第7章操作系统安全技术

网络安全技术本章作业思考题实验要求操作系统安全措施安全配置方案初级篇安全配置方案中、高级篇数据备份方案磁盘备份双机、网络备份数据备份与恢复策略数据备份策略灾难恢复策略操作系统安全技术操作系统安全技术概述各类操作系统安全技术数据备份概述产生数据失效的主要原因备份及其相关概念第7章操作系统安全与数据备份技术网络安全技术操作系统安全技术概述操作系统的安全需求操作系统安全防护的一般方法操作系统资源防护技术操作系统安全技术操作系统的安全需求操作系统安全技术概述安全策略标记鉴别责任保证连续保护操作系统的安全需求操作系统安全技术概述安全策略标记鉴别责任保证连续保护对于认证的主体和客体，系统必须有一个规则集用于决定一个特定的主体是否可以访问一个具体的客体操作系统的安全需求操作系统安全技术概述安全策略标记鉴别责任保证连续保护给客体一个能够有效反映它的安全级别的标记操作系统的安全需求操作系统安全技术概述安全策略标记鉴别责任保证连续保护存储信息的每一次访问都应受到控制，即只有授权的用户才能访问这些信息操作系统的安全需求操作系统安全技术概述安全策略标记鉴别责任保证连续保护系统要保护审计数据不受破坏，以确保违背安全的事件在发生后可被探测出来操作系统的安全需求操作系统安全技术概述安全策略标记鉴别责任保证连续保护一个计算机系统应该能够具有可以被评估的各种软硬件机制，应提供充分保证系统实现上述四种与安全有关的需求操作系统的安全需求操作系统安全技术概述安全策略标记鉴别责任保证连续保护实现这些基本需求的可信机制必须能不断地提供保护以防止入侵和未经授权的篡改操作系统安全防护的一般方法操作系统隔离控制安全措施：隔离、时间隔离、逻辑隔离和加密隔离操作系统访问控制安全措施：自主访问控制、强制访问控制、基于角色的访问控制、域和类型执行的访问控制操作系统安全技术概述操作系统资源防护技术系统登录和用户管理的安全：登录控制要严格、要加强系统的口令管理和良好的用户管理操作系统安全技术概述操作系统资源防护技术内存管理的安全：涉及单用户内存保护问题、多道程序的保护、标记保护法和分段与分页技术等文件系统的安全：涉及分组保护、许可权保护、指定保护等操作系统安全技术概述各类操作系统安全技术UNIX/Linux系统安全技术Windows系统安全技术操作系统安全技术概述UNIX/Linux系统安全技术UNIX/Linux安全基础UNIX/Linux安全机制UNIX/Linux安全措施各类操作系统安全技术Windows系统安全技术Windows2000/XP系统安全基础Windows2000/XP系统安全机制Windows2000/XP系统安全措施各类操作系统安全技术Windows系统安全技术Windows系统安全措施初级篇Windows系统安全措施中级篇Windows系统安全措施高级编Windows操作系统安全措施禁用Guest账户在计算机管理的用户中将Guest账户禁用,任何时候都不允许Guest账户登陆系统为保险起见，最好给Guest加一个复杂的密码，作为Guest帐号的密码。并且修改Guest帐号的属性，设置拒绝远程访问Windows系统安全措施初级篇禁用Guest账户Windows系统安全措施初级篇停止使用禁用Guest账户Windows系统安全措施初级篇限制用户数量帐户数量不要大于10个去掉所有的测试帐户、共享帐号用户组策略设置相应权限，且经常检查系统的帐户删除已经不使用的帐户Windows系统安全措施初级篇管理员帐号改名将Administrator帐号改名可以有效防止密码被盗用不要使用Admin之类的名字，这等于没有改。应尽量把它伪装成普通用户Windows系统安全措施初级篇陷阱帐号创建一个名为“Administrator”的帐户将它的权限设置成最低再加上一个超过10位的超级复杂密码Windows系统安全措施初级篇陷阱帐号创建一个名为“Administrator”的帐户将它的权限设置成最低再加上一个超过10位的超级复杂密码Windows系统安全措施初级篇陷阱帐号安全密码好密码：安全期内无法破解出来的密码安全密码：42天内无法破解出来的密码密码策略：设置为42天必须改密码Windows系统安全措施初级篇安全密码Windows系统安全措施初级篇更改默认权限共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改Windows系统安全措施初级篇屏幕保护密码屏幕保护密码是防止内部人员破坏服务器的一个屏障用户所使用的计算机最好加上屏幕保护密码Windows系统安全措施初级篇NTFS分区把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多确认分区进入DOS输入命令:chkntfs盘符Windows系统安全措施初级篇NTFS分区转换分区(将FNT分区转换为NTFS分区)进入DOS输入命令:convert盘符/fs:ntfsWindows系统安全措施初级篇操作系统安全策略利用Windows安全配置工具配置安全策略管理工具→本地安全策略Windows系统安全措施中级篇关闭不必要的端口Winnt\system32\drivers\etc\servicesWindows系统安全措施中级篇开启审核策略安全审核是Windows最基本的入侵检测方法。当有人尝试对系统进行某种方式入侵时，都会被安全审核记录下来表中所列审核是必须开启的，其他的可以根据需要增加Windows系统安全措施中级篇开启审核策略Windows系统安全措施中级篇开启审核策略Windows系统安全措施中级篇默认下未开启开启密码策略密码对系统安全非常重要。本地安全设置中密码策略在默认情况下均未开启Windows系统安全措施中级篇开启密码策略密码对系统安全非常重要。本地安全设置中密码策略在默认情况下均未开启Windows系统安全措施中级篇开启帐户密码开启帐户策略可有效的防止字典式攻击Windows系统安全措施中级篇开启帐户密码开启帐户策略可有效的防止字典式攻击Windows系统安全措施中级篇备份敏感文件将敏感文件存放在另一文件服务器中虽然服务器硬盘容量都很大，但还是应考虑将一些重要数据存放在另外一个安全的服务器中，并且经常备份它们Windows系统安全措施中级篇不显示上次登录默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆帐户名。本地登陆对话框也是一样设置方法：管理工具→本地安全策略→本地策略→安全选项→登录屏幕上不显示上次登录的用户名→已启用→确定Windows系统安全措施中级篇不显示上次登录默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆帐户名。本地登陆对话框也是一样设置方法：管理工具→本地安全策略→本地策略→安全选项→登录屏幕上不显示上次登录的用户名→已启用→确定Windows系统安全措施中级篇不显示上次登录修改注册表禁止显示上次登录名在HKEY_LOCAL_MACHINE主键下修改子键：Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，将数值数据改成1Windows系统安全措施中级篇不显示上次登录修改注册表禁止显示上次登录名Windows系统安全措施中级篇不显示上次登录修改注册表禁止显示上次登录名Windows系统安全措施中级篇不显示上次登录修改注册表禁止显示上次登录名Windows系统安全措施中级篇输入1不显示上次登录如果在HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\中无DontDisplayLastUserName，则创建一个,并将数值数据置为1方法Windows系统安全措施中级篇•右击鼠标→新建→字符串•在项中输入相应名•用前面方法修改数值数据为1不显示上次登录方法右击鼠标→新建→字符串在项中输入相应名用前面方法修改数值数据为1Windows系统安全措施中级篇禁止建立空连接默认情况下，任何用户通过空连接连上服务器，可以枚举出帐号，猜测密码可通过修改注册表来禁止建立空连接在HKEY_LOCAL_MACHINE主键下修改子键：System\CurrentControlSet\Control\LSA\RestrictAnonymous，将键值改成“1”Windows系统安全措施中级篇禁止建立空连接Windows系统安全措施中级篇下载最新的补丁很多网络管理员没有访问安全站点的习惯，不及时修被漏洞不能保证数百万行以上代码的Windows2000不出一点安全漏洞经常访问微软和一些安全站点，下载最新的ServicePack和漏洞补丁，是保障服务器长久安全的唯一方法可用一些常用漏洞扫描软件！先扫描出漏洞Windows系统安全措施中级篇关闭默认共享Windows安装后，系统会创建一些隐藏的共享，可以在DOS提示符下输入命令NetShare查看Windows系统安全措施高级篇知道某主机的用户名和密码使用IPC$例：已知IP为202.204.146.45计算机的管理员的密码为zxl，利用命令IPC$应用C:\netuse\\202.204.146.45\ipc$zxl/user:zxl密码用户名知道某主机的用户名和密码使用IPC$IPC$应用建立IPC$连接D:\netuse\\11.14.7.50/useradministratorliting使用COPY命令复制一个木马程序D:\copyd:\opentelnet.bat\\11.14.7.50\e$\winnt\system32查看远程时间D:\attime\\11.14.7.50\e$\winnt\system32如何利用IPC$入侵添加计划任务D:\at\\11.14.7.5020:05opentelnet.bat等待时间到后门程序自动启动进入对方主机如何利用IPC$入侵关闭共享关闭139、445端口安装防火墙，设置端口过滤给计算机的重要帐户设置复杂密码（15，大小写字母符号）如何防范IPC$入侵关闭默认共享停止默认共享方法：管理工具→计算机管理→共享文件夹→共享，在相应的共享文件夹上按右键，点停止共享Windows系统安全措施高级篇关闭默认共享关闭默认共享方法二：批处理自启动法打开记事本，输入以下内容netshareipc$/deletenetshareadmin$/deletenetsharec$/deletenetshared$/deletenetsharee$/delete关闭默认共享注意：有几个硬盘分区就写几行这样的命令方法二：批处理自启动法保存为NotShare.bat（注意后缀！）把批处理文件拖到“程序”→“启动”项中如果需要开启某个或某些共享，只要将该批处理文件中相应的那行命令行删掉即可关闭默认共享方法三：注册表改键值法保存为NotShare.bat（注意后缀！）把批处理文件拖到“程序”→“启动”项中如果需要开启某个或某些共享，将该批处理文件中相应的那行命令行删掉关闭默认共享注意：有几个硬盘分区就写几行这样的命令方法四：停止服务法(最简单的方式)找到