系统安全加固
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4、将AutoSharkWks项的键值由1改为0,关闭admin$共享。 5、如果没有以上两项,可自己新建一个再改键值。
- 27 -
02 Windows
系统安全加固
2.10 禁止TTL值判断主机类型
黑客可以利用TTL值来鉴别操作系统的类型,通过ping命令能判断目标主机的类型。 许多入侵者首先会ping一下目标主机,因为攻击某一台计算机需要根据对方的操作 系统是windows还是其他的系统。如TTL值为128就可以认为系统为windows 2000。 Unix及类Unix系统ICMP回显应答的TTL字段值为255 微软的windows NT/2000/XP操作系统ICMP回显应答的TTL字段值为128,WIN 7的 TTL值为64, 打开注册表编辑器,展开 “HKEY_LOCAL_MACHINE\System\CurrentContr olSet\Services\Tcpip\Parameters”,找到 “DefaultTTL”,将该值修改为一个新的值,重 新启动服务器系统后即可。
2.9 关闭系统默认共享
关闭默认共享方法二:批处理法
1、打开记事本,输入如下内容: net share admin$ /delete net share c$ /delete net share d$ /delete net share e$ /delete net share f$ /delete …… 2、将以上内容保存为netshare.bat(注意后缀名),然后把这个批处理文 件拖到“程序”-->“启动”项中,这样每次开机就会自动运行此文件,也 就通过net命令关闭了共享。
2.1 windows账户安全设置
第一步:禁用guest
可以将guest账号关闭、停用或改 名。如果必须要用guest账号的话, 需将guest列入拒绝“网络访问” 的名单中,防止guest账号从网络 访问本计算机、关闭计算机以及查 看系统日志等。(如果本地有打印 机共享或者文件夹共享则不能做此 设置)
- 16 -
02 Windows
系统安全加固
2.5 关闭不必要的端口
关闭端口则意味着减少功能, 如果服务器安装在防火墙的 后面,被入侵的机会就会少 一些,但是不可以人为高枕
无忧了。可以在操作系统里
再来限制端口的访问,如图 所示为操作系统TCP/IP限制 端口。
- 17 -
02 Windows
系统安全加固
02 Windows
系统安全加固
2.9 关闭系统默认共享
关闭默认共享方法一:打开【控制面板】-->【管理工具】-->【计算机管理】-->
【共享文件夹】-->【共享】,在相应的共享文件夹上右击停止共享。
注意:此种方法关闭共享后,如果计算机重启,默认共享又会开启。
- 25 -
02 Windows
系统安全加固
- 19 -
02 Windows
系统安全加固
2.7 开启密码策略
系统密码策略在默认的情况下都是没有开启的。 【控制面板】-->【管理工具】-->【本地安全设置】-->【审核策略】
- 20 -
02 Windows
系统安全加固
2.7 开启密码策略
密码策略设置参考:
密码必须符合复杂性要求设置为“启动” 密码至少包含以下四类字符中的三种: 英语大写字母:ABCDE…… 英语小写字母:abcdefg…… 阿拉伯数字:01234567890 特殊符号:,。~!@#¥%&*…… 最短密码长度6-8个字符 密码最常存留期设置为42天-90天 强制密码历史设置为“记住5个密码”
- 12 -
02 Windows
系统安全加固
2.1 windows账户安全设置
第四步:创建陷阱账户
陷阱账号是创建是一个名为 “administrator”的本地账户,把它的 权限设置为最低,基本上什么权限都 没有,并且为账号设置一个特别复杂 的密码。 这样可以让那些企图入侵者忙上很长 一段时间了,借此来发现其入侵的企 图。例如,将此用户隶属于guests组, 并且密码为20位以上的数字+大小写 字母+特殊符号的密码。
- 11 -
02 Windows
系统安全加固
2.1 windows账户安全设置
第三步:管理员账号更名
windows系统中的administrator账号 是不能被停用的,这意味着别人可以 一遍又一遍地尝试这个账号的密码。 如果把administrator账号更名则可以 有效地防止这一点。 不要使用admin之类的迷你工资,改 了等于没改,尽量把它伪装成普通用 户。例如,将administrator改成 guesttest。
系统安全分析
操作系统安全的含义
操作系统安全具有两层含义:
一、是指操作系统设计时,通过权限访问控制、信息加密保护、完整性鉴定
等一些安全机制实现的安全。
二、是指在操作系统使用过程中,考虑系统缺陷和应用环境的不安全因素而 必须进行系统的安全配置。
-5-
01 Windows
系统安全分析
操作系统的安全配置
操作系统安全配置主要包含以下三个方面: 1、访问权限的恰当设置 指利用操作系统提供的访问控制功能为用户和文件系统设置恰当的访问权限。
- 10 -
02 Windows
系统安全加固
2.1 windows账户安全设置
第二步:限制用户数量
去掉所有的测试账户、共享账户和普 通部门账号等。用户组策略设置相应 权限,并且经常检查系统的账户,删 除已经不适用的账户。 账户很多是黑客们入侵系统的突破口, 系统的账户越多,黑客们得到合法用 户的权限可能性也就越大。 对于windows NT主机,如果系统账户 超过10个,一般能找出一两个弱口令 账户,所以账户数量不要大于10个。 这些不用的账户要定期清理掉。
3、设置屏幕保护密码
4、关闭不必要的服务 5、关闭不必要的端口 6、开启系统审核策略 7、开启密码策略 8、开启账户锁定策略 9、关闭系统默认共享 10、禁止TTL判断主机类型 11、修补操作系统漏洞 12、其他安全设置
-9-
02 Windows
系统安全加固
费系统资源,设置黑屏即可。将屏幕保护
的选项“密码保护”选中,并将等待时间 设置为最短的1分钟。 养成平时离开电脑前按windows+L组合键 的习惯。
- 15 -
02 Windows
系统安全加固
2.4 关闭不必要的服务
计算机里通常安装有了些不 不要的服务,如果这些服务 没有用的话,最好能将这些 服务关闭掉。例如:为了能 够在远程方便管理服务器, 很多机器的终端服务都是开 着的。 如果开了要确认已经正常的 配置了终端服务。有些恶意 的程序也能以服务方式悄悄 的运行服务器上的终端服务。 要留意服务器上开启的所有 服务并定期进行检查。
windows系统安全加固
数据通信技术培训
目录页
Contents Page
01 Windows系统安全分析 02 Windows系统安全加固
过渡页
Transition Page
01 Windows系统安全分析 02 Windows系统安全加固
01 Windows
系统安全分析
Βιβλιοθήκη Baidu
什么是安全的操作系统?
- 13 -
02 Windows
系统安全加固
2.2 设置安全的密码
好的密码对于一个网络是非常重要的,但是
也是最容易被忽略的。一些网络管理员创建 账号的时候往往用公司名、计算机名、用户
姓名等,或者一些别的一猜就能得到的字符
做用户名,然后又把这些账户的密码设置得 比较简单。
20个最常用的弱口令:
1. 123456 2. 123456789 3. qwerty 4. 12345678 5. 111111 6. 1234567890 7. 1234567 8. password 9. 123123 10. 987654321 11. qwertyuiop 12. mynoob 13. 123321 14. 666666 15. 18atcskd2w 16. 7777777 17. 1q2w3e4r 18. 654321 19. 555555 20. 3rjs1la7qe
- 21 -
02 Windows
系统安全加固
2.8 开启账户锁定策略
系统账户锁定策略在默认的情况下都是没有开启的。 【控制面板】-->【管理工具】-->【本地安全设置】-->【账户锁定策略】
- 22 -
02 Windows
系统安全加固
2.8 开启账户锁定策略
开启账户锁定策略能有效地防止字典攻击,设置建议值如下表所示:
- 28 -
02 Windows
系统安全加固
2.11 修补操作系统漏洞
Windows系统漏洞其实是指windows操作系统本身所存在的技术缺陷。系统漏洞 往往会被病毒利用侵入并攻击用户计算机。 微软会定期对已知的系统漏洞发布补丁程序,用户只要定期下载并安装补丁程序, 可以保证计算机不会轻易被病毒入侵。 所以我们一般都应该对windows提示的系统漏洞进行下载更新(也就是我们俗称 的打补丁),以此保护我们的计算机系统。
策略 复位账户锁定计数器 账户锁定时间 账户锁定阈值
建议设置值 30分钟 30分钟 5次
- 23 -
02 Windows
系统安全加固
2.9 关闭系统默认共享
在Windows电脑系统安装后都会有默认的共享分区,但是这些默认共享分区在方 便局域网中共享文件的同时也存在了安全隐患,若不经常使用这些最好关掉,给 系统一个安全保障。 查看默认共享:
一般意义上说,一个操作系统是安全的,是指该
系统能够控制外部对系统信息的访问,也就是说, 只有经过授权的用户或代表该用户运行的进程才 能读、写、创建和删除信息。
【通俗的说】
身份认证解决的是“你是谁,你是否真的是你所声称的身份” 访问控制解决的是“你能做什么,你有什么样的权限”。
-4-
01 Windows
2、系统的及时更新
几乎所有操作系统都不同程度的存在着设计和程序缺陷,在应用中产生安全 漏洞,容易被病毒利用来侵入并攻击用户计算机。 3、对于攻击的防范 利用操作系统提供的各种功能和安装各种防范软件来提高系统的安全防护能
力。
-6-
01 Windows
系统安全分析
操作系统的安全漏洞
几乎所有的操作系统都不是十全十美的,总存在些安全漏洞。 一些常见及重大的操作系统安全漏洞类型包括: 1、缓冲区溢出漏洞
2.6 开启系统审核策略
默认情况下,windows 系统的审核策略都是 没有开启的。
打开方法:控制面板->管理工具-->本地安全 设置-->审核策略
- 18 -
02 Windows
系统安全加固
2.6 开启系统审核策略
建议的系统审核策略:
“审核策略更改”,成功+失败。 “审核登录事件”,成功+失败。 “审核访问对象”,失败。 “审核目录服务访问”,失败。 “审核特权使用”,失败。 “审核系统事件”,成功+失败。 “审核账户登录事件”,成功+失败。 “审核账户管理”,成功+失败。
2、TCP/IP协议漏洞
3、web应用安全漏洞 4、开放端口的安全漏洞
-7-
过渡页
Transition Page
01 Windows系统安全分析 02 Windows系统安全加固
02 Windows
系统安全加固
Windows系统安全加固策略
1、账号安全设置 2、设置安全的密码
- 26 -
02 Windows
系统安全加固
2.9 关闭系统默认共享
关闭默认共享方法三:注册表编辑法
1、打开注册表编辑器
2、找到路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\ parameters 3、将AutoShareServer项的键值由1改为0,这样就能关闭硬盘分区的默认 共享;
- 14 -
什么样的密码是安全的密码:安全期内无法
破解出来的密码就是安全的密码,也就是说, 如果得到了密码的密文,必须经过43天以上 才能破解出来,密码策略是42天必须改密码。
02 Windows
系统安全加固
2.3 设置屏幕保护密码
设置屏幕保护密码可以防止内部人员破坏 计算机的一个屏障。注意,不要使用 OpenGL和一些复杂的屏幕保护程序,浪
1、利用快捷键Win+R打开运行框,输入 cmd,打开命令提示符窗口; 2、再窗口中输入命令net share回车。如下 图所示。C$,D$,E$,F$默认共享,以及 IPC$远程IPC,ADMIN$远程管理; 3、print$为打印机共享,一般办公室中一台 电脑上安装打印机,然后把打印机共享。
- 24 -
- 27 -
02 Windows
系统安全加固
2.10 禁止TTL值判断主机类型
黑客可以利用TTL值来鉴别操作系统的类型,通过ping命令能判断目标主机的类型。 许多入侵者首先会ping一下目标主机,因为攻击某一台计算机需要根据对方的操作 系统是windows还是其他的系统。如TTL值为128就可以认为系统为windows 2000。 Unix及类Unix系统ICMP回显应答的TTL字段值为255 微软的windows NT/2000/XP操作系统ICMP回显应答的TTL字段值为128,WIN 7的 TTL值为64, 打开注册表编辑器,展开 “HKEY_LOCAL_MACHINE\System\CurrentContr olSet\Services\Tcpip\Parameters”,找到 “DefaultTTL”,将该值修改为一个新的值,重 新启动服务器系统后即可。
2.9 关闭系统默认共享
关闭默认共享方法二:批处理法
1、打开记事本,输入如下内容: net share admin$ /delete net share c$ /delete net share d$ /delete net share e$ /delete net share f$ /delete …… 2、将以上内容保存为netshare.bat(注意后缀名),然后把这个批处理文 件拖到“程序”-->“启动”项中,这样每次开机就会自动运行此文件,也 就通过net命令关闭了共享。
2.1 windows账户安全设置
第一步:禁用guest
可以将guest账号关闭、停用或改 名。如果必须要用guest账号的话, 需将guest列入拒绝“网络访问” 的名单中,防止guest账号从网络 访问本计算机、关闭计算机以及查 看系统日志等。(如果本地有打印 机共享或者文件夹共享则不能做此 设置)
- 16 -
02 Windows
系统安全加固
2.5 关闭不必要的端口
关闭端口则意味着减少功能, 如果服务器安装在防火墙的 后面,被入侵的机会就会少 一些,但是不可以人为高枕
无忧了。可以在操作系统里
再来限制端口的访问,如图 所示为操作系统TCP/IP限制 端口。
- 17 -
02 Windows
系统安全加固
02 Windows
系统安全加固
2.9 关闭系统默认共享
关闭默认共享方法一:打开【控制面板】-->【管理工具】-->【计算机管理】-->
【共享文件夹】-->【共享】,在相应的共享文件夹上右击停止共享。
注意:此种方法关闭共享后,如果计算机重启,默认共享又会开启。
- 25 -
02 Windows
系统安全加固
- 19 -
02 Windows
系统安全加固
2.7 开启密码策略
系统密码策略在默认的情况下都是没有开启的。 【控制面板】-->【管理工具】-->【本地安全设置】-->【审核策略】
- 20 -
02 Windows
系统安全加固
2.7 开启密码策略
密码策略设置参考:
密码必须符合复杂性要求设置为“启动” 密码至少包含以下四类字符中的三种: 英语大写字母:ABCDE…… 英语小写字母:abcdefg…… 阿拉伯数字:01234567890 特殊符号:,。~!@#¥%&*…… 最短密码长度6-8个字符 密码最常存留期设置为42天-90天 强制密码历史设置为“记住5个密码”
- 12 -
02 Windows
系统安全加固
2.1 windows账户安全设置
第四步:创建陷阱账户
陷阱账号是创建是一个名为 “administrator”的本地账户,把它的 权限设置为最低,基本上什么权限都 没有,并且为账号设置一个特别复杂 的密码。 这样可以让那些企图入侵者忙上很长 一段时间了,借此来发现其入侵的企 图。例如,将此用户隶属于guests组, 并且密码为20位以上的数字+大小写 字母+特殊符号的密码。
- 11 -
02 Windows
系统安全加固
2.1 windows账户安全设置
第三步:管理员账号更名
windows系统中的administrator账号 是不能被停用的,这意味着别人可以 一遍又一遍地尝试这个账号的密码。 如果把administrator账号更名则可以 有效地防止这一点。 不要使用admin之类的迷你工资,改 了等于没改,尽量把它伪装成普通用 户。例如,将administrator改成 guesttest。
系统安全分析
操作系统安全的含义
操作系统安全具有两层含义:
一、是指操作系统设计时,通过权限访问控制、信息加密保护、完整性鉴定
等一些安全机制实现的安全。
二、是指在操作系统使用过程中,考虑系统缺陷和应用环境的不安全因素而 必须进行系统的安全配置。
-5-
01 Windows
系统安全分析
操作系统的安全配置
操作系统安全配置主要包含以下三个方面: 1、访问权限的恰当设置 指利用操作系统提供的访问控制功能为用户和文件系统设置恰当的访问权限。
- 10 -
02 Windows
系统安全加固
2.1 windows账户安全设置
第二步:限制用户数量
去掉所有的测试账户、共享账户和普 通部门账号等。用户组策略设置相应 权限,并且经常检查系统的账户,删 除已经不适用的账户。 账户很多是黑客们入侵系统的突破口, 系统的账户越多,黑客们得到合法用 户的权限可能性也就越大。 对于windows NT主机,如果系统账户 超过10个,一般能找出一两个弱口令 账户,所以账户数量不要大于10个。 这些不用的账户要定期清理掉。
3、设置屏幕保护密码
4、关闭不必要的服务 5、关闭不必要的端口 6、开启系统审核策略 7、开启密码策略 8、开启账户锁定策略 9、关闭系统默认共享 10、禁止TTL判断主机类型 11、修补操作系统漏洞 12、其他安全设置
-9-
02 Windows
系统安全加固
费系统资源,设置黑屏即可。将屏幕保护
的选项“密码保护”选中,并将等待时间 设置为最短的1分钟。 养成平时离开电脑前按windows+L组合键 的习惯。
- 15 -
02 Windows
系统安全加固
2.4 关闭不必要的服务
计算机里通常安装有了些不 不要的服务,如果这些服务 没有用的话,最好能将这些 服务关闭掉。例如:为了能 够在远程方便管理服务器, 很多机器的终端服务都是开 着的。 如果开了要确认已经正常的 配置了终端服务。有些恶意 的程序也能以服务方式悄悄 的运行服务器上的终端服务。 要留意服务器上开启的所有 服务并定期进行检查。
windows系统安全加固
数据通信技术培训
目录页
Contents Page
01 Windows系统安全分析 02 Windows系统安全加固
过渡页
Transition Page
01 Windows系统安全分析 02 Windows系统安全加固
01 Windows
系统安全分析
Βιβλιοθήκη Baidu
什么是安全的操作系统?
- 13 -
02 Windows
系统安全加固
2.2 设置安全的密码
好的密码对于一个网络是非常重要的,但是
也是最容易被忽略的。一些网络管理员创建 账号的时候往往用公司名、计算机名、用户
姓名等,或者一些别的一猜就能得到的字符
做用户名,然后又把这些账户的密码设置得 比较简单。
20个最常用的弱口令:
1. 123456 2. 123456789 3. qwerty 4. 12345678 5. 111111 6. 1234567890 7. 1234567 8. password 9. 123123 10. 987654321 11. qwertyuiop 12. mynoob 13. 123321 14. 666666 15. 18atcskd2w 16. 7777777 17. 1q2w3e4r 18. 654321 19. 555555 20. 3rjs1la7qe
- 21 -
02 Windows
系统安全加固
2.8 开启账户锁定策略
系统账户锁定策略在默认的情况下都是没有开启的。 【控制面板】-->【管理工具】-->【本地安全设置】-->【账户锁定策略】
- 22 -
02 Windows
系统安全加固
2.8 开启账户锁定策略
开启账户锁定策略能有效地防止字典攻击,设置建议值如下表所示:
- 28 -
02 Windows
系统安全加固
2.11 修补操作系统漏洞
Windows系统漏洞其实是指windows操作系统本身所存在的技术缺陷。系统漏洞 往往会被病毒利用侵入并攻击用户计算机。 微软会定期对已知的系统漏洞发布补丁程序,用户只要定期下载并安装补丁程序, 可以保证计算机不会轻易被病毒入侵。 所以我们一般都应该对windows提示的系统漏洞进行下载更新(也就是我们俗称 的打补丁),以此保护我们的计算机系统。
策略 复位账户锁定计数器 账户锁定时间 账户锁定阈值
建议设置值 30分钟 30分钟 5次
- 23 -
02 Windows
系统安全加固
2.9 关闭系统默认共享
在Windows电脑系统安装后都会有默认的共享分区,但是这些默认共享分区在方 便局域网中共享文件的同时也存在了安全隐患,若不经常使用这些最好关掉,给 系统一个安全保障。 查看默认共享:
一般意义上说,一个操作系统是安全的,是指该
系统能够控制外部对系统信息的访问,也就是说, 只有经过授权的用户或代表该用户运行的进程才 能读、写、创建和删除信息。
【通俗的说】
身份认证解决的是“你是谁,你是否真的是你所声称的身份” 访问控制解决的是“你能做什么,你有什么样的权限”。
-4-
01 Windows
2、系统的及时更新
几乎所有操作系统都不同程度的存在着设计和程序缺陷,在应用中产生安全 漏洞,容易被病毒利用来侵入并攻击用户计算机。 3、对于攻击的防范 利用操作系统提供的各种功能和安装各种防范软件来提高系统的安全防护能
力。
-6-
01 Windows
系统安全分析
操作系统的安全漏洞
几乎所有的操作系统都不是十全十美的,总存在些安全漏洞。 一些常见及重大的操作系统安全漏洞类型包括: 1、缓冲区溢出漏洞
2.6 开启系统审核策略
默认情况下,windows 系统的审核策略都是 没有开启的。
打开方法:控制面板->管理工具-->本地安全 设置-->审核策略
- 18 -
02 Windows
系统安全加固
2.6 开启系统审核策略
建议的系统审核策略:
“审核策略更改”,成功+失败。 “审核登录事件”,成功+失败。 “审核访问对象”,失败。 “审核目录服务访问”,失败。 “审核特权使用”,失败。 “审核系统事件”,成功+失败。 “审核账户登录事件”,成功+失败。 “审核账户管理”,成功+失败。
2、TCP/IP协议漏洞
3、web应用安全漏洞 4、开放端口的安全漏洞
-7-
过渡页
Transition Page
01 Windows系统安全分析 02 Windows系统安全加固
02 Windows
系统安全加固
Windows系统安全加固策略
1、账号安全设置 2、设置安全的密码
- 26 -
02 Windows
系统安全加固
2.9 关闭系统默认共享
关闭默认共享方法三:注册表编辑法
1、打开注册表编辑器
2、找到路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\ parameters 3、将AutoShareServer项的键值由1改为0,这样就能关闭硬盘分区的默认 共享;
- 14 -
什么样的密码是安全的密码:安全期内无法
破解出来的密码就是安全的密码,也就是说, 如果得到了密码的密文,必须经过43天以上 才能破解出来,密码策略是42天必须改密码。
02 Windows
系统安全加固
2.3 设置屏幕保护密码
设置屏幕保护密码可以防止内部人员破坏 计算机的一个屏障。注意,不要使用 OpenGL和一些复杂的屏幕保护程序,浪
1、利用快捷键Win+R打开运行框,输入 cmd,打开命令提示符窗口; 2、再窗口中输入命令net share回车。如下 图所示。C$,D$,E$,F$默认共享,以及 IPC$远程IPC,ADMIN$远程管理; 3、print$为打印机共享,一般办公室中一台 电脑上安装打印机,然后把打印机共享。
- 24 -