Windows安全培训

单击此处编辑母版标题样式,单击编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,Windows,安全管理篇,Windows系统安装,系统安全检查,系统安全配置,Windows系统安装,使用正版可靠安装盘,将系统安装在NTFS分区上,系统和数据要分开存放在不同的磁盘,最小化安装服务,安全补丁合集和相关的Hotfix,装其它的服务和应用程序补丁,每次在安装其它程序之后，重新应用安全补丁,防止病毒,进行文件系统安全设置,最少建立两个分区，一个系统分区，一个应用程序分区，因为微软的,IIS,经常会有泄漏源码,/,溢出的漏洞，如果把系统和,IIS,放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取,ADMIN,。,NT,安装,SP6a,和相关的,Hotfix,WIN2K,安装,SP4,和相关的,Hotfix,WINXP,安装,SP2,和相关的,Hotfix,WIN2003,安装相关的,Hotfix,系统安全检查,系统信息,补丁安装情况,帐号和口令,网络与服务,文件系统,日志审核,安全性增强,系统信息,检查服务器是否安装多系统，多系统无法保障文件系统的安全,从“,operating systems”,字段可以查到允许启动的系统列表,系统信息,查看主机路由信息,补丁安装情况,检查当前主机所安装的Service Pack以及Hotfix (Mbsa),SP,版本,IE,版本，请确认在,Hotfix,中是否存在,IE SP1,补丁信息,Hotfix,信息,帐号和口令,多数的系统，口令是进入系统的第一道防线，也是唯一防线；,决大多数的口令算法是可靠的；,获得口令的方式有多种；,口令问题多数出在管理与安全意识的问题上。,8,口令问题1：弱口令,用户趋向于选择容易的口令，即空口令；,用户会选择易于记住的东西做口令,Test、Password、guest、username,等,名字、生日、简单数字等,易于选择该系统的应用,Ntserver、orancle,等,多数用户的安全意识薄弱,9,口令问题2：明文传输,使用明文密码传送的应用：,FTP、POP、Telnet、HTTP、SNMP、Socks,Mountd、Rlogin、 NNTP、 NFS、,ICQ、 IRC、 PcAnywhere、VNC,等,MS SQL 、Oracle,等,上诉服务都容易成为攻击对象,10,口令攻击的方式,手工猜测；,方法：社会工程学、尝试默认口令,自动猜测；,工具：,NAT、LC,等,窃听：登陆、网络截获、键盘监听,工具：,Dsniff、Sniffer Pro、IKS,等,11,Windows常见的口令问题,NT/2000,的口令问题；,用户教育的问题；,管理员注意事项。,12,NT/2000的口令问题,SAM（Security Accounts Manager),LanManager,散列算法（,LM）,已被破解，但仍被保留,NT,散列算法（,NTLM/NTLMv2 ）,强加密、改良的身份认证和安全的会话机制,13,NT/2000的口令问题,LanManager,散列算法的问题,口令都被凑成14个字符；,不足14位的，用0补齐；,全部转化为大写字母；,分成两部分分别加密。,举例：,Ba01cK28tr BA01CK2,和8,TR0000,14,NT/2000的口令问题,SAM,数据存放位置,%,systemroot%system32configsam,%systemroot%repairsam._(NT)Rdisk,%systemroot%repairsam （2000）ntbackup,注册表,HKEY_LOCAL_MACHINESAMSAM,和,HKEY_LOCAL_MACHINESECURITYSAM,仅对,system,是可读写的,15,NT/2000的口令问题,获取,SAM,数据的方法,使系统自举到另外的系统，,copy SAM,文件；,从,repair,目录攫取备份的,SAM;,窃听口令交换,16,口令策略,使用密码强度及账户老化、锁定策略；,设置最小的密码程度为,8,个字符，最短密码时间为,1-7,天，最长密码时间为,42,天，最小的密码历史轮回为,6，失败登陆尝试为3，账户锁定为60分钟等。,17,用户教育,口令禁忌:,不要选择可以在任何字典或语言中找到的口令,不要选择简单字母组成的口令,不要选择任何指明个人信息的口令,不要选择包含用户名或相似类容的口令,不要选择短于6个字符或仅包含字母或数字的口令,不要选择作为口令范例公布的口令,18,管理员注意事项,确保每个用户都有一个有效的口令；,对用户进行口令教育；,使用防止用户选择弱口令的配置与工具；,进行口令检查，确保没有弱口令；,确保系统与网络设备没有缺省账号和口令；,不要在多个机器上使用相同的口令；,从不记录也不与他人共享密码；,19,管理员注意事项,从不将网络登录密码用作其他用途；,域,Administrators,账户和 本地,Administrators,帐户使用不同的密码；,小心地保护在计算机上保存密码的地方；,对于特权用户强制30天更换一次口令，一般用户60天更换；,使用,VPN、SSH、,一次性口令等安全机制.,20,Null Session,Null Session,（空连接）连接也称为匿名登陆，这种机制允许匿名用户通过网络获得系统的信息或建立未授权的连接。它常被诸如,的应用来列举远程服务器上的共享。,非授权主机可以是网络里所有的主机，即这个主机不需要有访问服务器的任何权限。,任何一台主机都可以和服务器之间建立一个,NULL session,，这个,NULL session,在服务器里属于,everyone,组。缺省情况下所有的用户都属于,everyone,这个组。,everyone,组没有很大的权力。但是可以利用它获取系统的用户信息,。,Null Session,net use serverIPC$ /user:,此命令用来建立一个空会话,获得目标上的所有用户列表。包括服务器上有哪些组和用户。,服务器的安全规则，包括帐户封锁、最小口令长度、口令使用周期、口令唯一性设置等。,列出共享目录。,读注册表。,Null Session,net view server,此命令用来查看远程服务器的共享资源,net time server,此命令用来得到一个远程服务器的当前时间。,At server,此命令用来得到一个远程服务器的调度作业,防御办法,屏蔽,135-139,，,445,端口（网络属性）,去除,NetBios Over TCP/IP(,在服务中去除,server,）,修改注册表,HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA,Value Name: RestrictAnonymous,Data Type: REG_DWORD,Value: 1,（,2 Win2000),参考，,帐号和口令,是否有密码过期策略,密码过期策略包括密码最长存留期和最短存留期，最长存留期是指密码在多久后过期，最短存留期是指在多久后才可以修改密码,开始,|,程序,|,管理工具,|,本地安全设置,|,安全设置,|,帐户策略,|,密码策略：,#,密码最长存留期，以天为单位，,MAXDAYS,天后密码过期，缺省为,42,天（建议不超过,42,天）,#,密码最短存留期，以天为单位，,MINDAYS,天后才可以修改密码，缺省为,0,（建议,17,天）,帐号和口令,检查Guest帐号,Guest帐号是一个容易忽视的帐号，黑客可能修改该帐号权限，并利用该帐号登陆系统,没有激活,帐号和口令,系统是否使用默认管理员帐号,默认管理员帐号可能被攻击者用来进行密码暴力猜测，建议修改默认管理员用户名。,Administrator,用户名已被修改,帐号和口令,是否存在可疑帐号,查看系统是否存在攻击者留下的可疑帐号，或检查主机操作人员遗留下的尚未删除的帐号。 可禁用不需要帐号：,帐号和口令,检查系统中是否存在脆弱口令,系统存在脆弱口令帐号可能导致攻击者轻易猜出帐号密码。,强壮口令要求：8位或以上口令长度、大小写字母、数字、特殊符号,网络与服务,查看网络开放端口,查看监听端口,网络与服务,得到网络流量信息,网络与服务,查看系统已经启动的服务列表,网络与服务,检查主机端口、进程对应信息,Fport -http:/,网络与服务,查看主机是否开放了共享或管理共享未关闭。,文件系统,查看主机磁盘分区类型,服务器应使用具有安全特性的NTFS格式，而不应该使用FAT或FAT32分区。,开始|管理工具|计算机管理|磁盘管理,文件系统,检查特定文件的文件权限,对于一些敏感文件权限需要进行修改，避免文件被恶意用户执行。,仅适用于,NTFS,分区,文件系统,检查特定目录的权限,在检查中一般检查各个磁盘根目录权限、Temp目录权限,日志审核,检查主机的审核情况,开始|运行|计算机配置|Windows设置|本地策略|审核策略,日志审核,检查系统日志大小、覆盖天数,开始|运行|eventvwr|右键“系统”,可设置更大的空间存储日志,如果空间足够，建议手动清除日志,安全性增强,保护注册表，防止匿名访问 默认权限并不限制对注册表的远程访问。只有管理员才应具有对注册表的远程访问权限，因为默认情况下,Windows 2000,注册表编辑工具支持远程访问。,对匿名连接的额外限制 默认情况下，,Windows,系统允许匿名用户枚举主机帐号列表，获得一些敏感信息。 开始,|,运行,|,计算机配置,|Windows,设置,|,本地策略,|,安全选项 建议设置为“不允许枚举,SAM,帐号和共享”,安全性增强,检查是否登陆时间用完后自动注销用户 开始|运行|计算机配置|Windows设置|本地策略|安全选项,是否显示上次成功登陆的用户名 开始|运行|计算机配置|Windows设置|本地策略|安全选项,安全性增强,是否允许未登陆系统执行关机命令 开始|运行|计算机配置|Windows设置|本地策略|安全选项,仅登陆用户允许使用光盘 开始|运行|计算机配置|Windows设置|本地策略|安全选项,系统安全配置,补丁安装,帐号、口令策略修改,网络与服务安全性增强,文件系统安全性增强,日志审核增强,安全性增强,补丁安装,使用Windows update安装最新补丁,手工安装补丁：,帐号、口令策略修改,推荐修改为：,设置帐号策略后可能导致不符合帐号策略的帐号无法登陆，需修改帐号密码（注：管理员不受帐号策略限制，但管理员密码应复杂）,密码长度最小值,7,字符,密码最长存留期,90,天,密码最短存留期,30,天,帐号锁定计数器,5,次,帐户锁定时间,5,分钟,帐户锁定阀值,1,分钟,网络与服务安全性增强,卸载不需要的服务,开始|设置|控制面板|添加/删除程序|Windows组件，卸载不需要的服务,避免未知漏洞给主机带来的风险,网络与服务安全性增强,将暂时不需要开放的服务停止,开始|运行|将上述服务的启动类型设置为手动并停止上述服务,避免未知漏洞给主机带来的风险,文件系统安全性增强,限制特定执行文件的权限,未对敏感执行文件设置合适的权限,建议禁止Guest组用户访问资源：,xcopy.exe,wscript.exe,cscript.exe,net.exe,arp.exe,edlin.exe,ping.exe,route.exe,posix.exe,Rsh.exe,atsvc.exe,Copy.exe,cacls.exe,ipconfig.exe,rcp.exe,cmd.exe,debug.exe,regedt32.exe,regedit.exe,telnet.exe,Finger.exe,Nslookup.exe,Rexec.exe,ftp.exe,at.exe,runonce.exe,nbtstat.exe,Tracert.exe,netstat.exe,日志审核增强,建议安全策略文件修改下述值：,对系统事件进行审核，在日后出现故障时用于排查故障。,审核策略更改,成功,审核登录事件,无审核,审核对象访问,成功,失败,审核过程追踪,无审核,审核目录服务访问,无审核,审核特权使用,无审核,审核系统事件,成功,失败,审核帐户登录事件,成功,失败,审核帐户管理,成功,失败,日志审核增强,调整事件日志的大小、覆盖策略,增大日志大小，避免由于日志文件容量过小导致日志记录不全,大小,覆盖方式,应用日志,16382K,覆盖早于,30,天的事件,安全日志,16384K,覆盖早于,30,天的事件,系统日志,16384K,覆盖早于,30,天的事件,安全性增强,禁止匿名用户连接,HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous”,的值为,0,，将该值修改为“,1”,可以禁止匿名用户列举主机上所有用户、组、共享资源,删除主机管理共享,HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters,，增加“,Autoshareserver”,项，并设置该值为“,1”,删除主机因为管理而开放的共享,安全性增强,禁止匿名用户连接 HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous”的值为0 ，修改为“1” 可以禁止匿名用户列举主机上所有用户、组、共享资源,限制Guest用户权限 禁止Guest帐号本地登录和网络登录的权限。 避免Guest帐号被黑客激活作为后门,Q&A,人有了知识，就会具备各种分析能力，,明辨是非的能力。,所以我们要勤恳读书，广泛阅读，,古人说“书中自有黄金屋。,”通过阅读科技书籍，我们能丰富知识，,培养逻辑思维能力；,通过阅读文学作品，我们能提高文学鉴赏水平，,培养文学情趣；,通过阅读报刊，我们能增长见识，扩大自己的知识面。,有许多书籍还能培养我们的道德情操，,给我们巨大的精神力量，,鼓舞我们前进,。,