項目4-操作系統(tǒng)安全與加固

網(wǎng)絡安全技術項目化教程主編段新華宋風忠中國水利水電出版社項目4操作系統(tǒng)安全與加固

項目導讀在網(wǎng)絡環(huán)境中，網(wǎng)絡系統(tǒng)的安全性依賴于網(wǎng)絡中各主機系統(tǒng)的安全性，主機系統(tǒng)的安全性正是由其操作系統(tǒng)的安全性所決定的，沒有安全的操作系統(tǒng)的支持，網(wǎng)絡安全也毫無根基可言。教學目標掌握操作系統(tǒng)的加固，以防范常見的系統(tǒng)滲透和網(wǎng)絡攻擊。掌握操作系統(tǒng)相關的安全工具的功能和使用方法。任務1Windows賬戶與口令的安全設置任務描述操作系統(tǒng)中不適當?shù)挠脩糍~號是攻擊者入侵操作系統(tǒng)的主要手段之一。通過對用戶帳號的安全管理可以避免很多潛在的安全問題。對帳戶實施管理，確保系統(tǒng)的安全性，采取的措施有限制用戶數(shù)量、停用Guest用戶、重命名管理員帳戶、設置陷阱帳戶和雙管理員賬戶等。任務要求掌握安全賬戶的設置方法。知識鏈接1．本地安全管理2．高強度登錄密碼實現(xiàn)方法1．限制用戶數(shù)量有效賬戶的數(shù)量要盡可能的少，去掉測試賬戶和共享賬戶，系統(tǒng)的賬戶越多，被攻擊成功的可能性越大。如果系統(tǒng)賬戶超過10個，就有可能找到一個或兩個弱口令賬戶，所以賬戶數(shù)量一般不超過10個。要經(jīng)常使用一些掃描工具查看系統(tǒng)賬戶、賬戶權限及密碼，及時刪除不再使用的賬戶。2．停用Guest賬戶停用Guest賬戶，改成一個復雜的名稱并添加密碼，將Guest賬戶從Guests組中刪除，任何時候都禁用Guest賬戶登錄系統(tǒng)。3．重命名管理員賬戶許多用戶都是用Administrator賬戶登錄系統(tǒng)，但黑客得知用戶登錄系統(tǒng)的賬戶名后，就可以發(fā)動有針對性的攻擊。如果用戶使用Administrator賬戶登錄系統(tǒng)，就為黑客攻擊創(chuàng)造了條件。因此重命名Administrator賬戶，盡量將其偽裝成普通賬戶，使黑客無法針對該賬戶發(fā)起攻擊。4．設置陷阱賬戶在Guests組中設置一個Administrator賬戶，把它的權限設置成最低，但密碼設置成復雜密碼，而且用戶不能更改此賬戶密碼，這樣就可以使企圖入侵的黑客花費一番功夫，并可以借此發(fā)現(xiàn)黑客的入侵企圖。5．設置高強度密碼任務2Windows文件系統(tǒng)的安全設置任務描述以某公司的實際應用為例，公司銷售部和技術部各有一個共享文件夾，存放本部門的資料，部門經(jīng)理對本部門的文件夾有完全控制權限，部門員工對本部門文件夾具有讀寫權限，對公司其他部門的文件夾有只讀的權限。任務要求掌握文件權限的設置方法。知識鏈接1．設置文件權限需要注意的幾點（1）NTFS文件權限為：讀?。ㄗx文件，查看文件屬性、擁有人和權限）；寫入（覆蓋寫入文件，修改文件屬性，查看文件擁有人和權限）；讀取和運行（運行應用程序，同時具備“讀取”權限）；修改（修改和刪除文件，同時具備“寫入”權限和“讀取和運行”權限）；完全控制（改變權限，成為擁有人，同時具備其他所有NTFS文件權限）。（2）權限是累積的。用戶對某個資源的有效權限是授予這一用戶帳號的NTFS權限和該用戶所屬的用戶組具備的NTFS權限組合。（3）NTFS的文件權限超越NTFS文件夾權限。某個用戶對某個文件有“修改”權限，即使他對于包含該文件的文件夾只有“讀取”權限，該用戶仍然能夠修改該文件。（4）拒絕權限超越其他權限。如果將“拒絕”權限授予某用戶或組，即使這個用戶作為某個組的成員具有訪問該文件或文件夾的權限，因為將“拒絕”權限授予該用戶，用戶具有的任何其他權限也被阻止了。（5）共享文件夾權限有3種：完全控制、更改、讀取。2．加密文件系統(tǒng)Windows加密文件系統(tǒng)（EFS）內(nèi)置于NTFS文件系統(tǒng)中。加密文件系統(tǒng)為NTFS文件提供文件級的加密，是基于公共密鑰的系統(tǒng)。使用EFS時，系統(tǒng)首先生成文件加密密鑰（FileEncryptionKey，F(xiàn)EK），利用FEK創(chuàng)建加密后的文件，同時刪除未加密的原始文件，然后，系統(tǒng)利用當前用戶的公鑰加密FEK，并把加密后的FEK存儲在一個加密文件夾中。當用戶訪問一個加密文件時，系統(tǒng)首先利用當前用戶的私鑰解密FEK，再利用FEK解密出加密文件。實現(xiàn)方法1．NTFS文件權限的設置2．文件系統(tǒng)的加密和解密任務3Windows組策略任務描述Windows組策略可以設置個性化的任務欄和“開始”菜單、管理和實現(xiàn)IE安全，也可對特定的域或工作組執(zhí)行禁止運行命令行、禁止運行自動播放功能、禁止使用控制面板、限制使用應用程序等。本次任務是以WindowsServer2008服務器系統(tǒng)為例實現(xiàn)的。任務要求掌握常用的組策略設置方法。知識連接1．組策略的概念組策略設置定義了系統(tǒng)管理員需要管理的用戶桌面環(huán)境的各種組件，如用戶可用的程序、用戶桌面上出現(xiàn)的程序以及“開始”菜單選項。組策略不僅應用于用戶和用戶端計算機，還應用于成員服務器、域控制器以及管理范圍內(nèi)的任何計算機。默認情況下，應用于域的組策略會影響域中的所有計算機和用戶。2．組策略的內(nèi)容組策略主要可進行兩個方面的配置：計算機配置和用戶配置?！坝嬎銠C配置”是對整個計算機的系統(tǒng)配置進行設置，對當前計算機中所有用戶的運行環(huán)境都起作用；“用戶配置”是對當前用戶的系統(tǒng)配置進行設置，僅對當前用戶起作用。實現(xiàn)方法1．禁止使用可移動存儲器復制資料。2．斷開遠程連接恢復系統(tǒng)狀態(tài)3．限制使用迅雷進行惡意下載4．禁止來自外網(wǎng)的非法ping攻擊任務4遠程服務與安全設置任務描述遠程桌面服務的系統(tǒng)服務為“TerminalServices”，遠程桌面服務開啟后，可以方便管理遠程服務器，但也給服務器帶來了一定的威脅?？梢酝ㄟ^設置安全策略限制連接終端服務的IP地址及網(wǎng)絡。任務要求掌握遠程訪問的安全策略及實施方法。實現(xiàn)方法1．遠程服務與安全設置終端服務器的IP地址為192.168.10.100