《系统安全加固》.pptVIP

01 Windows系统安全分析 什么是安全的操作系统？ 一般意义上说，一个操作系统是安全的，是指该系统能够控制外部对系统信息的访问，也就是说，只有经过授权的用户或代表该用户运行的进程才能读、写、创建和删除信息。 【通俗的说】 身份认证解决的是“你是谁，你是否真的是你所声称的身份” 访问控制解决的是“你能做什么，你有什么样的权限”。 操作系统安全的含义 操作系统安全具有两层含义： 一、是指操作系统设计时，通过权限访问控制、信息加密保护、完整性鉴定等一些安全机制实现的安全。 二、是指在操作系统使用过程中，考虑系统缺陷和应用环境的不安全因素而必须进行系统的安全配置。 操作系统的安全配置 操作系统安全配置主要包含以下三个方面： 1、访问权限的恰当设置 指利用操作系统提供的访问控制功能为用户和文件系统设置恰当的访问权限。 2、系统的及时更新 几乎所有操作系统都不同程度的存在着设计和程序缺陷，在应用中产生安全漏洞，容易被病毒利用来侵入并攻击用户计算机。 3、对于攻击的防范 利用操作系统提供的各种功能和安装各种防范软件来提高系统的安全防护能力。 操作系统的安全漏洞 几乎所有的操作系统都不是十全十美的，总存在些安全漏洞。 一些常见及重大的操作系统安全漏洞类型包括： 1、缓冲区溢出漏洞 2、TCP/IP协议漏洞 3、web应用安全漏洞 4、开放端口的安全漏洞 02 Windows系统安全加固 Windows系统安全加固策略 1、账号安全设置 2、设置安全的密码 3、设置屏幕保护密码 4、关闭不必要的服务 5、关闭不必要的端口 6、开启系统审核策略 7、开启密码策略 8、开启账户锁定策略 9、关闭系统默认共享 10、禁止TTL判断主机类型 11、修补操作系统漏洞 12、其他安全设置 2.1 windows账户安全设置 可以将guest账号关闭、停用或改名。如果必须要用guest账号的话，需将guest列入拒绝“网络访问”的名单中，防止guest账号从网络访问本计算机、关闭计算机以及查看系统日志等。（如果本地有打印机共享或者文件夹共享则不能做此设置） 第一步：禁用guest 2.1 windows账户安全设置 去掉所有的测试账户、共享账户和普通部门账号等。用户组策略设置相应权限，并且经常检查系统的账户，删除已经不适用的账户。 账户很多是黑客们入侵系统的突破口，系统的账户越多，黑客们得到合法用户的权限可能性也就越大。 对于windows NT主机，如果系统账户超过10个，一般能找出一两个弱口令账户，所以账户数量不要大于10个。这些不用的账户要定期清理掉。 第二步：限制用户数量 2.1 windows账户安全设置 windows系统中的administrator账号是不能被停用的，这意味着别人可以一遍又一遍地尝试这个账号的密码。如果把administrator账号更名则可以有效地防止这一点。 不要使用admin之类的迷你工资，改了等于没改，尽量把它伪装成普通用户。例如，将administrator改成guesttest。 第三步：管理员账号更名 2.1 windows账户安全设置 陷阱账号是创建是一个名为“administrator”的本地账户，把它的权限设置为最低，基本上什么权限都没有，并且为账号设置一个特别复杂的密码。 这样可以让那些企图入侵者忙上很长一段时间了，借此来发现其入侵的企图。例如，将此用户隶属于guests组，并且密码为20位以上的数字+大小写字母+特殊符号的密码。 第四步：创建陷阱账户 2.2 设置安全的密码 1. 123456 2. 123456789 3. qwerty 4.5. 111111 6. 1234567890 7. 1234567 8. password 9. 123123 10. 987654321 11. qwertyuiop 12. mynoob 13. 123321 14. 666666 15. 18atcskd2w 16. 7777777 17. 1q2w3e4r 18. 654321 19. 555555 20. 3rjs1la7qe 好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。一些网络管理员创建账号的时候往往用公司名、计算机名、用户姓名等，或者一些别的一猜就能得到的字符做用户名，然后又把这些账户的密码设置得比较简单。 什么样的密码是安全的密码：安全期内无法破解出来的密码就是安全的密码，也就是说，如果得到了密码的密文，必须经过43天以上才能破解出来，密码策略是42天必须改密码。 20个最常用的弱口令： 2.3 设置屏幕保护密码 设置屏幕保护密码可以防止内部人员破坏计算机的一个屏障。注意，不要使用OpenGL和一些