第七章操作系統平安配置方案精選ppt內容提要本章介紹Windows2000效勞器的平安配置。操作系統的平安將決定網絡的平安，從保護級別上分成平安初級篇、中級篇和高級篇，共36條根本配置原那么。平安配置初級篇講述常規的操作系統平安配置，中級篇介紹操作系統的平安策略配置，高級篇介紹操作系統平安信息通信配置。精選ppt操作系統概述目前效勞器常用的操作系統有三類：UnixLinuxWindowsNT/2000/2003Server。這些操作系統都是符合C2級平安級別的操作系統。但是都存在不少漏洞，如果對這些漏洞不了解，不采取相應的措施，就會使操作系統完全暴露給入侵者。精選pptWindows系統WindowsNT〔NewTechnology〕是微軟公司第一個真正意義上的網絡操作系統，開展經過NT3.0、NT40、NT5.0和NT6.0等眾多版本，并逐步占據了廣闊的中小網絡操作系統的市場。WindowsNT眾多版本的操作系統使用了與Windows9X完全一致的用戶界面和完全相同的操作方法，使用戶使用起來比較方便。與Windows9X相比，WindowsNT的網絡功能更加強大并且平安。精選pptWindowsNT系列操作系統WindowsNT系列操作系統具有以下三方面的優點。〔1〕支持多種網絡協議由于在網絡中可能存在多種客戶機，如Windows95/98、AppleMacintosh、Unix、OS/2等等，而這些客戶機可能使用了不同的網絡協議，如TCP/IP協議、IPX/SPX等。WindowsNT系列操作支持幾乎所有常見的網絡協議。〔2〕內置Internet功能隨著Internet的流行和TCP/IP協議組的標準化，WindowsNT內置了IIS〔InternetInformationServer〕，可以使網絡管理員輕松的配置WWW和FTP等效勞。〔3〕支持NTFS文件系統Windows9X所使用的文件系統是FAT，在NT中內置同時支持FAT和NTFS的磁盤分區格式。使用NTFS的好處主要是可以提高文件管理的平安性，用戶可以對NTFS系統中的任何文件、目錄設置權限，這樣當多用戶同時訪問系統的時候，可以增加文件的平安性。精選ppt平安配置方案初級篇平安配置方案初級篇主要介紹常規的操作系統平安配置，包括十二條根本配置原那么：物理平安、停止Guest帳號、限制用戶數量創立多個管理員帳號、管理員帳號改名陷阱帳號、更改默認權限、設置平安密碼屏幕保護密碼、使用NTFS分區運行防毒軟件和確保備份盤平安。精選ppt1、物理平安效勞器應該安放在安裝了監視器的隔離房間內，并且監視器要保存15天以上的攝像記錄。另外，機箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進入房間也無法使用電腦，鑰匙要放在平安的地方。精選ppt2、停止Guest帳號在計算機管理的用戶里面把Guest帳號停用，任何時候都不允許Guest帳號登陸系統。為了保險起見，最好給Guest加一個復雜的密碼，可以翻開記事本，在里面輸入一串包含特殊字符,數字，字母的長字符串。用它作為Guest帳號的密碼。并且修改Guest帳號的屬性，設置拒絕遠程訪問，如圖7-1所示。精選ppt3限制用戶數量去掉所有的測試帳戶、共享帳號和普通部門帳號等等。用戶組策略設置相應權限，并且經常檢查系統的帳戶，刪除已經不使用的帳戶。帳戶很多是黑客們入侵系統的突破口，系統的帳戶越多，黑客們得到合法用戶的權限可能性一般也就越大。對于WindowsNT/2000主機，如果系統帳戶超過10個，一般能找出一兩個弱口令帳戶，所以帳戶數量不要大于10個。精選ppt4多個管理員帳號雖然這點看上去和上面有些矛盾，但事實上是服從上面規那么的。創立一個一般用戶權限帳號用來處理電子郵件以及處理一些日常事物，另一個擁有Administrator權限的帳戶只在需要的時候使用。因為只要登錄系統以后，密碼就存儲再WinLogon進程中，當有其他用戶入侵計算機的時候就可以得到登錄用戶的密碼，盡量減少Administrator登錄的次數和時間。精選ppt5管理員帳號改名Windows2000中的Administrator帳號是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點。不要使用Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，比方改成：guestone。具體操作的時候只要選中帳戶名改名就可以了，如圖7-2所示。精選ppt6陷阱帳號所謂的陷阱帳號是創立一個名為“Administrator〞的本地帳戶，把它的權限設置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復雜密碼。這樣可以讓那些企圖入侵者忙上一段時間了，并且可以借此發現它們的入侵企圖。可以將該用戶隸屬的組修改成Guests組，如圖7-3所示。精選ppt7更改默認權限共享文件的權限從“Everyone〞組改成“授權用戶〞。“Everyone〞在Windows2000中意味著任何有權進入你的網絡的用戶都能夠獲得這些共享資料。任何時候不要把共享文件的用戶設置成“Everyone〞組。包括打印共享，默認的屬性就是“Everyone〞組的，一定不要忘了改。設置某文件夾共享默認設置如圖7-4所示。精選ppt8平安密碼好的密碼對于一個網絡是非常重要的，但是也是最容易被忽略的。一些網絡管理員創立帳號的時候往往用公司名，計算機名，或者一些別的一猜就到的字符做用戶名，然后又把這些帳戶的密碼設置得比較簡單，比方：“welcome〞、“iloveyou〞、“letmein〞或者和用戶名相同的密碼等。這樣的帳戶應該要求用戶首此登陸的時候更改成復雜的密碼，還要注意經常更改密碼。這里給好密碼下了個定義：平安期內無法破解出來的密碼就是好密碼，也就是說，如果得到了密碼文檔，必須花43天或者更長的時間才能破解出來，密碼策略是42天必須改密碼。精選ppt9屏幕保護密碼設置屏幕保護密碼是防止內部人員破壞效勞器的一個屏障。注意不要使用OpenGL和一些復雜的屏幕保護程序，浪費系統資源，黑屏就可以了。還有一點,所有系統用戶所使用的機器也最好加上屏幕保護密碼。將屏幕保護的選項“密碼保護〞選中就可以了，并將等待時間設置為最短時間“1秒〞，如圖7-5所示。精選ppt10NTFS分區把效勞器的所有分區都改成NTFS格式。NTFS文件系統要比FAT、FAT32的文件系統平安得多。精選ppt11防毒軟件Windows2000/NT效勞器一般都沒有安裝防毒軟件的，一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。設置了放毒軟件，“黑客〞們使用的那些有名的木馬就毫無用武之地了，并且要經常升級病毒庫。精選ppt12備份盤的平安一旦系統資料被黑客破壞，備份盤將是恢復資料的唯一途徑。備份完資料后，把備份盤防在平安的地方。不能把資料備份在同一臺效勞器上，這樣的話還不如不要備份。精選ppt平安配置方案中級篇平安配置方案中級篇主要介紹操作系統的平安策略配置，包括十條根本配置原那么：操作系統平安策略、關閉不必要的效勞關閉不必要的端口、開啟審核策略開啟密碼策略、開啟帳戶策略、備份敏感文件不顯示上次登陸名、禁止建立空連接和下載最新的補丁精選ppt1操作系統平安策略利用Windows2000的平安配置工具來配置平安策略，微軟提供了一套的基于管理控制臺的平安配置和分析工具，可以配置效勞器的平安策略。在管理工具中可以找到“本地平安策略〞，主界面如圖7-6所示。可以配置四類平安策略：帳戶策略、本地策略、公鑰策略和IP平安策略。在默認的情況下，這些策略都是沒有開啟的。精選ppt2關閉不必要的效勞Windows2000的TerminalServices〔終端效勞〕和IIS〔Internet信息效勞〕等都可能給系統帶來平安漏洞。為了能夠在遠程方便的管理效勞器，很多機器的終端效勞都是開著的，如果開了，要確認已經正確的配置了終端效勞。有些惡意的程序也能以效勞方式悄悄的運行效勞器上的終端效勞。要留意效勞器上開啟的所有效勞并每天檢查。Windows2000作為效勞器可禁用的效勞及其相關說明如表7-1所示。精選pptWindows2000可禁用的效勞精選ppt3關閉不必要的端口關閉端口意味著減少功能，如果效勞器安裝在防火墻的后面，被入侵的時機就會少一些，但是不可以認為高枕無憂了。用端口掃描器掃描系統所開放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和效勞的對照表可供參考。該文件用記事本翻開如圖7-7所示。精選ppt設置本機開放的端口和效勞，在IP地址設置窗口中點擊按鈕“高級〞，如圖7-8所示。精選ppt在出現的對話框中選擇選項卡“選項〞，選中“TCP/IP篩選〞，點擊按鈕“屬性〞，如圖7-9所示。精選ppt設置端口界面如圖7-10所示。一臺Web效勞器只允許TCP的80端口通過就可以了。TCP/IP篩選器是Windows自帶的防火墻，功能比較強大，可以替代防火墻的局部功能。精選ppt4開啟審核策略平安審核是Windows2000最根本的入侵檢測方法。當有人嘗試對系統進行某種方式〔如嘗試用戶密碼，改變帳戶策略和未經許可的文件訪問等等〕入侵的時候，都會被平安審核記錄下來。很多的管理員在系統被入侵了幾個月都不知道，直到系統遭到破壞。表7-2的這些審核是必須開啟的，其他的可以根據需要增加。精選ppt審核策略默認設置審核策略在默認的情況下都是沒有開啟的，如圖7-11所示。精選ppt雙擊審核列表的某一項，出現設置對話框，將復選框“成功〞和“失敗〞都選中，如圖7-12所示。精選ppt5開啟密碼策略密碼對系統平安非常重要。本地平安設置中的密碼策略在默認的情況下都沒有開啟。需要開啟的密碼策略如表7-3所示精選ppt設置選項如圖7-13所示。精選ppt6開啟帳戶策略開啟帳戶策略可以有效的防止字典式攻擊，設置如表7-4所示。精選ppt設置帳戶策略設置的結果如圖7-14所示。精選ppt7備份敏感文件把敏感文件存放在另外的文件效勞器中，雖然效勞器的硬盤容量都很大，但是還是應該考慮把一些重要的用戶數據〔文件，數據表和工程文件等〕存放在另外一個平安的效勞器中，并且經常備份它們精選ppt8不顯示上次登錄名默認情況下，終端效勞接入效勞器時，登陸對話框中會顯示上次登陸的帳戶名，本地的登陸對話框也是一樣。黑客們可以得到系統的一些用戶名，進而做密碼猜測。修改注冊表禁止顯示上次登錄名，在HKEY_LOCAL_MACHINE主鍵下修改子鍵：Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，將鍵值改成1，如圖7-15所示。精選ppt9禁止建立空連接默認情況下，任何用戶通過空連接連上效勞器，進而可以枚舉出帳號，猜測密碼。可以通過修改注冊表來禁止建立空連接。在HKEY_LOCAL_MACHINE主鍵下修改子鍵：System\CurrentControlSet\Control\LSA\RestrictAnonymous，將鍵值改成“1〞即可。如圖7-16所示。精選ppt10下載最新的補丁很多網絡管理員沒有訪問平安站點的習慣，以至于一些漏洞都出了很久了，還放著效勞器的漏洞不補給人家當靶子用。誰也不敢保證數百萬行以上代碼的Windows2000不出一點平安漏洞。經常訪問微軟和一些平安站點，下載最新的ServicePack和漏洞補丁，是保障效勞器長久平安的唯一方法。精選ppt平安配置方案高級篇高級篇介紹操作系統平安信息通信配置，包括十四條配置原那么：關閉DirectDraw、關閉默認共享禁用DumpFile、文件加密系統加密Temp文件夾、鎖住注冊表、關機時去除文件禁止軟盤光盤啟動、使用智能卡、使用IPSec禁止判斷主機類型、抵抗DDOS禁止Guest訪問日志和數據恢復軟件精選ppt1關閉DirectDrawC2級平安標準對視頻卡和內存有要求。關閉DirectDraw可能對一些需要用到DirectX的程序有影響，但是對于絕大多數的商業站點都是沒有影響的。在HKEY_LOCAL_MACHINE主鍵下修改子鍵：SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，將鍵值改為“0〞即可，如圖7-17所示。精選ppt2關閉默認共享Windows2000安裝以后，系統會創立一些隱藏的共享，可以在DOS提示符下輸入命令NetShare查看,如圖7-18所示。精選ppt停止默認共享禁止這些共享，翻開管理工具>計算機管理>共享文件夾>共享，在相應的共享文件夾上按右鍵，點停止共享即可，如圖7-19所示。精選ppt3禁用Dump文件在系統崩潰和藍屏的時候，Dump文件是一份很有用資料，可以幫助查找問題。然而，也能夠給黑客提供一些敏感信息，比方一些應用程序的密碼等需要禁止它，翻開控制面板>系統屬性>高級>啟動和故障恢復，把寫入調試信息改成無，如圖7-20所示。精選ppt4文件加密系統Windows2000強大的加密系統能夠給磁盤，文件夾，文件加上一層平安保護。這樣可以防止別人把你的硬盤掛到別的機器上以讀出里面的數據。微軟公司為了彌補WindowsNT4.0的缺乏，在Windows2000中，提供了一種基于新一代NTFS：NTFSV5〔第5版本〕的加密文件系統〔EncryptedFileSystem，簡稱EFS〕。EFS實現的是一種基于公共密鑰的數據加密方式，利用了Windows2000中的CryptoAPI結構。精選ppt5加密Temp文件夾一些應用程序在安裝和升級的時候，會把一些東西拷貝到Temp文件夾，但是當程序升級完畢或關閉的時候，并不會自己去除Temp文件夾的內容。所以，給Temp文件夾加密可以給你的文件多一層保護。精選ppt6鎖住注冊表在Windows2000中，只有Administrators和BackupOperators才有從網絡上訪問注冊表的權限。當帳號的密碼泄漏以后，黑客也可以在遠程訪問注冊表，當效勞器放到網絡上的時候，一般需要鎖定注冊表。修改Hkey_current_user下的子鍵Software\microsoft\windows\currentversion\Policies\system把DisableRegistryTools的值該為0，類型為DWORD，如圖7-21所示。精選ppt7關機時去除文件頁面文件也就是調度文件，是Windows2000用來存儲沒有裝入內存的程序和數據文件局部的隱藏文件。一些第三方的程序可以把一些沒有的加密的密碼存在內存中，頁面文件中可能含有另外一些敏感的資料。要在關機的時候清楚頁面文件，可以編輯注冊表修改主鍵HKEY_LOCAL_MACHINE下的子鍵：SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPageFileAtShutdown的值設置成1，如圖7-22所示。精選ppt8禁止軟盤光盤啟動一些第三方的工具能通過引導系統來繞過原有的平安機制。比方一些管理員工具，從軟盤上或者光盤上引導系統以后，就可以修改硬盤上操作系統的管理員密碼。如果效勞器對平安要求非常高，可以考慮使用可移動軟盤和光驅，把機箱鎖起來仍然不失為一個好方法。精選ppt9使用智能卡對于密碼，總是使平安管理員進退兩難，容易受到一些工具的攻擊，如果密碼太復雜，用戶把為了記住密碼，會把密碼到處亂寫。如果條件允許，用智能卡來代替復雜的密碼是一個很好的解決方法。精選ppt10使用IPSec正如其名字的含義，IPSec提供IP數據包的平安性。IPSec提供身份驗證、完整性和可選擇的機密性。發送方計算機在傳輸之前加密數據，而接收方計算機在收到數據之后解密數據。利用IPSec可以使得系統的平安性能大大增強。精選ppt11禁止判斷主機類型黑客利用TTL〔Time-To-Live，活動時間〕值可以鑒別操作系統的類型，通過Ping指令能判斷目標主機類型。Ping的用處是檢測目標主機是否連通。許多入侵者首先會Ping一下主機，因為攻擊某一臺計算機需要根據對方的操作系統，是Windows還是Unix。如過TTL值為128就可以認為你的系統為Windows2000，如圖7-23所示。精選ppt從圖中可以看出，TTL值為128，說明改主機的操作系統是Windows2000操作系統。表7-6給出了一些常見操作系統的對照值。精選ppt修改TTL的值，入侵者就無法入侵電腦了。比方將操作系統的TTL值改為111，修改主鍵HKEY_LOCAL_MACHINE的子鍵：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS新建一個雙字節項，如圖7-24所示。精選ppt在鍵的名稱中輸入“defaultTTL〞，然后雙擊改鍵名，選擇單項選擇框“十進制〞，在文本框中輸入111，如圖7-25所示。精選ppt設置完畢重新啟動計算機，再用Ping指令，發現TTL的值已經被改成111了，如圖7-26所示。精選ppt12抵抗DDOS添加注冊表的一些鍵值，可以有效的抵抗DDOS的攻擊。在鍵值[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加響應的鍵及其說明如表7-7所示。精選ppt13禁止Guest訪問日志在默認安裝的WindowsNT和Windows2000中，Guest帳號和匿名用戶可以查看系統的事件日志，可能導致許多重要信息的泄漏，修改注冊表來禁止Guest訪問事件日志。禁止Guest訪問應用日志HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application下添加鍵值名稱為：RestrictGuestAccess，類型為：DWORD，將值設置為1。系統日志：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System下添加鍵值名稱為：RestrictGuestAccess，類型為：DWORD，將值設置為1。平安日志HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security下添加鍵值名稱為：RestrictGuestAccess，類型為：DWORD，將值設置為1。精選ppt14數據恢復軟件當數據被病毒或者入侵者破壞后，可以利用數據