Windows系统加固实验09计算机的安全配置.docx
《Windows系统加固实验09计算机的安全配置.docx》由会员分享,可在线阅读,更多相关《Windows系统加固实验09计算机的安全配置.docx(28页珍藏版)》请在冰点文库上搜索。
Windows系统加固实验09计算机的安全配置
课程编写
类别
内容
实验课题名称
计算机的安全配置
实验目的与要求
1. 掌握如何删除不必要的系统服务以增强系统安全性。
2. 掌握通过设置组策略来对计算机进行安全配置
3. 掌握通过修改注册表的方法来增强windows2003系统抗拒绝服务攻击的能力
4. 掌握如何阻止ICMP攻击
实验环境
VPC1(虚拟PC)
操作系统类型:
windows2003,网络接口:
本地连接
VPC1 连接要求
PC 网络接口,本地连接与实验网络直连
软件描述
1、学生机要求安装java环境
2、vpc安装Windows
实验环境描述
1、 学生机与实验室网络直连;
2、 VPC1与实验室网络直连;
3、 学生机与VPC1物理链路连通;
预备知识
1. windows的默认配置
windows操作系统预置了许多默认配置,以便于操作系统的使用以及计算机的互联和资源共享,然而,这些默认配置却存在着许多的安全隐患,容易带来信息安全问题。
例如,在默认情况下,windows2003 系统启动后,通过Netshare命令就可以在本地计算机上发现admin$,IPC$,C$,D$等默认共享,这些默认共享有利于网络管理员便捷地管理远程的计算机设备,但是若这些计算机上的管理员帐号被泄露,那么黑客就易于通过这些共享资源来获取非授权的信息。
因此,windows系统的默认配置仅是一种考虑了计算机系统普通应用情况的预置配置方式,当在自身的应用环境中使用安装有windows操作系统的计算机时,应对其中的默认配置进行修改,以确保计算机系统哦你的信息安全性。
本实验将对默认配置中一些与安全有关的配置进行修改,用以提高计算机系统的安全性。
2. sc.exe
sc.exe为一个用于与服务控制管理器和服务进行通信的命令行程序。
该程序主要有以下功能:
检索和设置有关服务的控制信息。
管理服务程序,如:
测试,调试和删除服务程序。
设置存储在注册表中的服务属性来控制启动服务程序。
sc.exe的用法如下:
sc[command][servicename]…
其中,选项的格式为\\ServerName,用于指定服务说在的远程服务器名称。
参数[command]中包含32个命令,其中常有的命令有:
Query 查询服务的状态,或枚举服务类型的状态。
Start 启动服务。
Privs 更改服务的所需权限。
qc 查询服务的配置信息。
qdescripton 查询服务的描述。
delete (从注册表)删除服务。
Create 创建服务(将其添加到注册表)。
3. 注册表的配置
注册表是windows系统中的核心数据库,管理着系统运行所必需的重要数据。
注册表中的数据来源于系统注册表文件和用户注册表文件两类,其中系统注册表文件包括:
\system32\config下的Default,SAM,Security,Software,Userdiff和System6个文件;用用户注册表文件包括\DocumentsandSetting\下的ntuser.dat,ntuser.ini和ntuser.bat.log3个文件。
通过windows系统自带的regedit.exe注册表编辑器工具可以打开注册表数据库,对上述两类文件中的数据进行集中的配置和管理。
而在本章的实验中,将演示如何通过修改注册表来加强windows系统抗DOS攻击能力。
4. ICMP 协议及攻击
ICMP(internetcontrolmessageprotocol)协议是TCP/IP协议族中众多协议中的一个,用于在主机之间,主机和路由器之间,路由器之间传递网络控制信息。
这些控制信息不属于用户数据的一部分,但是对于整个网络的正常运行和维护却起着重要的作用,比如通过ICMP消息可以得知网络的连通性,主机是否在线,路由器是否可用等网络状态。
由于ICMP协议是一种网络控制协议,因此它是网络传输中的必要数据,也正因为此,它非常容易被用来攻击网络中的主机和路由器。
例如,大量的ICMP数据包会形成ICMP风暴,当主机受到这种ICMP数据风暴的攻击时,其处理器会耗费大量的资源来处理这些ICMP数据,这最终会导致整个主机系统的瘫痪。
实验内容
1. 演示如何使用命令行中的命令卸载和删除tlntsvr服务。
2. 演示如何隐藏驱动器,禁止来宾帐户,开启审核策略和IE浏览器的安全设置,以加强系统的安全性。
3. 演示如何通过对注册表的修改来防范DOS攻击。
4. 演示如何通过添加过滤规则来过滤ICMP报文,从而彻底杜绝这种攻击。
实验步骤
1.卸载和删除tlntsvr服务
首先在桌面上右击“我的电脑”,在弹出的快捷菜单中选择“管理”,打开“计算机管理”窗口。
在该对话框左边的列表中展开“服务和应用程序”,并单击下属的“服务”列表项,这样在“计算机管理”窗口的右边则会出现本地计算机所有支持的各种服务,如图3.1所示。
图3.1 “计算机管理”窗口
双击其中的Telnet列表项,则可对该服务进行启动,停止,暂停和恢复操作,如图3.2所示。
但是,windows操作系统并没有提供一个图形界面来对其实实施卸载和删除操作。
下面通过sc.exe命令来演示如何卸载Telnet服务(既TlntSvr服务)。
单击“开始” – “运行”命令,在弹出的“运行”对话框中输入CMD命令,单击“确定”按钮,从而打开命令行窗口。
在命令行窗口中可以输入sc qc tlntsvr,查看tlntsvr服务的配置信息,如图3.3所示。
C:
\windows\system32\tlntsvr.exe
图3.2Telnet服务的状态
图3.3 tlntsvr服务配置信息
为了将tlntsvr服务卸载,先在命令行窗口中通过命令sc stop tlntsvr停止该服务(若停止失败,则说明该服务本身就是stop的),然后通过命令sc delete tlbtsvr将tlntsvr服务在服务列表中删除,如图3.4所示。
单击“计算机管理”对话框中工具栏的“刷新”按钮后,会发现在右边的服务列表中已没有了telnet服务(既tlntsvr服务),如图3.5所示。
利用类似方法可以禁止和删除其他一些想要删除的服务。
例如,Schedule服务非常容易被黑客利用来执行一些系统命令和可执行文件,如果仅是简单地停止Schedule服务,也不能保证安全性,因为有些黑客工具可以远程地开启该服务。
图3.4 停止并删除tlntsvr服务
图3.5 删除tlntsvr服务后的效果
2.使用windows组策略对计算机进行安全配置
首先“开始” – “运行”命令,在弹出的“运行”对话框中输入gpedit.msc,单击“确定”按钮,即可打开“组策略”窗口,如图3.6所示,下面的四种安全配置将在“组策略”窗口中完成。
图3.6 “组策略”窗口
1. 隐藏驱动器
选择“用户配置” – “管理模板” – “windows组件” – “windows资源管理器” – “隐藏‘我的电脑’中的这些指定的驱动器”,打开相应的对话框,如图3.7所示,在对话框中选择“已启用”选项,并在其下拉列表框中选择一个组合,单击“确定”按钮后,组合框中选中的驱动器符号就不会出现在标准的打开对话框中。
图3.7 隐藏驱动器名称
但需要注意的是,这项策略仅删除驱动器的图标,用户仍然可以通过其他方式访问驱动器的内容,如:
通过在映射网络驱动对话框,运行对话框或命令窗口上输入一个驱动器的目录路径。
同时,此策略不会防止用户使用程序访问这些驱动器或其内容,也不会防止用户使用“磁盘管理”管理单元查看并更改驱动器特性。
2.禁止来宾帐户本机登录
当人们暂时离开工作电脑时,可能有一些打开的文档还在处理之中,为了避免其他人动用电脑,一般会将电脑锁定,但是,但电脑处于局域网环境时,可能已在本地电脑上创建了一些来宾帐户,以方便他人的网络登录需求。
但是其他人也可以利用这些来宾帐号注销当前帐号并进行本地登录,这样会对当前的文档处理工作造成影响。
为了解决该问题,可以通过“组策略”的设置来禁止一些来宾帐号的本地登录,仅保留他们的网络登录权限。
在“组策略”窗口的左侧依次选择“计算机配置” – “windows配置” – “安全配置” – “本地策略” – “用户权利指派”,然后在”组策略” 窗口的右侧双击“拒绝本地登录”,则弹出“拒绝本地登录 属性”对话框,如图3.8
图3.8 “拒绝本地登录 属性”对话框
在该对话框中通过单击“添加用户或组”按钮,则弹出“选择用户或组”对话框,如图3.9所示,然后单击左下方的“高级”按钮,在弹出的对话框中单击左侧的“立即查找”按钮,则会在对话框下方显示出本地计算机的所有帐户,如图3.10所示,选中所需的帐户temp,单击“确定”按钮,则将temp用户加入到禁止登录的帐户列表中,如图3.11所示
图3.9 “选择用户或组”对话框
图3.10 查找需要禁止的用户
图3.11 将指定账号添加到禁止登录列表中
3.开启审核策略
在“组策略”对话框的左侧依次选择“计算机配置”- “windows配置” –“安全配置”– “本地策略”– “策略审核”,然后在“组策略”窗口的右侧就会出现各种审核策略的设置项,其中包括审核策略更改,登录事件,对象访问,过程追踪,目录服务访问,特权使用等,如图3.12
图3.12 查看审核策略
通过设置各个审核策略,系统便可记录相应的事件,比如,双击“审核登录事件”后,在弹出的“审核登录事件 属性”对话框中选中“成功”和“失败”两个选项,如图3.13所示,则系统将会自动记录用户何时登录过系统。
值得注意的是,系统管理员应养成时常查看“控制面板” – “管理工具” – “时间查看器”中所记录的事件的习惯,比如,若“组策略”被修改后系统发生了问题,“事件查看器”就会及时显示修改了哪些策略;在“登录事件”里,系统管理员可以查看详细的登录事件,知道谁曾尝试使用禁用的帐户登录,谁的帐户密码一过期等。
图3.13 审核登录事件的设置
4.IE浏览器的安全设置
在“组策略”窗口的左侧一次选择“用户配置” - “管理模板” – “windows 组件” –internetexplorer 分支,在右侧窗口中会出现“internet控制面板”,“浏览器菜单”,“工具栏”,“持续行为”和“管理员认可的控件”等策略选项,利用它可以充分打造一个极有个性和安全的IE浏览器。
(1) 禁止修改IE浏览器主页
当用户上网时,一些恶意网站通过自身的恶意代码会对用户的IE浏览器主页的设置进行修改,从而对用户的上网行为造成影响。
为了避免此类事件的发生,可以在“组策略”窗口的左侧一次选择“用户配置” – “管理模板” – “windows组件” –internet Exploere,如图3.14所示
图3.14IE的全安设置
然后在右侧的窗口中双击“禁用更改主页设置”策略,在弹出的对话框中选中“已启用”单选按钮,并单击“确定”按钮即可,如图3.15
(2) 禁用“常规”选项卡
如图3.14所示,在加固IE的安全选项中还提供了“禁止更改历史记录设置”,“禁止更改颜色设置”以及“禁止更改Internet临时文件设置”等策略。
如果启用可这些安全策略,在IE浏览器的“Internet选项”对话框中“常规”选项卡的“主页”区域的设置将变灰。
但如果在“用户配置” – “管理模板” – “windows组件” –“InternetExplorer”–“Internet控制面板”中双击“禁用常规页”策略,并在弹出的”禁用常规页 属性”对话框中选中“已禁用”,如图3.16所示,则无需设置该策略,因为“禁用常规页”策略将删除界面上的“常规”选项卡。
图3.16 禁用IE浏览器中的常规页
(3)IE安全的高级配置
在图3.14的右侧部分,可以看到还列出了7个子文件夹,单击其中的每一个子文件夹,均可显示出一组关于IE安全的配置项。
其中“Internet控制面板”包含了一组从“Internet选项”对话框“添加”和“删除”选项卡的设置;“脱机页”包含了脱机页和频道的设置;“浏览器菜单”包含了显示和隐藏Internet Exploer中菜单和菜单选项的设置;“工具栏”包含允许和限制用户编辑InternetExplore的工具栏;“持续行为”包含了Internet安全区域的文件大小限制和设置;“管理员认可的控件”包含了启用和禁止ActiveX控件的设置;“安全功能”包含了启用和禁用Internet Explorer,windows Explorer和其他应用程序的安全功能的设置。
对这些设置选项进行适当的配置,会大大的增强IE的安全性。
3.5.3 通过过滤ICMP报文阻止ICMP攻击
很多针对windows2003系统的攻击均是通过ICMP报文的漏洞攻击实现的。
如pingofdeath攻击。
下面我们通过安全配置来过滤ICMP报文,从而阻止ICMP攻击。
1.启用“本地安全设置”
在“控制面板”中打开“管理工具”,从中双击“本地安全策略”,从而打开“本地安全设置”窗口,如图3.18所示。
图3.18 “本地安全设置”窗口
2.ICMP过滤规则的添加
在“本地安全设置”窗口中,右击点击“IP安全策略,在本地计算机”并从弹出的快捷菜单中选择“管理IP筛选器和IP筛选器操作”,从而弹出“管理IP筛选器和筛选器操作”对话框。
在该对话框的“管理IP筛选器列表”属性页中,单击左下方的“添加”按钮,弹出“IP筛选器列表”对话框。
在该对话框的“名称”框中输入“防止ICMP攻击”,并取消选中右侧的“使用‘添加向导’”复选框,如图3.19所示。
图3.19IP筛选器列表
单击图3.19右侧的“添加”按钮,弹出“筛选器属性”对话框。
在该对话框的“寻址”属性性页中,源地址选择“任何IP地址”,目标地址选择“我的IP地址”,如图3.20所示;在“协议”属性页中,协议选择ICMP,然后单击“确定”按钮,设置完毕。
图3.20 “筛选器 属性”对话框
在“管理IP筛选器和筛选器操作”对话框中选择“管理筛选操作”属性页,取消选中右下方的“使用‘添加向导’”复选框,然后单击左下方的“添加”按钮,弹出“行筛选器操作属性”对话框,如图3.21所示。
图3.21 “新筛选器操作 属性”对话框
在该对话框的“安全措施”属性页中选择“阻止”,在“常规”属性页中输入“Deny操作”,单击“确定”按钮。
这样,就设置了一个关注所有人进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。
3.添加ICMP过滤器
1.在“本地安全设置”对话框中,右键单击“IP安全策略在本地计算机”,在弹出的快捷菜单中选择“创建IP安全策略”,则弹出“IP安全策略向导”对话框,单击“下一步”按钮,在“IP安全策略名称”处输入“ICMP过滤器”,如3.22所示
图3.22“IP安全策略向导”对话框
2.依次单击“下一步”按钮,完成“IP安全策略向导”的设置。
然后在“ICMP过滤器”对话框的“规则”属性页中,取消“使用‘添加向导’”,并单击左下方的“添加按钮”,弹出“新规则属性”对话框。
在该对话框的“IP筛选器列表”属性页中,选中“防止ICMP攻击”,如图3.23所示。
在“筛选器操作”属性页中选择“Deny操作”,然后单击“确定”按钮,设置完毕。
图3.23IP筛选器列表
图3.24指派ICMP过滤操作
这样,就完成了一个关注所有进入系统的ICMP报文的过滤策略和丢失所有报文的过滤操作,从而阻挡攻击者使用ICMP报文进行的攻击。
上述实验内容分别展示了如何在windows系统中删除和卸载系统服务,利用组策略对系统进行安全加固,如何应对DOS攻击以及如何设置过滤策略阻止ICMP报文的攻击,综合利用上述手段对系统进行灵活配置。
升级会员 