网络安全防护

网络安全防护Windows2003服务包括三种启动类型：自动，手动，禁用*自动-Win2000启动时自动加载服务*手动-Win2000启动时不自动加载服务，在需要的时候手动开启*禁用-Win2000启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service底下每一笔服务项目子项都有一个Start数值,该数值内容所记录的就是服务项目驱动程式该在何时被加载。目前微软对Start内容的定义有0、1、2、3、4等五种状态,0、1、2分别代表Boot、System、AutoLoad等叁种意义。而Start数值内容为3的服务项目代表让使用者以手动的方式载入(Loadondemand),4则是代表停用的状态,也就是禁用。Windows系统服务Windows2003Windows的系统进程_基本的系统进程smss.exeSessionManagercsrss.exe子系统服务器进程winlogon.exe管理用户登录services.exe包含很多系统服务lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。(系统服务)svchost.exe包含很多系统服务spoolsv.exe将文件加载到内存中以便迟后打印。(系统服务)explorer.exe资源管理器internat.exe输入法Windows2003Windows的系统进程_附加的系统进程（这些进程不是必要的）mstask.exe允许程序在指定时间运行。(系统服务)regsvc.exe允许远程注册表操作。(系统服务)winmgmt.exe提供系统管理信息(系统服务)。inetinfo.exe通过Internet信息服务的管理单元提供FTP连接和管理。(系统服务)tlntsvr.exe允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在服务器上的基于Windows的程序。(系统服务)dns.exe应答对域名系统(DNS)名称的查询和更新请求。(系统服务)Windows2003tcpsvcs.exe提供在PXE可远程启动客户计算机上远程安装Windows2000Professional的能力。(系统服务)ismserv.exe允许在WindowsAdvancedServer站点间发送和接收消息。(系统服务)ups.exe管理连接到计算机的不间断电源(UPS)。(系统服务)wins.exe为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称服务。(系统服务)llssrv.exeLicenseLoggingService(systemservice)ntfrs.exe在多个服务器间维护文件目录内容的文件同步。(系统服务)RsSub.exe控制用来远程储存数据的媒体。(系统服务)locator.exe管理RPC名称服务数据库。(系统服务)lserver.exe注册客户端许可证。(系统服务)dfssvc.exe管理分布于局域网或广域网的逻辑卷。(系统服务)Windows的系统进程_附加的系统进程（这些进程不是必要的）Windows2003msdtc.exe并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)faxsvc.exe帮助您发送和接收传真。(系统服务)cisvc.exeIndexingService(systemservice)dmadmin.exe磁盘管理请求的系统管理服务。(系统服务)mnmsrvc.exe允许有权限的用户使用NetMeeting远程访问Windows桌面。(系统服务)netdde.exe提供动态数据交换(DDE)的网络传输和安全特性。(系统服务)smlogsvc.exe配置性能日志和警报。(系统服务)rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)RsEng.exe协调用来储存不常用数据的服务和管理工具。(系统服务)RsFsa.exe管理远程储存的文件的操作。(系统服务)Windows的系统进程_附加的系统进程（这些进程不是必要的）Windows2003grovel.exe扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)SCardSvr.exe对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)snmptrap.exe接收由本地或远程SNMP代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上SNMP管理程序。(系统服务)UtilMan.exe从一个窗口中启动和配置辅助工具。(系统服务)msiexec.exe依据.MSI文件中包含的命令来安装、修复以及删除软件。(系统服务)Windows的系统进程Windows系统的用户权利下面列出了用户的特定权利：Accessthiscomputerfromnetwork可使用户通过网络访问该计算机。Addworkstationtoadomain允许用户将工作站添加到域中。Backupfilesanddirectories授权用户对计算机的文件和目录进行备份。Changethesystemtime用户可以设置计算机的系统时钟。Loadandunloaddevicedrive允许在网络上安装和删除设备驱动程序。Restorefilesanddirectories允许用户恢复以前备份的文件和目录。Shutdownthesystem允许用户关闭系统。Windows系统的用户权限权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作，指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。下表显示了这些任务是如何与各种权限级别相关联的。Windows系统的用户权限目录权限级别RXWDPO允许的用户动作NoAccess用户不能访问该目录ListRX可以查看目录中的子目录和文件名，也可以进入其子目录ReadRX具有List权限，用户可以读取目录中的文件和运行目录中的应用程序AddXW用户可以添加文件和子录AddandReadRXW具有Read和Add的权限ChangeRXWD有Add和Read的权限，另外还可以更改文件的内容，删除文件和子目录FullcontrolRXWDPO有Change的权限，另外用户可以更改权限和获取目录的所有权Windows系统的用户权限权限级别RXWDPO允许的用户动作NoAccess用户不能访问该文件ReadRX用户可以读取该文件，如果是应用程序可以运行ChangeRXWD有Read的权限，还可用修和删除文件FullcontrolRXWDPO包含Change的权限，还可以更改权限和获取文件的所有权系统命令Ping：PING主机名/IP–t，一般用于检测网络通与不通telnet：远程登录服务器软件telnet主机名/IPtracert：跟踪路由tracert主机名/IP－dNslookup：DNS查询Netstat：显示网络连接，netstat-na来显示所有连接的端口并用数字表示Ipconfig：显示当前的TCP/IP配置的设置值DOS工具fport：类似netstat,用于快速识别未知的开放端口和与之关联的应用程序pslist:查看进程的程序sid2user：通过机器的SID表达式来查询账户的用户名User2sid：通过用户名查询系统SIDWindows下的几个命令Windows系统安全配置安装流程断开网络安装系统安装防火墙软件安装杀毒软件上网升级杀毒软件采用光盘进行安装将系统安装在NTFS分区上系统、数据、应用程序应安装在不同的分区只安装必需的组件、服务和协议及时下载安装最新的补丁SUS制作紧急修复盘rdisk/s(NT)开始-附件-系统工具-备份Windows系统安全配置物理安全使用NTFS格式分区停掉Guest账号限制不必要的用户数量把系统administrator账号改名创建一个陷阱账号把共享文件的权限从”everyone”组改成“授权用户”使用安全密码Windows系统安全配置关闭不必要的服务关闭不必要的端口打开审核策略开启密码策略开启账户策略不让系统显示上次登陆的用户名HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName把REG_SZ的键值改成1.取消系统管理共享[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks（DWORD）的键值改为:00000000“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters\“AutoShareServer”，将它的键值改为“0”即可Windows系统安全配置禁止建立空连接默认情况下，任何用户通过通过空连接连上服务器，进而枚举出账号，猜测密码。我们可以通过修改注册表来禁止建立空连接：Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成”1”即可。到微软网站下载最新的补丁程序考虑使用IPSec(全称是internetprotocolsecurity，即internet协议安全性)