还剩87页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
系统与网络安全管理实训指导书信息技术系郭毅目录TOC\o1-3\h\z\u第一章WindowsServer2003系统安全管理4实训
1.1利用安全模板设置系统4实训
1.2“TCP/IP协议”网络安全设置11第二章账户安全管理21实训
2.1独立服务器用户账户管理及策略设置21实训
2.2域控制器用户账户管理及策略设置32第三章系统资源的安全管理43实训
3.1文件系统和共享资源的安全设置43实训
3.2注册表的安全管理56第四章IIS服务的实现和安全配置61实训
4.1启用IIS服务功能61实训
4.2IIS服务的安全配置72第五章Windows系统的安全加固及漏洞与防范80实训
5.1系统的安全加固及安全漏洞与防范80前言操作系统是计算机资源的直接管理者,是计算机软件的基础和核心,一切应用软件都是建立在操作系统之上的,如果没有操作系统的安全,就谈不上主机和网络系统的安全,更谈不上其他应用软件的安全因此,操作系统的安全是整个计算机系统的安全的基础本实训指导书以windows2003操作系统为配置对象,windows2003是微软公司开发的和C2级安全标准----《可信计算机系统评价准则TCSEC》相兼容的,在安全性上能够充分确保系统安全、稳定、高效地运行但针对操作系统所提供的不同的应用和服务,也需要进行具体的安全配置操作因此,本指导书包括的9个实训内容,分别从系统安全管理、账户安全管理、系统资源的安全管理、IIS服务的实现和安全配置、Windows系统安全加固及漏洞防范等5个方面在理论指导的前提下注重实际操作过程及安全配置的实现通过完成本书的9个实训内容,能够达到提高系统安全的风险管理意识目的,具备基本的安全配置操作能力,并使windows服务器系统处于一个相对安全的运行环境,减少系统的安全风险,提升服务器运行的安全性和稳定性,但安全问题没有统一的标准和尺度,本实训旨在当面对系统不同的服务需求如何进行针对性的安全配置以保证服务器真正处于一个安全的环境运行,减少系统风险提供操作方法第一章windowsServer2003系统安全管理本章包括二个实训实训
1.1是利用安全模板对系统进行安全设置实训
1.2对“TCP/IP协议”进行安全设置实训
1.1利用安全模板设置系统实训目的利用安全模板进行windowsServer2003系统的安全配置,提升系统整体的安全性实训要求安装windowsServer2003系统的计算机实训内容通过windowsServer2003系统的安全模板进行系统安全设置添加安全配置和分析模块,新建数据库导入安全模板进行系统安全分析实训过程
1、使用管理员权限登录 首先必须以系统管理员或administrators组成员的账户身份登录系统才能完成管理单元的加载以及系统安全性分析和配置操作;注意要执行该过程,您必须是本地计算机Administrators组的成员,或者您必须被委派适当的权限如果将计算机加入域,DomainAdmins组的成员也可以执行这个过程
2、打开“安全配置和分析”要使用“安全配置和分析”功能,必须先添加该功能过程如下请先单击“开始”,接着单击“运行”,然后输入mmc,最后单击“确定”在“文件”菜单上,单击“打开”,单击要打开的控制台,然后单击“打开”然后,在控制台树中,使用Ctrl+M快捷键打开“添加/删除管理单元”如下图所示
3、添加“安全配置和分析”管理单元 在“添加/删除管理单元”对话框中,点击选项页的“添加”,在弹出的“添加独立管理单元”对话框中,选择列表中的“安全配置和分析”项,点击“添加”(同时可完成“安全模板”的添加)如下图所示
4、完成添加点击“关闭”,返回“添加/删除管理单元”对话框,此时在列表中可以看到新增加了“安全配置和分析”项;点击“确定”,完成“安全配置和分析”管理单元的加载
5、打开数据库执行安全性分析是根据系统提供的安全模板来实现的,这个过程中,需要用户打开或新建一个包含安全信息的数据库,并选择合适的安全模板过程如下 在控制台窗口中,右键点击控制台根节点下的“安全配置和分析”,或者在快捷菜单中选择“打开数据库”命令,如下图所示如果是首次对系统进行安全性分析,需要新建一个数据库,在“打开数据库”对话框的“文件名”处为新建的数据库输入一个名称sec1,然后点击“打开”,如下图所示
6、安全分析使用安全模板进行系统安全性分析选择一个securews.inf安全模板(系统内置了不同安全级别的安全模板),点击“打开”,如下图所示右键单击“安全配置和分析”项,选择菜单中的“立即分析计算机”命令,并在“进行分析”对话框中指定保存错误日志文件的路径,点击“确定”,开始系统安全机制的分析进程,如下图所示分析计算机安全设置后,即可进行“立即配置计算机”设置,使安全模板设置生效最后可通过“查看日志文件”了解安全配置情况,如下图所示实训
1.2“TCP/IP协议”网络安全设置实训目的进行windowsServer2003“Internet协议”网络安全设置,提升系统网络安全性实训要求安装windowsServer2003系统的计算机实训内容去掉不需要的端口,不仅可以提高网络连接速度,而且可以增强网络的安全性下面以禁用ICMP、NetBIOS(139端口)为例进行实际操作实训过程
一、ICMP协议是网络的一项服务,能被某些人利用这个功能通过Ping方式扫描并攻击服务器因此,禁用ICMP可以防止用户ping服务器堵住安全威胁说明这里列出一些常用端口如80为Web网站服务;21为FTP服务;25为E-mail邮件的SMTP服务;110为Email邮件POP3服务,有需要可以不禁用,其他端口都可禁用
1、打开“IP安全策略管理”要打开“IP安全策略管理”,请先单击“开始”,接着单击“运行”,然后输入mmc,最后单击“确定”在“文件”菜单上,单击“打开”,单击要打开的控制台,然后单击“打开”然后,在控制台树中,使用Ctrl+M快捷键打开“添加/删除管理单元”如下图所示右击“IP安全策略”,选择“创建IP安全策略”,点“下一步”输入安全策略的名称“关闭端口”,点“下一步”,“激活默认响应规则”选项去掉,最后点完成接着右击“关闭端口”选择“属性”,接着点击“添加”,进入管理IP筛选器和筛选器操作,在管理IP筛选器列表中,你可以添加要封锁的端口,这里以关闭ICMP和NetBIOS(139端口)为例说明
2、添加“关闭ICMP”关闭ICMP的具体操作如下点“添加”,然后在名称中输入“关闭ICMP”,点右边的“添加”按钮,如下图所示选择“协议”选项卡,在“选择协议类型”中选“ICMP”,点“确定”,回到关闭ICMP属性窗口,如下图所示然后进入设置管理筛选器操作,点“添加”,如下图所示选择“阻止”,选择“常规”选项卡命名“关闭ICMP操作”,最后点击“确定”,如下图所示最后在“IP筛选器列表”和“筛选器操作”选项卡中选择上面新建的“关闭ICMP”和“关闭ICMP操作”两项,点击“应用”,如下图所示最后回到“关闭端口”点击右键选择“指派”则将禁用ICMP关闭了ICMP,黑客软件一般不能扫描到你的机器,也Ping不到你的机器
二、禁用TCP/IP上的NetBIOS当安装TCP/IP协议时,NetBIOS也被Windows作为默认设置载入,我们的计算机也具有了NetBIOS本身的开放性,即139端口被打开使用户能通过文件和打印机共享访问服务器禁用TCP/IP协议上的NetBIOS步骤如下右击要配置的网络连接,然后单击“属性”命令项在“常规”选项卡中选中“Internet协议(TCP/IP)”点击“属性”,然后在弹出对话框中点击“高级”,如下图所示选择“WINS”选项卡,在此指定NetBIOS设置,选择“禁用TCP/IP上的NetBIOS”选项,最后“确定”如下图所示第二章账户安全管理本章包括二个实训
2.1独立服务器用户账户管理及策略设置
2.2域控制器用户账户管理及策略设置实训
2.1独立服务器用户账户管理及策略设置实训目的Windows系统的安全性在很大程度上取决于对每个用户所设置的权限,错误的授权有可能导致灾难性的后果,因此,账户的设置为系统安全管理提供了有力的保障实训要求安装windowsServer2003系统的计算机实训内容对独立服务器用户账户进行设置,修改administrator账号,建立虚拟的管理员账号,禁用Guest来宾账号,并设置账户、密码策略实训过程
一、系统账户设置原则系统管理员账户拥有系统中最高的权限,相当于拥有了整个网络和系统的所有资源因此,管理员账户也成为入侵者的主要攻击目标同时Guest账户也是入侵者的目标之一作为网络和计算机管理员,尤其应该做好管理员账户的安全管理,避免被破解或盗取
1、修改administrator账号选择“开始”-“程序”-“管理工具”-“计算机管理”命令,打开“计算机管理”窗口,选择“计算机管理(本地)”-“系统工具”-“本地用户和组”-“用户”选项,如下图所示在窗口右侧选择administrator账号后单击鼠标右名键选择“重命名”为“dlgl”,如下图所示
2、建立一个虚拟管理员账号在该窗口中点击右键,新建一个名为Administrator的陷阱帐号,为其设置最小的权限(注意此账号一定要是最小权限),操作步骤如下然后输入任意组合的最好不低于20位的密码(保证在修改密码前无重要资料),点击“确定”如下图所示添加的虚拟账户默认隶属于Users组,以保证该账户最小的权限可通过该账户属性查看如下图所示
3、修改Guest账户将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,操作如下选择“Guest”账户,点击右键选择“重命名”为lb,如下图所示然后输入一个复杂密码,输入的密码必需符合系统的密码过滤规范,即要包含数字、字母、特殊字符等,然后点击“确定”选择“Guest”账户,点击右键选择“属性”,在“常规”选项卡中点击“账户已禁用”打勾,然后“确定”如下图所示
二、密码策略设置密码策略设置包含以下6个策略密码必须符合复杂性要求密码长度最小值密码最长使用期限密码最短使用期限强制密码历史用可还原的加密来储存密码下面以设置“强制密码历史”策略为例来说明如何设置账户策略该策略通过确保旧密码不能重复使用,从而使管理员能够增强安全性具体设置如下 选择“开始”-“运行”命令,显示“运行”对话框,在“打开”文本框中,输入“gpedit.msc”,单击“确定”按钮,打开“组策略控制台窗口”,选择“计算机配置”-“Windows设置”-“安全设置”-“账户策略”“密码策略”选项,显示如图所示 在右侧的策略窗口中双击“强制密码历史”策略,显示“强制密码历史属性”对话框 在“不保留密码历史”文本框中,键入许可保留的密码个数如10个,如图所示 单击“确定”按钮,即可完成强制密码历史策略的修改
三、账户锁定策略账户锁定策略用于域账户或本地用户账户,用来确定某个账户被系统锁定的情况和时间长短账户锁定策略包含以下3个策略复位账户锁定计数器账户锁定时间账户锁定阈值下面以“账户锁定阈值”策略为例说明如何设置账户锁定策略该安全设置确定造成用户账户被锁定的登录失败尝试的次数,在被锁定期间该账户将不能使用具体设置如下
1、选择“开始”-“运行”命令,显示“运行”对话框,在“打开”文本框中,输入“gpedit.msc”,单击“确定”按钮,打开“组策略编辑器”窗口,选择“计算机配置”-“Windows设置”-“安全设置”-“账户策略”-“账户锁定策略”选项,显示如图所示
2、在右侧的策略窗口中,双击“账户锁定阈值”策略,显示“账户锁定阈值属性”对话框,如下图所示在“在发生以下情况之后,锁定账户”文本框中,键入无效登录的次数如3,则表示3次无效登录后,锁定登录所使用的账户
3、单击“确定”按钮,显示“建议的数值改动”对话框本策略的更改将同步更改其他关联策略,如图所示 单击“确定”按钮,完成策略的设置,如下图所示实训
2.2域控制器用户账户管理及策略设置实训目的Windows系统的安全性在很大程度上取决于对每个用户所设置的权限,错误的授权有可能导致灾难性的后果,因此,账户的权限设置为系统安全管理提供了有力的保障实训要求安装windowsServer2003系统的计算机实训内容对域控制器用户账户进行设置,修改administrator账号,建立虚拟的管理员账号,禁用Guest来宾账号设置账户、密码策略实训过程
1、修改administrator账号系统账户最好少建,更改默认的帐户名Administrator和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位操作步骤如下选择administrator账号后单击鼠标右名键选择“重命名”为“gl”,如下图所示弹出如下对话框,选择“是”,将重新以新用户名登录选择“gl”账号右键选择“属性”,在“常规”选项卡中修改“描述内容”,如下图所示
2、建立一个虚拟管理员账号新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后输入任意组合的最好不低于20位的密码操作步骤如下选择“Users”目录下的“新建”子目录,然后点击“用户”,如下图所示在“姓(L)”和“用户登录名(U)”中输入“Administrator”内容,然后点击“下一步”如下图所示在此处输入“密码”,输入的密码必需符合系统的密码过滤规范,即要包含数字、字母、特殊字符等,然后点击“下一步”完成账号设置如下图所示添加的虚拟账户默认隶属于Users组,以保证该账户最小的权限如下图所示
3、修改Guest账户将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,操作如下选择“Guest”账户,点击右键选择“重设密码”,如下图所示然后输入一个复杂密码,输入的密码必需符合系统的密码过滤规范,即要包含数字、字母、特殊字符等,然后点击“确定”,如下图所示选择“Guest”账户,点击右键选择“属性”,如下图所示选择“账户”选项卡,在“账户选项”中点击“账户已禁用”打勾,然后“确定”如下图所示
4、编辑默认域账户设置在“开始”-“管理工具”-“域安全策略”,打开“默认域账户设置”窗口,选择“安全设置“-“账户策略”-“账户锁定策略”,将账户设为“3次登陆无效”,“锁定时间60分钟”,“复位锁定计数设为60分钟”(注“复位锁定计数器时间”必须大于“账户锁定时间”)如下图所示
5、在“默认域安全设置”-“本地策略”-“安全选项”中将“不显示上次的用户名”设为“启用”,如下图所示
6、在“默认域安全设置”-“本地策略”-“用户权利”分配中将“从网络访问此计算机”中添加组或账号,以使其可以通过网络访问些计算机,如下图所示选择“定义这些策略设置”打勾,并点击“添加用户或组(U)”,点击“浏览”出现窗口如下图所示点击“高级(A)”后,出现如下图所示点击“立即查找(N)”后,在“搜索结果(U)”中列出所有账户信息,如下图所示添加启动IIS进程账户(IIS_WPG)和域的来宾账户(DomainGuests)如果还提供其他的服务如Asp.net,则保留相应账户即可第三章系统资源的安全管理本章包括二个实训
3.1文件系统和共享资源的安全设置
3.2注册表的安全管理实训
3.1文件系统和共享资源的安全设置实训目的Windows系统为本地及网络用户提供了一系列良好应用资源,因此保障这些应用资源的有效、安全的应用是尤为重要,本实训对资源安全管理措施进行详细分析和设置实训要求安装windowsServer2003系统的计算机实训内容对系统盘、c:\DocumentsandSettings目录及其子目录分别进行不同的权限设置,对system32目录的可执行程序进行权限设置实训过程
1、设置系统盘(c:\)权限打开“我的电脑”选择系统盘右键选择“属性”,在弹出的窗口中选择“安全”选项卡,如下图所示保留“administrators”和“system”用户组权限的默认值,其他用户组删除,如下图所示
2、添加IIS_WPG进程组“特别权限或高级设置,请单击‘高级’”处点击“高级”按钮,如下图所示点击“添加”按钮后,出现如下图所示选择“高级(A)…”按钮,然后点击“立即查找(N)”按钮,出现如下图所示选择“IIS_WPG”后点击“确定”后,在“权限项目”窗口中设置,应用到“只有该文件夹”权限为“创建文件/写入数据”,点击“确定”,如下图所示在“高级安全设置”窗口中点击“应用”,如下图所示重复以上过程继续添加IIS_WPG,然后到“权限项目”窗口中设置不同的权限,应用到“该文件夹,子文件夹及文件”,权限设置“遍历文件夹/运行文件”、“列出文件夹/读取数据”、“读取属性”、“创建文件夹/附加数据”、“读取权限”,如下图所示在“高级安全设置”窗口中点击“应用”,如下图所示
2、设置系统盘\DocumentsandSettings及其子目录权限(\DocumentsandSettings子目录的权限不会继承\DocumentsandSettings的设置因此需分别设置)选择\DocumentsandSettings文件夹,点击右键选择“属性”,在“安全”选项卡中只保留Administrators和SYSTEM权限,其他的删除,如下图所示选择\DocumentsandSettings\AllUsers文件夹,点击右键选择“属性”,在“安全”中只保留Administrators和SYSTEM权限,其他的删除,如下图所示选择\DocumentsandSettings\AllUsers\ApplicationData文件夹,点击右键选择“属性”,在“安全”中只保留Administrators和SYSTEM权限,其他的删除,如下图所示选择\Windows文件夹,点击右键选择“属性”,在“安全”中只保留Administrators和SYSTEM和users权限,其他的删除(ASP和ASPX等应用程序运行需要users的权限),如下图所示其他目录,如果有安装程序运行的可设置Administrators和SYSTEM权限,无只给Administrators权限(某些程序的服务功能需要SYSTEM用户组权限)
3、设置\Windows\System32目录下文件的权限将\Windows\System32目录下的net.exe,net
1.exe,cmd.exe,command.exe,ftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe等文件设置Administrators权限(下面以net.exe文件设置为例)选择文件net.exe点击右键,选择“安全”选项卡,在“组或用户名称(G)”中只保留Administrators用户组名称,其他的删除,如下图所示实训
3.2注册表的安全管理实训目的windows的应用程序的许多初始化信息和配置信息等都存储在注册表中,如某些软件的序列号和注册信息,远程数据库的用户和明文口令等,对注册表信息进行修改即可以增强系统安全,又能为入侵者提供便利,因此进行安全保护具有举足轻重的作用实训要求安装windowsServer2003系统的计算机实训内容注册表中记录了windows系统和程序进行运转的几乎所有关键信息,在对注册表相关项进行设置提高系统的安全性的同时也需对注册表本身进行访问控制防止注册表的非法修改实训过程
一、修改注册表相关项目提高安全性
1、禁用IPC空连接默认情况下,任何用户可利用netuse、netview、nbtstat等网络命令建立空连接连上服务器,进而枚举出帐号,猜测密码因此禁止空连接很有必要具体步骤如下在“开始”菜单中选择“运行”命令,输入“regedit”打开注册表,如下图所示找到如下分支KEY_Local_Machine\System\CurrentControlSet\Control\LSA的RestrictAnonymous值项,把该值改成“1”,如下图所示
2、更改TTL值不同的TTL值代表不同的操作系统,因此,通过修改TTL值为任意值,可以防止入侵者根据ping回的TTL值来大致判断你的操作系统,具体操作如下TTL=107WINNT;TTL=108win2000;TTL=127或128win9x;TTL=240或241linux;TTL=252solaris;TTL=240Irix;可根据情况修改该值,找到如下分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建名称为DefaultTTL类型为REG_DWORD的键值,如下图所示双击DefaultTTL键名,任意设置一个十进制数字258(十六进制102)如下图所示
3、完全隐藏重要文件/目录系统盘中的一些重要文件/目录及一些设置为“隐藏”属性的文件/目录一般可以通过修改窗口属性后看到,通过修改注册表能实现完全隐藏的效果具体步骤如下找到如下分支HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL的CheckedValue值项,把数值改为0,如下图所示
二、注册表访问控制的安全管理对注册表的安全管理可以分为两种一种方法是对注册表命令(regedit.exe、Reg.exe)文件添加需要访问的账户名及权限设置即可对文件进行权限设置的方法在实训
3.2中已做介绍下面介绍另一种方法是限制对注册表的网络访问和对注册表关键项的访问对注册表网络访问(远程访问)的实现可以通过设置下列子关键字Winreg的访问控制列表ACL实现打开注册表,找到下面分支HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths的Machine值项,如下图所示将需要远程访问的注册表键的路径添加到Machine值中即可也可以在“本地安全策略”的“安全选项”中的“网络访问可远程访问的注册表路径和子路径”进行设置第四章IIS服务的实现和安全配置本章包括二个实训
4.1启用IIS服务功能
4.2IIS服务的安全配置实训
4.1启用IIS服务功能实训目的IIS(InternetInformationServer)作为如今最流行的WEB服务器之一,提供了强大了Internet和Intranet服务功能,因此,建立高安全性能可靠的WEB服务器,已成为网络管理的重要部分实训要求安装windowsServer2003系统的计算机实训内容启用IIS服务器,配置相关的IIS服务应用功能实训过程
1、启动windows2003服务器,添加IIS服务“开始菜单”-“控制面板”-“添加或删除程序”-“添加/删除Windows组件”,选择“应用程序服务器”,如下图所示在窗口中点击“详细信息”,选择“Internet信息服务(IIS)”,后点击“确定”,如下图所示
2、配置Web站点选择“开始”-“程序”-“管理工具”,选择“Internet信息服务(IIS)管理器”命令,如下图所示
(1)设置网站基本属性在IIS管理器窗口中,展开左侧的目录树,右击“网站”的选项,选择“新建(N)”-“网站(W)”如下图所示在网站创建向导窗口中输入“shixun”,点击“下一步”按钮,如下图所示在“IP地址和端口设置”窗口中“网站IP地址(E)”选择本服务器IP地址,(“网站TCP端口”处可修改默认端口号,以提高网站安全性,这里采用暂不修改)如下图所示在“网站主目录”窗口“路径(P)”处输入网站内容存放的位置(可新建目录),任一个网站都需要有主目录作为默认目录,如下图所示在“网站访问权限”窗口中可设置访问权限,如下图所示点击“确定”后完成“shixun”网站的新建工作,以上设置如需在建站成功后修改,可右击“shixun”网站名称,选择“属性”,在“网站”选项卡中可以配置网络标识中的IP地址为本服务器IP地址、TCP端口,如下图所示
(3)在“主目录”选项卡中可设置当客户端请求链接时,就会将主目录中的网页等内容显示给用户,如下图所示
(4)设置默认文档,通常情况下,Web网站都需要至少一个默认文档,当在IE浏览器中使用IP地址或域名访问时,Web服务器会将默认文档回应给浏览器,并显示其内容在下图中添加“index.html”
(5)将制作好的整个网站全部上传到主目录,即“C:\Inetpub\shixun”中,其中网站的主文档名称必需是以上设置的默认内容文档的名称之一最后输入网站IP地址“http://
192.
168.
2.1/index.html”访问该网站如下图所示在第三章实训
3.1中对系统盘(C\)的目录及文件的权限进行过设置,删除了不需要的用户组及账户,因此在此处则需要输入用户名才对网站进行访问可对“C:\Inetpub\shixun”目录添加访问用户组、单个账户及权限,如添加“Everyone”用户组或添加单个账户,以排除被限制访问网站的人员(注如添加的是“Everyone”账户组则将以匿名方式访问,如新建的个人账户则密码输入纯数字)实训
4.2IIS服务的安全配置实训目的Windows系统是一个开放的系统,文件系统几乎没有进行安全设置,接入网络的任何用户都可以访问资源,IIS服务同样具有这样的风险,因此,加强对IIS服务器的安全设置,是非常有必要的实训要求安装windowsServer2003系统的计算机,并启用IIS服务实训内容设置从网络访问计算机的访问控制,删除不必要的访问用户组IIS属性的安全设置主目录访问权限、目录安全性、删除不必要的默认文档、日志文件目录的修改实训过程
一、设置从网络访问服务器的权限打开“开始”-“程序”-“管理工具”-“本地安全策略”,在弹出的窗口的右边栏中选择“本地策略”-“用户权限分配”,在右边栏中选择“从网络访问计算机”选项,如下图所示打开“从网络访问计算机”选项,在此添加用以通过网络访问网站的用户组或单个账户,并且删除不需要的用户组或单个账户如下图所示
二、IIS属性的安全设置
1、打开“Internet信息服务(IIS)管理器”,选择“shixun”右键点击属性,在窗口中选择“主目录”选项卡,将“脚本资源访问(T)”及“读取(R)”打勾,如下图所示
2、选择“目录安全性”选项卡,在“身份验证和访问控制”中点击“编辑”按钮,如下图所示将“启用匿名访问(A)”的勾去掉,不允许匿名访问,如下图所示在“IP地址和域名限制”中点击编辑,在弹出的窗口中可授权或拒绝访问的计算机IP地址,如拒绝
192.
168.
2.1访问,设置如下图所示设置成功后,打开该网站,则出现“客户端IP地址被拒绝”的网页提示,如下图所示
3、删除不必要的IIS扩展名映射选择“主目录”选项卡,删除掉主要为.shtml.shtm.stm
4、更改IIS日志的路径选择“网站”选项卡,在“启用日志记录(E)”中点击“属性”按钮,在“日志文件目录(L)”中更改日志文件存放位置,防止非法修改,如下图所示第五章Windows系统的安全加固及漏洞防范本章包括一个实训
5.1系统的安全加固及漏洞防范实训
5.1系统的安全加固及漏洞防范实训目的WindowsServer2003作为Microsoft最新推出的服务器操作系统,相比Windows2000/XP系统来说,各方面的功能确实得到了增强,尤其在安全方面,但“金无足赤”任何事物也没有十全十美的,微软Windows2003也是如此,照样存在着系统漏洞、存在着不少安全隐患!如何让WindowsServer2003更加安全,成为广大用户十分关注的问题实训要求安装windowsServer2003系统的计算机实训内容Windows2003系统加固堵住资源共享隐患、远程访问、用户切换实训过程
1、堵住资源共享隐患为了给局域网用户相互之间传输信息带来方便,WindowsServer2003系统为各位提供了文件和打印共享功能,不过我们在享受该功能带来便利的同时也向黑客们敞开了不少漏洞,给服务器系统造成了很大的不安全性;所以,在用完文件或打印共享功能时,应随时将功能关闭,以便堵住资源共享隐患,下面就是关闭共享功能的具体步骤执行控制面板菜单项下面的“网络连接”命令,在随后出现的窗口中,用鼠标右键单击一下“本地连接”图标,如下图所示在打开的快捷菜单中,单击“属性”命令,这样就能打开一个“Internet协议TCP/IP”属性设置对话框,取消“Microsoft网络的文件和打印机共享”这个选项,如下图所示
2、堵住远程访问隐患在Windows2003系统下,要进行远程网络访问连接时,该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码,通过普通明文内容方式传输给对应连接端的客户端程序;在明文帐号传输过程中,实现“安插”在网络通道上的各种嗅探工具,会自动进入“嗅探”状态,这个明文帐号就很容易被“捕获”;明文帐号及密码内容一旦被黑客或其他攻击者利用的话,小心自己的系统被“疯狂”攻击吧!为了杜绝这种安全隐患,我们可以按下面的方法来为系统“加固”点击系统桌面上的“开始”按钮,打开开始菜单,从中执行控制面板命令,从弹出的下拉菜单中,选中“系统”命令,打开一个“系统属性”设置界面,鼠标单击“远程”选项卡,如下图所示在“远程桌面”中,将“启用这台计算机上的远程桌面(E)”选项取消掉,这样就可以将远程访问连接功能屏蔽掉,从而堵住远程访问隐患了
3、堵住页面交换隐患Windows2003操作系统即使在正常工作的情况下,也有可能会向黑客或者其他访问者泄漏重要的机密信息,特别是一些重要的帐号信息也许我们永远不会想到要查看一下,那些可能会泄漏隐私信息的文件在操作系统中的页面交换文件中,其实就隐藏了不少重要隐私信息,这些信息都是在动态中产生的,要是不及时将它们清除,就很有可能成为黑客的入侵突破口;为此,我们可按照下面的方法,来让Windows2003操作系统在关闭系统时,自动将系统工作时产生的页面文件全部删除掉
1、在Windows2003的“开始”菜单中,执行“运行”命令,打开运行对话框,并在其中输入“Regedit”命令,来打开注册表窗口,如下图所示
2、在该窗口的左边区域中,用鼠标依次单击HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memorymanagement键值,找到右边区域中的ClearPageFileAtShutdown键值如图2所示,并用鼠标双击之,在随后打开的数值设置窗口中,将该DWORD值重新修改为“1”,如下图所示
4、清除默认共享隐患使用WindowsServer2003的用户都会碰到一个问题,就是系统在默认安装时,都会产生默认的共享文件夹虽然用户并没有设置共享,但每个盘符都被Windows自动设置了共享,其共享名为盘符后面加一个符号$(共享名称分别为c$、d$、ipc$以及admin$)也就是说,只要攻击者知道了该系统的管理员密码,就有可能通过“\\工作站名\共享名称”的方法,来打开系统的指定文件夹,因此,我们很有必要将WindowsServer2003系统默认的共享隐患,从系统中清除掉
1、删除WindowsServer2003默认共享,首先编写如下内容的批处理文件 @echooffnetshareC$/delnetshareD$/delnetshareE$/delnetshareF$/delnetshareadmin$/del以上文件的内容用户可以根据自己需要进行修改保存为delshare.bat,存放到系统所在文件夹下的system32\GroupPolicy\User\Scripts\Logon目录下然后在“开始”菜单-“运行”中输入gpedit.msc,回车即可打开组策略编辑器点击“用户配置”-“Windows设置”-“脚本登录/注销”-“登录”,如下图所示 在出现的“登录属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“确定”按钮,如下图所示重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度
2、禁用IPC连接IPC$InternetProcessConnection是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方计算机即可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问它是WindowsNT/2000/XP/2003特有的功能,但它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接NT/2000/XP/2003在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享c$d$e$……和系统目录winnt或windowsadmin$共享所有的这些,微软的初衷都是为了方便管理员的管理,但也为简称为IPC入侵者有意或无意的提供了方便条件,导致了系统安全性能的降低在建立IPC的连接中不需要任何黑客工具,在命令行里键入相应的命令就可以了,不过有个前提条件,那就是你需要知道远程主机的用户名和密码打开CMD后输入如下命令即可进行连接netuse\\ip\ipc$password/user:usernqme我们可以通过修改注册表来禁用IPC连接打开注册表编辑器找到如下组建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接,具体步骤参看在第三章实训
3.2修改注册表相关项目提高安全性
4、清空远程可访问的注册表路径大家都知道,Windows2003操作系统提供了注册表的远程访问功能,只有将远程可访问的注册表路径设置为空,这样才能有效的防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息打开组策略编辑器,依次展开“计算机配置”-“Windows设置”-“安全设置”-“本地策略”-“安全选项”,在右侧窗口中找到“网络访问可远程访问的注册表路径”,然后在打开的窗口中,将可远程访问的注册表路径和子路径内容全部设置为空,如下图所示以下注册表修改,可参照第三章实训
3.2进行设置,在此不再复述
4、防止SYN洪水攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为SynAttackProtect,值为2EnablePMTUDiscoveryREG_DWORD0NoNameReleaseOnDemandREG_DWORD1EnableDeadGWDetectREG_DWORD0KeepAliveTimeREG_DWORD300000PerformRouterDiscoveryREG_DWORD0EnableICMPRedirectsREG_DWORD
05、禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface新建DWORD值,名为PerformRouterDiscovery值为
06、防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters将EnableICMPRedirects值设为
07、不支持IGMP协议HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为IGMPLevel值为0。