Windows安全设置

  • 格式:doc
  • 大小:237.00 KB
  • 文档页数:6

实训一 Windows安全设置

一、实训目的

通过windows安全配置,掌握windows下常用网络安全设置相关的基本方法,具备Windows系统安全设置的初步能力。学习Windows系统口令管理、审核管理、共享管理、安全策略等使用方法。

二、实训要求

1、熟悉windows操作系统,熟练掌握windows系统管理基本操作。

2、掌握常用网络管理命令及其基本参数。

3、学会正常开启关闭相关服务、端口。

4、学会用策略管理计算机。

三、实训步骤

请按照给出的步骤,依次完成以下操作:

1、察看本地共享资源

运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒,如图12-1所示。

图12-1:察看共享

2、删除共享(每条命令删除一个),命令格式为net share +需删除的目录+$ /delete。如删除上例中admin的共享即使用如下命令:

net share admin$ /delete,其结果如图12-2所示。

图12-2:删除admin共享

而相应的删除C盘共享的命令就是net share c$ /delete,共结果如图12-3所示。

图12-3:删除C盘共享

删除d盘共享的命令为net share d$ /delete(如果有e,f,……可以继续删除)。

3、禁用服务

在windows系统中,会默认启动一些不常用的服务,而其中有一些服务常常为黑客所利用,会被黑客或病毒攻击,所以我们需要关闭一些我们不常使用或没有必要的服务。

关闭的方法如下:

打开控制面板,进入管理工具,双击服务,如图12-4所示

图12-4:系统服务

在打开的服务中选中需要关闭的服务,如Messager系统信使服务,双击打开,在常规标签中的启动类型,选择右侧的禁用启动类型,然后点击确定即可,如图12-5所示。

图12-5:禁用服务

请按以上操作,依次关闭以下服务。

(1)Alerter[通知选定的用户和计算机管理警报]

(2)ClipBook[启用”剪贴簿查看器”储存信息并与远程计算机共享]

(3)Distributed File System

[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享]

(4)Distributed Link Tracking Server[适用局域网分布式链接]

(5)Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]

(6)IMAPI CD-Burning COM Service[管理 CD 录制]

(7)Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]

(8)Kerberos Key Distribution Center[授权协议登录网络]

(9)License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]

(10)Messenger[警报]

(11)NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]

(12)Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]

(13)Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]

(14)Print Spooler[打印机服务,没有打印机就禁止吧]

(15)Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]

(16)Remote Registry

[使远程计算机用户修改本地注册表]

(17)Routing and Remote Access

[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]

(18)Server

[支持此计算机通过网络的文件、打印、和命名管道共享](通过共享布局网络的不要禁用,建议不采用共享方式布局网络)

Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]

(19)TCP/IPNetBIOS

Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]

(20)Telnet[允许远程用户登录到此计算机并运行程序]

Terminal Services[允许用户以交互方式连接到远程计算机] Window s Image

Acquisition (WIA)[照相服务,应用与数码摄象机]

如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。

设完这项设置请重新启动服务器,经常出现设置完毕不能开机的现象,因此设置禁用以上服务的时候请备份系统。

4、账号密码的安全原则

(1)停掉Guest 帐号

在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。

(2)限制不必要的用户数量

去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。曾经有一台主机197个帐户中竟然有180个帐号都是弱口令帐户。

(3)创建2个管理员用帐号

虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。

(4)把系统administrator帐号改名

大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。

(5)创建一个陷阱帐号

什么是陷阱帐号,创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些

Scripts 忙上一段时间了,并且可以借此发现它们的入侵企图。

(6)把共享文件的权限从”everyone”组改成”授权用户”

“everyone”意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。

(7)对密码配置执行以下策略

打开控制面版,双击管理工具,选择本地安全设置,选择密码策略  启用密码必须符合复杂要求性.

 密码最小值:设置为8

 密码最长使用期限设置为42天

 密码最短使用期限0天

 强制密码历史 记住0个密码

 禁用用可还原的加密来存储密码

以上设置中的数字可根据个人情况进行调整。

5、本地策略:

这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。

打开控制面版,双击管理工具,找到本地安全设置,选择本地策略,选择审核策略

 更改审核策略为成功失败

 更改审核登陆事件为成功失败

 更改审核对象访问为失败

 更改审核跟踪过程为无审核

 更改审核目录服务访问为失败

 更改审核特权使用为失败

 更改审核系统事件为成功失败

 更改审核帐户登陆时间为成功失败

 更改审核帐户管理为成功失败

然后再到管理工具找到 :事件查看器

应用程序:右键>属性>设置日志大小上限,为50mb,选择不覆盖事件

安全性:右键>属性>设置日志大小上限,为50mb,选择不覆盖事件

系统:右键>属性>设置日志大小上限,为50mb,选择不覆盖事件

6、本地安全策略

打开控制面版,双击管理工具,找到本地安全设置,选择本地策略,选择安全选项

 启用交互式登陆.不需要按 Ctrl+Alt+Del [根据个人需要设置]

 网络访问.不允许SAM帐户的匿名枚举 启用

 网络访问.可匿名的共享 将后面的值删除

 网络访问.可匿名的命名管道 将后面的值删除

 网络访问.可远程访问的注册表路径 将后面的值删除

 网络访问.可远程访问的注册表的子路径 将后面的值删除

 网络访问.限制匿名访问命名管道和共享

7、用户权限分配策略:

打开控制面版,双击管理工具,找到本地安全设置,选择本地策略,选择用户权限分配

 从网络访问计算机 里面一般默认有5个用户,除Admin外删除其余4个,当然,等下还得建一个属于自己的ID

 从远程系统强制关机,Admin帐户也删除,一个都不留

 拒绝从网络访问这台计算机 将ID删除

 从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务

 通过远端强制关机。删掉

8、用户和组策略

打开管理工具\计算机管理\本地用户和组.用户;删除Support_388945a0用户等等,只留下你更改好名字的adminisrator权限,不再详细叙述。