Windows安全系統(tǒng)加固建議

1、Windows系統(tǒng) 安全加固技術(shù),Windows系統(tǒng)安全加固技術(shù),配置注冊表提高系統(tǒng)安全 賬號安全策略設(shè)置 系統(tǒng)服務(wù)安全設(shè)置 系統(tǒng)權(quán)限技術(shù) 注冊表和系統(tǒng)文件監(jiān)控 系統(tǒng)進(jìn)程和端口檢查和分析 系統(tǒng)漏洞檢查和分析 IIS安全設(shè)置,配置注冊表提高系統(tǒng)安全,通過注冊表，用戶可以輕易地添加、刪除、修改 windows系統(tǒng)內(nèi)的軟件配置信息或硬件驅(qū)動程序， 這不僅方便了用戶對系統(tǒng)軟硬件的工作狀態(tài)進(jìn)行適時 的調(diào)整，與此同時注冊表也成為入侵者攻擊的目標(biāo)， 通過注冊表種植木馬、修改軟件信息，甚至刪除、停 用或改變硬件的工作狀態(tài),注冊表相關(guān)知識,注冊表根項說明,HKEY_LOCAL_MACHINE包含關(guān)于本地計算機(jī)系

2、統(tǒng)的信息，包括硬件和操作系統(tǒng)數(shù)據(jù)。 HEKY_CLASSES_ROOT包含由各種OLE技術(shù)使用的信息技術(shù)和文件類別關(guān)聯(lián)數(shù)據(jù) HKEY_CURRENT_USER包括環(huán)境變量、桌面設(shè)置、網(wǎng)絡(luò)連接、打印機(jī)和程序首選項。 HKEY_USERS包含關(guān)于動態(tài)加載的用戶配置文件和默認(rèn)的配置文件的信息。有些信息和HKEY_CURRENT_USER交叉出現(xiàn)。 HKEY_CURRENT_CONFIG包含在啟動時由本地計算機(jī)系統(tǒng)使用的硬件配置文件的相關(guān)信息,確保注冊表安全,利用文件管理器對regedit.exe 文件設(shè)置成只允許管理員能夠 使用該命令訪問修改注冊表， 其他用戶只能讀取，但不能修 改，這樣可以防止非法

3、用戶惡 意修改注冊表,注冊表安全設(shè)置的典型案例,徹底隱藏文件及文件夾 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL，CheckedValue鍵值項，將它的鍵值修改為“0”，如果沒有該鍵值的話，可以自己新建一個名為“CheckedValue”的“DWORD值”，然后將其值修改為“0”即可。 隱藏磁盤“HKEY_CURRENT_USERSoftwareMi crosoftWindowsCurrentVersionPolicies Explorer”，在右側(cè)窗口中

4、新增一個名為“NoDrives”的DWORD值。若將“數(shù)值數(shù)據(jù)”設(shè)為“1”，則表示隱藏A盤;設(shè)為“2”則表示隱藏B盤;設(shè)為“4”表示隱藏C盤，隱藏其它的盤符可按此規(guī)律類推，只要“數(shù)值數(shù)據(jù)”是上一個數(shù)值一倍即可,將多個盤符數(shù)值相加可以同時隱藏多個磁盤,賬號及安全策略,帳號安全是計算機(jī)系統(tǒng)安全的第一關(guān)，如果計算機(jī)系統(tǒng)帳號被盜，那么計算機(jī)將會很危險的，輕則入侵者可以任意控制計算機(jī)，如果我們的計算機(jī)中保存著重要的機(jī)密文件或者銀行卡號與密碼，那么損失將會非常嚴(yán)重。 個人計算機(jī)用戶防范： 1、安裝殺毒軟件及防火墻，并經(jīng)常升級。 2、經(jīng)常升級系統(tǒng)和應(yīng)用軟件補(bǔ)丁。3、不要輕易打開來歷不明的文件。4、關(guān)閉不需要

5、的系統(tǒng)服務(wù)。5、為所有帳號加上足夠復(fù)雜的密碼 服務(wù)器及企業(yè)用戶的防范： 1、安裝殺毒軟件及防火墻（最好是硬件防火墻）2、經(jīng)常升級系統(tǒng)及應(yīng)用軟件補(bǔ)丁3、不要打開來歷不明的文件4、關(guān)閉不需要的系統(tǒng)服務(wù)5、關(guān)閉GUEST帳戶或者給所有的用戶加一個足夠復(fù)雜的密碼6、把管理員組administrators改名7、服務(wù)器的分區(qū)格式都采用NTFS格式8、開啟安全審核9、使用掃描工具對服務(wù)器和WEB站點(diǎn)進(jìn)行安全掃描10、經(jīng)常查看系統(tǒng)進(jìn)程和系統(tǒng)日志11、定期做好備份,防止“帳號克隆”的本地安全設(shè)置,黑客通過入侵得到一臺計算機(jī)的帳號及密碼后，一般會想辦法讓自己隱藏起來，避免被管理員發(fā)現(xiàn)，他們會 “克隆” 一個帳號

6、，這個賬號一般是管理員不太注意的，這樣他就可以長期控制著臺計算機(jī)而不被發(fā)現(xiàn)。 因此我們必須阻斷其“克隆”的途徑，方法是禁用存有帳戶名稱和密碼的SAM帳戶。 1、控制面板-管理工具-本地安全策略選項 2、在“本地安全設(shè)置”中單擊“本地策略”中的“安全選項”命令，將右邊“策略”中“網(wǎng)絡(luò)訪問：不允許SAM帳戶的匿名枚舉”及“網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉”命令啟用，如下圖,防止“帳號克隆”的本地安全設(shè)置,系統(tǒng)服務(wù)安全設(shè)置,計算機(jī)提供的服務(wù)具有兩面性，一是為合法用 戶服務(wù)，二也有可能被入侵者利用，通過系統(tǒng)服務(wù) 的漏洞入侵計算機(jī)的安全事件數(shù)不勝數(shù)，為了讓計 算機(jī)系統(tǒng)的安全性更加堅固，下面講述

7、一下如何配 置系統(tǒng)服務(wù)安全,禁止不必要的系統(tǒng)服務(wù),系統(tǒng)服務(wù)安全配置,修改TTL值 防止ICMP重定向報文攻擊 修改注冊表防御DoS攻擊 禁止默認(rèn)共享 提高Cookie安全級別 防止跨站攻擊,系統(tǒng)服務(wù)安全配置,黑客為了得到入侵的第一手資料，通常會先判斷目標(biāo)計算機(jī)的操作系統(tǒng)類型。通過Ping目標(biāo)計算機(jī)的IP地址，由返回來的TTL（存活時間）值來判斷是什么操作系統(tǒng)。因此我們修改TTL值來迷惑黑客對操作系統(tǒng)的探測和判斷：1、打開注冊表，展開子項鍵：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters改變DefaultTTL鍵值

8、，windowsXP的默認(rèn)鍵值為64，我們可以改為128或256等,TTL修改后的鍵值項,修改注冊表防御DoS攻擊,黑客工具的普遍流傳，造成DoS攻擊越來越來 傻瓜化，攻擊者不需要很高的計算機(jī)技術(shù)知識就可以 實施。因此防范DoS攻擊提高系統(tǒng)的抵抗能力也成為 我們的當(dāng)務(wù)之急。這里以windowsXP為例講述利用簡 單的修改注冊表提高系統(tǒng)對于DoS攻擊的抵抗能力,修改注冊表抵御DOS攻擊,HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServicesTcpipParameters找到SYNATTACKPROTECT鍵值項，把默認(rèn)的數(shù)值由“1”改為“2”，啟動S

9、YN攻擊保護(hù)，從而實現(xiàn)抵御DoS攻擊,進(jìn)入注冊表，展開,禁止默認(rèn)共享,默認(rèn)共享是Windows內(nèi)核的windows操作系統(tǒng)為了方便遠(yuǎn)程管理而開放的共享，它使用的是139端口。它包含了所有的邏輯盤（C$,D$.）和系統(tǒng)目錄，默認(rèn)共享很容易被惡意利用，IPC$攻擊就是針對默認(rèn)共享的，用net share查看系統(tǒng)開放的共享,禁止空連接進(jìn)行枚舉,展開分支：HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrollsa 修改restrictanonymous的值，有默認(rèn)的“0”改為“1” 禁止默認(rèn)共享 HKEY_LOCAL_MACHINEsystemcurrent

10、controlsetserviceslanmanserverparanmeters修改AutoshareServer為“0” 關(guān)閉默認(rèn)共享依靠Server服務(wù) 打開控制面板-管理工具-服務(wù) 選項，在本地服務(wù)中找到“server”，右擊后選擇“屬性”，然后在常規(guī)選項中單擊“停止”，禁用,系統(tǒng)權(quán)限設(shè)置,Windows2000以后的操作系統(tǒng)引入了一種權(quán)限機(jī)制，以 實現(xiàn)對計算機(jī)的分級管理，它使不同的用戶有不同的權(quán)限，從 而適應(yīng)了更加目前嚴(yán)峻的安全狀況和應(yīng)用需求。Windows默認(rèn) 的權(quán)限設(shè)置存在紕漏，很容易被黑客以及病毒木馬利用，合理 設(shè)置權(quán)限才能保障計算機(jī)的安全,FAT32轉(zhuǎn)為NTFS格式,由于NT

11、FS磁盤格式具有FAT32所沒有的文件權(quán)限分級和 加密安全性設(shè)計，因此為防止病毒或黑客木馬破壞系統(tǒng)， 可以利用NTFS強(qiáng)大的權(quán)限分級來實現(xiàn)。 FAT32轉(zhuǎn)換成NTFS過程：進(jìn)入命令行操作窗口輸入 convert d：/fs:ntfs，其中d：為要轉(zhuǎn)換的盤符，這樣d盤 就轉(zhuǎn)換成NTFS格式了,文件夾權(quán)限的設(shè)置,大多數(shù)木馬或病毒經(jīng)常將自身文件通過Administrators用戶寫入system32 文件夾中，因此我們可以通過NTFS格式中文件或文件夾屬性中的權(quán)限設(shè) 置杜絕木馬或病毒隨意將文件寫入system32中。 修改辦法：右擊“system32”文件夾，點(diǎn)擊“屬性”，在安全選項卡中選擇 Adm

12、inistrators，然后在“Administrators的權(quán)限窗口中”在“寫入”多選框中 選中“拒絕”。這樣就避免病毒或木馬文件在此目錄下形成文件。 （如何開啟windows xp文件、文件夾的安全選項卡 windows xp安裝完成以后，默認(rèn)情況下，文件、文件夾的安全選項卡不能設(shè)置（顯示），打開方法如下：1. 單擊“開始”，然后單擊“我的電腦”。2. 在“工具”菜單上，單擊“文件夾選項”，然后單擊“查看”選項卡。3. 在“高級設(shè)置”部分中，清除“使用簡單文件共享（推薦）”復(fù)選框。4. 單擊“確定”。這樣，你再次打開文件、文件夾的屬性窗口，即可看見您期待的安全選項卡。,修改system文件

13、夾安全選項,限制協(xié)議和端口,TCP/IP屬性-高級-選項-tcp/ip篩選屬性 中添加或刪除端口、協(xié)議 修改完成后，“禁用”-”啟動“后即生效,注冊表及系統(tǒng)文件監(jiān)控,病毒及黑客入侵往往會改寫注冊表和向系統(tǒng)文件 夾中添加其運(yùn)行必需的文件和參數(shù)，因此監(jiān)控注冊表 和系統(tǒng)文件是否發(fā)生變化，使我們查找和防御黑客和 病毒入侵的一個必要手段。下面我們通過Regsnap工 具演示一下監(jiān)控注冊表和系統(tǒng)文件的方法和過程,RegSnap介紹,RegSnap是一個優(yōu)秀的注冊表快照工具。主要功能有： 詳細(xì)地向你報告注冊表及其他與系統(tǒng)有關(guān)項目的修改和變化情況。報告結(jié)果既可以純文本的方式，也可以 HTML 網(wǎng)頁的方式顯示，

14、非常便于查看。 RegSnap 報告的內(nèi)容有：注冊表的變化情況；windows、System 和我的文檔目錄下文件的變化情況，包括刪除、替換、增加了哪些文件；系統(tǒng)配置文件 Win.ini 和 System.ini 的變化情況，包括刪除、修改和增加了哪些內(nèi)容；自動批處理文件 Autoexec.bat 是否被修改過。 該軟件可以在需要的時候方便地恢復(fù)注冊表，可以直接調(diào)用注冊表編 輯器查看或修改注冊表，還可以查看當(dāng)前計算機(jī)的計算機(jī)名和用戶名,RegSnap使用流程,1、初始快照 2、時間結(jié)束快照 3、對比快照內(nèi)容,RegSnap快照設(shè)置,配置,RegSnap快照,RegSnap快照比較,RegSna

15、p快照結(jié)果,端口檢查命令,netstat -a 查看開啟了哪些端口 netstat -n 查看端口的網(wǎng)絡(luò)連接情況 我們往往將這兩個參數(shù)合并執(zhí)行,進(jìn)程查看器,我們通過進(jìn)程查看器可以隨時監(jiān)視及其內(nèi)存中的程序活動狀態(tài)-PrcView,系統(tǒng)漏洞檢查和分析,系統(tǒng)漏洞往往是黑客和病毒入侵的突破口，因此在 運(yùn)用一些工具及設(shè)置加固系統(tǒng)的時候，堵塞漏洞是必 需的。目前檢查漏洞的工具很多，幾乎每個殺毒軟件 都有相應(yīng)的功能，例如瑞星防火墻不僅可以查找漏洞 還可以自動連接微軟的補(bǔ)丁網(wǎng)站下載并安裝漏洞補(bǔ)丁。 這里就不再贅述了,IIS安全設(shè)置,IIS安裝時，盡量避免把IIS安裝在系統(tǒng)分區(qū)上，否則系統(tǒng)文件 與IIS同樣面臨非法訪問，容易使非法用戶侵入系統(tǒng)分區(qū)。 www目錄的訪