Windows2000系統(tǒng)安全管理(1)ppt課件

1、Windows 2000系統(tǒng)平安管理 系統(tǒng)帳號管理文件系統(tǒng)管理系統(tǒng)進程效力系統(tǒng)平安根本配置用戶類型Administrator(默許的超級管理員)系統(tǒng)帳號(Print Operater、Backup Operator)Guest(默許來賓帳號)系統(tǒng)帳號管理本地用戶(accounts)和組(groups)帳戶(user accounts) -定義了Windows中一個用戶所必要的信息，包括 口令、平安ID(SID)、組成員關系、登錄限制， 組：Administrators、Backup Operators、Guest、 Power Users系統(tǒng)帳號管理密碼存放位置注冊表HKEY_LOCAL_MA

2、CHINESAM下Winnt/system32/config/sam系統(tǒng)帳號管理Windows下 管理工具計算機管理本地用戶和組Windows下 (域)用戶管理器命令行方式 net user 用戶名 密碼/add /delete 將用戶參與到組 net localgroup 組名 用戶名 /add /delete添加/刪除帳戶系統(tǒng)帳號管理Win2000的默許安裝允許任何用戶經(jīng)過空用戶得到系統(tǒng)一切賬號/共享列表，這是為了方便局域網(wǎng)用戶共享文件的。但是一個遠程用戶也可以得到他的用戶列表并運用暴力法破解用戶密碼。可以經(jīng)過更改注冊表Local_MachineSystemCurrentControlSe

3、tControlLSA-RestrictAnonymous = 1來制止空銜接。同時Windows的本地平安戰(zhàn)略就有這樣的選項RestrictAnonymous匿名銜接的額外限制，這個選項有三個值： 0：None. Rely on default permissions無，取決于默許的權限 1：Do not allow enumeration of SAM accounts and shares不允許枚舉SAM帳號和共享 2：No access without explicit anonymous permissions沒有顯式匿名權限就不允許訪問 0，這個值是系統(tǒng)默許的，什么限制都沒有，遠程

4、用戶可以知道他機器上一切的賬號、組信息、共享目錄、網(wǎng)絡傳輸列表(NetServerTransportEnum等等。1，這個值是只允許非NULL用戶存取SAM賬號信息和共享信息。 2，這個值需求留意的是，假設他一旦運用了這個值，共享信息就全完了。本地帳戶系統(tǒng)帳號管理SAM數(shù)據(jù)庫與ADSAM中口令的保管采用單向函數(shù)(OWF)或散列算法實現(xiàn)在%systemroot%system32configsam中實現(xiàn)DC上，賬號與密碼散列保管在%systemroot%ntdsntds.dit中SYSKEY功能從NT4 sp3開場提供散 列128位隨鑰保管到SAM文件中保管隨鑰注冊表中注冊表中，同時運用額外的口令

5、加密軟磁盤SID與令牌SID獨一標示一個對象運用User2sid和sid2user工具進展雙向查詢令牌：經(jīng)過SID標示賬號對象以及所屬的組SIDS-1-5-21-1507001333-1204550764-1011284298-500令牌User=S-1-21- S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOne S-1-1-0Group2=Administrators S-1-5-32-544解讀SIDSIDS-1-5-21-1507001333-1204550764-1011284298-500修訂版本編號頒發(fā)機構代碼，

6、Windows 2000總為5子頒發(fā)機構代碼，共有4個；具有獨一性相對標示符RID，普通為常數(shù)著名的SIDS-1-1-0 EveryoneS-1-2-0 Interactive用戶S-1-3-0 Creator OwnerS-1-3-1 Creator GroupWindows 2000認證與授權訪問用戶AWinlogon運用賬戶稱號/口令進展認證勝利令牌User=S-1-21- S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOne S-1-1-0Group2=Administrators S-1-5-32-544允許Read

7、=A S-1-5-21 Write=administrators S-1-5-32-544File.txtSRM,平安參考監(jiān)視器訪問文件系統(tǒng)管理Windows系統(tǒng)用戶的特定權益：Access this computer from network 可運用戶經(jīng)過網(wǎng)絡訪問該計算機。Add workstation to a domain 允許用戶將任務站添加到域中。Backup files and directories 授權用戶對計算機的文件和目錄進展備份。Change the system time 用戶可以設置計算機的系統(tǒng)時鐘。Load and unload device drive 允許在網(wǎng)絡

8、上安裝和刪除設備驅動程序。 Restore files and directories 允許用戶恢復以前備份的文件和目錄。Shutdown the system 允許用戶封鎖系統(tǒng)。文件系統(tǒng)管理Windows系統(tǒng)的用戶權限 權限適用于對特定對象如目錄和文件只適用于NTFS卷的操作， 指定允許哪些用戶可以運用這些對象，以及如何運用如把某個目錄的訪問權限授予指定的用戶。權限分為目錄權限和文件權限，每一個權級別都確定了一個執(zhí)行特定的義務組合的才干，這些義務是： Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership

9、(O)。文件系統(tǒng)管理目錄權限級別RXWDPO允許系統(tǒng)用戶的操作No AccessNone用戶不能訪問該目錄ListRX可以查看目錄中的子目錄和文件名，也可以進入其子目錄ReadRX具有List權限，用戶可以讀取目錄中的文件和 運行目錄中的應用程序AddXW用戶可以添加文件和子目錄Add and ReadRXW具有Read和Add的權限ChangeRXWD有Add和Read的權限， 另外還可以更改文件的內容，刪除文件和子目錄Full controlRXWDPO有Change的權限，另外用戶可以更改權限和獲取目錄的所有權Windows系統(tǒng)的用戶權限 目錄權限文件權限Windows系統(tǒng)的用戶權限 權

10、限級別RXWDPO允許系統(tǒng)用戶的操作No Access用戶不能訪問該文件ReadRX用戶可以讀取該文件，如果是應用程序可以運行ChangeRXWD有Read的權限，還可用修和刪除文件Full controlRXWDPO包含Change的權限，還可以更改權限和獲取文件的所有權Windows 系統(tǒng)的共享權限共享權限級別允許系統(tǒng)用戶的操作No Access(不能訪問)禁止對目錄和其中的文件及子目錄進行訪問但允許查看文件名和子目錄名，改變共享Read(讀)目錄的子目錄，還允許查看文件的數(shù)據(jù) 和運行應用程序Change(更改)具有“讀”權限中允許的操作，另外允許往目錄中添加文件和子目錄，更改文數(shù)據(jù)，刪除

11、文件和子目錄Full control(完全控制)具有“更改”權限中允許的操作，另外還允許更改權限(只適用于NTFS卷)和獲所有權(只適用于NTFS卷)從一個NTFS分區(qū)到另一個NTFS分區(qū) 復制或挪動都是承繼權限 (不同分區(qū)，挪動=復制+刪除)同一個NTFS分區(qū) 復制：承繼 挪動：保管復制或挪動到FAT(32)分區(qū) NTFS權限喪失文件轉移權限文件系統(tǒng)管理系統(tǒng)進程和效力Windows系統(tǒng)效力效力啟動類型：自動，手動，禁用自動 - Win 2000啟動時自動加載效力 手動 - Win 2000啟動時不自動加載效力，在需求的時候手動開啟 禁用 - Win 2000啟動的時候不自動加載效力，在需求的

12、時候選擇手動或者自動方式開啟效力，并重新啟動電腦完效果勞的配置注冊表項：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService 底下每一筆 效力工程子項都有一個 Start 數(shù)值, 該 數(shù)值內容所記錄的就是效力工程驅動程式該在何時被加載。目前Windows系統(tǒng)對于 Start 內容的定義有 0、1、2、3、4 等五種形狀, 0、1、2 分別代表 Boot、System、Auto Load 等三種意義。而 Start 數(shù)值內容為 3 的效力工程代表讓運用 者以手動的方式載入(Load on demand), 4 那么是代表禁用形狀。 Windows系統(tǒng)進

13、程根本的系統(tǒng)進程smss.exe Session Manager csrss.exe 子系統(tǒng)效力器進程 winlogon.exe 用戶登錄管理 services.exe 包含很多的系統(tǒng)效力DNS、NETBIOS lsass.exe 管理 IP 平安戰(zhàn)略以及啟動 ISAKMP/Oakley (IKE) 和 IPSEC平安驅動程序。 svchost.exe 包含很多系統(tǒng)效力 (RPC、紅外設備、挪動設備)spoolsv.exe 將文件加載到內存中以便遲后打印。 explorer.exe 資源管理器 winmgmt.exe 提供系統(tǒng)管理信息。 internat.exe 輸入法 附加的系統(tǒng)進程這些進程

14、不是必要的 mstask.exe 允許程序在指定時間運轉，也叫義務效力。regsvc.exe 允許遠程注冊表操作。 inetinfo.exe 經(jīng)過 Internet 信息效力的管理單元提供 FTP 銜接和管理。 tlntsvr.exe 允許遠程用戶登錄到系統(tǒng)并且運用命令行運轉控制臺程序telnet。 termsrv.exe 提供多會話環(huán)境允許客戶端設備訪問虛擬的 Windows 2000 Professional 桌面會話以及運轉在效力器上的基于 Windows 的程序。 Windows系統(tǒng)進程系統(tǒng)平安根本配置系統(tǒng)平安根本配置Windows系統(tǒng)安裝本地平安戰(zhàn)略的設置補丁庫的更新緊急修復Wind

15、ows 系統(tǒng)安裝將系統(tǒng)安裝在NTFS分區(qū)上，系統(tǒng)、數(shù)據(jù)、運用程序應安裝在不同的分區(qū)。 初始化硬盤只需一個邏輯盤，建議最少建立三個分區(qū)，一個系統(tǒng)分區(qū)，兩個運用程序分區(qū)。由于，Windows的IIS經(jīng)常會有走漏源碼/溢出的破綻，假設把系統(tǒng)和IIS放在同一個驅動器會導致系統(tǒng)文件的走漏甚至入侵者遠程獲取ADMIN權限。引薦的平安配置是建立三個邏輯驅動器，第一個大于2G，用來裝系統(tǒng)和重要的日志文件，第二個放IIS或者FTP ，第三個放其它運用程序或者數(shù)據(jù)。這樣無論IIS或FTP出了平安破綻都不會直接影響到系統(tǒng)目錄和系統(tǒng)文件。要知道，IIS和FTP是對外效力的，比較容易出問題。而把IIS和FTP分開主要是

16、為了防止入侵者上傳程序并從IIS中運轉。 Windows 系統(tǒng)安裝 組件的定制： Windows在默許情況下會安裝一些常用的組件，但是正是這個默許安裝是極度危險的，黑客可以進入任何一臺默許安裝的Windows 。安裝時應該確切的知道需求哪些效力，而且僅僅安裝他確實需求的效力，根據(jù)平安原那么，最少的效力+最小的權限=最大的平安。例如：典型的WEB效力器需求的最小組件選擇是：只安裝IIS的Com Files、IIS Snap-In、WWW Server組件。假設確實需求安裝其它組件請慎重，特別是：Indexing Service、FrontPage 2000 Server Extensions、

17、Internet Service Manager (HTML)這幾個危險效力。 安裝后網(wǎng)絡接入： 當Windows在安裝時有一個破綻，在他輸入Administrator密碼后，系統(tǒng)就自動會建立了ADMIN$的共享，但是并沒有用他剛剛輸入的密碼來維護它，這種情況不斷繼續(xù)到他再次啟動后。在此期間，任何人都可以經(jīng)過ADMIN$進入他的機器。同時，只需安裝一完成各種效力就會自動運轉，而這時的效力器是滿身破綻，非常容易被侵入。因此，在完全安裝并配置好之前，一定不要把主機接入網(wǎng)絡。 Windows 系統(tǒng)安裝本地平安戰(zhàn)略的設置帳戶平安戰(zhàn)略設置審核戰(zhàn)略設置其它平安參數(shù)設置帳戶平安戰(zhàn)略設置將Administra

18、tor重命名將Guest來賓用戶重命名封鎖和更改其它用戶設置 如：IUSR_HOSTNAME (匿名訪問Internet 信息效力的內置帳號)在本地平安戰(zhàn)略-平安選項中-啟用登錄屏幕上不要顯示上次的登錄的用戶名這條戰(zhàn)略。這樣系統(tǒng)不會自動顯示上次的登錄用戶名。密碼戰(zhàn)略的引薦設置強迫執(zhí)行密碼歷史記錄 密碼最長期限密碼最短期限密碼必需符合復雜性要求24個密碼42天2天啟 用6位密碼長度最小值為域中一切用戶運用可復原的加密來儲存密碼禁 用賬戶鎖定戰(zhàn)略的引薦設置策 略默認設置推薦最低設置帳戶鎖定時間未定義30 分鐘帳戶鎖定閾值03 次無效登錄復位帳戶鎖定計數(shù)器未定義30 分鐘針對遠程訪問的密碼戰(zhàn)略定制戰(zhàn)

19、略Win2000的默許安裝是不開任何平安審核的，引薦的審核是：審核工程太多不僅會占用系統(tǒng)資源而且會導致管理員根本沒有時間去詳細查看，這樣就失去了審核的意義。審核戰(zhàn)略設置策 略本地設置有效設置帳戶管理成功失敗登錄事件成功失敗策略更改成功失敗特權使用失敗無審核系統(tǒng)事件成功失敗目錄服務訪問失敗無審核帳戶登錄事件成功失敗對象訪問失敗無審核其它平安參數(shù)設置Windows系統(tǒng)自帶的平安模板C:winntsecuritytemplates目錄下其它平安參數(shù)設置平安模板運用運轉 - mmc 控制臺-添加/刪除管理單元。 添加-平安配置和分析、平安模版。創(chuàng)建新數(shù)據(jù)庫-右擊 “平安配置和分析 領域項-選擇 “翻開

20、數(shù)據(jù)庫 -鍵入新的數(shù)據(jù)庫名，按“翻開。 選擇要導入的平安配置文件，然后按“翻開。右擊“平安配置和分析-立刻配置計算機。其它平安參數(shù)設置處理Windows 2000 的共享引起的平安破綻 方法一、修正注冊表，詳細步驟如下： 1、刪除2000啟動時沒有默許共享c$,d$，WINNT$ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters 下建立一個dword類型數(shù)據(jù) 2000 professional 是 autosharewks=0 2、刪除ipc$，admin$的共享 在注冊表的自動運轉選項里新建一個工程,可以恣意改名,然后修正鍵值為 net share ipc$ /del或是多新建幾個運轉工程,分別在每個工程里修正為 net share admin$ /del 其它平安參數(shù)設置方法二實踐去除過程可以經(jīng)過創(chuàng)建批處置文件delshare.bat來實現(xiàn)： echo 修正注冊表項，修正系統(tǒng)默許共享屬性 echo. echo 生成 delshare.reg