各种操作系统安全配置方案

1、1969年开始在 GE645DEC的PDP-小型机Un ix也为提高系统软件的开发效率)可靠性高)极强的伸缩性)网络功能强)强大的数据库支持功能)开放性好系统是一套可以免费使用和自由传播的类Unix操作系统，主要用于基于 Intel x86系列的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是Unix兼容产品。!1!操作系统安全配置方案内容提要Win dows 的安全配置。操作系统的安全将决定网络的安全，从保护级别上分成安全初级篇、中级篇和高级篇，共36条基本配置原则。中级篇介绍操作系统的安全策略配置，高级安全配置初级篇讲述常规的操作系统安全配置，篇介绍操作系统安全信息

2、通信配置。操作系统概述目前服务器常用的操作系统有三类：Un ixLinuxWin dows NT/2000/2003 Server 。这些操作系统都是符合C2级安全级别的操作系统。但是都存在不少漏洞，如果对这些漏洞不了解，不采取相应的措施，就会使操作系统完全暴露给入侵者。UNIX系统UNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统。UNIX诞生于20世纪60年代末期，贝尔实验室的研究人员于 计算机上实现一种分时操作系统的雏形，后来该系统被移植到了 上。系统的绝大部分源代码都1970年给系统正式取名为 Un

3、ix操作系统。到1973年， 用C语言重新编写过，大大提高了 Unix系统的可移植性， 创造了条件。主要特色UNIX操作系统经过 20多年的发展后，已经成为一种成熟的主流操作系统，并在发展过程中逐步形成了一些新的特色，其中主要特色包括5个方面。(Lin uxLinuxCPU建立不受任何商品化软件的版权制约的、全世界都能自由使用的Linus Torvalds的计算机业余爱好者，当时他是芬兰赫尔辛基Linux最早开始于一位名叫大学的学生。目的是想设计一个代替 Mi nix (是由一位名叫 An drew Tann ebaum 的 计算机 教授编写 的一个操作系统示教程序)的操作系统。这个操作系统可

4、用于386、 486或奔腾处理器的个人计算机上，并且具有 Unix操作系统的全部功能。Linux是一个免费的操作系统，用户可以免费获得其源代码，并能够随意修改。它是在共用许可证 GP L(Ge neral P ublic Lice nse) 保护下的自由软件， 也有好几种版本， 如 Red Hat Linux 、 Slackware ，以及国内的 Xteam Linux 、红旗 Linux 等等。Linux 的典型的优点有 7个。)完全免费)完全兼容 P OSIX 1.0 标准)多用户、多任务)良好的界面)丰富的网络功能)可靠的安全、稳定性能)支持多种平台7个。流行是因为它具有许多优点，典型的

5、优点有Lin UX(Win dows 系统Windows系统是当今最流行的操作系统，发展经过 WIN9X、WINME、WINXP、NT3.0、NT40、NT5.0 (Windows 2000 )和NT6.0 (Windows 2003 )等众多版本，并逐步占据了广大的中 小网络操作系统的市场。Windows NT以后的版本的操作系统使用了与Windows 9X完全一致的用户界面和完全相同及后续版本的的操作方法，使用户使用起来比较方便。与Windows 9X 相比，Windows NT网络功能更加强大并且安全。Win dows NT以后的操作系统具有以下三方面的优点。(1) 支持多种网络协议由于

6、在网络中可能存在多种客户机，如Windows 95/98、Apple Macintosh、等等，而这些客户机可能使用了不同的网络协议，如NT以后的操作系统操作支持几乎所有常见的网络协议。(2) 内置In ternet功能随着In ternet的流行和TCP/IP协议组的标准化， Win dows NT (In ternet In formation Server )，可以使网络管理员轻松的配置(3) 支持NTFS文件系统Windows 9X所使用的文件系统是 FAT，在NT中内置同时支持TCP/IP 协议、IPX/SPXUnix、OS/2 等。Windows以后的操作系统内置了IISWWW 和

7、FTP等服务。FAT和NTFS的磁盘分区 格式。使用NTFS的好处主要是可以提高文件管理的安全性，用户可以对NTFS系统中的任何文件、目录设置权限，这样当多用户同时访问系统的时候，可以增加文件的安全性。(安全配置方案初级篇安全配置方案初级篇主要介绍常规的操作系统安全配置，包括十二条基本配置原则：物理安全、停止Guest帐号、限制用户数量 创建多个管理员帐号、管理员帐号改名陷阱帐号、更改默认权限、设置安全密码屏幕保护密码、使用 NTFS分区运行防毒软件和确保备份盘安全。1 、物理安全服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留 15天以上的摄像记录。另外，机箱，键盘，电脑桌抽屉要上

8、锁，以确保旁人即使进入房间也无法使用电脑，钥匙要 放在安全的地方。2、停止 Guest帐号在计算机管理的用户里面把Guest帐号停用，任何时候都不允许Guest帐号登陆系统。为了保险起见，最好给 Guest加一个复杂的密码，可以打开记事本，在里面输入一串包含 特殊字符，数字，字母的长字符串。用它作为 Guest帐号的密码。并且修改 Guest帐号的属性，设置拒绝远程访问，如图1所 示3限制用户数量用户组策略设置相应权限，并且经常去掉所有的测试帐户、共享帐号和普通部门帐号等等。检查系统的帐户，删除已经不使用的帐户。帐户很多是黑客们入侵系统的突破口， 系统的帐户越多，黑客们得到合法用户的权限可能性

9、 一般也就越大。对于Windows NT/2000/XP主机，如果系统帐户超过 10个，一般能找出一两个弱口令帐户，所以帐户数量不要大于10个。4多个管理员帐号但事实上是服从上面规则的。创建一个一般用户权限帐号另一个拥有Admi nistrator 权限的帐户只在需要虽然这点看上去和上面有些矛盾，Win Logon进程中，当有其他用户入侵计算机的时 Admi nistrator 登录的次数和时间。用来处理电子邮件以及处理一些日常事物， 的时候使用。因为只要登录系统以后，密码就存储再 候就可以得到登录用户的密码，尽量减少 5管理员帐号改名Windows 2000 和 Windows Xp中的 A

10、dministrator 帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。 把Administrator 帐户改名可以有效的防止这一点。不要使用 Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成: guesto ne 。具体操作的时候只要选中帐户名改名就可以了。6陷阱帐号所谓的陷阱帐号是创建一个名为“ Admi ni strator的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组。根据HACKER提

11、示。把这个账户不加权限为最安全状态！谢谢7更改默认权限共享文件的权限从“Everyone组改成 “授权用户” 。“Everyone在 Windows 2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候不要把共享文件的用户设置成“ Everyo ne ”组。包括打印共享，默认的属性就是“ Everyone ”组的，一定不要忘了改。设置某文件夹共享默认设置如图所示。8安全密码好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。一些网络管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，比如：“welco

12、me”、 “iloveyou ”“letmein或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复 杂的密码，还要注意经常更改密码。也就是说，如果得到密码策略是42天必须改密码.这里给好密码下了个定义：安全期内无法破解出来的密码就是好密码， 了密码文档，必须花43天或者更长的时间才能破解出来，9屏幕保护密码注意不要使用 OpenGL和一些设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。 复杂的屏幕保护程序，浪费系统资源，黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。“1秒”。将屏幕保护的选项 “密码保护”选中就可以了，并将等待时间设置为最短时间

13、10 NTFS分区把服务器的所有分区都改成NTFS格式。NTFS文件系统要比 FAT、 FAT32的文件系统安全得多。11防毒软件Windows没有安装防毒软件的，一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀 大量木马和后门程序。建议使用NOD32等杀毒软件，具体可以去安全区讨论.设置了防毒软件，黑客”们使用的那些有名的木马就毫无用武之地了，并且要经常升级病毒库。12备份盘的安全一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。不能把资料备份在同一台服务器上，这样的话还不如不要备份。安全配置方案中级篇安全配置方案中级篇主要介绍操作系统的安全策略配

14、置，包括十条基本配置原则: 操作系统安全策略、关闭不必要的服务关闭不必要的端口、开启审核策略开启密码策略、开启帐户策略、备份敏感文件不显示上次登陆名、禁止建立空连接和下载最新的补丁的安全配置工具来配置安全策略，微软提供了一套的基于管理控制台 可以配置服务器的安全策略。“本地安全策略”，主界面如图所示。1操作系统安全策略利用 Windows 2000的安全配置和分析工具， 在管理工具中可以找到可以配置四类安全策略： 这些策略都是没有开启的。2关闭不必要的服务Windows 的 Terminal Services系统带来安全漏洞。为了能够在远程方便的管理服务器， 经正确的配置了终端服务。有些恶意的

15、程序也能以服务方式悄悄的运行服务器上的终端服务。帐户策略、本地策略、公钥策略和IP安全策略。在默认的情况下,（终端服务）和IIS （ In ternet信息服务）等都可能给很多机器的终端服务都是开着的，如果开了，要确认已要留意服务器上开启的所有服务并每天检查。Windows及WINXP作为可禁用的服务及其相关说明如下表所示。 服务名说明Compu ter Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routi ng and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移

16、动媒体、驱动程序和库Remote Registry Service允许远程注册表操作Print Spo oler将文件加载到内存中以便以后打印。要用打印机的用户不能禁用这项服务IP SEC Policy Age nt管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序Distributed Link Track ing Clie nt 当文件在网络域的NTFSCom+ Eve nt System提供事件的自动发布到订阅3关闭不必要的端口关闭端口意味着减少功能，是不可以认为高枕无忧了。用端口扫描器扫描系统所开放的端口，名端口和服务的对照表可供参考。卷中移动时发送通知CO

17、M组件如果服务器安装在防火墙的后面，被入侵的机会就会少一些，但在 Winntsystem32driversetcservices该文件用记事本打开如图所示。文件中有知设置本机开放的端口和服务，在IP地址设置窗口中点击按钮“高级”。在出现的对话框中选择选项卡“选项”，选中“TCP/IP筛选”，点击按钮“属性”。设置端口界面如图所示。一台Web服务器只允许TCP 禁止端口就可以在这里进行。而不用防火墙来进行！ 火墙，功能比较强大，可以替代防火墙的部分功能。根据HACK提示还得允许 DNS的53 口。但是前提是你的这台服务器是DNS服务器。否则可以不开4开启审核策略安全审核是 Win dows 20

18、00 最基本的入侵检测方法。当有人尝试对系统进行某种方式(如尝试用户密码，改变帐户策略和未经许可的文件访问等等)入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。表的80端口通过就可以了。个人计算机可以不使用，.TCP/IP筛选器是Windows自带的防我们说的2的这些审核是必须开启的，其他的可以根据需要增加。审核策略在默认的情况下都是没有开启的。双击审核列表的某一项，出现设置对话框，将复选框“成功”和“失败”都选中。5开启密码策略需要开密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。 启的密码策略如表所示策略设置密码复杂性要求启用密码长度最小值6位密码最长存留期15天强制密码历史5个设置选项如图所示。6开启帐户策略开启帐户策略可以有效的防止字典式攻击，设置如表所示。策略设置复位帐户锁定计数器30分钟帐户锁定时间30分钟帐户锁定阈值5次设置帐户策略设置的结果如图所示。7备份敏感文件把敏感文件存放在另外的文