子任務(wù)1-1-3 系統(tǒng)加固

1.1任務(wù)概覽了解系統(tǒng)安全基礎(chǔ)知識(shí)掌握安全基本措施熟悉常見端口與服務(wù)及其對(duì)應(yīng)關(guān)系學(xué)習(xí)目標(biāo)：知識(shí)目標(biāo)技能目標(biāo)態(tài)度目標(biāo)會(huì)熟練完成系統(tǒng)安裝能完成系統(tǒng)基本加固工作，保證系統(tǒng)安全能關(guān)閉不必要的端口與服務(wù)，通過不同方式確保應(yīng)用安全能解決系統(tǒng)應(yīng)用過程中出現(xiàn)的問題有強(qiáng)烈的安全意識(shí)養(yǎng)成勤學(xué)、好問、獨(dú)立思考和細(xì)心檢查的學(xué)習(xí)習(xí)慣能與組員精誠(chéng)合作，能正確面對(duì)他人的成功或失敗具有一定自學(xué)能力，分析問題、解決問題能力和創(chuàng)新的能力系統(tǒng)安裝完成后，為了確保系統(tǒng)安全可靠運(yùn)行，首先要降低系統(tǒng)本身存在的安全風(fēng)險(xiǎn)。主要從賬戶、密碼設(shè)置、等方面來考慮。1.設(shè)置陷阱賬戶企圖入侵計(jì)算機(jī)的人員通常喜歡獲取權(quán)限高的用戶名和密碼，尤其是administrator帳戶，在設(shè)置過程中如何能讓入侵者花費(fèi)一番工夫，并借此發(fā)現(xiàn)其入侵意圖呢。設(shè)置思路：在Guests組中設(shè)置一個(gè)administrator賬戶，把它的權(quán)限設(shè)置成最低，并設(shè)置一個(gè)復(fù)雜密碼（至少要超過10位的超級(jí)復(fù)雜密碼），而且用戶不能更改密碼，這樣就可以讓那些企圖入侵者花費(fèi)一番功夫了。任務(wù)1-1系統(tǒng)安裝安全防護(hù)子任務(wù)1-1-3系統(tǒng)加固步驟1：在“運(yùn)行”文本框中輸入gpedit.msc，回車，打開如圖1-1-28所示的“本地組策略編輯器”，依次選擇“計(jì)算機(jī)配置”-->“Windows設(shè)置”-->“安全設(shè)置”-->“本地策略”-->“安全選項(xiàng)”，在右邊窗格中選中“帳戶：重命名系統(tǒng)管理員帳戶”。子任務(wù)1-1-3系統(tǒng)加固圖1-1-28

“本地組策略編輯器”對(duì)話框步驟2：鼠標(biāo)右鍵，在彈出的菜單中單擊“屬性”，打開如圖1-1-29所示“帳戶：重命名系統(tǒng)管理員帳戶屬性”對(duì)話框，在其中的文本框中輸入帳戶名。圖1-1-29Account賬戶已創(chuàng)建子任務(wù)1-1-3系統(tǒng)加固步驟3：依次單擊“開始-->管理工具-->計(jì)算機(jī)管理”，打開如圖1-1-30所示的“計(jì)算機(jī)管理”對(duì)話框，單擊“本地用戶和組”，選中用戶Account。子任務(wù)1-1-3系統(tǒng)加固圖1-1-30“計(jì)算機(jī)管理”對(duì)話框步驟4：鼠標(biāo)右鍵，打開如圖1-1-31所示“Account屬性”對(duì)話框，打開“隸屬于”選項(xiàng)卡，可發(fā)現(xiàn)該用戶隸屬于“Administrators”組，單擊“刪除”按鈕，將“Administrators”組刪除。子任務(wù)1-1-3系統(tǒng)加固圖1-1-31“Account屬性”對(duì)話框步驟5：然后單擊“添加”按鈕，打開如圖1-1-32所示的“選擇組”對(duì)話框，單擊“高級(jí)（A）…”按鈕子任務(wù)1-1-3系統(tǒng)加固圖1-1-32“選擇組”對(duì)話框步驟6：打開如圖1-1-33所示的“選擇組-立即查找”對(duì)話框，單擊“立即查找”按鈕，在下面的組中選中“Guests”組。子任務(wù)1-1-3系統(tǒng)加固圖1-1-33“選擇組-立即查找”對(duì)話框步驟7：依次單擊“確定”按鈕，返回如圖1-1-34所示的“Account屬性”對(duì)話框，已添加“Guests”組，單擊“確定”按鈕，則成功將Account帳戶添加到Guests組中，擁有Guests組的權(quán)限。該設(shè)置也可以逆向思維，在Guests組中創(chuàng)建一個(gè)Administrator用戶。子任務(wù)1-1-3系統(tǒng)加固圖1-1-34“Account屬性”對(duì)話框步驟8：在“運(yùn)行”文本框中輸入gpedit.msc，回車，打開如圖1-1-35所示的“本地組策略編輯器”，依次選擇“計(jì)算機(jī)配置”-->“Windows設(shè)置”-->“安全設(shè)置”-->“帳戶策略”-->“密碼策略”，在右邊窗格中選中“密碼必須符合復(fù)雜性要求”。子任務(wù)1-1-3系統(tǒng)加固圖1-1-35本地組策略編輯器—密碼策略步驟9：在彈出的菜單中單擊“屬性”，打開如圖1-1-36所示的“密碼必須符合復(fù)雜性要求屬性”對(duì)話框，選中“已啟用”單選框。給帳戶設(shè)置密碼時(shí)需要滿足如下要求。（1）不能包含用戶的帳戶名，不能包含用戶姓名中超過兩個(gè)連續(xù)字符的部分；（2）至少有六個(gè)字符長(zhǎng)（3）包含以下四類字符中的三類字符:英文大寫字母(A到Z)、英文小寫字母(a到z)、10個(gè)基本數(shù)字(0到9)、非字母字符(例如!、$、#、%)（4）在更改或創(chuàng)建密碼時(shí)執(zhí)行復(fù)雜性要求。子任務(wù)1-1-3系統(tǒng)加固圖1-1-36“密碼必須符合復(fù)雜性要求屬性”對(duì)話框Guest帳戶的權(quán)限低，往往會(huì)被忽視。甚至為了方便訪問而使用Guest用戶。設(shè)置思路：Guest賬戶的使用雖然可以方便其他訪問者進(jìn)行訪問，但同時(shí)也給想入侵計(jì)算機(jī)的人提供了便利，矛與盾之間，需要有個(gè)取舍，一般不是必要的話就禁用該帳戶。圖1-1-37“計(jì)算機(jī)管理”對(duì)話框2.不允許Guest賬戶登錄系統(tǒng)步驟1：依次單擊“開始”-->“管理工具”-->“計(jì)算機(jī)管理”，打開如圖1-1-37所示的“計(jì)算機(jī)管理”對(duì)話框。任務(wù)1-1系統(tǒng)安裝安全防護(hù)子任務(wù)1-1-3系統(tǒng)加固步驟2：展開“系統(tǒng)工具”，找到“本地用戶和組”，展開，選中“用戶”，在右邊窗格中選中Guest用戶。步驟3：右擊Guest用戶，在彈出的菜單中單擊“屬性”，彈出如圖1-1-38所示“guest屬性”對(duì)話框。選中“賬戶已停用”復(fù)選框。子任務(wù)1-1-3系統(tǒng)加固圖1-1-38“guest屬性”對(duì)話框步驟4：在“Guest”屬性對(duì)話框中，打開如圖1-1-39所示的“隸屬于”選項(xiàng)卡，選中“Guests”，單擊“刪除”按鈕，刪除Guests組，單擊“應(yīng)用”-->“確定”。子任務(wù)1-1-3系統(tǒng)加固圖1-1-39““Guest”屬性—隸屬于”選項(xiàng)卡

Guest用戶的這些相關(guān)設(shè)置不會(huì)立即生效，直到下一次用戶登錄時(shí)對(duì)用戶的組成員關(guān)系的更改才生效。默認(rèn)情況下,Guest用戶的“遠(yuǎn)程控制”是啟用的。在“Guest”屬性對(duì)話框中，打開如圖1-1-40所示的“遠(yuǎn)程控制”選項(xiàng)卡，去掉“啟用遠(yuǎn)程控制”復(fù)選框中的“√”，單擊“確定”按鈕即可。子任務(wù)1-1-3系統(tǒng)加固圖1-1-40““Guest”屬性—遠(yuǎn)程控制”選項(xiàng)卡如果顯示上次登錄用戶名，登錄系統(tǒng)就已經(jīng)取得了一半的成功，只需要一心一意破解密碼了，甚至還可以從用戶名上獲得靈感，有助于猜解密碼。設(shè)置思路：默認(rèn)情況下，每次本地登錄或終端服務(wù)接入服務(wù)器時(shí)，登錄對(duì)話框中會(huì)顯示上次登錄的賬戶名，這些信息會(huì)泄露一些信息，導(dǎo)致攻擊更加容易。因此，最好將系統(tǒng)設(shè)置為不顯示登錄用戶名。3.禁止顯示上次登錄用戶嗎任務(wù)1-1系統(tǒng)安裝安全防護(hù)子任務(wù)1-1-3系統(tǒng)加固方式1：菜單操作步驟1：依次單擊選擇“控制面板”→“管理工具”→“本地安全策略”，打開如圖1-1-41所示“本地安全策略”對(duì)話框，在左側(cè)窗格中選擇“本地策略”→“安全選項(xiàng)”，在右側(cè)窗格中選中“交互式登錄：不顯示最后的用戶名”。子任務(wù)1-1-3系統(tǒng)加固圖1-1-41所示“本地安全策略”對(duì)話框步驟2：鼠標(biāo)右鍵，單擊屬性，打開如圖1-1-42所示的“交互式登錄：不顯示最后的用戶名屬性”對(duì)話框，選擇“已啟用”單選項(xiàng)，單擊“應(yīng)用”-->“確定”按鈕即可。這樣就不會(huì)顯示上次登錄的用戶名了。子任務(wù)1-1-3系統(tǒng)加固圖1-1-42“交互式登錄：不顯示最后的用戶名屬性”對(duì)話框子任務(wù)1-1-3系統(tǒng)加固圖1-1-43“注冊(cè)表編輯器”對(duì)話框方式2：注冊(cè)表操作不顯示上次登錄用戶名也可以通過修改注冊(cè)表來實(shí)現(xiàn)，在“運(yùn)行”文本框中輸入regedit，單擊確定，打開如圖1-1-43所示的“注冊(cè)表編輯器”對(duì)話框，在左邊窗格中依次查找如下項(xiàng)，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogon，在右側(cè)窗格中找到“Don'tDisplayLastUserName”，鼠標(biāo)右鍵，單擊“修改”，打開“編輯字符串”對(duì)話框，在“數(shù)值數(shù)據(jù)”文本框中將其數(shù)據(jù)值修改為1，單擊“確定”即可。SYSKEY可以使用啟動(dòng)密鑰來保護(hù)SAM文件中的賬戶信息。默認(rèn)情況下，啟動(dòng)密鑰是一個(gè)隨機(jī)生成的密鑰，存儲(chǔ)在本地計(jì)算機(jī)上，這個(gè)啟動(dòng)密鑰在計(jì)算機(jī)啟動(dòng)時(shí)必須正確輸入才能登錄系統(tǒng)，運(yùn)行SYSKEY有兩種方式：4.使用syskey保護(hù)賬號(hào)信息任務(wù)1-1系統(tǒng)安裝安全防護(hù)子任務(wù)1-1-3系統(tǒng)加固方式一：“運(yùn)行”文本框方式步驟1：依次單擊“開始”→“運(yùn)行”命令，打開如圖1-1-44所示的“運(yùn)行”文本框，在其中輸入syskey命令，單擊“確定”按鈕。圖1-1-44

運(yùn)行SYSKEY子任務(wù)1-1-3系統(tǒng)加固圖1-1-45

“保證windows賬戶數(shù)據(jù)庫的安全”對(duì)話框步驟2：打開如圖1-1-45所示的“保證windows帳戶數(shù)據(jù)庫的安全”對(duì)話框，選擇“啟用加密”單選項(xiàng)，單擊“確定”按鈕，會(huì)出現(xiàn)SYSKEY設(shè)置界面。子任務(wù)1-1-3系統(tǒng)加固圖1-1-46

“DOS命令”方式二：DOS命令提示方式步驟1：依次單擊“開始”→“程序”→“附件”→“命令提示符”命令，在DOS提示符后輸入syskey命令，單擊Enter鍵，會(huì)出現(xiàn)如圖1-1-45所示“保證Windows帳戶數(shù)據(jù)庫的安全”的對(duì)話框，也就是skskey的設(shè)置界面。子任務(wù)1-1-3系統(tǒng)加固圖1-1-47

“啟動(dòng)密鑰”對(duì)話框步驟2：?jiǎn)螕簟按_定”按鈕，看不到任何提示信息，但已完成了對(duì)SAM散列值的二次加密工作。此時(shí)，即使攻擊者通過另外一個(gè)系統(tǒng)進(jìn)入系統(tǒng)，盜走SAM文件的副本或者在線提取密碼散列值，這份副本或散列值對(duì)于攻擊者也是沒有意義的，因?yàn)閟yskey提供了安全保護(hù)。步驟3：如果要設(shè)置系統(tǒng)啟動(dòng)密碼或啟動(dòng)軟盤，單擊對(duì)話框中的“更新”按鈕，彈出如圖1-1-47所示的“啟動(dòng)密鑰”對(duì)話框。子任務(wù)1-1-3系統(tǒng)加固“密碼啟動(dòng)”單選項(xiàng)：?jiǎn)螕舸隧?xiàng)可設(shè)置系統(tǒng)啟動(dòng)時(shí)的密碼，即在文本框中輸入需設(shè)置的密碼?！跋到y(tǒng)產(chǎn)生的密碼”單選項(xiàng)下的“在軟盤上保存啟動(dòng)密碼”單選項(xiàng)：制作啟動(dòng)盤時(shí)使用；“系統(tǒng)產(chǎn)生的密碼”單選項(xiàng)下的“在本機(jī)上保存啟動(dòng)密碼”單選項(xiàng)：把密碼保存為操作系統(tǒng)的一部分，在系統(tǒng)開始時(shí)不需要任何交互操作。

為了防止黑客進(jìn)入系統(tǒng)后對(duì)本地計(jì)算機(jī)上存儲(chǔ)的啟動(dòng)密鑰進(jìn)行暴力搜索，還是建議將啟動(dòng)密鑰存儲(chǔ)在軟盤或移動(dòng)硬盤上，實(shí)現(xiàn)啟動(dòng)密鑰與本地計(jì)算機(jī)的分離。5.禁止建立空鏈接任務(wù)1-1系統(tǒng)安裝安全防護(hù)子任務(wù)1-1-3系統(tǒng)加固默認(rèn)情況下，任何用戶都可通過空鏈接連接服務(wù)器，進(jìn)而枚舉出賬號(hào)，猜測(cè)密碼?？梢酝ㄟ^修改注冊(cè)表來禁止建立空鏈接：即把LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下的restrictanonymous的值改成1即可，如圖1-1-48所示。圖1-1-48修改注冊(cè)表6.關(guān)閉默認(rèn)共享任務(wù)1-1系統(tǒng)安裝安全防護(hù)子任務(wù)1-1-3系統(tǒng)加固操作系統(tǒng)安裝完成以后，系統(tǒng)會(huì)創(chuàng)建一些隱藏的共享。（1）查看共享在“運(yùn)行”文本框中輸入cmd命令，單擊“確定”按鈕，打開“命令提示符”對(duì)話框，在DOS提示符下輸入netshare命令，單擊回車符，運(yùn)行結(jié)果如圖1-1-49所示。這些就是系統(tǒng)安裝完成后存在的默認(rèn)共享，利用這些默認(rèn)共享，可實(shí)現(xiàn)IPC入侵。圖1-1-49查看共享命令使用子任務(wù)1-1-3系統(tǒng)加固各默認(rèn)共享的說明如表1-1-2所示。表1-1-2共享目錄及其功能默認(rèn)共享目錄路徑說明C$D$E$分區(qū)的根目錄

ADMIN$%SYSTEMTOOT%遠(yuǎn)程管理用的共享目錄。它的路徑永遠(yuǎn)都指向Windows的安裝路徑，比如C：\WINNTIPC$

IPC$共享提供了登錄的能力PRIN$SYSTEM32\SPOOL\DRIVERS用戶遠(yuǎn)程管理打印機(jī)（2）禁止共享方法1：在“計(jì)算機(jī)管理”窗口中選擇“系統(tǒng)工具”，打開“共享文件夾”下的“共享”項(xiàng)，在右方的列表中選擇相應(yīng)的共享，鼠標(biāo)右鍵，在彈出的菜單中選中并執(zhí)行“停止共享”命令即可，如圖1-1-50所示。圖1-1-50停止默認(rèn)共享子任務(wù)1-1-3系統(tǒng)加固方法2：在非域環(huán)境中，關(guān)閉Windows硬盤默認(rèn)共享，例如C$，D$。具體操作如下：首先打開注冊(cè)表編輯器，依次找到HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters項(xiàng)，查看是否存在REG_DWORD類型的AutoShareServer

鍵，如不存在，則手動(dòng)添加，將其值設(shè)置為0。然后關(guān)閉注冊(cè)表，重新啟動(dòng)服務(wù)器后，Windows將關(guān)閉硬盤的默認(rèn)共享。方法3：使用以下命令刪除共享：netshare/delete<共享名>，例如命令netshare/deleteC$將刪除默認(rèn)共享C$。解決這種問題的方法是用文本編輯軟件如或notepad.exe建立一個(gè)批處理文件，例如delshare.bat，其內(nèi)容如下：netshare/deleteC$netshare/deleteADMIN$然后將該批處理文件delshare.bat放入操作系統(tǒng)“程序”→“啟動(dòng)”組中，這樣每次系統(tǒng)啟動(dòng)時(shí)即可刪除默認(rèn)的共享。

使用該種方式刪除默認(rèn)共享后，只要重新啟動(dòng)操作系統(tǒng)，默認(rèn)共享就又存在了7.基本策略設(shè)置任務(wù)1-1系統(tǒng)安裝安全防護(hù)子任務(wù)1-1-3系統(tǒng)加固（1）設(shè)置密碼策略一些網(wǎng)絡(luò)管理員創(chuàng)建賬號(hào)時(shí)往往使用公司名、計(jì)算機(jī)名或者一些別的容易猜到的字符當(dāng)用戶名，然后又把這些賬戶的密碼設(shè)置得比較簡(jiǎn)單，比如：route、switch、welcome或者與用戶名相同的密碼等。這對(duì)系統(tǒng)安全非常重要，應(yīng)該要求用戶首次登錄時(shí)更改為復(fù)雜密碼，還要注意經(jīng)常更改密碼。所謂安全密碼就是安全期內(nèi)無法破解出來的密碼，也就是說，如果得到了密碼文檔，必須花大于42天或者更長(zhǎng)的時(shí)間才能破解出來的密碼，因?yàn)槊艽a策略默認(rèn)的最大期限是42天必須更改密碼。

在默認(rèn)的情況下，安全設(shè)置中的密碼策略都沒有開啟。子任務(wù)1-1-3系統(tǒng)加固