學習情境二 服務器操作系統(tǒng)安全維護和管理

學習情景二：服務器操作系統(tǒng)安全維護和管理

任務1：配置Windows系統(tǒng)維護計算機連網(wǎng)安全任務2：IE瀏覽器安全設置任務3：系統(tǒng)文件權(quán)限設置任務4：系統(tǒng)安全審核任務5：防病毒工具軟件的使用任務1：配置Windows系統(tǒng)維護計算機連網(wǎng)安全

能力目標：會運用系統(tǒng)的策略配置維護計算機連網(wǎng)安全知識目標：掌握Windows系統(tǒng)中網(wǎng)絡安全管理方法操作系統(tǒng)安全基礎

20世紀80年代，美國國防部根據(jù)軍用計算機系統(tǒng)的安全需要，制定了《可信計算機系統(tǒng)安全評估標準》（TrustedComputerSystemEvaluationCriteria，簡稱TCSEC）級別系統(tǒng)的安全可信度D最低安全C1自主存取控制C2較完善的自主存取控制（DAC）B1強制存取控制（MAC）B2良好的結(jié)構(gòu)化設計、形式化安全模型B3全面的訪問控制、可信恢復A形式化認證（最高安全）查看當前鏈接的端口

netstat–na查看鏈接端口的宿主

netstat–nab

如本機在135端口監(jiān)聽，由“svchost.exe”程序創(chuàng)建的，該程序一共調(diào)用了組件（WS2_32.dll等）1、關(guān)閉不需要的端口

右鍵單擊“本地連接”，選擇“屬性”，打開“本地連接屬性”對話框，然后在“常規(guī)”選項卡里雙擊“Internet協(xié)議（TCP/IP）”，彈出“Internet協(xié)議（TCP/IP）屬性”對話框，單擊下面的“高級”按鈕，彈出“高級TCP/IP設置”對話框，選擇“選項”選項卡，如圖所示。再單擊“屬性”按鈕，彈出“TCP/IP篩選”對話框。選中“只允許”單選框，添加TCP、UDP和IP等網(wǎng)絡協(xié)議允許的端口2、IP安全策略

默認情況下，Windows有很多端口是開放的，在你上網(wǎng)的時候，網(wǎng)絡病毒和黑客可以通過這些端口連上你的電腦。為了安全，應該封閉這些端口，主要有：TCP135、139、445、593、1025端口和UDP135、137、138、445端口，一些流行病毒的后門端口（如TCP2745、3127、6129端口），以及遠程服務訪問端口3389。下面介紹如何在WinXP/2000/2003下關(guān)閉這些網(wǎng)絡端口：依次選擇“開始”→“設置”→“控制面板”→“性能和維護”→“管理工具”菜單命令，雙擊“本地安全策略”圖標，打開“本地安全設置”窗口，選中“IP安全策略，在本地計算機”，然后在右邊窗格的空白處右鍵單擊鼠標，再右鍵菜單選擇“創(chuàng)建IP安全策略”，彈出“IP安全策略向?qū)А睂υ捒?，以關(guān)閉135端口為例3.禁止NetBIOS第1步：在桌面右鍵單擊“網(wǎng)上鄰居”，選擇“屬性”，打開“網(wǎng)絡連接”窗口，然后右鍵單擊“本地連接”，選擇“屬性”，打開“本地連接屬性”對話框，如果不需要共享文件和打印機，那么在“常規(guī)”選項卡里將“MicrosoftWindows網(wǎng)絡的文件和打印機共享”卸載。第2步：雙擊“Internet協(xié)議（TCP/IP）”，彈出“Internet協(xié)議（TCP/IP）屬性”對話框，單擊下面的“高級”按鈕，彈出“高級TCP/IP設置”對話框，選擇“WINS”選項卡，如圖4.7所示，取消“啟用LMHOSTS查詢”，然后選擇“禁用TCP/IP上的NetBIOS”。第3步：在開始菜單中打開“運行”對話框，輸入“services.msc”打開“服務”窗口，找到TCP/IPNetBIOSHelper這個服務，停止這個服務，并設置啟動類型為手動或禁止。第4步：重新啟動電腦。4、禁止遠程協(xié)助取消“允許從這臺計算機發(fā)送遠程協(xié)助邀請”5、終端服務（1）禁用“終端服務”。在“遠程”選項卡里取消“允許用戶遠程連接到此計算機”。（2）更改“終端服務”監(jiān)聽端口在注冊表編輯器中，按照HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp路徑找到“PortNumber”=dword:00002683，將端口值更改為5858（任意指定）任務2：維護IE瀏覽器安全

能力目標：會基本的IE瀏覽器安全配置能配置組策略維護系統(tǒng)安全（防遠程控制）知識目標：掌握IE瀏覽器的安全設置方法掌握Windows組策略的使用打開InternetExplorer，依次選擇“工具”→“Internet選項”，打開“Internet選項”對話框，選擇“安全”選項卡維護IE瀏覽器安全如果進行了IE的安全設置后，影響到少數(shù)必須要訪問的站點，但是為了安全又不想把Internet區(qū)域的安全級別設置的太低，那么可以將一些信任的站點添加到“可信站點”中去打開圖中的“高級”選項卡，進行安全配置注冊表中與IE相關(guān)的設置HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\拓展任務：個人主機的遠程控制及防范1.windows組策略2.關(guān)閉不需要的服務3.IPC$功能對于WindowsNT操作系統(tǒng)，在默認安全設置下，借助空連接可以列舉目標主機上的用戶和共享，訪問Everyone權(quán)限的共享，訪問小部分注冊表等。防范IPC默認共享第1步：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous項設置為1第2步：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters的AutoShareServer項設置為0第3步：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters的AutoShareWks項設置為0另外，也可永久關(guān)閉IPC$和默認共享所依賴的服務：lanmanserver（server）。任務3：系統(tǒng)文件權(quán)限設置

能力目標：能為文件或文件夾分配權(quán)限知識目標：理解Windows權(quán)限的概念

知識準備1．與Windows權(quán)限密切相關(guān)的3個概念是：安全標識符、訪問控制列表和安全主體2．權(quán)限管理的4項基本原則在Windows中，針對權(quán)限的管理有4項基本原則，即拒絕優(yōu)于允許原則、權(quán)限最小化原則、累加原則和權(quán)限繼承性原則。3．文件與文件夾權(quán)限文件與文件夾依據(jù)是否被共享到網(wǎng)絡上，其權(quán)限可以分為NTFS權(quán)限與共享權(quán)限兩種，這兩種權(quán)限既可以單獨使用，也可以相輔使用。兩者之間既能夠相互制約，也可以相互補充。Windows權(quán)限（1）NTFS權(quán)限。只要是在NTFS分區(qū)上的文件夾或文件，無論是否被共享，都具有此權(quán)限。此權(quán)限對于使用FAT16/FAT32分區(qū)上的文件與文件夾無效。

NTFS權(quán)限有兩大要素：一是標準訪問權(quán)限；二是特別訪問權(quán)限。標準訪問權(quán)限將一些常用的系統(tǒng)權(quán)限選項比較籠統(tǒng)地組成7組權(quán)限，分別是：完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入、特別的權(quán)限。①設置標準訪問權(quán)限。第1步：右鍵單擊Inetpub文件夾，在右鍵菜單中選擇“共享與安全”，顯示“Inetpub屬性”對話框，如圖所示。第2步：選擇“安全”選項卡，針對資源進行的NTFS權(quán)限設置就是通過這個選項卡來實現(xiàn)的，此時應首先在“組或用戶名稱”列表中選擇需要賦予權(quán)限的用戶名或組，然后在下方的“權(quán)限”列表中設置該用戶可以擁有的權(quán)限。②設置特別訪問權(quán)限。第1步：單擊“高級”按鈕，彈出“Inetpub的高級安全設置”對話框，如圖所示，去掉“允許父項的繼承權(quán)限傳播到該對象和所有子對象。包括那些在此明確定義的項目”前面的對勾，這樣可以斷開當前權(quán)限設置與父級權(quán)限設置之間的繼承關(guān)系。在隨即彈出的“安全”對話框中單擊“復制”或“刪除”按鈕（單擊“復制”按鈕可以首先復制繼承的父級權(quán)限設置，然后再斷開繼承關(guān)系）特別訪問權(quán)限設置實例在NTFS分區(qū)下新建一個文件夾，設置當前用戶有建立文件夾的權(quán)限，而不賦予該用戶建立文件的權(quán)限屏蔽QQ廣告

QQ廣告文件存放于“C:\programfiles\tencent\QQ\AD目錄下方法：刪除AD目錄下所有文件及子文件夾設置AD文件夾的權(quán)限：（1）打開文件夾的“安全”選項“卡，最徹底的方法刪除“組或用戶名稱”中的所有用戶。（2）或者將所有用戶的所有權(quán)限設置為“拒絕”

特別訪問權(quán)限設置實例新建文件夾a,在文件夾a中新建文件b.doc。為文件夾a設置特別訪問權(quán)限，不允許用戶查看文件b.doc的內(nèi)容允許用戶查看文件b.doc,但不允許用戶修改其內(nèi)容（2）共享權(quán)限。只要共享出來的文件就一定具有此權(quán)限。如該文件夾存在于NTFS分區(qū)中，那么將同時具有NTFS權(quán)限與共享權(quán)限。如果資源同時擁有兩種權(quán)限，那么系統(tǒng)中對權(quán)限的具體實施將以兩種權(quán)限中“較嚴格的權(quán)限”為準。實例：設置共享權(quán)限練習：在NTFS分區(qū)中新建一個文件夾賦予某用戶在上一步新建目錄有建立文件夾的權(quán)限，不賦予用戶建立文件的權(quán)限思考題移動和復制設置權(quán)限的資源時，資源的權(quán)限如何變化？任務4：系統(tǒng)安全審核

能力目標：會系統(tǒng)安全審計知識目標：掌握Windows系統(tǒng)安全審計知識準備安全審計：它對計算機信息系統(tǒng)中的所有網(wǎng)絡資源(包括數(shù)據(jù)庫、主機、操作系統(tǒng)、安全設備等)進行安全審計，記錄所有發(fā)生的事件，提供給系統(tǒng)管理員作為系統(tǒng)維護以及安全防范的依據(jù)。安全審計如同銀行的監(jiān)控系統(tǒng)，不論是什么人進出銀行，都進行如實登記，并且每個人在銀行中的行動，乃至一個茶杯的挪動都被如實的記錄，一旦有突發(fā)事件可以快速的查閱進出記錄和行為記錄，確定問題所在，以便采取相應的處理措施。

在Windows系統(tǒng)中需要分別設置審核功能來捕捉事件，對特定的活動的跟蹤都記錄在安全事件日志中。實例：為文件和文件夾設置審核（1）在“組策略編輯器”窗口中，逐級展開左側(cè)窗口中的“計算機配置→Windows設置→安全設置→本地策略”分支，然后在該分支下選擇“審核策略”選項。然后在該分支下選擇“審核策略”選項。雙擊“審核對象訪問”選項，在彈出的對話框中將“本地策略設置”框內(nèi)的“成功”和“失敗”復選框都打上勾選標記，然后單擊“確定”按鈕。（2）右鍵單擊想要審核的新建文件夾，選擇右鍵菜單中的“屬性”，在彈出的對話框中選擇“安全”選項卡（3）單擊“高級”按鈕，然后在彈出的對話框中選擇“審核”選項卡。如果要對一個新組或用戶設置審核，可以在中單擊“添加”按鈕，然后在彈出的對話框中的“名稱”框中輸入新用戶名，然后單擊“確定”按鈕打開“新建文件夾的審核項目”對話框（4）在“應用到”列表中選擇希望審核的對象。在“訪問”列表中選擇希望審核的操作。如果想禁止目錄樹中的文件和子文件夾繼承這些審核項目，將圖下方的復選框打上小勾。單擊“確定”按鈕，然后在彈出的對話框中單擊“確定”按鈕。

（5）在新建文件夾中新建一個文本文件（這一創(chuàng)建操作會在事件查看器中看到）。（6）使用事件查看器分析審核信息。打開事件查看器，單擊左側(cè)的“安全性”，然后在右側(cè)詳細信息窗口中，雙擊要查看的事件，彈出“事件屬性”對話框，如圖所示，從描述中可知該事件即對應于的創(chuàng)建文本文件操作。拓展訓練：審核其他對象練習任務5：防病毒工具軟件的使用

能力目標：會使用防病毒工具軟件知識目標：了解計算機病毒、蠕蟲和木馬帶來的威脅了解各種防病毒軟件的優(yōu)缺點討論：比較常用的殺毒軟件如何防范計算機病毒瑞星對病毒有很強的防御能力，但應對計算機先中毒再查殺，變得束手無策，除非更新病毒庫。另外，查殺速度比較慢。360安全衛(wèi)士+360殺毒

360安全衛(wèi)士使用方便