《网络安全实用教程》配套(人民邮电出版)ch2

第第 2章章 网络操作系统安全网络操作系统安全本章有三小节本章有三小节2.1 2.1 常用的网络操作系统简介常用的网络操作系统简介2.2 2.2 操作系统安全与访问控制操作系统安全与访问控制2.3 2.3 网络操作系统的安全设置实例网络操作系统的安全设置实例2.1 2.1 常用的网络操作系统简介常用的网络操作系统简介l目前较常用的网络操作系统有Unix、Linux、Windows NT/2000/2003等，它们都是属于C2安全级别的操作系统。2.1.1 Windows NT2.1.1 Windows NTWindows NT(New Technology)是由Microsoft于1993年推出的网络操作系统，其中较为成熟的版本是1996年推出的NT4.0。Windows NT是一个图形化、多用户、多任务的网络操作系统，具有强大的网络管理功能。l与其后的网络操作系统不同的是，Windows NT具有服务器版本(Windows NT Server)和工作站版本(Windows NT Workstation)。服务器版本使用在服务器上，工作站版本使用在工作站(客户机)上。2.1.2 Windows 2000/20032.1.2 Windows 2000/2003 1 1、Windows 2000Windows 2000lWindows 2000操作系统集成了Windows 98和Windows NT4.0的优点，并且在很多方面做了改进，使得Windows 2000在功能上、安全性上都得到了很大的提高。lWindows 2000包括Windows 2000 Professional、Windows 2000 Server、Windows 2000 Advanced Server和Windows 2000 Datacenter四个版本，其中Windows 2000 Professional属于单机操作系统，而其他几种则属于网络操作系统。l活动目录是Windows 2000新增加的功能。活动目录是指一种可扩展的、可分布在多台服务器的数据库，在这个数据库中存储了系统的账户信息。用户不管在哪一台客户机上登录服务器，所得到的服务都是一样的。lWindows 2000还增加了多项网络服务，如虚拟专用网（VPN）技术、路由与远程访问功能和网络地址转换（NAT）功能等。2 2、Windows 2003Windows 2003Windows 2003是Microsoft推出的又一款网络操作系统，与Windows 2000不同的是Windows 2003只有网络版操作系统，一般称之为Windows Server 2003。Windows Server 2003的具体版本可分为Web、Standard、Enterprise和Datacenter版。Windows 2003总体上比Windows 2000更安全、更可靠，并且增加了一些新的服务功能，是“.NET”技术的应用。l在安全性方面，Windows 2003填补了Windows 2000的很多系统漏洞，如输入法漏洞、IIS漏洞和Printer漏洞等。lWindows 2003的IIS也升级为6.0，相比Windows 2000的IIS5.0更安全可靠并且提高了管理性能。2.1.3 Unix 2.1.3 Unix 和和 Linux Linux 1 1、UnixUnix系统系统Unix操作系统是由美国贝尔实验室在上世纪60年代末开发成功的网络操作系统，一般用于大型机和小型机上，较少用于微机。由于各大厂商对Unix系统的开发，Unix形成了多种版本，如IBM公司的AIX系统、HP公司的HP-UX系统、SUN公司的Solaris系统等。lUnix系统在20世纪70年代用C语言进行了重新编写，提高了Unix系统的可用性和可移植性，使之得到了广泛的应用。Unix系统的主要特点：1.高可靠性。2.极强的伸缩性。3.强大的网络功能。4.开放性。2 2、LinuxLinux系统系统lLinux系统是类似于Unix系统的自由软件，主要用于基于Intel x86 CPU的计算机上。lLinux系统的主要特点：(1)完全免费。(2)良好的操作界面。(3)强大的网络功能。2 22 2 操作系统安全与访问控制操作系统安全与访问控制2.2.1 2.2.1 网络操作系统安全网络操作系统安全1 1、主体和客体主体和客体（1 1）主体：主体：主体是指行为动作的主要发动者或施行者，包括用户、主机、程序进程等。作为用户这个主体，为了保护系统的安全，必须保证每个主体的唯一性和可验证性。（2 2）客体：客体：客体是指被主体所调用的对象，如程序、数据等。在操作系统中，任何客体都是为主体服务的，而任何操作都是主体对客体进行的。在安全操作系统中必须要确认主体的安全性，同时也必须确认主体对客体操作的安全性。2 2、安全策略与安全模型安全策略与安全模型（1 1）安全策略：安全策略：安全策略是指使计算机系统安全的实施规则。（2 2）安全模型安全模型：安全模型是指使计算机系统安全的一些抽象的描述和安全框架。3 3、可信计算基可信计算基可信计算基(Trusted Computing Base)是指构成安全操作系统的一系列软件、硬件和信息安全管理人员的集合，只有这几方面的结合才能真正保证系统的安全。4 4、网络操作系统的安全机制网络操作系统的安全机制（1）硬件安全：硬件安全：硬件安全是网络操作系统安全的基础。（2）安全标记：安全标记：l对于系统用户而言，系统必须有一个安全而唯一的标记。在用户进入系统时，这个安全标记不仅可以判断用户的合法性，而且还应该防止用户的身份被破译。（3）访问控制：访问控制：在合法用户进入系统后，安全操作系统还应该能够控制用户对程序或数据的访问，防止用户越权使用程序或数据。（4）最小权力：最小权力：操作系统配置的安全策略使用户仅仅能够获得其工作需要的操作权限。（5）安全审计：安全审计：安全操作系统应该做到对用户操作过程的记录、检查和审计。2.2.2 2.2.2 网络访问控制网络访问控制1 1、访问控制的基本概念访问控制的基本概念访问控制（Access Control）是指定义和控制主体对客体的访问权限，具体可分为身份验证和授权访问。2 2、访问控制的分类访问控制的分类l访问控制一般可分为自主访问控制（Discretionary Access Control）强制访问控制（Mandatory Access Control）2.2.3 2.2.3 网络操作系统漏洞与补丁程序网络操作系统漏洞与补丁程序网络系统漏洞是指网络的硬件、软件、网络协议以及系统安全策略上的缺陷，黑客可以利用这些缺陷在没有获得系统许可的情况下访问系统或破坏系统。1 1、漏洞的类型漏洞的类型（1）从漏洞形成的原因分类程序逻辑结构漏洞程序设计错误漏洞 协议漏洞 人为漏洞（2）从漏洞是否为人们所知分类l已知漏洞l未知漏洞l0day漏洞2 2、Windows NTWindows NT的典型漏洞的典型漏洞（1）账户数据库漏洞账户数据库漏洞 在Windows NT操作系统中，用户的信息及口令均保存在SAM（Security Accounts Management 安全账户管理）数据库中。而SAM数据库允许被Administrator、Administrator组成员、备份操作员、服务器操作员账户所拷贝。这样的SAM备份数据并不安全，能够被一些工具软件所破译，从而使系统的用户名及密码泄密。l解决措施：严格限制具备数据备份权限的人员账户；对SAM数据库的任何操作进行审计；加强密码的强度，提高密码被破译的难度。SAM账户数据库能够被木马或病毒通过具有备份权限的账户所拷贝。l解决措施：减少有备份权限的账户上网的概率，尽量使用只有普通权限的账户上网。（2）SMB协议漏洞协议漏洞SMB(Server Message Block 服务器消息块)是Microsoft的一种可以读取SAM数据库和其他一些服务器文件的协议。SMB协议存在较多的漏洞，如不需授权就可以访问SAM数据库、允许远程访问共享目录、允许远程访问Registry数据库；另外，SMB在验证用户身份时使用的是一种很容易被破译的加密算法。解决措施：采取措施关闭135142端口(SMB协议需要开启135142端口)。（3）Guest账户漏洞账户漏洞Guest账户如果处于开放状态，那么其它账户可以以Guest账户身份进入系统。解决措施：给Guest账户设置一个复杂的密码或关闭Guest账户。（4）默认共享连接漏洞默认共享连接漏洞l系统在默认情况下具有共享连接属性，任何用户都可以使用“IPaddessC$、IPaddessD$”等方式连接系统的C盘、D盘等。l解决措施：关闭系统的默认共享。（5）多次尝试连接次数漏洞多次尝试连接次数漏洞l默认情况下系统没有对用户连接系统的尝试次数进行限制，用户可以不断地尝试连接系统。l解决措施：使用安全策略，限制连接次数。（6）显示用户名漏洞显示用户名漏洞l默认情况下系统会显示最近一次登录系统的用户名，这会给非法用户企图进入系统减少了一次安全屏障。因为非法用户尝试进入系统时只要猜测用户密码而不需猜测用户名了。l解决措施：在注册表中修改关于登录的信息，不显示曾经登录的用户名。（7）打印漏洞打印漏洞l系统中具有打印操作员权限的用户对打印驱动程序具有系统级的访问权限，这会方便黑客通过在打印驱动程序中插入木马或病毒从而控制系统。l解决措施：严格限制打印操作组成员，严格审计事件记录。3 3、Windows 2000Windows 2000的典型漏洞的典型漏洞（1）登录输入法漏洞登录输入法漏洞l当用户登录进入系统时，可以通过使用输入法的帮助功能绕过系统的用户验证，并且能够以管理员权限访问系统。l解决措施：删除不需要的输入法；删除输入法的相关帮助文件(存放在C：WINNThelp下)；升级微软的安全补丁。（2）空连接漏洞空连接漏洞l空连接是指在没有提供用户名与密码的情况下使用匿名用户与服务器建立的会话。建立空连接以后，攻击者就可以获取用户列表、查看共享资源等，从而为入侵系统做好准备。l解决措施：关闭IPC$共享。（3）Telnet拒绝服务攻击漏洞拒绝服务攻击漏洞l当Telnet启动连接但初始化的对话还未被复位的情况下，在一定的时间间隔内如果连接用户还没有提供登录的用户名及密码，Telnet的对话将会超时，直到用户输入一个字符后连接才会被复位。如果攻击者连接到系统的Telnet守护进程，并且阻止该连接复位，那么他就可以有效地拒绝其他用户连接该Telnet 服务器，实现拒绝服务攻击。l解决措施：升级微软的安全补丁。（4）IIS溢出漏洞溢出漏洞Windows 2000存在IIS溢出漏洞。当使用溢出漏洞攻击工具攻击Windows时，会使Windows开放相应的端口，从而使系统洞开，易于被攻击。解决措施：升级微软的专用安全补丁。（5）Unicode漏洞漏洞lUnicode漏洞是属于字符编码的漏洞，是由于Windows 2000在处理双字节字符时所使用的编码格式与英文版本不同所造成的。由于IIS不对超长序列进行检查，因此在URL中添加超长的Unicode序列后，可绕过Windows安全检查。l解决措施：升级微软的专用安全补丁。（6）IIS验证漏洞验证漏洞lIIS提供了Web、FTP和Mail等服务，并支持匿名访问。当Web服务器验证用户失败时，将返回“401 Access Denied”信息。如服务器支持基本认证，攻击者可将主机头域置空后，Web服务器返回包含内部地址的信息，因此，可利用该问题对服务器的用户口令进行暴力破解。l解决措施：设置账号安全策略防止暴力破解。（7）域账号锁定漏洞域账号锁定漏洞l在使用NTLM（NT LAN Manager）认证的域中，Windows 2000主机无法识别针对本地用户制订的域账号锁定策略，使穷举密码攻击成为可能。l解决措施：安装微软的安全升级包。（8）ActiveX控件漏洞控件漏洞lActiveX 控件主要用于支持基于网络的信用注册。当该控件被用于提交“PKCS#10”的信用请求，并在请求得到许可后，将被存放于用户信用存储区。该控件可使网页通过复杂的过程来删除用户系统的信用账号。攻击者还可建立利用该漏洞的网页，以攻击访问该站点的用户或直接将网页作为邮件发送来攻击。l解决措施：安装微软的安全升级包。4 4、Windows XPWindows XP的典型漏洞的典型漏洞（1）升级程序带来的漏洞升级程序带来的漏洞l在将Windows XP升级为Windows XP Pro时，IE6.0会重新安装。但在系统重新安装时会将以前的漏洞补丁程序删除，并且会导致微软的升级服务器无法判断IE是否有漏洞。l解决措施：及时升级微软的安全补丁。（2）UPnP服务漏洞服务漏洞lUPnP(通用即插即用)是面向无线设备、PC机和智能应用的服务。该服务提供普遍的对等网络连接，在家用信息设备、办公网络设备间提供TCP/IP连接和Web访问功能，并可用于检测和集成 UPnP 硬件。在Windows XP系统中该服务默认是启用的，而UPnP 协议存在安全漏洞，可使攻击者在非法获取 Windows XP 的系统级访问后发动攻击。l解决措施：禁用UPnP服务，及时升级微软的安全补丁。（3）压缩文件夹漏洞压缩文件夹漏洞lWindows XP的压缩文件夹可按攻击者的选择运行代码。在安装“Plus！”包的Windows XP系统中，“压缩文件夹”功能允许将Zip文件作为普通文件夹处理。这样的处理方法存在着如下两方面的漏洞：l在解压缩Zip文件时会有未经检查的缓冲存在于程序中以存放被解压文件，因此很可能导致浏览器崩溃或攻击者的代码被运行。l解压缩功能可以在非用户指定目录中放置文件，这样可使攻击者在用户系统的已知位置中放置文件。l解决措施：不下载或拒收不信任的ZIP压缩文件。（4）服务拒绝漏洞服务拒绝漏洞lWindows XP系统支持点对点协议（PPTP），该协议是作为远程访问服务实现的VPN技术协议。由于在控制用于建立、维护和拆除PPTP 连接的代码段中存在未经检查的缓存，导致Windows XP 的实现中存在漏洞。通过向一台存在该漏洞的服务器发送不正确的 PPTP 控制数据，攻击者可损坏核心内存并导致系统失效，中断所有系统中正在运行的进程。l该漏洞可攻击任何一台提供 PPTP 服务的服务器，对于 PPTP客户机，攻击者只需激活PPTP会话即可进行攻击。对遭到攻击的系统，可以通过重启来恢复正常。l解决措施：不启动默认的PPTP协议（5）Windows Media Player漏洞漏洞Windows Media Player是Windows中的媒体播放软件。在Windows XP系统中，Windows Media Player漏洞主要产生两个问题：一是信息泄漏，它给攻击者提供一种可在用户系统上运行代码的方法；二是脚本执行，当用户选择播放一个特殊的媒体文件，并又浏览一个特殊建造的网页后，攻击者就可利用该漏洞运行脚本。解决措施：将要播放的文件先下载到本地再播放。（6）VM虚拟机漏洞虚拟机漏洞当攻击者在网站上拥有恶意的“Java applet”并引诱用户访问该站点时，可通过向 JDBC（Java DataBase Connectivity）类传送无效的参数使宿主应用程序崩溃，这样，攻击者可以在用户机器上安装任意DLL，并执行任意的本机代码，潜在地破坏或读取内存数据。解决措施：经常进行相关软件的安全更新。（7）热键漏洞热键漏洞热键是系统为方便用户的操作而提供的服务功能。但设置热键后，由于Windows XP的自注销功能，可使系统“假注销”，其他用户即可通过热键调用程序。虽然无法进入桌面，但由于热键服务还未停止，仍可使用热键启动应用程序。解决措施：关闭不需要的热键功能；启动屏幕保护功能，并设定密码。（8）账号快速切换漏洞账号快速切换漏洞Windows XP具有账号快速切换功能，使用户可快速地在不同的账号间进行切换。该切换功能的设计存在问题，使用时易于造成账号锁定，使所有非管理员账号均无法登录。解决措施：禁用账号快速切换功能。5 5、补丁程序补丁程序补丁程序是指对于大型软件系统在使用过程中暴露的问题而发布的解决问题的小程序。（1）按照对象分类，补丁程序可分为系统补丁和软件补丁。（2）按照安装方式分类，补丁程序可分为自动更新的补丁和手动更新的补丁。（3）按照补丁的重要性分类，补丁程序可分为高危漏洞补丁、功能更新补丁和不推荐补丁。2.3 2.3 网络操作系统安全设置实例网络操作系统安全设置实例2.3.1 Windows2.3.1 Windows系统的安全设置系统的安全设置1 1、通过管理电脑属性来实现系统安全通过管理电脑属性来实现系统安全右击“我的电脑”，选择“管理”，出现如图2.1所示“计算机管理”界面。图图2.1 2.1 计算机管理计算机管理（1）关闭关闭Guest账户账户Guest账户是Windows系统安装后的一个默认账户。客户可以使用该账户，攻击者也可以使用该账户。使用Guest账户连接网络系统时，服务器不能判断连接者的身份，因此，为了安全起见最好关闭该账户。第1步：在图2.1中，展开“本地用户和组”，单击“用户”，在右面的窗口中显示目前系统中的用户信息，如图2.2所示，图标上有“”的用户表示已经停用。图图2.2 2.2 本地用户信息本地用户信息l第2步：停用Guest账户。右击“Guest”，选择“属性”，出现“Guest属性”窗口；勾选“账户已禁用”，点击“确定”按钮，Guest账户即被停用(图标上有“”)，如图2.3所示。图图2.3 2.3 停用停用GuestGuest账户账户（2）修改管理员账户修改管理员账户Windows系统默认的管理员账户是“Administrator”且不能删除，在Windows 2000中甚至不能停用。为了减少系统被攻击的风险，将默认的管理员账户改名是很有必要的。右击“Administrator”，选择“重命名”，在用户名Administrator处出现闪烁的光标，如图2.3所示，即可修改Administrator的名称。必要时，再给Administrator设置一个复杂的密码。（3）设置陷阱账户设置陷阱账户所谓“陷阱”，就像生活中猎人挖的陷阱一样，是专门给猎物预备的。新建一个账户作为陷阱账户，名称就叫做“Administrator”，但它不属于管理员组而仅仅是一个有最基本权限的用户，其密码设置得复杂一些。当攻击者检测到系统中有Administrator账户时，就会花大力气去破解，这样网络管理员就可以采取反追踪措施去抓住攻击者，即使Administrator账户被破解也没有关系，因为这个账户根本就没有任何权限。（4）关闭不必要的服务关闭不必要的服务作为网络操作系统，为了提供一定的网络服务功能，必须要开放一些服务。从安全角度出发，开放的服务越少，系统就越安全。因此，有必要将不需要的服务关闭。展开“计算机管理”“服务和应用程序”“服务”，在右面窗口中即可看到系统服务的内容，如图2.4所示。图图2.4 2.4 服务名称及状态服务名称及状态（5）关闭不必要的端口关闭不必要的端口计算机之间的通信必须要开放相应的端口。但从安全角度考虑，系统开放的端口越少就越安全，因此有必要减少开放的端口，或从服务器角度出发指定开放的端口。如果不清楚某个端口的作用，可以在Windowssystem32driversetc中找到services文件并使用记事本打开，就可以得知某项服务所对应的端口号及使用的协议。l第1步：依次点击“开始”“设置”“网络连接”，右击“本地连接”，选择“属性”，找到“Internet协议（TCP/IP）属性”，点击“高级”按钮；在出现的窗口中，选择“选项”子项，如图2.5所示。图图2.52.5 TCP/IP筛选属性筛选属性l第2步：单击“属性”按钮，出现如图2.6所示窗口，勾选“启用TCP/IP筛选”项。图图2.62.6启用启用TCP/IP 筛选并指定开放端口筛选并指定开放端口l第3步：如果主机是Web服务器，只开放80端口，则可点击“TCP端口”上方的单选项“只允许”，再单击“添加”按钮。在出现的“添加筛选器”对话框中填入端口号80，点击“确认”按钮即可，如图2.6所示。（6）设置屏幕保护密码设置屏幕保护密码当网络管理员暂时离开主机时，为了保证系统不被其他人操作，需要设置屏幕保护密码。设置屏幕保护密码的操作如下：右击“桌面”空白处，选择“属性”，在如图2.7里选择“屏幕保护程序”选项卡。在“屏幕保护程序”栏的下拉菜单选择屏幕保护时采用的程序；在“等待”框里输入执行屏幕保护的时间(分)，并勾选“在恢复时使用密码保护”。图图2.7 2.7 设置屏幕保护设置屏幕保护2 2、通过管理组策略来实现系统安全通过管理组策略来实现系统安全打开组策略：单击“开始”“运行”，在“运行”里输入“gpedit.msc”，按“确定”按钮后即可出现“组策略”编辑器界面，如图2.8所示。图图2.8 2.8 组策略编辑器组策略编辑器（1）配置系统密码策略配置系统密码策略配置密码策略的目的是使用户使用符合策略要求的密码，以免出现某些用户设置的密码过于简单(弱口令)等问题。配置系统密码策略的操作如下：第1步：打开“密码策略”。在“组策略”编辑器中依次展开“计算机配置”“Windows设置”“安全设置”“账户策略”“密码策略”，在右侧窗口中显示可进行配置的密码策略，如图2.9所示。图图2.9 2.9 密码策略密码策略l第2步：配置密码复杂性要求。右击“密码必须符合复杂性要求”，选择“属性”，出现如图2.10所示窗口。点选“已启用”，再单击“应用”“确定”，即可启动密码复杂性设置。图图2.10 2.10 配置密码复杂性配置密码复杂性l第3步：配置密码长度。右击“密码长度最小值”，选择“属性”，如图2.11所示。输入字符的长度值，再单击“应用”“确定”即可。图图2.11 2.11 配置密码长度配置密码长度l第4步：配置密码最长使用期限。右击“密码最长存留期”，选择“属性”，如图2.12所示。输入密码的过期时间(本例为30天，系统默认为42天)，单击“确定”即可。图图2.12 2.12 配置密码使用期限配置密码使用期限l第5步：配置密码最短使用期限。配置“密码最短存留期”的方法类似于“密码最长存留期”，如图2.13所示。图图2.132.13配置密码最短使用期限配置密码最短使用期限l第6步：配置强制密码历史。右击“强制密码历史”，选择“属性”，出现如图2.14所示窗口；选择“保留密码历史”的数字(本例为3)，再“确定”即可。“强制密码历史”的意思是用户在修改密码时必须满足所规定记住密码的个数而不能连续使用旧密码。本例选定“3”，说明用户必须在第4次更换密码时才能重复使用第1次使用的密码。图图2.14 2.14 配置密码历史配置密码历史l上述系统“密码策略”的各项配置结果如图2.15所示。图图2.15 2.15 密码策略配置结果密码策略配置结果（2）配置系统账户策略配置系统账户策略第1步：展开账户锁定策略。在“组策略”编辑器中依次展开“计算机配置”“Windows设置”“安全设置”“账户策略”“账户锁定策略”，在右侧窗口中显示可进行配置的账户策略，如图2.16所示。图图2.16 2.16 账户锁定策略账户锁定策略l第2步：配置账户锁定阈值。右击“账户锁定阈值”，选择“属性”，如图2.17所示。输入无效登录锁定账户的次数，单击“应用”“确定”即可。图图2.172.17配置账户锁定阈值配置账户锁定阈值l第3步：配置账户锁定时间。右击“账户锁定时间”，选择“属性”，出现如图2.18所示窗口，设定时间后点击“确定”按钮。图图2.182.18配置账户锁定时间配置账户锁定时间l第4步：配置复位账户锁定计数器。右击“复位账户锁定计数器”，选择“属性”，出现如图2.19所示窗口，设定时间后点击“确定”按钮。图图2.192.19配置账户锁定复位时间配置账户锁定复位时间l各项账户锁定策略配置成功后，其配置效果如图2.20所示。图图2.20 2.20 账户锁定策略配置账户锁定策略配置（3）配置审核策略配置审核策略审核策略是对系统发生的事件或进程进行记录的过程，网络管理员可以根据对事件的记录检查系统发生故障的原因等，这可对维护系统起到参考作用。在“组策略”编辑器中依次展开“计算机配置”“Windows设置”安全设置”本地策略”“审核策略”，在右侧窗口中显示可进行配置的审核策略。l右击某项策略，如“审核登录事件”，选择“属性”，出现如图2.21所示属性窗口。勾选所选项，单击“确定”按钮。出现如图2.22所示窗口，系统对登录成功和失败的事件都会进行记录。图图2.212.21配置审核登录事件属性配置审核登录事件属性图图2.22 2.22 配置审核事件成功配置审核事件成功（4）用户权限分配用户权限分配“用户权限分配”是对系统中用户或用户组的权限进行分配的策略项。一般情况下可采用默认设置，网络管理员也可根据系统的实际情况进行修改。配置方法：在“组策略”编辑器中依次展开“计算机配置”“Windows设置”“安全设置”“本地策略”“用户权限分配”项，在右侧窗口中显示出系统默认用户(组)所具有的权限，如图2.23所示。图图2.23 2.23 配置用户权限配置用户权限（5）配置配置“安全选项安全选项”配置方法：在“组策略”编辑器中依次展开“计算机配置”“Windows设置”“安全设置”“本地策略”“安全选项”。不显示系统最后登录的用户账户l默认情况下，系统保留最后一个登录用户的账户。但这样会使非法用户在尝试登录系统时，利用已知用户账户，只需尝试用户的密码即可，使系统减少了一层安全屏障。可以采用配置安全策略方法使系统不显示最后一个登录系统的用户账户。l右击策略里的“交互式登录：不显示上次的用户名”，选择“属性”。在出现的窗口中点选“已启用”，再点击“应用”“确定”按钮，该项策略已启用，如图2.24所示。图图2.242.24配置不显示上次用户名属性配置不显示上次用户名属性 配置安全选项，使光驱不能被远程使用在“安全选项”里右击“设备：只有本地登录的用户才能访问CD-ROM”项，选择“属性”，如图2.25所示；点选“已启用”，再点击“应用”“确定”按钮，该项策略“已启用”。图图2.252.25只有本地登录的用户才能访问只有本地登录的用户才能访问CD-ROM配置配置（6）配置只允许用户执行的程序配置只允许用户执行的程序在Windows 2003系统中，可对用户设置可以执行的程序，这样用户就只能执行配置中所规定的程序，从而增强系统的安全性。该类的配置操作如下：第1步：在“组策略”编辑器中依次展开“用户配置”“管理模板”“系统”，在右侧窗口中列出众多“设置”项及其“状态”。第2步：右击“设置”项中的“只运行许可的Windows应用程序”，选择属性。在出现的如图2.26所示的“属性”窗口里点选“已启用”，再点击“显示”按钮，出现“显示内容”窗口。l第3步：在“显示内容”窗口中点击“添加”按钮，在“添加项目”对话框中输入允许用户执行的程序，点击“确定”按钮即可。图图2.26 2.26 添加只允许运行的特定程序添加只允许运行的特定程序（7）隐藏驱动器隐藏驱动器在工作中有时因特殊用途，会对用户隐藏一些驱动器，在组策略中可以实现这一目的。其配置操作如下：第1步：在”组策略”编辑器中依次展开“用户配置”“管理模板”“Windows组件”“Windows 资源管理器”，在右侧窗口列出很多“设置”项及其“状态”。第2步：右击“设置”项中的“隐藏“我的电脑”中的这些指定的驱动器”，选择“属性”。第3步：在出现的如图2.27所示属性窗口中打开“设置”选项卡，点选“已启用”，并在“选择下列组合中的一个”下拉菜单中选择设置限制项，最后点击“确定”按钮即可。图图2.27 2.27 限制驱动器限制驱动器（8）配置开始菜单和任务栏配置开始菜单和任务栏在某些特殊场所应用中，需要对“开始菜单”和“任务栏”做特殊的管理。如在网吧，一般不允许用户使用“运行”命令，不允许注销用户等，这些要求都可以通过配置组策略来实现。第1步：在“组策略”编辑器中依次展开“用户配置”“管理模板”“任务栏和开始菜单”，在右侧窗口中显示出很多“设置”项及其“状态”。l第2步：如果需要在开始菜单中取消“搜索”命令，则配置“从开始菜单中删除“搜索”菜单”为“已启用”即可，如图2.28所示。l第3步：如果需要在开始菜单中取消“注销”命令，则配置“删除开始菜单上的“注销”为“已启用”即可。图图2.282.28在开始菜单中取消在开始菜单中取消“注销注销”命令命令3 3、通过管理注册表来实现系统安全通过管理注册表来实现系统安全注册表(Registry)是Windows系统中的重要数据库，用于存储计算机软硬件系统和应用程序的设置信息。因此，在不清楚某项注册表含义的情况下，切勿进行修改或删除，否则系统可能被破坏。（1）注册表的结构注册表的结构l单击“开始”“运行”，输入“Regedit”并执行，即可进入注册表编辑器，如图2.29所示。l注册表结构：在左侧窗口中由“我的电脑”开始，以下是五个分支，每个分支名都以HKEY开头(称为主键KEY)，展开后可以看到主键还包含多级的次键(SubKEY)，注册表中的信息就是按照多级的层次结构组织的。当单击某一主键或次键时，右边窗口中显示的是所选主键或次键包含的一个或多个键值(Value)。键值由键值名称(ValueName)和数据(ValueData)组成。图图2.29 2.29 注册表编辑器界注册表编辑器界面面 主键HKEY_CLASSES_ROOT该主键用于管理文件系统，记录的是 Windows 操作系统中所有的数据文件信息。当用户双击一个文档或程序时，系统可以通过这些信息启动相应的应用程序来打开文档或程序。主键HKEY_CURRENT_USER 该主键用于管理当前用户的配置情况。在该主键中可以查阅当前计算机中登录用户的相关信息，包括个人程序、桌面设置等。主键HKEY_LOCAL_MACHINE该主键用于管理系统中所有硬件设备的配置情况，该主键中存放用来控制系统和软件的设置，如总线类型、设备驱动程序等。由于这些设置是针对使用 Windows 系统的用户而设置的，是公共配置信息，与具体用户无关。主键HKEY_USER该主键用于管理系统中所有用户的配置信息。系统中每个用户的信息都保存在该文件夹中，如用户使用的图标、开始菜单的内容、字体、颜色等。主键HKEY_CURRENT_CONFIGl该主键用于管理当前用户的系统配置情况，其配置信息是从HKEY_LOCAL_MACHINE中映射出来。（2）注册表的备份与还原注册表的备份与还原(导出与导入导出与导入)l因为注册表中保存的是操作系统的重要配置信息，在对注册表进行操作前最好先对注册表做好备份。导出注册表(备份)单击“文件”菜单，选择“导出”，出现如图2.30所示窗口，选择保存路径，并在“文件名”框中输入所保存的注册表文件的名称；再选择导出范围(全部或分支)；最后单击“保存”按钮。图图2.30 2.30 导出注册表导出注册表 导入注册表(恢复)单击注册表中的“文件”菜单，选择“导入”；在出现的如图2.31所示窗口中，查找到原来所导出的注册表文件；点击“打开”按钮。图图2.312.31导入注册表导入注册表（3）利用注册表进行系统的安全配置利用注册表进行系统的安全配置 清除系统默认共享方法1：右击“我的电脑”，选择“管理”，展开“共享文件夹”，选择“共享”，出现如图2.32所示窗口。在右侧窗口中可见系统共享文件夹C$的共享路径实际上就是系统的C盘根目录。右击右侧窗口的C$，在出现的菜单中选择“停止共享”，即可清除系统的默认共享。l这种清除默认共享的方法操作简便，但却不是一劳永逸的，因为在系统每一次启动后都需进行一次这样的操作。图图2.32 2.32 停止默认共享停止默认共享l方法2：在系统字符界面下，执行删除默认共享的命令，并将其做成一个批处理命令，放到系统的“启动”程序中。这样系统每次启动时会首先执行“启动”中的程序，就可删除系统默认共享，如图2.33所示。图图2.332.33建立取消默认共享批处理建立取消默认共享批处理l方法3：通过修改注册表实现：在注册表中展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanserverparameters”注册表项，双击右窗格中的“AutoShareServer”，将其键值改为“0”即可，如图2.34所示。利用这种方法清除默认共享是一劳永逸的。图图2.342.34配置注册表取消默认共享配置注册表取消默认共享 禁止建立空连接在注册表中展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA”注册表项，双击右侧窗口中的“RestrictAnonymous”，将其键值改为“1”即可，如图2.35所示。图图2.352.35配置注册表取消空连接配置注册表取消空连接 不显示系统最后登录的用户账户第1步：在注册表中展开“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”，右击“Winlogon”，选“新建”“字符串值”，如图2.36所示。图图2.362.36注册表登录项注册表登录项l第2步：在右侧窗口中，出现“新值#1”项，如图2.37所示。右击“新值#1”项，选择“重命名”，输入新名称“DONTDISPLAYLASTUSERNAME”；再右击该项，选择“修改”。在出现的图2.38中，将“数值数据”框中输入1，点击“确定”按钮即可。图图2.372.37新建字符串值新建字符串值图图2.382.38为新建字符串值赋值为新建字符串值赋值 禁止光盘的自动运行在注册表中展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesCdrom”，如图2.39所示。右击右侧窗口的“AutoRun”，选择“修改”。在出现的“编辑DWORD值”的“数值数据”数据框中填入0，即可禁止光盘的自动运行。图图2.392.39注册表中禁止光驱自动运行注册表中禁止光驱自动运行 防止U盘病毒传播l在注册表中展开“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2”，右击“MountPoints2”，选择“权限”，出现如图2.40所示权限窗口。将Administrator和Administrators的“完全控制”和“读取”权限均设置为“拒绝”，再点击“确定”按钮即可。图图2.402.40配置配置MountPoints2 子项权限子项权限 禁止木马病毒程序的自行启动在注册表中展开“HKEY_LOCAL_MACHINE SoftwareMicrosoftWindows CurrentVersion Run”。右击“Run”，选择“权限”，出现如图2.41所示窗口。点击“添加”按钮，添加一个“Everyone”用户组，将“Everyone”用户组的“完全控制”和“读取”权限设置为拒绝，再点击“确定”按钮即可。图图2.412.41配置启动子项权限配置启动子项权限 修改系统默认的TTL值l由于不同操作系统默认的TTL值不同，攻击者可以根据TTL值来判断系统主机的操作系统，进而采取相应的针对特定系统的漏洞扫描等操作。l为了系统的安全，有必要对默认TTL值进行修改。如果将系统默认的TTL值修改为不是表中的数值，或故意修改为其它操作系统的TTL值，那么当攻击者检测到TTL值时，再采用针对该系统的攻击工具进行攻击时当然就不会成功。l在注册表中展开“HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetServicesTcpipParameters”，右击“Parameters”，选择“新建”“DWORD值”，如图2.43所示。图图2.2.43 修改修改TTL之新建子项之新建子项l将新建项命名为“defaultTTL”。右击“defaultTTL”项，选择“修改”。在出现的“编辑DWORD值”框里，将“基数”项选为“十进制”，在“数值数据”框中输入希望系统显示的TTL值，如图2.44所示。图图2.2.44修改默认修改默认TTL值值 禁止远程修改注册表在注册表中展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecure pipeserverswinreg”项。新建“DWORD”项，将其名称命名为“RemoteRegAccess”，其值取为“1”，如图2.46所示。这样，系统即可拒绝远程修改注册表。图图2.2.46配置禁止远程修改注册表配置禁止远程修改注册表 禁止操作注册表编辑器打开注册表“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies”，新建“system”项。在“system”项新建“DWORD”项，名称命名为“Disableregistrytools”，取值为“1”，如图2.47所示。这样，重新启动系统后，在用户操作注册表编辑器时将提示不允许操作。图图2.2.47配置禁止使用注册表编辑器配置禁止使用注册表编辑器 禁止操作组策略编辑器打开注册表“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftMMC”，在“MMC”项新建“DWORD”项，名称命名为“RestrictToPermittedSnapins”，取值为“1”，如图2.48所示。重新启动系统后，在一般用户操作组策略时将提示不允许操作。图图2.2.48禁止使用组策略禁止使用组策略2.3.2 Linux2.3.2 Linux系统的安全设置系统的安全设置1 1BIOSBIOS的安全的安全设置BIOS密码后可以防止通过在BIOS改变启动顺序，而从其他设备启动。这就可以阻止别人试图用特殊的启动盘启动系统，还可以阻止别人进入BIOS改动其中的设置系统安装完毕后，除了硬盘启动外，要在BIOS中禁止除硬盘以外的任何设备启动。2 2加载程序的启动加载程序的启动启动加载程序时尽量使用GRUB而不使用LILO。虽然它们都可以加入启动口令，但是LILO在配置文件中使用明文口令，而GRUB是使用MD5算法加密的。加密码保护后可以防止使用被定制的内核来启动系统，并在没有其他操作系统的情况下，将启动等待时间设为0。3 3sudosudo的使用的使用尽量不要对用户分配root权限，但有时用户会使用一些需要root权限的命令。sudo是一种以限制在配置文件中的命令为基础，在有限时间内给用户使用并且记录到日志中的工具，其配置在/etc/sudoers文件中。当用户使用sudo时，需要输入自己的口令以验证使用者身份，随后可以使用定义好的命令。当使用配置文件中没有的命令时，将会有报警的记录。4 4限制限制SUSU用户个数用户个数SU(替代用户)命令允许用户成为系统中其他已存在的用户。如果不希望任何人通过SU命令改变为root用户或对某些用户限制使用SU命令，可以在SU配置文件(在“/etc/pam.d/”目录下)的开头添加相应的命令行。5 5系统登录安全系统登录安全通过修改/etc/login.defs文件可以增加对登录错误延迟、记录日志、登录密码长度限制、过期限制等设置，以增加系统安全性。6 6关闭不必要的服务关闭不必要的服务安装RedHat Linux后会有上百种服务进程，但服务越多开放的端口就越多，安全隐患就越大。因此系统只保留必要的服务就可以了。使用“chkconfig list”命令可以查看系统打开的服务进程。使用“chkconfig del”命令可以删除指定的服务进程。7 7删除不必要的用户和组删除不必要的用户和组Linux系统可以删除的用户有news、uucp和gopher，可以删除的组有news、uucp和dip。Linux系统删除账号的命令为userdel-r username；删除组的命令为groupdel-r groupname。8 8限制限制NFSNFS服务服务如果希望禁止用户任意的共享目录，可以增加对NFS的限制，锁定/etc/exports文件，并事先定义共享的目录。9 9密码安全密码安全Linux在默认安装时其密码长度是5个字节，但该长度稍短，需要对密码长度进行修改。修改最短密码长度要编辑login.defs文件。1010禁止显示系统欢迎信息禁止显示系统欢迎信息修改“/etc/inetd.conf”文件，将命令行 telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd修改为：telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd-h1111禁止未经许可的删除或添加服务禁止未经许可的删除或添加服务#chattr+i/etc/services1212禁止从不同的控制台登录禁止从不同的控制台登录rootroot “/etc/securetty”文件允许定义root用户可以从哪个TTY设备登录。通过编辑“/etc/securetty”文件，将不需要登录的TTY设备前添加#标志，从而禁止从该TTY设备登录root。1313禁止使用禁止使用Control-Alt-DeleteControl-Alt-Delete命令命令在“/etc/inittab”文件中将命令行 ca:ctrlaltdel:/sbin/shutdown-t3-rnow 改为：#ca:ctrlaltdel:/sbin/shutdown-t3-rnow然后，使命令生效：#/sbin/initq1414给给“/etc/“/etc/rc.d/init.drc.d/init.d”下的下的scriptscript文件设置文件设置权限权限给执行或关闭启动时执行的程序script文件设置权限。使只有root用户才允许读、写和执行该目录下的script文件。#chmod-R700/etc/rc.d/init.d/*1515隐藏系统信息隐藏系统信息默认情况下当用户登录到Linux系统时，会显示该Linux系统的名称、版本、内核版本、服务器名称等信息。这些信息足以使攻击者了解并入侵系统，因此需要通过修改配置使系统只显示一个“login:”提示符而不显示其他任何信息。1616阻止系统响应阻止系统响应PingPing请求请求Ping命令是经常使用的命令，攻击者通过使用Ping命令可以判断对方是否在线，从而再进一步实施攻击行为。在Linux系统中，可以通过修改/etc/rc.d/rc.local文件，使系统不响应Ping请求，从而使攻击者无法判断主机是否在线。