信息网络安全知识普及教育培训教程--系统安全

  第七章 系统安全 福州大学网络中心 宋志刚 内容提要 内容提要 操作系统类型及安全操作系统概念 Windows操作系统安全 UNIX及Linux操作系统安全 数据库安全 7.1.1 操作系统的概念以及作用   操作系统的概念以及作用     操作系统提供了计算机硬件和计算软件的中间处理功能，使得计算机软件可以对计算机硬件采用统一的方式进行访问；同时操作系统使不同软件间可以通过统一的开放的接口进行互访 7.1.2 目前常见的操作系统   目前常见的操作系统有以下几种：     MS-DOS系列     Unix (Sco Unix,Solaris,Aix,HP-UX…)     Linux/FreeBSD     Windows 3.X/NT/95/98/2000/XP/2003/Vista/…..     Apple Mac-OS     Mobile系列-symbian、windows CE/Pocket PC     其他专用操作系统（如Cisco IOS等） 7.1.2.1 DOS操作系统   DOS操作系统     美国微软（microsoft）开发     1979年，IBM公司开发出基于Intel 8086个人电脑（PC）     Microsoft公司编写了MS-DOS操作系统     由于个人电脑的迅速普及,MS-DOS系统也随之成为用户最多的操作系统     DOS系统直到Windows95（DOS 7.0）发布才逐渐结束了它的使命   7.1.2.2 DOS操作系统的特点   DOS操作系统的特点：     简单     单用户/单进程模式     几乎没有安全措施（也导致病毒的迅速产生和泛滥） 7.1.3 Windows系统   Windows系统     1985年，推出windows 1.0 ,windows 3.X确立了windows系统的可用性     Windows 95~windows98 ，windows me为桌面版操作系统，和DOS系统共存     Windows NT为服务器专用版，后来和windows桌面版合二为一     Windows 2000以后的版本，DOS系统已经不是单独的构件存在了 7.1.3.1 Windows 系列操作系统的特点   Windows 系列操作系统特点：     图形化（GUI）界面，操作方便     多任务，多进程     多用户支持     支持多种网络协议，内置常用的Internet软件     支持多种文件系统（如DOS的FAT，windows FAT2和NTFS） 7.1.4 UNIX系统   UNIX系统     UNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。     UNIX诞生于20世纪60年代末期     1970年给系统正式取名为Unix操作系统。到1973年，Unix系统的绝大部分源代码都用C语言重新编写过，大大提高了Unix系统的可移植性，也为提高系统软件的开发效率创造了条件。 7.1.4.1 UNIX系统变革   UNIX系统变革 7.1.4.2 UNIX系统的主要特色   主要特色     UNIX操作系统经过20多年的发展后，已经成为一种成熟的主流操作系统，并在发展过程中逐步形成了一些新的特色，其中主要特色包括5个方面:     (1) 可靠性高     (2) 极强的伸缩性     (3) 网络功能强     (4) 强大的数据库支持功能     (5) 开放性好 7.1.5 Linux   Linux     Linux是一套可以免费使用和自由传播的类Unix操作系统，主要用于基于Intel x86系列CPU的计算机上，遵从POSIX 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载     Linux最早开始于一位名叫Linus Torvalds的计算机业余爱好者，当时他是芬兰赫尔辛基大学的学生。     由于开源，Linux的品种繁多（redhat、fedora、slackware、Suse、ubuntu、debian…)，主要区别在于上层，内核基本一致，外围应用软件丰富     目前基本以小型服务器操作系统为主。 7.1.5.1 Linux优点   UNIX系统的安全特征     (1) 按照可信计算机评价标准(TCSEC)达到C2级     (2) 有控制的存取保护     (3) 访问控制     (4) 个人身份标识与认证     (5) 审计 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载     (6) 操作的可靠性   安全操作系统的研究发展     操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用     没有操作系统提供的安全性，信息系统的安全性是没有基础的 7.1.7 主体和客体   主体和客体     操作系统中的每一个实体组件都必须是主体或者是客体，或者既是主体又是客体。主体是一个主动的实体，它包括用户、用户组、进程等。系统中最基本的主体应该是用户。每个进入系统的用户必须是惟一标识的，并经过鉴别确定为真实的。系统中的所有事件要求，几乎全是由用户激发的。     客体是一个被动的实体。在操作系统中，客体可以是按照一定格式存储在一定记录介质上的数据信息（通常以文件系统格式存储数据），也可以是操作系统中的进程。操作系统中的进程（包括用户进程和系统进程）一般有着双重身份。当一个进程运行时，它必定为某一用户服务——直接或间接的处理该用户的事件要求。于是，该进程成为该用户的客体，或为另一进程的客体（这时另一进程则是该用户的客体） 7.1.8 安全策略和安全模型   安全策略和安全模型     安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细则。     安全模型则是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全策略和安全策略实现机制的关联提供了一种框架。 7.1.9 访问监控器   访问监控器     访问控制机制的理论基础是访问监控器（Reference Monitor），由J.P.Anderson首次提出。 访问监控器是一个抽象 概念，它表现的是一种思想。J.P.Anderson把访问监控器的具体 实现称为引用验证机制，它是实现访问监控器思想的硬件和软件 的组合. 7.1.10 安全内核   安全内核     安全内核是实现访问监控器概念的一种技术，在一个大型操作系统中，只有其中的一小部分软件用于安全目的是它的理论依据。所以在重新生成操作系统过程中，可用其中安全相关的软件来构成操作系统的一个可信内核，称之为安全内核。安全内核必须予以适当的保护，不能篡改。同时绝不能有任何绕过安全内核存取控制检查的存取行为存在。此外安全内核必须尽可能地小，便于进行正确性验证。安全内核由硬件和介于硬件和操作系统之间的一层软件组成。 7.1.11 可信计算基   可信计算基     操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬件。这些软件、硬件和负责系统安全管理的人员一起组成了系统的可信计算基（Trusted Computing Base，TCB）。具体来说可信计算基由以下7个部分组成：     (1)操作系统的安全内核。     (2)具有特权的程序和命令。     (3)处理敏感信息的程序，如系统管理命令等。     (4)与TCB实施安全策略有关的文件。     (5)其它有关的固件、硬件和设备。     (6)负责系统管理的人员。     (7)保障固件和硬件正确的程序和诊断软件。 7.1.12 安全操作系统的机制   安全操作系统的机制包括： 硬件安全机制 操作系统的安全标识与鉴别 访问控制、最小特权管理 可信通路和安全审计 7.1.12.1 硬件安全机制   硬件安全机制     绝大多数实现操作系统安全的硬件机制也是传统操作系统所要求的，优秀的硬件保护性能是高效、可靠的操作系统的基础。     计算机硬件安全的目标是，保证其自身的可靠性和为系统提供基本安全机制。其中基本安全机制包括存储保护、运行保护、I/O保护等。   7.1.12.2 标识与鉴别   标识与鉴别     标识与鉴别是涉及系统和用户的一个过程。标识就是系统要标识用户的身份，并为每个用户取一个系统可以识别的内部名称: 用户标识符。用户标识符必须是惟一的且不能被伪造，防止一个用户冒充另一个用户。     将用户标识符与用户联系的过程称为鉴别，鉴别过程主要用以识别用户的真实身份，鉴别操作总是要求用户具有能够证明他的身份的特殊信息，并且这个信息是秘密的，任何其他用户都不能拥有它。   7.1.12.3 访问控制   访问控制    在安全操作系统领域中，访问控制一般都涉及两种形式:     (1) 自主访问控制（Discretionary Access Control，DAC）     (2) 强制访问控制（Mandatory Access Control，MAC） 7.1.12.4 自主访问控制   自主访问控制     自主访问控制是最常用的一类访问控制机制，用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。在自主访问控制机制下，文件的拥有者可以按照自己的意愿精确指定系统中的其他用户对其文件的访问权。     亦即使用自主访问控制机制，一个用户可以自主地说明他所拥有的资源允许系统中哪些用户以何种权限进行共享。从这种意义上讲，是“自主”的。另外自主也指对其他具有授予某种访问权力的用户能够自主地（可能是间接的）将访问权或访问权的某个子集授予另外的用户。 7.1.12.5 强制访问控制MAC   强制访问控制MAC     在强制访问控制机制下，系统中的每个进程、每个文件、每个 IPC 客体( 消息队列、信号量集合和共享存贮区)都被赋予了相应的安全属性，这些安全属性是不能改变的，它由管理部门（如安全管理员）或由操作系统自动地按照严格的规则来设置，不像访问控制表那样由用户或他们的程序直接或间接地修改。     当一进程访问一个客体(如文件)时，调用强制访问控制机制，根据进程的安全属性和访问方式，比较进程的安全属性和客体的安全属性，从而确定是否允许进程对客体的访问。代表用户的进程不能改变自身的或任何客体的安全属性，包括不能改变属于用户的客体的安全属性，而且进程也不能通过授予其他用户客体存取权限简单地实现客体共享。如果系统判定拥有某一安全属性的主体不能访问某个客体，那么任何人（包括客体的拥有者）也不能使它访问该客体。从这种意义上讲，是“强制”的。 7.1.12.6 强制访问控制和自主访问控制   强制访问控制和自主访问控制     强制访问控制和自主访问控制是两种不同类型的访问控制机 制，它们常结合起来使用--仅当主体能够同时通过自主访问控制 和强制访问控制检查时，它才能访问一个客体。     用户使用自主访问控制防止其他用户非法入侵自己的文件， 强制访问控制则作为更强有力的安全保护方式，使用户不能通过 意外事件和有意识的误操作逃避安全控制。因此强制访问控制用 于将系统中的信息分密级和类进行管理，适用于政府部门、军事 和金融等领域。 7.1.12.7 最小特权管理       超级用户的隐患；     最小特权管理的思想是系统不应给用户超过执行任务所需特权以外的特权，如将超级用户的特权划分为一组细粒度的特权，分别授予不同的系统操作员/管理员，使各种系统操作员/管理员只具有完成其任务所需的特权，从而减少由于特权用户口令丢失或错误软件、恶意软件、误操作所引起的损失。比如可在系统中定义5个特权管理职责，任何一个用户都不能获取足够的权力破坏系统的安全策略。 7.1.12.8 可信通路   可信通路     在计算机系统中，用户是通过不可信的中间应用层和操作系统相互作用的。但用户登录，定义用户的安全属性，改变文件的安全级等操作，用户必须确实与安全核心通信，而不是与一个特洛伊木马打交道。系统必须防止特洛伊木马模仿登录过程，窃取用户的口令。     特权用户在进行特权操作时，也要有办法证实从终端上输出的信息是正确的，而不是来自于特洛伊木马。这些都需要一个机制保障用户和内核的通信，这种机制就是由可信通路提供的。 7.1.12.9 安全审计   安全审计     一个系统的安全审计就是对系统中有关安全的活动进行记录、检查及审核。它的主要目的就是检测和阻止非法用户对计算机系统的入侵，并显示合法用户的误操作。     审计作为一种事后追查的手段来保证系统的安全，它对涉及系统安全的操作做一个完整的记录。     审计为系统进行事故原因的查询、定位，事故发生前的预测、报警以及事故发生之后的实时处理提供详细、可靠的依据和支持，以备有违反系统安全规则的事件发生后能够有效地追查事件发生的地点和过程以及责任人。 7.1.12.10 主要安全模型   具有代表性的安全模型:     BLP机密性安全模型、Biba完整性安全模型和Clark-Wilson完整性安全模型、信息流模型、RBAC安全模型、DTE安全模型和无干扰安全模型等。 7.1.12.11 操作系统安全定义   操作系统安全定义     信息安全的五类服务，作为安全的操作系统时必须提供的     有些操作系统所提供的服务是不健全的、默认关闭的 7.1.12.12 信息安全评估标准   信息安全评估标准     ITSEC和TCSEC     TCSEC描述的系统安全级别 D----------àA     CC(Common Critical)标准 7.1.12.13 信息安全评估标准   信息安全评估标准     管理方面；     BS 7799:2000；     ISO 17799标准； 7.1.12.14 TCSEC定义的内容   TCSEC定义的内容 7.2.1 Windows操作系统安全       Windows操作系统安全 7.2.2 Windows系统的安全架构   Windows系统的安全架构     Windows NT系统内置支持用户认证、访问、控制、管理、审核。 7.2.3 Windows系统的安全组件   Windows系统的安全组件     (1) 自主访问控制(Discretion access control)允许对象所有者可以控制谁被允许访问该对象以及访问的方式。     (2) 对象重用(Object reuse)当资源(内存、磁盘等)被某应用访问时，Windows 禁止所有的系统应用访问该资源     (3) 强制登陆(Mandatory log on)要求所有的用户必须登陆，通过认证后才可以访问资源     (4) 审核(Auditing)在控制用户访问资源的同时，也可以对这些访问作了相应的记录。     (5) 对象的访问控制(Control of access to object)不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。(例如：NTFS，访问控制） 7.2.4 Windows安全子系统   安全子系统包括以下部分：     Winlogon     Graphical Identification and Authentication DLL (GINA)     Local Security Authority(LSA)     Security Support Provider Interface(SSPI)     Authentication Packages     Security support providers     Netlogon Service     Security Account Manager(SAM) 7.2.5.1 Windows安全子系统 (一)   Windows安全子系统 7.2.5.1 Windows安全子系统 (二)   Windows安全子系统     Winlogon and Gina:     Winlogon调用GINA DLL，并监视安全认证序列。而GINA DLL提供一个交互式的界面为用户登陆提供认证请求。GINA DLL被 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 成一个独立的模块，当然我们也可以用一个更加强有力的认证方式（指纹、视网膜）替换内置的GINA DLL。     Winlogon在注册表中查找\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ，如果存在GinaDLL键，Winlogon将使用这个DLL，如果不存在该键，Winlogon将使用默认值MSGINA.DLL 7.2.5.1 Windows安全子系统 (三)   Windows安全子系统    本地安全认证（Local Security Authority）：     本地安全认证（LSA）是一个被保护的子系统，它负责以下任务：     调用所有的认证包，检查在注册表中\HKLM\SYSTEM\Current ControlSet\Control\LSA下AuthenticationPAckages下的值，并调用该DLL进行认证（MSV_1.DLL）。在4.0版里，Windows NT会寻找\HKLM\SYSTEM\CurrentControlSet\Control\LSA 下所有存在的SecurityPackages值并调用。     重新找回本地组的SIDs和用户的权限。     创建用户的访问令牌。     管理本地安装的服务所使用的服务账号。     储存和映射用户权限。     管理审核的策略和设置。     管理信任关系。 7.2.5.1 Windows安全子系统 (四)   Windows安全子系统    安全支持提供者的接口（Security Support Provide Interface）：     微软的Security Support Provide Interface很简单地遵循RFC 2743和RFC 2744的定义，提供一些安全服务的API，为应用程序和服务提供请求安全的认证连接的 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 。    认证包（Authentication Package）：     认证包可以为真实用户提供认证。通过GINA DLL的可信认证后，认证包返回用户的SIDs给LSA，然后将其放在用户的访问令牌中。 7.2.5.1 Windows安全子系统 (五)   Windows安全子系统     安全支持提供者（Security Support Provider）：     安全支持提供者是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，Windows NT安装了以下三种：     (1) Msnsspc.dll：微软网络挑战/反应认证模块     (2) Msapsspc.dll：分布式密码认证挑战/反应模块，该模块也可以在微软网络中使用     (3) Schannel.dll：该认证模块使用某些证书颁发机构提供的证书来进行验证，常见的证书机构比如Verisign。这种认证方式经常在使用SSL（Secure Sockets Layer）和PCT（Private Communication Technology）协议通信的时候用到。 7.2.5.1 Windows安全子系统 (六)   Windows安全子系统    网络登陆（Netlogon）：    网络登陆服务必须在通过认证后建立一个安全的通道。要实现这个目标，必须通过安全通道与域中的域控制器建立连接，然后，再通过安全的通道传递用户的口令，在域的域控制器上响应请求后，重新取回用户的SIDs和用户权限。    安全账号管理者（Security Account Manager）：    安全账号管理者，也就是我们经常所说的SAM，它是用来保存用户账号和口令的数据库。保存了注册表中\HKLM\Security\Sam中的一部分内容。不同的域有不同的Sam，在域复制的过程中，Sam包将会被拷贝。 7.2.5.2 Windows的密码系统   Windows的密码系统     Windows NT及Win2000中对用户帐户的安全管理使用了安全帐号管理器(security account manager)的机制,安全帐号管理器对帐号的管理是通过安全标识进行的，安全标识在帐号创建时就同时创建，一旦帐号被删除，安全标识也同时被删除。安全标识是唯一的，即使是相同的用户名，在每次创建时获得的安全标识都时完全不同的。因此，一旦某个帐号被删除，它的安全标识就不再存在了，即使用相同的用户名重建帐号，也会被赋予不同的安全标识，不会保留原来的权限。 7.2.6 Windows基本安全手段   包括十二条基本配置原则：     物理安全、停止Guest帐号、限制用户数量、创建多个管理员帐号、管理员帐号改名、陷阱帐号、更改默认权限、设置安全密码、屏幕保护密码、使用NTFS分区、运行防毒软件和确保备份盘安全。 7.2.6.1 物理安全     服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。     另外，机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在安全的地方。 7.2.6.2 停止Guest帐号       在计算机管理的用户里面把Guest帐号停用，任何时候都不允许Guest帐号登陆系统。     为了保险起见，最好给Guest加一个复杂的密码，可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串。用它作为Guest帐号的密码。并且修改Guest帐号的属性，设置拒绝远程访问，如图所示： 7.2.6.3 限制用户数量       去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。     帐户很多是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。     对于Windows NT/2000主机，如果系统帐户超过10个，一般能找出一两个弱口令帐户，所以帐户数量不要大于10个。 7.2.6.4 多个管理员帐号       虽然这点看上去和上面有些矛盾，但事实上是服从上面规则的。创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物，另一个拥有Administrator权限的帐户只在需要的时候使用。     因为只要登录系统以后，密码就存储再WinLogon进程中，当有其他用户入侵计算机的时候就可以得到登录用户的密码，尽量减少Administrator登录的次数和时间。 7.2.6.5 管理员帐号改名       Windows 2000中的Administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。     不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone。具体操作的时候只要选中帐户名改名就可以了，如图所示： 7.2.6.6 陷阱帐号       所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。     这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组，如图所示： 7.2.6.7 更改默认权限       共享文件的权限从“Everyone”组改成“授权用户”。“Ever yone”在Windows 2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。     任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。设置某文件夹共享默认设置如图所示： 7.2.6.8 安全密码       好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。     一些网络管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，比如：“welcome”、“iloveyou”、“letmei n”或者和用户名相同的密码等。这样的帐户应该要求用户首次登陆的时候更改成复杂的密码，还要注意经常更改密码。     这里给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。 7.2.6.9 屏幕保护密码       设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，黑屏就可以了。     还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。     将屏幕保护的选项“密码保护”选中就可以了，并将等待时间设置为最短时间“1秒”，如图所示： 7.2.6.10 NTFS分区       把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。 7.2.6.11 防毒软件       Windows 2000/NT服务器一般都没有安装防毒软件的，一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。     设置了防毒软件，“黑客”们使用的那些有名的木马就毫无用武之地了，并且要经常升级病毒库。       一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。     不能把资料备份在同一台服务器上，这样的话还不如不要备份。 7.2.7 Windows安全进阶   包括十条基本配置原则：     操作系统安全策略、关闭不必要的服务、关闭不必要的端口、开启审核策略、开启密码策略、开启帐户策略、备份敏感文件、不显示上次登陆名、禁止建立空连接和下载最新的补丁 7.2.7.1 操作系统安全策略        利用Windows 2000的安全配置工具来配置安全策略，微软提供了一套的基于管理控制台的安全配置和分析工具，可以配置服务器的安全策略。     在管理工具中可以找到“本地安全策略”，主界面如图7-6所示。     可以配置四类安全策略：帐户策略、本地策略、公钥策略和IP安全策略。在默认的情况下，这些策略都是没有开启的。 7.2.7.2 关闭不必要的服务 (一)       Windows 2000的Terminal Services（终端服务）和IIS（Internet 信息服务）等都可能给系统带来安全漏洞。     为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果开了，要确认已经正确的配置了终端服务。     有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。     Windows 2000作为服务器可禁用的服务及其相关说明如表7-1所示。 7.2.7.2 关闭不必要的服务 (二)   Windows2000可禁用的服务 7.2.7.3 关闭不必要的端口 (一)       关闭端口意味着减少功能，如果服务器安装在防火墙的后面，被入侵的机会就会少一些，但是不可以认为高枕无忧了。     用端口扫描器扫描系统所开放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。该文件用记事本打开如图7-7所示。 7.2.7.3 关闭不必要的端口 (二)       设置本机开放的端口和服务，在IP地址设置窗口中点击按钮“高级”，如图7-8所示。 7.2.7.3 关闭不必要的端口 (三)      在出现的对话框中选择选项卡“选项”，选中“TCP/IP筛选”，点击按钮“属性”，如图7-9所示。 7.2.7.3 关闭不必要的端口 (四)   设置端口界面如图所示。     一台Web服务器只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙，功能比较强大，可以替代防火墙的部分功能。 7.2.7.4 开启审核策略 (一)       安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对系统进行某种方式（如尝试用户密码，改变帐户策略和未经 许可 商标使用许可商标使用许可商标使用许可商标使用许可商标使用许可 的文件访问等等）入侵的时候，都会被安全审核记录下来。     很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。表7-2的这些审核是必须开启的，其他的可以根据需要增加。 7.2.7.4 开启审核策略 (二)   审核策略默认设置     审核策略在默认的情况下都是没有开启的，如图所示。 7.2.7.4 开启审核策略 (三)       双击审核列表的某一项，出现设置对话框，将复选框“成功”和“失败”都选中，如图所示。 7.2.7.5 开启密码策略 (一)       密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如表所示 7.2.7.5 开启密码策略 (二)   设置选项如图所示。 7.2.7.6 开启帐户策略 (一)       开启帐户策略可以有效的防止字典式攻击，设置如表所示。 7.2.7.6 开启帐户策略 (二)   设置帐户策略     设置的结果如图所示。 7.2.7.7 备份敏感文件       把敏感文件存放在另外的文件服务器中，虽然服务器的硬盘容量都很大，但是还是应该考虑把一些重要的用户数据（文件，数据表和项目文件等）存放在另外一个安全的服务器中，并且经常备份它们 7.2.7.8 不显示上次登录名       默认情况下，终端服务接入服务器时，登陆对 话框中会显示上次登陆的帐户名，本地的登陆 对话框也是一样。黑客们可以得到系统的一些 用户名，进而做密码猜测。     修改注册表禁止显示上次登录名，在HKEY_LOCAL_MACHINE主键下修改子键： Software\Microsoft\WindowsNT\CurrentVersion\Winlogon \DontDisplayLastUserName，将键值改成1，如图7-15所示。 7.2.7.9 禁止建立空连接        默认情况下，任何用户通过空连接连上服务器，进而可以枚举出帐号，猜测密码。      可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修改子键： System\CurrentControlSet\Control\LSA\RestrictAnonymous，将键值改成“1”即可。如图7-16所示。 7.2.7.10 下载最新的补丁   10 下载最新的补丁      很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补给人家当靶子用。      谁也不敢保证数百万行以上代码的Windows 2000不出一点安全漏洞。      经常访问微软和一些安全站点，下载最新的Service Pack和漏洞补丁，是保障服务器长久安全的唯一方法。 7.2.8 Windows安全的其他注意事项   Windows安全的其他注意事项      包括十四条配置原则：      关闭DirectDraw、关闭默认共享      禁用Dump File、文件加密系统      加密Temp文件夹、锁住注册表、关机时清除文件      禁止软盘光盘启动、使用智能卡、使用IPSec      禁止判断主机类型、抵抗DDOS      禁止Guest访问日志和数据恢复软件 7.2.8.1 关闭DirectDraw        C2级安全标准对视频卡和内存有要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏），但是对于绝大多数的商业站点都是没有影响的。 在HKEY_LOCAL_MACHINE主键下修改子键： SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，将键值改为“0”即可，如图7-17所示。 7.2.8.2 关闭默认共享 (一)        Windows 2000安装以后，系统会创建一些隐藏的共享，可以在DOS提示符下输入命令Net Share 查看，如图7-18所示。 7.2.8.2 关闭默认共享 (二)   停止默认共享      禁止这些共享，打开管理工具>计算机管理>共享文件夹>共享，在相应的共享文件夹上按右键，点停止共享即可，如图7-19所示。 7.2.8.3 禁用Dump文件        在系统崩溃和蓝屏的时候，Dump文件是一份很有用资料，可以帮助查找问题。然而，也能够给黑客提供一些敏感信息，比如一些应用程序的密码等需要禁止它，打开控制面板>系统属性>高级>启动和故障恢复，把写入调试信息改成无，如图7-20所示。 7.2.8.4 文件加密系统        Windows2000强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。      微软公司为了弥补Windows NT 4.0的不足，在Windows 2000中，提供了一种基于新一代NTFS：NTFS V5（第5版本）的加密文件系统（Encrypted File System，简称EFS）。      EFS实现的是一种基于公共密钥的数据加密方式，利用了Windows 2000中的CryptoAPI结构。 7.2.8.5 加密Temp文件夹   5 加密Temp文件夹      一些应用程序在安装和升级的时候，会把一些东西拷贝到Temp文件夹，但是当程序升级完毕或关闭的时候，并不会自己清除Temp文件夹的内容。      所以，给Temp文件夹加密可以给你的文件多一层保护。 7.2.8.6 锁住注册表        在Windows2000中，只有Administrators和Backup Operators才有从网络上访问注册表的权限。当帐号的密码泄漏以后，黑客也可以在远程访问注册表，当服务器放到网络上的时候，一般需要锁定注册表。修改Hkey_current_user下的子键Software\microsoft\windows\currentversion\Policies\system 把DisableRegistryTools的值该为0，类型为DWORD，如图7-21所示 7.2.8.7 关机时清除文件   7 关机时清除文件      页面文件也就是调度文件，是Windows 2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中可能含有另外一些敏感的资料。要在关机的时候清楚页面文件，可以编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键：SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management把ClearPageFileAtShutdown的值设置成1，如图7-22所示。 7.2.8.8 禁止软盘光盘启动        一些第三方的工具能通过引导系统来绕过原有的安全机制。比如一些管理员工具，从软盘上或者光盘上引导系统以后，就可以修改硬盘上操作系统的管理员密码。      如果服务器对安全要求非常高，可以考虑使用可移动软盘和光驱，把机箱锁起来仍然不失为一个好方法。 7.2.8.9 使用智能卡        对于密码，总是使安全管理员进退两难，容易受到一些工具的攻击，如果密码太复杂，用户为了记住密码，会把密码到处乱写。      如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。 7.2.8.10 使用IPSec        正如其名字的含义，IPSec提供IP数据包的安全性。      IPSec提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。      利用IPSec可以使得系统的安全性能大大增强。 7.2.8.11 禁止判断主机类型 (一)        黑客利用TTL（Time-To-Live，活动时间）值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。      许多入侵者首先会Ping一下主机，因为攻击某一台计算机需要根据对方的操作系统，是Windows还是Unix。如过TTL值为128就可以认为你的系统为Windows 2000，如图7-23所示。 7.2.8.11 禁止判断主机类型 (二)       从图中可以看出，TTL值为128，说明改主机的操作系统是Windows 2000操作系统。表7-6给出了一些常见操作系统的对照 值。 7.2.8.11 禁止判断主机类型 (三)       修改TTL的值，入侵者就无法入侵电脑了。比如 将操作系统 的TTL值改为111，修改主键HKEY_LOCAL_MACHINE的子键：SYSTEM\CURRENT_ CONTROLSET\SERVICES\TCPIP\PARAMETERS新建 一个双字节项，如图7-24所示。 7.2.8.11 禁止判断主机类型 (四)       在键的名称中输入“defaultTTL”，然后双击改键名，选择 单选框“十进制”，在文本框中输入111，如图所示: 7.2.8.11 禁止判断主机类型 (五)       设置完毕重新启动计算机，再用Ping指令，发现TTL的值已 经被改成111了，如图所示: 7.2.8.12 抵抗DDOS       添加注册表的一些键值，可以有效的抵抗DDOS的攻击。在键值[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ Tcpip\Parameters]下增加响应的键及其说明如表所示: 7.2.8.13 禁止Guest访问日志       在默认安装的Windows NT和Windows 2000中， Guest帐号和 匿名用户可以查看系统的事件日志，可能导致许多重要信息的泄 漏，修改注册 表来禁止Guest访问事件日志。     禁止Guest访问应用日志：     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \Eventlog\Application 下添加键值名称为：RestrictGuestAccess ，类型为 ：DWORD，将值设置为1。     系统日志：     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \Eventlog\System下添加键值名称为：RestrictGuestAccess，类型为：DWORD ，将值设置为1。     安全日志：     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \Eventlog\Security下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为1。 7.2.8.14 数据恢复软件       当数据被病毒或者入侵者破坏后，可以利用数据恢复软件可 以找回部分被删除的数据，例如Easy Recovery等。 7.2.9.1 针对Windows2000的入侵-探测      探测     选择攻击对象，了解部分简单的对象信息；针对具体的攻击目标，随便选择了一组IP地址，进行测试，选择处于活动状态的主机，进行攻击尝试    针对探测的安全建议     对于网络：安装防火墙，禁止这种探测行为     对于主机：安装个人防火墙软件，禁止外部主机的ping包，使对方无法获知主机当前正确的活动状态 7.2.9.2 针对Windows2000的入侵-扫描 (一)      扫描     使用的扫描软件     NAT、流光、Xscan、SSS    扫描远程主机     开放端口扫描     操作系统识别     主机漏洞分析 7.2.9.2 针对Windows 2000的入侵-扫描 (二) 扫描结果：端口扫描 7.2.9.2 针对Windows 2000的入侵-扫描 (三) 扫描结果：操作系统识别 7.2.9.2 针对Windows 2000的入侵-扫描 (四) 扫描结果：漏洞扫描 7.2.9.3 针对Windows 2000的入侵-查看目标主机的信息 查看目标主机的信息 7.2.9.4 针对Windows 2000的入侵-IIS攻击 (一) IIS攻击:     尝试利用IIS中知名的Unicode和“Translate:f”漏洞进行攻击，没有成功。目标主机可能已修复相应漏洞，或没有打开远程访问权限 Administrator口令强行破解:     这里我们使用NAT（NetBIOS Auditing Tool）进行强行破解：构造一个可能的用户帐户表，以及简单的密码字典，然后用NAT进行破解 7.2.9.4 针对Windows 2000的入侵-IIS攻击 (二) Administrator口令破解情况 7.2.9.5 针对Windows 2000的入侵-巩固权力 (一) 巩固权力:     现在我们得到了Administrator的帐户，接下去我们需要巩固权力 装载后门:     一般的主机为防范病毒，均会安装反病毒软件，如Norton Anti-Virus、金山毒霸等，并且大部分人也能及时更新病毒库，而多数木马程序在这类软件的病毒库中均被视为Trojan木马病毒。所以，这为我们增加了难度。除非一些很新的程序或自己编写的程序才能够很好地隐藏起来     我们使用NetCat作为后门程序进行演示 7.2.9.5 针对Windows 2000的入侵-巩固权力 (二) 利用刚刚获取的Administrator口令，通过Net use映射对方驱动器 7.2.9.5 针对Windows 2000的入侵-巩固权力 (三) 将netcat主程序nc.exe复制到目标主机的系统目录下，可将程序名称改为容易迷惑对方的名字,利用at命令远程启动NetCat 7.2.9.5 针对Windows 2000的入侵-巩固权力 (四) 7.2.9.6 针对Windows 2000的入侵-清除痕迹 清除痕迹 我们留下了痕迹了吗 del *.evt echo xxx > *.evt 看看它的日志文件 无安全日志记录 7.2.10 通过入侵来看Win 2000的防范 ​ 安装防火墙软件，对安全规则库定期进行更新 ​ 及时更新操作系统厂商发布的SP补丁程序 ​ 停止主机上不必要的服务，各种服务打开的端口往往成为黑客攻击的入口 ​ 使用安全的密码 ​ 如果没有文件和打印机共享要求，最好禁止135、139和445端口上的空会话 ​ 经常利用net session、netstat查看本机连接情况       UNIX系统安全 7.3.1 Unix系统的安全特征   ​ 按照可信计算机评价标准(TCSEC)达到C2级 ​ 有控制的存取保护 ​ 访问控制 ​ 个人身份标识与认证 ​ 审计记录 ​ 操作的可靠性 7.3.2 Unix系统的安全模型 7.3.3 Unix系统结构（一）   ​ 多用户； ​ 多任务； ​ 分层的操作系统。 7.3.3 Unix系统结构（二） 用户程序与底层的硬件无关 7.3.4 文件系统基础       文件系统安全是UNIX系统安全的核心。     在UNIX中，所有的事物都是文件。用户数据的集合是文件，目录是文件，进程是文件，命令是文件，设备是文件、甚至网络连接也是文件。 7.3.4.1 文件系统结构（一） 7.3.4.1 文件系统结构（二） 7.3.4.1 文件系统结构（三）       “i节点（inode）”一个文件系统中的每个i节点有一个唯一的数字，每个文件有不同的i节点。i节点关注UNIX文件系统中所有的文件活动。     UID－文件拥有者。     GID－文件所在分组。     模式－文件的权限设置。     UNIX文件系统安全就是基于i节点中三段关键信息： 7.3.4.1 文件系统结构（四）     i节点中还包括其他信息：     文件大小－以字节为单位。     文件类型－文件、目录、链接等。 ​ .ctime－i节点上次修改的时间。 ​ .mtime－文件上次修改的时间。 ​ .atime－文件上次访问的时间。 ​ .nlink－硬链接的数目。 7.3.4.1 文件系统结构（五）   设备文件 存放路径：/dev或 /devices audio 音频设备 console 系统控制台 le,hme 网卡 kmem 核心内存 mem 内存 7.3.4.2 文件系统类型   正规文件：（ASCII文本文件，二进制数据文件，二进制可执行文件等） 目录 特殊文件 链接（硬链接、软链接） Sockets（进程间通信时使用的特殊文件） 7.3.5 控制台安全（一）   用有效的钥匙锁住房间 不要有其他的途径进入房间 具有报警系统和警卫 7.3.5 控制台安全（二）   BIOS安全，设定引导口令 禁止从软盘或光盘启动 防止未授权用户使用单用户模式 Control-Alt-Delete关机键无效 禁止使用控制台程序 7.3.6 数据安全   数据备份在安全的,专用的恢复数据的地方 计算机在UPS 保护下保证稳定的电源 保护网络电缆不要暴露 把敏感的信息锁在抽屉里 毁坏敏感的打印输出和磁带 7.3.7 用户意识   离开时请锁住屏幕或注销登陆机器 不要把密码或者密码提示写在桌子上 经常改变root的口令 7.3.8 Unix系统帐号安全（一）     Passwd文件剖析（/etc/passwd)     Name：Coded-passwd:UID:GID:user-info:home-directory:shell     7个域中的每一个由冒号隔开。     Name－给用户分配的用户名。     Coded-passwd－经过加密的用户口令。如果一个系统管理员需要阻止一个用户登录，则经常用一个星号（ : * :）代替。该域通常不手工编辑。     UID－用户的唯一标识号。习惯上，小于100的UID是为系统帐号保留的。 7.3.8 Unix系统帐号安全（二）       GID－用户所属的基本分组。通常它将决定用户创建文件的分组拥有权。     User_info－习惯上它包括用户的全名。邮件系统和finger这样的工具习惯使用该域中的信息。     home-directory－该域指明用户的起始目录，它是用户登录进入后的初始工作目录。     Shell－该域指明用户登录进入后执行的命令解释器所在的路径。注意可以为用户在该域中赋一个/bin/false值，这将阻止用户登录。 7.3.8 Unix帐号安全（shadow文件）   7.3.8 Unix系统帐号安全（三） ​ 用户名 ​ 加密口令 ​ 上一次修改的时间（从1970年1月1日起的天数） ​ 口令在两次修改间的最小天数 ​ 口令修改之前向用户发出警告的天数 ​ 口令终止后账号被禁用的天数 ​ 从1970年1月1日起账号被禁用的天数 ​ 保留域 7.3.8 Unix系统帐号安全（四） 禁用的口令： ​ 不要选择简单字母序列组成的口令（例如“qwerty”或“abcdef”）。 ​ 不要选择任何指明个人信息的口令（例如生日、姓名、配偶姓名、孩子姓名、电话号码、社会保障号码、汽车牌号、汽车执照号、居住的街道名称等）。 ​ 不要选择一个与要替换的口令相似的新口令。 ​ 不要选择一个包含用户名或相似内容的口令。 ​ 不要选择一个短于6个字符或仅包含字母或数字的口令。 ​ 不要选择一个所有字母都是小写或大写字母的口令。 ​ 不要选择一个被作为口令范例公布的口令。 7.3.8 Unix系统帐号安全