《操作系统安全(共39页).doc》由会员分享,可在线阅读,更多相关《操作系统安全(共39页).doc(39页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、精选优质文档-倾情为你奉上第2章 操作系统安全学习目的l 了解操作系统安全现状。l 了解计算机安全等级及信息安全技术评估准则。l 熟悉常用的服务器操作系统。l 掌握Windows Server 2003的安全配置操作。l 了解操作系统的注册表操作。2.1 操作系统安全概述2.1.1操作系统安全现状操作系统是管理整个计算机硬件与软件资源的程序,操作系统是网络系统的基础,是保证整个互联网实现信息资源传递和共享的关键,操作系统的安全性在网络安全中举足轻重。一个安全的操作系统能够保障计算资源使用的保密性、完整性和可用性,可以提供对数据库、应用软件、网络系统等提供全方位的保护。没有安全的操作系统的保护,
2、根本谈不上网络系统的安全,更不可能有应用软件信息处理的安全性。因此,安全的操作系统是整个信息系统安全的基础。长期以来我国广泛应用的主流操作系统都是从国外引进直接使用的产品,这些系统的安全性令人担忧。从认识论的高度看,人们往往首先关注对操作系统的需要、功能,然后才被动地从出现的漏洞和后门,以及不断引起世界性的“冲击波”和“震荡波”等安全事件中,注意到操作系统本身的安全问题。操作系统的结构和机制不安全,以及PC机硬件结构的简化,系统不分执行“态”,内存无越界保护等等,这些因素都有可能导致资源配置可以被篡改,恶意程序被植入执行,利用缓冲区溢出攻击以及非法接管系统管理员权限等安全事故发生;导致了病毒在
3、世界范围内传播泛滥,黑客利用各种漏洞攻击入侵,非授权者任意窃取信息资源,使得安全防护体系形成了防火墙、防病毒和入侵检测老三样的被动局面。 目前的操作系统安全主要包括系统本身的安全、物理安全、逻辑安全、应用安全以及管理安全等。物理安全主要是指系统设备及相关设施受到物理保护,使之免受破坏或丢失;逻辑安全主要指系统中信息资源的安全;管理安全主要包括各种管理的政策和机制。操作系统是整个网络的核心软件,操作系统的安全将直接决定网络的安全,因此,要从根本上解决网络信息安全问题,需要从系统工程的角度来考虑,通过建立安全操作系统构建可信计算基(TCB),建立动态、完整的安全体系。而其中,操作系统的安全技术是最
4、为基本与关键的技术之一。2.1.2 操作系统安全所涉及的几个概念1. 标识与鉴别操作系统自动会为每个用户都设置了一个安全级范围,标识一下用户的安全等级;系统除了进行身份和口令的判别外,还要进行安全级判别,以保证进入系统的用户具有合法的身份标识和安全级别,即身份及口令的鉴别。2. 审计审计就是用于监视和记录操作系统中有关安全性的活动,可以有选择地设置哪些用户、哪些操作(或系统调用)以及对哪些敏感资源的访问需要审计。这些事件的活动(主要包括事件的类型、用户的身份、操作的时间、参数和状态等)会在系统中留下痕迹,管理者通过检查审记日志可以发现有无危害安全性的活动。3. 自主存取控制自主存取控制用于实现
5、操作系统用户自己设定的存取控制权限。系统用户可以说明其私有的资源允许本系统中哪些用户以何种权限进行共享,系统中的每个文件、消息队列、信号量集、共享存储区、目录、和管道等都可具有一个存取控制表,用来说明允许系统中的用户对该资源的存取方式。4. 强制存取控制强制存取控制是提供基于信息机密性的存取控制方法,用于将系统中的用户和信息进行分级别、分类别管理,强制限制信息的共享和流动,使不同级别和类别的用户只能访问到与其相关的、指定范围的信息,从根本上防止信息的泄密和非授权访问等现象。5. 设备安全性设备安全性主要用于控制文件卷、打印机、终端等设备I/O信息的安全级范围。2.1.3 信息技术安全评价通用准
6、则1. 信息安全技术等级标准美国国防部计算机安全中心于1985年推出可信计算机系统的评估标准,该标准使用户可以对其计算机系统内的敏感信息安全操作的可信程度做出评估,根据这一标准将计算机安全等级划分为七个等级:D、C1、C2、B1、B2、B3、A1。(1)D级D级是最低级安全性,保留D级的目的是为了将一切不符合更高标准的系统,统统归于D级。整个计算机系统是不可信任的,硬件和操作系统很容易被侵袭。任何人都可以自由地使用该计算机系统,不对用户进行验证。系统不要求用户进行登记(要求用户提供用户名)或使用密码(要求用户提供唯一的字符串来进行访问)。任何人都可以坐在计算机的旁边并使用它。如DOS就是操作系
7、统中安全级别为D级的例子,它具有操作系统的基本功能,如文件管理、进程调度等,但在安全方面几乎没有什么专门的机制来保障。(2)C1级C1级要求硬件有一定的安全保护(如硬件有带锁装置,需要钥匙才能使用计算机)。用户在使用计算机系统前必须先登录。另外,作为C1级保护的一部分,允许系统管理员为一些程序或数据设立访问许可权限。能够实现对用户和数据的分离,进行自主存取控制,保护和限制用户权限的传播。现有的商业系统往往稍作改进即可满足C1级的要求,如UNIX系统、Novell 3.x或更高版本、Windows NT都属于C1级兼容计算机操作系统。(3)C2级C2级实际是安全产品的最低档次,以个人身份注册,负
8、责并实施审计和资源隔离,具有进一步限制用户执行某些命令或访问某些文件的权限,而且还加入了身份认证级别。很多商业产品已经达到C2级认证,如UNIX、Microsoft的Windows NT3.5等。(4)B1级B1级提供标记安全保护。对系统的数据进行标记,对标记的主体和客体实施强制存取控制以及审计等安全机制。B1级能够较好的满足大型企业或一般政府部门对于数据的安全要求,这一级别的产品才是真正意义上的安全产品。满足这一级别的产品通常有“安全(Security)”或“可信的(Trusted)”标记,作为区别于普通产品的安全产品出售。(5)B2级B2级提供结构化保护。建立形式化的安全策略模型并对系统内
9、的所有主体和客体实施自主存取控制和强制存取控制。(6)B3级B3级提供安全域。该级的TCB必须满足访问监视器的需求,审计跟踪能力更强,并提供系统恢复过程。(7)A1级A1级提供验证设计,最高级安全。即提供B3级保护产品的同时给出系统形式化的设计说明和验证以确信各安全保护真正实现。实际上,A1级产品根本没有。2.1.4 操作系统的安全管理1操作系统的安全要素操作系统安全涉及到多个方面,美国专家对系统安全提出六个方面,称为操作系统安全六要素。(1)保密性保密性是指可以允许授权的用户访问计算机中的信息。(2)完整性完整性是指数据的正确性和相容性,保证系统中保存的信息不会被非授权用户修改,且能保持一致
10、性。(3)可用性可用性是指对授权用户的请求,能及时、正确、安全地得到响应,计算机中的资源可供授权用户随时访问。(4)真实性真实性是指系统中的信息要能真实的反映现实世界,数据具有较强的可靠性。(5)实用性实用性是指系统中的数据要具有实用性,能为用户提供基本的数据服务。(6)占有性占有性是指系统数据被用户拥有的特性。2安全管理安全管理按照级别可以分为系统级安全管理、用户级安全管理和文件级安全管理。1)系统级安全管理系统级安全管理是管理计算机环境的安全性,其任务是不允许未经核准的用户进入系统,从而也就防止了他人非法使用系统的资源。主要采用的手段有:(1)注册:系统设置一张注册表,记录了注册用户的账户
11、和口令等信息,使系统管理员能掌握进入系统的用户的情况,并保证用户各在系统中的唯一性。(2)登录:用户每次使用时,都要进行登录,通过核对用户账户和口令,核查该用户的合法性。口令很容易泄密,要求用户定期修改口令,以进一步保证系统的安全性。 一些网络管理员在创建账号的时候往往用公司名、计算机名,或者将一些容易猜测到的字符做用户名,然后又把这些账户的密码设置得比较简单,比如:“welcome”、“I love you”、“let me in”或者和用户名相同的密码等。这样的账户应该要求用户首次登录的时候更改成复杂的密码,还要注意经常更改密码。 一个好密码的定义是安全期内无法破解出来的密码就是好密码,也
12、就是说,如果得到了密码文档,必须花43天或者更长的时间才能破解出来,密码策略是42天必须改密码。 设置安全强壮密码的一般原则是: 所有安全强壮的密码至少要有下列四方面内容的三种: 大写字母:A B C D E F 小写字母:a b c d e f 数字:1 2 3 4 5 6 7 8 9 0 非字母数字的字符: # . % & ! 安全的密码还要符合下列的规则 不使用普通的名字或昵称 不使用普通的个人信息,如生日日期 密码里不含有重复的字母或数字 至少使用八个字符2)用户级安全管理用户级安全管理,是为了给用户文件分配文件“访问权限”而设计的。用户对文件访问权限的大小,是根据用户分类、需求和文件
13、属性来分配的。例如,UNIX中,将用户分成三类:文件主、授权用户和一般用户。在系统中登录过的用户都具有指定的文件访问权限,访问权限决定了用户对哪些文件能执行哪些操作。当对某用户赋予其访问指定目录的权限时,他便具有了对该目录下的所有子目录和文件的访问权。通常,对文件可以定义的访问权限有:建立、删除、打开、读、写、查询和修改。3)文件级安全管理文件级安全性是通过系统管理员或文件主对文件属性的设置,来控制用户对文件的访问。通常可对文件设置以下属性:执行、隐含、修改、索引、只读、写、共享等。2.2常用的服务器操作系统 操作系统是大型数据库系统的运行平台,为数据库系统提供一定程度的安全保护。目前操作系统
14、平台大多数集中在Windows NT 和UNIX,目前服务器常用的操作系统有:UNIX 、Linux、Windows Server 2000/2003/2008等。这些操作系统都是符合C2级安全级别的操作系统。2.2.1 UNIX 系统 UNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用网络操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统。 UNIX诞生于20世纪60年代末期,贝尔实验室的研究人员于1969年开始在GE645计算机上实现一种分时操作系统的雏形,后来该系统被移植到DEC的PDP-7小型机上。 1970年给系统正式取名为UNIX操作系统。到1
15、973年,UNIX系统的绝大部分源代码都用C语言重新编写过,大大提高了UNIX系统的可移植性,也为提高系统软件的开发效率创造了条件。 UNIX 操作系统经过20多年的发展后,已经成为一种成熟的主流操作系统,并在发展过程中逐步形成了一些新的特色,其中主要特色包括5个方面,如可靠性高、极强的伸缩性、网络功能强、强大的数据库支持功能以及开放性好等特色。 2.2.2 Linux 系统 Linux 是一套可以免费使用和自由传播的类UNIX操作系统,用户可以免费获得其源代码,并能够随意修改,主要用于基于Intel x86系列CPU的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建
16、立不受任何商品化软件的版权制约的、全世界都能自由使用的UNIX 兼容产品。 Linux最早开始于一位名叫 Linus Torvalds 的计算机业余爱好者,当时他是芬兰赫尔辛基大学的学生。目的是想设计一个代替Minix(是由一位名叫 Andrew Tannebaum的计算机教授编写的一个操作系统示教程序)的操作系统。这个操作系统可用于386、486或奔腾处理器的个人计算机上,并且具有UNIX操作系统的全部功能。Linux是在共用许可证GPL(General Public License) 保护下的自由软件,也有好几种版本,如Red Hat Linux 、Slackware,以及国内的Xteam
17、 Linux、红旗Linux等等。Linux的流行是因为它具有许多优点,典型的优点有7个,如完全免费、完全兼容 POSIX 1.0 标准、多用户多任务、良好的界面、丰富的网络功能、可靠的安全稳定性能以及支持多种平台等。2.2.3 Windows系统Windows系统是当今最流行的操作系统,发展经过Win9X、WinMe、WinXP、NT3.0、NT40、NT5.0(Windows 2000)和NT6.0(Windows 2003)等众多版本,并逐步占据了广大的中小网络操作系统的市场。Windows NT以后的版本的操作系统使用了与Windows 9X完全一致的用户界面和完全相同的操作方法,使用
18、户使用起来比较方便。与Windows 9X相比,Windows NT及后续版本的网络功能更加强大并且安全。Windows NT以后的操作系统具有以下三方面的优点:1支持多种网络协议由于在网络中可能存在多种客户机,如Apple Macintosh、UNIX、OS/2等等,而这些客户机可能使用了不同的网络协议,如TCP/IP协议、IPX/SPX等。Windows NT以后的操作系统操作支持几乎所有常见的网络协议。2内置Internet功能随着Internet的流行和TCP/IP协议组的标准化,Windows NT以后的操作系统内置了IIS(Internet Information Server),
19、可以使网络管理员轻松的配置WWW和FTP等服务。3支持NTFS文件系统Windows 9X所使用的文件系统是FAT,在NT中内置同时支持FAT和NTFS的磁盘分区格式。使用NTFS的好处主要是可以提高文件管理的安全性,用户可以对NTFS系统中的任何文件、目录设置权限,这样当多用户同时访问系统的时候,可以增加文件的安全性。2.3 Windows操作系统安全注册表2.3.1 注册表的由来注册表源于Windows 3.x操作系统,在早期的Windows 3.x操作系统中,注册表是一个极小文件,其文件名为Reg.dat,里面只存放了某些文件类型的应用程序关联,而操作系统大部分的设置是放在Win.ini
20、、System.ini等多个初始化INI文件中。由于这些初始化文件不便于管理和维护,时常出现一些因INI文件遭到破坏而导致系统无法的启动的问题。为了使系统运行得更为稳定、健壮,Windows 95/98设计师们借用了Windows NT中的注册表的思想,将注册表引入到Windows 95/98操作系统中,而且将INI文件中的大部分设置也移植到注册表中,因此,注册表在Windows95/98及之后的操作系统启动、运行过程中起着重要的作用。2.3.2 注册表的作用注册表是一个记录32位驱动的设置和位置的数据库。当操作系统需要存取硬件设备时,操作系统需要知道从哪里找到它们,文件名、版本号、其他设置和
21、信息,没有注册表对设备的记录,它们就不能被使用。当一个用户准备运行一个应用程序,注册表提供应用程序信息给操作系统,这样应用程序可以被找到,正确数据文件的位置被规定,其他设置也都可以被使用。 注册表保存了安装信息(比如说日期),安装软件的用户,软件版本号和日期,序列号等,根据安装软件的不同,它包括的信息也不同。它同样也保存了关于缺省数据和辅助文件的位置信息、菜单、按钮条、窗口状态和其他可选项。通过修改注册表,我们可以对系统进行限制、优化。比如可以设置与众不同的桌面图标和开始菜单,设置不同权限的人查看我的电脑资料,限制别人远程登录我的电脑,或修改我的注册表等等,我们可以修改注册表来达到目的。本章后
22、面的实训部分很多都可以采用改动注册表的办法来维护操作系统的安全。2.3.3 注册表中相关的术语l HKEY:“根键”或“主键”,它的图标与资源管理器中文件夹的图标有点儿相像。l key(键):它包含了附加的文件夹和一个或多个值。l subkey(子键):在某一个键(父键)下面出现的键(子键)。l branch(分支):代表一个特定的子键及其所包含的一切。一个分支可以从每个注册表的顶端开始,但通常用以说明一个键和其所有内容。l value entry(值项):带有一个名称和一个值的有序值。每个键都可包含任何数量的值项。每个值项均由三部分组成:名称,数据类型,数据。l 字符串(REG_SZ):顾名
23、思义,一串ASCII码字符。如“Hello World”,是一串文字或词组。在注册表中,字符串值一般用来表示文件的描述、硬件的标识等。通常它由字母和数字组成。注册表总是在引号内显示字符串。l 二进制(REG_BINARY):如 F03DBC,是没有长度限制的二进制数值,在注册表编辑器中,二进制数据以十六进制的方式显示出来。l 双字(REG_DWORD):从字面上理解应该是Double Word ,双字节值。由1-8个十六进制数据组成,我们可用以十六进制或十进制的方式来编辑。如 D 。l Default(缺省值):每一个键至少包括一个值项,称为缺省值(Default),它总是一个字串。2.3.4
24、 注册表的结构注册表是Windows程序员建造的一个复杂的信息数据库,它是多层次式的。由于每台计算机上安装的设备、服务和程序有所不同,因此一台计算机上的注册表内容可能与另一台有很大不同。依次单击“开始”“运行”,输入regedit.exe打开“注册表编辑器”,就能在其左侧看到注册表的分支结构。Windows2003注册表由5个根键组成。1HKEY_LOCAL_MACHINE(HKLM)包含操作系统及硬件相关信息(如计算机总线类型、系统可用内存、当前装载了哪些设备驱动程序以及启动控制数据等)的配置单元。实际上,HKLM保存着注册表中的大部分信息,因为另外四个配置单元都是其子项的别名。不同的用户登
25、录时,此配置单元保持不变。HKEY_LOCAL_MACHINE(HKLM)的子树:HARDWARE:在系统启动时建立,包含了系统的硬件的信息;SAM:包含了用户账号和密码信息;SECURITY:包含了所有的安全配置信息;SOFTWARE:包含应用程序的配置信息;SYSTEM:包含了服务和设备的配置信息。2HKEY_CURRENT_USER配置单元包含着当前登录到由这个注册表服务的计算机上的用户的配置文件。其子项包含着环境变量、个人程序组、桌面设置、网络连接、打印机和应用程序首选项,存储于用户配置文件的ntuser.dat中。优先于HKLM中相同关键字。这些信息是HKEY_USERS 配置单元当
26、前登录用户的Security ID(SID)子项的映射。3HKEY_USER(HKU)配置单元包含的子项含有当前计算机上所有的用户配置文件。其中一个子项总是映射为HKEY_CURRENT_USER(通过用户的SID值)。另一个子项HKEY_USERS DEFAULT包含用户登录前使用的信息。4HKEY_CLASSES_ROOT(HKCR)配置单元包含的子项列出了当前已在计算机上注册的所有COM服务器和与应用程序相关联的所有文件扩展名。这些信息是HKEY_LOCAL_MACHINESOFTWAREClasses子项的映射。5HKEY_CURRENT_CONFIG(HKCC)配置单元包含的子项列出
27、了计算机当前会话的所有硬件配置信息。硬件配置文件出现于Windows NT版本4,它允许你选择在机器某个指定的会话中支持哪些设备驱动程序。这些信息是HKEY_LOCAL_MACHINE SYSTEMCurrentControlSet子项的映射。 2.3.5 注册表的维护Windows系统运行一段时间后就会逐渐变慢,甚至会慢到令人难以忍受的程度,似乎除了重做系统就没有其他的选择了。其实大多数时候系统变慢,只是太多的临时文件和注册表垃圾造成的。Windows的注册表实际上是一个很庞大的数据库,包含了系统初始化、应用程序初始化信息等一系列Windows运行信息和数据。在一些不需要的软件卸载后,Win
28、dows注册表中有关已经卸载的应用程序参数往往不能清除干净,会留下大量垃圾,使注册表逐步增大,臃肿不堪。手动清理注册表是一件繁琐而又危险的事情,一般不予提倡自己手动清理注册表的垃圾,可以使用注册表维护软件,非常方便。注册表清理软件多种多样,如超级兔子、Mircosoft的RegCleaner、Wise Registry Cleaner等。实训一:账户安全配置和系统安全设置实训目的 熟练掌握网络操作系统Windows Server 2003的各种基本操作,包括Windows Server 2003的账户安全配置、系统安全设置等基础及高级安全配置方法。实训步骤1账户安全配置1) 账户授权 一个安全
29、操作系统的基本原则是:最小的权限+最少的服务=最大的安全,因此对不同用户应授予不同的权限,尽量降低每个非授权用户的权限,使其拥有和身份相应的权限。设置用户权限原则:在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户),删除其他用户。(1)打开“资源管理器”,右击某个磁盘盘符如“F盘”,选择“属性”,单击“安全”标签,如图2-1所示。图2-1 磁盘安全性设置(2)选择其中一个用户,再选择需要设置的“允许”或“拒绝”权限下的复选框,如图2-2。图2-2 设置用户权限(3)如果没有此用户,单击图2-2的“添加”按钮,弹出“选择用户、计算机或组”的图,在
30、图2-3中,单击“高级”,选择右边的“立即查找”,随后在空白的窗体中出现本机中所有的用户信息,如图2-4;选择其中一个对象名称如“user”,双击后“user”即为要选择的用户,单击“确定”,“user”添加到图2-5所示的组或用户名称列表中,修改其合适的权限。图2-3 选择用户、计算机或组图2-4 查找用户图2-5 添加用户(4)如果要删除某个用户,直接在图2-5中单击“删除”即可。2)停用Guest用户由于Guest账号的存在往往会给的安全带来危害,比如:别人偷偷把你的guest激活后作为后门账号使用,更隐蔽的是直接克隆成了管理员账号,基于大多情况下该账号是不必要的,所以我们可以直接删除之
31、以提高的安全性,遗憾的是在NT技术架构的Windows系统中不允许删除直接guest账号。但是我们可以在计算机管理的用户里面把Guest账号停用,任何时候都不允许Guest账号登录系统,这样可以避免上面的现象发生,设置方法如图2-6所示。为了保险起见,最好给Guest 加一个复杂的密码,可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,用它作为Guest账号的密码;并且修改Guest账号的属性,设置拒绝远程访问,如图2-7所示。图2-6 禁用guest账户图2-7 设置guest属性3)重命名或禁用 Administrator 账户 Administrator 账户是服务器上
32、的成员。永远也不可以从 Administrators 组删除 Administrator 账户,但可以重命名或禁用该账户。(1)重命名:由于已知道管理员账户存在于所有 Windows2000 Server、Windows2000 Professional、WindowsXP Professional 和 Windows Server2003 家族的计算机上,所以重命名该账户可以使未经授权的人员在猜测此特权用户名和密码组合时难度更大一些。Windows2003中的Administrator账号也不能被停用,但是把Administrator账户改名是可以的,因此可以有效的防止这一点。不要使用Adm
33、in之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone等。 设置方法:打开“管理工具”“本地安全设置”“本地策略”“安全选项”,找到“账户:重命名系统管理员账户”,双击进行修改,按“确定”完成重命名,如图2-8。图2-8 重命名系统管理员账户 (2)禁用管理员账户:绝大部分管理员不会使用本地管理员账户。相反,他们往往会使用具有管理员权限的用户账户。除非是无法避免的情况下,管理员们才会通过网络使用本地账户行使管理功能。可以采用下面的步骤来禁用本地管理员账户: 使用管理员账户或者具有管理权限的用户账户登录。 用鼠标右键点击“我的电脑”,然后选择“管理”。 打开“本地用户和
34、组”,然后选择用户。 双击“管理员”。 选择“禁用账户”复选框,然后点击“确定”,所修改的设置则立刻生效。或者在图2-8的窗体中,直接双击“账户:管理员账户状态”,选择“禁用账户”复选框,然后点击“确定”。【小提示】: 即使已经禁用了 Administrator 账户,仍然可以在安全模式下使用该账户访问计算机。 要激活所选的用户账户,请按照上面步骤选择清除 “账户已禁用”复选框。4)创建一个陷阱账户所谓的陷阱账号是创建一个名为“Administrator”的本地账户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些企图入侵者忙上一段时间了,并且可
35、以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组。5)把共享文件的权限从Everyone组改为授权用户 在默认的情况下,大多数的文件夹(包括所有的根目录)对所有用户(Everyone这个组)是完全敞开的(Full Control),需要根据应用的需要进行权限重设。“Everyone”在Windows 2003中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。应将共享文件的权限从“Everyone”组改成“授权用户”。设置方法如下: (1)将所
36、有盘符的权限,全部改为只有administrators组及system拥有全部权限。(2)将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限,然后做如下修改: C:Program FilesCommon Files 开放Everyone默认的读取及运行、 列出文件目录、 读取三个权限; C:Windows开放Everyone默认的读取及运行、列出文件目录、读取三个权限; C:Windows Temp开放Everyone 修改、读取及运行、列出文件目录、读取、写入权限。6)不让系统显示上次登录的用户名修改注册表禁止显示上次登录名,在HKEY
37、_LOCAL_MACHINE主键下修改子键:SoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName,将键值改成1。或者打开“本地安全设置”,单击“本地策略”下的“安全选项”,找到“交互式登录:不显示上次的用户名”,如图2-9 所示。图2-9 设置交互式登录方式双击打开这个选项,如图2-10 所示,单击“已启用”,按确定完成修改。用这种方法设置后系统会同时修改注册表选项,效果等同上面修改注册表的方法。图2-10 设置登录用户名的显示属性7)限制用户数量l 去掉所有的测试账户、共享账号和普通部门账号等等。用户组
38、策略设置相应权限,并且经常检查系统的账户,删除已经不使用的账户。l 账户是黑客们入侵系统的突破口,系统的账户越多,黑客们得到合法用户的权限可能性一般也就越大。l 对于Windows2003主机,如果系统账户超过10个,一般能找出一两个弱口令账户,所以账户数量不要大于10个。8)设置多个管理员账户 虽然这点看上去和上面有些矛盾,但事实上是服从上面规则的。创建一个一般用户权限账号用来处理电子邮件以及处理一些日常事物,另一个拥有Administrator权限的账户只在需要的时候使用。因为只要登录系统以后,密码就存储在Winlogon进程中,当有其他用户入侵计算机的时候就可以得到登录用户的密码,尽量减
39、少Administrator登录的次数和时间。添加多个管理员账户的操作步骤如下:(1)在 Active Directory 中创建用户账户,打开管理工具,找到 Active Directory 用户和计算机。在控制台树中找到本地域,展开,右击User,指向“新建”,然后单击“用户”;在“名”文本框中键入用户名,在“缩写”文本框中键入用户的姓名缩写,在“姓”文本框中键入用户的姓氏。修改“全名”以添加中间名或反序的名字和姓氏,如图2-11。 图2-11 新建用户(2)在“用户登录名”中,键入用户登录名称,单击下拉列表中的 UPN 后缀,然后单击“下一步”。 (3)在“密码”和“确认密码”中,键入用
40、户的密码,然后选择适当的密码选项,如图2-12。图2-12 创建密码【小提示】:如果你在设置密码时位数过短或者过于简单如“、adcd”等,Active Directory会提示你密码满足不了密码策略的要求,如图2-13所示。图2-13 密码不满足密码策略要求提示(4)这是最关键的一步,就是设置新administrator的权限,将其权限设为最低。具体操作步骤同“账户授权”的设置。9)开启账户策略开启账户策略可以有效的防止字典式攻击,设置如下图2-14所示。当某一用户连续4次登录都失败时将自动锁定该账户,30分钟之后自动复位被锁定的账户。图2-14 开启账户策略【小提示】(1)如果你所使用的Wi
41、ndows2003升级到域后,administrator不能在本地安全设置窗体中修改组策略,很多选项的设置都是被禁用的,如图2-15所示。可以采用下列方法设置:打开“管理工具”“域安全策略”,打开“默认域安全设置”,找到“安全设置”“账户策略”“账户锁定策略”,默认的策略属性值都是没有定义的,如图2-16。 图2-15 无法修改账户锁定策略图2-16 默认的账户锁定策略设置(2)鼠标右击其右侧窗体中任一个账户锁定策略选项,选择“属性”,进行设置。在修改一个属性的同时会弹出“建议的数值改动”对话框(如图2-17),单击“确定”,完成设置,如图2-18。图2-17 设置账户策略图2-18 设置后的
42、账户策略2.系统安全设置1)密码安全设置(1)开启密码策略。密码对系统安全非常重要,本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如下图2-19 所示。 图2-19 设置密码策略(2)为Windows Server 2003设置双重加密账户保护。在运行对话框中输入“SYSKEY”就可以为Windows登录设置双重的加密窗口。2)关闭默认共享默认共享是Windows 2000及其以上操作系统在安装完成后自动打开的共享。只要我们知道了网络中一台计算机的管理员账号就可以通过默认共享访问该计算机中的资源。微软推出默认共享是为了方便管理员管理网络中的计算机,特别是在建立域的网络专门
43、有几个默认共享用于存储用户配置文件。然而任何事物都有两面性,在开启默认共享方便管理的同时也给计算机带来了安全隐患。如果知道了管理员账户与密码,那么任何人都能访问别人的计算机。 这也是为什么有点安全常识的人都会将默认共享关闭的原因。通常情况下系统默认共享所有的硬盘,如图2-20所示。图2-20 默认共享这里提供五种关闭默认共享的方法:(1)右键“停止共享”法:在图2-20的窗口中某个共享项(比如H$)上右击,选择“停止共享” 并确认后就会关闭这个共享,它下面的共享图标就会消失,重复几次所有的项目都可以停止共享。注意:但这种方法治标不治本,如果机器重启的话,这些共享又会恢复。此法比较适合于永不关闭
44、的服务器,简单而且有效。(2)禁止默认共享,可以在注册表的以下位置取消2003的默认共享 :HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParameters 键值 AutoShareServer 类型 REG_DWORD 数据 0(3)利用命令手动一个一个删除共享,如执行“开始”-“运行”-“net share c(d、e、f)$ /del”;(4)或者打开记事本,输入:net share c$ /delnet share d$ /delnet share admin$ /del然后将此记事本保存为一个后缀为bat的
45、自动批处理文件名,添加到“开始”“启动”菜单下,每次系统启动后就可以自动删除这些默认共享。再运行“net share”,默认的共享已被删除了。(5)停止服务法:在“计算机管理”窗口中,单击展开左侧的“服务和应用程序”并选中其中的“服务”,此时右侧就列出了所有服务项目。共享服务对应的名称是“Server”(在进程中的名称为services),找到后双击它,在弹出的“常规”标签中把“启动类型”由原来的“自动”更改为“已禁用”。然后单击下面“服务状态”的“停止”按钮,再确认一下就OK了。3) 开启审核策略 开启审核策略是Windows 2003最基本的入侵检测方法。当有人尝试对系统进行某种方式(如尝
46、试用户密码,改变账户策略和未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。 Windows 2003下的审核策略默认是都没有开启的,所以这也是很多服务器(尤其是使用win2000的服务器)的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下图2-21 中的这些审核是必须开启的(即成功和失败都应该是打开的),其他的可以根据需要增加。图2-21 设置审核策略只有打开了这些审核策略,在“管理工具”的“事件察看器”中才能看到系统日志、安全日志及应用程序日志文件的记录,如图2-22。否则即使系统被入侵了,也无法查找入侵源。图2-22 事件查看器【小提示】如果在设置审核策略时也出现如实训
47、一中账户策略的问题,也就是打开的审核策略无法修改,那么也需要到“域安全策略”中进行设置。方法:打开“默认域安全设置”,找到“安全设置”“本地策略”“审核策略”,完成修改后的策略设置后,同时在“本地安全设置”中也发生了改变,如图2-21。4)加密Temp文件夹一些应用程序在安装和升级的时候,会把一些东西拷贝到Temp文件夹,但是当程序升级完毕或关闭的时候,并不会自己清除Temp文件夹的内容。所以,给Temp文件夹加密可以给你的文件多一层保护。其他文件夹加密方法同加密Temp文件夹的方法,具体操作如下:鼠标右击temp文件夹,打开“属性”窗体,如图2-23;选择“高级”,单击“加密内容以便保护数据”,如图2-24;按“确定”,并将此属性应用于所有的子文件夹及文件,如图2-25。图2-23 temp属性图2-24 设置temp加密属性图2-25 将加密属性应用于该文件夹及子文件夹和文件实训二:注册表的备份、恢复和维护实训目的练习注册表的备份、恢复和维护等操作。实训步骤1注册表备份1)使用Windows命令备份恢
限制150内