操作系統(tǒng)管理與網(wǎng)絡(luò)安全

1、 操作系統(tǒng)管理與網(wǎng)絡(luò)安全一、 SCO OPEN SERVER 5.0（UNIX5.0） （一）安全管理 1. Unix系統(tǒng)的安全等級(jí)標(biāo)準(zhǔn)達(dá)到C2級(jí)，它的基本安全機(jī)制（1） 用戶帳號(hào)    用戶帳號(hào)就是用戶在UNIX系統(tǒng)上的合法身份標(biāo)志，其最簡單的形式是用戶名/口令。在UNIX系統(tǒng)內(nèi)部，與用戶名/口令有關(guān)的信息存儲(chǔ)在/etc/passwd文件中，一旦當(dāng)非法用戶獲得passwd文件時(shí)，雖然口令是被加密的密文，但如果口令的安全強(qiáng)度不高，非法用戶即可采用“字典攻擊”的方法枚舉到用戶口令，特別是當(dāng)網(wǎng)絡(luò)系統(tǒng)有某一入口時(shí)，獲取passwd文件就非常容易。  

2、(2)文件系統(tǒng)權(quán)限     UNIX文件系統(tǒng)的安全主要是通過設(shè)置文件的權(quán)限來實(shí)現(xiàn)的。每一個(gè)UNIX文件和目錄都有18種不同的權(quán)限，這些權(quán)限大體可分為 3類，即此文件的所有者、組和其他人的使用權(quán)限如只讀、可寫、可執(zhí)行、允許SUID和SGID等。需注意的是權(quán)限為允許SUID、SGID和可執(zhí)行文件在程序運(yùn)行中，會(huì)給進(jìn)程賦予所有者的權(quán)限，若被入侵者利用，就會(huì)留下隱患，給入侵者的成功入侵提供了方便。  (3)日志文件     日志文件是用來記錄系統(tǒng)使用狀況的。UNIX中比較重要的日志文件有3種：1/usr/adm/

3、lastlog文件。此文件用于記錄每個(gè)用戶最后登錄的時(shí)間（包括成功和未成功的），這樣用戶每次登錄后，只要查看一下所有帳號(hào)的最后登錄時(shí)間就可以確定本用戶是否曾經(jīng)被盜用。                                     

4、   2/etc/utmp和/etc/wtmp文件。utmp文件用來記錄當(dāng)前登錄到系統(tǒng)的用戶，Wtmp文件則同時(shí)記錄用戶的登錄和注銷。           3/usr/adm/acct文件。此文件用于記錄每個(gè)用戶運(yùn)行的每條命令，通常我們稱之為系統(tǒng)記帳。2、風(fēng)險(xiǎn)防范：由于UNIX系統(tǒng)設(shè)計(jì)基于一種開放式體系結(jié)構(gòu)，系統(tǒng)中緊密集成了通信服務(wù)，但存在一定程度的安全漏洞，容易受到非法攻擊，通過多年的實(shí)踐證明，加強(qiáng)安全防范，特別是針對(duì)一些可能的網(wǎng)絡(luò)攻擊采取一定的安全防范措施，UN

5、IX網(wǎng)絡(luò)系統(tǒng)的安全性就可以大大提高。 網(wǎng)絡(luò)系統(tǒng)的攻擊者可能是非法用戶，也可能是合法用戶，因此，加強(qiáng)內(nèi)部管理、防范與外部同樣重要。可實(shí)施以下策略進(jìn)行防范。 （1）加強(qiáng)用戶權(quán)限管理。為了保護(hù)UNIX系統(tǒng)資源安全，即使是對(duì)合法用戶也必須采用最小權(quán)限法，即給每個(gè)用戶只授予完成特定任務(wù)所必需的系統(tǒng)訪問權(quán)限。通?？梢圆捎媒o每一個(gè)用戶建立請(qǐng)求文件和資源訪問許可權(quán)的程序，給定每個(gè)用戶要處理的任務(wù)權(quán)限及任務(wù)的持續(xù)時(shí)間等。        （2）加強(qiáng)用戶口令管理和更新?？诹钔ǔＪ禽^容易出現(xiàn)問題的地方，即使口令被加密，也容易在非

6、法入侵者的“猛烈攻擊”下被攻破。金融系統(tǒng)通常是一個(gè)群體工作環(huán)境，工作中經(jīng)常存在各種授權(quán)，銀行的柜臺(tái)活動(dòng)也處在電視監(jiān)控之下，口令泄露機(jī)會(huì)較多。因此，一方面要強(qiáng)制使用安全口令（使用非字母字符、大小寫字母混用、規(guī)定口令最小長度不得少于6位數(shù)，最好8位數(shù)、使用強(qiáng)加密算法等);另一方面系統(tǒng)管理員要主動(dòng)定期使用口令檢查程序(如:Crack)對(duì)口令文件進(jìn)行檢查，若口令不合乎安全規(guī)范，則需及時(shí)更換口令。還可以采用一定的技術(shù)手段，增加“字典攻擊”的難度，如改變口令加密算法中的加密參數(shù)，然后加密口令，這樣除非攻擊者同樣改變了此參數(shù)，否則就得不到正確的口令。Crack下載地址為/p

7、ub/tools/crack。        （3）設(shè)置防火墻。將網(wǎng)絡(luò)系統(tǒng)內(nèi)部分為多個(gè)子網(wǎng)，分級(jí)進(jìn)行管理，這樣可以有效地阻止或延緩入侵者的侵入。通常防火墻設(shè)置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的接口處，防火墻從功能和實(shí)現(xiàn)機(jī)制上分為數(shù)據(jù)包過濾、代理服務(wù)器兩大類，兩者在安全防護(hù)上各有特點(diǎn)，因此，一個(gè)比較完善的防護(hù)隔離體系就是將兩種防火墻結(jié)合起來，形成屏蔽子網(wǎng)體系結(jié)構(gòu)，此舉可大大提高內(nèi)部網(wǎng)絡(luò)的安全系數(shù)。但是，防火墻只能防護(hù)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，無法防護(hù)由內(nèi)部網(wǎng)絡(luò)發(fā)起的攻擊或者擁有合法訪問權(quán)限的內(nèi)部人員從外部發(fā)起的攻擊，并且防火墻無法防護(hù)內(nèi)外

8、網(wǎng)絡(luò)之間有其它不通過防火墻的通路。總之，防火墻需要與其它機(jī)制配合才能適應(yīng)新的威協(xié)。        （4）定期對(duì)網(wǎng)絡(luò)進(jìn)行安全漏洞檢測(cè)。網(wǎng)絡(luò)安全是千變?nèi)f化的，所以保護(hù)措施也應(yīng)該是動(dòng)態(tài)的，沒有固定的模式可循，作為UNIX系統(tǒng)的管理人員,也要嘗試定期對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊測(cè)試，這樣既可以分析和探索試圖入侵者的攻擊思路，同時(shí)又可以及時(shí)發(fā)現(xiàn)系統(tǒng)安全保護(hù)機(jī)制中的潛在問題，及時(shí)進(jìn)行有效防范。        （5）制定相應(yīng)的災(zāi)難恢復(fù)計(jì)劃。沒有一種安全策略是十全十美的，因此根據(jù)

9、可能發(fā)生的情況制定相應(yīng)的災(zāi)難恢復(fù)計(jì)劃是非常有必要的。一是定時(shí)對(duì)網(wǎng)絡(luò)系統(tǒng)上各個(gè)計(jì)算機(jī)的系統(tǒng)文件、數(shù)據(jù)庫文件進(jìn)行備份。二是對(duì)網(wǎng)絡(luò)系統(tǒng)和通訊系統(tǒng)備份，在系統(tǒng)萬一遇到惡意攻擊、軟件故障、硬件故障、用戶錯(cuò)誤、系統(tǒng)管理員錯(cuò)誤等災(zāi)難后，可以及時(shí)采取相應(yīng)的對(duì)策，恢復(fù)系統(tǒng)的正常運(yùn)行，盡可能將損失減少到最小程度。 3、加強(qiáng)網(wǎng)絡(luò)系統(tǒng)服務(wù)的安全手段和工具（1）直接配置檢查。使用COPS(Computer Oracle Password and Seurity system)從系統(tǒng)內(nèi)部檢查常見的UNIX安全配置錯(cuò)誤與漏洞，如關(guān)鍵文件權(quán)限設(shè)置、ftp權(quán)限與路徑設(shè)置、roo

10、t路徑設(shè)置、口令等等，指出存在的失誤，減少系統(tǒng)可能被本地和遠(yuǎn)程入侵者利用的漏洞。COPS軟件信息可訪問http:/www.jordanpan。       （2）使用記錄工具記錄所有對(duì)UNIX系統(tǒng)的訪問。大多數(shù)現(xiàn)成的UNIX應(yīng)用系統(tǒng)可以通過Syslog來記錄事件，這是UNIX系統(tǒng)提供的集中記錄工具。通過每天掃描記錄文件/var/adm/messaged，并可通過配置Syslog，把高優(yōu)先級(jí)的事件及時(shí)傳送給系統(tǒng)安全員處理。另一個(gè)有用工具是TCP  Wrappers，應(yīng)用此軟件可以解決UNIX網(wǎng)絡(luò)系統(tǒng)安全監(jiān)視和過濾問題，本軟件將

11、所有TCP連接試圖(無論成功與否)，都記錄到一個(gè)文本文件里，文本文件具體內(nèi)容包括請(qǐng)求的源地址、目的地址、TCP端口和請(qǐng)求時(shí)間等。通過監(jiān)視TCP  Wrappers記錄，查看所有未遂連接試圖，并可以通過配置，由TCP  Wrappers來根據(jù)某些因素，如源或目的TCP端口、IP地址等接受或者拒絕TCP連接。TCP  Wrappers軟件下載地址為ftp:/ftp.win.tue.nl/pub/security。       （3）遠(yuǎn)程網(wǎng)絡(luò)登錄服務(wù)。此服務(wù)是我們使用最頻繁的，UN

12、IX系統(tǒng)提供了telnet和ftp遠(yuǎn)程登錄，當(dāng)使用telnet或ftp登錄時(shí)，用戶名和口令是明文傳輸?shù)?，這就可能被網(wǎng)上其他用戶截獲。入侵者也經(jīng)常使用telnet或 ftp對(duì)網(wǎng)絡(luò)系統(tǒng)發(fā)動(dòng)“猛烈攻擊”。我們知道，無論是Windows還是Unix操作系統(tǒng)，都有端口號(hào)這個(gè)概念，計(jì)算機(jī)之間的通訊，是通過對(duì)應(yīng)的端口號(hào)實(shí)現(xiàn)的。一般系統(tǒng)都用缺省的端口號(hào)，比如Ftp的端口號(hào)為21，Telnet的端口號(hào)為23，Http的端口號(hào)為80 等，當(dāng)我們使用Telnet登錄到其它計(jì)算機(jī)上時(shí)，系統(tǒng)就使用默認(rèn)端口號(hào)23，這是很不安全的?？梢愿腡elnet和Ftp端口號(hào)，具體為編輯/etc/services

13、文件，找到想要修改的Telnet和Ftp行，修改端口號(hào)，比如把Telnet的23/tcp改成6364/tcp，但不要用/etc/services文件中已存在的端口號(hào)。這樣使用Telnet命令登錄到該主機(jī)時(shí)，必須給出端口號(hào)，即用Telnet xxx.xxx.xxx.xxx 6364 才能進(jìn)行登錄，否則會(huì)被系統(tǒng)拒絕。通過修改端口號(hào)可以使不知道相應(yīng)端口號(hào)的遠(yuǎn)程用戶不能登錄，進(jìn)一步提高了系統(tǒng)的安全性。只有針對(duì)UNIX網(wǎng)絡(luò)系統(tǒng)存在的漏洞采取相應(yīng)的安全保護(hù)措施，才能遏制金融計(jì)算機(jī)犯罪率。但在客觀上要完全消除UNIX網(wǎng)絡(luò)系統(tǒng)的安全隱患非常困難，一是因?yàn)閁NIX系統(tǒng)本身是一種非常

14、復(fù)雜的系統(tǒng)，二是因?yàn)閁NIX系統(tǒng)數(shù)年來在各領(lǐng)域的廣泛使用，使得它成為被研究得最透徹的系統(tǒng)之一。通常入侵者發(fā)動(dòng)的攻擊形式是極其復(fù)雜的，保護(hù)UNIX系統(tǒng)安全的關(guān)鍵是針對(duì)入侵者可能發(fā)動(dòng)的攻擊制定出一系列切實(shí)可行的安全防范策略，使各種攻擊在多樣化的安全防范措施面前不能輕易得逞。在對(duì)IP級(jí)安全實(shí)施加固之后(如設(shè)立安全I(xiàn)P包、過濾防火墻等)，還必須對(duì)傳輸層和應(yīng)用層的安全進(jìn)行加固，同時(shí)要在金融系統(tǒng)內(nèi)部建立一整套網(wǎng)絡(luò)系統(tǒng)安全管理規(guī)章和防范措施，經(jīng)常進(jìn)行監(jiān)督檢查，使安全管理規(guī)章和防范措施落到實(shí)處。要使每一位員工都有防范金融計(jì)算機(jī)犯罪的概念，了解其作案的手法及產(chǎn)生的危害，提高全員主動(dòng)防范意識(shí)，這樣才能真正有效地預(yù)

15、防金融計(jì)算機(jī)案件的發(fā)生。 （二）配置網(wǎng)絡(luò)1 、 增加網(wǎng)卡并配置tcp/ip:以root用戶登錄系統(tǒng)#netconfighardwareadd new lan adapter找到網(wǎng)卡，安裝相應(yīng)的驅(qū)動(dòng)程序，選中TCP/IP協(xié)議，再選擇ADD，輸入機(jī)器名、ip地址、子網(wǎng)掩碼，然后重新鏈核心，重啟機(jī)器。2、增加網(wǎng)關(guān)：以root用戶登錄系統(tǒng)#cd /etc#vi gateway編輯一個(gè)geteway文件，內(nèi)容為：root add *.*.*.*(本地網(wǎng)關(guān)ip地址) 1#chmod 666 gateway給這個(gè)gateway文件賦予可執(zhí)行權(quán)限#cd /etc#vi tcp編輯tc

16、p文件，在這個(gè)文件中第3個(gè)stop前增加一行g(shù)ateway（二）監(jiān)測(cè)網(wǎng)絡(luò)狀態(tài)#ping *.*.*.*（同網(wǎng)段內(nèi)的地址）#ping *.*.*.* （不同網(wǎng)段的地址）#ping -c 10 *.*.*.*可以通過下面的系統(tǒng)命令和配置文件來跟蹤入侵者的來源路徑：  1.who-(查看誰登陸到系統(tǒng)中)  2.w-(查看誰登陸到系統(tǒng)中，且在做什么)  3.last-(顯示系統(tǒng)曾經(jīng)被登陸的用戶和TTYS）  4.lastcomm-(顯示系統(tǒng)過去被運(yùn)行的命令)  stat-(可以查看現(xiàn)在的網(wǎng)絡(luò)狀態(tài)，如telnet到你機(jī)器上來的用戶的IP地址,還有一些其它

17、的網(wǎng)絡(luò)狀態(tài)。)  6.查看router的信息。  7./var/log/messages查看外部用戶的登陸狀況  8.用finger 查看所有的登陸用戶。  9.查看用戶目錄下/home/username下的登陸歷史文件(.history.rchist,etc).（三）故障診斷及排除1、檢查網(wǎng)卡后面的指示燈狀態(tài)，判斷是否網(wǎng)線不通或網(wǎng)絡(luò)有問題。2、重啟系統(tǒng)，察看設(shè)備列表中網(wǎng)絡(luò)適配器狀態(tài)是否正常，或者直接查看/usr/adm/whconfig文件。3、用netconfig命令查看網(wǎng)絡(luò)配置是否正確。4、檢查gateway文件內(nèi)容、權(quán)限、位置是否正確。

18、Ping任何地址都不通（timeout）的情況，用1、檢測(cè)，ping任何地址都有錯(cuò)誤提示（no route）一閃而過時(shí)用2、3檢測(cè)，ping同網(wǎng)段地址通，不同網(wǎng)段地址不通的用4、檢測(cè)。二、 windows2000 （一） 安全管理1、 安全模式： Windows 2000 安全模型的主要功能是用戶身份驗(yàn)證和訪問控制。用戶身份驗(yàn)證: Windows 2000 安全模型包括用戶身份驗(yàn)證的概念，這種身份驗(yàn)證賦予用戶登錄系統(tǒng)訪問網(wǎng)絡(luò)資源的能力。在這種身份驗(yàn)證模型中，安全性系統(tǒng)提供了兩種類型的身份驗(yàn)證：交互式登錄(根據(jù)用戶的本地計(jì)算機(jī)或 Active Directory 帳戶確認(rèn)用戶的身份)和網(wǎng)絡(luò)身份驗(yàn)

19、證（根據(jù)此用戶試圖訪問的任何網(wǎng)絡(luò)服務(wù)確認(rèn)用戶的身份）。為提供這種類型的身份驗(yàn)證，Windows 2000 安全系統(tǒng)包括了三種不同的身份驗(yàn)證機(jī)制：Kerberos V5、公鑰證書和 NTLM（與 Windows NT 4.0 系統(tǒng)兼容）?；趯?duì)象的訪問控制：通過用戶身份驗(yàn)證，Windows 2000 允許管理員控制對(duì)網(wǎng)上資源或?qū)ο蟮脑L問。Windows 2000 通過允許管理員為存儲(chǔ)在 Active Directory 中的對(duì)象分配安全描述符實(shí)現(xiàn)訪問控制。安全描述符列出了允許訪問對(duì)象的用戶和組，以及分配給這些用戶和組的特殊權(quán)限。安全描述符還指定了需要為對(duì)象審核的不同訪問事件。文件、打印機(jī)和服務(wù)都

20、是對(duì)象的實(shí)例。通過管理對(duì)象的屬性，管理員可以設(shè)置權(quán)限，分配所有權(quán)以及監(jiān)視用戶訪問。管理員不僅可以控制對(duì)特殊對(duì)象的訪問，也可以控制對(duì)該對(duì)象特定屬性的訪問。例如，通過適當(dāng)配置對(duì)象的安全描述符，用戶可以被允許訪問一部分信息，如只訪問員工姓名和電話號(hào)碼而不能訪問他們的家庭住址。Active Directory 和安全性：Active Directory 通過使用對(duì)象和用戶憑據(jù)的訪問控制提供了對(duì)用戶帳戶和組信息的保護(hù)存儲(chǔ)。由于 Active Directory 不僅存儲(chǔ)用戶憑據(jù)還存儲(chǔ)訪問控制信息，因此登錄到網(wǎng)絡(luò)的用戶將同時(shí)獲得訪問系統(tǒng)資源的身份驗(yàn)證和授權(quán)。例如，用戶登錄到網(wǎng)絡(luò)時(shí)，Windows 2000

21、 安全系統(tǒng)通過存儲(chǔ)在 Active Directory 上的信息來驗(yàn)證用戶。然后，當(dāng)用戶試圖訪問網(wǎng)絡(luò)上的服務(wù)時(shí)，系統(tǒng)檢查由任意訪問控制列表為這一服務(wù)定義的屬性。由于 Active Directory 允許管理員創(chuàng)建組帳戶，因此管理員可以更有效地管理系統(tǒng)的安全性。例如，通過調(diào)節(jié)文件屬性，管理員可以允許組中的所有用戶讀取文件。這樣，訪問 Active Directory 中的對(duì)象以組成員為基礎(chǔ)。2、 控制對(duì)象的訪問（1）.設(shè)置、查看、更改或刪除文件和文件夾權(quán)限步驟1 打開 "Windows 資源管理器"，然后定位到用戶要設(shè)置權(quán)限的文件和文件夾。步驟2 右鍵單擊該文件或文件夾，單

22、擊"屬性"，然后單擊"安全"選項(xiàng)卡，步驟3 執(zhí)行以下任一項(xiàng)操作： 要設(shè)置新組或用戶的權(quán)限，請(qǐng)單擊"添加"。按照域名名稱的格式鍵入要設(shè)置權(quán)限的組或用戶的名稱，然后單擊"確定"關(guān)閉對(duì)話框。 要更改或刪除現(xiàn)有的組或用戶的權(quán)限，請(qǐng)單擊該組或用戶的名稱。 步驟4 如果必要，請(qǐng)?jiān)?quot;權(quán)限"中單擊每個(gè)要允許或拒絕的權(quán)限的"允許"或"拒絕"。 或者，若要從權(quán)限列表中刪除組或用戶，請(qǐng)單擊"刪除"。 注意：只能在格式化為使用 N

23、TFS 的驅(qū)動(dòng)器上設(shè)置文件和文件夾權(quán)限。 要更改訪問權(quán)限，用戶必須是所有者或已經(jīng)由所有者授權(quán)執(zhí)行該操作。 無論保護(hù)文件和子文件夾的權(quán)限如何，被準(zhǔn)許對(duì)文件夾進(jìn)行完全控制的組或用戶都可以刪除該文件夾內(nèi)的任何文件和子文件夾。 如果"權(quán)限"下的復(fù)選框?yàn)榛疑?，或者沒有"刪除"按鈕，則文件或文件夾已經(jīng)繼承了父文件夾的權(quán)限。（2）.設(shè)置、查看或刪除共享文件夾或驅(qū)動(dòng)器的權(quán)限步驟1 打開 "Windows 資源管理器"，然后定位到要設(shè)置權(quán)限的共享文件夾或驅(qū)動(dòng)器。步驟2 右鍵單擊共享文件夾或驅(qū)動(dòng)器，然后單擊"共享&

24、quot;。步驟3 在"共享"選項(xiàng)卡上，單擊"權(quán)限"。步驟4 要設(shè)置共享文件夾權(quán)限，請(qǐng)單擊"添加"。鍵入要設(shè)置權(quán)限的組或用戶的名稱，然后單擊"確定"關(guān)閉對(duì)話框。要?jiǎng)h除權(quán)限，請(qǐng)?jiān)?quot;名稱"中選擇組或用戶，然后單擊"刪除"。步驟5 在"權(quán)限"中，如果需要，請(qǐng)對(duì)每個(gè)權(quán)限單擊"允許"或"拒絕"。3、事件的審核：（1）設(shè)置、查看、更改或刪除文件或文件夾的審核步驟1 打開 "Windows 資源管理器"，然后定

25、位到想要審核的文件和文件夾步驟2 右鍵單擊該文件或文件夾，單擊"屬性"，然后單擊"安全"選項(xiàng)卡步驟3 單擊"高級(jí)"，然后單擊"審核"選項(xiàng)卡 ， 步驟4 執(zhí)行以下任一項(xiàng)操作：要設(shè)置新組或用戶的審核，請(qǐng)單擊"添加"。在"名稱"中，鍵入新的用戶名，然后單擊"確定"，自動(dòng)打開"審核項(xiàng)"對(duì)話框。要查看或更改現(xiàn)有組或用戶的審核，請(qǐng)單擊相應(yīng)的名稱，然后單擊"查看/編輯"。要?jiǎng)h除現(xiàn)有組或用戶的審核，請(qǐng)單擊相應(yīng)的名稱，然后單擊&quo

26、t;刪除"。跳過步驟 5、6、7。步驟5 如果有必要，請(qǐng)?jiān)?quot;審核項(xiàng)"對(duì)話框中的"應(yīng)用到"列表中選擇要進(jìn)行審核的位置"應(yīng)用到"列表只能用于文件夾步驟6 在"訪問"下，單擊要審核的訪問的"成功"或"失敗"，或這兩項(xiàng)步驟7 如果要阻止目錄樹中的文件和子文件夾繼承這些審核項(xiàng)，請(qǐng)選中"僅對(duì)此容器內(nèi)的對(duì)象和/或容器應(yīng)用這些審核項(xiàng)"復(fù)選框注意：在 Windows 2000 審核對(duì)文件和文件夾的訪問之前，用戶必須使用"組策略"管理單元來啟用&

27、quot;審核策略"中的"審核對(duì)象訪問"設(shè)置。否則，在設(shè)置文件和文件夾的審核時(shí)，將收到錯(cuò)誤信息且不會(huì)審核任何文件或文件夾。啟用了"組策略"中的審核之后，請(qǐng)查看"事件查看器"中的安全日志，以檢查試圖訪問審核的文件和文件夾是成功還是失敗。只能在格式化為使用 NTFS 的驅(qū)動(dòng)器上設(shè)置文件和文件夾審核。因?yàn)榘踩罩居写笮∠拗?，用戶?yīng)當(dāng)仔細(xì)選擇要審核的文件和文件夾。還應(yīng)該考慮到用于安全日志的磁盤空間的大小。其最大空間是在"事件查看器"中定義的。（2）.查看安全日志步驟1 打開"事件查看器"步驟2

28、 雙擊"安全日志"， 步驟3 在詳細(xì)信息窗格中，檢查審核事件列表。4、安全配置：（1） 及時(shí)安裝補(bǔ)丁：微軟的產(chǎn)品是以Bug & Patch而著稱的，要及時(shí)安裝微軟發(fā)布的每一個(gè)補(bǔ)丁，其次補(bǔ)丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后，因?yàn)檠a(bǔ)丁程序往往要替換/修改某些系統(tǒng)文件，如果先安裝補(bǔ)丁再安裝應(yīng)用程序有可能導(dǎo)致補(bǔ)丁不能起到應(yīng)有的作用。（2） 組件的定制：WIN2000在默認(rèn)情況下會(huì)安裝一些常用的組件，但正是這個(gè)默認(rèn)安裝是極度危險(xiǎn)的。你應(yīng)該確切知道你需要哪些服務(wù)，而且僅僅安裝你確實(shí)需要的服務(wù)。根據(jù)安全原則，最少的服務(wù)+最小的權(quán)限=最大的安全。如果你確實(shí)需要安裝其他組件，請(qǐng)慎重

29、，特別是：Indexing Service，F(xiàn)rontPage 2000 Server Extensions，Internet Service Manager(HTML)這幾個(gè)危險(xiǎn)服務(wù)。（3）IIS：IIS是微軟的組件中漏洞最多的一個(gè)，平均兩三個(gè)月就要出一個(gè)漏洞，而微軟的IIS默認(rèn)安裝又很不安全，在不用這個(gè)服務(wù)時(shí)，一般可以把IIS服務(wù)禁用，如果確實(shí)需要，對(duì)IIS的配置有以下建議：首先，把C盤Inetpub目錄徹底刪掉，在D盤建一個(gè)Inetpub在IIS管理器中將主目錄指向D:/Inetpub；其次，那個(gè)IIS安裝時(shí)默認(rèn)的scripts等虛擬目錄一概刪除，如果你需要什么權(quán)限的目錄可以自己慢慢建，

30、需要什么權(quán)限開什么。應(yīng)用程序配置：在IIS管理器中刪除必須之外的任何無用映射，必須指出的是ASP ASA和其他你確實(shí)需要用到的文件類型，實(shí)際上90%的主機(jī)有了上面兩個(gè)映射就夠了。接著在應(yīng)用程序調(diào)試書簽內(nèi)將腳本錯(cuò)誤消息改為發(fā)送文本，錯(cuò)誤文本寫什么？隨便你喜歡，自己看著辦。點(diǎn)擊確定退出時(shí)別忘了讓虛擬站點(diǎn)繼承你設(shè)定的屬性。為了對(duì)付日益增多的cgi漏洞掃描器，還有一個(gè)小技巧可以參考，在IIS中將HTTP404 Object Not Found出錯(cuò)頁面通過URL重定向到一個(gè)定制HTM文件。大多數(shù)CGI掃描器在編寫時(shí)為了方便，都是通過查看返回頁面的HTTP代碼來判斷漏洞是否存在的，例如，著名的IDQ漏洞一

31、般都是通過取1.idq來檢驗(yàn)，如果返回HTTP200，就認(rèn)為是有這個(gè)漏洞，反之如果返回HTTP404就認(rèn)為沒有，如果你通過URL將HTTP404出錯(cuò)信息重定向到HTTP404.htm文件，那么所有的掃描無論存不存在漏洞都會(huì)返回HTTP200，90%的CGI掃描器會(huì)認(rèn)為你什么漏洞都有，結(jié)果反而掩蓋了你真正的漏洞，讓入侵者茫然無處下手。最后，為了保險(xiǎn)起見，你可以使用IIS的備份功能，將剛剛的設(shè)定全部備份下來，這樣就可以隨時(shí)恢復(fù)IIS的安全配置。（二）網(wǎng)絡(luò)配置在桌面上用鼠標(biāo)右鍵單擊網(wǎng)上鄰居選擇屬性右鍵單擊本地連接選擇屬性雙擊 tcp/ip，輸入ip地址、子網(wǎng)掩碼、網(wǎng)關(guān)。（二） 監(jiān)測(cè)網(wǎng)絡(luò)狀態(tài)開始運(yùn)行c

32、md進(jìn)入命令行方式：ping *.*.*.*（同網(wǎng)段內(nèi)的地址）ping *.*.*.* （不同網(wǎng)段的地址） ping *.*.*.* -n 10 （三） 故障診斷及排除：1、檢查網(wǎng)卡后面的指示燈狀態(tài)，判斷是否網(wǎng)線不通或網(wǎng)絡(luò)有問題。、開始設(shè)置控制面板性能和維護(hù)系統(tǒng)硬件設(shè)備管理器中檢查網(wǎng)絡(luò)適配器的狀態(tài)，前面有黃色的驚嘆號(hào)的為狀態(tài)不正常的，一般重新安裝驅(qū)動(dòng)程序可以解決。、檢查網(wǎng)絡(luò)配置（相關(guān)協(xié)議、服務(wù)及網(wǎng)關(guān)的設(shè)置），具體見二、（二）配置一節(jié)。三、 關(guān)于端口和套接字（socket）   網(wǎng)絡(luò)程序設(shè)計(jì)全靠套接字接受和發(fā)送信息.盡管套接字這個(gè)詞好象顯得有些神秘,但其實(shí)這個(gè)概念極

33、易理解.    大多數(shù)網(wǎng)絡(luò)應(yīng)用程序使用兩個(gè)協(xié)議:傳輸控制協(xié)議(TCP)和用戶數(shù)據(jù)包協(xié)議(UDP).他們都使用一個(gè)端口號(hào)以識(shí)別應(yīng)用程序.端口號(hào)為主機(jī)上所運(yùn)行之程序所用,這樣就可以通過號(hào)碼象名字一樣來跟蹤每個(gè)應(yīng)用程序.端口號(hào)讓操作系統(tǒng)更容易的知道有多少個(gè)應(yīng)用程序在使用系統(tǒng),以及哪些服務(wù)有效.    理論上,端口號(hào)可由每臺(tái)主機(jī)上的管理員自由的分配.但為了更好的通信通常采用一些約定的協(xié)議.這些協(xié)議使能通過端口號(hào)識(shí)別一個(gè)系統(tǒng)向另一個(gè)系統(tǒng)所請(qǐng)求的服務(wù)的類型.基于如此理由,大多數(shù)系統(tǒng)維護(hù)一個(gè)包含端口號(hào)及它們所提供哪些服務(wù)的文件.  

34、60; 端口號(hào)被從1開始分配.通常端口號(hào)超出255的部分被本地主機(jī)保留為私有用途.1到255之間的號(hào)碼被用于遠(yuǎn)程應(yīng)用程序所請(qǐng)求的進(jìn)程和網(wǎng)絡(luò)服務(wù).每個(gè)網(wǎng)絡(luò)通信循環(huán)地進(jìn)出主計(jì)算機(jī)的TCP應(yīng)用層.它被兩個(gè)所連接的號(hào)碼唯一地識(shí)別.這兩個(gè)號(hào)碼合起來叫做套接字.組成套接字的這兩個(gè)號(hào)碼就是機(jī)器的IP地址和TCP軟件所使用的端口號(hào).    因?yàn)榫W(wǎng)絡(luò)通訊至少包括兩臺(tái)機(jī)器,所以在發(fā)送和接收的機(jī)器上都存在一個(gè)套接字.由于每臺(tái)機(jī)器的IP地址是唯一的,端口號(hào)在每臺(tái)機(jī)器中也是唯一的,所以套接字在網(wǎng)絡(luò)中應(yīng)該是唯一的.這樣的設(shè)置能使網(wǎng)絡(luò)中的兩個(gè)應(yīng)用程序完全的基于套接字互相對(duì)話.

35、60;  發(fā)送和接收的機(jī)器維護(hù)一個(gè)端口表,它列出了所有激活的端口號(hào).兩臺(tái)機(jī)器都包括一個(gè)進(jìn)程叫做綁定,這是每個(gè)任務(wù)的入口,不過在兩臺(tái)機(jī)器上恰恰相反.換句話說,如果一臺(tái)機(jī)器的源端口號(hào)是23而目的端口號(hào)被設(shè)置成25,那么另一臺(tái)機(jī)器的源端口號(hào)設(shè)置成25目的端口號(hào)設(shè)置成23.*UNIX的套接口(Socket)編程簡介網(wǎng)絡(luò)編程，即編寫通過計(jì)算機(jī)網(wǎng)絡(luò)與其他程序進(jìn)行通訊的程序。在目前的模式下，相互通信的網(wǎng)絡(luò)程序中，一方稱為客戶程序(client)，另一方稱為服務(wù)程序(server)，大多數(shù)操作系統(tǒng)都提供了編譯好的網(wǎng)絡(luò)程序，比如Web客戶程序(瀏覽器)，Web服務(wù)器程序，以及FTP，Telnet等，