cisp-2-windows系统安全(专业版)

　　

【正文】 打开Administrative ToolsEvent Viewer。 2．定位在注册表中的下列键上：HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA 3．在编辑菜单栏中选取加一个键值： Value Name:RestrictAnonymous Data Type:REG_DWORD Value:1（ Windows2022下为 2） 4． 退出注册表编辑器并重启计算机，使改动生效。在默认情况下，该选项处于启用状态，应该禁用它。 itsec 网络服务  限制对外开放的端口 : 在 TCP/IP的高级设置中选择只允许开放特定端口，或者可以考虑使用路由或防火墙来设置。最长的时间应为 180天。  确认文件系统是 NTFS itsec 审核系统安全性  检查日志记录，查看是否有不寻常事件 : 使用信号会经常在日志中被记录 (如一次被攻击而导致服务不正常 ). 事件日志和其他数据也有相互关系 (可疑文件的创建 ) ，可以判断攻击的起因和来源。 (系统服务 ) itsec Windows的 Log系统 Windows有三种类型的事件日志： • 系统日志 跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。 (系统服务 ) • 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。 (系统服务 ) • 资源管理器 • 输入法 itsec Windows的系统进程 附加的系统进程（这些进程不是必要的） • 允许程序在指定时间运行。网络上的绝大多数服务器 主要用于存放可被网络用户访问的文件和目录，要使网络用户可以访问 在 NT Server服务器上的文件和目录，必须首先对它建立共享。  权限 :可以授予用户或组的文件系统能力。要实现这个目标，必须通过安全通道与域中的域控制器建立连接，然后，再通过安全的通道传递用户的口令，在域的域控制器上响应请求后，重新取回用户的 SIDs和用户权限。而 GINA DLL提供一个交互式的界面为用户登陆提供认证请求。 SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。 Windows NT系统内置支持用户认证、访问控制、管理、审核。从设计来考虑，就是所有的访问都必须通过同一种方法认证，减少安全机制被绕过的机会。 当你使用管理工具列出对象的访问权限时，列表的排序是以文字为顺序的，它并不象防火墙的规则那样由上往下的，不过好在并不会出现冲突，拒绝访问总是优先于允许访问的。 itsec Windows安全子系统  安全支持提供者（ Security Support Provider）： 安全支持提供者是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，Windows NT安装了以下三种： • ：微软网络挑战 /反应认证模块 • ：分布式密码认证挑战 /反应模块，该模块也可以在微软网络中使用 • ：该认证模块使用某些证书颁发机构提供的证书来进行验证，常见的证书机构比如Verisign。因为 NT系统中将这些资料全部进行了加密处理，一般的编辑器是无法直接读取这些信息的。下表显示了这些任务是如何与各种权限级 别相关联的。而 Start 数值内容为 3 的服务项目代表让使用 者以手动的方式载入 (Load on demand), 4 则是代表停用的状态 , 也就是禁用。 (系统服务 ) • 管理 RPC 名称服务数据库。 (系统服务 ) • 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序。+Windows+98+DigExt，有经验的管理员就可通过安全日志、 FTP日志和 WWW日志来确定入侵者的 IP地址以及入侵时间 itsec Windows安全配置  安装  审核系统安全性  访问控制  账号安全策略  管理员权限  网络服务（ IIS和 NETBIOS的安全设置）  文件系统安全  打开安全日志  其它的安全设置 itsec 安装  使用正版可靠安装盘  将系统安装在 NTFS分区上  系统和数据要分开存放在不同的磁盘 最少建立两个分区，一个系统分区，一个应用程序分区，因为微软的 IIS经常会有泄漏源码 /溢出的漏洞，如果把系统和 IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。  限制对注册表访问 :对注册表的访问控制列表稍微有点不一样，可能会有远程访问。尽量减少使用管理员权限的帐号数量。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下： • 打开 Inter 服务管理器。 • 这样 NT的计算机名和工作组名也隐藏了。 • 点击开始 运行，键入 regedt32并回车； • 找到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]； • 在右侧的窗格中右键单击选择 NewDWORD Value，为其命名为 SFCDisable； • 在 Hexadecimal项下输入键值为 ffffff9d以关闭 WFP； • 重新启动系统使所做的更改生效。 itsec 文件系统安全 itsec 文件系统安全  目录和文件权限： 为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，必须非常小心地设置目录和文件的访问权限，在默认的情况下，大多数的文件夹（包括所有的根目录）对所有用户（ Everyone这个组）是完全敞开的（ Full Control），需要根据应用的需要进行权限重设。 2这个值是在 win2022中才支持的。 • 单击“配置”。 下面 列出一些示例的默认位置。  删除无用或过期帐号 : 查看哪些帐号是没有用的或者是已经过期了的，然后将他们删除。经由注册表权限保证注册表项安全，以及使用NTFS权限保证参与注册表数据的所有文件安全。注意：安全日志的默认状态是关闭的。 (系统服务 ) • Indexing Service(system service) • 磁盘管理请求的系统管理服务。 • 通过 Inter 信息服务的管理单元提供 FTP 连接和管理。 共享权限 共享权限级别 允许的用户动作 No Access(不能访问 ) 禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名，改变共享 Read(读 ) 目录的子目录，还允许查看文件的数据 和运行应用程序 Change(更改 ) 具有“读”权限中允许的操作，另外允许往目录中添加文件和子目录，更改文数据，删除文件和子目录 Full control(完全控制 ) 具有“更改”权限中允许的操作，另外还允许更改权限 (只适用于 NTFS卷 )和获所有权 (只适用于 NTFS卷 ) 共享点一定要小心地分配。当用户登录到一个具有某种权利的帐号时，该用户就可以执行与该权利相关的任务。不同的域有不同的 Sam，在域复制的过程中， Sam包将会被拷贝。在 ， Windows NT会寻找\HKLM\SYSTEM\CurrentControlSet\Control\LSA 下所有存在的 SecurityPackages值并调用。 访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。  对象重用（ Object reuse） 当资源（内存、磁盘等）被某应用访问时， Windows 禁止所有的系统应用访问该资源，这也就是为什么 Windows NT禁止 undelete已经被删除的文件的原因。这些对象包含资源本身， Windows2K/ NT提供了一种访问机制去使用它们。  访问控制项（ Access control entries） : 访问控制项（ ACE）包含了用户或组的 SID以及对象的权限。 itsec Windows安全子系统  安全支持提供者的接口（ Security Support Provide Interface）： 微软的 Security Support Provide Interface很简单地遵循 RFC 2743和 RFC 2744的定义，提供一些安全服务的 API，为应用程序和服务提供请求安全的认证连接的方法。 sam文件可以认为类似于 unix系统中的 passwd文件 ,不过没有这么直观明了。 • Shutdown the system 允许用户关闭系统。 自动 Windows 2022启动的时候自动加载服务 手动 Windows 2022启动的时候不自动加载服务，在需要的时候手动开启 已禁用 Windows 2022启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置 双击需要进行配置的服务，出现下图所示的属性对话框： itsec Windows的系统服务 • 在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service 底下每一笔 服务项目子项都有一个 Start 数值 , 这个数值的内容依照每一个服务项目的状 况而又有不同。 (系统服务 ) • 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。 (系统服务 ) itsec Windows的系统进程 • 扫描零备份存储 (SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。+Windows+98。为了更长远的考虑，计算机应该有个 BIOS的启动密码。 itsec 管理员权限配置  重命名管理员帐号 : 将 Administrator 帐号名更名为和其他普通帐号名一样。如果您不使用 Intra 或如果将服务器连接到 Web 上，则应将其删除。  使用专门的安全工具 微软的 IIS安全设置工具： IIS Lock Tool；是针对 IIS的漏洞设计的，可以有效设置 IIS安全属性。  首先它会扫描可能有问题的文件，如果这些文件与备份文件夹内微软“原装”文件不符， WFP会把用SYSTEMROOT%/system32/dllcache目录下备份的文件还原。  Windows2022下 本地安全策略 审核策略中打开相应的审核 推荐的审核是： 账户管理 成功 失败 登录事件 成功 失败 对象访问 失败 策略更改 成功 失败