2022年2022年计算机网络安全技术与实训第章 .pdf

《2022年2022年计算机网络安全技术与实训第章 .pdf》由会员分享，可在线阅读，更多相关《2022年2022年计算机网络安全技术与实训第章 .pdf（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、- 81 - 第 3 章 操作系统的安全配置学习目标 1. 理解操作系统安全的概念和安全评估准则2. 掌握应急启动盘的制作3. 掌握 windows 操作系统中账号和权限设置4. 掌握 windows 系统和服务安全配置5. 掌握 linux 操作系统的安全配置本章要点操作系统安全的概念和安全评估准则应急启动盘的制作windows 操作系统中账号和权限设置windows 系统和服务安全配置linux操作系统的安全配置随着 Internet 应用的广泛深入，计算机系统的安全问题日益引起人们的高度重视。操作系统是连接计算机硬件与上层软件及用户的桥梁，它的安全性是至关重要的。操作系统对于系统安全来说

2、好比是大楼的地基，如果没有了它，大楼就无从谈起。在计算机系统的各个层次上，硬件、操作系统、网络软件、数据库管理系统软件以及应用软件，各自在计算机安全中都肩负着重要的职责。在软件的范畴中，操作系统处在最底层，是所有其他软件的基础，它在解决安全上也起着基础性、关键性的作用，没有操作系统的安全支持，计算机软件系统的安全就缺乏了根基。因此，操作系统本身的安全就成了安全防护的头等大事。操作系统安全防护研究通常包括以下几方面内容。(1) 操作系统本身提供的安全功能和安全服务，现代的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务，如何对操作系统本身的安全性能进行研究和开发使之符合选定的环境

3、和需求。(2) 对各种常见的操作系统，采取什么样的配置措施使之能够正确应付各种入侵。(3) 如何保证操作系统本身所提供的网络服务得到安全配置。3.1 操作系统的安全问题一般意义上，如果说一个计算机系统是安全的，那么是指该系统能够控制外部对系统信息的访问。也就是说，只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。操作系统内的活动都可以认为是主体对计算机系统内部所有客体的一系列操作。操作系统中任何存有数据的东西都是客体，包括文件程序、内存、目录、队列、管道、进程间报文、I/O 设备和物理介质等。能访问或使用客体活动的实体称为主体，一般说，用户或者代表用户进行操作的进程都是主体。

4、主体对客体的访问策略是通过可信计算基(TCB) 来实现的。可信计算基是系统安全的基础，正是基于该TCB，通过安全策略的实施控制主体对空体的存取，达到对客体的保护。安全策略描述的是人们如何存取文件或其他信息。当安全策略被抽象成安名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 29 页 - - - - - - - - - - 82 - 全模型后，人们可以通过形式货摊方法证明该模型是安全的。被证明了的模型成为人们设计系统安全部分的坐标。安全模型精确定义了安全状态的概念访问的基本

5、模型和保证主体对客体访问的特殊规则。一般所说的操作系统的安全通常包含两方面意思：一方面是操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等机制实现的安全；另一方面则是操作系统在使用中，通过一系列的配置，保证操作系统避免由于实现时的缺陷或是应用环境因素产生的不安全因素。只有在这两方面同时努力，才能够最大可能地建立安全的操作系统。311 计算机操作系统安全评估1. 国际安全评价标准的发展及其联系计算机系统安全评价标准是一种技术性法规。在信息安全这一特殊领域，如果没有这一标准，与此相关的立法、执法就会有失偏颇，最终会给国家的信息安全带来严重后果。由于信息安全产品和系统的安全评价事关国家的

6、安全利益，因此许多国家都在充分借鉴国际标准的前提下，积极制订本国的计算机安全评价认证标准。第一个有关信息技术安全评价的标准诞生于八十年代的美国，就是著名的“可信计算机系统评价准则” （TCSEC ，又称桔皮书） 。该准则对计算机操作系统的安全性规定了不同的等级。从九十年代开始，一些国家和国际组织相继提出了新的安全评价准则。1991 年，欧共体发布了“信息技术安全评价准则”（ itsec） 。1993 年，加拿大发布了“加拿大可信计算机产品评价准则”（CTCPEC） ，CTCPEC 综合了 TCSEC 和 ITSEC 两个准则的优点。同年，美国在对TCSEC进行修改补充并吸收ITSEC 优点的基

7、础上， 发布了“信息技术安全评价联邦准则” （FC） 。1993 年 6 月，上述国家共同起草了一份通用准则（CC） ，并将 CC 推广为国际标准。CC 发布的目的是建立一个各国都能接受的通用的安全评价准则，国家与国家之间可以通过签订互认协议来决定相互接受的认可级别，这样能使基础性安全产品在通过CC 准则评价并得到许可进入国际市场时，不需要再作评价。此外，国际标准化组织和国际电工委也已经制订了上百项安全标准，其中包括专门针对银行业务制订的信息安全标准。国际电信联盟和欧洲计算机制造商协会也推出了许多安全标准。2.美国可信计算机安全评价标准（TCSEC）TCSEC 标准是计算机系统安全评估的第一个

8、正式标准，具有划时代的意义。 该准则于 1970年由美国国防科学委员会提出，并于1985 年 12 月由美国国防部公布。TCSEC 最初只是军用标准，后来延至民用领域。TCSEC 将计算机系统的安全划分为4 个等级、 8 个级别。D 类安全等级： D 类安全等级只包括D1 一个级别。 D1 的安全等级最低。D1 系统只为文件和用户提供安全保护。D1 系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。C 类安全等级：该类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力。C 类安全等级可划分为C1 和 C2 两类。 C1 系统的可信任运算基础体制（trusted compu

9、ting base，tcb）通过将用户和数据分开来达到安全的目的。在C1 系统中，所有的用户以同样的灵敏度来处理数据，即用户认为C1 系统中的所有文档都具有相同的机密性。C2 系统比 C1 系统加强了可调的审慎控制。在连接到网络上时，C2 系统的用户分别对各自的行为负责。C2 系统通过登陆过程、安全事件和资源隔离来增强这种控制。C2 系统具有C1 系统中所有的安全性特征。B 类安全等级： B 类安全等级可分为B1、B2 和 B3 三类。B 类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。B1 系统满足下列要求：系统对网络控制下的每个对象都进行灵敏

10、度标记；系统使用灵敏度标记作为所有强迫访问控制的基础；系统在把导入的、非标记的对象放入系统前标记它们；灵敏度标记必名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 29 页 - - - - - - - - - - 83 - 须准确地表示其所联系的对象的安全级别;当系统管理员创建系统或者增加新的通信通道或I/O 设备时，管理员必须指定每个通信通道和I/O 设备是单级还是多级，并且管理员只能手工改变指定 ;单级设备并不保持传输信息的灵敏度级别;所有直接面向用户位置的输出（无论是

11、虚拟的还是物理的）都必须产生标记来指示关于输出对象的灵敏度;系统必须使用用户的口令或证明来决定用户的安全访问级别;系统必须通过审计来记录未授权访问的企图。B2 系统必须满足B1 系统的所有要求。另外，B2 系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。B2 系统必须满足下列要求：系统必须立即通知系统中的每一个用户所有与之相关的网络连接的改变；只有用户能够在可信任通信路径中进行初始化通信；可信任运算基础体制能够支持独立的操作者和管理员。B3 系统必须符合 B2 系统的所有安全需求。B3 系统具有很强的监视委托管理访问能力和抗干扰能力。B3系统必须设有安全管理员

12、。B3 系统应满足以下要求:除了控制对个别对象的访问外，B3 必须产生一个可读的安全列表；每个被命名的对象提供对该对象没有访问权的用户列表说明;B3 系统在进行任何操作前，要求用户进行身份验证；B3 系统验证每个用户，同时还会发送一个取消访问的审计跟踪消息；设计者必须正确区分可信任的通信路径和其他路径；可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪；可信任的运算基础体制支持独立的安全管理。A 类安全等级：A 系统的安全级别最高。目前，A 类安全等级只包含A1 一个安全类别。A1 类与 B3 类相似，对系统的结构和策略不作特别要求。A1 系统的显著特征是，系统的设计者必须按照一个正式的

13、设计规范来分析系统。对系统分析后，设计者必须运用核对技术来确保系统符合设计规范。A1 系统必须满足下列要求：系统管理员必须从开发者那里接收到一个安全策略的正式模型;所有的安装操作都必须由系统管理员进行；系统管理员进行的每一步安装操作都必须有正式文档。3.欧洲的安全评价标准（ITSEC ）ITSEC 是欧洲多国安全评价方法的综合产物，应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从F1F10 共分 10 级。 1 5 级对应于TCSEC 的D 到 A。F6 至 F10 级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网

14、络安全。评估准则分为6 级，分别是测试、配置控制和可控的分配、能访问详细设计和源码、详细的脆弱性分析、设计与源码明显对应以及设计与源码在形式上一致。4.加拿大的评价标准（CTCPEC ）CTCPEC 专门针对政府需求而设计。与ITSEC 类似，该标准将安全分为功能性需求和保证性需要两部分。功能性需求共划分为四大类：机密性、完整性、可用性和可控性。每种安全需求又可以分成很多小类，来表示安全性上的差别，分级条数为05 级。5.美国联邦准则（FC ）FC 是对 TCSEC 的升级，并引入了“保护轮廓”（pp）的概念。每个轮廓都包括功能、开发保证和评价三部分。FC 充分吸取了ITSEC 和 CTCPE

15、C 的优点，在美国的政府、民间和商业领域得到广泛应用。6.国际通用准则（CC）CC 是国际标准化组织统一现有多种准则的结果，是目前最全面的评价准则。1996 年 6 月，CC 第一版发布； 1998 年 5 月， CC 第二版发布； 1999 年 10 月 CC v2.1 版发布，并且成为iso标准。 CC 的主要思想和框架都取自ITSEC 和 FC，并充分突出了“保护轮廓”概念。CC 将评估过程划分为功能和保证两部分，评估等级分为EAL1 、EAL2 、EAL3、 EAL4 、EAL5 、EAL6和 EAL7 共七个等级。 每一级均需评估7 个功能类， 分别是配置管理、 分发和操作、 开发过

16、程、指导文献、生命期的技术支持、测试和脆弱性评估。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 29 页 - - - - - - - - - - 84 - 3.1.2国内的安全操作系统评估为了适应信息安全发展的需要，借鉴国际上的一系列有关标准,我国也制定了计算机信息系统等级划分准则。我国将操作系统分成5 个级别，分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。这5 个级别区别见表3.1。第 1 级第 2 级第 3 级第 4 级第 5

17、级自主访问控制身份鉴别数据完整性客体重用审计强制访问控制标记隐蔽信道分析可信路径可信恢复表 3.1 操作系统 5 个级别1) 自主访问控制计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制(如访问控制列表 )允许命名用户以用户和(或)用户组的身份规定并控制客体的共享；阻止非授权用户读取敏感信息，并控制访问权限扩散。自主访问控制机制根据用户指定的用户只允许由授权用户指定对客体的访问权。2) 身份鉴别计算机信息系统可信计算基初始执行时，首先要求用户标识自己的身份，并使用保护机制(如口令 )来鉴别用户的身份；阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识，计算机信

18、息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信基还具备将身份标识与该用户所有可审计行为相关联的能力。3) 数据完整性计算机信息系统可信计算基通过自主和强制完整性策略，阻止非授权用户修改或破坏敏感信息。在网络环境中，使用完整性敏感标记来确信信息在传送中未受损。4) 客体重用在计算机输出信息系统可信计算基的空闲存储客体空间中，对客体初始指定、分配再分配一个主体之前，撤销该客体所含信息的所有授权。当主体获得对一个已释放的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息。5) 审计计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它的访问

19、或破坏活动。可信计算基能记录在案下述事件：使用身份鉴别机制；将客体引入用户地址空间(如打开文件、 程序初始化 )；删除客体； 由操作员、 系统管理员或(和)系统安全管理员实施的动作以及其他与系统安全有关的事件。对于每一事件，其审计记录包括：事件的日期和时间、用户事件类型、事件是否成功。对于身份鉴别事件，审计记录包含来源 (如终端标识符)；对于客体引入用户地址空间的事件及客体删除事件，审计记录包含客体名。对不能由计算机信息系统可信计算基独立辨别的审计事件，审计机制提供审计记录接口，可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。6) 强制访问控制计算机信息系统可信

20、计算基对所有主体及其所控制的客体(例如，进程、文件、段、设备)名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 29 页 - - - - - - - - - - 85 - 实施强制访问控制，为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的事实依据。计算机信息系统可信计算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足：仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类，且主体安

21、全级非等级类别包含了客体安全级中的非等级类别，主体才能写一个客体。计算机信息系统可信计算基使用身份和鉴别数据，鉴别用户的身份，并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制。7) 标记计算机信息系统可信计算基应维护与主体及其控制的存储客体(例如，进程、文件、段、设备 )相关的敏感标记，这些标记是实施强制访问的基础。为了输入未加安全标记的数据，计算机信息系统可信基向授权用户要求并接受这些数据的安全级别，且可由计算机信息系统可信计算基审计。8) 隐蔽信道分析系统开发者应彻底隐蔽存储信道，并根据实际测量或工程估算确定每一个被标识信道的最大带宽。9) 可信路

22、径当连接用户时(例如，注册、更改主体安全级)，计算机信息系统可信计算基提供它与用户之间的可信通道路径。可信路径上的通信能由该用户或计算机信息系统激活，且在逻辑上与其他路径上的通信相隔离，并能正确地加以区分。10) 可信恢复计算机信息系统可信计算基提供过程和机制，保证计算机信息系统失效或中断后，可以进行不损害任何安全保护性能的恢复。该规定中，级别从低到高，每一级都将实现上一级的所有功能，并且有所增加。第1 级是用户自主保护级，在该级中，计算机信息系统可信计算基通过隔离用户与数据，使用户具备自主安全保护能力。通常所说的安全操作系统，其最低级别即是第3 级，日常所见的操作系统，则以第1 级和第 2

23、级为主。 4 级以上的操作系统，与前3 级有着很大的区别。4 级和 5级操作系统必须建立于一个明确定义的形式化安全策略模型之上。此外，还需要考虑隐蔽通道。在第4 级结构化保护级中，要求将第3 级系统中的自主和强制访问控制扩展到所有主体与客体。第5 级访问验证保护级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问，访问监控器本身必须是抗篡改的、足够小且能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小。支持安全管理员职能；提供审计机制，当发生与安全相

24、关的事件时发出信号；提供系统恢复机制。这种系统具有高的抗渗透能力。32 操作系统的安全配置操作系统安全配置主要是指操作系统访问控制权限的恰当设置、系统的及时更新以及对于攻击的防范。所谓操作系统访问控制权限的恰当设置是指利用操作系统的访问控制功能，为用户和文件系统建立恰当的访问权限控制。由于目前流行的操作系统绝大多数是用户自主级访问控制，因此对于用户和重要文件的访问权限控制是否得当，直接影响系统的安全稳定和信息的完整保密。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 29

25、 页 - - - - - - - - - - 86 - 321 windows 操作系统的安全配置1用户安全（1）停掉 Guest 帐号在计算机管理的用户里面把guest 帐号停用掉，任何时候都不允许guest 帐号登陆系统。为了保险起见， 最好给 guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符数字，字母的长字符串，然后把它作为guest 帐号的密码拷进去。如图 3.1 所示图 3.1 停用 guest用户界面（2）限制不必要的用户数量去掉所有的duplicate user 帐户、测试用帐户、共享帐号、普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户

26、，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。（3）创建 2 个管理员用帐号虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用“ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理。（4）把系统administrator 帐号改名大家都知道，windows 2000 的 administrator 帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这

27、个帐户的密码。把Administrator 帐户改名可以有效的防止这一点。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 29 页 - - - - - - - - - - 87 - 图 3.2 系统 administrator 帐号改名界面（5）创建一个陷阱帐号什么是陷阱帐号?创建一个名为”Administrator ”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10 位的超级复杂密码。这样可以让那些骇客忙上一段时间了，并且可以借此发现它们的入

28、侵企图。图 3.3 创建陷阱帐号界面（6）把共享文件的权限从”everyone”组改成“授权用户”“everyone”组在 win2000 中意味着所有人，任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是“ everyone”组的。（7）使用安全密码一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。安全期内无法破解出来的密码就是好密码，也就是说，如果人家得到了你的密码文档，必须花43 天或者更长的时间才能破解出来，而你的密码策略是42 天必须改密码。设置密码时要注意密码一定要包含字母、数字和特

29、殊字符，并且字母要区分大小写，密码的位数建议10 位以上。（8） 开启密码策略名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 29 页 - - - - - - - - - - 88 - 这对系统安全非常重要，要使安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略见表3.2。策略设置密码必须符合复杂性要求启用密码长度最小值6 位密码最长存留期15 天强制密码历史5 次表 3.2 开启密码策略“密码必须符合复杂性要求”是要求设置的密码必须是数字和字母的组合；“密

30、码长度最小值”是要求密码长度至少为6 位； “密码最长存留期”是要求当该密码使用超过15 天后，就自动要求用户修改密码；“强制密码历史”是要求当前设置的密码不能和前面5 次的密码相同。设置如图2.14 所示。图 3. 4 设置密码策略（9）日常使用系统不要使用管理员用户管理员用户只有系统在进行管理时才要使用的，日常使用计算机时，应使用属于users组的普通用户，由于普通用户的权利比管理员用户小很多，所以可以避免不必要的风险。例如，普通用户默认对NTFS 分区上的系统目录是不可写的，而管理员用户可写。（10）考虑使用智能卡来代替密码对于密码， 总是使安全管理员进退两难，密码设置简单容易受到黑客的

31、攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。2系统安全（1）及时为操作系统打补丁天天利用一些安全审计工具对操作系统进行扫描，发现最新的漏洞，去微软和一些安全站点下载最新的service pack 和漏洞补丁，是保障服务器长久安全的有效方法。（2）使用 NTFS 格式分区并合理规划权限把计算机的系统分区要使用NTFS 文件系统。由于NTFS 文件系统可以设置权限，所以NTFS 文件系统要比FA T、FAT32 的文件系统安全得多。系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限。系统盘 Documents and

32、 Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限。系统盘 Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限。系统盘 WindowsSystem32cacls.exe 、 cmd.exe、net.exe、net1.exe、ftp.exe 、tftp.exe 、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 29 页 - - - - - -

33、- - - - 89 - telnet.exe 、 netstat.exe、 regedit.exe、 at.exe、 attrib.exe、 、 del 文件只给 Administrators 组和 SYSTEM 的完全 控制权限。另 将 System32cmd.exe 、 、ftp.exe转 移 到其 他 目 录 或 更 名 。Documents and Settings 下所有些目录都设置只给adinistrators 权限。并且要一个一个目录查看，包括下面的所有子目录。删除 c:inetpub 目录（3）运行防毒软件杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序，要注意对

34、所有外来文件进行杀毒，并及时更新最新的病毒库。（4）安装防火墙软件防火墙软件可以控制软件对于网络的访问并可以设置安全规则，可以有效地防范网络攻击和木马程序。因此计算机要安装防火墙软件并及时更新规则库。4.使用文件加密系统EFS Windows强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。要给文件夹也使用EFS 而不仅仅是单个的文件。5.加密 temp 文件夹一些应用程序在安装和升级的时候，会把一些东西拷贝到temp 文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp 文件夹的内容。所以，给temp 文件夹加密可

35、以给你的文件多一层保护。3服务安全（1）利用安全配置工具来配置策略开始菜单 管理工具 本地安全策略 本地策略 审核策略。设置如图3.5。图 3.5 本地安全策略本地策略 用户权限分配关闭系统：只有Administrators 组、其它全部删除。通过终端服务允许登陆：只加入Administrators,Remote Desktop Users 组，其他全部删除。本地策略 安全选项 （设置如下： ）交互式登陆：不显示上次的用户名启用网络访问：不允许SAM 帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除名师资料总结

36、 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 29 页 - - - - - - - - - - 90 - 网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户帐户：重命名系统管理员帐户重命名一个帐户（2）关闭不必要的服务开始 -运行 -services.msc 如图 3.6。可以通过鼠标右键修改其属性和启动或禁止。图 3.6 运行 services.msc TCP/IP NetBIOS Helper 提供 TCP

37、/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络。Server 支持此计算机通过网络的文件、打印、和命名管道共享。Computer Browser 维护网络上计算机的最新列表以及提供这个列表。Task scheduler 允许程序在指定时间运行。Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息。Distributed File System: 局域网管理共享文件，不需要可禁用。Distributed linktracking client：用于局域网更新连接信息，不需要可禁用。Error

38、reporting service ：禁止发送错误报告。Microsoft Serch ：提供快速的单词搜索，不需要可禁用。NTLMSecuritysupportprovide：telnet 服务和 Microsoft Serch 用的，不需要可禁用。PrintSpooler：如果没有打印机可禁用。Remote Registry ：禁止远程修改注册表。Remote Desktop Help Session Manager：禁止远程协助。Workstation 关闭的话远程NET 命令列不出用户组。以上是在默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。（3）关闭不必要的端口关闭

39、端口意味着减少功能，在安全和功能上面需要做一些抉择。如果服务器安装在防火墙的后面，风险就会少些。但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统已开放的端口，确定系统开放的哪些服务可能引起黑客入侵。具体方法为：右击“网上邻居”图标，执行“属性”命令，在出现的窗口中右击“本地连接”执行“属性”命令，在弹出对话框中选中“Internet 协议 (TCP/IP) ”项，单击“属性”名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 29 页 - - - - - - - -

40、 - - 91 - 按钮，再在弹出的对话框中单击“高级”按钮，弹出“高级TCP/IP 设置”对话框，打开“选项”选项卡选中“TCP/IP 筛选”项，单击“属性”按钮，弹出“TCP/IP 筛选”对话框，添加需要的 TCP、UDP 协议即可，如图3.7 所示。设置完毕的端口界面如图3.8 所示。图 3.7 设置 IP 的高级属性图 3.8 设置 TCP/IP 筛选（4）设定安全记录的访问权限安全记录在默认情况下是没有保护的，把他设置成只有Administrator和系统帐户才有权访问。（5）把敏感文件存放在另外的文件服务器中虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用

41、户数据 (文件，数据表，项目文件等)存放在另外一个安全的服务器中，并且经常备份它们。（6）禁止从软盘和CD Rom 启动系统一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。4注册表安全配置注册表是存储关于计算机配置信息的数据库。系统操作时不断引用注册表的信息。注册表文件后缀为*.reg 。注册表的结构如表3.3。键值说明HKEY_LOCAL_MACHINE本地计算机系统的信息，包括硬件和操作系统数据HKEY_CLASSES_ROOT各种 OLE 技术和文件类关联数据的信息HKEY_CURRENT_

42、USER用户配置文件，包括环境变量、桌面设置、网络连接、打印机和程序首选项等HKEY_USERS动态加载的用户配置文件和默认的配置文件的信息HKEY_CURRENT_CONFIG计算机系统使用的硬件配置文件的相关信息。用于配置一些设置，如要加载的设备驱动程序、显示时要使用的分辨率表 3.3 注册表的结构修改注册表可以使用注册表编辑器，启动注册表编辑器的名令是：regedit 或 regedt32 如：开始 -运行 -regedit ，打开注册表编辑器如图3.9 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -

43、 - - - - - 第 11 页，共 29 页 - - - - - - - - - - 92 - 图 3.9 注册表编辑器依次展 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中 PortNumber 改为你想用的端口号。注意使用十进制(例 10000 ) 修改完毕，重新启动服务器，设置生效。通过修改注册表，让系统更强壮。（1）隐藏重要文件/目录可以修改注册表实现完全隐藏HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows C

44、urrent-VersionExplorer SHOWALL，鼠标右击CheckedV alue ，选择修改，把数值由1 改为 0 （2）防止 SYN 洪水攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建 DWORD 值，名为SynAttackProtect ，值为 2 新建 EnablePMTUDiscovery REG_DWORD 0 新建 NoNameReleaseOnDemand REG_DWORD 1 新建 EnableDeadGWDetect REG_DWORD 0 新建 KeepAliveT

45、ime REG_DWORD 300,000 新建 PerformRouterDiscovery REG_DWORD 0 新建 EnableICMPRedirects REG_DWORD 0 （3）禁止响应ICMP 路由通告报文HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建 DWORD 值，名为PerformRouterDiscovery 值为 0 （4） 防止 ICMP 重定向报文的攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSetS

46、ervicesTcpipParameters 将 EnableICMPRedirects 值设为 0 （5）不支持 IGMP 协议HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建 DWORD 值，名为IGMPLevel 值为 0 （6）禁止 IPC 空连接cracker 可以利用 net use命令建立空连接，进而入侵，还有net view，nbtstat 这些都是基于空连接的，禁止空连接就好了。Local_MachineSystemCurrentControlSetControlLSA-RestrictAn

47、onymous 把这个值改名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 29 页 - - - - - - - - - - 93 - 成1即可。（7）更改 TTL 值cracker 可以根据 ping 回的 TTL 值来大致判断你的操作系统，如：TTL=128(win2000 ，winxp,win2003); TTL=64(linux); TTL=255(unix); 在 windows 中可以改变它：HKEY_LOCAL_MACHINESYSTEMCurrentCon

48、trolSetServices TcpipParameters：DefaultTTL REG_DWORD 0-0 xff(0-255 十进制 ,默认值 128)改成一个莫名其妙的数字如258，可以让入侵者不能据此判定使用的操作系统。（8）删除默认共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters：AutoShareServer 类型是 REG_DWORD 把值改为0 即可（9）禁止建立空连接默认情况下， 任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。 可以通过修改注册表来禁止建立空连接

49、：Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成 1即可。3.2.2 linux操作系统的安全配置通过基本的安全措施，使Linux 系统变得可靠。1、Bios Security 一定要给Bios 设置密码，以防通过在Bios 中改变启动顺序，而可以从软盘启动。这样可以阻止别人试图用特殊的启动盘启动你的系统，还可以阻止别人进入Bios 改动其中的设置 （比如允许通过软盘启动等）。2、启动安全（1）为 LILO 添加口令rootlocalhost# vi /etc/lilo.conf restricted

50、#加入这行password= #加入这行并设置自己的密码chmod600 /ietc/lilo.conf 然后执行命令：/sbin/lilo-V ，将其写入boot sector，并使这一改动生效。chattr+ i /etc/lilo.conf （2）为 GRUB 添加口令启动系统后出现GRUB 的画面，按c 进入命令方式，输入命令md5crypt grub md5crypt Password: * Encrypted: $1$5R.2$OanRg6GT.Tj3uJZzb.hye0 然后将加密的密码拷贝到/boot/grub/grub.conf 中 password 的一行 ,如下： .ti