云南移動信息安全培訓(xùn)-windows操作系統(tǒng)安全

云南移動信息安全培訓(xùn)

——windows操作系統(tǒng)安全講師：劉曉光Telmail: liuxg@Windows系統(tǒng)安全Windows安全原理Windows安全配置Windows安全工具及checklist2

Windows系統(tǒng)的安全架構(gòu)

Windows的安全子系統(tǒng)

Windows的密碼系統(tǒng)

Windows的系統(tǒng)服務(wù)和進(jìn)程

Windows的日志系統(tǒng)

3Windows安全原理4Windows系統(tǒng)的安全架構(gòu)WindowsNT的安全包括6個(gè)主要的安全元素：AuditAdministrationEncryptionAccessControlUserAuthenticationCorporateSecurityPolicyWindowsNT系統(tǒng)內(nèi)置支持用戶認(rèn)證、訪問控制、管理、審核5Windows系統(tǒng)的安全組件訪問控制的判斷（Discretionaccesscontrol）按照C2級別的定義，Windows支持對象的訪問控制的判斷。這些需求包括允許對象的所有者可以控制誰被允許訪問該對象以及訪問的方式。對象重用（Objectreuse）當(dāng)資源（內(nèi)存、磁盤等）被某應(yīng)用訪問時(shí)，Windows禁止所有的系統(tǒng)應(yīng)用訪問該資源。強(qiáng)制登陸（Mandatorylogon）與WindowsforWorkgroups，Windwows95，Windows98不同，Windows2K/NT要求所有的用戶必須登陸，通過認(rèn)證后才可以訪問資源。審核（Auditing）WindowsNT在控制用戶訪問資源的同時(shí)，也可以對這些訪問作了相應(yīng)的記錄。對象的訪問控制（Controlofaccesstoobject）WindowsNT不允許直接訪問系統(tǒng)的某些資源。必須是該資源允許被訪問，然后是用戶或應(yīng)用通過第一次認(rèn)證后再訪問

為了實(shí)現(xiàn)自身的安全特性，Windows2K/NT把所有的資源作為系統(tǒng)的特殊的對象。這些對象包含資源本身，Windows2K/NT提供了一種訪問機(jī)制去使用它們。由于這些基本的原因，所以把Windows2K/NT稱為基于對象的操作系統(tǒng)。

Microsoft的安全就是基于以下的法則：

?用對象表現(xiàn)所有的資源

?只有Windows2K/NT才能直接訪問這些對象

?對象能夠包含所有的數(shù)據(jù)和方法

?對象的訪問必須通過Windows2K/NT的安全子系統(tǒng)的第一次驗(yàn)證

?存在幾種單獨(dú)的對象，每一個(gè)對象的類型決定了這些對象能做些什么

Windows中首要的對象類型有：

文件文件夾打印機(jī)I/O設(shè)備窗口線程進(jìn)程內(nèi)存

這些安全構(gòu)架的目標(biāo)就是實(shí)現(xiàn)系統(tǒng)的牢固性。從設(shè)計(jì)來考慮，就是所有的訪問都必須通過同一種方法認(rèn)證，減少安全機(jī)制被繞過的機(jī)會。6Windows系統(tǒng)的對象7Windows系統(tǒng)的安全主體用戶用戶、用戶帳戶、Administrator、SYSTEM、LocalSystem用戶組為簡化用戶管理而引入的一個(gè)概念（類似一個(gè)容器，里面是權(quán)限相同的用戶），還可以同時(shí)為多個(gè)用戶授權(quán)。計(jì)算機(jī)（機(jī)器帳戶）當(dāng)一個(gè)Windows系統(tǒng)加入某個(gè)域的時(shí)候，域控制器為它創(chuàng)建的一個(gè)計(jì)算機(jī)帳戶。8用戶權(quán)限權(quán)限:可以授予用戶或組的文件系統(tǒng)能力有了相應(yīng)的用戶權(quán)限，賬戶才有權(quán)去進(jìn)行特定的操作。兩類用戶權(quán)限：登陸權(quán)限：賬戶在通過身份驗(yàn)證之前所具備的權(quán)限。操作權(quán)限：賬戶在通過身份驗(yàn)證之后所具備的權(quán)限。如果某個(gè)賬戶同時(shí)出現(xiàn)在“拒絕”和“允許”兩種授權(quán)策略里，結(jié)果是“拒絕”大于“允許”的權(quán)限；授權(quán)時(shí)注意“最小授權(quán)原則”網(wǎng)絡(luò)安全性依賴于給用戶或組授予的能力：權(quán)力:

在系統(tǒng)上完成特定動作的授權(quán)，一般由系統(tǒng)指定給內(nèi)置組，但也可以由管理員將其擴(kuò)大到組和用戶上權(quán)限:可以授予用戶或組的文件系統(tǒng)能力共享:

用戶可以通過網(wǎng)絡(luò)使用的文件夾9用戶權(quán)利、權(quán)限和共享權(quán)限10Windows系統(tǒng)的用戶權(quán)利

權(quán)利適用于對整個(gè)系統(tǒng)范圍內(nèi)的對象和任務(wù)的操作，通常是用來授權(quán)用戶執(zhí)行某些系統(tǒng)任務(wù)。當(dāng)用戶登錄到一個(gè)具有某種權(quán)利的帳號時(shí)，該用戶就可以執(zhí)行與該權(quán)利相關(guān)的任務(wù)。下面列出了用戶的特定權(quán)利：Accessthiscomputerfromnetwork可使用戶通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)。Addworkstationtoadomain允許用戶將工作站添加到域中。Backupfilesanddirectories授權(quán)用戶對計(jì)算機(jī)的文件和目錄進(jìn)行備份。Changethesystemtime用戶可以設(shè)置計(jì)算機(jī)的系統(tǒng)時(shí)鐘。Loadandunloaddevicedrive允許用戶在網(wǎng)絡(luò)上安裝和刪除設(shè)備的驅(qū)動程序。Restorefilesanddirectories允許用戶恢復(fù)以前備份的文件和目錄。Shutdownthesystem允許用戶關(guān)閉系統(tǒng)。11Windows系統(tǒng)的用戶權(quán)限權(quán)限適用于對特定對象如目錄和文件（只適用于NTFS卷）的操作，指定允許哪些用戶可以使用這些對象，以及如何使用（如把某個(gè)目錄的訪問權(quán)限授予指定的用戶）。權(quán)限分為目錄權(quán)限和文件權(quán)限，每一個(gè)權(quán)級別都確定了一個(gè)執(zhí)行特定的任務(wù)組合的能力，這些任務(wù)是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。下表顯示了這些任務(wù)是如何與各種權(quán)限級別相關(guān)聯(lián)的。下表顯示了這些任務(wù)是如何與各種權(quán)限級別相關(guān)聯(lián)的Windows系統(tǒng)的用戶權(quán)限12權(quán)限級別RXWDPO允許的用戶動作NoAccess

用戶不能訪問該目錄ListRX可以查看目錄中的子目錄和文件名，也可以進(jìn)入其子目錄ReadRX具有List權(quán)限，用戶可以讀取目錄中的文件和運(yùn)行目錄中的應(yīng)用程序AddXW用戶可以添加文件和子錄AddandReadRXW具有Read和Add的權(quán)限ChangeRXWD有Add和Read的權(quán)限，另外還可以更改文件的內(nèi)容，刪除文件和子目錄FullcontrolRXWDPO有Change的權(quán)限，另外用戶可以更改權(quán)限和獲取目錄的所有權(quán)Windows系統(tǒng)的用戶權(quán)限13權(quán)限級別RXWDPO允許的用戶動作NoAccess

用戶不能訪問該文件ReadRX用戶可以讀取該文件，如果是應(yīng)用程序可以運(yùn)行ChangeRXWD有Read的權(quán)限，還可用修和刪除文件FullcontrolRXWDPO包含Change的權(quán)限，還可以更改權(quán)限和獲取文件的有權(quán)Windows系統(tǒng)的共享權(quán)限14

共享只適用于文件夾（目錄），如果文件夾不是共享的，那么在網(wǎng)絡(luò)上就不會有用戶看到它，也就更不能訪問。網(wǎng)絡(luò)上的絕大多數(shù)服務(wù)器主要用于存放可被網(wǎng)絡(luò)用戶訪問的文件和目錄，要使網(wǎng)絡(luò)用戶可以訪問在NTServer服務(wù)器上的文件和目錄，必須首先對它建立共享。共享權(quán)限建立了通過網(wǎng)絡(luò)對共享目錄訪問的最高級別。Windows系統(tǒng)的共享權(quán)限15共享權(quán)限級別允許的用戶動作NoAccess(不能訪問)禁止對目錄和其中的文件及子目錄進(jìn)行訪問但允許查看文件名和子目錄名，改變共享Read(讀)目錄的子目錄，還允許查看文件的數(shù)據(jù)和運(yùn)行應(yīng)用程序Change(更改)具有“讀”權(quán)限中允許的操作，另外允許往目錄中添加文件和子目錄，更改文數(shù)據(jù)，刪除文件和子目錄Fullcontrol(完全控制)具有“更改”權(quán)限中允許的操作，另外還允許更改權(quán)限(只適用于NTFS卷)和獲所有權(quán)(只適用于NTFS卷)共享點(diǎn)一定要慎重分配，因?yàn)闄?quán)限僅僅是分配給共享點(diǎn)的，任何共享點(diǎn)下的文件或目錄都足以和共享點(diǎn)本身相同的權(quán)限被訪問到Windows安全子系統(tǒng)的組件16WindowsNT安全子系統(tǒng)包含五個(gè)關(guān)鍵的組件：Securityidentifiers，Accesstokens，Securitydescriptors，Accesscontrollists，AccessControlEntries安全標(biāo)識符（SecurityIdentifiers）

SID永遠(yuǎn)都是唯一的，由計(jì)算機(jī)名、當(dāng)前時(shí)間、當(dāng)前用戶態(tài)線程的CPU耗費(fèi)時(shí)間的總和三個(gè)參數(shù)決定以保證它的唯一性。

例：S-1-5-21-1763234323-3212657521-1234321321-500

第一項(xiàng)S表示該字符串是SID

第二項(xiàng)是SID的版本號，對于2000來說，這個(gè)就是1

然后是標(biāo)志符的頒發(fā)機(jī)構(gòu)（identifierauthority），對于2000內(nèi)的帳戶，頒發(fā)機(jī)構(gòu)就是NT，值是5四組數(shù)字是簽發(fā)者子代碼（明確此SID的簽發(fā)者是誰）最后一個(gè)標(biāo)志著域內(nèi)的帳戶和組；500是RID

Windows安全子系統(tǒng)的組件訪問令牌（Accesstokens）

訪問令牌是用戶在通過驗(yàn)證的時(shí)候有登陸進(jìn)程所提供的，所以改變用戶的權(quán)限需要注銷后重新登陸，重新獲取訪問令牌。安全描述符（Securitydescriptors）

WindowsNT中的任何對象的屬性都有安全描述符這部分。它保存對象的安全配置。訪問控制列表（Accesscontrollists）在NT系統(tǒng)中，每當(dāng)請求一個(gè)對象或資源訪問時(shí)，就會檢查它的ACL，確認(rèn)給用戶授予了什么樣的權(quán)利。每創(chuàng)建一個(gè)對象，對應(yīng)的ACL也會創(chuàng)建。ACL包含一個(gè)頭部，其中包含有更新版本號、ACL的大小以及它所包含的ACE數(shù)量等信息。17Windows安全子系統(tǒng)的組件訪問控制項(xiàng)（Accesscontrolentries）

訪問控制項(xiàng)（ACE）包含了用戶或組的SID以及對象的權(quán)限。訪問控制項(xiàng)有兩種：允許訪問和拒絕訪問。拒絕訪問的級別高于允許訪問。

當(dāng)使用管理工具列出對象的訪問權(quán)限時(shí)，列表的排序是以文字為順序的，它并不象防火墻的規(guī)則那樣由上往下的，不過好在并不會出現(xiàn)沖突，拒絕訪問總是優(yōu)先于允許訪問18Windows安全子系統(tǒng)Winlogon GraphicalIdentificationandAuthenticationDLL(GINA)LocalSecurityAuthority(LSA)SecuritySupportProviderInterface(SSPI)AuthenticationPackagesSecuritysupportprovidersNetlogonServiceSecurityAccountManager(SAM)19Windows子系統(tǒng)實(shí)現(xiàn)圖20Winlogon,LocalSecurityAuthorit以及etlogon服務(wù)在任務(wù)管理器中都可以看到，其他的以DLL方式被這些文件調(diào)用。Windows安全子系統(tǒng)WinlogonandGina: Winlogon調(diào)用GINADLL，并監(jiān)視安全認(rèn)證序列。而GINADLL提供一個(gè)交互式的界面為用戶登陸提供認(rèn)證請求。GINADLL被設(shè)計(jì)成一個(gè)獨(dú)立的模塊，當(dāng)然我們也可以用一個(gè)更加強(qiáng)有力的認(rèn)證方式（指紋、視網(wǎng)膜）替換內(nèi)置的GINADLL。

Winlogon在注冊表中查找\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon，如果存在GinaDLL鍵，Winlogon將使用這個(gè)DLL，如果不存在該鍵，Winlogon將使用默認(rèn)值MSGINA.DLL21Windows安全子系統(tǒng)本地安全認(rèn)證（LocalSecurityAuthority）：調(diào)用所有的認(rèn)證包，檢查在注冊表重新找回本地組的SIDs和用戶的權(quán)限。創(chuàng)建用戶的訪問令牌。管理本地安裝的服務(wù)所使用的服務(wù)賬號。儲存和映射用戶權(quán)限。管理審核的策略和設(shè)置。管理信任關(guān)系。22Windows安全子系統(tǒng)安全支持提供者的接口（SecuritySupportProvideInterface）：微軟的SecuritySupportProvideInterface很簡單地遵循RFC2743和RFC2744的定義，提供一些安全服務(wù)的API，為應(yīng)用程序和服務(wù)提供請求安全的認(rèn)證連接的方法。認(rèn)證包（AuthenticationPackage）： 認(rèn)證包可以為真實(shí)用戶提供認(rèn)證。通過GINADLL的可信認(rèn)證后，認(rèn)證包返回用戶的SIDs給LSA，然后將其放在用戶的訪問令牌中。23Windows安全子系統(tǒng)安全支持提供者（SecuritySupportProvider）：

安全支持提供者是以驅(qū)動的形式安裝的，能夠?qū)崿F(xiàn)一些附加的安全機(jī)制，默認(rèn)情況下，WindowsNT安裝了以下三種：Msnsspc.dll：微軟網(wǎng)絡(luò)挑戰(zhàn)/反應(yīng)認(rèn)證模塊Msapsspc.dll：分布式密碼認(rèn)證挑戰(zhàn)/反應(yīng)模塊，該模塊也可以在微軟網(wǎng)絡(luò)中使用Schannel.dll：該認(rèn)證模塊使用某些證書頒發(fā)機(jī)構(gòu)提供的證書來進(jìn)行驗(yàn)證，常見的證書機(jī)構(gòu)比如Verisign。這種認(rèn)證方式經(jīng)常在使用SSL（SecureSocketsLayer）和PCT（PrivateCommunicationTechnology）協(xié)議通信的時(shí)候用到。24Windows安全子系統(tǒng)網(wǎng)絡(luò)登陸（Netlogon）：

網(wǎng)絡(luò)登陸服務(wù)必須在通過認(rèn)證后建立一個(gè)安全的通道。要實(shí)現(xiàn)這個(gè)目標(biāo)，必須通過安全通道與域中的域控制器建立連接，然后，再通過安全的通道傳遞用戶的口令，在域的域控制器上響應(yīng)請求后，重新取回用戶的SIDs和用戶權(quán)限。安全賬號管理者（SecurityAccountManager）：

安全賬號管理者，也就是我們經(jīng)常所說的SAM，它是用來保存用戶賬號和口令的數(shù)據(jù)庫。25Windows2000本地登陸過程26GINALSASSPIKerberosNTLMWindows的密碼系統(tǒng)

windowsNT及win2000中對用戶帳戶的安全管理使用了安全帳號管理器(securityaccountmanager)的機(jī)制,安全帳號管理器對帳號的管理是通過安全標(biāo)識進(jìn)行的，安全標(biāo)識在帳號創(chuàng)建時(shí)就同時(shí)創(chuàng)建，一旦帳號被刪除，安全標(biāo)識也同時(shí)被刪除。安全標(biāo)識是唯一的，即使是相同的用戶名，在每次創(chuàng)建時(shí)獲得的安全標(biāo)識都時(shí)完全不同的。27一旦某個(gè)賬號被刪除，它的安全標(biāo)識就不再存在了，即使使用相同的用戶名重建賬號，也會被賦予不同的安全標(biāo)識，不會保留原來的權(quán)限。Windows的密碼系統(tǒng)安全賬號管理器的具體表現(xiàn)就是%SystemRoot%\system32\config\sam文件。sam文件是windowsNT的用戶帳戶數(shù)據(jù)庫,所有2K/NT用戶的登錄名及口令等相關(guān)信息都會保存在這個(gè)文件中。Windows中用文件保存賬號信息,不過如果我們用編輯器打開這些NT的sam文件，除了亂碼什么也看不到。因?yàn)镹T系統(tǒng)中將這些資料全部進(jìn)行了加密處理，一般的編輯器是無法直接讀取這些信息的。注冊表中的?HKEY_LOCAL_MACHINE\SAM\SAM?HKEY_LOCAL_MACHINE\SECURITY\SAM保存的就是SAM文件的內(nèi)容，在正常設(shè)置下僅對system是可讀寫的。28Windows的密碼系統(tǒng)SYSKEY機(jī)制：在NT里，口令字密文保存在SAM文件里。NT4SP3以后，微軟又對保存在SAM文件里口令字密文增加了一層加密保護(hù)機(jī)制，這就是SYSKEY機(jī)制?？梢栽陂_始-〉運(yùn)行鍵入“SYSKEY”命令，得到如下窗口，手動激活SYSKEY機(jī)制.29設(shè)置安全的密碼

好的密碼對于一個(gè)網(wǎng)絡(luò)是非常重要的，但是也是最容易被忽略的。一些網(wǎng)絡(luò)管理員創(chuàng)建帳號的時(shí)候往往用公司名，計(jì)算機(jī)名，或者一些別的一猜就到的字符做用戶名，然后又把這些帳戶的密碼設(shè)置得比較簡單，比如：“welcome”、“iloveyou”、“l(fā)etmein”或者和用戶名相同的密碼等。這樣的帳戶應(yīng)該要求用戶首此登陸的時(shí)候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。這里給好密碼下了個(gè)定義：安全期內(nèi)無法破解出來的密碼就是好密碼，也就是說，如果得到了密碼文檔，必須花43天或者更長的時(shí)間才能破解出來，密碼策略是42天必須改密碼。30口令問題1：弱口令用戶趨向于選擇容易的口令，即空口令；用戶會選擇易于記住的東西做口令Test、Password、guest、username等名字、生日、簡單數(shù)字等易于選擇該系統(tǒng)的應(yīng)用Ntserver、orancle等多數(shù)用戶的安全意識薄弱31口令問題2：明文傳輸使用明文密碼傳送的應(yīng)用：FTP、POP、Telnet、HTTP、SNMP、SocksMountd、Rlogin、NNTP、NFS、ICQ、IRC、PcAnywhere、VNC等MSSQL、Oracle等上述服務(wù)都容易成為攻擊對象32口令攻擊的方式手工猜測；方法：社會工程學(xué)、嘗試默認(rèn)口令自動猜測；工具：NAT、LC等竊聽：登陸、網(wǎng)絡(luò)截獲、鍵盤監(jiān)聽工具：Dsniff、SnifferPro等33Windows常見的口令問題NT/2000的口令問題口令禁忌管理員注意事項(xiàng)34NT/2000的口令問題SAM（SecurityAccountsManager)LanManager散列算法（LM）已被破解，但仍被保留NT散列算法（NTLM/NTLMv2）強(qiáng)加密、改良的身份認(rèn)證和安全的會話機(jī)制自動降級35NT/2000的口令問題LanManager散列算法的問題口令都被湊成14個(gè)字符；不足14位的，用0補(bǔ)齊；全部轉(zhuǎn)化為大寫字母；分成兩部分分別加密。舉例：Ba01cK28tr－BA01CK2和8TR000036NT/2000的口令問題SAM數(shù)據(jù)存放位置%systemroot%\system32\config\sam%systemroot%\repair\sam._(NT)Rdisk%systemroot%\repair\sam（2000）ntbackup注冊表HKEY_LOCAL_MACHINE\SAM\SAM和

HKEY_LOCAL_MACHINE\SECURITY\SAM僅對system是可讀寫的37NT/2000的口令問題獲取SAM數(shù)據(jù)的方法使系統(tǒng)自舉到另外的系統(tǒng)，copySAM文件；從repair目錄攫取備份的SAM;竊聽口令交換38口令策略使用密碼強(qiáng)度及賬戶老化、鎖定策略；設(shè)置最小的密碼程度為8個(gè)字符，最短密碼時(shí)間為1-7天，最長密碼時(shí)間為42天，最小的密碼歷史輪回為6，失敗登陸嘗試為3，賬戶鎖定為60分鐘等。39口令禁忌口令禁忌:

不要選擇可以在任何字典或語言中找到的口令不要選擇簡單字母組成的口令不要選擇任何指明個(gè)人信息的口令 不要選擇包含用戶名或相似類容的口令不要選擇短于6個(gè)字符或僅包含字母或數(shù)字的口令不要選擇作為口令范例公布的口令40管理員注意事項(xiàng)確保每個(gè)用戶都有一個(gè)有效的口令；對用戶進(jìn)行口令教育；使用防止用戶選擇弱口令的配置與工具；進(jìn)行口令檢查，確保沒有弱口令；確保系統(tǒng)與網(wǎng)絡(luò)設(shè)備沒有缺省賬號和口令；不要在多個(gè)機(jī)器上使用相同的口令；從不記錄也不與他人共享密碼；從不將網(wǎng)絡(luò)登錄密碼用作其他用途；域Administrators賬戶和本地Administrators帳戶使用不同的密碼；小心地保護(hù)在計(jì)算機(jī)上保存密碼的地方；對于特權(quán)用戶強(qiáng)制30天更換一次口令，一般用戶60天更換；使用VPN、SSH、一次性口令等安全機(jī)制.41Windows的系統(tǒng)服務(wù)單擊“開始”，指向“設(shè)置”，然后單擊“控制面板”。雙擊“管理工具”，然后雙擊“服務(wù)”。在列表框中顯示的是系統(tǒng)可以使用的服務(wù)。Windows2k下可以在命令行中輸入services.msc打開服務(wù)列表42Windows的系統(tǒng)服務(wù)服務(wù)包括三種啟動類型：自動、手動、已禁用。

自動-Windows2000啟動的時(shí)候自動加載服務(wù)

手動-Windows2000啟動的時(shí)候不自動加載服務(wù)，在需要的時(shí)候手動開啟

已禁用-Windows2000啟動的時(shí)候不自動加載服務(wù)，在需要的時(shí)候選擇手動或者自動方式開啟服務(wù)，并重新啟動電腦完成服務(wù)的配置

雙擊需要進(jìn)行配置的服務(wù)，出現(xiàn)下圖所示的屬性對話框：43Windows的系統(tǒng)服務(wù)在KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service底下每一筆服務(wù)項(xiàng)目子項(xiàng)都有一個(gè)Start數(shù)值,這個(gè)數(shù)值的內(nèi)容依照每一個(gè)服務(wù)項(xiàng)目的狀況而又有不同。Start數(shù)值內(nèi)容所記錄的就是服務(wù)項(xiàng)目驅(qū)動程式該在何時(shí)被加載。目前微軟對Start內(nèi)容的定義有0、1、2、3、4等五種狀態(tài),0、1、2分別代表Boot、System、AutoLoad等叁種意義。而Start數(shù)值內(nèi)容為3的服務(wù)項(xiàng)目代表讓使用者以手動的方式載入(Loadondemand),4則是代表停用的狀態(tài),也就是禁用。44Windows的系統(tǒng)進(jìn)程基本的系統(tǒng)進(jìn)程smss.exeSessionManager會話管理csrss.exe子系統(tǒng)服務(wù)器進(jìn)程winlogon.exe管理用戶登錄services.exe包含很多系統(tǒng)服務(wù)lsass.exe管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅(qū)動程序。(系統(tǒng)服務(wù))svchost.exe包含很多系統(tǒng)服務(wù)spoolsv.exe將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)服務(wù))explorer.exe資源管理器internat.exe輸入法

45Windows的系統(tǒng)進(jìn)程非必要的系統(tǒng)進(jìn)程mstask.exe允許程序在指定時(shí)間運(yùn)行。(系統(tǒng)服務(wù))regsvc.exe允許遠(yuǎn)程注冊表操作。(系統(tǒng)服務(wù))winmgmt.exe提供系統(tǒng)管理信息(系統(tǒng)服務(wù))。inetinfo.exe通過Internet信息服務(wù)的管理單元提供FTP連接和管理。(系統(tǒng)服務(wù))tlntsvr.exe允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺程序。(系統(tǒng)服務(wù))termsrv.exe提供多會話環(huán)境允許客戶端設(shè)備訪問虛擬的Windows2000Professional桌面會話以及運(yùn)行在服務(wù)器

上的基于Windows的程序。(系統(tǒng)服務(wù))dns.exe應(yīng)答對域名系統(tǒng)(DNS)名稱的查詢和更新請求。(系統(tǒng)服務(wù))tcpsvcs.exe提供在PXE可遠(yuǎn)程啟動客戶計(jì)算機(jī)上遠(yuǎn)程安裝Windows2000Professional的能力。(系統(tǒng)服務(wù))ismserv.exe允許在WindowsAdvancedServer站點(diǎn)間發(fā)送和接收消息。(系統(tǒng)服務(wù))ups.exe管理連接到計(jì)算機(jī)的不間斷電源(UPS)。(系統(tǒng)服務(wù))wins.exe為注冊和解析NetBIOS型名稱的TCP/IP客戶提供NetBIOS名稱服務(wù)。(系統(tǒng)服務(wù))lssrv.exeLicenseLoggingService(systemservice)ntfrs.exe在多個(gè)服務(wù)器間維護(hù)文件目錄內(nèi)容的文件同步。(系統(tǒng)服務(wù))RsSub.exe控制用來遠(yuǎn)程儲存數(shù)據(jù)的媒體。(系統(tǒng)服務(wù))locator.exe管理RPC名稱服務(wù)數(shù)據(jù)庫。(系統(tǒng)服務(wù))lserver.exe注冊客戶端許可證。(系統(tǒng)服務(wù))dfssvc.exe管理分布于局域網(wǎng)或廣域網(wǎng)的邏輯卷。(系統(tǒng)服務(wù))46Windows的系統(tǒng)進(jìn)程非必要的系統(tǒng)進(jìn)程clipsrv.exe支持“剪貼簿查看器”，以便可以從遠(yuǎn)程剪貼簿查閱剪貼頁面。(系統(tǒng)服務(wù))msdtc.exe并列事務(wù)，是分布于兩個(gè)以上的數(shù)據(jù)庫，消息隊(duì)列，文件系統(tǒng)，或其它事務(wù)保護(hù)資源管理器。(系統(tǒng)服務(wù))faxsvc.exe幫助您發(fā)送和接收傳真。(系統(tǒng)服務(wù))cisvc.exeIndexingService(systemservice)dmadmin.exe磁盤管理請求的系統(tǒng)管理服務(wù)。(系統(tǒng)服務(wù))mnmsrvc.exe允許有權(quán)限的用戶使用NetMeeting遠(yuǎn)程訪問Windows桌面。(系統(tǒng)服務(wù))netdde.exe提供動態(tài)數(shù)據(jù)交換(DDE)的網(wǎng)絡(luò)傳輸和安全特性。(系統(tǒng)服務(wù))smlogsvc.exe配置性能日志和警報(bào)。(系統(tǒng)服務(wù))rsvp.exe為依賴質(zhì)量服務(wù)(QoS)的程序和控制應(yīng)用程序提供網(wǎng)絡(luò)信號和本地通信控制安裝功能。(系統(tǒng)服務(wù))grovel.exe掃描零備份存儲(SIS)卷上的重復(fù)文件，并將重復(fù)文件指向一個(gè)數(shù)據(jù)存儲點(diǎn)，以節(jié)省磁盤空間。(系統(tǒng)服務(wù))SCardSvr.exe對插入在計(jì)算機(jī)智能卡閱讀器中的智能卡進(jìn)行管理和訪問控制。(系統(tǒng)服務(wù))snmp.exe包含代理程序可以監(jiān)視網(wǎng)絡(luò)設(shè)備的活動并且向網(wǎng)絡(luò)控制臺工作站匯報(bào)。(系統(tǒng)服務(wù))snmptrap.exe接收由本地或遠(yuǎn)程SNMP代理程序產(chǎn)生的陷阱消息，然后將消息傳遞到運(yùn)行在這臺計(jì)算機(jī)上SNMP管理程序。(系統(tǒng)服務(wù))UtilMan.exe從一個(gè)窗口中啟動和配置輔助工具。(系統(tǒng)服務(wù))msiexec.exe依據(jù).MSI文件中包含的命令來安裝、修復(fù)以及刪除軟件。(系統(tǒng)服務(wù))47Windows的Log系統(tǒng)48Windows有三種類型的事件日志：系統(tǒng)日志、應(yīng)用程序日志、安全日志跟蹤應(yīng)用程序關(guān)聯(lián)的事件，比如應(yīng)用程序產(chǎn)生的象裝載DLL（動態(tài)鏈接庫）失敗的信息將出現(xiàn)在日志中

跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變訪問權(quán)限以及系統(tǒng)啟動和關(guān)閉。注意：安全日志的默認(rèn)狀態(tài)是關(guān)閉的跟蹤各種各樣的系統(tǒng)事件，比如跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器的故障Windows的Log系統(tǒng)日志在系統(tǒng)的位置是：%SYSTEMROOT%\system32\config\SysEvent.Evt%SYSTEMROOT%\system32\config\SecEvent.Evt%SYSTEMROOT%\system32\config\AppEvent.Evt

49系統(tǒng)日志安全日志應(yīng)用程序日志W(wǎng)indows的應(yīng)用系統(tǒng)日志Internet信息服務(wù)FTP日志默認(rèn)位置：%systemroot%system32logfilesmsftpsvc1，默認(rèn)每天一個(gè)日志Internet信息服務(wù)WWW日志默認(rèn)位置：

%systemroot%system32logfilesw3svc1，默認(rèn)每天一個(gè)日志Scheduler服務(wù)日志默認(rèn)位置：

%systemroot%schedlgu.txt50FTP日志和WWW日志文件通常為ex(年份)（月份）（日期）。例如：ex131023就是2013年10月23日，用記事本可以直接打開日志文件。FTP日志分析FTP日志分析，如下例：

#Software:MicrosoftInternetInformationServices5.0（微軟IIS5.0）

#Version:1.0（版本1.0）

#Date:2000102303:11:55（服務(wù)啟動時(shí)間日期）

03:11:55[1]USERadministator331（IP地址為用戶名為administator試圖登錄）

03:11:58[1]PASS–530（登錄失?。?/p>

03:12:04[1]USERnt331（IP地址為用戶名為nt的用戶試圖登錄）

03:12:06[1]PASS–530（登錄失?。?/p>

03:12:32[1]USERadministrator331（IP地址為用戶名為administrator試圖登錄）

03:12:34[1]PASS–230（登錄成功）

03:12:41[1]MKDnt550（新建目錄失?。?/p>

03:12:45[1]QUIT–550（退出FTP程序）

從日志里就能看出IP地址為的用戶一直試圖登錄系統(tǒng)，換了3次用戶名和密碼才成功，管理員立即就可以得知管理員的入侵時(shí)間IP地址以及探測的用戶名。51HTTP的日志分析HTTP日志分析，如下例：#Software:MicrosoftInternetInformationServices5.0#Version:1.0#Date:2000102303:09:31#Fields:datetimecipcsusernamesipsportcsmethodcsuristemcsuriqueryscstatuscs(UserAgent)2000102303:09:316780GET/iisstart.asp200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)2000102303:09:346780GET/pagerror.gif200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)通過分析第六行，可以看出2000年10月23日，IP地址為6的用戶通過訪問IP地址為7機(jī)器的80端口，查看了一個(gè)頁面iisstart.asp,這位用戶的瀏覽器為compatible;+MSIE+5.0;+Windows+98+DigExt，有經(jīng)驗(yàn)的管理員就可通過安全日志、FTP日志和WWW日志來確定入侵者的IP地址以及入侵時(shí)間52Windows系統(tǒng)安全

Windows安全原理

Windows安全配置Windows安全工具及checklist53Windows安全配置安裝審核系統(tǒng)安全性訪問控制賬號安全策略管理員權(quán)限網(wǎng)絡(luò)服務(wù)安全設(shè)置文件系統(tǒng)安全安全日志其它的安全設(shè)置54Windows系統(tǒng)安裝使用正版可靠安裝盤將系統(tǒng)安裝在NTFS分區(qū)上系統(tǒng)和數(shù)據(jù)要分開存放在不同的磁盤最小化安裝服務(wù)安全補(bǔ)丁合集和相關(guān)的Hotfix裝其它的服務(wù)和應(yīng)用程序補(bǔ)丁每次在安裝其它程序之后，重新應(yīng)用安全補(bǔ)丁55防止病毒進(jìn)行文件系統(tǒng)安全設(shè)置最少建立兩個(gè)分區(qū)，一個(gè)系統(tǒng)分區(qū)，一個(gè)應(yīng)用程序分區(qū)，因?yàn)槲④浀腎IS經(jīng)常會有泄漏源碼/溢出的漏洞，如果把系統(tǒng)和IIS放在同一個(gè)驅(qū)動器會導(dǎo)致系統(tǒng)文件的泄漏甚至入侵者遠(yuǎn)程獲取ADMIN。NT安裝SP6a和相關(guān)的HotfixWIN2K安裝SP4和相關(guān)的HotfixWINXP安裝SP2和相關(guān)的HotfixWIN2003安裝相關(guān)的HotfixNTFS、FAT、FAT3256NTFS與FAT的比較NTFS、FAT、FAT3257審核系統(tǒng)安全性系統(tǒng)安全審核以本地用戶的身份來評估系統(tǒng)安全配置。采用專門的殺毒軟件檢查病毒和后門。例如：安裝國外比較知名的防毒軟件進(jìn)行防范。防范木馬（遠(yuǎn)程控制工具）及惡意程序，采用專用清除工具進(jìn)行防范;例如：Microsoft?WindowsAntiSpyware(Beta)以及隨后的升級版本Microsoft?58審核系統(tǒng)安全性后門和木馬常見種植位置：1、啟動文件夾；%userprofile%\startmenu\programs\startup2、Windows注冊表啟動項(xiàng)；HKLM\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce3、驅(qū)動程序；%systemroot%\system32\drivers4、Web瀏覽器初始頁面下載代碼；

5、計(jì)劃任務(wù)59審核系統(tǒng)安全性審核本機(jī)的安全補(bǔ)丁安裝情況：MicrosoftBaselineSecurityAnalyzer(MBSA)60審核系統(tǒng)安全性MBSA可以用來檢查審核Windows、IIS、SQL、IE、Office等產(chǎn)品是否存在某些特定安全配置失誤以及是否打上最新的安全補(bǔ)丁/HotFixes是最新的；采用第三方的安全漏洞掃描工具查找漏洞；

采用第三方安全補(bǔ)丁管理產(chǎn)品：Patchlink、Bigfix、Landesk、Ecora等軟件來自動安裝補(bǔ)丁，修復(fù)漏洞，提高系統(tǒng)的安全性。檢查可疑的訪問:用NTLast等審核程序來判斷是否有未授權(quán)訪61審核系統(tǒng)安全性檢查日志記錄，查看是否有不尋常事件:

使用信號會經(jīng)常在日志中被記錄(如一次被攻擊而導(dǎo)致服務(wù)不正常).事件日志和其他數(shù)據(jù)也有相互關(guān)系(可疑文件的創(chuàng)建)，可以判斷攻擊的起因和來源?？捎霉芾韱T工具查看事件記錄。注冊表安全:

重要的安全性控制與注冊表有關(guān)。經(jīng)由注冊表權(quán)限保證注冊表項(xiàng)安全，以及使用NTFS權(quán)限保證參與注冊表數(shù)據(jù)的所有文件安全。62訪問控制對Windows服務(wù)器的訪問應(yīng)該只允許授權(quán)訪問，以及可靠用戶。對于XP和2003系統(tǒng)可以開啟ICF功能，另外系統(tǒng)資源應(yīng)該限制只允許授權(quán)用戶或是那些日常維護(hù)服務(wù)器的人員訪問。盡量將訪問來源控制在最小范圍內(nèi)：63ICF訪問控制限制遠(yuǎn)程登錄工作組:

從遠(yuǎn)程工作站登錄到一臺WINDOWS服務(wù)器是通過Microsoft的遠(yuǎn)程訪問服務(wù)（RemoteAccessService）服務(wù)器.然而，在保護(hù)遠(yuǎn)程工作站上可能會有問題存在，有可能會危及服務(wù)器和網(wǎng)絡(luò)的完整性.只要有可能，RAS就會將它禁止掉。物理上加強(qiáng)服務(wù)器安全:

只有授權(quán)管理員可以物理訪問WindowsNT服務(wù)器。包括備份系統(tǒng)和敏感用戶文件。為了更長遠(yuǎn)的考慮，計(jì)算機(jī)應(yīng)該有個(gè)BIOS的啟動密碼。禁止多重啟動的設(shè)置:

多重的啟動系統(tǒng)(如WindowsNT在一個(gè)扇區(qū)而Linux在另一個(gè)扇區(qū))會危及到NT文件系統(tǒng)的安全。例如，如果Linux是第二扇區(qū)上的系統(tǒng)，一個(gè)Linux用戶可以繞過所有的訪問控制mountNTFS文件系統(tǒng)。限制對注冊表訪問:

對注冊表的訪問控制列表稍微有點(diǎn)不一樣，可能會有遠(yuǎn)程訪問。64帳戶安全策略密碼安全是最重要也是必須要提及的.多數(shù)的系統(tǒng),口令是進(jìn)入系統(tǒng)的第一道防線,也是唯一防線。NT系統(tǒng)上的密碼安全可以通過以下方式來改進(jìn)：

檢查密碼策略:

查看你的密碼策略確定其中的密碼是否是有期限的.當(dāng)設(shè)置密碼的時(shí)候，應(yīng)該考慮到密碼老化的問題。最長的時(shí)間應(yīng)為180天。密碼的最短長度應(yīng)該至少為8個(gè)字符，三次錯(cuò)誤登錄就應(yīng)該鎖住該帳號,還有密碼的唯一性（如記錄三次的密碼）。這樣都可以防止攻擊者通過猜測密碼來實(shí)施攻擊。

刪除無用或過期帳號:

查看哪些帳號是沒有用的或者是已經(jīng)過期了的，然后將他們刪除。檢查是否存在空密碼的帳號:

查看所有帳號是否有空密碼,其中Administrator和Guest帳號要留意。屏幕保護(hù)使用密碼保護(hù):

用密碼屏幕保護(hù)來增加NT服務(wù)器的物理保護(hù)。屏幕保護(hù)的時(shí)間建議是5分鐘或更少。設(shè)置帳號規(guī)則保證帳號安全

強(qiáng)大的密碼控制和帳號鎖定使黑客攻擊系統(tǒng)更為困難.65管理員權(quán)限配置Administrator帳號是內(nèi)置的本地管理員組,擁有NT系統(tǒng)的最高權(quán)限.以下操作可在一定程度上增強(qiáng)該帳號的安全性:

權(quán)限最高的是system重命名管理員帳號:將Administrator帳號名更名為和其他普通帳號名一樣。這可以增加攻擊者攻擊的復(fù)雜度，這樣可以避免攻擊者猜測管理員密碼。檢查管理員組成員:用NTLAST來確認(rèn)只有授權(quán)的管理組成員可以使用該帳號。盡量減少使用管理員權(quán)限的帳號數(shù)量。確認(rèn)密碼強(qiáng)度足夠:使用一個(gè)不會被猜出的密碼或是不會被暴力破解輕易破解出來的密碼。密碼應(yīng)該是隨意組合的，沒有規(guī)律，有大小寫字符、數(shù)字或著是特殊字符，用14個(gè)字符的密碼。66網(wǎng)絡(luò)服務(wù)安全配置限制對外開放的端口:在TCP/IP的高級設(shè)置中選擇只允許開放特定端口，或者可以考慮使用路由或防火墻來設(shè)置；在服務(wù)器區(qū)的邊界防火墻上關(guān)閉DNS區(qū)域傳送功能；InternetConnectionFirewall(ICF，因特網(wǎng)連接防火墻)：

相當(dāng)于一個(gè)基于主機(jī)的防火墻，能夠?qū)Σ逶谕慌_機(jī)器里的多塊網(wǎng)卡進(jìn)行數(shù)據(jù)包過濾。禁用snmp服務(wù)或者更改默認(rèn)的社區(qū)名稱和權(quán)限禁用terminalserver服務(wù)將不必要的服務(wù)設(shè)置為手動:

Alerter、ClipBook、Computer

Browser……67IIS服務(wù)安全配置禁用或刪除所有的示例應(yīng)用程序

示例只是示例；在默認(rèn)情況下，并不安裝它們,且從不在生產(chǎn)服務(wù)器上安裝。請注意一些示例安裝，它們只可從http://localhost或訪問；但是，它們?nèi)詰?yīng)被刪除。

下面列出一些示例的默認(rèn)位置：示例虛擬目錄位置IIS示例\IISSamplesc:\inetpub\iissamplesIIS文檔\IISHelpc:\winnt\help\iishelp數(shù)據(jù)訪問\MSADCc:\programfiles\commonfiles\system\msadc68IIS服務(wù)安全配置啟用或刪除不需要的COM組件

某些COM組件不是多數(shù)應(yīng)用程序所必需的，應(yīng)加以刪除.特別是,應(yīng)考慮禁用文件系統(tǒng)對象組件，但是要注意這將也會刪除Dictionary對象。切記某些程序可能需要您禁用的組件。例如，SiteServer3.0使用FileSystemObject。以下命令將禁用FileSystemObject：regsvr32scrrun.dll/u刪除IISADMPWD虛擬目錄

該目錄可用于重置WindowsNT和Windows2000密碼。它主要用于Intranet情況下，并不作為IIS5的一部分安裝，但是IIS4服務(wù)器升級到IIS5時(shí)，它并不刪除。如果您不使用Intranet或如果將服務(wù)器連接到Web上，則應(yīng)將其刪除。69IIS服務(wù)安全配置刪除無用的腳本映射

IIS被預(yù)先配置為支持常用的文件名擴(kuò)展如.asp和.shtm文件。IIS接收到這些類型的文件請求時(shí)，該調(diào)用由DLL處理。如果不使用其中的某些擴(kuò)展或功能，則應(yīng)刪除該映射.步驟如下：

打開Internet服務(wù)管理器。

右鍵單擊Web服務(wù)器，然后從上下文菜單中選擇“屬性”。

主屬性

選擇WWW服務(wù)|編輯|主目錄|配置70IIS服務(wù)安全配置基于Web的密碼重設(shè).htrInternet數(shù)據(jù)庫連接器（所有的IIS5Web站點(diǎn)應(yīng)使用ADO或類似的技術(shù)）.idc服務(wù)器端包括.stm、.shtm和.shtmlInternet打印.printer索引服務(wù)器.htw、.ida和.idq設(shè)置適當(dāng)?shù)腎IS日志文件ACL

確保IIS產(chǎn)生的日志文件（%systemroot%\system32\LogFiles)上的ACL是：Administrators（完全控制）System（完全控制）Everyone(RWC)

這有助于防止惡意用戶為隱藏他們的蹤跡而刪除文件。71IIS服務(wù)安全配置禁用父路徑“父路徑”選項(xiàng)允許在對諸如MapPath函數(shù)調(diào)用中使用“..”。在默認(rèn)情況下，該選項(xiàng)處于啟用狀態(tài)，應(yīng)該禁用它。禁用該選項(xiàng)的步驟如下：右鍵單擊該Web站點(diǎn)的根，然后從上下文菜單中選擇“屬性”。單擊“主目錄”選項(xiàng)卡。單擊“配置”。單擊“應(yīng)用程序選項(xiàng)”選項(xiàng)卡。取消選擇“啟用父路徑”復(fù)選框。禁用-內(nèi)容位置中的IP地址“內(nèi)容-位置”標(biāo)頭可暴露通常在網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)防火墻或代理服務(wù)器后面隱藏或屏蔽的內(nèi)部IP地址。72IIS服務(wù)安全配置設(shè)置適當(dāng)?shù)奶摂M目錄的權(quán)限請確保IIS的虛擬目錄如scripts等權(quán)限設(shè)置是否最小化,刪除不需要的目錄。將iis目錄重新定向不要使用系統(tǒng)默認(rèn)的路徑，自定義WEB主目錄路徑并作相應(yīng)的權(quán)限設(shè)置。使用專門的安全工具微軟的IIS安全設(shè)置工具：IISLockTool；是針對IIS的漏洞設(shè)計(jì)的，可以有效設(shè)置IIS安全屬性73文件系統(tǒng)安全WFP的英文全稱是WindowsFileProtection，即Windows文件保護(hù)。它的主要功能是防止系統(tǒng)文件被不匹配的版本替換或是覆蓋。在安裝新應(yīng)用程序時(shí)，由于不經(jīng)意間采用了過時(shí)的dll（動態(tài)鏈接庫）文件最容易使系統(tǒng)文件遭到破壞。微軟把Windows2000安裝光盤上的所有dll、exe、fon、ocx、sys、和tff結(jié)尾的文件都加以保護(hù)）。備份在%SYSTEMROOT%/system32/dllcache文件夾下。當(dāng)WFP監(jiān)控到這些文件被覆蓋或替換后就要開始自己的工作了。首先它會掃描可能有問題的文件，如果這些文件與備份文件夾內(nèi)微軟“原裝”文件不符，WFP會把用SYSTEMROOT%/system32/dllcache目錄下備份的文件還原。如果該文件沒有做備份，系統(tǒng)會提示你插入Windows2000的安裝光盤以復(fù)原該文件。74文件系統(tǒng)安全關(guān)閉WFP點(diǎn)擊開始-->運(yùn)行，鍵入regedt32并回車;找到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon]；在右側(cè)的窗格中右鍵單擊選擇New-->DWORDValue，為其命名為SFCDisable；在Hexadecimal項(xiàng)下輸入鍵值為ffffff9d以關(guān)閉WFP；重新啟動系統(tǒng)使所做的更改生效。重啟電腦后查看日志文件。點(diǎn)擊開始-->設(shè)置-->控制面板。打開AdministrativeTools-->EventViewer。你會看到圖中所示的記錄。在每次Windows2000啟動后都會記錄下WFP被關(guān)閉的情況。75文件系統(tǒng)安全目錄和文件權(quán)限：為了控制好服務(wù)器上用戶的權(quán)限，同時(shí)也為了預(yù)防以后可能的入侵和溢出，必須非常小心地設(shè)置目錄和文件的訪問權(quán)限，在默認(rèn)的情況下，大多數(shù)的文件夾（包括所有的根目錄）對所有用戶（Everyone這個(gè)組）是完全敞開的（FullControl），需要根據(jù)應(yīng)用的需要進(jìn)行權(quán)限重設(shè)。在進(jìn)行權(quán)限控制時(shí)，遵循以下幾個(gè)原則：權(quán)限是累計(jì)的：如果一個(gè)用戶同時(shí)屬于兩個(gè)組，那么他就有了這兩個(gè)組所允許的所有權(quán)限；拒絕的權(quán)限要比允許的權(quán)限高（拒絕策略會先執(zhí)行）：如果一個(gè)用戶屬于一個(gè)被拒絕訪問某個(gè)資源的組，那么不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限，他也一定不能訪問這個(gè)資源。所以請非常小心地使用拒絕，任何一個(gè)不當(dāng)?shù)木芙^都有可能造成系統(tǒng)無法正常運(yùn)行；文件權(quán)限比文件夾權(quán)限高:僅給用戶真正需要的權(quán)限：權(quán)限的最小化原則是安全的重要保證76文件系統(tǒng)安全EFS-加密文件系統(tǒng)

EFS加密是基于公鑰策略的。在使用EFS加密一個(gè)文件或文件夾時(shí)，系統(tǒng)首先會生成一個(gè)由偽隨機(jī)數(shù)組成的FEK(FileEncryptionKey，文件加密鑰匙)，然后將利用FEK和數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn)X算法創(chuàng)建加密后的文件，并把它存儲到硬盤上，同時(shí)刪除未加密的原始文件。隨后系統(tǒng)利用你的公鑰加密FEK，并把加密后的FEK存儲在同一個(gè)加密文件中。而在訪問被加密的文件時(shí)，系統(tǒng)首先利用當(dāng)前用戶的私鑰解密FEK，然后利用FEK解密出文件。在首次使用EFS時(shí)，如果用戶還沒有公鑰/私鑰對(統(tǒng)稱為密鑰)，則會首先生成密鑰，然后加密數(shù)據(jù)。如果你登錄到了域環(huán)境中，密鑰的生成依賴于域控制器，否則依賴于本地機(jī)器。 EFS加密系統(tǒng)對用戶是透明的。這也就是說，如果你加密了一些數(shù)據(jù)，那么你對這些數(shù)據(jù)的訪問將是完全允許的，并不會受到任何限制。而其他非授權(quán)用戶試圖訪問加密過的數(shù)據(jù)時(shí)，就會收到“訪問拒絕”的錯(cuò)誤提示。EFS加密的用戶驗(yàn)證過程是在登錄Windows時(shí)進(jìn)行的，只要登錄到Windows，就可以打開任何一個(gè)被授權(quán)的加密文件。77文件系統(tǒng)安全EFS加密注意事項(xiàng)a.只有NTFS格式的分區(qū)才可以使用EFS加密技術(shù)b.第一次使用EFS加密后應(yīng)及時(shí)備份密鑰c.如果將未加密的文件復(fù)制到具有加密屬性的文件夾中，這些文件將會被自動加密。若是將加密數(shù)據(jù)移出來則有兩種情況：若移動到NTFS分區(qū)上，數(shù)據(jù)依舊保持加密屬性；若移動到FAT分區(qū)上，這些數(shù)據(jù)將會被自動解密。d.被EFS加密過的數(shù)據(jù)不能在Windows中直接共享e.NTFSF分區(qū)中加密和壓縮功能不能同時(shí)使用f.Windows系統(tǒng)文件和文件夾無法加密78文件系統(tǒng)安全將下列可執(zhí)行文件放到一個(gè)新建的目錄D:\XXX下cmd.exe(重命名為shell.exe）

ping.exe、ftp.exe、route.exe、net.exe、wscript.exe、cscript.exe、arp.exe、cacls.exe、netstat.exe、regedit.exe、regedt32.exe、nslookup.exe、tracert.exe、ipconfig.exe、syskey.exe、issync.exe將此目錄進(jìn)行權(quán)限設(shè)置刪除系統(tǒng)中的如下可執(zhí)行文件runas.exe、xcopy.exe、tftp.exe、telnet.exeat.exe、nbtstat.exe、rsh.exe、rcp.exe、debug.exe、rexec.exe、

、finger.exe、edlin.exe、runonce.exe、netsh.exe、regini.exe、find.exe79安全日志W(wǎng)indows的默認(rèn)安裝是不開安全審核。Windows2000下本地安全策略->審核策略中打開相應(yīng)的審核推薦的審核是：策略更改成功失敗登錄事件成功失敗對象訪問失敗目錄服務(wù)訪問失敗特權(quán)使用失敗系統(tǒng)事件成功失敗賬戶登錄事件成功失敗賬戶管理成功失敗80謹(jǐn)慎打開“過程追蹤”，否則大量的日志信息反而可能使審核困難其他的安全設(shè)置關(guān)閉自動打開的管理共享

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

鍵值 AutoShareServer

類型 REG_DWORD

數(shù)據(jù) 0不顯示最后登錄用戶姓名HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon增添鍵值DontDisplayLastUserName類型REG_SZ數(shù)值181關(guān)閉系統(tǒng)默認(rèn)共享系統(tǒng)的共享為用戶帶來了眾多麻煩，經(jīng)常會有病毒通過共享來進(jìn)入電腦。Windows2000/XP/2003版本的操作系統(tǒng)提供了默認(rèn)共享功能，這些默認(rèn)的共享都有“$”標(biāo)志，意為隱含的，包括所有的邏輯盤（C$，D$，E$……）和系統(tǒng)目錄Winnt或Windows（admin$）。這些共享，可以在DOS提示符下輸入命令NetShare查看。因?yàn)椴僮飨到y(tǒng)的C盤、D盤等全是共享的，這就給黑客的入侵帶來了很大的方便?！罢鹗幉ā辈《镜膫鞑シ绞街痪褪菕呙杈钟蚓W(wǎng)內(nèi)所有帶共享的主機(jī)，然后將病毒上傳到上面。下面給大家介紹5種可以關(guān)閉操作系統(tǒng)共享的方法。82關(guān)閉系統(tǒng)默認(rèn)共享

83第一種方法:右鍵關(guān)系法。方法是打開“控制面板”→“管理工具”→“計(jì)算機(jī)管理”→“共享文件夾”→“共享”，在相應(yīng)的共享文件夾上右擊停止共享即可關(guān)閉系統(tǒng)默認(rèn)共享采用這種方法關(guān)閉共享，當(dāng)用戶重新啟動計(jì)算機(jī)后，那些共享又會加上了!所以這種方法不能從根本上解決問題。第二種方法：批處理法。打開記事本，輸入以下內(nèi)容（記得每行最后要回車）：

netshareipc$/delete

n