第八章 操作系统安全配置方案,8,知识回顾,硬件安全机制 操作系统的安全标识与鉴别 访问控制、最小特权管理 可信通路和安全审计,列举常用的安全操作系统的机制。,内容提要,介绍Windows 2000服务器的安全配置。 操作系统的安全将决定网络的安全，从保护级别上分成安全初级篇、中级篇和高级篇，共36条基本配置原则。 安全配置初级篇讲述常规的操作系统安全配置，中级篇介绍操作系统的安全策略配置，高级篇介绍操作系统安全信息通信配置。,安全配置方案初级篇,安全配置方案初级篇主要介绍常规的操作系统安全配置，包括十二条基本配置原则： 物理安全、停止Guest帐号、限制用户数量 创建多个管理员帐号、管理员帐号改名 陷阱帐号、更改默认权限、设置安全密码 屏幕保护密码、使用NTFS分区 运行防毒软件和确保备份盘安全。,1）物理安全,服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。 另外，机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在安全的地方。,2）停止Guest帐号,在计算机管理的用户里面把Guest帐号停用，任何时候都不允许Guest帐号登陆系统。 为了保险起见，最好给Guest 加一个复杂的密码，可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串。 用它作为Guest帐号的密码。并且修改Guest帐号的属性，设置拒绝远程访问，如图7-1所示。,3）限制用户数量,去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。 帐户很多是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。 对于Windows NT/2000主机，如果系统帐户超过10个，一般能找出一两个弱口令帐户，所以帐户数量不要大于10个。,4）多个管理员帐号,虽然这点看上去和上面有些矛盾，但事实上是服从上面规则的。创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物，另一个拥有Administrator权限的帐户只在需要的时候使用。 因为只要登录系统以后，密码就存储再WinLogon进程中，当有其他用户入侵计算机的时候就可以得到登录用户的密码，尽量减少Administrator登录的次数和时间。,5）管理员帐号改名,Windows 2000中的Administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。 不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone。具体操作的时候只要选中帐户名改名就可以了，如图所示。,6 ）陷阱帐号,所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。 这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组，如图7-3所示。,7 ）更改默认权限,共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows 2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。 任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。设置某文件夹共享默认设置如图7-4所示。,8）安全密码,好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。 一些网络管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，比如：“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。 好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。,9）屏幕保护密码,设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，黑屏就可以了。 所有系统用户所使用的机器也最好加上屏幕保护密码。 将屏幕保护的选项“密码保护”选中就可以了，并将等待时间设置为最短时间“1秒”，如图7-5所示。,10） NTFS分区,把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。,11）防毒软件,Windows 2000/NT服务器一般都没有安装防毒软件的，一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。 设置了防毒软件，“黑客”们使用的那些有名的木马就毫无用武之地了，并且要经常升级病毒库。,12）备份盘的安全,一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。 不能把资料备份在同一台服务器上，这样的话还不如不要备份。,安全配置方案中级篇,安全配置方案中级篇主要介绍操作系统的安全策略配置，包括十条基本配置原则： 操作系统安全策略、关闭不必要的服务 关闭不必要的端口、开启审核策略 开启密码策略、开启帐户策略、备份敏感文件 不显示上次登陆名、禁止建立空连接和下载最新的补丁,1 ）操作系统安全策略,利用Windows 2000的安全配置工具来配置安全策略，微软提供了一套的基于管理控制台的安全配置和分析工具，可以配置服务器的安全策略。 在管理工具中可以找到“本地安全策略”，主界面如图所示。 可以配置四类安全策略：帐户策略、本地策略、公钥策略和IP安全策略。在默认的情况下，这些策略都是没有开启的。,2）关闭不必要的服务,Windows 2000的Terminal Services（终端服务）和IIS（Internet 信息服务）等都可能给系统带来安全漏洞。 为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果开了，要确认已经正确的配置了终端服务。 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。 Windows 2000作为服务器可禁用的服务及其相关说明如表所示。,Windows2000可禁用的服务,3）关闭不必要的端口,关闭端口意味着减少功能，如果服务器安装在防火墙的后面，被入侵的机会就会少一些，但是不可以认为高枕无忧了。 用端口扫描器扫描系统所开放的端口，在Winntsystem32driversetcservices文件中有知名端口和服务的对照表可供参考。该文件用记事本打开如图所示。,设置本机开放的端口和服务，在IP地址设置窗口中点击按钮“高级”，如图7-8所示。,在出现的对话框中选择选项卡“选项”，选中“TCP/IP筛选”，点击按钮“属性”，如图7-9所示。,设置端口界面如图7-10所示。 一台Web服务器只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙，功能比较强大，可以替代防火墙的部分功能。,4 开启审核策略,安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对系统进行某种方式（如尝试用户密码，改变帐户策略和未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。 很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。表的这些审核是必须开启的，其他的可以根据需要增加。,审核策略默认设置,审核策略在默认的情况下都是没有开启的，如图7-11所示。,双击审核列表的某一项，出现设置对话框，将复选框“成功”和“失败”都选中，如图7-12所示。,5 开启密码策略,密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如表7-3所示,设置选项如图7-13所示。,6 开启帐户策略,开启帐户策略可以有效的防止字典式攻击，设置如表7-4所示。,设置帐户策略,设置的结果如图7-14所示。,7 备份敏感文件,把敏感文件存放在另外的文件服务器中，虽然服务器的硬盘容量都很大，但是还是应该考虑把一些重要的用户数据（文件，数据表和项目文件等）存放在另外一个安全的服务器中，并且经常备份它们,8 不显示上次登录名,默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户名，本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名，进而做密码猜测。 修改注册表禁止显示上次登录名，在HKEY_LOCAL_MACHINE主键下修改子键： SoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName，将键值改成1，如图7-15所示。,9 禁止建立空连接,默认情况下，任何用户通过空连接连上服务器，进而可以枚举出帐号，猜测密码。 可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修改子键： SystemCurrentControlSetControlLSARestrictAnonymous，将键值改成“1”即可。如图7-16所示。,10 下载最新的补丁,很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补给人家当靶子用。 谁也不敢保证数百万行以上代码的Windows 2000不出一点安全漏洞。 经常访问微软和一些安全站点，下载最新的Service Pack和漏洞补丁，是保障服务器长久安全的唯一方法。,安全配置方案高级篇,高级篇介绍操作系统安全信息通信配置，包括十四条配置原则： 关闭DirectDraw、关闭默认共享 禁用Dump File、文件加密系统 加密Temp文件夹、锁住注册表、关机时清除文件 禁止软盘光盘启动、使用智能卡、使用IPSec 禁止判断主机类型、抵抗DDOS 禁止Guest访问日志和数据恢复软件,1 关闭DirectDraw,C2级安全标准对视频卡和内存有要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏），但是对于绝大多数的商业站点都是没有影响的。 在HKEY_LOCAL_MACHINE主键下修改子键： SYSTEMCurrentControlSetControlGraphicsDriversDCITimeout，将键值改为“0”即可，如图7-17所示。,2 关闭默认共享,Windows 2000安装以后，系统会创建一些隐藏的共享，可以在DOS提示符下输入命令Net Share 查看，如图7-18所示。,停止默认共享,禁止这些共享，打开管理工具计算机管理共享文件夹共享，在相应的共享文件夹上按右键，点停止共享即可，如图7-19所示。,3 禁用Dump文件,在系统崩溃和蓝屏的时候，Dump文件是一份很有用资料，可以帮助查找问题。然而，也能够给黑客提供一些敏感信息，比如一些应用程序的密码等 需要禁止它，打开控制面板系统属性高级启动和故障恢复，把写入调试信息改成无，如图7-20所示。,4 文件加密系统,Windows2000强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。 微软公司为了弥补Windows NT 4.0的不足，在Windows 2000中，提供了一种基于新一代NTFS：NTFS V5（第5版本）的加密文件系统（Encrypted File System，简称EFS）。 EFS实现的是一种基于公共密钥的数据加密方式，利用了Windows 2000中的CryptoAPI结构。,5 加密Temp文件夹,一些应用程序在安装和升级的时候，会把一些东西拷贝到Temp文件夹，但是当