項目4-操作系統(tǒng)安全與加固

網(wǎng)絡(luò)安全技術(shù)項目化教程主編段新華宋風(fēng)忠中國水利水電出版社項目4操作系統(tǒng)安全與加固

項目導(dǎo)讀在網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)系統(tǒng)的安全性依賴于網(wǎng)絡(luò)中各主機系統(tǒng)的安全性，主機系統(tǒng)的安全性正是由其操作系統(tǒng)的安全性所決定的，沒有安全的操作系統(tǒng)的支持，網(wǎng)絡(luò)安全也毫無根基可言。教學(xué)目標(biāo)掌握操作系統(tǒng)的加固，以防范常見的系統(tǒng)滲透和網(wǎng)絡(luò)攻擊。掌握操作系統(tǒng)相關(guān)的安全工具的功能和使用方法。任務(wù)1Windows賬戶與口令的安全設(shè)置任務(wù)描述操作系統(tǒng)中不適當(dāng)?shù)挠脩糍~號是攻擊者入侵操作系統(tǒng)的主要手段之一。通過對用戶帳號的安全管理可以避免很多潛在的安全問題。對帳戶實施管理，確保系統(tǒng)的安全性，采取的措施有限制用戶數(shù)量、停用Guest用戶、重命名管理員帳戶、設(shè)置陷阱帳戶和雙管理員賬戶等。任務(wù)要求掌握安全賬戶的設(shè)置方法。知識鏈接1．本地安全管理2．高強度登錄密碼實現(xiàn)方法1．限制用戶數(shù)量有效賬戶的數(shù)量要盡可能的少，去掉測試賬戶和共享賬戶，系統(tǒng)的賬戶越多，被攻擊成功的可能性越大。如果系統(tǒng)賬戶超過10個，就有可能找到一個或兩個弱口令賬戶，所以賬戶數(shù)量一般不超過10個。要經(jīng)常使用一些掃描工具查看系統(tǒng)賬戶、賬戶權(quán)限及密碼，及時刪除不再使用的賬戶。2．停用Guest賬戶停用Guest賬戶，改成一個復(fù)雜的名稱并添加密碼，將Guest賬戶從Guests組中刪除，任何時候都禁用Guest賬戶登錄系統(tǒng)。3．重命名管理員賬戶許多用戶都是用Administrator賬戶登錄系統(tǒng)，但黑客得知用戶登錄系統(tǒng)的賬戶名后，就可以發(fā)動有針對性的攻擊。如果用戶使用Administrator賬戶登錄系統(tǒng)，就為黑客攻擊創(chuàng)造了條件。因此重命名Administrator賬戶，盡量將其偽裝成普通賬戶，使黑客無法針對該賬戶發(fā)起攻擊。4．設(shè)置陷阱賬戶在Guests組中設(shè)置一個Administrator賬戶，把它的權(quán)限設(shè)置成最低，但密碼設(shè)置成復(fù)雜密碼，而且用戶不能更改此賬戶密碼，這樣就可以使企圖入侵的黑客花費一番功夫，并可以借此發(fā)現(xiàn)黑客的入侵企圖。5．設(shè)置高強度密碼任務(wù)2Windows文件系統(tǒng)的安全設(shè)置任務(wù)描述以某公司的實際應(yīng)用為例，公司銷售部和技術(shù)部各有一個共享文件夾，存放本部門的資料，部門經(jīng)理對本部門的文件夾有完全控制權(quán)限，部門員工對本部門文件夾具有讀寫權(quán)限，對公司其他部門的文件夾有只讀的權(quán)限。任務(wù)要求掌握文件權(quán)限的設(shè)置方法。知識鏈接1．設(shè)置文件權(quán)限需要注意的幾點（1）NTFS文件權(quán)限為：讀取（讀文件，查看文件屬性、擁有人和權(quán)限）；寫入（覆蓋寫入文件，修改文件屬性，查看文件擁有人和權(quán)限）；讀取和運行（運行應(yīng)用程序，同時具備“讀取”權(quán)限）；修改（修改和刪除文件，同時具備“寫入”權(quán)限和“讀取和運行”權(quán)限）；完全控制（改變權(quán)限，成為擁有人，同時具備其他所有NTFS文件權(quán)限）。（2）權(quán)限是累積的。用戶對某個資源的有效權(quán)限是授予這一用戶帳號的NTFS權(quán)限和該用戶所屬的用戶組具備的NTFS權(quán)限組合。（3）NTFS的文件權(quán)限超越NTFS文件夾權(quán)限。某個用戶對某個文件有“修改”權(quán)限，即使他對于包含該文件的文件夾只有“讀取”權(quán)限，該用戶仍然能夠修改該文件。（4）拒絕權(quán)限超越其他權(quán)限。如果將“拒絕”權(quán)限授予某用戶或組，即使這個用戶作為某個組的成員具有訪問該文件或文件夾的權(quán)限，因為將“拒絕”權(quán)限授予該用戶，用戶具有的任何其他權(quán)限也被阻止了。（5）共享文件夾權(quán)限有3種：完全控制、更改、讀取。2．加密文件系統(tǒng)Windows加密文件系統(tǒng)（EFS）內(nèi)置于NTFS文件系統(tǒng)中。加密文件系統(tǒng)為NTFS文件提供文件級的加密，是基于公共密鑰的系統(tǒng)。使用EFS時，系統(tǒng)首先生成文件加密密鑰（FileEncryptionKey，F(xiàn)EK），利用FEK創(chuàng)建加密后的文件，同時刪除未加密的原始文件，然后，系統(tǒng)利用當(dāng)前用戶的公鑰加密FEK，并把加密后的FEK存儲在一個加密文件夾中。當(dāng)用戶訪問一個加密文件時，系統(tǒng)首先利用當(dāng)前用戶的私鑰解密FEK，再利用FEK解密出加密文件。實現(xiàn)方法1．NTFS文件權(quán)限的設(shè)置2．文件系統(tǒng)的加密和解密任務(wù)3Windows組策略任務(wù)描述Windows組策略可以設(shè)置個性化的任務(wù)欄和“開始”菜單、管理和實現(xiàn)IE安全，也可對特定的域或工作組執(zhí)行禁止運行命令行、禁止運行自動播放功能、禁止使用控制面板、限制使用應(yīng)用程序等。本次任務(wù)是以WindowsServer2008服務(wù)器系統(tǒng)為例實現(xiàn)的。任務(wù)要求掌握常用的組策略設(shè)置方法。知識連接1．組策略的概念組策略設(shè)置定義了系統(tǒng)管理員需要管理的用戶桌面環(huán)境的各種組件，如用戶可用的程序、用戶桌面上出現(xiàn)的程序以及“開始”菜單選項。組策略不僅應(yīng)用于用戶和用戶端計算機，還應(yīng)用于成員服務(wù)器、域控制器以及管理范圍內(nèi)的任何計算機。默認情況下，應(yīng)用于域的組策略會影響域中的所有計算機和用戶。2．組策略的內(nèi)容組策略主要可進行兩個方面的配置：計算機配置和用戶配置?！坝嬎銠C配置”是對整個計算機的系統(tǒng)配置進行設(shè)置，對當(dāng)前計算機中所有用戶的運行環(huán)境都起作用；“用戶配置”是對當(dāng)前用戶的系統(tǒng)配置進行設(shè)置，僅對當(dāng)前用戶起作用。實現(xiàn)方法1．禁止使用可移動存儲器復(fù)制資料。2．?dāng)嚅_遠程連接恢復(fù)系統(tǒng)狀態(tài)3．限制使用迅雷進行惡意下載4．禁止來自外網(wǎng)的非法ping攻擊任務(wù)4遠程服務(wù)與安全設(shè)置任務(wù)描述遠程桌面服務(wù)的系統(tǒng)服務(wù)為“TerminalServices”，遠程桌面服務(wù)開啟后，可以方便管理遠程服務(wù)器，但也給服務(wù)器帶來了一定的威脅。可以通過設(shè)置安全策略限制連接終端服務(wù)的IP地址及網(wǎng)絡(luò)。任務(wù)要求掌握遠程訪問的安全策略及實施方法。實現(xiàn)方法1．遠程服務(wù)與安全設(shè)置終端服務(wù)器的IP地址為192.168.10.100