《操作系统安全课件.pptx》由会员分享,可在线阅读,更多相关《操作系统安全课件.pptx(75页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全概论-操作系统安全操作系统安全内容提要内容提要p本章介绍本章介绍Windows 2000服务器的安全配置。服务器的安全配置。p操作系统的安全将决定网络的安全,从保护级别上分成安操作系统的安全将决定网络的安全,从保护级别上分成安全初级篇、中级篇和高级篇,共全初级篇、中级篇和高级篇,共36条基本配置原则。条基本配置原则。p安全配置初级篇讲述常规的操作系统安全配置,中级篇介安全配置初级篇讲述常规的操作系统安全配置,中级篇介绍操作系统的安全策略配置,高级篇介绍操作系统安全信绍操作系统的安全策略配置,高级篇介绍操作系统安全信息通信配置。息通信配置。操作系统概述操作系统概述p目前服务器常用的操作系
2、统有三类:目前服务器常用的操作系统有三类:nUnixnLinuxnWindows NT/2000/2003 Server。p这些操作系统都是符合这些操作系统都是符合C2级安全级别的操作系统。但是级安全级别的操作系统。但是都存在不少漏洞,如果对这些漏洞不了解,不采取相应的都存在不少漏洞,如果对这些漏洞不了解,不采取相应的措施,就会使操作系统完全暴露给入侵者。措施,就会使操作系统完全暴露给入侵者。UNIX系统系统pUNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深用操作系统
3、。它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统。远的主流操作系统。pUNIX诞生于诞生于20世纪世纪60年代末期,贝尔实验室的研究人员于年代末期,贝尔实验室的研究人员于1969年年开始在开始在GE645计算机上实现一种分时操作系统的雏形,后来该系统被计算机上实现一种分时操作系统的雏形,后来该系统被移植到了移植到了DEC的的PDP-7小型机上。小型机上。p1970年给系统正式取名为年给系统正式取名为Unix操作系统。到操作系统。到1973年,年,Unix系统的系统的绝大部分源代码都用绝大部分源代码都用C语言重新编写过,大大提高了语言重新编写过,大大提高了Unix系统的可移系统
4、的可移植性,也为提高系统软件的开发效率创造了条件。植性,也为提高系统软件的开发效率创造了条件。主要特色主要特色pUNIX操作系统经过操作系统经过20多年的发展后,已经成为一种成熟的主流多年的发展后,已经成为一种成熟的主流操作系统,并在发展过程中逐步形成了一些新的特色,其中主要操作系统,并在发展过程中逐步形成了一些新的特色,其中主要特色包括特色包括5个方面。个方面。p(1)可靠性高)可靠性高p(2)极强的伸缩性)极强的伸缩性p(3)网络功能强)网络功能强p(4)强大的数据库支持功能)强大的数据库支持功能p(5)开放性好)开放性好Linux系统系统 pLinux是一套可以免费使用和自由传播的类是一
5、套可以免费使用和自由传播的类Unix操作系统,主要操作系统,主要用于基于用于基于Intel x86系列系列CPU的计算机上。这个系统是由全世界的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。兼容产品。pLinux最早开始于一位名叫最早开始于一位名叫Linus Torvalds的计算机业余爱好者,的计算机业余爱好者,当时他是芬兰赫尔辛基大学的学生。当时他是芬兰赫尔辛基大学的学生。p目的是想设计一个代
6、替目的是想设计一个代替Minix(是由一位名叫(是由一位名叫Andrew Tannebaum的计算机教授编写的一个操作系统示教程序)的操的计算机教授编写的一个操作系统示教程序)的操作系统。这个操作系统可用于作系统。这个操作系统可用于386、486或奔腾处理器的个人计算或奔腾处理器的个人计算机上,并且具有机上,并且具有Unix操作系统的全部功能。操作系统的全部功能。pLinux是一个免费的操作系统,用户可以免费获得其源代码,并能够是一个免费的操作系统,用户可以免费获得其源代码,并能够随意修改。随意修改。p它是在共用许可证它是在共用许可证GPL(General Public License)保护下
7、的自由保护下的自由软件,也有好几种版本,如软件,也有好几种版本,如Red Hat Linux、Slackware,以及,以及国内的国内的Xteam Linux、红旗、红旗Linux等等。等等。Linux的流行是因为它具的流行是因为它具有许多优点,典型的优点有有许多优点,典型的优点有7个。个。Linux典型的优点有典型的优点有7个。个。p(1)完全免费)完全免费p(2)完全兼容)完全兼容POSIX 1.0标准标准p(3)多用户、多任务)多用户、多任务p(4)良好的界面)良好的界面p(5)丰富的网络功能)丰富的网络功能p(6)可靠的安全、稳定性能)可靠的安全、稳定性能 p(7)支持多种平台)支持多
8、种平台 Windows系统系统pWindows NT(New Technology)是微软公司第一)是微软公司第一个真正意义上的网络操作系统,发展经过个真正意义上的网络操作系统,发展经过NT3.0、NT40、NT5.0(Windows 2000)和)和NT6.0(Windows 2003)等众多版本,并逐步占据了广大的中小网络操作)等众多版本,并逐步占据了广大的中小网络操作系统的市场。系统的市场。pWindows NT众多版本的操作系统使用了与众多版本的操作系统使用了与Windows 9X完全一致的用户界面和完全相同的操作方法,使用户完全一致的用户界面和完全相同的操作方法,使用户使用起来比较方
9、便。与使用起来比较方便。与Windows 9X相比,相比,Windows NT的网络功能更加强大并且安全。的网络功能更加强大并且安全。Windows NT系列操作系统系列操作系统pWindows NT系列操作系统具有以下三方面的优点。系列操作系统具有以下三方面的优点。p(1)支持多种网络协议)支持多种网络协议n由于在网络中可能存在多种客户机,如由于在网络中可能存在多种客户机,如Windows 95/98、Apple Macintosh、Unix、OS/2等等,而这些客户机可能使用了不同的网络协议,如等等,而这些客户机可能使用了不同的网络协议,如TCP/IP协议、协议、IPX/SPX等。等。Wi
10、ndows NT系列操作支持几乎所有常见的网络协议。系列操作支持几乎所有常见的网络协议。p(2)内置)内置Internet功能功能n随着随着Internet的流行和的流行和TCP/IP协议组的标准化,协议组的标准化,Windows NT内置了内置了IIS(Internet Information Server),可以使网络管理员轻松的配置等服务。),可以使网络管理员轻松的配置等服务。p(3)支持)支持NTFS文件系统文件系统nWindows 9X所使用的文件系统是所使用的文件系统是FAT,在,在NT中内置同时支持中内置同时支持FAT和和NTFS的磁的磁盘分区格式。使用盘分区格式。使用NTFS的
11、好处主要是可以提高文件管理的安全性,用户可以对的好处主要是可以提高文件管理的安全性,用户可以对NTFS系统中的任何文件、目录设置权限,这样当多用户同时访问系统的时候,可系统中的任何文件、目录设置权限,这样当多用户同时访问系统的时候,可以增加文件的安全性。以增加文件的安全性。安全操作系统的研究发展安全操作系统的研究发展 p操作系统的安全性在计算机信息系统的整体安全操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用性中具有至关重要的作用p没有操作系统提供的安全性,信息系统的安全性没有操作系统提供的安全性,信息系统的安全性是没有基础的是没有基础的 国内安全操作系统的发展国内安全操作系统
12、的发展 p1995年,在国家年,在国家“八五八五”科技攻关项目科技攻关项目“COSA国产国产系统软件平台系统软件平台”。p1996年,由中国国防科学技术工业委员会发布了军用计年,由中国国防科学技术工业委员会发布了军用计算机安全评估准则算机安全评估准则GJB264696(一般简称为军标),(一般简称为军标),它与美国它与美国TCSEC基本一致。基本一致。p中国科学院信息安全技术工程研究中心基于中国科学院信息安全技术工程研究中心基于Linux资源,资源,开发完成了符合我国开发完成了符合我国GB178591999第三级(相当于第三级(相当于美国美国TCSEC B1)安全要求的安全操作系统)安全要求的
13、安全操作系统SecLinux。p中国科学院软件所开放系统与中文处理中心基于红旗中国科学院软件所开放系统与中文处理中心基于红旗Linux操作系统操作系统p国防科技大学、总参国防科技大学、总参56所等其他单位也开展了安全操作所等其他单位也开展了安全操作系统的研究与开发工作麒麟。系统的研究与开发工作麒麟。安全配置方案初级篇安全配置方案初级篇 W2Kp安全配置方案初级篇主要介绍常规的操作系统安安全配置方案初级篇主要介绍常规的操作系统安全配置,包括十二条基本配置原则:全配置,包括十二条基本配置原则:p物理安全、停止物理安全、停止Guest帐号、限制用户数量帐号、限制用户数量p创建多个管理员帐号、管理员帐
14、号改名创建多个管理员帐号、管理员帐号改名p陷阱帐号、更改默认权限、设置安全密码陷阱帐号、更改默认权限、设置安全密码p屏幕保护密码、使用屏幕保护密码、使用NTFS分区分区p运行防毒软件和确保备份盘安全。运行防毒软件和确保备份盘安全。1、物理安全、物理安全p服务器应该安放在安装了监视器的隔离房间内,服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留并且监视器要保留15天以上的摄像记录。天以上的摄像记录。p另外,机箱,键盘,电脑桌抽屉要上锁,以确保另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方。安全的地
15、方。2、停止、停止Guest帐号帐号p在计算机管理的用户里面把在计算机管理的用户里面把Guest帐号停用,任何时候都帐号停用,任何时候都不允许不允许Guest帐号登陆系统。帐号登陆系统。p为了保险起见,最好给为了保险起见,最好给Guest 加一个复杂的密码,可以打开加一个复杂的密码,可以打开记事本,在里面输入一串包含记事本,在里面输入一串包含特殊字符特殊字符,数字,字母的长字符数字,字母的长字符串。串。p用它作为用它作为Guest帐号的密码。帐号的密码。并且修改并且修改Guest帐号的属性,帐号的属性,设置拒绝远程访问,如图设置拒绝远程访问,如图7-1所示。所示。3 限制用户数量限制用户数量p
16、去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户。置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户。p帐户很多是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到帐户很多是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。合法用户的权限可能性一般也就越大。p对于对于Windows NT/2000主机,如果系统帐户超过主机,如果系统帐户超过10个,一般能个,一般能找出一两个弱口令帐户,所以帐户数量不要大于找出一两个弱口令帐户,所
17、以帐户数量不要大于10个。个。4 多个管理员帐号多个管理员帐号p虽然这点看上去和上面有些矛盾,但事实上是服从上面规则的。创建虽然这点看上去和上面有些矛盾,但事实上是服从上面规则的。创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物,另一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物,另一个拥有一个拥有Administrator权限的帐户只在需要的时候使用。权限的帐户只在需要的时候使用。p因为只要登录系统以后,密码就存储再因为只要登录系统以后,密码就存储再WinLogon进程中,当有其进程中,当有其他用户入侵计算机的时候就可以得到登录用户的密码,尽量减少他用户入侵计算机的时候就
18、可以得到登录用户的密码,尽量减少Administrator登录的次数和时间。登录的次数和时间。5 管理员帐号改名管理员帐号改名pWindows 2000中的中的Administrator帐号是不能被停用的,这意味着别帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可帐户改名可以有效的防止这一点。以有效的防止这一点。p不要使用不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:如改成:guestone。具体操作的时候只要选中
19、帐户名改名就可以了,如图。具体操作的时候只要选中帐户名改名就可以了,如图7-2所示。所示。6 陷阱帐号陷阱帐号p所谓的陷阱帐号是创建一个名所谓的陷阱帐号是创建一个名为为“Administrator”的本地帐的本地帐户,把它的权限设置成最低,户,把它的权限设置成最低,什么事也干不了的那种,并且什么事也干不了的那种,并且加上一个超过加上一个超过10位的超级复杂位的超级复杂密码。密码。p这样可以让那些企图入侵者忙这样可以让那些企图入侵者忙上一段时间了,并且可以借此上一段时间了,并且可以借此发现它们的入侵企图。可以将发现它们的入侵企图。可以将该用户隶属的组修改成该用户隶属的组修改成Guests组,如图
20、组,如图7-3所示。所示。7 更改默认权限更改默认权限p共享文件的权限从共享文件的权限从“Everyone”组改成组改成“授权用授权用户户”。“Everyone”在在Windows 2000中意味着任中意味着任何有权进入你的网络的用户都何有权进入你的网络的用户都能够获得这些共享资料。能够获得这些共享资料。p任何时候不要把共享文件的用任何时候不要把共享文件的用户设置成户设置成“Everyone”组。包组。包括打印共享,默认的属性就是括打印共享,默认的属性就是“Everyone”组的,一定不要组的,一定不要忘了改。设置某文件夹共享默忘了改。设置某文件夹共享默认设置如图认设置如图7-4所示。所示。8
21、安全密码安全密码p好的密码对于一个网络是非常重要的,但是也是最容易好的密码对于一个网络是非常重要的,但是也是最容易被忽略的。被忽略的。p一些网络管理员创建帐号的时候往往用公司名,计算机一些网络管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的字符做用户名,然后又把名,或者一些别的一猜就到的字符做用户名,然后又把这些帐户的密码设置得比较简单,比如:这些帐户的密码设置得比较简单,比如:“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的这样的帐户应该要求用户首此登陆的时候更改
22、成复杂的密码,还要注意经常更改密码。密码,还要注意经常更改密码。p这里给好密码下了个定义:安全期内无法破解出来的密这里给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果得到了密码文档,必须码就是好密码,也就是说,如果得到了密码文档,必须花花43天或者更长的时间才能破解出来,密码策略是天或者更长的时间才能破解出来,密码策略是42天天必须改密码。必须改密码。9屏幕保护密码屏幕保护密码p设置屏幕保护密码是防止内部设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。人员破坏服务器的一个屏障。注意不要使用注意不要使用OpenGL和一些和一些复杂的屏幕保护程序,浪费系复杂的屏幕保护程
23、序,浪费系统资源,黑屏就可以了。统资源,黑屏就可以了。p还有一点,所有系统用户所使还有一点,所有系统用户所使用的机器也最好加上屏幕保护用的机器也最好加上屏幕保护密码。密码。p将屏幕保护的选项将屏幕保护的选项“密码保护密码保护”选中就可以了,并将等待时选中就可以了,并将等待时间设置为最短时间间设置为最短时间“1分钟分钟”,如图如图7-5所示。所示。10 NTFS分区分区p把服务器的所有分区都改成把服务器的所有分区都改成NTFS格式。格式。NTFS文件系统要比文件系统要比FAT、FAT32的文件系统安全得多。的文件系统安全得多。11防毒软件防毒软件pWindows 2000/NT服务器一般都没有安
24、装防毒软件服务器一般都没有安装防毒软件的,一些好的杀毒软件不仅能杀掉一些著名的病毒,还能的,一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。查杀大量木马和后门程序。p设置了防毒软件,设置了防毒软件,“黑客黑客”们使用的那些有名的木马就毫们使用的那些有名的木马就毫无用武之地了,并且要经常升级病毒库。无用武之地了,并且要经常升级病毒库。12备份盘的安全备份盘的安全p一旦系统资料被黑客破坏,备份盘将是恢复资料一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份盘放在安全的唯一途径。备份完资料后,把备份盘放在安全的地方。的地方。p不能把资料备份在同一台服务器
25、上,这样的话还不能把资料备份在同一台服务器上,这样的话还不如不要备份。不如不要备份。安全配置方案中级篇安全配置方案中级篇p安全配置方案中级篇主要介绍操作系统的安全策安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则:略配置,包括十条基本配置原则:p操作系统安全策略、关闭不必要的服务操作系统安全策略、关闭不必要的服务p关闭不必要的端口、开启审核策略关闭不必要的端口、开启审核策略p开启密码策略、开启帐户策略、备份敏感文开启密码策略、开启帐户策略、备份敏感文件件p不显示上次登陆名、禁止建立空连接和下载不显示上次登陆名、禁止建立空连接和下载最新的补丁最新的补丁1 操作系统安全策略操
26、作系统安全策略p利用利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略。基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略。p在管理工具中可以找到在管理工具中可以找到“本地安全策略本地安全策略”,主界面如图,主界面如图7-6所示。所示。p可以配置四类安全策略:帐户策略、本地策略、公钥策略和可以配置四类安全策略:帐户策略、本地策略、公钥策略和IP安全策略。在安全策略。在默认的情况下,这些策略都是没有开启的默认的情况下,这些策略都是没有开启的。2 关闭不必要的
27、服务关闭不必要的服务pWindows 2000的的Terminal Services(终端服务)(终端服务)和和IIS(Internet 信息服务)等都可能给系统带来安全信息服务)等都可能给系统带来安全漏洞。漏洞。p为了能够在远程方便的管理服务器,很多机器的终端服务为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服都是开着的,如果开了,要确认已经正确的配置了终端服务。务。p有些恶意的程序也能以服务方式悄悄的运行服务器上的终有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。端服务。要留意服务器上开启
28、的所有服务并每天检查。pWindows 2000作为服务器可禁用的服务及其相关说明作为服务器可禁用的服务及其相关说明如表如表7-1所示。所示。Windows2000可禁用的服务可禁用的服务 服服务务名名说说明明Computer Browser维护维护网网络络上上计计算机的最新列表以及提供算机的最新列表以及提供这这个列表个列表Task scheduler允允许许程序在指定程序在指定时间时间运行运行Routing and Remote Access在局域网以及广域网在局域网以及广域网环环境中境中为为企企业业提供路由服提供路由服务务Removable storage管理可移管理可移动动媒体、媒体、驱
29、动驱动程序和程序和库库Remote Registry Service允允许远许远程注册表操作程注册表操作Print Spooler将文件加将文件加载载到内存中以便以后打印。要用打印机到内存中以便以后打印。要用打印机的用的用户户不能禁用不能禁用这项这项服服务务IPSEC Policy Agent管理管理IP安全策略以及启安全策略以及启动动ISAKMP/Oakley(IKE)和和IP安全安全驱动驱动程序程序Distributed Link Tracking Client当文件在网当文件在网络络域的域的NTFS卷中移卷中移动时发动时发送通知送通知Com+Event System提供事件的自提供事件的
30、自动发动发布到布到订阅订阅COM组组件件3 关闭不必要的端口关闭不必要的端口p关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了。就会少一些,但是不可以认为高枕无忧了。p用端口扫描器扫描系统所开放的端口,在用端口扫描器扫描系统所开放的端口,在Winntsystem32driversetcservices文件中有知名端口和服务文件中有知名端口和服务的对照表可供参考。该文件用记事本打开如图的对照表可供参考。该文件用记事本打开如图7-7所示。所示。p设置本机开放的端口和服务,在IP地
31、址设置窗口中点击按钮“高级”,如图7-8所示。p在出现的对话框中选择选项卡“选项”,选中“TCP/IP筛选”,点击按钮“属性”,如图7-9所示。p设置端口界面如图7-10所示。p一台Web服务器只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙,功能比较强大,可以替代防火墙的部分功能。4 开启审核策略开启审核策略p安全审核是安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对最基本的入侵检测方法。当有人尝试对系统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文系统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件访问等等)入侵的时
32、候,都会被安全审核记录下来。件访问等等)入侵的时候,都会被安全审核记录下来。p很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。表表7-2的这些审核是必须开启的,其他的可以根据需要增加。的这些审核是必须开启的,其他的可以根据需要增加。策略策略设设置置审审核系核系统统登登陆陆事件事件成功,失成功,失败败审审核核帐户帐户管理管理成功,失成功,失败败审审核登核登陆陆事件事件成功,失成功,失败败审审核核对对象象访问访问成功成功审审核策略更改核策略更改成功,失成功,失败败审审核特核特权权使用使用成功,失成功,失败败审审核系核系统统事件
33、事件成功,失成功,失败败审核策略默认设置审核策略默认设置 p审核策略在默认的情况下都是没有开启的,如图审核策略在默认的情况下都是没有开启的,如图7-11所所示。示。p双击审核列表的某一项,出现设置对话框,将复选框双击审核列表的某一项,出现设置对话框,将复选框“成功成功”和和“失失败败”都选中,如图都选中,如图7-12所示。所示。5 开启密码策略p密码对系统安全非常重要。本地安全设置中的密码策略在默认密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如表的情况下都没有开启。需要开启的密码策略如表7-3所示所示 策略策略设设置置密密码码复复杂杂性要求性要求
34、启用启用密密码长码长度最小度最小值值6位位密密码码最最长长存留期存留期15天天强强制密制密码历码历史史5个个p设置选项如图设置选项如图7-13所示。所示。6 开启帐户策略开启帐户策略p开启帐户策略可以有效的防止字典式攻击,设置如表开启帐户策略可以有效的防止字典式攻击,设置如表7-4所示。所示。策略策略设设置置复位复位帐户锁帐户锁定定计计数器数器30分分钟钟帐户锁帐户锁定定时间时间30分分钟钟帐户锁帐户锁定定阈值阈值5次次设置帐户策略设置帐户策略 p设置的结果如图设置的结果如图7-14所示。所示。7 备份敏感文件备份敏感文件p把敏感文件存放在另外的文件服务器中,虽然服把敏感文件存放在另外的文件服
35、务器中,虽然服务器的硬盘容量都很大,但是还是应该考虑把一务器的硬盘容量都很大,但是还是应该考虑把一些重要的用户数据(文件,数据表和项目文件等)些重要的用户数据(文件,数据表和项目文件等)存放在另外一个安全的服务器中,并且经常备份存放在另外一个安全的服务器中,并且经常备份它们它们 8 不显示上次登录名不显示上次登录名p默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户名,本地默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户名,本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名,进而做密码猜测。的登陆对话框也是一样。黑客们可以得到系统的一些用户名,进而做密码
36、猜测。p修改注册表禁止显示上次登录名,在修改注册表禁止显示上次登录名,在HKEY_LOCAL_MACHINE主键下修改子键:主键下修改子键:pSoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName,将键值改成,将键值改成1,如图,如图7-15所示。所示。9 禁止建立空连接禁止建立空连接p默认情况下,任何用户通过空连接连上服务器,进而可以枚举出帐号,猜测默认情况下,任何用户通过空连接连上服务器,进而可以枚举出帐号,猜测密码。密码。p可以通过修改注册表来禁止建立空连接。在可以通过修改注册表来禁止建立空连接。在H
37、KEY_LOCAL_MACHINE主主键下修改子键:键下修改子键:pSystemCurrentControlSetControlLSARestrictAnonymous,将键值改成,将键值改成“1”即可。如图即可。如图7-16所示。所示。10 下载最新的补丁下载最新的补丁p很多网络管理员没有访问安全站点的习惯,以至于一些漏很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。用。p谁也不敢保证数百万行以上代码的谁也不敢保证数百万行以上代码的Windows 2000不不出一点安全漏洞。出一点安全漏
38、洞。p经常访问微软和一些安全站点,下载最新的经常访问微软和一些安全站点,下载最新的Service Pack和漏洞补丁,是保障服务器长久安全的唯一方法。和漏洞补丁,是保障服务器长久安全的唯一方法。安全配置方案高级篇安全配置方案高级篇p高级篇介绍操作系统安全信息通信配置,包括十四高级篇介绍操作系统安全信息通信配置,包括十四条配置原则:条配置原则:p关闭关闭DirectDraw、关闭默认共享、关闭默认共享p禁用禁用Dump File、文件加密系统、文件加密系统p加密加密Temp文件夹、锁住注册表、关机时清文件夹、锁住注册表、关机时清除文件除文件p禁止软盘光盘启动、使用智能卡、使用禁止软盘光盘启动、使
39、用智能卡、使用IPSecp禁止判断主机类型、抵抗禁止判断主机类型、抵抗DDOSp禁止禁止Guest访问日志和数据恢复软件访问日志和数据恢复软件1 关闭关闭DirectDrawpC2级安全标准对视频卡和内存有要求。关闭级安全标准对视频卡和内存有要求。关闭DirectDraw可能对一些需要可能对一些需要用到用到DirectX的程序有影响(比如游戏),但是对于绝大多数的商业站点都的程序有影响(比如游戏),但是对于绝大多数的商业站点都是没有影响的。是没有影响的。p在在HKEY_LOCAL_MACHINE主键下修改子键:主键下修改子键:pSYSTEMCurrentControlSetControlGra
40、phicsDriversDCITimeout,将键值改为,将键值改为“0”即可,如图即可,如图7-17所示。所示。2 关闭默认共享pWindows 2000安装以后,系统会创建一些隐藏的共享,可以在DOS提示符下输入命令Net Share 查看,如图7-18所示。停止默认共享停止默认共享 p禁止这些共享,打开管理工具禁止这些共享,打开管理工具计算机管理计算机管理共享文件夹共享文件夹共享,在相应的共享文件夹上按右键,点停止共享即可,共享,在相应的共享文件夹上按右键,点停止共享即可,如图如图7-19所示所示。3 禁用Dump文件p在系统崩溃和蓝屏的时候,在系统崩溃和蓝屏的时候,Dump文件是一份很
41、有用文件是一份很有用资料,可以帮助查找问题。资料,可以帮助查找问题。然而,也能够给黑客提供然而,也能够给黑客提供一些敏感信息,比如一些一些敏感信息,比如一些应用程序的密码等应用程序的密码等p需要禁止它,打开控制面需要禁止它,打开控制面板板系统属性系统属性高级高级启启动和故障恢复,把写入调动和故障恢复,把写入调试信息改成无,如图试信息改成无,如图7-20所示。所示。4 文件加密系统文件加密系统pWindows2000强大的加密系统能够给磁盘,文件夹,强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以
42、读出里面的数据。到别的机器上以读出里面的数据。p微软公司为了弥补微软公司为了弥补Windows NT 4.0的不足,在的不足,在Windows 2000中,提供了一种基于新一代中,提供了一种基于新一代NTFS:NTFS V5(第(第5版本)的加密文件系统(版本)的加密文件系统(Encrypted,简称,简称EFS)。)。pEFS实现的是一种基于公共密钥的数据加密方式,利用了实现的是一种基于公共密钥的数据加密方式,利用了Windows 2000中的中的CryptoAPI结构。结构。5 加密加密Temp文件夹文件夹p一些应用程序在安装和升级的时候,会把一些东一些应用程序在安装和升级的时候,会把一些
43、东西拷贝到西拷贝到Temp文件夹,但是当程序升级完毕或文件夹,但是当程序升级完毕或关闭的时候,并不会自己清除关闭的时候,并不会自己清除Temp文件夹的内文件夹的内容。容。p所以,给所以,给Temp文件夹加密可以给你的文件多一文件夹加密可以给你的文件多一层保护。层保护。6 锁住注册表p在在Windows2000中,只有中,只有Administrators和和Backup Operators才有从才有从网络上访问注册表的权限。当帐号的密码泄漏以后,黑客也可以在远程访问注册网络上访问注册表的权限。当帐号的密码泄漏以后,黑客也可以在远程访问注册表,当服务器放到网络上的时候,一般需要锁定注册表。修改表,
44、当服务器放到网络上的时候,一般需要锁定注册表。修改Hkey_current_user下的子键下的子键pSoftwaremicrosoftwindowscurrentversionPoliciessystem p把把DisableRegistryTools的值该为的值该为0,类型为,类型为DWORD,如图,如图7-21所示。所示。7 关机时清除文件关机时清除文件p页面文件也就是调度文件,是页面文件也就是调度文件,是Windows 2000用来存储没有装入内存的程序和数据用来存储没有装入内存的程序和数据文件部分的隐藏文件。文件部分的隐藏文件。p一些第三方的程序可以把一些没有的加密的密码存在内存中,
45、页面文件中可能含有另一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中可能含有另外一些敏感的资料。要在关机的时候清楚页面文件,可以编辑注册表外一些敏感的资料。要在关机的时候清楚页面文件,可以编辑注册表 修改主键修改主键HKEY_LOCAL_MACHINE下的子键:下的子键:pSYSTEMCurrentControlSetControlSession ManagerMemory Managementp把把ClearPage的值设置成的值设置成1,如图,如图7-22所示。所示。8 禁止软盘光盘启动禁止软盘光盘启动p一些第三方的工具能通过引导系统来绕过原有的一些第三方的工具能通过引导系
46、统来绕过原有的安全机制。比如一些管理员工具,从软盘上或者安全机制。比如一些管理员工具,从软盘上或者光盘上引导系统以后,就可以修改硬盘上操作系光盘上引导系统以后,就可以修改硬盘上操作系统的管理员密码。统的管理员密码。p如果服务器对安全要求非常高,可以考虑使用可如果服务器对安全要求非常高,可以考虑使用可移动软盘和光驱,把机箱锁起来仍然不失为一个移动软盘和光驱,把机箱锁起来仍然不失为一个好方法。好方法。9 使用智能卡使用智能卡p对于密码,总是使安全管理员进退两难,容易受对于密码,总是使安全管理员进退两难,容易受到一些工具的攻击,如果密码太复杂,用户把为到一些工具的攻击,如果密码太复杂,用户把为了记住
47、密码,会把密码到处乱写。了记住密码,会把密码到处乱写。p如果条件允许,用智能卡来代替复杂的密码是一如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。个很好的解决方法。10 使用使用IPSecp正如其名字的含义,正如其名字的含义,IPSec提供提供IP数据包的安全数据包的安全性。性。pIPSec提供身份验证、完整性和可选择的机密性。提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。算机在收到数据之后解密数据。p利用利用IPSec可以使得系统的安全性能大大增强。可以使得系统的安全性能大大增
48、强。11 禁止判断主机类型禁止判断主机类型p黑客利用黑客利用TTL(Time-To-Live,活动时间)值可以鉴别操作系统的类型,活动时间)值可以鉴别操作系统的类型,通过通过Ping指令能判断目标主机类型。指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。的用处是检测目标主机是否连通。p许多入侵者首先会许多入侵者首先会Ping一下主机,因为攻击某一台计算机需要根据对方的操一下主机,因为攻击某一台计算机需要根据对方的操作系统,是作系统,是Windows还是还是Unix。如过。如过TTL值为值为128就可以认为你的系统就可以认为你的系统为为Windows 2000,如图,如图7-23所
49、示。所示。p从图中可以看出,从图中可以看出,TTL值为值为128,说明改主机,说明改主机的操作系统是的操作系统是Windows 2000操作系统。表操作系统。表7-6给出了一些常见操作系统的对照值。给出了一些常见操作系统的对照值。操作系操作系统类统类型型TTL返回返回值值Windows 2000128Windows NT107win9x128 or 127solaris252IRIX240AIX247Linux241 or 240p修改修改TTL的值,入侵者就无法入侵电脑了。比如将操作系统的的值,入侵者就无法入侵电脑了。比如将操作系统的TTL值值改为改为111,修改主键,修改主键HKEY_LO
50、CAL_MACHINE的子键:的子键:pSYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERSp新建一个双字节项,如图新建一个双字节项,如图7-24所示。所示。p在键的名称中输入在键的名称中输入“defaultTTL”,然后双击改,然后双击改键名,选择单选框键名,选择单选框“十进制十进制”,在文本框中输入,在文本框中输入111,如图,如图7-25所示。所示。p设置完毕设置完毕重新启动计算机重新启动计算机,再用,再用Ping指令,发现指令,发现TTL的值已经被改成的值已经被改成111了,如图了,如图7-26所示。所示。12 抵抗DDOSp添加注册表的一些键