Windows系统安全加固ppt课件

项目2Windows系统安全加固项目1双机互连对等网络的组建操作系统安全的概念 操作系统的安全防护研究通常包括以下几个方面的内容。 (1)操作系统本身提供的安全功能和安全服务。目前的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务。 (2)针对各种常用的操作系统，进行相关配置，使之能正确对付和防御各种入侵。 (3)保证操作系统本身所提供的网络服务能得到安全配置。 只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。一、WINDOWS密码设置实训 windows系统的安全审计和安全配置 用户身份验证 帐户的管理(设置各级帐户和密码）P196 帐户安全防护P204 帐户安全策略P206 基于对象的访问控制P194 windows系统的注册表P209 windows系统常用的系统进程和服务的安全配置P220为提高计算机WINDOWS操作系统的安全性，可作哪些安全配置？（小组讨论， 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf ）3分钟一、WINDOWS密码设置实训XP与SERVER 设置BIOS开机密码 设置WINDOWS登录密码 设置屏幕保护密码 账户数据库密码(syskey)为防止别人非法使用你的计算机系统，可设置哪些密码？（小组讨论）3分钟帐户的管理(设置各级帐户和密码）P196一、什么样的密码才安全？ 下面列出几种最危险的密码，请千万不要使用。1）密码和用户名相同。2）密码为用户名中的某几个邻近的数字或字母。3）密码为连续或相同的数字或字母。4)将用户名颠倒或加前后缀作为密码。5）使用姓氏的拼音或英文名字作为密码。6）使用自己或亲友的生日作为密码。7）使用常用英文单词作为密码。8)使用6位以下的数字或英文字母作为密码.找个学生回答他如何设置密码1)如：用户名和密码都是test00001。　*　几乎所有盗取密码的人，都会以用户名作为破解密码的突破口。2)如：用户名为test000001，密码为test或000001。　*　如果您的用户名是字母和数字组合，如：test000001，那么别人要盗取您的密码时，肯定会以用户名中的字母或数字来试密码。3)如123456789、1111111等。　*　几乎所有黑客软件，都会从连续或相同的数字开始试密码。如：先试111、1111……到9999999999，然后再试123、321、234.4)如用户名为test，密码为test123、aaatest、tset等。8)*　数字只有10个，8位数字组成方式只有10的8次方=100,000,000种，按普通计算机每秒搜索3～4万种的速度计算，黑客软件只需要不到3小时就可以破解您的密码了。使用5位以下的小写字母加数字作为口令。　*　小写字母加数字一共36位，组合方式只有36的5次方=60466176种可能性，按普通的计算机每秒搜索3～4万种的速度计算，黑客软件只需要25分钟就可以破解您的密码。6.3账户管理与密码安全P196 账户与密码的使用通常是许多系统预设的防护 措施 《全国民用建筑工程设计技术措施》规划•建筑•景观全国民用建筑工程设计技术措施》规划•建筑•景观软件质量保证措施下载工地伤害及预防措施下载关于贯彻落实的具体措施 。事实上，有许多用户的密码是很容易被猜中的，或者使用系统预设的密码、甚至不设密码。 用户应该要避免使用不当的密码、系统预设密码或是使用空白密码，也可以配置本地安全策略要求密码符合安全性要求。(英文大小写、数字、特殊字符，8位以上）小组为单位，讨论并配置5种密码（以XP或SERVER为例） 设置进入BIOS的密码 系统开机密码 WINDOWS登录密码 屏幕保护密码 保护WINDOWS帐户数据库安全密码 做一个启动U盘要求：小组内分工，每组同学要设置上述密码，并进行拷屏,文件名为：组名第6章作业1.DOC。SysKey实用程序可用于通过移动SAM数据库关闭基于Windows的计算机的加密密钥的另外保护SAM数据库。syskey密码如果忘记是不能找回的，唯一解决的办法就是在开启该功能之前先备份注册表，需要关闭时恢复备份的注册表就可以了。DOS系统执行xcopyC:\windows\repairC:\windows\system32\configPE等图形系统就直接把Windows里的repair文件夹下的全部内容复制到system32\config文件夹这样可以把系统的用户信息、注册表信息等全部恢复到安装系统时的状态，不过Ghost版系统一般没有repair文件夹，所以如果是Ghost版系统就没办法了.PE系统一般有破解软件。任务1：密码安全配置P1971.任务目标(1)了解操作系统密码安全的重要性。(2)掌握密码安全配置的方法。2.任务内容(1)设置开机或BIOS密码(2)设置用户账户策略。(3)设置用户账户锁定策略。3.完成任务所需的设备和软件 装有WindowsServer2003操作系统的PC机1台，或WindowsServer2003虚拟机1台。用虚拟机设置BIOS开机密码 运行虚拟机—VM---POWER-POWERONTOBIOS SetSupervisorPassword超级用户口令 SetUserPassword一般用户口令 Save&ExitSetup2.添加WONDOWS用户密码，设置密码策略(1)用户—添加管理员用户（2）设置用户账户策略 步骤1：选择“开始”→“程序”→“管理工具”→“本地安全策略”命令，打开“本地安全设置”窗口，在左侧窗格中，选择“安全设置”→“账户策略”→“密码策略”选项，如图2-14所示。 步骤2：双击右侧窗格中的“密码长度最小值”策略选项，打开“密码长度最小值属性”对话框，选择“本地安全设置”选项卡，设置密码必须至少是6个字符，如图2-15所示，单击“确定”按钮，返回“本地安全设置”窗口。 步骤3：在图2-14中，双击右侧窗格中的“密码最短使用期限”策略选项，打开“密码最短使用期限属性”对话框，设置“在以下天数后可以更改密码”为3天，如图2-16所示，单击“确定”按钮，返回“本地安全设置”窗口。 步骤4：同理，设置“密码最长使用期限”为“14”天，设置“强制密码历史”为“10”个记住的密码，设置“密码必须符合复杂性要求”为“已启用”。上述设置完成后的密码策略如图2-17所示。(2)设置用户账户锁定策略 用户账户锁定策略可以防止非法入侵者不断地猜测用户的账户密码。 步骤1：在图2-17中，选择左侧窗格中的“账户锁定策略”选项，在右侧窗格中显示了账户锁定策略的三个策略项，如图2-18所示。 步骤2：双击右侧窗格中的“账户锁定阈值”策略选项，打开“账户锁定阈值属性”对话框，选择“本地安全设置”选项卡，设置“在发生以下情况之后，锁定账户”为3次无效登录，如图2-19所示。 步骤3：单击“确定”按钮，弹出“建议的数值改动”对话框，设置建议的“账户锁定时间”为“30分钟”、“复位账户锁定计数器”为“30分钟之后”，如图2-20所示，单击“确定”按钮，完成账户锁定策略设置。防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序浪费系统资源，黑屏就可以了。3．设置屏幕保护密码 WINDOWS平台安全设置4.XP账户数据库密码 二重密码保护：“启动密码”就是在系统启动是显示的，在重新启动系统后，首先出现的就是提示你输入“启动密码”，输入了正确的密码后就会出现WindowsXP的登录界面，输入用户名和密码后算是完全登录系统。 1.设置启动密码开始→运行”，输入“Syskey”命令，弹出“保证WindowsXP账户数据库安全”----更新”。在“启动密码”界面中点选“密码启动”单选框。　　 2.取消这个系统启动密码，则在“启动密码”界面中点选“系统产生的密码”下面的“在本机上保存启动密码”，确定后系统密码就会保存到硬盘上，在下次启动电脑时就不会再出现启动密码的窗口了。　如果忘记了密码点办?(小组讨论、思考） 如何清除进入物理机的BIOS设置的密码? 如何清除物理开机密码? 如何探测WINDOWS登录密码？相邻两小组实训:常用密码破解（10分钟） 互换机器 去破解别组设置的密码，并总结方法 破解方法与工具P198 L0phtcrack,WMICracker等 BIOS口令的清除 由于System级口令保护的是整个系统，在未正确输入口令时不能进入系统，因而当任何“软”方法都无法奏效时，只能用“硬”方法解决。 一般的主板在后备电池的附近都有一个“Ext.Battery”、“CMOSReset”或“JCMOS”的跳线，断开微机电源打开机箱，按照主板说明书上的解说找到它，并将其中的两个脚短接数秒钟，然后将跳线恢复原状，即可清除口令。有的主板还要求在放电短接状态开机才能彻底清除BIOS设置数据，具体做法应该参照主板说明书上的叙述。用工具软件或命令（？？）WINDOWS本地账户实训P198-204 用带工具U盘或光盘启动，破解WINDOWSXP登录密码 帐户查看方法与工具 使用L0phtCrack5审计WindowsServer2003本地账户实训 使用Cain审计WindowsServer2003本地账户实训要求：1.老师提供工具，小组内分工，每组同学要用上两个工具把查看到的本地账户密码信息进行拷屏,文件名为：组名第6章作业2.DOC。2.建议以小组为单位学会制作一个启动U盘，如大白菜。第二周二13网络管理*2.4项目实施(小组实训）2062.4.1任务1:账户安全配置1.任务目标(1)了解操作系统账户安全的重要性。(2)掌握账户安全配置的方法。2.任务内容(1)更改“Administrator”账户名称。(2)创建一个陷阱账户。(3)不让系统显示上次登录的账户名。3.完成任务所需的设备和软件装有WindowsServer2003操作系统的PC机1台，或WindowsServer2003虚拟机1台。4.任务实施步骤(1)更改“Administrator”账户名称 由于“Administrator”账户是微软操作系统的默认系统管理员账户，且此账户不能被停用，这意味着非法入侵者可以一遍又一遍地猜测这个账户的密码。 将“Administrator”重命名为其他名称，可以有效地解决这一问题。 步骤1：选择“开始”→“程序”→“管理工具”→“本地安全策略”命令，打开“本地安全设置”窗口，如图2-1所示。 步骤2：在左侧窗格中，选择“安全设置”→“本地策略”→“安全选项”选项，在右侧窗格中，双击“账户：重命名系统管理员账户”策略选项，打开如图2-2所示的对话框，将系统管理员账户名称“Administrator”改为一个普通的账户名称，如“huang”，而不要使用如“Admin”之类的账户名称，单击“确定”按钮。 步骤3：更改完成后，选择“开始”→“程序”→“管理工具”→“计算机管理”命令，打开“计算机管理”窗口，在左侧窗格中，选择“系统工具”→“本地用户和组”→“用户”选项，如图2-3所示，默认的“Administrator”账户名称已被更改为“huang”。 步骤4：在图2-3中，选择左侧窗格中的“组”选项，然后双击右侧窗格中的“Administrators”组名，打开“Administrators属性”对话框，默认只有“Administrator”账户，如图2-4所示。选中“Administrator”账户，单击“删除”按钮，将该账户删除。 步骤5：在图2-4中，单击“添加”按钮，打开“选择用户”对话框，单击“高级”按钮，再单击“立即查找”按钮，双击对话框底部的“huang”选项，如图2-5所示。此时，在“输入对象名称来选择”文本框中自动出现了已经重命名的管理员账户名称，如“TEST\huang”(计算机名\账户名)，如图2-6所示。 步骤6：单击“确定”按钮返回“Administrators属性”对话框，再单击“确定”按钮完成系统管理员名称的更改。(2)创建一个陷阱账户 陷阱账户就是让非法入侵者误认为是管理员账户的非管理员账户。 默认的管理员账户“Administrator”重命名后，可以创建一个同名的拥有最低权限的“Administrator”账户，并把它添加到“Guests”组(“Guests”组的权限为最低)中，再为该账户设置一个超过20位的超级复杂密码(其中包括字母、数字、特殊符号等字符)。 这样可以使非法入侵者需花费很长的时间才能破解密码，借此发现它们的入侵企图。 步骤1：选择“开始”→“程序”→“管理工具”→“计算机管理”命令，打开“计算机管理”窗口，在左侧窗格中，选择“系统工具”→“本地用户和组”→“用户”选项，然后右击“用户”选项，在弹出的快捷菜单中选择“新用户”命令，打开“新用户”对话框，如图2-7所示。 步骤2：在“用户名”文本框中输入用户名“Administrator”，在“密码”和“确认密码”文件框中输入一个较复杂的密码，单击“创建”按钮，再单击“关闭”按钮。 步骤3：右击新创建的用户名“Administrator”，在弹出的快捷菜单中选择“属性”命令，打开“Administrator属性”对话框，选择“隶属于”选项卡，如图2-8所示，从图中可见，“Administrator”用户默认隶属于“Users”组。 步骤4：单击“添加”按钮，打开“选择组”对话框，如图2-9所示。 步骤5：单击“高级”按钮，再单击“立即查找”按钮，双击对话框底部的“Guests”组名，如图2-10所示。 步骤6：单击“确定”按钮，返回“Administrator属性”对话框，此时已添加了“Guests”组，如图2-11所示。 步骤7：在图2-11中，选中“Users”组名，单击“删除”按钮，再单击“确定”按钮。此时，“Administrator”账户已设置为陷阱账户。(3)不让系统显示上次登录的账户名 默认情况下，登录对话框中会显示上次登录的账户名。这使得非法入侵者可以很容易地得到系统的一些账户名，进而做密码猜测，从而给系统带来一定的安全隐患。 可以设置登录时不显示上次登录的账户名，来解决这一问题。 步骤1：在“本地安全设置”窗口的左侧窗格中，选择“本地策略”→“安全选项”选项。 步骤2：在右侧窗格中，找到并双击“交互式登录：不显示上次的用户名”选项(如图2-12所示)，打开“交互式登录：不显示上次的用户名属性”对话框，在“本地安全设置”选项卡中，选中“已启用”单选按钮，如图2-13所示，单击“确定”按钮。组策略和注册表P209组策略和注册表，是Windows系统中重要的两部控制台。 组策略:管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。 注册表:注册表是Windows系统中保存系统软件和应用软件配置的数据库 组策略设置就是在修改注册表中的配置。组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。利用安全配置工具来配置安全策略 利用基于MMC（管理控制台）安全配置和分析工具配置服务器。 运行---gpedit.msc----组策略----计算机配置----管理模板----系统---关闭自动播放----所有驱动器.WINDOWS平台安全设置注册表运行—REGEDITP210 是windows操作系统中的一个核心数据库，其中存放着各种参数，直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行，从而在整个系统中起着核心作用。 1．HKEY_CLASSES_ROOT 管理文件系统，记录的是Windows操作系统中所有数据文件的信息，主要记录不同文件的 文件名后缀和与之对应的应用程序。当用户双击一个文档时，系统可以通过这些信息启动相应的应用程序。 2．HKEY_CURRENT_USER 该主键用于管理当前用户的配置情况。在这个主键中我们可以查阅计算机中登录的用户信息密码等相关信息。 3．HKEY_LOCAL_MACHINE 该主键用于管理系统中的所有硬件设备的配置情况，在该主键中存放的是用来控制系统和软件的设置。由于这些设置是针对那些使用Windows系统的用户而设置的，是一个公共配置信息，所以它与具体用户无关。 4．HKEY_USERS 该主键用于管理系统中所有用户的配置信息，电脑系统中每个用户的信息都保存在该文件夹中，如用户在该系统中的一些口令、标识等。 5．HKEY_CURRENT_CONFIG 该主键用于管理当前系统用户的系统配置情况，如该用户自定义的桌面管理、需要启动的程序列表等信息禁用注册表编辑器(小组实训）任务5：1.任务目标(1)了解操作系统注册表的作用。(2)掌握注册表编辑器的禁用方法。2.完成任务所需的设备和软件 装有WindowsServer2003操作系统的PC机1台，或WindowsServer2003虚拟机1台。3.任务实施步骤 注册表是MicrosoftWindows中的一个重要的数据库，用于存储系统和应用程序的设置信息。Regedit.exe是微软提供的一个编辑注册表的工具，是所有Windows系统通用的注册表编辑工具。Regedit.exe可以进行添加修改注册表主键、修改键值、备份注册表、局部导入导出注册表等操作。 Windows操作系统安装完成后，默认情况下Regedit.exe可以任意使用，为了防止非网络管理人员恶意使用，应禁止Regedit.exe的使用。 步骤1：选择“开始”→“运行”命令，打开“运行”对话框，在对话框的“打开”文本框中输入“gpedit.msc”命令，然后单击“确定”按钮，打开“组策略编辑器”窗口。 步骤2：在窗口的左侧窗格中，选择“‘本地计算机’策略”→“用户配置”→“管理模板”→“系统”选项，如图2-52所示。 步骤3：然后在右侧窗格中找到并双击“阻止访问注册表编辑工具”选项，打开“阻止访问注册表编辑工具属性”对话框，选中“已启用”单选按钮，如图2-53所示，单击“确定”按钮返回“组策略编辑器”窗口。 步骤4：选择“开始”→“运行”命令，打开“运行”对话框，在对话框的“打开”文本框中输入“Regeidt.exe”命令，然后单击“确定”按钮，系统将会提示“注册表编辑已被管理员禁用”信息，如图2-54所示。注册表应用的小设置如何关闭CD自动播放功能　　打开注册表编辑器，进入主键［HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom］，将“Autorun”键值更改为0（Hex）。如何禁止U盘自启动HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer分支中找到“NoDriveTypeAutoRun”键值(如果没有，可以新建一个)数据类型为REG_DWORD，修改其键值为十六进制“FF” 防止黑客从远程访问注册表。修改Hkey_current_user下的子键：Software\Microsoft\windows\currentversion\policies，把DisableRegistryTools值改为0，类型为DWORD。锁定远程注册表访问WINDOWS平台安全设置下节预习问题：P220 进程是什么？ 如何关闭不响应的进程或病毒进程？ 端口是什么？ 服务是什么？ 端口与服务有什么联系？第2周五*进程、端口和服务进程它是操作系统动态执行的基本单元，在传统的操作系统中，进程既是基本的分配单元，也是基本的执行单元。 每一个进程都有它自己的地址空间 进程是一个“执行中的程序”。程序是一个没有生命的实体(静态,硬盘)，只有处理器赋予程序生命时，它才能成为一个活动的实体，我们称其为进程(动态，内存)。 任何程序要运行必创建对应的进程. 线程：更小进程。WindowsServer2003的登录过程关闭不用或有问题的进程方法一、[CTRL]+[ALT]+[DEL]方法三、利用工具如：优化大师、超级兔子或PCTOOLS中的PSKILL结束进程、冰刃。方法二、运行---CMDc:\ntsd–cq–ppid(为要关闭进程号）要求：老师提供IceSword120_cn工具，小组内分工，每组同学要用上述方法查看到本地进程信息，并会处理。端口 计算机"端口"是英文port的意译，可以认为是计算机与外界通讯交流的出口. 硬件端口:其中硬件领域的端口又称接口，如：USB端口、串行端口等。　　 软件领域的端口一般指网络中面向连接服务和无连接服务的通信 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 端口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入输出）缓冲区。　　 在网络技术中，端口（Port）有好几种意思。集线器、交换机、路由器的端口指的是连接其他网络设备的接口，如RJ-45端口、Serial端口等。 TCP/IP协议中的端口，是逻辑意义上的端口。如果把IP地址比作一间房子，端口就是出入这间房子的门。真正的房子只有几个门，但是一个IP地址的端口可以有65536（即：256×256）个之多！端口是通过端口号来标记的，端口号只有整数，范围是从0到65535（256×256-1）。服务与端口的关系 一台拥有IP地址的主机可以提供许多服务，比如Web服务、FTP服务、SMTP服务等，这些服务完全可以通过1个IP地址来实现。 主机是怎样区分不同的网络服务呢？ 实际上是通过“IP地址+端口号”来区分不同的服务的。 一个通信连接中，源端口与目标端口并不是相同的，如客户机访问WWW服务器时，WWW服务器使用的是80端口，而客户端的端口则是系统动态分配的大于1023的随机端口。 在TCP和UDP协议中，源端口和目标端口号共有65536个(＝216，0～65535)。 按对应的协议类型，端口有两种：TCP端口和UDP端口。由于TCP和UDP两个协议是独立的，因此各自的端口号也相互独立，比如TCP有235端口，UDP也可以有235端口，两者并不冲突。关闭不用的端口 管理好端口号在网络安全中有着非常重要的意义，黑客往往通过探测目标主机开启的端口号进行攻击。 开启的端口可能被攻击者利用，如利用扫描软件，可以扫描到目标主机中开启的端口及服务，因为提供服务就有可能存在漏洞。 查看端口的相关工具有： Windows系统中的netstat-na命令、fport软件、activeport软件、superscan软件、VisualSniffer软件等，此类命令或软件可用来查看主机所开放的端口。 冰刃 可以在网上查看各种服务对应的端口号和木马后门常用端口来判断系统中的可疑端口中，并通过软件查看开启此端口的进程。 确定可疑端口和进程后，可以利用防火墙来屏蔽此端口，也可以通过选择本地连接→TCP/IP→高级→选项→TCP/IP筛选，启用筛选机制来过滤这些端口； 一些端口常常会被攻击者或病毒木马所利用，如端口21、22、23、25、80、110、111、119、135、137、138、139、161、177、389、3389等。关于常见木马程序所使用的端口可以在网上查找到。小组实训P2222.4.4任务4：服务安全配置1.任务目标(1)了解操作系统服务安全的重要性。(2)掌握服务安全配置的方法。2.任务内容(1)关闭不必要的服务。（工具、管理工具---服务）(2)关闭不必要的端口。（关闭服务，写IP安全策略）3.完成任务所需的设备和软件 装有WindowsServer2003虚拟机1台。4.任务实施步骤(1)关闭不必要的服务 禁止所有不必要的服务可以节省内存和大量的系统资源，提升系统启动和运行的速度，更重要的是，可以减少系统受攻击的风险。 步骤1：查看服务。选择“开始”→“程序”→“管理工具”→“服务”命令，打开“服务”窗口，如图2-29所示，可见有很多服务已启动。 步骤2：关闭服务。在图2-29中找到并双击“TaskScheduler”服务选项，打开“TaskScheduler的属性”对话框，如图2-30所示。单击“停止”按钮，停用“TaskScheduler”服务，再在“启动类型”下拉列表中选择“禁用”选项，这样下次系统重新启动时不会重新启用“TaskScheduler”服务，单击“确定”按钮。有些服务不能关！！！（注意）如关闭有Vmware的相关服务，则虚拟机的相关功能不能用！！如关闭了物理机中的VmwareDHCPservice或则虚拟机的DHCP服务，虚拟机无法获得IP。本人试过机器中的金山在做系统优化时关闭长期不用的进程和服务，把Vmware的相关服务关闭，结果我在做虚拟机实训时网卡无法获得IP！！！！*(2)关闭不必要的端口 每一项服务都对应相应的端口，比如众所周知WWW服务的端口为80，SMTP服务的端口为25，FTP服务的端口为21，TELNET服务的端口为23，等等。对于一些不必要的端口，应将它关闭。在Windows系统 目录 工贸企业有限空间作业目录特种设备作业人员作业种类与目录特种设备作业人员目录1类医疗器械目录高值医用耗材参考目录 中的system32\drivers\etc\services文件中有公认端口和服务的对照表，如图2-31所示。①用netstat命令查看本机开放的端口。 系统内部命令netstat可显示有关统计信息和当前TCP/IP网络连接的情况，它可以用来获得系统网络连接的信息(使用的端口和在使用的协议等)、收到和发出的数据、被连接的远程系统的端口等。其语法 格式 pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载 为：netstat[-a][-e][-n][-s][-pprotocol][-r][interval]。 步骤1：在“命令行提示符”窗口中，输入“netstat-an”命令，查看系统端口状态，列出系统正在开放的端口号及其状态，如图2-32所示，可见系统开放的端口号有135、445、137、138、139等。②关闭139端口。 139端口是NetBIOS协议所使用的端口，在安装了TCP/IP协议的同时，NetBIOS也会被作为默认设置安装到系统中。 139端口的开放意味着硬盘可能会在网络中共享；网上黑客也可通过NetBIOS知道用户计算机中的一切。 在以前的Windows版本中，只要不安装Microsoft网络的文件和打印共享协议，就可关闭139端口。但在WindowsServer2003中，只这样做是不行的。如果想彻底关闭139端口，具体步骤如下： 步骤1：右击桌面上的“网上邻居”图标，在弹出的快捷菜单中选择“属性”命令，打开“网络连接”窗口，再右击“本地连接”图标，在弹出的快捷菜单中选择“属性”命令，打开“本地连接属性”对话框，如图2-33所示。 步骤2：取消选择“Microsoft网络的文件和打印共享”复选框(即去掉“Microsoft网络的文件和打印共享”前面的“√”)，再选中“Internet协议(TCP/IP)”选项，单击“属性”按钮，打开“Internet协议(TCP/IP)属性”对话框，如图2-34所示。 步骤3：单击“高级”按钮，打开“高级TCP/IP设置”对话框，在“WINS”选项卡中，选中“禁用TCP/IP上的NetBIOS”单选按钮，如图2-35所示。 步骤4：单击“确定”按钮，返回“Internet协议(TCP/IP)属性”对话框，再单击“确定”按钮，返回“本地连接属性”对话框，单击“关闭”按钮。③端口过滤 假如计算机中安装了Internet信息服务(IIS)，如果只打算浏览网页，可设置端口过滤，只允许TCP协议的80端口通过，而TCP协议的其他端口不允许通过。设置步骤如下。 步骤1：在图2-35中，选择“选项”选项卡，如图2-36所示。 步骤2：双击图中的“TCP/IP筛选”选项，打开“TCP/IP筛选”对话框。 步骤3：选中“启用TCP/IP筛选(所有适配器)”复选框，选中“TCP端口”栏中的“只允许”单选按钮，单击“添加”命令，打开“添加筛选器”对话框，在“TCP端口”文本框中输入端口号“80”，如图2-37所示。 步骤4：单击“确定”按钮，返回“TCP/IP筛选”对话框，再单击“确定”按钮，返回“高级TCP/IP设置”对话框。④关闭其他端口。 在默认情况下，Windows操作系统的很多端口是开放的。用户在上网的时候，病毒和黑客可通过这些端口连上用户的计算机，所以应该关闭这些端口，比如TCP135，139，445，593，1025端口和UDP135，137，138，445端口，以及一些流行病毒的后门端口，如TCP2745，3127，6129端口，以及远程服务访问端口3389等，都需要被关闭才可解除隐患。2.4.3任务3：系统安全配置1.任务目标(1)了解操作系统的系统安全的重要性。(2)掌握系统安全配置的方法。2.任务内容(1)自动更新Windows补丁程序。(2)开启审核策略。(3)关闭默认共享资源。(4)关闭自动播放功能。3.完成任务所需的设备和软件 装有WindowsServer2003操作系统的PC机1台，或WindowsServer2003虚拟机1台。4.任务实施步骤(1)自动更新Windows补丁程序 几乎所有的操作系统都不是十全十美的，总是存在各种安全漏洞，这使非法入侵者有机可乘。因此，及时给Windows系统打上补丁程序，是加强Windows系统安全的简单、高效的方法。 步骤1：右击桌面上的“我的电脑”图标，在弹出的快捷菜单中选择“属性”命令，打开“系统属性”对话框。 步骤2：在“自动更新”选项卡中，选中“自动(推荐)”单选按钮，如图2-21所示，系统默认在每天凌晨3时自动下载推荐的更新，并安装它们。(2)开启审核策略P231 安全审核是WindowsServer2003最基本的入侵检测方法。当有非法入侵者对系统进行入侵时，都会被安全审核记录下来 步骤1：在“本地安全设置”窗口中，选择“本地策略”→“审核策略”选项，右侧窗格中列出了审核策略列表，这些审核策略在默认情况下都是未开启的，如图2-22所示。 步骤2：双击右侧窗格中的“审核登录事件”策略选项，打开“审核登录事件属性”对话框，在“本地安全设置”选项卡中，选中“成功”和“失败”复选框，如图2-23所示，单击“确定”按钮。 步骤3：同理，根据需要设置其他审核策略。 说明：以下是各种审核策略的含义。①审核策略更改：审核对策略的改变操作。②审核登录事件：审核账户的登录或注销操作。③审核对象访问：审核对文件或文件夹等对象的操作。④审核过程跟踪：审核应用程序的启动和关闭。⑤审核目录服务访问：审核对活动目录的各种访问。⑥审核特权使用：审核用户执行用户权限的操作，如更改系统时间等。⑦审核系统事件：审核与系统相关的事件，如重新启动或关闭计算机等。⑧审核账户登录事件：审核账户的登录或注销另一台计算机(用于验证账户)的操作。⑨审核账户管理：审核与账户管理有关的操作。(3)关闭默认共享资源 Windows系统安装好后，为了便于远程管理，系统会创建一些隐蔽的特殊共享资源，如ADMIN$、C$、IPC$等，这些共享资源在“我的电脑”中是不可见的。 一般情况下，用户不会去使用这些特殊的共享资源，但是非法入侵者却会利用它来对系统进行攻击，以获取系统的控制权，最典型的就是IPC$入侵。 因此，系统管理员在确认不会使用这些特殊共享资源的情况下，应删除这些特殊的共享资源。 说明：①C$、D$等：允许管理人员连接到驱动器根目录下的共享资源。②ADMIN$：计算机远程管理期间使用的资源。该资源的路径总是系统根目录路径(安装操作系统的目录，如C:\Windows)。③IPC$：共享命名管理的资源，在程序之间的通信过程中，该命名管道起着至关重要的作用。在计算机的远程管理期间，以及在查看计算机的共享资源时使用IPC$。不能删除该资源。④系统重新启动后，被删除的特殊共享资源将会重新建立。因此，为保证不会出现特殊共享资源攻击，应使用批处理的方式在系统重启时自动进行删除操作。⑤全部删除系统中的特殊共享资源，将影响系统提供的文件共享服务、打印共享服务等网络服务，删除前应仔细确认WindowsServer2003操作系统所扮演的角色，是作为单独的桌面操作系统使用，还是作为网络操作系统提供各种网络服务使用。 步骤1：在“命令提示符”窗口中，输入“netshare”命令，查看共享资源，如图2-24所示。 步骤2：输入“netshareADMIN$/delete”命令，删除ADMIN$共享资源，再输入“netshare”命令，验证是否已删除ADMIN$共享资源，如图2-25所示。 同理，可删除C$、D$等共享资源。 步骤3：IPC$共享资源不能被netshare命令删除，须利用注册表编辑器来对它进行限制使用。 选择“开始”→“运行”命令，打开“运行”对话框，在对话框的“打开”文本框中输入“regedit”命令，然后单击“确定”按钮，打开注册表编辑器，找到组键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键，将其值改为1，如果没有这个子键，则新建它 此时一个匿名用户仍然可以空连接到IPC$共享，但无法通过这种空连接列举SAM账号和共享信息的权限(枚举攻击)。(4)关闭自动播放功能 现在很多病毒(如U盘病毒)会利用系统的自动播放功能来进行传播，关闭系统的自动播放功能可以降低病毒传播的风险。 步骤1：选择“开始”→“运行”命令，打开“运行”对话框，在对话框的“打开”文本框中输入“gpedit.msc”命令，然后单击“确定”按钮，打开“组策略编辑器”窗口。 步骤2：在窗口的左侧窗格中，选择“‘本地计算机’策略”→“计算机配置”→“管理模板”→“系统”选项，然后在右侧窗格中找到并双击“关闭自动播放”选项(如图2-27所示)，打开“关闭自动播放属性”对话框。 步骤3：在“设置”选项卡中，选中“已启用”单选按钮，并在“关闭自动播放”列表中选择需要的选项，如“所有驱动器”，如图2-28所示，单击“确定”按钮。 注意：“关闭自动播放”设置是只能使系统不再列出光盘和移动存储设备的目录，并不能够阻止自动播放音乐CD盘。要阻止音乐CD的自动播放，可更改移动存储设备的属性。拓展提高：Windows系统的安全模板P2351.什么是安全模板 安全模板是由WindowsServer2003支持的安全属性的文件(.inf)组成的。 安全模板将所有的安全属性组织到一个位置，以简化安全性管理。 安全模板包含了安全性信息账户策略、本地策略、事件日志、受限制的组、系统服务、注册表、文件系统等共7类。 安全模板也可以用做安全分析。 通过使用安全模板管理单元，可以创建对网络或计算机的安全策略。 安全模板是代表安全配置的文本文件，将其应用于本地计算机、导入到组策略或使用安全模板来分析安全性。(1)默认安全设置(setupsecurity.inf)。setupsecurity.inf代表在安装操作系统期间所应用的默认安全设置，其中包括对系统驱动器的根目录的文件权限。此模板的某些部分可应用于故障恢复。(2)兼容(compatws.inf)。工作站和服务器的默认权限主要授予3个本地组：Administrators、PowerUsers和Users。Administrators享有最高的权限，而Users的权限最低。不要将兼容模板应用到域控制器。(3)安全(secure*.inf)。安全模板定义了至少可能影响应用程序兼容性的增强安全设置。例如，安全模板定义了更严密的密码、锁定和审核设置。 此外，安全模板还限制了LAN Manager和NTLM身份认证协议的使用，其方式是将客户端配置为仅可发送NTLMv2响应，而将服务器配置为可拒绝LAN Manager的响应。 安全模板细分为securews.inf和securedc.inf。securews.inf应用于成员计算机，securedc.inf应用于服务器。(4)高级安全(hisec*.inf)。高级安全模板是对加密和签名做进一步限制的安全模板的扩展集，这些加密和签名是进行身份认证和保证数据通过安全通道以及在SMB客户机和服务器之间进行安全传输所必需的。例如，安全模板可以使服务器拒绝LANManager的响应，而高级安全模板则可以使服务器同时拒绝LANManager和NTLM的响应。安全模板可以启用服务器端的SMB数据包签名，而高级安全模板则要求这种签名。此外，高级安全模板还要求对安全通道数据进行强力加密和签名，从而形成域到成员以及域到域的信任关系。 高级安全模板细分为hisecws.inf和hisecdc.inf。一般，hisecws.inf应用于普通服务器，hisecdc.inf应用于域控制器。(5)系统根目录安全(rootsec.inf)。rootsec.inf可以指定由WindowsServer2003所引入的新的根目录权限。默认情况下，rootsec.inf为系统驱动器根目录定义这些权限。如果不小心更改了根目录权限，则可以利用该模板重新应用根目录权限，或者通过修改模板对其他卷应用相同的根目录权限。3.使用安全模板 运行“mmc.exe”命令，打开控制台，选择菜单“文件”→“添加/删除管理单元”命令，把“安全模板”添加到控制台中。双击“安全模板”选项，可以看到几个预定义的安全模板，如图2-55所示。这些模板保存在%systemroot%\security\templates中，用户也可以创建包含安全设置的自定义安全模板。 双击要修改的安全策略，根据需要进行修改后，右击已修改的安全配置模板的名称，然后选择“另存为”命令，新建一个模板。知识拓展（自学内容） Windows系统体系结构 WindowsServer2003的安全模型 Windows安全子系统结构 漏洞与后门Windows系统体系结构WindowsServer2003的安全模型安全策略：CorporateSecurityPolicy审计Audit管理AdministrationWindows的安全包括6个主要的安全元素： 审计：Audit, 管理：Administration 加密：Encryption 权限控制：AccessControl 用户认证：UserAuthentication 安全策略：CorporateSecurityPolicy。WindowsNT/2K系统内置支持用户认证、访问控制、管理、审核。Windows安全子系统结构本地安全策略Kerberos审核日志MSV1_0NetlogonWindowsNT客户和服务器Windows2000客户和服务器SAM本地安全授权（LSA）提供Windows目录服务和复制。它支持轻量级目录访问协议（LDAP）和数据的管理部分Windows中默认的身份验证协议。它用于Windows2000计算机之间以及支持Kerberos身份验证的客户之间的所有身份验证。安全子系统的中心组件，它促使访问令牌、管理本地计算机上的安全策略并向用户登录提供身份验证用于WindowsNT身份验证的身份验证包。它用于为不支持Kerberos身份验证的Windows客户提供兼容支持一个内核模式组件，它可以避免任何用户或进程直接访问对象而且还可以验证所有对象访问，它还生成相应的审核消息是本地用户和工作组的一个数据库，用于对本地用户的登录身份进行验证以及对所有登录的用户权限进行设置漏洞与后门1.漏洞 漏洞即某个程序(包括操作系统)在设计时未考虑周全，当程序遇到一个看似合理，但实际无法处理的问题时，引发的不可预见的错误。系统漏洞又称安全缺陷，对用户造成的不良后果有：①如漏洞被恶意用户利用，会造成信息泄漏。例如，黑客攻击网站即利用网络服务器操作系统的漏洞。②对用户操作造成不便。例如，不明原因的死机和丢失文件等。 可见，仅有堵住系统漏洞，用户才会有一个安全和稳定的工作环境。 漏洞的产生大致有以下3个原因。①编程人员的人为因素。在程序编写过程中，为实现不可告人的目的，在程序代码的隐蔽处留有后门。②受编程人员的能力、经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升。③由于硬件原因，使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件表现出来。几乎所有的操作系统都不是十全十美的，总是存在各种安全漏洞。2.后门 后门又称为BackDoor，是绕过安全性控制而获取对程序或系统访问权的方法。 在软件的开发阶段，程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道，或是在发布软件之前没有删除后门，那么它就成了安全风险。 后门产生的必要条件有：①必须以某种方式与其他终端节点相连。因为都是从其他节点访问后门，因此必须使用双绞线、光纤、串/并口、蓝牙、红外等设备与目标主机连接才可以对端口进行访问。只有访问成功，双方才可以进行信息交流，攻击方才有机会进行入侵。②目标主机默认开放的可供外界访问的端口必须在一个以上。因为一台默认无任何端口开放的机器是无法进行通信的，而如果开放的端口无法被外界访问，则目标主机同样不可能遭到入侵。③目标机存在程序设计或人为疏忽，导致攻击者能以权限较高的身份执行程序。并不是任何一个权限的帐号都能够被利用的，只有权限达到操作系统一定要求后，才允许执行修改注册表、修改日志记录等操作。 后门的分类方式有多种，为了便于大家理解，下面从技术方面来考虑后门的分类方法。①网页后门。这类后门一般都是利用服务器上正常的Web服务来构造自己的连接方式，比如现在非常流行的ASP、CGI脚本后门等。②线程插入后门。利用系统自身的某个服务或者线程，将后门程序插入到其中，这也是现在最流行的一个后门技术。③扩展后门。所谓的“扩展”，是指在功能上有大的提升，比普通的单一功能的后门有更强的使用性，这种后门本身就相当于一个小的安全工具包，能实现非常多的常见安全功能。④C/S后门。采用“客户端/服务器”的控制方式，通过某种特定的访问方式来启动后门，从而达到控制服务器的目的。⑤rootkit。rootkit出现于20世纪90年代初，在1994年2月的一篇安全咨询报告中首先使用了rootkit这个名词。 rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击获得root访问权限，进入系统后，攻击者会在侵入的主机中安装rootkit，然后他将经常通过rootkit的后门检查是否有其他的用户登录系统，如果只有自己，攻击者就开始清理日志中的有关信息。通过rootkit的嗅探器获得其他系统的用户和密码之后，攻击者就会利用这些信息侵入其他系统。3.漏洞与后门的区别 后门是留在计算机系统中，通过某种特殊方式控制计算机系统以供某类特殊使用的途径。它不仅绕过系统已有的安全设置，而且还能挫败系统上的各种增强的安全设置。 漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，攻击者能够利用这些漏洞在未授权的情况下访问或破坏系统。 漏洞虽然可能最初就存在于系统当中，但漏洞并不是自己出现的，必须要有人来发现。在实际使用中，用户会发现系统中存在的错误，而入侵者会有意利用其中的某些错误来威胁系统安全，这时人们会认识到这个错误是一个漏洞。然后系统供应商会尽快发布针对这个漏洞的补丁程序。 漏洞和后门是不同的，漏洞是一种无意的行为，是不可避免的，是难以预知的，无论是硬件还是软件都存在着漏洞；而后门是一种有意的行为，是人为故意设置的，是完全可以避免的。 信息漏洞库跟踪网站www.exploit-db.com, 发现系统的漏洞，也可从此网站下载文件修补写IP安全策略关闭139端口(自选实训） 步骤1：选择“开始”→“程序”→“管理工具”→“本地安全策略”命令，打开“本地安全设置”窗口，在左侧窗格中，选择“IP安全策略，在本地计算机”选项，在右侧窗格的空白位置右击鼠标，在弹出的快捷菜单中选择“创建IP安全策略”命令，如图2-38所示。 步骤2：在打开的向导中单击“下一步”按钮，打开“IP安全策略名称”对话框，在“名称”文本框输入“我的安全策略”，如图2-39所示。 步骤3：单击“下一步”按钮，打开“安全通讯请求”对话框，取消选择“激活默认响应规则”复选框，如图2-40所示。 步骤4：单击“下一步”按钮，再单击“完成”按钮，打开“我的安全策略属性”对话框，如图2-41所示。 步骤5：在“规则”选项卡中，取消选择“使用‘添加向导’”复选框，再单击“添加”按钮，打开“新规则属性”对话框，如图2-42所示。 步骤6：单击“添加”按钮，打开“IP筛选器列表”对话框，在“名称”文本框中输入“屏蔽135端口”，取消选择“使用添加向导”复选框，如图2-43所示。 步骤7：单击“添加”按钮，打开“IP筛选器属性”对话框，在“地址”选项卡中，在“源地址”下拉列表框中选择“任何IP地址”选项，在“目标地址”下拉列表框中选择“我的IP地址”选项，如图2-44所示。 步骤8：在“协议”选项卡中，选择协议类型为“TCP”，选中“从任意端口”和“到此端口”单选按钮，并在其下的文本框中输入端口号“135”，如图2-45所示。 步骤9：单击“确定”按钮，返回“IP筛选器列表”对话框，再单击“确定”按钮，返回“新规则属性”对话框，可以看到已经添加了一条“屏蔽135端口”筛选器，如图2-46所示，它可以防止外界通过135端口连上用户的计算机。同理，可添加其他IP筛选器。 步骤10：选择“屏蔽135端口”筛选器，然后单击其左边的圆圈，表示已经激活，然后选择“筛选器操作”选项卡，如图2-47所示。 步骤11：在“筛选器操作”选项卡中，取消选择“使用‘添加向导’”复选框，单击“添加”按钮，打开“新筛选器操作属性”对话框，如图2-48所示。 步骤12：选中“阻止”单选按钮，然后单击“确定”按钮，返回“新规则属性”对话框，在“筛选器操作”选项卡中，可以看到已经添加了一个新的筛选器操作，选择“新筛选器操作”选项，然后单击其左边的圆圈，表示已经激活，如图2-49所示。 步骤13：单击“关闭”按钮，返回到“我的安全策略属性”对话框，选中“屏蔽135端口”复选框，如图2-50所示，单击“确定”按钮关闭对话框。 步骤14：在“本地安全设置”窗口中，右击新添加的“我的安全策略”选项，在弹出的快捷菜单中选择“指派”命令，如图2-51所示。 重新启动计算机后，上述网络端口就被关闭了，病毒和黑客再也不能连上这些端口，从而保护了计算机的安全。本章要交的作业内容：上课过程中要上交的实训内容：1.每组同学要设置设置BIOS开机密码、WINDOWS登录密码、账户数据库密码，并进行拷屏。（张三）2.每组同学要用工具把查看到的本地账户密码信息进行拷屏。（李四）3.关闭TELNET服务，关闭默认共享资源、关闭自动播放功能，主要操作进行拷屏。（王五） 每组把以上实训的内容合到一个DOC文件中，命名为“组名（第6章作业）.DOC”发到副班长,副班长收并登记后打包为第6章作业.RAR发给老师指定邮箱。*此课件下载可自行编辑修改，供参考！感谢您的支持，我们努力做得更好！找个学生回答他如何设置密码1)如：用户名和密码都是test00001。　*　几乎所有盗取密码的人，都会以用户名作为破解密码的突破口。2)如：用户名为test000001，密码为test或000001。　*　如果您的用户名是字母和数字组合，如：test000001，那么别人要盗取您的密码时，肯定会以用户名中的字母或数字来试密码。3)如123456789、1111111等。　*　几乎所有黑客软件，都会从连续或相同的数字开始试密码。如：先试111、1111……到9999999999，然后再试123、321、234.4)如用户名为test，密码为test123、aaatest、tset等。8)*　数字只有10个，8位数字组成方式只有10的8次方=100,000,000种，按普通计算机每秒搜索3～4万种的速度计算，黑客软件只需要不到3小时就可以破解您的密码了。使用5位以下的小写字母加数字作为口令。　*　小写字母加数字一共36位，组合方式只有36的5次方=60466176种可能性，按普通的计算机每秒搜索3～4万种的速度计算，黑客软件只需要25分钟就可以破解您的密码。SysKey实用程序可用于通过移动SAM数据库关闭基于Windows的计算机的加密密钥的另外保护SAM数据库。syskey密码如果忘记是不能找回的，唯一解决的办法就是在开启该功能之前先备份注册表，需要关闭时恢复备份的注册表就可以了。DOS系统执行xcopyC:\windows\repairC:\windows\system32\configPE等图形系统就直接把Windows里的repair文件夹下的全部内容复制到system32\config文件夹这样可以把系统的用户信息、注册表信息等全部恢复到安装系统时的状态，不过Ghost版系统一般没有repair文件夹，所以如果是Ghost版系统就没办法了.PE系统一般有破解软件。第二周二13网络管理*第2周五*本人试过机器中的金山在做系统优化时关闭长期不用的进程和服务，把Vmware的相关服务关闭，结果我在做虚拟机实训时网卡无法获得IP！！！！**