各类操作系统安全配置方案.docx

1、各类操作系统安全配置方案操作系统安全配置方案内容提要Windows 的安全配置。操作系统的安全将决定网络的安全，从爱惜级别上分成安全低级篇、中级篇和高级篇，共 36 条大体配置原则。安全配置低级篇讲述常规的操作系统安全配置，中级篇介绍操作系统的安全策略配置，高级篇介绍操作系统安全信息通信配置。操作系统概述目前服务器经常使用的操作系统有三类：UnixLinuxWindows NT/2000/2003 Server 。这些操作系统都是符合 C2 级安全级别的操作系统。可是都存在很多漏洞，若是对这些漏洞不了解，不采取相应的方法，就会使操作系统完全暴露给入侵者。UNIX 系统UNIX 操作系统是由美国

2、贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品进展成为当前利用普遍、阻碍深远的主流操作系统。UNIX 诞生于 20 世纪 60 年代末期，贝尔实验室的研究人员于 1969 年开始在 GE645 运算机上实现一种分时操作系统的雏形，后来该系统被移植到了 DEC 的 PDP-7 小型机上。1970 年给系统正式取名为 Unix 操作系统。到 1973 年， Unix 系统的绝大部份源代码都用 C 语言从头编写过，大大提高了 Unix 系统的可移植性，也为提高系统软件的开发效率制造了条件。要紧特色UNIX 操作系统通过 20 连年的进展后，已经成为一种成熟的主流操作系统，并在

3、进展进程中慢慢形成了一些新的特色，其中要紧特色包括 5 个方面。（ 1 ）靠得住性高（ 2 ）极强的伸缩性（ 3 ）网络功能强（ 4 ）壮大的数据库支持功能（ 5 ）开放性好Linux 系统Linux 是一套能够免费利用和自由传播的类 Unix 操作系统，要紧用于基于 Intel x86 系列 CPU 的运算机上。那个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是成立不受任何商品化软件的版权制约的、全世界都能自由利用的 Unix 兼容产品。Linux 最先开始于一名名叫 Linus Torvalds 的运算机业余爱好者，那时他是芬兰赫尔辛基大学的学生。目的是想设计一个代替 Mini

4、x （是由一名名叫 Andrew Tannebaum 的 运算机 教授编写的一个操作系统示教程序）的操作系统。那个操作系统可用于 386 、 486 或奔腾处置器的个人运算机上，而且具有 Unix 操作系统的全数功能。Linux 是一个免费的操作系统，用户能够免费取得其源代码，并能够随意修改。它是在共用许可证 GPL(General Public License) 爱惜下的自由软件，也有好几种版本，如 Red Hat Linux 、 Slackware ，和国内的 Xteam Linux 、红旗 Linux 等等。 Linux 的流行是因为它具有许多优势，典型的优势有 7 个。Linux 典型

5、的优势有 7 个。（ 1 ）完全免费（ 2 ）完全兼容 POSIX 标准（ 3 ）多用户、多任务（ 4 ）良好的界面（ 5 ）丰硕的网络功能（ 6 ）靠得住的安全、稳固性能（ 7 ）支持多种平台Windows系统Windows系统是现今最流行的操作系统,进展通过WIN9X、WINME、WINXP、NT40、（Windows 2000）和（Windows 2003）等众多版本，并慢慢占据了广大的中小网络操作系统的市场。Windows NT以后的版本的操作系统利用了与Windows 9X完全一致的用户界面和完全相同的操作方式，利用户利用起来比较方便。与Windows 9X相较，Windows NT

6、及后续版本的网络功能加倍壮大而且安全。Windows NT以后的操作系统具有以下三方面的优势。（1）支持多种网络协议由于在网络中可能存在多种客户机，如Windows 95/9八、Apple Macintosh、Unix、OS/2等等，而这些客户机可能利用了不同的网络协议，如TCP/IP协议、IPX/SPX等。Windows NT以后的操作系统操作支持几乎所有常见的网络协议。（2）内置Internet功能随着Internet的流行和TCP/IP协议组的标准化，Windows NT以后的操作系统内置了IIS（Internet Information Server），能够使网络治理员轻松的配置WWW

7、和FTP等服务。（3）支持NTFS文件系统Windows 9X所利用的文件系统是FAT，在NT中内置同时支持FAT和NTFS的磁盘分区格式。利用NTFS的益处主若是能够提高文件治理的安全性，用户能够对NTFS系统中的任何文件、目录设置权限，如此当多用户同时访问系统的时候，能够增加文件的安全性。安全配置方案低级篇安全配置方案低级篇要紧介绍常规的操作系统安全配置，包括十二条大体配置原则：物理安全、停止Guest 帐号、限制用户数量创建多个治理员帐号、治理员帐号更名陷阱帐号、更改默许权限、设置安全密码屏幕爱惜密码、利用NTFS 分区运行防毒软件和确保备份盘安全。1 、物理安全服务器应该安放在安装了监

8、视器的隔离房间内，而且监视器要保留 15 天以上的摄像记录。另外，机箱，键盘，电脑桌抽屉要上锁，以确保旁人即便进入房间也无法利用电脑，钥匙要放在安全的地址。2 、停止 Guest 帐号在运算机治理的用户里面把 Guest 帐号停用，任何时候都不许诺 Guest 帐号登岸系统。为了保险起见，最好给 Guest 加一个复杂的密码，能够打开记事本，在里面输入一串包括特殊字符 , 数字，字母的长字符串。用它作为 Guest 帐号的密码。而且修改 Guest 帐号的属性，设置拒绝远程访问，如图 1 所示。3 限制用户数量去掉所有的测试帐户、共享帐号和一般部门帐号等等。用户组策略设置相应权限，而且常常检查

9、系统的帐户，删除已经不利用的帐户。帐户很多是黑客们入侵系统的冲破口，系统的帐户越多，黑客们取得合法用户的权限可能性一样也就越大。关于 Windows NT/2000/XP 主机，若是系统帐户超过 10 个，一样能找出一两个弱口令帐户，因此帐户数量不要大于 10 个。4 多个治理员帐号尽管这点看上去和上面有些矛盾，但事实上是服从上面规则的。创建一个一样用户权限帐号用来处置电子邮件和处置一些日常事物，另一个拥有 Administrator 权限的帐户只在需要的时候利用。因为只要登录系统以后，密码就存储再 WinLogon 进程中，当有其他用户入侵运算机的时候就能够够取得登录用户的密码，尽可能减少

10、Administrator 登录的次数和时刻。5 治理员帐号更名Windows 2000和Windows Xp中的 Administrator 帐号是不能被停用的，这意味着他人能够一遍又一边的尝试那个帐户的密码。把 Administrator 帐户更名能够有效的避免这一点。不要利用 Admin 之类的名字，改了等于没改，尽可能把它假装成一般用户，比如改成： guestone 。具体操作的时候只要选中帐户名更名就能够够了。6 陷阱帐号所谓的陷阱帐号是创建一个名为 “Administrator” 的本地帐户，把它的权限设置成最低，什么事也干不了的那种，而且加上一个超过 10 位的超级复杂密码。如此

11、能够让那些企图入侵者忙上一段时刻了，而且能够借此发觉它们的入侵企图。能够将该用户隶属的组修改成 Guests 组。依照HACKER提示。把那个账户不加权限为最安全状态！谢谢7 更改默许权限共享文件的权限从 “Everyone” 组改成 “ 授权用户 ” 。 “Everyone” 在 Windows 2000 中意味着任何有权进入你的网络的用户都能够取得这些共享资料。任何时候不要把共享文件的用户设置成 “Everyone” 组。包括打印共享，默许的属性确实是 “Everyone” 组的，必然不要忘了改。设置某文件夹共享默许设置如图所示。8 安全密码好的密码关于一个网络是超级重要的，可是也是最容易

12、被忽略的。一些网络治理员创建帐号的时候往往用公司名，运算机名，或一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，比如： “welcome” 、 “iloveyou” 、 “letmein” 或和用户名相同的密码等。如此的帐户应该要求用户首此登岸的时候更改成复杂的密码，还要注意常常更改密码。那个地址给好密码下了个概念：安全期内无法破解出来的密码确实是好密码，也确实是说，若是取得了密码文档，必需花 43 天或更长的时刻才能破解出来，密码策略是 42 天必需改密码 .9 屏幕爱惜密码设置屏幕爱惜密码是避免内部人员破坏服务器的一个屏障。注意不要利用 OpenGL 和一些复杂的屏幕

13、爱惜程序，浪费系统资源，黑屏就能够够了。还有一点，所有系统用户所利用的机械也最好加上屏幕爱惜密码。将屏幕爱惜的选项 “ 密码爱惜 ” 选中就能够够了，并将等待时刻设置为最短时刻 “1 秒 ” 。10 NTFS 分区把服务器的所有分区都改成 NTFS 格式。 NTFS 文件系统要比 FAT 、 FAT32 的文件系统安全得多。11 防毒软件Windows没有安装防毒软件的，一些好的杀毒软件不仅能杀掉一些闻名的病毒，还能查杀大量木马和后门程序。建议利用NOD32等杀毒软件,具体能够去安全区讨论.设置了防毒软件，“黑客”们利用的那些出名的木马就毫无用武之地了，而且要常常升级病毒库。12 备份盘的安全

14、一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地址。不能把资料备份在同一台服务器上，如此的话还不如不要备份。安全配置方案中级篇安全配置方案中级篇要紧介绍操作系统的安全策略配置，包括十条大体配置原则：操作系统安全策略、关闭没必要要的服务关闭没必要要的端口、开启审核策略开启密码策略、开启帐户策略、备份灵敏文件不显示上次登岸名、禁止成立空连接和下载最新的补丁1 操作系统安全策略利用 Windows 2000 的安全配置工具来配置安全策略，微软提供了一套的基于治理操纵台的安全配置和分析工具，能够配置服务器的安全策略。在治理工具中能够找到 “ 本地安全策略 ” ，

15、主界面如图所示。能够配置四类安全策略：帐户策略、本地策略、公钥策略和 IP 安全策略。在默许的情形下，这些策略都是没有开启的。2 关闭没必要要的服务Windows 的 Terminal Services （终端服务）和 IIS （ Internet 信息服务）等都可能给系统带来安全漏洞。为了能够在远程方便的治理服务器，很多机械的终端服务都是开着的，若是开了，要确认已经正确的配置了终端服务。有些歹意的程序也能以服务方式偷偷的运行服务器上的终端服务。要留意服务器上开启的所有服务并天天检查。Windows 及 WINXP 作为可禁用的服务及其相关说明如下表所示。服务名说明Computer Brows

16、er保护网络上运算机的最新列表和提供那个列表Task scheduler许诺程序在指按时刻运行Routing and Remote Access在局域网和广域网环境中为企业提供路由服务Removable storage治理可移动媒体、驱动程序和库Remote Registry Service许诺远程注册表操作Print Spooler将文件加载到内存中以便以后打印。要用打印机的用户不能禁用这项服务IPSEC Policy Agent治理 IP 安全策略和启动 ISAKMP/Oakley(IKE) 和 IP 安全驱动程序Distributed Link Tracking Client当文件在网络

17、域的 NTFS 卷中移动时发送通知Com+ Event System提供事件的自动发布到定阅 COM 组件3 关闭没必要要的端口关闭端口意味着减少功能，若是服务器安装在防火墙的后面，被入侵的机遇就会少一些，可是不能够以为安枕无忧了。用端口扫描器扫描系统所开放的端口，在 Winntsystem32driversetcservices 文件中有知名端口和服务的对照表可供参考。该文件用记事本打开如图所示。设置本机开放的端口和服务，在 IP 地址设置窗口中点击按钮 “ 高级 ” 。在显现的对话框当选择选项卡 “ 选项 ” ，选中 “TCP/IP 挑选 ” ，点击按钮 “ 属性 ” 。设置端口界面如图所

18、示。一台Web服务器只许诺TCP的80端口通过就能够够了。个人运算性能够不利用，咱们说的禁止端口就能够够在那个地址进行。而不用防火墙来进行！.TCP/IP挑选器是Windows自带的防火墙，功能比较壮大，能够替代防火墙的部份功能。依照HACK提示还得许诺DNS的53口。可是前提是你的这台服务器是DNS服务器。不然能够不开4 开启审核策略安全审核是 Windows 2000 最大体的入侵检测方式。当有人尝试对系统进行某种方式（如尝试用户密码，改变帐户策略和未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的治理员在系统被入侵了几个月都不明白，直到系统受到破坏。表 2 的这些审核是必

19、需开启的，其他的能够依照需要增加。审核策略在默许的情形下都是没有开启的。双击审核列表的某一项，显现设置对话框，将复选框 “ 成功 ” 和 “ 失败 ” 都选中。5 开启密码策略密码对系统安全超级重要。本地安全设置中的密码策略在默许的情形下都没有开启。需要开启的密码策略如表所示策略设置密码复杂性要求启用密码长度最小值6 位密码最长存留期15 天强制密码历史5 个设置选项如图所示。6 开启帐户策略开启帐户策略能够有效的避免字典式解决，设置如表所示。策略设置复位帐户锁定计数器30 分钟帐户锁按时刻30 分钟帐户锁定阈值5 次设置帐户策略设置的结果如图所示。7 备份灵敏文件把灵敏文件寄存在另外的文件服

20、务器中，尽管服务器的硬盘容量都专门大，可是仍是应该考虑把一些重要的用户数据（文件，数据表和项目文件等）寄存在另外一个安全的服务器中，而且常常备份它们8 不显示上次登录名默许情形下，终端服务接入服务器时，登岸对话框中会显示上次登岸的帐户名，本地的登岸对话框也是一样。黑客们能够取得系统的一些用户名，进而做密码猜想。修改注册表禁止显示上次登录名，在 HKEY_LOCAL_MACHINE 主键下修改子键：SoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName ，将键值改成 1 。9 禁止成立空连接默许情形下，任何用

21、户通过空连接连上服务器，进而能够列举出帐号，猜想密码。能够通过修改注册表来禁止成立空连接。在 HKEY_LOCAL_MACHINE 主键下修改子键：SystemCurrentControlSetControlLSARestrictAnonymous ，将键值改成 “ 1” 即可。10 下载最新的补丁很多初学者没有访问安全站点的适应，以至于一些漏洞都出了好久了，还放着漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的 Windows 不出一点安全漏洞。常常访问微软和一些安全站点，下载最新的 Service Pack 和漏洞补丁，是保障服务器长久安全的唯一方式。点开始-windows upda

22、te去打上最新补丁安全配置方案高级篇高级篇介绍操作系统安全信息通信配置，包括十四条配置原则：关闭 DirectDraw 、关闭默许共享禁用 Dump File 、文件加密系统加密 Temp 文件夹、锁住注册表、关机时清除文件禁止软盘光盘启动、利用智能卡、利用 IPSec禁止判定主机类型、抗击 DDOS禁止 Guest 访问日记和数据恢复软件1 关闭 DirectDrawC2 级安全标准对视频卡和内存有要求。关闭 DirectDraw 可能对一些需要用到 DirectX 的程序有阻碍（比如游戏），可是关于绝大多数的商业站点都是没有阻碍的。在 HKEY_LOCAL_MACHINE 主键下修改子键：

23、SYSTEMCurrentControlSetControlGraphicsDriversDCITimeout ，将键值改成 “ 0” 即可，如图 17 所示也能够在开始菜单的运行中 dxdiag, 在里面的显示选项卡中点禁用 DirectDraw 加速。2 关闭默许共享Windows 安装以后，系统会创建一些隐藏的共享，能够在 DOS 提示符下输入命令 Net Share 查看。停止默许共享在 Windows Xp 下能够输入 net share 共享盘符 $ /del, 如下图在 WINDOWS2000 下能够打开治理工具 运算机治理 共享文件夹 共享，在相应的共享文件夹上按右键，点停止共

24、享即可。3 禁用 Dump 文件在系统崩溃和蓝屏的时候， Dump 文件是一份很有效资料，能够帮忙查找问题。但是，也能够给黑客提供一些灵敏信息，比如一些应用程序的密码等需要禁止它，打开操纵面板 系统属性 高级 启动和故障恢复，把事件写入系统日去掉勾。4 文件加密系统Windows壮大的加密系统能够给磁盘，文件夹，文件加上一层安全爱惜。如此能够避免他人把你的硬盘挂到别的机械上以读出里面的数据。微软公司为了弥补 Windows NT 的不足，在 Windows 2000 及后续版本中，提供了一种基于新一代 NTFS ： NTFS V5 （第 5 版本）的加密文件系统（ Encrypted File

25、 System ，简称 EFS ）。EFS 实现的是一种基于公共密钥的数据加密方式，利用了 WindowsNT 结构中的 CryptoAPI 结构。5 加密 Temp 文件夹一些应用程序在安装和升级的时候，会把一些东西拷贝到 Temp 文件夹，可是当程序升级完毕或关闭的时候，并非会自己清除 Temp 文件夹的内容。因此，给 Temp 文件夹加密能够给你的文件多一层爱惜。6 锁住注册表在 Windows2000 中，只有 Administrators 和 Backup Operators 才有从网络上访问注册表的权限。当帐号的密码泄漏以后，黑客也能够在远程访问注册表，当服务器放到网络上的时候，一

26、样需要锁定注册表。修改 Hkey_current_user 下的子键SoftwaremicrosoftwindowscurrentversionPoliciessystem把 DisableRegistryTools 的值该为 0 ，类型为 DWORD 。7 关机时清除文件页面文件也确实是调度文件，是 Windows 2000 用来存储没有装入内存的程序和数据文件部份的隐藏文件。尽管浪费了一些时刻偶以为是值得的拉 !一些第三方的程序能够把一些没有的加密的密码存在内存中，页面文件中可能含有另外一些灵敏的资料。要在关机的时候清楚页面文件，能够编辑注册表 修改主键 HKEY_LOCAL_MACHIN

27、E 下的子键：SYSTEMCurrentControlSetControlSession ManagerMemory Management把 ClearPageFileAtShutdown 的值设置成 1 。8 禁止软盘光盘启动一些第三方的工具能通过引导系统来绕过原有的安全机制。比如一些治理员工具，从软盘上或光盘上引导系统以后，就能够够修改硬盘上操作系统的治理员密码。若是电脑对安全要求超级高，能够考虑利用可移动软盘和光驱，把机箱锁起来仍然不失为一个好方式。9 利用智能卡关于密码，老是使安全治理员进退维谷，容易受到一些工具的解决，若是密码太复杂，用户把为了记住密码，会把密码处处乱写。若是条件许诺

28、，用智能卡来代替复杂的密码是一个专门好的解决方式。10 利用 IPSec正如其名字的含义， IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方运算机在传输之前加密数据，而接收方运算机在收到数据以后解密数据。利用 IPSec 能够使得系统的安全性能大大增强。11 禁止判定主机类型黑客利用 TTL （ Time-To-Live ，活动时刻）值能够辨别操作系统的类型，通过 Ping 指令能判定目标主机类型。 Ping 的用途是检测目标主机是不是连通。许多入侵者第一会 Ping 一下主机，因为解决某一台运算机需要依照对方的操作系统，是 Windows 仍是

29、 Unix 。如过 TTL 值为 128 就能够够以为你的系统为 Windows 2000 。从图中能够看出， TTL 值为 128 ，说明改主机的操作系统是 Windows 2000 操作系统。表给出了一些常见操作系统的对照值。操作系统类型TTL 返回值Windows 2000128Windows NT107win9x128 or 127solaris252IRIX240AIX247Linux241 or 240修改 TTL 的值，入侵者就无法入侵电脑了。比如将操作系统的 TTL 值改成 111 ，修改主键 HKEY_LOCAL_MACHINE 的子键：SYSTEMCURRENT_CONTR

30、OLSETSERVICESTCPIPPARAMETERS新建一个双字节项。在键的名称中输入 “defaultTTL” ，然后双击改键名，选择单选框 “ 十进制 ” ，在文本框中输入 111 。设置完毕从头启动运算机，再用 Ping 指令，发觉 TTL 的值已经被改成 111 了。12 抗击 DDOS添加注册表的一些键值，能够有效的抗击 DDOS 的解决。在键值HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters 下增加响应的键及其说明如下所示。增加的键值 键值说明EnablePMTUDiscovery=dword:00000000NoNameReleaseOnDemand=dword:00000000KeepAliveTime=dword:00000000PerformRouterDiscovery=dword:00000000 大体