操作系统安全配置

1、操作系统安全配置操作系统安全配置1 1 操作系统的安全基础知识操作系统的安全基础知识2 windows2 windows操作系统的安全配置操作系统的安全配置3 3 操作系统安全配置实验操作系统安全配置实验第一部分 操作系统的安全基础知识 计算机操作系统是计算机系统配置中最重要计算机操作系统是计算机系统配置中最重要的软件，操作系统安全是系统安全的基础，上层的软件，操作系统安全是系统安全的基础，上层软件要获得运行的可靠性和信息的完整性、保密软件要获得运行的可靠性和信息的完整性、保密性，必须依赖于操作系统提供的系统软件基础。性，必须依赖于操作系统提供的系统软件基础。在网络环境中，网络安全性依赖于网络

2、中各主机在网络环境中，网络安全性依赖于网络中各主机的安全性，而主机的安全性是由其操作系统的安的安全性，而主机的安全性是由其操作系统的安全性所决定的。全性所决定的。操作系统概述1 通常计算机由两部分组成：硬件和软件。是是 中国操作系统分布统计列表2016.05类类别别级级别别名称名称主要特征主要特征AA1 验证设计验证设计形式化的最高级描述和验证，形式化的形式化的最高级描述和验证，形式化的隐蔽通道分析，非形式化的代码对应证隐蔽通道分析，非形式化的代码对应证明明BB3安全区域安全区域存取监控，高抗渗透能力存取监控，高抗渗透能力B2结构化保护结构化保护形式化模型形式化模型/隐通道约束、面向安全的体隐

3、通道约束、面向安全的体系结构，较好的抗渗透能力系结构，较好的抗渗透能力B1标识的安全保护标识的安全保护强制存取控制、安全标识强制存取控制、安全标识CC2受控制的存取控制受控制的存取控制单独的可查性、广泛的审计跟踪单独的可查性、广泛的审计跟踪C1自主安全保护自主安全保护自主存取控制自主存取控制DD低级保护低级保护相当于无安全功能的个人微机相当于无安全功能的个人微机TCSEC:可信计算机系统安全等级GB 17859-1999操作系统操作系统级别级别OSF/1OSF/1B1B1级级Linux/Unix/NetwareLinux/Unix/NetwareC2C2级级MS WinNT/2000 XP 7

4、MS WinNT/2000 XP 7C2C2级级DOS/Win9XDOS/Win9XD D级级几种操作系统的安全等级帐号安全管理帐号安全管理 网络安全管理网络安全管理IEIE浏览器浏览器注册表注册表WindowsWindows组策略组策略WindowsWindows权限权限WindowsWindows安全审计安全审计第二部分：Windows操作系统配置用户账户是用来记录用户的用户名和口令、隶属的组、可以访问的网络资源，以及用户的个人文件和设置。每个用户都应在域控制器中有一个用户账户，才能访问服务器，使用网络上的资源。用户帐户如果用户使用帐户凭据(用户名和口令)成功通过了登录认证，之后他执行的所

5、有命令都具有该用户的权限。于是，执行代码所进行的操作只受限于运行它的帐户所具有的权限。恶意黑客的目标就是以尽可能高的权限运行代码。那么，黑客首先需要“变成”具有最高权限的帐户。帐户名帐户名注释注释SYSTEMSYSTEM或或LocalSystemLocalSystem本地计算机的全部特权本地计算机的全部特权AdministratorAdministrator本地计算机的全部特权本地计算机的全部特权GuestGuest非常有限特权，默认禁止非常有限特权，默认禁止IUSR_IUSR_计算机名计算机名IISIIS的匿名访问，是的匿名访问，是GuestsGuests组成员组成员IWAM_IWAM_计算

6、机名计算机名IISIIS的进程外，应用程序作为这个的进程外，应用程序作为这个帐户运行，帐户运行，GuestsGuests组成员组成员TSInternetUserTSInternetUser用于终端服务用于终端服务krbtgtkrbtgtKerberosKerberos密钥分发中心服务帐户，密钥分发中心服务帐户，只在域控制器上出现，默认是禁止只在域控制器上出现，默认是禁止的的Windows内建帐户内建帐户组是用户帐户集合的一种容器；组是用户帐户集合的一种容器；Windows 2000Windows 2000具有一些内建的组，它们是预定义具有一些内建的组，它们是预定义的用户容器，也具有不同级别的权

7、限；的用户容器，也具有不同级别的权限；放到一个组中的所有帐户都会继承这些权限；放到一个组中的所有帐户都会继承这些权限；最简单的一个例子是本地的最简单的一个例子是本地的AdministratorsAdministrators组，组，放到该组中的用户帐户具有本地计算机的全部权放到该组中的用户帐户具有本地计算机的全部权限。限。组帐户名帐户名注释注释AdministratorsAdministrators成员具有本地计算机的全成员具有本地计算机的全部权限部权限UsersUsers本地计算机上全部帐户，本地计算机上全部帐户，权限较低权限较低GuestsGuests与与UsersUsers具有相同权限具有

8、相同权限Authenticated Authenticated UsersUsers隐藏组，包含所有已登录隐藏组，包含所有已登录帐户帐户Backup Backup OperatorsOperators没有没有AdministratorsAdministrators权限权限高，但接近高，但接近Windows内建组内建组帐户名帐户名注释注释INTERACTIVEINTERACTIVE包括通过物理控制台或者终端服务登包括通过物理控制台或者终端服务登录到本地系统的所有用户录到本地系统的所有用户EveryoneEveryone当前网络所有用户，包括当前网络所有用户，包括GuestsGuests和来和来自

9、其他域的用户自其他域的用户NetworkNetwork通过网络访问指定资源的用户通过网络访问指定资源的用户Windows特殊组特殊组实例：账号安全管理 具体见任务书帐号安全管理帐号安全管理 网络安全管理网络安全管理IEIE浏览器浏览器注册表注册表WindowsWindows组策略组策略WindowsWindows权限权限WindowsWindows安全审计安全审计第二部分：Windows操作系统配置 端口是计算机和外部网络相连的逻辑接端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全。确与否直接影响到主机的安

10、全。 一般来说，只打开需要使用的端口会比一般来说，只打开需要使用的端口会比较安全。较安全。端口的概念端口的概念端口的分类 065535个 其0-1024为知名端口，常用的端口 1025-65535为动态端口，不常用。端口端口21 21 服务：服务：FTP FTP 说明：说明：FTPFTP服务器所开放的端口，用于上传、下载。服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开最常见的攻击者用于寻找打开anonymousanonymous的的FTPFTP服务服务器的方法。这些服务器带有可读写的目录。器的方法。这些服务器带有可读写的目录。端口端口23 23 服务：服务：Telnet Tel

11、net 说明：远程登录，入侵者在搜索远程登录说明：远程登录，入侵者在搜索远程登录UNIXUNIX的服的服务。大多数情况下扫描这一端口是为了找到机器运务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找行的操作系统。还有使用其他技术，入侵者也会找到密码。木马到密码。木马Tiny Telnet ServerTiny Telnet Server就开放这个端口就开放这个端口端口：端口：25 25 服务：服务：SMTP SMTP 说明：说明：SMTPSMTP服务器所开放的端口，用于发送邮件。服务器所开放的端口，用于发送邮件。端口：端口：80 80 服务：服务：HTTP

12、 HTTP 说明：用于网页浏览。木马说明：用于网页浏览。木马ExecutorExecutor开放此端口。开放此端口。端口的作用端口的作用端口：端口：137137、138138、139 139 服务：服务：NETBIOS Name Service NETBIOS Name Service 说明：其中说明：其中137137、138138是是UDPUDP端口，当通过网上邻居传输文端口，当通过网上邻居传输文件时用这个端口。而件时用这个端口。而139139端口：通过这个端口进入的连接端口：通过这个端口进入的连接试图获得试图获得NetBIOS/SMBNetBIOS/SMB服务。服务。 端口：端口：161

13、161 服务：服务：SNMP SNMP 说明：说明：SNMPSNMP允许远程管理设备。所有配置和运行信息的储允许远程管理设备。所有配置和运行信息的储存在数据库中，通过存在数据库中，通过SNMPSNMP可获得这些信息。可获得这些信息。 端口：端口：443 443 服务：服务：Https Https 说明：网页浏览端口，能提供加密和通过安全端口传输的说明：网页浏览端口，能提供加密和通过安全端口传输的另一种另一种HTTPHTTP端口：端口：3389 3389 服务：超级终端服务：超级终端 说明：说明：WINDOWS 2000WINDOWS 2000终端开放此端口终端开放此端口端口：端口：4000 4

14、000 服务：服务：QQQQ客户端客户端 说明：腾讯说明：腾讯QQQQ客户端开放此端口。客户端开放此端口。端口：端口：8000 8000 服务：服务：OICQ OICQ 说明：腾讯说明：腾讯QQQQ服务器端开放此端口服务器端开放此端口 端口：端口：8010 8010 服务：服务：Wingate Wingate 说明：说明：WingateWingate代理开放此端口代理开放此端口 端口：端口：8080 8080 服务：代理端口服务：代理端口 说明：说明：WWWWWW代理开放此端口代理开放此端口NetBIOSNetBIOS(NetBIOS(网络基本输入网络基本输入/ /输出系统输出系统) )：最初

15、由：最初由IBMIBM开开发，发，MSMS利用利用NetBIOSNetBIOS作为构建作为构建LANLAN的上层协议；的上层协议；NetBIOSNetBIOS使得程序和网络之间有了标准的接口，方使得程序和网络之间有了标准的接口，方便应用程序的开发。并且可以移植到其他的网络便应用程序的开发。并且可以移植到其他的网络中；中；NetBIOSNetBIOS位于位于OSIOSI模型的会话层，也位于模型的会话层，也位于TCP/IPTCP/IP之之上。上。NetBIOSNetBIOS有两种通讯模式：有两种通讯模式：l会话模式：会话模式：一对一通讯，一对一通讯，LANLAN中的机器之间建立会话，可以传输较多的

16、信中的机器之间建立会话，可以传输较多的信息，并且可以检查传输错误；息，并且可以检查传输错误；l数据报模式：数据报模式：广播或者一对多的通讯，传输数据大小受限制，没有错误检广播或者一对多的通讯，传输数据大小受限制，没有错误检查机制，也不必建立通讯会话。查机制，也不必建立通讯会话。NetBIOS over TCP/IPNetBIOS over TCP/IP，支持三种服务：，支持三种服务： 名字服务；名字服务； 会话服务；会话服务； 数据报服务。数据报服务。NETBIOS：端口服务名称服务名称协议协议端口号端口号NetBIOSNetBIOS名称服务名称服务UDPUDP137137NetBIOSNet

17、BIOS数据报服务数据报服务 UDPUDP138138NetBIOSNetBIOS会话服务会话服务TCPTCP139139TCPTCP上的上的SMBSMB服务服务TCPTCP445445NetBIOS：Null session漏洞Win2000Win2000中，中，null sessionnull session是系统内置的一个功能：是系统内置的一个功能：u WindowsWindows的网络资源共享通过的网络资源共享通过445445端口和端口和139139端口；端口； NullNull会话是同服务器建立的无信任支持的会话；会话是同服务器建立的无信任支持的会话； NullNull会话也需要提供

18、一个令牌，但是，令牌中不包会话也需要提供一个令牌，但是，令牌中不包含用户信息，但是有一个含用户信息，但是有一个SIDSID，所对应的用户名为，所对应的用户名为Anonymous Logon(Anonymous Logon(在用户列表中能看得到在用户列表中能看得到) )； NullNull会话的用途：有一些系统功能需要用到会话的用途：有一些系统功能需要用到null null sessionsession。NetBIOS：Null session漏洞 Null Session的条件的条件 通过通过139端口或者端口或者445端口；端口； 系统打开系统打开IPC$共享。共享。 做法：做法：C:net

19、 use Ip-addressIPC$ “” /u:”NetBIOS：Null session漏洞对策禁止禁止135139135139和和445445端口的使用；端口的使用；禁止禁止SMBSMB服务服务修改注册表修改注册表HKLMSYSTEMCurrentControlSetControlLSAHKLMSYSTEMCurrentControlSetControlLSA中的中的RestrictAnonymous = 2RestrictAnonymous = 2实例：账号安全管理 具体见任务书帐号安全管理帐号安全管理 网络安全管理网络安全管理IEIE浏览器浏览器注册表注册表WindowsWindo

20、ws组策略组策略WindowsWindows权限权限WindowsWindows安全审计安全审计第二部分：Windows操作系统配置实例：IE浏览器 具体见任务书帐号安全管理帐号安全管理 网络安全管理网络安全管理IEIE浏览器浏览器注册表注册表WindowsWindows组策略组策略WindowsWindows权限权限WindowsWindows安全审计安全审计第二部分：Windows操作系统配置注册表注册表（注册表（RegistryRegistry）是微软公司从）是微软公司从Windows95Windows95系统系统开始开始( (至目前最新至目前最新Win2000Win2000系统依然使用

21、的是它系统依然使用的是它) )，引入用于代替原先引入用于代替原先Win32Win32系统里系统里.ini.ini文件，管理配文件，管理配置系统运行参数的一个全新的核心数据库。置系统运行参数的一个全新的核心数据库。注册表注册表采用注册表采用“关键字关键字”及其及其“键值键值”来描述登录来描述登录项及其数据；项及其数据；在注册表编辑器右窗格中，保存的都是键值项数在注册表编辑器右窗格中，保存的都是键值项数据。这些键值项数据可分为如下三种类型据。这些键值项数据可分为如下三种类型 ： 字符串值；字符串值； 二进制值；二进制值； DWORDDWORD值。值。 注册表：结构WINDOWSWINDOWS的注册

22、表有五大根键，相当于一个硬盘被分成了的注册表有五大根键，相当于一个硬盘被分成了五个分区；五个分区； 在在“运行运行”对话框中输入对话框中输入RegeditRegedit，然后单击，然后单击“确定确定”按按钮，则可以运行注册表编辑器钮，则可以运行注册表编辑器 （如下页图示）；（如下页图示）；虽然在注册表中，五个根键看上去处于一种并列的地位，虽然在注册表中，五个根键看上去处于一种并列的地位，彼此毫无关系。但事实上并非如此。彼此毫无关系。但事实上并非如此。注册表：配置界面开始开始运行运行注册表：配置界面开始开始运行运行注册表：文件HiveHive文件文件备份文件备份文件HKEY_LOCAL_MACH

23、INESOFTWARHKEY_LOCAL_MACHINESOFTWARE ESOFTWARESOFTWARESOFTWARE.LOSOFTWARE.LOG GHKEY_LOCAL_MACHINESECURITHKEY_LOCAL_MACHINESECURITY YSECURITYSECURITYSECURITY.LOSECURITY.LOG GHKEY_LOCAL_MACHINESYSTEMHKEY_LOCAL_MACHINESYSTEMSYSTEMSYSTEMSYSTEM.LOGSYSTEM.LOGHKEY_LOCAL_MACHINESAMHKEY_LOCAL_MACHINESAMSAMSA

24、MSAM.LOGSAM.LOGHKEY_CURRENT_USERHKEY_CURRENT_USERUSERxxxUSERxxxADMINxxxADMINxxxUSERxxx.LOGUSERxxx.LOGADMINxxx.LOADMINxxx.LOG G注册表：构造HiveHive描述描述HKEY_CLASS_ROOTHKEY_CLASS_ROOT文件扩展名与应用的关联及文件扩展名与应用的关联及OLEOLE信息信息HKEY_USERSHKEY_USERS用户根据个人爱好设置的信息用户根据个人爱好设置的信息HKEY_CURRENT_USERHKEY_CURRENT_USER当前登录用户控制面板选项

25、和桌面等的当前登录用户控制面板选项和桌面等的设置，以及映射的网络驱动器设置，以及映射的网络驱动器HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE计算机硬件与应用程序信息计算机硬件与应用程序信息HKEY_DYN_DATAHKEY_DYN_DATA即插即用和系统性能的动态信息即插即用和系统性能的动态信息HKEY_CURRENT_CONFIGHKEY_CURRENT_CONFIG计算机硬件配置信息计算机硬件配置信息注册表：安全实例： 注册表 具体见任务书帐号安全管理帐号安全管理 网络安全管理网络安全管理IEIE浏览器浏览器注册表注册表WindowsWindows组策略组策略W

26、indowsWindows权限权限WindowsWindows安全审计安全审计第二部分：Windows操作系统配置实例： Windows组策略 具体见任务书帐号安全管理帐号安全管理 网络安全管理网络安全管理IEIE浏览器浏览器注册表注册表WindowsWindows组策略组策略WindowsWindows权限权限WindowsWindows安全审计安全审计第二部分：Windows操作系统配置Windows支持的文件系统类型类型安全性安全性描述描述FATFAT无无19761976年设计，不支持长文件名，最大支持年设计，不支持长文件名，最大支持2GB2GB空间；空间；FAT32FAT32无无FAT

27、FAT的替代技术，支持长文件名，支持更大的文件的替代技术，支持长文件名，支持更大的文件空间；空间；NTFSNTFS支持支持微软为微软为Windows NTWindows NT操作系统而设计，提供相对完操作系统而设计，提供相对完善的安全性，支持长文件名，支持更大的文件空善的安全性，支持长文件名，支持更大的文件空间。间。NTFS（NT File System）特点NTFSNTFS文件系统称为卷，簇是基本的分配单位，由文件系统称为卷，簇是基本的分配单位，由连续的扇区组成；连续的扇区组成；NTFSNTFS卷可以位于一个硬盘分区上，也可以位于多卷可以位于一个硬盘分区上，也可以位于多个硬盘上；个硬盘上；N

28、TFSNTFS文件系统根据卷的大小决定簇的大小（文件系统根据卷的大小决定簇的大小（1 1簇等簇等于于11281128个扇区）。个扇区）。4.文件区。文件区。3.1M空间：空间： MFT前三行记录的镜像；前三行记录的镜像； 日志文件；日志文件； 簇的分配位图；簇的分配位图； 属性定义表等。属性定义表等。NTFS（NT File System）2.主文件表（主文件表（MFT）：每一条记录描述一个）：每一条记录描述一个文件或目录，包含：文件或目录，包含： 文件属性信息；文件属性信息； 文件名称；文件名称； 数据或指针。数据或指针。 1.引导扇区：包含系统引导信息；引导扇区：包含系统引导信息；NTFS

29、安全性文件和目录的权限：文件和目录的权限： 只有用户被赋予权限或者属于拥有权限的组才能对文件或只有用户被赋予权限或者属于拥有权限的组才能对文件或目录进行操作；目录进行操作； 权限积累原则；权限积累原则； “拒绝访问优先拒绝访问优先”原则；原则； 文件权限优先原则；文件权限优先原则； 权限继承原则；权限继承原则； “拥有者拥有者”控制原则。控制原则。文件内容的加密：文件内容的加密：加密文件系统（加密文件系统（EFSEFS，Encrypted File systemEncrypted File system）实现文件的实现文件的DESDES加密。加密。文件权限设置方法文件夹文件夹/文件的属性页文件的属性页安全安全文件权限设置方法文件夹文件夹/文件的属性页文件的属性页安全安全左键点击左键点击“添加添加”按钮按钮文件加密设置方法文件夹文件夹/文件的属性页文件的属性页常规常规文件加密设置方法文件夹文件夹/文件的属性页文件的