第9章操作系统安全.ppt
《第9章操作系统安全.ppt》由会员分享,可在线阅读,更多相关《第9章操作系统安全.ppt(27页珍藏版)》请在三一文库上搜索。
1、Network and Information Security,第9章 操作系统安全,Network and Information Security,第9章 操作系统安全,目前服务器常用的操作系统有两类:Windows NT/2000/2003 Server、Unix/Linux。这些操作系统都是符合C2级安全级别的操作系统,但是都存在不少漏洞,如果对这些漏洞不了解,不采取相应的措施,就会使操作系统完全暴露给入侵者。本章将讨论这两类操作系统一些基本的安全问题。,Network and Information Security,9.1 Windows系统的安全,9.1.1 账户的安全设置 1
2、Windows账户简介 在Windows操作系统中,用户被分成许多组,组和组之间有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。Windows中常见的用户组如下: (1)Administrators,管理员组。 (2)Power Users,高级用户组。 (3)Users,普通用户组。 (4)Guests,来宾组。 (5)Everyone,顾名思义,计算机上的所有用户都属于这个组。 Administrators组中有一个在系统安装时就创建的默认用户Administrator,Administrator账户具有对计算机的完全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。
3、Guests组下也有一个默认用户Guest,但是在默认情况下,它是被禁用的。如果没有特别必要,无须启用此账户。,Network and Information Security,2Windows账户管理 Windows在控制面板中有【用户账号】图标,但功能太弱,建议不要使用,应该使用专门的用户管理程序。打开【控制面板】窗口,双击【管理工具】图标,出现【管理工具】窗口后,双击【计算机管理】图标,出现【计算机管理】窗口。在【计算机管理】窗口左侧依次选择【系统工具】|【本地用户和组】|【用户】,右侧会列出计算机中的所有用户。,Network and Information Security,3Win
4、dows账户安全设置 (1)停用不必要的账户:可用的账户越多,被黑客利用的可能性就越大,所以用不到的账户一律删除或停用。 (2)管理员账户改名:Administrator账户不能停用,黑客知道这个账户名,就可以一遍又一遍地尝试它的密码,把Administrator账户改名可以有效地防止这一点。不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通账户,如改成user-one。 (3)设置陷阱账户:Administrator账户改名之后,可以再创建一个Administrator账户,让它隶属于【Guests】组,权限最小,并且加上一个超长的复杂密码,这就是陷阱账户。陷阱账户可以让那些黑客
5、忙上很长一段时间,侥幸成功后也做不了什么事情。,Network and Information Security,(4)开启账户锁定策略:开启账户锁定策略后,黑客尝试密码错误达到一定次数后,该账户将被锁定而不能登录。打开【控制面板】窗口,双击【管理工具】图标,出现【管理工具】窗口后,双击【本地安全策略】图标,出现【本地安全设置】窗口。在【本地安全设置】窗口左侧依次选择【账户策略】|【账户锁定策略】,右侧会列出3条策略。,Network and Information Security,9.1.2 网上邻居的安全设置 1简单共享与高级共享 在Windows的网上邻居中,有两种文件共享方式,分别是
6、简单共享与高级共享,默认使用简单共享。简单共享的设置很简单,但客户机只能以Guest用户身份访问服务器;高级共享的设置较复杂,但客户机能以其他用户身份访问服务器。若没有特殊要求,使用简单共享就可以了。 使用简单共享方式时,客户机只能以Guest用户身份访问服务器,所以在服务器上Guest用户必须启用,否则服务器无法共享文件夹。,Network and Information Security,2网上邻居的安全设置 Windows的网上邻居虽然有用,但却是一个安全隐患,设置不当会给用户带来危害。网上邻居的安全设置主要有以下内容: (1)停用Guest用户:不使用简单文件共享时,一定要停用Gues
7、t用户。 (2)及时取消共享:仅在必要的时候设置共享文件夹,一旦用完及时取消共享。 (3)建立专门共享用户:建议使用高级文件共享,要专门建立一个用户,在设置共享文件夹的权限时,仅允许该用户访问,不要使用【Everyone】用户组。仅允许该用户从网络访问本计算机,其他用户都不允许。该用户要设置较为复杂的密码,不可设置为允许空密码用户登录。,Network and Information Security,(4)禁止建立空连接:默认情况下,任何用户都可以通过空连接连上计算机,进而可以枚举出账号,猜测密码。所谓空连接,是指在不使用用户名与密码的情况下,通过网络与计算机建立的连接。可以通过修改注册表来
8、禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修改子键:SystemCurrentControlSetControlLSARestrictAnonymous,将键值改成“1”即可。 (5)禁用网上邻居:若平时不使用网上邻居,可以卸载某些组件或停止某些服务,使网上邻居无法使用。,Network and Information Security,(6)关闭默认共享:在Windows中,所有的逻辑盘与Windows的安装目录默认是共享的。要永久性地停用这些默认共享,必须修改注册表。修改主键HKEY_LOCAL_MACHINE下的子键:SYSTEMCurrentControlSetSer
9、vicesLanmanServerParameters,在该子键下新建DWORD类型的子键,键名设为AutoShareWks,键值设为0。重新启动计算机后,所有的逻辑盘与Windows的安装目录就不再共享了。,Network and Information Security,9.1.3 防病毒安全设置 (1)关闭自动播放功能:当计算机中插入U盘或光盘时,Windows 可以自动运行其上的可执行文件,这就是自动播放功能。自动播放功能默认是打开的,目前很多U盘病毒就利用了这一功能,所以应该关闭自动播放功能。单击任务栏左侧的【开始】按钮,选择【运行】菜单项,出现【运行】对话框后,在【打开】下拉列表框
10、中键入gpedit.msc,单击【确定】按钮,出现如图9-22所示的【组策略】窗口。,Network and Information Security,Network and Information Security,(2)显示隐藏文件与文件扩展名:很多病毒文件把自己设置为隐藏文件或系统文件,用户就看不到它,或是隐藏自己的扩展名,伪装成正常文件。在Windows XP的【资源管理器】中,打开【工具】菜单,选择【文件夹选项】菜单项,出现如图9-24所示的【文件夹选项】对话框。选择【查看】选项卡,在【高级设置】列表框中,不要选中【隐藏受保护的操作系统文件(推荐)】复选框,选中【显示所有文件和文件夹
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 操作系统 安全
链接地址:https://www.31doc.com/p-2912457.html