计算机网络安全讲义.ppt

计算机网络安全讲义 第二讲 系统加固的方法 什么是系统加固 系统安全加固是指通过一定的技术手段 提高操作系统的主机安全性和抗攻击能力 通过打补丁 修改安全配置 增加安全机制等方法 合理进行安全性加强 常见手段有 密码系统安全增强 访问控制策略和工具 远程维护的安全性 文件系统完整性审计 增强的系统日志分析 系统加固和你们家的防盗是类似的 开尽量少的入口 堵住所有的洞加尽可能多 尽可能强的锁发最少的钥匙加强巡查 及时发现问题请保安 开尽量少的入口 一个功能越复杂的产品 出问题的概率越大 我们必需记住 简单才是美的一台安全的计算机 其功能应该恰恰满足它功能需求 即不少 也不多 安全是有副作用的 偶尔会让你觉得不方便 我们讲的这些内容其实主要是针对服务器的 关闭服务的方法 开始菜单 设置 控制面板 管理工具 服务直接运行services msc 关闭不必要的服务 Windows系统会提供给用户大量的服务 实际上很多服务是很少用到的 它只是给攻击者提供了一个通道而已 把不需要的服务停掉会带来两个好处 第一是提高了安全性 第二是可以提高你的机器的性能 必需停止的服务 remoteregistry远程注册表服务 允许用户通过网络修改注册表NetMeetingRemoteDesktop允许受权的用户通过NetMeeting在网络上互相访问对方 上网时该服务会把用户名以明文形式发送到连接它的客户端 黑客的嗅探程序很容易就能探测到这些账户信息 必需停止的服务 WindowsMessengerservice 俗称信使服务 电脑用户在局域网内可以利用它进行资料交换 传输客户端和服务器之间的NetSend和Alerter服务消息 垃圾邮件和垃圾广告厂商 也经常利用该服务发布弹出式广告 标题为 信使服务 而且这项服务有漏洞 MSBlast和Slammer病毒就是用它来进行快速传播的 必需停止的服务 PerformanceLogsAndAlerts 收集本地或远程计算机基于预先配置的日程参数的性能数据 然后将此数据写入日志或触发警报 为了防止被远程计算机搜索数据 坚决禁止它RemoteDesktopHelpSessionManager 如果此服务被终止 远程协助将不可用 必需停止的服务 terminalservices允许多位用户连接并控制一台机器 并且在远程计算机上显示桌面和应用程序如果你用到xp的远程控制功能 那么就需要保留该服务 否则可以禁止它 clipbook启用 剪贴板查看器 储存信息并与远程计算机共享 必需停止的服务 fastuserswitchingcompatibility为在多用户下需要协助的应用程序提供管理SimpleFileSharing简单文件共享如果一台计算机并不是微软Windows域的一部分 默认情况下所有的文件共享是可以从任何地方访问的 必需停止的服务 Telnet 远程登录 远程登录服务是一项很老的机制 可以提供对一台计算机的远程访问 现在 很少使用telnet远程管理一个系统 取而代之的是一种加密协议即SSH 因此完全可以禁用远程登录 不需要别打开的服务 IIS 微软的互联网信息服务 IIS 提供了将用户的计算机变成一个Web服务器的能力 这项服务可以通过以下方法关闭之 打开 控制面板 找到 添加或删除程序 单击 添加 删除Windows组件 取消选择 Internet信息服务 IIS 即可 不需要别打开的服务 UniversalPlugandPlayDeviceHost 即前面所说的 通用即插即用设备主机 服务 虽然许多用户在系统中安装了这项服务 其实并不太实用SSDP发现服务 也称为简单服务发现服务 这种服务用于发现网络上的UpnP设备 通用即插即用设备主机UniversalPlugandPlayDeviceHost 需要这项服务 不需要别打开的服务 TCP IPNetBIOSHelper对于不需要文件和打印共享的用户 此项也可以禁用PrintSpooler 将文件加载到内存中以便稍后打印 如果没装打印机 可以禁用UninterruptiblePowerSupply 管理连接到计算机的不间断电源 没有安装UPS的用户可以禁用 不需要别打开的服务 smartcard管理计算机对智能卡的取读访问ImapiCd burningComService 用Imapi管理CD录制 虽然WinXP中内置了此功能 但是我们大多会选择专业刻录软件 另外如果没有安装刻录机的话 也可以禁止该服务 关闭以提高性能的服务 indexingservice本地和远程计算机上文件的索引内容和属性 提供文件快速访问这项服务对个人用户没有多大用处 而启用后往往会占用很多cpu资源 所以禁止 关闭以提高性能的服务 applicationlayergatewayservice为internet连接共享和internet连接防火墙提供第三方协议插件的支持如果你没启用internet连接共享或windowsxp内置防火墙 可以禁止这个服务 启用自动更新功能 Windows总是有数不清的漏洞大部分攻击都是 拳打不识 微软一般会在大多数人学会利用漏洞前发布补丁 所以启用自动更新可以尽可能的修好你家的栅栏开始菜单 设置 控制面板 自动更新 尽量减少共享 不是必需的话不要共享文件 不要使用简单共享打开任意一个文件夹 选择工具 文件夹 查看 高级选项 去掉简单共享上的钩再共享文件时就有了安全选项 取消默认共享 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services LanmanServer Parameters修改键AutoShareServer 类型为 REG DWORD 值为 0 2003serverpro为AutoShareWks 类型为 REG DWORD 值为 0 取消默认共享 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control LSA 的 RestrictAnonymous 项设置为1可以限制IPC HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services lanmanserver parameters中AutoShareWks设置为0可以禁用ADMIN 尽量减少用户 Administrator 系统管理员 有对计算机 域的完全访问控制权 2 BackupOperator 备份操作员 可以备份和还原计算机上的文件 而不论这些文件的权限如何 还可登录到计算机和关闭计算机 但不能更改安全性设置 3 Guest 客人 权限同受限用户 4 PowerUser 高级用户 权限同标准用户 5 Replicator 复制员 权限是在域内复制文件 6 User 普通用户 权限同受限用户 尽量减少用户 在开始 设置 控制面板 管理工具 计算机管理 本地用户和组 用户中禁用所有的用户 只留一个用于使用计算机的用户 改变管理员帐户名称 单击 开始 运行 在弹出的运行对话框中输入 gpedit msc 打开组策略编辑器 依次展开 Windows设置 安全设置 本地策略 安全选项 并将右边列表框下拉到最底下 双击 重命名系统管理员账户 即可更名了 禁用自动运行功能 单击 开始 运行 在 打开 框中 键入 gpedit msc 展开 计算机配置 管理模板 系统 然后在右窗格的 设置 标题下 双击 关闭自动播放 卸载除TCP IP以外的网络协议 应该安装尽量少的协议如果不需要在局域网上提供共享资源 那就只需要TCP IP协议 应此把其他的协议都卸载把选中网上邻居 右键选属性 把多余的协议删掉旧可以了 解除netbios和tcp ip的邦定 选中网上邻居 右键选属性 选中tcp ip选属性 选高级 wins 选中禁用tcp ip上的netbios 禁用不必要的端口 选中网上邻居 右键选属性 选中tcp ip选属性 选高级 选项 选中筛选器 点击属性可以打开tcp ip筛选器非常遗憾 tcp ip筛选器只能增加允许的端口而不能禁用端口 设置起来非常麻烦 我们有一个方法可以禁用端口 1 开始 控制面板 或者管理 管理工具 本地安全策略2 右击 Ip安全策略 在本地计算机 选择 管理IP筛选器表和筛选器操作 3 在 管理IP筛选器表 中 按 添加 按钮 禁用端口的方法 4 在名称 N 下面添上 禁止139端口 描述 D 也写上 禁止139端口 添加按扭 惦记下一步 在源地址 S 处选择下拉里的第二项 任何ip地址 下一步 禁用端口的方法 在目标地址 D 选上 我的ip地址 下一步 选择协议类型 S 把 任意 选改为 tcp 下一步 设置ip协议断口 选择到端口 O 添上你要禁止的端口 139 下一步 完成 禁用端口的方法 5 看完了吗 按确定按扭6 点击 管理筛选器操作 同4中的 点击 关闭 按扭 禁用端口的方法 9 右击 Ip安全策略 在本地计算机 选择 创建ip安全策略 同4中的 进入 为此安全规则设置初始身份验证方法 不管 点击下一步10 出现一个警告窗口 只有当这个规则在一台为域成员的计算机上Kerberos才有效 这台计算机不是一个域成员 您想继续并保留这些规则的属性吗 选择 是 禁用端口的方法 11 点击 完成 按扭12 常规 和 规则 点击 规则 点击 添加 按扭13 点击 下一步 一直下一步 出现一个同样的警告yes14 从ip筛选器列表 I 框中点上第一个 禁止139端口 前面的 成为 禁用端口的方法 15 同14 选择下一步 同7 出现 完成 按扭 点击完成 确定16 关闭属性筐17 右键点击右面窗口的 禁止139端口连接 指派 禁用端口的方法 这个方法其实也很麻烦 不如安个第三方的防火墙 那里面禁用端口容易的多应该禁用端口TCP135 139 445 593 1025TCP2745 3127 6129 3389UDP135 137 138 445 端口的作用 135为RPC通信提供一种服务端口的映射功能139端口是一种TCP端口 该端口在你通过网上邻居访问局域网中的共享文件或共享打印机时就能发挥作用445端口也是一种TCP端口 该端口在Windows2000Server或WindowsServer2003系统中发挥的作用与139端口是完全相同的 具体地说 它也是提供局域网中文件或打印机共享服务 端口的作用 593IPC开设的端口3389远程登录 强化密码管理 密码是计算机的锁 要想安全 必需设定有一定强度的密码我们可以通过安全策略来设定密码的要求 在控制面板 本地安全策略 帐户策略启用复杂性要求 复杂性要求下的密码设定 不能包含用户的帐户名 不能包含用户姓名中超过两个连续字符的部分至少有六个字符长包含以下四类字符中的三类字符 英文大写字母 A到Z 英文小写字母 a到z 10个基本数字 0到9 非字母字符 例如 在更改或创建密码时执行复杂性要求 其他的可以设置的内容 密码长度最小值密码最大存活期强制密码历史 帐户锁定策略 帐户锁定阈值此安全设置确定导致用户帐户被锁定的登录尝试失败的次数 在管理员重置锁定帐户或帐户锁定时间期满之前 无法使用该锁定帐户 可以将登录尝试失败次数设置为介于0和999之间的值 如果将值设置为0 则永远不会锁定帐户 帐户锁定时间 此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数 可用范围从0到99 999分钟 如果将帐户锁定时间设置为0 帐户将一直被锁定直到管理员明确解除对它的锁定 在此后复位帐户锁定计数器 此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为0次错误登录尝试之前需要的时间 可用范围是1到99 999分钟 强化审核策略 Windowsxp默认关闭所有的安全审核 所以你无法在安全日志中观察到入侵者的踪迹打开审核就像安装摄像头 你无法通过审核来阻止攻击 但至少可以察觉到攻击并且保留住他的一些信息 设置审核策略 在控制面板 本地安全策略 本地策略 审核策略下可以设置安全策略 审核策略 可以按如下内容设置审核策略账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败 可以在安全日志里检查这些行为 打开控制面板 事件查看器 安全日志 可以看到刚才的更改已经被记录了 最后一个问题 不管怎样设置 我们总是有这样那样的问题存在 安全隐患总是存在的所以还是安装第三方的安全防护软件比较好 安全软件的安装 个人机器安装防病毒软件安装上网保护软件服务器安装防病毒软件安装防火墙安装上网保护软件 别忘了给自己留条后路 你的计算机有可能会崩溃 会感染病毒 会硬件损坏 不管什么样的高手都无法回避这个问题对重要的数据要及时备份并保存到可靠的介质上 不要把备份放到同一台机器上 也可以使用系统还原这一类工具 这样就可以死里逃生 不要做的傻事 不保护就上网不升级安全软件安装和卸载大量程序 特别是测试版程序磁盘总是满满的并且非常凌乱 不要做的傻事 打开所有的附件点击所有链接共享所有文件从不备份简单极了的密码