第二章操作系統(tǒng)配置

課程內(nèi)容操作系統(tǒng)安全系統(tǒng)用戶安全文件系統(tǒng)安全權(quán)限管理系統(tǒng)進(jìn)程系統(tǒng)服務(wù)系統(tǒng)加固系統(tǒng)備份與恢復(fù)Windows2003基本安裝配置基本安裝配置1.分區(qū)選擇

NTFS分區(qū)內(nèi)容分區(qū)1系統(tǒng)分區(qū)分區(qū)2應(yīng)用程序安裝分區(qū)3數(shù)據(jù)分區(qū)Windows2003基本安裝配置安裝目錄選擇（默認(rèn)安裝目錄C:\winnt）卸載多余組件（IIS）和多余軟件及時(shí)升級(jí)或更換程序停止多余的服務(wù)（Alerter警報(bào)器服務(wù)）

系統(tǒng)啟動(dòng)時(shí)會(huì)啟動(dòng)很多不必要的服務(wù)

服務(wù)啟動(dòng)類型：自動(dòng)，手動(dòng)，禁用安裝系統(tǒng)補(bǔ)丁修改配置或權(quán)限安裝安全工具軟件對(duì)病毒與木馬定期查殺Windows操作系統(tǒng)安全管理Window注冊(cè)表管理介紹注冊(cè)表是MicrosoftWindows中的一個(gè)重要的數(shù)據(jù)庫(kù)，用于存儲(chǔ)系統(tǒng)和應(yīng)用程序的設(shè)置信息。系統(tǒng)設(shè)置和缺省用戶配置數(shù)據(jù)存放在系統(tǒng)\系統(tǒng)文件夾\SYSTEM32\CONFIG文件夾下的6個(gè)文件

DEFAULT、SAM、SECURITY、SOFTWARE、USERDIFF和SYSTEM中注冊(cè)表打開方式：regeditWindows注冊(cè)表HKEY_LOCAL_MACHINE：顯示控制系統(tǒng)和軟件的處理鍵,保存計(jì)算機(jī)的系統(tǒng)信息HKEY_CLASSES_ROOT：是HKLM\\Classes的映射，包含了所有應(yīng)用程序運(yùn)行時(shí)必需的信息HKEY_CURRENT_CONFIG：當(dāng)前硬件配置信息的映射HKEY_USERS：保存缺省用戶信息和當(dāng)前登陸用戶信息HKEY_CURRENT_USER：系統(tǒng)現(xiàn)有的所有配置文件的細(xì)節(jié)Windows注冊(cè)表注冊(cè)表故障的主要原因病毒，木馬等應(yīng)用程序或驅(qū)動(dòng)更改硬件設(shè)備改變或硬件失敗用戶對(duì)注冊(cè)表進(jìn)行了修改Windows注冊(cè)表注冊(cè)表安全權(quán)限設(shè)置注冊(cè)表禁用及恢復(fù)[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]"DisableRegistryTools"=dword:00000001恢復(fù)：gpedit.msc—用戶配置—管理模塊—系統(tǒng)--阻止訪問注冊(cè)表工具備份注冊(cè)表Windows注冊(cè)表注冊(cè)表添加、修改、刪除操作WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsb][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsb]"Restrictanonymous2"=dword:00000000[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsb][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsb]"Restrictanonymous2"=-修改注冊(cè)表保護(hù)系統(tǒng)安全HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建"DWORD值"值名為"AutoShareServer"數(shù)據(jù)值為"0"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建"DWORD值"值名為"AutoShareWks"數(shù)據(jù)值為"0"禁止系統(tǒng)自動(dòng)啟用共享禁止系統(tǒng)自動(dòng)啟動(dòng)管理共享防止小規(guī)模DOS攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建"DWORD值"值名為"SynAttackProtect"數(shù)據(jù)值為"1"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建"DWORD值"值名為"RestrictAnonymous"數(shù)據(jù)值為"1"[2003默認(rèn)為1]禁止空連接（共享命名管道的資源）Windows用戶安全管理重命名系統(tǒng)管理員賬號(hào)新建1個(gè)自己用的賬號(hào)建立1個(gè)無(wú)用戶組的Administrat賬戶禁用”guest”賬戶不顯示上次登陸名（兩種方法）gpedit.msc—“本地計(jì)算機(jī)策略”—Windows設(shè)置—安全設(shè)置—本地策略—安全選項(xiàng)—交互式登錄：不顯示上次的用戶

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\policies\system的DontDisplayLastUserName設(shè)為1。Windows2003Server訪問控制用戶權(quán)限Windows2003Server的默認(rèn)安全設(shè)置可以為對(duì)4個(gè)默認(rèn)組和3個(gè)特殊組的權(quán)限許可。管理員（Administrator）：執(zhí)行操作系統(tǒng)所有功能用戶（users）：提供了一個(gè)最安全的程序運(yùn)行環(huán)境。超級(jí)用戶（Powerusers）：介于管理員和用戶之間。

備份操作員（BackupOperators）：備份和還原計(jì)算機(jī)的文件。特殊組交互組：包含當(dāng)前登錄到計(jì)算機(jī)的用戶。

網(wǎng)絡(luò)組：包含通過網(wǎng)絡(luò)遠(yuǎn)程訪問系統(tǒng)的所有用戶。

終端服務(wù)器用戶組：包含使用終端服務(wù)器登錄到該系統(tǒng)的任何用戶。Windows2003Server訪問控制權(quán)限原則權(quán)限是累加的拒絕權(quán)限比允許限權(quán)高文件權(quán)限比文件夾權(quán)限高（只給用戶最小的權(quán)限）利用用戶組來(lái)進(jìn)行權(quán)限控制權(quán)限最小化原則Windows2003Server安全審核安全審核是Windows2003Server的一項(xiàng)功能，負(fù)責(zé)監(jiān)視各種與安全性有關(guān)的事件。應(yīng)該被審核的最普通的事件類型包括：訪問對(duì)象，例如文件和文件夾。用戶帳戶和組帳戶的管理。用戶登錄到系統(tǒng)和從系統(tǒng)注銷。訪問文件夾的審核文件夾的審核：右擊目錄—屬性—安全—高級(jí)—審核—添加—everyone審核策略“開始”—“程序”—“管理工具”—“本地安全策略”—“審核策略”安全事件查看并分析“開始”—“程序”—“管理工具”—“事件查看器”Windows2003Server系統(tǒng)日志文件Windows2003默認(rèn)文件大小512KB，應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日志默認(rèn)位置：%systemroot%\system32\config。安全日志文件：%systemroot%\system32\config\SecEvent.EVT系統(tǒng)日志文件：%systemroot%\system32\config\SysEvent.EVT應(yīng)用程序日志文件：%systemr