1、2019/1/7,計算機網絡安全,1,第二章 操作系統安全配置,操作系統的概念、安全評估 操作系統的用戶安全設置 操作系統的密碼安全設置 操作系統的系統安全設置 操作系統的服務安全設置 操作系統的注冊表安全設置,本章要點:,2019/1/7,計算機網絡安全,2,2.1 操作系統的安全問題,操作系統的安全是整個計算機系統安全的基礎。操作系統安全防護研究,通常包括:1)提供什么樣的安全功能和安全服務2)采取什么樣的配置措施 3)如何保證服務得到安全配置,2019/1/7,計算機網絡安全,3,2.1.1 操作系統安全概念,一般意義上,如果說一個計算機系統是安全的,那么是指該系統能夠控制外部對系統信息
2、的訪問。也就是說,只有經過授權的用戶或代表該用戶運行的進程才能讀、寫、創建或刪除信息。,2019/1/7,計算機網絡安全,4,操作系統的安全通常包含兩層意思:1)操作系統在設計時通過權限訪問控制、信息加密性保護、完整性鑒定等一些機制實現的安全;2)操作系統在使用中,通過一系列的配置,保證操作系統避免由于實現時的缺陷或是應用環境因素產生的不安全因素。,2019/1/7,計算機網絡安全,5,2.1.2 計算機操作系統安全評估,美國可信計算機安全評估標準(TCSEC),是計算機系統安全評估的第一個正式標準。TCSEC將計算機系統的安全劃分為4個等級、8個級別。,2019/1/7,計算機網絡安全,6,
3、2.1.3 國內的安全操作系統評估,計算機信息安全保護等級劃分準則將計算機信息系統安全保護等級劃分為五個級別: 1. 用戶自主保護級本級的安全保護機制使用戶具備自主安全保護能力,保護用戶和用戶組信息,避免其他用戶對數據的非法讀寫和破壞。,2019/1/7,計算機網絡安全,7,2. 系統審計保護級本級的安全保護機制具備第一級的所有安全保護功能,并創建、維護訪問審計跟蹤記錄,以記錄與系統安全相關事件發生的日期、時間、用戶和事件類型等信息,使所有用戶對自己行為的合法性負責。 3. 安全標記保護級本級的安全保護機制有系統審計保護級的所有功能,并為訪問者和訪問對象指定安全標記,以訪問對象標記的安全級別限
4、制訪問者的訪問權限,實現對訪問對象的強制保護。,2019/1/7,計算機網絡安全,8,4. 結構化保護級本級具備第3級的所有安全功能。并將安全保護機制劃分成關鍵部分和非關鍵部分相結合的結構,其中關鍵部分直接控制訪問者對訪問對象的存取。本級具有相當強的抗滲透能力。 5. 安全域級保護級本級的安全保護機制具備第4級的所有功能計算機安全技術 4 操作系統安全,并特別增設訪問驗證功能,負責仲裁訪問者對訪問對象的所有訪問活動。本級具有極強的抗滲透能力。,2019/1/7,計算機網絡安全,9,2.1.4 操作系統的安全配置,操作系統安全配置主要是指:1)操作系統訪問控制權限的恰當設置2)系統的及時更新3)對于攻擊的防范,2019/1/7
5、,計算機網絡安全,10,2.1.5 操作系統的安全漏洞,幾乎所有的操作系統都不是十全十美的,總存在安全漏洞。 NT: SAM、 XP:UPnP 、GDI拒絕服務 、終端服務IP地址欺騙 要想絕對避免軟件漏洞是不可能的 !,2019/1/7,計算機網絡安全,11,2.2 用戶安全配置,主要有10類,分別描述如下: 新建用戶 帳號便于記憶與使用,而密碼則要求有一定的長度與復雜度。,2019/1/7,計算機網絡安全,12,2帳戶授權 對不同的帳戶進行授權,使其擁有和身份相應的權限。,2019/1/7,計算機網絡安全,13,3停用Guest用戶 把Guest賬號禁
6、用,并且修改Guest帳號的屬性,設置拒絕遠程訪問 。,2019/1/7,計算機網絡安全,14,4系統賬號改名 防止管理員賬號密碼被窮舉,偽裝成普通用戶。,2019/1/7,計算機網絡安全,15,5創建一個陷阱用戶 將管理員賬號權限設置最低,延緩攻擊企圖。,2019/1/7,計算機網絡安全,16,6更改默認權限 將共享文件的權限從“”改成“授權用戶 。,2019/1/7,計算機網絡安全,17,7不顯示上次登錄用戶名 防止密碼猜測,打開注冊表編輯器并找到注冊表項“
7、-”,把的鍵值改成1。,2019/1/7,計算機網絡安全,18,8限制用戶數量 減少入侵突破口,賬戶數不大于10 。 9多個管理員帳號 減少管理員賬號使用時間,避免被破解 。創建一個一般用戶權限帳號用來處理電子郵件及處理一些日常事務計算機安全技術 4 操作系統安全,創建另一個有權限的帳戶在需要的時候使用。,2019/1/7,計算機網絡安全,19,10開啟用戶策略 可以有效的防止字典式攻擊 。 當某一用戶連續5次錄都失敗后將自動鎖定該帳戶,30分鐘后自動復位被鎖定的帳戶。,2019/1/7,計算機網絡安全,20,2
8、.3 密碼安全配置,主要有4類,分別描述如下: 安全密碼 創建帳號時不用公司名、計算機名、或者一些別的容易猜到的字符做用戶名,密碼設置要復雜。安全期內無法破解出來的密碼就是安全密碼(密碼策略是42天必須改密碼) 。,2019/1/7,計算機網絡安全,21,2開啟密碼策略 對不同的帳戶進行授權,使其擁有和身份相應的權限。,2019/1/7,計算機網絡安全,22,3設置屏幕保護密碼 防止內部人員破壞服務器的一個屏障。注意不要使用和一些復雜的屏幕保護程序浪費系統資源,黑屏就可以了 。,2019/1/7,計算機網絡安全,23,4加密文件或文件夾 用加密工具來保護文件和文件夾,以防別人偷看
9、。,2019/1/7,計算機網絡安全,24,2.4 系統安全配置,主要有11類,分別描述如下: 使用NTFS格式分區 所有分區都改成NTFS格式,NTFS文件系統要比FAT、FAT32的文件系統安全得多。,2019/1/7,計算機網絡安全,25,2運行防毒軟件 不僅可殺掉一些著名的病毒,還能查殺大量木馬和后門程序。要注意經常運行程序并升級病毒庫。,2019/1/7,計算機網絡安全,26,3下載最新的補丁 經常訪問微軟和一些安全站點,下載最新的 Pack和漏洞補丁。,2019/1/7,計算機網絡安全,27,4關閉默認共享 防止利用默認共享入侵。,2019/1/7,計算機網絡安全,2
10、8,5鎖定注冊表 防止黑客從遠程訪問注冊表。修改下的子鍵:,把值改為0,類型為DWORD。,2019/1/7,計算機網絡安全,29,6禁止從軟盤和光驅啟動系統 一些第三方的工具能通過引導系統來繞過原有的安全機制 。 利用安全配置工具來配置安全策略 利用基于MMC(管理控制臺)安全配置和分析工具配置服務器。http:/ 用安全審核來記錄入侵日志。,2019/1/7,計算機網絡安全,31,9加密Temp 文件夾 給Temp
11、文件夾加密可以給文件多一層保護。 10使用智能卡 用智能卡來代替復雜的密碼。 11使用IPSec 提供IP數據包的安全性。它提供身份驗證、完整性和可選擇的機密性。 利用IPSec可以使得系統的安全性能大大增強。,2019/1/7,計算機網絡安全,32,2.5 服務安全配置,主要有5類,分別描述如下: 關閉不必要的端口 減少被入侵的算途徑,系統目錄中的文件中有知名端口和服務的對照表可供參考。如何設置本機開放的端口和服務?,2019/1/7,計算機網絡安全,33,2019/1/7,計算機網絡安全,34,2設置好安全記錄的訪問權限 安全記錄在默認情
12、況下是沒有保護的,把它設置成只有和系統賬戶才有權訪問。,2019/1/7,計算機網絡安全,35,3備份敏感文件 有必要把一些重要的用戶數據(存放在另外一個安全的服務器中,并且經常備份它們。 4禁止建立空連接 默認情況下,任何用戶都可通過空連接連上服務器,進而枚舉出賬號,猜測密碼。我們可以通過修改注冊表來禁止建立空連接:即把-的值改成“1”即可。,2019/1/7,計算機網絡安全,36,5關閉不必要的服務 防止惡意程序以服務方式悄悄地運行服務器
13、上的終端服務,要確認已經正確配置了終端服務。 2000作為服務器可禁用的服務及其相關說明如表所示。,2019/1/7,計算機網絡安全,37,2.6 注冊表配置,涉及到5類注冊表配置,如下: 1關機時清除文件 頁面文件中可能含有另外一些敏感產資料,因此要在關機的時候清除頁面文件。 編輯注冊表修改主鍵下的子鍵 / 把own的值設置成1。,2019/1/7,計算機網絡安全,38,
14、2關閉 C2級安全標準對視頻和內存有一定要求。關閉可能對一些需要用到程序有影響(比如游戲),但是對于絕大多數的商業站點是沒有影響的。修改主鍵下的子鍵 將鍵值設置成0。,2019/1/7,計算機網絡安全,39,3禁止判斷主機類型 黑客可利用TTL(Time To Live,生存時間)值可以鑒別操作系統的類型,通過Ping指令能判斷目標主機類型。,2019/1/7,計算機網絡安全,40,修改主鍵HK
15、下的子鍵 ,新建一個雙字節項,在鍵的名稱中輸入“”,然后雙擊該鍵名,選擇“十進制”,在“數位數據”文本框中輸入100。設置完畢后需要重新啟動計算機。,2019/1/7,計算機網絡安全,41,4抵抗DDOS 添加注冊表的一些鍵值,可以有效的抵抗DDOS(分布式拒絕服務)的攻擊。在鍵值ters下增加響應的鍵及其說明。,2019/1/7,計
16、算機網絡安全,42,5禁止Guest訪問日志 Guest和匿名用戶可以查看系統的事件日志,這可能導致許多重要的信息的泄漏。1)禁止Guest訪問應用日志 在下添加鍵值名稱為“”,類型為“DWORD”,將值設置為1。,2019/1/7,計算機網絡安全,43,2)禁止Guest訪問系統日志 在tem下添加鍵值
17、名稱為“”,類型為“DWORD”,將值設置為1。 3)禁止Guest訪問安全日志 在urity下添加鍵值名稱為“”,類型為“DWORD”,將值設置為1。,2019/1/7,計算機網絡安全,44,2.7 數據恢復軟件,當數據被病毒或者入侵者破壞后,可以利用數據恢復軟件找回部分被刪除的數據 。比較著名的有,等。我們介紹一下。 注意:原來的磁盤扇區
18、被寫上了新的文件,這些數據就不能完全恢復!,2019/1/7,計算機網絡安全,45,原來D盤上有一些文件數據文件,現在被黑客刪除了,如何恢復?選擇“文件”菜單,單擊“打開”按鈕,出現當前系統的分區情況,可以選擇需要恢復數據的分區,在這里選擇D盤。,2019/1/7,計算機網絡安全,46,選擇分區后,軟件對指定的分區的數據和目錄進行掃描。掃描完成后,選擇查找的扇區范圍。,2019/1/7,計算機網絡安全,47,掃描完成后,選擇查找的扇區范圍。,2019/1/7,計算機網絡安全,48,掃描的結果,在軟件左側按目錄、文件等進行分類。單擊后內容出現在右側中,下圖所示是已經被刪除的目錄,曾經被刪除的文件
19、。,2019/1/7,計算機網絡安全,49,選中某個文件或者文件夾,單擊右鍵,出現一個恢復按鈕,然后單擊“恢復”按鈕,就可恢復被刪除的文件或文件夾了。,2019/1/7,計算機網絡安全,50,習 題,1 什么是操作系統的安全,主要研究什么內容? 2簡述操作系統帳號密碼的重要性,有幾種方法可能保護密碼不被破解或者盜取? 3簡述審核策略、密碼策略和帳戶策略的含義,以及這些策略如何保護操作系統不被入侵。 4如何關閉不需要的端口和服務? 5完成所有本章的配置操作。 以報告的形式編寫 2000配置方案。,2019/1/7,計算機網絡安全,51,小 結,第一部分首先介紹了網絡操作系統的有關知識,并分析了的國內和國外安全操作系統的評估標準。 第二部分主要介紹了 2000的安全配置,分為用戶安全設置、密碼安全設置、系統安全設置、服務安全設置、注冊表配置等五個方面共35項。,2019/1/7,計算機網絡安全,52,謝 謝!,