网络操作系统安全.ppt

计算机网络管理与安全技术 主讲人匡芳君 2020年2月7日星期五 NETWORKSECURITY 2 课题内容 操作系统安全 一 教学目的 掌握WIN2003系统服务的配置方法掌握WIN2003常用进程的作用掌握WIN2003注册表的结构 值类型及应用教学方法 讲授法 任务驱动法 演示法重点 WIN2003系统服务的配置方法难点 WIN2003常用进程的作用课堂类型 讲授课教具 投影仪 多媒体设备 2020年2月7日星期五 NETWORKSECURITY 3 导入新课 1 防火墙的体系结构2 操作系统常用进程与服务 2020年2月7日星期五 NETWORKSECURITY 4 Windows2003 Windows2003原名是WindowsNT5 0 随着多种测试版本的发行 人们开始从各个侧面加深对它的认识 全新的界面 高度集成的功能 巩固的安全性 便捷的操作 都为计算机专业人员 普通用户带来莫大的惊喜Windows2003在界面 风格与功能上都具有统一性 是一种真正面向对象的操作系统 用户在操作本机的资源和远程资源时不会感到有什么不同 2020年2月7日星期五 NETWORKSECURITY 5 主要内容 操作系统安全基础Windows2003安全结构Windows2003文件系统安全Windows2003账号安全GPO的编辑活动目录安全性考察Windows2003缺省值的安全性评估Windows2003主机安全 2020年2月7日星期五 NETWORKSECURITY 6 8 1操作系统安全是系统安全的基础 各种应用软件均建立在操作系统提供的系统软件平台之上 上层的应用软件要想获得运行的高可靠性和信息的完整性 保密性 必须依赖于操作系统提供的系统软件基础 2020年2月7日星期五 NETWORKSECURITY 7 操作系统安全级别 2020年2月7日星期五 NETWORKSECURITY 8 常见操作系统安全级别 2020年2月7日星期五 NETWORKSECURITY 9 常见威胁类型 一 2020年2月7日星期五 NETWORKSECURITY 10 常见威胁类型 二 2020年2月7日星期五 NETWORKSECURITY 11 8 2Windows2003安全结构 安全六要素 2020年2月7日星期五 NETWORKSECURITY 12 8 2 2Windows2003安全组件 一 灵活的访问控制Windows2003支持C2级标准要求的灵活访问控制对象重用Windows2003很明确地阻止所有的应用程序不可以访问被另 应用程序使用所占用资源内的信息 比如内存或磁盘 2020年2月7日星期五 NETWORKSECURITY 13 Windows2003安全组件 一 强制登录Windows2003用户在能访问任何资源前必须通过登录来验证他们的身份 数据 访问 浏览 打印 服务 2020年2月7日星期五 NETWORKSECURITY 14 Windows2003安全组件 二 审计因为Windows2003采用单独地机制来控制对任何资源的访问 所以这种机制可以集中地记录下所有的访问活动控制对象的访问Windows2003不允许直接访问系统里的资源 这种不许直接访问是允许访问控制的关键 2020年2月7日星期五 NETWORKSECURITY 15 8 2 4安全的组成部分 一 安全标识符安全标识符 SID 是统计上地唯一的数组分配给所有的用户 组 和计算机 每次当一个新用户或组被建立的时候 它们都会接收到一个唯一的SID 每当Windows2003安装完毕并启动的时候 也会有一个新的SID分配给这台计算机 SID标识了用户 组和计算机的唯一性 不仅仅是在某台特定的电脑上还包括和其它计算机交互的时候 2020年2月7日星期五 NETWORKSECURITY 16 安全的组成部分 二 访问令牌访问令牌是由用户的SID 用户所属于组的SID 用户名 用户所在组的组名构成的 访问令牌就好比用户能够访问计算机资源的 入场券 无论何时用户企图进行访问 都要向WindowsNT出示访问令牌 2020年2月7日星期五 NETWORKSECURITY 17 安全的组成部分 三 安全描述符WindowsNT内的每个对象都有一个安全描述符作为它们属性的一部分 安全描述符持有对象的安全设置 安全描述符是由对象属主的SID 组SID 灵活访问控制列表以及计算机访问控制列表 2020年2月7日星期五 NETWORKSECURITY 18 安全的组成部分 四 访问控制列表灵活访问控制列表里记录用户和组以及它们的相关权限 要么允许要么拒绝 访问控制条目每个访问控制条目 ACE 包含用户或组的SID及对对象所持有的权限 对象分配的每个权限都有一个ACE 访问控制条目有二种类型 允许访问或拒绝访问 在访问控制列表里拒绝访问ACE优先于允许访问 2020年2月7日星期五 NETWORKSECURITY 19 8 2 5Windows2003安全机制 一 帐号安全计算机帐户活动目录用户帐户 2020年2月7日星期五 NETWORKSECURITY 20 Windows2003安全机制 二 文件系统安全NTFS文件系统使用关系型数据库 事务处理以及对象技术 以提供数据安全以及文件可靠性的特性 2020年2月7日星期五 NETWORKSECURITY 21 Windows2003安全机制 三 认证Kerberos5Kerberos是一种被证明为非常安全的双向身份认证技术 其身份认证强调了客户机对服务器的认证 而别的身份认证技术往往只解决了服务器对客户机的认证 Kerberos有效地防止了来自服务器端身份冒领的欺骗 2020年2月7日星期五 NETWORKSECURITY 22 Windows2003安全机制 四 NTLM认证Windows2003中仍然保留NTLM NT LanMan 认证 以便向后兼容 运行DOS Windows3 x Windows95 Windows98 WindowsNT3 5和WindowsNT4 0的客户仍然需要LM和NTLM支持 但LanManager中的哈希算法有漏洞 l0pht已经发布用于破解NT系统中SAM文件的工具l0phtcrack Windows2003已支持新的更安全的认证协议NTLM2 2020年2月7日星期五 NETWORKSECURITY 23 Windows2003安全机制 五 ActiveDirectory管理员可以浏览活动目录 对域用户 用户组和网络资源进行管理可以通过活动目录指定局部管理员 每人以自己的安全性及许可权限进行管理分类 2020年2月7日星期五 NETWORKSECURITY 24 8 3Windows2003文件系统安全 2020年2月7日星期五 NETWORKSECURITY 25 NT有关权限的标准 2020年2月7日星期五 NETWORKSECURITY 26 NT共享权限列表 2020年2月7日星期五 NETWORKSECURITY 27 8 3 2文件系统类型 Fat16文件系统FAT文件系统最初用于小型磁盘和简单文件结构的简单文件系统 标准文件分配表 FAT 在 511MB的卷中使用 没有安全设置 不推荐使用 2020年2月7日星期五 NETWORKSECURITY 28 FAT16文件系统默认的簇大小 2020年2月7日星期五 NETWORKSECURITY 29 文件系统类型 Fat32文件系统 增强的文件分配表 FAT32文件系统提供了比FAT文件系统更为先进的文件管理特性作为FAT文件系统的增强版本 它可以在容量从512MB到2TB的驱动器上使用没有安全设置 不推荐使用 2020年2月7日星期五 NETWORKSECURITY 30 文件系统类型 NTFS文件系统NTFS文件系统包括了公司环境中文件服务器和高端个人计算机所需的安全特性NTFS文件系统还支持对于关键数据完整性十分重要的数据访问控制和私有权限NTFS是Windows2003中唯一允许为单个文件指定权限的文件系统当从NTFS卷移动到FAT卷时 NTFS文件系统权限及特有属性会丢失 可操作 使用convert ex将FAT或FAT32的分区转化为NTFS分区 可操作 2020年2月7日星期五 NETWORKSECURITY 31 NTFS文件系统默认的簇大小 2020年2月7日星期五 NETWORKSECURITY 32 几种文件系统的比较 2020年2月7日星期五 NETWORKSECURITY 33 文件系统类型 DFS文件系统分布式文件系统 DistributedFileSystem DFS 的作用是不管文件的物理分布情况 可以把文件组织成为树状的分层次逻辑结构 便于用户访问网络文件资源 加强容错能力和网络负载均衡等 需要安装DFS服务 在微软管理界面MMC中创建一个DFS的根 文件的物理位置变动不会影响用户使用 Hacker难以跟踪文件的实际位置 2020年2月7日星期五 NETWORKSECURITY 34 8 4Windows2003账号安全 帐号重命名 对默认的帐号重命名 包括administrator guest以及其它一些由安装软件时 如IIs 所自动建立的帐号 2020年2月7日星期五 NETWORKSECURITY 35 帐号策略 帐号策略的设置是通过域用户管理器来实施的 从策略的菜单中选择用户权限 第一项是有关密码的时效 第二项是有关密码长度的限制 以及帐号锁定等机制 2020年2月7日星期五 NETWORKSECURITY 36 实现强壮的密码 要有大小写字母 数字 和通配符等 至少六个字符 不使用名字和生日 不含用户名部分 强壮的密码 2020年2月7日星期五 NETWORKSECURITY 37 禁止枚举账号 由于Windows2003的默认安装允许任何用户通过空用户得到系统所有账号和共享列表 这本来是为了方便局域网用户共享资源和文件的 但是 任何一个远程用户通过同样的方法都能得到账户列表 使用暴力法破解账户密码后 对我们的电脑进行攻击 所以必须采用以下方法禁止这种行为 2020年2月7日星期五 NETWORKSECURITY 38 禁止枚举账号 2020年2月7日星期五 NETWORKSECURITY 39 Administrator账号更名 Windows2003的Administrator账号是不能被停用的 也不能设置安全策略 这样黑客可以一遍又一遍地尝试这个账户的密码 直到破解 所以要在 计算机管理 中把Administrator账户更名来防止这一点 应该做点什么 2020年2月7日星期五 NETWORKSECURITY 40 本地策略设置界面 2020年2月7日星期五 NETWORKSECURITY 41 禁用Guest账号 Guest账号是一个非常危险的漏洞 因为黑客可以使用这个账号登录机器 2020年2月7日星期五 NETWORKSECURITY 42 禁用Guest帐户 2020年2月7日星期五 NETWORKSECURITY 43 禁止Guest帐户登录本机 2020年2月7日星期五 NETWORKSECURITY 44 8 5GPO的编辑 Windows2003的得意之作GPO GroupPolicyObject 通过GPO来实现一个超强功能的中央集权的组策略 此策略是建立在活动目录 ActiveDirectory 基础之上的 2020年2月7日星期五 NETWORKSECURITY 45 组策略 组策略是什么 GPO是一种与域 地址或组织单元相联系的物理策略 在Windows2003中 GPO包括文件和AD对象 2020年2月7日星期五 NETWORKSECURITY 46 组策略和AD 要充分发挥GPO的功能 需要有AD域架构的支持 利用AD可以定义一个集中的策略 所有的Windows2003服务器和工作站都可以采用它 2020年2月7日星期五 NETWORKSECURITY 47 8 6活动目录安全性考察 Windows2003Server活动目录是一个完全可扩展 可伸缩的目录服务 既能满足商业ISP的需要 又能满足企业内部网和外联网的需要 充分体现了微软产品集成性 深入性和易用性等优点 2020年2月7日星期五 NETWORKSECURITY 48 活动目录的安全特性 一 集成性结合了三个方面的管理内容用户和资源管理基于目录的网络服务基于网络的应用管理 2020年2月7日星期五 NETWORKSECURITY 49 活动目录的安全特性 二 集成性目录管理的基本对象是用户和计算机 还包括文件 打印机等资源活动目录完全采用了Internet标准协议活动目录集成了关键服务和关键安全性 2020年2月7日星期五 NETWORKSECURITY 50 活动目录的安全特性 三 深入性Windows2003活动目录的深入性主要体现在其企业级的可伸缩性 安全性 互操作性 编程能力和升级能力上 2020年2月7日星期五 NETWORKSECURITY 51 活动目录的安全特性 四 深入性Windows2003活动目录允许用户组建单域来管理少量的网络对象 也允许用户通过域目录管理成万上亿个对象 活动目录的域树和域森林的组建方法 可帮助用户使用容器层次来模拟一个企业的组织结构 Windows2003活动目录和其安全性服务紧密结合 相辅相成 共同完成安全任务和协同管理 2020年2月7日星期五 NETWORKSECURITY 52 活动目录的安全特性 五 易用性Windows2003活动目录主要体现在其简易的安装和管理上主要有三个活动目录的管理界面 MMC 活动目录用户和计算机管理活动目录的域和域信任关系的管理活动目录的站点管理 2020年2月7日星期五 NETWORKSECURITY 53 活动目录的安全特性 六 易用性管理员还可以方便地进行管理授权 活动目录充分地考虑到了备份和恢复目录服务的需要 2020年2月7日星期五 NETWORKSECURITY 54 8 7Windows2003缺省值的安全性评估 Windows2003包含许多默认的设置和选项 允许更复杂的管理 这些系统默认值可以被有经验的攻击者用来渗透系统 有些默认值不能改变 但有些可以改变 这些改变可以提供足够的安全性 2020年2月7日星期五 NETWORKSECURITY 55 Windows2003缺省值的安全性评估 二 默认目录使用不同的目录对合法用户不会造成任何影响 但对于那些企图通过类似WEB服务器这样的介质远程访问文件的攻击者来说大大地增加了难度 2020年2月7日星期五 NETWORKSECURITY 56 Windows2003缺省值的安全性评估 三 默认帐号增加了攻击者猜测帐户的难度 2020年2月7日星期五 NETWORKSECURITY 57 Windows2003缺省值的安全性评估 五 默认共享仅仅是针对管理而配置的 形成一个没必要的风险 成为攻击者一个常见的目标 可以通过增加注册表相应的键值来禁止这些管理用的共享 2020年2月7日星期五 NETWORKSECURITY 58 8 8Windows2003主机安全 合理的配置Windows2003 那么windows2003将会是一个很安全的操作系统 2020年2月7日星期五 NETWORKSECURITY 59 初级安全 一 物理安全重要的服务器应该安放在安装了监视器的隔离房间内 机箱 键盘 电脑桌抽屉要上锁停掉Guest帐号在计算机管理的用户里面把guest帐号停用掉 任何时候都不允许guest帐号登录系统 最好给guest加一个复杂的密码限制不必要的用户数量去掉不必要的帐户 去掉不用的帐户 给用户组策略设置相应权限 2020年2月7日星期五 NETWORKSECURITY 60 初级安全 二 创建2个管理员用帐号创建一个一般权限帐号用来收信以及处理一些日常事物 另一个拥有Administrators权限的帐户只在需要的时候使用把系统administrator帐号改名尽量把Administrator帐户伪装成普通用户创建一个陷阱帐号用于迷惑非法入侵者 并借此发现他们的入侵企图 2020年2月7日星期五 NETWORKSECURITY 61 初级安全 三 把共享文件的权限从 everyone 组改成 授权用户 任何时候都不要把共享文件的用户设置成 everyone 组使用安全密码一个好的密码对于一个网络是非常重要的 设置密码的有效期 还要注意经常更改密码设置屏幕保护密码设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障 不要使用OpenGL和一些复杂的屏幕保护程序 以免浪费系统资源 2020年2月7日星期五 NETWORKSECURITY 62 初级安全 四 使用NTFS格式分区NTFS文件系统要比FAT FAT32的文件系统安全得多运行防毒软件好的杀毒软件不仅能杀掉一些著名的病毒 还能查杀大量木马和后门程序 经常升级病毒库保障备份盘的安全把备份盘防在安全的地方 千万别把资料备份在同一台服务器上 2020年2月7日星期五 NETWORKSECURITY 63 中级安全 一 利用安全配置工具来配置策略充分利用基于MMC 管理控制台 安全配置和分析工具 增强系统安全性关闭不必要的服务不必要的服务带来安全隐患 确保正确的配置了终端服务 留意服务器上面开启的所有服务关闭不必要的端口关闭端口意味着减少功能 在安全和功能上面需要作一点决策 2020年2月7日星期五 NETWORKSECURITY 64 中级安全 二 高级TCP IP设置 2020年2月7日星期五 NETWORKSECURITY 65 中级安全 三 TCP IP筛选 2020年2月7日星期五 NETWORKSECURITY 66 中级安全 四 打开审核策略开启安全审核是Windows2003最基本的入侵检测方法 2020年2月7日星期五 NETWORKSECURITY 67 中级安全 五 Windows2003三种类型的日志记录事件应用程序日志系统日志安全日志 2020年2月7日星期五 NETWORKSECURITY 68 中级安全 六 事件查看器 2020年2月7日星期五 NETWORKSECURITY 69 中级安全 七 安全日志 2020年2月7日星期五 NETWORKSECURITY 70 中级安全 八 安全日志属性 2020年2月7日星期五 NETWORKSECURITY 71 中级安全 九 开启密码策略开启密码复杂性要求 设置密码长度最小值 开启强制密码历史 设置强制密码最长存留期等开启帐户策略设置复位帐户锁定计数器 帐户锁定时间 帐户锁定阈值 2020年2月7日星期五 NETWORKSECURITY 72 中级安全 十 更改账户策略 2020年2月7日星期五 NETWORKSECURITY 73 中级安全 十一 设定安全记录的访问权限把安全记录设置成只有Administrator和系统帐户才有权访问把敏感文件存放在另外的文件服务器中有必要把一些重要的用户数据存放在另外一个安全的服务器中 并且经常备份它们不让系统显示上次登陆的用户名防止入侵者容易得到系统的用户名 进而作密码猜测 2020年2月7日星期五 NETWORKSECURITY 74 中级安全 十二 禁止建立空连接用户可以通过空连接连上服务器 进而枚举出帐号 猜测密码下载最新的补丁程序经常访问微软和一些安全站点 下载最新的servicepack和漏洞补丁 是保障服务器长久安全的唯一方法 2020年2月7日星期五 NETWORKSECURITY 75 安全配置方案高级篇 高级篇介绍操作系统安全信息通信配置 包括十四条配置原则 关闭DirectDraw 关闭默认共享禁用DumpFile 文件加密系统加密Temp文件夹 锁住注册表 关机时清除文件禁止软盘光盘启动 使用智能卡 使用IPSec禁止判断主机类型 抵抗DDOS禁止Guest访问日志和数据恢复软件 2020年2月7日星期五 NETWORKSECURITY 76 1关闭DirectDraw C2级安全标准对视频卡和内存有要求 关闭DirectDraw可能对一些需要用到DirectX的程序有影响 比如游戏 但是对于绝大多数的商业站点都是没有影响的 在HKEY LOCAL MACHINE主键下修改子键 SYSTEM CurrentControlSet Control GraphicsDrivers DCI Timeout 将键值改为 0 即可 如图7 17所示 2020年2月7日星期五 NETWORKSECURITY 77 2关闭默认共享 Windows2003安装以后 系统会创建一些隐藏的共享 可以在DOS提示符下输入命令NetShare查看 如图7 18所示 2020年2月7日星期五 NETWORKSECURITY 78 停止默认共享 禁止这些共享 打开管理工具 计算机管理 共享文件夹 共享 在相应的共享文件夹上按右键 点停止共享即可 如图7 19所示 2020年2月7日星期五 NETWORKSECURITY 79 3禁用Dump文件 在系统崩溃和蓝屏的时候 Dump文件是一份很有用资料 可以帮助查找问题 然而 也能够给黑客提供一些敏感信息 比如一些应用程序的密码等需要禁止它 打开控制面板 系统属性 高级 启动和故障恢复 把写入调试信息改成无 如图7 20所示 2020年2月7日星期五 NETWORKSECURITY 80 4文件加密系统 Windows2003强大的加密系统能够给磁盘 文件夹 文件加上一层安全保护 这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据 微软公司为了弥补WindowsNT4 0的不足 在Windows2003中 提供了一种基于新一代NTFS NTFSV5 第5版本 的加密文件系统 EncryptedFileSystem 简称EFS EFS实现的是一种基于公共密钥的数据加密方式 利用了Windows2003中的CryptoAPI结构 2020年2月7日星期五 NETWORKSECURITY 81 5加密Temp文件夹 一些应用程序在安装和升级的时候 会把一些东西拷贝到Temp文件夹 但是当程序升级完毕或关闭的时候 并不会自己清除Temp文件夹的内容 所以 给Temp文件夹加密可以给你的文件多一层保护 2020年2月7日星期五 NETWORKSECURITY 82 6锁住注册表 在Windows2003中 只有Administrators和BackupOperators才有从网络上访问注册表的权限 当帐号的密码泄漏以后 黑客也可以在远程访问注册表 当服务器放到网络上的时候 一般需要锁定注册表 修改Hkey current user下的子键Software microsoft windows currentversion Policies system把DisableRegistryTools的值该为0 类型为DWORD 如图7 21所示 2020年2月7日星期五 NETWORKSECURITY 83 7关机时清除文件 页面文件也就是调度文件 是Windows2003用来存储没有装入内存的程序和数据文件部分的隐藏文件 一些第三方的程序可以把一些没有的加密的密码存在内存中 页面文件中可能含有另外一些敏感的资料 要在关机的时候清楚页面文件 可以编辑注册表修改主键HKEY LOCAL MACHINE下的子键 SYSTEM CurrentControlSet Control SessionManager MemoryManagement把ClearPageFileAtShutdown的值设置成1 如图7 22所示 2020年2月7日星期五 NETWORKSECURITY 84 8禁止软盘光盘启动 一些第三方的工具能通过引导系统来绕过原有的安全机制 比如一些管理员工具 从软盘上或者光盘上引导系统以后 就可以修改硬盘上操作系统的管理员密码 如果服务器对安全要求非常高 可以考虑使用可移动软盘和光驱 把机箱锁起来仍然不失为一个好方法 2020年2月7日星期五 NETWORKSECURITY 85 9使用智能卡 对于密码 总是使安全管理员进退两难 容易受到一些工具的攻击 如果密码太复杂 用户把为了记住密码 会把密码到处乱写 如果条件允许 用智能卡来代替复杂的密码是一个很好的解决方法 2020年2月7日星期五 NETWORKSECURITY 86 10使用IPSec 正如其名字的含义 IPSec提供IP数据包的安全性 IPSec提供身份验证 完整性和可选择的机密性 发送方计算机在传输之前加密数据 而接收方计算机在收到数据之后解密数据 利用IPSec可以使得系统的安全性能大大增强 2020年2月7日星期五 NETWORKSECURITY 87 11禁止判断主机类型 黑客利用TTL Time To Live 活动时间 值可以鉴别操作系统的类型 通过Ping指令能判断目标主机类型 Ping的用处是检测目标主机是否连通 许多入侵者首先会Ping一下主机 因为攻击某一台计算机需要根据对方的操作系统 是Windows还是Unix 如过TTL值为128就可以认为你的系统为Windows2003 如图7 23所示 2020年2月7日星期五 NETWORKSECURITY 88 从图中可以看出 TTL值为128 说明该主机的操作系统是Windows2003操作系统 表7 6给出了一些常见操作系统的对照值 2020年2月7日星期五 NETWORKSECURITY 89 修改TTL的值 入侵者就无法入侵电脑了 比如将操作系统的TTL值改为111 修改主键HKEY LOCAL MACHINE的子键 SYSTEM CURRENT CONTROLSET SERVICES TCPIP PARAMETERS新建一个双字节项 如图7 24所示 2020年2月7日星期五 NETWORKSECURITY 90 在键的名称中输入 defaultTTL 然后双击改键名 选择单选框 十进制 在文本框中输入111 如图7 25所示 2020年2月7日星期五 NETWORKSECURITY 91 设置完毕重新启动计算机 再用Ping指令 发现TTL的值已经被改成111了 如图7 26所示 2020年2月7日星期五 NETWORKSECURITY 92 12抵抗DDOS 添加注册表的一些键值 可以有效的抵抗DDOS的攻击 在键值 HKEY LOCAL MACHINE System CurrentControlSet Services Tcpip Parameters 下增加响应的键及其说明如表7 7所示 2020年2月7日星期五 NETWORKSECURITY 93 13禁止Guest访问日志 在默认安装的WindowsNT和Windows2003中 Guest帐号和匿名用户可以查看系统的事件日志 可能导致许多重要信息的泄漏 修改注册表来禁止Guest访问事件日志 禁止Guest访问应用日志HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Eventlog Application下添加键值名称为 RestrictGuestAccess 类型为 DWORD 将值设置为1 系统日志 HKEY LOCAL MACHINE SYSTEM CurrentContr