第07章_主机操作系统的安全.ppt

第七章主机操作系统的安全 本章目标 了解WindowsServer2003的安全状况掌握WindowsServer2003的基本安全配置的工具掌握Linux系统的安全问题了解Linux系统中的安全工具 本章内容 7 2Linux的安全问题 7 1WindowsServer2003的安全 7 1WindowsServer2003的安全配置 WindowsServer2003的默认配置比Windows2000安全 但是仍然需要根据不同的情况做安全的配置 7 1 1WindowsServer2003的基本安全配置 理解服务器角色物理安全修改内建的用户账号服务账号系统服务 7 1 1 1理解服务器角色 不同的服务器角色有不同的安全需求常见的服务器角色域控制器成员服务器基础设施服务器文件服务器打印服务器Web服务器防火墙服务器终端服务器 7 1 1 2物理安全 将服务器放置在安全的机房 服务器机箱应锁定制定数据保密制度 在此之前先根据数据的安全性和重要性分等级 例如A级的数据被查询的必须登记 B级的数据被查询或修改的时候必须有2人以上在场制定一套保护物理设备的规定 例如出入登记制度 备份制度 备用电源等在服务器BIOS中将未使用的端口禁用 7 1 1 3修改内建的用户账号 将Administrator用户改名禁用Guest用户设置用户口令复杂度策略设置用户口令长度策略 7 1 1 4服务账号 尽量避免使用传统的服务账号启动服务如果使用传统的服务账号启动服务 则应使用本地账号而避免使用域账号 7 1 1 5系统服务 停止非必要的以及易受攻击的服务分布式文件系统 DFS 文件复制服务 FRS 打印机池服务 PSS 7 1 2安全配置和分析以及安全模板 WindowsServer2003操作系统提供了强大的安全机制 但是如果要一一设置这些安全配置 却是非常费时 费力的事 使用安全模板就能快速 批量地设定安全选项 7 1 2 1安全配置和分析 安全配置可以用于直接配置本地系统的安全性 利用个人数据库 可以导入由 安全模板 创建的安全模板 并将这些模板应用于本地计算机安全分析 安全配置和分析 使管理员能够快速查阅安全分析结果 在当前系统设置的旁边提出建议 用可视化的标记或注释突出显示当前设置与建议的安全级别不匹配的区域 安全配置和分析 也提供了解决分析显示的任何矛盾的功能 7 1 2 2安全模版 安全模板 是一种可以定义安全策略的文件表示方式 它能够配置账户和本地策略 事件日志 受限组 文件系统 注册表以及系统服务等项目的安全设置 用户可以使用安全模版创建计算机或网络的安全策略WindowsServer2003系统中默认的安全模版默认安全设置模板 setupsecurity inf 兼容模板 compatws inf 安全模版 secure inf 高级安全模板 hisec inf 系统根目录安全模板 rootsec inf 7 1 2 3使用secedit命令配置本地计算机安全 使用命令行配置网络安全的命令是secedit 其参数为 secedit analyze与数据库中的基本设置相比较 分析一台计算机上的安全设置secedit configure应用存储在数据库中的设置来配置本地计算机的安全性设置secedit export将存储在数据库中的安全性设置导出 7 1 2 3使用secedit命令配置本地计算机安全 续 使用命令行配置网络安全的命令是secedit 其参数为 secedit import将安全性模板导入到数据库中 从而使模板中指定的设置可应用到系统或作为分析系统的依据secedit validate验证要导入到分析数据库或系统应用程序的安全模板的语法secedit GenerateRollback可根据配置模板生成一个回滚模板 7 1 2 4使用安全配置和分析工具 添加 安全配置和分析 管理单元 7 1 2 4使用安全配置和分析工具 续 创建安全数据库并导入安全模版 7 1 2 4使用安全配置和分析工具 续 分析系统安全状况并查看安全分析结果 7 1 2 4使用安全配置和分析工具 续 配置计算机并再次查看安全分析结果 7 2Linux的安全问题 Linux在服务器领域使用范围广使用不当 Linux也会不安全 7 2 1概述 Internet越来越不安全Linux配置不当会产生安全隐患Linux补丁发布速度快最大限度降低损失 7 2 2网络服务 Linux网络服务FTPWWWEmail通过端口提供服务 7 2 2 1检查系统中运行的服务 检查Linux中允许的服务netstat vat大多数服务由 etc inetd conf控制关闭不需要的服务 7 2 2 2允许 拒绝服务器 设置服务的允许机制服务器和服务的信任关系 etc hosts allow文件 ect hosts deny文件 7 2 2 3SSH 安全Shell IP欺骗 技术采用SSH连接加密和验证系统为网络应用提供SSL级的安全 7 2 2 4监视程序和运行日志 Linux提供工具来了解系统中所发生的事情Jail JustAnotherIPLoggerFtpd rlogind以及其他用户交互 var log syslog和 var log messages记录连接信息swatch自动监视syslog文件 7 2 2 5其他安全措施 防火墙 防火墙保护私有网络不受外界攻击正确配置Linux防火墙iptables在可访问性和安全之间取得最佳平衡 7 2 2 6Linux安全设置 BIOSSecurityGrubSecurity删除所有的特殊账户选择正确的密码打开密码的shadow支持功能root账户设置自动注销取消普通用户的控制台访问权限 7 2 2 6Linux安全设置 续 TCP WRAPPERS编辑hosts deny文件编辑hosts allow文件运行tcpdchk程序禁止系统信息暴露修改 etc host conf 文件使 etc services 文件免疫不允许从不同的控制台进行root登陆 7 2 2 6Linux安全设置 续 禁止任何人通过su命令改变为root用户Shelllogging禁止Control Alt Delete键盘关闭命令给 etc rc d init d 下script文件设置权限隐藏系统信息禁止不使用的SUID SGID程序 本章总结 WindowsServer2003是现在企业常用的服务器操作系统 操作系统的安全是系统安全的重要部分 系统的不安全设置会造成安全漏洞 给攻击者以可乘之机 因此