安全技术工程师培训.ppt

《安全技术工程师培训.ppt》由会员分享，可在线阅读，更多相关《安全技术工程师培训.ppt（86页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、NISE安全技安全技术工程工程师培培训 Win2K安全配置与管理安全配置与管理课程目的程目的了解了解win2K系系统的的设计原理原理了解了解Win2K的安全特性的安全特性能能够对win2K系系统进行安全配置行安全配置授授课方式：方式：讲解、演示、学解、演示、学员实际操作操作Windows系系统安全配置安全配置为什么要介什么要介绍windowsNTwindowsNT安全安全WindowsNTWindowsNT体系构架体系构架WindowsNTWindowsNT安全模型安全模型WindowsNTWindowsNT安全配置安全配置WindowsNTWindowsNT的的审计分析分析为什么要介什么要介

2、绍windows 安全安全系系统安全安全评测标准准系系统面面临很多威很多威胁系系统漏洞漏洞导致的致的损失失 TCSEC 安全等安全等级 安全级别描述D最低的级别。如MS-DOS计算机，没有安全性可言C1灵活的安全保护。系统不需要区分用户。可提供根本的访问控制。C2灵活的访问安全性。系统不仅要识别用户还要考虑唯一性。系统级的保护主要存在于资源、数据、文件和操作上。NT属于C2级的系统B1标记安全保护。系统提供更多的保护措施包括各式的安全级别。如ATT的SYSTEM V和UNIX with MLS 以及IBM MVS/ESAB2结构化保护。支持硬件保护。内容区被虚拟分割并严格保护。如Trusted

3、 XENIX and Honeywell MULTICSB3安全域。提出数据隐藏和分层，阻止层之间的交互。如Honeywell XTS-200A校验级设计。需要严格的准确的证明系统不会被危害，而且提供所有低级别的因素。如Honeywell SCOMP基于基于C2级标准的安全准的安全组件件灵活的灵活的访问控制控制-Windows NT 支持支持C2级标准要求的灵活准要求的灵活访问控控制。要求包括允制。要求包括允许对象的属主能象的属主能够完全控制完全控制谁可以可以访问这个个对象及什象及什么么样的的访问权限。限。对象再利用象再利用-Windows NT很明确地阻止所有的很明确地阻止所有的应用程序不可

4、用程序不可访问被另一被另一应用程序使用所占用用程序使用所占用资源内的信息（比如内存或磁源内的信息（比如内存或磁盘）。）。强制登制登陆-与与Windows for Workgroups、Windows 95和和98不同，不同，Windows NT用用户在能在能访问任何任何资源前必源前必须通通过登登陆来来验证他他们的身的身份。份。这也是另一个原因缺乏也是另一个原因缺乏这种种强制登制登陆的的NT要想达到以前的要想达到以前的C2级的的标准就必准就必须禁止网禁止网络功能。功能。审计-因因为Windows NT采用采用单独地机制来控制独地机制来控制对任何任何资源的源的访问，所以所以这种机制可以集中地种机制

5、可以集中地记录下所有的下所有的访问活活动。控制控制对象的象的访问-Windows NT不允不允许直接直接访问系系统里的里的资源。源。被攻被攻击的前几种操作系的前几种操作系统Microsoft Windows 31663000UNIX 22544605CISCO IOS 7821832被攻被攻击最多的通用最多的通用WEB服服务器器被攻被攻击的的产品品 占有用占有用户的百分比的百分比 被攻被攻击的次数的次数Microsoft IIS 41.06 17797201Apache Group Apache 10.62 12602Netscape Enterprise Server 9.07 4892Ip

6、lanet E-commerce Solution 0.13 124系系统漏洞漏洞导致的致的损失失系系统漏洞漏洞导致的致的损失失2003-8-15全球受冲全球受冲击波里蠕虫感染的机器波里蠕虫感染的机器超超过34万台。万台。8月月1日下午微日下午微软公司网站被黑，一个多小公司网站被黑，一个多小时无法无法访问。为什么要介什么要介绍windows NT安全安全Windows NT体系体系统构架构架Windows NT安全模型安全模型Windows NT安全配置安全配置Windows NT的的审计分析分析Windows系系统安全配置安全配置Windows NT体系体系统构架构架服务管理器服务进程系统支

7、持进程本地安全验证服务Windows登录会话管理器应用程序环境子系统Svchost.exeWinmgmt.exeSpoolerServices.exe任务管理器Windows浏览器用户级应用程序子系统动态链接库OS/2POSIXWin32系统服务调度进程核心可调用接口I/O设备设备管理器管理器设备、文件设备、文件驱动程序驱动程序文件系统缓存管理器即插即用设备管理器虚拟内存管理器进程和线程注册表配置管理器NTdll,dllWin32UserGDI图形驱动图形驱动HALMicro kernel进程地址空间进程地址空间进程地址空间进程地址空间系统地址空间系统地址空间系统地址空间系统地址空间线程线程线

8、程线程线程线程线程线程线程线程线程线程进程和程和线程程什么是什么是进程？程？代表了运行程序的一个代表了运行程序的一个实例例每一个每一个进程有一个私有的内存地址程有一个私有的内存地址空空间什么是什么是线程？程？进程内的一个程内的一个执行上下文行上下文进程内的所有程内的所有线程共享相同的程共享相同的进程程地址空地址空间每一个每一个进程启程启动时带有一个有一个线程程运行程序的运行程序的“主主”函数函数可以在同一个可以在同一个进程中程中创建其他的建其他的线程程可以可以创建建额外的外的进程程系系统进程程基本的系基本的系统进程程System Idle Process这个个进程是作程是作为单线程运行在每个程

9、运行在每个处理器上，并在理器上，并在系系统不不处理其他理其他线程的程的时候分派候分派处理器的理器的时间smss.exe 会会话管理子系管理子系统，负责启启动用用户会会话csrss.exe 子系子系统服服务器器进程程winlogon.exe 管理用管理用户登登录services.exe 包含很多系包含很多系统服服务lsass.exe 本地安全身份本地安全身份验证服服务器器 svchost.exe 包含很多系包含很多系统服服务SPOOLSV.EXE 将文件加将文件加载到内存中以便到内存中以便迟后打印。后打印。(系系统服服务)explorer.exe 资源管理器源管理器internat.exe 托托

10、盘区的拼音区的拼音图标 系系统进程程树smss.exe 对话管理器管理器 第一个第一个创建的建的进程程引入参数引入参数 HKLMSystemCurrentControlSetControlSession Manager装入所需的子系装入所需的子系统(csrss)，然后，然后winlogoncsrss.exeWin32 子系子系统winlogon.exe登登录进程：装入程：装入services.exe 和和 lsass.exe 显示登示登录对话框（框（“键入入CTRL+ALT+DEL，登，登录）当有人登入，运行在当有人登入，运行在 HKLMSoftwareMicrosoftWindows NTW

11、inLogonUserinit 中的中的进程（通常只是程（通常只是userinit.exe)services.exe 服服务控制器：也是几控制器：也是几项服服务的出的出发点点 服服务的开始的开始进程不是程不是services.exe的一部分的一部分 (由由 HKLMSystemCurrentControlSetServices驱动)lsass.exe本地安全本地安全验证服服务器（打开器（打开SAM）userinit.exe 登登陆之后启之后启动。启。启动外壳（通常是外壳（通常是Explorer.exe 见 HKLMSoftwareMicrosoftWindows NTCurrentVersio

12、nWinLogonShell)装入配置装入配置文件，恢复文件，恢复驱动器器标识符映象，然后退出符映象，然后退出 explorer.exe和它的孩子是所有交互式和它的孩子是所有交互式应用的用的创建者建者 附加的系附加的系统进程程 mstask.exe 允允许程序在指定程序在指定时间运行。运行。(系系统服服务)regsvc.exe regsvc.exe 允允许远程注册表操作。程注册表操作。(系系统服服务)winmgmt.exe 提供系提供系统管理信息管理信息(系系统服服务)。inetinfo.exe 通通过Internet 信息服信息服务的管理的管理单元元提供信息服提供信息服务连接和管理。接和管理

13、。(系系统服服务)tlntsvr.exe 允允许远程用程用户登登录到系到系统并且使用命并且使用命令行运行控制台。令行运行控制台。(系系统服服务)dns.exe 应答答对域名系域名系统 (DNS)名称的名称的查询和和更新更新请求。求。(系系统服服务)。为什么要介什么要介绍windows NT安全安全Windows NT体系体系统构架构架Windows NT安全模型安全模型Windows NT安全配置安全配置Windows NT的的审计分析分析Windows系系统安全配置安全配置安全的安全的组件件安全安全标识符符SID：综合合计算机名字、当前算机名字、当前时间、以及、以及处理当前用理当前用户模式模

14、式线程所花程所花费CPU的的时间所建立起来的。一个所建立起来的。一个SID：访问令牌令牌访问令牌是由用令牌是由用户的的SID安全描述符安全描述符、用、用户所属于所属于组的的SID、用、用户名、用名、用户所在所在组的的组名构成的名构成的安全描述符是由安全描述符是由对象属主的象属主的SID、组SID，灵活，灵活访问控控制列表以及制列表以及计算机算机访问控制列表控制列表 访问控制列表控制列表包括包括DACL和和SACL，灵活，灵活访问控制列表里控制列表里记录用用户和和组以及它以及它们的相关的相关权限。系限。系统访问控制列表包含控制列表包含为对象象审计的事件。的事件。windowsNT安全模型安全模型

15、Log processLog processSAMSAMUser Account User Account DatabaseDatabaseSecurity PolicySecurity Policy Database DatabaseLSALSAAudit logAudit logWin32 applicationWin32 applicationWin32 subsystemWin32 subsystemSecurity Reference MonitorSecurity Reference MonitorUser modeUser modeKernel modeKernel modeSe

16、curity policySecurity policyAudit messageAudit messageWindowsNT安全子系安全子系统WinlogonGINALocal Security Authority(LSA)Authentication PackagesSecuritySupport ProvidersSecurity Account ManagerNetlogonSSPISSPI为什么要介什么要介绍windows NT安全安全Windows NT体系体系统构架构架Windows NT安全模型安全模型Windows NT安全配置安全配置Windows NT的的审计分析分析Wi

17、ndows系系统安全配置安全配置身身 份份 认证认证访问控制访问控制安全配置程序安全配置程序数据的安全数据的安全EFSIPSecSSL/TLSTCP/IPKerberos证书服务智能卡安全模板组策略权限控制安全分析安全策略组权限NTLM安全管理与维护安全管理与维护保护注册表用户管理漏洞与补丁数据备份Win2000基本安全注意事项基本安全注意事项Win2000Win2000安装配置安装配置建立和建立和选择分区分区选择安装目安装目录不安装多余的不安装多余的组件件停止多余的服停止多余的服务安装系安装系统补丁丁多余的多余的组件件InterntInternt信息服信息服务（IISIIS）（如不需要）（如

18、不需要）索引服索引服务IndexingServiceIndexingService消息消息队列服列服务（MSMQMSMQ）远程安装服程安装服务远程存程存储服服务终端服端服务终端服端服务授授权Win2KWin2K服服务身身 份份 认认 证证访问控制访问控制安全配置程序安全配置程序数据的安全数据的安全EFSIPSecSSL/TLSTCP/IPKerberos证书服务智能卡安全模板组策略权限控制安全分析安全策略组权限NTLM安全管理与维护安全管理与维护保护注册表用户管理漏洞与补丁数据备份Win2000基本安全注意事项基本安全注意事项用用户身份身份验证交互式登交互式登录使用域使用域帐号号使用本地使用本

19、地计算机算机帐户网网络身份身份验证KerberosV5KerberosV5NTLMNTLM验证安全套接字安全套接字层/传输层安全（安全（SSL/TLSSSL/TLS）NTLM验证实例例(1)A向向B发起起连接接请求求(2)B向向A发送挑送挑战(一一组随机数据随机数据)(3)A用源自明文口令的用源自明文口令的DESKEY对挑挑战进行行标准准DES加密加密得到响得到响应，并，并发往往B(4)B从从SAM中中获取取A的的LM Hash、NTLM Hash，计算出算出DESKEY，并，并对前面前面发往往A的挑的挑战进 行行标准准DES加密加密(5)如果如果(4)中中计算算结果与果与A送送过来的响来的响

20、应匹配，匹配，A被允被允许访问B使用使用NTLMNTLM的配置的配置 Windows 2000 Professional 客客户端向端向 Windows NT 4.0 的域控制器的域控制器验证身份身份Windows NT 4.0 Workstation 客客户端向端向 Windows 2000 域控制器域控制器验证身份身份Windows NT 4.0 Workstation 客客户端向端向 Windows NT 4.0 域控制器域控制器验证身份身份Windows NT 4.0 域中的用域中的用户向向 Windows 2000 域域验证身份。身份。智能卡身份智能卡身份验证什么是智能卡什么是智能卡

21、智能卡智能卡读取器取器用智能卡登用智能卡登录计算机算机KerberosV5KerberosV5工作原理工作原理KDCTGTTGSTGTSTKerberos V5用于处理用户或系统身份的身份验证的Internet标准安全协议请求的网络ST为什么需要什么需要证书机构机构Alice 使用使用Bob公钥加密公钥加密Bob 使用本身私钥解密使用本身私钥解密如何确定公钥为真？如何确定公钥为真？从网上获得从网上获得 Bob 公钥公钥证书的概念的概念证书将公将公钥安全地安全地绑定到持有相定到持有相应私私钥的的实体中。体中。证书由由颁发证书的机构的机构进行数字行数字签名，并名，并且可被管理以便用于用且可被管理以

22、便用于用户、计算机或服算机或服务。被最广泛接受的被最广泛接受的证书格式由格式由ITU-TX.509ITU-TX.509国国际标准定准定义。使用独立机构安全的第三方CA证书验证CA1、发送请求2、验证信息3、使用CA私有密钥对对方公钥签名4、出版证书作为安全信任Alice 使用使用Bob公钥加密公钥加密Bob 使用本身私钥解密使用本身私钥解密证书服服务SSLSSL安全机制安全机制SSLSSL（加密套接字（加密套接字协议层）位于）位于HTTPHTTP层和和TCPTCP层之之间，建立用，建立用户与服与服务器之器之间的加密通信，确保所的加密通信，确保所传递信息的安全性。使用信息的安全性。使用SSLSS

23、L安全机制安全机制时，首先客，首先客户端与服端与服务器建立器建立连接，服接，服务器把它的数字器把它的数字证书与公共密与公共密钥一一并并发送送给客客户端，客端，客户端随机生成会端随机生成会话密密钥，用从服，用从服务器得到的公共密器得到的公共密钥对会会话密密钥进行加密，并把会行加密，并把会话密密钥在网在网络上上传递给服服务器，而会器，而会话密密钥只有在服只有在服务器端用私人密器端用私人密钥才能解密，才能解密，这样，客，客户端和服端和服务器端器端就建立了一个唯一的安全通道就建立了一个唯一的安全通道。身身 份份 认认 证证访问控制访问控制安全配置程序安全配置程序数据的安全数据的安全EFSIPSecSS

24、L/TLSTCP/IPKerberos证书服务智能卡安全模板组策略权限控制安全分析安全策略组权限NTLM安全管理与维护安全管理与维护保护注册表用户管理漏洞与补丁数据备份Win2000基本安全注意事项基本安全注意事项访问控制控制NTFSNTFS与与FATFAT分区文件属性分区文件属性文件文件权限限用用户权限限权限控制原限控制原则网网络访问控制控制NTFS与与FAT分区分区权限限FAT32NTFS文件文件权限限用用户权限限Administrators 组组Users 组组Power Users 组组Backup Operators组组Administrators 组权组权限限安装操作系安装操作系统

25、和和组件（例如硬件件（例如硬件驱动程序、系程序、系统服服务等等）等等）。安装安装 ServicePacksServicePacks和和 WindowsPacksWindowsPacks。升升级操作系操作系统。修复操作系修复操作系统。配置关配置关键操作系操作系统参数（例如密参数（例如密码策略、策略、访问控制、控制、审核核策略、内核模式策略、内核模式驱动程序配置等等）。程序配置等等）。获取已取已经不能不能访问的文件的所有的文件的所有权。管理安全措施和管理安全措施和审核日志。核日志。备份和份和还原系原系统USERSUSERS组权限限用用户不能修改系不能修改系统注册表注册表设置，操作系置，操作系统文件

26、或程序文件。文件或程序文件。用用户可以关可以关闭工作站不能关工作站不能关闭服服务器器可以可以创建本地建本地组，但只能修改自己，但只能修改自己创建的本地建的本地组他他们可以运行由管理可以运行由管理员安装和配置的安装和配置的 Windows2000Windows2000认可可的程序的程序对自己的所有数据文件自己的所有数据文件(%(%userprofileuserprofile%)%)和自己的那一和自己的那一部分注册表部分注册表(HKEY_CURRENT_USER)HKEY_CURRENT_USER)有完全的控制有完全的控制权。用用户无法安装其他用无法安装其他用户运行的程序运行的程序不能不能访问其他

27、用其他用户的私人数据或桌面的私人数据或桌面设置置POWERUSERSPOWERUSERS组权限限可以运行一些安全性不太可以运行一些安全性不太严格的格的应用程序用程序 安装不修改操作系安装不修改操作系统文件并且不需要安装系文件并且不需要安装系统服服务的的应用用程序程序 自定自定义系系统资源，包括打印机、日期源，包括打印机、日期/时间、电源源选项和和其他控制面板其他控制面板资源。源。创建和管理本地用建和管理本地用户帐户和和组 启启动或停止默或停止默认情况下不启情况下不启动的服的服务。超超级用用户没有将自己添加到管理没有将自己添加到管理员组的的权限限不能不能访问在在 NTFSNTFS卷上的其他用卷上

28、的其他用户的数据的数据Backup Operators 组组可以可以备份和份和还原原计算机上的文件，而不管保算机上的文件，而不管保护这些文件的些文件的权限如何。限如何。可以登可以登录到到计算机和关算机和关闭计算机，但不能更改安算机，但不能更改安全性全性设置。置。备份和份和还原数据文件和系原数据文件和系统文件都需要文件都需要对这些文些文件的件的读写写权限。限。权限控制原限控制原则和特点和特点11权限是累限是累计22拒拒绝的的权限要比允限要比允许的的权限高限高33文件文件权限比文件限比文件夹权限高限高44利用用利用用户组来来进行行权限控制限控制55权限的最小化原限的最小化原则网网络访问控制控制身身

29、 份份 认认 证证访问控制访问控制安全配置程序安全配置程序数据的安全数据的安全EFSIPSecSSL/TLSTCP/IPKerberos证书服务智能卡安全模板组策略权限控制安全分析安全策略组权限NTLM安全管理与维护安全管理与维护保护注册表用户管理漏洞与补丁数据备份Win2000基本安全注意事项基本安全注意事项EFSEFS加密文件系加密文件系统特性：特性：1 1、采用、采用单一密一密钥技技术2 2、核心文件加密技、核心文件加密技术仅用于用于NTFSNTFS，使用，使用户在在本地本地计算机上安全存算机上安全存储数据数据3 3、加密用、加密用户使用透明，其他用使用透明，其他用户被拒被拒4 4、不能

30、加密、不能加密压缩的和系的和系统文件，加密后不能文件，加密后不能被共享、能被被共享、能被删除除建议加密文件夹，不要加密单独的文件建议加密文件夹，不要加密单独的文件建议加密文件夹，不要加密单独的文件建议加密文件夹，不要加密单独的文件EFS恢复代理恢复代理故障恢复代理就是故障恢复代理就是获得授得授权解密由其他用解密由其他用户加密加密的数据的管理的数据的管理员必必须进行数据恢复行数据恢复时，恢复代理可以从安全的存，恢复代理可以从安全的存储位置位置获得数据恢复得数据恢复证书导入系入系统。默默认的超的超级管理管理员就是恢复代理就是恢复代理使用条件：当加密密使用条件：当加密密钥丢失失v通道通道 将一个数据

31、报用一个新的数据报封装将一个数据报用一个新的数据报封装Security Parameter Index,IP Destination Address,Security Protocol v 安全关联安全关联(SA)SA就是两个就是两个IPSec系统之间的一个单向逻辑系统之间的一个单向逻辑连接连接v 32比特，用于标识具有相同IP地址和相同安全协议的不同SA。v 可以是普通IP地址，也可是广播或者组播地址v 可以是AH或者ESP负 载IP头部IP头部负 载IP头部IPSec概念v 身份身份认证报头AHAH协议 提供数据源身份提供数据源身份认证、数据完整性保、数据完整性保护v 负载安全封装安全封装

32、ESPESP协议提供数据保密、数据源身份提供数据保密、数据源身份认证、数据完整性、数据完整性v 因特网安全关因特网安全关联和密和密钥管理管理协议IKE(IKE(以前被叫以前被叫ISAKMP/Oakley)ISAKMP/Oakley)提供自提供自动建立安全关建立安全关联和管理密和管理密钥的功能的功能IPSec组件IPsecIPsec的的传输模式模式默默认配置，提供点到点的安全配置，提供点到点的安全IPsecIPsec的隧道模式的隧道模式数据的封装、数据的封装、发送和拆封称送和拆封称为隧道，在隧道，在路由器两端配置保路由器两端配置保护路由路由间的通的通讯IPsecIPsec工作模式工作模式IPse

33、c工作模式IPSecIPSec的配置和使用的配置和使用IPSecIPSec的安全性的安全性使用使用IPSecIPSec可以避免数据包被跟听、可以避免数据包被跟听、篡改。改。安装安装IPSecIPSec后后,客客户端和服端和服务器端都会消耗一定器端都会消耗一定资源来源来对数据加密数据加密/解密。解密。如果使用如果使用IPSecIPSec考考虑安全性的安全性的级别还要考要考虑IPSecIPSec策略的策略的过滤器配置个数。器配置个数。练习用用user加密一个文件。加密一个文件。设置置IPSec策略，禁止策略，禁止Ping.建立一个建立一个证书颁发机构，机构，颁发一个普通用一个普通用户证书身身 份份

34、 认认 证证访问控制访问控制安全配置程序安全配置程序数据的安全数据的安全EFSIPSecSSL/TLSTCP/IPKerberos证书服务智能卡安全模板组策略权限控制安全分析安全策略组权限NTLM安全管理与维护安全管理与维护保护注册表用户管理漏洞与补丁数据备份Win2000基本安全注意事项基本安全注意事项本地安全策略本地安全策略-帐号策略号策略*在在账户策略策略-密密码策略中策略中设定：定：密密码复复杂性要求性要求 启用启用密密码长度最小度最小值66位位强制密制密码历史史55次次最最长存留期存留期3030天天*在在账户策略策略-账户锁定策略中定策略中设定：定：账户锁定定33次次错误登登录锁定定

35、时间2020分分钟复位复位锁定定计数数2020分分钟 本地安全策略本地安全策略-本地策略本地策略审核策略：决定核策略：决定记录在在计算机（成功算机（成功/失失败的的尝试）的安）的安全日志上的安全事件。全日志上的安全事件。用用户权利分配：决定在利分配：决定在计算机上有登算机上有登录/任任务特特权的用的用户或或组。安全安全选项：启用或禁用：启用或禁用计算机的安全算机的安全设置，例如数据的置，例如数据的数字信号、数字信号、administratoradministrator和和guestguest的的帐号名、号名、软驱和光和光盘的的访问、驱动程序的安装以及登程序的安装以及登录提示。提示。组策略策略安

36、全模板与配置分析工具安全模板与配置分析工具安全模板安全模板安全配置分析安全配置分析配置配置计计算机算机预定定义安全模板安全模板默默认工作站工作站(basicwk.inf)默默认服服务器器(basicsv.inf)默默认域控制器域控制器(basicdc.inf)兼容工作站或服兼容工作站或服务器器(compatws.inf)安全工作站或服安全工作站或服务器器(securews.inf)高度安全工作站或服高度安全工作站或服务器器(hisecws.inf)专用域控制器用域控制器(dedicadc.inf)安全域控制器安全域控制器(securedc.inf)高度安全域控制器高度安全域控制器(hisecd

37、c.inf)IISIIS的安全配置的安全配置安装安装IISIIS注意事注意事项WebWeb站点站点主目主目录目目录安全性安全性 安装安装IISIIS注意事注意事项选择安装安装组件件INTERNETINTERNET服服务管理器管理器INTERNETINTERNET服服务管理器（管理器（HTMLHTML）WORLDWIDEWEBWORLDWIDEWEB服服务器器公用文件公用文件文档文档文件文件传输（FTPFTP）服）服务器器避免安装在主域控制器上避免安装在主域控制器上 删除除inetpubinetpub下的下的scriptsscripts目目录IIS工具工具Tool IIS Lock Tool具有

38、以下功能和特点：具有以下功能和特点：帮助管理帮助管理员设置置 IIS安全性；安全性；此工具可以在此工具可以在4 IIS4和和 IIS5上使用；上使用；帮助管理帮助管理员去掉去掉对本网站不必要的一些服本网站不必要的一些服务，使，使 IIS在在满足本网站需求的情况下运行最少的服足本网站需求的情况下运行最少的服务下下载地址地址 sp?ReleaseID sp?ReleaseID=33961=33961IE的安全的安全设置置常常规安全安全高高级身身 份份 认认 证证访问控制访问控制安全配置程序安全配置程序数据的安全数据的安全EFSIPSecSSL/TLSTCP/IPKerberos证书服务智能卡安全模

39、板组策略权限控制安全分析安全策略组权限NTLM安全管理与维护安全管理与维护保护注册表用户管理漏洞与补丁数据备份Win2000基本安全注意事项基本安全注意事项用用户管理管理更改超更改超级管理名称管理名称取消取消guestguest帐号号合理分配其它用合理分配其它用户权限限Regedit与与Regedt32的区的区别regeditregedt32使用使用较新的新的Windows 9x/me用用户界面界面使用使用较早的早的windows3.1用用户界面界面可搜索：可搜索：键名、名、值名、名、值内容内容只能搜索只能搜索键名名可以搜索并可以搜索并编辑远程注册表程注册表可以搜索并可以搜索并编辑远程注册表程

40、注册表在一个窗口中在一个窗口中显示整个注册表示整个注册表对每一控制每一控制项显示各自的窗口示各自的窗口可以可以导出、出、导入文本文件入文本文件可以可以导出但不能出但不能导入文本文件入文本文件不能不能导出或出或导入二入二进制文件制文件可以可以导出并出并导入二入二进制文件制文件不能提供不能提供“只只读”模式模式提供提供“只只读”模式，但不作模式，但不作为缺省形缺省形式式不提供安全特性不提供安全特性支持完整的支持完整的Windows NT/2000访问控制和控制和审计存放在存放在winnt文件文件夹里里存放在存放在winntsystem32文件里文件里只完全支持只完全支持Windows 9x/me

41、注册注册表数据表数据类型（字符串、二型（字符串、二进制、制、DWORD）支持全部支持全部Windows NT/2000注册表注册表数据数据类型型/字符串、二字符串、二进制、制、DWORD、多字符串、可、多字符串、可扩展字符串、展字符串、资源描述源描述注册表安全注册表安全设置置不不显示上次登示上次登录的用的用户名名禁止默禁止默认网网络共享共享禁止枚禁止枚举域内用域内用户防范防范SYNSYN攻攻击不不显示上次登示上次登录用用户名名HKLMSoftwareMicrosoftWindows HKLMSoftwareMicrosoftWindows NTCurrentVersionsWindlogonN

42、TCurrentVersionsWindlogon将将DontDisplayLastUserNameDontDisplayLastUserName的值设为的值设为1 1删除默除默认网网络共享共享服服务器器:Key:HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersName:AutoShareServerType:DWORDValue:0工作站：工作站：Key:HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersName:AutoShareWksType:DWORDVal

43、ue:0禁止枚禁止枚举用用户名和共享名和共享Key:HKLMSYSTEMCurrentControlSetControlLsaName:RestrictAnonymousType:REG_DWORDValue:1|2备份和份和还原数据原数据将文件将文件备份到文件或磁份到文件或磁带备份份“系系统状状态”数据数据使用使用备份向份向导备份文件份文件计划划备份份将文件将文件备份到份到MicrosoftExchangeMicrosoftExchange系系统漏洞及修复漏洞及修复 输入法漏洞入法漏洞 空会空会话漏洞漏洞 unicodeunicode漏洞漏洞.idaida/./.idqidq缓冲区溢出漏洞冲

44、区溢出漏洞.printprintisapiisapi扩展展远程程缓冲区溢出冲区溢出 FrontpageFrontpage 服服务器器扩展漏洞展漏洞 sqlserversqlserver 空口令空口令Windows接口接口远程程缓冲区漏洞冲区漏洞 练习将默将默认共享共享删除。除。安全地配置安全地配置IIS。设置禁止空会置禁止空会话。合理管理用合理管理用户并并设置用置用户权限。限。为什么要介什么要介绍windows NT安全安全Windows NT体系体系统构架构架Windows NT安全模型安全模型Windows NT安全配置安全配置Windows NT的的审计分析分析Windows系系统安全配

45、置安全配置安全安全审核与日志核与日志审计成功：可以确定用成功：可以确定用户或服或服务获得得访问指定文件、指定文件、打印机或其他打印机或其他对象的象的频率率审计失失败：警告那些可能：警告那些可能发生的安全泄漏生的安全泄漏访问文件文件夹的的审核核审核策略核策略安全事件安全事件查看并分析看并分析windowsNT日志日志系系统统日志日志 跟踪各种各跟踪各种各样样的系的系统统事件，比如跟踪系事件，比如跟踪系统统启启动过动过程中的事件或者硬件程中的事件或者硬件和控制器的故障。和控制器的故障。应应用程序日志用程序日志 跟踪跟踪应应用程序关用程序关联联的事件，比如的事件，比如应应用程序用程序产产生的象装生的

46、象装载载 DLL （动态链动态链接接库库）失）失败败的信息将出的信息将出现现在日志中。在日志中。安全日志安全日志 跟踪事件如登跟踪事件如登录录上网、下网、改上网、下网、改变访问权变访问权限以及系限以及系统统启启动动和关和关闭闭。注。注意：安全日志的默意：安全日志的默认认状状态态是关是关闭闭的。的。日志日志Internet信息服信息服务 FTP日志默日志默认位置：位置：%systemroot%/system32logfiles/msftpsvc1 默默认每每天一个日志天一个日志Internet 信息服信息服务WWW 日志默日志默认位置：位置：%systemroot%/system32/logfi

47、les/w3svc1，默，默认每每天一个日志天一个日志FTP 日志和日志和WWW 日志文件名通常日志文件名通常为ex（年份）（月（年份）（月份）（日期），例如份）（日期），例如ex001023 就是就是2000 年年10 月月23 日日产生的日志，用生的日志，用记事本就可直接打开事本就可直接打开Scheduler服服务日志默日志默认位置：位置：%systemroot%/schedlgu.txt日志分析日志分析FTP日志分析，日志分析，如下例：如下例：#Software:Microsoft Internet Information Services 5.0（微（微软IIS5.0）#Version

48、:1.0（版本（版本1.0）#Date:20001023 03:11:55（服（服务启启动时间日期）日期）03:11:55 127.0.0.1 1USER administator-331（IP地址地址为127.0.0.1 用用户名名为administator 试图登登录）03:11:58 127.0.0.1 1PASS -530（登（登录失失败）03:12:04 127.0.0.1 1USER nt-331（IP地址地址为用用户名名为 nt的用的用户试图登登录）03:12:06 127.0.0.1 1PASS-530 （登（登录失失败）03:12:32 127.0.0.1 1USER adm

49、inistrator-331（IP地址地址为127.0.0.1 用用户名名为administrator 试图登登录）03:12:34 127.0.0.1 1PASS 230（登（登录成功）成功）（登（登录成功）成功）03:12:41 127.0.0.1 1MKD nt 550（新建目（新建目录失失败）03:12:45 127.0.0.1 1QUIT 550（退出（退出FTP 程序）程序）日志分析日志分析http日志日志#Software:Microsoft Internet Information Services 5.0#Version:1.0#Date:2003-08-11 05:30:3

50、2#Fields:date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status cs(User-Agent)2003-08-11 05:30:32 192.168.2.143-192.168.2.143 80 GET/scripts/.%5c.%5cwinnt/system32/cmd.exe/c+dir+c:200 Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)2003-08-11 07:24:01 192.168.2.143-19