第4章操作系统安全技术精编.pptVIP

第四章 操作系统安全技术 操作系统安全概述 操作系统安全的重要性 操作系统是计算机系统的系统软件，是计算机资源的直接管理者，它可以直接与硬件打交道，并为用户提供接口，是计算机软件的基础和核心，因此，操作系统的安全是整个计算机系统安全的基础。 操作系统安全概述 操作系统安全的重要性 网络环境中，网络系统的安全性依赖于网络中个主机系统的安全性，而主机系统的安全性正是由操作系统的安全性所决定的，没有安全的操作系统的支持，网络安全也毫无根基可言。 因此，操作系统的安全是整个计算机系统安全的基础，没有操作系统安全，就不可能真正解决数据库安全、网络安全和其他应用软件的安全性问题。 操作系统安全概述 操作系统安全的主要目标为： 按系统安全策略对用户的操作进行访问控制，防止用户对计算机资源的非法使用(窃取、篡改和破坏)； 标识系统中的用户，并对身份进行鉴别； 监督系统运行的安全性； 保证系统自身的安全性和完整性。 操作系统安全概述 普遍的安全机制包括： 信任的功能性：指任何加强现有机制的执行过程。 事件监测：检查和报告本地或远程发生的事件。 审计跟踪：任何机制都允许监视和记录与安全有关的活动。 安全恢复：对一些事件作出反应，包括对于已知漏洞创建短期和长期的解决方案和对受害系统的修复。 Windows系统安全配置 1、Windows 帐号安全管理 2、网络安全管理 3、IE浏览器安全配置 4、注册表安全 5、Windows组策略 6、Windows权限管理 7、Windows安全策略与审计 8、远程桌面安全配置 Windows系统安全配置 1、Windows 帐号安全管理 添加用户 禁用 Guest 账号 对 Administrator 账号进行重命名 进行本地安全策略中账户安全相关的设置 最小特权原则 Windows 帐号安全管理 添加用户 Windows 帐号安全管理 禁用 Guest 账号 Windows 帐号安全管理 对 Administrator 账号进行重命名 Windows 帐号安全管理 进行本地安全策略中账户安全相关的设置 设置账号密码必须满足复杂性要求 本地策略 设置用户连续登录失败 3 次，则锁定 30 分钟 设置密码的长度必须大于 8 Windows 帐号安全管理 操作系统的登录密码（P96） 给账户双重加密（P96） Windows 帐号安全管理 最小特权原则 指应限定网络中的每个主体所必须的最小特权，确保因可能的事故、错误、网络部件的篡改等原因造成的损失最小。 最小特权原则有效的限制、分割了用户对数据资料进行访问时的权限，降低非法用户或非法操作可能给系统带来的损失，对系统安全具有至关重要的作用。 网络安全管理 Windows 系统中有许多用不着的服务自动处于激活状态，它们中可能存在安全漏洞，使得攻击者能够控制机器。为了系统的安全，应该把用不着的服务及时关闭，从而可以减少安全风险。另外，需要把系统用不着的网络端口也关闭，防止黑客的攻击。 网络安全管理 禁用 80、21、25 端口之外的其它端口的通讯 网络安全管理 关闭不需要的服务 禁用 Termimal Server 网络安全管理 使用 Ipconfig 和 Netstat 命令 单击“开始|运行” ，输入“cmd”打开命令窗体；输入“ipconfig/all”查看网络设置。 在 cmd 窗口输入 “netstat -na” 可以查看当前端口开放情况 网络安全管理 禁止NetBIOS 根据“最小的服务+最小的权限=最大的安全”等式，关闭不需要的服务，卸载不需要的协议，可增强系统的安全。 操作步骤参考P99 网络安全管理 禁止远程协助 “远程协助”功能允许用户在使用计算机发生困难时，向MSN上的好友发出远程协助邀请，来帮助自己解决问题。 “远程协助”功能正是“冲击波”病毒所要攻击的RPC服务在WinXP上的表现形式，建议禁止。 操作步骤参见P99。 网络安全管理 终端服务 用户利用“终端服务” 可以对远程计算机系统实现远程控制。 步骤参见P100。 网络安全管理 防范IPC默认共享 WinXP在默认安装后允许任何用户连接（IPC$）得到系统所有账号和共享列表，可通过修改注册表禁止空用户连接。 步骤参见P100。 网络安全管理 IP安全策略 通过新建IP安全策略来关闭计算机中的危险端口，可以防范病毒和木马的入侵与蔓延。 步骤参见P101 IE浏览器安全配置 ie Internet选项 注册表设置 注册表安全 注册表是Windows的重要组成部分，他存放了Windows中所有应用程序和系统配置信息。Windows将它的配置信息存储在以树状格式组织的数据库（注册表）中，在Windows功能和应用软件被