第11章 Windows 操作系统安全

版权所有，盗版必纠第11章Windows操作系统安全李剑北京邮电大学信息安全中心E-mail:lijian@bupt.edu.cn电话：130－01936882版权所有，盗版必纠概述WindowsNT（NewTechnology）是微软公司第一个真正意义上的网络操作系统，发展经过NT3.0、NT40、NT5.0（Windows2000）和NT6.0（Windows2003）、WindowsXP等众多版本，并逐步占据了广大的中小网络操作系统的市场。但是在Windows系统里面有一些安全配置，在默认情况下是没有设置的，需要根据具体情况进行设置。版权所有，盗版必纠目录•第11章Windows操作系统安全•11.1Windows操作系统介绍•11.2Windows2000安全配置•11.3安装Windows操作系统注意事项•11.4给操作系统打补丁版权所有，盗版必纠•WindowsNT众多版本的操作系统使用了与Windows9X完全一致的用户界面和完全相同的操作方法，使用户使用起来比较方便。与Windows9X相比，WindowsNT的网络功能更加强大并且安全。•WindowsNT系列操作系统具有以下三方面的优点。•1.支持多种网络协议•由于在网络中可能存在多种客户机，如Windows95/98、AppleMacintosh、Unix、OS/2等等，而这些客户机可能使用了不同的网络协议，如TCP/IP协议、IPX/SPX等。WindowsNT系列操作支持几乎所有常见的网络协议。•2.内置Internet功能•随着Internet的流行和TCP/IP协议组的标准化，WindowsNT内置了IIS（InternetInformationServer），可以使网络管理员轻松的配置等服务。•3.支持NTFS文件系统•Windows9X所使用的文件系统是FAT，在NT中内置同时支持FAT和NTFS的磁盘分区格式。使用NTFS的好处主要是可以提高文件管理的安全性，用户可以对NTFS系统中的任何文件、目录设置权限，这样当多用户同时访问系统的时候，可以增加文件的安全性。11.1Windows操作系统介绍版权所有，盗版必纠•1.保护guest帐号•可以将guest帐号关闭、停用或改名。如果必需要用guest帐号的话，需将guest列入拒绝从“网络访问”名单中(如果没有共享文件夹和打印机)，防止guest从网络访问计算机、关闭计算机以及查看日志。如图11.1所示。11.2.1保护帐号版权所有，盗版必纠•2.限制用户数量•去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。•帐户很多是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。•对于WindowsNT/2000主机，如果系统帐户超过10个，一般能找出一两个弱口令帐户，所以帐户数量不要大于10个。这些不用的帐户可以去掉，如图11.2所示。11.2.1保护帐号版权所有，盗版必纠11.2.1保护帐号版权所有，盗版必纠•3.管理员帐号改名•Windows2000中的Administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。•不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone。具体操作的时候只要选中帐户名改名就可以了，如图11.3所示。11.2.1保护帐号版权所有，盗版必纠11.2.1保护帐号版权所有，盗版必纠•4.建陷阱帐号•陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。•这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组。密码为大于32位的数字＋字符＋符号密码，如图11.4所示。建立的陷阱帐号如图11.5所示。11.2.1保护帐号版权所有，盗版必纠11.2.1保护帐号版权所有，盗版必纠11.2.1保护帐号版权所有，盗版必纠•好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。一些网络管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，比如：“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。•这里给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。11.2.2设置安全的密码版权所有，盗版必纠•设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，黑屏就可以了。将屏幕保护的选项“密码保护”选中就可以了，并将等待时间设置为最短时间“1分钟”，如图11.6所示。11.2.3设置屏幕保护密码版权所有，盗版必纠•计算机里通常安装有了些不必要的服务，如果这些服务没有用的话，最好能将这些服务关闭。例如：为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果开了，要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。Windows中可禁用的服务及其相关说明如表11.1所示。11.2.4关闭不必要的服务版权所有，盗版必纠11.2.4关闭不必要的服务版权所有，盗版必纠•关闭端口意味着减少功能，如果服务器安装在防火墙的后面，被入侵的机会就会少一些，但是不可以认为高枕无忧了。可以在操作系统里来限制端口的访问，如图11.7所示为从操作系统TCP/IP里限制端口，只开放4个端口。关于这一点，在前面网络后门与网络隐患一章中已经讲过了。11.2.5关闭不必要的端口版权所有，盗版必纠•审核策略在默认的情况下都是没有开启的。打开“控制面板”→“管理工具”→“本地安全设置”→“审核策略”，如图11.8所示。11.2.6开启系统审核策略版权所有，盗版必纠•从图中可以看到,9个审核策略都没有打开。最好将这些信息审核信息都打开。以便于以后出现安全事件的时候进行查找。双击要打开的审核策略选项，出现如图11.9所示的界面。11.2.6开启系统审核策略版权所有，盗版必纠•系统密码在默认的情况下都是没有开启的。打开“控制面板”→“管理工具”→“本地安全设置”→“审核策略”，如图11.10所示。11.2.7开启密码策略版权所有，盗版必纠11.2.7开启密码策略版权所有，盗版必纠•系统帐户锁定策略在默认的情况下都是没有开启的。打开“控制面板”→“管理工具”→“本地安全设置”→“帐户锁定策略”，如图11.11所示。11.2.8开启帐户锁定策略版权所有，盗版必纠11.2.8开启帐户锁定策略版权所有，盗版必纠•下载操作系统最新的安全补丁可以下载一些工具如，奇虎360安全卫士等。打开奇虎360安全卫士软件主界面，选择“修复系统漏洞”选项，如图11.12：11.2.9下载最新的补丁版权所有，盗版必纠11.2.9下载最新的补丁版权所有，盗版必纠11.2.9下载最新的补丁版权所有，盗版必纠•系统的共享为用户带来了众多麻烦，经常会有病毒通过共享来进入电脑。Windows2000/XP/2003版本的操作系统提供了默认共享功能，这些默认的共享都有“$”标志，意为隐含的，包括所有的逻辑盘（C$，D$，E$……）和系统目录Winnt或Windows（admin$）。•这些共享，可以在DOS提示符下输入命令NetShare查看，如图11.15所示。因为操作系统的C盘、D盘等全是共享的，这就给黑客的入侵带来了很大的方便。“震荡波”病毒的传播方式之一就是扫描局域网内所有带共享的主机，然后将病毒上传到上面。下面给大家介绍5种可以关闭操作系统共享的方法。11.2.10关闭系统默认共享版权所有，盗版必纠11.2.10关闭系统默认共享版权所有，盗版必纠•第一种方法:右键关系法。方法是打开“控制面板”→“管理工具”→“计算机管理”→“共享文件夹”→“共享”，在相应的共享文件夹上右击停止共享即可，如图11.16所示。11.2.10关闭系统默认共享版权所有，盗版必纠•但是细心的读者会发现，如果采用这种方法关闭共享，当用户重新启动计算机后，那些共享又会加上了!所以这种方法不能从根本上解决问题。•第二种方法：批处理法。打开记事本，输入以下内容（记得每行最后要回车）：•netshareipc$/deletenetshareadmin$/deletenetsharec$/deletenetshared$/deletenetsharee$/delete•……（有几个硬盘分区就写几行这样的命令）•将以上内容保存为NotShare.bat（注意后缀），然后把这个批处理文件拖到“程序”→“启动”项，这样每次开机就会运行它，也就是通过net命令关闭共享。如果哪一天需要开启某个或某些共享，只要重新编辑这个批处理文件即可（把相应的那个命令行删掉）。11.2.10关闭系统默认共享版权所有，盗版必纠•第三种方法：注册表改键值法。•单击“开始”→“运行”输入“regedit”确定后，打开注册表编辑器，找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”项，双击右侧窗口中的“AutoShareServer”项将键值由1改为0，这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项，可自己新建一个再改键值。然后还是在这一窗口下再找到“AutoShareWks”项，也把键值由1改为0，关闭admin$共享。最后到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”项处找到“restrictanonymous”，将键值设为1，关闭IPC$共享。本方法必须重启机器才能生效，但一经改动就会永远停止共享。11.2.10关闭系统默认共享版权所有，盗版必纠•第四种方法：停止服务法。这种方法最简单，打开“控制面板”的“计算机管理”窗口中，单击展开左侧的“服务和应用程序”并选中其中的“服务”，此时右侧就列出了所有服务项目。共享服务对应的名称是“Server”（在进程中的名称为services），找到后右击它，在弹出的菜单中选择“属性”，如图11.17所示。在弹出的Server属性界面当中选择“常规”标签，把“启动类型”由原来的“自动”更改为“已禁用”。然后单击下面“服务状态”的“停止”，再单击“确定”，如图11.18所示。这样，系统中所有的共享都会去掉了。11.2.10关闭系统默认共享版权所有，盗版必纠11.2.10关闭系统默认共享版权所有，盗版必纠11.2.10关闭系统默认共享版权所有，盗版必纠•第五种方法：卸载“文件和打印机共享”法。方法是右击“网上邻居”选“属性”，在弹出的“网络和拨号连接”窗口中右击“本地连接”选“属性”，从“此连接使用下列选定的组件”中选中“Microsoft网络的文件和打印机共享”后，单击下面的“卸载”，再单击“确定”，如图11.19所示。11.2.10关闭系统默认共享版权所有，盗版必纠11.2.10关闭系统默认共享版权所有，盗版必纠•注意：本方法最大的缺陷是当在某个文件夹上右击时，弹出的快捷菜单中的“共享”一项消失了，因为对应的功能服务已经被卸载了，以后如果再想用共享时，需要重新加载这个协议。11.2.10关闭系统默认共享版权所有，盗版必纠•黑客利用TTL（Time-To-Live，活动时间）值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连