【正文】 Windows 2023安全策略 Windows系統(tǒng)的其他安全措施 小結(jié) 習(xí)題 第 8章 操作系統(tǒng)安全 “漏洞”一詞的本義是指小孔或縫隙，引申義為用來(lái)表達(dá)說(shuō)話、做事存在不嚴(yán)密的地方。一般來(lái)說(shuō)，漏洞具有時(shí)間局限性，任何系統(tǒng)從發(fā)布的第一天起，隨著用戶的深入使用，以及安全管理人員和黑客的研究，系統(tǒng)中存在的漏洞會(huì)被不斷地暴露出來(lái)。非授權(quán)人員可以通過(guò)登錄界面的輸入法的幫助文件繞過(guò) Windows的用戶名和密碼驗(yàn)證而取得計(jì)算機(jī)的最高訪問(wèn)權(quán)限。如操作口令被泄露、磁盤(pán)上的機(jī)密文件被人利用及未將臨時(shí)文件刪除導(dǎo)致重要信息被竊取，這些都可能使內(nèi)部網(wǎng)絡(luò)遭受?chē)?yán)重破壞。 MBSA工具可以檢查Windows系統(tǒng)的漏洞、弱口令、 IIS漏洞、 SQL漏洞及檢測(cè)安 (2) (3) 360 (4) (5) Xscan 第 8章 操作系統(tǒng)安全 Windows系統(tǒng)具有模塊化的設(shè)計(jì)結(jié)構(gòu)。 如果用戶信息有效，系統(tǒng)將開(kāi)始確認(rèn)用戶身份。 存儲(chǔ)和映射用戶權(quán)限 。引用驗(yàn)證機(jī)制需要同時(shí)滿足以下 3個(gè)原則 : (1) 必須具有自我保護(hù)能力 。 (2) 計(jì)算機(jī)上安裝的文件和每個(gè)程序可以創(chuàng)建的文件類(lèi)型 。 第 8章 操作系統(tǒng)安全 3. 1) ActiveX ActiveX是微軟提出的一組使用 COM(Component Object Model，部件對(duì)象模型 )技術(shù)，使得軟件部件在網(wǎng)絡(luò)環(huán)境中進(jìn)行交互的技術(shù)集，它與具體的編程語(yǔ)言無(wú)關(guān)。當(dāng) Level值為 3(代表安全度為高 )時(shí)， Word不會(huì)運(yùn)行任何宏 。注意，僅在TcpMaxHalfOpen和 TcpMax HalfOpenRetried 第 8章 操作系統(tǒng)安全 4. 攻擊 IE 例 81 IE 這是由于注冊(cè)表 HKEY_USERS＼ DEAFAULT＼SOFTWARE＼ Policies＼ Microsoft＼ InterExplorer＼ Control Panel下的 DWORD值中 homepage的鍵值被修改的緣故。域用戶帳號(hào)在域控制器上建立，作為活動(dòng)目錄的一個(gè)對(duì)象保存在域的數(shù)據(jù)庫(kù)中。這些帳號(hào)不能在域環(huán)境中統(tǒng)一管理、設(shè)置和維護(hù)，并且使用這種類(lèi)型帳號(hào)的用戶在訪問(wèn)域的資源時(shí)還要再提供一個(gè)域用戶帳戶，同時(shí)要經(jīng)過(guò)域控制器的驗(yàn)證。出于安全考慮， Guest帳號(hào)在 Windows 2023安裝好之后是被屏蔽的，如果需要，可以手動(dòng)啟動(dòng)。 (6) 包含非字母數(shù)字字符 (、 、 ~等 ) 第 8章 操作系統(tǒng)安全 5. 使用文件加密系統(tǒng) EFS Windows 2023 強(qiáng)大的加密系統(tǒng)能夠給磁盤(pán)、文件夾、文件加上一層安全保護(hù)，這樣可以防止別人把自己的硬盤(pán)掛到別的機(jī)器上以讀出里面的數(shù)據(jù)。審核策略如表 851 第 8章 操作系統(tǒng)安全 表 851 第 8章 操作系統(tǒng)安全 2. 帳戶的保護(hù)主要使用密碼保護(hù)機(jī)制，為了避免用戶身份因密碼被破解而被奪取或盜用，通常可采取諸如提高密碼的破解難度、啟用帳戶鎖定策略、限制用戶登錄、限制外部連接和防范網(wǎng)絡(luò)嗅探等措施。 為了更有效地保護(hù)計(jì)算機(jī)密碼，在啟用密碼策略時(shí)，建議的配置如表 853所示。這里面每一項(xiàng)服務(wù)是否安全，特別是那些隨系統(tǒng)啟動(dòng)的服務(wù)是否有被利用的可能性，這對(duì)系統(tǒng)安全 方法 : 依次選擇“設(shè)置” → “控制面板” → “管理工具” → “服務(wù)”選項(xiàng)，在欄目中羅列了系統(tǒng)中的各種服務(wù) 項(xiàng)目，對(duì)要禁止的服務(wù)項(xiàng)目，選擇“操作” → “停止”命令，如圖 854所示。NTFS是微軟 Windows NT內(nèi)核的系列操作系統(tǒng)支持的、一個(gè)特別為網(wǎng)絡(luò)和磁盤(pán)配額、文件加密等管理安全特性設(shè)計(jì)的磁盤(pán)格式。 ADMIN$是遠(yuǎn)程管理用的共享目錄 。為了更加安全起見(jiàn)，可以使用腳本命令鎖住注冊(cè)表，必要時(shí)再解鎖。用戶可以通過(guò)設(shè)定注冊(cè)表編輯器的 第 8章 操作系統(tǒng)安全 (4) 帳號(hào)是 Windows網(wǎng)絡(luò)中的一個(gè)重要組成部分，它控制用戶對(duì)資源的訪問(wèn)。 習(xí) 第 8章 操作系統(tǒng)安全 3. 在 Windows 2023 網(wǎng)絡(luò)中有兩種主要的帳號(hào)類(lèi)型 : 和 。 Administrator帳號(hào)被賦予在域中和計(jì)算機(jī)中，具有不受限制的權(quán)利。一些好的殺毒軟件不僅能殺掉病毒， 第 8章 操作系統(tǒng)安全 (1) 漏洞是指系統(tǒng)中存在的弱點(diǎn)或缺點(diǎn)，漏洞的產(chǎn)生主要是由于程序員不正確和不安全編程所引起的。 雖然現(xiàn)在服務(wù)器的硬盤(pán)容量都很大，但還是應(yīng)該考慮一下是否有必要把一些重要的用戶數(shù)據(jù) (文件、數(shù)據(jù)表、項(xiàng)目文件等 )存放在另外一個(gè)安全的服務(wù)器中，并且經(jīng)常備份它們。方法是 : 選擇“共享” → “安全”選項(xiàng)，在權(quán)限欄目中對(duì)“ Everyone”進(jìn)行有效設(shè)置，或單擊“刪除”按鈕，如圖 861所示。假如一個(gè)用戶同時(shí)屬于 3個(gè)組，那它就擁有 3 第 8章 操作系統(tǒng)安全 (2) 拒絕的權(quán)限要比允許的權(quán)限高 (拒絕策略會(huì)先執(zhí)行 )。 第 8章 操作系統(tǒng)安全 6. 為系統(tǒng) Administrator帳號(hào)改名 Windows 2023的 Administrator帳號(hào)是不能被停用的，這意味著別人可以一遍又一邊地嘗試這個(gè)帳戶的密碼。該域帳戶策略將成為域成員中任何 Windows 2023工作站或服務(wù)器的默認(rèn)帳戶策略。本地安全設(shè)置是基于單個(gè)計(jì)算機(jī)的安全性而設(shè)置的，對(duì)于較小的企業(yè)或組織，或者是在網(wǎng)絡(luò)中沒(méi)有應(yīng)用活動(dòng)目錄的網(wǎng)絡(luò) (基于工作組模式 )，適用本地安全設(shè)置 。 (2) 不包含 Administrator或 Admin。 第 8章 操作系統(tǒng)安全 1) Administrator Administrator(管理員 )帳號(hào)被賦予在域中和在計(jì)算機(jī)中，具有不受限制的權(quán)利，該帳號(hào)被設(shè)計(jì)用于對(duì)本地計(jì)算機(jī)或域進(jìn)行管理，可以從事創(chuàng)建其他用戶帳號(hào)、創(chuàng)建組、實(shí)施安全策略、管理打印機(jī)以及分配用戶對(duì)資源的訪問(wèn)權(quán)限等工作。即使重新創(chuàng)建一個(gè)一模一樣的帳號(hào)，其 SID 也不會(huì)和原有的 SID 一樣，對(duì)于 Windows 2023 而言，這就是兩個(gè)不同的帳號(hào)。然后依次選擇“用戶配” → “管理模板” → “系統(tǒng)”選項(xiàng)，雙擊右側(cè)窗口中的“阻止訪問(wèn)注冊(cè)表編輯工具”選項(xiàng)，在彈出的窗口中選擇“已禁用”選項(xiàng)，點(diǎn)擊“確定”按鈕后再退出“組策略”窗口，即可為注冊(cè)表解 第 8章 操作系統(tǒng)安全 帳號(hào)是 Windows網(wǎng)絡(luò)中的一個(gè)重要組成部分，從某種意義上說(shuō)，帳號(hào)就是網(wǎng)絡(luò)世界中用戶的身份證。修改注冊(cè)表可以防范重定向報(bào)文的攻擊，方法是打開(kāi)注冊(cè)表，展開(kāi)到 HKEY_LOCAL_MACHINESYSTEM＼ CurrentControlSet＼ Services＼ Tcpip＼ Parameters，將 DWORD值中 EnableI CMPRedirects 0即可。 第 8章 操作系統(tǒng)安全 修改注冊(cè)表的防范方法 : 禁用 WSHShell對(duì)象，阻止運(yùn)行程序。根 第 8章 操作系統(tǒng)安全 1. Windows中的注冊(cè)表是一系列的數(shù)據(jù)庫(kù)文件，主要存儲(chǔ)在＼ WINNT＼ System32＼ Config目錄下 。用戶修改配置，只需要通過(guò)注冊(cè)表編輯器即可輕松完成。用戶名和密碼等信息通過(guò)散列函數(shù)并被加密，現(xiàn)有的技術(shù)不能將打亂的口令恢復(fù)。本地安全授權(quán)是 一個(gè)保護(hù)子系統(tǒng)，主要負(fù)責(zé)下列任務(wù) : 加載所有的認(rèn)證包，包括檢查存在于注冊(cè)表＼ HKEY_LOCAL_MACHINE＼SYSTEM＼ CurrentControlSet＼ Control＼ LSA中的AuthenticationPackages值 。 Windows系統(tǒng)安全模型是 Windows系統(tǒng)中的密不可分的子系統(tǒng)，它控制著 Windows系統(tǒng)中的對(duì)象 (如文件、內(nèi)存、外部設(shè)備、網(wǎng)絡(luò)等 )的訪問(wèn)。黑客和黑客組織利用公布的漏洞形成原因，寫(xiě)出專(zhuān)門(mén)的具有針對(duì)性的漏洞利用程序文件，并能繞過(guò)安全防護(hù)軟件。 TCP/IP協(xié)議的最初設(shè)計(jì)者在設(shè)計(jì)通信協(xié)議時(shí)只考慮到了協(xié)議的實(shí)用性，而沒(méi)有考慮到協(xié)議的安全性，所以在 TCP/IP協(xié)議中存在著很多漏洞。因此，脫離具體的時(shí)間和具體的系統(tǒng)環(huán)境來(lái)討論漏洞的問(wèn)題是毫無(wú)意義的。 系 統(tǒng)漏 洞 第 8章 操作系統(tǒng)安全 漏洞產(chǎn)生的原因在于程序員不正確和不安全地編程。雖然程序員在設(shè)計(jì)系統(tǒng)時(shí)考慮了很多安全因素，但是由于操作系統(tǒng)功能龐大、涉及內(nèi)容多，而且開(kāi)發(fā)團(tuán)隊(duì)人員眾多，總會(huì)有考慮不周的地方，這就是通常所說(shuō)的系統(tǒng)漏洞。只有針對(duì)具體版本的目標(biāo)系統(tǒng)以及系統(tǒng)設(shè)置