【正文】 基于抽象體系的決策來(lái)進(jìn)行的。通用安全體系是在已有的安全功能和相關(guān)安全服務(wù)配置的基礎(chǔ)上，定義系統(tǒng)分量類型及可得到的實(shí)現(xiàn)這些安全功能的有關(guān)安全機(jī)制。邏輯體系就是滿足某個(gè)假設(shè)的需求集合的一個(gè)設(shè)計(jì)，它顯示了把一個(gè)通用體系應(yīng)用于具體環(huán)境時(shí)的基本情況。 ? 4. 特殊體系 (Specific Architecture)。這里信息安全分量和機(jī)制包括基本原則及支持安全管理的分量等。通過對(duì) Flask體系的微內(nèi)核操作系統(tǒng)的原型實(shí)現(xiàn)表明，它成功的克服了策略可變通性帶來(lái)的障礙。 Flask包括一個(gè)安全策略服務(wù)器來(lái)制定訪問控制決策，一個(gè)微內(nèi)核和系統(tǒng)其他客體管理器框架來(lái)執(zhí)行訪問控制決策。 ? Flask原型由一個(gè)基于微內(nèi)核的操作系統(tǒng)來(lái)實(shí)現(xiàn)，支持硬件強(qiáng)行對(duì)進(jìn)程地址空間的分離。對(duì) Flask結(jié)構(gòu)而言，這種區(qū)別是基本不相關(guān)的。 Flask結(jié)構(gòu)為達(dá)到其他系統(tǒng)常見的可適應(yīng)性，將通過采用 DTOS結(jié)構(gòu)在 SPIN中的安全框架具體證明。 權(quán)能體系結(jié)構(gòu) ? 權(quán)能體系是較早用于實(shí)現(xiàn)安全內(nèi)核的結(jié)構(gòu)體系，盡管它存在一些不足，但是作為實(shí)現(xiàn)訪問控制的一種通用的、可塑性良好的方法，目前仍然是人們實(shí)現(xiàn)安全比較偏愛的方法之一。 ? （ 2）權(quán)能與層次設(shè)計(jì)方法是非常協(xié)調(diào)的，從權(quán)能機(jī)制很自然可導(dǎo)致使用擴(kuò)展型對(duì)象來(lái)提供抽象和保護(hù)的層次。這樣一來(lái)，權(quán)能促進(jìn)了機(jī)制與策略的分離。 物理安全 ? 服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器要保留 15天以上的攝像記錄。 停止 Guest帳號(hào) ? 在計(jì)算機(jī)管理的用戶里面把 Guest帳號(hào)停用，任何時(shí)候都不允許Guest帳號(hào)登陸系統(tǒng)。 ? 用它作為 Guest帳號(hào)的密碼。 3 限制用戶數(shù)量 ? 去掉所有的測(cè)試帳戶、共享帳號(hào)和普通部門帳號(hào)等等。 ? 帳戶很多是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大。 4 多個(gè)管理員帳號(hào) ? 雖然這點(diǎn)看上去和上面有些矛盾，但事實(shí)上是服從上面規(guī)則的。 ? 因?yàn)橹灰卿浵到y(tǒng)以后，密碼就存儲(chǔ)再 WinLogon進(jìn)程中，當(dāng)有其他用戶入侵計(jì)算機(jī)的時(shí)候就可以得到登錄用戶的密碼，盡量減少 Administrator登錄的次數(shù)和時(shí)間。把 Administrator帳戶改名可以有效的防止這一點(diǎn)。具體操作的時(shí)候只要選中帳戶名改名就可以了，如圖 72所示。 ? 這樣可以讓那些企圖入侵者忙上一段時(shí)間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖。 7 更改默認(rèn)權(quán)限 ? 共享文件的權(quán)限從“ Everyone”組改成“授權(quán)用戶”。 ? 任何時(shí)候不要把共享文件的用戶設(shè)置成“ Everyone”組。設(shè)置某文件夾共享默認(rèn)設(shè)置如圖 74所示。 ? 一些網(wǎng)絡(luò)管理員創(chuàng)建帳號(hào)的時(shí)候往往用公司名，計(jì)算機(jī)名，或者一些別的一猜就到的字符做用戶名，然后又把這些帳戶的密碼設(shè)置得比較簡(jiǎn)單，比如：“ wele”、“ iloveyou”、“ letmein”或者和用戶名相同的密碼等。 ? 這里給好密碼下了個(gè)定義：安全期內(nèi)無(wú)法破解出來(lái)的密碼就是好密碼，也就是說(shuō)，如果得到了密碼文檔，必須花 43天或者更長(zhǎng)的時(shí)間才能破解出來(lái)，密碼策略是 42天必須改密碼。注意不要使用 OpenGL和一些復(fù)雜的屏幕保護(hù)程序，浪費(fèi)系統(tǒng)資源，黑屏就可以了。 ? 將屏幕保護(hù)的選項(xiàng)“密碼保護(hù)”選中就可以了，并將等待時(shí)間設(shè)置為最短時(shí)間“ 1秒”，如圖 75所示。NTFS文件系統(tǒng)要比 FAT、 FAT32的文件系統(tǒng)安全得多。 ? 設(shè)置了放毒軟件，“黑客”們使用的那些有名的木馬就毫無(wú)用武之地了，并且要經(jīng)常升級(jí)病毒庫(kù)。備份完資料后，把備份盤防在安全的地方。 安全配置方案中級(jí)篇 ? 安全配置方案中級(jí)篇主要介紹操作系統(tǒng)的安全策略配置，包括十條基本配置原則： ? 操作系統(tǒng)安全策略、關(guān)閉不必要的服務(wù) ? 關(guān)閉不必要的端口、開啟審核策略 ? 開啟密碼策略、開啟帳戶策略、備份敏感文件 ? 不顯示上次登陸名、禁止建立空連接和下載最新的補(bǔ)丁 1 操作系統(tǒng)安全策略 ? 利用 Windows 2023的安全配置工具來(lái)配置安全策略，微軟提供了一套的基于管理控制臺(tái)的安全配置和分析工具，可以配置服務(wù)器的安全策略。 ? 可以配置四類安全策略：帳戶策略、本地策略、公鑰策略和 IP安全策略。 2 關(guān)閉不必要的服務(wù) ? Windows 2023的 Terminal Services（終端服務(wù)）和 IIS（ Inter 信息服務(wù)）等都可能給系統(tǒng)帶來(lái)安全漏洞。 ? 有些惡意的程序也能以服務(wù)方式悄悄的運(yùn)行服務(wù)器上的終端服務(wù)。 ? Windows 2023作為服務(wù)器可禁用的服務(wù)及其相關(guān)說(shuō)明如表 71所示。要用打印機(jī)的用戶不能禁用這項(xiàng)服務(wù) IPSEC Policy Agent 管理 IP安全策略以及啟動(dòng)ISAKMP/Oakley(IKE)和 IP安全驅(qū)動(dòng)程序 Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的 NTFS卷中移動(dòng)時(shí)發(fā)送通知 Com+ Event System 提供事件的自動(dòng)發(fā)布到訂閱COM組件 3 關(guān)閉不必要的端口 ? 關(guān)閉端口意味著減少功能，如果服務(wù)器安裝在防火墻的后面，被入侵的機(jī)會(huì)就會(huì)少一些，但是不可以認(rèn)為高枕無(wú)憂了。該文件用記事本打開如圖 77所示。 ? 在出現(xiàn)的對(duì)話框中選擇選項(xiàng)卡“選項(xiàng)”，選中“ TCP/IP篩選”，點(diǎn)擊按鈕“屬性”，如圖 79所示。 ? 一臺(tái) Web服務(wù)器只允許 TCP的 80端口通過就可以了。 4 開啟審核策略 ? 安全審核是 Windows 2023最基本的入侵檢測(cè)方法。 ? 很多的管理員在系統(tǒng)被入侵了幾個(gè)月都不知道，直到系統(tǒng)遭到破壞。 策略 設(shè)置 審核系統(tǒng)登陸事件 成功，失敗 審核帳戶管理 成功，失敗 審核登陸事件 成功，失敗 審核對(duì)象訪問 成功 審核策略更改 成功，失敗 審核特權(quán)使用 成功，失敗 審核系統(tǒng)事件 成功，失敗 審核策略默認(rèn)設(shè)置 ? 審核策略在默認(rèn)的情況下都是沒有開啟的，如圖 711所示。 5 開啟密碼策略 ? 密碼對(duì)系統(tǒng)安全非常重要。需要開啟的密碼策略如表 73所示 策略 設(shè)置 密碼復(fù)雜性要求 啟用 密碼長(zhǎng)度最小值 6位 密碼最長(zhǎng)存留期 15天 強(qiáng)制密碼歷史 5個(gè) ? 設(shè)置選項(xiàng)如圖 713所示。 策略 設(shè)置 復(fù)位帳戶鎖定計(jì)數(shù)器 30分鐘 帳戶鎖定時(shí)間 30分鐘 帳戶鎖定閾值 5次 設(shè)置帳戶策略 ? 設(shè)置的結(jié)果如圖 714所示。黑客們可以得到系統(tǒng)的一些用戶名，進(jìn)而做密碼猜測(cè)。 9 禁止建立空連接 ? 默認(rèn)情況下，任何用戶通過空連接連上服務(wù)器，進(jìn)而可以枚舉出帳號(hào)，猜測(cè)密碼。在HKEY_LOCAL_MACHINE主鍵下修改子鍵： ? System\CurrentControlSet\Control\LSA\RestrictAnonymous，將鍵值改成“ 1”即可。 10 下載最新的補(bǔ)丁 ? 很多網(wǎng)絡(luò)管理員沒有訪問安全站點(diǎn)的習(xí)慣，以至于一些漏洞都出了很久了，還放著服務(wù)器的漏洞不補(bǔ)給人家當(dāng)靶子用。 ? 經(jīng)常訪問微軟和一些安全站點(diǎn)，下載最新的 Service Pack和漏洞補(bǔ)丁，是保障服務(wù)器長(zhǎng)久安全的唯一方法。關(guān)閉 DirectDraw可能對(duì)一些需要用到 DirectX的程序有影響（比如游戲），但是對(duì)于絕大多數(shù)的商業(yè)站點(diǎn)都是沒有影響的。 2 關(guān)閉默認(rèn)共享 ? Windows 2023安裝以后，系統(tǒng)會(huì)創(chuàng)建一些隱藏的共享，可以在 DOS提示符下輸入命令 Net Share 查看，如圖 718所示。 3 禁用 Dump文件 ? 在系統(tǒng)崩潰和藍(lán)屏的時(shí)候， Dump文件是一份很有用資料，可以幫助查找問題。 4 文件加密系統(tǒng) ? Windows2023強(qiáng)大的加密系統(tǒng)能夠給磁盤，文件夾，文件加上一層安全保護(hù)。 ? 微軟公司為了彌補(bǔ) Windows NT ，在Windows 2023中，提供了一種基于新一代 NTFS：NTFS V5（第 5版本）的加密文件系統(tǒng)（ Encrypted File System，簡(jiǎn)稱 EFS）。 5 加密 Temp文件夾 ? 一些應(yīng)用程序在安裝和升級(jí)的時(shí)候，會(huì)把一些東西拷貝到 Temp文件夾，但是當(dāng)程序升級(jí)完畢或關(guān)閉的時(shí)候，并不會(huì)自己清除 Temp文件夾的內(nèi)容。 6 鎖住注冊(cè)表 ? 在 Windows2023中，只有 Administrators和 Backup Operators才有從網(wǎng)絡(luò)上訪問注冊(cè)表的權(quán)限。修改Hkey_current_user下的子鍵 ? Software\microsoft\windows\currentversion\Policies\system ? 把 DisableRegistryTools的值該為 0，類型為 DWORD，如圖 721所示。 ? 一些第三方的程序可以把一些沒有的加密的密碼存在內(nèi)存中，頁(yè)面文件中可能含有另外一些敏感的資料。 8 禁止軟盤光盤啟動(dòng) ? 一些第三方的工具能通過引導(dǎo)系統(tǒng)來(lái)繞過原有的安全機(jī)制。 ? 如果服務(wù)器對(duì)安全要求非常高，可以考慮使用可移動(dòng)軟盤和光驅(qū)，把機(jī)箱鎖起來(lái)仍然不失為一個(gè)好方法。 ? 如果條件允許，用智能卡來(lái)代替復(fù)雜的密碼是一個(gè)很好的解決方法。 ? IPSec提供身份驗(yàn)證、完整性和可選擇的機(jī)密性。 ? 利用 IPSec可以使得系統(tǒng)的安全性能大大增強(qiáng)。 Ping的用處是檢測(cè)目標(biāo)主機(jī)是否連通。如過 TTL值為 128就可以認(rèn)為你的系統(tǒng)為 Windows 2023，如圖 723所示。表 76給出了一些常見操作系統(tǒng)的對(duì)照值。比如將操作系統(tǒng)的 TTL值改為 111，修改主鍵 HKEY_LOCAL_MACHINE的子鍵： ? SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS ? 新建一個(gè)雙字節(jié)項(xiàng)，如圖 724所示。 ? 設(shè)置完畢 重新啟動(dòng)計(jì)算機(jī) ，再用 Ping指令，發(fā)現(xiàn) TTL的值已經(jīng)被改成 111了，如圖 726所示。在鍵值 ? [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加響應(yīng)的鍵及其說(shuō)明如表 77所示。 ? 禁止 Guest訪問應(yīng)用日志 ? HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application 下添加鍵值名稱為： RestrictGuestAccess ，類型為： DWORD，將值設(shè)置為 1。 ? 安全日志 ? HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security下添加鍵值名稱為： RestrictGuestAccess，類型為： DWORD，將值設(shè)置為 1。軟件功能強(qiáng)大，可以恢復(fù)被誤刪除的文件、丟失的硬盤分區(qū)等等。 ? 比如原來(lái)在 E盤上有一些數(shù)據(jù)文件，被黑客刪除了，選擇左邊欄目“ Data Recovery”，然后選擇左邊的按鈕“ Advanced Recovery”，如圖 728所示。 ? 現(xiàn)在要恢復(fù) E盤上的文件，所以選擇 E盤，點(diǎn)擊按鈕“ Next”，如圖 730所示。 ? 掃描完成以后，將該盤上所有的文件以及文件夾顯示出來(lái)，包括曾經(jīng)被刪除文件和文件夾，如圖 732所示。如圖 733所示。 ? 選擇一個(gè)文件夾后，電擊按鈕“ Next”，就出現(xiàn)了恢復(fù)的進(jìn)度對(duì)話框，如圖 735所示。 ? 三部分共介紹安全配置三十六項(xiàng)，如果每一條都能得到很好的實(shí)施的話，改服務(wù)器無(wú)論是在局域網(wǎng)還是廣域網(wǎng)，即使沒有網(wǎng)絡(luò)防火墻，已經(jīng)比較安全了。 本章習(xí)題 ? 【 1】 、簡(jiǎn)述操作系統(tǒng)帳號(hào)密碼的重要性，有幾種方法可以保護(hù)密碼不被破解或者被盜??？ ? 【 2】 、簡(jiǎn)述審核策略、密碼策略和帳戶策略的含義？這些策略如何保護(hù)操作系統(tǒng)不被入侵。（上機(jī)完成） ? 【 5】 、以報(bào)告的形式編寫 Windows 2023 Server/Advanced Server的安全