Windows_Security

1、Windows 操作系統(tǒng)安全操作系統(tǒng)安全國瑞數(shù)碼安全系統(tǒng)有限公司2003.4.12授課內容 如何保證如何保證Windows操作系統(tǒng)的安全操作系統(tǒng)的安全 Windows NT/2000/XP安全配置 Windows NT/2000/XP的日志審計日志審計 基本安全措施 Windows管理員須知為什么很難獲得安全性 ,保持安全性? 調查發(fā)現(xiàn) : 在經歷紅色代碼襲擊的客戶中,仍有超過50%的客戶并沒有及時安裝補丁防范 Nimda “我不知道需要安裝哪些補丁” “我不知道到哪里找補丁” “我不知道哪些機器需要補丁” “我們已經更新了所有生產服務器, 但是仍有4000多臺非生產服務器受到襲擊”保證系統(tǒng)安

2、全的三步曲我有最新的補丁程序嗎 ?我的所有機器已經達到安全基準嗎?我如何鎖定我的所有機器?網(wǎng)絡安全補丁檢查工具(HFNetChk) 和 微軟基準安全分析器 (MBSA)HFNetChk 和 MBSA 是戰(zhàn)略性技術保護計劃的一個組成部分兩個階段: 獲得安全性 ,保持安全性 http:/ HFNetChk是一個命令行程序，它只能運行在Windows NT, Windows 2000 and Windows XP等基于NT的平臺上 掃描本地和遠程計算機 檢查下列系統(tǒng)的安全補丁的安裝狀態(tài) Windows NT 4.0, Windows 2000, XP Internet Explorer 5.01和后

3、續(xù)產品 IIS 4.0 and 5.0 SQL 7.0 和后續(xù)產品HFNetChk In Action保證系統(tǒng)安全的三步曲我有最新的補丁程序嗎?我的所有機器已經達到安全基準嗎?我如何鎖定我的所有機器?微軟基準安全分析器 MBSA 運行在Windows 2000 和 Windows XP平臺上的單個可執(zhí)行文件檢查常見安全誤設置和漏裝補丁, 服務包Windows Internet Information Server 4.0 and Internet Information Server 5.0SQL 7.0 and SQL 2000桌面應用程序Internet ExplorerOfficeOut

4、lookMBSA既有圖形界面版本,又有命令行版本生成安全報表系統(tǒng)總得分每一項安全檢查通過或失敗得分針對發(fā)現(xiàn)的安全性漏洞,提出詳細解釋和修補動作是一個“只讀”工具 -對被檢查的機器沒有任何配置或更新操作用戶在每臺被檢查的機器上必須有本地管理員權限使用MBSA掃描單臺計算機掃描多臺計算機從哪里得到補丁 ? 訂閱安全公告郵件http:/www.M 發(fā)送郵件到microsoft_security-subscribe- 利用Windows更新工具接受自動通知 訂購安全工具包或聯(lián)機訪問安全工具包網(wǎng)站 下載補丁程序http:/ Secure Server Roles 目的：針對具有不同服務器角色的Windo

5、ws 系統(tǒng)，簡化管理員實施安全系統(tǒng)的繁重任務 SSR包含了一些向導程序,用來檢查和實施OS,特定應用程序的安全策略（例如：Exchange，IIS）安全服務器角色 SSR安全服務器角色框架 設置廣泛（例如：服務，端口，注冊表鍵值，審計，用戶組等） “角色”眾多（例如：域控制器，文件服務器，打印服務器，Web服務器等） 適用范圍廣泛(例如:Internet連接,DMZ,企業(yè)網(wǎng)絡,多網(wǎng)卡主機) 可定制可以增加新的角色,無需編程 可擴展 可以使用VB來開發(fā)特定應用的子向導 通過與MBSA的集成,提供了對一些非可配置的選項的分析,例如:漏裝補丁程序,NTFS文件系統(tǒng),口令太簡單 既可在本地運行,又可在

6、遠程運行 支持Windows 2000 和 .Net Server安全服務器角色 SSR(2)Windows 安全配置安全配置 帳戶管理 密碼管理 文件系統(tǒng)配置管理 網(wǎng)絡配置管理 其他配置管理帳戶管理 新建合理有效的用戶 重命名管理員帳號 檢查用戶帳號、組成員及權限 取消或禁用 Guest帳號 將Everyone可以“從網(wǎng)絡訪問計算機”改為一個特定帳號帳戶管理 允許管理員帳號網(wǎng)絡登錄鎖定 嘗試注冊三次失敗后鎖定賬號 啟用登錄工作站和登錄時間限制 登錄屏幕上不顯示上次登錄的用戶名 登錄前，先鍵入ALT+DEL+CTRL密碼管理 啟動口令密碼的復雜性要求登錄名稱中字符不要重復或循環(huán)； 至少包含兩個

7、字母字符和一個非字母字符；至少有6個字符長度；不是用戶的姓名 ，不是相關人物、著名人物的姓名，不是用戶的生日和電話號碼及其他容易猜測的字符組合等； 口令密碼的長度限制 要求用戶定期更改口令 文件系統(tǒng)配置管理 將硬盤格式化成NTFS 設置NTFS的存取控制列表 關閉NTFS 8.3文件系統(tǒng)(到注冊表中的HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control FileSystem，將NtfsDisable8dot3NameCreation的值由0改為1) 加密文件系統(tǒng)EFS 網(wǎng)絡配置管理 去掉所有網(wǎng)絡共享 限制匿名網(wǎng)絡存取 去掉NETBIOS綁定到T

8、CP/IP 取消IP路由其他配置管理 將系統(tǒng)的啟動等待時間設置為0秒 移除OS/2和POSIX子系統(tǒng) 設置所有的登錄/注銷成功/失敗審計 設置審計日志寫文件的時間間隔 移動一些重要的應用程序 及時給系統(tǒng)打補丁日志審計的作用 任何功能正常的計算機環(huán)境都有可能受到攻擊。不論安全性有多高，都存在可能會受到攻擊的風險。 在一系列不得逞的攻擊之后往往攻擊就會得逞。如果不監(jiān)視有無攻擊的情況，就不能在攻擊得逞之前發(fā)現(xiàn)它們。 如果攻擊果真會得逞，那么越早發(fā)現(xiàn)，避免損失就越容易。 如果要在受到攻擊后進行恢復，則必須知道造成了什么樣的損失。 日志審計的作用 審計和侵入檢測會有助于確定誰應對攻擊負責。 將審計和侵入

9、檢測結合起來可有助于將各種信息相互關聯(lián)以弄清攻擊發(fā)生的模式。 定期檢查安全日志可有助于發(fā)現(xiàn)未知的安全配置問題，如權限不正確或帳戶鎖定設置不嚴格等。 在檢測到發(fā)生攻擊的情況之后，審計可有助于確定哪些網(wǎng)絡資源受到了危害。審計的內容 系統(tǒng)和網(wǎng)絡日志文件 目錄和文件中不期望的改變 程序執(zhí)行中的不期望行為 物理形式的入侵信息 審計的方法 模式匹配 統(tǒng)計分析 完整性分析 Windows 2000審計事件類別 登錄事件 帳戶登錄事件 對象訪問 目錄服務訪問 特權使用 進程跟蹤 系統(tǒng)事件 策略更改 Windows 2000審計事件類別 登錄事件登錄事件 如果對登錄事件進行審計，那么每次用戶在計算機上登錄或注銷

10、時，都會在進行了登錄嘗試的計算機的安全日志中生成一個事件。此外，在用戶連接到遠程服務器之后，也會在遠程服務器的安全日志中生成一個登錄事件。在創(chuàng)建或者銷毀登錄會話和令牌時也會分別創(chuàng)建登錄事件。 Windows 2000審計事件類別 帳戶登錄事件帳戶登錄事件 在一個用戶登錄到域時，是在域控制器上對登錄進行處理的。如果您審計域控制器上的帳戶登錄事件，那么您就會看到在對帳戶進行驗證的域控制器上記錄的此登錄嘗試。帳戶登錄事件是在身份驗證程序包對用戶的憑據(jù)進行驗證時創(chuàng)建的。 Windows 2000審計事件類別 帳戶管理帳戶管理 帳戶管理審計用于確定用戶或組是在何時創(chuàng)建、更改或刪除的。此審計可用于確定何時

11、創(chuàng)建了安全主體，以及什么人執(zhí)行了該任務。 對象訪問對象訪問 可以用系統(tǒng)訪問控制列表 (SACL) 對基于 Windows 2000 的網(wǎng)絡中的所有對象啟用審計。SACL 包含一個將要審計其對對象進行的操作的用戶和組的列表。Windows 2000審計事件類別 目錄服務訪問目錄服務訪問Active Directory 對象具有與它們關聯(lián)的 SACL，因此也可以對它們進行審計。 特權使用特權使用 用戶在 IT 環(huán)境中工作時，他們就會行使所規(guī)定的用戶權限。如果您審計“特權使用”的成功和失敗，那么每次一個用戶嘗試行使用戶權限時都會生成一個事件。 Windows 2000審計事件類別 進程跟蹤進程跟蹤

12、如果您審計在基于 Windows 2000 的計算機上運行的進程的詳細跟蹤信息，那么事件日志將顯示創(chuàng)建進程和結束進程的嘗試。 系統(tǒng)事件系統(tǒng)事件 在一個用戶或進程改變計算機環(huán)境的某些方面時會生成系統(tǒng)事件。您可以審計對系統(tǒng)進行更改的嘗試，如關閉計算機或更改系統(tǒng)時間。 策略更改策略更改 審計策略應定義將審計對您的環(huán)境的哪些更改，它會有助于確定是否有攻擊您的環(huán)境的企圖。 Widows日志 應用程序日志應用程序日志 包含由應用程序或系統(tǒng)程序記錄的事件。如數(shù)據(jù)庫程序中的文件錯誤。 系統(tǒng)日志系統(tǒng)日志 包含 系統(tǒng)組件記錄的事件。如在啟動過程將加載的驅動程序或其他系統(tǒng)組件的失敗記錄 。 安全日志安全日志記錄安全

13、事件，如有效的和無效的登錄嘗試，以及與創(chuàng)建、打開或刪除文件等資源使用相關聯(lián)的事件。事件查看器 事件查看器 事件說明 日志事件選項配置 審核文件和文件夾訪問 WWW日志 FTP日志W(wǎng)idows審計內容 IIS日志審計 系統(tǒng)日志審計 安全日志審計 應用程序日志審計 注冊表審計 文件系統(tǒng)審計 系統(tǒng)服務審計 系統(tǒng)進程審計 系統(tǒng)帳號審計Windows基本安全措施 在人員配置上，應該對用戶進行分類，劃分不同的用戶等級。規(guī)定不同的用戶權限。 對資源進行區(qū)分，共享和不共享資源應該放置于不同的文件夾或路徑下，對共享資源再進行細分，劃分不同的共享級別，比如：只讀、安全控制，備份、等等。 給不同的用戶或用戶組分配不

14、同的帳號、口令、密碼。并且規(guī)定口令、密碼的有效期，對其進行動態(tài)的分配和修改，保證密碼的有效性。 Windows基本安全措施 為防止未經授權的訪問，可以利用安全審查功能，以便在事件查看器安全日志中記錄未經授權的訪問企圖，以便盡早發(fā)現(xiàn)安全漏洞 。 配合路由器和防火墻的使用，對一些IP地址進行過濾，可以在很大程度上防止其他用戶通過TCP/IP訪問你的服務器。 在Windows 上運行的Web服務器、FTP服務器、Mail服務器，I E等，應及時獲得其補丁程序包，以解決其安全問題。當然還有操作系統(tǒng)本身的升級。管理員須知 專人專機管理機要數(shù)據(jù)。 定期對各類用戶進行安全培訓。 服務器上只安裝NT。 服務器

15、上所有的卷全部使用NTFS。 使用最新的Service Pack升級你的NT。 設置服務器的BIOS，不允許從可移動的存儲設備(軟驅、光驅、ZIP、SCIS設備)啟動。 通過BIOS設置軟驅無效，并設置BIOS口令。 管理員須知 取消服務器上不用的服務和協(xié)議種類。 系統(tǒng)文件和用戶數(shù)據(jù)文件分別存儲在不同的卷上。 修改默認“Administrator”用戶名,加上“強口令”。 管理員賬號僅用于網(wǎng)絡管理，不要在任何客戶機上使用管理員賬號。 限制可以登錄到有敏感數(shù)據(jù)的服務器的用戶數(shù)。 管理員須知 限制Guest賬號的權限，最好不允許使用Guest賬號。 新增用戶時分配一個口令，并控制用戶“首次登錄必須更改口令”，最好進一步設置成口令的不低于8個字符，杜絕安全漏洞。 至少對用戶“登錄和注銷”網(wǎng)絡、“重新啟動、關機及系統(tǒng)”、“安全規(guī)則更改”活動進行審計 。 一般不直接給用戶賦權，而通過用戶組分配用戶權限。 管理員須知所有磁盤分區(qū)都是NTFS文件系統(tǒng)管理員帳戶有一個強口令禁止所有不必要的服務刪除或禁止所有不必要的賬號關閉所有不必要的共享目錄設置