【正文】 ..........241 入侵檢測(cè) ...............................................................................................................................244 其它安全設(shè)定 .......................................................................................................................246 殘留風(fēng)險(xiǎn)規(guī)避 .............................................................................................................................249第八章 實(shí)施效果和殘留風(fēng)險(xiǎn) ..................................................................................252 實(shí)施效果 .....................................................................................................................................252 殘留風(fēng)險(xiǎn) .....................................................................................................................................2529 / 259第一章 綜述隨著中國(guó)移動(dòng)通信公司互聯(lián)網(wǎng)網(wǎng)絡(luò)規(guī)模和各種業(yè)務(wù)系統(tǒng)不斷擴(kuò)大，主機(jī)系統(tǒng)安全問(wèn)題愈見(jiàn)突出?，F(xiàn)有的主機(jī)系統(tǒng)為保證業(yè)務(wù)的連續(xù)運(yùn)行，必須具有足夠的安全水平抵御網(wǎng)絡(luò)上的各種安全弱點(diǎn)探測(cè)和惡意攻擊。本文檔制定中國(guó)移動(dòng)統(tǒng)一的主機(jī)安全策略標(biāo)準(zhǔn)，以指導(dǎo)中國(guó)移動(dòng)各業(yè)務(wù)系統(tǒng)和網(wǎng)管系統(tǒng)的主機(jī)設(shè)備以及維護(hù)終端的安全配置和維護(hù)，按照“積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速反應(yīng)、確?；謴?fù)”的原則，立足于主機(jī)系統(tǒng)自身安全機(jī)制增強(qiáng)主機(jī)系統(tǒng)安全性，從而提高中國(guó)移動(dòng)的主機(jī)系統(tǒng)的總體安全水平。本主機(jī)系統(tǒng)安全策略不是一個(gè)完整的系統(tǒng)安全解決方案，而是中國(guó)移動(dòng)網(wǎng)絡(luò)主機(jī)系統(tǒng)安全體系建設(shè)的安全技術(shù)參考。本主機(jī)系統(tǒng)安全策略對(duì)中國(guó)移動(dòng)所廣泛使用的 Windows 系統(tǒng)、Unix 系統(tǒng)安全特性進(jìn)行了深入分析，僅從安全技術(shù)角度分析了中國(guó)移動(dòng)各類(lèi)主機(jī)系統(tǒng)應(yīng)用的安全現(xiàn)狀和安全風(fēng)險(xiǎn)，并在此基礎(chǔ)上闡述了針對(duì)特定系統(tǒng)、特定應(yīng)用的安全策略配置。最后針對(duì)中國(guó)移動(dòng)網(wǎng)絡(luò)主機(jī)安全需求給出了相應(yīng)的安全審計(jì)建議。全文共分為八章，第一章 綜述、第二章 Windows 主機(jī)系統(tǒng)的安全機(jī)制、第三章 Windows 主機(jī)安全配置、第四章 Unix 通用安全標(biāo)準(zhǔn)，第五章 Solaris 主機(jī)系統(tǒng)安全配置、第六章 AIX 主機(jī)系統(tǒng)安全配置，第七章 HPUnix 主機(jī)系統(tǒng)安全配置，第八章 實(shí)施效果和殘留風(fēng)險(xiǎn)，并根據(jù)各種安全風(fēng)險(xiǎn)特性進(jìn)行分類(lèi)描述。本主機(jī)系統(tǒng)安全策略可作為中國(guó)移動(dòng)通信集團(tuán)公司各種主機(jī)系統(tǒng)的加固指南，中國(guó)移動(dòng)通信集團(tuán)公司保留對(duì)此文檔的解釋權(quán)和修改權(quán)。版權(quán)聲明：未經(jīng)中國(guó)移動(dòng)書(shū)面許可，任何公司或個(gè)人不得以任何形式全部或部分的使用本安全策略的相關(guān)內(nèi)容。10 / 259 適用范圍本文檔的適用操作系統(tǒng)為Microsoft Windows 2022 Server/Advanced ServerMicrosoft Windows 2022 Server/Advanced ServerSun Solaris Sun Solaris IBM AIX IBM AIX IBM AIX HP HPUX 11i 更新要求本文檔每年必須由負(fù)責(zé)人員重新審查內(nèi)容，并按照需求修正。各操作系統(tǒng)廠商推出新版本時(shí)，亦必須重新審查內(nèi)容及修正。11 / 259第二章 Windows 系統(tǒng)通用安全標(biāo)準(zhǔn) windows 系統(tǒng)安全模型 Windows 系統(tǒng)的安全模塊是操作系統(tǒng)內(nèi)核的不可分割的一部分。由于訪問(wèn)任何系統(tǒng)資源必須經(jīng)過(guò)內(nèi)核安全模塊的驗(yàn)證，從而保證沒(méi)有得到正確的授權(quán)的用戶不能訪問(wèn)相應(yīng)資源。 用戶使用 Windows 系統(tǒng)資源，首先必須在系統(tǒng)中擁有賬號(hào)，其次，此賬號(hào)必須具有一定的“權(quán)力”和“權(quán)限” 。在 Windows 系統(tǒng)中， “權(quán)力”指用戶對(duì)整個(gè)系統(tǒng)能夠做的事情，如關(guān)閉系統(tǒng)、增加設(shè)備、更改系統(tǒng)時(shí)間等等。 “權(quán)限”指用戶對(duì)系統(tǒng)資源所能做的事情 ，如對(duì)某文件的讀、寫(xiě)控制，對(duì)打印機(jī)隊(duì)列的管理。 、Windows 系統(tǒng)使用安全帳號(hào)數(shù)據(jù)庫(kù)，存放用戶賬號(hào)以及該賬號(hào)所具有的權(quán)力等。用戶對(duì)系統(tǒng)資源所具有的權(quán)限則與特定的資源一起存放。在 Windows 系統(tǒng)中，安全模型由本地安全認(rèn)證、安全賬號(hào)管理器和安全監(jiān)督器構(gòu)成。除此之外還包括注冊(cè)、訪問(wèn)控制和對(duì)象安全服務(wù)等。它們之間的相互作用和集成構(gòu)成了安全模型的主要部分。Windows 安全模型的主要功能是用戶身份驗(yàn)證和訪問(wèn)控制。身份驗(yàn)證過(guò)程通過(guò)某種技術(shù)手段確認(rèn)用戶所提供的身份的真實(shí)性，并在確認(rèn)用戶身份的真實(shí)性后賦予用戶相應(yīng)的權(quán)利和系統(tǒng)身份標(biāo)識(shí)。訪問(wèn)控制機(jī)制利用用戶獲得的系統(tǒng)身份標(biāo)識(shí)，以及事先分配給用戶的對(duì)系統(tǒng)資源的權(quán)限來(lái)確保系統(tǒng)資源被合理的使用。用戶身份驗(yàn)證：Windows 安全子系統(tǒng)提供了兩種類(lèi)型的身份驗(yàn)證：通過(guò)控制臺(tái)交互式登錄系統(tǒng)(根據(jù)用戶的計(jì)算機(jī)的本地賬戶來(lái)確認(rèn)用戶的身份)和通過(guò)網(wǎng)絡(luò)登錄系統(tǒng)（根據(jù)域控制器中保留的域賬戶來(lái)確認(rèn)用戶的身份）從而使得用戶可以訪問(wèn)網(wǎng)絡(luò)上遠(yuǎn)程主機(jī)的資源。為保證通過(guò)網(wǎng)絡(luò)登錄系統(tǒng)的安全性，Windows 安全子系統(tǒng)提供了三種不同的身份驗(yàn)證機(jī)制：Kerberos V5（僅Windows 2022 系統(tǒng)提供） 、公鑰證書(shū)和 NTLM?；趯?duì)象的訪問(wèn)控制：Windows 采用對(duì)象模型描述系統(tǒng)資源，管理員可以通過(guò)對(duì)特定資源配置相應(yīng)的用戶訪問(wèn)權(quán)限來(lái)控制用戶對(duì)系統(tǒng)資源的訪問(wèn)。管理12 / 259員可以通過(guò)域控制器實(shí)現(xiàn)對(duì)整個(gè)域的資源的統(tǒng)一管理與控制。Windows 系統(tǒng) 通過(guò)允許管理員以對(duì)象安全描述符的方式描述具體的訪問(wèn)控制策略。安全描述符列出了允許訪問(wèn)對(duì)象的用戶和組，以及分配給這些用戶和組的特殊權(quán)限。安全描述符還指定了該對(duì)象需要安全審核特定事件，如特定用戶的讀，寫(xiě)，執(zhí)行文件。文件、打印機(jī)和服務(wù)都是對(duì)象的具體例子。通過(guò)管理對(duì)象的屬性，管理員可以設(shè)置權(quán)限，分配所有權(quán)以及監(jiān)視用戶訪問(wèn)。 用戶名和密碼Windows 系統(tǒng)的安全機(jī)制通過(guò)分配用戶帳號(hào)和用戶密碼來(lái)幫助保護(hù)計(jì)算機(jī)及其資源。給值得信任的使用者，按其使用的要求和網(wǎng)絡(luò)所能給與的服務(wù)分配合適的用戶帳號(hào)，并且使用足夠安全的帳號(hào)密碼。使用對(duì)帳號(hào)的用戶權(quán)力的限制以及對(duì)文件的訪問(wèn)管理權(quán)限的策略，可以達(dá)到對(duì)服務(wù)器的數(shù)據(jù)的保護(hù)。其中用戶帳號(hào)有用戶名、全名、描述三個(gè)部分。用戶名是用戶帳號(hào)的標(biāo)識(shí)，全名是對(duì)應(yīng)用戶名的全稱(chēng)，描述是對(duì)用戶所擁有的權(quán)限的較具體的說(shuō)明。組有組名和描述兩個(gè)部份，組名是標(biāo)識(shí)，描述是說(shuō)明。一定的用戶帳號(hào)對(duì)應(yīng)一定的權(quán)限，NT 對(duì)權(quán)限的劃分比較細(xì)，例如：備份、遠(yuǎn)程管理、更改系統(tǒng)時(shí)間等等，通過(guò)對(duì)用戶的授權(quán)（在規(guī)則菜單中）可以細(xì)化一個(gè)用戶或組的權(quán)限。用戶的帳號(hào)和密碼有一定的規(guī)則，包括帳號(hào)長(zhǎng)度，密碼的有效期，登錄失敗的鎖定，登錄的歷史記錄等等，通過(guò)對(duì)這些的綜合修改可以保證用戶帳號(hào)的安全使用。系統(tǒng)將用戶分為管理者、用戶和來(lái)賓三類(lèi)，各有其不同的權(quán)限。雙擊“我的電腦/控制面板/用戶和密碼”圖標(biāo)，打開(kāi)“用戶和密碼”對(duì)話框。系統(tǒng)在安裝完成后自動(dòng)建立 Administrator(系統(tǒng)管理員)和 Guest（來(lái)賓）用戶。你可在第一次啟動(dòng)按 Ctrl＋Alt＋Del 后選“更改密碼”更改系統(tǒng)管理員的密碼。你還可按“添加/刪除”來(lái)添加/刪除用戶或用戶組。用戶名列表上方有一個(gè)復(fù)選框“要使用本機(jī)，必須輸入用戶名和密碼” ，要使用用戶管理必須使之有效，即：選中它。 系統(tǒng)管理員對(duì)用戶和密碼的管理權(quán)限主要有：添加用戶、刪除用戶及更改用戶。系統(tǒng)會(huì)在你添加新用戶時(shí)詢(xún)問(wèn)其權(quán)限的設(shè)置。選擇“高級(jí)” 標(biāo)簽，再點(diǎn)擊“高級(jí)”按鈕，就會(huì)出現(xiàn)“本地用戶和組”管理對(duì)話框窗口，上面列出了全部用戶13 / 259和按組分類(lèi)的用戶名單。在上述界面右邊窗口中選中某個(gè)用戶，點(diǎn)右鍵，在彈出的快捷菜單中選“ 屬性”，彈出“用戶屬性”窗口，在其中可對(duì)此用戶賬號(hào)進(jìn)行是否允許修改密碼、是否停用賬號(hào)等項(xiàng)設(shè)置。注意：停用賬戶和刪除賬戶是有區(qū)別的，停用賬戶是臨時(shí)停止某個(gè)賬戶的使用，隨時(shí)可以恢復(fù)，而刪除掉的賬戶必須重建后才能使用。另外，Windows 系統(tǒng)支持工作組概念，可以方便的給一組用戶授予特權(quán)和權(quán)限，同時(shí)一個(gè)用戶同時(shí)屬于一個(gè)或多個(gè)工作組。方便了對(duì)用戶權(quán)限的細(xì)化。在 Windows 系統(tǒng)中有兩種類(lèi)型的工作組：全局工作組和本地工作組。本地工作組只能在本地的系統(tǒng)或域內(nèi)使用。全局工作組可以在系統(tǒng)中相互信任的域中使用。Win2022 的默認(rèn)安裝允許所有用戶通過(guò)空用戶名和空密碼得到系統(tǒng)所有賬號(hào)和共享列表，這本來(lái)是為了方便局域網(wǎng)用戶共享資源和文件的，但是，同時(shí)任何一個(gè)遠(yuǎn)程用戶也可以通過(guò)同樣的方法得到你的用戶列表，并可能使用暴力法破解用戶密碼給整個(gè)網(wǎng)絡(luò)帶來(lái)破壞，這是整個(gè)網(wǎng)絡(luò)中的最大不安全因素之一 域和委托以 Windows 系統(tǒng)組建的網(wǎng)絡(luò)是一個(gè)局域網(wǎng)范圍的網(wǎng)。所謂“域”是指網(wǎng)絡(luò)服務(wù)器和其它計(jì)算機(jī)的邏輯分組，凡是在共享域范圍內(nèi)的用戶都使用公共的安全機(jī)制和用戶帳號(hào)信息。每個(gè)用戶有一個(gè)帳號(hào)，每次登錄的是整個(gè)域，而不是某一個(gè)服務(wù)器。即使在物理上相隔較遠(yuǎn)，但在邏輯上可以在一個(gè)域上，域的集中化用戶帳號(hào)數(shù)據(jù)庫(kù)和安全策略使得系統(tǒng)管理員可以用一個(gè)簡(jiǎn)單而有效的方法維護(hù)整個(gè)網(wǎng)絡(luò)的安全。在網(wǎng)絡(luò)環(huán)境下，使用域的管理就顯得更為有效。這里我們應(yīng)該注意到在 NT 中，關(guān)于域的所用的安全機(jī)制信息或用戶帳號(hào)信息都存放在目錄數(shù)據(jù)庫(kù)中（稱(chēng)為安全帳號(hào)管理器（SAM）數(shù)據(jù)庫(kù)） 。目錄數(shù)據(jù)庫(kù)存放在服務(wù)器中，并且復(fù)制到備份服務(wù)器中。通過(guò)有規(guī)律的同步處理，可以保證數(shù)據(jù)庫(kù)的安全性、有效性。在用戶每次登錄時(shí)，通過(guò)目錄數(shù)據(jù)庫(kù)檢查用戶的帳號(hào)和密碼。所以在對(duì) NT 進(jìn)行維護(hù)時(shí)應(yīng)該特別小心目錄數(shù)據(jù)庫(kù)的完整性，一般來(lái)講只有管理員才具有對(duì)此的編輯權(quán)限?！　∮虻淖畲蟮膬?yōu)點(diǎn)是域中的控制器服務(wù)器形成了共享的安全機(jī)制和用戶帳號(hào)14 / 259信息的單個(gè)管理單元，大大地節(jié)省了管理員和用戶的精力和時(shí)間，在管理上較方便，也顯得集中。在使用“域”的劃分時(shí)，我們應(yīng)該注意到“域”是建立在一個(gè)子網(wǎng)范圍內(nèi)，其基礎(chǔ)是相互之間的信任度。由 NT 組網(wǎng)區(qū)別于一般的TCP/IP 的組網(wǎng)，TCP/IP 是一種較松散的組網(wǎng)型式，靠路由器完成子網(wǎng)之間的尋徑通訊；而 NT 組網(wǎng)是一種緊密的聯(lián)合，服務(wù)器之間是靠安全信任建立他們的聯(lián)系的。主從關(guān)系，委托關(guān)系是建立在信任度上的。委托是一種管理辦法，它將多個(gè)域連接在一起，并且允許域中的用戶互相訪問(wèn)。委托關(guān)系可使用戶帳號(hào)和工作組能夠在建立它們的域之外的域中使用。委托關(guān)系只能是被定義為單向的，為了獲得雙向委托關(guān)系，域和域之間必須相互委托。 活動(dòng)目錄活動(dòng)目錄的概念A(yù)ctive Directory 是用于 Windows 2022 Server 的目錄服務(wù)。它存儲(chǔ)著網(wǎng)絡(luò)上各種對(duì)象的有關(guān)信息，并使該信息易于管理員和用戶查找及使用。Active Directory 目錄服務(wù)使用結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)作為目錄信息的邏輯層次結(jié)構(gòu)的基礎(chǔ)。Active Directory 的優(yōu)點(diǎn)：信息安全性 、基于策略的管理 、可擴(kuò)展性 、可伸縮性 、信息的復(fù)制 、與 DNS 集成 、與其它目錄服務(wù)的互操作性、靈活的查詢(xún)?！　∮蛴蛱峁┝硕囗?xiàng)優(yōu)點(diǎn)：? 組織對(duì)象。? 發(fā)布有關(guān)域?qū)ο蟮馁Y源和信息。? 將組策略對(duì)象應(yīng)用到域可加強(qiáng)資源和安全性管理。? 委派授權(quán)使用戶不再需要大量的具有廣泛管理權(quán)利的管理員。 要?jiǎng)?chuàng)建域，用戶必須將一個(gè)或更多的運(yùn)行 Windows 2022 Server 的計(jì)算機(jī)升級(jí)為域控制器。域控制器為網(wǎng)絡(luò)用戶和計(jì)算機(jī)提供 Active Directory 目錄服務(wù)、存儲(chǔ)目錄數(shù)據(jù)并管理用戶和域之間的交互作用，包括用戶登錄過(guò)程、驗(yàn)證和目錄搜索。每個(gè)域至少必須包含一個(gè)域控制器。　　域樹(shù)和域林15 / 259　　活動(dòng)目錄中的每個(gè)域利用 DNS 域名加以標(biāo)識(shí)，并且需要一個(gè)或多個(gè)域控制器。如果用戶的網(wǎng)絡(luò)需要一個(gè)以上的域，則用戶可以創(chuàng)建多個(gè)域。共享相同的公用架構(gòu)和全局目錄的一個(gè)或多個(gè)域稱(chēng)為域林。如果樹(shù)林中的多個(gè)域有連續(xù)的 DNS 域名，則該結(jié)構(gòu)稱(chēng)為域樹(shù)。 如果相關(guān)域樹(shù)共享相同的 Active Directory 架構(gòu)以及目錄配置和復(fù)制信息，但不共享連續(xù)的 DNS 名稱(chēng)空間，則稱(chēng)之為域林?！　∮驑?shù)和域林的組合為用戶提供了靈活的域命名選項(xiàng)。連續(xù)和非連續(xù)的 DNS 名稱(chēng)空間都可加入到用戶的目錄中。 域和帳戶命名　　Active Directory 域名通常是該域的完整 DNS 名稱(chēng)。但是，為確保向下兼容，每個(gè)域還有一個(gè) Windows 2022 以前版本的名稱(chēng)，以便在運(yùn)行 Windows 2022 以前版本的操作系統(tǒng)的計(jì)算機(jī)上使用。用戶帳戶　　在 Active Directory 中，每個(gè)用戶帳戶都有一個(gè)用戶登錄名、一個(gè) Windows 2022 以前版本的用戶登錄名（安全帳戶管理器的帳戶名）和一個(gè)用戶主要名稱(chēng)后綴。在創(chuàng)建用戶帳戶時(shí)，