1 / 66

网管教研活动

网管教研活动. 2009.5.21. 一、 网络安全管理培训(网通平谷分公司). 二、 网务通软件使用培训(网务通公司). 三、 CMIS 及相关应用培训. 四、 Windows 安全管理. 五、 教师资源卡的使用和再申请. 六、 北京教育资源网第四届资源评比活动. Windows 安全管理. 一、安全安装:. 1. 改变默认的系统安装目录( c:winnt );. 2. 使用 NTFS 格式化磁盘;( c:> Convert D : /FS : NTFS/V ). 3. 尽可能地少安装 windows 组件;.

dayton
Download Presentation

网管教研活动

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 网管教研活动 2009.5.21

  2. 一、 网络安全管理培训(网通平谷分公司) 二、 网务通软件使用培训(网务通公司) 三、 CMIS及相关应用培训 四、 Windows安全管理 五、 教师资源卡的使用和再申请 六、 北京教育资源网第四届资源评比活动

  3. Windows安全管理 一、安全安装: 1. 改变默认的系统安装目录(c:\winnt); 2. 使用NTFS格式化磁盘;(c:\>Convert D:/FS:NTFS/V) 3. 尽可能地少安装windows组件; 4. 尽可能地少安装第三方应用软件; 5. 工作组成员而不是域控制器; 6. 安装(service pack)及其他最新补丁;

  4. Windows安全管理 二、安全引导: 1. 禁止从软盘、USB和CD-ROM启动系统,除非重新安装操作系统一律从C盘引导系统,并给BIOS设置密码; 2. 不要与其他操作系统共存安装;

  5. Windows安全管理 三、安全加固: 1. 帐号管理: (1)删除多余的系统帐号; (2)合理分配帐号的组权限; (3)更名默认的系统帐号:Administrator、Guest 等 如Administrator给予最低的权限,最长的密码; 新建用户设定密码,设置安全可靠的密码;

  6. Windows安全管理 三、安全加固: 2. 设置安全强壮的密码口令: (1)操作系统的密码十分重要,它是抵抗攻击的第一道防线,我们必须把密码安全作为安全策略的第一步。如果攻击者未能窃取到系统密码,那么他就不能很好地和系统进行交互信息,对系统所能采取的入侵的方法也就不多了。因此,必须设置安全强壮的密码.

  7. Windows安全管理 三、安全加固: 2. 设置安全强壮的密码口令: (2)安全密码原则: ①大、小写字母、数字、非字母数字的字符(如标点符号)等;位数要长,建议使用七的倍数; ②不使用普通的名字或昵称;不使用普通的个人信息,如生日日期;密码里不含有重复的字母或数字; ③定期修改(建议42天)一次密码。

  8. Windows安全管理 三、安全加固: 2. 设置安全强壮的密码口令: (3)如何强制使用安全强壮的密码: 方法:控制面板-管理工具-本地安全策略

  9. 方法:“开始”->“运行”->gpedit.msc->“计算机配置”->“windows设置”->“安全设置”。方法:“开始”->“运行”->gpedit.msc->“计算机配置”->“windows设置”->“安全设置”。

  10. Windows安全管理 三、安全加固: 3. 设置帐号锁定策略 : 防止暴力猜解口令。 建议:尝试5次失败锁定,锁定30分钟。

  11. Windows安全管理 三、安全加固: 4. 设置安全选项 : • 登陆屏幕上不要显示上次登陆的用户名; • 对匿名连接的限制; • 用户试图登陆时的消息标题; • 用户试图登陆时的消息内容; • 在关机时清理虚拟内存页面交换文件。

  12. Windows安全管理 三、安全加固: 5. 合理设置目录及文件权限 : windows默认情况下 Everyone 对所有盘符都具有完全控制的权限,这是很危险的,尤其是对于有些重要的系统及服务目录,例如IIS的根目录等。 另外当我们新建一个共享目录时,默认情况下也是 Everyone 具有完全控制的权限。 我们需要改变这种不安全的权限设置。

  13. Windows安全管理 三、安全加固: 6. 启用加密文件系统EFS : “加密文件系统”(EFS) 提供一种核心文件加密技术,用于在 NTFS文件系统卷上存储已加密文件。如果其他用户(管理员除外)试图打开、复制、移动或重新命名已加密文件或文件夹,将收到拒绝访问的消息。 使用 EFS 主要是为了防止通过物理途径窃取敏感数据(例如Zip磁盘或者外挂硬盘)。

  14. 使用EFS的注意事项 只有 NTFS 卷上的文件和文件夹才能被加密。 不能加密压缩文件或文件夹。 不能共享加密文件。EFS 不能用于发布私人数据。 如果将加密的文件复制或移动到非 NTFS 格式的卷上,该文件将会被解密。 使用剪切和粘贴将文件移动到已加密的文件夹。如果使用拖放式操作来移动文件,则不会将它们在新文件夹中自动加密。 无法加密系统文件。 加密的文件夹或文件不能防止被删除。任何拥有删除权限的人均可以删除加密的文件夹或文件。 建议加密“我的文档”和Temp 文件夹(加密 Temp 文件夹可以确保在编辑 过程中的文档也处于保密状态)。 EFS只支持本地加密,加密后的文件在在网络中传输时仍然是明文。

  15. Windows安全管理 三、安全加固: 7. 启用磁盘配额:

  16. Windows安全管理 三、安全加固: 8. 删除默认共享 : Windows NT/2000出于管理的目的自动地建立了一些默认共享,包括C$,D$磁盘共享以及ADMIN$目录共享等。 尽管它们仅仅是针对管理而配置的,但却隐藏了一定的风险,成为方便攻击者入侵的途径。

  17. 如何删除默认共享 • 我们打开注册表, 找到主键 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters • 针对server:创建一个叫AutoShareServer的双字节( DWORD )键名,键值为0。 • 针对workstation:创建一个叫AutoShareWks的双字节( DWORD )键名,键值为0。 • 重新启动server服务。

  18. Windows安全管理 三、安全加固: 9. 加强对安全帐号管理器(SAM)数据库的管理 : 在Windows NT/2000中,关于本机或者域的所用安全机制信息以及用户帐号信息都存放在安全帐号管理器(SAM)数据库中。安全帐号管理器(SAM)数据库在磁盘上的具体位置就是保存在系统安装目录下的system32\config\中的SAM文件,在这个目录下还包括一个Security文件,也是安全数据库的内容。安全帐号管理器(SAM)数据库中包含所有组、帐户的信息,包括密码HASH结果、帐户的SID等。 另外在系统安装目录下的repair目录下也有SAM文件,这是每次生成系统修复盘时创建的备份。 所以应该特别小心这个repair目录下的SAM文件,严格限制访问权限,并加强对这个SAM文件的审核。

  19. Windows安全管理 三、安全加固: 10. 禁止不必要的服务 : Windows NT/2000系统中有许多用不着的服务自动处于激活状态,它们中可能存在的安全漏洞使攻击者甚至不需要账户就能控制机器.为了系统的安全,应把不必要的功能服务及时关闭,从而大大减少安全风险。

  20. Windows安全管理 三、安全加固: 11. 防范NetBIOS漏洞攻击: NetBIOS(Network Basic Input Output System,网络基本输入输出系统),是一种应用程序接口(API),系统可以利用WINS(管理计算机netbios名和IP影射关系)服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,从而实现信息通讯。在局域网内部使用NetBIOS可以非常方便地实现消息通信,但是如果在互联网上,NetBIOS就相当于一个后门程序,很多攻击者都是通过NetBIOS漏洞发起攻击。

  21. Windows安全管理 三、安全加固: 12. 启用TCP/IP筛选 : TCP/IP筛选就像一个简单的包过滤防火墙,用来控制连接本机的网络协议和端口。

  22. Windows安全管理 三、安全加固: 13. 更改终端服务的默认端口(regedit.exe regedt32.exe) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp] PortNumber值,默认是3389,修改成所希望的端口,比如3306 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] PortNumber值,默认是3389,修改成所希望的端口,比如3306 重新启动服务器

  23. Windows安全管理 三、安全加固: 14. 限制危险命令的使用: 把一些工具从你的NT目录中转移到一个只有系统管理员能够访问的隐藏目录。例如:arp.exe, cmd.exe, at.exe, ipconfig.exe, asdial.exe,atsvc.exe,cacls.exe,cscript.exe,debug.exe,edit.com,edlin.exe,finger.exe,ftp.exe,nbtstat.exe,net.exe,netstat.exe,nslookup.exe,ping.exe,posix.exe,qbasic.exe,rcp.exe,rdisk.exe,regedit.exe,regedt32.exe,rexec.exe,route.exe,rsh.exe,runonce.exe,secfixup.exe,syskey.exe,telnet.exe,tracert.exe,wscript.exe,xcopy.exe,或者干脆删除掉其中不经常使用的系统程序。

  24. Windows安全管理 三、安全加固: 15. 如何加固IIS服务器的安全 : • 改变IIS默认安装的根目录: 例如将默认 的C:\inetpub 移到 D:\web 、 E:\FTP;将web和FTP根目录分别放在不同的分区,避免利用Unicode等漏洞遍历目录以及利用文件上传导致塞满此盘空间。 • 删除所有默认的映射目录和所对应的真实目录。 • 删除不需要的应用程序映射;禁用父路径;发送文本信息给客户。

  25. Windows安全管理 三、安全加固: 15. 如何加固IIS服务器的安全 : • 禁止Frontpage扩展服务 • 限制连接数和性能 • 使用SSL(Secure Sockets Layer) • 每次更改IIS配置后都需要重新安装IIS的补丁,并在安装后重新检查IIS配置。

  26. 如何加固IIS服务器的安全 几乎每一个应用程序映射都有一段辛酸的历史,用不着的,都删了吧

  27. 如何加固IIS服务器的安全 根据需要启用服务器端脚本调试,不要启用客户端脚本调试;不要发送详细ASP错误消息给客户。

  28. 如何加固IIS服务器的安全 如果可能,请启用服务器证书。

  29. Windows安全管理 四、安全监控: 1. 监控内容; ★设置审核策略份 ★Windows日志 ★IIS日志 ★ 计划任务、日志 ★ 系统帐号 ★ 帐号配置文件及目录 ★ 系统服务 ★ 后台进程 ★ 自启动程序

  30. Windows安全管理 四、安全监控: 1. 设置审核策略; 审核是开启日志记录功能的必需条件。 有些审核日志记录在windows日志中;另有些审核日志记录在其自己特有的日志中。 推荐的审核是: 账户管理 成功 失败 登录事件 成功 失败 对象访问 成功 失败 策略更改 成功 失败 特权使用 成功 失败 系统事件 成功 失败 目录服务访问 成功 失败 账户登录事件 成功 失败

  31. 如何设置审核策略

  32. 如何设置审核策略

  33. 如何设置终端服务审核策略

  34. Windows安全管理 四、安全监控: 2. Windows 日志;(我的电脑->管理->系统工具->事件查看器)

  35. Windows安全管理 四、安全监控: 3. IIS 日志;

  36. IIS 日志

  37. Windows安全管理 四、安全监控: 4. 计划任务、日志;

  38. 计划任务 日志

  39. Windows安全管理 四、安全监控: 5. 检查系统帐号;

  40. 检查系统帐号-创建时间等

  41. 四、安全监控: 6. 检查帐号配置文件;

  42. 检查帐号配置目录

  43. 四、安全监控: 7. 检查系统服务;

More Related