第二操作系统安全配置.ppt

1、2020/8/14,计算机网络安全,1,第二章操作系统安全配置,操作系统的概念、安全评估 操作系统的用户安全设置 操作系统的密码安全设置 操作系统的系统安全设置 操作系统的服务安全设置 操作系统的注册表安全设置,本章要点：,2020/8/14,计算机网络安全,2,第二章操作系统安全配置,2.1 操作系统的安全问题 2.2 用户安全配置 2.3 密码安全配置 2.4 系统安全配置 2.5 服务安全配置 2.6 注册表配置 2.7 数据恢复软件,2020/8/14,计算机网络安全,3,2.1 操作系统的安全问题,操作系统是计算机资源的直接管理者，它和硬件打交道并为用户提供接口，是计算机软件的基础和

2、核心。在网络环境中，网络的安全很大程度上依赖于网络操作系统的安全性。没有网络操作系统的安全性，就没有主机系统和网络系统的安全性。因此操作系统的安全是整个计算机系统安全的基础。 操作系统安全防护研究，通常包括： 1）提供什么样的安全功能和安全服务 2）采取什么样的配置措施 3）如何保证服务得到安全配置,2020/8/14,计算机网络安全,4,2.1.1 操作系统安全概念,一般意义上，如果说一个计算机系统是安全的，那么是指该系统能够控制外部对系统信息的访问。也就是说，只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。,2020/8/14,计算机网络安全,5,操作系统的安全通常包含

3、两层意思： 1)操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等一些机制实现的安全； 2)操作系统在使用中，通过一系列的配置，保证操作系统避免由于实现时的缺陷或是应用环境因素产生的不安全因素。,2.1.1 操作系统安全概念,2020/8/14,计算机网络安全,6,2.1.2 计算机操作系统安全评估,计算机系统安全性评估标准是一种技术性法规。在信息安全这一特殊领域，如果没有这一标准，那么与此相关的立法、执法就会有失偏颇，最终会给国家的信息安全带来严重后果。 美国可信计算机安全评估标准（TCSEC），是计算机系统安全评估的第一个正式标准。 TCSEC将计算机系统的安全划分为4个等级、

4、8个级别。,2020/8/14,计算机网络安全,7,2.1.2 计算机操作系统安全评估,(1) D类安全等级：D类安全等级只包括D1一个安全类别，安全等级最低。D1系统只为文件和用户提供安全保护。最普通的形式是本地操作系统，或者是一个完全没有保护的网络。 (2) C类安全等级：该类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。C1系统通过将用户和数据分开来达到安全的目的。C2系统比C1系统加强了可调的审慎控制。在连接到网络上时，C2系统的用户分别对各自的行为负责，通过登录过程、安全事件和资源隔离来增强这种控制。,2020/8/14,计算机网络

5、安全,8,2.1.2 计算机操作系统安全评估,(3) B类安全等级：B类安全等级分为B1、B2、B3三类。B类系统具有强制性保护功能，强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。 (4) A类安全等级：目前A类安全等级只包含A1一个安全类别。其显著特征是，系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后，设计者必须运用核对技术来确保系统符合设计规范。,2020/8/14,计算机网络安全,9,2.1.3 国内的安全操作系统评估,计算机信息安全保护等级划分准则将计算机信息系统安全保护等级划分为五个级别： 1.用户自主保护级 本级的安全保护机制使用户具备自主安

6、全保护能力，保护用户和用户组信息，避免其他用户对数据的非法读写和破坏。,2020/8/14,计算机网络安全,10,2. 系统审计保护级 本级的安全保护机制具备第一级的所有安全保护功能，并创建、维护访问审计跟踪记录，以记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，使所有用户对自己行为的合法性负责。 3. 安全标记保护级 本级的安全保护机制有系统审计保护级的所有功能，并为访问者和访问对象指定安全标记，以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。,2.1.3 国内的安全操作系统评估,2020/8/14,计算机网络安全,11,4. 结构化保护级 本级具备第3

7、级的所有安全功能。并将安全保护机制划分成关键部分和非关键部分相结合的结构，其中关键部分直接控制访问者对访问对象的存取。本级具有相当强的抗渗透能力。 5. 安全域级保护级 本级的安全保护机制具备第4级的所有功能，并特别增设访问验证功能，负责仲裁访问者对访问对象的所有访问活动。本级具有极强的抗渗透能力。,2.1.3 国内的安全操作系统评估,2020/8/14,计算机网络安全,12,2.1.3 国内的安全操作系统评估,2020/8/14,计算机网络安全,13,2.1.4 操作系统的安全配置,操作系统安全配置主要是指： 1）操作系统访问控制权限的恰当设置 指利用操作系统的访问控制功能，为用户和文件系统

8、建立恰当的访问权限控制。 2）系统的及时更新 及时地更新系统，会使整个系统的安全性能、稳定性能、易用性能得到大幅度提高。 3）对于攻击的防范 随着利用操作系统安全缺陷进行攻击的方法的不断出现，操作系统和TCP/IP缺陷逐渐成为系统安全防护的一个重要内容。,2020/8/14,计算机网络安全,14,2.1.5 操作系统的安全漏洞,几乎所有的操作系统都不是十全十美的，总存在安全漏洞。 在Windows NT中，安全账户管理(SAM)数据库可以被以下用户复制：Administrator账户、Administrator组的所有成员、备份操作员、服务器操作员以及所有具有备份特权的人员。SAM数据库的一个

9、备份拷贝能够被某些工具所利用来破解口令。 Windows NT对较大的ICMP包是很脆弱的。如果发一条Ping命令，指定包的大小为64KB，Windows NT的TCP/IP栈将不会正常工作，可使系统离线直至重新启动，结果造成某些服务的拒绝访问。,2020/8/14,计算机网络安全,15,2.1.5 操作系统的安全漏洞,从操作系统的等级来看，Windows XP仍然是C级操作系统，即是一个安全等级比较低的操作系统。 Windows XP发布后，与之有关的漏洞有：通用即插即用(UPnP)拒绝服务漏洞、GDI拒绝服务漏洞、终端服务IP地址欺骗漏洞。 要想绝对避免软件漏洞是不可能的 ！,2020/8

10、/14,计算机网络安全,16,2.2 用户安全配置,主要有10类，分别描述如下： 新建用户帐号便于记忆与使用，而密码则要求有一定的长度与复杂度。,2020/8/14,计算机网络安全,17,2帐户授权对不同的帐户进行授权，使其拥有和身份相应的权限。,2.2 用户安全配置,2020/8/14,计算机网络安全,18,3停用Guest用户把Guest账号禁用，并且修改Guest帐号的属性,设置拒绝远程访问 。,2.2 用户安全配置,2020/8/14,计算机网络安全,19,4系统Administrator账号改名 防止管理员账号密码被穷举，伪装成普通用户。,2.2 用户安全配置,2020/8/14,计

11、算机网络安全,20,5创建一个陷阱用户将管理员账号权限设置最低，延缓攻击企图。,2.2 用户安全配置,2020/8/14,计算机网络安全,21,6更改默认权限将共享文件的权限从“Everyone”改成“授权用户 。,2.2 用户安全配置,2020/8/14,计算机网络安全,22,7不显示上次登录用户名防止密码猜测，打开注册表编辑器并找到注册表项“HKEY_CURRENTSoftwareMicrosoftWindows NTCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的键值改成1。,2.2 用户安全配置,2020/8/14,计算机

12、网络安全,23,8限制用户数量减少入侵突破口，账户数不大于10 。 9多个管理员帐号 减少管理员账号使用时间，避免被破解 。 创建一个一般用户权限帐号用来处理电子邮件及处理一些日常事务，创建另一个有Administrator权限的帐户在需要的时候使用。,2.2 用户安全配置,2020/8/14,计算机网络安全,24,10开启用户策略 可以有效的防止字典式攻击 。 当某一用户连续5次录都失败后将自动锁定该帐户，30分钟后自动复位被锁定的帐户。,2.2 用户安全配置,2020/8/14,计算机网络安全,25,2.3 密码安全配置,主要有4类，分别描述如下： 安全密码 创建帐号时不用公司名、计算机名

13、、或者一些别的容易猜到的字符做用户名，密码设置要复杂。 安全期内无法破解出来的密码就是安全密码（密码策略是42天必须改密码） 。,2020/8/14,计算机网络安全,26,2开启密码策略 对不同的帐户进行授权，使其拥有和身份相应的权限。,2.3 密码安全配置,2020/8/14,计算机网络安全,27,3设置屏幕保护密码 防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序浪费系统资源，黑屏就可以了 。,2.3 密码安全配置,2020/8/14,计算机网络安全,28,4加密文件或文件夹 用加密工具来保护文件和文件夹，以防别人偷看 。,2.3 密码安全配置,2020/

14、8/14,计算机网络安全,29,2.4 系统安全配置,主要有11类，分别描述如下： 使用NTFS格式分区 所有分区都改成NTFS格式，NTFS文件系统要比FAT、FAT32的文件系统安全得多。,2020/8/14,计算机网络安全,30,2运行防毒软件 不仅可杀掉一些著名的病毒，还能查杀大量木马和后门程序。要注意经常运行程序并升级病毒库。,2.4 系统安全配置,2020/8/14,计算机网络安全,31,3下载最新的补丁经常访问微软和一些安全站点，下载最新的Service Pack和漏洞补丁。,2.4 系统安全配置,2020/8/14,计算机网络安全,32,4关闭默认共享 防止利用默认共享入侵。,

15、2.4 系统安全配置,2020/8/14,计算机网络安全,33,5锁定注册表 防止黑客从远程访问注册表。修改Hkey_current_user下的子键：SoftwareMicrosoftwindowscurrentversionpoliciessystem，把DisableRegistryTools值改为0，类型为DWORD。,2.4 系统安全配置,2020/8/14,计算机网络安全,34,6禁止从软盘和光驱启动系统 一些第三方的工具能通过引导系统来绕过原有的安全机制 。 利用安全配置工具来配置安全策略 利用基于MMC（管理控制台）安全配置和分析工具配置服务器。 ,2.4 系统安全配置,202

16、0/8/14,计算机网络安全,35,8开启审核策略 用安全审核来记录入侵日志。,2.4 系统安全配置,2020/8/14,计算机网络安全,36,9加密Temp 文件夹 给Temp文件夹加密可以给文件多一层保护。 10使用智能卡 用智能卡来代替复杂的密码。 11使用IPSec 提供IP数据包的安全性。它提供身份验证、完整性和可选择的机密性。 利用IPSec可以使得系统的安全性能大大增强。 IPsec 在 IP 层提供安全服务，它使系统能按需选择安全协议，决定服务所使用的算法及放置需求服务所需密钥到相应位置。 IPsec 用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径

17、。 这些服务均在 IP 层提供，所以任何高层协议均能使用它们，例如 TCP 、 UDP 、ICMP 、 BGP 等等。,2.4 系统安全配置,2020/8/14,计算机网络安全,37,2.5 服务安全配置,主要有5类，分别描述如下： 关闭不必要的端口 减少被入侵的算途径，系统目录中的system32driversetcservices文件中有知名端口和服务的对照表可供参考。 如何设置本机开放的端口和服务？,2020/8/14,计算机网络安全,38,2.5 服务安全配置,2020/8/14,计算机网络安全,39,2设置好安全记录的访问权限 安全记录在默认情况下是没有保护的，把它设置成只有Admi

18、nistrators和系统账户才有权访问。,2.5 服务安全配置,2020/8/14,计算机网络安全,40,3备份敏感文件有必要把一些重要的用户数据（存放在另外一个安全的服务器中，并且经常备份它们。 4禁止建立空连接默认情况下，任何用户都可通过空连接连上服务器，进而枚举出账号，猜测密码。我们可以通过修改注册表来禁止建立空连接：即把Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous的值改成“1”即可。,2.5 服务安全配置,2020/8/14,计算机网络安全,41,5关闭不必要的服务 防止恶意程序以服务方式悄悄地运行服务器上的终端服务，要确认已经正确配置了终端服务。 Windows 2000作为服务器可禁用的服务及其相关说明如表所示。,2.5 服务安全配置,2020/8/14,计算机网络安全,42,2.6 注册表配置,涉及到5类注册表配置，如下： 1关机时清除文件页面文件中可能含有另外一些敏感产资料，因此要在关机的时候清除页面文件。 编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键 SystemCurrentControlSetControlControlSessionManage/Memory Management 把ClearPageFi