《操作系统安全配置》由会员分享,可在线阅读,更多相关《操作系统安全配置(52页珍藏版)》请在金锄头文库上搜索。
1、第二章第二章 操作系统安全配置操作系统安全配置操作系统的概念、安全评估操作系统的概念、安全评估操作系统的用户安全设置操作系统的用户安全设置操作系统的密码安全设置操作系统的密码安全设置操作系统的系统安全设置操作系统的系统安全设置操作系统的服务安全设置操作系统的服务安全设置操作系统的注册表安全设置操作系统的注册表安全设置本章要点: 9/9/20241.2.1 操作系统的安全问题操作系统的安全问题 操作系统的安全是整个计算机系统安全操作系统的安全是整个计算机系统安全的基础的基础。操作系统安全防护研究,通常包括:操作系统安全防护研究,通常包括:1 1)提供什么样的安全功能和安全服务)提供什么样的安全功
2、能和安全服务2 2)采取什么样的配置措施)采取什么样的配置措施 3 3)如何保证服务得到安全配置)如何保证服务得到安全配置 9/9/20242.2.1.1 操作系统安全概念操作系统安全概念 一般意义上,如果说一个计算机系一般意义上,如果说一个计算机系统是安全的,那么是指该系统能够统是安全的,那么是指该系统能够控制外部对系统信息的访问。也就控制外部对系统信息的访问。也就是说,只有经过授权的用户或代表是说,只有经过授权的用户或代表该用户运行的进程才能读、写、创该用户运行的进程才能读、写、创建或删除信息。建或删除信息。 9/9/20243.操作系统的安全通常包含两层意思:操作系统的安全通常包含两层意
3、思:1)1)操作系统在设计时通过权限访问控制、操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等一些机信息加密性保护、完整性鉴定等一些机制实现的安全;制实现的安全;2)2)操作系统在使用中,通过一系列的配操作系统在使用中,通过一系列的配置,保证操作系统避免由于实现时的缺置,保证操作系统避免由于实现时的缺陷或是应用环境因素产生的不安全因素。陷或是应用环境因素产生的不安全因素。 9/9/20244.2.1.2 计算机操作系统安全评估计算机操作系统安全评估 美国可信计算机安全评估标准美国可信计算机安全评估标准(TCSEC),是计算机系统安全评估的),是计算机系统安全评估的第一个正式标准。
4、第一个正式标准。TCSECTCSEC将计算机系统的安全划分为将计算机系统的安全划分为4 4个等个等级、级、8 8个级别。个级别。 9/9/20245.2.1.3 国内的安全操作系统评估国内的安全操作系统评估 计算机信息安全保护等级划分准则计算机信息安全保护等级划分准则将计算机信息系统安全保护等级划分为将计算机信息系统安全保护等级划分为五个级别:五个级别:1. 用户自主保护级用户自主保护级 本本级级的的安安全全保保护护机机制制使使用用户户具具备备自自主主安安全全保保护护能能力力,保保护护用用户户和和用用户户组组信信息息,避避免免其其他他用用户户对对数数据据的的非非法法读读写写和和破坏。破坏。 9
5、/9/20246.2. 系统审计保护级系统审计保护级 本级的安全保护机制具备第一级的所本级的安全保护机制具备第一级的所有安全保护功能,并创建、维护访问审计有安全保护功能,并创建、维护访问审计跟踪记录,以记录与系统安全相关事件发跟踪记录,以记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,生的日期、时间、用户和事件类型等信息,使所有用户对自己行为的合法性负责。使所有用户对自己行为的合法性负责。3. 安全标记保护级安全标记保护级 本本级级的的安安全全保保护护机机制制有有系系统统审审计计保保护护级级的的所所有有功功能能,并并为为访访问问者者和和访访问问对对象象指指定定安安全全标标记记,以
6、以访访问问对对象象标标记记的的安安全全级级别别限限制制访访问问者者的的访访问问权权限限,实实现现对对访访问问对对象象的强制保护。的强制保护。9/9/20247.4. 结构化保护级结构化保护级 本本级级具具备备第第3级级的的所所有有安安全全功功能能。并并将将安安全全保保护护机机制制划划分分成成关关键键部部分分和和非非关关键键部部分分相相结结合合的的结结构构,其其中中关关键键部部分分直直接接控控制制访访问问者者对对访访问问对对象象的的存存取取。本本级级具具有有相相当当强的抗渗透能力。强的抗渗透能力。5. 安全域级保护级安全域级保护级 本级的安全保护机制具备第本级的安全保护机制具备第4级的所有级的所
7、有功能,并特别增设访问验证功能,负责仲功能,并特别增设访问验证功能,负责仲裁访问者对访问对象的所有访问活动。本裁访问者对访问对象的所有访问活动。本级具有极强的抗渗透能力。级具有极强的抗渗透能力。 9/9/20248.2.1.4 操作系统的安全配置操作系统的安全配置 操作系统安全配置主要是指:操作系统安全配置主要是指:1 1)操作系统访问控制权限的恰当设置)操作系统访问控制权限的恰当设置2 2)系统的及时更新)系统的及时更新3 3)对于攻击的防范)对于攻击的防范 9/9/20249.2.1.5 操作系统的安全漏洞操作系统的安全漏洞 几乎所有的操作系统都不是十全十美的,几乎所有的操作系统都不是十全
8、十美的,总存在安全漏洞。总存在安全漏洞。Windows NT: SAM、ICMPWindows XP:UPnP 、GDI拒绝服务拒绝服务 、终端服务终端服务IP地址欺骗地址欺骗 要想绝对避免软件漏洞是不可能的要想绝对避免软件漏洞是不可能的 !9/9/202410.2.2 用户安全配置用户安全配置 主要有主要有10类,分别描述如下:类,分别描述如下:1.新建用户新建用户帐号便于记忆与使用,而帐号便于记忆与使用,而密码则要求有一定的长度与复杂度。密码则要求有一定的长度与复杂度。 9/9/202411.2帐户授权帐户授权对不同的帐户进行授权,对不同的帐户进行授权,使其拥有和身份相应的权限。使其拥有和
9、身份相应的权限。 9/9/202412.3停用停用Guest用户用户把把Guest账号禁用账号禁用,并并且修改且修改Guest帐号的属性帐号的属性,设置拒绝远程设置拒绝远程访问访问 。 9/9/202413.4系统系统Administrator账号改名账号改名 防止防止管理员账号密码被穷举管理员账号密码被穷举,伪装成普通用,伪装成普通用户户。 9/9/202414.5创建一个陷阱用户创建一个陷阱用户将管理员账号权将管理员账号权限设置最低,延缓攻击企图。限设置最低,延缓攻击企图。 9/9/202415.6更改默认权限更改默认权限将共享文件的权限从将共享文件的权限从“Everyone”改成改成“授
10、权用户授权用户 。 9/9/202416.7不显示上次登录用户名不显示上次登录用户名防止密码猜防止密码猜测,打开注册表编辑器并找到注册表项测,打开注册表编辑器并找到注册表项“HKEY_CURRENTSoftwareMicrosoftWindows NTCurrentVersionWinlogonDont-DisplayLastUserName”,把,把REG_SZ的键值改的键值改成成1。 9/9/202417.8限制用户数量限制用户数量减少入侵突破口,账减少入侵突破口,账户数不大于户数不大于10(10(二进制二进制) ) 。 9多个管理员帐号多个管理员帐号 减少管理员账号使用减少管理员账号使用
11、时间,避免被破解时间,避免被破解 。创建一个一般用户权限帐号用来处理电创建一个一般用户权限帐号用来处理电子邮件及处理一些日常事务,创建另一子邮件及处理一些日常事务,创建另一个有个有AdministratorAdministrator权限的帐户在需要的权限的帐户在需要的时候使用。时候使用。9/9/202418.10开启用户策略开启用户策略 可以有效的防止字典式攻可以有效的防止字典式攻击击 。 当某一用户连续当某一用户连续5次录都失败后将自动锁定该次录都失败后将自动锁定该帐户,帐户,30分钟后自动复位被锁定的帐户。分钟后自动复位被锁定的帐户。 9/9/202419.2.3 密码安全配置密码安全配置
12、 主要有主要有4类,分别描述如下:类,分别描述如下:1.安全密码安全密码 创建帐号时不用公司名、创建帐号时不用公司名、计算机名、或者一些别的容易猜到的字计算机名、或者一些别的容易猜到的字符做用户名,密码设置要复杂。符做用户名,密码设置要复杂。2.2.安全期内无法破解出来的密码就是安全期内无法破解出来的密码就是安安全密码全密码(密码策略是(密码策略是4242天必须改密码)天必须改密码) 。9/9/202420.2开启密码策略开启密码策略 对不同的帐户进行授对不同的帐户进行授权,使其拥有和身份相应的权限。权,使其拥有和身份相应的权限。 策略设置要求密码复杂性要求启用数字和字母组合密码最小值6位长度
13、至少为6密码最长存留期15天超期要求改密码强制密码历史5次不能设置相同密码9/9/202421.3设置屏幕保护密码设置屏幕保护密码 防止内部人员破防止内部人员破坏服务器的一个屏障。注意不要使用坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序浪费和一些复杂的屏幕保护程序浪费系统资源,黑屏就可以了系统资源,黑屏就可以了 。 9/9/202422.4加密文件或文件夹加密文件或文件夹 用加密工具来保用加密工具来保护文件和文件夹,以防别人偷看护文件和文件夹,以防别人偷看 。 9/9/202423.2.4 系统安全配置系统安全配置 主要有主要有11类,分别描述如下:类,分别描述如下:1
14、.使用使用NTFS格式分区格式分区 所有分区都改成所有分区都改成NTFSNTFS格式,格式,NTFSNTFS文件系统要比文件系统要比FATFAT、FAT32FAT32的文件系统安全得多。的文件系统安全得多。9/9/202424.2运行防毒软件运行防毒软件 不仅可杀掉一些著名不仅可杀掉一些著名的病毒,还能查杀大量木马和后门程序。的病毒,还能查杀大量木马和后门程序。要注意经常运行程序并升级病毒库。要注意经常运行程序并升级病毒库。 9/9/202425.3下载最新的补丁下载最新的补丁 经常访问微软和一些经常访问微软和一些安全站点,下载最新的安全站点,下载最新的Service Pack和漏和漏洞补丁。
15、洞补丁。 9/9/202426.4关闭默认共享关闭默认共享 防止利用默认共享入防止利用默认共享入侵。侵。 默认共享目录路 径说 明C$ D$ E$分区的根目录Win2003 Advanced Server版中,只有Administrator 和Backup Operators级成员才可连接,Win2000 Server版本Server Operators组也可以连接到这些共享目录ADMIN$%SYSTEMTOOT%远程管理用的共享目录。它的路径永远都指向WIN2003的安装路径,比如C:winntIPC$IPC$共享提供了登的能力PRIN$SYSTEM32SPOOLDRIVERS用户远程管理打
16、印机9/9/202427.5锁定注册表锁定注册表 防止防止黑客从远程访问注黑客从远程访问注册表。修改册表。修改Hkey_current_userHkey_current_user下的子键:下的子键:SoftwareMicrosoftwindowscurrentversionpoliciessystemSoftwareMicrosoftwindowscurrentversionpoliciessystem,把把DisableRegistryTools值改为值改为0,类型为,类型为DWORD。9/9/202428.6禁止从软盘和光驱启动系统禁止从软盘和光驱启动系统 一些一些第三方的工具能通过引导系
17、统来绕过原第三方的工具能通过引导系统来绕过原有的安全机制有的安全机制 。 7.利用安全配置工具来配置安全策略利用安全配置工具来配置安全策略 利用基于利用基于MMCMMC(管理控制台)安全配置管理控制台)安全配置和分析工具配置服务器。和分析工具配置服务器。http:/ 9/9/202429.8开启审核策略开启审核策略 用安全审核来记录入用安全审核来记录入侵日志。侵日志。 策略设置审核系统登录事件成功、失败审核帐户管理成功、失败审核登录事件成功、失败审核对象访问成功审核策略更改成功、失败审核特权使用成功、失败审核系统事件成功、失败9/9/202430.9加密加密Temp 文件夹文件夹 给给Temp
18、Temp文件夹加文件夹加密可以给文件多一层保护。密可以给文件多一层保护。10使用智能卡使用智能卡用智能卡来代替复杂用智能卡来代替复杂的密码。的密码。11使用使用IPSec提供提供IPIP数据包的安全数据包的安全性。它提供身份验证、完整性和可选择性。它提供身份验证、完整性和可选择的机密性。的机密性。 利用利用IPSec可以使得系统的安全性能大大可以使得系统的安全性能大大增强。增强。 9/9/202431.2.5 服务安全配置服务安全配置 主要有主要有5类,分别描述如下:类,分别描述如下:1.关闭不必要的端口关闭不必要的端口 减少被入侵的算减少被入侵的算途径,系统目录中的途径,系统目录中的syst
19、em32driversetcservicessystem32driversetcservices文件中有知名端口和服务的对照表可供文件中有知名端口和服务的对照表可供参考。参考。如何设置本机开放的端口和服务?如何设置本机开放的端口和服务?9/9/202432.9/9/202433.2设置好安全记录的访问权限设置好安全记录的访问权限 安全安全记录在默认情况下是没有保护的,把它记录在默认情况下是没有保护的,把它设置成只有设置成只有AdministratorsAdministrators和系统账户和系统账户才有权访问。才有权访问。 9/9/202434.3备份敏感文件备份敏感文件有必要把一些重要的有必
20、要把一些重要的用户数据(存放在另外一个安全的服务用户数据(存放在另外一个安全的服务器中,并且经常备份它们。器中,并且经常备份它们。 4禁止建立空连接禁止建立空连接 默认情况下,任何用默认情况下,任何用户都可通过空连接连上服务器,进而枚户都可通过空连接连上服务器,进而枚举出账号,猜测密码。我们可以通过修举出账号,猜测密码。我们可以通过修改注册表来禁止建立空连接:即把改注册表来禁止建立空连接:即把Local_MachineSystemCurrentControlSetControlLSA-Local_MachineSystemCurrentControlSetControlLSA-Restrict
21、AnonymousRestrictAnonymous的值改成的值改成“1”“1”即可。即可。 9/9/202435.5关闭不必要的服务关闭不必要的服务 防止恶意程序以防止恶意程序以服务方式悄悄地运行服务器上的终端服服务方式悄悄地运行服务器上的终端服务,要确认已经正确配置了终端服务。务,要确认已经正确配置了终端服务。Windows 2000Windows 2000作为服务器可禁用的服务作为服务器可禁用的服务及其相关说明如表所示。及其相关说明如表所示。9/9/202436.2.6 注册表配置注册表配置 涉及到涉及到5类注册表配置,如下:类注册表配置,如下:1关机时清除文件关机时清除文件 页面文件中
22、可能含有页面文件中可能含有另外一些敏感产资料,因此要在关机的另外一些敏感产资料,因此要在关机的时候清除页面文件。时候清除页面文件。 编辑注册表修改主键编辑注册表修改主键HKEY_LOCAL_MACHINE下下的子键的子键 SystemCurrentControlSetControlControlSessionManage/Memory Management 把把ClearPageFileAtShutdown的值设置成的值设置成1。9/9/202437.2关闭关闭DirectDraw C2C2级安全标准对视频级安全标准对视频和内存有一定要求。关闭和内存有一定要求。关闭DirectDrawDire
23、ctDraw可可能对一些需要用到能对一些需要用到DirectxDirectx程序有影响程序有影响( (比如游戏比如游戏) ),但是对于绝大多数的商业,但是对于绝大多数的商业站点是没有影响的。站点是没有影响的。修改主键修改主键HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE下的子键下的子键 SystemCurrentControlSetControlGrSystemCurrentControlSetControlGraphicsDriversDCITimeout aphicsDriversDCITimeout 将键值设将键值设置成置成0 0。 9/9/202438.3禁止
24、判断主机类型禁止判断主机类型 黑客可利用黑客可利用TTLTTL(Time To LiveTime To Live,生存时间)值可以,生存时间)值可以鉴别操作系统的类型,通过鉴别操作系统的类型,通过PingPing指令能指令能判断目标主机类型。判断目标主机类型。9/9/202439.修改主键修改主键HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE下的子下的子键键 SystemCurrentControlSetServicesTcpipParametersSystemCurrentControlSetServicesTcpipParameters,新建一个双字节项,在键的名
25、称中输,新建一个双字节项,在键的名称中输入入“defaultTTL”“defaultTTL”,然后双击该键名,然后双击该键名,选择选择“十进制十进制”,在,在“数位数据数位数据”文本文本框中输入框中输入100100。设置完毕后需要重新启动。设置完毕后需要重新启动计算机。计算机。9/9/202440.4抵抗抵抗DDOS 添加注册表的一些键值,添加注册表的一些键值,可以有效的抵抗可以有效的抵抗DDOSDDOS(分布式拒绝服务)(分布式拒绝服务)的攻击。在键值的攻击。在键值HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpiHKEY_LOCAL_
26、MACHINESYSTEMCurrentControlSetServicesTcpipParameterspParameters下增加响应的键及其说明。下增加响应的键及其说明。 9/9/202441.5禁止禁止Guest访问日志访问日志 GuestGuest和匿名用和匿名用户可以查看系统的事件日志,这可能导户可以查看系统的事件日志,这可能导致许多重要的信息的泄漏。致许多重要的信息的泄漏。1 1)禁止)禁止GuestGuest访问应用日志访问应用日志 在在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEvenHKEY_LOCAL_MACHINE
27、SystemCurrentControlSetServicesEventlogApplicationtlogApplication下添加键值名称为下添加键值名称为“RestrictGuestAccessRestrictGuestAccess”,类型为,类型为“DWORD”“DWORD”,将值设置为将值设置为1 1。 9/9/202442.2 2)禁止)禁止GuestGuest访问系统日志访问系统日志 在在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEvenHKEY_LOCAL_MACHINESystemCurrentControlSetSe
28、rvicesEventlogSystemtlogSystem下添加键值名称为下添加键值名称为“RestrictGuestAccessRestrictGuestAccess”,类型为,类型为“DWORD”“DWORD”,将值设置为将值设置为1 1。 3 3)禁止)禁止GuestGuest访问安全日志访问安全日志 在在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEvenHKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogSecuritytlogSecurity下添加键值名称为下添加键
29、值名称为“RestrictGuestAccessRestrictGuestAccess”,类型为,类型为“DWORD”“DWORD”,将值设置为将值设置为1 1。 9/9/202443.2.7 数据恢复软件数据恢复软件 当数据被病毒或者入侵者破坏后,可以当数据被病毒或者入侵者破坏后,可以利用数据恢复软件找回部分被删除的数利用数据恢复软件找回部分被删除的数据据 。比较著名的有比较著名的有FinalDataFinalData,EasyRecoveryEasyRecovery等。我们介绍一下等。我们介绍一下FinalDataFinalData。注意:原来的磁盘扇区被写上了新的文注意:原来的磁盘扇区被
30、写上了新的文件,这些数据就不能完全恢复!件,这些数据就不能完全恢复!9/9/202444.原来原来D D盘上有一些文件数据文件,现在被盘上有一些文件数据文件,现在被黑客删除了,如何恢复?选择黑客删除了,如何恢复?选择“文件文件”菜单,单击菜单,单击“打开打开”按钮,出现当前系按钮,出现当前系统的分区情况,可以选择需要恢复数据统的分区情况,可以选择需要恢复数据的分区,在这里选择的分区,在这里选择D D盘。盘。 9/9/202445.选择分区后,软件对指定的分区的数据选择分区后,软件对指定的分区的数据和目录进行扫描。扫描完成后,选择查和目录进行扫描。扫描完成后,选择查找的扇区范围。找的扇区范围。9
31、/9/202446.扫描完成后,选择查找的扇区范围。扫描完成后,选择查找的扇区范围。9/9/202447.扫描的结果,在软件左侧按目录、文件扫描的结果,在软件左侧按目录、文件等进行分类。单击后内容出现在右侧中,等进行分类。单击后内容出现在右侧中,下图所示是已经被删除的目录,曾经被下图所示是已经被删除的目录,曾经被删除的文件。删除的文件。9/9/202448.选中某个文件或者文件夹,单击右键,选中某个文件或者文件夹,单击右键,出现一个恢复按钮,然后单击出现一个恢复按钮,然后单击“恢复恢复”按钮,就可恢复被删除的文件或文件夹按钮,就可恢复被删除的文件或文件夹了。了。9/9/202449.习习 题题
32、 1 1 什么是操作系统的安全,主要研究什么内容?什么是操作系统的安全,主要研究什么内容?2 2简简述述操操作作系系统统帐帐号号密密码码的的重重要要性性,有有几几种种方方法法可能保护密码不被破解或者盗取?可能保护密码不被破解或者盗取?3 3简简述述审审核核策策略略、密密码码策策略略和和帐帐户户策策略略的的含含义义,以及这些策略如何保护操作系统不被入侵。以及这些策略如何保护操作系统不被入侵。4 4如何关闭不需要的端口和服务?如何关闭不需要的端口和服务?5 5完成所有本章的配置操作。完成所有本章的配置操作。以报告的形式编写以报告的形式编写Windows 2000配置方案。配置方案。 9/9/202450.小小 结结 第一部分首先介绍了网络操作系统的有第一部分首先介绍了网络操作系统的有关知识,并分析了的国内和国外安全操关知识,并分析了的国内和国外安全操作系统的评估标准。作系统的评估标准。第二部分主要介绍了第二部分主要介绍了Windows 2000的安的安全配置,分为用户安全设置、密码安全全配置,分为用户安全设置、密码安全设置、系统安全设置、服务安全设置、设置、系统安全设置、服务安全设置、注册表配置等五个方面共注册表配置等五个方面共35项。项。 9/9/202451.谢谢 谢!谢!9/9/202452.