第4章 系统安全和网络安全

1、第4章 系统安全和网络安全4.1 本地安全策略4.2 设置服务器的帐户策略4.3 设置审核策略4.4 用户权限分配4.5 安全选项4.6 创建软件限制策略4.7 导出导入安全策略4.8 配置本地组策略管理用户和计算机4.9 高级安全性的Windows防火墙4.10 使用IPSec实现网络安全4.1 本地安全策略本地安全策略包括下面的设置：n配置帐户策略n配置审核策略n配置用户权限n配置安全选项n创建软件限制策略nIP安全策略4.2 设置服务器的帐户策略n帐户策略是服务器安全首先要考虑的事情。因为无论操作系统多么安全，如果服务器的管理员密码很容易被入侵者猜到，安全就无从谈起。帐户策略包括两方面设

2、置，即密码策略和帐户锁定策略。1、密码策略如果密码策略修改后不能马上生效，就使用命令：如果密码策略修改后不能马上生效，就使用命令：gpupdate /force强制更新。强制更新。密码必须符号复杂性要求：密码必须符号复杂性要求：1、不能包含用户的账户名，不能包含用户姓、不能包含用户的账户名，不能包含用户姓名中超过两个连续字符的部分；名中超过两个连续字符的部分；2、至少有、至少有6个字符（不一定）；个字符（不一定）；3、包含、包含英文大写字母、小写字母、数字、非字母字符中至少三种字符。英文大写字母、小写字母、数字、非字母字符中至少三种字符。2、设置帐户锁定策略n账户锁定域值：n此安全设置确定导致

3、用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之前，无法使用该锁定帐户。可以将登录尝试失败次数设置为介于 0 和 999 之间的值。如果将值设置为 0，则永远不会锁定帐户。n在使用 Ctrl+Alt+Del 或密码保护的屏幕保护程序锁定的工作站或成员服务器上的密码尝试失败将计作登录尝试失败。n默认值: 0。n帐户锁定时间n此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从 0 到 99,999 分钟。如果将帐户锁定时间设置为 0，帐户将一直被锁定直到管理员明确解除对它的锁定。n如果定义了帐户锁定阈值，则帐户锁定时间必须大于或等于重置时间。n默认值: 无

4、，因为只有在指定了帐户锁定阈值时，此策略设置才有意义。启用后，默认时间是30分钟。n复位帐户锁定计数器n此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次，这个中间需要的时间。可用范围是 1 到 99,999 分钟。n如果定义了帐户锁定阈值，此重置时间必须小于或等于帐户锁定时间。n默认值: 无，因为只有在指定了帐户锁定阈值时，此策略设置才有意义。n验证账户锁定（演示） 1、将“账户锁定域值”设置为2，“账户锁定时间”设置为0，“复位账户锁定计数器”设置为99999. 2、用用户wang登录系统，三次输入错误密码，观察账户锁定情况； 3、用管理员用户登录系统，将wang用户的

5、账户锁定勾选去掉，解除锁定。4.3 设置审核策略n每当用户执行了指定的某些操作，审核日志就会记录一个审核项。例如，修改文件或策略可以触发一个审核项。审核项显示了所执行的操作、相关的用户帐户以及该操作的日期和时间。您可以审核操作中的成功尝试和失败尝试。n安全审核对于任何企业系统来说都极其重要，因为只能使用审核日志来说明是否发生了违反安全的事件。如果通过其他某种方式检测到入侵，真确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。审核设置n审核帐户登录事件审核帐户登录事件n此安全设置确定是否审核用户登录或注销另一台计算机(用于验证帐户)的每个实例。在域控制器上对域用户帐户进行身份验证时会生成

6、帐户登录事件。该事件记录在域控制器的安全日志中。在本地计算机上对本地用户进行身份验证时会生成登录事件。该事件记录在本地安全日志中。不生成帐户注销事件。n如果定义此策略设置，可以指定是否审核成功、审核失败或者根本不审核事件类型。成功审核在帐户登录尝试成功时生成审核项。失败审核在帐户登录尝试失败时生成审核项。n该事件是账户所在的位置生成的。n对入侵检测非常有用。但此设置可能会导致拒绝服务状态，因为攻击者可以生成数百万此登录失败事件，将安全日志填满。审核帐户管理审核帐户管理n此安全设置确定是否审核计算机上的每个帐户管理事件。帐户管理事件示例包括:n创建、更改或删除用户帐户。n重命名、禁用或启用用户帐

7、户。n设置或更改密码。n如果定义此策略设置，可以指定是否审核成功、审核失败或者根本不审核事件类型。成功审核在帐户管理事件成功时生成审核项。失败审核在帐户管理事件失败时生成审核项。若要将该值设置为“无审核”，请在此策略设置的“属性”对话框中选择“定义这些策略设置”复选框，清除“成功”和“失败”复选框。n默认值:在域控制器上为“成功”。在成员服务器上为“无审核”。n审核登录事件审核登录事件n此安全设置确定是否审核用户登录或注销计算机的每个实例。n对于域帐户活动，在域控制器上生成帐户登录事件；对于本地帐户活动，在本地计算机上生成帐户登录事件。如果同时启用帐户登录和登录审核策略类别，使用域帐户的登录在

8、工作站或服务器上生成登录或注销事件，并且在域控制器上生成帐户登录事件。此外，在成员服务器或工作站上使用域帐户的交互式登录将在域控制器上生成登录事件，与此同时在用户登录时还检索登录脚本和策略。成功审核在登录尝试成功时生成审核项。失败审核在登录尝试失败时生成审核项。n若要将该值设置为“无审核”，请在此策略设置的“属性”对话框中，选择“定义这些策略设置”复选框，清除“成功”和“失败”复选框。n该事件是在登录尝试发生的位置生成的。对于入侵检测有用。n审核对象访问审核对象访问n此安全设置确定是否审核用户访问指定了它自己的系统访问控制列表(SACL)的对象(例如文件、文件夹、注册表项、打印机等等)的事件。

9、n成功审核在用户成功访问指定了相应 SACL 的对象时生成审核项。失败审核在用户尝试访问指定了 SACL 的对象失败时生成审核项。n使用文件系统对象“属性”对话框中的“安全”选项卡，可以在该对象上设置 SACL。n常见的是审核对文件夹失败的访问。审核示例n审核对文件夹失败的访问n审核登录n审核用户管理1、审核对文件夹失败的访问（演示）1）审核对象访问，设置“失败”；2）设置文件夹被某用户拒绝读取和执行、列出文件夹目录和读取权限；3）在文件夹属性“安全”中“高级”按钮，单击“审核”-“编辑”-“添加”按钮输入该用户名-确定勾选“遍历文件夹/执行文件”和“列出文件夹/读取数据”（失败）-确定。4）

10、该用户登录，访问文件夹，被拒绝；5）管理员登录，“管理工具”-“事件查看器”-Windows日志安全查看日志。2、审核登录（演示） 打开“审核登录事件”，设置“成功”和“失败”；注销该用户，用新用户登录，输入一次错误密码和输入一次正确密码登录系统；切换到管理员登录系统，观察安全日志情况（管理工具事件查看器-Windows日志安全-）。3、审核用户管理n防止外来入侵者新建一个用户完成对计算机操作后，删除该自创用户，实现系统入侵。配置审核用户管理，对上述操作进行审核。n示例：新建一个用户liu，观察安全日志。4. 4 用户权限分配n用户权限是允许用户在计算机系统或域中执行的任务。n有两种类型的用户

11、权限：登录权限和特权。 登录权限是指用户能否登录计算机的权限以及他们的登录方式。 特权是指用户是否能够访问计算机上系统范围的资源，并可以覆盖在特定对象上设置的权限。 登录权限的一个示例是在本地登录计算机的权限。特权的一个示例是关闭系统的权限。这两种用户权限都由管理员作为计算机安全设置的一部分分配给单个用户或组。用户权限设置n允许本地登录：哪些用户能以交互方式登录到此计算机。n关闭系统：哪些在本地登录到计算机的用户可以使用关机命令关闭操作系统n从网络访问此计算机：哪些用户和组能够通过网络连接到计算机。拒绝本地登录和网络登录（演示）例：设只有wang用户可以网络登录计算机，拒绝本地登录计算机。1）

12、本地策略用户权限分配“从网络访问此计算机”-添加用户和组将wang用户加入。2）本地策略用户权限分配“拒绝本地登录”-添加用户和组-将wang用户加入。3）切换登录页面，看不到wang用户了。4.5 安全选项n配置服务器安全选项，可以增强服务器的安全性，包括如不显示上一次登录的用户名、将管理员的名字重命名为admin、空密码的用户只允许本地登录、只允许guest账号访问服务器共享资源等设置。1、账户1）使用空白密码的本地账户只允许进行控制台登录2）重命名系统管理员账户2、交互式登录1）不显示最后的用户名2）提示用户在过期之前更改密码3、网络访问1）本地账户的共享和安全模型-“仅来宾对本地用户进

13、行身份验证，其身份为来宾”只有来宾用户可以访问共享资源。2）只允许使用Guest帐户访问，需启用Guest账户；3）Guest帐户密码为空直接访问，不为空，需要输入账户名和密码才能登录。4.6 创建软件限制策略n软件限制策略是Microsoft Windows XP和Microsoft Windows Server 2003、Windows Server 2008和Vista 操作系统中的新功能。软件限制策略提供了一种体制，用于指定允许执行哪些程序以及不允许执行哪些程序。软件限制策略可以帮助组织免遭恶意代码的攻击。也就是说，软件限制策略针对病毒、特洛伊木马和其他类型的恶意代码提供了另一层防护。

14、n虽然软件限制策略是增强计算机安全的重要工具，但它们不能代替其他安全措施，如防病毒程序、防火墙和严格的访问控制列表。创建软件限制策略 本地安全策略安全设置软件限制策略鼠标右键新建软件限制策略：出现”安全级别”和”其它规则”,参见p87,规则说明。指定软件限制策略限制的软件类型单击软件限制策略，右侧双击“指派的文件类型”。配置软件限制策略（演示） A、 在哈希策略上禁止运行“计算器”。1）找到“计算器”的完全路径复制过来；2）软件限制策略其它规则-新建哈希规则“浏览”-粘贴“计算器”的完全路径-“打开”安全规则设置为“不允许”-确定。B、在路径规则上禁止c:test目录下的程序运行； 操作同上，

15、只是路径设置c:test。C、重启系统，测试。4.7 导出导入安全策略4.8 配置本地组策略管理用户和计算机 在计算机上运行gpedit.msc打开本地组策略编辑器，来控制用户和计算机的行为。1、关闭自动播放计算机配置管理模版Windows组件自动播放策略，双击“关闭自动播放”。1)已启用、所有驱动器；2）已启用、不设置始终执行此操作；3）已启用、不执行任何自动运行命令。2、禁止用户使用注册表编辑工具1）本地计算机策略-用户设置管理模版系统-双击“防止访问注册表编辑工具”；2）防止访问注册表编辑工具属性-已启用-“是否禁用无提示运行regedit”选择“是”；3、禁止用户运行特定程序 禁止用户

16、登录后运行某些可执行程序，不包含系统进程或其它进程启动的程序，如任务管理器cmd.exe等。 示例：禁止用户运行mspaint.exe. 本地计算机策略用户设置管理模版系统，双击“不要运行指定的Windows应用程序”，选中“已启用”-显示-添加“mspaint.exe”确定。 思考：计算器可不可以用此方法禁止运行。4、跟踪用户登录情况 此策略控制系统向用户显示有关以前的登录和登录失败次数的信息。 开启此功能的方法： 本地计算机策略管理-计算机配置管理模版Windows组件Windows登录选项-选中“在用户登录期间显示有关以前登录的信息”-属性-已启用确定4.9 高级安全特性的Windows

17、防火墙nWindows 2000 Server、Windows Server 2003和Windows XP的Windows防火墙，只能控制主动入侵的流量，对于出去的流量不做拦截。这样如果计算机中了木马，Windows防火墙不能拦截木马程序主动连接出去的流量。nWindows Server 2008和Windows 7高级安全Windows防火墙能够严格控制出去和进入计算机的网络流量。配置网络和共享中心高级安全特性的Windows防火墙n具有高级安全性的Windows防火墙结合了主机防火墙和IPSec。n与边界防火墙不同，具有高级安全性的Windows防火墙可在每台运行Windows Serv

18、er 2008的计算机上运行，并对可能穿越外围网络或源于组织内部的网络攻击提供本地保护。n它还提供计算机到计算机的连接安全，使您可以对通信过程要求身份验证和数据保护。配置Windows防火墙属性运行中输入“wf.msc”，打开高级安全Windows防火墙管理工具；管理入站规则熟悉并了解入站规则。创建自定义入站规则 P96应用举例：将远程桌面的默认端口更改为TCP的4000端口，配置自定义的入站规则。基于端口的出站规则 防火墙默认不阻止出去的流量，但用户可以针对数据包的协议和端口创建相应的出站规则： p98示例：创建基于协议和端口的出站规则，阻止Windows server 2008访问FTP站点。基于应用程序的出站规则 有些应用程序可以创建出站规则后被阻止出站，如QQ程序能否登录成功示例：p1004.10 使用IPSec实现网络安全nIPSec在Windows 2000 Server、Windo