學(xué)習(xí)情境二 服務(wù)器操作系統(tǒng)安全維護(hù)和管理

學(xué)習(xí)情景二：服務(wù)器操作系統(tǒng)安全維護(hù)和管理

任務(wù)1：配置Windows系統(tǒng)維護(hù)計(jì)算機(jī)連網(wǎng)安全任務(wù)2：IE瀏覽器安全設(shè)置任務(wù)3：系統(tǒng)文件權(quán)限設(shè)置任務(wù)4：系統(tǒng)安全審核任務(wù)5：防病毒工具軟件的使用任務(wù)1：配置Windows系統(tǒng)維護(hù)計(jì)算機(jī)連網(wǎng)安全

能力目標(biāo)：會(huì)運(yùn)用系統(tǒng)的策略配置維護(hù)計(jì)算機(jī)連網(wǎng)安全知識(shí)目標(biāo)：掌握Windows系統(tǒng)中網(wǎng)絡(luò)安全管理方法操作系統(tǒng)安全基礎(chǔ)

20世紀(jì)80年代，美國國防部根據(jù)軍用計(jì)算機(jī)系統(tǒng)的安全需要，制定了《可信計(jì)算機(jī)系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)》（TrustedComputerSystemEvaluationCriteria，簡稱TCSEC）級(jí)別系統(tǒng)的安全可信度D最低安全C1自主存取控制C2較完善的自主存取控制（DAC）B1強(qiáng)制存取控制（MAC）B2良好的結(jié)構(gòu)化設(shè)計(jì)、形式化安全模型B3全面的訪問控制、可信恢復(fù)A形式化認(rèn)證（最高安全）查看當(dāng)前鏈接的端口

netstat–na查看鏈接端口的宿主

netstat–nab

如本機(jī)在135端口監(jiān)聽，由“svchost.exe”程序創(chuàng)建的，該程序一共調(diào)用了組件（WS2_32.dll等）1、關(guān)閉不需要的端口

右鍵單擊“本地連接”，選擇“屬性”，打開“本地連接屬性”對(duì)話框，然后在“常規(guī)”選項(xiàng)卡里雙擊“Internet協(xié)議（TCP/IP）”，彈出“Internet協(xié)議（TCP/IP）屬性”對(duì)話框，單擊下面的“高級(jí)”按鈕，彈出“高級(jí)TCP/IP設(shè)置”對(duì)話框，選擇“選項(xiàng)”選項(xiàng)卡，如圖所示。再單擊“屬性”按鈕，彈出“TCP/IP篩選”對(duì)話框。選中“只允許”單選框，添加TCP、UDP和IP等網(wǎng)絡(luò)協(xié)議允許的端口2、IP安全策略

默認(rèn)情況下，Windows有很多端口是開放的，在你上網(wǎng)的時(shí)候，網(wǎng)絡(luò)病毒和黑客可以通過這些端口連上你的電腦。為了安全，應(yīng)該封閉這些端口，主要有：TCP135、139、445、593、1025端口和UDP135、137、138、445端口，一些流行病毒的后門端口（如TCP2745、3127、6129端口），以及遠(yuǎn)程服務(wù)訪問端口3389。下面介紹如何在WinXP/2000/2003下關(guān)閉這些網(wǎng)絡(luò)端口：依次選擇“開始”→“設(shè)置”→“控制面板”→“性能和維護(hù)”→“管理工具”菜單命令，雙擊“本地安全策略”圖標(biāo)，打開“本地安全設(shè)置”窗口，選中“IP安全策略，在本地計(jì)算機(jī)”，然后在右邊窗格的空白處右鍵單擊鼠標(biāo)，再右鍵菜單選擇“創(chuàng)建IP安全策略”，彈出“IP安全策略向?qū)А睂?duì)話框，以關(guān)閉135端口為例3.禁止NetBIOS第1步：在桌面右鍵單擊“網(wǎng)上鄰居”，選擇“屬性”，打開“網(wǎng)絡(luò)連接”窗口，然后右鍵單擊“本地連接”，選擇“屬性”，打開“本地連接屬性”對(duì)話框，如果不需要共享文件和打印機(jī)，那么在“常規(guī)”選項(xiàng)卡里將“MicrosoftWindows網(wǎng)絡(luò)的文件和打印機(jī)共享”卸載。第2步：雙擊“Internet協(xié)議（TCP/IP）”，彈出“Internet協(xié)議（TCP/IP）屬性”對(duì)話框，單擊下面的“高級(jí)”按鈕，彈出“高級(jí)TCP/IP設(shè)置”對(duì)話框，選擇“WINS”選項(xiàng)卡，如圖4.7所示，取消“啟用LMHOSTS查詢”，然后選擇“禁用TCP/IP上的NetBIOS”。第3步：在開始菜單中打開“運(yùn)行”對(duì)話框，輸入“services.msc”打開“服務(wù)”窗口，找到TCP/IPNetBIOSHelper這個(gè)服務(wù)，停止這個(gè)服務(wù)，并設(shè)置啟動(dòng)類型為手動(dòng)或禁止。第4步：重新啟動(dòng)電腦。4、禁止遠(yuǎn)程協(xié)助取消“允許從這臺(tái)計(jì)算機(jī)發(fā)送遠(yuǎn)程協(xié)助邀請(qǐng)”5、終端服務(wù)（1）禁用“終端服務(wù)”。在“遠(yuǎn)程”選項(xiàng)卡里取消“允許用戶遠(yuǎn)程連接到此計(jì)算機(jī)”。（2）更改“終端服務(wù)”監(jiān)聽端口在注冊(cè)表編輯器中，按照HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp路徑找到“PortNumber”=dword:00002683，將端口值更改為5858（任意指定）任務(wù)2：維護(hù)IE瀏覽器安全

能力目標(biāo)：會(huì)基本的IE瀏覽器安全配置能配置組策略維護(hù)系統(tǒng)安全（防遠(yuǎn)程控制）知識(shí)目標(biāo)：掌握IE瀏覽器的安全設(shè)置方法掌握Windows組策略的使用打開InternetExplorer，依次選擇“工具”→“Internet選項(xiàng)”，打開“Internet選項(xiàng)”對(duì)話框，選擇“安全”選項(xiàng)卡維護(hù)IE瀏覽器安全如果進(jìn)行了IE的安全設(shè)置后，影響到少數(shù)必須要訪問的站點(diǎn)，但是為了安全又不想把Internet區(qū)域的安全級(jí)別設(shè)置的太低，那么可以將一些信任的站點(diǎn)添加到“可信站點(diǎn)”中去打開圖中的“高級(jí)”選項(xiàng)卡，進(jìn)行安全配置注冊(cè)表中與IE相關(guān)的設(shè)置HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\拓展任務(wù)：個(gè)人主機(jī)的遠(yuǎn)程控制及防范1.windows組策略2.關(guān)閉不需要的服務(wù)3.IPC$功能對(duì)于WindowsNT操作系統(tǒng)，在默認(rèn)安全設(shè)置下，借助空連接可以列舉目標(biāo)主機(jī)上的用戶和共享，訪問Everyone權(quán)限的共享，訪問小部分注冊(cè)表等。防范IPC默認(rèn)共享第1步：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous項(xiàng)設(shè)置為1第2步：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters的AutoShareServer項(xiàng)設(shè)置為0第3步：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters的AutoShareWks項(xiàng)設(shè)置為0另外，也可永久關(guān)閉IPC$和默認(rèn)共享所依賴的服務(wù)：lanmanserver（server）。任務(wù)3：系統(tǒng)文件權(quán)限設(shè)置

能力目標(biāo)：能為文件或文件夾分配權(quán)限知識(shí)目標(biāo)：理解Windows權(quán)限的概念

知識(shí)準(zhǔn)備1．與Windows權(quán)限密切相關(guān)的3個(gè)概念是：安全標(biāo)識(shí)符、訪問控制列表和安全主體2．權(quán)限管理的4項(xiàng)基本原則在Windows中，針對(duì)權(quán)限的管理有4項(xiàng)基本原則，即拒絕優(yōu)于允許原則、權(quán)限最小化原則、累加原則和權(quán)限繼承性原則。3．文件與文件夾權(quán)限文件與文件夾依據(jù)是否被共享到網(wǎng)絡(luò)上，其權(quán)限可以分為NTFS權(quán)限與共享權(quán)限兩種，這兩種權(quán)限既可以單獨(dú)使用，也可以相輔使用。兩者之間既能夠相互制約，也可以相互補(bǔ)充。Windows權(quán)限（1）NTFS權(quán)限。只要是在NTFS分區(qū)上的文件夾或文件，無論是否被共享，都具有此權(quán)限。此權(quán)限對(duì)于使用FAT16/FAT32分區(qū)上的文件與文件夾無效。

NTFS權(quán)限有兩大要素：一是標(biāo)準(zhǔn)訪問權(quán)限；二是特別訪問權(quán)限。標(biāo)準(zhǔn)訪問權(quán)限將一些常用的系統(tǒng)權(quán)限選項(xiàng)比較籠統(tǒng)地組成7組權(quán)限，分別是：完全控制、修改、讀取和運(yùn)行、列出文件夾目錄、讀取、寫入、特別的權(quán)限。①設(shè)置標(biāo)準(zhǔn)訪問權(quán)限。第1步：右鍵單擊Inetpub文件夾，在右鍵菜單中選擇“共享與安全”，顯示“Inetpub屬性”對(duì)話框，如圖所示。第2步：選擇“安全”選項(xiàng)卡，針對(duì)資源進(jìn)行的NTFS權(quán)限設(shè)置就是通過這個(gè)選項(xiàng)卡來實(shí)現(xiàn)的，此時(shí)應(yīng)首先在“組或用戶名稱”列表中選擇需要賦予權(quán)限的用戶名或組，然后在下方的“權(quán)限”列表中設(shè)置該用戶可以擁有的權(quán)限。②設(shè)置特別訪問權(quán)限。第1步：單擊“高級(jí)”按鈕，彈出“Inetpub的高級(jí)安全設(shè)置”對(duì)話框，如圖所示，去掉“允許父項(xiàng)的繼承權(quán)限傳播到該對(duì)象和所有子對(duì)象。包括那些在此明確定義的項(xiàng)目”前面的對(duì)勾，這樣可以斷開當(dāng)前權(quán)限設(shè)置與父級(jí)權(quán)限設(shè)置之間的繼承關(guān)系。在隨即彈出的“安全”對(duì)話框中單擊“復(fù)制”或“刪除”按鈕（單擊“復(fù)制”按鈕可以首先復(fù)制繼承的父級(jí)權(quán)限設(shè)置，然后再斷開繼承關(guān)系）特別訪問權(quán)限設(shè)置實(shí)例在NTFS分區(qū)下新建一個(gè)文件夾，設(shè)置當(dāng)前用戶有建立文件夾的權(quán)限，而不賦予該用戶建立文件的權(quán)限屏蔽QQ廣告

QQ廣告文件存放于“C:\programfiles\tencent\QQ\AD目錄下方法：刪除AD目錄下所有文件及子文件夾設(shè)置AD文件夾的權(quán)限：（1）打開文件夾的“安全”選項(xiàng)“卡，最徹底的方法刪除“組或用戶名稱”中的所有用戶。（2）或者將所有用戶的所有權(quán)限設(shè)置為“拒絕”

特別訪問權(quán)限設(shè)置實(shí)例新建文件夾a,在文件夾a中新建文件b.doc。為文件夾a設(shè)置特別訪問權(quán)限，不允許用戶查看文件b.doc的內(nèi)容允許用戶查看文件b.doc,但不允許用戶修改其內(nèi)容（2）共享權(quán)限。只要共享出來的文件就一定具有此權(quán)限。如該文件夾存在于NTFS分區(qū)中，那么將同時(shí)具有NTFS權(quán)限與共享權(quán)限。如果資源同時(shí)擁有兩種權(quán)限，那么系統(tǒng)中對(duì)權(quán)限的具體實(shí)施將以兩種權(quán)限中“較嚴(yán)格的權(quán)限”為準(zhǔn)。實(shí)例：設(shè)置共享權(quán)限練習(xí)：在NTFS分區(qū)中新建一個(gè)文件夾賦予某用戶在上一步新建目錄有建立文件夾的權(quán)限，不賦予用戶建立文件的權(quán)限思考題移動(dòng)和復(fù)制設(shè)置權(quán)限的資源時(shí)，資源的權(quán)限如何變化？任務(wù)4：系統(tǒng)安全審核

能力目標(biāo)：會(huì)系統(tǒng)安全審計(jì)知識(shí)目標(biāo)：掌握Windows系統(tǒng)安全審計(jì)知識(shí)準(zhǔn)備安全審計(jì)：它對(duì)計(jì)算機(jī)信息系統(tǒng)中的所有網(wǎng)絡(luò)資源(包括數(shù)據(jù)庫、主機(jī)、操作系統(tǒng)、安全設(shè)備等)進(jìn)行安全審計(jì)，記錄所有發(fā)生的事件，提供給系統(tǒng)管理員作為系統(tǒng)維護(hù)以及安全防范的依據(jù)。安全審計(jì)如同銀行的監(jiān)控系統(tǒng)，不論是什么人進(jìn)出銀行，都進(jìn)行如實(shí)登記，并且每個(gè)人在銀行中的行動(dòng)，乃至一個(gè)茶杯的挪動(dòng)都被如實(shí)的記錄，一旦有突發(fā)事件可以快速的查閱進(jìn)出記錄和行為記錄，確定問題所在，以便采取相應(yīng)的處理措施。

在Windows系統(tǒng)中需要分別設(shè)置審核功能來捕捉事件，對(duì)特定的活動(dòng)的跟蹤都記錄在安全事件日志中。實(shí)例：為文件和文件夾設(shè)置審核（1）在“組策略編輯器”窗口中，逐級(jí)展開左側(cè)窗口中的“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略”分支，然后在該分支下選擇“審核策略”選項(xiàng)。然后在該分支下選擇“審核策略”選項(xiàng)。雙擊“審核對(duì)象訪問”選項(xiàng)，在彈出的對(duì)話框中將“本地策略設(shè)置”框內(nèi)的“成功”和“失敗”復(fù)選框都打上勾選標(biāo)記，然后單擊“確定”按鈕。（2）右鍵單擊想要審核的新建文件夾，選擇右鍵菜單中的“屬性”，在彈出的對(duì)話框中選擇“安全”選項(xiàng)卡（3）單擊“高級(jí)”按鈕，然后在彈出的對(duì)話框中選擇“審核”選項(xiàng)卡。如果要對(duì)一個(gè)新組或用戶設(shè)置審核，可以在中單擊“添加”按鈕，然后在彈出的對(duì)話框中的“名稱”框中輸入新用戶名，然后單擊“確定”按鈕打開“新建文件夾的審核項(xiàng)目”對(duì)話框（4）在“應(yīng)用到”列表中選擇希望審核的對(duì)象。在“訪問”列表中選擇希望審核的操作。如果想禁止目錄樹中的文件和子文件夾繼承這些審核項(xiàng)目，將圖下方的復(fù)選框打上小勾。單擊“確定”按鈕，然后在彈出的對(duì)話框中單擊“確定”按鈕。

（5）在新建文件夾中新建一個(gè)文本文件（這一創(chuàng)建操作會(huì)在事件查看器中看到）。（6）使用事件查看器分析審核信息。打開事件查看器，單擊左側(cè)的“安全性”，然后在右側(cè)詳細(xì)信息窗口中，雙擊要查看的事件，彈出“事件屬性”對(duì)話框，如圖所示，從描述中可知該事件即對(duì)應(yīng)于的創(chuàng)建文本文件操作。拓展訓(xùn)練：審核其他對(duì)象練習(xí)任務(wù)5：防病毒工具軟件的使用

能力目標(biāo)：會(huì)使用防病毒工具軟件知識(shí)目標(biāo)：了解計(jì)算機(jī)病毒、蠕蟲和木馬帶來的威脅了解各種防病毒軟件的優(yōu)缺點(diǎn)討論：比較常用的殺毒軟件如何防范計(jì)算機(jī)病毒瑞星對(duì)病毒有很強(qiáng)的防御能力，但應(yīng)對(duì)計(jì)算機(jī)先中毒再查殺，變得束手無策，除非更新病毒庫。另外，查殺速度比較慢。360安全衛(wèi)士+360殺毒

360安全衛(wèi)士使用方便