Windows系统基本安全设置.docx
《Windows系统基本安全设置.docx》由会员分享,可在线阅读,更多相关《Windows系统基本安全设置.docx(17页珍藏版)》请在冰豆网上搜索。
Windows系统基本安全设置
单元一网络攻击方式及防范措施
项目二Windows系统基本安全设置
教学目标
1.Internet防火墙设置及规则配置以及服务器安全配置向导的设置;
2.配置策略,封闭端口,防范ICMP攻击及防范IPC$漏洞;
3.配置安全审核以及注册表优化设置;
教学要求
1.认真听讲,专心操作,操作规范,认真记录实验过程,总结操作经验和写好实验报告,在实验中培养严谨科学的实践操作习惯;
2.遵守学校的实验室纪律,注意人身和设备的安全操作,爱护实验设备、及时上缴作业;
3.教学环境:
Windows7以及Windowsserver2003/2008以上操作系统。
知识要点
1.Internet防火墙设置及规则;
2.服务器端口及漏洞;
技术要点
1.服务器安全配置向导的设置;
2.防范ICMP攻击及防范IPC$漏洞;
3.安全审核配置以及注册表优化设置。
技能训练
一.讲授与示范
正确启动计算机,在最后一个磁盘上建立以学号为名的文件夹,从指定的共享文件夹中将“实习指导书”和其他内容复制到该文件夹中。
(一)Internet防火墙
1.防火墙ICF
指在计算机与外部Internet间建设的过滤网,可允许请求的数据包通过,也可阻碍那些没有请过的数据包,禁止所有来自Internet的未经允许的连接。
2.设置Windows防火墙
任务1 设置防火墙
要求:
①打开或关闭Windows防火墙
②允许程序或功能通过防火墙
③检查防火墙状态以及还原默认设置
步骤:
①控制面板→系统和安全 →Windows防火墙→打开或关闭防火墙
②控制面板→系统和安全 →允许通过Windows防火墙→
③控制面板→系统和安全 →检查防火培状态,以及还原默认设置
3.防火墙高级安全设置
分析进行控制传入和传出连接规则,实现端到端的安全连接和用户身份验证,可以对穿过网络边界防火墙和发自企业内部的网络攻击进行防护。
1)配置防火墙规则
以确定阻止还是允许通过。
传入数据包到计算机时,高级安全Windows防火墙会检查该数据包,确定其是否符合防火墙规则中指定的标准。
否则将丢升该数据包,并在日志文件中创建条目。
操作:
控制面板→系统和安全 →Windows防火墙→高级设置 (在窗口的左边)
任务2配置防火墙规则“核心网络-目标不可访问(ICMPv6-In)”设置阻止连接
步骤:
高级设置→入站规则→核心网络-目标不可访问(ICMPv6-In) →选取“阻止连接”
2)创建防火墙规则
默认情况下,在服务器上安装Mic公司提供的网络服务后,会自动活加在出站规则列表中,若是第三方网络服务,则需手动添加
任务3服务器上配置基于Serv_U的FTP服务器创建上传和下载的入站规则
步骤:
①高级设置→入站规则→右窗格“新建规则”→端口→协议和端口→(根据服务使用的协议选择“TCP”或“UDP”)→TCP→特定本地端口2121→下一步
②“操作”对话框 →允许连接→下一步
③“配置”对话框→公用→下一步
④“名称”→输入“允许Serv-uFTP访问进入(TCP21)”→描述:
提供下载→完成并自动启用
(二)安全配置向导SCW
SCW是帮助管理员快速完成创建、编辑、应用和回滚安全策略操作。
用户可根据需要创建针对某个服务器角色的安全策略,并且可将其应用到其他服务器上。
任务4 创建安全策略及应用安全配置策略
步骤:
①开始→管理工具→安全配置向导→下一步→新建安全策略→下一步
②“选择服务器”对话框→服务器→下一步(→自动扫描或查看配置数据库)→下一步
③基于角色的服务配置→连续点“下一步”→选定服务器角色、角色服务、功能以及其他系统服务配置安全策略→网络安全→下一步→网络安全规则→下一步
④“注册表设置”对话框→连续点击“下一步”(最好不要跳过这一部分)
⑤“审核策略”对话框→下一步→审核成功的操作→下一步→安全策略文件名“windows2008”下一步→“完成”
⑥应用安全配置策略:
安全配置向导→配置操作→应用现有安全策略→浏览→选择配置文件名windows2008
⑦下一步→服务器名→应用安全策略→下一步→完成,并重启计算机即可生效
(三)构建设服务器系统的安全性
1.系统服务
1)服务权限
登录帐户
描述
LocalSystem帐户
Local System帐户是一个有权访问整个系统(包括域控制器上的目录服务)的功能强大的帐户。
如果某个服务登录到域控制器上的Local System帐户,则该服务有权访问整个域。
默认情况下,某些服务将配置为登录到Local System帐户。
不要更改默认的服务设置。
LocalService帐户
LocalService帐户是类似于已验证的用户帐户的特殊内置帐户。
LocalService帐户对于资源和对象的访问级别与Users组的成员相同。
如果单个服务或进程受到危害,则通过上述受限制的访问将有助于保护系统。
以LocalService帐户身份运行的服务作为空会话,而且不使用任何凭据访问网络资源。
Network Service帐户
NetworkService帐户是类似于已验证的用户帐户的特殊内置帐户。
NetworkService帐户对于资源和对象的访问级别与Users组的成员相同。
如果单个服务或进程受到危害,则通过上述受限制的访问将有助于保护系统。
以Network Service帐户身份运行的服务将使用计算机帐户的凭据来访问网络资源。
权限
允许您
完全控制
执行所有功能。
此权限将所有服务权限自动授予用户。
查询模板
确定与某个服务对象关联的配置参数。
更改模板
更改服务的配置。
用户需要具有此权限才能更改启动类型。
状态查询
有关服务状态的访问信息。
列举依存关系
确定依存于指定服务的所有其他服务。
启动
启动服务。
停止
停止服务。
暂停和继续
暂停或继续服务。
询问
报告服务的当前状态信息。
用户定义的控制
将用户定义的控制请求或特定于服务的请求发送给该服务。
删除
删除服务。
读取权限
读取指派给服务的安全权限。
更改权限
更改指派给服务的安全权限。
取得所有权
更改安全密钥,或更改关于不为用户所有的服务的权限。
2)服务的启动和关闭
任务5 关闭DHCP Client服务
步骤:
1管理工具→服务→配置→服务
2右窗口双击“DHCPClient服务”→服务状态“已启动”改为“已停用”→确定
2.端口设置
1)139端口
139端口是一种TCP端口,该端口在通过网上邻居访问局域网中的共享文件或共享打印机时就能发挥作用。
139端口一旦被Internet上的某个攻击者利用的话,就能成为一个危害极大的安全漏洞。
2)445端口
也是一种TCP端口,该端口在WindowsServer2003系统中发挥的作用与139端口是完全相同的。
具体地说,它也是提供局域网中文件或打印机共享服务。
任务6配置策略,封闭端口(以禁止139/445端口连接)
步聚:
1)控制面版->管理工具->本地安全策略->(鼠标右击)IP安全策略,在本地机器”。
点击“管理IP筛选器表和筛选器操作”。
图1
2)在“管理IP筛选器列表”选项卡上点击”添加”。
图2
3)弹出“IP筛选器列表”窗口。
分别添入名称和描述,如禁用139连接。
图3
4)点击“添加”,接着会出现一个IP“筛选器向导”,单击下一步。
图4
5)到”指定IP源地址”窗口,在”源地址”中选择”任何IP地址”,点击下一步。
图5
6)在”IP通信目标”的”目标地址”选择”我的IP地址”,点击下一步。
图6
7)在"IP协议类型"的"选择协议类型"选择"TCP",点击下一步。
图7
8)在"筛选器向导"的"设置IP协议端口"里第一栏为"从任意端口",第二栏为"到此端口"并添上"139",点击下一步。
图8
9)接着点击"完成"->然后再单击"关闭"回到"管理IP筛选器表和筛选器操作"窗口。
图9
10)选择”管理筛选器操作”选项卡点击”添加”。
图10
11)同样会出现一个”筛先器操作向导”的窗口,点击”下一步”,在”名称”里添上”禁用139连接”。
图11
12)按”下一步”,并选择”阻止”,再按”下一步”。
点击”完成”和”关闭”。
图12
13)按照1-12步创建”禁用445端口”。
(注意的在添加139和445的筛选器操作时,不能使用同一个”阻止”筛选器操作,这样制定出的规则将无法使用。
)
14)当禁止139/445的操作都完成后,回到”IP安全策略,在本地机器”,通过右击创建”IP安全策略”
图13
15)出现一个”IP安全策略向导”的窗口,直接点击”下一步”,在”名称”添入”禁用139/445连接”,一直点击”下一步”到”完成”。
图14
16)在”禁用139/445连接属性”里点击”添加”。
图15
17)出现一个”安全规则向导”窗口,一直点击”下一步”到”IP筛选器列表”选择”禁用139连接”,点击”下一步”。
图16
18)在”筛选器操作”选择”禁用139连接”,点击”下一步”,接着点”完成”和”确定”。
图17
19)通过”添加”将禁用445端口的筛选器列表和操作也加进去。
图18
20)接着是一直点击"下一步",到"IP筛选器列表",选择"禁用445连接",点击"下一步"。
图19
21)此时,已经完成了所有的配置。
点击”关闭”。
回到”属性”窗口,设置好的窗口呈现如下。
图20
21)将我们刚才配置好的”禁用139/445连接”的安全策略指派即可。
图21
3.ICMP攻击
指向目标主机长时间、连续、大量地发送ICMP数据包,也会最终使系统瘫痪。
大量的ICMP数据包会形成“ICMP风暴”,使得目标主机耗费大量的CPU资源处理。
ICMP是是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。
任务7配置策略,防范ICMP攻击
步骤:
1)打开“控制面板→管理工具→本地安全策略”,然后右击“IP安全策略,在本地机器”选“管理IP筛选器和IP筛选器操作”,在管理IP筛选器和IP筛选器操作列表中添加一个新的过滤规则,名称输入“防止ICMP攻击”,然后按添加,在源地址选任何IP地址,目标地址选我的IP地址,协议类型为ICMP,设置完毕。
2)在“管理筛选器操作”,取消选中“使用添加向导”,添加,在常规中输入名字“禁止ICMP攻击”,安全措施为“阻止”。
3)点击“IP安全策略,在本地机器”,选择“创建IP安全策略-下一步-输入名称为ICMP过滤器”,通过增加过滤规则向导,把上面1、2点定义的“防止ICMP攻击”过滤策略指定给ICMP过滤器,然后选择刚刚定义“禁止ICMP攻击”。
4)右击“ICMP过滤器”并指派。
5)在其它机器上使用ping命令ping本地计算机,查看能否连接。
4.IPC$共享(漏洞)
指是共享"命名管道"的资源,在同一时间内,两个IP之间只允许建立一个连接。
但大多数弱口令扫描工具就是利用这个安全隐患进行口令猜解的,成功的导出用户列表大大增加了猜解的成功率
指空连接就是不用密码和用户名的IPC连接,在Windows下,它是用Net命令来实现的。
进入空连接:
netuse\\192.168.1.3\ipc$""/user:
""
注意:
上面的命令包括四个空格,net与use中间有一个空格,use后面一个,密码左右各一个空格。
任务8IPC$共享漏洞的防范
步骤:
①运行命令提示符(cmd.exe),在命令提示符下输入如下命令:
netshare(查看本机的默认共享)
②在命令提示符下输入如下命令:
netshareipc$/delete(删除ipc$共享)
③逐步使用netshare命令,删除c$、d$、e$、f$和admin$共享
④接着在命令提示符下输入如下命令:
netstopserver/y(停止Server服务,该服务提供RPC支持、文件、打印以及命名管道共享。
)
⑤运行注册表编辑器,找到如下键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
修改注册表键值【AutoShareWks】的Dword值为00000000。
修改注册表键值【AutoShareServer】的Dword值为00000000。
二.课堂任务实践
任务9Windows系统注册表的使用及优化
步骤:
(一)注册表的使用
1.“导入”和“导出”命令进行注册表的备份:
步骤:
导出注册表到最后一个盘符中作一次备份
导入:
将备份好的注册表导入进去,可恢复注册表
2.设置“开始”菜单和任务栏增强计算机的安全
1)删除“我最近的文档”选项:
步骤:
展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
新建一个REG_DWORD值:
NoRecentDocsMenu,其值为1。
2)禁止更改“开始”菜单里各项的排列次序:
步骤:
展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
新建一个REG_DWORD值:
NoChangeStartMenu,其值为1。
3)更改时间显示格式:
步骤:
展开HKEY_CURRENT_USER\ControlPanel\International
打到sTimeFormat值,将数据值改为:
H点mm分ss秒,重启。
3.图标和路径相关设置:
1)让图标的颜色更靓丽:
步骤:
展开HKEY_CURRENT_USER\ControlPanel\Desktop\WindowMetrics
找到ShellIconBPP项值,将其值改为24,重启计算机。
2)改变图标或文件下的文字颜色:
步骤:
展开HKEY_CURRENT_USER\ControlPanel\Colors
找到HotTrackingColor项值,将其值改为25500,重启计算机。
3)删除快捷图标中的箭头
步骤:
展开HKEY_CLASSES_ROOT\lnkfile找到IsShortcut项值,将其删除,重启计算机。
4.控制面板相关设置
1)自动刷新窗口:
步骤:
展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Update
将其UpdateMode的值改为0,重启动。
2)禁止在桌面创建新的快捷方式:
步骤:
展开HKEY_CLASSES_ROOT\.lnk\ShellNew,将Commnand的值改:
rundll32.exeappwiz.cpl,NewLinkHere%2,重启计算机。
3)如何隐藏“控制面板”的指定项目:
步骤:
展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
新建一个双字值项:
Disallowcpl,设置数值为1。
再建立一个项Disallowcpl,在其下建立几个字符串值项:
数据名:
字符串值项1,其值desk.cpl,
字符串值项2的数值:
appwiz.cpl
重启计算机,可以隐藏“显示”和“添加或删除程序”
4)如何禁止使用“添加或删除程序”|“更改或删除程序”
步骤:
展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
在其中建立一项Uninstall。
在其中新建立双字节值项NoRemovePage,设置数值为1即可。
5)防止远程修改注册表:
步骤:
控制面板→管理工具→服务→“RemoteRegistryService”(允许远程注册表操作)项设为“已禁用”或“手动”。
(二)优化系统反应速度
1.加快程序运行速度
步骤:
展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
在其建立双字值项ConfigFileAllocSize,设置数据值为十六进制的450。
2.清除注册表中残留的数据或删除不掉的程序
在某些程序卸载后,可能在注册表中留中会有一些没用的垃圾信息,通过注册表可以将清除。
步骤:
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
,在其中找到已经卸载的应用程序对应的项,并把它删除。
3.如何删除.dll文件
为了提高系统性能和节省硬盘空间,需要将System文件夹中多余的.dll文件删除,但要通过注册表才可将多余的.dll文件删除。
步骤:
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs
查看右窗口的值项,如果数值表示为0,则表示该项没有被任何程序利用,可删除。
4.提高NTFS性能
步骤:
展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
在其下建立双字值项,其名称为:
NtfsDisableLastAccessUpdate,设置数值为1。
5.优化文件系统
通过优经文件系统,可加快软件运行速度,通过修改注册表,即可实现
步骤:
展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
在其下建立双字值项ConfigFileAllocSize,设置16进制的值为1f4。
(三)优化硬件执行效率
1.设置CPU任务的优先级
步骤:
启动“任务管理器”→进程→选择要设置的应用程序进程,点击右键,设置优化级。
2.如何增加磁盘缓存大小
要根据计算机内存大小:
256M内存对应是的10000,512M或更大为4G
方法:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SessionManager\MemoryManagement,修改右边窗中的IoPageLockLimitr的值。
方法:
“我的电脑”属性的设置
3.关机时删除Windows页面文件
步骤:
展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SessionManager\MemoryManagement,在右窗口找到
ClearPageFileAtShutdown,数值设置为0。
(四)清空远程可访问的注册表路径
运行中输入gpedit.msc回车,打开组策略编辑器,依次展开“计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右侧窗口中找到“网络访问:
可远程访问的注册表路径”,然后在打开的窗口中,将可远程访问的注册表路径和子路径内容全部设置为空即可。
三.课堂小结
1.本课的纪律评价。
2.对典型问题进行进一步分析说明和总结。
3.提出要求:
小组讨论要积极参与,增加主动性,才能有所收获。
四.作业
进一步完善本部分对应的任务和课堂实践内容,并对Windows基本安全设置的其他要求做出说明。
检查:
下次课对本次课的内容进行提问,回答效果好的在期末成绩上直接2-3分
升级会员 