第1讲_加固windows系统安全.ppt

《第1讲_加固windows系统安全.ppt》由会员分享，可在线阅读，更多相关《第1讲_加固windows系统安全.ppt（47页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、工作任务工作任务 问题探究问题探究 知识拓展知识拓展 检查评价检查评价 学习目标学习目标Windows系统安全配置 实践操作实践操作 学习目标学习目标1.知识目标知识目标2.能力目标能力目标学习目标学习目标返回返回下页下页上页上页理解理解Windows操作系统安全的基本理论操作系统安全的基本理论 1理解理解IE安全设置的基本概念安全设置的基本概念 5理解用户账号及访问权限的基本概念；理解用户账号及访问权限的基本概念；2掌握账户安全策略在系统安全中的作用掌握账户安全策略在系统安全中的作用 3掌握注册表的功能及在系统安全中的作用掌握注册表的功能及在系统安全中的作用 4学习目标学习目标1.知识目标知

2、识目标返回返回下页下页上页上页学习目标学习目标熟悉熟悉Windows server 2003操作系统操作系统1配置配置IE安全策略安全策略 5配置用户访问权限及磁盘访问权限配置用户访问权限及磁盘访问权限2配置注册表安全策略配置注册表安全策略3配置账户安全策略及审核策略等组策略配置账户安全策略及审核策略等组策略42.2.能力目标能力目标返回返回下页下页上页上页工作任务工作任务 工作任务工作任务2.工作任务背景工作任务背景4.条件准备条件准备1.工作名称工作名称3.工作任务分析工作任务分析返回返回下页下页上页上页工作任务工作任务 任务名称：任务名称：对对Windows server 2003Win

3、dows server 2003系统进行安全设置。系统进行安全设置。任务名称与背景任务名称与背景任任务务背背景景：张张老老师师办办公公室室的的计计算算机机新新安安装装了了Windows Windows server server 20032003操操作作系系统统，该该系系统统具具有有高高性性能能、高高可可靠靠性性和和高高安安全全性性等等特特点点。Windows Windows server server 20032003在在默默认认安安装装的的时时候候，基基于于安安全全的的考考虑虑已已经经实实施施了了很很多多安安全全策策略略。但但由由于于服服务务器器操操作作系系统统的的特特殊殊性性，在在默默认

4、认安安装装完完成成后后还还需需要要张张老老师师对对系系统统操操作作系系统统进进行行加加固固，进进一一步步提提升升服服务务器器操操作作系统的安全，保证业务系统以及数据库系统的安全系统的安全，保证业务系统以及数据库系统的安全。返回返回下页下页上页上页工作任务工作任务 任任务务分分析析：在在安安装装Windows server 2003操操作作系系统统时时，为为了了提提高高系系统统安安全全，张张老老师师按按系系统统建建议议，采采用用最最小小化化方方式式安安装装，只只安安装装网网络络服服务务所所必必需需的的模模块块。当当有有新新的的服服务务需需求求时时，再再安安装装相相应应的的服服务务模模块块，并并及

5、及时时进进行行安安全全设设置置。在在完完成成操操作作系系统统安安装装全全过过程程后后，张张老老师师下下面面要要进进行行的的工工作作，就就是是对对Windows系系统统安安全全方方面面进进行行加加固固，使使操操作作系系统统变变得得更更加加安安全全可可靠靠，为为以以后后的的工工作作提提供供一一个个良良好好的的环境平台。环境平台。任务分析与准备任务分析与准备条件准备：条件准备：Windows Server 2003 R2Windows Server 2003 R2操作系统操作系统返回返回下页下页上页上页3.管理帐户管理帐户2.创建陷阱账号创建陷阱账号4.磁盘访问权限配置磁盘访问权限配置1.更改更改A

6、dministrator账户名称账户名称5.组策略的配置组策略的配置6.注册表基本知识及安全配置注册表基本知识及安全配置实践操作实践操作实践操作实践操作 返回返回下页下页上页上页实践操作实践操作 1.更改更改Administrator账户名称账户名称由由于于Administrator账账户户是是微微软软操操作作系系统统的的默默认认账账户户，建建议议将将此此账账户户重重命命名名为为其其他他名名称称，以以增增加加非非法法入入侵侵者者对对系系统统管管理理员员账账户户探探测测的的难难度度。重重命命名名Administrator账账户户的方法。的方法。第一步第一步第一步第一步“开始开始开始开始”-“-“

7、所有程序所有程序所有程序所有程序”-“-“管理工具管理工具管理工具管理工具”-“本地安全策略本地安全策略本地安全策略本地安全策略”第二步第二步第二步第二步选择选择选择选择“安全设置安全设置安全设置安全设置”-“-“本地策略本地策略本地策略本地策略”-“-“安全安全安全安全选项选项选项选项”选项，在右侧的安全列表框中选择选项，在右侧的安全列表框中选择选项，在右侧的安全列表框中选择选项，在右侧的安全列表框中选择“帐户帐户帐户帐户”：重命名系统管理员帐户：重命名系统管理员帐户：重命名系统管理员帐户：重命名系统管理员帐户“策略策略策略策略选项选项选项选项”返回返回下页下页上页上页实践操作实践操作 1.

8、更改更改Administrator账户名称账户名称第三步第三步第三步第三步 更更改改完完成成后后，返返回回“计计算算机机管管理理”窗窗口口，单单 击击“用用 户户”，可可 以以 看看 到到 默默 认认 的的Administrator帐户名已被更改。帐户名已被更改。第四步第四步第四步第四步双双击击“帐帐户户：重重命命名名系系统统管管理理员员帐帐户户”策策略略，双双击击打打开开“帐帐户户：重重命命名名系系统统管管理理员员帐帐户户属属性性”对对话话框框，更更改改系系统统管管理理员员帐帐户户的的名名称称，应应将将Administrator设设置置成成一一个个普普通通的的用用户户名名，而而不不要要使使用

9、用如如Admin之之类类的的用户名称。用户名称。返回返回下页下页上页上页实践操作实践操作 1.更改更改Administrator账户名称账户名称第五步第五步第五步第五步“Administrator属属性性”对对话话框框中中，单单击击“添添加加”按按钮钮，在在“选选择择用用户户”对对话话框框的的“输输入入对对象象名名称称来来选选择择”文文本本框框中中，输输入入已已经经重重命命名名的的系系统统管管理理员员帐帐户户名名称称，单单击击“检查名称检查名称”按钮完成帐户的确认。按钮完成帐户的确认。第六步第六步第六步第六步选选 择择“组组”，在在 默默 认认 组组 列列 表表 中中 选选 择择“Admini

10、strators”管管理理员员组组，右右击击鼠鼠标标弹弹出出快快捷捷菜菜单单，选选择择“属属性性”，弹弹出出“属属性性”对对话话框框，默默认认只只有有Administrator帐帐户户。选选中中Administrator帐帐户户，单单击击“删删除除”按按钮将其删除。钮将其删除。返回返回下页下页上页上页实践操作实践操作 1.更改更改Administrator账户名称账户名称第七步第七步第七步第七步 单单击击“确确定定”按按钮钮，将将更更改改后后的的系系统统管管理理员员帐帐户户添添加加到到“Administrators”，单单击击“确确定定”按按钮钮，完完成成系系统统管管理理员员名名称称的的更更改

11、。改。返回返回下页下页上页上页实践操作实践操作 2 2创建陷阱账号创建陷阱账号默默认认的的系系统统账账号号Administrator重重命命名名后后，系系统统管管理理员员可可以以创创建建一一个个同同名名的的拥拥有有最最低低权权限限的的同同名名的的Administrator账账户户，并并且且添添加加到到Guests中中，同同时时将将它它的的权权限限设设置置成成最最低低，并并且且加加上上一一个个超超过过20位位的的超超级级复复杂杂密密码码（包包括括字字 母母、数数 字字、特特 殊殊 符符 号号）。新新 创创 建建 的的Administrator帐帐户户名名称称虽虽然然和和默默认认的的系系统统管管理

12、理员员帐帐户户的的名名称称相相同同，但但是是SID安安全全描描述述符符不不同，不会出现帐户名称重复的问题。同，不会出现帐户名称重复的问题。返回返回下页下页上页上页实践操作实践操作 3 3管理帐户管理帐户 由于由于Administrator账户是微软操作系账户是微软操作系统的默认账户，建议将此账户重命名为其他统的默认账户，建议将此账户重命名为其他名称，以增加非法入侵者对系统管理员账户名称，以增加非法入侵者对系统管理员账户探测的难度。探测的难度。（1）帐户锁定安全策略配置）帐户锁定安全策略配置（2）用户帐户权限配置）用户帐户权限配置1）将用户权限指派到组 2）配置特权和权利 返回返回下页下页上页上

13、页实践操作实践操作 4.4.磁盘访问权限配置磁盘访问权限配置（1）设置磁盘访问权限）设置磁盘访问权限磁磁盘盘在在系系统统安安装装完完成成以以后后，就就赋赋予予了了部部分分权权限限，为为了了保保证证系系统统的的安安全全，建建议议系系统统管管理理员员对对默默认认的的磁磁盘盘权权限限进进行行调调整整，授授予予仅仅有有窗窗口口Administrator和和SYSTEM才可以访问的权限。才可以访问的权限。（2）查看磁盘权限）查看磁盘权限 微微软软公公司司提提供供了了查查看看磁磁盘盘文文件件或或者者文文件件夹夹当当前前权权限限的的图图形形化化工工具具，利利用用AccessEnum可可全全面面了了解解文文件

14、件系系统统和和注注册册表表安安全全设设置置，它它是是网网络管理员查看安全权限的理想工具。络管理员查看安全权限的理想工具。返回返回下页下页上页上页组组策策略略是是管管理理员员为为用用户户和和计计算算机机定定义义并并控控制制程程序序、网网络络资资源源及及操操作作系系统统行行为为的的主主要要工工具具。通通过过使使用用组组策策略略可可以以设设置置各各种种软软件件、计计算算机机和和用用户户策策略略。例例如如，可可使使用用“组组策策略略”从从桌桌面面删删除除图图标标、自自定定义义“开开始始”菜菜单单并并简简化化“控控制制面面板板”。此此外外,还还可可添添加加在在计计算算机机上上（在在计计算算机机启启动动或

15、或停停止止时时，以以及及用用户户登登录录或或注注销销时时）运运行行的的脚脚本本，甚甚至至可可配配置置Internet Explorer。实践操作实践操作 5.5.组策略的配置组策略的配置 返回返回下页下页上页上页实践操作实践操作 5.组策略的配置组策略的配置 组策略中审核策略的设置组策略中审核策略的设置1）审核帐户登录事件）审核帐户登录事件 2）推荐的审核策略设置）推荐的审核策略设置3）调整日志审核文件的大小）调整日志审核文件的大小4）调整日志审核文件的大小。）调整日志审核文件的大小。“桌面桌面”安全设置安全设置1）隐藏桌面的系统图标）隐藏桌面的系统图标 2）不要将最近打开的文档的共享添加）不

16、要将最近打开的文档的共享添加到网上邻居到网上邻居返回返回下页下页上页上页3）禁止用户更改）禁止用户更改“我的文档我的文档”路径路径IE安全设置安全设置1）管理好）管理好Cookie 2）禁用或限制使用）禁用或限制使用Java程序及程序及ActiveX控件控件 3）消除潜在威胁）消除潜在威胁 4）组策略中对）组策略中对IE浏览器进行安全配置浏览器进行安全配置5）禁用）禁用“在新窗口中打开在新窗口中打开”菜单项菜单项6）禁用）禁用“Internet 选项选项”控制面板控制面板7）给工具栏减肥）给工具栏减肥8）禁止修改）禁止修改IE浏览器的主页浏览器的主页9）自定义）自定义IE工具栏工具栏实践操作实

17、践操作 5.组策略的配置组策略的配置 返回返回下页下页上页上页实践操作实践操作 6.注册表基本知识及安全配置注册表基本知识及安全配置Regedit.exeRegedit.exe是是微微软软提提供供的的一一个个编编辑辑注注册册表表的的工工具具，是是所所有有WindowsWindows系系统统通通用用的的注注册册表表编编辑辑工工具具。WindowsWindows系系统统没没有有提提供供运运行行这这个个应应用用程程序序的的菜菜单单项项，因因此此必必须须手手动动启启动动。Regedit.exeRegedit.exe这这个个工工具具可可以以对对注注册册表表进进行行添添加加修修改改主主键键、修修改改键键值

18、值、备备份份注注册册表表、局局部部导入导出注册表和权限简称等操作。导入导出注册表和权限简称等操作。返回返回下页下页上页上页实践操作实践操作 6.注册表基本知识及安全配置注册表基本知识及安全配置（1）禁止注册表编辑器运行）禁止注册表编辑器运行 Windows操操作作系系统统安安装装完完成成后后，默默认认情情况况下下Regedit.exe工工具具可可以以任任意意使使用用，为为了了防防止止具具有有恶恶意意的的非非网网络络管管理理人人员员使使用用，建建议议禁禁止止Regedit.exe的的使使用用，下下面面介介绍绍两两种种禁禁止止Regedit.exe使使用用的的方方法法。禁禁止止注注册册表表编编辑辑

19、器器 运运 行行 方方 法法 中中 我我 们们 使使 用用 组组 策策 略略 禁禁 止止Regedit.exe的使用的使用。返回返回下页下页上页上页实践操作实践操作 6.注册表基本知识及安全配置注册表基本知识及安全配置选选择择“开开始始”-“运运行行”命命令令，显显示示“运运行行”对对话话框框，在在文文本本框框中中输输入入“Gpedit.msc”，单单击击“确确定定”按按钮钮，显显示示“组组策策略略编编辑辑器器”窗口。窗口。第一步第一步第一步第一步 第二步第二步第二步第二步在在左左侧侧的的“本本地地计计算算机机策策略略”列列表表中中，依依次次展开展开“用户配置用户配置”-“管理模板管理模板”-

20、“系统系统”在在右右侧侧的的组组策策略略列列表表中中，双双击击“不不要要运运行行指指定定的的Windows应应用用程程序序”策策略略，显显示示“不不要要运运行行指指定定的的Windows应应用用程程序序 属属性性”对对话话框。框。第三步第三步第三步第三步 返回返回下页下页上页上页实践操作实践操作 6.注册表基本知识及安全配置注册表基本知识及安全配置选选择择“已已启启用用”单单选选按按钮钮，“不不允允许许的的应应用用程程序序列列表表”右右侧侧的的“显显示示”按按钮钮的的状状态态由由不不可编辑状态转变为可编辑状态可编辑状态转变为可编辑状态 第四步第四步第四步第四步 第五步第五步第五步第五步单单击击

21、“显显示示”按按钮钮，显显示示“显显示示内内容容”对对话话框框。单单击击“添添加加”按按钮钮，显显示示“添添加加项项目目对对话话框框”。在在“输输入入要要添添加加的的项项目目”文文本本框框中中，输输入入要要禁禁止止运运行行的的“Regedit.exe”程程序序名名称称，单单击击“确确定定”按按钮钮，返返回回到到“显示内容显示内容”对话框。对话框。返回返回下页下页上页上页实践操作实践操作 6.注册表基本知识及安全配置注册表基本知识及安全配置单单击击多多次次“确确定定”按按钮钮，完完成成限限制制策策略略的的设设置置。选选择择“开开始始”-“运运行行”命命令令，显显示示“运运 行行”对对 话话 框框

22、，在在 文文 本本 框框 中中 输输 入入“Regedit.exe”，单单击击“确确定定”按按钮钮，显显示示如如图图1.40所所示示的的“限限制制“对对话话框框，注注册册表表编辑器不能正常运行编辑器不能正常运行。如如果果需需要要恢恢复复注注册册表表编编辑辑器器的的使使用用，将将此此策策略略设设置置为为“未未配配置置”或或者者“已已禁禁用用”，即即可可恢复注册表编辑器的使用。恢复注册表编辑器的使用。第六步第六步第六步第六步 返回返回下页下页上页上页实践操作实践操作 6.注册表基本知识及安全配置注册表基本知识及安全配置安全登录配置安全登录配置 1）显示登录窗口选项）显示登录窗口选项2）指定密码的最

23、小长度）指定密码的最小长度 3）禁止显示前一个登录者的名称）禁止显示前一个登录者的名称 4）将）将Windows网络登录口令不保存为网络登录口令不保存为PWL文件文件5）开机自动进入屏幕保护）开机自动进入屏幕保护返回返回下页下页上页上页实践操作实践操作 6.注册表基本知识及安全配置注册表基本知识及安全配置加强文件加强文件/文件夹安全文件夹安全1）修改系统文件夹的保护属性）修改系统文件夹的保护属性 2）从）从Windows资源管理器中删除资源管理器中删除“文件文件”菜菜单单 限制系统功能限制系统功能1）从）从“我的电脑我的电脑”菜单中删除菜单中删除“属性属性”菜单项菜单项 2）禁止在桌面及资源管

24、理器中右击时弹出快捷）禁止在桌面及资源管理器中右击时弹出快捷菜单菜单3）禁止用户运行某些程序）禁止用户运行某些程序4）通过注册表删除各种历史记录）通过注册表删除各种历史记录返回返回下页下页上页上页实践操作实践操作 6.注册表基本知识及安全配置注册表基本知识及安全配置注册表备份和恢复注册表备份和恢复1）备份注册表数据库）备份注册表数据库 2）恢复注册表数据库恢复注册表数据库 返回返回下页下页上页上页问题探究问题探究 问题探究问题探究3.磁盘访问权限磁盘访问权限2.用户访问限制用户访问限制4.组策略的基本概念组策略的基本概念1.系统管理员账户设置系统管理员账户设置5.注册表的基本概念及安全问题注册

25、表的基本概念及安全问题返回返回下页下页上页上页问题探究问题探究 1.系统管理员账户设置系统管理员账户设置 帐帐户户是是计计算算机机的的基基本本安安全全对对象象，Windows server 2003本本地地计计算算机机包包含含了了两两种种帐帐户户：用用户户帐帐户户和和组组帐帐户户。用用户户帐帐户户适适用用于于鉴鉴别别用用户户身身份份，并并让让用用户户登登录录系系统统，访访问问资资源源，而而组组帐帐户户适适用用于于组织用户帐户和指派访问资源的权限。组织用户帐户和指派访问资源的权限。Windows server 2003操操作作系系统统安安装装完完成成后后，默默认认的的系系统统管管理理员员帐帐户户

26、是是Administrator，这这已已经经是是总总所所周周知知的的事事情情。系系统统管管理理员员权权限限，正正是是非非法法入入侵侵者者梦梦寐寐以以求求的的权权限限，一一旦旦成成功功，操操作作系系统统将完全暴露在黑客的眼前。将完全暴露在黑客的眼前。返回返回下页下页上页上页问题探究问题探究 1.系统管理员账户设置系统管理员账户设置 在在这这里里建建议议应应尽尽量量减减少少管管理理员员的的数数量量，因因为为管管理理员员组组成成员员拥拥有有对对系系统统的的各各项项操操作作、配配置置和和访访问问权权限限。因因此此，系系统统管管理理员员的的数数量量越越少少，密密码码丢丢失失或或被被猜猜到到的的可可能能性

27、性就就越越小小，相相对对而而言言，系系统统也也就就越越安安全全，这这也也是是最最大大限限度度保保证网络安全的重要手段。证网络安全的重要手段。在在Windows server 2003操操作作系系统统安安装装完完成成后后，建建议议 重重 命命 名名 Administrator帐帐 户户，因因 为为 黑黑 客客 往往 往往 会会 从从Administrator帐帐户户进进行行探探测测。并并且且禁禁用用Guest账账户户，或或者者给给Guest加加一一个个复复杂杂的的密密码码，同同时时停停用用该该用用户户，从从而而实实现现更更高高的的安安全全机机制制，因因为为此此用用户户还还可可以以重重新新启启用用

28、，一一旦启用将可以建立旦启用将可以建立IPC$连接。连接。返回返回下页下页上页上页问题探究问题探究 2.用户访问限制用户访问限制 保保护护计计算算机机和和计计算算机机内内存存数数据据的的安安全全措措施施之之一一，就就是是指指定定拥拥有有不不同同访访问问权权限限的的用用户户帐帐户户，通通过过限限制制用用户户帐帐户户权权限限的的方方式式，实实现现对对资资源源访访问问控控制制。用用户户名名和和密密码码用用于于在在登登录录Windows 2000/XP/2003时时进进行行身身份份验验证证，登登录录的的身身份份决决定定了了该该用用户户是是否否可可以以进进入入该该计计算算机机，以以及及可可以以在在该该计

29、计算算机机上上做做什什么么。因因此此，对对用用户户帐帐户户和和管管理理员员帐帐户户的的严严格格审审批批、发发放放和和控控制制。另另外外，在在进进行行严严格格的的帐帐户户策策略略，是是确保服务器安全的重要手段。确保服务器安全的重要手段。返回返回下页下页上页上页问题探究问题探究 2.用户访问限制用户访问限制 禁止匿名访问禁止匿名访问Internet Guest帐帐户户是是在在IIS安安装装过过程程中中自自动动创创建建的的。默默认认状状态态下下，所所有有IIS用用户户都都使使用用该该帐帐户户实实现现对对Web或或FTP网网站站的的访访问问。也也就就是是说说，所所有有用用户户在在通通过过匿匿名名方方式

30、式访访问问Web或或FTP网网站站时时，都都被被映映射射为为Internet Guest帐帐户户，并并拥拥有有该该帐帐户户的的相相应应权权限限。这这样样，就就跟跟利利用用该该帐帐号号从从本本地地直直接接登登录录到到服服务务器器时时一一样样。如如果果允允许许只只能能用用Internet Guest帐帐户户远远程程访访问问服服务务器器，远远程程用用户户不不必必提提供供自自己己的的用用户户名名和和密密码码，但但只只分分给给他他们们Internet Guest帐户的权限。帐户的权限。返回返回下页下页上页上页问题探究问题探究 2.用户访问限制用户访问限制 这这样样做做可可以以防防止止任任何何人人以以骗骗

31、得得的的或或非非法法获获得得的的密密码码来来得得到到对对敏敏感感信信息息的的访访问问。一一般般来来说说，以以上策略可以建立最为安全的系统。上策略可以建立最为安全的系统。由由于于Internet Guest帐帐户户被被加加在在Guest用用户户组组中中，Guest组组的的设设置置同同样样适适用用于于Internet Guest帐帐户户。所所以以，应应当当重重新新查查看看一一下下Guest组组的设置，以确保它们适用于的设置，以确保它们适用于Internet Guest帐户。帐户。返回返回下页下页上页上页问题探究问题探究 2.用户访问限制用户访问限制（2）采用安全验证方式）采用安全验证方式基基本本验

32、验证证和和Windows验验证证要要求求用用户户必必须须提提供供一一个个合合法法的的Windows 2000/2003/XP用用户户名名和和密密码码才才能能访访问问服服务务器器，否否则则，将将被被拒拒绝绝对对服服务务器器的的访访问问。它它们们两两者者的的区区别别在在于于，Windows验验证证将将用用户户名名和和密密码码加加密密后后再再进进行行传传输输，确确保保了了用用户户名名和和密密码码在在Internet传传输输过过程程中中的的安安全全，保保证证用用户户名名和和密密码码不不会会在在传传输输过过程程中中被被恶恶意意用用户户截截获获，并并冒冒名名顶顶替替该该用用户户登登录录服服务务器器窃窃取取

33、敏敏感感资资料料或或对对服服务务器器进进行行破破坏坏。基基本本验验证证方方法法则则不不经经加加密密，直直接接在在Internet上上传传输输，因因此此用用户户名名和和密密码码对对在在传传输输过过程程中中极极易易被被截截获获从而对服务器及其数据造成难以估计的损失。从而对服务器及其数据造成难以估计的损失。返回返回下页下页上页上页问题探究问题探究 2.用户访问限制用户访问限制 验验证证方方法法只只是是利利用用uuencode对对资资源源信信息息进进行行了了编编码码，可可以以被被任任何何访访问问网网络络的的人人轻轻易易的的解解开开，甚甚至至对对那那些些只只能能访访问问传传送送数数据据包包的的某某一一因

34、因特特网网网网段段的的人人来来说说，也也是是如如此此。因因此此，微微软软公公司司只只建建议议采采 用用 Windows 2000/2003/XP的的 质质 询询/应应 答答（Challenge/Response）这一密码验证方式。）这一密码验证方式。返回返回下页下页上页上页问题探究问题探究 3.磁盘访问权限磁盘访问权限 权权限限有有高高低低之之分分，具具备备有有高高权权限限的的用用户户可可以以访访问问、修修改改的的权权限限用用户户的的文文件件夹夹和和文文件件。除除了了Administrators之之外外，其其他他组组的的用用户户不不能能访访问问NTFS卷卷上上的的其其他他用用户户资资料料。除除

35、非非获获得得了了显显示示授授权权，具具备备低低权权限限的的用用户户无无法法访访问问、修修改改具具备备高高权权限用户的文件和文件夹。限用户的文件和文件夹。返回返回下页下页上页上页问题探究问题探究 3.磁盘访问权限磁盘访问权限 完全控制完全控制 修改修改读取和运行读取和运行 读取读取 7种权限种权限的控制的控制范围范围 特别的权限特别的权限 列出文件夹目录列出文件夹目录写入写入返回返回下页下页上页上页问题探究问题探究 4.组策略的基本概念组策略的基本概念 说说到到组组策策略略，就就不不得得不不提提注注册册表表。注注册册表表是是Windows系系统统中中保保存存系系统统、应应用用软软件件配配置置的的

36、数数据据库库，随随着着Windows功功能能的的越越来来越越丰丰富富，注注册册表表里里的的配配置置项项目目也也越越来来越越多多。很很多多配配置置都都是是 可可以以自自定定义义设设置置的的，但但这这些些配配置置发发布布在在注注册册表表的的各各个个角角落落，如如果果是是手手工工配配置置，可可想想是是多多么么困困难难和和烦烦杂杂。而而组组策策略略则则将将系系统统重重要要的的配配置置功功能能汇汇集集成成各各种种配配置置模模块块，供供管管理理人人员员直直接接使使用用，从从而而达达到到方方便便管管理理计计算算机机的的目目的的。简简单单点点说说，组组策策略略就就是是修修改改注注册册表表中中的的配配置置。当当

37、然然，组组策策略略使使用用自自己己更更完完善善的的管管理理组组织织方方法法，可可以以对对各各种种对对象象中中的的设设置置进进行行管管理理和和配配置置，远远比比手工修改注册表方便、灵活，功能也更加强大。手工修改注册表方便、灵活，功能也更加强大。返回返回下页下页上页上页问题探究问题探究 5.5.注册表的基本概念及安全问题注册表的基本概念及安全问题 注注册册表表是是Windows系系统统核核心心配配置置数数据据库库，在在系系统统中中起起着着举举足足轻轻重重的的作作用用，一一旦旦组组册册表表出出现现问问题题，整整个个系系统统将变得混乱甚至崩溃。注册表主要存储如下内容：将变得混乱甚至崩溃。注册表主要存储

38、如下内容：软、硬件的配置和状态信息。软、硬件的配置和状态信息。应应用用程程序序和和资资源源管管理理外外壳壳的的初初始始条条件件、首首选选项项和和卸卸载数据。载数据。计算机整个系统的设置和各种许可。计算机整个系统的设置和各种许可。文件扩展名与应用程序的关联。文件扩展名与应用程序的关联。硬件描述、状态和属性。硬件描述、状态和属性。计计算算机机性性能能和和底底层层的的系系统统状状态态信信息息，以以及及各各类类其其他他数据。数据。返回返回下页下页上页上页知识拓展知识拓展 知识拓展知识拓展3.关闭关闭“远程注册表服务远程注册表服务”2.拒绝拒绝“信信”骚扰骚扰4.禁止病毒启动服务禁止病毒启动服务1.操作

39、系统注册表安全知识拓展操作系统注册表安全知识拓展5.拒绝拒绝ActiveX控件的恶意骚扰控件的恶意骚扰返回返回下页下页上页上页知识拓展知识拓展 操作系统注册表安全知识拓展操作系统注册表安全知识拓展 操操作作系系统统中中所所有有系系统统设设置置都都可可以以在在注注册册表表中中找找到到踪踪影影，所所有有的的程程序序启启动动方方式式和和服服务务启启动动类类型型都可通过注册表中的小小键值来控制。都可通过注册表中的小小键值来控制。然然而而，正正因因为为注注册册表表的的强强大大使使得得它它也也成成为为了了一一个个藏藏污污纳纳垢垢的的地地方方。病病毒毒和和木木马马常常常常寄寄生生在在此此，偷偷偷偷摸摸摸摸地

40、地干干着着罪罪恶恶勾勾当当，威威胁胁着着原原本本健健康康的的操操作作系系统统。如如何何才才能能有有效效地地防防范范病病毒毒和和木木马马的的侵侵袭袭，保保证证系系统统的的正正常常运运行行呢呢?我我们们将将从从服服务务、默默认认设设置置、权权限限分分配配等等九九个个方方面面入入手手为为大大家家介介绍绍如如何何通通过过注注册册表表打打造造一一个个安安全全的的系系统统。特特别别提提示示:在在进进行修改之前，一定要备份原有注册表。行修改之前，一定要备份原有注册表。返回返回下页下页上页上页知识拓展知识拓展 2.拒绝拒绝“信信”骚扰骚扰安安 全全 隐隐 患患:在在 Windows 2000/XP系系 统统

41、中中，默默 认认Messenger服服务务处处于于启启动动状状态态，不不怀怀好好意意者者可可通通过过“net send”指指令令向向目目标标计计算算机机发发送送信信息息。目目标标计计算算机机会会不不时时地地收到他人发来的骚扰信息，严重影响正常使用。收到他人发来的骚扰信息，严重影响正常使用。解决方法解决方法:首先打开注册表编辑器。对于系统服务来说，首先打开注册表编辑器。对于系统服务来说，我们可以通过注册表中我们可以通过注册表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”项下的各个选项来进行管理，其中的每个子键就是系项下的各个选项来进行管理

42、，其中的每个子键就是系统中对应的统中对应的“服务服务”，如，如“Messenger”服务对应的子键服务对应的子键是是“Messenger”。我们只要找到。我们只要找到Messenger项下的项下的START键值，将该值修改为键值，将该值修改为4即可。这样该服务就会被禁即可。这样该服务就会被禁用，用户就再也不会受到用，用户就再也不会受到“信信”骚扰了骚扰了 返回返回下页下页上页上页知识拓展知识拓展 3.关闭关闭“远程注册表服务远程注册表服务”安全隐患安全隐患:如果黑客连接到了我们的计算机，而且计如果黑客连接到了我们的计算机，而且计算机启用了远程注册表服务算机启用了远程注册表服务(Remote R

43、egistry)，那么黑，那么黑客就可远程设置注册表中的服务，因此远程注册表服务客就可远程设置注册表中的服务，因此远程注册表服务需要特别保护。需要特别保护。解决方法解决方法:我们可将远程注册表服务我们可将远程注册表服务(Remote Registry)的启动方式设置为禁用。不过，黑客在入侵我的启动方式设置为禁用。不过，黑客在入侵我们的计算机后，仍然可以通过简单的操作将该服务从们的计算机后，仍然可以通过简单的操作将该服务从“禁用禁用”转换为转换为“自动启动自动启动”。因此我们有必要将该服务。因此我们有必要将该服务删除。找到注册表中删除。找到注册表中“HKEY_LOCAL_MACHINESYSTE

44、MCurrentControlSetServices”下的下的RemoteRegistry项，右键点击该项选择项，右键点击该项选择“删除删除”，将该项删除后就无法启动该服务了。在删除之前，将该项删除后就无法启动该服务了。在删除之前，一定要将该项信息导出并保存。想使用该服务时，只要一定要将该项信息导出并保存。想使用该服务时，只要将已保存的注册表文件导入即可。将已保存的注册表文件导入即可。返回返回下页下页上页上页知识拓展知识拓展 4.禁止病毒启动服务禁止病毒启动服务 安全隐患安全隐患:现在的病毒很聪明，不像以前只会通过注现在的病毒很聪明，不像以前只会通过注册表的册表的RUN值或值或MSCONFIG

45、中的项目进行加载。一些高中的项目进行加载。一些高级病毒会通过系统服务进行加载。那么，我们能不能使级病毒会通过系统服务进行加载。那么，我们能不能使病毒或木马没有启动服务的相应权限呢病毒或木马没有启动服务的相应权限呢?解决方法解决方法:运行运行“regedt32”指令启用带权限分配功指令启用带权限分配功能的注册表编辑器。在注册表中找到能的注册表编辑器。在注册表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支，接着点击菜单栏中的分支，接着点击菜单栏中的“安全安全权限权限”，在弹，在弹出的出的Services权限设置窗口中单击权限设置窗口

46、中单击“添加添加”按钮，将按钮，将Everyone账号导入进来，然后选中账号导入进来，然后选中“Everyone”账号，账号，将该账号的将该账号的“读取读取”权限设置为权限设置为“允许允许”，将它的，将它的“完完全控制全控制”权限取消。现在任何木马或病毒都无法自行启权限取消。现在任何木马或病毒都无法自行启动系统服务了。当然，该方法只对没有获得管理员权限动系统服务了。当然，该方法只对没有获得管理员权限的病毒和木马有效。的病毒和木马有效。返回返回下页下页上页上页知识拓展知识拓展 5.拒绝拒绝ActiveX控件的恶意骚扰控件的恶意骚扰安安全全隐隐患患:不不少少木木马马和和病病毒毒都都是是通通过过在在

47、网网页页中中隐隐藏藏恶恶意意ActiveX控控件件的的方方法法来来私私自自运运行行系系统统中中的的程程序序，从从而而达达到到破破坏坏本本地地系系统统的的目目的的。为为了了保保证证系系统统安安全全，我我们们应应该阻止该阻止ActiveX控件私自运行程序。控件私自运行程序。解解 决决 方方 法法:ActiveX控控 件件 是是 通通 过过 调调 用用 Windows scripting host组组件件的的方方式式运运行行程程序序的的，所所以以我我们们可可以以先先删删除除“system32”目目录录下下的的wshom.ocx文文件件，这这样样ActiveX控控件件就就不不能能调调用用Windows

48、 scripting host了了。然后，在注册表中找到然后，在注册表中找到“HKEY_LOCAL_MACHINESOFTWARE ClassesCLSIDF935DC22-1CF0-11D0-ADB9-00C04FD58A0B”，将将该该项项删删除除。通通过过以以上上操操作作，ActiveX控件就再也无法私自调用脚本程序了。控件就再也无法私自调用脚本程序了。返回返回下页下页上页上页检查评价检查评价 检查与评价检查与评价1.简答题简答题（1）请说明）请说明Windows系统自身安全的重要性？系统自身安全的重要性？（2）请进详细例举你所了解的）请进详细例举你所了解的Windows安全配置安全配置

49、方法？方法？2.实做题：实做题：1.将将Administrator帐帐户户更更名名，设设置置密密码码，并并创创建建陷陷阱阱帐帐号号。（在在本本地地安安全全策策略略中中使使用用密密码码安安全全策策略略）。要要求求通通过过本本实实验验对对“本本地地安安全全策策略略”的的各各种种配配置置方方法法有有初步的掌握。初步的掌握。2.更改更改C盘的访问权限。授予仅有窗口盘的访问权限。授予仅有窗口Administrator和和SYSTEM才可以访问的权限。要求通过本实验对才可以访问的权限。要求通过本实验对各种帐户访问权限配置有所掌握，如各种帐户访问权限配置有所掌握，如“共享文件夹共享文件夹”的访问权限配置。的

50、访问权限配置。返回返回下页下页上页上页检查评价检查评价 检查与评价检查与评价3.打打开开“在在组组策策略略编编辑辑器器”，对对“计计算算机机配配置置-Windows 设设置置-安安全全设设置置-帐帐户户策策略略-密密码码策策略略”部部分分进进行行配配置置，了了解解Windows系系统统对对密密码码策策略略的的规规定定，并并制制定定自自己己的的组组策策略略中中的的“密密码码策策略略”部部分分的的配配置置。并并自自己己建建立立一一个个帐帐户户进进行行检检测。测。4.打开打开“在组策略编辑器在组策略编辑器”，对，对“计算机配置计算机配置-Windows 设置设置-安全设置安全设置-帐户策略帐户策略-