网络安全基础与安全配置范文

1、资产：是组织内具备有形或无形价值的任何东西，它可以是资源，也可以是竞争优势。组织必须保护它们的资产以求生存和发展。威胁：是指可能对资产带来危险的任何活动。漏洞：是可被威胁利用的安全性弱点。 攻击：是指故意绕过计算机安全控制的尝试。“攻击者”指的是那些故意绕过安全控制以获得他人计算机或网络访问权限的人。攻击类型：电子欺骗：伪装为其他人或其他事物。中间人：在通信双方未察觉的情况下拦截 其他传输数据。后门：允许攻击者绕过安全措施访问系统的软件。拒绝服务：造成某个资源无法访问。重放：捕获传输数据，然后再次使用。数据包嗅探：窃取网络通信。 社交工程:诱使用户违反正确的安全程序。CIA三角一安全管理人员必

2、须决定机密性、完整性、和可用性之间的平衡。安全基线：为配置特定类型的计算机创建一套经过测试的标准。为安全电子邮件服务器、Web服务器、文件服务器和台式计算机等设备测试并应用不同的基线。确保系统保持安全 配置。安全策略：创建文档，以详细说明所有安全策略。尽可能使用技术来确保安全策略得 实施。Windows2000有两种用户账户：本地账户：本地账户可以存储在除域控制器外的任何一台Windows计算机上。域账户：域账户存储在域控制器的Active Directory中，所以在任何一台域成员计算机上都可使用。安全标示符（SID）是一个包含字符和数字具有惟一性的字符串，她在网络中代表用户。系 统使用SI

3、D来判断哪些安全主体（如用户账户和安全组） 拥有对特定受保护资源的访问权限。 受保护资源的访问控制列表（ACD本地安全组根据相同的安全型需求将用户归为一组，这提高了安全性并使管理更方便。安全组拥有惟一的SIDo,这样他可以用于指定资源的访问权限。交互式登录的过程：（1） LSA的Winlogon组件收集用户名和密码（2） LSAtU SAM,以验 证用户名和密码（3） LSA根据用户账户 SID和安全组SID创建一个访问令牌（4）访问令牌 传递给后续进程，如果组策略没有更改缺省值，后续进程应该是Windows Experience o域：就是共享相同安全账户数据库的一组计算机，管理员能够集中管

4、理域中所有成员计算机的用户账户和安全组。信任关系 是当多个域建立在相同的Active Directory服务下时，域就会自动地信任彼此的用户账户。因此，一个域的安全主体可能被包括在其信任域的ACL和安全组中。票证授权票证（TGT, Ticket-Granting Ticket）密钥分发中心（KDC, Key Distribution Center 身份验证服务（AS, Authentication Service 授权票证服务（TGS, Ticket-Granting Service 操作系统角色：在域之间创建信任的机制完全是由操作系统来处理的。当在 Active Directory 中添加域

5、时，Windows交换密钥，以使两个域彼此信任。当把客户端计算机添加到域中时， Windows交换密钥，以向 KDC证实客户端计算机已加入域中。账户策略（GPO, Global Policy Object）:如果用户不选取真正的随机密码，就应该考虑设置 12个字符位密码长度最小值。有3条可执行的账户策略设置用于账户锁定：（1）账户锁定时间（2）账户锁定阈值（3）账户锁定计数器清零时间有5个账户策略设置可以实现Kerberos会话票证：强制用户登陆限制、服务票证最长寿命、用户票证罪长寿命、用户票证续订最长寿命、计算机时钟同步的最大容差组策略的概念：组策略是用户界面限制与管理设置的结合，它可以防止

6、用户更改计算机配置以及防止使用违反组织安全策略的方式操作计算机。组策略还包含脚本和安装包。这就允许管理员在任何数量的客户机中建立、管理和部署许多不同的计算机配置，同时为不同类型的工作人员提供一致的工作环境。组策略用来对用户组和计算机的管理和安全设置（学校）或设施。另外，组策略也用来为一 些指定的计算机配置一些特殊的需求。全局惟 标示符(GUID, globally unique identified计算机和用户配置策略有三个主要部分：1)配置中的软件设置部分，包含主要由独立软件供应商提供的软件安装设置扩展2)配置中的 Windows设置部分，包含应用于Windows的设置，以及启动/关机脚本(

7、计算机配置)或者登录/注销脚本(用户配置)。配置的 Windows设置部分包含特定于安全的大 部分设置。3)管理员可以使用.adm文件来扩展配置的管理员模板部分，该部分包括修改InternetExplorer、Windows Explorer 和其他程序的行为。组策略应用中的隐蔽问题包括：1)对组策略所做的更改，在本地起作用，但在其他站点上或者其他域中不起作用。2) GPO的复制速度比预期慢得多(3)组策略仅应用了一部分，其他部分未得到 预定义安全膜板包括：1)默认工作站(basicwk.inf )、服务器(basicsv.inf )和域控制器(basicdc.inf )模板 用于已完成安装的

8、标准计算机的安全设置。可以用这些模板来分别恢复已应用在工作站、服务器或域服务器中的其他安全设置。2)兼容工作站(Compatws.inf )模板降低了计算机的默认安全设置，以便于用户组成员可 以成功地运行未经 windows2000验证的应用程序。一般情况下，只有 Power Users才可以运 行这些程序3)安全的工作站、服务器(Securews.inf )和域控制器(Securedc.inf )模板为工作站、 服务器和域控制器实现了Microsoft的安全推荐。这些安全推荐在不牺牲对早期Windows操作系统的向下兼容性的同时提高了安全性4)高度安全的工作站、服务器( Hisecws.in

9、f )和域控制器(Hisecdc.inf )模板设定的安 全设置，是以牺牲向下兼容性的代价保护计算机之间的网络通信。5)默认设置安全(Setup security.inf )模板为 Windows2000提供了默认安全设置6)更新的安全默认域控制器(DCsecurity.inf )模板为域控制器建立了更新的默认安全设 置。部署安全模板的方法：将安全模板导入 GPQ在多个域和 GPO上部署安全模板、手工导入设置、使用Secedit进行部署Windows 2000可以对下列资源类型应用权限：NTFSC件系统卷中的文件和文件夹、共享文件夹和打印机、注册表项、Active Directory目录服务对

10、象随机访问控制列表(DACL Discretionary Access Control Li$t通常也称为 ACL访问控制项 (ACE Access Control Entry、系统访问控制列表( SACL System Access Control List如果ACL是空的，则所有用户都无权访问该文件。拥有所有权的账户总是有更改权限的能力，因此不管权限如何，都可以向ACL添力口 ACE要解决这个问题，可以用 Cacls命令行工具来授予或删除特定ACE而不是影响或替换其他ACE项。使用此工具可以修复包含数据的卷中的权限问题。应该在服务器上按季度审核权限，以确保没有意外地授予某些用户太多的访问权

11、。然后可以使用 Cacls命令检查不合适的权限并进行替换。组策略的局限性：使用组策略配置Internet Explorer安全性，请记住大部分设置只是限制用 户界面，它们并未真正禁用某类功能。如果用户利用其他界面或下载可以修改InternetExplore设置的程序、脚本或注册表文件，他们就可以覆盖组策略的设置。黑客们在Internet上出卖这类脚本的事情很常见。管理员可以访问大多数注册表项，但无法看到也无法修改注册表中存储安全帐户管理器 (SAM,Security Accounts Manager)安全数据库的部分。绝大多数用户都适用于这样的设置。访问控制 是授权用户或组访问网络对象的过程。

12、身份验证 是验证某事或某人身份的过程。授权是确定经身份验证的用户或进程是否有权访问资源，并指定用户对资源享有何种访问级别的过程。访问控制需要：允许已授权的用户访问他们请求的资源、阻止未经授权的用户访问资源 最小特权原则是指，为方便用户工作，应该为用户分配所必需的权限级别一一但是不要超过 这个级别。控制资源访问的两种方式：基于密码的访问控制、基于用户的访问控制Windows使用两种主要的身份验证协议：NT LAN Manager ( HTLM)和Kerberos。访问控制模型：自由访问控制(DAC, Discretionary Access Control) 基于角色的访问控制(RBAC, Ro

13、le-based Internet Explore)、强制访问控制(MAC, Mandatory Internet Explore )Windows身份验证方式：自动的身份验证、单点登录( SSQ Single Sign On)系统，例如Kerberos,自动执行身份验证过程，但并不是完全不需要登录到所访问的每台服务器。质询 响应身份验证 密钥加密：也成为对称密钥加密，这种加密使用同一种密钥加密和解密数据。 密钥加密算法存在一个问题：尽管可以将加密后的原文发送给任何人而不用担心被揭解密，但是却不能将密钥发送给需要解密的人，因为如果在传输时密钥被拦截，就可以被用来解密原文。由于无法将密钥传送给远

14、方的接收人，所以纯粹的密钥系统不适合在Internet这样的公共载体上传送文件。数字签名：是通过加密身份信息进行身份验证的一种方法，任何人都可以解密此信息以便进行验证，但是只有信息的原作者能加密该信息。数字签名的工作过程：在公钥加密密码系统中，加密密钥是公钥，解密密钥是私钥。而在数字签名系统中，加密密钥是私钥，解密密钥 是公钥。证书是一种数据结构，可以包含无数个公钥、私钥、密钥和数字签名。 证书主要用于执行受信的第三方身份验证。如果整个企业普遍使用证书，且发行证书的CA都有相同的根 CA那么所有这些 CA和基于证书的服务就称为 公钥基础结构(PKI, Public Key Infrastruc

15、ture )。 强力攻击的威胁： 强力攻击(或称分解攻击)中，黑客会使用所有可能的值，尝试确定签署 文件所使用的私钥，直到与数字签名匹配为止。证书吊销列表(CRD、使用Internet 信息服务(IIS )证书可以为下列情况提供安全解决方案：安全电子邮件、软件代码签名、安全Web通信、智能卡登录、IPSec客户端身份验证、加密文件系统(EFS) 企业CA保存在Active Directory 的CAM象中。加密服务提供程序(CSP是执行身份验证、编码和加密服务的代码，基于 Windows的应用 程序会访问这些服务。CSP负责创建密钥、销毁密钥，以及使用密钥执行多种加密操作。 吊销证书的原因：

16、未指定、密钥泄露、CA泄露、附属关系改变、被取代、停止操作、证书保留。密钥是用来改变加密结果的。 不知道密钥，解密数据就会困难很多。 采用密钥算法的好处是， 多个用户可以使用相同的算法加密或解密不同的数据源。即使知道了算法和一个密钥，仍无法解密那些使用相同算法，但用不同密钥加密的数据。 采用密钥算法，就可以使用公开算法，而不会影响数据的安全。加密法的一般用途：现代加密法可以提供保密性、数据完整性、身份验证、不可抵赖性并能 防止重放攻击一一所有这一切都有助于加强数据安全性。评估加密强度的考虑因素：没有绝对安全的加密算法。 只要知道算法并有足够的时间，攻击者就能重建大部分加密数据。强算法基于可靠的

17、数学方法，其创建加密数据的模式不可预见，并且有一个足够长的密钥， 所以强算法可以组织大部分攻击。如果使用了强算法，攻破加密的唯方法就是获取密钥。攻击者要获取密钥，可能会通过窃取、诱使某人泄露密钥或尝试各种可能的密钥组合。最后使用的方法一般称为强力攻击。增加迷药的长度会使攻击者使用强力攻击花费的时间呈指数级增长。对称加密原理：对称加密是使用相同的密钥加、 解密消息的加密办法。如果有人要加、 解密数据，他必 须将密钥保密。如果要在各方之间传输数据，各方必须同意使用共享密钥，并找到安全交换 密钥的方法。加密数据的安全依赖于密钥的保密性。如果有人知道了密钥， 使用这个密钥，他或她就能解密所有使用该密钥

18、加密的数据。散列函数是一种加密类型，它选取任意长度的数据进行加密，随后生成一个固定长度的数据串，叫做散列。散列有时也称为摘要。散列函数是单向函数，就是说，不能有散列数据重建原始数据。因为这一特性，散列不能用来确保保密性。不过，可以通过在两个不同时间创建散列并比较结果来确定数据是否被改变。常见的散列算法：MD4和MD呢Internet 请求注释（RFQ定义的两种最常见的算法。包括安全散列算法（SHA-1）。公钥加密具有以下特性： 所有人都可以使用公钥加密数据，公钥对公众是公开的、 使用私钥的人生成密钥对、可以使用生成密钥的程序创建密钥对、强力攻击是根据公钥推断私钥的惟一已知方式。RSA来源：根据

19、该算法的发明者的名字而命名，它是使用公钥加密数据的事实标准，RSA的专利保护已经过期，所以现在可免费使用RSA算法。公钥加密的优缺点： 优点：提供一种无需交换密钥的安全通信方式；公钥加密既可以验证个人身份也可以验证数据的完整性。缺点：它很慢。数字证书（简称为证书）是一种数字文档，它通常用作身份验证，也用来保护在Internet 、外部网和内部网等开放性网络中进行的信息。证书请求和接受的过程称之为注册请求和办法证书的过程：申请者生成一对密钥、申请者向QA发送证书请求、管理员审阅请求、一旦批准，QA就会颁发证书智能卡使用证书的办法：智能卡是信用卡大小的没有图形化用户界面的微型计算机。智能卡为保护电

20、子邮件消息或域登录等任务提供了防篡改和易携带的安全解决方案。可以安全地使用智能卡存储数据，包括证书和相应的私钥，智能卡和计算机软件一起生成密钥对，并提供对存储在智能卡中的密钥对和证书的访问。智能卡在以下几个方面增强了安全性：交换式登录；客户端身份验证；远程登录；私钥存储。认证中心（QA）是安装了证书服务的计算机。认证中心的作用： 验证证书请求者的身份；向请求证书的用户和计算机颁发证书；证书生命周期：证书被颁发之后，要经历不同的阶段，并在一定的时间段内保持有效，这一段时间在以下情况出现时，需要吊销证书：私钥已泄露；用户离开了组织，QA取消了用户使用证书或私钥的权限；证书用户的从属关系已改变；QA

21、已被攻击；证书已有新的证书或私钥代替；证书已被冻结；QA已停止运营；AIA已泄露。用户证书的自动部署： 只要需要在域中使用 EFS证书加密文件，系统就会申请、创建并部署 这些证书。这种类型的证书不需要用户或管理员的参与。智能卡：是信用卡大小的安全装置，包含微处理器和一定数量的永久内存。在创建智能卡的公钥/私钥对时，密钥对由卡中的微处理器生成而不是由主机生成。私钥存 储在智能卡存储器中主机访问不到的安全区域，公钥存储在存储器中主机可读取的公用区 域。私钥一旦产生并存储在智能卡中，就不能删除了。主机将加密数据发送给智能卡，智能卡中微处理器使用公钥解密数据，然后将解密的数据传回给计算机。网络设备中常

22、见的威胁：1)大多数设备的管理工具可以被整个网络访问；2)设备运行的硬件和软件中可能会有程序缺陷，这些缺陷很有可能被攻击者利用；3)如果攻击者能够物理访问设备的硬件，那么设可以被损坏或偷窃； 4)设备刚出厂时用的是默认设置，攻击者了解这些配置。Tempest 是瞬变电磁脉冲设计标准技术( Transient ElectroMagnetic Pulse Engineering Standard Technology )的缩写。应用于军事或政务。 星形拓扑易受到拒绝服务(DoS, Denial-of-Service )攻击。FDDI (FDDI, Fiber Distributed Data In

23、terface)是光线分布数据接口。ARPS存污染：根据操作系统规定的缓存规则，计算机A动态的缓存计算机 B的信息，动态缓存使攻击者有可能改写AR嚓存项或执行AR嚓存污染。ping of Death 攻击：Smurfing攻击：攻击者欺骗 ICMP的ping数据包，从而造成大量的 ping相应数据包被发送到目标计算机。SM映名：这是一种数字签名的方法，使用加密散列保护每一个服务器消息快( SMB,Server Message Block )数据包的完整性。 SM映名保护网络通信不受中间人攻击和 TCP/IP会话劫 持攻击，SMB!信是不加密的。IPSec发生故障的表现有两种：1)通信没有发生；

24、2)通信没有加密。WLAN够以两种模式中任一种来运行：ad hocWLA的户端网络适配器直接与另一台 WLAN：户端网络适配器回话，通过使用该 模式来启用点对点通信。要想接入 Internet 或别的网络，必须把其中的一个点配置为连接 到相应网络的路由器。 2) Infrastructure 模式，客户端网络适配器只与称作无线访问点(WAP的特殊无线桥接器回话，无线桥接器直接连入有线网络。WE用在的问题：强力攻击 2 )未经授权的 WA陪B署3 ) WE暗钥部署802.1x保护端口的方式：使用802.1x身份验证协议就能保护网络上所有数据链路端口。RADIUS认证(英文缩写)：在 window

25、s2000中，Internet身份验证服务(LAS,InertnetAuthentication Service )、远程身份验证拨入用户服务( RADIUS,Remote Authentication Dial-In User Service ) 802.1x链接失败的原因：连通性问题 2 )配置问题 3 )证书问题 4 )权限问题路由与远程访问服务( RRAS, Routing and Remote Access Service ) RRAS勺标准身份验证方法：PAP和CHAP、EAP、未经身份验证的访问战争拨号机：(WarDialing )是指随机的呼叫一批号码直到有一个调制解调器应答为

26、止。攻 击者可以使用称为战争拨号机的技术查找调制解调器，并访问组织的内部网络。 在选择远程访问身份验证协议之前，确保理解了下列协议的安全性内涵： 1) PAP尽管几乎所有的拨号网络服务支持密码身份验证协议(PAPPassword AuthenticationProtocol )，但PAP把用户的机密信息作为明文传输给远程访问服务器，不提供任何防止密 码测定和重放攻击的保护。SPAP,Shiva 密码身份验证协议(Shiva Password Authentication Protocol )为 Shiva 远程访问客户端提供了支持。ESP-TLS,可扩展身份验证协议传输层安全（ Extensi

27、ble Authentication Protocol Transport Layer Security ）是最安全的远程身份验证协议。它在服务器和客户端都是用证 书来提供相互身份验证、数据的完整性和数据的机密性。SecurID , SecurID是一种使用 EAP的基于令牌的身份验证方法。VPN的两种基本配置类型：客户端到网关、网关到网管保护信息的方法：尽量减少具有管理权限的账户2 ）划分Active Directory 3）配置权4）保护域控制器的物理安全DNSW常见威胁：无意的泄漏、未经授权的DNSa改、拒绝访问、保护DNS的方法：1）限制DN醍供的信息 2 ）在DNS区域的其实授权机构

28、（SOA,Start of Authority ）记录 中，使用一个仅用于此用途的普通电子邮件账户，不要使用用户常用的电子邮件地址3）防止未经授权的区域复制4）限制对DN缴据库的管理性访问5）将DNS艮制为动态更新攻击类型：自动攻击、随机目标 3 ）特定目标攻击网络的三种主要方法：拒绝服务攻击、漏洞利用攻击、伪装攻击使用防火墙保护服务，如果提供公共服务，必须至少具有三个安全区域：公共Internet （不受信任的）、周边网络（部分信任的）、专用网络（受信任的）在名Inernet安全配置SQL Server时，应遵循以下指导方针：1）保护数据库服务器2）使用代理3）使用ISA Server4 ）

29、使用SSL加密即时信息服务系统通常以明文方式发送数据。对Web服务器最常见的攻击类型包括：1）使用示例硬功程序和管理脚本的攻击2）侦查攻击3）利用默认配置漏洞 4）利用Web设计的漏洞5）拒绝服务（Dos）攻击： A、缓冲区溢出 B、SYN拥塞 C、死亡之Ping安全外壳协议（SSH允许用户登录到网络上的另一台计算机，在远程计算机上执行命令，以及在计算机之间移动文件。与Telnet不同，SSH提供了较强的身份验证以及未受保护的通道上的安全通信，而且在网上传输密码前会加密密码。因为可以配置SSH加密并转发PPP和其他协议，可以使用SSH设置VPN隧道，然后通过此隧 道运行安全的FTP会话。SSH

30、可以防止：1）IP电子欺诈2）IP 源路由3）DNS电子欺骗 4）拦截电子密码配置SSL选项：如果已经将服务器配置为要求使用SSL,客户端就必须在统一资源定位器（URL）中输入“https: 而不是“ http: 来访问服务器，而且每个客户段在指定的加密级别都必 须支持SSL使用客户端证书对用户进行身份验证的方法：启用客户端证书安装客户端证书配置客户端证书设置数据库服务器的漏洞包括：1）未授权的删除或修改信息2）设计拙劣的应用程序 3）不正确的权限4）默认配置经常受攻击的端口包括：1、网络基本输出/输入系统（NetBIOS）会话端口（139）; 2、通过TCP的服务器消息块（SMB） 端口（445） 3、FTP（21） 4、远程通信网络协议 （Telnet） （23） 5、简单邮件传输协议 （SMTP）（25） 6、邮局协议 3 （POP3） （110） 7、点对点隧道协议（PPTP （ 1723） 8、第2层隧道协议（L2TP） （1701） 9、RDP （3389）实现诱饵服务器的方法：选择服务端口最为诱饵；在网络框架中放置诱饵服务器的位置；诱饵入侵检测的漏洞；检测入侵者：配置ISA服务器将端口通信转发给诱饵；配置诱饵的审核和警报；管理诱饵的 日志保留方式；安全事故的常见迹象：网络异常；系统异常；事件的直接报告；物理迹象；商业迹象；已