服務(wù)器安全防范體系課件

服務(wù)器安全防范體系2011年11月2023年3月23日服務(wù)器安全培訓(xùn)索引Pages:2培訓(xùn)目錄第一講：安全基礎(chǔ)知識第二講：服務(wù)器安全規(guī)范第三講：操作系統(tǒng)安全第四講：常見應(yīng)用安全第五講：操作實踐2023年3月23日服務(wù)器安全培訓(xùn)索引Pages:3《安全基礎(chǔ)知識》主要內(nèi)容(1)信息安全的概念安全問題產(chǎn)生的根源安全漏洞的威脅常見的攻擊方式掃描：掃描目的、使用工具獲取信息網(wǎng)絡(luò)監(jiān)聽：監(jiān)聽原理與作用拒絕服務(wù)：SynFlood、udpFlood、IcmpFlood木馬：木馬的概念、入侵途徑、隱藏方式、特洛依木馬簡介SQL注入：講解SQL注入的思路與過程，防范SQL注入的方法2023年3月23日服務(wù)器安全培訓(xùn)索引Pages:5《服務(wù)器安全規(guī)范》主要內(nèi)容(1)服務(wù)器維護安全規(guī)范口令安全訪問控制安全責(zé)任的劃分安全檢查服務(wù)器上禁止操作行為系統(tǒng)日志管理安全隱患通告系統(tǒng)安全設(shè)置的問題補丁管理流程Autoup/Octopod簡介、對比補丁的下載、測試、上傳、分發(fā)過程補丁光盤的制作2023年3月23日服務(wù)器安全培訓(xùn)索引Pages:6《服務(wù)器安全規(guī)范》主要內(nèi)容(2)目前采取的安全措施簡介日常監(jiān)控、補丁管理、訪問控制主機安全配置、安全檢查漏洞掃描、漏洞跟蹤與分析、安全通告安全控管(octopod)、HIDS、防病毒備份、日志集中典型安全事件介紹兩個公司發(fā)生過的安全事件2023年3月23日服務(wù)器安全培訓(xùn)索引Pages:7《操作系統(tǒng)安全》主要內(nèi)容(1)Windows系統(tǒng)安全Windows安全特性內(nèi)建帳號，內(nèi)建組、SAM、SIDNTFS、用戶權(quán)利、權(quán)限、共享權(quán)限Windows系統(tǒng)服務(wù)與進程、日志系統(tǒng)Windows安裝配置過程（介紹安全原則性的內(nèi)容）2023年3月23日服務(wù)器安全培訓(xùn)索引Pages:9《常見應(yīng)用安全》主要內(nèi)容(1)Web安全（IIS)概述、漏洞、IIS組件的安裝IIS安全加固刪除：默認(rèn)站點、示例文件、默認(rèn)腳本、無用腳本映射IIS工作目錄修改、啟用web日志、更改日志路徑Web站點權(quán)限設(shè)置、http500錯誤重定向禁用WebDav、啟用ipsec保護2023年3月23日服務(wù)器安全培訓(xùn)索引Pages:10《常見應(yīng)用安全》主要內(nèi)容(2)數(shù)據(jù)庫安全(SQLServer2000)補丁管理新裝數(shù)據(jù)庫服務(wù)器的補丁要求老數(shù)據(jù)庫服務(wù)器的補丁要求口令策略數(shù)據(jù)庫日志去除部分危險擴展存儲過程數(shù)據(jù)庫的端口保護2023年3月23日服務(wù)器安全培訓(xùn)索引Pages:11《操作實踐》主要內(nèi)容講解、演示以下內(nèi)容：服務(wù)器安全配置過程（依據(jù)服務(wù)器安全規(guī)范要求）更改、刪除帳號啟用安全日志網(wǎng)絡(luò)安全設(shè)置Winchk/autoup配置安裝Octopod功能介紹、基本操作NetView功能介紹、基本操作Syslog與Hids初始化操作在命令行下配置IPSEC2023年3月23日安全基礎(chǔ)知識主要內(nèi)容信息安全的概念安全問題產(chǎn)生的根源安全漏洞的威脅常見的攻擊方式主要的安全技術(shù)2023年3月23日安全基礎(chǔ)知識信息安全概念信息安全的含義保證信息內(nèi)容在傳儲、傳輸和處理各環(huán)節(jié)的機密性、完整性和可用性對信息的傳播及內(nèi)容具有控制能力不受偶然的或者惡意的原因而遭到破壞、更改、泄露保證信息系統(tǒng)連續(xù)可靠的運行網(wǎng)絡(luò)服務(wù)不中斷2023年3月23日安全基礎(chǔ)知識安全問題產(chǎn)生的根源網(wǎng)絡(luò)建設(shè)之初忽略了安全問題TCP/IP協(xié)議本身缺乏安全性操作系統(tǒng)及應(yīng)用自身存在的漏洞操作系統(tǒng)及應(yīng)用不安全的配置來自內(nèi)網(wǎng)用戶的安全威脅缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)的安全性郵件病毒、Web頁面中中惡意Java/ActiveX控件代碼中存在安全漏洞管理中存在的安全問題2023年3月23日安全基礎(chǔ)知識漏洞帶來的威脅如果攻擊者獲得了一般用戶的訪問權(quán)限，那他就很有可能再通過利用本地漏洞把自己提升為管理員權(quán)限：遠程管理員權(quán)限本地管理員權(quán)限普通用戶訪問權(quán)限權(quán)限提升讀取受限文件遠程拒絕服務(wù)

本地拒絕服務(wù)遠程非授權(quán)文件存取口令恢復(fù)欺騙服務(wù)器信息泄露其它

2023年3月23日安全基礎(chǔ)知識黑客攻擊典型步驟漏洞分析實施攻擊exploit消除證據(jù)留下后門收集信息掃描2023年3月23日安全基礎(chǔ)知識常見的攻擊方式掃描網(wǎng)絡(luò)監(jiān)聽DoS與DDoS攻擊特洛依木馬SQL注入2023年3月23日安全基礎(chǔ)知識網(wǎng)絡(luò)監(jiān)聽監(jiān)聽的目的是截獲通信的內(nèi)容監(jiān)聽的手段是對協(xié)議進行分析常用的工具Snifferpro、Wireshark都是網(wǎng)絡(luò)監(jiān)聽、協(xié)議分析的工具。Tcpdump在共享網(wǎng)絡(luò)中，可以監(jiān)聽所有流量在交換環(huán)境中，必須設(shè)置端口鏡像通過協(xié)議分析，可獲取敏感的明文信息Telnet、smtp、pop3、ftp、http等應(yīng)用層協(xié)議都是明文傳輸2023年3月23日安全基礎(chǔ)知識共享和交換環(huán)境下的監(jiān)聽共享式網(wǎng)絡(luò)通過網(wǎng)絡(luò)的所有數(shù)據(jù)包發(fā)往每一個主機通過HUB連接起來的子網(wǎng)可以直接監(jiān)聽交換式網(wǎng)絡(luò)通過交換機連接網(wǎng)絡(luò)由交換機構(gòu)造一個“MAC地址-端口”映射表發(fā)送包的時候，只發(fā)到特定的端口上可以通過配置“端口鏡像”來實現(xiàn)監(jiān)聽2023年3月23日安全基礎(chǔ)知識利用監(jiān)聽獲取郵件密碼截獲用戶郵件口令2023年3月23日安全基礎(chǔ)知識拒絕服務(wù)DoS定義通過某些手段使得目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)不能提供正常的服務(wù)是針對可用性發(fā)起的攻擊原理主要是利用了TCP/IP協(xié)議中存在的設(shè)計缺陷、操作系統(tǒng)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)協(xié)議棧存在的缺陷特點難于防范2023年3月23日安全基礎(chǔ)知識拒絕服務(wù)的形式資源耗盡和資源過載網(wǎng)絡(luò)連接帶寬資源其他資源，例如：磁盤空間被日志撐滿錯誤的配置不當(dāng)?shù)呐渲迷斐赡承┓?wù)無法訪問物理部件故障2023年3月23日安全基礎(chǔ)知識SYNFlood攻擊(2)原理：利用TCP協(xié)議缺陷發(fā)送大量TCP半連接請求，使得目標(biāo)機器不能進一步接受TCP連接對TCP而言，半連接是指一個沒有完成三次握手過程的會話配合IP欺騙,短時間內(nèi)不斷發(fā)送SYN包，使服務(wù)器回復(fù)SYN/ACK,并不斷重發(fā)直至超時偽造的SYN包長時間占用未連接隊列，達到上限后，服務(wù)器將拒絕響應(yīng)SYN請求，正常的SYN請求被丟棄2023年3月23日安全基礎(chǔ)知識SYNFlood攻擊(3)攻擊者InternetCode目標(biāo)欺騙性的IP包源地址是偽造的目標(biāo)地址是TCPOpenSYN2023年3月23日安全基礎(chǔ)知識SYNFlood攻擊(4)攻擊者Internet目標(biāo)SYN+ACK同步應(yīng)答響應(yīng)源地址目標(biāo)地址不存在TCPACK未連接隊列達到上限2023年3月23日安全基礎(chǔ)知識SYNFlood攻擊案例外高橋機房下載系統(tǒng)DLC服務(wù)器29遭到Syn-Flood攻擊2023年3月23日安全基礎(chǔ)知識UDPFlood攻擊原理：UDP協(xié)議是無連接的協(xié)議，提供不可靠的傳輸服務(wù)不需要用任何程序建立連接來傳輸數(shù)據(jù)

攻擊者向目標(biāo)機端口發(fā)送了足夠多的UDP數(shù)據(jù)包的時候，整個系統(tǒng)就會癱瘓。使用目標(biāo)機忙于處理UDP報文，無法處理其它的正常報文，從而形成拒絕服務(wù)2023年3月23日安全基礎(chǔ)知識ICMPFlood原理利用ping對網(wǎng)絡(luò)進行診斷，發(fā)出ICMP響應(yīng)請求報文計算機收到ICMPecho后會回應(yīng)一個ICMPechoreply報文攻擊者向目標(biāo)機發(fā)送大量的ICMPecho報文目標(biāo)機忙于處理這些報文，無法處理其它網(wǎng)絡(luò)報文，從而形成拒絕服務(wù)2023年3月23日安全基礎(chǔ)知識UDPFlood攻擊案例冒險島三區(qū)服務(wù)器受到DDOS攻擊事件異常：發(fā)現(xiàn)大量發(fā)往UDP8585端器的UDP包影響：端口流出流量95.29M

上層交換機上聯(lián)端口流量639.27M處理方法：在6509上配置ACL過濾攻擊報文2023年3月23日安全基礎(chǔ)知識DDOS攻擊介紹(1)分布式拒絕服務(wù)（DDOS）DistributedDenialofService傳統(tǒng)的拒絕服務(wù)是一臺機器向受害者發(fā)起攻擊DDOS攻擊是多臺主機合作，同時向一個目標(biāo)發(fā)起攻擊2023年3月23日安全基礎(chǔ)知識DDOS攻擊介紹(2)主控端代理端2023年3月23日安全基礎(chǔ)知識模擬試題1下面哪項不是Synflood攻擊的特征？A網(wǎng)絡(luò)流量異常增大B服務(wù)器80端口建立了大量的TCP連接C

服務(wù)器收到大量的SYN請求D

未連接隊列超過上限2023年3月23日安全基礎(chǔ)知識特洛依木馬木馬的由來古希臘人圍攻特洛伊城時使用的木馬計

計算機中的特洛伊木馬的名字就是由此得來

定義隱藏在正常程序中的一段具有特殊功能的程序，其隱蔽性極好，不易察覺，是一種極為危險的網(wǎng)絡(luò)攻擊手段

木馬的組成server端：安裝在目標(biāo)機器上的軟件client端：用于控制目標(biāo)機器的軟件2023年3月23日安全基礎(chǔ)知識木馬入侵的途徑捆綁欺騙如把木馬服務(wù)端和某個游戲捆綁成一個文件后中發(fā)給別人

危險下載點攻破下載站點后，下載幾個下載量大的軟件，捆綁上木馬，再悄悄放回去讓別人下載；直接將木馬改名上載到FTP網(wǎng)站上，等待別人下載網(wǎng)站掛馬在網(wǎng)站的網(wǎng)頁中植入木馬或插入下載木馬的連接主要是利用IE瀏覽器的漏洞利用系統(tǒng)漏洞入侵后安裝木馬2023年3月23日安全基礎(chǔ)知識木馬的特征隱蔽性包含在正常程序中，當(dāng)用戶執(zhí)行正常程序啟動在用戶難以察覺的情況下，完成一些危害用戶的操作

沒有圖標(biāo),在任務(wù)管理器中隱藏自動運行增加一個服務(wù)注冊表啟動項run功能的特殊性除了文件操作、設(shè)置口令、進行鍵盤記錄、遠程注冊表操作上傳、下載以及鎖定鼠標(biāo)等功能2023年3月23日安全基礎(chǔ)知識木馬的隱藏方式隱藏進程、端口隱藏文件、目錄被控端反向連接控制端端口復(fù)用有些木馬在使用80HTTP端口后，收到正常的HTTP請求仍然把它交給Web服務(wù)器處理，只有收到一些特殊約定的數(shù)據(jù)包后，才調(diào)用木馬程序

隱身技術(shù)

采用替代系統(tǒng)功能的方法(改寫vxd或DLL文件)，木馬會將修改后的DLL替換系統(tǒng)已知的DLL，并對所有的函數(shù)調(diào)用進行過濾

文件加殼通過加殼隱藏特征，躲避殺毒軟件的查殺2023年3月23日安全基礎(chǔ)知識典型木馬-灰鴿子灰鴿子是國內(nèi)著名的木馬遠程控制、文件操作運用“反彈端口”突破防火墻服務(wù)端上線通知遠程音頻通訊，音視頻監(jiān)控2023年3月23日安全基礎(chǔ)知識風(fēng)云項目服務(wù)器中木馬案例HIDS監(jiān)測到異常文件病毒或木馬2008-03-1601:16:10999021372感染文件=//?/C:/WINDOWS/LocalService.exe風(fēng)云測試區(qū)測試組loginserver使用殺毒軟件掃描文件加殼木馬以webclient服務(wù)啟動2023年3月23日安全基礎(chǔ)知識SQL注入利用SQL的語法，針對的是應(yīng)用程序開發(fā)設(shè)計中的漏洞當(dāng)攻擊者能夠操作數(shù)據(jù)，往應(yīng)用程序中插入一些SQL語句時，SQL注入就發(fā)生了攻擊目標(biāo)：控制服務(wù)器/獲取敏感數(shù)據(jù)2023年3月23日安全基礎(chǔ)知識SQL注入的步驟判斷SQL注入漏洞查找SQL注入點判斷后臺數(shù)據(jù)庫類型確定XP_CMDSHELL可執(zhí)行情況獲得后臺管理的權(quán)限2023年3月23日安全基礎(chǔ)知識判斷SQL注入漏洞語句’select*from表名where字段=49’（list.asp運行異常）返回

MicrosoftOLEDBProviderforSQLServer錯誤'80040e14'字符串'OrderByIdDESC'之前有未閉合的引號。/list.asp，行290

獲取信息初步確定可能存在SQLINJECTION漏洞2023年3月23日安全基礎(chǔ)知識查找注入點（1）測試方法①②and1=1③and1=2經(jīng)典的1=1，1=2測試法可以注入①

正常顯示（必然結(jié)果）②

正常顯示，內(nèi)容基本與①相同③提示錯誤2023年3月23日安全基礎(chǔ)知識查找注入點（2）使用工掃描注入點2023年3月23日安全基礎(chǔ)知識判斷數(shù)據(jù)庫類型語句and0<>(select@@version)返回

MicrosoftOLEDBProviderforSQLServer錯誤'80040e07'將nvarchar值'MicrosoftSQLServer2000-8.00.760(IntelX86)Dec17200214：22：05Copyright(c)1988-2003MicrosoftCorporationStandardEditiononWindowsNT5.0(Build2195：ServicePack4)'轉(zhuǎn)換為數(shù)據(jù)類型為int的列時發(fā)生語法錯誤。/list.asp，行290

判斷從MSSQLSERVER后面的8.00.760可看出打了SP32023年3月23日安全基礎(chǔ)知識查詢連接DB的權(quán)限語句and0<>(selectuser_name())返回

MicrosoftOLEDBProviderforSQLServer錯誤'80040e07'將nvarchar值'dbo'轉(zhuǎn)換為數(shù)據(jù)類型為int的列時發(fā)生語法錯誤。/list.asp，行290

判斷權(quán)限很高，可以確定是服務(wù)器角色組中的成員2023年3月23日安全基礎(chǔ)知識執(zhí)行XP_CMDSHELL條件當(dāng)前連接數(shù)據(jù)的帳號具有SA權(quán)限master.dbo.xp_cmdshell擴展存儲過程能夠正確執(zhí)行語句；execmaster..xp_cmdshell“netuseraaabbb/add”--

;execmaster..xp_cmdshell“netlocalgroupaaaadministrators/add”--結(jié)果在操作系統(tǒng)中添加帳戶aaa,密碼為bbb將新建的帳戶aaa加入管理員組2023年3月23日安全基礎(chǔ)知識獲得web后臺管理的權(quán)限后臺管理的認(rèn)證頁面一般有以下語句：select*fromadminwhereusername='XXX'andpassword='YYY‘繞過登錄認(rèn)證語句變形為select*fromadminwhereusername='abc'or1=1

--andpassword='123’輕易騙過系統(tǒng)，獲取合法身份2023年3月23日安全基礎(chǔ)知識如何防范SQL注入對用戶的輸入進行嚴(yán)格的過濾對變量類型進行檢查執(zhí)行統(tǒng)一的代碼規(guī)范養(yǎng)成良好的習(xí)慣……2023年3月23日安全基礎(chǔ)知識模擬試題2SQL注入漏洞與下列哪一項有關(guān)？A服務(wù)器的安全配置問題B操作系統(tǒng)的安全漏洞C數(shù)據(jù)庫的安全漏洞D代碼安全問題2023年3月23日安全基礎(chǔ)知識主要安全技術(shù)防火墻技術(shù)入侵檢測技術(shù)掃描技術(shù)……2023年3月23日安全基礎(chǔ)知識防火墻的概念防火墻定義：防火墻是位于兩個(或多個)網(wǎng)絡(luò)間，實施網(wǎng)間的隔離和訪問控制的一組組件的集合，它滿足以下條件：內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻只有符合安全政策的數(shù)據(jù)流才能通過防火墻2023年3月23日安全基礎(chǔ)知識防火墻的作用部署在網(wǎng)絡(luò)邊界處實現(xiàn)網(wǎng)絡(luò)的隔離與訪問控制阻止未經(jīng)授權(quán)的訪問流量對網(wǎng)絡(luò)實施保護，以避免各種IP欺騙和路由攻擊在防火墻可以監(jiān)視一些安全事件的發(fā)生情況在防火墻也可以實現(xiàn)NAT地址轉(zhuǎn)換，Internet日志、審計，甚至計費等功能2023年3月23日安全基礎(chǔ)知識防火墻的局限性不能防止內(nèi)部的攻擊針對應(yīng)用層的攻擊防御效果不佳容易成為網(wǎng)絡(luò)的瓶頸和單點故障2023年3月23日安全基礎(chǔ)知識防火墻的類型包過濾防火墻應(yīng)用層網(wǎng)關(guān)（代理服務(wù)器）狀態(tài)檢測防火墻2023年3月23日安全基礎(chǔ)知識包過濾防火墻(1)是一種基于網(wǎng)絡(luò)層的安全技術(shù)基本的思想過濾器建立一組規(guī)則，根據(jù)IP包是否匹配規(guī)則中指定的條件進行判斷如果匹配到一條規(guī)則，則根據(jù)此規(guī)則決定轉(zhuǎn)發(fā)或者丟棄如果所有規(guī)則都不匹配，則根據(jù)缺省策略過濾規(guī)則包括源和目標(biāo)IP地址、協(xié)議、源和目標(biāo)端口號網(wǎng)絡(luò)層鏈路層物理層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)2023年3月23日安全基礎(chǔ)知識包過濾防火墻(2)在網(wǎng)絡(luò)層上進行監(jiān)測并沒有考慮連接狀態(tài)信息通常在路由器上實現(xiàn)優(yōu)點：實現(xiàn)簡單對用戶透明缺點：無法識別基于應(yīng)用層的攻擊

2023年3月23日安全基礎(chǔ)知識應(yīng)用層網(wǎng)關(guān)(1)也稱為代理服務(wù)器(proxy)位于客戶機與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流外部系統(tǒng)與內(nèi)部之間沒有直接的數(shù)據(jù)通道

客

戶網(wǎng)

關(guān)服務(wù)器發(fā)送請求轉(zhuǎn)發(fā)請求請求響應(yīng)轉(zhuǎn)發(fā)響應(yīng)2023年3月23日安全基礎(chǔ)知識應(yīng)用層網(wǎng)關(guān)(2)優(yōu)點在應(yīng)用層上實現(xiàn)可以針對應(yīng)用層進行偵測和掃描可實現(xiàn)基于用戶的認(rèn)證可提供理想的日志功能比較安全缺點有些服務(wù)要求建立直接連接，無法使用代理對系統(tǒng)的整體性能有影響2023年3月23日安全基礎(chǔ)知識狀態(tài)檢測防火墻建立狀態(tài)連接表，將進出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個個的會話，利用狀態(tài)表跟蹤每個會話狀態(tài)對每個包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)

提供了完整的對傳輸層的控制能力

2023年3月23日安全基礎(chǔ)知識入侵檢測技術(shù)什么是IDS？IntrusionDetectionSystem入侵檢測系統(tǒng)作用監(jiān)控網(wǎng)絡(luò)和系統(tǒng)發(fā)現(xiàn)入侵企圖或異常現(xiàn)象實時報警主動響應(yīng)分類主機入侵檢測（HIDS）網(wǎng)絡(luò)入侵檢測（NIDS）2023年3月23日安全基礎(chǔ)知識主機主侵檢測HIDS安裝于被保護的主機中主要分析主機內(nèi)部活動系統(tǒng)日志系統(tǒng)調(diào)用文件完整性檢查占用一定的系統(tǒng)資源2023年3月23日安全基礎(chǔ)知識網(wǎng)絡(luò)入侵檢測NIDS安裝在被保護的網(wǎng)段中混雜模式監(jiān)聽分析網(wǎng)段中所有的數(shù)據(jù)包實時檢測和響應(yīng)操作系統(tǒng)無關(guān)性不會增加網(wǎng)絡(luò)中主機的負載SwitchMonitoredServersConsole通過端口鏡像實現(xiàn)（SPAN/PortMonitor）2023年3月23日安全基礎(chǔ)知識IDS檢測技術(shù)基于特征（Signature-based）建立并維護一個已知攻擊知識庫判別當(dāng)前行為活動是否符合已知的攻擊模式基于異常（Anomaly-based）首先建立起用戶的正常使用模式，即知識庫標(biāo)識出不符合正常模式的行為活動2023年3月23日安全基礎(chǔ)知識掃描技術(shù)什么是掃描器？自動檢測遠程或本地主機安全性弱點的程序可以發(fā)現(xiàn)遠程服務(wù)器開放的TCP端口、提供的服務(wù)和軟件版本間接地或直觀地了解到遠程主機所存在的安全問題2023年3月23日安全基礎(chǔ)知識掃描器的分類主機掃描器在系統(tǒng)本地運行檢測系統(tǒng)漏洞的程序網(wǎng)絡(luò)掃描器基于網(wǎng)絡(luò)可遠程檢測目標(biāo)網(wǎng)絡(luò)和主機系統(tǒng)漏洞的程序系統(tǒng)掃描器數(shù)據(jù)庫掃描器Web掃描器商業(yè)的非商業(yè)的….2023年3月23日安全基礎(chǔ)知識掃描工作原理主動模擬對系統(tǒng)進行攻擊的行為記錄、分析系統(tǒng)的反應(yīng)，發(fā)現(xiàn)其中的漏洞和脆弱性典型步驟是：發(fā)送信息探測數(shù)據(jù)包等待目的主機或設(shè)備的響應(yīng)分析回來的數(shù)據(jù)包的特征判斷是否具有該漏洞或脆弱性有時不能單靠一次過程就能完成，而是要分析一系列過程情況2023年3月23日安全基礎(chǔ)知識端口掃描Portscanning:找出網(wǎng)絡(luò)中開放的服務(wù)基于TCP/IP協(xié)議，對各種網(wǎng)絡(luò)服務(wù)，無論是主機或者防火墻、路由器都適用端口掃描的技術(shù)已經(jīng)非常成熟，目前有大量的商業(yè)、非商業(yè)的掃描器NmapNessusFoundStone……2023年3月23日安全基礎(chǔ)知識小結(jié)信息安全的概念安全問題產(chǎn)生的根源安全漏洞的威脅常見的攻擊方式掃描、監(jiān)聽、DoS&DDoS、木馬、SQL注入主要的安全技術(shù)防火墻、入侵檢測、漏洞掃描服務(wù)器安全規(guī)范網(wǎng)絡(luò)安全部2008年11月2023年3月23日服務(wù)器安全規(guī)范培訓(xùn)內(nèi)容服務(wù)器維護安全規(guī)范補丁管理流程目前采取的安全措施典型安全事件2023年3月23日服務(wù)器安全規(guī)范服務(wù)器維護安全規(guī)范口令安全訪問控制安全責(zé)任的劃分安全檢查服務(wù)器上禁止操作行為系統(tǒng)日志管理安全隱患通告系統(tǒng)安全設(shè)置的問題2023年3月23日服務(wù)器安全規(guī)范口令安全適用范圍操作系統(tǒng)口令（administrator、root）FTP口令數(shù)據(jù)庫口令（SA、root）后臺管理口令……口令強度口令最小位數(shù)要求（12位）口令復(fù)雜性要求（大小寫字母+數(shù)字+字符）口令不能與用戶名相同嚴(yán)禁出現(xiàn)空口令、弱口令電話號碼、單詞、生日等有意義的字母或數(shù)字不能作為口令2023年3月23日服務(wù)器安全規(guī)范口令安全(2)口令的保管與使用不在不安全的地方記錄口令口令更改原則上每三個月更改一次服務(wù)器被入侵必須立即更改口令崗位調(diào)整、離職必須立即更改口令2023年3月23日服務(wù)器安全規(guī)范服務(wù)器的維護服務(wù)器維護的環(huán)境要求不允許在家直接登錄服務(wù)器，可申請Openvpn跳板機權(quán)限不允許從他人電腦上登錄服務(wù)器任何情況下嚴(yán)禁在公共環(huán)境(如：網(wǎng)吧)登錄服務(wù)器日常維護流程的制定游戲的安裝、撤消、并區(qū)、變更等操作依據(jù)規(guī)范的要求制定標(biāo)準(zhǔn)操作流程2023年3月23日服務(wù)器安全規(guī)范訪問控制(1)訪問控制策略網(wǎng)絡(luò)訪問控制主機訪問控制網(wǎng)絡(luò)訪問控制部署硬件防火墻Netscreen主機訪問控制Windows環(huán)境使用ipsecLinux環(huán)境使用iptables2023年3月23日服務(wù)器安全規(guī)范訪問控制(2)訪問控制策略的制定最小化授權(quán)原則不被允許的就是被禁止的游戲服務(wù)器上線前必須確保：iptables已配置且啟用ipsec已配置且啟用2023年3月23日服務(wù)器安全規(guī)范安全職責(zé)的劃分(1)網(wǎng)絡(luò)安全部職責(zé)服務(wù)器安全的整體規(guī)劃安全規(guī)范的制定與修改漏洞跟蹤、發(fā)現(xiàn)隱患、發(fā)布安全通告協(xié)助相關(guān)部門落實安全規(guī)范協(xié)助相關(guān)部門排除安全隱患履行安全規(guī)范落實的監(jiān)督與檢查職責(zé)履行安全隱患排除的監(jiān)督與檢查職責(zé)安全事件的處理2023年3月23日服務(wù)器安全規(guī)范安全職責(zé)的劃分(2)服務(wù)器維護部門職責(zé)根據(jù)安全規(guī)范，負責(zé)具體安全工作的開展和落實操作流程的制定具體管理規(guī)定的制定根據(jù)網(wǎng)絡(luò)安全部的建議進行安全改進負責(zé)排除安全隱患協(xié)助網(wǎng)絡(luò)安全部進行安全事件處理2023年3月23日服務(wù)器安全規(guī)范安全檢查(1)安全檢查的范圍新裝服務(wù)器：漏洞、補丁、端口、進程、配置新發(fā)布游戲客戶端：病毒掃描新安裝的應(yīng)用網(wǎng)站代碼的安全檢查出現(xiàn)異常的服務(wù)器……2023年3月23日服務(wù)器安全規(guī)范安全檢查(2)重裝系統(tǒng)的條件服務(wù)器被入侵感染蠕蟲、病毒、中木馬關(guān)機時間超過6周關(guān)機期間外界公布了重大安全漏洞新裝服務(wù)器不滿足安全規(guī)范要求服務(wù)器曾出現(xiàn)嚴(yán)重漏洞且存在被利用可能性2023年3月23日服務(wù)器安全規(guī)范安全檢查(3)通過安全檢查的條件操作系統(tǒng)及應(yīng)用滿足安全設(shè)置要求轉(zhuǎn)移出項目的服務(wù)器刪除所有軟件與數(shù)據(jù)應(yīng)用程序WinchkOctopod2023年3月23日服務(wù)器安全規(guī)范服務(wù)器上禁止的操作行為服務(wù)器上禁止以下操作收發(fā)郵件使用瀏覽器上網(wǎng)查閱資料使用瀏覽器進行與工作無關(guān)的訪問程序開發(fā)與調(diào)試玩游戲非工作用途的操作存放與工作無關(guān)的文件2023年3月23日服務(wù)器安全規(guī)范系統(tǒng)日志管理1日志是進行事后追查與分析的重要手段日志的種類維護日志、應(yīng)用日志維護日志系統(tǒng)日志應(yīng)用日志安全日志應(yīng)用訪問日志W(wǎng)eb日志Email日志FTP日志等2023年3月23日服務(wù)器安全規(guī)范系統(tǒng)日志管理2對系統(tǒng)日志的要求服務(wù)器有記錄維護情況的日志與維護有關(guān)的日志要保存3個月以上定期查看日志，發(fā)異常要及時報告原則上不得隨意刪除系統(tǒng)日志2023年3月23日服務(wù)器安全規(guī)范安全隱患通告網(wǎng)絡(luò)安全部漏洞的跟蹤與分析掃描分析安全隱患發(fā)布安全隱患通告相應(yīng)部門按照通告要求消除隱患安全部監(jiān)督與檢查2023年3月23日服務(wù)器安全規(guī)范系統(tǒng)安全設(shè)置問題(1)新裝應(yīng)用要通知安全部進行漏洞跟蹤不安裝與工作無關(guān)的應(yīng)用不安裝來歷不明的軟件不使用盜版軟件部署游戲程序前要滿足以下要求：補丁齊全應(yīng)用配置滿足安全規(guī)范要求iptables或ipsec已啟用已通過安全部的檢查2023年3月23日服務(wù)器安全規(guī)范系統(tǒng)安全設(shè)置問題(2)只能從受信任的網(wǎng)站下載軟件和補丁原則上只使用pcanywhere進行遠程控制數(shù)據(jù)庫的端口應(yīng)進行IP限制應(yīng)用程序不能使用SA連接數(shù)據(jù)庫去除不安全的擴展存儲過程

(如：xp_cmdshell)2023年3月23日服務(wù)器安全規(guī)范模擬試題3服務(wù)器的口令應(yīng)在多久修改一次？A1個月B2個月C3個月D4個月2023年3月23日服務(wù)器安全規(guī)范培訓(xùn)內(nèi)容服務(wù)器維護安全規(guī)范補丁管理流程目前采取的安全措施典型安全事件2023年3月23日服務(wù)器安全規(guī)范補丁管理流程1針對windows環(huán)境的兩套補丁管理系統(tǒng)Winchk/autoupOctopod安全部補丁服務(wù)器特點Autoup適用于快速分發(fā)安裝補丁，但不能準(zhǔn)確檢查補丁安裝的情況Octopod適用于有選擇的批量安裝和補丁檢查，檢查準(zhǔn)確，可靠性高安全部補丁服務(wù)器用于下載單個補丁和下載補丁光盤ISO2023年3月23日服務(wù)器安全規(guī)范補丁管理流程2Winchk/Autoup2023年3月23日服務(wù)器安全規(guī)范補丁管理流程3OctopodHttps連接SSH連接OCTOPOD服務(wù)器用戶端被控端服務(wù)器Https連接SSH連接1OCTOPOD服務(wù)器被控端服務(wù)器SSH連接2內(nèi)網(wǎng)服務(wù)器端口轉(zhuǎn)發(fā)Portforwarding2023年3月23日服務(wù)器安全規(guī)范補丁管理流程4補丁收集登錄微軟網(wǎng)站下載補丁補丁測試Win2000和win2003中英文版補丁安裝測試上傳補丁向Autoup服務(wù)器上傳補丁向Octopod服務(wù)器上傳補丁向安全部補丁服務(wù)器上傳補丁制作補丁光盤并發(fā)布到安全部補丁服務(wù)器上2023年3月23日服務(wù)器安全規(guī)范補丁管理流程5補丁的分發(fā)與安裝服務(wù)器定時從Autoup上下載補丁并安裝Octopod可以通過針對部分主機操作，也可通過腳本自動成批的安裝補丁安全部更新《盛大網(wǎng)絡(luò)服務(wù)器維護安全規(guī)范》中的內(nèi)容IDC支持部各機房與合作單位下載最新的補丁光盤鏡像刻錄光盤補丁檢查補丁是否已安裝補丁是否已生效2023年3月23日服務(wù)器安全規(guī)范補丁管理流程6補丁檢查工具對比Winchk存在不足，檢查結(jié)果不準(zhǔn)確Octopod使用微軟的工具，檢查結(jié)果相對準(zhǔn)確2023年3月23日服務(wù)器安全規(guī)范培訓(xùn)內(nèi)容安全概念服務(wù)器維護安全規(guī)范補丁管理流程目前采取的安全措施典型安全事件2023年3月23日服務(wù)器安全規(guī)范目前采取的安全措施(1)日常監(jiān)控監(jiān)控部7x24小時監(jiān)控WinchkHIDS補丁管理AutoupOctopod訪問控制Ipsec（Windows)Iptables(Linux)2023年3月23日服務(wù)器安全規(guī)范目前采取的安全措施(2)主機安全加固新裝服務(wù)器安全配置安全檢查新裝服務(wù)器安全檢查游戲客戶端新版本病毒檢查網(wǎng)站代碼安全檢查漏洞掃描新裝機的漏洞掃描每周定期漏洞掃描漏洞跟蹤與分析新應(yīng)用的漏洞查詢與分析每天的漏洞跟蹤2023年3月23日服務(wù)器安全規(guī)范目前采取的安全措施(3)服務(wù)器操作平臺Octopod身份認(rèn)證Gina認(rèn)證PAM認(rèn)證密寶認(rèn)證Web登錄驗證碼備份磁帶備份Web備份后臺db備份2023年3月23日服務(wù)器安全規(guī)范目前采取的安全措施(4)主機HIDS關(guān)鍵點的完整性檢查等病毒掃描情況檢查防病毒江民防病毒模塊通過Octopod和HIDS調(diào)用90%以上的項目都已部署日志審計SYSLOG日志收集對游戲服務(wù)器的日志集中收集與管理網(wǎng)絡(luò)流量監(jiān)控通過NetView查看流量交換機端口、網(wǎng)卡的流入與流出2023年3月23日服務(wù)器安全規(guī)范培訓(xùn)內(nèi)容安全概念服務(wù)器維護安全規(guī)范補丁管理流程目前采取的安全措施典型安全事件2023年3月23日服務(wù)器安全規(guī)范典型安全事件(1)事件1：子公司吉盛服務(wù)器網(wǎng)頁中被植入木馬時間：2004.7.29IP地址：28發(fā)現(xiàn)問題：首頁index.asp被修改

<iframesrc="exe.htm"width="0"height="0"frameborder="0"></iframe>

d:\sicent\sicentbbs\下，有兩個文件exe.htm和exe.chm事件原因：使用了有漏洞的動網(wǎng)論壇代碼事件結(jié)果：重裝服務(wù)器、刪除動網(wǎng)代碼、檢查所有代碼2023年3月23日服務(wù)器安全規(guī)范典型安全事件(2)事件2：一臺測試機被植入r_server時間：2005.3.3IP地址：8發(fā)現(xiàn)問題：8r_servertcp4000c:\winnt\system32\r_server.exe原因：SQLServer2000的SA口令為空結(jié)果：重裝服務(wù)器、修改口令2023年3月23日服務(wù)器安全規(guī)范小結(jié)造成安全問題的因素很多絕對安全是不存在的減少安全問題的途徑：人：員工專業(yè)能力的提高、責(zé)任心的增強、經(jīng)驗的積累技術(shù)：技術(shù)的進步管理：安全制度不斷完善，并得到有效執(zhí)行2023年3月23日服務(wù)器安全規(guī)范課間休息操作系統(tǒng)安全網(wǎng)絡(luò)安全部2008年11月操作系統(tǒng)安全2023年3月23日主要內(nèi)容Windows系統(tǒng)安全Windows安全特性Windows安全配置與管理Linux系統(tǒng)安全Linux安全加強Linux安全的幾點建議操作系統(tǒng)安全2023年3月23日Windows的安全特性Windows的安全機制是建立在對象的基礎(chǔ)之上的，它是構(gòu)成Windows操作系統(tǒng)的基本元素Windows中首要的對象類型有：文件、目錄、存儲器、驅(qū)動器或系統(tǒng)程序等所有對象的操作必須事先得到授權(quán)并由操作系統(tǒng)來執(zhí)行，防止外部程序直接訪問網(wǎng)絡(luò)數(shù)據(jù)Windows正是通過控制程序?qū)ο蟮脑L問來獲得高的安全級別操作系統(tǒng)安全2023年3月23日系統(tǒng)內(nèi)建帳戶操作系統(tǒng)安全2023年3月23日系統(tǒng)內(nèi)建組Windows2000具有一些內(nèi)建的組，將帳戶放到一個組中的所有賬戶都會繼承這些權(quán)限。最簡單的一個例子是本地的Administrators組，放到該組中的用戶賬戶具有本地計算機的全部權(quán)限操作系統(tǒng)安全2023年3月23日SAM(SecurityAccountsManager)在獨立的Windows2000計算機上，安全賬戶管理器負責(zé)保存用戶賬戶名和口令的信息SAM組成了注冊表的5個配置單元之一，它在文件%systemroot%\system32\config\sam中實現(xiàn)在Windows2000域控制器上，用戶賬戶和散列的數(shù)據(jù)保存在活動目錄中(默認(rèn)為%systemroot%\ntds\ntds.dit)。操作系統(tǒng)安全2023年3月23日安全標(biāo)識符SIDWinNT/2K內(nèi)部對安全主體的操作是通過一個稱為安全標(biāo)識符(SecurityIdentifier，SID)的全局惟一的48位數(shù)字來進行的SID是對每一個用戶和工作組分配的唯一的標(biāo)志號內(nèi)部進程引用帳戶的SID而不是用戶名和帳號同一臺機器上，刪除一個帳號，再建立同用戶名的帳號，其SID也不同，不能繼承前用戶的訪問權(quán)限操作系統(tǒng)安全2023年3月23日SID的格式S-1-5-21-15070098-500SID帶有前綴S，它的各個部分之間用連字符隔開第一個數(shù)字(本例中的1)是修訂版本編號第二個數(shù)字是標(biāo)識符頒發(fā)機構(gòu)代碼(對Win2K來說總是為5)后面是4個子頒發(fā)機構(gòu)代碼(本例中是21和后續(xù)的3個長數(shù)字串)最后一個是相對標(biāo)識符(RelativeIdentifier，RID，本例中是500)操作系統(tǒng)安全2023年3月23日RIDRID對所有的計算機和域來說都是一個常數(shù)。帶有RID500的SID總是代表本地計算機的Administrator賬戶。RID501是Guest賬戶Windows2000總是將具有RID500的帳戶識別為管理員操作系統(tǒng)安全2023年3月23日NTFS文件系統(tǒng)微軟推薦采用NTFS文件系統(tǒng)

(服務(wù)器安全規(guī)范也要求采用NTFS)NTFS支持文件和目錄級訪問權(quán)限控制，并可以加密和壓縮數(shù)據(jù)文件和目錄有兩種訪問許可權(quán)限：共享訪問許可權(quán)用于用戶與共享文件系統(tǒng)遠程連接用戶試圖通過共享方式訪問文件時，系統(tǒng)檢查共享許可權(quán)限；文件許可權(quán)是直接分配給文件或目錄的訪問權(quán)，以任何方式訪問文件系統(tǒng)時，都要受文件許可權(quán)限的限制。操作系統(tǒng)安全2023年3月23日用戶權(quán)利、權(quán)限和共享權(quán)限網(wǎng)絡(luò)安全性依賴于給用戶或組授予的能力權(quán)利:在系統(tǒng)上完成特定動作的授權(quán)，由系統(tǒng)指定給內(nèi)置組也可以由管理員將其擴大到組和用戶上。權(quán)限:可以授予用戶或組的文件系統(tǒng)能力。共享:用戶可以通過網(wǎng)絡(luò)使用的文件夾。操作系統(tǒng)安全2023年3月23日Windows系統(tǒng)的用戶權(quán)利權(quán)利適用于對整個系統(tǒng)范圍內(nèi)的對象和任務(wù)的操作，通常是用來授權(quán)用戶執(zhí)行某些系統(tǒng)任務(wù)。當(dāng)用戶登錄到一個具有某種權(quán)利的帳號時，該用戶就可以執(zhí)行與該權(quán)利相關(guān)的任務(wù)。操作系統(tǒng)安全2023年3月23日Windows系統(tǒng)的用戶權(quán)限權(quán)限適用于對特定對象如目錄和文件（只適用于NTFS卷）的操作指定允許哪些用戶可以使用這些對象，以及如何使用權(quán)限分為目錄權(quán)限和文件權(quán)限，每一個權(quán)級別都確定了一個執(zhí)行特定的任務(wù)組合的能力這些任務(wù)是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)操作系統(tǒng)安全2023年3月23日Windows系統(tǒng)的目錄權(quán)限權(quán)限級別RXWDPO允許的用戶動作NoAccess

用戶不能訪問該目錄ListRX可查看目錄中的子目錄和文件名，也可以進入其子目錄ReadRX具有List權(quán)限，用戶可以讀取目錄中的文件和運行目錄中的應(yīng)用程序AddXW用戶可以添加文件和子錄AddandReadRXW具有Read和Add的權(quán)限ChangeRXWD有Add和Read的權(quán)限，另外還可以更改文件的內(nèi)容，刪除文件和子目錄FullcontrolRXWDPO有Change的權(quán)限，另外用戶可以更改權(quán)限和獲取目錄的所有權(quán)如果對目錄有Execute(X)權(quán)限，表示可以穿越目錄，進入其子目。操作系統(tǒng)安全2023年3月23日Windows系統(tǒng)的文件權(quán)限權(quán)限級別RXWDPO允許的用戶動作NoAccess

用戶不能訪問該文件ReadRX用戶可以讀取該文件，如果是應(yīng)用程序可以運行ChangeRXWD有Read的權(quán)限，還可修改和刪除文件FullcontrolRXWDPO包含Change的權(quán)限，還可以更改權(quán)限和獲取文件的有權(quán)操作系統(tǒng)安全2023年3月23日Windows系統(tǒng)的共享權(quán)限(1)共享只適用于文件夾（目錄）如果文件夾不是共享的，那么在網(wǎng)絡(luò)上就不會有用戶看到它，也就更不能訪問。要使網(wǎng)絡(luò)用戶可以訪問服務(wù)器上的文件和目錄，必須首先對它建立共享。

操作系統(tǒng)安全2023年3月23日Windows系統(tǒng)的共享權(quán)限(2)共享權(quán)限級別允許的用戶動作NoAccess(不能訪問)禁止對目錄和其中的文件及子目錄進行訪問但允許查看文件名和子目錄名，改變共享Read(讀)目錄的子目錄，還允許查看文件的數(shù)據(jù)和運行應(yīng)用程序Change(更改)具有“讀”權(quán)限中允許的操作，另外允許往目錄中添加文件和子目錄，更改文數(shù)據(jù)，刪除文件和子目錄Fullcontrol(完全控制)具有“更改”權(quán)限中允許的操作，另外還允許更改權(quán)限(只適用于NTFS卷)和獲所有權(quán)(只適用于NTFS卷)操作系統(tǒng)安全2023年3月23日Windows的系統(tǒng)服務(wù)(1)服務(wù)包括三種啟動類型自動

-Windows2000啟動的時候自動加載服務(wù)手動

-Windows2000啟動的時候不自動加載服務(wù)，在需要的時候手動開啟已禁用

-Windows2000啟動的時候不自動加載服務(wù)

操作系統(tǒng)安全2023年3月23日Windows的系統(tǒng)服務(wù)(2)在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service下每一服務(wù)項目子項都有一個Start數(shù)值

Start數(shù)值內(nèi)容所記錄的就是服務(wù)項目驅(qū)動程式該在何時被加載。Start內(nèi)容的定義0、1、2、3、4等五種狀態(tài)0、1、2分別代表Boot、System、AutoLoad等叁種意義3代表讓使用者以手動的方式載入4，則是代表禁用的狀態(tài)操作系統(tǒng)安全2023年3月23日Windows的系統(tǒng)進程(1)基本的系統(tǒng)進程smss.exeSessionManagercsrss.exe子系統(tǒng)服務(wù)器進程winlogon.exe管理用戶登錄services.exe包含很多系統(tǒng)服務(wù)lsass.exe管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅(qū)動程序svchost.exe包含很多系統(tǒng)服務(wù)spoolsv.exe將文件加載到內(nèi)存中以便遲后打印explorer.exe資源管理器internat.exe輸入法操作系統(tǒng)安全2023年3月23日Windows的系統(tǒng)進程(2)附加的系統(tǒng)進程（不是必要的）mstask.exe允許程序在指定時間運行regsvc.exe允許遠程注冊表操作winmgmt.exe提供系統(tǒng)管理信息inetinfo.exe通過Internet信息服務(wù)的管理單元提供FTP連接和管理tlntsvr.exe允許遠程用戶登錄到系統(tǒng)并且使用命令行運行控制臺程序termsrv.exe提供多會話環(huán)境允許客戶端設(shè)備訪問虛擬的Windows2000桌面會話以及運行在服務(wù)器上的基于Windows的程序dns.exe應(yīng)答對域名系統(tǒng)(DNS)名稱的查詢和更新請求……操作系統(tǒng)安全2023年3月23日Windows的Log系統(tǒng)(1)三種類型的事件日志：系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件，比如跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器的故障。應(yīng)用程序日志跟蹤應(yīng)用程序關(guān)聯(lián)的事件，比如應(yīng)用程序產(chǎn)生的象裝載DLL（動態(tài)鏈接庫）失敗的信息將出現(xiàn)在日志中。安全日志跟蹤事件如登錄、注銷、改變訪問權(quán)限以及系統(tǒng)啟動和關(guān)閉。注意：安全日志的默認(rèn)狀態(tài)是關(guān)閉的。操作系統(tǒng)安全2023年3月23日Windows的Log系統(tǒng)(2)日志在系統(tǒng)的位置是：%SYSTEMROOT%\system32\config\SysEvent.Evt%SYSTEMROOT%\system32\config\SecEvent.Evt%SYSTEMROOT%\system32\config\AppEvent.Evt日志文件在注冊表的位置是：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog

操作系統(tǒng)安全2023年3月23日Windows安全配置與管理安裝訪問控制用戶和組的權(quán)限管理賬號安全策略網(wǎng)絡(luò)服務(wù)文件系統(tǒng)安全打開安全日志其它的安全設(shè)置操作系統(tǒng)安全2023年3月23日安裝使用正版可靠安裝盤將系統(tǒng)安裝在NTFS分區(qū)上系統(tǒng)和數(shù)據(jù)要分開存放在不同的磁盤最小化安裝服務(wù)（不需要IIS等組件請不要安裝）只安裝必需的協(xié)議安裝最新的ServicePack與hotfix安裝系統(tǒng)和為系統(tǒng)打補丁時不能連接網(wǎng)絡(luò)操作系統(tǒng)安全2023年3月23日訪問控制對Windows服務(wù)器的訪問應(yīng)該只允許授權(quán)訪問，以及可靠用戶。使用ipsec策略實現(xiàn)訪問控制在pcanywhere中做IP限制系統(tǒng)資源應(yīng)該限制只允許授權(quán)用戶或是那些日常維護服務(wù)器的人員訪問。盡量將訪問來源控制在最小范圍內(nèi)。操作系統(tǒng)安全2023年3月23日用戶和組的權(quán)限管理控制好服務(wù)器上用戶的權(quán)限，應(yīng)小心地設(shè)置目錄和文件的訪問權(quán)限。訪問權(quán)限分為：讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制。默認(rèn)的情況下，大多數(shù)的文件夾對所有用戶（Everyone這個組）是完全敞開的（FullControl），應(yīng)根據(jù)應(yīng)用的需要進行權(quán)限重設(shè)。

操作系統(tǒng)安全2023年3月23日權(quán)限控制時的原則權(quán)限是累計的如果一個用戶同時屬于兩個組，那么他就有了這兩個組所允許的所有權(quán)限；拒絕的權(quán)限要比允許的權(quán)限高（拒絕策略會先執(zhí)行）若用戶屬于一個被拒絕訪問某個資源的組不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限，他也一定不能訪問這個資源。應(yīng)非常小心地使用拒絕文件權(quán)限比文件夾權(quán)限高利用用戶組來進行權(quán)限控制僅給用戶真正需要的權(quán)限，權(quán)限最小化原則是安全的重要保障操作系統(tǒng)安全2023年3月23日帳戶安全策略(1)重命名管理員帳號Administrator設(shè)置帳號規(guī)則保證帳號安全帳戶鎖定閥值設(shè)為30次帳戶鎖定時間設(shè)為30分鐘復(fù)位帳戶鎖定計數(shù)器設(shè)為30分鐘之后確認(rèn)密碼強度足夠密碼的位數(shù)要符合安全規(guī)范的要求操作系統(tǒng)安全2023年3月23日網(wǎng)絡(luò)服務(wù)限制對外開放的端口只允許開放特定端口公司目前使用IPSEC進行windows主機的保護禁用snmp服務(wù)原則上應(yīng)禁用TerminalService終端服務(wù)將不必要的服務(wù)設(shè)置為手動

操作系統(tǒng)安全2023年3月23日NetBIOS的安全設(shè)置禁用NetBIOS會話服務(wù)(139端口))禁用TCP/IP上的NetBIOS禁用SMB禁用445端口在本地連接屬性中禁用文件和打印機共享禁止匿名連接HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA中的RestrictAnonymous=2操作系統(tǒng)安全2023年3月23日Windows平臺上的共享資源在Windows平臺上，共享資源既是一個暴露信息的地方系統(tǒng)默認(rèn)共享admin$C$D$文件資源的共享打印服務(wù)的共享IPC$也是一個共享資源關(guān)閉打開的管理共享HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

鍵值 AutoShareServer類型 REG_DWORD數(shù)據(jù) 0操作系統(tǒng)安全2023年3月23日文件系統(tǒng)安全(1)WFP（Windows）即Windows文件保護。防止系統(tǒng)文件被不匹配的版本替換或是覆蓋微軟把Windows2000安裝光盤上的所有重要文件都加以保護包括：dll、exe、fon、ocx、sys、和tff結(jié)尾的文件等備份在%SYSTEMROOT%/system32/dllcache文件夾下。操作系統(tǒng)安全2023年3月23日文件系統(tǒng)安全(2)當(dāng)WFP監(jiān)控到這些文件被覆蓋或替換后就開始工作它會掃描有問題的文件，若這些文件與備份文件夾內(nèi)“原裝”文件不符，WFP會用備份文件還原。若該文件沒有做備份，系統(tǒng)會提示插入Windows2000的安裝光盤以復(fù)原該文件。操作系統(tǒng)安全2023年3月23日安全日志W(wǎng)indows的默認(rèn)安裝未打開安全審核Windows2000下本地安全策略->審核策略中打開相應(yīng)的審核推薦的審核是：賬戶管理

成功失敗登錄事件

成功失敗對象訪問策略更改

成功失敗特權(quán)使用

系統(tǒng)事件成功失敗目錄服務(wù)訪問賬戶登錄事件成功失敗過程追蹤成功失敗操作系統(tǒng)安全2023年3月23日模擬試題4Windows日志文件存放在哪個目錄？Ac:\winnt\Bc:\winnt\system32\configCc:\winnt\system32Dc:\winnt\system\config操作系統(tǒng)安全2023年3月23日主要內(nèi)容Windows系統(tǒng)安全Windows安全特性Windows安全配置與管理Linux系統(tǒng)安全Linux安全加強Linux安全的幾點建議操作系統(tǒng)安全2023年3月23日Linux口令安全/etc/passwd由用戶名、口令、UID、GID、用戶名全稱、用戶的主文件目錄、shell等七個域組成passwd字段中的第一個字符是“*”,則不允許登錄

passwd文件中的口令字段使用一個“x”來代替/etc/shadow存放加密后的口令操作系統(tǒng)安全2023年3月23日用戶與UID用戶標(biāo)識UID是系統(tǒng)內(nèi)部對每個用戶的唯一標(biāo)識Linux通過/etc/passwd文件實現(xiàn)用戶名與

UID之間的映射關(guān)系Linux的所有保護均以UID為基礎(chǔ)操作系統(tǒng)安全2023年3月23日用戶組與GIDLinux將用戶分成組用戶組也有組名和組標(biāo)識符GID分組是便于以用戶組為單位實施保護/etc/group文件包含一個列表，列舉每一個用戶組以及所對應(yīng)的GID記錄的各字段屬性依次定義如下：組名口令組標(biāo)識號用戶列表操作系統(tǒng)安全2023年3月23日文件類型文件的類型-普通文件d目錄c字符設(shè)備b塊設(shè)備l符號連接s

套接字文件p

命名管道文件后9個字符代表文件權(quán)限分為3組，每組3位操作系統(tǒng)安全2023年3月23日文件權(quán)限文件的授權(quán)r允許讀w允許寫x允許執(zhí)行(對于目錄表示進入)sSUID或SGID……三種類型的用戶：第一組：owner文件的擁有者第二組：group同組用戶第三組：other其它用戶改變文件的授權(quán)chmod命令改變許可方式r=4w=2x=1rwxr-xr--754chgrp與chown命令改變文件的屬主與組名修改后原屬主和組員無法修改回來-rwxr-xr-x1rootroot2617Mar262003check操作系統(tǒng)安全2023年3月23日帳號的安全處理沒有口令的帳戶刪除對系統(tǒng)無用的發(fā)行商的帳戶（如adm、lp、uucp、gopher等）及其相應(yīng)的組保護ROOT帳戶控制使用范圍定期更改口令檢查sulog（記錄了su使用情況）操作系統(tǒng)安全2023年3月23日關(guān)閉不必要的服務(wù)檢查/etc/xinetd.conf文件和/etc/services文件將不需要的服務(wù)關(guān)掉（如finger、tftp等）ntsysv操作系統(tǒng)安全2023年3月23日遠程維護禁用明文傳輸?shù)膖elnet應(yīng)使用openssh替代telnet操作系統(tǒng)安全2023年3月23日syslogsyslogd是一個專門用于記錄日志信息的服務(wù)配置文件/etc/syslog.conf可以記錄本地日志，也可以記錄遠程的日志信息可以指定把什么樣的日志消息記錄到哪個文件中操作系統(tǒng)安全2023年3月23日升級主要應(yīng)用及時升級，消除漏洞KernelApachePhpTomcatOpensshMysqlQmailSendmail……操作系統(tǒng)安全2023年3月23日查看登錄情況last：列出目前與過去登入系統(tǒng)的用戶相關(guān)信息rootpts/08ThuApr617:20stillloggedinrootpts/08ThuApr616:37-16:49(00:12)rootpts/08ThuApr615:43-15:46(00:02)rootpts/08MonApr317:49-17:50(00:01)

wtmpbeginsMonApr317:49:242006lastlog：查看用戶最后一次登錄信息的報告rootpts/08WedMar2918:04:18+08002006hepingpts/38MonFeb2012:22:54+08002006lishuqing**Neverloggedin**zhujunpts/08MonFeb2012:51:02+08002006xiaoqiang**Neverloggedin**zouweipts/324SunMar1913:21:53+08002006zhengleipts/020SatMar2522:41:40+08002006w：查看當(dāng)前在線上的用戶情況5:20pmup10days,7:39,1user,loadaverage:0.00,0.00,0.00USERTTYFROMLOGIN@IDLEJCPUPCPUWHATrootpts/085:20pm0.00s0.03s0.01sw

操作系統(tǒng)安全2023年3月23日Iptables策略禁止所有的轉(zhuǎn)發(fā)數(shù)據(jù)（FORWARD），允許所有的流出數(shù)據(jù)（OUTPUT）；具體的安全策略全部實施在流入數(shù)據(jù)上（INPUT）；允許所有在從到的內(nèi)部通訊；允許對外交換DNS數(shù)據(jù)，tcp/udp53端口；允許ping和被ping允許公司IP地址的完全訪問允許公司跳板機IP地址完全訪問操作系統(tǒng)安全2023年3月23日系統(tǒng)資源占用監(jiān)控異常的系統(tǒng)資源占用CPU資源top磁盤資源df,du網(wǎng)絡(luò)連接netstat操作系統(tǒng)安全2023年3月23日系統(tǒng)異常事件監(jiān)控異常進程ps異常端口和網(wǎng)絡(luò)活動lsof異常用戶活動w,last,shellhistory配置文件或設(shè)備的變動異常的重要文件變動Login,su,…..操作系統(tǒng)安全2023年3月23日系統(tǒng)日志的監(jiān)控MessageSyslogLastlogShellhistoryOtherlogs系統(tǒng)日志文件的變化操作系統(tǒng)安全2023年3月23日長期的系統(tǒng)維護時刻注意安全漏洞和補丁發(fā)布定期分析日志系統(tǒng)，發(fā)現(xiàn)潛在攻擊注意賬號和口令的安全問題注意觀察系統(tǒng)異常管理員，才是關(guān)鍵!操作系統(tǒng)安全2023年3月23日模擬試題6執(zhí)行chmod766check后，check文件正確的權(quán)限應(yīng)該是（）A

-rwxr-xr-x1rootroot2617Mar262008checkB

-rwxr--r--1rootroot2617Mar262008checkC

-rwxrw-rw-1rootroot2617Mar262008checkD

-rwxrwxrwx1rootroot2617Mar262008check操作系統(tǒng)安全2023年3月23日小結(jié)Windows系統(tǒng)內(nèi)建帳戶/組、SID、SAMNTFS文件系統(tǒng)及用戶、目錄、文件的權(quán)限系統(tǒng)服務(wù)與log系統(tǒng)系統(tǒng)的安裝與配置Linux系統(tǒng)口令安全、UID/GID文件類型與權(quán)限、系統(tǒng)服務(wù)帳號安全與、遠程維護syslog、iptables監(jiān)控日志、系統(tǒng)資源和異常事件常見應(yīng)用安全網(wǎng)絡(luò)安全部2008年11月2023年3月23日常見應(yīng)用安全主要內(nèi)容Web安全IIS安全數(shù)據(jù)庫安全SQLServer2023年3月23日常見應(yīng)用安全IIS概述IIS(InternetInformationServer)是當(dāng)今流行的Web服務(wù)器IIS主要安全問題IIS的安全漏洞IIS的默認(rèn)配置IIS的錯誤配置2023年3月23日常見應(yīng)用安全IIS的漏洞以前關(guān)于IIS的漏洞層出不窮如：IIS的Unicode漏洞

……2023年3月23日常見應(yīng)用安全IIS組件的安裝以下僅以IIS5.0為例只安裝基本的組件Internet服務(wù)管理器WordWideWeb服務(wù)器公用文件卸載不用的組件Internet服務(wù)管理器（HTML）：基于Web的IIS服務(wù)器管理頁面，應(yīng)卸載它SMTP和NNTP：如果不使用服務(wù)器轉(zhuǎn)發(fā)郵件和提供新聞組服務(wù)也應(yīng)卸載2023年3月23日常見應(yīng)用安全刪除不用的文件和站點刪除默認(rèn)腳本和示例文件c:\inetpubc:\WINNT\system32\inetsrv\iisadminc:\WINNT\system32\inetsrv\iisadmpwd

刪除默認(rèn)web站點2023年3月23日常見應(yīng)用安全刪除無用的腳本映射(1)基于Web的密碼重設(shè)

.htrInternet數(shù)據(jù)庫連接器（所有的IIS5Web站點應(yīng)使用ADO或類似的技術(shù)）.idc服務(wù)器端包含程序.stm、.shtm和.shtmlInternet打印.printer索引服務(wù)器.htw、.ida和.idq

2023年3月23日常見應(yīng)用安全刪除無用的腳本映射(2)IIS被預(yù)先配置為支持常用的文件名擴展如.asp和.shtm文件IIS接收到這些類型的文件請求時，該調(diào)用由DLL處理。如果不使用其中的某些擴展或功能，則應(yīng)刪除該映射，步驟如下：

打開Internet服務(wù)管理器。右鍵單擊Web服務(wù)器，然后從上下文菜單中選擇“屬性”。主屬性選擇WWW服務(wù)|編輯|主目錄|配置2023年3月23日常見應(yīng)用安全IIS目錄重新定向不要使用系統(tǒng)默認(rèn)的web路徑自定義Web主目錄路徑并作相應(yīng)的權(quán)限設(shè)置例如Web主目錄可以設(shè)置為d:\website2023年3月23日常見應(yīng)用安全啟用Web日志日志記錄是非常重要的加載InternetInformationServices工具。右鍵單擊站點，然后從上下文菜單中選擇“屬性”。單擊“網(wǎng)站”選項卡。選中“啟用日志”復(fù)選框。從“活動日志格式”下拉列表中選擇“W3C擴展日志文件格式”。單擊“屬性”。

更改默認(rèn)日志文件路徑例如：D:\Logfiles2023年3月23日常見應(yīng)用安全Web站點權(quán)限設(shè)定

Web站點權(quán)限：授予的權(quán)限：讀允許寫不允許腳本源訪問不允許目錄瀏覽建議關(guān)閉索引資源建議關(guān)閉執(zhí)行推薦選擇“僅限于腳本”

2023年3月23日常見應(yīng)用安全HTTP500錯誤重定向增加SQL注入難度在IIS中將“HTTP500內(nèi)部服務(wù)器錯誤”出錯頁面通過URL重定向到一個定制的頁面文件目前可以通過OCTOPOD系統(tǒng)進行操作2023年3月23日常見應(yīng)用安全禁用WebDAVWebDAVWebDAV擴展了HTTP/1.1協(xié)議，允許客戶端發(fā)布、鎖定和管理Web中的資源。在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters處加一個鍵值：數(shù)值名稱為DisableWebDAV數(shù)據(jù)類型為DWORD數(shù)值數(shù)據(jù)為1

2023年3月23日常見應(yīng)用安全其它安全問題涉及用戶名與口令的程序最好封裝在服務(wù)器端，盡量少的在ASP文件里出現(xiàn)涉及到與數(shù)據(jù)庫連接地用戶名與口令應(yīng)給予最小的權(quán)限防止ASP主頁.inc文件泄露問題

防止UltraEdit等編輯器生成xxx.asp.bak存在于web目錄下Web目錄下的文件及目錄應(yīng)有統(tǒng)一的命名規(guī)范后臺管理頁面應(yīng)有IP限制，登錄口令應(yīng)符合安全規(guī)范的要求2023年3月23日常見應(yīng)用安全主要內(nèi)容Web安全IIS安全數(shù)據(jù)庫安全SQLServer2000安全2023年3月23日常見應(yīng)用安全SQLServer2000安全概述微軟的SQLServer2000是一種廣泛使用的數(shù)據(jù)庫

數(shù)據(jù)庫系統(tǒng)中存在的安全漏洞和不當(dāng)?shù)呐渲猛ǔ斐蓢?yán)重的后果數(shù)據(jù)庫的安全問題易被忽視數(shù)據(jù)庫安全除了自身的問題外還取決于：操作系統(tǒng)的安全性Web應(yīng)用中asp腳本是否對用戶提交的輸入做了嚴(yán)格的過濾2023年3月23日常見應(yīng)用安全安裝補丁新裝服務(wù)器目前要求安裝ServicePack4再安裝修補ServicePack4一個內(nèi)存BUG的補丁KB899761老服務(wù)器在確保安裝有ServicePack3的基礎(chǔ)上可以暫時不裝ServicePack42023年3月23日常見應(yīng)用安全口令策略數(shù)據(jù)庫口令也要符合服務(wù)器安全規(guī)范的要求口令長度口令復(fù)雜性空口令和弱口令定期修改密碼應(yīng)用程序中不能用SA連接數(shù)據(jù)庫2023年3月23日常見應(yīng)用安全數(shù)據(jù)庫日志在實例屬性中選擇“安全性”，將其中的審核級別選為全部這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日志里面，就詳細記錄了所有帳號的登錄事件

定期查看SQLServer日志檢查是否有可疑的登錄事件發(fā)生

2023年3月23日常見應(yīng)用安全擴展存儲過程去除不必要的擴展存儲過程有些存儲過程能很容易地被人利用起來提升權(quán)限或進行破壞例如：當(dāng)SA為空口令，就可以利用xp_cmdshell執(zhí)行系統(tǒng)命令去除xp_cmdshellusemaster

sp_dropextendedproc'xp_cmdshell'

2023年3月23日常見應(yīng)用安全保護端口SQLServer2000使用的端口tcp1433udp1434限制策略禁止訪問udp1434端口僅允許受信任的IP訪問tcp1433端口更改默認(rèn)的端口在實例屬性中選擇網(wǎng)絡(luò)配置中的TCP/IP協(xié)議的屬性，將TCP/IP使用的默認(rèn)端口變?yōu)槠渌丝?023年3月23日常見應(yīng)用安全模擬試題7以下哪項的描述是正確的？（）A所有的SqlServer都必須安裝SP4B

所有的SqlServer都必須安裝SP3C

新裝SqlServer必須安裝SP3，老的SqlServer必須安裝SP4D

新裝SqlServer必須安裝SP4，老的SqlServer必須安裝SP32023年3月23日常見應(yīng)用安全小結(jié)IIS安全組件，示例文件、應(yīng)用程序、腳本映射禁用父路徑、web目錄重定向、日志500錯誤重定向、webDAVSQLServer安全補丁、口令、日志護展存儲過程、端口限制2023年3月23日常見應(yīng)用安全課間休息操作實踐網(wǎng)絡(luò)安全部2008年11月2023年3月23日操作實踐主要內(nèi)容服務(wù)器帳號處理啟用安全日志網(wǎng)絡(luò)安全設(shè)置Winchk/autoup的安裝OctopodNetviewSyslog與HIDS初始化IPSE