第二章操作系统安全配置.pptVIP

计算机网络安全 第二章 操作系统安全配置 操作系统的概念、安全评估 操作系统的用户安全设置 操作系统的密码安全设置 操作系统的系统安全设置 操作系统的服务安全设置 操作系统的注册表安全设置 2.1 操作系统的安全问题 操作系统的安全是整个计算机系统安全的基础。 操作系统安全防护研究，通常包括： 1）提供什么样的安全功能和安全服务 2）采取什么样的配置措施 3）如何保证服务得到安全配置 2.1.1 操作系统安全概念 一般意义上，如果说一个计算机系统是安全的，那么是指该系统能够控制外部对系统信息的访问。也就是说，只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。 操作系统的安全通常包含两层意思： 1)操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等一些机制实现的安全； 2)操作系统在使用中，通过一系列的配置，保证操作系统避免由于实现时的缺陷或是应用环境因素产生的不安全因素。 2.1.2 计算机操作系统安全评估 美国可信计算机安全评估标准（TCSEC），是计算机系统安全评估的第一个正式标准。 TCSEC将计算机系统的安全划分为4个等级、8个级别。 2.1.3 国内的安全操作系统评估 《计算机信息安全保护等级划分准则》将计算机信息系统安全保护等级划分为五个级别： 1. 用户自主保护级 本级的安全保护机制使用户具备自主安全保护能力，保护用户和用户组信息，避免其他用户对数据的非法读写和破坏。 2.1.4 操作系统的安全配置 操作系统安全配置主要是指： 1）操作系统访问控制权限的恰当设置 2）系统的及时更新 3）对于攻击的防范 2.1.5 操作系统的安全漏洞 几乎所有的操作系统都不是十全十美的，总存在安全漏洞。 Windows NT: SAM、ICMP Windows XP：UPnP 、GDI拒绝服务 、终端服务IP地址欺骗 要想绝对避免软件漏洞是不可能的 ！ 2.2 用户安全配置 主要有10类，分别描述如下： 新建用户 帐号便于记忆与使用，而密码则要求有一定的长度与复杂度。 2．帐户授权 对不同的帐户进行授权，使其拥有和身份相应的权限。 3．停用Guest用户 把Guest账号禁用，并且修改Guest帐号的属性,设置拒绝远程访问 。 4．系统Administrator账号改名 防止管理员账号密码被穷举，伪装成普通用户。 5．创建一个陷阱用户 将管理员账号权限设置最低，延缓攻击企图。 6．更改默认权限 将共享文件的权限从“Everyone”改成“授权用户 。 7．不显示上次登录用户名 防止密码猜测，打开注册表编辑器并找到注册表项“HKEY_CURRENT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Dont-DisplayLastUserName”，把REG_SZ的键值改成1。 8．限制用户数量 减少入侵突破口，账户数不大于10(二进制) 。 9．多个管理员帐号 减少管理员账号使用时间，避免被破解 。 创建一个一般用户权限帐号用来处理电子邮件及处理一些日常事务，创建另一个有Administrator权限的帐户在需要的时候使用。 10．开启用户策略 可以有效的防止字典式攻击 。 当某一用户连续5次录都失败后将自动锁定该帐户，30分钟后自动复位被锁定的帐户。 2.3 密码安全配置 主要有4类，分别描述如下： 安全密码 创建帐号时不用公司名、计算机名、或者一些别的容易猜到的字符做用户名，密码设置要复杂。 安全期内无法破解出来的密码就是安全密码（密码策略是42天必须改密码） 。 2．开启密码策略 对不同的帐户进行授权，使其拥有和身份相应的权限。 3．设置屏幕保护密码 防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序浪费系统资源，黑屏就可以了 。 4．加密文件或文件夹 用加密工具来保护文件和文件夹，以防别人偷看 。 2.4 系统安全配置 主要有11类，分别描述如下： 使用NTFS格式分区 所有分区都改成NTFS格式，NTFS文件系统要比FAT、FAT32的文件系统安全得多。 2．运行防毒软件 不仅可杀掉一些著名的病毒，还能查杀大量木马和后门程序。要注意经常运行程序并升级病毒库。 3．下载最新的补丁 经常访问微软和一些安全站点，下载最新的Service Pack和漏洞补丁。 4．关闭默认共享 防止利用默认共享入侵。 5．锁定注册表 防止黑客从远程访问注册表。修改Hkey_current_user下的子键：Soft