购买

¥ 30.0

加入VIP
  • 专属下载特权
  • 现金文档折扣购买
  • VIP免费专区
  • 千万文档免费下载

上传资料

关闭

关闭

关闭

封号提示

内容

首页 第4章-计算机网络操作系统安全基础

第4章-计算机网络操作系统安全基础.ppt

第4章-计算机网络操作系统安全基础

烟雨梦兮
2018-10-14 0人阅读 举报 0 0 暂无简介

简介:本文档为《第4章-计算机网络操作系统安全基础ppt》,可适用于IT/计算机领域

云南大学软件学院第四章计算机网络操作系统安全基础云南大学软件学院内容提要本章介绍Windows服务器的安全配置。操作系统的安全将决定网络的安全从保护级别上分成安全初级篇、中级篇和高级篇共条基本配置原则。安全配置初级篇讲述常规的操作系统安全配置中级篇介绍操作系统的安全策略配置高级篇介绍操作系统安全信息通信配置。云南大学软件学院操作系统概述目前服务器常用的操作系统有三类:UnixLinuxWindowsNTServer。这些操作系统都是符合C级安全级别的操作系统。但是都存在不少漏洞如果对这些漏洞不了解不采取相应的措施就会使操作系统完全暴露给入侵者。云南大学软件学院UNIX系统UNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统。UNIX诞生于世纪年代末期贝尔实验室的研究人员于年开始在GE计算机上实现一种分时操作系统的雏形后来该系统被移植到了DEC的PDP小型机上。年给系统正式取名为Unix操作系统。到年Unix系统的绝大部分源代码都用C语言重新编写过大大提高了Unix系统的可移植性也为提高系统软件的开发效率创造了条件。云南大学软件学院主要特色UNIX操作系统经过多年的发展后已经成为一种成熟的主流操作系统并在发展过程中逐步形成了一些新的特色其中主要特色包括个方面。()可靠性高()极强的伸缩性()网络功能强()强大的数据库支持功能()开放性好云南大学软件学院Linux系统Linux是一套可以免费使用和自由传播的类Unix操作系统主要用于基于Intelx系列CPU的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。Linux最早开始于一位名叫LinusTorvalds的计算机业余爱好者当时他是芬兰赫尔辛基大学的学生。目的是想设计一个代替Minix(是由一位名叫AndrewTannebaum的计算机教授编写的一个操作系统示教程序)的操作系统。这个操作系统可用于、或奔腾处理器的个人计算机上并且具有Unix操作系统的全部功能。云南大学软件学院Linux系统(续)Linux是一个免费的操作系统用户可以免费获得其源代码并能够随意修改。它是在共用许可证GPL(GeneralPublicLicense)保护下的自由软件也有好几种版本如RedHatLinux、Slackware以及国内的XteamLinux、红旗Linux等等。Linux的流行是因为它具有许多优点典型的优点有个。云南大学软件学院Linux典型的优点有个()完全免费()完全兼容POSIX标准()多用户、多任务()良好的界面()丰富的网络功能()可靠的安全、稳定性能()支持多种平台云南大学软件学院Windows系统WindowsNT(NewTechnology)是微软公司第一个真正意义上的网络操作系统发展经过NT、NT、NT(Windows)和NT(Windows)等众多版本并逐步占据了广大的中小网络操作系统的市场。WindowsNT众多版本的操作系统使用了与WindowsX完全一致的用户界面和完全相同的操作方法使用户使用起来比较方便。与WindowsX相比WindowsNT的网络功能更加强大并且安全。云南大学软件学院WindowsNT系列操作系统WindowsNT系列操作系统具有以下三方面的优点。()支持多种网络协议由于在网络中可能存在多种客户机如Windows、AppleMacintosh、Unix、OS等等而这些客户机可能使用了不同的网络协议如TCPIP协议、IPXSPX等。WindowsNT系列操作支持几乎所有常见的网络协议。()内置Internet功能随着Internet的流行和TCPIP协议组的标准化WindowsNT内置了IIS(InternetInformationServer)可以使网络管理员轻松的配置WWW和FTP等服务。()支持NTFS文件系统WindowsX所使用的文件系统是FAT在NT中内置同时支持FAT和NTFS的磁盘分区格式。使用NTFS的好处主要是可以提高文件管理的安全性用户可以对NTFS系统中的任何文件、目录设置权限这样当多用户同时访问系统的时候可以增加文件的安全性。云南大学软件学院安全配置方案初级篇安全配置方案初级篇主要介绍常规的操作系统安全配置包括十二条基本配置原则:物理安全、停止Guest帐号、限制用户数量创建多个管理员帐号、管理员帐号改名陷阱帐号、更改默认权限、设置安全密码屏幕保护密码、使用NTFS分区运行防毒软件和确保备份盘安全。云南大学软件学院、物理安全服务器应该安放在安装了监视器的隔离房间内并且监视器要保留天以上的摄像记录。另外机箱键盘电脑桌抽屉要上锁以确保旁人即使进入房间也无法使用电脑钥匙要放在安全的地方。云南大学软件学院、停止Guest帐号在计算机管理的用户里面把Guest帐号停用任何时候都不允许Guest帐号登陆系统。为了保险起见最好给Guest加一个复杂的密码可以打开记事本在里面输入一串包含特殊字符,数字字母的长字符串。用它作为Guest帐号的密码。并且修改Guest帐号的属性设置拒绝远程访问如图所示。云南大学软件学院限制用户数量去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限并且经常检查系统的帐户删除已经不使用的帐户。帐户很多是黑客们入侵系统的突破口系统的帐户越多黑客们得到合法用户的权限可能性一般也就越大。对于WindowsNT主机如果系统帐户超过个一般能找出一两个弱口令帐户所以帐户数量不要大于个。云南大学软件学院多个管理员帐号虽然这点看上去和上面有些矛盾但事实上是服从上面规则的。创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物另一个拥有Administrator权限的帐户只在需要的时候使用。因为只要登录系统以后密码就存储再WinLogon进程中当有其他用户入侵计算机的时候就可以得到登录用户的密码尽量减少Administrator登录的次数和时间。云南大学软件学院管理员帐号改名Windows中的Administrator帐号是不能被停用的这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。不要使用Admin之类的名字改了等于没改尽量把它伪装成普通用户比如改成:guestone。具体操作的时候只要选中帐户名改名就可以了如图所示。云南大学软件学院陷阱帐号所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户把它的权限设置成最低什么事也干不了的那种并且加上一个超过位的超级复杂密码。这样可以让那些企图入侵者忙上一段时间了并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组如图所示。云南大学软件学院更改默认权限共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享默认的属性就是“Everyone”组的一定不要忘了改。设置某文件夹共享默认设置如图所示。云南大学软件学院安全密码好的密码对于一个网络是非常重要的但是也是最容易被忽略的。一些网络管理员创建帐号的时候往往用公司名计算机名或者一些别的一猜就到的字符做用户名然后又把这些帐户的密码设置得比较简单比如:“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码还要注意经常更改密码。这里给好密码下了个定义:安全期内无法破解出来的密码就是好密码也就是说如果得到了密码文档必须花天或者更长的时间才能破解出来密码策略是天必须改密码。云南大学软件学院屏幕保护密码设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序浪费系统资源黑屏就可以了。还有一点所有系统用户所使用的机器也最好加上屏幕保护密码。将屏幕保护的选项“密码保护”选中就可以了并将等待时间设置为最短时间“秒”如图所示。云南大学软件学院NTFS分区把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT的文件系统安全得多。云南大学软件学院防毒软件WindowsNT服务器一般都没有安装防毒软件的一些好的杀毒软件不仅能杀掉一些著名的病毒还能查杀大量木马和后门程序。设置了放毒软件“黑客”们使用的那些有名的木马就毫无用武之地了并且要经常升级病毒库。云南大学软件学院备份盘的安全一旦系统资料被黑客破坏备份盘将是恢复资料的唯一途径。备份完资料后把备份盘防在安全的地方。不能把资料备份在同一台服务器上这样的话还不如不要备份。云南大学软件学院安全配置方案中级篇安全配置方案中级篇主要介绍操作系统的安全策略配置包括十条基本配置原则:操作系统安全策略、关闭不必要的服务关闭不必要的端口、开启审核策略开启密码策略、开启帐户策略、备份敏感文件不显示上次登陆名、禁止建立空连接和下载最新的补丁云南大学软件学院操作系统安全策略利用Windows的安全配置工具来配置安全策略微软提供了一套的基于管理控制台的安全配置和分析工具可以配置服务器的安全策略。在管理工具中可以找到“本地安全策略”主界面如图所示。可以配置四类安全策略:帐户策略、本地策略、公钥策略和IP安全策略。在默认的情况下这些策略都是没有开启的。云南大学软件学院关闭不必要的服务Windows的TerminalServices(终端服务)和IIS(Internet信息服务)等都可能给系统带来安全漏洞。为了能够在远程方便的管理服务器很多机器的终端服务都是开着的如果开了要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。Windows作为服务器可禁用的服务及其相关说明如表所示。云南大学软件学院Windows可禁用的服务云南大学软件学院关闭不必要的端口关闭端口意味着减少功能如果服务器安装在防火墙的后面被入侵的机会就会少一些但是不可以认为高枕无忧了。用端口扫描器扫描系统所开放的端口在Winntsystemdriversetcservices文件中有知名端口和服务的对照表可供参考。该文件用记事本打开如图所示。云南大学软件学院设置本机开放的端口和服务在IP地址设置窗口中点击按钮“高级”如图所示。云南大学软件学院在出现的对话框中选择选项卡“选项”选中“TCPIP筛选”点击按钮“属性”如图所示。云南大学软件学院设置端口界面如图所示。一台Web服务器只允许TCP的端口通过就可以了。TCPIP筛选器是Windows自带的防火墙功能比较强大可以替代防火墙的部分功能。云南大学软件学院开启审核策略安全审核是Windows最基本的入侵检测方法。当有人尝试对系统进行某种方式(如尝试用户密码改变帐户策略和未经许可的文件访问等等)入侵的时候都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道直到系统遭到破坏。表的这些审核是必须开启的其他的可以根据需要增加。云南大学软件学院审核策略默认设置审核策略在默认的情况下都是没有开启的如图所示。云南大学软件学院双击审核列表的某一项出现设置对话框将复选框“成功”和“失败”都选中如图所示。云南大学软件学院开启密码策略密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如表所示云南大学软件学院设置选项如图所示。云南大学软件学院开启帐户策略开启帐户策略可以有效的防止字典式攻击设置如表所示。云南大学软件学院设置帐户策略设置的结果如图所示。云南大学软件学院备份敏感文件把敏感文件存放在另外的文件服务器中虽然服务器的硬盘容量都很大但是还是应该考虑把一些重要的用户数据(文件数据表和项目文件等)存放在另外一个安全的服务器中并且经常备份它们。云南大学软件学院不显示上次登录名默认情况下终端服务接入服务器时登陆对话框中会显示上次登陆的帐户名本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名进而做密码猜测。修改注册表禁止显示上次登录名在HKEYLOCALMACHINE主键下修改子键:SoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName将键值改成如图所示。云南大学软件学院禁止建立空连接默认情况下任何用户通过空连接连上服务器进而可以枚举出帐号猜测密码。可以通过修改注册表来禁止建立空连接。在HKEYLOCALMACHINE主键下修改子键:SystemCurrentControlSetControlLSARestrictAnonymous将键值改成“”即可。如图所示。云南大学软件学院下载最新的补丁很多网络管理员没有访问安全站点的习惯以至于一些漏洞都出了很久了还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的Windows不出一点安全漏洞。经常访问微软和一些安全站点下载最新的ServicePack和漏洞补丁是保障服务器长久安全的唯一方法。云南大学软件学院安全配置方案高级篇高级篇介绍操作系统安全信息通信配置包括十四条配置原则:关闭DirectDraw、关闭默认共享禁用DumpFile、文件加密系统加密Temp文件夹、锁住注册表、关机时清除文件禁止软盘光盘启动、使用智能卡、使用IPSec禁止判断主机类型、抵抗DDOS禁止Guest访问日志和数据恢复软件云南大学软件学院关闭DirectDrawC级安全标准对视频卡和内存有要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏)但是对于绝大多数的商业站点都是没有影响的。在HKEYLOCALMACHINE主键下修改子键:SYSTEMCurrentControlSetControlGraphicsDriversDCITimeout将键值改为“”即可如图所示。云南大学软件学院关闭默认共享Windows安装以后系统会创建一些隐藏的共享可以在DOS提示符下输入命令NetShare查看如图所示。云南大学软件学院停止默认共享禁止这些共享打开管理工具>计算机管理>共享文件夹>共享在相应的共享文件夹上按右键点停止共享即可如图所示。云南大学软件学院禁用Dump文件在系统崩溃和蓝屏的时候Dump文件是一份很有用资料可以帮助查找问题。然而也能够给黑客提供一些敏感信息比如一些应用程序的密码等。需要禁止它打开控制面板>系统属性>高级>启动和故障恢复把写入调试信息改成无如图所示。云南大学软件学院文件加密系统Windows强大的加密系统能够给磁盘文件夹文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。微软公司为了弥补WindowsNT的不足在Windows中提供了一种基于新一代NTFS:NTFSV(第版本)的加密文件系统(EncryptedFileSystem简称EFS)。EFS实现的是一种基于公共密钥的数据加密方式利用了Windows中的CryptoAPI结构。云南大学软件学院加密Temp文件夹一些应用程序在安装和升级的时候会把一些东西拷贝到Temp文件夹但是当程序升级完毕或关闭的时候并不会自己清除Temp文件夹的内容。所以给Temp文件夹加密可以给你的文件多一层保护。云南大学软件学院锁住注册表在Windows中只有Administrators和BackupOperators才有从网络上访问注册表的权限。当帐号的密码泄漏以后黑客也可以在远程访问注册表当服务器放到网络上的时候一般需要锁定注册表。修改Hkeycurrentuser下的子键SoftwaremicrosoftwindowscurrentversionPoliciessystem把DisableRegistryTools的值该为类型为DWORD如图所示。云南大学软件学院关机时清除文件页面文件也就是调度文件是Windows用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中页面文件中可能含有另外一些敏感的资料。要在关机的时候清楚页面文件可以编辑注册表修改主键HKEYLOCALMACHINE下的子键:SYSTEMCurrentControlSetControlSessionManagerMemoryManagement把ClearPageFileAtShutdown的值设置成如图所示。云南大学软件学院禁止软盘光盘启动一些第三方的工具能通过引导系统来绕过原有的安全机制。比如一些管理员工具从软盘上或者光盘上引导系统以后就可以修改硬盘上操作系统的管理员密码。如果服务器对安全要求非常高可以考虑使用可移动软盘和光驱把机箱锁起来仍然不失为一个好方法。云南大学软件学院使用智能卡对于密码总是使安全管理员进退两难容易受到一些工具的攻击如果密码太复杂用户把为了记住密码会把密码到处乱写。如果条件允许用智能卡来代替复杂的密码是一个很好的解决方法。云南大学软件学院使用IPSec正如其名字的含义IPSec提供IP数据包的安全性。IPSec提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。云南大学软件学院禁止判断主机类型黑客利用TTL(TimeToLive活动时间)值可以鉴别操作系统的类型通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。许多入侵者首先会Ping一下主机因为攻击某一台计算机需要根据对方的操作系统是Windows还是Unix。如过TTL值为就可以认为你的系统为Windows如图所示。云南大学软件学院从图中可以看出TTL值为说明改主机的操作系统是Windows操作系统。表给出了一些常见操作系统的对照值。云南大学软件学院修改TTL的值入侵者就无法入侵电脑了。比如将操作系统的TTL值改为修改主键HKEYLOCALMACHINE的子键:SYSTEMCURRENTCONTROLSETSERVICESTCPIPPARAMETERS新建一个双字节项如图所示。云南大学软件学院在键的名称中输入“defaultTTL”然后双击改键名选择单选框“十进制”在文本框中输入如图所示。云南大学软件学院设置完毕重新启动计算机再用Ping指令发现TTL的值已经被改成了如图所示。云南大学软件学院抵抗DDOS添加注册表的一些键值可以有效的抵抗DDOS的攻击。在键值HKEYLOCALMACHINESystemCurrentControlSetServicesTcpipParameters下增加响应的键及其说明如表所示。云南大学软件学院禁止Guest访问日志在默认安装的WindowsNT和Windows中Guest帐号和匿名用户可以查看系统的事件日志可能导致许多重要信息的泄漏修改注册表来禁止Guest访问事件日志。禁止Guest访问应用日志HKEYLOCALMACHINESYSTEMCurrentControlSetServicesEventlogApplication下添加键值名称为:RestrictGuestAccess类型为:DWORD将值设置为。系统日志:HKEYLOCALMACHINESYSTEMCurrentControlSetServicesEventlogSystem下添加键值名称为:RestrictGuestAccess类型为:DWORD将值设置为。安全日志HKEYLOCALMACHINESYSTEMCurrentControlSetServicesEventlogSecurity下添加键值名称为:RestrictGuestAccess类型为:DWORD将值设置为。云南大学软件学院数据恢复软件当数据被病毒或者入侵者破坏后可以利用数据恢复软件可以找回部分被删除的数据在恢复软件中一个著名的软件是EasyRecovery。软件功能强大可以恢复被误删除的文件、丢失的硬盘分区等等。软件的主界面如图所示。云南大学软件学院比如原来在E盘上有一些数据文件被黑客删除了选择左边栏目“DataRecovery”然后选择左边的按钮“AdvancedRecovery”如图所示。云南大学软件学院进入AdvancedRecovery对话框后软件自动扫描出目前硬盘分区的情况分区信息是直接从分区表中读取出来的如图所示。云南大学软件学院现在要恢复E盘上的文件所以选择E盘点击按钮“Next”如图所示。云南大学软件学院软件开始自动扫描该盘上曾经有哪些被删除了文件根据硬盘的大小需要一段比较长的时间如图所示。云南大学软件学院扫描完成以后将该盘上所有的文件以及文件夹显示出来包括曾经被删除文件和文件夹如图所示。云南大学软件学院选中某个文件夹或者文件前面的复选框然后点击按钮“Next”就可以恢复了。如图所示。云南大学软件学院在恢复的对话框中选择一个本地的文件夹将文件保存到该文件夹中如图所示。云南大学软件学院选择一个文件夹后电击按钮“Next”就出现了恢复的进度对话框如图所示。云南大学软件学院本章总结本章分成三部分介绍Windows的安全配置。三部分共介绍安全配置三十六项如果每一条都能得到很好的实施的话改服务器无论是在局域网还是广域网即使没有网络防火墙已经比较安全了。需要重点理解三大部分中的每一项设置并掌握如何设置。

用户评价(0)

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

文档小程序码

使用微信“扫一扫”扫码寻找文档

1

打开微信

2

扫描小程序码

3

发布寻找信息

4

等待寻找结果

我知道了
评分:

/71

第4章-计算机网络操作系统安全基础

VIP

在线
客服

免费
邮箱

爱问共享资料服务号

扫描关注领取更多福利