操作系統安全配置方案

第八章操作系統安全配置方案8知識回顧硬件安全機制操作系統的安全標識與鑒別訪問控制、最小特權管理可信通路和安全審計列舉常用的安全操作系統的機制。內容提要介紹Windows2000服務器的安全配置。操作系統的安全將決定網絡的安全，從保護級別上分成安全初級篇、中級篇和高級篇，共36條基本配置原則。安全配置初級篇講述常規(guī)的操作系統安全配置，中級篇介紹操作系統的安全策略配置，高級篇介紹操作系統安全信息通信配置。安全配置方案初級篇安全配置方案初級篇主要介紹常規(guī)的操作系統安全配置，包括十二條基本配置原則：物理安全、停止Guest帳號、限制用戶數量創(chuàng)建多個管理員帳號、管理員帳號改名陷阱帳號、更改默認權限、設置安全密碼屏幕保護密碼、使用NTFS分區(qū)運行防毒軟件和確保備份盤安全。1）物理安全服務器應該安放在安裝了監(jiān)視器的隔離房間內，并且監(jiān)視器要保留15天以上的攝像記錄。另外，機箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進入房間也無法使用電腦，鑰匙要放在安全的地方。2）停止Guest帳號在計算機管理的用戶里面把Guest帳號停用，任何時候都不允許Guest帳號登陸系統。為了保險起見，最好給Guest加一個復雜的密碼，可以打開記事本，在里面輸入一串包含特殊字符,數字，字母的長字符串。用它作為Guest帳號的密碼。并且修改Guest帳號的屬性，設置拒絕遠程訪問，如圖7-1所示。3）限制用戶數量去掉所有的測試帳戶、共享帳號和普通部門帳號等等。用戶組策略設置相應權限，并且經常檢查系統的帳戶，刪除已經不使用的帳戶。帳戶很多是黑客們入侵系統的突破口，系統的帳戶越多，黑客們得到合法用戶的權限可能性一般也就越大。對于WindowsNT/2000主機，如果系統帳戶超過10個，一般能找出一兩個弱口令帳戶，所以帳戶數量不要大于10個。4）多個管理員帳號雖然這點看上去和上面有些矛盾，但事實上是服從上面規(guī)則的。創(chuàng)建一個一般用戶權限帳號用來處理電子郵件以及處理一些日常事物，另一個擁有Administrator權限的帳戶只在需要的時候使用。因為只要登錄系統以后，密碼就存儲再WinLogon進程中，當有其他用戶入侵計算機的時候就可以得到登錄用戶的密碼，盡量減少Administrator登錄的次數和時間。5）管理員帳號改名Windows2000中的Administrator帳號是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點。不要使用Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，比如改成：guestone。具體操作的時候只要選中帳戶名改名就可以了，如圖所示。6）陷阱帳帳號所謂的陷阱帳帳號是創(chuàng)建一一個名為“Administrator”的本地帳戶，，把它的權限限設置成最低低，什么事也也干不了的那那種，并且加加上一個超過過10位的超級復雜雜密碼。這樣可以讓那那些企圖入侵侵者忙上一段段時間了，并并且可以借此此發(fā)現它們的的入侵企圖。?？梢詫⒃撚糜脩綦`屬的組組修改成Guests組，如圖7-3所示。7）更改默默認權限共享文件的權權限從“Everyone”組改成“授權權用戶”?！啊癊veryone”在Windows2000中意味著任何何有權進入你你的網絡的用用戶都能夠獲獲得這些共享享資料。任何時候不要要把共享文件件的用戶設置置成“Everyone”組。包括打印印共享，默認認的屬性就是是“Everyone”組的，一定不不要忘了改。。設置某文件件夾共享默認認設置如圖7-4所示。8）安全密碼碼好的密碼對于于一個網絡是是非常重要的的，但是也是是最容易被忽忽略的。一些網絡管理理員創(chuàng)建帳號號的時候往往往用公司名，，計算機名，，或者一些別別的一猜就到到的字符做用用戶名，然后后又把這些帳帳戶的密碼設設置得比較簡簡單，比如：：“welcome”、“iloveyou”、“l(fā)etmein”或者和用戶名名相同的密碼碼等。這樣的的帳戶應該要要求用戶首此此登陸的時候候更改成復雜雜的密碼，還還要注意經常常更改密碼。。好密碼下了個個定義：安全全期內無法破破解出來的密密碼就是好密密碼，也就是是說，如果得得到了密碼文文檔，必須花花43天或者更長的的時間才能破破解出來，密密碼策略是42天必須改密碼碼。9）屏幕保護護密碼設置屏幕保護護密碼是防止止內部人員破破壞服務器的的一個屏障。。注意不要使使用OpenGL和一些復雜的的屏幕保護程程序，浪費系系統資源，黑黑屏就可以了了。所有系統用戶戶所使用的機機器也最好加加上屏幕保護護密碼。將屏幕保護的的選項“密碼碼保護”選中中就可以了，，并將等待時時間設置為最最短時間“1秒”，如圖7-5所示。10）NTFS分區(qū)把服務器的所所有分區(qū)都改改成NTFS格式。NTFS文件系系統要比FAT、FAT32的文件件系統安全得得多。11）防毒軟軟件Windows2000/NT服務器一般都都沒有安裝防防毒軟件的，，一些好的殺殺毒軟件不僅僅能殺掉一些些著名的病毒毒，還能查殺殺大量木馬和和后門程序。。設置了防毒軟軟件，“黑客客”們使用的的那些有名的的木馬就毫無無用武之地了了，并且要經經常升級病毒毒庫。12）備份盤盤的安全一旦系統資料料被黑客破壞壞，備份盤將將是恢復資料料的唯一途徑徑。備份完資資料后，把備備份盤防在安安全的地方。。不能把資料備備份在同一臺臺服務器上，，這樣的話還還不如不要備備份。安全配置方案案中級篇安全配置方案案中級篇主要要介紹操作系系統的安全策策略配置，包包括十條基本本配置原則：：操作系統安全全策略、關閉閉不必要的服服務關閉不必要的的端口、開啟啟審核策略開啟密碼策略略、開啟帳戶戶策略、備份份敏感文件不顯示上次登登陸名、禁止止建立空連接接和下載最新新的補丁1）操作系系統安全策略略利用Windows2000的安全配置工工具來配置安安全策略，微微軟提供了一一套的基于管管理控制臺的的安全配置和和分析工具，，可以配置服服務器的安全全策略。在管理工具中中可以找到““本地安全策策略”，主界界面如圖所示示?？梢耘渲盟念愵惏踩呗裕海簬舨呗?、、本地策略、、公鑰策略和和IP安全策略。在在默認的情況況下，這些策策略都是沒有有開啟的。2）關閉不必必要的服務Windows2000的TerminalServices（終端服務））和IIS（Internet信息服務）等等都可能給系系統帶來安全全漏洞。為了能夠在遠遠程方便的管管理服務器，，很多機器的的終端服務都都是開著的，，如果開了，，要確認已經經正確的配置置了終端服務務。有些惡意的程程序也能以服服務方式悄悄悄的運行服務務器上的終端端服務。要留留意服務器上上開啟的所有有服務并每天天檢查。Windows2000作為服務器可可禁用的服務務及其相關說說明如表所示示。Windows2000可禁用的服服務服務名說明ComputerBrowser維護網絡上計算機的最新列表以及提供這個列表Taskscheduler允許程序在指定時間運行RoutingandRemoteAccess在局域網以及廣域網環(huán)境中為企業(yè)提供路由服務Removablestorage管理可移動媒體、驅動程序和庫RemoteRegistryService允許遠程注冊表操作PrintSpooler將文件加載到內存中以便以后打印。要用打印機的用戶不能禁用這項服務IPSECPolicyAgent管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅動程序DistributedLinkTrackingClient當文件在網絡域的NTFS卷中移動時發(fā)送通知Com+EventSystem提供事件的自動發(fā)布到訂閱COM組件3）關閉不必必要的端口關閉端口意味味著減少功能能，如果服務務器安裝在防防火墻的后面面，被入侵的的機會就會少少一些，但是是不可以認為為高枕無憂了了。用端口掃描器器掃描系統所所開放的端口口，在Winnt\system32\drivers\etc\services文件中有知名名端口和服務務的對照表可可供參考。該該文件用記事事本打開如圖圖所示。設置本機開放放的端口和服服務，在IP地址設置窗口口中點擊按鈕鈕“高級”，，如圖7-8所示。在出現的對話話框中選擇選選項卡“選項項”，選中““TCP/IP篩選”，點擊擊按鈕“屬性性”，如圖7-9所示。設置端口界面面如圖7-10所示。一臺Web服務器只允許許TCP的80端口通過就可可以了。TCP/IP篩選器是Windows自帶的防火墻墻，功能比較較強大，可以以替代防火墻墻的部分功能能。4開啟審核核策略安全審核是Windows2000最基本的入侵侵檢測方法。。當有人嘗試試對系統進行行某種方式（（如嘗試用戶戶密碼，改變變帳戶策略和和未經許可的的文件訪問等等等）入侵的的時候，都會會被安全審核核記錄下來。。很多的管理員員在系統被入入侵了幾個月月都不知道，，直到系統遭遭到破壞。表表的這些審核核是必須開啟啟的，其他的的可以根據需需要增加。策略設置審核系統登陸事件成功，失敗審核帳戶管理成功，失敗審核登陸事件成功，失敗審核對象訪問成功審核策略更改成功，失敗審核特權使用成功，失敗審核系統事件成功，失敗審核策略默認認設置審核策略在默默認的情況下下都是沒有開開啟的，如圖圖7-11所示。雙擊審核列表表的某一項，，出現設置對對話框，將復復選框“成功功”和“失敗敗”都選中，，如圖7-12所示。5開啟密碼碼策略密碼對系統安安全非常重要要。本地安全全設置中的密密碼策略在默默認的情況下下都沒有開啟啟。需要開啟啟的密碼策略略如表7-3所示策略設置密碼復雜性要求啟用密碼長度最小值6位密碼最長存留期15天強制密碼歷史5個設置選項如圖圖7-13所所示。6開啟帳戶戶策略開啟帳戶策略略可以有效的的防止字典式式攻擊，設置置如表7-4所示。策略設置復位帳戶鎖定計數器30分鐘帳戶鎖定時間30分鐘帳戶鎖定閾值5次設置帳戶策略略設置的結果如如圖7-14所示。7備份敏感感文件把敏感文件存存放在另外的的文件服務器器中，雖然服服務器的硬盤盤容量都很大大，但是還是是應該考慮把把一些重要的的用戶數據（（文件，數據據表和項目文文件等）存放放在另外一個個安全的服務務器中，并且且經常備份它它們8不顯示上上次登錄名默認情況下，，終端服務接接入服務器時時，登陸對話話框中會顯示示上次登陸的的帳戶名，本本地的登陸對對話框也是一一樣。黑客們們可以得到系系統的一些用用戶名，進而而做密碼猜測測。修改注冊表禁禁止顯示上次次登錄名，在在HKEY_LOCAL_MACHINE主鍵下修改子子鍵：Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，將將鍵鍵值值改改成成1，如如圖圖7-15所示示。。9禁禁止止建建立立空空連連接接默認認情情況況下下，，任任何何用用戶戶通通過過空空連連接接連連上上服服務務器器，，進進而而可可以以枚枚舉舉出出帳帳號號，，猜猜測測密密碼碼。?？梢砸酝ㄍㄟ^過修修改改注注冊冊表表來來禁禁止止建建立立空空連連接接。。在在HKEY_LOCAL_MACHINE主鍵鍵下下修修改改子子鍵鍵：：System\CurrentControlSet\Control\LSA\RestrictAnonymous，將將鍵鍵值值改改成成““1””即可可。。如如圖圖7-16所示示。。10下下載載最最新新的的補補丁丁很多多網網絡絡管管理理員員沒沒有有訪訪問問安安全全站站點點的的習習慣慣，，以以至至于于一一些些漏漏洞洞都都出出了了很很久久了了，，還還放放著著服服務務器器的的漏漏洞洞不不補補給給人人家家當當靶靶子子用用。。誰也也不不敢敢保保證證數數百百萬萬行行以以上上代代碼碼的的Windows2000不出出一一點點安安全全漏漏洞洞。。經常常訪訪問問微微軟軟和和一一些些安安全全站站點點，，下下載載最最新新的的ServicePack和漏漏洞洞補補丁丁，，是是保保障障服服務務器器長長久久安安全全的的唯唯一一方方法法。。安全全配配置置方方案案高高級級篇篇高級級篇篇介介紹紹操操作作系系統統安安全全信信息息通通信信配配置置，，包包括括十十四四條條配配置置原原則則：：關閉閉DirectDraw、關關閉閉默默認認共共享享禁用用DumpFile、文文件件加加密密系系統統加密密Temp文件件夾夾、、鎖鎖住住注注冊冊表表、、關關機機時時清清除除文文件件禁止止軟軟盤盤光光盤盤啟啟動動、、使使用用智智能能卡卡、、使使用用IPSec禁止止判判斷斷主主機機類類型型、、抵抵抗抗DDOS禁止止Guest訪問問日日志志和和數數據據恢恢復復軟軟件件1關關閉閉DirectDrawC2級安安全全標標準準對對視視頻頻卡卡和和內內存存有有要要求求。。關關閉閉DirectDraw可能對一一些需要要用到DirectX的程序有有影響（（比如游游戲），，但是對對于絕大大多數的的商業(yè)站站點都是是沒有影影響的。。在HKEY_LOCAL_MACHINE主鍵下修修改子鍵鍵：SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，將鍵值值改為““0”即可，如如圖7-17所示。2關閉閉默認共共享Windows2000安裝以后后，系統統會創(chuàng)建建一些隱隱藏的共共享，可可以在DOS提示符下下輸入命命令NetShare查看，如如圖7-18所示。停止默認認共享禁止這些些共享，，打開管管理工具具>計算機管管理>共享文件件夾>共享，在在相應的的共享文文件夾上上按右鍵鍵，點停停止共享享即可，，如圖7-19所示。3禁用用Dump文件件在系統崩崩潰和藍藍屏的時時候，Dump文件是一一份很有有用資料料，可以以幫助查查找問題題。然而而，也能能夠給黑黑客提供供一些敏敏感信息息，比如如一些應應用程序序的密碼碼等需要禁止止它，打打開控制制面板>系統屬性性>高級>啟動和故故障恢復復，把寫寫入調試試信息改改成無，，如圖7-20所示。4文件件加密系系統Windows2000強大的加加密系統統能夠給給磁盤，，文件夾夾，文件件加上一一層安全全保護。。這樣可可以防止止別人把把你的硬硬盤掛到到別的機機器上以以讀出里里面的數數據。微軟公司司為了彌彌補WindowsNT4.0的不足，，在Windows2000中，提供供了一種種基于新新一代NTFS：NTFSV5（第5版本）的的加密文文件系統統（EncryptedFileSystem，簡稱EFS）。EFS實現的是是一種基基于公共共密鑰的的數據加加密方式式，利用用了Windows2000中的CryptoAPI結構。5加密密Temp文件件夾一些應用用程序在在安裝和和升級的的時候，，會把一一些東西西拷貝到到Temp文件夾，，但是當當程序升升級完畢畢或關閉閉的時候候，并不不會自己己清除Temp文件夾的的內容。。所以，給給Temp文件夾加加密可以以給你的的文件多多一層保保護。6鎖住住注冊表表在Windows2000中，只有有Administrators和BackupOperators才有從網網絡上訪訪問注冊冊表的權權限。當當帳號的的密碼泄泄漏以后后，黑客客也可以以在遠程程訪問注注冊表，，當服務務器放到到網絡上上的時候候，一般般需要鎖鎖定注冊冊表。修修改Hkey_current_user下的子鍵鍵Software\microsoft\windows\currentversion\Policies\system把DisableRegistryTools的值該為為0，類型為為DWORD，如圖7-21所示。7關機機時清除除文件頁面文件件也就是是調度文文件，是是Windows2000用來存儲儲沒有裝裝入內存存的程序序和數據據文件部部分的隱隱藏文件件。一些第三三方的程程序可以以把一些些沒有的的加密的的密碼存存在內存存中，頁頁面文件件中可能能含有另另外一些些敏感的的資料。。要在關關機的時時候清楚楚頁面文文件，可可以編輯輯注冊表表修改改主鍵HKEY_LOCAL_MACHINE下的子鍵鍵：SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPageFileAtShutdown的值設置置成1，如圖7-22所示。8禁止止軟盤光光盤啟動動一些第三三方的工工具能通通過引導導系統來來繞過原原有的安安全機制制。比如如一些管管理員工工具，從從軟盤上上或者光光盤上引引導系統統以后，，就可以以修改硬硬盤上操操作系統統的管理理員密碼碼。如果服務務器對安安全要求求非常高高，可以以考慮使使用可移移動軟盤盤和光驅驅，把機機箱鎖起起來仍然然不失為為一個好好方法。。9使用用智能卡卡對于密碼碼，總是是使安全全管理員員進退兩兩難，容容易受到到一些工工具的攻攻擊，如如果密碼碼太復雜雜，用戶戶把為了了記住密密碼，會會把密碼碼到處亂亂寫。如果條件件允許，，用智能能卡來代代替復雜雜的密碼碼是一個個很好的的解決方方法。10使使用IPSec正如其名名字的含含義，IPSec提供IP數據包的的安全性性。IPSec提供身份份驗證、、完整性性和可選選擇的機機密性。。發(fā)送方方計算機機在傳輸輸之前加加密數據據，而接接收方計計算機在在收到數數據之后后解密數數據。利用IPSec可以使得得系統的的安全性性能大大大增強。。11禁禁止判斷斷主機類類型黑客利用用TTL（Time-To-Live，活動時時間）值值可以鑒鑒別操作作系統的的類型，，通過Ping指令能判判斷目標標主機類類型。Ping的用處是是檢測目目標主機機是否連連通。許多入侵侵者首先先會Ping一下主機機，因為為攻擊某某一臺計計算機需需要根據據對方的的操作系系統，是是Windows還是Unix。如過TTL值為128就可以認認為你的的系統為為Windows2000，如圖7-23所示。從圖中可可以看出出，TTL值為128，說明改改主機的的操作系系統是Windows2000操作系統統。表7-6給出了一一些常見見操作系系統的對對照值。。操作系統類型TTL返回值Windows2000128WindowsNT107win9x128or127solaris252IRIX240AIX247Linux241or240修改TTL的值，入入侵者就就無法入入侵電腦腦了。比比如將操操作系統統的TTL值改為111，修改主主鍵HKEY_LOCAL_MACHINE的子鍵：：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS新建一個個雙字節(jié)節(jié)項，如如圖7-24所示。在鍵的名名稱中輸輸入“defaultTTL”，然后雙雙擊改鍵鍵名，選選擇單選選框“十十進制””，在文文本框中中輸入111，如圖7-25所示。設置完畢畢重新啟動動計算機機，再用Ping指令，發(fā)發(fā)現TTL的值已經經被改成成111了，如如圖7-26所示。。12抵抵抗抗DDOS添加注注冊表表的一一些鍵鍵值，，可以以有效效的抵抵抗DDOS的攻擊擊。在在鍵值值[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加加響應應的鍵鍵及其其說明明如表表7-7所示。。增加的鍵值鍵值說明"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000000"KeepAliveTime"=dword:00000000"PerformRouterDiscovery"=dword:00000000基本設置"EnableICMPRedirects"=dword:00000000防止ICMP重定向報文的攻擊"SynAttackProtect"=dword:00000002防止SYN洪水攻擊"TcpMaxHalfOpenRetried"=dword:00000080僅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried設置超出范圍時,保護機制才會采取措施"TcpMaxHalfOpen"=dword:00000100"IGMPLevel"=dword:00000000不支持IGMP協議"EnableDeadGWDetect"=dword:00000000禁止死網關監(jiān)測技術"IPEnableRouter"=dword:00000001支持路由功能13禁禁止止Guest訪訪問日日志在默認認安裝裝的WindowsNT和Windows2000中，Guest帳號和和匿名名用戶戶可以以查看看系統統的事事件日日志，，可能能導致致許多多重要要信息息的泄泄漏，，修改改注冊冊表來來禁止止Guest訪問事事件日日志。。禁止Guest訪問應應用日日志HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application下添加加鍵值值名稱稱為：：RestrictGuestAccess，類型型為：：DWORD，將值值設置置為1。系統日日志：：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System下添加加鍵值值名稱稱為：：RestrictGuestAccess，類型型為：：DWORD，將值值設置置為1。安全日日志HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security下添加加鍵值值名稱稱為：：RestrictGuestAccess，類型型為：：DWORD，將值值設置置為1。14數數據據恢復復軟件件當數據據被病病毒或或者入入侵者者破壞壞后，，可以以利用用數據據恢復復軟件件可以以找回回部分分被刪刪除的的數據據，在在恢復復軟件件中一一個著著名的的軟件件是EasyRecovery。軟件件功能能強大大，可可以恢恢復被被誤刪刪除的的文件件、丟丟失的的硬盤盤分區(qū)區(qū)等等等。軟軟件的的主界界面如如圖7-26所示。。比如原原來在在E盤上有有一些些數據據文件件，被被黑客客刪除除了，，選擇擇左邊邊欄目目“DataRecovery”，然后后選擇擇左邊邊的按按鈕““AdvancedRecovery”，如圖圖7-28所示。。進入AdvancedRecovery對話框框后，，軟件件自動動掃描描出目目前