項目02Windows系統(tǒng)安全加固.ppt

1、項目2 Windows系統(tǒng)安全加固,項目1 雙機(jī)互連對等網(wǎng)絡(luò)的組建,2.1 項目提出,張先生的計算機(jī)新裝了Windows Server 2003操作系統(tǒng)，該系統(tǒng)具有高性能、高可靠性和高安全性等特點(diǎn)。 Windows Server 2003在默認(rèn)安裝的時候，基于安全的考慮已經(jīng)實(shí)施了很多安全策略，但由于服務(wù)器操作系統(tǒng)的特殊性，在默認(rèn)安裝完成后還需要張先生對其進(jìn)行安全加固，進(jìn)一步提升服務(wù)器操作系統(tǒng)的安全性，保證應(yīng)用系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)的安全。,2.2 項目分析,在安裝Windows Server 2003操作系統(tǒng)時，為了提高系統(tǒng)的安全性，張先生按系統(tǒng)建議，采用最小化方式安裝，只安裝網(wǎng)絡(luò)服務(wù)所必需的組件

2、。如果以后有新的服務(wù)需求，再安裝相應(yīng)的服務(wù)組件，并及時進(jìn)行安全設(shè)置。 在完成操作系統(tǒng)安裝全過程后，張先生要對Windows系統(tǒng)安全性方面進(jìn)行加固，系統(tǒng)加固工作主要包括賬戶安全配置、密碼安全配置、系統(tǒng)安全配置、服務(wù)安全配置以及禁用注冊表編輯器等內(nèi)容，從而使得操作系統(tǒng)變得更加安全可靠，為以后的工作提供一個良好的環(huán)境平臺。,操作系統(tǒng)的安全是整個計算機(jī)系統(tǒng)安全的基礎(chǔ)，其安全問題日益引起人們的高度重視。 作為用戶使用計算機(jī)和網(wǎng)絡(luò)資源的操作界面，操作系統(tǒng)發(fā)揮著十分重要的作用。因此，操作系統(tǒng)本身的安全就成了安全防護(hù)的頭等大事。,2.3 相關(guān)知識點(diǎn),2.3.1 操作系統(tǒng)安全的概念 操作系統(tǒng)的安全防護(hù)研究通常包

3、括以下幾個方面的內(nèi)容。 (1) 操作系統(tǒng)本身提供的安全功能和安全服務(wù)。目前的操作系統(tǒng)本身往往要提供一定的訪問控制、認(rèn)證與授權(quán)等方面的安全服務(wù)，如何對操作系統(tǒng)本身的安全性能進(jìn)行研究和開發(fā)使之符合選定的環(huán)境和需求。 (2) 針對各種常用的操作系統(tǒng)，進(jìn)行相關(guān)配置，使之能正確對付和防御各種入侵。 (3) 保證操作系統(tǒng)本身所提供的網(wǎng)絡(luò)服務(wù)能得到安全配置。 一般來說，如果說一個計算機(jī)系統(tǒng)是安全的，那么是指該系統(tǒng)能夠控制外部對系統(tǒng)信息的訪問。也就是說，只有經(jīng)過授權(quán)的用戶或代表該用戶運(yùn)行的進(jìn)程才能讀、寫、創(chuàng)建或刪除信息。,操作系統(tǒng)內(nèi)的活動都可以認(rèn)為是主體對計算機(jī)系統(tǒng)內(nèi)部所有客體的一系列操作。 主體是指發(fā)出訪問

4、操作、存取請求的主動方，它包括用戶、用戶組、主機(jī)、終端或應(yīng)用進(jìn)程等。主體可以訪問客體。 客體是指被調(diào)用的程序或要存取的數(shù)據(jù)訪問，它包括文件、程序、內(nèi)存、目錄、隊列、進(jìn)程間報文、I/O設(shè)備和物理介質(zhì)等。 主體對客體的安全訪問策略是一套規(guī)則，可用于確定一個主體是否對客體擁有訪問能力。,一般所說的操作系統(tǒng)的安全通常包含兩方面的含義： 操作系統(tǒng)在設(shè)計時通過權(quán)限訪問控制、信息加密性保護(hù)、完整性鑒定等機(jī)制實(shí)現(xiàn)的安全； 操作系統(tǒng)在使用中，通過一系列的配置，保證操作系統(tǒng)避免由于實(shí)現(xiàn)時的缺陷或是應(yīng)用環(huán)境因素產(chǎn)生的不安全因素。 只有在這兩方面同時努力，才能夠最大可能地建立安全的操作系統(tǒng)。,2.3.2 服務(wù)與端口

5、我們知道，一臺擁有IP地址的主機(jī)可以提供許多服務(wù)，比如Web服務(wù)、FTP服務(wù)、SMTP服務(wù)等，這些服務(wù)完全可以通過1個IP地址來實(shí)現(xiàn)。那么，主機(jī)是怎樣區(qū)分不同的網(wǎng)絡(luò)服務(wù)呢？顯然不能只靠IP地址，因?yàn)镮P 地址與網(wǎng)絡(luò)服務(wù)的關(guān)系是一對多的關(guān)系。實(shí)際上是通過“IP地址端口號”來區(qū)分不同的服務(wù)的。 我們來打個形象的比喻: 假設(shè)IP地址是一棟大樓的地址，那么端口號就代表著這棟大樓的不同房間。如果一封信(數(shù)據(jù)包)上的地址僅包含了這棟大樓的地址(IP)而沒有具體的房間號(端口號)，那么沒有人知道誰(網(wǎng)絡(luò)服務(wù))應(yīng)該去接收它。為了讓郵遞成功，發(fā)信人不僅需要寫明大樓的地址(IP地址)，還需要標(biāo)注具體的收信人房間號

6、(端口號)，這樣這封信才能被順利地投遞到它應(yīng)該前往的房間。,端口是計算機(jī)與外界通訊的渠道，它們就像一道道門一樣控制著數(shù)據(jù)與指令的傳輸。各類數(shù)據(jù)包在最終封包時都會加入端口信息，以便在數(shù)據(jù)包接收后拆包識別。我們知道，許多蠕蟲病毒正是利用了端口信息才能實(shí)現(xiàn)惡意騷擾的。所以，對于原本脆弱的Windows系統(tǒng)來說，有必要把一些危險而又不常用到的端口關(guān)閉或是封鎖，以保證網(wǎng)絡(luò)安全。 同樣的，面對網(wǎng)絡(luò)攻擊時，端口對于黑客來說至關(guān)重要。每一項服務(wù)都對應(yīng)相應(yīng)的端口號，比如我們?yōu)g覽網(wǎng)頁時，需要服務(wù)器提供WWW服務(wù)，端口號是80，SMTP服務(wù)的端口號是25，F(xiàn)TP服務(wù)的端口號是21，如果企業(yè)中的服務(wù)器僅僅是文件服務(wù)或

7、者做內(nèi)網(wǎng)交換，應(yīng)關(guān)閉不必要的端口，因?yàn)樵陉P(guān)閉這些端口后，可以進(jìn)一步保障系統(tǒng)的安全。,我們知道，在 TCP和 UDP協(xié)議中，源端口和目標(biāo)端口是用一個16位無符號整數(shù)來表示的，這就意味著端口號共有65536個(216，065535)。 按對應(yīng)的協(xié)議類型，端口有兩種：TCP端口和UDP端口。由于TCP和UDP 兩個協(xié)議是獨(dú)立的，因此各自的端口號也相互獨(dú)立，比如TCP有235端口，UDP也可以有235端口，兩者并不沖突。,IETF定義了以下三種端口組。 (1) 公認(rèn)端口(Well-Known Ports)：從0到1023，它們緊密綁定（binding）于一些服務(wù)。通常這些端口的通訊明確表明了某種服務(wù)的

8、協(xié)議。例如：80端口實(shí)際上總是HTTP通訊。 (2) 注冊端口（Registered Ports）：從1024到49151。它們松散地綁定于一些服務(wù)。也就是說有許多服務(wù)綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統(tǒng)處理動態(tài)端口從1024左右開始。 (3) 動態(tài)和/或私有端口（Dynamic and/or Private Ports）：從49152到65535。理論上，不應(yīng)為服務(wù)分配這些端口。實(shí)際上，機(jī)器通常從1024起分配動態(tài)端口。但也有例外：SUN的RPC端口從32768開始。,管理好端口號在網(wǎng)絡(luò)安全中有著非常重要的意義，黑客往往通過探測目標(biāo)主機(jī)開啟的端口號進(jìn)行攻擊。所以，對那

9、些沒有用到的端口號，最好將它們關(guān)閉。 一個通信連接中，源端口與目標(biāo)端口并不是相同的，如客戶機(jī)訪問WWW服務(wù)器時，WWW服務(wù)器使用的是80端口，而客戶端的端口則是系統(tǒng)動態(tài)分配的大于1023的隨機(jī)端口。,開啟的端口可能被攻擊者利用，如利用掃描軟件，可以掃描到目標(biāo)主機(jī)中開啟的端口及服務(wù)，因?yàn)樘峁┓?wù)就有可能存在漏洞。 入侵者通常會用掃描軟件對對目標(biāo)主機(jī)的端口進(jìn)行掃描，以確定哪些端口是開放的。從開放的端口，入侵者可以知道目標(biāo)主機(jī)大致提供了哪些服務(wù)，進(jìn)而尋找可能存在的漏洞。因此對端口的掃描有助于了解目標(biāo)主機(jī)，從管理角度來看，掃描本機(jī)的端口也是做好安全防范的前提。 查看端口的相關(guān)工具有：Windows系統(tǒng)

10、中的netstat命令、fport軟件、activeport軟件、superscan軟件、Visual Sniffer軟件等，此類命令或軟件可用來查看主機(jī)所開放的端口。,可以在網(wǎng)上查看各種服務(wù)對應(yīng)的端口號和木馬后門常用端口來判斷系統(tǒng)中的可疑端口中，并通過軟件查看開啟此端口的進(jìn)程。 確定可疑端口和進(jìn)程后，可以利用防火墻來屏蔽此端口，也可以通過選擇本地連接TCP/IP高級選項TCP/IP篩選，啟用篩選機(jī)制來過濾這些端口； 對于Windows系統(tǒng)主機(jī)，如不對外提供服務(wù)也可以進(jìn)行過濾設(shè)置。對于網(wǎng)絡(luò)中的普通客戶計算機(jī)，可以限制對外的所有的端口，不必對外提供任何服務(wù)；而對于服務(wù)器，則把需要提供服務(wù)的端口，

11、如WWW服務(wù)端口80等開放，不使用的其他端口則全部關(guān)閉。可以利用端口查看工具檢查開啟的非業(yè)務(wù)端口。,關(guān)閉端口的方法非常簡單，在“控制面板”“管理工具”“服務(wù)”中即可配置。 一些端口常常會被攻擊者或病毒木馬所利用，如端口21、22、23、25、80、110、111、119、135、137、138、139、161、177、389、3389等。關(guān)于常見木馬程序所使用的端口可以在網(wǎng)上查找到。,這里重點(diǎn)說說139端口，139端口也就是NetBIOS Session端口，用作文件和打印的共享。 關(guān)閉139端口的方法是在“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性，進(jìn)入“高級TCP/IP設(shè)

12、置”，在“WINS”選項卡中，有一“禁用TCP/IP的NETBIOS”選項，選中后即可關(guān)閉139端口。 為什么要關(guān)閉139端口呢？這里涉及一個139端口入侵的問題。如果黑客確定一臺存在139端口漏洞的主機(jī)，用掃描工具掃描，然后使用“nbtstat -a IP”命令得到用戶的情況，最后完成非法訪問的操作。,2.3.3 組策略 組策略和注冊表，是Windows系統(tǒng)中重要的兩部控制臺。對于系統(tǒng)中安全方面的部署，組策略又以其直觀化的表現(xiàn)形式更受用戶青睞。我們可以通過組策略禁止第三方非法更改地址，也可以禁止別人隨意修改防火墻配置參數(shù)，更可以提高共享密碼強(qiáng)度免遭其被破解。 比如，在一個特定網(wǎng)絡(luò)環(huán)境中，如果

13、部分用戶共同使用相同的一臺工作站進(jìn)行網(wǎng)絡(luò)訪問時，安全隱患就顯露出來、倘若我們沒有劃定安全的上網(wǎng)區(qū)域，那樣會造成工作站的權(quán)限紊亂，從而帶來系統(tǒng)危機(jī)。輕者造成系統(tǒng)癱瘓，重者則可遭受遠(yuǎn)程入侵，損失寶貴資料。 所以，為了保護(hù)本地網(wǎng)絡(luò)以及本地工作站的安全，我們可以嘗試在公共計算機(jī)系統(tǒng)中，通過設(shè)置組策略的方法為普通用戶界定安全上網(wǎng)區(qū)域，強(qiáng)制進(jìn)入系統(tǒng)的用戶只能在設(shè)定內(nèi)的安全區(qū)域中上網(wǎng)沖浪。,由于組策略有著直觀的名字和功能解釋，所以應(yīng)用上比較簡單，對于管理員和終端用戶都非常方便，但它的功能遠(yuǎn)沒有限制起來那樣簡單，我們可以將它作為一種安全保護(hù)跟蹤工具。比如，可以利用組策略尋找共享目錄訪問痕跡。 這對于局域網(wǎng)內(nèi)的

14、用戶監(jiān)測來說非常重要。因?yàn)樵诰W(wǎng)絡(luò)內(nèi)部，一旦出現(xiàn)非法用戶，大多與共享入侵和訪問共享資源有關(guān)，此時查詢共享目錄的訪問信息就可以追蹤求源，查到真兇。 打開組策略后在左側(cè)列表區(qū)域中的“本地計算機(jī)策略”“計算機(jī)配置”“Windows設(shè)置”“安全設(shè)置”“本地策略”“審核策略”選項，在“審核策略”中找到“審核對象訪問”，選中屬性界面中的“失敗”、“成功”選項，以后出現(xiàn)問題時就能有針對性地進(jìn)入系統(tǒng)安全日志文件，來查看相關(guān)事件記錄。,2.3.4 賬戶與密碼安全 賬戶與密碼的使用通常是許多系統(tǒng)預(yù)設(shè)的防護(hù)措施。事實(shí)上，有許多用戶的密碼是很容易被猜中的，或者使用系統(tǒng)預(yù)設(shè)的密碼、甚至不設(shè)密碼。 用戶應(yīng)該要避免使用不當(dāng)?shù)?/p>

15、密碼、系統(tǒng)預(yù)設(shè)密碼或是使用空白密碼，也可以配置本地安全策略要求密碼符合安全性要求。,2.3.5 漏洞與后門 1. 漏洞 漏洞即某個程序(包括操作系統(tǒng))在設(shè)計時未考慮周全，當(dāng)程序遇到一個看似合理，但實(shí)際無法處理的問題時，引發(fā)的不可預(yù)見的錯誤。系統(tǒng)漏洞又稱安全缺陷，對用戶造成的不良后果有： 如漏洞被惡意用戶利用，會造成信息泄漏。例如，黑客攻擊網(wǎng)站即利用網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)的漏洞。 對用戶操作造成不便。例如，不明原因的死機(jī)和丟失文件等。,可見，僅有堵住系統(tǒng)漏洞，用戶才會有一個安全和穩(wěn)定的工作環(huán)境。 漏洞的產(chǎn)生大致有以下3個原因。 編程人員的人為因素。在程序編寫過程中，為實(shí)現(xiàn)不可告人的目的，在程序代碼的

16、隱蔽處留有后門。 受編程人員的能力、經(jīng)驗(yàn)和當(dāng)時安全技術(shù)所限，在程序中難免會有不足之處，輕則影響程序效率，重則導(dǎo)致非授權(quán)用戶的權(quán)限提升。 由于硬件原因，使編程人員無法彌補(bǔ)硬件的漏洞，從而使硬件的問題通過軟件表現(xiàn)出來。,可以說，幾乎所有的操作系統(tǒng)都不是十全十美的，總是存在各種安全漏洞。 例如，在Windows NT中，安全賬戶管理(SAM)數(shù)據(jù)庫可以被以下用戶所復(fù)制：Administrator賬戶、Administrators組中的所有成員、備份操作員、服務(wù)器操作員以及所有具有備份特權(quán)的人員。SAM數(shù)據(jù)庫的一個備份拷貝能夠被某些工具所利用來破解口令。 又如，Windows NT對較大的ICMP數(shù)據(jù)

17、包是很脆弱的，如果發(fā)一條ping命令，指定數(shù)據(jù)包的大小為64KB，Windows NT的TCP/IP棧將不會正常工作，可使系統(tǒng)離線乃至重新啟動，結(jié)果造成某些服務(wù)的拒絕訪問。,任何軟件都難免存在漏洞，但作為系統(tǒng)最核心的軟件，操作系統(tǒng)存在的漏洞會使黑客有機(jī)可乘。 例如，64位Windows 7圖形顯示組件中的一個漏洞有可能導(dǎo)致系統(tǒng)崩潰，或者被黑客利用并執(zhí)行遠(yuǎn)程代碼，用戶可以通過關(guān)閉Windows Aero的方式或打上安全補(bǔ)丁來防止這一漏洞被他人利用。 實(shí)際上，根據(jù)目前的軟件設(shè)計水平和開發(fā)工具，要想絕對避免軟件漏洞幾乎是不可能的。 操作系統(tǒng)作為一種系統(tǒng)軟件，在設(shè)計和開發(fā)過程中造成這樣或那樣的缺陷，埋

18、下一些安全隱患，使黑客有機(jī)可乘，也可以理解。可以說，軟件質(zhì)量決定了軟件的安全性。,2. 后門 后門又稱為Back Door，是繞過安全性控制而獲取對程序或系統(tǒng)訪問權(quán)的方法。 在軟件的開發(fā)階段，程序員常會在軟件內(nèi)創(chuàng)建后門以便可以修改程序中的缺陷。如果后門被其他人知道，或是在發(fā)布軟件之前沒有刪除后門，那么它就成了安全風(fēng)險。,后門產(chǎn)生的必要條件有： 必須以某種方式與其他終端節(jié)點(diǎn)相連。因?yàn)槎际菑钠渌?jié)點(diǎn)訪問后門，因此必須使用雙絞線、光纖、串/并口、藍(lán)牙、紅外等設(shè)備與目標(biāo)主機(jī)連接才可以對端口進(jìn)行訪問。只有訪問成功，雙方才可以進(jìn)行信息交流，攻擊方才有機(jī)會進(jìn)行入侵。 目標(biāo)主機(jī)默認(rèn)開放的可供外界訪問的端口必須

19、在一個以上。因?yàn)橐慌_默認(rèn)無任何端口開放的機(jī)器是無法進(jìn)行通信的，而如果開放的端口無法被外界訪問，則目標(biāo)主機(jī)同樣不可能遭到入侵。 目標(biāo)機(jī)存在程序設(shè)計或人為疏忽，導(dǎo)致攻擊者能以權(quán)限較高的身份執(zhí)行程序。并不是任何一個權(quán)限的帳號都能夠被利用的，只有權(quán)限達(dá)到操作系統(tǒng)一定要求后，才允許執(zhí)行修改注冊表、修改日志記錄等操作。,后門的分類方式有多種，為了便于大家理解，下面從技術(shù)方面來考慮后門的分類方法。 網(wǎng)頁后門。這類后門一般都是利用服務(wù)器上正常的Web服務(wù)來構(gòu)造自己的連接方式，比如現(xiàn)在非常流行的ASP、CGI腳本后門等。 線程插入后門。利用系統(tǒng)自身的某個服務(wù)或者線程，將后門程序插入到其中，這也是現(xiàn)在最流行的一個后門技術(shù)。 擴(kuò)展后門。所謂的“擴(kuò)展”，是指在功能上有大的提升，比普通的單一功能的后門有更強(qiáng)的使用性，這種后門本身就相當(dāng)于一個小的安全工具包，能實(shí)現(xiàn)非常多的常見安全功能。, C/S后門。采用“客戶端/服務(wù)器”的控制方式，