6.windows系统安全

12020/2/8企业网络安全和管理EnterpriseNetworkSecurityandManagement2加密技术PKI公钥数字证书技术防火墙技术VPN技术IDS入侵检测系统windows系统安全管理《企业网络安全》课程结构企业网络安全网络安全绪论Linux服务器安全管理3主要内容•Windows安全设置组策略注册表服务的安全设置4组策略设置•安全选项启用不允许匿名访问SAM帐号和共享;启用不允许为网络验证存储凭据或Passport;启用交互登录：不显示上次的用户名;启用在下一次密码变更时不存储LANMAN哈希值;网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命名管道全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户帐户：重命名系统管理员帐户重命名一个帐户5组策略设置•本地策略—审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败6组策略设置•本地策略—用户权限分配关闭系统：只有Administrators组、其它全部删除。通过终端服务拒绝登陆：加入Guests、User组通过终端服务允许登陆：只加入Administrators组，其他全部删除从通过网络访问此计算机中删除PowerUsers和BackupOperators;禁止IIS匿名用户在本地登录;7组策略设置•账户策略-密码策略密码复杂性要求启用密码长度最小值6位强制密码历史5次最长存留期30天•账户策略-账户锁定策略账户锁定3次错误登录锁定时间20分钟复位锁定计数20分钟8修改注册表•禁止139空连接Hkey_local_machine\system\currentcontrolset\control\lsa-restrictanonymous=1•修改数据包的生存时间(ttl)值hkey_local_machine\system\currentcontrolset\services\tcpip\parametersdefaultttlreg_dword0-0xff(0-255十进制,默认值128)9修改注册表•防止syn洪水攻击hkey_local_machine\system\currentcontrolset\services\tcpip\parameterssynattackprotectreg_dword0x2(默认值为0x0)•禁止响应icmp路由通告报文hkey_local_machine\system\currentcontrolset\services\tcpip\parameters\interfaces\interfaceperformrouterdiscoveryreg_dword0x0(默认值为0x2)10修改注册表•防止icmp重定向报文的攻击hkey_local_machine\system\currentcontrolset\services\tcpip\parametersenableicmpredirectsreg_dword0x0(默认值为0x1)•禁用3389端口HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp,找到“PortNumber”子项，您会看到值00000D3D，它是3389的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。11修改注册表•设置arp缓存老化时间设置hkey_local_machine\system\currentcontrolset\services\tcpip\parametersarpcachelifereg_dword0-0xffffffff(秒数,默认值为120秒)arpcacheminreferencedlifereg_dword0-0xffffffff(秒数,默认值为600)12修改注册表•禁止死网关监测技术hkey_local_machine\system\currentcontrolset\services:\tcpip\parametersenabledeadgwdetectreg_dword0x0(默认值为ox1)•不支持路由功能hkey_local_machine\system\currentcontrolset\services:\tcpip\parametersipenablerouterreg_dword0x0(默认值为0x0)13修改注册表•禁止WebDAVHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters加以下注册表值：数值名称：DisableWebDAV数据类型：DWORD数值数据：114禁用服务ApplicationExperienceLookupServiceAutomaticUpdatesBITSComputerBrowserDHCPClientErrorReportingServiceHelpandSupportNetworkLocationAwarenessPrintSpooler15禁用服务RemoteRegistrySecondaryLogonServerSmartcardTCP/IPNetBIOSHelperWorkstationWindowsAudioWindowsTimeWirelessConfiguration16禁用服务•解除NetBios与TCP/IP协议的绑定控制面版——网络——绑定——NetBios接口——禁用2000：控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS17服务的安全设置•IIS加固仅安装必要的iis组件。(禁用不需要的如ftp和smtp服务)仅启用必要的服务和webservice扩展将iis目录&数据与系统磁盘分开，保存在专用磁盘空间内在iis管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)在iis中将http404objectnotfound出错页面通过url重定向到一个定制htm文件web站点权限设定18服务的安全设置•Web站点权限设置读允许写不允许脚本源访问不允许目录浏览建议关闭日志访问建议关闭索引资源建议关闭执行推荐选择仅限于脚本19服务的安全设置•关于IIS日志建议使用w3c扩充日志文件格式，每天记录客户ip地址，用户名，服务器端口，方法，uri字根，http状态，用户代理，而且每天均要审查日志。日志的存储，最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为fullcontrol。20服务的安全设置•IIS--删除不必要的应用程序映射IIS中默认存在很多种应用程序映射，除了ASP的这个程序映射，其他的文件在网站上都很少用到。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击[配置]按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射。如果需要这一类文件时，必须安装最新的系统修补补丁，并且选中相应的程序映射，再点击[编辑]按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。21课堂提问时间