网络操作系统安全课件

计算机网络管理与安全技术2023/3/231NETWORKSECURITY课题内容：操作系统安全（一）教学目的：掌握WIN2003系统服务的配置方法 掌握WIN2003常用进程的作用 掌握WIN2003注册表的结构、值类型及应用教学方法：讲授法、任务驱动法、演示法重点：WIN2003系统服务的配置方法难点：WIN2003常用进程的作用课堂类型：讲授课教具：投影仪、多媒体设备授课班级计应1001班第18次课授课时间5月25日星期五授课地点2023/3/232NETWORKSECURITY导入新课1、防火墙的体系结构2、操作系统常用进程与服务2023/3/233NETWORKSECURITY主要内容操作系统安全基础

Windows2003安全结构

Windows2003文件系统安全Windows2003账号安全GPO的编辑活动目录安全性考察Windows2003缺省值的安全性评估Windows2003主机安全

2023/3/235NETWORKSECURITY8.1操作系统安全是系统安全的基础各种应用软件均建立在操作系统提供的系统软件平台之上，上层的应用软件要想获得运行的高可靠性和信息的完整性、保密性，必须依赖于操作系统提供的系统软件基础。2023/3/236NETWORKSECURITY操作系统安全级别

级别系统的安全可信性D最低安全性C1自主存取控制C2较完善的自主存取控制（DAC）、审计B1强制存取控制（MAC）B2良好的结构化设计、形式化安全模型B3全面的访问控制、可信恢复A1形式化认证2023/3/237NETWORKSECURITY常见威胁类型(一)

威胁类型示例自然和物理的水灾、火灾、风暴、地震、停电无意的不知情的员工、不知情的顾客故意的攻击者、恐怖分子、工业间谍、黑客、恶意代码2023/3/239NETWORKSECURITY常见威胁类型（二）安全漏洞类型示例物理的门窗未锁自然的灭火系统失灵硬件和软件防病毒软件过期媒介电干扰通信未加密协议人为不可靠的技术支持2023/3/2310NETWORKSECURITY8.2Windows2003安全结构安全六要素2023/3/2311NETWORKSECURITYWindows2003安全组件（一）强制登录

Windows2003用户在能访问任何资源前必须通过登录来验证他们的身份数据访问浏览打印服务2023/3/2313NETWORKSECURITYWindows2003安全组件（二）审计因为Windows2003采用单独地机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动控制对象的访问Windows2003不允许直接访问系统里的资源，这种不许直接访问是允许访问控制的关键2023/3/2314NETWORKSECURITY8.2.4安全的组成部分（一）安全标识符安全标识符（SID）是统计上地唯一的数组分配给所有的用户、组、和计算机。每次当一个新用户或组被建立的时候，它们都会接收到一个唯一的SID。每当Windows2003安装完毕并启动的时候，也会有一个新的SID分配给这台计算机。SID标识了用户、组和计算机的唯一性，不仅仅是在某台特定的电脑上还包括和其它计算机交互的时候。2023/3/2315NETWORKSECURITY安全的组成部分（三）安全描述符WindowsNT内的每个对象都有一个安全描述符作为它们属性的一部分。安全描述符持有对象的安全设置。安全描述符是由对象属主的SID、组SID，灵活访问控制列表以及计算机访问控制列表。2023/3/2317NETWORKSECURITY安全的组成部分（四）访问控制列表灵活访问控制列表里记录用户和组以及它们的相关权限，要么允许要么拒绝。访问控制条目每个访问控制条目（ACE）包含用户或组的SID及对对象所持有的权限。对象分配的每个权限都有一个ACE。访问控制条目有二种类型：允许访问或拒绝访问。在访问控制列表里拒绝访问ACE优先于允许访问。

2023/3/2318NETWORKSECURITY8.2.5Windows2003安全机制（一）帐号安全计算机帐户活动目录用户帐户2023/3/2319NETWORKSECURITYWindows2003安全机制（三）认证Kerberos5

Kerberos是一种被证明为非常安全的双向身份认证技术。其身份认证强调了客户机对服务器的认证，而别的身份认证技术往往只解决了服务器对客户机的认证。Kerberos有效地防止了来自服务器端身份冒领的欺骗。2023/3/2321NETWORKSECURITYWindows2003安全机制（四）NTLM认证Windows2003中仍然保留NTLM（NT-LanMan）认证，以便向后兼容。运行DOS、Windows3.x、Windows95、Windows98、WindowsNT3.5和WindowsNT4.0的客户仍然需要LM和NTLM支持。但LanManager中的哈希算法有漏洞。l0pht已经发布用于破解NT系统中SAM文件的工具l0phtcrack。Windows2003已支持新的更安全的认证协议NTLM2。2023/3/2322NETWORKSECURITYWindows2003安全机制（五）ActiveDirectory管理员可以浏览活动目录，对域用户、用户组和网络资源进行管理可以通过活动目录指定局部管理员，每人以自己的安全性及许可权限进行管理分类

管理员域用户用户组网络资源2023/3/2323NETWORKSECURITYNT有关权限的标准标准权限基于目录基于文件不可访问无无列出RX不适用读取RXRX添加WX不适用添加和读取RWS-X?RX更改RWXDRWXD完全控制

ALLALL2023/3/2325NETWORKSECURITYNT共享权限列表权限允许完全控制改变文件的权限；在NTFS卷上取得文件的所有权；能够完成所有有更改权限所执行的任务更改创建目录和添加文件；更改文件内的数据；更改文件的属性能够完成所有有更改权限所执行的任务读取显示目录和文件名：文件数据和属性；运行应用程序文件不可访问只能建立连接，不能访问目录中的内容2023/3/2326NETWORKSECURITY文件系统类型Fat32文件系统（增强的文件分配表）FAT32文件系统提供了比FAT文件系统更为先进的文件管理特性作为FAT文件系统的增强版本，它可以在容量从512MB到2TB的驱动器上使用

没有安全设置，不推荐使用2023/3/2329NETWORKSECURITY文件系统类型NTFS文件系统

NTFS文件系统包括了公司环境中文件服务器和高端个人计算机所需的安全特性NTFS文件系统还支持对于关键数据完整性十分重要的数据访问控制和私有权限NTFS是Windows2003中唯一允许为单个文件指定权限的文件系统当从NTFS卷移动到FAT卷时，NTFS文件系统权限及特有属性会丢失。（可操作）使用convert.ex将FAT或FAT32的分区转化为NTFS分区。（可操作）2023/3/2330NETWORKSECURITYNTFS文件系统默认的簇大小分区大小扇区数/每簇簇大小（字节）512M或更小1512513M~1024M（1GB）21K1025M~2048M（2GB）42K2049M~4096M（4GB）84K4097M~8192M（8GB）168K8193M~16384M（16GB）3216K16385M~32768M（32GB）6432K2023/3/2331NETWORKSECURITY几种文件系统的比较对比项目文件系统FAT16FAT32NTFS

与操作系统的兼容性MS-DOS，所有版本的Windows，WindowsNT，Windows2003和OS/2都可访问本地文件只有对Windows95OSR2，Windows98和Windows2003三种操作系统可以访问本地文件运行Windows2003Server的计算机可以访问本地硬盘中的文件，运行WindowsNT4.0及SP4或更高版本的计算机可以访问本地的部分文件，其他操作系统不能访问本地文件支持磁盘从软盘容量直到4GB，不支持域从512MB到2TB，在Windows2003中，用户只能把FAT32卷最大格式化到32GB最小大约10MB，建议实际最大是2TB，不能用于软盘文件大小最大文件为2GB不支持域，最大文件4GB文件大小只受限于卷的大小2023/3/2332NETWORKSECURITY文件系统类型DFS文件系统分布式文件系统(Distributed,DFS)

的作用是不管文件的物理分布情况，可以把文件组织成为树状的分层次逻辑结构，便于用户访问网络文件资源、加强容错能力和网络负载均衡等。需要安装DFS服务，在微软管理界面MMC中创建一个DFS的根。文件的物理位置变动不会影响用户使用。Hacker难以跟踪文件的实际位置。2023/3/2333NETWORKSECURITY8.4Windows2003账号安全帐号重命名。对默认的帐号重命名。包括administrator、guest以及其它一些由安装软件时（如IIs）所自动建立的帐号。

2023/3/2334NETWORKSECURITY帐号策略

帐号策略的设置是通过域用户管理器来实施的，从策略的菜单中选择用户权限。第一项是有关密码的时效;第二项是有关密码长度的限制，以及帐号锁定等机制。2023/3/2335NETWORKSECURITY实现强壮的密码要有大小写字母，数字，和通配符等至少六个字符不使用名字和生日不含用户名部分强壮的密码2023/3/2336NETWORKSECURITY禁止枚举账号

由于Windows2003的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，任何一个远程用户通过同样的方法都能得到账户列表，使用暴力法破解账户密码后，对我们的电脑进行攻击，所以必须采用以下方法禁止这种行为。2023/3/2337NETWORKSECURITY禁止枚举账号2023/3/2338NETWORKSECURITYAdministrator账号更名

Windows2003的Administrator账号是不能被停用的，也不能设置安全策略，这样黑客可以一遍又一遍地尝试这个账户的密码，直到破解，所以要在“计算机管理”中把Administrator账户更名来防止这一点.

应该做点什么2023/3/2339NETWORKSECURITY本地策略设置界面2023/3/2340NETWORKSECURITY禁用Guest账号

Guest账号是一个非常危险的漏洞，因为黑客可以使用这个账号登录机器。2023/3/2341NETWORKSECURITY禁用Guest帐户2023/3/2342NETWORKSECURITY禁止Guest帐户登录本机2023/3/2343NETWORKSECURITY8.5GPO的编辑

Windows2003的得意之作GPO(GroupPolicyObject)，通过GPO来实现一个超强功能的中央集权的组策略，此策略是建立在活动目录（ActiveDirectory）基础之上的。2023/3/2344NETWORKSECURITY组策略组策略是什么?

GPO是一种与域、地址或组织单元相联系的物理策略。在Windows2003中，GPO包括文件和AD对象。2023/3/2345NETWORKSECURITY组策略和AD

要充分发挥GPO的功能，需要有AD域架构的支持，利用AD可以定义一个集中的策略，所有的Windows2003服务器和工作站都可以采用它。2023/3/2346NETWORKSECURITY8.6活动目录安全性考察

Windows2003Server活动目录是一个完全可扩展、可伸缩的目录服务，既能满足商业ISP的需要，又能满足企业内部网和外联网的需要，充分体现了微软产品集成性、深入性和易用性等优点。2023/3/2347NETWORKSECURITY活动目录的安全特性（一）集成性结合了三个方面的管理内容用户和资源管理基于目录的网络服务基于网络的应用管理2023/3/2348NETWORKSECURITY活动目录的安全特性（二）集成性目录管理的基本对象是用户和计算机，还包括文件、打印机等资源活动目录完全采用了Internet标准协议活动目录集成了关键服务和关键安全性

2023/3/2349NETWORKSECURITY活动目录的安全特性（三）深入性Windows2003活动目录的深入性主要体现在其企业级的可伸缩性、安全性、互操作性、编程能力和升级能力上。

2023/3/2350NETWORKSECURITY活动目录的安全特性（四）深入性

Windows2003活动目录允许用户组建单域来管理少量的网络对象，也允许用户通过域目录管理成万上亿个对象。活动目录的域树和域森林的组建方法，可帮助用户使用容器层次来模拟一个企业的组织结构。

Windows2003活动目录和其安全性服务紧密结合，相辅相成，共同完成安全任务和协同管理。2023/3/2351NETWORKSECURITY活动目录的安全特性（五）易用性Windows2003活动目录主要体现在其简易的安装和管理上主要有三个活动目录的管理界面（MMC）活动目录用户和计算机管理活动目录的域和域信任关系的管理活动目录的站点管理

2023/3/2352NETWORKSECURITY活动目录的安全特性（六）易用性

管理员还可以方便地进行管理授权。活动目录充分地考虑到了备份和恢复目录服务的需要。2023/3/2353NETWORKSECURITY8.7Windows2003缺省值的安全性评估

Windows2003包含许多默认的设置和选项，允许更复杂的管理。这些系统默认值可以被有经验的攻击者用来渗透系统。有些默认值不能改变，但有些可以改变。这些改变可以提供足够的安全性。2023/3/2354NETWORKSECURITYWindows2003缺省值的安全性评估（二）默认目录使用不同的目录对合法用户不会造成任何影响，但对于那些企图通过类似WEB服务器这样的介质远程访问文件的攻击者来说大大地增加了难度。2023/3/2355NETWORKSECURITYWindows2003缺省值的安全性评估（三）默认帐号

增加了攻击者猜测帐户的难度2023/3/2356NETWORKSECURITYWindows2003缺省值的安全性评估（五）默认共享仅仅是针对管理而配置的，形成一个没必要的风险，成为攻击者一个常见的目标。可以通过增加注册表相应的键值来禁止这些管理用的共享。2023/3/2357NETWORKSECURITY8.8Windows2003主机安全合理的配置Windows2003，那么windows2003将会是一个很安全的操作系统。2023/3/2358NETWORKSECURITY初级安全（一）物理安全重要的服务器应该安放在安装了监视器的隔离房间内；机箱，键盘，电脑桌抽屉要上锁

停掉Guest帐号在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登录系统；最好给guest加一个复杂的密码限制不必要的用户数量去掉不必要的帐户；去掉不用的帐户；给用户组策略设置相应权限2023/3/2359NETWORKSECURITY初级安全（二）创建2个管理员用帐号

创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators权限的帐户只在需要的时候使用

把系统administrator帐号改名

尽量把Administrator帐户伪装成普通用户创建一个陷阱帐号

用于迷惑非法入侵者，并借此发现他们的入侵企图2023/3/2360NETWORKSECURITY初级安全（三）把共享文件的权限从”everyone”组改成“授权用户”任何时候都不要把共享文件的用户设置成“everyone”组使用安全密码一个好的密码对于一个网络是非常重要的，设置密码的有效期，还要注意经常更改密码设置屏幕保护密码

设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障；不要使用OpenGL和一些复杂的屏幕保护程序，以免浪费系统资源2023/3/2361NETWORKSECURITY初级安全（四）使用NTFS格式分区NTFS文件系统要比FAT，FAT32的文件系统安全得多运行防毒软件好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。经常升级病毒库保障备份盘的安全把备份盘防在安全的地方。千万别把资料备份在同一台服务器上2023/3/2362NETWORKSECURITY中级安全（一）利用安全配置工具来配置策略充分利用基于MMC（管理控制台）安全配置和分析工具，增强系统安全性关闭不必要的服务不必要的服务带来安全隐患；确保正确的配置了终端服务；留意服务器上面开启的所有服务关闭不必要的端口关闭端口意味着减少功能，在安全和功能上面需要作一点决策2023/3/2363NETWORKSECURITY中级安全（二）高级TCP/IP设置

2023/3/2364NETWORKSECURITY中级安全（三）TCP/IP筛选

2023/3/2365NETWORKSECURITY中级安全（四）打开审核策略开启安全审核是Windows2003最基本的入侵检测方法2023/3/2366NETWORKSECURITY中级安全（五）Windows2003三种类型的日志记录事件应用程序日志系统日志安全日志

2023/3/2367NETWORKSECURITY中级安全（六）事件查看器

2023/3/2368NETWORKSECURITY中级安全（七）安全日志

2023/3/2369NETWORKSECURITY中级安全（八）安全日志属性

2023/3/2370NETWORKSECURITY中级安全（九）开启密码策略开启密码复杂性要求、设置密码长度最小值、开启强制密码历史、设置强制密码最长存留期等开启帐户策略设置复位帐户锁定计数器、帐户锁定时间、帐户锁定阈值2023/3/2371NETWORKSECURITY中级安全（十）更改账户策略

2023/3/2372NETWORKSECURITY中级安全（十一）设定安全记录的访问权限把安全记录设置成只有Administrator和系统帐户才有权访问

把敏感文件存放在另外的文件服务器中有必要把一些重要的用户数据存放在另外一个安全的服务器中，并且经常备份它们不让系统显示上次登陆的用户名防止入侵者容易得到系统的用户名，进而作密码猜测2023/3/2373NETWORKSECURITY中级安全（十二）禁止建立空连接用户可以通过空连接连上服务器，进而枚举出帐号，猜测密码

下载最新的补丁程序经常访问微软和一些安全站点，下载最新的servicepack和漏洞补丁，是保障服务器长久安全的唯一方法2023/3/2374NETWORKSECURITY安全配置方案高级篇高级篇介绍操作系统安全信息通信配置，包括十四条配置原则：关闭DirectDraw、关闭默认共享禁用DumpFile、文件加密系统加密Temp文件夹、锁住注册表、关机时清除文件禁止软盘光盘启动、使用智能卡、使用IPSec禁止判断主机类型、抵抗DDOS禁止Guest访问日志和数据恢复软件2023/3/2375NETWORKSECURITY1关闭DirectDrawC2级安全标准对视频卡和内存有要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏），但是对于绝大多数的商业站点都是没有影响的。在HKEY_LOCAL_MACHINE主键下修改子键：SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，将键值改为“0”即可，如图7-17所示。2023/3/2376NETWORKSECURITY2关闭默认共享Windows2003安装以后，系统会创建一些隐藏的共享，可以在DOS提示符下输入命令NetShare查看，如图7-18所示。2023/3/2377NETWORKSECURITY停止默认共享禁止这些共享，打开管理工具>计算机管理>共享文件夹>共享，在相应的共享文件夹上按右键，点停止共享即可，如图7-19所示。2023/3/2378NETWORKSECURITY3禁用Dump文件在系统崩溃和蓝屏的时候，Dump文件是一份很有用资料，可以帮助查找问题。然而，也能够给黑客提供一些敏感信息，比如一些应用程序的密码等需要禁止它，打开控制面板>系统属性>高级>启动和故障恢复，把写入调试信息改成无，如图7-20所示。2023/3/2379NETWORKSECURITY4文件加密系统Windows2003强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。微软公司为了弥补WindowsNT4.0的不足，在Windows2003中，提供了一种基于新一代NTFS：NTFSV5（第5版本）的加密文件系统（Encrypted，简称EFS）。EFS实现的是一种基于公共密钥的数据加密方式，利用了Windows2003中的CryptoAPI结构。2023/3/2380NETWORKSECURITY5加密Temp文件夹一些应用程序在安装和升级的时候，会把一些东西拷贝到Temp文件夹，但是当程序升级完毕或关闭的时候，并不会自己清除Temp文件夹的内容。所以，给Temp文件夹加密可以给你的文件多一层保护。2023/3/2381NETWORKSECURITY6锁住注册表在Windows2003中，只有Administrators和BackupOperators才有从网络上访问注册表的权限。当帐号的密码泄漏以后，黑客也可以在远程访问注册表，当服务器放到网络上的时候，一般需要锁定注册表。修改Hkey_current_user下的子键Software\microsoft\windows\currentversion\Policies\system把DisableRegistryTools的值该为0，类型为DWORD，如图7-21所示。2023/3/2382NETWORKSECURITY7关机时清除文件页面文件也就是调度文件，是Windows2003用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中可能含有另外一些敏感的资料。要在关机的时候清楚页面文件，可以编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键：SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPage的值设置成1，如图7-22所示。2023/3/2383NETWORKSECURITY8禁止软盘光盘启动一些第三方的工具能通过引导系统来绕过原有的安全机制。比如一些管理员工具，从软盘上或者光盘上引导系统以后，就可以修改硬盘上操作系统的管理员密码。如果服务器对安全要求非常高，可以考虑使用可移动软盘和光驱，把机箱锁起来仍然不失为一个好方法。2023/3/2384NETWORKSECURITY9使用智能卡对于密码，总是使安全管理员进退两难，容易受到一些工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。2023/3/2385NETWORKSECURITY10使用IPSec正如其名字的含义，IPSec提供IP数据包的安全性。IPSec提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。2023/3/2386NETWORKSECURITY11禁止判断主机类型黑客利用TTL（Time-To-Live，活动时间）值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。许多入侵者首先会Ping一下主机，因为攻击某一台计算机需要根据对方的操作系统，是Windows还是Unix。如过TTL值为128就可以认为你的系统为Windows2003，如图7-23所示。2023/3/2387NETWORKSECURITY从图中可以看出，TTL值为128，说明该主机的操作系统是Windows2003操作系统。表7-6给出了一些常见操作系统的对照值。操作系统类型TTL返回值Windows2003128WindowsNT107win9x128or127solaris252IRIX240AIX247Linux241or2402023/3/2388NETWORKSECURITY修改TTL的值，入侵者就无法入侵电脑了。比如将操作系统的TTL值改为111，修改主键HKEY_LOCAL_MACHINE的子键：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS新建一个双字节项，如图7-24所示。2023/3/2389NETWORKSECURITY在键的名称中输入“defaultTTL”，然后双击改键名，选择单选框“十进制”，在文本框中输入111，如图7-25所示。2023/3/2390NETWORKSECURITY设置完毕重新启动计算机，再用Ping指令，发现TTL的值已经被改成111了，如图7-26所示。2023/3/2391NETWORKSECURITY12抵抗DDOS添加注册表的一些键值，可以有效的抵抗DDOS的攻击。在键值[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加响应的键及其说明如表7-7所示。增加的键值键值说明"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000000"KeepAliveTime"=dword:00000000"PerformRouterDiscovery"=dword:00000000基本设置"EnableICMPRedirects"=dword:00000000防止ICMP重定向报文的攻击"SynAttackProtect"=dword:00000002防止SYN洪水攻击"TcpMaxHalfOpenRetried"=dword:00000080仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施"TcpMaxHalfOpen"=dword:00000100"IGMPLevel"=dword:00000000不支持IGMP协议"EnableDeadGWDetect"=dword:00000000禁止死网关监测技术"IPEnableRouter"=dword:00000001支持路由功能2023/3/2392NETWORKSECURITY13禁止Guest访问日志在默认安装的WindowsNT和Windows2003中，Guest帐号和匿名用户可以查看系统的事件日志，可能导致许多重要信息的泄漏，修改注册表来禁止Guest访问事件日志。禁止Guest访问应用日志HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application下添加键值名称为：RestrictGuestAccess，