Windows系统的安全加固.docx
- 文档编号:7980744
- 上传时间:2023-01-27
- 格式:DOCX
- 页数:10
- 大小:25.50KB
Windows系统的安全加固.docx
《Windows系统的安全加固.docx》由会员分享,可在线阅读,更多相关《Windows系统的安全加固.docx(10页珍藏版)》请在冰豆网上搜索。
Windows系统的安全加固
Windows系统的安全加固
一、操作系统安全隐患分析
(一)安装隐患
在一台服务器上安装Windows2003Server操作系统时,主要存在以下隐患:
1、将服务器接入网络内安装。
Windows2000Server操作系统在安装时存在一个安全漏洞,当输入Administrator密码后,系统就自动建立了ADMIN$的共享,但是并没有用刚刚输入的密码来保护它,这种情况一直持续到再次启动后,在此期间,任何人都可以通过ADMIN$进入这台机器;同时,只要安装一结束,各种服务就会自动运行,而这时的服务器是满身漏洞,计算机病毒非常容易侵入。
因此,将服务器接入网络内安装是非常错误的。
2、操作系统与应用系统共用一个磁盘分区。
在安装操作系统时,将操作系统与应用系统安装在同一个磁盘分区,会导致一旦操作系统文件泄露时,攻击者可以通过操作系统漏洞获取应用系统的访问权限,从而影响应用系统的安全运行。
3、采用FAT32文件格式安装。
FAT32文件格式不能限制用户对文件的访问,这样可以导致系统的不安全。
4、采用缺省安装。
缺省安装操作系统时,会自动安装一些有安全隐患的组件,如:
IIS、DHCP、DNS等,导致系统在安装后存在安全漏洞。
5、系统补丁安装不及时不全面。
在系统安装完成后,不及时安装系统补丁程序,导致病毒侵入。
(二)运行隐患
在系统运行过程中,主要存在以下隐患:
1、默认共享。
系统在运行后,会自动创建一些隐藏的共享。
一是C$D$E$每个分区的根共享目录。
二是ADMIN$远程管理用的共享目录。
三是IPC$空连接。
四是NetLogon共享。
五是其它系统默认共享,如:
FAX$、PRINT$共享等。
这些默认共享给系统的安全运行带来了很大的隐患。
2、默认服务。
系统在运行后,自动启动了许多有安全隐患的服务,如:
Telnetservices、DHCPClient、DNSClient、Printspooler、RemoteRegistryservices(选程修改注册表服务)、SNMP Services、TerminalServices等。
这些服务在实际工作中如不需要,可以禁用。
3、安全策略。
系统运行后,默认情况下,系统的安全策略是不启作用的,这降低了系统的运行安全性。
4、管理员帐号。
系统在运行后,Administrator用户的帐号是不能被停用的,这意味着攻击者可以一遍又一遍的尝试猜测这个账号的口令。
此外,设置简单的用户帐号口令也给系统的运行带来了隐患。
5、页面文件。
页面文件是用来存储没有装入内存的程序和数据文件部分的隐藏文件。
页面文件中可能含有一些敏感的资料,有可能造成系统信息的泄露。
6、共享文件。
默认状态下,每个人对新创建的文件共享都拥有完全控制权限,这是非常危险的,应严格限制用户对共享文件的访问。
7、Dump文件。
Dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。
然而,它也能够给攻击者提供一些敏感信息,比如一些应用程序的口令等,造成信息泄露。
8、WEB服务。
系统本身自带的IIS服务、FTP服务存在安全隐患,容易导致系统被攻击。
二、操作系统安全隐患对策
(一)安装对策
在进行系统安装时,采取以下对策:
1、在完全安装、配置好操作系统,给系统全部安装系统补丁之前,一定不要把机器接入网络。
2、在安装操作系统时,建议至少分三个磁盘分区。
第一个分区用来安装操作系统,第二分区存放IIS、FTP和各种应用程序,第三个分区存放重要的数据和日志文件。
3、采用NTFS文件格式安装操作系统,可以保证文件的安全,控制用户对文件的访问权限。
4、在安装系统组件时,不要采用缺省安装,删除系统缺省选中的IIS、DHCP、DNS等服务。
5、在安装完操作系统后,应先安装在其上面的应用系统,后安装系统补丁。
安装系统补丁一定要全面。
6、做系统的ghost以备还原。
(二)运行对策
在系统运行时,采取以下对策:
1、加强对Administrator帐号和Guest帐号的管理监控
将Administrator帐号重新命名,创建一个陷阱账号,名为"Administrator",口令为10位以上的复杂口令,其权限设置成最低,即:
将其设为不隶属于任何一个组,并通过安全审核,借此发现攻击者的入侵企图。
设置2个管理员用账号,一个具有一般权限,用来处理一些日常事物;另一个具有Administrators权限,只在需要的时候使用。
修改Guest用户口令为复杂口令,并禁用GUEST用户帐号。
2、关闭系统默认共享
WindowsServer2003安装好后,系统会创建一些隐藏的共享,可以在CMD下键入"netshare"查看。
通常我们并不需要这样的共享方式,以下方法可以禁止或删除这些共享以确保安全。
2.1批处理自启动法
打开记事本,输入或复制以下内容:
@echooff
netshareipc$/delete
netshareadmin$/delete
netsharec$/delete
netshared$/delete
netsharee$/delete
……(你有几个硬盘分区就写几行这样的命令,此行切勿复制。
)
保存为NotShare.bat(注意后缀!
)存放到系统文件夹下System32/GroupPolicy/Users/Scripts/Logon目录下,运行----gpedit.msc----用户配置----Windows设置----脚本(登录/注销)----登录,在"登录属性"窗口单击"添加",会出现"添加脚本"对话框,"脚本名"选择文件"NotShare.bat",并确定。
这样每次开机就会运行它,也就是通过net命令关闭共享。
如果哪一天你需要开启某个或某些共享,只要重新编辑这个批处理文件即可(把相应的那个命令行删掉)。
2.2注册表改键值法
"开始"→"运行"输入"regedit"确定后,打开注册表编辑器,找到"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters"项,双击右侧窗口中的"AutoShareServer"项将键值由1改为0,这样就能关闭硬盘各分区的共享。
如果没有AutoShareServer项,可自己新建一个再改键值。
然后还是在这一窗口下再找到"AutoShareWks"项,也把键值由1改为0,关闭admin$共享。
最后到"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa"项处找到"restrictanonymous",将键值设为1,关闭IPC$共享。
注意:
本法必须重启机器,但一经改动就会永远停止共享。
2.3停止服务法
在"计算机管理"窗口中,单击展开左侧的"服务和应用程序"并选中其中的"服务",此时右侧就列出了所有服务项目。
共享服务对应的名称是"Server"(在进程中的名称为services),找到后双击它,在弹出的"常规"标签中把"启动类型"由原来的"自动"更改为"已禁用"。
然后单击下面"服务状态"的"停止"按钮,再确认一下就OK了。
2.4卸载"文件和打印机共享"法
右击"网上邻居"选"属性",在弹出的"网络和拨号连接"窗口中右击"本地连接"选"属性",从"此连接使用下列选定的组件"中选中"Microsoft网络的文件和打印机共享"后,单击下面的"卸载"按钮并确认一下。
注意:
本方法最大的缺陷是当你在某个文件夹上右击时,弹出的快捷菜单中的"共享"一项消失了,因为对应的功能服务已经被卸载掉了!
虽然 " 文件和打印共享 " 关闭了,但是还不能确保安全,还要修改注册表,禁止它人更改 " 文件和打印共享 " 。
打开注册表编辑器,选择 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NetWork" 主键,在该主键下新建 DWORD 类型的键值,键值名为 "NoFileSharingControl" ,键值设为 "1" 表示禁止这项功能,从而达到禁止更改 " 文件和打印共享 " 的目的;键值为 "0" 表示允许这项功能。
这样在 " 网络邻居 " 的 " 属性 " 对话框中 " 文件和打印共享 " 就不复存在了。
2.5软件法
当今许多杀毒软件或防火墙中都设计有"系统漏洞扫描功能",它们在扫描后的恢复功能往往有"关闭默认共享"的功能,如"瑞星"杀毒软件及防火墙,我们在安装好这些杀毒软件后,只要记得运行"漏洞扫描、恢复"即可。
3、设置远程可访问的注册表路径为空
将远程可访问的注册表路径设置为空,这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。
打开组策略编辑器,依次展开"计算机配置→Windows设置→安全设置→安全选项",在右侧窗口中找到"网络访问:
可远程访问的注册表路径"及"网络访问:
可远程访问的注册表路径和子路径",然后在打开的如图所的窗口中,将可远程访问的注册表路径和子路径内容全部删除。
4、开启防火墙,选择开放端口
查看端口:
在windows2000/xp/server2003中要查看端口,可以使用netstat命令:
依次点击"开始→运行",键入"cmd"并回车,打开命令提示符窗口。
在命令提示符状态下键入"netstat-a-n",按下回车键后就可以看到以数字形式显示的tcp和udp连接的端口号及状态。
netstat命令用法
命令格式:
netstat-a-e-n-o-s
∙-a表示显示所有活动的tcp连接以及计算机监听的tcp和udp端口。
∙-e表示显示以太网发送和接收的字节数、数据包数等。
∙-n表示只以数字形式显示所有活动的tcp连接的地址和端口号。
∙-o表示显示活动的tcp连接并包括每个连接的进程id(pid)。
∙-s表示按协议显示各种连接的统计信息,包括端口号。
5、建立安全日志,并将安全日志移位。
----可以使服务器在受到恶意攻击后保留可靠的证据。
5.1自动备份安全日志
对于启用了安全审核策略的服务器,日常产生的审核日志记录都会写入到安全事件日志中,因此安全日志文件大小上限需要适当调大(因为事件日志使用的是内存缓存空间,因此也不能任意调大,通常250M以下是比较安全的),另外我们可以使用如下方法设定安全日志的自动备份:
∙在服务器上使用管理员身份登录后, 运行regedit打开注册表编辑器;
∙在以下路径创建DWORD值AutoBackupLogFiles并设置其值为1;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security
∙运行eventvwr打开事件查看器;
∙右击安全事件日志,选中"Donotoverwriteevents(clearlogmanually)"选项;
∙在安全事件日志属性页, 选择"Clearallevents", 在随后的"Doyouwanttosavethe"security "beforeclearingit?
"对话框中, 选择"YES"备份现有安全日志记录;
至此, 该自动备份安全事件日志的设置将生效; 当下一次该日志满时, 该日志文件将会被自动备份到安全事件日志文件SecEvent.evt所在的默认路径%SystemRoot%\System32\Config下, 文件名为Archive-Security-YYYY-MM-DD-HH-MM-SSS-mmm.evt, 并且在安全日志中新增一条524日志记录, 描述为"TheSecuritylogfilewassavedasSecurity-2002-02-05-22-48-40-042.evtbecausethecurrentlogfileisfull. ".
注意:
∙只有当系统重启或是事件日志被清空后,AutoBackupLogFiles键值的改变才会生效;
∙该事件日志属性中必须配置为Donotoverwriteevents(clearlogmanually).
∙需要使用脚本或手工定期将%SystemRoot%\System32\Config下的名为Archive-Security-YYYY-MM-DD-HH-MM-SSS-mmm.evt的日志备份文件迁移到非系统分区上, 以避免长期积累导致系统分区剩余空间不足;或者也可以更改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security路径下File字串所指定的路径,使得日志文件以及其备份被存放在空间较大的数据分区上,该路径的更改需要重启服务器(因EventLog服务是不能单独重启的).
∙该方法在Windows2003/Windows2000/WindowsXP上均可用。
5.2对安全日志进行移位
对事件日志移位能做到对系统系统很好的保护,移位虽是一种保护方法,但只要在命令行输入dirc:
\*.evt/s,(Windows7后缀名为*.evts)一下就可查找到事件日志位置,再删除可容易了,那怎么办呢?
其实日志移位要通过修改注册表来完成,找到注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog下面的Application、Security、System几个子键,分别对应"应用程序日志"、"安全日志"、"系统日志"。
如何修改呢?
下面我们具体来看看Application子键:
File项就是"应用程序日志"文件存放的位置,把此键值改为要存放日志文件的文件夹,我们再把%systemroot%\system32\config\appevent.evt文件拷贝到此文件夹,再重启机器就可以了。
在此介绍移位的目的是为了充分利用Windows2000在NTFS格式下的"安全"属性,如果不移位也无法对文件进行安全设置操作,右击移位后的"文件夹选择属性",进入"安全"选项卡,不选择"允许将来自父系的可继承权限传播给该对象",添加"System"组,分别给Everyone组"读取"权限,System组选择除"完全控制"和"修改"的权限。
然后再将系统默认的日志文件512KB大小改为你所想要的大小,如20MB。
进行了上面的设置后,直接通过DelC:
\*.Evt/s/q来删除是删不掉的,相对要安全很多了。
6、关闭ICMP
6.1用高级设置法预防Ping
默认情况下,所有Internet控制消息协议(ICMP)选项均被禁用。
如果启用ICMP选项,您的网络将在Internet中是可视的,因而易于受到攻击。
如果要启用ICMP,必须以管理员或Administrators组成员身份登录计算机,右击"网上邻居",在弹出的快捷菜单中选择"属性"即打开了"网络连接",选定已启用Internet连接防火墙的连接,打开其属性窗口,并切换到"高级"选项页,点击下方的"设置",这样就出现了"高级设置"对话窗口,在"ICMP"选项卡上,勾选希望您的计算机响应的请求信息类型,旁边的复选框即表启用此类型请求,如要禁用请清除相应请求信息类型即可。
6.2启用IP安全策略防Ping
IP安全机制(IPSecurity)即IPSec策略,用来配置IPSec安全服务。
这些策略可为多数现有网络中的多数通信类型提供各种级别的保护。
您可配置IPSec策略以满足计算机、应用程序、组织单位、域、站点或全局企业的安全需要。
可使用WindowsXP中提供的"IP安全策略"管理单元来为ActiveDirectory中的计算机(对于域成员)或本地计算机(对于不属于域的计算机)定义IPSec策略。
在此以WINDOWSXP为例,通过"控制面板"—"管理工具"来打开"本地安全策略",选择IP安全策略,在这里,我们可以定义自己的IP安全策略。
一个IP安全过滤器由两个部分组成:
过滤策略和过滤操作。
要新建IP安全过滤器,必须
新建自己的过滤策略和过滤操作,右击窗口左侧的"IP安全策略,在本地机器",在弹出的快捷菜单中选择"创建IP安全策略",单击"下一步",然后输入策略名称和策略描述。
单击"下一步",选中"激活默认响应规则"复选项,单击"下一步"。
开始设置响应规则身份验证方式,选中"此字符串用来保护密钥交换(预共享密钥)"选项,然后随便输入一些字符(后面还会用到这些字符的),单击"下一步",就会提示已完成IP安全策略,确认选中了"编辑属性"复选框,单击"完成"按钮,会打开其属性对话框。
接下来就要进行此新建安全策略的配置。
在"GoodbyePing属性"对话窗口的"规则"选项页中单击"添加"按钮,并在打开安全规则向导中单击"下一步"进行隧道终结设置,在这里选择"此规则不指定隧道"。
单击"下一步",并选择"所有网络连接"以保证所有的计算机都Ping不通。
单击"下一步",设置身份验证方式,与上面一样选择第三个选项"此字符串用来保护密钥交换(预共享密钥)"并填入与刚才上面相同的内容。
单击"下一步"即打开"IP筛选器列表"窗口,在"IP筛选器列表"中选择"新IP筛选器列表",单击右侧的"编辑",在出现的窗口中点击"添加",单击"下一步",设置"源地址"为"我的IP地址",单击"下一步",设置"目标地址"为"任何IP地址",单击"下一步",选择协议类型为ICMP,单击"完成"后再点"确定"返回如图9的窗口,单击"下一步",选择筛选器操作为"要求安全"选项,然后依次点击"下一步"、"完成"、"确定"、"关闭"按钮保存相关的设置返回管理控制台。
最后在"本地安全设置"中右击配置好的"GoodbyePing"策略,在弹出的快捷菜单中选择"指派"命令使配置生效。
经过上面的设置,当其他计算机再Ping该计算机时,就不再Ping通了。
但如果自己Ping本地计算机,仍可Ping通。
在Windows2000中操作基本相同。
7、磁盘权限设置
7.1打开Windows资源管理器。
找到系统中重要的文件或目录(比如:
Windows目录、数据目录)右键单击其相应的文件或文件夹,单击"属性",然后单击"安全"选项卡。
给予与管理员(Administrators)完全控制权限,给予数据拥有者(CREATOROWNER)完全控制或配置特别的权限,对于需要使用文件或文件夹的用户和组,一般只赋予"读取和运行"、"列出文件夹目录"及"读取"权限。
对于EVERYONE用户,应清除不需要的"允许"复选框,避免赋予"完全控制"权限。
如:
C:
\ProgramFiles\CommonFiles----开放Everyone 默认的读取及运行列出文件目录读取三个权限;C:
\WINDOWS\----开放Everyone 默认的读取及运行列出文件目录读取三个权限;C:
\WINDOWS\Temp----开放Everyone修改,读取及运行,列出文件目录,读取,写入权限。
7.2打开c:
\windows搜索:
∙net.exe:
工作组连接安装程序;
∙cmd.exe:
Windows 命令提示符;
∙netstat.exe:
显示活动的TCP连接、计算机侦听的端口、以太网统计信息、IP 路由表、IPv4统计信息以及IPv6统计信息的程序。
使用时如果不带参数,netstat显示活动的TCP连接;
∙regedit.exe:
Windows注册表编辑器程序,用于察看和更改系统注册表设置;
∙at.exe:
该文件又是系统/程序正常运行的前提条件, 计划运行任务;
∙cacls.exe:
显示和编辑ACL;访问控制列表(AccessControlList,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
∙regsvr32.exe:
用于注册Windows操作系统的动态链接库和ActiveX控件;
∙xcopy.exe:
该命令在"COPY"的基础上进行了加强,能够对多个子目录进行拷贝。
∙wscript.exe:
脚本相关支持程序,全称"WindowsScriptingHost",它所对应的程序"wscript.exe"是一个脚本语言解释器;
∙cscript.exe:
Win32控制台程序在运行脚本时需要启用cscript.exe来寻找和连接脚本的运行库,最常见的有VBScript和JavaScript;
∙ftp.exe:
FileTransferProtocol(文件传输协议),用于Internet上的控制文件的双向传输。
同时,它也是一个应用程序(Application);
∙tftp.exe:
TrivialFileTransferProtocol,简单文件传输协议,与FTP协议很类似,其实两者都是用来传输文件,但不同的是,TFTP较FTP在传输文件体积方面要小得多,比较适合在需要传送的小体积文件。
在CMD下输入以下命令:
ntsd-cq-pntftp.exe即可关闭tftp.exe;
∙telnet.exe:
TCP/IP协议族中的一员,是Internet远程登陆服务的标准协议和主要方式。
它为用户提供了在本地计算机上完成远程主机工作的能力。
在终端使用者的电脑上使用telnet程序,用它连接到服务器;
∙arp.exe:
一个管理网卡底层物理地址的程序;显示和更改计算机的IP与硬件物理地址的对应列表;
∙ping.exe:
一个测试程序,用来查找问题所在或检验网络运行情况,如果运行正确,则基本的连通性和配置参数没有问题;如果出现运行故障,可以指明到何处去查找问题;
∙route.exe:
控制网络路由表。
该命令只有在安装了 TCP/IP 协议后才可以使用;
∙finger.exe:
显示与指定主机上所有用户有关的信息;;
∙runonce.exe:
它允许安装程序添加到启动项中,用于再次启动后,进行进一步配置;
∙syskey.exe:
作用是保护操作系统的SAM数据库,用户的用户名,密码等信息都储存在Windows\System32\config文件夹下的SAM数据库内;
∙format.exe:
可以完成对软盘和硬盘的格式化操作,例如:
"FORMATA:
/S"。
它有两个常见的参数:
/Q:
进行快速格式化;/S:
完成格式化,并将系统引导文件拷贝到该磁盘;
∙attrib.exe:
显示和更改文件和文件夹属性的DOS命令;
修改权限,删除所有的用户只保存Administrators和SYSTEM为所有权限。
8、删除网络协议中的NWLinkNetBIOS协议,NWLinkIPX/SPX/NetBIOS协议,NeBEUIPROtocol协议和服务等,只保留TCP/IP网络通讯协议。
9、关闭不必要的有安全隐患的服务,及时更新补丁。
用户可以根据实际情况,停止并禁用如:
Telnetservices、DHCPClient、DNSClient、Printspooler、RemoteRegistryservices、SNMP Services、TerminalServices、Workstation、Messenger、ClipBoo
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Windows 系统 安全 加固