系統(tǒng)防御技能基礎(chǔ)知識-Windows_第1頁
系統(tǒng)防御技能基礎(chǔ)知識-Windows_第2頁
系統(tǒng)防御技能基礎(chǔ)知識-Windows_第3頁
系統(tǒng)防御技能基礎(chǔ)知識-Windows_第4頁
系統(tǒng)防御技能基礎(chǔ)知識-Windows_第5頁
已閱讀5頁,還剩47頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

系統(tǒng)防御技能目錄Windows操作系統(tǒng)安全Windows安全配置實踐目錄Windows操作系統(tǒng)安全Windows安全配置實踐4Windows用戶組和安全安全主體類型用戶帳戶本地用戶域用戶組帳戶everyone組network組計算機服務(wù)Windows系統(tǒng)最高權(quán)限的賬戶是SYSTEM5Windows用戶組和安全對象Windows中的資源例如文件、文件夾、設(shè)備、窗口、線程、進(jìn)程、內(nèi)存域用戶安全對象安全管理的基本單元文件、目錄、注冊表項、動態(tài)目錄對象、內(nèi)核對象、服務(wù)、線程、進(jìn)程等所有資源進(jìn)行統(tǒng)一認(rèn)證和統(tǒng)一管理6Windows用戶組和安全安全標(biāo)識符一個安全主體的代表S-1-5-21-1736401710-1141508419-1540318053-10007Windows用戶組和安全帳號信息存儲C:\windows\system32\config\SAM注冊表體現(xiàn)訪問機制:SAM(安全帳號管理器)用戶一用戶二SecurityAccountsManagerSAM8SAM機制的優(yōu)勢存儲格式加密運行期鎖定僅對system帳號有權(quán)限,通過服務(wù)進(jìn)行訪問,控制較嚴(yán)格9Windows用戶驗證網(wǎng)絡(luò)登錄的驗證(Netlogon)挑戰(zhàn)機制本地登錄驗證SAM(安全帳號管理器)10Windows進(jìn)程及服務(wù)Windows系統(tǒng)進(jìn)程概念基本系統(tǒng)進(jìn)程smss.exewinlogon.exeservices.exelsass.exesvchost.exe……

其他系統(tǒng)進(jìn)程tcpsvcs.exeismserv.exeups.exe……11Windows進(jìn)程及服務(wù)Windows服務(wù)(windowsservice)Windows服務(wù)程序是一個長時間運行的可執(zhí)行程序,不需要用戶的交互,也不需要用戶登錄12運行方式獨立EXE程序運行以DLL形式,依附在svchost.exe程序運行13Windows服務(wù)的啟動類型及權(quán)限服務(wù)啟動類型自動手動已禁用服務(wù)的啟動權(quán)限System(本地系統(tǒng))LocalServiceNetworkService

14Windows日志系統(tǒng)事件日志(默認(rèn))系統(tǒng)日志應(yīng)用程序日志安全日志事件日志(擴展)DNS日志目錄服務(wù)日志應(yīng)用日志IISFTP

15事件日志安全管理日志保存路徑HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog”Application應(yīng)用程序日志Security安全日志System系統(tǒng)日志”日志屬性日志大小覆蓋時間日志文件權(quán)限16Windows應(yīng)用系統(tǒng)日志日志路徑IIS:%systemroot%/system32/logfile/sw3svc1FTP:%systemroot%/system32/logfile/smsftpsvc1日志格式及名稱文本格式默認(rèn)每天生成一個,以當(dāng)天日期命名,例如ex001023.log就是2000年10月23日當(dāng)天的日志17Windows應(yīng)用系統(tǒng)日志(1)遠(yuǎn)程主機的地址(2)用于記錄瀏覽者進(jìn)行身份驗證時提供的名字,只有在有登錄的時候才會出現(xiàn)(3)請求的時間。(4)顯示的是服務(wù)器受到的是一個什么樣的請求,如:GETPOSTHEAD。也顯示了客戶端請求的URL地址,如://index.php(5)顯示服務(wù)器返回的狀態(tài)碼,如200(6)發(fā)送給給客戶端的總字節(jié)數(shù),可以用來確定傳輸是否被打斷。18Windows系統(tǒng)安全策略策略就是思想。是思想的方式和方法確定的表現(xiàn),思想成果與結(jié)論的形式與內(nèi)容的表現(xiàn)與表示。Windows的安全策略就是Windows系統(tǒng)安全思想的體現(xiàn)。

安全直接體現(xiàn)-本地安全策略計算機相關(guān)-組策略19Windows系統(tǒng)安全策略本地安全策略打開方式:控制面板-》管理工具-》本地安全策略策略設(shè)置帳戶策略密碼策略帳戶鎖定策略本地策略審核策略用戶權(quán)利指派安全選項帳戶策略密碼策略:密碼設(shè)置(如強制執(zhí)行和有效期限)帳戶鎖定策略:帳戶無效登錄處理Kerberos策略。確定與Kerberos相關(guān)的設(shè)置(如票的有限期限和強制執(zhí)行20Windows系統(tǒng)安全策略21Windows系統(tǒng)安全策略22組策略gpedit.msc軟件設(shè)置Windows設(shè)置管理模板使用NTFS文件系統(tǒng)安裝在獨立服務(wù)器上單一操作系統(tǒng)修改安裝缺省目錄最小化安裝23Windows安全安裝配置實踐目錄Windows操作系統(tǒng)安全Windows安全配置實踐補丁檢查系統(tǒng)補丁安裝情況命令行執(zhí)行systeminfo,查看系統(tǒng)已經(jīng)安裝的補丁列表

補丁更新手動安裝:使用IE訪問,按提示安裝必要的activeX控件后,按提示安裝補丁開始–控制面板–自動更新,在自動更新面板中選中自動(建議)(U),然后根據(jù)個人需求設(shè)置升級時間防護軟件安裝殺毒軟件并保持病毒庫更新

防火墻對于防火墻軟件,建議屏蔽以下端口:TCP135TCP139TCP445Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強系統(tǒng)服務(wù)查看系統(tǒng)服務(wù)執(zhí)行services.msc,檢查啟動類型為自動的服務(wù)關(guān)閉非必需的服務(wù)建議關(guān)閉一下服務(wù):TaskScheduler/RemoteRegistry/SNMPService/PrintSpooler/Telnet/ComputerBrowser/Messenger/Alerter/DHCPClient關(guān)閉方法:雙擊需要關(guān)閉的服務(wù),將啟動類型設(shè)置為禁用,點擊停止按鈕以停止當(dāng)前正在運行的服務(wù)SNMP服務(wù)修改SNMP的字符串為什么要修改SNMP的字符串?它會泄露什么?通過SNMP服務(wù),遠(yuǎn)程惡意用戶可以列舉本地的帳號、帳號組、運行的進(jìn)程、安裝的補丁和軟件等敏感信息,禁用或修改SNMP配置可以有效防止遠(yuǎn)程惡意用戶的這類行為。攻擊工具:

snmputilwalk0public.1.3.6......服務(wù)與進(jìn)程SNMPService服務(wù)加固方法:為修改SNMP團體名限制遠(yuǎn)程主機對SNMP的訪問關(guān)閉自動播放功能關(guān)閉所有驅(qū)動器的自動播放功能點擊開始→運行→輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機配置→管理模板→系統(tǒng),在右邊窗格中雙擊“關(guān)閉自動播放”,對話框中選擇所有驅(qū)動器,確定即可。

Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強密碼策略密碼策略長度7≤Windows2000≤12714≥Windows9X≈0期限定期修改密碼復(fù)雜性Pyth0n&^!@大小寫數(shù)字特殊字符密碼策略加固要點密碼策略:

開始→運行→gpedit.msc計算機配置→Windows設(shè)置→安全設(shè)置→帳戶策略→帳戶鎖定策略->密碼策略”:帳戶鎖定策略用戶權(quán)利指派檢查用戶權(quán)限策略是否設(shè)置:

開始→運行→gpedit.msc計算機配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)利指派本地安全策略配置檢查本地安全策略配置:

開始→運行→gpedit.msc計算機配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強日志和審核策略審核了解Windows審核策略審核策略并不完整很多審核內(nèi)容默認(rèn)未開啟只有在NTFS磁盤上才能開啟對象訪問審核,日志量較大步驟打開審核策略編輯審核對象的審核項日志和審核策略審核打開審核策略要做什么審核?要審核什么?位置:gpedit.msc–

計算機配置–Windows設(shè)置–

安全設(shè)置–審核設(shè)置12日志和審核策略審核查看審核日志eventvwr(事件查看器)Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強文件系統(tǒng)Windows文件系統(tǒng)FATFAT16FAT32NTFS將FAT卷轉(zhuǎn)換成NTFSconvertC:/FS:NTFS用戶用戶和組特殊的組Administrators、Guests、PowerUsers……

可通過netlocalgroup命令打印特殊的用戶Administrator、Guest可通過netuser命令打印隱藏帳號netuserhide$password/add用戶加固要點檢查用戶克隆隱藏清除用戶未使用的未知的鎖定用戶GuestSUPPORT_XXXXX設(shè)置重要文件權(quán)限權(quán)限前提(關(guān)鍵字)NTFSAdministrators設(shè)置重要文件權(quán)限權(quán)限ACL(訪問控制列表)包含了用戶帳戶和訪問對象之間許可關(guān)系由四個權(quán)限項組成的權(quán)限項集(即,ACL)設(shè)置重要文件權(quán)限權(quán)限ACE(訪問控制項)ACL中包含ACE訪問控制條目設(shè)置重要文件權(quán)限加密和壓縮設(shè)置重要文件權(quán)限審核編輯審核對象的審核項123設(shè)置重要文件權(quán)限加固要點目錄及文件的權(quán)限查找具有everyone的權(quán)限項重要對象的審核策略@echooffdir/s/b>>all.txtfor/f%%iin(all.txt)docacls%%i|find"Everyone"Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強安全增強刪除匿名用戶空連接注冊表如下鍵值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論