【正文】 閉不必要的服務(wù) ......................................................................................................194 Xwindows.........................................................................................................................199 SNMP 服務(wù) ......................................................................................................................202 Sendmail 的配置設(shè)定 ......................................................................................................202 安裝 SSH Secure Shell ................................................................................................204 架構(gòu) Anonymous FTP ..................................................................................................214 架構(gòu)名稱解析服務(wù) (DNS) ............................................................................................220 架構(gòu)網(wǎng)站服務(wù)器 ..........................................................................................................221 入侵偵測(cè) ...............................................................................................................................226 其它安全設(shè)定 .......................................................................................................................227 最少操作系統(tǒng)安裝 ......................................................................................................227 移除多余的組件 ..........................................................................................................228 更新及修補(bǔ) ..................................................................................................................229第七章 HPUX 系統(tǒng)安全配置 .................................................................................231 身份識(shí)別 ...............................................................................................................................231 身份驗(yàn)證 ...............................................................................................................................232 訪問(wèn)控制 ...............................................................................................................................234 數(shù)據(jù)保護(hù) ...............................................................................................................................236 安全事件審計(jì) .......................................................................................................................240 網(wǎng)絡(luò)服務(wù)設(shè)定 .......................................................................................................................241 入侵檢測(cè) ...............................................................................................................................244 其它安全設(shè)定 .......................................................................................................................246 殘留風(fēng)險(xiǎn)規(guī)避 .............................................................................................................................249第八章 實(shí)施效果和殘留風(fēng)險(xiǎn) ..................................................................................252 實(shí)施效果 .....................................................................................................................................252 殘留風(fēng)險(xiǎn) .....................................................................................................................................2529 / 259第一章 綜述隨著中國(guó)移動(dòng)通信公司互聯(lián)網(wǎng)網(wǎng)絡(luò)規(guī)模和各種業(yè)務(wù)系統(tǒng)不斷擴(kuò)大，主機(jī)系統(tǒng)安全問(wèn)題愈見(jiàn)突出?，F(xiàn)有的主機(jī)系統(tǒng)為保證業(yè)務(wù)的連續(xù)運(yùn)行，必須具有足夠的安全水平抵御網(wǎng)絡(luò)上的各種安全弱點(diǎn)探測(cè)和惡意攻擊。本主機(jī)系統(tǒng)安全策略不是一個(gè)完整的系統(tǒng)安全解決方案，而是中國(guó)移動(dòng)網(wǎng)絡(luò)主機(jī)系統(tǒng)安全體系建設(shè)的安全技術(shù)參考。最后針對(duì)中國(guó)移動(dòng)網(wǎng)絡(luò)主機(jī)安全需求給出了相應(yīng)的安全審計(jì)建議。本主機(jī)系統(tǒng)安全策略可作為中國(guó)移動(dòng)通信集團(tuán)公司各種主機(jī)系統(tǒng)的加固指南，中國(guó)移動(dòng)通信集團(tuán)公司保留對(duì)此文檔的解釋權(quán)和修改權(quán)。10 / 259 適用范圍本文檔的適用操作系統(tǒng)為Microsoft Windows 2022 Server/Advanced ServerMicrosoft Windows 2022 Server/Advanced ServerSun Solaris Sun Solaris IBM AIX IBM AIX IBM AIX HP HPUX 11i 更新要求本文檔每年必須由負(fù)責(zé)人員重新審查內(nèi)容，并按照需求修正。11 / 259第二章 Windows 系統(tǒng)通用安全標(biāo)準(zhǔn) windows 系統(tǒng)安全模型 Windows 系統(tǒng)的安全模塊是操作系統(tǒng)內(nèi)核的不可分割的一部分。 用戶使用 Windows 系統(tǒng)資源，首先必須在系統(tǒng)中擁有賬號(hào)，其次，此賬號(hào)必須具有一定的“權(quán)力”和“權(quán)限” 。 “權(quán)限”指用戶對(duì)系統(tǒng)資源所能做的事情 ，如對(duì)某文件的讀、寫控制，對(duì)打印機(jī)隊(duì)列的管理。用戶對(duì)系統(tǒng)資源所具有的權(quán)限則與特定的資源一起存放。除此之外還包括注冊(cè)、訪問(wèn)控制和對(duì)象安全服務(wù)等。Windows 安全模型的主要功能是用戶身份驗(yàn)證和訪問(wèn)控制。訪問(wèn)控制機(jī)制利用用戶獲得的系統(tǒng)身份標(biāo)識(shí)，以及事先分配給用戶的對(duì)系統(tǒng)資源的權(quán)限來(lái)確保系統(tǒng)資源被合理的使用。為保證通過(guò)網(wǎng)絡(luò)登錄系統(tǒng)的安全性，Windows 安全子系統(tǒng)提供了三種不同的身份驗(yàn)證機(jī)制：Kerberos V5（僅Windows 2022 系統(tǒng)提供） 、公鑰證書和 NTLM。管理12 / 259員可以通過(guò)域控制器實(shí)現(xiàn)對(duì)整個(gè)域的資源的統(tǒng)一管理與控制。安全描述符列出了允許訪問(wèn)對(duì)象的用戶和組，以及分配給這些用戶和組的特殊權(quán)限。文件、打印機(jī)和服務(wù)都是對(duì)象的具體例子。 用戶名和密碼Windows 系統(tǒng)的安全機(jī)制通過(guò)分配用戶帳號(hào)和用戶密碼來(lái)幫助保護(hù)計(jì)算機(jī)及其資源。使用對(duì)帳號(hào)的用戶權(quán)力的限制以及對(duì)文件的訪問(wèn)管理權(quán)限的策略，可以達(dá)到對(duì)服務(wù)器的數(shù)據(jù)的保護(hù)。用戶名是用戶帳號(hào)的標(biāo)識(shí)，全名是對(duì)應(yīng)用戶名的全稱，描述是對(duì)用戶所擁有的權(quán)限的較具體的說(shuō)明。一定的用戶帳號(hào)對(duì)應(yīng)一定的權(quán)限，NT 對(duì)權(quán)限的劃分比較細(xì)，例如：備份、遠(yuǎn)程管理、更改系統(tǒng)時(shí)間等等，通過(guò)對(duì)用戶的授權(quán)（在規(guī)則菜單中）可以細(xì)化一個(gè)用戶或組的權(quán)限。系統(tǒng)將用戶分為管理者、用戶和來(lái)賓三類，各有其不同的權(quán)限。系統(tǒng)在安裝完成后自動(dòng)建立 Administrator(系統(tǒng)管理員)和 Guest（來(lái)賓）用戶。你還可按“添加/刪除”來(lái)添加/刪除用戶或用戶組。 系統(tǒng)管理員對(duì)用戶和密碼的管理權(quán)限主要有：添加用戶、刪除用戶及更改用戶。選擇“高級(jí)” 標(biāo)簽，再點(diǎn)擊“高級(jí)”按鈕，就會(huì)出現(xiàn)“本地用戶和組”管理對(duì)話框窗口，上面列出了全部用戶13 / 259和按組分類的用戶名單。注意：停用賬戶和刪除賬戶是有區(qū)別的，停用賬戶是臨時(shí)停止某個(gè)賬戶的使用，隨時(shí)可以恢復(fù)，而刪除掉的賬戶必須重建后才能使用。方便了對(duì)用戶權(quán)限的細(xì)化。本地工作組只能在本地的系統(tǒng)或域內(nèi)使用。Win2022 的默認(rèn)安裝允許所有用戶通過(guò)空用戶名和空密碼得到系統(tǒng)所有賬號(hào)和共享列表，這本來(lái)是為了方便局域網(wǎng)用戶共享資源和文件的，但是，同時(shí)任何一個(gè)遠(yuǎn)程用戶也可以通過(guò)同樣的方法得到你的用戶列表，并可能使用暴力法破解用戶密碼給整個(gè)網(wǎng)絡(luò)帶來(lái)破壞，這是整個(gè)網(wǎng)絡(luò)中的最大不安全因素之一 域和委托以 Windows 系統(tǒng)組建的網(wǎng)絡(luò)是一個(gè)局域網(wǎng)范圍的網(wǎng)。每個(gè)用戶有一個(gè)帳號(hào)，每次登錄的是整個(gè)域，而不是某一個(gè)服務(wù)器。在網(wǎng)絡(luò)環(huán)境下，使用域的管理就顯得更為有效。目錄數(shù)據(jù)庫(kù)存放在服務(wù)器中，并且復(fù)制到備份服務(wù)器中。在用戶每次登錄時(shí)，通過(guò)目錄數(shù)據(jù)庫(kù)檢查用戶的帳號(hào)和密碼。　　域的最大的優(yōu)點(diǎn)是域中的控制器服務(wù)器形成了共享的安全機(jī)制和用戶帳號(hào)14 / 259信息的單個(gè)管理單元，大大地節(jié)省了管理員和用戶的精力和時(shí)間，在管理上較方便，也顯得集中。由 NT 組網(wǎng)區(qū)別于一般的TCP/IP 的組網(wǎng)，TCP/IP 是一種較松散的組網(wǎng)型式，靠路由器完成子網(wǎng)之間的尋徑通訊；而 NT 組網(wǎng)是一種緊密的聯(lián)合，服務(wù)器之間是靠安全信任建立他們的聯(lián)系的。委托是一種管理辦法，它將多個(gè)域連接在一起，并且允許域中的用戶互相訪問(wèn)。委托關(guān)系只能是被定義為單向的，為了獲得雙向委托關(guān)系，域和域之間必須相互委托。它存儲(chǔ)著網(wǎng)絡(luò)上各種對(duì)象的有關(guān)信息，并使該信息易于管理員和用戶查找及使用。Active Directory 的優(yōu)點(diǎn)：信息安全性 、基于策略的管理 、可擴(kuò)展性 、可伸縮性 、信息的復(fù)制 、與 DNS 集成 、與其它目錄服務(wù)的互操作性、靈活的查詢。? 發(fā)布有關(guān)域?qū)ο蟮馁Y源和信息。? 委派授權(quán)使用戶不再需要大量的具有廣泛管理權(quán)利的管理員。域控制器為網(wǎng)絡(luò)用戶和計(jì)算機(jī)提供 Active Directory 目錄服務(wù)、存儲(chǔ)目錄數(shù)據(jù)并管理用戶和域之間的交互作用，包括用戶登錄過(guò)程、驗(yàn)證和目錄搜索?！　∮驑?shù)和域林15 / 259　　活動(dòng)目錄中的每個(gè)域利用 DNS 域名加以標(biāo)識(shí)，并且需要一個(gè)或多個(gè)域控制器。共享相同的公用架構(gòu)和全局目錄的一個(gè)或多個(gè)域稱為域林。 如果相關(guān)域樹(shù)共享相同的 Active Directory 架構(gòu)以及目錄配置和復(fù)制信息，但不共享連續(xù)的 DNS 名稱空間，則稱之為域林。連續(xù)和非連續(xù)的 DNS 名稱空間都可加入到用戶的目錄中。但是，為確保向下兼容，每個(gè)域還有一個(gè) Windows 2022 以前版本的名稱，以便在運(yùn)行 Windows 2022 以前版本的操作系統(tǒng)的計(jì)算機(jī)上使用。在創(chuàng)建用戶帳戶時(shí)