cisp-2-windows系统安全-资料下载页

　　

【正文】 DWORD Value:1（ Windows2022下为 2） 4． 退出注册表编辑器并重启计算机，使改动生效。 itsec Netbios的安全设置  win2022的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项 RestrictAnonymous（匿名连接的额外限制），这个选项有三个值： • 0： None. Rely on default permissions（无，取决于默认的权限） • 1： Do not allow enumeration of SAM accounts and shares（不允许枚举 SAM帐号和共享） • 2： No access without explicit anonymous permissions（没有显式匿名权限就不允许访问） 0这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等，对服务器来说这样的设置非常危险。 1这个值是只允许非 NULL用户存取 SAM账号信息和共享信息。 2这个值是在 win2022中才支持的。 itsec 文件系统安全  WFP的英文全称是 Windows File Protection，即 Windows文件保护。它的主要功能是防止系统文件被不匹配的版本替换或是覆盖。在安装新应用程序时，由于不经意间采用了过时的 dll（动态链接库）文件最容易使系统文件遭到破坏。  微软把 Windows 2022安装光盘上的所有 dll、exe、 fon、 ocx、 sys、和 tff结尾的文件都加以保护）。  备份在 %SYSTEMROOT%/system32/dllcache 文件夹下。 itsec 文件系统安全  当 WFP监控到这些文件被覆盖或替换后就要开始自己的工作了。  首先它会扫描可能有问题的文件，如果这些文件与备份文件夹内微软“原装”文件不符， WFP会把用SYSTEMROOT%/system32/dllcache目录下备份的文件还原。  如果该文件没有做备份，系统会提示你插入 Windows 2022的安装光盘以复原该文件。 itsec 文件系统安全  关闭 WFP。 • 点击开始 运行，键入 regedt32并回车； • 找到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]； • 在右侧的窗格中右键单击选择 NewDWORD Value，为其命名为 SFCDisable； • 在 Hexadecimal项下输入键值为 ffffff9d以关闭 WFP； • 重新启动系统使所做的更改生效。  重启电脑后查看日志文件。点击开始 设置 控制面板。打开Administrative ToolsEvent Viewer。你会看到图中所示的记录。在每次 Windows 2022启动后都会记录下 WFP被关闭的情况。 itsec 文件系统安全 itsec 文件系统安全  目录和文件权限： 为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，必须非常小心地设置目录和文件的访问权限，在默认的情况下，大多数的文件夹（包括所有的根目录）对所有用户（ Everyone这个组）是完全敞开的（ Full Control），需要根据应用的需要进行权限重设。 在进行权限控制时，请记住以下几个原则： 1限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限； 2拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行； 3文件权限比文件夹权限高 4仅给用户真正需要的权限，权限的最小化原则是安全的重要保障； itsec 文件系统安全  将下列可执行文件放到一个新建的目录 D:\arrow下(重命名为 ）  将此目录进行权限设置  删除系统中的如下可执行文件 itsec 安全日志  Windows的默认安装是不开安全审核。  Windows2022下 本地安全策略 审核策略中打开相应的审核 推荐的审核是： 账户管理 成功 失败 登录事件 成功 失败 对象访问 失败 策略更改 成功 失败 特权使用 失败 系统事件 成功 失败 目录服务访问 失败 账户登录事件 成功 失败 itsec 安全日志  WindowsNT下 • 程序 管理工具 域用户管理器 规则 审核 • 谨慎打开“进程追踪”，否则大量的日志信息反而可能使审核困难 • 文件及对象访问”必须同时在“文件属性”的“审核”设置审核的事件 itsec 安全日志 itsec 其他的安全设置  关闭自动打开的管理共享 • HKEY_LOCAL_MACHINE • \System\CurrentControlSet\Services\LanmanServer\Parameters • 键值 AutoShareServer • 类型 REG_DWORD • 数据 0  不显示最后登录用户姓名 • HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon • 增添键值 DontDisplayLastUserName • 类型 REG_SZ • 数值 1 itsec 安全工具  FPORT • 系统自带 stat查看机器开放的端口，也可以任务管理器来查看当前机器的进程，但是这两个东西都有自身的缺点，由于stat由于设计的原因很多开放的端口无法查出，而使用任务管理器的时候只能查看到进程的名字，如果一个恶意的攻击者把木马命名为 ,，这样就能很好麻痹一些管理员，由于这些文件可能在一台 web服务器上存在多个进程，然后给这个木马定义一个很象 RPC的端口，不仔细查真的很难查找得到， FPORT就弥补了 stat和 taskbar的不足 • 该软件可以得到所有端口对应的文件有完整的路径名，可以避免有些木马程序使用系统服务的文件名，而将其放在非系统目录，无法在 Task Manager里察觉，这个时候 FPort的优势就体现出来了 • 下载地址：ml itsec 安全工具  fport运行示例： • Pid Process Port Proto Path • 400 svchost 135 TCP C:\WINNT\system32\ • 8 System 139 TCP • 8 System 445 TCP • 8 System 1028 TCP • 872 rsvp 1047 TCP C:\WINNT\System32\ • 624 WinMgmt 1048 TCP C:\WINNT\System32\WBEM\ • 624 WinMgmt 1049 TCP C:\WINNT\System32\WBEM\ • 540 iinfo 1054 TCP C:\WINNT\System32\isrv\ • 1616 msdtc 2692 TCP C:\WINNT\System32\ • 1616 msdtc 3372 TCP C:\WINNT\System32\ • 8 System 3778 TCP • 400 svchost 135 UDP C:\WINNT\system32\ • 8 System 137 UDP • 8 System 138 UDP • 8 System 445 UDP • 256 lsass 500 UDP C:\WINNT\system32\ • 244 services 1029 UDP C:\WINNT\system32\ • 540 iinfo 3456 UDP C:\WINNT\System32\isrv\ itsec 安全工具  IIS Lockdown • 微软设计发布的帮助管理员们设置 IIS安全性的工具。  IIS Lock Tool具有以下功能和特点： • 帮助管理员设置 IIS安全性； • 此工具可以在 IIS4和 IIS5上使用； • 帮助管理员去掉对本网站不必要的一些服务，使 IIS在满足本网站需求的情况下运行最少的服务  下载地址 • sp?ReleaseID=33961 itsec 安全工具 itsec 长期的系统维护  时刻注意安全漏洞和补丁发布  定期分析日志系统，发现潜在攻击  注意账号和口令的安全问题  注意观察系统异常  管理员，才是关键 ! itsec 注意 !  仅仅只是主机安全 (Host Security)  应用服务安全的一部分  绝不是网络安全 (work security)  主机安全是网络安全的基础之一 itsec 试验一  安装并配置 IISLOCKD • 对于已安装有 IIS的 windows2022系统 配置 IISLOCKD不允许从 WEB下载可执行文件，其他下载一律禁止允许。 itsec 试验二  禁止 Netbios泄漏用户名 • 在开放了文件打印和共享的 WINDOWS系统上，利用常见的扫描软件可以得到用户名和密码 • 在禁止文件打印和共享的 WINDOWS系统上，利用扫描软件不可以得到用户名和密码 itsec 中国信息安全产品 测评认证中心 对外办公地点： 北京西三环北路 27号 互联网址： 电话： 68428899 传真： 68462942 itsec 问题？