信息加密 性保护、完整性鉴定等一些安全机制实现的安全。 二、是指在操作系统使用过程中，考虑系统缺陷和应用环 境的不安全因素而必须进行系统的安全配置。
2.9 关闭系统默认共享
2.10 禁止TTL判断主机类型
黑客利用TTL（Time-To-Live，活动时间）值可以鉴别操作系统的类型， 通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连 通。 许多入侵者首先会Ping一下主机，因为攻击某一台计算机需要根据对 方的操作系统是Windows还是Unix。如TTL值为128就可以认为系统为 Windows 2000。
置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。 帐户很多是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到
合法用户的权限可能性一般也就越大。
对于Windows NT/2000主机，如果系统帐户超过10个，一般能找出一两 个弱口令帐户，所以帐户数量不要大于 10个。这些不用的帐户可以去掉。
2.9 关闭系统默认共享
2.9 关闭系统默认共享
2.9 关闭系统默认共享
第五种方法：卸载“文件和打印机共享”法。方法是右击“网上邻居” 选“属性”，在弹出的“网络和拨号连接”窗口中右击“本地连接”选
“属性”，从“此连接使用下列选定的组件”中选中“Microsoft网络的
文件和打印机共享”后，单击下面的“卸载”，再单击“确定” 注意：本方法最大的缺陷是当在某个文件夹上右击时，弹出的快捷菜 单中的“共享”一项消失了，因为对应的功能服务已经被卸载了，以后 如果再想用共享时，需要重新加载这个协议
2.9 关闭系统默认共享
第三种方法：注册表改键值法。
单击“开始”→“运行”输入“regedit”确定后，打开注册表编辑器，
找到 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanse rver\parameters”项， 双击右侧窗口中的“AutoShareServer”项将键值由1改为0，这样就能关 闭硬盘各分区的共享。“AutoShareWks”项，也把键值由1改为0，关闭 admin$共享。 如果没有以上两项，可自己新建一个再改键值。
2.9 关闭系统默认共享
第四种方法：停止服务法。这种方法最简单，打开“控制面板”的
“计算机管理”窗口中，单击展开左侧的“服务和应用程序”并选中其 中的“服务”，此时右侧就列出了所有服务项目。共享服务对应的名称 是“Server”（在进程中的名称为services），也是最彻底删除ipc$共 享服务的办法。
Windows NT 3.1 ( 1993 )
Windows NT 3.5 ( 1994 ) Windows NT 3.51 ( 1995 ) Windows NT 4.0 ( 1996 ) Windows 2000 NT 5.0 ( 2000 )
windows xp NT 5.1 ( 2001 )
口。
2.6开启系统审核策略
审核策略在默认的情况下都是没有开启的。打开“控制面板”→“管理 工具”→“本地安全设置”→“审核策略”
2.6开启系统审核策略
从图中可以看到,9个审核策略都没有打开。最好将这些信息审核信息都 打开。以便于以后出现安全事件的时候进行查找。双击要打开的审核策 略选项。
2.7 开启密码策略
主要内容
Windows系统安全问题
Windows系统安全加固
Windows系统安全加固
1.保护账号
2.设置安全的密码 3.设置屏幕保护密码 4.关闭不必要的服务 5.关闭不必要的端口 6.开启系统审核策略 7.开启密码策略 8.开启帐户锁定策略 9.关闭系统默认共享 10.禁止TTL判断主机类型 11.修补操作系统漏洞 12.其它安全设置
2.1.3 管理员账号改名
2.1.4 建陷阱账号
陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限
设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复
杂密码。 这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们
的入侵企图。可以将该用户隶属的组修改成Guests组。密码为大于32位
如果开了要确认已经正确的配置了终端服务。有些恶意的程序也能以服
务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服 务并每天检查。
2.4 关闭不必要的服务
2.5 关闭不必要的端口
关闭端口意味着减少功能，如果服务器安装在防火墙的后面，被入侵的
机会就会少一些，但是不可以认为高枕无忧了。可以在操作系统里来限 制端口的访问，如图所示为从操作系统TCP/IP里限制端口，只开放4个端
系统密码在默认的情况下都是没有开启的。打开“控制面板”→“管理
工具”→“本地安全设置”→“审核策略”。
2.7 开启密码策略
密码必须符合复杂性要求”选择“已启动。 密码至少包含以下四种类别的字符中的三种： 英语大写字母 A, B, C, „ Z
英语小写字母 a, b, c, „ z
西方阿拉伯数字 0, 1, 2, „ 9 非字母数字字符，如标点符号，@, #, $, %, &, *等
windows 3.1 ( 1992 )
Windows 3.2 ( 1994 )
操作系统概述 WIN 9X
Windows 95 ( 1995 )
Windows 98 ( 1998 ) Windows 98 SE ( 1999 ) Windows Me ( 2000 )
操作系统概述 NT 系列
用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，黑屏就可以了。 将屏幕保护的选项“密码保护”选中就可以了，并将等待时间设置为最
短时间“1分钟”。
2.4 关闭不必要的服务
计算机里通常安装有了些不必要的服务，如果这些服务没有用的话，最 好能将这些服务关闭。例如：为了能够在远程方便的管理服务器，很多 机器的终端服务都是开着的
Windows Vista NT 6.0 ( 2005 ) Windows 7 NT 6.1 ( 2009 ) Windows 8 NT 6.？ ( 2011 )
操作系统概述 NT 系列
Windows Server 2003 ( 2003 ) Windows Server 2008 ( 2008 )
操作系统安全问题
操作系统概述
操作系统安全概念 操作系统配置问题 操作系统安全漏洞问题
操作系统安全漏洞问题
几乎说有的操作系统都不是十全十美的，总存在些安全漏洞 一些常见及重大的操作系统安全漏洞类型：
1. 缓冲区溢出漏洞 2. TCP/IP协议漏洞
3. Web应用安全漏洞
4. 开放端口的安全漏洞
2.1保护账号
可以将guest帐号关闭、停用或改名。如果必需要用guest帐号的话，需 将guest列入拒绝从“网络访问”名单中(如果没有共享文件夹和打印
机)，防止guest从网络访问计算机、关闭计算机以及查看日志。
2.1.2限制用户数量
去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设
的数字＋字符＋符号密码。建立的陷阱帐号。
2.1.4 建陷阱账号
2.1.4 建陷阱账号
2.2 设置安全的密码
好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。一
些网络管理员创建帐号的时候往往用公司名，计算机名，或者一些别的
一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单， 比如：“welcome”、“iloveyou”、“123456”或者和用户名相同的密
最短密码长度 6-8个字符
密码最长存留期”设置为“90天 强制密码历史”设置为“记住5个密码
2.8 开启帐户锁定策略
系统帐户锁定策略在默认的情况下都是没有开启的。打开“控制面 板”→“管理工具”→“本地安全设置”→“帐户锁定策略”。
2.8 开启帐户锁定策略
2.9 关闭系统默认共享
系统的共享为用户带来了众多麻烦，经常会有病毒通过共享来进入电 脑。Windows 2000/XP/2003版本的操作系统提供了默认共享功能，这些 默认的共享都有“$”标志，意为隐含的，包括所有的逻辑盘（C$，D$， E$„„）和系统目录Winnt或Windows（admin$）。 这些共享，可以在DOS提示符下输入命令Net Share 查看。因为操作系
Windows Home Server ( 2008 )
Windows HPC Server 2008 ( 2010 )
Windows系统安全问题
操作系统概述
操作系统安全概念 操作系统配置问题 操作系统安全漏洞问题
操作系统安全概念
一般意义上说，一个操作系统是安全的，是指该系统能够控 制外部对系统信息的访问，也就是说，只有经过授权的用户 或代表该用户运行的进程才能读、写、创建和删除信息。
2.1.2限制用户数量
2.1.3 管理员账号改名
Windows 主机中的Administrator帐号是不能被停用的，这意味着别人 可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以
有效的防止这一点。
不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户， 比如改成：guestone。具体操作的时候只要选中帐户名改名就可以了。
网络运行部
安全培训
<Windows系统安全加固>
主要内容
Windows系统安全问题
Windows系统安全加固
操作系统安全问题
操作系统概述
操作系统安全概念 操作系统安全配置问题 操作系统安全漏洞问题
操作系统概述 MS- Dos
Windows 1.0 ( 1985 ) Windows 2.0 ( 1987 ) Windows 2.1 ( 1988 ) windows 3.0 ( 1990 )
统的C盘、D盘等全是共享的，这就给黑客的入侵带来了很大的方便。
“震荡波”病毒的传播方式之一就是扫描局域网内所有带共享的主机， 然后将病毒上传到上面。下面给大家介绍5种可以关闭操作系统共享的方
法。
2.9 关闭系统默认共享
2.9 关闭系统默认共享
第一种方法: 右键关系法。方法是打开“控制面板”→“管理工 具”→“计算机管理”→“共享文件夹”→“共享”，在相应的共享文 件夹上右击停止共享即可.
2.9 关闭系统默认共享
如果采用第一种方法关闭共享，当用户重新启动计算机后，那些共享 又会加上了!所以这种方法不能从根本上解决问题。 第二种方法：批处理法。打开记事本，输入以下内容（记得每行最后 要回车）： net share admin$ /delete net share c$ /delete net share d$ /delete net share e$ /delete „„（有几个硬盘分区就写几行这样的命令） 将以上内容保存为 NotShare.bat （注意后缀），然后把这个批处理文 件拖到“程序”→“启动”项，这样每次开机就会运行它，也就是通过 net命令关闭共享。如果哪一天需要开启某个或某些共享，只要重新编辑 这个批处理文件即可（把相应的那个命令行删掉）。