网络操作系统安全与管理实践教材.pptx

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,第三章,网络操作系统安全与管理实践,3.1,惯用网络操作系统介绍,网络操作系统是为使网络用户能方便而有效地共享网络资源而提供各种服务软件及相关规程集合，是网络软件系统基础。它是整个网络关键，经过对网络资源管理，为用户方便而有效地使用网络资源提供网络接口和网络服务,；,惯用网络操作系统有,Microsoft,企业,Windows NT,、,Windows Server,、,Windows Server,和,Windows XP,，,Novell,企业,NetWare,、,SCO,企业,UNIX,和,RedHat,企业,Linux,；,网络操作系统安全与管理实践教材,第1页,3.1.1 Windows NT,Windows NT,是,Microsoft,企业在,LAN Manager,网络操作系统基础上于,1993,年推出含有更高性能,NOS,；,Windows NT,是一个,32,位多用户、多任务网络操作系统，也是一个面向分布式图形应用程序完整平台系统,；,Windows NT,网络软件主要包含,Windows NT Server,（简称,Windows NTS,）和,Windows NT Workstation,（简称,Windows NTWS,）两种,；,Windows NT,是功效强大网络操作系统,；,Windows NT,操作系统在其关键内置了容错技术,；,Windows NT,系统服务有目录服务、文件共享服务、共享打印服务、网络互连服务、远程通信服务和,Internet,服务等,；,网络操作系统安全与管理实践教材,第2页,3.1.2 Windows/,Windows,系统,Windows,系列操作系统有,Windows Datacenter Server,、,Windows Advanced Server,、,Windows Server,和,Windows Professional,版本。,Windows Datacenter Server,是一个新品种，它支持,32,个以上,CPU,和,64GB,内存，以及,4,个节点集群服务,。,Windows Server,和,Advanced Server,分别是,Windows NT Server 4.0,及其企业版升级产品,；,网络操作系统安全与管理实践教材,第3页,Windows,系列操作平台，继承了,Windows NT,高性能，融入了,Windows 9x,易操作特点，又发展了一些新特征。,Windows,使用了活动目录、分布式文件系统、智能镜像、管理咨询等新技术，它具备了强大网络功效，可作为各种网络操作平台，尤其是,Windows,强化网络通信、提供了强大,Internet,功效,；,网络操作系统安全与管理实践教材,第4页,Windows,系统,Windows Server,是一款微软推出全新操作系统。,Windows Server,简体汉字版分,Web,、,Standard,、,Enterprise,和,Datacenter,四个版本。,Enterprise,版最大支持,8,个处理器和,32GB,内存，最小配置为,CPU,速度不低,133MHz,，内存不少于,128MB,。所以，,Windows Server,含有硬件适应性面广和伸缩性强特点,；,Windows,安全中心是活动目录（,AD,）,；,网络操作系统安全与管理实践教材,第5页,Windows Server,在安全上下了大功夫，不但堵住了已发觉,NT,漏洞，而且还重新设计了安全子系统，增加了新安全认证，改进了安全算法,；,Windows,区分于,Windows,之处于于软件限制策略（,SRP,）。,Windows,SRP,允许用户控制在当地计算机系统上运行哪些软件。用户可在选项中要求系统要运行软件，所以可阻止不被信任软件运行,；,Windows,系统在组策略中增加了两项内容：软件限制策略（,SRP,）和无线网络策略（,IEEE 802.11,）,；,网络操作系统安全与管理实践教材,第6页,3.1.3 Linux,和,Unix,Linux,系统,Linux,是一个类似,UNIX,操作系统自由软件，它是由一位芬兰赫尔辛基大学一位叫,Linus,大学生创造,；,Linux,继承了,UNIX,很多优点,(,如多任务、多用户,),，还含有共享内存页面、使用分页技术虚拟内存、动态链接共享库、支持多个虚拟控制台、调度磁盘缓冲功效、支持多平台、与其它,UNIX,系统兼容、提供全部源代码及支持各种,CPU,、各种硬件、软件移植性好等特点,；,网络操作系统安全与管理实践教材,第7页,Unix,系统,1970,年，在美国电报电话企业（,AT&T,）贝尔（,Bell,）试验室研制出了一个新计算机操作系统，这就是,UNIX,。,UNIX,是一个分时操作系统，主要用在大型机、超级小型机、,RISC,计算机和高档微机上,；,UNIX,系统再次成功取决于它将,TCP/IP,协议运行于,UNIX,操作系统上，使之成为,UNIX,操作系统关键，从而组成了,UNIX,网络操作系统,；,UNIX,系统是一个可供多用户同时操作会话式分时操作系统,网络操作系统安全与管理实践教材,第8页,3.2,网络操作系统安全与管理,3.2.1,网络操作系统安全与访问控制,网络操作系统安全,网络操作系统安全保护研究，通常包含以下内容：第一，操作系统本身提供安全功效和安全服务。当代操作系统本身往往要提供一定访问控制、认证和授权等方面安全服务。怎样对操作系统本身安全性能进行研究和开发，使之符合特定环境和需求，是操作系统安全保护一个方面；第二，针对各种惯用操作系统，进行相关配置，使之能正确对付和防御各种入侵；第三，确保网络操作系统本身所提供网络服务能得到安全配置,；,网络操作系统安全与管理实践教材,第9页,网络操作系统安全是整个网络系统安全基础。操作系统安全机制主要包含访问控制和隔离控制。,隔离控制主要有物理（设备或部件）隔离、时间隔离、逻辑隔离和加密隔离等实现方法；,访问控制是安全机制关键，也是操作系统安全中最有效、最直接安全办法,。,访问控制系统普通包含,：主体、客体和安全访问策略；,网络操作系统安全与管理实践教材,第10页,网络访问控制,访问控制类型,访问控制也叫授权，它是对用户访问网络系统资源进行控制过程,；,访问控制详细包含两方面涵义，一是指对用户进入系统控制，最简单最惯用方法是用户账户和口令限制，其次还有一些身份验证办法；二是用户进入系统后对其所能访问资源进行限制，最惯用方法是访问权限和资源属性限制,；,访问控制所考虑是对主体访问客体控制,；,网络操作系统安全与管理实践教材,第11页,访问控制可分为自主访问控制和强制访问控制两大类,；,自主访问控制，是指由系统提供用户有权对本身所创建访问对象（文件、数据表等）进行访问，并可将这些对象访问权授予其它用户或从授予权限用户处收回其访问权限,；,强制访问控制，是指由系统（经过专门设置系统安全员）对用户所创建对象进行统一强制性控制，按照要求规则决定哪些用户能够对哪些对象进行何种操作系统类型访问，即使是创建者用户，在创建一个对象后，也可能无权访问该对象,；,网络操作系统安全与管理实践教材,第12页,访问控制办法,入网访问控制,入网访问控制是为用户安全访问网络设置第一道关口。,经过对一些条件设置来控制用户是否能进入网络一个安全控制方法。,能控制哪些用户能够登录网络，在什么时间、地点（站点）登录网络等,；,网络操作系统安全与管理实践教材,第13页,权限访问控制,访问权限控制一个用户能访问哪些资源（目录和文件），以及对这些资源能进行哪些操作,；,在系统为用户指定用户账户后，系统依据该用户在网络系统中要做工作及相关要求，可为用户访问系统资源设定访问权限,；,网络操作系统安全与管理实践教材,第14页,属性访问控制,属性是文件、目录等资源访问特征,；,属性是系统直接设置给资源，它对全部用户都含有约束权，一旦目录、文件等资源含有了一些属性，用户,(,包含超级用户,),都不能进行超出这些属性要求访问，即不论用户访问权限怎样，只按照资源本身属性实施访问控制,；,网络操作系统安全与管理实践教材,第15页,身份验证,身份验证是证实某人是否为正当用户过程，它是信息安全体系中主要组成部分,；,身份验证方法有很各种,：,用户名和口令验证,；,数字证书验证,；,Security ID,验证,；,用户生理特征验证,；,智能卡验证,；,网络操作系统安全与管理实践教材,第16页,网络端口和节点安全控制,网络中服务器端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密形式来识别节点身份。自动回呼设备用于预防假冒正当用户，静默调制解调器用以防范黑客自动拨号程序对计算机进行攻击,；,网络操作系统安全与管理实践教材,第17页,3.2.2,网络操作系统漏洞与补丁程序,Windows,系统安全漏洞,SAM,数据库漏洞,SMB,协议漏洞,Registry,数据库权限漏洞,权限设置漏洞,建立域别名漏洞,登录验证机制漏洞,NetBIOS,漏洞,Telnet,漏洞,奇怪系统瓦解漏洞,IIS,服务泄漏文件内容,ICMP,漏洞,网络操作系统安全与管理实践教材,第18页,补丁程序,补丁程序是指对于大型软件系统,(,如微软操作系统,),在使用过程中暴露问题,(,普通由黑客或病毒设计者发觉,),而公布处理问题小程序,；,补丁程序主要有系统补丁和软件补丁,:系统补丁就是操作系统不定时错误漏洞修复程序,;,软件补丁通常是因为发觉了软件小错误，为了修复个别小错误而推出，或者为了增强一些小功效而公布，或者是为了增强文件抵抗电脑病毒感染而公布补丁。,网络操作系统安全与管理实践教材,第19页,补丁程序安装,惯用“打补丁”方法：利用软件自动更新（,Update,）功效和手工操作。,利用系统,Update,功效打补丁 只需要在“开始”菜单中找到,Update,命令，单击后即可自动上网搜索官方网站，检验有没有最新版本或者补丁程序。,网络操作系统安全与管理实践教材,第20页,手工打补丁 多数补丁需要先在开发商网站或软件下载网站下载，然后再在本机上运行对应命令来完成。有些补丁需要按照一定操作步骤来完成，所以在打补丁之前要先仔细阅读其说明文档，以免产生错误，造成不可挽回损失。,一些主要软件产品补丁网址和主要企业补丁网站以下：,“,Windows,安全补丁”（,Windows Service Pack 2,）下载网址是,Security RollupPackage,）下载网址是,202.102.231.142/code/fixdown/down/download.asp?id=2209&tp=filename,。,微软企业补丁网站是,/?MSCOMTB=MS_Products,|,Macromedia,企业补丁网站是,Windows,系统安全设置,1,用户安全设置,2,系统安全设置,3,安全使用,Internet Explorer,网络操作系统安全与管理实践教材,第23页,1,用户安全设置,1,）管理员账号管理,(1),创建,2,个管理员账号,(2),把,Administrator,账号更名并创建一个陷阱账号,(3),使用安全密码,网络操作系统安全与管理实践教材,第24页,(1),创建,2,个管理员账号,系统可创建两个管理员账号，一个是含有普通权限普通账号，一个是含有最高权限,Administrator,。平时利用含有普通权限普通账号接收信息和处理一些日常事务，而,Administrator,只在特殊需要或关键时刻使用。,网络操作系统安全与管理实践教材,第25页,(2),把,Administrator,账号更名并创建一个陷阱账号,众人皆知,Administrator,是管理员账号，为了不使其成为众矢之，有效预防他人对它尝试攻击或破译，可将,Administrator,改为一个普通名字（不要使用,Admin,）。将,Administrator,更名后，再创建一个名为“,Administrator”,当地账号，把它权限设置成最低，并为其设置一个超级复杂密码。这么能够使那些别有企图人找不到真正管理员，借此还有可能发觉它们入侵企图。,网络操作系统安全与管理实践教材,第26页,(3),使用安全密码,为账号选择一个安全密码是非常主要，但这却是最轻易被忽略。一些部门管理员创建账号时，往往用企业名、计算机名等做用户名，然后又把这些账号密码设置得很简单，如“,welcome”,、“,iloveyou”,或与用户名相同。用户在首次登录时就应该为这些账号设置复杂密码，并注意经常更换这些密码。,网络操作系统安全与管理实践教材,第27页,2,）普通用户账号管理,(1),禁用或激活用户账号,(2),为账号双重加密,(3),重命名和禁用默认账号,(4),删除无须要用户账号,网络操作系统安全与管理实践教材,第28页,(1),禁用或激活用户账号,第,1,步：使用计算机管理员身份登录（若使用受限用户登录系统，后续工作就不能完成；假如计算机与网络连接，则网络策略设置也能够阻止用户完成后续操作）。第,2,步：登录系统后，选择“开始”“程序”“管理工具”“计算机管理”，打开“计算机管理”窗口。依次展开窗口左侧列表中“计算机管理,(,当地,)”“,系统工具”“当地用户和组”“用户”，这时在窗口右侧显示了系统中全部用户账号，如图,3.1,所表示。第,3,步：假如管理员想禁用哪个用户账号，能够选中该用户账号，然后单击鼠标右键，在弹出菜单中选择“属性”，打开该账号“属性”窗口。在该窗口“常规”标签中选择“账号已停用”复选框，如图,3.2,所表示。然后点击“确定”按钮，这么此账号就被禁用了。假如想激活被禁用账号，能够将“账号已停用”复选框选择取消，即可激活该用户。,网络操作系统安全与管理实践教材,第29页,图,3.1,显示系统中全部用户账号,图,3.2,账号属性,网络操作系统安全与管理实践教材,第30页,(2),为账号双重加密,用户可使用系统组策略工具对用户账号密码设置进行限制，这么可保护自己账号安全。第,1,步：在“开始”“运行”对话框中输入“,syskey”,，回车后可打开“确保,WindowsXP,账号数据库安全”对话框，如图,3.3,所表示。该项操作是不可逆，一旦启用加密则不能够禁用。在这里若直接选中“启用加密”单项选择项，并点击“确定”按钮，程序就对账号完成了双重加密，只不过该加密过程对用户来说是透明。第,2,步：假如用户想深入体验这种双重加密功效，则可在“确保,Windows XP,账号数据库安全”对话框中点击“更新”按钮，打开“开启密码”对话框，如图,3.4,所表示。在这里有“密码开启”和“系统产生密码”两个选项。若选择“开启密码”则需要自己设置一个密码，这么在登录,Windows XP,之前要先输入该密码然后才能选择登录账号。,网络操作系统安全与管理实践教材,第31页,图,3.3,为账号双重加密,图,3.4“,开启”密码对话框,在“系统产生密码”选项下又有两个选项。若选择“在本机上保留开启密码”项，则程序仅在后台完成加密过程。在登录时不需要输入任何密码，因为密码就保留在计算机内部。假如用户对安全保密要求比较高，则能够选择“在软盘上保留开启密码”选项，点击“确定”按钮后，就会有提醒在软驱里放入一张软盘。创建完成，会在软盘上生成一个,StartKey.key,文件，以后每次开机时则必须放入该软盘才能登录，相当于系统有了一张能够随身携带钥匙盘。,网络操作系统安全与管理实践教材,第32页,(3),重命名和禁用默认账号,安装好,Windows,后，系统会自动建立两个账号：,Administrator,和,Guest,，其中,Administrator,是管理员账号，它拥有最高权限；,Guest,是宾客账号，它只有基本权限且默认是禁用。而这种默认账号在为用户带来方便同时也严重危害到了系统安全。所以，安全做法是把,Administrator,账号名称改掉，然后再建立一个几乎没有任何权限假,Administrator,账号，以迷惑入侵者。详细操作以下：,网络操作系统安全与管理实践教材,第33页,在“开始”“运行”中输入,secpol.msc,后回车，打开“当地安全设置”对话框。,依次展开“当地策略”“安全选项”，在右侧窗口有一个“账号：重命名,Administrator,账号”策略。,双击打开后能够给,Administrator,重新设置一个不是很引人注目标用户名（如,ABCD,），如图,3.5,所表示。,然后还能够再新建一个名称为,Administrator,受限制用户，以假乱真。,网络操作系统安全与管理实践教材,第34页,图,3.5 Administrator,重命名设置,网络操作系统安全与管理实践教材,第35页,(4),删除无须要用户账号,Guest,账号很轻易被入侵者利用来攻击系统，所以，为了安全起见，能够考虑将该账号停掉，任何时候都不允许,Guest,账号登录系统。管理员可利用用户组策略设置对应权限，并经常检验系统账号，删除已经不用账号。因为这些无用账号很多时候都是黑客入侵系统突破口，系统账号越多，黑客得到正当用户权限可能性普通也就越大。为了安全起见，限制系统中用户数量是必要，所以能够将系统中,duplicateuser,账号、测试用账号、共享账号等删除。,网络操作系统安全与管理实践教材,第36页,3,）用户登录和密码安全,(1)Administrator,账号登录,(2),找回,Administrator,账号密码,(3),找回丢失系统密码,网络操作系统安全与管理实践教材,第37页,（,1,）,Administrator,账号登录,在,Windows XP,下，假如建立了一个新非受限制用户,(,计算机管理员，如,QAZ),，下次登录计算机时，将不会出现,Administrator,超级用户登录入口了。当必须使用,Administrator,账号登录时，能够采取以下方法：以现有计算机管理员,QAZ,账号登录，进入“程序”“管理工具”“计算机管理”，选择“系统工具”“当地用户和组”，然后单击“用户”，即可看到,Administrator,账号，如图,3.6,所表示。将当前计算机管理员账号,QAZ,停用或删除后，就能够用,Administrator,用户登录了。其操作为：右键单击“,QAZ”,，选择“属性”，勾选“账户已停用”复选框后，点击“确定”按钮，这么就停用了该账号。停用后该账号前有个红色叉号显示，如图,3.6,所表示。这么重新开启计算机时就会出现,Administrator,账号登录入口了。,网络操作系统安全与管理实践教材,第38页,(2),找回,Administrator,账号密码,Windows XP,安装在,NTFS,分区上。在使用故障修复控制台时，程序要求输入,Administrator,密码，但此时却忘记了密码,(,安装,Windows XP,时设置了密码,),。可用以下方法找回,Administrafor,密码。,网络操作系统安全与管理实践教材,第39页,第一：若能正常进入,Windows XP,，则使用含有管理员权限账号登录,Windows XP,，然后打开如图,3.6,所表示计算机当地用户栏，能够看到当前系统里存在全部账号。鼠标右键点击,Administrator,，选择“设置密码”，然后按照屏幕提醒操作即可重新设置密码，如图,3.7,所表示。,图,3.6,当地计算机用户,图,3.7,重新设置密码,网络操作系统安全与管理实践教材,第40页,第二：若无法正常进入,Windows XP,，假如能够使用命令行安全模式，则可用含有管理权限账号登录，使用,NETUSER,命令修改密码，格式为“,NETUSERAdministrator(,输入你新密码,)”,，然后回车即可。,第三：假如连命令行安全模式都无法进入，那么只有使用安装光盘选择修复了。用安装光盘开启系统时，在安装程序选择菜单上选择“现在运行安装,Windows”,，然后选择“修复”开始修复程序。修复过程类似于,Windows98,覆盖安装，修复中会要求重新创建密码，而且已经安装软件依然能够继续使用。,网络操作系统安全与管理实践教材,第41页,(3),找回丢失系统密码,从,SAM,文件中破解密码,SAM,文件是,Windows XP,用户账号数据库，全部,Windows XP,用户登录名及口令等相关信息都保留在该文件中。,SAM,文件位于“,C:system32configsam”,路径下，假如删除了,SAM,文件，在登录,XP,时就不需要密码了，不过账号中包含一些信息（如所创建用户及用户组）也随之丢失。第,1,步：将丢失账号硬盘接到正常系统中，然后运行,LC4,（一款暴力破解软件），在程序界面菜单上选择“,Flie-NewSession”,来新建一个任务，接着选择“,Import-ImprortfromSAMfile”,。第,2,步：在弹出对话框中找到并打开待破解,SAM,文件，此时,LC4,会自动分析此文件，并显示文件中用户名，确认这个账号是欲破解目标后，点击“,Session-BeginAudit”,即可开始破解密码。假如密码不是很复杂，很快就能得到结果；假如密码比较复杂，需要时间会较长。,网络操作系统安全与管理实践教材,第42页,利用密码重设盘恢复密码,第,1,步：打开“控制面板”窗口，选择“用户账号”，点击欲备份密码账号，在弹出账号操作窗口中“相关任务”栏下方，点击“阻止一个已忘记密码”字样，如图,3.8,所表示。第,2,步：打开“忘记密码向导”对话框，点击“下一步”按钮，依据提醒在软驱中插人一张空白已格式化软盘，点击“下一步”按钮，输入当前账号密码，再次点击“下一步”按钮，即可完成密码重设磁盘创建，如图,3.9,所表示。第,3,步：当忘记密码需要使用密码重设盘时，可先开启,Windows XP,，在出现录入窗口时，单击用户名，然后随意输入密码。因为输入密码错误，所以系统会给出“没有记住密码,?”,提醒，这时利用生成密码重设盘，依据提醒即可进行密码恢复工作了。,网络操作系统安全与管理实践教材,第43页,图,3.8,进入“忘记密码向导”,图,3.9,输入当前账号密码,网络操作系统安全与管理实践教材,第44页,2,系统安全设置,1,）使用文件加密系统,EFS,2,）目录和文件权限设置,3,）备份系统和数据,4,）安装系统补丁程序,5),禁止管理共享,6,）设置屏幕保护密码,7),防范,SYN,攻击,8),预防,DoS,9,）加密,temp,文件夹,网络操作系统安全与管理实践教材,第45页,10,）清空远程可访问注册表路径,11,）利用“密码策略”设置可靠密码,12),删除默认共享,13),卸载不安全组件,14),关闭无须要端口,15,）杜绝非法访问应用程序,16,）关闭自动播放服务,17,）账户锁定设置,18),审核,网络操作系统安全与管理实践教材,第46页,1,）使用文件加密系统,EFS,Windows,系统强大文件加密功效可给磁盘、文件夹和文件加上一层安全保护。这么能够预防他人把用户硬盘挂到别机器上以读出里面数据。相关,EFS,内容可见,5.2,节。,网络操作系统安全与管理实践教材,第47页,2,）目录和文件权限设置,(1),访问权限设置,先创建一个用户组，以后全部站点用户都建在这个组里；再设置该组在各个分区没有权限或者完全拒绝；然后设置各用户在各自文件夹里权限。,对,Windows,用户，在系统中可按用户（组）来划分权限。在“开始”“程序”“管理工具”“计算机管理（当地）”路径下选择“当地用户和组”，在这里可详细管理系统用户和用户组。,NTFS,权限设置。分区时可把全部硬盘都分为,NTFS,分区，然后确定每个分区对每个用户开放权限。右键单击要设定权限文件或文件夹，选择“属性”“安全”标签，在这里可管理,NTFS,文件（夹）权限。,网络操作系统安全与管理实践教材,第48页,(2),设置文件共享权限,简单文件共享,打开“我电脑”窗口，依次选择菜单中“工具”“文件夹选项”，打开“文件夹选项”窗口，选择“查看”标签，在“高级设置”列表中，选择“使用简单文件共享,(,推荐,)”,复选框选择，如图,3.10,所表示。,开启,Guest,账号,在系统默认情况下，,Guest,账号是没有启用。如要想让局域网中其它用户能访问你电脑，首先就得启用该账号。打开“控制面板”“用户账号”，单击界面中“,Guest,账号”，然后再单击“启用宾客账号”按钮，即可完成,Guest,账号开启，如图,3.11,所表示。,添加共享访问用户,因为用户在访问共享资源时，需要依据不一样用户设置不一样访问权限，所以在这里所添加共享访问用户也要设置多个权限用户和密码，以供用户访问。,网络操作系统安全与管理实践教材,第49页,图,3.10,简单文件共享,图,3.11,开启,Guest,账号,网络操作系统安全与管理实践教材,第50页,第,1,步：打开“控制面板”中“用户账号”，单击“创建一个新账号”，这时会提醒为新账号键入一个名称，输入一个要创建用户名,(,如,ABCD),，点击“下一步”，然后系统会提醒选择账号类型，有计算机管理员和受限用户两个账号类型供选择。鉴于安全考虑，选择创建受限用户，如图,3.12,所表示。,图,3.12,创建受限账号,网络操作系统安全与管理实践教材,第51页,第,2,步：完成以上操作后，在“用户账号”主界面中就多了一个“,ABCD”,受限账号，如图,3.13,所表示。然后再为该用户设置访问密码。在“用户账号”主界面中单击“,ABCD”,账号，再单击“创建密码”，进入创建密码对话框。在为,ABCD,用户创建密码对话框中输入并验证新创建账号密码，并设置一个密码提醒语，最终单击“创建密码”按钮即可，如图,3.14,所表示。,图,3.13,完成创建受限账号,ABCD,图,3.14,为,ABCD,账号设置密码,网络操作系统安全与管理实践教材,第52页,设置共享资源,在完成以上操作后，就能够设置共享了。第,1,步：选择一个要共享文件或文件夹，单击鼠标右键，选择“共享和安全”，这时界面已与先前共享界面不一样了，多了“权限”和“缓存”设置项。第,2,步：选择“共享该文件夹”，单击“权限”按钮，在“权限”设置窗口中先删除已经有“,Everyone”,，接着添加刚才所创建用户。依次单击“添加”“高级”“马上查找”，搜索系统中已经有用户和组。最终在界面下方用户和组列表中选择“,ABCD”,账号，单击两次“确定”按钮回到权限设置窗口。,(3),设定安全统计访问权限,在默认情况下安全统计是没有保护，可把它设置成只有,Administrator,和系统账号才有权访问。,网络操作系统安全与管理实践教材,第53页,3,）备份系统和数据,用,ghost,软件及时对,C,盘做好备份，并用,KV,、,PQ,等软件将硬盘分区表进行备份。同时，还需要制作一张开启盘方便必要时使用。使用,ntbackup,软件备份系统状态，使用,reg.exe,备份系统关键数据，如,reg export HKLMSOFTWAREODBC e:backupsystemodbc.reg/y,，即可将,SOFTWARE,下,ODBC,文件备份到,e:,盘。,网络操作系统安全与管理实践教材,第54页,4,）安装系统补丁程序,安装系统补丁主要性是不言而喻，尤其是一些主要安全补丁和针对,IE,、,OE,漏洞补丁。尽可能安装最新操作系统和浏览器，并经过下载安装补丁对系统进行升级。,Microsoft,会经常公布一些已知漏洞修补程序，这些程序普通都能够经过,Windows Update,来安装（可经常性访问,Windows Update,网站或者直接点击“开始”菜单中,Windows Update,快捷方式,),。而,Windows XP,和最新,Windows,愈加先进了，能够自动检验更新，在后台下载，完成后通知下载完成并问询是否开始安装。对于,Windows/XP,用户，,Microsoft,还提供了一个检验安全性实用工具：基准安全分析器,(Microsoft Baseline Security Analyzer),。该程序能够自动对用户系统进行安全性检测，而且对于出现问题，都能够提供一个完整处理方案，它非常适合对于安全性要求高用户使用。,网络操作系统安全与管理实践教材,第55页,5),禁止管理共享,进入注册表，打开,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters,项。对于服务器，添加键值“,AutoShareServer”,，类型为“,REG_DWORD”,，其值为“,0”,。对于客户机，添加键值“,AutoShareWks”,，类型为“,REG_DWORD”,，其值为“,0”,。,网络操作系统安全与管理实践教材,第56页,6,）设置屏幕保护密码,设置屏幕保护密码是很必要，操作也很简单，这也是预防内部人员破坏服务器一个屏障。屏幕保护密码不要很复杂，因为没必要浪费很多系统资源。系统用户所使用机器最好也加上屏幕保护密码。,网络操作系统安全与管理实践教材,第57页,7),防范,SYN,攻击,系统可使用,SYN,淹没攻击保护，进入注册表，打开,HKLMSYSTEMCurrentControlSetServiceTcpipParameters,，相关值项以下：,(1)“DWORD,：,SynAttackProtect”,定义了是否允许,SYN,淹没攻击保护，值为“,1”,表示允许起用,Windows,SYN,淹没攻击保护。,(2)“DWORD,：,TcpMaxConnectResponseRetransmissions”,定义了对于连接请求回应包重发次数。值为“,1”,，则,SYN,淹没攻击不会有效果，不过这么会使连接请求失败概率增大。,SYN,淹没攻击保护只有在该值,2,时才会被启用，默认值为,3,。,(3)“DWORD,：,TcpMaxHalfOpen”,定义了能够处于,SYN_RECEIVED,状态,TCP,连接数目，默认值为,100,。,网络操作系统安全与管理实践教材,第58页,(4)“TcpMaxHalfOpenRetried”,定义了在重新发送连接请求后，仍处于,SYN_RECEIVED,状态,TCP,连接数目，默认值为,80,。,(5)“TcpMaxPortsExhausted”,定义了系统拒绝连接请求次数，默认值为,5,。上述前两项定义是否允许,SYN,淹没攻击保护，后三项定义了激活,SYN,淹没攻击保护条件，满足其中之一，则系统自动激活,SYN,淹没攻击保护。,网络操作系统安全与管理实践教材,第59页,8),预防,DoS,进入注册表，打开,HKLMSYSTEMCurrentControlSetServicesTcpipParameters,，更改以下值能够防御一定强度,DoS,攻击：,SynAttackProtectREG_DWORD 2EnablePMTUDiscoveryREG_DWORD0 NoNameReleaseOnDemandREG_DWORD 1EnableDeadGWDetectREG_DWORD 0KeepAliveTimeREG_DWORD300,，,000PerformRouterDiscoveryREG_DWORD 0EnableICMPRedirectsREG_DWORD 0,网络操作系统安全与管理实践教材,第60页,9,）加密,temp,文件夹,一些应用程序在安装和升级时候，会把一些东西拷贝到,temp,文件夹下，不过当程序升级完成或关闭时，并不会自动去除,temp,文件夹中内容。所以，给,temp,文件夹加密也可为文件多一层保护。,10,）清空远程可访问注册表路径,Windows,系统提供了注册表远程访问功效。当将远程可访问注册表路径设置为空时，才能有效地预防黑客利用扫描器经过远程注册表读取计算机系统信息。设置远程可访问注册表路径为空步骤以下：,网络操作系统安全与管理实践教材,第61页,第,1,步：选择“开始”“运行”，输入,gpedit.msc,，确认后打开组策略编辑器。,第,2,步：在组策略中，展开“计算机配置”“,Windows,设置”“安全设置”“当地策略”。,第,3,步：单击“安全选项”，在右侧窗口中找到“网络访问：可远程访问注册表路径”，并双击之，如图,3.15,所表示。,第,4,步：在打开“网络访问：可远程访问注册表路径属性”窗口中，将可远程访问注册表路径和子路径内容全部设置为空，再点击“确定”按钮即可。,网络操作系统安全与管理实践教材,第62页,图,3.15,进入远程可访问注册表路径,网络操作系统安全与管理实践教材,第63页,另外，在进行安全设置中，对如图,3.15,所表示当地策略安全选项设置能够考虑将“网络访问：可匿名访问共享”、“网络访问：可匿名访问命名管道”和“网络访问：可远程访问注册表路径和子路径”三项全部删除；将“不允许,SAM,账户匿名枚举”、“不允许,SAM,账户和共享匿名枚举”、“网络访问：不允许存放网络身份验证凭据或,.NETPassports”,和“网络访问：限制匿名访问命名管道和共享”四项更改为“已启用”。,网络操作系统安全与管理实践教材,第64页,11,）利用“密码策略”设置可靠密码,尽管绝对安全密码是不存在，不过相对安全密码还是能够实现。这还需要运行,secpol.msc,来配置“当地安全设置”。展开到“账户策略”“密码策略”，如图,3.16,、图,3.17,所表示。经过对这里策略配置，就能够建立一个完备密码策略，使密码能够得到最大程度保护。账号密码配置以下：,图,3.16,安全选项设置,图,3.17,账号密码配置,网络操作系统安全与管理实践教材,第65页,(1),强制密码历史。该设置决定了保留用户曾经用过密码个数。很多人知道要经常性更换自己密码，可是换来换去就是有限几个在轮换。配置该策略就能够知道用户更换密码是否是以前曾经使用过。默认情况下，该策略不保留用户密码，用户能够自己设置，提议保留,5,个以上（最多能够保留,24,个）。,(2),密码最长存留期。该策略决定了一个密码能够使用多久，之后就会过期，并要求用户更换密码。假如设置为,0,，则密码永不过期。普通情况下设置为,30,到,60,天左右就能够了，最长能够设置,999,天。详细过期时间要看系统对安全要求