10.1 Windows操作系统的安全
10.1.1 Windows系统安全概述
案例10-1 2015年7月，微软也正式宣布，停止支援 Windows Server 2003，未来不再释出任何的安全更新。 但是，根据网路服务业者Netcraft的调查显示，目前全球 仍有超过60万台网站伺服器，使用超过12年历史的 Windows Server 2003，而这些伺服器约代管了1.75亿 个网站。其中，美国及中国则占全球的55%。
不需要禁用
2. Microsoft Search：提供快速的单词搜索 根据需要设置
3. Print Spooler：管理打印队列和打印工作 无打印机可禁用
10.1 W
建议审核项目的相关操作如下：
1. 审核策略更改 2. 审核登录事件 3. 审核对象访问 4. 审核目录服务访问 5. 审核特权使用 6. 审核系统事件 7. 审核账户登录事件
10.1 Windows操作系统的安全
（5）Replicators：该组成员被严格地用于目录复制，可以设置一个 账户用于执行复制器服务； （6）Backup Operators组：该组的成员具有备份和恢复文件的权限， 无论是否有访问这些文件的权限。 （7）Net Configuration Operators组：该组员可移执行常规的网络 配置功能，如更改IP地址，但不能安装和拆卸驱动程序与服务，也可 能执行与网络服务器配置有关功能。
10.1 Windows操作系统的安全
3．关闭不需要的服务
建议按照如下规则设置：
1. Computer Browser：维护网络计算机更新 禁用
2. Error Reporting Service：发送错误报告 禁用
3. Remote Registry：远程修改注册表
禁用
4. Remote Desktop Help Session Manager：远程协助
10.1 Windows操作系统的安全
5.访问控制
访问控制是按用户身份及其所归属的组来限制用户对 某些信息项的访问，或限制对某些控制功能的使用的一种技 术。访问控制通常用于系统管理员控制用户对服务器、目录、 文件等网络资源的访问。
10.1 Windows操作系统的安全
6.组策略
组策略（Group Policy）是管理员为用户 和计算机定义并控制程序、网络资源及操作系 统行为的主要工具。通过使用组策略可以设置 各种软件、计算机和用户策略。
（2）禁用部分资源共享 局域网中，Windows系统提供了文件和打印共享功能，但在享受到该功能 带来的便利的同时，也会向黑客暴露不少漏洞，从而给系统造成了很大 的安全风险。用户可以在网络连接的“属性”中禁止“网络文件和打印 机共享”。
10.1 Windows操作系统的安全
6．清除页面交换文件
Windows Server 2016中的页面交换文件隐藏有不少重 要隐私信息，并且这些信息全部是动态产生，如果不及时清 除，很可能成为攻击者入侵的突破口。
10.1 Windows操作系统的安全
Windows还有一些内置的用户组，每个组都被赋予特殊的权限：
（1）Administrators组：具有所有的权利，同时， Administrators 组可以执行任何和所有操作系统提供的功能。 也自动拥有对于磁盘上所有文件和文件夹的操作权限。 （2）Users（用户）：该组成员可以登录和运行应用程序，也可 以关闭和锁定操作系统，但是不能安装应用程序，如果用户有本 地登录到机器的权限，则也有创建本地组和管理所创建的组的权 限。 （3）Power User组：在Windows Sever2003及以前的版本中，该 组成员可创建和修改本地用户账号，有比较多的管理权限。但在 Windows2016中，这些权限被取消。 （4）Guests组：该组成员只能执行被特别授予权限的任务，而 且只能访问被授权的资源。在默认状态下，Guest属于该组成员。
在“开始”菜单中，选择“运行”，打开“运行”对话 框中输入“Regedit”命令打开注册表窗口。在注册表编辑 窗口中，按照树型结构用鼠标依次展开 “HKEY_local_machine\system\currentcontrolset\ control\sessionmanager\memory management”分支，在右 侧子窗口中，用鼠标双击“ClearPageFileAtShutdown”键 值，在弹出的参数设置窗口中，将其数值设置为“1”。完 成设置后，退出注册表编辑窗口，并重新启动计算机系统则 设置生效。
成功和失败 成功和失败 失败 失败 失败 成功和失败 成功和失败
10.1 Windows操作系统的安全
5．安全管理网络服务
（1）禁用远程自动播放功能 Windows操作系统的自动播放功能不仅对光驱起作用，而且对其它驱动器 也起作用，这样的功能很容易被攻击者利用来执行远程攻击程序。 关闭该功能的具体步骤：“运行”窗口中输入“gpedit.msc”并回车， 在打开的“组策略编辑器”窗口中依次展开“计算机配置”、“管理模 板”、“系统”，选中“系统”，在右侧子窗口中找到“关闭自动播放” 选项并双击，在打开的对话框中选择“已启用”，然后在“关闭自动播 放”的下拉菜单中选择“所有驱动器”，按“确定”即可生效。
一个网络中，可以包含一个或多个域，通过设置将多个域 设置成活动目录树。
10.1 Windows操作系统的安全
3.用户和用户组
在Windows NT 中，用户账号中包含用户的名称与密码、 用户所属的组、用户的权利和用户的权限等相关数据。
用户账户通过用户名和密码进行标识，用户名是账户的文本 标签，密码则是账户的身份验证字符串。虽然Windows通过用 户名来区别不同的账户，但真正区别不同账户的是安全标识符 SID（Security Identifiers），SID是被系统用来唯一标识安全 主体的，安全主体既可以是系统用户也可以是系统内的组，甚 至是域。当系统中创建一个用户或一个用户组的时候，系统就 会分配给该用户或组一个唯一的SID，是独立于用户名的，是由 系统及用户的相关信息生成的一个字符串， 如S-1-5-21-310440588-250036847-580389505-500。
NTFS权限不但支持通过网络访问的用户对访问系统中 文件的访问控制，也支持在同一台计算机上以不同的用 户登录，对硬盘的同一个文件可以有不同的访问权限。
10.1 Windows操作系统的安全
2.域（Domain）
“域”是一组由网络连接而成的计算机群组，是Windows NT 中数据安全和集中管理的基本单位，域中各计算机是一种不 平等的关系，可以将计算机内的资源共享给域中的其他用户访问。 域内所有计算机和用户共享一个集中控制的活动目录数据库，目 录数据库中包括了域内所有计算机的用户账户等对象的安全信息， 这个目录数据库存在于域控制器中。
目录
1
10.1 Windows操作系统的安全
2
10.2 UNIX操作系统的安全
3
10.3 Linux操作系统的安全
4
10.4 Web站点的安全
5
10.5 系统的恢复
6 *10.6 Windows Server2016安全配置与恢复
7 * 10.7 本章小结
教学目标
教学目标
● 理解网络操作系统安全面临的威胁及脆弱性 ● 掌握网络操作系统安全的概念和内容 重点 ● 掌握网络站点安全技术相关概念
设为30分钟。
10.1 Windows操作系统的安全
（5） “登录屏幕上不要显示上次登录的用户名”在“组策略 编辑器”窗口中，依次选择“计算机配置”、“Windows设 置”、“安全设置”、“本地策略”、“安全选项”，在右侧 子窗口中将设置为“启用”。 （6）在“组策略编辑器”窗口中，依次选择“计算机配置”、 “Windows设置”、“安全设置”、“本地策略”、“用户权 利分配”，在右侧子窗口中将“从网络访问此计算机”下只保 留“Internet来宾账户”、“启动IIS进程账户”。如果使用 需要保留“Aspnet账户”。 （7）创建一个User账户，运行系统，如果要运行特权命令使 用Runas命令。该命令允许用户以其他权限运行指定的工具和 程序，而不是当前登录用户所提供的权限。
10.1 Windows操作系统的安全
1. Windows 文件系统
NTFS（Windows NT File System）是Windows NT 采用的新型文件系统，它是建立在保护文件和目录数 据基础上，可提供安全存取控制及容错能力，同时节省 存储资源、减少磁盘占用量。在大容量磁盘上，它的效 率比FAT高。
禁用
5. Distributed File System：局域网管理共享文件
不需要禁用
6. Distributed Link Tracking Client：用于局域网更新连接信息
不需要禁用
1. NT LM Security Support Provider：用于telnet和Microsoft Search
10.1 Windows操作系统的安全
10.1.2 Windows 安全配置管理 1．账户管理和安全策略
（1）更改默认的管理员账户名（Administrator）和描述，口令最好采用 数字、大小写字母、数字组合，长度最好不少于14位。 （2）新建一个名为Administrator的陷阱账户，为其设置最小的权限，然 后随便输入组合的、最好不低于20位的口令。 （3）将Guest账户禁用，并更改名称和描述，然后输入一个复杂的密码。 （4）在“运行”窗口中输入gpedit.msc命令，在打开的“组策略编辑器” 窗口中，按照树型结构依次选择“计算机配置”、“Windows设置”、 “安全设置”、“账户策略”、“账户锁定策略”，在右侧子窗口中将 “账户锁定策略”的三种属性进行分别设置：“账户锁定阈值”设为“3 次无效登录”、“账户锁定时间”设为30分钟、“复位账户锁定计数器”