第二講操作系統(tǒng)安全配置

第二章 操作系統(tǒng)安全配置操作系統(tǒng)的概念、安全評估操作系統(tǒng)的用戶安全設置操作系統(tǒng)的密碼安全設置操作系統(tǒng)的系統(tǒng)安全設置操作系統(tǒng)的服務安全設置操作系統(tǒng)的注冊表安全設置本章要點：

2023/2/31計算機網絡安全第二章 操作系統(tǒng)安全配置2.1操作系統(tǒng)的安全問題

2.2用戶安全配置

2.3密碼安全配置

2.4系統(tǒng)安全配置

2.5服務安全配置

2.6注冊表配置2.7數據恢復軟件

2023/2/32計算機網絡安全2.1操作系統(tǒng)的安全問題操作系統(tǒng)是計算機資源的直接管理者，它和硬件打交道并為用戶提供接口，是計算機軟件的基礎和核心。在網絡環(huán)境中，網絡的安全很大程度上依賴于網絡操作系統(tǒng)的安全性。沒有網絡操作系統(tǒng)的安全性，就沒有主機系統(tǒng)和網絡系統(tǒng)的安全性。因此操作系統(tǒng)的安全是整個計算機系統(tǒng)安全的基礎。操作系統(tǒng)安全防護研究，通常包括：

1）提供什么樣的安全功能和安全服務

2）采取什么樣的配置措施

3）如何保證服務得到安全配置2023/2/33計算機網絡安全2.1.1操作系統(tǒng)安全概念一般意義上，如果說一個計算機系統(tǒng)是安全的，那么是指該系統(tǒng)能夠控制外部對系統(tǒng)信息的訪問。也就是說，只有經過授權的用戶或代表該用戶運行的進程才能讀、寫、創(chuàng)建或刪除信息。2023/2/34計算機網絡安全操作系統(tǒng)的安全通常包含兩層意思：

1)操作系統(tǒng)在設計時通過權限訪問控制、信息加密性保護、完整性鑒定等一些機制實現的安全；

2)操作系統(tǒng)在使用中，通過一系列的配置，保證操作系統(tǒng)避免由于實現時的缺陷或是應用環(huán)境因素產生的不安全因素。2.1.1操作系統(tǒng)安全概念2023/2/35計算機網絡安全2.1.2計算機操作系統(tǒng)安全評估計算機系統(tǒng)安全性評估標準是一種技術性法規(guī)。在信息安全這一特殊領域，如果沒有這一標準，那么與此相關的立法、執(zhí)法就會有失偏頗，最終會給國家的信息安全帶來嚴重后果。美國可信計算機安全評估標準（TCSEC），是計算機系統(tǒng)安全評估的第一個正式標準。TCSEC將計算機系統(tǒng)的安全劃分為4個等級、8個級別。2023/2/36計算機網絡安全2.1.2計算機操作系統(tǒng)安全評估(1)D類安全等級：D類安全等級只包括D1一個安全類別，安全等級最低。D1系統(tǒng)只為文件和用戶提供安全保護。最普通的形式是本地操作系統(tǒng)，或者是一個完全沒有保護的網絡。(2)C類安全等級：該類安全等級能夠提供審慎的保護，并為用戶的行動和責任提供審計能力。C類安全等級可劃分為C1和C2兩類。C1系統(tǒng)通過將用戶和數據分開來達到安全的目的。C2系統(tǒng)比C1系統(tǒng)加強了可調的審慎控制。在連接到網絡上時，C2系統(tǒng)的用戶分別對各自的行為負責，通過登錄過程、安全事件和資源隔離來增強這種控制。2023/2/37計算機網絡安全2.1.2計算機操作系統(tǒng)安全評估(3)B類安全等級：B類安全等級分為B1、B2、B3三類。B類系統(tǒng)具有強制性保護功能，強制性保護意味著如果用戶沒有與安全等級相連，系統(tǒng)就不會讓用戶存取對象。(4)A類安全等級：目前A類安全等級只包含A1一個安全類別。其顯著特征是，系統(tǒng)的設計者必須按照一個正式的設計規(guī)范來分析系統(tǒng)。對系統(tǒng)分析后，設計者必須運用核對技術來確保系統(tǒng)符合設計規(guī)范。2023/2/38計算機網絡安全2.1.3國內的安全操作系統(tǒng)評估《計算機信息安全保護等級劃分準則》將計算機信息系統(tǒng)安全保護等級劃分為五個級別：1.用戶自主保護級本級的安全保護機制使用戶具備自主安全保護能力，保護用戶和用戶組信息，避免其他用戶對數據的非法讀寫和破壞。2023/2/39計算機網絡安全2.系統(tǒng)審計保護級本級的安全保護機制具備第一級的所有安全保護功能，并創(chuàng)建、維護訪問審計跟蹤記錄，以記錄與系統(tǒng)安全相關事件發(fā)生的日期、時間、用戶和事件類型等信息，使所有用戶對自己行為的合法性負責。3.安全標記保護級本級的安全保護機制有系統(tǒng)審計保護級的所有功能，并為訪問者和訪問對象指定安全標記，以訪問對象標記的安全級別限制訪問者的訪問權限，實現對訪問對象的強制保護。2.1.3國內的安全操作系統(tǒng)評估2023/2/310計算機網絡安全4.結構化保護級本級具備第3級的所有安全功能。并將安全保護機制劃分成關鍵部分和非關鍵部分相結合的結構，其中關鍵部分直接控制訪問者對訪問對象的存取。本級具有相當強的抗?jié)B透能力。5.安全域級保護級本級的安全保護機制具備第4級的所有功能，并特別增設訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動。本級具有極強的抗?jié)B透能力。2.1.3國內的安全操作系統(tǒng)評估2023/2/311計算機網絡安全2.1.3國內的安全操作系統(tǒng)評估

第1級第2級第3級第4級第5級自主訪問控制√√√√√身份鑒別√√√√√數據完整性√√√√√客體重用

√√√√審計

√√√強制訪問控制

√√√標記

√√√隱蔽信道分析

√√可信路徑

√√可信恢復

√2023/2/312計算機網絡安全2.1.4操作系統(tǒng)的安全配置操作系統(tǒng)安全配置主要是指：1）操作系統(tǒng)訪問控制權限的恰當設置指利用操作系統(tǒng)的訪問控制功能，為用戶和文件系統(tǒng)建立恰當的訪問權限控制。2）系統(tǒng)的及時更新及時地更新系統(tǒng)，會使整個系統(tǒng)的安全性能、穩(wěn)定性能、易用性能得到大幅度提高。3）對于攻擊的防范隨著利用操作系統(tǒng)安全缺陷進行攻擊的方法的不斷出現，操作系統(tǒng)和TCP/IP缺陷逐漸成為系統(tǒng)安全防護的一個重要內容。2023/2/313計算機網絡安全2.1.5操作系統(tǒng)的安全漏洞幾乎所有的操作系統(tǒng)都不是十全十美的，總存在安全漏洞。 在WindowsNT中，安全賬戶管理(SAM)數據庫可以被以下用戶復制：Administrator賬戶、Administrator組的所有成員、備份操作員、服務器操作員以及所有具有備份特權的人員。SAM數據庫的一個備份拷貝能夠被某些工具所利用來破解口令。

WindowsNT對較大的ICMP包是很脆弱的。如果發(fā)一條Ping命令，指定包的大小為64KB，WindowsNT的TCP/IP棧將不會正常工作，可使系統(tǒng)離線直至重新啟動，結果造成某些服務的拒絕訪問。2023/2/314計算機網絡安全2.1.5操作系統(tǒng)的安全漏洞從操作系統(tǒng)的等級來看，WindowsXP仍然是C級操作系統(tǒng)，即是一個安全等級比較低的操作系統(tǒng)。

WindowsXP發(fā)布后，與之有關的漏洞有：通用即插即用(UPnP)拒絕服務漏洞、GDI拒絕服務漏洞、終端服務IP地址欺騙漏洞。要想絕對避免軟件漏洞是不可能的！2023/2/315計算機網絡安全2.2用戶安全配置主要有10類，分別描述如下：新建用戶 帳號便于記憶與使用，而密碼則要求有一定的長度與復雜度。2023/2/316計算機網絡安全2．帳戶授權 對不同的帳戶進行授權，使其擁有和身份相應的權限。2.2用戶安全配置2023/2/317計算機網絡安全3．停用Guest用戶 把Guest賬號禁用，并且修改Guest帳號的屬性,設置拒絕遠程訪問。2.2用戶安全配置2023/2/318計算機網絡安全4．系統(tǒng)Administrator賬號改名 防止管理員賬號密碼被窮舉，偽裝成普通用戶。2.2用戶安全配置2023/2/319計算機網絡安全5．創(chuàng)建一個陷阱用戶 將管理員賬號權限設置最低，延緩攻擊企圖。2.2用戶安全配置2023/2/320計算機網絡安全6．更改默認權限 將共享文件的權限從“Everyone”改成“授權用戶。2.2用戶安全配置2023/2/321計算機網絡安全7．不顯示上次登錄用戶名 防止密碼猜測，打開注冊表編輯器并找到注冊表項“HKEY_CURRENT\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont-DisplayLastUserName”，把REG_SZ的鍵值改成1。2.2用戶安全配置2023/2/322計算機網絡安全8．限制用戶數量 減少入侵突破口，賬戶數不大于10

。9．多個管理員帳號 減少管理員賬號使用時間，避免被破解。 創(chuàng)建一個一般用戶權限帳號用來處理電子郵件及處理一些日常事務，創(chuàng)建另一個有Administrator權限的帳戶在需要的時候使用。2.2用戶安全配置2023/2/323計算機網絡安全10．開啟用戶策略可以有效的防止字典式攻擊。 當某一用戶連續(xù)5次錄都失敗后將自動鎖定該帳戶，30分鐘后自動復位被鎖定的帳戶。2.2用戶安全配置2023/2/324計算機網絡安全2.3密碼安全配置主要有4類，分別描述如下：安全密碼創(chuàng)建帳號時不用公司名、計算機名、或者一些別的容易猜到的字符做用戶名，密碼設置要復雜。 安全期內無法破解出來的密碼就是安全密碼（密碼策略是42天必須改密碼）。2023/2/325計算機網絡安全2．開啟密碼策略對不同的帳戶進行授權，使其擁有和身份相應的權限。策略設置要求密碼復雜性要求啟用數字和字母組合密碼最小值6位長度至少為6密碼最長存留期15天超期要求改密碼強制密碼歷史5次不能設置相同密碼2.3密碼安全配置2023/2/326計算機網絡安全3．設置屏幕保護密碼 防止內部人員破壞服務器的一個屏障。注意不要使用OpenGL和一些復雜的屏幕保護程序浪費系統(tǒng)資源，黑屏就可以了。2.3密碼安全配置2023/2/327計算機網絡安全4．加密文件或文件夾 用加密工具來保護文件和文件夾，以防別人偷看。2.3密碼安全配置2023/2/328計算機網絡安全2.4系統(tǒng)安全配置主要有11類，分別描述如下：使用NTFS格式分區(qū)所有分區(qū)都改成NTFS格式，NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。2023/2/329計算機網絡安全2．運行防毒軟件不僅可殺掉一些著名的病毒，還能查殺大量木馬和后門程序。要注意經常運行程序并升級病毒庫。2.4系統(tǒng)安全配置2023/2/330計算機網絡安全3．下載最新的補丁 經常訪問微軟和一些安全站點，下載最新的ServicePack和漏洞補丁。2.4系統(tǒng)安全配置2023/2/331計算機網絡安全4．關閉默認共享防止利用默認共享入侵。默認共享目錄路徑說明C$D$E$分區(qū)的根目錄Win2003AdvancedServer版中，只有Administrator和BackupOperators級成員才可連接，Win2000Server版本ServerOperators組也可以連接到這些共享目錄ADMIN$%SYSTEMTOOT%遠程管理用的共享目錄。它的路徑永遠都指向WIN2003的安裝路徑，比如C：\\winntIPC$

IPC$共享提供了登的能力PRIN$SYSTEM32\SPOOL\DRIVERS用戶遠程管理打印機2.4系統(tǒng)安全配置2023/2/332計算機網絡安全5．鎖定注冊表防止黑客從遠程訪問注冊表。修改Hkey_current_user下的子鍵：Software\Microsoft\windows\currentversion\policies\system，把DisableRegistryTools值改為0，類型為DWORD。2.4系統(tǒng)安全配置2023/2/333計算機網絡安全6．禁止從軟盤和光驅啟動系統(tǒng) 一些第三方的工具能通過引導系統(tǒng)來繞過原有的安全機制。利用安全配置工具來配置安全策略利用基于MMC（管理控制臺）安全配置和分析工具配置服務器。

/windows2000/techinfo/howitworks/security/sctoolset.asp

2.4系統(tǒng)安全配置2023/2/334計算機網絡安全8．開啟審核策略用安全審核來記錄入侵日志。策略設置審核系統(tǒng)登錄事件成功、失敗審核帳戶管理成功、失敗審核登錄事件成功、失敗審核對象訪問成功審核策略更改成功、失敗審核特權使用成功、失敗審核系統(tǒng)事件成功、失敗2.4系統(tǒng)安全配置2023/2/335計算機網絡安全9．加密Temp文件夾

給Temp文件夾加密可以給文件多一層保護。10．使用智能卡

用智能卡來代替復雜的密碼。11．使用IPSec

提供IP數據包的安全性。它提供身份驗證、完整性和可選擇的機密性。

利用IPSec可以使得系統(tǒng)的安全性能大大增強。IPsec在IP層提供安全服務，它使系統(tǒng)能按需選擇安全協議，決定服務所使用的算法及放置需求服務所需密鑰到相應位置。IPsec用來保護一條或多條主機與主機間、安全網關與安全網關間、安全網關與主機間的路徑。這些服務均在IP層提供，所以任何高層協議均能使用它們，例如TCP、UDP、ICMP、BGP等等。2.4系統(tǒng)安全配置2023/2/336計算機網絡安全2.5服務安全配置主要有5類，分別描述如下：關閉不必要的端口 減少被入侵的算途徑，系統(tǒng)目錄中的system32\drivers\etc\services文件中有知名端口和服務的對照表可供參考。 如何設置本機開放的端口和服務？2023/2/337計算機網絡安全2.5服務安全配置2023/2/338計算機網絡安全2．設置好安全記錄的訪問權限 安全記錄在默認情況下是沒有保護的，把它設置成只有Administrators和系統(tǒng)賬戶才有權訪問。2.5服務安全配置2023/2/339計算機網絡安全3．備份敏感文件 有必要把一些重要的用戶數據（存放在另外一個安全的服務器中，并且經常備份它們。4．禁止建立空連接 默認情況下，任何用戶都可通過空連接連上服務器，進而枚舉出賬號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：即把Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成“1”即可。2.5服務安全配置2023/2/340計算機網絡安全5．關閉不必要的服務 防止惡意程序以服務方式悄悄地運行服務器上的終端服務，要確認已經正確配置了終端服務。

Windows2000作為服務器可禁用的服務及其相關說明如表所示。2.5服務安全配置2023/2/341計算機網絡安全2.6注冊表配置涉及到5類注冊表配置，如下：1．關機時清除文件 頁面文件中可能含有另外一些敏感產資料，因此要在關機的時候清除頁面文件。 編輯注冊表修改主鍵HKEY_LOCAL_MACHINE下的子鍵System\CurrentControlSet\Control\Control\SessionManage/MemoryManagement把ClearPageFileAtShutdown的值設置成1。2023/2/342計算機網絡安全2．關閉DirectDraw C2級安全標準對視頻和內存有一定要求。關閉DirectDraw可能對一些需要用到Directx程序有影響(比如游戲)，但是對于絕大多數的商業(yè)站點是沒有影響的。 修改主鍵HKEY_LOCAL_MACHINE下的子鍵System\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout將鍵值設置成0。2.6注冊表配置2023/2/343計算機網絡安全3．禁止判斷主機類型 黑客可利用TTL（TimeToLive，生存時間）值可以鑒別操作系統(tǒng)的類型，通過Ping指令能判斷目標主機類型。2.6注冊表配置2023/2/344計算機網絡安全 修改主鍵HKEY_LOCAL_MACHINE下的子鍵System\CurrentControlSet\Services\Tcpip\Parameters，新建一個雙字節(jié)項，在鍵的名稱中輸入“defaultTTL”，然后雙擊該鍵名，選擇“十進制”，在“數位數據”文本框中輸入100。設置完畢后需要重新啟動計算機。2.6注冊表配置2023/2/345計算機網絡安全4．抵抗DDOS 添加注冊表的一些鍵值，可以有效的抵抗DDOS（分布式拒絕服務）的攻擊。在鍵值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters下增加響應的鍵及其說明。2.6注冊表配置2023/2/346計算機網絡安全5．禁止Guest訪問日志 Guest和匿名用戶可以查看系統(tǒng)的事件日志，這可能導致許多重要的信息的泄漏。

1）禁止Guest訪問應用日志 在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application下添加鍵值名稱為“RestrictGuestAccess”，類型為“DWORD”，將值設置為1。2.6注冊表配置2023/2/347計算機網絡安全

2）禁止Guest訪問系統(tǒng)日志 在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System下添加鍵值名稱為“RestrictGuestAccess”，類型為“DWORD”，將值設置為1。

3）禁止Guest訪問安全日志 在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Security下添加鍵值名稱為“RestrictGuestAccess”，類型為“DWORD”，將值設置為1。2.6注冊表配置2023/2/348計算機網絡安全2.7數據恢復軟件當數