各种操作系统安全配置方案.docx
- 文档编号:30372161
- 上传时间:2023-08-13
- 格式:DOCX
- 页数:16
- 大小:27.92KB
各种操作系统安全配置方案.docx
《各种操作系统安全配置方案.docx》由会员分享,可在线阅读,更多相关《各种操作系统安全配置方案.docx(16页珍藏版)》请在冰豆网上搜索。
各种操作系统安全配置方案
操作系统安全配置方案
内容提要
Windows的安全配置。
操作系统的安全将决定网络的安全,从保护级别上分成安全初级篇、中级篇和高级篇,共36条基本配置原则。
安全配置初级篇讲述常规的操作系统安全配置,中级篇介绍操作系统的安全策略配置,高级篇介绍操作系统安全信息通信配置。
操作系统概述
目前服务器常用的操作系统有三类:
Unix
Linux
WindowsNT/2000/2003Server。
这些操作系统都是符合C2级安全级别的操作系统。
但是都存在不少漏洞,如果对这些漏洞不了解,不采取相应的措施,就会使操作系统完全暴露给入侵者。
UNIX系统
UNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。
它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统。
UNIX诞生于20世纪60年代末期,贝尔实验室的研究人员于1969年开始在GE645计算机上实现一种分时操作系统的雏形,后来该系统被移植到了DEC的PDP-7小型机上。
1970年给系统正式取名为Unix操作系统。
到1973年,Unix系统的绝大部分源代码都用C语言重新编写过,大大提高了Unix系统的可移植性,也为提高系统软件的开发效率创造了条件。
主要特色
UNIX操作系统经过20多年的发展后,已经成为一种成熟的主流操作系统,并在发展过程中逐步形成了一些新的特色,其中主要特色包括5个方面。
(1)可靠性高
(2)极强的伸缩性
(3)网络功能强
(4)强大的数据库支持功能
(5)开放性好
Linux系统
Linux是一套可以免费使用和自由传播的类Unix操作系统,主要用于基于Intelx86系列CPU的计算机上。
这个系统是由全世界各地的成千上万的程序员设计和实现的。
其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。
Linux最早开始于一位名叫LinusTorvalds的计算机业余爱好者,当时他是芬兰赫尔辛基大学的学生。
目的是想设计一个代替Minix(是由一位名叫AndrewTannebaum的计算机教授编写的一个操作系统示教程序)的操作系统。
这个操作系统可用于386、486或奔腾处理器的个人计算机上,并且具有Unix操作系统的全部功能。
Linux是一个免费的操作系统,用户可以免费获得其源代码,并能够随意修改。
它是在共用许可证GPL(GeneralPublicLicense)保护下的自由软件,也有好几种版本,如RedHatLinux、Slackware,以及国内的XteamLinux、红旗Linux等等。
Linux的流行是因为它具有许多优点,典型的优点有7个。
Linux典型的优点有7个。
(1)完全免费
(2)完全兼容POSIX1.0标准
(3)多用户、多任务
(4)良好的界面
(5)丰富的网络功能
(6)可靠的安全、稳定性能
(7)支持多种平台
Windows系统
Windows系统是当今最流行的操作系统,发展经过WIN9X、WINME、WINXP、NT3.0、NT40、NT5.0(Windows2000)和NT6.0(Windows2003)等众多版本,并逐步占据了广大的中小网络操作系统的市场。
WindowsNT以后的版本的操作系统使用了与Windows9X完全一致的用户界面和完全相同的操作方法,使用户使用起来比较方便。
与Windows9X相比,WindowsNT及后续版本的网络功能更加强大并且安全。
WindowsNT以后的操作系统具有以下三方面的优点。
(1)支持多种网络协议
由于在网络中可能存在多种客户机,如Windows95/98、AppleMacintosh、Unix、OS/2等等,而这些客户机可能使用了不同的网络协议,如TCP/IP协议、IPX/SPX等。
WindowsNT以后的操作系统操作支持几乎所有常见的网络协议。
(2)内置Internet功能
随着Internet的流行和TCP/IP协议组的标准化,WindowsNT以后的操作系统内置了IIS(InternetInformationServer),可以使网络管理员轻松的配置WWW和FTP等服务。
(3)支持NTFS文件系统
Windows9X所使用的文件系统是FAT,在NT中内置同时支持FAT和NTFS的磁盘分区格式。
使用NTFS的好处主要是可以提高文件管理的安全性,用户可以对NTFS系统中的任何文件、目录设置权限,这样当多用户同时访问系统的时候,可以增加文件的安全性。
安全配置方案初级篇
安全配置方案初级篇主要介绍常规的操作系统安全配置,包括十二条基本配置原则:
物理安全、停止Guest帐号、限制用户数量
创建多个管理员帐号、管理员帐号改名
陷阱帐号、更改默认权限、设置安全密码
屏幕保护密码、使用NTFS分区
运行防毒软件和确保备份盘安全。
1、物理安全
服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。
另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方。
2、停止Guest帐号
在计算机管理的用户里面把Guest帐号停用,任何时候都不允许Guest帐号登陆系统。
为了保险起见,最好给Guest加一个复杂的密码,可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串。
用它作为Guest帐号的密码。
并且修改Guest帐号的属性,设置拒绝远程访问,如图1所示
。
3限制用户数量
去掉所有的测试帐户、共享帐号和普通部门帐号等等。
用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户。
帐户很多是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。
对于WindowsNT/2000/XP主机,如果系统帐户超过10个,一般能找出一两个弱口令帐户,所以帐户数量不要大于10个。
4多个管理员帐号
虽然这点看上去和上面有些矛盾,但事实上是服从上面规则的。
创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物,另一个拥有Administrator权限的帐户只在需要的时候使用。
因为只要登录系统以后,密码就存储再WinLogon进程中,当有其他用户入侵计算机的时候就可以得到登录用户的密码,尽量减少Administrator登录的次数和时间。
5管理员帐号改名
Windows2000和WindowsXp中的Administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。
把Administrator帐户改名可以有效的防止这一点。
不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:
guestone。
具体操作的时候只要选中帐户名改名就可以了。
6陷阱帐号
所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。
这样可以让那些企图入侵者忙上一段时间了,并且可以借此发现它们的入侵企图。
可以将该用户隶属的组修改成Guests组。
根据HACKER提示。
把这个账户不加权限为最安全状态!
谢谢
7更改默认权限
共享文件的权限从“Everyone”组改成“授权用户”。
“Everyone”在Windows2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。
任何时候不要把共享文件的用户设置成“Everyone”组。
包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。
设置某文件夹共享默认设置如图所示。
8安全密码
好的密码对于一个网络是非常重要的,但是也是最容易被忽略的。
一些网络管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的字符做用户名,然后又把这些帐户的密码设置得比较简单,比如:
“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。
这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。
这里给好密码下了个定义:
安全期内无法破解出来的密码就是好密码,也就是说,如果得到了密码文档,必须花43天或者更长的时间才能破解出来,密码策略是42天必须改密码.
9屏幕保护密码
设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。
注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,黑屏就可以了。
还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。
将屏幕保护的选项“密码保护”选中就可以了,并将等待时间设置为最短时间“1秒”。
10NTFS分区
把服务器的所有分区都改成NTFS格式。
NTFS文件系统要比FAT、FAT32的文件系统安全得多。
11防毒软件
Windows没有安装防毒软件的,一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。
建议使用NOD32等杀毒软件,具体可以去安全区讨论.设置了防毒软件,“黑客”们使用的那些有名的木马就毫无用武之地了,并且要经常升级病毒库。
12备份盘的安全
一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。
备份完资料后,把备份盘防在安全的地方。
不能把资料备份在同一台服务器上,这样的话还不如不要备份。
安全配置方案中级篇
安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则:
操作系统安全策略、关闭不必要的服务
关闭不必要的端口、开启审核策略
开启密码策略、开启帐户策略、备份敏感文件
不显示上次登陆名、禁止建立空连接和下载最新的补丁
1操作系统安全策略
利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略。
在管理工具中可以找到“本地安全策略”,主界面如图所示。
可以配置四类安全策略:
帐户策略、本地策略、公钥策略和IP安全策略。
在默认的情况下,这些策略都是没有开启的。
2关闭不必要的服务
Windows的TerminalServices(终端服务)和IIS(Internet信息服务)等都可能给系统带来安全漏洞。
为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务。
有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。
要留意服务器上开启的所有服务并每天检查。
Windows及WINXP作为可禁用的服务及其相关说明如下表所示。
服务名
说明
ComputerBrowser
维护网络上计算机的最新列表以及提供这个列表
Taskscheduler
允许程序在指定时间运行
RoutingandRemoteAccess
在局域网以及广域网环境中为企业提供路由服务
Removablestorage
管理可移动媒体、驱动程序和库
RemoteRegistryService
允许远程注册表操作
PrintSpooler
将文件加载到内存中以便以后打印。
要用打印机的用户不能禁用这项服务
IPSECPolicyAgent
管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序
DistributedLinkTrackingClient
当文件在网络域的NTFS卷中移动时发送通知
Com+EventSystem
提供事件的自动发布到订阅COM组件
3关闭不必要的端口
关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了。
用端口扫描器扫描系统所开放的端口,在Winnt\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。
该文件用记事本打开如图所示。
设置本机开放的端口和服务,在IP地址设置窗口中点击按钮“高级”。
在出现的对话框中选择选项卡“选项”,选中“TCP/IP筛选”,点击按钮“属性”。
设置端口界面如图所示。
一台Web服务器只允许TCP的80端口通过就可以了。
个人计算机可以不使用,我们说的禁止端口就可以在这里进行。
而不用防火墙来进行!
.TCP/IP筛选器是Windows自带的防火墙,功能比较强大,可以替代防火墙的部分功能。
根据HACK提示还得允许DNS的53口。
但是前提是你的这台服务器是DNS服务器。
否则可以不开
4开启审核策略
安全审核是Windows2000最基本的入侵检测方法。
当有人尝试对系统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。
很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。
表2的这些审核是必须开启的,其他的可以根据需要增加。
审核策略在默认的情况下都是没有开启的。
双击审核列表的某一项,出现设置对话框,将复选框“成功”和“失败”都选中。
5开启密码策略
密码对系统安全非常重要。
本地安全设置中的密码策略在默认的情况下都没有开启。
需要开启的密码策略如表所示
策略
设置
密码复杂性要求
启用
密码长度最小值
6位
密码最长存留期
15天
强制密码历史
5个
设置选项如图所示。
6开启帐户策略
开启帐户策略可以有效的防止字典式攻击,设置如表所示。
策略
设置
复位帐户锁定计数器
30分钟
帐户锁定时间
30分钟
帐户锁定阈值
5次
设置帐户策略
设置的结果如图所示。
7备份敏感文件
把敏感文件存放在另外的文件服务器中,虽然服务器的硬盘容量都很大,但是还是应该考虑把一些重要的用户数据(文件,数据表和项目文件等)存放在另外一个安全的服务器中,并且经常备份它们
8不显示上次登录名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户名,本地的登陆对话框也是一样。
黑客们可以得到系统的一些用户名,进而做密码猜测。
修改注册表禁止显示上次登录名,在HKEY_LOCAL_MACHINE主键下修改子键:
Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName,将键值改成1。
9禁止建立空连接
默认情况下,任何用户通过空连接连上服务器,进而可以枚举出帐号,猜测密码。
可以通过修改注册表来禁止建立空连接。
在HKEY_LOCAL_MACHINE主键下修改子键:
System\CurrentControlSet\Control\LSA\RestrictAnonymous,将键值改成“1”即可。
10下载最新的补丁
很多初学者没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着漏洞不补给人家当靶子用。
谁也不敢保证数百万行以上代码的Windows不出一点安全漏洞。
经常访问微软和一些安全站点,下载最新的ServicePack和漏洞补丁,是保障服务器长久安全的唯一方法。
点开始-windowsupdate去打上最新补丁
安全配置方案高级篇
高级篇介绍操作系统安全信息通信配置,包括十四条配置原则:
关闭DirectDraw、关闭默认共享
禁用DumpFile、文件加密系统
加密Temp文件夹、锁住注册表、关机时清除文件
禁止软盘光盘启动、使用智能卡、使用IPSec
禁止判断主机类型、抵抗DDOS
禁止Guest访问日志和数据恢复软件
1关闭DirectDraw
C2级安全标准对视频卡和内存有要求。
关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏),但是对于绝大多数的商业站点都是没有影响的。
在HKEY_LOCAL_MACHINE主键下修改子键:
SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout,将键值改为“0”即可,如图17所示
也可以在开始菜单的运行中dxdiag,在里面的显示选项卡中点禁用DirectDraw加速。
2关闭默认共享
Windows安装以后,系统会创建一些隐藏的共享,可以在DOS提示符下输入命令NetShare查看。
停止默认共享
在WindowsXp下可以输入netshare共享盘符$/del,如下图
在WINDOWS2000下可以打开管理工具>计算机管理>共享文件
夹>共享,在相应的共享文件夹上按右键,点停止共享即可。
3禁用Dump文件
在系统崩溃和蓝屏的时候,Dump文件是一份很有用资料,可以帮助查找问题。
然而,也能够给黑客提供一些敏感信息,比如一些应用程序的密码等
需要禁止它,打开控制面板>系统属性>高级>启动和故障恢复,把事件写入系统日去掉勾。
4文件加密系统
Windows强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。
这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。
微软公司为了弥补WindowsNT4.0的不足,在Windows2000及后续版本中,提供了一种基于新一代NTFS:
NTFSV5(第5版本)的加密文件系统(EncryptedFileSystem,简称EFS)。
EFS实现的是一种基于公共密钥的数据加密方式,利用了WindowsNT结构中的CryptoAPI结构。
5加密Temp文件夹
一些应用程序在安装和升级的时候,会把一些东西拷贝到Temp文件夹,但是当程序升级完毕或关闭的时候,并不会自己清除Temp文件夹的内容。
所以,给Temp文件夹加密可以给你的文件多一层保护。
6锁住注册表
在Windows2000中,只有Administrators和BackupOperators才有从网络上访问注册表的权限。
当帐号的密码泄漏以后,黑客也可以在远程访问注册表,当服务器放到网络上的时候,一般需要锁定注册表。
修改Hkey_current_user下的子键
Software\microsoft\windows\currentversion\Policies\system
把DisableRegistryTools的值该为0,类型为DWORD。
7关机时清除文件
页面文件也就是调度文件,是Windows2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。
虽然浪费了一些时间偶认为是值得的拉!
一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中可能含有另外一些敏感的资料。
要在关机的时候清楚页面文件,可以编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键:
SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement
把ClearPageFileAtShutdown的值设置成1。
8禁止软盘光盘启动
一些第三方的工具能通过引导系统来绕过原有的安全机制。
比如一些管理员工具,从软盘上或者光盘上引导系统以后,就可以修改硬盘上操作系统的管理员密码。
如果电脑对安全要求非常高,可以考虑使用可移动软盘和光驱,把机箱锁起来仍然不失为一个好方法。
9使用智能卡
对于密码,总是使安全管理员进退两难,容易受到一些工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。
如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
10使用IPSec
正如其名字的含义,IPSec提供IP数据包的安全性。
IPSec提供身份验证、完整性和可选择的机密性。
发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。
利用IPSec可以使得系统的安全性能大大增强。
11禁止判断主机类型
黑客利用TTL(Time-To-Live,活动时间)值可以鉴别操作系统的类型,通过Ping指令能判断目标主机类型。
Ping的用处是检测目标主机是否连通。
许多入侵者首先会Ping一下主机,因为攻击某一台计算机需要根据对方的操作系统,是Windows还是Unix。
如过TTL值为128就可以认为你的系统为Windows2000。
从图中可以看出,TTL值为128,说明改主机的操作系统是Windows2000操作系统。
表给出了一些常见操作系统的对照值。
操作系统类型
TTL返回值
Windows2000
128
WindowsNT
107
win9x
128or127
solaris
252
IRIX
240
AIX
247
Linux
241or240
修改TTL的值,入侵者就无法入侵电脑了。
比如将操作系统的TTL值改为111,修改主键HKEY_LOCAL_MACHINE的子键:
SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS
新建一个双字节项。
在键的名称中输入“defaultTTL”,然后双击改键名,选择单选框“十进制”,在文本框中输入111。
设置完毕重新启动计算机,再用Ping指令,发现TTL的值已经被改成111了。
12抵抗DDOS
添加注册表的一些键值,可以有效的抵抗DDOS的攻击。
在键值
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加响应的键及其说明如下所示。
增加的键值键值说明
"EnablePMTUDiscovery"=dword:
00000000
"NoNameReleaseOnDemand"=dword:
00000000
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 各种 操作 系统安全 配置 方案