WINDOWS安全运维培训.pptVIP

FTP日志分析 国家信息安全工程技术研究中心-教育培训中心 FTP日志分析，如下例： #Software: Microsoft Internet Information Services 5.0　（微软IIS5.0） #Version: 1.0 （版本1.0） #Date:03:11:55 （服务启动时间日期） 03:11:55 [1]USER administator 331　（IP地址为用户名为administator试图登录） 03:11:58 [1]PASS – 530　（登录失败） 03:12:04 [1]USER nt 331　（IP地址为用户名为nt的用户试图登录） 03:12:06 [1]PASS – 530　（登录失败） 03:12:32 [1]USER administrator 331　（IP地址为用户名为administrator试图登录） 03:12:34 [1]PASS – 230　（登录成功） 03:12:41 [1]MKD nt 550　（新建目录失败） 03:12:45 [1]QUIT – 550　（退出FTP程序） 　 从日志里就能看出IP地址为的用户一直试图登录系统，换了3次用户名和密码才成功，管理员立即就可以得知管理员的入侵时间IP地址以及探测的用户名。 HTTP的日志分析 国家信息安全工程技术研究中心-教育培训中心 HTTP日志分析，如下例： 　　#Software: Microsoft Internet Information Services 5.0 　　#Version: 1.0 　　#Date:03:09:31 　　#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 　03:09:31 6 7 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 　03:09:34 6 7 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 　　通过分析第六行，可以看出2000年10月23日，IP地址为6的用户通过访问IP地址为7机器的80端口，查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt，有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间 国家信息安全工程技术研究中心-教育培训中心 国家信息安全工程技术研究中心-教育培训中心 Windows安全原理 Windows安全配置 Windows安全工具 国家信息安全工程技术研究中心-教育培训中心 Agenda Windows安全配置 安装 审核系统安全性 访问控制 账号安全策略 管理员权限 网络服务安全设置 文件系统安全 安全日志 其它的安全设置 国家信息安全工程技术研究中心-教育培训中心 安装 使用正版可靠安装盘 如果语言不成为障碍，建议使用英文版操作系统，因为微软的产品都是“BugPatch”而著称，中文版的Bug远远多于英文版,补丁发布时间也较迟。 将系统安装在NTFS分区上 NTFS比FAT、FAT32更有优势。 系统和数据要分开存放在不同的磁盘 最少建立两个分区，一个系统分区，一个应用程序分区，因为微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。 组件的定制和最小化安装服务 “最小的服务+最小的权限=最大的安全”，只定制安装必需的服务和协议，留心系统默认安装的组件。 国家信息安全工程技术研究中心-教育培训中心 审核系统安全性 系统安全审核以本地用户的身份来评估系统安全配置 采用专门的杀毒软件检查病毒和后门。 例如：安装国外比较知名的防毒软件进行防范。 国家信息安全工程技术研究中心-教育培训中心 审核系统安全性 防范木马（远程控制工具）及恶意程序，采用专用清除工具进行防范; 例如：Microsoft? Windows AntiSpyware (Beta)以及随后的升级版本Microso