網絡安全技術實踐教程（微課版）課件 第一章 windows平臺安全強化

第一章

掌握系統(tǒng)防御基石——Windows平臺安全強化《網絡安全技術實踐教程》思維導圖1任務1.1Windows系統(tǒng)端口管理2任務1.2

Windows系統(tǒng)安全設置3任務1.3

Windows系統(tǒng)進程與服務管理4任務1.4

Windows賬戶安全5任務1.5注冊表安全及應用目錄CONTENTS【任務描述】小林工程師在進行系統(tǒng)排查時，注意到系統(tǒng)中存在若干默認開啟的高危及非必需端口。為加固安全防線，他首先細致梳理了這些端口及其關聯(lián)服務，隨后與校園網絡管理員緊密協(xié)作，經過一番細致的確認，他決定采取行動關閉這些潛在的風險端口。這一舉措將有效屏蔽惡意軟件的入侵途徑，提升系統(tǒng)的安全防護等級，確保網絡穩(wěn)健運行。任務1.1Windows系統(tǒng)端口管理任務1.1Windows系統(tǒng)端口管理【知識準備】

1.1.1端口的概念及作用端口是英文Port的意譯，是設備與外界通信的出入口。在互聯(lián)網上，各主機間通過TCP（TransmissionControlProtocol，傳輸控制協(xié)議）/IP（InternetProtocol，互聯(lián)網協(xié)議）發(fā)送和接收數(shù)據(jù)包，各個數(shù)據(jù)包根據(jù)其目的主機的IP地址來進行互聯(lián)網絡中的路由選擇，最終順利地傳送到目的主機。目的主機支持多進程同時運行，那么目的主機接收到的數(shù)據(jù)包將傳送給眾多同時運行的進程中的哪一個呢？為解決此問題，端口機制便被引入。如果把計算機比作一間房屋，端口就是用于出入這間房屋的門。端口是通過端口號來標識的，端口號只能使用整數(shù)，其范圍為0～65535。端口的主要作用是進行網絡通信，不同的應用程序可以通過不同的端口進行數(shù)據(jù)傳輸和通信。任務1.1Windows系統(tǒng)端口管理【知識準備】

1.1.2端口分類端口分類有助于實現(xiàn)資源的有效利用、服務的識別與標準化、安全策略的制定與實施，以及通信效率的提高與性能的優(yōu)化，下面介紹端口的常見分類。1．按端口號劃分（1）公認端口端口號范圍：0～1023。示例：HTTP（80）、FTP（21）、SMTP（25）、RPC（135）等。（2）注冊端口端口號范圍：1024～49151。（3）動態(tài)/私有端口端口號范圍：49152～65535。任務1.1Windows系統(tǒng)端口管理【知識準備】

1.1.2端口分類2．按協(xié)議類型劃分（1）TCP端口協(xié)議：TCP。特點：面向連接，提供可靠的、雙向的數(shù)據(jù)傳輸服務，確保數(shù)據(jù)包的順序到達和無丟失。示例：FTP（21）、Telnet（23）、SMTP（25）、HTTP（80）等。（2）UDP端口協(xié)議：UDP（UserDatagramProtocol），用戶數(shù)據(jù)報協(xié)議。特點：無連接，提供快速、簡單但不保證可靠性的數(shù)據(jù)傳輸服務，適合用于對實時性和效率要求較高的場景。示例：DNS（53）、SNMP（161）、早期版本QQ的即時消息（8000）等。任務1.1Windows系統(tǒng)端口管理【知識準備】

1.1.3端口與應用程序端口與應用程序之間存在緊密的關聯(lián)，共同構成了網絡通信的基礎架構。通過端口，應用程序得以在網絡中被唯一標識、尋址和訪問，同時實現(xiàn)了服務的標準化、并發(fā)處理以及系統(tǒng)的資源與安全管理。（1）標識與尋址。端口號就像是應用程序對外通信的“門牌號”，每個應用程序在計算機網絡中通過唯一的端口號被識別和定位。當數(shù)據(jù)包在網絡中傳輸時，除了包含目的IP地址（相當于“街道地址”）外，還攜帶了目的端口號（相當于“門牌號”）。這樣，即使在同一臺計算機上運行著多個網絡服務，網絡協(xié)議也能準確地將數(shù)據(jù)包送達正確的應用程序。（2）通信通道建立。在基于TCP或UDP的網絡通信中，應用程序通過監(jiān)聽特定端口來等待并接收來自客戶端或其他服務器的連接請求。（3）服務標準化。不同類型的網絡服務通常使用特定的端口號，這是業(yè)界廣泛接受的標準。例如，HTTP服務使用端口號80，SMTP服務使用端口號25，F(xiàn)TP服務使用端口號21等。（4）多路復用與并發(fā)處理。同一臺計算機上的多個應用程序可以各自綁定不同的端口，實現(xiàn)同時對外提供服務。（5）進程關聯(lián)與管理。任務1.1Windows系統(tǒng)端口管理【任務實施】

1．使用PortListener監(jiān)聽端口（1）運行虛擬機，在任務欄的“搜索”框中輸入“命令提示符”并按“Enter”鍵，在打開的“命令提示符”窗口中輸入命令“ipconfig”并執(zhí)行，查看到虛擬機的IP地址為“10”，如圖1-1所示。任務1.1Windows系統(tǒng)端口管理【任務實施】

（2）打開實訓軟件“PortListener.exe”程序，在“Port”文本框中輸入“8000”，單擊“start”按鈕運行監(jiān)聽程序，開始監(jiān)聽，如圖1-2所示。任務1.1Windows系統(tǒng)端口管理【任務實施】

（3）在宿主機上，在任務欄的“搜索”框中輸入“命令提示符”并按“Enter”鍵，在打開的“命令提示符”窗口中輸入命令“telnet108000”并執(zhí)行，連接成功后屏幕會顯示“Hello！”，隨意輸入一些字符，然后按“Enter”鍵，如圖1-3所示。任務1.1Windows系統(tǒng)端口管理【任務實施】

（4）在虛擬機上“portlistener”監(jiān)聽窗口的變化，可以看見之前在宿主機中輸入的字符被同步到虛擬機，如圖1-4所示。由此可見，端口在網絡通信中起到重要的作用，主機間通信的本質是端到端通信任務1.1Windows系統(tǒng)端口管理【任務實施】

2．關閉不必要的端口（1）在任務欄的“搜索”框中輸入“WindowsDefender防火墻”并按“Enter”鍵，打開“WindowsDefender防火墻”窗口，如圖1-5所示。任務1.1Windows系統(tǒng)端口管理【任務實施】

（2）單擊窗口左側的“高級設置”，打開“高級安全WindowsDefender防火墻”窗口，如圖1-6所示。任務1.1Windows系統(tǒng)端口管理【任務實施】

（3）右擊“入站規(guī)則”，在彈出的菜單中選擇“新建規(guī)則”，彈出“新建入站規(guī)則向導”對話框，在“要創(chuàng)建的規(guī)則類型”中選擇“端口”，單擊“下一步”按鈕，如圖1-7所示。任務1.1Windows系統(tǒng)端口管理【任務實施】

（4）在“此規(guī)則應用于TCP還是UPD？”中選擇“TCP”，在“此規(guī)則應用于所有本地端口還是特定的本地端口？”中選擇“特定本地端口”并在其右側文本框中輸入“135,137,445”，單擊“下一步”按鈕，如圖1-8所示。任務1.1Windows系統(tǒng)端口管理【任務實施】

（5）在“連接符合指定條件時應該進行什么操作？”中選擇“阻止連接”，單擊“下一步”按鈕，如圖1-9所示。任務1.1Windows系統(tǒng)端口管理【任務實施】

（7）給該入站規(guī)則命名。在“名稱”文本框中輸入文本“禁用端口135/137/445”，單擊“完成”按鈕，如圖1-11所示。任務1.1Windows系統(tǒng)端口管理【任務實施】

這樣，在“入站規(guī)則”中可以看到剛建立的入站規(guī)則“禁用端口135/137/445”，如圖1-12所示。1任務1.1Windows系統(tǒng)端口管理2任務1.2

Windows系統(tǒng)安全設置3任務1.3

Windows系統(tǒng)進程與服務管理4任務1.4

Windows賬戶安全5任務1.5注冊表安全及應用目錄CONTENTS任務1.2

Windows系統(tǒng)安全設置【任務描述】

隨著學校信息化進程的加速，內部數(shù)據(jù)的重要性日益凸顯，這些數(shù)據(jù)包括師生信息、財務記錄及教科研信息等高度敏感數(shù)據(jù)。為了提升關鍵數(shù)據(jù)的安全性，小林建議對所有標識為重要級別的數(shù)據(jù)實施NTFS（NewTechnologyFileSystem，新技術文件系統(tǒng)）加密操作；同時開啟關鍵系統(tǒng)全部審核策略的方案，特別強調對安全相關事件（如登錄活動、權限修改以及未授權訪問）的詳細記錄，提高對安全事件的追蹤和響應能力。任務1.2

Windows系統(tǒng)安全設置【知識準備】

1.2.1NTFSNTFS是一種專為WindowsNT及更高版本操作系統(tǒng)設計的高級文件系統(tǒng)，相較于傳統(tǒng)的FAT32等文件系統(tǒng)，NTFS具備顯著的優(yōu)勢和特性，尤其是在安全性、可靠性、數(shù)據(jù)保護以及磁盤利用率等方面。在安全性方面，NTFS支持文件與文件夾加密、訪問權限控制及審計與日志等功能。NTFS支持EFS（EncryptingFileSystem，加密文件系統(tǒng)），允許對單個文件或整個文件夾進行透明加密。用戶只需對需要保護的文件或文件夾啟用加密，之后相應數(shù)據(jù)在硬盤上將以加密形式存儲，只有擁有相應權限的用戶才能解密和訪問。這種加密機制極大地增強了數(shù)據(jù)的保密性，能有效防止未經授權的訪問，無論是為了保護商業(yè)機密、保護個人隱私還是滿足遵從法規(guī)的需求，這種加密機制都能提供有力保障。任務1.2

Windows系統(tǒng)安全設置【知識準備】

1.2.2日志日志作為Windows操作系統(tǒng)運行情況的“忠實記錄者”，詳盡記載著系統(tǒng)運行過程中的每一處細枝末節(jié)，對確保系統(tǒng)的穩(wěn)定運行至關重要。通過深入探究服務器中的日志，管理員能夠迅速找到服務器故障的原因，并及時采取相應的應對措施。任務1.2

Windows系統(tǒng)安全設置【知識準備】

1.2.3審核策略審核策略是信息安全框架中的關鍵組件，它定義了哪些系統(tǒng)活動需要被記錄以及如何記錄這些系統(tǒng)活動。一個設計良好的審核策略可以幫助組織檢測未經授權的活動、監(jiān)控政策合規(guī)性，以及在發(fā)生安全事件時提供調查線索。比較常用的審核策略如下。（1）審核登錄事件：記錄所有用戶的登錄（包括登錄成功與登錄失?。⒆N行為。這有助于識別未經授權的訪問嘗試、異常登錄時間或地點，以及可能存在的賬戶共享等問題。（2）審核對象訪問：監(jiān)控用戶對特定對象（如文件、文件夾、注冊表項等）的訪問情況，包括讀取、寫入、修改、刪除等操作。這對于保護敏感數(shù)據(jù)、監(jiān)測權限濫用、及時發(fā)現(xiàn)潛在的數(shù)據(jù)泄露風險等至關重要。（3）審核系統(tǒng)事件：跟蹤涉及系統(tǒng)整體安全或穩(wěn)定性的事件，如計算機的啟動、關機、重啟，系統(tǒng)權限更改、系統(tǒng)服務狀態(tài)變化，等等。這些信息有助于評估系統(tǒng)健康狀況，及時發(fā)現(xiàn)并應對惡意攻擊或消除配置變更導致的安全隱患。（4）審核賬戶管理：任務1.2

Windows系統(tǒng)安全設置【任務實施】

1．使用NTFS文件加密（1）打開“本地磁盤(C:)”，選擇要進行加密的文件，這里以“C:\test\1.txt”為例。右擊該文件，在快捷菜單中選擇“屬性”按鈕，彈出“test屬性”對話框，在“1屬性”對話框的“常規(guī)”選項卡中單擊“高級”按鈕，在彈出的“高級屬性”對話框中勾選“加密內容以便保護數(shù)據(jù)”，單擊“確定”按鈕，如圖1-13所示。在彈出的“加密警告”對話框中選擇“只加密文件”，如圖1-14所示。任務1.2

Windows系統(tǒng)安全設置【任務實施】

（2）新建用戶測試加密效果。在任務欄的“搜索”框中輸入“計算機管理”并按“Enter”鍵，打開“計算機管理”窗口，如圖1-15所示。（3）在“計算機管理”窗口中展開“本地用戶和組”，右擊“用戶”，在打開的快捷菜單中選擇“新用戶”，在彈出的“新用戶”對話框中，在“用戶名”文本框中輸入“test”，在“密碼”文本框中輸入密碼，在“確認密碼”文本框中再次輸入密碼，將默認勾選的“用戶下次登錄時須更改密碼”取消，然后單擊“創(chuàng)建”按鈕，如圖1-16所示。任務1.2

Windows系統(tǒng)安全設置【任務實施】

（4）單擊“關閉”按鈕關閉“新用戶”對話框，單擊“本地用戶和組”→“用戶”，查看新建用戶“test”，如圖1-17所示。（5）右擊“開始”菜單，在彈出菜單中選擇“關機或注銷”→“注銷”，然后使用新建用戶“test”登錄，如圖1-18所示。任務1.2

Windows系統(tǒng)安全設置【任務實施】

（6）打開“C:\test”目錄，雙擊“1.txt”，發(fā)現(xiàn)無法打開該文件，說明該文件已經被加密，無法訪問，如圖1-19所示。（7）再次注銷并切換用戶，以原來加密文件的管理員賬戶“Administrator”登錄系統(tǒng)。單擊“開始”按鈕，在任務欄“搜索”框中輸入“mmc”并按“Enter”鍵，打開系統(tǒng)管理控制臺，即“控制臺1-[控制臺根節(jié)點]”窗口，如圖1-20所示。任務1.2

Windows系統(tǒng)安全設置【任務實施】

（8）單擊窗口左上角的“文件”，在打開的菜單中選擇“添加/刪除管理單元”，彈出“添加或刪除管理單元”對話框，如圖1-21所示。（9）在“可用的管理單元”中找到并選中“證書”，如圖

1-22

所示，單擊“添加”按鈕，確認將證書添加到右側的“所選管理單元”，單擊“確定”按鈕。任務1.2

Windows系統(tǒng)安全設置【任務實施】

（10）在彈出的“證書管理單元”對話框中選擇“我的用戶賬戶”，單擊“完成”按鈕，如圖

1-23所示。（11）在“控制臺1-[控制臺根節(jié)點]”窗口中選擇“控制臺根節(jié)點”→“證書-當前用戶”→“個人”→“證書”，打開“控制臺1-[控制臺根節(jié)點\證書-當前用戶\個人\證書]”窗口，右擊“Administrator”，在彈出的快捷菜單中選擇“所有任務”→“導出”，如圖1-24所示，打開“證書導出向導”對話框。任務1.2

Windows系統(tǒng)安全設置【任務實施】

（12）在“證書導出向導”對話框中單擊“下一步”按鈕，如圖1-25所示。在“你想將私鑰跟證書一起導出嗎？”中選擇“是，導出私鑰”，然后單擊“下一步”按鈕，如圖1-26所示。（13）在“導出文件格式”中保留系統(tǒng)默認設置，單擊“下一步”按鈕，如圖1-27所示。任務1.2

Windows系統(tǒng)安全設置【任務實施】

（14）在“安全”設置中，勾選“密碼”并設置保護私鑰的密碼，然后單擊“下一步”按鈕，如圖1-28所示，請牢記密碼，后面的操作需要用到。任務1.2

Windows系統(tǒng)安全設置【任務實施】

（15）設置要導出文件的文件名，單擊“瀏覽”按鈕，如圖1-29所示。在彈出的“另存為”對話框的“文件名”文本框中輸入文件名“testkey”，單擊“保存”按鈕，如圖1-30所示。返回圖1-29所示的對話框，直接單擊“下一步”按鈕。任務1.2

Windows系統(tǒng)安全設置【任務實施】

（16）確認文件名、文件格式等信息無誤后，單擊“完成”按鈕，完成對證書的導出，如圖

1-31所示。任務1.2

Windows系統(tǒng)安全設置【任務實施】

（17）再次注銷并切換用戶，以“test”用戶登錄系統(tǒng)，如第（7）、（8）和（9）步所示打開系統(tǒng)管理控制臺并添加證書，會發(fā)現(xiàn)跟第（11）步不同的是窗口中間沒有證書，如圖1-32所示。右擊“個人”，在彈出的快捷菜單中選擇“所有任務”→“導入”，如圖1-33所示。任務1.2

Windows系統(tǒng)安全設置【任務實施】

（18）彈出“證書導入向導”對話框，根據(jù)提示完成證書的導入，單擊“下一步”按鈕，如圖1-34所示。任務1.2

Windows系統(tǒng)安全設置【任務實施】

（19）在“要導入的文件”中單擊“瀏覽”按鈕，如圖1-35所示。在“打開”窗口中瀏覽并找到需要導入的文件所在的目錄，一定要設置“文件類型”為“所有文件”(*.*)，否則文件顯示不完整，選擇“testkey”，然后單擊“打開”按鈕，如圖1-36所示。任務1.2

Windows系統(tǒng)安全設置【任務實施】

（20）在“為私鑰鍵入密碼。”中輸入第（14）步設置的密碼，然后單擊“下一步”按鈕，如圖1-37所示。（21）在“證書存儲”中，單擊“瀏覽”按鈕并在“選擇證書存儲”對話框中選擇“個人”，然后單擊“下一步”按鈕，如圖所示1-38所示。任務1.2

Windows系統(tǒng)安全設置【任務實施】

（22）在“正在完成證書導入向導”中可看到證書的相關信息，單擊“完成”按鈕，如圖

1-39所示。（23）完成證書導入后，可以在控制臺中選擇“個人”→“證書”，查看頒發(fā)給“Administrator”的證書，如圖1-40所示。任務1.2

Windows系統(tǒng)安全設置【任務實施】

（24）再次打開C盤，雙擊加密文件中的文件“1.txt”，現(xiàn)在文件可以正常打開，如圖1-41所示。任務1.2

Windows系統(tǒng)安全設置【任務實施】

2．系統(tǒng)日志實訓（1）在任務欄的“搜索”框中輸入“本地安全策略”并按“Enter”鍵，在打開的“本地安全策略”窗口中展開“本地策略”，單擊“審核策略”，如圖1-42所示。默認情況下，很多策略的“安全設置”為“無審核”。為全面記錄系統(tǒng)運行情況，我們需要調整“安全設置”，對所有操作進行記錄。任務1.2

Windows系統(tǒng)安全設置【任務實施】

（2）雙擊“審核策略更改”策略，在彈出的“審核策略更改屬性”對話框中勾選“成功”和“失敗”，如圖1-43所示，然后單擊“確定”按鈕。（3）雙擊“審核登錄事件”策略，在彈出的“審核登錄事件屬性”對話框中勾選“成功”和“失敗”，如圖1-44所示，然后單擊“確定”按鈕。依次雙擊其他策略，執(zhí)行同樣的操作，審核所有“成功”“失敗”操作，最終結果如圖1-45所示。任務1.2

Windows系統(tǒng)安全設置【任務實施】

（4）在任務欄的“搜索”框中輸入“事件查看器”，并按“Enter”鍵打開“事件查看器”窗口，如圖1-46所示。任務1.2

Windows系統(tǒng)安全設置【任務實施】

（5）在“事件查看器”窗口中單擊“Windows日志”，可查看事件的名稱、類型、事件數(shù)及大小，如圖1-47所示。（6）展開“Windows日志”，單擊“應用程序”，可查看全部事件及其詳細信息，如圖1-48所示。1任務1.1Windows系統(tǒng)端口管理2任務1.2

Windows系統(tǒng)安全設置3任務1.3

Windows系統(tǒng)進程與服務管理4任務1.4

Windows賬戶安全5任務1.5注冊表安全及應用目錄CONTENTS任務1.3Windows系統(tǒng)進程與服務管理【任務描述】

小林在進行系統(tǒng)進程與服務檢查的過程中，發(fā)現(xiàn)系統(tǒng)中存在大量不必要的進程與服務，且這些進程與服務均被配置為自動啟動，可能存在安全風險。小林使用命令行工具對一些可疑的進程與服務進行詳盡審查，確認其安全性。在完成對可疑進程與服務的詳盡審查后，小林果斷采取了優(yōu)化措施，對于那些確認不必要運行、存在安全隱患的進程與服務，將其自動啟動狀態(tài)調整為禁用狀態(tài)。任務1.3Windows系統(tǒng)進程與服務管理【知識準備】

1.3.1進程的概念進程是程序在特定數(shù)據(jù)集上的一次具體運行活動。當用戶或操作系統(tǒng)啟動一個程序時，操作系統(tǒng)會為其創(chuàng)建一個相應的進程，使程序從靜態(tài)的存儲狀態(tài)轉化為動態(tài)的運行狀態(tài)。在多任務操作系統(tǒng)中，進程是實現(xiàn)并發(fā)執(zhí)行的基礎。盡管CPU（CentralProcessingUnit，中央處理器）在一個時間點只能執(zhí)行一條指令，但通過上下文切換技術，操作系統(tǒng)能夠在多個進程之間快速切換，給用戶造成多個進程“同時”運行的假象。操作系統(tǒng)根據(jù)調度算法（如優(yōu)先級調度、時間片輪轉等）決定何時切換到下一個進程繼續(xù)執(zhí)行。進程具有明確的生命周期，包括創(chuàng)建、就緒、運行、阻塞、終止等狀態(tài)。任務1.3Windows系統(tǒng)進程與服務管理【知識準備】

1.3.2進程的分類通過任務管理器可以查看并管理系統(tǒng)目前所運行的進程，進程主要包括以下幾種類型。1．系統(tǒng)進程系統(tǒng)進程是Windows系統(tǒng)運行所需要的一些必備進程，這些進程一般是不能隨意結束的。一些關鍵的系統(tǒng)進程列舉如下。explorer.exe：Windows資源管理器，負責顯示桌面、文件夾、任務欄等圖形界面元素。svchost.exe：用于托管Windows服務的一個程序，可以承載多個服務實例。services.exe：Windows服務控制器，負責啟動、停止和交互系統(tǒng)服務。dwm.exe：負責管理并合成WindowsAero界面的視覺效果，包括透明度、窗口動畫等。csrss.exe：客戶端服務器運行時子系統(tǒng)，負責處理Windows的核心部分，如創(chuàng)建、刪除線程和進程。lsass.exe：負責管理本地安全策略和登錄過程，包括生成安全令牌。wininit.exe：Windows初始化進程，負責加載用戶配置文件和啟動其他系統(tǒng)進程。userinit.exe：負責在用戶登錄后執(zhí)行初始化腳本和啟動用戶環(huán)境。smss.exe：負責用戶會話的創(chuàng)建和管理，是系統(tǒng)啟動早期運行的進程之一。winlogon.exe：負責處理用戶的登錄和注銷操作，包括密碼驗證和安全身份認證。2．用戶進程用戶進程是由用戶開啟和執(zhí)行的程序，如每運行一次IE便創(chuàng)建一個iexplorer.exe進程。用戶進程是可以隨時結束的，關閉程序之后，相應的用戶進程就會自動結束。3．非法進程任務1.3Windows系統(tǒng)進程與服務管理【知識準備】

1.3.3系統(tǒng)服務介紹系統(tǒng)服務是指操作系統(tǒng)中一組長期運行且在后臺提供特定功能支持的程序或進程，它們獨立于用戶交互，即使沒有用戶登錄或在交互式桌面環(huán)境下也能持續(xù)工作。系統(tǒng)服務對于操作系統(tǒng)正常運行、支持各種應用程序功能以及確保系統(tǒng)穩(wěn)定性至關重要。1.3.4常用的網絡服務1．DHCP服務DHCP（DynamicHostConfigurationProtocol，動態(tài)主機配置協(xié)議）是一種網絡協(xié)議，用于自動分配、管理和回收網絡中的IP地址以及其他相關網絡配置信息2．DNS服務DNS是一個分布式數(shù)據(jù)庫系統(tǒng)，其主要功能是將人類易于記憶的域名（如）轉換為計算機易于處理的IP地址（如）。3．FTP服務FTP（FileTransferProtocol，文件傳送協(xié)議）用于在網絡上實現(xiàn)可靠、高效的數(shù)據(jù)文件雙向傳輸。4．Telnet服務Telnet是一種遠程登錄協(xié)議，允許用戶通過本地終端模擬遠程主機的終端環(huán)境，直接在本地執(zhí)行遠程主機上的命令和應用程序。5．SMTP服務SMTP（SimpleMailTransferProtocol，簡單郵件傳送協(xié)議）是一種用于電子郵件傳輸?shù)膽脤訁f(xié)議，規(guī)定了郵件從發(fā)送方到接收方的傳輸規(guī)則和格式。6．共享服務SMB（ServerMessageBlock，服務器信息塊）是一種網絡文件共享協(xié)議，允許網絡中的計算機共享文件、打印機、串行端口等資源。任務1.3Windows系統(tǒng)進程與服務管理【任務實施】

1．進程分析與管理（1）在任務欄的“搜索”框中輸入“命令提示符”并按“Enter”鍵，在打開的“命令提示符”窗口中輸入并執(zhí)行“netstat-ano”命令，查看所有端口的連接狀態(tài)，如圖1-49所示。任務1.3Windows系統(tǒng)進程與服務管理【任務實施】

（2）在窗口中繼續(xù)執(zhí)行“netstat-nao|findstr"50383"”命令，查看端口50383的監(jiān)聽情況，找到50383端口對應的進程號為“11364”，如圖1-50所示。（3）在窗口中執(zhí)行“tasklist|findstr"11364"”命令，查看PID（ProcessIdentifier，進程標識符）11364對應的應用程序的名稱，從而采取進一步措施，如圖1-51所示。（4）在窗口中執(zhí)行“wmicprocess|findstr"QQPCTray.exe"”命令，進一步查找應用程序的位置，如圖1-52所示。任務1.3Windows系統(tǒng)進程與服務管理【任務實施】

2．服務管理（1）在任務欄的“搜索”框中輸入“服務”，并按“Enter”鍵打開“服務”窗口，如圖1-53所示。任務1.3Windows系統(tǒng)進程與服務管理【任務實施】

（2）對不必要的服務進行禁用和關閉。以“TCP/IPNetBIOSHelper”服務為例，右擊該服務，在彈出的快捷菜單中選擇“屬性”，在彈出的“TCP/IPNetBIOSHelper的屬性(本地計算機)”對話框中，設置“啟動類型”為“禁用”，在“服務狀態(tài)”下單擊“停止”按鈕，關閉該服務，如圖1-54所示。任務1.3Windows系統(tǒng)進程與服務管理【任務實施】

3．使用WKToolsWKTools作為一款Windows內核級輔助工具，主要用于查看和管理Windows系統(tǒng)的內核狀態(tài)，它具有以下功能。（1）運行工具，查看進程，如圖1-55所示。它允許用戶查看系統(tǒng)中正在運行的進程，可查看進程的詳細信息，并可以對進程進行終止、掛起等操作。任務1.3Windows系統(tǒng)進程與服務管理【任務實施】

（2）查看當前Windows系統(tǒng)的內核狀態(tài)，包括當前系統(tǒng)加載的核心模塊信息、系統(tǒng)資源占用情況等，如圖1-56所示。任務1.3Windows系統(tǒng)進程與服務管理【任務實施】

（3）查看網絡連接狀態(tài)、監(jiān)聽網絡數(shù)據(jù)包，如圖1-57所示。任務1.3Windows系統(tǒng)進程與服務管理【任務實施】

（4）查看開機啟動信息，如圖1-58所示。1任務1.1Windows系統(tǒng)端口管理2任務1.2

Windows系統(tǒng)安全設置3任務1.3

Windows系統(tǒng)進程與服務管理4任務1.4

Windows賬戶安全5任務1.5注冊表安全及應用目錄CONTENTS任務1.4Windows賬戶安全設置【任務描述】

小林在進行操作系統(tǒng)安全檢查的過程中發(fā)現(xiàn)密碼策略、賬戶鎖定策略、本地策略設置存在安全隱患。為此，他決定參照安全基線，對這些關鍵策略進行優(yōu)化，調整相關選項和參數(shù)，然后驗證各項基礎配置項的有效性，以強化賬戶安全防線。任務1.4Windows賬戶安全設置【知識準備】

1.4.1用戶管理文件在系統(tǒng)中，用戶賬戶的安全管理通過SAM（SecurityAccountsManager，安全賬戶管理器）機制來實現(xiàn)，用戶登錄名和口令經過Hash加密變換后放在SAM文件中。一般情況下，“C:\WINDOWS\system32\config\sam”文件用于存放賬戶信息，當用戶登錄系統(tǒng)時，首先要將用戶賬戶信息與SAM文件中存放的賬戶信息進行對比，驗證通過后方可登錄。任務1.4Windows賬戶安全設置【知識準備】

1.4.2WindowsNT系統(tǒng)密碼存儲的基本原理為確保數(shù)據(jù)安全，WindowsNT對SAM文件采取了如下措施。（1）壓縮處理。系統(tǒng)在保存SAM文件前對其進行壓縮，使得文件內容對未經處理的閱讀工具而言不可讀。（2）系統(tǒng)鎖定。在系統(tǒng)運行期間，SAM文件被system賬戶鎖定，即使是管理員賬戶也無法直接打開。（3）ACL（AccessControlList，訪問控制列表）保護。SAM文件位于注冊表路徑HKLM\SAM\SAM下，受到嚴格的ACL保護。只有具備適當權限的用戶或程序才能查看SAM文件中的內容。（4）WindowsNT系統(tǒng)在SAM文件中采用了兩種加密機制，所以，在SAM文件中保存著兩個口令字，一個是LM版本的散列值，另一個是NTLM版本的散列值。任務1.4Windows賬戶安全設置【知識準備】

1.4.3常見用戶組1．基本用戶組（1）Administrators：（2）BackupOperators：（3）Guests：（4）NetworkConfigurationOperators：（5）PowerUsers：（6）RemoteDesktopUsers：（7）Users：2．內置特殊組（1）Everyone：所有用戶都屬于這個組。注意，如果Guest賬號被啟用，則給Everyone組指派權限時必須小心，因為當一個沒有賬戶的用戶連接計算機時，他被允許自動利用Guest賬戶連接，但是因為Guest賬戶也屬于Everyone組，所以他將具備Everyone組用戶所擁有的權限。（2）AuthenticatedUsers：任何利用有效的用戶賬戶進行連接的用戶都屬于這個組。建議在設置權限時，盡量針對AuthenticatedUsers組進行設置，而不要針對Everyone組進行設置。（3）Interactive：任何在本地登錄的用戶都屬于這個組。（4）Network：任何通過網絡連接此計算機的用戶都屬于這個組。任務1.4Windows賬戶安全設置【任務實施】

1．賬戶安全防護（1）禁用Guest賬號。在任務欄的“搜索”框中搜索“計算機管理”并按“Enter”鍵，在打開的“計算機管理”窗口中單擊“系統(tǒng)工具”→“本地用戶和組”→“用戶”。在窗口右側找到“Guest”并右擊，在彈出的快捷菜單中選擇“屬性”，打開“Guest屬性”對話框，確?！百~戶已禁用”復選框是勾選的，然后單擊“確定”按鈕，如圖1-60所示。任務1.4Windows賬戶安全設置【任務實施】

（2）為管理員重命名。右擊“Administrator”用戶，在彈出的快捷菜單中選擇“重命名”，如圖1-61所示，將“Administrator”改成“administrator1”。任務1.4Windows賬戶安全設置【任務實施】

（3）創(chuàng)建陷阱賬號。將“Administrator”改為“administrator1”后，可以再創(chuàng)建一個新用戶，用戶名為“administrator”，設置復雜度較高的密碼，如圖1-62所示。（4）打開“本地安全策略”窗口，單擊“賬戶策略”→“密碼策略”，如圖1-63所示。任務1.4Windows賬戶安全設置【任務實施】

（5）雙擊“密碼必須符合復雜性要求”，在彈出的對話框中選擇“密碼必須符合復雜性要求”中的“已啟用”，單擊“確定”按鈕，如圖1-64所示。（6）雙擊“密碼長度最小值”，在彈出的對話框中把“密碼必須至少是”設置為“8”個字符，單擊“確定”按鈕，如圖1-65所示。任務1.4Windows賬戶安全設置【任務實施】

（7）在“本地安全策略”窗口中，單擊“賬戶策略”→“賬戶鎖定策略”，如圖1-66所示。任務1.4Windows賬戶安全設置【任務實施】

（8）雙擊“賬戶鎖定時間”，在彈出的對話框中把“賬戶鎖定時間”設置為“30”分鐘，如圖1-68所示。（9）雙擊“賬戶鎖定閾值”，在彈出的對話框中把“0”改為“3”，然后單擊“確定”按鈕，如圖1-67所示。任務1.4Windows賬戶安全設置【任務實施】

2．安全選項設置（1）在“本地安全策略”窗口中，單擊“本地策略”→“安全選項”，如圖1-69所示，調整部分安全選項的設置。任務1.4Windows賬戶安全設置【任務實施】

（2）Windows默認設置為開機時自動顯示上次登錄的用戶名，許多用戶也采用了這一設置。這對系統(tǒng)來說是很不安全的，攻擊者會從本地或TerminalService（終端服務）的登錄界面看到用戶名。雙擊“交互式登錄：不顯示上次登錄”，在彈出的對話框中勾選“已啟用”，然后單擊“確定”按鈕，如圖1-70所示。（3）為了便于遠程用戶共享本地文件，Windows默認設置為遠程用戶可以通過空連接枚舉出所有本地賬戶名，這給了攻擊者可乘之機。要禁用匿名枚舉，雙擊“不允許枚舉SAM賬戶和共享的匿名枚舉”，如圖1-71所示。任務1.4Windows賬戶安全設置【任務實施】

3．使用Cain讀取SAM文件（1）在任務欄的“搜索”框中輸入“防火墻和網絡保護”并按“Enter”鍵，在打開的窗口中單擊“關閉”按鈕，使防火墻處于關閉狀態(tài)，如圖1-72所示。任務1.4Windows賬戶安全設置【任務實施】

（2）運行Cain，如圖1-73所示，選擇“Cracker”→“LM&NTLMHashes”，在右側空白處右擊，在彈出的快捷菜單中選擇“Addtolist”。任務1.4Windows賬戶安全設置【任務實施】

（3）從本地系統(tǒng)導入HASH。在彈出的“AddNTHashesfrom”對話框中選中“ImportHashesformlocalsystem”，單擊“Next”按鈕，如圖1-74所示。任務1.4Windows賬戶安全設置【任務實施】

（4）導出全部本地用戶信息如圖1-75所示。1任務1.1Windows系統(tǒng)端口管理2任務1.2

Windows系統(tǒng)安全設置3任務1.3

Windows系統(tǒng)進程與服務管理4任務1.4

Windows賬戶安全5任務1.5注冊表安全及應用目錄CONTENTS任務1.5注冊表安全及應用【任務描述】

在一次安全審計中，小林發(fā)現(xiàn)公司內部某服務器的注冊表存在多處不當配置，這直接違反了公司的信息安全基線政策，主要體現(xiàn)在權限分配不合理、缺失定期備份機制，以及若干鍵值設置可能成為安全漏洞的入口點等。鑒于此情況，小林迅速啟動了一項系統(tǒng)加固任務，旨在全面優(yōu)化注冊表配置，消除已識別的安全隱患。任務1.5注冊表安全及應用【知識準備】

1.5.1注冊表的概念及作用注冊表是Windows中的一個重要的數(shù)據(jù)庫。注冊表中存放著各種參數(shù)，直接控制著系統(tǒng)的啟動、硬件驅動程序的裝載以及一些應用程序的運行，從而在整個系統(tǒng)中起著核心作用。例如，注冊表中存放著應用程序和資源管理器外殼的初始條件、首選項和卸載數(shù)據(jù)等，聯(lián)網計算機的整個系統(tǒng)的設置和各種許可，文件擴展名與應用程序的關聯(lián)，硬件部件的描述、狀態(tài)和屬性，性能記錄和其他底層的系統(tǒng)狀態(tài)信息，以及其他數(shù)據(jù)，等等。任務1.5注冊表安全及應用【知識準備】

1.5.2注冊表根鍵介紹注冊表有五大根鍵，具體如下。（1）HKEY_CLASSES_ROOT：該根鍵包含啟動應用程序所需的全部信息，包括擴展名、應用程序與文檔之間的關系、驅動程序、DDE（DynamicDataExchange，動態(tài)數(shù)據(jù)交換）和OLE（ObjectLinkandEmbedding，對象鏈接與嵌入）信息、編號和應用程序與文檔的圖標等。（2）HKEY_CURRENT_USER：該根鍵包含當前登錄用戶的配置信息，包括環(huán)境變量、個人程序以及桌面設置等。（3）HKEY_LOCAL_MACHINE：該根鍵包含本地計算機的系統(tǒng)信息，包括硬件和操作系統(tǒng)信息、安全數(shù)據(jù)和計算機專用的各類軟件設置信息。次根鍵中存放的是用來