cisp-2-windows系统安全-资料下载页

　　

【正文】 LS，为 Web Service申请一个证书  Web Server往往是网络攻击的入口点  开放尽可能少的端口和一些目录  增强防火墙对 Web Server的保护 银长城 CISP培训系列 WEB安全性的综合策略 (2)  及时打上 Web Server软件厂商提供的补丁程序  特别是一些主流的服务软件，比如 MS的 IIS  控制目录和文件的权限  Web应用开发人员注意  在服务端的运行代码中，对于来自客户端的输入一定要进行验证  防止缓冲区溢出 银长城 CISP培训系列 Netbios的安全设置 WIN2K 取消绑定文件和共享绑定  打开 控制面板－网络－高级－高级设置  选择网卡并且将 Microsoft 网络的文件和打印共享的复选框取消 WinNT  在 WindowsNT下取消 NetBIOS与 TCP/IP协议的绑定。可以按如下步骤进行：  点击“控制面板 网络 NetBIOS接口 WINS客户（ TCP/IP)禁用”，再点“确定”，然后重启。  可以完全禁止 tcp 139 和 445  这样 NT的计算机名和工作组名也隐藏了。 银长城 CISP培训系列 Netbios的安全设置  禁止匿名连接列举帐户名需要对注册表做以下修改。 （警告：不正确地修改注册表会导致严重的系统错误，请慎重行事！） 1．运行注册表编辑器（ ）。 2．定位在注册表中的下列键上：HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA 3．在编辑菜单栏中选取加一个键值： Value Name:RestrictAnonymous Data Type:REG_DWORD Value:1（ Windows2022下为 2） 4． 退出注册表编辑器并重启计算机，使改动生效。 银长城 CISP培训系列 Netbios的安全设置  win2022的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项 RestrictAnonymous（匿名连接的额外限制），这个选项有三个值：  0： None. Rely on default permissions（无，取决于默认的权限）  1： Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享）  2： No access without explicit anonymous permissions（没有显式匿名权限就不允许访问） 0这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表 (NetServerTransportEnum等等，对服务器来说这样的设置非常危险。 1这个值是只允许非 NULL用户存取 SAM账号信息和共享信息。 2这个值是在 win2022中才支持的。 银长城 CISP培训系列 文件系统安全  WFP的英文全称是 Windows File Protection，即Windows文件保护。它的主要功能是防止系统文件被不匹配的版本替换或是覆盖。在安装新应用程序时，由于不经意间采用了过时的 dll（动态链接库）文件最容易使系统文件遭到破坏。 微软把 Windows 2022安装光盘上的所有 dll、 exe、 fon、ocx、 sys、和 tff结尾的文件都加以保护）。 备份在 %SYSTEMROOT%/system32/dllcache 文件夹下。 银长城 CISP培训系列 文件系统安全  目录和文件权限： 为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，必须非常小心地设置目录和文件的访问权限，在默认的情况下，大多数的文件夹（包括所有的根目录）对所有用户（ Everyone这个组）是完全敞开的（ Full Control），需要根据应用的需要进行权限重设。 在进行权限控制时，请记住以下几个原则： 1限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限； 2拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行； 3文件权限比文件夹权限高 4仅给用户真正需要的权限，权限的最小化原则是安全的重要保障； 银长城 CISP培训系列 文件系统安全  将下列可执行文件放到一个新建的目录 D:\XXX下 (重命名为 ）  将此目录进行权限设置  删除系统中的如下可执行文件 银长城 CISP培训系列 安全日志  Windows的默认安装是不开安全审核。  Windows2022下 本地安全策略 审核策略中打开相应的审核 推荐的审核是： 账户管理 成功 失败 登录事件 成功 失败 对象访问 失败 策略更改 成功 失败 特权使用 失败 系统事件 成功 失败 目录服务访问 失败 账户登录事件 成功 失败 银长城 CISP培训系列 安全日志  WindowsNT下  程序 管理工具 域用户管理器 规则 审核  谨慎打开“进程追踪”，否则大量的日志信息反而可能使审核困难  文件及对象访问”必须同时在“文件属性”的“审核”设置审核的事件 银长城 CISP培训系列 安全日志 银长城 CISP培训系列 其他的安全设置  关闭自动打开的管理共享  HKEY_LOCAL_MACHINE  \System\CurrentControlSet\Services\LanmanServer\Parameters  键值 AutoShareServer  类型 REG_DWORD  数据 0  不显示最后登录用户姓名  HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon  增添键值 DontDisplayLastUserName  类型 REG_SZ  数值 1 银长城 CISP培训系列 安全工具 FPORT  系统自带 stat查看机器开放的端口，也可以任务管理器来查看当前机器的进程，但是这两个东西都有自身的缺点，由于 stat由于设计的原因很多开放的端口无法查出，而使用任务管理器的时候只能查看到进程的名字，如果一个恶意的攻击者把木马命名为 ,，这样就能很好麻痹一些管理员，由于这些文件可能在一台 web服务器上存在多个进程，然后给这个木马定义一个很象 RPC的端口，不仔细查真的很难查找得到， FPORT就弥补了 stat和taskbar的不足  该软件可以得到所有端口对应的文件有完整的路径名，可以避免有些木马程序使用系统服务的文件名，而将其放在非系统目录，无法在 Task Manager里察觉，这个时候 FPort的优势就体现出来了  下载地址： 银长城 CISP培训系列 安全工具  fport运行示例：  Pid Process Port Proto Path  400 svchost 135 TCP C:\WINNT\system32\  8 System 139 TCP  8 System 445 TCP  8 System 1028 TCP  872 rsvp 1047 TCP C:\WINNT\System32\  624 WinMgmt 1048 TCP C:\WINNT\System32\WBEM\  624 WinMgmt 1049 TCP C:\WINNT\System32\WBEM\  540 iinfo 1054 TCP C:\WINNT\System32\isrv\  1616 msdtc 2692 TCP C:\WINNT\System32\  1616 msdtc 3372 TCP C:\WINNT\System32\  8 System 3778 TCP  400 svchost 135 UDP C:\WINNT\system32\  8 System 137 UDP  8 System 138 UDP  8 System 445 UDP  256 lsass 500 UDP C:\WINNT\system32\  244 services 1029 UDP C:\WINNT\system32\  540 iinfo 3456 UDP C:\WINNT\System32\isrv\ 银长城 CISP培训系列 安全工具  IIS Lockdown  微软设计发布的帮助管理员们设置 IIS安全性的工具。  IIS Lock Tool具有以下功能和特点：  帮助管理员设置 IIS安全性；  此工具可以在 IIS4和 IIS5上使用；  帮助管理员去掉对本网站不必要的一些服务，使 IIS在满足本网站需求的情况下运行最少的服务 下载地址  aseID=33961 银长城 CISP培训系列 安全工具 银长城 CISP培训系列 安全工具 基于主机的入侵检测系统 安全评估软件 单机版的防火墙 日志分析和审计软件 数据备份软件 … … 银长城 CISP培训系列 长期的系统维护 时刻注意安全漏洞和补丁发布 定期分析日志系统，发现潜在攻击 注意账号和口令的安全问题 注意观察系统异常 定期根据 checklist进行安全检查 管理员，才是关键 ! 银长城 CISP培训系列 推荐的几个安全站点        