第2章操作系统安全配置ppt课件.ppt

网络安全与管理,主讲： 林海平Email: LHPXYPA126.COM电话： 88373406,Windows系统安全配置,操作系统安全评估 操作系统漏洞扫描 操作系统安全解决方案,2.1 操作系统的安全问题,操作系统的安全是整个计算机系统安全的基础。操作系统安全防护研究，通常包括：1）提供什么样的安全功能和安全服务2）采取什么样的配置措施 3）如何保证服务得到安全配置,2.1.1 操作系统安全概念,一般意义上，如果说一个计算机系统是安全的，那么是指该系统能够控制外部对系统信息的访问。也就是说，只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。,操作系统的安全通常包含两层意思：1)操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等一些机制实现的安全；2)操作系统在使用中，通过一系列的配置，保证操作系统避免由于实现时的缺陷或是应用环境因素产生的不安全因素。,2.1.2 计算机操作系统安全评估,美国可信计算机安全评估标准（TCSEC），是计算机系统安全评估的第一个正式标准。,2.1.3 国内的安全操作系统评估,计算机信息安全保护等级划分准则将计算机信息系统安全保护等级划分为五个级别：1.用户自主保护级 本级的安全保护机制使用户具备自主安全保护能力，保护用户和用户组信息，避免其他用户对数据的非法读写和破坏。 2. 系统审计保护级 本级的安全保护机制具备第一级的所有安全保护功能，并创建、维护访问审计跟踪记录，以记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，使所有用户对自己行为的合法性负责。3. 安全标记保护级 本级的安全保护机制有系统审计保护级的所有功能，并为访问者和访问对象指定安全标记，以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。,4. 结构化保护级 本级具备第3级的所有安全功能。并将安全保护机制划分成关键部分和非关键部分相结合的结构，其中关键部分直接控制访问者对访问对象的存取。本级具有相当强的抗渗透能力。5. 安全域级保护级 本级的安全保护机制具备第4级的所有功能，并特别增设访问验证功能，负责仲裁访问者对访问对象的所有访问活动。本级具有极强的抗渗透能力。,2.2 使用MBSA扫描系统漏洞,微软的基线安全分析器 MBSA（Microsoft Baseline Security Analyzer) 对windows的各种操作系统和服务器执行本地或者远程扫描，发现常见的安全漏洞、错误的服务器配置等 http:/,2.3 操作系统安全解决方案,及时打补丁操作系统的用户安全设置 操作系统的密码安全设置 操作系统的系统安全设置 操作系统的服务安全设置 操作系统的注册表安全设置,2.3.1 用户安全配置,主要有10类，分别描述如下：新建用户 账号便于记忆与使用，而密码则要求有一定的长度与复杂度。,2账户授权对不同的账户进行授权，使其拥有和身份相应的权限。,3停用Guest用户 把Guest账号禁用，并且修改Guest账号的属性,设置拒绝远程访问 。,4系统Administrator账号改名 防止管理员账号密码被穷举，伪装成普通用户。,5创建一个陷阱用户 将管理员账号权限设置最低，延缓攻击企图。,6更改默认权限将共享文件的权限从“Everyone”改成“授权用户 。,7不显示上次登录用户名 防止密码猜测，打开注册表编辑器：在运行窗口中输入：regedit 并找到注册表项 “HKEY_CURRENTSoftwareMicrosoftWindows NT CurrentVersionWinlogonDont-DisplayLastUserName ”， 把REG_SZ的键值改成1。,8限制用户数量 减少入侵突破口，账户数不大于10 。 9多个管理员账号 减少管理员账号使用时间，避免被破解 。创建一个一般用户权限账号用来处理电子邮件及处理一些日常事务，创建另一个有Administrator权限的账户在需要的时候使用。,10开启用户策略 可以有效的防止字典式攻击 。 当某一用户连续5次登录都失败后将自动锁定该账户，30分钟后自动复位被锁定的账户。,2.3.2 密码安全配置,安全密码 创建账号时不用公司名、计算机名、或者一些别的容易猜到的字符做用户名，密码设置要复杂。安全期内无法破解出来的密码就是安全密码（密码策略是42天必须改密码） 。,2开启密码策略 对不同的账户进行授权，使其拥有和身份相应的权限。,3设置屏幕保护密码 防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序浪费系统资源，黑屏就可以了 。,4加密文件或文件夹 用加密工具来保护文件和文件夹，以防别人偷看 。,5.设置系统启动密码运行:syskey,2.3.3 系统安全配置,使用NTFS格式分区 所有分区都改成NTFS格式，NTFS文件系统要比FAT、FAT32的文件系统安全得多。 convert d:/fs:ntfs 硬盘无损分区工具Partition Magic,2关闭默认共享 防止利用默认共享入侵。 查看共享：net share, 设置：计算机管理窗口,3锁定注册表 防止黑客从远程访问注册表。修改Hkey_current_user下的子键：SoftwareMicrosoftwindowscurrentversionpoliciessystem，把DisableRegistryTools值改为0，类型为DWORD。,4禁止从软盘和光驱启动系统 一些第三方的工具能通过引导系统来绕过原有的安全机制 。 5. 利用安全配置工具来配置安全策略 利用基于MMC（管理控制台）安全配置和分析工具配置服务器。打开组策略编辑器：gpedit.msc,6开启审核策略 用安全审核来记录入侵日志。,2.2.4 服务安全配置,关闭不必要的端口 减少被入侵的途径，系统目录中的system32driversetcservices文件中有知名端口和服务的对照表可供参考。如何设置本机开放的端口和服务？,2设置好安全记录的访问权限 安全记录在默认情况下是没有保护的，把它设置成只有Administrators和系统账户才有权访问。,3备份敏感文件 有必要把一些重要的用户数据（存放在另外一个安全的服务器中，并且经常备份它们。 4禁止建立空连接 默认情况下，任何用户都可通过空连接连上服务器，进而枚举出账号，猜测密码。我们可以通过修改注册表来禁止建立空连接：即把Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous的值改成“1”即可。,5关闭不必要的服务 防止恶意程序以服务方式悄悄地运行服务器上的终端服务，要确认已经正确配置了终端服务。Windows 2000作为服务器可禁用的服务及其相关说明如表所示。,2.2.5 注册表配置,1关机时清除文件 页面文件也就是高度文件，是windows中用来存储没有装入内存的程序和数据文件部分的隐藏文件。 页面文件中可能含有另外一些敏感产资料，因此要在关机的时候清除页面文件。 编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键 SystemCurrentControlSetControlControlSessionManage/Memory Management 把ClearPageFileAtShutdown的值设置成1。,2关闭DirectDraw C2级安全标准对视频和内存有一定要求。关闭DirectDraw可能对一些需要用到Directx程序有影响(比如游戏)，但是对于绝大多数的商业站点是没有影响的。修改主键HKEY_LOCAL_MACHINE下的子键 SystemCurrentControlSetControlGraphicsDriversDCITimeout 将键值设置成0。,3禁止判断主机类型 黑客可利用TTL（Time To Live，生存时间）值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。,修改主键HKEY_LOCAL_MACHINE下的子键 SystemCurrentControlSetServicesTcpipParameters，新建一个双字节项，在键的名称中输入“defaultTTL”，然后双击该键名，选择“十进制”，在“数位数据”文本框中输入100。设置完毕后需要重新启动计算机。,4抵抗DDOS添加注册表的一些键值，可以有效的抵抗DDOS（分布式拒绝服务）的攻击。在键值HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters下增加响应的键及其说明。,5禁止Guest访问日志 Guest和匿名用户可以查看系统的事件日志，这可能导致许多重要的信息的泄漏。1）禁止Guest访问应用日志 在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogApplication下添加键值名称为“RestrictGuestAccess”，类型为“DWORD”，将值设置为1。,2）禁止Guest访问系统日志 在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogSystem下添加键值名称为“RestrictGuestAccess”，类型为“DWORD”，将值设置为1。 3）禁止Guest访问安全日志 在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogSecurity下添加键值名称为“RestrictGuestAccess”，类型为“DWORD”，将值设置为1。,注册表备份与恢复,2.2.6 数据恢复软件,当数据被病毒或者入侵者破坏后，可以利用数据恢复软件找回部分被删除的数据 。比较著名的有FinalData，EasyRecovery等。我们介绍一下FinalData。注意：原来的磁盘扇区被写上了新的文件，这些数据就不能完全恢复！,原来D盘上有一些文件数据文件，现在被黑客删除了，如何恢复？选择“文件”菜单，单击“打开”按钮，出现当前系统的分区情况，可以选择需要恢复数据的分区，在这里选择D盘。,选择分区后，软件对指定的分区的数据和目录进行扫描。扫描完成后，选择查找的扇区范围。,扫描完成后，选择查找的扇区范围。,扫描的结果，在软件左侧按目录、文件等进行分类。单击后内容出现在右侧中，下图所示是已经被删除的目录，曾经被删除的文件。,选中某个文件或者文件夹，单击右键，出现一个恢复按钮，然后单击“恢复”按钮，就可恢复被删除的文件或文件夹了。,小 结,第一部分首先介绍了网络操作系统的有关知识，并分析了的国内和国外安全操作系统的评估标准。第二部分主要介绍了Windows 2000的安全配置，分为用户安全设置、密码安全设置、系统安全设置、服务安全设置、注册表配置等五个方面共35项。,习 题,1.举出2-3个Windows Server 2003系统漏洞。通过什么方法能够将系统漏洞堵住？ 2.简述Windows平台上常采用的安全措施有哪些？,