第七节-操作系统安全.ppt

第7章 操作系统安全 第三部分　系统安全机制 导读 目前服务器常用的操作系统有两类：Windows NT/2000/2003 Server、Unix/Linux。这些操作系统都是符合C2级安全级别的操作系统，但是都存在不少漏洞，如果对这些漏洞不了解，不采取相应的措施，就会使操作系统完全暴露给入侵者。本章将讨论这两类操作系统一些基本的安全问题。 Contents Windows 2000系统的安全 Windows NT系列操作系统具有的优点： 　　（１）支持多种网络协议； 　　（２）内置Internet功能； 　　（３）支持NTFS文件系统． 7.1.1初级安全配置方案 (1) 物理安全 (7) 更改默认权限 (2) 停止Guest帐号 (8) 设置安全密码 (3) 限制用户数量 (9) 屏幕保护密码 (4) 创建多个管理员帐号 (10) 使用NTFS分区 (5) 管理员帐号改名 (11) 运行防毒软件 (6) 陷阱帐号 (12) 备份盘的安全 图７-１Guest帐号设置 图７-２共享权限设置 7.1.2中级安全配置方案 (1)操作系统安全策略　(6)开启帐户策略 (2)关闭不必要的服务　(7)备份敏感文件 (3)关闭不必要的端口　(8)不显示上次登录名 (4)开启审核策略　　　(9)禁止建立空连接 (5)开启密码策略　　　(10)下载最新的补丁 控制面板→管理工具→本地安全策略 图７-３本地安全设置 图７-４　选择ＴＣＰ／ＩＰ筛选 图７-５　设置端口 控制面板→管理工具→本地安全策略图７-６　选择审核策略 图７-７　设置审核策略 “开始→运行”中输入“Eventvwr.msc”，定位到“事件查看器→安全性”查看事件日志 实战任务:商业间谍做了些什么？? 任务描述: 　阿桂是一家IT公司的网管，最近，老板发现一些商业秘密不胫而走，他想在不让员工们知道的前提下，监控手下人什么时候访问过或使用了公司电脑中指定的磁盘或文件夹中的资料，比如:服务器“D:\data”文件夹。老板觉得小何最可疑，于是决定从监视他入手。? 分析: 　公司员工每人都分配有一个不同账户(记得不能给他们修改策略设置的权限！)，只要监视选定账户或组对目标访问时，需要监视目标的访问权和执行权即可。开始前首先在“控制面板→文件夹选项→查看”标签下取消“使用简单文件共享”。 第一步:在“审核策略”中双击右侧的“审核对象访问”，勾选“成功”，确认操作并退出编辑器。右击目标磁盘或文件夹选择“属性”，切换至“安全”选项卡，单击“高级”，切换至“审核”标签。? 第二步:单击“添加”，输入小何使用的用户名，因为小何属于普通用户组(users)，所以输入“计算机名\users”，单击“确定”。这时会弹出审核项目选择窗口，因为要监视小何对目标的“访问权和执行权”，因此要勾选“遍历文件夹/运行文件”，确定所有操作。? 第三步:这时策略已经完成了。现在可以试试是否有效。打开事件查看器，右击“安全性”选择“清空所有事件”后注销系统。这时，小何登录此系统，访问一下“D:\data”并执行其中一个文件(比如运行了存放在该目录底下的“MSN6.2.exe”文件)。注销系统后，阿桂用管理员身份登录，查看一下日志，是不是清楚地记录了刚才小何的访问行为(见图)？? 7.1.3　高级安全配置方案 (1) 关闭DirectDraw　(7) 使用智能卡 (2) 关闭默认共享　　　(8) 使用IPSec (3) 禁用Dump文件　　(9) 禁止判断主机类型 (4) 锁住注册表　　　　(10) 禁止Guest访问日志 (5) 关机时清除页面文件(11) 数据恢复软件 (6) 禁止软盘光盘启动 图７-８　关闭默认共享 图７-９　禁用Dump文件 　　修改注册表 Contents 7.2.1 超级用户安全管理 超级用户在安全管理方面需要注意的地方包括： (1) 在一般情况下最好不使用root账号，应使用su命令进入普通用户账号。 (2) 超级用户不要运行其它用户的程序。 (3) 经常改变root口令。 (4) 精心地设置口令时效。 (5) 不要把当前工作目录排在PATH路径表的前面，以避免木马程序的入侵。 7.2.1 超级用户安全管理 (6) 不要未退出系统就离开终端。 (7) 建议将登录名root改成其它名称。 (8) 注意检查不寻常的系统使用情况。 (9) 保持系统文件的完整性。 (10) 将磁盘的备份存放在安全的地方。 (11) 确保所有登录账号的口令都不为空。 (12) 启动记账系统。 7.2.2 用户帐号安全管理 保证系统有一个安全的/etc/passwd文件是十分必 要的，维护该文件时