目录
- WINDOWS系统架构
- WINDOWS安全机制
- WINDOWS安全分析与增强方法
- WINDOWS安全增强基本步骤
- Windows 2000系统安全增强实例
WINDOWS系统架构
Windows系统分为三层,最底层是硬件抽象层,在上面是由实现基本系统服务的一些模块组成,是一些系统服务模块,有很多功能模块,比如说有典型的虚拟内存管理对象,管理进程和线程管理、IO管理,进程通信等等一系列的服务模块构成
unix和linux操作系统三层结构,硬件层、系统内核层和应用层。
WINDOWS安全机制
认证机制,WINDOWS提供两种基本认证类型,即本地认证和网络认证,本地认证有两种,本地计算机上存的用户名密码,sum数据库存的用户名密码。还有一种叫AD域认证,它的用户名密码存在域控制器上。网络认证有三种技术,Kerberos V5、公钥证书,NTLM
访问控制机制,WINDOWS NT/XP安全性达到了橘皮书c2级,实现了用户级自主访问控制。
审计/日志机制,系统日志、应用程序日志和安全日志分别存放在SysEvent.evt、AppEvent.evt和SecEvent.evt,这些日志文件通常存放在操作系统安装区域"system32\config"目录下,这三种日志分别对应的是三个文件
WINDOWS有协议过滤和防火墙功能,比如说win nt,win 2000,提供了包过滤机制,包过滤就是我们常说的acl,最简单的防火墙从win XP开始,它自带了防火墙功能,防火墙能够监测和限制用户的网络通信,像现在的win 10、win 11,都是自带防火墙。如果我们做实验,不关win的防火墙,可能ping都ping不通,因为防火墙把ping流量给它干掉了,所以我们做实验,有些时候是要把操作系统自身的防火墙把它给关闭掉,这就是WINDOWS安全机制
文件加密机制,在WINDOWS里边,我们用efs对磁盘上的文件进行加密
efs是对称加密算法,因为非对称加密算法,它有一系列问题,比如加密速度比较慢,而且还具有膨胀性,比如说十个t的加密文件,十个t的明文,用非对称性加密完变成100t。这肯定接受不了,所以我们肯定是用对称加密算法。
WINDOWS操作系统还具有抗攻击的一些机制,针对缓冲区溢出、恶意代码等攻击,微软公司的新版操作系统增加了抗攻击的安全机制,集成了内存保护,包括堆栈保护安全结构,数据执行保护、地址随机化等等一系列的安全机制
在XP以后,我们WINDOWS操作系统还是比较安全的,在WINDOWS XP以前,其实动不动就能够把操作系统给干崩溃,那现在当然不存在了。所以现在的操作系统,它的抗攻击机制也是比较完善的
WINDOWS安全分析与增强方法
口令威胁,如果你是空密码或者是弱密码,比如密码一二三四五六,那肯定不安全。还有恶意代码,记不记得病毒、木马、蠕虫、僵尸网络、应用程序漏洞。我们操作系统上是会安装各种应用程序的,比如说QQ,用QQ有没有漏洞,那可能有,微信也可能有漏洞,是应用软件的漏洞。
系统程序漏洞,比如自带的可能有漏洞。注册表安全,有些恶意软件,它会自动修改你的注册表,自动卸载注册表,然后自动启动,还有一些具有威胁的恶意代码、恶意程序。就是文件共享安全。我们系统默认会有一些共享服务,比如说smb服务,还有netbios,这都是跟文件共享相关的。
物理临近攻击,服务器被抱走了,操作系统都不管用了,这就是针对Windows系统可能面临的一些安全威胁
操作系统安全增强方法,打补丁,停止服务或者卸载软件,有些不用的服务,你就把它停止了。不用软件也把它卸载掉,因为软件越多,可能出现漏洞的概率就会越大。
升级和更换程序。升级是一个常见的事情,或者有些程序,它的漏洞就比较多,典型的像我们的flash,这个就是漏洞之王,太多漏洞了,很可能被黑客利用,我们能不用flash就不用flash
更换程序,修改配置或者权限,要有一个最小权限,不要给用户太大的权限,去除特洛伊木马,安装专用的一些安全工具软件。
专门针对WINDOWS漏洞修补的,还有一些自动安装补丁的一些软件,还有针对WINDOWS或者是linux的edr终端入侵检测与响应的一些软件,这就是系统增强的方法。
总结起来我们最常规的就是打补丁、升级,第一个升级,第二个打补丁,第三个装一些安全组件。
WINDOWS安全增强基本步骤
首先要确定安全增强目标和具体系统的用途,我们的系统是用来个人用的,还是上面要安装服务器,个人用可能安全增强就不用搞那么严密,但是如果你是要运行,比如说银行的一些服务,那这个增强,就要重点考虑
第一步确定目标,确定用途,第二步安装最小化的操作系统,操作系统里边给你默认好了office,各种各样的应用程序,像ghost的这种,它的漏洞可能是很多的,而且ghost的系统,它本来就可能带木马,带一些恶意的程序,我们尽量要安装纯净的操作系统,尽量用英文版。因为老的中文版都是打了汉化补丁的。早期Windows系统是没有中文版的,到现在都是自带中文版的
现在安不安装英文版倒不重要,因为现在中文词库已经是集成到WINDOWS操作系统里面去了,但是我们还是要尽量使用安装最小化操作系统,最小化操作系统就是纯净版。
安装的东西越多,它隐患就会越大。一些不必要的服务,你就要把它删除掉。安装最新的补丁,补丁肯定是要安装最新的配置。
安装系统服务,要做一些配置,不要安装与系统业务运行无关的一些服务或者应用程序,安装最新的应用程序或者服务软件,要打补丁。
软件补丁,比如说底层用的程序是iis,iis要打iis最新补丁,接着配置安全策略,比如说你的密码复杂度要满足要求,账户的锁定值,如果输三次或者输五次,密码错了之后,要给它锁定时间,包括锁定的账户,锁定计数器,要把它设置好。
禁用,主要会提供一些名称服务或者会话服务,我们做文件共享,也会用到文件和打印机的共享,它主要是135到139,还有445端口。在局域网里边,如果你不用的话,尽量把它给封掉,可以在操作系统里面封,WINDOWS上面封。也可以在交换机上写acl,一个是中间传输网络封掉了,一个是终端,就是在端点上封掉
账户安全设置一般我们要进入一些默认账号,检查账户的,比如说a的密码,满不满足我们的安全需求
锁定访客的账户,文件系统安全配置,文件系统安全是WINDOWS重要的保护,特别是向外提供网络服务的一些主机文件,文件系统安全的操作措施,通常是有下面这几步,删除不必要的一些帮助文件,然后删除不必要的一些程序,比如说cmd.exe,如果不用,就可以把它删了,然后启用文件的加密。接着设置文件共享的口令,要把文件共享出去,要设置相应的密码,修改系统安装的一些默认目录。还有是配置我们网络的筛选配置,就是把一些不希望开的端口,给它关闭掉
把端口给禁用掉,还可以过滤snmp报文,让你ping不通,禁用光盘软盘,去启动我们的操作系统,让我们启动只能从C盘启动,你要想通过U盘或者是通过光盘来启动,启动不了,那就可以有效的阻止这些入侵者绕过我们操作系统本身的密码机制,设置屏幕保护的口令,然后设置应用软件的安全。
应用软件的安全,就是我们常见的一些应用软件要及时的打补丁,然后修改我们默认的一些设置。有些软件可能有密码,你要输入,你要把这个默认密码给它修改掉。安装第三方的一些插件,比如杀毒软件,个人防火墙,入侵检测系统、edr等等
Windows 2000系统安全增强实例
我们需要关闭软盘光盘的启动功能,具体的设置方法两步,第一步把我们系统的启动选项设置成c only。表示只能从C盘去启动,你不能从软盘,光盘或者U盘的PE系统启动
因为黑客如果想窃取数据,又能绕过WINDOWS的认证机制,经常是用PE,用PE系统去启动,不从C盘启动,从而它就能够读取D盘、E盘等等这些盘的数据。
这第一步只能从C盘启动,第二步设置密码。操作系统加载的过程,首先要进行认证,认证之后你才能够正常的去加载我的操作系统。加载操作系统完了之后才是操作系统的认证,所以这里面要设置coms码,本质上就是的bios密码,这是关于系统启动安全的增强
账号和口令安全增强,第一个停用guest账号,这是访客账号,把它停用掉,限制不必要的用户数量,一些不用的账户,就把它给关掉,第三个把系统的超级管理员账号改名,因为我们黑客去攻击的时候往往是攻击超级管理员账号,如果超级管理员账号被攻陷了,其实你的系统就完蛋了,然后可以设置一个陷阱账号,就是你给权限很低的账号,把它名字改成administrator去诱骗攻击者,如果发现组织的账号,他虽然取名叫administrator,如果被用户攻陷了,那就证明有人在攻击我,即使被攻陷了,影响也不是很大
因为你的权限虽然叫administrator,但是你的权限是很低的,属于创建陷阱,账号设置复杂口令,设置屏幕保护口令,不让系统上显示上次登录的用户名。比如现在的像QQ,微信基本上都会显示我们上次登录的用户名,为了安全起见,我们可以不让它显示,开启口令的安全策略
右边会有一些安全策略,比如说口令长度、WINDOWS里面一般至少是六位,强制口令,比如说历史五次,历史上最近五次的口令不能相同,我们最少42天,要改名字,要改你的密码,这历史42天,最多42天,你要修改密码,然后开启账号的一些安全策略,账户的安全策略,你账号如果输错三次之后就要锁定二十分钟。你可以设置20分钟,也可以设置更久,比如说一天要24小时才能复位。
这些我们都可以进行灵活的设置,其他的还有安装最新的补丁。进行网络增强,禁止空连接,关闭默认的一些共享。禁用常见端口135到139,还有445这些端口都是默认共享的。还有关闭不需要的服务,不需要的一些网络端口,这是网络层面的增强
安装第三方的防护软件,防护软件其实刚刚我们提过,像杀毒软件,身份认证的一些软件。还有管理的软件,系统安全检查,漏扫软件,包括监测软件,监测我们网络连接,文档等等,这是第三方的防护软件。win 11对比win 10有一些增强,但是大同小异