Windows2000系统安全管理

《Windows2000系统安全管理》由会员分享，可在线阅读，更多相关《Windows2000系统安全管理（41页珍藏版）》请在装配图网上搜索。

1、Windows 2000系统安全管理系统安全管理 系统帐号管理文件系统管理系统进程服务系统安全基本配置用户类型Administrator(默认的超级管理员)系统帐号(Print Operater、Backup Operator)Guest(默认来宾帐号)系统帐号管理系统帐号管理本地用户(accounts)和组(groups)帐户(user accounts)-定义了Windows中一个用户所必要的信息，包括 口令、安全ID(SID)、组成员关系、登录限制，组：Administrators、Backup Operators、Guest、Power Users系统帐号管理系统帐号管理密码存放位置注

2、册表HKEY_LOCAL_MACHINESAM下Winnt/system32/config/sam系统帐号管理系统帐号管理Windows下 管理工具计算机管理本地用户和组Windows下 (域)用户管理器命令行方式 net user 用户名 密码/add/delete 将用户加入到组 net localgroup 组名 用户名/add/delete添加/删除帐户系统帐号管理系统帐号管理Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这是为了方便局域网用户共享文件的。但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。可以通过更改注册表Local_Machi

3、neSystemCurrentControlSetControlLSA-RestrictAnonymous=1来禁止139空连接。同时Windows的本地安全策略就有这样的选项RestrictAnonymous（匿名连接的额外限制），这个选项有三个值：0：None.Rely on default permissions（无，取决于默认的权限）1：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享）2：No access without explicit anonymous permissions（没有显式匿名权限就

4、不允许访问）0，这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等。1，这个值是只允许非NULL用户存取SAM账号信息和共享信息。2，这个值需要注意的是，如果你一旦使用了这个值，共享信息就全完了。本地帐户系统帐号管理系统帐号管理SAM数据库与AD SAM中口令的保存采用单向函数(OWF)或散列算法实现 在%systemroot%system32configsam中实现 DC上，账号与密码散列保存在%systemroot%ntdsntds.dit中SYSKEY功能从从NT4 sp3开始提供开始提

5、供散 列128位随机密钥保存到SAM文件中保存随机密钥注册表中注册表中，同时使用额外的口令加密软磁盘SID与令牌 SID唯一标示一个对象 使用User2sid和sid2user工具进行双向查询 令牌：通过SID标示账号对象以及所属的组SIDS-1-5-21-1507001333-1204550764-1011284298-500令牌令牌User=S-1-21-S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOne S-1-1-0Group2=Administrators S-1-5-32-544解读SIDSIDS-1-5-21-

6、1507001333-1204550764-1011284298-500修订版本编号颁发机构代码，Windows 2000总为5子颁发机构代码，共有4个；具有唯一性相对标示符RID，一般为常数著名的SIDvS-1-1-0 EveryonevS-1-2-0 Interactive用户vS-1-3-0 Creator OwnervS-1-3-1 Creator GroupWindows 2000认证与授权访问用户AWinlogon使用账户名称/口令进行认证成功成功允许允许File.txtSRM,安全安全参考监视器参考监视器访问文件系统管理文件系统管理Windows系统用户的特定权利：Access

7、this computer from network 可使用户通过网络访问该计算机。Add workstation to a domain 允许用户将工作站添加到域中。Backup files and directories 授权用户对计算机的文件和目录进行备份。Change the system time 用户可以设置计算机的系统时钟。Load and unload device drive 允许在网络上安装和删除设备驱动程序。Restore files and directories 允许用户恢复以前备份的文件和目录。Shutdown the system 允许用户关闭系统。文件系统管理文

8、件系统管理Windows系统的用户权限 权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作，指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是：Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O)。文件系统管理文件系统管理目录权限级别目录权限级别RXWDPO允许系统用户的操作允许系统用户的操作No AccessNone 用户不能访问该目录ListRX可以查看目录中的

9、子目录和文件名，也可以进入其子目录ReadRX具有List权限，用户可以读取目录中的文件和 运行目录中的应用程序AddXW用户可以添加文件和子目录Add and ReadRXW具有Read和Add的权限ChangeRXWD有Add和Read的权限，另外还可以更改文件的内容，删除文件和子目录Full controlRXWDPO有Change的权限，另外用户可以更改权限和获取目录的所有权Windows系统的用户权限 目录权限文件权限Windows系统的用户权限 权限级别权限级别RXWDPO允许系统用户的操作允许系统用户的操作No Access 用户不能访问该文件ReadRX用户可以读取该文件，如果

10、是应用程序可以运行ChangeRXWD有Read的权限，还可用修和删除文件Full controlRXWDPO包含Change的权限，还可以更改权限和获取文件的所有权Windows 系统的共享权限系统的共享权限共享权限级别共享权限级别允许系统用户的操作允许系统用户的操作No Access(不能访问)禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名，改变共享Read(读)目录的子目录，还允许查看文件的数据 和运行应用程序Change(更改)具有“读”权限中允许的操作，另外允许往目录中添加文件和子目录，更改文数据，删除文件和子目录Full control(完全控制)具有“更改”权限

11、中允许的操作，另外还允许更改权限(只适用于NTFS卷)和获所有权(只适用于NTFS卷)从一个NTFS分区到另一个NTFS分区 复制或移动都是继承权限 (不同分区，移动=复制+删除)同一个NTFS分区 复制：继承 移动：保留复制或移动到FAT(32)分区 NTFS权限丢失文件转移权限文件系统管理文件系统管理系统进程和服务系统进程和服务Windows系统服务系统服务服务启动类型：自动，手动，禁用自动-Win 2000启动时自动加载服务 手动-Win 2000启动时不自动加载服务，在需要的时候手动开启 禁用-Win 2000启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启

12、动电脑完成服务的配置注册表项：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService 底下每一笔 服务项目子项都有一个 Start 数值,该 数值内容所记录的就是服务项目驱动程式该在何时被加载。目前Windows系统对于 Start 内容的定义有 0、1、2、3、4 等五种状态,0、1、2 分别代表 Boot、System、Auto Load 等三种意义。而 Start 数值内容为 3 的服务项目代表让使用 者以手动的方式载入(Load on demand),4 则是代表禁用状态。Windows系统进程系统进程基本的系统进程smss.exe Sessi

13、on Manager csrss.exe 子系统服务器进程 winlogon.exe 用户登录管理 services.exe 包含很多的系统服务（DNS、NETBIOS）lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley(IKE)和 IPSEC安全驱动程序。svchost.exe 包含很多系统服务(RPC、红外设备、移动设备)spoolsv.exe 将文件加载到内存中以便迟后打印。explorer.exe 资源管理器 winmgmt.exe 提供系统管理信息。internat.exe 输入法 附加的系统进程（这些进程不是必要的）mstask.exe 允许程序在指定时间

14、运行，也叫任务服务。regsvc.exe 允许远程注册表操作。inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序（telnet）。termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基于 Windows 的程序。Windows系统进程系统进程系统安全基本配置系统安全基本配置系统安全基本配置Windows系统安装系统安装本地安全策略的设置本地安全策略的设置补丁库的更新补丁库的更新紧急修复紧

15、急修复Windows 系统安装系统安装将系统安装在NTFS分区上，系统、数据、应用程序应安装在不同的分区。初始化硬盘只有一个逻辑盘，建议最少建立三个分区，一个系统分区，两个应用程序分区。因为，Windows的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN权限。推荐的安全配置是建立三个逻辑驱动器，第一个大于2G，用来装系统和重要的日志文件，第二个放IIS或者FTP，第三个放其它应用程序或者数据。这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。要知道，IIS和FTP是对外服务的，比较容易出问题。而把IIS

16、和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。Windows 系统安装系统安装安装后网络接入：当Windows在安装时有一个漏洞，在你输入Administrator密码后，系统就自动会建立了ADMIN$的共享，但是并没有用你刚刚输入的密码来保护它，这种情况一直持续到你再次启动后。在此期间，任何人都可以通过ADMIN$进入你的机器。同时，只要安装一完成各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易被侵入。因此，在完全安装并配置好之前，一定不要把主机接入网络。Windows 系统安装系统安装本地安全策略的设置本地安全策略的设置帐户安全策略设置审核策略设置其它安全参数设置帐户安

17、全策略设置帐户安全策略设置将Administrator重命名将Guest来宾用户重命名关闭和更改其它用户设置 如：IUSR_HOSTNAME(匿名访问Internet 信息服务的内置帐号)在本地安全策略-安全选项中-启用登录屏幕上不要显示上次的登录的用户名这条策略。这样系统不会自动显示上次的登录用户名。密码策略的推荐设置强制执行密码历史记录强制执行密码历史记录 密码最长期限密码最长期限密码最短期限密码最短期限密码必须符合复杂性要求密码必须符合复杂性要求24个密码个密码42天天2天天启启 用用6位位密码长度最小值密码长度最小值为域中所有用户使用可还为域中所有用户使用可还原的加密来储存密码原的加密

18、来储存密码禁禁 用用账户锁定策略的推荐设置策 略默认设置推荐最低设置帐户锁定时间未定义30 分钟帐户锁定阈值03 次无效登录复位帐户锁定计数器未定义30 分钟针对远程访问的密码策略定制策略审核：Win2000的默认安装是不开任何安全审核的，推荐的审核是：审核项目太多不仅会占用系统资源而且会导致管理员根本没有时间去详细查看，这样就失去了审核的意义。审核策略设置审核策略设置策 略本地设置有效设置帐户管理成功失败登录事件成功失败策略更改成功失败特权使用失败无审核系统事件成功失败目录服务访问失败无审核帐户登录事件成功失败对象访问失败无审核其它安全参数设置Windows系统自带的安全模板C:winnts

19、ecuritytemplates目录下NoImage其它安全参数设置安全模板应用安全模板应用运行-mmc 控制台-添加/删除管理单元。添加-安全配置和分析、安全模版。创建新数据库-右击“安全配置和分析”领域项-选择“打开数据库”-键入新的数据库名，按“打开”。选择要导入的安全配置文件，然后按“打开”。右击“安全配置和分析”-立刻配置计算机。其它安全参数设置解决Windows 2000 的共享引起的安全漏洞 方法一、修改注册表，具体步骤如下：1、删除2000启动时没有默认共享c$,d$，WINNT$HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

20、lanmanserverparameters 下建立一个dword类型数据 2000 professional 是 autosharewks=0 2、删除ipc$，admin$的共享 在注册表的自动运行选项里新建一个项目,可以任意改名,然后修改键值为 net share ipc$/del或是多新建几个运行项目,分别在每个项目里修改为 net share admin$/del 其它安全参数设置方法二实际清除过程可以通过创建批处理文件delshare.bat来实现：echo 修改注册表项，修改系统默认共享属性 echo.echo 生成 delshare.reg 准备修改注册表 echo Windo

21、ws Registry Editor Version 5.00 c:delshare.reg echo HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters c:delshare.reg echo“AutoShareWks”=dword:00000000 c:delshare.reg echo“AutoShareServer”=dword:00000000 c:delshare.reg echo 运行 delshare.reg 修改注册表 regedit/s c:delshare.reg echo 删除

22、delshare.reg 临时文件 del c:delshare.reg 补丁库的更新补丁库的更新Windows的产品是以Bug&Patch而著称的，中文版的Bug远远多于英文版，而补丁一般还会迟至少半个月，也就是说一般微软公布了漏洞后系统还会有半个月处于无保护状况。使用Windows自动更新程序自动下载安装补丁程序。补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换/修改某些系统文件，如果先安装补丁再安装Windows自带应用程序有可能导致补丁不能起到应有的效果，例如：IIS的HotFix就要求每次更改IIS的配置都需要安装。紧急修复紧急修复制作紧急修复盘：开始-运行-rdisk/s(NT)开始-运行-Ntbackup(2000)开始-附件-系统工具-备份使用安全配置工具集的循序渐进指南使用安全配置工具集的循序渐进指南