資源描述:
《操作系統(tǒng)安全配置.doc》由會(huì)員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1����、實(shí)驗(yàn)二操作系統(tǒng)安全配置【實(shí)驗(yàn)?zāi)康摹?.掌握使用安全策略設(shè)置的方法�,了解安全策略的主要內(nèi)容和用途2.掌握用計(jì)算機(jī)管理工具管理本地用戶帳戶的方法�����,了解Windows下帳戶的命名規(guī)則和口令要求3.掌握Windows下審核策略的設(shè)置方法��,了解審核策略的制定準(zhǔn)則4.掌握Windows環(huán)境中網(wǎng)絡(luò)服務(wù)和端口的安全管理技術(shù)5.掌握Windows下IPSec策略的配置方法�,利用IPSec進(jìn)行安全傳輸【實(shí)驗(yàn)設(shè)備及環(huán)境】1.WindowsXP操作系統(tǒng)2.WindowsServer2003操作系統(tǒng)(虛擬機(jī))【實(shí)驗(yàn)導(dǎo)讀】1.安全策略設(shè)置操作系統(tǒng)的安全配置是整個(gè)
2、操作系統(tǒng)安全策略的核心����,其目的就是從系統(tǒng)根源構(gòu)筑安全防護(hù)體系,通過(guò)用戶和密碼管理��、共享設(shè)置��、端口管理和過(guò)濾�、系統(tǒng)服務(wù)管理、本地安全策略�、外部工具使用等手段,形成一整套有效的系統(tǒng)安全策略��。Windows系統(tǒng)安裝的默認(rèn)配置是不安全的����,在系統(tǒng)使用前����,應(yīng)該進(jìn)行一些設(shè)置�����,以使系統(tǒng)更安全�。通過(guò)本地安全策略可以控制:l訪問(wèn)計(jì)算機(jī)的用戶�;l授權(quán)用戶使用計(jì)算機(jī)上的哪些資源;l是否在事件日志中記錄用戶或組的操作�����。2.用戶管理在Windows中�����,用戶管理對(duì)于系統(tǒng)和組織安全性非常關(guān)鍵����,在組織內(nèi)部,應(yīng)該存在用來(lái)確定每個(gè)新用戶具有的正確權(quán)限的過(guò)程��,當(dāng)用戶離開(kāi)組織
3、時(shí)�����,應(yīng)該具有保證用戶不能再訪問(wèn)系統(tǒng)的過(guò)程����。⑴Windows用戶帳戶Windows提供三種類(lèi)型的用戶帳戶:本地用戶帳戶、域用戶帳戶和內(nèi)置用戶帳戶���。本地用戶帳戶允許用戶登錄到一臺(tái)特定的計(jì)算機(jī)上�����,從而可以訪問(wèn)該計(jì)算機(jī)上的資源�。域用戶帳戶允許用戶登錄到域中從而可以訪問(wèn)網(wǎng)絡(luò)中的資源�����。內(nèi)置用戶帳戶允許用戶執(zhí)行管理任務(wù)或者訪問(wèn)本地和網(wǎng)絡(luò)資源�。一般Administrator帳戶不能被刪除,在實(shí)際應(yīng)用時(shí)為了增加入侵難度����,可以更改Administrator帳戶名����,比如改成guestone����。⑵帳戶規(guī)則①命名規(guī)范命名規(guī)范確定域中的用戶如何被標(biāo)識(shí),命名規(guī)范可參
4�����、考表2-1表2-1命名規(guī)范規(guī)范說(shuō)明用戶登錄名必須唯一本地用戶帳號(hào)應(yīng)該在本計(jì)算機(jī)上是唯一的����。域用戶帳號(hào)的登錄名應(yīng)該在域活動(dòng)目錄中是唯一的�。最多使用20個(gè)字符Windows只識(shí)別用戶名稱的前20個(gè)字符避免使用無(wú)效字符無(wú)效字符包括:/
5、[]:�;“=,<>+*?用戶登錄名不區(qū)分大小寫(xiě)用戶登錄名稱對(duì)大小寫(xiě)不敏感表明用戶類(lèi)型在用戶登錄名前加上一個(gè)標(biāo)識(shí)來(lái)說(shuō)明用戶類(lèi)型②口令要求為了保護(hù)對(duì)計(jì)算機(jī)的訪問(wèn)��,每個(gè)用戶必須有口令�����,對(duì)于口令有以下要求:l一定為Administrator設(shè)定一個(gè)安全的口令;l使用難以猜測(cè)的口令���,例如避免使用和用戶名稱明顯相關(guān)的口令
6����、�����;l口令可以多達(dá)128個(gè)字符�,推薦使用最少8個(gè)字符的口令;l使用大寫(xiě)和小寫(xiě)���、數(shù)字和有效的非字母符號(hào)進(jìn)行結(jié)合的口令����。1.系統(tǒng)審核安全審核是Windows2000最基本的入侵檢測(cè)方法��。當(dāng)有人嘗試對(duì)系統(tǒng)進(jìn)行某種方式(如嘗試用戶密碼���,改變帳戶策略和未經(jīng)許可的文件訪問(wèn)等等)入侵的時(shí)候��,都會(huì)被安全審核記錄下來(lái)��。很多的管理員在系統(tǒng)被入侵了幾個(gè)月都不知道����,直到系統(tǒng)遭到破壞。2.網(wǎng)絡(luò)服務(wù)和端口管理Windows中有許多用不著的服務(wù)自動(dòng)處于激活狀態(tài)��,TerminalServices(終端服務(wù))和IIS(Internet信息服務(wù))等都可能給系統(tǒng)帶來(lái)安全漏洞
7��、���。為了能夠在遠(yuǎn)程方便的管理服務(wù)器��,很多機(jī)器的終端服務(wù)都是開(kāi)著的����,如果開(kāi)了���,要確認(rèn)已經(jīng)正確的配置了終端服務(wù)。有些惡意的程序也能以服務(wù)方式悄悄的運(yùn)行服務(wù)器上的終端服務(wù)��。要留意服務(wù)器上開(kāi)啟的所有服務(wù)并每天檢查�����。另外,需要把系統(tǒng)用不著的網(wǎng)絡(luò)端口也關(guān)閉�,防止黑客的攻擊。用端口掃描器掃描系統(tǒng)所開(kāi)放的端口�����,在Winntsystem32driversetcservices文件中有知名端口和服務(wù)的對(duì)照表可供參考����。如果配置一臺(tái)Web服務(wù)器,只允許TCP的80端口通過(guò)就可以了����。TCP/IP篩選器是Windows自帶的防火墻,功能比較強(qiáng)大�,可以替代防
8、火墻的部分功能�。3.IPSec策略IPsec在網(wǎng)絡(luò)層提供安全服務(wù),它能使系統(tǒng)按需選擇安全協(xié)議�,決定服務(wù)所使用的算法及放置密鑰到相應(yīng)位置。在Windows操作系統(tǒng)中內(nèi)嵌了對(duì)IPsec的支持�����,可以方便的建立主機(jī)到主機(jī)��,網(wǎng)絡(luò)到網(wǎng)絡(luò)的安全通信。IPsec適用于基于IPsec策略的通信�,可以使用IPsec策略來(lái)決定何時(shí)使用IPsec保護(hù)計(jì)算機(jī)之間的通信。創(chuàng)建IPsec策略時(shí)�����,需要配置IPsec規(guī)則(這些規(guī)則確定IPsec的行為)以及設(shè)置(設(shè)置的應(yīng)用與配置的規(guī)則無(wú)關(guān))�����。配置IPsec策略后���,必須將該策略指派給一臺(tái)計(jì)算機(jī)才能實(shí)施該策略����。雖然在一臺(tái)計(jì)
9����、算機(jī)上可以存在多個(gè)IPsec策略,但每次只能將一個(gè)IPsec策略指派給一臺(tái)計(jì)算機(jī)���。IPsec規(guī)則確定IPsec必須對(duì)哪些類(lèi)型的通信流進(jìn)行檢查;是允許通信流����、阻止通信流還是協(xié)商安全性����;如何對(duì)IPSec對(duì)等方進(jìn)行身份驗(yàn)證�;以
