操作系统安全配置

1、2021-6-21操作系统安全配置PPT课件1 第二章第二章 操作系统安全配置操作系统安全配置 操作系统的概念、安全评估操作系统的概念、安全评估 操作系统的用户安全设置操作系统的用户安全设置 操作系统的密码安全设置操作系统的密码安全设置 操作系统的系统安全设置操作系统的系统安全设置 操作系统的服务安全设置操作系统的服务安全设置 操作系统的注册表安全设置操作系统的注册表安全设置 本章要点： 2021-6-21操作系统安全配置PPT课件2 2.1 操作系统的安全问题操作系统的安全问题 操作系统的安全是整个计算机系统安全操作系统的安全是整个计算机系统安全 的基础的基础。 操作系统安全防护研究，通常包

2、括：操作系统安全防护研究，通常包括： 1 1）提供什么样的安全功能和安全服务）提供什么样的安全功能和安全服务 2 2）采取什么样的配置措施）采取什么样的配置措施 3 3）如何保证服务得到安全配置）如何保证服务得到安全配置 2021-6-21操作系统安全配置PPT课件3 2.1.1 操作系统安全概念操作系统安全概念 一般意义上，如果说一个计算机系一般意义上，如果说一个计算机系 统是安全的，那么是指该系统能够统是安全的，那么是指该系统能够 控制外部对系统信息的访问。也就控制外部对系统信息的访问。也就 是说，只有经过授权的用户或代表是说，只有经过授权的用户或代表 该用户运行的进程才能读、写、创该用户

3、运行的进程才能读、写、创 建或删除信息。建或删除信息。 2021-6-21操作系统安全配置PPT课件4 操作系统的安全通常包含两层意思：操作系统的安全通常包含两层意思： 1)1)操作系统在设计时通过权限访问控制、操作系统在设计时通过权限访问控制、 信息加密性保护、完整性鉴定等一些机信息加密性保护、完整性鉴定等一些机 制实现的安全；制实现的安全； 2)2)操作系统在使用中，通过一系列的配操作系统在使用中，通过一系列的配 置，保证操作系统避免由于实现时的缺置，保证操作系统避免由于实现时的缺 陷或是应用环境因素产生的不安全因素。陷或是应用环境因素产生的不安全因素。 2021-6-21操作系统安全配置

4、PPT课件5 2.1.2 计算机操作系统安全评估计算机操作系统安全评估 美国可信计算机安全评估标准美国可信计算机安全评估标准 （TCSEC），是计算机系统安全评估的），是计算机系统安全评估的 第一个正式标准。第一个正式标准。 TCSECTCSEC将计算机系统的安全划分为将计算机系统的安全划分为4 4个等个等 级、级、8 8个级别。个级别。 2021-6-21操作系统安全配置PPT课件6 2.1.3 国内的安全操作系统评估国内的安全操作系统评估 计算机信息安全保护等级划分准则计算机信息安全保护等级划分准则 将计算机信息系统安全保护等级划分为将计算机信息系统安全保护等级划分为 五个级别：五个级别：

5、 1. 用户自主保护级用户自主保护级 本级的安全保护机制使用户具备自本级的安全保护机制使用户具备自 主安全保护能力，保护用户和用户组信主安全保护能力，保护用户和用户组信 息，避免其他用户对数据的非法读写和息，避免其他用户对数据的非法读写和 破坏。破坏。 2021-6-21操作系统安全配置PPT课件7 2. 系统审计保护级系统审计保护级 本级的安全保护机制具备第一级的所本级的安全保护机制具备第一级的所 有安全保护功能，并创建、维护访问审计有安全保护功能，并创建、维护访问审计 跟踪记录，以记录与系统安全相关事件发跟踪记录，以记录与系统安全相关事件发 生的日期、时间、用户和事件类型等信息，生的日期、

6、时间、用户和事件类型等信息， 使所有用户对自己行为的合法性负责。使所有用户对自己行为的合法性负责。 3. 安全标记保护级安全标记保护级 本级的安全保护机制有系统审计保护本级的安全保护机制有系统审计保护 级的所有功能，并为访问者和访问对象指级的所有功能，并为访问者和访问对象指 定安全标记，以访问对象标记的安全级别定安全标记，以访问对象标记的安全级别 限制访问者的访问权限，实现对访问对象限制访问者的访问权限，实现对访问对象 的强制保护。的强制保护。 2021-6-21操作系统安全配置PPT课件8 4. 结构化保护级结构化保护级 本级具备第本级具备第3级的所有安全功能。并将级的所有安全功能。并将 安

7、全保护机制划分成关键部分和非关键部安全保护机制划分成关键部分和非关键部 分相结合的结构，其中关键部分直接控制分相结合的结构，其中关键部分直接控制 访问者对访问对象的存取。本级具有相当访问者对访问对象的存取。本级具有相当 强的抗渗透能力。强的抗渗透能力。 5. 安全域级保护级安全域级保护级 本级的安全保护机制具备第本级的安全保护机制具备第4级的所有级的所有 功能，并特别增设访问验证功能，负责仲功能，并特别增设访问验证功能，负责仲 裁访问者对访问对象的所有访问活动。本裁访问者对访问对象的所有访问活动。本 级具有极强的抗渗透能力。级具有极强的抗渗透能力。 2021-6-21操作系统安全配置PPT课件

8、9 2.1.4 操作系统的安全配置操作系统的安全配置 操作系统安全配置主要是指：操作系统安全配置主要是指： 1 1）操作系统访问控制权限的恰当设置）操作系统访问控制权限的恰当设置 2 2）系统的及时更新）系统的及时更新 3 3）对于攻击的防范）对于攻击的防范 2021-6-21操作系统安全配置PPT课件10 2.1.5 操作系统的安全漏洞操作系统的安全漏洞 几乎所有的操作系统都不是十全十美的，几乎所有的操作系统都不是十全十美的， 总存在安全漏洞。总存在安全漏洞。 Windows NT: SAM、ICMP Windows XP：UPnP 、GDI拒绝服务拒绝服务 、 终端服务终端服务IP地址欺骗

9、地址欺骗 要想绝对避免软件漏洞是不可能的要想绝对避免软件漏洞是不可能的 ！ 2021-6-21操作系统安全配置PPT课件11 2.2 用户安全配置用户安全配置 主要有主要有10类，分别描述如下：类，分别描述如下： 新建用户新建用户帐号便于记忆与使用，而帐号便于记忆与使用，而 密码则要求有一定的长度与复杂度。密码则要求有一定的长度与复杂度。 2021-6-21操作系统安全配置PPT课件12 2帐户授权帐户授权对不同的帐户进行授权，对不同的帐户进行授权， 使其拥有和身份相应的权限。使其拥有和身份相应的权限。 2021-6-21操作系统安全配置PPT课件13 3停用停用Guest用户用户把把Gues

10、t账号禁用账号禁用，并并 且修改且修改Guest帐号的属性帐号的属性,设置拒绝远程设置拒绝远程 访问访问 。 2021-6-21操作系统安全配置PPT课件14 4系统系统Administrator账号改名账号改名 防止防止 管理员账号密码被穷举管理员账号密码被穷举，伪装成普通用，伪装成普通用 户户。 2021-6-21操作系统安全配置PPT课件15 5创建一个陷阱用户创建一个陷阱用户将管理员账号权将管理员账号权 限设置最低，延缓攻击企图。限设置最低，延缓攻击企图。 2021-6-21操作系统安全配置PPT课件16 6更改默认权限更改默认权限将共享文件的权限从将共享文件的权限从 “Everyon

11、e”改成改成“授权用户授权用户 。 2021-6-21操作系统安全配置PPT课件17 7不显示上次登录用户名不显示上次登录用户名防止密码猜防止密码猜 测，打开注册表编辑器并找到注册表项测，打开注册表编辑器并找到注册表项 “HKEY_CURRENTSoftwareMicrosoftWindows NTCurrentVersionWinlogonDont- DisplayLastUserName”，把，把REG_SZ的键值改的键值改 成成1。 2021-6-21操作系统安全配置PPT课件18 8限制用户数量限制用户数量减少入侵突破口，账减少入侵突破口，账 户数不大于户数不大于10(10(二进制二进

12、制) ) 。 9多个管理员帐号多个管理员帐号 减少管理员账号使用减少管理员账号使用 时间，避免被破解时间，避免被破解 。 创建一个一般用户权限帐号用来处理电创建一个一般用户权限帐号用来处理电 子邮件及处理一些日常事务，创建另一子邮件及处理一些日常事务，创建另一 个有个有AdministratorAdministrator权限的帐户在需要的权限的帐户在需要的 时候使用。时候使用。 2021-6-21操作系统安全配置PPT课件19 10开启用户策略开启用户策略 可以有效的防止字典式可以有效的防止字典式 攻击攻击 。 当某一用户连续当某一用户连续5次录都失败后将自动锁定该次录都失败后将自动锁定该 帐

13、户，帐户，30分钟后自动复位被锁定的帐户。分钟后自动复位被锁定的帐户。 2021-6-21操作系统安全配置PPT课件20 2.3 密码安全配置密码安全配置 主要有主要有4类，分别描述如下：类，分别描述如下： 安全密码安全密码 创建帐号时不用公司名、创建帐号时不用公司名、 计算机名、或者一些别的容易猜到的字计算机名、或者一些别的容易猜到的字 符做用户名，密码设置要复杂。符做用户名，密码设置要复杂。 安全期内无法破解出来的密码就是安全期内无法破解出来的密码就是安全安全 密码密码（密码策略是（密码策略是4242天必须改密码）天必须改密码） 。 2021-6-21操作系统安全配置PPT课件21 2开启

14、密码策略开启密码策略 对不同的帐户进行授对不同的帐户进行授 权，使其拥有和身份相应的权限。权，使其拥有和身份相应的权限。 策略设置要求 密码复杂性要求启用数字和字母组合 密码最小值6位长度至少为6 密码最长存留期15天超期要求改密码 强制密码历史5次不能设置相同密码 2021-6-21操作系统安全配置PPT课件22 3设置屏幕保护密码设置屏幕保护密码 防止内部人员破防止内部人员破 坏服务器的一个屏障。注意不要使用坏服务器的一个屏障。注意不要使用 OpenGL和一些复杂的屏幕保护程序浪和一些复杂的屏幕保护程序浪 费系统资源，黑屏就可以了费系统资源，黑屏就可以了 。 2021-6-21操作系统安全

15、配置PPT课件23 4加密文件或文件夹加密文件或文件夹 用加密工具来保用加密工具来保 护文件和文件夹，以防别人偷看护文件和文件夹，以防别人偷看 。 2021-6-21操作系统安全配置PPT课件24 2.4 系统安全配置系统安全配置 主要有主要有11类，分别描述如下：类，分别描述如下： 1. 使用使用NTFS格式分区格式分区 所有分区都改成所有分区都改成 NTFSNTFS格式，格式，NTFSNTFS文件系统要比文件系统要比FATFAT、 FAT32FAT32的文件系统安全得多。的文件系统安全得多。 2021-6-21操作系统安全配置PPT课件25 2运行防毒软件运行防毒软件 不仅可杀掉一些著名不

16、仅可杀掉一些著名 的病毒，还能查杀大量木马和后门程序。的病毒，还能查杀大量木马和后门程序。 要注意经常运行程序并升级病毒库。要注意经常运行程序并升级病毒库。 2021-6-21操作系统安全配置PPT课件26 3下载最新的补丁下载最新的补丁 经常访问微软和一些经常访问微软和一些 安全站点，下载最新的安全站点，下载最新的Service Pack和漏和漏 洞补丁。洞补丁。 2021-6-21操作系统安全配置PPT课件27 4关闭默认共享关闭默认共享 防止利用默认共享入防止利用默认共享入 侵。侵。 默认共享目录路 径说 明 C$ D$ E$分区的根目录 Win2003 Advanced Server版

17、中，只 有Administrator 和Backup Operators级成员才可连接，Win2000 Server版本Server Operators组也可 以连接到这些共享目录 ADMIN$%SYSTEMTOOT% 远程管理用的共享目录。它的路径永 远都指向WIN2003的安装路径，比如C： winnt IPC$IPC$共享提供了登的能力 PRIN$ SYSTEM32SPOOLDRIVER S 用户远程管理打印机 2021-6-21操作系统安全配置PPT课件28 5锁定注册表锁定注册表 防止防止黑客从远程访问注黑客从远程访问注 册表。修改册表。修改Hkey_current_userHkey

18、_current_user下的子键：下的子键： SoftwareMicrosoftwindowscurrentversionpoliciessystemSoftwareMicrosoftwindowscurrentversionpoliciessystem， 把把DisableRegistryTools值改为值改为0，类型为，类型为 DWORD。 2021-6-21操作系统安全配置PPT课件29 6禁止从软盘和光驱启动系统禁止从软盘和光驱启动系统 一些一些 第三方的工具能通过引导系统来绕过原第三方的工具能通过引导系统来绕过原 有的安全机制有的安全机制 。 利用安全配置工具来配置安全策略利用安全

19、配置工具来配置安全策略 利用基于利用基于MMCMMC（管理控制台）安全配置（管理控制台）安全配置 和分析工具配置服务器。和分析工具配置服务器。 2021-6-21操作系统安全配置PPT课件30 8开启审核策略开启审核策略 用安全审核来记录入用安全审核来记录入 侵日志。侵日志。 策略设置 审核系统登录事件成功、失败 审核帐户管理成功、失败 审核登录事件成功、失败 审核对象访问成功 审核策略更改成功、失败 审核特权使用成功、失败 审核系统事件成功、失败 2021-6-21操作系统安全配置PPT课件31 9加密加密Temp 文件夹文件夹 给给TempTemp文件夹加文件夹加 密可以给文件多一层保护。

20、密可以给文件多一层保护。 10使用智能卡使用智能卡用智能卡来代替复杂用智能卡来代替复杂 的密码。的密码。 11使用使用IPSec提供提供IPIP数据包的安全数据包的安全 性。它提供身份验证、完整性和可选择性。它提供身份验证、完整性和可选择 的机密性。的机密性。 利用利用IPSec可以使得系统的安全性能大大可以使得系统的安全性能大大 增强。增强。 2021-6-21操作系统安全配置PPT课件32 2.5 服务安全配置服务安全配置 主要有主要有5类，分别描述如下：类，分别描述如下： 关闭不必要的端口关闭不必要的端口 减少被入侵的算减少被入侵的算 途径，系统目录中的途径，系统目录中的system32

21、driversetcservicessystem32driversetcservices 文件中有知名端口和服务的对照表可供文件中有知名端口和服务的对照表可供 参考。参考。 如何设置本机开放的端口和服务？如何设置本机开放的端口和服务？ 2021-6-21操作系统安全配置PPT课件33 2021-6-21操作系统安全配置PPT课件34 2设置好安全记录的访问权限设置好安全记录的访问权限 安全安全 记录在默认情况下是没有保护的，把它记录在默认情况下是没有保护的，把它 设置成只有设置成只有AdministratorsAdministrators和系统账户和系统账户 才有权访问。才有权访问。 2021

22、-6-21操作系统安全配置PPT课件35 3备份敏感文件备份敏感文件有必要把一些重要的有必要把一些重要的 用户数据（存放在另外一个安全的服务用户数据（存放在另外一个安全的服务 器中，并且经常备份它们。器中，并且经常备份它们。 4禁止建立空连接禁止建立空连接 默认情况下，任何用默认情况下，任何用 户都可通过空连接连上服务器，进而枚户都可通过空连接连上服务器，进而枚 举出账号，猜测密码。我们可以通过修举出账号，猜测密码。我们可以通过修 改注册表来禁止建立空连接：即把改注册表来禁止建立空连接：即把 Local_MachineSystemCurrentControlSetControlLSA-Loca

23、l_MachineSystemCurrentControlSetControlLSA- RestrictAnonymousRestrictAnonymous的值改成的值改成“1”1”即可。即可。 2021-6-21操作系统安全配置PPT课件36 5关闭不必要的服务关闭不必要的服务 防止恶意程序以防止恶意程序以 服务方式悄悄地运行服务器上的终端服服务方式悄悄地运行服务器上的终端服 务，要确认已经正确配置了终端服务。务，要确认已经正确配置了终端服务。 Windows 2000Windows 2000作为服务器可禁用的服务作为服务器可禁用的服务 及其相关说明如表所示。及其相关说明如表所示。 2021

24、-6-21操作系统安全配置PPT课件37 2.6 注册表配置注册表配置 涉及到涉及到5类注册表配置，如下：类注册表配置，如下： 1关机时清除文件关机时清除文件 页面文件中可能含有页面文件中可能含有 另外一些敏感产资料，因此要在关机的另外一些敏感产资料，因此要在关机的 时候清除页面文件。时候清除页面文件。 编辑注册表修改主键编辑注册表修改主键HKEY_LOCAL_MACHINE下下 的子键的子键 SystemCurrentControlSetControlControlSessionManage/Memory Management 把把 ClearPage的值设置成的值设置成1。 2021-6-

25、21操作系统安全配置PPT课件38 2关闭关闭DirectDraw C2C2级安全标准对视频级安全标准对视频 和内存有一定要求。关闭和内存有一定要求。关闭DirectDrawDirectDraw可可 能对一些需要用到能对一些需要用到DirectxDirectx程序有影响程序有影响 ( (比如游戏比如游戏) )，但是对于绝大多数的商业，但是对于绝大多数的商业 站点是没有影响的。站点是没有影响的。 修改主键修改主键HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE下的子键下的子键 SystemCurrentControlSetControlGrSystemCurrentCon

26、trolSetControlGr aphicsDriversDCITimeout aphicsDriversDCITimeout 将键值设将键值设 置成置成0 0。 2021-6-21操作系统安全配置PPT课件39 3禁止判断主机类型禁止判断主机类型 黑客可利用黑客可利用TTLTTL （Time To LiveTime To Live，生存时间）值可以鉴，生存时间）值可以鉴 别操作系统的类型，通过别操作系统的类型，通过PingPing指令能判指令能判 断目标主机类型。断目标主机类型。 2021-6-21操作系统安全配置PPT课件40 修改主键修改主键HKEY_LOCAL_MACHINEHKEY

27、_LOCAL_MACHINE下的子下的子 键键 SystemCurrentControlSetServicesTcpipParametersSystemCurrentControlSetServicesTcpipParameters， 新建一个双字节项，在键的名称中输入新建一个双字节项，在键的名称中输入 “defaultTTL”defaultTTL”，然后双击该键名，选，然后双击该键名，选 择择“十进制十进制”，在，在“数位数据数位数据”文本框文本框 中输入中输入100100。设置完毕后需要重新启动计。设置完毕后需要重新启动计 算机。算机。 2021-6-21操作系统安全配置PPT课件41 4

28、抵抗抵抗DDOS 添加注册表的一些键值，添加注册表的一些键值， 可以有效的抵抗可以有效的抵抗DDOSDDOS（分布式拒绝服务）（分布式拒绝服务） 的攻击。在键值的攻击。在键值 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcp ipParametersipParameters下增加响应的键及其说明。下增加响应的键及其说明。 2021-6-21操作系统安全配置PPT课件42 5禁止禁止Guest访问日志访问日志 GuestGuest和匿名用

29、和匿名用 户可以查看系统的事件日志，这可能导户可以查看系统的事件日志，这可能导 致许多重要的信息的泄漏。致许多重要的信息的泄漏。 1 1）禁止）禁止GuestGuest访问应用日志访问应用日志 在在 HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEveHKEY_LOCAL_MACHINESystemCurrentControlSetServicesEve ntlogApplicationntlogApplication下添加键值名称为下添加键值名称为 “RestrictGuestAccessRestrictGuestAccess”，类型为，类

30、型为“DWORD”DWORD”， 将值设置为将值设置为1 1。 2021-6-21操作系统安全配置PPT课件43 2 2）禁止）禁止GuestGuest访问系统日志访问系统日志 在在 HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEveHKEY_LOCAL_MACHINESystemCurrentControlSetServicesEve ntlogSystemntlogSystem下添加键值名称为下添加键值名称为 “RestrictGuestAccessRestrictGuestAccess”，类型为，类型为“DWORD”DWORD”， 将

31、值设置为将值设置为1 1。 3 3）禁止）禁止GuestGuest访问安全日志访问安全日志 在在 HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEveHKEY_LOCAL_MACHINESystemCurrentControlSetServicesEve ntlogSecurityntlogSecurity下添加键值名称为下添加键值名称为 “RestrictGuestAccessRestrictGuestAccess”，类型为，类型为“DWORD”DWORD”， 将值设置为将值设置为1 1。 2021-6-21操作系统安全配置PPT课件44

32、2.7 数据恢复软件数据恢复软件 当数据被病毒或者入侵者破坏后，可以当数据被病毒或者入侵者破坏后，可以 利用数据恢复软件找回部分被删除的数利用数据恢复软件找回部分被删除的数 据据 。比较著名的有比较著名的有FinalDataFinalData， EasyRecoveryEasyRecovery等。我们介绍一下等。我们介绍一下 FinalDataFinalData。 注意：原来的磁盘扇区被写上了新的文注意：原来的磁盘扇区被写上了新的文 件，这些数据就不能完全恢复！件，这些数据就不能完全恢复！ 2021-6-21操作系统安全配置PPT课件45 原来原来D D盘上有一些文件数据文件，现在被盘上有一些文件数据文件，现在被 黑客删除了，如何恢复？选择黑客删除了，如何恢复？选择“文件文件” 菜单，单击菜单，单击“打开打开”按钮，出现当前系按钮，出现当前系 统的分区情况，可以选择需要恢复数据统的分区情况，可以选择需要恢复数据 的分区，在这里选择的分