项目4-操作系统安全与加固.pptx

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2017/2/28,#,网络安全技术项目化教程,主编 段新华 宋风忠,中国,水利,水电,出版社,项目,4,操作系统安全与加固,项目导读,在网络环境中，网络系统的安全性依赖于网络中各主机系统的安全性，主机系统的安全性正是由其操作系统的安全性所决定的，没有安全的操作系统的支持，网络安全也毫无根基可言。,教学目标,掌握操作系统的加固，以防范常见的系统渗透和网络攻击。,掌握操作系统相关的安全工具的功能和使用方法。,任务,1 Windows,账户与口令的安全设置,任务描述,操作系统中不适当的用户账号是攻击者入侵操作系统

2、的主要手段之一。通过对用户帐号的安全管理可以避免很多潜在的安全问题。对帐户实施管理，确保系统的安全性，采取的措施有限制用户数量、停用,Guest,用户、重命名管理员帐户、设置陷阱帐户和双管理员账户等。,任务要求,掌握安全账户的设置方法。,知识链接,1,本地安全管理,2,高强度登录密码,实现方法,1,限制用户数量,有效账户的数量要尽可能的少，去掉测试账户和共享账户，系统的账户越多，被攻击成功的可能性越大。如果系统账户超过,10,个，就有可能找到一个或两个弱口令账户，所以账户数量一般不超过,10,个。要经常使用一些扫描工具查看系统账户、账户权限及密码，及时删除不再使用的账户。,2,停用,Guest

3、账户,停用,Guest,账户，改成一个复杂的名称并添加密码，将,Guest,账户从,Guests,组中删除，任何时候都禁用,Guest,账户登录系统。,3,重命名管理员账户,许多用户都是用,Administrator,账户登录系统，但黑客得知用户登录系统的账户名后，就可以发动有针对性的攻击。如果用户使用,Administrator,账户登录系统，就为黑客攻击创造了条件。因此重命名,Administrator,账户，尽量将其伪装成普通账户，使黑客无法针对该账户发起攻击。,4,设置陷阱账户,在,Guests,组中设置一个,Administrator,账户，把它的权限设置成最低，但密码设置成复杂密

4、码，而且用户不能更改此账户密码，这样就可以使企图入侵的黑客花费一番功夫，并可以借此发现黑客的入侵企图。,5,设置高强度密码,任务,2 Windows,文件系统的安全设置,任务描述,以某公司的实际应用为例，公司销售部和技术部各有一个共享文件夹，存放本部门的资料，部门经理对本部门的文件夹有完全控制权限，部门员工对本部门文件夹具有读写权限，对公司其他部门的文件夹有只读的权限。,任务要求,掌握文件权限的设置方法。,知识链接,1,设置文件权限需要注意的几点,（,1,）,NTFS,文件权限为：读取（读文件，查看文件属性、拥有人和权限）；写入（覆盖写入文件，修改文件属性，查看文件拥有人和权限）；读取和运行（

5、运行应用程序，同时具备“读取”权限）；修改（修改和删除文件，同时具备“写入”权限和“读取和运行”权限）；完全控制（改变权限，成为拥有人，同时具备其他所有,NTFS,文件权限）。,（,2,）权限是累积的。用户对某个资源的有效权限是授予这一用户帐号的,NTFS,权限和该用户所属的用户组具备的,NTFS,权限组合。,（,3,）,NTFS,的文件权限超越,NTFS,文件夹权限。某个用户对某个文件有“修改”权限，即使他对于包含该文件的文件夹只有“读取”权限，该用户仍然能够修改该文件。,（,4,）拒绝权限超越其他权限。如果将“拒绝”权限授予某用户或组，即使这个用户作为某个组的成员具有访问该文件或文件夹的权

6、限，因为将“拒绝”权限授予该用户，用户具有的任何其他权限也被阻止了。,（,5,）共享文件夹权限有,3,种：完全控制、更改、读取。,2,加密文件系统,Windows,加密文件系统（,EFS,）内置于,NTFS,文件系统中。加密文件系统为,NTFS,文件提供文件级的加密，是基于公共密钥的系统。使用,EFS,时，系统首先生成文件加密密钥（,File Encryption Key,，,FEK,），利用,FEK,创建加密后的文件，同时删除未加密的原始文件，然后，系统利用当前用户的公钥加密,FEK,，并把加密后的,FEK,存储在一个加密文件夹中。当用户访问一个加密文件时，系统首先利用当前用户的私钥解密,F

7、EK,，再利用,FEK,解密出加密文件。,实现方法,1,NTFS,文件权限的设置,2,文件系统的加密和解密,任务,3 Windows,组策略,任务描述,Windows,组策略可以设置个性化的任务栏和“开始”菜单、管理和实现,IE,安全，也可对特定的域或工作组执行禁止运行命令行、禁止运行自动播放功能、禁止使用控制面板、限制使用应用程序等。本次任务是以,Windows Server 2008,服务器系统为例实现的。,任务要求,掌握常用的组策略设置方法。,知识连接,1,组策略的概念,组策略设置定义了系统管理员需要管理的用户桌面环境的各种组件，如用户可用的程序、用户桌面上出现的程序以及“开始”菜单选项

8、组策略不仅应用于用户和用户端计算机，还应用于成员服务器、域控制器以及管理范围内的任何计算机。默认情况下，应用于域的组策略会影响域中的所有计算机和用户。,2,组策略的内容,组策略主要可进行两个方面的配置：计算机配置和用户配置。“计算机配置”是对整个计算机的系统配置进行设置，对当前计算机中所有用户的运行环境都起作用；“用户配置”是对当前用户的系统配置进行设置，仅对当前用户起作用。,实现方法,1,禁止使用可移动存储器复制资料。,2,断开远程连接恢复系统状态,3,限制使用迅雷进行恶意下载,4,禁止来自外网的非法,ping,攻击,任务,4,远程服务与安全设置,任务描述,远程桌面服务的系统服务为“,Terminal Services”,，远程桌面服务开启后，可以方便管理远程服务器，但也给服务器带来了一定的威胁。可以通过设置安全策略限制连接终端服务的,IP,地址及网络。,任务要求,掌握远程访问的安全策略及实施方法。,实现方法,1,远程服务与安全设置,终端服务器的,IP,地址为,192.168.10.100,，为了服务器的安全，现在只允许,IP,地址,192.168.10.110,连接终端。首先在,IP,策略里新建一条策略，拒绝任何,IP,地址连接到本台服务器的,3389,端口，然后再建立一条规则，只允许,192.168.10.110,这个,IP,地址连接本台服务器的,3389,端口。,