计算机网络安全管理课件第4章_Windows_2000操作系统的.ppt

1、第四章Windows 2000网络操作系统的安全性，Windows 2000的4.1安全设计，Windows 2000中的4.2认证服务体系结构，Windows 2000的4.3安全特性，Windows 2000的4.4组策略管理安全性，4.5审计和入侵检测，4.6补丁，信息安全是当今网络系统中一个非常重要和严重的问题，它涉及到从硬件到软件，从单机到网络的安全机制。网络操作系统的安全是整个网络系统安全体系的基础环节。Windows 2000的分布式安全机制实现了高度的安全集成，以保护和促进业务发展。4.1 Windows 2000作为继Windows NT之后的新一代企业级网络操作系统，其安全

2、设计具有三大安全特性：支持互联网上的新服务，Windows 2000可以实现基于SSL/TLS的移动办公、远程服务、安全通信和电子商务。使用安全框架的Windows 2000具有“安全服务提供者接口”(SSPI)，这对于其他身份验证方法来说很方便。对视窗NT 4.0的网络支持的实现为视窗NT 4.0中采用的NTLM(NT局域网管理器)安全认证机制提供了支持。用户可以迁移到Windows 2000来取代NTLM的Kerberos安全认证机制。Windows 2000中的4.2身份验证服务架构。Windows 2000中的身份验证服务是用整个体系结构来完成的。其具体的认证服务架构如图4-1所示。K

3、erberos的认证机制Kerberos是一种广泛应用于互联网的基于公钥技术的安全认证机制。Kerberos协议规定了获取和使用Kerberos票据在客户端/密钥分发中心(KDC)/服务器之间进行通信的规则和过程。Kerberos认证机制增强了Windows 2000的安全性，使得网络应用服务的认证速度更快，并且可以在建立了域信任的域中建立域信任和转移信任关系。此外，Kerberos身份验证具有互操作性的优势。在多操作系统共存的异构网络环境中，Kerberos协议使用统一的用户数据库对各种用户进行认证，从而解决了异构环境下的统一认证问题。4.3安全特性，而Windows 2000具有数据安全、

4、企业间通信安全、企业与互联网间单点安全登录、易用且可扩展的安全管理等安全特性。1.数据安全数据安全是指数据的机密性和完整性。Windows 2000的数据安全如下：(1)安全当用户登录网络时，数据安全保护开始。Windows 2000使用Kerberos和PKI身份验证协议来提供强大的密码保护和单点登录。(2)网络数据保护网络数据是指本地网络中的数据和不同网络之间传输的数据。局域网的数据是通过认证协议和IP安全加密实现的。网络间的数据传输可以通过网络安全协议来实现，如加密TCP/IP通信、Windows 2000路由和远程访问服务、代理服务等。(3)存储数据的保护存储数据的机密性在Window

5、s 2000中，有文件加密系统和数字签名来实现存储数据的机密性。通信安全视窗2000提供了各种安全协议和用户模式的内置集成。它支持虚拟专用网技术，使用公钥系统，可以使用电子证书将外部用户映射到目录服务中的用户帐户。3.单点安全登录Windows 2000用户后，通过网络认证后，他们可以根据自己的权限访问相应的服务。Windows 2000透明地管理用户的安全凭据。4.安全可管理性窗口2000使用安全模板来配置和分析计算机的安全性。安全模板MMC提供了多种管理模板来实现工作站、服务器和域控制器的安全管理。在这些安全模板中，可以配置相应的安全策略。4.4 windows 2000组策略的管理安全性

6、Windows 2000中有几个组策略：帐户策略密码策略配置密码生存期、长度和复杂性帐户策略帐户锁定策略配置锁定时间、阈值和重置计数器帐户策略Kerberos策略配置票证生存期本地策略审核策略启用/禁用特定事件的记录本地策略用户权限定义权限本地策略安全选项，如本地登录、网络访问等。修改与注册表值相关的特定安全选项事件日志启用成功或失败监控受限制的组管理员可以控制谁属于特定的组系统服务控制每个服务的启动模式注册表项的注册表配置权限文件夹、子文件夹和文件的文件系统配置权限4 . 4 . 1 Windows 2000中的组策略，1。密码策略默认情况下，将对域中的所有服务器实施标准密码策略。默认和最小

7、设置如下所示。帐户锁定策略有效的帐户锁定策略有助于防止攻击者猜测您帐户的密码。下表列出了默认帐户锁定策略的设置以及您的环境的最小推荐设置。成员服务器基线策略一旦配置了域级别的设置，就该为所有成员服务器定义通用设置了。这是通过“成员服务器OU”中的GPO完成的，我们称之为基准策略。一个通用的GPO自动化了为每台服务器配置特定安全设置的过程。您还需要手动应用一些无法通过组策略完成的附加安全设置。成员服务器的基准组策略如下：审核策略决定如何在您的服务器上执行审核。安全选项使用注册表值来确定特定的安全设置。注册表访问控制列表确定谁可以访问注册表。文件访问控制列表确定谁可以访问文件系统。服务配置决定了哪

8、些服务需要启动、停止、禁用等等。4。禁用自动运行功能当介质插入驱动器时，自动运行功能开始从驱动器读取数据。这样，程序的安装文件和音频媒体上的声音可以立即启动。为了防止在插入介质时启动潜在的恶意程序，组策略禁用了所有驱动器的自动运行功能。在注册表中的hklmsoftmicrosoftwindowstorrentversionpolicy explorer下设置NoDriveTypeAutoRun DWORD 0 xFF，以禁用所有驱动器上的自动运行功能。5.成员服务器基准文件访问控制列表策略为了加强文件系统安全性，应该对域中所有成员服务器共有的目录和文件应用更严格的权限。成员服务器基准安全模板包

9、含hisecws.inf模板提供的所有文件访问控制列表，并为文件夹和文件添加了许多设置。4.4.2加强内置账户的安全性。Windows 2000有几个内置用户帐户，不能删除，但可以重命名。我们最熟悉的两个内置帐户是来宾帐户和管理员帐户。默认情况下，成员服务器和域控制器上禁用来宾帐户。不建议更改此设置。1.加强本地管理员帐户的安全性。每个成员服务器都有一个本地帐户数据库和一个本地管理员帐户，该帐户可以完全控制服务器。所以这个账户非常重要。建议重命名此帐户，并确保它使用复杂的密码。您还应该确保本地管理员密码不会在成员服务器之间复制。2.增强服务帐户安全性Windows 2000服务通常在本地系统帐

10、户下运行，但也可以在域用户或本地帐户下运行。尽可能使用本地帐户而不是域用户帐户。每个服务都在其服务帐户的安全上下文中运行，因此如果攻击者在成员服务器上获取服务，该服务帐户可能会被用来攻击域控制器。在确定使用哪个帐户作为服务帐户时，请确保为此帐户指定的权限仅限于确保此服务成功运行所需的权限。4.4.3组策略的安全模板，1。组策略配置设置的存储位置组策略的存储位置是活动目录中的GPO安全模板文件位于本地文件系统中。对GPO所做的更改直接保存在活动目录中，而对安全模板文件所做的更改必须导入回活动目录中的GPO，然后才能应用。windows 2000的安全模板Windows 2000有几个安全模板：B

11、asicwk.inf适用于Windows 2000专业版。基本信息适用于视窗2000服务器。适用于基于Windows 2000的域控制器。Securedc.inf和Hisecdc.inf适用于域控制器。Securews.inf和Hisecws.inf适用于成员服务器和工作站。4.4.4组策略的实施为了有效地使用组策略，最好在两个级别应用安全设置。域级别的一般安全要求，如用于所有服务器的帐户策略和审核策略，以及OU级别的特定服务器(如IIS服务器)的其他安全要求。1。创建OU结构的具体步骤如下：步骤1，单击开始程序管理工具活动目录用户和计算机打开活动目录。步骤2:右键单击域名，选择新建，然后选择

12、组织单位。步骤3:键入成员服务器，然后单击确定。步骤4:右键单击成员服务器，选择新建，然后选择组织单位。步骤5，键入应用程序服务器，然后单击确定。对文件和打印服务器、IIS服务器和基础架构服务器重复步骤5和6。2.域级策略构建Windows 2000域时，会创建一个默认的域策略。要将安全设置应用于整个域，您可以执行以下任一操作：创建另一个策略，并将其链接到高于默认策略级别的位置，以修改现有的默认策略，3。事件日志中的事件如果策略已成功下载，将出现一个事件日志事件，其中包含以下信息：类型：信息源标识：事件标识：1704消息字符串：组策略对象中的安全策略在应用策略时已成功应用。如果没有收到成功的事

13、件日志消息，您需要运行secedit/refresh policy machine _ policy/enforce，然后重新启动服务器以强制下载策略。重新启动后，请再次检查事件日志，以验证策略是否已成功下载。4。有两种方法可以验证策略。使用“本地安全策略”MMC验证策略步骤1并启动本地安全策略MMC。步骤2，在“安全设置”下，单击“本地策略”，然后单击“安全选项”。步骤3，在右窗格中，查看有效设置列。“有效设置”列应显示在模板中为所选服务器角色配置的设置。使用命令行工具验证策略秒编辑此工具包含在Windows 2000中，可用于显示模板文件和计算机策略之间的差异。要将模板与计算机上的当前策略

14、进行比较，请使用以下命令行：secedit/analyze/dbsecedit . sdb/CFG，4.5审核和入侵检测。审计的主要目的之一是识别攻击者在您的网络上采取的行动。攻击者可能试图危害网络上的多台计算机和设备，因此为了了解任何攻击的程度，有必要能够协调和合并多台计算机中的信息。如果您的日志实用程序将被导入到数据库中，将更容易协调多个日志中的信息。只要所有计算机中的时间是同步的，就可以按时间字段进行排序，并且可以根据时间间隔简化事件跟踪。审计事件分为两类：成功事件和失败事件。成功事件表示用户已成功获得对特定资源的访问，而失败事件表示用户试图访问网络的特定资源但失败。在Windows 2

15、000中，有几类安全事件审核：登录事件帐户登录事件对象访问目录服务访问权限使用进程跟踪系统事件策略更改，4.5.1审核，1。登录事件每次用户登录或注销计算机时，会在尝试登录的计算机的安全日志中生成一个事件。此外，在用户连接到远程服务器后，还会在远程服务器的安全日志中生成一个登录事件。当创建或销毁登录会话和令牌时，也会创建登录事件。登录事件对于跟踪以交互方式登录服务器的尝试或调查从特定计算机发起的攻击非常有用。如果登录尝试成功，成功的审核将生成审核项目。如果登录尝试失败，失败审核将生成审核项目。通常，日志中登录事件的标识如下：528用户成功登录到计算机。有人试图用未知的用户名登录，或者试图用已知

16、的用户名登录，但是密码不正确。530用户帐户试图在不允许的时间登录。有人试图用禁用的帐户登录。有人试图用过期的帐户登录。533不允许用户登录这台计算机。帐户登录事件当用户登录到域时，登录在域控制器上处理。如果您审核域控制器上的帐户登录事件，您将会看到在验证该帐户的域控制器上记录的此登录尝试。当身份验证包验证用户的凭据时，会创建帐户登录事件。使用域凭据时，帐户登录事件仅在域控制器的事件日志中生成。如果提供的凭据是本地SAM数据库凭据，将在服务器的安全事件日志中创建一个帐户登录事件。由于帐户登录事件可以记录在域中任何有效的域控制器上，因此有必要确保合并每个域控制器上的安全日志，以分析域中的所有帐户登录事件。像登录事件一样，帐户登录事件包括计算机登录事件和用户登录事件。作为成员服务器和域控制器的基本