各类操作系统安全配置方案.docx
《各类操作系统安全配置方案.docx》由会员分享,可在线阅读,更多相关《各类操作系统安全配置方案.docx(15页珍藏版)》请在冰豆网上搜索。
各类操作系统安全配置方案
操作系统安全配置方案
内容提要
Windows的安全配置。
操作系统的安全将决定网络的安全,从爱惜级别上分成安全低级篇、中级篇和高级篇,共36条大体配置原则。
安全配置低级篇讲述常规的操作系统安全配置,中级篇介绍操作系统的安全策略配置,高级篇介绍操作系统安全信息通信配置。
操作系统概述
目前服务器经常使用的操作系统有三类:
Unix
Linux
WindowsNT/2000/2003Server。
这些操作系统都是符合C2级安全级别的操作系统。
可是都存在很多漏洞,若是对这些漏洞不了解,不采取相应的方法,就会使操作系统完全暴露给入侵者。
UNIX系统
UNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。
它从一个实验室的产品进展成为当前利用普遍、阻碍深远的主流操作系统。
UNIX诞生于20世纪60年代末期,贝尔实验室的研究人员于1969年开始在GE645运算机上实现一种分时操作系统的雏形,后来该系统被移植到了DEC的PDP-7小型机上。
1970年给系统正式取名为Unix操作系统。
到1973年,Unix系统的绝大部份源代码都用C语言从头编写过,大大提高了Unix系统的可移植性,也为提高系统软件的开发效率制造了条件。
要紧特色
UNIX操作系统通过20连年的进展后,已经成为一种成熟的主流操作系统,并在进展进程中慢慢形成了一些新的特色,其中要紧特色包括5个方面。
(1)靠得住性高
(2)极强的伸缩性
(3)网络功能强
(4)壮大的数据库支持功能
(5)开放性好
Linux系统
Linux是一套能够免费利用和自由传播的类Unix操作系统,要紧用于基于Intelx86系列CPU的运算机上。
那个系统是由全世界各地的成千上万的程序员设计和实现的。
其目的是成立不受任何商品化软件的版权制约的、全世界都能自由利用的Unix兼容产品。
Linux最先开始于一名名叫LinusTorvalds的运算机业余爱好者,那时他是芬兰赫尔辛基大学的学生。
目的是想设计一个代替Minix(是由一名名叫AndrewTannebaum的运算机教授编写的一个操作系统示教程序)的操作系统。
那个操作系统可用于386、486或奔腾处置器的个人运算机上,而且具有Unix操作系统的全数功能。
Linux是一个免费的操作系统,用户能够免费取得其源代码,并能够随意修改。
它是在共用许可证GPL(GeneralPublicLicense)爱惜下的自由软件,也有好几种版本,如RedHatLinux、Slackware,和国内的XteamLinux、红旗Linux等等。
Linux的流行是因为它具有许多优势,典型的优势有7个。
Linux典型的优势有7个。
(1)完全免费
(2)完全兼容POSIX标准
(3)多用户、多任务
(4)良好的界面
(5)丰硕的网络功能
(6)靠得住的安全、稳固性能
(7)支持多种平台
Windows系统
Windows系统是现今最流行的操作系统,进展通过WIN9X、WINME、WINXP、、NT40、(Windows2000)和(Windows2003)等众多版本,并慢慢占据了广大的中小网络操作系统的市场。
WindowsNT以后的版本的操作系统利用了与Windows9X完全一致的用户界面和完全相同的操作方式,利用户利用起来比较方便。
与Windows9X相较,WindowsNT及后续版本的网络功能加倍壮大而且安全。
WindowsNT以后的操作系统具有以下三方面的优势。
(1)支持多种网络协议
由于在网络中可能存在多种客户机,如Windows95/9八、AppleMacintosh、Unix、OS/2等等,而这些客户机可能利用了不同的网络协议,如TCP/IP协议、IPX/SPX等。
WindowsNT以后的操作系统操作支持几乎所有常见的网络协议。
(2)内置Internet功能
随着Internet的流行和TCP/IP协议组的标准化,WindowsNT以后的操作系统内置了IIS(InternetInformationServer),能够使网络治理员轻松的配置WWW和FTP等服务。
(3)支持NTFS文件系统
Windows9X所利用的文件系统是FAT,在NT中内置同时支持FAT和NTFS的磁盘分区格式。
利用NTFS的益处主若是能够提高文件治理的安全性,用户能够对NTFS系统中的任何文件、目录设置权限,如此当多用户同时访问系统的时候,能够增加文件的安全性。
安全配置方案低级篇
安全配置方案低级篇要紧介绍常规的操作系统安全配置,包括十二条大体配置原则:
物理安全、停止Guest帐号、限制用户数量
创建多个治理员帐号、治理员帐号更名
陷阱帐号、更改默许权限、设置安全密码
屏幕爱惜密码、利用NTFS分区
运行防毒软件和确保备份盘安全。
1、物理安全
服务器应该安放在安装了监视器的隔离房间内,而且监视器要保留15天以上的摄像记录。
另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即便进入房间也无法利用电脑,钥匙要放在安全的地址。
2、停止Guest帐号
在运算机治理的用户里面把Guest帐号停用,任何时候都不许诺Guest帐号登岸系统。
为了保险起见,最好给Guest加一个复杂的密码,能够打开记事本,在里面输入一串包括特殊字符,数字,字母的长字符串。
用它作为Guest帐号的密码。
而且修改Guest帐号的属性,设置拒绝远程访问,如图1所示
。
3限制用户数量
去掉所有的测试帐户、共享帐号和一般部门帐号等等。
用户组策略设置相应权限,而且常常检查系统的帐户,删除已经不利用的帐户。
帐户很多是黑客们入侵系统的冲破口,系统的帐户越多,黑客们取得合法用户的权限可能性一样也就越大。
关于WindowsNT/2000/XP主机,若是系统帐户超过10个,一样能找出一两个弱口令帐户,因此帐户数量不要大于10个。
4多个治理员帐号
尽管这点看上去和上面有些矛盾,但事实上是服从上面规则的。
创建一个一样用户权限帐号用来处置电子邮件和处置一些日常事物,另一个拥有Administrator权限的帐户只在需要的时候利用。
因为只要登录系统以后,密码就存储再WinLogon进程中,当有其他用户入侵运算机的时候就能够够取得登录用户的密码,尽可能减少Administrator登录的次数和时刻。
5治理员帐号更名
Windows2000和WindowsXp中的Administrator帐号是不能被停用的,这意味着他人能够一遍又一边的尝试那个帐户的密码。
把Administrator帐户更名能够有效的避免这一点。
不要利用Admin之类的名字,改了等于没改,尽可能把它假装成一般用户,比如改成:
guestone。
具体操作的时候只要选中帐户名更名就能够够了。
6陷阱帐号
所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,而且加上一个超过10位的超级复杂密码。
如此能够让那些企图入侵者忙上一段时刻了,而且能够借此发觉它们的入侵企图。
能够将该用户隶属的组修改成Guests组。
依照HACKER提示。
把那个账户不加权限为最安全状态!
谢谢
7更改默许权限
共享文件的权限从“Everyone”组改成“授权用户”。
“Everyone”在Windows2000中意味着任何有权进入你的网络的用户都能够取得这些共享资料。
任何时候不要把共享文件的用户设置成“Everyone”组。
包括打印共享,默许的属性确实是“Everyone”组的,必然不要忘了改。
设置某文件夹共享默许设置如图所示。
8安全密码
好的密码关于一个网络是超级重要的,可是也是最容易被忽略的。
一些网络治理员创建帐号的时候往往用公司名,运算机名,或一些别的一猜就到的字符做用户名,然后又把这些帐户的密码设置得比较简单,比如:
“welcome”、“iloveyou”、“letmein”或和用户名相同的密码等。
如此的帐户应该要求用户首此登岸的时候更改成复杂的密码,还要注意常常更改密码。
那个地址给好密码下了个概念:
安全期内无法破解出来的密码确实是好密码,也确实是说,若是取得了密码文档,必需花43天或更长的时刻才能破解出来,密码策略是42天必需改密码.
9屏幕爱惜密码
设置屏幕爱惜密码是避免内部人员破坏服务器的一个屏障。
注意不要利用OpenGL和一些复杂的屏幕爱惜程序,浪费系统资源,黑屏就能够够了。
还有一点,所有系统用户所利用的机械也最好加上屏幕爱惜密码。
将屏幕爱惜的选项“密码爱惜”选中就能够够了,并将等待时刻设置为最短时刻“1秒”。
10NTFS分区
把服务器的所有分区都改成NTFS格式。
NTFS文件系统要比FAT、FAT32的文件系统安全得多。
11防毒软件
Windows没有安装防毒软件的,一些好的杀毒软件不仅能杀掉一些闻名的病毒,还能查杀大量木马和后门程序。
建议利用NOD32等杀毒软件,具体能够去安全区讨论.设置了防毒软件,“黑客”们利用的那些出名的木马就毫无用武之地了,而且要常常升级病毒库。
12备份盘的安全
一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。
备份完资料后,把备份盘防在安全的地址。
不能把资料备份在同一台服务器上,如此的话还不如不要备份。
安全配置方案中级篇
安全配置方案中级篇要紧介绍操作系统的安全策略配置,包括十条大体配置原则:
操作系统安全策略、关闭没必要要的服务
关闭没必要要的端口、开启审核策略
开启密码策略、开启帐户策略、备份灵敏文件
不显示上次登岸名、禁止成立空连接和下载最新的补丁
1操作系统安全策略
利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于治理操纵台的安全配置和分析工具,能够配置服务器的安全策略。
在治理工具中能够找到“本地安全策略”,主界面如图所示。
能够配置四类安全策略:
帐户策略、本地策略、公钥策略和IP安全策略。
在默许的情形下,这些策略都是没有开启的。
2关闭没必要要的服务
Windows的TerminalServices(终端服务)和IIS(Internet信息服务)等都可能给系统带来安全漏洞。
为了能够在远程方便的治理服务器,很多机械的终端服务都是开着的,若是开了,要确认已经正确的配置了终端服务。
有些歹意的程序也能以服务方式偷偷的运行服务器上的终端服务。
要留意服务器上开启的所有服务并天天检查。
Windows及WINXP作为可禁用的服务及其相关说明如下表所示。
服务名
说明
ComputerBrowser
保护网络上运算机的最新列表和提供那个列表
Taskscheduler
许诺程序在指按时刻运行
RoutingandRemoteAccess
在局域网和广域网环境中为企业提供路由服务
Removablestorage
治理可移动媒体、驱动程序和库
RemoteRegistryService
许诺远程注册表操作
PrintSpooler
将文件加载到内存中以便以后打印。
要用打印机的用户不能禁用这项服务
IPSECPolicyAgent
治理IP安全策略和启动ISAKMP/Oakley(IKE)和IP安全驱动程序
DistributedLinkTrackingClient
当文件在网络域的NTFS卷中移动时发送通知
Com+EventSystem
提供事件的自动发布到定阅COM组件
3关闭没必要要的端口
关闭端口意味着减少功能,若是服务器安装在防火墙的后面,被入侵的机遇就会少一些,可是不能够以为安枕无忧了。
用端口扫描器扫描系统所开放的端口,在Winnt\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。
该文件用记事本打开如图所示。
设置本机开放的端口和服务,在IP地址设置窗口中点击按钮“高级”。
在显现的对话框当选择选项卡“选项”,选中“TCP/IP挑选”,点击按钮“属性”。
设置端口界面如图所示。
一台Web服务器只许诺TCP的80端口通过就能够够了。
个人运算性能够不利用,咱们说的禁止端口就能够够在那个地址进行。
而不用防火墙来进行!
.TCP/IP挑选器是Windows自带的防火墙,功能比较壮大,能够替代防火墙的部份功能。
依照HACK提示还得许诺DNS的53口。
可是前提是你的这台服务器是DNS服务器。
不然能够不开
4开启审核策略
安全审核是Windows2000最大体的入侵检测方式。
当有人尝试对系统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。
很多的治理员在系统被入侵了几个月都不明白,直到系统受到破坏。
表2的这些审核是必需开启的,其他的能够依照需要增加。
审核策略在默许的情形下都是没有开启的。
双击审核列表的某一项,显现设置对话框,将复选框“成功”和“失败”都选中。
5开启密码策略
密码对系统安全超级重要。
本地安全设置中的密码策略在默许的情形下都没有开启。
需要开启的密码策略如表所示
策略
设置
密码复杂性要求
启用
密码长度最小值
6位
密码最长存留期
15天
强制密码历史
5个
设置选项如图所示。
6开启帐户策略
开启帐户策略能够有效的避免字典式解决,设置如表所示。
策略
设置
复位帐户锁定计数器
30分钟
帐户锁按时刻
30分钟
帐户锁定阈值
5次
设置帐户策略
设置的结果如图所示。
7备份灵敏文件
把灵敏文件寄存在另外的文件服务器中,尽管服务器的硬盘容量都专门大,可是仍是应该考虑把一些重要的用户数据(文件,数据表和项目文件等)寄存在另外一个安全的服务器中,而且常常备份它们
8不显示上次登录名
默许情形下,终端服务接入服务器时,登岸对话框中会显示上次登岸的帐户名,本地的登岸对话框也是一样。
黑客们能够取得系统的一些用户名,进而做密码猜想。
修改注册表禁止显示上次登录名,在HKEY_LOCAL_MACHINE主键下修改子键:
Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName,将键值改成1。
9禁止成立空连接
默许情形下,任何用户通过空连接连上服务器,进而能够列举出帐号,猜想密码。
能够通过修改注册表来禁止成立空连接。
在HKEY_LOCAL_MACHINE主键下修改子键:
System\CurrentControlSet\Control\LSA\RestrictAnonymous,将键值改成“1”即可。
10下载最新的补丁
很多初学者没有访问安全站点的适应,以至于一些漏洞都出了好久了,还放着漏洞不补给人家当靶子用。
谁也不敢保证数百万行以上代码的Windows不出一点安全漏洞。
常常访问微软和一些安全站点,下载最新的ServicePack和漏洞补丁,是保障服务器长久安全的唯一方式。
点开始-windowsupdate去打上最新补丁
安全配置方案高级篇
高级篇介绍操作系统安全信息通信配置,包括十四条配置原则:
关闭DirectDraw、关闭默许共享
禁用DumpFile、文件加密系统
加密Temp文件夹、锁住注册表、关机时清除文件
禁止软盘光盘启动、利用智能卡、利用IPSec
禁止判定主机类型、抗击DDOS
禁止Guest访问日记和数据恢复软件
1关闭DirectDraw
C2级安全标准对视频卡和内存有要求。
关闭DirectDraw可能对一些需要用到DirectX的程序有阻碍(比如游戏),可是关于绝大多数的商业站点都是没有阻碍的。
在HKEY_LOCAL_MACHINE主键下修改子键:
SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout,将键值改成“0”即可,如图17所示
也能够在开始菜单的运行中dxdiag,在里面的显示选项卡中点禁用DirectDraw加速。
2关闭默许共享
Windows安装以后,系统会创建一些隐藏的共享,能够在DOS提示符下输入命令NetShare查看。
停止默许共享
在WindowsXp下能够输入netshare共享盘符$/del,如下图
在WINDOWS2000下能够打开治理工具>运算机治理>共享文件
夹>共享,在相应的共享文件夹上按右键,点停止共享即可。
3禁用Dump文件
在系统崩溃和蓝屏的时候,Dump文件是一份很有效资料,能够帮忙查找问题。
但是,也能够给黑客提供一些灵敏信息,比如一些应用程序的密码等
需要禁止它,打开操纵面板>系统属性>高级>启动和故障恢复,把事件写入系统日去掉勾。
4文件加密系统
Windows壮大的加密系统能够给磁盘,文件夹,文件加上一层安全爱惜。
如此能够避免他人把你的硬盘挂到别的机械上以读出里面的数据。
微软公司为了弥补WindowsNT的不足,在Windows2000及后续版本中,提供了一种基于新一代NTFS:
NTFSV5(第5版本)的加密文件系统(EncryptedFileSystem,简称EFS)。
EFS实现的是一种基于公共密钥的数据加密方式,利用了WindowsNT结构中的CryptoAPI结构。
5加密Temp文件夹
一些应用程序在安装和升级的时候,会把一些东西拷贝到Temp文件夹,可是当程序升级完毕或关闭的时候,并非会自己清除Temp文件夹的内容。
因此,给Temp文件夹加密能够给你的文件多一层爱惜。
6锁住注册表
在Windows2000中,只有Administrators和BackupOperators才有从网络上访问注册表的权限。
当帐号的密码泄漏以后,黑客也能够在远程访问注册表,当服务器放到网络上的时候,一样需要锁定注册表。
修改Hkey_current_user下的子键
Software\microsoft\windows\currentversion\Policies\system
把DisableRegistryTools的值该为0,类型为DWORD。
7关机时清除文件
页面文件也确实是调度文件,是Windows2000用来存储没有装入内存的程序和数据文件部份的隐藏文件。
尽管浪费了一些时刻偶以为是值得的拉!
一些第三方的程序能够把一些没有的加密的密码存在内存中,页面文件中可能含有另外一些灵敏的资料。
要在关机的时候清楚页面文件,能够编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键:
SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement
把ClearPageFileAtShutdown的值设置成1。
8禁止软盘光盘启动
一些第三方的工具能通过引导系统来绕过原有的安全机制。
比如一些治理员工具,从软盘上或光盘上引导系统以后,就能够够修改硬盘上操作系统的治理员密码。
若是电脑对安全要求超级高,能够考虑利用可移动软盘和光驱,把机箱锁起来仍然不失为一个好方式。
9利用智能卡
关于密码,老是使安全治理员进退维谷,容易受到一些工具的解决,若是密码太复杂,用户把为了记住密码,会把密码处处乱写。
若是条件许诺,用智能卡来代替复杂的密码是一个专门好的解决方式。
10利用IPSec
正如其名字的含义,IPSec提供IP数据包的安全性。
IPSec提供身份验证、完整性和可选择的机密性。
发送方运算机在传输之前加密数据,而接收方运算机在收到数据以后解密数据。
利用IPSec能够使得系统的安全性能大大增强。
11禁止判定主机类型
黑客利用TTL(Time-To-Live,活动时刻)值能够辨别操作系统的类型,通过Ping指令能判定目标主机类型。
Ping的用途是检测目标主机是不是连通。
许多入侵者第一会Ping一下主机,因为解决某一台运算机需要依照对方的操作系统,是Windows仍是Unix。
如过TTL值为128就能够够以为你的系统为Windows2000。
从图中能够看出,TTL值为128,说明改主机的操作系统是Windows2000操作系统。
表给出了一些常见操作系统的对照值。
操作系统类型
TTL返回值
Windows2000
128
WindowsNT
107
win9x
128or127
solaris
252
IRIX
240
AIX
247
Linux
241or240
修改TTL的值,入侵者就无法入侵电脑了。
比如将操作系统的TTL值改成111,修改主键HKEY_LOCAL_MACHINE的子键:
SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS
新建一个双字节项。
在键的名称中输入“defaultTTL”,然后双击改键名,选择单选框“十进制”,在文本框中输入111。
设置完毕从头启动运算机,再用Ping指令,发觉TTL的值已经被改成111了。
12抗击DDOS
添加注册表的一些键值,能够有效的抗击DDOS的解决。
在键值
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加响应的键及其说明如下所示。
增加的键值键值说明
"EnablePMTUDiscovery"=dword:
00000000
"NoNameReleaseOnDemand"=dword:
00000000
"KeepAliveTime"=dword:
00000000
"PerformRouterDiscovery"=dword:
00000000大体