Windows安全管理篇Windows安全管理篇Windows系統(tǒng)安裝系統(tǒng)安全檢查系統(tǒng)安全配置2Windows系統(tǒng)安裝使用正版可靠安裝盤將系統(tǒng)安裝在NTFS分區(qū)上系統(tǒng)和數(shù)據(jù)要分開存放在不同的磁盤最小化安裝服務(wù)安全補(bǔ)丁合集和相關(guān)的Hotfix裝其它的服務(wù)和應(yīng)用程序補(bǔ)丁每次在安裝其它程序之后，重新應(yīng)用安全補(bǔ)丁防止病毒進(jìn)行文件系統(tǒng)安全設(shè)置最少建立兩個(gè)分區(qū)，一個(gè)系統(tǒng)分區(qū)，一個(gè)應(yīng)用程序分區(qū)，因?yàn)槲④浀腎IS經(jīng)常會(huì)有泄漏源碼/溢出的漏洞，如果把系統(tǒng)和IIS放在同一個(gè)驅(qū)動(dòng)器會(huì)導(dǎo)致系統(tǒng)文件的泄漏甚至入侵者遠(yuǎn)程獲取ADMIN。NT安裝SP6a和相關(guān)的HotfixWIN2K安裝SP4和相關(guān)的HotfixWINXP安裝SP2和相關(guān)的HotfixWIN2003安裝相關(guān)的Hotfix3系統(tǒng)安全檢查系統(tǒng)信息補(bǔ)丁安裝情況帳號(hào)和口令網(wǎng)絡(luò)與服務(wù)文件系統(tǒng)日志審核安全性增強(qiáng)4系統(tǒng)信息檢查服務(wù)器是否安裝多系統(tǒng)，多系統(tǒng)無法保障文件系統(tǒng)的安全從“operatingsystems”字段可以查到允許啟動(dòng)的系統(tǒng)列表

5系統(tǒng)信息查看主機(jī)路由信息6補(bǔ)丁安裝情況檢查當(dāng)前主機(jī)所安裝的ServicePack以及Hotfix(Mbsa)SP版本IE版本，請(qǐng)確認(rèn)在Hotfix中是否存在IESP1補(bǔ)丁信息Hotfix信息7帳號(hào)和口令多數(shù)的系統(tǒng)，口令是進(jìn)入系統(tǒng)的第一道防線，也是唯一防線；決大多數(shù)的口令算法是可靠的；獲得口令的方式有多種；口令問題多數(shù)出在管理與安全意識(shí)的問題上。8口令問題1：弱口令用戶趨向于選擇容易的口令，即空口令；用戶會(huì)選擇易于記住的東西做口令Test、Password、guest、username等名字、生日、簡單數(shù)字等易于選擇該系統(tǒng)的應(yīng)用Ntserver、orancle等多數(shù)用戶的安全意識(shí)薄弱9口令問題2：明文傳輸使用明文密碼傳送的應(yīng)用：FTP、POP、Telnet、HTTP、SNMP、SocksMountd、Rlogin、NNTP、NFS、ICQ、IRC、PcAnywhere、VNC等MSSQL、Oracle等上訴服務(wù)都容易成為攻擊對(duì)象10口令攻擊的方式手工猜測；方法：社會(huì)工程學(xué)、嘗試默認(rèn)口令自動(dòng)猜測；工具：NAT、LC等竊聽：登陸、網(wǎng)絡(luò)截獲、鍵盤監(jiān)聽工具：Dsniff、SnifferPro、IKS等11Windows常見的口令問題NT/2000的口令問題；用戶教育的問題；管理員注意事項(xiàng)。12NT/2000的口令問題SAM（SecurityAccountsManager)LanManager散列算法（LM）已被破解，但仍被保留NT散列算法（NTLM/NTLMv2）強(qiáng)加密、改良的身份認(rèn)證和安全的會(huì)話機(jī)制13NT/2000的口令問題LanManager散列算法的問題口令都被湊成14個(gè)字符；不足14位的，用0補(bǔ)齊；全部轉(zhuǎn)化為大寫字母；分成兩部分分別加密。舉例：Ba01cK28tr－BA01CK2和8TR000014NT/2000的口令問題SAM數(shù)據(jù)存放位置%systemroot%\system32\config\sam%systemroot%\repair\sam._(NT)Rdisk%systemroot%\repair\sam（2000）ntbackup注冊(cè)表HKEY_LOCAL_MACHINE\SAM\SAM和

HKEY_LOCAL_MACHINE\SECURITY\SAM僅對(duì)system是可讀寫的15NT/2000的口令問題獲取SAM數(shù)據(jù)的方法使系統(tǒng)自舉到另外的系統(tǒng)，copySAM文件；從repair目錄攫取備份的SAM;竊聽口令交換16口令策略使用密碼強(qiáng)度及賬戶老化、鎖定策略；設(shè)置最小的密碼程度為8個(gè)字符，最短密碼時(shí)間為1-7天，最長密碼時(shí)間為42天，最小的密碼歷史輪回為6，失敗登陸嘗試為3，賬戶鎖定為60分鐘等。17用戶教育口令禁忌:不要選擇可以在任何字典或語言中找到的口令不要選擇簡單字母組成的口令不要選擇任何指明個(gè)人信息的口令 不要選擇包含用戶名或相似類容的口令不要選擇短于6個(gè)字符或僅包含字母或數(shù)字的口令不要選擇作為口令范例公布的口令18管理員注意事項(xiàng)確保每個(gè)用戶都有一個(gè)有效的口令；對(duì)用戶進(jìn)行口令教育；使用防止用戶選擇弱口令的配置與工具；進(jìn)行口令檢查，確保沒有弱口令；確保系統(tǒng)與網(wǎng)絡(luò)設(shè)備沒有缺省賬號(hào)和口令；不要在多個(gè)機(jī)器上使用相同的口令；從不記錄也不與他人共享密碼；19管理員注意事項(xiàng)從不將網(wǎng)絡(luò)登錄密碼用作其他用途；域Administrators賬戶和本地Administrators帳戶使用不同的密碼；小心地保護(hù)在計(jì)算機(jī)上保存密碼的地方；對(duì)于特權(quán)用戶強(qiáng)制30天更換一次口令，一般用戶60天更換；使用VPN、SSH、一次性口令等安全機(jī)制.20NullSessionNullSession（空連接）連接也稱為匿名登陸，這種機(jī)制允許匿名用戶通過網(wǎng)絡(luò)獲得系統(tǒng)的信息或建立未授權(quán)的連接。它常被諸如explorer.exe

的應(yīng)用來列舉遠(yuǎn)程服務(wù)器上的共享。非授權(quán)主機(jī)可以是網(wǎng)絡(luò)里所有的主機(jī)，即這個(gè)主機(jī)不需要有訪問服務(wù)器的任何權(quán)限。任何一臺(tái)主機(jī)都可以和服務(wù)器之間建立一個(gè)NULLsession，這個(gè)NULLsession在服務(wù)器里屬于everyone組。缺省情況下所有的用戶都屬于everyone這個(gè)組。everyone組沒有很大的權(quán)力。但是可以利用它獲取系統(tǒng)的用戶信息。21NullSessionnetuse\\server\IPC$""/user:""

此命令用來建立一個(gè)空會(huì)話

獲得目標(biāo)上的所有用戶列表。包括服務(wù)器上有哪些組和用戶。服務(wù)器的安全規(guī)則，包括帳戶封鎖、最小口令長度、口令使用周期、口令唯一性設(shè)置等。列出共享目錄。讀注冊(cè)表。22NullSessionnetview\\server

此命令用來查看遠(yuǎn)程服務(wù)器的共享資源

nettime\\server

此命令用來得到一個(gè)遠(yuǎn)程服務(wù)器的當(dāng)前時(shí)間。

At\\server此命令用來得到一個(gè)遠(yuǎn)程服務(wù)器的調(diào)度作業(yè)23防御辦法屏蔽135-139，445端口（網(wǎng)絡(luò)屬性）去除NetBiosOverTCP/IP(在服務(wù)中去除server）修改注冊(cè)表HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSAValueName: RestrictAnonymousDataType: REG_DWORDValue: 1（2Win2000)參考KBarticlesQ143474,Q143475,Q161372,Q155363，Q24626124帳號(hào)和口令是否有密碼過期策略密碼過期策略包括密碼最長存留期和最短存留期，最長存留期是指密碼在多久后過期，最短存留期是指在多久后才可以修改密碼開始|程序|管理工具|本地安全設(shè)置|安全設(shè)置|帳戶策略|密碼策略：#密碼最長存留期，以天為單位，MAXDAYS天后密碼過期，缺省為42天（建議不超過42天）#密碼最短存留期，以天為單位，MINDAYS天后才可以修改密碼，缺省為0（建議1~7天）25帳號(hào)和口令檢查Guest帳號(hào)Guest帳號(hào)是一個(gè)容易忽視的帳號(hào)，黑客可能修改該帳號(hào)權(quán)限，并利用該帳號(hào)登陸系統(tǒng)沒有激活26帳號(hào)和口令系統(tǒng)是否使用默認(rèn)管理員帳號(hào)默認(rèn)管理員帳號(hào)可能被攻擊者用來進(jìn)行密碼暴力猜測，建議修改默認(rèn)管理員用戶名。Administrator用戶名已被修改27帳號(hào)和口令是否存在可疑帳號(hào)查看系統(tǒng)是否存在攻擊者留下的可疑帳號(hào)，或檢查主機(jī)操作人員遺留下的尚未刪除的帳號(hào)。可禁用不需要帳號(hào)：

28帳號(hào)和口令檢查系統(tǒng)中是否存在脆弱口令系統(tǒng)存在脆弱口令帳號(hào)可能導(dǎo)致攻擊者輕易猜出帳號(hào)密碼。強(qiáng)壯口令要求：8位或以上口令長度、大小寫字母、數(shù)字、特殊符號(hào)29網(wǎng)絡(luò)與服務(wù)查看網(wǎng)絡(luò)開放端口查看監(jiān)聽端口30網(wǎng)絡(luò)與服務(wù)得到網(wǎng)絡(luò)流量信息31網(wǎng)絡(luò)與服務(wù)查看系統(tǒng)已經(jīng)啟動(dòng)的服務(wù)列表32網(wǎng)絡(luò)與服務(wù)檢查主機(jī)端口、進(jìn)程對(duì)應(yīng)信息Fport--/soft/fport.exe33網(wǎng)絡(luò)與服務(wù)查看主機(jī)是否開放了共享或管理共享未關(guān)閉。34文件系統(tǒng)查看主機(jī)磁盤分區(qū)類型服務(wù)器應(yīng)使用具有安全特性的NTFS格式，而不應(yīng)該使用FAT或FAT32分區(qū)。開始|管理工具|計(jì)算機(jī)管理|磁盤管理35文件系統(tǒng)檢查特定文件的文件權(quán)限對(duì)于一些敏感文件權(quán)限需要進(jìn)行修改，避免文件被惡意用戶執(zhí)行。僅適用于NTFS分區(qū)

36文件系統(tǒng)檢查特定目錄的權(quán)限在檢查中一般檢查各個(gè)磁盤根目錄權(quán)限、Temp目錄權(quán)限37日志審核檢查主機(jī)的審核情況開始|運(yùn)行|gpedit.msc|計(jì)算機(jī)配置|Windows設(shè)置|本地策略|審核策略38日志審核檢查系統(tǒng)日志大小、覆蓋天數(shù)開始|運(yùn)行|eventvwr|右鍵“系統(tǒng)”可設(shè)置更大的空間存儲(chǔ)日志如果空間足夠，建議手動(dòng)清除日志39安全性增強(qiáng)保護(hù)注冊(cè)表，防止匿名訪問

默認(rèn)權(quán)限并不限制對(duì)注冊(cè)表的遠(yuǎn)程訪問。只有管理員才應(yīng)具有對(duì)注冊(cè)表的遠(yuǎn)程訪問權(quán)限，因?yàn)槟J(rèn)情況下Windows2000注冊(cè)表編輯工具支持遠(yuǎn)程訪問。對(duì)匿名連接的額外限制

默認(rèn)情況下，Windows系統(tǒng)允許匿名用戶枚舉主機(jī)帳號(hào)列表，獲得一些敏感信息。

開始|運(yùn)行|gpedit.msc|計(jì)算機(jī)配置|Windows設(shè)置|本地策略|安全選項(xiàng)

建議設(shè)置為“不允許枚舉SAM帳號(hào)和共享”40安全性增強(qiáng)檢查是否登陸時(shí)間用完后自動(dòng)注銷用戶

開始|運(yùn)行|gpedit.msc|計(jì)算機(jī)配置|Windows設(shè)置|本地策略|安全選項(xiàng)是否顯示上次成功登陸的用戶名

開始|運(yùn)行|gpedit.msc|計(jì)算機(jī)配置|Windows設(shè)置|本地策略|安全選項(xiàng)41安全性增強(qiáng)是否允許未登陸系統(tǒng)執(zhí)行關(guān)機(jī)命令

開始|運(yùn)行|gpedit.msc|計(jì)算機(jī)配置|Windows設(shè)置|本地策略|安全選項(xiàng)僅登陸用戶允許使用光盤

開始|運(yùn)行|gpedit.msc|計(jì)算機(jī)配置|Windows設(shè)置|本地策略|安全選項(xiàng)42系統(tǒng)安全配置補(bǔ)丁安裝帳號(hào)、口令策略修改網(wǎng)絡(luò)與服務(wù)安全性增強(qiáng)文件系統(tǒng)安全性增強(qiáng)日志審核增強(qiáng)安全性增強(qiáng)43補(bǔ)丁安裝使用Windowsupdate安裝最新補(bǔ)丁手工安裝補(bǔ)丁：

/zhcn/default.asp?corporate=true44帳號(hào)、口令策略修改

推薦修改為：設(shè)置帳號(hào)策略后可能導(dǎo)致不符合帳號(hào)策略的帳號(hào)無法登陸，需修改帳號(hào)密碼（注：管理員不受帳號(hào)策略限制，但管理員密碼應(yīng)復(fù)雜）密碼長度最小值7字符密碼最長存留期90天密碼最短存留期30天帳號(hào)鎖定計(jì)數(shù)器5次帳戶鎖定時(shí)間5分鐘帳戶鎖定閥值1分鐘45網(wǎng)絡(luò)與服務(wù)安全性增強(qiáng)卸載不需要的服務(wù)開始|設(shè)置|控制面板|添加/刪除程序|Windows組件，卸載不需要的服務(wù)避免未知漏洞給主機(jī)帶來的風(fēng)險(xiǎn)46網(wǎng)絡(luò)與服務(wù)安全性增強(qiáng)將暫時(shí)不需要開放的服務(wù)停止開始|運(yùn)行|services.msc|將上述服務(wù)的啟動(dòng)類型設(shè)置為手動(dòng)并停止上述服務(wù)避免未知漏洞給主機(jī)帶來的風(fēng)險(xiǎn)47文件系統(tǒng)安全性增強(qiáng)限制特定執(zhí)行文件的權(quán)限未對(duì)敏感執(zhí)行文件設(shè)置合適的權(quán)限建議禁止Guest組用戶訪問資源：xcopy.exewscript.execscript.exenet.exearp.exeedlin.exeping.exeroute.exeposix.exeRsh.exeatsvc.exeCopy.execacls.exeipconfig.exercp.execmd.exedebug.exeregedt32.exeregedit.exe

telnet.exeFinger.exeNslookup.exeRexec.exeftp.exeat.exerunonce.exenbtstat.exeTracert.exenetstat.exe48日志審核增強(qiáng)建議安全策略文件修改下述值：對(duì)系統(tǒng)事件進(jìn)行審核，在日后出現(xiàn)故障時(shí)用于排查故障。審核策略更改成功審核登錄事件無審核審核對(duì)象訪問成功,失敗審核過程追蹤無審核審核目錄服務(wù)訪問無審核審核特權(quán)使用無審核審核系統(tǒng)事件成功,失