cisp-2-windows系统安全(完整版)

　　

【正文】 lcache目录下备份的文件还原。 1这个值是只允许非 NULL用户存取 SAM账号信息和共享信息。  使用专门的安全工具 微软的 IIS安全设置工具： IIS Lock Tool；是针对 IIS的漏洞设计的，可以有效设置 IIS安全属性。 • 单击“主目录”选项卡。如果您不使用 Intra 或如果将服务器连接到 Web 上，则应将其删除。请注意一些示例安装，它们只可从 或 访问；但是，它们仍应被删除。 itsec 管理员权限配置  重命名管理员帐号 : 将 Administrator 帐号名更名为和其他普通帐号名一样。这样都可以防止攻击者通过猜测密码来实施攻击。为了更长远的考虑，计算机应该有个 BIOS的启动密码。  注册表安全 : 重要的安全性控制与注册表有关。+Windows+98。 • 安全日志 跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。 (系统服务 ) itsec Windows的系统进程 • 扫描零备份存储 (SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。 (系统服务 ) • 帮助您发送和接收传真。 (系统服务 ) • 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。 (系统服务 ) • 提供系统管理信息 (系统服务 )。 自动 Windows 2022启动的时候自动加载服务 手动 Windows 2022启动的时候不自动加载服务，在需要的时候手动开启 已禁用 Windows 2022启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置 双击需要进行配置的服务，出现下图所示的属性对话框： itsec Windows的系统服务 • 在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service 底下每一笔 服务项目子项都有一个 Start 数值 , 这个数值的内容依照每一个服务项目的状 况而又有不同。 itsec Windows系统的共享权限 下表列出从最大限制到最小限制的共享权限。 • Shutdown the system 允许用户关闭系统。 itsec Windows系统的用户权利 权利适用于对整个系统范围内的对象和任务的操作，通常是用来授权用户执行某些系统任务。 sam文件可以认为类似于 unix系统中的 passwd文件 ,不过没有这么直观明了。保存了注册表中 \HKLM\Security\Sam中的一部分内容。 itsec Windows安全子系统  安全支持提供者的接口（ Security Support Provide Interface）： 微软的 Security Support Provide Interface很简单地遵循 RFC 2743和 RFC 2744的定义，提供一些安全服务的 API，为应用程序和服务提供请求安全的认证连接的方法。 Winlogon在注册表中查找\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ，如果存在GinaDLL键， Winlogon将使用这个 DLL，如果不存在该键， Winlogon将使用默认值 itsec Windows安全子系统  本地安全认证（ Local Security Authority）： 本地安全认证（ LSA）是一个被保护的子系统，它负责以下任务： • 调用所有的认证包，检查在注册表\HKLM\SYSTEM\CurrentControlSet\Control\LSA下AuthenticationPAckages下的值，并调用该 DLL进行认证（ ）。  访问控制项（ Access control entries） : 访问控制项（ ACE）包含了用户或组的 SID以及对象的权限。如果用户被允许访问该对象， Windows NT将会分配给用户适当的访问权限。这些对象包含资源本身， Windows2K/ NT提供了一种访问机制去使用它们。这些需求包括允许对象的所有者可以控制谁被允许访问该对象以及访问的方式。  对象重用（ Object reuse） 当资源（内存、磁盘等）被某应用访问时， Windows 禁止所有的系统应用访问该资源，这也就是为什么 Windows NT禁止 undelete已经被删除的文件的原因。由于这些基本的原因，所以我们把 Windows2K/ NT称为基于对象的操作系统。 访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。访问控制项有两种：允许访问和拒绝访问。在 ， Windows NT会寻找\HKLM\SYSTEM\CurrentControlSet\Control\LSA 下所有存在的 SecurityPackages值并调用。  认证包（ Authentication Package）： 认证包可以为真实用户提供认证。不同的域有不同的 Sam，在域复制的过程中， Sam包将会被拷贝。 passwd使用的是存文本的格式保存信息，这是一个 linux passwd文件内容的例子 root:8L7v6:0:0:root:/root:/bin/bash msql:!!:502:504::/home/msql:/bin/bash unix中的 passwd文件中每一行都代表一个用户资料，每一个账号都有七部分资料 ,不同资料中使用 :分割格式如下 账号名称 :密码 :uid:gid:个人资料 :用户目录 :shell 除了密码是加密的以外 (这里的密码部分已经 shadow了 )其他项目非常清楚明了。当用户登录到一个具有某种权利的帐号时，该用户就可以执行与该权利相关的任务。 itsec Windows系统的用户权限  权限适用于对特定对象如目录和文件（只适用于 NTFS卷）的操作， 指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。 共享权限 共享权限级别 允许的用户动作 No Access(不能访问 ) 禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名，改变共享 Read(读 ) 目录的子目录，还允许查看文件的数据 和运行应用程序 Change(更改 ) 具有“读”权限中允许的操作，另外允许往目录中添加文件和子目录，更改文数据，删除文件和子目录 Full control(完全控制 ) 具有“更改”权限中允许的操作，另外还允许更改权限 (只适用于 NTFS卷 )和获所有权 (只适用于 NTFS卷 ) 共享点一定要小心地分配。 Start 数值内容所记录的就是服务项目驱动程式该在何时被加载。 • 通过 Inter 信息服务的管理单元提供 FTP 连接和管理。 (系统服务 ) • License Logging Service(system service) • 在多个服务器间维护文件目录内容的文件同步。 (系统服务 ) • Indexing Service(system service) • 磁盘管理请求的系统管理服务。 (系统服务 ) • 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。注意：安全日志的默认状态是关闭的。+DigExt) • 通过分析第六行，可以看出 2022年 10月 23日， IP地址为 IP地址为 80端口，查看了一个页面 ,这位用户的浏览器为patible。经由注册表权限保证注册表项安全，以及使用NTFS权限保证参与注册表数据的所有文件安全。  禁止多重启动的设置 :多重的启动系统 (如 Windows NT 在一个扇区而 Linux 在另一个扇区 ) 会危及到 NT文件系统的安全。  删除无用或过期帐号 : 查看哪些帐号是没有用的或者是已经过期了的，然后将他们删除。这可以增加攻击者攻击的复杂度，这样可以避免攻击者猜测管理员密码。 下面 列出一些示例的默认位置。 itsec IIS服务安全配置  删除无用的脚本映射 IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。 • 单击“配置”。 itsec Netbios的安全设置  WIN2K 取消绑定文件和共享绑定 • 打开 控制面板－网络－高级－高级设置 • 选择网卡并且将 Microsoft 网络的文件和打印共享的复选框取消 • 可以完全禁止 tcp 139 和 445  WinNT • 在 WindowsNT下取消 NetBIOS与 TCP/IP协议的绑定。 2这个值是在 win2022中才支持的。  如果该文件没有做备份，系统会提示你插入 Windows 2022的安装光盘以复原该文件。 itsec 文件系统安全 itsec 文件系统安全  目录和文件权限： 为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，必须非常小心地设置目录和文件的访问权限，在默认的情况下，大多数的文件夹（包括所有的根目录）对所有用户（ Everyone这个组）是完全敞开的（ Full Control），需要根据应用的需要进行权限重设。所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行； 3文件权限比文件夹权限高 4仅给用户真正需要的权限，权限的最小化原则是安全的重要保障； itsec 文件系统安全  将下列可执行文件放到一个新建的目录 D:\arrow下(重命名为 ）  将此目录进行权限设置  删除系统中的如下可执行文件 itsec 安全日志  Windows的默认安装是不开安全审核。 • 点击开始 运行，键入 regedt32并回车； • 找到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]； • 在右侧的窗格中右键单击选择 NewDWORD Value，为其命名为 SFCDisable； • 在 Hexadecimal项下输入键值为 ffffff9d以关闭 WFP； • 重新启动系统使所做的更改生效。它的主要功能是防止系统文件被不匹配的版本替换或是覆盖。 • 这样 NT的计算机名和工作组名也隐藏了。 •