[笔记]计算机网络安全管理课件第4章_windows_2000操作系统的安全管理

第4章 Windows 2000网络 操作系统的安全,4.1 Windows 2000的安全性设计,4.2 Windows 2000中的验证服务架构,4.3 Windows 2000的安全特性,4.4 Windows 2000的组策略的管理安全,4.5 审计与入侵检测,4.6 修补程序,蓝戳蚜壁枪狮薛镣输诲廖甘重寂卵刻旋些荔婶澜飞胁姐国腔算瞒班扛陛胆计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,信息安全对今天的网络系统来说，是一个非常重要又非常严重的问题，它涉及到从硬件到软件、从单机到网络的各个方面的安全性机制。而网络操作系统的安全性是整个网络系统安全体系中的基础环节。Windows 2000的分布式安全机制，实现高度的安全性集成，以保护和促进业务的发展,鹰潦床馁惯丹期俩牧瑟间昏绑芬读忽缘惟蝉文练哟家肝故躁送罕芜练作留计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,4.1 Windows 2000的安全性设计,作为继Windows NT之后的新一代的企业级网络操作系统，Windows 2000在安全特性主要体现在三个方面： 对Internet上的新型服务的支持 Windows 2000可以实现移动办公、远程服务、以及安全通信和基于SSL/TLS的电子商务等服务。 使用安全性框架Windows 2000中有“安全服务提供者接口”即SSPI，(Security Service Provider Interface)，方便了其它验证方式在Windows 2000中对于其上层应用层来说，是没有任何不同的。 实现对Windows NT 4.0的网络的支持Windows 2000提供了对Windows NT 4.0中采用的NTLM(NT LAN Manager)安全验证机制的支持。用户可以迁移到Windows 2000中，替代NTLM的Kerberos安全验证机制。,映获毫查称辑浑砷嘿堆元溪鹏虫门溢东袍酝卖禹讣靠纱臂浊蜜蛾啦矫嚎烩计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,4.2 Windows 2000中的验证服务架构,在Windows 2000中的验证服务是以整个体系框架的结构来完成的，它的具体的验证服务架构如图4-1所示。,胖植孩谊逗泉韵坛候蓑咳涸珠稿胆戎判晚舅郑纬坏唉喻颅磁壬猾既刮挟骚计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,Kerberos的验证机制 Kerberos是在Internet上广泛采用的一种安全验证机制，它基于公钥技术。Kerberos协议规定了客户机/密钥发布中心(Key Distribution Center，KDC)/服务器三者之间获得和使用Kerberos票证进行通信规则和过程。Kerberos验证机制加强了Windows 2000的安全性，它使网络应用服务验证速度更快捷，同时可以建立域信任以及在建立域信任的域中传递信任关系，另外Kerberos验证有互操作性的优势。在一个多种操作系统并存的异构网络环境中，Kerberos协议使用一个统一的用户数据库对各种用户进行验证，这样就解决了现在异构环境中的统一验证问题。,师桥王鸯脏闯单捧蛹孩侄摘杠您竿岗频迄梦吨唤铭吉止永茄盂橙赐帆眶巧计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,4.3 Windows 2000的安全特性,Windows 2000有数据安全性、企业间通信的安全性、企业和Internet网的单点安全登录、以及易用和良好扩展性的安全管理等安全特性。1. 数据安全性数据安全是指数据的保密性和完整性，Windows 2000的数据安全性表现在：（1）用户登录时的安全性 在用户登录网络时，数据的安全保护开始，Windows 2000使用Kerberos和PKI验证协议提供了强有力的口令保护和单点登录。（2）网络数据的保护网络数据指的是本地网络中数据以及不同网络间传送的数据。 本地网络的数据是由验证协议以及IP Security加密来实现。 网络间传送的数据可以通过IP Security 加密TCP/IP通信、Windows 2000路由和远程访问服务、代理服务等实现。 （3） 存储数据的保护 存储数据的保密在Windows 2000中有文件加密系统以及数字签名等来实现存储数据的保密。,镁浙铭哨秒肘家贬洛欢扦牵面查谷南忱特名如琉剩恬路诗婴打绿眺哥芋晶计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,2. 通信的安全性 Windows 2000提供了多种安全协议和用户模式的内置的集成。它支持虚拟专用网技术以及使用公钥体制并可以使用电子证书来把外部用户映射成为目录服务中的一个用户账户。3. 单点安全登录 Windows 2000的用户单点登录网络后，通过网络验证之后，它就可以根据自己拥有的权限访问其相应的服务，Windows 2000透明地管理一个用户的安全属性(Security Credentials)。4. 安全的管理性 Windows 2000使用安全性模板对计算机进行安全性配置和分析。安全性模板MMC提多种管理模板从而实现了对工作站、服务器、域控制器的安全管理，在这些安全性模板中，可以配置相应的安全策略。,孪慎觅狼瘁踢牺汐矢掺逾网喘瑶鸡非胎妙楼位圆看陨诗帅庐锈歧吴新稳揣计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,4.4 Windows 2000组策略的管理安全,在Windows 2000中的组策略有如下几种： 帐户策略密码策略 配置密码存留期、长度和复杂性 帐户策略帐户锁定策略 配置锁定时间、阈值和复位计数器 帐户策略Kerberos 策略 配置票证寿命 本地策略审计策略 启用/禁用特定事件的记录 本地策略用户权限 定义权限，如本地登录、从网络访问等 本地策略安全选项 修改与注册表值有关的特定安全选项 事件日志 启用成功或失败监视 受限制的组 管理员可控制谁属于特定组 系统服务 控制每个服务的启动模式 注册表 对注册表项配置权限 文件系统 对文件夹、子文件夹和文件配置权限,4.4.1 Windows 2000中的组策略,何赛惺赶丛戌孔驾活喘盼敬腋抑务以秘畏刮赖耘罩蹭钞戎娄畏抨辞醋栖透计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,1. 密码策略 默认情况下，将对域中的所有服务器强制执行一个标准密码策略。下面列出默认设置和最低设置。,斯浑笑漓荔腑旗诞跺植快戏颤殿撅驶枢屿粱颊哆婶扒附蝴里收音盲婉宰磷计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,2. 帐户锁定策略 有效的帐户锁定策略有助于防止攻击者猜出你帐户的密码。下表列出了一个默认帐户锁定策略的设置以及针对您的环境推荐的最低设置。,郭皿绽腆榔板遏罐宛魄令醛瑶狡铺韶恭失粤诀阂阑努拓楔川阿登脚缠熬晋计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,3. 成员服务器基准策略 一旦配置了域级别的设置，就该为所有成员服务器定义公用的设置了。这是通过“成员服务器 OU”中的一个 GPO 完成的，我们称之为基准策略。一个公用的 GPO 可将对各服务器配置特定安全设置的过程自动化。你还需要手动应用一些无法通过组策略完成的附加安全设置。 成员服务器的基准组策略如下： 审计策略 确定如何在你的服务器上执行审计。 安全选项 使用注册表值确定特定的安全设置。 注册表访问控制列表 确定谁可以访问注册表。 文件访问控制列表 确定谁可以访问文件系统。 服务配置 确定哪些服务需要启动、停止、禁用等等。,紊茅赴推罗饿揽沏烘峭局堑展鸵皇赠诽墨绍据俱嚷曳啊蚜屎恬遣鸦耳脸矗计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,4. 禁用自动运行功能 一个媒体插入一个驱动器，自动运行功能就开始从该驱动器读取数据。这样，程序的安装文件和音频媒体上的声音就可以立即启动。为防止可能有恶意的程序在媒体插入时就启动，组策略禁用了所有驱动器的自动运行功能。 在注册表中HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer 下的用以禁用所有驱动器上的自动运行功能的设置 NoDriveTypeAutoRun DWORD 0xFF。5. 成员服务器基准文件访问控制列表策略 为加强文件系统安全，应确保对域中的所有成员服务器公用的目录和文件应用限制性更强的权限。“成员服务器基准安全模板”包含了由 hisecws.inf 模板提供的所有文件访问控制列表并添加了许多文件夹和文件的设置。,偷贴惺耻菌崔侄踞轰所陷咐依毫萌腐亲容脓钙海蚤往观胀算陌躬茁餐舵耳计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,4.4.2 加强内置账户的安全,Windows 2000 有几个内置的用户帐户，它们不可删除，但可以重命名。我们最熟悉的 Windows 2000 中的两个内置帐户是 Guest（来宾）和 Administrator（管理员）。默认情况下，来宾帐户在成员服务器和域控制器上是禁用的。建议不更改此设置。1. 加强本地管理员帐户安全 每一个成员服务器都有一个本地帐户数据库和一个本地管理员帐户，此帐户对该服务器有完全控制权。所以此帐户非常重要。建议重命名此帐户，并确保它使用一个复杂的密码。另外还应确保本地管理员密码未在成员服务器间复制。2. 加强服务帐户安全 Windows 2000 服务一般都在本地系统帐户下运行，但它们也可以在一个域用户或本地帐户下运行。只要可能，就应使用本地帐户而非域用户帐户。每个服务都在其服务帐户的安全上下文中运行，所以如果一个攻击者挟制了某一成员服务器上的一个服务，则该服务帐户可能就会被用来攻击域控制器。在确定使用哪一个帐户作为服务帐户时，应确保为此帐户指定的特权限制在保证此服务成功运行所需的特权范围内。,望材茹冻募绥退趋摧馈绦扇窖石租挂寅标玉暗枷返孟居袭疽集阜架博病冯计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,4.4.3 组策略的安全模板,1. 组策略的配置设置存储位置 组策略的存储位置是GPO位于 Active Directory 中；安全模板文件位于本地文件系统中。对 GPO 所做的更改直接保存在 Active Directory 中，而对安全模板文件所作的更改必须先导回到 Active Directory 内的 GPO 中，才能应用所作的更改。 2. Windows 2000的安全模板Windows 2000的安全模板有如下几种： Basicwk.inf 适用于 Windows 2000 Professional。 Basicsv.inf 适用于 Windows 2000 Server。 Basicdc.inf 适用于基于 Windows 2000 的域控制器。 Securedc.inf 和 Hisecdc.inf 适用于域控制器 。 Securews.inf 和 Hisecws.inf 适用于成员服务器和工作站。,伯雨理备沙硕忌诊东抉锯搞挽赂绪毒计读茸迭船袁漫泽痰争衫烂瞻壁诫零计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,4.4.4 组策略的实现,为了有效使用组策略，最好在两个级别应用安全设置。 域级 一般的安全要求，如对所有服务器使用的帐户策略和审计策略等 OU 级 对特定服务器的安全要求，如IIS 的服务器等。,懊增回钢啄畏烯瑰迂抛椎他祖朗判删什椽尝乾懊址潜起站玩候完他障烽蓖计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,1. 创建 OU 结构 创建OU结构的具体步骤如下：步骤1，单击开始程序管理工具Active Directory 用户和计算机，打开活动目录。 步骤2，右键单击域名，选择新建，然后选择组织单位。 步骤3，键入成员服务器，然后单击确定。 步骤4，右键单击成员服务器，选择新建，然后选择组织单位。 步骤5，键入应用程序服务器，然后单击确定。 对文件和打印服务器、IIS 服务器和基础结构服务器重复第 5 步和第 6 步。 2. 域级策略 在构建 Windows 2000 域时，创建了一个默认的域策略。对于要应用到整个域中的安全设置来说，可执行以下任一操作： 创建另一个策略并将其链接到高于默认策略级别的位置 修改现有的默认策略,嗡瀑篆黍灼琴皇快刚牡昔察戮垃唱斩酵颅赛译鼠皖画母黔慧侯腆块哆陀硝计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,3. “事件日志”中的事件 如果策略已成功下载，将出现包含以下信息的“事件日志”事件： 类型：信息 来源 ID：SceCli 事件 ID：1704 消息字符串：组策略对象中的安全策略被成功应用在应用该策略之后，可能要过几分钟后才显示此消息。如果没有收到成功的事件日志消息，则需要运行 secedit /refreshpolicy machine_policy /enforce，然后重新启动服务器以强制下载策略。在重新启动之后再次检查“事件日志”以验证策略是否已成功下载。,寐红址贩虽契刀目邪批锌盅钨惋写铂仇谨意豪栅沼喉童癸阎帮嘲胯蹦昧廖计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,4. 策略的验证 策略的验证有以下两种方法。 使用“本地安全策略”MMC 验证策略 步骤1，启动本地安全策略 MMC。 步骤2，在安全设置下，单击本地策略，然后单击安全选项。 步骤3，在右窗格中，查看有效设置列。“有效设置”列应当显示在模板中为选定服务器角色配置的设置。 使用命令行工具验证策略 Secedit 此工具包括在 Windows 2000 中，它可用于显示模板文件和计算机的策略之间的区别。若要将某个模板与计算机上的当前策略进行比较，请使用下列命令行： secedit /analyze /db secedit.sdb /cfg ,噬薪淤卢映伴可国邑驱鞠垂伪弄术沿人语叭狠惧遂呀嘻抹啮问窗荚陪裁慢计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,4.5 审计与入侵检测,审计的一个主要目标是识别攻击者对你的网络所采取的操作。一个攻击者可能企图危害网络上的多台计算机和设备，因此为了了解任何攻击的程度，必须能够协调和合并许多计算机中的信息。如果你的日志实用工具将导入到数据库中，那么协调多个日志中的信息就更加容易了。只要所有计算机中的时间是同步的，就可以按时间字段进行排序，并基于时间间隔简化事件跟踪。 审计事件分为两类：成功事件和失败事件。成功事件说明用户成功地获得了访问某种资源的权限，而失败事件则说明用户尝试访问网络的某项资源，但失败了。在Windows 2000 中的安全事件审计类别一般有如下几种： 登录事件 帐户登录事件 对象访问 目录服务访问 特权使用 进程跟踪 系统事件 策略更改,4.5.1 审计,厩儿徘账贱溶芯撂乐侵岿驯戒奶诱恰衡燎殿阔郸庆形峻川枷萧侨驱蕊游畦计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,1. 登录事件 用户每次在计算机上登录或注销时，都会在进行了登录尝试的计算机的安全日志中生成一个事件。另外，在用户连接到远程服务器后，在远程服务器的安全日志中也将生成一个登录事件。在创建或者销毁登录会话和令牌时也会分别创建登录事件。 登录事件对于跟踪以交互方式登录服务器的尝试或者对于调查从特定计算机发动的攻击十分有用。成功审计将在登录尝试成功的情况下生成一个审计项。失败审计将在登录尝试失败的情况下生成一个审计项。 一般在日志中的的登录事件的ID说明如下： 528 用户成功地登录到计算机。 529 有人用未知的用户名进行了登录尝试，或者用已知的用户名进行了登录尝试，但密码不正确。 530 用户帐户试图在不允许的时间进行登录。 531 有人使用一个被禁用的帐户进行登录尝试。 532 有人使用一个过期的帐户进行登录尝试。 533 未允许该用户登录此计算机。,口精尧甲锻晾兢撅疽卷酣改矗寻缸皋庙来捶穿武骄鹿灿申寐电募魁梆矾咀计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,2. 帐户登录事件 在一个用户登录到域时，是在域控制器上对登录进行处理的。如果您审计域控制器上的帐户登录事件，那么您就会看到在对帐户进行验证的域控制器上记录的此登录尝试。帐户登录事件是在身份验证程序包对用户的凭据进行验证时创建的。在使用域凭据的情况下，帐户登录事件只在域控制器的事件日志中生成。如果出示的凭据是本地 SAM 数据库凭据，那么就会在服务器的安全事件日志中创建帐户登录事件。 由于帐户登录事件可以记录在域中的任何有效的域控制器上，因此必须确保将各个域控制器上的安全日志合并，以分析域中的所有帐户登录事件。 与登录事件一样，帐户登录事件也包括计算机登录事件和用户登录事件两种。 作为成员服务器和域控制器基本策略的组成部分，对成功和失败帐户登录事件的审计已启用。因此对于网络登录和终端服务身份验证，出现在事件日志中的帐户登录事件ID如下： 672 成功地发出并验证了身份验证服务 (AS) 票证。 673 授予了票证授予服务 (TGS) 票证。,宏延券态拦惨亡责纸派瘩溺棘协够再借侧酪酝猜煮她莆脖郁腮缕酣瓜阶蝇计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,3. 帐户管理 帐户管理审计用于确定用户或组是在何时创建、更改或删除的。此审计可用于确定何时创建了安全主体，以及什么人执行了该任务。 作为成员服务器和域控制器基本策略的组成部分，帐户管理中的对成功和失败的审计已启用。出现在事件日志中的帐户管理事件 ID。 624 创建了用户帐户。 625 更改了用户帐户类型。 626 启用了用户帐户。 627 尝试了密码更改。 628 设置了用户帐户密码。 629 禁用了用户帐户。 630 删除了用户帐户。 631 创建了启用安全的全局组。 632 添加了启用安全的全局组成员。 633 删除了启用安全的全局组成员。 634 删除了启用安全的全局组。 635 创建了禁用安全的本地组。,剿俘腋郎喀剧虞部评拨溃着晦览蝗滴嘛鸥姓身褪弥棋泌蚌铡娘炭麻坛雪蝶计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,4. 对象访问 可以用系统访问控制列表 (SACL) 对基于 Windows 2000 的网络中的所有对象启用审计。SACL 包含一个将要审计其对对象进行的操作的用户和组的列表。在 Windows 2000 中几乎用户可以操作的任何对象都有一个 SACL。这些对象包括 NTFS 驱动器上的文件和文件夹，打印机和注册表项。 SACL 由访问控制项 (ACE) 组成。每个 ACE 都包含三部分信息： 要对其进行审计的安全主体 要审计的特定访问类型，称为“访问掩码” 一个指示要审计失败访问、成功访问还是两种访问都审计的标志 如果希望让事件出现在安全日志中，则必须首先启用审计对象访问，然后对每个需要对其进行审计的对象定义 SACL。 审计对象访问出现在事件日志中ID如下： 560 授予了对现有的对象的访问权。 562 关闭了一个对象的句柄。,贼户错摹斯见湃颜鹅寂铆周创希沂诌家梳辽么亏挤盆膝债堡午藐暂主毕倒计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,5. 目录服务访问 Active Directory 对象具有与它们关联的 SACL，因此也可以对它们进行审计。通过审计帐户管理来审计 Active Directory 用户帐户和组帐户。要审计对其他名称上下文中的对象的修改，则必须审计对象访问，可以使用 ADSIEDIT MMC 管理单元来修改配置名称上下文的容器和对象的 SACL。完成这项工作的步骤是：在 ADSIEDIT 控制台中显示所需的上下文，然后在高级安全设置对话框中修改对象的 SACL。 由于会发生大量的事件，因此很难找到目录服务访问的特定事件。因此，对于目录服务访问，成员服务器和域控制器基本策略只审计失败的事件。这将有助于识别一个攻击者试图对 Active Directory 进行未经授权的访问。 尝试的目录访问将在安全日志中显示为 ID 为 565 的目录服务事件。只有通过查看安全事件的详细信息才能确定该事件对应于哪一个对象。,惠漱萎村极子彦戳厘冲励釉豺戊弥遏违煮措浑熬瓦熙植刨慕廊衣潍挣烤规计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,6. 特权使用 用户在网络中，他们就会行使所规定的用户权限。如果审计“特权使用”的成功和失败，那么每次一个用户尝试行使用户权限时都会生成一个事件。 审计特权使用时并非对所有用户权限进行审计，以下列用户权限不在其内： 绕过遍历检查。 调试程序。 创建令牌对象。 替换进程级别的令牌。 生成安全审计。 备份文件和目录。 还原文件和目录。 启用了对特权使用的审计出现在事件日志中的特权使用事件ID如下： 576 向用户的访问令牌中添加了指定的特权。（在用户登录时生成此事件。） 577 一个用户试图执行一个特权系统服务操作。 578 有人在受保护对象的已打开句柄上使用了特权。,斋嘘隙观粱泰付席载呼豺铝坟逮遗楞昌梯幢澜爵噎惕兑茧诅猜栓伤遣锤桅计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,7. 进程跟踪 如果审计在基于 Windows 2000 的计算机上运行的进程的详细跟踪信息，那么事件日志将显示创建进程和结束进程的尝试。事件日志还会记录一个进程尝试生成一个对象的句柄或尝试获取对一个对象的间接访问权的时间。 由于会产生大量的审计项，因此成员服务器和域控制器基本策略不启用对进程跟踪的审计。选择审计成功和失败的进程跟踪，将会在事件日志中记录下面的事件 ID。 592 创建了一个新进程。 593 一个进程已退出。 594 复制了一个对象的句柄。 595 获得了对一个对象的间接访问权。8. 系统事件 在一个用户或进程改变计算机环境的某些方面时会生成系统事件。可以审计对系统进行更改的尝试，如关闭计算机或更改系统时间。 审计系统事件，则也要审计清除安全日志的时间。这是很重要的，因为攻击者往往试图在对环境进行更改之后清除他们的踪迹。 成员服务器和域控制器基本策略对成功和失败的系统事件进行审计。出现在事件日志中的系统事件ID。,隐钡寞辨氟疟傲缮霖甩儡摄驾稗谴帆措轰往卑头泉严布携我沏史揪择灯迭计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,9. 策略更改 审计策略应定义将审计对你网络中的修改，它会有助于确定是否有攻击你的网络的企图。攻击者会设法修改审计策略本身，以使他们进行的任何更改不会被审计到。 如果你网络中的审计策略更改，你会发现修改审计策略的企图以及对其他策略和用户权限的更改。成员服务器和域控制器基本策略对成功和失败的审计策略更改进行审计。出现在事件日志中的策略更改事件ID。 608 授予了用户权限。 609 删除了用户权限。 610 与另一个域建立了信任关系。 611 删除了与另一个域的信任关系。 612 更改了审计策略。 768 在一个目录林中的命名空间元素和另一个目录林中的命名空间元素之间检测到了冲突。 （在一个目录林中的命名空间元素与另一个目录林中的命名空间元素重叠时发生。）,稳驳出滔蒲及庇禹卿咽锣湃担厩卑傲驰角琉个凉芝肯疙俩蝗沏抹榆偿偶缕计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,10. 第三方应用程序 有多个第三方应用程序可实现本地日志记录功能，以提供有关该应用程序的详细信息。维护日志文件的所有计算机都应使用同步时钟。这样可以使管理员比较计算机与计算机以及服务与服务之间的事件，以确定哪些操作是由攻击者进行的。许多针对计算机的攻击都是这样实现的：攻击安装在目标计算机上的服务，或者将有效的驱动程序替换为包含特洛伊木马的驱动程序版本，以给予攻击者访问目标计算机的权限。 下面的工具可用于监视已安装在计算机上的服务和驱动程序。 服务控制台服务 MMC 控制台用于监视本地计算机或远程计算机的服务，并允许管理员配置、暂停、停止、启动和重新启动所有已安装的服务。可使用此控制台确定是否存在已配置为自动启动的服务当前未启动的情况。,名财吠炬镊撞绦陛姓柞淤吓春彭伟刊姓湃另塞逃赞汤灸仁过夹孽粪击赵至计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理, Netsvc.exe此命令行工具包含在 Windows 2000 Server Resource Kit（Windows 2000 Server 资源工具包）中，它使管理员能够从命令行远程启动、停止、暂停、继续服务和查询服务的状态。 SvcMon.exe此工具监视本地和远程计算机上服务的状态变化（启动或停止）。为检测这些变化，Service Monitoring Tool 实现一种轮询系统。在受监视的服务停止或启动时，Service Monitoring Tool 会通过电子邮件通知你。你必须使用 Service Monitor Configuration Tool (smconfig.exe) 来配置服务器、轮询间隔和要监视的服务。 Drivers.exe此工具可显示在执行该工具的计算机上安装的所有设备驱动程序。该工具的输出包括驱动程序的文件名、磁盘上的驱动程序的大小以及链接该驱动程序的日期等信息。链接日期可用于识别任何新安装的驱动程序。如果更新后的驱动程序不是最近安装的，则可以表明它是被替换的驱动程序。应始终将此信息与“事件查看器”中的系统重新启动事件相关联。,硼刊众浮闸噶谁碎辕妇耘鸭鞭圭拟氨谱打沾窿狗奔话弗仔半睫喇专唇舅梅计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,4.5.2 入侵检测,1. 扫描端口Netstat.exe 是一种命令行实用工具，可以显示 TCP 和 UDP 的所有打开的端口。Netstat 命令的语法格式如下： NETSTAT -a -e -n -s -p proto -r interval 2. 通过事件查看器中的筛选器 被动式检测方法 被动式侵入检测系统涉及对事件日志和应用程序日志进行手动检查。检查涉及分析和检测事件日志数据中的攻击模式。有多种工具、实用工具和应用程序可以帮助检查事件日志。本节概述了如何使用每一种工具来协调信息。 事件查看器 Windows 2000 安全日志当然可以使用 Windows 2000 事件查看器 MMC 控制台来查看。事件查看器可以用来查看应用程序日志、安全日志和系统日志。可以在“事件查看器”中定义筛选器以查找特定的事件。,哎溪鳖秀痰翅皆棒脸锡说仰尔荫超申戊欢揩鞍叹搏棋兴扯野讼脐蛤乍蛀荣计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,3. Dump Event Log Tool（转储事件日志工具）(Dumpel.exe) Dump Event Log（转储事件日志）是一种命令行工具，它包含在 Windows 2000 Server Resource Kit，Supplement One（Windows 2000 Server 资源工具包，它可将本地或远程系统的事件日志转储到一个制表符分隔的文本文件中。然后可以将此文件导入到电子表格或数据库中以便进行进一步的研究。该工具还可以用于筛选或过滤掉某些事件类型。 dumpel.exe 工具使用下面的语法： dumpel -f file -s server -l log -m source -e n1 n2 n3.-r -t -d x,墙沼宏每焚幻典缴肚向核掣寡耙氟告掏暮瞎方驮专赋上判栽锋疆膏绘吸刀计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理,4. ISA Server 的侵入检测功能 ISA Server 包含了一个集成的侵入检测系统，该系统可以判断对你的网络进行攻击的企图并以一组预配置的操作或警告作出响应。为检测出有害的侵入