第二講操作系統(tǒng)安全配置

第二章 操作系統(tǒng)安全配置操作系統(tǒng)的概念、安全評估操作系統(tǒng)的用戶安全設(shè)置操作系統(tǒng)的密碼安全設(shè)置操作系統(tǒng)的系統(tǒng)安全設(shè)置操作系統(tǒng)的服務(wù)安全設(shè)置操作系統(tǒng)的注冊表安全設(shè)置本章要點(diǎn)：

2023/2/31計(jì)算機(jī)網(wǎng)絡(luò)安全第二章 操作系統(tǒng)安全配置2.1操作系統(tǒng)的安全問題

2.2用戶安全配置

2.3密碼安全配置

2.4系統(tǒng)安全配置

2.5服務(wù)安全配置

2.6注冊表配置2.7數(shù)據(jù)恢復(fù)軟件

2023/2/32計(jì)算機(jī)網(wǎng)絡(luò)安全2.1操作系統(tǒng)的安全問題操作系統(tǒng)是計(jì)算機(jī)資源的直接管理者，它和硬件打交道并為用戶提供接口，是計(jì)算機(jī)軟件的基礎(chǔ)和核心。在網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)的安全很大程度上依賴于網(wǎng)絡(luò)操作系統(tǒng)的安全性。沒有網(wǎng)絡(luò)操作系統(tǒng)的安全性，就沒有主機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全性。因此操作系統(tǒng)的安全是整個(gè)計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)。操作系統(tǒng)安全防護(hù)研究，通常包括：

1）提供什么樣的安全功能和安全服務(wù)

2）采取什么樣的配置措施

3）如何保證服務(wù)得到安全配置2023/2/33計(jì)算機(jī)網(wǎng)絡(luò)安全2.1.1操作系統(tǒng)安全概念一般意義上，如果說一個(gè)計(jì)算機(jī)系統(tǒng)是安全的，那么是指該系統(tǒng)能夠控制外部對系統(tǒng)信息的訪問。也就是說，只有經(jīng)過授權(quán)的用戶或代表該用戶運(yùn)行的進(jìn)程才能讀、寫、創(chuàng)建或刪除信息。2023/2/34計(jì)算機(jī)網(wǎng)絡(luò)安全操作系統(tǒng)的安全通常包含兩層意思：

1)操作系統(tǒng)在設(shè)計(jì)時(shí)通過權(quán)限訪問控制、信息加密性保護(hù)、完整性鑒定等一些機(jī)制實(shí)現(xiàn)的安全；

2)操作系統(tǒng)在使用中，通過一系列的配置，保證操作系統(tǒng)避免由于實(shí)現(xiàn)時(shí)的缺陷或是應(yīng)用環(huán)境因素產(chǎn)生的不安全因素。2.1.1操作系統(tǒng)安全概念2023/2/35計(jì)算機(jī)網(wǎng)絡(luò)安全2.1.2計(jì)算機(jī)操作系統(tǒng)安全評估計(jì)算機(jī)系統(tǒng)安全性評估標(biāo)準(zhǔn)是一種技術(shù)性法規(guī)。在信息安全這一特殊領(lǐng)域，如果沒有這一標(biāo)準(zhǔn)，那么與此相關(guān)的立法、執(zhí)法就會有失偏頗，最終會給國家的信息安全帶來嚴(yán)重后果。美國可信計(jì)算機(jī)安全評估標(biāo)準(zhǔn)（TCSEC），是計(jì)算機(jī)系統(tǒng)安全評估的第一個(gè)正式標(biāo)準(zhǔn)。TCSEC將計(jì)算機(jī)系統(tǒng)的安全劃分為4個(gè)等級、8個(gè)級別。2023/2/36計(jì)算機(jī)網(wǎng)絡(luò)安全2.1.2計(jì)算機(jī)操作系統(tǒng)安全評估(1)D類安全等級：D類安全等級只包括D1一個(gè)安全類別，安全等級最低。D1系統(tǒng)只為文件和用戶提供安全保護(hù)。最普通的形式是本地操作系統(tǒng)，或者是一個(gè)完全沒有保護(hù)的網(wǎng)絡(luò)。(2)C類安全等級：該類安全等級能夠提供審慎的保護(hù)，并為用戶的行動和責(zé)任提供審計(jì)能力。C類安全等級可劃分為C1和C2兩類。C1系統(tǒng)通過將用戶和數(shù)據(jù)分開來達(dá)到安全的目的。C2系統(tǒng)比C1系統(tǒng)加強(qiáng)了可調(diào)的審慎控制。在連接到網(wǎng)絡(luò)上時(shí)，C2系統(tǒng)的用戶分別對各自的行為負(fù)責(zé)，通過登錄過程、安全事件和資源隔離來增強(qiáng)這種控制。2023/2/37計(jì)算機(jī)網(wǎng)絡(luò)安全2.1.2計(jì)算機(jī)操作系統(tǒng)安全評估(3)B類安全等級：B類安全等級分為B1、B2、B3三類。B類系統(tǒng)具有強(qiáng)制性保護(hù)功能，強(qiáng)制性保護(hù)意味著如果用戶沒有與安全等級相連，系統(tǒng)就不會讓用戶存取對象。(4)A類安全等級：目前A類安全等級只包含A1一個(gè)安全類別。其顯著特征是，系統(tǒng)的設(shè)計(jì)者必須按照一個(gè)正式的設(shè)計(jì)規(guī)范來分析系統(tǒng)。對系統(tǒng)分析后，設(shè)計(jì)者必須運(yùn)用核對技術(shù)來確保系統(tǒng)符合設(shè)計(jì)規(guī)范。2023/2/38計(jì)算機(jī)網(wǎng)絡(luò)安全2.1.3國內(nèi)的安全操作系統(tǒng)評估《計(jì)算機(jī)信息安全保護(hù)等級劃分準(zhǔn)則》將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分為五個(gè)級別：1.用戶自主保護(hù)級本級的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)能力，保護(hù)用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫和破壞。2023/2/39計(jì)算機(jī)網(wǎng)絡(luò)安全2.系統(tǒng)審計(jì)保護(hù)級本級的安全保護(hù)機(jī)制具備第一級的所有安全保護(hù)功能，并創(chuàng)建、維護(hù)訪問審計(jì)跟蹤記錄，以記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時(shí)間、用戶和事件類型等信息，使所有用戶對自己行為的合法性負(fù)責(zé)。3.安全標(biāo)記保護(hù)級本級的安全保護(hù)機(jī)制有系統(tǒng)審計(jì)保護(hù)級的所有功能，并為訪問者和訪問對象指定安全標(biāo)記，以訪問對象標(biāo)記的安全級別限制訪問者的訪問權(quán)限，實(shí)現(xiàn)對訪問對象的強(qiáng)制保護(hù)。2.1.3國內(nèi)的安全操作系統(tǒng)評估2023/2/310計(jì)算機(jī)網(wǎng)絡(luò)安全4.結(jié)構(gòu)化保護(hù)級本級具備第3級的所有安全功能。并將安全保護(hù)機(jī)制劃分成關(guān)鍵部分和非關(guān)鍵部分相結(jié)合的結(jié)構(gòu)，其中關(guān)鍵部分直接控制訪問者對訪問對象的存取。本級具有相當(dāng)強(qiáng)的抗?jié)B透能力。5.安全域級保護(hù)級本級的安全保護(hù)機(jī)制具備第4級的所有功能，并特別增設(shè)訪問驗(yàn)證功能，負(fù)責(zé)仲裁訪問者對訪問對象的所有訪問活動。本級具有極強(qiáng)的抗?jié)B透能力。2.1.3國內(nèi)的安全操作系統(tǒng)評估2023/2/311計(jì)算機(jī)網(wǎng)絡(luò)安全2.1.3國內(nèi)的安全操作系統(tǒng)評估

第1級第2級第3級第4級第5級自主訪問控制√√√√√身份鑒別√√√√√數(shù)據(jù)完整性√√√√√客體重用

√√√√審計(jì)

√√√強(qiáng)制訪問控制

√√√標(biāo)記

√√√隱蔽信道分析

√√可信路徑

√√可信恢復(fù)

√2023/2/312計(jì)算機(jī)網(wǎng)絡(luò)安全2.1.4操作系統(tǒng)的安全配置操作系統(tǒng)安全配置主要是指：1）操作系統(tǒng)訪問控制權(quán)限的恰當(dāng)設(shè)置指利用操作系統(tǒng)的訪問控制功能，為用戶和文件系統(tǒng)建立恰當(dāng)?shù)脑L問權(quán)限控制。2）系統(tǒng)的及時(shí)更新及時(shí)地更新系統(tǒng)，會使整個(gè)系統(tǒng)的安全性能、穩(wěn)定性能、易用性能得到大幅度提高。3）對于攻擊的防范隨著利用操作系統(tǒng)安全缺陷進(jìn)行攻擊的方法的不斷出現(xiàn)，操作系統(tǒng)和TCP/IP缺陷逐漸成為系統(tǒng)安全防護(hù)的一個(gè)重要內(nèi)容。2023/2/313計(jì)算機(jī)網(wǎng)絡(luò)安全2.1.5操作系統(tǒng)的安全漏洞幾乎所有的操作系統(tǒng)都不是十全十美的，總存在安全漏洞。 在WindowsNT中，安全賬戶管理(SAM)數(shù)據(jù)庫可以被以下用戶復(fù)制：Administrator賬戶、Administrator組的所有成員、備份操作員、服務(wù)器操作員以及所有具有備份特權(quán)的人員。SAM數(shù)據(jù)庫的一個(gè)備份拷貝能夠被某些工具所利用來破解口令。

WindowsNT對較大的ICMP包是很脆弱的。如果發(fā)一條Ping命令，指定包的大小為64KB，WindowsNT的TCP/IP棧將不會正常工作，可使系統(tǒng)離線直至重新啟動，結(jié)果造成某些服務(wù)的拒絕訪問。2023/2/314計(jì)算機(jī)網(wǎng)絡(luò)安全2.1.5操作系統(tǒng)的安全漏洞從操作系統(tǒng)的等級來看，WindowsXP仍然是C級操作系統(tǒng)，即是一個(gè)安全等級比較低的操作系統(tǒng)。

WindowsXP發(fā)布后，與之有關(guān)的漏洞有：通用即插即用(UPnP)拒絕服務(wù)漏洞、GDI拒絕服務(wù)漏洞、終端服務(wù)IP地址欺騙漏洞。要想絕對避免軟件漏洞是不可能的！2023/2/315計(jì)算機(jī)網(wǎng)絡(luò)安全2.2用戶安全配置主要有10類，分別描述如下：新建用戶 帳號便于記憶與使用，而密碼則要求有一定的長度與復(fù)雜度。2023/2/316計(jì)算機(jī)網(wǎng)絡(luò)安全2．帳戶授權(quán) 對不同的帳戶進(jìn)行授權(quán)，使其擁有和身份相應(yīng)的權(quán)限。2.2用戶安全配置2023/2/317計(jì)算機(jī)網(wǎng)絡(luò)安全3．停用Guest用戶 把Guest賬號禁用，并且修改Guest帳號的屬性,設(shè)置拒絕遠(yuǎn)程訪問。2.2用戶安全配置2023/2/318計(jì)算機(jī)網(wǎng)絡(luò)安全4．系統(tǒng)Administrator賬號改名 防止管理員賬號密碼被窮舉，偽裝成普通用戶。2.2用戶安全配置2023/2/319計(jì)算機(jī)網(wǎng)絡(luò)安全5．創(chuàng)建一個(gè)陷阱用戶 將管理員賬號權(quán)限設(shè)置最低，延緩攻擊企圖。2.2用戶安全配置2023/2/320計(jì)算機(jī)網(wǎng)絡(luò)安全6．更改默認(rèn)權(quán)限 將共享文件的權(quán)限從“Everyone”改成“授權(quán)用戶。2.2用戶安全配置2023/2/321計(jì)算機(jī)網(wǎng)絡(luò)安全7．不顯示上次登錄用戶名 防止密碼猜測，打開注冊表編輯器并找到注冊表項(xiàng)“HKEY_CURRENT\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont-DisplayLastUserName”，把REG_SZ的鍵值改成1。2.2用戶安全配置2023/2/322計(jì)算機(jī)網(wǎng)絡(luò)安全8．限制用戶數(shù)量 減少入侵突破口，賬戶數(shù)不大于10

。9．多個(gè)管理員帳號 減少管理員賬號使用時(shí)間，避免被破解。 創(chuàng)建一個(gè)一般用戶權(quán)限帳號用來處理電子郵件及處理一些日常事務(wù)，創(chuàng)建另一個(gè)有Administrator權(quán)限的帳戶在需要的時(shí)候使用。2.2用戶安全配置2023/2/323計(jì)算機(jī)網(wǎng)絡(luò)安全10．開啟用戶策略可以有效的防止字典式攻擊。 當(dāng)某一用戶連續(xù)5次錄都失敗后將自動鎖定該帳戶，30分鐘后自動復(fù)位被鎖定的帳戶。2.2用戶安全配置2023/2/324計(jì)算機(jī)網(wǎng)絡(luò)安全2.3密碼安全配置主要有4類，分別描述如下：安全密碼創(chuàng)建帳號時(shí)不用公司名、計(jì)算機(jī)名、或者一些別的容易猜到的字符做用戶名，密碼設(shè)置要復(fù)雜。 安全期內(nèi)無法破解出來的密碼就是安全密碼（密碼策略是42天必須改密碼）。2023/2/325計(jì)算機(jī)網(wǎng)絡(luò)安全2．開啟密碼策略對不同的帳戶進(jìn)行授權(quán)，使其擁有和身份相應(yīng)的權(quán)限。策略設(shè)置要求密碼復(fù)雜性要求啟用數(shù)字和字母組合密碼最小值6位長度至少為6密碼最長存留期15天超期要求改密碼強(qiáng)制密碼歷史5次不能設(shè)置相同密碼2.3密碼安全配置2023/2/326計(jì)算機(jī)網(wǎng)絡(luò)安全3．設(shè)置屏幕保護(hù)密碼 防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。注意不要使用OpenGL和一些復(fù)雜的屏幕保護(hù)程序浪費(fèi)系統(tǒng)資源，黑屏就可以了。2.3密碼安全配置2023/2/327計(jì)算機(jī)網(wǎng)絡(luò)安全4．加密文件或文件夾 用加密工具來保護(hù)文件和文件夾，以防別人偷看。2.3密碼安全配置2023/2/328計(jì)算機(jī)網(wǎng)絡(luò)安全2.4系統(tǒng)安全配置主要有11類，分別描述如下：使用NTFS格式分區(qū)所有分區(qū)都改成NTFS格式，NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。2023/2/329計(jì)算機(jī)網(wǎng)絡(luò)安全2．運(yùn)行防毒軟件不僅可殺掉一些著名的病毒，還能查殺大量木馬和后門程序。要注意經(jīng)常運(yùn)行程序并升級病毒庫。2.4系統(tǒng)安全配置2023/2/330計(jì)算機(jī)網(wǎng)絡(luò)安全3．下載最新的補(bǔ)丁 經(jīng)常訪問微軟和一些安全站點(diǎn)，下載最新的ServicePack和漏洞補(bǔ)丁。2.4系統(tǒng)安全配置2023/2/331計(jì)算機(jī)網(wǎng)絡(luò)安全4．關(guān)閉默認(rèn)共享防止利用默認(rèn)共享入侵。默認(rèn)共享目錄路徑說明C$D$E$分區(qū)的根目錄Win2003AdvancedServer版中，只有Administrator和BackupOperators級成員才可連接，Win2000Server版本ServerOperators組也可以連接到這些共享目錄ADMIN$%SYSTEMTOOT%遠(yuǎn)程管理用的共享目錄。它的路徑永遠(yuǎn)都指向WIN2003的安裝路徑，比如C：\\winntIPC$

IPC$共享提供了登的能力PRIN$SYSTEM32\SPOOL\DRIVERS用戶遠(yuǎn)程管理打印機(jī)2.4系統(tǒng)安全配置2023/2/332計(jì)算機(jī)網(wǎng)絡(luò)安全5．鎖定注冊表防止黑客從遠(yuǎn)程訪問注冊表。修改Hkey_current_user下的子鍵：Software\Microsoft\windows\currentversion\policies\system，把DisableRegistryTools值改為0，類型為DWORD。2.4系統(tǒng)安全配置2023/2/333計(jì)算機(jī)網(wǎng)絡(luò)安全6．禁止從軟盤和光驅(qū)啟動系統(tǒng) 一些第三方的工具能通過引導(dǎo)系統(tǒng)來繞過原有的安全機(jī)制。利用安全配置工具來配置安全策略利用基于MMC（管理控制臺）安全配置和分析工具配置服務(wù)器。

/windows2000/techinfo/howitworks/security/sctoolset.asp

2.4系統(tǒng)安全配置2023/2/334計(jì)算機(jī)網(wǎng)絡(luò)安全8．開啟審核策略用安全審核來記錄入侵日志。策略設(shè)置審核系統(tǒng)登錄事件成功、失敗審核帳戶管理成功、失敗審核登錄事件成功、失敗審核對象訪問成功審核策略更改成功、失敗審核特權(quán)使用成功、失敗審核系統(tǒng)事件成功、失敗2.4系統(tǒng)安全配置2023/2/335計(jì)算機(jī)網(wǎng)絡(luò)安全9．加密Temp文件夾

給Temp文件夾加密可以給文件多一層保護(hù)。10．使用智能卡

用智能卡來代替復(fù)雜的密碼。11．使用IPSec

提供IP數(shù)據(jù)包的安全性。它提供身份驗(yàn)證、完整性和可選擇的機(jī)密性。

利用IPSec可以使得系統(tǒng)的安全性能大大增強(qiáng)。IPsec在IP層提供安全服務(wù)，它使系統(tǒng)能按需選擇安全協(xié)議，決定服務(wù)所使用的算法及放置需求服務(wù)所需密鑰到相應(yīng)位置。IPsec用來保護(hù)一條或多條主機(jī)與主機(jī)間、安全網(wǎng)關(guān)與安全網(wǎng)關(guān)間、安全網(wǎng)關(guān)與主機(jī)間的路徑。這些服務(wù)均在IP層提供，所以任何高層協(xié)議均能使用它們，例如TCP、UDP、ICMP、BGP等等。2.4系統(tǒng)安全配置2023/2/336計(jì)算機(jī)網(wǎng)絡(luò)安全2.5服務(wù)安全配置主要有5類，分別描述如下：關(guān)閉不必要的端口 減少被入侵的算途徑，系統(tǒng)目錄中的system32\drivers\etc\services文件中有知名端口和服務(wù)的對照表可供參考。 如何設(shè)置本機(jī)開放的端口和服務(wù)？2023/2/337計(jì)算機(jī)網(wǎng)絡(luò)安全2.5服務(wù)安全配置2023/2/338計(jì)算機(jī)網(wǎng)絡(luò)安全2．設(shè)置好安全記錄的訪問權(quán)限 安全記錄在默認(rèn)情況下是沒有保護(hù)的，把它設(shè)置成只有Administrators和系統(tǒng)賬戶才有權(quán)訪問。2.5服務(wù)安全配置2023/2/339計(jì)算機(jī)網(wǎng)絡(luò)安全3．備份敏感文件 有必要把一些重要的用戶數(shù)據(jù)（存放在另外一個(gè)安全的服務(wù)器中，并且經(jīng)常備份它們。4．禁止建立空連接 默認(rèn)情況下，任何用戶都可通過空連接連上服務(wù)器，進(jìn)而枚舉出賬號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：即把Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成“1”即可。2.5服務(wù)安全配置2023/2/340計(jì)算機(jī)網(wǎng)絡(luò)安全5．關(guān)閉不必要的服務(wù) 防止惡意程序以服務(wù)方式悄悄地運(yùn)行服務(wù)器上的終端服務(wù)，要確認(rèn)已經(jīng)正確配置了終端服務(wù)。

Windows2000作為服務(wù)器可禁用的服務(wù)及其相關(guān)說明如表所示。2.5服務(wù)安全配置2023/2/341計(jì)算機(jī)網(wǎng)絡(luò)安全2.6注冊表配置涉及到5類注冊表配置，如下：1．關(guān)機(jī)時(shí)清除文件 頁面文件中可能含有另外一些敏感產(chǎn)資料，因此要在關(guān)機(jī)的時(shí)候清除頁面文件。 編輯注冊表修改主鍵HKEY_LOCAL_MACHINE下的子鍵System\CurrentControlSet\Control\Control\SessionManage/MemoryManagement把ClearPageFileAtShutdown的值設(shè)置成1。2023/2/342計(jì)算機(jī)網(wǎng)絡(luò)安全2．關(guān)閉DirectDraw C2級安全標(biāo)準(zhǔn)對視頻和內(nèi)存有一定要求。關(guān)閉DirectDraw可能對一些需要用到Directx程序有影響(比如游戲)，但是對于絕大多數(shù)的商業(yè)站點(diǎn)是沒有影響的。 修改主鍵HKEY_LOCAL_MACHINE下的子鍵System\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout將鍵值設(shè)置成0。2.6注冊表配置2023/2/343計(jì)算機(jī)網(wǎng)絡(luò)安全3．禁止判斷主機(jī)類型 黑客可利用TTL（TimeToLive，生存時(shí)間）值可以鑒別操作系統(tǒng)的類型，通過Ping指令能判斷目標(biāo)主機(jī)類型。2.6注冊表配置2023/2/344計(jì)算機(jī)網(wǎng)絡(luò)安全 修改主鍵HKEY_LOCAL_MACHINE下的子鍵System\CurrentControlSet\Services\Tcpip\Parameters，新建一個(gè)雙字節(jié)項(xiàng)，在鍵的名稱中輸入“defaultTTL”，然后雙擊該鍵名，選擇“十進(jìn)制”，在“數(shù)位數(shù)據(jù)”文本框中輸入100。設(shè)置完畢后需要重新啟動計(jì)算機(jī)。2.6注冊表配置2023/2/345計(jì)算機(jī)網(wǎng)絡(luò)安全4．抵抗DDOS 添加注冊表的一些鍵值，可以有效的抵抗DDOS（分布式拒絕服務(wù)）的攻擊。在鍵值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters下增加響應(yīng)的鍵及其說明。2.6注冊表配置2023/2/346計(jì)算機(jī)網(wǎng)絡(luò)安全5．禁止Guest訪問日志 Guest和匿名用戶可以查看系統(tǒng)的事件日志，這可能導(dǎo)致許多重要的信息的泄漏。

1）禁止Guest訪問應(yīng)用日志 在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application下添加鍵值名稱為“RestrictGuestAccess”，類型為“DWORD”，將值設(shè)置為1。2.6注冊表配置2023/2/347計(jì)算機(jī)網(wǎng)絡(luò)安全

2）禁止Guest訪問系統(tǒng)日志 在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System下添加鍵值名稱為“RestrictGuestAccess”，類型為“DWORD”，將值設(shè)置為1。

3）禁止Guest訪問安全日志 在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Security下添加鍵值名稱為“RestrictGuestAccess”，類型為“DWORD”，將值設(shè)置為1。2.6注冊表配置2023/2/348計(jì)算機(jī)網(wǎng)絡(luò)安全2.7數(shù)據(jù)恢復(fù)軟件當(dāng)數(shù)