Windows系统安全加固技术刘春林Windows系统安全加固技术配置注册表提高系统安全账号安全策略设置系统服务安全设置系统权限技术注册表和系统文件监控系统进程和端口检查和分析系统漏洞检查和分析IIS安全设置目录配置注册表提高系统安全通过注册表,用户可以轻易地添加、删除、修改windows系统内的软件配置信息或硬件驱动程序,这不仅方便了用户对系统软硬件的工作状态进行适时的调整,与此同时注册表也成为入侵者攻击的目标,通过注册表种植木马、修改软件信息,甚至删除、停用或改变硬件的工作状态注册表相关知识注册表根项说明HKEY_LOCAL_MACHINE包含关于本地计算机系统的信息,包括硬件和操作系统数据。HEKY_CLASSES_ROOT包含由各种OLE技术使用的信息技术和文件类别关联数据HKEY_CURRENT_USER包括环境变量、桌面设置、网络连接、打印机和程序首选项。HKEY_USERS包含关于动态加载的用户配置文件和默认的配置文件的信息。有些信息和HKEY_CURRENT_USER交叉出现。HKEY_CURRENT_CONFIG包含在启动时由本地计算机系统使用的硬件配置文件的相关信息。确保注册表安全利用文件管理器对C:\WINDOWS\system32\config\注册表文件设置成只允许管理员能够使用该命令访问修改注册表,其他用户只能读取,但不能修改,这样可以防止非法用户恶意修改注册表。注册表安全设置的典型案例彻底隐藏文件及文件夹HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,CheckedValue键值项,将它的键值修改为“0”,如果没有该键值的话,可以自己新建一个名为“CheckedValue”的“DWORD值”,然后将其值修改为“0”即可。隐藏磁盘“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”,在右侧窗口中新增一个名为“NoDrives”的DWORD值。若将“数值数据”设为“1”,则表示隐藏A盘;设为“2”则表示隐藏B盘;设为“4”表示隐藏C盘,隐藏其它的盘符可按此规律类推,只要“数值数据”是上一个数值一倍即可,将多个盘符数值相加可以同时隐藏多个磁盘。账户克隆实验账号及安全策略帐号安全是计算机系统安全的第一关,如果计算机系统帐号被盗,那么计算机将会很危险的,轻则入侵者可以任意控制计算机,如果我们的计算机中保存着重要的机密文件或者银行卡号与密码,那么损失将会非常严重。个人计算机用户防范:1、安装杀毒软件及防火墙,并经常升级。2、经常升级系统和应用软件补丁。3、不要轻易打开来历不明的文件。4、关闭不需要的系统服务。5、为所有帐号加上足够复杂的密码服务器及企业用户的防范:1、安装杀毒软件及防火墙(最好是硬件防火墙)2、经常升级系统及应用软件补丁3、不要打开来历不明的文件4、关闭不需要的系统服务5、关闭GUEST帐户或者给所有的用户加一个足够复杂的密码6、把管理员组administrators改名7、服务器的分区格式都采用NTFS格式8、开启安全审核9、使用扫描工具对服务器和WEB站点进行安全扫描10、经常查看系统进程和系统日志11、定期做好备份防止“帐号克隆”的本地安全设置黑客通过入侵得到一台计算机的帐号及密码后,一般会想办法让自己隐藏起来,避免被管理员发现,他们会“克隆”一个帐号,这个账号一般是管理员不太注意的,这样他就可以长期控制着台计算机而不被发现。因此我们必须阻断其“克隆”的途径,方法是禁用存有帐户名称和密码的SAM帐户。1、控制面板----管理工具-----本地安全策略选项2、在“本地安全设置”中单击“本地策略”中的“安全选项”命令,将右边“策略”中“网络访问:不允许SAM帐户的匿名枚举”及“网络访问:不允许SAM帐户和共享的匿名枚举”命令启用,如下图:系统服务安全设置计算机提供的服务具有两面性,一是为合法用户服务,二也有可能被入侵者利用,通过系统服务的漏洞入侵计算机的安全事件数不胜数,为了让计算机系统的安全性更加坚固,下面讲述一下如何配置系统服务安全。禁止不必要的系统服务AlerterRemoteAccessServerClipBookServerRemoteProcedureCall(RPC)LocaterComputerBrowserRemoteRegistryServerDHCPClientRunASServiceDirectoryReplicatorScheduleFtpPublishingServiceServerLicenseLoggingServiceSpoolerMessengerTelephonyNetLogonTelephoneServiceNetWorkDDETerminalServiceNetWorkDDEDSDMTelnetNetWorkMonitorTCP/IPNetBiosHelper系统服务安全配置修改TTL值防止ICMP重定向报文攻击修改注册表防御DoS攻击禁止默认共享提高Cookie安全级别防止跨站攻击系统服务安全配置黑客为了得到入侵的第一手资料,通常会先判断目标计算机的操作系统类型。通过Ping目标计算机的IP地址,由返回来的TTL(存活时间)值来判断是什么操作系统。因此我们修改TTL值来迷惑黑客对操作系统的探测和判断:1、打开注册表,展开子项键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters改变DefaultTTL键值,windowsXP的默认键值为64,我们可以改为128或256等TTL修改后的键值项修改注册表防御DoS攻击黑客工具的普遍流传,造成DoS攻击越来越来傻瓜化,攻击者不需要很高的计算机技术知识就可以实施。因此防范DoS攻击提高系统的抵抗能力也成为我们的当务之急。这里以windowsXP为例讲述利用简单的修改注册表提高系统对于DoS攻击的抵抗能力修改注册表抵御DoS攻击进入注册表,展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters找到SYNATTACKPROTECT键值项,把默认的数值由“1”改为“2”,启动SYN攻击保护,从而实现抵御DoS攻击禁止默认共享默认共享是Windows内核的windows操作系统为了方便远程管理而开放的共享,它使用的是139端口。它包含了所有的逻辑盘(C$,D$....)和系统目录,默认共享很容易被恶意利用,IPC$攻击就是针对默认共享的,用netshare查看系统开放的共享禁止空连接进行枚举展开分支:HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa修改restrictanonymous的值,有默认的“0”改为“1”禁止默认共享HKEY_LOCAL_MACHINE\system\currentcontrolset\services\lanmanserver\paranmeters修改AutoshareServer为“0”关闭默认共享依靠Server服务打开控制面板----管理工具---服务选项,在本地服务中找到“server”,右击后选择“属性”,然后在常规选项中单击“停止”,禁用。系统权限设置Windows2000以后的操作系统引入了一种权限机制,以实现对计算机的分级管理,它使不同的用户有不同的权限,从而适应了更加目前严峻的安全状况和应用需求。Windows默认的权限设置存在纰漏,很容易被黑客以及病毒木马利用,合理设置权限才能保障计算机的安全。FAT32转为NTFS格式由于NTFS磁盘格式具有FAT32所没有的文件权限分级和加密安全性设计,因此为防止病毒或黑客木马破坏系统,可以利用NTFS强大的权限分级来实现。FAT32转换成NTFS过程:进入命令行操作窗口输入convertd:/fs:ntfs,其中d:为要转换的盘符,这样d盘就转换成NTFS格式了文件夹权限的设置大多数木马或病毒经常将自身文件通过Administrators用户写入system32文件夹中,因此我们可以通过NTFS格式中文件或文件夹属性中的权限设置杜绝木马或病毒随意将文件写入system32中。修改办法:右击“system32”文件夹,点击“属性”,在安全选项卡中选择Administrators,然后在“Administrators的权限窗口中”在“写入”多选框中选中“拒绝”。这样就避免病毒或木马文件在此目录下形成文件。(如何开启windowsxp文件、文件夹的安全选项卡windowsxp安装完成以后,默认情况下,文件、文件夹的安全选项卡不能设置(显示),打开方法如下:1.单击“开始”,然后单击“我的电脑”。2.在“工具”菜单上,单击“文件夹选项”,然后单击“查看”选项卡。3.在“高级设置”部分中,清除“使用简单文件共享(推荐)”复选框。4.单击“确定”。这样,你再次打开文件、文件夹的属性窗口,即可看见您期待的安全选项卡。)修改system文件夹安全选项限制协议和端口TCP/IP属性---高级---选项---tcp/ip筛选属性中添加或删除端口、协议修改完成后,“禁用”---”启动“后即生效IP安全策略IP安全策略是一个给予通讯分析的策略,它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后决定是允许还是拒绝通讯的传输,它弥补了传统TCP/IP设计上的随意信任重大安全漏洞,可以实现更仔细更精确的TCP/IP安全,也就是说,当我们配置好IP安全策略后,就相当于拥有了一个免费,但功能完善的个人防火墙。配置过程…注册表及系统文件监控病毒及黑客入侵往往会改写注册表和向系统文件夹中添加其运行必需的文件和参数,因此监控注册表和系统文件是否发生变化,使我们查找和防御黑客和病毒入侵的一个必要手段。下面我们通过Regsnap工具演示一下监控注册表和系统文件的方法和过程RegSnap介绍RegSnap是一个优秀的注册表快照工具。主要功能有:详细地向你报告注册表及其他与系统有关项目的修改和变化情况。报告结果既可以纯文本的方式,也可以HTML网页的方式显示,非常便于查看。RegSnap报告的内容有:注册表的变化情况;windows、System和「我的文档」目录下文件的变化情况,包括删除、替换、增加了哪些文件;系统配置文件Win.ini和System.ini的变化情况,包括删除、修改和增加了哪些内容;自动批处理文件Autoexec.bat是否被修改过。该软件可以在需要的时候方便地恢复注册表,可以直接调用「注册表编辑器」查看或修改注册表,还可以查看当前计算机的计算机名和用户名。RegSnap使用流程1、初始快照2、时间结束快照3、对比快照内容RegSnap快照设置配置RegSnap快照RegSnap快照比较RegSnap快照结果端口检查命令netstat-a查看开启了哪些端口netstat-n查看端口的网络连接情况我们往往将这两个参数合并执行进程查看器我们通过进程查看器可以随时监视及其内存中的程序活动状态---PrcView系统漏洞检查和分析系统漏洞往往是黑客和病毒入侵的突破口,因此在运用一些工具及设置加固系统的时候,堵塞漏洞是必需的。目前检查漏洞的工具很多,几乎每个杀毒软件都有相应的功能,例如瑞星防火墙不仅可以查找漏洞还可以自动连接微软的补丁网站下载并安装漏洞补丁。这里就不再赘述了。IIS安全设置IIS安装时,尽量避免把IIS安装在系统分区上,否则系统文件与IIS同样面临非法访问,容易使非法用户侵入系统分区。目录的访问权限在[网站]—[属性]—[主目录]属性页,对用户是