【正文】 ..........241 入侵檢測 ...............................................................................................................................244 其它安全設(shè)定 .......................................................................................................................246 殘留風(fēng)險規(guī)避 .............................................................................................................................249第八章 實施效果和殘留風(fēng)險 ..................................................................................252 實施效果 .....................................................................................................................................252 殘留風(fēng)險 .....................................................................................................................................2529 / 259第一章 綜述隨著中國移動通信公司互聯(lián)網(wǎng)網(wǎng)絡(luò)規(guī)模和各種業(yè)務(wù)系統(tǒng)不斷擴(kuò)大，主機(jī)系統(tǒng)安全問題愈見突出?，F(xiàn)有的主機(jī)系統(tǒng)為保證業(yè)務(wù)的連續(xù)運行，必須具有足夠的安全水平抵御網(wǎng)絡(luò)上的各種安全弱點探測和惡意攻擊。本文檔制定中國移動統(tǒng)一的主機(jī)安全策略標(biāo)準(zhǔn)，以指導(dǎo)中國移動各業(yè)務(wù)系統(tǒng)和網(wǎng)管系統(tǒng)的主機(jī)設(shè)備以及維護(hù)終端的安全配置和維護(hù)，按照“積極預(yù)防、及時發(fā)現(xiàn)、快速反應(yīng)、確?；謴?fù)”的原則，立足于主機(jī)系統(tǒng)自身安全機(jī)制增強(qiáng)主機(jī)系統(tǒng)安全性，從而提高中國移動的主機(jī)系統(tǒng)的總體安全水平。本主機(jī)系統(tǒng)安全策略不是一個完整的系統(tǒng)安全解決方案，而是中國移動網(wǎng)絡(luò)主機(jī)系統(tǒng)安全體系建設(shè)的安全技術(shù)參考。本主機(jī)系統(tǒng)安全策略對中國移動所廣泛使用的 Windows 系統(tǒng)、Unix 系統(tǒng)安全特性進(jìn)行了深入分析，僅從安全技術(shù)角度分析了中國移動各類主機(jī)系統(tǒng)應(yīng)用的安全現(xiàn)狀和安全風(fēng)險，并在此基礎(chǔ)上闡述了針對特定系統(tǒng)、特定應(yīng)用的安全策略配置。最后針對中國移動網(wǎng)絡(luò)主機(jī)安全需求給出了相應(yīng)的安全審計建議。全文共分為八章，第一章 綜述、第二章 Windows 主機(jī)系統(tǒng)的安全機(jī)制、第三章 Windows 主機(jī)安全配置、第四章 Unix 通用安全標(biāo)準(zhǔn)，第五章 Solaris 主機(jī)系統(tǒng)安全配置、第六章 AIX 主機(jī)系統(tǒng)安全配置，第七章 HPUnix 主機(jī)系統(tǒng)安全配置，第八章 實施效果和殘留風(fēng)險，并根據(jù)各種安全風(fēng)險特性進(jìn)行分類描述。本主機(jī)系統(tǒng)安全策略可作為中國移動通信集團(tuán)公司各種主機(jī)系統(tǒng)的加固指南，中國移動通信集團(tuán)公司保留對此文檔的解釋權(quán)和修改權(quán)。版權(quán)聲明：未經(jīng)中國移動書面許可，任何公司或個人不得以任何形式全部或部分的使用本安全策略的相關(guān)內(nèi)容。10 / 259 適用范圍本文檔的適用操作系統(tǒng)為Microsoft Windows 2022 Server/Advanced ServerMicrosoft Windows 2022 Server/Advanced ServerSun Solaris Sun Solaris IBM AIX IBM AIX IBM AIX HP HPUX 11i 更新要求本文檔每年必須由負(fù)責(zé)人員重新審查內(nèi)容，并按照需求修正。各操作系統(tǒng)廠商推出新版本時，亦必須重新審查內(nèi)容及修正。11 / 259第二章 Windows 系統(tǒng)通用安全標(biāo)準(zhǔn) windows 系統(tǒng)安全模型 Windows 系統(tǒng)的安全模塊是操作系統(tǒng)內(nèi)核的不可分割的一部分。由于訪問任何系統(tǒng)資源必須經(jīng)過內(nèi)核安全模塊的驗證，從而保證沒有得到正確的授權(quán)的用戶不能訪問相應(yīng)資源。 用戶使用 Windows 系統(tǒng)資源，首先必須在系統(tǒng)中擁有賬號，其次，此賬號必須具有一定的“權(quán)力”和“權(quán)限” 。在 Windows 系統(tǒng)中， “權(quán)力”指用戶對整個系統(tǒng)能夠做的事情，如關(guān)閉系統(tǒng)、增加設(shè)備、更改系統(tǒng)時間等等。 “權(quán)限”指用戶對系統(tǒng)資源所能做的事情 ，如對某文件的讀、寫控制，對打印機(jī)隊列的管理。 、Windows 系統(tǒng)使用安全帳號數(shù)據(jù)庫，存放用戶賬號以及該賬號所具有的權(quán)力等。用戶對系統(tǒng)資源所具有的權(quán)限則與特定的資源一起存放。在 Windows 系統(tǒng)中，安全模型由本地安全認(rèn)證、安全賬號管理器和安全監(jiān)督器構(gòu)成。除此之外還包括注冊、訪問控制和對象安全服務(wù)等。它們之間的相互作用和集成構(gòu)成了安全模型的主要部分。Windows 安全模型的主要功能是用戶身份驗證和訪問控制。身份驗證過程通過某種技術(shù)手段確認(rèn)用戶所提供的身份的真實性，并在確認(rèn)用戶身份的真實性后賦予用戶相應(yīng)的權(quán)利和系統(tǒng)身份標(biāo)識。訪問控制機(jī)制利用用戶獲得的系統(tǒng)身份標(biāo)識，以及事先分配給用戶的對系統(tǒng)資源的權(quán)限來確保系統(tǒng)資源被合理的使用。用戶身份驗證：Windows 安全子系統(tǒng)提供了兩種類型的身份驗證：通過控制臺交互式登錄系統(tǒng)(根據(jù)用戶的計算機(jī)的本地賬戶來確認(rèn)用戶的身份)和通過網(wǎng)絡(luò)登錄系統(tǒng)（根據(jù)域控制器中保留的域賬戶來確認(rèn)用戶的身份）從而使得用戶可以訪問網(wǎng)絡(luò)上遠(yuǎn)程主機(jī)的資源。為保證通過網(wǎng)絡(luò)登錄系統(tǒng)的安全性，Windows 安全子系統(tǒng)提供了三種不同的身份驗證機(jī)制：Kerberos V5（僅Windows 2022 系統(tǒng)提供） 、公鑰證書和 NTLM。基于對象的訪問控制：Windows 采用對象模型描述系統(tǒng)資源，管理員可以通過對特定資源配置相應(yīng)的用戶訪問權(quán)限來控制用戶對系統(tǒng)資源的訪問。管理12 / 259員可以通過域控制器實現(xiàn)對整個域的資源的統(tǒng)一管理與控制。Windows 系統(tǒng) 通過允許管理員以對象安全描述符的方式描述具體的訪問控制策略。安全描述符列出了允許訪問對象的用戶和組，以及分配給這些用戶和組的特殊權(quán)限。安全描述符還指定了該對象需要安全審核特定事件，如特定用戶的讀，寫，執(zhí)行文件。文件、打印機(jī)和服務(wù)都是對象的具體例子。通過管理對象的屬性，管理員可以設(shè)置權(quán)限，分配所有權(quán)以及監(jiān)視用戶訪問。 用戶名和密碼Windows 系統(tǒng)的安全機(jī)制通過分配用戶帳號和用戶密碼來幫助保護(hù)計算機(jī)及其資源。給值得信任的使用者，按其使用的要求和網(wǎng)絡(luò)所能給與的服務(wù)分配合適的用戶帳號，并且使用足夠安全的帳號密碼。使用對帳號的用戶權(quán)力的限制以及對文件的訪問管理權(quán)限的策略，可以達(dá)到對服務(wù)器的數(shù)據(jù)的保護(hù)。其中用戶帳號有用戶名、全名、描述三個部分。用戶名是用戶帳號的標(biāo)識，全名是對應(yīng)用戶名的全稱，描述是對用戶所擁有的權(quán)限的較具體的說明。組有組名和描述兩個部份，組名是標(biāo)識，描述是說明。一定的用戶帳號對應(yīng)一定的權(quán)限，NT 對權(quán)限的劃分比較細(xì)，例如：備份、遠(yuǎn)程管理、更改系統(tǒng)時間等等，通過對用戶的授權(quán)（在規(guī)則菜單中）可以細(xì)化一個用戶或組的權(quán)限。用戶的帳號和密碼有一定的規(guī)則，包括帳號長度，密碼的有效期，登錄失敗的鎖定，登錄的歷史記錄等等，通過對這些的綜合修改可以保證用戶帳號的安全使用。系統(tǒng)將用戶分為管理者、用戶和來賓三類，各有其不同的權(quán)限。雙擊“我的電腦/控制面板/用戶和密碼”圖標(biāo)，打開“用戶和密碼”對話框。系統(tǒng)在安裝完成后自動建立 Administrator(系統(tǒng)管理員)和 Guest（來賓）用戶。你可在第一次啟動按 Ctrl＋Alt＋Del 后選“更改密碼”更改系統(tǒng)管理員的密碼。你還可按“添加/刪除”來添加/刪除用戶或用戶組。用戶名列表上方有一個復(fù)選框“要使用本機(jī)，必須輸入用戶名和密碼” ，要使用用戶管理必須使之有效，即：選中它。 系統(tǒng)管理員對用戶和密碼的管理權(quán)限主要有：添加用戶、刪除用戶及更改用戶。系統(tǒng)會在你添加新用戶時詢問其權(quán)限的設(shè)置。選擇“高級” 標(biāo)簽，再點擊“高級”按鈕，就會出現(xiàn)“本地用戶和組”管理對話框窗口，上面列出了全部用戶13 / 259和按組分類的用戶名單。在上述界面右邊窗口中選中某個用戶，點右鍵，在彈出的快捷菜單中選“ 屬性”，彈出“用戶屬性”窗口，在其中可對此用戶賬號進(jìn)行是否允許修改密碼、是否停用賬號等項設(shè)置。注意：停用賬戶和刪除賬戶是有區(qū)別的，停用賬戶是臨時停止某個賬戶的使用，隨時可以恢復(fù)，而刪除掉的賬戶必須重建后才能使用。另外，Windows 系統(tǒng)支持工作組概念，可以方便的給一組用戶授予特權(quán)和權(quán)限，同時一個用戶同時屬于一個或多個工作組。方便了對用戶權(quán)限的細(xì)化。在 Windows 系統(tǒng)中有兩種類型的工作組：全局工作組和本地工作組。本地工作組只能在本地的系統(tǒng)或域內(nèi)使用。全局工作組可以在系統(tǒng)中相互信任的域中使用。Win2022 的默認(rèn)安裝允許所有用戶通過空用戶名和空密碼得到系統(tǒng)所有賬號和共享列表，這本來是為了方便局域網(wǎng)用戶共享資源和文件的，但是，同時任何一個遠(yuǎn)程用戶也可以通過同樣的方法得到你的用戶列表，并可能使用暴力法破解用戶密碼給整個網(wǎng)絡(luò)帶來破壞，這是整個網(wǎng)絡(luò)中的最大不安全因素之一 域和委托以 Windows 系統(tǒng)組建的網(wǎng)絡(luò)是一個局域網(wǎng)范圍的網(wǎng)。所謂“域”是指網(wǎng)絡(luò)服務(wù)器和其它計算機(jī)的邏輯分組，凡是在共享域范圍內(nèi)的用戶都使用公共的安全機(jī)制和用戶帳號信息。每個用戶有一個帳號，每次登錄的是整個域，而不是某一個服務(wù)器。即使在物理上相隔較遠(yuǎn)，但在邏輯上可以在一個域上，域的集中化用戶帳號數(shù)據(jù)庫和安全策略使得系統(tǒng)管理員可以用一個簡單而有效的方法維護(hù)整個網(wǎng)絡(luò)的安全。在網(wǎng)絡(luò)環(huán)境下，使用域的管理就顯得更為有效。這里我們應(yīng)該注意到在 NT 中，關(guān)于域的所用的安全機(jī)制信息或用戶帳號信息都存放在目錄數(shù)據(jù)庫中（稱為安全帳號管理器（SAM）數(shù)據(jù)庫） 。目錄數(shù)據(jù)庫存放在服務(wù)器中，并且復(fù)制到備份服務(wù)器中。通過有規(guī)律的同步處理，可以保證數(shù)據(jù)庫的安全性、有效性。在用戶每次登錄時，通過目錄數(shù)據(jù)庫檢查用戶的帳號和密碼。所以在對 NT 進(jìn)行維護(hù)時應(yīng)該特別小心目錄數(shù)據(jù)庫的完整性，一般來講只有管理員才具有對此的編輯權(quán)限。　　域的最大的優(yōu)點是域中的控制器服務(wù)器形成了共享的安全機(jī)制和用戶帳號14 / 259信息的單個管理單元，大大地節(jié)省了管理員和用戶的精力和時間，在管理上較方便，也顯得集中。在使用“域”的劃分時，我們應(yīng)該注意到“域”是建立在一個子網(wǎng)范圍內(nèi)，其基礎(chǔ)是相互之間的信任度。由 NT 組網(wǎng)區(qū)別于一般的TCP/IP 的組網(wǎng)，TCP/IP 是一種較松散的組網(wǎng)型式，靠路由器完成子網(wǎng)之間的尋徑通訊；而 NT 組網(wǎng)是一種緊密的聯(lián)合，服務(wù)器之間是靠安全信任建立他們的聯(lián)系的。主從關(guān)系，委托關(guān)系是建立在信任度上的。委托是一種管理辦法，它將多個域連接在一起，并且允許域中的用戶互相訪問。委托關(guān)系可使用戶帳號和工作組能夠在建立它們的域之外的域中使用。委托關(guān)系只能是被定義為單向的，為了獲得雙向委托關(guān)系，域和域之間必須相互委托。 活動目錄活動目錄的概念A(yù)ctive Directory 是用于 Windows 2022 Server 的目錄服務(wù)。它存儲著網(wǎng)絡(luò)上各種對象的有關(guān)信息，并使該信息易于管理員和用戶查找及使用。Active Directory 目錄服務(wù)使用結(jié)構(gòu)化的數(shù)據(jù)存儲作為目錄信息的邏輯層次結(jié)構(gòu)的基礎(chǔ)。Active Directory 的優(yōu)點：信息安全性 、基于策略的管理 、可擴(kuò)展性 、可伸縮性 、信息的復(fù)制 、與 DNS 集成 、與其它目錄服務(wù)的互操作性、靈活的查詢?！　∮蛴蛱峁┝硕囗梼?yōu)點：? 組織對象。? 發(fā)布有關(guān)域?qū)ο蟮馁Y源和信息。? 將組策略對象應(yīng)用到域可加強(qiáng)資源和安全性管理。? 委派授權(quán)使用戶不再需要大量的具有廣泛管理權(quán)利的管理員。 要創(chuàng)建域，用戶必須將一個或更多的運行 Windows 2022 Server 的計算機(jī)升級為域控制器。域控制器為網(wǎng)絡(luò)用戶和計算機(jī)提供 Active Directory 目錄服務(wù)、存儲目錄數(shù)據(jù)并管理用戶和域之間的交互作用，包括用戶登錄過程、驗證和目錄搜索。每個域至少必須包含一個域控制器?！　∮驑浜陀蛄?5 / 259　　活動目錄中的每個域利用 DNS 域名加以標(biāo)識，并且需要一個或多個域控制器。如果用戶的網(wǎng)絡(luò)需要一個以上的域，則用戶可以創(chuàng)建多個域。共享相同的公用架構(gòu)和全局目錄的一個或多個域稱為域林。如果樹林中的多個域有連續(xù)的 DNS 域名，則該結(jié)構(gòu)稱為域樹。 如果相關(guān)域樹共享相同的 Active Directory 架構(gòu)以及目錄配置和復(fù)制信息，但不共享連續(xù)的 DNS 名稱空間，則稱之為域林?！　∮驑浜陀蛄值慕M合為用戶提供了靈活的域命名選項。連續(xù)和非連續(xù)的 DNS 名稱空間都可加入到用戶的目錄中。 域和帳戶命名　　Active Directory 域名通常是該域的完整 DNS 名稱。但是，為確保向下兼容，每個域還有一個 Windows 2022 以前版本的名稱，以便在運行 Windows 2022 以前版本的操作系統(tǒng)的計算機(jī)上使用。用戶帳戶　　在 Active Directory 中，每個用戶帳戶都有一個用戶登錄名、一個 Windows 2022 以前版本的用戶登錄名（安全帳戶管理器的帳戶名）和一個用戶主要名稱后綴。在創(chuàng)建用戶帳戶時，