系統(tǒng)與網(wǎng)絡(luò)安全管理實(shí)訓(xùn)教材

1、 . . . 系統(tǒng)與網(wǎng)絡(luò)安全管理實(shí)訓(xùn)指導(dǎo)書信息技術(shù)系 郭毅目 錄第一章Windows Server2003系統(tǒng)安全管理4實(shí)訓(xùn)1.1利用安全模板設(shè)置系統(tǒng)4實(shí)訓(xùn)1.2“TCP/IP協(xié)議”網(wǎng)絡(luò)安全設(shè)置11第二章賬戶安全管理21實(shí)訓(xùn)2.1獨(dú)立服務(wù)器用戶賬戶管理與策略設(shè)置21實(shí)訓(xùn)2.2域控制器用戶賬戶管理與策略設(shè)置32第三章系統(tǒng)資源的安全管理43實(shí)訓(xùn)3.1文件系統(tǒng)和共享資源的安全設(shè)置43實(shí)訓(xùn)3.2注冊表的安全管理56第四章IIS服務(wù)的實(shí)現(xiàn)和安全配置61實(shí)訓(xùn)4.1啟用IIS服務(wù)功能61實(shí)訓(xùn)4.2 IIS服務(wù)的安全配置72第五章Windows系統(tǒng)的安全加固與漏洞與防80實(shí)訓(xùn)5.1系統(tǒng)的安全加固與安全漏洞與防

2、8087 / 87前 言操作系統(tǒng)是計(jì)算機(jī)資源的直接管理者，是計(jì)算機(jī)軟件的基礎(chǔ)和核心，一切應(yīng)用軟件都是建立在操作系統(tǒng)之上的，如果沒有操作系統(tǒng)的安全，就談不上主機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全，更談不上其他應(yīng)用軟件的安全。因此，操作系統(tǒng)的安全是整個計(jì)算機(jī)系統(tǒng)的安全的基礎(chǔ)。本實(shí)訓(xùn)指導(dǎo)書以windows2003操作系統(tǒng)為配置對象，windows2003是微軟公司開發(fā)的和C2級安全標(biāo)準(zhǔn)-可信計(jì)算機(jī)系統(tǒng)評價準(zhǔn)則(TCSEC)相兼容的，在安全性上能夠充分確保系統(tǒng)安全、穩(wěn)定、高效地運(yùn)行。但針對操作系統(tǒng)所提供的不同的應(yīng)用和服務(wù)，也需要進(jìn)行具體的安全配置操作。因此，本指導(dǎo)書包括的9個實(shí)訓(xùn)容，分別從系統(tǒng)安全管理、賬戶安全管理、系

3、統(tǒng)資源的安全管理、IIS服務(wù)的實(shí)現(xiàn)和安全配置、Windows系統(tǒng)安全加固與漏洞防等5個方面在理論指導(dǎo)的前提下注重實(shí)際操作過程與安全配置的實(shí)現(xiàn)。通過完成本書的9個實(shí)訓(xùn)容，能夠達(dá)到提高系統(tǒng)安全的風(fēng)險管理意識目的，具備基本的安全配置操作能力，并使windows服務(wù)器系統(tǒng)處于一個相對安全的運(yùn)行環(huán)境，減少系統(tǒng)的安全風(fēng)險，提升服務(wù)器運(yùn)行的安全性和穩(wěn)定性，但安全問題沒有統(tǒng)一的標(biāo)準(zhǔn)和尺度，本實(shí)訓(xùn)旨在當(dāng)面對系統(tǒng)不同的服務(wù)需求如何進(jìn)行針對性的安全配置以保證服務(wù)器真正處于一個安全的環(huán)境運(yùn)行，減少系統(tǒng)風(fēng)險提供操作方法。第一章 windows Server2003系統(tǒng)安全管理本章包括二個實(shí)訓(xùn)：實(shí)訓(xùn)1.1是利用安全模板對

4、系統(tǒng)進(jìn)行安全設(shè)置。實(shí)訓(xùn)1.2對“TCP/IP協(xié)議”進(jìn)行安全設(shè)置。實(shí)訓(xùn)1.1利用安全模板設(shè)置系統(tǒng)實(shí)訓(xùn)目的：利用安全模板進(jìn)行windows Server2003系統(tǒng)的安全配置，提升系統(tǒng)整體的安全性。實(shí)訓(xùn)要求：安裝windows Server2003系統(tǒng)的計(jì)算機(jī)。實(shí)訓(xùn)容：通過windows Server2003系統(tǒng)的安全模板進(jìn)行系統(tǒng)安全設(shè)置。添加安全配置和分析模塊，新建數(shù)據(jù)庫導(dǎo)入安全模板進(jìn)行系統(tǒng)安全分析。實(shí)訓(xùn)過程：1、使用管理員權(quán)限登錄首先必須以系統(tǒng)管理員或administrators組成員的賬戶身份登錄系統(tǒng)才能完成管理單元的加載以與系統(tǒng)安全性分析和配置操作;注意：要執(zhí)行該過程，您必須是本地計(jì)算機(jī)A

5、dministrators 組的成員，或者您必須被委派適當(dāng)?shù)臋?quán)限。如果將計(jì)算機(jī)加入域，Domain Admins 組的成員也可以執(zhí)行這個過程。2、打開“安全配置和分析”要使用“安全配置和分析”功能，必須先添加該功能。過程如下：請先單擊“開始”，接著單擊“運(yùn)行”，然后輸入 mmc，最后單擊“確定”。在“文件”菜單上，單擊“打開”，單擊要打開的控制臺，然后單擊“打開”。然后，在控制臺樹中，使用Ctrl+M 快捷鍵打開“添加/刪除管理單元” 如下圖所示。3、添加“安全配置和分析”管理單元在“添加/刪除管理單元”對話框中，點(diǎn)擊選項(xiàng)頁的“添加”，在彈出的“添加獨(dú)立管理單元”對話框中，選擇列表中的“安全配

6、置和分析”項(xiàng)，點(diǎn)擊“添加”（同時可完成“安全模板”的添加）如下圖所示。4、完成添加點(diǎn)擊“關(guān)閉”，返回“添加/刪除管理單元”對話框，此時在列表中可以看到新增加了“安全配置和分析”項(xiàng);點(diǎn)擊“確定”，完成“安全配置和分析”管理單元的加載。5、打開數(shù)據(jù)庫執(zhí)行安全性分析是根據(jù)系統(tǒng)提供的安全模板來實(shí)現(xiàn)的，這個過程中，需要用戶打開或新建一個包含安全信息的數(shù)據(jù)庫，并選擇合適的安全模板。過程如下：在控制臺窗口中，右鍵點(diǎn)擊控制臺根節(jié)點(diǎn)下的“安全配置和分析”，或者在快捷菜單中選擇“打開數(shù)據(jù)庫”命令，如下圖所示。如果是首次對系統(tǒng)進(jìn)行安全性分析，需要新建一個數(shù)據(jù)庫，在“打開數(shù)據(jù)庫”對話框的“文件名”處為新建的數(shù)據(jù)庫輸入

7、一個名稱sec1，然后點(diǎn)擊“打開”，如下圖所示。6、安全分析使用安全模板進(jìn)行系統(tǒng)安全性分析。選擇一個securews.inf安全模板（系統(tǒng)置了不同安全級別的安全模板），點(diǎn)擊“打開”，如下圖所示。右鍵單擊“安全配置和分析”項(xiàng)，選擇菜單中的“立即分析計(jì)算機(jī)”命令，并在“進(jìn)行分析”對話框中指定保存錯誤日志文件的路徑，點(diǎn)擊“確定”，開始系統(tǒng)安全機(jī)制的分析進(jìn)程，如下圖所示。分析計(jì)算機(jī)安全設(shè)置后，即可進(jìn)行“立即配置計(jì)算機(jī)”設(shè)置，使安全模板設(shè)置生效。最后可通過“查看日志文件”了解安全配置情況，如下圖所示。實(shí)訓(xùn)1.2“TCP/IP協(xié)議”網(wǎng)絡(luò)安全設(shè)置實(shí)訓(xùn)目的：進(jìn)行windows Server2003“Inter

8、net 協(xié)議”網(wǎng)絡(luò)安全設(shè)置，提升系統(tǒng)網(wǎng)絡(luò)安全性。實(shí)訓(xùn)要求：安裝windows Server2003系統(tǒng)的計(jì)算機(jī)。實(shí)訓(xùn)容：去掉不需要的端口，不僅可以提高網(wǎng)絡(luò)連接速度，而且可以增強(qiáng)網(wǎng)絡(luò)的安全性。下面以禁用ICMP、NetBIOS（139端口）為例進(jìn)行實(shí)際操作。實(shí)訓(xùn)過程：一、ICMP協(xié)議是網(wǎng)絡(luò)的一項(xiàng)服務(wù)，能被某些人利用這個功能通過Ping方式掃描并攻擊服務(wù)器。因此，禁用ICMP可以防止用戶ping服務(wù)器堵住安全威脅。說明：這里列出一些常用端口如：80為Web服務(wù)；21為FTP服務(wù)；25 為E-mail 的SMTP服務(wù)；110為Email POP3服務(wù)，有需要可以不禁用，其他端口都可禁用。1、打開“I

9、P安全策略管理”要打開“IP安全策略管理”，請先單擊“開始”，接著單擊“運(yùn)行”，然后輸入 mmc，最后單擊“確定”。在“文件”菜單上，單擊“打開”，單擊要打開的控制臺，然后單擊“打開”。然后，在控制臺樹中，使用Ctrl+M 快捷鍵打開“添加/刪除管理單元” 如下圖所示。右擊“IP安全策略”，選擇“創(chuàng)建IP安全策略”，點(diǎn)“下一步”。輸入安全策略的名稱“關(guān)閉端口”，點(diǎn)“下一步”，“激活默認(rèn)響應(yīng)規(guī)則”選項(xiàng)去掉，最后點(diǎn)完成。 接著右擊“關(guān)閉端口”選擇“屬性”，接著點(diǎn)擊“添加”，進(jìn)入管理IP篩選器和篩選器操作，在管理IP篩選器列表中，你可以添加要封鎖的端口，這里以關(guān)閉ICMP和NetBIOS（139端口

10、）為例說明。 2、添加“關(guān)閉ICMP”關(guān)閉ICMP的具體操作如下：點(diǎn)“添加”，然后在名稱中輸入“關(guān)閉ICMP”，點(diǎn)右邊的“添加”按鈕，如下圖所示。選擇“協(xié)議”選項(xiàng)卡，在“選擇協(xié)議類型：”中選“ICMP”，點(diǎn)“確定”，回到關(guān)閉ICMP屬性窗口，如下圖所示。 然后進(jìn)入設(shè)置管理篩選器操作，點(diǎn)“添加”，如下圖所示。選擇“阻止”，選擇“常規(guī)”選項(xiàng)卡命名“關(guān)閉ICMP操作”，最后點(diǎn)擊“確定”，如下圖所示。最后在“IP篩選器列表”和“篩選器操作”選項(xiàng)卡中選擇上面新建的“關(guān)閉ICMP”和“關(guān)閉ICMP操作”兩項(xiàng)，點(diǎn)擊“應(yīng)用”，如下圖所示。最后回到“關(guān)閉端口”點(diǎn)擊右鍵選擇“指派”則將禁用ICMP。關(guān)閉了ICMP

11、，黑客軟件一般不能掃描到你的機(jī)器，也Ping不到你的機(jī)器。二、禁用TCP/IP上的NetBIOS當(dāng)安裝TCP/IP協(xié)議時，NetBIOS 也被Windows作為默認(rèn)設(shè)置載入，我們的計(jì)算機(jī)也具有了NetBIOS本身的開放性，即139端口被打開。使用戶能通過文件和打印機(jī)共享訪問服務(wù)器。禁用TCP/IP協(xié)議上的NetBIOS步驟如下：右擊要配置的網(wǎng)絡(luò)連接，然后單擊“屬性”命令項(xiàng)。在“常規(guī)”選項(xiàng)卡中選中“Internet協(xié)議（TCP/IP）”點(diǎn)擊“屬性”，然后在彈出對話框中點(diǎn)擊“高級”，如下圖所示。選擇“WINS”選項(xiàng)卡，在此指定NetBIOS設(shè)置，選擇“禁用TCP/IP上的NetBIOS”選項(xiàng)，最后

12、“確定”如下圖所示。第二章 賬戶安全管理本章包括二個實(shí)訓(xùn)：2.1獨(dú)立服務(wù)器用戶賬戶管理與策略設(shè)置。2.2域控制器用戶賬戶管理與策略設(shè)置。實(shí)訓(xùn)2.1獨(dú)立服務(wù)器用戶賬戶管理與策略設(shè)置實(shí)訓(xùn)目的：Windows系統(tǒng)的安全性在很大程度上取決于對每個用戶所設(shè)置的權(quán)限，錯誤的授權(quán)有可能導(dǎo)致災(zāi)難性的后果，因此，賬戶的設(shè)置為系統(tǒng)安全管理提供了有力的保障。實(shí)訓(xùn)要求：安裝windows Server2003系統(tǒng)的計(jì)算機(jī)。實(shí)訓(xùn)容：對獨(dú)立服務(wù)器用戶賬戶進(jìn)行設(shè)置，修改administrator賬號，建立虛擬的管理員賬號，禁用Guest來賓賬號，并設(shè)置賬戶、密碼策略。實(shí)訓(xùn)過程：一、系統(tǒng)賬戶設(shè)置原則系統(tǒng)管理員賬戶擁有系統(tǒng)中最

13、高的權(quán)限，相當(dāng)于擁有了整個網(wǎng)絡(luò)和系統(tǒng)的所有資源。因此，管理員賬戶也成為入侵者的主要攻擊目標(biāo)。同時Guest賬戶也是入侵者的目標(biāo)之一。作為網(wǎng)絡(luò)和計(jì)算機(jī)管理員，尤其應(yīng)該做好管理員賬戶的安全管理，避免被破解或盜取。1、修改administrator賬號選擇“開始”“程序”“管理工具”“計(jì)算機(jī)管理”命令，打開“計(jì)算機(jī)管理”窗口，選擇“計(jì)算機(jī)管理（本地）”“系統(tǒng)工具”“本地用戶和組”“用戶”選項(xiàng)，如下圖所示。在窗口右側(cè)選擇administrator賬號后單擊鼠標(biāo)右名鍵選擇“重命名”為“dlgl”，如下圖所示：2、建立一個虛擬管理員賬號在該窗口中點(diǎn)擊右鍵，新建一個名為Administrator的陷阱，為其

14、設(shè)置最小的權(quán)限（注意此賬號一定要是最小權(quán)限），操作步驟如下：然后輸入任意組合的最好不低于20位的密碼（保證在修改密碼前無重要資料），點(diǎn)擊“確定”如下圖所示：添加的虛擬賬戶默認(rèn)隸屬于Users組，以保證該賬戶最小的權(quán)限?？赏ㄟ^該賬戶屬性查看。如下圖所示：3、修改Guest賬戶將Guest賬戶禁用并更改名稱和描述，然后輸入一個復(fù)雜的密碼，操作如下：選擇“Guest”賬戶，點(diǎn)擊右鍵選擇“重命名”為lb，如下圖所示：然后輸入一個復(fù)雜密碼，輸入的密碼必需符合系統(tǒng)的密碼過濾規(guī)，即要包含數(shù)字、字母、特殊字符等，然后點(diǎn)擊“確定”。選擇“Guest”賬戶，點(diǎn)擊右鍵選擇“屬性”，在“常規(guī)”選項(xiàng)卡中點(diǎn)擊“賬戶已禁用

15、”打勾，然后“確定”。如下圖所示：二、密碼策略設(shè)置密碼策略設(shè)置包含以下6個策略：l 密碼必須符合復(fù)雜性要求。l 密碼長度最小值。l 密碼最長使用期限。l 密碼最短使用期限。l 強(qiáng)制密碼歷史。l 用可還原的加密來儲存密碼。下面以設(shè)置“強(qiáng)制密碼歷史”策略為例來說明如何設(shè)置賬戶策略。該策略通過確保舊密碼不能重復(fù)使用，從而使管理員能夠增強(qiáng)安全性。具體設(shè)置如下： 選擇“開始”“運(yùn)行”命令，顯示“運(yùn)行”對話框，在“打開”文本框中，輸入“gpedit.msc”，單擊“確定”按鈕，打開“組策略控制臺窗口”，選擇“計(jì)算機(jī)配置”“Windows設(shè)置”“安全設(shè)置”“賬戶策略”“密碼策略”選項(xiàng)，顯示如圖所示

16、。 在右側(cè)的策略窗口中雙擊“強(qiáng)制密碼歷史”策略，顯示“強(qiáng)制密碼歷史屬性”對話框。 在“不保留密碼歷史”文本框中，鍵入許可保留的密碼個數(shù)如10個，如圖所示。 單擊“確定”按鈕，即可完成強(qiáng)制密碼歷史策略的修改。三、賬戶鎖定策略賬戶鎖定策略用于域賬戶或本地用戶賬戶，用來確定某個賬戶被系統(tǒng)鎖定的情況和時間長短。賬戶鎖定策略包含以下3個策略：l 復(fù)位賬戶鎖定計(jì)數(shù)器。l 賬戶鎖定時間。l 賬戶鎖定閾值。下面以“賬戶鎖定閾值”策略為例說明如何設(shè)置賬戶鎖定策略。該安全設(shè)置確定造成用戶賬戶被鎖定的登錄失敗嘗試的次數(shù)，在被鎖定期間該賬戶將不能使用。具體設(shè)置如下：1、選擇“開始”“運(yùn)行

17、”命令，顯示“運(yùn)行”對話框，在“打開”文本框中，輸入“gpedit.msc”，單擊“確定”按鈕，打開“組策略編輯器”窗口，選擇“計(jì)算機(jī)配置”“Windows設(shè)置”“安全設(shè)置”“賬戶策略”“賬戶鎖定策略”選項(xiàng)，顯示如圖所示。2、在右側(cè)的策略窗口中，雙擊“賬戶鎖定閾值”策略，顯示“賬戶鎖定閾值 屬性”對話框，如下圖所示。在“在發(fā)生以下情況之后，鎖定賬戶”文本框中，鍵入無效登錄的次數(shù)如3，則表示3次無效登錄后，鎖定登錄所使用的賬戶。3、單擊“確定”按鈕，顯示“建議的數(shù)值改動”對話框。本策略的更改將同步更改其他關(guān)聯(lián)策略，如圖所示。    單擊“確定”按鈕，完成策略的設(shè)置，

18、如下圖所示。實(shí)訓(xùn)2.2域控制器用戶賬戶管理與策略設(shè)置實(shí)訓(xùn)目的：Windows系統(tǒng)的安全性在很大程度上取決于對每個用戶所設(shè)置的權(quán)限，錯誤的授權(quán)有可能導(dǎo)致災(zāi)難性的后果，因此，賬戶的權(quán)限設(shè)置為系統(tǒng)安全管理提供了有力的保障。實(shí)訓(xùn)要求：安裝windows Server2003系統(tǒng)的計(jì)算機(jī)。實(shí)訓(xùn)容：對域控制器用戶賬戶進(jìn)行設(shè)置，修改administrator賬號，建立虛擬的管理員賬號，禁用Guest來賓賬號。設(shè)置賬戶、密碼策略。實(shí)訓(xùn)過程：1、修改administrator賬號系統(tǒng)賬戶最好少建，更改默認(rèn)的名(Administrator)和描述，密碼最好采用數(shù)字加大小寫字母加數(shù)字的上檔鍵組合，長度最好不少于14

19、位。操作步驟如下：選擇administrator賬號后單擊鼠標(biāo)右名鍵選擇“重命名”為“gl”，如下圖所示。彈出如下對話框，選擇“是”，將重新以新用戶名登錄。選擇“gl”賬號右鍵選擇“屬性”，在“常規(guī)”選項(xiàng)卡中修改“描述容”，如下圖所示。2、建立一個虛擬管理員賬號新建一個名為Administrator的陷阱，為其設(shè)置最小的權(quán)限，然后輸入任意組合的最好不低于20位的密碼操作步驟如下：選擇“Users”目錄下的“新建”子目錄，然后點(diǎn)擊“用戶”，如下圖所示。在“姓（L）：”和“用戶登錄名（U）：”中輸入“Administrator”容，然后點(diǎn)擊“下一步”。如下圖所示：在此處輸入“密碼”，輸入的密碼必需

20、符合系統(tǒng)的密碼過濾規(guī)，即要包含數(shù)字、字母、特殊字符等，然后點(diǎn)擊“下一步”完成賬號設(shè)置。如下圖所示。添加的虛擬賬戶默認(rèn)隸屬于Users組，以保證該賬戶最小的權(quán)限。如下圖所示。3、修改Guest賬戶將Guest賬戶禁用并更改名稱和描述，然后輸入一個復(fù)雜的密碼，操作如下：選擇“Guest”賬戶，點(diǎn)擊右鍵選擇“重設(shè)密碼”，如下圖所示。然后輸入一個復(fù)雜密碼，輸入的密碼必需符合系統(tǒng)的密碼過濾規(guī)，即要包含數(shù)字、字母、特殊字符等，然后點(diǎn)擊“確定”，如下圖所示。選擇“Guest”賬戶，點(diǎn)擊右鍵選擇“屬性”，如下圖所示。選擇“賬戶”選項(xiàng)卡，在“賬戶選項(xiàng)：”中點(diǎn)擊“賬戶已禁用”打勾，然后“確定”。如下圖所示。4、編

21、輯默認(rèn)域賬戶設(shè)置在“開始”“管理工具”“域安全策略”，打開“默認(rèn)域賬戶設(shè)置”窗口，選擇“安全設(shè)置“賬戶策略”“賬戶鎖定策略”，將賬戶設(shè)為“3次登陸無效”，“鎖定時間60分鐘”，“復(fù)位鎖定計(jì)數(shù)設(shè)為60分鐘”。（注：“復(fù)位鎖定計(jì)數(shù)器時間”必須大于“賬戶鎖定時間”）如下圖所示。5、在“默認(rèn)域安全設(shè)置”“本地策略”“安全選項(xiàng)”中將“不顯示上次的用戶名”設(shè)為“啟用”，如下圖所示。6、在“默認(rèn)域安全設(shè)置”“本地策略”“用戶權(quán)利”分配中將“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”中添加組或賬號，以使其可以通過網(wǎng)絡(luò)訪問些計(jì)算機(jī)，如下圖所示。選擇“定義這些策略設(shè)置”打勾，并點(diǎn)擊“添加用戶或組（U）”，點(diǎn)擊“瀏覽”出現(xiàn)窗口如下圖所示

22、。點(diǎn)擊“高級（A）”后，出現(xiàn)如下圖所示。點(diǎn)擊“立即查找（N）”后，在“搜索結(jié)果（U）：”中列出所有賬戶信息，如下圖所示。添加啟動IIS進(jìn)程賬戶（IIS_WPG）和域的來賓賬戶（Domain Guests）。如果還提供其他的服務(wù)如A，則保留相應(yīng)賬戶即可。第三章 系統(tǒng)資源的安全管理本章包括二個實(shí)訓(xùn)：3.1文件系統(tǒng)和共享資源的安全設(shè)置。3.2注冊表的安全管理。實(shí)訓(xùn)3.1文件系統(tǒng)和共享資源的安全設(shè)置實(shí)訓(xùn)目的：Windows系統(tǒng)為本地與網(wǎng)絡(luò)用戶提供了一系列良好應(yīng)用資源，因此保障這些應(yīng)用資源的有效、安全的應(yīng)用是尤為重要，本實(shí)訓(xùn)對資源安全管理措施進(jìn)行詳細(xì)分析和設(shè)置。實(shí)訓(xùn)要求：安裝windows Server

23、2003系統(tǒng)的計(jì)算機(jī)。實(shí)訓(xùn)容：對系統(tǒng)盤、c:Documents and Settings目錄與其子目錄分別進(jìn)行不同的權(quán)限設(shè)置，對system32目錄的可執(zhí)行程序進(jìn)行權(quán)限設(shè)置。實(shí)訓(xùn)過程：1、設(shè)置系統(tǒng)盤（c:）權(quán)限。打開“我的電腦”選擇系統(tǒng)盤右鍵選擇“屬性”，在彈出的窗口中選擇“安全”選項(xiàng)卡，如下圖所示。保留“administrators”和“system”用戶組權(quán)限的默認(rèn)值，其他用戶組刪除，如下圖所示。2、添加IIS_WPG進(jìn)程組“特別權(quán)限或高級設(shè)置，請單擊高級”處點(diǎn)擊“高級”按鈕，如下圖所示。點(diǎn)擊“添加”按鈕后，出現(xiàn)如下圖所示。選擇“高級（A）”按鈕，然后點(diǎn)擊“立即查找（N）”按鈕，出現(xiàn)如下圖

24、所示。選擇“IIS_WPG”后點(diǎn)擊“確定”后，在“權(quán)限項(xiàng)目”窗口中設(shè)置，應(yīng)用到“只有該文件夾”權(quán)限為“創(chuàng)建文件/寫入數(shù)據(jù)”，點(diǎn)擊“確定”，如下圖所示。在“高級安全設(shè)置”窗口中點(diǎn)擊“應(yīng)用”，如下圖所示。重復(fù)以上過程繼續(xù)添加IIS_WPG，然后到“權(quán)限項(xiàng)目”窗口中設(shè)置不同的權(quán)限，應(yīng)用到“該文件夾，子文件夾與文件”，權(quán)限設(shè)置“遍歷文件夾/運(yùn)行文件 ”、“列出文件夾/讀取數(shù)據(jù)”、“讀取屬性”、“創(chuàng)建文件夾/附加數(shù)據(jù) ”、“讀取權(quán)限”，如下圖所示。在“高級安全設(shè)置”窗口中點(diǎn)擊“應(yīng)用”，如下圖所示。2、設(shè)置系統(tǒng)盤Documents and Settings與其子目錄權(quán)限。（Documents and Se

25、ttings子目錄的權(quán)限不會繼承Documents and Settings的設(shè)置,因此需分別設(shè)置）選擇Documents and Settings文件夾，點(diǎn)擊右鍵選擇“屬性”，在“安全”選項(xiàng)卡中只保留Administrators 和 SYSTEM 權(quán)限，其他的刪除，如下圖所示。選擇Documents and SettingsAll Users文件夾，點(diǎn)擊右鍵選擇“屬性”，在“安全”中只保留Administrators 和 SYSTEM 權(quán)限，其他的刪除，如下圖所示。選擇Documents and SettingsAll UsersApplication Data文件夾，點(diǎn)擊右鍵選擇“屬性”，

26、在“安全”中只保留Administrators 和 SYSTEM 權(quán)限，其他的刪除，如下圖所示。選擇Windows文件夾，點(diǎn)擊右鍵選擇“屬性”，在“安全”中只保留Administrators 和 SYSTEM和users權(quán)限，其他的刪除（ASP和ASPX等應(yīng)用程序運(yùn)行需要users的權(quán)限），如下圖所示。其他目錄，如果有安裝程序運(yùn)行的可設(shè)置Administrators 和 SYSTEM 權(quán)限，無只給 Administrators 權(quán)限（某些程序的服務(wù)功能需要SYSTEM用戶組權(quán)限）。3、設(shè)置WindowsSystem32目錄下文件的權(quán)限。將WindowsSystem32目錄下的net.exe，n

27、et1.exe，cmd.exe，command.exe，ftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe等文件設(shè)置Administrators 權(quán)限。（下面以net.exe文件設(shè)置為例）選擇文件net.exe點(diǎn)擊右鍵，選擇“安全”選項(xiàng)卡，在“組或用戶名稱（G）：”中只保留Administrators用戶組名稱，其他的刪除，如下圖所示。實(shí)訓(xùn)3.2注冊表的安全管理實(shí)訓(xùn)目的：windows的應(yīng)用程序的許多初始化信息和配置信息等都存儲在注冊表中，如某些軟件的序列號和注冊信息，遠(yuǎn)程數(shù)據(jù)庫的用戶和明文口令等，對注冊表信息進(jìn)行修改即可以增

28、強(qiáng)系統(tǒng)安全，又能為入侵者提供便利，因此進(jìn)行安全保護(hù)具有舉足輕重的作用。實(shí)訓(xùn)要求：安裝windows Server2003系統(tǒng)的計(jì)算機(jī)。實(shí)訓(xùn)容：注冊表中記錄了windows系統(tǒng)和程序進(jìn)行運(yùn)轉(zhuǎn)的幾乎所有關(guān)鍵信息，在對注冊表相關(guān)項(xiàng)進(jìn)行設(shè)置提高系統(tǒng)的安全性的同時也需對注冊表本身進(jìn)行訪問控制防止注冊表的非法修改。實(shí)訓(xùn)過程：一、修改注冊表相關(guān)項(xiàng)目提高安全性。1、禁用IPC空連接默認(rèn)情況下，任何用戶可利用net use、net view、nbtstat等網(wǎng)絡(luò)命令建立空連接連上服務(wù)器，進(jìn)而枚舉出，猜測密碼。因此禁止空連接很有必要。具體步驟如下：在“開始”菜單中選擇“運(yùn)行”命令，輸入“regedit”打開注冊表

29、，如下圖所示。找到如下分支KEY_Local_MachineSystemCurrentControlSetControlLSA的RestrictAnonymous值項(xiàng)，把該值改成“1”，如下圖所示。2、更改TTL值 不同的TTL值代表不同的操作系統(tǒng)，因此，通過修改TTL值為任意值，可以防止入侵者根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng)，具體操作如下： TTL=107(WINNT); TTL=108(win2000); TTL=127或128(win9x); TTL=240或241(linux); TTL=252(solaris); TTL=240(Irix); 可根據(jù)情況修改該值，找到如

30、下分支HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建名稱為DefaultTTL類型為REG_DWORD的鍵值，如下圖所示。雙擊DefaultTTL鍵名，任意設(shè)置一個十進(jìn)制數(shù)字258（十六進(jìn)制102）如下圖所示。3、完全隱藏重要文件/目錄：系統(tǒng)盤中的一些重要文件/目錄與一些設(shè)置為“隱藏”屬性的文件/目錄一般可以通過修改窗口屬性后看到，通過修改注冊表能實(shí)現(xiàn)完全隱藏的效果。具體步驟如下：找到如下分支HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionEx

31、plorerAdvancedFolderHi-ddenSHOWALL的CheckedValue值項(xiàng)，把數(shù)值改為0 ，如下圖所示。二、注冊表訪問控制的安全管理對注冊表的安全管理可以分為兩種：一種方法是對注冊表命令（regedit.exe、Reg.exe）文件添加需要訪問的賬戶名與權(quán)限設(shè)置即可。對文件進(jìn)行權(quán)限設(shè)置的方法在實(shí)訓(xùn)3.2中已做介紹。下面介紹另一種方法是限制對注冊表的網(wǎng)絡(luò)訪問和對注冊表關(guān)鍵項(xiàng)的訪問。對注冊表網(wǎng)絡(luò)訪問（遠(yuǎn)程訪問）的實(shí)現(xiàn)可以通過設(shè)置下列子關(guān)鍵字Winreg的訪問控制列表ACL實(shí)現(xiàn)。打開注冊表，找到下面分支HKEY_LOCAL_MACHINESystemCurrentContro

32、lSetControlSecurePipeServersWinregAllowedPaths的Machine值項(xiàng)，如下圖所示。將需要遠(yuǎn)程訪問的注冊表鍵的路徑添加到Machine值中即可。也可以在“本地安全策略”的“安全選項(xiàng)”中的“網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑”進(jìn)行設(shè)置。第四章IIS服務(wù)的實(shí)現(xiàn)和安全配置本章包括二個實(shí)訓(xùn)：4.1啟用IIS服務(wù)功能。4.2 IIS服務(wù)的安全配置。實(shí)訓(xùn)4.1啟用IIS服務(wù)功能實(shí)訓(xùn)目的：IIS（Internet Information Server）作為如今最流行的WEB服務(wù)器之一，提供了強(qiáng)大了Internet和Intranet服務(wù)功能，因此，建立高安全性能

33、可靠的WEB服務(wù)器，已成為網(wǎng)絡(luò)管理的重要部分。實(shí)訓(xùn)要求：安裝windows Server2003系統(tǒng)的計(jì)算機(jī)。實(shí)訓(xùn)容：啟用IIS服務(wù)器，配置相關(guān)的IIS服務(wù)應(yīng)用功能。實(shí)訓(xùn)過程：1、啟動windows2003服務(wù)器，添加IIS服務(wù)。“開始菜單”“控制面板”“添加或刪除程序”“添加/刪除Windows組件”，選擇“應(yīng)用程序服務(wù)器”，如下圖所示。在窗口中點(diǎn)擊“詳細(xì)信息”，選擇“Internet信息服務(wù)（IIS）”，后點(diǎn)擊“確定”，如下圖所示。2、配置Web站點(diǎn)選擇“開始”“程序”“管理工具”，選擇“Internet信息服務(wù)（IIS）管理器”命令，如下圖所示。（1）設(shè)置基本屬性在IIS管理器窗口中，展

34、開左側(cè)的目錄樹，右擊“”的選項(xiàng)，選擇“新建（N）”“（W）”如下圖所示。在創(chuàng)建向?qū)Т翱谥休斎搿皊hixun”，點(diǎn)擊“下一步”按鈕，如下圖所示。在“IP地址和端口設(shè)置”窗口中“IP地址（E）：”選擇本服務(wù)器IP地址，（“TCP端口”處可修改默認(rèn)端口號，以提高安全性，這里采用暫不修改）如下圖所示。在“主目錄”窗口“路徑（P）：”處輸入容存放的位置（可新建目錄），任一個都需要有主目錄作為默認(rèn)目錄，如下圖所示。在“訪問權(quán)限”窗口中可設(shè)置訪問權(quán)限，如下圖所示。點(diǎn)擊“確定”后完成“shixun”的新建工作，以上設(shè)置如需在建站成功后修改，可右擊“shixun”名稱，選擇“屬性”，在“”選項(xiàng)卡中可以配置網(wǎng)絡(luò)標(biāo)

35、識中的IP地址為本服務(wù)器IP地址、TCP端口，如下圖所示。（3）在“主目錄”選項(xiàng)卡中可設(shè)置當(dāng)客戶端請求時，就會將主目錄中的網(wǎng)頁等容顯示給用戶，如下圖所示。（4）設(shè)置默認(rèn)文檔，通常情況下，Web都需要至少一個默認(rèn)文檔，當(dāng)在IE瀏覽器中使用IP地址或域名訪問時，Web服務(wù)器會將默認(rèn)文檔回應(yīng)給瀏覽器，并顯示其容。在下圖中添加“index.html”。（5）將制作好的整個全部上傳到主目錄，即“C:Inetpubshixun”中，其中的主文檔名稱必需是以上設(shè)置的默認(rèn)容文檔的名稱之一。最后輸入IP地址“/index.html”訪問該如下圖所示。在第三章實(shí)訓(xùn)3.1中對系統(tǒng)盤（C：）的目

36、錄與文件的權(quán)限進(jìn)行過設(shè)置，刪除了不需要的用戶組與賬戶，因此在此處則需要輸入用戶名才對進(jìn)行訪問。可對“C:Inetpubshixun”目錄添加訪問用戶組、單個賬戶與權(quán)限，如添加“Everyone”用戶組或添加單個賬戶，以排除被限制訪問的人員。（注：如添加的是“Everyone”賬戶組則將以匿名方式訪問，如新建的個人賬戶則密碼輸入純數(shù)字）實(shí)訓(xùn)4.2 IIS服務(wù)的安全配置實(shí)訓(xùn)目的：Windows系統(tǒng)是一個開放的系統(tǒng)，文件系統(tǒng)幾乎沒有進(jìn)行安全設(shè)置，接入網(wǎng)絡(luò)的任何用戶都可以訪問資源，IIS服務(wù)同樣具有這樣的風(fēng)險，因此，加強(qiáng)對IIS服務(wù)器的安全設(shè)置，是非常有必要的。實(shí)訓(xùn)要求：安裝windows Serve

37、r2003系統(tǒng)的計(jì)算機(jī)，并啟用IIS服務(wù)。實(shí)訓(xùn)容：設(shè)置從網(wǎng)絡(luò)訪問計(jì)算機(jī)的訪問控制，刪除不必要的訪問用戶組。IIS屬性的安全設(shè)置主目錄訪問權(quán)限、目錄安全性、刪除不必要的默認(rèn)文檔、日志文件目錄的修改。實(shí)訓(xùn)過程：一、設(shè)置從網(wǎng)絡(luò)訪問服務(wù)器的權(quán)限打開“開始”“程序”“管理工具”“本地安全策略”，在彈出的窗口的右邊欄中選擇“本地策略”“用戶權(quán)限分配”，在右邊欄中選擇“從網(wǎng)絡(luò)訪問計(jì)算機(jī)”選項(xiàng)，如下圖所示。打開“從網(wǎng)絡(luò)訪問計(jì)算機(jī)”選項(xiàng)，在此添加用以通過網(wǎng)絡(luò)訪問的用戶組或單個賬戶，并且刪除不需要的用戶組或單個賬戶如下圖所示。二、IIS屬性的安全設(shè)置1、打開“Internet信息服務(wù)（IIS）管理器”，選擇“sh

38、ixun”右鍵點(diǎn)擊屬性，在窗口中選擇“主目錄”選項(xiàng)卡，將“腳本資源訪問（T）”與“讀?。≧）”打勾，如下圖所示。2、選擇“目錄安全性”選項(xiàng)卡，在“身份驗(yàn)證和訪問控制”中點(diǎn)擊“編輯”按鈕，如下圖所示。將“啟用匿名訪問（A）”的勾去掉，不允許匿名訪問，如下圖所示。在“IP地址和域名限制”中點(diǎn)擊編輯，在彈出的窗口中可授權(quán)或拒絕訪問的計(jì)算機(jī)IP地址，如拒絕訪問，設(shè)置如下圖所示。設(shè)置成功后，打開該，則出現(xiàn)“客戶端IP地址被拒絕?！钡木W(wǎng)頁提示，如下圖所示。3、刪除不必要的IIS擴(kuò)展名映射。選擇“主目錄”選項(xiàng)卡，刪除掉主要為.shtml, .shtm, .stm4、更改IIS日志的路徑

39、選擇“”選項(xiàng)卡，在“啟用日志記錄（E）”中點(diǎn)擊“屬性”按鈕，在“日志文件目錄（L）：”中更改日志文件存放位置，防止非法修改，如下圖所示。第五章Windows系統(tǒng)的安全加固與漏洞防本章包括一個實(shí)訓(xùn)：5.1系統(tǒng)的安全加固與漏洞防。實(shí)訓(xùn)5.1系統(tǒng)的安全加固與漏洞防實(shí)訓(xùn)目的：Windows Server 2003作為Microsoft 最新推出的服務(wù)器操作系統(tǒng)，相比Windows 2000/XP系統(tǒng)來說，各方面的功能確實(shí)得到了增強(qiáng)，尤其在安全方面，但“金無足赤”任何事物也沒有十全十美的，微軟Windows 2003也是如此，照樣存在著系統(tǒng)漏洞、存在著不少安全隱患！如何讓W(xué)indows Server 2

40、003更加安全，成為廣大用戶十分關(guān)注的問題。實(shí)訓(xùn)要求：安裝windows Server2003系統(tǒng)的計(jì)算機(jī)。實(shí)訓(xùn)容：Windows2003系統(tǒng)加固堵住資源共享隱患、遠(yuǎn)程訪問、用戶切換。實(shí)訓(xùn)過程：1、堵住資源共享隱患為了給局域網(wǎng)用戶相互之間傳輸信息帶來方便，WindowsServer2003系統(tǒng)為各位提供了文件和打印共享功能，不過我們在享受該功能帶來便利的同時也向黑客們敞開了不少漏洞，給服務(wù)器系統(tǒng)造成了很大的不安全性；所以，在用完文件或打印共享功能時，應(yīng)隨時將功能關(guān)閉，以便堵住資源共享隱患，下面就是關(guān)閉共享功能的具體步驟：執(zhí)行控制面板菜單項(xiàng)下面的“網(wǎng)絡(luò)連接”命令，在隨后出現(xiàn)的窗口中，用鼠標(biāo)右鍵單

41、擊一下“本地連接”圖標(biāo)，如下圖所示。在打開的快捷菜單中，單擊“屬性”命令，這樣就能打開一個“Internet協(xié)議(TCP/IP)”屬性設(shè)置對話框，取消“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”這個選項(xiàng)，如下圖所示。 2、堵住遠(yuǎn)程訪問隱患在Windows2003系統(tǒng)下，要進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)訪問連接時，該系統(tǒng)下的遠(yuǎn)程桌面功能可以將進(jìn)行網(wǎng)絡(luò)連接時輸入的用戶名以與密碼，通過普通明文容方式傳輸給對應(yīng)連接端的客戶端程序；在明文傳輸過程中，實(shí)現(xiàn)“安插”在網(wǎng)絡(luò)通道上的各種嗅探工具，會自動進(jìn)入“嗅探”狀態(tài)，這個明文就很容易被“捕獲”；明文與密碼容一旦被黑客或其他攻擊者利用的話，小心自己的系統(tǒng)被“瘋狂”攻擊吧！為了杜

42、絕這種安全隱患，我們可以按下面的方法來為系統(tǒng)“加固”： 點(diǎn)擊系統(tǒng)桌面上的“開始”按鈕，打開開始菜單，從中執(zhí)行控制面板命令，從彈出的下拉菜單中，選中“系統(tǒng)”命令，打開一個“系統(tǒng)屬性”設(shè)置界面，鼠標(biāo)單擊“遠(yuǎn)程”選項(xiàng)卡，如下圖所示。在“遠(yuǎn)程桌面”中，將“啟用這臺計(jì)算機(jī)上的遠(yuǎn)程桌面（E）”選項(xiàng)取消掉，這樣就可以將遠(yuǎn)程訪問連接功能屏蔽掉，從而堵住遠(yuǎn)程訪問隱患了。 3、堵住頁面交換隱患Windows2003操作系統(tǒng)即使在正常工作的情況下，也有可能會向黑客或者其他訪問者泄漏重要的信息，特別是一些重要的信息。也許我們永遠(yuǎn)不會想到要查看一下，那些可能會泄漏隱私信息的文件。在操作系統(tǒng)中的頁面交換文件中，其實(shí)就隱藏

43、了不少重要隱私信息，這些信息都是在動態(tài)中產(chǎn)生的，要是不與時將它們清除，就很有可能成為黑客的入侵突破口；為此，我們可按照下面的方法，來讓W(xué)indows2003操作系統(tǒng)在關(guān)閉系統(tǒng)時，自動將系統(tǒng)工作時產(chǎn)生的頁面文件全部刪除掉：1、在Windows2003的“開始”菜單中，執(zhí)行“運(yùn)行”命令，打開運(yùn)行對話框，并在其中輸入“Regedit”命令，來打開注冊表窗口，如下圖所示。2、在該窗口的左邊區(qū)域中，用鼠標(biāo)依次單擊HKEY_local_machinesystemcurrentcontrolsetcontrolsession managermemorymanagement鍵值，找到右邊區(qū)域中的ClearPa

44、geFileAtShutdown鍵值(如圖2所示)，并用鼠標(biāo)雙擊之，在隨后打開的數(shù)值設(shè)置窗口中，將該DWORD值重新修改為“1”，如下圖所示。4、清除默認(rèn)共享隱患使用Windows Server 2003的用戶都會碰到一個問題，就是系統(tǒng)在默認(rèn)安裝時，都會產(chǎn)生默認(rèn)的共享文件夾。雖然用戶并沒有設(shè)置共享，但每個盤符都被Windows自動設(shè)置了共享，其共享名為盤符后面加一個符號（共享名稱分別為c$、d$、ipc$以與admin$）。也就是說，只要攻擊者知道了該系統(tǒng)的管理員密碼，就有可能通過“工作站名共享名稱”的方法，來打開系統(tǒng)的指定文件夾，因此，我們很有必要將Windows Server 2003系統(tǒng)

45、默認(rèn)的共享隱患，從系統(tǒng)中清除掉：1、刪除Windows Server 2003默認(rèn)共享，首先編寫如下容的批處理文件：echo offnet share C$ /delnet share D$ /delnet share E$ /delnet share F$ /delnet share admin$ /del以上文件的容用戶可以根據(jù)自己需要進(jìn)行修改。保存為delshare.bat，存放到系統(tǒng)所在文件夾下的system32GroupPolicyUserScriptsLogon目錄下。然后在“開始”菜單-“運(yùn)行”中輸入gpedit.msc，回車即可打開組策略編輯器。點(diǎn)擊“用戶配置”-“Windows設(shè)置”-“腳本(登錄/注銷)”-“登錄”，如下圖所示。在出現(xiàn)的“登錄 屬性”窗口中單擊“添加”，會出現(xiàn)“添加腳本”對話框，在該窗口的“腳本名”欄中輸入delshare.bat，然后單擊“確定”按鈕，如下圖所示。重新啟動計(jì)算機(jī)系統(tǒng)，就可以自動將系統(tǒng)所有的隱藏共享文件夾全部取消了，這樣就能將系統(tǒng)安全隱患降低到最低限度。2、禁用IPC連接IPC$(Internet Process Connection)是共享