第1講-加固windows系統(tǒng)安全

工作任務

問題探究

知識拓展

檢查評價

學習目標Windows系統(tǒng)安全配置

實踐操作

1學習目標1.知識目標2.能力目標學習目標返回下頁上頁2理解Windows操作系統(tǒng)安全的基本理論1理解IE安全設置的基本概念5理解用戶賬號及訪問權(quán)限的基本概念；2掌握賬戶安全策略在系統(tǒng)安全中的作用3掌握注冊表的功能及在系統(tǒng)安全中的作用4學習目標1.知識目標返回下頁上頁3學習目標熟悉Windowsserver2003操作系統(tǒng)1配置IE安全策略

5配置用戶訪問權(quán)限及磁盤訪問權(quán)限2配置注冊表安全策略3配置賬戶安全策略及審核策略等組策略42.能力目標返回下頁上頁4工作任務

工作任務2.工作任務背景4.條件準備1.工作名稱3.工作任務分析返回下頁上頁5工作任務

任務名稱：對Windowsserver2003系統(tǒng)進行安全設置。任務名稱與背景任務背景：張老師辦公室的計算機新安裝了Windowsserver2003操作系統(tǒng)，該系統(tǒng)具有高性能、高可靠性和高安全性等特點。Windowsserver2003在默認安裝的時候，基于安全的考慮已經(jīng)實施了很多安全策略。但由于服務器操作系統(tǒng)的特殊性，在默認安裝完成后還需要張老師對系統(tǒng)操作系統(tǒng)進行加固，進一步提升服務器操作系統(tǒng)的安全，保證業(yè)務系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)的安全。返回下頁上頁6工作任務

任務分析：在安裝Windowsserver2003操作系統(tǒng)時，為了提高系統(tǒng)安全，張老師按系統(tǒng)建議，采用最小化方式安裝，只安裝網(wǎng)絡服務所必需的模塊。當有新的服務需求時，再安裝相應的服務模塊，并及時進行安全設置。在完成操作系統(tǒng)安裝全過程后，張老師下面要進行的工作，就是對Windows系統(tǒng)安全方面進行加固，使操作系統(tǒng)變得更加安全可靠，為以后的工作提供一個良好的環(huán)境平臺。任務分析與準備條件準備：

WindowsServer2003R2操作系統(tǒng)返回下頁上頁73.管理帳戶2.創(chuàng)建陷阱賬號4.磁盤訪問權(quán)限配置1.更改Administrator賬戶名稱5.組策略的配置6.注冊表基本知識及安全配置實踐操作實踐操作

返回下頁上頁8實踐操作

1.更改Administrator賬戶名稱

由于Administrator賬戶是微軟操作系統(tǒng)的默認賬戶，建議將此賬戶重命名為其他名稱，以增加非法入侵者對系統(tǒng)管理員賬戶探測的難度。重命名Administrator賬戶的方法。第一步

“開始”->“所有程序”->“管理工具”->“本地安全策略”

第二步選擇“安全設置”->“本地策略”->“安全選項”選項，在右側(cè)的安全列表框中選擇“帳戶”：重命名系統(tǒng)管理員帳戶“策略選項”返回下頁上頁9實踐操作

1.更改Administrator賬戶名稱第三步

更改完成后，返回“計算機管理”窗口，單擊“用戶”，可以看到默認的Administrator帳戶名已被更改。第四步雙擊“帳戶：重命名系統(tǒng)管理員帳戶”策略，雙擊打開“帳戶：重命名系統(tǒng)管理員帳戶屬性”對話框，更改系統(tǒng)管理員帳戶的名稱，應將Administrator設置成一個普通的用戶名，而不要使用如Admin之類的用戶名稱。返回下頁上頁10實踐操作

1.更改Administrator賬戶名稱第五步

“Administrator屬性”對話框中，單擊“添加”按鈕，在“選擇用戶”對話框的“輸入對象名稱來選擇”文本框中，輸入已經(jīng)重命名的系統(tǒng)管理員帳戶名稱，單擊“檢查名稱”按鈕完成帳戶的確認。第六步選擇“組”，在默認組列表中選擇“Administrators”管理員組，右擊鼠標彈出快捷菜單，選擇“屬性”，彈出“屬性”對話框，默認只有Administrator帳戶。選中Administrator帳戶，單擊“刪除”按鈕將其刪除。返回下頁上頁11實踐操作

1.更改Administrator賬戶名稱第七步

單擊“確定”按鈕，將更改后的系統(tǒng)管理員帳戶添加到“Administrators”，單擊“確定”按鈕，完成系統(tǒng)管理員名稱的更改。返回下頁上頁12實踐操作

2．創(chuàng)建陷阱賬號

默認的系統(tǒng)賬號Administrator重命名后，系統(tǒng)管理員可以創(chuàng)建一個同名的擁有最低權(quán)限的同名的Administrator賬戶，并且添加到Guests中，同時將它的權(quán)限設置成最低，并且加上一個超過20位的超級復雜密碼（包括字母、數(shù)字、特殊符號）。新創(chuàng)建的Administrator帳戶名稱雖然和默認的系統(tǒng)管理員帳戶的名稱相同，但是SID安全描述符不同，不會出現(xiàn)帳戶名稱重復的問題。返回下頁上頁13實踐操作

3．管理帳戶

由于Administrator賬戶是微軟操作系統(tǒng)的默認賬戶，建議將此賬戶重命名為其他名稱，以增加非法入侵者對系統(tǒng)管理員賬戶探測的難度。（1）帳戶鎖定安全策略配置

（2）用戶帳戶權(quán)限配置1）將用戶權(quán)限指派到組

2）配置特權(quán)和權(quán)利

返回下頁上頁14實踐操作

4.磁盤訪問權(quán)限配置（1）設置磁盤訪問權(quán)限磁盤在系統(tǒng)安裝完成以后，就賦予了部分權(quán)限，為了保證系統(tǒng)的安全，建議系統(tǒng)管理員對默認的磁盤權(quán)限進行調(diào)整，授予僅有窗口Administrator和SYSTEM才可以訪問的權(quán)限。（2）查看磁盤權(quán)限微軟公司提供了查看磁盤文件或者文件夾當前權(quán)限的圖形化工具，利用AccessEnum可全面了解文件系統(tǒng)和注冊表安全設置，它是網(wǎng)絡管理員查看安全權(quán)限的理想工具。返回下頁上頁15組策略是管理員為用戶和計算機定義并控制程序、網(wǎng)絡資源及操作系統(tǒng)行為的主要工具。通過使用組策略可以設置各種軟件、計算機和用戶策略。例如，可使用“組策略”從桌面刪除圖標、自定義“開始”菜單并簡化“控制面板”。此外,還可添加在計算機上（在計算機啟動或停止時，以及用戶登錄或注銷時）運行的腳本，甚至可配置InternetExplorer。實踐操作

5.組策略的配置

返回下頁上頁16實踐操作

5.組策略的配置

⑴組策略中審核策略的設置1）審核帳戶登錄事件2）推薦的審核策略設置3）調(diào)整日志審核文件的大小4）調(diào)整日志審核文件的大小。⑵“桌面”安全設置1）隱藏桌面的系統(tǒng)圖標2）不要將最近打開的文檔的共享添加到網(wǎng)上鄰居返回下頁上頁173）禁止用戶更改“我的文檔”路徑⑶IE安全設置1）管理好Cookie2）禁用或限制使用Java程序及ActiveX控件3）消除潛在威脅4）組策略中對IE瀏覽器進行安全配置5）禁用“在新窗口中打開”菜單項6）禁用“Internet選項”控制面板7）給工具欄減肥8）禁止修改IE瀏覽器的主頁9）自定義IE工具欄實踐操作

5.組策略的配置

返回下頁上頁18實踐操作

6.注冊表基本知識及安全配置Regedit.exe是微軟提供的一個編輯注冊表的工具，是所有Windows系統(tǒng)通用的注冊表編輯工具。Windows系統(tǒng)沒有提供運行這個應用程序的菜單項，因此必須手動啟動。Regedit.exe這個工具可以對注冊表進行添加修改主鍵、修改鍵值、備份注冊表、局部導入導出注冊表和權(quán)限簡稱等操作。

返回下頁上頁19實踐操作

6.注冊表基本知識及安全配置（1）禁止注冊表編輯器運行

Windows操作系統(tǒng)安裝完成后，默認情況下Regedit.exe工具可以任意使用，為了防止具有惡意的非網(wǎng)絡管理人員使用，建議禁止Regedit.exe的使用，下面介紹兩種禁止Regedit.exe使用的方法。禁止注冊表編輯器運行方法中我們使用組策略禁止Regedit.exe的使用。返回下頁上頁20實踐操作

6.注冊表基本知識及安全配置選擇“開始”->“運行”命令，顯示“運行”對話框，在文本框中輸入“Gpedit.msc”，單擊“確定”按鈕，顯示“組策略編輯器”窗口。第一步

第二步在左側(cè)的“本地計算機策略”列表中，依次展開“用戶配置”->“管理模板”->“系統(tǒng)”在右側(cè)的組策略列表中，雙擊“不要運行指定的Windows應用程序”策略，顯示“不要運行指定的Windows應用程序?qū)傩浴睂υ捒?。第三?/p>

返回下頁上頁21實踐操作

6.注冊表基本知識及安全配置選擇“已啟用”單選按鈕，“不允許的應用程序列表”右側(cè)的“顯示”按鈕的狀態(tài)由不可編輯狀態(tài)轉(zhuǎn)變?yōu)榭删庉嫚顟B(tài)第四步

第五步單擊“顯示”按鈕，顯示“顯示內(nèi)容”對話框。單擊“添加”按鈕，顯示“添加項目對話框”。在“輸入要添加的項目”文本框中，輸入要禁止運行的“Regedit.exe”程序名稱，單擊“確定”按鈕，返回到“顯示內(nèi)容”對話框。返回下頁上頁22實踐操作

6.注冊表基本知識及安全配置單擊多次“確定”按鈕，完成限制策略的設置。選擇“開始”->“運行”命令，顯示“運行”對話框，在文本框中輸入“Regedit.exe”，單擊“確定”按鈕，顯示如圖1.40所示的“限制“對話框，注冊表編輯器不能正常運行。如果需要恢復注冊表編輯器的使用，將此策略設置為“未配置”或者“已禁用”，即可恢復注冊表編輯器的使用。第六步

返回下頁上頁23實踐操作

6.注冊表基本知識及安全配置⑵安全登錄配置

1）顯示登錄窗口選項2）指定密碼的最小長度3）禁止顯示前一個登錄者的名稱4）將Windows網(wǎng)絡登錄口令不保存為PWL文件5）開機自動進入屏幕保護返回下頁上頁24實踐操作

6.注冊表基本知識及安全配置⑶加強文件/文件夾安全1）修改系統(tǒng)文件夾的保護屬性2）從Windows資源管理器中刪除“文件”菜單⑷限制系統(tǒng)功能1）從“我的電腦”菜單中刪除“屬性”菜單項2）禁止在桌面及資源管理器中右擊時彈出快捷菜單3）禁止用戶運行某些程序4）通過注冊表刪除各種歷史記錄返回下頁上頁25實踐操作

6.注冊表基本知識及安全配置⑸注冊表備份和恢復1）備份注冊表數(shù)據(jù)庫2）恢復注冊表數(shù)據(jù)庫返回下頁上頁26問題探究

問題探究3.磁盤訪問權(quán)限2.用戶訪問限制4.組策略的基本概念1.系統(tǒng)管理員賬戶設置5.注冊表的基本概念及安全問題返回下頁上頁27問題探究

1.系統(tǒng)管理員賬戶設置帳戶是計算機的基本安全對象，Windowsserver2003本地計算機包含了兩種帳戶：用戶帳戶和組帳戶。用戶帳戶適用于鑒別用戶身份，并讓用戶登錄系統(tǒng)，訪問資源，而組帳戶適用于組織用戶帳戶和指派訪問資源的權(quán)限。Windowsserver2003操作系統(tǒng)安裝完成后，默認的系統(tǒng)管理員帳戶是Administrator，這已經(jīng)是總所周知的事情。系統(tǒng)管理員權(quán)限，正是非法入侵者夢寐以求的權(quán)限，一旦成功，操作系統(tǒng)將完全暴露在黑客的眼前。返回下頁上頁28問題探究

1.系統(tǒng)管理員賬戶設置在這里建議應盡量減少管理員的數(shù)量，因為管理員組成員擁有對系統(tǒng)的各項操作、配置和訪問權(quán)限。因此，系統(tǒng)管理員的數(shù)量越少，密碼丟失或被猜到的可能性就越小，相對而言，系統(tǒng)也就越安全，這也是最大限度保證網(wǎng)絡安全的重要手段。在Windowsserver2003操作系統(tǒng)安裝完成后，建議重命名Administrator帳戶，因為黑客往往會從Administrator帳戶進行探測。并且禁用Guest賬戶，或者給Guest加一個復雜的密碼，同時停用該用戶，從而實現(xiàn)更高的安全機制，因為此用戶還可以重新啟用，一旦啟用將可以建立IPC$連接。返回下頁上頁29問題探究

2.用戶訪問限制保護計算機和計算機內(nèi)存數(shù)據(jù)的安全措施之一，就是指定擁有不同訪問權(quán)限的用戶帳戶，通過限制用戶帳戶權(quán)限的方式，實現(xiàn)對資源訪問控制。用戶名和密碼用于在登錄Windows2000/XP/2003時進行身份驗證，登錄的身份決定了該用戶是否可以進入該計算機，以及可以在該計算機上做什么。因此，對用戶帳戶和管理員帳戶的嚴格審批、發(fā)放和控制。另外，在進行嚴格的帳戶策略，是確保服務器安全的重要手段。返回下頁上頁30問題探究

2.用戶訪問限制⑴禁止匿名訪問InternetGuest帳戶是在IIS安裝過程中自動創(chuàng)建的。默認狀態(tài)下，所有IIS用戶都使用該帳戶實現(xiàn)對Web或FTP網(wǎng)站的訪問。也就是說，所有用戶在通過匿名方式訪問Web或FTP網(wǎng)站時，都被映射為InternetGuest帳戶，并擁有該帳戶的相應權(quán)限。這樣，就跟利用該帳號從本地直接登錄到服務器時一樣。如果允許只能用InternetGuest帳戶遠程訪問服務器，遠程用戶不必提供自己的用戶名和密碼，但只分給他們InternetGuest帳戶的權(quán)限。返回下頁上頁31問題探究

2.用戶訪問限制這樣做可以防止任何人以騙得的或非法獲得的密碼來得到對敏感信息的訪問。一般來說，以上策略可以建立最為安全的系統(tǒng)。由于InternetGuest帳戶被加在Guest用戶組中，Guest組的設置同樣適用于InternetGuest帳戶。所以，應當重新查看一下Guest組的設置，以確保它們適用于InternetGuest帳戶。返回下頁上頁32問題探究

2.用戶訪問限制（2）采用安全驗證方式基本驗證和Windows驗證要求用戶必須提供一個合法的Windows2000/2003/XP用戶名和密碼才能訪問服務器，否則，將被拒絕對服務器的訪問。它們兩者的區(qū)別在于，Windows驗證將用戶名和密碼加密后再進行傳輸，確保了用戶名和密碼在Internet傳輸過程中的安全，保證用戶名和密碼不會在傳輸過程中被惡意用戶截獲，并冒名頂替該用戶登錄服務器竊取敏感資料或?qū)Ψ掌鬟M行破壞?；掘炞C方法則不經(jīng)加密，直接在Internet上傳輸，因此用戶名和密碼對在傳輸過程中極易被截獲從而對服務器及其數(shù)據(jù)造成難以估計的損失。返回下頁上頁33問題探究

2.用戶訪問限制驗證方法只是利用uuencode對資源信息進行了編碼，可以被任何訪問網(wǎng)絡的人輕易的解開，甚至對那些只能訪問傳送數(shù)據(jù)包的某一因特網(wǎng)網(wǎng)段的人來說，也是如此。因此，微軟公司只建議采用Windows2000/2003/XP的質(zhì)詢/應答（Challenge/Response）這一密碼驗證方式。返回下頁上頁34問題探究

3.磁盤訪問權(quán)限權(quán)限有高低之分，具備有高權(quán)限的用戶可以訪問、修改的權(quán)限用戶的文件夾和文件。除了Administrators之外，其他組的用戶不能訪問NTFS卷上的其他用戶資料。除非獲得了顯示授權(quán)，具備低權(quán)限的用戶無法訪問、修改具備高權(quán)限用戶的文件和文件夾。返回下頁上頁35問題探究

3.磁盤訪問權(quán)限完全控制修改讀取和運行讀取7種權(quán)限的控制范圍

特別的權(quán)限

列出文件夾目錄寫入返回下頁上頁36問題探究

4.組策略的基本概念說到組策略，就不得不提注冊表。注冊表是Windows系統(tǒng)中保存系統(tǒng)、應用軟件配置的數(shù)據(jù)庫，隨著Windows功能的越來越豐富，注冊表里的配置項目也越來越多。很多配置都是可以自定義設置的，但這些配置發(fā)布在注冊表的各個角落，如果是手工配置，可想是多么困難和煩雜。而組策略則將系統(tǒng)重要的配置功能匯集成各種配置模塊，供管理人員直接使用，從而達到方便管理計算機的目的。簡單點說，組策略就是修改注冊表中的配置。當然，組策略使用自己更完善的管理組織方法，可以對各種對象中的設置進行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大。返回下頁上頁37問題探究

5.注冊表的基本概念及安全問題

注冊表是Windows系統(tǒng)核心配置數(shù)據(jù)庫，在系統(tǒng)中起著舉足輕重的作用，一旦組冊表出現(xiàn)問題，整個系統(tǒng)將變得混亂甚至崩潰。注冊表主要存儲如下內(nèi)容：軟、硬件的配置和狀態(tài)信息。應用程序和資源管理外殼的初始條件、首選項和卸載數(shù)據(jù)。計算機整個系統(tǒng)的設置和各種許可。文件擴展名與應用程序的關(guān)聯(lián)。硬件描述、狀態(tài)和屬性。計算機性能和底層的系統(tǒng)狀態(tài)信息，以及各類其他數(shù)據(jù)。返回下頁上頁38知識拓展

知識拓展3.關(guān)閉“遠程注冊表服務”2.拒絕“信”騷擾4.禁止病毒啟動服務1.操作系統(tǒng)注冊表安全知識拓展5.拒絕ActiveX控件的惡意騷擾返回下頁上頁39知識拓展

⒈操作系統(tǒng)注冊表安全知識拓展

操作系統(tǒng)中所有系統(tǒng)設置都可以在注冊表中找到蹤影，所有的程序啟動方式和服務啟動類型都可通過注冊表中的小小鍵值來控制。然而，正因為注冊表的強大使得它也成為了一個藏污納垢的地方。病毒和木馬常常寄生在此，偷偷摸摸地干著罪惡勾當，威脅著原本健康的操作系統(tǒng)。如何才能有效地防范病毒和木馬的侵襲，保證系統(tǒng)的正常運行呢?我們將從服務、默認設置、權(quán)限分配等九個方面入手為大家介紹如何通過注冊表打造一個安全的系統(tǒng)。特別提示:在進行修改之前，一定要備份原有注冊表。返回下頁上頁40知識拓展

2.拒絕“信”騷擾安全隱患:在Windows2000/XP系統(tǒng)中，默認Messenger服務處于啟動狀態(tài)，不懷好意者可通過“netsend”指令向目標計算機發(fā)送信息。目標計算機會不時地收到他人發(fā)來的騷擾信息，嚴重影響正常使用。解決方法:首先打開注冊表編輯器。對于系統(tǒng)服務來說，我們可以通過注冊表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”項下的各個選項來進行管理，其中的每個子鍵就是系統(tǒng)中對應的“服務”，如“Messenger”服務對應的子鍵是“Messenger”。我們只要找到Messenger項下的START鍵值，將該值修改為4即可。這樣該服務就會被禁用，用戶就再也不會受到“信”騷擾了返回下頁上頁41知識拓展

3.關(guān)閉“遠程注冊表服務”安全隱患:如果黑客連接到了我們的計算機，而且計算機啟用了遠程注冊表服務(RemoteRegistry)，那么黑客就可遠程設置注冊表中的服務，因此遠程注冊表服務需要特別保護。解決方法:我們可將遠程注冊表服務(RemoteRegistry)的啟動方式設置為禁用。不過，黑客在入侵我們的計算機后，仍然可以通過簡單的操作將該服務從“禁用”轉(zhuǎn)換為“自動啟動”。因此我們有必要將該服務刪除。找到注冊表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”下的RemoteRegistry項，右鍵點擊該項選擇“刪除”，將該項刪除后就無法啟動該服務了。在刪除之前，一定要將該項信息導出并保存。想使用該服務時，只要將已保存的注冊表文件導入即可。返回下頁上頁42知識拓展

4.禁止病毒啟動服務安全隱患:現(xiàn)在的病毒很聰明，不像以前只會通過注冊表的RUN值或MSCONFIG中的項目進行加載。一些高級病毒會通過系統(tǒng)服務進行加載。那么，我們能不能使病毒或木馬沒有啟動服務的相應權(quán)限呢?解決方法:運行“regedt32”指令啟用帶權(quán)限分配功能的注冊表編輯器。在注冊表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支，接著點擊菜單欄中的“安全→權(quán)限”，在彈出的Services權(quán)限設置窗口中單擊“添加”按鈕，將Everyone賬號導入進來，然后選中“Everyone”賬號，將該賬號的“讀取”權(quán)限設置為“允許”，將它的“完全控制”權(quán)限取消?，F(xiàn)在任何木馬或病毒都無法自行啟動系統(tǒng)服務了。當然，該方法只對沒有獲得管理員權(quán)限的病毒和木馬有效。返回下頁上頁43知識拓展

5.拒絕ActiveX控件的惡意騷擾安全隱患:不少木馬和病毒都是通過在網(wǎng)頁中隱藏惡意ActiveX控件的方法來私自運行系統(tǒng)中的程序，從而達到破壞本地系統(tǒng)的目的。為了保證系統(tǒng)安全，我們應該阻止ActiveX控件私自運行程序。解決方法:ActiveX控件是通過調(diào)用Win