¿Qué incluye minimizar la configuración de seguridad del sistema operativo?
El sistema operativo es el punto de partida para usar su computadora. Todas las operaciones con información y archivos deben completarse de manera colaborativa a través del sistema operativo. sistema. Debido a algunas fallas en el propio sistema operativo, los piratas informáticos pueden entrar y salir de su sistema informático a voluntad. Para hacer esto, necesita tener un sistema informático seguro que mantenga a raya a los piratas informáticos.
(a) Configuración de seguridad de Windows 2000 Server
1. Personaliza tu propio Windows 2000 Server
(1) Selección de versión: Hay muchos tipos de Windows 2000 Versión de idioma, para nosotros, puede elegir la versión en inglés o la versión en chino simplificado. Cuando no exista la barrera del idioma, se recomienda encarecidamente utilizar siempre la versión en inglés. Ya sabes, los productos de Microsoft son famosos por sus errores y parches. La versión china tiene muchos más errores que la versión en inglés, y los parches suelen llegar con al menos medio mes de retraso (es decir, después de que Microsoft anuncia una vulnerabilidad, su máquina se verá afectada). estado desprotegido durante medio mes).
(2) Personalización de componentes: Windows 2000 tiene algunos componentes comunes instalados de forma predeterminada. Sin embargo, es esta instalación predeterminada la que es extremadamente peligrosa. Debes saber exactamente qué servicios necesitas e instalar sólo los que realmente necesitas. Según el principio de seguridad, servicios mínimos + permisos mínimos = máxima seguridad. Una selección típica de los componentes mínimos necesarios para un servidor de red es instalar sólo ComFiles, IIS Snap-In y el componente WWW Server de IIS. Si necesita instalar otros componentes, tenga cuidado, especialmente los servicios de indexación, las Extensiones de servidor FrontPage 2000, el Administrador de servicios de Internet (HTML), estos servicios peligrosos.
(3) Selección del software de aplicación de gestión: elegir un buen software de gestión remota es algo muy importante. Esto no es sólo un requisito de seguridad, sino también una necesidad de la aplicación. Windows 2000 Terminal Service es un software de control remoto basado en RDP (Protocolo de escritorio remoto). Es rápido y fácil de operar, y es más adecuado para su uso en las operaciones diarias. Sin embargo, Terminal Services también tiene sus desventajas, ya que utiliza un escritorio virtual, cuando usa Terminal Services para instalar software o reiniciar el servidor y otras operaciones que interactúan con el escritorio real, a menudo se sentirá confundido, por ejemplo, al usar Terminal. Servicios Reiniciar Los servidores de autenticación de Microsoft (Compaq, IBM, etc.) se pueden cerrar directamente. Por ello, por motivos de seguridad, se recomienda utilizar otro software de control remoto como auxiliar para complementar Terminal Services, como PcAnyWhere, que es una buena opción.
2. Instalar correctamente Windows 2000 Server.
(1) Asignación de particiones y discos lógicos. Para evitar problemas, algunos amigos solo dividen el disco duro en un disco lógico y todo el software se instala en la unidad C. Se recomienda crear al menos dos particiones, una partición del sistema y una partición de la aplicación. Esto se debe a que el IIS de Microsoft a menudo filtra vulnerabilidades de código fuente/desbordamiento. Si el sistema y el IIS se colocan en el mismo disco duro, se producirá un archivo del sistema. fugas e incluso intrusos Obtenga el administrador de forma remota. La configuración de seguridad recomendada es crear tres unidades lógicas, la primera de más de 2 GB para cargar el sistema y los archivos de registro importantes, y la segunda para colocar IIS en la misma unidad. La configuración de seguridad recomendada es crear tres unidades lógicas, la primera de más de 2 GB para cargar el sistema y los archivos de registro importantes, la segunda para IIS y la tercera para FTP, de modo que, independientemente de que se produzca una vulnerabilidad de seguridad en IIS o FTP, ser No afectará directamente los directorios y archivos del sistema.
(2) Selección de la secuencia de instalación: Hay varias secuencias a las que se debe prestar atención al instalar Windows 2000:
Primero, cuándo acceder a la red. Existe una laguna durante la instalación de Windows 2000. Después de ingresar la contraseña de administrador, el sistema ha creado un ADMIN$ compartido, pero no está protegido por la contraseña que acaba de ingresar.
Mientras ingrese una contraseña para protegerlo, esta situación continuará hasta que lo inicie nuevamente. Durante este período, cualquiera puede ingresar a su máquina a través de ADMIN$ al mismo tiempo, siempre que se complete la instalación, se activarán varios servicios; se ejecuta automáticamente y el servidor en este momento está lleno de vulnerabilidades y es muy fácil de invadir. Por lo tanto, asegúrese de no instalar el host antes de instalar y configurar Windows 2000 por completo.
En segundo lugar, instale el parche. El parche debe instalarse después de instalar todas las aplicaciones, porque los parches a menudo reemplazan/modifican ciertos archivos del sistema. Si instala el parche primero y luego la aplicación, es posible que el parche no sea tan efectivo como debería. Por ejemplo, es necesario instalar HotFix para IIS cada vez que cambie la configuración de IIS.
3. Puerto
Un puerto es una interfaz lógica que conecta un ordenador y una red externa. Es la primera barrera del ordenador. Que la configuración del puerto sea correcta afecta directamente al mismo. seguridad del anfitrión. En términos generales, es más seguro abrir solo los puertos que deben usarse. El método de configuración es: abra el cuadro de diálogo "Propiedades de conexión de área local", haga clic en "Protocolo de Internet (TCP/IP) → Avanzado → Opciones → TCP/IP. Filtrado → Propiedades", en el cuadro de diálogo que se abre. En el cuadro de diálogo que se abre "Habilitar filtrado TCP/IP".
4. IIS
IIS es uno de los componentes más vulnerables de Microsoft, por lo que la configuración de IIS es nuestro enfoque:
(1) Eliminar completamente\ el directorio Inetpub, luego cree el directorio Inetpub en la unidad D y apunte el directorio de inicio a D:\Inetpub en el administrador de IIS.
(2) Establezca el directorio Inetpub predeterminado en la instalación de IIS en D:\Inetpub. Puede eliminar todos los directorios virtuales (como Scripts) en su instalación de IIS y crear los suyos propios si se requieren permisos (preste especial atención a los permisos de escritura y ejecución de programas, no los configure si no es necesario).
(3) Configuración de la aplicación: elimine todas las asignaciones inútiles en el Administrador de IIS, excepto las asignaciones necesarias.
(4) Por razones de seguridad, puede utilizar la función de copia de seguridad de IIS para realizar una copia de seguridad de todas las configuraciones anteriores para poder restaurar la configuración de seguridad de IIS en cualquier momento. Si le preocupa que la sobrecarga de IIS provoque que el servidor falle a plena capacidad, también puede activar el límite de rendimiento de la CPU, por ejemplo, limitar el uso máximo de CPU de IIS al 70%.
5. Seguridad de la cuenta
La seguridad de la cuenta en Windows 2000 es otro punto clave. En primer lugar, la instalación predeterminada permite a cualquier usuario obtener la lista de todas las cuentas/compartidos del sistema a través de un usuario vacío. Esto tiene como objetivo facilitar que los usuarios de LAN compartan archivos, pero los usuarios remotos también pueden obtener su lista de usuarios y pasar el método de descifrado por fuerza bruta. para descifrar la contraseña del usuario. A continuación se muestra un ejemplo de cómo hacer esto. Mucha gente sabe que se pueden desactivar 139 conexiones nulas cambiando el registro HKEYLOCALMACHINE\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1. De hecho, Windows 2000 tiene esa opción en su política de seguridad local. RestrictAnonymous (restricciones adicionales en conexiones anónimas), esta opción tiene tres valores:
0: Ninguno. Confíe en los permisos predeterminados. Este valor es el valor predeterminado del sistema sin restricciones. Los usuarios remotos pueden conocer todas las cuentas, información de grupo, directorios compartidos, listas de transmisión de red, etc. en su máquina.
1: No permitir enumeración de cuentas y acciones SAM. Este valor solo permite que los usuarios no nulos accedan a la información y los recursos compartidos de la cuenta SAM.
2: Sin permisos anónimos explícitos, no se permite el acceso. Este valor sólo es compatible con Windows 2000, es importante tener en cuenta que si usa este valor, probablemente no tendrá suerte, por lo que recomiendo configurarlo en 1.
Ahora, los intrusos no pueden obtener nuestra lista de usuarios y nuestra cuenta está segura. ...Espera un minuto, hay al menos una cuenta que puede establecer una contraseña y es el administrador integrado del sistema. Haga clic derecho en el administrador en Administración de computadoras → Cuentas de usuario y cambie el nombre. Luego cambie la cadena "No mostrar el último nombre de usuario" en HKEYLOCALMACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon a 1 para que el sistema no ejecute automáticamente la contraseña. Esto evitará que el sistema muestre automáticamente el último nombre de usuario.
Cambie la cadena "No mostrar el último nombre de usuario" en la clave de registro del servidor\HKEYLOCALMACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon a 1 para ocultar el nombre de usuario que inició sesión por última vez en la consola. Se ocultará el nombre de usuario del último usuario que inició sesión en la consola.
6. Registro de seguridad
La instalación predeterminada de Windows 2000 no permite ninguna auditoría de seguridad. Vaya a Política de auditoría en Política de seguridad local y active la auditoría adecuada. Las auditorías recomendadas incluyen
Éxito/fracaso en la gestión de la cuenta
Evento de inicio de sesión exitoso/fracaso
Error en el acceso al objeto
Éxito/fracaso del cambio de política
Error en el uso del permiso
Evento de sistema exitoso/fallo
Error de acceso al servicio de directorio
Evento de inicio de sesión exitoso/fallo
Evento de inicio de sesión exitoso/fallido
Las cuentas asociadas con Windows 2000 no tienen auditoría de seguridad.
Para "Política de contraseñas" en "Política de cuenta", establezca:
El requisito de complejidad de la contraseña está habilitado
La longitud de la contraseña debe tener al menos 6 dígitos
Forzar historial de contraseñas 5 veces
Periodo máximo de retención 30 días
Establecer en la política de bloqueo de cuenta de la política de cuenta:
Cuenta bloqueada 3 veces Error de inicio de sesión
Tiempo de bloqueo 20 minutos
Restablecer tiempos de bloqueo 20 minutos
7. Permisos de directorio y archivos
Para controlar los permisos de usuario del servidor, y para evitar posibles intrusiones en el futuro, también debemos establecer permisos de acceso a directorios y archivos. Los permisos de acceso de Windows 2000 se dividen en: leer, escribir, leer y ejecutar, modificar, listar directorio y completar. control. De forma predeterminada, la mayoría de las carpetas están completamente abiertas para todos los usuarios y deberá restablecer los permisos según las necesidades de su aplicación.
Al realizar el control de permisos, recuerde los siguientes principios:
(1) Los permisos son acumulativos: si un usuario pertenece a dos grupos, entonces tiene los permisos de ambos grupos, todos los permisos. .
(2) Los derechos de acceso denegados son superiores a los derechos de acceso permitidos. Si un usuario pertenece a un grupo al que se le niega el acceso a un recurso, no podrá acceder al recurso, sin importar cuántos permisos le abran otras configuraciones de permisos.
(3) Los permisos de archivos son superiores a los de carpetas.
(4) Proporcionar a los usuarios sólo los permisos que realmente necesitan. El principio de minimizar permisos es una garantía importante para la seguridad.
8. Prevenir DoS
Cambiar los siguientes valores en el registro\HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters puede ayudarle a defenderse contra un cierto grado de ataques DoS :
Valor del tipo de nombre
Configuración del servidor de sincronización.SynAttackProtect REGDWORD 2
EnablePMTUDiscovery REGDWORD 0
NoNameReleaseOnDemand REGDWORD 1
EnableDeadGWDetect REGDWORD 0
KeepAliveTime REGDWORD 300 , 000
PerformRouterDiscovery REGDWORD 0
EnableICMPRedirects REGDWORD 0
9.Ataque ICMP
El ataque de tormenta ICMP y el ataque de fragmentación también son hosts NT Aunque es un método de ataque problemático, el método para solucionarlo es en realidad muy sencillo. Windows 2000 viene con una herramienta de enrutamiento y acceso remoto. Esta herramienta es el comienzo del prototipo del enrutador. En esta herramienta podemos definir fácilmente filtros de paquetes de entrada y salida. Por ejemplo, configurar el código ICMP de entrada 255 en Descartar descartará todos los paquetes ICMP entrantes.
(2) Configuración de seguridad de Windows 98
A veces, puede haber muchas personas molestas usando una computadora. Cada usuario no quiere que otros vean sus archivos privados, pero todos tienen derecho a usar la computadora. En este momento es muy importante garantizar la seguridad del sistema y de los archivos de cada usuario. Te contamos cómo solucionar este problema.
1. Establecer permisos de usuario
Establecer diferentes permisos de usuario para diferentes usuarios y restringir los derechos de ciertos usuarios para modificar archivos del sistema mejorará en gran medida la seguridad del sistema. Los pasos específicos son los siguientes (aquí tomamos como ejemplo la configuración de los niveles "Administrador" y "Usuario"):
(1) Haga clic en "Panel de control → Contraseña → Perfil de usuario".
(1) Haga clic en "Panel de control → Contraseña → Perfil de usuario" y seleccione "Los usuarios pueden personalizar las preferencias y la configuración del escritorio". Al iniciar sesión, Windows habilitará automáticamente la opción "Configuración personal (C)". Haga clic en el botón "Aceptar" y siga las instrucciones en pantalla para configurar el usuario y la contraseña de "Administrador". >
(2) Después de reiniciar la computadora, ingrese Windows 98 como "Administrador" y haga clic en "Panel de control → Usuario". el nivel "Usuario" /p>
2. Evite el acceso no autorizado
Para evitar que usuarios no autorizados ingresen a Windows 98 con la configuración predeterminada del sistema, puede realizar las siguientes operaciones: Ejecute "Regedit" para. abra el Editor del Registro. Cree un nuevo "valor de cadena" llamado "Usuario ilegal, salir" en \HKEYUSER\Default\Software\Micorosoft\Windows\CurrentVersion\Run. Edite el valor de la cadena como "Usuario ilegal, salir". "rundll.exe user.exe, EXITWINDOWS" De esta manera, cuando usuarios ilegales intenten ingresar al sistema Windows 98, la computadora se apagará automáticamente
Para evitar que los usuarios ilegales presionen F8. para abrir el menú de inicio de Windows 98 e ingresar al sistema de forma segura, también necesitamos editar el archivo Msdos.sys Agregar las siguientes líneas en la sección [opción] del archivo:
. BootMulti = 0: configura el sistema para que no pueda realizar un arranque múltiple.
p>BootGUI = 1: ingresa directamente a la interfaz gráfica de usuario de Windows 98 al inicio.
BootDelay = 0: establece el tiempo que el mensaje "Staring Windows 98..." permanece al inicio en 0 segundos.
BootKeys = 0: configura las teclas de función F4, F5, F6 y F8 para que se deshabiliten durante el arranque.
3. Nuevos derechos de acceso para usuarios de nivel "usuario"
Al ingresar a Windows 98 como "usuario", puede restringir el acceso de los usuarios de nivel "usuario" modificando el archivo. permisos.
Al ingresar a Windows 98 como "usuario", puede restringir los derechos de acceso de los usuarios de nivel "usuario" modificando el registro de archivos.
(1) Ocultar parte del menú "Inicio": abra el registro y cree un nuevo DWS en \HKEYCURRENTUSER\Software\Micorsoft\Windows\Current Version\Policies\Explorer. Cree un nuevo valor DWORD "NoSetFolders" en el Explorador con un valor de "1". Esto evitará que los usuarios utilicen la impresora en el Panel de control y Configuración.
Cree un nuevo valor DWORD "NoSetTaskbar" con un valor de 1 en esta rama para deshabilitar la funcionalidad de propiedades de la barra de tareas; cree un nuevo valor DWORD "NoFind" con un valor de 1 para deshabilitar la funcionalidad "Buscar"; . "NoRun", el valor clave es "0x00000001", luego cierre el elemento del menú "Ejecutar".
(2) Deshabilite Active Desktop: después de cerrar el "Panel de control" y las "Impresoras", los usuarios normales pueden usar las siguientes funciones para deshabilitar Active Desktop (2) Deshabilite "Active Desktop": Cerrar el "Panel de control" y las "Impresoras". Una vez habilitada la función "Impresora", los usuarios normales pueden cambiar las propiedades de visualización a través de "Active Desktop". Para desactivar "Active Desktop", cree un nuevo valor DWORD "NoDispCPL" en \HKEYCURRENTUSER\Software\Microsoft\Windows\Windows\Policies\System y establezca el valor de esta clave en "1". Esto también desactivará el escritorio activo.
(3) Deshabilitar el Editor del Registro: Para evitar que los usuarios comunes utilicen el registro, podemos deshabilitarlo de esta manera:
En \HKEYCURRENTUSER\Software\Micorsoft\Windows\ CurrentVersion\Policies En \System, cree un nuevo valor DORD "NoDispCPL". \System, cree un nuevo valor DWORD "DisableRegistryTools" con un valor de "1".
(4) Desactivar MS-DOS: después de ocultar la unidad, los usuarios normales aún pueden acceder a cualquier unidad a través de MS-DOS. Para restringir el acceso de los usuarios, puede desactivar las funciones de MS-DOS: \HKEYCURRENTUSER\Software\Micorsoft\Windows Cree una nueva clave primaria "WinOldApp" en \CurrentVersion\Policies y cree un nuevo valor DOWRD debajo de ella "Disabled" con el valor " 1".
(5) Archivo de contraseña oculta: En Windows 98, la contraseña establecida por el usuario se guarda en el subdirectorio de Windows con el nombre de archivo xxx.pwl. Es fácil para los usuarios normales encontrar el archivo de contraseña que configuró y eliminarlo. De esta manera podrá ingresar exitosamente al sistema como administrador. Por tanto, es necesario ocultar el archivo de contraseña. En la [Lista de contraseñas] del archivo System.ini, cambie la ubicación del archivo de contraseña a un directorio debajo de la unidad oculta. De esta manera, los usuarios habituales no podrán encontrar el archivo de contraseña y no podrán eliminarlo.
(6) Desactivar la ejecución automática del CD-ROM
Después de establecer una contraseña para el protector de pantalla, ¿crees que es seguro? ¡No es seguro! La función de ejecución automática del CD puede causarnos problemas. Como todos sabemos, Windows 98 tiene la función de ejecutar automáticamente el CD, por lo que cuando insertamos el CD en la unidad de CD-ROM, el CD se reproducirá automáticamente, y cuando insertamos el CD con el archivo Autorun.inf en la raíz directorio, el CD también se ejecutará automáticamente. El protector de pantalla de Windows 98 no prohíbe la función de ejecución automática del CD. Es decir, incluso bajo el control de la contraseña del protector de pantalla, después de que el usuario inserta un CD con el archivo Autorun.inf en el directorio raíz, el sistema. seguirá ejecutándose automáticamente. Esto brinda a los atacantes maliciosos una oportunidad. Actualmente, existe en el mercado un CD de ejecución automática que se utiliza específicamente para crackear protectores de pantalla. Para ello debemos desactivar la función de CD de ejecución automática del sistema. Hay dos métodos para desactivar la función de ejecución automática del CD:
Seleccione "Mi PC→Propiedades", abra el cuadro de diálogo "Propiedades del sistema" y haga clic en la pestaña "Administrador de dispositivos". Haga clic en la pestaña Administrador de dispositivos; expanda la rama CDROM y seleccione la unidad óptica del usuario. Haga clic en el botón "Propiedades" para abrir el cuadro de diálogo de propiedades de la unidad de CD-ROM, haga clic en la pestaña "Configuración" y cancele la "Función de inserción automática". Este método desactiva efectivamente la función de ejecución automática del disco, pero también desactiva la función de reproducción automática del disco.
El segundo método es abrir el registro\HKEYCURRENTUSER\Software\Micorsoft\Windows\CurrentVersion\Policies\Explorer y crear un valor DWORD "NoDriveTypeAutoPlayer". NoDriveTypeAutoRun" tiene un valor de "1".
Esto desactivará la función de ejecución automática del CD y no sucederá nada cuando inserte un CD con un archivo Autorun.inf en el directorio raíz y la función de reproducción automática del CD. no se verá afectado.
Después de la configuración anterior, la seguridad de su sistema Windows 98 mejorará enormemente. No tiene que preocuparse por la entrada de usuarios ilegales, ni por los usuarios comunes. mal funcionamiento y dañar su sistema. Todo lo que tiene que hacer es recordar su contraseña.
Finalmente, hablemos sobre cómo eliminar la configuración de usuario. Primero, seleccione "Configuración de usuario" en "Panel de control" → "Usuarios". "Eliminar" para eliminar el usuario. Luego elimine la clave de red en el registro \HKEYLOCALMACHINE y elimine la clave ProfileList en \HKEYCURRENTUSER\Software\Micorsoft\Windows\CurrentVersion. Reinicie la computadora e ingrese el mensaje "Ingresar contraseña de Windows". cuadro al ingresar a Windows 98 Ingrese el nombre de usuario en el campo Usuario, pero no la contraseña, y haga clic en el botón "Aceptar". Esto eliminará la configuración del usuario y el mensaje "Ingresar contraseña de Windows" ya no aparecerá al inicio. p>