windows系统安全技术

确保可信的登陆界面

将您的计算机设置成登录Windows之前必须按 “Ctrl＋Alt＋Delete‖组合键，是为了保护计算机 免受某些特洛伊木马的攻击。一些特洛伊木马程 序可以模仿Windows登录界面，欺骗用户输入用 户名和密码。使用“Ctrl＋Alt＋Delete‖组合键可 以确保您看到的是真实可信的Windows登录界面。 为了使连接到域中计算机的这一设置有效，您需 要使用管理员身份登录，在控制面板中打开“用 户账户”图标，选择“高级”选项卡，在“安全 登录”项目中，选中“要求用户按Ctrl＋Alt＋ Delete‖复选框，然后点击“确定”按钮。
安装windows注意事项

►使用可靠安装盘 ►将系统安装在NTFS分区上 ►系统和数据要分开存放在不同的磁盘

最少建立两个分区，一个系统分区，一个应用程序分 区，因为微软的IIS经常会有泄漏源码/溢出的漏洞，如 果把系统和IIS放在同一个驱动器会导致系统文件的泄 漏甚至入侵者远程获取ADMIN。
把共享文件的权限 从”everyone”组改成“授权用 户”


―everyone‖ 在win2000中意味着任何有权进 入你的网络的用户都能够获得这些共享资 料。任何时候都不要把共享文件的用户设 置成”everyone‖组。 包括打印共享，默认的属性就是”everyone‖ 组的。
客户端安全调置


Guest
默认被禁用 不能删除，可重命名

默认帐号

其他帐号

如用户帐号，特定服务，应用程序 由Administrator创建 一般可被禁用或删除 如果要用IIS(Internet Information Server)建设各类站点， 则以下两个帐号不能停用：

IUSER＿computername－－ IIS匿名访问账号 IWAM＿computername －－IIS匿名执行脚本的账号 这两个账号默认有密码，是由系统分配的，用户不要更改其密 码，更不要删除，否则IIS不能匿名访问和执行脚本
NTFS的优势


权限：可对单个文件设置而不仅仅是对文件夹设置。 文件加密：大大增强了安全性。 Active Directory：可用来方便地查看和控制网络资源。 域：它是Active Directory的一部分，可用于在简化管理任 务的同时微调安全选项。域控制器必须NTFS。 磁盘活动的故障恢复日志：在发生断电或其他系统问题时， 帮助您快速地还原信息。NTFS可以自动地修复磁盘错误 而不会显示出错信息。 硬盘配额：可用于监视和控制单个用户使用的磁盘空间大 小。

密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5 次 强制密码历史 42 天
开启帐号锁定策略

复位帐号锁定计数器 20分钟 帐号锁定时间 20分钟 帐号锁定阈值 3次
打开审核策略

开启安全审核是win2000最基本的入侵检测方法。当有人 尝试对你的系统进行某些方式（如尝试用户密码,改变帐号 策略，未经许可的文件访问等等）入侵的时候，都会被安 全审核记录下来。很多的管理员在系统被入侵了几个月都 不知道，直到系统遭到破坏。 审核系统登陆事件 成功，失败 审核帐号管理 成功，失败 审核登陆事件 成功，失败 审核对象访问 成功 审核策略更改 成功，失败 审核特权使用 成功，失败 审核系统事件 成功，失败

Win XP 本地安全设置


在“开始”→“运行”窗口中输入“secpol.msc‖并回车就 可以打开“本地安全设置窗口”。或者通过“控制面 板”→“管理工具”→“本地安全策略”来打开这个设置 界面。 在“本地安全设置”窗口的左侧展开“账户策略”→“密 码策略”，在右边窗格中就会出现一系列的密码设置项进 行设置：

►最小化安装服务 ►只安装必需的协议
安装windows注意事项(cons.)



►设置BIOS密码 ►改变安装的默认路径 ►安装最新的补丁程序 ►安装必要的防病毒软件 ►安装合适的防火墙软件 ►Ghost备份安装的系统
安装windows注意事项(cons.)



►建立和选择分区 ►选择安装目录 ►不安装多余的组件 ►停止多余的服务 ►安装系统补丁
常用内置组(cons.)



Users:普通用户组。分配给该组的默认权限不允许成员修 改操作系统的设置或用户资料。Users 组提供了一个最安 全的程序运行环境。在经过 NTFS 格式化的卷上，默认安 全设置旨在禁止该组的成员危及操作系统和已安装程序的 完整性。用户不能修改系统注册表设置、操作系统文件或 程序文件。Users 可以关闭工作站，但不能关闭服务器。 Users 可以创建本地组，但只能修改自己创建的本地组。 Guests:来宾组，按默认值，来宾跟普通Users的成员有同 等访问权，但来宾帐号的限制更多。 Everyone:顾名思义，所有的用户，这个计算机上的所有 用户都属于这个组
windows系统安全技术
哈尔滨工程大学 王桐
提纲



Windows账号和密码安全 Windows安全结构 Windows文件系统安全 Windows注册表的安全 Windows系统中查杀后门木马技术 Windows系统中常用安全命令 Windows安全产品线 Windows升级服务（WSUS） Windows安全检查清单
给“休眠”和“待机”加个密码

只有“屏幕保护”有密码是远远不够安全 的，我们还要给“休眠”和“待机”加上 密码，这样才会更安全。让我们来给“休 眠”和“待机”加上密码吧。在“组策略” 窗口中展开“用户配置→管理模板→系统 →电源管理”，在右边的窗格中双击“从 休眠/挂起恢复时提示输入密码”，将其设 置为“已启用” ，那么当我们从“待机” 或“休眠”状态返回时将会要求你输入用 户密码。
磁盘分区

因为操作系统目录的权限是非常严格的，把Windows NT 放置自己单独的分区内是个明智的选择。 通常分为3个区 系统 程序 数据

尽管这种分区需要额外地策划，但它还是很有吸引力，特 别是简化了对于目录权限的管理。目录可以根据需要分开。 如果 你在运行一个设备如WEB服务器，你可能会考虑使 用HTML，图像和其它一些静态文件在一个分区上，而你 的脚本文件则放到另一个分区上。你可以将脚本设置成只 可以执行那些静态文件可允许读取。这种策略的结果就是 易于管理文件和目录的权限。


Administrators,管理员组，默认情况下，Administrators中 的用户对计算机/域有不受限制的完全访问权。分配给该 组的默认权限允许对整个系统进行完全控制。所以，只有 受信任的人员才可成为该组的成员。 Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。 分配给 Power Users 组的默认权限允许 Power Users 组的成 员修改整个计算机的设置。但Power Users 不具有将自己 添加到 Administrators 组的权限。在权限设置中，这个组 的权限是仅次于Administrators的。
大写字母 小写字母 数字 非字母、数字的字符

密码长度：不小于8字节长
强壮密码应符合的规则
+ X
个人名字 或呢称
X+
电话号码、生 日等敏感信息
+
输入8字符 以上密码
X
记录于纸上或 放置于办公处
+
X
使用重复 的字符
=强壮的密码
密码存放位置

►注册表HKEY_LOCAL_MACHINE\SAM ►Winnt/system32/config/sam
如何选择分区格式

如果在Windows XP中使用大于32GB的分区，唯 一可以选择的是NTFS格式。 如果计算机不考虑安全性问题，更注重与Win 9X 的兼容性，那么FAT32格式是最好的选择。 如果注重计算机系统的安全性的话，建议用户采 用NTFS格式。 如果要使用多个操作系统，需要安装Win 9X或其 它操作系统，建议用户做成多启动系统，一个分 区采用FAT32格式，另外的分区采用NTFS格式， 并且将Windowds XP安装在NTFS格式分区下，其 它操作系统安装在FAT32格式下。
Windows帐号与密码
帐号定义

所谓用户帐号，是计算机使用者的身份标 识。每一个使用计算机的人，必须凭借他 的用户帐号才能进入计算机，进而使用计 算机中的资源。


默认账号 管理员创建的帐号
默认帐号

Administor –root
Administrator:系统管理员帐号、具有最高权限。在 域中和计算机中具有不受限制的权利，可以管理本 地或域中的任何计算机，如创建帐号、创建组、实 施安全策略等。 从不被锁定 －－选装passprop.exe 不能删除，可重命名 诱骗 Honey Pot 采用另外的管理员帐号

NTFS 文件系统是推荐的文件系统，因为它在可 靠性和安全性方面具有优势，还因为它是大容量 驱动器必需的。FAT 和 FAT32 文件系统彼此 相似，除了 FAT32 比 FAT 适于更大的硬盘。 NTFS 一直是比 FAT 或 FAT32 更强大的文 件系统。 在ghost2000之前的版本是看不到NTFS分区的； 挂主从硬盘时也看不到从盘的NTFS分区。 NTFS可以支持的分区大小可以达到2TB （2048GB）,而FAT32支持分区的大小最大为 32GB。

时常关注相关的安全公告


安全威胁

来自外部的威胁
Fra Baidu bibliotek

口令破解（字典、暴力） 病毒攻击 非法服务 拒绝服务
安全威胁

来自内部的威胁


物理安全 误用和滥用 不当的接入方式 数据监听(Sniffer) 劫持攻击
Windows文件系统安全
NTFS与FAT32


添加/删除帐号



►Win2000/XP下 管理工具—计算机管理—本地用户和组 ►命令行方式 net user 用户名密码/add [/delete] 将用户加入到组 net localgroup 组名用户名/add [/delete]
密码复杂性要求

强壮密码的组成

组

所谓组，是一组相关账号的集合。可以按 照不同用户的操作需求和资源访问需求来 创建不同的组，实现对用户的统一配置和 管理。 使用组的目的：简化对网络的管理，通过 组可以一次性地为一批用户授权。组是强 有力的管理工具之一，使用组可以减少需 要直接管理的对象数量，从而简化了网络 维护与管理。
常用内置组
netstat –an 和net session 利用任务管理器结束异常任务和进程

Ctrl+Alt+Del键 右键点击任务栏空白处，选任务管理器 如：天网个人防火墙

利用个人防火墙或防病毒软件定期扫描

客户端安全设置

设置防病软件的自动升级功能 设置Windows自动下载更新功能


系统设置
组合键锁定计算机



在离开办公桌的时候，为确保计算机的安 全，需要锁定您的计算机，这样只有输入 密码才能够再次使用。 如果您的计算机已经登录到域中，只需按 下“Ctrl＋Alt＋Delete‖组合键，然后点击 “锁定计算机”按钮即可。 当您返回后，再次按下“Ctrl＋Alt＋Delete‖ 组合键，输入密码即可。
http://windowsupdate.microsoft.com http://www.nsfocus.net http://www.microsoft.com/security/ http://www.securityinfo.com http://www.insecure.org http://www.mcafee.com

拔号上网安全性


设置复杂密码 关闭所有不必要的共享 禁止Netbios over TCP/IP协议
客户端安全设置

冲浪上网安全性

下载软件的注意事项 Cookie的安全性 ActiveX控件和Java Applet
网络安全设置

WindowsXP自带ICF功能
检查异常进程