第二讲主机安全管理.ppt

谁会动我的电脑? 应用层安全实践以 Windows XP 为例, 主机安全防护 o 登录密码缺失 o 暂时离开电脑 o 电脑开机 o 电脑操作系统设置必要的防线增强用户认证基础安全设置第一道防线 : 设置系统启动密码 o 四道防线系统启动 BIOS 进入操作系统屏幕保护 cmd syskey 更新密码启动第二道防线 : 设置 BIOS 开机密码什么是 BIOS o 防止别人擅自更改 CMOS 设置防止非法用户进入计算机系统开机时按下 Del 键 CMOS 设置, 找到以下两项 : Set Suervisor Password: 设置管理员密码, 可以进入并修改 CMOS 设置, 可修改 User Password Set User Password: 设置用户密码, 输入该密码可以正常开机但不能修改 CMOS 设置密码长度 1~8 位的任意字符 ( 分大小写 ) 设置完毕后, 光标移到 Save & Exit Setu 上保存退出, 或者按 F10 键选择 Yes o BIOS 是基本输入输出系统 (Basic Inut & Outut System) 的简称所谓基本输入输出系统, 就是正常启动计算机所必须的条件启动计算机时,CPU 首先要根据集成在主板显卡等设备上的 BIOS 芯片来核对每个基础设备是否正常, 然后再进行下一步程序通过改写 BIOS 的设置, 可以达到提升设备性能和兼容性的目的 1

如何进行 BIOS?-- DEL 公共场合计算机 BIOS 密码设置 1. 开机时按 Del 键进入 CMOS 设置画面时将要求输入密码, 但若直接进入操作系统不要求输入密码适合公共场合的计算机单独设置 SUPERVISOR PASSWORD 或 USER PASSWORD 其中的任何一项, 再打开 BIOS FEATURES SETUP 将其中的 Security Otion 设置为 Setu, 保存退出私有计算机 BIOS 开机密码设置不但在进入 CMOS 设置时要求输入密码, 而且进入操作系统时也要求输入密码适合不愿让除我以外的任何人使用的计算机单独设置 SUPERVISOR PASSWORD 或 USER PASSWORD 其中的任何一项, 再打开 BIOS FEATURES SETUP 将其中的 Security Otion 设置为 System, 保存退出进入 BIOS 设置或操作系统都要求输入密码 3. 进入 BIOS 设置和进入操作系统都要求输入密码, 而且输入其中任何一个密码都能进入 BIOS 设置和操作系统但管理员密码和用户密码有所区别 : 以管理员密码进入 BIOS 程序时可以进行任何设置, 包括修改用户密码但以用户密码进入时, 除了修改或去除用户密码外, 不能进行其它任何设置, 更无法修改管理员密码适合少数指定人员使用计算机, 自己保留管理员密码, 用户密码告诉其他指定的人分别设置 SUPERVISOR PASSWORD 和 USER PASSWORD, 并且采用两个不同的密码再打开 BIOS FEATURES SETUP 将其中的 Security Otion 设置为 System, 退出保存去除 BIOS 开机密码第三道防线 : 设置 Windows 系统登录密码 o 撤销已经设置的密码, 可进入 CMOS 中把光标移到相应的密码设置菜单上, 不输入密码, 连续两次回车, 出现 Password Disabled! 提示就可以了忘记开机密码怎么办? 放电法 : 跳线放电法 COMS 电池放电法万能密码 : 厂家设有万能密码 (******) 计算机管理员账户 ( 所有设置 ) 受限账户 ( 某些设置 ) 来宾账户 (Guest, 权限最低 ) 控制面板用户账户对密码的管理 : 控制面板管理工具本地安全策略安全设置账户策略密码策略 2

第四道防线之一 : 设置屏幕保护密码第四道防线之二 : 快速锁定系统程序选项卡设置等待时间 :1 分钟属性显示属性屏幕保护在 Windows XP 或 2000 中, 屏保密码就是开机密码, 因此, 屏保密码的设置必须基于开机密码设置的基础上 Ctrl+Alt+Del 锁定计算机快捷方式法 ( 想一想如何创建快捷方式?): 在创建的快捷方式中输入 rundll32.exe user32.dll,lockworkstation 即可 Win 键 ( 飘着 MicrosoftWindows 大旗 ), 分布在键盘的两侧, 按下 Win+L(L 是 LockStation 之意 ) 键都可以锁定计算机改进操作系统的安全性 o 更新操作系统补丁 o 安装 Windows 防火墙 o 安装防病毒软件 o Internet 安全配置 o 制定服务瘦身计划 o 用户访问控制 ( 物理资源软件资源 ) 更新操作系统补丁 o 软件总是存在 bug; o 针对每个版本, 会有对应的补丁发布 ; o 我的操作系统是哪一版本? o 更新补丁, 减少 bug, 提升系统安全防护能力 Service Pack 服务包, 是微软修补系统安全漏洞的补丁集 Service Pack 3 的创新特色缺省保护措施和简易安全设置 :Windows 防火墙 IE 控制弹出式窗口 Windows 安全中心 IE 下载警报等等 SP3 领先于 SP1, 增加了新的 Windows 产品激活 (WPA) 模型网络访问保护 (NAP) 模块和策略新的核心模式加密模块黑洞路由检测功能等 SP3 优于 SP2 补丁工具 Microsoft Baseline Security Analyzer 2.1 (for IT Professionals) 微软基准安全分析器 Shadow Security Scanner 俄罗斯的一套非常专业的安全漏洞扫描软件 ( 包括漏洞端口扫描操作系统检测账号扫描等 ) Norton 防杀病毒软件金山清理专家 ( 漏洞修补 ) 瑞星个人防火墙 ( 漏洞扫描 ) N 种杀毒软件或个人防火强 3

补丁工具什么是防火墙? o 防火墙是指设置在不同网络 ( 如可信任的企业内部网和不可信的公共网 ) 或网络安全域之间的一系列部件的组合它可通过监测限制更改跨越防火墙的数据流, 尽可能地对外部屏蔽网络内部的信息结构和运行状况, 以此来实现网络的安全保护使用 Firewall 的益处 Windows 防火墙 o 保护脆弱的服务过滤不安全的服务 o 控制对系统的访问控制外部访问特定的服务 ( 端口 ) o 集中的安全管理安全策略设定运行于整个网络 o 增强的保密性阻止攻击者获取攻击系统的有用信息 o 记录和统计网络利用数据以及非法使用数据记录和统计通过 Firewall 的网络通讯 o 策略执行 o 阻止计算机病毒和蠕虫到达您的计算机 o 请求您的允许, 以阻止或取消阻止某些连接请求 o 创建记录 ( 安全日志 ), 可用于记录对计算机的成功连接尝试和不成功的连接尝试如何启动 windows 防火墙? Windows 防火墙基本功能 o 开始运行中输入 services.msc 进入系统服务管理界面, 在 Windows Firewall/Internet Connection Sharing (ICS) 服务上单击右键, 选择属性 o 控制面板 -windows 防火墙常规 : 启用和关闭例外 : 端口高级 : 对本地提供的服务和连接进行设置 4

仅仅有 windows 防火墙是不够的.. o 无法检测或禁止计算机上已经存在的病毒和蠕虫 o 无法阻止您打开带有危险附件的电子邮件 o 无法阻止垃圾邮件或未经请求的电子邮件出现在您的收件箱中安装反病毒软件 o 金山毒霸 o Norton o 360 卫士 o 卡巴斯基 o 瑞星 o. 上网之后的安全问题 Internet 选项 o 现象一 : 自动弹出其他地址连接 o 现象二 : 询问安装某项软件 o 现象三 : 某些程序出现在了进程当中 o 现象四 : 浏览器被改得面目全非注册表被破坏 o 现象五 : 浏览器自动跳转至其他页面对于 Internet 区域, 安全级别将设置为高对于受信任的站点区域, 安全级别将设置为中, 这将允许浏览许多 Internet 站点对于本地 Intranet 区域, 安全级别设置为中低, 这将允许您的用户凭据 ( 名称和密码 ) 自动传递到需要它们的站点和应用程序对于受限制的站点区域, 安全级别将设置为高默认情况下, 所有 Internet 和 Intranet 站点都被指派到 Internet 区域 ActiveX 插件 o ActiveX 组件实际上是指一些可执行的代码或一个程序, 比如一个.EXE.DLL 或.OCX 文件, 通过 ActiveX 技术, 程序员就能够将这些可复用的软件组装到应用程序或者服务程序中去 o 在因特网上, ActiveX 被嵌入到网页中, 随网页传送到客户的浏览器上, 并在客户端执行通过编程,ActiveX 控件可以与 Web 浏览器交互或与客户交互 5

常见的一些插件安全配置 o Flash 动画播放插件 o Microsoft MediaPlayer 插件 o CNNIC 通用网址插件 o 对标记为可安全执行脚本的 ActiveX 控件执行脚本 o 对没有标记为可安全执行脚本的 ActiveX 控件进行初始化执行脚本 : o 下载未签名的 ActiveX 控件 o 下载已签名的 ActiveX 控件 o 运行 ActiveX 控件和插件内容分级审查课外阅读 o 有关管理 Internet Exlorer 增强的安全配置以使用户和管理员可以访问企业 Intranet 和 Internet 上的可信资源和网站的更多信息, 请访问 Microsoft 网站, 以下载 Managing Internet Exlorer Enhanced Security Configuration ( 管理 Internet Exlorer 增强的安全配置 ) 白皮书 : o Windows XP 系统的基本安全保障控制面板安全中心 Windows 安全中心 o Windows 安全中心 (Windows Security Center) 是微软自 Windows XP SP2 才开始提供的一个新型电脑安全管理工具 o 提供了防火墙的部分功能 o 提供自动更新功能 o 它支持与一些世界著名防毒软件产品之间的通信合作, 自动检测防病毒软件, 如 Norton, 提高电脑的安全防护能力 o 当没有安装防毒软件或防毒软件被关闭时就会提醒用户, 从而降低了电脑受病毒攻击的机会和风险 6

如何启动 windows 安全中心 o 在运行中输入 services.msc o 控制面板 - 管理工具 - 服务 o 找到 Security center, 右击属性, 启动服务什么是 windows 服务? 制定服务瘦身计划 o Windows 服务也称为 Windows Service, 它是 Windows 操作系统和 Windows 网络的基础, 属于系统核心的一部分, 它支持着整个 Windows 的各种操作 o Windows Service 是一种可随 Windows 操作系统启动而启动的, 在后台运行的, 通常不和用户产生交互的程序它无法通过双击来运行 Windows 服务的组成 o 一个服务可执行文件 ; o 一个服务控制程序 (SCP); o 服务控制管理器 (SCM), 负责在 HKLM\SYSTEM\CurrentControlSet\Services 下创建服务键值 o Www 服务 o Htc 服务 o Ft 服务 o Automatic 更新 o Event Log ( 事件记录文件 ) o 用户可通过 SCP 控制服务的启动停止暂停等,SCP 会通过 SCM 调用服务程序 7

最小化服务 o 用户在缺省安装操作系统时, 可能会把所有全部的功能 ( 包括 Web FTP 等 ) 设置为激活状态, 这种不安全状态有时很容易让攻击者有机会得到系统管理员的权限 o 慎重地从系统中删除或禁用没有明确用途的一切服务, 从而减小受攻击的机会 o 为保留下来的服务加上适当的安全增强措施开始运行 services.msc 右击我的电脑管理计算机管理服务和应用程序服务关闭 Alert 服务 (MSN QQ 非法推送恶意垃圾信息 ) 关闭 Server 服务 ( 信息泄露的通道 ) 关闭 CliBook 服务 ( 暴露隐私信息 ) 关闭 Remote Registry 服务 ( 黑客入侵的途径 ) 关闭 Task Scheduler 服务 ( 非法攻击的载体 ) 封死黑客的后门 : 计算机的每一项 Internet 协议总是与计算机的端口相对应, 端口越多, 被设置后门的风险就越大关闭文件和打印共享功能删除不必要的协议, 如 NetBIOS(Windows 网络的 ) 关闭 Netware 和 Windows 网络客户端 ( 家庭单机上网 ) o 部分服务或协议简介 1. NetBEUI(NetBIOS 扩展用户接口 ) NetBIOS 是 IBM 于 1985 年提出的主要用于 20 到 200 台计算机的小型局域网中 NetBEUI 协议可以看作是微软在 NetBIOS 协议的延伸和改良版本, 具有体积小效率高及速度快等特点 NetBEUI 是一种广播型传输协议, 而 NetBIOS 仅仅是通过一组命令来让系统使用网络而已部分服务或协议简介 1. NetBEUI(NetBIOS 扩展用户接口 ) 在 Windows95/98 和 Windows NT 中被用作默认协议安装该协议主要用于本地局域网中, 一般不能用于与其他网络的计算机进行沟通, 由于不支持路由功能, 这是其不适合于跨网段的大型网络的重要原因部分服务或协议简介 1. NetBEUI(NetBIOS 扩展用户接口 ) 要实现在网上邻居进行正常计算机及文件浏览, 首先需要客户机把自己的名字 ( 计算机名专有 NetBIOS 名字 ) 在网上注册, 然后通过本地特定的名字解析方法把所注册的名称与对应的 IP 地址进行关联匹配, 这样,Windows 系统才可以通过浏览服务在网上邻居进行访问 8

部分服务或协议简介 1. NetBEUI(NetBIOS 扩展用户接口 ) 除了安装 TCP/IP 协议之外, 局域网的计算机最好也安上 NetBEUI 协议另外还有一点要注意, 如果一台只装了 TCP/IP 协议的 WINDOWS98 机器要想加入到 WINNT 域, 也必须安装 NetBEUI 协议部分服务或协议简介 2. Microsoft 网络客户端 Microsoft 网络的文件和打印共享一般需要联合设置, 不能单独启用或禁用某一个服务包括 :Comuter Browser WorkStation Server TCP/IP NetBIOS Heler 四大服务局域网中网上邻居配置的必选项, Microsoft 网络客户端卸载后无法访问局域网内的共享文件部分服务或协议简介 3. QoS 数据包计划程序 QoS 数据包计划程序组件可以在数据传输较慢或者非常慢的情况下加快 Internet 连接共享速度当两个网络通过慢速链路 ( 如拨号线路 ) 连接时可能出现这种性能降低, 从而增加流经该慢速链路上的流量的延迟通讯路径中终端设备之间在速度上的不匹配以及慢速链路本身通常成为网络瓶颈在正常情况下, 如果网络只用于特定的无时间限制的应用系统, 并不需要 QoS, 比如 Web 应用, 或 E-mail 设置等但是对关键应用和多媒体应用就十分必要禁止建立空连接在默认情况下, 任何用户都可以通过空连接来连接服务器, 枚举账号并猜测密码 ( 如 admin root 等 ) 控制面板管理工具本地安全策略安全设置本地策略安全选项网络访问 : 不允许 SAM 账户的匿名枚举 o 关闭远程管理功能 : 在不需要远程管理计算机时, 将有关远程登录的服务关掉 o Windows 防火墙高级选项卡在网络连接设置列表框中选择要设置的连接选项设置高级设置做好 IE 的安全设置, 减小网页中利用 ActiveX 控件或 Java Alets 运行的恶意代码 IE 浏览器工具 Internet 选项安全设置有条件的禁用与 ActiveX 控件和 Java 相关的选项隐藏自己的 IP 地址许多黑客软件都需要事先了解对方的 IP 地址方能发起攻击, 在局域网用户上网后, 可通过代理服务器隐藏自己的 IP 地址 ; 广域网用户要隐藏 IP 地址, 必须找到合法的公共代理服务器, 而且应兼顾代理上网的数据传输速度 9

更多详细的信息 o 可以停止的 windows 服务进程将用户的权限限制在他的工作范围之内. 思考题 1. 简述应用层安全的主要措施? 2. 简述操作系统账号密码的重要性, 有几种方法可能保护密码不被破解或者盗取? 3. 简述密码策略和账户策略的含义, 以及这些策略如何保护操作系统不被入侵 10

第二讲 主机安全管理.ppt

第二讲主机安全管理.ppt