UNIX
Linux的
Windows NT/2000/2003 Server的的。
统计系的C2级安全级别的操作这些操作系统。但也有许多漏洞,如果这些漏洞不能
谢,不采取相应的措施,它将使操作系统完全暴力
暴露的入侵者。
BJFU信息部第七章QiJd操作系统安全配置程序
UNIX系统
由贝尔实验室开发的UNIX操作系统
一个多用户,多任务的通用通用操作系统。
GE645计算机诞生于1969年,实现
共享操作系统原型
系统于1970年正式命名为Unix操作系统
到1973年,大多数的源代码Unix系统
C语言重写,大大提高了Unix系统的可移植性
为了提高工作效率的系统软件的发展创造了条件
BJFU信息部,第七章的QiJd操作系统安全配置程序
主要特点
UNIX操作系统,经过20多年的发展,已成为成本
煮熟的主流操作系统,在发展过程中,逐渐形成了一些新的功能
主要功能包括五个方面。
- 可靠性高
(1) - (2)可扩展性强
- (3)网络功能强大
- (4)强大的数据库支持功能
- ( 5)开放性好
BJFU信息部,QiJd第七章运行Linux系统的系统安全配置方案
Linux是一套免费使用和自由传播
类Unix操作系统系统,主要用于基于
系列英特尔x86 CPU的电脑。
Linux的GPL(通用公共
许可证)的保护下的免费软件,版本:
RedHatLinux的,SUSE,Slackware的,
Debian的国内:XteamLinux红旗流行Linux.Linux原因是自由和强大的功能
BJFU信息部QiJd第七章操作系统的安全配置程序
典型的Linux优势
(1)完全免费的(2)完全兼容POSIX标准的1.0
(3)多用户,多任务
(4)良好的界面
(5)网络功能
(6)可靠的安全性,稳定性,性能
(7)支持的
BJFU多个平台信息部,操作系统的安全配置方案第七章QiJd
Windows系统
的Windows NT(新技术)是网络操作系统微软
真正意义上的
发展的NT3.0后,NT40,NT5.0
(Windows 2000)的,(在NT6.0的Windows
>2003)等多个版本,并逐渐占据了大部分
小型和中型网络操作系统市场,
Windows NT的众多版本的操作系统使用
Windows 9X一致的的用户接口和全
相同的操作方法,用户比较侧
相比与Windows 9X,Windows NT的更强大,更安全的网络。
BJFU信息部,第七章的QiJd操作系统安全配置程序
Windows NT的操作系统
的Windows NT系列操作系统家族具有以下三个优点。
(1)支持多种网络协议
- 有可能是在网络上,如Windows 95/98,苹果
的Macintosh,UNIX,OS / 2等各种客户端,而这些客户端可以使用不同的
网络协议,如TCP / IP协议,IPX / SPX,如Windows NT家族经营开支
举行的几乎所有常见的网络协议
(2 )内置互联网功能
- 内置在IIS(因特网信息服务器),允许网络管理员可以轻松地
配置WWW和FTP服务。
(3)支持NTFS文件系统的
NT支持FAT和NTFS磁盘分区格式的。
使用NTFS文件管理的好处,可以提高安全性,任何纸张
件,NTFS系统目录设置权限,使多用户对系统的访问的时候,你可以增加
>文件的安全性。
BJFU信息部第七章QiJd操作系统安全配置程序
安全配置方案初级篇
主要的安全配置程序主要介绍常规
系统安全配置的操作,包括12个基本配置的原始
(1)物理安全性,(2)停止Guest帐户,
(3)用户数量的限制
(4)创建多个管理员帐户,(5)Administrator帐户改名
陷阱帐号(6),(7)更改的默认权限(8)设置
安全密码(9)屏幕保护密码,(10)使用NTFS分区
(11)的运行防病毒软件,和(12)确保安全的备份磁盘。
BJFU信息部,第七章QiJd操作系统安全配置方案 1,物理安全
服务器应当放置在房间
监视器的隔离房间, 15天以上的摄像头和显示器,你想保持的记录。
另外,机箱,键盘,电脑桌抽屉被锁定,以确保,别人甚至不能进入房间的电动
大脑,到一个安全的地方。
2,计算机管理的用户在任何时间里面把Guest帐号禁用不允许
来宾帐户登录系统
为了保险起见,最好停止Guest帐户给Guest加一个复杂的密码,包含特殊字符,数字
换句话说,一个长串的字母。
使用它作为Guest帐户的密码,Guest帐户的属性,设置拒绝
远程访问,如图所示。
BJFU信息部第七章QiJd操作系统安全配置程序
限制用户数
删除测试用帐户,共享帐号,普通部门帐号
用户组策略设置相应的权限,经常检查
帐户,删除帐户不再使用。
许多黑客入侵突破口,系统占
家庭在越来越多的黑客是合法用户的权限一般
更大的
对于Windows NT/2000主机,如果系统帐户超过
10一般都能找出一两个弱口令帐户,帐户
产品数量的不大于10。
BJFU信息部第七章的QiJd操作系统安全配置程序
4管理员帐户,
外观和一些上述账户矛盾,但事实上服务从
上述规则创建一般用户访问帐户用于电子邮件和处理日常琐事,
手柄和其他自有
管理员权限
只要登录当其他用户密码存储,然后
Winlogon进程,侵入计算机
可以得到记录的用户需要密码时,尽量减少
管理员登录的频率和持续时间
管理员帐户改名
Windows 2000的administrator帐号是不能被停用的,这意味着
其他一次侧的尝试这个帐户的密码。
Administrator帐户改名可以有效的防止。
不要使用管理员喜欢的名称,改变不意味着改变,因为它伪装成普通与
户,比如改成:guestone具体操作,只要帐户名的选择重命名
就可以了,如图
6的陷阱帐户
,所谓陷阱帐号是创建一个本地帐户,名为“Administrator”
户,它的权限设置为最低,没什么可那种不能
加上一个超过10位的超级复杂密码。
这样可以让那些谁寻求一个入侵者忙了一段时间,你可以借用
发现它们的入侵企图。
客人可以该用户所属的组。正如图中所示。
更改默认权限,共享文件的权限从“everyone”组“授权用户”。每个人“
Windows 2000中意味着任何有权进入你的网络的用户都能够获得这个
一些信息共享。
任何时候都不要把共享文件设置为”Everyone“组,包括打印总
享受默认的属性就是“Everyone”组,必须不要忘记更改设置在纸,
文件夹的共享默认设置如图所示。
BJFU信息部,第七章的QiJd操作系统安全配置程序
8安全密码的网络管理员创建帐户,往往用公司名,
计算机名称,或其他一些猜测字符做
名称,然后又把这些帐户的密码比较简单
这个帐户应该要求用户的喜好改变成降落
复杂的密码,还要注意经常性的变化你的密码
这里下定义:安全密码无法破解期间
密码是一个很好的密码,也就是说,如果这个秘密
代码文档,必须花43天或者更长的时间才能破解出来
密码策略是42天,必须更改您的密码。
9的屏幕保护程序密码
设置屏幕保护密码也是防止内部破坏服务器的屏幕
减值的。
该机器使用的所有系统的用户最好加,
护理屏保密码。
“密码保护”选择屏幕保护程序选项可以等待
设置,以最短的时间“秒”,如图所示
BJFU信息部,第七章QiJd操作系统安全配置程序
10 NTFS分区
服务器分区转换成NTFS格式。
系统比FAT,NTFS文字说明FAT32文件系统。安全得多。
11杀毒软件
Windows 2000/NT的服务器一般都没有安装防病毒软件
件,一些好的杀毒软件不仅杀掉一些著名的 BR />病毒,也杀了大量的木马和后门程序。
要更新病毒库频繁。 BJFU信息部第七章QiJd操作系统安全配置程序
12备份磁盘安全
一旦系统资料被黑客,备份盘将是唯一的方式来恢复
复杂的备份信息,以备
零件盘防在安全的地方。
>数据备份在服务器上。
BJFU信息部,第七章QiJd操作系统安全配置程序
安全配置程序中级篇
安全配置程序中级章介绍操作系统安全政策
稍微配置,包括十项原则的基本配置:
(1)作业系统的安全策略
(2)关闭不必要的服务
(3)关闭不必要的端口
(4)打开审核策略
(5)打开密码策略,
(6)开户策略,(7)备份的敏感文件
(8)不不显示上次登陆名,(9),禁止建立空中链路
(10)下载最新的补丁
1操作系统安全策略
使用Windows 2000的安全配置工具配置安全策略,微软
管理控制台“安全配置和分析工具集,
可以配置服务器的安全策略。
管理工具,可以发现在”本地安全策略“
能够安全策略配置四类:帐户策略,本地策略,公钥策略
和IP安全策略默认情况下,这些策略无法打开
BJFU信息部,第七章QiJd操作系统安全配置程序
2,关闭不必要的服务,Windows 2000终端服务(最终
客户服务)和IIS(Internet信息服务)
为了能够方便的管理远程服务器很可能会造成安全漏洞,许多电脑终端的服务是开放的,如果开了,
要确认已经正确配置终端服务。
一些恶意程序服务悄悄出货
行服务器上的终端服务。要注意的所有服务的服务器
打开并每天检查
Windows2000中可以禁用
服务名称说明
计算机浏览器的维修网络电脑
列表
任务调度的最新列表,允许程序在指定时间运行
路由和远程访问
路线为企业提供局域网和广域网环境
服务
可移动存储管理可移动媒体,驱动程序,和库
远程注册表服务允许远程注册表操作
后台打印程序文件加载到内存中以便迟后打印。使用打
打印机用户不能禁用此服务
IPSec策略代理管理IP安全策略以及启动
ISAKMP /奥克利(IKE)和IP安全驱动程序
分布式链接跟踪>客户端
当文件移动网络域的NTFS卷
知道
COM +事件系统通过发送自动发布到订阅COM组件的事件
关闭不必要的端口
关闭端口意味着更少的功能,如果服务器安装在防火墙后面,入侵
机会会更少,但不坐背部和放松。
WINNT \ SYSTEM32 \ DRIVERS \ ETC \ services文件中一个众所周知的端口和服务
床单参考文件使用端口扫描器扫描系统的开放端口记事本打开,如图所示。
设置机器打开机器开放的端口和服务的端口设置,IP地址设置
窗口,点击“高级”按钮,图中所示。
设置本地开放端口
标签,在出现的对话框中,选择“选项”选择
TCP / IP过滤器“,单击”属性“按钮,图中所示的。
设置本地开放的端口设置端口接口所示
一台Web服务器,只允许TCP端口80
TCP / IP筛选是Windows防火墙功能比较强
>可以取代防火墙的功能的一部分。
打开审核策略
安全审计是一个基本的入侵检测在Windows 2000中,当有人试图部
统计,以某种方式(尝试用户密码,改变帐户策略和未经授权的文件上网)的入侵,将安全审计记录。
审计如下表:
策略设置
审核系统登陆事件是成功的,“审核帐户管理成功,失败失败
审核登录事件成功,必须是开放的,失败
审核对象访问成功
稽核政策变更成功,失败
审核特权使用,成功的失败
审核系统事件,故障
审计政策未启用审核策略的默认设置在默认的情况下,
设立的审计策略
双击审核名单,设置对话框,复杂 BR />中的“成功”和“失败”被选中,如图所示
BJFU信息部,第七章QiJd操作系统安全配置程序
5密码策略
密码安全该系统是非常重要的,在本地安全设置的密码策略
在默认的情况下都无法打开
启需要打开密码策略,如下面的表格所示
>策略设置<BR /密码复杂性要求启用
最小密码长度6
密码最长使用期限15天
强制密码历史5
一套密码策略设置选项所示项目。
BJFU信息部,第七章QiJd操作系统安全配置程序
开放的帐户政策可以有效地防止字典攻击
设置为下表中所示的开立户口政策。
策略设置
重置帐户锁定计数器后30分钟
帐户锁定时间30分钟
帐户锁定阈值5倍
BJFU信息部,前七章操作QiJd系统安全配置计划
设置帐户策略
设置为如图所示。
BJFU信息部,QiJd第七章操作系统的安全配置程序
7备份敏感文件
敏感文件存放在另一台文件服务器
一些重要的用户数据(文件,数据表和
项目文件的等)存储在一个安全的服务
,并经常备份它们
默认不显示上次登陆名,终端服务接入
服务器,登录对话框中会显示上次登录的帐户名,本地的登陆对话框同样的黑客可以得到系统
用户名,然后进行密码猜测
通过注册表来禁止显示姓氏,在HKEY_LOCAL_MACHINE项
子项:
软件\微软\ WINDOWS NT \ CURRENTVERSION \ Winlogon中\ DONT
DisplayLastUserName下,关键的改变,如图1
>
禁止建立空连接默认情况下,任何用户通过空连接到服务器的连接,反过来,可以
枚举帐号,猜测密码
可以通过注册表来禁止建立空连接
HKEY_LOCAL_MACHINE主键子键:
系统\ CURRENTCONTROLSET \控制\ LSA \ RestrictAnon
ymous的为“1”的关键。图中所示的。
BJFU信息部,QiJd,,第一七章操作系统安全配置程序
10下载最新补丁
很多网络管理员没有访问某安全站点学习
惯性的一些漏洞,很长一段时间,但也把
服务器漏洞用品为目标的人
经常访问微软安全站点,下载最新
服务包和bug修复,安全服务
长期安全的唯一方法
BJFU信息部
安全配置高级方案文章第七章的QiJd操作系统安全配置程序
的高级版本操作系统安全性信息和通信配置,包
包括14酒吧配置原则:
(1)关闭DirectDraw的,(2)关闭默认共享
(3)禁用转储文件(4)文件加密系统
(5)加密Temp文件夹(6)锁定注册表
(7)清除文件
(8)禁止软盘启动(9)使用智能卡,停机时(10)使用IPSec
(11)禁止确定主机类型,(12)抗DDOS
(13)禁止来宾访问日志的
(14)的数据恢复软件
>1关闭的DirectDraw
C2级安全标准的视频卡和内存的要求(如游戏)关闭DirectDraw的一些
所需的DirectX程序,可能影响
对于绝大多数的商业网站是不会受到影响。
在HKEY_LOCAL_MACHINE主键修饰键:
SYSTEM \ CURRENTCONTROLSET \控制\ GraphicsDrivers \ DCI \ timeo值中
UT键值为“0”即可,如图所示。
BJFU信息部,第七章的QiJd操作系统安全配置程序
2关闭默认共享
Windows 2000安装时,系统会创建一些隐藏
共享,就可以进入在DOS提示符下净股份的命令检查
看到,图中所示。
停止默认共享
禁止这些共享,打开管理工具>计算机管理>共享文件夹>
共享在相应的禁用转储文件的共享文件夹,单击鼠标右键,点停止共享“
所示,
当系统崩溃和蓝屏转储文件是有用的部分国有
材料,可以帮助查找问题,但是,也可以让黑客一些敏感意义上的信息,比如一些应用程序(如密码)
需要禁止它,打开控制面板>系统属性>高级>启动和故障
恢复,没有改变写入调试信息,显示
BJFU信息部,第七章QiJd作业系统的安全性配置方案
4文件加密系统
的Windows2000强大的加密系统,磁盘,文字
文件夹,文件添加安全层。
这可以防止你的硬盘挂到其他机器数读里面
据
微软为了弥补缺乏的Windows NT 4.0,
>2000年的基础上的新一代
NTFS:NTFS V5加密文件系统(第5版)
(加密文件系统,简称为EFS)
根据公开实施EFS关键数据加密侧
使用Windows 2000中的CryptoAPI端
机构。
BJFU信息部,第七章QiJd操作系统安全配置程序
加密Temp文件夹中 BR />一些应用程序的安装和升级,将
一些数据复制到临时文件夹,但是当程序
升级完毕或关闭,并不会清除
温度文件的文件夹的内容。
所以,到Temp文件夹加密级别的安全保护
6锁定注册表,在Windows 2000中,只有管理员和备份操作员从
网络接入注册表权限后帐户的密码泄漏,黑客也可以远程
访问时,网络上的服务器,一般需要锁定注册表,注册表的HKEY_CURRENT_USER下
软件
子项\微软\ WINDOWS \ CURRENTVERSION \政策\系统
DisableRegistryTools 0类型为DWORD值,如图所示。
7关机清除文件页面文件是调度文件是Windows 2000用来存储部分的隐藏文件的程序和数据文件装入内存
一些第三方的程序可以不加密的密码存储在内存页
件可能包含敏感信息,要清除在关机时的页面文件
可以编辑注册表子项:主键HKEY_LOCAL_MACHINE
-SYSTEM \ CURRENTCONTROLSET \控制\会话管理器\内存管理
- ClearPageFileAtShutdown值的设置为1,如图所示。
BJFU信息署第七章QiJd操作系统安全配置程序
禁止软盘启动一些第三方的工具可以引导系统绕过原
安全机制,如网站管理员工具,启动系统软盘或
光盘的,你可以硬盘
操作系统的系统管理员密码。 />如果服务器是安全要求非常高,你可以考虑使用
移动软盘和CD-ROM,机箱锁起来
还是,
BJFU信息部将是一个很好的方式,第七章QiJd操作系统安全配置程序
使用智能卡的密码,安全管理员始终是一个两难
容易工具的攻击,如果密码太复杂杂项用户记住密码,将密码到处
乱写
如果条件允许,用智能卡来代替复杂的密集
代码一个不错的解决方案。
BJFU信息部,第七章的QiJd操作系统安全配置程序
10使用的IPSec
正如其名称的含义,IPSec提供IP数据包
安全。
IPSec提供身份验证,完整性择机
胸闷发送计算机加密传输之前
到收件人计算机后收到的数据解密
数据。
使用IPSec,可以使系统的安全性能大大
11
严禁的确定主机类型黑客利用TTL(生存时间,生存时间)值可以识别判断目标主机级操作系统
Ping命令的探测到目标机连接型平用处主要
许多入侵者首先会Ping主机,因为要攻击的计算机
其他操作系统,如Windows或Unix TTL值为128可以识别
你的系统是Windows 2000,如图
BJFU信息部,第七章的QiJd操作系统安全配置程序
TTL值 - 确定主机类型的从表中可以看出,128的TTL值,表明改变主机操作系统
Windows 2000的操作系统下表给出了一些常见的操作
系统控制。 BR />操作系统类型TTL的返回值
视窗2000128
的Windows NT107
win9x128或127
solaris252
IRIX240
AIX247
Linux241或240
BJFU信息部QiJd第七章操作系统的安全配置程序
值
TTLTTL值,入侵者将无法黑客入侵,如TTL值操作系统
111,主键HKEY_LOCAL_MACHINE子项:
SYSTEM \ CURRENT_CONTROLSET \ SERVICES \ TCPIP \参数
TERS
一个新的双字节,如图所示。
BJFU信息部,QiJd,,
第七章操作系统的安全配置程序TTL值
键输入的“defaultTTL”的名称,然后双击以改变的关键名称,选择
单选框“十进制”,在文本框中输入111,如图所示。 BJFU信息部,操作系统的安全配置程序QiJd第七章 BR />TTL值
设置了重新启动计算机,然后Ping命令,发现
TTL值已更改为111,如图
抵御DDOS 添加注册表项,可以有效的抵御DDOS攻击键
[HKEY_LOCAL_MACHINE \ SYSTEM \ CURRENTCONTROLSET \服务\ TCP
IP \参数]增加的响应键及其说明如表中所示如下:
增加键按键说明
“将EnablePMTUDiscovery”= dword:00000000
“NoNameReleaseOnDemand”= dword:00000000
“KeepAliveTime的”= dword:00000000
“ PerformRouterDiscovery“= dword:00000000
基本设置
EnableICMPRedirects”= dword:00000000防止ICMP重定向报文攻击
SynAttackProtect设置“= DWORD:00000002防止SYN Flood攻击
TcpMaxHalfOpenRetried的”的= DWORD:00000080
“在TcpMaxHalfOpen”= dword:00000100 仅在TcpMaxHalfOpen和
TcpMaxHalfOpenRetried的设置范围,保护机制将采取。
措施,,
IGMPLevel = DWORD:00000000不支持IGMP协议
“EnableDeadGWDetect”= dword:00000000禁止网关监测技术
IPEnableRouter“= DWORD:00000001支持路由功能 BR />BJFU信息部的QiJd操作系统安全配置程序
13第七章禁止Guest访问日志
Windows NT和Windows 2000的默认安装中,游客
账户和匿名用户可以查看系统事件日志中,可能会导致许多
重要信息泄露,注册表禁用Guest访问事件日期
志
禁止来宾访问应用程序日志
HKEY_LOCAL_MACHINE \ SYSTEM \ CURRENTCONTROLSET \ SERVIC,
ES \事件日志\应用添加键名:
RestrictGuestAccess的,类型:DWORD值设置为1
系统日志:
HKEY_LOCAL_MACHINE \ SYSTEM \ CURRENTCONTROLSET \ SERVIC
添加关键ES \事件日志\系统的名称:
RestrictGuestAccess的如下类型:DWORD值设置为1。
安全日志
- HKEY_LOCAL_MACHINE \ SYSTEM \ CURRENTCONTROLSET \ SERVIC
ES \事件日志\安全Add按钮数值名称:
RestrictGuestAccess的如下类型:DWORD值设置为1。
14的数据恢复软件 />当病毒或入侵者的破坏后的数据可以使用数据恢复软件
可以找回被删除的数据恢复软件,在某知名软
件轻松的恢复软件功能强大
文件被意外删除,您可以恢复丢失的硬盘分区,等软件的主界面,图中所示
轻松的恢复
如原始数据文件在E盘,删除,选择离开
节“数据恢复”,然后选择左边的按钮
“高级恢复”,如下所示
轻松的恢复
进入高级恢复“对话框中,软件会自动扫描硬盘分区前头部
分区表
直接读取分区信息,如图所示。
轻松的恢复
现在要恢复的文件在E盘,所以我选择了E盘,请单击“
”下一步“按钮,如图所示轻松的恢复
软件会自动扫描磁盘曾经被删除的文件,
大小的坚硬
1、换高防IP或切换高防服务器,流量攻击进入高防IP将异常流量清洗后,保留正常流量转到我们正常服务器IP。2、网站业务添加CDN,预算充足的情况下可以考虑添加CDN,但是大流量的攻击可能产生高额CDN费用,需要酌情考虑。3、定期排查服务器安全漏洞,及时修补服务器漏洞,防止被黑客利用漏洞进行服务器攻击。4、设置防火墙,防火墙是可以在部分攻击上打到抵御的效果的,禁用一些不用的端口防止非法分子利用其端口进行攻击,同时可以通过防火墙设置把攻击重定向。5、提升服务器配置,一般的攻击如果不是非常猛烈,可以适当提升服务器带宽,CPU和内存,保证资源不被攻击消耗殆尽。6、通过反向路由进行ip真实性检测,禁用非真实IP也可以防御攻击。7、限制SYN/ICMP流量,在路由器上配置SYN/ICMP的最大流量限制SYN/ICMP封包所能占有的最高频宽,大量的异常流量那基本上就是攻击了。8、过滤所有RFC1918,IP地址RFC1918是内部网的IP地址,过滤攻击时伪造的大量虚假内部IP,也是能减轻攻击DDOS攻击。欢迎分享,转载请注明来源:夏雨云
评论列表(0条)