计算机网络安全技术与实训第3章

第3章 操作系统的安全配置

[学习目标]

1. 理解操作系统安全的概念和安全评估准则

2. 掌握应急启动盘的制作

3. 掌握windows 操作系统中账号和权限设置

4. 掌握windows 系统和服务安全配置

5. 掌握 linux 操作系统的安全配置

本章要点

●

●

●

●

● 操作系统安全的概念和安全评估准则 应急启动盘的制作 windows 操作系统中账号和权限设置 windows 系统和服务安全配置 linux 操作系统的安全配置

随着Internet 应用的广泛深入，计算机系统的安全问题日益引起人们的高度重视。操作系统是连接计算机硬件与上层软件及用户的桥梁，它的安全性是至关重要的。操作系统对于系统安全来说好比是大楼的地基，如果没有了它，大楼就无从谈起。在计算机系统的各个层次上，硬件、操作系统、网络软件、数据库管理系统软件以及应用软件，各自在计算机安全中都肩负着重要的职责。在软件的范畴中，操作系统处在最底层，是所有其他软件的基础，它在解决安全上也起着基础性、关键性的作用，没有操作系统的安全支持，计算机软件系统的安全就缺乏了根基。因此，操作系统本身的安全就成了安全防护的头等大事。操作系统安全防护研究通常包括以下几方面内容。

(1) 操作系统本身提供的安全功能和安全服务，现代的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务，如何对操作系统本身的安全性能进行研究和开发使之符合选定的环境和需求。

(2) 对各种常见的操作系统，采取什么样的配置措施使之能够正确应付各种入侵。

(3) 如何保证操作系统本身所提供的网络服务得到安全配置。

3.1操作系统的安全问题

一般意义上，如果说一个计算机系统是安全的，那么是指该系统能够控制外部对系统信息的访问。也就是说，只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。

操作系统内的活动都可以认为是主体对计算机系统内部所有客体的一系列操作。操作系统中任何存有数据的东西都是客体，包括文件程序、内存、目录、队列、管道、进程间报文、I/O设备和物理介质等。能访问或使用客体活动的实体称为主体，一般说，用户或者代表用户进行操作的进程都是主体。主体对客体的访问策略是通过可信计算基(TCB)来实现的。可信计算基是系统安全的基础，正是基于该TCB ，通过安全策略的实施控制主体对空体的存取，达到对客体的保护。安全策略描述的是人们如何存取文件或其他信息。当安全策略被抽象成安

全模型后，人们可以通过形式货摊方法证明该模型是安全的。被证明了的模型成为人们设计系统安全部分的坐标。安全模型精确定义了安全状态的概念访问的基本模型和保证主体对客体访问的特殊规则。

一般所说的操作系统的安全通常包含两方面意思：一方面是操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等机制实现的安全；另一方面则是操作系统在使用中，通过一系列的配置，保证操作系统避免由于实现时的缺陷或是应用环境因素产生的不安全因素。只有在这两方面同时努力，才能够最大可能地建立安全的操作系统。

3．1．1计算机操作系统安全评估

1. 国际安全评价标准的发展及其联系

计算机系统安全评价标准是一种技术性法规。在信息安全这一特殊领域，如果没有这一标准，与此相关的立法、执法就会有失偏颇，最终会给国家的信息安全带来严重后果。由于信息安全产品和系统的安全评价事关国家的安全利益，因此许多国家都在充分借鉴国际标准的前提下，积极制订本国的计算机安全评价认证标准。

第一个有关信息技术安全评价的标准诞生于八十年代的美国，就是著名的“可信计算机系统评价准则”（TCSEC ，又称桔皮书）。该准则对计算机操作系统的安全性规定了不同的等级。从九十年代开始，一些国家和国际组织相继提出了新的安全评价准则。1991年，欧共体发布了“信息技术安全评价准则”（itsec ）。1993年，加拿大发布了“加拿大可信计算机产品评价准则”（CTCPEC ），CTCPEC 综合了TCSEC 和ITSEC 两个准则的优点。同年，美国在对TCSEC 进行修改补充并吸收ITSEC 优点的基础上，发布了“信息技术安全评价联邦准则”（FC ）。1993年6月，上述国家共同起草了一份通用准则（CC ），并将CC 推广为国际标准。CC 发布的目的是建立一个各国都能接受的通用的安全评价准则，国家与国家之间可以通过签订互认协议来决定相互接受的认可级别，这样能使基础性安全产品在通过CC 准则评价并得到许可进入国际市场时，不需要再作评价。此外，国际标准化组织和国际电工委也已经制订了上百项安全标准，其中包括专门针对银行业务制订的信息安全标准。国际电信联盟和欧洲计算机制造商协会也推出了许多安全标准。

2. 美国可信计算机安全评价标准（TCSEC ）

TCSEC 标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC 最初只是军用标准，后来延至民用领域。TCSEC 将计算机系统的安全划分为4个等级、8个级别。

D 类安全等级：D 类安全等级只包括D1一个级别。D1的安全等级最低。D1系统只为文件和用户提供安全保护。D1系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。

C 类安全等级：该类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力。C 类安全等级可划分为C1和C2两类。C1系统的可信任运算基础体制（trusted computing base ，tcb ）通过将用户和数据分开来达到安全的目的。在C1系统中，所有的用户以同样的灵敏度来处理数据，即用户认为C1系统中的所有文档都具有相同的机密性。C2系统比C1系统加强了可调的审慎控制。在连接到网络上时，C2系统的用户分别对各自的行为负责。C2系统通过登陆过程、安全事件和资源隔离来增强这种控制。C2系统具有C1系统中所有的安全性特征。

B 类安全等级：B 类安全等级可分为B1、B2和B3三类。B 类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。B1系统满足下列要求：系统对网络控制下的每个对象都进行灵敏度标记；系统使用灵敏度标记作为所有强迫访问控制的基础；系统在把导入的、非标记的对象放入系统前标记它们；灵敏度标记必

须准确地表示其所联系的对象的安全级别; 当系统管理员创建系统或者增加新的通信通道或I/O设备时，管理员必须指定每个通信通道和I/O设备是单级还是多级，并且管理员只能手工改变指定; 单级设备并不保持传输信息的灵敏度级别; 所有直接面向用户位置的输出（无论是虚拟的还是物理的）都必须产生标记来指示关于输出对象的灵敏度; 系统必须使用用户的口令或证明来决定用户的安全访问级别; 系统必须通过审计来记录未授权访问的企图。

B2系统必须满足B1系统的所有要求。另外，B2系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。B2系统必须满足下列要求：系统必须立即通知系统中的每一个用户所有与之相关的网络连接的改变；只有用户能够在可信任通信路径中进行初始化通信；可信任运算基础体制能够支持独立的操作者和管理员。B3系统必须符合B2系统的所有安全需求。B3系统具有很强的监视委托管理访问能力和抗干扰能力。B3系统必须设有安全管理员。B3系统应满足以下要求:除了控制对个别对象的访问外，B3必须产生一个可读的安全列表；每个被命名的对象提供对该对象没有访问权的用户列表说明;B3系统在进行任何操作前，要求用户进行身份验证；B3系统验证每个用户，同时还会发送一个取消访问的审计跟踪消息；设计者必须正确区分可信任的通信路径和其他路径；可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪；可信任的运算基础体制支持独立的安全管理。

A 类安全等级：A 系统的安全级别最高。目前，A 类安全等级只包含A1一个安全类别。A1类与B3类相似，对系统的结构和策略不作特别要求。A1系统的显著特征是，系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后，设计者必须运用核对技术来确保系统符合设计规范。A1系统必须满足下列要求：系统管理员必须从开发者那里接收到一个安全策略的正式模型; 所有的安装操作都必须由系统管理员进行；系统管理员进行的每一步安装操作都必须有正式文档。

3. 欧洲的安全评价标准（ITSEC ）

ITSEC 是欧洲多国安全评价方法的综合产物，应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从F1～F10共分10级。1～5级对应于TCSEC 的D 到A 。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。评估准则分为6级，分别是测试、配置控制和可控的分配、能访问详细设计和源码、详细的脆弱性分析、设计与源码明显对应以及设计与源码在形式上一致。

4. 加拿大的评价标准（CTCPEC ）

CTCPEC 专门针对政府需求而设计。与ITSEC 类似，该标准将安全分为功能性需求和保证性需要两部分。功能性需求共划分为四大类：机密性、完整性、可用性和可控性。每种安全需求又可以分成很多小类，来表示安全性上的差别，分级条数为0～5级。

5. 美国联邦准则（FC ）

FC 是对TCSEC 的升级，并引入了“保护轮廓”（pp ）的概念。每个轮廓都包括功能、开发保证和评价三部分。FC 充分吸取了ITSEC 和CTCPEC 的优点，在美国的政府、民间和商业领域得到广泛应用。

6. 国际通用准则（CC ）

CC 是国际标准化组织统一现有多种准则的结果，是目前最全面的评价准则。1996年6月，CC 第一版发布；1998年5月，CC 第二版发布；1999年10月CC v2.1版发布，并且成为iso 标准。CC 的主要思想和框架都取自ITSEC 和FC ，并充分突出了“保护轮廓”概念。CC 将评估过程划分为功能和保证两部分，评估等级分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7共七个等级。每一级均需评估7个功能类，分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。

3.1.2国内的安全操作系统评估

为了适应信息安全发展的需要，借鉴国际上的一系列有关标准, 我国也制定了计算机信息系统等级划分准则。我国将操作系统分成5个级别，分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。这5个级别区别见表3.1。

1) 自主访问控制

计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制(如访问控制列表) 允许命名用户以用户和(或) 用户组的身份规定并控制客体的共享；阻止非授权用户读取敏感信息，并控制访问权限扩散。自主访问控制机制根据用户指定的用户只允许由授权用户指定对客体的访问权。

2) 身份鉴别

计算机信息系统可信计算基初始执行时，首先要求用户标识自己的身份，并使用保护机制(如口令) 来鉴别用户的身份；阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识，计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信基还具备将身份标识与该用户所有可审计行为相关联的能力。

3) 数据完整性

计算机信息系统可信计算基通过自主和强制完整性策略，阻止非授权用户修改或破坏敏感信息。在网络环境中，使用完整性敏感标记来确信信息在传送中未受损。

4) 客体重用

在计算机输出信息系统可信计算基的空闲存储客体空间中，对客体初始指定、分配再分配一个主体之前，撤销该客体所含信息的所有授权。当主体获得对一个已释放的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息。

5) 审计

计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它的访问或破坏活动。可信计算基能记录在案下述事件：使用身份鉴别机制；将客体引入用户地址空间(如打开文件、程序初始化) ；删除客体；由操作员、系统管理员或(和) 系统安全管理员实施的动作以及其他与系统安全有关的事件。对于每一事件，其审计记录包括：事件的日期和时间、用户事件类型、事件是否成功。对于身份鉴别事件，审计记录包含来源(如终端标识符) ；对于客体引入用户地址空间的事件及客体删除事件，审计记录包含客体名。对不能由计算机信息系统可信计算基独立辨别的审计事件，审计机制提供审计记录接口，可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。

6) 强制访问控制

计算机信息系统可信计算基对所有主体及其所控制的客体(例如，进程、文件、段、设备)

实施强制访问控制，为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的事实依据。计算机信息系统可信计算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足：仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类，且主体安全级非等级类别包含了客体安全级中的非等级类别，主体才能写一个客体。计算机信息系统可信计算基使用身份和鉴别数据，鉴别用户的身份，并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制。

7) 标记

计算机信息系统可信计算基应维护与主体及其控制的存储客体(例如，进程、文件、段、设备) 相关的敏感标记，这些标记是实施强制访问的基础。为了输入未加安全标记的数据，计算机信息系统可信基向授权用户要求并接受这些数据的安全级别，且可由计算机信息系统可信计算基审计。

8) 隐蔽信道分析

系统开发者应彻底隐蔽存储信道，并根据实际测量或工程估算确定每一个被标识信道的最大带宽。

9) 可信路径

当连接用户时(例如，注册、更改主体安全级) ，计算机信息系统可信计算基提供它与用户之间的可信通道路径。可信路径上的通信能由该用户或计算机信息系统激活，且在逻辑上与其他路径上的通信相隔离，并能正确地加以区分。

10) 可信恢复

计算机信息系统可信计算基提供过程和机制，保证计算机信息系统失效或中断后，可以进行不损害任何安全保护性能的恢复。

该规定中，级别从低到高，每一级都将实现上一级的所有功能，并且有所增加。第1级是用户自主保护级，在该级中，计算机信息系统可信计算基通过隔离用户与数据，使用户具备自主安全保护能力。通常所说的安全操作系统，其最低级别即是第3级，日常所见的操作系统，则以第1级和第2级为主。4级以上的操作系统，与前3级有着很大的区别。4级和5级操作系统必须建立于一个明确定义的形式化安全策略模型之上。此外，还需要考虑隐蔽通道。在第4级结构化保护级中，要求将第3级系统中的自主和强制访问控制扩展到所有主体与客体。第5级访问验证保护级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问，访问监控器本身必须是抗篡改的、足够小且能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小。支持安全管理员职能；提供审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。这种系统具有高的抗渗透能力。

3．2操作系统的安全配置

操作系统安全配置主要是指操作系统访问控制权限的恰当设置、系统的及时更新以及对于攻击的防范。所谓操作系统访问控制权限的恰当设置是指利用操作系统的访问控制功能，为用户和文件系统建立恰当的访问权限控制。由于目前流行的操作系统绝大多数是用户自主级访问控制，因此对于用户和重要文件的访问权限控制是否得当，直接影响系统的安全稳定和信息的完整保密。

3．2．1 windows操作系统的安全配置

1．用户安全

（1）停掉Guest 帐号

在计算机管理的用户里面把guest 帐号停用掉，任何时候都不允许guest 帐号登陆系统。为了保险起见，最好给guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符数字，字母的长字符串，然后把它作为guest 帐号的密码拷进去。 如图3.1所示

图3.1 停用guest 用户界面

（2）限制不必要的用户数量

去掉所有的duplicate user 帐户、 测试用帐户、 共享帐号、普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。

（3）创建2个管理员用帐号

虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS ” 命令来执行一些需要特权才能作的一些工作，以方便管理。

（4）把系统administrator 帐号改名

大家都知道，windows 2000 的administrator 帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator 帐户改名可以有效的防止这一点。

图3.2 系统administrator 帐号改名界面

（5）创建一个陷阱帐号

什么是陷阱帐号? 创建一个名为” Administrator ”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些骇客忙上一段时间了，并且可以借此发现它们的入侵企图。

图3.3 创建陷阱帐号界面

（6）把共享文件的权限从”everyone ”组改成“授权用户”

“everyone ”组在win2000中意味着所有人，任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone ”组。包括打印共享，默认的属性就是“everyone ”组的。

（7）使用安全密码

一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。安全期内无法破解出来的密码就是好密码，也就是说，如果人家得到了你的密码文档，必须花43天或者更长的时间才能破解出来，而你的密码策略是42天必须改密码。设置密码时要注意密码一定要包含字母、数字和特殊字符，并且字母要区分大小写，密码的位数建议10位以上。

（8） 开启密码策略

这对系统安全非常重要，要使安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略见表3.2。

表3.2 开启密码策略

“密码必须符合复杂性要求”是要求设置的密码必须是数字和字母的组合；“密码长度最小值”是要求密码长度至少为6位；“密码最长存留期”是要求当该密码使用超过15天后，就自动要求用户修改密码；“强制密码历史”是要求当前设置的密码不能和前面5次的密码相同。设置如图2.14所示。

图3. 4 设置密码策略

（9）日常使用系统不要使用管理员用户

管理员用户只有系统在进行管理时才要使用的，日常使用计算机时，应使用属于users 组的普通用户，由于普通用户的权利比管理员用户小很多，所以可以避免不必要的风险。例如，普通用户默认对NTFS 分区上的系统目录是不可写的，而管理员用户可写。

（10）考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

2．系统安全

（1）及时为操作系统打补丁

天天利用一些安全审计工具对操作系统进行扫描，发现最新的漏洞，去微软和一些安全站点下载最新的service pack和漏洞补丁，是保障服务器长久安全的有效方法。

（2）使用NTFS 格式分区并合理规划权限

把计算机的系统分区要使用NTFS 文件系统。由于NTFS 文件系统可以设置权限，所以NTFS 文件系统要比FA T 、FA T32的文件系统安全得多。

系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限 。

系统盘\Documents and Settings目录只给Administrators 组和SYSTEM 的完全控制权限。 系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限。

系统盘\Windows\System32\cacls.exe、cmd.exe 、net.exe 、net1.exe 、ftp.exe 、 tftp.exe 、

telnet.exe 、 netstat.exe、regedit.exe 、at.exe 、attrib.exe 、 format.com 、del 文件只给 Administrators 组和SYSTEM 的完全 控制权限。

另将\System32\cmd.exe、format.com 、ftp.exe 转移到其他目录或更名。 Documents and Settings下所有些目录都设置只给adinistrators 权限。并且要一个一个目录查看，包括下面的所有子目录。

删除c:\inetpub目录

（3）运行防毒软件

杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序，要注意对所有外来文件进行杀毒，并及时更新最新的病毒库。

（4）安装防火墙软件

防火墙软件可以控制软件对于网络的访问并可以设置安全规则，可以有效地防范网络攻击和木马程序。因此计算机要安装防火墙软件并及时更新规则库。

4. 使用文件加密系统EFS

Windows 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。要给文件夹也使用EFS 而不仅仅是单个的文件。

5. 加密temp 文件夹

一些应用程序在安装和升级的时候，会把一些东西拷贝到temp 文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp 文件夹的内容。所以，给temp 文件夹加密可以给你的文件多一层保护。

3．服务安全

（1）利用安全配置工具来配置策略

开始菜单—>管理工具—>本地安全策略—> 本地策略——>审核策略 。设置如图3.5。

图3.5 本地安全策略

本地策略——>用户权限分配

关闭系统：只有Administrators 组、其它全部删除。

通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除 。 本地策略——>安全选项 （设置如下：）

交互式登陆：不显示上次的用户名 启用

网络访问：不允许SAM 帐户和共享的匿名枚举 启用

网络访问：不允许为网络身份验证储存凭证 启用

网络访问：可匿名访问的共享 全部删除

网络访问：可匿名访问的命 全部删除

网络访问：可远程访问的注册表路径 全部删除

网络访问：可远程访问的注册表路径和子路径 全部删除

帐户：重命名来宾帐户 重命名一个帐户

帐户：重命名系统管理员帐户 重命名一个帐户

（2）关闭不必要的服务

开始-运行-services.msc 如图3.6。可以通过鼠标右键修改其属性和启动或禁止。

图3.6 运行 services.msc

TCP/IP NetBIOS Helper 提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络 。

Server 支持此计算机通过网络的文件、打印、和命名管道共享 。

Computer Browser 维护网络上计算机的最新列表以及提供这个列表。

Task scheduler 允许程序在指定时间运行。

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息。

Distributed File System: 局域网管理共享文件，不需要可禁用。

Distributed linktracking client：用于局域网更新连接信息，不需要可禁用 。

Error reporting service：禁止发送错误报告。

Microsoft Serch：提供快速的单词搜索，不需要可禁用 。

NTLMSecuritysupportprovide ：telnet 服务和Microsoft Serch用的，不需要可禁用 。 PrintSpooler ：如果没有打印机可禁用。

Remote Registry：禁止远程修改注册表。

Remote Desktop Help Session Manager：禁止远程协助。

Workstation 关闭的话远程NET 命令列不出用户组。

以上是在默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

（3） 关闭不必要的端口

关闭端口意味着减少功能，在安全和功能上面需要做一些抉择。如果服务器安装在防火墙的后面，风险就会少些。但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统已开放的端口，确定系统开放的哪些服务可能引起黑客入侵。

具体方法为：右击“网上邻居”图标，执行“属性”命令，在出现的窗口中右击“本地连接”执行“属性”命令，在弹出对话框中选中“Internet 协议(TCP/IP) ”项，单击“属性”

按钮，再在弹出的对话框中单击“高级”按钮，弹出“高级TCP/IP设置”对话框，打开“选项”选项卡选中“TCP/IP筛选”项，单击“属性”按钮，弹出“TCP/IP筛选”对话框，添加需要的TCP 、UDP 协议即可，如图3.7所示。

设置完毕的端口界面如图3.8所示。

图3.7 设置IP 的高级属性 图3.8 设置TCP/IP筛选

（4）设定安全记录的访问权限

安全记录在默认情况下是没有保护的，把他设置成只有Administrator 和系统帐户才有权访问。

（5）把敏感文件存放在另外的文件服务器中

虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据(文件，数据表，项目文件等) 存放在另外一个安全的服务器中，并且经常备份它们。

（6）禁止从软盘和CD Rom启动系统

一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。

4．注册表安全配置

注册表是存储关于计算机配置信息的数据库。系统操作时不断引用注册表的信息。 注册表文件后缀为*.reg。注册表的结构如表3.3。

修改注册表可以使用注册表编辑器，启动注册表编辑器的名令是：regedit 或regedt32 如：开始--运行--regedit ，打开注册表编辑器如图3.9

图3.9 注册表编辑器

依次展 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP

右边键值中 PortNumber 改为你想用的端口号。注意使用十进制(例 10000 )

修改完毕，重新启动服务器，设置生效。通过修改注册表，让系统更强壮 。

（1）隐藏重要文件/目录可以修改注册表实现完全隐藏

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer \Advanced\Folder\Hi-dden\SHOWALL‖，鼠标右击 ―CheckedValue‖，选择修改，把数值由1改为0

（2）防止SYN 洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD 值，名为SynAttackProtect ，值为2

新建EnablePMTUDiscovery REG_DWORD 0

新建NoNameReleaseOnDemand REG_DWORD 1

新建EnableDeadGWDetect REG_DWORD 0

新建KeepAliveTime REG_DWORD 300,000

新建PerformRouterDiscovery REG_DWORD 0

新建EnableICMPRedirects REG_DWORD 0

（3）禁止响应ICMP 路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD 值，名为PerformRouterDiscovery 值为0

（4） 防止ICMP 重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

（5）不支持IGMP 协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD 值，名为IGMPLevel 值为0

（6）禁止IPC 空连接

cracker 可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat 这些都是基于空连接的，禁止空连接就好了。

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改

成‖1‖即可。

（7）更改TTL 值

cracker 可以根据ping 回的TTL 值来大致判断你的操作系统，如：

TTL=128(win2000，winxp,win2003);

TTL=64(linux);

TTL=255(unix);

在windows 中可以改变它：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters：

DefaultTTL REG_DWORD 0-0xff(0-255 十进制, 默认值128) 改成一个莫名其妙的数字如258，可以让入侵者不能据此判定使用的操作系统。

（8）删除默认共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters： AutoShareServer 类型是REG_DWORD把值改为0即可

（9）禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。可以通过修改注册表来禁止建立空连接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成‖1‖即可。

3.2.2 linux操作系统的安全配置

通过基本的安全措施，使Linux 系统变得可靠。

1、Bios Security

一定要给Bios 设置密码，以防通过在Bios 中改变启动顺序，而可以从软盘启动。这样可以阻止别人试图用特殊的启动盘启动你的系统，还可以阻止别人进入Bios 改动其中的设置（比如允许通过软盘启动等）。

2、启动安全

（1）为LILO 添加口令

[root@localhost~]# vi /etc/lilo.conf

restricted #加入这行

password= #加入这行并设置自己的密码

chmod600 /ietc/lilo.conf

然后执行命令：/sbin/lilo-V，将其写入boot sector，并使这一改动生效。

chattr+ i /etc/lilo.conf

（2）为GRUB 添加口令

启动系统后出现GRUB 的画面，按c 进入命令方式，输入命令md5crypt

grub> md5crypt

Password: ********

Encrypted: $1$5R.2$OanRg6GT.Tj3uJZzb.hye0

然后将加密的密码拷贝到/boot/grub/grub.conf中password 的一行, 如下：

…..

timeout=25

splashimage=(hd0,5)/grub/splash.xpm.gz

password --md5$1$5R.2$OanRg6GT.Tj3uJZzb.hye0

#boot=/dev/hda

….

3、删除所有的特殊账户

你应该删除所有不用的缺省用户和组账户（比如lp, sync, shutdown, halt, news, uucp, operator, games, gopher等）。

删除用户：

[root@kapil /]# userdel lp

删除组：

[root@kapil /]# groupdel lp

4、选择正确的密码

在选择正确密码之前还应作以下修改：

修改密码长度：在你安装linux 时默认的密码长度是5个字节。但这并不够，要把它设为

8。修改最短密码长度需要编辑login.defs 文件（vi /etc/login.defs），把下面这行PASS_MIN_LEN 5改为 PASS_MIN_LEN 8，login.defs 文件是login 程序的配置文件。

5、打开密码的shadow 支持功能：

你应该打开密码的shadow 功能，来对password 加密。使用―/usr/sbin/authconfig‖工具打开shadow 功能。如果你想把已有的密码和组转变为shadow 格式，可以分别使用―pwcov,grpconv‖命令。

6、root 账户

在unix 系统中root 账户是具有最高特权的。如果系统管理员在离开系统之前忘记注销root 账户，系统会自动注销。通过修改账户中―TMOUT‖参数，可以实现此功能。TMOUT 按秒计算。编辑你的profile 文件（vi /etc/profile）, 在"HISTFILESIZE="后面加入下面这行： TMOUT=3600

3600，表示60*60=3600秒，也就是1小时。这样，如果系统中登陆的用户在一个小时内都没有动作，那么系统会自动注销这个账户。你可以在个别用户的―.bashrc‖文件中添加该值，以便系统对该用户实行特殊的自动注销时间。

改变这项设置后，必须先注销用户，再用该用户登陆才能激活这个功能。

7、取消普通用户的控制台访问权限

你应该取消普通用户的控制台访问权限，比如shutdown 、reboot 、halt 等命令。

[root@kapil /]# rm -f /etc/security/console.apps/是你要注销的程序名。

8、使系统对ping 没有反应

防止你的系统对ping 请求做出反应，对于网络安全很有好处，因为没人能够ping 你的服务器并得到任何反应。TCP/IP协议本身有很多的弱点，黑客可以利用一些技术，

把传输正常数据包的通道用来偷偷地传送数据。使你的系统对ping 请求没有反应可 以把这个危险减到最小。用下面的命令：

[root@localhost~]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

恢复使用：

[root@localhost~]# echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

9、TCP_WRAPPERS

使用TCP_WRAPPERS可以使你的系统安全面对外部入侵。最好的策略就是阻止所有的主机（在"/etc/hosts.deny" 文件中加入"ALL: ALL@ALL, PARANOID" ），然后再在"/etc/hosts.allow" 文件中加入所有允许访问的主机列表。

第一步：

编辑hosts.deny 文件（vi /etc/hosts.deny），加入下面这行

# Deny access to everyone.

ALL: ALL@ALL, PARANOID

这表明除非该地址包好在允许访问的主机列表中，否则阻塞所有的服务和地址。

第二步：

编辑hosts.allow 文件（vi /etc/hosts.allow），加入允许访问的主机列表，比如：

ftp: 202.54.15.99 foo.com

202.54.15.99和 foo.com 是允许访问ftp 服务的ip 地址和主机名称。

第三步：

tcpdchk 程序是tepd wrapper设置检查程序。它用来检查你的tcp wrapper设置，并报告发现的潜在的和真实的问题。设置完后，运行下面这个命令：

[Root@kapil /]# tcpdchk

10、禁止系统信息暴露

当有人远程登陆时，禁止显示系统欢迎信息。你可以通过修改―/etc/inetd.conf‖文件来达到这个目的。

把/etc/inetd.conf文件下面这行：

telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd

修改为：

telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd –h

在最后加―-h‖可以使当有人登陆时只显示一个login:提示，而不显示系统欢迎信息。

11、修改―/etc/host.conf‖文件

―/etc/host.conf‖说明了如何解析地址。编辑―/etc/host.conf‖文件（vi /etc/host.conf），加入下面这行：

# Lookup names via DNS first then fall back to /etc/hosts.

order bind,hosts

# We have machines with multiple IP addresses.

multi on

# Check for IP address spoofing.

nospoof on

第一项设置首先通过DNS 解析IP 地址，然后通过hosts 文件解析。第二项设置检测是否―/etc/hosts‖文件中的主机是否拥有多个IP 地址（比如有多个以太口网卡）。第三项设置说明要注意对本机未经许可的电子欺骗。

12、使―/etc/services‖文件免疫

使―/etc/services‖文件免疫，防止未经许可的删除或添加服务：

[root@kapil /]# chattr +i /etc/services

13、不允许从不同的控制台进行root 登陆

"/etc/securetty"文件允许你定义root 用户可以从那个TTY 设备登陆。你可以编辑"/etc/securetty"文件，再不需要登陆的TTY 设备前添加―#‖标志，来禁止从该TTY 设备进行root 登陆。

14、禁止任何人通过su 命令改变为root 用户

su(Substitute User替代用户) 命令允许你成为系统中其他已存在的用户。如果你不希望任何人通过su 命令改变为root 用户或对某些用户限制使用su 命令，你可以在su 配置文件（在"/etc/pam.d/"目录下）的开头添加下面两行：

编辑su 文件(vi /etc/pam.d/su)，在开头添加下面两行：

auth sufficient /lib/security/pam_rootok.so debug

auth required /lib/security/Pam_wheel.so group=wheel

这表明只有"wheel" 组的成员可以使用su 命令成为root 用户。你可以把用户添加到―wheel‖组，以使它可以使用su 命令成为root 用户。

15、Shell logging

Bash shell 在―~/.bash_history‖（―~/‖表示用户目录）文件中保存了500条使用过的命令，这样可以使你输入使用过的长命令变得容易。每个在系统中拥有账号的用户在他的目录下都有一个―.bash_history‖文件。bash shell应该保存少量的命令，并且在每次用户注销时都把这些历史命令删除。

第一步：

―/etc/profile‖文件中的―HISTFILESIZE‖和―HISTSIZE‖行确定所有用户的―.bash_history‖文件中可以保 存的旧命令条数。强烈建议把把―/etc/profile‖文件中的―HISTFILESIZE‖和―HISTSIZE‖行的值设为一个较小的数，比如 30。编辑profile 文件（vi /etc/profile），把下面这行改为：

HISTFILESIZE=30

HISTSIZE=30

这表示每个用户的―.bash_history‖文件只可以保存30条旧命令。

第二步：

网管还应该在"/etc/skel/.bash_logout" 文件中添加下面这行"rm -f $HOME/.bash_history" 。这样，当用户每次注销时，―.bash_history‖文件都会被删除。

编辑.bash_logout文件(vi /etc/skel/.bash_logout) ，添加下面这行：

rm -f $HOME/.bash_history

16、禁止Control-Alt-Delete 键盘关闭命令

在"/etc/inittab" 文件中注释掉下面这行（使用#）：

ca::ctrlaltdel:/sbin/shutdown -t3 -r now

改为：

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

为了使这项改动起作用，输入下面这个命令：

[root@kapil /]# /sbin/init q

17、给"/etc/rc.d/init.d" 下script 文件设置权限

给执行或关闭启动时执行的程序的script 文件设置权限。

[root@kapil/]# chmod -R 700 /etc/rc.d/init.d/*

这表示只有root 才允许读、写、执行该目录下的script 文件。

18、隐藏系统信息

在缺省情况下，当你登陆到linux 系统，它会告诉你该linux 发行版的名称、版本、内核版本、服务器的名称。对于黑客来说这些信息足够它入侵你的系统了。你应该只给它显示一个―login:‖提示符。

第一步：

编辑"/etc/rc.d/rc.local" 文件，在下面显示的这些行前加一个―#‖，把输出信息的命令注释掉。

# This will overwrite /etc/issue at every boot. So, make any changes you

# want to make to /etc/issue here or you will lose them when you reboot.

#echo "" > /etc/issue

#echo "$R" >> /etc/issue

#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue

#

#cp -f /etc/issue /etc/issue.net

#echo >> /etc/issue

第二步：

删除"/etc"目录下的―isue.net‖和"issue" 文件：

[root@kapil /]# rm -f /etc/issue

[root@kapil /]# rm -f /etc/issue.net

19、禁止不使用的SUID/SGID程序

如果一个程序被设置成了SUID root，那么普通用户就可以以root 身份来运行这个程序。网管应尽可能的少使用SUID/SGID 程序，禁止所有不必要的SUID/SGID程序。

查找root-owned 程序中使用's' 位的程序：

[root@kapil]# find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -lg {} \;

用下面命令禁止选中的带有's' 位的程序：

[root@kapil /]# chmod a-s [program]

根据上面这些安全设置后，系统管理员就会拥有一个基本安全的系统。上面这些工作有些是个持续的过程，网管要不断进行这些工作，以保持系统的安全性。

20、备份重要的文件

很多木马、蠕虫和后门都会用替换重要文件的办法隐藏自己，将最重要和常用的命令备份是好习惯。准备一套只读介质，光盘或者优盘，甚至放到网上下载都可以。总之是在必要时使用原始的命令而不是系统中可能被感染的命令。需要注意备份的如下：

/bin/su

/bin/ps

/bin/rpm

/usr/bin/top

/sbin/ifconfig

/bin/mount

3.3 安全配置实验

3.3.1 windows应急启动工具光盘的制作

1. 实训目的和内容

(1) 了解操作系统启动过程。

(2) 掌握windows 应急启动工具光盘的制作

2. 实训步骤

(1)准备常用的制作应急启动工具光盘的工具软件

1）安装

UltraISO9.0

图3.10 UltraISO9.0主界面

2) 安装EasyBoot.

图3.11 EasyBoot 主界面

3）可以从网上下载一些常用工具磁盘映象文件，可以省去自己制作img 文件的繁琐过程。本实验利用网络上或其他工具盘中提供的img 文件进行制作，关于自己制作磁盘映象的方法请同学们作为课外作业自学。

准备如下磁盘映像文件

Dos98通用工具盘映像 dos98.img

CDlinux 映像文件 cdlinux.img

Winxpe 光盘映像文件 winpebootcd.iso

如下图：

图3.12 准备的映像文件界面

4）安装虚拟机软件vmware 或V irtualPC 进行iso 工具盘映像文件的测试。

（2）利用EasyBoot 制作工具盘映像文件。

运行ezb4_cn.exe,缺省安装目录为C:\EasyBoot，用户也可以选择其它目录进行安装。 本实验中，假定用户安装在缺省目录下。

安装程序自动建立以下目录：

C:\EasyBoot\disk1 启动光盘系统文件目录

C:\EasyBoot\disk1\ezboot 启动 菜单文件目录

C:\EasyBoot\iso 输出ISO 文件目录

1）文件准备

i. 将Dos98通用工具盘映像dos98.img 、CDlinux 映像文件cdlinux.img 两个磁盘映像文件拷贝至C:\EasyBoot\disk1\ezboot。

ii ．利用UltraISO9.0软件将winpebootcd.iso 中的所有目录和文件提取到C:\EasyBoot\disk1。同时保存光盘引导文件至C:\EasyBoot\disk1\ezboot，并命名为winpe.bin 。

图3.13 UltraISO9.0提取文件和目录界面

iii ．建立Easyboot 菜单条如下图所示：

图3.14 建立Easyboot 菜单条

其中各菜单条运行的命令为：

"DOS工具大全" run DOS98.img

―CDlinux 工具盘‖ run cdlinux.img

"WINPE工具盘" run winpe.bin

"从硬盘启动" boot 80

ix. 利用Easyboot 文件页签保存菜单文件，其他配制选项使用默认设置。并制作iso 映像文件。

（3）利用虚拟机进行测试，如图。通过测试各菜单选项能够正常运行。

图3.15 虚拟机测试界面

3. 实训小结

通过本实验，同学们基本能够掌握利用Easyboot 制作简单的工具盘。但对于一些linux 的工具盘如cdlinux 光盘版的加入，使用Easyboot 软件就不适合了。建议同学们课外学习grub 引导工具的使用，做出一张dos 工具、WINPE 工具和光盘linux 工具合一的复杂工具盘。下面

是笔者利用grub 制作的复杂工具盘的启动界面。

图3.16 利用grub 制作的光盘启动界面

3.3.2 windows应急启动工具U 盘的制作

1. 实训目的和内容

(1) 了解操作系统启动过程。

(2) 掌握windows 应急启动工具U 盘的制作

2. 实训步骤

(1)准备常用的制作应急启动工具U 盘的工具软件

1）安装WinImage 软件。如图3.17所示：

图3.17 WinImage 界面

2）可以从网上下载一些常用工具磁盘映象文件，可以省去自己制作img 文件的繁琐过程。本实验利用网络上或其他工具盘中提供的img 文件进行制作，关于自己制作磁盘映象的方法请同学们作为课外作业自学。

准备如下磁盘映像文件

Dos98通用工具盘映像 dos98.img

(2)使用WinImage 软件打开Dos98通用工具盘映像 dos98.img ，如图3.18所示：

图3.18 WinImage 打开dos98.img 界面

(3)插入可移动磁盘，注意，可移动磁盘的容量应大于映像文件的容量。单击WinImage 的磁盘菜单，选中“使用可移动磁盘”，如图

图3.18 WinImage 利用磁盘写入界面

(4)单击WinImage 的磁盘菜单，单击“写入磁盘”，等待写入完成，U 盘启动盘制作完成。

(5)设置BIOS 的第一启动顺序为usb 启动，插入U 盘，即可利用U 盘启动盘进行系统的维护。

3.3.3 使用ipsec 限制Web 服务器通信

1. 实训目的和内容

(1) 掌握ipsec 的基本应用

(2) 掌握ipsec 对通信端口的过滤

2. 实训步骤

一、创建筛选操作

（1） 启动“本地安全策略” Microsoft 管理控制台 (MMC) 管理单元。

（2）右键单击“IP 安全策略，在本地机器”，然后单击“管理 IP 筛选器列表和筛选操作”。

（3） 单击“管理筛选操作”选项卡。

（4）单击“添加”创建一个新的筛选操作，然后单击“下一步”，跳过介绍性向导对话框。

（5） 输入“MyPermit ”作为新筛选操作的名称。该筛选操作用于允许通信。

（6）单击“下一步”。

（7）选择“允许”，单击“下一步”，然后单击“完成”。

（8）重复步骤 4 至 8，创建另一个称为“MyBlock ”的筛选操作。这一次，当“筛选操作”对话框提示您的时候，选择“阻止”。

（9） 单击“关闭”，关闭“管理 IP 筛选器列表和筛选操作”对话框。

二、创建 IP 筛选器和筛选器列表

（1）右键单击“IP 安全策略，在本地机器”，然后单击“管理 IP 筛选器列表和筛选操作”。

（2）单击“添加”以添加一个新的 IP 筛选器列表，然后输入“MatchAllTraffic ”作为筛选器列表名称。

（3）单击“添加”以创建一个新的筛选器，然后通过选择默认选项继续完成“IP 筛选器向导”对话框。该操作将创建一个匹配所有通信的筛选器。

（4）单击“关闭”以关闭“IP 筛选器列表”对话框。

（5）单击“添加”以创建一个新的 IP 筛选器列表，然后输入“MatchHTTPAndHTTPS ”作为筛选器列表名称。

（6）单击“添加”，然后单击“下一步”跳过简介向导对话框。

（7）从“源地址”下拉列表中选择“任何 IP 地址”，然后单击“下一步”。

（8）从“目标地址”下拉列表中选择“我的 IP 地址”，然后单击“下一步”。

（9）从“选择协议类型”下拉列表中选择“TCP ”，然后单击“下一步”。

（10） 选择“到此端口”，然后指定端口 80。

（11） 单击“下一步”，然后单击“完成”。

（12）单击“添加”，然后重复步骤 9 至 14，创建另一个允许通过端口 443 进行通信的筛选器。

完成这些步骤后，您的“IP 筛选器列表”应当如同图 3.19 所示。

图 3.19 “IP 筛选器列表”对话框

创建筛选操作和筛选器列表之后，需要创建一个策略和两个规则，以便将筛选器与筛选操作关联起来。

三、创建并应用 IPSec 策略

（1）在“本地安全策略”管理单元的主窗口中，右键单击“IP 安全策略，在本地机器”，然后单击“创建 IP 安全策略”。

（2）单击“下一步”跳过最初的向导对话框。

（3）输入“MyPolicy ”作为 IPSec 策略名称，输入“Web 服务器的 IPSec 策略，该服务器接受任何一方与其 TCP/80 和 TCP/443 端口的通信”作为说明，然后单击“下一步”。

（4）清除“激活默认响应规则”复选框，单击“下一步”，然后单击“完成”。

显示“MyPolicy 属性”对话框，这样您就可以编辑策略属性。

（5）单击“添加”以启动“安全规则向导”，然后单击“下一步”跳过简介对话框。

（6）选择“此规则不指定隧道”，然后单击“下一步”。

（7）选择“所有网络连接”，然后单击“下一步”。

（8）选择“Windows 2000 默认值 (Kerberos V5 协议) ”，然后单击“下一步”。

（9）选择“MatchHTTPAndHTTPS ”筛选器列表，然后单击“下一步”。

（10）选择“MyPermit ”筛选操作，单击“下一步”，然后单击“完成”。

（11）重复步骤 5 至 10，创建另一个规则。选择“MatchAllTraffic ”和“MyBlock ”，而不是选择“MatchHTTPAndHTTPS ”和“MyPermit ”。

创建第二个规则后，“MyPolicy 属性”对话框应如图3.20中所示。

图3.20 “MyPolicy 属性”对话框

现在即可使用 IPSec 策略。要激活该策略，请右键单击“MyPolicy ”，然后单击“分配”。

四、小结

在前面的三个过程中，您执行了这些操作：

（1）首先创建了两个筛选操作：一个允许通信，另一个阻止通信。

（2）接着，创建了两个 IP 筛选器列表。称为“MatchAllTraffic ”的列表匹配所有通信（无论是哪个端口）。称为“MatchHTTPAndHTTPS ”的列表包含两个筛选器，这两个筛选器匹配从任何源地址到 80 号和 443 号 TCP 端口 TCP 通信。

（3）然后通过创建一个规则将“MyBlock ”筛选操作与“MatchAllTraffic ”筛选器列表、“MyPermit ”筛选操作与“MatchHTTPAndHTTPS ”筛选器列表关联起来，从而创建了一个 IPSec 策略。该操作的结果是 Web 服务器仅允许到端口 80 或端口 443 的 TCP 通信。其他所有通信都被拒绝。

3.3.4 windows审核策略的配置

1. 实训目的和内容

(1) 掌握系统常见的系统安全配置。

(2) 掌握windows 审核策略的配置。

2. 实训步骤

（1）审核策略的设置

为运行Windows 2000 以上的计算机设置审核策略，需要运行管理工具中的本地安全策略工具进行设置。具体设置步骤如下：

在―开始‖菜单上选择―程序‖→―管理工具‖→―本地安全策略‖。如果在―开始‖菜单中找不到―管理工具‖程序组，则进入―控制面板‖，打开―管理工具‖程序组，选择―本地安全策略‖。（如果在―开始‖菜单的设置中没有选择―显示管理工具‖。则―管理工具‖不会出现在―开始‖菜单中）；

在―本地安全策略‖窗口的控制台目录树中，单击―本地策略‖，然后选择―审核策略‖； 选中要审核的事件，在操作菜单中选择―安全性‖，或是双击所选择的审核事件；

在策略设置窗口中，选择―成功‖复选框或―失败‖复选框，或是将二者全部选中。如图所示：

图3.21 ― 本地安全策略‖界面

审核策略设置完成后，需要重新启动计算机才能生效。

（2）对文件和文件夹访问的审核

对文件和文件夹访问的审核，首先要求审核的对象必须位于NTFS 分区之上，其次必须为对象

访问事件设置审核策略。符合以上条件，就可以对特定的文件或文件夹进行审核，并且对哪些用户或组指定哪些类型的访问进行审核。

设置的步骤如下：

在所选择的文件或文件夹的属性窗口的―安全‖页面上，点击―高级‖按钮；

在―审核‖页面上，点击―添加‖按钮，选择想对文件或文件夹访问进行审核的用户，单击―确定‖；

图3.22 ― 审核项目‖界面

在―审核项目‖对话框中，为想要审核的事件选择―成功‖或是―失败‖复选框，选择完成后确定。

图3.23 ― 高级安全设置‖界面

返回到―访问控制设置‖对话框。默认情况下，对父文件夹所做的审核更改将应用于其所包含子文件夹和文件。如果不想将父文件夹所进行的审核更改应用到当前所选择的文件或文件夹，清空检查框―允许将来自父系的可继承审核项目传播给该对象‖即可。

确认并返回。

（3）对打印机访问的审核

对打印机访问进行审核，要求必须为对象访问事件设置审核策略。满足这个条件就能够对特定的打印机进行审核，并能够审核指定的访问类型以及审核拥有访问权限的用户。审核步骤如下：

在选择的打印机的属性窗口，选择―安全‖页面，点击―高级‖按钮。

在―审核‖页面，点击―添加‖按钮，选择想对打印机访问进行审核的用户或组，点击―确定‖。

图3.24 打印机的项目审核

在项目审核窗口中，在―应用到‖下拉列表中选择审核应用的目标；在―访问‖列表中为审核的事件选择―成功‖或―失败‖检查框。设置完成后，点击―确定‖。

（4）对注册表的审核

经常会遇到一些情况，就是木马可能会修改了我们的注册表，然后偷偷进来干坏事，但是往往没法知道究竟是不是被改过。对于特别关键的注册表项目，比如杀毒软件本身的一些配置，当无法确认注册表由于什么情况被更改的时候，其实可以通过确认开启系统审核来确认。

点选‖开始‖-―运行‖，输入regedit ，进入需要审核的相关的键值，如：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]就是要监督的注册表内容

鼠标右键点选“权限”，选择“高级”，点击“审核”页签，点击“添加”按钮，可以添加“everyone ”的审核，如图所示：

图3.25 注册表的项目审核

添加审核后，在对注册表位置

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]的所有操作就会纪录在日志中了。

（5）审核结果的查看和维护

设置了审核策略和审核事件后，审核所产生的结果都被记录到安全日志中，安全日志记录了审核策略监控的事件成功或失败执行的信息。使用事件查看器可以查看安全日志的内容或是在日志中查找指定事件的详细信息。

1）打开―开始‖菜单，指向―程序‖→―管理工具‖→―事件查看器‖。如果―开始‖菜单中没有―管理工具‖，则进入控制面板，打开―管理工具‖，运行―事件查看器‖。

2）在事件查看器窗口的控制台树选择―安全日志‖。在右边的窗格显示日志条目的列表，以及每一条目的摘要信息，包括日期、事件、来源、分类、事件、用户和计算机名。成功的事件前显示一钥匙图标，而失败的事件则显示锁的图标。

图3.26 时间查看器

3）如果想查看某一条目的详细信息，双击选择的条目；或是选择一条目后，点击―操作‖菜单的―属性‖项。

4）如果要查看某一指定类型的事件，或某一时间段发生的事件，或某一用户的事件，就需要运用事件查看器的查找功能。具体操作如下：

确认控制树中当前选定的项目是―安全日志‖，点击查看菜单的―查找‖项。

在查找窗口中，选择或输入相应的条件，点击―查找下一个‖按钮，符合条件的事件就会在事件查看器的事件列表窗格中反显出来。

5）如果想在事件查看器的事件列表窗格中只列出符合相应条件的事件，这时要用到筛选功能。具体操作如下：

确认控制树中当前选定的项目是―安全日志‖，点击―查看‖→―筛选‖。

在―筛选器‖页面中，选择或输入相应的条件后，点击―确定‖按钮，符合条件的事件就会在事件查看器的事件列表窗格中显示出来。

6）随着审核事件的不断增加，安全日志文件的大小也不断增加。日志文件的大小可以从64KB 到4GB ，默认情况下是512KB 。如何更改日志文件的大小，或当日志文件达到了所设定的大小时，自动进行那些操作呢？所有这些都可以通过更改日志文件的属性来实现。在事件查看器的控制树选中―安全日志‖项，点击―操作‖菜单的―属性‖项，进入安全日志的属性窗口，在―常规‖标签页面上，可以对日志文件的大小进行设置；对于日志文件达到最大尺寸时，用户根据需要可以有以下三种选择：改写事件；改写久于设定天数的事件和不改写事件。

在Windows 系统中使用审核策略，虽然不能对用户的访问进行控制，但是管理员根据审核结果及时查看安全日志，可以了解系统在哪些方面存在安全隐患以及系统资源的使用情况，从而采取相应的措施将系统的不安全因素减到最低限度，从而营造一个更加安全可靠的系统平台。

本章小结

本章主要介绍了网络操作系统的安全问题。首先介绍了网络操作系统的有关知识，并分析了国内和国外安全操作系统的评估标准。然后介绍了Windows 的安全配置、linux 的安全配置，同时通过几个实验说明系统如何配置才能更安全。

思考与练习

1．什么是操作系统的安全，主要研究什么内容。

2．简述操作系统账号密码的重要性，有几种方法可能保护密码不被破解或者盗取。

3．简述审核策略、密码策略和账户策略的含义，以及这些策略如何保护操作系统不被入侵。

4．如何关闭不需要的端口和服务？

5．完成本章所有的配置操作。

6．以报告的形式编写Windows 2003的安全配置方案。

7．自己做一张多功能的系统启动光盘。

第3章 操作系统的安全配置

[学习目标]

1. 理解操作系统安全的概念和安全评估准则

2. 掌握应急启动盘的制作

3. 掌握windows 操作系统中账号和权限设置

4. 掌握windows 系统和服务安全配置

5. 掌握 linux 操作系统的安全配置

本章要点

●

●

●

●

● 操作系统安全的概念和安全评估准则 应急启动盘的制作 windows 操作系统中账号和权限设置 windows 系统和服务安全配置 linux 操作系统的安全配置

随着Internet 应用的广泛深入，计算机系统的安全问题日益引起人们的高度重视。操作系统是连接计算机硬件与上层软件及用户的桥梁，它的安全性是至关重要的。操作系统对于系统安全来说好比是大楼的地基，如果没有了它，大楼就无从谈起。在计算机系统的各个层次上，硬件、操作系统、网络软件、数据库管理系统软件以及应用软件，各自在计算机安全中都肩负着重要的职责。在软件的范畴中，操作系统处在最底层，是所有其他软件的基础，它在解决安全上也起着基础性、关键性的作用，没有操作系统的安全支持，计算机软件系统的安全就缺乏了根基。因此，操作系统本身的安全就成了安全防护的头等大事。操作系统安全防护研究通常包括以下几方面内容。

(1) 操作系统本身提供的安全功能和安全服务，现代的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务，如何对操作系统本身的安全性能进行研究和开发使之符合选定的环境和需求。

(2) 对各种常见的操作系统，采取什么样的配置措施使之能够正确应付各种入侵。

(3) 如何保证操作系统本身所提供的网络服务得到安全配置。

3.1操作系统的安全问题

一般意义上，如果说一个计算机系统是安全的，那么是指该系统能够控制外部对系统信息的访问。也就是说，只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。

操作系统内的活动都可以认为是主体对计算机系统内部所有客体的一系列操作。操作系统中任何存有数据的东西都是客体，包括文件程序、内存、目录、队列、管道、进程间报文、I/O设备和物理介质等。能访问或使用客体活动的实体称为主体，一般说，用户或者代表用户进行操作的进程都是主体。主体对客体的访问策略是通过可信计算基(TCB)来实现的。可信计算基是系统安全的基础，正是基于该TCB ，通过安全策略的实施控制主体对空体的存取，达到对客体的保护。安全策略描述的是人们如何存取文件或其他信息。当安全策略被抽象成安

全模型后，人们可以通过形式货摊方法证明该模型是安全的。被证明了的模型成为人们设计系统安全部分的坐标。安全模型精确定义了安全状态的概念访问的基本模型和保证主体对客体访问的特殊规则。

一般所说的操作系统的安全通常包含两方面意思：一方面是操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等机制实现的安全；另一方面则是操作系统在使用中，通过一系列的配置，保证操作系统避免由于实现时的缺陷或是应用环境因素产生的不安全因素。只有在这两方面同时努力，才能够最大可能地建立安全的操作系统。

3．1．1计算机操作系统安全评估

1. 国际安全评价标准的发展及其联系

计算机系统安全评价标准是一种技术性法规。在信息安全这一特殊领域，如果没有这一标准，与此相关的立法、执法就会有失偏颇，最终会给国家的信息安全带来严重后果。由于信息安全产品和系统的安全评价事关国家的安全利益，因此许多国家都在充分借鉴国际标准的前提下，积极制订本国的计算机安全评价认证标准。

第一个有关信息技术安全评价的标准诞生于八十年代的美国，就是著名的“可信计算机系统评价准则”（TCSEC ，又称桔皮书）。该准则对计算机操作系统的安全性规定了不同的等级。从九十年代开始，一些国家和国际组织相继提出了新的安全评价准则。1991年，欧共体发布了“信息技术安全评价准则”（itsec ）。1993年，加拿大发布了“加拿大可信计算机产品评价准则”（CTCPEC ），CTCPEC 综合了TCSEC 和ITSEC 两个准则的优点。同年，美国在对TCSEC 进行修改补充并吸收ITSEC 优点的基础上，发布了“信息技术安全评价联邦准则”（FC ）。1993年6月，上述国家共同起草了一份通用准则（CC ），并将CC 推广为国际标准。CC 发布的目的是建立一个各国都能接受的通用的安全评价准则，国家与国家之间可以通过签订互认协议来决定相互接受的认可级别，这样能使基础性安全产品在通过CC 准则评价并得到许可进入国际市场时，不需要再作评价。此外，国际标准化组织和国际电工委也已经制订了上百项安全标准，其中包括专门针对银行业务制订的信息安全标准。国际电信联盟和欧洲计算机制造商协会也推出了许多安全标准。

2. 美国可信计算机安全评价标准（TCSEC ）

TCSEC 标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC 最初只是军用标准，后来延至民用领域。TCSEC 将计算机系统的安全划分为4个等级、8个级别。

D 类安全等级：D 类安全等级只包括D1一个级别。D1的安全等级最低。D1系统只为文件和用户提供安全保护。D1系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。

C 类安全等级：该类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力。C 类安全等级可划分为C1和C2两类。C1系统的可信任运算基础体制（trusted computing base ，tcb ）通过将用户和数据分开来达到安全的目的。在C1系统中，所有的用户以同样的灵敏度来处理数据，即用户认为C1系统中的所有文档都具有相同的机密性。C2系统比C1系统加强了可调的审慎控制。在连接到网络上时，C2系统的用户分别对各自的行为负责。C2系统通过登陆过程、安全事件和资源隔离来增强这种控制。C2系统具有C1系统中所有的安全性特征。

B 类安全等级：B 类安全等级可分为B1、B2和B3三类。B 类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。B1系统满足下列要求：系统对网络控制下的每个对象都进行灵敏度标记；系统使用灵敏度标记作为所有强迫访问控制的基础；系统在把导入的、非标记的对象放入系统前标记它们；灵敏度标记必

须准确地表示其所联系的对象的安全级别; 当系统管理员创建系统或者增加新的通信通道或I/O设备时，管理员必须指定每个通信通道和I/O设备是单级还是多级，并且管理员只能手工改变指定; 单级设备并不保持传输信息的灵敏度级别; 所有直接面向用户位置的输出（无论是虚拟的还是物理的）都必须产生标记来指示关于输出对象的灵敏度; 系统必须使用用户的口令或证明来决定用户的安全访问级别; 系统必须通过审计来记录未授权访问的企图。

B2系统必须满足B1系统的所有要求。另外，B2系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。B2系统必须满足下列要求：系统必须立即通知系统中的每一个用户所有与之相关的网络连接的改变；只有用户能够在可信任通信路径中进行初始化通信；可信任运算基础体制能够支持独立的操作者和管理员。B3系统必须符合B2系统的所有安全需求。B3系统具有很强的监视委托管理访问能力和抗干扰能力。B3系统必须设有安全管理员。B3系统应满足以下要求:除了控制对个别对象的访问外，B3必须产生一个可读的安全列表；每个被命名的对象提供对该对象没有访问权的用户列表说明;B3系统在进行任何操作前，要求用户进行身份验证；B3系统验证每个用户，同时还会发送一个取消访问的审计跟踪消息；设计者必须正确区分可信任的通信路径和其他路径；可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪；可信任的运算基础体制支持独立的安全管理。

A 类安全等级：A 系统的安全级别最高。目前，A 类安全等级只包含A1一个安全类别。A1类与B3类相似，对系统的结构和策略不作特别要求。A1系统的显著特征是，系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后，设计者必须运用核对技术来确保系统符合设计规范。A1系统必须满足下列要求：系统管理员必须从开发者那里接收到一个安全策略的正式模型; 所有的安装操作都必须由系统管理员进行；系统管理员进行的每一步安装操作都必须有正式文档。

3. 欧洲的安全评价标准（ITSEC ）

ITSEC 是欧洲多国安全评价方法的综合产物，应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从F1～F10共分10级。1～5级对应于TCSEC 的D 到A 。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。评估准则分为6级，分别是测试、配置控制和可控的分配、能访问详细设计和源码、详细的脆弱性分析、设计与源码明显对应以及设计与源码在形式上一致。

4. 加拿大的评价标准（CTCPEC ）

CTCPEC 专门针对政府需求而设计。与ITSEC 类似，该标准将安全分为功能性需求和保证性需要两部分。功能性需求共划分为四大类：机密性、完整性、可用性和可控性。每种安全需求又可以分成很多小类，来表示安全性上的差别，分级条数为0～5级。

5. 美国联邦准则（FC ）

FC 是对TCSEC 的升级，并引入了“保护轮廓”（pp ）的概念。每个轮廓都包括功能、开发保证和评价三部分。FC 充分吸取了ITSEC 和CTCPEC 的优点，在美国的政府、民间和商业领域得到广泛应用。

6. 国际通用准则（CC ）

CC 是国际标准化组织统一现有多种准则的结果，是目前最全面的评价准则。1996年6月，CC 第一版发布；1998年5月，CC 第二版发布；1999年10月CC v2.1版发布，并且成为iso 标准。CC 的主要思想和框架都取自ITSEC 和FC ，并充分突出了“保护轮廓”概念。CC 将评估过程划分为功能和保证两部分，评估等级分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7共七个等级。每一级均需评估7个功能类，分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。

3.1.2国内的安全操作系统评估

为了适应信息安全发展的需要，借鉴国际上的一系列有关标准, 我国也制定了计算机信息系统等级划分准则。我国将操作系统分成5个级别，分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。这5个级别区别见表3.1。

1) 自主访问控制

计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制(如访问控制列表) 允许命名用户以用户和(或) 用户组的身份规定并控制客体的共享；阻止非授权用户读取敏感信息，并控制访问权限扩散。自主访问控制机制根据用户指定的用户只允许由授权用户指定对客体的访问权。

2) 身份鉴别

计算机信息系统可信计算基初始执行时，首先要求用户标识自己的身份，并使用保护机制(如口令) 来鉴别用户的身份；阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识，计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信基还具备将身份标识与该用户所有可审计行为相关联的能力。

3) 数据完整性

计算机信息系统可信计算基通过自主和强制完整性策略，阻止非授权用户修改或破坏敏感信息。在网络环境中，使用完整性敏感标记来确信信息在传送中未受损。

4) 客体重用

在计算机输出信息系统可信计算基的空闲存储客体空间中，对客体初始指定、分配再分配一个主体之前，撤销该客体所含信息的所有授权。当主体获得对一个已释放的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息。

5) 审计

计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它的访问或破坏活动。可信计算基能记录在案下述事件：使用身份鉴别机制；将客体引入用户地址空间(如打开文件、程序初始化) ；删除客体；由操作员、系统管理员或(和) 系统安全管理员实施的动作以及其他与系统安全有关的事件。对于每一事件，其审计记录包括：事件的日期和时间、用户事件类型、事件是否成功。对于身份鉴别事件，审计记录包含来源(如终端标识符) ；对于客体引入用户地址空间的事件及客体删除事件，审计记录包含客体名。对不能由计算机信息系统可信计算基独立辨别的审计事件，审计机制提供审计记录接口，可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。

6) 强制访问控制

计算机信息系统可信计算基对所有主体及其所控制的客体(例如，进程、文件、段、设备)

实施强制访问控制，为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的事实依据。计算机信息系统可信计算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足：仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类，且主体安全级非等级类别包含了客体安全级中的非等级类别，主体才能写一个客体。计算机信息系统可信计算基使用身份和鉴别数据，鉴别用户的身份，并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制。

7) 标记

计算机信息系统可信计算基应维护与主体及其控制的存储客体(例如，进程、文件、段、设备) 相关的敏感标记，这些标记是实施强制访问的基础。为了输入未加安全标记的数据，计算机信息系统可信基向授权用户要求并接受这些数据的安全级别，且可由计算机信息系统可信计算基审计。

8) 隐蔽信道分析

系统开发者应彻底隐蔽存储信道，并根据实际测量或工程估算确定每一个被标识信道的最大带宽。

9) 可信路径

当连接用户时(例如，注册、更改主体安全级) ，计算机信息系统可信计算基提供它与用户之间的可信通道路径。可信路径上的通信能由该用户或计算机信息系统激活，且在逻辑上与其他路径上的通信相隔离，并能正确地加以区分。

10) 可信恢复

计算机信息系统可信计算基提供过程和机制，保证计算机信息系统失效或中断后，可以进行不损害任何安全保护性能的恢复。

该规定中，级别从低到高，每一级都将实现上一级的所有功能，并且有所增加。第1级是用户自主保护级，在该级中，计算机信息系统可信计算基通过隔离用户与数据，使用户具备自主安全保护能力。通常所说的安全操作系统，其最低级别即是第3级，日常所见的操作系统，则以第1级和第2级为主。4级以上的操作系统，与前3级有着很大的区别。4级和5级操作系统必须建立于一个明确定义的形式化安全策略模型之上。此外，还需要考虑隐蔽通道。在第4级结构化保护级中，要求将第3级系统中的自主和强制访问控制扩展到所有主体与客体。第5级访问验证保护级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问，访问监控器本身必须是抗篡改的、足够小且能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小。支持安全管理员职能；提供审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。这种系统具有高的抗渗透能力。

3．2操作系统的安全配置

操作系统安全配置主要是指操作系统访问控制权限的恰当设置、系统的及时更新以及对于攻击的防范。所谓操作系统访问控制权限的恰当设置是指利用操作系统的访问控制功能，为用户和文件系统建立恰当的访问权限控制。由于目前流行的操作系统绝大多数是用户自主级访问控制，因此对于用户和重要文件的访问权限控制是否得当，直接影响系统的安全稳定和信息的完整保密。

3．2．1 windows操作系统的安全配置

1．用户安全

（1）停掉Guest 帐号

在计算机管理的用户里面把guest 帐号停用掉，任何时候都不允许guest 帐号登陆系统。为了保险起见，最好给guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符数字，字母的长字符串，然后把它作为guest 帐号的密码拷进去。 如图3.1所示

图3.1 停用guest 用户界面

（2）限制不必要的用户数量

去掉所有的duplicate user 帐户、 测试用帐户、 共享帐号、普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。

（3）创建2个管理员用帐号

虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS ” 命令来执行一些需要特权才能作的一些工作，以方便管理。

（4）把系统administrator 帐号改名

大家都知道，windows 2000 的administrator 帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator 帐户改名可以有效的防止这一点。

图3.2 系统administrator 帐号改名界面

（5）创建一个陷阱帐号

什么是陷阱帐号? 创建一个名为” Administrator ”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些骇客忙上一段时间了，并且可以借此发现它们的入侵企图。

图3.3 创建陷阱帐号界面

（6）把共享文件的权限从”everyone ”组改成“授权用户”

“everyone ”组在win2000中意味着所有人，任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone ”组。包括打印共享，默认的属性就是“everyone ”组的。

（7）使用安全密码

一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。安全期内无法破解出来的密码就是好密码，也就是说，如果人家得到了你的密码文档，必须花43天或者更长的时间才能破解出来，而你的密码策略是42天必须改密码。设置密码时要注意密码一定要包含字母、数字和特殊字符，并且字母要区分大小写，密码的位数建议10位以上。

（8） 开启密码策略

这对系统安全非常重要，要使安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略见表3.2。

表3.2 开启密码策略

“密码必须符合复杂性要求”是要求设置的密码必须是数字和字母的组合；“密码长度最小值”是要求密码长度至少为6位；“密码最长存留期”是要求当该密码使用超过15天后，就自动要求用户修改密码；“强制密码历史”是要求当前设置的密码不能和前面5次的密码相同。设置如图2.14所示。

图3. 4 设置密码策略

（9）日常使用系统不要使用管理员用户

管理员用户只有系统在进行管理时才要使用的，日常使用计算机时，应使用属于users 组的普通用户，由于普通用户的权利比管理员用户小很多，所以可以避免不必要的风险。例如，普通用户默认对NTFS 分区上的系统目录是不可写的，而管理员用户可写。

（10）考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

2．系统安全

（1）及时为操作系统打补丁

天天利用一些安全审计工具对操作系统进行扫描，发现最新的漏洞，去微软和一些安全站点下载最新的service pack和漏洞补丁，是保障服务器长久安全的有效方法。

（2）使用NTFS 格式分区并合理规划权限

把计算机的系统分区要使用NTFS 文件系统。由于NTFS 文件系统可以设置权限，所以NTFS 文件系统要比FA T 、FA T32的文件系统安全得多。

系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限 。

系统盘\Documents and Settings目录只给Administrators 组和SYSTEM 的完全控制权限。 系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限。

系统盘\Windows\System32\cacls.exe、cmd.exe 、net.exe 、net1.exe 、ftp.exe 、 tftp.exe 、

telnet.exe 、 netstat.exe、regedit.exe 、at.exe 、attrib.exe 、 format.com 、del 文件只给 Administrators 组和SYSTEM 的完全 控制权限。

另将\System32\cmd.exe、format.com 、ftp.exe 转移到其他目录或更名。 Documents and Settings下所有些目录都设置只给adinistrators 权限。并且要一个一个目录查看，包括下面的所有子目录。

删除c:\inetpub目录

（3）运行防毒软件

杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序，要注意对所有外来文件进行杀毒，并及时更新最新的病毒库。

（4）安装防火墙软件

防火墙软件可以控制软件对于网络的访问并可以设置安全规则，可以有效地防范网络攻击和木马程序。因此计算机要安装防火墙软件并及时更新规则库。

4. 使用文件加密系统EFS

Windows 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。要给文件夹也使用EFS 而不仅仅是单个的文件。

5. 加密temp 文件夹

一些应用程序在安装和升级的时候，会把一些东西拷贝到temp 文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp 文件夹的内容。所以，给temp 文件夹加密可以给你的文件多一层保护。

3．服务安全

（1）利用安全配置工具来配置策略

开始菜单—>管理工具—>本地安全策略—> 本地策略——>审核策略 。设置如图3.5。

图3.5 本地安全策略

本地策略——>用户权限分配

关闭系统：只有Administrators 组、其它全部删除。

通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除 。 本地策略——>安全选项 （设置如下：）

交互式登陆：不显示上次的用户名 启用

网络访问：不允许SAM 帐户和共享的匿名枚举 启用

网络访问：不允许为网络身份验证储存凭证 启用

网络访问：可匿名访问的共享 全部删除

网络访问：可匿名访问的命 全部删除

网络访问：可远程访问的注册表路径 全部删除

网络访问：可远程访问的注册表路径和子路径 全部删除

帐户：重命名来宾帐户 重命名一个帐户

帐户：重命名系统管理员帐户 重命名一个帐户

（2）关闭不必要的服务

开始-运行-services.msc 如图3.6。可以通过鼠标右键修改其属性和启动或禁止。

图3.6 运行 services.msc

TCP/IP NetBIOS Helper 提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络 。

Server 支持此计算机通过网络的文件、打印、和命名管道共享 。

Computer Browser 维护网络上计算机的最新列表以及提供这个列表。

Task scheduler 允许程序在指定时间运行。

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息。

Distributed File System: 局域网管理共享文件，不需要可禁用。

Distributed linktracking client：用于局域网更新连接信息，不需要可禁用 。

Error reporting service：禁止发送错误报告。

Microsoft Serch：提供快速的单词搜索，不需要可禁用 。

NTLMSecuritysupportprovide ：telnet 服务和Microsoft Serch用的，不需要可禁用 。 PrintSpooler ：如果没有打印机可禁用。

Remote Registry：禁止远程修改注册表。

Remote Desktop Help Session Manager：禁止远程协助。

Workstation 关闭的话远程NET 命令列不出用户组。

以上是在默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

（3） 关闭不必要的端口

关闭端口意味着减少功能，在安全和功能上面需要做一些抉择。如果服务器安装在防火墙的后面，风险就会少些。但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统已开放的端口，确定系统开放的哪些服务可能引起黑客入侵。

具体方法为：右击“网上邻居”图标，执行“属性”命令，在出现的窗口中右击“本地连接”执行“属性”命令，在弹出对话框中选中“Internet 协议(TCP/IP) ”项，单击“属性”

按钮，再在弹出的对话框中单击“高级”按钮，弹出“高级TCP/IP设置”对话框，打开“选项”选项卡选中“TCP/IP筛选”项，单击“属性”按钮，弹出“TCP/IP筛选”对话框，添加需要的TCP 、UDP 协议即可，如图3.7所示。

设置完毕的端口界面如图3.8所示。

图3.7 设置IP 的高级属性 图3.8 设置TCP/IP筛选

（4）设定安全记录的访问权限

安全记录在默认情况下是没有保护的，把他设置成只有Administrator 和系统帐户才有权访问。

（5）把敏感文件存放在另外的文件服务器中

虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据(文件，数据表，项目文件等) 存放在另外一个安全的服务器中，并且经常备份它们。

（6）禁止从软盘和CD Rom启动系统

一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。

4．注册表安全配置

注册表是存储关于计算机配置信息的数据库。系统操作时不断引用注册表的信息。 注册表文件后缀为*.reg。注册表的结构如表3.3。

修改注册表可以使用注册表编辑器，启动注册表编辑器的名令是：regedit 或regedt32 如：开始--运行--regedit ，打开注册表编辑器如图3.9

图3.9 注册表编辑器

依次展 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP

右边键值中 PortNumber 改为你想用的端口号。注意使用十进制(例 10000 )

修改完毕，重新启动服务器，设置生效。通过修改注册表，让系统更强壮 。

（1）隐藏重要文件/目录可以修改注册表实现完全隐藏

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer \Advanced\Folder\Hi-dden\SHOWALL‖，鼠标右击 ―CheckedValue‖，选择修改，把数值由1改为0

（2）防止SYN 洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD 值，名为SynAttackProtect ，值为2

新建EnablePMTUDiscovery REG_DWORD 0

新建NoNameReleaseOnDemand REG_DWORD 1

新建EnableDeadGWDetect REG_DWORD 0

新建KeepAliveTime REG_DWORD 300,000

新建PerformRouterDiscovery REG_DWORD 0

新建EnableICMPRedirects REG_DWORD 0

（3）禁止响应ICMP 路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD 值，名为PerformRouterDiscovery 值为0

（4） 防止ICMP 重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

（5）不支持IGMP 协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD 值，名为IGMPLevel 值为0

（6）禁止IPC 空连接

cracker 可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat 这些都是基于空连接的，禁止空连接就好了。

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改

成‖1‖即可。

（7）更改TTL 值

cracker 可以根据ping 回的TTL 值来大致判断你的操作系统，如：

TTL=128(win2000，winxp,win2003);

TTL=64(linux);

TTL=255(unix);

在windows 中可以改变它：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters：

DefaultTTL REG_DWORD 0-0xff(0-255 十进制, 默认值128) 改成一个莫名其妙的数字如258，可以让入侵者不能据此判定使用的操作系统。

（8）删除默认共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters： AutoShareServer 类型是REG_DWORD把值改为0即可

（9）禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。可以通过修改注册表来禁止建立空连接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成‖1‖即可。

3.2.2 linux操作系统的安全配置

通过基本的安全措施，使Linux 系统变得可靠。

1、Bios Security

一定要给Bios 设置密码，以防通过在Bios 中改变启动顺序，而可以从软盘启动。这样可以阻止别人试图用特殊的启动盘启动你的系统，还可以阻止别人进入Bios 改动其中的设置（比如允许通过软盘启动等）。

2、启动安全

（1）为LILO 添加口令

[root@localhost~]# vi /etc/lilo.conf

restricted #加入这行

password= #加入这行并设置自己的密码

chmod600 /ietc/lilo.conf

然后执行命令：/sbin/lilo-V，将其写入boot sector，并使这一改动生效。

chattr+ i /etc/lilo.conf

（2）为GRUB 添加口令

启动系统后出现GRUB 的画面，按c 进入命令方式，输入命令md5crypt

grub> md5crypt

Password: ********

Encrypted: $1$5R.2$OanRg6GT.Tj3uJZzb.hye0

然后将加密的密码拷贝到/boot/grub/grub.conf中password 的一行, 如下：

…..

timeout=25

splashimage=(hd0,5)/grub/splash.xpm.gz

password --md5$1$5R.2$OanRg6GT.Tj3uJZzb.hye0

#boot=/dev/hda

….

3、删除所有的特殊账户

你应该删除所有不用的缺省用户和组账户（比如lp, sync, shutdown, halt, news, uucp, operator, games, gopher等）。

删除用户：

[root@kapil /]# userdel lp

删除组：

[root@kapil /]# groupdel lp

4、选择正确的密码

在选择正确密码之前还应作以下修改：

修改密码长度：在你安装linux 时默认的密码长度是5个字节。但这并不够，要把它设为

8。修改最短密码长度需要编辑login.defs 文件（vi /etc/login.defs），把下面这行PASS_MIN_LEN 5改为 PASS_MIN_LEN 8，login.defs 文件是login 程序的配置文件。

5、打开密码的shadow 支持功能：

你应该打开密码的shadow 功能，来对password 加密。使用―/usr/sbin/authconfig‖工具打开shadow 功能。如果你想把已有的密码和组转变为shadow 格式，可以分别使用―pwcov,grpconv‖命令。

6、root 账户

在unix 系统中root 账户是具有最高特权的。如果系统管理员在离开系统之前忘记注销root 账户，系统会自动注销。通过修改账户中―TMOUT‖参数，可以实现此功能。TMOUT 按秒计算。编辑你的profile 文件（vi /etc/profile）, 在"HISTFILESIZE="后面加入下面这行： TMOUT=3600

3600，表示60*60=3600秒，也就是1小时。这样，如果系统中登陆的用户在一个小时内都没有动作，那么系统会自动注销这个账户。你可以在个别用户的―.bashrc‖文件中添加该值，以便系统对该用户实行特殊的自动注销时间。

改变这项设置后，必须先注销用户，再用该用户登陆才能激活这个功能。

7、取消普通用户的控制台访问权限

你应该取消普通用户的控制台访问权限，比如shutdown 、reboot 、halt 等命令。

[root@kapil /]# rm -f /etc/security/console.apps/是你要注销的程序名。

8、使系统对ping 没有反应

防止你的系统对ping 请求做出反应，对于网络安全很有好处，因为没人能够ping 你的服务器并得到任何反应。TCP/IP协议本身有很多的弱点，黑客可以利用一些技术，

把传输正常数据包的通道用来偷偷地传送数据。使你的系统对ping 请求没有反应可 以把这个危险减到最小。用下面的命令：

[root@localhost~]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

恢复使用：

[root@localhost~]# echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

9、TCP_WRAPPERS

使用TCP_WRAPPERS可以使你的系统安全面对外部入侵。最好的策略就是阻止所有的主机（在"/etc/hosts.deny" 文件中加入"ALL: ALL@ALL, PARANOID" ），然后再在"/etc/hosts.allow" 文件中加入所有允许访问的主机列表。

第一步：

编辑hosts.deny 文件（vi /etc/hosts.deny），加入下面这行

# Deny access to everyone.

ALL: ALL@ALL, PARANOID

这表明除非该地址包好在允许访问的主机列表中，否则阻塞所有的服务和地址。

第二步：

编辑hosts.allow 文件（vi /etc/hosts.allow），加入允许访问的主机列表，比如：

ftp: 202.54.15.99 foo.com

202.54.15.99和 foo.com 是允许访问ftp 服务的ip 地址和主机名称。

第三步：

tcpdchk 程序是tepd wrapper设置检查程序。它用来检查你的tcp wrapper设置，并报告发现的潜在的和真实的问题。设置完后，运行下面这个命令：

[Root@kapil /]# tcpdchk

10、禁止系统信息暴露

当有人远程登陆时，禁止显示系统欢迎信息。你可以通过修改―/etc/inetd.conf‖文件来达到这个目的。

把/etc/inetd.conf文件下面这行：

telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd

修改为：

telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd –h

在最后加―-h‖可以使当有人登陆时只显示一个login:提示，而不显示系统欢迎信息。

11、修改―/etc/host.conf‖文件

―/etc/host.conf‖说明了如何解析地址。编辑―/etc/host.conf‖文件（vi /etc/host.conf），加入下面这行：

# Lookup names via DNS first then fall back to /etc/hosts.

order bind,hosts

# We have machines with multiple IP addresses.

multi on

# Check for IP address spoofing.

nospoof on

第一项设置首先通过DNS 解析IP 地址，然后通过hosts 文件解析。第二项设置检测是否―/etc/hosts‖文件中的主机是否拥有多个IP 地址（比如有多个以太口网卡）。第三项设置说明要注意对本机未经许可的电子欺骗。

12、使―/etc/services‖文件免疫

使―/etc/services‖文件免疫，防止未经许可的删除或添加服务：

[root@kapil /]# chattr +i /etc/services

13、不允许从不同的控制台进行root 登陆

"/etc/securetty"文件允许你定义root 用户可以从那个TTY 设备登陆。你可以编辑"/etc/securetty"文件，再不需要登陆的TTY 设备前添加―#‖标志，来禁止从该TTY 设备进行root 登陆。

14、禁止任何人通过su 命令改变为root 用户

su(Substitute User替代用户) 命令允许你成为系统中其他已存在的用户。如果你不希望任何人通过su 命令改变为root 用户或对某些用户限制使用su 命令，你可以在su 配置文件（在"/etc/pam.d/"目录下）的开头添加下面两行：

编辑su 文件(vi /etc/pam.d/su)，在开头添加下面两行：

auth sufficient /lib/security/pam_rootok.so debug

auth required /lib/security/Pam_wheel.so group=wheel

这表明只有"wheel" 组的成员可以使用su 命令成为root 用户。你可以把用户添加到―wheel‖组，以使它可以使用su 命令成为root 用户。

15、Shell logging

Bash shell 在―~/.bash_history‖（―~/‖表示用户目录）文件中保存了500条使用过的命令，这样可以使你输入使用过的长命令变得容易。每个在系统中拥有账号的用户在他的目录下都有一个―.bash_history‖文件。bash shell应该保存少量的命令，并且在每次用户注销时都把这些历史命令删除。

第一步：

―/etc/profile‖文件中的―HISTFILESIZE‖和―HISTSIZE‖行确定所有用户的―.bash_history‖文件中可以保 存的旧命令条数。强烈建议把把―/etc/profile‖文件中的―HISTFILESIZE‖和―HISTSIZE‖行的值设为一个较小的数，比如 30。编辑profile 文件（vi /etc/profile），把下面这行改为：

HISTFILESIZE=30

HISTSIZE=30

这表示每个用户的―.bash_history‖文件只可以保存30条旧命令。

第二步：

网管还应该在"/etc/skel/.bash_logout" 文件中添加下面这行"rm -f $HOME/.bash_history" 。这样，当用户每次注销时，―.bash_history‖文件都会被删除。

编辑.bash_logout文件(vi /etc/skel/.bash_logout) ，添加下面这行：

rm -f $HOME/.bash_history

16、禁止Control-Alt-Delete 键盘关闭命令

在"/etc/inittab" 文件中注释掉下面这行（使用#）：

ca::ctrlaltdel:/sbin/shutdown -t3 -r now

改为：

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

为了使这项改动起作用，输入下面这个命令：

[root@kapil /]# /sbin/init q

17、给"/etc/rc.d/init.d" 下script 文件设置权限

给执行或关闭启动时执行的程序的script 文件设置权限。

[root@kapil/]# chmod -R 700 /etc/rc.d/init.d/*

这表示只有root 才允许读、写、执行该目录下的script 文件。

18、隐藏系统信息

在缺省情况下，当你登陆到linux 系统，它会告诉你该linux 发行版的名称、版本、内核版本、服务器的名称。对于黑客来说这些信息足够它入侵你的系统了。你应该只给它显示一个―login:‖提示符。

第一步：

编辑"/etc/rc.d/rc.local" 文件，在下面显示的这些行前加一个―#‖，把输出信息的命令注释掉。

# This will overwrite /etc/issue at every boot. So, make any changes you

# want to make to /etc/issue here or you will lose them when you reboot.

#echo "" > /etc/issue

#echo "$R" >> /etc/issue

#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue

#

#cp -f /etc/issue /etc/issue.net

#echo >> /etc/issue

第二步：

删除"/etc"目录下的―isue.net‖和"issue" 文件：

[root@kapil /]# rm -f /etc/issue

[root@kapil /]# rm -f /etc/issue.net

19、禁止不使用的SUID/SGID程序

如果一个程序被设置成了SUID root，那么普通用户就可以以root 身份来运行这个程序。网管应尽可能的少使用SUID/SGID 程序，禁止所有不必要的SUID/SGID程序。

查找root-owned 程序中使用's' 位的程序：

[root@kapil]# find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -lg {} \;

用下面命令禁止选中的带有's' 位的程序：

[root@kapil /]# chmod a-s [program]

根据上面这些安全设置后，系统管理员就会拥有一个基本安全的系统。上面这些工作有些是个持续的过程，网管要不断进行这些工作，以保持系统的安全性。

20、备份重要的文件

很多木马、蠕虫和后门都会用替换重要文件的办法隐藏自己，将最重要和常用的命令备份是好习惯。准备一套只读介质，光盘或者优盘，甚至放到网上下载都可以。总之是在必要时使用原始的命令而不是系统中可能被感染的命令。需要注意备份的如下：

/bin/su

/bin/ps

/bin/rpm

/usr/bin/top

/sbin/ifconfig

/bin/mount

3.3 安全配置实验

3.3.1 windows应急启动工具光盘的制作

1. 实训目的和内容

(1) 了解操作系统启动过程。

(2) 掌握windows 应急启动工具光盘的制作

2. 实训步骤

(1)准备常用的制作应急启动工具光盘的工具软件

1）安装

UltraISO9.0

图3.10 UltraISO9.0主界面

2) 安装EasyBoot.

图3.11 EasyBoot 主界面

3）可以从网上下载一些常用工具磁盘映象文件，可以省去自己制作img 文件的繁琐过程。本实验利用网络上或其他工具盘中提供的img 文件进行制作，关于自己制作磁盘映象的方法请同学们作为课外作业自学。

准备如下磁盘映像文件

Dos98通用工具盘映像 dos98.img

CDlinux 映像文件 cdlinux.img

Winxpe 光盘映像文件 winpebootcd.iso

如下图：

图3.12 准备的映像文件界面

4）安装虚拟机软件vmware 或V irtualPC 进行iso 工具盘映像文件的测试。

（2）利用EasyBoot 制作工具盘映像文件。

运行ezb4_cn.exe,缺省安装目录为C:\EasyBoot，用户也可以选择其它目录进行安装。 本实验中，假定用户安装在缺省目录下。

安装程序自动建立以下目录：

C:\EasyBoot\disk1 启动光盘系统文件目录

C:\EasyBoot\disk1\ezboot 启动 菜单文件目录

C:\EasyBoot\iso 输出ISO 文件目录

1）文件准备

i. 将Dos98通用工具盘映像dos98.img 、CDlinux 映像文件cdlinux.img 两个磁盘映像文件拷贝至C:\EasyBoot\disk1\ezboot。

ii ．利用UltraISO9.0软件将winpebootcd.iso 中的所有目录和文件提取到C:\EasyBoot\disk1。同时保存光盘引导文件至C:\EasyBoot\disk1\ezboot，并命名为winpe.bin 。

图3.13 UltraISO9.0提取文件和目录界面

iii ．建立Easyboot 菜单条如下图所示：

图3.14 建立Easyboot 菜单条

其中各菜单条运行的命令为：

"DOS工具大全" run DOS98.img

―CDlinux 工具盘‖ run cdlinux.img

"WINPE工具盘" run winpe.bin

"从硬盘启动" boot 80

ix. 利用Easyboot 文件页签保存菜单文件，其他配制选项使用默认设置。并制作iso 映像文件。

（3）利用虚拟机进行测试，如图。通过测试各菜单选项能够正常运行。

图3.15 虚拟机测试界面

3. 实训小结

通过本实验，同学们基本能够掌握利用Easyboot 制作简单的工具盘。但对于一些linux 的工具盘如cdlinux 光盘版的加入，使用Easyboot 软件就不适合了。建议同学们课外学习grub 引导工具的使用，做出一张dos 工具、WINPE 工具和光盘linux 工具合一的复杂工具盘。下面

是笔者利用grub 制作的复杂工具盘的启动界面。

图3.16 利用grub 制作的光盘启动界面

3.3.2 windows应急启动工具U 盘的制作

1. 实训目的和内容

(1) 了解操作系统启动过程。

(2) 掌握windows 应急启动工具U 盘的制作

2. 实训步骤

(1)准备常用的制作应急启动工具U 盘的工具软件

1）安装WinImage 软件。如图3.17所示：

图3.17 WinImage 界面

2）可以从网上下载一些常用工具磁盘映象文件，可以省去自己制作img 文件的繁琐过程。本实验利用网络上或其他工具盘中提供的img 文件进行制作，关于自己制作磁盘映象的方法请同学们作为课外作业自学。

准备如下磁盘映像文件

Dos98通用工具盘映像 dos98.img

(2)使用WinImage 软件打开Dos98通用工具盘映像 dos98.img ，如图3.18所示：

图3.18 WinImage 打开dos98.img 界面

(3)插入可移动磁盘，注意，可移动磁盘的容量应大于映像文件的容量。单击WinImage 的磁盘菜单，选中“使用可移动磁盘”，如图

图3.18 WinImage 利用磁盘写入界面

(4)单击WinImage 的磁盘菜单，单击“写入磁盘”，等待写入完成，U 盘启动盘制作完成。

(5)设置BIOS 的第一启动顺序为usb 启动，插入U 盘，即可利用U 盘启动盘进行系统的维护。

3.3.3 使用ipsec 限制Web 服务器通信

1. 实训目的和内容

(1) 掌握ipsec 的基本应用

(2) 掌握ipsec 对通信端口的过滤

2. 实训步骤

一、创建筛选操作

（1） 启动“本地安全策略” Microsoft 管理控制台 (MMC) 管理单元。

（2）右键单击“IP 安全策略，在本地机器”，然后单击“管理 IP 筛选器列表和筛选操作”。

（3） 单击“管理筛选操作”选项卡。

（4）单击“添加”创建一个新的筛选操作，然后单击“下一步”，跳过介绍性向导对话框。

（5） 输入“MyPermit ”作为新筛选操作的名称。该筛选操作用于允许通信。

（6）单击“下一步”。

（7）选择“允许”，单击“下一步”，然后单击“完成”。

（8）重复步骤 4 至 8，创建另一个称为“MyBlock ”的筛选操作。这一次，当“筛选操作”对话框提示您的时候，选择“阻止”。

（9） 单击“关闭”，关闭“管理 IP 筛选器列表和筛选操作”对话框。

二、创建 IP 筛选器和筛选器列表

（1）右键单击“IP 安全策略，在本地机器”，然后单击“管理 IP 筛选器列表和筛选操作”。

（2）单击“添加”以添加一个新的 IP 筛选器列表，然后输入“MatchAllTraffic ”作为筛选器列表名称。

（3）单击“添加”以创建一个新的筛选器，然后通过选择默认选项继续完成“IP 筛选器向导”对话框。该操作将创建一个匹配所有通信的筛选器。

（4）单击“关闭”以关闭“IP 筛选器列表”对话框。

（5）单击“添加”以创建一个新的 IP 筛选器列表，然后输入“MatchHTTPAndHTTPS ”作为筛选器列表名称。

（6）单击“添加”，然后单击“下一步”跳过简介向导对话框。

（7）从“源地址”下拉列表中选择“任何 IP 地址”，然后单击“下一步”。

（8）从“目标地址”下拉列表中选择“我的 IP 地址”，然后单击“下一步”。

（9）从“选择协议类型”下拉列表中选择“TCP ”，然后单击“下一步”。

（10） 选择“到此端口”，然后指定端口 80。

（11） 单击“下一步”，然后单击“完成”。

（12）单击“添加”，然后重复步骤 9 至 14，创建另一个允许通过端口 443 进行通信的筛选器。

完成这些步骤后，您的“IP 筛选器列表”应当如同图 3.19 所示。

图 3.19 “IP 筛选器列表”对话框

创建筛选操作和筛选器列表之后，需要创建一个策略和两个规则，以便将筛选器与筛选操作关联起来。

三、创建并应用 IPSec 策略

（1）在“本地安全策略”管理单元的主窗口中，右键单击“IP 安全策略，在本地机器”，然后单击“创建 IP 安全策略”。

（2）单击“下一步”跳过最初的向导对话框。

（3）输入“MyPolicy ”作为 IPSec 策略名称，输入“Web 服务器的 IPSec 策略，该服务器接受任何一方与其 TCP/80 和 TCP/443 端口的通信”作为说明，然后单击“下一步”。

（4）清除“激活默认响应规则”复选框，单击“下一步”，然后单击“完成”。

显示“MyPolicy 属性”对话框，这样您就可以编辑策略属性。

（5）单击“添加”以启动“安全规则向导”，然后单击“下一步”跳过简介对话框。

（6）选择“此规则不指定隧道”，然后单击“下一步”。

（7）选择“所有网络连接”，然后单击“下一步”。

（8）选择“Windows 2000 默认值 (Kerberos V5 协议) ”，然后单击“下一步”。

（9）选择“MatchHTTPAndHTTPS ”筛选器列表，然后单击“下一步”。

（10）选择“MyPermit ”筛选操作，单击“下一步”，然后单击“完成”。

（11）重复步骤 5 至 10，创建另一个规则。选择“MatchAllTraffic ”和“MyBlock ”，而不是选择“MatchHTTPAndHTTPS ”和“MyPermit ”。

创建第二个规则后，“MyPolicy 属性”对话框应如图3.20中所示。

图3.20 “MyPolicy 属性”对话框

现在即可使用 IPSec 策略。要激活该策略，请右键单击“MyPolicy ”，然后单击“分配”。

四、小结

在前面的三个过程中，您执行了这些操作：

（1）首先创建了两个筛选操作：一个允许通信，另一个阻止通信。

（2）接着，创建了两个 IP 筛选器列表。称为“MatchAllTraffic ”的列表匹配所有通信（无论是哪个端口）。称为“MatchHTTPAndHTTPS ”的列表包含两个筛选器，这两个筛选器匹配从任何源地址到 80 号和 443 号 TCP 端口 TCP 通信。

（3）然后通过创建一个规则将“MyBlock ”筛选操作与“MatchAllTraffic ”筛选器列表、“MyPermit ”筛选操作与“MatchHTTPAndHTTPS ”筛选器列表关联起来，从而创建了一个 IPSec 策略。该操作的结果是 Web 服务器仅允许到端口 80 或端口 443 的 TCP 通信。其他所有通信都被拒绝。

3.3.4 windows审核策略的配置

1. 实训目的和内容

(1) 掌握系统常见的系统安全配置。

(2) 掌握windows 审核策略的配置。

2. 实训步骤

（1）审核策略的设置

为运行Windows 2000 以上的计算机设置审核策略，需要运行管理工具中的本地安全策略工具进行设置。具体设置步骤如下：

在―开始‖菜单上选择―程序‖→―管理工具‖→―本地安全策略‖。如果在―开始‖菜单中找不到―管理工具‖程序组，则进入―控制面板‖，打开―管理工具‖程序组，选择―本地安全策略‖。（如果在―开始‖菜单的设置中没有选择―显示管理工具‖。则―管理工具‖不会出现在―开始‖菜单中）；

在―本地安全策略‖窗口的控制台目录树中，单击―本地策略‖，然后选择―审核策略‖； 选中要审核的事件，在操作菜单中选择―安全性‖，或是双击所选择的审核事件；

在策略设置窗口中，选择―成功‖复选框或―失败‖复选框，或是将二者全部选中。如图所示：

图3.21 ― 本地安全策略‖界面

审核策略设置完成后，需要重新启动计算机才能生效。

（2）对文件和文件夹访问的审核

对文件和文件夹访问的审核，首先要求审核的对象必须位于NTFS 分区之上，其次必须为对象

访问事件设置审核策略。符合以上条件，就可以对特定的文件或文件夹进行审核，并且对哪些用户或组指定哪些类型的访问进行审核。

设置的步骤如下：

在所选择的文件或文件夹的属性窗口的―安全‖页面上，点击―高级‖按钮；

在―审核‖页面上，点击―添加‖按钮，选择想对文件或文件夹访问进行审核的用户，单击―确定‖；

图3.22 ― 审核项目‖界面

在―审核项目‖对话框中，为想要审核的事件选择―成功‖或是―失败‖复选框，选择完成后确定。

图3.23 ― 高级安全设置‖界面

返回到―访问控制设置‖对话框。默认情况下，对父文件夹所做的审核更改将应用于其所包含子文件夹和文件。如果不想将父文件夹所进行的审核更改应用到当前所选择的文件或文件夹，清空检查框―允许将来自父系的可继承审核项目传播给该对象‖即可。

确认并返回。

（3）对打印机访问的审核

对打印机访问进行审核，要求必须为对象访问事件设置审核策略。满足这个条件就能够对特定的打印机进行审核，并能够审核指定的访问类型以及审核拥有访问权限的用户。审核步骤如下：

在选择的打印机的属性窗口，选择―安全‖页面，点击―高级‖按钮。

在―审核‖页面，点击―添加‖按钮，选择想对打印机访问进行审核的用户或组，点击―确定‖。

图3.24 打印机的项目审核

在项目审核窗口中，在―应用到‖下拉列表中选择审核应用的目标；在―访问‖列表中为审核的事件选择―成功‖或―失败‖检查框。设置完成后，点击―确定‖。

（4）对注册表的审核

经常会遇到一些情况，就是木马可能会修改了我们的注册表，然后偷偷进来干坏事，但是往往没法知道究竟是不是被改过。对于特别关键的注册表项目，比如杀毒软件本身的一些配置，当无法确认注册表由于什么情况被更改的时候，其实可以通过确认开启系统审核来确认。

点选‖开始‖-―运行‖，输入regedit ，进入需要审核的相关的键值，如：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]就是要监督的注册表内容

鼠标右键点选“权限”，选择“高级”，点击“审核”页签，点击“添加”按钮，可以添加“everyone ”的审核，如图所示：

图3.25 注册表的项目审核

添加审核后，在对注册表位置

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]的所有操作就会纪录在日志中了。

（5）审核结果的查看和维护

设置了审核策略和审核事件后，审核所产生的结果都被记录到安全日志中，安全日志记录了审核策略监控的事件成功或失败执行的信息。使用事件查看器可以查看安全日志的内容或是在日志中查找指定事件的详细信息。

1）打开―开始‖菜单，指向―程序‖→―管理工具‖→―事件查看器‖。如果―开始‖菜单中没有―管理工具‖，则进入控制面板，打开―管理工具‖，运行―事件查看器‖。

2）在事件查看器窗口的控制台树选择―安全日志‖。在右边的窗格显示日志条目的列表，以及每一条目的摘要信息，包括日期、事件、来源、分类、事件、用户和计算机名。成功的事件前显示一钥匙图标，而失败的事件则显示锁的图标。

图3.26 时间查看器

3）如果想查看某一条目的详细信息，双击选择的条目；或是选择一条目后，点击―操作‖菜单的―属性‖项。

4）如果要查看某一指定类型的事件，或某一时间段发生的事件，或某一用户的事件，就需要运用事件查看器的查找功能。具体操作如下：

确认控制树中当前选定的项目是―安全日志‖，点击查看菜单的―查找‖项。

在查找窗口中，选择或输入相应的条件，点击―查找下一个‖按钮，符合条件的事件就会在事件查看器的事件列表窗格中反显出来。

5）如果想在事件查看器的事件列表窗格中只列出符合相应条件的事件，这时要用到筛选功能。具体操作如下：

确认控制树中当前选定的项目是―安全日志‖，点击―查看‖→―筛选‖。

在―筛选器‖页面中，选择或输入相应的条件后，点击―确定‖按钮，符合条件的事件就会在事件查看器的事件列表窗格中显示出来。

6）随着审核事件的不断增加，安全日志文件的大小也不断增加。日志文件的大小可以从64KB 到4GB ，默认情况下是512KB 。如何更改日志文件的大小，或当日志文件达到了所设定的大小时，自动进行那些操作呢？所有这些都可以通过更改日志文件的属性来实现。在事件查看器的控制树选中―安全日志‖项，点击―操作‖菜单的―属性‖项，进入安全日志的属性窗口，在―常规‖标签页面上，可以对日志文件的大小进行设置；对于日志文件达到最大尺寸时，用户根据需要可以有以下三种选择：改写事件；改写久于设定天数的事件和不改写事件。

在Windows 系统中使用审核策略，虽然不能对用户的访问进行控制，但是管理员根据审核结果及时查看安全日志，可以了解系统在哪些方面存在安全隐患以及系统资源的使用情况，从而采取相应的措施将系统的不安全因素减到最低限度，从而营造一个更加安全可靠的系统平台。

本章小结

本章主要介绍了网络操作系统的安全问题。首先介绍了网络操作系统的有关知识，并分析了国内和国外安全操作系统的评估标准。然后介绍了Windows 的安全配置、linux 的安全配置，同时通过几个实验说明系统如何配置才能更安全。

思考与练习

1．什么是操作系统的安全，主要研究什么内容。

2．简述操作系统账号密码的重要性，有几种方法可能保护密码不被破解或者盗取。

3．简述审核策略、密码策略和账户策略的含义，以及这些策略如何保护操作系统不被入侵。

4．如何关闭不需要的端口和服务？

5．完成本章所有的配置操作。

6．以报告的形式编写Windows 2003的安全配置方案。

7．自己做一张多功能的系统启动光盘。