1、内容提要n安全操作系统基础安全操作系统基础n安全操作系统的基本概念安全操作系统的基本概念n安全操作系统的机制安全操作系统的机制nWindows 2000Windows 2000服务器的安全配置服务器的安全配置n操作系统的安全将决定网络的安全,从保护级别上分成操作系统的安全将决定网络的安全,从保护级别上分成安全初级篇、中级篇和高级篇,共安全初级篇、中级篇和高级篇,共3636条基本配置原则。条基本配置原则。n初级篇讲述常规的操作系统安全配置初级篇讲述常规的操作系统安全配置中级篇介绍操作系统的安全策略配置中级篇介绍操作系统的安全策略配置高级篇介绍操作系统安全信息通信配置高级篇介绍操作系统安全信息通信
2、配置操作系统安全概述n目前服务器常用的操作系统有三类:目前服务器常用的操作系统有三类:nUnixnLinuxnWindows Servern这些操作系统都是符合这些操作系统都是符合C2级安全级别的操作系统。级安全级别的操作系统。UNIX系统nUNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统。深远的主流操作系统。nUNIX操作系统经过数十年的发展后,已经成为一种成熟的主流操作操作系统经过数十年的发
3、展后,已经成为一种成熟的主流操作系统,并在发展过程中逐步形成了一些新的特色,其中主要特色包系统,并在发展过程中逐步形成了一些新的特色,其中主要特色包括括5个方面。个方面。n(1)可靠性高)可靠性高n(2)极强的伸缩性)极强的伸缩性n(3)网络功能强)网络功能强n(4)强大的数据库支持功能)强大的数据库支持功能n(5)开放性好)开放性好Linux系统 nLinux是一套可以免费使用和自由传播的类是一套可以免费使用和自由传播的类Unix操作系统,这操作系统,这个系统是由全世界各地的成千上万的程序员设计和实现的。其个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版
4、权制约的、全世界都能自目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的由使用的Unix兼容产品。兼容产品。nLinux是一个免费的操作系统,用户可以免费获得其源代码,并是一个免费的操作系统,用户可以免费获得其源代码,并能够随意修改。能够随意修改。Linux典型的优点有7个n(1)完全免费)完全免费n(2)完全兼容)完全兼容POSIX 1.0标准标准n(3)多用户、多任务)多用户、多任务n(4)良好的界面)良好的界面n(5)丰富的网络功能)丰富的网络功能n(6)可靠的安全、稳定性能)可靠的安全、稳定性能 n(7)支持多种平台)支持多种平台 Windows 操作系统nWindows
5、NT系列操作系统具有以下优点系列操作系统具有以下优点:n(1)支持多种网络协议)支持多种网络协议n由于在网络中可能存在多种客户机,而这些客户机可能使用由于在网络中可能存在多种客户机,而这些客户机可能使用了不同的网络协议。了不同的网络协议。Windows NT系列操作支持几乎所有常系列操作支持几乎所有常见的网络协议。见的网络协议。n(2)内置)内置Internet功能功能n随着随着Internet的流行和的流行和TCP/IP协议组的标准化,协议组的标准化,Windows NT内置了内置了IIS,可以使网络管理员轻松的配置,可以使网络管理员轻松的配置WWW和和FTP等等服务。服务。n(3)支持)支
6、持NTFS文件系统文件系统n在在2000中内置同时支持中内置同时支持FAT和和NTFS的磁盘分区格式。使用的磁盘分区格式。使用NTFS可以提高文件管理的安全性,用户可以对可以提高文件管理的安全性,用户可以对NTFS系统中系统中的任何文件、目录设置权限,可以增加文件的安全性。的任何文件、目录设置权限,可以增加文件的安全性。安全操作系统的基本概念 n安全操作系统涉及很多概念:安全操作系统涉及很多概念:n主体和客体主体和客体n安全策略和安全模型安全策略和安全模型n访问监控器访问监控器n安全内核安全内核n可信计算基可信计算基A.主体和客体 n操作系统中的每一个实体组件都必须是主体或者是客体,或者既操作
7、系统中的每一个实体组件都必须是主体或者是客体,或者既是主体又是客体。是主体又是客体。n主体是一个主动的实体,它包括用户、用户组、进程等。系统中主体是一个主动的实体,它包括用户、用户组、进程等。系统中最基本最基本的主体是用户,系统中的所有事件要求,几乎全是由用户的主体是用户,系统中的所有事件要求,几乎全是由用户激发的。进程是系统中激发的。进程是系统中最活跃最活跃的实体,用户的所有事件要求都要的实体,用户的所有事件要求都要通过进程的运行来处理。通过进程的运行来处理。n客体是一个被动的实体。在操作系统中,客体可以是按照一定格客体是一个被动的实体。在操作系统中,客体可以是按照一定格式存储在一定记录介质
8、上的数据信息,也可以是操作系统中的进式存储在一定记录介质上的数据信息,也可以是操作系统中的进程。操作系统中的进程(包括用户进程和系统进程)一般有着双程。操作系统中的进程(包括用户进程和系统进程)一般有着双重身份。重身份。B.安全策略和安全模型 n安全策略与安全模型是计算机安全理论中容易相互混淆的两个安全策略与安全模型是计算机安全理论中容易相互混淆的两个概念。安全策略是指概念。安全策略是指有关管理、保护和发布敏感信息的规定和有关管理、保护和发布敏感信息的规定和实施细则实施细则。n安全模型则是安全模型则是对安全策略所表达的安全需求的简单、抽象和无对安全策略所表达的安全需求的简单、抽象和无歧义的描述
9、歧义的描述,它为安全策略和安全策略实现机制的关联提供了它为安全策略和安全策略实现机制的关联提供了一种框架。一种框架。n安全模型描述了对某个安全策略需要用哪种机制来满足;而模安全模型描述了对某个安全策略需要用哪种机制来满足;而模型的实现则描述了如何把特定的机制应用于系统中,从而实现型的实现则描述了如何把特定的机制应用于系统中,从而实现某一特定安全策略所需的安全保护。某一特定安全策略所需的安全保护。C.访问监控器n访问控制机制的理论基础是访访问控制机制的理论基础是访问监控器。问监控器。n访问监控器是一个抽象概念,访问监控器是一个抽象概念,其具体实现是引用验证思想,其具体实现是引用验证思想,它是实现
10、访问监控器思想的硬它是实现访问监控器思想的硬件和软件的组合。件和软件的组合。n访问监控器需要同时满足以下访问监控器需要同时满足以下3 个原则:个原则:(1)必须具有自我保护能力;必须具有自我保护能力;(2)必须总是处于活跃状态;必须总是处于活跃状态;(3)必须设计得足够小,以利于分析和测试,从而能够证明其实现是正确的。必须设计得足够小,以利于分析和测试,从而能够证明其实现是正确的。D.安全内核 n安全内核由硬件和介于硬件和安全内核由硬件和介于硬件和操作系统之间的一层软件组成,操作系统之间的一层软件组成,在一个大型操作系统中,只有在一个大型操作系统中,只有其中的一小部分软件用于安全其中的一小部分
11、软件用于安全目的。目的。n安全内核必须予以适当的保护,安全内核必须予以适当的保护,不能篡改。同时绝不能有任何不能篡改。同时绝不能有任何绕过安全内核存取控制检查的绕过安全内核存取控制检查的存取行为存在。存取行为存在。n安全内核必须尽可能地小,便安全内核必须尽可能地小,便于进行正确性验证。于进行正确性验证。E.可信计算基 n操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬件。这些软件、硬件和负责系统安全管理的人员一起组成了系统件。这些软件、硬件和负责系统安全管理的人员一起组成了系统的可信计算基(的可信计算基(Trusted Compu
12、ting Base,TCB)。)。n具体来说可信计算基由以下具体来说可信计算基由以下7个部分组成:个部分组成:n1.操作系统的安全内核。操作系统的安全内核。n2.具有特权的程序和命令。具有特权的程序和命令。n3.处理敏感信息的程序,如系统管理命令等。处理敏感信息的程序,如系统管理命令等。n4.与与TCB实施安全策略有关的文件。实施安全策略有关的文件。n5.其它有关的固件、硬件和设备。其它有关的固件、硬件和设备。n6.负责系统管理的人员。负责系统管理的人员。n7.保障固件和硬件正确的程序和诊断软件。保障固件和硬件正确的程序和诊断软件。安全操作系统的机制 n安全操作系统的机制包括:安全操作系统的机
13、制包括:n硬件安全机制硬件安全机制n安全标识与鉴别安全标识与鉴别n访问控制访问控制n最小特权管理最小特权管理n可信通路可信通路n安全审计安全审计A.硬件安全机制 n计算机硬件安全的目标是,计算机硬件安全的目标是,保证其自身的可靠性和为系统提保证其自身的可靠性和为系统提供基本安全机制供基本安全机制。n基本安全机制包括:基本安全机制包括:n存储保护存储保护n存储保护是操作系统中存储保护是操作系统中最基本的安全要求最基本的安全要求,要求存储器中的,要求存储器中的数据被合法地访问。数据被合法地访问。n保护单元是最小的数据范围,保护单元越小,保护精度越高。保护单元是最小的数据范围,保护单元越小,保护精度
14、越高。n系统存储区域分为系统存储区域分为用户空间和系统空间用户空间和系统空间,用户模式下运行的,用户模式下运行的非特权程序应禁止访问系统空间,而内核模式下运行的程序非特权程序应禁止访问系统空间,而内核模式下运行的程序应可以访问任何空间。应可以访问任何空间。n应该防止用户程序访问操作系统内核的存储区域以及进程间应该防止用户程序访问操作系统内核的存储区域以及进程间非法访问对方的存储区域。非法访问对方的存储区域。n运行保护运行保护n进程运行的区域称为运行域进程运行的区域称为运行域。n一般操作系统都会包含硬件层、内核层、应用层、用户层等若一般操作系统都会包含硬件层、内核层、应用层、用户层等若干层次,这
15、种分层的目的是为了隔离运行域。干层次,这种分层的目的是为了隔离运行域。n运行域可以看成一系列同心圆,内层权限最高外层权限最低,运行域可以看成一系列同心圆,内层权限最高外层权限最低,形成等级域。形成等级域。n等级域规定等级域规定每个进程都在规定的层上运行每个进程都在规定的层上运行,层号越低,保护越,层号越低,保护越多。多。nI/O保护保护n为保证安全,为保证安全,I/O应是只有操作系统才能完成的特权操作。应是只有操作系统才能完成的特权操作。n对于一般对于一般I/O设备,操作系统都会提供该设备的系统调用;对网设备,操作系统都会提供该设备的系统调用;对网络访问,也提供标准访问接口,而不需用户控制操作
16、细节。络访问,也提供标准访问接口,而不需用户控制操作细节。nI/O设备应被看成一个客体,对其所有的访问都需经过相应的访设备应被看成一个客体,对其所有的访问都需经过相应的访问控制机制。问控制机制。B.标识与鉴别 n标识与鉴别是涉及标识与鉴别是涉及系统和用户系统和用户的一个过程。的一个过程。n标识就是系统要标识用户的身份标识就是系统要标识用户的身份,每个用户有一个系统可以识,每个用户有一个系统可以识别的用户标识符。用户标识符必须是惟一的且不能被伪造。别的用户标识符。用户标识符必须是惟一的且不能被伪造。n将用户标识符与用户联系的过程称为将用户标识符与用户联系的过程称为鉴别鉴别,鉴别过程主要用以,鉴别
17、过程主要用以识别用户的真实身份。识别用户的真实身份。n鉴别操作总是要求用户具有能够证明他的身份的特殊信息,并鉴别操作总是要求用户具有能够证明他的身份的特殊信息,并且这个信息是秘密的,任何其他用户都不能拥有它。且这个信息是秘密的,任何其他用户都不能拥有它。C.访问控制 n访问控制用来决定用户是否有权访问一些特定客体的访问控制用来决定用户是否有权访问一些特定客体的一种一种访问约束机制访问约束机制。n在安全操作系统领域中,访问控制一般都涉及:在安全操作系统领域中,访问控制一般都涉及:n自主访问控制自主访问控制(Discretionary Access Control,DAC)n强制访问控制强制访问控
18、制(Mandatory Access Control,MAC)C1.自主访问控制 n自主访问控制是自主访问控制是最常用最常用的一类访问控制机制,在自主访的一类访问控制机制,在自主访问控制机制下,问控制机制下,文件的拥有者可以按照自己的意愿精确文件的拥有者可以按照自己的意愿精确指定系统中的其他用户对其文件的访问权指定系统中的其他用户对其文件的访问权。n使用自主访问控制机制,一个用户可以使用自主访问控制机制,一个用户可以自主地说明他所自主地说明他所拥有的资源允许系统中哪些用户以何种权限进行共享拥有的资源允许系统中哪些用户以何种权限进行共享。从这种意义上讲,是从这种意义上讲,是“自主自主”的。另外自
19、主也指对其他的。另外自主也指对其他具有授予某种访问权力的用户能够自主地(可能是间接具有授予某种访问权力的用户能够自主地(可能是间接的)的)将访问权或访问权的某个子集授予另外的用户将访问权或访问权的某个子集授予另外的用户。C2.强制访问控制n在强制访问控制机制下,系统中的每个客体都被赋予在强制访问控制机制下,系统中的每个客体都被赋予了相应的安全属性,这些安全属性是了相应的安全属性,这些安全属性是不能改变不能改变的,它的,它由管理部门(如安全管理员)或由操作系统由管理部门(如安全管理员)或由操作系统自动地按自动地按照严格的规则来设置照严格的规则来设置,不像访问控制表那样由用户或,不像访问控制表那样
20、由用户或他们的程序直接或间接地修改。他们的程序直接或间接地修改。n在强制访问控制机制下,当一主体访问一个客体时,在强制访问控制机制下,当一主体访问一个客体时,需要比较需要比较主体的安全属性和客体的安全属性,从而确主体的安全属性和客体的安全属性,从而确定是否允许进程对客体的访问。定是否允许进程对客体的访问。n主体不能改变自身的或任何客体的安全属性主体不能改变自身的或任何客体的安全属性,包括不,包括不能改变属于主体的客体的安全属性,而且也不能通过能改变属于主体的客体的安全属性,而且也不能通过授予其他用户客体存取权限简单地实现客体共享。授予其他用户客体存取权限简单地实现客体共享。n如果系统判定拥有某
21、一安全属性的主体不能访问某个如果系统判定拥有某一安全属性的主体不能访问某个客体,那么任何人(包括客体的拥有者)也不能使它客体,那么任何人(包括客体的拥有者)也不能使它访问该客体。访问该客体。强制访问控制和自主访问控制n强制访问控制和自主访问控制是两种不同类型的访问强制访问控制和自主访问控制是两种不同类型的访问控制机制,它们常结合起来使用。控制机制,它们常结合起来使用。仅当主体能够同时仅当主体能够同时通过自主访问控制和强制访问控制检查时,它才能访通过自主访问控制和强制访问控制检查时,它才能访问一个客体。问一个客体。n用户使用自主访问控制防止其他用户非法入侵自己的用户使用自主访问控制防止其他用户非
22、法入侵自己的文件,强制访问控制则作为更强有力的安全保护方式,文件,强制访问控制则作为更强有力的安全保护方式,使用户不能通过意外事件和有意识的误操作逃避安全使用户不能通过意外事件和有意识的误操作逃避安全控制。控制。n强制访问控制用于将系统中的信息分密级和类进行管强制访问控制用于将系统中的信息分密级和类进行管理,适用于政府部门、军事和金融等领域。理,适用于政府部门、军事和金融等领域。D.最小特权管理 n在现有多用户操作系统中,超级用户具有所有特权,普通用户不在现有多用户操作系统中,超级用户具有所有特权,普通用户不具有任何特权。一个进程要么具有所有特权,要么不具有任何特具有任何特权。一个进程要么具有
23、所有特权,要么不具有任何特权。这种特权管理方式不利于系统的安全性。权。这种特权管理方式不利于系统的安全性。n一旦超级用户的口令丢失或被冒充或误操作,将会对系统造成极一旦超级用户的口令丢失或被冒充或误操作,将会对系统造成极大的损失。因此必须实行最小特权管理机制。大的损失。因此必须实行最小特权管理机制。n最小特权管理的思想是系统不应给用户最小特权管理的思想是系统不应给用户超过执行任务所需特权超过执行任务所需特权以以外的特权。外的特权。n如将超级用户的特权划分为一组细粒度的特权,分别授予不如将超级用户的特权划分为一组细粒度的特权,分别授予不同的系统操作员同的系统操作员/管理员,管理员,使各种系统操作
24、员使各种系统操作员/管理员只具有完管理员只具有完成其任务所需的特权,从而减少由于特权用户口令丢失或误成其任务所需的特权,从而减少由于特权用户口令丢失或误操作所引起的损失。操作所引起的损失。n把传统的超级用户划分为把传统的超级用户划分为安全管理员、系统管理员、系统操作员安全管理员、系统管理员、系统操作员三种特权用户。三种特权用户。n安全管理员行使诸如设定安全等级、管理审计信息等系统安安全管理员行使诸如设定安全等级、管理审计信息等系统安全维护职能;全维护职能;n系统管理员行使诸如创建和删除用户帐户、处理记帐信息等系统管理员行使诸如创建和删除用户帐户、处理记帐信息等系统管理职能。系统管理职能。n系统
25、操作员行使诸如磁盘数据备份、启动和关闭系统等系统系统操作员行使诸如磁盘数据备份、启动和关闭系统等系统日常维护职能;日常维护职能;n传统的超级用户不复存在,任何一个用户都不能获取足够的权力传统的超级用户不复存在,任何一个用户都不能获取足够的权力破坏系统的安全策略。破坏系统的安全策略。E.可信通路 n终端用户直接同可信计算基进行通信的一种机制。终端用户直接同可信计算基进行通信的一种机制。n只能由有关人员或可信计算基启动,且不能被不可只能由有关人员或可信计算基启动,且不能被不可信软件模仿。信软件模仿。n主要应用于用户登录或注册时,保证用户确实和安主要应用于用户登录或注册时,保证用户确实和安全内核通信
26、,防止不可信进程如木马等模拟系统的全内核通信,防止不可信进程如木马等模拟系统的登录过程而窃取口令。登录过程而窃取口令。F.安全审计 n一个系统的安全审计就是对系统中一个系统的安全审计就是对系统中有关安全的活动有关安全的活动进行记录、进行记录、检查及审核。检查及审核。目的是检测和阻止非法用户对计算机系统的入侵,目的是检测和阻止非法用户对计算机系统的入侵,并显示合法用户的误操作并显示合法用户的误操作。n审计作为一种事后追查的手段来保证系统的安全,它对涉及系审计作为一种事后追查的手段来保证系统的安全,它对涉及系统安全的操作做一个完整的记录。统安全的操作做一个完整的记录。n审计为系统进行事故原因的查询
27、、定位,事故发生前的预测、审计为系统进行事故原因的查询、定位,事故发生前的预测、报警以及事故发生之后的实时处理报警以及事故发生之后的实时处理提供详细、可靠的依据和支提供详细、可靠的依据和支持持,以备有违反系统安全规则的事件发生后能够有效地追查事,以备有违反系统安全规则的事件发生后能够有效地追查事件发生的地点和过程以及责任人。件发生的地点和过程以及责任人。安全配置方案初级篇 n安全配置方案初级篇主要介绍安全配置方案初级篇主要介绍常规常规的操作系统的操作系统安全配置,包括安全配置,包括十二十二条基本配置原则:条基本配置原则:n物理安全、停止物理安全、停止Guest帐号、限制用户数量帐号、限制用户数
28、量n创建多个管理员帐号、管理员帐号改名创建多个管理员帐号、管理员帐号改名n陷阱帐号、更改默认权限、设置安全密码陷阱帐号、更改默认权限、设置安全密码n屏幕保护密码、使用屏幕保护密码、使用NTFS分区分区n运行防毒软件和确保备份盘安全。运行防毒软件和确保备份盘安全。1、物理安全n服务器应该安放在安装了监视器的服务器应该安放在安装了监视器的隔离房间隔离房间内,内,并且监视器要保留并且监视器要保留15天以上的摄像记录天以上的摄像记录。n机箱,键盘,电脑桌抽屉要机箱,键盘,电脑桌抽屉要上锁上锁,以确保旁人,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安即使进入房间也无法使用电脑,钥匙要放在安全的地方
29、。全的地方。2、停止Guest帐号n在计算机管理的用户里在计算机管理的用户里面把面把Guest帐号停用帐号停用,任何时候都不允许任何时候都不允许Guest帐号登陆系统。帐号登陆系统。n为了保险起见,最好给为了保险起见,最好给Guest 加一个复杂的密加一个复杂的密码,包含特殊字符码,包含特殊字符,数数字,字母的长字符串。字,字母的长字符串。n修改修改Guest帐号的属性,帐号的属性,设置拒绝远程访问,如设置拒绝远程访问,如图所示。图所示。3 限制用户数量n去掉所有的去掉所有的测试帐户、共享帐号和普通部门帐号测试帐户、共享帐号和普通部门帐号等等。等等。用户组策略设置相应权限,并且用户组策略设置相
30、应权限,并且经常检查经常检查系统的帐户,系统的帐户,删除已经不使用的帐户。删除已经不使用的帐户。n帐户很多是黑客们入侵系统的突破口,系统的帐户越帐户很多是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。多,黑客们得到合法用户的权限可能性一般也就越大。n如果系统帐户超过如果系统帐户超过10个,一般能找出一两个弱口令帐个,一般能找出一两个弱口令帐户,所以户,所以帐户数量不要大于帐户数量不要大于10个个。4 多个管理员帐号n这点事实上是服从上面规则的这点事实上是服从上面规则的(最小特权管理的思想最小特权管理的思想)。如:创建一个一般用户权限帐号用来处理电子邮件以及
31、如:创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物,另一个拥有处理一些日常事物,另一个拥有Administrator权限的帐权限的帐户只在需要的时候使用。户只在需要的时候使用。n尽量减少尽量减少Administrator登录的次数和时间。登录的次数和时间。5 管理员帐号改名n把把Administrator帐户改名可以有效的防止密码猜测帐户改名可以有效的防止密码猜测。n尽量把它伪装成普通用户,比如改成:尽量把它伪装成普通用户,比如改成:guestone。具体操作的。具体操作的时候只要选中帐户名改名就可以了。时候只要选中帐户名改名就可以了。6 陷阱帐号n所谓的陷阱帐号是创所谓的陷阱帐
32、号是创建一个名为建一个名为“Administrator”的本地帐户,把它的的本地帐户,把它的权限设置成最低,并权限设置成最低,并且加上一个超过且加上一个超过10位的超级复杂密码。位的超级复杂密码。n这样可以让那些企图这样可以让那些企图入侵者忙上一段时间入侵者忙上一段时间了,并且可以借此发了,并且可以借此发现它们的入侵企图。现它们的入侵企图。7 更改默认权限n任何时候不要把共享任何时候不要把共享文件的用户设置成文件的用户设置成“Everyone”组。包组。包括打印共享,默认的括打印共享,默认的属性就是属性就是“Everyone”组的。组的。8安全密码n好的密码对于一个网络是非常重要的,密码长度决
33、定其好的密码对于一个网络是非常重要的,密码长度决定其安全性,还要注意经常更改密码。安全性,还要注意经常更改密码。n安全密码的定义:安全期内无法破解出来的密码,也就安全密码的定义:安全期内无法破解出来的密码,也就是说,如果得到了密码文档,必须花是说,如果得到了密码文档,必须花43天或者更长的时天或者更长的时间才能破解出来,密码策略是间才能破解出来,密码策略是42天必须改密码。天必须改密码。9屏幕保护密码n设置屏幕保护密码是防止设置屏幕保护密码是防止内部人员破坏服务器的一内部人员破坏服务器的一个屏障。注意不要使用一个屏障。注意不要使用一些复杂的屏幕保护程序,些复杂的屏幕保护程序,浪费系统资源,黑屏
34、就可浪费系统资源,黑屏就可以了。以了。n所有系统用户所使用的机所有系统用户所使用的机器也最好加上屏幕保护密器也最好加上屏幕保护密码。码。n将等待时间设置为最短时将等待时间设置为最短时间间“1秒秒”。10 NTFS分区n把服务器的所有分区都改成把服务器的所有分区都改成NTFS格式。格式。NTFS文件系统要比文件系统要比FAT、FAT32的文件系的文件系统安全得多。统安全得多。11防毒软件nWindows 2000/NT服务器一般都没有安装防毒软件的,服务器一般都没有安装防毒软件的,一些好的杀毒软件不仅能杀掉一些著名的病毒,还能一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。
35、查杀大量木马和后门程序。n设置了放毒软件,设置了放毒软件,“黑客黑客”们使用的那些有名的木马们使用的那些有名的木马就毫无用武之地了,并且要就毫无用武之地了,并且要经常升级经常升级病毒库。病毒库。12备份盘的安全n一旦系统资料被黑客破坏,备份盘将是恢复资一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份盘防在料的唯一途径。备份完资料后,把备份盘防在安全的地方。安全的地方。n不能把资料备份在同一台服务器上不能把资料备份在同一台服务器上,这样的话,这样的话还不如不要备份。还不如不要备份。安全配置方案中级篇n安全配置方案中级篇主要介绍操作系统的安全配置方案中级篇主要介绍操作系统
36、的安全安全策略配置策略配置,包括,包括十十条基本配置原则:条基本配置原则:n操作系统安全策略、关闭不必要的服务操作系统安全策略、关闭不必要的服务n关闭不必要的端口、开启审核策略关闭不必要的端口、开启审核策略n开启密码策略、开启帐户策略、备份敏感文件开启密码策略、开启帐户策略、备份敏感文件n不显示上次登陆名、禁止建立空连接和下载最新的不显示上次登陆名、禁止建立空连接和下载最新的补丁补丁1 操作系统安全策略n利用利用Windows 2000的安全配置工具来配置安全策略,微软提的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置供了一套的基于管理控制台的安全配置
37、和分析工具,可以配置服务器的安全策略。服务器的安全策略。n在管理工具中可以找到在管理工具中可以找到“本地安全策略本地安全策略”,可以配置四类安,可以配置四类安全策略:帐户策略、本地策略、公钥策略和全策略:帐户策略、本地策略、公钥策略和IP安全策略。在默安全策略。在默认的情况下,这些策略都是没有开启的。认的情况下,这些策略都是没有开启的。2 关闭不必要的服务nWindows 2000的的Terminal Services(终端服务)和(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞。信息服务)等都可能给系统带来安全漏洞。n为了能够在远程方便的管理服务器,很多机器的终端
38、服为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,务都是开着的,如果开了,要确认已经正确的配置了终要确认已经正确的配置了终端服务端服务。n要留意服务器上开启的所有服务并每天检查。要留意服务器上开启的所有服务并每天检查。nWindows 2000作为服务器可禁用的服务及其相关说明如作为服务器可禁用的服务及其相关说明如表所示。表所示。Windows2000可禁用的服务 服务名服务名说明说明Computer Browser维护网络上计算机的最新列表以及提供这个列表维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行允许程序在指定时间运行
39、Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体、驱动程序和库管理可移动媒体、驱动程序和库Remote Registry Service允许远程注册表操作允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印。要用打印机的将文件加载到内存中以便以后打印。要用打印机的用户不能禁用这项服务用户不能禁用这项服务IPSEC Policy Agent管理管理IP安全策略以及启动安全策略以及启动ISAKMP/Oakley(IKE)和和IP安全驱动程序安全
40、驱动程序Distributed Link Tracking Client当文件在网络域的当文件在网络域的NTFS卷中移动时发送通知卷中移动时发送通知Com+Event System提供事件的自动发布到订阅提供事件的自动发布到订阅COM组件组件3 关闭不必要的端口n关闭端口意味着减少功能,用端口扫描器扫描系统所开放的端口,关闭端口意味着减少功能,用端口扫描器扫描系统所开放的端口,在在Winntsystem32driversetcservices文件中有知名端口和服务文件中有知名端口和服务的对照表可供参考。的对照表可供参考。n设置本机开放的端口和服务,在设置本机开放的端口和服务,在IP地址设置窗口
41、中点击按钮地址设置窗口中点击按钮“高级高级”。n在出现的对话框在出现的对话框中选择选项卡中选择选项卡“选项选项”,选中,选中“TCP/IP筛选筛选”,点击按钮,点击按钮“属属性性”。nTCP/IP筛选器是筛选器是Windows自带的防火墙,可以替代防火墙的部自带的防火墙,可以替代防火墙的部分功能。如:一台分功能。如:一台Web服务器只允许服务器只允许TCP的的80端口通过就可以了。端口通过就可以了。4 开启审核策略n安全审核是安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对最基本的入侵检测方法。当有人尝试对系统进行某种方式入侵的时候,都会被安全审核记录下来。系统进行某种方式
42、入侵的时候,都会被安全审核记录下来。n安全审核需要经常察看。安全审核需要经常察看。n下表的这些审核是必须开启的,其他的可以根据需要增加。下表的这些审核是必须开启的,其他的可以根据需要增加。策略策略设置设置审核系统登陆事件审核系统登陆事件成功,失败成功,失败审核帐户管理审核帐户管理成功,失败成功,失败审核登陆事件审核登陆事件成功,失败成功,失败审核对象访问审核对象访问成功成功审核策略更改审核策略更改成功,失败成功,失败审核特权使用审核特权使用成功,失败成功,失败审核系统事件审核系统事件成功,失败成功,失败审核策略默认设置 n审核策略在默认的情况下都是没有开启的,如图所示。审核策略在默认的情况下都
43、是没有开启的,如图所示。n双击审核列表的某一项,出现设置对话框,将复选框双击审核列表的某一项,出现设置对话框,将复选框“成功成功”和和“失败失败”都选中。都选中。5 开启密码策略n密码对系统安全非常重要。本地安全设置中的密码策略在默密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如表所示:认的情况下都没有开启。需要开启的密码策略如表所示:策略策略设置设置密码复杂性要求密码复杂性要求启用启用密码长度最小值密码长度最小值6位位密码最长存留期密码最长存留期15天天强制密码历史强制密码历史5个个n设置选项。设置选项。6 开启帐户策略n开启帐户策略可以有效的防
44、止字典式攻击,设置如表所示。开启帐户策略可以有效的防止字典式攻击,设置如表所示。策略策略设置设置复位帐户锁定计数器复位帐户锁定计数器30分钟分钟帐户锁定时间帐户锁定时间30分钟分钟帐户锁定阈值帐户锁定阈值5次次帐户策略设置帐户策略设置n账户锁定阈值:指用户输入几次错误的密码后,其账户将被锁定。账户锁定阈值:指用户输入几次错误的密码后,其账户将被锁定。n设置范围设置范围0999之间,默认值为之间,默认值为0,表示不锁定账户。,表示不锁定账户。n账户锁定时间:指当用户账户被锁定后,经过多少分钟后将被自动解锁。账户锁定时间:指当用户账户被锁定后,经过多少分钟后将被自动解锁。n设置范围:设置范围:09
45、9999,0表示必须由管理员手动解锁。表示必须由管理员手动解锁。n复位账户锁定计数器:指用户由于输入密码错误开始计时,计数器保持复位账户锁定计数器:指用户由于输入密码错误开始计时,计数器保持的时间,当时间过后,计数器将被复位为的时间,当时间过后,计数器将被复位为0。n有效范围为有效范围为1到到99,999分钟之间。分钟之间。n如果定义了帐户锁定阈值,则该复位时间必须小于或等于帐户锁定时间。如果定义了帐户锁定阈值,则该复位时间必须小于或等于帐户锁定时间。n默认值:无,因为只有当指定了默认值:无,因为只有当指定了“帐户锁定阈值帐户锁定阈值”时,该策略设置才有时,该策略设置才有意义。意义。设置帐户策
46、略 n设置的结果如图所示。设置的结果如图所示。7 备份敏感文件n把敏感文件存放在把敏感文件存放在另外的文件服务器另外的文件服务器中,虽然服务器中,虽然服务器的硬盘容量都很大,但是还是应该考虑把一些重要的的硬盘容量都很大,但是还是应该考虑把一些重要的用户数据(文件,数据表和项目文件等)存放在用户数据(文件,数据表和项目文件等)存放在另外另外一个安全的服务器一个安全的服务器中,并且经常备份。中,并且经常备份。8 不显示上次登录名n默认情况下,本地的登陆或终端服务接入服务器时,登陆对话框中默认情况下,本地的登陆或终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户名。黑客们可以得到系统的一些用户名
47、,进会显示上次登陆的帐户名。黑客们可以得到系统的一些用户名,进而做密码猜测。而做密码猜测。n修改注册表修改注册表禁止显示上次登录名禁止显示上次登录名,在,在HKEY_LOCAL_MACHINE主主键下修改子键:键下修改子键:SoftwareMicrosoftWindowsNTCurrentVersionWinlogon DontDisplayLastUserName,将键值改成,将键值改成1,如图所示。,如图所示。9 禁止建立空连接n默认情况下,任何用户通过空连接连上服务器,进而可以枚举出管理员默认情况下,任何用户通过空连接连上服务器,进而可以枚举出管理员帐号,猜测密码。帐号,猜测密码。n可以
48、通过修改注册表来禁止建立空连接。在可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修改子键:主键下修改子键:nSystemCurrentControlSetControlLSARestrictAnonymous,将,将键值改成键值改成“1”即可。即可。10 下载最新的补丁n很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。了很久了,还放着服务器的漏洞不补给人家当靶子用。n谁也不敢保证数百万行以上代码的谁也不敢保证数百万行以上代码的Windows 2000
49、不出一点安全漏不出一点安全漏洞。洞。n经常访问微软和一些安全站点,下载最新的经常访问微软和一些安全站点,下载最新的Service Pack和漏洞补和漏洞补丁,是保障服务器长久安全的唯一方法。丁,是保障服务器长久安全的唯一方法。安全配置方案高级篇n高级篇介绍操作系统高级篇介绍操作系统安全信息通信配置安全信息通信配置,包括十四条配置原,包括十四条配置原则:则:n关闭关闭DirectDraw、关闭默认共享、关闭默认共享n禁用禁用Dump File、文件加密系统、文件加密系统n加密加密Temp文件夹、锁住注册表、关机时清除文件文件夹、锁住注册表、关机时清除文件n禁止软盘光盘启动、使用智能卡、使用禁止软
50、盘光盘启动、使用智能卡、使用IPSecn禁止判断主机类型、抵抗禁止判断主机类型、抵抗DDOSn禁止禁止Guest访问日志和数据恢复软件访问日志和数据恢复软件1 关闭DirectDrawnC2级安全标准对视频卡和内存有要求。关闭级安全标准对视频卡和内存有要求。关闭DirectDraw可能对一些需要可能对一些需要用到用到DirectX的程序有影响(比如游戏),但是对于绝大多数的商业站点的程序有影响(比如游戏),但是对于绝大多数的商业站点都是没有影响的。都是没有影响的。n在在HKEY_LOCAL_MACHINE主键下修改子键:主键下修改子键:nSYSTEMCurrentControlSetContr
浙ICP备2021020529号-1 | 浙B2-20240490 
