《系统防御技术》PPT课件.ppt

重庆通信学院 马传龙,系统防御技术,中国信息安全认证中心 重庆通信学院,系统防御技术,一、账号和密码策略二、本地安全策略和审计策略三、关闭不需要的服务四、修改注册表五、IIS的安全配置六、SSL证书的安装、颁发和验证七、邮件和文件加密,中国信息安全认证中心 重庆通信学院,一、账号和密码策略,用户账户是计算机安全设置的重要对象，许多安全功能的实现都是基于用户账户的，如文件访问权限设置、用户环境设置等。在独立计算机上，系统管理员账户可以完全控制其他普通用户账户，包括创建、禁用、删除等；在域环境中，域管理员可以通过为不同的用户账户，赋予指定的操作和访问权限，维护整个网络的安全。,中国信息安全认证中心 重庆通信学院,一、账号和密码策略,1、账号管理策略“开始”“程序”“管理工具”“计算机管理”停用Guest账号并修改密码限制不必要的用户数量创建两个管理员帐户，一个是一般权限，另一个有administrators权限 创建一个“陷阱”帐户administrator,中国信息安全认证中心 重庆通信学院,一、账号和密码策略2,2、密码管理策略“开始”“程序”“管理工具”“本地安全策略”,中国信息安全认证中心 重庆通信学院,二、本地安全策略和审计策略,1、审计策略“管理工具”“本地安全策略”“审核策略”设置以下策略的成功和失败选项审核策略更改审核登录事件审核对象访问审核系统事件审核账户账户登录事件审核账户管理,中国信息安全认证中心 重庆通信学院,二、本地安全策略和审计策略2,2、本地安全策略设置“管理工具”“本地安全策略”“安全选项”设置以下选项不显示最后的用户名交互式登录:无须按 Ctrl+Alt+Del设备:防止用户安装打印机驱动程序设备:将 CD-ROM 的访问权限仅限于本地登录的用户网络安全:在超过登录时间后强制注销网络访问:可远程访问的注册表路径和子路径,中国信息安全认证中心 重庆通信学院,三、关闭不需要的服务,“开始”“程序”“管理工具”“服务”1、以下服务的启动类型设为“已禁用”AlertClipBookDirectory ReplicationFTP Publishing ServiceLicense Logging ServiceMessengerNetlogonNetwork DDE,中国信息安全认证中心 重庆通信学院,三、关闭不需要的服务2,Network MonitorRemote Access ServerRemote Procedure Call(RPC)LocateralScheduleSimple ServiceTCP/IP Netbios HelperSNMP Service(optional)SNMP Trap(optional)UPS(optional),中国信息安全认证中心 重庆通信学院,三、关闭不需要的服务3,1、以下服务的启动类型设为“自动启动”Eventlog(required)NT LM Security Provider(required)RPC Service(required)Workstation(leave service on:will be disabled later in the document)MSDTC(required)Protected Storage(required),中国信息安全认证中心 重庆通信学院,四、修改注册表,注册表是Windows中的一个重要的系统数据库，用于存储系统和应用程序的设置信息。系统设置和缺省用户配置数据存放在系统系统文件夹SYSTEM32CONFIG文件夹下 注册表由键（或称“项”）、子键（子项）和值项构成。,中国信息安全认证中心 重庆通信学院,四、修改注册表,打开注册表编辑器:开始/运行中输入regedit 可以进行的操作：导入、导出、查找、新建、删除、修改、收藏等,中国信息安全认证中心 重庆通信学院,四、修改注册表1,1、禁止远程修改注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurePipeServerswinreg RemoteRegAccess：设为12、设置密码的安全要求HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesAlphanumPwds:设为1,中国信息安全认证中心 重庆通信学院,四、修改注册表2,3、禁止密码缓存HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork Disable PwdCaching：设为1 4、隐藏一个服务器HKEY_LOCAL_MACHINESystemCurrentControlSetServices LanmanServer Parameters Hidden：设为1(类型为REG_DWord）,中国信息安全认证中心 重庆通信学院,四、修改注册表3,5、屏蔽“控制面板”的访问HKEY_CURRENT_USERSoftwareMicrsoft WindowsCurrentVersionPoliciesSystemNoDispCPL：设为1 6、隐藏上次用户登录的名字HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon DontDisplayLastUserName：设为1,中国信息安全认证中心 重庆通信学院,四、修改注册表4,7、禁止修改“开始”菜单 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplore NoChangeStartMenu：设为1 8、禁用“任务栏属性”功能 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoSetTaskBar：设为1,中国信息安全认证中心 重庆通信学院,四、修改注册表5,9、隐藏“网上邻居”HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer NoNetHood：设为1 10、去除所有网络共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParametersAutoShareServer：设为0,中国信息安全认证中心 重庆通信学院,五、IIS的安全配置,IIS（Internet Information Server，互联网信息服务）是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。,中国信息安全认证中心 重庆通信学院,五、IIS的安全配置,1、IIS的作用2、IIS的安装3、创建自己的网站4、基本配置并测试5、安全配置,中国信息安全认证中心 重庆通信学院,六、SSL证书的安装、颁发和验证,SSL（Security Socket Layer）全称是加密套接字协议层，它位于HTTP 协议层和TCP 协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时SSL 安全机制是依靠数字证书来实现的。,中国信息安全认证中心 重庆通信学院,使用SSL 安全机制的通信过程,用户与IIS 服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL 允许的用户才能与IIS 服务器进行通信。https:/网站域名,中国信息安全认证中心 重庆通信学院,SSL证书的安装、颁发和验证过程,1、安装证书服务 2、客户端证书申请3、客户端证书的下载及安装 4、客户端证书的颁发 5、服务器证书的申请 6、服务器证书的颁发和导出 7、IIS中服务器证书/SSL的设置 8、测试,中国信息安全认证中心 重庆通信学院,七、邮件和文件加密,1、密码学基础知识2、PGP软件介绍3、PGP在邮件系统安全的应用,中国信息安全认证中心 重庆通信学院,1、密码学基础知识,中国信息安全认证中心 重庆通信学院,对称密钥密码体制,一、密码学基础知识,DES AES IDEA,中国信息安全认证中心 重庆通信学院,公开密钥密码体制,RSA,张三,李静,中国信息安全认证中心 重庆通信学院,2、PGP软件介绍,PGP(Pretty Good Privacy)，是一个基于 RSA 公钥加密体系的邮件加密软件。,PGP提供一种安全的通讯方式，而事先并不需要任何保密的渠道用来传递密钥。,中国信息安全认证中心 重庆通信学院,PGP的功能,加密/签名,解密/效验,管理密钥,自解密文档,虚拟磁盘,全盘加密,粉碎文件,消息加密,网络共享,加密移动存储介质,中国信息安全认证中心 重庆通信学院,3、PGP在邮件系统安全的应用,PGP的安装加密和解密邮件签名创建自解密文件,中国信息安全认证中心 重庆通信学院,1）PGP的安装,中国信息安全认证中心 重庆通信学院,2）加密和解密邮件,中国信息安全认证中心 重庆通信学院,3）签名,张三,李静,中国信息安全认证中心 重庆通信学院,4）创建自解密文件,中国信息安全认证中心 重庆通信学院,总结,公钥：加密和验证,私钥：解密和签名,中国信息安全认证中心 重庆通信学院,请各位领导和专家批评和指导！,您的关注是我们成功的保障,