ciw-windows系统安全(200607)-文库吧资料

　　

【正文】 P C:\WINNT\System32\ – 1616 msdtc 3372 TCP C:\WINNT\System32\ – 8 System 3778 TCP – 400 svchost 135 UDP C:\WINNT\system32\ – 8 System 137 UDP – 8 System 138 UDP – 8 System 445 UDP – 256 lsass 500 UDP C:\WINNT\system32\ – 244 services 1029 UDP C:\WINNT\system32\ – 540 iinfo 3456 UDP C:\WINNT\System32\isrv\ 安全工具 • IIS Lockdown – 微软设计发布的帮助管理员们设置 IIS安全性的工具。 2这个值是在 win2022中才支持的。 • Netbios的安全设置 • win2022的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项 RestrictAnonymous（匿名连接的额外限制），这个选项有三个值： C 0： None. Rely on default permissions（无，取决于默认的权限） C 1： Do not allow enumeration of SAM accounts and shares（不允许枚举 SAM帐号和共享） C 2： No access without explicit anonymous permissions（没有显式匿名权限就不允许访问） 0这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等，对服务器来说这样的设置非常危险。 （警告：不正确地修改注册表会导致严重的系统错误，请慎重行事！） 1．运行注册表编辑器（ ）。 C 这样 NT的计算机名和工作组名也隐藏了。 IIS服务安全配置 • WIN2K 取消绑定文件和共享绑定 C 打开 控制面板－网络－高级－高级设置 C 选择网卡并且将 Microsoft 网络的文件和打印共享的复选框取消 C 可以完全禁止 tcp 139 和 445 • WinNT C 在 WindowsNT下取消 NetBIOS与 TCP/IP协议的绑定。 • 将 iis目录重新定向 不要使用系统默认的路径，自定义 WEB主目录路径并作相应的权限设置。 IIS服务安全配置 • 设置适当的 IIS 日志文件 ACL 请确保 IIS 产生的日志文件 (%systemroot%\system32\LogFiles) 上的 ACL 是 – Administrators（完全控制） – System（完全控制） – Everyone (RWC) 这有助于防止恶意用户为隐藏他们的踪迹而删除文件。 – 取消选择 “ 启用父路径 ” 复选框。 – 单击 “ 配置 ” 。禁用该选项的步骤如下： – 右键单击该 Web 站点的根，然后从上下文菜单中选择 “ 属性 ” 。 C 主属性 C 选择 WWW 服务 | 编辑 | 主目录 | 配置 IIS服务安全配置 • 禁用父路径 “ 父路径 ” 选项允许在对诸如 MapPath 函数调用中使用 “ ..”。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下： C 打开 Inter 服务管理器。 示例 虚拟目录 位置 IIS 示例 \IISSamples c :\ipub\iissamples IIS 文档 \IISHelp c:\winnt\help\iishelp 数据访问 \MSADC c:\program files\mon files\system\msadc IIS服务安全配置 • 删除无用的脚本映射 IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。请注意一些示例安装，它们只可从 或 访问；但是，它们仍应被删除。 文件系统安全 • 将下列可执行文件放到一个新建的目录 D:\arrow下(重命名为 ） • 将此目录进行权限设置 • 删除系统中的如下可执行文件 • NTFS权限的应用规则 C权限是累加的（取大）：用户本身权限＋用户所属多个组的权限 C拒绝权限覆盖其他所有权限 • NTFS权限与共享权限组合 C应用其中最严格的权限（取小） • 移动和复制 NTFS权限的影响 NTFS权限与共享权限 关闭管理性共享 • 关闭自动打开的管理共享 C HKEY_LOCAL_MACHINE C \System\CurrentControlSet\Services\LanmanServer\Parameters C 键值 AutoShareServer C 类型 REG_DWORD C 数据 0 NTFS加密（ EFS） • NTFS加密（ EFS）的意义 • NTFS加密（ EFS）的工作过程 • 密钥生成及备份 • EFS恢复代理 • 移动和复制对 NTFS加密（ EFS）的影响 网络服务 • 限制对外开放的端口 : 在 TCP/IP的高级设置中选择只允许开放特定端口，或者可以考虑使用路由或防火墙来设置。 • 首先它会扫描可能有问题的文件，如果这些文件与备份文件夹内微软 “ 原装 ” 文件不符， WFP会把用SYSTEMROOT%/system32/dllcache目录下备份的文件还原。 • 备份在 %SYSTEMROOT%/system32/dllcache 文件夹下。在安装新应用程序时，由于不经意间采用了过时的 dll（动态链接库）文件最容易使系统文件遭到破坏。 • 文件系统安全 • WFP的英文全称是 Windows File Protection，即Windows文件保护。 • • 确认密码强度足够 : 使用一个不会被猜出的密码或是不会被暴力破解轻易破解出来的密码。 • • 检查管理员组成员 : 用 NTLAST 来确认只有授权的管理组成员可以使用该帐号。 • 设置帐号规则保证帐号安全 强大的密码控制和帐号锁定使黑客攻击系统更为困难 . • • 账户和密码的基础性地位 • 决定账户和密码安全性的几个因素 C账户的复杂性 C账户的时效 C密码的复杂性 C密码使用的时效 账户和密码管理 账户和密码管理 • 强壮密码的组成 C大写字母 C小写字母 C数字 C非字母、数字的字符 • 密码长度：不小于 8字节长 账户和密码管理 个人名字或呢称 电话号码、生日等敏感信息 输入 8字符以上密码 记录于纸上或放置于办公处 使用重复的字符  X X X X + + + + =强壮的密码 账户和密码管理 • 账户锁定策略 • • • 密码策略 账户和密码管理 强制执行密码历史记录 密码最长期限 密码最短期限 密码必须符合复杂性要求 为域中所有用户使用可还原的加密来储存密码 24个密码 42天 2天 启 用 禁 用 • 密码策略的推荐设置 账户和密码管理 • 账户锁定策略的推荐设置 策 略 默认设置 推荐最低设置 帐户锁定时间 未定义 30 分钟 帐户锁定阈值 0 5 次无效登录 复位帐户锁定计数器 未定义 30 分钟 其他账户设置 • 不显示最后登录用户姓名 C HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon C 增添键值 DontDisplayLastUserName C 类型 REG_SZ C 数值 1 管理员权限配置 • 重命名管理员帐号 : 将 Administrator 帐号名更名为和其他普通帐号名一样。 • 屏幕保护使用密码保护 : 用密码屏幕保护来增加 NT服务器的物理保护。 • 检查是否存在空密码的帐号 : 查看所有帐号是否有空密码。例如，如果 Linux 是第二扇区上的系统，一个 Linux 用户可以绕过所有的访问控制 mount NTFS 文件系统。为了更长远的考虑，计算机应该有个 BIOS的启动密码。 • • 物理上加强服务器安全 :只有授权管理员可以物理访问 Windows NT 服务器。尽量将访问来源控制在最小范围内： 访问控制 • 限制远程登录工作组 :从远程工作站登录到一台 WINDOWS服务器是通过 Microsoft的远程访问服务（ Remote Access Service）服务器 . 然而，在保护远程工作站上可能会有问题存在，有可能会危及服务器和网络的完整性 . 只要有可能， RAS就会将它禁止掉。 • 确认 Service Pack/Hot Fixes是最新的 • 访问控制 • 对 Windows 服务器的访问应该只允许授权访问，以及可靠用户。 • 注册表安全 : 重要的安全性控制与注册表有关。 • 确认文件系统是 NTFS 审核系统安全性 • 检查日志记录，查看是否有不寻常事件 : 使用信号会经常在日志中被记录 (如一次被攻击而导致服务不正常 ). 事件日志和其他数据也有相互关系 (可疑文件的创建 ) ，可以判断攻击的起因和来源。 • 最小化安装服务（如不需要 IIS一定不要装） • 只安装必需的协议 安装 • NT安装 SP6a，安全补丁合集和相关的 Hotfix • WIN2K安装 SP3和相关的 Hotfix • 自动安装脚本 • 装其它的服务和应用程序补丁 • 每次在安装其它程序之后，重新应用安全补丁 • 测试网络连通性以及服务、应用程序的可用性 • 备份系统配置文件 审核系统安全性 系统安全审核以本地用户的身份来评估系统安全配置。+MSIE+。+Windows+98。+DigExt) – 20221023 03:09:34 80 GET / 200 Mozilla/+(patible。+MSIE+。 Windows的 Log系统 Windows的 Log系统 • 日志在系统的位置是： C %SYSTEMROOT%\system32\config\ C %SYSTEMROOT%\system32\config\ C %SYSTEMROOT%\system32\config\ C • LOG文件在注册表的位置是： C HKEY_LOCAL_MACHINE\System\Current Control Set\Services\Eventlog Windows的应用系统日志 • Inter信息服务 FTP日志默认位置： %systemroot%system32/logfiles/msftpsvc1，默认每天一个日志 • Inter信息服务 WWW日志默认位置：%systemroot%system32/logfiles/w3svc1，默认每天一个日志 FTP日志和 WWW日志文件名通常为 ex（年份）（月份）（日期），例如 ex001023，就是 2022年 10月 23日产生的日志，用记事本就可直接打开 • Scheduler服务日志默认位置： %systemroot% FTP日志分析 • FTP日志分析，如下例： Software: Microsoft Int