《现代操作系统与网络服务管理》课件第6章WIN2008安全管理.ppt
《《现代操作系统与网络服务管理》课件第6章WIN2008安全管理.ppt》由会员分享,可在线阅读,更多相关《《现代操作系统与网络服务管理》课件第6章WIN2008安全管理.ppt(56页珍藏版)》请在文库网上搜索。
1、第第6章章 Windows Server 2008安全管理安全管理6.1 Windows Server系统安全系统安全6.2 Windows Server 2008本地安全策略本地安全策略6.3 本地组策略安全管理本地组策略安全管理6.1 Windows Server系统安全系统安全n1、拒绝修改防火墙安全规则nWin2008系统新增加的高级安全防火墙功能,可以允许用户根据实际需要自行定义安全规则,从而实现更加灵活的安全防护目的。不过该防火墙还有一些明显不足,那就是管理员对它进行的一些设置以及创建的安全规则,几乎都是直接存储在本地Win2008系统注册表中的,非法攻击者只需要编写简单的攻击脚本
2、代码,就能通过修改对应系统注册表中的内容,达到修改防火墙安全规则的目的,从而可以轻松跨越高级安全防火墙的限制。那么如何才能拒绝非法攻击者通过修改系统注册表中的相关键值来跨越高级安全防火墙功能的限制呢?(1)首先,在Win2008系统运行命令“regedit”,打开系统的注册表控制窗口。(2)展开HKEY_LOCAL_MACHINE节点,找到SYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyFirewallRules注册表子项如果非法攻击者具有访问FirewallRules注册表子项的权限时,那么它就能随意修改该分支下面
3、的各个安全规则以及设置参数了,而在默认状态下任何普通用户的确是可以访问目标分支的。因此,我们必须限制Everyone帐号来访问FirewallRules注册表子项。我们必须先将鼠标选中FirewallRules注册表子项,同时用鼠标右键单击该注册表子项,并执行快捷菜单中的“权限”命令,打开目标注册表子项的权限设置对话框;单击该对话框中的“添加”按钮,打开用户帐号选择对话框,从中选中“Everyone”帐号并将它添加进来,之后选中“Everyone”帐号,并将对应该帐号的“完全控制”权限调整为“拒绝”,再单击“应用”按钮6.1 Windows Server系统安全系统安全n2、使用加密解密保护文
4、件安全nWin2008系统自身就集成了加密、解密功能,只是在缺省状态下该功能使用起来很不方便,因此很少人会想到使用该功能来保护本地系统重要文件的安全。通过下面的设置操作将Win2008系统自带的加密、解密功能集成到鼠标的快捷菜单中,日后我们只要打开目标文件的快捷菜单就可以轻松选用加密、解密功能来保护文件的安全了。HKEY_CURRENT_USER节点分支上,找到SoftwareMicrosoft WindowsCurrentVersionExplorerAdvanced子项,再用鼠标右键单击“Advanced”注册表子项,并执行快捷菜单中的“新建”/“Dword值”命令,同时将新创建的双字节值
5、名称设置为“EncryptionContextMenu”。用鼠标双击“EncryptionContextMenu”注册表键值,打开双字节值对话框,在其中输入十进制数字“1”,再单击“确定”按钮执行保存操作,最后按F5功能键刷新一下系统注册表,如此一来我们打开某个重要文件的快捷菜单时,就能发现其中包含“加密”、“解密”等功能选项了6.1 Windows Server系统安全系统安全n3、实时监控系统运行安全nWin2008系统自带有实时监控程序Windows Defender,一旦Win2008系统遭遇间谍程序的攻击,该程序就会立即发挥作用来帮助用户解决问题。Windows Defender程序
6、实际上在系统后台启动了一个服务,通过该系统服务默默地保护Win2008系统的安全,只不过该程序并不像其他应用程序那样会在系统托盘区域处出现一个控制图标。可以通过下面的操作,确认Windows Defender程序的服务状态是否正常:n(1)首先运行命令“services.msc”,打开系统服务列表窗口。n(2)在系统服务列表窗口的左侧位置处,找到目标系统服务选项“Windows Defender”。建议将它的启动类型参数修改为“自动”,并保存此设置,这样就能确保Windows Defender服务时刻来保护Win2008系统的安全了。6.1 Windows Server系统安全系统安全n3、实
7、时监控系统运行安全n为了让Windows Defender服务更有针对性地进行实时监控,我们还可以修改Win2008系统的组策略参数,让Windows Defender程序对已知文件或未知文件进行监测,同时对监测结果进行跟踪记录,下面就是具体的修改步骤:n(1)首先在Win2008系统桌面中依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,打开系统的组策略控制台窗口;n(2)其次在该控制台窗口的左侧显示区域处,依次点选“计算机配置”/“管理模板”/“Windows组件”/“Windows Defender”组策略子项,从目标子项下面
8、找到“启用记录已知的正确检测”选项,并用鼠标右键单击该选项,从弹出的快捷菜单中执行“属性”命令,打开目标组策略的属性设置窗口,6.1 Windows Server系统安全系统安全n4、限制远程连接数量,确保远程连接高效n控制面板-管理工具-终端服务-终端服务配置此外,也可以通过修改系统相关键值的方法,打开“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services”注册表子项,在目标注册表子项下面创建“MaxInstanceCount”双字节值,同时将该键值数值调整为“10”将最大连接数参数修改为适当的数值,该数
9、值通常需要根据服务器系统的硬件性能来设置,一般情况下我们可以将该数值设置为“5”以下,在实际管理Windows Server 2008服务器系统的过程中,一旦发现服务器系统运行状态突然不正常时,可以按照下面的办法强行断开所有与Windows Server 2008服务器系统建立连接的各个远程连接,以便及时将服务器系统的工作状态恢复正常。(1)输入“gpedit.msc”命令,打开组策略控制台窗口。(2)在组策略控制台窗口左侧位置处的“用户配置”节点分支,并用鼠标逐一点选目标节点分支下面的“管理模板”/“网络”/“网络连接”组策略选项,之后双击“网络连接”分支下面的“删除所有用户远程访问连接”选
10、项,6.1 Windows Server系统安全系统安全n5、修改远程连接端口n远程桌面服务所使用的通信协议是Microsoft定义RDP(Reliable Data Protocol)协议,RDP协议的TCP通信端口号是3389。为了安全起见,我们常需要更改其端口。运行注册表编辑器,找到HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWdsrdpwdtdstcp和HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlnTerminalServerWinStations 下,
11、也就是RDP协议的端口,改成欲设的端口。6.1 Windows Server系统安全系统安全n6、加强系统安全提示n为了防止在Windows Server 2008服务器系统中不小心进行了一些不安全操作,尽量将系统自带的用户权限控制(User Account Control)UAC功能启用起来,并且该功能还能有效防范一些木马程序自动在系统后台进行安装操作。输入“msconfig”n进入如图6-5所示的标签设置页面,从该设置页面的工具列表中找到“启用UAC”项目,n如此一来用户日后在Windows Server 2008服务器系统中不小心进行一些不安全操作时,系统就能及时弹出安全提示。6.1.2
12、 防止外部远程入侵防止外部远程入侵默认情况下,Windows开放一些共享和端口,而正是这些开放的共享和端口,黑客可以获取到你电脑的信息,并连上你的电脑。为了让你的系统变为铜墙铁壁,应该删除一些共享,封闭这些端口,常见的端口如TCP的135、139、445、593、1025 端口和 UDP的135、137、138、445 端口,以及一些流行的后门端口(如 TCP 2745、3127、6129 端口)和远程服务端口3389。此外,Windows系统的一些服务也可能是不安全的因素,所以,除非必要,尽量关闭这些服务。6.1.2 防止外部远程入侵防止外部远程入侵1、关闭139端口139端口开启是由于Ne
13、tBIOS网络协议的使用。NetBIOS即网络基本输入输出系统,系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,从而实现信息通讯。但在Internet上,NetBIOS就相当于一个后门程序,很多攻击者都是通过NetBIOS漏洞发起攻击。通常,攻击者首先在网络上查找存在139端口漏洞的主机地址,查找过程中可以使用一些扫描工具,如SuperScan。扫描结束后,如果找到一台存在139端口漏洞的主机,就可以在命令行方式下使用“nbtstat-a IP地址”这个命令获得用户的信息情况,并获得攻击主机名称和工作组。接下来攻击者需要做的就是实现与攻击目标资源
14、共享,使用Net View和Net user命令显示计算机列表和共享资源,并使用nbtstat-r和nbtstat-c命令查看具体的用户名和IP地址。要关闭139端口,打开“本地连接属性”“TCP/IPv4属性”“高级”“WINS NetBIOS设置”,选中“禁用TCP/IP的NETBIOS”。6.1.2 防止外部远程入侵防止外部远程入侵2、禁止ipc$空连接ipc(internet process connection)是远程网络连接。而ipc$,admin$,c$,d$,e$这些是winnt和win2000的默认共享。ipc$就是一种管道通讯,它在两个ip间建立一个连接。一般如果对方主机开
15、了139,445端口,就说对方开了共享。ipc$是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限。借助空连接可以列举目标主机上的用户和共享,访问everyone权限的共享,访问小部分注册表等。要禁止ipc$空连接,打开系统的注册表控制窗口,在注册表中将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA项里数值名称RestrictAnonymous的数值数据由0改为1。6.1.2 防止外部远程入侵防止外部远程入侵2、禁止ipc$空连接除此以外,尽量删除不必要的系统文件共享。要查看所有共享的文件,打开“开始”“管理工具”
16、“共享和存储管理”,如图6-6所示。对于图中“共享”选项卡中的共享,可以借助DOS命令删除。如删除图6-9中的e盘共享,只需输入命令“net share e$/del”。6.1.2 防止外部远程入侵防止外部远程入侵3、关闭135端口,防止rpc漏洞Windows系统下的135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输。RPC本身在处理通过TCP/IP的消息交
17、换部分有一个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口,该接口侦听的端口就是135。有名的“冲击波”病毒就是利用RPC漏洞来攻击计算机的。输入“dcomcnfg”,单击“确定”,打开组件服务。选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“移除”按钮。接下来打开“管理工具”“服务”,找到RPC(Remote Procedure Call Locator)服务,选中右击“属性”,在“恢复”选项卡中将“第一次失败”、“第二次失败”和“后续失败”都设置为不操作。6.1.2 防止外部远程入侵防止外部远程入侵4、关闭远程连接端口,不允许
18、连接到计算机打开“本地组策略编辑器”“本地计算机策略”“计算机配置”“管理模板”“网络”“网络连接”“Windows防火墙”“标准配置文件”,双击后在右侧窗口中找到“Windows防火墙:允许入站远程桌面例外”,右击选择“属性”并打开,选中“已禁用”,单击“应用”并“确定”,如图6-8所示。6.1.2 防止外部远程入侵防止外部远程入侵5、禁用服务打开“控制面板”,进入“管理工具”“服务”,关闭以下服务:Kerberos Key Distribution Center授权协议登录网络;Print Spooler打印机服务;Remote Registry使远程计算机用户修改本地注册表;Routin
19、g and Remote Access在局域网和广域网提供路由服务;Server支持此计算机通过网络的文件、打印、和命名管道共享;Special Administration Console Helper允许管理员使用紧急管理服务远程访问命令行提示符;TCP/IPNNetBIOS Helper提供TCP/IP服务商的NetBIOS和网络上客户端的NetBIOS名称解析的支持而使用户能够共享文件、打印和登录到网络;Terminal Services允许用户以交互方式连接到远程计算机。6.2 Windows Server 2008本地安全策略本地安全策略单击“开始”“管理工具”“本地安全策略”选项
20、,即可打开“本地安全策略”对话框。也可以通过命令方式打开,单击“开始”“运行”,在弹出的对话框中输入“secpol.msc”命令。6.2 Windows Server 2008本地安全策略本地安全策略其默认的安全设置在图中有所体现。其中:1.密码必须符合复杂性要求:复杂性要求包括密码不能包含用户的账户名,不能包含用户姓名中超过两个连续字符的部分;至少有6个字符长;包含以下四类字符中的三类字符:1)英文大写字母;2)英文小写字母;3)10个基本数字;4)非字母字符(如!、$、#、%)。2.密码长度最小值:可选范围为1-14,0表示允许不设置密码。3.密码最短使用期限:可选范围为0-998,独立服
21、务器默认为0天,域控制器默认为1天。4.密码最长使用期限:可选范围为1-999吗,默认为42天,0表示永不过期。5.强制密码历史:用于限制用户更改账号密码之前不得使用的旧密码个数。范围为0-24,独立服务器默认为0,域控制器默认为24.6.用可还原的加密来存储密码:用于确定操作系统是否使用可还原的加密来存储密码,此策略为某些应用程序提供支持,这些应用程序使用的协议需要用户密码来进行身份验证。除非应用程序需求比保护密码信息更重要,否则不予启用。设置完成后,单击“开始”“运行”,在弹出的运行对话框中输入“gpupdate/force”命令6.2 Windows Server 2008本地安全策略本
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 现代操作系统与网络服务管理 现代 操作系统 网络服务 管理 课件 WIN2008 安全管理