2Windows系统安全加固

《2Windows系统安全加固》由会员分享，可在线阅读，更多相关《2Windows系统安全加固（119页珍藏版）》请在装配图网上搜索。

1、项目项目2 2 WindowsWindows系统安全加固系统安全加固项目项目1 1 双机互连对等网络的组建双机互连对等网络的组建 u 操作系统的安全防护研究通常包括以下几个方面的内容。操作系统的安全防护研究通常包括以下几个方面的内容。(1)(1)操作系统本身提供的安全功能和安全服务。操作系统本身提供的安全功能和安全服务。目前的操作系统本目前的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务。身往往要提供一定的访问控制、认证与授权等方面的安全服务。(2)(2)针对各种常用的操作系统，进行相关配置，使之能正确对付和针对各种常用的操作系统，进行相关配置，使之能正确对付和防御各种入侵。

2、防御各种入侵。(3)(3)保证操作系统本身所提供的网络服务能得到安全配置。保证操作系统本身所提供的网络服务能得到安全配置。u 只有经过授权的用户或代表该用户运行的进程才能读、写、创只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。建或删除信息。操作系统安全的概念操作系统安全的概念一、一、WINDOWS WINDOWS密码设置实训密码设置实训l windowswindows系统的安全审计和安全配置系统的安全审计和安全配置 用户身份验证用户身份验证 u 帐户的管理帐户的管理(设置各级帐户和密码）设置各级帐户和密码）P196P196u 帐户安全防护帐户安全防护 P204P204u

3、帐户安全策略帐户安全策略 P206P206 基于对象的访问控制基于对象的访问控制 P194P194l windowswindows系统的注册表系统的注册表 P209P209l windowswindows系统常用的系统进程和服务的安全配置系统常用的系统进程和服务的安全配置 P220P220为提高计算机WINDOWS操作系统的安全性，可作哪些安全配置？（小组讨论，总结）3分钟一、一、WINDOWS WINDOWS密码设置实训密码设置实训XPXP与与SERVERSERVERu 设置设置BIOSBIOS开机密码开机密码u 设置设置WINDOWSWINDOWS登录密码登录密码u 设置屏幕保护密码设置屏

4、幕保护密码 u 账户数据库密码账户数据库密码(syskey)(syskey)为防止别人非法使用你的计算机系统，可设置哪些密码？（小组讨论）3分钟帐户的管理(设置各级帐户和密码）P196一、一、什么样的密码才安全？什么样的密码才安全？u下面列出几种最危险的密码，请千万不要使用。下面列出几种最危险的密码，请千万不要使用。1 1）密码和用户名相同。密码和用户名相同。2 2）密码为用户名中的某几个邻近的数字或字母。密码为用户名中的某几个邻近的数字或字母。3 3）密码为连续或相同的数字或字母。密码为连续或相同的数字或字母。4)4)将用户名颠倒或加前后缀作为密码。将用户名颠倒或加前后缀作为密码。5 5）使

5、用姓氏的拼音或英文名字作为密码。使用姓氏的拼音或英文名字作为密码。6 6）使用自己或亲友的生日作为密码。使用自己或亲友的生日作为密码。7 7）使用常用英文单词作为密码。使用常用英文单词作为密码。8)8)使用使用6 6位以下的数字或英文字母作为密码位以下的数字或英文字母作为密码.6.3 6.3 账户管理与密码安全账户管理与密码安全 P196P196u账户与密码的使用通常是许多系统预设的防护账户与密码的使用通常是许多系统预设的防护措施。事实上，有许多用户的密码是很容易被措施。事实上，有许多用户的密码是很容易被猜中的，或者使用系统预设的密码、甚至不设猜中的，或者使用系统预设的密码、甚至不设密码。密码

6、。u用户应该要避免使用不当的密码、系统预设密用户应该要避免使用不当的密码、系统预设密码或是使用空白密码，也可以配置本地安全策码或是使用空白密码，也可以配置本地安全策略要求密码符合安全性要求。略要求密码符合安全性要求。(英文大小写、数英文大小写、数字、特殊字符，字、特殊字符，8 8位以上）位以上）小组为单位，讨论并配置小组为单位，讨论并配置5 5种密码种密码（以（以XPXP或或SERVERSERVER为例）为例）u设置进入设置进入BIOSBIOS的密码的密码u系统开机密码系统开机密码uWINDOWSWINDOWS登录密码登录密码u屏幕保护密码屏幕保护密码u保护保护WINDOWSWINDOWS帐户

7、数据库安全密码帐户数据库安全密码u做一个启动做一个启动U U盘盘要求：小组内分工，每组同学要设置上述密码，并要求：小组内分工，每组同学要设置上述密码，并进行拷屏进行拷屏,文件名为：组名第文件名为：组名第6 6章作业章作业1.DOC1.DOC。任务任务1 1：密码安全配置：密码安全配置 P197P1971.1.任务目标任务目标 (1)(1)了解操作系统密码安全的重要性。了解操作系统密码安全的重要性。(2)(2)掌握密码安全配置的方法。掌握密码安全配置的方法。2.2.任务内容任务内容 (1)(1)设置开机或设置开机或BIOSBIOS密码密码 (2)(2)设置用户账户策略。设置用户账户策略。(3)(

8、3)设置用户账户锁定策略。设置用户账户锁定策略。3.3.完成任务所需的设备和软件完成任务所需的设备和软件u 装有装有Windows Server 2003Windows Server 2003操作系统的操作系统的PCPC机机1 1台，或台，或Windows Windows Server 2003Server 2003虚拟机虚拟机1 1台。台。用虚拟机设置用虚拟机设置BIOSBIOS开机密码开机密码u运行虚拟机运行虚拟机VM-POWER-POWER ON TO BIOSVM-POWER-POWER ON TO BIOSuSet Supervisor PasswordSet Supervisor

9、Password超级用户口令超级用户口令uSet User PasswordSet User Password一般用户口令一般用户口令uSave&Exit SetupSave&Exit Setup2.2.添加添加WONDOWSWONDOWS用户密码，设置密码策略用户密码，设置密码策略(1)(1)用户用户添加管理员用户添加管理员用户（2 2）设置用户账户策略）设置用户账户策略u 步骤步骤1 1：选择：选择“开始开始”“程序程序”“管理工具管理工具”“本地安本地安全策略全策略”命令，打开命令，打开“本地安全设置本地安全设置”窗口，在左侧窗格中，窗口，在左侧窗格中，选择选择“安全设置安全设置”“账户

10、策略账户策略”“密码策略密码策略”选项，如图选项，如图2-142-14所示。所示。u 步骤步骤2 2：双击右侧窗格中的：双击右侧窗格中的“密码长度最小值密码长度最小值”策略选项，打开策略选项，打开“密码长度最小值密码长度最小值 属性属性”对话框，选择对话框，选择“本地安全设置本地安全设置”选项选项卡，设置密码必须至少是卡，设置密码必须至少是6 6个字符，如图个字符，如图2-152-15所示，单击所示，单击“确定确定”按钮，返回按钮，返回“本地安全设置本地安全设置”窗口。窗口。u步骤步骤3 3：在图：在图2-142-14中，双击右侧窗格中的中，双击右侧窗格中的“密码最短密码最短使用期限使用期限”

11、策略选项，打开策略选项，打开“密码最短使用期限密码最短使用期限 属属性性”对话框，设置对话框，设置“在以下天数后可以更改密码在以下天数后可以更改密码”为为3 3天，如图天，如图2-162-16所示，单击所示，单击“确定确定”按钮，返回按钮，返回“本本地安全设置地安全设置”窗口。窗口。u 步骤步骤4 4：同理，设置：同理，设置“密码最长使用期限密码最长使用期限”为为“1414”天，设置天，设置“强制密码历史强制密码历史”为为“1010”个记住的密码，设置个记住的密码，设置“密码必须符合密码必须符合复杂性要求复杂性要求”为为“已启用已启用”。上述设置完成后的密码策略如图。上述设置完成后的密码策略如

12、图2-172-17所示。所示。(2)(2)设置用户账户锁定策略设置用户账户锁定策略u 用户账户锁定策略可以防止非法入侵者不断地猜测用户的账户用户账户锁定策略可以防止非法入侵者不断地猜测用户的账户密码。密码。u 步骤步骤1 1：在图：在图2-172-17中，选择左侧窗格中的中，选择左侧窗格中的“账户锁定策略账户锁定策略”选项，选项，在右侧窗格中显示了账户锁定策略的三个策略项，如图在右侧窗格中显示了账户锁定策略的三个策略项，如图2-182-18所所示。示。u步骤步骤2 2：双击右侧窗格中的：双击右侧窗格中的“账户锁定阈值账户锁定阈值”策略选策略选项，打开项，打开“账户锁定阈值账户锁定阈值 属性属性

13、”对话框，选择对话框，选择“本本地安全设置地安全设置”选项卡，设置选项卡，设置“在发生以下情况之后，在发生以下情况之后，锁定账户锁定账户”为为3 3次无效登录，如图次无效登录，如图2-192-19所示。所示。u步骤步骤3 3：单击：单击“确定确定”按钮，弹出按钮，弹出“建议的数值改动建议的数值改动”对话框，设置建议的对话框，设置建议的“账户锁定时间账户锁定时间”为为“3030分钟分钟”、“复位账户锁定计数器复位账户锁定计数器”为为“3030分钟之后分钟之后”，如图，如图2-2-2020所示，单击所示，单击“确定确定”按钮，完成账户锁定策略设置。按钮，完成账户锁定策略设置。防止内部人员破坏服务器

14、的一个屏障。注意不要防止内部人员破坏服务器的一个屏障。注意不要使用使用OpenGLOpenGL和一些复杂的屏幕保护程序浪费系和一些复杂的屏幕保护程序浪费系统资源，黑屏就可以了统资源，黑屏就可以了 。3设置屏幕保护密码设置屏幕保护密码 WINDOWS平台安全设置平台安全设置4.XP4.XP账户数据库密码账户数据库密码u 二重密码保护：二重密码保护：“启动密码启动密码”就是在系统启动是显示的，在重新启动系就是在系统启动是显示的，在重新启动系统后，首先出现的就是提示你输入统后，首先出现的就是提示你输入“启动密码启动密码”，输入了正确的密码后，输入了正确的密码后就会出现就会出现Windows XPWi

15、ndows XP的登录界面，输入用户名和密码后算是完全登录的登录界面，输入用户名和密码后算是完全登录系统。系统。u 1.1.设置启动密码设置启动密码开始开始运行运行”，输入，输入“Syskey”Syskey”命令，弹出命令，弹出“保证保证Windows Windows XPXP账户数据库安全账户数据库安全”-更新更新”。在。在“启动密码启动密码”界面中点选界面中点选“密码启动密码启动”单选框。单选框。u 2.2.取消这个系统启动密码，则取消这个系统启动密码，则在在“启动密码启动密码”界面中点选界面中点选“系统产生的密码系统产生的密码”下面的下面的“在本机上保存启动在本机上保存启动密码密码”，确

16、定后系统密码就会保存到硬盘上，在下次启动电脑时就不会，确定后系统密码就会保存到硬盘上，在下次启动电脑时就不会再出现启动密码的窗口了。再出现启动密码的窗口了。如果忘记了密码点办如果忘记了密码点办?(?(小组讨论、思考）小组讨论、思考）u如何清除进入物理机的如何清除进入物理机的BIOSBIOS设置的密码设置的密码?u如何清除物理开机密码如何清除物理开机密码?u如何探测如何探测WINDOWSWINDOWS登录密码？登录密码？相邻两小组实训相邻两小组实训:常用密码破解（常用密码破解（1010分钟）分钟）互换机器互换机器去破解别组设置的密码，并总结方法去破解别组设置的密码，并总结方法破解方法与工具破解方

17、法与工具 P198P198 L0phtcrack,WMICracker L0phtcrack,WMICracker等等 u BIOSBIOS口令的清除口令的清除u 由于由于SystemSystem级口令保护的是整个系统，在未正确输入口令时不能进入级口令保护的是整个系统，在未正确输入口令时不能进入系统，因而当任何系统，因而当任何“软软”方法都无法奏效时，只能用方法都无法奏效时，只能用“硬硬”方法解决方法解决。u 一般的主板在后备电池的附近都有一个一般的主板在后备电池的附近都有一个“Ext.Battery”Ext.Battery”、“CMOS CMOS Reset”Reset”或或“JCMOS”J

18、CMOS”的跳线，断开微机电源打开机箱，按照主板说明的跳线，断开微机电源打开机箱，按照主板说明书上的解说找到它，并将其中的两个脚短接数秒钟，然后将跳线恢复书上的解说找到它，并将其中的两个脚短接数秒钟，然后将跳线恢复原状，即可清除口令。有的主板还要求在放电短接状态开机才能彻底原状，即可清除口令。有的主板还要求在放电短接状态开机才能彻底清除清除BIOSBIOS设置数据，具体做法应该参照主板说明书上的叙述。设置数据，具体做法应该参照主板说明书上的叙述。用工具软件或命令（？）用工具软件或命令（？）WINDOWS WINDOWS 本地账户实训本地账户实训 P198-204 P198-204u用带工具用带

19、工具U U盘或光盘启动，破解盘或光盘启动，破解WINDOWS XPWINDOWS XP登录密码登录密码u帐户查看方法与工具帐户查看方法与工具 u使用使用L0phtCrack5L0phtCrack5审计审计Windows Server 2003Windows Server 2003本地账户实本地账户实训训u使用使用CainCain审计审计Windows Server 2003Windows Server 2003本地账户实训本地账户实训要求：要求：1.1.老师提供工具，小组内分工，每组同学要用上两个工具老师提供工具，小组内分工，每组同学要用上两个工具把查看到的本地账户密码信息进行拷屏把查看到的本

20、地账户密码信息进行拷屏,文件名为：组名文件名为：组名第第6 6章作业章作业2.DOC2.DOC。2.2.建议以小组为单位学会制作一个启动建议以小组为单位学会制作一个启动U U盘，如大白菜。盘，如大白菜。2.4 2.4 项目实施项目实施 (小组实训）小组实训）2062062.4.1 2.4.1 任务任务1:1:账户安全配置账户安全配置1.1.任务目标任务目标 (1)(1)了解操作系统账户安全的重要性。了解操作系统账户安全的重要性。(2)(2)掌握账户安全配置的方法。掌握账户安全配置的方法。2.2.任务内容任务内容 (1)(1)更改更改“AdministratorAdministrator”账户名

21、称。账户名称。(2)(2)创建一个陷阱账户。创建一个陷阱账户。(3)(3)不让系统显示上次登录的账户名。不让系统显示上次登录的账户名。3.3.完成任务所需的设备和软件完成任务所需的设备和软件装有装有Windows Server 2003Windows Server 2003操作系统的操作系统的PCPC机机1 1台，或台，或Windows Windows Server 2003Server 2003虚拟机虚拟机1 1台。台。4.4.任务实施步骤任务实施步骤(1)(1)更改更改“AdministratorAdministrator”账户名称账户名称u由于由于“AdministratorAdmini

22、strator”账户是微软操作系统的账户是微软操作系统的默认系统管理员账户，且此账户不能被停用，默认系统管理员账户，且此账户不能被停用，这意味着非法入侵者可以一遍又一遍地猜测这这意味着非法入侵者可以一遍又一遍地猜测这个账户的密码。个账户的密码。u将将“AdministratorAdministrator”重命名为其他名称，可以重命名为其他名称，可以有效地解决这一问题。有效地解决这一问题。u步骤步骤1 1：选择：选择“开始开始”“程序程序”“管理管理工具工具”“本地安全策略本地安全策略”命令，打开命令，打开“本本地安全设置地安全设置”窗口，如图窗口，如图2-12-1所示。所示。u 步骤步骤2 2

23、：在左侧窗格中，选择：在左侧窗格中，选择“安全设置安全设置”“本地策本地策略略”“安全选项安全选项”选项，在右侧窗格中，双击选项，在右侧窗格中，双击“账户：重命账户：重命名系统管理员账户名系统管理员账户”策略选项，打开如图策略选项，打开如图2-22-2所示的对话框，将所示的对话框，将系统管理员账户名称系统管理员账户名称“AdministratorAdministrator”改为一个普通的账户名改为一个普通的账户名称，如称，如“huanghuang”，而不要使用如，而不要使用如“AdminAdmin”之类的账户名称，单之类的账户名称，单击击“确定确定”按钮。按钮。u 步骤步骤3 3：更改完成后，

24、选择：更改完成后，选择“开始开始”“程序程序”“管理工管理工具具”“计算机管理计算机管理”命令，打开命令，打开“计算机管理计算机管理”窗口，在左窗口，在左侧窗格中，选择侧窗格中，选择“系统工具系统工具”“本地用户和组本地用户和组”“用户用户”选项，如图选项，如图2-32-3所示，默认的所示，默认的“AdministratorAdministrator”账户名称已被更账户名称已被更改为改为“huanghuang”。u 步骤步骤4 4：在图：在图2-32-3中，选择左侧窗格中的中，选择左侧窗格中的“组组”选项，然后双击选项，然后双击右侧窗格中的右侧窗格中的“AdministratorsAdmini

25、strators”组名，打开组名，打开“Administrators Administrators 属性属性”对话框，默认只有对话框，默认只有“AdministratorAdministrator”账户，如图账户，如图2-42-4所示。所示。选中选中“AdministratorAdministrator”账户，单击账户，单击“删除删除”按钮，将该账户删按钮，将该账户删除。除。u 步骤步骤5 5：在图：在图2-42-4中，单击中，单击“添加添加”按钮，打开按钮，打开“选择用户选择用户”对对话框，单击话框，单击“高级高级”按钮，再单击按钮，再单击“立即查找立即查找”按钮，双击对按钮，双击对话框底部

26、的话框底部的“huanghuang”选项，如图选项，如图2-52-5所示。此时，在所示。此时，在“输入对象输入对象名称来选择名称来选择”文本框中自动出现了已经重命名的管理员账户名文本框中自动出现了已经重命名的管理员账户名称，如称，如“TESThuangTESThuang”(计算机名计算机名 账户名账户名)，如图，如图2-62-6所示。所示。u步 骤步 骤 6 6：单 击：单 击“确 定确 定”按 钮 返 回按 钮 返 回“Administrators Administrators 属性属性”对话框，再单击对话框，再单击“确定确定”按钮完成系统管理员名称的更改。按钮完成系统管理员名称的更改。(2

27、)(2)创建一个陷阱账户创建一个陷阱账户u陷阱账户就是让非法入侵者误认为是管理员账户的非陷阱账户就是让非法入侵者误认为是管理员账户的非管理员账户。管理员账户。u默认的管理员账户默认的管理员账户“AdministratorAdministrator”重命名后，可以重命名后，可以创建一个同名的拥有最低权限的创建一个同名的拥有最低权限的“AdministratorAdministrator”账账户，并把它添加到户，并把它添加到“GuestsGuests”组组(“GuestsGuests”组的权限为组的权限为最低最低)中，再为该账户设置一个超过中，再为该账户设置一个超过2020位的超级复杂位的超级复杂

28、密码密码(其中包括字母、数字、特殊符号等字符其中包括字母、数字、特殊符号等字符)。u这样可以使非法入侵者需花费很长的时间才能破解密这样可以使非法入侵者需花费很长的时间才能破解密码，借此发现它们的入侵企图。码，借此发现它们的入侵企图。u 步骤步骤1 1：选择：选择“开始开始”“程序程序”“管理工具管理工具”“计算机计算机管理管理”命令，打开命令，打开“计算机管理计算机管理”窗口，在左侧窗格中，选择窗口，在左侧窗格中，选择“系统工具系统工具”“本地用户和组本地用户和组”“用户用户”选项，然后右击选项，然后右击“用户用户”选项，在弹出的快捷菜单中选择选项，在弹出的快捷菜单中选择“新用户新用户”命令，

29、打命令，打开开“新用户新用户”对话框，如图对话框，如图2-72-7所示。所示。u 步骤步骤2 2：在：在“用户名用户名”文本框中输入用户名文本框中输入用户名“AdministratorAdministrator”，在在“密码密码”和和“确认密码确认密码”文件框中输入一个较复杂的密码，文件框中输入一个较复杂的密码，单击单击“创建创建”按钮，再单击按钮，再单击“关闭关闭”按钮。按钮。u 步骤步骤3 3：右击新创建的用户名：右击新创建的用户名“AdministratorAdministrator”，在弹出的快捷，在弹出的快捷菜单中选择菜单中选择“属性属性”命令，打开命令，打开“Administrat

30、or Administrator 属性属性”对话对话框，选择框，选择“隶属于隶属于”选项卡，如图选项卡，如图2-82-8所示，从图中可见，所示，从图中可见，“AdministratorAdministrator”用户默认隶属于用户默认隶属于“UsersUsers”组。组。u 步骤步骤4 4：单击：单击“添加添加”按钮，打开按钮，打开“选择组选择组”对话框，如图对话框，如图2-92-9所示。所示。u 步骤步骤5 5：单击：单击“高级高级”按钮，再单击按钮，再单击“立即查找立即查找”按钮，双击对按钮，双击对话框底部的话框底部的“GuestsGuests”组名，如图组名，如图2-102-10所示。所

31、示。u 步骤步骤6 6：单击：单击“确定确定”按钮，返回按钮，返回“Administrator Administrator 属性属性”对话对话框，此时已添加了框，此时已添加了“GuestsGuests”组，如图组，如图2-112-11所示。所示。u 步骤步骤7 7：在图：在图2-112-11中，选中中，选中“UsersUsers”组名，单击组名，单击“删除删除”按钮，按钮，再单击再单击“确定确定”按钮。此时，按钮。此时，“AdministratorAdministrator”账户已设置为账户已设置为陷阱账户。陷阱账户。(3)(3)不让系统显示上次登录的账户名不让系统显示上次登录的账户名u默认情

32、况下，登录对话框中会显示上次登录默认情况下，登录对话框中会显示上次登录的账户名。这使得非法入侵者可以很容易地的账户名。这使得非法入侵者可以很容易地得到系统的一些账户名，进而做密码猜测，得到系统的一些账户名，进而做密码猜测，从而给系统带来一定的安全隐患。从而给系统带来一定的安全隐患。u可以设置登录时不显示上次登录的账户名，可以设置登录时不显示上次登录的账户名，来解决这一问题。来解决这一问题。u 步骤步骤1 1：在：在“本地安全设置本地安全设置”窗口的左侧窗格中，选择窗口的左侧窗格中，选择“本地策本地策略略”“安全选项安全选项”选项。选项。u 步骤步骤2 2：在右侧窗格中，找到并双击：在右侧窗格中

33、，找到并双击“交互式登录：不显示上次交互式登录：不显示上次的用户名的用户名”选项选项(如图如图2-122-12所示所示)，打开，打开“交互式登录：不显示交互式登录：不显示上次的用户名上次的用户名 属性属性”对话框，在对话框，在“本地安全设置本地安全设置”选项卡中，选项卡中，选中选中“已启用已启用”单选按钮，如图单选按钮，如图2-132-13所示，单击所示，单击“确定确定”按钮。按钮。组策略和注册表组策略和注册表 P209P209组策略和注册表，是组策略和注册表，是WindowsWindows系统中重要的两部系统中重要的两部控制台。控制台。u组策略组策略:管理员为用户和计算机定义并控制程序、网络

34、资源管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。件、计算机和用户策略。u注册表注册表:注册表是注册表是WindowsWindows系统中保存系统软件和应用软件配系统中保存系统软件和应用软件配置的数据库置的数据库u 组策略设置就是在修改注册表中的配置组策略设置就是在修改注册表中的配置。组策略使用了更完善。组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加

35、强大。远比手工修改注册表方便、灵活，功能也更加强大。利用安全配置工具来配置安全策略利用安全配置工具来配置安全策略u利用基于利用基于MMCMMC（管理控制台）安全配置和分析（管理控制台）安全配置和分析工具配置服务器。工具配置服务器。u运行运行-gpedit.mscgpedit.msc-组策略组策略-计算机配计算机配置置-管理模板管理模板-系统系统-关闭自动播放关闭自动播放-所有驱动器所有驱动器.WINDOWS平台安全设置平台安全设置注册表注册表 运行运行REGEDIT P210REGEDIT P210u 是是windowswindows操作系统中的一个核心数据库，其中存放着各种参数，直接控制着操

36、作系统中的一个核心数据库，其中存放着各种参数，直接控制着windowswindows的启动的启动、硬件驱动程序的装载以及一些、硬件驱动程序的装载以及一些windowswindows应用程序的运行，从而在整个系统中起着核心作用。应用程序的运行，从而在整个系统中起着核心作用。u 1 1HKEY_CLASSES_ROOTHKEY_CLASSES_ROOTu 管理文件系统，记录的是管理文件系统，记录的是 Windows Windows 操作系统中所有数据文件的信息，主要记录不同文件的操作系统中所有数据文件的信息，主要记录不同文件的u 文件名后缀和与之对应的应用程序。当用户双击一个文档时，系统可以通过这

37、些信息启动相文件名后缀和与之对应的应用程序。当用户双击一个文档时，系统可以通过这些信息启动相应的应用程序。应的应用程序。u 2 2HKEY_CURRENT_USERHKEY_CURRENT_USERu 该主键用于管理当前用户的配置情况。在这个主键中我们可以查阅计算机中登录的用户信息该主键用于管理当前用户的配置情况。在这个主键中我们可以查阅计算机中登录的用户信息密码等相关信息密码等相关信息 。u 3 3HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINEu 该主键用于管理系统中的所有硬件设备的配置情况，在该主键中存放的是用来控制系统和软该主键用于管理系统中的所有硬件设备的配置

38、情况，在该主键中存放的是用来控制系统和软件的设置。由于这些设置是针对那些使用件的设置。由于这些设置是针对那些使用 Windows Windows 系统的用户而设置的，是一个公共配置信系统的用户而设置的，是一个公共配置信息，所以它与具体用户无关。息，所以它与具体用户无关。u 4 4HKEY_USERSHKEY_USERSu 该主键用于管理系统中所有用户的配置信息，电脑系统中每个用户的信息都保存在该文件夹该主键用于管理系统中所有用户的配置信息，电脑系统中每个用户的信息都保存在该文件夹中，如用户在该系统中的一些口令、标识等。中，如用户在该系统中的一些口令、标识等。u 5 5HKEY_CURRENT_

39、CONFIGHKEY_CURRENT_CONFIGu 该主键用于管理当前系统用户的系统配置情况，如该用户自定义的桌面管理、需要启动的程该主键用于管理当前系统用户的系统配置情况，如该用户自定义的桌面管理、需要启动的程序列表等信息序列表等信息禁用注册表编辑器禁用注册表编辑器(小组实训）小组实训）任务任务5 5：1.1.任务目标任务目标 (1)(1)了解操作系统注册表的作用。了解操作系统注册表的作用。(2)(2)掌握注册表编辑器的禁用方法。掌握注册表编辑器的禁用方法。2.2.完成任务所需的设备和软件完成任务所需的设备和软件u装有装有Windows Server 2003Windows Server

40、2003操作系统的操作系统的PCPC机机1 1台，或台，或Windows Server 2003Windows Server 2003虚拟机虚拟机1 1台。台。3.3.任务实施步骤任务实施步骤u注册表是注册表是Microsoft WindowsMicrosoft Windows中的一个重要的数据库，中的一个重要的数据库，用于存储系统和应用程序的设置信息。用于存储系统和应用程序的设置信息。Regedit.exeRegedit.exe是微软提供的一个编辑注册表的工具，是所有是微软提供的一个编辑注册表的工具，是所有WindowsWindows系统通用的注册表编辑工具。系统通用的注册表编辑工具。Reg

41、edit.exeRegedit.exe可可以进行添加修改注册表主键、修改键值、备份注册表、以进行添加修改注册表主键、修改键值、备份注册表、局部导入导出注册表等操作。局部导入导出注册表等操作。uWindowsWindows操作系统安装完成后，默认情况下操作系统安装完成后，默认情况下Regedit.exeRegedit.exe可以任意使用，为了防止非网络管理人可以任意使用，为了防止非网络管理人员恶意使用，应禁止员恶意使用，应禁止Regedit.exeRegedit.exe的使用。的使用。u 步骤步骤1 1：选择：选择“开始开始”“运行运行”命令，打开命令，打开“运行运行”对话框，在对话对话框，在对

42、话框的框的“打开打开”文本框中输入文本框中输入“gpedit.mscgpedit.msc”命令，然后单击命令，然后单击“确定确定”按按钮，打开钮，打开“组策略编辑器组策略编辑器”窗口。窗口。u 步骤步骤2 2：在窗口的左侧窗格中，选择：在窗口的左侧窗格中，选择“本地计算机本地计算机策略策略”“用户用户配置配置”“管理模板管理模板”“系统系统”选项，如图选项，如图2-522-52所示。所示。u 步骤步骤3 3：然后在右侧窗格中找到并双击：然后在右侧窗格中找到并双击“阻止访问注册表编辑工阻止访问注册表编辑工具具”选项，打开选项，打开“阻止访问注册表编辑工具阻止访问注册表编辑工具 属性属性”对话框，

43、选对话框，选中中“已启用已启用”单选按钮，如图单选按钮，如图2-532-53所示，单击所示，单击“确定确定”按钮返按钮返回回“组策略编辑器组策略编辑器”窗口。窗口。u步骤步骤4 4：选择：选择“开始开始”“运行运行”命令，打开命令，打开“运行运行”对话框，在对话框的对话框，在对话框的“打开打开”文本文本框中输入框中输入“Regeidt.exeRegeidt.exe”命令，然后单击命令，然后单击“确定确定”按钮，系统将会提示按钮，系统将会提示“注册表编辑注册表编辑已被管理员禁用已被管理员禁用”信息，如图信息，如图2-542-54所示。所示。注册表应用的小设置注册表应用的小设置如何关闭如何关闭CD

44、CD自动播放功能自动播放功能 打开注册表编辑器，进入主键打开注册表编辑器，进入主键HKEY_LOCAL_MACHINESystemCurrentControlSetServicesCDHKEY_LOCAL_MACHINESystemCurrentControlSetServicesCDRomRom，将，将“AutorunAutorun”键值更改为键值更改为0 0（HexHex）。）。如何禁止如何禁止U U盘自启动盘自启动HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersioHKEY_CURRENT_USERSoftwareMicrosoft

45、WindowsCurrentVersionPoliciesExplorer nPoliciesExplorer 分支中找到分支中找到“NoDriveTypeAutoRunNoDriveTypeAutoRun”键值键值(如果没有，可以新建一个如果没有，可以新建一个)数据类型为数据类型为REG_DWORDREG_DWORD，修改其键值，修改其键值为十六进制为十六进制“FFFF”防止防止黑客从远程访问注册表。修改黑客从远程访问注册表。修改Hkey_current_userHkey_current_user下的子键：下的子键：SoftwareMicrosoftwindowscurrentversion

46、policiesSoftwareMicrosoftwindowscurrentversionpolicies，把把DisableRegistryToolsDisableRegistryTools值改为值改为0 0，类型为，类型为DWORDDWORD。锁定远程注册表访问锁定远程注册表访问WINDOWS平台安全设置平台安全设置下节预习问题：下节预习问题：P220P220u进程是什么？进程是什么？u如何关闭不响应的进程或病毒进程？如何关闭不响应的进程或病毒进程？u端口是什么？端口是什么？u服务是什么？服务是什么？u端口与服务有什么联系？端口与服务有什么联系？进程、端口和服务进程、端口和服务进程进程它

47、是操作系统动态执行的基本单元，在传统的操作系统中，它是操作系统动态执行的基本单元，在传统的操作系统中，进程既是基本的分配单元，也是基本的执行单元。进程既是基本的分配单元，也是基本的执行单元。u每一个进程都有它自己的地址空间每一个进程都有它自己的地址空间u进程是一个进程是一个“执行中的程序执行中的程序”。程序程序是一个没有生命的是一个没有生命的实体实体(静态静态,硬盘硬盘)，只有处理器赋予程序生命时，它才能，只有处理器赋予程序生命时，它才能成为一个活动的实体，我们称其为成为一个活动的实体，我们称其为进程进程(动态，内存动态，内存)。u任何程序要运行必创建对应的进程任何程序要运行必创建对应的进程.

48、u线程：线程：更小进程。更小进程。51Windows Server 2003Windows Server 2003的登录过程的登录过程 关闭不用或有问题的进程关闭不用或有问题的进程方法一、方法一、CTRL+ALT+DEL方法三、利用工具如：优化大师、超级兔子或方法三、利用工具如：优化大师、超级兔子或PCTOOLS中中的的PSKILL结束进程、冰刃。结束进程、冰刃。方法二、运行方法二、运行-CMD c:ntsd c q p pid(为要关闭进程号）为要关闭进程号）要求：老师提供要求：老师提供IceSword120_cn工具，工具，小组内分工，每组同学要用上述方法查看小组内分工，每组同学要用上述方

49、法查看到本地进程信息，并会处理。到本地进程信息，并会处理。端口端口u 计算机计算机 端口端口 是英文是英文portport的意译，可以认为是计算机与外界通讯的意译，可以认为是计算机与外界通讯交流的出口交流的出口 .u 硬件端口硬件端口:其中硬件领域的端口又称接口，如：其中硬件领域的端口又称接口，如：USBUSB端口、串行端端口、串行端口等。口等。u 软件领域的端口一般指网络中面向连接服务和无连接服务的通信软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和协议端口，是一种抽象的软件结构，包括一些数据结构和I/OI/O（基本输入输出）缓冲区。

50、基本输入输出）缓冲区。u 在网络技术中，端口（在网络技术中，端口（PortPort）有好几种意思。集线器、交换机、）有好几种意思。集线器、交换机、路由器的端口指的是连接其他网络设备的接口，如路由器的端口指的是连接其他网络设备的接口，如RJ-45RJ-45端口、端口、SerialSerial端口等。端口等。u TCP/IPTCP/IP协议中的端口，是逻协议中的端口，是逻 辑意义上的端口。辑意义上的端口。如果把如果把IPIP地址比地址比作一间房子作一间房子 ，端口就是出入这间房子的门。真正的房子只有几，端口就是出入这间房子的门。真正的房子只有几个门，但是一个个门，但是一个IPIP地址的端口地址的端

51、口 可以有可以有6553665536（即：（即：256256256256）个）个之多！端口是通过端口号来标记的，端口号只有整数，范围是从之多！端口是通过端口号来标记的，端口号只有整数，范围是从0 0 到到6553565535（256256256-1256-1）。）。服务与端口的关系服务与端口的关系u在在 TCPTCP和和 UDPUDP协议中，源端口和目标端协议中，源端口和目标端口号共有口号共有6553665536个个(2 21616，0 065535)65535)。u按对应的协议类型，端口有两种：按对应的协议类型，端口有两种：TCPTCP端口和端口和UDPUDP端口。由于端口。由于TCPTCP

52、和和UDP UDP 两个协两个协议是独立的，因此各自的端口号也相互议是独立的，因此各自的端口号也相互独立，比如独立，比如TCPTCP有有235235端口，端口，UDPUDP也可以也可以有有235235端口，两者并不冲突。端口，两者并不冲突。关闭不用的端口关闭不用的端口u管理好端口号在网络安全中有着非常重要的管理好端口号在网络安全中有着非常重要的意义，黑客往往通过探测目标主机开启的端意义，黑客往往通过探测目标主机开启的端口号进行攻击。口号进行攻击。u开启的端口可能被攻击者利用，如利用扫描开启的端口可能被攻击者利用，如利用扫描软件，可以扫描到目标主机中开启的端口及软件，可以扫描到目标主机中开启的端

53、口及服务，因为提供服务就有可能存在漏洞。服务，因为提供服务就有可能存在漏洞。u查看端口的相关工具有查看端口的相关工具有：uWindowsWindows系统中的系统中的netstat-nanetstat-na命令、命令、fportfport软软件、件、activeportactiveport软件、软件、superscansuperscan软件、软件、Visual SnifferVisual Sniffer软件等，此类命令或软件可软件等，此类命令或软件可用来查看主机所开放的端口。用来查看主机所开放的端口。u冰刃冰刃u可以在网上查看各种服务对应的端口号和木马后门常可以在网上查看各种服务对应的端口号和

54、木马后门常用端口来判断系统中的可疑端口中，并通过软件查看用端口来判断系统中的可疑端口中，并通过软件查看开启此端口的进程。开启此端口的进程。u确定可疑端口和进程后，可以利用防火墙来屏蔽此端确定可疑端口和进程后，可以利用防火墙来屏蔽此端口，也可以通过选择本地连接口，也可以通过选择本地连接TCP/IPTCP/IP高级高级选项选项TCP/IPTCP/IP筛选，启用筛选机制来过滤这些端口；筛选，启用筛选机制来过滤这些端口；u一些端口常常会被攻击者或病毒木马所利用，如端口一些端口常常会被攻击者或病毒木马所利用，如端口2121、2222、2323、2525、8080、110110、111111、119119

55、、135135、137137、138138、139139、161161、177177、389389、33893389等。关于常见木马等。关于常见木马程序所使用的端口可以在网上查找到。程序所使用的端口可以在网上查找到。小组实训小组实训P 222P 2222.4.4 2.4.4 任务任务4 4：服务安全配置：服务安全配置1.1.任务目标任务目标 (1)(1)了解操作系统服务安全的重要性。了解操作系统服务安全的重要性。(2)(2)掌握服务安全配置的方法。掌握服务安全配置的方法。2.2.任务内容任务内容 (1)(1)关闭不必要的服务关闭不必要的服务。（工具、管理工具。（工具、管理工具-服务）服务）(2

56、)(2)关闭不必要的端口关闭不必要的端口。（关闭服务，写。（关闭服务，写IPIP安全策略）安全策略）3.3.完成任务所需的设备和软件完成任务所需的设备和软件u 装有装有Windows Server 2003Windows Server 2003虚拟机虚拟机1 1台。台。4.4.任务实施步骤任务实施步骤(1)(1)关闭不必要的服务关闭不必要的服务u 禁止所有不必要的服务可以节省内存和大量的系统资源，提升系统禁止所有不必要的服务可以节省内存和大量的系统资源，提升系统启动和运行的速度，更重要的是，可以减少系统受攻击的风险。启动和运行的速度，更重要的是，可以减少系统受攻击的风险。u 步骤步骤1 1：查

57、看服务。选择：查看服务。选择“开始开始”“程序程序”“管理工管理工具具”“服务服务”命令，打开命令，打开“服务服务”窗口，如图窗口，如图2-292-29所示，可所示，可见有很多服务已启动。见有很多服务已启动。u 步骤步骤2 2：关闭服务。在图：关闭服务。在图2-292-29中找到并双击中找到并双击“Task SchedulerTask Scheduler”服务选项，打开服务选项，打开“Task SchedulerTask Scheduler的属性的属性”对话框，如图对话框，如图2-302-30所示。单击所示。单击“停止停止”按钮，停用按钮，停用“Task SchedulerTask Sched

58、uler”服务，再在服务，再在“启动类型启动类型”下拉列表中选择下拉列表中选择“禁用禁用”选项，这样下次系统重选项，这样下次系统重新启动时不会重新启用新启动时不会重新启用“Task SchedulerTask Scheduler”服务，单击服务，单击“确定确定”按钮。按钮。有些服务不能关！有些服务不能关！（注意）（注意）如关闭有如关闭有VmwareVmware的相关服的相关服务，则虚拟机的相关务，则虚拟机的相关功能不能用！功能不能用！如关闭了物理机中的如关闭了物理机中的Vmware DHCP serviceVmware DHCP service或则虚拟机的或则虚拟机的DHCPDHCP服服务，虚

59、拟机无法获得务，虚拟机无法获得IPIP。用用netstatnetstat命令查看本机开放的端口。命令查看本机开放的端口。u 系统内部命令系统内部命令netstatnetstat可显示有关统计信息和当前可显示有关统计信息和当前TCP/IPTCP/IP网络连接的网络连接的情况，它可以用来获得系统网络连接的信息情况，它可以用来获得系统网络连接的信息(使用的端口和在使用的使用的端口和在使用的协议等协议等)、收到和发出的数据、被连接的远程系统的端口等。其语法、收到和发出的数据、被连接的远程系统的端口等。其语法格式为：格式为：netstat-a-e-n-s-p protocol-rintervalnets

60、tat-a-e-n-s-p protocol-rinterval。u 步骤步骤1 1：在：在“命令行提示符命令行提示符”窗口中，输入窗口中，输入“netstat -annetstat -an”命令，命令，查看系统端口状态，列出系统正在开放的端口号及其状态，如图查看系统端口状态，列出系统正在开放的端口号及其状态，如图2-2-3232所示，可见系统开放的端口号有所示，可见系统开放的端口号有135135、445445、137137、138138、139139等。等。关闭关闭 139 139 端口。端口。u139 139 端口是端口是 NetBIOS NetBIOS 协议所使用的端口，在安装了协议所使

61、用的端口，在安装了 TCP/IP TCP/IP 协议的同时，协议的同时，NetBIOS NetBIOS 也会被作为默认设置也会被作为默认设置安装到系统中。安装到系统中。u139 139 端口的开放意味着硬盘可能会在网络中共享；网端口的开放意味着硬盘可能会在网络中共享；网上黑客也可通过上黑客也可通过NetBIOSNetBIOS知道用户计算机中的一切。知道用户计算机中的一切。u在以前的在以前的 Windows Windows 版本中，只要不安装版本中，只要不安装 Microsoft Microsoft 网络的文件和打印共享协议，就可关闭网络的文件和打印共享协议，就可关闭 139 139 端口。端口

62、。但在但在 Windows Server 2003 Windows Server 2003 中，只这样做是不行的。中，只这样做是不行的。如果想彻底关闭如果想彻底关闭 139 139 端口，具体步骤如下：端口，具体步骤如下：u 步骤步骤1 1：右击桌面上的：右击桌面上的“网上邻居网上邻居”图标，在弹出的快捷菜单中图标，在弹出的快捷菜单中选择选择“属性属性”命令，打开命令，打开“网络连接网络连接”窗口，再右击窗口，再右击“本地连本地连接接”图标，在弹出的快捷菜单中选择图标，在弹出的快捷菜单中选择“属性属性”命令命令，打开，打开“本本地连接地连接 属性属性”对话框，如图对话框，如图2-332-33所

63、示。所示。u 步骤步骤2 2：取消选择：取消选择“Microsoft Microsoft 网络的文件和打印共享网络的文件和打印共享”复选框复选框(即去掉即去掉“Microsoft Microsoft 网络的文件和打印共享网络的文件和打印共享”前面的前面的“”)，再选中再选中“Internet Internet 协议协议(TCP/IP)(TCP/IP)”选项，单击选项，单击“属性属性”按钮，按钮，打开打开“Internet Internet 协议协议(TCP/IP)(TCP/IP)属性属性”对话框，如图对话框，如图2-342-34所示。所示。u 步骤步骤3 3：单击：单击“高级高级”按钮，打开按

64、钮，打开“高级高级TCP/IPTCP/IP设置设置”对话框，对话框，在在“WINSWINS”选项卡中，选中选项卡中，选中“禁用禁用TCP/IPTCP/IP上的上的NetBIOSNetBIOS”单选按钮，单选按钮，如图如图2-352-35所示。所示。u 步骤步骤4 4：单击：单击“确定确定”按钮，返回按钮，返回“Internet Internet 协议协议(TCP/IP)(TCP/IP)属属性性”对话框，再单击对话框，再单击“确定确定”按钮，返回按钮，返回“本地连接本地连接 属性属性”对对话框，单击话框，单击“关闭关闭”按钮。按钮。端口过滤端口过滤u假如计算机中安装了假如计算机中安装了Inter

65、netInternet信息服务信息服务(IIS)(IIS)，如果只打算浏览网页，可设置端口过滤，只如果只打算浏览网页，可设置端口过滤，只允许允许TCPTCP协议的协议的8080端口通过，而端口通过，而TCPTCP协议的其协议的其他端口不允许通过。设置步骤如下。他端口不允许通过。设置步骤如下。u步骤步骤1 1：在图：在图2-352-35中，选择中，选择“选项选项”选项卡，选项卡，如图如图2-362-36所示。所示。u步骤步骤2 2：双击图中的：双击图中的“TCP/IPTCP/IP筛选筛选”选项，打选项，打开开“TCP/IPTCP/IP筛选筛选”对话框。对话框。u 步骤步骤3 3：选中：选中“启用

66、启用TCP/IPTCP/IP筛选筛选(所有适配器所有适配器)”复选框，选中复选框，选中“TCPTCP端口端口”栏中的栏中的“只允许只允许”单选按钮，单击单选按钮，单击“添加添加”命令，命令，打开打开“添加筛选器添加筛选器”对话框，在对话框，在“TCPTCP端口端口”文本框中输入端口文本框中输入端口号号“8080”，如图，如图2-372-37所示。所示。u 步骤步骤4 4：单击：单击“确定确定”按钮，返回按钮，返回“TCP/IPTCP/IP筛选筛选”对话框，再单对话框，再单击击“确定确定”按钮，返回按钮，返回“高级高级TCP/IPTCP/IP设置设置”对话框。对话框。关闭其他端口。关闭其他端口。u在默认情况下，在默认情况下，WindowsWindows操作系统的很多端口是开放操作系统的很多端口是开放的。用户在上网的时候，病毒和黑客可通过这些端口的。用户在上网的时候，病毒和黑客可通过这些端口连上用户的计算机，所以应该关闭这些端口，比如连上用户的计算机，所以应该关闭这些端口，比如TCP 135TCP 135，139139，445445，593593，10251025端口和端口和UDP 135