网络安全技术与实训 第章

第2章操作系统安全

理论知识学习目标掌握操作系统中密码策略、帐户锁定策略和密码认证方式的配置；知道NTFS的作用、NTFS权限的种类和应用规则；掌握NTFS权限的配置；了解端口的重要性、分类、查看方法和防范策略；熟悉通过IP安全策略实现端口关闭的配置步骤和过程；熟悉通过软件限制策略实现对客户端安装和运行软件的限制；理解注册表与网络安全之间的关系，并能通过修改注册表保护系统安全；学会查看操作系统的系统日志，掌握安全审核策略的配置；掌握操作系统的各种备份和恢复方法。学习内容2.1用户帐号安全2.2文件访问安全2.3端口安全与防范2.4软件安全2.5注册表安全2.6系统日志的安全审计2.7系统备份与恢复 2.1用户帐号安全2.1用户帐号安全密码策略密码必须符合复杂性要求。(1)不包含全部或部分的用户账户名。(2)长度至少为8个字符，包含来自以下4个类别中的字符英文大写字母（从A～Z）；英文小写字母（从a～z）；10个基本数字（从0～9）；非字母字符（例如，!、$、#、%）。(3)更改或创建密码时，会强制执行复杂需求检测。2.1用户帐号安全密码策略2．密码长度最小值。通过将字符数设置为0，可设置不需要密码。3．密码最长使用期限4．密码最短使用期限5．强制密码历史该策略通过确保旧密码不能继续使用，从而使管理员能够增强安全性。6．用可还原的加密来储存密码。2.1用户帐号安全账户锁定策略1．帐户锁定阈值该安全设置确定造成用户账户被锁定的登录失败尝试的次数。2．账户锁定时间该安全设置确定锁定的账户在自动解锁前保持锁定状态的分钟数。3．复位账户锁定计数器确定在登录尝试失败计数器被复位为0（即0次失败登录尝试）之前，尝试登录失败之后所需的分钟数。2.1用户帐号安全账户锁定策略4．账户策略安全设置(1)“密码必须符合复杂性要求”：已启用，必须启用。(2)“密码长度最小值”：8个字符或者更高。(3)“账户锁定阀值”：3次（或者略高）无效登录。(4)“账户锁定时间”：30分钟（默认值，可根据实际需要更改）。(5)“复位账户锁定计数器”：30分钟（默认值，可根据实际需要更改）之后。2.1用户帐号安全密码认证方式选择：1．用户下次登录时须更改密码当希望该用户成为唯一知道其密码的人时，应当使用该选项。2．用户不能更改密码当希望保留对用户账户（如来宾或临时账户）的控制权时，或者该账户是由多个用户使用时，应当使用该选项。此时，不选择“用户下次登录时须更改密码”复选框。3．密码永不过期为了防止用户密码过期，建议账户启用该选项，并且应使用强密码，而其他类型的用户则应当取消对该复选框的选择。2.逢1用户闷帐号京安全密码腥认证不方式弄选择头：4．账精户已窝禁用选择贿禁用工该用貌户账梢户。立当员拾工暂常时离导开公羽司时骂（如刃休假闹），启其账始户应苏当被沈禁用近。除利非有抹特殊附应用耳，否仙则Gu野es篮t账户必应当放被禁他用。5．共框享文地件夹逃权限2.臭1用户愈帐号条安全实训2-系1：Wi叮nd碰ow轮s的账景号安临全性2.白2文件绕访问炒安全2.虫2文件钉访问锡安全1．NT赔FS文件黄系统忙的主警要功蜡能（1）更百好的蚕伸缩葵性：楚划分NT膀FS分区木要比FA嘴T分区林大得柄多，贩当分斯区大昏小增加加时费，NT拖FS的性鲜能并扇不会誉降低刘，而扬在此俯情形炊下FA核T的性矩能会没降低叶。（2）域肺控制励器和Ac厌ti对ve之D拔ir蚁ec柜to因ry，需辈要使汤用NT仔FS。（3）压哈缩功隐能：幸包括储压缩练或解子压缩优驱动师器、你文件贵夹或撇者特嘉定文绩件的屑功能肆。（4）文废件加苏密：渴它极补大地射增强浴了安址全性拌。2.鼓2文件套访问臂安全1．NT轮FS文件虏系统哀的主扛要功焰能（5）远绑程存董储：衫使可掌移动哥媒体(如磁踢带)更易区访问演，从侄而扩泻展了格磁盘帆空间覆。（6）恢薯复磁佛盘活乖动的知日志巷记录险：它散允许NT叉FS在断净电或众发生衰其他忽系统晚问题健时尽炕快地那恢复饮信息陷。（7）磁改盘配筐额：姨可用蛇来监纤视和师控制稻单个古用户难使用凡的磁肥盘空霸间量巴。2.可2文件聚访问稀安全2．创傍建NT趁FS文件馆系统约的方台法（1）格贿式化这磁盘收。格伟式化命的时潜候选位择NT悟FS文件舌系统蝇，不傲过格恳式化损后分绪区内毁数据盏全部亭丢失孟。（2）FA侄T文件共系统炎转换朗为NT老FS文件线系统聚并保塌留原迅有数仆据。2.厨2文件蔬访问期安全3．NT负FS安全掏权限单介绍①完喘全控挽制：紧对文蚂件或廉者文竹件夹祸可执争行所勺有操狸作。②修丽改：感可以糕修改爬、删隶除文朱件或柴者文部件夹赚。③读赖取和他运行汇：可陶以读抗取内锅容，帝并且搂可以替执行骗应用未程序腰。④列尤出文猛件夹孩目录舒：可劲以列脂出文击件夹络内容溜，此万权限粒只针响对文仍件夹扶存在沃。⑤读舟取：公可以骆读取主文件竭或者各文件肯夹的邮内容粥。⑥写祝入：绘可以匪创建阵文件城或者缸文件早夹。⑦特康别的弟权限亡：其孤他不集常用盛权限鞋，比饿如删魔除权隐限的秘权限帽。2.鸭2文件吐访问菠安全4．NT宅FS权限阳的应踢用规样则权限举是累完积的扁。权限截的继乖承。权限弟的拒啄绝移动职和复君制操从作对睬权限只的影不响2.缴2文件侵访问帐安全实训2-红2：NT逢FS安全净权限录设置2.粒3端口奏安全烦与防伙范2.设3端口革安全反与防肉范端口角的重描要性端口盼是计蜜算机杠与外相界通把讯交毕流的妈出口寺。联网较的计统算机误之间乒要相焦互通草信就增必须屈具有捞同一睁种协而议。端口喝就是辨为这律两个脂协议热打开海的通篇道。硬件蚂领域佩的端纲口又营称接倡口。软件穴领域违的端遣口一攀般指咽网络端中面奶向连付接服柴务和抗无连报接服略务的途通信痛协议佳端口五，是乱一种含抽象墨的软奇件结刊构，渠包括蜻一些俯数据份结构馒和I／O(基本垮输入观输出)缓冲饱区。在网蠢络安致全威摆胁中希，病派毒侵突入、铅黑客碍攻击派、软穗件漏痕洞、嚷后门外以及述恶意涛网站胁没置牙的陷曾阱都邻与端减口密株切相但关。了解光端口流，管粗理好下端口贤是保靠证网素络安白全的弹重要棉方法戒。2.智3端口窄安全挨与防笋范端口喊的分泽类按照考协议弟类型坟分类膝，TC孟P端口UD择P端口端口陵的范亩围公认葛端口留：从0到10饲23注册洲端口灿：从10命24到49也15乘l。动态码（私洪有）卫端口息：从49探15沈2至06拨55京352.灯3端口遍安全脱与防南范端口涛的查猴看方碍法1．ne肾ts雪ta伞t命令Ne掌ts顿ta诸t命令恰显示则协议恋统计接和当娃前的TC纱P／IP网络吩连接钟。2．使烈用端码口扫它描软撇件端口悔攻击罢的防唐范对费策1．系透统内肚置的稍管理坦工具（1）设脆置TC糠P/使IP筛选（2）关围闭无臣用的煌服务（3）创赔建IP安全顿策略（4）禁庸用未恶使用密的端漂口①关象闭7.怨9等等蓄端口2.仁3端口五安全龄与防旱范端口迫攻击厚的防款范对架策1．系俘统内抗置的套管理行工具（4）禁厚用未桶使用假的端如口②关粉闭80口③关糟掉25端口④关诱掉21端口⑤关肌掉23端口⑥关颤闭se御rv事er服务⑦关猜掉13例9端口⑧关锁闭44座5端口（5）开屿启Wi也nd恰ow蝴s自带况的网国络防友火墙楼。2．用解第三教方软宰件管骂理端甚口2.敬3端口泽安全侍与防屯范实训2-控3：配宇置IP安全舌策略晨关闭盼端口2.亦4软件形安全2.咏4软件给安全软件影限制男策略1．使雕用软稿件限战制策尤略可茅以实役现以锣下目晕的（1）控挖制软债件在僚系统境中的碗运行漆能力良。（2）允忠许用毒户在沫多用烟户计暂算机愧上仅晌运行鱼特定衬文件禾。（3）决顽定可吸以在赤计算捕机中涉添加碰信任处的发家布者亩的用灭户。（4）控少制软香件限饮制策腐略是伟作用障于所械有用焦户，挣还是唉仅作佳用于腾计算侍机上母的某甲些用熄户。（5）阻董止任嘴何文们件在矮本地危计算稼机、微组织创单位倾、站咽点或赌域中壁运行2.灰4软件菜安全软件远限制废策略2．软扶件限浸制策誉略通转过使慎用规请则来售标识踏和控何制软芳件的装运行毁方式菌。（1）哈缴希（雀散列中）规趁则散列罢是唯皆一标雀识程驱序或钥文件向的一咬系列专定长枝字节食。散乎列按多散列云算法帐算出筐来。（3）路粪径规拿则路径傻规则伸通过艳程序牢的文统件路勿径对破其进疯行标域识。（4）In刚te万rn前et区域味规则区域伤规则枝只适滥用于Wi达nd先ow指s安装珠程序笨包。（5）软递件限经制策垂略优乒先权位规则规则蕉按特被定顺删序进狠行评眠估。梁与程主序匹慰配程牺度较史高的渴规则蜡比与揪同一途程序钟匹配腾程度游较低耻的规扮则优酿先。2.膏4软件泛安全软件春限制病策略3．软败件限蛇制策理略的亦优缺值点优点该：它是反系统眉的一询部分钻，不唐存在每兼容货性问何题，夫不占烦用内滩存，临属于盏系统欲最底捎层保桶护，盗保护京能力妹远高彩于HI效PS。缺点与HI坛PS相比肢，它益不够阔灵活赖和智省能，管不存碍在学援习模康式，单它只片会默创认阻炒止或扬放行辽，不押会询骗问用垮户，段若规捞则设演置不舞当，烧可能姻导致殃某些杏程序裳不能偏运行蹄。2.两4软件扇安全软件孝限制豆策略4．软济件限覆制策杏略的宁环境潜变量躲、通绿配符毫和优梨先级（1）环发境变希量①%U帝SE丙RP跌RO凉FI滤LE澡%表示C:尸\D材oc禽um宏en屑ts较a袭nd甲S票et难ti兔ng凑s\当前科用户份名②%A缘瑞LL饼US垫ER菜SP岸RO拜FI谣LE腿%表示C:侵\D姥oc牌um践en蜡ts铅a骗nd膏S能et罚ti欲ng喝s\跑Al腿l品Us革er乏s③%抢AP关PD炎AT笼A%表示C:伙\D牢oc悬um平en旗ts赖a骑nd谨S守et侦ti滑ng蚂s\当前汗用户牌名\A困pp恢li醉ca坛ti粘on炎D霸at示a④%大AL架LA弦PP济DA粉TA挖%表示C:旗\D技oc愚um腰en箩ts扭a台nd漫S物et托ti态ng辨s\章Al隔l挽Us总er带s\坐Ap洒pl闹ic殖at惊io吐n霉Da加ta⑤%祝SY你ST域EM宪DR荐IV项E%表示C:⑥%因HO断ME默DR颠IV佳E%表示C:阵\⑦%铅SY楼ST暑EM折RO耳OT悠%表示C:际\W歼IN汽DO巾WS2.冬4软件储安全软件怠限制膜策略4．软柿件限谁制策耍略的敏环境压变量忙、通脊配符腐和优信先级（2）通愉配符①?表示蚊任意泪单个摔字符②*否表示满任意征多个伤字符③*历*或倚*?表示樱零个毕或多饰个含尸有反截斜杠虹的字泰符,即包坑含子笋文件筹夹2.缘瑞4软件扭安全软件测限制赏策略4．软励件限凯制策殖略的水环境涨变量京、通期配符修和优帆先级（3）规保则优轨先级①总稠的原榆则是恨规则酸越匹河配越廉优先机。②绝内对路垫径别通配删符全片路径③文厅件名蛙规则芦目体录型逆规则④环丘境变相量=相应中的实奋际路灵径=注册香表键酸值路味径⑤对委于同售是目苹录规币则，危则能战匹配救的目沉录级驶数越俯多的蜡规则坚越优汤先，幻玉对于梅同是渠文件奏名规兔则，疏优先提级均并相同证。⑥散灯列规宰则比帅任何委路径鲁规则引优先保级都葡高。⑦若先规则壮的优安先级尘相同女，按铃最受很限制总的规悦则为甲准。2.碍4软件纱安全软件总限制仍策略板在操携作系环统安域全中响的应钟用禁止袄双扩犁展名固与U盘运旱行文毒件阻止胡恶意叙程序私运行禁止衣伪装小进程2.屿4软件宴安全实训2-红4：利达用软容件限添制策适略限默制客凉户端谱安装重和运朋行软穷件2.花5注册肺表安融全2.扶5注册沿表安夹全注册奸表介咸绍注册嫌表是Wi虑nd娃ow串s系统予存储者关于暴计算属机配情置信弄息的偿数据揉库，傍包括玻了系予统运直行时毁需要膊调用咽的运梯行方央式的赢设置街。注册派表按棚层次戏结构抵来组也织，声由项氧、子傍项、惑配置照单元碰和值戏项组浓成。2.显5注册猫表安并全注册执表介购绍注册纲表中穗包括捉如下员各项浇：HK驻EY呆_C骄UR记RE蛛NT释_U迹SE狸R：包私含当旬前登挎录用共户的友配置当信息防的根耀目录殖。HK六EY眼_U慎SE待RS：包拍含计浆算机杯上所柄有用卖户的栗配置跪文件粗的根更目录生。HK加EY驴_C拥UR兆RE供NT脆_U粮SE魔R是HK放EY键_U沫SE秤RS的子柳项HK盗EY择_L展OC欺AL怜_M锄AC子HI狡NE：包隆含针题对该仿计算扰机（警对于窜任何融用户突）的会配置悠信息文。HK戏EY俊_C固LA邀SS版ES狮_R素OO建T：是HK腐EY幸_L茎OC狱AL爷_M伙AC脆HI快NE骗\S袋of歪tw塑ar畏e的子冲项。HK择EY轧_C表UR呼RE阴NT订_C丹ON芦FI谷G：包沙含本粗地计缘瑞算机索在系感统启睛动时才所用奋的硬龟件配脏置文健件信偏息。2.嘱5注册役表安杰全注册自表与那网络抓安全在网室络给犯我们栗的工凉作学屿习带悟来极缩慧大方格便的李同时四，病沈毒、类木马量、后绿门以社及黑痒客程模序也难严重蚕影响雄着信替息的等安全推。这些脖程序怕感染增计算厉机的艇一个派共同扇特点谎是在鹊注册炉表中荣写入协信息畜，来艰达到谅如自抗动运谁行、嫁破坏许和传捐播等伍目的善。通过沫修改邪注册塑表来耻对付够病毒睬、木怠马、跪后门卡以及票黑客互程序央，保龙证个患人计惑算机街的安查全。2.乔5注册统表安煌全实训2-梢5：修贪改注语册表回实现乘网络尤安全2.肥6系统竭日志游的安骆全审议计2.贷6系统套日志货的安柳全审景计系统栏日志系统乖日志重是记忍录系冲统中搅硬件彼、软奖件和知系统躬问题炊的信云息，搬同时含还可复以监壁视系床统中勒发生塞的事渴件。用户野可以醉通过凡它来盈检查糟错误旺发生冶的原串因，局或者杰寻找蜘受到叮攻击逃时攻剂击者幕留下应的痕泽迹。可以趁记入酒日志伞的事纯件类罩型包模括用户迈和进磨程的紫登录绵和登扣出；对系晚统相桑关的族数据馋和设剑备的狐访问县；改变照用户乔帐号附和用木户组辞；改变绍对系均统数匪据和泪资源居的访卷问权颈限；关闭滩或重城启系型统，犁注册裹可信芦的登帝录进代程，或者怨其它恼影响虽系统生安全乞的活疤动；进程驾执行姥和跟蜘踪；抽政策清改变更。2.团6系统娇日志趁的安彻全审汽计系统类日志事件克查看功器显驳示五血种类松型的匙事件钥：错误句、警兔告、益信息旧、审泼核成斩功和柱审核轮失败望。审核塔设置乌的选汽项有朋：成私功、茅失败耗和不抄审核搂。事件截包括呈以下酷领域建：数妄据、坦时间博、用萌户、君计算故机、纹事件ID，源咳、类垫型和涛种类2.泛6系统拆日志忆的安担全审迹计安全圣审计安全璃审计对对于喝任何碧企业楚网络备来说地都极桌其重浪要，杰因为风可能险只有吃审核鲁日志亲能说委明是胆否出撕现了海违反境安全游的事久件。时如果押用一棵些其团他的逆方法律发现颂违反睡安全睡事件幼，则屿适当设的审命核设圣置将住产生书包含撤有关为违反追安全摄事件溜的重趁要信正息的束审核垄日志旋。失败种日志辅比成絮功日居志更党有意敞义。2.狭6系统考日志售的安泻全审段计安全竖审计事件辣日志封记录腾计算侮机上黑发生杜的事民件，Mi植cr帆os胡of译t®允W秩in第do乒ws帐®操作赔系统派中有例单独甜的应感用程收序、孟安全客性事铜件和丹系统炉事件渣的事温件日响志。安全满日志编记录嘱审核装事件封。使用考组策献略的播事件酸日志榴容器帖来定斩义与腾应用酒程序黄、安缸全性迅和系焰统事征件日团志有藏关的否属性矛，比互如最玻大日俩志文诊件大拌小、烈对每拥个日把志的御访问匹权限设，以罢及保齐留设搭置和川方法燥。在实普施任叠何审腰核过亏程之踩前，巾组织屋应确氏定将随如何投收集智、组装织和焦分析怀数据柴。2.纽奉6系统慕日志屯的安封全审嘴计实训2-框6：Wi走nd弱ow危s冻20倍03系统扰的安羽全审厕计2.透7系统悦备份邮与恢鸽复2.劫7系统校备份丽与恢么复备份脊模式1.联机窗备份联机恨备份茎在系筛统处圈于联践机状序态时鬼进行困，因师此该扑策略奔造成俭的中像断最锋小。联机秘备份晨通常扰用于滩必须病保持栋全天争可用俘的应飞用程蛛序。联机滩备份末的优捏点如令下:没有再服务葱中断贫：在羽备份场过程众中用发户可准以照鱼常使街用应就用程治序和边数据商。不需比要在均加班挺时间抱进行贯备份炮：联铺机备纷份可臭以安瓜排在盒正常匀工作态时间命进行好。完全吩或部厅分备捉份：般备份寻可以非是完笛全备描份或掌部分利备份浩。2.支7系统料备份渔与恢胶复备份扑模式1.联机歌备份联机贼备份聋的缺摔点如色下：服务态器性证能：临在备廊份过够程中粘，服脸务器堂的性渡能可浴能会荡下降偷。打开钞的文陡件：贝有些蹲打开照的数跳据文墨件可汤能无眨法备灵份，府这取疤决于住备份否过程协中哪目些应刮用程的序处恋于活翅动状豆态。2.猾7系统闯备份涌与恢由复备份驱模式2.脱机靠备份脱机棚备份遍在系缘瑞统和宫服务烘处于产脱机渠状态飘下进鄙行。脱机指备份刊的优档点如后下：完全野或部霉分备贤份：感脱机嫩备份伶可以槽是完倡全备颜份或耳部分唉备份静。性能垮：脱决机备妻份的硬备份逝性能泉较好喘，这狸是因袄为服砖务器润可以锁专用辩于备昨份任辛务。全部跑文件付备份悔：可淘以备败份所蔬有数当据，席这是鸟因为栏在备寺份过静程中问没有历正在膜运行僵的应薯用程尿序，嚷也就胀没有拌打开压的文闲件脱机谅备份链的缺郊点是居在备体份过脂程中尚用户究将无普法访躺问数孩据。2.谈7系统伶备份趋与恢辟复备份弄类型1完全监备份完全陶备份援会备默份所纽奉有数分据，附包括侄所有求硬盘尾上的咳文件亦。优点完整勉复制背数据忙：完沟全备录份意江味着丑，如索果需绣要恢箭复系堆统，搅那么辨用户段将拥侄有所滤有数局据的强完整千副本凡。快速惧访问室备份装数据尿：不兽必在洪多个晃磁带坑中搜颂索要防还原距的文周件，够这是陈因为图完全舍备份汪包括矮某一拜时刻兴硬盘季上的现所有孕数据划。缺点冗余伞数据套：完揭全备原份包舱含冗污余数盗据，炮这是品因为核执行明完全芝备份轨时会乓将发棋生更李改和雪未发荷生更猪改的毫数据更都备就份到现存储外介质顷上。时间绕长：修执行尾完全都备份吼需要景较长差时间碑。备份茫需要供的存挂储容皂量大状。2.喂7系统承备份好与恢浸复备份蓄类型2.增量灯备份增量献备份及复制削自上痛次完柴全备沈份或认增量观备份俱以来惯发生妈更改劳的所哭有数合据。必须椒使用糕完全峡备份涝和所歌有的稳后续绸增量缴备份煮来还