項目2

Windows系統安全加固項目1雙機互連對等網絡的組建

操作系統的安全防護研究通常包括以下幾個方面的內容。(1)操作系統本身提供的安全功能和安全服務。目前的操作系統本身往往要提供一定的訪問控制、認證與授權等方面的安全服務。(2)針對各種常用的操作系統，進行相關配置，使之能正確對付和防御各種入侵。(3)保證操作系統本身所提供的網絡服務能得到安全配置。只有經過授權的用戶或代表該用戶運行的進程才能讀、寫、創建或刪除信息。操作系統安全的概念一、WINDOWS密碼設置實訓windows系統的安全審計和安全配置

用戶身份驗證

帳戶的管理(設置各級帳戶和密碼）P196

帳戶安全防護P204帳戶安全策略P206

基于對象的訪問控制P194windows系統的注冊表P209windows系統常用的系統進程和服務的安全配置P220為提高計算機WINDOWS操作系統的安全性，可作哪些安全配置？（小組討論，總結）3分鐘一、WINDOWS密碼設置實訓XP與SERVER設置BIOS開機密碼設置WINDOWS登錄密碼設置屏幕保護密碼賬戶數據庫密碼(syskey)為防止別人非法使用你的計算機系統，可設置哪些密碼？（小組討論）3分鐘帳戶的管理(設置各級帳戶和密碼）P196一、什么樣的密碼才安全？

下面列出幾種最危險的密碼，請千萬不要使用。

1）密碼和用戶名相同。

2）密碼為用戶名中的某幾個鄰近的數字或字母。

3）密碼為連續或相同的數字或字母。

4)將用戶名顛倒或加前后綴作為密碼。

5）使用姓氏的拼音或英文名字作為密碼。

6）使用自己或親友的生日作為密碼。

7）使用常用英文單詞作為密碼。

8)使用6位以下的數字或英文字母作為密碼.6.3賬戶管理與密碼安全P196賬戶與密碼的使用通常是許多系統預設的防護措施。事實上，有許多用戶的密碼是很容易被猜中的，或者使用系統預設的密碼、甚至不設密碼。用戶應該要避免使用不當的密碼、系統預設密碼或是使用空白密碼，也可以配置本地安全策略要求密碼符合安全性要求。(英文大小寫、數字、特殊字符，8位以上）小組為單位，討論并配置5種密碼

（以XP或SERVER為例）設置進入BIOS的密碼系統開機密碼WINDOWS登錄密碼屏幕保護密碼保護WINDOWS帳戶數據庫安全密碼做一個啟動U盤要求：小組內分工，每組同學要設置上述密碼，并進行拷屏,文件名為：組名第6章作業1.DOC。任務1：密碼安全配置P197

1.任務目標

(1)了解操作系統密碼安全的重要性。

(2)掌握密碼安全配置的方法。2.任務內容

(1)設置開機或BIOS密碼(2)設置用戶賬戶策略。

(3)設置用戶賬戶鎖定策略。3.完成任務所需的設備和軟件裝有WindowsServer2003操作系統的PC機1臺，或WindowsServer2003虛擬機1臺。用虛擬機設置BIOS開機密碼運行虛擬機—VM---POWER-POWERONTOBIOSSetSupervisorPassword超級用戶口令SetUserPassword一般用戶口令Save&ExitSetup2.添加WONDOWS用戶密碼，設置密碼策略(1)用戶—添加管理員用戶（2）設置用戶賬戶策略步驟1：選擇“開始”→“程序”→“管理工具”→“本地安全策略”命令，打開“本地安全設置”窗口，在左側窗格中，選擇“安全設置”→“賬戶策略”→“密碼策略”選項，如圖2-14所示。步驟2：雙擊右側側窗格中的的“密碼長度最最小值”策略選項，，打開“密碼長度最最小值屬屬性”對話框，選選擇“本地安全設設置”選項卡，設設置密碼必必須至少是是6個字符，如如圖2-15所示，單擊擊“確定”按鈕，返回回“本地安全設設置”窗口。步驟3：在圖2-14中，雙擊右右側窗格中中的“密碼最短使使用期限”策略選項，，打開“密碼最短使使用期限屬屬性”對話框，設設置“在以下天數數后可以更更改密碼”為3天，如圖2-16所示，單擊擊“確定”按鈕，返回回“本地安全設設置”窗口。步驟4：同理，設設置“密碼最長使使用期限”為“14”天，設置“強制密碼歷歷史”為“10”個記住的密密碼，設置置“密碼必須符符合復雜性性要求”為“已啟用”。上述設置置完成后的的密碼策略略如圖2-17所示。(2)設置用戶賬賬戶鎖定策策略用戶賬戶鎖鎖定策略可可以防止非非法入侵者者不斷地猜猜測用戶的的賬戶密碼碼。步驟1：在圖2-17中，選擇左左側窗格中中的“賬戶鎖定策策略”選項，在右右側窗格中中顯示了賬賬戶鎖定策策略的三個個策略項，，如圖2-18所示。步驟2：雙擊右側側窗格中的的“賬戶鎖定閾閾值”策略選項，，打開“賬戶鎖定閾閾值屬性性”對話框，選選擇“本地安全設設置”選項卡，設設置“在發生以下下情況之后后，鎖定賬賬戶”為3次無效登錄錄，如圖2-19所示。步驟3：單擊“確定”按鈕，彈出出“建議的數值值改動”對話框，設設置建議的的“賬戶鎖定時時間”為“30分鐘”、“復位賬戶鎖鎖定計數器器”為“30分鐘之后”，如圖2-20所示，單擊擊“確定”按鈕，完成成賬戶鎖定定策略設置置。防止內部人人員破壞服服務器的一一個屏障。。注意不要要使用OpenGL和一些復雜雜的屏幕保保護程序浪浪費系統資資源，黑屏屏就可以了了。3．設置屏幕幕保護密碼碼WINDOWS平臺安全設設置4.XP賬戶數據庫庫密碼二重密碼保保護：“啟啟動密碼””就是在系系統啟動是是顯示的，，在重新啟啟動系統后后，首先出出現的就是是提示你輸輸入“啟動動密碼”，，輸入了正正確的密碼碼后就會出出現WindowsXP的登錄界面面，輸入用用戶名和密密碼后算是是完全登錄錄系統。1.設置啟動密密碼開始→運行行”，輸入入“Syskey”命令，彈出出“保證WindowsXP賬戶數據庫庫安全”----更新”。。在“啟動動密碼”界界面中點選選“密碼啟啟動”單選選框。2.取消這個系系統啟動密密碼，則在“啟動密密碼”界面面中點選““系統產生生的密碼””下面的““在本機上上保存啟動動密碼”，，確定后后系統密碼碼就會保存存到硬盤上上，在下次次啟動電腦腦時就不會會再出現啟啟動密碼的的窗口了。。如果忘記了了密碼點辦辦?(小組討論、、思考）如何清除進進入物理機機的BIOS設置的的密碼?如何清除物物理開機密密碼?如何探測WINDOWS登錄錄密碼？相鄰兩小組組實訓:常用密碼破破解（10分鐘）互換機器去破解別組組設置的密密碼，并總總結方法破解方法與與工具P198L0phtcrack,WMICracker等BIOS口令的清除除由于System級口令保護護的是整個個系統，在在未正確輸輸入口令時時不能進入入系統，因因而當任何何“軟”方方法都無法法奏效時，，只能用““硬”方法法解決。一般的主板板在后備電電池的附近近都有一個個“Ext.Battery””、“CMOSReset”或“JCMOS”的跳線，斷斷開微機電電源打開機機箱，按照照主板說明明書上的解解說找到它它，并將其其中的兩個個腳短接數數秒鐘，然然后將跳線線恢復原狀狀，即可清清除口令。。有的主板板還要求在在放電短接接狀態開機機才能徹底底清除BIOS設置數據，，具體做法法應該參照照主板說明明書上的敘敘述。用工具軟件件或命令（（？？）WINDOWS本本地賬戶實實訓P198-204用帶工具U盤或光盤啟啟動，破解解WINDOWSXP登錄密碼帳戶查看方方法與工具具使用L0phtCrack5審計WindowsServer2003本地賬戶實實訓使用Cain審計WindowsServer2003本地賬戶實實訓要求：1.老師提供工工具，小組組內分工，，每組同學學要用上兩兩個工具把把查看到的的本地賬戶戶密碼信息息進行拷屏屏,文件名為：：組名第6章作業2.DOC。2.建議以小組組為單位學學會制作一一個啟動U盤，如大白白菜。2.4項目實施(小組實訓））2062.4.1任務1:賬戶安全配配置1.任務目標(1)了解操作系系統賬戶安安全的重要要性。(2)掌握賬戶安安全配置的的方法。2.任務內容(1)更改“Administrator”賬戶名稱。。(2)創建一個陷陷阱賬戶。。(3)不讓系統顯顯示上次登登錄的賬戶戶名。3.完成任務所所需的設備備和軟件裝有WindowsServer2003操作系統的的PC機1臺，或WindowsServer2003虛擬機1臺。4.任務實施步步驟(1)更改“Administrator”賬戶名稱由于“Administrator”賬戶是微軟軟操作系統統的默認系系統管理員員賬戶，且且此賬戶不不能被停用用，這意味味著非法入入侵者可以以一遍又一一遍地猜測測這個賬戶戶的密碼。。將“Administrator”重命名為其其他名稱，，可以有效效地解決這這一問題。。步驟1：選擇“開始”→“程序”→“管理工具”→“本地安全策策略”命令，打開開“本地安全設設置”窗口，如圖圖2-1所示。步驟2：在左側窗窗格中，選選擇“安全設置”→“本地策略”→“安全選項”選項，在右右側窗格中中，雙擊“賬戶：重命命名系統管管理員賬戶戶”策略選項，，打開如圖圖2-2所示的對話話框，將系系統管理員員賬戶名稱稱“Administrator”改為一個普普通的賬戶戶名稱，如如“huang”，而不要使使用如“Admin”之類的賬戶戶名稱，單單擊“確定”按鈕。步驟3：更改完成成后，選擇擇“開始”→“程序”→“管理工具”→“計算機管理理”命令，打開開“計算機管理理”窗口，在左左側窗格中中，選擇“系統工具”→“本地用戶和和組”→“用戶”選項，如圖圖2-3所示，默認認的“Administrator”賬戶名稱已已被更改為為“huang”。步驟驟4：在在圖圖2-3中，，選選擇擇左左側側窗窗格格中中的的“組”選項項，，然然后后雙雙擊擊右右側側窗窗格格中中的的“Administrators”組名名，，打打開開“Administrators屬性性”對話話框框，，默默認認只只有有“Administrator”賬戶戶，，如如圖圖2-4所示示。。選選中中“Administrator”賬戶戶，，單單擊擊“刪除除”按鈕鈕，，將將該該賬賬戶戶刪刪除除。。步驟驟5：在在圖圖2-4中，，單單擊擊“添加加”按鈕鈕，，打打開開“選擇擇用用戶戶”對話話框框，，單單擊擊“高級級”按鈕鈕，，再再單單擊擊“立即即查查找找”按鈕鈕，，雙雙擊擊對對話話框框底底部部的的“huang”選項項，，如如圖圖2-5所示示。。此此時時，，在在“輸入入對對象象名名稱稱來來選選擇擇”文本本框框中中自自動動出出現現了了已已經經重重命命名名的的管管理理員員賬賬戶戶名名稱稱，，如如“TEST\huang”(計算算機機名名\賬戶戶名名)，如如圖圖2-6所示示。。步驟驟6：單單擊擊“確定定”按鈕鈕返返回回“Administrators屬性性”對話話框框，，再再單單擊擊“確定定”按鈕鈕完完成成系系統統管管理理員員名名稱稱的的更更改改。。(2)創建建一一個個陷陷阱阱賬賬戶戶陷阱阱賬賬戶戶就就是是讓讓非非法法入入侵侵者者誤誤認認為為是是管管理理員員賬賬戶戶的的非非管管理理員員賬賬戶戶。。默認認的的管管理理員員賬賬戶戶“Administrator”重命命名名后后，，可可以以創創建建一一個個同同名名的的擁擁有有最最低低權權限限的的“Administrator”賬戶戶，，并并把把它它添添加加到到“Guests”組(“Guests”組的的權權限限為為最最低低)中，，再再為為該該賬賬戶戶設設置置一一個個超超過過20位的的超超級級復復雜雜密密碼碼(其中中包包括括字字母母、、數數字字、、特特殊殊符符號號等等字字符符)。這樣樣可可以以使使非非法法入入侵侵者者需需花花費費很很長長的的時時間間才才能能破破解解密密碼碼，，借借此此發發現現它它們們的的入入侵侵企企圖圖。。步驟1：選擇“開始”→“程序”→“管理工具”→“計算機管理理”命令，打開開“計算機管理理”窗口，在左左側窗格中中，選擇“系統工具”→“本地用戶和和組”→“用戶”選項，然后后右擊“用戶”選項，在彈彈出的快捷捷菜單中選選擇“新用戶”命令，打開開“新用戶”對話框，如如圖2-7所示。步驟2：在“用戶名”文本框中輸輸入用戶名名“Administrator”，在“密碼”和“確認密碼”文件框中輸輸入一個較較復雜的密密碼，單擊擊“創建”按鈕，再單單擊“關閉”按鈕。步驟3：右擊新創創建的用戶戶名“Administrator”，在彈出的的快捷菜單單中選擇“屬性”命令，打開開“Administrator屬性”對話框，選選擇“隸屬于”選項卡，如如圖2-8所示，從圖圖中可見，，“Administrator”用戶默認隸隸屬于“Users”組。步驟4：單擊“添加”按鈕，打開開“選擇組”對話框，如如圖2-9所示。步驟5：單擊“高級”按鈕，再單單擊“立即查找”按鈕，雙擊擊對話框底底部的“Guests”組名，如圖圖2-10所示。步驟6：單擊“確定”按鈕，返回回“Administrator屬性”對話框，此此時已添加加了“Guests”組，如圖2-11所示。步驟7：在圖2-11中，選中“Users”組名，單擊擊“刪除”按鈕，再單單擊“確定”按鈕。此時時，“Administrator”賬戶已設置置為陷阱賬賬戶。(3)不讓系統顯顯示上次登登錄的賬戶戶名默認情況下下，登錄對對話框中會會顯示上次次登錄的賬賬戶名。這這使得非法法入侵者可可以很容易易地得到系系統的一些些賬戶名，，進而做密密碼猜測，，從而給系系統帶來一一定的安全全隱患。可以設置登登錄時不顯顯示上次登登錄的賬戶戶名，來解解決這一問問題。步驟1：在“本地安全設設置”窗口的左側側窗格中，，選擇“本地策略”→“安全選項”選項。步驟2：在右側窗窗格中，找找到并雙擊擊“交互式登錄錄：不顯示示上次的用用戶名”選項(如圖2-12所示)，打開“交互式登錄錄：不顯示示上次的用用戶名屬屬性”對話框，在在“本地安全設設置”選項卡中，，選中“已啟用”單選按鈕，，如圖2-13所示，單擊擊“確定”按鈕。組策略和注注冊表P209組策略和注注冊表，是是Windows系統中重要要的兩部控控制臺。組策略:管理員為用用戶和計算算機定義并并控制程序序、網絡資資源及操作作系統行為為的主要工工具。通過過使用組策策略可以設設置各種軟軟件、計算算機和用戶戶策略。注冊表:注冊表是Windows系統中保存存系統軟件件和應用軟軟件配置的的數據庫組策略設置置就是在修修改注冊表表中的配置置。組策略使使用了更完完善的管理理組織方法法，可以對對各種對象象中的設置置進行管理理和配置，，遠比手工工修改注冊冊表方便、、靈活，功功能也更加加強大。利用安全配配置工具來來配置安全全策略利用基于MMC（管理控制制臺）安全全配置和分分析工具配配置服務器器。運行---gpedit.msc----組策略----計算機配置置----管理模板----系統---關閉自動播播放----所有驅動器器.WINDOWS平臺安全設設置注冊表運運行—REGEDITP210是windows操作系統中中的一個核核心數據庫庫，其中存存放著各種種參數，直直接控制著著windows的啟動、硬硬件驅動程程序的裝載載以及一些些windows應用程序的的運行，從從而在整個個系統中起起著核心作作用。1．HKEY_CLASSES_ROOT管理文件系系統，記錄錄的是Windows操作系統中中所有數據據文件的信信息，主要要記錄不同同文件的文件名后綴綴和與之對對應的應用用程序。當當用戶雙擊擊一個文檔檔時，系統統可以通過過這些信息息啟動相應應的應用程程序。2．HKEY_CURRENT_USER該主鍵用于于管理當前前用戶的配配置情況。。在這個主主鍵中我們們可以查閱閱計算機中中登錄的用用戶信息密密碼等相關關信息。。3．HKEY_LOCAL_MACHINE該主主鍵鍵用用于于管管理理系系統統中中的的所所有有硬硬件件設設備備的的配配置置情情況況，，在在該該主主鍵鍵中中存存放放的的是是用用來來控控制制系系統統和和軟軟件件的的設設置置。。由由于于這這些些設設置置是是針針對對那那些些使使用用Windows系統統的的用用戶戶而而設設置置的的，，是是一一個個公公共共配配置置信信息息，，所所以以它它與與具具體體用用戶戶無無關關。。4．HKEY_USERS該主主鍵鍵用用于于管管理理系系統統中中所所有有用用戶戶的的配配置置信信息息，，電電腦腦系系統統中中每每個個用用戶戶的的信信息息都都保保存存在在該該文文件件夾夾中中，，如如用用戶戶在在該該系系統統中中的的一一些些口口令令、、標標識識等等。。5．HKEY_CURRENT_CONFIG該主主鍵鍵用用于于管管理理當當前前系系統統用用戶戶的的系系統統配配置置情情況況，，如如該該用用戶戶自自定定義義的的桌桌面面管管理理、、需需要要啟啟動動的的程程序序列列表表等等信信息息禁用用注注冊冊表表編編輯輯器器(小組組實實訓訓））任務務5：1.任務務目目標標(1)了解解操操作作系系統統注注冊冊表表的的作作用用。。(2)掌握握注注冊冊表表編編輯輯器器的的禁禁用用方方法法。。2.完成成任任務務所所需需的的設設備備和和軟軟件件裝有有WindowsServer2003操作作系系統統的的PC機1臺，，或或WindowsServer2003虛擬擬機機1臺。。3.任務務實實施施步步驟驟注冊冊表表是是MicrosoftWindows中的的一一個個重重要要的的數數據據庫庫，，用用于于存存儲儲系系統統和和應應用用程程序序的的設設置置信信息息。。Regedit.exe是微微軟軟提提供供的的一一個個編編輯輯注注冊冊表表的的工工具具，，是是所所有有Windows系統統通通用用的的注注冊冊表表編編輯輯工工具具。。Regedit.exe可以以進進行行添添加加修修改改注注冊冊表表主主鍵鍵、、修修改改鍵鍵值值、、備備份份注注冊冊表表、、局局部部導導入入導導出出注注冊冊表表等等操操作作。。Windows操作作系系統統安安裝裝完完成成后后，，默默認認情情況況下下Regedit.exe可以以任任意意使使用用，，為為了了防防止止非非網網絡絡管管理理人人員員惡惡意意使使用用，，應應禁禁止止Regedit.exe的使使用用。。步驟驟1：選選擇擇“開始始”→“運行行”命令令，，打打開開“運行行”對話話框框，，在在對對話話框框的的“打開開”文本本框框中中輸輸入入“gpedit.msc”命令令，，然然后后單單擊擊“確定定”按鈕鈕，，打打開開“組策策略略編編輯輯器器”窗口口。。步驟驟2：在窗口的的左側窗格格中，選擇擇“‘本地計算機機’策略”→“用戶配置”→“管理模板”→“系統”選項，如圖圖2-52所示。步驟3：然后在右右側窗格中中找到并雙雙擊“阻止訪問注注冊表編輯輯工具”選項，打開開“阻止訪問注注冊表編輯輯工具屬屬性”對話框，選選中“已啟用”單選按鈕，，如圖2-53所示，單擊擊“確定”按鈕返回“組策略編輯輯器”窗口。步驟4：選擇“開始”→“運行”命令，打開開“運行”對話框，在在對話框的的“打開”文本框中輸輸入“Regeidt.exe”命令，然后后單擊“確定”按鈕，系統統將會提示示“注冊表編輯輯已被管理理員禁用”信息，如圖圖2-54所示。注冊表應用用的小設置置如何關閉CD自動播放功功能打開注冊表表編輯器，，進入主鍵鍵［HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom］，將“Autorun”鍵值更改為為0（Hex）。如何禁止U盤自啟動HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer分支中找到到“NoDriveTypeAutoRun”鍵值(如果沒有，，可以新建建一個)數據類型為為REG_DWORD，修改其鍵鍵值為十六六進制“FF”防止黑客從遠程程訪問注冊冊表。修改改Hkey_current_user下的子鍵：：Software\Microsoft\windows\currentversion\policies，把DisableRegistryTools值改為0，類型為DWORD。鎖定遠程注注冊表訪問問WINDOWS平臺安全設設置下節預習問問題：P220進程是什么么？如何關閉不不響應的進進程或病毒毒進程？端口是什么么？服務是什么么？端口與服務務有什么聯聯系？進程、端口口和服務進程它是操作系系統動態執執行的基本本單元，在在傳統的操操作系統中中，進程既既是基本的的分配單元元，也是基基本的執行行單元。每一個進程程都有它自自己的地址址空間進程是一個個“執行中的程程序”。程序是一個沒有有生命的實實體(靜態,硬盤)，只有處理理器賦予程程序生命時時，它才能能成為一個個活動的實實體，我們們稱其為進程(動態，內存存)。任何程序要要運行必創創建對應的的進程.線程：更小進程。。51WindowsServer2003的登登錄過程關閉不用或或有問題的的進程方法一、[CTRL]+[ALT]+[DEL]方法三、利利用工具如如：優化大大師、超級級兔子或PCTOOLS中的PSKILL結束進程、、冰刃。方法二、運運行---CMDc:\ntsd––cq––ppid(為要關閉進進程號）要求：老師師提供IceSword120_cn工具，小組組內分工，，每組同學學要用上述述方法查看看到本地進進程信息，，并會處理理。端口計算機"端口"是英文port的意譯，可可以認為是是計算機與與外界通訊訊交流的出出口.硬件端口:其中硬件領領域的端口口又稱接口口，如：USB端口、串行行端口等。。軟件領域的的端口一般般指網絡中中面向連接接服務和無無連接服務務的通信協協議端口，，是一種抽抽象的軟件件結構，包包括一些數數據結構和和I/O（基本輸入入輸出）緩緩沖區。在網絡技術術中，端口口（Port）有好幾種種意思。集集線器、交交換機、路路由器的端端口指的是是連接其他他網絡設備備的接口，，如RJ-45端口、Serial端口等。TCP/IP協議中的端端口，是邏邏輯意義義上的端口口。如果果把IP地址比作一一間房子，，端口就就是出入這這間房子的的門。真正正的房子只只有幾個門門，但是一一個IP地址的端口口可以有有65536（即：256×256）個之多！！端口是通通過端口號號來標記的的，端口號號只有整數數，范圍是是從0到65535（256×256-1）。服務與端口口的關系在TCP和UDP協議中，源源端口和目目標端口號號共有65536個(＝216，0～65535)。按對應的協協議類型，，端口有兩兩種：TCP端口和UDP端口。由于于TCP和UDP兩個協議是是獨立的，，因此各自自的端口號號也相互獨獨立，比如如TCP有235端口，UDP也可以有235端口，兩者者并不沖突突。關閉不用的的端口管理好端口口號在網絡絡安全中有有著非常重重要的意義義，黑客往往往通過探探測目標主主機開啟的的端口號進進行攻擊。。開啟的端口口可能被攻攻擊者利用用，如利用用掃描軟件件，可以掃掃描到目標標主機中開開啟的端口口及服務，，因為提供供服務就有有可能存在在漏洞。查看端口的的相關工具具有：Windows系統中的netstat-na命令、fport軟件、activeport軟件、superscan軟件、VisualSniffer軟件等，此此類命令或或軟件可用用來查看主主機所開放放的端口。。冰刃可以在網網上查看看各種服服務對應應的端口口號和木木馬后門門常用端端口來判判斷系統統中的可可疑端口口中，并并通過軟軟件查看看開啟此此端口的的進程。。確定可疑疑端口和和進程后后，可以以利用防防火墻來來屏蔽此此端口，，也可以以通過選選擇本地地連接→→TCP/IP→→高級→選選項→TCP/IP篩選，啟啟用篩選選機制來來過濾這這些端口口；一些端口口常常會會被攻擊擊者或病病毒木馬馬所利用用，如端端口21、22、23、25、80、110、111、119、135、137、138、139、161、177、389、3389等。關于于常見木木馬程序序所使用用的端口口可以在在網上查查找到。。小組實訓訓P2222.4.4任務4：服務安安全配置置1.任務目標標(1)了解操作作系統服服務安全全的重要要性。(2)掌握服務務安全配配置的方方法。2.任務內容容(1)關閉不必必要的服服務。（工具具、管理理工具---服務）(2)關閉不必必要的端端口。（關閉閉服務，，寫IP安全策略略）3.完成任務務所需的的設備和和軟件裝有WindowsServer2003虛擬機1臺。4.任務實施施步驟(1)關閉不必必要的服服務禁止所有有不必要要的服務務可以節節省內存存和大量量的系統統資源，，提升系系統啟動動和運行行的速度度，更重重要的是是，可以以減少系系統受攻攻擊的風風險。步驟1：查看服服務。選選擇“開始”→“程序”→“管理工具具”→“服務”命令，打打開“服務”窗口，如如圖2-29所示，可可見有很很多服務務已啟動動。步驟2：關閉服服務。在在圖2-29中找到并并雙擊“TaskScheduler”服務選項項，打開開“TaskScheduler的屬性”對話框，，如圖2-30所示。單單擊“停止”按鈕，停停用“TaskScheduler”服務，再再在“啟動類型型”下拉列表表中選擇擇“禁用”選項，這這樣下次次系統重重新啟動動時不會會重新啟啟用“TaskScheduler”服務，單單擊“確定”按鈕。有些服務務不能關關！！！！（注意））如關閉有有Vmware的相關服服務，則則虛擬機機的相關關功能不不能用！！！如關閉了了物理機機中的VmwareDHCPservice或則虛擬擬機的DHCP服務，虛虛擬機無無法獲得得IP。①用netstat命令查看看本機開開放的端端口。系統內部部命令netstat可顯示有有關統計計信息和和當前TCP/IP網絡連接接的情況況，它可可以用來來獲得系系統網絡絡連接的的信息(使用的端端口和在在使用的的協議等等)、收到和和發出的的數據、、被連接接的遠程程系統的的端口等等。其語語法格式式為：netstat[-a][-e][-n][-s][-pprotocol][-r][interval]。步驟1：在“命令行提提示符”窗口中，，輸入“netstat-an”命令，查查看系統統端口狀狀態，列列出系統統正在開開放的端端口號及及其狀態態，如圖圖2-32所示，可可見系統統開放的的端口號號有135、445、137、138、139等。②關閉139端口。139端口是NetBIOS協議所使使用的端端口，在在安裝了了TCP/IP協議的同同時，NetBIOS也會被作作為默認認設置安安裝到系系統中。。139端口的開開放意味味著硬盤盤可能會會在網絡絡中共享享；網上上黑客也也可通過過NetBIOS知道用戶戶計算機機中的一一切。在以前的的Windows版本中，，只要不不安裝Microsoft網絡的文文件和打打印共享享協議，，就可關關閉139端口。但但在WindowsServer2003中，只這這樣做是是不行的的。如果果想徹底底關閉139端口，具具體步驟驟如下：：步驟1：右擊桌桌面上的的“網上鄰居居”圖標，在在彈出的的快捷菜菜單中選選擇“屬性”命令，打打開“網絡連接接”窗口，再再右擊“本地連接接”圖標，在在彈出的的快捷菜菜單中選選擇“屬性”命令，打開“本地連接接屬性性”對話框，，如圖2-33所示。步驟2：取消選選擇“Microsoft網絡的文文件和打打印共享享”復選框(即去掉“Microsoft網絡的文文件和打打印共享享”前面的“√”)，再選中中“Internet協議(TCP/IP)”選項，單單擊“屬性”按鈕，打打開“Internet協議(TCP/IP)屬性”對話框，，如圖2-34所示。步驟3：單擊“高級”按鈕，打打開“高級TCP/IP設置”對話框，，在“WINS”選項卡中中，選中中“禁用TCP/IP上的NetBIOS”單選按鈕鈕，如圖圖2-35所示。步驟4：單擊“確定”按鈕，返返回“Internet協議(TCP/IP)屬性”對話框，，再單擊擊“確定”按鈕，返返回“本地連接接屬性性”對話框，，單擊“關閉”按鈕。③端口過濾濾假如計算算機中安安裝了Internet信息服務務(IIS)，如果只只打算瀏瀏覽網頁頁，可設設置端口口過濾，，只允許許TCP協議的80端口通過過，而TCP協議的其其他端口口不允許許通過。。設置步步驟如下下。步驟1：在圖2-35中，選擇擇“選項”選項卡，，如圖2-36所示。步驟2：雙擊圖圖中的“TCP/IP篩選”選項，打打開“TCP/IP篩選”對話框。。步驟3：選中“啟用TCP/IP篩選(所有適配配器)”復選框，，選中“TCP端口”欄中的“只允許”單選按鈕，單單擊“添加”命令，打開“添加篩選器”對話框，在“TCP端口”文本框中輸入入端口號“80”，如圖2-37所示。步驟4：單擊“確定”按鈕，返回“TCP/IP篩選”對話框，再單單擊“確定”按鈕，返回“高級TCP/IP設置”對話框。④關閉其他端口口。在默認情況下下，Windows操作系統的很很多端口是開開放的。用戶戶在上網的時時候，病毒和和黑客可通過過這些端口連連上用戶的計計算機，所以以應該關閉這這些端口，比比如TCP135，139，445，593，1025端口和UDP135，137，138，445端口，以及一一些流行病毒毒的后門端口口，如TCP2745，3127，6129端口，以及遠遠程服務訪問問端口3389等，都需要被被關閉才可解解除隱患。2.4.3任務3：系統安全配配置1.任務目標(1)了解操作系統統的系統安全全的重要性。。(2)掌握系統安全全配置的方法法。2.任務內容(1)自動更新Windows補丁程序。(2)開啟審核策略略。(3)關閉默認共享享資源。(4)關閉自動播放放功能。3.完成任務所需需的設備和軟軟件裝有WindowsServer2003操作系統的PC機1臺，或WindowsServer2003虛擬機1臺。4.任務實施步驟驟(1)自動更新Windows補丁程序幾乎所有的操操作系統都不不是十全十美美的，總是存存在各種安全全漏洞，這使使非法入侵者者有機可乘。。因此，及時時給Windows系統打上補丁丁程序，是加加強Windows系統安全的簡簡單、高效的的方法。步驟1：右擊桌面上上的“我的電腦”圖標，在彈出出的快捷菜單單中選擇“屬性”命令，打開“系統屬性”對話框。步驟2：在“自動更新”選項卡中，選選中“自動(推薦)”單選按鈕，如如圖2-21所示，系統默默認在每天凌凌晨3時自動下載推推薦的更新，，并安裝它們們。(2)開啟審核策略略P231安全審核是WindowsServer2003最基本的入侵侵檢測方法。。當有非法入入侵者對系統統進行入侵時時，都會被安安全審核記錄錄下來步驟1：在“本地安全設置置”窗口中，選擇擇“本地策略”→“審核策略”選項，右側窗窗格中列出了了審核策略列列表，這些審審核策略在默默認情況下都都是未開啟的的，如圖2-22所示。步驟2：雙擊右側窗窗格中的“審核登錄事件件”策略選項，打打開“審核登錄事件件屬性”對話框，在“本地安全設置置”選項卡中，選選中“成功”和“失敗”復選框，如圖圖2-23所示，單擊“確定”按鈕。步驟3：同理，根據據需要設置其其他審核策略略。說明：以下是是各種審核策策略的含義。。①審核策略略更改：審核核對策略的改改變操作。②審核登錄錄事件：審核核賬戶的登錄錄或注銷操作作。③審核對象象訪問：審核核對文件或文文件夾等對象象的操作。④審核過程程跟蹤：審核核應用程序的的啟動和關閉閉。⑤審核目錄錄服務訪問：：審核對活動動目錄的各種種訪問。⑥審核特權權使用：審核核用戶執行用用戶權限的操操作，如更改改系統時間等等。⑦審核系統統事件：審核核與系統相關關的事件，如如重新啟動或或關閉計算機機等。⑧審核賬戶戶登錄事件：：審核賬戶的的登錄或注銷銷另一臺計算算機(用于驗證賬戶戶)的操作。⑨審核賬戶戶管理：審核核與賬戶管理理有關的操作作。(3)關閉默認共享享資源Windows系統安裝好后后，為了便于于遠程管理，，系統會創建建一些隱蔽的的特殊共享資資源，如ADMIN$、C$、IPC$等，這些共享享資源在“我的電腦”中是不可見的的。一般情況下，，用戶不會去去使用這些特特殊的共享資資源，但是非非法入侵者卻卻會利用它來來對系統進行行攻擊，以獲獲取系統的控控制權，最典典型的就是IPC$入侵。因此，系統管管理員在確認認不會使用這這些特殊共享享資源的情況況下，應刪除除這些特殊的的共享資源。。說明：①C$、D$等：允許管理理人員連接到到驅動器根目目錄下的共享享資源。②ADMIN$：計算機遠程程管理期間使使用的資源。。該資源的路路徑總是系統統根目錄路徑徑(安裝操作系統統的目錄，如如C:\Windows)。③IPC$：共享命名管管理的資源，，在程序之間間的通信過程程中，該命名名管道起著至至關重要的作作用。在計算算機的遠程管管理期間，以以及在查看計計算機的共享享資源時使用用IPC$。不能刪除該該資源。④系統重新新啟動后，被被刪除的特殊殊共享資源將將會重新建立立。因此，為為保證不會出出現特殊共享享資源攻擊，，應使用批處處理的方式在在系統重啟時時自動進行刪刪除操作。⑤全部刪除除系統中的特特殊共享資源源，將影響系系統提供的文文件共享服務務、打印共享享服務等網絡絡服務，刪除除前應仔細確確認WindowsServer2003操作系統所扮扮演的角色，，是作為單獨獨的桌面操作作系統使用，，還是作為網網絡操作系統統提供各種網網絡服務使用用。步驟驟1：在在“命令令提提示示符符”窗口口中中，，輸輸入入“netshare”命令令，，查查看看共共享享資資源源，，如如圖圖2-24所示示。。步驟驟2：輸輸入入“netshareADMIN$/delete”命令令，，刪刪除除ADMIN$共享享資資源源，，再再輸輸入入“netshare”命令令，，驗驗證證是是否否已已刪刪除除ADMIN$共享享資資源源，，如如圖圖2-25所示示。。同理理，，可可刪刪除除C$、D$等共共享享資資源源。。步驟驟3：IPC$共享享資資源源不不能能被被netshare命令令刪刪除除，，須須利利用用注注冊冊表表編編輯輯器器來來對對它它進進行行限限制制使使用用。。選擇擇“開始始”→“運行行”命令令，，打打開開“運行行”對話話框框，，在在對對話話框框的的“打開開”文本本框框中中輸輸入入“regedit”命令令，，然然后后單單擊擊“確定定”按鈕鈕，，打打開開注注冊冊表表編編輯輯器器，，找找到到組組鍵鍵HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的的restrictanonymous子鍵鍵，，將將其其值值改改為為1，如如果果沒沒有有這這個個子子鍵鍵，，則則新新建建它它此時時一一個個匿匿名名用用戶戶仍仍然然可可以以空空連連接接到到IPC$共享享，，但但無無法法通通過過這這種種空空連連接接列列舉舉SAM賬號號和和共共享享信信息息的的權權限限(枚舉舉攻攻擊擊)。(4)關閉閉自自動動播播放放功功能能現在在很很多多病病毒毒(如U盤病病毒毒)會利利用用系系統統的的自自動動播播放放功功能能來來進進行行傳傳播播，，關關閉閉系系統統的的自自動動播播放放功功能能可可以以降降低低病病毒毒傳傳播播的的風風險險。。步驟驟1：選選擇擇“開始始”→“運行行”命令令，，打打開開“運行行”對話話框框，，在在對對話話框框的的“打開開”文本本框框中中輸輸入入“gpedit.msc”命令令，，然然后后單單擊擊“確定定”按鈕鈕，，打打開開“組策策略略編編輯輯器器”窗口口。。步驟驟2：在在窗窗口口的的左左側側窗窗格格中中，，選選擇擇“‘‘本地地計計算算機機’策略略”→“計算算機機配配置置”→“管理理模模板板”→“系統統”選項項，，然然后后在在右右側側窗窗格格中中找找到到并并雙雙擊擊“關閉閉自自動動播播放放”選項項(如圖圖2-27所示示)，打打開開“關閉閉自自動動播播放放屬屬性性”對話話框框。。步驟驟3：在在“設置置”選項項卡卡中中，，選選中中“已啟啟用用”單選選按按鈕鈕，，并并在在“關閉閉自自動動播播放放”列表表中中選選擇擇需需要要的的選選項項，，如如“所有有驅驅動動器器”，如如圖圖2-28所示示，，單單擊擊“確定定”按鈕鈕。。注意意：：“關閉閉自自動動播播放放”設置置是是只只能能使使系系統統不不再再列列出出光光盤盤和和移移動動存存儲儲設設備備的的目目錄錄，，并并不不能能夠夠阻阻止止自自動動播播放放音音樂樂CD盤。。要要阻阻止止音音樂樂CD的自自動動播播放放，，可可更更改改移移動動存存儲儲設設備備的的屬屬性性。。拓展展提提高高：：Windows系統統的的安安全全模模板板P2351.什么么是是安安全全模模板板安全全模模板板是是由由WindowsServer2003支持持的的安安全全屬屬性性的的文文件件(.inf)組成成的的。。安全全模模板板將將所所有有的的安安全全屬屬性性組組織織到到一一個個位位置置，，以以簡化化安安全全性性管管理理。。安全全模模板板包包含含了了安全全性性信信息息賬賬戶戶策策略略、本地地策策略略、事件件日日志志、受限限制制的的組組、系統統服服務務、注冊冊表表、文件件系系統統等共共7類。。安全全模模板板也也可可以以用用做做安安全全分分析析。。通過過使使用用安安全全模模板板管管理理單單元元，，可可以以創創建建對對網網絡絡或或計計算算機機的的安安全全策策略略。。安全全模模板板是是代代表表安安全全配配置置的的文文本本文文件件，，將將其其應應用用于于本本地地計計算算機機、、導導入入到到組組策策略略或或使使用用安安全全模模板板來來分分析析安安全全性性。。(1)默認認安安全全設設置置(setupsecurity.inf)。setupsecurity.inf代表表在在安安裝裝操操作作系系統統期期間間所所應應用用的的默默認認安安全全設設置置，，其其中中包包括括對對系系統統驅驅動動器器的的根根目目錄錄的的文文件件權權限限。。此此模模板板的的某某些些部部分分可可應應用用于于故故障障恢恢復復。。(2)兼容容(compatws.inf)。工工作作站站和和服服務務器器的的默默認認權權限限主主要要授授予予3個本本地地組組：：Administrators、PowerUsers和Users。Administrators享有有最最高高的的權權限限，，而而Users的權權限限最最低低。。不不要要將將兼兼容容模模板板應應用用到到域域控控制制器器。。(3)安全全(secure*.inf)。安安全全模模板板定定義義了了至至少少可可能能影影響響應應用用程程序序兼兼容容性性的的增增強強安安全全設設置置。。例例如如，，安安全全模模板板定定義義了了更更嚴嚴密密的的密密碼碼、、鎖鎖定定和和審審核核設設置置。。此外外，，安安全全模模板板還還限限制制了了LANManager和NTLM身份份認認證證協協議議的的使使用用，，其其方方式式是是將將客客戶戶端端配配置置為為僅僅可可發發送送NTLMv2響應，，而將將服務務器配配置為為可拒拒絕LANManager的響應應。安全模模板細細分為為securews.inf和securedc.inf。securews.inf應用于于成員員計算算機，，securedc.inf應用于于服務務器。。(4)高級安安全(hisec*.inf)。高級級安全全模板板是對對加密密和簽簽名做做進一一步限限制的的安全全模板板的擴擴展集集，這這些加加密和和簽名名是進進行身身份認認證和和保證證數據據通過過安全全通道道以及及在SMB客戶機機和服服務器器之間間進行行安全全傳輸輸所必必需的的。例例如，，安全全模板板可以以使服服務器器拒絕絕LANManager的響應應，而而高級級安全全模板板則可可以使使服務務器同同時拒拒絕LANManager和NTLM的響應應。安安全模模板可可以啟啟用服服務器器端的的SMB數據包包簽名名，而而高級級安全全模板板則要要求這這種簽簽名。。此外外，高高級安安全模模板還還要求求對安安全通通道數數據進進行強強力加加密和和簽名名，從從而形形成域域到成成員以以及域域到域域的信信任關關系。。高級安安全模模板細細分為為hisecws.inf和hisecdc.inf。一般般，hisecws.inf應用于于普通通服務務器，，hisecdc.inf應用于于域控控制器器。(5)系統根根目錄錄安全全(rootsec.inf)。rootsec.inf可以指指定由由WindowsServer2003所引入入的新新的根根目錄錄權限限。默默認情情況下下，rootsec.inf為系統統驅動動器根根目錄錄定義義這些些權限限。如如果不不小心心更改改了根根目錄錄權限限，則則可以以利用用該模模板重重新應應用根根目錄錄權限限，或或者通通過修修改模模板對對其他他卷應應用相相同的的根目目錄權權限。。3.使用安安全模模板運行“mmc.exe”命令，，打開開控制制臺，，選擇擇菜單單“文件”→“添加/刪除管管理單單元”命令，，把“安全模模板”添加到到控制制臺中中。雙雙擊“安全模模板”選項，，可以以看到到幾個個預定定義的的安全全模板板，如如圖2-55所示。。這些些模板板保存存在%systemroot%\security\templates中，用用戶也也可以以創建建包含含安全全設置置的自自定義義安全全模板板。雙擊要要修改改的安安全策策略，，根據據需要要進行行修改改后，，右擊擊已修修改的的安全全配置置模板板的名名稱，，然后后選擇擇“另存為為”命令，，新建建一個個模板板。知識拓拓展（自學學內容容）Windows系統體體系結結構WindowsServer2003的安全全模型型Windows安全子子系統統結構構漏洞與與后門門97Windows系統統體系系結構構98安全策策略：：CorporateSecurityPolicy用戶認證：UserAuthentication加密Encryption審計Audit權限控制AccessControl管理AdministrationWindows的安全全包括括6個主要要的安安全元元素：：審計：：Audit,管理：：Administration加密：：Encryption權限控控制：：AccessControl用戶認認證：：UserAuthentication安全策策略：：CorporateSecurityPolicy。WindowsNT/2K系統內內置支支持用用戶認認證、、訪問問控制制、管管理、、審核核。WindowsServer2003的安安全模模型99組策略ActiveDirectory服務用戶本地安安全策策略Kerberos審核日志SRM內核MSV1_0NetlogonWindowsNT客戶戶和和服服務務器器Windows2000客戶戶和和服服務務器器SAM登錄本地地安安全全授授權權（（LSA）提供供Windows目錄錄服服務務和和復復制制。。它它支支持持輕輕量量級級目目錄錄訪訪問問協協議議（（LDAP）和和數數據據的的管管理理部部分分Windows中默默認認的的身身份份驗驗證證協協議議。。它它用用于于Windows2000計算算機機之之間間以以及及支支持持Kerberos身份份驗驗證證的的客客戶戶之之間間的的所所有有身身份份驗驗證證。。安全全子子系系統統的的中中心心組組件件，，它它促促使使訪訪問問令令牌牌、、管管理理本本地地計計算算機機上上的的安安全全策策略略并并向向用用戶戶登登錄錄提提供供身身份份驗驗證證用于于WindowsNT身份驗證的