WINDOWS網(wǎng)絡(luò)安全.ppt

Windows系統(tǒng)安全設(shè)置初步 一 系統(tǒng)的安裝 1 不要選擇從網(wǎng)絡(luò)上安裝 雖然微軟支持在線安裝 但這絕對不安全 在系統(tǒng)未全部安裝完之前不要連入網(wǎng)絡(luò) 特別是Internet 甚至不要把一切硬件都連接好來安裝 因?yàn)閃indows2000安裝時 在輸入用戶管理員賬號 Administrator 的密碼后 系統(tǒng)會建立一個 ADMIN 的共享賬號 但是并沒有用剛輸入的密碼來保護(hù)它 這種情況一直會持續(xù)到計(jì)算機(jī)再次啟動 在此期間 任何人都可以通過 ADMIN 進(jìn)入系統(tǒng) 同時 安裝完成 各種服務(wù)會馬上自動運(yùn)行 而這時的服務(wù)器還到處是漏洞 非常容易從外部侵入 2 要選擇NTFS格式來分區(qū) 最好所有的分區(qū)都是NTFS格式 因?yàn)镹TFS格式的分區(qū)在安全性方面更加有保障 就算其他分區(qū)采用別的格式 如FAT32 但至少系統(tǒng)所在的分區(qū)中應(yīng)是NTFS格式 另外 應(yīng)用程序不要和系統(tǒng)放在同一個分區(qū)中 以免攻擊者利用應(yīng)用程序的漏洞 如微軟的IIS的漏洞 導(dǎo)致系統(tǒng)文件的泄漏 甚至讓入侵者遠(yuǎn)程獲取管理員權(quán)限 3 系統(tǒng)版本的選擇 WIN2000有各種語言的版本 對于我們來說 可以選擇英文版或簡體中文版 我強(qiáng)烈建議 在語言不成為障礙的情況下 請一定使用英文版 要知道 微軟的產(chǎn)品是以Bug Patch而著稱的 中文版的Bug遠(yuǎn)遠(yuǎn)多于英文版 而補(bǔ)丁一般還會遲至少半個月 也就是說一般微軟公布了漏洞后你的機(jī)子還會有半個月處于無保護(hù)狀況 4 組件的定制 win2000在默認(rèn)情況下會安裝一些常用的組件 但是正是這個默認(rèn)安裝是很危險(xiǎn)的 你應(yīng)該確切的知道你需要哪些服務(wù) 而且僅僅安裝你確實(shí)需要的服務(wù) 根據(jù)安全原則 最少的服務(wù) 最小的權(quán)限 最大的安全 典型的WEB服務(wù)器需要的最小組件選擇是 只安裝IIS的ComFiles IISSnap In WWWServer組件 如果你確實(shí)需要安裝其他組件 請慎重 特別是 IndexingService FrontPage2000ServerExtensions InternetServiceManager HTML 這幾個危險(xiǎn)服務(wù) 5 分區(qū)和邏輯盤的分配 建議最少建立兩個分區(qū) 一個系統(tǒng)分區(qū) 一個應(yīng)用程序分區(qū) 這是因?yàn)?微軟的IIS經(jīng)常會有泄漏源碼 溢出的漏洞 如果把系統(tǒng)和IIS放在同一個驅(qū)動器會導(dǎo)致系統(tǒng)文件的泄漏甚至入侵者遠(yuǎn)程獲取ADMIN 推薦的安全配置是建立三個邏輯驅(qū)動器 第一個大于2G 用來裝系統(tǒng)和重要的日志文件 第二個放IIS 第三個放FTP 這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統(tǒng)目錄和系統(tǒng)文件 IIS和FTP是對外服務(wù)的 比較容易出問題 而把IIS和FTP分開主要是為了防止入侵者上程序并從IIS中運(yùn)行 這個可能會導(dǎo)致程序開發(fā)人員和編輯的苦惱 6 安裝殺毒軟件 殺毒軟件不僅能殺掉一些著名的病毒 還能查殺大量木馬和后門程序 因此一定要運(yùn)行殺毒程序并把它設(shè)為開機(jī)自動運(yùn)行 并注意經(jīng)常升級病毒庫 7 安裝防火墻 8 安裝系統(tǒng)補(bǔ)丁 到微軟網(wǎng)站下載最新的補(bǔ)丁程序 經(jīng)常訪問微軟和一些安全站點(diǎn) 下載最新的ServicePack和漏洞補(bǔ)丁 是保障服務(wù)器長久安全的惟一方法 9 安裝順序的選擇 首先 何時接入網(wǎng)絡(luò) Win2000在安裝時的ADMIN 的共享的漏洞 同時 只要安裝一完成 各種服務(wù)就會自動運(yùn)行 而這時的服務(wù)器是滿身漏洞 非常容易進(jìn)入的 因此 在完全安裝并配置好Win2000SERVER之前 一定不要把主機(jī)接入網(wǎng)絡(luò) 其次 補(bǔ)丁的安裝 補(bǔ)丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后因?yàn)檠a(bǔ)丁程序往往要替換 修改某些系統(tǒng)文件 如果先安裝補(bǔ)丁再安裝應(yīng)用程序有可能導(dǎo)致補(bǔ)丁不能起到應(yīng)有的效果 例如 IIS的HotFix就要求每次更改IIS的配置都需要安裝 二 系統(tǒng)的安全設(shè)置 1 用戶安全設(shè)置 1 禁用Guest賬號在計(jì)算機(jī)管理的用戶里面把Guest賬號禁用 為了保險(xiǎn)起見 最好給Guest加一個復(fù)雜的密碼 2 限制不必要的用戶去掉所有的DuplicateUser用戶 測試用戶 共享用戶等等 用戶組策略設(shè)置相應(yīng)權(quán)限 并且經(jīng)常檢查系統(tǒng)的用戶 刪除已經(jīng)不再使用的用戶 3 創(chuàng)建兩個管理員賬號創(chuàng)建一個一般權(quán)限用戶用來收信以及處理一些日常事物 另一個擁有Administrators權(quán)限的用戶只在需要的時候使用 4 把系統(tǒng)Administrator賬號改名大家都知道 Windows2000的Administrator用戶是不能被停用的 這意味著別人可以一遍又一遍地嘗試這個用戶的密碼 盡量把它偽裝成普通用戶 比如改成Guesycludx 5 創(chuàng)建一個陷阱用戶什么是陷阱用戶 即創(chuàng)建一個名為 Administrator 的本地用戶 把它的權(quán)限設(shè)置成最低 什么事也干不了 加上一個超過10位的超級復(fù)雜密碼 這樣可以讓想入侵的人慢慢忙一段時間 6 把共享文件的權(quán)限從Everyone組改成授權(quán)用戶不要把共享文件的用戶設(shè)置成 Everyone 組 包括打印共享 默認(rèn)的屬性就是 Everyone 組的 7 開啟用戶策略 不建議 使用用戶策略 分別設(shè)置復(fù)位用戶鎖定計(jì)數(shù)器時間為20分鐘 用戶鎖定時間為20分鐘 用戶鎖定閾值為3次 8 不讓系統(tǒng)顯示上次登錄的用戶名 可選 打開注冊表編輯器并找到注冊表項(xiàng)HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont DisplayLastUserName 把鍵值改成1 9 系統(tǒng)賬號 共享列表Win2000的默認(rèn)安裝允許任何用戶通過空用戶得到系統(tǒng)所有賬號 共享列表 這個本來是為了方便局域網(wǎng)用戶共享文件的 但是一個遠(yuǎn)程用戶也可以得到你的用戶列表并使用暴力法破解用戶密碼 可以通過更改注冊表Local Machine System CurrentControlSet Control LSA RestrictAnonymous 1來禁止139空連接 還可以在win2000的本地安全策略 如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略中 就有這樣的選項(xiàng)RestrictAnonymous 匿名連接的額外限制 這個選項(xiàng)有三個值 0 None Relyondefaultpermissions 無 取決于默認(rèn)的權(quán)限 1 DonotallowenumerationofSAMaccountsandshares 不允許枚舉SAM帳號和共享 2 Noaccesswithoutexplicitanonymouspermissions 沒有顯式匿名權(quán)限就不允許訪問 0這個值是系統(tǒng)默認(rèn)的 什么限制都沒有 遠(yuǎn)程用戶可以知道你機(jī)器上所有的賬號 組信息 共享目錄 網(wǎng)絡(luò)傳輸列表 NetServerTransportEnum等等 對服務(wù)器來說這樣的設(shè)置非常危險(xiǎn) 1這個值是只允許非NULL用戶存取SAM賬號信息和共享信息 2這個值是在win2000中才支持的 如果不想有任何共享 就設(shè)為2 一般推薦設(shè)為1 2 口令安全設(shè)置 1 使用安全密碼要注意密碼的復(fù)雜性 還要記住經(jīng)常改密碼 2 開啟密碼策略注意應(yīng)用密碼策略 如啟用密碼復(fù)雜性要求 設(shè)置密碼長度最小值為8位 設(shè)置強(qiáng)制密碼歷史為5次 時間為42天 3 系統(tǒng)安全設(shè)置 1 利用Windows2000的安全配置工具來配置安全策略 微軟提供了一套基于MMC 管理控制臺 安全配置和分析工具 利用它們你可以很方便地配置你的服務(wù)器以滿足你的要求 具體內(nèi)容請參考微軟主頁 具體內(nèi)容請參考微軟主頁 2 安全日志 Win2000的默認(rèn)安裝是不開任何安全審核的 可以到本地安全策略 審核策略中打開相應(yīng)的審核 推薦的審核是 賬戶管理成功失敗登錄事件成功失敗對象訪問失敗策略更改成功失敗特權(quán)使用失敗系統(tǒng)事件成功失敗目錄服務(wù)訪問失敗 賬戶登錄事件成功失敗 審核項(xiàng)目少的缺點(diǎn)是萬一你想看發(fā)現(xiàn)沒有記錄那就一點(diǎn)都沒轍 審核項(xiàng)目太多不僅會占用系統(tǒng)資源而且會導(dǎo)致你根本沒空去看 這樣就失去了審核的意義 與之相關(guān)的是 在賬戶策略 密碼策略中設(shè)定 密碼復(fù)雜性要求啟用密碼長度最小值8位強(qiáng)制密碼歷史5次最長存留期42天 在賬戶策略 賬戶鎖定策略中設(shè)定 賬戶鎖定5次錯誤登錄鎖定時間20分鐘復(fù)位鎖定計(jì)數(shù)20分鐘同樣 TerminalService的安全日志默認(rèn)也是不開的 我們可以在TerminalServiceConfigration 遠(yuǎn)程服務(wù)配置 權(quán)限 高級中配置安全審核 一般來說只要記錄登錄 注銷事件就可以了 3 目錄和文件權(quán)限 為了控制好服務(wù)器上用戶的權(quán)限 同時也為了預(yù)防以后可能的入侵和溢出 我們還必須非常小心地設(shè)置目錄和文件的訪問權(quán)限 NT的訪問權(quán)限分為 讀取 寫入 讀取及執(zhí)行 修改 列目錄 完全控制 在默認(rèn)的情況下 大多數(shù)的文件夾對所有用戶 Everyone這個組 是完全敞開的 FullControl 你需要根據(jù)應(yīng)用的需要進(jìn)行權(quán)限重設(shè) 在進(jìn)行權(quán)限控制時 請記住以下幾個原則 1 權(quán)限是累計(jì)的 如果一個用戶同時屬于兩個組 那么他就有了這兩個組所允許的所有權(quán)限 2 拒絕的權(quán)限要比允許的權(quán)限高 拒絕策略會先執(zhí)行 如果一個用戶屬于一個被拒絕訪問某個資源的組 那么不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限 他也一定不能訪問這個資源 所以請非常小心地使用拒絕 任何一個不當(dāng)?shù)木芙^都有可能造成系統(tǒng)無法正常運(yùn)行 3 文件權(quán)限比文件夾權(quán)限高4 利用用戶組來進(jìn)行權(quán)限控制是一個成熟的系統(tǒng)管理員必須具有的優(yōu)良習(xí)慣之一 5 僅給用戶真正需要的權(quán)限 權(quán)限的最小化原則是安全的重要保障 4 禁止建立空連接 IPC 默認(rèn)情況下 任何用戶都可通過空連接連上服務(wù)器 進(jìn)而枚舉出賬號 猜測密碼 我們可以通過修改注冊表來禁止建立空連接 即把 Local Machine System CurrentControlSet Control LSA RestrictAnonymous 的值改成 1 即可 如果使用 2 可能會造成你的一些服務(wù)無法啟動 如SQLServer 此外 安全和應(yīng)用在很多時候是矛盾的 因此 你需要在其中找到平衡點(diǎn) 如果安全原則妨礙了系統(tǒng)應(yīng)用 那么這個安全原則也不是一個好的原則 5 禁止管理共享HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services LanmanServer Parameters項(xiàng)對于服務(wù)器 添加鍵值 AutoShareServer 類型為 REG DWORD 值為 0 對于客戶機(jī) 添加鍵值 AutoShareWks 類型為 REG DWORD 值為 0 關(guān)閉server服務(wù) 6 還有一個就是139端口 139端口是NetBIOSSession端口 用來文件和打印共享 注意的是運(yùn)行samba的unix機(jī)器也開放了139端口 功能一樣 以前流光2000用來判斷對方主機(jī)類型不太準(zhǔn)確 估計(jì)就是139端口開放既認(rèn)為是NT機(jī) 現(xiàn)在好了 關(guān)閉139口聽方法是在 網(wǎng)絡(luò)和撥號連接 中 本地連接 中選取 Internet協(xié)議 TCP IP 屬性 進(jìn)入 高級TCP IP設(shè)置 WINS設(shè)置 里面有一項(xiàng) 禁用TCP IP的NETBIOS 打勾就關(guān)閉了139端口 可以在各項(xiàng)服務(wù)屬性設(shè)置中設(shè)為 禁用 7 使用組策略 IP策略8 防范SYN攻擊使用SYN淹沒攻擊保護(hù)相關(guān)的值項(xiàng)在HKLM SYSTEM CurrentControlSet Service Tcpip Parameters下 1 DWORD SynAttackProtect 定義了是否允許SYN淹沒攻擊保護(hù) 值1表示允許起用WIN2000的SYN淹沒攻擊保護(hù) 2 DWORD TcpMaxConnectResponseRetransmissions 定義了對于連接請求回應(yīng)包的重發(fā)次數(shù) 值為1 則SYN淹沒攻擊不會有效果 但是這樣會造成連接請求失敗幾率的增高 SYN淹沒攻擊保護(hù)只有在該值 2時才會被啟用 默認(rèn)值為3 上邊兩個值定義是否允許SYN淹沒攻擊保護(hù) 下面三個則定義了激活SYN淹沒攻擊保護(hù)的條件 滿足其中之一 則系統(tǒng)自動激活SYN淹沒攻擊保護(hù) 3 DWORD TcpMaxHalfOpen 定義能夠處于SYN RECEIVED狀態(tài)的TCP連接的數(shù)目 默認(rèn)值100 4 TcpMaxHalfOpenRetried 定義在重新發(fā)送連接請求后 仍然處于SYN RECEIVED狀態(tài)的TCP連接的數(shù)目 默認(rèn)值80 5 TcpMaxPortsExhausted 定義系統(tǒng)拒絕連接請求的次數(shù) 默認(rèn)值5 減小syn ack包的響應(yīng)時間 HKLM SYSTEM CurrentControlSet Services Tcpip Parameters TcpMaxConnectResponseRetransmissions定義了重發(fā)SYN ACK包的次數(shù) 增大NETBT的連接塊增加幅度和最大數(shù)器 NETBT使用139端口 HKLM SYSTEM CurrentControlSet Services NetBt Parameters BacklogIncrement默認(rèn)值為3 最大20 最小1 HKLM SYSTEM CurrentControlSet Services NetBt Parameters MaxConnBackLog默認(rèn)值為1000 最大可取40000 動態(tài)配置Backlog 相關(guān)的值項(xiàng)在HKLM SYSTEM CurrentControlSet Service AFD Parameters下1 DWORD EnableDynamicBacklog 定義是否允許動態(tài)Backlog 默認(rèn)為0 1為允許 2 DWORD MinimumDynamicBacklog 定義動態(tài)Backlog分配的未使用的自由連接的最小數(shù)目 默認(rèn)值為0 建議設(shè)為20 3 DWORD MaximumDynamicBacklog 定義最大 準(zhǔn) 連接數(shù)目 大小取決于內(nèi)存的大小 一般每32M最大可以增加5000個 4 DWORD DynamicBacklogGrowthDelta 定義每次增加的自由連接數(shù)目 建議設(shè)置為10 10 預(yù)防DoS 在注冊表HKLM SYSTEM CurrentControlSet Services Tcpip Parameters中更改以下值可以防御一定強(qiáng)度的DoS攻擊SynAttackProtectREG DWORD2EnablePMTUDiscoveryREG DWORD0NoNameReleaseOnDemandREG DWORD1EnableDeadGWDetectREG DWORD0KeepAliveTimeREG DWORD300 000PerformRouterDiscoveryREG DWORD0EnableICMPRedirectsREG DWORD0 11 防止ICMP重定向報(bào)文的攻擊HKLM SYSTEM CurrentControlSet Services Tcpip ParametersEnableICMPRedirectsREG DWORD0 x0 默認(rèn)值為0 x1 該參數(shù)控制Windows2000是否會改變其路由表以響應(yīng)網(wǎng)絡(luò)設(shè)備 如路由器 發(fā)送給它的ICMP重定向消息 有時會被利用來干壞事 Win2000中默認(rèn)值為1 表示響應(yīng)ICMP重定向報(bào)文 12 禁止響應(yīng)ICMP路由通告報(bào)文HKLM SYSTEM CurrentControlSet Services Tcpip Parameters Interfaces interfacePerformRouterDiscoveryREG DWORD0 x0 默認(rèn)值為0 x2 ICMP路由公告 功能可造成他人計(jì)算機(jī)的網(wǎng)絡(luò)連接異常 數(shù)據(jù)被竊聽 計(jì)算機(jī)被用于流量攻擊等嚴(yán)重后果 此問題曾導(dǎo)致校園網(wǎng)某些局域網(wǎng)大面積 長時間的網(wǎng)絡(luò)異常 建議關(guān)閉響應(yīng)ICMP路由通告報(bào)文 Win2000中默認(rèn)值為2 表示當(dāng)DHCP發(fā)送路由器發(fā)現(xiàn)選項(xiàng)時啟用 13 設(shè)置生存時間HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Tcpip ParametersDefaultTTLREG DWORD0 0 xff 0 255十進(jìn)制 默認(rèn)值128 指定傳出IP數(shù)據(jù)包中設(shè)置的默認(rèn)生存時間 TTL 值 TTL決定了IP數(shù)據(jù)包在到達(dá)目標(biāo)前在網(wǎng)絡(luò)中生存的最大時間 它實(shí)際上限定了IP數(shù)據(jù)包在丟棄前允許通過的路由器數(shù)量 有時利用此數(shù)值來探測遠(yuǎn)程主機(jī)操作系統(tǒng) 14 不支持IGMP協(xié)議HKLM SYSTEM CurrentControlSet Services Tcpip ParametersIGMPLevelREG DWORD0 x0 默認(rèn)值為0 x2 記得Win9x下有個bug 就是用可以用IGMP使別人藍(lán)屏 修改注冊表可以修正這個bug Win2000雖然沒這個bug了 但I(xiàn)GMP并不是必要的 因此照樣可以去掉 改成0后用routeprint將看不到那個討厭的224 0 0 0項(xiàng)了 15 設(shè)置arp緩存老化時間設(shè)置HKLM SYSTEM CurrentControlSet Services Tcpip ParametersArpCacheLifeREG DWORD0 0 xFFFFFFFF 秒數(shù) 默認(rèn)值為120秒 ArpCacheMinReferencedLifeREG DWORD0 0 xFFFFFFFF 秒數(shù) 默認(rèn)值為600 如果ArpCacheLife大于或等于ArpCacheMinReferencedLife 則引用或未引用的ARP緩存項(xiàng)在ArpCacheLife秒后到期 如果ArpCacheLife小于ArpCacheMinReferencedLife 未引用項(xiàng)在ArpCacheLife秒后到期 而引用項(xiàng)在ArpCacheMinReferencedLife秒后到期 每次將出站數(shù)據(jù)包發(fā)送到項(xiàng)的IP地址時 就會引用ARP緩存中的項(xiàng) 16 禁止死網(wǎng)關(guān)監(jiān)測技術(shù)HKLM SYSTEM CurrentControlSet Services Tcpip ParametersEnableDeadGWDetectREG DWORD0 x0 默認(rèn)值為ox1 如果你設(shè)置了多個網(wǎng)關(guān) 那么你的機(jī)器在處理多個連接有困難時 就會自動改用備份網(wǎng)關(guān) 有時候這并不是一項(xiàng)好主意 建議禁止死網(wǎng)關(guān)監(jiān)測 17 不支持路由功能HKLM SYSTEM CurrentControlSet Services Tcpip ParametersIPEnableRouterREG DWORD0 x0 默認(rèn)值為0 x0 把值設(shè)置為0 x1可以使Win2000具備路由功能 由此帶來不必要的問題 18 做NAT時放大轉(zhuǎn)換的對外端口最大值HKLM SYSTEM CurrentControlSet Services Tcpip ParametersMaxUserPortREG DWORD5000 65534 十進(jìn)制 默認(rèn)值0 x1388 十進(jìn)制為5000 當(dāng)應(yīng)用程序從系統(tǒng)請求可用的用戶端口數(shù)時 該參數(shù)控制所使用的最大端口數(shù) 正常情況下 短期端口的分配數(shù)量為1024 5000 將該參數(shù)設(shè)置到有效范圍以外時 就會使用最接近的有效數(shù)值 5000或65534 使用NAT時建議把值放大點(diǎn) 19 修改MAC地址HKLM SYSTEM CurrentControlSet Control Class 找到右窗口的說明為 網(wǎng)卡 的目錄 比如說是 4D36E972 E325 11CE BFC1 08002BE10318 展開之 在其下0000 0001 0002 的分支中找到 DriverDesc 的鍵值為你網(wǎng)卡的說明 比如說 DriverDesc 的值為 Intel R 82559FastEthernetLANonMotherboard 然后在右窗口新建一字符串值 名字為 Networkaddress 內(nèi)容為你想要的MAC值 比如說是 004040404040 然后重起計(jì)算機(jī) ipconfig all查看 20 禁止光盤的自動運(yùn)行功能Windows2000的光盤的自動運(yùn)行功能也是系統(tǒng)安全的隱患 光盤中只要存在autorun inf文件 則系統(tǒng)會自動試圖執(zhí)行文件中 open 字段后的文件路徑 市場上已經(jīng)出現(xiàn)了破解屏保密碼的光盤 如果不禁止光盤的自動運(yùn)行功能 以上所做的設(shè)置都將是白費(fèi) 步驟為 展開HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies Explorer子鍵分支 在Explorer主鍵中新建DWORD值NoDriveTypeAutoRun 改值為1 21 禁止使用MS DOS方式采用上述方法隱藏某個磁盤分區(qū)的作用僅限于圖形界面 但在字符界面如MS DOS方式無效 因此我們必須采用適當(dāng)?shù)姆椒ń蛊胀ㄓ脩羰褂肕S DOS方式 方法為 展開HKLU SOFTWARE Policies Microsoft Windows system分支 新建一個名為DisableCMD的DWORD值 改值為1 這項(xiàng)用于禁止用戶進(jìn)入Windows2000的MS DOS方式 值為2則批處理文件也不能運(yùn)行 23 只允許運(yùn)行指定的程序24 禁止使用注冊表編輯器HKCU Software Microsoft Windows CurrentVersion policies System下DWORD DisableRegistryTools 值為1則禁用注冊表編輯器 注意 使用此功能最好作個注冊表備份 或者準(zhǔn)備一個其他的注冊表修改工具 因?yàn)榻沽俗员砭庉嬈饕院?就不能再用該注冊表編輯器將值項(xiàng)改回來了 22 禁止使用任何程序 對于前邊設(shè)置的陷阱用戶 不允許運(yùn)行任何程序 方