网络安全基础与安全配置

《网络安全基础与安全配置》由会员分享，可在线阅读，更多相关《网络安全基础与安全配置（18页珍藏版）》请在金锄头文库上搜索。

1、文档供参考，可复制、编制，期待您的好评与关注！ 第1章 资产保护资产是组织内具备有形或无形价值的任何东西，它可以是资源，也可以是竞争优势。组织必须保护它们的资产以求生存和发展。威胁是指可能对资产带来危险的任何活动。漏洞是可被威胁利用的安全性弱点。攻击是指故意绕过计算机安全控制的尝试。“攻击者”指的是那些故意绕过安全控制以获得他人计算机或网络访问权限的人。攻击类型：电子欺骗：伪装为其他人或其他食物 中间人（Man-in-the-middle）：在通信双方未察觉的情况下拦截其他传输数据。后门（Back door）：允许攻击者绕过安全措施访问系统的软件拒绝服务（Denial of service）：

2、造成某个资源无法访问重放：捕获传输数据，然后再次使用数据包嗅探（Packet sniffing）：窃取网络通信社交工程（Social engineering）:诱使用户违反正确的安全程序CIA三角安全管理人员必须决定机密性（Confidentiality）、完整性（Integrity）、和可用性（Availability）之间的平衡。安全基线：为配置特定类型的计算机创建一套经过测试的标准。为安全电子邮件服务器、Web服务器、文件服务器和台式计算机等设备测试并应用不同的基线。确保系统保持安全配置。安全策略：创建文档，以详细说明所有安全策略。尽可能使用技术来确保安全策略得实施。第2章 创建用户账户

3、和安全组Windows2000有两种用户账户：本地账户 本地账户可以存储在除域控制器外的任何一台Windows计算机上域账户 域账户存储在域控制器的 Active Directory中，所以在任何一台域成员计算机上都可使用安全标示符（SID）是一个包含字符和数字具有惟一性的字符串，她在网络中代表用户。系统使用SID来判断哪些安全主体（如用户账户和安全组）拥有对特定受保护资源的访问权限。受保护资源的访问控制列表（ACL,Access Control List）P14本地安全组根据相同的安全型需求将用户归为一组，这提高了安全性并使管理更方便。安全组拥有惟一的SID。，这样他可以用于指定资源的访问权

4、限。交互式登录的过程：1） LSA的Winlogon组件收集用户名和密码2） LSA查询SAM，以验证用户名和密码3） LSA根据用户账户SID和安全组SID创建一个访问令牌4） 访问令牌传递给后续进程，如果组策略（Group Policy）没有更改缺省值，后续进程应该是Windows Experience域 就是共享相同安全账户数据库的一组计算机，管理员能够集中管理域中所有成员计算机的用户账户和安全组。信任关系是当多个域建立在相同的Active Directory服务下时，域就会自动地信任彼此的用户账户。因此，一个域的安全主体可能被包括在其信任域的ACL和安全组中。票证授权票证（TGT, T

5、icket-Granting Ticket）密钥分发中心（KDC, Key Distribution Center）身份验证服务（AS, Authentication Service）授权票证服务（TGS, Ticket-Granting Service）操作系统角色 在域之间创建信任的机制完全是由操作系统来处理的。当在Active Directory中添加域时，Windows交换密钥，以使两个域彼此信任。当把客户端计算机添加到域中时，Windows交换密钥，以向KDC证实客户端计算机已加入域中。工作方式 P25OU 工程团队领导组织单位（Organizational Unit） P30第3章

6、 限制账户、用户和组账户策略（GPO, Global Policy Object）如果用户不选取真正的随机密码，就应该考虑设置12个字符位密码长度最小值。有3条可执行的账户策略设置用于账户锁定：1） 账户锁定时间2） 账户锁定阈值3） 账户锁定计数器清零时间有5个账户策略设置可以实现Kerberos会话票证：1） 强制用户登陆限制2） 服务票证最长寿命3） 用户票证罪长寿命4） 用户票证续订最长寿命5） 计算机时钟同步的最大容差组策略的概念组策略是用户界面限制与管理设置的结合，它可以防止用户更改计算机配置以及防止使用违反组织安全策略的方式操作计算机。组策略还包含脚本和安装包。这就允许管理员在任

7、何数量的客户机中建立、管理和部署许多不同的计算机配置，同时为不同类型的工作人员提供一致的工作环境。组策略用来对用户组和计算机的管理和安全设置（学校）或设施。另外，组策略也用来为一些指定的计算机配置一些特殊的需求。全局惟一标示符（GUID, globally unique identifier）计算机和用户配置策略有三个主要部分：1） 配置中的软件设置部分，包含主要由独立软件供应商提供的软件安装设置扩展2） 配置中的Windows设置部分，包含应用于Windows的设置，以及启动/关机脚本（计算机配置）或者登录/注销脚本（用户配置）。配置的Windows设置部分包含特定于安全的大部分设置。3）

8、管理员可以使用.adm文件来扩展配置的管理员模板部分，该部分包括修改Internet Explorer、Windows Explorer 和其他程序的行为。组策略应用中的隐蔽问题包括：1） 对组策略所做的更改，在本地起作用，但在其他站点上或者其他域中不起作用。2） GPO的复制速度比预期慢得多3） 组策略仅应用了一部分，其他部分未得到预定义安全膜板包括：1） 默认工作站（basicwk.inf）、服务器（basicsv.inf）和域控制器（basicdc.inf）模板用于已完成安装的标准计算机的安全设置。可以用这些模板来分别恢复已应用在工作站、服务器或域服务器中的其他安全设置 2）兼容工作站（

9、Compatws.inf）模板降低了计算机的默认安全设置，以便于用户组成员可以成功地运行未经windows2000验证的应用程序。一般情况下，只有Power Users才可以运行这些程序 3） 安全的工作站、服务器（Securews.inf）和域控制器（Securedc.inf）模板为工作站、服务器和域控制器实现了Microsoft的安全推荐。这些安全推荐在不牺牲对早期Windows操作系统的向下兼容性的同时提高了安全性4） 高度安全的工作站、服务器（Hisecws.inf）和域控制器（Hisecdc.inf）模板设定的安全设置，是以牺牲向下兼容性的代价保护计算机之间的网络通信。5） 默认设置

10、安全（Setup security.inf）模板为Windows2000提供了默认安全设置6）更新的安全默认域控制器（DC security.inf）模板为域控制器建立了更新的默认安全设置。部署安全模板的方法：1） 将安全模板导入GPO2） 在多个域和GPO上部署安全模板3） 手工导入设置4） 使用Secedit进行部署第4章 配置基于账户的安全性Windows 2000可以对下列资源类型应用权限：1） NTFS文件系统卷中的文件和文件夹2） 共享文件夹和打印机3） 注册表项4） Active Directory目录服务对象随机访问控制列表（DACL，Discretionary Access

11、Control List）通常也称为ACL访问控制项（ACE，Access Control Entry）系统访问控制列表（SACL，System Access Control List）如果ACL是空的，则所有用户都无权访问该文件。拥有所有权的账户总是有更改权限的能力，因此不管权限如何，都可以向ACL添加ACE。要解决这个问题，可以用Cacls命令行工具来授予或删除特定ACE，而不是影响或替换其他ACE项。使用此工具可以修复包含数据的卷中的权限问题。应该在服务器上按季度审核权限，以确保没有意外地授予某些用户太多的访问权。然后可以使用Cacls命令检查不合适的权限并进行替换。管理NTFS文件系统

12、权限的通用指导方针：P90组策略的局限性：使用组策略配置Internet Explorer 安全性，请记住大部分设置只是限制用户界面，它们并未真正禁用某类功能。如果用户利用其他界面或下载可以修改Internet Explore 设置的程序、脚本或注册表文件，他们就可以覆盖组策略的设置。黑客们在Internet 上出卖这类脚本的事情很常见。管理员可以访问大多数注册表项，但无法看到也无法修改注册表中存储安全帐户管理器（SAM,Security Accounts Manager）安全数据库的部分。绝大多数用户都适用于这样的设置。第5章 使用访问控制和身份验证保护信息的安全访问控制是授权用户或组访问网

13、络对象的过程。身份验证是验证某事或某人身份的过程。授权是确定经身份验证的用户或进程是否有权访问资源，并指定用户对资源享有何种访问级别的过程。访问控制需要：1） 允许已授权的用户访问他们请求的资源2） 阻止未经授权的用户访问资源最小特权原则是指，为方便用户工作，应该为用户分配所必需的权限级别但是不要超过这个级别。控制资源访问的两种方式：1） 基于密码的访问控制2） 基于用户的访问控制Windows使用两种主要的身份验证协议：NT LAN Manager（HTLM）和Kerberos。访问控制模型：自由访问控制（DAC, Discretionary Access Control）基于角色的访问控制

14、（RBAC，Role-based Internet Explore）强制访问控制（MAC，Mandatory Internet Explore）Windows身份验证方式1） 自动的身份验证单点登录（SSO，Single Sign On）系统，例如Kerberos，自动执行身份验证过程，但并不是完全不需要登录到所访问的每台服务器。2） 质询响应身份验证保护账户安全（MBSA，Microsoft Baseline Security Analyzer）含义第6章 管理证书颁发机构密钥加密也成为对称密钥加密，这种加密使用同一种密钥加密和解密数据。密钥加密算法存在一个问题。尽管可以将加密后的原文发送给

15、任何人而不用担心被揭解密，但是却不能将密钥发送给需要解密的人，因为如果在传输时密钥被拦截，就可以被用来解密原文。由于无法将密钥传送给远方的接收人，所以纯粹的密钥系统不适合在Internet这样的公共载体上传送文件。数字签名是通过加密身份信息进行身份验证的一种方法，任何人都可以解密此信息以便进行验证，但是只有信息的原作者能加密该信息。数字签名的工作过程：在公钥加密密码系统中，加密密钥是公钥，解密密钥是私钥。 而在数字签名系统中，加密密钥是私钥，解密密钥是公钥。证书是一种数据结构，可以包含无数个公钥、私钥、密钥和数字签名。证书主要用于执行受信的第三方身份验证。如果整个企业普遍使用证书，且发行证书的CA都有相同的根CA，那么所有这些CA和基于证书的服务就称为公钥基础结构（PKI，Public Key Infrastructure）。强力攻击的威胁：强力攻击（或称分解攻击）中，黑客会使用所有可能的值，尝试确定签署文件所使用的私钥，直到与数字