《前服务器常用的操作系统有三类》由会员分享,可在线阅读,更多相关《前服务器常用的操作系统有三类(10页珍藏版)》请在金锄头文库上搜索。
1、前服务器常用的操作系统有三类: -Unix -Linux -Windows NT/2000/2003 Server. 这些操作系统都是符合 C2 级安全级别的操作系 统.但是都存在不少漏洞,如果对这些漏洞不了 解,不采取相应的措施,就会使操作系统完全暴 露给入侵者. BJFU Info Department, QiJd 第七章操作系统安全配置方案 UNIX 系统 UNIX 操作系统是由美国贝尔实验室开发的 一种多用户,多任务的通用操作系统. 诞生于 1969 年,在 GE645 计算机上实现一 种分时操作系统的雏形 1970 年给系统正式取名为 Unix 操作系统. 到 1973 年,Unix
2、 系统的绝大部分源代码都 用 C 语言重新编写过 ,大大提高了 Unix 系统 的可移植性,也为提高系统软件的开发效率 创造了条件. BJFU Info Department, QiJd 第七章操作系统安全配置方案 主要特色 UNIX 操作系统经过 20 多年的发展后,已经成为一种成 熟的主流操作系统,并在发展过程中逐步形成了一些 新的特色,其中主要特色包括 5 个方面. -(1)可靠性高 -(2)极强的伸缩性 -(3)网络功能强 -(4)强大的数据库支持功能 -(5)开放性好 BJFU Info Department, QiJd 第七章操作系统安全配置方案 Linux 系统 Linux 是一
3、套可以免费使用和自由传播的 类 Unix 操作系统 ,主要用于基于 Intel x86 系列 CPU 的计算机上 . Linux 是在 GPL(General Public License)保护下的自由软件,版本有: Redhatlinux,Suse,Slackware, Debian 等; 国内有 :XteamLinux,红旗 Linux.Linux 流行的原因是免费并且功能 强大. BJFU Info Department, QiJd 第七章操作系统安全配置方案 Linux 典型的优点 (1)完全免费 (2)完全兼容 POSIX 1.0 标准 (3)多用户,多任务 (4)良好的界面 (5)
4、丰富的网络功能 (6)可靠的安全,稳定性能 (7)支持多种平台 BJFU Info Department, QiJd 第七章操作系统安全配置方案 Windows 系统 Windows NT(New Technology)是微软 公司第一个真正意义上的网络操作系统, 发展经过 NT3.0,NT40,NT5.0 (Windows 2000)和 NT6.0(Windows 2003)等众多版本,并逐步占据了广大的 中小网络操作系统的市场. Windows NT 众多版本的操作系统使用了 与 Windows 9X 完全一致的用户界面和完全 相同的操作方法,使用户使用起来比较方 便.与 Windows
5、9X 相比,Windows NT 的 网络功能更加强大并且安全. BJFU Info Department, QiJd 第七章操作系统安全配置方案 Windows NT 系列操作系统 Windows NT 系列操作系统具有以下三方面的优点. (1)支持多种网络协议 -由于在网络中可能存在多种客户机,如 Windows 95/98,Apple Macintosh,Unix,OS/2 等等,而这些客户机可能使用了不同的 网络协议,如 TCP/IP 协议,IPX/SPX 等.Windows NT 系列操作支 持几乎所有常见的网络协议. (2)内置 Internet 功能 -内置 IIS(Intern
6、et Information Server),可以使网络管理员轻松 的配置 WWW 和 FTP 等服务 . (3)支持 NTFS 文件系统 -NT 同时支持 FAT 和 NTFS 的磁盘分区格式.使用 NTFS 的好处主要 是可以提高文件管理的安全性,用户可以对 NTFS 系统中的任何文 件,目录设置权限,这样当多用户同时访问系统的时候,可以增加 文件的安全性. BJFU Info Department, QiJd 第七章操作系统安全配置方案 安全配置方案初级篇 安全配置方案初级篇主要介绍常规的操作 系统安全配置,包括十二条基本配置原 则: (1)物理安全,(2)停止 Guest 帐号 , (
7、3)限制用户数量 (4)创建多个管理员帐号,(5)管理员帐号改名 (6)陷阱帐号,(7) 更改默认权限,(8)设置 安全密码 (9)屏幕保护密码,(10)使用 NTFS 分区 (11)运行防毒软件,(12)确保备份盘安全 . BJFU Info Department, QiJd 第七章操作系统安全配置方案 1,物理安全 服务器应该安放在安装了监视器的隔离房 间内,并且监视器要保留 15 天以上的摄像 记录. 另外,机箱, 键盘, 电脑桌抽屉要上锁 , 以确保旁人即使进入房间也无法使用电 脑,钥匙要放在安全的地方. 2,停止 Guest 帐号 在计算机管理的用户里面把 Guest 帐号停用, 任
8、何时候都不允许 Guest 帐号登陆系统. 为了保险起见,最好给 Guest 加一个复杂的密码,包含特殊字符, 数 字,字母的长字符串. 用它作为 Guest 帐号的密码.并且修改 Guest 帐号的属性,设置拒绝 远程访问,如图所示. BJFU Info Department, QiJd 第七章操作系统安全配置方案 3 限制用户数量 去掉所有的测试帐户,共享帐号和普通部门帐号 等等.用户组策略设置相应权限,并且经常检查 系统的帐户,删除已经不使用的帐户. 帐户很多是黑客们入侵系统的突破口,系统的帐 户越多,黑客们得到合法用户的权限可能性一般 也就越大. 对于 Windows NT/2000
9、主机,如果系统帐户超过 10 个 ,一般能找出一两个弱口令帐户,所以帐户 数量不要大于 10 个. BJFU Info Department, QiJd 第七章操作系统安全配置方案 4 多个管理员帐号 虽然这点看上去和上面有些矛盾,但事实上是服 从上面规则的.创建一个一般用户权限帐号用来 处理电子邮件以及处理一些日常事物,另一个拥 有 Administrator 权限的帐户只在需要的时候使 用. 因为只要登录系统以后,密码就存储再 WinLogon 进程中 ,当有其他用户入侵计算机的 时候就可以得到登录用户的密码,尽量减少 Administrator 登录的次数和时间 . 5 管理员帐号改名
10、Windows 2000 中的 Administrator 帐号是不能被停用的 ,这意味着 别人可以一遍又一边的尝试这个帐户的密码.把 Administrator 帐户 改名可以有效的防止这一点. 不要使用 Admin 之类的名字,改了等于没改,尽量把它伪装成普通用 户,比如改成:guestone.具体操作的时候只要选中帐户名改名就 可以了,如图所示. 6 陷阱帐号 所谓的陷阱帐号是创建一个名为Administrator的本地帐 户,把它的权限设置成最低,什么事也干不了的那种,并 且加上一个超过 10 位的超级复杂密码. 这样可以让那些企图入侵者忙上一段时间了,并且可以借 此发现它们的入侵企图
11、.可以将该用户隶属的组修改成 Guests 组, 如图所示 . 7 更改默认权限 共享文件的权限从Everyone组改成 授权用户.Everyone在 Windows 2000 中意味着任何有权进入你的网络的用户都能够获得这 些共享资料. 任何时候不要把共享文件的用户设置成Everyone组.包括打印共 享,默认的属性就是Everyone组的,一定不要忘了改. 设置某文 件夹共享默认设置如图所示. BJFU Info Department, QiJd 第七章操作系统安全配置方案 8 安全密码 一些网络管理员创建帐号的时候往往用公司名, 计算机名,或者一些别的一猜就到的字符做用户 名,然后又把这
12、些帐户的密码设置得比较简单, 这样的帐户应该要求用户首此登陆的时候更改成 复杂的密码,还要注意经常更改密码. 这里给好密码下了个定义:安全期内无法破解出 来的密码就是好密码,也就是说,如果得到了密 码文档,必须花 43 天或者更长的时间才能破解出 来,密码策略是 42 天必须改密码. 9 屏幕保护密码 设置屏幕保护密码是防止内部人员破坏服务器的一个屏 障. 还有一点,所有系统用户所使用的机器也最好加上屏幕保 护密码. 将屏幕保护的选项密码保护 选中就可以了,并将等待时 间设置为最短时间1 秒,如图所示. BJFU Info Department, QiJd 第七章操作系统安全配置方案 10 N
13、TFS 分区 把服务器的所有分区都改成 NTFS 格式.NTFS 文 件系统要比 FAT,FAT32 的文件系统安全得多. 11 防毒软件 Windows 2000/NT 服务器一般都没有安装防毒软 件的,一些好的杀毒软件不仅能杀掉一些著名的 病毒,还能查杀大量木马和后门程序. 要经常升级病毒库. BJFU Info Department, QiJd 第七章操作系统安全配置方案 12 备份盘的安全 一旦系统资料被黑客破坏,备份盘将是恢 复资料的唯一途径.备份完资料后,把备 份盘防在安全的地方. 把资料备份放在多台服务器上. BJFU Info Department, QiJd 第七章操作系统安
14、全配置方案 安全配置方案中级篇 安全配置方案中级篇主要介绍操作系统的安全策 略配置,包括十条基本配置原则: (1)操作系统安全策略, (2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略 (5)开启密码策略, (6)开启帐户策略,(7) 备份敏感文件 (8)不显示上次登陆名,(9)禁止建立空连接 (10)下载最新的补丁 1 操作系统安全策略 利用 Windows 2000 的安全配置工具来配置安全策略,微 软提供了一套的基于管理控制台的安全配置和分析工具, 可以配置服务器的安全策略. 在管理工具中可以找到本地安全策略 . 可以配置四类安全策略:帐户策略, 本地策略,公钥策略 和
15、 IP 安全策略. 在默认的情况下,这些策略都是没有开启 的. BJFU Info Department, QiJd 第七章操作系统安全配置方案 2 关闭不必要的服务 Windows 2000 的 Terminal Services(终 端服务)和 IIS(Internet 信息服务)等都 可能给系统带来安全漏洞. 为了能够在远程方便的管理服务器,很多 机器的终端服务都是开着的,如果开了, 要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运 行服务器上的终端服务.要留意服务器上 开启的所有服务并每天检查. Windows2000 可禁用的服务 服务名说明 Computer
16、Browser 维护网络上计算机的最新列表以及提供这个 列表 Task scheduler 允许程序在指定时间运行 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由 服务 Removable storage 管理可移动媒体,驱动程序和库 Remote Registry Service 允许远程注册表操作 Print Spooler 将文件加载到内存中以便以后打印 .要用打 印机的用户不能禁用这项服务 IPSEC Policy Agent 管理 IP 安全策略以及启动 ISAKMP/Oakley(IKE)和 IP 安全驱动程序 Distributed Link Tracking Client 当文件在网络域的 NTFS 卷中移动时发送通 知 Com+ Event System 提供事件的自动发布到订阅 COM 组件 3 关闭不必要的端口 关闭端口意味着减少功能,如果服务器安装在防火墙的后面 ,被入侵 的
