第09章操作系統(tǒng)安全_第1頁
第09章操作系統(tǒng)安全_第2頁
第09章操作系統(tǒng)安全_第3頁
第09章操作系統(tǒng)安全_第4頁
第09章操作系統(tǒng)安全_第5頁
已閱讀5頁,還剩20頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

第9章操作系統(tǒng)安全

目前服務(wù)器常用的操作系統(tǒng)有兩類:WindowsNT/2000/2003Server、Unix/Linux。這些操作系統(tǒng)都是符合C2級安全級別的操作系統(tǒng),但是都存在不少漏洞,如果對這些漏洞不了解,不采取相應(yīng)的措施,就會使操作系統(tǒng)完全暴露給入侵者。本章將討論這兩類操作系統(tǒng)一些基本的安全問題。第9章操作系統(tǒng)安全NetworkandInformationSecurity9.1Windows系統(tǒng)的安全9.1.1賬戶的安全設(shè)置1.Windows賬戶簡介在Windows操作系統(tǒng)中,用戶被分成許多組,組和組之間有不同的權(quán)限,當(dāng)然,一個組的用戶和用戶之間也可以有不同的權(quán)限。Windows中常見的用戶組如下:(1)Administrators,管理員組。(2)PowerUsers,高級用戶組。(3)Users,普通用戶組。(4)Guests,來賓組。(5)Everyone,顧名思義,計算機上的所有用戶都屬于這個組。Administrators組中有一個在系統(tǒng)安裝時就創(chuàng)建的默認(rèn)用戶Administrator,Administrator賬戶具有對計算機的完全控制權(quán)限,并可以根據(jù)需要向用戶指派用戶權(quán)利和訪問控制權(quán)限。Guests組下也有一個默認(rèn)用戶Guest,但是在默認(rèn)情況下,它是被禁用的。如果沒有特別必要,無須啟用此賬戶。第9章操作系統(tǒng)安全NetworkandInformationSecurity2.Windows賬戶管理Windows在控制面板中有【用戶賬號】圖標(biāo),但功能太弱,建議不要使用,應(yīng)該使用專門的用戶管理程序。打開【控制面板】窗口,雙擊【管理工具】圖標(biāo),出現(xiàn)【管理工具】窗口后,雙擊【計算機管理】圖標(biāo),出現(xiàn)【計算機管理】窗口。在【計算機管理】窗口左側(cè)依次選擇【系統(tǒng)工具】|【本地用戶和組】|【用戶】,右側(cè)會列出計算機中的所有用戶。第9章操作系統(tǒng)安全NetworkandInformationSecurity3.Windows賬戶安全設(shè)置(1)停用不必要的賬戶:可用的賬戶越多,被黑客利用的可能性就越大,所以用不到的賬戶一律刪除或停用。(2)管理員賬戶改名:Administrator賬戶不能停用,黑客知道這個賬戶名,就可以一遍又一遍地嘗試它的密碼,把Administrator賬戶改名可以有效地防止這一點。不要使用Admin之類的名字,改了等于沒改,盡量把它偽裝成普通賬戶,如改成user-one。(3)設(shè)置陷阱賬戶:Administrator賬戶改名之后,可以再創(chuàng)建一個Administrator賬戶,讓它隸屬于【Guests】組,權(quán)限最小,并且加上一個超長的復(fù)雜密碼,這就是陷阱賬戶。陷阱賬戶可以讓那些黑客忙上很長一段時間,僥幸成功后也做不了什么事情。

第9章操作系統(tǒng)安全NetworkandInformationSecurity(4)開啟賬戶鎖定策略:開啟賬戶鎖定策略后,黑客嘗試密碼錯誤達到一定次數(shù)后,該賬戶將被鎖定而不能登錄。打開【控制面板】窗口,雙擊【管理工具】圖標(biāo),出現(xiàn)【管理工具】窗口后,雙擊【本地安全策略】圖標(biāo),出現(xiàn)【本地安全設(shè)置】窗口。在【本地安全設(shè)置】窗口左側(cè)依次選擇【賬戶策略】|【賬戶鎖定策略】,右側(cè)會列出3條策略。第9章操作系統(tǒng)安全NetworkandInformationSecurity9.1.2網(wǎng)上鄰居的安全設(shè)置1.簡單共享與高級共享在Windows的網(wǎng)上鄰居中,有兩種文件共享方式,分別是簡單共享與高級共享,默認(rèn)使用簡單共享。簡單共享的設(shè)置很簡單,但客戶機只能以Guest用戶身份訪問服務(wù)器;高級共享的設(shè)置較復(fù)雜,但客戶機能以其他用戶身份訪問服務(wù)器。若沒有特殊要求,使用簡單共享就可以了。使用簡單共享方式時,客戶機只能以Guest用戶身份訪問服務(wù)器,所以在服務(wù)器上Guest用戶必須啟用,否則服務(wù)器無法共享文件夾。第9章操作系統(tǒng)安全NetworkandInformationSecurity2.網(wǎng)上鄰居的安全設(shè)置Windows的網(wǎng)上鄰居雖然有用,但卻是一個安全隱患,設(shè)置不當(dāng)會給用戶帶來危害。網(wǎng)上鄰居的安全設(shè)置主要有以下內(nèi)容:(1)停用Guest用戶:不使用簡單文件共享時,一定要停用Guest用戶。(2)及時取消共享:僅在必要的時候設(shè)置共享文件夾,一旦用完及時取消共享。(3)建立專門共享用戶:建議使用高級文件共享,要專門建立一個用戶,在設(shè)置共享文件夾的權(quán)限時,僅允許該用戶訪問,不要使用【Everyone】用戶組。僅允許該用戶從網(wǎng)絡(luò)訪問本計算機,其他用戶都不允許。該用戶要設(shè)置較為復(fù)雜的密碼,不可設(shè)置為允許空密碼用戶登錄。第9章操作系統(tǒng)安全NetworkandInformationSecurity(4)禁止建立空連接:默認(rèn)情況下,任何用戶都可以通過空連接連上計算機,進而可以枚舉出賬號,猜測密碼。所謂空連接,是指在不使用用戶名與密碼的情況下,通過網(wǎng)絡(luò)與計算機建立的連接。可以通過修改注冊表來禁止建立空連接。在HKEY_LOCAL_MACHINE主鍵下修改子鍵:System\CurrentControlSet\Control\LSA\RestrictAnonymous,將鍵值改成“1”即可。(5)禁用網(wǎng)上鄰居:若平時不使用網(wǎng)上鄰居,可以卸載某些組件或停止某些服務(wù),使網(wǎng)上鄰居無法使用。第9章操作系統(tǒng)安全NetworkandInformationSecurity(6)關(guān)閉默認(rèn)共享:在Windows中,所有的邏輯盤與Windows的安裝目錄默認(rèn)是共享的。要永久性地停用這些默認(rèn)共享,必須修改注冊表。修改主鍵HKEY_LOCAL_MACHINE下的子鍵:SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters,在該子鍵下新建DWORD類型的子鍵,鍵名設(shè)為AutoShareWks,鍵值設(shè)為0。重新啟動計算機后,所有的邏輯盤與Windows的安裝目錄就不再共享了。第9章操作系統(tǒng)安全NetworkandInformationSecurity9.1.3防病毒安全設(shè)置(1)關(guān)閉自動播放功能:當(dāng)計算機中插入U盤或光盤時,Windows可以自動運行其上的可執(zhí)行文件,這就是自動播放功能。自動播放功能默認(rèn)是打開的,目前很多U盤病毒就利用了這一功能,所以應(yīng)該關(guān)閉自動播放功能。單擊任務(wù)欄左側(cè)的【開始】按鈕,選擇【運行】菜單項,出現(xiàn)【運行】對話框后,在【打開】下拉列表框中鍵入gpedit.msc,單擊【確定】按鈕,出現(xiàn)如圖9-22所示的【組策略】窗口。第9章操作系統(tǒng)安全NetworkandInformationSecurity第9章操作系統(tǒng)安全NetworkandInformationSecurity(2)顯示隱藏文件與文件擴展名:很多病毒文件把自己設(shè)置為隱藏文件或系統(tǒng)文件,用戶就看不到它,或是隱藏自己的擴展名,偽裝成正常文件。在WindowsXP的【資源管理器】中,打開【工具】菜單,選擇【文件夾選項】菜單項,出現(xiàn)如圖9-24所示的【文件夾選項】對話框。選擇【查看】選項卡,在【高級設(shè)置】列表框中,不要選中【隱藏受保護的操作系統(tǒng)文件(推薦)】復(fù)選框,選中【顯示所有文件和文件夾】單選按鈕,不要選中【隱藏已知文件類型的擴展名】復(fù)選框。單擊【確定】按鈕,即可顯示所有隱藏文件與系統(tǒng)文件,以及所有文件的擴展名。第9章操作系統(tǒng)安全NetworkandInformationSecurity9.1.4口令安全設(shè)置(1)使用安全的口令:口令必須足夠隨機,難以被猜到。如果使用123456、abc、888888,或是自己的生日、學(xué)號、電話等作為口令,那么極易被猜到,沒有任何安全性可言。如果使用awC#5$9、8*3Ac/=e等作為口令,幾乎不可能猜中,使用口令時還應(yīng)注意以下事項:l

不要將口令寫下來,要使用難以猜測卻又易記的口令。l

在輸入口令時,應(yīng)避免被別人看到。l

盡量在不同系統(tǒng)上使用不同的口令。l

口令盡量定期更換。第9章操作系統(tǒng)安全NetworkandInformationSecurity(2)開啟密碼策略:開啟密碼策略后,可以對用戶設(shè)置的口令加以限制,以提高安全性。打開【控制面板】窗口,雙擊【管理工具】圖標(biāo),出現(xiàn)【管理工具】窗口后,雙擊【本地安全策略】圖標(biāo),出現(xiàn)【本地安全設(shè)置】窗口。在【本地安全設(shè)置】窗口左側(cè)依次選擇【賬戶策略】|【密碼策略】,右側(cè)會列出幾條策略。

第9章操作系統(tǒng)安全NetworkandInformationSecurity9.1.5其他安全設(shè)置(1)物理安全。(2)要有安全意識。(3)屏幕保護密碼。

(4)禁止U盤光盤啟動。(5)使用USBKey。(6)關(guān)閉不必要的端口與服務(wù)。

(7)使用NTFS分區(qū)。(8)下載安裝最新的補丁。第9章操作系統(tǒng)安全NetworkandInformationSecurity(9)開啟審核策略:審核策略在默認(rèn)的情況下都是沒有開啟的。打開【控制面板】窗口,雙擊【管理工具】圖標(biāo),出現(xiàn)【管理工具】窗口后,雙擊【本地安全策略】圖標(biāo),出現(xiàn)【本地安全設(shè)置】窗口。在【本地安全設(shè)置】窗口左側(cè)依次選擇【本地策略】|【審核策略】,右側(cè)會列出幾條策略。第9章操作系統(tǒng)安全NetworkandInformationSecurity(10)不顯示上次登錄名。(11)禁用Dump文件。(12)關(guān)機時清除頁面文件。(13)禁止判斷主機類型。(14)禁止Guest用戶訪問日志。(15)做好備份。(16)數(shù)據(jù)恢復(fù)軟件。第9章操作系統(tǒng)安全NetworkandInformationSecurity9.2Unix/Linux系統(tǒng)的安全9.2.1超級用戶安全管理超級用戶可以對系統(tǒng)中任何文件和目錄進行讀寫,超級用戶口令一旦丟失,系統(tǒng)維護工作就很難進行,系統(tǒng)也就無安全性可言。超級用戶在安全管理方面需要注意的地方包括:(1)在一般情況下最好不使用root賬號,應(yīng)使用su命令進入普通用戶賬號。(2)超級用戶不要運行其它用戶的程序。(3)經(jīng)常改變root口令。第9章操作系統(tǒng)安全NetworkandInformationSecurity(4)精心地設(shè)置口令時效。(5)不要把當(dāng)前工作目錄排在PATH路徑表的前面,以避免木馬程序的入侵。(6)不要未退出系統(tǒng)就離開終端。(7)建議將登錄名root改成其它名稱。(8)注意檢查不尋常的系統(tǒng)使用情況。(9)保持系統(tǒng)文件的完整性。(10)將磁盤的備份存放在安全的地方。(11)確保所有登錄賬號的口令都不為空。(12)啟動記賬系統(tǒng)。第9章操作系統(tǒng)安全NetworkandInformationSecurity9.2.2用戶帳號安全管理用戶賬號的管理包括如何保證系統(tǒng)中每個用戶賬號的安全、如何管理這些賬號,以及如何處理對系統(tǒng)安全有威脅的賬號。保證系統(tǒng)有一個安全的/etc/passwd文件是十分必要的,維護該文件時應(yīng)注意以下問題:(1)盡量避免直接修改/etc/passwd文件。(2)在用戶可以容忍的情況下,盡量使用比較復(fù)雜的用戶賬號名。(3)保證passwd文件中沒有口令相同的用戶賬號。第9章操作系統(tǒng)安全NetworkandInformationSecurity(4)保證passwd文件中每個用戶的口令字段不為空。(5)注意系統(tǒng)特殊用戶使用的Shell字段,保證他們使用專用程序,而非一般用戶的Shell。(6)除非在必要的情況下,最好不要使用組口令。(7)對于新用戶最好先為之提供rsh(RestrictedShell),讓他們在受限的環(huán)境中使用系統(tǒng)。(8)當(dāng)一個賬號長時間不用時,可通過記賬機制發(fā)現(xiàn)該賬號,并將該賬號查封。第9章操作系統(tǒng)安全NetworkandInformationSecurity9.2.3文件和目錄的安全文件和目錄權(quán)限的管理涉及重要目錄的安全問題,包括以下目錄:/bin、/boot、/dev、/etc和$HOME。/bin目錄保存引導(dǎo)系統(tǒng)所需的全部可執(zhí)行程序及常用的命令。該目錄只允許超級用戶進行修改。同時,應(yīng)把該目錄設(shè)置在PATH環(huán)境變量的最前面。/boot用來存放系統(tǒng)初啟時所需的一些數(shù)據(jù)和文件。如該目錄被破壞,系統(tǒng)就不能啟動。第9章操作系統(tǒng)安全NetworkandInformationSecurity/dev目錄包含有鏈接硬件設(shè)備的文件,它的存取權(quán)限應(yīng)當(dāng)是775,并且應(yīng)屬root所有。設(shè)備文件使用權(quán)限設(shè)置不當(dāng),能給系統(tǒng)安全帶來影響。例如/dev/mem是系統(tǒng)內(nèi)存,用cat命令就可以在終端上顯示系統(tǒng)內(nèi)存中的內(nèi)容。/etc目錄下的passwd、group、shadow、inittab、cshrc和xinitrc等文件是系統(tǒng)正常工作時所用的。大多數(shù)情況下,/etc中的文件是黑客首選的攻擊目標(biāo)。$HOME目錄是各個用戶的主目錄,一般位于/home目錄下。該目錄的名稱一般與用戶的登錄名相同。超級用戶的主目錄在/root下。第9章操作系統(tǒng)安全NetworkandInformationSecurity9.2.4關(guān)于SUID程序當(dāng)Unix

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論