網(wǎng)絡(luò)安全技術(shù)實(shí)踐教程（微課版）課件 第一章 windows平臺(tái)安全強(qiáng)化

第一章

掌握系統(tǒng)防御基石——Windows平臺(tái)安全強(qiáng)化《網(wǎng)絡(luò)安全技術(shù)實(shí)踐教程》思維導(dǎo)圖1任務(wù)1.1Windows系統(tǒng)端口管理2任務(wù)1.2

Windows系統(tǒng)安全設(shè)置3任務(wù)1.3

Windows系統(tǒng)進(jìn)程與服務(wù)管理4任務(wù)1.4

Windows賬戶安全5任務(wù)1.5注冊表安全及應(yīng)用目錄CONTENTS【任務(wù)描述】小林工程師在進(jìn)行系統(tǒng)排查時(shí)，注意到系統(tǒng)中存在若干默認(rèn)開啟的高危及非必需端口。為加固安全防線，他首先細(xì)致梳理了這些端口及其關(guān)聯(lián)服務(wù)，隨后與校園網(wǎng)絡(luò)管理員緊密協(xié)作，經(jīng)過一番細(xì)致的確認(rèn)，他決定采取行動(dòng)關(guān)閉這些潛在的風(fēng)險(xiǎn)端口。這一舉措將有效屏蔽惡意軟件的入侵途徑，提升系統(tǒng)的安全防護(hù)等級(jí)，確保網(wǎng)絡(luò)穩(wěn)健運(yùn)行。任務(wù)1.1Windows系統(tǒng)端口管理任務(wù)1.1Windows系統(tǒng)端口管理【知識(shí)準(zhǔn)備】

1.1.1端口的概念及作用端口是英文Port的意譯，是設(shè)備與外界通信的出入口。在互聯(lián)網(wǎng)上，各主機(jī)間通過TCP（TransmissionControlProtocol，傳輸控制協(xié)議）/IP（InternetProtocol，互聯(lián)網(wǎng)協(xié)議）發(fā)送和接收數(shù)據(jù)包，各個(gè)數(shù)據(jù)包根據(jù)其目的主機(jī)的IP地址來進(jìn)行互聯(lián)網(wǎng)絡(luò)中的路由選擇，最終順利地傳送到目的主機(jī)。目的主機(jī)支持多進(jìn)程同時(shí)運(yùn)行，那么目的主機(jī)接收到的數(shù)據(jù)包將傳送給眾多同時(shí)運(yùn)行的進(jìn)程中的哪一個(gè)呢？為解決此問題，端口機(jī)制便被引入。如果把計(jì)算機(jī)比作一間房屋，端口就是用于出入這間房屋的門。端口是通過端口號(hào)來標(biāo)識(shí)的，端口號(hào)只能使用整數(shù)，其范圍為0～65535。端口的主要作用是進(jìn)行網(wǎng)絡(luò)通信，不同的應(yīng)用程序可以通過不同的端口進(jìn)行數(shù)據(jù)傳輸和通信。任務(wù)1.1Windows系統(tǒng)端口管理【知識(shí)準(zhǔn)備】

1.1.2端口分類端口分類有助于實(shí)現(xiàn)資源的有效利用、服務(wù)的識(shí)別與標(biāo)準(zhǔn)化、安全策略的制定與實(shí)施，以及通信效率的提高與性能的優(yōu)化，下面介紹端口的常見分類。1．按端口號(hào)劃分（1）公認(rèn)端口端口號(hào)范圍：0～1023。示例：HTTP（80）、FTP（21）、SMTP（25）、RPC（135）等。（2）注冊端口端口號(hào)范圍：1024～49151。（3）動(dòng)態(tài)/私有端口端口號(hào)范圍：49152～65535。任務(wù)1.1Windows系統(tǒng)端口管理【知識(shí)準(zhǔn)備】

1.1.2端口分類2．按協(xié)議類型劃分（1）TCP端口協(xié)議：TCP。特點(diǎn)：面向連接，提供可靠的、雙向的數(shù)據(jù)傳輸服務(wù)，確保數(shù)據(jù)包的順序到達(dá)和無丟失。示例：FTP（21）、Telnet（23）、SMTP（25）、HTTP（80）等。（2）UDP端口協(xié)議：UDP（UserDatagramProtocol），用戶數(shù)據(jù)報(bào)協(xié)議。特點(diǎn)：無連接，提供快速、簡單但不保證可靠性的數(shù)據(jù)傳輸服務(wù)，適合用于對實(shí)時(shí)性和效率要求較高的場景。示例：DNS（53）、SNMP（161）、早期版本QQ的即時(shí)消息（8000）等。任務(wù)1.1Windows系統(tǒng)端口管理【知識(shí)準(zhǔn)備】

1.1.3端口與應(yīng)用程序端口與應(yīng)用程序之間存在緊密的關(guān)聯(lián)，共同構(gòu)成了網(wǎng)絡(luò)通信的基礎(chǔ)架構(gòu)。通過端口，應(yīng)用程序得以在網(wǎng)絡(luò)中被唯一標(biāo)識(shí)、尋址和訪問，同時(shí)實(shí)現(xiàn)了服務(wù)的標(biāo)準(zhǔn)化、并發(fā)處理以及系統(tǒng)的資源與安全管理。（1）標(biāo)識(shí)與尋址。端口號(hào)就像是應(yīng)用程序?qū)ν馔ㄐ诺摹伴T牌號(hào)”，每個(gè)應(yīng)用程序在計(jì)算機(jī)網(wǎng)絡(luò)中通過唯一的端口號(hào)被識(shí)別和定位。當(dāng)數(shù)據(jù)包在網(wǎng)絡(luò)中傳輸時(shí)，除了包含目的IP地址（相當(dāng)于“街道地址”）外，還攜帶了目的端口號(hào)（相當(dāng)于“門牌號(hào)”）。這樣，即使在同一臺(tái)計(jì)算機(jī)上運(yùn)行著多個(gè)網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)協(xié)議也能準(zhǔn)確地將數(shù)據(jù)包送達(dá)正確的應(yīng)用程序。（2）通信通道建立。在基于TCP或UDP的網(wǎng)絡(luò)通信中，應(yīng)用程序通過監(jiān)聽特定端口來等待并接收來自客戶端或其他服務(wù)器的連接請求。（3）服務(wù)標(biāo)準(zhǔn)化。不同類型的網(wǎng)絡(luò)服務(wù)通常使用特定的端口號(hào)，這是業(yè)界廣泛接受的標(biāo)準(zhǔn)。例如，HTTP服務(wù)使用端口號(hào)80，SMTP服務(wù)使用端口號(hào)25，F(xiàn)TP服務(wù)使用端口號(hào)21等。（4）多路復(fù)用與并發(fā)處理。同一臺(tái)計(jì)算機(jī)上的多個(gè)應(yīng)用程序可以各自綁定不同的端口，實(shí)現(xiàn)同時(shí)對外提供服務(wù)。（5）進(jìn)程關(guān)聯(lián)與管理。任務(wù)1.1Windows系統(tǒng)端口管理【任務(wù)實(shí)施】

1．使用PortListener監(jiān)聽端口（1）運(yùn)行虛擬機(jī)，在任務(wù)欄的“搜索”框中輸入“命令提示符”并按“Enter”鍵，在打開的“命令提示符”窗口中輸入命令“ipconfig”并執(zhí)行，查看到虛擬機(jī)的IP地址為“10”，如圖1-1所示。任務(wù)1.1Windows系統(tǒng)端口管理【任務(wù)實(shí)施】

（2）打開實(shí)訓(xùn)軟件“PortListener.exe”程序，在“Port”文本框中輸入“8000”，單擊“start”按鈕運(yùn)行監(jiān)聽程序，開始監(jiān)聽，如圖1-2所示。任務(wù)1.1Windows系統(tǒng)端口管理【任務(wù)實(shí)施】

（3）在宿主機(jī)上，在任務(wù)欄的“搜索”框中輸入“命令提示符”并按“Enter”鍵，在打開的“命令提示符”窗口中輸入命令“telnet108000”并執(zhí)行，連接成功后屏幕會(huì)顯示“Hello！”，隨意輸入一些字符，然后按“Enter”鍵，如圖1-3所示。任務(wù)1.1Windows系統(tǒng)端口管理【任務(wù)實(shí)施】

（4）在虛擬機(jī)上“portlistener”監(jiān)聽窗口的變化，可以看見之前在宿主機(jī)中輸入的字符被同步到虛擬機(jī)，如圖1-4所示。由此可見，端口在網(wǎng)絡(luò)通信中起到重要的作用，主機(jī)間通信的本質(zhì)是端到端通信任務(wù)1.1Windows系統(tǒng)端口管理【任務(wù)實(shí)施】

2．關(guān)閉不必要的端口（1）在任務(wù)欄的“搜索”框中輸入“WindowsDefender防火墻”并按“Enter”鍵，打開“WindowsDefender防火墻”窗口，如圖1-5所示。任務(wù)1.1Windows系統(tǒng)端口管理【任務(wù)實(shí)施】

（2）單擊窗口左側(cè)的“高級(jí)設(shè)置”，打開“高級(jí)安全WindowsDefender防火墻”窗口，如圖1-6所示。任務(wù)1.1Windows系統(tǒng)端口管理【任務(wù)實(shí)施】

（3）右擊“入站規(guī)則”，在彈出的菜單中選擇“新建規(guī)則”，彈出“新建入站規(guī)則向?qū)А睂υ捒?，在“要?jiǎng)?chuàng)建的規(guī)則類型”中選擇“端口”，單擊“下一步”按鈕，如圖1-7所示。任務(wù)1.1Windows系統(tǒng)端口管理【任務(wù)實(shí)施】

（4）在“此規(guī)則應(yīng)用于TCP還是UPD？”中選擇“TCP”，在“此規(guī)則應(yīng)用于所有本地端口還是特定的本地端口？”中選擇“特定本地端口”并在其右側(cè)文本框中輸入“135,137,445”，單擊“下一步”按鈕，如圖1-8所示。任務(wù)1.1Windows系統(tǒng)端口管理【任務(wù)實(shí)施】

（5）在“連接符合指定條件時(shí)應(yīng)該進(jìn)行什么操作？”中選擇“阻止連接”，單擊“下一步”按鈕，如圖1-9所示。任務(wù)1.1Windows系統(tǒng)端口管理【任務(wù)實(shí)施】

（7）給該入站規(guī)則命名。在“名稱”文本框中輸入文本“禁用端口135/137/445”，單擊“完成”按鈕，如圖1-11所示。任務(wù)1.1Windows系統(tǒng)端口管理【任務(wù)實(shí)施】

這樣，在“入站規(guī)則”中可以看到剛建立的入站規(guī)則“禁用端口135/137/445”，如圖1-12所示。1任務(wù)1.1Windows系統(tǒng)端口管理2任務(wù)1.2

Windows系統(tǒng)安全設(shè)置3任務(wù)1.3

Windows系統(tǒng)進(jìn)程與服務(wù)管理4任務(wù)1.4

Windows賬戶安全5任務(wù)1.5注冊表安全及應(yīng)用目錄CONTENTS任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)描述】

隨著學(xué)校信息化進(jìn)程的加速，內(nèi)部數(shù)據(jù)的重要性日益凸顯，這些數(shù)據(jù)包括師生信息、財(cái)務(wù)記錄及教科研信息等高度敏感數(shù)據(jù)。為了提升關(guān)鍵數(shù)據(jù)的安全性，小林建議對所有標(biāo)識(shí)為重要級(jí)別的數(shù)據(jù)實(shí)施NTFS（NewTechnologyFileSystem，新技術(shù)文件系統(tǒng)）加密操作；同時(shí)開啟關(guān)鍵系統(tǒng)全部審核策略的方案，特別強(qiáng)調(diào)對安全相關(guān)事件（如登錄活動(dòng)、權(quán)限修改以及未授權(quán)訪問）的詳細(xì)記錄，提高對安全事件的追蹤和響應(yīng)能力。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【知識(shí)準(zhǔn)備】

1.2.1NTFSNTFS是一種專為WindowsNT及更高版本操作系統(tǒng)設(shè)計(jì)的高級(jí)文件系統(tǒng)，相較于傳統(tǒng)的FAT32等文件系統(tǒng)，NTFS具備顯著的優(yōu)勢和特性，尤其是在安全性、可靠性、數(shù)據(jù)保護(hù)以及磁盤利用率等方面。在安全性方面，NTFS支持文件與文件夾加密、訪問權(quán)限控制及審計(jì)與日志等功能。NTFS支持EFS（EncryptingFileSystem，加密文件系統(tǒng)），允許對單個(gè)文件或整個(gè)文件夾進(jìn)行透明加密。用戶只需對需要保護(hù)的文件或文件夾啟用加密，之后相應(yīng)數(shù)據(jù)在硬盤上將以加密形式存儲(chǔ)，只有擁有相應(yīng)權(quán)限的用戶才能解密和訪問。這種加密機(jī)制極大地增強(qiáng)了數(shù)據(jù)的保密性，能有效防止未經(jīng)授權(quán)的訪問，無論是為了保護(hù)商業(yè)機(jī)密、保護(hù)個(gè)人隱私還是滿足遵從法規(guī)的需求，這種加密機(jī)制都能提供有力保障。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【知識(shí)準(zhǔn)備】

1.2.2日志日志作為Windows操作系統(tǒng)運(yùn)行情況的“忠實(shí)記錄者”，詳盡記載著系統(tǒng)運(yùn)行過程中的每一處細(xì)枝末節(jié)，對確保系統(tǒng)的穩(wěn)定運(yùn)行至關(guān)重要。通過深入探究服務(wù)器中的日志，管理員能夠迅速找到服務(wù)器故障的原因，并及時(shí)采取相應(yīng)的應(yīng)對措施。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【知識(shí)準(zhǔn)備】

1.2.3審核策略審核策略是信息安全框架中的關(guān)鍵組件，它定義了哪些系統(tǒng)活動(dòng)需要被記錄以及如何記錄這些系統(tǒng)活動(dòng)。一個(gè)設(shè)計(jì)良好的審核策略可以幫助組織檢測未經(jīng)授權(quán)的活動(dòng)、監(jiān)控政策合規(guī)性，以及在發(fā)生安全事件時(shí)提供調(diào)查線索。比較常用的審核策略如下。（1）審核登錄事件：記錄所有用戶的登錄（包括登錄成功與登錄失?。⒆N行為。這有助于識(shí)別未經(jīng)授權(quán)的訪問嘗試、異常登錄時(shí)間或地點(diǎn)，以及可能存在的賬戶共享等問題。（2）審核對象訪問：監(jiān)控用戶對特定對象（如文件、文件夾、注冊表項(xiàng)等）的訪問情況，包括讀取、寫入、修改、刪除等操作。這對于保護(hù)敏感數(shù)據(jù)、監(jiān)測權(quán)限濫用、及時(shí)發(fā)現(xiàn)潛在的數(shù)據(jù)泄露風(fēng)險(xiǎn)等至關(guān)重要。（3）審核系統(tǒng)事件：跟蹤涉及系統(tǒng)整體安全或穩(wěn)定性的事件，如計(jì)算機(jī)的啟動(dòng)、關(guān)機(jī)、重啟，系統(tǒng)權(quán)限更改、系統(tǒng)服務(wù)狀態(tài)變化，等等。這些信息有助于評估系統(tǒng)健康狀況，及時(shí)發(fā)現(xiàn)并應(yīng)對惡意攻擊或消除配置變更導(dǎo)致的安全隱患。（4）審核賬戶管理：任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

1．使用NTFS文件加密（1）打開“本地磁盤(C:)”，選擇要進(jìn)行加密的文件，這里以“C:\test\1.txt”為例。右擊該文件，在快捷菜單中選擇“屬性”按鈕，彈出“test屬性”對話框，在“1屬性”對話框的“常規(guī)”選項(xiàng)卡中單擊“高級(jí)”按鈕，在彈出的“高級(jí)屬性”對話框中勾選“加密內(nèi)容以便保護(hù)數(shù)據(jù)”，單擊“確定”按鈕，如圖1-13所示。在彈出的“加密警告”對話框中選擇“只加密文件”，如圖1-14所示。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

（2）新建用戶測試加密效果。在任務(wù)欄的“搜索”框中輸入“計(jì)算機(jī)管理”并按“Enter”鍵，打開“計(jì)算機(jī)管理”窗口，如圖1-15所示。（3）在“計(jì)算機(jī)管理”窗口中展開“本地用戶和組”，右擊“用戶”，在打開的快捷菜單中選擇“新用戶”，在彈出的“新用戶”對話框中，在“用戶名”文本框中輸入“test”，在“密碼”文本框中輸入密碼，在“確認(rèn)密碼”文本框中再次輸入密碼，將默認(rèn)勾選的“用戶下次登錄時(shí)須更改密碼”取消，然后單擊“創(chuàng)建”按鈕，如圖1-16所示。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

（4）單擊“關(guān)閉”按鈕關(guān)閉“新用戶”對話框，單擊“本地用戶和組”→“用戶”，查看新建用戶“test”，如圖1-17所示。（5）右擊“開始”菜單，在彈出菜單中選擇“關(guān)機(jī)或注銷”→“注銷”，然后使用新建用戶“test”登錄，如圖1-18所示。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

（6）打開“C:\test”目錄，雙擊“1.txt”，發(fā)現(xiàn)無法打開該文件，說明該文件已經(jīng)被加密，無法訪問，如圖1-19所示。（7）再次注銷并切換用戶，以原來加密文件的管理員賬戶“Administrator”登錄系統(tǒng)。單擊“開始”按鈕，在任務(wù)欄“搜索”框中輸入“mmc”并按“Enter”鍵，打開系統(tǒng)管理控制臺(tái)，即“控制臺(tái)1-[控制臺(tái)根節(jié)點(diǎn)]”窗口，如圖1-20所示。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

（8）單擊窗口左上角的“文件”，在打開的菜單中選擇“添加/刪除管理單元”，彈出“添加或刪除管理單元”對話框，如圖1-21所示。（9）在“可用的管理單元”中找到并選中“證書”，如圖

1-22

所示，單擊“添加”按鈕，確認(rèn)將證書添加到右側(cè)的“所選管理單元”，單擊“確定”按鈕。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

（10）在彈出的“證書管理單元”對話框中選擇“我的用戶賬戶”，單擊“完成”按鈕，如圖

1-23所示。（11）在“控制臺(tái)1-[控制臺(tái)根節(jié)點(diǎn)]”窗口中選擇“控制臺(tái)根節(jié)點(diǎn)”→“證書-當(dāng)前用戶”→“個(gè)人”→“證書”，打開“控制臺(tái)1-[控制臺(tái)根節(jié)點(diǎn)\證書-當(dāng)前用戶\個(gè)人\證書]”窗口，右擊“Administrator”，在彈出的快捷菜單中選擇“所有任務(wù)”→“導(dǎo)出”，如圖1-24所示，打開“證書導(dǎo)出向?qū)А睂υ捒?。任?wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

（12）在“證書導(dǎo)出向?qū)А睂υ捒蛑袉螕簟跋乱徊健卑粹o，如圖1-25所示。在“你想將私鑰跟證書一起導(dǎo)出嗎？”中選擇“是，導(dǎo)出私鑰”，然后單擊“下一步”按鈕，如圖1-26所示。（13）在“導(dǎo)出文件格式”中保留系統(tǒng)默認(rèn)設(shè)置，單擊“下一步”按鈕，如圖1-27所示。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

（14）在“安全”設(shè)置中，勾選“密碼”并設(shè)置保護(hù)私鑰的密碼，然后單擊“下一步”按鈕，如圖1-28所示，請牢記密碼，后面的操作需要用到。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

（15）設(shè)置要導(dǎo)出文件的文件名，單擊“瀏覽”按鈕，如圖1-29所示。在彈出的“另存為”對話框的“文件名”文本框中輸入文件名“testkey”，單擊“保存”按鈕，如圖1-30所示。返回圖1-29所示的對話框，直接單擊“下一步”按鈕。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

（16）確認(rèn)文件名、文件格式等信息無誤后，單擊“完成”按鈕，完成對證書的導(dǎo)出，如圖

1-31所示。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

（17）再次注銷并切換用戶，以“test”用戶登錄系統(tǒng)，如第（7）、（8）和（9）步所示打開系統(tǒng)管理控制臺(tái)并添加證書，會(huì)發(fā)現(xiàn)跟第（11）步不同的是窗口中間沒有證書，如圖1-32所示。右擊“個(gè)人”，在彈出的快捷菜單中選擇“所有任務(wù)”→“導(dǎo)入”，如圖1-33所示。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

（18）彈出“證書導(dǎo)入向?qū)А睂υ捒?，根?jù)提示完成證書的導(dǎo)入，單擊“下一步”按鈕，如圖1-34所示。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

（19）在“要導(dǎo)入的文件”中單擊“瀏覽”按鈕，如圖1-35所示。在“打開”窗口中瀏覽并找到需要導(dǎo)入的文件所在的目錄，一定要設(shè)置“文件類型”為“所有文件”(*.*)，否則文件顯示不完整，選擇“testkey”，然后單擊“打開”按鈕，如圖1-36所示。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

（20）在“為私鑰鍵入密碼。”中輸入第（14）步設(shè)置的密碼，然后單擊“下一步”按鈕，如圖1-37所示。（21）在“證書存儲(chǔ)”中，單擊“瀏覽”按鈕并在“選擇證書存儲(chǔ)”對話框中選擇“個(gè)人”，然后單擊“下一步”按鈕，如圖所示1-38所示。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

（22）在“正在完成證書導(dǎo)入向?qū)А敝锌煽吹阶C書的相關(guān)信息，單擊“完成”按鈕，如圖

1-39所示。（23）完成證書導(dǎo)入后，可以在控制臺(tái)中選擇“個(gè)人”→“證書”，查看頒發(fā)給“Administrator”的證書，如圖1-40所示。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

（24）再次打開C盤，雙擊加密文件中的文件“1.txt”，現(xiàn)在文件可以正常打開，如圖1-41所示。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

2．系統(tǒng)日志實(shí)訓(xùn)（1）在任務(wù)欄的“搜索”框中輸入“本地安全策略”并按“Enter”鍵，在打開的“本地安全策略”窗口中展開“本地策略”，單擊“審核策略”，如圖1-42所示。默認(rèn)情況下，很多策略的“安全設(shè)置”為“無審核”。為全面記錄系統(tǒng)運(yùn)行情況，我們需要調(diào)整“安全設(shè)置”，對所有操作進(jìn)行記錄。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

（2）雙擊“審核策略更改”策略，在彈出的“審核策略更改屬性”對話框中勾選“成功”和“失敗”，如圖1-43所示，然后單擊“確定”按鈕。（3）雙擊“審核登錄事件”策略，在彈出的“審核登錄事件屬性”對話框中勾選“成功”和“失敗”，如圖1-44所示，然后單擊“確定”按鈕。依次雙擊其他策略，執(zhí)行同樣的操作，審核所有“成功”“失敗”操作，最終結(jié)果如圖1-45所示。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

（4）在任務(wù)欄的“搜索”框中輸入“事件查看器”，并按“Enter”鍵打開“事件查看器”窗口，如圖1-46所示。任務(wù)1.2

Windows系統(tǒng)安全設(shè)置【任務(wù)實(shí)施】

（5）在“事件查看器”窗口中單擊“Windows日志”，可查看事件的名稱、類型、事件數(shù)及大小，如圖1-47所示。（6）展開“Windows日志”，單擊“應(yīng)用程序”，可查看全部事件及其詳細(xì)信息，如圖1-48所示。1任務(wù)1.1Windows系統(tǒng)端口管理2任務(wù)1.2

Windows系統(tǒng)安全設(shè)置3任務(wù)1.3

Windows系統(tǒng)進(jìn)程與服務(wù)管理4任務(wù)1.4

Windows賬戶安全5任務(wù)1.5注冊表安全及應(yīng)用目錄CONTENTS任務(wù)1.3Windows系統(tǒng)進(jìn)程與服務(wù)管理【任務(wù)描述】

小林在進(jìn)行系統(tǒng)進(jìn)程與服務(wù)檢查的過程中，發(fā)現(xiàn)系統(tǒng)中存在大量不必要的進(jìn)程與服務(wù)，且這些進(jìn)程與服務(wù)均被配置為自動(dòng)啟動(dòng)，可能存在安全風(fēng)險(xiǎn)。小林使用命令行工具對一些可疑的進(jìn)程與服務(wù)進(jìn)行詳盡審查，確認(rèn)其安全性。在完成對可疑進(jìn)程與服務(wù)的詳盡審查后，小林果斷采取了優(yōu)化措施，對于那些確認(rèn)不必要運(yùn)行、存在安全隱患的進(jìn)程與服務(wù)，將其自動(dòng)啟動(dòng)狀態(tài)調(diào)整為禁用狀態(tài)。任務(wù)1.3Windows系統(tǒng)進(jìn)程與服務(wù)管理【知識(shí)準(zhǔn)備】

1.3.1進(jìn)程的概念進(jìn)程是程序在特定數(shù)據(jù)集上的一次具體運(yùn)行活動(dòng)。當(dāng)用戶或操作系統(tǒng)啟動(dòng)一個(gè)程序時(shí)，操作系統(tǒng)會(huì)為其創(chuàng)建一個(gè)相應(yīng)的進(jìn)程，使程序從靜態(tài)的存儲(chǔ)狀態(tài)轉(zhuǎn)化為動(dòng)態(tài)的運(yùn)行狀態(tài)。在多任務(wù)操作系統(tǒng)中，進(jìn)程是實(shí)現(xiàn)并發(fā)執(zhí)行的基礎(chǔ)。盡管CPU（CentralProcessingUnit，中央處理器）在一個(gè)時(shí)間點(diǎn)只能執(zhí)行一條指令，但通過上下文切換技術(shù)，操作系統(tǒng)能夠在多個(gè)進(jìn)程之間快速切換，給用戶造成多個(gè)進(jìn)程“同時(shí)”運(yùn)行的假象。操作系統(tǒng)根據(jù)調(diào)度算法（如優(yōu)先級(jí)調(diào)度、時(shí)間片輪轉(zhuǎn)等）決定何時(shí)切換到下一個(gè)進(jìn)程繼續(xù)執(zhí)行。進(jìn)程具有明確的生命周期，包括創(chuàng)建、就緒、運(yùn)行、阻塞、終止等狀態(tài)。任務(wù)1.3Windows系統(tǒng)進(jìn)程與服務(wù)管理【知識(shí)準(zhǔn)備】

1.3.2進(jìn)程的分類通過任務(wù)管理器可以查看并管理系統(tǒng)目前所運(yùn)行的進(jìn)程，進(jìn)程主要包括以下幾種類型。1．系統(tǒng)進(jìn)程系統(tǒng)進(jìn)程是Windows系統(tǒng)運(yùn)行所需要的一些必備進(jìn)程，這些進(jìn)程一般是不能隨意結(jié)束的。一些關(guān)鍵的系統(tǒng)進(jìn)程列舉如下。explorer.exe：Windows資源管理器，負(fù)責(zé)顯示桌面、文件夾、任務(wù)欄等圖形界面元素。svchost.exe：用于托管Windows服務(wù)的一個(gè)程序，可以承載多個(gè)服務(wù)實(shí)例。services.exe：Windows服務(wù)控制器，負(fù)責(zé)啟動(dòng)、停止和交互系統(tǒng)服務(wù)。dwm.exe：負(fù)責(zé)管理并合成WindowsAero界面的視覺效果，包括透明度、窗口動(dòng)畫等。csrss.exe：客戶端服務(wù)器運(yùn)行時(shí)子系統(tǒng)，負(fù)責(zé)處理Windows的核心部分，如創(chuàng)建、刪除線程和進(jìn)程。lsass.exe：負(fù)責(zé)管理本地安全策略和登錄過程，包括生成安全令牌。wininit.exe：Windows初始化進(jìn)程，負(fù)責(zé)加載用戶配置文件和啟動(dòng)其他系統(tǒng)進(jìn)程。userinit.exe：負(fù)責(zé)在用戶登錄后執(zhí)行初始化腳本和啟動(dòng)用戶環(huán)境。smss.exe：負(fù)責(zé)用戶會(huì)話的創(chuàng)建和管理，是系統(tǒng)啟動(dòng)早期運(yùn)行的進(jìn)程之一。winlogon.exe：負(fù)責(zé)處理用戶的登錄和注銷操作，包括密碼驗(yàn)證和安全身份認(rèn)證。2．用戶進(jìn)程用戶進(jìn)程是由用戶開啟和執(zhí)行的程序，如每運(yùn)行一次IE便創(chuàng)建一個(gè)iexplorer.exe進(jìn)程。用戶進(jìn)程是可以隨時(shí)結(jié)束的，關(guān)閉程序之后，相應(yīng)的用戶進(jìn)程就會(huì)自動(dòng)結(jié)束。3．非法進(jìn)程任務(wù)1.3Windows系統(tǒng)進(jìn)程與服務(wù)管理【知識(shí)準(zhǔn)備】

1.3.3系統(tǒng)服務(wù)介紹系統(tǒng)服務(wù)是指操作系統(tǒng)中一組長期運(yùn)行且在后臺(tái)提供特定功能支持的程序或進(jìn)程，它們獨(dú)立于用戶交互，即使沒有用戶登錄或在交互式桌面環(huán)境下也能持續(xù)工作。系統(tǒng)服務(wù)對于操作系統(tǒng)正常運(yùn)行、支持各種應(yīng)用程序功能以及確保系統(tǒng)穩(wěn)定性至關(guān)重要。1.3.4常用的網(wǎng)絡(luò)服務(wù)1．DHCP服務(wù)DHCP（DynamicHostConfigurationProtocol，動(dòng)態(tài)主機(jī)配置協(xié)議）是一種網(wǎng)絡(luò)協(xié)議，用于自動(dòng)分配、管理和回收網(wǎng)絡(luò)中的IP地址以及其他相關(guān)網(wǎng)絡(luò)配置信息2．DNS服務(wù)DNS是一個(gè)分布式數(shù)據(jù)庫系統(tǒng)，其主要功能是將人類易于記憶的域名（如）轉(zhuǎn)換為計(jì)算機(jī)易于處理的IP地址（如）。3．FTP服務(wù)FTP（FileTransferProtocol，文件傳送協(xié)議）用于在網(wǎng)絡(luò)上實(shí)現(xiàn)可靠、高效的數(shù)據(jù)文件雙向傳輸。4．Telnet服務(wù)Telnet是一種遠(yuǎn)程登錄協(xié)議，允許用戶通過本地終端模擬遠(yuǎn)程主機(jī)的終端環(huán)境，直接在本地執(zhí)行遠(yuǎn)程主機(jī)上的命令和應(yīng)用程序。5．SMTP服務(wù)SMTP（SimpleMailTransferProtocol，簡單郵件傳送協(xié)議）是一種用于電子郵件傳輸?shù)膽?yīng)用層協(xié)議，規(guī)定了郵件從發(fā)送方到接收方的傳輸規(guī)則和格式。6．共享服務(wù)SMB（ServerMessageBlock，服務(wù)器信息塊）是一種網(wǎng)絡(luò)文件共享協(xié)議，允許網(wǎng)絡(luò)中的計(jì)算機(jī)共享文件、打印機(jī)、串行端口等資源。任務(wù)1.3Windows系統(tǒng)進(jìn)程與服務(wù)管理【任務(wù)實(shí)施】

1．進(jìn)程分析與管理（1）在任務(wù)欄的“搜索”框中輸入“命令提示符”并按“Enter”鍵，在打開的“命令提示符”窗口中輸入并執(zhí)行“netstat-ano”命令，查看所有端口的連接狀態(tài)，如圖1-49所示。任務(wù)1.3Windows系統(tǒng)進(jìn)程與服務(wù)管理【任務(wù)實(shí)施】

（2）在窗口中繼續(xù)執(zhí)行“netstat-nao|findstr"50383"”命令，查看端口50383的監(jiān)聽情況，找到50383端口對應(yīng)的進(jìn)程號(hào)為“11364”，如圖1-50所示。（3）在窗口中執(zhí)行“tasklist|findstr"11364"”命令，查看PID（ProcessIdentifier，進(jìn)程標(biāo)識(shí)符）11364對應(yīng)的應(yīng)用程序的名稱，從而采取進(jìn)一步措施，如圖1-51所示。（4）在窗口中執(zhí)行“wmicprocess|findstr"QQPCTray.exe"”命令，進(jìn)一步查找應(yīng)用程序的位置，如圖1-52所示。任務(wù)1.3Windows系統(tǒng)進(jìn)程與服務(wù)管理【任務(wù)實(shí)施】

2．服務(wù)管理（1）在任務(wù)欄的“搜索”框中輸入“服務(wù)”，并按“Enter”鍵打開“服務(wù)”窗口，如圖1-53所示。任務(wù)1.3Windows系統(tǒng)進(jìn)程與服務(wù)管理【任務(wù)實(shí)施】

（2）對不必要的服務(wù)進(jìn)行禁用和關(guān)閉。以“TCP/IPNetBIOSHelper”服務(wù)為例，右擊該服務(wù)，在彈出的快捷菜單中選擇“屬性”，在彈出的“TCP/IPNetBIOSHelper的屬性(本地計(jì)算機(jī))”對話框中，設(shè)置“啟動(dòng)類型”為“禁用”，在“服務(wù)狀態(tài)”下單擊“停止”按鈕，關(guān)閉該服務(wù)，如圖1-54所示。任務(wù)1.3Windows系統(tǒng)進(jìn)程與服務(wù)管理【任務(wù)實(shí)施】

3．使用WKToolsWKTools作為一款Windows內(nèi)核級(jí)輔助工具，主要用于查看和管理Windows系統(tǒng)的內(nèi)核狀態(tài)，它具有以下功能。（1）運(yùn)行工具，查看進(jìn)程，如圖1-55所示。它允許用戶查看系統(tǒng)中正在運(yùn)行的進(jìn)程，可查看進(jìn)程的詳細(xì)信息，并可以對進(jìn)程進(jìn)行終止、掛起等操作。任務(wù)1.3Windows系統(tǒng)進(jìn)程與服務(wù)管理【任務(wù)實(shí)施】

（2）查看當(dāng)前Windows系統(tǒng)的內(nèi)核狀態(tài)，包括當(dāng)前系統(tǒng)加載的核心模塊信息、系統(tǒng)資源占用情況等，如圖1-56所示。任務(wù)1.3Windows系統(tǒng)進(jìn)程與服務(wù)管理【任務(wù)實(shí)施】

（3）查看網(wǎng)絡(luò)連接狀態(tài)、監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包，如圖1-57所示。任務(wù)1.3Windows系統(tǒng)進(jìn)程與服務(wù)管理【任務(wù)實(shí)施】

（4）查看開機(jī)啟動(dòng)信息，如圖1-58所示。1任務(wù)1.1Windows系統(tǒng)端口管理2任務(wù)1.2

Windows系統(tǒng)安全設(shè)置3任務(wù)1.3

Windows系統(tǒng)進(jìn)程與服務(wù)管理4任務(wù)1.4

Windows賬戶安全5任務(wù)1.5注冊表安全及應(yīng)用目錄CONTENTS任務(wù)1.4Windows賬戶安全設(shè)置【任務(wù)描述】

小林在進(jìn)行操作系統(tǒng)安全檢查的過程中發(fā)現(xiàn)密碼策略、賬戶鎖定策略、本地策略設(shè)置存在安全隱患。為此，他決定參照安全基線，對這些關(guān)鍵策略進(jìn)行優(yōu)化，調(diào)整相關(guān)選項(xiàng)和參數(shù)，然后驗(yàn)證各項(xiàng)基礎(chǔ)配置項(xiàng)的有效性，以強(qiáng)化賬戶安全防線。任務(wù)1.4Windows賬戶安全設(shè)置【知識(shí)準(zhǔn)備】

1.4.1用戶管理文件在系統(tǒng)中，用戶賬戶的安全管理通過SAM（SecurityAccountsManager，安全賬戶管理器）機(jī)制來實(shí)現(xiàn)，用戶登錄名和口令經(jīng)過Hash加密變換后放在SAM文件中。一般情況下，“C:\WINDOWS\system32\config\sam”文件用于存放賬戶信息，當(dāng)用戶登錄系統(tǒng)時(shí)，首先要將用戶賬戶信息與SAM文件中存放的賬戶信息進(jìn)行對比，驗(yàn)證通過后方可登錄。任務(wù)1.4Windows賬戶安全設(shè)置【知識(shí)準(zhǔn)備】

1.4.2WindowsNT系統(tǒng)密碼存儲(chǔ)的基本原理為確保數(shù)據(jù)安全，WindowsNT對SAM文件采取了如下措施。（1）壓縮處理。系統(tǒng)在保存SAM文件前對其進(jìn)行壓縮，使得文件內(nèi)容對未經(jīng)處理的閱讀工具而言不可讀。（2）系統(tǒng)鎖定。在系統(tǒng)運(yùn)行期間，SAM文件被system賬戶鎖定，即使是管理員賬戶也無法直接打開。（3）ACL（AccessControlList，訪問控制列表）保護(hù)。SAM文件位于注冊表路徑HKLM\SAM\SAM下，受到嚴(yán)格的ACL保護(hù)。只有具備適當(dāng)權(quán)限的用戶或程序才能查看SAM文件中的內(nèi)容。（4）WindowsNT系統(tǒng)在SAM文件中采用了兩種加密機(jī)制，所以，在SAM文件中保存著兩個(gè)口令字，一個(gè)是LM版本的散列值，另一個(gè)是NTLM版本的散列值。任務(wù)1.4Windows賬戶安全設(shè)置【知識(shí)準(zhǔn)備】

1.4.3常見用戶組1．基本用戶組（1）Administrators：（2）BackupOperators：（3）Guests：（4）NetworkConfigurationOperators：（5）PowerUsers：（6）RemoteDesktopUsers：（7）Users：2．內(nèi)置特殊組（1）Everyone：所有用戶都屬于這個(gè)組。注意，如果Guest賬號(hào)被啟用，則給Everyone組指派權(quán)限時(shí)必須小心，因?yàn)楫?dāng)一個(gè)沒有賬戶的用戶連接計(jì)算機(jī)時(shí)，他被允許自動(dòng)利用Guest賬戶連接，但是因?yàn)镚uest賬戶也屬于Everyone組，所以他將具備Everyone組用戶所擁有的權(quán)限。（2）AuthenticatedUsers：任何利用有效的用戶賬戶進(jìn)行連接的用戶都屬于這個(gè)組。建議在設(shè)置權(quán)限時(shí)，盡量針對AuthenticatedUsers組進(jìn)行設(shè)置，而不要針對Everyone組進(jìn)行設(shè)置。（3）Interactive：任何在本地登錄的用戶都屬于這個(gè)組。（4）Network：任何通過網(wǎng)絡(luò)連接此計(jì)算機(jī)的用戶都屬于這個(gè)組。任務(wù)1.4Windows賬戶安全設(shè)置【任務(wù)實(shí)施】

1．賬戶安全防護(hù)（1）禁用Guest賬號(hào)。在任務(wù)欄的“搜索”框中搜索“計(jì)算機(jī)管理”并按“Enter”鍵，在打開的“計(jì)算機(jī)管理”窗口中單擊“系統(tǒng)工具”→“本地用戶和組”→“用戶”。在窗口右側(cè)找到“Guest”并右擊，在彈出的快捷菜單中選擇“屬性”，打開“Guest屬性”對話框，確保“賬戶已禁用”復(fù)選框是勾選的，然后單擊“確定”按鈕，如圖1-60所示。任務(wù)1.4Windows賬戶安全設(shè)置【任務(wù)實(shí)施】

（2）為管理員重命名。右擊“Administrator”用戶，在彈出的快捷菜單中選擇“重命名”，如圖1-61所示，將“Administrator”改成“administrator1”。任務(wù)1.4Windows賬戶安全設(shè)置【任務(wù)實(shí)施】

（3）創(chuàng)建陷阱賬號(hào)。將“Administrator”改為“administrator1”后，可以再創(chuàng)建一個(gè)新用戶，用戶名為“administrator”，設(shè)置復(fù)雜度較高的密碼，如圖1-62所示。（4）打開“本地安全策略”窗口，單擊“賬戶策略”→“密碼策略”，如圖1-63所示。任務(wù)1.4Windows賬戶安全設(shè)置【任務(wù)實(shí)施】

（5）雙擊“密碼必須符合復(fù)雜性要求”，在彈出的對話框中選擇“密碼必須符合復(fù)雜性要求”中的“已啟用”，單擊“確定”按鈕，如圖1-64所示。（6）雙擊“密碼長度最小值”，在彈出的對話框中把“密碼必須至少是”設(shè)置為“8”個(gè)字符，單擊“確定”按鈕，如圖1-65所示。任務(wù)1.4Windows賬戶安全設(shè)置【任務(wù)實(shí)施】

（7）在“本地安全策略”窗口中，單擊“賬戶策略”→“賬戶鎖定策略”，如圖1-66所示。任務(wù)1.4Windows賬戶安全設(shè)置【任務(wù)實(shí)施】

（8）雙擊“賬戶鎖定時(shí)間”，在彈出的對話框中把“賬戶鎖定時(shí)間”設(shè)置為“30”分鐘，如圖1-68所示。（9）雙擊“賬戶鎖定閾值”，在彈出的對話框中把“0”改為“3”，然后單擊“確定”按鈕，如圖1-67所示。任務(wù)1.4Windows賬戶安全設(shè)置【任務(wù)實(shí)施】

2．安全選項(xiàng)設(shè)置（1）在“本地安全策略”窗口中，單擊“本地策略”→“安全選項(xiàng)”，如圖1-69所示，調(diào)整部分安全選項(xiàng)的設(shè)置。任務(wù)1.4Windows賬戶安全設(shè)置【任務(wù)實(shí)施】

（2）Windows默認(rèn)設(shè)置為開機(jī)時(shí)自動(dòng)顯示上次登錄的用戶名，許多用戶也采用了這一設(shè)置。這對系統(tǒng)來說是很不安全的，攻擊者會(huì)從本地或TerminalService（終端服務(wù)）的登錄界面看到用戶名。雙擊“交互式登錄：不顯示上次登錄”，在彈出的對話框中勾選“已啟用”，然后單擊“確定”按鈕，如圖1-70所示。（3）為了便于遠(yuǎn)程用戶共享本地文件，Windows默認(rèn)設(shè)置為遠(yuǎn)程用戶可以通過空連接枚舉出所有本地賬戶名，這給了攻擊者可乘之機(jī)。要禁用匿名枚舉，雙擊“不允許枚舉SAM賬戶和共享的匿名枚舉”，如圖1-71所示。任務(wù)1.4Windows賬戶安全設(shè)置【任務(wù)實(shí)施】

3．使用Cain讀取SAM文件（1）在任務(wù)欄的“搜索”框中輸入“防火墻和網(wǎng)絡(luò)保護(hù)”并按“Enter”鍵，在打開的窗口中單擊“關(guān)閉”按鈕，使防火墻處于關(guān)閉狀態(tài)，如圖1-72所示。任務(wù)1.4Windows賬戶安全設(shè)置【任務(wù)實(shí)施】

（2）運(yùn)行Cain，如圖1-73所示，選擇“Cracker”→“LM&NTLMHashes”，在右側(cè)空白處右擊，在彈出的快捷菜單中選擇“Addtolist”。任務(wù)1.4Windows賬戶安全設(shè)置【任務(wù)實(shí)施】

（3）從本地系統(tǒng)導(dǎo)入HASH。在彈出的“AddNTHashesfrom”對話框中選中“ImportHashesformlocalsystem”，單擊“Next”按鈕，如圖1-74所示。任務(wù)1.4Windows賬戶安全設(shè)置【任務(wù)實(shí)施】

（4）導(dǎo)出全部本地用戶信息如圖1-75所示。1任務(wù)1.1Windows系統(tǒng)端口管理2任務(wù)1.2

Windows系統(tǒng)安全設(shè)置3任務(wù)1.3

Windows系統(tǒng)進(jìn)程與服務(wù)管理4任務(wù)1.4

Windows賬戶安全5任務(wù)1.5注冊表安全及應(yīng)用目錄CONTENTS任務(wù)1.5注冊表安全及應(yīng)用【任務(wù)描述】

在一次安全審計(jì)中，小林發(fā)現(xiàn)公司內(nèi)部某服務(wù)器的注冊表存在多處不當(dāng)配置，這直接違反了公司的信息安全基線政策，主要體現(xiàn)在權(quán)限分配不合理、缺失定期備份機(jī)制，以及若干鍵值設(shè)置可能成為安全漏洞的入口點(diǎn)等。鑒于此情況，小林迅速啟動(dòng)了一項(xiàng)系統(tǒng)加固任務(wù)，旨在全面優(yōu)化注冊表配置，消除已識(shí)別的安全隱患。任務(wù)1.5注冊表安全及應(yīng)用【知識(shí)準(zhǔn)備】

1.5.1注冊表的概念及作用注冊表是Windows中的一個(gè)重要的數(shù)據(jù)庫。注冊表中存放著各種參數(shù)，直接控制著系統(tǒng)的啟動(dòng)、硬件驅(qū)動(dòng)程序的裝載以及一些應(yīng)用程序的運(yùn)行，從而在整個(gè)系統(tǒng)中起著核心作用。例如，注冊表中存放著應(yīng)用程序和資源管理器外殼的初始條件、首選項(xiàng)和卸載數(shù)據(jù)等，聯(lián)網(wǎng)計(jì)算機(jī)的整個(gè)系統(tǒng)的設(shè)置和各種許可，文件擴(kuò)展名與應(yīng)用程序的關(guān)聯(lián)，硬件部件的描述、狀態(tài)和屬性，性能記錄和其他底層的系統(tǒng)狀態(tài)信息，以及其他數(shù)據(jù)，等等。任務(wù)1.5注冊表安全及應(yīng)用【知識(shí)準(zhǔn)備】

1.5.2注冊表根鍵介紹注冊表有五大根鍵，具體如下。（1）HKEY_CLASSES_ROOT：該根鍵包含啟動(dòng)應(yīng)用程序所需的全部信息，包括擴(kuò)展名、應(yīng)用程序與文檔之間的關(guān)系、驅(qū)動(dòng)程序、DDE（DynamicDataExchange，動(dòng)態(tài)數(shù)據(jù)交換）和OLE（ObjectLinkandEmbedding，對象鏈接與嵌入）信息、編號(hào)和應(yīng)用程序與文檔的圖標(biāo)等。（2）HKEY_CURRENT_USER：該根鍵包含當(dāng)前登錄用戶的配置信息，包括環(huán)境變量、個(gè)人程序以及桌面設(shè)置等。（3）HKEY_LOCAL_MACHINE：該根鍵包含本地計(jì)算機(jī)的系統(tǒng)信息，包括硬件和操作系統(tǒng)信息、安全數(shù)據(jù)和計(jì)算機(jī)專用的各類軟件設(shè)置信息。次根鍵中存放的是用來