Windows系统基本安全设置.docx

1、Windows系统基本安全设置单元一 网络攻击方式及防范措施项目二 Windows系统基本安全设置教学目标1Internet防火墙设置及规则配置以及服务器安全配置向导的设置；2配置策略,封闭端口，防范ICMP攻击及防范IPC$漏洞；3配置安全审核以及注册表优化设置；教学要求1认真听讲，专心操作, 操作规范， 认真记录实验过程，总结操作经验和写好实验报告，在实验中培养严谨科学的实践操作习惯；2遵守学校的实验室纪律，注意人身和设备的安全操作，爱护实验设备、及时上缴作业；3教学环境： Windows 7以及Windows server2003/2008以上操作系统。知识要点1Internet防火墙设

2、置及规则 ；2服务器端口及漏洞；技术要点1服务器安全配置向导的设置；2防范ICMP攻击及防范IPC$漏洞；3安全审核配置以及注册表优化设置。技能训练一讲授与示范正确启动计算机，在最后一个磁盘上建立以学号为名的文件夹，从指定的共享文件夹中将“实习指导书”和其他内容复制到该文件夹中。(一) Internet防火墙1防火墙ICF指在计算机与外部Internet间建设的过滤网，可允许请求的数据包通过，也可阻碍那些没有请过的数据包，禁止所有来自Internet的未经允许的连接。2设置Windows防火墙任务1 设置防火墙要求：打开或关闭Windows防火墙允许程序或功能通过防火墙检查防火墙状态以及还原默

3、认设置步骤： 控制面板 系统和安全Windows防火墙 打开或关闭防火墙 控制面板 系统和安全允许通过Windows防火墙 控制面板 系统和安全检查防火培状态，以及还原默认设置3防火墙高级安全设置分析进行控制传入和传出连接规则，实现端到端的安全连接和用户身份验证，可以对穿过网络边界防火墙和发自企业内部的网络攻击进行防护。1）配置防火墙规则以确定阻止还是允许通过。传入数据包到计算机时，高级安全Windows防火墙会检查该数据包，确定其是否符合防火墙规则中指定的标准。否则将丢升该数据包，并在日志文件中创建条目。操作：控制面板 系统和安全Windows防火墙 高级设置(在窗口的左边)任务2 配置防火

4、墙规则“核心网络 - 目标不可访问(ICMPv6-In)”设置阻止连接步骤： 高级设置 入站规则 核心网络 - 目标不可访问(ICMPv6-In) 选取“阻止连接”2）创建防火墙规则默认情况下，在服务器上安装Mic公司提供的网络服务后，会自动活加在出站规则列表中，若是第三方网络服务，则需手动添加任务3 服务器上配置基于Serv_U的FTP服务器创建上传和下载的入站规则步骤： 高级设置 入站规则 右窗格“新建规则” 端口 协议和端口 （根据服务使用的协议选择“TCP”或“UDP”） TCP 特定本地端口2121 下一步 “操作”对话框允许连接下一步 “配置”对话框 公用下一步“名称”输入“允许S

5、erv-u FTP访问进入(TCP 21)” 描述：提供下载完成并自动启用(二) 安全配置向导SCWSCW是帮助管理员快速完成创建、编辑、应用和回滚安全策略操作。用户可根据需要创建针对某个服务器角色的安全策略，并且可将其应用到其他服务器上。任务4创建安全策略及应用安全配置策略步骤： 开始 管理工具 安全配置向导 下一步 新建安全策略 下一步 “选择服务器”对话框 服务器 下一步(自动扫描或查看配置数据库)下一步 基于角色的服务配置 连续点“下一步” 选定服务器角色、角色服务、功能以及其他系统服务配置安全策略 网络安全 下一步网络安全规则 下一步 “注册表设置”对话框 连续点击“下一步”（最好不

6、要跳过这一部分） “审核策略”对话框 下一步 审核成功的操作 下一步安全策略文件名“windows2008” 下一步 “完成” 应用安全配置策略：安全配置向导 配置操作应用现有安全策略浏览选择配置文件名windows2008 下一步 服务器名 应用安全策略 下一步 完成,并重启计算机即可生效 (三) 构建设服务器系统的安全性1系统服务1）服务权限登录帐户 描述 Local System 帐户LocalSystem 帐户是一个有权访问整个系统（包括域控制器上的目录服务）的功能强大的帐户。如果某个服务登录到域控制器上的 LocalSystem 帐户，则该服务有权访问整个域。默认情况下，某些服务将配

7、置为登录到 LocalSystem 帐户。不要更改默认的服务设置。Local Service 帐户Local Service 帐户是类似于已验证的用户帐户的特殊内置帐户。Local Service 帐户对于资源和对象的访问级别与 Users 组的成员相同。如果单个服务或进程受到危害，则通过上述受限制的访问将有助于保护系统。以 Local Service 帐户身份运行的服务作为空会话，而且不使用任何凭据访问网络资源。NetworkService 帐户Network Service 帐户是类似于已验证的用户帐户的特殊内置帐户。Network Service 帐户对于资源和对象的访问级别与 User

8、s 组的成员相同。如果单个服务或进程受到危害，则通过上述受限制的访问将有助于保护系统。以 NetworkService 帐户身份运行的服务将使用计算机帐户的凭据来访问网络资源。权限 允许您 完全控制执行所有功能。此权限将所有服务权限自动授予用户。查询模板确定与某个服务对象关联的配置参数。更改模板更改服务的配置。用户需要具有此权限才能更改启动类型。状态查询有关服务状态的访问信息。列举依存关系确定依存于指定服务的所有其他服务。启动启动服务。停止停止服务。暂停和继续暂停或继续服务。询问报告服务的当前状态信息。用户定义的控制将用户定义的控制请求或特定于服务的请求发送给该服务。删除删除服务。读取权限读取

9、指派给服务的安全权限。更改权限更改指派给服务的安全权限。取得所有权更改安全密钥，或更改关于不为用户所有的服务的权限。2) 服务的启动和关闭任务5关闭DHCPClient服务步骤：1 管理工具服务配置服务2 右窗口双击“DHCP Client服务” 服务状态“已启动”改为“已停用” 确定2端口设置1）139端口139端口是一种TCP端口，该端口在通过网上邻居访问局域网中的共享文件或共享打印机时就能发挥作用。139端口一旦被Internet上的某个攻击者利用的话，就能成为一个危害极大的安全漏洞。2）445端口也是一种TCP端口，该端口在Windows Server 2003系统中发挥的作用与139

10、端口是完全相同的。具体地说，它也是提供局域网中文件或打印机共享服务。任务6 配置策略，封闭端口（以禁止139/445端口连接）步聚：1）控制面版-管理工具 - 本地安全策略 -（鼠标右击）IP安全策略，在本地机器”。点击“管理IP筛选器表和筛选器操作”。图 12）在“管理IP筛选器列表”选项卡上点击”添加”。图 23）弹出“IP筛选器列表”窗口。分别添入名称和描述，如禁用139连接。图 34）点击“添加”，接着会出现一个IP“筛选器向导”，单击下一步。图 45）到”指定IP源地址”窗口，在”源地址”中选择”任何IP地址”，点击下一步。图 56）在”IP通信目标”的”目标地址”选择”我的IP地址

11、”，点击下一步。图 67）在IP协议类型的选择协议类型选择TCP，点击下一步。图 78）在筛选器向导的设置IP协议端口里第一栏为从任意端口，第二栏为到此端口并添上139，点击下一步。图 89）接着点击完成 -然后再单击关闭 回到管理IP筛选器表和筛选器操作窗口。图 910）选择”管理筛选器操作”选项卡点击”添加”。图 1011）同样会出现一个”筛先器操作向导”的窗口，点击”下一步”，在”名称”里添上”禁用139连接”。图 1112）按”下一步”，并选择”阻止”，再按”下一步”。点击”完成”和”关闭”。图 1213）按照1-12步创建”禁用445端口”。（注意的在添加139和445的筛选器操作时

12、，不能使用同一个”阻止”筛选器操作，这样制定出的规则将无法使用。）14）当禁止139/445的操作都完成后，回到”IP安全策略，在本地机器” ，通过右击创建”IP安全策略” 图 1315）出现一个”IP安全策略向导”的窗口，直接点击”下一步”，在”名称”添入”禁用139/445连接”，一直点击”下一步”到”完成”。图 1416）在”禁用139/445连接 属性”里点击”添加”。图 1517）出现一个”安全规则向导”窗口，一直点击”下一步”到”IP筛选器列表”选择”禁用139连接”，点击”下一步”。 图 1618）在”筛选器操作”选择”禁用139连接”，点击”下一步”，接着点”完成”和”确定”。

13、图 1719）通过”添加”将禁用445端口的筛选器列表和操作也加进去。图 1820）接着是一直点击下一步，到IP筛选器列表，选择禁用445连接，点击下一步。图 1921）此时，已经完成了所有的配置。点击”关闭”。回到”属性”窗口，设置好的窗口呈现如下 。 图 2021）将我们刚才配置好的”禁用139/445连接”的安全策略指派即可。图 213ICMP攻击指向目标主机长时间、连续、大量地发送ICMP数据包，也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”，使得目标主机耗费大量的CPU资源处理。ICMP是是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。任务7

14、 配置策略，防范ICMP攻击步骤：1）打开“控制面板管理工具本地安全策略”，然后右击“IP安全策略，在本地机器”选“管理IP筛选器和IP筛选器操作”，在管理IP筛选器和IP筛选器操作列表中添加一个新的过滤规则，名称输入“防止ICMP攻击”，然后按添加，在源地址选任何IP地址，目标地址选我的IP地址，协议类型为ICMP，设置完毕。2）在“管理筛选器操作”，取消选中“使用添加向导”，添加，在常规中输入名字“禁止ICMP攻击”，安全措施为“阻止”。3）点击“IP安全策略，在本地机器”，选择“创建IP安全策略-下一步-输入名称为ICMP过滤器”，通过增加过滤规则向导，把上面1、2点定义的“防止ICMP

15、攻击”过滤策略指定给ICMP过滤器，然后选择刚刚定义“禁止ICMP攻击”。4）右击“ICMP过滤器”并指派。5）在其它机器上使用ping命令ping本地计算机，查看能否连接。4IPC$共享(漏洞)指是共享 命名管道的资源，在同一时间内，两个IP之间只允许建立一个连接。但大多数弱口令扫描工具就是利用这个安全隐患进行口令猜解的，成功的导出用户列表大大增加了猜解的成功率指空连接就是不用密码和用户名的IPC连接，在Windows 下，它是用 Net 命令来实现的。进入空连接：net use 192.168.1.3ipc$ /user: 注意：上面的命令包括四个空格， net 与 use 中间有一个空格

16、， use 后面一个，密码左右各一个空格。任务8 IPC$共享漏洞的防范步骤： 运行命令提示符(cmd.exe)，在命令提示符下输入如下命令：net share（查看本机的默认共享） 在命令提示符下输入如下命令：net share ipc$ /delete（删除ipc$共享） 逐步使用net share命令，删除c$、d$、e$、f$和admin$共享 接着在命令提示符下输入如下命令：net stop server /y（停止Server服务，该服务提供 RPC 支持、文件、打印以及命名管道共享。） 运行注册表编辑器，找到如下键值：HKEY_LOCAL_MACHINESYSTEMCurrent

17、ControlSetServiceslanmanserverparameters修改注册表键值【AutoShareWks】的Dword值为00000000。修改注册表键值【AutoShareServer】的Dword值为00000000。二课堂任务实践任务9 Windows系统注册表的使用及优化步骤：（一）注册表的使用1“导入”和“导出”命令进行注册表的备份：步骤：导出注册表到最后一个盘符中作一次备份导入：将备份好的注册表导入进去，可恢复注册表2设置“开始”菜单和任务栏增强计算机的安全1) 删除“我最近的文档”选项：步骤：展开HKEY_CURRENT_USERSoftwareMicrosoft

18、WindowsCurrentVersionPoliciesExplorer新建一个REG_DWORD值：NoRecentDocsMenu，其值为1。2) 禁止更改“开始”菜单里各项的排列次序：步骤：展开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer新建一个REG_DWORD值：NoChangeStartMenu，其值为1。3) 更改时间显示格式：步骤：展开HKEY_CURRENT_USERControl PanelInternational打到sTimeFormat值，将数据值改为：H点mm分ss秒

19、，重启。3图标和路径相关设置：1) 让图标的颜色更靓丽：步骤：展开HKEY_CURRENT_USERControl PanelDesktopWindowMetrics 找到Shell Icon BPP项值，将其值改为24，重启计算机。2) 改变图标或文件下的文字颜色：步骤：展开HKEY_CURRENT_USERControl PanelColors 找到HotTrackingColor项值，将其值改为255 0 0，重启计算机。3) 删除快捷图标中的箭头步骤：展开HKEY_CLASSES_ROOTlnkfile找到IsShortcut项值，将其删除，重启计算机。4控制面板相关设置1) 自动刷新

20、窗口：步骤：展开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlUpdate将其UpdateMode的值改为0，重启动。2) 禁止在桌面创建新的快捷方式：步骤：展开HKEY_CLASSES_ROOT.lnkShellNew，将Commnand的值改：rundll32.exe appwiz.cpl,NewLinkHere %2，重启计算机。3) 如何隐藏“控制面板”的指定项目：步骤：展开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer新建一个双字值项： D

21、isallowcpl，设置数值为1。 再建立一个项Disallowcpl，在其下建立几个字符串值项： 数据名：字符串值项1，其值desk.cpl，字符串值项2的数值：appwiz.cpl 重启计算机，可以隐藏“显示”和“添加或删除程序”4) 如何禁止使用“添加或删除程序”|“更改或删除程序”步骤：展开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies在其中建立一项Uninstall。在其中新建立双字节值项NoRemovePage，设置数值为1即可。5) 防止远程修改注册表：步骤：控制面板管理工具服务“Remote Re

22、gistry Service”(允许远程注册表操作)项设为“已禁用”或“手动”。(二)优化系统反应速度1加快程序运行速度步骤：展开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlFileSystem在其建立双字值项ConfigFileAllocSize，设置数据值为十六进制的450。2清除注册表中残留的数据或删除不掉的程序在某些程序卸载后，可能在注册表中留中会有一些没用的垃圾信息，通过注册表可以将清除。步骤：展开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall，在其

23、中找到已经卸载的应用程序对应的项，并把它删除。3如何删除 .dll文件为了提高系统性能和节省硬盘空间，需要将System文件夹中多余的 .dll文件删除，但要通过注册表才可将多余的 .dll文件删除。步骤：展开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSharedDLLs查看右窗口的值项，如果数值表示为0，则表示该项没有被任何程序利用，可删除。4提高NTFS性能步骤：展开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlFileSystem在其下建立双字值项，其名称为：NtfsD

24、isableLastAccessUpdate，设置数值为1。5优化文件系统通过优经文件系统，可加快软件运行速度，通过修改注册表，即可实现步骤：展开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlFileSystem在其下建立双字值项ConfigFileAllocSize，设置16进制的值为1f4。(三)优化硬件执行效率1设置CPU任务的优先级 步骤：启动“任务管理器”进程选择要设置的应用程序进程，点击右键，设置优化级。2如何增加磁盘缓存大小 要根据计算机内存大小：256M内存对应是的10000，512M或更大为4G方法：HKEY_LOCAL_MA

25、CHINESYSTEMCurrentControlSetControlSession ManagerMemory Management，修改右边窗中的IoPageLockLimitr的值。 方法：“我的电脑”属性的设置3关机时删除Windows页面文件步骤：展开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management，在右窗口找到ClearPageFileAtShutdown，数值设置为0。(四)清空远程可访问的注册表路径 运行中输入gpedit.msc回车，打开组策略编辑器，依次展开“计算机配置Windows 设置安全设置本地策略安全选项”，在右侧窗口中找到“网络访问：可远程访问的注册表路径”，然后在打开的窗口中，将可远程访问的注册表路径和子路径内容全部设置为空即可。 三课堂小结1本课的纪律评价。2对典型问题进行进一步分析说明和总结。3提出要求：小组讨论要积极参与，增加主动性，才能有所收获。四作业进一步完善本部分对应的任务和课堂实践内容，并对Windows基本安全设置的其他要求做出说明。检查：下次课对本次课的内容进行提问，回答效果好的在期末成绩上直接2-3分