【正文】 22年 2月 5日 安裝 ? 使用正版可靠安裝盤(pán) ? 將系統(tǒng)安裝在 NTFS分區(qū)上 ? 系統(tǒng)和數(shù)據(jù)要分開(kāi)存放在不同的磁盤(pán) ? 最小化安裝服務(wù)（不需要 IIS等組件請(qǐng)不要安裝） ? 只安裝必需的協(xié)議 ? 安裝最新的 Service Pack 與 hotfix ? 安裝系統(tǒng)和為系統(tǒng)打補(bǔ)丁時(shí)不能連接網(wǎng)絡(luò) 操作系統(tǒng)安全 2022年 2月 5日 訪問(wèn)控制 ? 對(duì) Windows 服務(wù)器的訪問(wèn)應(yīng)該只允許授權(quán)訪問(wèn)，以及可靠用戶。 – 使用 ipsec策略實(shí)現(xiàn)訪問(wèn)控制 – 在 pcanywhere中做 IP限制 ? 系統(tǒng)資源應(yīng)該限制只允許授權(quán)用戶或是那些日常維護(hù)服務(wù)器的人員訪問(wèn) 。 ? 盡量將訪問(wèn)來(lái)源控制在最小范圍內(nèi) 。 操作系統(tǒng)安全 2022年 2月 5日 用戶和組的權(quán)限管理 ? 控制好服務(wù)器上用戶的權(quán)限，應(yīng)小心地設(shè)置目錄和文件的訪問(wèn)權(quán)限 。 ? 訪問(wèn)權(quán)限分為：讀取、寫(xiě)入、讀取及執(zhí)行、修改、列目錄、完全控制 。 ? 默認(rèn)的情況下，大多數(shù)的文件夾對(duì)所有用戶（ Everyone這個(gè)組）是完全敞開(kāi)的（ Full Control），應(yīng)根據(jù)應(yīng)用的需要進(jìn)行權(quán)限重設(shè) 。 操作系統(tǒng)安全 2022年 2月 5日 權(quán)限控制時(shí)的原則 ? 權(quán)限是累計(jì)的 – 如果一個(gè)用戶同時(shí)屬于兩個(gè)組，那么他就有了這兩個(gè)組所允許的所有權(quán)限； ? 拒絕的權(quán)限要比允許的權(quán)限高（拒絕策略會(huì)先執(zhí)行） – 若用戶屬于一個(gè)被拒絕訪問(wèn)某個(gè)資源的組 – 不管其他的權(quán)限設(shè)置給他開(kāi)放了多少權(quán)限，他也一定不能訪問(wèn)這個(gè)資源。 – 應(yīng)非常小心地使用拒絕 ? 文件權(quán)限比文件夾權(quán)限高 ? 利用用戶組來(lái)進(jìn)行權(quán)限控制 ? 僅給用戶真正需要的權(quán)限，權(quán)限最小化原則是安全的重要保障 操作系統(tǒng)安全 2022年 2月 5日 帳戶安全策略 (1) ? 重命名管理員帳號(hào) – Administrator ? 設(shè)置帳號(hào)規(guī)則保證帳號(hào)安全 – 帳戶鎖定閥值設(shè)為 30次 – 帳戶鎖定時(shí)間設(shè)為 30分鐘 – 復(fù)位帳戶鎖定計(jì)數(shù)器設(shè)為 30分鐘之后 ? 確認(rèn)密碼強(qiáng)度足夠 – 密碼的位數(shù)要符合安全規(guī)范的要求 操作系統(tǒng)安全 2022年 2月 5日 網(wǎng)絡(luò)服務(wù) ? 限制對(duì)外開(kāi)放的端口 – 只允許開(kāi)放特定端口 – 公司目前使用 IPSEC進(jìn)行 windows主機(jī)的保護(hù) ? 禁用 snmp服務(wù) ? 原則上應(yīng)禁用 Terminal Service終端服務(wù) ? 將不必要的服務(wù)設(shè)置為手動(dòng) 操作系統(tǒng)安全 2022年 2月 5日 NetBIOS的安全設(shè)置 ? 禁用 NetBIOS會(huì)話服務(wù) (139端口 )) – 禁用 TCP/IP上的 NetBIOS ? 禁用 SMB ? 禁用 445端口 – 在本地連接屬性中禁用文件和打印機(jī)共享 ? 禁止匿名連接 – HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA 中的 RestrictAnonymous = 2 操作系統(tǒng)安全 2022年 2月 5日 Windows平臺(tái)上的共享資源 ? 在 Windows平臺(tái)上，共享資源既是一個(gè)暴露信息的地方 ? 系統(tǒng)默認(rèn)共享 ? admin$ ? C$ ? D$ – 文件資源的共享 – 打印服務(wù)的共享 – IPC$也是一個(gè)共享資源 ? 關(guān)閉打開(kāi)的管理共享 – HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\LanmanServer\Parameters – 鍵值 AutoShareServer – 類型 REG_DWORD – 數(shù)據(jù) 0 操作系統(tǒng)安全 2022年 2月 5日 文件系統(tǒng)安全 (1) ? WFP（ Windows File Protection）即 Windows文件保護(hù)。 – 防止系統(tǒng)文件被不匹配的版本替換或是覆蓋 ? 微軟把 Windows 2022安裝光盤(pán)上的所有重要文件都加以保護(hù) – 包括： dll、 exe、 fon、 ocx、 sys、和 tff結(jié)尾的文件等 ? 備份在 %SYSTEMROOT%/system32/dllcache 文件夾下。 操作系統(tǒng)安全 2022年 2月 5日 文件系統(tǒng)安全 (2) ? 當(dāng) WFP監(jiān)控到這些文件被覆蓋或替換后就開(kāi)始工作 – 它會(huì)掃描有問(wèn)題的文件，若這些文件與備份文件夾內(nèi) “原裝”文件不符，WFP會(huì) 用 備份文件還原。 – 若該文件沒(méi)有做備份，系統(tǒng)會(huì)提示插入 Windows 2022的安裝光盤(pán)以復(fù)原該文件。 操作系統(tǒng)安全 2022年 2月 5日 安全日志 ? Windows的默認(rèn)安裝未打開(kāi)安全審核 ? Windows2022下 – 本地安全策略 審核策略中打開(kāi)相應(yīng)的審核 – 推薦的審核是： 賬戶管理 成功 失敗 登錄事件 成功 失敗 對(duì)象訪問(wèn) 策略更改 成功 失敗 特權(quán)使用 系統(tǒng)事件 成功 失敗 目錄服務(wù)訪問(wèn) 賬戶登錄事件 成功 失敗 過(guò)程追蹤 成功 失敗 操作系統(tǒng)安全 2022年 2月 5日 模擬試題 4 ? Windows日志文件存放在哪個(gè)目錄？ A c:\winnt\ B c:\winnt\system32\config C c:\winnt\system32 D c:\winnt\system\config 操作系統(tǒng)安全 2022年 2月 5日 主要內(nèi)容 ? Windows系統(tǒng)安全 – Windows安全特性 – Windows安全配置與管理 ? Linux系統(tǒng)安全 – Linux安全 – 加強(qiáng) Linux安全的幾點(diǎn)建議 操作系統(tǒng)安全 2022年 2月 5日 Linux口令安全 ? /etc/passwd – 由用戶名、口令、 UID 、 GID、用戶名全稱、用戶的主文件目錄、 shell 等七個(gè)域組成 – passwd字段中的第一個(gè)字符是“ *” ,則不允許登錄 – passwd文件中的口令字段使用一個(gè)“ x”來(lái)代替 – /etc/shadow存放加密后的口令 操作系統(tǒng)安全 2022年 2月 5日 用戶與 UID ? 用戶標(biāo)識(shí) UID是系統(tǒng)內(nèi)部對(duì)每個(gè)用戶的唯一標(biāo)識(shí) ? Linux通過(guò) /etc/passwd 文件實(shí)現(xiàn)用戶名 與 UID之間的映射關(guān)系 ? Linux的所有保護(hù)均以 UID為基礎(chǔ) 操作系統(tǒng)安全 2022年 2月 5日 用戶組與 GID ? Linux 將用戶分成組 ? 用戶組也有組名和組標(biāo)識(shí)符 GID ? 分組是便于以用戶組為單位實(shí)施保護(hù) ? /etc/group 文件包含一個(gè)列表，列舉每一個(gè)用戶組以及所對(duì)應(yīng)的 GID ? 記錄的各字段屬性依次定義如下： – 組名 – 口令 – 組標(biāo)識(shí)號(hào) – 用戶列表 操作系統(tǒng)安全 2022年 2月 5日 文件類型 ? 文件的類型 普通文件 d 目錄 c 字符設(shè)備 b 塊設(shè)備 l 符號(hào)連接 s 套接字文件 p 命名管道文件 ? 后 9個(gè)字符代表文件權(quán)限 – 分為 3組，每組 3位 操作系統(tǒng)安全 2022年 2月 5日 文件權(quán)限 ? 文件的授權(quán) r 允許讀 w 允許寫(xiě) x 允許執(zhí)行 (對(duì)于目錄表示進(jìn)入 ) s SUID或 SGID …… ? 三種類型的用戶： 第一組： owner 文件的擁有者 第二組： group 同組用戶 第三組： other 其它用戶 ? 改變文件的授權(quán) – chmod命令 改變?cè)S 可 方式 r=4 w=2 x=1 rwx rx r 7 5 4 –chgrp與 chown 命令 –改變文件的屬主與組名 –修改后原屬主和組員無(wú)法修改回來(lái) rwxrxrx 1 root root 2617 Mar 26 2022 check 操作系統(tǒng)安全 2022年 2月 5日 帳號(hào)的安全 ? 處理沒(méi)有口令的帳戶 ? 刪除對(duì)系統(tǒng)無(wú)用的發(fā)行商的帳戶（如 adm、 lp、 uucp、 gopher等）及其相應(yīng)的組 ? 保護(hù) ROOT帳戶 – 控制使用范圍 – 定期更改口令 – 檢查 sulog（記錄 了 su 使用情況） 操作系統(tǒng)安全 2022年 2月 5日 關(guān)閉不必要的服務(wù) ? 檢查 /etc/ /etc/services文件 – 將不需要的服務(wù)關(guān)掉（如 finger、 tftp等） ? ntsysv 操作系統(tǒng)安全 2022年 2月 5日 遠(yuǎn)程維護(hù) ? 禁用明文傳輸?shù)?tel ? 應(yīng)使用 openssh替代 tel 操作系統(tǒng)安全 2022年 2月 5日 syslog ? syslogd是一個(gè)專門(mén)用于記錄日志信息的服務(wù) ? 配置文件 /etc/ – 可以記錄本地日志，也可以記錄遠(yuǎn)程的日志信息 – 可以指定把什么樣的日志消息記錄到哪個(gè)文件中 操作系統(tǒng)安全 2022年 2月 5日 升級(jí)主要應(yīng)用 ? 及時(shí)升級(jí) ， 消除漏洞 – Kernel – Apache – Php – Tomcat – Openssh – Mysql – Qmail – Sendmail – …… 操作系統(tǒng)安全 2022年 2月 5日 查看登錄情況 ? last： 列出目前與過(guò)去登入系統(tǒng)的用戶相關(guān)信息 root pts/0 Thu Apr 6 17:20 still logged in root pts/0 Thu Apr 6 16:37 16:49 (00:12) root pts/0 Thu Apr 6 15:43 15:46 (00:02) root pts/0 Mon Apr 3 17:49 17:50 (00:01) wtmp begins Mon Apr 3 17:49:24 2022 ? lastlog： 查看用戶最后一次登錄信息的報(bào)告 root pts/0 Wed Mar 29 18:04:18 +0800 2022 heping pts/3 Mon Feb 20 12:22:54 +0800 2022 lishuqing **Never logged in** zhujun pts/0 Mon Feb 20 12:51:02 +0800 2022 xiaoqiang **Never logged in** zouwei pts/3 Sun Mar 19 13:21:53 +0800 2022 zhenglei pts/0 Sat Mar 25 22:41:40 +0800 2022 ? w： 查看當(dāng)前在線上的用戶情況 5:20pm up 10 days, 7:39, 1 user, load average: , , USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root pts/0 5:20pm w 操作系統(tǒng)安全 2022年 2月 5日 Iptables策略 ? 禁止所有的轉(zhuǎn)發(fā)數(shù)據(jù)（ FORWARD），允許所有的流出數(shù)據(jù)（ OUTPUT）； ? 具體的安全策略全部實(shí)施在流入數(shù)據(jù)上（ INPUT）； ? 允許所有在從 ； ? 允許對(duì)外交換 DNS數(shù)據(jù)， tcp/udp 53端口； ? 允許 ping和被 ping ? 允許公司 IP地址的完全訪問(wèn) ? 允許公司跳板機(jī) IP地址完全訪問(wèn) 操作系統(tǒng)安全 2022年 2月 5日 系統(tǒng)資源占用監(jiān)控 ? 異常的系統(tǒng)資源占用 – CPU資源 ? top – 磁盤(pán)資源 ? df,du –