Win2008安全配置与维护

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,2011,年,8,月,Win2008,安全配置与维护,网络安全现状,新华网 月日电（记者徐扬）年，中国内地共有近万家网站被黑客篡改，其中被篡改的政府网站达个。这是国家互联网应急中心日在大连举行的“中国计算机网络安全年会”上发布的。,监测显示，年被篡改的政府网站数量比年上升。中央和省部级政府网站安全状况明显优于地市以下级别的政府网站，但仍有约的部委级网站存在不同程度的安全隐患。,在国家互联网应急中心监测的政府网站中，年被篡改的政府网站比例达到，即全国有约十分之一的政府网站遭遇了黑客篡改。,黑客常用攻击方法,1,、获取口令,2,、放置特洛伊木马程序,3,、网络监听,4,、寻找系统漏洞,5,、利用帐号进行攻击,6,、偷取特权,1,、获取口令,1,：通过网络监听获得用户口令，监听者往往能够获得其所在网段的所有用户账号和口令，对局域网安全威胁巨大。,2,：是在获取用户的账号后（如电子邮件,前面的部分）利用一些专门软件强行破解用户口令。,2,、放置特洛伊木马程序,特洛伊木马程序常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就留在用户的电脑中，并在自己的计算机系统中隐藏一个可以在,windows,启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知黑客，来报告用户,IP,地址以及预先设定的端口。黑客在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的 。,3,、网络监听,网络监听是主机的一种工作模式，在这种模式下，主机可以接受到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，,NetXray,，,sniffit,for,linux,、,solaries,等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。,4,、寻找系统漏洞,许多系统都有这样那样的安全漏洞（,Bugs,），这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你将网线拔掉；还有一些漏洞是由于系统管理员配置错误引起的，如在网络文件系统中，将目录和文件以可写的方式调出，这都会给黑客带来可乘之机，应及时加以修正。,5,、利用帐号进行攻击,有的黑客会利用操作系统提供的缺省账户和密码进行攻击，,Guest,缺省账户。这类攻击只要系统管理员提高警惕，将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。,6,、偷取特权,利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击，前者可使黑客非法获得对用户机器的完全控制权，后者可使黑客获得超级用户的权限，从而拥有对整个网络的绝对控制权。,不安全系统可能的后果,系统若,被感染,病毒、木马入侵、黑客攻击，轻则可能 运行速度变慢，,帐号密码及重要信息等被窃取，系统,莫名其妙地出错或死机，,文件被篡改和替换；重则可能格式化硬盘；导致数据全部丢失，还可能被攻击者利用成为他们对其他系统发动攻击的跳板，或其他犯罪的工具。,Windows 2008,服务器安全加固方面,1.,把好大门,用户号及权限管理,2.,关好窗户,关闭不用的进程和端口,3,做好监控,查看日志功能,4.,清点财物,及时数据备份、恢复,1,修改超级帐户,2,强制按,Ctrl+Alt+Del,登录,3,审核,4,用户权限分配,5,安全选项,6,密码策略与帐户锁定策略,7,网络身份验证保护远程桌面登录,8,本地组策略编辑设置,9,关闭系统,默认共享，禁止连接,修改超级帐户,重命名超级管理员（,administrator,）帐户。,设置陷井，新建,administrator,隶属于,guest,帐户,并设置一强壮的密码。,强制按,Ctrl+Alt+Del,登录,作用：防止模仿登录程序检索密码信息,方法,开始,运行,control userpasswords2,或,netplwize,用户帐户高级勾选“要示用户按,Ctrl+Alt+Del,登录”,1.3,本地安全策略设置,-,审核,审核的作用,:,审核提供了一种在,Windows Server 2008,中跟踪所有事件从而监视系统访问和保证系统安全的方法。它是一个保证系统安全的重要工具。审核允许跟踪特定的事件，具体地说，审核允许跟踪特定事件的成败。例如，可以通过审核登录来跟踪谁登录成功以及谁（以及何时）登录失败，还可以审核对给定文件夹或文件对象的访问，跟踪是谁在使用这些文件夹和文件以及对它们进行了什么操作。这些事件都可以记录在安全日志中。,审核,开始菜单,管理工具,本地安全策略,审核策略设置,A,、本地策略,审核策略,1,、审核策略更改成功失败,2,、审核登录事件成功失败,3,、审核对象访问失败,4,、审核过程跟踪无审核,5,、审核目录服务访问无审核,6,、审核特权使用失败,7,、审核系统事件成功失败,8,、审核账户登录事件成功失败,9,、审核账户管理成功失败,审核对给定文件夹或文件对象,如果要审核对给定文件夹或文件对象的访问，可通过如下方法设置：,（,1,）右键文件夹选择,“,属性,”,“,安全,”,“,高级,”,“,高级安全设置,”,对话框,“,审核,”,“,编辑,”,“,添加,”,选择所要审核的用户、计算机或组,“,确定,”,（,2,）系统弹出审核项目的对话框，列出了被选中对象的可审核的事件，包括,“,完全控制,”,或,“,遍历文件夹,/,运行文件,”,、,“,读取属性,”,、,“,写入属性,”,、,“,删除,”,等权限。,（,3,）定义完对象的审核策略后，关闭对象的属性窗口，审核将立即开始生效。,本地安全策略设置,B,、本地策略,用户权限分配关闭系统：只有,Administrators,组、其它全部删除。,拒绝通过远程桌面服务登陆：加入,Guests,、,User,组,允许通过远程桌面服务登陆：只加入,Administrators,组，其他全部删除,本地安全策略设置,C,、本地策略,安全选项,交互式登陆：不显示上次的用户名启用,网络访问：不允许,SAM,帐户和共享的匿名枚举启用,网络访问：不允许为网络身份验证储存凭证启用,网络访问：可匿名访问的共享全部删除,网络访问：可匿名访问的命名管道全部删除,网络访问：可远程访问的注册表路径全部删除,网络访问：可远程访问的注册表路径和子路径全部删除,本地安全策略设置,D,帐户策略,密码策略,E,帐户策略,帐户锁定策略,保护远程桌面登录,网络级别身份验证,(NLA),，可以防止远程计算机受到黑客或恶意软件的攻击。降低拒绝服务攻击的风险,提供更高的安全保障。,打开方法：服务管理器,配置远程桌面,-“,只允许运行带网络级身份验证的远程桌面的计算机连接”,。,X,p,sp3,不支持网络级别身份验证处理方法,打开注册表,HKEY_LOCAL_MACHINESYSTEM,CurrentControlSetControlLsa,下打开,security packages,添加,tspkg,到最后,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders,下找到,securityproviders,编辑字符串添加数值：,credssp.dll,（逗号后有个空格）,本地组策略编辑设置,1,、禁止恶意程序“不请自来”,2,、禁止改变本地安全访问级别,3,、禁止,U,盘病毒“趁虚而入”,4,、禁止运行注册表编辑器,禁止恶意程序“不请自来”,禁止恶意程序自动下载文件,“开始”,-,“,运行”,-,gpedit.msc,-,本地计算机组策略编辑器,;,“,计算机配置”,“,管理模板”,“,Windows,组件”,“,Internet Explorer”,“,安全功能”,“,限制文件下载”,双击 “,Internet Explorer,进程”,“已启用”,禁止改变本地安全访问级别,安全级别要是设置得太低，会导致潜藏在网络中的各种病毒或木马对本地计算机进行恶意攻击,A,禁用安全页,“用户配置”,“管理模板”,“,Windows,组件”,“,Internet Explorer”,“Internet,控制模板”,“禁用安全页”,“已启用”,B,禁用,Internet,选项,“,用户配置”,“,管理模板”,“,Windows,组件”,“,Internet Explorer”,“,浏览器菜单”,“,Internet,选项”,禁止,U,盘病毒“趁虚而入”,禁止本地计算机系统读取,U,盘，阻断,U,盘病毒的传播。,“用户配置”,“管理模板”,“,系统”,“,可移动存储”,“可移动磁盘：拒绝读取权限”,禁止运行注册表编辑器,“用户配置”,“管理模板”,“,系统”,“,阻止访问注册表编辑器”,“已启用”,关闭系统,默认共享，禁止连接,下面给出如何关闭系统的默认共享的操作：, 从,“,开始,|,管理工具,|,计算机管理,”,中打开,“,计算机管理,”,界面。, 打开,“,共享文件夹,”,下面的子项，点中,“,共享,”,，在右边的默认共享窗口中可以看到系统提供的默认共享，如图,14.43,所示。若想要删除,C,盘的共享，可以在,“,C$,”,上右击鼠标，在弹出的快捷菜单中选中,“,停止共享,”,。, 对于其他的默认共享，可以使用同样的操作，将系统提供的默认共享全部删，但是要注意,IPC$,的共享由于被系统的远程,IPC,服务使用是不能被删除的，删除完默认共享的系统共享特性。,卸载和中止无用程序和系统进程,服务器环境以“最精、最简”为原则卸载不用使用程序。防止程序中有后门或漏洞导致被攻击者利用。,中止不使用的系统进程。,关闭危险和不用端口,查看本地计算机正打开的端口,netstat,。,IPsec,IP,安全策略屏蔽,IP,或端口。,认识,Windows Server 2008,安全记录,可以在事件查看器查看到很多事件日志，包括应用程序日志、安全日志、系统日志、目录服务日志、,DNS,服务日志和文件复制服务日志等。通过查看这些事件，管理员可以了解系统和网络的情况，也能跟踪安全事件。当系统出现故障问题时，可以通过日志记录进行查错或恢复系统。,安全事件是记录关于审核的结果，打开计算机的审核功能后，计算机或用户的行为会触发系统安全记录事件。例如，管理员删除域中的用户账户，会触发系统写入目录服务访问策略事件记录；修改一个文件内容，会触发系统写入对象访问策略事件记录。,查看安全记录,只要做了审核策略，被审核的事件都会被记录到安全记录中，可以通过事件查看器查到每一条安全记录。选择,“,开始,|,管理工具,|,事件查看器,”,或者在命令行中输入,eventvwr.msc,命令，便可打开,“,事件查看器,”,控制台查看安全记录。,安全记录的内容包括：,类型：包括审核成功或失败。,日期：事件发生的日期。,时间：事件发生的时间。,来源：事件种类，安全事件为,Security,。,分类：审核策略，例如登录,/,注销、目录服务访问、账户登录等。,事件：指定事件标识符，标明事件,ID,，为整数值。,用户：触发事件的用户名称。,计算机：指定事件发生的计算机名称，一般是本地计算机名称。,事件,ID,可以用来识别登录事件，系统使用多为默认的事件,ID,，一般值都小于,1 024,字节。,常见的事件,ID,如表,14.1,所示。,数据备份、恢复,(windows server backup),Windows server backup,不是默认安装，需手动安装（服务器管理器,功能,添加功能,- Windows server backup,）,Windows server backup,可对整个磁盘分区或文件文件夹进行备份。,系统盘恢复,