信息网络安全知识普及教育培训教程系统安全

1、第七章 系统安全福州大学网络中心宋志刚内容提要内容提要操作系统类型及安全操作系统概念Win dows操作系统安全 UNIX及Linux操作系统安全 数据库安全7.1.1 操作系统的概念以及作用操作系统的概念以及作用操作系统提供了计算机硬件和计算软件的中间处理功能，使得计算机软件可以对计算机硬件采用统一的方式进行访问；同时操作系统 使不同软件间可以通过统一的开放的接口进行互访7.1.2 目前常见的操作系统目前常见的操作系统有以下几种：MS-DOS系列Unix (Sco Uni x,Solaris,Aix,HP-UX)Linux/FreeBSDWindows 3.X/NT/95/98/2000/X

2、P/2003/Vista/Apple Mac-OSMobile 系列 -symbian 、 windows CE/Pocket PC 其他专用操作系统（如 Cisco IOS 等）7.1.2.1 DOS 操作系统DOS操作系统美国微软( microsoft )开发1979年，IBM公司开发出基于Intel 8086 个人电脑(PC Microsoft 公司编写了 MS-DOS操作系统由于个人电脑的迅速普及,MS-DOS系统也随之成为用户最多的 操作系统DOS系统直到 Windows95 ( DOS 7.0)发布才逐渐结束了它的使 命7.1.2.2 DOS 操作系统的特点DOS操作系统的特点：简

3、单单用户 / 单进程模式 几乎没有安全措施(也导致病毒的迅速产生和泛滥)7.1.3 Windows 系统Win dows 系统1985 年，推出 windows 1.0 ,windows 3.X 确立了 windows 系 统的可用性Windows 95windows98 ， windows me 为桌面版操作系统，和 DOS系统共存Windows NT为服务器专用版，后来和 windows桌面版合二为- Windows 2000以后的版本，DOS系统已经不是单独的构件存在 了7.1.3.1 Windows 系列操作系统的特点Windows 系列操作系统特点：图形化（GUI）界面，操作方便多任

4、务，多进程 多用户支持 支持多种网络协议，内置常用的 Internet 软件支持多种文件系统（如 DOS的FAT, windows FAT2和NTFS7.1.4 UNIX 系统UNIX系统UNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。UNIX诞生于20世纪60年代末期1970 年给系统正式取名为 Unix 操作系统。到 1973 年, Unix 系统的绝大部分源代码都用 C语言重新编写过，大大提高了 Unix系统的 可移植性,也为提高系统软件的开发效率创造了条件。7.1.4.1 UNIX 系统变革UNIX系统变革7.1.4.2 UNIX 系统的主要特色主要特色UNI

5、X 操作系统经过 20 多年的发展后，已经成为一种成熟的主 流操作系统，并在发展过程中逐步形成了一些新的特色，其中主要特色 包括 5 个方面 :(1) 可靠性高(2) 极强的伸缩性(3) 网络功能强(4) 强大的数据库支持功能(5) 开放性好7.1.5 LinuxLinuxLinux 是一套可以免费使用和自由传播的类 Unix 操作系统， 主要用于基于In tel x86 系列CPU的计算机上，遵从 POSIX标准Linux 最早开始于一位名叫 Linus Torvalds 的计算机业余爱好 者，当时他是芬兰赫尔辛基大学的学生。由于开源， Linux 的品种繁多( redhat 、fedora

6、 、slackware 、Suse、ubuntu、debian)，主要区别在于上层，内核基本一致，外围应 用软件丰富目前基本以小型服务器操作系统为主。7.1.5.1 Linux 优点UNIX系统的安全特征按照可信计算机评价标准(TCSEC)达到C2级(2) 有控制的存取保护(3) 访问控制(4) 个人身份标识与认证(5) 审计记录(6) 操作的可靠性7.1.6 安全操作系统的研究发展安全操作系统的研究发展操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用没有操作系统提供的安全性，信息系统的安全性是没有基础的7.1.7 主体和客体主体和客体操作系统中的每一个实体组件都必须是主体或者

7、是客体，或者 既是主体又是客体。主体是一个主动的实体，它包括用户、用户组、进 程等。系统中最基本的主体应该是用户。每个进入系统的用户必须是惟 一标识的，并经过鉴别确定为真实的。系统中的所有事件要求，几乎全 是由用户激发的。客体是一个被动的实体。在操作系统中，客体可以是按照一定 格式存储在一定记录介质上的数据信息(通常以文件系统格式存储数 据)，也可以是操作系统中的进程。操作系统中的进程(包括用户进程 和系统进程)一般有着双重身份。当一个进程运行时，它必定为某一用 户服务直接或间接的处理该用户的事件要求。于是，该进程成为该用户的客体，或为另一进程的客体(这时另一进程则是该用户的客体)7.1.8

8、安全策略和安全模型安全策略和安全模型安全策略是指有关管理、保护和发布敏感信息的法律、规定和 实施细则。安全模型则是对安全策略所表达的安全需求的简单、抽象和无 歧义的描述，它为安全策略和安全策略实现机制的关联提供了一种框架。7.1.9 访问监控器访问监控器访问控制机制的理论基础是访问监控器 ( Reference Monitor )， 由 J.P.Anderson 首次提出。 访问监控器是一个抽象 概念，它表现的是一种思想。 J.P.Anderson 把访问监控器的具体 实现称为引用验证机制，它是实现访问监控器思想的硬件和软件 的组合 .7.1.10 安全内核安全内核安全内核是实现访问监控器概念

9、的一种技术，在一个大型操作 系统中，只有其中的一小部分软件用于安全目的是它的理论依据。所以 在重新生成操作系统过程中，可用其中安全相关的软件来构成操作系统 的一个可信内核，称之为安全内核。安全内核必须予以适当的保护，不 能篡改。同时绝不能有任何绕过安全内核存取控制检查的存取行为存在。 此外安全内核必须尽可能地小，便于进行正确性验证。安全内核由硬件 和介于硬件和操作系统之间的一层软件组成。7.1.11 可信计算基可信计算基操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬件。这些软件、硬件和负责系统安全管理的人员一起组成了系统的可 信计算基(Trusted Computing Base,

10、TCB。具体来说可信计算基由以 下 7 个部分组成：(1) 操作系统的安全内核。(2) 具有特权的程序和命令。(3) 处理敏感信息的程序，如系统管理命令等。(4) 与TCB实施安全策略有关的文件。(5) 其它有关的固件、硬件和设备。(6) 负责系统管理的人员。(7) 保障固件和硬件正确的程序和诊断软件。7.1.12 安全操作系统的机制安全操作系统的机制包括：硬件安全机制 操作系统的安全标识与鉴别 访问控制、最小特权管理 可信通路和安全审计7.1.12.1 硬件安全机制硬件安全机制绝大多数实现操作系统安全的硬件机制也是传统操作系统所要求的，优秀的硬件保护性能是高效、可靠的操作系统的基础。计算机硬

11、件安全的目标是，保证其自身的可靠性和为系统提供基本安全机制。其中基本安全机制包括存储保护、运行保护、 I/O 保护7.1.12.2 标识与鉴别标识与鉴别标识与鉴别是涉及系统和用户的一个过程。标识就是系统要标 识用户的身份，并为每个用户取一个系统可以识别的内部名称 : 用户标 识符。用户标识符必须是惟一的且不能被伪造，防止一个用户冒充另一 个用户。将用户标识符与用户联系的过程称为鉴别，鉴别过程主要用以 识别用户的真实身份，鉴别操作总是要求用户具有能够证明他的身份的 特殊信息，并且这个信息是秘密的，任何其他用户都不能拥有它。7.1.12.3 访问控制访问控制在安全操作系统领域中，访问控制一般都涉及

12、两种形式 :（1）自主访问控制（ Discretionary Access Control， DAC）（2）强制访问控制（ Mandatory Access Control ， MAC）7.1.12.4 自主访问控制自主访问控制自主访问控制是最常用的一类访问控制机制，用来决定一个用 户是否有权访问一些特定客体的一种访问约束机制。在自主访问控制机 制下，文件的拥有者可以按照自己的意愿精确指定系统中的其他用户对 其文件的访问权。亦即使用自主访问控制机制，一个用户可以自主地说明他所拥 有的资源允许系统中哪些用户以何种权限进行共享。从这种意义上讲， 是“自主”的。另外自主也指对其他具有授予某种访问权力

13、的用户能够 自主地（可能是间接的） 将访问权或访问权的某个子集授予另外的用户。7.1.12.5 强制访问控制 MAC强制访问控制 MAC在强制访问控制机制下，系统中的每个进程、每个文件、每个 IPC 客体 （ 消息队列、信号量集合和共享存贮区 ）都被赋予了相应的安全 属性，这些安全属性是不能改变的，它由管理部门（如安全管理员）或 由操作系统自动地按照严格的规则来设置，不像访问控制表那样由用户 或他们的程序直接或间接地修改。当一进程访问一个客体 （如文件 ）时，调用强制访问控制机制， 根据进程的安全属性和访问方式，比较进程的安全属性和客体的安全属 性，从而确定是否允许进程对客体的访问。代表用户的

14、进程不能改变自 身的或任何客体的安全属性， 包括不能改变属于用户的客体的安全属性， 而且进程也不能通过授予其他用户客体存取权限简单地实现客体共享。 如果系统判定拥有某一安全属性的主体不能访问某个客体，那么任何人 （包括客体的拥有者） 也不能使它访问该客体。 从这种意义上讲， 是“强 制”的。7.1.12.6 强制访问控制和自主访问控制强制访问控制和自主访问控制强制访问控制和自主访问控制是两种不同类型的访问控制机 制，它们常结合起来使用 - 仅当主体能够同时通过自主访问控制 和强制访问控制检查时，它才能访问一个客体。用户使用自主访问控制防止其他用户非法入侵自己的文件， 强制访问控制则作为更强有力

15、的安全保护方式，使用户不能通过 意外事件和有意识的误操作逃避安全控制。因此强制访问控制用 于将系统中的信息分密级和类进行管理，适用于政府部门、军事 和金融等领域。7.1.12.7 最小特权管理超级用户的隐患；最小特权管理的思想是系统不应给用户超过执行任务所需特权 以外的特权，如将超级用户的特权划分为一组细粒度的特权，分别授予 不同的系统操作员 / 管理员，使各种系统操作员 / 管理员只具有完成其任 务所需的特权， 从而减少由于特权用户口令丢失或错误软件、 恶意软件、 误操作所引起的损失。比如可在系统中定义5 个特权管理职责，任何一个用户都不能获取足够的权力破坏系统的安全策略。7.1.12.8

16、可信通路可信通路在计算机系统中，用户是通过不可信的中间应用层和操作系统 相互作用的。但用户登录，定义用户的安全属性，改变文件的安全级等 操作，用户必须确实与安全核心通信， 而不是与一个特洛伊木马打交道。 系统必须防止特洛伊木马模仿登录过程，窃取用户的口令。特权用户在进行特权操作时，也要有办法证实从终端上输出的 信息是正确的，而不是来自于特洛伊木马。这些都需要一个机制保障用 户和内核的通信，这种机制就是由可信通路提供的。7.1.12.9 安全审计安全审计一个系统的安全审计就是对系统中有关安全的活动进行记录、 检查及审核。它的主要目的就是检测和阻止非法用户对计算机系统的入 侵，并显示合法用户的误操

17、作。审计作为一种事后追查的手段来保证系统的安全，它对涉及系 统安全的操作做一个完整的记录。审计为系统进行事故原因的查询、定位，事故发生前的预测、 报警以及事故发生之后的实时处理提供详细、可靠的依据和支持，以备 有违反系统安全规则的事件发生后能够有效地追查事件发生的地点和过 程以及责任人。7.1.12.10 主要安全模型具有代表性的安全模型 :BLP 机密性安全模型、 Biba 完整性安全模型和 Clark-Wilson 完整性安全模型、信息流模型、RBAC安全模型、DTE安全模型和无干扰安全模型等。7.1.12.11 操作系统安全定义操作系统安全定义信息安全的五类服务，作为安全的操作系统时必须

18、提供的有些操作系统所提供的服务是不健全的、默认关闭的7.1.12.12 信息安全评估标准信息安全评估标准ITSEC 和 TCSECTCSEC描述的系统安全级别 D aACC(Common Critical) 标准7.1.12.13 信息安全评估标准信息安全评估标准管理方面；BS 7799:2000 ；ISO 17799 标准；7.1.12.14 TCSEC 定义的内容TCSEC定义的内容7.2.1 Windows 操作系统安全Win dows操作系统安全7.2.2 Windows 系统的安全架构Windows 系统的安全架构Windows NT系统内置支持用户认证、 访问、控制、管理、审核。7

19、.2.3 Windows 系统的安全组件Win dows系统的安全组件(1) 自主访问控制 (Discretion access control) 允许对象所有 者可以控制谁被允许访问该对象以及访问的方式。(2) 对象重用 (Object reuse) 当资源 (内存、磁盘等 )被某应用 访问时， Windows 禁止所有的系统应用访问该资源(3) 强制登陆 (Mandatory log on) 要求所有的用户必须登陆， 通过认证后才可以访问资源(4) 审核 (Auditing) 在控制用户访问资源的同时，也可以对这 些访问作了相应的记录。(5) 对象的访问控制 (Control of acc

20、ess to object) 不允许直 接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用 通过第一次认证后再访问。(例如：NTFS访问控制)7.2.4 Windows 安全子系统安全子系统包括以下部分：WinlogonGraphical Identification and Authentication DLL (GINA)Local Security Authority(LSA)Security Support Provider Interface(SSPI)Authentication PackagesSecurity support providersNetlogon Se

21、rviceSecurity Account Manager(SAM)7.2.5.1 Windows 安全子系统 ( 一)Windows 安全子系统7.2.5.1 Windows 安全子系统 （ 二）Windows 安全子系统Winlogon and Gina:Winlogon调用GINA DLL,并监视安全认证序列。而 GINA DLL 提供一个交互式的界面为用户登陆提供认证请求。GINADLL被设计成一个独立的模块,当然我们也可以用一个更加强有力的认证方式（指纹、 视网膜）替换内置的 GINA DLL。Winlogon 在注册表中查找HKLMSoftwareMicrosoftWindows

22、NTCurrentVersionWinlogon,如果存在GinaDLL键，Winlogon将使用这个DLL，如果不存在该键， Winlogon 将使用默认值 MSGINA.DLL7.2.5.1 Windows 安全子系统 （ 三）Windows 安全子系统本地安全认证（ Local Security Authority ）：本地安全认证（LSA）是一个被保护的子系统，它负责以下任务:调用所有的认证包，检查在注册表中 HKLMSYSTEMCurrent ControlSetControlLSA 下 AuthenticationPAckages 下的值，并调用 该DLL进行认证（MSV_1.DL

23、L。在4.0版里，Windows NT会寻找 HKLMSYSTEMCurrentControlSetControlLSA 下所有存在的 SecurityPackages 值并调用。重新找回本地组的 SIDs 和用户的权限。 创建用户的访问令牌。 管理本地安装的服务所使用的服务账号。 储存和映射用户权限。管理审核的策略和设置。 管理信任关系。7.2.5.1 Windows 安全子系统 （ 四）Windows 安全子系统安全支持提供者的接口 ( Security Support Provide Interface )： 微软的 Security Support Provide Interface很

24、简单地遵循RFC2743 和 RFC2744 的定义，提供一些安全服务的 API ，为应用程序和 服务提供请求安全的认证连接的方法。认证包( Authentication Package )：认证包可以为真实用户提供认证。 通过GINADLL的可信认证后， 认证包返回用户的 SIDs给LSA然后将其放在用户的访问令牌中。7.2.5.1 Windows 安全子系统 ( 五 )Windows 安全子系统安全支持提供者( Security Support Provider )： 安全支持提供者是以驱动的形式安装的，能够实现一些附加的 安全机制，默认情况下， Windows NT 安装了以下三种：(1

25、) Msnsspc.dll ：微软网络挑战 / 反应认证模块(2) Msapsspc.dll ：分布式密码认证挑战 / 反应模块， 该模块也 可以在微软网络中使用(3) Schannel.dll ：该认证模块使用某些证书颁发机构提供的证书来进行验证， 常见的证书机构比如 Verisign 。这种认证方式经常在 使用 SSL( Secure Sockets Layer)和 PCT( Private CommunicationTechnology )协议通信的时候用到。7.2.5.1 Windows 安全子系统 （ 六）Windows 安全子系统网络登陆( Netlogon )： 网络登陆服务必须

26、在通过认证后建立一个安全的通道。要实现这 个目标，必须通过安全通道与域中的域控制器建立连接，然后，再通过 安全的通道传递用户的口令，在域的域控制器上响应请求后，重新取回 用户的 SIDs 和用户权限。安全账号管理者( Security Account Manager )：安全账号管理者，也就是我们经常所说的SAM它是用来保存用户账号和口令的数据库。 保存了注册表中 HKLMSecuritySam 中的一部 分内容。不同的域有不同的 Sam在域复制的过程中，Sam包将会被拷贝。7.2.5.2 Windows 的密码系统Win dows的密码系统Windows NT及Win2000中对用户帐户的安

27、全管理使用了安全帐 号管理器(security account manager)的机制，安全帐号管理器对帐号的 管理是通过安全标识进行的，安全标识在帐号创建时就同时创建，一旦 帐号被删除，安全标识也同时被删除。安全标识是唯一的，即使是相同 的用户名，在每次创建时获得的安全标识都时完全不同的。因此，一旦 某个帐号被删除，它的安全标识就不再存在了，即使用相同的用户名重 建帐号，也会被赋予不同的安全标识，不会保留原来的权限。7.2.6 Windows 基本安全手段包括十二条基本配置原则：物理安全、停止 Guest 帐号、限制用户数量、创建多个管理员 帐号、管理员帐号改名、陷阱帐号、更改默认权限、设置

28、安全密码、屏 幕保护密码、使用 NTFS分区、运行防毒软件和确保备份盘安全。7.2.6.1 物理安全服务器应该安放在安装了监视器的隔离房间内，并且监视器要 保留 15 天以上的摄像记录。另外，机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在安全的地方。7.2.6.2 停止 Guest 帐号在计算机管理的用户里面把 Guest 帐号停用，任何时候都不允 许 Guest 帐号登陆系统。为了保险起见，最好给 Guest 加一个复杂的密码，可以打开记 事本，在里面输入一串包含特殊字符 , 数字，字母的长字符串。 用它作为 Guest 帐号的密码。并且修改 Guest 帐号

29、的属性，设置拒绝远程访问， 如图所示：7.2.6.3 限制用户数量去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限， 并且经常检查系统的帐户， 删除已经不使用的帐户。帐户很多是黑客们入侵系统的突破口，系统的帐户越多，黑客 们得到合法用户的权限可能性一般也就越大。对于 Windows NT/2000 主机，如果系统帐户超过 10个，一般能 找出一两个弱口令帐户，所以帐户数量不要大于 10 个。7.2.6.4 多个管理员帐号虽然这点看上去和上面有些矛盾， 但事实上是服从上面规则的。创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物， 另一个拥有 Administra

30、tor 权限的帐户只在需要的时候使用。因为只要登录系统以后， 密码就存储再 WinLogon 进程中， 当有 其他用户入侵计算机的时候就可以得到登录用户的密码，尽量减少 Administrator 登录的次数和时间。7.2.6.5 管理员帐号改名Windows 2000 中的 Administrator 帐号是不能被停用的，这意 味着别人可以一遍又一边的尝试这个帐户的密码。把 Administrator 帐 户改名可以有效的防止这一点。不要使用 Admin 之类的名字，改了等于没改，尽量把它伪装成 普通用户，比如改成： guestone 。具体操作的时候只要选中帐户名改名 就可以了，如图所示：

31、7.2.6.6 陷阱帐号所谓的陷阱帐号是创建一个名为 “ Administrator ”的本地帐户， 把它的权限设置成最低， 什么事也干不了的那种， 并且加上一个超过 10 位的超级复杂密码。这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。 可以将该用户隶属的组修改成 Guests 组，如图所示：7.2.6.7 更改默认权限共享文件的权限从“ Everyone ”组改成“授权用户”。“ Ever yone”在Windows 2000中意味着任何有权进入你的网络的用户都能够获 得这些共享资料。任何时候不要把共享文件的用户设置成“ Everyone ”组。包括 打印共享，默

32、认的属性就是“ Everyone ”组的，一定不要忘了改。设置 某文件夹共享默认设置如图所示：7.2.6.8 安全密码好的密码对于一个网络是非常重要的，但是也是最容易被忽略 的。一些网络管理员创建帐号的时候往往用公司名，计算机名，或 者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得 比较简单，比如：“ welcome”、“ iloveyou ”、“ letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首次登陆的时 候更改成复杂的密码，还要注意经常更改密码。这里给好密码下了个定义：安全期内无法破解出来的密码就是 好密码， 也就是说， 如果得到了密码文档， 必须花 43天

33、或者更长的时间 才能破解出来，密码策略是 42 天必须改密码。7.2.6.9 屏幕保护密码设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用Ope nGL和一些复杂的屏幕保护程序，浪费系统资源，黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密 码。将屏幕保护的选项“密码保护”选中就可以了，并将等待时间 设置为最短时间“ 1 秒”，如图所示：7.2.6.10 NTFS 分区把服务器的所有分区都改成 NTFS格式。NTFS文件系统要比FAT、 FAT32的文件系统安全得多。7.2.6.11 防毒软件Windows 2000/NT 服务器一般都没有安装防毒软件的，一

34、些好 的杀毒软件不仅能杀掉一些著名的病毒， 还能查杀大量木马和后门程序。设置了防毒软件，“黑客”们使用的那些有名的木马就毫无用 武之地了，并且要经常升级病毒库。7.2.6.12 备份盘的安全一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。不能把资料备份在同一台服务器上， 这样的话还不如不要备份。7.2.7 Windows 安全进阶包括十条基本配置原则：操作系统安全策略、关闭不必要的服务、关闭不必要的端口、开启审核策略、开启密码策略、开启帐户策略、备份敏感文件、不显示上次登陆名、禁止建立空连接和下载最新的补丁7.2.7.1 操作系统安全策略利用 Win

35、dows 2000 的安全配置工具来配置安全策略，微软提 供了一套的基于管理控制台的安全配置和分析工具，可以配置服务器的 安全策略。在管理工具中可以找到“本地安全策略”，主界面如图 7-6 所 示。可以配置四类安全策略：帐户策略、本地策略、公钥策略和 IP 安全策略。在默认的情况下，这些策略都是没有开启的。7.2.7.2 关闭不必要的服务 （ 一）Windows 2000 的 Terminal Services （终端服务）和 IIS（ Internet 信息服务）等都可能给系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是 开着的，如果开了，要确认已经正确的配置了终端服

36、务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服 务。要留意服务器上开启的所有服务并每天检查。7-1Windows 2000 作为服务器可禁用的服务及其相关说明如表所示。7.2.7.2 关闭不必要的服务 （ 二）Windows2000 可禁用的服务7.2.7.3 关闭不必要的端口 （ 一）关闭端口意味着减少功能，如果服务器安装在防火墙的后面，被入侵的机会就会少一些，但是不可以认为高枕无忧了。用端口扫描器扫描系统所开放的端口，在Winntsystem32driversetcservices 文件中有知名端口和服务的对 照表可供参考。该文件用记事本打开如图 7-7 所示。7.2.7.3

37、关闭不必要的端口 （ 二）设置本机开放的端口和服务，在 IP 地址设置窗口中点击按钮 高级”，如图 7-8 所示。7.2.7.3 关闭不必要的端口 （ 三）在出现的对话框中选择选项卡“选项”，选中“ TCP/IP 筛选”，点击按钮“属性”，如图 7-9 所示。7.2.7.3 关闭不必要的端口 （ 四）设置端口界面如图所示。一台Web服务器只允许 TCP的80端口通过就可以了。 TCP/IP 筛选器是 Windows自带的防火墙，功能比较强大，可以替代防火墙的部 分功能。7.2.7.4 开启审核策略 （ 一）安全审核是 Windows 2000 最基本的入侵检测方法。 当有人尝试 对系统进行某种

38、方式（如尝试用户密码，改变帐户策略和未经许可的文 件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到 破坏。表 7-2 的这些审核是必须开启的，其他的可以根据需要增加。7.2.7.4 开启审核策略 （ 二）审核策略默认设置审核策略在默认的情况下都是没有开启的，如图所示。7.2.7.4 开启审核策略 （ 三）双击审核列表的某一项，出现设置对话框，将复选框“成功” 和“失败”都选中，如图所示。7.2.7.5 开启密码策略 （ 一）密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如表所示7.2.7.5 开

39、启密码策略 （ 二）设置选项如图所示。7.2.7.6 开启帐户策略 （ 一）开启帐户策略可以有效的防止字典式攻击，设置如表所示。7.2.7.6 开启帐户策略 （ 二）设置帐户策略设置的结果如图所示。7.2.7.7 备份敏感文件把敏感文件存放在另外的文件服务器中，虽然服务器的硬盘容量都很大，但是还是应该考虑把一些重要的用户数据（文件，数据表和项目文件等）存放在另外一个安全的服务器中，并且经常备份它们7.2.7.8 不显示上次登录名默认情况下， 终端服务接入服务器时， 登陆对 话框中会显示上 次登陆的帐户名， 本地的登陆 对话框也是一样。 黑客们可以得到系统的 一些 用户名，进而做密码猜测。修改注

40、册表禁止显示上次登录名，在HKEY_LOCAL_MACHI主键 下修改子键：SoftwareMicrosoftWindowsNTCurrentVersionWinlogon DontDisplayLastUserName ，将键值改成 1，如图 7-15 所示。7.2.7.9 禁止建立空连接默认情况下， 任何用户通过空连接连上服务器， 进而可以枚举 出帐号，猜测密码。可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHI主键下修改子键：SystemCurrentControlSetControlLSARestrictAnonymous，将键值改成“ 1”即可。如图 7-16 所

41、示。7.2.7.10 下载最新的补丁10 下载最新的补丁很多网络管理员没有访问安全站点的习惯， 以至于一些漏洞都 出了很久了，还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的 Windows 2000 不出一点安 全漏洞。经常访问微软和一些安全站点，下载最新的Service Pack 和漏洞补丁，是保障服务器长久安全的唯一方法。7.2.8 Windows 安全的其他注意事项Windows 安全的其他注意事项包括十四条配置原则：关闭 DirectDraw 、关闭默认共享 禁用 Dump File 、文件加密系统加密Temp文件夹、锁住注册表、关机时清除文件 禁止软盘光盘启动、

42、使用智能卡、使用 IPSec 禁止判断主机类型、抵抗 DDOS 禁止 Guest 访问日志和数据恢复软件7.2.8.1 关闭 DirectDrawC2 级安全标准对视频卡和内存有要求。 关闭 DirectDraw 可能 对一些需要用到 DirectX 的程序有影响（比如游戏），但是对于绝大多 数的商业站点都是没有影响的。在HKEY_LOCAL_MACHI主键下修改子键：SYSTEMCurrentControlSetControlGraphicsDriversDCITimeout，将键值改为“ 0”即可，如图 7-17 所示。7.2.8.2 关闭默认共享 （ 一）Windows 2000 安装以

43、后，系统会创建一些隐藏的共享，可以在DOS提示符下输入命令 Net Share 查看，如图7-18所示。7.2.8.2 关闭默认共享 （ 二）停止默认共享共享文件夹 共享，7-19 所示。禁止这些共享， 打开管理工具 计算机管理 在相应的共享文件夹上按右键，点停止共享即可，如图728.3 禁用 Dump文件在系统崩溃和蓝屏的时候，Dump文件是一份很有用资料，可以帮助查找问题。然而，也能够给黑客提供一些敏感信息，比如一些应 用程序的密码等需要禁止它， 打开控制面板 系统属性 高级 启动和故障 恢复，把写入调试信息改成无，如图 7-20 所示。7.2.8.4 文件加密系统Windows2000

44、强大的加密系统能够给磁盘， 文件夹， 文件加上 一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里 面的数据。微软公司为了弥补 Windows NT 4.0 的不足，在 Windows 2000 中，提供了一种基于新一代NTFS NTFS V5 （第 5版本）的加密文件系统（ Encrypted File System ，简称 EFS）。EFS实现的是一种基于公共密钥的数据加密方式，利用了 Windows 2000 中的 CryptoAPI 结构。728.5加密Temp文件夹5加密Temp文件夹一些应用程序在安装和升级的时候，会把一些东西拷贝到Temp文件夹，但是当程序升级完毕或关

45、闭的时候，并不会自己清除Temp文件夹的内容。所以，给Temp文件夹加密可以给你的文件多一层保护。7.2.8.6 锁住注册表在 Windows2000 中，只有 Administrators和 Backup Operators才有从网络上访问注册表的权限。当帐号的密码泄漏以后，黑客也可以 在远程访问注册表， 当服务器放到网络上的时候， 一般需要锁定注册表。 修改 Hkey_current_user 下的子键SoftwaremicrosoftwindowscurrentversionPoliciessystem把DisableRegistryTools 的值该为 0,类型为 DWORD如图7-2

46、1所示7.2.8.7 关机时清除文件7 关机时清除文件页面文件也就是调度文件,是 Windows 2000 用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一 些没有的加密的密码存在内存中,页面文件中可能含有另外一些敏感的 资料。要在关机的时候清楚页面文件,可以编辑注册表修改主键HKEY_LOCAL_MACHII下的子键： SYSTEMCurrentControlSetControlSession ManagerMemoryManagement把 ClearPageFileAtShutdown的值设置成 1,如图 7-22 所示。7.2.8.8 禁止软盘光盘启动一些第

47、三方的工具能通过引导系统来绕过原有的安全机制。 比 如一些管理员工具，从软盘上或者光盘上引导系统以后，就可以修改硬 盘上操作系统的管理员密码。如果服务器对安全要求非常高， 可以考虑使用可移动软盘和光 驱，把机箱锁起来仍然不失为一个好方法。7.2.8.9 使用智能卡对于密码， 总是使安全管理员进退两难， 容易受到一些工具的攻击，如果密码太复杂，用户为了记住密码，会把密码到处乱写。如果条件允许， 用智能卡来代替复杂的密码是一个很好的解决 方法。7.2.8.10 使用 IPSec正如其名字的含义， IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、 完整性和可选择的机密性。 发送方计

48、算 机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用 IPSec 可以使得系统的安全性能大大增强。7.2.8.11 禁止判断主机类型 （ 一）黑客利用 TTL（ Time-To-Live ，活动时间）值可以鉴别操作系 统的类型，通过 Ping 指令能判断目标主机类型。 Ping 的用处是检测目 标主机是否连通。许多入侵者首先会 Ping 一下主机，因为攻击某一台计算机需要根据对方的操作系统，是Windows还是Unix。如过TTL值为128就可以认为你的系统为 Windows 2000，如图 7-23 所示。7.2.8.11 禁止判断主机类型 （ 二）从图中可以看出，TTL值为

49、128，说明改主机的操作系统是 Windows 2000 操作系统。表 7-6 给出了一些常见操作系统的对照 值。7.2.8.11 禁止判断主机类型 （ 三）修改 TTL 的值，入侵者就无法入侵电脑了。比如 将操作系统的TTL值改为111,修改主键 HKEY_LOCAL_MACHINE子键： SYSTEMCURRENT_ CONTROLSETSERVICESTCPIPPARAME新建RS 一个双字节项，如图 7-24 所示。7.2.8.11 禁止判断主机类型 （ 四）在键的名称中输入“ defaultTTL ”，然后双击改键名，选择 单选框“十进制”，在文本框中输入111，如图所示 :7.2.

50、8.11禁止判断主机类型 （ 五 ）设置完毕重新启动计算机，再用 Ping 指令，发现 TTL 的值已 经被改成 111 了，如图所示 :7.2.8.12 抵抗 DDOS添加注册表的一些键值，可以有效的抵抗 DDOS勺攻击。在键值HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters 下增加响应的键及其说明如表所示 :7.2.8.13 禁止 Guest 访问日志在默认安装的 Windows NT和 Windows 2000中，Guest帐号和匿名用户可以查看系统的事件日志，可能导致许多重要信息的泄 漏，修改注册 表来禁止

51、 Guest 访问事件日志。禁止 Guest 访问应用日志： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices EventlogApplication 下添加键值名称为： RestrictGuestAccess ， 类型为：DWORD#值设置为1。系统日志： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices EventlogSystem 下添加键值名称为： RestrictGuestAccess ，类型为： DWORD将值设置为1。安全日志： HKEY_LOCAL_MACHINESYSTEMCu

52、rrentControlSetServices EventlogSecurity 下添加键值名称为： RestrictGuestAccess ，类型 为：DWORD将值设置为1。7.2.8.14 数据恢复软件当数据被病毒或者入侵者破坏后，可以利用数据恢复软件可以找回部分被删除的数据，例如 Easy Recovery 等。729.1 针对 Windows2000的入侵-探测探测 选择攻击对象，了解部分简单的对象信息；针对具体的攻击目 标，随便选择了一组 IP 地址， 进行测试， 选择处于活动状态的主机， 进 行攻击尝试针对探测的安全建议 对于网络：安装防火墙，禁止这种探测行为 对于主机： 安装个

53、人防火墙软件， 禁止外部主机的 ping 包， 使 对方无法获知主机当前正确的活动状态7.2.9.2 针对 Windows2000的入侵-扫描（一）扫描使用的扫描软件NAT 流光、Xscan、SSS扫描远程主机开放端口扫描操作系统识别主机漏洞分析7.2.9.2 针对 Windows 2000 的入侵 - 扫描 （ 二）扫描结果：端口扫描7.2.9.2 针对 Windows 2000 的入侵 - 扫描 （ 三）扫描结果：操作系统识别7.2.9.2 针对 Windows 2000 的入侵 - 扫描 （ 四）扫描结果：漏洞扫描7.2.9.3 针对 Windows 2000的入侵- 查看目标主机的信息

54、查看目标主机的信息7.2.9.4 针对 Windows 2000的入侵 -IIS 攻击 （ 一）IIS 攻击 :尝试利用 IIS 中知名的 Unicode 和“ Translate:f ”漏洞进行攻 击，没有成功。目标主机可能已修复相应漏洞，或没有打开远程访问权 限Administrator 口令强行破解 :这里我们使用 NAT(NetBIOS Auditing Tool )进行强行破解： 构造一个可能的用户帐户表，以及简单的密码字典，然后用NAT进行破解7.2.9.4 针对 Windows 2000的入侵 -IIS 攻击 ( 二)Administrator 口令破解情况7.2.9.5 针对

55、Windows 2000的入侵 -巩固权力 （ 一）巩固权力 :现在我们得到了 Administrator 的帐户，接下去我们需要巩固 权力装载后门 :一般的主机为防范病毒，均会安装反病毒软件，如 Norton Anti-Virus 、金山毒霸等，并且大部分人也能及时更新病毒库，而多数 木马程序在这类软件的病毒库中均被视为 Trojan 木马病毒。 所以，这为 我们增加了难度。除非一些很新的程序或自己编写的程序才能够很好地隐藏起来我们使用 NetCat 作为后门程序进行演示7.2.9.5 针对 Windows 2000 的入侵 - 巩固权力 （ 二）利用刚刚获取的 Administrator

56、口令，通过 Net use 映射对方驱动器7.2.9.5 针对 Windows 2000 的入侵 - 巩固权力 （ 三）将 netcat 主程序 nc.exe 复制到目标主机的系统目录下，可将程序名称 改为容易迷惑对方的名字 , 利用 at 命令远程启动 NetCat7.2.9.5 针对 Windows 2000的入侵 -巩固权力 （ 四）7.2.9.6 针对 Windows 2000 的入侵 - 清除痕迹清除痕迹我们留下了痕迹了吗del *.evt echo xxx > *.evt看看它的日志文件无安全日志记录7.2.10 通过入侵来看 Win 2000 的防范? 安装防火墙软件，对安全规则库定期进行更新? 及时更新操作系统厂商发布的 SP 补丁程序? 停止主机上不必要的服务， 各种服务打开的端