操作系统安全配置[1]课件.ppt

1、2022-11-3操作系统安全配置操作系统安全配置112.2 操作系统安全配置实验操作系统安全配置实验2.2.1 用户安全配置用户安全配置 主要有主要有10类，分别描述如下：类，分别描述如下：新建用户新建用户账号便于记忆与使用，而账号便于记忆与使用，而密码则要求有一定的长度与复杂度。密码则要求有一定的长度与复杂度。2022-11-3操作系统安全配置操作系统安全配置122账户授权账户授权对不同的账户进行授权，对不同的账户进行授权，使其拥有和身份相应的权限。使其拥有和身份相应的权限。2022-11-3操作系统安全配置操作系统安全配置133停用停用Guest用户用户把把Guest账号禁用账号禁用，并

2、并且修改且修改Guest账号的属性账号的属性,设置拒绝远程设置拒绝远程访问访问。2022-11-3操作系统安全配置操作系统安全配置144系统系统Administrator账号改名账号改名 防止防止管理员账号密码被穷举管理员账号密码被穷举，伪装成普通用，伪装成普通用户户。2022-11-3操作系统安全配置操作系统安全配置155创建一个陷阱用户创建一个陷阱用户将管理员账号权将管理员账号权限设置最低，延缓攻击企图。限设置最低，延缓攻击企图。2022-11-3操作系统安全配置操作系统安全配置166更改默认权限更改默认权限将共享文件的权限从将共享文件的权限从“Everyone”改成改成“授权用户授权用户

3、。2022-11-3操作系统安全配置操作系统安全配置177不显示上次登录用户名不显示上次登录用户名防止密码猜防止密码猜测，打开注册表编辑器并找到注册表项测，打开注册表编辑器并找到注册表项“HKEY_CURRENTSoftwareMicrosoftWindows NTCurrentVersionWinlogonDont-DisplayLastUserName”，把，把REG_SZ的键值改的键值改成成1。2022-11-3操作系统安全配置操作系统安全配置188限制用户数量限制用户数量减少入侵突破口，账减少入侵突破口，账户数不大于户数不大于1010。9多个管理员账号多个管理员账号 减少管理员账号使用

4、减少管理员账号使用时间，避免被破解时间，避免被破解。创建一个一般用户权限账号用来处理电创建一个一般用户权限账号用来处理电子邮件及处理一些日常事务，创建另一子邮件及处理一些日常事务，创建另一个有个有AdministratorAdministrator权限的账户在需要的权限的账户在需要的时候使用。时候使用。2022-11-3操作系统安全配置操作系统安全配置1910开启用户策略开启用户策略 可以有效的防止字典式可以有效的防止字典式攻击攻击。当某一用户连续当某一用户连续5次录都失败后将自动锁定该次录都失败后将自动锁定该账户，账户，30分钟后自动复位被锁定的账户。分钟后自动复位被锁定的账户。2022-1

5、1-3操作系统安全配置操作系统安全配置1102.2.2 密码安全配置密码安全配置 主要有主要有4类，分别描述如下：类，分别描述如下：安全密码安全密码 创建账号时不用公司名、创建账号时不用公司名、计算机名、或者一些别的容易猜到的字计算机名、或者一些别的容易猜到的字符做用户名，密码设置要复杂。符做用户名，密码设置要复杂。安全期内无法破解出来的密码就是安全期内无法破解出来的密码就是安全安全密码密码（密码策略是（密码策略是4242天必须改密码）天必须改密码）。2022-11-3操作系统安全配置操作系统安全配置1112开启密码策略开启密码策略 对不同的账户进行授对不同的账户进行授权，使其拥有和身份相应的

6、权限。权，使其拥有和身份相应的权限。策略设置要求密码复杂性要求启用数字和字母组合密码最小值6位长度至少为6密码最长存留期15天超期要求改密码强制密码历史5次不能设置相同密码2022-11-3操作系统安全配置操作系统安全配置1123设置屏幕保护密码设置屏幕保护密码 防止内部人员破防止内部人员破坏服务器的一个屏障。注意不要使用坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序浪和一些复杂的屏幕保护程序浪费系统资源，黑屏就可以了费系统资源，黑屏就可以了。2022-11-3操作系统安全配置操作系统安全配置1134加密文件或文件夹加密文件或文件夹 用加密工具来保用加密工具来保护文件和文

7、件夹，以防别人偷看护文件和文件夹，以防别人偷看。2022-11-3操作系统安全配置操作系统安全配置1142.2.3 系统安全配置系统安全配置 主要有主要有11类，分别描述如下：类，分别描述如下：1.使用使用NTFS格式分区格式分区 所有分区都改成所有分区都改成NTFSNTFS格式，格式，NTFSNTFS文件系统要比文件系统要比FATFAT、FAT32FAT32的文件系统安全得多。的文件系统安全得多。2022-11-3操作系统安全配置操作系统安全配置1152运行防毒软件运行防毒软件 不仅可杀掉一些著名不仅可杀掉一些著名的病毒，还能查杀大量木马和后门程序。的病毒，还能查杀大量木马和后门程序。要注意

8、经常运行程序并升级病毒库。要注意经常运行程序并升级病毒库。2022-11-3操作系统安全配置操作系统安全配置1163下载最新的补丁下载最新的补丁 经常访问微软和一些经常访问微软和一些安全站点，下载最新的安全站点，下载最新的Service Pack和漏和漏洞补丁。洞补丁。2022-11-3操作系统安全配置操作系统安全配置1174关闭默认共享关闭默认共享 防止利用默认共享入防止利用默认共享入侵。侵。默认共享目录路 径说 明C$D$E$分区的根目录Win2003 Advanced Server版中，只有Administrator 和Backup Operators级成员才可连接，Win2000 Se

9、rver版本Server Operators组也可以连接到这些共享目录ADMIN$%SYSTEMTOOT%远程管理用的共享目录。它的路径永远都指向WIN2003的安装路径，比如C：winntIPC$IPC$共享提供了登的能力PRIN$SYSTEM32SPOOLDRIVERS用户远程管理打印机2022-11-3操作系统安全配置操作系统安全配置1185锁定注册表锁定注册表 防止防止黑客从远程访问注黑客从远程访问注册表。修改册表。修改Hkey_current_userHkey_current_user下的子键：下的子键：SoftwareMicrosoftwindowscurrentversionpo

10、liciessystemSoftwareMicrosoftwindowscurrentversionpoliciessystem，把把DisableRegistryTools值改为值改为0，类型为，类型为DWORD。2022-11-3操作系统安全配置操作系统安全配置1196禁止从软盘和光驱启动系统禁止从软盘和光驱启动系统 一些一些第三方的工具能通过引导系统来绕过原第三方的工具能通过引导系统来绕过原有的安全机制有的安全机制。利用安全配置工具来配置安全策略利用安全配置工具来配置安全策略 利用基于利用基于MMCMMC（管理控制台）安全配置（管理控制台）安全配置和分析工具配置服务器。和分析工具配置服务

11、器。http:/ 2022-11-3操作系统安全配置操作系统安全配置1208开启审核策略开启审核策略 用安全审核来记录入用安全审核来记录入侵日志。侵日志。策略设置审核系统登录事件成功、失败审核账户管理成功、失败审核登录事件成功、失败审核对象访问成功审核策略更改成功、失败审核特权使用成功、失败审核系统事件成功、失败2022-11-3操作系统安全配置操作系统安全配置1219加密加密Temp 文件夹文件夹 给给TempTemp文件夹加文件夹加密可以给文件多一层保护。密可以给文件多一层保护。10使用智能卡使用智能卡用智能卡来代替复杂用智能卡来代替复杂的密码。的密码。11使用使用IPSec提供提供IPI

12、P数据包的安全数据包的安全性。它提供身份验证、完整性和可选择性。它提供身份验证、完整性和可选择的机密性。的机密性。利用利用IPSec可以使得系统的安全性能大大可以使得系统的安全性能大大增强。增强。2022-11-3操作系统安全配置操作系统安全配置1222.2.4 服务安全配置服务安全配置 主要有主要有5类，分别描述如下：类，分别描述如下：关闭不必要的端口关闭不必要的端口 减少被入侵的算减少被入侵的算途径，系统目录中的途径，系统目录中的system32driversetcservicessystem32driversetcservices文件中有知名端口和服务的对照表可供文件中有知名端口和服务的

13、对照表可供参考。参考。如何设置本机开放的端口和服务？如何设置本机开放的端口和服务？2022-11-3操作系统安全配置操作系统安全配置1232022-11-3操作系统安全配置操作系统安全配置1242设置好安全记录的访问权限设置好安全记录的访问权限 安全安全记录在默认情况下是没有保护的，把它记录在默认情况下是没有保护的，把它设置成只有设置成只有AdministratorsAdministrators和系统账户和系统账户才有权访问。才有权访问。2022-11-3操作系统安全配置操作系统安全配置1253备份敏感文件备份敏感文件有必要把一些重要的有必要把一些重要的用户数据（存放在另外一个安全的服务用户数

14、据（存放在另外一个安全的服务器中，并且经常备份它们。器中，并且经常备份它们。4禁止建立空连接禁止建立空连接 默认情况下，任何用默认情况下，任何用户都可通过空连接连上服务器，进而枚户都可通过空连接连上服务器，进而枚举出账号，猜测密码。我们可以通过修举出账号，猜测密码。我们可以通过修改注册表来禁止建立空连接：即把改注册表来禁止建立空连接：即把Local_MachineSystemCurrentControlSetControlLSA-Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymousRestrictAnonymous的值

15、改成的值改成“1 1”即可。即可。2022-11-3操作系统安全配置操作系统安全配置1265关闭不必要的服务关闭不必要的服务 防止恶意程序以防止恶意程序以服务方式悄悄地运行服务器上的终端服服务方式悄悄地运行服务器上的终端服务，要确认已经正确配置了终端服务。务，要确认已经正确配置了终端服务。Windows 2000Windows 2000作为服务器可禁用的服务作为服务器可禁用的服务及其相关说明如表所示。及其相关说明如表所示。2022-11-3操作系统安全配置操作系统安全配置1272.2.5 注册表配置注册表配置 涉及到涉及到5类注册表配置，如下：类注册表配置，如下：1关机时清除文件关机时清除文件

16、 页面文件中可能含有页面文件中可能含有另外一些敏感产资料，因此要在关机的另外一些敏感产资料，因此要在关机的时候清除页面文件。时候清除页面文件。编辑注册表修改主键编辑注册表修改主键HKEY_LOCAL_MACHINE下下的子键的子键 SystemCurrentControlSetControlControlSessionManage/Memory Management 把把ClearPageFileAtShutdown的值设置成的值设置成1。2022-11-3操作系统安全配置操作系统安全配置1282关闭关闭DirectDraw C2C2级安全标准对视频和内存有一定要级安全标准对视频和内存有一定要

17、求。关闭求。关闭DirectDrawDirectDraw可能对一些需要用到可能对一些需要用到DirectxDirectx程序有程序有影响影响(比如游戏比如游戏)，但是对于绝大多数的商业站点是没有，但是对于绝大多数的商业站点是没有影响的。影响的。修改主键修改主键HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE下的子键下的子键 SystemCurrentControlSetControlGraphicsDriversSystemCurrentControlSetControlGraphicsDriversDCITimeout DCITimeout 将键值设置成将键值设置成0

18、 0。2022-11-3操作系统安全配置操作系统安全配置1293禁止判断主机类型禁止判断主机类型 黑客可利用黑客可利用TTLTTL（Time To LiveTime To Live，生存时间）值可以鉴，生存时间）值可以鉴别操作系统的类型，通过别操作系统的类型，通过PingPing指令能判指令能判断目标主机类型。断目标主机类型。2022-11-3操作系统安全配置操作系统安全配置130修改主键修改主键HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE下的子键下的子键 SystemCurrentControlSetServicesTcpipParametersSystemCur

19、rentControlSetServicesTcpipParameters，新建，新建一个双字节项，在键的名称中输入一个双字节项，在键的名称中输入“defaultTTLdefaultTTL”，然后双击该，然后双击该键名，选择键名，选择“十进制十进制”，在，在“数位数据数位数据”文本框中输入文本框中输入100100。设。设置完毕后需要重新启动计算机。置完毕后需要重新启动计算机。2022-11-3操作系统安全配置操作系统安全配置1314抵抗抵抗DDOS 添加注册表的一些键值，添加注册表的一些键值，可以有效的抵抗可以有效的抵抗DDOSDDOS（分布式拒绝服务）（分布式拒绝服务）的攻击。在键值的攻击。

20、在键值HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersipParameters下增加响应的键及其说明。下增加响应的键及其说明。2022-11-3操作系统安全配置操作系统安全配置1325禁止禁止Guest访问日志访问日志 GuestGuest和匿名用和匿名用户可以查看系统的事件日志，这可能导户可以查看系统的事件日志，这可能导致许多重要的信息的泄漏。致许多重要的信息的泄漏。1 1）禁止）禁止GuestGuest访问应

21、用日志访问应用日志 在在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEveHKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogApplicationntlogApplication下添加键值名称为下添加键值名称为“RestrictGuestAccessRestrictGuestAccess”，类型为，类型为“DWORDDWORD”，将，将值设置为值设置为1 1。2022-11-3操作系统安全配置操作系统安全配置1332 2）禁止）禁止GuestGuest访问系统日志访问系统日志

22、在在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEveHKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogSystemntlogSystem下添加键值名称为下添加键值名称为“RestrictGuestAccessRestrictGuestAccess”，类型为，类型为“DWORDDWORD”，将，将值设置为值设置为1 1。3 3）禁止）禁止GuestGuest访问安全日志访问安全日志 在在HKEY_LOCAL_MACHINESystemCurrentControlSetServi

23、cesEveHKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogSecurityntlogSecurity下添加键值名称为下添加键值名称为“RestrictGuestAccessRestrictGuestAccess”，类型为，类型为“DWORDDWORD”，将，将值设置为值设置为1 1。2022-11-3操作系统安全配置操作系统安全配置1342.2.6 数据恢复软件数据恢复软件 当数据被病毒或者入侵者破坏后，可以当数据被病毒或者入侵者破坏后，可以利用数据恢复软件找回部分被删除的数利用数据恢复软件找回部分被删除的数据据。比较著名的有

24、比较著名的有FinalDataFinalData，EasyRecoveryEasyRecovery等。我们介绍一下等。我们介绍一下FinalDataFinalData。注意：原来的磁盘扇区被写上了新的文注意：原来的磁盘扇区被写上了新的文件，这些数据就不能完全恢复！件，这些数据就不能完全恢复！2022-11-3操作系统安全配置操作系统安全配置135原来原来D D盘上有一些文件数据文件，现在被盘上有一些文件数据文件，现在被黑客删除了，如何恢复？选择黑客删除了，如何恢复？选择“文件文件”菜单，单击菜单，单击“打开打开”按钮，出现当前系按钮，出现当前系统的分区情况，可以选择需要恢复数据统的分区情况，可

25、以选择需要恢复数据的分区，在这里选择的分区，在这里选择D D盘。盘。2022-11-3操作系统安全配置操作系统安全配置136选择分区后，软件对指定的分区的数据选择分区后，软件对指定的分区的数据和目录进行扫描。扫描完成后，选择查和目录进行扫描。扫描完成后，选择查找的扇区范围。找的扇区范围。2022-11-3操作系统安全配置操作系统安全配置137扫描完成后，选择查找的扇区范围。扫描完成后，选择查找的扇区范围。2022-11-3操作系统安全配置操作系统安全配置138扫描的结果，在软件左侧按目录、文件扫描的结果，在软件左侧按目录、文件等进行分类。单击后内容出现在右侧中，等进行分类。单击后内容出现在右侧

26、中，下图所示是已经被删除的目录，曾经被下图所示是已经被删除的目录，曾经被删除的文件。删除的文件。2022-11-3操作系统安全配置操作系统安全配置139选中某个文件或者文件夹，单击右键，选中某个文件或者文件夹，单击右键，出现一个恢复按钮，然后单击出现一个恢复按钮，然后单击“恢复恢复”按钮，就可恢复被删除的文件或文件夹按钮，就可恢复被删除的文件或文件夹了。了。2022-11-3操作系统安全配置操作系统安全配置140习习 题题 1 1 什么是操作系统的安全，主要研究什么内容？什么是操作系统的安全，主要研究什么内容？2 2简述操作系统账号密码的重要性，有几种方法简述操作系统账号密码的重要性，有几种方

27、法可能保护密码不被破解或者盗取？可能保护密码不被破解或者盗取？3 3简述审核策略、密码策略和账户策略的含义，简述审核策略、密码策略和账户策略的含义，以及这些策略如何保护操作系统不被入侵。以及这些策略如何保护操作系统不被入侵。4 4如何关闭不需要的端口和服务？如何关闭不需要的端口和服务？5 5完成所有本章的配置操作。完成所有本章的配置操作。以报告的形式编写以报告的形式编写Windows 2000配置方案。配置方案。2022-11-3操作系统安全配置操作系统安全配置141小小 结结 第一部分首先介绍了网络操作系统的有第一部分首先介绍了网络操作系统的有关知识，并分析了的国内和国外安全操关知识，并分析了的国内和国外安全操作系统的评估标准。作系统的评估标准。第二部分主要介绍了第二部分主要介绍了Windows 2000的安的安全配置，分为用户安全设置、密码安全全配置，分为用户安全设置、密码安全设置、系统安全设置、服务安全设置、设置、系统安全设置、服务安全设置、注册表配置等五个方面共注册表配置等五个方面共35项。项。2022-11-3操作系统安全配置操作系统安全配置142谢谢 谢！谢！2022-11-3操作系统安全配置操作系统安全配置1