01Windows安全策略与审计
WindowsServer 2008作为微软公司Windows系列比较常用的服务器操作系统,在系统中设置很多安全和审计策略,以此来监控并防御各项具备可疑动机的行为。使用者可通过配置WindowsServer 2008的账户策略、本地策略、审计策略和IE的增强安全策略全面地提升系统的安全性能。
账户策略为用户的安全登录提供了保障,它包括密码策略和账户锁定策略。其中,在密码策略中,使用者可设置密码的长度、使用的期限和修改的情况等;在账户锁定策略中,使用者可设置账户锁定的时间和锁定的阈值等。
本地策略详细设置全局管控。其中,使用者可对登录事件、对象访问、账户登录和驱动程序等进行管控。
审计策略获取并存储系统和应用程序生成的错误警告和其他信息,这些信息被存储为一条条记录,每条记录包括事件发生时间、事件源、事件号和所属类别、机器名、用户名和事件本身的详细描述。
Windows Server 2008系统加强了IE的安全性,它配置了一些定义用户如何浏览Internet和企业内部网站的安全设置。此配置还能提高系统的隐蔽性,从而减少某些网站对服务器构成的安全隐患
02Windows注册表的安全维护
注册表是Windows操作系统中的一个核心数据库,存储着系统和应用程序的数据信息,直接控制着Windows操作系统的启动、硬件驱动的装载和应用程序的运行,因此,掌握正确的注册表安全维护方式是至关重要的。注册表由五个系统定义的配置单元组成,它们分别是HKEY_CLASSES_ROOT、HKEY_CURRENT_USER、HKEY_LOCAL_MACHINE、HKEY_USERS和HKEY_CURRENT_CONFIG。
HKEY_CLASSES_ROOT配置单元包含了当前已在计算机上注册的所有COM服务器和与应用程序相关联的所有文件扩展名,这些信息是“HKEY_LOCAL_MACHINEOFTWAREClasses”子项的映射;HKEY_CURRENT_USER配置单元包含了当前登录到由这个注册表服务的计算机上的用户的配置文件,其子项包含着环境变量、个人程序组、桌面设置、网络连接、打印机和应用程序首选项,这些信息是“HKEY_USERS”配置单元当前登录用户的Security ID子项的映射;HKEY_LOCAL_MACHINE配置单元包含了操作系统及硬件等相关信息;HKEY_USERS配置单元包含了当前计算机上所有的用户配置文件;HKEY_CURRENT_CONFIG配置单元包含了当前会话的所有硬件配置信息,它允许为 一 个 指 定 会 话 行 为 选 择 特 定 的驱动程序,是“HKEY_LOCAL_MACHINESYSTEMCurrentControlSet”子项的映射
windows安全加固
组策略 服务卸载 icmp攻击
微软公司从多方面对Windows操作系统采取了安全加固措施,以此来提升Windows操作系统的安全性。在Windows下,使用者通过配置“本地计算机”策略,可以对Telnet服务、驱动盘符、IE和ping攻击进行管控,这有效地阻止了入侵者的恶意攻击行为。
Telnet协议是TCP/IP协议族中的一个,是Internet登录服务的标准协议,为用户提供了在本地计算机上完成远程主机工作的能力。要开始一个Telnet会话,必须输入用户名和密码来登录远程主机。Telnet已成为远程控制Web服务器的常用方法之一。
驱动器即磁盘驱动器,单击“Windows资源管理器”或“我的电脑”中相应的图标即可查看驱动器的内容。
Ping是一个命令,被用来测试数据包能否通过IP协议到达特定主机。它的运作原理是向目标主机发送一个ICMP数据包,并等待接收响应数据包。程序会按时间和成功响应的次数估算数据包的丢失率和数据包往返时间
任务一 删除Telnet服务
【开始】——【管理工具】——【服务】
选中Telnet服务,右键属性 在常规里将启动类型改为手动,选中Telnet,右键选择启动
在命令提示符中输入
sc qc tlntsvr:查看tlntsvr服务的配置信息
sc stop tlntsvr :用来停止Telnet服务,这时返回服务页面,刷新会发现服务已停止
sc delete tlntsvr :将tlntsvr服务在服务列表中删除 再次刷新,发现服务已经被屏蔽
任务二 隐藏驱动器
【开始】——【运行】输入gpedit.msc 来打开组策略页面
【用户配置】——【管理模板】——【windows组件】——【windows资源管理器】
找到“隐藏‘我的电脑’中的这些指定的驱动器”,邮件鼠标选择“属性”,在【设置】选项卡中选择“已启用”,在下拉框中选择“限制所有驱动器”,点击【确定】,即可删除“我的电脑”中的所有驱动器
双击“我的电脑”发现c盘驱动器已经被隐藏
任务三 禁止更改IE主页
任务四 禁止ping攻击
Windows系统服务配置
禁用80.20.25端口之外的其他端口的通讯
在windows2003-server依次点击——开始——控制面板——网络连接——本地连接
单击本地连接,点击“属性”
在本地连接属性的常规栏中,选中Internet协议(tcp/ip)点击属性按钮,如图所示,并在Internet协议(tcp/ip)属性对话框中点击“高级”按钮,
再在弹出的高级TCP对话框中,选择“选项栏”并单击属性
弹出tcp/ip筛选对话框后,勾选上“启用tcp/ip”筛选(所有适配器)前的勾,再在“TCP端口”上面选择“只允许”然后点击添加,填上80,点击确定
再用同样的方法添加“21”和“25”,设置完成后,需要重启计算机
打开“程序|管理工具|服务”,找到“Termimal Servers”服务并双击,如图12,13所示,并把启动类型改为“已禁用”,点击“确定”。
单击“开始|运行”,输入“cmd”打开命令窗体;输入“ipconfig/all”查看网络设置,用“ipconfig/all>c:ipconfig.txt”可以把配置情况写到c:ipconfig.txt文件中
在cmd窗口输入“netstat -na”可以查看当前端口开放情况,用“netstat -na>network.txt”可以把情况写入“network.txt”文件(文件存放在当前路径下)。
实验完毕,关闭虚拟机和所有
mstsc :用来远程连接
新建一个用户,并使其具有远程访问权限
在pc端新添加一个管理员用户,例如lyly 设置密码123456
然后在pc端使用mstsc登录服务器,账号Administrator,密码123456
登录之后在【开始】——【管理工具】——【计算机管理】 找到本地用户和组
退回到PC端,输入mstsc,打开远程连接
选择是
输入我们刚才创建的用户及密码
成功登录
