Windows系统加固

计算机科学与工程学院天津理工大学计算机科学与工程学院实验报告2016至2017学年第二学期课程名称信息安全综合实验实验（1）实验名称Windows系统加固实验时间2017年05月14日第1节至第4节学号姓名专业班级指导教师辅导教师成绩计算机科学与工程2批改意见实验目的1）掌握windows的安全加固方案；2）保证服务器的安全。实验内容（应包括实验题目、实验要求、实验任务等）1）实验题目：Windows系统加固；2）实验报告要求:根据实验步骤完成实验任务，并对实验过程进行分析，完成思考题目，总结实验的心得体会，并提出实验的改进意见;3）实验任务：掌握windows的安全加固方案。实验过程与实验结果（可包括实验实施的步骤、算法描述、流程、结论等）计算机科学与工程3实验步骤一账号安全1.更改管理员账号安装windowsserver2008后，默认会自动创建一个系统管理员账号，即Administrator。许多管理员贪图一时方便，就直接用作自己的账户，因此，许多黑客攻击的服务器的时候总是试图破解Administrator账户的密码，如果此时密码安全性不高，就很容易被破解。所以，可以更改管理员账户名来避免此类攻击，提高系统安全性。以Administrator账户登录本地计算机，开始-运行-compmgmt.msc（计算机管理）-本地用户和组-用户，右击Administrator账户并选择“重命名”，并输入新的账户名称就可以了，但尽量不要用admin、guanliyuan之类的名称，否则账户安全性一样没有什么保障。如果更改帐户名仍然无法满足安全需求，可以选择将其禁用，然后创建一个普通的管理员账户，用户实现基本的系统或者网络管理、维护功能。开始-运行-compmgmt.msc（计算机管理）-本地用户和组-用户窗口中，右击Administrator，选择属性打开属性对话框，选中“账户已禁用”复选框，确认，这样就将Administrator禁用了。一定要记得重建一个普通的管理员账户，不然将会无法登陆windows。计算机科学与工程4删除无用的账户开始-运行-compmgmt.msc（计算机管理）-本地用户和组，查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定。如果有不用的账号，应该及时删掉。在cmd下使用“netuser用户名/del”命令删除账号。使用“netuser用户名/active:no”命令锁定账号。计算机科学与工程5也可以直接右击要删除的用户，选择删除。口令策略开始-运行-secpol.msc（本地安全策略）-安全设置-账户策略-密码策略密码必须符合复杂性要求启用，密码长度最小值至少为8，密码最长使用期限根据情况设定，不要设置太长。强制密码历史设置至少为5，当然可以设置更多。管理员账户密码不能与账户名相同，不能使用自己的姓名，不能使用特定的日期如生日，用户名密码应包含大小写字母、数字和特殊字符，密码不要有规则，不能使用姓名和生日等组合的密码。账户锁定策略账户锁定策略可以防止暴力破解的攻击方式，所以，很有必要设置账户锁定策略。开始-运行-secpol.msc（本地安全策略）-安全设置-账户设置-账户锁定策略计算机科学与工程6复位帐户锁定计数器、账户锁定时间设置为一分钟即可，账户锁定时间不宜设置太长，避免被人恶意攻击而造成自己无法登陆。帐户锁定阀值设置5次即可，不应设置太大。否则起不到好的效果。实验步骤二文件系统安全1.使用NTFS文件系统查看每个系统驱动器是否使用NTFS文件系统，如果不是，使用转换命令：convert驱动器盘符:/fs:ntfs。计算机科学与工程7（注意：此步骤不可逆，如果需要重新改回FAT32，需要重新格式化硬盘。）由上图可知，本地C盘已经是NTFS格式，不需要再进行格式化操作。Windowsserver2008操作系统对NTFS卷及其包含的目录或者文件提供了权限设置，分别是完全控制、修改、读取和运行、列出文件夹目录、读取、写入和特殊权限7个权限。计算机科学与工程8实验步骤三检查Everyone权限如果Everyone组的用户具备完全控制权，则可以对该文件夹或者文件进行所有的文件操作，建议取消Everyone组的完全控制权限。查看每个系统驱动器根目录是否设置为Everyone有所有权限，删除Everyone的权限或者取消Everyone的写权限。默认状态下，所有用户对于新创建的文件共享都拥有完全控制权限。系统中所有必要的共享都应当设置合适的权限，以便使用户拥有适当的共享级别访问权（例如，Everyone设置成“读取”）。实验步骤四1.限制命令权限WScript.Shell、Shell.application这两个组件一般一些ASP木马或一些恶意程序都会使用到。黑客在拿到webshell后，一般都是先通过这两个组件提权，为了服务器安全，应该卸载这些不安全组件。regsvr32/uC:\WINDOWS\System32\wshom.ocxregsvr32/uC:\WINDOWS\system32\shell32.dll计算机科学与工程9找到对应的文件，把其他用户的权限去掉，只留下system、Administrator组的访问权限。2.网络服务安全关闭一些不必要的服务和端口，可以大大降低被入侵的风险。关闭不必要的服务：开始-运行-services.msc。计算机科学与工程10根据自己的情况来禁用服务，同时应该及时更新应用服务版本，关闭端口。使用netstat来查看端口使用情况，加上–a选项显示所有的连接和监听端口，加上-n以后以数字形式显示地址和端口号。Listening状态的表示正在监听，等待连接。开始-运行-secpol.msc（本地安全策略）-IP安全策略，在本地计算机右边的空白位置右击鼠标，弹出快捷菜单，选择“创建IP安全策略”，弹出向计算机科学与工程11导。在向导中点击下一步，当显示“安全通信请求”时，“激活默认相应规则”左边的复选框留空，点“完成”就创建了一个新的IP安全策略。右击刚才创建的IP安全策略，选择属性，去掉使用添加向导的复选框。点击左边的添加来添加新的规则，在弹出的新规则属性里点击添加，弹出IP筛选器列表窗口，先把使用添加向导的复选框去掉。计算机科学与工程12点击右边的添加来添加新的筛选器。在IP筛选器属性的地址选项里，把源地址设置成任何IP地址，目标地址选择我的IP地址。计算机科学与工程13在选择协议选项，协议类型选择TCP，然后在到此端口下的文本框输入135，点击确定。点击确定，这样就添加了一个屏蔽TCP135端口的筛选器，可以防止别人通过135端口连接服务器，重复上面的步骤，把需要屏蔽的端口都建立相应的筛选器，协议类型要选择对应的类型。在新规则属性对话框中，选择刚才我们新建的筛选器，点击左边的复选框，点击应用。计算机科学与工程14点击筛选器操作选项，去掉使用添加向导复选框，点击添加按钮，在新筛选器操作属性的安全方法中，选择阻止，点击应用，确定。在筛选器操作选项卡中，把刚添加的筛选器操作复选框选中。最后在新IP安全策略属性对话框中，把我们刚新建的IP筛选器列表前的复选框选中，点击确定。计算机科学与工程15这样就把一些端口屏蔽掉了。网络限制开始-运行-secpol.msc-安全设置-本地策略-安全选项，进行一下设置：设置完以后，执行gpupdate/force是策略立即生效。计算机科学与工程163.日志及审计的安全性WindowsServer2008系统日志包括：1、应用程序日志。应用程序日志包含由应用程序或系统程序记录的时间。2、安全日志。安全日志记录着有效和无效的登陆事件，以及与文件操作的其他事件。3、系统日志。系统日志包含Windows系统组件记录的事件。4、安装程序日志。安装程序日志，记录在系统安装或者安装微软公司产品时，产生的日志。在cmd输入eventvwr.msc来打开时间查看器在安全日志中，记录着系统的登陆事件。计算机科学与工程17由上图可以看出本机暂无安全日志记录。通过查看日志，能够发现登录异常等情况来判断自己有没有被入侵或攻击。系统默认的日志量较小，应该增大日志量大小，避免由于日志文件容量过小导致日志记录不全。右击要设置的日志类型，选择属性。计算机科学与工程18根据自己的需要设置日志大小。增强审核对系统事件进行审核，在日后出现故障时用于排查故障。开始-运行-secpol.msc-安全设置-本地策略-审核策略建议设置设置完以后执行gpupdate/force使策略生效。4.补丁管理做了上面的设置以后，我们应该及时更新补丁，保证系统本身不会有漏洞，下计算机科学与工程19载补丁要从可靠的地方下载，最好从官网下载，安装补丁建议手动安装，有些补丁会引起业务的不稳定。除了上面讲到的，还要靠管理员在日常管理中发现问题并及时修补才能保证服务器的安全。分析与思考：除了上面的讲到的，还有哪些加固的方法？①对信息系统实施安全加固，具体可以遵循以下基本原则：规范性原则：安全服务的实施必须由专业的安全服务人员依照规范的操作流程进行，对操作过程和结果要提供规范的记录，并形成完整的服务报告；连续性原则：安全服务应考虑安全的动态特性，应提供定期的连续性的安全服务，保障应用系统的长期安全；可控性原则：安全服务的工具、方法和过程要在认可的范围之内，保证对于服务过程的可控性；最小影响原则：系统加固工作应尽可能小的影响系统的正常运行，不能产生系统性能明显下降、网络拥塞、服务中断的情况；保密性原则：对加固过程中获知的任何信息都不得泄露给第三方单位或个人。②安装防病毒软件如360安全卫士，定期对计算机系统进行扫描，及时修补漏洞；关闭计算机危险端口，如445、3389等。总结体会：计算机科学与工程20通过本次实验，我明白了系统安全加固是指通过一定的技术手段，提高操作系统的主机安全性和抗攻击能力，通过打补丁、修改安全配置、增加安全机制等方法，合理进行安全性加强。常见手段有：密码系统安全增强、访问控制策略和工具、远程维护的安全性、文件系统完整性审计、增强的系统日志分析，并对以上常用的方法进行了实践操作，对Windows系统进行了加固，提高了专业能力。