操作系統(tǒng)安全配置.ppt_第1頁(yè)
操作系統(tǒng)安全配置.ppt_第2頁(yè)
操作系統(tǒng)安全配置.ppt_第3頁(yè)
操作系統(tǒng)安全配置.ppt_第4頁(yè)
操作系統(tǒng)安全配置.ppt_第5頁(yè)
已閱讀5頁(yè),還剩37頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、2020/8/7,網(wǎng)絡(luò)安全技術(shù),1,2.2 操作系統(tǒng)安全配置實(shí)驗(yàn)2.2.1 用戶安全配置,主要有10類,分別描述如下: 新建用戶賬號(hào)便于記憶與使用,而密碼則要求有一定的長(zhǎng)度與復(fù)雜度。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),2,2賬戶授權(quán)對(duì)不同的賬戶進(jìn)行授權(quán),使其擁有和身份相應(yīng)的權(quán)限。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),3,3停用Guest用戶把Guest賬號(hào)禁用,并且修改Guest賬號(hào)的屬性,設(shè)置拒絕遠(yuǎn)程訪問(wèn) 。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),4,4系統(tǒng)Administrator賬號(hào)改名 防止管理員賬號(hào)密碼被窮舉,偽裝成普通用戶。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),5,5創(chuàng)建一個(gè)陷阱用戶將管理員賬號(hào)權(quán)

2、限設(shè)置最低,延緩攻擊企圖。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),6,6更改默認(rèn)權(quán)限將共享文件的權(quán)限從“Everyone”改成“授權(quán)用戶 。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),7,7不顯示上次登錄用戶名防止密碼猜測(cè),打開(kāi)注冊(cè)表編輯器并找到注冊(cè)表項(xiàng)“HKEY_CURRENTSoftwareMicrosoftWindows NTCurrentVersionWinlogonDont-DisplayLastUserName”,把REG_SZ的鍵值改成1。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),8,8限制用戶數(shù)量減少入侵突破口,賬戶數(shù)不大于10 。 9多個(gè)管理員賬號(hào) 減少管理員賬號(hào)使用時(shí)間,避免被破解 。 創(chuàng)建一個(gè)一

3、般用戶權(quán)限賬號(hào)用來(lái)處理電子郵件及處理一些日常事務(wù),創(chuàng)建另一個(gè)有Administrator權(quán)限的賬戶在需要的時(shí)候使用。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),9,10開(kāi)啟用戶策略 可以有效的防止字典式攻擊 。 當(dāng)某一用戶連續(xù)5次錄都失敗后將自動(dòng)鎖定該賬戶,30分鐘后自動(dòng)復(fù)位被鎖定的賬戶。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),10,2.2.2 密碼安全配置,主要有4類,分別描述如下: 安全密碼 創(chuàng)建賬號(hào)時(shí)不用公司名、計(jì)算機(jī)名、或者一些別的容易猜到的字符做用戶名,密碼設(shè)置要復(fù)雜。 安全期內(nèi)無(wú)法破解出來(lái)的密碼就是安全密碼(密碼策略是42天必須改密碼) 。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),11,2開(kāi)啟密碼策略 對(duì)

4、不同的賬戶進(jìn)行授權(quán),使其擁有和身份相應(yīng)的權(quán)限。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),12,3設(shè)置屏幕保護(hù)密碼 防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。注意不要使用OpenGL和一些復(fù)雜的屏幕保護(hù)程序浪費(fèi)系統(tǒng)資源,黑屏就可以了 。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),13,4加密文件或文件夾 用加密工具來(lái)保護(hù)文件和文件夾,以防別人偷看 。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),14,2.2.3 系統(tǒng)安全配置,主要有11類,分別描述如下: 使用NTFS格式分區(qū) 所有分區(qū)都改成NTFS格式,NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),15,2運(yùn)行防毒軟件 不僅可殺掉一些著

5、名的病毒,還能查殺大量木馬和后門程序。要注意經(jīng)常運(yùn)行程序并升級(jí)病毒庫(kù)。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),16,3下載最新的補(bǔ)丁經(jīng)常訪問(wèn)微軟和一些安全站點(diǎn),下載最新的Service Pack和漏洞補(bǔ)丁。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),17,4關(guān)閉默認(rèn)共享 防止利用默認(rèn)共享入侵。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),18,5鎖定注冊(cè)表 防止黑客從遠(yuǎn)程訪問(wèn)注冊(cè)表。修改Hkey_current_user下的子鍵:SoftwareMicrosoftwindowscurrentversionpoliciessystem,把DisableRegistryTools值改為0,類型為DWORD。,2020/8/7

6、,網(wǎng)絡(luò)安全技術(shù),19,6禁止從軟盤和光驅(qū)啟動(dòng)系統(tǒng) 一些第三方的工具能通過(guò)引導(dǎo)系統(tǒng)來(lái)繞過(guò)原有的安全機(jī)制 。 利用安全配置工具來(lái)配置安全策略 利用基于MMC(管理控制臺(tái))安全配置和分析工具配置服務(wù)器。 ,2020/8/7,網(wǎng)絡(luò)安全技術(shù),20,8開(kāi)啟審核策略 用安全審核來(lái)記錄入侵日志。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),21,9加密Temp 文件夾 給Temp文件夾加密可以給文件多一層保護(hù)。 10使用智能卡用智能卡來(lái)代替復(fù)雜的密碼。 11使用IPSec提供IP數(shù)據(jù)包的安全性。它提供身份驗(yàn)證、完整性和可選擇的機(jī)密性。 利用IPSec可以使得系統(tǒng)的安全性能大大增強(qiáng)。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),22,

7、2.2.4 服務(wù)安全配置,主要有5類,分別描述如下: 關(guān)閉不必要的端口 減少被入侵的算途徑,系統(tǒng)目錄中的system32driversetcservices文件中有知名端口和服務(wù)的對(duì)照表可供參考。 如何設(shè)置本機(jī)開(kāi)放的端口和服務(wù)?,2020/8/7,網(wǎng)絡(luò)安全技術(shù),23,2020/8/7,網(wǎng)絡(luò)安全技術(shù),24,2設(shè)置好安全記錄的訪問(wèn)權(quán)限 安全記錄在默認(rèn)情況下是沒(méi)有保護(hù)的,把它設(shè)置成只有Administrators和系統(tǒng)賬戶才有權(quán)訪問(wèn)。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),25,3備份敏感文件有必要把一些重要的用戶數(shù)據(jù)(存放在另外一個(gè)安全的服務(wù)器中,并且經(jīng)常備份它們。 4禁止建立空連接默認(rèn)情況下,任何用戶

8、都可通過(guò)空連接連上服務(wù)器,進(jìn)而枚舉出賬號(hào),猜測(cè)密碼。我們可以通過(guò)修改注冊(cè)表來(lái)禁止建立空連接:即把Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous的值改成“1”即可。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),26,5關(guān)閉不必要的服務(wù) 防止惡意程序以服務(wù)方式悄悄地運(yùn)行服務(wù)器上的終端服務(wù),要確認(rèn)已經(jīng)正確配置了終端服務(wù)。 Windows 2000作為服務(wù)器可禁用的服務(wù)及其相關(guān)說(shuō)明如表所示。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),27,2.2.5 注冊(cè)表配置,涉及到5類注冊(cè)表配置,如下: 1關(guān)機(jī)時(shí)清除文件頁(yè)面文件中可能含有另外一些敏感產(chǎn)資

9、料,因此要在關(guān)機(jī)的時(shí)候清除頁(yè)面文件。 編輯注冊(cè)表修改主鍵HKEY_LOCAL_MACHINE下的子鍵 SystemCurrentControlSetControlControlSessionManage/Memory Management 把ClearPageFileAtShutdown的值設(shè)置成1。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),28,2關(guān)閉DirectDraw C2級(jí)安全標(biāo)準(zhǔn)對(duì)視頻和內(nèi)存有一定要求。關(guān)閉DirectDraw可能對(duì)一些需要用到Directx程序有影響(比如游戲),但是對(duì)于絕大多數(shù)的商業(yè)站點(diǎn)是沒(méi)有影響的。 修改主鍵HKEY_LOCAL_MACHINE下的子鍵 SystemCu

10、rrentControlSetControlGraphicsDriversDCITimeout 將鍵值設(shè)置成0。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),29,3禁止判斷主機(jī)類型 黑客可利用TTL(Time To Live,生存時(shí)間)值可以鑒別操作系統(tǒng)的類型,通過(guò)Ping指令能判斷目標(biāo)主機(jī)類型。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),30,修改主鍵HKEY_LOCAL_MACHINE下的子鍵 SystemCurrentControlSetServicesTcpipParameters,新建一個(gè)雙字節(jié)項(xiàng),在鍵的名稱中輸入“defaultTTL”,然后雙擊該鍵名,選擇“十進(jìn)制”,在“數(shù)位數(shù)據(jù)”文本框中輸入100

11、。設(shè)置完畢后需要重新啟動(dòng)計(jì)算機(jī)。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),31,4抵抗DDOS添加注冊(cè)表的一些鍵值,可以有效的抵抗DDOS(分布式拒絕服務(wù))的攻擊。在鍵值HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters下增加響應(yīng)的鍵及其說(shuō)明。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),32,5禁止Guest訪問(wèn)日志 Guest和匿名用戶可以查看系統(tǒng)的事件日志,這可能導(dǎo)致許多重要的信息的泄漏。 1)禁止Guest訪問(wèn)應(yīng)用日志在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventl

12、ogApplication下添加鍵值名稱為“RestrictGuestAccess”,類型為“DWORD”,將值設(shè)置為1。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),33,2)禁止Guest訪問(wèn)系統(tǒng)日志在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogSystem下添加鍵值名稱為“RestrictGuestAccess”,類型為“DWORD”,將值設(shè)置為1。 3)禁止Guest訪問(wèn)安全日志在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogSecurity下添加鍵值名稱為“R

13、estrictGuestAccess”,類型為“DWORD”,將值設(shè)置為1。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),34,2.2.6 數(shù)據(jù)恢復(fù)軟件,當(dāng)數(shù)據(jù)被病毒或者入侵者破壞后,可以利用數(shù)據(jù)恢復(fù)軟件找回部分被刪除的數(shù)據(jù) 。比較著名的有FinalData,EasyRecovery等。我們介紹一下FinalData。 注意:原來(lái)的磁盤扇區(qū)被寫上了新的文件,這些數(shù)據(jù)就不能完全恢復(fù)!,2020/8/7,網(wǎng)絡(luò)安全技術(shù),35,原來(lái)D盤上有一些文件數(shù)據(jù)文件,現(xiàn)在被黑客刪除了,如何恢復(fù)?選擇“文件”菜單,單擊“打開(kāi)”按鈕,出現(xiàn)當(dāng)前系統(tǒng)的分區(qū)情況,可以選擇需要恢復(fù)數(shù)據(jù)的分區(qū),在這里選擇D盤。,2020/8/7,網(wǎng)絡(luò)安

14、全技術(shù),36,選擇分區(qū)后,軟件對(duì)指定的分區(qū)的數(shù)據(jù)和目錄進(jìn)行掃描。掃描完成后,選擇查找的扇區(qū)范圍。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),37,掃描完成后,選擇查找的扇區(qū)范圍。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),38,掃描的結(jié)果,在軟件左側(cè)按目錄、文件等進(jìn)行分類。單擊后內(nèi)容出現(xiàn)在右側(cè)中,下圖所示是已經(jīng)被刪除的目錄,曾經(jīng)被刪除的文件。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),39,選中某個(gè)文件或者文件夾,單擊右鍵,出現(xiàn)一個(gè)恢復(fù)按鈕,然后單擊“恢復(fù)”按鈕,就可恢復(fù)被刪除的文件或文件夾了。,2020/8/7,網(wǎng)絡(luò)安全技術(shù),40,習(xí) 題,1 什么是操作系統(tǒng)的安全,主要研究什么內(nèi)容? 2簡(jiǎn)述操作系統(tǒng)賬號(hào)密碼的重要性,有幾種方法可能保護(hù)密碼不被破解或者盜取? 3簡(jiǎn)述審核策略、密碼策略和賬戶策略的含義,以及這些策略如何保護(hù)操作系統(tǒng)不被

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論