《系統(tǒng)安全配置》PPT課件.ppt
Windows 系統(tǒng)安全配置,Windows操作系統(tǒng)安全配置,NTFS分區(qū) 把服務器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多 確認分區(qū) 進入DOS 輸入命令:chkntfs 盤符,Windows系統(tǒng)安全措施初級篇,NTFS分區(qū) 轉(zhuǎn)換分區(qū)(將FNT分區(qū)轉(zhuǎn)換為NTFS分區(qū)) 進入DOS 輸入命令:convert 盤符 /fs:ntfs,Windows系統(tǒng)安全措施初級篇,操作系統(tǒng)安全策略 利用Windows安全配置工具配置安全策略 管理工具本地安全策略,Windows系統(tǒng)安全措施中級篇,關(guān)閉不必要的端口 C:windowssystem32driversetcservices 具體操作見另外文檔,開啟審核策略 安全審核是Windows最基本的入侵檢測方法。當有人嘗試對系統(tǒng)進行某種方式入侵時,都會被安全審核記錄下來 表中所列審核是必須開啟的,其他的可以根據(jù)需要增加,Windows系統(tǒng)安全措施中級篇,開啟審核策略,Windows系統(tǒng)安全措施中級篇,開啟審核策略,Windows系統(tǒng)安全措施中級篇,開啟密碼策略 密碼對系統(tǒng)安全非常重要。本地安全設置中密碼策略在默認情況下均未開啟,Windows系統(tǒng)安全措施中級篇,開啟密碼策略 密碼對系統(tǒng)安全非常重要。本地安全設置中密碼策略在默認情況下均未開啟,Windows系統(tǒng)安全措施中級篇,開啟帳戶密碼 開啟帳戶策略可有效的防止字典式攻擊,Windows系統(tǒng)安全措施中級篇,開啟帳戶密碼 開啟帳戶策略可有效的防止字典式攻擊,Windows系統(tǒng)安全措施中級篇,不顯示上次登錄 默認情況下,終端服務接入服務器時,登陸對話框中會顯示上次登陸帳戶名。本地登陸對話框也是一樣 設置方法:管理工具本地安全策略本地策略安全選項登錄屏幕上不顯示上次登錄的用戶名已啟用確定,Windows系統(tǒng)安全措施中級篇,不顯示上次登錄 默認情況下,終端服務接入服務器時,登陸對話框中會顯示上次登陸帳戶名。本地登陸對話框也是一樣 設置方法:管理工具本地安全策略本地策略安全選項登錄屏幕上不顯示上次登錄的用戶名已啟用確定,Windows系統(tǒng)安全措施中級篇,不顯示上次登錄 修改注冊表禁止顯示上次登錄名 在HKEY_LOCAL_MACHINE主鍵下修改子鍵:SoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName,將數(shù)值數(shù)據(jù)改成1,Windows系統(tǒng)安全措施中級篇,不顯示上次登錄 修改注冊表禁止顯示上次登錄名,Windows系統(tǒng)安全措施中級篇,不顯示上次登錄 修改注冊表禁止顯示上次登錄名,Windows系統(tǒng)安全措施中級篇,不顯示上次登錄 修改注冊表禁止顯示上次登錄名,Windows系統(tǒng)安全措施中級篇,輸入1,不顯示上次登錄 如果在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon中無DontDisplayLastUserName,則創(chuàng)建一個,并將數(shù)值數(shù)據(jù)置為1 方法,右擊鼠標新建字符串 在項中輸入相應名 用前面方法修改數(shù)值數(shù)據(jù)為1,禁止建立空連接 默認情況下,任何用戶通過空連接連上服務器,可以枚舉出帳號,猜測密碼 可通過修改注冊表來禁止建立空連接 在HKEY_LOCAL_MACHINE主鍵下修改子鍵:SystemCurrentControlSetControlLSARestrictAnonymous,將鍵值改成“1”,Windows系統(tǒng)安全措施中級篇,禁止建立空連接,Windows系統(tǒng)安全措施中級篇,關(guān)閉默認共享 Windows安裝后,系統(tǒng)會創(chuàng)建一些隱藏的共享,可以在DOS提示符下輸入命令Net Share 查看,Windows系統(tǒng)安全措施高級篇,關(guān)閉共享 關(guān)閉139、445端口 安裝防火墻,設置端口過濾 給計算機的重要帳戶設置復雜密碼(15,大小寫字母符號),如何防范IPC$入侵,關(guān)閉默認共享 停止默認共享方法:管理工具計算機管理共享文件夾共享,在相應的共享文件夾上按右鍵,點停止共享,Windows系統(tǒng)安全措施高級篇,關(guān)閉默認共享,關(guān)閉默認共享,方法四:停止服務法 (最簡單的方式) 在彈出的“常規(guī)”標簽中把“啟動類型”由原來的“自動”更改為“已禁用”。然后單擊下面“服務狀態(tài)”的“停止”按鈕 確認,關(guān)閉默認共享,關(guān)閉默認共享,關(guān)閉默認共享,關(guān)閉默認共享,關(guān)閉默認共享,關(guān)閉默認共享,關(guān)閉默認共享,139端口可以通過NBT來屏蔽,屏蔽139端口,禁用Dump文件 在系統(tǒng)崩潰和藍屏的時候,Dump文件是一份很有用資料,可以幫助查找問題。然而,也能夠給黑客提供一些敏感信息,比如一些應用程序的密碼等 禁止方法:控制面板系統(tǒng)高級啟動和故障恢復,把寫入調(diào)試信息改成無,Windows系統(tǒng)安全措施高級篇,鎖住注冊表 在Windows2000中,只有Administrators和Backup Operators才有從網(wǎng)絡上訪問注冊表的權(quán)限。當帳號的密碼泄漏以后,黑客也可以在遠程訪問注冊表,當服務器放到網(wǎng)絡上的時候,一般需要鎖定注冊表,Windows系統(tǒng)安全措施高級篇,鎖住注冊表 方法:修改Hkey_current_user下的子鍵:SoftwaremicrosoftwindowscurrentversionPoliciessystem 。把DisableRegistryTools的值改為0,類型為DWORD,Windows系統(tǒng)安全措施高級篇,鎖住注冊表,Windows系統(tǒng)安全措施高級篇,禁止判斷主機類型 黑客利用TTL(Time-To-Live,活動時間)值可以鑒別操作系統(tǒng)的類型,通過Ping指令能判斷目標主機類型 Ping的用處是檢測目標主機是否連通,Windows系統(tǒng)安全措施高級篇,禁止判斷主機類型 許多入侵者首先會Ping一下主機,因為攻擊某一臺計算機需要根據(jù)對方的操作系統(tǒng),是Windows還是Unix。如過TTL值為128就可以認為你的系統(tǒng)為Windows 2000,Windows系統(tǒng)安全措施高級篇,禁止判斷主機類型,Windows系統(tǒng)安全措施高級篇,禁止判斷主機類型,Windows系統(tǒng)安全措施高級篇,禁止判斷主機類型 修改TTL值,入侵者就無法入侵了 比如將操作系統(tǒng)的TTL值改為111,改主鍵HKEY_LOCAL_MACHINE的子鍵:SYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERS,Windows系統(tǒng)安全措施高級篇,regedit.exe,禁止判斷主機類型 設置完畢重新啟動計算機 用Ping指令,發(fā)現(xiàn)TTL值已被改成111,Windows系統(tǒng)安全措施高級篇,禁止Guest訪問日志 在默認安裝的Windows NT和Windows 2000中,Guest帳號和匿名用戶可以查看系統(tǒng)的事件日志,可能導致許多重要信息的泄漏,修改注冊表來禁止Guest訪問事件日志 禁止Guest訪問應用日志,Windows系統(tǒng)安全措施高級篇,禁止Guest訪問日志 禁止Guest訪問應用日志 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplication 下添加鍵值名稱為:RestrictGuestAccess ,類型為:DWORD,將值設置為1,Windows系統(tǒng)安全措施高級篇,禁止Guest訪問日志 系統(tǒng)日志 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSystem下添加鍵值名稱為:RestrictGuestAccess,類型為:DWORD,將值設置為1,Windows系統(tǒng)安全措施高級篇,禁止Guest訪問日志 安全日志 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSecurity下添加鍵值名稱為:RestrictGuestAccess,類型為:DWORD,將值設置為1,Windows系統(tǒng)安全措施高級篇,