系統防御技能目錄Windows操作系統安全Windows安全配置實踐目錄Windows操作系統安全Windows安全配置實踐4Windows用戶組和安全安全主體類型用戶帳戶本地用戶域用戶組帳戶everyone組network組計算機服務Windows系統最高權限的賬戶是SYSTEM5Windows用戶組和安全對象Windows中的資源例如文件、文件夾、設備、窗口、線程、進程、內存域用戶安全對象安全管理的基本單元文件、目錄、注冊表項、動態目錄對象、內核對象、服務、線程、進程等所有資源進行統一認證和統一管理6Windows用戶組和安全安全標識符一個安全主體的代表S-1-5-21-1736401710-1141508419-1540318053-10007Windows用戶組和安全帳號信息存儲C:\windows\system32\config\SAM注冊表體現訪問機制：SAM（安全帳號管理器）用戶一用戶二SecurityAccountsManagerSAM8SAM機制的優勢存儲格式加密運行期鎖定僅對system帳號有權限，通過服務進行訪問，控制較嚴格9Windows用戶驗證網絡登錄的驗證（Netlogon）挑戰機制本地登錄驗證SAM（安全帳號管理器）10Windows進程及服務Windows系統進程概念基本系統進程smss.exewinlogon.exeservices.exelsass.exesvchost.exe……

其他系統進程tcpsvcs.exeismserv.exeups.exe……11Windows進程及服務Windows服務（windowsservice)Windows服務程序是一個長時間運行的可執行程序，不需要用戶的交互，也不需要用戶登錄12運行方式獨立EXE程序運行以DLL形式，依附在svchost.exe程序運行13Windows服務的啟動類型及權限服務啟動類型自動手動已禁用服務的啟動權限System(本地系統)LocalServiceNetworkService

14Windows日志系統事件日志(默認)系統日志應用程序日志安全日志事件日志（擴展）DNS日志目錄服務日志應用日志IISFTP

15事件日志安全管理日志保存路徑HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog”Application應用程序日志Security安全日志System系統日志”日志屬性日志大小覆蓋時間日志文件權限16Windows應用系統日志日志路徑IIS:%systemroot%/system32/logfile/sw3svc1FTP:%systemroot%/system32/logfile/smsftpsvc1日志格式及名稱文本格式默認每天生成一個，以當天日期命名，例如ex001023.log就是2000年10月23日當天的日志17Windows應用系統日志（1）遠程主機的地址（2）用于記錄瀏覽者進行身份驗證時提供的名字，只有在有登錄的時候才會出現（3）請求的時間。（4）顯示的是服務器受到的是一個什么樣的請求，如：GETPOSTHEAD。也顯示了客戶端請求的URL地址，如：//index.php（5）顯示服務器返回的狀態碼，如200（6）發送給給客戶端的總字節數，可以用來確定傳輸是否被打斷。18Windows系統安全策略策略就是思想。是思想的方式和方法確定的表現，思想成果與結論的形式與內容的表現與表示。Windows的安全策略就是Windows系統安全思想的體現。

安全直接體現-本地安全策略計算機相關-組策略19Windows系統安全策略本地安全策略打開方式：控制面板-》管理工具-》本地安全策略策略設置帳戶策略密碼策略帳戶鎖定策略本地策略審核策略用戶權利指派安全選項帳戶策略密碼策略：密碼設置（如強制執行和有效期限）帳戶鎖定策略：帳戶無效登錄處理Kerberos策略。確定與Kerberos相關的設置（如票的有限期限和強制執行20Windows系統安全策略21Windows系統安全策略22組策略gpedit.msc軟件設置Windows設置管理模板使用NTFS文件系統安裝在獨立服務器上單一操作系統修改安裝缺省目錄最小化安裝23Windows安全安裝配置實踐目錄Windows操作系統安全Windows安全配置實踐補丁檢查系統補丁安裝情況命令行執行systeminfo,查看系統已經安裝的補丁列表

補丁更新手動安裝：使用IE訪問，按提示安裝必要的activeX控件后，按提示安裝補丁開始–控制面板–自動更新，在自動更新面板中選中自動（建議）(U)，然后根據個人需求設置升級時間防護軟件安裝殺毒軟件并保持病毒庫更新

防火墻對于防火墻軟件，建議屏蔽以下端口：TCP135TCP139TCP445Windows通用安全加固方案補丁及防護軟件系統服務安全策略日志與審核策略用戶與文件系統安全增強系統服務查看系統服務執行services.msc,檢查啟動類型為自動的服務關閉非必需的服務建議關閉一下服務：TaskScheduler/RemoteRegistry/SNMPService/PrintSpooler/Telnet/ComputerBrowser/Messenger/Alerter/DHCPClient關閉方法：雙擊需要關閉的服務，將啟動類型設置為禁用，點擊停止按鈕以停止當前正在運行的服務SNMP服務修改SNMP的字符串為什么要修改SNMP的字符串？它會泄露什么？通過SNMP服務，遠程惡意用戶可以列舉本地的帳號、帳號組、運行的進程、安裝的補丁和軟件等敏感信息，禁用或修改SNMP配置可以有效防止遠程惡意用戶的這類行為。攻擊工具:

snmputilwalk0public.1.3.6......服務與進程SNMPService服務加固方法：為修改SNMP團體名限制遠程主機對SNMP的訪問關閉自動播放功能關閉所有驅動器的自動播放功能點擊開始→運行→輸入gpedit.msc，打開組策略編輯器，瀏覽到計算機配置→管理模板→系統，在右邊窗格中雙擊“關閉自動播放”，對話框中選擇所有驅動器，確定即可。

Windows通用安全加固方案補丁及防護軟件系統服務安全策略日志與審核策略用戶與文件系統安全增強密碼策略密碼策略長度7≤Windows2000≤12714≥Windows9X≈0期限定期修改密碼復雜性Pyth0n&^!@大小寫數字特殊字符密碼策略加固要點密碼策略:

開始→運行→gpedit.msc計算機配置→Windows設置→安全設置→帳戶策略→帳戶鎖定策略->密碼策略”：帳戶鎖定策略用戶權利指派檢查用戶權限策略是否設置：

開始→運行→gpedit.msc計算機配置→Windows設置→安全設置→本地策略→用戶權利指派本地安全策略配置檢查本地安全策略配置：

開始→運行→gpedit.msc計算機配置→Windows設置→安全設置→本地策略→安全選項Windows通用安全加固方案補丁及防護軟件系統服務安全策略日志與審核策略用戶與文件系統安全增強日志和審核策略審核了解Windows審核策略審核策略并不完整很多審核內容默認未開啟只有在NTFS磁盤上才能開啟對象訪問審核,日志量較大步驟打開審核策略編輯審核對象的審核項日志和審核策略審核打開審核策略要做什么審核？要審核什么？位置：gpedit.msc–

計算機配置–Windows設置–

安全設置–審核設置12日志和審核策略審核查看審核日志eventvwr（事件查看器）Windows通用安全加固方案補丁及防護軟件系統服務安全策略日志與審核策略用戶與文件系統安全增強文件系統Windows文件系統FATFAT16FAT32NTFS將FAT卷轉換成NTFSconvertC:/FS:NTFS用戶用戶和組特殊的組Administrators、Guests、PowerUsers……

可通過netlocalgroup命令打印特殊的用戶Administrator、Guest可通過netuser命令打印隱藏帳號netuserhide$password/add用戶加固要點檢查用戶克隆隱藏清除用戶未使用的未知的鎖定用戶GuestSUPPORT_XXXXX設置重要文件權限權限前提（關鍵字）NTFSAdministrators設置重要文件權限權限ACL（訪問控制列表）包含了用戶帳戶和訪問對象之間許可關系由四個權限項組成的權限項集（即，ACL）設置重要文件權限權限ACE（訪問控制項）ACL中包含ACE訪問控制條目設置重要文件權限加密和壓縮設置重要文件權限審核編輯審核對象的審核項123設置重要文件權限加固要點目錄及文件的權限查找具有everyone的權限項重要對象的審核策略@echooffdir/s/b>>all.txtfor/f%%iin(all.txt)docacls%%i|find"Everyone"Windows通用安全加固方案補丁及防護軟件系統服務安全策略日志與審核策略用戶與文件系統安全增強安全增強刪除匿名用戶空連接注冊表如下鍵值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa