第七章--Windows-操作系统安全课件

Windows NT（New TechnologyNT3.0、NT40、NT5.0（Windows 2000）和 NT6.0（Windows 2003）、Windows XP等众多版本，并逐步占据了广大的中小网络操作系统的市场。但是在Windows系统里面有一些安全配置，在默认情况下是没有设置的，需要根据具体情况进行设置。第七章 Windows 操作系统安全 版权所有，盗版必纠 Windows 2000安全配置 安装Windows操作系统注意事项 给操作系统打补丁版权所有，盗版必纠1.保护guest帐号可以将guest帐号关闭、停用或改名。如果必需要用guest帐号的话，需将guest列入拒绝从“网络访问”名单中(如果没有共享文件夹和打印机)，防止guest从网络访问计算机、关闭计算机以及查看日志。保护帐号版权所有，盗版必纠2.限制用户数量去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。帐户很多是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。对于Windows NT/2000主机，如果系统帐户超过10个，一般能找出一两个弱口令帐户，所以帐户数量不要大于10个。这些不用的帐户可以去掉。保护帐号版权所有，盗版必纠保护帐号版权所有，盗版必纠3.3.管理员帐号改名管理员帐号改名Windows 2000Windows 2000中的中的AdministratorAdministrator帐号是不能被停用的，帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把这意味着别人可以一遍又一边的尝试这个帐户的密码。把AdministratorAdministrator帐户改名可以有效的防止这一点。帐户改名可以有效的防止这一点。不要使用不要使用AdminAdmin之类的名字，改了等于没改，尽量把它伪之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：装成普通用户，比如改成：guestoneguestone。具体操作的时候只。具体操作的时候只要选中帐户名改名就可以了，如图要选中帐户名改名就可以了，如图11.311.3所示。所示。保护帐号版权所有，盗版必纠保护帐号版权所有，盗版必纠4.4.建陷阱帐号建陷阱帐号陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组。密码为大于32位的数字字符符号密码，如图11.4所示。建立的陷阱帐号如图11.5所示。保护帐号版权所有，盗版必纠保护帐号版权所有，盗版必纠保护帐号版权所有，盗版必纠好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。一些网络管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，比如：“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。这里给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。设置安全的密码版权所有，盗版必纠设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，黑屏就可以了。将屏幕保护的选项“密码保护”选中就可以了，并将等待时间设置为最短时间“1分钟”，如图11.6所示。设置屏幕保护密码版权所有，盗版必纠计算机里通常安装有了些不必要的服务，如果这些服务没有用的话，最好能将这些服务关闭。例如：为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果开了，要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。Windows 中可禁用的服务及其相关说明如表11.1所示。关闭不必要的服务版权所有，盗版必纠关闭不必要的服务版权所有，盗版必纠关闭端口意味着减少功能，如果服务器安装在防火墙的后面，被入侵的机会就会少一些，但是不可以认为高枕无忧了。可以在操作系统里来限制端口的访问，如图11.7所示为从操作系统TCP/IP里限制端口，只开放4个端口。关闭不必要的端口版权所有，盗版必纠审核策略在默认的情况下都是没有开启的。打开“控制面板”“管理工具”“本地安全设置”“审核策略”，如图11.8所示。开启系统审核策略版权所有，盗版必纠从图中可以看到,9个审核策略都没有打开。最好将这些信息审核信息都打开。以便于以后出现安全事件的时候进行查找。双击要打开的审核策略选项，出现如图11.9所示的界面。开启系统审核策略版权所有，盗版必纠系统密码在默认的情况下都是没有开启的。打开“控制面板”“管理工具”“本地安全设置”“审核策略”，如图11.10所示。开启密码策略版权所有，盗版必纠开启密码策略版权所有，盗版必纠系统帐户锁定策略在默认的情况下都是没有开启的。打开“控制面板”“管理工具”“本地安全设置”“帐户锁定策略”，如图11.11所示。开启帐户锁定策略版权所有，盗版必纠开启帐户锁定策略版权所有，盗版必纠下载操作系统最新的安全补丁可以下载一些工具如，奇虎360安全卫士等。打开奇虎360安全卫士软件主界面，选择“修复系统漏洞”选项，如图11.12：下载最新的补丁版权所有，盗版必纠下载最新的补丁版权所有，盗版必纠下载最新的补丁版权所有，盗版必纠系统的共享为用户带来了众多麻烦，经常会有病毒通过共享来进入电脑。Windows 2000/XP/2003版本的操作系统提供了默认共享功能，这些默认的共享都有“$”标志，意为隐含的，包括所有的逻辑盘（C$，D$，E$）和系统目录Winnt或Windows（admin$）。这些共享，可以在DOS提示符下输入命令Net Share 查看，如图11.15所示。因为操作系统的C盘、D盘等全是共享的，这就给黑客的入侵带来了很大的方便。“震荡波”病毒的传播方式之一就是扫描局域网内所有带共享的主机，然后将病毒上传到上面。下面给大家介绍5种可以关闭操作系统共享的方法。关闭系统默认共享版权所有，盗版必纠关闭系统默认共享版权所有，盗版必纠第一种方法:右键关闭法。方法是打开“控制面板”“管理工具”“计算机管理”“共享文件夹”“共享”，在相应的共享文件夹上右击停止共享即可，如图11.16所示。关闭系统默认共享版权所有，盗版必纠但是如果采用这种方法关闭共享，当用户重新启动计算机后，那些共但是如果采用这种方法关闭共享，当用户重新启动计算机后，那些共享又会加上了享又会加上了!所以这种方法不能从根本上解决问题。所以这种方法不能从根本上解决问题。第二种方法：批处理法。打开记事本，输入以下内容（记得每行最后第二种方法：批处理法。打开记事本，输入以下内容（记得每行最后要回车）：要回车）：net share ipc$/deletenet share ipc$/deletenet share admin$/deletenet share admin$/deletenet share c$/deletenet share c$/deletenet share d$/deletenet share d$/deletenet share e$/deletenet share e$/delete（有几个硬盘分区就写几行这样的命令）（有几个硬盘分区就写几行这样的命令）将以上内容保存为将以上内容保存为NotShare.batNotShare.bat（注意后缀），然后把这个批处理文（注意后缀），然后把这个批处理文件拖到件拖到“程序程序”“”“启动启动”项，这样每次开机就会运行它，也就是通项，这样每次开机就会运行它，也就是通过过netnet命令关闭共享。如果哪一天需要开启某个或某些共享，只要重命令关闭共享。如果哪一天需要开启某个或某些共享，只要重新编辑这个批处理文件即可（把相应的那个命令行删掉）。新编辑这个批处理文件即可（把相应的那个命令行删掉）。关闭系统默认共享版权所有，盗版必纠第三种方法：注册表改键值法。第三种方法：注册表改键值法。单击单击“开始开始”“”“运行运行”输入输入“regedit”regedit”确定后，打开注册表编辑确定后，打开注册表编辑器，找到器，找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmaHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”nserverparameters”项，双击右侧窗口中的项，双击右侧窗口中的“AutoShareServer”AutoShareServer”项将键值由项将键值由1 1改为改为0 0，这样就能关闭硬盘各分区的共享。如果没有，这样就能关闭硬盘各分区的共享。如果没有AutoShareServerAutoShareServer项，可自己新建一个再改键值。然后还是在这一窗项，可自己新建一个再改键值。然后还是在这一窗口下再找到口下再找到“AutoShareWks”AutoShareWks”项，也把键值由项，也把键值由1 1改为改为0 0，关闭，关闭admin$admin$共共享。最后到享。最后到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”项处找到项处找到“restrictanonymous”restrictanonymous”，将键值设为，将键值设为1 1，关闭，关闭IPC$IPC$共享。本共享。本方法必须重启机器才能生效，但一经改动就会永远停止共享。方法必须重启机器才能生效，但一经改动就会永远停止共享。关闭系统默认共享版权所有，盗版必纠第四种方法：停止服务法。这种方法最简单，打开“控制面板”的“计算机管理”窗口中，单击展开左侧的“服务和应用程序”并选中其中的“服务”，此时右侧就列出了所有服务项目。共享服务对应的名称是“Server”（在进程中的名称为services），找到后右击它，在弹出的菜单中选择“属性”，如图11.17所示。在弹出的Server属性界面当中选择“常规”标签，把“启动类型”由原来的“自动”更改为“已禁用”。然后单击下面“服务状态”的“停止”，再单击“确定”，如图11.18所示。这样，系统中所有的共享都会去掉了。关闭系统默认共享版权所有，盗版必纠关闭系统默认共享版权所有，盗版必纠关闭系统默认共享版权所有，盗版必纠第五种方法：卸载“文件和打印机共享”法。方法是右击“网上邻居”选“属性”，在弹出的“网络和拨号连接”窗口中右击“本地连接”选“属性”，从“此连接使用下列选定的组件”中选中“Microsoft网络的文件和打印机共享”后，单击下面的“卸载”，再单击“确定”，如图11.19所示。关闭系统默认共享版权所有，盗版必纠关闭系统默认共享版权所有，盗版必纠注意：本方法最大的缺陷是当在某个文件夹上右击时，弹出的快捷菜单中的“共享”一项消失了，因为对应的功能服务已经被卸载了，以后如果再想用共享时，需要重新加载这个协议。关闭系统默认共享版权所有，盗版必纠黑客利用TTL（Time-To-Live，活动时间）值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。许多入侵者首先会Ping一下主机，因为攻击某一台计算机需要根据对方的操作系统是Windows还是Unix。如TTL值为128就可以认为系统为Windows 2000，如图11.20所示。禁止TTL判断主机类型版权所有，盗版必纠禁止TTL判断主机类型版权所有，盗版必纠修改TTL的值，入侵者就无法入侵电脑了。比如将操作系统的TTL值改为111。方法是修改主键HKEY_LOCAL_MACHINE的子键：SYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERS中defaultTTL的键值。如果没有，则新建一个双字节项defaultTTL，如图11.21所示；然后将其值改为十进制的111，如图11.22所示。设置完毕，重新启动计算机，再用Ping指令，发现TTL的值已经被改成111了，如图11.23所示。禁止TTL判断主机类型版权所有，盗版必纠禁止TTL判断主机类型版权所有，盗版必纠如何安装一个电脑操作系统才是一个安全的操作系统呢？这是经常遇到的一个问题。安装一个安全的操作系统可以采用以下几步：1.拔掉网线。2安装操作系统。3.安装软件防火墙，如Norton防火墙、天网防火墙、瑞星防火墙等。4.安装防病毒软件，如Norton、瑞星、江民、金山等。5.安装防恶意软件的软件，如360安全卫士、瑞星的卡卡、超级兔子等。6.给操作系统进行安全设置，如添加审核策略，密码策略，对帐号进行管理等。7.插上网线。给操作系统打补丁。可以采用360安全卫士等软件来打补丁。8.更新防火墙、防病毒、防恶意软件。包括病毒库、恶意软件库等。9.安装Easyrecovery，数据恢复软件。关于Easyrecovery软件的使用，会在后面19章是讲解。10.安装其它操作系统的应用软件。安装Windows操作系统注意事项版权所有，盗版必纠信息系统为什么会遭受黑客、病毒等的攻击呢？很多时候是因为没有对操作系统打补丁。作为信息系统的管理员来说，经常遇到的一个问题是如何一次性将电脑所有补丁都安装上，而不是使用互联网慢慢下载，一个一个安装呢？建议大家使用360安全卫士。这个软件不但能查杀恶意软件和木马，还可以对操作系统打补丁。打开360安全卫士主界面，如图11.24所示。给操作系统打补丁版权所有，盗版必纠给操作系统打补丁版权所有，盗版必纠给操作系统打补丁版权所有，盗版必纠选择要修复的漏洞，并点击“修复选中漏洞”。这样360安全卫士就可以自动从互联网上下载最新的安全漏洞并安装。下载的漏洞补丁保存在360安装目录下的hotfix文件夹当中。通常是“C:Program Files360safehotfix”里面。如图11.26所示。给操作系统打补丁版权所有，盗版必纠给操作系统打补丁版权所有，盗版必纠p经常不断地学习,你就什么都知道。你知道得越多,你就越有力量pStudyConstantly,AndYouWillKnowEverything.TheMoreYouKnow,TheMorePowerfulYouWillBe写在最后谢谢你的到来学习并没有结束，希望大家继续努力Learning Is Not Over.I Hope You Will Continue To Work Hard演讲人：XXXXXX 时 间：XX年XX月XX日