《操作系统安全》第七章-Windows系统安全增强ppt课件.ppt

第7章 Windows系统安全增强第一部分 教学组织o 一、目的要求一、目的要求o 1.掌握TCP/IP端口控制的设置方式。o 2.了解Windows系统安全增强的方法。o 二、工具器材二、工具器材o 1.Windows管理工具。o 2.操作系统自带命令netstat。o 3.工具软件netstat 、fport。第二部分第二部分 教学内容教学内容o 安全增强，又称为安全加固技术，主要分为：主机安全加固、网络加固、安全设备加固、应用系统加固、数据库加固等。操作系统安全增强是指，针对操作系统的具体情况以及不同类型的目标应用，制定相应系统的测试方案、加固方案，通过打补丁、修改安全配置、增加安全机制等方法，消除安全隐患，减少被入侵的风险，加强相应设备或相应系统的安全性。7.1 Windows系统安全设置o 根据信息系统应用的实际情况，关闭Windows系统中不必要的服务、协议、端口，加强安全控制管理，将减少信息系统的安全漏洞，提高电脑系统安全防御能力。o 对工作中现有信息系统所需使用的服务、协议、端口等情况进行全面摸底与调查分析，是一项繁琐复杂的工作。一旦设置错误，有可能造成机器工作不正常或联网出现问题，影响业务系统的使用。因对系统进行安全控制存在一定的风险，应分批分次进行控制操作，并在正式启用前进行充分测试，以确保系统正常运行。7.1.1端口控制端口控制o 端口是计算机与外界通讯的渠道，它们就像一道道门一样控制着数据与指令的传输。各类数据包在最终封包时都会加入端口信息，以便在数据包接收后拆包识别。许多蠕虫病毒就是利用了端口信息才能实现恶意骚扰的。对于Windows系统来说，有必要把一些危险而又不常用到的端口关闭或是封锁，以保证信息安全。o 面对网络攻击时，端口对于黑客来说至关重要。TCP/IP协议中的端口，端口号的范围从0到65535。每一项服务都对应相应的端口。比如我们浏览网页时，需要服务器提供WWW服务，端口是80，smtp是25，ftp是21，如果企业中的服务器仅仅是文件服务或者做内网交换，关闭一部分端口未尝不可。因为在关闭端口后，可以进一步保障系统的安全。o 根据各机器上应用软件的实际情况，针对TCP/IP协议进行端口控制，确定每台机器对外开放的TCP、UDP端口。操作系统自带命令Netstat可用于查看端口信息。使用工具软件Fport或Tcpview可方便的显示本机端口侦听、通信连接、关联应用程序等情况。o 针对TCP/IP协议进行端口控制，控制每台机器对外开放的端口，根据各机器上应用软件的实际情况确定需要开放的端口。对于每台服务器或工作站，除非必须要开放的TCP、UDP端口，一律设置为关闭。进行端口控制后，某局域网内部信息系统端口逻辑结构图见图7.1。7.1.2服务服务o Windows服务使用户能够创建在它们自己的Windows会话中可长时间运行的可执行应用程序。这些服务可以在计算机启动时自动启动，可以暂停和重新启动而且不显示任何用户界面。这使服务非常适合在服务器上使用，或任何时候，为了不影响在同一台计算机上工作的其他用户，需要长时间运行功能时使用。还可以在不同于登录用户的特定用户帐户或默认计算机帐户的安全上下文中运行服务。o 对Windows操作系统的绝大部分攻击均是针对系统服务来进行的，Windows2000、NT等系统默认安装时，启动了许多不必要的系统服务。对于默认启用的服务，在确认不需要的前提下尽量关闭。关闭不必要的服务能有效降低系统风险。除应用程序需要外，禁止安装和启用IIS服务、文件与打印共享服务。对于其他默认启用的服务，在确认不需要的前提下，尽量关闭。7.1.3通信协议通信协议o 协议（Protocol）是网络设备用来通信的一套规则，这套规则可以理解为一种彼此都能听得懂的公用语言。网络通信协议是网络中的计算机实现通信的必备条件，两台连接到局域网中的计算机要想实现通信，则必须使用相同的通信协议。在组建局域网的过程当中经常会遇到选择和安装通信协议的问题，如果选择和安装了不合适的通信协议，往往会引发网络不通、网速太慢或网络不稳定等故障。了解不同通信协议所适用的网络环境和操作系统非常重要。局域网中常用的通信协议主要包括TCP/IP、NETBEUI和IPX/SPX三种协议，每种协议都有其适用的应用环境。o 1. TCP/IPo TCP/IP（传输控制协议/Internet协议）的历史应当追溯到Internet的前身ARPAnet时代。为了实现不同网络之间的互连，美国国防部于1977年到1979年间制定了TCP/IP体系结构和协议。TCP/IP是由一组具有专业用途的多个子协议组合而成的，这些子协议包括TCP、IP、UDP、ARP、ICMP等。TCP/IP凭借其实现成本低、在多平台间通信安全可靠以及可路由性等优势迅速发展，并成为Internet中的标准协议。目前，TCP/IP已经成为局域网中的首选协议，在最新的操作系统（如Windows XP、Windows Server 2003等）中已经将TCP/IP作为其默认安装的通信协议。o 2. NetBEUI协议o NetBEUI（NetBIOS增强用户接口）协议由NetBIOS（网络基本输入输出系统）发展完善而来，该协议只需进行简单的配置和较少的网络资源消耗，并且可以提供非常好的纠错功能，是一种快速有效的协议。不过由于其有限的网络节点支持（最多支持254个节点）和非路由性，使其仅适用于基于Windows操作系统的小型局域网中。o 3. IPX/SPX及其兼容协议o IPX/SPX（网际包交换/序列包交换）协议主要应用于基于NetWare操作系统的Novell局域网中，基于其他操作系统的局域网（如Windows Server 2003）能够通过IPX/SPX协议与Novell网进行通信。在Windows 2000/XP/2003系统中，IPX/SPX协议和NetBEUI协议被统称为NWLink。7.1.4应用实例应用实例o在进行安全加固的设置过程中，要坚持以下原则。o1.安全第一的原则。执行过程中，应将信息系统的安全放在首位，坚决执行信息安全有关制度。o2.谨慎稳妥的原则。执行过程中，注意防范风险，严谨操作，规范操作，注意操作的时间选择（如在业务量空闲时、或周末时间）、回退机制、先点后面、严格测试等事项。o3.积极推进的原则。执行过程中，遇到疑点或难点问题应认真分析，及时寻求技术支持，积极推进工作的落实，不要半途而废。o下表为某公司网络信息系统服务、协议和端口控制表（部分）。7.2 Windows系统安全加固与管理o 7.2.1补丁管理补丁管理o 补丁是专门修复一些BUG而做的。因为原来发布的软件存在缺陷，发现之后另外编制一个小程序使其完善，这种小程序俗称补丁。o 补丁主要有以下两种：“安全漏洞”补丁、“功能更新”补丁。o 前一种补丁尽量进行补丁安装，后一种补丁用户可以自主选择打不打补丁。对于大型操作系统(如微软操作系统)在使用过程中经常会暴露一些安全问题(一般由黑客或病毒设计者发现)，其网站上有专门的补丁发布网页。o 很多软件为弥补已发布软件的一些功能缺陷或安全漏洞，而发布了多个后继补丁。有些补丁安装后是不可退回原来状态的，有些补丁本身还不完善，因此可能会对系统造成危害。为防范风险，应做好备份、测试及应急恢复等方面的工作。7.2.2新装机器步骤新装机器步骤o 在局域网内，安装工作机器要有规范的步骤。o 以windows2000系统为例。o 1.在单机情况下安装好windows2000操作系统。NTFS文件系统要比FAT、FAT32的文件系统安全，安装时所有分区设置为NTFS格式。对于系统重装的机器，须重新磁盘分区后安装。o 2.安装完成后，通过TCP/IP筛选将TCP端口全部关闭。采用缺省安装选项，个人办公机不安装IIS服务、文件共享服务。o 3.安装好杀毒软件，升级至最新病毒库，开启实时监控。可上互联网机器安装杀毒软件提供的防火墙软件。o 4.安装操作系统主要补丁包（注意顺序）：IE6、SP4、SP4更新汇总1（V2版）等。禁止通过尚未打补丁的新装机器上网去下载这些补丁程序，可从光盘或内网可信机器上下载，保证补丁来源的安全性。o 5.上互联网或通过内部补丁服务器（SUS）升级至最新补丁，升级完后进行一次病毒检查。o 6.投入使用前，根据实际需要调整TCP/IP端口控制、系统服务、协议等。个人办公机不安装IIS服务、文件共享服务。每台机器上只安装应用程序所需要的通讯协议。7.2.3病毒防范病毒防范o 在一个局域网内部，做好病毒的防范很重要。o 1.每台机器均安装杀毒软件，并开启杀毒软件实时监控功能。对于生产系统中，因安装或者开启实时监控会影响运行的情况，可以暂不安装或者开启病毒实时监控。o 2.可上互联网机器安装杀毒软件提供的防火墙软件。o 3.为提高病毒防范的有效性，须配备两种不同厂商的正版杀毒软件。生产系统中按各占一半的比例安装。o 4.及时升级杀毒软件。可上互联网电脑设置为每天升级一次，其他电脑每周至少升级一次。o 5.定期进行病毒查杀。可上互联网电脑设置为每天查杀一次，其他电脑每周至少查杀一次。o 6、发现病毒后，及时采取将中毒电脑断网等隔离措施，防止病毒在公司网络扩散。7.2.4用户管理及密码策略用户管理及密码策略o 1.重命名系统管理员administrator，删除或重命名来宾帐户guest，重取的名字要有隐蔽性。根据运行需要建立用户。长期不使用的帐户应设置为禁用或者删除。o 2.对于工作人员柜台终端，要求为工作人员建立单独的普通权限用户，并根据情况控制该普通用户不能使用U盘、软驱、光驱等。administrator用户统一由计算机管理人员掌管。o 3.“本地安全策略帐户策略密码策略”设置。设置最小密码长度8；密码最长期限不长于90天；密码最短期限不少于2天；强制执行密码历史记录设为3。至少使用以下四个字符集中的三个：大写字母；小写字母；数字；非字母数字字符。7.2.5屏幕锁定屏幕锁定o 对于机房以外业务终端等重要系统，启用自动屏幕锁定保护，等待时间设置为10分钟。离开或下班前要求业务人员手工进入屏幕锁定状态。7.2.6本地策略本地策略o 1.启用审核策略。审核登录事件、系统事件、帐户管理、对象访问（仅在需要并且定义了文件系统或注册表的审核项时启用）。o 2.对于开启了文件共享服务的机器，对匿名连接的额外限制。生产系统中相关机器设置为：不允许枚举 SAM 帐号和共享；个人办公机、上互联网机器设置为：没有显式匿名权限就无法访问。7.2.7文件共享服务的加固文件共享服务的加固o 1.删除默认共享(C$、D$ ，ADMIN$)。o 2.删除默认共享(IPC$)。o 3.建立单独共享，按需设置权限。o 4.设置好TCP/IP端口控制。7.2.8双网卡机器管理双网卡机器管理o 加强对连接外联网的双网卡计算机的管理：o 1.除正常业务所需机器外，其他机器严禁使用双网卡。o 2.在非业务时段，且业务不再需要时，关闭双网卡机器。o 3.每台机器上只安装应用程序所需要的通讯协议。o 4.除作好服务、协议、端口控制外，还必须安装使用杀毒软件以及自带的防火墙软件、防黑客软件。7.3 Windows TCP/IP端口控制操作o 7.3.1 Windows2000 TCP/IP端口控端口控制操作制操作7.3.2 WindowsNT4.0 TCP/IP端口端口控制操作控制操作7.4 SQL SERVER数据库安全配置以SQL SERVER 7.0/2000为例进行说明。 1. 使用安全的帐号策略 2. 使用安全的密码策略3. 删除不必要的扩展存储过程 4. 启用数据库审核 5. 关闭和变更端口 6. 使用IPSec功能7. 及时进行补丁升级7.5 网络设备安全加固1. 网络安全控制 2. 交换机IP地址的设置问题3. 关闭不必要的服务4. 用户、权限的管理 5. IOS升级本章小结 本章系统地介绍了局域网内常见电脑设备的各项安全配置和安全加固情况。加强这些局域网内部电脑设备的安全，提高安全风险级别，能有效提高信息系统整体安全水平，减少黑客攻击、病毒入侵的安全漏洞隐患，信息系统整体安全水平得到有效提高。