操作系统安全基础课件.ppt

第八章操作系统安全基础,8,内容提要,本章介绍Windows2000服务器的安全配置。操作系统的安全将决定网络的安全，从保护级别上分成安全初级篇、中级篇和高级篇，共36条基本配置原则。安全配置初级篇讲述常规的操作系统安全配置，中级篇介绍操作系统的安全策略配置，高级篇介绍操作系统安全信息通信配置。,操作系统概述,目前服务器常用的操作系统有三类：UnixLinuxWindows这些操作系统都是符合C2级安全级别的操作系统。但是都存在不少漏洞，如果对这些漏洞不了解，不采取相应的措施，就会使操作系统完全暴露给入侵者。,安全级别列表,UNIX系统,UNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统。UNIX诞生于20世纪60年代末期，贝尔实验室的研究人员于1969年开始在GE645计算机上实现一种分时操作系统的雏形，后来该系统被移植到了DEC的PDP-7小型机上。1970年给系统正式取名为Unix操作系统。到1973年，Unix系统的绝大部分源代码都用C语言重新编写过，大大提高了Unix系统的可移植性，也为提高系统软件的开发效率创造了条件。,主要特色,UNIX操作系统经过20多年的发展后，已经成为一种成熟的主流操作系统，并在发展过程中逐步形成了一些新的特色，其中主要特色包括5个方面。（1）可靠性高（2）极强的伸缩性（3）网络功能强（4）强大的数据库支持功能（5）开放性好,Linux系统,Linux是一套可以免费使用和自由传播的类Unix操作系统，主要用于基于Intelx86系列CPU的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。Linux最早开始于一位名叫LinusTorvalds的计算机业余爱好者，当时他是芬兰赫尔辛基大学的学生。目的是想设计一个代替Minix（是由一位名叫AndrewTannebaum的计算机教授编写的一个操作系统示教程序）的操作系统。这个操作系统可用于386、486或奔腾处理器的个人计算机上，并且具有Unix操作系统的全部功能。,Linux是一个免费的操作系统，用户可以免费获得其源代码，并能够随意修改。它是在共用许可证GPL(GeneralPublicLicense)保护下的自由软件，也有好几种版本，如RedHatLinux、Slackware，以及国内的XteamLinux、红旗Linux等等。Linux的流行是因为它具有许多优点，典型的优点有7个。,Linux典型的优点有7个。,（1）完全免费（2）完全兼容POSIX1.0标准（3）多用户、多任务（4）良好的界面（5）丰富的网络功能（6）可靠的安全、稳定性能（7）支持多种平台,Windows系统,WindowsNT（NewTechnology）是微软公司第一个真正意义上的网络操作系统，发展经过NT3.0、NT40、NT5.0（Windows2000）和NT6.0（Windows2003）等众多版本，并逐步占据了广大的中小网络操作系统的市场。WindowsNT众多版本的操作系统使用了与Windows9X完全一致的用户界面和完全相同的操作方法，使用户使用起来比较方便。与Windows9X相比，WindowsNT的网络功能更加强大并且安全。,WindowsNT系列操作系统,WindowsNT系列操作系统具有以下三方面的优点。（1）支持多种网络协议由于在网络中可能存在多种客户机，如Windows95/98、AppleMacintosh、Unix、OS/2等等，而这些客户机可能使用了不同的网络协议，如TCP/IP协议、IPX/SPX等。WindowsNT系列操作支持几乎所有常见的网络协议。（2）内置Internet功能随着Internet的流行和TCP/IP协议组的标准化，WindowsNT内置了IIS（InternetInformationServer），可以使网络管理员轻松的配置WWW和FTP等服务。（3）支持NTFS文件系统Windows9X所使用的文件系统是FAT，在NT中内置同时支持FAT和NTFS的磁盘分区格式。使用NTFS的好处主要是可以提高文件管理的安全性，用户可以对NTFS系统中的任何文件、目录设置权限，这样当多用户同时访问系统的时候，可以增加文件的安全性。,系统安全概述脆弱性分析技术的脆弱性配置的脆弱性管理的脆弱性,安全操作系统的基本概念,安全操作系统涉及很多概念：主体和客体安全策略和安全模型访问监控器和安全内核以及可信计算基。,主体和客体,操作系统中的每一个实体组件都必须是主体或者是客体，或者既是主体又是客体。主体是一个主动的实体，它包括用户、用户组、进程等。系统中最基本的主体应该是用户（包括一般用户和系统管理员、系统安全员、系统审计员等特殊用户）。每个进入系统的用户必须是惟一标识的，并经过鉴别确定为真实的。系统中的所有事件要求，几乎全是由用户激发的。进程是系统中最活跃的实体，用户的所有事件要求都要通过进程的运行来处理。在这里，进程作为用户的客体，同时又是其访问对象的主体。客体是一个被动的实体。在操作系统中，客体可以是按照一定格式存储在一定记录介质上的数据信息（通常以文件系统格式存储数据），也可以是操作系统中的进程。操作系统中的进程（包括用户进程和系统进程）一般有着双重身份。当一个进程运行时，它必定为某一用户服务直接或间接的处理该用户的事件要求。于是，该进程成为该用户的客体，或为另一进程的客体（这时另一进程则是该用户的客体）,安全策略和安全模型,安全策略与安全模型是计算机安全理论中容易相互混淆的两个概念。安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细则。例如，可以将安全策略定为：系统中的用户和信息被划分为不同的层次，一些级别比另一些级别高；而且如果主体能读访问客体，当且仅当主体的级别高于或等于客体的级别；如果主体能写访问客体，当且仅当主体的级别低于或等于客体的级别。安全模型则是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全策略和安全策略实现机制的关联提供了一种框架。安全模型描述了对某个安全策略需要用哪种机制来满足；而模型的实现则描述了如何把特定的机制应用于系统中，从而实现某一特定安全策略所需的安全保护。,访问监控器,访问控制机制的理论基础是访问监控器（ReferenceMonitor），由J.P.Anderson首次提出。访问监控器是一个抽象概念，它表现的是一种思想。J.P.Anderson把访问监控器的具体实现称为引用验证机制，它是实现访问监控器思想的硬件和软件的组合,安全内核,安全内核是实现访问监控器概念的一种技术，在一个大型操作系统中，只有其中的一小部分软件用于安全目的是它的理论依据。所以在重新生成操作系统过程中，可用其中安全相关的软件来构成操作系统的一个可信内核，称之为安全内核。安全内核必须予以适当的保护，不能篡改。同时绝不能有任何绕过安全内核存取控制检查的存取行为存在。此外安全内核必须尽可能地小，便于进行正确性验证。安全内核由硬件和介于硬件和操作系统之间的一层软件组成。,可信计算基,操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬件。这些软件、硬件和负责系统安全管理的人员一起组成了系统的可信计算基（TrustedComputingBase，TCB）。具体来说可信计算基由以下7个部分组成：1.操作系统的安全内核。2.具有特权的程序和命令。3.处理敏感信息的程序，如系统管理命令等。4.与TCB实施安全策略有关的文件。5.其它有关的固件、硬件和设备。6.负责系统管理的人员。7.保障固件和硬件正确的程序和诊断软件。,1Windows系统的安全架构2Windows的安全子系统3Windows的账户及密码系统4Windows的权利与权限5Windows的系统服务和进程6Windows的日志系统,Windows系统安全机制,1.Windows系统的安全架构,6个主要的安全服务：Audit（审计）,Administration（管理）,Encryption（加密）,AccessControl（访问控制）,UserAuthentication（用户身份验证）,CorporateSecurityPolicyCorporateSecurityPolicy（安全组策略）。,1.1Windows系统的安全组件,C2级别的操作系统中所包含的安全组件：访问控制的判断（Discretionaccesscontrol）Windows支持对象的访问控制的判断。这些需求包括允许对象的所有者可以控制谁被允许访问该对象以及访问的方式。对象重用（Objectreuse）当资源（内存、磁盘等）被某应用访问时，Windows禁止所有的系统应用访问该资源，这也就是为什么WindowsNT禁止undelete已经被删除的文件的原因。强制登陆（Mandatorylogon）与WindowsforWorkgroups，Windwows95，Windows98不同，Windows2K/NT要求所有的用户必须登陆，通过认证后才可以访问资源。由于网络连接缺少强制的认证，所以Windows作为C2级别的操作系统必须是未连网的。审核（Auditing）WindowsNT在控制用户访问资源的同时，也可以对这些访问作了相应的记录。对象的访问控制（Controlofaccesstoobject）WindowsNT不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。,1.2Windows系统的对象,为了实现自身的安全特性，Windows2K/NT把所有的资源作为系统的特殊的对象。这些对象包含资源本身，Windows2K/NT提供了一种访问机制去使用它们。Microsoft的安全就是基于以下的法则：用对象表现所有的资源只有Windows2K/NT才能直接访问这些对象对象能够包含所有的数据和方法对象的访问必须通过Windows2K/NT的安全子系统的第一次验证存在几种单独的对象，每一个对象的类型决定了这些对象能做些什么Windows中首要的对象类型有：文件文件夹打印机I/O设备窗口线程进程内存这些安全构架的目标就是实现系统的牢固性。从设计来考虑，就是所有的访问都必须通过同一种方法认证，减少安全机制被绕过的机会。,2.Windows安全子系统,(执行服务),（接口和播放）,（内核）,（硬件提取层）,Windows安全子系统的组件,WindowsNT安全子系统包含五个关键的组件：Securityidentifiers，Accesstokens，Securitydescriptors，Accesscontrollists，AccessControlEntries。安全标识符（SecurityIdentifiers）:就是我们经常说的SID，每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID，当你重新安装WindowsNT后，也会得到一个唯一的SID。SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。例：S-1-5-21-1763234323-3212657521-1234321321-500访问令牌（Accesstokens）:用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给WindowsNT，然后WindowsNT检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，WindowsNT将会分配给用户适当的访问权限。访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。,安全描述符（Securitydescriptors）：WindowsNT中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。访问控制列表（Accesscontrollists）：访问控制列表有两种：任意访问控制列表（DiscretionaryACL）、系统访问控制列表（SystemACL）。任意访问控制列表包含了用户和组的列表，以及相应的权限，允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的，包含了对象被访问的时间。访问控制项（Accesscontrolentries）:访问控制项（ACE）包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。当你使用管理工具列出对象的访问权限时，列表的排序是以文字为顺序的，它并不象防火墙的规则那样由上往下的，不过好在并不会出现冲突，拒绝访问总是优先于允许访问的。,2.1Windows安全子系统的身份认证,WinlogonGraphicalIdentificationandAuthenticationDLL(GINA)图形辨认和鉴定动态链接LocalSecurityAuthority(LSA)本地安全认证SecuritySupportProviderInterface(SSPI)AuthenticationPackagesSecuritysupportprovidersNetlogonServiceSecurityAccountManager(SAM),Windows安全子系统的身份认证架构示意图,Winlogon,LocalSecurityAuthorit以及Netlogon作为服务运行，其他的以DLL方式被这些文件调用。,WinlogonandGina:,Winlogon调用GINADLL，并监视安全认证序列。而GINADLL提供一个交互式的界面为用户登陆提供认证请求。GINADLL被设计成一个独立的模块，当然我们也可以用一个更加强有力的认证方式（指纹、视网膜）替换内置的GINADLL。Winlogon在注册表中查找HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon，如果存在GinaDLL键，Winlogon将使用这个DLL，如果不存在该键，Winlogon将使用默认值MSGINA.DLL,本地安全认证（LocalSecurityAuthority）,本地安全认证（LSA）是一个被保护的子系统，它负责以下任务：调用所有的认证包，检查在注册表HKLMSYSTEMCurrentControlSetControlLSA下AuthenticationPAckages下的值，并调用该DLL进行认证（MSV_1.DLL）。在4.0版里，WindowsNT会寻找HKLMSYSTEMCurrentControlSetControlLSA下所有存在的SecurityPackages值并调用。重新找回本地组的SIDs和用户的权限。创建用户的访问令牌。管理本地安装的服务所使用的服务账号。储存和映射用户权限。管理审核的策略和设置。管理信任关系。,安全支持提供者的接口（SecuritySupportProvideInterface）,微软的SecuritySupportProvideInterface很简单地遵循RFC2743和RFC2744的定义，提供一些安全服务的API，为应用程序和服务提供请求安全的认证连接的方法(Kerberos/NTLM)。,认证包（AuthenticationPackage）,认证包可以为真实用户提供认证。通过GINADLL的可信认证后，认证包返回用户的SIDs给LSA，然后将其放在用户的访问令牌中。,安全支持提供者（SecuritySupportProvider）,安全支持提供者是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，WindowsNT安装了以下三种：Msnsspc.dll：微软网络挑战/反应认证模块Msapsspc.dll：分布式密码认证挑战/反应模块，该模块也可以在微软网络中使用Schannel.dll：该认证模块使用某些证书颁发机构提供的证书来进行验证，常见的证书机构比如Verisign。这种认证方式经常在使用SSL（SecureSocketsLayer）和PCT（PrivateCommunicationTechnology私有信息技术）协议通信的时候用到。,网络登陆（Netlogon）,网络登陆服务必须在通过认证后建立一个安全的通道。要实现这个目标，必须通过安全通道与域中的域控制器建立连接，然后，再通过安全的通道传递用户的口令，在域的域控制器上响应请求后，重新取回用户的SIDs和用户权限。,安全账号管理者（SecurityAccountManager）,安全账号管理者，也就是我们经常所说的SAM，它是用来保存用户账号和口令的数据库。保存了注册表中HKLMSecuritySam中的一部分内容。不同的域有不同的Sam，在域复制的过程中，Sam包将会被拷贝。,2.2Windows身份认证机制,LanManager认证(称为LM协议)早期版本NTLMv1认证协议NT4.0SP3之前的版本NTLMv2认证协议NT4.0SP4开始支持Kerberosv5认证协议Windows2000活动目录,NTLM身份认证过程,1、客户端首先在本地加密自己的密码成为密码散列2、客户端向服务器发送自己的帐号，这个帐号是没有经过加密的，明文直接传输。3、服务器产生一个16位的随机数字发送给客户端，作为一个challenge(挑战)4、客户端再用加密后的密码散列来加密这个challenge，然后把这个返回给服务器，作为response。5、服务器把用户名、给客户端的challenge、客户端返回的response这三个东西，发送域控制器6、域控制器用这个用户名在SAM密码管理库中找到这个用户的密码散列，然后使用这个密码散列来加密challenge。7、域控制器比较两次加密的challenge，如果一样，那么认证成功。,KerberosV5,注:KDC-密钥分配中心;TGT-使用密钥;ST-服务票据.,3.Windows的账户及密码系统,windowsNT及win2000中对用户帐户的安全管理使用了安全帐号管理器(securityaccountmanager)的机制,安全帐号管理器对帐号的管理是通过安全标识进行的，安全标识在帐号创建时就同时创建，一旦帐号被删除，安全标识也同时被删除。安全标识是唯一的，即使是相同的用户名，在每次创建时获得的安全标识都是完全不同的。因此，一旦某个帐号被删除，它的安全标识就不再存在了，即使用相同的用户名重建帐号，也会被赋予不同的安全标识，不会保留原来的权限。,4.Windows的权利和权限,网络安全性依赖于给用户或组授予的能力：权利:在系统上完成特定动作的授权，一般由系统指定给内置组，但也可以由管理员将其扩大到组和用户上。权限:用户或组对于文件系统的访问能力。共享:用户可以通过网络使用的文件夹。,Windows系统的用户权利,权利适用于对整个系统范围内的对象和任务的操作，通常是用来授权用户执行某些系统任务。当用户登录到一个具有某种权利的帐号时，该用户就可以执行与该权利相关的任务。下面列出了用户的特定权利：Accessthiscomputerfromnetwork可使用户通过网络访问该计算机。Addworkstationtoadomain允许用户将工作站添加到域中。Backupfilesanddirectories授权用户对计算机的文件和目录进行备份。Changethesystemtime用户可以设置计算机的系统时钟。Loadandunloaddevicedrive允许用户在网络上安装和删除设备的驱动程序。Restorefilesanddirectories允许用户恢复以前备份的文件和目录。Shutdownthesystem允许用户关闭系统。,Windows系统的用户权限,权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作，指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。下表显示了这些任务是如何与各种权限级别相关联的。,Windows系统的用户权限关联表一,如果对目录有Execute(X)权限，表示可以穿越目录，进入其子目。,Windows系统的用户权限关联表二,Windows系统的共享权限,共享只适用于文件夹（目录），如果文件夹不是共享的，那么在网络上就不会有用户看到它，也就更不能访问。网络上的绝大多数服务器主要用于存放可被网络用户访问的文件和目录，要使网络用户可以访问在NTServer服务器上的文件和目录，必须首先对它建立共享。共享权限建立了通过网络对共享目录访问的最高级别。,Windows系统的共享权限列表,5.Windows的系统服务,单击“开始”，指向“设置”，然后单击“控制面板”。双击“管理工具”，然后双击“服务”。在列表框中显示的是系统可以使用的服务。Windows2k下可以在命令行中输入services.msc打开服务列表。,服务类型,服务包括三种启动类型：自动，手动，已禁用。自动-Windows2000启动的时候自动加载服务手动-Windows2000启动的时候不自动加载服务，在需要的时候手动开启已禁用-Windows2000启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置双击需要进行配置的服务，出现下图所示的属性对话框：,系统服务在注册表下的设置,在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService底下每一笔服务项目子项都有一个Start数值,这个数值的内容依照每一个服务项目的状况而又有不同。Start数值内容所记录的就是服务项目驱动程式该在何时被加载。目前微软对Start内容的定义有0、1、2、3、4等五种状态,0、1、2分别代表Boot、System、AutoLoad等叁种意义。而Start数值内容为3的服务项目代表让使用者以手动的方式载入(Loadondemand),4则是代表停用的状态,也就是禁用。,6.Windows的系统进程,基本的系统进程smss.exeSessionManagercsrss.exe子系统服务器进程winlogon.exe管理用户登录services.exe包含很多系统服务lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。(系统服务)svchost.exe包含很多系统服务spoolsv.exe将文件加载到内存中以便迟后打印。(系统服务)explorer.exe资源管理器internat.exe输入法,附加的系统进程（这些进程不是必要的）mstask.exe允许程序在指定时间运行。(系统服务)regsvc.exe允许远程注册表操作。(系统服务)winmgmt.exe提供系统管理信息(系统服务)。inetinfo.exe通过Internet信息服务的管理单元提供FTP连接和管理。(系统服务)tlntsvr.exe允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在服务器上的基于Windows的程序。(系统服务)dns.exe应答对域名系统(DNS)名称的查询和更新请求。(系统服务)tcpsvcs.exe提供在PXE可远程启动客户计算机上远程安装Windows2000Professional的能力。(系统服务)ismserv.exe允许在WindowsAdvancedServer站点间发送和接收消息。(系统服务),ups.exe管理连接到计算机的不间断电源(UPS)。(系统服务)wins.exe为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称服务。(系统服务)llssrv.exeLicenseLoggingService(systemservice)ntfrs.exe在多个服务器间维护文件目录内容的文件同步。(系统服务)RsSub.exe控制用来远程储存数据的媒体。(系统服务)locator.exe管理RPC名称服务数据库。(系统服务)lserver.exe注册客户端许可证。(系统服务)dfssvc.exe管理分布于局域网或广域网的逻辑卷。(系统服务)clipsrv.exe支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)msdtc.exe并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)faxsvc.exe帮助您发送和接收传真。(系统服务)cisvc.exeIndexingService(systemservice)dmadmin.exe磁盘管理请求的系统管理服务。(系统服务)mnmsrvc.exe允许有权限的用户使用NetMeeting远程访问Windows桌面。(系统服务)netdde.exe提供动态数据交换(DDE)的网络传输和安全特性。(系统服务),smlogsvc.exe配置性能日志和警报。(系统服务)rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)RsEng.exe协调用来储存不常用数据的服务和管理工具。(系统服务)RsFsa.exe管理远程储存的文件的操作。(系统服务)grovel.exe扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)SCardSvr.exe对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)snmptrap.exe接收由本地或远程SNMP代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上SNMP管理程序。(系统服务)UtilMan.exe从一个窗口中启动和配置辅助工具。(系统服务)msiexec.exe依据.MSI文件中包含的命令来安装、修复以及删除软件。(系统服务),Windows的Log系统,Windows有三种类型的事件日志：系统日志跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。应用程序日志跟踪应用程序关联的事件，比如应用程序产生的象装载DLL（动态链接库）失败的信息将出现在日志中。安全日志跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意：安全日志的默认状态是关闭的。,Windows2000下本地安全策略-审核策略中打开相应的审核推荐的审核是：账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败,一款不错的安全工具FPORT,系统自带netstat查看机器开放的端口，也可以任务管理器来查看当前机器的进程，但是这两个东西都有自身的缺点，由于netstat由于设计的原因很多开放的端口无法查出，而使用任务管理器的时候只能查看到进程的名字，如果一个恶意的攻击者把木马命名为svchost.exe,dllhost.exe，这样就能很好麻痹一些管理员，由于这些文件可能在一台web服务器上存在多个进程，然后给这个木马定义一个很象RPC的端口，不仔细查真的很难查找得到，FPORT就弥补了netstat和taskbar的不足该软件可以得到所有端口对应的文件有完整的路径名，可以避免有些木马程序使用系统服务的文件名，而将其放在非系统目录，无法在TaskManager里察觉，这个时候FPort的优势就体体现出来了.,FPORT的运行示例,安全配置方案初级篇,安全配置方案初级篇主要介绍常规的操作系统安全配置，包括十二条基本配置原则：物理安全、停止Guest帐号、限制用户数量创建多个管理员帐号、管理员帐号改名陷阱帐号、更改默认权限、设置安全密码屏幕保护密码、使用NTFS分区运行防毒软件和确保备份盘安全。,1、物理安全,服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在安全的地方。,2、停止Guest帐号,在计算机管理的用户里面把Guest帐号停用，任何时候都不允许Guest帐号登陆系统。为了保险起见，最好给Guest加一个复杂的密码，可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串。用它作为Guest帐号的密码。并且修改Guest帐号的属性，设置拒绝远程访问，如图所示。,2019/12/16,60,可编辑,2019/12/16,61,可编辑,3限制用户数量,去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。帐户很多是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。对于WindowsNT/2000主机，如果系统帐户超过10个，一般能找出一两个弱口令帐户，所以帐户数量不要大于10个。,4多个管理员帐号,虽然这点看上去和上面有些矛盾，但事实上是服从上面规则的。创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物，另一个拥有Administrator权限的帐户只在需要的时候使用。因为只要登录系统以后，密码就存储再WinLogon进程中，当有其他用户入侵计算机的时候就可以得到登录用户的密码，尽量减少Administrator登录的次数和时间。,5管理员帐号改名,Windows2000中的Administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone。具体操作的时候只要选中帐户名改名就可以了，如图所示。,6陷阱帐号,所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组，如图所示。,7更改默认权限,共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。设置某文件夹共享默认设置如图所示。,8安全密码,好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。一些网络管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，比如：“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。这里给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。,9屏幕保护密码,设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。将屏幕保护的选项“密码保护”选中就可以了，并将等待时间设置为最短时间“1秒”，如图所示。,10NTFS分区,把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。,11防毒软件,Windows2000/NT服务器一般都没有安装防毒软件的，一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。设置了放毒软件，“黑客”们使用的那些有名的木马就毫无用武之地了，并且要经常升级病毒库。,12备份盘的安全,一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。不能把资料备份在同一台服务器上，这样的话还不如不要备份。,安全配置方案中级篇,安全配置方案中级篇主要介绍操作系统的安全策略配置，包括十条基本配置原则：操作系统安全策略、关闭不必要的服务关闭不必要的端口、开启审核策略开启密码策略、开启帐户策略、备份敏感文件不显示上次登陆名、禁止建立空连接和下载最新的补丁,1操作系统安全策略,利用Windows2000的安全配置工具来配置安全策略，微软提供了一套的基于管理控制台的安全配置和分析工具，可以配置服务器的安全策略。在管理工具中可以找到“本地安全策略”，主界面如图所示。可以配置四类安全策略：帐户策略、本地策略、公钥策略和IP安全策略。在默认的情况下，这些策略都是没有开启的。,2关闭不必要的服务,Windows2000的TerminalServices（终端服务）和IIS（Internet信息服务）等都可能给系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果开了，要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。Windows2000作为服务器可禁用的服务及其相关说明下表所示。,Windows2000可禁用的服务,3关闭不必要的端口,关闭端口意味着减少功能，如果服务器安装在防火墙的后面，被入侵的机会就会少一些，但是不可以认为高枕无忧了。用端口扫描器扫描系统所开放的端口，在Winntsystem32driversetcservices文件中有知名端口和服务的对照表可供参考。该文件用记事本打开如图所示。,设置本机开放的端口和服务，在IP地址设置窗口中点击按钮“高级”，如图所示。,在出现的对话框中选择选项卡“选项”，选中“TCP/IP筛选”，点击按钮“属性”，如图所示。,设置端口界面如图所示。一台Web服务器只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙，功能比较强大，可以替代防火墙的部分功能。,4开启审核策略,安全审核是Windows2000最基本的入侵检测方法。当有人尝试对系统进行某种方式（如尝试用户密码，改变帐户策略和未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下表的这些审核是必须开启的，其他的可以根据需要增加。,审核策略默认设置,审核策略在默认的情况下都是没有开启的，如图所示。,双击审核列表的某一项，出现设置对话框，将复选框“成功”和“失败”都选中，如图所示。,5开启密码策略,密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如表所示,设置选项如图所示。,6开启帐户策略,开启帐户策略可以有效的防止字典式攻击，设置如表所示。,设置帐户策略,设置的结果如图所示。,7备份敏感文件,把敏感文件存放在另外的文件服务器中，虽然服务器的硬盘容量都很大，但是还是应该考虑把一些重要的用户数据（文件，数据表和项目文件等）存放在另外一个安全的服务器中，并且经常备份它们,8不显示上次登录名,默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户名，本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名，进而做密码猜测。修改注册表禁止显示上次登录名，在HKEY_LOCAL_MACHINE主键下修改子键：SoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName，将键值改成1，如图所示。,9禁止建立空连接,默认情况下，任何用户通过空连接连上服务器，进而可以枚举出帐号，猜测密码。可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修改子键：SystemCurrentControlSetControlLSARestrictAnonymous，将键值改成“1”即可。如图所示。,10下载最新的补丁,很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的Windows2000不出一点安全漏洞。经常访问微软和一些安全站点，下载最新的ServicePack和漏洞补丁，是保障服务器长久安全的唯一方法。,安全配置方案高级篇,高级篇介绍操作系统安全信息通信配置，包括十四条配置原则：关闭DirectDraw、关闭默认共享禁用DumpFile、文件加密系统加密Temp文件夹、锁住注册表、关机时清除文件禁止软盘光盘启动、使用智能卡、使用IPSec禁止判断主机类型、抵抗DDOS禁止Guest访问日志和数据恢复软件,1关闭DirectDraw,C2级安全标准对视频卡和内存有要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏），但是对于绝大多数的商业站点都是没有影响的。在HKEY_LOCAL_MACHINE主键下修改子键：SYSTEMCurrentControlSetControlGraphicsDriversDCITimeout，将键值改为“0”即可，如图所示。,2关闭默认共享,Windows2000安装以后，系统会创建一些隐藏的共享，可以在DOS提示符下输入命令NetShare查看，如图所示。,停止默认共享,禁止这些共享，打开管理工具计算机管理共享文件夹共享，在相应的共享文件夹上按右键，点停止共享即可，如图所示。,3禁用Dump文件,在系统崩溃和蓝屏的时候，Dump文件是一份很有用资料，可以帮助查找问题。然而，也能够给黑客提供一些敏感信息，比如一些应用程序的密码等需要禁止它，打开控制面板系统属性高级启动和故障恢复，把写入调试信息改成无，如图所示。,4文件加密系统,Windows2000强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。微软公司为了弥补WindowsNT4.0的不足，在Windows2000中，提供了一种基于新一代NTFS：NTFSV5（第5版本）的加密文件系统（EncryptedFileSystem，简称EFS）。EFS实现的是一种基于公共密钥的数据加密方式，利用了Windows2000中的CryptoAPI结构。,5加密Temp文件夹,一些应用程序在安装和升级的时候，会把一些东西拷贝到Temp文件夹，但是当程序升级完毕或关闭的时候，并不会自己清除Temp文件夹的内容。所以，给Temp文件夹加密可以给你的文件多一层保护。,6锁住注册表,在Windows2000中，只有Administrators和BackupOperators才有从网络上访问注册表的权限。当帐号的密码泄漏以后，黑客也可以在远程访问注册表，当服务器放到网络上的时候，一般需要锁定注册表。修改Hkey_current_user下的子键SoftwaremicrosoftwindowscurrentversionPoliciessystem把DisableRegistryTools的值该为0，类型为DWORD，如图所示。,7关机时清除文件,页面文件也就是调度文件，是Windows2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中可能含有另外一些敏感的资料。要在关机的时候清楚页面文件，可以编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键：SYSTEMCurrentControlSetControlSessionManagerMemoryManagement把ClearPageFileAtShutdown的值设置成1，如图所示。,8禁止软盘光盘启动,一些第三方的工具能通过引导系统来绕过原有的安全机制。比如一些管理员工具，从软盘上或者光盘上引导系统以后，就可以修改硬盘上操作系统的管理员密码。如果服务器对安全要求非常高，可以考虑使用可移动软盘和光驱，把机箱锁起来仍然不失为一个好方法。,9使用智能卡,对于密码，总是使安全管理员进退两难，容易受到一些工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。,10使用IPSec,正如其名字的含义，IPSec提供IP数据包的安全性。IPSec提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPS