【正文】 失敗審核在系統(tǒng)事件嘗試失敗時生成審核項。 如果定義此 策略設置，可以指定是否審核成功、審核失敗或者根本不審核該事件類型。在更改注冊表之前，應當備份計算機上的所有重要數(shù)據(jù)。若要審核下列用戶權限，請啟用 FullPrivilegeAuditing 注冊表項。 使用下列用戶權限時不生成審核，即使為 ―審核權限使用 ‖指定了 成功審核或失敗審核。 若要將該值設置為 ―無審核 ‖，請在此策略設置的 ―屬性 ‖對話框中選擇 ―定義這些策略設置 ‖復選框，清除 ―成功 ‖和 ―失敗 ‖復選框。成功審核在用戶權限執(zhí)行成功時生成審核項。 Ｆ .審核特權使用 失敗 此安全設置確定是否審核執(zhí)行用戶權限的用戶的每個實例。這與 ―審核 ‖對象訪問是相同的，只不過它只適用于 Active Directory 對象， 對于文件系統(tǒng)和注冊表對象不適用。若要將該值設置為 ―無審核 ‖，請在此策略設置的 ―屬性 ‖對話框中，選擇 ―定義這些策略設置 ‖復選框，清除 ―成功 ‖和 ―失敗 ‖復選框。成功審核在用戶成 功訪問指定了 SACL 的 Active Directory 對象時生成審核項。 默認情況下，此值在默認域控制器組策略對象 (GPO)中設置為 ―無審核 ‖，并且對于其不具意義的工作站和服務器保持為 ―未定義 ‖。 若要將該值設置為 ―無審核 ‖，請在此策略設置的 ―屬性 ‖對話框中選擇 ―定義這些策略設置 ‖復選框，清除 ―成功 ‖和 ―失敗 ‖復選框。成功審核在被跟蹤的進程成功時生成審核項。 Ｄ .審核跟蹤過程 無審核 此安全設置確定是否審核事件的詳細跟蹤信息，例如程序激活、進程退出、句柄復制以及間接對象訪問。 42 請注意，使用文件系統(tǒng)對象 ―屬性 ‖對話框中的 ―安全 ‖選項卡，可以在該對象上設置 SACL。失敗審核在用戶嘗試訪問指定了 SACL 的對象失敗時生成審核項 。 如果定義此策略設置，可以指定是否審核成功、審核失敗或者根本不審核該事件類型。 默認值 : 成功。失敗審核在登錄嘗試失敗時生成審核項。 如果定義此策略設置，可以指定是否審核成功、審核失敗或者根本不審核事件類型。此外，在成員服務器或工作站上使用域帳戶的交互式登錄將在域控制器上生成登錄事件，與此同時在用戶登錄時還檢索登錄腳本和策略。 對于域帳戶活動，在域控制器 上生成帳戶登錄事件；對于本地帳戶活動，在本地計算機上生成帳戶登錄事件。 在成員服務器上為 ―無審核 ‖。 若要將該值設置為 ―無審核 ‖，請在此策略設置的 ―屬性 ‖對話框中選擇 ―定義這些策略設置 ‖復選框，清除 ―成功 ‖和 ―失敗 ‖復選框。成功審核在成功更改用戶權限分配策略、審核策略或信任策略時生成審核項。 圖 審核策略 41 Ａ .審核策略更改 成功失敗 此安全設置確定是否審核用戶權限分配策略、審核策略或信任策略的每一個更改事件。 圖 服務 關閉以下服務： Ａ .Alerter[通知選定的用戶和計算機管理警報 ] Ｂ .ClipBook[啟用 ―剪貼簿查看器 ‖儲存信息并與遠程計算機共享 ] Ｃ .Distributed File System[將分散的文件共享合并成一個邏輯名稱，共享出去，關閉后遠程計算機無法訪問共享 Ｄ .Distributed Link Tracking Server[適用局域網(wǎng)分布式鏈接 ] 40 Ｅ .Indexing Service[提供本地或遠程計算機上文件的索引內(nèi)容和屬性，泄露信息 ] Ｆ .Messenger[警報 ] Ｇ .NetMeeting Remote Desktop Sharing[meeting 公司留下的客戶信息收集 ] Ｈ .Network DDE[為在同一臺計算機或不同計算機上運行的程序提供動態(tài)數(shù)據(jù)交換 ] Ｉ .Network DDE DSDM[管理動態(tài)數(shù)據(jù)交換 (DDE) 網(wǎng)絡共享 ] Ｊ .Remote Desktop Help Session Manager[管理并控制遠程協(xié)助 ] Ｋ .Remote Registry[使遠程計算機用戶修改本地注冊表 ] Ｌ .Routing and Remote Access[在局域網(wǎng)和廣域往提供路由服務 .黑客理由路由服務刺探注冊信息 ] Ｍ .Server[支持此計算機通過網(wǎng)絡的文件、打印、和命名管道共享 ] Ｎ .TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網(wǎng)絡上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、打印和登錄到網(wǎng)絡 ] Ｏ .Tel[允許遠程用戶登錄到此計算機并運行程序 ] Ｐ .Terminal Services[允許用戶以交互方式連接到遠程計算機 ] Ｑ .Window s Image Acquisition (WIA)[照相服務，應用與數(shù)碼攝象機 ] 如果發(fā)現(xiàn)機器開啟了一些很奇怪的服務，必須馬上停止該服務，因為這完全有可能是黑客使用控制程序的服務端。XP SP2 和 2022 pro sp4，均不存在該漏洞。 ? share admin$ /delete 圖 刪除默認共享 ADMIN$ ? share c$ /delete ? share d$ /delete（如果有 e， f， …… 可以繼續(xù)刪除） 3） 刪除 ipc$空連接 在運行內(nèi)輸入 regedit，在注冊表中找到 ： HKEY－ LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項里數(shù)值名稱 RestrictAnonymous 的數(shù)值數(shù)據(jù)由 0 改為 1。 38 圖 本地共享資源 2） 刪除共享，如 圖 。 運行 CMD 輸入 share，如果看到有異常的共享，那么應該關閉。 圖 關閉 3389 端口 設置完成后，可以運行 CMD 輸入 stat –na，查看這些端口是否已經(jīng)關閉。 3） 3389 的關閉，如 圖 關閉 3389 端口 。 關閉 139 端口的方法是在 ―網(wǎng)絡和撥號連接 ‖中 ―本地連接 ‖中選取 ―Inter 協(xié)議 (TCP/IP)‖屬性，進入 ―高級 TCP/IP 設置 ‖―WinS 設置 ‖里面有一項 ―禁用 TCP/IP的 NETBIOS‖，打勾重啟后就關閉了 139 端口。 1）關閉自己的 139 端口， ipc 和 RPC 漏洞存在于此。 36 圖 設置密碼策略 2． 網(wǎng)絡 安全策略 （ 1）關閉不必要的端口 關閉端口意味著減少功能，在安全和功能上面需要你做一點決策。在 Inter 信息服務 (IIS)中使用摘要式身份驗證時也需要設 置此策略。因此，除非應用程序需求比保護密碼信息更重要，否則絕不要啟用此策略。 此策略為某些應用程序提供支持，這些應用程序使用的協(xié)議需要用戶密碼來進行身份驗證。有關密碼最短使用期限安全策略設置的 信息，請參閱 ―密碼最短使用期限 ‖。 注意 : 默認情況下，成員計算機沿用各自域控制器的配置。 默認值 : ? 在域控制器上為 24。該值必須介于 0 個和 24 個密碼之間。 注意 : 默認情況下，成員計算機沿用各自域控制器的配置。 默認值 : ? 在域控制器上為 1。如果將密碼歷史設置為 0，用戶將不必選擇新密碼。如果沒有設置密碼最短使用期限，用戶則可以循環(huán)選擇密碼，直到獲得期望的舊密碼。如果將密碼最長使用期限設置為 0，則可以將密碼最短使用期限設置為介于 0 和 998 之間的任何值?？梢栽O置一個介于 1 和 998 天之間的值，或者將天數(shù)設置為 0，允許立即更改密碼。 ? 密碼最短使用期限。這樣，攻擊者用來破解用戶密碼以及訪問網(wǎng)絡資源的時間將受到限制。如果將密碼最長使用期限設置為 0，則可以將密碼最短使用期限設置為介于 0 和 998 天之間的任何值?？梢詫⒚艽a設置為在某些天數(shù) (介于 1 到 999 之間 )后到期，或者將天數(shù)設置為 0，指定密碼永不過期。 注意 : 默認情況下，成員計算機沿用各自域控制器的配置。 默認值 : 在域控制器上為 7。此安 全設置確定用戶帳戶密碼包含的最少字符數(shù)。 策略啟用后，嘗試新建一個用戶 test，密碼設置為 123456，會出現(xiàn)如 圖 的出錯提示。 在獨立服務器上禁用。 如果啟用此策略，密碼必須符合下列最低要求： ? 不能包含用戶的帳戶名，不能包含用戶姓名中超過兩個連續(xù)字符的部分 ? 至少有六個字符長 包含以下四類字符 中的三類字符： ? 英文大寫字母 (A 到 Z) ? 英文小寫字母 (a 到 z) ? 10 個基本數(shù)字 (0 到 9) ? 非字母字符 (例如 !、 $、 、 %) 在更改或創(chuàng)建密碼時執(zhí)行復雜性要求。 33 圖 密碼策略 可進行如 圖 的密碼策略設置： ? 密碼復雜性要求啟用 密碼必須符合復雜性要求。 圖 設置賬戶策略 （ 2） 開啟密碼策略 密碼對系統(tǒng)安全非常重要，本地安全設置中的密碼策略 在默認的情況下都沒有開啟。 在使用 Ctrl+Alt+Del 或密碼保護的屏幕保護程序鎖定的工作站或成員服務器上的密碼嘗試失敗將計作登錄嘗試失敗?？梢詫⒌卿泧L試失敗次數(shù)設置為介于 0 和 999 之間的值。 ? 帳戶鎖定閾值 5 次 帳戶鎖定閾值 此安全設置確定導致用戶帳戶被鎖定的登錄嘗試失敗的次數(shù)。 如果定義了帳戶鎖定閾值，則帳戶鎖定時間必須大于或等于重置時間?？捎梅秶? 32 從 0 到 99,999 分鐘。 默認值 : 無，因為只有在指定了帳戶鎖定閾值時，此策略設置才有意義?？捎梅秶? 1 到 99,999 分鐘。 圖 賬戶策略 可設置為如 圖 設置賬戶策略 的策略，開啟帳戶策略可以有效的防止字典式攻擊。如 圖 。如 圖 組策略 。 【實驗方法步驟】 1． 設置賬號安全策略 從賬戶安全策略和密碼安全策略分別進行設置。 （ 5） PC 機安裝 WindowsXP SP2 操作系統(tǒng)。 （ 3） 應用安全策略設置。 (雖然一般黑客都會在走時會清除他在你電腦中留下的痕跡，不過也有一些不小心的 ) 打開管理工具找到本地安全設置 .本地策略 .審核策略 Ａ .審核策略更改 成功失敗 Ｂ .審核登陸事件 成功失敗 Ｃ .審核對象訪問 失敗 Ｄ .審核跟蹤過程 無審核 Ｅ .審核目錄服務訪問 失敗 Ｆ .審核特權使用 失敗 Ｇ .審核系統(tǒng)事件 成功失敗 Ｈ .審核帳戶登陸時間 成功失敗 Ｉ .審核帳戶管理 成功失敗 然后再到管理工具找到事件查看器： 應用程序：右鍵 /屬性 /設置日志大小上限，我設置了 50mb，選擇不覆蓋事件 安全性：右鍵 /屬性 /設置日志大小上限，我也是設置了 50mb，選擇不覆蓋事件 系統(tǒng)：右鍵 /屬性 /設置日志大小上限，我都是設置了 50mb，選擇不覆蓋事件 【實驗內(nèi)容】 （ 1） 賬號安全策略設置 。 應用安全策略設置 （ 1）禁用服務 若 PC 沒有特殊用途，基于安全考慮，打開控制面板，進入管理工具 ——服務，關閉以下服務： Ａ .Alerter[通知選定的用戶和計算機管理警報 ] Ｂ .ClipBook[啟用 ―剪貼簿查看器 ‖儲存信息并與遠程計算機共享 ] Ｃ .Distributed File System[將分散的文件共享合并成一個邏輯名稱，共享出去，關閉后遠程計算機無法訪問共享 Ｄ .Distributed Link Tracking Server[適用局域網(wǎng)分布式鏈接 ] Ｅ .Indexing Service[提供本地或遠程計算機上文件的索引內(nèi)容和屬性，泄露信息 ] Ｆ .Messenger[警報 ] Ｇ .NetMeeting Remote Desktop Sharing[meeting公司留下的客戶信息收集 ] Ｈ .Network DDE[為在同一臺計算機或不同計算機上運行的程序提供動態(tài)數(shù)據(jù)交換 ] Ｉ .Network DDE DSDM[管理動態(tài)數(shù)據(jù)交換 (DDE) 網(wǎng)絡共享 ] Ｊ .Remote Desktop Help Session Manager[管理并控制遠程協(xié)助 ] Ｋ .Remote Registry[使遠程計算機用戶修改本地注冊表 ] 29 Ｌ .Routing and Remote Access[在局域網(wǎng)和廣域往提供路由服務 .黑客理由路由服務刺探注冊信息 ] Ｍ .Server[支持此計算機通過網(wǎng)絡的文件、打印、和命名管道共享 ] Ｎ .TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網(wǎng)絡上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、打印和登錄到網(wǎng)絡 ] Ｏ .Tel[允許遠程用戶登錄到此計算機并運行程序 ] Ｐ .Terminal Services[允許用戶以交互方式連接到遠程計算機 ] Ｑ .Window s Image Acqui