服务器安全防范体系.ppt

服务器安全防范体系 2011年11月 2020年2月2日 服务器安全培训索引 Pages 2 培训目录 第一讲 安全基础知识第二讲 服务器安全规范第三讲 操作系统安全第四讲 常见应用安全第五讲 操作实践 2020年2月2日 服务器安全培训索引 Pages 3 安全基础知识 主要内容 1 信息安全的概念安全问题产生的根源安全漏洞的威胁常见的攻击方式扫描 扫描目的 使用工具获取信息网络监听 监听原理与作用拒绝服务 SynFlood udpFlood IcmpFlood木马 木马的概念 入侵途径 隐藏方式 特洛依木马简介SQL注入 讲解SQL注入的思路与过程 防范SQL注入的方法 2020年2月2日 服务器安全培训索引 Pages 4 安全基础知识 主要内容 2 主要安全技术防火墙技术简介 包过滤 应用层网关 状态检测 优缺点入侵检测技术简介主机入侵检测 网络入侵检测扫描技术简介扫描器分类 工作原理 端口扫描 2020年2月2日 服务器安全培训索引 Pages 5 服务器安全规范 主要内容 1 服务器维护安全规范口令安全访问控制安全责任的划分安全检查服务器上禁止操作行为系统日志管理安全隐患通告系统安全设置的问题补丁管理流程Autoup Octopod简介 对比补丁的下载 测试 上传 分发过程补丁光盘的制作 2020年2月2日 服务器安全培训索引 Pages 6 服务器安全规范 主要内容 2 目前采取的安全措施简介日常监控 补丁管理 访问控制主机安全配置 安全检查漏洞扫描 漏洞跟踪与分析 安全通告安全控管 octopod HIDS 防病毒备份 日志集中典型安全事件介绍两个公司发生过的安全事件 2020年2月2日 服务器安全培训索引 Pages 7 操作系统安全 主要内容 1 Windows系统安全Windows安全特性内建帐号 内建组 SAM SIDNTFS 用户权利 权限 共享权限Windows系统服务与进程 日志系统Windows安装配置过程 介绍安全原则性的内容 2020年2月2日 服务器安全培训索引 Pages 8 操作系统安全 主要内容 2 Linux系统安全Linux帐号安全 口令安全用户与UID 用户组与GID文件类型 文件的权限加强Linux安全的几点建议关闭不必要的服务 远程维护openssh启用syslog 升级主要应用查看登录情况 网络连接 进程 系统资源iptables策略 2020年2月2日 服务器安全培训索引 Pages 9 常见应用安全 主要内容 1 Web安全 IIS 概述 漏洞 IIS组件的安装IIS安全加固删除 默认站点 示例文件 默认脚本 无用脚本映射IIS工作目录修改 启用web日志 更改日志路径Web站点权限设置 http500错误重定向禁用WebDav 启用ipsec保护 2020年2月2日 服务器安全培训索引 Pages 10 常见应用安全 主要内容 2 数据库安全 SQLServer2000 补丁管理新装数据库服务器的补丁要求老数据库服务器的补丁要求口令策略数据库日志去除部分危险扩展存储过程数据库的端口保护 2020年2月2日 服务器安全培训索引 Pages 11 操作实践 主要内容 讲解 演示以下内容 服务器安全配置过程 依据服务器安全规范要求 更改 删除帐号启用安全日志网络安全设置Winchk autoup配置安装Octopod功能介绍 基本操作NetView功能介绍 基本操作Syslog与Hids初始化操作在命令行下配置IPSEC 安全基础知识 网络安全部2008年11月 2020年2月2日 安全基础知识 主要内容 信息安全的概念安全问题产生的根源安全漏洞的威胁常见的攻击方式主要的安全技术 2020年2月2日 安全基础知识 信息安全概念 信息安全的含义保证信息内容在传储 传输和处理各环节的机密性 完整性和可用性对信息的传播及内容具有控制能力不受偶然的或者恶意的原因而遭到破坏 更改 泄露保证信息系统连续可靠的运行网络服务不中断 2020年2月2日 安全基础知识 安全问题产生的根源 网络建设之初忽略了安全问题TCP IP协议本身缺乏安全性操作系统及应用自身存在的漏洞操作系统及应用不安全的配置来自内网用户的安全威胁缺乏有效的手段监视 评估网络的安全性邮件病毒 Web页面中中恶意Java ActiveX控件代码中存在安全漏洞管理中存在的安全问题 2020年2月2日 安全基础知识 安全漏洞 漏洞的概念在硬件 软件 协议的具体实现或系统安全策略上存在的缺陷 可以使攻击者在未授权的情况下访问或破坏系统可能存在于网络设备 交换机 路由器的IOS存在的漏洞 配置错误操作系统 Windows Unix Linux存在的漏洞应用服务 IIS Apache Serv u存在的漏洞网络协议 TCP IP存在的缺陷应用程序 用C C ASP PHP代码中 2020年2月2日 安全基础知识 漏洞带来的威胁 如果攻击者获得了一般用户的访问权限 那他就很有可能再通过利用本地漏洞把自己提升为管理员权限 远程管理员权限本地管理员权限普通用户访问权限权限提升读取受限文件远程拒绝服务 本地拒绝服务远程非授权文件存取口令恢复欺骗服务器信息泄露其它 2020年2月2日 安全基础知识 黑客攻击典型步骤 漏洞分析 实施攻击exploit 消除证据留下后门 收集信息扫描 2020年2月2日 安全基础知识 常见的攻击方式 扫描网络监听DoS与DDoS攻击特洛依木马SQL注入 2020年2月2日 安全基础知识 通过扫描获取信息 收集目标服务器的信息开放的端口和应用操作系统类型用户帐号信息系统的漏洞应用的漏洞 2020年2月2日 安全基础知识 网络监听 监听的目的是截获通信的内容监听的手段是对协议进行分析常用的工具Snifferpro Wireshark都是网络监听 协议分析的工具 Tcpdump在共享网络中 可以监听所有流量在交换环境中 必须设置端口镜像通过协议分析 可获取敏感的明文信息Telnet smtp pop3 ftp http等应用层协议都是明文传输 2020年2月2日 安全基础知识 共享和交换环境下的监听 共享式网络通过网络的所有数据包发往每一个主机通过HUB连接起来的子网可以直接监听交换式网络通过交换机连接网络由交换机构造一个 MAC地址 端口 映射表发送包的时候 只发到特定的端口上可以通过配置 端口镜像 来实现监听 2020年2月2日 安全基础知识 利用监听获取邮件密码 截获用户邮件口令 2020年2月2日 安全基础知识 冒险岛抓包分析案例 设置抓包服务器配置端口镜像7x24小时抓包进行协议分析判断攻击类型 2020年2月2日 安全基础知识 拒绝服务DoS 定义通过某些手段使得目标系统或者网络不能提供正常的服务是针对可用性发起的攻击原理主要是利用了TCP IP协议中存在的设计缺陷 操作系统或网络设备的网络协议栈存在的缺陷特点难于防范 2020年2月2日 安全基础知识 拒绝服务的形式 资源耗尽和资源过载网络连接带宽资源其他资源 例如 磁盘空间被日志撑满错误的配置不当的配置造成某些服务无法访问物理部件故障 2020年2月2日 安全基础知识 拒绝服务攻击分类 拒绝服务攻击SynFloodUdpFloodIcmpFloodPingofdeathTeardropSmurfLand主要介绍Synflood UDPFlood ICMPFlood攻击 2020年2月2日 安全基础知识 SynFlood攻击 1 TCP协议提供可靠的连接服务 采用三次握手建立一个TCP连接TCP连接三次握手过程 SYN SYN ACK ACK Client Server SYN SEND SYN RECV ESTABLISHED ESTABLISHED 2020年2月2日 安全基础知识 SYNFlood攻击 2 原理 利用TCP协议缺陷发送大量TCP半连接请求 使得目标机器不能进一步接受TCP连接对TCP而言 半连接是指一个没有完成三次握手过程的会话配合IP欺骗 短时间内不断发送SYN包 使服务器回复SYN ACK 并不断重发直至超时伪造的SYN包长时间占用未连接队列 达到上限后 服务器将拒绝响应SYN请求 正常的SYN请求被丢弃 2020年2月2日 安全基础知识 SYNFlood攻击 3 攻击者172 18 1 1 目标192 0 2 1 欺骗性的IP包源地址是伪造的目标地址是192 0 2 1TCPOpen SYN 2020年2月2日 安全基础知识 SYNFlood攻击 4 攻击者172 18 1 1 目标192 0 2 1 SYN ACK 同步应答响应源地址192 0 2 1目标地址不存在TCPACK 2020年2月2日 安全基础知识 SYNFlood攻击案例 外高桥机房下载系统DLC服务器61 152 103 129遭到Syn Flood攻击 2020年2月2日 安全基础知识 UDPFlood攻击 原理 UDP协议是无连接的协议 提供不可靠的传输服务不需要用任何程序建立连接来传输数据攻击者向目标机端口发送了足够多的UDP数据包的时候 整个系统就会瘫痪 使用目标机忙于处理UDP报文 无法处理其它的正常报文 从而形成拒绝服务 2020年2月2日 安全基础知识 ICMPFlood 原理利用ping对网络进行诊断 发出ICMP响应请求报文计算机收到ICMPecho后会回应一个ICMPechoreply报文攻击者向目标机发送大量的ICMPecho报文目标机忙于处理这些报文 无法处理其它网络报文 从而形成拒绝服务 2020年2月2日 安全基础知识 UDPFlood攻击案例 冒险岛三区服务器受到DDOS攻击事件异常 发现大量发往UDP8585端器的UDP包影响 端口流出流量95 29M上层交换机上联端口流量639 27M处理方法 在6509上配置ACL过滤攻击报文 2020年2月2日 安全基础知识 DDOS攻击介绍 1 分布式拒绝服务 DDOS DistributedDenialofService传统的拒绝服务是一台机器向受害者发起攻击DDOS攻击是多台主机合作 同时向一个目标发起攻击 2020年2月2日 安全基础知识 DDOS攻击介绍 2 主控端 代理端 2020年2月2日 安全基础知识 模拟试题1 下面哪项不是Synflood攻击的特征 A网络流量异常增大B服务器80端口建立了大量的TCP连接C服务器收到大量的SYN请求D未连接队列超过上限 2020年2月2日 安全基础知识 特洛依木马 木马的由来古希腊人围攻特洛伊城时使用的木马计计算机中的特洛伊木马的名字就是由此得来定义隐藏在正常程序中的一段具有特殊功能的程序 其隐蔽性极好 不易察觉 是一种极为危险的网络攻击手段木马的组成server端 安装在目标机器上的软件client端 用于控制目标机器的软件 2020年2月2日 安全基础知识 木马入侵的途径 捆绑欺骗如把木马服务端和某个游戏捆绑成一个文件后中发给别人危险下载点攻破下载站点后 下载几个下载量大的软件 捆绑上木马 再悄悄放回去让别人下载 直接将木马改名上载到FTP网站上 等待别人下载网站挂马在网站的网页中植入木马或插入下载木马的连接主要是利用IE浏览器的漏洞利用系统漏洞入侵后安装木马 2020年2月2日 安全基础知识 木马的特征 隐蔽性包含在正常程序中 当用户执行正常程序启动在用户难以察觉的情况下 完成一些危害用户的操作没有图标 在任务管理器中隐藏自动运行增加一个服务注册表启动项run功能的特殊性除了文件操作 设置口令 进行键盘记录 远程注册表操作上传 下载以及锁定鼠标等功能 2020年2月2日 安全基础知识 木马的隐藏方式 隐藏进程 端口隐藏文件 目录被控端反向连接控制端端口复用有些木马在使用80HTTP端口后 收到正常的HTTP请求仍然把它交给Web服务器处理 只有收到一些特殊约定的数据包后 才调用木马程序隐身技术采用替代系统功能的方法 改写vxd或DLL文件 木马会将修改后的DLL替换系统已知的DLL 并对所有的函数调用进行过滤文件加壳通过加壳隐藏特征 躲避杀毒软件的查杀 2020年2月2日 安全基础知识 典型木马 灰鸽子 灰鸽子是国内著名的木马远程控制 文件操作运用 反弹端口 突破防火墙服务端上线通知远程音频通讯 音视频监控 2020年2月2日 安全基础知识 风云项目服务器中木马案例 HIDS监测到异常文件病毒或木马2008 03 1601 16 10999021372220 166 63 5192 168 1 5感染文件 C WINDOWS LocalService exe风云测试区测试组loginserver使用杀毒软件扫描文件加壳木马以webclient服务启动 2020年2月2日 安全基础知识 SQL注入 利用SQL的语法 针对的是应用程序开发设计中的漏洞当攻击者能够操作数据 往应用程序中插入一些SQL语句时 SQL注入就发生了攻击目标 控制服务器 获取敏感数据 2020年2月2日 安全基础知识 SQL注入的步骤 判断SQL注入漏洞查找SQL注入点判断后台数据库类型确定XP CMDSHELL可执行情况获得后台管理的权限 2020年2月2日 安全基础知识 判断SQL注入漏洞 语句 2020年2月2日 安全基础知识 查找注入点 1 测试方法 2020年2月2日 安全基础知识 查找注入点 2 使用工扫描注入点 2020年2月2日 安全基础知识 判断数据库类型 语句 2020年2月2日 安全基础知识 查询连接DB的权限 语句 2020年2月2日 安全基础知识 执行XP CMDSHELL 条件当前连接数据的帐号具有SA权限master dbo xp cmdshell扩展存储过程能够正确执行语句HTTP xxx xxx xxx list asp id 49 execmaster xp cmdshell netuseraaabbb add HTTP xxx xxx xxx list asp id 49 execmaster xp cmdshell netlocalgroupaaaadministrators add 结果在操作系统中添加帐户aaa 密码为bbb将新建的帐户aaa加入管理员组 2020年2月2日 安全基础知识 获得web后台管理的权限 后台管理的认证页面一般有以下语句 select fromadminwhereusername XXX andpassword YYY 绕过登录认证语句变形为select fromadminwhereusername abc or1 1 andpassword 123 轻易骗过系统 获取合法身份 2020年2月2日 安全基础知识 如何防范SQL注入 对用户的输入进行严格的过滤对变量类型进行检查执行统一的代码规范养成良好的习惯 2020年2月2日 安全基础知识 模拟试题2 SQL注入漏洞与下列哪一项有关 A服务器的安全配置问题B操作系统的安全漏洞C数据库的安全漏洞D代码安全问题 2020年2月2日 安全基础知识 主要安全技术 防火墙技术入侵检测技术扫描技术 2020年2月2日 安全基础知识 防火墙的概念 防火墙定义 防火墙是位于两个 或多个 网络间 实施网间的隔离和访问控制的一组组件的集合 它满足以下条件 内部和外部之间的所有网络数据流必须经过防火墙只有符合安全政策的数据流才能通过防火墙 2020年2月2日 安全基础知识 防火墙的作用 部署在网络边界处实现网络的隔离与访问控制阻止未经授权的访问流量对网络实施保护 以避免各种IP欺骗和路由攻击在防火墙可以监视一些安全事件的发生情况在防火墙也可以实现NAT地址转换 Internet日志 审计 甚至计费等功能 2020年2月2日 安全基础知识 防火墙的局限性 不能防止内部的攻击针对应用层的攻击防御效果不佳容易成为网络的瓶颈和单点故障 2020年2月2日 安全基础知识 防火墙的类型 包过滤防火墙应用层网关 代理服务器 状态检测防火墙 2020年2月2日 安全基础知识 包过滤防火墙 1 是一种基于网络层的安全技术基本的思想过滤器建立一组规则 根据IP包是否匹配规则中指定的条件进行判断如果匹配到一条规则 则根据此规则决定转发或者丢弃如果所有规则都不匹配 则根据缺省策略过滤规则包括源和目标IP地址 协议 源和目标端口号 2020年2月2日 安全基础知识 包过滤防火墙 2 在网络层上进行监测并没有考虑连接状态信息通常在路由器上实现优点 实现简单对用户透明缺点 无法识别基于应用层的攻击 2020年2月2日 安全基础知识 应用层网关 1 也称为代理服务器 proxy 位于客户机与服务器之间 完全阻挡了二者间的数据交流外部系统与内部之间没有直接的数据通道 客 户 网 关 服务器 2020年2月2日 安全基础知识 应用层网关 2 优点在应用层上实现可以针对应用层进行侦测和扫描可实现基于用户的认证可提供理想的日志功能比较安全 缺点有些服务要求建立直接连接 无法使用代理对系统的整体性能有影响 2020年2月2日 安全基础知识 状态检测防火墙 建立状态连接表 将进出网络的数据当成一个个的会话 利用状态表跟踪每个会话状态对每个包的检查不仅根据规则表 更考虑了数据包是否符合会话所处的状态提供了完整的对传输层的控制能力 2020年2月2日 安全基础知识 入侵检测技术 什么是IDS IntrusionDetectionSystem入侵检测系统作用监控网络和系统发现入侵企图或异常现象实时报警主动响应分类主机入侵检测 HIDS 网络入侵检测 NIDS 2020年2月2日 安全基础知识 主机主侵检测HIDS 安装于被保护的主机中主要分析主机内部活动系统日志系统调用文件完整性检查占用一定的系统资源 2020年2月2日 安全基础知识 网络入侵检测NIDS 安装在被保护的网段中混杂模式监听分析网段中所有的数据包实时检测和响应操作系统无关性不会增加网络中主机的负载 Switch MonitoredServers Console 通过端口镜像实现 SPAN PortMonitor 2020年2月2日 安全基础知识 IDS检测技术 基于特征 Signature based 建立并维护一个已知攻击知识库判别当前行为活动是否符合已知的攻击模式基于异常 Anomaly based 首先建立起用户的正常使用模式 即知识库标识出不符合正常模式的行为活动 2020年2月2日 安全基础知识 扫描技术 什么是扫描器 自动检测远程或本地主机安全性弱点的程序可以发现远程服务器开放的TCP端口 提供的服务和软件版本间接地或直观地了解到远程主机所存在的安全问题 2020年2月2日 安全基础知识 扫描器的分类 主机扫描器在系统本地运行检测系统漏洞的程序网络扫描器基于网络可远程检测目标网络和主机系统漏洞的程序系统扫描器数据库扫描器Web扫描器商业的非商业的 2020年2月2日 安全基础知识 扫描工作原理 主动模拟对系统进行攻击的行为记录 分析系统的反应 发现其中的漏洞和脆弱性典型步骤是 发送信息探测数据包等待目的主机或设备的响应分析回来的数据包的特征判断是否具有该漏洞或脆弱性有时不能单靠一次过程就能完成 而是要分析一系列过程情况 2020年2月2日 安全基础知识 端口扫描 Portscanning 找出网络中开放的服务基于TCP IP协议 对各种网络服务 无论是主机或者防火墙 路由器都适用端口扫描的技术已经非常成熟 目前有大量的商业 非商业的扫描器NmapNessusFoundStone 2020年2月2日 安全基础知识 小结 信息安全的概念安全问题产生的根源安全漏洞的威胁常见的攻击方式扫描 监听 DoS DDoS 木马 SQL注入主要的安全技术防火墙 入侵检测 漏洞扫描 服务器安全规范 网络安全部2008年11月 2020年2月2日 服务器安全规范 培训内容 服务器维护安全规范补丁管理流程目前采取的安全措施典型安全事件 2020年2月2日 服务器安全规范 服务器维护安全规范 口令安全访问控制安全责任的划分安全检查服务器上禁止操作行为系统日志管理安全隐患通告系统安全设置的问题 2020年2月2日 服务器安全规范 口令安全 适用范围操作系统口令 administrator root FTP口令数据库口令 SA root 后台管理口令 口令强度口令最小位数要求 12位 口令复杂性要求 大小写字母 数字 字符 口令不能与用户名相同严禁出现空口令 弱口令电话号码 单词 生日等有意义的字母或数字不能作为口令 2020年2月2日 服务器安全规范 口令安全 2 口令的保管与使用不在不安全的地方记录口令口令更改原则上每三个月更改一次服务器被入侵必须立即更改口令岗位调整 离职必须立即更改口令 2020年2月2日 服务器安全规范 服务器的维护 服务器维护的环境要求不允许在家直接登录服务器 可申请Openvpn跳板机权限不允许从他人电脑上登录服务器任何情况下严禁在公共环境 如 网吧 登录服务器日常维护流程的制定游戏的安装 撤消 并区 变更等操作依据规范的要求制定标准操作流程 2020年2月2日 服务器安全规范 访问控制 1 访问控制策略网络访问控制主机访问控制网络访问控制部署硬件防火墙Netscreen主机访问控制Windows环境使用ipsecLinux环境使用iptables 2020年2月2日 服务器安全规范 访问控制 2 访问控制策略的制定最小化授权原则不被允许的就是被禁止的游戏服务器上线前必须确保 iptables已配置且启用ipsec已配置且启用 2020年2月2日 服务器安全规范 安全职责的划分 1 网络安全部职责服务器安全的整体规划安全规范的制定与修改漏洞跟踪 发现隐患 发布安全通告协助相关部门落实安全规范协助相关部门排除安全隐患履行安全规范落实的监督与检查职责履行安全隐患排除的监督与检查职责安全事件的处理 2020年2月2日 服务器安全规范 安全职责的划分 2 服务器维护部门职责根据安全规范 负责具体安全工作的开展和落实操作流程的制定具体管理规定的制定根据网络安全部的建议进行安全改进负责排除安全隐患协助网络安全部进行安全事件处理 2020年2月2日 服务器安全规范 安全检查 1 安全检查的范围新装服务器 漏洞 补丁 端口 进程 配置新发布游戏客户端 病毒扫描新安装的应用网站代码的安全检查出现异常的服务器 2020年2月2日 服务器安全规范 安全检查 2 重装系统的条件服务器被入侵感染蠕虫 病毒 中木马关机时间超过6周关机期间外界公布了重大安全漏洞新装服务器不满足安全规范要求服务器曾出现严重漏洞且存在被利用可能性 2020年2月2日 服务器安全规范 安全检查 3 通过安全检查的条件操作系统及应用满足安全设置要求转移出项目的服务器删除所有软件与数据应用程序WinchkOctopod 2020年2月2日 服务器安全规范 服务器上禁止的操作行为 服务器上禁止以下操作收发邮件使用浏览器上网查阅资料使用浏览器进行与工作无关的访问程序开发与调试玩游戏非工作用途的操作存放与工作无关的文件 2020年2月2日 服务器安全规范 系统日志管理1 日志是进行事后追查与分析的重要手段日志的种类维护日志 应用日志维护日志系统日志应用日志安全日志应用访问日志Web日志Email日志FTP日志等 2020年2月2日 服务器安全规范 系统日志管理2 对系统日志的要求服务器有记录维护情况的日志与维护有关的日志要保存3个月以上定期查看日志 发异常要及时报告原则上不得随意删除系统日志 2020年2月2日 服务器安全规范 安全隐患通告 网络安全部漏洞的跟踪与分析扫描分析安全隐患发布安全隐患通告相应部门按照通告要求消除隐患安全部监督与检查 2020年2月2日 服务器安全规范 系统安全设置问题 1 新装应用要通知安全部进行漏洞跟踪不安装与工作无关的应用不安装来历不明的软件不使用盗版软件部署游戏程序前要满足以下要求 补丁齐全应用配置满足安全规范要求iptables或ipsec已启用已通过安全部的检查 2020年2月2日 服务器安全规范 系统安全设置问题 2 只能从受信任的网站下载软件和补丁原则上只使用pcanywhere进行远程控制数据库的端口应进行IP限制应用程序不能使用SA连接数据库去除不安全的扩展存储过程 如 xp cmdshell 2020年2月2日 服务器安全规范 模拟试题3 服务器的口令应在多久修改一次 A1个月B2个月C3个月D4个月 2020年2月2日 服务器安全规范 培训内容 服务器维护安全规范补丁管理流程目前采取的安全措施典型安全事件 2020年2月2日 服务器安全规范 补丁管理流程1 针对windows环境的两套补丁管理系统Winchk autoupOctopod安全部补丁服务器特点Autoup适用于快速分发安装补丁 但不能准确检查补丁安装的情况Octopod适用于有选择的批量安装和补丁检查 检查准确 可靠性高安全部补丁服务器用于下载单个补丁和下载补丁光盘ISO 2020年2月2日 服务器安全规范 补丁管理流程2 Winchk Autoup 2020年2月2日 服务器安全规范 补丁管理流程3 Octopod Https连接 SSH连接 OCTOPOD服务器 用户端 被控端服务器 Https连接 SSH连接1 OCTOPOD服务器 被控端服务器 SSH连接2 内网服务器 端口转发Portforwarding 2020年2月2日 服务器安全规范 补丁管理流程4 补丁收集登录微软网站下载补丁补丁测试Win2000和win2003中英文版补丁安装测试上传补丁向Autoup服务器上传补丁向Octopod服务器上传补丁向安全部补丁服务器上传补丁制作补丁光盘并发布到安全部补丁服务器上 2020年2月2日 服务器安全规范 补丁管理流程5 补丁的分发与安装服务器定时从Autoup上下载补丁并安装Octopod可以通过针对部分主机操作 也可通过脚本自动成批的安装补丁安全部更新 盛大网络服务器维护安全规范 中的内容IDC支持部各机房与合作单位下载最新的补丁光盘镜像刻录光盘补丁检查补丁是否已安装补丁是否已生效 2020年2月2日 服务器安全规范 补丁管理流程6 补丁检查工具对比Winchk存在不足 检查结果不准确Octopod使用微软的工具 检查结果相对准确 2020年2月2日 服务器安全规范 培训内容 安全概念服务器维护安全规范补丁管理流程目前采取的安全措施典型安全事件 2020年2月2日 服务器安全规范 目前采取的安全措施 1 日常监控监控部7x24小时监控WinchkHIDS补丁管理AutoupOctopod访问控制Ipsec Windows Iptables Linux 2020年2月2日 服务器安全规范 目前采取的安全措施 2 主机安全加固新装服务器安全配置安全检查新装服务器安全检查游戏客户端新版本病毒检查网站代码安全检查漏洞扫描新装机的漏洞扫描每周定期漏洞扫描漏洞跟踪与分析新应用的漏洞查询与分析每天的漏洞跟踪 2020年2月2日 服务器安全规范 目前采取的安全措施 3 服务器操作平台Octopod身份认证Gina认证PAM认证密宝认证Web登录验证码备份磁带备份Web备份后台db备份 2020年2月2日 服务器安全规范 目前采取的安全措施 4 主机HIDS关键点的完整性检查等病毒扫描情况检查防病毒江民防病毒模块通过Octopod和HIDS调用90 以上的项目都已部署日志审计SYSLOG日志收集对游戏服务器的日志集中收集与管理网络流量监控通过NetView查看流量交换机端口 网卡的流入与流出 2020年2月2日 服务器安全规范 培训内容 安全概念服务器维护安全规范补丁管理流程目前采取的安全措施典型安全事件 2020年2月2日 服务器安全规范 典型安全事件 1 事件1 子公司吉盛服务器网页中被植入木马时间 2004 7 29IP地址 61 152 101 128发现问题 首页index asp被修改d sicent sicentbbs 下 有两个文件exe htm和exe chm事件原因 使用了有漏洞的动网论坛代码事件结果 重装服务器 删除动网代码 检查所有代码 2020年2月2日 服务器安全规范 典型安全事件 2 事件2 一台测试机被植入r server时间 2005 3 3IP地址 61 172 247 28发现问题 61 172 247 28r servertcp4000c winnt system32 r server exe原因 SQLServer2000的SA口令为空结果 重装服务器 修改口令 2020年2月2日 服务器安全规范 小结 造成安全问题的因素很多绝对安全是不存在的减少安全问题的途径 人 员工专业能力的提高 责任心的增强 经验的积累技术 技术的进步管理 安全制度不断完善 并得到有效执行 2020年2月2日 服务器安全规范 课间休息 操作系统安全 网络安全部2008年11月 操作系统安全 2020年2月2日 主要内容 Windows系统安全Windows安全特性Windows安全配置与管理Linux系统安全Linux安全加强Linux安全的几点建议 操作系统安全 2020年2月2日 Windows的安全特性 Windows的安全机制是建立在对象的基础之上的 它是构成Windows操作系统的基本元素Windows中首要的对象类型有 文件 目录 存储器 驱动器或系统程序等所有对象的操作必须事先得到授权并由操作系统来执行 防止外部程序直接访问网络数据Windows正是通过控制程序对对象的访问来获得高的安全级别 操作系统安全 2020年2月2日 系统内建帐户 操作系统安全 2020年2月2日 系统内建组 Windows2000具有一些内建的组 将帐户放到一个组中的所有账户都会继承这些权限 最简单的一个例子是本地的Administrators组 放到该组中的用户账户具有本地计算机的全部权限 操作系统安全 2020年2月2日 SAM SecurityAccountsManager 在独立的Windows2000计算机上 安全账户管理器负责保存用户账户名和口令的信息SAM组成了注册表的5个配置单元之一 它在文件 systemroot system32 config sam中实现在Windows2000域控制器上 用户账户和散列的数据保存在活动目录中 默认为 systemroot ntds ntds dit 操作系统安全 2020年2月2日 安全标识符SID WinNT 2K内部对安全主体的操作是通过一个称为安全标识符 SecurityIdentifier SID 的全局惟一的48位数字来进行的SID是对每一个用户和工作组分配的唯一的标志号内部进程引用帐户的SID而不是用户名和帐号同一台机器上 删除一个帐号 再建立同用户名的帐号 其SID也不同 不能继承前用户的访问权限 操作系统安全 2020年2月2日 SID的格式 S 1 5 21 1507001333 1204550764 1011284298 500SID带有前缀S 它的各个部分之间用连字符隔开第一个数字 本例中的1 是修订版本编号第二个数字是标识符颁发机构代码 对Win2K来说总是为5 后面是4个子颁发机构代码 本例中是21和后续的3个长数字串 最后一个是相对标识符 RelativeIdentifier RID 本例中是500 操作系统安全 2020年2月2日 RID RID对所有的计算机和域来说都是一个常数 带有RID500的SID总是代表本地计算机的Administrator账户 RID501是Guest账户Windows2000总是将具有RID500的帐户识别为管理员 操作系统安全 2020年2月2日 NTFS文件系统 微软推荐采用NTFS文件系统 服务器安全规范也要求采用NTFS NTFS支持文件和目录级访问权限控制 并可以加密和压缩数据文件和目录有两种访问许可权限 共享访问许可权用于用户与共享文件系统远程连接用户试图通过共享方式访问文件时 系统检查共享许可权限 文件许可权是直接分配给文件或目录的访问权 以任何方式访问文件系统时 都要受文件许可权限的限制 操作系统安全 2020年2月2日 用户权利 权限和共享权限 网络安全性依赖于给用户或组授予的能力权利 在系统上完成特定动作的授权 由系统指定给内置组也可以由管理员将其扩大到组和用户上 权限 可以授予用户或组的文件系统能力 共享 用户可以通过网络使用的文件夹 操作系统安全 2020年2月2日 Windows系统的用户权利 权利适用于对整个系统范围内的对象和任务的操作 通常是用来授权用户执行某些系统任务 当用户登录到一个具有某种权利的帐号时 该用户就可以执行与该权利相关的任务 操作系统安全 2020年2月2日 Windows系统的用户权限 权限适用于对特定对象如目录和文件 只适用于NTFS卷 的操作指定允许哪些用户可以使用这些对象 以及如何使用权限分为目录权限和文件权限 每一个权级别都确定了一个执行特定的任务组合的能力这些任务是 Read R Execute X Write W Delete D SetPermission P 和TakeOwnership O 操作系统安全 2020年2月2日 Windows系统的目录权限 如果对目录有Execute X 权限 表示可以穿越目录 进入其子目 操作系统安全 2020年2月2日 Windows系统的文件权限 操作系统安全 2020年2月2日 Windows系统的共享权限 1 共享只适用于文件夹 目录 如果文件夹不是共享的 那么在网络上就不会有用户看到它 也就更不能访问 要使网络用户可以访问服务器上的文件和目录 必须首先对它建立共享 操作系统安全 2020年2月2日 Windows系统的共享权限 2 操作系统安全 2020年2月2日 Windows的系统服务 1 服务包括三种启动类型自动 Windows2000启动的时候自动加载服务手动 Windows2000启动的时候不自动加载服务 在需要的时候手动开启已禁用 Windows2000启动的时候不自动加载服务 操作系统安全 2020年2月2日 Windows的系统服务 2 在HKEY LOCAL MACHINE SYSTEM CurrentControlSet Service下每一服务项目子项都有一个Start数值Start数值内容所记录的就是服务项目驱动程式该在何时被加载 Start内容的定义0 1 2 3 4等五种状态0 1 2分别代表Boot System AutoLoad等叁种意义3代表让使用者以手动的方式载入4 则是代表禁用的状态 操作系统安全 2020年2月2日 Windows的系统进程 1 基本的系统进程smss exeSessionManagercsrss exe子系统服务器进程winlogon exe管理用户登录services exe包含很多系统服务lsass exe管理IP安全策略以及启动ISAKMP Oakley IKE 和IP安全驱动程序svchost exe包含很多系统服务spoolsv exe将文件加载到内存中以便迟后打印explorer exe资源管理器internat exe输入法 操作系统安全 2020年2月2日 Windows的系统进程 2 附加的系统进程 不是必要的 mstask exe允许程序在指定时间运行regsvc exe允许远程注册表操作winmgmt exe提供系统管理信息inetinfo exe通过Internet信息服务的管理单元提供FTP连接和管理tlntsvr exe允许远程用户登录到系统并且使用命令行运行控制台程序termsrv exe提供多会话环境允许客户端设备访问虚拟的Windows2000桌面会话以及运行在服务器上的基于Windows的程序dns exe应答对域名系统 DNS 名称的查询和更新请求 操作系统安全 2020年2月2日 Windows的Log系统 1 三种类型的事件日志 系统日志跟踪各种各样的系统事件 比如跟踪系统启动过程中的事件或者硬件和控制器的故障 应用程序日志跟踪应用程序关联的事件 比如应用程序产生的象装载DLL 动态链接库 失败的信息将出现在日志中 安全日志跟踪事件如登录 注销 改变访问权限以及系统启动和关闭 注意 安全日志的默认状态是关闭的 操作系统安全 2020年2月2日 Windows的Log系统 2 日志在系统的位置是 SYSTEMROOT system32 config SysEvent Evt SYSTEMROOT system32 config SecEvent Evt SYSTEMROOT system32 config AppEvent Evt日志文件在注册表的位置是 HKEY LOCAL MACHINE System CurrentControlSet Services Eventlog 操作系统安全 2020年2月2日 Windows安全配置与管理 安装访问控制用户和组的权限管理账号安全策略网络服务文件系统安全打开安全日志其它的安全设置 操作系统安全 2020年2月2日 安装 使用正版可靠安装盘将系统安装在NTFS分区上系统和数据要分开存放在不同的磁盘最小化安装服务 不需要IIS等组件请不要安装 只安装必需的协议安装最新的ServicePack与hotfix安装系统和为系统打补丁时不能连接网络 操作系统安全 2020年2月2日 访问控制 对Windows服务器的访问应该只允许授权访问 以及可靠用户 使用ipsec策略实现访问控制在pcanywhere中做IP限制系统资源应该限制只允许授权用户或是那些日常维护服务器的人员访问 尽量将访问来源控制在最小范围内 操作系统安全 2020年2月2日 用户和组的权限管理 控制好服务器上用户的权限 应小心地设置目录和文件的访问权限 访问权限分为 读取 写入 读取及执行 修改 列目录 完全控制 默认的情况下 大多数的文件夹对所有用户 Everyone这个组 是完全敞开的 FullControl 应根据应用的需要进行权限重设 操作系统安全 2020年2月2日 权限控制时的原则 权限是累计的如果一个用户同时属于两个组 那么他就有了这两个组所允许的所有权限 拒绝的权限要比允许的权限高 拒绝策略会先执行 若用户属于一个被拒绝访问某个资源的组不管其他的权限设置给他开放了多少权限 他也一定不能访问这个资源 应非常小心地使用拒绝文件权限比文件夹权限高利用用户组来进行权限控制仅给用户真正需要的权限 权限最小化原则是安全的重要保障 操作系统安全 2020年2月2日 帐户安全策略 1 重命名管理员帐号Administrator设置帐号规则保证帐号安全帐户锁定阀值设为30次帐户锁定时间设为30分钟复位帐户锁定计数器设为30分钟之后确认密码强度足够密码的位数要符合安全规范的要求 操作系统安全 2020年2月2日 网络服务 限制对外开放的端口只允许开放特定端口公司目前使用IPSEC进行windows主机的保护禁用snmp服务原则上应禁用TerminalService终端服务将不必要的服务设置为手动 操作系统安全 2020年2月2日 NetBIOS的安全设置 禁用NetBIOS会话服务 139端口 禁用TCP IP上的NetBIOS禁用SMB禁用445端口在本地连接属性中禁用文件和打印机共享禁止匿名连接HKEY LOCAL MACHINE Systemt CurrentControl LSA中的RestrictAnonymous 2 操作系统安全 2020年2月2日 Windows平台上的共享资源 在Windows平台上 共享资源既是一个暴露信息的地方系统默认共享admin C D 文件资源的共享打印服务的共享IPC 也是一个共享资源关闭打开的管理共享HKEY LOCAL MACHINE System CurrentControlSet Services LanmanServer Parameters键值AutoShareServer类型REG DWORD数据0 操作系统安全 2020年2月2日 文件系统安全 1 WFP WindowsFileProtection 即Windows文件保护 防止系统文件被不匹配的版本替换或是覆盖微软把Windows2000安装光盘上的所有重要文件都加以保护包括 dll exe fon ocx sys 和tff结尾的文件等备份在 SYSTEMROOT system32 dllcache文件夹下 操作系统安全 2020年2月2日 文件系统安全 2 当WFP监控到这些文件被覆盖或替换后就开始工作它会扫描有问题的文件 若这些文件与备份文件夹内 原装 文件不符 WFP会用备份文件还原 若该文件没有做备份 系统会提示插入Windows2000的安装光盘以复原该文件 操作系统安全 2020年2月2日 安全日志 Windows的默认安装未打开安全审核Windows2000下本地安全策略 审核策略中打开相应的审核推荐的审核是 账户管理成功失败登录事件成功失败对象访问策略更改成功失败特权使用系统事件成功失败目录服务访问账户登录事件成功失败过程追踪成功失败 操作系统安全 2020年2月2日 模拟试题4 Windows日志文件存放在哪个目录 Ac winnt Bc winnt system32 configCc winnt system32Dc winnt system config 操作系统安全 2020年2月2日 主要内容 Windows系统安全Windows安全特性Windows安全配置与管理Linux系统安全Linux安全加强Linux安全的几点建议 操作系统安全 2020年2月2日 Linux口令安全 etc passwd由用户名 口令 UID GID 用户名全称 用户的主文件目录 shell等七个域组成passwd字段中的第一个字符是 则不允许登录passwd文件中的口令字段使用一个 x 来代替 etc shadow存放加密后的口令 操作系统安全 2020年2月2日 用户与UID 用户标识UID是系统内部对每个用户的唯一标识Linux通过 etc passwd文件实现用户名与UID之间的映射关系Linux的所有保护均以UID为基础 操作系统安全 2020年2月2日 用户组与GID Linux将用户分成组用户组也有组名和组标识符GID分组是便于以用户组为单位实施保护 etc group文件包含一个列表 列举每一个用户组以及所对应的GID记录的各字段属性依次定义如下 组名口令组标识号用户列表 操作系统安全 2020年2月2日 文件类型 文件的类型 普通文件d目录c字符设备b块设备l符号连接s套接字文件p命名管道文件后9个字符代表文件权限分为3组 每组3位 操作系统安全 2020年2月2日 文件权限 文件的授权r允许读w允许写x允许执行 对于目录表示进入 sSUID或SGID 三种类型的用户 第一组 owner文件的拥有者第二组 group同组用户第三组 other其它用户 改变文件的授权chmod命令改变许可方式r 4w 2x 1rwxr xr 754chgrp与chown命令改变文件的属主与组名修改后原属主和组员无法修改回来 rwxr xr x1rootroot2617Mar262003check 操作系统安全 2020年