昨日知识点补充
IIS服务器自带一个微型数据库。
服务器添加:“开始”—“管理工具”—“服务器管理器”—点击左上角的“角色”—找到“角色服务”—“添加角色服务”。(所以才说服务器用软件角色来区分,web服务器、数据库服务器等。)
复现漏洞:大量的搭建工作,搭建虚拟机,以后复现漏洞需要在对应版本的系统上进行。
系统安全策略
用户账户以及组的介绍
1、创建用于管理本地用户的账户。
- 创建的普通用户都在Users用户组当中,Users组里面的用户的权限都比较低,不能关机。
2、内置的用户账户
- Administrator(管理员账户):最常用的管理员用户,但系统最高权限账户为(system账户)
- Guset(来宾账户):一般只有读取权限
- DefaultAccount(默认账户)
3、与Windows组相关联的用户账户(可以通过“服务”界面看到)
- SYSTEM(本地系统)
- LOCAL SERVICE(本地服务)
- NETWORK SERVICE(网络服务)动态包含成员的内置组
4、以上三个组是看不到的,它们在组里面。
- Interactive:动态包含在本地登录的用户
- Autherticated Users:动态包含了通过验证的用户、不包含来宾用户。
- Everyone:包含任何用户,经常用在开放权限的时候。
本地安全策略
本地安全策略是对新增的用户或组的安全进行防护的作用。
进入本地安全策略窗口的命令:使用“运行”窗口,输入secpol.msc。
通过本地策略可以加固系统账户、加强用户密码安全、通过设置“审核对象访问”跟踪访问文件或者其他对象的用户账户、登录尝试(允许登录错误的次数)、关系关闭或重新启动等类似事件。
设置账户策略
密码策略
-
密码的复杂性要求:不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分 至少有六个字符长 包含以下四类字符中的三类字符: 英文大写字母(A 到 Z) 英文小写字母(a 到 z) 10 个基本数字(0 到 9) 非字母字符(例如 !、$、#、%) 在更改或创建密码时执行复杂性要求。
-
密码长度的最小值:设置为0,表示可以没有密码
-
密码最短使用期限:设置为0,表示每天可以无限次的修改密码。
-
密码最长使用期限:默认为42天,表示42天以后当前密码就不可以使用了。设置为0,表示可以无限期的使用。(安全最佳操作是将密码设置为 30 到 90 天后过期,具体取决于你的环境。)
-
强制密码历史:用来限制曾经使用过的密码能否再次使用,该值必须介于 0 个和 24 个密码之间。默认值为9,表示随意使用过去已使用过的密码。
-
用可还原的加密来存储密码:如果一个应用程序读取用户的密码,以便验证身份,就可以开启此功能。这个策略会使安全性降低。(一般不启用)
账户锁定策略:(防止暴力破解的一种比较有效的方式)
账户锁定策略是用户输入密码超过一定次数,账户就会被锁定的一种策略。
-
账户锁定时间:如果将帐户锁定时间设置为 0,帐户将一直被锁定直到管理员明确解除对它的锁定。
-
账户锁定阈值:设置导致用户帐户被锁定的登录尝试失败的次数。如果将值设置为 0,则永远不会锁定帐户。
-
重置账户锁定计数器:设置确定在某次登录尝试失败之后,将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。(如果定义了帐户锁定阈值,此重置时间必须小于或等于帐户锁定时间。默认值: 无,因为只有在指定了帐户锁定阈值时,此策略设置才有意义。)
设置本地策略
本地策略涉及是否在安全日志中记录用户的操作事件。
审核策略
通过审核策略可以确定是否将计算机中有关安全的事件记录到安全日志中,可以将用户登录成功或者失败记录到日志中,审核策略的设置分为三种:成功、失败、无审核。
-
审核策略更改:确定是否对用户权限分配策略进行审核。
-
审核登陆事件:对系统登录或者注销的事件进行审核。
-
审核对象访问:审核用户访问某个对象(文件、文件夹、注册表等)的事件。
-
审核账户登陆事件:用于验证某一个用户登陆、注销的操作。
-
审核账户管理:审核对账户或组的新增、删除、修改。
-
审核目录访问:活动目录访问的审核。
-
审核进程跟踪:审核程序的执行和结束
-
审核特权使用:审核某个用户是否使用了某个赋予的权限:比如修改时间。
审核后的日志信息查看方式:Windows日志安全。(计算机管理 ==》事件查看器 ==》 Windows日志 或 直接打开 事件查看器)
用户权限分配
通过用户权限分配,可以为某些组或者某些用户,授予或拒接一些特殊权限。
重点关注的权限如下:
-
从网络访问此计算机:默认情况下,任何用户都可以从网络访问此计算机,可以根据实际需求撤销某用户或者某组从网络访问计算机的权限。
-
拒绝从网络访这台计算机(优先级高):如果不希望某个用户通过网络访问这台计算机,就将这个用户加入到这里。(设置确定要防止哪些用户通过网络访问计算机。如果用户帐户受制于此策略设置和“从网络访问此计算机”策略设置,则前者会取代后者。)
-
允许在本地登录:确定哪些用户可以登录到该计算机。
-
拒绝本地登录(优先级高):此安全设置阻止某个用户在此计算机上登录。(设置确定要防止哪些用户在该计算机上登录。如果帐户受制于此策略设置和“允许本地登录”策略设置,则前者会取代后者。)
-
关闭系统:允许用户关闭此计算机。
Windows日志
日志信息越多,会影响系统性能。但日志信息也是必不可少的重要信息。所以要把握住哪些信息需要记录进日志,哪些不需要,做一个权衡取舍。
日志信息分类
主要记录如下几类日志:
-
错误:某个服务启动失败,将会记录错误。
-
警告:将来可能会导致问题的事件,比如磁盘空间不足等。
-
信息:描述应用程序、驱动程序、服务,成功的操作。
-
审核成功:任何成功的已审核的安全事件。
-
审核失败:任何失败的已审核的安全事件。