Win2K3-安防指引.pptVIP

Windows安全防护指引 高效、正确地工作 内容提要 黑客攻击的基本步骤 踩点及其防范 端口扫描、查点及其防范 入侵及种植后门 掩踪灭迹及其防范 服务器管理方法推荐 黑客攻击的基本步骤 踩点 扫描 入侵 种植后门 清除脚印 踩点及其防范 踩点的目的： 汇集目标信息 公司的Web网页 IP地址，管理员邮箱 所用工具： Whois Nslookup 防范措施：无 端口扫描、查点及其防范 端口扫描目的 初步判断操作系统类型 确定主机运行的服务 端口 扫描的工具 superscan、X-Scan、流光 端口扫描的防范 关闭多余服务 启用防火墙 使用IPSec阻塞端口 对于必开端口无法防止扫描 端口扫描、查点及其防范 查点的目的 判断操作系统类型 确定主机软件环境 收集主机配置信息 查点常用工具 X-Scan、流光 查点的防范 修改端口banner信息 阻塞端口 入侵及种植后门 入侵及种植后门的目的： 获取目标主机的最高控制器权 获取机密数据 篡改关键信息 入侵及种植后门的方法： 根据操作系统和服务的不同，方法不一 入侵及种植后门的防范 及时打好各种补丁 做好之前的防护工作 启用审核 掩踪灭迹及其防范 掩踪灭迹的目的 毁灭入侵正确 掩藏入侵痕迹，避免用户察觉 掩踪灭迹的方法 关闭审核 删除日志 隐藏文件 防范方法 修改日志默认存放路径 服务器管理方法推荐 性能调优 主机保护 账户保护 网络周边保护 性能调优 我的电脑右键属性 性能调优 停止不需要的服务 Services.msc 主机保护 确保主机物理位置安全 开启自动更新 安装杀毒软件和防火墙（个人PC） 设置相应的本地安全策略 使用MBSA检测安全性 账户保护 设置足够强大的密码 设置账户锁定策略 通过syskey命令保护密码 如网络环境允则不存储LM哈希 禁用administrator，改用其他管理员 使用普通账户做日常登录账户，使用RunAs做日常管理 账户保护 RunAs 允许用户用其他权限运行指定的工具和程序，而不是用户当前登录提供的权限。 RunAs的图形方式 网络周边保护 只开启需要的服务，减少受攻击面 如无必要删除系统默认共享 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters AutoShareServer 和 AutoShareWks DWORD值设为0 HKLM\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous =1 使用扫描软件寻找系统漏洞 网络周边保护 使用IPSec关闭端口，控制通讯 开启审核并修改日志默认存放路径 HKLM\SYSTEM\ CurrentControlSet\Services\Eventlog 随时关注微软安全通报 /china/technet/security/advisory/default.mspx 提问讨论 胜意科技2009