《系統(tǒng)安全配置》

1、編輯pptl Windows 系統(tǒng)安全配置系統(tǒng)安全配置q Windows操作系統(tǒng)安全配置操作系統(tǒng)安全配置編輯pptl NTFS分區(qū)分區(qū)把服務(wù)器的所有分區(qū)都改成把服務(wù)器的所有分區(qū)都改成NTFSNTFS格式格式。NTFSNTFS文件系統(tǒng)要比文件系統(tǒng)要比FATFAT、FAT32FAT32的文件的文件系統(tǒng)安全得多系統(tǒng)安全得多確認(rèn)分區(qū)確認(rèn)分區(qū) 進(jìn)入進(jìn)入DOSDOS 輸入命令輸入命令:chkntfs :chkntfs 盤符盤符q Windows系統(tǒng)安全措施初級篇系統(tǒng)安全措施初級篇編輯pptl NTFS分區(qū)分區(qū)轉(zhuǎn)換分區(qū)轉(zhuǎn)換分區(qū)( (將將FNTFNT分區(qū)轉(zhuǎn)換為分區(qū)轉(zhuǎn)換為NTFSNTFS分區(qū)分區(qū)) ) 進(jìn)入進(jìn)入

2、DOSDOS 輸入命令輸入命令:convert :convert 盤符盤符 /fs:ntfs/fs:ntfsq Windows系統(tǒng)安全措施初級篇系統(tǒng)安全措施初級篇編輯pptl 操作系統(tǒng)安全策略操作系統(tǒng)安全策略利用利用WindowsWindows安全配置工具配置安全安全配置工具配置安全策略策略管理工具管理工具本地安全策略本地安全策略 q Windows系統(tǒng)安全措施中級篇系統(tǒng)安全措施中級篇編輯pptl 關(guān)閉不必要的端口關(guān)閉不必要的端口lC:windowssystem32driversetcservicesl具體操作見另外文檔具體操作見另外文檔 編輯pptl 開啟審核策略開啟審核策略安全審核是安全審

3、核是WindowsWindows最基本的入侵檢最基本的入侵檢測方法。當(dāng)有人嘗試對系統(tǒng)進(jìn)行某種測方法。當(dāng)有人嘗試對系統(tǒng)進(jìn)行某種方式入侵時(shí)，都會被安全審核記錄下方式入侵時(shí)，都會被安全審核記錄下來來表中所列審核是必須開啟的，其他的表中所列審核是必須開啟的，其他的可以根據(jù)需要增加可以根據(jù)需要增加 q Windows系統(tǒng)安全措施中級篇系統(tǒng)安全措施中級篇編輯pptl 開啟審核策略開啟審核策略 q Windows系統(tǒng)安全措施中級篇系統(tǒng)安全措施中級篇默認(rèn)默認(rèn)下未下未開啟開啟編輯pptl 開啟審核策略開啟審核策略 q Windows系統(tǒng)安全措施中級篇系統(tǒng)安全措施中級篇編輯pptl 開啟密碼策略開啟密碼策略密碼對

4、系統(tǒng)安全非常重要。本地安全密碼對系統(tǒng)安全非常重要。本地安全設(shè)置中密碼策略在默認(rèn)情況下均未開設(shè)置中密碼策略在默認(rèn)情況下均未開啟啟 q Windows系統(tǒng)安全措施中級篇系統(tǒng)安全措施中級篇編輯pptl 開啟密碼策略開啟密碼策略密碼對系統(tǒng)安全非常重要。本地安全密碼對系統(tǒng)安全非常重要。本地安全設(shè)置中密碼策略在默認(rèn)情況下均未開設(shè)置中密碼策略在默認(rèn)情況下均未開啟啟 q Windows系統(tǒng)安全措施中級篇系統(tǒng)安全措施中級篇編輯pptl 開啟帳戶密碼開啟帳戶密碼開啟帳戶策略可有效的防止字典式攻開啟帳戶策略可有效的防止字典式攻擊擊 q Windows系統(tǒng)安全措施中級篇系統(tǒng)安全措施中級篇編輯pptl 開啟帳戶密碼開啟

5、帳戶密碼開啟帳戶策略可有效的防止字典式攻開啟帳戶策略可有效的防止字典式攻擊擊 q Windows系統(tǒng)安全措施中級篇系統(tǒng)安全措施中級篇編輯pptl 不顯示上次登錄不顯示上次登錄默認(rèn)情況下，終端服務(wù)接入服務(wù)器時(shí)，默認(rèn)情況下，終端服務(wù)接入服務(wù)器時(shí)，登陸對話框中會顯示上次登陸帳戶名。登陸對話框中會顯示上次登陸帳戶名。本地登陸對話框也是一樣本地登陸對話框也是一樣設(shè)置方法：管理工具設(shè)置方法：管理工具本地安全策略本地安全策略本地策略本地策略安全選項(xiàng)安全選項(xiàng)登錄屏幕上登錄屏幕上不顯示上次登錄的用戶名不顯示上次登錄的用戶名已啟用已啟用確定確定q Windows系統(tǒng)安全措施中級篇系統(tǒng)安全措施中級篇編輯pptl 不

6、顯示上次登錄不顯示上次登錄默認(rèn)情況下，終端服務(wù)接入服務(wù)器時(shí)，默認(rèn)情況下，終端服務(wù)接入服務(wù)器時(shí)，登陸對話框中會顯示上次登陸帳戶名。登陸對話框中會顯示上次登陸帳戶名。本地登陸對話框也是一樣本地登陸對話框也是一樣設(shè)置方法：管理工具設(shè)置方法：管理工具本地安全策略本地安全策略本地策略本地策略安全選項(xiàng)安全選項(xiàng)登錄屏幕上登錄屏幕上不顯示上次登錄的用戶名不顯示上次登錄的用戶名已啟用已啟用確定確定q Windows系統(tǒng)安全措施中級篇系統(tǒng)安全措施中級篇編輯pptl 不顯示上次登錄不顯示上次登錄修改注冊表禁止顯示上次登錄名修改注冊表禁止顯示上次登錄名 在在HKEY_LOCAL_MACHINE主鍵下主鍵下修改子鍵：修

7、改子鍵：SoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName，將數(shù)值數(shù)據(jù)改成，將數(shù)值數(shù)據(jù)改成1q Windows系統(tǒng)安全措施中級篇系統(tǒng)安全措施中級篇編輯pptl 不顯示上次登錄不顯示上次登錄修改注冊表禁止顯示上次登錄名修改注冊表禁止顯示上次登錄名 q Windows系統(tǒng)安全措施中級篇系統(tǒng)安全措施中級篇編輯pptl 不顯示上次登錄不顯示上次登錄修改注冊表禁止顯示上次登錄名修改注冊表禁止顯示上次登錄名 q Windows系統(tǒng)安全措施中級篇系統(tǒng)安全措施中級篇編輯pptl 不顯示上次登錄不顯示上次登錄修改注冊表禁

8、止顯示上次登錄名修改注冊表禁止顯示上次登錄名 q Windows系統(tǒng)安全措施中級篇系統(tǒng)安全措施中級篇輸入輸入1編輯pptl 不顯示上次登錄不顯示上次登錄如果在如果在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon中無中無DontDisplayLastUserName，則創(chuàng)建，則創(chuàng)建一個(gè)一個(gè),并將數(shù)值數(shù)據(jù)置為并將數(shù)值數(shù)據(jù)置為1方法方法 右擊鼠標(biāo)右擊鼠標(biāo)新建新建字符串字符串 在項(xiàng)中輸入相應(yīng)名在項(xiàng)中輸入相應(yīng)名 用前面方法修改數(shù)值數(shù)據(jù)用前面方法修改數(shù)值數(shù)據(jù)為為1 1編輯pptl 禁止建立空連接禁止建立空連接默認(rèn)情況下，

9、任何用戶通過空連接連默認(rèn)情況下，任何用戶通過空連接連上服務(wù)器，可以枚舉出帳號，猜測密上服務(wù)器，可以枚舉出帳號，猜測密碼碼可通過修改注冊表來禁止建立空連接可通過修改注冊表來禁止建立空連接在在HKEY_LOCAL_MACHINE主鍵下主鍵下修改子鍵：修改子鍵：SystemCurrentControlSetControlLSARestrictAnonymous，將鍵值改成，將鍵值改成“1”q Windows系統(tǒng)安全措施中級篇系統(tǒng)安全措施中級篇編輯pptl 禁止建立空連接禁止建立空連接q Windows系統(tǒng)安全措施中級篇系統(tǒng)安全措施中級篇編輯pptl 關(guān)閉默認(rèn)共享關(guān)閉默認(rèn)共享Windows安裝后，系統(tǒng)

10、會創(chuàng)建一些隱安裝后，系統(tǒng)會創(chuàng)建一些隱藏的共享，可以在藏的共享，可以在DOS提示符下輸入提示符下輸入命令命令Net Share 查看查看q Windows系統(tǒng)安全措施高級篇系統(tǒng)安全措施高級篇編輯pptl 關(guān)閉共享關(guān)閉共享l 關(guān)閉關(guān)閉139、445端口端口l 安裝防火墻，設(shè)置端口過濾安裝防火墻，設(shè)置端口過濾l 給計(jì)算機(jī)的重要帳戶設(shè)置復(fù)雜密碼給計(jì)算機(jī)的重要帳戶設(shè)置復(fù)雜密碼（15，大小寫字母符號），大小寫字母符號）q 如何防范如何防范IPC$入侵入侵編輯pptl 關(guān)閉默認(rèn)共享關(guān)閉默認(rèn)共享停止默認(rèn)共享方法：管理工具停止默認(rèn)共享方法：管理工具計(jì)算計(jì)算機(jī)管理機(jī)管理共享文件夾共享文件夾共享，在相應(yīng)共享，在相應(yīng)

11、的共享文件夾上按右鍵，點(diǎn)停止共享的共享文件夾上按右鍵，點(diǎn)停止共享q Windows系統(tǒng)安全措施高級篇系統(tǒng)安全措施高級篇編輯pptq 關(guān)閉默認(rèn)共享關(guān)閉默認(rèn)共享編輯pptq 關(guān)閉默認(rèn)共享關(guān)閉默認(rèn)共享編輯pptl 方法四：停止服務(wù)法方法四：停止服務(wù)法 ( (最簡單的方最簡單的方式式) )在彈出的在彈出的“常規(guī)常規(guī)”標(biāo)簽中把標(biāo)簽中把“啟動類啟動類型型”由原來的由原來的“自動自動”更改為更改為“已禁已禁用用”。然后單擊下面。然后單擊下面“服務(wù)狀態(tài)服務(wù)狀態(tài)”的的“停止停止”按鈕按鈕確認(rèn)q 關(guān)閉默認(rèn)共享關(guān)閉默認(rèn)共享編輯pptq 關(guān)閉默認(rèn)共享關(guān)閉默認(rèn)共享編輯pptq 關(guān)閉默認(rèn)共享關(guān)閉默認(rèn)共享編輯pptq 關(guān)閉

12、默認(rèn)共享關(guān)閉默認(rèn)共享編輯pptq 關(guān)閉默認(rèn)共享關(guān)閉默認(rèn)共享編輯pptq 關(guān)閉默認(rèn)共享關(guān)閉默認(rèn)共享編輯pptq 關(guān)閉默認(rèn)共享關(guān)閉默認(rèn)共享編輯pptl 139139端口可以通過端口可以通過NBTNBT來屏蔽來屏蔽q 屏蔽屏蔽139端口端口編輯ppt編輯ppt編輯ppt編輯ppt編輯ppt編輯pptl禁用禁用DumpDump文件文件在系統(tǒng)崩潰和藍(lán)屏的時(shí)候，在系統(tǒng)崩潰和藍(lán)屏的時(shí)候，Dump文文件是一份很有用資料，可以幫助查找件是一份很有用資料，可以幫助查找問題。然而，也能夠給黑客提供一些問題。然而，也能夠給黑客提供一些敏感信息，比如一些應(yīng)用程序的密碼敏感信息，比如一些應(yīng)用程序的密碼等等禁止方法：控制面

13、板禁止方法：控制面板系統(tǒng)系統(tǒng)高級高級啟動和故障恢復(fù)，把寫入調(diào)試信息改啟動和故障恢復(fù)，把寫入調(diào)試信息改成無成無q Windows系統(tǒng)安全措施高級篇系統(tǒng)安全措施高級篇編輯pptl鎖住注冊表鎖住注冊表在在Windows2000Windows2000中，只有中，只有AdministratorsAdministrators和和Backup OperatorsBackup Operators才有從網(wǎng)絡(luò)上訪問注冊表的權(quán)限。當(dāng)才有從網(wǎng)絡(luò)上訪問注冊表的權(quán)限。當(dāng)帳號的密碼泄漏以后，黑客也可以在帳號的密碼泄漏以后，黑客也可以在遠(yuǎn)程訪問注冊表，當(dāng)服務(wù)器放到網(wǎng)絡(luò)遠(yuǎn)程訪問注冊表，當(dāng)服務(wù)器放到網(wǎng)絡(luò)上的時(shí)候，一般需要鎖定注冊

14、表上的時(shí)候，一般需要鎖定注冊表q Windows系統(tǒng)安全措施高級篇系統(tǒng)安全措施高級篇編輯pptl鎖住注冊表鎖住注冊表方法：修改方法：修改Hkey_current_user下的下的子鍵：子鍵：SoftwaremicrosoftwindowscurrentversionPoliciessystem 。把。把DisableRegistryTools的值改為的值改為0，類，類型為型為DWORDq Windows系統(tǒng)安全措施高級篇系統(tǒng)安全措施高級篇編輯pptl鎖住注冊表鎖住注冊表q Windows系統(tǒng)安全措施高級篇系統(tǒng)安全措施高級篇編輯pptl禁止判斷主機(jī)類型禁止判斷主機(jī)類型黑客利用黑客利用TTL（Ti

15、me-To-Live，活動，活動時(shí)間）值可以鑒別操作系統(tǒng)的類型，時(shí)間）值可以鑒別操作系統(tǒng)的類型，通過通過Ping指令能判斷目標(biāo)主機(jī)類型指令能判斷目標(biāo)主機(jī)類型Ping的用處是檢測目標(biāo)主機(jī)是否連通的用處是檢測目標(biāo)主機(jī)是否連通q Windows系統(tǒng)安全措施高級篇系統(tǒng)安全措施高級篇編輯pptl禁止判斷主機(jī)類型禁止判斷主機(jī)類型許多入侵者首先會許多入侵者首先會Ping一下主機(jī)，因一下主機(jī)，因?yàn)楣裟骋慌_計(jì)算機(jī)需要根據(jù)對方的為攻擊某一臺計(jì)算機(jī)需要根據(jù)對方的操作系統(tǒng)，是操作系統(tǒng)，是Windows還是還是Unix。如。如過過TTL值為值為128就可以認(rèn)為你的系統(tǒng)就可以認(rèn)為你的系統(tǒng)為為Windows 2000q

16、Windows系統(tǒng)安全措施高級篇系統(tǒng)安全措施高級篇編輯pptl禁止判斷主機(jī)類型禁止判斷主機(jī)類型q Windows系統(tǒng)安全措施高級篇系統(tǒng)安全措施高級篇編輯pptl禁止判斷主機(jī)類型禁止判斷主機(jī)類型q Windows系統(tǒng)安全措施高級篇系統(tǒng)安全措施高級篇編輯pptl禁止判斷主機(jī)類型禁止判斷主機(jī)類型修改修改TTL值，入侵者就無法入侵了值，入侵者就無法入侵了比如將操作系統(tǒng)的比如將操作系統(tǒng)的TTL值改為值改為111，改主鍵改主鍵HKEY_LOCAL_MACHINE的子鍵：的子鍵：SYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERSq Windows系統(tǒng)安全措施高級篇

17、系統(tǒng)安全措施高級篇編輯ppt編輯ppt編輯ppt編輯ppt編輯ppt編輯ppt編輯pptl禁止判斷主機(jī)類型禁止判斷主機(jī)類型設(shè)置完畢重新啟動計(jì)算機(jī)設(shè)置完畢重新啟動計(jì)算機(jī)用用Ping指令，發(fā)現(xiàn)指令，發(fā)現(xiàn)TTL值已被改成值已被改成111q Windows系統(tǒng)安全措施高級篇系統(tǒng)安全措施高級篇編輯pptl禁止禁止GuestGuest訪問日志訪問日志在默認(rèn)安裝的在默認(rèn)安裝的Windows NT和和Windows 2000中，中，Guest帳號和匿名帳號和匿名用戶可以查看系統(tǒng)的事件日志，可能用戶可以查看系統(tǒng)的事件日志，可能導(dǎo)致許多重要信息的泄漏，修改注冊導(dǎo)致許多重要信息的泄漏，修改注冊表來禁止表來禁止Gue

18、st訪問事件日志訪問事件日志禁止禁止Guest訪問應(yīng)用日志訪問應(yīng)用日志q Windows系統(tǒng)安全措施高級篇系統(tǒng)安全措施高級篇編輯pptl禁止禁止GuestGuest訪問日志訪問日志禁止禁止Guest訪問應(yīng)用日志訪問應(yīng)用日志 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplication 下添加鍵值名稱為：下添加鍵值名稱為：RestrictGuestAccess ，類型為：，類型為：DWORD，將值設(shè)置為，將值設(shè)置為1q Windows系統(tǒng)安全措施高級篇系統(tǒng)安全措施高級篇編輯pptl禁止禁止GuestGuest訪問日志訪問日志系統(tǒng)日志系統(tǒng)日志 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSyst