计算机网络安全讲义第二讲:系统加固的方法什么是系统加固系统安全加固是指通过一定的技术手段,提高操作系统的主机安全性和抗攻击能力,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。常见手段有:密码系统安全增强、访问控制策略和工具、远程维护的安全性、文件系统完整性审计、增强的系统日志分析系统加固和你们家的防盗是类似的开尽量少的入口,堵住所有的洞加尽可能多,尽可能强的锁发最少的钥匙加强巡查,及时发现问题请保安开尽量少的入口一个功能越复杂的产品,出问题的概率越大,我们必需记住:简单才是美的一台安全的计算机,其功能应该恰恰满足它功能需求,即不少,也不多。安全是有副作用的,偶尔会让你觉得不方便,我们讲的这些内容其实主要是针对服务器的关闭服务的方法开始菜单\设置\控制面板\管理工具\服务直接运行services.msc关闭不必要的服务Windows系统会提供给用户大量的服务,实际上很多服务是很少用到的,它只是给攻击者提供了一个通道而已,把不需要的服务停掉会带来两个好处,第一是提高了安全性,第二是可以提高你的机器的性能必需停止的服务remoteregistry远程注册表服务,允许用户通过网络修改注册表NetMeetingRemoteDesktop允许受权的用户通过NetMeeting在网络上互相访问对方,上网时该服务会把用户名以明文形式发送到连接它的客户端,黑客的嗅探程序很容易就能探测到这些账户信息。必需停止的服务WindowsMessengerservice:俗称信使服务,电脑用户在局域网内可以利用它进行资料交换(传输客户端和服务器之间的NetSend和Alerter服务消息),垃圾邮件和垃圾广告厂商,也经常利用该服务发布弹出式广告,标题为“信使服务”。而且这项服务有漏洞,MSBlast和Slammer病毒就是用它来进行快速传播的。必需停止的服务PerformanceLogsAndAlerts:收集本地或远程计算机基于预先配置的日程参数的性能数据,然后将此数据写入日志或触发警报。为了防止被远程计算机搜索数据,坚决禁止它RemoteDesktopHelpSessionManager:如果此服务被终止,远程协助将不可用。必需停止的服务terminalservices允许多位用户连接并控制一台机器,并且在远程计算机上显示桌面和应用程序如果你用到xp的远程控制功能,那么就需要保留该服务,否则可以禁止它。clipbook启用“剪贴板查看器”储存信息并与远程计算机共享必需停止的服务fastuserswitchingcompatibility为在多用户下需要协助的应用程序提供管理SimpleFileSharing简单文件共享如果一台计算机并不是微软Windows域的一部分,默认情况下所有的文件共享是可以从任何地方访问的。必需停止的服务Telnet(远程登录):远程登录服务是一项很老的机制,可以提供对一台计算机的远程访问。现在,很少使用telnet远程管理一个系统,取而代之的是一种加密协议即SSH。因此完全可以禁用远程登录。不需要别打开的服务IIS:微软的互联网信息服务(IIS)提供了将用户的计算机变成一个Web服务器的能力。这项服务可以通过以下方法关闭之:打开“控制面板”,找到“添加或删除程序”,单击“添加/删除Windows组件”,取消选择“Internet信息服务(IIS)”即可。不需要别打开的服务UniversalPlugandPlayDeviceHost:即前面所说的“通用即插即用设备主机”服务,虽然许多用户在系统中安装了这项服务,其实并不太实用SSDP发现服务:也称为简单服务发现服务,这种服务用于发现网络上的UpnP设备,“通用即插即用设备主机UniversalPlugandPlayDeviceHost”需要这项服务不需要别打开的服务TCP/IPNetBIOSHelper对于不需要文件和打印共享的用户,此项也可以禁用PrintSpooler:将文件加载到内存中以便稍后打印。如果没装打印机,可以禁用UninterruptiblePowerSupply:管理连接到计算机的不间断电源,没有安装UPS的用户可以禁用。不需要别打开的服务smartcard管理计算机对智能卡的取读访问ImapiCd-burningComService:用Imapi管理CD录制,虽然WinXP中内置了此功能,但是我们大多会选择专业刻录软件,另外如果没有安装刻录机的话,也可以禁止该服务。关闭以提高性能的服务indexingservice本地和远程计算机上文件的索引内容和属性,提供文件快速访问这项服务对个人用户没有多大用处,而启用后往往会占用很多cpu资源,所以禁止关闭以提高性能的服务applicationlayergatewayservice为internet连接共享和internet连接防火墙提供第三方协议插件的支持如果你没启用internet连接共享或windowsxp内置防火墙,可以禁止这个服务启用自动更新功能Windows总是有数不清的漏洞大部分攻击都是“拳打不识”微软一般会在大多数人学会利用漏洞前发布补丁,所以启用自动更新可以尽可能的修好你家的栅栏开始菜单/设置/控制面板/自动更新尽量减少共享不是必需的话不要共享文件、不要使用简单共享打开任意一个文件夹,选择工具/文件夹/查看/高级选项,去掉简单共享上的钩再共享文件时就有了安全选项取消默认共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters修改键AutoShareServer”(类型为“REG_DWORD”,值为“0”)2003serverpro为AutoShareWks(类型为“REG_DWORD”,值为“0”)取消默认共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA”的“RestrictAnonymous”项设置为1可以限制IPC$HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters中AutoShareWks设置为0可以禁用ADMIN$尽量减少用户Administrator(系统管理员)——有对计算机/域的完全访问控制权;(2)BackupOperator(备份操作员)——可以备份和还原计算机上的文件,而不论这些文件的权限如何;还可登录到计算机和关闭计算机,但不能更改安全性设置;(3)Guest(客人)——权限同受限用户;(4)PowerUser(高级用户)——权限同标准用户;(5)Replicator(复制员)——权限是在域内复制文件;(6)User(普通用户)——权限同受限用户。尽量减少用户在开始/设置/控制面板/管理工具/计算机管理/本地用户和组/用户中禁用所有的用户,只留一个用于使用计算机的用户改变管理员帐户名称单击“开始→运行”,在弹出的运行对话框中输入“gpedit.msc”打开组策略编辑器,依次展开“Windows设置→安全设置→本地策略→安全选项”,并将右边列表框下拉到最底下,双击“重命名系统管理员账户”即可更名了。禁用自动运行功能单击“开始→运行”,在“打开”框中,键入“gpedit.msc”,展开“计算机配置→管理模板→系统”,然后在右窗格的“设置”标题下,双击“关闭自动播放”卸载除TCP/IP以外的网络协议应该安装尽量少的协议如果不需要在局域网上提供共享资源,那就只需要TCP/IP协议,应此把其他的协议都卸载把选中网上邻居,右键选属性,把多余的协议删掉旧可以了解除netbios和tcp/ip的邦定选中网上邻居,右键选属性,选中tcp/ip选属性,选高级/wins,选中禁用tcp/ip上的netbios禁用不必要的端口选中网上邻居,右键选属性,选中tcp/ip选属性,选高级/选项,选中筛选器,点击属性可以打开tcp/ip筛选器非常遗憾,tcp/ip筛选器只能增加允许的端口而不能禁用端口,设置起来非常麻烦我们有一个方法可以禁用端口1.开始-控制面板(或者管理)→管理工具→本地安全策略2.右击“Ip安全策略,在本地计算机”,选择“管理IP筛选器表和筛选器操作”,就可以启动管理IP筛选器表和筛选器操作对话框3.在“管理IP筛选器表”中,按“添加”按钮打开了IP筛选器列表禁用端口的方法4.⑴在名称(N)下面添上“禁止139端口”任何名字都行,只要你知道就行,描述(D)也写上“禁止139端口”⑵添加按扭进入ip筛选向导⑶惦记下一步进入筛选向导⑷在源地址(S):处选择下拉里的第二项“任何ip地址”下一步禁用端口的方法⑸在目标地址(D):选上“我的ip地址”下一步⑹选择协议类型(S):把”任意”选改为“tcp”下一步⑺设置ip协议断口:可以看到很相似的两组选项选择到端口(O)注意不是从端口(R)添上你要禁止的端口“139”下一步⑻完成禁用端口的方法5.止此回到了筛选列表窗口,可以看到筛选器(S)窗口有了信息,看完了吗?按确定按扭将回到了“管理IP筛选器表和筛选器操作”窗口6.点击“管理筛选器操作”同4中的⑴⑵⑶将进入:“筛选器操作”窗口7.选择第二个“阻止”点击“下一步”→“完成”8.回到了“管理IP筛选器表和筛选器操作”窗口,点击“关闭”按扭禁用端口的方法9.回到了本地安全设置窗口右击“Ip安全策略,在本地计算机”,选择“创建ip安全策略”同4中的⑴⑵⑶进入“为此安全规则设置初始身份验证方法”,不管使用默认项“ActiveDirectory”默认值(KerberosV5协议),点击下一步10.出现一个警告窗口:“只有当这个规则在一台为域成员的计算机上Kerberos才有效。这台计算机不是一个域成员。您想继续并保留这些规则的属性吗?”选择“是”禁用端口的方法11.点击“完成”按扭进入编辑属性窗口12.“常规”和“规则”→点击“规则”→点击“添加”按扭进入“安全规则向导”13.点击“下一步”,一直下一步,出现一个同样的警告yes14.从ip筛选器列表(I)框中点上第一个:“禁止139端口”前面的○成为⊙禁用端口的方法15.同14,选择下一步。同7,出现“完成”按扭,点击完成。确定16.关闭属性筐回到了本地安全策略17.右键点击右面窗口的“禁止139端口连接”→指派禁用端口的方法这个方法其实也很麻烦,不如安个第三方的防火墙,那里面禁用端口容易的多应该禁用端口–TCP135、139、445、593、1025–TCP2745、3127、6129、3389–UDP135、137、138、445端口的作用135为RPC通信提供一种服务端口的映射功能139端口是一种TCP端口,该端口在你通过网上邻居访问局域网中的共享文件或共享打印机时就能发挥作用445端口也是一种TCP端口,该端口在Windows2000Server或WindowsServer2003系统中发挥的作用与139端口是完全相同的。具体地说,它也是提供局域网中文件或打印机共享服务。端口的作用593IPC开设的端口3389远程登录强化密码管理密码是计算机的锁,要想安全,必需设定有一定强度的密码我们可以通过安全策略来设定密码的要求,在控制面板\本地安全策略\帐户策略启用复杂性要求复杂性要求下的密码设定不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分至少有六个字符长包含以下四类字符中的三类字符:英文大写字母(A到Z)英文小写字母(a到z)10个基本数字(0到9)非字母字符(例如!、$、#、%)在更改或创建密码时执行复杂性要求。其他的可以设置的内容密码长度最小值密码最大存活期强制密码历史帐户锁定策略