信息網(wǎng)絡(luò)安全知識普及教育培訓(xùn)教程系統(tǒng)安全

1、 第七章 系統(tǒng)安全福州大學(xué)網(wǎng)絡(luò)中心宋志剛內(nèi)容提要內(nèi)容提要操作系統(tǒng)類型及安全操作系統(tǒng)概念Windows操作系統(tǒng)安全UNIX及Linux操作系統(tǒng)安全數(shù)據(jù)庫安全7.1.1 操作系統(tǒng)的概念以及作用 操作系統(tǒng)的概念以及作用    操作系統(tǒng)提供了計算機(jī)硬件和計算軟件的中間處理功能，使得計算機(jī)軟件可以對計算機(jī)硬件采用統(tǒng)一的方式進(jìn)行訪問；同時操作系統(tǒng)使不同軟件間可以通過統(tǒng)一的開放的接口進(jìn)行互訪7.1.2 目前常見的操作系統(tǒng) 目前常見的操作系統(tǒng)有以下幾種：    MS-DOS系列  

2、  Unix (Sco Unix,Solaris,Aix,HP-UX)    Linux/FreeBSD    Windows 3.X/NT/95/98/2000/XP/2003/Vista/.    Apple Mac-OS    Mobile系列-symbian、windows CE/Pocket PC    其他專用操作系統(tǒng)（如Cisco IOS等）7.1.2.1 DOS

3、操作系統(tǒng) DOS操作系統(tǒng)    美國微軟（microsoft）開發(fā)    1979年，IBM公司開發(fā)出基于Intel 8086個人電腦（PC）    Microsoft公司編寫了MS-DOS操作系統(tǒng)    由于個人電腦的迅速普及,MS-DOS系統(tǒng)也隨之成為用戶最多的操作系統(tǒng)    DOS系統(tǒng)直到Windows95（DOS 7.0）發(fā)布才逐漸結(jié)束了它的使命 7.1.2.2 DOS

4、操作系統(tǒng)的特點(diǎn) DOS操作系統(tǒng)的特點(diǎn)：    簡單    單用戶/單進(jìn)程模式    幾乎沒有安全措施（也導(dǎo)致病毒的迅速產(chǎn)生和泛濫）7.1.3 Windows系統(tǒng) Windows系統(tǒng)    1985年，推出windows 1.0 ,windows 3.X確立了windows系統(tǒng)的可用性    Windows 95windows98 ，windows me為桌面版操作系統(tǒng)，和DOS

5、系統(tǒng)共存    Windows NT為服務(wù)器專用版，后來和windows桌面版合二為一    Windows 2000以后的版本，DOS系統(tǒng)已經(jīng)不是單獨(dú)的構(gòu)件存在了 7.1.3.1 Windows 系列操作系統(tǒng)的特點(diǎn) Windows 系列操作系統(tǒng)特點(diǎn)：    圖形化（GUI）界面，操作方便    多任務(wù)，多進(jìn)程    多用戶支持    支持多種網(wǎng)絡(luò)

6、協(xié)議，內(nèi)置常用的Internet軟件    支持多種文件系統(tǒng)（如DOS的FAT，windows FAT2和NTFS）7.1.4 UNIX系統(tǒng) UNIX系統(tǒng)    UNIX操作系統(tǒng)是由美國貝爾實驗室開發(fā)的一種多用戶、多任務(wù)的通用操作系統(tǒng)。    UNIX誕生于20世紀(jì)60年代末期    1970年給系統(tǒng)正式取名為Unix操作系統(tǒng)。到1973年，Unix系統(tǒng)的絕大部分源代碼都用C語言重新編寫過，大大提高了Unix系統(tǒng)的可移植性，也

7、為提高系統(tǒng)軟件的開發(fā)效率創(chuàng)造了條件。7.1.4.1 UNIX系統(tǒng)變革 UNIX系統(tǒng)變革7.1.4.2 UNIX系統(tǒng)的主要特色 主要特色    UNIX操作系統(tǒng)經(jīng)過20多年的發(fā)展后，已經(jīng)成為一種成熟的主流操作系統(tǒng)，并在發(fā)展過程中逐步形成了一些新的特色，其中主要特色包括5個方面:    (1) 可靠性高    (2) 極強(qiáng)的伸縮性    (3) 網(wǎng)絡(luò)功能強(qiáng)    (4) 強(qiáng)大的數(shù)據(jù)

8、庫支持功能    (5) 開放性好7.1.5 Linux Linux     Linux是一套可以免費(fèi)使用和自由傳播的類Unix操作系統(tǒng)，主要用于基于Intel x86系列CPU的計算機(jī)上，遵從POSIX標(biāo)準(zhǔn)    Linux最早開始于一位名叫Linus Torvalds的計算機(jī)業(yè)余愛好者，當(dāng)時他是芬蘭赫爾辛基大學(xué)的學(xué)生。    由于開源，Linux的品種繁多（redhat、fedora、slackware、Suse、ubun

9、tu、debian)，主要區(qū)別在于上層，內(nèi)核基本一致，外圍應(yīng)用軟件豐富    目前基本以小型服務(wù)器操作系統(tǒng)為主。7.1.5.1 Linux優(yōu)點(diǎn) UNIX系統(tǒng)的安全特征    (1) 按照可信計算機(jī)評價標(biāo)準(zhǔn)(TCSEC)達(dá)到C2級    (2) 有控制的存取保護(hù)    (3) 訪問控制    (4) 個人身份標(biāo)識與認(rèn)證     (5) 審計記錄

10、60;   (6) 操作的可靠性7.1.6 安全操作系統(tǒng)的研究發(fā)展  安全操作系統(tǒng)的研究發(fā)展     操作系統(tǒng)的安全性在計算機(jī)信息系統(tǒng)的整體安全性中具有至關(guān)重要的作用    沒有操作系統(tǒng)提供的安全性，信息系統(tǒng)的安全性是沒有基礎(chǔ)的 7.1.7 主體和客體 主體和客體    操作系統(tǒng)中的每一個實體組件都必須是主體或者是客體，或者既是主體又是客體。主體是一個主動的實體，它包括用戶、用戶組、進(jìn)程等。系統(tǒng)中最基本的主體應(yīng)該是用戶。每個進(jìn)

11、入系統(tǒng)的用戶必須是惟一標(biāo)識的，并經(jīng)過鑒別確定為真實的。系統(tǒng)中的所有事件要求，幾乎全是由用戶激發(fā)的。    客體是一個被動的實體。在操作系統(tǒng)中，客體可以是按照一定格式存儲在一定記錄介質(zhì)上的數(shù)據(jù)信息（通常以文件系統(tǒng)格式存儲數(shù)據(jù)），也可以是操作系統(tǒng)中的進(jìn)程。操作系統(tǒng)中的進(jìn)程（包括用戶進(jìn)程和系統(tǒng)進(jìn)程）一般有著雙重身份。當(dāng)一個進(jìn)程運(yùn)行時，它必定為某一用戶服務(wù)直接或間接的處理該用戶的事件要求。于是，該進(jìn)程成為該用戶的客體，或為另一進(jìn)程的客體（這時另一進(jìn)程則是該用戶的客體） 7.1.8 安全策略和安全模型 安全策略和安全模型   

12、0; 安全策略是指有關(guān)管理、保護(hù)和發(fā)布敏感信息的法律、規(guī)定和實施細(xì)則。    安全模型則是對安全策略所表達(dá)的安全需求的簡單、抽象和無歧義的描述，它為安全策略和安全策略實現(xiàn)機(jī)制的關(guān)聯(lián)提供了一種框架。7.1.9 訪問監(jiān)控器 訪問監(jiān)控器    訪問控制機(jī)制的理論基礎(chǔ)是訪問監(jiān)控器（Reference Monitor），由J.P.Anderson首次提出。 訪問監(jiān)控器是一個抽象概念，它表現(xiàn)的是一種思想。J.P.Anderson把訪問監(jiān)控器的具體實現(xiàn)稱為引用驗證機(jī)制，它是實現(xiàn)訪問監(jiān)控器思想的硬件和軟件的組合

13、. 7.1.10 安全內(nèi)核 安全內(nèi)核     安全內(nèi)核是實現(xiàn)訪問監(jiān)控器概念的一種技術(shù)，在一個大型操作系統(tǒng)中，只有其中的一小部分軟件用于安全目的是它的理論依據(jù)。所以在重新生成操作系統(tǒng)過程中，可用其中安全相關(guān)的軟件來構(gòu)成操作系統(tǒng)的一個可信內(nèi)核，稱之為安全內(nèi)核。安全內(nèi)核必須予以適當(dāng)?shù)谋Ｗo(hù)，不能篡改。同時絕不能有任何繞過安全內(nèi)核存取控制檢查的存取行為存在。此外安全內(nèi)核必須盡可能地小，便于進(jìn)行正確性驗證。安全內(nèi)核由硬件和介于硬件和操作系統(tǒng)之間的一層軟件組成。 7.1.11 可信計算基 可信計算基    操

14、作系統(tǒng)的安全依賴于一些具體實施安全策略的可信的軟件和硬件。這些軟件、硬件和負(fù)責(zé)系統(tǒng)安全管理的人員一起組成了系統(tǒng)的可信計算基（Trusted Computing Base，TCB）。具體來說可信計算基由以下7個部分組成：    (1)操作系統(tǒng)的安全內(nèi)核。    (2)具有特權(quán)的程序和命令。    (3)處理敏感信息的程序，如系統(tǒng)管理命令等。    (4)與TCB實施安全策略有關(guān)的文件。    (5)

15、其它有關(guān)的固件、硬件和設(shè)備。     (6)負(fù)責(zé)系統(tǒng)管理的人員。     (7)保障固件和硬件正確的程序和診斷軟件。7.1.12 安全操作系統(tǒng)的機(jī)制 安全操作系統(tǒng)的機(jī)制包括：硬件安全機(jī)制操作系統(tǒng)的安全標(biāo)識與鑒別訪問控制、最小特權(quán)管理可信通路和安全審計7.1.12.1 硬件安全機(jī)制 硬件安全機(jī)制     絕大多數(shù)實現(xiàn)操作系統(tǒng)安全的硬件機(jī)制也是傳統(tǒng)操作系統(tǒng)所要求的，優(yōu)秀的硬件保護(hù)性能是高效、可靠的操作系統(tǒng)的基礎(chǔ)。    

16、計算機(jī)硬件安全的目標(biāo)是，保證其自身的可靠性和為系統(tǒng)提供基本安全機(jī)制。其中基本安全機(jī)制包括存儲保護(hù)、運(yùn)行保護(hù)、I/O保護(hù)等。 7.1.12.2 標(biāo)識與鑒別  標(biāo)識與鑒別     標(biāo)識與鑒別是涉及系統(tǒng)和用戶的一個過程。標(biāo)識就是系統(tǒng)要標(biāo)識用戶的身份，并為每個用戶取一個系統(tǒng)可以識別的內(nèi)部名稱: 用戶標(biāo)識符。用戶標(biāo)識符必須是惟一的且不能被偽造，防止一個用戶冒充另一個用戶。    將用戶標(biāo)識符與用戶聯(lián)系的過程稱為鑒別，鑒別過程主要用以識別用戶的真實身份，鑒別操作總是要求用戶具有能夠證明他的身份的特殊信息，并

17、且這個信息是秘密的，任何其他用戶都不能擁有它。 7.1.12.3 訪問控制  訪問控制    在安全操作系統(tǒng)領(lǐng)域中，訪問控制一般都涉及兩種形式:    (1) 自主訪問控制（Discretionary Access Control，DAC）    (2) 強(qiáng)制訪問控制（Mandatory Access Control，MAC）7.1.12.4 自主訪問控制 自主訪問控制     自主訪問控制是最常用的一類訪問控制機(jī)制

18、，用來決定一個用戶是否有權(quán)訪問一些特定客體的一種訪問約束機(jī)制。在自主訪問控制機(jī)制下，文件的擁有者可以按照自己的意愿精確指定系統(tǒng)中的其他用戶對其文件的訪問權(quán)。    亦即使用自主訪問控制機(jī)制，一個用戶可以自主地說明他所擁有的資源允許系統(tǒng)中哪些用戶以何種權(quán)限進(jìn)行共享。從這種意義上講，是“自主”的。另外自主也指對其他具有授予某種訪問權(quán)力的用戶能夠自主地（可能是間接的）將訪問權(quán)或訪問權(quán)的某個子集授予另外的用戶。7.1.12.5 強(qiáng)制訪問控制MAC 強(qiáng)制訪問控制MAC     在強(qiáng)制訪問控制機(jī)制下，系統(tǒng)中的每個進(jìn)程

19、、每個文件、每個 IPC 客體( 消息隊列、信號量集合和共享存貯區(qū))都被賦予了相應(yīng)的安全屬性，這些安全屬性是不能改變的，它由管理部門（如安全管理員）或由操作系統(tǒng)自動地按照嚴(yán)格的規(guī)則來設(shè)置，不像訪問控制表那樣由用戶或他們的程序直接或間接地修改。    當(dāng)一進(jìn)程訪問一個客體(如文件)時，調(diào)用強(qiáng)制訪問控制機(jī)制，根據(jù)進(jìn)程的安全屬性和訪問方式，比較進(jìn)程的安全屬性和客體的安全屬性，從而確定是否允許進(jìn)程對客體的訪問。代表用戶的進(jìn)程不能改變自身的或任何客體的安全屬性，包括不能改變屬于用戶的客體的安全屬性，而且進(jìn)程也不能通過授予其他用戶客體存取權(quán)限簡單地實現(xiàn)客體共享。如果

20、系統(tǒng)判定擁有某一安全屬性的主體不能訪問某個客體，那么任何人（包括客體的擁有者）也不能使它訪問該客體。從這種意義上講，是“強(qiáng)制”的。7.1.12.6 強(qiáng)制訪問控制和自主訪問控制 強(qiáng)制訪問控制和自主訪問控制    強(qiáng)制訪問控制和自主訪問控制是兩種不同類型的訪問控制機(jī)制，它們常結(jié)合起來使用-僅當(dāng)主體能夠同時通過自主訪問控制和強(qiáng)制訪問控制檢查時，它才能訪問一個客體。    用戶使用自主訪問控制防止其他用戶非法入侵自己的文件，強(qiáng)制訪問控制則作為更強(qiáng)有力的安全保護(hù)方式，使用戶不能通過意外事件和有意識的誤操作逃避安全控

21、制。因此強(qiáng)制訪問控制用于將系統(tǒng)中的信息分密級和類進(jìn)行管理，適用于政府部門、軍事和金融等領(lǐng)域。7.1.12.7 最小特權(quán)管理     超級用戶的隱患；    最小特權(quán)管理的思想是系統(tǒng)不應(yīng)給用戶超過執(zhí)行任務(wù)所需特權(quán)以外的特權(quán)，如將超級用戶的特權(quán)劃分為一組細(xì)粒度的特權(quán)，分別授予不同的系統(tǒng)操作員/管理員，使各種系統(tǒng)操作員/管理員只具有完成其任務(wù)所需的特權(quán)，從而減少由于特權(quán)用戶口令丟失或錯誤軟件、惡意軟件、誤操作所引起的損失。比如可在系統(tǒng)中定義5個特權(quán)管理職責(zé)，任何一個用戶都不能獲取足夠的權(quán)力破壞系統(tǒng)的安全策略。7

22、.1.12.8 可信通路 可信通路     在計算機(jī)系統(tǒng)中，用戶是通過不可信的中間應(yīng)用層和操作系統(tǒng)相互作用的。但用戶登錄，定義用戶的安全屬性，改變文件的安全級等操作，用戶必須確實與安全核心通信，而不是與一個特洛伊木馬打交道。系統(tǒng)必須防止特洛伊木馬模仿登錄過程，竊取用戶的口令。    特權(quán)用戶在進(jìn)行特權(quán)操作時，也要有辦法證實從終端上輸出的信息是正確的，而不是來自于特洛伊木馬。這些都需要一個機(jī)制保障用戶和內(nèi)核的通信，這種機(jī)制就是由可信通路提供的。7.1.12.9 安全審計 安全審計  &#

23、160;  一個系統(tǒng)的安全審計就是對系統(tǒng)中有關(guān)安全的活動進(jìn)行記錄、檢查及審核。它的主要目的就是檢測和阻止非法用戶對計算機(jī)系統(tǒng)的入侵，并顯示合法用戶的誤操作。    審計作為一種事后追查的手段來保證系統(tǒng)的安全，它對涉及系統(tǒng)安全的操作做一個完整的記錄。    審計為系統(tǒng)進(jìn)行事故原因的查詢、定位，事故發(fā)生前的預(yù)測、報警以及事故發(fā)生之后的實時處理提供詳細(xì)、可靠的依據(jù)和支持，以備有違反系統(tǒng)安全規(guī)則的事件發(fā)生后能夠有效地追查事件發(fā)生的地點(diǎn)和過程以及責(zé)任人。7.1.12.10 主要安全模型 具有代表

24、性的安全模型:    BLP機(jī)密性安全模型、Biba完整性安全模型和Clark-Wilson完整性安全模型、信息流模型、RBAC安全模型、DTE安全模型和無干擾安全模型等。7.1.12.11 操作系統(tǒng)安全定義 操作系統(tǒng)安全定義    信息安全的五類服務(wù)，作為安全的操作系統(tǒng)時必須提供的    有些操作系統(tǒng)所提供的服務(wù)是不健全的、默認(rèn)關(guān)閉的7.1.12.12 信息安全評估標(biāo)準(zhǔn) 信息安全評估標(biāo)準(zhǔn)    ITSEC和TCSE

25、C    TCSEC描述的系統(tǒng)安全級別 D-àA    CC(Common Critical)標(biāo)準(zhǔn)7.1.12.13 信息安全評估標(biāo)準(zhǔn) 信息安全評估標(biāo)準(zhǔn)    管理方面；    BS 7799:2000；    ISO 17799標(biāo)準(zhǔn)；7.1.12.14 TCSEC定義的內(nèi)容 TCSEC定義的內(nèi)容7.2.1 Windows操作系統(tǒng)安全   

26、;Windows操作系統(tǒng)安全7.2.2 Windows系統(tǒng)的安全架構(gòu) Windows系統(tǒng)的安全架構(gòu)    Windows NT系統(tǒng)內(nèi)置支持用戶認(rèn)證、訪問、控制、管理、審核。7.2.3 Windows系統(tǒng)的安全組件 Windows系統(tǒng)的安全組件    (1) 自主訪問控制(Discretion access control)允許對象所有者可以控制誰被允許訪問該對象以及訪問的方式。     (2) 對象重用(Object reuse)當(dāng)資源(內(nèi)存、磁盤等)被某

27、應(yīng)用訪問時，Windows 禁止所有的系統(tǒng)應(yīng)用訪問該資源    (3) 強(qiáng)制登陸(Mandatory log on)要求所有的用戶必須登陸，通過認(rèn)證后才可以訪問資源    (4) 審核(Auditing)在控制用戶訪問資源的同時，也可以對這些訪問作了相應(yīng)的記錄。    (5) 對象的訪問控制(Control of access to object)不允許直接訪問系統(tǒng)的某些資源。必須是該資源允許被訪問，然后是用戶或應(yīng)用通過第一次認(rèn)證后再訪問。(例如：NTFS，訪問控制）7.2.

28、4 Windows安全子系統(tǒng) 安全子系統(tǒng)包括以下部分：    Winlogon     Graphical Identification and Authentication DLL (GINA)    Local Security Authority(LSA)    Security Support Provider Interface(SSPI)    Authentication

29、Packages    Security support providers    Netlogon Service    Security Account Manager(SAM)7.2.5.1 Windows安全子系統(tǒng) (一) Windows安全子系統(tǒng)7.2.5.1 Windows安全子系統(tǒng) (二) Windows安全子系統(tǒng)    Winlogon and Gina:    

30、;Winlogon調(diào)用GINA DLL，并監(jiān)視安全認(rèn)證序列。而GINA DLL提供一個交互式的界面為用戶登陸提供認(rèn)證請求。GINA DLL被設(shè)計成一個獨(dú)立的模塊，當(dāng)然我們也可以用一個更加強(qiáng)有力的認(rèn)證方式（指紋、視網(wǎng)膜）替換內(nèi)置的GINA DLL。    Winlogon在注冊表中查找HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon ，如果存在GinaDLL鍵，Winlogon將使用這個DLL，如果不存在該鍵，Winlogon將使用默認(rèn)值MSGINA.DLL7.2.5.1 Windows安全子系統(tǒng)

31、(三) Windows安全子系統(tǒng)   本地安全認(rèn)證（Local Security Authority）：    本地安全認(rèn)證（LSA）是一個被保護(hù)的子系統(tǒng)，它負(fù)責(zé)以下任務(wù)：    調(diào)用所有的認(rèn)證包，檢查在注冊表中HKLMSYSTEMCurrentControlSetControlLSA下AuthenticationPAckages下的值，并調(diào)用該DLL進(jìn)行認(rèn)證（MSV_1.DLL）。在4.0版里，Windows NT會尋找HKLMSYSTEMCurrentControlSet

32、ControlLSA 下所有存在的SecurityPackages值并調(diào)用。    重新找回本地組的SIDs和用戶的權(quán)限。    創(chuàng)建用戶的訪問令牌。    管理本地安裝的服務(wù)所使用的服務(wù)賬號。    儲存和映射用戶權(quán)限。    管理審核的策略和設(shè)置。    管理信任關(guān)系。7.2.5.1 Windows安全子系統(tǒng) (四) Windows安全子系統(tǒng)&

33、#160;  安全支持提供者的接口（Security Support Provide Interface）：    微軟的Security Support Provide Interface很簡單地遵循RFC 2743和RFC 2744的定義，提供一些安全服務(wù)的API，為應(yīng)用程序和服務(wù)提供請求安全的認(rèn)證連接的方法。   認(rèn)證包（Authentication Package）：    認(rèn)證包可以為真實用戶提供認(rèn)證。通過GINA DLL的可信認(rèn)證后，認(rèn)證包返回用戶的SI

34、Ds給LSA，然后將其放在用戶的訪問令牌中。7.2.5.1 Windows安全子系統(tǒng) (五) Windows安全子系統(tǒng)    安全支持提供者（Security Support Provider）：    安全支持提供者是以驅(qū)動的形式安裝的，能夠?qū)崿F(xiàn)一些附加的安全機(jī)制，默認(rèn)情況下，Windows NT安裝了以下三種：    (1) Msnsspc.dll：微軟網(wǎng)絡(luò)挑戰(zhàn)/反應(yīng)認(rèn)證模塊    (2) Msapsspc.dll：分布式

35、密碼認(rèn)證挑戰(zhàn)/反應(yīng)模塊，該模塊也可以在微軟網(wǎng)絡(luò)中使用    (3) Schannel.dll：該認(rèn)證模塊使用某些證書頒發(fā)機(jī)構(gòu)提供的證書來進(jìn)行驗證，常見的證書機(jī)構(gòu)比如Verisign。這種認(rèn)證方式經(jīng)常在使用SSL（Secure Sockets Layer）和PCT（Private Communication Technology）協(xié)議通信的時候用到。7.2.5.1 Windows安全子系統(tǒng) (六) Windows安全子系統(tǒng)   網(wǎng)絡(luò)登陸（Netlogon）：   網(wǎng)絡(luò)登陸服務(wù)必須在通過認(rèn)

36、證后建立一個安全的通道。要實現(xiàn)這個目標(biāo)，必須通過安全通道與域中的域控制器建立連接，然后，再通過安全的通道傳遞用戶的口令，在域的域控制器上響應(yīng)請求后，重新取回用戶的SIDs和用戶權(quán)限。   安全賬號管理者（Security Account Manager）：   安全賬號管理者，也就是我們經(jīng)常所說的SAM，它是用來保存用戶賬號和口令的數(shù)據(jù)庫。保存了注冊表中HKLMSecuritySam中的一部分內(nèi)容。不同的域有不同的Sam，在域復(fù)制的過程中，Sam包將會被拷貝。7.2.5.2 Windows的密碼系統(tǒng) Windows的密碼系統(tǒng)

37、    Windows NT及Win2000中對用戶帳戶的安全管理使用了安全帳號管理器(security account manager)的機(jī)制,安全帳號管理器對帳號的管理是通過安全標(biāo)識進(jìn)行的，安全標(biāo)識在帳號創(chuàng)建時就同時創(chuàng)建，一旦帳號被刪除，安全標(biāo)識也同時被刪除。安全標(biāo)識是唯一的，即使是相同的用戶名，在每次創(chuàng)建時獲得的安全標(biāo)識都時完全不同的。因此，一旦某個帳號被刪除，它的安全標(biāo)識就不再存在了，即使用相同的用戶名重建帳號，也會被賦予不同的安全標(biāo)識，不會保留原來的權(quán)限。 7.2.6 Windows基本安全手段 包括十二條基本配置原則： &

38、#160;  物理安全、停止Guest帳號、限制用戶數(shù)量、創(chuàng)建多個管理員帳號、管理員帳號改名、陷阱帳號、更改默認(rèn)權(quán)限、設(shè)置安全密碼、屏幕保護(hù)密碼、使用NTFS分區(qū)、運(yùn)行防毒軟件和確保備份盤安全。7.2.6.1 物理安全    服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器要保留15天以上的攝像記錄。    另外，機(jī)箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進(jìn)入房間也無法使用電腦，鑰匙要放在安全的地方。7.2.6.2 停止Guest帳號    

39、0;在計算機(jī)管理的用戶里面把Guest帳號停用，任何時候都不允許Guest帳號登陸系統(tǒng)。    為了保險起見，最好給Guest加一個復(fù)雜的密碼，可以打開記事本，在里面輸入一串包含特殊字符,數(shù)字，字母的長字符串。用它作為Guest帳號的密碼。并且修改Guest帳號的屬性，設(shè)置拒絕遠(yuǎn)程訪問，如圖所示：7.2.6.3 限制用戶數(shù)量     去掉所有的測試帳戶、共享帳號和普通部門帳號等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不使用的帳戶。    帳戶很多

40、是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大。    對于Windows NT/2000主機(jī)，如果系統(tǒng)帳戶超過10個，一般能找出一兩個弱口令帳戶，所以帳戶數(shù)量不要大于10個。7.2.6.4 多個管理員帳號     雖然這點(diǎn)看上去和上面有些矛盾，但事實上是服從上面規(guī)則的。創(chuàng)建一個一般用戶權(quán)限帳號用來處理電子郵件以及處理一些日常事物，另一個擁有Administrator權(quán)限的帳戶只在需要的時候使用。    因為只要登錄系統(tǒng)以后，密

41、碼就存儲再WinLogon進(jìn)程中，當(dāng)有其他用戶入侵計算機(jī)的時候就可以得到登錄用戶的密碼，盡量減少Administrator登錄的次數(shù)和時間。7.2.6.5 管理員帳號改名     Windows 2000中的Administrator帳號是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點(diǎn)。    不要使用Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，比如改成：guestone。具體操作的時候只要選中帳戶名改名就可以了，如圖

42、所示：7.2.6.6 陷阱帳號     所謂的陷阱帳號是創(chuàng)建一個名為“Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復(fù)雜密碼。    這樣可以讓那些企圖入侵者忙上一段時間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖?？梢詫⒃撚脩綦`屬的組修改成Guests組，如圖所示：7.2.6.7 更改默認(rèn)權(quán)限     共享文件的權(quán)限從“Everyone”組改成“授權(quán)用戶”?！癊veryone”在Windows 20

43、00中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。    任何時候不要把共享文件的用戶設(shè)置成“Everyone”組。包括打印共享，默認(rèn)的屬性就是“Everyone”組的，一定不要忘了改。設(shè)置某文件夾共享默認(rèn)設(shè)置如圖所示：7.2.6.8 安全密碼     好的密碼對于一個網(wǎng)絡(luò)是非常重要的，但是也是最容易被忽略的。    一些網(wǎng)絡(luò)管理員創(chuàng)建帳號的時候往往用公司名，計算機(jī)名，或者一些別的一猜就到的字符做用戶名，然后又把這些帳戶的密碼設(shè)置得比較簡單，比如：“we

44、lcome”、“iloveyou”、“l(fā)etmein”或者和用戶名相同的密碼等。這樣的帳戶應(yīng)該要求用戶首次登陸的時候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。    這里給好密碼下了個定義：安全期內(nèi)無法破解出來的密碼就是好密碼，也就是說，如果得到了密碼文檔，必須花43天或者更長的時間才能破解出來，密碼策略是42天必須改密碼。7.2.6.9 屏幕保護(hù)密碼     設(shè)置屏幕保護(hù)密碼是防止內(nèi)部人員破壞服務(wù)器的一個屏障。注意不要使用OpenGL和一些復(fù)雜的屏幕保護(hù)程序，浪費(fèi)系統(tǒng)資源，黑屏就可以了。 

45、60;  還有一點(diǎn)，所有系統(tǒng)用戶所使用的機(jī)器也最好加上屏幕保護(hù)密碼。    將屏幕保護(hù)的選項“密碼保護(hù)”選中就可以了，并將等待時間設(shè)置為最短時間“1秒”，如圖所示：7.2.6.10 NTFS分區(qū)     把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。 7.2.6.11 防毒軟件     Windows 2000/NT服務(wù)器一般都沒有安裝防毒軟件的，一些好的殺毒軟件不僅能殺掉一些著名的病毒

46、，還能查殺大量木馬和后門程序。    設(shè)置了防毒軟件，“黑客”們使用的那些有名的木馬就毫無用武之地了，并且要經(jīng)常升級病毒庫。7.2.6.12 備份盤的安全     一旦系統(tǒng)資料被黑客破壞，備份盤將是恢復(fù)資料的唯一途徑。備份完資料后，把備份盤防在安全的地方。    不能把資料備份在同一臺服務(wù)器上，這樣的話還不如不要備份。 7.2.7 Windows安全進(jìn)階 包括十條基本配置原則：    操作系統(tǒng)安全策略、關(guān)閉不必要的服

47、務(wù)、關(guān)閉不必要的端口、開啟審核策略、開啟密碼策略、開啟帳戶策略、備份敏感文件、不顯示上次登陸名、禁止建立空連接和下載最新的補(bǔ)丁7.2.7.1 操作系統(tǒng)安全策略      利用Windows 2000的安全配置工具來配置安全策略，微軟提供了一套的基于管理控制臺的安全配置和分析工具，可以配置服務(wù)器的安全策略。    在管理工具中可以找到“本地安全策略”，主界面如圖7-6所示。    可以配置四類安全策略：帳戶策略、本地策略、公鑰策略和IP安全策略。在默認(rèn)的情況下，這些策

48、略都是沒有開啟的。7.2.7.2 關(guān)閉不必要的服務(wù) (一)     Windows 2000的Terminal Services（終端服務(wù)）和IIS（Internet 信息服務(wù)）等都可能給系統(tǒng)帶來安全漏洞。    為了能夠在遠(yuǎn)程方便的管理服務(wù)器，很多機(jī)器的終端服務(wù)都是開著的，如果開了，要確認(rèn)已經(jīng)正確的配置了終端服務(wù)。    有些惡意的程序也能以服務(wù)方式悄悄的運(yùn)行服務(wù)器上的終端服務(wù)。要留意服務(wù)器上開啟的所有服務(wù)并每天檢查。    

49、;Windows 2000作為服務(wù)器可禁用的服務(wù)及其相關(guān)說明如表7-1所示。 7.2.7.2 關(guān)閉不必要的服務(wù) (二) Windows2000可禁用的服務(wù)7.2.7.3 關(guān)閉不必要的端口 (一)     關(guān)閉端口意味著減少功能，如果服務(wù)器安裝在防火墻的后面，被入侵的機(jī)會就會少一些，但是不可以認(rèn)為高枕無憂了。    用端口掃描器掃描系統(tǒng)所開放的端口，在Winntsystem32driversetcservices文件中有知名端口和服務(wù)的對照表可供參考。該文件用記事本打開如圖7-7所示。7.2.7.

50、3 關(guān)閉不必要的端口 (二)     設(shè)置本機(jī)開放的端口和服務(wù)，在IP地址設(shè)置窗口中點(diǎn)擊按鈕“高級”，如圖7-8所示。7.2.7.3 關(guān)閉不必要的端口 (三)    在出現(xiàn)的對話框中選擇選項卡“選項”，選中“TCP/IP篩選”，點(diǎn)擊按鈕“屬性”，如圖7-9所示。7.2.7.3 關(guān)閉不必要的端口 (四) 設(shè)置端口界面如圖所示。    一臺Web服務(wù)器只允許TCP的80端口通過就可以了。TCP/IP篩選器是Windows自帶的防火墻，功能比較強(qiáng)大，可以替代防火

51、墻的部分功能。7.2.7.4 開啟審核策略 (一)     安全審核是Windows 2000最基本的入侵檢測方法。當(dāng)有人嘗試對系統(tǒng)進(jìn)行某種方式（如嘗試用戶密碼，改變帳戶策略和未經(jīng)許可的文件訪問等等）入侵的時候，都會被安全審核記錄下來。    很多的管理員在系統(tǒng)被入侵了幾個月都不知道，直到系統(tǒng)遭到破壞。表7-2的這些審核是必須開啟的，其他的可以根據(jù)需要增加。7.2.7.4 開啟審核策略 (二) 審核策略默認(rèn)設(shè)置    審核策略在默認(rèn)的情況下都是沒有開啟的，

52、如圖所示。7.2.7.4 開啟審核策略 (三)     雙擊審核列表的某一項，出現(xiàn)設(shè)置對話框，將復(fù)選框“成功”和“失敗”都選中，如圖所示。7.2.7.5 開啟密碼策略 (一)     密碼對系統(tǒng)安全非常重要。本地安全設(shè)置中的密碼策略在默認(rèn)的情況下都沒有開啟。需要開啟的密碼策略如表所示7.2.7.5 開啟密碼策略 (二) 設(shè)置選項如圖所示。7.2.7.6 開啟帳戶策略 (一)     開啟帳戶策略可以有效的防止字典式攻擊，設(shè)置如表所示。7

53、.2.7.6 開啟帳戶策略 (二) 設(shè)置帳戶策略    設(shè)置的結(jié)果如圖所示。7.2.7.7 備份敏感文件     把敏感文件存放在另外的文件服務(wù)器中，雖然服務(wù)器的硬盤容量都很大，但是還是應(yīng)該考慮把一些重要的用戶數(shù)據(jù)（文件，數(shù)據(jù)表和項目文件等）存放在另外一個安全的服務(wù)器中，并且經(jīng)常備份它們 7.2.7.8 不顯示上次登錄名     默認(rèn)情況下，終端服務(wù)接入服務(wù)器時，登陸對 話框中會顯示上次登陸的帳戶名，本地的登陸 對話框也是一樣。黑客們可以得到系統(tǒng)

54、的一些 用戶名，進(jìn)而做密碼猜測。    修改注冊表禁止顯示上次登錄名，在HKEY_LOCAL_MACHINE主鍵下修改子鍵：SoftwareMicrosoftWindowsNTCurrentVersionWinlogon DontDisplayLastUserName，將鍵值改成1，如圖7-15所示。7.2.7.9 禁止建立空連接      默認(rèn)情況下，任何用戶通過空連接連上服務(wù)器，進(jìn)而可以枚舉出帳號，猜測密碼。     可以通過修改注冊表來禁止建立空連接。在HKE

55、Y_LOCAL_MACHINE主鍵下修改子鍵：SystemCurrentControlSetControlLSARestrictAnonymous，將鍵值改成“1”即可。如圖7-16所示。7.2.7.10 下載最新的補(bǔ)丁 10 下載最新的補(bǔ)丁     很多網(wǎng)絡(luò)管理員沒有訪問安全站點(diǎn)的習(xí)慣，以至于一些漏洞都出了很久了，還放著服務(wù)器的漏洞不補(bǔ)給人家當(dāng)靶子用。     誰也不敢保證數(shù)百萬行以上代碼的Windows 2000不出一點(diǎn)安全漏洞。     經(jīng)常訪問微軟和一些安全

56、站點(diǎn)，下載最新的Service Pack和漏洞補(bǔ)丁，是保障服務(wù)器長久安全的唯一方法。7.2.8 Windows安全的其他注意事項 Windows安全的其他注意事項     包括十四條配置原則：     關(guān)閉DirectDraw、關(guān)閉默認(rèn)共享     禁用Dump File、文件加密系統(tǒng)     加密Temp文件夾、鎖住注冊表、關(guān)機(jī)時清除文件     禁止軟盤光盤啟動、使用智能卡、使用IP

57、Sec     禁止判斷主機(jī)類型、抵抗DDOS     禁止Guest訪問日志和數(shù)據(jù)恢復(fù)軟件7.2.8.1 關(guān)閉DirectDraw      C2級安全標(biāo)準(zhǔn)對視頻卡和內(nèi)存有要求。關(guān)閉DirectDraw可能對一些需要用到DirectX的程序有影響（比如游戲），但是對于絕大多數(shù)的商業(yè)站點(diǎn)都是沒有影響的。在HKEY_LOCAL_MACHINE主鍵下修改子鍵：SYSTEMCurrentControlSetControlGraphicsDriversDCITimeout，

58、將鍵值改為“0”即可，如圖7-17所示。7.2.8.2 關(guān)閉默認(rèn)共享 (一)      Windows 2000安裝以后，系統(tǒng)會創(chuàng)建一些隱藏的共享，可以在DOS提示符下輸入命令Net Share 查看，如圖7-18所示。7.2.8.2 關(guān)閉默認(rèn)共享 (二) 停止默認(rèn)共享     禁止這些共享，打開管理工具>計算機(jī)管理>共享文件夾>共享，在相應(yīng)的共享文件夾上按右鍵，點(diǎn)停止共享即可，如圖7-19所示。7.2.8.3 禁用Dump文件    &

59、#160; 在系統(tǒng)崩潰和藍(lán)屏的時候，Dump文件是一份很有用資料，可以幫助查找問題。然而，也能夠給黑客提供一些敏感信息，比如一些應(yīng)用程序的密碼等需要禁止它，打開控制面板>系統(tǒng)屬性>高級>啟動和故障恢復(fù)，把寫入調(diào)試信息改成無，如圖7-20所示。7.2.8.4 文件加密系統(tǒng)      Windows2000強(qiáng)大的加密系統(tǒng)能夠給磁盤，文件夾，文件加上一層安全保護(hù)。這樣可以防止別人把你的硬盤掛到別的機(jī)器上以讀出里面的數(shù)據(jù)。     微軟公司為了彌補(bǔ)Windows NT 4.0的不足，在Windo

60、ws 2000中，提供了一種基于新一代NTFS：NTFS V5（第5版本）的加密文件系統(tǒng)（Encrypted File System，簡稱EFS）。     EFS實現(xiàn)的是一種基于公共密鑰的數(shù)據(jù)加密方式，利用了Windows 2000中的CryptoAPI結(jié)構(gòu)。 7.2.8.5 加密Temp文件夾 5 加密Temp文件夾     一些應(yīng)用程序在安裝和升級的時候，會把一些東西拷貝到Temp文件夾，但是當(dāng)程序升級完畢或關(guān)閉的時候，并不會自己清除Temp文件夾的內(nèi)容。   

61、0; 所以，給Temp文件夾加密可以給你的文件多一層保護(hù)。7.2.8.6 鎖住注冊表      在Windows2000中，只有Administrators和Backup Operators才有從網(wǎng)絡(luò)上訪問注冊表的權(quán)限。當(dāng)帳號的密碼泄漏以后，黑客也可以在遠(yuǎn)程訪問注冊表，當(dāng)服務(wù)器放到網(wǎng)絡(luò)上的時候，一般需要鎖定注冊表。修改Hkey_current_user下的子鍵SoftwaremicrosoftwindowscurrentversionPoliciessystem 把DisableRegistryTools的值該為0，類型為DWORD，如圖7-2

62、1所示7.2.8.7 關(guān)機(jī)時清除文件 7 關(guān)機(jī)時清除文件     頁面文件也就是調(diào)度文件，是Windows 2000用來存儲沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。一些第三方的程序可以把一些沒有的加密的密碼存在內(nèi)存中，頁面文件中可能含有另外一些敏感的資料。要在關(guān)機(jī)的時候清楚頁面文件，可以編輯注冊表修改主鍵HKEY_LOCAL_MACHINE下的子鍵：SYSTEMCurrentControlSetControlSession ManagerMemory Management把ClearPageFileAtShutdown的值設(shè)置成1，如圖7-

63、22所示。7.2.8.8 禁止軟盤光盤啟動      一些第三方的工具能通過引導(dǎo)系統(tǒng)來繞過原有的安全機(jī)制。比如一些管理員工具，從軟盤上或者光盤上引導(dǎo)系統(tǒng)以后，就可以修改硬盤上操作系統(tǒng)的管理員密碼。     如果服務(wù)器對安全要求非常高，可以考慮使用可移動軟盤和光驅(qū)，把機(jī)箱鎖起來仍然不失為一個好方法。7.2.8.9 使用智能卡      對于密碼，總是使安全管理員進(jìn)退兩難，容易受到一些工具的攻擊，如果密碼太復(fù)雜，用戶為了記住密碼，會把密碼到處亂寫。 

64、    如果條件允許，用智能卡來代替復(fù)雜的密碼是一個很好的解決方法。 7.2.8.10 使用IPSec      正如其名字的含義，IPSec提供IP數(shù)據(jù)包的安全性。     IPSec提供身份驗證、完整性和可選擇的機(jī)密性。發(fā)送方計算機(jī)在傳輸之前加密數(shù)據(jù)，而接收方計算機(jī)在收到數(shù)據(jù)之后解密數(shù)據(jù)。     利用IPSec可以使得系統(tǒng)的安全性能大大增強(qiáng)。 7.2.8.11 禁止判斷主機(jī)類型 (一)    

65、;  黑客利用TTL（Time-To-Live，活動時間）值可以鑒別操作系統(tǒng)的類型，通過Ping指令能判斷目標(biāo)主機(jī)類型。Ping的用處是檢測目標(biāo)主機(jī)是否連通。     許多入侵者首先會Ping一下主機(jī)，因為攻擊某一臺計算機(jī)需要根據(jù)對方的操作系統(tǒng)，是Windows還是Unix。如過TTL值為128就可以認(rèn)為你的系統(tǒng)為Windows 2000，如圖7-23所示。7.2.8.11 禁止判斷主機(jī)類型 (二)     從圖中可以看出，TTL值為128，說明改主機(jī)的操作系統(tǒng)是Windows 2000操作系統(tǒng)

66、。表7-6給出了一些常見操作系統(tǒng)的對照值。7.2.8.11 禁止判斷主機(jī)類型 (三)     修改TTL的值，入侵者就無法入侵電腦了。比如 將操作系統(tǒng)的TTL值改為111，修改主鍵HKEY_LOCAL_MACHINE的子鍵：SYSTEMCURRENT_ CONTROLSETSERVICESTCPIPPARAMETERS新建一個雙字節(jié)項，如圖7-24所示。7.2.8.11 禁止判斷主機(jī)類型 (四)     在鍵的名稱中輸入“defaultTTL”，然后雙擊改鍵名，選擇單選框“十進(jìn)制”，在文本框中輸

67、入111，如圖所示:7.2.8.11 禁止判斷主機(jī)類型 (五)     設(shè)置完畢重新啟動計算機(jī)，再用Ping指令，發(fā)現(xiàn)TTL的值已經(jīng)被改成111了，如圖所示:7.2.8.12 抵抗DDOS     添加注冊表的一些鍵值，可以有效的抵抗DDOS的攻擊。在鍵值HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters下增加響應(yīng)的鍵及其說明如表所示:7.2.8.13 禁止Guest訪問日志   

68、0; 在默認(rèn)安裝的Windows NT和Windows 2000中， Guest帳號和匿名用戶可以查看系統(tǒng)的事件日志，可能導(dǎo)致許多重要信息的泄漏，修改注冊 表來禁止Guest訪問事件日志。    禁止Guest訪問應(yīng)用日志：    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices EventlogApplication 下添加鍵值名稱為：RestrictGuestAccess ，類型為 ：DWORD，將值設(shè)置為1。   

69、60;系統(tǒng)日志：    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices EventlogSystem下添加鍵值名稱為：RestrictGuestAccess，類型為：DWORD ，將值設(shè)置為1。    安全日志：    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices EventlogSecurity下添加鍵值名稱為：RestrictGuestAccess，類型為：DWORD

70、，將值設(shè)置為1。7.2.8.14 數(shù)據(jù)恢復(fù)軟件     當(dāng)數(shù)據(jù)被病毒或者入侵者破壞后，可以利用數(shù)據(jù)恢復(fù)軟件可以找回部分被刪除的數(shù)據(jù)，例如Easy Recovery等。7.2.9.1 針對Windows2000的入侵-探測    探測    選擇攻擊對象，了解部分簡單的對象信息；針對具體的攻擊目標(biāo)，隨便選擇了一組IP地址，進(jìn)行測試，選擇處于活動狀態(tài)的主機(jī)，進(jìn)行攻擊嘗試   針對探測的安全建議    對于網(wǎng)絡(luò)：安裝防火墻，禁止這種探測行為    對于主機(jī)：安裝個人防火墻軟件，禁止外部主機(jī)的ping包，使對方無法獲知主機(jī)當(dāng)前正確的活動狀態(tài)7.2.9.2 針對Windows2000的入侵-掃描 (一)    掃描    使用的掃描軟件    NAT、流光、Xscan、SSS  &#