《操作系統(tǒng)安全配置》

第二章 操作系統(tǒng)平安配置操作系統(tǒng)的概念、平安評(píng)估操作系統(tǒng)的用戶平安設(shè)置操作系統(tǒng)的密碼平安設(shè)置操作系統(tǒng)的系統(tǒng)平安設(shè)置操作系統(tǒng)的效勞平安設(shè)置操作系統(tǒng)的注冊(cè)表平安設(shè)置本章要點(diǎn)：

3/15/20241.2.1操作系統(tǒng)的平安問題操作系統(tǒng)的平安是整個(gè)計(jì)算機(jī)系統(tǒng)平安的根底。操作系統(tǒng)平安防護(hù)研究，通常包括： 1〕提供什么樣的平安功能和平安效勞 2〕采取什么樣的配置措施 3〕如何保證效勞得到平安配置3/15/20242.2.1.1操作系統(tǒng)平安概念一般意義上，如果說(shuō)一個(gè)計(jì)算機(jī)系統(tǒng)是平安的，那么是指該系統(tǒng)能夠控制外部對(duì)系統(tǒng)信息的訪問。也就是說(shuō)，只有經(jīng)過授權(quán)的用戶或代表該用戶運(yùn)行的進(jìn)程才能讀、寫、創(chuàng)立或刪除信息。3/15/20243.操作系統(tǒng)的平安通常包含兩層意思： 1)操作系統(tǒng)在設(shè)計(jì)時(shí)通過權(quán)限訪問控制、信息加密性保護(hù)、完整性鑒定等一些機(jī)制實(shí)現(xiàn)的平安； 2)操作系統(tǒng)在使用中，通過一系列的配置，保證操作系統(tǒng)防止由于實(shí)現(xiàn)時(shí)的缺陷或是應(yīng)用環(huán)境因素產(chǎn)生的不平安因素。3/15/20244.2.1.2計(jì)算機(jī)操作系統(tǒng)平安評(píng)估美國(guó)可信計(jì)算機(jī)平安評(píng)估標(biāo)準(zhǔn)〔TCSEC〕，是計(jì)算機(jī)系統(tǒng)平安評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)。TCSEC將計(jì)算機(jī)系統(tǒng)的平安劃分為4個(gè)等級(jí)、8個(gè)級(jí)別。3/15/20245.2.1.3國(guó)內(nèi)的平安操作系統(tǒng)評(píng)估?計(jì)算機(jī)信息平安保護(hù)等級(jí)劃分準(zhǔn)那么?將計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分為五個(gè)級(jí)別：1. 用戶自主保護(hù)級(jí)本級(jí)的平安保護(hù)機(jī)制使用戶具備自主平安保護(hù)能力，保護(hù)用戶和用戶組信息，防止其他用戶對(duì)數(shù)據(jù)的非法讀寫和破壞。3/15/20246.2.系統(tǒng)審計(jì)保護(hù)級(jí)本級(jí)的平安保護(hù)機(jī)制具備第一級(jí)的所有平安保護(hù)功能，并創(chuàng)立、維護(hù)訪問審計(jì)跟蹤記錄，以記錄與系統(tǒng)平安相關(guān)事件發(fā)生的日期、時(shí)間、用戶和事件類型等信息，使所有用戶對(duì)自己行為的合法性負(fù)責(zé)。3.平安標(biāo)記保護(hù)級(jí)本級(jí)的平安保護(hù)機(jī)制有系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能，并為訪問者和訪問對(duì)象指定平安標(biāo)記，以訪問對(duì)象標(biāo)記的平安級(jí)別限制訪問者的訪問權(quán)限，實(shí)現(xiàn)對(duì)訪問對(duì)象的強(qiáng)制保護(hù)。3/15/20247.4.結(jié)構(gòu)化保護(hù)級(jí)本級(jí)具備第3級(jí)的所有平安功能。并將平安保護(hù)機(jī)制劃分成關(guān)鍵局部和非關(guān)鍵局部相結(jié)合的結(jié)構(gòu)，其中關(guān)鍵局部直接控制訪問者對(duì)訪問對(duì)象的存取。本級(jí)具有相當(dāng)強(qiáng)的抗?jié)B透能力。5.平安域級(jí)保護(hù)級(jí)本級(jí)的平安保護(hù)機(jī)制具備第4級(jí)的所有功能，并特別增設(shè)訪問驗(yàn)證功能，負(fù)責(zé)仲裁訪問者對(duì)訪問對(duì)象的所有訪問活動(dòng)。本級(jí)具有極強(qiáng)的抗?jié)B透能力。3/15/20248.2.1.4操作系統(tǒng)的平安配置操作系統(tǒng)平安配置主要是指： 1〕操作系統(tǒng)訪問控制權(quán)限的恰當(dāng)設(shè)置 2〕系統(tǒng)的及時(shí)更新 3〕對(duì)于攻擊的防范3/15/20249.2.1.5操作系統(tǒng)的平安漏洞幾乎所有的操作系統(tǒng)都不是十全十美的，總存在平安漏洞。 WindowsNT:SAM、ICMP WindowsXP：UPnP、GDI拒絕效勞、終端效勞IP地址欺騙要想絕對(duì)防止軟件漏洞是不可能的！3/15/202410.2.2用戶平安配置主要有10類，分別描述如下：新建用戶 帳號(hào)便于記憶與使用，而密碼那么要求有一定的長(zhǎng)度與復(fù)雜度。3/15/202411.2．帳戶授權(quán)

對(duì)不同的帳戶進(jìn)行授權(quán)，使其擁有和身份相應(yīng)的權(quán)限。

3/15/202412.3．停用Guest用戶 把Guest賬號(hào)禁用，并且修改Guest帳號(hào)的屬性,設(shè)置拒絕遠(yuǎn)程訪問

。

3/15/202413.4．系統(tǒng)Administrator賬號(hào)改名 防止管理員賬號(hào)密碼被窮舉，偽裝成普通用戶。

3/15/202414.5．創(chuàng)立一個(gè)陷阱用戶 將管理員賬號(hào)權(quán)限設(shè)置最低，延緩攻擊企圖。3/15/202415.6．更改默認(rèn)權(quán)限 將共享文件的權(quán)限從“Everyone〞改成“授權(quán)用戶。3/15/202416.7．不顯示上次登錄用戶名 防止密碼猜測(cè)，翻開注冊(cè)表編輯器并找到注冊(cè)表項(xiàng)“HKEY_CURRENT\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont-DisplayLastUserName〞，把REG_SZ的鍵值改成1。3/15/202417.8．限制用戶數(shù)量 減少入侵突破口，賬戶數(shù)不大于10(二進(jìn)制)。9．多個(gè)管理員帳號(hào) 減少管理員賬號(hào)使用時(shí)間，防止被破解。 創(chuàng)立一個(gè)一般用戶權(quán)限帳號(hào)用來(lái)處理電子郵件及處理一些日常事務(wù)，創(chuàng)立另一個(gè)有Administrator權(quán)限的帳戶在需要的時(shí)候使用。3/15/202418.10．開啟用戶策略 可以有效的防止字典式攻擊

。

當(dāng)某一用戶連續(xù)5次錄都失敗后將自動(dòng)鎖定該帳戶，30分鐘后自動(dòng)復(fù)位被鎖定的帳戶。

3/15/202419.2.3密碼平安配置主要有4類，分別描述如下：平安密碼 創(chuàng)立帳號(hào)時(shí)不用公司名、計(jì)算機(jī)名、或者一些別的容易猜到的字符做用戶名，密碼設(shè)置要復(fù)雜。 平安期內(nèi)無(wú)法破解出來(lái)的密碼就是平安密碼〔密碼策略是42天必須改密碼〕。3/15/202420.2．開啟密碼策略

對(duì)不同的帳戶進(jìn)行授權(quán)，使其擁有和身份相應(yīng)的權(quán)限。

策略設(shè)置要求密碼復(fù)雜性要求啟用數(shù)字和字母組合密碼最小值6位長(zhǎng)度至少為6密碼最長(zhǎng)存留期15天超期要求改密碼強(qiáng)制密碼歷史5次不能設(shè)置相同密碼3/15/202421.3．設(shè)置屏幕保護(hù)密碼 防止內(nèi)部人員破壞效勞器的一個(gè)屏障。注意不要使用OpenGL和一些復(fù)雜的屏幕保護(hù)程序浪費(fèi)系統(tǒng)資源，黑屏就可以了。3/15/202422.4．加密文件或文件夾 用加密工具來(lái)保護(hù)文件和文件夾，以防別人偷看

。

3/15/202423.2.4系統(tǒng)平安配置主要有11類，分別描述如下：使用NTFS格式分區(qū) 所有分區(qū)都改成NTFS格式，NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)平安得多。3/15/202424.2．運(yùn)行防毒軟件

不僅可殺掉一些著名的病毒，還能查殺大量木馬和后門程序。要注意經(jīng)常運(yùn)行程序并升級(jí)病毒庫(kù)。3/15/202425.3．下載最新的補(bǔ)丁 經(jīng)常訪問微軟和一些平安站點(diǎn)，下載最新的ServicePack和漏洞補(bǔ)丁。3/15/202426.4．關(guān)閉默認(rèn)共享 防止利用默認(rèn)共享入侵。

默認(rèn)共享目錄路徑說(shuō)明C$D$E$分區(qū)的根目錄Win2003AdvancedServer版中，只有Administrator和BackupOperators級(jí)成員才可連接，Win2000Server版本ServerOperators組也可以連接到這些共享目錄ADMIN$%SYSTEMTOOT%遠(yuǎn)程管理用的共享目錄。它的路徑永遠(yuǎn)都指向WIN2003的安裝路徑，比如C：\\winntIPC$

IPC$共享提供了登的能力PRIN$SYSTEM32\SPOOL\DRIVERS用戶遠(yuǎn)程管理打印機(jī)3/15/202427.5．鎖定注冊(cè)表 防止黑客從遠(yuǎn)程訪問注冊(cè)表。修改Hkey_current_user下的子鍵：Software\Microsoft\windows\currentversion\policies\system，把DisableRegistryTools值改為0，類型為DWORD。3/15/202428.6．禁止從軟盤和光驅(qū)啟動(dòng)系統(tǒng) 一些第三方的工具能通過引導(dǎo)系統(tǒng)來(lái)繞過原有的平安機(jī)制。利用平安配置工具來(lái)配置平安策略利用基于MMC〔管理控制臺(tái)〕平安配置和分析工具配置效勞器。 ://microsoft/windows2000/techinfo/howitworks/security/sctoolset.asp3/15/202429.8．開啟審核策略 用平安審核來(lái)記錄入侵日志。策略設(shè)置審核系統(tǒng)登錄事件成功、失敗審核帳戶管理成功、失敗審核登錄事件成功、失敗審核對(duì)象訪問成功審核策略更改成功、失敗審核特權(quán)使用成功、失敗審核系統(tǒng)事件成功、失敗3/15/202430.9．加密Temp文件夾 給Temp文件夾加密可以給文件多一層保護(hù)。10．使用智能卡 用智能卡來(lái)代替復(fù)雜的密碼。11．使用IPSec 提供IP數(shù)據(jù)包的平安性。它提供身份驗(yàn)證、完整性和可選擇的機(jī)密性。 利用IPSec可以使得系統(tǒng)的平安性能大大增強(qiáng)。3/15/202431.2.5效勞平安配置主要有5類，分別描述如下：關(guān)閉不必要的端口 減少被入侵的算途徑，系統(tǒng)目錄中的system32\drivers\etc\services文件中有知名端口和效勞的對(duì)照表可供參考。 如何設(shè)置本機(jī)開放的端口和效勞？3/15/202432.3/15/202433.2．設(shè)置好平安記錄的訪問權(quán)限 平安記錄在默認(rèn)情況下是沒有保護(hù)的，把它設(shè)置成只有Administrators和系統(tǒng)賬戶才有權(quán)訪問。3/15/202434.3．備份敏感文件 有必要把一些重要的用戶數(shù)據(jù)〔存放在另外一個(gè)平安的效勞器中，并且經(jīng)常備份它們。4．禁止建立空連接 默認(rèn)情況下，任何用戶都可通過空連接連上效勞器，進(jìn)而枚舉出賬號(hào)，猜測(cè)密碼。我們可以通過修改注冊(cè)表來(lái)禁止建立空連接：即把Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成“1〞即可。3/15/202435.5．關(guān)閉不必要的效勞 防止惡意程序以效勞方式悄悄地運(yùn)行效勞器上的終端效勞，要確認(rèn)已經(jīng)正確配置了終端效勞。 Windows2000作為效勞器可禁用的效勞及其相關(guān)說(shuō)明如表所示。3/15/202436.2.6注冊(cè)表配置涉及到5類注冊(cè)表配置，如下：1．關(guān)機(jī)時(shí)去除文件 頁(yè)面文件中可能含有另外一些敏感產(chǎn)資料，因此要在關(guān)機(jī)的時(shí)候去除頁(yè)面文件。 編輯注冊(cè)表修改主鍵HKEY_LOCAL_MACHINE下的子鍵System\CurrentControlSet\Control\Control\SessionManage/MemoryManagement把ClearPageFileAtShutdown的值設(shè)置成1。3/15/202437.2．關(guān)閉DirectDraw C2級(jí)平安標(biāo)準(zhǔn)對(duì)視頻和內(nèi)存有一定要求。關(guān)閉DirectDraw可能對(duì)一些需要用到Directx程序有影響(比方游戲)，但是對(duì)于絕大多數(shù)的商業(yè)站點(diǎn)是沒有影響的。 修改主鍵HKEY_LOCAL_MACHINE下的子鍵System\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout將鍵值設(shè)置成0。3/15/202438.3．禁止判斷主機(jī)類型 黑客可利用TTL〔TimeToLive，生存時(shí)間〕值可以鑒別操作系統(tǒng)的類型，通過Ping指令能判斷目標(biāo)主機(jī)類型。3/15/202439. 修改主鍵HKEY_LOCAL_MACHINE下的子鍵System\CurrentControlSet\Services\Tcpip\Parameters，新建一個(gè)雙字節(jié)項(xiàng)，在鍵的名稱中輸入“defaultTTL〞，然后雙擊該鍵名，選擇“十進(jìn)制〞，在“數(shù)位數(shù)據(jù)〞文本框中輸入100。設(shè)置完畢后需要重新啟動(dòng)計(jì)算機(jī)。3/15/202440.4．抵抗DDOS 添加注冊(cè)表的一些鍵值，可以有效的抵抗DDOS〔分布式拒絕效勞〕的攻擊。在鍵值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters下增加響應(yīng)的鍵及其說(shuō)明。3/15/202441.5．禁止Guest訪問日志 Guest和匿名用戶可以查看系統(tǒng)的事件日志，這可能導(dǎo)致許多重要的信息的泄漏。 1〕禁止Guest訪問應(yīng)用日志 在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application下添加鍵值名稱為“RestrictGuestAccess〞，類型為“DWORD〞，將值設(shè)置為1。3/15/202442. 2〕禁止Guest訪問系統(tǒng)日志 在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System下添加鍵值名稱為“RestrictGuestAccess〞，類型為“DWORD〞，將值設(shè)置為1。 3〕禁止Guest訪問平安日志 在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Security下添加鍵值名稱為“RestrictGuestAccess〞，類型為“DWORD〞，將值設(shè)置為1。3/15/202443.2.7數(shù)據(jù)恢復(fù)軟件當(dāng)數(shù)據(jù)被病毒或者入侵者破壞后，可以利用數(shù)據(jù)恢復(fù)軟件找回局部被刪除的數(shù)據(jù)。比較著名的有FinalData，EasyRecovery等。我們介紹一下FinalData。注意：原來(lái)的磁盤扇區(qū)被寫上了新的文件，這些數(shù)據(jù)就不能完全恢復(fù)！3/15/202444. 原來(lái)D盤上有一些文件數(shù)據(jù)文件，現(xiàn)在被黑客刪除了，如何恢復(fù)？選擇“文件