【文档说明】Windows2000系统安全管理.pptx，共(41)页，121.676 KB，由精品优选上传

转载请保留链接：https://www.ichengzhen.cn/view-288290.html

以下为本文档部分文字说明：

Windows2000系统安全管理•系统帐号管理•文件系统管理•系统进程服务•系统安全基本配置用户类型•Administrator(默认的超级管理员)•系统帐号(PrintOperater、BackupOperator)•Guest(默认来宾帐号)

系统帐号管理本地用户(accounts)和组(groups)•帐户(useraccounts)-定义了Windows中一个用户所必要的信息，包括口令、安全ID(SID)、组成员关系、登录限制，…•组：Administrators、BackupOperators、Guest、PowerUsers系

统帐号管理密码存放位置•注册表HKEY_LOCAL_MACHINE\SAM下•Winnt/system32/config/sam系统帐号管理•Windows下管理工具—计算机管理—本地用户和组•Window

s下(域)用户管理器•命令行方式netuser用户名密码/add[/delete]将用户加入到组netlocalgroup组名用户名/add[/delete]添加/删除帐户系统帐号管理Win2000的默认安装允许任何用户通过空用

户得到系统所有账号/共享列表，这是为了方便局域网用户共享文件的。但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1来禁止13

9空连接。同时Windows的本地安全策略就有这样的选项RestrictAnonymous（匿名连接的额外限制），这个选项有三个值：0：None.Relyondefaultpermissions（无，取决于默认的权限）1：DonotallowenumerationofSA

Maccountsandshares（不允许枚举SAM帐号和共享）2：Noaccesswithoutexplicitanonymouspermissions（没有显式匿名权限就不允许访问）0，这个值是系统默认的，什么限制都没有，远程用户可以

知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等。1，这个值是只允许非NULL用户存取SAM账号信息和共享信息。2，这个值需要注意的是，如果你一旦使用了这个值，共享信息就全完了。本地帐户系统帐号

管理SAM数据库与AD•SAM中口令的保存采用单向函数(OWF)或散列算法实现•在%systemroot%\system32\config\sam中实现•DC上，账号与密码散列保存在%systemro

ot%\ntds\ntds.dit中SYSKEY功能从NT4sp3开始提供散列128位随机密钥保存到SAM文件中保存随机密钥注册表中注册表中，同时使用额外的口令加密软磁盘SID与令牌•SID唯一标示一个对象–使用User2sid

和sid2user工具进行双向查询•令牌：通过SID标示账号对象以及所属的组SIDS-1-5-21-1507001333-1204550764-1011284298-500令牌User=S-1-21-S-1-5-2

1-1507001333-1204550764-1011284298-500Group1=EveryOneS-1-1-0Group2=AdministratorsS-1-5-32-544解读SIDSIDS-1-5-21-1507001333-1204550764-10112

84298-500修订版本编号颁发机构代码，Windows2000总为5子颁发机构代码，共有4个；具有唯一性相对标示符RID，一般为常数著名的SID❖S-1-1-0Everyone❖S-1-2-0Interactiv

e用户❖S-1-3-0CreatorOwner❖S-1-3-1CreatorGroupWindows2000认证与授权访问用户AWinlogon使用账户名称/口令进行认证成功令牌User=S-1-21-S-1-5-21-150700133

3-1204550764-1011284298-500Group1=EveryOneS-1-1-0Group2=AdministratorsS-1-5-32-544允许Read=AS-1-5-21……Write=administratorsS-1-5-32-544…File.tx

tSRM,安全参考监视器访问文件系统管理Windows系统用户的特定权利：•Accessthiscomputerfromnetwork可使用户通过网络访问该计算机。•Addworkstationtoadomain允许用户将工作站添加到域中。•Backu

pfilesanddirectories授权用户对计算机的文件和目录进行备份。•Changethesystemtime用户可以设置计算机的系统时钟。•Loadandunloaddevicedrive允许在网络上安装和删除设备驱动程序

。•Restorefilesanddirectories允许用户恢复以前备份的文件和目录。•Shutdownthesystem允许用户关闭系统。文件系统管理Windows系统的用户权限•权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作，指定允许哪些用户可以使用这些对象，以及如何使用（

如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwne

rship(O)。文件系统管理目录权限级别RXWDPO允许系统用户的操作NoAccessNone用户不能访问该目录ListRX可以查看目录中的子目录和文件名，也可以进入其子目录ReadRX具有List权限，用户可以读取目录中的文件和运行目录中的

应用程序AddXW用户可以添加文件和子目录AddandReadRXW具有Read和Add的权限ChangeRXWD有Add和Read的权限，另外还可以更改文件的内容，删除文件和子目录FullcontrolRXWDPO有

Change的权限，另外用户可以更改权限和获取目录的所有权Windows系统的用户权限目录权限文件权限Windows系统的用户权限权限级别RXWDPO允许系统用户的操作NoAccess用户不能访问该文件ReadRX用户可以读取该文件，如果是应用程序可以运行ChangeRXWD有Read

的权限，还可用修和删除文件FullcontrolRXWDPO包含Change的权限，还可以更改权限和获取文件的所有权Windows系统的共享权限共享权限级别允许系统用户的操作NoAccess(不能访问)禁止

对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名，改变共享Read(读)目录的子目录，还允许查看文件的数据和运行应用程序Change(更改)具有“读”权限中允许的操作，另外允许往目录中添加文件和子目录，更改文数据，删除文件和

子目录Fullcontrol(完全控制)具有“更改”权限中允许的操作，另外还允许更改权限(只适用于NTFS卷)和获所有权(只适用于NTFS卷)•从一个NTFS分区到另一个NTFS分区复制或移动都是继承权限(不

同分区，移动=复制+删除)•同一个NTFS分区复制：继承移动：保留•复制或移动到FAT(32)分区NTFS权限丢失文件转移权限文件系统管理系统进程和服务Windows系统服务•服务启动类型：自动，手动，禁用自动-Win2000启动时

自动加载服务手动-Win2000启动时不自动加载服务，在需要的时候手动开启禁用-Win2000启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置•注册表项：HKEY_LOCAL_M

ACHINE\SYSTEM\CurrentControlSet\Service底下每一笔服务项目子项都有一个Start数值,该数值内容所记录的就是服务项目驱动程式该在何时被加载。•目前Windows系统对于St

art内容的定义有0、1、2、3、4等五种状态,0、1、2分别代表Boot、System、AutoLoad等三种意义。而Start数值内容为3的服务项目代表让使用者以手动的方式载入(Loadondemand),4则是代表禁用状态。Windows系统进

程基本的系统进程•smss.exeSessionManager•csrss.exe子系统服务器进程•winlogon.exe用户登录管理•services.exe包含很多的系统服务（DNS、NETBIOS…）•lsass.exe管理IP安全策略以及启动IS

AKMP/Oakley(IKE)和IPSEC安全驱动程序。•svchost.exe包含很多系统服务(RPC、红外设备、移动设备…)•spoolsv.exe将文件加载到内存中以便迟后打印。•explorer.exe资源管理器•winmgmt.exe提供系统管理信息。•interna

t.exe输入法附加的系统进程（这些进程不是必要的）•mstask.exe允许程序在指定时间运行，也叫任务服务。•regsvc.exe允许远程注册表操作。•inetinfo.exe通过Internet信息服务的管

理单元提供FTP连接和管理。•tlntsvr.exe允许远程用户登录到系统并且使用命令行运行控制台程序（telnet）。•termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在服务器上的基于Wi

ndows的程序。Windows系统进程系统安全基本配置系统安全基本配置•Windows系统安装•本地安全策略的设置•补丁库的更新•紧急修复Windows系统安装•将系统安装在NTFS分区上，系统、数据、应用

程序应安装在不同的分区。初始化硬盘只有一个逻辑盘，建议最少建立三个分区，一个系统分区，两个应用程序分区。因为，Windows的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN权限。推

荐的安全配置是建立三个逻辑驱动器，第一个大于2G，用来装系统和重要的日志文件，第二个放IIS或者FTP，第三个放其它应用程序或者数据。这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。要知道，IIS和FTP是对外服务的，比

较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。Windows系统安装•安装后网络接入：当Windows在安装时有一个漏洞，在你输入Administrator密码后，系统就自动会建立了AD

MIN$的共享，但是并没有用你刚刚输入的密码来保护它，这种情况一直持续到你再次启动后。在此期间，任何人都可以通过ADMIN$进入你的机器。同时，只要安装一完成各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易被侵入。因此，在完全安装并配置好之前，一定不要把主机接入

网络。Windows系统安装本地安全策略的设置•帐户安全策略设置•审核策略设置•其它安全参数设置帐户安全策略设置•将Administrator重命名•将Guest来宾用户重命名•关闭和更改其它用户设置如：IUSR_HO

STNAME(匿名访问Internet信息服务的内置帐号)•在本地安全策略->安全选项中->启用登录屏幕上不要显示上次的登录的用户名这条策略。这样系统不会自动显示上次的登录用户名。密码策略的推荐设置强制执行密码历史记录密码最长期限密码最短期限密码必须符合复

杂性要求24个密码42天2天启用6位密码长度最小值为域中所有用户使用可还原的加密来储存密码禁用•账户锁定策略的推荐设置策略默认设置推荐最低设置帐户锁定时间未定义30分钟帐户锁定阈值03次无效登录复位帐户锁定计数器未定义30分钟针对远程访问的密码策略定制策略审核：W

in2000的默认安装是不开任何安全审核的，推荐的审核是：审核项目太多不仅会占用系统资源而且会导致管理员根本没有时间去详细查看，这样就失去了审核的意义。审核策略设置策略本地设置有效设置帐户管理成功失败登录事件成功失败策略更改成功失败特权使用失败无审核系统事件成功失败目录服务访问失败无

审核帐户登录事件成功失败对象访问失败无审核其它安全参数设置•Windows系统自带的安全模板C:\winnt\security\templates目录下其它安全参数设置•安全模板应用•运行->mmc•控制台->添加/删除管理单元

。•添加->安全配置和分析、安全模版。•创建新数据库->右击“安全配置和分析”领域项->选择“打开数据库”->键入新的数据库名，按“打开”。•选择要导入的安全配置文件，然后按“打开”。•右击“安全配置和分析”->立刻配置计算机。其它安全参数设置解决Windows200

0的共享引起的安全漏洞方法一、修改注册表，具体步骤如下：1、删除2000启动时没有默认共享c$,d$，WINNT$[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]下建立一个dword类型数据

2000professional是autosharewks=02、删除ipc$，admin$的共享在注册表的自动运行选项里新建一个项目,可以任意改名,然后修改键值为netshareipc$/del或是多新建几个运行项目,分别在每个项目里修改为netshareadmin$/del其它安全

参数设置方法二实际清除过程可以通过创建批处理文件delshare.bat来实现：echo修改注册表项，修改系统默认共享属性echo.echo生成delshare.reg准备修改注册表echoWindowsRegistryEditorVersion5.00>c:\del

share.regecho[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>>c:\delshare.regecho“AutoShareWks”=d

word:00000000>>c:\delshare.regecho“AutoShareServer”=dword:00000000>>c:\delshare.regecho运行delshare.reg修改

注册表regedit/sc:\delshare.regecho删除delshare.reg临时文件delc:\delshare.reg补丁库的更新•Windows的产品是以Bug&Patch而著称的，中文版的Bug远远多于英文版，而补丁一般还会迟至少半个月，也就是说一般微软公布了漏洞后系统还

会有半个月处于无保护状况。•使用Windows自动更新程序自动下载安装补丁程序。•补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换/修改某些系统文件，如果先安装补丁再安装Windows自带应用程序

有可能导致补丁不能起到应有的效果，例如：IIS的HotFix就要求每次更改IIS的配置都需要安装。紧急修复•制作紧急修复盘：•开始-运行-rdisk/s(NT)•开始-运行-Ntbackup(2000)•开始-附件-系统工具-备份Windows的加固检查列表使用安全配置工具集的循序渐进指南