《网络安全实用教程》配套(人民邮电出版)ch2解读课件

第2章

网络操作系统安全第2章

网络操作系统安全本章有三小节2.1常用的网络操作系统简介2.2操作系统安全与访问控制2.3网络操作系统的安全设置实例本章有三小节2.1常用的网络操作系统简介目前较常用的网络操作系统有Unix、Linux、WindowsNT/2000/2003等，它们都是属于C2安全级别的操作系统。2.1常用的网络操作系统简介目前较常用的网络操作系统有Un2.1.1WindowsNTWindowsNT(NewTechnology)是由Microsoft于1993年推出的网络操作系统，其中较为成熟的版本是1996年推出的NT4.0。WindowsNT是一个图形化、多用户、多任务的网络操作系统，具有强大的网络管理功能。2.1.1WindowsNT与其后的网络操作系统不同的是，WindowsNT具有服务器版本(WindowsNTServer)和工作站版本(WindowsNTWorkstation)。服务器版本使用在服务器上，工作站版本使用在工作站(客户机)上。与其后的网络操作系统不同的是，WindowsNT具有服务器2.1.2Windows2000/20031、Windows2000Windows2000操作系统集成了Windows98和WindowsNT4.0的优点，并且在很多方面做了改进，使得Windows2000在功能上、安全性上都得到了很大的提高。Windows2000包括Windows2000Professional、Windows2000Server、Windows2000AdvancedServer和Windows2000Datacenter四个版本，其中Windows2000Professional属于单机操作系统，而其他几种则属于网络操作系统。2.1.2Windows2000/2003活动目录是Windows2000新增加的功能。活动目录是指一种可扩展的、可分布在多台服务器的数据库，在这个数据库中存储了系统的账户信息。用户不管在哪一台客户机上登录服务器，所得到的服务都是一样的。Windows2000还增加了多项网络服务，如虚拟专用网（VPN）技术、路由与远程访问功能和网络地址转换（NAT）功能等。活动目录是Windows2000新增加的功能。活动目录是指2、Windows2003Windows2003是Microsoft推出的又一款网络操作系统，与Windows2000不同的是Windows2003只有网络版操作系统，一般称之为WindowsServer2003。WindowsServer2003的具体版本可分为Web、Standard、Enterprise和Datacenter版。Windows2003总体上比Windows2000更安全、更可靠，并且增加了一些新的服务功能，是“.NET”技术的应用。2、Windows2003在安全性方面，Windows2003填补了Windows2000的很多系统漏洞，如输入法漏洞、IIS漏洞和Printer漏洞等。Windows2003的IIS也升级为6.0，相比Windows2000的IIS5.0更安全可靠并且提高了管理性能。在安全性方面，Windows2003填补了Windows2.1.3Unix和Linux

1、Unix系统Unix操作系统是由美国贝尔实验室在上世纪60年代末开发成功的网络操作系统，一般用于大型机和小型机上，较少用于微机。由于各大厂商对Unix系统的开发，Unix形成了多种版本，如IBM公司的AIX系统、HP公司的HP-UX系统、SUN公司的Solaris系统等。2.1.3Unix和LinuxUnix系统在20世纪70年代用C语言进行了重新编写，提高了Unix系统的可用性和可移植性，使之得到了广泛的应用。Unix系统的主要特点：高可靠性。极强的伸缩性。强大的网络功能。开放性。Unix系统在20世纪70年代用C语言进行了重新编写，提高了2、Linux系统Linux系统是类似于Unix系统的自由软件，主要用于基于Intelx86CPU的计算机上。Linux系统的主要特点：(1)完全免费。(2)良好的操作界面。(3)强大的网络功能。2、Linux系统2．2操作系统安全与访问控制2.2.1网络操作系统安全1、主体和客体（1）主体：主体是指行为动作的主要发动者或施行者，包括用户、主机、程序进程等。作为用户这个主体，为了保护系统的安全，必须保证每个主体的唯一性和可验证性。2．2操作系统安全与访问控制2.2.1网络操作系统安全（2）客体：客体是指被主体所调用的对象，如程序、数据等。在操作系统中，任何客体都是为主体服务的，而任何操作都是主体对客体进行的。在安全操作系统中必须要确认主体的安全性，同时也必须确认主体对客体操作的安全性。（2）客体：2、安全策略与安全模型（1）安全策略：安全策略是指使计算机系统安全的实施规则。（2）安全模型：安全模型是指使计算机系统安全的一些抽象的描述和安全框架。2、安全策略与安全模型3、

可信计算基可信计算基(TrustedComputingBase)是指构成安全操作系统的一系列软件、硬件和信息安全管理人员的集合，只有这几方面的结合才能真正保证系统的安全。3、可信计算基4、网络操作系统的安全机制（1）硬件安全：硬件安全是网络操作系统安全的基础。（2）安全标记：对于系统用户而言，系统必须有一个安全而唯一的标记。在用户进入系统时，这个安全标记不仅可以判断用户的合法性，而且还应该防止用户的身份被破译。4、网络操作系统的安全机制（3）访问控制：

在合法用户进入系统后，安全操作系统还应该能够控制用户对程序或数据的访问，防止用户越权使用程序或数据。（4）最小权力：

操作系统配置的安全策略使用户仅仅能够获得其工作需要的操作权限。（5）安全审计：

安全操作系统应该做到对用户操作过程的记录、检查和审计。（3）访问控制：2.2.2网络访问控制1、访问控制的基本概念访问控制（AccessControl）是指定义和控制主体对客体的访问权限，具体可分为身份验证和授权访问。2、访问控制的分类访问控制一般可分为自主访问控制（DiscretionaryAccessControl）强制访问控制（MandatoryAccessControl）2.2.2网络访问控制2.2.3网络操作系统漏洞与补丁程序网络系统漏洞是指网络的硬件、软件、网络协议以及系统安全策略上的缺陷，黑客可以利用这些缺陷在没有获得系统许可的情况下访问系统或破坏系统。2.2.3网络操作系统漏洞与补丁程序1、漏洞的类型（1）从漏洞形成的原因分类程序逻辑结构漏洞程序设计错误漏洞

协议漏洞

人为漏洞（2）从漏洞是否为人们所知分类已知漏洞未知漏洞0day漏洞1、漏洞的类型2、WindowsNT的典型漏洞（1）账户数据库漏洞①在WindowsNT操作系统中，用户的信息及口令均保存在SAM（SecurityAccountsManagement安全账户管理）数据库中。而SAM数据库允许被Administrator、Administrator组成员、备份操作员、服务器操作员账户所拷贝。这样的SAM备份数据并不安全，能够被一些工具软件所破译，从而使系统的用户名及密码泄密。解决措施：严格限制具备数据备份权限的人员账户；对SAM数据库的任何操作进行审计；加强密码的强度，提高密码被破译的难度。2、WindowsNT的典型漏洞②SAM账户数据库能够被木马或病毒通过具有备份权限的账户所拷贝。解决措施：减少有备份权限的账户上网的概率，尽量使用只有普通权限的账户上网。②SAM账户数据库能够被木马或病毒通过具有备份权限的账户所（2）SMB协议漏洞SMB(ServerMessageBlock服务器消息块)是Microsoft的一种可以读取SAM数据库和其他一些服务器文件的协议。SMB协议存在较多的漏洞，如不需授权就可以访问SAM数据库、允许远程访问共享目录、允许远程访问Registry数据库；另外，SMB在验证用户身份时使用的是一种很容易被破译的加密算法。解决措施：采取措施关闭135~142端口(SMB协议需要开启135~142端口)。（2）SMB协议漏洞（3）Guest账户漏洞Guest账户如果处于开放状态，那么其它账户可以以Guest账户身份进入系统。解决措施：给Guest账户设置一个复杂的密码或关闭Guest账户。（4）默认共享连接漏洞系统在默认情况下具有共享连接属性，任何用户都可以使用“\\IPaddess\C$、\\IPaddess\D$”等方式连接系统的C盘、D盘等。解决措施：关闭系统的默认共享。（3）Guest账户漏洞（5）多次尝试连接次数漏洞默认情况下系统没有对用户连接系统的尝试次数进行限制，用户可以不断地尝试连接系统。解决措施：使用安全策略，限制连接次数。（6）显示用户名漏洞默认情况下系统会显示最近一次登录系统的用户名，这会给非法用户企图进入系统减少了一次安全屏障。因为非法用户尝试进入系统时只要猜测用户密码而不需猜测用户名了。解决措施：在注册表中修改关于登录的信息，不显示曾经登录的用户名。（5）多次尝试连接次数漏洞（7）打印漏洞系统中具有打印操作员权限的用户对打印驱动程序具有系统级的访问权限，这会方便黑客通过在打印驱动程序中插入木马或病毒从而控制系统。解决措施：严格限制打印操作组成员，严格审计事件记录。（7）打印漏洞3、Windows2000的典型漏洞（1）登录输入法漏洞当用户登录进入系统时，可以通过使用输入法的帮助功能绕过系统的用户验证，并且能够以管理员权限访问系统。解决措施：删除不需要的输入法；删除输入法的相关帮助文件(存放在C：\WINNT\help下)；升级微软的安全补丁。3、Windows2000的典型漏洞（2）空连接漏洞空连接是指在没有提供用户名与密码的情况下使用匿名用户与服务器建立的会话。建立空连接以后，攻击者就可以获取用户列表、查看共享资源等，从而为入侵系统做好准备。解决措施：关闭IPC$共享。（2）空连接漏洞（3）Telnet拒绝服务攻击漏洞当Telnet启动连接但初始化的对话还未被复位的情况下，在一定的时间间隔内如果连接用户还没有提供登录的用户名及密码，Telnet的对话将会超时，直到用户输入一个字符后连接才会被复位。如果攻击者连接到系统的Telnet守护进程，并且阻止该连接复位，那么他就可以有效地拒绝其他用户连接该Telnet服务器，实现拒绝服务攻击。解决措施：升级微软的安全补丁。（3）Telnet拒绝服务攻击漏洞（4）IIS溢出漏洞Windows2000存在IIS溢出漏洞。当使用溢出漏洞攻击工具攻击Windows时，会使Windows开放相应的端口，从而使系统洞开，易于被攻击。解决措施：升级微软的专用安全补丁。（5）Unicode漏洞Unicode漏洞是属于字符编码的漏洞，是由于Windows2000在处理双字节字符时所使用的编码格式与英文版本不同所造成的。由于IIS不对超长序列进行检查，因此在URL中添加超长的Unicode序列后，可绕过Windows安全检查。解决措施：升级微软的专用安全补丁。（4）IIS溢出漏洞（6）IIS验证漏洞IIS提供了Web、FTP和Mail等服务，并支持匿名访问。当Web服务器验证用户失败时，将返回“401AccessDenied”信息。如服务器支持基本认证，攻击者可将主机头域置空后，Web服务器返回包含内部地址的信息，因此，可利用该问题对服务器的用户口令进行暴力破解。解决措施：设置账号安全策略防止暴力破解。（6）IIS验证漏洞（7）域账号锁定漏洞在使用NTLM（NTLANManager）认证的域中，Windows2000主机无法识别针对本地用户制订的域账号锁定策略，使穷举密码攻击成为可能。解决措施：安装微软的安全升级包。（7）域账号锁定漏洞（8）ActiveX控件漏洞ActiveX控件主要用于支持基于网络的信用注册。当该控件被用于提交“PKCS#10”的信用请求，并在请求得到许可后，将被存放于用户信用存储区。该控件可使网页通过复杂的过程来删除用户系统的信用账号。攻击者还可建立利用该漏洞的网页，以攻击访问该站点的用户或直接将网页作为邮件发送来攻击。解决措施：安装微软的安全升级包。（8）ActiveX控件漏洞4、WindowsXP的典型漏洞（1）升级程序带来的漏洞在将WindowsXP升级为WindowsXPPro时，IE6.0会重新安装。但在系统重新安装时会将以前的漏洞补丁程序删除，并且会导致微软的升级服务器无法判断IE是否有漏洞。解决措施：及时升级微软的安全补丁。4、WindowsXP的典型漏洞（2）UPnP服务漏洞UPnP(通用即插即用)是面向无线设备、PC机和智能应用的服务。该服务提供普遍的对等网络连接，在家用信息设备、办公网络设备间提供TCP/IP连接和Web访问功能，并可用于检测和集成UPnP硬件。在WindowsXP系统中该服务默认是启用的，而UPnP协议存在安全漏洞，可使攻击者在非法获取WindowsXP的系统级访问后发动攻击。解决措施：禁用UPnP服务，及时升级微软的安全补丁。（2）UPnP服务漏洞（3）压缩文件夹漏洞WindowsXP的压缩文件夹可按攻击者的选择运行代码。在安装“Plus！”包的WindowsXP系统中，“压缩文件夹”功能允许将Zip文件作为普通文件夹处理。这样的处理方法存在着如下两方面的漏洞：在解压缩Zip文件时会有未经检查的缓冲存在于程序中以存放被解压文件，因此很可能导致浏览器崩溃或攻击者的代码被运行。解压缩功能可以在非用户指定目录中放置文件，这样可使攻击者在用户系统的已知位置中放置文件。解决措施：不下载或拒收不信任的ZIP压缩文件。（3）压缩文件夹漏洞（4）服务拒绝漏洞WindowsXP系统支持点对点协议（PPTP），该协议是作为远程访问服务实现的VPN技术协议。由于在控制用于建立、维护和拆除PPTP连接的代码段中存在未经检查的缓存，导致WindowsXP的实现中存在漏洞。通过向一台存在该漏洞的服务器发送不正确的PPTP控制数据，攻击者可损坏核心内存并导致系统失效，中断所有系统中正在运行的进程。该漏洞可攻击任何一台提供PPTP服务的服务器，对于PPTP客户机，攻击者只需激活PPTP会话即可进行攻击。对遭到攻击的系统，可以通过重启来恢复正常。解决措施：不启动默认的PPTP协议（4）服务拒绝漏洞（5）WindowsMediaPlayer漏洞WindowsMediaPlayer是Windows中的媒体播放软件。在WindowsXP系统中，WindowsMediaPlayer漏洞主要产生两个问题：一是信息泄漏，它给攻击者提供一种可在用户系统上运行代码的方法；二是脚本执行，当用户选择播放一个特殊的媒体文件，并又浏览一个特殊建造的网页后，攻击者就可利用该漏洞运行脚本。解决措施：将要播放的文件先下载到本地再播放。（5）WindowsMediaPlayer漏洞（6）VM虚拟机漏洞当攻击者在网站上拥有恶意的“Javaapplet”并引诱用户访问该站点时，可通过向JDBC（JavaDataBaseConnectivity）类传送无效的参数使宿主应用程序崩溃，这样，攻击者可以在用户机器上安装任意DLL，并执行任意的本机代码，潜在地破坏或读取内存数据。解决措施：经常进行相关软件的安全更新。（6）VM虚拟机漏洞（7）热键漏洞热键是系统为方便用户的操作而提供的服务功能。但设置热键后，由于WindowsXP的自注销功能，可使系统“假注销”，其他用户即可通过热键调用程序。虽然无法进入桌面，但由于热键服务还未停止，仍可使用热键启动应用程序。解决措施：关闭不需要的热键功能；启动屏幕保护功能，并设定密码。（7）热键漏洞（8）账号快速切换漏洞WindowsXP具有账号快速切换功能，使用户可快速地在不同的账号间进行切换。该切换功能的设计存在问题，使用时易于造成账号锁定，使所有非管理员账号均无法登录。解决措施：禁用账号快速切换功能。（8）账号快速切换漏洞5、补丁程序补丁程序是指对于大型软件系统在使用过程中暴露的问题而发布的解决问题的小程序。（1）按照对象分类，补丁程序可分为系统补丁和软件补丁。（2）按照安装方式分类，补丁程序可分为自动更新的补丁和手动更新的补丁。（3）按照补丁的重要性分类，补丁程序可分为高危漏洞补丁、功能更新补丁和不推荐补丁。5、补丁程序2.3网络操作系统安全设置实例2.3.1Windows系统的安全设置1、通过管理电脑属性来实现系统安全右击“我的电脑”，选择“管理”，出现如图2.1所示“计算机管理”界面。图2.1计算机管理2.3网络操作系统安全设置实例2.3.1Windows系（1）关闭Guest账户Guest账户是Windows系统安装后的一个默认账户。客户可以使用该账户，攻击者也可以使用该账户。使用Guest账户连接网络系统时，服务器不能判断连接者的身份，因此，为了安全起见最好关闭该账户。第1步：在图2.1中，展开“本地用户和组”，单击“用户”，在右面的窗口中显示目前系统中的用户信息，如图2.2所示，图标上有“×”的用户表示已经停用。（1）关闭Guest账户图2.2本地用户信息图2.2本地用户信息第2步：停用Guest账户。右击“Guest”，选择“属性”，出现“Guest属性”窗口；勾选“账户已禁用”，点击“确定”按钮，Guest账户即被停用(图标上有“×”)，如图2.3所示。图2.3停用Guest账户第2步：停用Guest账户。右击“Guest”，选择“属性”（2）修改管理员账户Windows系统默认的管理员账户是“Administrator”且不能删除，在Windows2000中甚至不能停用。为了减少系统被攻击的风险，将默认的管理员账户改名是很有必要的。右击“Administrator”，选择“重命名”，在用户名Administrator处出现闪烁的光标，如图2.3所示，即可修改Administrator的名称。必要时，再给Administrator设置一个复杂的密码。（2）修改管理员账户（3）设置陷阱账户所谓“陷阱”，就像生活中猎人挖的陷阱一样，是专门给猎物预备的。新建一个账户作为陷阱账户，名称就叫做“Administrator”，但它不属于管理员组而仅仅是一个有最基本权限的用户，其密码设置得复杂一些。当攻击者检测到系统中有Administrator账户时，就会花大力气去破解，这样网络管理员就可以采取反追踪措施去抓住攻击者，即使Administrator账户被破解也没有关系，因为这个账户根本就没有任何权限。（3）设置陷阱账户（4）关闭不必要的服务作为网络操作系统，为了提供一定的网络服务功能，必须要开放一些服务。从安全角度出发，开放的服务越少，系统就越安全。因此，有必要将不需要的服务关闭。展开“计算机管理”→“服务和应用程序”→“服务”，在右面窗口中即可看到系统服务的内容，如图2.4所示。（4）关闭不必要的服务图2.4服务名称及状态图2.4服务名称及状态（5）关闭不必要的端口计算机之间的通信必须要开放相应的端口。但从安全角度考虑，系统开放的端口越少就越安全，因此有必要减少开放的端口，或从服务器角度出发指定开放的端口。如果不清楚某个端口的作用，可以在Windows\system32\drivers\etc中找到services文件并使用记事本打开，就可以得知某项服务所对应的端口号及使用的协议。（5）关闭不必要的端口第1步：依次点击“开始”→“设置”→“网络连接”，右击“本地连接”，选择“属性”，找到“Internet协议（TCP/IP）属性”，点击“高级”按钮；在出现的窗口中，选择“选项”子项，如图2.5所示。图2.5TCP/IP筛选属性第1步：依次点击“开始”→“设置”→“网络连接”，右击“本地第2步：单击“属性”按钮，出现如图2.6所示窗口，勾选“启用TCP/IP筛选”项。图2.6启用TCP/IP筛选并指定开放端口第2步：单击“属性”按钮，出现如图2.6所示窗口，勾选“启用第3步：如果主机是Web服务器，只开放80端口，则可点击“TCP端口”上方的单选项“只允许”，再单击“添加”按钮。在出现的“添加筛选器”对话框中填入端口号80，点击“确认”按钮即可，如图2.6所示。第3步：如果主机是Web服务器，只开放80端口，则可点击“T（6）设置屏幕保护密码当网络管理员暂时离开主机时，为了保证系统不被其他人操作，需要设置屏幕保护密码。设置屏幕保护密码的操作如下：右击“桌面”空白处，选择“属性”，在如图2.7里选择“屏幕保护程序”选项卡。在“屏幕保护程序”栏的下拉菜单选择屏幕保护时采用的程序；在“等待”框里输入执行屏幕保护的时间(分)，并勾选“在恢复时使用密码保护”。（6）设置屏幕保护密码图2.7设置屏幕保护图2.7设置屏幕保护2、通过管理组策略来实现系统安全打开组策略：单击“开始”→“运行”，在“运行”里输入“gpedit.msc”，按“确定”按钮后即可出现“组策略”编辑器界面，如图2.8所示。图2.8组策略编辑器2、通过管理组策略来实现系统安全图2.8组策略编辑器（1）配置系统密码策略配置密码策略的目的是使用户使用符合策略要求的密码，以免出现某些用户设置的密码过于简单(弱口令)等问题。配置系统密码策略的操作如下：第1步：打开“密码策略”。在“组策略”编辑器中依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“密码策略”，在右侧窗口中显示可进行配置的密码策略，如图2.9所示。（1）配置系统密码策略图2.9密码策略图2.9密码策略第2步：配置密码复杂性要求。右击“密码必须符合复杂性要求”，选择“属性”，出现如图2.10所示窗口。点选“已启用”，再单击“应用”→“确定”，即可启动密码复杂性设置。图2.10配置密码复杂性第2步：配置密码复杂性要求。右击“密码必须符合复杂性要求”，第3步：配置密码长度。右击“密码长度最小值”，选择“属性”，如图2.11所示。输入字符的长度值，再单击“应用”→“确定”即可。图2.11配置密码长度第3步：配置密码长度。右击“密码长度最小值”，选择“属性”，第4步：配置密码最长使用期限。右击“密码最长存留期”，选择“属性”，如图2.12所示。输入密码的过期时间(本例为30天，系统默认为42天)，单击“确定”即可。图2.12配置密码使用期限第4步：配置密码最长使用期限。右击“密码最长存留期”，选择“第5步：配置密码最短使用期限。配置“密码最短存留期”的方法类似于“密码最长存留期”，如图2.13所示。图2.13配置密码最短使用期限第5步：配置密码最短使用期限。配置“密码最短存留期”的方法类第6步：配置强制密码历史。右击“强制密码历史”，选择“属性”，出现如图2.14所示窗口；选择“保留密码历史”的数字(本例为3)，再“确定”即可。“强制密码历史”的意思是用户在修改密码时必须满足所规定记住密码的个数而不能连续使用旧密码。本例选定“3”，说明用户必须在第4次更换密码时才能重复使用第1次使用的密码。图2.14配置密码历史第6步：配置强制密码历史。右击“强制密码历史”，选择“属性”上述系统“密码策略”的各项配置结果如图2.15所示。图2.15密码策略配置结果上述系统“密码策略”的各项配置结果如图2.15所示。图2.1（2）配置系统账户策略第1步：展开账户锁定策略。在“组策略”编辑器中依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”，在右侧窗口中显示可进行配置的账户策略，如图2.16所示。图2.16账户锁定策略（2）配置系统账户策略图2.16账户锁定策略第2步：配置账户锁定阈值。右击“账户锁定阈值”，选择“属性”，如图2.17所示。输入无效登录锁定账户的次数，单击“应用”→“确定”即可。图2.17配置账户锁定阈值第2步：配置账户锁定阈值。右击“账户锁定阈值”，选择“属性”第3步：配置账户锁定时间。右击“账户锁定时间”，选择“属性”，出现如图2.18所示窗口，设定时间后点击“确定”按钮。图2.18配置账户锁定时间第3步：配置账户锁定时间。右击“账户锁定时间”，选择“属性”第4步：配置复位账户锁定计数器。右击“复位账户锁定计数器”，选择“属性”，出现如图2.19所示窗口，设定时间后点击“确定”按钮。图2.19配置账户锁定复位时间第4步：配置复位账户锁定计数器。右击“复位账户锁定计数器”，各项账户锁定策略配置成功后，其配置效果如图2.20所示。图2.20账户锁定策略配置各项账户锁定策略配置成功后，其配置效果如图2.20所示。图2（3）配置审核策略审核策略是对系统发生的事件或进程进行记录的过程，网络管理员可以根据对事件的记录检查系统发生故障的原因等，这可对维护系统起到参考作用。在“组策略”编辑器中依次展开“计算机配置”→“Windows设置”→安全设置”→本地策略”→“审核策略”，在右侧窗口中显示可进行配置的审核策略。（3）配置审核策略右击某项策略，如“审核登录事件”，选择“属性”，出现如图2.21所示属性窗口。勾选所选项，单击“确定”按钮。出现如图2.22所示窗口，系统对登录成功和失败的事件都会进行记录。图2.21配置审核登录事件属性图2.22配置审核事件成功右击某项策略，如“审核登录事件”，选择“属性”，出现如图2.（4）用户权限分配“用户权限分配”是对系统中用户或用户组的权限进行分配的策略项。一般情况下可采用默认设置，网络管理员也可根据系统的实际情况进行修改。配置方法：在“组策略”编辑器中依次展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权限分配”项，在右侧窗口中显示出系统默认用户(组)所具有的权限，如图2.23所示。（4）用户权限分配图2.23配置用户权限图2.23配置用户权限（5）配置“安全选项”配置方法：在“组策略”编辑器中依次展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“安全选项”。①不显示系统最后登录的用户账户默认情况下，系统保留最后一个登录用户的账户。但这样会使非法用户在尝试登录系统时，利用已知用户账户，只需尝试用户的密码即可，使系统减少了一层安全屏障。可以采用配置安全策略方法使系统不显示最后一个登录系统的用户账户。（5）配置“安全选项”右击策略里的“交互式登录：不显示上次的用户名”，选择“属性”。在出现的窗口中点选“已启用”，再点击“应用”→“确定”按钮，该项策略已启用，如图2.24所示。图2.24配置不显示上次用户名属性右击策略里的“交互式登录：不显示上次的用户名”，选择“属性”②配置安全选项，使光驱不能被远程使用在“安全选项”里右击“设备：只有本地登录的用户才能访问CD-ROM”项，选择“属性”，如图2.25所示；点选“已启用”，再点击“应用”→“确定”按钮，该项策略“已启用”。图2.25只有本地登录的用户才能访问CD-ROM配置②配置安全选项，使光驱不能被远程使用图2.25只有本地登录（6）配置只允许用户执行的程序在Windows2003系统中，可对用户设置可以执行的程序，这样用户就只能执行配置中所规定的程序，从而增强系统的安全性。该类的配置操作如下：第1步：在“组策略”编辑器中依次展开“用户配置”→“管理模板”→“系统”，在右侧窗口中列出众多“设置”项及其“状态”。第2步：右击“设置”项中的“只运行许可的Windows应用程序”，选择属性。在出现的如图2.26所示的“属性”窗口里点选“已启用”，再点击“显示”按钮，出现“显示内容”窗口。（6）配置只允许用户执行的程序第3步：在“显示内容”窗口中点击“添加”按钮，在“添加项目”对话框中输入允许用户执行的程序，点击“确定”按钮即可。图2.26添加只允许运行的特定程序第3步：在“显示内容”窗口中点击“添加”按钮，在“添加项目”（7）隐藏驱动器在工作中有时因特殊用途，会对用户隐藏一些驱动器，在组策略中可以实现这一目的。其配置操作如下：第1步：在”组策略”编辑器中依次展开“用户配置”→“管理模板”→“Windows组件”→“Windows资源管理器”，在右侧窗口列出很多“设置”项及其“状态”。第2步：右击“设置”项中的“隐藏“我的电脑”中的这些指定的驱动器”，选择“属性”。第3步：在出现的如图2.27所示属性窗口中打开“设置”选项卡，点选“已启用”，并在“选择下列组合中的一个”下拉菜单中选择设置限制项，最后点击“确定”按钮即可。（7）隐藏驱动器图2.27限制驱动器图2.27限制驱动器（8）配置开始菜单和任务栏在某些特殊场所应用中，需要对“开始菜单”和“任务栏”做特殊的管理。如在网吧，一般不允许用户使用“运行”命令，不允许注销用户等，这些要求都可以通过配置组策略来实现。第1步：在“组策略”编辑器中依次展开“用户配置”→“管理模板”→“任务栏和『开始』菜单”，在右侧窗口中显示出很多“设置”项及其“状态”。（8）配置开始菜单和任务栏第2步：如果需要在开始菜单中取消“搜索”命令，则配置“从『开始』菜单中删除“搜索”菜单”为“已启用”即可，如图2.28所示。第3步：如果需要在开始菜单中取消“注销”命令，则配置“删除『开始』菜单上的“注销”为“已启用”即可。图2.28在开始菜单中取消“注销”命令第2步：如果需要在开始菜单中取消“搜索”命令，则配置“从『开3、通过管理注册表来实现系统安全注册表(Registry)是Windows系统中的重要数据库，用于存储计算机软硬件系统和应用程序的设置信息。因此，在不清楚某项注册表含义的情况下，切勿进行修改或删除，否则系统可能被破坏。3、通过管理注册表来实现系统安全（1）注册表的结构单击“开始”→“运行”，输入“Regedit”并执行，即可进入注册表编辑器，如图2.29所示。注册表结构：在左侧窗口中由“我的电脑”开始，以下是五个分支，每个分支名都以HKEY开头(称为主键KEY)，展开后可以看到主键还包含多级的次键(SubKEY)，注册表中的信息就是按照多级的层次结构组织的。当单击某一主键或次键时，右边窗口中显示的是所选主键或次键包含的一个或多个键值(Value)。键值由键值名称(ValueName)和数据(ValueData)组成。（1）注册表的结构图2.29注册表编辑器界面图2.29注册表编辑器界面①主键HKEY_CLASSES_ROOT该主键用于管理文件系统，记录的是Windows操作系统中所有的数据文件信息。当用户双击一个文档或程序时，系统可以通过这些信息启动相应的应用程序来打开文档或程序。②主键HKEY_CURRENT_USER该主键用于管理当前用户的配置情况。在该主键中可以查阅当前计算机中登录用户的相关信息，包括个人程序、桌面设置等。①主键HKEY_CLASSES_ROOT③主键HKEY_LOCAL_MACHINE该主键用于管理系统中所有硬件设备的配置情况，该主键中存放用来控制系统和软件的设置，如总线类型、设备驱动程序等。由于这些设置是针对使用Windows系统的用户而设置的，是公共配置信息，与具体用户无关。④主键HKEY_USER该主键用于管理系统中所有用户的配置信息。系统中每个用户的信息都保存在该文件夹中，如用户使用的图标、开始菜单的内容、字体、颜色等。③主键HKEY_LOCAL_MACHINE⑤主键HKEY_CURRENT_CONFIG该主键用于管理当前用户的系统配置情况，其配置信息是从HKEY_LOCAL_MACHINE中映射出来。（2）注册表的备份与还原(导出与导入)因为注册表中保存的是操作系统的重要配置信息，在对注册表进行操作前最好先对注册表做好备份。⑤主键HKEY_CURRENT_CONFIG①导出注册表(备份)单击“文件”菜单，选择“导出”，出现如图2.30所示窗口，选择保存路径，并在“文件名”框中输入所保存的注册表文件的名称；再选择导出范围(全部或分支)；最后单击“保存”按钮。图2.30导出注册表①导出注册表(备份)图2.30导出注册表②导入注册表(恢复)单击注册表中的“文件”菜单，选择“导入”；在出现的如图2.31所示窗口中，查找到原来所导出的注册表文件；点击“打开”按钮。图2.31导入注册表②导入注册表(恢复)图2.31导入注册表（3）利用注册表进行系统的安全配置①清除系统默认共享方法1：右击“我的电脑”，选择“管理”，展开“共享文件夹”，选择“共享”，出现如图2.32所示窗口。在右侧窗口中可见系统共享文件夹C$的共享路径实际上就是系统的C盘根目录。右击右侧窗口的C$，在出现的菜单中选择“停止共享”，即可清除系统的默认共享。（3）利用注册表进行系统的安全配置这种清除默认共享的方法操作简便，但却不是一劳永逸的，因为在系统每一次启动后都需进行一次这样的操作。图2.32停止默认共享这种清除默认共享的方法操作简便，但却不是一劳永逸的，因为在系方法2：在系统字符界面下，执行删除默认共享的命令，并将其做成一个批处理命令，放到系统的“启动”程序中。这样系统每次启动时会首先执行“启动”中的程序，就可删除系统默认共享，如图2.33所示。图2.33建立取消默认共享批处理方法2：在系统字符界面下，执行删除默认共享的命令，并将其做成方法3：通过修改注册表实现：在注册表中展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters”注册表项，双击右窗格中的“AutoShareServer”，将其键值改为“0”即可，如图2.34所示。利用这种方法清除默认共享是一劳永逸的。图2.34配置注册表取消默认共享方法3：通过修改注册表实现：在注册表中展开“HKEY_LOC②禁止建立空连接在注册表中展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA”注册表项，双击右侧窗口中的“RestrictAnonymous”，将其键值改为“1”即可，如图2.35所示。图2.35配置注册表取消空连接②禁止建立空连接图2.35配置注册表取消空连接③不显示系统最后登录的用户账户第1步：在注册表中展开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon”，右击“Winlogon”，选“新建”→“字符串值”，如图2.36所示。图2.36注册表登录项③不显示系统最后登录的用户账户图2.36注册表登录项第2步：在右侧窗口中，出现“新值#1”项，如图2.37所示。右击“新值#1”项，选择“重命名”，输入新名称“DONTDISPLAYLASTUSERNAME”；再右击该项，选择“修改”。在出现的图2.38中，将“数值数据”框中输入1，点击“确定”按钮即可。图2.37新建字符串值图2.38为新建字符串值赋值第2步：在右侧窗口中，出现“新值#1”项，如图2.37所示。④禁止光盘的自动运行在注册表中展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom”，如图2.39所示。右击右侧窗口的“AutoRun”，选择“修改”。在出现的“编辑DWORD值”的“数值数据”数据框中填入0，即可禁止光盘的自动运行。图2.39注册表中禁止光驱自动运行④禁止光盘的自动运行图2.39注册表中禁止光驱自动运行⑤防止U盘病毒传播在注册表中展开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2”，右击“MountPoints2”，选择“权限”，出现如图2.40所示权限窗口。将Administrator和Administrators的“完全控制”和“读取”权限均设置为“拒绝”，再点击“确定”按钮即可。图2.40配置MountPoints2子项权限⑤防止U盘病毒传播图2.40配置MountPoints2⑥禁止木马病毒程序的自行启动在注册表中展开“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”。右击“Run”，选择“权限”，出现如图2.41所示窗口。点击“添加”按钮，添加一个“Everyone”用户组，将“Everyone”用户组的“完全控制”和“读取”权限设置为拒绝，再点击“确定”按钮即可。图2.41配置启动子项权限⑥禁止木马病毒程序的自行启动图2.41配置启动子项权限⑦修改系统默认的TTL值由于不同操作系统默认的TTL值不同，攻击者可以根据TTL值来判断系统主机的操作系统，进而采取相应的针对特定系统的漏洞扫描等操作。为了系统的安全，有必要对默认TTL值进行修改。如果将系统默认的TTL值修改为不是表中的数值，或故意修改为其它操作系统的TTL值，那么当攻击者检测到TTL值时，再采用针对该系统的攻击工具进行攻击时当然就不会成功。⑦修改系统默认的TTL值在注册表中展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”，右击“Parameters”，选择“新建”→“DWORD值”，如图2.43所示。图2.43修改TTL之新建子项在注册表中展开“HKEY_LOCAL_MACHINE\SY将新建项命名为“defaultTTL”。右击“defaultTTL”项，选择“修改”。在出现的“编辑DWORD值”框里，将“基数”项选为“十进制”，在“数值数据”框中输入希望系统显示的TTL值，如图2.44所示。图2.44修改默认TTL值将新建项命名为“defaultTTL”。右击“default⑧禁止远程修改注册表在注册表中展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Securepipeservers\winreg”项。新建“DWORD”项，将其名称命名为“RemoteRegAccess”，其值取为“1”，如图2.46所示。这样，系统即可拒绝远程修改注册表。图2.46配置禁止远程修改注册表⑧禁止远程修改注册表图2.46配置禁止远程修改注册表⑨禁止操作注册表编辑器打开注册表“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies”，新建“system”项。在“system”项新建“DWORD”项，名称命名为“Disableregistrytools”，取值为“1”，如图2.47所示。这样，重新启动系统后，在用户操作注册表编辑器时将提示不允许操作。图2.47配置禁止使用注册表编辑器⑨禁止操作注册表编辑器图2.47配置禁止使用注册表编辑器⑩禁止操作组策略编辑器打开注册表“HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC”，在“MMC”项新建“DWORD”项，名称命名为“RestrictToPermittedSnapins”，取值为“1”，如图2.48所示。重新启动系统后，在一般用户操作组策略时将提示不允许操作。图2.48禁止使用组策略⑩禁止操作组策略编辑器图2.48禁止使用组策略2.3.2Linux系统的安全设置1．BIOS的安全设置BIOS密码后可以防止通过在BIOS改变启动顺序，而从其他设备启动。这就可以阻止别人试图用特殊的启动盘启动系统，还可以阻止别人进入BIOS改动其中的设置系统安装完毕后，除了硬盘启动外，要在BIOS中禁止除硬盘以外的任何设备启动。2.3.2Linux系统的安全设置2．加载程序的启动启动加载程序时尽量使用GRUB而不使用LILO。虽然它们都可以加入启动口令，但是L