《网络安全管理知识课件.ppt》由会员分享,可在线阅读,更多相关《网络安全管理知识课件.ppt(150页珍藏版)》请在三一办公上搜索。
1、网络安全管理知识,江苏省农民培训工程讲义,江苏畜牧兽医职业技术学院,陈 斌,内容提要,研究网络安全社会意义研究网络安全的必要性。主要介绍网络安全研究的体系。计算机网络安全的相关法规。介绍瑞星杀毒、防火墙软件的安装与使用。介绍农民培训网的信息管理。,一、研究网络安全的社会意义,目前研究网络安全已经不只为了信息和数据的安全性。网络安全已经渗透到国家的经济、军事等领域。,网络安全与政治,目前政府上网已经大规模的发展起来,电子政务工程已经在全国启动并在北京试点。政府网络的安全直接代表了国家的形象。1999年到2001年,一些政府网站,遭受了四次大的黑客攻击事件。第一次在99年1月份左右,美国黑客组织“
2、美国地下军团”联合了波兰的、英国的黑客组织以及世界上的黑客组织,有组织地对我们国家的政府网站进行了攻击。第二次,99年7月份,当台湾李登辉提出了两国论的时候。第三次是在2000年5月8号,美国轰炸我国驻南联盟大使馆后。第四次是在2001年4月到5月,美机撞毁王伟战机侵入我海南机场。,网络安全与经济,一个国家信息化程度越高,整个国民经济和社会运行对信息资源和信息基础设施的依赖程度也越高。我国计算机犯罪的增长速度超过了传统的犯罪,1997年20多起,1998年142起,1999年908起,2000年上半年1420起,再后来就没有办法统计了。利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。
3、近几年已经破获和掌握100多起,涉及的金额几个亿。2000年2月份黑客攻击的浪潮,是互连网问世以来最为严重的黑客事件。99年4月26日,台湾人编制的CIH病毒的大爆发,有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中,经济损失高达近12亿元。1996年4月16日,美国金融时报报道,接入Internet的计算机,达到了平均每20秒钟被黑客成功地入侵一次的新记录。,网络安全与社会稳定,互连网上散布一些虚假信息、有害信息对社会管理秩序造成的危害,要比现实社会中一个造谣要大的多。99年4月,河南商都热线一个BBS,一张说交通银行郑州支行行长协巨款外逃的帖子,造成了社会的动荡,三
4、天十万人上街排队,一天提了十多亿。2001年2月8日正是春节,新浪网遭受攻击,电子邮件服务器瘫痪了18个小时,造成了几百万的用户无法正常的联络。网上不良信息腐蚀人们灵魂,色情资讯业日益猖獗。1997年5月去过色情网站浏览过的美国人,占了美国网民的28.2%。河南郑州刚刚大专毕业的杨某和何某,在商丘信息港上建立了一个个人主页,用五十多天的时间建立的主页存了一万多幅淫秽照片的网站、100多部小说和小电影。不到54天的时间,访问他的人到了30万。,网络安全与军事,在第二次世界大战中,美国破译了日本人的密码,将山本的舰队几乎全歼,重创了日本海军。目前的军事战争更是信息化战争,下面是美国三位知名人士对目
5、前网络的描述。美国著名未来学家阿尔温 托尔勒说过“谁掌握了信息,控制了网络,谁将拥有整个世界。美国前总统克林顿说过“今后的时代,控制世界的国家将不是靠军事,而是信息能力走在前面的国家”。美国前陆军参谋长沙利文上将说过“信息时代的出现,将从根本上改变战争的进行方式”。,二、研究网络安全的必要性,网络需要与外界联系,受到许多方面的威胁物理威胁系统漏洞造成的威胁身份鉴别威胁线缆连接威胁有害程序等方面威胁。,网络安全威胁的来源,1.外部渗入(penetration) 未被授权使用计算机的人; 2.内部渗入者 被授权使用计算机,但不能访问某些数据、程序或资源,它包括: -冒名顶替:使用别人的用户名和口令
6、进行操作; -隐蔽用户:逃避审计和访问控制的用户;3.滥用职权者: 被授权使用计算机和访问系统资源,但滥用职权者。,冒名顶替,废物搜寻,身份识别错误,不安全服务,配置,初始化,乘虚而入,代码炸弹,病毒,更新或下载,特洛伊木马,间谍行为,拨号进入,算法考虑不周,编辑口令,口令破解,口令圈套,窃听,偷窃,网络安全威胁,线缆连接,身份鉴别,有害程序,系统漏洞,物理威胁,网络安全威胁的几种类型,物理威胁,物理威胁包括四个方面:偷窃、废物搜寻、间谍行为和身份识别错误。1、偷窃网络安全中的偷窃包括偷窃设备、偷窃信息和偷窃服务等内容。如果他们想偷的信息在计算机里,那他们一方面可以将整台计算机偷走,另一方面通
7、过监视器读取计算机中的信息。2、废物搜寻就是在废物(如一些打印出来的材料或废弃的软盘)中搜寻所需要的信息。在微机上,废物搜寻可能包括从未抹掉有用东西的软盘或硬盘上获得有用资料。3、间谍行为是一种为了省钱或获取有价值的机密、采用不道德的手段获取信息。4、身份识别错误非法建立文件或记录,企图把他们作为有效的、正式生产的文件或记录,如对具有身份鉴别特征物品如护照、执照、出生证明或加密的安全卡进行伪造,属于身份识别发生错误的范畴。这种行为对网络数据构成了巨大的威胁。,系统漏洞威胁,系统漏洞造成的威胁包括三个方面:乘虚而入、不安全服务和配置和初始化错误。1、乘虚而入例如,用户A停止了与某个系统的通信,但
8、由于某种原因仍使该系统上的一个端口处于激活状态,这时,用户B通过这个端口开始与这个系统通信,这样就不必通过任何申请使用端口的安全检查了。2、不安全服务有时操作系统的一些服务程序可以绕过机器的安全系统,互联网蠕虫就利用了UNIX系统中三个可绕过的机制。3、配置和初始化错误如果不得不关掉一台服务器以维修它的某个子系统,几天后当重启动服务器时,可能会招致用户的抱怨,说他们的文件丢失了或被篡改了,这就有可能是在系统重新初始化时,安全系统没有正确的初始化,从而留下了安全漏洞让人利用,类似的问题在木马程序修改了系统的安全配置文件时也会发生。,身份鉴别威胁,身份鉴别造成威胁包括四个面:口令圈套、口令破解、算
9、法考虑不周和编辑口令。1、口令圈套口令圈套是网络安全的一种诡计,与冒名顶替有关。常用的口令圈套通过一个编译代码模块实现,它运行起来和登录屏幕一模一样,被插入到正常有登录过程之前,最终用户看到的只是先后两个登录屏幕,第一次登录失败了,所以用户被要求再输入用户名和口令。实际上,第一次登录并没有失败,它将登录数据,如用户名和口令写入到这个数据文件中,留待使用。2、口令破解破解口令就像是猜测自行车密码锁的数字组合一样,在该领域中已形成许多能提高成功率的技巧。3、算法考虑不周口令输入过程必须在满足一定条件下才能正常地工作,这个过程通过某些算法实现。在一些攻击入侵案例中,入侵者采用超长的字符串破坏了口令算
10、法,成功地进入了系统。4、编辑口令编辑口令需要依靠操作系统漏洞,如果公司内部的人建立了一个虚设的账户或修改了一个隐含账户的口令,这样,任何知道那个账户的用户名和口令的人便可以访问该机器了。,线缆连接威胁,线缆连接造成的威胁包括三个方面:窃听、拨号进入和冒名顶替。1、窃听对通信过程进行窃听可达到收集信息的目的,这种电子窃听不一定需要窃听设备一定安装在电缆上,可以通过检测从连线上发射出来的电磁辐射就能拾取所要的信号,为了使机构内部的通信有一定的保密性,可以使用加密手段来防止信息被解密。2、拨号进入拥有一个调制解调器和一个电话号码,每个人都可以试图通过远程拨号访问网络,尤其是拥有所期望攻击的网络的用
11、户账户时,就会对网络造成很大的威胁。 3、冒名顶替通过使用别人的密码和账号时,获得对网络及其数据、程序的使用能力。这种办法实现起来并不容易,而且一般需要有机构内部的、了解网络和操作过程的人参与。,有害程序威胁,有害程序造成的威胁包括三个方面:病毒、代码炸弹和特洛伊木马。1、病毒 病毒是一种把自己的拷贝附着于机器中的另一程序上的一段代码。通过这种方式病毒可以进行自我复制,并随着它所附着的程序在机器之间传播。2、代码炸弹代码炸弹是一种具有杀伤力的代码,其原理是一旦到达设定的日期或钟点,或在机器中发生了某种操作,代码炸弹就被触发并开始产生破坏性操作。代码炸弹不必像病毒那样四处传播,程序员将代码炸弹写
12、入软件中,使其产生了一个不能轻易地找到的安全漏洞,一旦该代码炸弹被触发后,这个程序员便会被请回来修正这个错误,并赚一笔钱,这种高技术的敲诈的受害者甚至不知道他们被敲诈了,即便他们有疑心也无法证实自己的猜测。3、特洛伊木马特洛伊木马程序一旦被安装到机器上,便可按编制者的意图行事。特洛伊木马能够摧毁数据,有时伪装成系统上已有的程序,有时创建新的用户名和口令。,三、网络安全的攻防研究体系,网络安全(Network Security)是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。,网络安全的攻防体系,攻击技术,如果不知道如何攻击,再好的
13、防守也是经不住考验的,攻击技术主要包括五个方面:1、网络监听:自己不主动去攻击别人,在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。2、网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。3、网络入侵:当探测发现对方存在漏洞以后,入侵到目标计算机获取信息。4、网络后门:成功入侵目标计算机后,为了对“战利品”的长期控制,在目标计算机中种植木马等后门。5、网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。,防御技术,防御技术包括四大方面:1、操作系统的安全配置:操作系统的安全是整个网络安全的关键。2、加密技术:为了防
14、止被监听和盗取数据,将所有的数据进行加密。3、防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。4、入侵检测:如果网络防线最终被攻破了,需要及时发出被入侵的警报。,网络安全的层次体系,从层次体系上,可以将网络安全分成四个层次上的安全:1、物理安全;2、逻辑安全;3、操作系统安全;4、联网安全。,物理安全,物理安全主要包括五个方面:1、防盗;2、防火;3、防静电;4、防雷击;5、防电磁泄漏。1、防盗:像其他的物体一样,计算机也是偷窃者的目标,例如盗走软盘、主板等。计算机偷窃行为所造成的损失可能远远超过计算机本身的价值,因此必须采取严格的防范措施,以确保计算机设备不会丢失。,物理安全,
15、2、防火:计算机机房发生火灾一般是由于电气原因、人为事故或外部火灾蔓延引起的。电气设备和线路因为短路、过载、接触不良、绝缘层破坏或静电等原因引起电打火而导致火灾。人为事故是指由于操作人员不慎,吸烟、乱扔烟头等,使存在易燃物质(如纸片、磁带、胶片等)的机房起火,当然也不排除人为故意放火。外部火灾蔓延是因外部房间或其他建筑物起火而蔓延到机房而引起火灾。,物理安全,3、防静电:静电是由物体间的相互摩擦、接触而产生的,计算机显示器也会产生很强的静电。静电产生后,由于未能释放而保留在物体内,会有很高的电位(能量不大),从而产生静电放电火花,造成火灾。还可能使大规模集成电器损坏,这种损坏可能是不知不觉造成
16、的。,物理安全,利用引雷机理的传统避雷针防雷,不但增加雷击概率,而且产生感应雷,而感应雷是电子信息设备被损坏的主要杀手,也是易燃易爆品被引燃起爆的主要原因。雷击防范的主要措施是,根据电气、微电子设备的不同功能及不同受保护程序和所属保护层确定防护要点作分类保护;根据雷电和操作瞬间过电压危害的可能通道从电源线到数据通信线路都应做多层保护。,物理安全,5、防电磁泄漏电子计算机和其他电子设备一样,工作时要产生电磁发射。电磁发射包括辐射发射和传导发射。这两种电磁发射可被高灵敏度的接收设备接收并进行分析、还原,造成计算机的信息泄露。屏蔽是防电磁泄漏的有效措施,屏蔽主要有电屏蔽、磁屏蔽和电磁屏蔽三种类型。,
17、逻辑安全,计算机的逻辑安全需要用口令、文件许可等方法来实现。可以限制登录的次数或对试探操作加上时间限制;可以用软件来保护存储在计算机文件中的信息;限制存取的另一种方式是通过硬件完成,在接收到存取要求后,先询问并校核口令,然后访问列于目录中的授权用户标志号。此外,有一些安全软件包也可以跟踪可疑的、未授权的存取企图,例如,多次登录或请求别人的文件。,操作系统安全,操作系统是计算机中最基本、最重要的软件。同一计算机可以安装几种不同的操作系统。如果计算机系统可提供给许多人使用,操作系统必须能区分用户,以便于防止相互干扰。一些安全性较高、功能较强的操作系统可以为计算机的每一位用户分配账户。通常,一个用户
18、一个账户。操作系统不允许一个用户修改由另一个账户产生的数据。,联网安全,联网的安全性通过两方面的安全服务来达到:1、访问控制服务:用来保护计算机和联网资源不被非授权使用。2、通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。,四、网络安全制度建设,目前网络安全方面的法规已经写入中华人民共和国宪法。于1982年8月23日写入中华人民共和国商标法于1984年3月12日写入中华人民共和国专利法于1988年9月日写入中华人民共和国保守国家秘密法于1993年9月2日写入中华人民共和国反不正当竞争法。,我国立法情况,国际立法情况,美国和日本是计算机网络安全比较完善的国家,一些发展中国家和第三
19、世界国家的计算机网络安全方面的法规还不够完善。欧洲共同体是一个在欧洲范围内具有较强影响力的政府间组织。为在共同体内正常地进行信息市场运做,该组织在诸多问题上建立了一系列法律,具体包括:竞争(反托拉斯)法;产品责任、商标和广告规定;知识产权保护;保护软件、数据和多媒体产品及在线版权;数据保护;跨境电子贸易;税收;司法问题等。这些法律若与其成员国原有国家法律相矛盾,则必须以共同体的法律为准。,我国评价标准,在我国根据计算机信息系统安全保护等级划分准则,1999年10月经过国家质量技术监督局批准发布准则将计算机安全保护划分为以下五个级别第一级为用户自主保护级:它的安全保护机制使用户具备自主安全保护的
20、能力,保护用户的信息免受非法的读写破坏。第二级为系统审计保护级:除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,使所有的用户对自己的行为的合法性负责。第三级为安全标记保护级:除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制保护。第四级为结构化保护级:在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力第五级为访问验证保护级:这一个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。,国际评价标准,根据美国国防部开发
21、的计算机安全标准可信任计算机标准评价准则(Trusted Computer Standards Evaluation Criteria:TCSEC),也就是网络安全橙皮书,一些计算机安全级别被用来评价一个计算机系统的安全性。自从1985年橙皮书成为美国国防部的标准以来,就一直没有改变过,多年以来一直是评估多用户主机和小型操作系统的主要方法。其他子系统(如数据库和网络)也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成4个类别:D类、C类、B类和A类,每类又分几个级别,,安全级别,安全级别,D级是最低的安全级别,拥有这个级别的操作系统就像一个门户大开的房子,任何人都可以自由进出,是完全不可
22、信任的。对于硬件来说,是没有任何保护措施的,操作系统容易受到损害,没有系统访问限制和数据访问限制,任何人不需任何账户都可以进入系统,不受任何限制可以访问他人的数据文件。属于这个级别的操作系统有:DOS和Windows98等。,安全级别,C1是C类的一个安全子级。C1又称选择性安全保护(Discretionary Security Protection)系统,它描述了一个典型的用在Unix系统上安全级别这种级别的系统对硬件又有某种程度的保护,如用户拥有注册账号和口令,系统通过账号和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访问权,但硬件受到损害的可能性仍然存在。用户拥有的访问权是
23、指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性,从而对不同的用户授予不通的访问权限。,安全级别,使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组,授予他们访问某些程序的权限或访问特定的目录。能够达到C2级别的常见操作系统有:(1)、Unix系统(2)、Novell 3.X或者更高版本(3)、Windows NT、Windows 2000和Windows 2003,安全级别,B级中有三个级别,B1级即标志安全保护(Labeled Security Protection),是支持多级安全(例如:秘密和绝密
24、)的第一个级别,这个级别说明处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。安全级别存在保密、绝密级别,这种安全级别的计算机系统一般在政府机构中,比如国防部和国家安全局的计算机系统。,安全级别,B2级,又叫结构保护级别(Structured Protection),它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。B3级,又叫做安全域级别(Security Domain),使用安装硬件的方式来加强域的安全,例如,内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。,安
25、全级别,A级,又称验证设计级别(Verified Design),是当前橙皮书的最高级别,它包含了一个严格的设计、控制和验证过程。该级别包含了较低级别的所有的安全特性设计必须从数学角度上进行验证,而且必须进行秘密通道和可信任分布分析。可信任分布(Trusted Distribution)的含义是:硬件和软件在物理传输过程中已经受到保护,以防止破坏安全系统。橙皮书也存在不足。TCSEC是针对孤立计算机系统,特别是小型机和主机系统。假设有一定的物理保障,该标准适合政府和军队,不适合企业,这个模型是静态的。,五、WINDOWS操作系统安全,Windows NT(New Technology)是微软公
26、司第一个真正意义上的网络操作系统,发展经过NT3.0、NT40、NT5.0(Windows 2000)和NT6.0(Windows 2003)等众多版本,并逐步占据了广大的中小网络操作系统的市场。Windows NT众多版本的操作系统使用了与Windows 9X完全一致的用户界面和完全相同的操作方法,使用户使用起来比较方便。与Windows 9X相比,Windows NT的网络功能更加强大并且安全。,安全配置方案初级篇,安全配置方案初级篇主要介绍常规的操作系统安全配置,包括十二条基本配置原则:物理安全、停止Guest帐号、限制用户数量创建多个管理员帐号、管理员帐号改名陷阱帐号、更改默认权限、设
27、置安全密码屏幕保护密码、使用NTFS分区运行防毒软件和确保备份盘安全。,1、物理安全,服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方。,2、停止Guest帐号,在计算机管理的用户里面把Guest帐号停用,任何时候都不允许Guest帐号登陆系统。为了保险起见,最好给Guest 加一个复杂的密码,可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串。用它作为Guest帐号的密码。并且修改Guest帐号的属性,设置拒绝远程访问,如图7-1所示。,3 限制用户数量
28、,去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户。帐户很多是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。对于Windows NT/2000主机,如果系统帐户超过10个,一般能找出一两个弱口令帐户,所以帐户数量不要大于10个。,4 多个管理员帐号,虽然这点看上去和上面有些矛盾,但事实上是服从上面规则的。创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物,另一个拥有Administrator权限的帐户只在需要的时候使用。因为只要登录系统以后,密码就存储再WinLogon进程中,当
29、有其他用户入侵计算机的时候就可以得到登录用户的密码,尽量减少Administrator登录的次数和时间。,5 管理员帐号改名,Windows 2000中的Administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone。具体操作的时候只要选中帐户名改名就可以了,如图7-2所示。,6 陷阱帐号,所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一
30、个超过10位的超级复杂密码。这样可以让那些企图入侵者忙上一段时间了,并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组,如图7-3所示。,7 更改默认权限,共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows 2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。设置某文件夹共享默认设置如图7-4所示。,8安全密码,好的密码对于一个网络是非常重要的,但是也是最容易被忽略的。一些网络管理员创建帐号
31、的时候往往用公司名,计算机名,或者一些别的一猜就到的字符做用户名,然后又把这些帐户的密码设置得比较简单,比如:“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。这里给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果得到了密码文档,必须花43天或者更长的时间才能破解出来,密码策略是42天必须改密码。,9屏幕保护密码,设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,黑屏就可以了。还有一点,所有系统用
32、户所使用的机器也最好加上屏幕保护密码。将屏幕保护的选项“密码保护”选中就可以了,并将等待时间设置为最短时间“1秒”,如图7-5所示。,10 NTFS分区,把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。,11防毒软件,Windows 2000/NT服务器一般都没有安装防毒软件的,一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。设置了放毒软件,“黑客”们使用的那些有名的木马就毫无用武之地了,并且要经常升级病毒库。,12备份盘的安全,一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。不能
33、把资料备份在同一台服务器上,这样的话还不如不要备份。,安全配置方案中级篇,安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则:操作系统安全策略、关闭不必要的服务关闭不必要的端口、开启审核策略开启密码策略、开启帐户策略、备份敏感文件不显示上次登陆名、禁止建立空连接和下载最新的补丁,1 操作系统安全策略,利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略。在管理工具中可以找到“本地安全策略”,主界面如图7-6所示。可以配置四类安全策略:帐户策略、本地策略、公钥策略和IP安全策略。在默认的情况下,
34、这些策略都是没有开启的。,2 关闭不必要的服务,Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。Windows 2000作为服务器可禁用的服务及其相关说明如表7-1所示。,Windows2000可禁用的服务,3 关闭不必要的端口,关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,
35、但是不可以认为高枕无忧了。用端口扫描器扫描系统所开放的端口,在Winntsystem32driversetcservices文件中有知名端口和服务的对照表可供参考。该文件用记事本打开如图7-7所示。,设置本机开放的端口和服务,在IP地址设置窗口中点击按钮“高级”,如图7-8所示。,在出现的对话框中选择选项卡“选项”,选中“TCP/IP筛选”,点击按钮“属性”,如图7-9所示。,设置端口界面如图7-10所示。一台Web服务器只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙,功能比较强大,可以替代防火墙的部分功能。,4 开启审核策略,安全审核是Windows 20
36、00最基本的入侵检测方法。当有人尝试对系统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。表7-2的这些审核是必须开启的,其他的可以根据需要增加。,审核策略默认设置,审核策略在默认的情况下都是没有开启的,如图7-11所示。,双击审核列表的某一项,出现设置对话框,将复选框“成功”和“失败”都选中,如图7-12所示。,5 开启密码策略,密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如表7-3所示,设置选项如图7-13所示。,6 开启帐户策
37、略,开启帐户策略可以有效的防止字典式攻击,设置如表7-4所示。,设置帐户策略,设置的结果如图7-14所示。,7 备份敏感文件,把敏感文件存放在另外的文件服务器中,虽然服务器的硬盘容量都很大,但是还是应该考虑把一些重要的用户数据(文件,数据表和项目文件等)存放在另外一个安全的服务器中,并且经常备份它们,8 不显示上次登录名,默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户名,本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名,进而做密码猜测。修改注册表禁止显示上次登录名,在HKEY_LOCAL_MACHINE主键下修改子键:SoftwareMicrosoftWindows
38、NTCurrentVersionWinlogonDontDisplayLastUserName,将键值改成1,如图7-15所示。,9 禁止建立空连接,默认情况下,任何用户通过空连接连上服务器,进而可以枚举出帐号,猜测密码。可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修改子键:SystemCurrentControlSetControlLSARestrictAnonymous,将键值改成“1”即可。如图7-16所示。,10 下载最新的补丁,很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万
39、行以上代码的Windows 2000不出一点安全漏洞。经常访问微软和一些安全站点,下载最新的Service Pack和漏洞补丁,是保障服务器长久安全的唯一方法。,安全配置方案高级篇,高级篇介绍操作系统安全信息通信配置,包括十四条配置原则:关闭DirectDraw、关闭默认共享禁用Dump File、文件加密系统加密Temp文件夹、锁住注册表、关机时清除文件禁止软盘光盘启动、使用智能卡、使用IPSec禁止判断主机类型、抵抗DDOS禁止Guest访问日志和数据恢复软件,1 关闭DirectDraw,C2级安全标准对视频卡和内存有要求。关闭DirectDraw可能对一些需要用到DirectX的程序有
40、影响(比如游戏),但是对于绝大多数的商业站点都是没有影响的。在HKEY_LOCAL_MACHINE主键下修改子键:SYSTEMCurrentControlSetControlGraphicsDriversDCITimeout,将键值改为“0”即可,如图7-17所示。,2 关闭默认共享,Windows 2000安装以后,系统会创建一些隐藏的共享,可以在DOS提示符下输入命令Net Share 查看,如图7-18所示。,停止默认共享,禁止这些共享,打开管理工具计算机管理共享文件夹共享,在相应的共享文件夹上按右键,点停止共享即可,如图7-19所示。,3 禁用Dump文件,在系统崩溃和蓝屏的时候,Du
41、mp文件是一份很有用资料,可以帮助查找问题。然而,也能够给黑客提供一些敏感信息,比如一些应用程序的密码等需要禁止它,打开控制面板系统属性高级启动和故障恢复,把写入调试信息改成无,如图7-20所示。,4 文件加密系统,Windows2000强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。微软公司为了弥补Windows NT 4.0的不足,在Windows 2000中,提供了一种基于新一代NTFS:NTFS V5(第5版本)的加密文件系统(Encrypted File System,简称EFS)。EFS实现的是一种基于公共密钥的数据
42、加密方式,利用了Windows 2000中的CryptoAPI结构。,5 加密Temp文件夹,一些应用程序在安装和升级的时候,会把一些东西拷贝到Temp文件夹,但是当程序升级完毕或关闭的时候,并不会自己清除Temp文件夹的内容。所以,给Temp文件夹加密可以给你的文件多一层保护。,6 锁住注册表,在Windows2000中,只有Administrators和Backup Operators才有从网络上访问注册表的权限。当帐号的密码泄漏以后,黑客也可以在远程访问注册表,当服务器放到网络上的时候,一般需要锁定注册表。修改Hkey_current_user下的子键Softwaremicrosoftw
43、indowscurrentversionPoliciessystem 把DisableRegistryTools的值该为0,类型为DWORD,如图7-21所示。,7 关机时清除文件,页面文件也就是调度文件,是Windows 2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中可能含有另外一些敏感的资料。要在关机的时候清楚页面文件,可以编辑注册表 修改主键HKEY_LOCAL_MACHINE下的子键:SYSTEMCurrentControlSetControlSession ManagerMemory Management把
44、ClearPageFileAtShutdown的值设置成1,如图7-22所示。,8 禁止软盘光盘启动,一些第三方的工具能通过引导系统来绕过原有的安全机制。比如一些管理员工具,从软盘上或者光盘上引导系统以后,就可以修改硬盘上操作系统的管理员密码。如果服务器对安全要求非常高,可以考虑使用可移动软盘和光驱,把机箱锁起来仍然不失为一个好方法。,9 使用智能卡,对于密码,总是使安全管理员进退两难,容易受到一些工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。,10 使用IPSec,正如其名字的含义,IPSec提供IP数据包的安全
45、性。IPSec提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。,11 禁止判断主机类型,黑客利用TTL(Time-To-Live,活动时间)值可以鉴别操作系统的类型,通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。许多入侵者首先会Ping一下主机,因为攻击某一台计算机需要根据对方的操作系统,是Windows还是Unix。如过TTL值为128就可以认为你的系统为Windows 2000,如图7-23所示。,从图中可以看出,TTL值为128,说明改主机的操作系统是Wi
46、ndows 2000操作系统。表7-6给出了一些常见操作系统的对照值。,修改TTL的值,入侵者就无法入侵电脑了。比如将操作系统的TTL值改为111,修改主键HKEY_LOCAL_MACHINE的子键:SYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERS新建一个双字节项,如图7-24所示。,在键的名称中输入“defaultTTL”,然后双击改键名,选择单选框“十进制”,在文本框中输入111,如图7-25所示。,设置完毕重新启动计算机,再用Ping指令,发现TTL的值已经被改成111了,如图7-26所示。,12 抵抗DDOS,添加注册表的一些键值,可以有效
47、的抵抗DDOS的攻击。在键值HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters下增加响应的键及其说明如表7-7所示。,13 禁止Guest访问日志,在默认安装的Windows NT和Windows 2000中,Guest帐号和匿名用户可以查看系统的事件日志,可能导致许多重要信息的泄漏,修改注册表来禁止Guest访问事件日志。禁止Guest访问应用日志HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplication 下添加键值名称为:Restric
48、tGuestAccess ,类型为:DWORD,将值设置为1。系统日志:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSystem下添加键值名称为:RestrictGuestAccess,类型为:DWORD,将值设置为1。安全日志HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSecurity下添加键值名称为:RestrictGuestAccess,类型为:DWORD,将值设置为1。,14 数据恢复软件,当数据被病毒或者入侵者破坏后,可以利用数据恢复软件可以找回
49、部分被删除的数据,在恢复软件中一个著名的软件是Easy Recovery。软件功能强大,可以恢复被误删除的文件、丢失的硬盘分区等等。软件的主界面如图7-26所示。,比如原来在E盘上有一些数据文件,被黑客删除了,选择左边栏目“Data Recovery”,然后选择左边的按钮“Advanced Recovery”,如图7-28所示。,进入Advanced Recovery对话框后,软件自动扫描出目前硬盘分区的情况,分区信息是直接从分区表中读取出来的,如图7-29所示。,现在要恢复E盘上的文件,所以选择E盘,点击按钮“Next”,如图7-30所示。,软件开始自动扫描该盘上曾经有哪些被删除了文件,根据
50、硬盘的大小,需要一段比较长的时间,如图7-31所示。,扫描完成以后,将该盘上所有的文件以及文件夹显示出来,包括曾经被删除文件和文件夹,如图7-32所示。,选中某个文件夹或者文件前面的复选框,然后点击按钮“Next”,就可以恢复了。如图7-33所示。,在恢复的对话框中选择一个本地的文件夹,将文件保存到该文件夹中,如图7-34所示。,选择一个文件夹后,电击按钮“Next”,就出现了恢复的进度对话框,如图7-35所示。,瑞星杀毒使用指南,第一步 启动安装程序下载并点击安装瑞星杀毒软件,就可以进行瑞星杀毒软件下载版的安装了。这时会给出安装提示,用户只要按照相应提示,就可以轻松进行安装了。,一、安装,第
