項目02Windows系統(tǒng)安全加固.ppt

1、項目2 Windows系統(tǒng)安全加固,項目1 雙機互連對等網絡的組建,2.1 項目提出,張先生的計算機新裝了Windows Server 2003操作系統(tǒng)，該系統(tǒng)具有高性能、高可靠性和高安全性等特點。 Windows Server 2003在默認安裝的時候，基于安全的考慮已經實施了很多安全策略，但由于服務器操作系統(tǒng)的特殊性，在默認安裝完成后還需要張先生對其進行安全加固，進一步提升服務器操作系統(tǒng)的安全性，保證應用系統(tǒng)以及數據庫系統(tǒng)的安全。,2.2 項目分析,在安裝Windows Server 2003操作系統(tǒng)時，為了提高系統(tǒng)的安全性，張先生按系統(tǒng)建議，采用最小化方式安裝，只安裝網絡服務所必需的組件

2、。如果以后有新的服務需求，再安裝相應的服務組件，并及時進行安全設置。 在完成操作系統(tǒng)安裝全過程后，張先生要對Windows系統(tǒng)安全性方面進行加固，系統(tǒng)加固工作主要包括賬戶安全配置、密碼安全配置、系統(tǒng)安全配置、服務安全配置以及禁用注冊表編輯器等內容，從而使得操作系統(tǒng)變得更加安全可靠，為以后的工作提供一個良好的環(huán)境平臺。,操作系統(tǒng)的安全是整個計算機系統(tǒng)安全的基礎，其安全問題日益引起人們的高度重視。 作為用戶使用計算機和網絡資源的操作界面，操作系統(tǒng)發(fā)揮著十分重要的作用。因此，操作系統(tǒng)本身的安全就成了安全防護的頭等大事。,2.3 相關知識點,2.3.1 操作系統(tǒng)安全的概念 操作系統(tǒng)的安全防護研究通常包

3、括以下幾個方面的內容。 (1) 操作系統(tǒng)本身提供的安全功能和安全服務。目前的操作系統(tǒng)本身往往要提供一定的訪問控制、認證與授權等方面的安全服務，如何對操作系統(tǒng)本身的安全性能進行研究和開發(fā)使之符合選定的環(huán)境和需求。 (2) 針對各種常用的操作系統(tǒng)，進行相關配置，使之能正確對付和防御各種入侵。 (3) 保證操作系統(tǒng)本身所提供的網絡服務能得到安全配置。 一般來說，如果說一個計算機系統(tǒng)是安全的，那么是指該系統(tǒng)能夠控制外部對系統(tǒng)信息的訪問。也就是說，只有經過授權的用戶或代表該用戶運行的進程才能讀、寫、創(chuàng)建或刪除信息。,操作系統(tǒng)內的活動都可以認為是主體對計算機系統(tǒng)內部所有客體的一系列操作。 主體是指發(fā)出訪問

4、操作、存取請求的主動方，它包括用戶、用戶組、主機、終端或應用進程等。主體可以訪問客體。 客體是指被調用的程序或要存取的數據訪問，它包括文件、程序、內存、目錄、隊列、進程間報文、I/O設備和物理介質等。 主體對客體的安全訪問策略是一套規(guī)則，可用于確定一個主體是否對客體擁有訪問能力。,一般所說的操作系統(tǒng)的安全通常包含兩方面的含義： 操作系統(tǒng)在設計時通過權限訪問控制、信息加密性保護、完整性鑒定等機制實現的安全； 操作系統(tǒng)在使用中，通過一系列的配置，保證操作系統(tǒng)避免由于實現時的缺陷或是應用環(huán)境因素產生的不安全因素。 只有在這兩方面同時努力，才能夠最大可能地建立安全的操作系統(tǒng)。,2.3.2 服務與端口

5、我們知道，一臺擁有IP地址的主機可以提供許多服務，比如Web服務、FTP服務、SMTP服務等，這些服務完全可以通過1個IP地址來實現。那么，主機是怎樣區(qū)分不同的網絡服務呢？顯然不能只靠IP地址，因為IP 地址與網絡服務的關系是一對多的關系。實際上是通過“IP地址端口號”來區(qū)分不同的服務的。 我們來打個形象的比喻: 假設IP地址是一棟大樓的地址，那么端口號就代表著這棟大樓的不同房間。如果一封信(數據包)上的地址僅包含了這棟大樓的地址(IP)而沒有具體的房間號(端口號)，那么沒有人知道誰(網絡服務)應該去接收它。為了讓郵遞成功，發(fā)信人不僅需要寫明大樓的地址(IP地址)，還需要標注具體的收信人房間號

6、(端口號)，這樣這封信才能被順利地投遞到它應該前往的房間。,端口是計算機與外界通訊的渠道，它們就像一道道門一樣控制著數據與指令的傳輸。各類數據包在最終封包時都會加入端口信息，以便在數據包接收后拆包識別。我們知道，許多蠕蟲病毒正是利用了端口信息才能實現惡意騷擾的。所以，對于原本脆弱的Windows系統(tǒng)來說，有必要把一些危險而又不常用到的端口關閉或是封鎖，以保證網絡安全。 同樣的，面對網絡攻擊時，端口對于黑客來說至關重要。每一項服務都對應相應的端口號，比如我們?yōu)g覽網頁時，需要服務器提供WWW服務，端口號是80，SMTP服務的端口號是25，FTP服務的端口號是21，如果企業(yè)中的服務器僅僅是文件服務或

7、者做內網交換，應關閉不必要的端口，因為在關閉這些端口后，可以進一步保障系統(tǒng)的安全。,我們知道，在 TCP和 UDP協(xié)議中，源端口和目標端口是用一個16位無符號整數來表示的，這就意味著端口號共有65536個(216，065535)。 按對應的協(xié)議類型，端口有兩種：TCP端口和UDP端口。由于TCP和UDP 兩個協(xié)議是獨立的，因此各自的端口號也相互獨立，比如TCP有235端口，UDP也可以有235端口，兩者并不沖突。,IETF定義了以下三種端口組。 (1) 公認端口(Well-Known Ports)：從0到1023，它們緊密綁定（binding）于一些服務。通常這些端口的通訊明確表明了某種服務的

8、協(xié)議。例如：80端口實際上總是HTTP通訊。 (2) 注冊端口（Registered Ports）：從1024到49151。它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統(tǒng)處理動態(tài)端口從1024左右開始。 (3) 動態(tài)和/或私有端口（Dynamic and/or Private Ports）：從49152到65535。理論上，不應為服務分配這些端口。實際上，機器通常從1024起分配動態(tài)端口。但也有例外：SUN的RPC端口從32768開始。,管理好端口號在網絡安全中有著非常重要的意義，黑客往往通過探測目標主機開啟的端口號進行攻擊。所以，對那

9、些沒有用到的端口號，最好將它們關閉。 一個通信連接中，源端口與目標端口并不是相同的，如客戶機訪問WWW服務器時，WWW服務器使用的是80端口，而客戶端的端口則是系統(tǒng)動態(tài)分配的大于1023的隨機端口。,開啟的端口可能被攻擊者利用，如利用掃描軟件，可以掃描到目標主機中開啟的端口及服務，因為提供服務就有可能存在漏洞。 入侵者通常會用掃描軟件對對目標主機的端口進行掃描，以確定哪些端口是開放的。從開放的端口，入侵者可以知道目標主機大致提供了哪些服務，進而尋找可能存在的漏洞。因此對端口的掃描有助于了解目標主機，從管理角度來看，掃描本機的端口也是做好安全防范的前提。 查看端口的相關工具有：Windows系統(tǒng)

10、中的netstat命令、fport軟件、activeport軟件、superscan軟件、Visual Sniffer軟件等，此類命令或軟件可用來查看主機所開放的端口。,可以在網上查看各種服務對應的端口號和木馬后門常用端口來判斷系統(tǒng)中的可疑端口中，并通過軟件查看開啟此端口的進程。 確定可疑端口和進程后，可以利用防火墻來屏蔽此端口，也可以通過選擇本地連接TCP/IP高級選項TCP/IP篩選，啟用篩選機制來過濾這些端口； 對于Windows系統(tǒng)主機，如不對外提供服務也可以進行過濾設置。對于網絡中的普通客戶計算機，可以限制對外的所有的端口，不必對外提供任何服務；而對于服務器，則把需要提供服務的端口，

11、如WWW服務端口80等開放，不使用的其他端口則全部關閉?？梢岳枚丝诓榭垂ぞ邫z查開啟的非業(yè)務端口。,關閉端口的方法非常簡單，在“控制面板”“管理工具”“服務”中即可配置。 一些端口常常會被攻擊者或病毒木馬所利用，如端口21、22、23、25、80、110、111、119、135、137、138、139、161、177、389、3389等。關于常見木馬程序所使用的端口可以在網上查找到。,這里重點說說139端口，139端口也就是NetBIOS Session端口，用作文件和打印的共享。 關閉139端口的方法是在“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性，進入“高級TCP/IP設

12、置”，在“WINS”選項卡中，有一“禁用TCP/IP的NETBIOS”選項，選中后即可關閉139端口。 為什么要關閉139端口呢？這里涉及一個139端口入侵的問題。如果黑客確定一臺存在139端口漏洞的主機，用掃描工具掃描，然后使用“nbtstat -a IP”命令得到用戶的情況，最后完成非法訪問的操作。,2.3.3 組策略 組策略和注冊表，是Windows系統(tǒng)中重要的兩部控制臺。對于系統(tǒng)中安全方面的部署，組策略又以其直觀化的表現形式更受用戶青睞。我們可以通過組策略禁止第三方非法更改地址，也可以禁止別人隨意修改防火墻配置參數，更可以提高共享密碼強度免遭其被破解。 比如，在一個特定網絡環(huán)境中，如果

13、部分用戶共同使用相同的一臺工作站進行網絡訪問時，安全隱患就顯露出來、倘若我們沒有劃定安全的上網區(qū)域，那樣會造成工作站的權限紊亂，從而帶來系統(tǒng)危機。輕者造成系統(tǒng)癱瘓，重者則可遭受遠程入侵，損失寶貴資料。 所以，為了保護本地網絡以及本地工作站的安全，我們可以嘗試在公共計算機系統(tǒng)中，通過設置組策略的方法為普通用戶界定安全上網區(qū)域，強制進入系統(tǒng)的用戶只能在設定內的安全區(qū)域中上網沖浪。,由于組策略有著直觀的名字和功能解釋，所以應用上比較簡單，對于管理員和終端用戶都非常方便，但它的功能遠沒有限制起來那樣簡單，我們可以將它作為一種安全保護跟蹤工具。比如，可以利用組策略尋找共享目錄訪問痕跡。 這對于局域網內的

14、用戶監(jiān)測來說非常重要。因為在網絡內部，一旦出現非法用戶，大多與共享入侵和訪問共享資源有關，此時查詢共享目錄的訪問信息就可以追蹤求源，查到真兇。 打開組策略后在左側列表區(qū)域中的“本地計算機策略”“計算機配置”“Windows設置”“安全設置”“本地策略”“審核策略”選項，在“審核策略”中找到“審核對象訪問”，選中屬性界面中的“失敗”、“成功”選項，以后出現問題時就能有針對性地進入系統(tǒng)安全日志文件，來查看相關事件記錄。,2.3.4 賬戶與密碼安全 賬戶與密碼的使用通常是許多系統(tǒng)預設的防護措施。事實上，有許多用戶的密碼是很容易被猜中的，或者使用系統(tǒng)預設的密碼、甚至不設密碼。 用戶應該要避免使用不當的

15、密碼、系統(tǒng)預設密碼或是使用空白密碼，也可以配置本地安全策略要求密碼符合安全性要求。,2.3.5 漏洞與后門 1. 漏洞 漏洞即某個程序(包括操作系統(tǒng))在設計時未考慮周全，當程序遇到一個看似合理，但實際無法處理的問題時，引發(fā)的不可預見的錯誤。系統(tǒng)漏洞又稱安全缺陷，對用戶造成的不良后果有： 如漏洞被惡意用戶利用，會造成信息泄漏。例如，黑客攻擊網站即利用網絡服務器操作系統(tǒng)的漏洞。 對用戶操作造成不便。例如，不明原因的死機和丟失文件等。,可見，僅有堵住系統(tǒng)漏洞，用戶才會有一個安全和穩(wěn)定的工作環(huán)境。 漏洞的產生大致有以下3個原因。 編程人員的人為因素。在程序編寫過程中，為實現不可告人的目的，在程序代碼的

16、隱蔽處留有后門。 受編程人員的能力、經驗和當時安全技術所限，在程序中難免會有不足之處，輕則影響程序效率，重則導致非授權用戶的權限提升。 由于硬件原因，使編程人員無法彌補硬件的漏洞，從而使硬件的問題通過軟件表現出來。,可以說，幾乎所有的操作系統(tǒng)都不是十全十美的，總是存在各種安全漏洞。 例如，在Windows NT中，安全賬戶管理(SAM)數據庫可以被以下用戶所復制：Administrator賬戶、Administrators組中的所有成員、備份操作員、服務器操作員以及所有具有備份特權的人員。SAM數據庫的一個備份拷貝能夠被某些工具所利用來破解口令。 又如，Windows NT對較大的ICMP數據

17、包是很脆弱的，如果發(fā)一條ping命令，指定數據包的大小為64KB，Windows NT的TCP/IP棧將不會正常工作，可使系統(tǒng)離線乃至重新啟動，結果造成某些服務的拒絕訪問。,任何軟件都難免存在漏洞，但作為系統(tǒng)最核心的軟件，操作系統(tǒng)存在的漏洞會使黑客有機可乘。 例如，64位Windows 7圖形顯示組件中的一個漏洞有可能導致系統(tǒng)崩潰，或者被黑客利用并執(zhí)行遠程代碼，用戶可以通過關閉Windows Aero的方式或打上安全補丁來防止這一漏洞被他人利用。 實際上，根據目前的軟件設計水平和開發(fā)工具，要想絕對避免軟件漏洞幾乎是不可能的。 操作系統(tǒng)作為一種系統(tǒng)軟件，在設計和開發(fā)過程中造成這樣或那樣的缺陷，埋

18、下一些安全隱患，使黑客有機可乘，也可以理解?？梢哉f，軟件質量決定了軟件的安全性。,2. 后門 后門又稱為Back Door，是繞過安全性控制而獲取對程序或系統(tǒng)訪問權的方法。 在軟件的開發(fā)階段，程序員常會在軟件內創(chuàng)建后門以便可以修改程序中的缺陷。如果后門被其他人知道，或是在發(fā)布軟件之前沒有刪除后門，那么它就成了安全風險。,后門產生的必要條件有： 必須以某種方式與其他終端節(jié)點相連。因為都是從其他節(jié)點訪問后門，因此必須使用雙絞線、光纖、串/并口、藍牙、紅外等設備與目標主機連接才可以對端口進行訪問。只有訪問成功，雙方才可以進行信息交流，攻擊方才有機會進行入侵。 目標主機默認開放的可供外界訪問的端口必須

19、在一個以上。因為一臺默認無任何端口開放的機器是無法進行通信的，而如果開放的端口無法被外界訪問，則目標主機同樣不可能遭到入侵。 目標機存在程序設計或人為疏忽，導致攻擊者能以權限較高的身份執(zhí)行程序。并不是任何一個權限的帳號都能夠被利用的，只有權限達到操作系統(tǒng)一定要求后，才允許執(zhí)行修改注冊表、修改日志記錄等操作。,后門的分類方式有多種，為了便于大家理解，下面從技術方面來考慮后門的分類方法。 網頁后門。這類后門一般都是利用服務器上正常的Web服務來構造自己的連接方式，比如現在非常流行的ASP、CGI腳本后門等。 線程插入后門。利用系統(tǒng)自身的某個服務或者線程，將后門程序插入到其中，這也是現在最流行的一個后門技術。 擴展后門。所謂的“擴展”，是指在功能上有大的提升，比普通的單一功能的后門有更強的使用性，這種后門本身就相當于一個小的安全工具包，能實現非常多的常見安全功能。, C/S后門。采用“客戶端/服務器”的控制方式，