操作系统安全配置（PPT87页)

项目一操作系统安全配置与测试《网络安全技术应用》胡志齐主编单元学习目标能力目标具备对Windows服务器操作系统进行安全策略配置的能力具备对Windows服务器进行端口和服务安全加固的能力具备安全配置Web服务器的能力具备利用MBSA扫描系统漏洞并查看报告的能力具备利用微软WSUS服务器为客户端分发和安装系统补丁的能力知识目标了解Windows服务器操作系统的安全策略掌握Windows服务器操作系统安全策略的配置方法掌握安全配置Web服务器的方法掌握服务和端口安全了解系统漏洞的概念掌握使用MBSA检测系统漏洞的方法掌握企业操作系统补丁更新的方法情感态度价值观培养认真细致的工作态度逐步形成网络安全的主动防御意识单元学习内容计算机系统安全是网络安全的基础。目前，Windows操作系统是应用最多的计算机操作系统之一，市场占有率始终维持在90%左右。常用的Windows服务器操作系统包括Windows2003和WindowsServer2008。任何安全措施都无法保证万无一失，而强有力的安全措施可以增加入侵的难度，从一定程度上提升系统的安全性。通常情况下，用户安装操作系统后便投入使用是非常危险的。要想使服务器在复杂的环境下平稳运行，必须进行安全加固。本章将以Windows2003系统为例进行安全加固，保证系统安全运行。主要内容任务2网络服务安全配置任务3检查与防护漏洞任务4操作系统补丁更新服务器配置任务1Windows系统基本安全设置任务1WINDOWS系统基本安全设置活动一设置本地安全策略活动二关闭不必要的服务和端口任务分析活动1设置本地安全策略【任务描述】齐威公司新购置了几台计算机准备作为服务器，小齐给它们安装了比较流行的Windows2003服务器操作系统，而且安装的时候选择的是默认安装。但由于是服务器，对公司来说非常重要，来不得半点马虎，于是在默认安装结束后，小齐决定对系统进行安全加固。【任务分析】小齐利用网络查找资料了解到，利用WindowsServer2003的安全配置工具来配置安全策略，微软提供了一套基于管理控制台的安全配置和分析工具，可以配置服务器的安全策略，在管理工具中可以找到“本地安全设置”配置5类安全策略：账户策略、本地策略、公钥策略、软件限制策略和IP安全策略。小齐决定先进行账户策略的设置。活动1设置本地安全策略【任务实战】（1）选择“开始”→“所有程序”→“管理工具”→“本地安全策略”，显示“本地安全设置”窗口，如图1-1所示。图1-1“本地安全设置”窗口活动1设置本地安全策略（2）开启账户策略。开启账户策略就可以有效防止字典式攻击，设置如下。①单击“账户策略”左边的，展开“账户策略”项，看到“密码策略”与“账户锁定策略”两项。②选择“账户锁定策略”，在窗口的右边将出现“复位账户锁定计数器”、“账户锁定时间”、“账户锁定阈值”3项，如图1-2所示。图1-2“账户锁定策略”选项活动1设置本地安全策略③选择“账户锁定阈值”，单击鼠标右键，选择“属性”，打开“账户锁定阈值属性”对话框，如图1-3所示。④在对话框中选择需要设置的登录次数，超过该次数后就会锁定该登录账户，以防止非授权用户的无限次尝试登录。其余项目设置与此相同。图1-3“账户锁定阈值属性”对话框活动1设置本地安全策略（3）开启密码策略。密码对系统安全非常重要。本地安全设置中的密码策略在默认情况下都没有开启。①选择“密码策略”，在窗口右边窗格中显示策略具体项，如图1-4所示。图1-4“本地安全设置-密码策略”选项活动1设置本地安全策略②以“密码长度最小值”的设置为例，说明密码策略的设置。选择“密码长度最小值”，单击鼠标右键，选择“属性”，打开“密码长度最小值属性”对话框，如图1-5所示。③在“密码必须至少是”文本框中选择要规定的字符个数，然后单击“应用”按钮，再单击“确定”按钮。这样就设置了密码策略的长度项，其余项的设置与此相同。图1-5“密码长度最小值属性”对话框活动1设置本地安全策略（4）开启审核策略。安全审核是WindowsServer2003最基本的入侵检测的方法。当有人尝试对系统进行某种方式（如尝试用户密码、改变账户策略和未经许可的文件访问等）入侵时，都会被安全审核记录下来。①选择“审核策略”，在窗口右边窗格中显示审核策略具体项，如图1-6所示。图1-6“审核策略”列表框②以“审核策略更改”的设置为例说明审核策略的设置。选择“审核策略更改”，并单击鼠标右键，选择“属性”，打开“审核策略更改属性”对话框。活动1设置本地安全策略（5）不显示上次登录名。默认情况下，终端服务接入服务器时候，登录对话框中会显示上次登录的账户名，本地的登录对话框也是一样。黑客们可以得到系统的一些用户，进而猜测密码。通过修改注册表可以禁止显示上次登录名，方法是在HKEY_LOCAL_MACHINE主键下修改子键SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，将键值修改为“1”。（6）禁止建立空连接。默认情况下，任何用户可以通过空连接进入服务器，进而枚举出账号，猜测密码。可以通过修改注册表来禁止建立空连接，方法是在HKEY_LOCAL_MACHINE主键下修改子键System\CurrentControlSet\Control\LSA\RestrictAnonymous，将键值改为“1”。活动1设置本地安全策略【任务描述】小齐已经把服务器进行了密码策略的加固，而且安装上了杀毒软件，小齐得意地认为这样就可以万无一失了。可是服务器运行一段时间后，小齐发现服务器还是遭受到了多次的黑客入侵和网络病毒的侵袭，这是怎么回事呢？【任务分析】小齐通过访问微软的官方网站了解到，黑客的入侵和网络病毒的感染都是通过服务器的端口进行的，而Windows系统在默认情况下，有些没有用的端口和服务是开启的，这就给黑客和病毒有了可乘之机，小齐决定现在就把那些没有用的端口和服务关闭。活动2关闭不必要的服务和端口【任务实战】1．关闭不必要的端口（1）查看端口。主要有两种方式：利用系统内部的命令查看使用第三方软件查看。（2）关闭端口（四个步骤）。(1)查看端口Netstat工具可以显示有关统计信息和当前TCP/IP网络连接的情况，通过该工具，用户或网络管理人员可以得到非常详细的统计结果，当网络中没有安装特殊的网管软件，但要对整个网络的使用状况做详细的了解时，Netstat就非常有用。它可以用来获得系统网络连接的信息（使用端口和在使用的协议等）、收到和发出的数据、被连接的远程系统的端口等。在命令行状态下，输入以下命令并按Enter键：netstat-a，结果如图1-7所示。图1-7Netstat-a参数使用情况ForeignAddress：指连接该端口的远程计算机的名称和端口号；State：表明当前计算机TCP的连接状态。主要状态有LISTENING、TIMEWAITESTABLISHED、。其中LISTENING表示监听状态，表明主机正在对打开的端口进行监听，等待远程计算机的连接，这比较危险，有可能会被病毒或者黑客作为入侵系统的端口；ESTABLISHED表示已经建立起的连接，表明两台主机之间正在通过TCP进行通信；TIMEWAIT表示这次连接结束，表明端口曾经有过访问，但现在访问结束。另外，UDP端口不需要监听。-n这个参数基本上是-a参数的数字形式，它是用数字的形式显示信息，这个参数用于检测自己的IP，也有些人则因为更喜欢用数字的形式显示主机名而使用该参数。-e参数显示静态的网卡数据统计情况，如图1-8所示。图1-8Netstat-e参数使用-p参数用来显示特定的协议所在的端口信息，它的格式为“netstat–pxxx”。其中xxx可以是UDP、IP、ICMP或TCP，如图1-9所示。图1-9Netstat-p参数使用-s参数显示在默认的情况下每个协议的配置统计，默认情况下包括TCP、IP、UDP、ICMP等协议，如图1-10所示。Netstat的-a、-n两个参数同时使用时，可以用来查看系统端口状态，列出系统正在开放的端口号及其状态，如图1-11所示。图1-10Netstat-e-s参数的综合应用图1-11Netstat-na参数的综合使用Netstat的-a、-n、-b3个参数同时使用时，可用来查看系统端口状态，显示每个连接是由哪些程序创建的，如图1-12所示。图1-12Netstat-nab参数的综合使用步骤1选择“开始”→“设置”→“控制面板”→“管理工具”，双击打开“本地安全策略”，选择“IP安全策略，在本地计算机”，如图1-13所示。图1-13“本地安全设置”窗口(2)关闭端口（四个步骤）在右边窗格的空白位置右击，弹出快捷菜单，选择“创建IP安全策略”，于是弹出一个向导。在向导中单击“下一步”按钮。为新的安全策略命名为“关闭端口”，如图1-14所示。图1-14“IP安全策略名称”对话框单击“下一步”按钮，则打开“安全通信请求”对话框（图1-15），在对话框上取消选中“激活默认相应规则”，单击“完成”按钮就创建了一个新的IP安全策略。图1-15“安全通信请求”对话框步骤2右击该IP安全策略，选择“属性”在打开的“关闭端口属性”对话框中（图1-16），取消选中“使用添加向导”，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框（图1-17），其中显示“IP筛选器列表”选项卡。图1-16“关闭端口属性”对话框图1-17“新规则属性”对话框在图1-17中单击“添加”按钮，弹出“IP筛选器列表”对话框，如图1-18所示。在列表中，首先取消选中“使用添加向导”，然后再单击右边的“添加”按钮添加新的筛选器。图1-18“IP筛选器列表”对话框步骤3进入“筛选器属性”对话框，首先看到的是“地址”选项卡（图1-19），源地址选择“任何IP地址”，目标地址选择“我的IP地址”。选择“协议”选项卡，在“选择协议类型”下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，单击“确定”按钮，如图1-20所示。这样就添加了一个屏蔽TCP135（RPC）端口的筛选器，它可以防止外界通过135端口进入你的计算机。单击“确定”按钮后回到筛选器列表的对话框，可以看到已经添加了一条策略。重复以上步骤继续添加TCP137、139、445、593端口和UDP135、139、445端口，为它们建立相应的筛选器。重复以上步骤添加TCP1025、2745、3127、6129、3389端口的屏蔽策略，建立好上述端口的筛选器，最后单击“确定”按钮。图1-19“IP筛选器属性”对话框图1-20“协议”选项卡步骤4在“编辑规则属性”对话框中，选择“新IP筛选器列表”，然后选中其左边单选按钮，表示已经激活，最后选择“筛选器操作”选项卡，如图1-21所示。图1-21“编辑规则属性”对话框在“筛选器操作”选项卡中，取消选中“使用添加向导”，单击“添加”按钮（图1-22），添加“阻止”操作（图1-23）：在打开的“需要安全属性”对话框的“安全措施”选项卡中，选择“阻止”，然后单击“确定”按钮。图1-22“筛选器操作”选项卡图1-23“安全措施”选项卡步骤5进入“新规则属性”对话框，选择“新筛选器操作列表”，其左边的圆圈会加了一个点，表示已经激活，单击“关闭”按钮，关闭对话框；最后回到“新规则属性”对话框，选中“新IP筛选器列表”（图1-24）左边的单选按钮，激活选项，单击“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的IP安全策略，然后选择“指派”。图1-24“IP筛选器列表”选项卡重新启动后，计算机中上述网络端口就被关闭，病毒和黑客再也不能连上这些端口。活动2关闭不必要的服务和端口【任务实战】2．关闭不必要的服务在Windows操作系统中，默认开启的服务很多，但并非所有的服务都是操作系统运行必须的，而禁止所有不必要的服务可以节省内存和