第二講操作系統(tǒng)安全配置_第1頁
第二講操作系統(tǒng)安全配置_第2頁
第二講操作系統(tǒng)安全配置_第3頁
第二講操作系統(tǒng)安全配置_第4頁
第二講操作系統(tǒng)安全配置_第5頁
已閱讀5頁,還剩51頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

第二章 操作系統(tǒng)安全配置操作系統(tǒng)的概念、安全評估操作系統(tǒng)的用戶安全設(shè)置操作系統(tǒng)的密碼安全設(shè)置操作系統(tǒng)的系統(tǒng)安全設(shè)置操作系統(tǒng)的服務(wù)安全設(shè)置操作系統(tǒng)的注冊表安全設(shè)置本章要點:

2023/2/31計算機網(wǎng)絡(luò)安全第二章 操作系統(tǒng)安全配置2.1操作系統(tǒng)的安全問題

2.2用戶安全配置

2.3密碼安全配置

2.4系統(tǒng)安全配置

2.5服務(wù)安全配置

2.6注冊表配置2.7數(shù)據(jù)恢復(fù)軟件

2023/2/32計算機網(wǎng)絡(luò)安全2.1操作系統(tǒng)的安全問題操作系統(tǒng)是計算機資源的直接管理者,它和硬件打交道并為用戶提供接口,是計算機軟件的基礎(chǔ)和核心。在網(wǎng)絡(luò)環(huán)境中,網(wǎng)絡(luò)的安全很大程度上依賴于網(wǎng)絡(luò)操作系統(tǒng)的安全性。沒有網(wǎng)絡(luò)操作系統(tǒng)的安全性,就沒有主機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全性。因此操作系統(tǒng)的安全是整個計算機系統(tǒng)安全的基礎(chǔ)。操作系統(tǒng)安全防護研究,通常包括:

1)提供什么樣的安全功能和安全服務(wù)

2)采取什么樣的配置措施

3)如何保證服務(wù)得到安全配置2023/2/33計算機網(wǎng)絡(luò)安全2.1.1操作系統(tǒng)安全概念一般意義上,如果說一個計算機系統(tǒng)是安全的,那么是指該系統(tǒng)能夠控制外部對系統(tǒng)信息的訪問。也就是說,只有經(jīng)過授權(quán)的用戶或代表該用戶運行的進程才能讀、寫、創(chuàng)建或刪除信息。2023/2/34計算機網(wǎng)絡(luò)安全操作系統(tǒng)的安全通常包含兩層意思:

1)操作系統(tǒng)在設(shè)計時通過權(quán)限訪問控制、信息加密性保護、完整性鑒定等一些機制實現(xiàn)的安全;

2)操作系統(tǒng)在使用中,通過一系列的配置,保證操作系統(tǒng)避免由于實現(xiàn)時的缺陷或是應(yīng)用環(huán)境因素產(chǎn)生的不安全因素。2.1.1操作系統(tǒng)安全概念2023/2/35計算機網(wǎng)絡(luò)安全2.1.2計算機操作系統(tǒng)安全評估計算機系統(tǒng)安全性評估標準是一種技術(shù)性法規(guī)。在信息安全這一特殊領(lǐng)域,如果沒有這一標準,那么與此相關(guān)的立法、執(zhí)法就會有失偏頗,最終會給國家的信息安全帶來嚴重后果。美國可信計算機安全評估標準(TCSEC),是計算機系統(tǒng)安全評估的第一個正式標準。TCSEC將計算機系統(tǒng)的安全劃分為4個等級、8個級別。2023/2/36計算機網(wǎng)絡(luò)安全2.1.2計算機操作系統(tǒng)安全評估(1)D類安全等級:D類安全等級只包括D1一個安全類別,安全等級最低。D1系統(tǒng)只為文件和用戶提供安全保護。最普通的形式是本地操作系統(tǒng),或者是一個完全沒有保護的網(wǎng)絡(luò)。(2)C類安全等級:該類安全等級能夠提供審慎的保護,并為用戶的行動和責(zé)任提供審計能力。C類安全等級可劃分為C1和C2兩類。C1系統(tǒng)通過將用戶和數(shù)據(jù)分開來達到安全的目的。C2系統(tǒng)比C1系統(tǒng)加強了可調(diào)的審慎控制。在連接到網(wǎng)絡(luò)上時,C2系統(tǒng)的用戶分別對各自的行為負責(zé),通過登錄過程、安全事件和資源隔離來增強這種控制。2023/2/37計算機網(wǎng)絡(luò)安全2.1.2計算機操作系統(tǒng)安全評估(3)B類安全等級:B類安全等級分為B1、B2、B3三類。B類系統(tǒng)具有強制性保護功能,強制性保護意味著如果用戶沒有與安全等級相連,系統(tǒng)就不會讓用戶存取對象。(4)A類安全等級:目前A類安全等級只包含A1一個安全類別。其顯著特征是,系統(tǒng)的設(shè)計者必須按照一個正式的設(shè)計規(guī)范來分析系統(tǒng)。對系統(tǒng)分析后,設(shè)計者必須運用核對技術(shù)來確保系統(tǒng)符合設(shè)計規(guī)范。2023/2/38計算機網(wǎng)絡(luò)安全2.1.3國內(nèi)的安全操作系統(tǒng)評估《計算機信息安全保護等級劃分準則》將計算機信息系統(tǒng)安全保護等級劃分為五個級別:1.用戶自主保護級本級的安全保護機制使用戶具備自主安全保護能力,保護用戶和用戶組信息,避免其他用戶對數(shù)據(jù)的非法讀寫和破壞。2023/2/39計算機網(wǎng)絡(luò)安全2.系統(tǒng)審計保護級本級的安全保護機制具備第一級的所有安全保護功能,并創(chuàng)建、維護訪問審計跟蹤記錄,以記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時間、用戶和事件類型等信息,使所有用戶對自己行為的合法性負責(zé)。3.安全標記保護級本級的安全保護機制有系統(tǒng)審計保護級的所有功能,并為訪問者和訪問對象指定安全標記,以訪問對象標記的安全級別限制訪問者的訪問權(quán)限,實現(xiàn)對訪問對象的強制保護。2.1.3國內(nèi)的安全操作系統(tǒng)評估2023/2/310計算機網(wǎng)絡(luò)安全4.結(jié)構(gòu)化保護級本級具備第3級的所有安全功能。并將安全保護機制劃分成關(guān)鍵部分和非關(guān)鍵部分相結(jié)合的結(jié)構(gòu),其中關(guān)鍵部分直接控制訪問者對訪問對象的存取。本級具有相當強的抗?jié)B透能力。5.安全域級保護級本級的安全保護機制具備第4級的所有功能,并特別增設(shè)訪問驗證功能,負責(zé)仲裁訪問者對訪問對象的所有訪問活動。本級具有極強的抗?jié)B透能力。2.1.3國內(nèi)的安全操作系統(tǒng)評估2023/2/311計算機網(wǎng)絡(luò)安全2.1.3國內(nèi)的安全操作系統(tǒng)評估

第1級第2級第3級第4級第5級自主訪問控制√√√√√身份鑒別√√√√√數(shù)據(jù)完整性√√√√√客體重用

√√√√審計

√√√強制訪問控制

√√√標記

√√√隱蔽信道分析

√√可信路徑

√√可信恢復(fù)

√2023/2/312計算機網(wǎng)絡(luò)安全2.1.4操作系統(tǒng)的安全配置操作系統(tǒng)安全配置主要是指:1)操作系統(tǒng)訪問控制權(quán)限的恰當設(shè)置指利用操作系統(tǒng)的訪問控制功能,為用戶和文件系統(tǒng)建立恰當?shù)脑L問權(quán)限控制。2)系統(tǒng)的及時更新及時地更新系統(tǒng),會使整個系統(tǒng)的安全性能、穩(wěn)定性能、易用性能得到大幅度提高。3)對于攻擊的防范隨著利用操作系統(tǒng)安全缺陷進行攻擊的方法的不斷出現(xiàn),操作系統(tǒng)和TCP/IP缺陷逐漸成為系統(tǒng)安全防護的一個重要內(nèi)容。2023/2/313計算機網(wǎng)絡(luò)安全2.1.5操作系統(tǒng)的安全漏洞幾乎所有的操作系統(tǒng)都不是十全十美的,總存在安全漏洞。 在WindowsNT中,安全賬戶管理(SAM)數(shù)據(jù)庫可以被以下用戶復(fù)制:Administrator賬戶、Administrator組的所有成員、備份操作員、服務(wù)器操作員以及所有具有備份特權(quán)的人員。SAM數(shù)據(jù)庫的一個備份拷貝能夠被某些工具所利用來破解口令。

WindowsNT對較大的ICMP包是很脆弱的。如果發(fā)一條Ping命令,指定包的大小為64KB,WindowsNT的TCP/IP棧將不會正常工作,可使系統(tǒng)離線直至重新啟動,結(jié)果造成某些服務(wù)的拒絕訪問。2023/2/314計算機網(wǎng)絡(luò)安全2.1.5操作系統(tǒng)的安全漏洞從操作系統(tǒng)的等級來看,WindowsXP仍然是C級操作系統(tǒng),即是一個安全等級比較低的操作系統(tǒng)。

WindowsXP發(fā)布后,與之有關(guān)的漏洞有:通用即插即用(UPnP)拒絕服務(wù)漏洞、GDI拒絕服務(wù)漏洞、終端服務(wù)IP地址欺騙漏洞。要想絕對避免軟件漏洞是不可能的!2023/2/315計算機網(wǎng)絡(luò)安全2.2用戶安全配置主要有10類,分別描述如下:新建用戶 帳號便于記憶與使用,而密碼則要求有一定的長度與復(fù)雜度。2023/2/316計算機網(wǎng)絡(luò)安全2.帳戶授權(quán) 對不同的帳戶進行授權(quán),使其擁有和身份相應(yīng)的權(quán)限。2.2用戶安全配置2023/2/317計算機網(wǎng)絡(luò)安全3.停用Guest用戶 把Guest賬號禁用,并且修改Guest帳號的屬性,設(shè)置拒絕遠程訪問。2.2用戶安全配置2023/2/318計算機網(wǎng)絡(luò)安全4.系統(tǒng)Administrator賬號改名 防止管理員賬號密碼被窮舉,偽裝成普通用戶。2.2用戶安全配置2023/2/319計算機網(wǎng)絡(luò)安全5.創(chuàng)建一個陷阱用戶 將管理員賬號權(quán)限設(shè)置最低,延緩攻擊企圖。2.2用戶安全配置2023/2/320計算機網(wǎng)絡(luò)安全6.更改默認權(quán)限 將共享文件的權(quán)限從“Everyone”改成“授權(quán)用戶。2.2用戶安全配置2023/2/321計算機網(wǎng)絡(luò)安全7.不顯示上次登錄用戶名 防止密碼猜測,打開注冊表編輯器并找到注冊表項“HKEY_CURRENT\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把REG_SZ的鍵值改成1。2.2用戶安全配置2023/2/322計算機網(wǎng)絡(luò)安全8.限制用戶數(shù)量 減少入侵突破口,賬戶數(shù)不大于10

。9.多個管理員帳號 減少管理員賬號使用時間,避免被破解。 創(chuàng)建一個一般用戶權(quán)限帳號用來處理電子郵件及處理一些日常事務(wù),創(chuàng)建另一個有Administrator權(quán)限的帳戶在需要的時候使用。2.2用戶安全配置2023/2/323計算機網(wǎng)絡(luò)安全10.開啟用戶策略可以有效的防止字典式攻擊。 當某一用戶連續(xù)5次錄都失敗后將自動鎖定該帳戶,30分鐘后自動復(fù)位被鎖定的帳戶。2.2用戶安全配置2023/2/324計算機網(wǎng)絡(luò)安全2.3密碼安全配置主要有4類,分別描述如下:安全密碼創(chuàng)建帳號時不用公司名、計算機名、或者一些別的容易猜到的字符做用戶名,密碼設(shè)置要復(fù)雜。 安全期內(nèi)無法破解出來的密碼就是安全密碼(密碼策略是42天必須改密碼)。2023/2/325計算機網(wǎng)絡(luò)安全2.開啟密碼策略對不同的帳戶進行授權(quán),使其擁有和身份相應(yīng)的權(quán)限。策略設(shè)置要求密碼復(fù)雜性要求啟用數(shù)字和字母組合密碼最小值6位長度至少為6密碼最長存留期15天超期要求改密碼強制密碼歷史5次不能設(shè)置相同密碼2.3密碼安全配置2023/2/326計算機網(wǎng)絡(luò)安全3.設(shè)置屏幕保護密碼 防止內(nèi)部人員破壞服務(wù)器的一個屏障。注意不要使用OpenGL和一些復(fù)雜的屏幕保護程序浪費系統(tǒng)資源,黑屏就可以了。2.3密碼安全配置2023/2/327計算機網(wǎng)絡(luò)安全4.加密文件或文件夾 用加密工具來保護文件和文件夾,以防別人偷看。2.3密碼安全配置2023/2/328計算機網(wǎng)絡(luò)安全2.4系統(tǒng)安全配置主要有11類,分別描述如下:使用NTFS格式分區(qū)所有分區(qū)都改成NTFS格式,NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。2023/2/329計算機網(wǎng)絡(luò)安全2.運行防毒軟件不僅可殺掉一些著名的病毒,還能查殺大量木馬和后門程序。要注意經(jīng)常運行程序并升級病毒庫。2.4系統(tǒng)安全配置2023/2/330計算機網(wǎng)絡(luò)安全3.下載最新的補丁 經(jīng)常訪問微軟和一些安全站點,下載最新的ServicePack和漏洞補丁。2.4系統(tǒng)安全配置2023/2/331計算機網(wǎng)絡(luò)安全4.關(guān)閉默認共享防止利用默認共享入侵。默認共享目錄路徑說明C$D$E$分區(qū)的根目錄Win2003AdvancedServer版中,只有Administrator和BackupOperators級成員才可連接,Win2000Server版本ServerOperators組也可以連接到這些共享目錄ADMIN$%SYSTEMTOOT%遠程管理用的共享目錄。它的路徑永遠都指向WIN2003的安裝路徑,比如C:\\winntIPC$

IPC$共享提供了登的能力PRIN$SYSTEM32\SPOOL\DRIVERS用戶遠程管理打印機2.4系統(tǒng)安全配置2023/2/332計算機網(wǎng)絡(luò)安全5.鎖定注冊表防止黑客從遠程訪問注冊表。修改Hkey_current_user下的子鍵:Software\Microsoft\windows\currentversion\policies\system,把DisableRegistryTools值改為0,類型為DWORD。2.4系統(tǒng)安全配置2023/2/333計算機網(wǎng)絡(luò)安全6.禁止從軟盤和光驅(qū)啟動系統(tǒng) 一些第三方的工具能通過引導(dǎo)系統(tǒng)來繞過原有的安全機制。利用安全配置工具來配置安全策略利用基于MMC(管理控制臺)安全配置和分析工具配置服務(wù)器。

/windows2000/techinfo/howitworks/security/sctoolset.asp

2.4系統(tǒng)安全配置2023/2/334計算機網(wǎng)絡(luò)安全8.開啟審核策略用安全審核來記錄入侵日志。策略設(shè)置審核系統(tǒng)登錄事件成功、失敗審核帳戶管理成功、失敗審核登錄事件成功、失敗審核對象訪問成功審核策略更改成功、失敗審核特權(quán)使用成功、失敗審核系統(tǒng)事件成功、失敗2.4系統(tǒng)安全配置2023/2/335計算機網(wǎng)絡(luò)安全9.加密Temp文件夾

給Temp文件夾加密可以給文件多一層保護。10.使用智能卡

用智能卡來代替復(fù)雜的密碼。11.使用IPSec

提供IP數(shù)據(jù)包的安全性。它提供身份驗證、完整性和可選擇的機密性。

利用IPSec可以使得系統(tǒng)的安全性能大大增強。IPsec在IP層提供安全服務(wù),它使系統(tǒng)能按需選擇安全協(xié)議,決定服務(wù)所使用的算法及放置需求服務(wù)所需密鑰到相應(yīng)位置。IPsec用來保護一條或多條主機與主機間、安全網(wǎng)關(guān)與安全網(wǎng)關(guān)間、安全網(wǎng)關(guān)與主機間的路徑。這些服務(wù)均在IP層提供,所以任何高層協(xié)議均能使用它們,例如TCP、UDP、ICMP、BGP等等。2.4系統(tǒng)安全配置2023/2/336計算機網(wǎng)絡(luò)安全2.5服務(wù)安全配置主要有5類,分別描述如下:關(guān)閉不必要的端口 減少被入侵的算途徑,系統(tǒng)目錄中的system32\drivers\etc\services文件中有知名端口和服務(wù)的對照表可供參考。 如何設(shè)置本機開放的端口和服務(wù)?2023/2/337計算機網(wǎng)絡(luò)安全2.5服務(wù)安全配置2023/2/338計算機網(wǎng)絡(luò)安全2.設(shè)置好安全記錄的訪問權(quán)限 安全記錄在默認情況下是沒有保護的,把它設(shè)置成只有Administrators和系統(tǒng)賬戶才有權(quán)訪問。2.5服務(wù)安全配置2023/2/339計算機網(wǎng)絡(luò)安全3.備份敏感文件 有必要把一些重要的用戶數(shù)據(jù)(存放在另外一個安全的服務(wù)器中,并且經(jīng)常備份它們。4.禁止建立空連接 默認情況下,任何用戶都可通過空連接連上服務(wù)器,進而枚舉出賬號,猜測密碼。我們可以通過修改注冊表來禁止建立空連接:即把Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成“1”即可。2.5服務(wù)安全配置2023/2/340計算機網(wǎng)絡(luò)安全5.關(guān)閉不必要的服務(wù) 防止惡意程序以服務(wù)方式悄悄地運行服務(wù)器上的終端服務(wù),要確認已經(jīng)正確配置了終端服務(wù)。

Windows2000作為服務(wù)器可禁用的服務(wù)及其相關(guān)說明如表所示。2.5服務(wù)安全配置2023/2/341計算機網(wǎng)絡(luò)安全2.6注冊表配置涉及到5類注冊表配置,如下:1.關(guān)機時清除文件 頁面文件中可能含有另外一些敏感產(chǎn)資料,因此要在關(guān)機的時候清除頁面文件。 編輯注冊表修改主鍵HKEY_LOCAL_MACHINE下的子鍵System\CurrentControlSet\Control\Control\SessionManage/MemoryManagement把ClearPageFileAtShutdown的值設(shè)置成1。2023/2/342計算機網(wǎng)絡(luò)安全2.關(guān)閉DirectDraw C2級安全標準對視頻和內(nèi)存有一定要求。關(guān)閉DirectDraw可能對一些需要用到Directx程序有影響(比如游戲),但是對于絕大多數(shù)的商業(yè)站點是沒有影響的。 修改主鍵HKEY_LOCAL_MACHINE下的子鍵System\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout將鍵值設(shè)置成0。2.6注冊表配置2023/2/343計算機網(wǎng)絡(luò)安全3.禁止判斷主機類型 黑客可利用TTL(TimeToLive,生存時間)值可以鑒別操作系統(tǒng)的類型,通過Ping指令能判斷目標主機類型。2.6注冊表配置2023/2/344計算機網(wǎng)絡(luò)安全 修改主鍵HKEY_LOCAL_MACHINE下的子鍵System\CurrentControlSet\Services\Tcpip\Parameters,新建一個雙字節(jié)項,在鍵的名稱中輸入“defaultTTL”,然后雙擊該鍵名,選擇“十進制”,在“數(shù)位數(shù)據(jù)”文本框中輸入100。設(shè)置完畢后需要重新啟動計算機。2.6注冊表配置2023/2/345計算機網(wǎng)絡(luò)安全4.抵抗DDOS 添加注冊表的一些鍵值,可以有效的抵抗DDOS(分布式拒絕服務(wù))的攻擊。在鍵值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters下增加響應(yīng)的鍵及其說明。2.6注冊表配置2023/2/346計算機網(wǎng)絡(luò)安全5.禁止Guest訪問日志 Guest和匿名用戶可以查看系統(tǒng)的事件日志,這可能導(dǎo)致許多重要的信息的泄漏。

1)禁止Guest訪問應(yīng)用日志 在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application下添加鍵值名稱為“RestrictGuestAccess”,類型為“DWORD”,將值設(shè)置為1。2.6注冊表配置2023/2/347計算機網(wǎng)絡(luò)安全

2)禁止Guest訪問系統(tǒng)日志 在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System下添加鍵值名稱為“RestrictGuestAccess”,類型為“DWORD”,將值設(shè)置為1。

3)禁止Guest訪問安全日志 在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Security下添加鍵值名稱為“RestrictGuestAccess”,類型為“DWORD”,將值設(shè)置為1。2.6注冊表配置2023/2/348計算機網(wǎng)絡(luò)安全2.7數(shù)據(jù)恢復(fù)軟件當數(shù)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論