第7章操作系统安全技术

寒水教研

《网络安全》教案（第7章）

第7章 操作系统安全配置

目前服务器常用的操作系统有四类： Unix、Linux、Nnetware、Windows NT/2000/2003 Server/XP。其中，微软公司的产品Windows占据了软件市场的半壁江山。比如Windows2000以它强大的功能、人性化的界面、超强的兼容性受到了世界上大部分用户的表睐。但是就是这样一款优秀的操作系统，却成了网络中最容易被攻击、最脆弱的一个操作系统。原因有以下几点：

1.用户数量庞大

2.系统的普及性和易用性

3.安全意识

通过上面分析，应该清楚任何操作系统都会存在漏洞，这一点必须要了解，只有了解这一点，才能有意识的采取相应的措施，使操作系统更加安全。操作系统的安全将决定网络的安全，从保护级别上分成安全初级篇、中级篇、高级篇，共66条基本配置原则。这一章我们将从这三个方面来介绍如何思考？如何配置？

7.1安全配置方案初级篇

安全配置方案初级篇主要介绍常规的操作系统安全配置，包括十二条基本配置原则：

物理安全、停止Guest帐号、限制用户数量

创建多个管理员帐号、管理员帐号改名

陷阱帐号、更改默认权限、设置安全密码

屏幕保护密码、使用NTFS分区

运行防毒软件和确保备份盘安全。

7.1.1物理安全

服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑。钥匙要放在安全的地方。

7.1.2 停止guest帐户

要进入计算机，首先要知道：第一，开机密码；第二用户登录密码，如Guest、adminstrator等都是系统内置的用户名，很容易了解到。

系统级用户应该是具有最高权限的用户，一般adminstrator具有此权限。

Guest供来宾访问计算机或访问域的内置帐户。是系统自动创建的。通常没有设置密码。这样任何一个来访者都可以以这个用户身份进入计算机系统。因此，应在计算机管理的用户里面把Guest帐号停用，任何时候都不允许Guest帐号登录系统。为保险起见，最好给Guest加一个复杂的密码，可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，用它作为Guest帐号的密码。并且修改Guest帐号的属性，设置拒绝远程访问。（有录像）

7.1.3 限制用户数量

去掉所有的测试帐户、共享帐号和普通部门帐号等等，用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。

7.1.4 多个管理帐号

虽然这点看上去和上面有些矛盾，但事实上是服从上面规则的。创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物，另一个拥有Administrator权限的帐户只在需要的时候使用。

寒水教研

7.1.5管理员帐号改名

Windows 2000中的Administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。

7.1.6陷阱帐号

所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。

这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组。

7.1.7 安全密码

好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。

7.1.8 更改默认权限

共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows 2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。

任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享，默认的属性就是

“Everyone”组的，一定不要忘了改。

7.1.9 屏幕保护密码

设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用太复杂的屏幕保护程序，浪费系统资源，黑屏就可以了。

7.1.10 NTFS分区

Windows9X使用FAT分区，它没有提供对本地文件的安全保护。WindowsNT/2000的文件系统在设计时提供了对本地文件的安全保护（文件属性中增加了安全选项设置，可设置其访问控制属性）。但要使用这一功能，需要将FAT分区转换为NTFS分区。NTFS文件系统要比FAT、FAT32的文件系统安全得多。

7.1.11 备份盘的安全

一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘放在安全的地方。不能把资料备份在同一台服务器上，这样的话还不如不要备份。

7.2 安全配置方案中级篇

安全配置方案中级篇主要介绍操作系统的安全策略配置，包括十条基本配置原则：

–操作系统安全策略、关闭不必要的服务

–关闭不必要的端口、开启审核策略

–开启密码策略、开启帐户策略、备份敏感文件

–不显示上次登陆名、禁止建立空连接和下载最新的补丁

7.2.1 操作系统安全策略

利用Windows 2000的安全配置工具来配置安全策略，微软提供了一套的基于管理控制台的安全配置和分析工具，可以配置服务器的安全策略。在管理工具中可以找到“本地安全策略”。可以配置四类安全策略：帐户策略、本地策略、公钥策略和IP安全策略 …… 此处隐藏：3813字，全部文档内容请下载后查看。喜欢就下载吧 ……