網絡操作系統安全課件

第2章

網絡操作系統安全1學習交流PPT本章有三小節(jié)2.1常用的網絡操作系統簡介2.2操作系統安全與訪問控制2.3網絡操作系統的安全設置實例2學習交流PPT2.1常用的網絡操作系統簡介目前較常用的網絡操作系統有Unix、Linux、WindowsNT/2000/2003等，它們都是屬于C2安全級別的操作系統。3學習交流PPT2.1.1WindowsNTWindowsNT(NewTechnology)是由Microsoft于1993年推出的網絡操作系統，其中較為成熟的版本是1996年推出的NT4.0。WindowsNT是一個圖形化、多用戶、多任務的網絡操作系統，具有強大的網絡管理功能。4學習交流PPT與其后的網絡操作系統不同的是，WindowsNT具有服務器版本(WindowsNTServer)和工作站版本(WindowsNTWorkstation)。服務器版本使用在服務器上，工作站版本使用在工作站(客戶機)上。5學習交流PPT2.1.2Windows2000/20031、Windows2000Windows2000操作系統集成了Windows98和WindowsNT4.0的優(yōu)點，并且在很多方面做了改進，使得Windows2000在功能上、安全性上都得到了很大的提高。Windows2000包括Windows2000Professional、Windows2000Server、Windows2000AdvancedServer和Windows2000Datacenter四個版本，其中Windows2000Professional屬于單機操作系統，而其他幾種則屬于網絡操作系統。6學習交流PPT活動目錄是Windows2000新增加的功能?；顒幽夸浭侵敢环N可擴展的、可分布在多臺服務器的數據庫，在這個數據庫中存儲了系統的賬戶信息。用戶不管在哪一臺客戶機上登錄服務器，所得到的服務都是一樣的。Windows2000還增加了多項網絡服務，如虛擬專用網（VPN）技術、路由與遠程訪問功能和網絡地址轉換（NAT）功能等。7學習交流PPT2、Windows2003Windows2003是Microsoft推出的又一款網絡操作系統，與Windows2000不同的是Windows2003只有網絡版操作系統，一般稱之為WindowsServer2003。WindowsServer2003的具體版本可分為Web、Standard、Enterprise和Datacenter版。Windows2003總體上比Windows2000更安全、更可靠，并且增加了一些新的服務功能，是“.NET”技術的應用。8學習交流PPT在安全性方面，Windows2003填補了Windows2000的很多系統漏洞，如輸入法漏洞、IIS漏洞和Printer漏洞等。Windows2003的IIS也升級為6.0，相比Windows2000的IIS5.0更安全可靠并且提高了管理性能。9學習交流PPT2.1.3Unix和Linux

1、Unix系統Unix操作系統是由美國貝爾實驗室在上世紀60年代末開發(fā)成功的網絡操作系統，一般用于大型機和小型機上，較少用于微機。由于各大廠商對Unix系統的開發(fā)，Unix形成了多種版本，如IBM公司的AIX系統、HP公司的HP-UX系統、SUN公司的Solaris系統等。10學習交流PPTUnix系統在20世紀70年代用C語言進行了重新編寫，提高了Unix系統的可用性和可移植性，使之得到了廣泛的應用。Unix系統的主要特點：高可靠性。極強的伸縮性。強大的網絡功能。開放性。11學習交流PPT2、Linux系統Linux系統是類似于Unix系統的自由軟件，主要用于基于Intelx86CPU的計算機上。Linux系統的主要特點：(1)完全免費。(2)良好的操作界面。(3)強大的網絡功能。12學習交流PPT2．2操作系統安全與訪問控制2.2.1網絡操作系統安全1、主體和客體（1）主體：主體是指行為動作的主要發(fā)動者或施行者，包括用戶、主機、程序進程等。作為用戶這個主體，為了保護系統的安全，必須保證每個主體的唯一性和可驗證性。13學習交流PPT（2）客體：客體是指被主體所調用的對象，如程序、數據等。在操作系統中，任何客體都是為主體服務的，而任何操作都是主體對客體進行的。在安全操作系統中必須要確認主體的安全性，同時也必須確認主體對客體操作的安全性。14學習交流PPT2、安全策略與安全模型（1）安全策略：安全策略是指使計算機系統安全的實施規(guī)則。（2）安全模型：安全模型是指使計算機系統安全的一些抽象的描述和安全框架。15學習交流PPT3、

可信計算基可信計算基(TrustedComputingBase)是指構成安全操作系統的一系列軟件、硬件和信息安全管理人員的集合，只有這幾方面的結合才能真正保證系統的安全。16學習交流PPT4、網絡操作系統的安全機制（1）硬件安全：硬件安全是網絡操作系統安全的基礎。（2）安全標記：對于系統用戶而言，系統必須有一個安全而唯一的標記。在用戶進入系統時，這個安全標記不僅可以判斷用戶的合法性，而且還應該防止用戶的身份被破譯。17學習交流PPT（3）訪問控制：

在合法用戶進入系統后，安全操作系統還應該能夠控制用戶對程序或數據的訪問，防止用戶越權使用程序或數據。（4）最小權力：

操作系統配置的安全策略使用戶僅僅能夠獲得其工作需要的操作權限。（5）安全審計：

安全操作系統應該做到對用戶操作過程的記錄、檢查和審計。18學習交流PPT2.2.2網絡訪問控制1、訪問控制的基本概念訪問控制（AccessControl）是指定義和控制主體對客體的訪問權限，具體可分為身份驗證和授權訪問。2、訪問控制的分類訪問控制一般可分為自主訪問控制（DiscretionaryAccessControl）強制訪問控制（MandatoryAccessControl）19學習交流PPT2.2.3網絡操作系統漏洞與補丁程序網絡系統漏洞是指網絡的硬件、軟件、網絡協議以及系統安全策略上的缺陷，黑客可以利用這些缺陷在沒有獲得系統許可的情況下訪問系統或破壞系統。20學習交流PPT1、漏洞的類型（1）從漏洞形成的原因分類程序邏輯結構漏洞程序設計錯誤漏洞

協議漏洞

人為漏洞（2）從漏洞是否為人們所知分類已知漏洞未知漏洞0day漏洞21學習交流PPT2、WindowsNT的典型漏洞（1）賬戶數據庫漏洞①在WindowsNT操作系統中，用戶的信息及口令均保存在SAM（SecurityAccountsManagement安全賬戶管理）數據庫中。而SAM數據庫允許被Administrator、Administrator組成員、備份操作員、服務器操作員賬戶所拷貝。這樣的SAM備份數據并不安全，能夠被一些工具軟件所破譯，從而使系統的用戶名及密碼泄密。解決措施：嚴格限制具備數據備份權限的人員賬戶；對SAM數據庫的任何操作進行審計；加強密碼的強度，提高密碼被破譯的難度。22學習交流PPT②SAM賬戶數據庫能夠被木馬或病毒通過具有備份權限的賬戶所拷貝。解決措施：減少有備份權限的賬戶上網的概率，盡量使用只有普通權限的賬戶上網。23學習交流PPT（2）SMB協議漏洞SMB(ServerMessageBlock服務器消息塊)是Microsoft的一種可以讀取SAM數據庫和其他一些服務器文件的協議。SMB協議存在較多的漏洞，如不需授權就可以訪問SAM數據庫、允許遠程訪問共享目錄、允許遠程訪問Registry數據庫；另外，SMB在驗證用戶身份時使用的是一種很容易被破譯的加密算法。解決措施：采取措施關閉135~142端口(SMB協議需要開啟135~142端口)。24學習交流PPT（3）Guest賬戶漏洞Guest賬戶如果處于開放狀態(tài)，那么其它賬戶可以以Guest賬戶身份進入系統。解決措施：給Guest賬戶設置一個復雜的密碼或關閉Guest賬戶。（4）默認共享連接漏洞系統在默認情況下具有共享連接屬性，任何用戶都可以使用“\\IPaddess\C$、\\IPaddess\D$”等方式連接系統的C盤、D盤等。解決措施：關閉系統的默認共享。25學習交流PPT（5）多次嘗試連接次數漏洞默認情況下系統沒有對用戶連接系統的嘗試次數進行限制，用戶可以不斷地嘗試連接系統。解決措施：使用安全策略，限制連接次數。（6）顯示用戶名漏洞默認情況下系統會顯示最近一次登錄系統的用戶名，這會給非法用戶企圖進入系統減少了一次安全屏障。因為非法用戶嘗試進入系統時只要猜測用戶密碼而不需猜測用戶名了。解決措施：在注冊表中修改關于登錄的信息，不顯示曾經登錄的用戶名。26學習交流PPT（7）打印漏洞系統中具有打印操作員權限的用戶對打印驅動程序具有系統級的訪問權限，這會方便黑客通過在打印驅動程序中插入木馬或病毒從而控制系統。解決措施：嚴格限制打印操作組成員，嚴格審計事件記錄。27學習交流PPT3、Windows2000的典型漏洞（1）登錄輸入法漏洞當用戶登錄進入系統時，可以通過使用輸入法的幫助功能繞過系統的用戶驗證，并且能夠以管理員權限訪問系統。解決措施：刪除不需要的輸入法；刪除輸入法的相關幫助文件(存放在C：\WINNT\help下)；升級微軟的安全補丁。28學習交流PPT（2）空連接漏洞空連接是指在沒有提供用戶名與密碼的情況下使用匿名用戶與服務器建立的會話。建立空連接以后，攻擊者就可以獲取用戶列表、查看共享資源等，從而為入侵系統做好準備。解決措施：關閉IPC$共享。29學習交流PPT（3）Telnet拒絕服務攻擊漏洞當Telnet啟動連接但初始化的對話還未被復位的情況下，在一定的時間間隔內如果連接用戶還沒有提供登錄的用戶名及密碼，Telnet的對話將會超時，直到用戶輸入一個字符后連接才會被復位。如果攻擊者連接到系統的Telnet守護進程，并且阻止該連接復位，那么他就可以有效地拒絕其他用戶連接該Telnet服務器，實現拒絕服務攻擊。解決措施：升級微軟的安全補丁。30學習交流PPT（4）IIS溢出漏洞Windows2000存在IIS溢出漏洞。當使用溢出漏洞攻擊工具攻擊Windows時，會使Windows開放相應的端口，從而使系統洞開，易于被攻擊。解決措施：升級微軟的專用安全補丁。（5）Unicode漏洞Unicode漏洞是屬于字符編碼的漏洞，是由于Windows2000在處理雙字節(jié)字符時所使用的編碼格式與英文版本不同所造成的。由于IIS不對超長序列進行檢查，因此在URL中添加超長的Unicode序列后，可繞過Windows安全檢查。解決措施：升級微軟的專用安全補丁。31學習交流PPT（6）IIS驗證漏洞IIS提供了Web、FTP和Mail等服務，并支持匿名訪問。當Web服務器驗證用戶失敗時，將返回“401AccessDenied”信息。如服務器支持基本認證，攻擊者可將主機頭域置空后，Web服務器返回包含內部地址的信息，因此，可利用該問題對服務器的用戶口令進行暴力破解。解決措施：設置賬號安全策略防止暴力破解。32學習交流PPT（7）域賬號鎖定漏洞在使用NTLM（NTLANManager）認證的域中，Windows2000主機無法識別針對本地用戶制訂的域賬號鎖定策略，使窮舉密碼攻擊成為可能。解決措施：安裝微軟的安全升級包。33學習交流PPT（8）ActiveX控件漏洞ActiveX控件主要用于支持基于網絡的信用注冊。當該控件被用于提交“PKCS#10”的信用請求，并在請求得到許可后，將被存放于用戶信用存儲區(qū)。該控件可使網頁通過復雜的過程來刪除用戶系統的信用賬號。攻擊者還可建立利用該漏洞的網頁，以攻擊訪問該站點的用戶或直接將網頁作為郵件發(fā)送來攻擊。解決措施：安裝微軟的安全升級包。34學習交流PPT4、WindowsXP的典型漏洞（1）升級程序帶來的漏洞在將WindowsXP升級為WindowsXPPro時，IE6.0會重新安裝。但在系統重新安裝時會將以前的漏洞補丁程序刪除，并且會導致微軟的升級服務器無法判斷IE是否有漏洞。解決措施：及時升級微軟的安全補丁。35學習交流PPT（2）UPnP服務漏洞UPnP(通用即插即用)是面向無線設備、PC機和智能應用的服務。該服務提供普遍的對等網絡連接，在家用信息設備、辦公網絡設備間提供TCP/IP連接和Web訪問功能，并可用于檢測和集成UPnP硬件。在WindowsXP系統中該服務默認是啟用的，而UPnP協議存在安全漏洞，可使攻擊者在非法獲取WindowsXP的系統級訪問后發(fā)動攻擊。解決措施：禁用UPnP服務，及時升級微軟的安全補丁。36學習交流PPT（3）壓縮文件夾漏洞WindowsXP的壓縮文件夾可按攻擊者的選擇運行代碼。在安裝“Plus！”包的WindowsXP系統中，“壓縮文件夾”功能允許將Zip文件作為普通文件夾處理。這樣的處理方法存在著如下兩方面的漏洞：在解壓縮Zip文件時會有未經檢查的緩沖存在于程序中以存放被解壓文件，因此很可能導致瀏覽器崩潰或攻擊者的代碼被運行。解壓縮功能可以在非用戶指定目錄中放置文件，這樣可使攻擊者在用戶系統的已知位置中放置文件。解決措施：不下載或拒收不信任的ZIP壓縮文件。37學習交流PPT（4）服務拒絕漏洞WindowsXP系統支持點對點協議（PPTP），該協議是作為遠程訪問服務實現的VPN技術協議。由于在控制用于建立、維護和拆除PPTP連接的代碼段中存在未經檢查的緩存，導致WindowsXP的實現中存在漏洞。通過向一臺存在該漏洞的服務器發(fā)送不正確的PPTP控制數據，攻擊者可損壞核心內存并導致系統失效，中斷所有系統中正在運行的進程。該漏洞可攻擊任何一臺提供PPTP服務的服務器，對于PPTP客戶機，攻擊者只需激活PPTP會話即可進行攻擊。對遭到攻擊的系統，可以通過重啟來恢復正常。解決措施：不啟動默認的PPTP協議38學習交流PPT（5）WindowsMediaPlayer漏洞WindowsMediaPlayer是Windows中的媒體播放軟件。在WindowsXP系統中，WindowsMediaPlayer漏洞主要產生兩個問題：一是信息泄漏，它給攻擊者提供一種可在用戶系統上運行代碼的方法；二是腳本執(zhí)行，當用戶選擇播放一個特殊的媒體文件，并又瀏覽一個特殊建造的網頁后，攻擊者就可利用該漏洞運行腳本。解決措施：將要播放的文件先下載到本地再播放。39學習交流PPT（6）VM虛擬機漏洞當攻擊者在網站上擁有惡意的“Javaapplet”并引誘用戶訪問該站點時，可通過向JDBC（JavaDataBaseConnectivity）類傳送無效的參數使宿主應用程序崩潰，這樣，攻擊者可以在用戶機器上安裝任意DLL，并執(zhí)行任意的本機代碼，潛在地破壞或讀取內存數據。解決措施：經常進行相關軟件的安全更新。40學習交流PPT（7）熱鍵漏洞熱鍵是系統為方便用戶的操作而提供的服務功能。但設置熱鍵后，由于WindowsXP的自注銷功能，可使系統“假注銷”，其他用戶即可通過熱鍵調用程序。雖然無法進入桌面，但由于熱鍵服務還未停止，仍可使用熱鍵啟動應用程序。解決措施：關閉不需要的熱鍵功能；啟動屏幕保護功能，并設定密碼。41學習交流PPT（8）賬號快速切換漏洞WindowsXP具有賬號快速切換功能，使用戶可快速地在不同的賬號間進行切換。該切換功能的設計存在問題，使用時易于造成賬號鎖定，使所有非管理員賬號均無法登錄。解決措施：禁用賬號快速切換功能。42學習交流PPT5、補丁程序補丁程序是指對于大型軟件系統在使用過程中暴露的問題而發(fā)布的解決問題的小程序。（1）按照對象分類，補丁程序可分為系統補丁和軟件補丁。（2）按照安裝方式分類，補丁程序可分為自動更新的補丁和手動更新的補丁。（3）按照補丁的重要性分類，補丁程序可分為高危漏洞補丁、功能更新補丁和不推薦補丁。43學習交流PPT2.3網絡操作系統安全設置實例2.3.1Windows系統的安全設置1、通過管理電腦屬性來實現系統安全右擊“我的電腦”，選擇“管理”，出現如圖2.1所示“計算機管理”界面。圖2.1計算機管理44學習交流PPT（1）關閉Guest賬戶Guest賬戶是Windows系統安裝后的一個默認賬戶?？蛻艨梢允褂迷撡~戶，攻擊者也可以使用該賬戶。使用Guest賬戶連接網絡系統時，服務器不能判斷連接者的身份，因此，為了安全起見最好關閉該賬戶。第1步：在圖2.1中，展開“本地用戶和組”，單擊“用戶”，在右面的窗口中顯示目前系統中的用戶信息，如圖2.2所示，圖標上有“×”的用戶表示已經停用。45學習交流PPT圖2.2本地用戶信息46學習交流PPT第2步：停用Guest賬戶。右擊“Guest”，選擇“屬性”，出現“Guest屬性”窗口；勾選“賬戶已禁用”，點擊“確定”按鈕，Guest賬戶即被停用(圖標上有“×”)，如圖2.3所示。圖2.3停用Guest賬戶47學習交流PPT（2）修改管理員賬戶Windows系統默認的管理員賬戶是“Administrator”且不能刪除，在Windows2000中甚至不能停用。為了減少系統被攻擊的風險，將默認的管理員賬戶改名是很有必要的。右擊“Administrator”，選擇“重命名”，在用戶名Administrator處出現閃爍的光標，如圖2.3所示，即可修改Administrator的名稱。必要時，再給Administrator設置一個復雜的密碼。48學習交流PPT（3）設置陷阱賬戶所謂“陷阱”，就像生活中獵人挖的陷阱一樣，是專門給獵物預備的。新建一個賬戶作為陷阱賬戶，名稱就叫做“Administrator”，但它不屬于管理員組而僅僅是一個有最基本權限的用戶，其密碼設置得復雜一些。當攻擊者檢測到系統中有Administrator賬戶時，就會花大力氣去破解，這樣網絡管理員就可以采取反追蹤措施去抓住攻擊者，即使Administrator賬戶被破解也沒有關系，因為這個賬戶根本就沒有任何權限。49學習交流PPT（4）關閉不必要的服務作為網絡操作系統，為了提供一定的網絡服務功能，必須要開放一些服務。從安全角度出發(fā)，開放的服務越少，系統就越安全。因此，有必要將不需要的服務關閉。展開“計算機管理”→“服務和應用程序”→“服務”，在右面窗口中即可看到系統服務的內容，如圖2.4所示。50學習交流PPT圖2.4服務名稱及狀態(tài)51學習交流PPT（5）關閉不必要的端口計算機之間的通信必須要開放相應的端口。但從安全角度考慮，系統開放的端口越少就越安全，因此有必要減少開放的端口，或從服務器角度出發(fā)指定開放的端口。如果不清楚某個端口的作用，可以在Windows\system32\drivers\etc中找到services文件并使用記事本打開，就可以得知某項服務所對應的端口號及使用的協議。52學習交流PPT第1步：依次點擊“開始”→“設置”→“網絡連接”，右擊“本地連接”，選擇“屬性”，找到“Internet協議（TCP/IP）屬性”，點擊“高級”按鈕；在出現的窗口中，選擇“選項”子項，如圖2.5所示。圖2.5TCP/IP篩選屬性53學習交流PPT第2步：單擊“屬性”按鈕，出現如圖2.6所示窗口，勾選“啟用TCP/IP篩選”項。圖2.6啟用TCP/IP篩選并指定開放端口54學習交流PPT第3步：如果主機是Web服務器，只開放80端口，則可點擊“TCP端口”上方的單選項“只允許”，再單擊“添加”按鈕。在出現的“添加篩選器”對話框中填入端口號80，點擊“確認”按鈕即可，如圖2.6所示。55學習交流PPT（6）設置屏幕保護密碼當網絡管理員暫時離開主機時，為了保證系統不被其他人操作，需要設置屏幕保護密碼。設置屏幕保護密碼的操作如下：右擊“桌面”空白處，選擇“屬性”，在如圖2.7里選擇“屏幕保護程序”選項卡。在“屏幕保護程序”欄的下拉菜單選擇屏幕保護時采用的程序；在“等待”框里輸入執(zhí)行屏幕保護的時間(分)，并勾選“在恢復時使用密碼保護”。56學習交流PPT圖2.7設置屏幕保護57學習交流PPT2、通過管理組策略來實現系統安全打開組策略：單擊“開始”→“運行”，在“運行”里輸入“gpedit.msc”，按“確定”按鈕后即可出現“組策略”編輯器界面，如圖2.8所示。圖2.8組策略編輯器58學習交流PPT（1）配置系統密碼策略配置密碼策略的目的是使用戶使用符合策略要求的密碼，以免出現某些用戶設置的密碼過于簡單(弱口令)等問題。配置系統密碼策略的操作如下：第1步：打開“密碼策略”。在“組策略”編輯器中依次展開“計算機配置”→“Windows設置”→“安全設置”→“賬戶策略”→“密碼策略”，在右側窗口中顯示可進行配置的密碼策略，如圖2.9所示。59學習交流PPT圖2.9密碼策略60學習交流PPT第2步：配置密碼復雜性要求。右擊“密碼必須符合復雜性要求”，選擇“屬性”，出現如圖2.10所示窗口。點選“已啟用”，再單擊“應用”→“確定”，即可啟動密碼復雜性設置。圖2.10配置密碼復雜性61學習交流PPT第3步：配置密碼長度。右擊“密碼長度最小值”，選擇“屬性”，如圖2.11所示。輸入字符的長度值，再單擊“應用”→“確定”即可。圖2.11配置密碼長度62學習交流PPT第4步：配置密碼最長使用期限。右擊“密碼最長存留期”，選擇“屬性”，如圖2.12所示。輸入密碼的過期時間(本例為30天，系統默認為42天)，單擊“確定”即可。圖2.12配置密碼使用期限63學習交流PPT第5步：配置密碼最短使用期限。配置“密碼最短存留期”的方法類似于“密碼最長存留期”，如圖2.13所示。圖2.13配置密碼最短使用期限64學習交流PPT第6步：配置強制密碼歷史。右擊“強制密碼歷史”，選擇“屬性”，出現如圖2.14所示窗口；選擇“保留密碼歷史”的數字(本例為3)，再“確定”即可。“強制密碼歷史”的意思是用戶在修改密碼時必須滿足所規(guī)定記住密碼的個數而不能連續(xù)使用舊密碼。本例選定“3”，說明用戶必須在第4次更換密碼時才能重復使用第1次使用的密碼。圖2.14配置密碼歷史65學習交流PPT上述系統“密碼策略”的各項配置結果如圖2.15所示。圖2.15密碼策略配置結果66學習交流PPT（2）配置系統賬戶策略第1步：展開賬戶鎖定策略。在“組策略”編輯器中依次展開“計算機配置”→“Windows設置”→“安全設置”→“賬戶策略”→“賬戶鎖定策略”，在右側窗口中顯示可進行配置的賬戶策略，如圖2.16所示。圖2.16賬戶鎖定策略67學習交流PPT第2步：配置賬戶鎖定閾值。右擊“賬戶鎖定閾值”，選擇“屬性”，如圖2.17所示。輸入無效登錄鎖定賬戶的次數，單擊“應用”→“確定”即可。圖2.17配置賬戶鎖定閾值68學習交流PPT第3步：配置賬戶鎖定時間。右擊“賬戶鎖定時間”，選擇“屬性”，出現如圖2.18所示窗口，設定時間后點擊“確定”按鈕。圖2.18配置賬戶鎖定時間69學習交流PPT第4步：配置復位賬戶鎖定計數器。右擊“復位賬戶鎖定計數器”，選擇“屬性”，出現如圖2.19所示窗口，設定時間后點擊“確定”按鈕。圖2.19配置賬戶鎖定復位時間70學習交流PPT各項賬戶鎖定策略配置成功后，其配置效果如圖2.20所示。圖2.20賬戶鎖定策略配置71學習交流PPT（3）配置審核策略審核策略是對系統發(fā)生的事件或進程進行記錄的過程，網絡管理員可以根據對事件的記錄檢查系統發(fā)生故障的原因等，這可對維護系統起到參考作用。在“組策略”編輯器中依次展開“計算機配置”→“Windows設置”→安全設置”→本地策略”→“審核策略”，在右側窗口中顯示可進行配置的審核策略。72學習交流PPT右擊某項策略，如“審核登錄事件”，選擇“屬性”，出現如圖2.21所示屬性窗口。勾選所選項，單擊“確定”按鈕。出現如圖2.22所示窗口，系統對登錄成功和失敗的事件都會進行記錄。圖2.21配置審核登錄事件屬性圖2.22配置審核事件成功73學習交流PPT（4）用戶權限分配“用戶權限分配”是對系統中用戶或用戶組的權限進行分配的策略項。一般情況下可采用默認設置，網絡管理員也可根據系統的實際情況進行修改。配置方法：在“組策略”編輯器中依次展開“計算機配置”→“Windows設置”→“安全設置”→“本地策略”→“用戶權限分配”項，在右側窗口中顯示出系統默認用戶(組)所具有的權限，如圖2.23所示。74學習交流PPT圖2.23配置用戶權限75學習交流PPT（5）配置“安全選項”配置方法：在“組策略”編輯器中依次展開“計算機配置”→“Windows設置”→“安全設置”→“本地策略”→“安全選項”。①不顯示系統最后登錄的用戶賬戶默認情況下，系統保留最后一個登錄用戶的賬戶。但這樣會使非法用戶在嘗試登錄系統時，利用已知用戶賬戶，只需嘗試用戶的密碼即可，使系統減少了一層安全屏障。可以采用配置安全策略方法使系統不顯示最后一個登錄系統的用戶賬戶。76學習交流PPT右擊策略里的“交互式登錄：不顯示上次的用戶名”，選擇“屬性”。在出現的窗口中點選“已啟用”，再點擊“應用”→“確定”按鈕，該項策略已啟用，如圖2.24所示。圖2.24配置不顯示上次用戶名屬性77學習交流PPT②配置安全選項，使光驅不能被遠程使用在“安全選項”里右擊“設備：只有本地登錄的用戶才能訪問CD-ROM”項，選擇“屬性”，如圖2.25所示；點選“已啟用”，再點擊“應用”→“確定”按鈕，該項策略“已啟用”。圖2.25只有本地登錄的用戶才能訪問CD-ROM配置78學習交流PPT（6）配置只允許用戶執(zhí)行的程序在Windows2003系統中，可對用戶設置可以執(zhí)行的程序，這樣用戶就只能執(zhí)行配置中所規(guī)定的程序，從而增強系統的安全性。該類的配置操作如下：第1步：在“組策略”編輯器中依次展開“用戶配置”→“管理模板”→“系統”，在右側窗口中列出眾多“設置”項及其“狀態(tài)”。第2步：右擊“設置”項中的“只運行許可的Windows應用程序”，選擇屬性。在出現的如圖2.26所示的“屬性”窗口里點選“已啟用”，再點擊“顯示”按鈕，出現“顯示內容”窗口。79學習交流PPT第3步：在“顯示內容”窗口中點擊“添加”按鈕，在“添加項目”對話框中輸入允許用戶執(zhí)行的程序，點擊“確定”按鈕即可。圖2.26添加只允許運行的特定程序80學習交流PPT（7）隱藏驅動器在工作中有時因特殊用途，會對用戶隱藏一些驅動器，在組策略中可以實現這一目的。其配置操作如下：第1步：在”組策略”編輯器中依次展開“用戶配置”→“管理模板”→“Windows組件”→“Windows資源管理器”，在右側窗口列出很多“設置”項及其“狀態(tài)”。第2步：右擊“設置”項中的“隱藏“我的電腦”中的這些指定的驅動器”，選擇“屬性”。第3步：在出現的如圖2.27所示屬性窗口中打開“設置”選項卡，點選“已啟用”，并在“選擇下列組合中的一個”下拉菜單中選擇設置限制項，最后點擊“確定”按鈕即可。81學習交流PPT圖2.27限制驅動器82學習交流PPT（8）配置開始菜單和任務欄在某些特殊場所應用中，需要對“開始菜單”和“任務欄”做特殊的管理。如在網吧，一般不允許用戶使用“運行”命令，不允許注銷用戶等，這些要求都可以通過配置組策略來實現。第1步：在“組策略”編輯器中依次展開“用戶配置”→“管理模板”→“任務欄和『開始』菜單”，在右側窗口中顯示出很多“設置”項及其“狀態(tài)”。83學習交流PPT第2步：如果需要在開始菜單中取消“搜索”命令，則配置“從『開始』菜單中刪除“搜索”菜單”為“已啟用”即可，如圖2.28所示。第3步：如果需要在開始菜單中取消“注銷”命令，則配置“刪除『開始』菜單上的“注銷”為“已啟用”即可。圖2.28在開始菜單中取消“注銷”命令84學習交流PPT3、通過管理注冊表來實現系統安全注冊表(Registry)是Windows系統中的重要數據庫，用于存儲計算機軟硬件系統和應用程序的設置信息。因此，在不清楚某項注冊表含義的情況下，切勿進行修改或刪除，否則系統可能被破壞。85學習交流PPT（1）注冊表的結構單擊“開始”→“運行”，輸入“Regedit”并執(zhí)行，即可進入注冊表編輯器，如圖2.29所示。注冊表結構：在左側窗口中由“我的電腦”開始，以下是五個分支，每個分支名都以HKEY開頭(稱為主鍵KEY)，展開后可以看到主鍵還包含多級的次鍵(SubKEY)，注冊表中的信息就是按照多級的層次結構組織的。當單擊某一主鍵或次鍵時，右邊窗口中顯示的是所選主鍵或次鍵包含的一個或多個鍵值(Value)。鍵值由鍵值名稱(ValueName)和數據(ValueData)組成。86學習交流PPT圖2.29注冊表編輯器界面87學習交流PPT①主鍵HKEY_CLASSES_ROOT該主鍵用于管理文件系統，記錄的是Windows操作系統中所有的數據文件信息。當用戶雙擊一個文檔或程序時，系統可以通過這些信息啟動相應的應用程序來打開文檔或程序。②主鍵HKEY_CURRENT_USER該主鍵用于管理當前用戶的配置情況。在該主鍵中可以查閱當前計算機中登錄用戶的相關信息，包括個人程序、桌面設置等。88學習交流PPT③主鍵HKEY_LOCAL_MACHINE該主鍵用于管理系統中所有硬件設備的配置情況，該主鍵中存放用來控制系統和軟件的設置，如總線類型、設備驅動程序等。由于這些設置是針對使用Windows系統的用戶而設置的，是公共配置信息，與具體用戶無關。④主鍵HKEY_USER該主鍵用于管理系統中所有用戶的配置信息。系統中每個用戶的信息都保存在該文件夾中，如用戶使用的圖標、開始菜單的內容、字體、顏色等。89學習交流PPT⑤主鍵HKEY_CURRENT_CONFIG該主鍵用于管理當前用戶的系統配置情況，其配置信息是從HKEY_LOCAL_MACHINE中映射出來。（2）注冊表的備份與還原(導出與導入)因為注冊表中保存的是操作系統的重要配置信息，在對注冊表進行操作前最好先對注冊表做好備份。90學習交流PPT①導出注冊表(備份)單擊“文件”菜單，選擇“導出”，出現如圖2.30所示窗口，選擇保存路徑，并在“文件名”框中輸入所保存的注冊表文件的名稱；再選擇導出范圍(全部或分支)；最后單擊“保存”按鈕。圖2.30導出注冊表91學習交流PPT②導入注冊表(恢復)單擊注冊表中的“文件”菜單，選擇“導入”；在出現的如圖2.31所示窗口中，查找到原來所導出的注冊表文件；點擊“打開”按鈕。圖2.31導入注冊表92學習交流PPT（3）利用注冊表進行系統的安全配置①清除系統默認共享方法1：右擊“我的電腦”，選擇“管理”，展開“共享文件夾”，選擇“共享”，出現如圖2.32所示窗口。在右側窗口中可見系統共享文件夾C$的共享路徑實際上就是系統的C盤根目錄。右擊右側窗口的C$，在出現的菜單中選擇“停止共享”，即可清除系統的默認共享。93學習交流PPT這種清除默認共享的方法操作簡便，但卻不是一勞永逸的，因為在系統每一次啟動后都需進行一次這樣的操作。圖2.32停止默認共享94學習交流PPT方法2：在系統字符界面下，執(zhí)行刪除默認共享的命令，并將其做成一個批處理命令，放到系統的“啟動”程序中。這樣系統每次啟動時會首先執(zhí)行“啟動”中的程序，就可刪除系統默認共享，如圖2.33所示。圖2.33建立取消默認共享批處理95學習交流PPT方法3：通過修改注冊表實現：在注冊表中展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters”注冊表項，雙擊右窗格中的“AutoShareServer”，將其鍵值改為“0”即可，如圖2.34所示。利用這種方法清除默認共享是一勞永逸的。圖2.34配置注冊表取消默認共享96學習交流PPT②禁止建立空連接在注冊表中展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA”注冊表項，雙擊右側窗口中的“RestrictAnonymous”，將其鍵值改為“1”即可，如圖2.35所示。圖2.35配置注冊表取消空連接97學習交流PPT③不顯示系統最后登錄的用戶賬戶第1步：在注冊表中展開“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon”，右擊“Winlogon”，選“新建”→“字符串值”，如圖2.36所示。圖2.36注冊表登錄項98學習交流PPT第2步：在右側窗口中，出現“新值#1”項，如圖2.37所示。右擊“新值#1”項，選擇“重命名”，輸入新名稱“DONTDISPLAYLASTUSERNAME”；再右擊該項，選擇“修改”。在出現的圖2.38中，將“數值數據”框中輸入1，點擊“確定”按鈕即可。圖2.37新建字符串值圖2.38為新建字符串值賦值99學習交流PPT④禁止光盤的自動運行在注冊表中展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom”，如圖2.39所示。右擊右側窗口的“AutoRun”，選擇“修改”。在出現的“編輯DWORD值”的“數值數據”數據框中填入0，即可禁止光盤的自動運行。圖2.39注冊表中禁止光驅自動運行100學習交流PPT⑤防止U盤病毒傳播在注冊表中展開“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2”，右擊“MountPoints2”，選擇“權限”，出現如圖2.40所示權限窗口。將Administrator和Administrators的“完全控制”和“讀取”權限均設置為“拒絕”，再點擊“確定”按鈕即可。圖2.40配置MountPoints2子項權限101學習交流PPT⑥禁止木馬病毒程序的自行啟動在注冊表中展開“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”。右擊“Run”，選擇“權限”，出現如圖2.41所示窗口。點擊“添加”按鈕，添加一個“Everyone”用戶組，將“Everyone”用戶組的“完全控制”和“讀取”權限設置為拒絕，再點擊“確定”按鈕即可。圖2.41配置啟動子項權限102學習交流PPT⑦修改系統默認的TTL值由于不同操作系統默認的TTL值不同，攻擊者可以根據TTL值來判斷系統主機的操作系統，進而采取相應的針對特定系統的漏洞掃描等操作。為了系統的安全，有必要對默認TTL值進行修改。如果將系統默認的TTL值修改為不是表中的數值，或故意修改為其它操作系統的TTL值，那么當攻擊者檢測到TTL值時，再采用針對該系統的攻擊工具進行攻擊時當然就不會成功。103學習交流PPT在注冊表中展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”，右擊“Parameters”，選擇“新建”→“DWORD值”，如圖2.43所示。圖2.43修改TTL之新建子項104學習交流PPT將新建項命名為“defaultTTL”。右擊“defaultTTL”項，選擇“修改”。在出現的“編輯DWORD值”框里，將“基數”項選為“十進制”，在“數值數據”框中輸入希望系統顯示的TTL值，如圖2.44所示。圖2.44修改默認TTL值105學習交流PPT⑧禁止遠程修改注冊表在注冊表中展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Securepipeservers\winreg”項。新建“DWORD”項，將其名稱命名為“RemoteRegAccess”，其值取為“1”，如圖2.46所示。這樣，系統即可拒絕遠程修改注冊表。圖2.46配置禁止遠程修改注冊表106學習交流PPT⑨禁止操作注冊表編輯器打開注冊表“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies”，新建“system”項。在“system”項新建“DWORD”項，名稱命名為“Disableregistrytools”，取值為“1”，如圖2.47所示。這樣，重新啟動系統后，在用戶操作注冊表編輯器時將提示不允許操作。圖2.47配置禁止使用注冊表編輯器107學習交流PPT⑩禁止操作組策略編輯器打開注冊表“HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC”，在“MMC”項新建“DWORD”項，名稱命名為“RestrictToPermittedSnapins”，取值為“1”，如圖2.48所示。重新啟動系統后，在一般用戶操作組策略時將提示不允許操作。圖2.48禁止使用組策略108學習交流PPT2.3.2Linux系統的安全設置1．BIOS的安全設置BIOS密碼后可以防止通過在BIOS改變啟動順序，而從其他設備啟動。這就可以阻止別人試圖用特殊的啟動盤啟動系統，還可以阻止別人進入BIOS改動其中的設置系統安裝完畢后，除了硬盤啟動外，要在BIOS中禁止除硬盤以外的任何設備啟動。109學習交流PPT2．加載程序的啟動啟動加載程序時盡量使用GRUB而不使用LILO。雖然它們都可以加入啟動口令，但是LILO在配置文件中使用明文口令，而GRUB是使用MD5算法加密的。加密碼保護后可以防止使用被定制的內核來啟動系統，并在沒