計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)操作系統(tǒng)安全配置的課件

1、02.09.2022精品課件1第二章操作系統(tǒng)安全配置操作系統(tǒng)的概念、安全評(píng)估操作系統(tǒng)的用戶安全設(shè)置操作系統(tǒng)的密碼安全設(shè)置操作系統(tǒng)的系統(tǒng)安全設(shè)置操作系統(tǒng)的服務(wù)安全設(shè)置操作系統(tǒng)的注冊(cè)表安全設(shè)置本章要點(diǎn)： 02.09.2022精品課件22.1 操作系統(tǒng)的安全問(wèn)題 操作系統(tǒng)的安全是整個(gè)計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)。操作系統(tǒng)安全防護(hù)研究，通常包括：1）提供什么樣的安全功能和安全服務(wù)2）采取什么樣的配置措施 3）如何保證服務(wù)得到安全配置 02.09.2022精品課件32.1.1 操作系統(tǒng)安全概念 一般意義上，如果說(shuō)一個(gè)計(jì)算機(jī)系統(tǒng)是安全的，那么是指該系統(tǒng)能夠控制外部對(duì)系統(tǒng)信息的訪問(wèn)。也就是說(shuō)，只有經(jīng)過(guò)授權(quán)的用戶或代

2、表該用戶運(yùn)行的進(jìn)程才能讀、寫、創(chuàng)建或刪除信息。 02.09.2022精品課件4操作系統(tǒng)的安全通常包含兩層意思：1)操作系統(tǒng)在設(shè)計(jì)時(shí)通過(guò)權(quán)限訪問(wèn)控制、信息加密性保護(hù)、完整性鑒定等一些機(jī)制實(shí)現(xiàn)的安全；2)操作系統(tǒng)在使用中，通過(guò)一系列的配置，保證操作系統(tǒng)避免由于實(shí)現(xiàn)時(shí)的缺陷或是應(yīng)用環(huán)境因素產(chǎn)生的不安全因素。 02.09.2022精品課件52.1.2 計(jì)算機(jī)操作系統(tǒng)安全評(píng)估 美國(guó)可信計(jì)算機(jī)安全評(píng)估標(biāo)準(zhǔn)（TCSEC），是計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)。TCSEC將計(jì)算機(jī)系統(tǒng)的安全劃分為4個(gè)等級(jí)、8個(gè)級(jí)別。 02.09.2022精品課件62.1.3 國(guó)內(nèi)的安全操作系統(tǒng)評(píng)估 計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)

3、則將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分為五個(gè)級(jí)別：1.用戶自主保護(hù)級(jí) 本級(jí)的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)能力，保護(hù)用戶和用戶組信息，避免其他用戶對(duì)數(shù)據(jù)的非法讀寫和破壞。 02.09.2022精品課件72. 系統(tǒng)審計(jì)保護(hù)級(jí) 本級(jí)的安全保護(hù)機(jī)制具備第一級(jí)的所有安全保護(hù)功能，并創(chuàng)建、維護(hù)訪問(wèn)審計(jì)跟蹤記錄，以記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時(shí)間、用戶和事件類型等信息，使所有用戶對(duì)自己行為的合法性負(fù)責(zé)。3. 安全標(biāo)記保護(hù)級(jí) 本級(jí)的安全保護(hù)機(jī)制有系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能，并為訪問(wèn)者和訪問(wèn)對(duì)象指定安全標(biāo)記，以訪問(wèn)對(duì)象標(biāo)記的安全級(jí)別限制訪問(wèn)者的訪問(wèn)權(quán)限，實(shí)現(xiàn)對(duì)訪問(wèn)對(duì)象的強(qiáng)制保護(hù)。02.09.2022精品課

4、件84. 結(jié)構(gòu)化保護(hù)級(jí) 本級(jí)具備第3級(jí)的所有安全功能。并將安全保護(hù)機(jī)制劃分成關(guān)鍵部分和非關(guān)鍵部分相結(jié)合的結(jié)構(gòu)，其中關(guān)鍵部分直接控制訪問(wèn)者對(duì)訪問(wèn)對(duì)象的存取。本級(jí)具有相當(dāng)強(qiáng)的抗?jié)B透能力。5. 安全域級(jí)保護(hù)級(jí) 本級(jí)的安全保護(hù)機(jī)制具備第4級(jí)的所有功能，并特別增設(shè)訪問(wèn)驗(yàn)證功能，負(fù)責(zé)仲裁訪問(wèn)者對(duì)訪問(wèn)對(duì)象的所有訪問(wèn)活動(dòng)。本級(jí)具有極強(qiáng)的抗?jié)B透能力。 02.09.2022精品課件92.1.4 操作系統(tǒng)的安全配置 操作系統(tǒng)安全配置主要是指：1）操作系統(tǒng)訪問(wèn)控制權(quán)限的恰當(dāng)設(shè)置2）系統(tǒng)的及時(shí)更新3）對(duì)于攻擊的防范 02.09.2022精品課件102.1.5 操作系統(tǒng)的安全漏洞 幾乎所有的操作系統(tǒng)都不是十全十美的，總存

5、在安全漏洞。Windows NT: SAM、ICMPWindows XP：UPnP 、GDI拒絕服務(wù) 、終端服務(wù)IP地址欺騙 要想絕對(duì)避免軟件漏洞是不可能的 ！02.09.2022精品課件112.2 用戶安全配置 主要有10類，分別描述如下：新建用戶帳號(hào)便于記憶與使用，而密碼則要求有一定的長(zhǎng)度與復(fù)雜度。 02.09.2022精品課件122帳戶授權(quán)對(duì)不同的帳戶進(jìn)行授權(quán)，使其擁有和身份相應(yīng)的權(quán)限。 02.09.2022精品課件133停用Guest用戶把Guest賬號(hào)禁用，并且修改Guest帳號(hào)的屬性,設(shè)置拒絕遠(yuǎn)程訪問(wèn) 。 02.09.2022精品課件144系統(tǒng)Administrator賬號(hào)改名 防

6、止管理員賬號(hào)密碼被窮舉，偽裝成普通用戶。 02.09.2022精品課件155創(chuàng)建一個(gè)陷阱用戶將管理員賬號(hào)權(quán)限設(shè)置最低，延緩攻擊企圖。 02.09.2022精品課件166更改默認(rèn)權(quán)限將共享文件的權(quán)限從“Everyone”改成“授權(quán)用戶 。 02.09.2022精品課件177不顯示上次登錄用戶名防止密碼猜測(cè)，打開注冊(cè)表編輯器并找到注冊(cè)表項(xiàng)“HKEY_CURRENTSoftwareMicrosoftWindows NTCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的鍵值改成1。 02.09.2022精品課件188限制用戶數(shù)量減少入侵突破

7、口，賬戶數(shù)不大于10 。 9多個(gè)管理員帳號(hào) 減少管理員賬號(hào)使用時(shí)間，避免被破解 。創(chuàng)建一個(gè)一般用戶權(quán)限帳號(hào)用來(lái)處理電子郵件及處理一些日常事務(wù)，創(chuàng)建另一個(gè)有Administrator權(quán)限的帳戶在需要的時(shí)候使用。02.09.2022精品課件1910開啟用戶策略 可以有效的防止字典式攻擊 。 當(dāng)某一用戶連續(xù)5次錄都失敗后將自動(dòng)鎖定該帳戶，30分鐘后自動(dòng)復(fù)位被鎖定的帳戶。 02.09.2022精品課件202.3 密碼安全配置 主要有4類，分別描述如下：安全密碼 創(chuàng)建帳號(hào)時(shí)不用公司名、計(jì)算機(jī)名、或者一些別的容易猜到的字符做用戶名，密碼設(shè)置要復(fù)雜。安全期內(nèi)無(wú)法破解出來(lái)的密碼就是安全密碼（密碼策略是42天必

8、須改密碼） 。02.09.2022精品課件212開啟密碼策略 對(duì)不同的帳戶進(jìn)行授權(quán)，使其擁有和身份相應(yīng)的權(quán)限。 策略設(shè)置要求密碼復(fù)雜性要求啟用數(shù)字和字母組合密碼最小值6位長(zhǎng)度至少為6密碼最長(zhǎng)存留期15天超期要求改密碼強(qiáng)制密碼歷史5次不能設(shè)置相同密碼02.09.2022精品課件223設(shè)置屏幕保護(hù)密碼 防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。注意不要使用OpenGL和一些復(fù)雜的屏幕保護(hù)程序浪費(fèi)系統(tǒng)資源，黑屏就可以了 。 02.09.2022精品課件234加密文件或文件夾 用加密工具來(lái)保護(hù)文件和文件夾，以防別人偷看 。 02.09.2022精品課件242.4 系統(tǒng)安全配置 主要有11類，分別描述如下：使用

9、NTFS格式分區(qū) 所有分區(qū)都改成NTFS格式，NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。02.09.2022精品課件252運(yùn)行防毒軟件 不僅可殺掉一些著名的病毒，還能查殺大量木馬和后門程序。要注意經(jīng)常運(yùn)行程序并升級(jí)病毒庫(kù)。 02.09.2022精品課件263下載最新的補(bǔ)丁經(jīng)常訪問(wèn)微軟和一些安全站點(diǎn)，下載最新的Service Pack和漏洞補(bǔ)丁。 02.09.2022精品課件274關(guān)閉默認(rèn)共享 防止利用默認(rèn)共享入侵。 默認(rèn)共享目錄路 徑說(shuō) 明C$ D$ E$分區(qū)的根目錄Win2003 Advanced Server版中，只有Administrator 和Backup Operat

10、ors級(jí)成員才可連接，Win2000 Server版本Server Operators組也可以連接到這些共享目錄ADMIN$%SYSTEMTOOT%遠(yuǎn)程管理用的共享目錄。它的路徑永遠(yuǎn)都指向WIN2003的安裝路徑，比如C：winntIPC$IPC$共享提供了登的能力PRIN$SYSTEM32SPOOLDRIVERS用戶遠(yuǎn)程管理打印機(jī)02.09.2022精品課件285鎖定注冊(cè)表 防止黑客從遠(yuǎn)程訪問(wèn)注冊(cè)表。修改Hkey_current_user下的子鍵：SoftwareMicrosoftwindowscurrentversionpoliciessystem，把DisableRegistryTool

11、s值改為0，類型為DWORD。02.09.2022精品課件296禁止從軟盤和光驅(qū)啟動(dòng)系統(tǒng) 一些第三方的工具能通過(guò)引導(dǎo)系統(tǒng)來(lái)繞過(guò)原有的安全機(jī)制 。 利用安全配置工具來(lái)配置安全策略 利用基于MMC（管理控制臺(tái)）安全配置和分析工具配置服務(wù)器。/windows2000/techinfo/howitworks/security/sctoolset.asp 02.09.2022精品課件308開啟審核策略 用安全審核來(lái)記錄入侵日志。 策略設(shè)置審核系統(tǒng)登錄事件成功、失敗審核帳戶管理成功、失敗審核登錄事件成功、失敗審核對(duì)象訪問(wèn)成功審核策略更改成功、失敗審核特權(quán)使用成功、失敗審核系統(tǒng)事件成功、失敗02.09.20

12、22精品課件319加密Temp 文件夾 給Temp文件夾加密可以給文件多一層保護(hù)。10使用智能卡用智能卡來(lái)代替復(fù)雜的密碼。11使用IPSec提供IP數(shù)據(jù)包的安全性。它提供身份驗(yàn)證、完整性和可選擇的機(jī)密性。 利用IPSec可以使得系統(tǒng)的安全性能大大增強(qiáng)。 02.09.2022精品課件322.5 服務(wù)安全配置 主要有5類，分別描述如下：關(guān)閉不必要的端口 減少被入侵的算途徑，系統(tǒng)目錄中的system32driversetcservices文件中有知名端口和服務(wù)的對(duì)照表可供參考。如何設(shè)置本機(jī)開放的端口和服務(wù)？02.09.2022精品課件3302.09.2022精品課件342設(shè)置好安全記錄的訪問(wèn)權(quán)限 安

13、全記錄在默認(rèn)情況下是沒有保護(hù)的，把它設(shè)置成只有Administrators和系統(tǒng)賬戶才有權(quán)訪問(wèn)。 02.09.2022精品課件353備份敏感文件有必要把一些重要的用戶數(shù)據(jù)（存放在另外一個(gè)安全的服務(wù)器中，并且經(jīng)常備份它們。 4禁止建立空連接默認(rèn)情況下，任何用戶都可通過(guò)空連接連上服務(wù)器，進(jìn)而枚舉出賬號(hào)，猜測(cè)密碼。我們可以通過(guò)修改注冊(cè)表來(lái)禁止建立空連接：即把Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous的值改成“1”即可。 02.09.2022精品課件365關(guān)閉不必要的服務(wù) 防止惡意程序以服務(wù)方式悄悄地運(yùn)行服務(wù)器上的終

14、端服務(wù)，要確認(rèn)已經(jīng)正確配置了終端服務(wù)。Windows 2000作為服務(wù)器可禁用的服務(wù)及其相關(guān)說(shuō)明如表所示。02.09.2022精品課件372.6 注冊(cè)表配置 涉及到5類注冊(cè)表配置，如下：1關(guān)機(jī)時(shí)清除文件頁(yè)面文件中可能含有另外一些敏感產(chǎn)資料，因此要在關(guān)機(jī)的時(shí)候清除頁(yè)面文件。 編輯注冊(cè)表修改主鍵HKEY_LOCAL_MACHINE下的子鍵 SystemCurrentControlSetControlControlSessionManage/Memory Management 把ClearPageFileAtShutdown的值設(shè)置成1。02.09.2022精品課件382關(guān)閉DirectDraw C

15、2級(jí)安全標(biāo)準(zhǔn)對(duì)視頻和內(nèi)存有一定要求。關(guān)閉DirectDraw可能對(duì)一些需要用到Directx程序有影響(比如游戲)，但是對(duì)于絕大多數(shù)的商業(yè)站點(diǎn)是沒有影響的。修改主鍵HKEY_LOCAL_MACHINE下的子鍵 SystemCurrentControlSetControlGraphicsDriversDCITimeout 將鍵值設(shè)置成0。 02.09.2022精品課件393禁止判斷主機(jī)類型 黑客可利用TTL（Time To Live，生存時(shí)間）值可以鑒別操作系統(tǒng)的類型，通過(guò)Ping指令能判斷目標(biāo)主機(jī)類型。02.09.2022精品課件40修改主鍵HKEY_LOCAL_MACHINE下的子鍵 Sys

16、temCurrentControlSetServicesTcpipParameters，新建一個(gè)雙字節(jié)項(xiàng)，在鍵的名稱中輸入“defaultTTL”，然后雙擊該鍵名，選擇“十進(jìn)制”，在“數(shù)位數(shù)據(jù)”文本框中輸入100。設(shè)置完畢后需要重新啟動(dòng)計(jì)算機(jī)。02.09.2022精品課件414抵抗DDOS添加注冊(cè)表的一些鍵值，可以有效的抵抗DDOS（分布式拒絕服務(wù)）的攻擊。在鍵值HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters下增加響應(yīng)的鍵及其說(shuō)明。 02.09.2022精品課件425禁止Guest訪問(wèn)日志 Guest和匿名用戶可

17、以查看系統(tǒng)的事件日志，這可能導(dǎo)致許多重要的信息的泄漏。1）禁止Guest訪問(wèn)應(yīng)用日志在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogApplication下添加鍵值名稱為“RestrictGuestAccess”，類型為“DWORD”，將值設(shè)置為1。 02.09.2022精品課件432）禁止Guest訪問(wèn)系統(tǒng)日志在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogSystem下添加鍵值名稱為“RestrictGuestAccess”，類型為“DWORD”，將值設(shè)置

18、為1。 3）禁止Guest訪問(wèn)安全日志在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogSecurity下添加鍵值名稱為“RestrictGuestAccess”，類型為“DWORD”，將值設(shè)置為1。 02.09.2022精品課件442.7 數(shù)據(jù)恢復(fù)軟件 當(dāng)數(shù)據(jù)被病毒或者入侵者破壞后，可以利用數(shù)據(jù)恢復(fù)軟件找回部分被刪除的數(shù)據(jù) 。比較著名的有FinalData，EasyRecovery等。我們介紹一下FinalData。注意：原來(lái)的磁盤扇區(qū)被寫上了新的文件，這些數(shù)據(jù)就不能完全恢復(fù)！02.09.2022精品課件45原來(lái)D盤上有一些文件數(shù)據(jù)文件，現(xiàn)在被黑客刪除了，如何恢復(fù)？選擇“文件”菜單，