Windows安全设置
- 格式:doc
- 大小:237.00 KB
- 文档页数:6
实训一 Windows安全设置
一、实训目的
通过windows安全配置,掌握windows下常用网络安全设置相关的基本方法,具备Windows系统安全设置的初步能力。学习Windows系统口令管理、审核管理、共享管理、安全策略等使用方法。
二、实训要求
1、熟悉windows操作系统,熟练掌握windows系统管理基本操作。
2、掌握常用网络管理命令及其基本参数。
3、学会正常开启关闭相关服务、端口。
4、学会用策略管理计算机。
三、实训步骤
请按照给出的步骤,依次完成以下操作:
1、察看本地共享资源
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒,如图12-1所示。
图12-1:察看共享
2、删除共享(每条命令删除一个),命令格式为net share +需删除的目录+$ /delete。如删除上例中admin的共享即使用如下命令:
net share admin$ /delete,其结果如图12-2所示。
图12-2:删除admin共享
而相应的删除C盘共享的命令就是net share c$ /delete,共结果如图12-3所示。
图12-3:删除C盘共享
删除d盘共享的命令为net share d$ /delete(如果有e,f,……可以继续删除)。
3、禁用服务
在windows系统中,会默认启动一些不常用的服务,而其中有一些服务常常为黑客所利用,会被黑客或病毒攻击,所以我们需要关闭一些我们不常使用或没有必要的服务。
关闭的方法如下:
打开控制面板,进入管理工具,双击服务,如图12-4所示
图12-4:系统服务
在打开的服务中选中需要关闭的服务,如Messager系统信使服务,双击打开,在常规标签中的启动类型,选择右侧的禁用启动类型,然后点击确定即可,如图12-5所示。
图12-5:禁用服务
请按以上操作,依次关闭以下服务。
(1)Alerter[通知选定的用户和计算机管理警报]
(2)ClipBook[启用”剪贴簿查看器”储存信息并与远程计算机共享]
(3)Distributed File System
[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享]
(4)Distributed Link Tracking Server[适用局域网分布式链接]
(5)Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
(6)IMAPI CD-Burning COM Service[管理 CD 录制]
(7)Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
(8)Kerberos Key Distribution Center[授权协议登录网络]
(9)License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
(10)Messenger[警报]
(11)NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
(12)Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
(13)Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
(14)Print Spooler[打印机服务,没有打印机就禁止吧]
(15)Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
(16)Remote Registry
[使远程计算机用户修改本地注册表]
(17)Routing and Remote Access
[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
(18)Server
[支持此计算机通过网络的文件、打印、和命名管道共享](通过共享布局网络的不要禁用,建议不采用共享方式布局网络)
Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
(19)TCP/IPNetBIOS
Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]
(20)Telnet[允许远程用户登录到此计算机并运行程序]
Terminal Services[允许用户以交互方式连接到远程计算机] Window s Image
Acquisition (WIA)[照相服务,应用与数码摄象机]
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
设完这项设置请重新启动服务器,经常出现设置完毕不能开机的现象,因此设置禁用以上服务的时候请备份系统。
4、账号密码的安全原则
(1)停掉Guest 帐号
在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。
(2)限制不必要的用户数量
去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。曾经有一台主机197个帐户中竟然有180个帐号都是弱口令帐户。
(3)创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。
(4)把系统administrator帐号改名
大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。
(5)创建一个陷阱帐号
什么是陷阱帐号,创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些
Scripts 忙上一段时间了,并且可以借此发现它们的入侵企图。
(6)把共享文件的权限从”everyone”组改成”授权用户”
“everyone”意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。
(7)对密码配置执行以下策略
打开控制面版,双击管理工具,选择本地安全设置,选择密码策略 启用密码必须符合复杂要求性.
密码最小值:设置为8
密码最长使用期限设置为42天
密码最短使用期限0天
强制密码历史 记住0个密码
禁用用可还原的加密来存储密码
以上设置中的数字可根据个人情况进行调整。
5、本地策略:
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
打开控制面版,双击管理工具,找到本地安全设置,选择本地策略,选择审核策略
更改审核策略为成功失败
更改审核登陆事件为成功失败
更改审核对象访问为失败
更改审核跟踪过程为无审核
更改审核目录服务访问为失败
更改审核特权使用为失败
更改审核系统事件为成功失败
更改审核帐户登陆时间为成功失败
更改审核帐户管理为成功失败
然后再到管理工具找到 :事件查看器
应用程序:右键>属性>设置日志大小上限,为50mb,选择不覆盖事件
安全性:右键>属性>设置日志大小上限,为50mb,选择不覆盖事件
系统:右键>属性>设置日志大小上限,为50mb,选择不覆盖事件
6、本地安全策略
打开控制面版,双击管理工具,找到本地安全设置,选择本地策略,选择安全选项
启用交互式登陆.不需要按 Ctrl+Alt+Del [根据个人需要设置]
网络访问.不允许SAM帐户的匿名枚举 启用
网络访问.可匿名的共享 将后面的值删除
网络访问.可匿名的命名管道 将后面的值删除
网络访问.可远程访问的注册表路径 将后面的值删除
网络访问.可远程访问的注册表的子路径 将后面的值删除
网络访问.限制匿名访问命名管道和共享
7、用户权限分配策略:
打开控制面版,双击管理工具,找到本地安全设置,选择本地策略,选择用户权限分配
从网络访问计算机 里面一般默认有5个用户,除Admin外删除其余4个,当然,等下还得建一个属于自己的ID
从远程系统强制关机,Admin帐户也删除,一个都不留
拒绝从网络访问这台计算机 将ID删除
从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
通过远端强制关机。删掉
8、用户和组策略
打开管理工具\计算机管理\本地用户和组.用户;删除Support_388945a0用户等等,只留下你更改好名字的adminisrator权限,不再详细叙述。