计算机网络安全讲义.ppt

《计算机网络安全讲义.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全讲义.ppt（54页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机网络安全讲义第二讲:系统加固的方法什么是系统加固n系统安全加固是指通过一定的技术手段，提高操作系统的主机安全性和抗攻击能力，通过打补丁、修改安全配置、增加安全机制等方法，合理进行安全性加强。n常见手段有：密码系统安全增强、访问控制策略和工具、远程维护的安全性、文件系统完整性审计、增强的系统日志分析系统加固和你们家的防盗是类似的n开尽量少的入口,堵住所有的洞n加尽可能多,尽可能强的锁n发最少的钥匙n加强巡查,及时发现问题n请保安开尽量少的入口n一个功能越复杂的产品，出问题的概率越大，我们必需记住：简单才是美的n一台安全的计算机，其功能应该恰恰满足它功能需求，即不少，也不多。n安全是有副作用

2、的，偶尔会让你觉得不方便，我们讲的这些内容其实主要是针对服务器的关闭服务的方法n开始菜单设置控制面板管理工具服务n直接运行services.msc关闭不必要的服务nWindows系统会提供给用户大量的服务,实际上很多服务是很少用到的,它只是给攻击者提供了一个通道而已,把不需要的服务停掉会带来两个好处,第一是提高了安全性,第二是可以提高你的机器的性能必需停止的服务nremoteregistry远程注册表服务,允许用户通过网络修改注册表nNetMeetingRemoteDesktop允许受权的用户通过NetMeeting在网络上互相访问对方,上网时该服务会把用户名以明文形式发送到连接它的客户端，黑

3、客的嗅探程序很容易就能探测到这些账户信息。必需停止的服务nWindowsMessengerservice:俗称信使服务,电脑用户在局域网内可以利用它进行资料交换(传输客户端和服务器之间的NetSend和Alerter服务消息),垃圾邮件和垃圾广告厂商，也经常利用该服务发布弹出式广告，标题为“信使服务”。而且这项服务有漏洞，MSBlast和Slammer病毒就是用它来进行快速传播的。必需停止的服务nPerformanceLogsAndAlerts:收集本地或远程计算机基于预先配置的日程参数的性能数据，然后将此数据写入日志或触发警报。为了防止被远程计算机搜索数据，坚决禁止它nRemoteDeskt

4、opHelpSessionManager:如果此服务被终止，远程协助将不可用。必需停止的服务nterminalservices允许多位用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序如果你用到xp的远程控制功能，那么就需要保留该服务，否则可以禁止它。nclipbook启用“剪贴板查看器”储存信息并与远程计算机共享必需停止的服务nfastuserswitchingcompatibility为在多用户下需要协助的应用程序提供管理Simple File Sharing简单文件共享简单文件共享如果一台计算机并不是微软Windows域的一部分，默认情况下所有的文件共享是可以从任何地方访问的。

5、必需停止的服务nTelnet（远程登录）：远程登录）：远程登录服务是一项很老的机制，可以提供对一台计算机的远程访问。现在，很少使用telnet远程管理一个系统，取而代之的是一种加密协议即SSH。因此完全可以禁用远程登录。不需要别打开的服务nIIS：微软的互联网信息服务（IIS）提供了将用户的计算机变成一个Web服务器的能力。这项服务可以通过以下方法关闭之：打开“控制面板”，找到“添加或删除程序”，单击“添加/删除Windows组件”，取消选择“Internet信息服务（IIS）”即可。不需要别打开的服务nUniversal Plug and Play Device Host：即前面所说的“通用

6、即插即用设备主机”服务，虽然许多用户在系统中安装了这项服务，其实并不太实用nSSDP发现服务：发现服务：也称为简单服务发现服务，这种服务用于发现网络上的UpnP设备，“通用即插即用设备主机UniversalPlugandPlayDeviceHost”需要这项服务不需要别打开的服务nTCP/IPNetBIOSHelper对于不需要文件和打印共享的用户，此项也可以禁用nPrintSpooler:将文件加载到内存中以便稍后打印。如果没装打印机，可以禁用nUninterruptiblePowerSupply:管理连接到计算机的不间断电源，没有安装UPS的用户可以禁用。不需要别打开的服务nsmartca

7、rd管理计算机对智能卡的取读访问nImapiCd-burningComService:用Imapi管理CD录制，虽然WinXP中内置了此功能，但是我们大多会选择专业刻录软件，另外如果没有安装刻录机的话，也可以禁止该服务。关闭以提高性能的服务nindexingservice本地和远程计算机上文件的索引内容和属性，提供文件快速访问这项服务对个人用户没有多大用处，而启用后往往会占用很多cpu资源，所以禁止关闭以提高性能的服务napplicationlayergatewayservice为internet连接共享和internet连接防火墙提供第三方协议插件的支持如果你没启用internet连接共享或

8、windowsxp内置防火墙，可以禁止这个服务启用自动更新功能nWindows总是有数不清的漏洞n大部分攻击都是“拳打不识”n微软一般会在大多数人学会利用漏洞前发布补丁，所以启用自动更新可以尽可能的修好你家的栅栏n开始菜单/设置/控制面板/自动更新尽量减少共享n不是必需的话不要共享文件、不要使用简单共享n打开任意一个文件夹，选择工具/文件夹/查看/高级选项，去掉简单共享上的钩n再共享文件时就有了安全选项取消默认共享nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParametersn修改键修改键AutoShareSer

9、ver”(类型为类型为“REG_DWORD”，值为值为“0”)n2003serverpro为AutoShareWks(类型类型为为“REG_DWORD”，值为值为“0”)取消默认共享nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA”的的“RestrictAnonymous”项项设置为设置为1可以可以限制限制IPC$nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters中中AutoShareWks设置设置为为0可以禁用可以禁用ADMIN$尽量减少用户n

10、Administrator（系统管理员）有对计算机/域的完全访问控制权；（2）BackupOperator（备份操作员）可以备份和还原计算机上的文件，而不论这些文件的权限如何；还可登录到计算机和关闭计算机，但不能更改安全性设置；（3）Guest（客人）权限同受限用户；（4）PowerUser（高级用户）权限同标准用户；（5）Replicator（复制员）权限是在域内复制文件；（6）User（普通用户）权限同受限用户。尽量减少用户n在开始/设置/控制面板/管理工具/计算机管理/本地用户和组/用户中禁用所有的用户,只留一个用于使用计算机的用户改变管理员帐户名称n单击“开始运行”，在弹出的运行对话框

11、中输入“gpedit.msc”打开组策略编辑器，依次展开“Windows设置安全设置本地策略安全选项”，并将右边列表框下拉到最底下，双击“重命名系统管理员账户”即可更名了。禁用自动运行功能n单击“开始运行”，在“打开”框中，键入“gpedit.msc”，展开“计算机配置管理模板系统”，然后在右窗格的“设置”标题下，双击“关闭自动播放”卸载除TCP/IP以外的网络协议n应该安装尽量少的协议n如果不需要在局域网上提供共享资源，那就只需要TCP/IP协议，应此把其他的协议都卸载把n选中网上邻居,右键选属性,把多余的协议删掉旧可以了解除netbios和tcp/ip的邦定n选中网上邻居,右键选属性，选中

12、tcp/ip选属性，选高级/wins,选中禁用tcp/ip上的netbios禁用不必要的端口n选中网上邻居,右键选属性，选中tcp/ip选属性，选高级/选项，选中筛选器，点击属性可以打开tcp/ip筛选器n非常遗憾，tcp/ip筛选器只能增加允许的端口而不能禁用端口，设置起来非常麻烦我们有一个方法可以禁用端口n1.开始-控制面板（或者管理）管理工具本地安全策略n2.右击“Ip安全策略，在本地计算机”，选择“管理IP筛选器表和筛选器操作”，n3.在“管理IP筛选器表”中，按“添加”按钮禁用端口的方法n4.在名称（在名称（N）下面添上下面添上“禁止禁止139端端口口”，描述（描述（D）也写上也写上

13、“禁止禁止139端口端口”n添加按扭添加按扭 n惦记下一步惦记下一步 n在源地址（在源地址（S）：）：处选择下拉里的第二处选择下拉里的第二项项“任何任何 ip 地址地址”下一步下一步禁用端口的方法n在目标地址（在目标地址（D）：）：选上选上“我的我的 ip 地址地址”下一步下一步n选择协议类型（选择协议类型（S）：）：把把”任意任意”选改选改为为“tcp”下一步下一步n设置设置ip协议断口：协议断口：选择到端口（选择到端口（O）添上你要禁止的端口添上你要禁止的端口“139”下一步下一步n完成完成禁用端口的方法n5.，看完了吗？按确定，看完了吗？按确定按扭按扭n6.点击点击“管理筛选器操作管理筛

14、选器操作”同同4中的中的将进入：将进入：“筛选器操作筛选器操作”窗口窗口n7.选择第二个选择第二个“阻止阻止”点击点击“下一步下一步”“完完成成”n8.，点击，点击“关闭关闭”按扭按扭禁用端口的方法n9.右击“Ip安全策略，在本地计算机”，选择“创建ip安全策略”同4中的进入“为此安全规则设置初始身份验证方法”，不管，点击下一步n10.出现一个警告窗口：“只有当这个规则在一台为域成员的计算机上Kerberos才有效。这台计算机不是一个域成员。您想继续并保留这些规则的属性吗？”选择“是”禁用端口的方法n11.点击“完成”按扭n12.“常规”和“规则”点击“规则”点击“添加”按扭n13.点击“下一

15、步”，一直下一步，出现一个同样的警告yesn14.从ip筛选器列表（I）框中点上第一个：“禁止139端口”前面的成为禁用端口的方法n15.同14，选择下一步。同7，出现“完成”按扭，点击完成。确定n16.关闭属性筐n17.右键点击右面窗口的“禁止139端口连接”指派禁用端口的方法n这个方法其实也很麻烦，不如安个第三方的防火墙，那里面禁用端口容易的多n应该禁用端口TCP135、139、445、593、1025TCP2745、3127、6129、3389UDP135、137、138、445端口的作用n135为RPC通信提供一种服务端口的映射功能n139端口是一种TCP端口，该端口在你通过网上邻居访

16、问局域网中的共享文件或共享打印机时就能发挥作用n445端口也是一种TCP端口，该端口在Windows2000Server或WindowsServer2003系统中发挥的作用与139端口是完全相同的。具体地说，它也是提供局域网中文件或打印机共享服务。端口的作用n593IPC开设的端口n3389远程登录强化密码管理n密码是计算机的锁，要想安全，必需设定有一定强度的密码n我们可以通过安全策略来设定密码的要求，在控制面板本地安全策略帐户策略n启用复杂性要求复杂性要求下的密码设定n不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分n至少有六个字符长n包含以下四类字符中的三类字符:n英文大写字

17、母(A到Z)n英文小写字母(a到z)n10个基本数字(0到9)n非字母字符(例如!、$、#、%)n在更改或创建密码时执行复杂性要求。其他的可以设置的内容n密码长度最小值n密码最大存活期n强制密码历史帐户锁定策略n帐户锁定阈值n此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之前，无法使用该锁定帐户。可以将登录尝试失败次数设置为介于0和999之间的值。如果将值设置为0，则永远不会锁定帐户。帐户锁定时间n此安全设置确定锁定帐户在自动解锁之此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从前保持锁定的分钟数。可用范围从 0 到到 99,999

18、 分钟。如果将帐户锁定时间设置分钟。如果将帐户锁定时间设置为为 0，帐户将一直被锁定直到管理员明确，帐户将一直被锁定直到管理员明确解除对它的锁定。解除对它的锁定。在此后复位帐户锁定计数器n此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为0次错误登录尝试之前需要的时间。可用范围是1到99,999分钟。强化审核策略nWindowsxp默认关闭所有的安全审核，所以你无法在安全日志中观察到入侵者的踪迹n打开审核就像安装摄像头，你无法通过审核来阻止攻击，但至少可以察觉到攻击并且保留住他的一些信息设置审核策略n在控制面板本地安全策略本地策略审核策略下可以设置安全策略审核策略n可以按如下内容设

19、置审核策略账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败可以在安全日志里检查这些行为n打开控制面板事件查看器安全日志，可以看到刚才的更改已经被记录了最后一个问题n不管怎样设置，我们总是有这样那样的问题存在，安全隐患总是存在的n所以还是安装第三方的安全防护软件比较好安全软件的安装n个人机器安装防病毒软件安装上网保护软件n服务器安装防病毒软件安装防火墙安装上网保护软件别忘了给自己留条后路n你的计算机有可能会崩溃，会感染病毒，会硬件损坏，不管什么样的高手都无法回避这个问题n对重要的数据要及时备份并保存到可靠的介质上，不要把备份放到同一台机器上，也可以使用系统还原这一类工具,这样就可以死里逃生不要做的傻事n不保护就上网n不升级安全软件n安装和卸载大量程序，特别是测试版程序n磁盘总是满满的并且非常凌乱不要做的傻事n打开所有的附件n点击所有链接n共享所有文件n从不备份n简单极了的密码