《操作系統(tǒng)安全》第五章 windows 系統(tǒng)資源的安全保護

1、第5章 Windows系統(tǒng)資源的安全保護,,目的要求,掌握資源共享的實現(xiàn)方法以及共享資源的安全設(shè)置。掌握設(shè)置打印機的方法。了解注冊表基礎(chǔ)知識，初步掌握通過注冊表的設(shè)置提高系統(tǒng)安全的方法。了解安全審核基礎(chǔ)知識，初步掌握審核策略的設(shè)置和安全日志的分析方法。,5.1 文件系統(tǒng)和共享資源的安全設(shè)置,5.1.1 Windows中的常用文件系統(tǒng)5.1.2 EFS加密原理5.1.3資源共享5.1.4資源訪問權(quán)限的控制,5.1 文件系統(tǒng)和共

2、享資源的安全設(shè)置,文件系統(tǒng)操作系統(tǒng)用于明確磁盤或分區(qū)上存儲文件的方法和數(shù)據(jù)結(jié)構(gòu)，即在磁盤上組織文件的方法。從系統(tǒng)角度來看，文件系統(tǒng)是對文件存儲器空間進行組織和分配，負(fù)責(zé)文件存儲并對存入的文件進行保護和檢索的系統(tǒng)。具體地說，它負(fù)責(zé)為用戶建立、存入、讀出、修改文件以及撤銷文件等。,5.1 文件系統(tǒng)和共享資源的安全設(shè)置,文件系統(tǒng)新的硬盤上并沒有文件系統(tǒng)，必須使用分區(qū)工具對其進行分區(qū)并格式化后才會有管理文件的系統(tǒng)。 一塊硬盤就像一個塊

3、空地，文件就像不同的物資，我們首先得在空地上建起倉庫(分區(qū))，并且指定好(格式化)倉庫對材料的管理規(guī)范(文件系統(tǒng))，這樣才能將物資運進倉庫保管。,5.1.1 Windows中的常用文件系統(tǒng),1. FAT16：DOS、Windows 95都使用FAT16文件系統(tǒng)，現(xiàn)在常用的Windows 98/2000/XP等系統(tǒng)均支持FAT16文件系統(tǒng)。它最大可以管理大到2 GB的分區(qū)，但由于采用16位長的文件分配表（File Allocation

4、Table）每個分區(qū)最多只能有65525個簇（“簇”是磁盤空間保存信息的基本單位），由于FAT16管理“簇”的能力有限，隨著硬盤或分區(qū)容量的增大，每個簇所占的空間將越來越大，從而導(dǎo)致硬盤空間的浪費。并且隨著計算機硬件和應(yīng)用的不斷提高，F(xiàn)AT16文件系統(tǒng)已不能很好地適應(yīng)系統(tǒng)的要求。,5.1.1 Windows中的常用文件系統(tǒng),2. FAT32：隨著大容量硬盤的出現(xiàn)，從Windows 98開始，F(xiàn)AT32開始流行。它是FAT16的增強版本，

5、采用32位長的文件分配表來管理文件的存儲。同F(xiàn)AT16相比，F(xiàn)AT32主要具有以下特點： （1）管理“簇”的能力增強，支持的分區(qū)容量增大; （2）“簇”的尺寸變小，F(xiàn)AT32就比FAT16的存儲效率要高很多，通常情況下可以提高15%。 （3）FAT32文件系統(tǒng)可以重新定位根目錄和使用FAT的備份副本，減少了計算機系統(tǒng)崩潰的可能性。,5.1.1 Windows中的常用文件系統(tǒng),3．NTFS：Windows NT/2000/XP及以上

6、系統(tǒng)支持NTFS文件系統(tǒng)。與FAT文件系統(tǒng)相比，NTFS功能更強大，適合更大的磁盤和分區(qū)，支持安全性，是更為完善和靈活的文件系統(tǒng)，它是建立在保護文件和目錄數(shù)據(jù)基礎(chǔ)上，同時照顧節(jié)省存儲資源、減少磁盤占用量的一種先進的文件系統(tǒng)。相較于FAT文件系統(tǒng)，NTFS具有以下這些重要的安全特性：（1）容錯性;（2）權(quán)限控制;（3）支持EFS（Encrypting File System）加密;（4）支持文件壓縮;（5）磁盤配額;（6）審核

7、策略與安全日志,5.1.2 EFS加密原理,1. EFS的加密和解密過程（1）文件被復(fù)制到臨時文件。若復(fù)制過程中發(fā)生錯誤，則利用此文件進行恢復(fù)。（2）文件被一個隨機產(chǎn)生的Key加密，這個Key叫作文件加密密鑰（FEK），文件使用DESX對稱加密算法進行加密。（3）數(shù)據(jù)加密區(qū)域（DDF）產(chǎn)生，這個區(qū)域包含了使用用戶的公鑰加密的FEK，F(xiàn)EK使用RSA非對稱加密算法進行加密。（4）數(shù)據(jù)恢復(fù)區(qū)域（DRF）產(chǎn)生，產(chǎn)生這個區(qū)域的目的是為了

8、防止用戶在特殊情況下發(fā)生無法對加密文件進行解密的情況，從而設(shè)置了恢復(fù)代理這一特殊用戶，恢復(fù)代理在加密數(shù)據(jù)恢復(fù)策略（EDRP）中定義。DRF包含使用恢復(fù)代理的公鑰加密的FEK。如果在EDRP列表中有多個恢復(fù)代理，則FEK必須用每個恢復(fù)代理的公鑰進行加密。（5）包含加密數(shù)據(jù)、DDF及所有DRF的加密文件被寫入磁盤。（6）在第（1）步中創(chuàng)建的臨時文件被刪除。,5.1.2 EFS加密原理,1. EFS的加密和解密過程,5.1.2 EFS加密

9、原理,當(dāng)用戶解密文件時，EFS將執(zhí)行以下操作：（1）使用DDF和用戶的私鑰解密FEK。（2）使用FEK解密文件。,5.1.3資源共享,創(chuàng)建共享 （1）簡單文件共享 （2）高級文件共享,5.1.3資源共享,簡單文件共享 在要共享的文件夾上單擊鼠標(biāo)右鍵，選中“共享和安全…”菜單項，點選“共享”標(biāo)簽項，然后勾選“在網(wǎng)絡(luò)上共享這個文件夾”項，如果允許網(wǎng)絡(luò)上用戶修改你的共享文件，還可以勾選“允許網(wǎng)絡(luò)用戶更改我的文件”項。,5.1.3資

10、源共享,簡單文件共享 共享磁盤驅(qū)動器。在驅(qū)動器盤符上單擊鼠標(biāo)右鍵，選中“共享和安全…”菜單項，點選“共享”標(biāo)簽項，出現(xiàn)了一個安全提示，提示你注意驅(qū)動器共享后風(fēng)險。如果你繼續(xù)要共享的話，點擊“共享驅(qū)動器根”鏈接，以下操作與文件夾共享操作一樣。,5.1.3資源共享,簡單文件共享 開啟GUEST帳戶依次展開“控制面板→管理工具→計算機管理→本地用戶和組→用戶”選項，在右邊的GUEST賬號上單擊鼠標(biāo)右鍵，選中“屬性”菜單項，然后祛除“賬

11、號已停用”選項即可。,5.1.3資源共享,簡單文件共享 更改設(shè)置本地安全策略在啟用了GUEST用戶或本地相應(yīng)賬號的前提下，依次展開“控制面板→管理工具→本地安全策略→用戶權(quán)利指派”項，在“拒絕從網(wǎng)絡(luò)訪問這臺計算機”的用戶列表中，直接刪除其中的GUEST賬號即可，這樣用戶訪問共享則不需任何密碼，訪問更加簡捷明了，但是安全保障就比較差了,5.1.3資源共享,簡單文件共享 更改設(shè)置本地安全策略,5.1.3資源共享,高級文件共享 禁止簡

12、單文件共享 任意打開一個文件夾，點擊菜單欄的“工具→文件夾選項”，選中“查看”標(biāo)簽項，在高級設(shè)置里，去掉“使用簡單文件共享(推薦)”,5.1.3資源共享,高級文件共享 設(shè)置帳戶為不同權(quán)限的用戶設(shè)置不同的帳戶。添加新帳戶的方法：依次展開“控制面板→管理工具→計算機管理→系統(tǒng)工具→本地用戶和組→用戶”項，在右邊的窗口中，單擊鼠標(biāo)右鍵選中“新用戶“菜單項。,5.1.3資源共享,高級文件共享 設(shè)置帳戶如果希望網(wǎng)絡(luò)用戶可以通過該帳戶訪問

13、系統(tǒng)而不必要輸入密碼，也可以隨時更改xp系統(tǒng)的安全策略：打開“控制面板→管理工具→本地安全策略→本地策略→安全選項”，雙擊“賬戶: 使用空白密碼的本地賬戶只允許進行控制臺登錄”選項，點選“已停用”項，最后確定完成。,5.1.3資源共享,高級文件共享 設(shè)置共享及共享權(quán)限文件夾上單擊鼠標(biāo)左鍵，選中“共享和安全”項，此時，可以看到和“簡單文件共享”相比，下面多了個“權(quán)限”按鈕。,5.1.3資源共享,高級文件共享 設(shè)置共享及共享權(quán)限點擊

14、權(quán)限按鈕，默認(rèn)權(quán)限設(shè)置是網(wǎng)絡(luò)上每個用戶（EVERYONE）都擁有完全控制的權(quán)限。這樣設(shè)置是不安全的，應(yīng)把EVERYONE權(quán)限刪除，添加指定賬戶的權(quán)限（如“JJ”），按“添加”，查找?guī)裘癑J”，并確定，之后根據(jù)實際情況設(shè)置訪問用戶的權(quán)限：讀取權(quán)限，允許用戶瀏覽或執(zhí)行文件夾中的文件；更改權(quán)限，允許用戶改變文件內(nèi)容或刪除文件；完全控制權(quán)限，允許用戶完全訪問共享文件夾。,5.1.3資源共享,管理共享 查看本地機器上已創(chuàng)建的共享文件夾

15、依次展開“控制面板→管理工具→計算機管理→共享文件夾→共享”項可以看到本機上開放了哪些共享。,5.1.3資源共享,管理共享 查看局域網(wǎng)上已創(chuàng)建的共享文件夾通過“網(wǎng)上鄰居”來查看多臺電腦的共享文件效率不高，可以嘗試使用“LanDiscovery”軟件來查看局域網(wǎng)上已創(chuàng)建的共享文件夾,5.1.3資源共享,管理共享 查看局域網(wǎng)上已創(chuàng)建的共享文件夾除此之外，還可以在“開始→運行”窗口中輸入“cmd”命令，在彈出的運行對話框中輸入“ne

16、t share”命令查看共享資源。,5.1.3資源共享,管理共享 查看連接本機的用戶依次展開“控制面板→管理工具→計算機管理→共享文件夾→會話”項可以看到連接本機的用戶，在用戶名上單擊鼠標(biāo)右鍵，選中“關(guān)閉會話”項，即可斷開該用戶連接。,5.1.3資源共享,管理共享 查看連接本機的用戶還可以使用一款小巧軟件“ShareWatch”查看局域網(wǎng)上的哪些用戶正在訪問本機開放的共享文檔。安裝該軟件后，運行ShareWatch.exe就可以

17、看到如圖顯示的本機共享目錄，還可以看到訪問該目錄的局域網(wǎng)用戶WJJ-ER。,5.1.4資源訪問權(quán)限的控制,系統(tǒng)默認(rèn)的組和用戶的權(quán)限默認(rèn)情況下，系統(tǒng)為用戶分了6個組，并給每個組賦予不同的操作權(quán)限，依次為：管理員組（Administrators）：對計算機/域有不受限制的完全訪問權(quán)；高權(quán)限用戶組（Power Users）：擁有大部分管理權(quán)限，但也有限制；普通用戶組（Users）：用戶無法對系統(tǒng)進行有意或無意的改動；來賓用戶組（Gu

18、ests）：來賓組和用戶組有同等訪問權(quán)，但來賓賬戶的限制更多；備份操作組（Backup Operators）：允許備份或還原系統(tǒng)文件；文件復(fù)制組（Replicator）：允許域中的文件復(fù)制,5.1.4資源訪問權(quán)限的控制,2．NTFS權(quán)限讀?。≧ead）寫入（Write）讀取及運行（Read&Execute）修改（Modify）完全控制（Full Control）列出文件夾目錄（List Folder Conten

19、ts，只用于文件夾）,5.1.4資源訪問權(quán)限的控制,2．NTFS權(quán)限NTFS文件權(quán)限設(shè)置步驟如下：右鍵點選需要進行權(quán)限設(shè)置的文件夾或文件，選擇“屬性”，在彈出的對話框中，選擇“安全”選項卡，為相對應(yīng)的用戶/組設(shè)置權(quán)限，也可以刪除某個用戶/組的訪問權(quán)限，或者添加某個用戶/組，為其設(shè)置相對應(yīng)的權(quán)限，還可以點選“高級”，對權(quán)限做進一步的設(shè)置。,5.1.4資源訪問權(quán)限的控制,3．文件/文件夾的共享權(quán)限完全控制更改讀取,5.2 打印機的安

20、全管理,5.2.1打印服務(wù)器的安裝5.2.2共享網(wǎng)絡(luò)打印機5.2.3打印機權(quán)限的設(shè)置,5.2.1打印服務(wù)器的安裝,將打印機連接至主機，通過主機的“控制面板”進入到“打印機和傳真”文件夾，在空白處單擊鼠標(biāo)右鍵，選擇“添加打印機”命令，打開添加打印機向?qū)Т翱?。選擇“連接到此計算機的本地打印機”，并勾選“自動檢測并安裝即插即用的打印機”復(fù)選框；,5.2.1打印服務(wù)器的安裝,主機將會進行新打印機的檢測，之后根據(jù)提示安裝好打印機的驅(qū)動程序，此

21、時在“打印機和傳真”文件夾內(nèi)便會出現(xiàn)該打印機的圖標(biāo)了； 在新安裝的打印機圖標(biāo)上單擊鼠標(biāo)右鍵，選擇“共享”命令，打開打印機的屬性對話框，切換至“共享”選項卡，選擇“共享這臺打印機”，并在“共享名”輸入框中填入需要共享的名稱，例如“CompaqIJ”，單擊“確定”按鈕即可完成共享的設(shè)定；,5.2.1打印服務(wù)器的安裝,如果希望局域網(wǎng)內(nèi)其他版本的操作系統(tǒng)在使用共享打印機時不再需要費力地查找驅(qū)動程序，可以在主機上預(yù)先將這些不同版本操作系統(tǒng)所對應(yīng)

22、的驅(qū)動程序安裝好，只要單擊“其他驅(qū)動程序”按鈕，選擇相應(yīng)的操作系統(tǒng)版本，單擊“確定”后即可進行安裝了。 為了讓打印機共享順暢，必須在打印服務(wù)器和客戶機上都安裝“網(wǎng)絡(luò)文件和打印機的共享協(xié)議”。右擊桌面上的“網(wǎng)上鄰居”，選擇“屬性”命令，進入到“網(wǎng)絡(luò)連接”文件夾，在“本地連接”圖標(biāo)上點擊鼠標(biāo)右鍵，選擇“屬性”命令，如果在“常規(guī)”選項卡的“此連接使用下列項目”列表中沒有找到“Microsoft網(wǎng)絡(luò)的文件和打印機共享”，則需要單擊“安裝”按鈕

23、，在彈出的對話框中選擇“服務(wù)”，然后點擊“添加”，在“選擇網(wǎng)絡(luò)服務(wù)”窗口中選擇“文件和打印機共享”，最后單擊“確定”按鈕即可完成。,5.2.2共享網(wǎng)絡(luò)打印機,單擊“開始→設(shè)置→打印機和傳真”，啟動“添加打印機向?qū)А?，選擇“網(wǎng)絡(luò)打印機”選項。 在“指定打印機”頁面中提供了幾種添加網(wǎng)絡(luò)打印機的方式。如果你不知道網(wǎng)絡(luò)打印機的具體路徑，則可以選擇“瀏覽打印機”選擇來查找局域網(wǎng)同一工作組內(nèi)的打印服務(wù)器，再選擇服務(wù)器上的打印機后，點擊“確定”按鈕

24、；如果已經(jīng)知道了打印機的網(wǎng)絡(luò)路徑，則可以使用訪問網(wǎng)絡(luò)資源的“通用命名規(guī)范”(UNC)格式輸入共享打印機的網(wǎng)絡(luò)路徑，例如“\\james\compaqIJ”(james是主機的用戶名)，最后點擊“下一步”。,5.2.2共享網(wǎng)絡(luò)打印機,這時系統(tǒng)將要你再次輸入打印機名，完成后，單擊“下一步”，接著按“完成”，如果主機設(shè)置了共享密碼，這里就要求輸入密碼。最后我們可以看到在客戶機的“打印機和傳真”文件夾內(nèi)已經(jīng)出現(xiàn)了共享打印機的圖標(biāo)，至此網(wǎng)絡(luò)共享打

25、印機就在客戶機上安裝完成了。,5.2.3打印機權(quán)限的設(shè)置,1. 在服務(wù)器的“打印機和傳真”文件夾中，用鼠標(biāo)右鍵單擊其中的共享打印機圖標(biāo)，從右鍵菜單中選擇“屬性”選項，在接著打開的共享打印機屬性設(shè)置框中，切換“安全”選項卡。2. 在其后打開的選項設(shè)置頁面中，將“名稱”列表處的“everyone”選中，并將對應(yīng)“權(quán)限”列表處的“打印”選擇為“拒絕”，這樣任何用戶都不能隨意訪問共享打印機了。,5.2.3打印機權(quán)限的設(shè)置,3. 接著再單擊“添

26、加”按鈕，將可以使用共享打印機的合法賬號導(dǎo)入到“組或用戶名稱”列表中，再將導(dǎo)入的合法賬號選中，并將對應(yīng)的打印權(quán)限選擇為“允許”即可。 4. 重復(fù)第三步即可將其他需要使用共享打印機的合法賬號全部導(dǎo)入進來，并依次將它們的打印權(quán)限設(shè)置為“允許”，最后再單擊“確定”按鈕即可。,5.3注冊表的安全管理,5.3.1管理和維護注冊表5.3.2利用注冊表優(yōu)化設(shè)計Windows系統(tǒng)安全,5.3.1管理和維護注冊表,1. 維護注冊表的目的 Wind

27、ows通過注冊表中保存的一系列數(shù)據(jù)來控制操作系統(tǒng)及應(yīng)用軟件、硬件和用戶的環(huán)境等。操作系統(tǒng)正常運行或響應(yīng)處理各個應(yīng)用程序請求時，需要從注冊表中獲得相關(guān)的信息，離開了注冊表中的各種信息，Windows 將無法正常工作。,5.3.1管理和維護注冊表,1. 維護注冊表的目的 注冊表是Windows系統(tǒng)的核心數(shù)據(jù)庫，其中關(guān)系著系統(tǒng)中硬件與軟件的設(shè)置。注冊表的安全也面臨來自于各方的威脅，主要有：軟件的結(jié)構(gòu)越來越復(fù)雜，在安裝過程中對注冊表的

28、修改越來越多；硬件之間的沖突有可能破壞注冊表；計算機病毒惡意篡改注冊表；其他人為因素?fù)p壞注冊表，例如：非正常刪除應(yīng)用程序、驅(qū)動程序等。,5.3.1管理和維護注冊表,注冊表被破壞后，會出現(xiàn)的現(xiàn)象有：系統(tǒng)癱瘓或僅能以安全模式啟動；啟動應(yīng)用程序時，會出現(xiàn)“找不到xxx.dll”的出錯信息、提示某個文件丟失或不能定位的信息；“開始”菜單中丟失菜單項或變?yōu)椴豢捎?；顯示“注冊表損壞”的信息；原來正常使用的硬件設(shè)備突然不能正常工作了等等。

29、這些都是因為軟件、硬件、病毒、人為等原因造成，在維護注冊表時，為了避免盲目的修改注冊表，最穩(wěn)妥的辦法就是定期對注冊表進行備份，這樣即使注冊表被損壞了，也可以使用備份的注冊表文件進行恢復(fù)。,5.3.1管理和維護注冊表,2. 注冊表的結(jié)構(gòu)與組成（以Windows XP為例）通過Windows 注冊表編輯器（regedit.exe）打開注冊表，如圖5.22所示，可以看到注冊表編輯器窗口分為左、右兩個窗格，在左邊窗格中，采用了一種類似于目錄的

30、樹狀結(jié)構(gòu)將所有的數(shù)據(jù)組織在一起。注冊表主要由根鍵、子鍵、鍵值項和鍵值4部分組成。,5.3.1管理和維護注冊表,根鍵：即注冊表目錄樹中最底部的鍵。根鍵只能由Windows操作系統(tǒng)自動生成，用戶無法自行創(chuàng)建，也無法對其進行修改。Windows XP注冊表總共有5個根鍵可以存儲信息。,5.3.1管理和維護注冊表,子鍵：根鍵下包含若干子鍵，每個子鍵下又可以包含若干子鍵。鍵值項和鍵值：每個子鍵都有若干鍵值項，鍵值項包括鍵值名、鍵值類型、鍵值數(shù)據(jù)

31、，鍵值是可以更改的。鍵值名：不包括反斜杠的字符、數(shù)字、空格、的任意組合，同一鍵中不可有相同的名字。數(shù)據(jù)類型：支持多種注冊表數(shù)據(jù)類型，主要有二進制值、DWORD值、字符串值、多字符串值和可擴充字符串等。如表5-2所示：,5.3.1管理和維護注冊表,3. 注冊表的備份與恢復(fù)注冊表損壞后會帶來嚴(yán)重后果，因此要及時做好注冊表的備份工作，這樣即使以后注冊表被損壞，也可以通過后恢復(fù)注冊表來保證系統(tǒng)的正常運行。通常來說，應(yīng)該在如下時間備份注冊表

32、較為合適在初次運行Windows系統(tǒng)之后備份注冊表在安裝或者刪除應(yīng)用程序、驅(qū)動程序之前備份注冊表在使用系統(tǒng)設(shè)置工具修改配置之前備份注冊表,5.3.1管理和維護注冊表,（1）注冊表的備份在注冊表編輯器中，自帶有“導(dǎo)出”功能從而實現(xiàn)部分或全部注冊表的備份。具體方法為 單擊“文件”下拉菜單→單擊“導(dǎo)出”項，在出現(xiàn)的“導(dǎo)出注冊表文件”對話框中，選擇注冊表文件的保存位置鍵并鍵入文件名，再單擊“保存”按鈕即可。此時，在對應(yīng)的保存位置

33、上，備份了一個擴展名為.reg的文本文件，該文件包含了導(dǎo)出部分注冊表的全部內(nèi)容。,5.3.2利用注冊表優(yōu)化設(shè)計Windows系統(tǒng)安全,1.讓用戶名不出現(xiàn)在登錄框中 Win9x以上的操作系統(tǒng)對用戶登錄的信息具有記憶功能，重啟計算機時，會在用戶名欄中發(fā)現(xiàn)之前用戶的登錄名，這個信息可能會被一些攻擊者利用，給用戶造成威脅，為此我們有必要隱藏上機用戶登錄的名字。設(shè)置時，依次訪問鍵值 HKEY_LOCAL_MACHINE\Software\M

34、icrosoft\Windows\CurrentVersion\Winlogon 并在右邊的窗口中新建字符串"DontDisplayLastUserName"，把該值設(shè)置為"1"，即可。,5.3.2利用注冊表優(yōu)化設(shè)計Windows系統(tǒng)安全,2. 抵御BackDoor的破壞 目前，網(wǎng)上有許多流行的黑客程序，它們可以對整個計算機系統(tǒng)造成了極大的安全威脅，其中有一個名叫BackDoor的后門

35、程序，專門揀系統(tǒng)的漏洞進行攻擊。為防止這種程序?qū)ο到y(tǒng)造成破壞，我們可以通過相應(yīng)的設(shè)置來預(yù)防BackDoor對系統(tǒng)的破壞。設(shè)置時，依次訪問鍵值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 若在右邊窗口中如發(fā)現(xiàn)了“Notepad”鍵值項，將其刪除，這樣就能達到預(yù)防BackDoor的目的了。,5.3.2利用注冊表優(yōu)化設(shè)計Windows系統(tǒng)安全,3.

36、不允許使用“控制面板”控制面板是Windows系統(tǒng)的控制中心，可以對設(shè)備屬性，文件系統(tǒng)，安全口令等很多系統(tǒng)很關(guān)鍵的東西進行修改，可以根據(jù)需要禁用“控制面板”。設(shè)置時，依次訪問鍵值HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System\，并在其中新建DWORD值“NoDispCPL”，把值設(shè)置為“1”，即可。,5.3.2利用注冊表優(yōu)化設(shè)計

37、Windows系統(tǒng)安全,4.讓“文件系統(tǒng)”菜單在系統(tǒng)屬性中消失為了防止非法用戶隨意篡改系統(tǒng)中的文件，我們可以把“系統(tǒng)屬性”中“文件系統(tǒng)”的菜單隱藏起來。設(shè)置時，依次訪問鍵值HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\System，在右邊窗口中新建一個DWORD串值“NoFileSysPage”，把該值設(shè)置為“1”，即可。,5.3.2利用注

38、冊表優(yōu)化設(shè)計Windows系統(tǒng)安全,5. 鎖定桌面桌面設(shè)置包括壁紙、圖標(biāo)以及快捷方式，一般都不希望他人隨意修改桌面設(shè)置或隨意刪除快捷方式。修改注冊表可以幫我們鎖定桌面，這里“鎖定”的含義是對他人的修改不做儲存，不管別人怎么改，只要重新啟動計算機，桌面設(shè)置仍然不會發(fā)生變化。設(shè)置時，依次訪問鍵值HKEY_Users\Software\Microsoft\Windows\CurentVersion\Polioies\Explores，并用

39、鼠標(biāo)雙擊“No Save Setting”，把該值從“0”改為“1”，即可。,5.3.2利用注冊表優(yōu)化設(shè)計Windows系統(tǒng)安全,6. 禁用Regedit命令修改注冊表對于很多用戶來說是很危險的，為了安全，可以禁止注冊表編輯器regedit.exe運行。設(shè)置時，依次訪問鍵值HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\，在左邊窗口中如果發(fā)現(xiàn)

40、Policies下面沒有System子鍵，則新建一個子鍵，取名“System”，然后在右邊窗口新建一個DWORD串值“DisableRegistryTools”，把該值設(shè)置為“1”，即可。,5.3.2利用注冊表優(yōu)化設(shè)計Windows系統(tǒng)安全,7. 禁止修改“開始”菜單如果隨意更改開始菜單中的內(nèi)容，可能會影響用戶正常打開程序，所以可以禁止修改“開始”菜單中的內(nèi)容。設(shè)置時，依次訪問鍵值HKEY_CURRENT_USER\Software\

41、Microsoft\ Windows\CurrentVersion\Policies\Explore，在右邊窗口中新建一個DWORD串值“NoChangeStartMenu”，把該值設(shè)置為“1”，即可。,5.3.2利用注冊表優(yōu)化設(shè)計Windows系統(tǒng)安全,8. 讓用戶只能使用指定的程序為防止用戶非法運行或者修改程序，可以通過修改注冊表來實現(xiàn)讓用戶只能使用指定的程序，從而保證系統(tǒng)的安全。設(shè)置時，依次訪問鍵值HKEY_CURRENT_U

42、SER\Software\ Microsoft\Windows\CurrentVersion\Policies\Explorer，在右邊窗口中新建一個DWORD串值“RestrictRun“，把該值設(shè)為“1”。然后在RestrictRun的主鍵下分別添加名為“1”、“2”、“3”等字符串值，然后將“1”，“2”、“3”等字符串的值設(shè)置為我們允許用戶使用的程序名。例如將“1”、“2”、“3”分別設(shè)置為word.EXE、notepad.EX

43、E、write.EXE，則用戶只能使用word、記事本和寫字板這三種指定的程序了。,5.3.2利用注冊表優(yōu)化設(shè)計Windows系統(tǒng)安全,9. 禁用“任務(wù)欄屬性”功能任務(wù)欄屬性功能，可以方便用戶對開始菜單進行修改，可以修改Windows系統(tǒng)的很多屬性和運行的程序，這是一件很危險的事情，所以有必要禁用“任務(wù)欄屬性”功能。設(shè)置時，依次訪問鍵值HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr

44、entVersion\Policies\Explorer，在右邊窗口新建一個DWORD串值“NoSetTaskBar”， 設(shè)置該值為“1”，即可。,5.3.2利用注冊表優(yōu)化設(shè)計Windows系統(tǒng)安全,10.隱藏“網(wǎng)上鄰居”在局域網(wǎng)中，可以通過網(wǎng)上鄰居來訪問其他計算機上的共享資源，但有時網(wǎng)上鄰居的使用會造成安全上的隱患，可以利用注冊表來隱藏“網(wǎng)上鄰居”。設(shè)置時，依次訪問鍵值HKEY_CURRENT_USER\Software\Micr

45、osoft\Windows\ CurrentVersion\Policies\Explorer，在右邊窗口中新建DWORD值“NoNetHood”，把該值設(shè)置為“1”，即可。,5.4 審核策略和安全記錄分析,5.4.1審核策略簡介5.4.2審核策略的設(shè)置5.4.3安全記錄分析,5.4.1審核策略簡介,Windows 2000中的審核是跟蹤計算機上用戶活動和Windows 2000活動的過程，這些活動被稱之為事件。這些事件被分別記錄到

46、六種日志中去，分別是應(yīng)用程序日志、系統(tǒng)日志、安全日志、目錄服務(wù)日志、文件復(fù)制日志和DNS服務(wù)器日志。前三種在所有的Windows 2000 和Windows NT 系統(tǒng)中都存在，而后三種則僅當(dāng)安裝了相應(yīng)的服務(wù)才會提供。應(yīng)用服務(wù)日志：記錄應(yīng)用程序和系統(tǒng)產(chǎn)生的事件。任何廠商開發(fā)的應(yīng)用程序都可以用審核系統(tǒng)將自己注冊，并向應(yīng)用程序日志中寫入事件。系統(tǒng)日志：記錄Windows系統(tǒng)自身產(chǎn)生的事件，以及驅(qū)動程序等組件產(chǎn)生的事件。安全日志：記錄關(guān)

47、于安全的事件，其中包括與監(jiān)視系統(tǒng)、用戶和進程的活動相關(guān)的信息，以及關(guān)于啟動失敗等安全服務(wù)的信息。目錄服務(wù)日志：記錄與目錄服務(wù)相關(guān)的事件。文件復(fù)制日志：記錄與文件復(fù)制相關(guān)的事件，其中包括服務(wù)已啟動或停止，或者服務(wù)已成功完成等信息。DNS 服務(wù)日志：記錄與域名系統(tǒng)相關(guān)的事件，包括DNS服務(wù)何時啟動或停止，以及與DNS區(qū)域相關(guān)的任何錯誤信息。,5.4.2審核策略的設(shè)置,1. Windows 2000的審核事件登錄事件賬戶登錄事件賬

48、戶管理對象訪問系統(tǒng)事件策略更改目錄服務(wù)訪問特權(quán)使用進程跟蹤,5.4.2審核策略的設(shè)置,登錄事件如果對登錄事件進行審核，那么每次用戶在計算機上登錄或注銷時，都會在進行了登錄嘗試的計算機的安全日志中生成一個事件。此外，在用戶連接到遠(yuǎn)程服務(wù)器之后，也會在遠(yuǎn)程服務(wù)器的安全日志中生成一個登錄事件。在創(chuàng)建或者銷毀登錄會話和令牌時也會分別創(chuàng)建登錄事件。作為成員服務(wù)器和域控制器基本策略的組成部分，對成功和失敗登錄事件的審核默認(rèn)啟用。因此對

49、于交互登錄以及連接到運行“終端服務(wù)”的計算機的“終端服務(wù)”登錄，可以看到表5-3所列舉的事件ID。,5.4.2審核策略的設(shè)置,（2）賬戶登錄事件在一個用戶登錄到域時，是在域控制器上對登錄進行處理的。如果審核域控制器上的賬戶登錄事件，那么就會看到在對賬戶進行驗證的域控制器上記錄的此登錄嘗試。由于賬戶登錄事件可以記錄在域中的任何有效的域控制器上，因此應(yīng)當(dāng)確保將各個域控制器上的安全日志合并，再來分析域中的所有賬戶登錄事件。作為成員服務(wù)器和域

50、控制器基本策略的組成部分，對成功和失敗賬戶登錄事件的審核默認(rèn)啟用。因此對于網(wǎng)絡(luò)登錄和終端服務(wù)身份驗證，可以看到表5-4列舉的事件ID：,5.4.2審核策略的設(shè)置,（3）賬戶管理賬戶管理的審核用于確定用戶或組是在何時創(chuàng)建、更改或刪除的。該審核策略可用于確定何時創(chuàng)建了安全主體，以及什么人執(zhí)行了該任務(wù)。作為成員服務(wù)器和域控制器基本策略的組成部分，賬戶管理中的對成功和失敗的審核默認(rèn)啟用。因此可以在安全日志中看到表5-5 所列舉的事件ID。,5

51、.4.2審核策略的設(shè)置,（4）對象訪問可以用系統(tǒng)訪問控制列表(SACL)對基于Windows 2000的網(wǎng)絡(luò)中的所有對象啟用審核。在Windows 2000中幾乎任何一個可以操作的對象都有SACL，這些對象包括NTFS驅(qū)動器上的文件和文件夾，打印機和注冊表項。這些對象的SACL包含著可以對本對象進行操作的用戶和組的列表。,5.4.2審核策略的設(shè)置,（5）系統(tǒng)事件在一個用戶或進程改變計算機環(huán)境的某些方面時會生成系統(tǒng)事件。可以審核對系統(tǒng)

52、進行更改的嘗試，如關(guān)閉計算機或更改系統(tǒng)時間。如果審核系統(tǒng)事件，則也要審核清除安全日志的時間。這是很重要的，因為攻擊者往往試圖在對環(huán)境進行更改之后清除他們的蹤跡。成員服務(wù)器和域控制器基本策略默認(rèn)啟用對成功和失敗的系統(tǒng)事件進行審核，因此在事件日志中會出現(xiàn)表5-7所列舉的事件ID。,5.4.2審核策略的設(shè)置,（6）策略更改一個高級攻擊者將會設(shè)法修改審核策略本身，以使他們進行的任何更改不會被審核到。如果審核策略被更改，將會發(fā)現(xiàn)修改審核策略的企

53、圖以及對其他策略和用戶權(quán)限的更改。成員服務(wù)器和域控制器基本策略對成功和失敗的審核策略更改默認(rèn)啟用審核?？梢栽谑录罩局锌吹接涗浀娜绫?-8所示的ID事件：,5.4.2審核策略的設(shè)置,2.事件日志的管理事件日志分為應(yīng)用程序日志、安全日志和系統(tǒng)日志三類，通過審核生成的每一個事件都可在事件查看器中查看。,5.4.2審核策略的設(shè)置,（1）事件日志屬性設(shè)置若要設(shè)置事件日志在存儲事件的方式，可直接在事件查看器窗口中進行設(shè)置，也可在組策略中對其進

54、行定義。1）通過“事件查看器”設(shè)置打開“事件查看器”窗口，在左側(cè)窗口中，選擇特定的事件日志（應(yīng)用程序/安全/系統(tǒng)日志），右鍵單擊，選擇“屬性”命令，打開相應(yīng)類型事件日志的屬性設(shè)置對話框，根據(jù)需要對設(shè)置進行修改。,5.4.2審核策略的設(shè)置,（1）事件日志屬性設(shè)置若要設(shè)置事件日志在存儲事件的方式，可直接在事件查看器窗口中進行設(shè)置，也可在組策略中對其進行定義。2）通過組策略設(shè)置單擊“開始”，在“運行”中輸入“gpedit.msc”，

55、打開“組策略編輯器”窗口，在左策窗口定位到“計算機配置\Windows 設(shè)置\安全設(shè)置\事件日志\事件日志設(shè)置”（如圖5.26），根據(jù)需要對設(shè)置進行修改。,5.4.2審核策略的設(shè)置,事件日志屬性可進行設(shè)置的參數(shù)如下：●最大值：設(shè)置日志可以容納的最大容量。表5-9 列出了推薦的日志容量?！癖Ａ舴椒ǎ捍_定當(dāng)前日志已滿時將如何處理。表5-10列出了推薦的保留方法。,5.4.2審核策略的設(shè)置,事件日志屬性可進行設(shè)置的參數(shù)如下：

56、保留天數(shù)：設(shè)置了保留天數(shù)后，如果日志在還沒有達到保留天數(shù)之前就已經(jīng)填滿，則不會繼續(xù)記錄日志，直到超過保留天數(shù)為止，此時將覆蓋掉以前的日志。應(yīng)該注意，應(yīng)該根據(jù)保留天數(shù)設(shè)置足夠大的最大容量，否則將錯過重要的審核事件。按需要改寫事件：不受保留天數(shù)限制，只要日志記錄超過最大值就覆蓋以前的事件。但是攻擊者可以利用這個設(shè)置來覆蓋可能記錄了攻擊行為的重要信息。一般不推薦設(shè)置該選項。不改寫事件：日志記錄達到最大值后，需要管理員手工清除日志，否則不

57、會再記錄任何事件。如果存在定期的日志檢查制度，則可采取此項設(shè)置。限制來賓的日志的訪問：刪除Everyone組訪問日志的能力。默認(rèn)情況下，任何用戶都可以訪問應(yīng)用程序日志和系統(tǒng)日志，管理員賬號可以查看安全日志。安全審核日志滿后關(guān)閉計算機：日志記錄已滿且不能覆蓋事件時，系統(tǒng)自動關(guān)閉。此時只有管理員用戶才能登錄。一般不推薦設(shè)置該選項。,5.4.2審核策略的設(shè)置,（2）事件日志的篩選在事件查看器中可以定義篩選器以查找特定的事件。打開“事件查

58、看器”窗口，在左側(cè)窗口中，選擇其中特定類型的事件日志，單擊右鍵，選擇“屬性”命令，切換到“篩選器”選項卡，設(shè)定用于篩選的參數(shù)。,5.4.2審核策略的設(shè)置,（2）事件日志的篩選在這里可以定義下列屬性以篩選事件項。事件類型：設(shè)置事件為信息、警告、錯誤、成功審計、失敗審計類型或其任意組合。事件來源：生成該事件的特定服務(wù)或驅(qū)動程序。類別：設(shè)置篩選特定的事件類別。事件ID：設(shè)置篩選特定的事件ID。用戶：設(shè)置篩選由特定用戶生成的事件。

59、計算機：設(shè)置篩選由特定計算機生成的事件。日期間隔：設(shè)置篩選在特定的開始日期和結(jié)束日期之間發(fā)生的事件。,5.4.3安全記錄分析,1. FTP日志分析FTP日志和WWW日志在默認(rèn)情況下，每天生成一個日志文件，包含了該日的一切記錄，文件名通常為ex（年份）（月份）（日期）。例如ex100730，就是2010年7月30日產(chǎn)生的日志，用記事本可直接打開，普通的有入侵行為的日志可能是這樣的：#Software: Microsoft Inter

60、net Information Services 5.0（微軟IIS5.0）#Version: 1.0 （版本1.0）#Date: 20100730 0315 （服務(wù)啟動日期時間）#Fields: time cip csmethod csuristem scstatus0315 127.0.0.1 [1]USER administator 331（IP地址為127.0.0.1用戶名為administator試圖登錄）0318

61、127.0.0.1 [1]PASS – 530（登錄失?。?32:04 127.0.0.1 [1]USER nt 331（IP地址為127.0.0.1用戶名為nt的用戶試圖登錄）032:06 127.0.0.1 [1]PASS – 530（登錄失?。?32:09 127.0.0.1 [1]USER cyz 331（IP地址為127.0.0.1用戶名為cyz的用戶試圖登錄）0322 127.0.0.1 [1]PASS – 530（

62、登錄失?。?322 127.0.0.1 [1]USER administrator 331（IP地址為127.0.0.1用戶名為administrator試圖登錄）0324 127.0.0.1 [1]PASS – 230（登錄成功）0321 127.0.0.1 [1]MKD nt 550（新建目錄失?。?325 127.0.0.1 [1]QUIT – 550（退出FTP程序）從日志里能看出IP地址為127.0.0.1的用戶一直

63、試圖登錄系統(tǒng)，換了四次用戶名和密碼最終登錄成功，攻擊者的入侵時間、IP地址以及探測的用戶名都很清楚的記錄在日志上。如上例入侵者最終是用 Administrator用戶名進入的，那么管理員就需要考慮此用戶名是不是密碼失竊，應(yīng)該如何防范。,5.4.3安全記錄分析,2. WWW日志分析WWW服務(wù)同F(xiàn)TP服務(wù)一樣，日志文件保存在%systemroot%\system32\LogFiles\ W3SVC1目錄下，默認(rèn)是每天一個日志文件。在這里舉

64、個簡單的例子：#Software: Microsoft Internet Information Services 5.0 #Version: 1.0#Date: 20100730 03:091#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)20100730 03:091 192.16

65、8.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible\;+MSIE+6.0\;+Windows+XP\;+DigExt)20040419 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible\;+MSIE+5.0\;+Windows+98\;+