1、- 81 -第 3 章 操作系统的安全配置学习目标1. 理解操作系统安全的概念和安全评估准则2. 掌握应急启动盘的制作3. 掌握 windows 操作系统中账号和权限设置4. 掌握 windows 系统和服务安全配置5. 掌握 linux 操作系统的安全配置本章要点 操作系统安全的概念和安全评估准则 应急启动盘的制作 windows 操作系统中账号和权限设置 windows 系统和服务安全配置 linux 操作系统的安全配置随着 Internet 应用的广泛深入,计算机系统的安全问题日益引起人们的高度重视。操作系统是连接计算机硬件与上层软件及用户的桥梁,它的安全性是至关重要的。操作系统对于系统
2、安全来说好比是大楼的地基,如果没有了它,大楼就无从谈起。在计算机系统的各个层次上,硬件、操作系统、网络软件、数据库管理系统软件以及应用软件,各自在计算机安全中都肩负着重要的职责。在软件的范畴中,操作系统处在最底层,是所有其他软件的基础,它在解决安全上也起着基础性、关键性的作用,没有操作系统的安全支持,计算机软件系统的安全就缺乏了根基。因此,操作系统本身的安全就成了安全防护的头等大事。操作系统安全防护研究通常包括以下几方面内容。(1) 操作系统本身提供的安全功能和安全服务,现代的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务,如何对操作系统本身的安全性能进行研究和开发使之符合选
3、定的环境和需求。(2) 对各种常见的操作系统,采取什么样的配置措施使之能够正确应付各种入侵。(3) 如何保证操作系统本身所提供的网络服务得到安全配置。3.1 操作系统的安全问题一般意义上,如果说一个计算机系统是安全的,那么是指该系统能够控制外部对系统信息的访问。也就是说,只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。操作系统内的活动都可以认为是主体对计算机系统内部所有客体的一系列操作。操作系统中任何存有数据的东西都是客体,包括文件程序、内存、目录、队列、管道、进程间报文、I/O 设备和物理介质等。能访问或使用客体活动的实体称为主体,一般说,用户或者代表用户进行操作的进程都
4、是主体。主体对客体的访问策略是通过可信计算基(TCB)来实现的。可信计算基是系统安全的基础,正是基于该 TCB,通过安全策略的实施控制主体对空体的存取,达到对客体的保护。安全策略描述的是人们如何存取文件或其他信息。当安全策略被抽象成- 82 -安全模型后,人们可以通过形式货摊方法证明该模型是安全的。被证明了的模型成为人们设计系统安全部分的坐标。安全模型精确定义了安全状态的概念访问的基本模型和保证主体对客体访问的特殊规则。一般所说的操作系统的安全通常包含两方面意思:一方面是操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等机制实现的安全;另一方面则是操作系统在使用中,通过一系列的配置
5、,保证操作系统避免由于实现时的缺陷或是应用环境因素产生的不安全因素。只有在这两方面同时努力,才能够最大可能地建立安全的操作系统。311 计算机操作系统安全评估1. 国际安全评价标准的发展及其联系 计算机系统安全评价标准是一种技术性法规。在信息安全这一特殊领域,如果没有这一标准,与此相关的立法、执法就会有失偏颇,最终会给国家的信息安全带来严重后果。由于信息安全产品和系统的安全评价事关国家的安全利益,因此许多国家都在充分借鉴国际标准的前提下,积极制订本国的计算机安全评价认证标准。 第一个有关信息技术安全评价的标准诞生于八十年代的美国,就是著名的“可信计算机系统评价准则” (TCSEC ,又称桔皮书
6、) 。该准则对计算机操作系统的安全性规定了不同的等级。从九十年代开始,一些国家和国际组织相继提出了新的安全评价准则。1991 年,欧共体发布了“信息技术安全评价准则” (itsec) 。1993 年,加拿大发布了“加拿大可信计算机产品评价准则” (CTCPEC) ,CTCPEC 综合了 TCSEC 和 ITSEC 两个准则的优点。同年,美国在对 TCSEC 进行修改补充并吸收 ITSEC 优点的基础上,发布了“信息技术安全评价联邦准则”(FC) 。 1993 年 6 月,上述国家共同起草了一份通用准则( CC) ,并将 CC 推广为国际标准。CC 发布的目的是建立一个各国都能接受的通用的安全评
7、价准则,国家与国家之间可以通过签订互认协议来决定相互接受的认可级别,这样能使基础性安全产品在通过 CC 准则评价并得到许可进入国际市场时,不需要再作评价。此外,国际标准化组织和国际电工委也已经制订了上百项安全标准,其中包括专门针对银行业务制订的信息安全标准。国际电信联盟和欧洲计算机制造商协会也推出了许多安全标准。2.美国可信计算机安全评价标准(TCSEC)TCSEC 标准是计算机系统安全评估的第一个正式标准,具有划时代的意义。该准则于1970 年由美国国防科学委员会提出,并于 1985 年 12 月由美国国防部公布。TCSEC 最初只是军用标准,后来延至民用领域。TCSEC 将计算机系统的安全
8、划分为 4 个等级、8 个级别。 D 类安全等级:D 类安全等级只包括 D1 一个级别。D1 的安全等级最低。D1 系统只为文件和用户提供安全保护。D1 系统最普通的形式是本地操作系统,或者是一个完全没有保护的网络。C 类安全等级:该类安全等级能够提供审慎的保护,并为用户的行动和责任提供审计能力。C 类安全等级可划分为 C1 和 C2 两类。C1 系统的可信任运算基础体制(trusted computing base,tcb )通过将用户和数据分开来达到安全的目的。在 C1 系统中,所有的用户以同样的灵敏度来处理数据,即用户认为 C1 系统中的所有文档都具有相同的机密性。C2 系统比 C1 系
9、统加强了可调的审慎控制。在连接到网络上时,C2 系统的用户分别对各自的行为负责。C2 系统通过登陆过程、安全事件和资源隔离来增强这种控制。C2 系统具有 C1 系统中所有的安全性特征。 B 类安全等级:B 类安全等级可分为 B1、B2 和 B3 三类。B 类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连,系统就不会让用户存取对象。B1 系统满足下列要求:系统对网络控制下的每个对象都进行灵敏度标记;系统使用灵敏度标记作为所有强迫访问控制的基础;系统在把导入的、非标记的对象放入系统前标记它们;灵敏度标- 83 -记必须准确地表示其所联系的对象的安全级别;当系统管理员创建系统或者
10、增加新的通信通道或 I/O 设备时,管理员必须指定每个通信通道和 I/O 设备是单级还是多级,并且管理员只能手工改变指定;单级设备并不保持传输信息的灵敏度级别 ;所有直接面向用户位置的输出(无论是虚拟的还是物理的)都必须产生标记来指示关于输出对象的灵敏度;系统必须使用用户的口令或证明来决定用户的安全访问级别;系统必须通过审计来记录未授权访问的企图。B2 系统必须满足 B1 系统的所有要求。另外,B2 系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。B2 系统必须满足下列要求:系统必须立即通知系统中的每一个用户所有与之相关的网络连接的改变;只有用户能够在可信任通
11、信路径中进行初始化通信;可信任运算基础体制能够支持独立的操作者和管理员。B3 系统必须符合 B2 系统的所有安全需求。 B3 系统具有很强的监视委托管理访问能力和抗干扰能力。B3 系统必须设有安全管理员。 B3 系统应满足以下要求:除了控制对个别对象的访问外,B3必须产生一个可读的安全列表;每个被命名的对象提供对该对象没有访问权的用户列表说明;B3 系统在进行任何操作前,要求用户进行身份验证;B3 系统验证每个用户,同时还会发送一个取消访问的审计跟踪消息;设计者必须正确区分可信任的通信路径和其他路径;可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪;可信任的运算基础体制支持独立的安全管
12、理。A 类安全等级:A 系统的安全级别最高。目前,A 类安全等级只包含 A1 一个安全类别。A1 类与 B3 类相似,对系统的结构和策略不作特别要求。A1 系统的显著特征是,系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后,设计者必须运用核对技术来确保系统符合设计规范。A1 系统必须满足下列要求:系统管理员必须从开发者那里接收到一个安全策略的正式模型;所有的安装操作都必须由系统管理员进行;系统管理员进行的每一步安装操作都必须有正式文档。3.欧洲的安全评价标准(ITSEC)ITSEC 是欧洲多国安全评价方法的综合产物,应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分
13、。功能准则从 F1F10 共分 10 级。15 级对应于 TCSEC的 D 到 A。F6 至 F10 级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。评估准则分为 6 级,分别是测试、配置控制和可控的分配、能访问详细设计和源码、详细的脆弱性分析、设计与源码明显对应以及设计与源码在形式上一致。 4.加拿大的评价标准(CTCPEC) CTCPEC 专门针对政府需求而设计。与 ITSEC 类似,该标准将安全分为功能性需求和保证性需要两部分。功能性需求共划分为四大类:机密性、完整性、可用性和可控性。每种安全需求又可以分成很多小类,来表示安全性
14、上的差别,分级条数为 05 级。5.美国联邦准则(FC)FC 是对 TCSEC 的升级,并引入了“保护轮廓” (pp)的概念。每个轮廓都包括功能、开发保证和评价三部分。FC 充分吸取了 ITSEC 和 CTCPEC 的优点,在美国的政府、民间和商业领域得到广泛应用。 6.国际通用准则(CC)CC 是国际标准化组织统一现有多种准则的结果,是目前最全面的评价准则。1996 年 6月,CC 第一版发布;1998 年 5 月,CC 第二版发布;1999 年 10 月 CC v2.1 版发布,并且成为 iso 标准。CC 的主要思想和框架都取自 ITSEC 和 FC,并充分突出了 “保护轮廓”概念。CC
15、 将评估过程划分为功能和保证两部分,评估等级分为EAL1、EAL2、EAL3 、EAL4、EAL5、EAL6 和 EAL7 共七个等级。每一级均需评估 7 个功能类,分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆- 84 -弱性评估。3.1.2 国内的安全操作系统评估为了适应信息安全发展的需要,借鉴国际上的一系列有关标准,我国也制定了计算机信息系统等级划分准则。我国将操作系统分成 5 个级别,分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。这 5 个级别区别见表 3.1。第 1 级 第 2 级 第 3 级 第 4 级 第 5 级自
16、主访问控制 身份鉴别 数据完整性 客体重用 审计 强制访问控制 标记 隐蔽信道分析 可信路径 可信恢复 表 3.1 操作系统 5 个级别1) 自主访问控制计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制(如访问控制列表)允许命名用户以用户和 (或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息,并控制访问权限扩散。自主访问控制机制根据用户指定的用户只允许由授权用户指定对客体的访问权。2) 身份鉴别计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,并使用保护机制(如口令 )来鉴别用户的身份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯
17、一标识,计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信基还具备将身份标识与该用户所有可审计行为相关联的能力。3) 数据完整性计算机信息系统可信计算基通过自主和强制完整性策略,阻止非授权用户修改或破坏敏感信息。在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。4) 客体重用在计算机输出信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配再分配一个主体之前,撤销该客体所含信息的所有授权。当主体获得对一个已释放的客体的访问权时,当前主体不能获得原主体活动所产生的任何信息。5) 审计计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权
18、的用户对它的访问或破坏活动。可信计算基能记录在案下述事件:使用身份鉴别机制;将客体引入用户地址空间(如打开文件、程序初始化 );删除客体;由操作员、系统管理员或(和) 系统安全管理员实施的动作以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时间、用户事件类型、事件是否成功。对于身份鉴别事件,审计记录包含来源( 如终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体名。对不能由计算机信息系统可信计算基独立辨别的审计事件,审计机制提供审计记录接口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。- 85 -6) 强制访
19、问控制计算机信息系统可信计算基对所有主体及其所控制的客体(例如,进程、文件、段、设备) 实施强制访问控制,为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是实施强制访问控制的事实依据。计算机信息系统可信计算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足:仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类,且主体安全级非等级类别包含了客体安全级中的非等级类别,主体才能写一个客体。计算机信息系统可信计算基使用身份和鉴别数据,鉴别用户的身份,并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和
20、授权的控制。7) 标记计算机信息系统可信计算基应维护与主体及其控制的存储客体(例如,进程、文件、段、设备) 相关的敏感标记,这些标记是实施强制访问的基础。为了输入未加安全标记的数据,计算机信息系统可信基向授权用户要求并接受这些数据的安全级别,且可由计算机信息系统可信计算基审计。8) 隐蔽信道分析系统开发者应彻底隐蔽存储信道,并根据实际测量或工程估算确定每一个被标识信道的最大带宽。9) 可信路径当连接用户时(例如,注册、更改主体安全级 ),计算机信息系统可信计算基提供它与用户之间的可信通道路径。可信路径上的通信能由该用户或计算机信息系统激活,且在逻辑上与其他路径上的通信相隔离,并能正确地加以区分
21、。10) 可信恢复计算机信息系统可信计算基提供过程和机制,保证计算机信息系统失效或中断后,可以进行不损害任何安全保护性能的恢复。该规定中,级别从低到高,每一级都将实现上一级的所有功能,并且有所增加。第 1 级是用户自主保护级,在该级中,计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护能力。通常所说的安全操作系统,其最低级别即是第 3 级,日常所见的操作系统,则以第 1 级和第 2 级为主。4 级以上的操作系统,与前 3 级有着很大的区别。4 级和5 级操作系统必须建立于一个明确定义的形式化安全策略模型之上。此外,还需要考虑隐蔽通道。在第 4 级结构化保护级中,要求将第 3 级
22、系统中的自主和强制访问控制扩展到所有主体与客体。第 5 级访问验证保护级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问,访问监控器本身必须是抗篡改的、足够小且能够分析和测试。为了满足访问监控器需求,计算机信息系统可信计算基在构造时,排除那些对实施安全策略来说并非必要的代码;在设计和实现时,从系统工程角度将其复杂性降低到最小。支持安全管理员职能;提供审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。这种系统具有高的抗渗透能力。32 操作系统的安全配置操作系统安全配置主要是指操作系统访问控制权限的恰当设置、系统的及时更新以及对于攻击的防范。所谓操作系统
23、访问控制权限的恰当设置是指利用操作系统的访问控制功能,为用户和文件系统建立恰当的访问权限控制。由于目前流行的操作系统绝大多数是用户自主级访问控制,因此对于用户和重要文件的访问权限控制是否得当,直接影响系统的安全稳定和信息的完整保密。- 86 -321 windows 操作系统的安全配置1用户安全(1)停掉 Guest 帐号 在计算机管理的用户里面把 guest 帐号停用掉,任何时候都不允许 guest 帐号登陆系统。为了保险起见,最好给 guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符数字,字母的长字符串,然后把它作为 guest 帐号的密码拷进去。 如图 3.1 所
24、示图 3.1 停用 guest 用户界面(2)限制不必要的用户数量 去掉所有的 duplicate user 帐户、 测试用帐户、 共享帐号、普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。(3)创建 2 个管理员用帐号 虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有 Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行
25、一些需要特权才能作的一些工作,以方便管理。(4)把系统 administrator 帐号改名 大家都知道,windows 2000 的 administrator 帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把 Administrator 帐户改名可以有效的防止这一点。- 87 -图 3.2 系统 administrator 帐号改名界面(5)创建一个陷阱帐号 什么是陷阱帐号?创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过 10 位的超级复杂密码。这样可以让那些骇客忙上一段时间了,并且可以借此发现它们
26、的入侵企图。图 3.3 创建陷阱帐号界面(6)把共享文件的权限从”everyone”组改成“授权用户” “everyone”组在 win2000 中意味着所有人,任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是“everyone”组的。(7)使用安全密码 一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。安全期内无法破解出来的密码就是好密码,也就是说,如果人家得到了你的密码文档,必须花 43 天或者更长的时间才能破解出来,而你的密码策略是 42 天必须改密码。设置密码时要注意密码一定要包含字母
27、、数字和特殊字符,并且字母要区分大小写,密码的位数建议 10 位以上。(8) 开启密码策略- 88 -这对系统安全非常重要,要使安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略见表 3.2。策 略 设 置密码必须符合复杂性要求 启用密码长度最小值 6 位密码最长存留期 15 天强制密码历史 5 次表 3.2 开启密码策略“密码必须符合复杂性要求”是要求设置的密码必须是数字和字母的组合;“密码长度最小值”是要求密码长度至少为 6 位;“密码最长存留期”是要求当该密码使用超过 15 天后,就自动要求用户修改密码;“强制密码历史”是要求当前设置的密码不能和前面 5 次的密码相同。设置
28、如图 2.14 所示。图 3. 4 设置密码策略(9)日常使用系统不要使用管理员用户管理员用户只有系统在进行管理时才要使用的,日常使用计算机时,应使用属于 users组的普通用户,由于普通用户的权利比管理员用户小很多,所以可以避免不必要的风险。例如,普通用户默认对 NTFS 分区上的系统目录是不可写的,而管理员用户可写。(10)考虑使用智能卡来代替密码 对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。 2系统安全(1)及时为操作系统打补丁 天天利用一些安全审计工具对操作系统进行扫描,发现最新
29、的漏洞,去微软和一些安全站点下载最新的 service pack 和漏洞补丁,是保障服务器长久安全的有效方法。(2)使用 NTFS 格式分区并合理规划权限 把计算机的系统分区要使用 NTFS 文件系统。由于 NTFS 文件系统可以设置权限,所以NTFS 文件系统要比 FAT、FAT32 的文件系统安全得多。系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限 。系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限。系统盘Documents and SettingsAll Users 目录
30、只给 Administrators 组和 SYSTEM 的完全控制权限。系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe 、 net1.exe、ftp.exe、 - 89 -tftp.exe、telnet.exe 、 netstat.exe、regedit.exe 、at.exe 、attrib.exe、 、del 文件只给Administrators 组和 SYSTEM 的完全 控制权限。另将System32cmd.exe、 、ftp.exe 转移到其他目录或更名。 Documents and Settings 下所有些目录都设置只给 adinistra
31、tors 权限。并且要一个一个目录查看,包括下面的所有子目录。删除 c:inetpub 目录 (3)运行防毒软件 杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序,要注意对所有外来文件进行杀毒,并及时更新最新的病毒库。(4)安装防火墙软件防火墙软件可以控制软件对于网络的访问并可以设置安全规则,可以有效地防范网络攻击和木马程序。因此计算机要安装防火墙软件并及时更新规则库。4.使用文件加密系统 EFS Windows 强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。要给文件夹也使用 EFS 而不仅仅是单个的文件。 5.加
32、密 temp 文件夹 一些应用程序在安装和升级的时候,会把一些东西拷贝到 temp 文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除 temp 文件夹的内容。所以,给 temp 文件夹加密可以给你的文件多一层保护。 3服务安全(1)利用安全配置工具来配置策略 开始菜单管理工具 本地安全策略 本地策略审核策略 。设置如图 3.5。图 3.5 本地安全策略本地策略用户权限分配 关闭系统:只有 Administrators 组、其它全部删除。通过终端服务允许登陆:只加入 Administrators,Remote Desktop Users 组,其他全部删除 。本地策略安全选项 (设置如下
33、:)交互式登陆:不显示上次的用户名 启用 网络访问:不允许 SAM 帐户和共享的匿名枚举 启用 网络访问:不允许为网络身份验证储存凭证 启用 网络访问:可匿名访问的共享 全部删除 - 90 -网络访问:可匿名访问的命 全部删除 网络访问:可远程访问的注册表路径 全部删除 网络访问:可远程访问的注册表路径和子路径 全部删除 帐户:重命名来宾帐户 重命名一个帐户 帐户:重命名系统管理员帐户 重命名一个帐户 (2)关闭不必要的服务 开始-运行-services.msc 如图 3.6。可以通过鼠标右键修改其属性和启动或禁止。图 3.6 运行 services.mscTCP/IP NetBIOS Hel
34、per 提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络 。Server 支持此计算机通过网络的文件、打印、和命名管道共享 。 Computer Browser 维护网络上计算机的最新列表以及提供这个列表。 Task scheduler 允许程序在指定时间运行。Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息。Distributed File System: 局域网管理共享文件,不需要可禁用。Distributed linktracking client:用于局域网更新连接信息
35、,不需要可禁用 。Error reporting service:禁止发送错误报告。Microsoft Serch:提供快速的单词搜索,不需要可禁用 。NTLMSecuritysupportprovide:telnet 服务和 Microsoft Serch 用的,不需要可禁用 。PrintSpooler:如果没有打印机可禁用。Remote Registry:禁止远程修改注册表。Remote Desktop Help Session Manager:禁止远程协助。Workstation 关闭的话远程 NET 命令列不出用户组。以上是在默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启
36、动。(3) 关闭不必要的端口关闭端口意味着减少功能,在安全和功能上面需要做一些抉择。如果服务器安装在防火墙的后面,风险就会少些。但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统已开放的端口,确定系统开放的哪些服务可能引起黑客入侵。具体方法为:右击“网上邻居”图标,执行“属性”命令,在出现的窗口中右击“本地- 91 -连接”执行“属性”命令,在弹出对话框中选中“Internet 协议(TCP/IP) ”项,单击“属性”按钮,再在弹出的对话框中单击“高级”按钮,弹出“高级 TCP/IP 设置”对话框,打开“选项”选项卡选中“TCP/IP 筛选”项,单击“属性”按钮,弹出“TCP/IP 筛选
37、”对话框,添加需要的 TCP、UDP 协议即可,如图 3.7 所示。设置完毕的端口界面如图 3.8 所示。图 3.7 设置 IP 的高级属性 图 3.8 设置 TCP/IP 筛选(4)设定安全记录的访问权限 安全记录在默认情况下是没有保护的,把他设置成只有 Administrator 和系统帐户才有权访问。 (5)把敏感文件存放在另外的文件服务器中 虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据( 文件,数据表,项目文件等 )存放在另外一个安全的服务器中,并且经常备份它们。(6)禁止从软盘和 CD Rom 启动系统 一些第三方的工具能通过引导系统来绕过原有的安
38、全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。4注册表安全配置注册表是存储关于计算机配置信息的数据库。系统操作时不断引用注册表的信息。注册表文件后缀为*.reg。注册表的结构如表 3.3。键 值 说 明HKEY_LOCAL_MACHINE 本地计算机系统的信息,包括硬件和操作系 统数据HKEY_CLASSES_ROOT 各种 OLE 技术和文件类关联数据的信息HKEY_CURRENT_USER 用户配置文件,包括 环境变量、桌面设置、网络连接、打印机和程序首选项等HKEY_USERS 动态加载的用户配置文件和默认的配置文件的信息HKEY_
39、CURRENT_CONFIG 计算机系统使用的硬件配置文件的相关信息。用于配置一些设置,如要加载的设备驱动程序、显示时 要使用的分辨率表 3.3 注册表的结构修改注册表可以使用注册表编辑器,启动注册表编辑器的名令是:regedit 或 regedt32如:开始-运行-regedit ,打开注册表编辑器如图 3.9- 92 -图 3.9 注册表编辑器依次展 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中 PortNumber 改为你想用的端口号。注意使用十进制
40、(例 10000 ) 修改完毕,重新启动服务器,设置生效。通过修改注册表,让系统更强壮 。(1)隐藏重要文件/目录可以修改注册表实现完全隐藏HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorer AdvancedFolderHi-ddenSHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由 1 改为 0 (2)防止 SYN 洪水攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建 DWORD 值,名为 Sy
41、nAttackProtect,值为 2 新建 EnablePMTUDiscovery REG_DWORD 0 新建 NoNameReleaseOnDemand REG_DWORD 1 新建 EnableDeadGWDetect REG_DWORD 0 新建 KeepAliveTime REG_DWORD 300,000 新建 PerformRouterDiscovery REG_DWORD 0 新建 EnableICMPRedirects REG_DWORD 0 (3)禁止响应 ICMP 路由通告报文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi
42、cesTcpipParametersInterfacesinterface 新建 DWORD 值,名为 PerformRouterDiscovery 值为 0 (4) 防止 ICMP 重定向报文的攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将 EnableICMPRedirects 值设为 0 (5)不支持 IGMP 协议 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建 DWORD 值,名为 IGMPLevel 值为
43、 0 (6)禁止 IPC 空连接cracker 可以利用 net use 命令建立空连接,进而入侵,还有 net view,nbtstat 这些都是基于空连接的,禁止空连接就好了。Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”- 93 -1”即可。 (7)更改 TTL 值 cracker 可以根据 ping 回的 TTL 值来大致判断你的操作系统,如:TTL=128(win2000,winxp,win2003); TTL=64(linux); TTL=255(unix); 在 windows 中可
44、以改变它:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices TcpipParameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制 ,默认值 128)改成一个莫名其妙的数字如 258,可以让入侵者不能据此判定使用的操作系统。 (8)删除默认共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters: AutoShareServer 类型是 REG_DWORD 把值改为 0 即可 (9)禁止建立空连接 默认情况下,任何用户
45、通过通过空连接连上服务器,进而枚举出帐号,猜测密码。可以通过修改注册表来禁止建立空连接:Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。 3.2.2 linux 操作系统的安全配置通过基本的安全措施,使 Linux 系统变得可靠。1、Bios Security一定要给 Bios 设置密码,以防通过在 Bios 中改变启动顺序,而可以从软盘启动。这样可以阻止别人试图用特殊的启动盘启动你的系统,还可以阻止别人进入 Bios 改动其中的设置(比如允许通过软盘启动等) 。2、启动安全(1)为 LILO
46、 添加口令rootlocalhost# vi /etc/lilo.confrestricted #加入这行password= #加入这行并设置自己的密码chmod600 /ietc/lilo.conf然后执行命令:/sbin/lilo-V,将其写入 boot sector,并使这一改动生效。chattr+ i /etc/lilo.conf (2)为 GRUB 添加口令启动系统后出现 GRUB 的画面,按 c 进入命令方式,输入命令 md5cryptgrub md5cryptPassword: *Encrypted: $1$5R.2$OanRg6GT.Tj3uJZzb.hye0然后将加密的密码拷
47、贝到/boot/grub/grub.conf 中 password 的一行,如下:timeout=25 splashimage=(hd0,5)/grub/splash.xpm.gz password -md5$1$5R.2$OanRg6GT.Tj3uJZzb.hye0 #boot=/dev/hda - 94 -.3、删除所有的特殊账户你应该删除所有不用的缺省用户和组账户(比如 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 等) 。删除用户:rootkapil /# userdel lp删除组:rootkapil /#
48、 groupdel lp4、选择正确的密码在选择正确密码之前还应作以下修改:修改密码长度:在你安装 linux 时默认的密码长度是 5 个字节。但这并不够,要把它设为 8。修改最短密码长度需要编辑 login.defs 文件(vi /etc/login.defs) ,把下面这行PASS_MIN_LEN 5 改为 PASS_MIN_LEN 8,login.defs 文件是 login 程序的配置文件。5、打开密码的 shadow 支持功能:你应该打开密码的 shadow 功能,来对 password 加密。使用“/usr/sbin/authconfig”工具打开 shadow 功能。如果你想把已
49、有的密码和组转变为 shadow 格式,可以分别使用“pwcov,grpconv”命令。6、root 账户在 unix 系统中 root 账户是具有最高特权的。如果系统管理员在离开系统之前忘记注销root 账户,系统会自动注销。通过修改账户中“TMOUT”参数,可以实现此功能。TMOUT 按秒计算。编辑你的 profile 文件( vi /etc/profile),在“HISTFILESIZE=“后面加入下面这行:TMOUT=36003600,表示 60*60=3600 秒,也就是 1 小时。这样,如果系统中登陆的用户在一个小时内都没有动作,那么系统会自动注销这个账户。你可以在个别用户的“.bashrc”文件中添加该值,以便系统对该用户实行特殊的自动注销时间。改变这项设置后,必须先注销用户,再用该用户登陆才能激活这个功能。7、取消普通用户的控制台访