网络安全技术及应用 第5版 第9章 操作系统安全.pptVIP

* * * 9.5 Web站点的安全 3．审核日志策略的配置 1）设置登录审核日志 “开始”→“控制面板”→“管理工具”→“本地安全策略”→“本地策略”→“审核策略”→双击“审核账户登录事件”,在 选择“成功/失败”. 2）设置HTTP审核日志 （1）设置日志的属性，具体方法如下： “开始”→“控制面板”→“管理工具”→“Internet服务管理器”→“计算机名称”选择站点名称→ 右键 →“属性”在Web选项卡中,选择“W3C扩充日志文件格式”的“属性”→对“常规属性”和“扩充的属性”设置。 （2）修改日志的存放位置 HTTP审核日志默认位置在安装目录\system32\LogFile下，建议与Web主目录文件放在不同分区，防止攻击者恶意篡改日志，操作与（1）类似，但是，在“常规属性”选项卡中，选择“日志文件目录（L）：”的“浏览”，并指定一个新目录，单击“确定”完成设置。 ? 讨论思考： （1）Web安全包含哪些方面？ （2）如何通过日志观察Web的是否遭到攻击？ ? 9.5 操作系统的安全加固和恢复 9.5.1 系统加固的常用方法 实施安全加固就是消除操作系统上存在的已知漏洞，提升操作系统的安全等级。安全加固一般会参照特定系统加固配置标准或行业规范，根据系统的安全等级划分和具体要求，对相应系统实施不同策略的安全加固，从而保障信息系统的安全。 系统安全加固是指通过一定的技术手段，提高操作系统的主机安全性和抗攻击能力，通过打补丁、修改安全配置、增加安全机制等方法，合理进行安全性加强，满足安全配置、安全运行、安全接入、数据安全的要求。常见方法：密码系统安全增强、访问控制策略和工具、远程维护的安全性、文件系统完整性审计、增强系统日志分析。 系统的加固工作主要是通过人工的方式进行的，也可以借助特定的安全加固工具进行。 9.5 系统的加固和恢复 9.5.1 系统加固的常用方法 1.Windows操作系统安全加固方法 （1）账户管理 1）账户 2）口令 3）密码最长留存期 4）帐户锁定策略 （2）认证授权 1）远程关机 2）本地关机 3）用户权限指派 4）授权帐户登录 5）授权帐户从网络访问 9.5 系统的加固和恢复 9.5.1 系统加固的常用方法 （3）日志配置操作 1）日志配置 2）审核策略 3）审核对象访问 4）审核事件目录服务访问 5）审核特权使用 6）审核系统事件 7）审核帐户管理 8）审核过程追踪 9）日志文件大小 9.5 系统的加固和恢复 9.5.1 系统加固的常用方法 （4）IP协议安全配置 IP协议安全：启用SYN攻击保护。 （5）文件权限 共享文件夹及访问权限 共享文件夹授权访问 （6）服务安全 禁用TCP/IP上的NetBIOS 禁用不必要的服务 （7）安全选项 启用安全选项 禁用未登录前关机 9.5 系统的加固和恢复 9.5.1 系统加固的常用方法 （8）其他安全配置 1）防病毒管理。Windows系统需要安装防病毒软件。 2）设置屏幕保护密码和开启时间。设置从屏幕保护恢复时需要输入密码，并将屏幕保护自动开启时间设定为五分钟。 3）远程登录空闲断开时间。对于远程登录的帐户，设置不活动超过时间15分钟自动断开连接。 4）操作系统补丁管理。安装最新的操作系统Hotfix补丁。安装补丁时，应先对服务器系统进行兼容性测试。 9.5 系统的加固和恢复 9.5.1 系统加固的常用方法 2. Linux操作系统安全加固方法 （1）账号和口令 1）禁用或删除无用账号 2）检查特殊账号 3）添加口令策略 4）限制用户su 5）禁止root用户直接登录 （2）服务 1）关闭不必要的服务 2）SSH服务安全 9.5 系统的加固和恢复 9.5.1 系统加固的常用方法 （3）文件系统 1）设置umask值。 2）设置登录超时。 （4）日志 1）syslog日志。Linux系统默认启用以下类型日志： 系统日志（默认）/var/log/messages cron日志（默认）/var/log/cron 安全日志（默认）/var/log/secure 2）记录所有用户的登录和操作日志。 通过脚本代码实现记录所有用户的登录操作日志，防止出现安全事件后无据可查。 9.5 系统的加固和恢复 9.5.2 系统恢复常用方法及过程 1．软件恢复 软件恢复可分为系统恢复与文件恢复。 系统恢复是指在系统无法正常运作的情况下，通过调用已经备份好的系统资料或系统数据、使用恢复工具等，使系统按照备份时候的部分或全部正常启动运行的数值特征来进行运作。 常见的文件系统故障有误删除、误格式化、误GHOST、分区