第7章 主机操作系统的安全

网络安全技术第七章主机操作系统的安全本章目标•了解Windows2000的基本安全配置•掌握Windows2000的系统管理•掌握Windows2000的用户管理•掌握Windows2000的网络管理•掌握Linux系统的安全问题•了解Linux系统中的安全工具7.1Windows2000的安全问题•Windows2000取代WindowsNT成为最流行的服务器系统•WindowsServer2003已推出7.1.1安装系统•Windows2000默认不安全•Windows2000配置–本地安全策略设置–系统配置设置7.1.1.1本地安全策略设置•本地策略编辑器GUI–设置帐户策略–设置本地安全策略7.1.1.1本地安全策略设置(续)——本地安全策略•作为修改注册表的前端7.1.1.1本地安全策略设置(续)——本地安全策略项目•登录消息•在关机时清理虚拟内存页面交换文件–启用“关机时清理虚拟内存页面交换文件”•允许在未登录前关闭系统–禁用“允许在未登录前关闭系统”•LANManager认证级别7.1.1.1本地安全策略设置(续)——本地安全策略项目(续)•对匿名连接的额外限制•Windows2003的附加当地安全策略设置–Windows2003含有软件限制策略–例外规定7.1.1.2系统配置•文件系统•网络设置•帐户设置•服务包和补丁程序7.1.1.2系统配置(续)——文件系统•文件系统应设为NTFS•新版本NTFS-5•加密文件系统EFS抵御NTFSDOS攻击•共享7.1.1.2系统配置(续)——文件系统(续)共享•Windows2000新增了端口•域控制器（DCS）•ActiveDirectory结构分层7.1.1.2系统配置(续)——网络设置删除NetBIOS•Windows2000默认账户–管理员–来宾•重命名默认账户•禁用来宾账户•密码策略•帐户锁定策略7.1.1.2系统配置(续)——帐户设置7.1.1.2系统配置(续)——帐户设置(续)密码策略7.1.1.2系统配置(续)——帐户设置(续)账户锁定策略•Windows2000保护四个服务包（SP4）•Windows2000补丁程序不断推出•及时安装服务包和补丁7.1.1.2系统配置(续)——服务包和补丁程序7.1.2用户管理•添加用户•设置文件权限•删除用户7.1.2.1向系统中添加用户•按照“用户管理”的过程添加用户•不同用户使用不同的用户ID7.1.2.1向系统中添加用户(续)——添加用户到组中使用“组”的列表向组中添加用户使用“用户属性”向组中增加用户7.1.2.2设置文件权限•使用组来设置文件和共享资源的权限•只有“来宾”帐户才是“来宾”组的成员•其他任何组中都不包括“来宾”帐户7.1.2.3从系统中删除用户•按照“用户管理”的过程删除用户•员工离开后立即禁用用户•在删除用户前禁用用户一段时间7.1.3系统管理•系统管理对安全十分重要–secedit命令–审核系统–日志文件–查找可疑迹象7.1.3.1secedit命令•Secedit的功能–分析–配置–验证–刷新–导出7.1.3.2审核系统•Windows2000系统应启用系统审核•审核的事件7.1.3.3日志文件•定期查看日志文件•定期备份日志文件7.1.3.4查找可疑迹象•穷攻击企图•访问失败•丢失日志文件或日志文件中的空缺•未知进程7.1.3.4查找可疑迹象(续)——任务管理器7.1.4使用活动目录•AD是安全中心•AD关键组件–全局目录（GlobalCatalog，GC）–模式–域–机构单位（OU）–组策略–信任关系7.1.4.1安全设置和安装•支持Windows2000之前的系统–选择“PermissionsCompatiblewithPre-Windows2000Server”–允许匿名连接到AD–不安全•用户使用强大的密码7.1.4.2管理•管理AD的工具–活动目录域和信任–活动目录站点和服务–活动目录用户和计算机–ADSIEdit7.1.4.3组策略和安全•组策略提供集中安全配置管理•GP应用于–锁定用户桌面–应用安全设置–限制对应用程序的访问–设置注册表和文件系统权限–管制无线网络配置强烈推荐7.1.4.3组策略和安全(续)•配置选项•默认的GPOS•GP中的配置设置•Windows2003组策略中的新增内容•先后顺序•回环•继承•组策略管理工具7.2Linux的安全问题•Linux在服务器领域使用范围广•使用不当，Linux也会不安全7.2.1概述•Internet越来越不安全•Linux配置不当会产生安全隐患•Linux补丁发布速度快•最大限度降低损失7.2.2网络服务•Linux网络服务–FTP––Email•通过端口提供服务FTP217.2.2.1检查系统中运行的服务•检查Linux中允许的服务–netstat–vat•大多数服务由/etc/inetd.conf控制•关闭不需要的服务7.2.2.2允许/拒绝服务器•设置服务的允许机制•服务器和服务的信任关系–/etc/hosts.allow文件–/ect/hosts.deny文件7.2.2.3SSH（安全Shell）•“IP欺骗”技术•采用SSH–连接加密和验证系统–为网络应用提供SSL级的安全7.2.2.4监视程序和运行日志•Linux提供工具来了解系统中所发生的事情–Jail：JustAnotherIPLogger–Ftpd、rlogind以及其他用户交互–/var/log/syslog和/var/log/messages记录连接信息–swatch自动监视syslog文件7.2.2.5其他安全措施：防火墙•防火墙保护私有网络不受外界攻击•正确配置Linux防火墙–Iptables•在可访问性和安全之间取得最佳平衡Internet内部网络LINUX7.2.2.6Linux安全设置•BIOSSecurity•GrubSecurity•删除所有的特殊账户•选择正确的密码•打开密码的shadow支持功能•root账户设置自动注销•取消普通用户的控制台访问权限7.2.2.6Linux安全设置(续)•TCP_WRAPPERS–编辑hosts.deny文件–编辑hosts.allow文件–运行tcpdchk程序•禁止系统信息暴露•修改“/etc/host.conf”文件•使“/etc/services”文件免疫•不允许从不同的控制台进行root登陆7.2.2.6Linux安全设置(续)•禁止任何人通过su命令改变为root用户•Shelllogging•禁止Control-Alt-Delete键盘关闭命令•给“/etc/rc.d/init.d”下script文件设置权限•隐藏系统信息•禁止不使用的SUID/SGID程序本章总结•Windows2000是现在用户常用的桌面操作系统。操作系统的安全是系统安全的重要部分，系统的不安全设置会造成安全漏洞，给攻击者以可乘之机。因此，用户在安装Windows2000时，应该从系统、用户和网络等各个方面进行一定的安全管理和配置。•Linux系统是继Unix系统的又一个安全性较高的操作系统。Linux提供了很多的安全工具，如果没有很好的操作，也会有安全问题。因此，学员应该掌握一些基本的工具，是自己的系统更强壮。