项目4-操作系统安全与加固.pptx

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2017/2/28,#,网络安全技术项目化教程,主编 段新华 宋风忠,中国,水利,水电,出版社,项目,4,操作系统安全与加固,项目导读,在网络环境中，网络系统的安全性依赖于网络中各主机系统的安全性，主机系统的安全性正是由其操作系统的安全性所决定的，没有安全的操作系统的支持，网络安全也毫无根基可言。,教学目标,掌握操作系统的加固，以防范常见的系统渗透和网络攻击。,掌握操作系统相关的安全工具的功能和使用方法。,任务,1 Windows,账户与口令的安全设置,任务描述,操作系统中不适当的用户账号是攻击者入侵操作系统的主要手段之一。通过对用户帐号的安全管理可以避免很多潜在的安全问题。对帐户实施管理，确保系统的安全性，采取的措施有限制用户数量、停用,Guest,用户、重命名管理员帐户、设置陷阱帐户和双管理员账户等。,任务要求,掌握安全账户的设置方法。,知识链接,1,本地安全管理,2,高强度登录密码,实现方法,1,限制用户数量,有效账户的数量要尽可能的少，去掉测试账户和共享账户，系统的账户越多，被攻击成功的可能性越大。如果系统账户超过,10,个，就有可能找到一个或两个弱口令账户，所以账户数量一般不超过,10,个。要经常使用一些扫描工具查看系统账户、账户权限及密码，及时删除不再使用的账户。,2,停用,Guest,账户,停用,Guest,账户，改成一个复杂的名称并添加密码，将,Guest,账户从,Guests,组中删除，任何时候都禁用,Guest,账户登录系统。,3,重命名管理员账户,许多用户都是用,Administrator,账户登录系统，但黑客得知用户登录系统的账户名后，就可以发动有针对性的攻击。如果用户使用,Administrator,账户登录系统，就为黑客攻击创造了条件。因此重命名,Administrator,账户，尽量将其伪装成普通账户，使黑客无法针对该账户发起攻击。,4,设置陷阱账户,在,Guests,组中设置一个,Administrator,账户，把它的权限设置成最低，但密码设置成复杂密码，而且用户不能更改此账户密码，这样就可以使企图入侵的黑客花费一番功夫，并可以借此发现黑客的入侵企图。,5,设置高强度密码,任务,2 Windows,文件系统的安全设置,任务描述,以某公司的实际应用为例，公司销售部和技术部各有一个共享文件夹，存放本部门的资料，部门经理对本部门的文件夹有完全控制权限，部门员工对本部门文件夹具有读写权限，对公司其他部门的文件夹有只读的权限。,任务要求,掌握文件权限的设置方法。,知识链接,1,设置文件权限需要注意的几点,（,1,）,NTFS,文件权限为：读取（读文件，查看文件属性、拥有人和权限）；写入（覆盖写入文件，修改文件属性，查看文件拥有人和权限）；读取和运行（运行应用程序，同时具备“读取”权限）；修改（修改和删除文件，同时具备“写入”权限和“读取和运行”权限）；完全控制（改变权限，成为拥有人，同时具备其他所有,NTFS,文件权限）。,（,2,）权限是累积的。用户对某个资源的有效权限是授予这一用户帐号的,NTFS,权限和该用户所属的用户组具备的,NTFS,权限组合。,（,3,）,NTFS,的文件权限超越,NTFS,文件夹权限。某个用户对某个文件有“修改”权限，即使他对于包含该文件的文件夹只有“读取”权限，该用户仍然能够修改该文件。,（,4,）拒绝权限超越其他权限。如果将“拒绝”权限授予某用户或组，即使这个用户作为某个组的成员具有访问该文件或文件夹的权限，因为将“拒绝”权限授予该用户，用户具有的任何其他权限也被阻止了。,（,5,）共享文件夹权限有,3,种：完全控制、更改、读取。,2,加密文件系统,Windows,加密文件系统（,EFS,）内置于,NTFS,文件系统中。加密文件系统为,NTFS,文件提供文件级的加密，是基于公共密钥的系统。使用,EFS,时，系统首先生成文件加密密钥（,File Encryption Key,，,FEK,），利用,FEK,创建加密后的文件，同时删除未加密的原始文件，然后，系统利用当前用户的公钥加密,FEK,，并把加密后的,FEK,存储在一个加密文件夹中。当用户访问一个加密文件时，系统首先利用当前用户的私钥解密,FEK,，再利用,FEK,解密出加密文件。,实现方法,1,NTFS,文件权限的设置,2,文件系统的加密和解密,任务,3 Windows,组策略,任务描述,Windows,组策略可以设置个性化的任务栏和“开始”菜单、管理和实现,IE,安全，也可对特定的域或工作组执行禁止运行命令行、禁止运行自动播放功能、禁止使用控制面板、限制使用应用程序等。本次任务是以,Windows Server 2008,服务器系统为例实现的。,任务要求,掌握常用的组策略设置方法。,知识连接,1,组策略的概念,组策略设置定义了系统管理员需要管理的用户桌面环境的各种组件，如用户可用的程序、用户桌面上出现的程序以及“开始”菜单选项。组策略不仅应用于用户和用户端计算机，还应用于成员服务器、域控制器以及管理范围内的任何计算机。默认情况下，应用于域的组策略会影响域中的所有计算机和用户。,2,组策略的内容,组策略主要可进行两个方面的配置：计算机配置和用户配置。“计算机配置”是对整个计算机的系统配置进行设置，对当前计算机中所有用户的运行环境都起作用；“用户配置”是对当前用户的系统配置进行设置，仅对当前用户起作用。,实现方法,1,禁止使用可移动存储器复制资料。,2,断开远程连接恢复系统状态,3,限制使用迅雷进行恶意下载,4,禁止来自外网的非法,ping,攻击,任务,4,远程服务与安全设置,任务描述,远程桌面服务的系统服务为“,Terminal Services”,，远程桌面服务开启后，可以方便管理远程服务器，但也给服务器带来了一定的威胁。可以通过设置安全策略限制连接终端服务的,IP,地址及网络。,任务要求,掌握远程访问的安全策略及实施方法。,实现方法,1,远程服务与安全设置,终端服务器的,IP,地址为,192.168.10.100,，为了服务器的安全，现在只允许,IP,地址,192.168.10.110,连接终端。首先在,IP,策略里新建一条策略，拒绝任何,IP,地址连接到本台服务器的,3389,端口，然后再建立一条规则，只允许,192.168.10.110,这个,IP,地址连接本台服务器的,3389,端口。,