《操作系统安全基础.ppt》由会员分享,可在线阅读,更多相关《操作系统安全基础.ppt(118页珍藏版)》请在金锄头文库上搜索。
1、第八章 操作系统安全基础 内容提要n本章介绍Windows 2000服务器的安全配置。n操作系统的安全将决定网络的安全,从保护级别上分成安全初级篇、中级篇和高级篇,共36条基本配置原则。n安全配置初级篇讲述常规的操作系统安全配置,中级篇介绍操作系统的安全策略配置,高级篇介绍操作系统安全信息通信配置。操作系统概述n目前服务器常用的操作系统有三类:nUnixnLinuxnWindowsn这些操作系统都是符合C2级安全级别的操作系统。但是都存在不少漏洞,如果对这些漏洞不了解,不采取相应的措施,就会使操作系统完全暴露给入侵者。安全级别列表UNIX系统nUNIX操作系统是由美国贝尔实验室开发的一种多用户
2、、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统。nUNIX诞生于20世纪60年代末期,贝尔实验室的研究人员于1969年开始在GE645计算机上实现一种分时操作系统的雏形,后来该系统被移植到了DEC的PDP-7小型机上。n1970年给系统正式取名为Unix操作系统。到1973年,Unix系统的绝大部分源代码都用C语言重新编写过,大大提高了Unix系统的可移植性,也为提高系统软件的开发效率创造了条件。主要特色nUNIX操作系统经过20多年的发展后,已经成为一种成熟的主流操作系统,并在发展过程中逐步形成了一些新的特色,其中主要特色包括5个方面。n(1)可靠性
3、高n(2)极强的伸缩性n(3)网络功能强n(4)强大的数据库支持功能n(5)开放性好Linux系统 nLinux是一套可以免费使用和自由传播的类Unix操作系统,主要用于基于Intel x86系列CPU的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。nLinux最早开始于一位名叫Linus Torvalds的计算机业余爱好者,当时他是芬兰赫尔辛基大学的学生。n目的是想设计一个代替Minix(是由一位名叫Andrew Tannebaum的计算机教授编写的一个操作系统示教程序)的操作系统。这个操作系
4、统可用于386、486或奔腾处理器的个人计算机上,并且具有Unix操作系统的全部功能。nLinux是一个免费的操作系统,用户可以免费获得其源代码,并能够随意修改。n它是在共用许可证GPL(General Public License)保护下的自由软件,也有好几种版本,如Red Hat Linux、Slackware,以及国内的Xteam Linux、红旗Linux等等。Linux的流行是因为它具有许多优点,典型的优点有7个。Linux典型的优点有7个。n(1)完全免费n(2)完全兼容POSIX 1.0标准n(3)多用户、多任务n(4)良好的界面n(5)丰富的网络功能n(6)可靠的安全、稳定性能
5、 n(7)支持多种平台 Windows系统nWindows NT(New Technology)是微软公司第一个真正意义上的网络操作系统,发展经过NT3.0、NT40、NT5.0(Windows 2000)和NT6.0(Windows 2003)等众多版本,并逐步占据了广大的中小网络操作系统的市场。nWindows NT众多版本的操作系统使用了与Windows 9X完全一致的用户界面和完全相同的操作方法,使用户使用起来比较方便。与Windows 9X相比,Windows NT的网络功能更加强大并且安全。Windows NT系列操作系统nWindows NT系列操作系统具有以下三方面的优点。n(
6、1)支持多种网络协议n由于在网络中可能存在多种客户机,如Windows 95/98、Apple Macintosh、Unix、OS/2等等,而这些客户机可能使用了不同的网络协议,如TCP/IP协议、IPX/SPX等。Windows NT系列操作支持几乎所有常见的网络协议。n(2)内置Internet功能n随着Internet的流行和TCP/IP协议组的标准化,Windows NT内置了IIS(Internet Information Server),可以使网络管理员轻松的配置WWW和FTP等服务。n(3)支持NTFS文件系统nWindows 9X所使用的文件系统是FAT,在NT中内置同时支持F
7、AT和NTFS的磁盘分区格式。使用NTFS的好处主要是可以提高文件管理的安全性,用户可以对NTFS系统中的任何文件、目录设置权限,这样当多用户同时访问系统的时候,可以增加文件的安全性。系统安全概述脆弱性分析技术的脆弱性配置的脆弱性管理的脆弱性安全操作系统的基本概念 n安全操作系统涉及很多概念:n主体和客体n安全策略和安全模型n访问监控器和安全内核以及可信计算基。主体和客体 n操作系统中的每一个实体组件都必须是主体或者是客体,或者既是主体又是客体。主体是一个主动的实体,它包括用户、用户组、进程等。系统中最基本的主体应该是用户(包括一般用户和系统管理员、系统安全员、系统审计员等特殊用户)。每个进入
8、系统的用户必须是惟一标识的,并经过鉴别确定为真实的。系统中的所有事件要求,几乎全是由用户激发的。进程是系统中最活跃的实体,用户的所有事件要求都要通过进程的运行来处理。在这里,进程作为用户的客体,同时又是其访问对象的主体。n客体是一个被动的实体。在操作系统中,客体可以是按照一定格式存储在一定记录介质上的数据信息(通常以文件系统格式存储数据),也可以是操作系统中的进程。操作系统中的进程(包括用户进程和系统进程)一般有着双重身份。当一个进程运行时,它必定为某一用户服务直接或间接的处理该用户的事件要求。于是,该进程成为该用户的客体,或为另一进程的客体(这时另一进程则是该用户的客体) 安全策略和安全模型
9、 n安全策略与安全模型是计算机安全理论中容易相互混淆的两个概念。安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细则。例如,可以将安全策略定为:系统中的用户和信息被划分为不同的层次,一些级别比另一些级别高;而且如果主体能读访问客体,当且仅当主体的级别高于或等于客体的级别;如果主体能写访问客体,当且仅当主体的级别低于或等于客体的级别。n安全模型则是对安全策略所表达的安全需求的简单、抽象和无歧义的描述,它为安全策略和安全策略实现机制的关联提供了一种框架。安全模型描述了对某个安全策略需要用哪种机制来满足;而模型的实现则描述了如何把特定的机制应用于系统中,从而实现某一特定安全策略所需的安全保
10、护。访问监控器n访问控制机制的理论基础是访问监控器(Reference Monitor),由J.P.Anderson首次提出。访问监控器是一个抽象概念,它表现的是一种思想。J.P.Anderson把访问监控器的具体实现称为引用验证机制,它是实现访问监控器思想的硬件和软件的组合 安全内核 n安全内核是实现访问监控器概念的一种技术,在一个大型操作系统中,只有其中的一小部分软件用于安全目的是它的理论依据。所以在重新生成操作系统过程中,可用其中安全相关的软件来构成操作系统的一个可信内核,称之为安全内核。安全内核必须予以适当的保护,不能篡改。同时绝不能有任何绕过安全内核存取控制检查的存取行为存在。此外安
11、全内核必须尽可能地小,便于进行正确性验证。安全内核由硬件和介于硬件和操作系统之间的一层软件组成。可信计算基 n操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬件。这些软件、硬件和负责系统安全管理的人员一起组成了系统的可信计算基(Trusted Computing Base,TCB)。具体来说可信计算基由以下7个部分组成:n1. 操作系统的安全内核。n2. 具有特权的程序和命令。n3. 处理敏感信息的程序,如系统管理命令等。n4. 与TCB实施安全策略有关的文件。n5. 其它有关的固件、硬件和设备。 n6. 负责系统管理的人员。 n7. 保障固件和硬件正确的程序和诊断软件。1 Windo
12、ws系统的安全架构2 Windows的安全子系统3 Windows的账户及密码系统4 Windows的权利与权限5 Windows的系统服务和进程6 Windows的日志系统 Windows系统安全机制1. Windows系统的安全架构6个主要的安全服务:Audit(审计)(审计), Administration(管理)(管理), Encryption(加密)(加密), Access Control(访问控制)(访问控制), User Authentication(用户身(用户身份验证)份验证), Corporate Security PolicyCorporate Security Poli
13、cy(安全组策略)(安全组策略)。1.1 Windows系统的安全组件nC2级别的操作系统中所包含的安全组件:级别的操作系统中所包含的安全组件:n访问控制的判断(Discretion access control)Windows 支持对象的访问控制的判断。这些需求包括允许对象的所有者可以控制谁被允许访问该对象以及访问的方式。n对象重用(Object reuse)当资源(内存、磁盘等)被某应用访问时,Windows 禁止所有的系统应用访问该资源,这也就是为什么Windows NT禁止undelete已经被删除的文件的原因。n强制登陆(Mandatory log on)与Windows for W
14、orkgroups,Windwows95,Windows 98不同,Windows2K/ NT要求所有的用户必须登陆,通过认证后才可以访问资源。由于网络连接缺少强制的认证,所以Windows 作为C2级别的操作系统必须是未连网的。n审核(Auditing)nWindows NT 在控制用户访问资源的同时,也可以对这些访问作了相应的记录。n对象的访问控制(Control of access to object)nWindows NT不允许直接访问系统的某些资源。必须是该资源允许被访问,然后是用户或应用通过第一次认证后再访问。1.2 Windows系统的对象n为了实现自身的安全特性,Windows
15、2K/ NT把所有的资源作为系统的特殊的对象。这些对象包含资源本身,Windows2K/ NT提供了一种访问机制去使用它们。nMicrosoft的安全就是基于以下的法则:n用对象表现所有的资源n只有Windows2K/ NT才能直接访问这些对象n对象能够包含所有的数据和方法n对象的访问必须通过Windows 2K/NT的安全子系统的第一次验证n存在几种单独的对象,每一个对象的类型决定了这些对象能做些什么nWindows 中首要的对象类型有:n文件文件夹打印机I/O设备窗口线程进程内存n这些安全构架的目标就是实现系统的牢固性。从设计来考虑,就是所有的访问都必须通过同一种方法认证,减少安全机制被绕
16、过的机会。2.Windows安全子系统(执行服务)(接口和播放)(内核)(硬件提取层)Windows安全子系统的组件Windows NT安全子系统包含五个关键的组件:Security identifiers,Access tokens,Security descriptors,Access control lists,Access Control Entries。安全标识符(Security Identifiers):就是我们经常说的SID,每次当我们创建一个用户或一个组的时候,系统会分配给改用户或组一个唯一SID,当你重新安装Windows NT后,也会得到一个唯一的SID。SID永远都是唯
17、一的,由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。例:S-1-5-21-1763234323-3212657521-1234321321-500访问令牌(Access tokens):用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给Windows NT,然后Windows NT检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象,Windows NT将会分配给用户适当的访问权限。访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,
18、重新获取访问令牌。 安全描述符(Security descriptors): Windows NT中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。 访问控制列表(Access control lists): 访问控制列表有两种:任意访问控制列表(Discretionary ACL)、系统访问控制列表(System ACL)。任意访问控制列表包含了用户和组的列表,以及相应的权限,允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的,包含了对象被访问的时间。 访问控制项(Access control entries): 访问控制项(ACE)包
19、含了用户或组的SID以及对象的权限。访问控制项有两种:允许访问和拒绝访问。拒绝访问的级别高于允许访问。 当你使用管理工具列出对象的访问权限时,列表的排序是以文字为顺序的,它并不象防火墙的规则那样由上往下的,不过好在并不会出现冲突,拒绝访问总是优先于允许访问的。2.1Windows安全子系统的身份认证WinlogonGraphical Identification and Authentication DLL (GINA)图形辨认和鉴定动态链接Local Security Authority(LSA)本地安全认证Security Support Provider Interface(SSPI)A
20、uthentication PackagesSecurity support providersNetlogonServiceSecurity Account Manager(SAM)Windows安全子系统的身份认证架构示意图安全子系统的身份认证架构示意图Winlogon, Local Security Authorit以及Netlogon作为服务运行,其他的以DLL方式被这些文件调用。Winlogon and Gina: Winlogon调用GINA DLL,并监视安全认证序列。而GINA DLL提供一个交互式的界面为用户登陆提供认证请求。GINA DLL被设计成一个独立的模块,当然我们也
21、可以用一个更加强有力的认证方式(指纹、视网膜)替换内置的GINA DLL。 Winlogon在注册表中查找HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon,如果存在GinaDLL键,Winlogon将使用这个DLL,如果不存在该键,Winlogon将使用默认值MSGINA.DLL本地安全认证(本地安全认证(Local Security Authority) 本地安全认证(LSA)是一个被保护的子系统,它负责以下任务:调用所有的认证包,检查在注册表HKLMSYSTEMCurrentControlSetControlLSA下Authenti
22、cationPAckages下的值,并调用该DLL进行认证(MSV_1.DLL)。在4.0版里,Windows NT会寻找HKLMSYSTEMCurrentControlSetControlLSA 下所有存在的SecurityPackages值并调用。重新找回本地组的SIDs和用户的权限。创建用户的访问令牌。管理本地安装的服务所使用的服务账号。储存和映射用户权限。管理审核的策略和设置。管理信任关系。安全支持提供者的接口(Security Support Provide Interface) 微软的Security Support Provide Interface很简单地遵循RFC 2743和
23、RFC 2744的定义,提供一些安全服务的API,为应用程序和服务提供请求安全的认证连接的方法(Kerberos/ NTLM)。认证包(认证包(Authentication Package) 认证包可以为真实用户提供认证。通过GINA DLL的可信认证后,认证包返回用户的SIDs给LSA,然后将其放在用户的访问令牌中。安全支持提供者(安全支持提供者(Security Support Provider) 安全支持提供者是以驱动的形式安装的,能够实现一些附加的安全机制,默认情况下,Windows NT安装了以下三种:Msnsspc.dll:微软网络挑战/反应认证模块Msapsspc.dll:分布式
24、密码认证挑战/反应模块,该模块也可以在微软网络中使用Schannel.dll:该认证模块使用某些证书颁发机构提供的证书来进行验证,常见的证书机构比如Verisign。这种认证方式经常在使用SSL(Secure Sockets Layer)和PCT(Private Communication Technology私有信息技术)协议通信的时候用到。网络登陆(Netlogon) 网络登陆服务必须在通过认证后建立一个安全的通道。要实现这个目标,必须通过安全通道与域中的域控制器建立连接,然后,再通过安全的通道传递用户的口令,在域的域控制器上响应请求后,重新取回用户的SIDs和用户权限。安全账号管理者(安
25、全账号管理者(Security Account Manager) 安全账号管理者,也就是我们经常所说的SAM,它是用来保存用户账号和口令的数据库。保存了注册表中HKLMSecuritySam中的一部分内容。不同的域有不同的Sam,在域复制的过程中,Sam包将会被拷贝。2.2Windows身份认证机制LanManager认证(称为LM协议) 早期版本NTLM v1 认证协议 NT 4.0 SP3之前的版本NTLM v2 认证协议 NT 4.0 SP4开始支持Kerberos v5认证协议 Windows 2000活动目录NTLM身份认证过程身份认证过程1、客户端首先在本地加密自己的密码成为密码散
26、列2、客户端向服务器发送自己的帐号,这个帐号是没有经过加密的,明文直接传输。3、服务器产生一个16位的随机数字发送给客户端,作为一个challenge (挑战)4、客户端再用加密后的密码散列来加密这个challenge ,然后把这个返回给服务器,作为response。5、服务器把用户名、给客户端的challenge 、客户端返回的response 这三个东西,发送域控制器6、域控制器用这个用户名在SAM密码管理库中找到这个用户的密码散列,然后使用这个密码散列来加密challenge。7、域控制器比较两次加密的challenge ,如果一样,那么认证成功。Kerberos V5注:KDC-密钥分
27、配中心;TGT-使用密钥; ST-服务票据.3.Windows的账户及密码系统的账户及密码系统 windows NT及win2000中对用户帐户的安全管理使用了安全帐号管理器(security account manager)的机制,安全帐号管理器对帐号的管理是通过安全标识进行的,安全标识在帐号创建时就同时创建,一旦帐号被删除,安全标识也同时被删除。安全标识是唯一的,即使是相同的用户名,在每次创建时获得的安全标识都是完全不同的。因此,一旦某个帐号被删除,它的安全标识就不再存在了,即使用相同的用户名重建帐号,也会被赋予不同的安全标识,不会保留原来的权限。4.Windows的权利和权限网络安全性依
28、赖于给用户或组授予的能力:权利:在系统上完成特定动作的授权,一般由系统指定给内置组,但也可以由管理员将其扩大到组和用户上。权限:用户或组对于文件系统的访问能力。共享:用户可以通过网络使用的文件夹。Windows系统的用户权利系统的用户权利 权利适用于对整个系统范围内的对象和任务的操作,通常是用来授权用户执行某些系统任务。当用户登录到一个具有某种权利的帐号时,该用户就可以执行与该权利相关的任务。下面列出了用户的特定权利:Access this computer from network 可使用户通过网络访问该计算机。Add workstation to a domain 允许用户将工作站添加到域
29、中。Backup files and directories 授权用户对计算机的文件和目录进行备份。Change the system time 用户可以设置计算机的系统时钟。Load and unload device drive 允许用户在网络上安装和删除设备的驱动程序。Restore files and directories 允许用户恢复以前备份的文件和目录。Shutdown the system 允许用户关闭系统。Windows系统的用户权限系统的用户权限 权限适用于对特定对象如目录和文件(只适用于NTFS卷)的操作,指定允许哪些用户可以使用这些对象,以及如何使用(如把某个目录的访问
30、权限授予指定的用户)。权限分为目录权限和文件权限,每一个权级别都确定了一个执行特定的任务组合的能力,这些任务是:Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和Take Ownership(O)。下表显示了这些任务是如何与各种权限级别相关联的。Windows系统的用户权限关联表一系统的用户权限关联表一如果对目录有Execute(X)权限,表示可以穿越目录,进入其子目。Windows系统的用户权限关联表二系统的用户权限关联表二Windows系统的共享权限系统的共享权限 共享只适用于文件夹(目录),如果文件夹不是共享的,那么在网络上就
31、不会有用户看到它,也就更不能访问。网络上的绝大多数服务器主要用于存放可被网络用户访问的文件和目录,要使网络用户可以访问在NT Server服务器上的文件和目录,必须首先对它建立共享。共享权限建立了通过网络对共享目录访问的最高级别。Windows系统的共享权限列表系统的共享权限列表5.Windows的系统服务的系统服务单击“开始”,指向“设置”,然后单击“控制面板”。双击“管理工具”,然后双击“服务”。在列表框中显示的是系统可以使用的服务。Windows 2k下可以在命令行中输入services.msc打开服务列表。服务类型服务类型服务包括三种启动类型:自动,手动,已禁用。自动-Windows
32、2000启动的时候自动加载服务手动-Windows 2000启动的时候不自动加载服务,在需要的时候手动开启已禁用-Windows 2000启动的时候不自动加载服务,在需要的时候选择手动或者自动方式开启服务,并重新启动电脑完成服务的配置双击需要进行配置的服务,出现下图所示的属性对话框:系统服务在注册表下的设置系统服务在注册表下的设置n在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService 底下每一笔服务项目子项都有一个Start 数值, 这个数值的内容依照每一个服务项目的状况而又有不同。Start 数值内容所记录的就是服务项目驱动程式该在何时被加载。n
33、目前微软对Start 内容的定义有0、1、2、3、4 等五种状态, 0、1、2 分别代表Boot、System、Auto Load 等叁种意义。而Start 数值内容为3 的服务项目代表让使用者以手动的方式载入(Load on demand), 4 则是代表停用的状态, 也就是禁用。6.Windows的系统进程基本的系统进程smss.exe Session Manager csrss.exe 子系统服务器进程winlogon.exe 管理用户登录services.exe 包含很多系统服务lsass.exe 管理IP 安全策略以及启动ISAKMP/Oakley (IKE) 和IP 安全驱动程序。
34、(系统服务) svchost.exe 包含很多系统服务spoolsv.exe将文件加载到内存中以便迟后打印。(系统服务) explorer.exe 资源管理器internat.exe 输入法附加的系统进程(这些进程不是必要的)附加的系统进程(这些进程不是必要的)mstask.exe 允许程序在指定时间运行。(系统服务) regsvc.exe 允许远程注册表操作。(系统服务) winmgmt.exe 提供系统管理信息(系统服务)。inetinfo.exe 通过Internet 信息服务的管理单元提供FTP 连接和管理。(系统服务) tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行
35、控制台程序。(系统服务) termsrv.exe 提供多会话环境允许客户端设备访问虚拟的Windows 2000 Professional 桌面会话以及运行在服务器上的基于Windows 的程序。(系统服务) dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)tcpsvcs.exe 提供在PXE 可远程启动客户计算机上远程安装Windows 2000 Professional 的能力。(系统服务) ismserv.exe 允许在Windows Advanced Server 站点间发送和接收消息。(系统服务) ups.exe 管理连接到计算机的不间断电源(UPS)。(系
36、统服务) wins.exe 为注册和解析NetBIOS 型名称的TCP/IP 客户提供NetBIOS 名称服务。(系统服务) llssrv.exe License Logging Service(system service) ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务) RsSub.exe 控制用来远程储存数据的媒体。(系统服务) locator.exe 管理RPC 名称服务数据库。(系统服务)lserver.exe 注册客户端许可证。(系统服务) dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务) clipsrv.exe 支持“剪贴簿查看器”
37、,以便可以从远程剪贴簿查阅剪贴页面。(系统服务) msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务) faxsvc.exe 帮助您发送和接收传真。(系统服务) cisvc.exe Indexing Service(system service) dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务) mnmsrvc.exe 允许有权限的用户使用NetMeeting 远程访问Windows 桌面。(系统服务) netdde.exe提供动态数据交换(DDE) 的网络传输和安全特性。(系统服务)smlogsvc.exe配置性能
38、日志和警报。(系统服务) rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务) RsEng.exe协调用来储存不常用数据的服务和管理工具。(系统服务) RsFsa.exe管理远程储存的文件的操作。(系统服务)grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。(系统服务) SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务) snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务) snmptrap.e
39、xe 接收由本地或远程SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上SNMP 管理程序。(系统服务) UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务) msiexec.exe 依据.MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)Windows的的Log系统系统Windows有三种类型的事件日志:系统日志跟踪各种各样的系统事件,比如跟踪系统启动过程中的事件或者硬件和控制器的故障。应用程序日志跟踪应用程序关联的事件,比如应用程序产生的象装载DLL(动态链接库)失败的信息将出现在日志中。安全日志跟踪事件如登录上网、下网、改变访问权限以及系统启
40、动和关闭。注意:安全日志的默认状态是关闭的。Windows2000下本地安全策略-审核策略中打开相应的审核推荐的审核是:n账户管理 成功失败n登录事件 成功失败n对象访问 失败n策略更改 成功失败n特权使用 失败n系统事件 成功失败n目录服务访问 失败n账户登录事件 成功失败一款不错的安全工具一款不错的安全工具FPORT系统自带netstat查看机器开放的端口,也可以任务管理器来查看当前机器的进程,但是这两个东西都有自身的缺点,由于netstat由于设计的原因很多开放的端口无法查出,而使用任务管理器的时候只能查看到进程的名字,如果一个恶意的攻击者把木马命名为svchost.exe,dllhos
41、t.exe,这样就能很好麻痹一些管理员,由于这些文件可能在一台web服务器上存在多个进程,然后给这个木马定义一个很象RPC的端口,不仔细查真的很难查找得到,FPORT就弥补了netstat和taskbar的不足该软件可以得到所有端口对应的文件有完整的路径名,可以避免有些木马程序使用系统服务的文件名,而将其放在非系统目录,无法在Task Manager里察觉,这个时候FPort的优势就体体现出来了.FPORT的运行示例的运行示例安全配置方案初级篇 n安全配置方案初级篇主要介绍常规的操作系统安全配置,包括十二条基本配置原则:n物理安全、停止Guest帐号、限制用户数量n创建多个管理员帐号、管理员帐
42、号改名n陷阱帐号、更改默认权限、设置安全密码n屏幕保护密码、使用NTFS分区n运行防毒软件和确保备份盘安全。1、物理安全n服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。n另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方。2、停止Guest帐号n在计算机管理的用户里面把Guest帐号停用,任何时候都不允许Guest帐号登陆系统。n为了保险起见,最好给Guest 加一个复杂的密码,可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串。n用它作为Guest帐号的密码。并且修改Guest帐号的属性,设置拒绝远程
43、访问,如图所示。3 限制用户数量n去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户。n帐户很多是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。n对于Windows NT/2000主机,如果系统帐户超过10个,一般能找出一两个弱口令帐户,所以帐户数量不要大于10个。4 多个管理员帐号n虽然这点看上去和上面有些矛盾,但事实上是服从上面规则的。创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物,另一个拥有Administrator权限的帐户只在需要的时候使用。n因为只要登录系统以后,密
44、码就存储再WinLogon进程中,当有其他用户入侵计算机的时候就可以得到登录用户的密码,尽量减少Administrator登录的次数和时间。5 管理员帐号改名nWindows 2000中的Administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。n不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone。具体操作的时候只要选中帐户名改名就可以了,如图所示。6 陷阱帐号n所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户,把它的权限设置成最低,什么
45、事也干不了的那种,并且加上一个超过10位的超级复杂密码。n这样可以让那些企图入侵者忙上一段时间了,并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组,如图所示。7 更改默认权限n共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows 2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。n任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。设置某文件夹共享默认设置如图所示。 8安全密码n好的密码对于一个网络是非常重要的,但是也是最容易被忽略的。n一
46、些网络管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的字符做用户名,然后又把这些帐户的密码设置得比较简单,比如:“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。n这里给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果得到了密码文档,必须花43天或者更长的时间才能破解出来,密码策略是42天必须改密码。9屏幕保护密码n设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,黑屏就可以了。
47、n还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。n将屏幕保护的选项“密码保护”选中就可以了,并将等待时间设置为最短时间“1秒”,如图所示。10 NTFS分区n把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。 11防毒软件nWindows 2000/NT服务器一般都没有安装防毒软件的,一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。n设置了放毒软件,“黑客”们使用的那些有名的木马就毫无用武之地了,并且要经常升级病毒库。12备份盘的安全n一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份盘防在
48、安全的地方。n不能把资料备份在同一台服务器上,这样的话还不如不要备份。 安全配置方案中级篇n安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则:n操作系统安全策略、关闭不必要的服务n关闭不必要的端口、开启审核策略n开启密码策略、开启帐户策略、备份敏感文件n不显示上次登陆名、禁止建立空连接和下载最新的补丁1 操作系统安全策略n利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略。n在管理工具中可以找到“本地安全策略”,主界面如图所示。n可以配置四类安全策略:帐户策略、本地策略、公钥策略和IP安全
49、策略。在默认的情况下,这些策略都是没有开启的。2 关闭不必要的服务nWindows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞。n为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务。n有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。nWindows 2000作为服务器可禁用的服务及其相关说明下表所示。 Windows2000可禁用的服务 服务名服务名说明说明Computer Browser维护网络上计算机的最新列表以
50、及提供这个列表维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体、驱动程序和库管理可移动媒体、驱动程序和库Remote Registry Service允许远程注册表操作允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印。要用打印机的用户不将文件加载到内存中以便以后打印。要用打印机的用户不能禁用这项服务能禁用这项服务IPSEC
51、Policy Agent管理管理IP安全策略以及启动安全策略以及启动ISAKMP/Oakley(IKE)和和IP安全驱安全驱动程序动程序Distributed Link Tracking Client当文件在网络域的当文件在网络域的NTFS卷中移动时发送通知卷中移动时发送通知Com+ Event System提供事件的自动发布到订阅提供事件的自动发布到订阅COM组件组件3 关闭不必要的端口n关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了。n用端口扫描器扫描系统所开放的端口,在Winntsystem32driversetcservices文
52、件中有知名端口和服务的对照表可供参考。该文件用记事本打开如图所示。n设置本机开放的端口和服务,在IP地址设置窗口中点击按钮“高级”,如图所示。n在出现的对话框中选择选项卡“选项”,选中“TCP/IP筛选”,点击按钮“属性”,如图所示。n设置端口界面如图所示。n一台Web服务器只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙,功能比较强大,可以替代防火墙的部分功能。4 开启审核策略n安全审核是安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对系统最基本的入侵检测方法。当有人尝试对系统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件访问
53、等进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。等)入侵的时候,都会被安全审核记录下来。n很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下表很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下表的这些审核是必须开启的,其他的可以根据需要增加。的这些审核是必须开启的,其他的可以根据需要增加。策略策略设置设置审核系统登陆事件审核系统登陆事件成功,失败成功,失败审核帐户管理审核帐户管理成功,失败成功,失败审核登陆事件审核登陆事件成功,失败成功,失败审核对象访问审核对象访问成功成功审核策略更改审核策略更改成功,失败成功,
54、失败审核特权使用审核特权使用成功,失败成功,失败审核系统事件审核系统事件成功,失败成功,失败审核策略默认设置 n审核策略在默认的情况下都是没有开启的,如图所示。n双击审核列表的某一项,出现设置对话框,将复选框“成功”和“失败”都选中,如图所示。5 开启密码策略n密码对系统安全非常重要。本地安全设置中的密码策略在默认密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如表所示的情况下都没有开启。需要开启的密码策略如表所示 策略策略设置设置密码复杂性要求密码复杂性要求启用启用密码长度最小值密码长度最小值6位位密码最长存留期密码最长存留期15天天强制密码历史强
55、制密码历史5个个n设置选项如图所示。6 开启帐户策略n开启帐户策略可以有效的防止字典式攻击,设置如表所示。策略策略设置设置复位帐户锁定计数器复位帐户锁定计数器30分钟分钟帐户锁定时间帐户锁定时间30分钟分钟帐户锁定阈值帐户锁定阈值5次次设置帐户策略 n设置的结果如图所示。7 备份敏感文件n把敏感文件存放在另外的文件服务器中,虽然服务器的硬盘容量都很大,但是还是应该考虑把一些重要的用户数据(文件,数据表和项目文件等)存放在另外一个安全的服务器中,并且经常备份它们 8 不显示上次登录名n默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的默认情况下,终端服务接入服务器时,登陆对话框中会显
56、示上次登陆的帐户名,本地的登陆对话框也是一样。黑客们可以得到系统的一些用户帐户名,本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名,进而做密码猜测。名,进而做密码猜测。n修改注册表禁止显示上次登录名,在修改注册表禁止显示上次登录名,在HKEY_LOCAL_MACHINE主键下主键下修改子键:修改子键:nSoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName,将键值改成,将键值改成1,如图所示。,如图所示。 9 禁止建立空连接n默认情况下,任何用户通过空连接连上服务器,进而可以枚举出默认情况下,任何用
57、户通过空连接连上服务器,进而可以枚举出帐号,猜测密码。帐号,猜测密码。n可以通过修改注册表来禁止建立空连接。在可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修改子键:主键下修改子键:nSystemCurrentControlSetControlLSARestrictAnonymous,将键值改成,将键值改成“1”即可。如图所示。即可。如图所示。10 下载最新的补丁n很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。n谁也不敢保证数百万行以上代码的Windows 2000不出一点安全漏洞。n经常访问微软和一些
58、安全站点,下载最新的Service Pack和漏洞补丁,是保障服务器长久安全的唯一方法。 安全配置方案高级篇n高级篇介绍操作系统安全信息通信配置,包括十四条配置原则:n关闭DirectDraw、关闭默认共享n禁用Dump File、文件加密系统n加密Temp文件夹、锁住注册表、关机时清除文件n禁止软盘光盘启动、使用智能卡、使用IPSecn禁止判断主机类型、抵抗DDOSn禁止Guest访问日志和数据恢复软件1 关闭DirectDrawnC2级安全标准对视频卡和内存有要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏),但是对于绝大多数的商业站点都是没有影响的。n
59、在HKEY_LOCAL_MACHINE主键下修改子键:nSYSTEMCurrentControlSetControlGraphicsDriversDCITimeout,将键值改为“0”即可,如图所示。2 关闭默认共享nWindows 2000安装以后,系统会创建一些隐藏的共享,可以在DOS提示符下输入命令Net Share 查看,如图所示。 停止默认共享 n禁止这些共享,打开管理工具计算机管理共享文件夹共享,在相应的共享文件夹上按右键,点停止共享即可,如图所示。3 禁用Dump文件n在系统崩溃和蓝屏的时候,Dump文件是一份很有用资料,可以帮助查找问题。然而,也能够给黑客提供一些敏感信息,比如
60、一些应用程序的密码等n需要禁止它,打开控制面板系统属性高级启动和故障恢复,把写入调试信息改成无,如图所示。 4 文件加密系统nWindows2000强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。n微软公司为了弥补Windows NT 4.0的不足,在Windows 2000中,提供了一种基于新一代NTFS:NTFS V5(第5版本)的加密文件系统(Encrypted File System,简称EFS)。nEFS实现的是一种基于公共密钥的数据加密方式,利用了Windows 2000中的CryptoAPI结构。 5 加密Temp
61、文件夹n一些应用程序在安装和升级的时候,会把一些东西拷贝到Temp文件夹,但是当程序升级完毕或关闭的时候,并不会自己清除Temp文件夹的内容。n所以,给Temp文件夹加密可以给你的文件多一层保护。6 锁住注册表n在Windows2000中,只有Administrators和Backup Operators才有从网络上访问注册表的权限。当帐号的密码泄漏以后,黑客也可以在远程访问注册表,当服务器放到网络上的时候,一般需要锁定注册表。修改Hkey_current_user下的子键nSoftwaremicrosoftwindowscurrentversionPoliciessystem n把Disab
62、leRegistryTools的值该为0,类型为DWORD,如图所示。 7 关机时清除文件n页面文件也就是调度文件,是Windows 2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。n一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中可能含有另外一些敏感的资料。要在关机的时候清楚页面文件,可以编辑注册表 修改主键HKEY_LOCAL_MACHINE下的子键:nSYSTEMCurrentControlSetControlSession ManagerMemory Managementn把ClearPageFileAtShutdown的值设置成1,如图所示。8 禁止软盘光
63、盘启动n一些第三方的工具能通过引导系统来绕过原有的安全机制。比如一些管理员工具,从软盘上或者光盘上引导系统以后,就可以修改硬盘上操作系统的管理员密码。n如果服务器对安全要求非常高,可以考虑使用可移动软盘和光驱,把机箱锁起来仍然不失为一个好方法。9 使用智能卡n对于密码,总是使安全管理员进退两难,容易受到一些工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。n如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。 10 使用IPSecn正如其名字的含义,正如其名字的含义,IPSec提供提供IP数据包的安全性。数据包的安全性。nIPSec提供身份验证、完整性和可选择的机密性。
64、发提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。收到数据之后解密数据。n利用利用IPSec可以使得系统的安全性能大大增强。可以使得系统的安全性能大大增强。 11 禁止判断主机类型n黑客利用TTL(Time-To-Live,活动时间)值可以鉴别操作系统的类型,通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。n许多入侵者首先会Ping一下主机,因为攻击某一台计算机需要根据对方的操作系统,是Windows还是Unix。如过TTL值为128就可以认为你的系统为Windo
65、ws 2000,如图所示。n从图中可以看出,TTL值为128,说明改主机的操作系统是Windows 2000操作系统。下表给出了一些常见操作系统的对照值。操作系统类型操作系统类型TTL返回值返回值Windows 2000128Windows NT107win9x128 or 127solaris252IRIX240AIX247Linux241 or 240n修改TTL的值,入侵者就无法入侵电脑了。比如将操作系统的TTL值改为111,修改主键HKEY_LOCAL_MACHINE的子键:nSYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERSn新建一个双字节
66、项,如图所示。n在键的名称中输入“defaultTTL”,然后双击改键名,选择单选框“十进制”,在文本框中输入111,如图所示。n设置完毕重新启动计算机,再用Ping指令,发现TTL的值已经被改成111了,如图所示。12 抵抗DDOSn添加注册表的一些键值,可以有效的抵抗DDOS的攻击。在键值nHKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters下增加响应的键及其说明如表所示。增加的键值键值说明EnablePMTUDiscovery=dword:00000000NoNameReleaseOnDemand=dword:0
67、0000000KeepAliveTime=dword:00000000PerformRouterDiscovery=dword:00000000基本设置EnableICMPRedirects=dword:00000000防止ICMP重定向报文的攻击SynAttackProtect=dword:00000002防止SYN洪水攻击TcpMaxHalfOpenRetried=dword:00000080仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施TcpMaxHalfOpen=dword:00000100IGMPLevel=dword
68、:00000000不支持IGMP协议EnableDeadGWDetect=dword:00000000禁止死网关监测技术IPEnableRouter=dword:00000001支持路由功能13 禁止Guest访问日志n在默认安装的Windows NT和Windows 2000中,Guest帐号和匿名用户可以查看系统的事件日志,可能导致许多重要信息的泄漏,修改注册表来禁止Guest访问事件日志。n禁止Guest访问应用日志nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplication 下添加键值名称为:Restrict
69、GuestAccess ,类型为:DWORD,将值设置为1。n系统日志:nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSystem下添加键值名称为:RestrictGuestAccess,类型为:DWORD,将值设置为1。n安全日志nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSecurity下添加键值名称为:RestrictGuestAccess,类型为:DWORD,将值设置为1。14 数据恢复软件n当数据被病毒或者入侵者破坏后,可以利用数据恢复软件可以
70、找回部分被删除的数据,在恢复软件中一个著名的软件是Easy Recovery。软件功能强大,可以恢复被误删除的文件、丢失的硬盘分区等等。软件的主界面如图所示。n比如原来在E盘上有一些数据文件,被黑客删除了,选择左边栏目“Data Recovery”,然后选择左边的按钮“Advanced Recovery”,如图所示。n进入Advanced Recovery对话框后,软件自动扫描出目前硬盘分区的情况,分区信息是直接从分区表中读取出来的,如图所示。n现在要恢复E盘上的文件,所以选择E盘,点击按钮“Next”,如图所示。n软件开始自动扫描该盘上曾经有哪些被删除了文件,根据硬盘的大小,需要一段比较长的
71、时间,如图所示。n扫描完成以后,将该盘上所有的文件以及文件夹显示出来,包括曾经被删除文件和文件夹,如图所示。n选中某个文件夹或者文件前面的复选框,然后点击按钮“Next”,就可以恢复了。如图所示。n在恢复的对话框中选择一个本地的文件夹,将文件保存到该文件夹中,如图所示。n选择一个文件夹后,电击按钮“Next”,就出现了恢复的进度对话框,如图所示。本章总结n本章分成三部分介绍Windows 2000的安全配置。n三部分共介绍安全配置三十六项,如果每一条都能得到很好的实施的话,改服务器无论是在局域网还是广域网,即使没有网络防火墙,已经比较安全了。n需要重点理解三大部分中的每一项设置,并掌握如何设置。本章习题n【1】、简述操作系统帐号密码的重要性,有几种方法可以保护密码不被破解或者被盗取?n【2】、简述审核策略、密码策略和帐户策略的含义?这些策略如何保护操作系统不被入侵。n【3】、如何关闭不需要的端口和服务?n【4】、编写程序实现本章所有注册表的操作。(上机完成)n【5】、以报告的形式编写Windows 2000 Server/Advanced Server的安全配置方案。
