资源描述
,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,版权所有,盗版必纠,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,版权所有,盗版必纠,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,版权所有,盗版必纠,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,版权所有,盗版必纠,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,版权所有,盗版必纠,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,版权所有,盗版必纠,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,版权所有,盗版必纠,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,版权所有,盗版必纠,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,版权所有,盗版必纠,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,版权所有,盗版必纠,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,版权所有,盗版必纠,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,版权所有,盗版必纠,*,第,11,章,Windows,操作系统安全,第11章 Windows 操作系统安全,概 述,Windows NT,(,New Technology,)是微软公司第一个真正意义上的网络操作系统,发展经过,NT3.0,、,NT40,、,NT5.0,(,Windows 2000,)和,NT6.0,(,Windows 2003,)、,Windows XP,等众多版本,并逐步占据了广大的中小网络操作系统的市场。但是在,Windows,系统里面有一些安全配置,在默认情况下是没有设置的,需要根据具体情况进行设置。,概 述 Windows NT(New Technol,目 录,第,11,章,Windows,操作系统安全,11.1 Windows,操作系统介绍,11.2 Windows 2000,安全配置,11.3,安装,Windows,操作系统注意事项,11.4,给操作系统打补丁,目 录第11章 Windows 操作系统安全,Windows NT,众多版本的操作系统使用了与,Windows 9X,完全一致的用户界面和完全相同的操作方法,使用户使用起来比较方便。与,Windows 9X,相比,,Windows NT,的网络功能更加强大并且安全。,Windows NT,系列操作系统具有以下三方面的优点。,1.,支持多种网络协议,由于在网络中可能存在多种客户机,如,Windows 95/98,、,Apple Macintosh,、,Unix,、,OS/2,等等,而这些客户机可能使用了不同的网络协议,如,TCP/IP,协议、,IPX/SPX,等。,Windows NT,系列操作支持几乎所有常见的网络协议。,2.,内置,Internet,功能,随着,Internet,的流行和,TCP/IP,协议组的标准化,,Windows NT,内置了,IIS,(,Internet Information Server,),可以使网络管理员轻松的配置,WWW,和,FTP,等服务。,3.,支持,NTFS,文件系统,Windows 9X,所使用的文件系统是,FAT,,在,NT,中内置同时支持,FAT,和,NTFS,的磁盘分区格式。使用,NTFS,的好处主要是可以提高文件管理的安全性,用户可以对,NTFS,系统中的任何文件、目录设置权限,这样当多用户同时访问系统的时候,可以增加文件的安全性。,11.1 Windows,操作系统介绍,Windows NT众多版本的操作系统使用了与Windows,1.,保护,guest,帐号,可以将,guest,帐号关闭、停用或改名。如果必需要用,guest,帐号的话,需将,guest,列入拒绝从,“,网络访问,”,名单中,(,如果没有共享文件夹和打印机,),,防止,guest,从网络访问计算机、关闭计算机以及查看日志。如图,11.1,所示。,11.2.1,保护帐号,1. 保护guest帐号11.2.1 保护帐号,2.,限制用户数量,去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户。,帐户很多是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。,对于,Windows NT/2000,主机,如果系统帐户超过,10,个,一般能找出一两个弱口令帐户,所以帐户数量不要大于,10,个。这些不用的帐户可以去掉,如图,11.2,所示。,11.2.1,保护帐号,2. 限制用户数量11.2.1 保护帐号,11.2.1,保护帐号,11.2.1 保护帐号,3.,管理员帐号改名,Windows 2000,中的,Administrator,帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把,Administrator,帐户改名可以有效的防止这一点。,不要使用,Admin,之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:,guestone,。具体操作的时候只要选中帐户名改名就可以了,如图,11.3,所示。,11.2.1,保护帐号,3. 管理员帐号改名11.2.1 保护帐号,11.2.1,保护帐号,11.2.1 保护帐号,4.,建陷阱帐号,陷阱帐号是创建一个名为,“,Administrator,”,的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过,10,位的超级复杂密码。,这样可以让那些企图入侵者忙上一段时间了,并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成,Guests,组。密码为大于,32,位的数字字符符号密码,如图,11.4,所示。建立的陷阱帐号如图,11.5,所示。,11.2.1,保护帐号,4. 建陷阱帐号11.2.1 保护帐号,11.2.1,保护帐号,11.2.1 保护帐号,11.2.1,保护帐号,11.2.1 保护帐号,好的密码对于一个网络是非常重要的,但是也是最容易被忽略的。一些网络管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的字符做用户名,然后又把这些帐户的密码设置得比较简单,比如:,“,welcome,”,、,“,iloveyou,”,、,“,letmein,”,或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。,这里给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果得到了密码文档,必须花,43,天或者更长的时间才能破解出来,密码策略是,42,天必须改密码。,11.2.2,设置安全的密码,好的密码对于一个网络是非常重要的,但是也是最容易被忽略的。一,设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用,OpenGL,和一些复杂的屏幕保护程序,浪费系统资源,黑屏就可以了。将屏幕保护的选项,“,密码保护,”,选中就可以了,并将等待时间设置为最短时间,“,1,分钟,”,,如图,11.6,所示。,11.2.3,设置屏幕保护密码,设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要,计算机里通常安装有了些不必要的服务,如果这些服务没有用的话,最好能将这些服务关闭。例如:为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。,Windows,中可禁用的服务及其相关说明如表,11.1,所示。,11.2.4,关闭不必要的服务,计算机里通常安装有了些不必要的服务,如果这些服务没有用的话,,11.2.4,关闭不必要的服务,11.2.4 关闭不必要的服务,关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了。可以在操作系统里来限制端口的访问,如图,11.7,所示为从操作系统,TCP/IP,里限制端口,只开放,4,个端口。关于这一点,在前面网络后门与网络隐患一章中已经讲过了。,11.2.5,关闭不必要的端口,关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵,审核策略在默认的情况下都是没有开启的。打开,“,控制面板,”,“,管理工具,”,“,本地安全设置,”,“,审核策略,”,,如图,11.8,所示。,11.2.6,开启系统审核策略,审核策略在默认的情况下都是没有开启的。打开“控制面板”“,从图中可以看到,9,个审核策略都没有打开。最好将这些信息审核信息都打开。以便于以后出现安全事件的时候进行查找。双击要打开的审核策略选项,出现如图,11.9,所示的界面。,11.2.6,开启系统审核策略,从图中可以看到,9个审核策略都没有打开。最好将这些信息审核信,系统密码在默认的情况下都是没有开启的。打开,“,控制面板,”,“,管理工具,”,“,本地安全设置,”,“,审核策略,”,,如图,11.10,所示。,11.2.7,开启密码策略,系统密码在默认的情况下都是没有开启的。打开“控制面板”“管,11.2.7,开启密码策略,11.2.7 开启密码策略,系统帐户锁定策略在默认的情况下都是没有开启的。打开,“,控制面板,”,“,管理工具,”,“,本地安全设置,”,“,帐户锁定策略,”,,如图,11.11,所示。,11.2.8,开启帐户锁定策略,系统帐户锁定策略在默认的情况下都是没有开启的。打开“控制面板,11.2.8,开启帐户锁定策略,11.2.8 开启帐户锁定策略,下载操作系统最新的安全补丁可以下载一些工具如,奇虎,360,安全卫士等。打开奇虎,360,安全卫士软件主界面,选择,“,修复系统漏洞,”,选项,如图,11.12,:,11.2.9,下载最新的补丁,下载操作系统最新的安全补丁可以下载一些工具如,奇虎360安全,11.2.9,下载最新的补丁,11.2.9 下载最新的补丁,11.2.9,下载最新的补丁,11.2.9 下载最新的补丁,系统的共享为用户带来了众多麻烦,经常会有病毒通过共享来进入电脑。,Windows 2000/XP/2003,版本的操作系统提供了默认共享功能,这些默认的共享都有,“,$,”,标志,意为隐含的,包括所有的逻辑盘(,C$,,,D$,,,E$,)和系统目录,Winnt,或,Windows,(,admin$,)。,这些共享,可以在,DOS,提示符下输入命令,Net Share,查看,如图,11.15,所示。因为操作系统的,C,盘、,D,盘等全是共享的,这就给黑客的入侵带来了很大的方便。,“,震荡波,”,病毒的传播方式之一就是扫描局域网内所有带共享的主机,然后将病毒上传到上面。下面给大家介绍,5,种可以关闭操作系统共享的方法。,11.2.10,关闭系统默认共享,系统的共享为用户带来了众多麻烦,经常会有病毒通过共享来进入电,11.2.10,关闭系统默认共享,11.2.10 关闭系统默认共享,第一种方法,:,右键关系法。方法是打开,“,控制面板,”,“,管理工具,”,“,计算机管理,”,“,共享文件夹,”,“,共享,”,,在相应的共享文件夹上右击停止共享即可,如图,11.16,所示。,11.2.10,关闭系统默认共享,第一种方法: 右键关系法。方法是打开“控制面板”“管理工,但是细心的读者会发现,如果采用这种方法关闭共享,当用户重新启动计算机后,那些共享又会加上了,!,所以这种方法不能从根本上解决问题。,第二种方法:批处理法。打开记事本,输入以下内容(记得每行最后要回车):,net share ipc$ /delete,net share admin$ /delete,net share c$ /delete,net share d$ /delete,net share e$ /delete,(有几个硬盘分区就写几行这样的命令),将以上内容保存为,NotShare.bat,(注意后缀),然后把这个批处理文件拖到,“,程序,”,“,启动,”,项,这样每次开机就会运行它,也就是通过,net,命令关闭共享。如果哪一天需要开启某个或某些共享,只要重新编辑这个批处理文件即可(把相应的那个命令行删掉)。,11.2.10,关闭系统默认共享,但是细心的读者会发现,如果采用这种方法关闭共享,当用户重新启,第三种方法:注册表改键值法。,单击,“,开始,”,“,运行,”,输入,“,regedit,”,确定后,打开注册表编辑器,找到,“,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters,”,项,双击右侧窗口中的,“,AutoShareServer,”,项将键值由,1,改为,0,,这样就能关闭硬盘各分区的共享。如果没有,AutoShareServer,项,可自己新建一个再改键值。然后还是在这一窗口下再找到,“,AutoShareWks,”,项,也把键值由,1,改为,0,,关闭,admin$,共享。最后到,“,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa,”,项处找到,“,restrictanonymous,”,,将键值设为,1,,关闭,IPC$,共享。本方法必须重启机器才能生效,但一经改动就会永远停止共享。,11.2.10,关闭系统默认共享,第三种方法:注册表改键值法。11.2.10 关闭系统默认共享,第四种方法:停止服务法。这种方法最简单,打开,“,控制面板,”,的,“,计算机管理,”,窗口中,单击展开左侧的,“,服务和应用程序,”,并选中其中的,“,服务,”,,此时右侧就列出了所有服务项目。共享服务对应的名称是,“,Server,”,(在进程中的名称为,services,),找到后右击它,在弹出的菜单中选择,“,属性,”,,如图,11.17,所示。在弹出的,Server,属性界面当中选择,“,常规,”,标签,把,“,启动类型,”,由原来的,“,自动,”,更改为,“,已禁用,”,。然后单击下面,“,服务状态,”,的,“,停止,”,,再单击,“,确定,”,,如图,11.18,所示。这样,系统中所有的共享都会去掉了。,11.2.10,关闭系统默认共享,第四种方法:停止服务法。这种方法最简单,打开“控制面板”的“,11.2.10,关闭系统默认共享,11.2.10 关闭系统默认共享,11.2.10,关闭系统默认共享,11.2.10 关闭系统默认共享,第五种方法:卸载,“,文件和打印机共享,”,法。方法是右击,“,网上邻居,”,选,“,属性,”,,在弹出的,“,网络和拨号连接,”,窗口中右击,“,本地连接,”,选,“,属性,”,,从,“,此连接使用下列选定的组件,”,中选中,“,Microsoft,网络的文件和打印机共享,”,后,单击下面的,“,卸载,”,,再单击,“,确定,”,,如图,11.19,所示。,11.2.10,关闭系统默认共享,第五种方法:卸载“文件和打印机共享”法。方法是右击“网上邻居,11.2.10,关闭系统默认共享,11.2.10 关闭系统默认共享,注意:本方法最大的缺陷是当在某个文件夹上右击时,弹出的快捷菜单中的,“,共享,”,一项消失了,因为对应的功能服务已经被卸载了,以后如果再想用共享时,需要重新加载这个协议。,11.2.10,关闭系统默认共享,注意:本方法最大的缺陷是当在某个文件夹上右击时,弹出的快捷菜,黑客利用,TTL,(,Time-To-Live,,活动时间)值可以鉴别操作系统的类型,通过,Ping,指令能判断目标主机类型。,Ping,的用处是检测目标主机是否连通。,许多入侵者首先会,Ping,一下主机,因为攻击某一台计算机需要根据对方的操作系统是,Windows,还是,Unix,。如,TTL,值为,128,就可以认为系统为,Windows 2000,,如图,11.20,所示。,11.2.11,禁止,TTL,判断主机类型,黑客利用TTL(Time-To-Live,活动时间)值可以鉴,11.2.11,禁止,TTL,判断主机类型,11.2.11 禁止TTL判断主机类型,修改,TTL,的值,入侵者就无法入侵电脑了。比如将操作系统的,TTL,值改为,111,。方法是修改主键,HKEY_LOCAL_MACHINE,的子键:,SYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERS,中,defaultTTL,的键值。如果没有,则新建一个双字节项,defaultTTL,,如图,11.21,所示;然后将其值改为十进制的,111,,如图,11.22,所示。设置完毕,重新启动计算机,再用,Ping,指令,发现,TTL,的值已经被改成,111,了,如图,11.23,所示。,11.2.11,禁止,TTL,判断主机类型,修改TTL的值,入侵者就无法入侵电脑了。比如将操作系统的TT,11.2.11,禁止,TTL,判断主机类型,11.2.11 禁止TTL判断主机类型,如何安装一个电脑操作系统才是一个安全的操作系统呢?这是经常遇到的一个问题。安装一个安全的操作系统可以采用以下几步:,1.,拔掉网线。,2,安装操作系统。,3.,安装软件防火墙,如,Norton,防火墙、天网防火墙、瑞星防火墙等。,4.,安装防病毒软件,如,Norton,、瑞星、江民、金山等。,5.,安装防恶意软件的软件,如,360,安全卫士、瑞星的卡卡、超级兔子等。,6.,给操作系统进行安全设置,如添加审核策略,密码策略,对帐号进行管理等。,7.,插上网线。给操作系统打补丁。可以采用,360,安全卫士等软件来打补丁。,8.,更新防火墙、防病毒、防恶意软件。包括病毒库、恶意软件库等。,9.,安装,Easyrecovery,,数据恢复软件。关于,Easyrecovery,软件的使用,会在后面,19,章是讲解。,10.,安装其它操作系统的应用软件。,11.3,安装,Windows,操作系统注意事项,如何安装一个电脑操作系统才是一个安全的操作系统呢?这是经常,信息系统为什么会遭受黑客、病毒等的攻击呢?很多时候是因为没有对操作系统打补丁。作为信息系统的管理员来说,经常遇到的一个问题是如何一次性将电脑所有补丁都安装上,而不是使用互联网慢慢下载,一个一个安装呢?,建议大家使用,360,安全卫士。这个软件不但能查杀恶意软件和木马,还可以对操作系统打补丁。打开,360,安全卫士主界面,如图,11.24,所示。,11.4,给操作系统打补丁,信息系统为什么会遭受黑客、病毒等的攻击呢?很多时候是因为没,11.4,给操作系统打补丁,11.4 给操作系统打补丁,11.4,给操作系统打补丁,11.4 给操作系统打补丁,选择要修复的漏洞,并点击,“,修复选中漏洞,”,。这样,360,安全卫士就可以自动从互联网上下载最新的安全漏洞并安装。下载的漏洞补丁保存在,360,安装目录下的,hotfix,文件夹当中。通常是,“,C:Program Files360safehotfix,”,里面。如图,11.26,所示。,11.4,给操作系统打补丁,选择要修复的漏洞,并点击“修复选中漏洞”。这样360安全卫,11.4,给操作系统打补丁,11.4 给操作系统打补丁,如果想一次性给另外一台计算机上打补丁,只需要将本机上,hotfix,文件夹当中的文件复制到另外一台计算机安装,360,安全卫士的,hotfix,文件夹里,再运行,360,安全卫士,安装补丁就行了。,11.4,给操作系统打补丁,如果想一次性给另外一台计算机上打补丁,只需要将本机上hotf,1.,如何保护系统帐号安全?,2.,如何保证操作系统密码安全?,3.,如何删除操作系统中多余的共享?,4.,如何在操作系统中封掉一些不用的端口?,5.,如果安装一个安全的操作系统?,6.,如何一次性给一台新的计算机安装所有漏洞补丁?,思考题,1. 如何保护系统帐号安全?思考题,返回,Thanks For Attendance!,致 谢,返回Thanks For Attendance!致 谢,
展开阅读全文