网络安全技术与实训第2章PPT演示文稿

1、第2章 操作系统安全理论知识,学习目标,掌握操作系统中密码策略、帐户锁定策略和密码认证方式的配置； 知道NTFS的作用、NTFS权限的种类和应用规则； 掌握NTFS权限的配置； 了解端口的重要性、分类、查看方法和防范策略； 熟悉通过IP安全策略实现端口关闭的配置步骤和过程； 熟悉通过软件限制策略实现对客户端安装和运行软件的限制； 理解注册表与网络安全之间的关系，并能通过修改注册表保护系统安全； 学会查看操作系统的系统日志，掌握安全审核策略的配置； 掌握操作系统的各种备份和恢复方法。,学习内容,2.1 用户帐号安全 2.2 文件访问安全 2.3 端口安全与防范 2.4 软件安全 2.5 注册表安

2、全 2.6 系统日志的安全审计 2.7 系统备份与恢复,2.1 用户帐号安全,2.1 用户帐号安全,密码策略 密码必须符合复杂性要求。 (1)不包含全部或部分的用户账户名。 (2)长度至少为8个字符，包含来自以下4个类别中的字符 英文大写字母（从AZ）； 英文小写字母（从az）； 10个基本数字（从09）； 非字母字符（例如，!、$、#、%）。 (3)更改或创建密码时，会强制执行复杂需求检测。,2.1 用户帐号安全,密码策略 2密码长度最小值。 通过将字符数设置为0，可设置不需要密码。 3密码最长使用期限 4密码最短使用期限 5强制密码历史 该策略通过确保旧密码不能继续使用，从而使管理员能够增

3、强安全性。 6用可还原的加密来储存密码。,2.1 用户帐号安全,账户锁定策略 1帐户锁定阈值 该安全设置确定造成用户账户被锁定的登录失败尝试的次数。 2账户锁定时间 该安全设置确定锁定的账户在自动解锁前保持锁定状态的分钟数。 3复位账户锁定计数器 确定在登录尝试失败计数器被复位为0（即0次失败登录尝试）之前，尝试登录失败之后所需的分钟数。,2.1 用户帐号安全,账户锁定策略 4账户策略安全设置 (1)“密码必须符合复杂性要求”：已启用，必须启用。 (2)“密码长度最小值”：8个字符或者更高。 (3)“账户锁定阀值”：3次（或者略高）无效登录。 (4)“账户锁定时间”：30分钟（默认值，可根据实

4、际需要更改）。 (5)“复位账户锁定计数器”：30分钟（默认值，可根据实际需要更改）之后。,2.1 用户帐号安全,密码认证方式选择： 1用户下次登录时须更改密码 当希望该用户成为唯一知道其密码的人时，应当使用该选项。 2用户不能更改密码 当希望保留对用户账户（如来宾或临时账户）的控制权时，或者该账户是由多个用户使用时，应当使用该选项。此时，不选择“用户下次登录时须更改密码”复选框。 3密码永不过期 为了防止用户密码过期，建议账户启用该选项，并且应使用强密码，而其他类型的用户则应当取消对该复选框的选择。,2.1 用户帐号安全,密码认证方式选择： 4账户已禁用 选择禁用该用户账户。当员工暂时离开公

5、司时（如休假），其账户应当被禁用。除非有特殊应用，否则Guest账户应当被禁用。 5共享文件夹权限,11,2.1 用户帐号安全,实训2-1：Windows的账号安全性,2.2 文件访问安全,2.2 文件访问安全,1NTFS 文件系统的主要功能 （1）更好的伸缩性：划分NTFS 分区要比 FAT 分区大得多，当分区大小增加时，NTFS 的性能并不会降低，而在此情形下 FAT 的性能会降低。 （2）域控制器和Active Directory ，需要使用 NTFS。 （3）压缩功能：包括压缩或解压缩驱动器、文件夹或者特定文件的功能。 （4）文件加密：它极大地增强了安全性。,2.2 文件访问安全,1N

6、TFS 文件系统的主要功能 （5）远程存储：使可移动媒体(如磁带)更易访问，从而扩展了磁盘空间。 （6）恢复磁盘活动的日志记录：它允许NTFS在断电或发生其他系统问题时尽快地恢复信息。 （7）磁盘配额：可用来监视和控制单个用户使用的磁盘空间量。,2.2 文件访问安全,2创建NTFS文件系统的方法 （1）格式化磁盘。格式化的时候选择NTFS文件系统，不过格式化后分区内数据全部丢失。 （2）FAT文件系统转换为NTFS文件系统并保留原有数据。,2.2 文件访问安全,3NTFS安全权限介绍 完全控制：对文件或者文件夹可执行所有操作。 修改：可以修改、删除文件或者文件夹。 读取和运行：可以读取内容，并

7、且可以执行应用程序。 列出文件夹目录：可以列出文件夹内容，此权限只针对文件夹存在。 读取：可以读取文件或者文件夹的内容。 写入：可以创建文件或者文件夹。 特别的权限：其他不常用权限，比如删除权限的权限。,2.2 文件访问安全,4NTFS权限的应用规则 权限是累积的。 权限的继承。 权限的拒绝 移动和复制操作对权限的影响,18,2.2 文件访问安全,实训2-2：NTFS安全权限设置,2.3 端口安全与防范,2.3 端口安全与防范,端口的重要性 端口是计算机与外界通讯交流的出口。 联网的计算机之间要相互通信就必须具有同一种协议。 端口就是为这两个协议打开的通道。 硬件领域的端口又称接口。 软件领域

8、的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和IO(基本输入输出)缓冲区。 在网络安全威胁中，病毒侵入、黑客攻击、软件漏洞、后门以及恶意网站没置的陷阱都与端口密切相关。 了解端口，管理好端口是保证网络安全的重要方法。,2.3 端口安全与防范,端口的分类 按照协议类型分类， TCP端口 UDP端口 端口的范围 公认端口： 从0到1023 注册端口： 从1024到4915l。 动态（私有）端口： 从49152至065535,2.3 端口安全与防范,端口的查看方法 1netstat命令 Netstat命令显示协议统计和当前的TCPIP网络连接。 2

9、使用端口扫描软件 端口攻击的防范对策 1系统内置的管理工具 （1）设置TCP/IP筛选 （2）关闭无用的服务 （3）创建IP安全策略 （4）禁用未使用的端口 关闭7.9等等端口,2.3 端口安全与防范,端口攻击的防范对策 1系统内置的管理工具 （4）禁用未使用的端口 关闭80口 关掉25端口 关掉21端口 关掉23端口 关闭server服务 关掉139端口 关闭445端口 （5）开启Windows自带的网络防火墙。 2用第三方软件管理端口,24,2.3 端口安全与防范,实训2-3：配置IP安全策略关闭端口,2.4 软件安全,2.4 软件安全,软件限制策略 1使用软件限制策略可以实现以下目的 （

10、1）控制软件在系统中的运行能力。 （2）允许用户在多用户计算机上仅运行特定文件。 （3）决定可以在计算机中添加信任的发布者的用户。 （4）控制软件限制策略是作用于所有用户，还是仅作用于计算机上的某些用户。 （5）阻止任何文件在本地计算机、组织单位、站点或域中运行,2.4 软件安全,软件限制策略 2软件限制策略通过使用规则来标识和控制软件的运行方式。 （1）哈希（散列）规则 散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。 （3）路径规则 路径规则通过程序的文件路径对其进行标识。 （4）Internet 区域规则 区域规则只适用于 Windows 安装程序包。 （5）软件限制策略

11、优先权规则 规则按特定顺序进行评估。与程序匹配程度较高的规则比与同一程序匹配程度较低的规则优先。,2.4 软件安全,软件限制策略 3软件限制策略的优缺点 优点： 它是系统的一部分，不存在兼容性问题，不占用内存，属于系统最底层保护，保护能力远高于HIPS。 缺点 与HIPS相比，它不够灵活和智能，不存在学习模式，它只会默认阻止或放行，不会询问用户，若规则设置不当，可能导致某些程序不能运行。,2.4 软件安全,软件限制策略 4软件限制策略的环境变量、通配符和优先级 （1）环境变量 %USERPROFILE% 表示 C:Documents and Settings当前用户名 %ALLUSERSPRO

12、FILE% 表示 C:Documents and SettingsAll Users %APPDATA% 表示 C:Documents and Settings当前用户名Application Data %ALLAPPDATA% 表示 C:Documents and SettingsAll UsersApplication Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示C: %SYSTEMROOT% 表示 C:WINDOWS,2.4 软件安全,软件限制策略 4软件限制策略的环境变量、通配符和优先级 （2）通配符 ? 表示任意单个字符 * 表示任意多个字符 *或*

13、? 表示零个或多个含有反斜杠的字符,即包含子文件夹,2.4 软件安全,软件限制策略 4软件限制策略的环境变量、通配符和优先级 （3）规则优先级 总的原则是规则越匹配越优先。 绝对路径通配符全路径 文件名规则目录型规则 环境变量 = 相应的实际路径 = 注册表键值路径 对于同是目录规则，则能匹配的目录级数越多的规则越优先，对于同是文件名规则，优先级均相同。 散列规则比任何路径规则优先级都高。 若规则的优先级相同，按最受限制的规则为准。,2.4 软件安全,软件限制策略在操作系统安全中的应用 禁止双扩展名与U盘运行文件 阻止恶意程序运行 禁止伪装进程,33,2.4 软件安全,实训2-4：利用软件限制

14、策略限制客户端安装和运行软件,2.5 注册表安全,2.5 注册表安全,注册表介绍 注册表是Windows系统存储关于计算机配置信息的数据库，包括了系统运行时需要调用的运行方式的设置。 注册表按层次结构来组织，由项、子项、配置单元和值项组成。,2.5 注册表安全,注册表介绍 注册表中包括如下各项： HKEY_CURRENT_USER：包含当前登录用户的配置信息的根目录。 HKEY_USERS：包含计算机上所有用户的配置文件的根目录。HKEY_CURRENT_USER是HKEY_USERS的子项 HKEY_LOCAL_MACHINE：包含针对该计算机（对于任何用户）的配置信息。 HKEY_CLAS

15、SES_ROOT：是HKEY_LOCAL_MACHINESoftware的子项。 HKEY_CURRENT_CONFIG：包含本地计算机在系统启动时所用的硬件配置文件信息。,2.5 注册表安全,注册表与网络安全 在网络给我们的工作学习带来极大方便的同时，病毒、木马、后门以及黑客程序也严重影响着信息的安全。 这些程序感染计算机的一个共同特点是在注册表中写入信息，来达到如自动运行、破坏和传播等目的。 通过修改注册表来对付病毒、木马、后门以及黑客程序，保证个人计算机的安全。,38,2.5 注册表安全,实训2-5：修改注册表实现网络安全,2.6 系统日志的安全审计,2.6 系统日志的安全审计,系统日志

16、 系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。 用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。 可以记入日志的事件类型包括 用户和进程的登录和登出； 对系统相关的数据和设备的访问； 改变用户帐号和用户组； 改变对系统数据和资源的访问权限； 关闭或重启系统，注册可信的登录进程， 或者其它影响系统安全的活动； 进程执行和跟踪；政策改变。,2.6 系统日志的安全审计,系统日志 事件查看器显示五种类型的事件： 错误、警告、信息、审核成功和审核失败。 审核设置的选项有：成功、失败和不审核。 事件包括以下领域：数据、时间、用户、计算机、事件ID

17、，源、类型和种类,2.6 系统日志的安全审计,安全审计 安全审计对于任何企业网络来说都极其重要，因为可能只有审核日志能说明是否出现了违反安全的事件。如果用一些其他的方法发现违反安全事件，则适当的审核设置将产生包含有关违反安全事件的重要信息的审核日志。 失败日志比成功日志更有意义。,2.6 系统日志的安全审计,安全审计 事件日志记录计算机上发生的事件，Microsoft Windows 操作系统中有单独的应用程序、安全性事件和系统事件的事件日志。 安全日志记录审核事件。 使用组策略的事件日志容器来定义与应用程序、安全性和系统事件日志有关的属性，比如最大日志文件大小、对每个日志的访问权限，以及保留

18、设置和方法。 在实施任何审核过程之前，组织应确定将如何收集、组织和分析数据。,44,2.6 系统日志的安全审计,实训2-6：Windows 2003系统的安全审计,2.7 系统备份与恢复,2.7 系统备份与恢复,备份模式 1.联机备份 联机备份在系统处于联机状态时进行，因此该策略造成的中断最小。 联机备份通常用于必须保持全天可用的应用程序。 联机备份的优点如下: 没有服务中断：在备份过程中用户可以照常使用应用程序和数据。 不需要在加班时间进行备份：联机备份可以安排在正常工作时间进行。 完全或部分备份：备份可以是完全备份或部分备份。,2.7 系统备份与恢复,备份模式 1.联机备份 联机备份的缺点

19、如下： 服务器性能：在备份过程中，服务器的性能可能会下降。 打开的文件：有些打开的数据文件可能无法备份，这取决于备份过程中哪些应用程序处于活动状态。,2.7 系统备份与恢复,备份模式 2. 脱机备份 脱机备份在系统和服务处于脱机状态下进行。 脱机备份的优点如下： 完全或部分备份：脱机备份可以是完全备份或部分备份。 性能：脱机备份的备份性能较好，这是因为服务器可以专用于备份任务。 全部文件备份：可以备份所有数据，这是因为在备份过程中没有正在运行的应用程序，也就没有打开的文件 脱机备份的缺点是在备份过程中用户将无法访问数据。,2.7 系统备份与恢复,备份类型 1 完全备份 完全备份会备份所有数据，包括所有硬盘上的文件。 优点 完整复制数据：完全备份意味着，如果需要恢复系统，那么用户将拥有所有数据的完整副本。 快速访问备份数据：不必在多个磁带中搜索要还原的文件，这是因为完全备份包括某一时刻硬盘上的所有数据。 缺点 冗余数据：完全备份包含冗余数据，这是因为执行完全备份时会将发生更改和未发生更改的数据都备份到存储介质上。 时间长：执行完全备份需要较长时间。 备份需要的存储容量