系统防御技能基础知识-Windows

系统防御技能目录Windows操作系统安全Windows安全配置实践目录Windows操作系统安全Windows安全配置实践4Windows用户组和安全安全主体类型用户帐户本地用户域用户组帐户everyone组network组计算机服务Windows系统最高权限的账户是SYSTEM5Windows用户组和安全对象Windows中的资源例如文件、文件夹、设备、窗口、线程、进程、内存域用户安全对象安全管理的基本单元文件、目录、注册表项、动态目录对象、内核对象、服务、线程、进程等所有资源进行统一认证和统一管理6Windows用户组和安全安全标识符一个安全主体的代表S-1-5-21-1736401710-1141508419-1540318053-10007Windows用户组和安全帐号信息存储C:\windows\system32\config\SAM注册表体现访问机制：SAM（安全帐号管理器）用户一用户二SecurityAccountsManagerSAM8SAM机制的优势存储格式加密运行期锁定仅对system帐号有权限，通过服务进行访问，控制较严格9Windows用户验证网络登录的验证（Netlogon）挑战机制本地登录验证SAM（安全帐号管理器）10Windows进程及服务Windows系统进程概念基本系统进程smss.exewinlogon.exeservices.exelsass.exesvchost.exe……

其他系统进程tcpsvcs.exeismserv.exeups.exe……11Windows进程及服务Windows服务（windowsservice)Windows服务程序是一个长时间运行的可执行程序，不需要用户的交互，也不需要用户登录12运行方式独立EXE程序运行以DLL形式，依附在svchost.exe程序运行13Windows服务的启动类型及权限服务启动类型自动手动已禁用服务的启动权限System(本地系统)LocalServiceNetworkService

14Windows日志系统事件日志(默认)系统日志应用程序日志安全日志事件日志（扩展）DNS日志目录服务日志应用日志IISFTP

15事件日志安全管理日志保存路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog”Application应用程序日志Security安全日志System系统日志”日志属性日志大小覆盖时间日志文件权限16Windows应用系统日志日志路径IIS:%systemroot%/system32/logfile/sw3svc1FTP:%systemroot%/system32/logfile/smsftpsvc1日志格式及名称文本格式默认每天生成一个，以当天日期命名，例如ex001023.log就是2000年10月23日当天的日志17Windows应用系统日志（1）远程主机的地址（2）用于记录浏览者进行身份验证时提供的名字，只有在有登录的时候才会出现（3）请求的时间。（4）显示的是服务器受到的是一个什么样的请求，如：GETPOSTHEAD。也显示了客户端请求的URL地址，如：//index.php（5）显示服务器返回的状态码，如200（6）发送给给客户端的总字节数，可以用来确定传输是否被打断。18Windows系统安全策略策略就是思想。是思想的方式和方法确定的表现，思想成果与结论的形式与内容的表现与表示。Windows的安全策略就是Windows系统安全思想的体现。

安全直接体现-本地安全策略计算机相关-组策略19Windows系统安全策略本地安全策略打开方式：控制面板-》管理工具-》本地安全策略策略设置帐户策略密码策略帐户锁定策略本地策略审核策略用户权利指派安全选项帐户策略密码策略：密码设置（如强制执行和有效期限）帐户锁定策略：帐户无效登录处理Kerberos策略。确定与Kerberos相关的设置（如票的有限期限和强制执行20Windows系统安全策略21Windows系统安全策略22组策略gpedit.msc软件设置Windows设置管理模板使用NTFS文件系统安装在独立服务器上单一操作系统修改安装缺省目录最小化安装23Windows安全安装配置实践目录Windows操作系统安全Windows安全配置实践补丁检查系统补丁安装情况命令行执行systeminfo,查看系统已经安装的补丁列表

补丁更新手动安装：使用IE访问，按提示安装必要的activeX控件后，按提示安装补丁开始–控制面板–自动更新，在自动更新面板中选中自动（建议）(U)，然后根据个人需求设置升级时间防护软件安装杀毒软件并保持病毒库更新

防火墙对于防火墙软件，建议屏蔽以下端口：TCP135TCP139TCP445Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强系统服务查看系统服务执行services.msc,检查启动类型为自动的服务关闭非必需的服务建议关闭一下服务：TaskScheduler/RemoteRegistry/SNMPService/PrintSpooler/Telnet/ComputerBrowser/Messenger/Alerter/DHCPClient关闭方法：双击需要关闭的服务，将启动类型设置为禁用，点击停止按钮以停止当前正在运行的服务SNMP服务修改SNMP的字符串为什么要修改SNMP的字符串？它会泄露什么？通过SNMP服务，远程恶意用户可以列举本地的帐号、帐号组、运行的进程、安装的补丁和软件等敏感信息，禁用或修改SNMP配置可以有效防止远程恶意用户的这类行为。攻击工具:

snmputilwalk0public.1.3.6......服务与进程SNMPService服务加固方法：为修改SNMP团体名限制远程主机对SNMP的访问关闭自动播放功能关闭所有驱动器的自动播放功能点击开始→运行→输入gpedit.msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。

Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强密码策略密码策略长度7≤Windows2000≤12714≥Windows9X≈0期限定期修改密码复杂性Pyth0n&^!@大小写数字特殊字符密码策略加固要点密码策略:

开始→运行→gpedit.msc计算机配置→Windows设置→安全设置→帐户策略→帐户锁定策略->密码策略”：帐户锁定策略用户权利指派检查用户权限策略是否设置：

开始→运行→gpedit.msc计算机配置→Windows设置→安全设置→本地策略→用户权利指派本地安全策略配置检查本地安全策略配置：

开始→运行→gpedit.msc计算机配置→Windows设置→安全设置→本地策略→安全选项Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强日志和审核策略审核了解Windows审核策略审核策略并不完整很多审核内容默认未开启只有在NTFS磁盘上才能开启对象访问审核,日志量较大步骤打开审核策略编辑审核对象的审核项日志和审核策略审核打开审核策略要做什么审核？要审核什么？位置：gpedit.msc–

计算机配置–Windows设置–

安全设置–审核设置12日志和审核策略审核查看审核日志eventvwr（事件查看器）Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强文件系统Windows文件系统FATFAT16FAT32NTFS将FAT卷转换成NTFSconvertC:/FS:NTFS用户用户和组特殊的组Administrators、Guests、PowerUsers……

可通过netlocalgroup命令打印特殊的用户Administrator、Guest可通过netuser命令打印隐藏帐号netuserhide$password/add用户加固要点检查用户克隆隐藏清除用户未使用的未知的锁定用户GuestSUPPORT_XXXXX设置重要文件权限权限前提（关键字）NTFSAdministrators设置重要文件权限权限ACL（访问控制列表）包含了用户帐户和访问对象之间许可关系由四个权限项组成的权限项集（即，ACL）设置重要文件权限权限ACE（访问控制项）ACL中包含ACE访问控制条目设置重要文件权限加密和压缩设置重要文件权限审核编辑审核对象的审核项123设置重要文件权限加固要点目录及文件的权限查找具有everyone的权限项重要对象的审核策略@echooffdir/s/b>>all.txtfor/f%%iin(all.txt)docacls%%i|find"Everyone"Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强安全增强删除匿名用户空连接注册表如下键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa