安全中心培训资料.ppt

主机与网络安全防护策略与配置 信息工程大学信息技术研究所第三研究部张传浩 目录 第一部分 主机操作系统安全第二部分 网络设备的安全配置第三部分 构建在线安全体系 2020 2 10 信息技术研究所 2 第一部分 主机操作系统安全 操作系统安全的概念操作系统的安全级别操作系统的安全机制操作系统的安全配置 2020 2 10 信息技术研究所 3 一 操作系统安全的概念 一般的学术观点 硬件结构的安全和操作系统的安全是信息系统安全的基础 密码 网络安全等是关键技术 2020 2 10 信息技术研究所 4 一 操作系统安全的概念 1 操作系统是信息系统安全的基础之一操作系统是软件系统的底层 操作系统是系统资源的管理者 操作系统是软硬件的接口 2 操作系统安全的困难性操作系统的规模庞大 以至于不能保证完全正确 理论上一般操作系统的安全是不可判定问题 3 我国必须拥有自己的操作系统操作系统受治于人 不能从根本上确保信息安全 立足国内 发展自己的操作系统 2020 2 10 信息技术研究所 5 第一部分 主机操作系统安全 操作系统安全的概念操作系统的安全级别操作系统的安全机制操作系统的安全配置 2020 2 10 信息技术研究所 6 二 操作系统的安全级别 1 操作系统安全要求一般对安全操作系统有以下要求 安全策略 要有明确 严谨 文档齐全的安全策略 标识 每个实体必须标识其安全级别 认证 每个主体必须被认证 审计 对影响安全的事件 必须记录日志 并进行审计 保证 系统必须确保上述4项要求被实施 连续性保护 实现安全的机制必须是不间断地发挥作用 并且未经许可不可改动 2020 2 10 信息技术研究所 7 二 操作系统的安全级别 2 1983年美国国防部提出了一套 可信计算机系统评估标准 TCSEC TrustedComputerSystemEvaluationCriteria D级 D级是最低的安全保护级属于D级的系统是不安全的除了物理上的一些安全措施外 没有什幺其它安全用户只要开机后就可支配所有资源DOS WINDOWS3 2 MOS 2020 2 10 信息技术研究所 8 二 操作系统的安全级别 2 美国国防部的桔皮书 TCSEC C1级 自主安全保护级通过用户名和口令进行身份认证每个用户对属于他们自己的客体具有控制权划分属主 同组用户和其他用户3个层次 属主控制这3个层次的存储权限实体没有划分安全级别多数UNIX LINUX WindowsNT 2020 2 10 信息技术研究所 9 二 操作系统的安全级别 2 美国国防部的桔皮书 TCSEC C2级 受控制的安全保护级系统记录日志 并进行审计 身份认证更强 口令以密文存储 采用以用户为单位的自主访问控制机制 部分UNIX LINUX VMS 2020 2 10 信息技术研究所 10 二 操作系统的安全级别 2 美国国防部的桔皮书 TCSEC B1级 标记安全保护级采用多级安全策略采用强制访问控制强制访问控制并不取消原来的自主访问控制 而是在此之外另加的 实体都划分安全级别属主也不能改变对自己客体的存储权限 2020 2 10 信息技术研究所 11 二 操作系统的安全级别 2 美国国防部的桔皮书 TCSEC B2级 结构化的安全保护级要有形式化的安全模型更完善的强制访问控制隐通道分析与处理一般认为B2级以上的操作系统才是安全操作系统Honeywell公司的MULTICS TIS公司的TrustedXENIX3 04 0 2020 2 10 信息技术研究所 12 二 操作系统的安全级别 2 美国国防部的桔皮书 TCSEC B3级 安全域级把系统划分为一些安全域 用硬件把安全域互相分割开来 如存储器隔离保护等 提供可信路径机制 确保用户与可信软件是连接的 防止假冒进程 更全面的访问控制机制 更严格的系统结构化设计 更完善的隐通道分析 HFS公司的UNIXXTS 2000STOP3 1E 2020 2 10 信息技术研究所 13 二 操作系统的安全级别 2 美国国防部的桔皮书 TCSEC A1级 验证安全设计级安全模型要经过数学证明对隐通道进行形式化分析Honeywell公司SCOMP 波音公司MLSLANOS 2020 2 10 信息技术研究所 14 二 操作系统的安全级别 3 中国计算机信息系统安全保护等级划分准则 GB117859 1999 根据中国国情 参照桔皮书 将其7的级别合并为5个级别 第一级 用户自主保护级 第二级 系统审计保护级 第三级 安全标记保护级 第四级 结构化保护级 第五级 访问验证保护级 2020 2 10 信息技术研究所 15 二 操作系统的安全级别 3 中国计算机信息系统安全保护等级划分准则 第一级 用户自主保护级 通过隔离用户与数据 使用户具备自主安全保护的能力 它具有多种形式的控制能力 对用户实施访问控制 即为用户提供可行的手段 保护用户和用户组信息 避免其他用户对数据的非法读写与破坏 自主访问控制 身份鉴别 通过为用户提供唯一标识 计算机能够使用户对自己的行为负责 计算机还具备将身份标识与该用户所有可审计行为相关联的能力 数据完整性 通过自主完整性策略 阻止非授权用户修改或破坏敏感信息 2020 2 10 信息技术研究所 16 二 操作系统的安全级别 3 中国计算机信息系统安全保护等级划分准则 第二级 系统审计保护级 本级的计算机实施了粒度更细的自主访问控制 它通过登录规程 审计安全性相关事件和隔离资源 使用户对自己的行为负责 阻止客体重用 客体只有在释放且清除原信息后才让新主体使用审计 计算机能创建和维护受保护客体的访问审计跟踪记录 并能阻止非授权的用户对它访问或破坏 2020 2 10 信息技术研究所 17 二 操作系统的安全级别 3 中国计算机信息系统安全保护等级划分准则 第三级 安全标记保护级 具有系统审计保护级所有功能 还提供有关安全策略模型 数据标记 以及主体对客体强制访问控制的非形式化描述 具有准确地标记输出信息的能力 消除通过测试发现的任何错误 强制访问控制 计算机对所有主体及其所控制的客体 例如 进程 文件 段 设备 实施强制访问控制 为这些主体及客体指定敏感标记 这些标记是等级分类和非等级类别的组合 它们是实施强制访问控制的依据 2020 2 10 信息技术研究所 18 二 操作系统的安全级别 3 中国计算机信息系统安全保护等级划分准则 第四级 结构化保护级 建立于一个明确定义的形式化安全策略模型之上 它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体 结构化 必须结构化为关键保护元素和非关键保护元素 加强鉴别机制 支持系统管理员和操作员的职能 提供可信设施管理 增强了配置管理控制 系统具有相当的抗渗透能力 2020 2 10 信息技术研究所 19 二 操作系统的安全级别 3 中国计算机信息系统安全保护等级划分准则 第五级 访问验证保护级本级的计算机满足访问监控器需求 访问监控器仲裁主体对客体的全部访问 访问监控器本身是抗篡改的 必须足够小 能够分析和测试 支持安全管理员职能 扩充审计机制 提供系统恢复机制 系统具有很高的抗渗透能力 隐蔽信道分析可信路径可信恢复 2020 2 10 信息技术研究所 20 二 操作系统的安全级别 4 桔皮书和GB117859的局限性 桔皮书注意确保数据的秘密性 而没有注意确保数据的真实性和完整性 忽略了防范诸如拒绝服务之类的攻击 只给出了评测等级 没有给出达到这种等级所要采取的系统结构和技术路线 2020 2 10 信息技术研究所 21 二 操作系统的安全级别 5 CC标准 美国国家安全局 国家技术标准研究所 法国 加拿大 英国 德国 荷兰六国七方 联合提出了新的 信息技术安全评价通用准则 CCforITSEC 并于1999年5月正式被ISO颁布为国际标准 增强了对真实性和完整性的保护 仍没有给出达到标准所要采取的系统结构和技术路线 2020 2 10 信息技术研究所 22 第一部分 主机操作系统安全 操作系统安全的概念操作系统的安全级别操作系统的安全机制操作系统的安全配置 2020 2 10 信息技术研究所 23 三 操作系统的安全机制 操作系统安全的目标 对用户进行身份识别 根据安全策略 进行访问控制 防止对计算机资源的非法存取 标识系统中的实体 监视系统的安全运行 确保自身的安全性和完整性 2020 2 10 信息技术研究所 24 三 操作系统的安全机制 1 实体保护多道程序的增长 使得许多实体需要保护 需要受保护的实体 存储器 IO设备 程序 数据 2020 2 10 信息技术研究所 25 三 操作系统的安全机制 1 实体保护 保护方法 隔离 操作系统的一个基本安全方法是隔离 把一个客体与其它客体隔离起来 物理隔离 不同的处理使用不同的物理设备 如 不同安全级别的处理输出使用不同的打印机 时间隔离 不同安全级别的处理在不同的时间执行 2020 2 10 信息技术研究所 26 三 操作系统的安全机制 逻辑隔离 用户的操作在没有其它处理存在的情况下执行 操作系统限制程序的访问 以使该程序不能访问允许范围之外的客体 虚拟机是软件是运行在硬件之上 操作系统之下的支撑软件 可以使一套硬件运行多个操作系统 分别执行不同密级任务 密码隔离 用密码加密数据 以其它处理不能理解的形式隐藏数据 2020 2 10 信息技术研究所 27 三 操作系统的安全机制 问题 隔离是否解决了操作系统的安全问题 我们除了要对用户和客体进行隔离外 我们还希望能够提供共享 例如 不同安全级别的处理能调用同一个的算法或功能调用 我们希望既能够提供共享 而又不牺牲各自的安全性 2020 2 10 信息技术研究所 28 三 操作系统的安全机制 1 实体保护 存储器的保护 多道程序的最重要问题是阻止一个程序影响另一个程序的存储器 这种保护可以作成硬件机制 以保护存储器的有效使用 而且成本较低 固定地址界限设置地址界限 使操作系统在界限的一边 而用户程序在界限的另一边 阻止用户程序破坏操作系统的程序 这种固定界限方式的限制是死扳的 因为给操作系统预留的存储空间是固定的 不管是否需要 2020 2 10 信息技术研究所 29 三 操作系统的安全机制 1 实体保护 存储器的保护 固定地址界限 2020 2 10 信息技术研究所 30 操作系统 硬件地址界限 用户程序 0 n 1 n 高 三 操作系统的安全机制 1 实体保护 存储器的保护 浮动地址界限界限寄存器 fenceregister 它存储操作系统的端地址 与固定界限方式不同 这里的界限是可以变化的 每当用户程序要修改一个地址的数据时 则把该地址与界限地址进行比较 如果该地址在用户区则执行 如果该地址在操作系统区则产生错误信号 并拒绝执行 2020 2 10 信息技术研究所 31 三 操作系统的安全机制 1 实体保护 存储器的保护 浮动地址界限 2020 2 10 信息技术研究所 32 操作系统 界限寄存器 用户程序 0 n 1 n 高 三 操作系统的安全机制 1 实体保护 存储器的保护 浮动地址界限一个界限寄存器的保护是单向的 换句话说 可保护用户不侵入操作系统区 但不能保护一个用户对另一用户区的侵入 类似地 用户也不能隔离保护程序的代码区和数据区 通常采用多对地址界限寄存器 其中一个为上界 另一个为下界 或一个为基址 另一个为界长 把程序之间 数据之间 堆栈之间隔离保护起来 2020 2 10 信息技术研究所 33 三 操作系统的安全机制 1 实体保护 存储器的保护 浮动地址界限 2020 2 10 信息技术研究所 34 程序2 上界寄存器 程序3 0 n 1 n 高 程序1 下界寄存器 m m 1 基址寄存器 界长寄存器 三 操作系统的安全机制 1 实体保护 运行保护 安全操作系统采用分层设计 运行域是进程运行的区域 运行域保护机制 根据安全策略 把进程的运行区域划分为一些同心环 进行运行的安全保护 最内环具有最小的环号 具有最高的安全级别 最外环具有最大的环号 具有最低的安全级别 内环不受外环的入侵 却可利用外环的资源 并控制外环 2020 2 10 信息技术研究所 35 三 操作系统的安全机制 1 实体保护 运行保护 2020 2 10 信息技术研究所 36 R0 R1 Rn 三 操作系统的安全机制 1 实体保护 IO保护 IO保护是系统中最复杂的 大多数情况下 把IO设备视为文件 且规定IO是仅由操作系统完成的一个特权操作 对读写操作提供一个高层系统调用 在这一过程中 用户不控制IO操作的细节 2020 2 10 信息技术研究所 37 三 操作系统的安全机制 2 标识与认证 标识标识是系统为了正确识别 认证和管理实体而给实体的一种符号 Eg 用户名是一种标识 为的是进行身份认证 Eg 安全级别也是一种标识 为的是进行安全的访问控制 标识需要管理 标识活性化 智能化 是值得研究的新方向 认证在操作系统中主要是用户的身份认证 2020 2 10 信息技术研究所 38 三 操作系统的安全机制 3 访问控制访问控制的目的 确保主体对客体的访问只能是授权的 而未授权的访问是不能进行的 而且授权策略是安全的 2020 2 10 信息技术研究所 39 三 操作系统的安全机制 区分安全策略和机制 策略着重原则指导 而不着重具体实现 机制是实现策略的技术机构和方法 没有好的安全策略 再好的机制也不能确保安全 相反 没有好的机制 再好的策略也没有实际意义 通常策略是原则的 简单的 确切的 而机制是具体的 复杂的 烦琐的 2020 2 10 信息技术研究所 40 第一部分 主机操作系统安全 操作系统安全的概念操作系统的安全级别操作系统的安全机制操作系统的安全配置 2020 2 10 信息技术研究所 41 四 操作系统安全配置 1 操作系统概述2 操作系统的几个基本概念3 安全配置方案初级篇4 安全配置方案中级篇5 安全配置方案高级篇 2020 2 10 信息技术研究所 42 1 操作系统概述 目前服务器常用的操作系统有三类 UnixLinuxWindowsNT 2000 2003Server 这些操作系统都是符合C2级安全级别的操作系统 但是都存在不少漏洞 如果对这些漏洞不了解 不采取相应的措施 就会使操作系统完全暴露给入侵者 2020 2 10 信息技术研究所 43 1 操作系统概述 UNIX系统 UNIX操作系统是由美国贝尔实验室开发的一种多用户 多任务的通用操作系统 它从一个实验室的产品发展成为当前使用普遍 影响深远的主流操作系统 UNIX诞生于20世纪60年代末期 贝尔实验室的研究人员于1969年开始在GE645计算机上实现一种分时操作系统的雏形 后来该系统被移植到了DEC的PDP 7小型机上 1970年给系统正式取名为Unix操作系统 到1973年 Unix系统的绝大部分源代码都用C语言重新编写过 大大提高了Unix系统的可移植性 也为提高系统软件的开发效率创造了条件 2020 2 10 信息技术研究所 44 1 操作系统概述 UNIX系统 UNIX操作系统经过20多年的发展后 已经成为一种成熟的主流操作系统 并在发展过程中逐步形成了一些新的特色 其中主要特色包括5个方面 1 可靠性高 2 极强的伸缩性 3 网络功能强 4 强大的数据库支持功能 5 开放性好 2020 2 10 信息技术研究所 45 1 操作系统概述 Linux系统 Linux是一套可以免费使用和自由传播的类Unix操作系统 主要用于基于Intelx86系列CPU的计算机上 这个系统是由全世界各地的成千上万的程序员设计和实现的 其目的是建立不受任何商品化软件的版权制约的 全世界都能自由使用的Unix兼容产品 Linux最早开始于一位名叫LinusTorvalds的计算机业余爱好者 当时他是芬兰赫尔辛基大学的学生 目的是想设计一个代替Minix 是由一位名叫AndrewTannebaum的计算机教授编写的一个操作系统示教程序 的操作系统 这个操作系统可用于386 486或奔腾处理器的个人计算机上 并且具有Unix操作系统的全部功能 2020 2 10 信息技术研究所 46 1 操作系统概述 Linux系统 Linux是一个免费的操作系统 用户可以免费获得其源代码 并能够随意修改 它是在共用许可证GPL GeneralPublicLicense 保护下的自由软件 也有好几种版本 如RedHatLinux Slackware 以及国内的XteamLinux 红旗Linux等等 Linux的流行是因为它具有许多优点 典型的优点有7个 2020 2 10 信息技术研究所 47 1 操作系统概述 Linux系统 典型的优点有7个 1 完全免费 2 完全兼容POSIX1 0标准 3 多用户 多任务 4 良好的界面 5 丰富的网络功能 6 可靠的安全 稳定性能 7 支持多种平台 2020 2 10 信息技术研究所 48 1 操作系统概述 Windows系统 WindowsNT NewTechnology 是微软公司第一个真正意义上的网络操作系统 发展经过NT3 0 NT40 NT5 0 Windows2003 和NT6 0 Windows2003 等众多版本 并逐步占据了广大的中小网络操作系统的市场 WindowsNT众多版本的操作系统使用了与Windows9X完全一致的用户界面和完全相同的操作方法 使用户使用起来比较方便 与Windows9X相比 WindowsNT的网络功能更加强大并且安全 2020 2 10 信息技术研究所 49 1 操作系统概述 Windows系统 WindowsNT系列操作系统具有以下三方面的优点 1 支持多种网络协议由于在网络中可能存在多种客户机 如Windows95 98 AppleMacintosh Unix OS 2等等 而这些客户机可能使用了不同的网络协议 如TCP IP协议 IPX SPX等 WindowsNT系列操作支持几乎所有常见的网络协议 2020 2 10 信息技术研究所 50 1 操作系统概述 Windows系统 2 内置Internet功能随着Internet的流行和TCP IP协议组的标准化 WindowsNT内置了IIS InternetInformationServer 可以使网络管理员轻松的配置WWW和FTP等服务 3 支持NTFS文件系统Windows9X所使用的文件系统是FAT 在NT中内置同时支持FAT和NTFS的磁盘分区格式 使用NTFS的好处主要是可以提高文件管理的安全性 用户可以对NTFS系统中的任何文件 目录设置权限 这样当多用户同时访问系统的时候 可以增加文件的安全性 2020 2 10 信息技术研究所 51 2 操作系统的几个基本概念 进程 进程为应用程序的运行实例 是应用程序的一次动态执行 可以简单理解为 系统当前运行的执行程序 当运行某程序时 就创建了一个容纳该程序代码及其所需动态链接库的进程 系统进程 用于完成操作系统的各种功能的进程就是系统进程 它们就是处于运行状态下的操作系统本身 是系统运行所必须的 用户进程 用户进程就是所有由用户执行应用程序所启动的进程 其中应用程序是由用户安装的程序 执行一个应用程序时可能会启动多个不同的进程 2020 2 10 信息技术研究所 52 2 操作系统的几个基本概念 线程 线程是进程中的实体 一个进程可拥有多个线程 实现程序的并发执行 但一个线程必须有一个父进程 实际上线程运行而进程不运行 线程不拥有系统资源 它与父进程的其它线程共享该进程所拥有的全部资源 2020 2 10 信息技术研究所 53 2 操作系统的几个基本概念 服务 在Windows系统中 服务是指执行特定系统功能的程序 例程或进程 以便支持其他程序 尤其是低层 接近硬件 程序 他们一般随系统启动并在后台运行 驱动 驱动是是一种可以使计算机操作系统和设备通信的特殊程序 是操作系统和硬件设备间的通信接口 他们告诉操作系统有哪些设备以及设备的功能 2020 2 10 信息技术研究所 54 2 操作系统的几个基本概念 DLL 动态链接库 DynamicLinkLibrary DLL文件是一个可以被其它程序共享的程序模块 其中封装了一些可以被共享的代码 数据或函数等资源 DLL文件一般不能单独执行 而应由其他Windows应用程序直接或间接调用 2020 2 10 信息技术研究所 55 3 安全配置方案初级篇 安全配置方案初级篇主要介绍常规的操作系统安全配置 包括如下基本配置原则 更改系统安装目录 使用NTFS分区停止Guest帐号 限制用户数量创建多个管理员帐号 管理员帐号改名陷阱帐号 更改默认权限 设置安全密码运行防毒软件和确保备份盘安全 2020 2 10 信息技术研究所 56 3 安全配置方案初级篇 更改系统安装目录安装时建议改变系统安装目录 缺省为c winnt 可以改成其他任意目录 NTFS分区把服务器的所有分区都改成NTFS格式 NTFS文件系统要比FAT FAT32的文件系统安全得多 2020 2 10 信息技术研究所 57 3 安全配置方案初级篇 停止Guest帐号在计算机管理的用户里面把Guest帐号停用 任何时候都不允许Guest帐号登陆系统 为了保险起见 最好给Guest加一个复杂的密码 可以打开记事本 在里面输入一串包含特殊字符 数字 字母的长字符串 用它作为Guest帐号的密码 并且修改Guest帐号的属性 设置拒绝远程访问 如图7 1所示 2020 2 10 信息技术研究所 58 3 安全配置方案初级篇 限制用户数量去掉所有的测试帐户 共享帐号和普通部门帐号等等 用户组策略设置相应权限 并且经常检查系统的帐户 删除已经不使用的帐户 帐户很多是黑客们入侵系统的突破口 系统的帐户越多 黑客们得到合法用户的权限可能性一般也就越大 2020 2 10 信息技术研究所 59 3 安全配置方案初级篇 多个管理员帐号创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物 另一个拥有Administrator权限的帐户只在需要的时候使用 登录系统以后 密码就存储在WinLogon进程中 当有其他用户入侵计算机的时候就可以得到登录用户的密码 尽量减少Administrator登录的次数和时间 2020 2 10 信息技术研究所 60 3 安全配置方案初级篇 管理员帐号改名Windows2003中的Administrator帐号是不能被停用的 这意味着别人可以一遍又一边的尝试这个帐户的密码 把Administrator帐户改名可以有效的防止这一点 不要使用Admin之类的名字 尽量把它伪装成普通用户 比如改成 guestone 具体操作的时候只要选中帐户名改名就可以了 2020 2 10 信息技术研究所 61 3 安全配置方案初级篇 陷阱帐号所谓的陷阱帐号是创建一个名为 Administrator 的本地帐户 把它的权限设置成最低 什么事也干不了的那种 并且加上一个超过10位的超级复杂密码 这样可以让那些企图入侵者忙上一段时间了 并且可以借此发现它们的入侵企图 可以将该用户隶属的组修改成Guests组 2020 2 10 信息技术研究所 62 3 安全配置方案初级篇 更改默认权限共享文件的权限从 Everyone 组改成 授权用户 Everyone 在Windows2003中意味着任何有权进入你的网络的用户都能够获得这些共享资料 任何时候不要把共享文件的用户设置成 Everyone 组 包括打印共享 默认的属性就是 Everyone 组的 一定不要忘了改 设置某文件夹共享默认设置如图所示 2020 2 10 信息技术研究所 63 3 安全配置方案初级篇 安全密码安全密码的定义 系统安全期内无法破解出来的密码就是安全密码 也就是说 如果得到了密码文档 必须花43天或者更长的时间才能破解出来 密码策略是42天必须改密码 密码小窍门 jtwmydtsgx举头望明月 低头思故乡 2020 2 10 信息技术研究所 64 3 安全配置方案初级篇 防毒软件Windows2003 NT服务器一般都没有安装防毒软件的 一些好的杀毒软件不仅能杀掉一些著名的病毒 还能查杀大量木马和后门程序 设置了防病毒软件 那些有名的木马就毫无用武之地了 并且要经常升级病毒库 2020 2 10 信息技术研究所 65 3 安全配置方案初级篇 备份盘的安全一旦系统资料被黑客破坏 备份盘将是恢复资料的唯一途径 备份完资料后 把备份盘防在安全的地方 不能把资料备份在同一台服务器上 2020 2 10 信息技术研究所 66 4 安全配置方案中级篇 安全配置方案中级篇主要介绍操作系统的安全策略配置 包括十条基本配置原则 操作系统安全策略 关闭不必要的服务关闭不必要的端口 开启审核策略开启密码策略 开启帐户策略 备份敏感文件不显示上次登陆名 禁止建立空连接和下载最新的补丁 2020 2 10 信息技术研究所 67 5 安全配置方案中级篇 操作系统安全策略利用Windows2003的安全配置工具来配置安全策略 微软提供了一套的基于管理控制台的安全配置和分析工具 可以配置服务器的安全策略 在管理工具中可以找到 本地安全策略 可以配置四类安全策略 帐户策略 本地策略 公钥策略和IP安全策略 在默认的情况下 这些策略都是没有开启的 2020 2 10 信息技术研究所 68 5 安全配置方案中级篇 关闭不必要的服务Windows2003的TerminalServices 终端服务 和IIS Internet信息服务 等都可能给系统带来安全漏洞 Windows2003作为服务器可禁用的服务及其相关说明如下表所示 2020 2 10 信息技术研究所 69 Windows2003可禁用的服务 信息技术研究所 70 5 安全配置方案中级篇 关闭不必要的端口关闭端口意味着减少功能 如果服务器安装在防火墙的后面 被入侵的机会就会少一些 但是不可以认为高枕无忧了 用端口扫描器扫描系统所开放的端口 在Winnt system32 drivers etc services文件中有知名端口和服务的对照表可供参考 该文件用记事本打开如图7 7所示 2020 2 10 信息技术研究所 71 知名端口和服务的对照表 2020 2 10 信息技术研究所 72 5 安全配置方案中级篇 开启审核策略安全审核是Windows2003最基本的入侵检测方法 当有人尝试对系统进行某种方式 如尝试用户密码 改变帐户策略和未经许可的文件访问等等 入侵的时候 都会被安全审核记录下来 下表的这些审核是必须开启的 其他的可以根据需要增加 2020 2 10 信息技术研究所 73 审核策略默认设置 2020 2 10 信息技术研究所 74 5 安全配置方案中级篇 双击审核列表的某一项 出现设置对话框 将复选框 成功 和 失败 都选中 2020 2 10 信息技术研究所 75 5 安全配置方案中级篇 开启密码策略本地安全设置中的密码策略在默认的情况下都没有开启 需要开启的密码策略如下表所示 2020 2 10 信息技术研究所 76 5 安全配置方案中级篇 2020 2 10 信息技术研究所 77 开启帐户策略开启帐户策略可以有效的防止字典式攻击 设置如下表所示 5 安全配置方案中级篇 不显示上次登录名默认情况下 终端服务接入服务器时 登陆对话框中会显示上次登陆的帐户名 本地的登陆对话框也是一样 黑客们可以得到系统的一些用户名 进而做密码猜测 修改注册表禁止显示上次登录名 在HKEY LOCAL MACHINE主键下修改子键 Software Microsoft WindowsNT CurrentVersion Winlogon DontDisplayLastUserName 将键值改成 1 2020 2 10 信息技术研究所 78 5 安全配置方案中级篇 禁止建立空连接默认情况下 任何用户通过空连接连上服务器 进而可以枚举出帐号 猜测密码 可以通过修改注册表来禁止建立空连接 在HKEY LOCAL MACHINE主键下修改子键 System CurrentControlSet Control LSA RestrictAnonymous 将键值改成 1 即可 2020 2 10 信息技术研究所 79 6 安全配置方案高级篇 高级篇介绍操作系统安全信息通信配置 包括十四条配置原则 关闭DirectDraw 关闭默认共享禁用DumpFile 文件加密系统加密Temp文件夹 锁住注册表 关机时清除文件禁止软盘光盘启动 使用智能卡 使用IPSec禁止判断主机类型 抵抗DDOS禁止Guest访问日志和数据恢复软件 2020 2 10 信息技术研究所 80 6 安全配置方案高级篇 关闭DirectDrawC2级安全标准对视频卡和内存有要求 关闭DirectDraw可能对一些需要用到DirectX的程序有影响 比如游戏 但是对于绝大多数的商业站点都是没有影响的 在HKEY LOCAL MACHINE主键下修改子键 SYSTEM CurrentControlSet Control GraphicsDrivers DCI Timeout 将键值改为 0 即可 2020 2 10 信息技术研究所 81 6 安全配置方案高级篇 关闭默认共享Windows2003安装以后 系统会创建一些隐藏的共享 可以在DOS提示符下输入命令NetShare查看 如图所示 2020 2 10 信息技术研究所 82 6 安全配置方案高级篇 停止默认共享禁止这些共享 打开管理工具 计算机管理 共享文件夹 共享 在相应的共享文件夹上按右键 点停止共享即可 2020 2 10 信息技术研究所 83 6 安全配置方案高级篇 禁用Dump文件在系统崩溃和蓝屏的时候 Dump文件是一份很有用资料 可以帮助查找问题 然而 也能够给黑客提供一些敏感信息 比如一些应用程序的密码等需要禁止它 打开控制面板 系统属性 高级 启动和故障恢复 把写入调试信息改成无 2020 2 10 信息技术研究所 84 6 安全配置方案高级篇 文件加密系统Windows2000强大的加密系统能够给磁盘 文件夹 文件加上一层安全保护 这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据 微软公司为了弥补WindowsNT4 0的不足 在Windows2003中 提供了一种基于新一代NTFS NTFSV5 第5版本 的加密文件系统 EncryptedFileSystem 简称EFS 2020 2 10 信息技术研究所 85 6 安全配置方案高级篇 加密Temp文件夹一些应用程序在安装和升级的时候 会把一些东西拷贝到Temp文件夹 但是当程序升级完毕或关闭的时候 并不会自己清除Temp文件夹的内容 2020 2 10 信息技术研究所 86 6 安全配置方案高级篇 锁住注册表在Windows2003中 只有Administrators和BackupOperators才有从网络上访问注册表的权限 当帐号的密码泄漏以后 黑客也可以在远程访问注册表 当服务器放到网络上的时候 一般需要锁定注册表 修改Hkey current user下的子键Software microsoft windows currentversion Policies system把DisableRegistryTools的值该为0 类型为DWORD 2020 2 10 信息技术研究所 87 6 安全配置方案高级篇 关机时清除文件页面文件也就是调度文件 是Windows2003用来存储没有装入内存的程序和数据文件部分的隐藏文件 页面文件中可能含有另外一些敏感的资料 要在关机的时候清楚页面文件 可以编辑注册表修改主键HKEY LOCAL MACHINE下的子键 SYSTEM CurrentControlSet Control SessionManager MemoryManagement把ClearPageFileAtShutdown的值设置成1 2020 2 10 信息技术研究所 88 6 安全配置方案高级篇 禁止软盘光盘启动一些第三方的工具能通过引导系统来绕过原有的安全机制 从软盘上或者光盘上引导系统以后 就可以修改硬盘上操作系统的管理员密码 2020 2 10 信息技术研究所 89 6 安全配置方案高级篇 使用智能卡如果条件允许 用智能卡来代替复杂的密码是一个很好的解决方法 2020 2 10 信息技术研究所 90 6 安全配置方案高级篇 使用IPSecIPSec大大增强IP数据包的安全性 提高系统的安全性能 IPSec提供身份验证 完整性和可选择的机密性 发送方计算机在传输之前加密数据 而接收方计算机在收到数据之后解密数据 2020 2 10 信息技术研究所 91 6 安全配置方案高级篇 禁止判断主机类型利用TTL Time To Live 活动时间 值可以鉴别操作系统的类型 通过Ping指令能判断目标主机类型 2020 2 10 信息技术研究所 92 常见操作系统的TTL对照值 信息技术研究所 93 6 安全配置方案高级篇 修改TTL的值 入侵者就无法入侵电脑了 比如将操作系统的TTL值改为111 修改主键HKEY LOCAL MACHINE的子键 SYSTEM CURRENT CONTROLSET SERVICES TCPIP PARAMETERS新建一个双字节项 在键的名称中输入 defaultTTL 然后双击改键名 选择单选框 十进制 在文本框中输入111 2020 2 10 信息技术研究所 94 6 安全配置方案高级篇 抵抗DDOS添加注册表的一些键值 可以有效的抵抗DDOS的攻击 在键值 HKEY LOCAL MACHINE System CurrentControlSet Services Tcpip Parameters 下增加响应的键及其说明如下表所示 2020 2 10 信息技术研究所 95 6 安全配置方案高级篇 2020 2 10 信息技术研究所 96 6 安全配置方案高级篇 禁止Guest访问日志在默认安装的WindowsNT和Windows2003中 Guest帐号和匿名用户可以查看系统的事件日志 可能导致许多重要信息的泄漏 修改注册表来禁止Guest访问事件日志 禁止Guest访问应用日志HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Eventlog Application下添加键值名称为 RestrictGuestAccess 类型为 DWORD 将值设置为1 2020 2 10 信息技术研究所 97 6 安全配置方案高级篇 禁止Guest访问日志禁止Guest访问系统日志 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Eventlog System下添加键值名称为 RestrictGuestAccess 类型为 DWORD 将值设置为1 禁止Guest访问安全日志HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Eventlog Security下添加键值名称为 RestrictGuestAccess 类型为 DWORD 将值设置为1 2020 2 10 信息技术研究所 98 目录 第一部分 主机操作系统安全第二部分 网络设备的安全配置第三部分 构建在线安全体系 2020 2 10 信息技术研究所 99 一般网络拓扑设计 2020 2 10 信息技术研究所 100 交换机 二层交换转发设备 路由器 三层以上路由转发设备 常规路由器安全配置 一 设置enable密码Router config enablepasswordpassword启用Secret密码Router config enablesecretpasswordEnable密码以明文方式显示在运行配置文件中 而enablesecret命令设置的密码以密文的方式显示密码加密服务Router config servicepassword encryption加密配置文件中所有的密码 2020 2 10 信息技术研究所 101 常规路由器安全配置 二 设置控制台超时Router config exec timeoutmmss设置特权级别Router config t enablesecretlevellevelpassword定义特权级别权限Router config t privilegemode levellevel reset command string例 Router config t privilegeexeclevel10debugpppauth 2020 2 10 信息技术研究所 102 关闭某些缺省状态下开启的服务 Router config t noservicefingerRouter config t noservicepadRouter config t noserviceudp small serversRouter config t noservicetcp small serversRouter config t noiphttpserverRouter config t noserviceftpRouter config t noipbootpserverRouter config if nocdpenable 2020 2 10 信息技术研究所 103 bootp是一个udp服务 cisco路由器用它来访问一个运行有bootp服务的cisco路由器上的ios拷贝 cisco设备发现协议 finger协议 端口79 允许网络上的用户获得当前正在使用的特定路由器设备的用户列表 显示的信息包括进程 连接名 闲置时间和终端位置 数据包装 分配 packetassembler disassembler pad 在cisco的大多数路由器上是开启的 该服务用来启用路由器和其它网络设备间的x 25的连接 如果不需要x 25网络的话 应该关闭pad服务 安全Shell SSH Router config hostnamehostnamehostname config ipdomain hostname config usernameusernamepasswordpasswordhostname config cryptokeygeneratersamodulus2048hostname config ipsshtime out120hostname config ipsshauthentication retries3hostname config linevty04hostname config transportinputssh 2020 2 10 信息技术研究所 104 访问控制列表 访问控制列表 AccessControlList ACL 是CiscoIOS提供的一种访问控制技术 被广泛应用于路由器和三层交换机 ACL是应用到路由器 交换机 接口的指令列表 这些指令列表用来告诉路由器 交换机 哪些数据包可以接收 哪些数据包要拒绝 至于数据包是被接收还是拒绝 可以由源地址 目的地址和端口号等特定的指令条件来决定 2020 2 10 信息技术研究所 105 配置访问列表应当注意的问题 在设置访问列表时 应当遵循最小特权原则 即只给受控对象完成任务所必须的最小的权限 从而最大限度地保障网络传输安全 所谓最小特权 LeastPrivilege 是指在完成某种操作时所赋予网络中每个主体 用户或进程 必不可少的特权 尽量精确 2020 2 10 信息技术研究所 106 配置访问列表应当注意的事项 自上而下的处理过程添加表项标准访问列表过滤访问列表位置语句的位置访问列表应用过滤方向ACL与系统中其他应用的互斥 2020 2 10 信息技术研究所 107 访问列表包含一个访问控制条目 AccessControlentry ACE 规则列表 每个ACE都指定permit 允许 或deny 拒绝 以及应用条件 包会逐个条目顺序匹配ACE 从第一行起 找到符合条件的行后 其余的行就不再继续比较 最后一行为默认的隐含拒绝 新增加的表项被追加到访问列表末尾 这就意味着不能改变已有的访问列表的功能 如果要改变 就必须创建一个新的访问列表 删除已经存在的访问列表 并且将新的访问列表应用于端口上 标准访问列表只限于过滤源地址 所以 需要使用扩展的IP访问列表来满足企业的特殊需求 应当将扩展访问列表尽量放在靠近过滤源的位置上 这样 创建的过滤器就不会反过来影响其他端口上的数据流 而标准访问列表则应当尽量靠近目的地位置 由于标准访问列表只使用源地址 因此 将阻止报文流向其他端口 由于IP协议包含ICMP TCP和UDP 所以 应当将具体的表项放在不太具体的表项前面 以保证位于另一个语句前面的语句不会否定表中后面语句的作用效果 使用Access group命令应用访问列表 需要注意的是 只有访问列表被应用于端口上时 才执行过滤操作 从而真正产生作用 通过端口的数据流是双向的 过滤方向定义了欲检查的是流入还是流出的报文 所以 访问列表要应用到端口的特定方向上 向外的 Outbound 表示数据流从三层设备流出 先处理 再路由 向内的 Inbound 表示数据流流向三层设备 先路由 再处理 端口安全 如果配置某一端口的安全地址时选择了IP地址选项 而又将一个ACL关联到某一个接口 该ACL不会生效 访问列表配置步骤 分析需求 找出需求中要保护什么或控制什么 为方便配置 最好能以表格形式列出 分析符合条件的数据流的路径 寻找一个最适合进行控制的位置 编写ACL 并将ACL应用到端口 VLAN上 测试并修改ACL 2020 2 10 信息技术研究所 108 路由访问列表的类型 标准IP访问控制列表Switch config access listaccess list number deny permit source source wildcard log 扩展IP访问控制列表Switch config access listaccess list number deny permit protocolsource source wildcard destinationdestination wildcard operatoroperand established 命名访问控制列表标准 扩展命名式ACLSwitch config ipaccess liststandardnameSwitch config std nacl permit source source wildcard any Switch config ipaccess listextendednameSwitch config ext nacl permit source source wildcard any 2020 2 10 信息技术研究所 109 访问控制列表号 标准控制列表号为1 99之间的一个数字 满足测试条件 则拒绝该入口的通信流量 满足测试条件 则接受该入口的通信流量 数据包源地址 可以是主机IP地址 也可以