【正文】 所以請非常小心地使用拒絕，任何一個不當?shù)木芙^都有可能造成系統(tǒng)無法正常運行； 3文件權(quán)限比文件夾權(quán)限高 4僅給用戶真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障； 銀長城 CISP培訓系列 文件系統(tǒng)安全 ? 將下列可執(zhí)行文件放到一個新建的目錄 D:\XXX下 (重命名為 ） ? 將此目錄進行權(quán)限設(shè)置 ? 刪除系統(tǒng)中的如下可執(zhí)行文件 銀長城 CISP培訓系列 安全日志 ? Windows的默認安裝是不開安全審核。 ?微軟把 Windows 2022安裝光盤上的所有 dll、 exe、 fon、ocx、 sys、和 tff結(jié)尾的文件都加以保護）。 2這個值是在 win2022中才支持的。 （警告：不正確地修改注冊表會導致嚴重的系統(tǒng)錯誤，請慎重行事?。? 1．運行注冊表編輯器（ ）。 ? 通過限制許可訪問用戶 IP或 DNS 提高 ISS的安全性和穩(wěn)定性二 銀長城 CISP培訓系列 WEB安全性的綜合策略 (1) ? 安全性要求高的應用使用 SSL/TLS，為 Web Service申請一個證書 ? Web Server往往是網(wǎng)絡攻擊的入口點 ? 開放盡可能少的端口和一些目錄 ? 增強防火墻對 Web Server的保護 銀長城 CISP培訓系列 WEB安全性的綜合策略 (2) ? 及時打上 Web Server軟件廠商提供的補丁程序 ? 特別是一些主流的服務軟件，比如 MS的 IIS ? 控制目錄和文件的權(quán)限 ? Web應用開發(fā)人員注意 ? 在服務端的運行代碼中，對于來自客戶端的輸入一定要進行驗證 ? 防止緩沖區(qū)溢出 銀長城 CISP培訓系列 Netbios的安全設(shè)置 ?WIN2K 取消綁定文件和共享綁定 ? 打開 控制面板－網(wǎng)絡－高級－高級設(shè)置 ? 選擇網(wǎng)卡并且將 Microsoft 網(wǎng)絡的文件和打印共享的復選框取消 ?WinNT ? 在 WindowsNT下取消 NetBIOS與 TCP/IP協(xié)議的綁定。 銀長城 CISP培訓系列 ? 有些 WEB服務器把 WEB的文檔目錄與 FTP目錄指在同一目錄時，應 該注意不要把 FTP的目錄與 CGIBIN指定在一個目錄之下。 IP轉(zhuǎn)發(fā)功能提高服務的安全性 SSL安全機制加強 Web服務的安全性 設(shè)置 IIS的安全機制四 銀長城 CISP培訓系列 提高 IIS的安全性和穩(wěn)定性 一 ? 限制在 web服務器開帳戶，定期刪除一些進程的用戶。 （ 2） WWW目錄的訪問權(quán)限： 已經(jīng)設(shè)置成 Web目錄的文件夾，可以通過操作 Web站點屬性頁實現(xiàn)對 WWW目錄訪問權(quán)限的控制，而該目錄下的所有文件和子文件夾都將繼承這些安全性。 銀長城 CISP培訓系列 IIS服務器提供對用戶三種形式的身份認證： 匿名訪問：不需要與用戶之間進行交互，允許任何人匿名訪問站點，在這三種身份認證中的安全性是最低的。密碼應該是隨意組合的，沒有規(guī)律，有大小寫字符、數(shù)字或著是特殊字符，用 14個字符的密碼。這可以增加攻擊者攻擊的復雜度，這樣可以避免攻擊者猜測管理員密碼。屏幕保護的時間建議是 5分鐘或更少 。 ? 刪除無用或過期帳號 : 查看哪些帳號是沒有用的或者是已經(jīng)過期了的，然后將他們刪除。 NT系統(tǒng)上的密碼安全可以通過以下方式來改進： ? 檢查密碼策略 : 查看你的密碼策略確定其中的密碼是否是有期限的 . 當設(shè)置密碼的時候，應該考慮到密碼老化的問題。 ? 禁止多重啟動的設(shè)置 :多重的啟動系統(tǒng) (如 Windows NT 在一個扇區(qū)而Linux 在另一個扇區(qū) ) 會危及到 NT文件系統(tǒng)的安全。盡量將訪問來源控制在最小范圍內(nèi)： 銀長城 CISP培訓系列 訪問控制 ? 限制遠程登錄工作組 :從遠程工作站登錄到一臺 WINDOWS服務器是通過Microsoft的遠程訪問服務（ Remote Access Service）服務器 . 然而，在保護遠程工作站上可能會有問題存在，有可能會危及服務器和網(wǎng)絡的完整性 . 只要有可能， RAS就會將它禁止掉。 ?注冊表安全 : 重要的安全性控制與注冊表有關(guān)。 銀長城 CISP培訓系列 審核系統(tǒng)安全性 ?后門和木馬常見種植位置： ? 啟動文件夾； ? % userprofile%\start menu\programs\startup ? Windows注冊表啟動項； ? HKLM\Software\Microsoft\Windows\CurrentVersion\Run ? HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce ? HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce ? 驅(qū)動程序； ? % systemroot%\system32\drivers ? Web瀏覽器初始頁面下載代碼； ? 計劃任務 銀長城 CISP培訓系列 審核系統(tǒng)安全性 ?審核本機的安全補丁安裝情況： ? Microsoft Baseline Security Analyzer(MBSA) 銀長城 CISP培訓系列 審核系統(tǒng)安全性 ? MBSA可以用來檢查審核 Windows、 IIS、 SQL、 IE、Office等產(chǎn)品是否存在某些特定安全配置失誤以及是否打上最新的安全補丁 /Hot Fixes是最新的； ?采用第三方的安全漏洞掃描工具查找漏洞； ?采用第三方安全補丁管理產(chǎn)品： Patchlink、 Bigfix、 Landesk、 Ecora等軟件來自動安裝補丁，修復漏洞，提高系統(tǒng)的安全性。 銀長城 CISP培訓系列 審核系統(tǒng)安全性 ? 防范木馬（遠程控制工具）及惡意程序，采用專用清除工具進行防范 。 ? 組件的定制和最小化安裝服務 “ 最小的服務 +最小的權(quán)限 =最大的安全 ” ，只定制安裝必需的服務和協(xié)議，留心系統(tǒng)默認安裝的組件。+Windows+98+DigExt，有經(jīng)驗的管理員就可通過安全日志、 FTP日志和 WWW日志來確定入侵者的 IP地址以及入侵時間 銀長城 CISP培訓系列 Windows安全配置篇 銀長城 CISP培訓系列 Windows安全配置 ? 安裝 ?審核系統(tǒng)安全性 ?訪問控制 ?賬號安全策略 ?管理員權(quán)限 ?網(wǎng)絡服務安全設(shè)置 ?文件系統(tǒng)安全 ?安全日志 ?其它的安全設(shè)置 銀長城 CISP培訓系列 安裝 ? 使用正版可靠安裝盤 如果語言不成為障礙，建議使用英文版操作系統(tǒng)，因為微軟的產(chǎn)品都是“ Bugamp。+MSIE+。 銀長城 CISP培訓系列 HTTP的日志分析 ? HTTP日志分析， 如下例： ? Software: Microsoft Inter Information Services ? Version: ? Date: 20221023 03:09:31 ? Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) ? 20221023 03:09:31 80 GET / 200 Mozilla/+(patible。 ? 應用程序日志 跟蹤應用程序關(guān)聯(lián)的事件，比如應用程序產(chǎn)生的象裝載DLL（動態(tài)鏈接庫）失敗的信息將出現(xiàn)在日志中。 (系統(tǒng)服務 ) ? 接收由本地或遠程 SNMP 代理程序產(chǎn)生的陷阱消息，然后將消息傳遞到運行在這臺計算機上 SNMP 管理程序。 (系統(tǒng)服務 ) ? 管理遠程儲存的文件的操作。(系統(tǒng)服務 ) ? 提供動態(tài)數(shù)據(jù)交換 (DDE) 的網(wǎng)絡傳輸和安全特性。(系統(tǒng)服務 ) ? 并列事務，是分布于兩個以上的數(shù)據(jù)庫，消息隊列，文件系統(tǒng)，或其它事務保護資源管理器。 (系統(tǒng)服務 ) ? 管理 RPC 名稱服務數(shù)據(jù)庫。 (系統(tǒng)服務 ) ? 管理連接到計算機的不間斷電源 (UPS)。 (系統(tǒng)服務 ) ? 提供多會話環(huán)境允許客戶端設(shè)備訪問虛擬的 Windows 2022 Professional 桌面會話以及運行在服務器上的基于 Windows 的程序。 (系統(tǒng)服務 ) ? 允許遠程注冊表操作。而 Start 數(shù)值內(nèi)容為 3 的服務項目代表讓使用 者以手動的方式載入 (Load on demand), 4 則是代表停用的狀態(tài) , 也就是禁用。 銀長城 CISP培訓系列 Windows的系統(tǒng)服務 服務包括三種啟動類型：自動，手動，已禁用?？梢栽陂_始 〉 運行鍵入“ SYSKEY”命令，得到如下窗口，手動激活 SYSKEY機制： 銀長城 CISP培訓系列 Windows的系統(tǒng)服務 單擊“開始”，指向“設(shè)置”，然后單擊“控制面板”。因為NT系統(tǒng)中將這些資料全部進行了加密處理，一般的編輯器是無法直接讀取這些信息的。 銀長城 CISP培訓系列 Windows的密碼系統(tǒng) ?SAM和活動目錄 SAM構(gòu)成 Windows注冊表里五大分支之一，具體內(nèi)容保存在%systemroot%\system32\config\sam里； 在 Windows域控制器上，賬戶和口令字密文保存在活動目錄（ Active Directory,AD）里，對應文件是： %systemroot%\ntds\。不同的域有不同的 Sam，在域復制的過程中， Sam包將會被拷貝。 銀長城 CISP培訓系列 Windows安全子系統(tǒng) ? 網(wǎng)絡登陸（ Netlogon）： 網(wǎng)絡登陸服務必須在通過認證后建立一個安全的通道。 ?認證包（ Authentication Package）： 認證包可以為真實用戶提供認證。 ? 儲存和映射用戶權(quán)限。在 ， Windows NT會尋找\HKLM\SYSTEM\CurrentControlSet\Control\LSA 下所有存在的 SecurityPackages值并調(diào)用。 銀長城 CISP培訓系列 Windows安全子系統(tǒng) ? Winlogon and Gina: Winlogon調(diào)用 GINA DLL，并監(jiān)視安全認證序列。訪問控制項有兩種：允許訪問和拒絕訪問。任意訪問控制列表包含了用戶和組的列表，以及相應的權(quán)限，允許或拒絕。 訪問令牌是用戶在通過驗證的時候有登陸進程所提供的，所以改變用戶的權(quán)限需要注銷后重新登陸，重新獲取訪問令牌。 SID永遠都是唯一的，由計算機名、當前時間、當前用戶態(tài)線程的 CPU耗費時間的總和三個參數(shù)決定以保證它的唯一性。