系统防御技术.pptx

重庆通信学院 马传龙系统防御技术中国信息安全认证中心 重庆通信学院系统防御技术一、账号和密码策略一、账号和密码策略二、本地安全策略和审计策略二、本地安全策略和审计策略三、关闭不需要的服务三、关闭不需要的服务四、修改注册表四、修改注册表五、五、IIS的安全配置的安全配置六、六、SSL证书的安装、颁发和验证证书的安装、颁发和验证七、邮件和文件加密七、邮件和文件加密中国信息安全认证中心 重庆通信学院一、账号和密码策略一、账号和密码策略 用户账户是计算机安全设置的重要对象，许多安全功能的实现都是基于用户账户的，如文件访问权限设置、用户环境设置等。在独立计算机上，系统管理员账户可以完全控制其他普通用户账户，包括创建、禁用、删除等；在域环境中，域管理员可以通过为不同的用户账户，赋予指定的操作和访问权限，维护整个网络的安全。中国信息安全认证中心 重庆通信学院一、账号和密码策略一、账号和密码策略1、账号管理策略“开始”“程序”“管理工具”“计算机管理”l停用Guest账号并修改密码l限制不必要的用户数量l创建两个管理员帐户，一个是一般权限，另一个有administrators权限 l创建一个“陷阱”帐户administrator中国信息安全认证中心 重庆通信学院一、账号和密码策略一、账号和密码策略22、密码管理策略“开始”“程序”“管理工具”“本地安全策略”中国信息安全认证中心 重庆通信学院二、本地安全策略和审计策略二、本地安全策略和审计策略1、审计策略“管理工具”“本地安全策略”“审核策略”设置以下策略的成功和失败选项l审核策略更改l审核登录事件l审核对象访问l审核系统事件l审核账户账户登录事件l审核账户管理中国信息安全认证中心 重庆通信学院二、本地安全策略和审计策略二、本地安全策略和审计策略22、本地安全策略设置“管理工具”“本地安全策略”“安全选项”设置以下选项l不显示最后的用户名l交互式登录:无须按 Ctrl+Alt+Dell设备:防止用户安装打印机驱动程序l设备:将 CD-ROM 的访问权限仅限于本地登录的用户l网络安全:在超过登录时间后强制注销l网络访问:可远程访问的注册表路径和子路径中国信息安全认证中心 重庆通信学院三、关闭不需要的服务三、关闭不需要的服务“开始”“程序”“管理工具”“服务”1、以下服务的启动类型设为“已禁用”lAlertlClipBooklDirectory ReplicationlFTP Publishing ServicelLicense Logging ServicelMessengerlNetlogonlNetwork DDE中国信息安全认证中心 重庆通信学院三、关闭不需要的服务三、关闭不需要的服务2lNetwork MonitorlRemote Access ServerlRemote Procedure Call(RPC)LocaterallSchedulelSimple ServicelTCP/IP Netbios HelperlSNMP Service(optional)lSNMP Trap(optional)lUPS(optional)中国信息安全认证中心 重庆通信学院三、关闭不需要的服务三、关闭不需要的服务31、以下服务的启动类型设为“自动启动”lEventlog(required)lNT LM Security Provider(required)lRPC Service(required)lWorkstation(leave service on:will be disabled later in the document)lMSDTC(required)lProtected Storage(required)中国信息安全认证中心 重庆通信学院四、修改注册表四、修改注册表注册表是Windows中的一个重要的系统数据库，用于存储系统和应用程序的设置信息。系统设置和缺省用户配置数据存放在系统系统文件夹SYSTEM32CONFIG文件夹下 注册表由键（或称“项”）、子键（子项）和值项构成。中国信息安全认证中心 重庆通信学院四、修改注册表四、修改注册表l打开注册表编辑器打开注册表编辑器:开始/运行中输入regedit l可以进行的操作：导入、导出、查找、新建、删除、修改、收藏等中国信息安全认证中心 重庆通信学院四、修改注册表四、修改注册表11、禁止远程修改注册表、禁止远程修改注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurePipeServerswinreg RemoteRegAccess：设为：设为12、设置密码的安全要求、设置密码的安全要求HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesAlphanumPwds:设为设为1中国信息安全认证中心 重庆通信学院四、修改注册表四、修改注册表23、禁止密码缓存、禁止密码缓存HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork Disable PwdCaching：设为：设为1 4、隐藏一个服务器、隐藏一个服务器HKEY_LOCAL_MACHINESystemCurrentControlSetServices LanmanServer Parameters Hidden：设为：设为1(类型为类型为REG_DWord）中国信息安全认证中心 重庆通信学院四、修改注册表四、修改注册表35、屏蔽、屏蔽“控制面板控制面板”的访问的访问HKEY_CURRENT_USERSoftwareMicrsoft WindowsCurrentVersionPoliciesSystemNoDispCPL ：设为：设为1 6、隐藏上次用户登录的名字、隐藏上次用户登录的名字HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon DontDisplayLastUserName：设为：设为1 中国信息安全认证中心 重庆通信学院四、修改注册表四、修改注册表47、禁止修改、禁止修改“开始开始”菜单菜单 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplore NoChangeStartMenu：设为：设为1 8、禁用、禁用“任务栏属性任务栏属性”功能功能 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoSetTaskBar ：设为：设为1 中国信息安全认证中心 重庆通信学院四、修改注册表四、修改注册表59、隐藏、隐藏“网上邻居网上邻居”HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer NoNetHood：设为：设为1 10、去除所有网络共享、去除所有网络共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParametersAutoShareServer ：设为：设为0 中国信息安全认证中心 重庆通信学院五、五、IIS的安全配置的安全配置IIS（Internet Information Server，互联网信息服务）是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。中国信息安全认证中心 重庆通信学院五、五、IIS的安全配置的安全配置1、IIS的作用2、IIS的安装3、创建自己的网站4、基本配置并测试5、安全配置中国信息安全认证中心 重庆通信学院六、六、SSL证书的安装、颁发和验证证书的安装、颁发和验证SSL（Security Socket Layer）全称是加密套接字协议层，它位于HTTP 协议层和TCP 协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时SSL 安全机制是依靠数字证书来实现的。中国信息安全认证中心 重庆通信学院使用SSL 安全机制的通信过程用户与IIS 服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL 允许的用户才能与IIS 服务器进行通信。https:/网站域名中国信息安全认证中心 重庆通信学院SSL证书的安装、颁发和验证过程证书的安装、颁发和验证过程1、安装证书服务 2、客户端证书申请3、客户端证书的下载及安装 4、客户端证书的颁发 5、服务器证书的申请 6、服务器证书的颁发和导出 7、IIS中服务器证书/SSL的设置 8、测试中国信息安全认证中心 重庆通信学院七、邮件和文件加密七、邮件和文件加密1、密码学基础知识2、PGP软件介绍3、PGP在邮件系统安全的应用中国信息安全认证中心 重庆通信学院1、密码学基础知识中国信息安全认证中心 重庆通信学院对称密钥密码体制一、密码学基础知识一、密码学基础知识DES AES IDEA中国信息安全认证中心 重庆通信学院公开密钥密码体制RSA张张张张三三三三李李李李静静静静中国信息安全认证中心 重庆通信学院2、PGP软件介绍 PGP(Pretty Good Privacy)，是一个基于，是一个基于 RSA 公钥加密体系的邮件加密软件。公钥加密体系的邮件加密软件。PGP提供一种安全的通讯方式，而事先并不需提供一种安全的通讯方式，而事先并不需要任何保密的渠道用来传递密钥。要任何保密的渠道用来传递密钥。中国信息安全认证中心 重庆通信学院PGP的功能加密加密/签名签名解密解密/效验效验管理密钥管理密钥自解密文档自解密文档虚拟磁盘虚拟磁盘全盘加密全盘加密粉碎文件粉碎文件消息加密消息加密网络共享网络共享加密移动存储介质加密移动存储介质中国信息安全认证中心 重庆通信学院3、PGP在邮件系统安全的应用PGP的安装加密和解密邮件签名创建自解密文件中国信息安全认证中心 重庆通信学院1）PGP的安装中国信息安全认证中心 重庆通信学院2）加密和解密邮件中国信息安全认证中心 重庆通信学院3）签名张张张张三三三三李李李李静静静静中国信息安全认证中心 重庆通信学院4）创建自解密文件中国信息安全认证中心 重庆通信学院总结公钥：公钥：加密和验证加密和验证私钥：私钥：解密和签名解密和签名中国信息安全认证中心 重庆通信学院请各位领导和专家批评和指导！您的关注是我们成功的保障您的关注是我们成功的保障