❖ 端口
139 445端口
17
关闭管理共享
通过控制面板里面的管理工具来取消共享为暂时，重启后恢复。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Para
meters 服务器：创建键值名AutoShareServer，类型DWORD（双字节）并且值为0 客户端：创建键值名为AutoShareWks，类型DWORD（双字节）并且值为0
▪ 用户登录时的消息文本
▪ 使用空白密码的账号允许 控制台登录
▪ ……
22
其他本地安全策略
❖ 高级安全Windows防火墙 ❖ 网络列表管理器策略 ❖ 公钥策略 ❖ 软件限制策略 ❖ 应用程序控制策略 ❖ 高级审核策略配置
23
组策略设置
❖ 软件设置 ❖ Windows设置 ❖ 管理模板
▪ Windows组件 ▪ 打印机 ▪ 控制面板 ▪ 网络 ▪ 系统 ▪ 所有设置 ▪ ……
▪ 防火墙 ▪ 连接安全规则 ▪ 安全关联
有必要考虑第三方 防火墙
26
自动更新配置
❖ 更新方式
▪ 自动更新 ▪ 自动下载，手动安装
（推荐） ▪ 通知更新、手动下载
安装 ▪ 不检查更新
❖ 更新时间 ❖ 其他设置
27
远程访问设置
❖ 限制对远程终端的访问
▪ 尽量不要开放远程终 端等远程管理系统
• 限时 • 限制访问源(IP)
▪ IIS ▪ FTP ▪ SMTP ▪ NNTP ▪ ……
❖ 修改默认配置
▪ Windows安装目录(例如：c:\winnt)
11
补丁及备份
❖ 补丁
▪ Service Pack ▪ Hotfix
❖备份
▪ 应急修复盘 ▪ 还原点
12
打造安全的Windows系统-安全配置
❖ 账户安全配置 ❖ 共享安全配置 ❖ 系统服务配置 ❖ 日志安全配置 ❖ 安全策略配置
33
开启屏幕保护功能
桌面右键→属 性→屏幕保护 程序→勾选 “在回复时使 用密码保护”
34
策略三：确保共享安全
共享的管理 关闭管理共享
共享
35
策略四：确保系统补丁更新
如何确保系统补丁的更新？ ✓ 开启系统的自动更新并安装 ✓ 手动设置检测系统补丁更新 ✓ 第三方软件更新系统补丁
36
开启自动更新、安装更新
41
移动存储设备自动播放的威胁
❖ U盘插入，病毒则立刻运行
42
策略六：关闭系统自动执行功能
43
策略七：开启windows防火墙
控制面板→安 全中心→启用 控制面板 →windows防 火墙 →选择 “启用”
44
配置windows防火墙
选择例外→根据需 要配置“例外”选 项 只有经过允许的应 用程序才能访问网 络
18
系统服务安全配置
❖ 关闭不必要的服务（手工、禁用）
▪ Message
▪ Task Scheduler
▪ Remote Registry ▪ Windows Time
关注互操作服务
▪ ……
❖ 服务的权限控制
▪ 默认服务权限-system
▪ 降低部分服务的权限，特别是应用程序服务权限
19
日志安全配置
❖ 文件安全配置 ❖ 防火墙安全配置 ❖ 自动更新配置
❖ 安全软件增强
13
账号安全配置
❖ 账户策略
▪ 密码策略
• 密码必须符合复杂性要求
• 密码长度最小值
• 密码最短使用期限
• 密码最长使用期限
• 强制密码历史
• 用可还原的加密来存储密码
▪ 账户锁定策略
• 账户锁定时间
• 账户锁定阀值
•
重置账户锁定计数器 14
❖ 账户安全问题 ❖ 扩展存储过程 ❖ 默认端口、通讯加密 ❖ 日志监控、审计 ❖ 备份、恢复
61
账户安全问题
默认的SA用户为空口令
62
扩展存储过程
❖Sql Server存在扩展存储过程能够对系统 进行调用。
❖ xp_cmdshell(实现cmd的调用) ❖ xp_regwrite(实现注册表的调用) ❖ 其他与系统交互的存储过程
47
配置日志大小和覆盖方式
控制面板→管 理工具→事件 查看器（或者 直接在开始， 运行中输入 eventvwr.msc） →选中其中一 项，属性→调 整日志大小， 覆盖策略
48
策略九：安全增强软件
安装哪些安全增强软件 ✓ 软件防火墙 ✓ 安全防护 ✓ 影子系统 ✓ 其他安全软件
49
策略十：小心重要数据
❖ 默认提供日志
▪ 系统日志 ▪ 应用程序日志 ▪ 安全日志
❖安装相应服务后 提供
▪ 目录服务日志 ▪ 文件复制日志 ▪ DNS服务器日志
20
开启安全审核！
日志安全配置
❖ 日志属性
▪ 日志大小上限 > 100M
▪ 日志覆盖时间 > 30天
❖ 日志保存路径修改
▪ HKEY_LOCAL_MACHINE\SYSTEM\Curren tControlSet\Services\Eventlog
63
默认端口
❖ Sql Server 默认采用的通讯端口为1433，可以将该端口进行 修改提高安全性。
64
通讯加密
❖ 可以选择强制协议加密来保证通讯安全。
65
日志监控、审计
❖经常需要查看Sql Server的运行日志 ❖打开Sql Server的审计功能
账号安全配置
❖ 账户信息修改
▪ 更名
• 管理员账户administrator改名 • 给管理员账户一个安全的口令 • Guest账户改名，给一个安全的口令
▪ 属性
• 关闭普通账号的终端登录权限
❖ 创建审计账户
▪ 创建一个新的administrator账户，属于guest组 ▪ 对此账户进行审计以发现口令攻击行为
30
策略一：规范的计算机名称
为什么要规范计算机名称？ ✓ 方便管理 ✓ 出现问题后及时定位
31
更改计算机名
✓ 我的电脑→ 属性→计算机 名→更改，重 启计算机即可。
32
策略二：安全的账号及口令
如何保障账号及口令安全？ ✓ 更改管理员administrator及访客guest账号名称 ✓ 设置强壮的口令 ✓ 设置账户安全策略
❖文档 ❖邮件 ❖数据 ❖通讯录
备份
50
知识体：系统及应用安全技术
❖ 知识域：WEB应用安全
▪ 了解IIS等常用Web软件安全配置管理方法； ▪ 了解SQL等数据库系统安全配置管理方法。
❖ 知识域：互联网使用安全
▪ 了解互联网浏览安全基本常识； ▪ 了解数据安全基本概念；
51
Web应用面临的安全风险
系统及应用安全
中国信息安全测评中心
课程内容
系统及应用安 全技术
操作系统安全 Web应用安全 互联网使用安全
2
知识体：系统及应用安全技术
❖ 知识域：操作系统安全
▪ 了解Windows系统服务器安全安装及配置； ▪ 了解Windows系统终端安全管理策略。
3
系统安全重要性
❖ 系统安全是信息系统纵深防御中的最后环节 ❖ IATF“保护计算环境”的主要内容
▪ 限制管理员从远程终 端登录
28
安全增强软件
❖ 软件防火墙 ❖ 防病毒软件 ❖ 安全检测软件 ❖ 安全还原软件 ❖ ……
外部网络
29
打造安全计算机终端的十条策略
❖ 规范的名称 ❖ 安全的账号及口令 ❖ 确保共享安全 ❖ 确保系统补丁更新 ❖ 防病毒软件及更新 ❖ 关闭系统自动执行功能 ❖ 启用系统防火墙 ❖ 安全策略设置 ❖ 安装增强软件 ❖ 重要数据要备份
45
策略八：安全策略设置
如何设置安全策略 ✓ 账户策略 ✓ 本地策略 ✓ 其他策略 ✓ 日志管理
46
开启审核功能
控制面板→管理 工具→本地安全 策略（或者直接 在开始，运行中 输入gpedit.msc） →windows设置→ 安全设置→本地 策略→审核策略 →属性→根据需 要选择“成功”、 “失败”选项
控制面板→安 全中心→启用 控制面板→自 动更新 →选 择相应选项
37
安装更新
从弹出的对话 框选择→快速 安装或自定义 安装 安装完成后及 时重启计算机
38
手工查询更新
开始菜单→所 有程序 →windows Update→进入 微软更新网站， 手工更新
39
使用第三方工具修复系统漏洞
40
策略五：防病毒软件及更新
58
Web站点设置
❖ IP地址 ❖ 端口 ❖ 主机头名称 ❖ 连接控制 ❖ 日志
59
日志安全性
❖ 日志记录内容 ❖ 日志的路径
▪ 非系统盘 ▪ 足够大的空间 ▪ 单独的日志分区
❖日志的访问权限
❖ System可以写入，不可读 ❖ Administrator可读不可修改 ❖ 其他用户无权限
60
构建安全应用环境-SQL Server安全管理
令转换
9
Windows文件系统
❖ FAT/FAT32
▪ 小磁盘和简单的目录结构设计，以簇（Clusters） 为单位进行空间分配，容易导致空间浪费
▪ 不具备安全特性
❖ NTFS
▪ 访问控制 ▪ 权限管理 ▪ 容错性 ▪ 支持压缩及空间利用率高 ▪ ……
10
优化安装
❖ 最小化组件安装，仅安装必要的组件
保护计算环境
保护网络边界
保护网络和 基础设施
骨干网络
4
系统安全的核心要素