kl800.com省心范文网

网络管理与安全8


网络管理与安全技术

李 艇

Windows 2000
? Windows 2000原名是Windows NT 5.0,随 着多种测试版本的发行,人们开始从各个侧 面加深对它的认识。全新的界面、高度集成 的功能、巩固的安全性、便捷的操作,都为 计算机专业人员、普通用户带来莫大的惊喜 ? Windows 2000在界面、风格与功能上都具 有统一性,是一种真正面向对象的操作系统, 用户在操作本机的资源和远程资源时不会感 到有什么不同

本章主要内容
? ? ? ? 操作系统安全基础 Windows 2000 安全结构 Windows 2000 文件系统安全 Windows 2000 账号安全

?
? ? ?

GPO 的编辑
活动目录安全性考察 Windows 2000 缺省值的安全性评估 Windows 2000 主机安全

8.1操作系统安全是系统安全的基础
?各种应用软件均建立在操作系统提供的 系统软件平台之上,上层的应用软件要 想获得运行的高可靠性和信息的完整性、 保密性,必须依赖于操作系统提供的系 统软件基础

操作系统安全级别
级别 系统的安全可信性 D 最低安全性 C1 自主存取控制 C2 较完善的自主存取控制(DAC)、审计 B1 B2 B3 A1 强制存取控制(MAC) 良好的结构化设计、形式化安全模型 全面的访问控制、可信恢复 形式化认证

常见操作系统安全级别
操作系统 SCO OpenServer 安全级别 C2

OSF/1 Windows NT/ 2000
Solaris

B1 C2
C2

DOS UnixWare 2.1/ES

D B2

常见威胁类型 (一)
威胁类型 示 例

自然和物理的 水灾、火灾、风暴、地震、 停电 无意的 不知情的员工、不知情的 顾客 故意的 攻击者、恐怖分子、工业 间谍、黑客、恶意代码

常见威胁类型 (二)
安全漏洞类型 物理的 自然的 硬件和软件 媒介 通信 人为 门窗未锁 灭火系统失灵 防病毒软件过期 电干扰 未加密协议 不可靠的技术支持 示 例

8.2 Windows 2000 安全结构
安全六要素

审计 管理 加密 访问控制

用户验证 安全策略

8.2.2 Windows 2000 安全组件 (一)
? 灵活的访问控制
? Windows 2000支持C2级标准要求的灵活访问控制

? 对象重用
? Windows 2000很明确地阻止所有的应用程序不可以 访问被另—应用程序使用所占用资源内的信息(比 如内存或磁盘)

Windows 2000 安全组件 (一)
? 强制登录
? Windows 2000用户在能访问任何资源前必须 通过登录来验证他们的身份
数据

服务

访问

打印

浏览

Windows 2000 安全组件 (二)
?审计
? 因为Windows 2000采用单独地机制来控制对任何 资源的访问,所以这种机制可以集中地记录下所 有的访问活动

?控制对象的访问
? Windows 2000不允许直接访问系统里的资源,这 种不许直接访问是允许访问控制的关键

8.2.4安全的组成部分(一)
? 安全标识符
? 安全标识符(SID)是统计上地唯一的数组 分配给所有的用户、组、和计算机 ? 每次当一个新用户或组被建立的时候,它们 都会接收到一个唯一的SID ? 每当Windows 2000安装完毕并启动的时候, 也会有一个新的SID分配给这台计算机 ? SID标识了用户、组和计算机的唯一性,不 仅仅是在某台特定的电脑上还包括和其它计 算机交互的时候

安全的组成部分(二)
? 访问令牌
? 访问令牌是由用户的SID、用户所属于组的 SID、用户名、用户所在组的组名构成的 ? 访问令牌就好比用户能够访问计算机资源的 “入场券”。无论何时用户企图进行访问, 都要向Windows NT出示访问令牌

安全的组成部分(三)
? 安全描述符
? Windows NT内的每个对象都有一个安全描述 符作为它们属性的一部分。 ? 安全描述符持有对象的安全设置。 ? 安全描述符是由对象属主的SID、组SID,灵 活访问控制列表以及计算机访问控制列表。

安全的组成部分(四)
?访问控制列表
? 灵活访问控制列表里记录用户和组以及它们的 相关权限,要么允许要么拒绝

?访问控制条目
? 每个访问控制条目(ACE)包含用户或组的SID 及对对象所持有的权限。对象分配的每个权限 都有一个ACE ? 访问控制条目有二种类型:允许访问或拒绝访 问。在访问控制列表里拒绝访问ACE优先于允许 访问

8.2.5Windows 2000 安全机制(一)
?帐号安全
? 计算机帐户 ? 活动目录用户帐户

Windows 2000 安全机制(二)

?文件系统安全
? NTFS文件系统使用关系型数据库、事务处理以及对象 技术,以提供数据安全以及文件可靠性的特性

Windows 2000 安全机制(三)
?认证 Kerberos 5
? Kerberos是一种被证明为非常安全的双向身 份认证技术 ? 其身份认证强调了客户机对服务器的认证, 而别的身份认证技术往往只解决了服务器对客 户机的认证 ? Kerberos有效地防止了来自服务器端身份冒 领的欺骗

Windows 2000 安全机制(四)
?NTLM 认证
? Windows 2000中仍然保留NTLM(NT-LanMan)认 证,以便向后兼容 ? 运行DOS、Windows 3.x、Windows 95、Windows 98、Windows NT 3.5和Windows NT 4.0的客户 仍然需要LM和NTLM支持 ? 但LanManager中的哈希算法有漏洞 ? l0pht已经发布用于破解NT系统中SAM文件的工 具l0phtcrack ? Windows 2000已支持新的更安全的认证协议 NTLM 2

Windows 2000 安全机制(五)
?Active Directory
? 管理员可以浏览活动目录,对域用户、用户组和 网络资源进行管理 ? 可以通过活动目录指定局部管理员,每人以自己 的安全性及许可权限进行管理分类
管理员 域用户 用户组 网络资源

8.3 Windows 2000文件系统安全
NTFS权限 读取(R) 写入(W) 基于目录 基于文件

显示目录名,属性, 显示文件数据,属性,所有者及权 所有者及权限 限 添加文件和目录,改 显示所有者和权限、改变文件的属 变一个属性以及显示 性、在文件内加入数据 所有者和权限

执行(X)

显示属性,可进入目 显示文件属性、所有者和权限、如 录中的目录,显示所 果是可执行文件可运行 有者利权限
可删除目录 可删除文件 改变文件的权限

删除(D)

改变权限(P) 改变目录的权限

取得所有权(O)取得目录的所有权

取得文件的所有权

NT有关权限的标准

标准权限 不可访问 列出 读取 添加 添加和读取 更改 完全控制

基于目录 无 RX RX WX RWS-X? RWXD ALL 无 不适用 RX 不适用 RX RWXD ALL

基于文件

NT共享权限列表
权限 完全控制 允许 改变文件的权限;在NTFS卷上取得文件 的所有权;能够完成所有有更改权限所 执行的任务 创建目录和添加文件;更改文件内的数 据;更改文件的属性能够完成所有有更 改权限所执行的任务

更改

读取
不可访问

显示目录和文件名:文件数据和属性; 运行应用程序文件
只能建立连接,不能访问目录中的内容

8.3.2 文件系统类型
?Fat16文件系统
? FAT文件系统最初用于小型磁盘和简单文件结 构的简单文件系统 ? 标准文件分配表(FAT),在<511MB的卷中 使用。 ? 没有安全设置,不推荐使用

FAT 16 文件系统默认的簇大小

分区大小 0M~32M 33M~64M 65M~128M 129M~255M 256M~511M 512M~1023M 1024M~2047M 2048~4095M

扇区数/每簇 1 2 4 8 16 32 64 128

簇大小(字节) 512 1K 2K 4K 8K 16K 32K 64K

文件系统类型
?Fat 32 文件系统(增强的文件分配表)
? FAT32文件系统提供了比FAT文件系统更为先 进的文件管理特性 ? 作为FAT文件系统的增强版本,它可以在容量 从512 MB到2TB的驱动器上使用 ? 没有安全设置,不推荐使用

文件系统类型
?NTFS 文件系统
? NTFS文件系统包括了公司环境中文件服务器和高端 个人计算机所需的安全特性 NTFS文件系统还支持对于关键数据完整性十分重要 的数据访问控制和私有权限 NTFS是Windows 2000 中唯一允许为单个文件指定权 限的文件系统 当从NTFS卷移动到FAT卷时,NTFS文件系统权限及特有 属性会丢失。(可操作) 使用convert.ex 将FAT或FAT32的分区转化为NTFS分区。
(可操作)

?
? ? ?

NTFS 文件系统默认的簇大小
分区大小 512M或更小 扇区数/每簇 1 簇大小(字节) 512

513M~1024M(1GB) 1025M~2048M(2GB) 2049M~4096M(4GB) 4097M~8192M(8GB)
8193M~16384M(16GB) 16385M~32768M(32GB)

2 4 8 16
32 64

1K 2K 4K 8K
16K 32K

几种文件系统的比较
文件系统
对比项目 FAT16 FAT32 只 有 对 Windows 95 OSR2,Windows 98 和 Windows 2000三种操作 系统可以访问本地文件 NTFS 运 行 Windows 2000 Server的计算机可以访问 本地硬盘中的文件,运行 Windows NT 4.0及SP 4或 更高版本的计算机可以访 问本地的部分文件,其他 操作系统不能访问本地文 件 与 操 作 系 M S - D O S, 统的兼容性 所有版本的Wi n d o w s, Windows NT, Windows 2000 和 OS/2都可访问本 地文件

支持磁盘

从软盘容量直到 从 5 1 2 MB 到 2 TB, 在 最小大约10 MB,建议实 4 GB,不支持域 Windows 2000中,用户 际最大是2 TB,不能用于 只能把FAT 32卷最大格 软盘 式化到32 GB 最大文件为2 GB 不 支 持 域 , 最 大 文 件 4 文件大小只受限于卷的大 GB 小

文件大小

文件系统类型
?DFS 文件系统 ? 分布式文件系统(Distributed File System, DFS) 的作用是不管文件的物理分布情况,可 以把文件组织成为树状的分层次逻辑结构,便 于用户访问网络文件资源、加强容错能力和网 络负载均衡等 ? 需要安装DFS服务,在微软管理界面MMC中创建 一个DFS的根。 ? 文件的物理位置变动不会影响用户使用。 ? Hacker难以跟踪文件的实际位置。

8.4 Windows 2000账号安全
帐号重命名

? 对默认的帐号重命名。包括administrator、 guest以及其它一些由安装软件时(如IIs) 所自动建立的帐号

帐号策略
? 帐号策略的设置是通过域用户管理器来实

施的,从策略的菜单中选择用户权限. ? 第一项是有关密码的时效; ? 第二项是有关密码长度的限制,以及帐号 锁定等机制 .

实现强壮的密码
至少六个字符 不含用户名部分

强壮的密码 要有大小写字母, 数字,和通配符等

不使用名字和生日

禁止枚举账号
? 由于Windows 2000的默认安装允许任何用 户通过空用户得到系统所有账号和共享列表, 这本来是为了方便局域网用户共享资源和文 件的,但是,任何一个远程用户通过同样的 方法都能得到账户列表,使用暴力法破解账 户密码后,对我们的电脑进行攻击,所以必 须采用以下方法禁止这种行为

禁止枚举账号

Administrator账号更名
Windows 2000 的Administrator账号是不能 被停用的,也不能设置安全策略,这样黑客可 以一遍又一遍地尝试这个账户的密码,直到破 解,所以要在“计算机管理”中把 Administrator账户更名来防止这一点.
?

应该做点什么

本地策略设置界面

禁用 Guest 账号
? Guest账号是一个非常危险的漏洞,因为 黑客可以使用这个账号登录机器。

禁用Guest帐户

禁止Guest帐户登录本机

8.5 GPO的编辑
? Windows 2000的得意之作 GPO (Group Policy Object) ,通过 GPO 来实现一个超 强功能的中央集权的组策略,此策略是建立 在活动目录(Active Directory)基础之上 的

组策略

?组策略是什么?
? GPO是一种与域、地址或组织单元相联系的物 理策略 ? 在Windows 2000中,GPO包括文件和AD对象

组策略和 AD
? 要充分发挥GPO的功能,需要有AD域 架构的支持,利用AD可以定义一个集中的 策略,所有的Windows 2000服务器和工作 站都可以采用它

8.6 活动目录安全性考察

? Windows 2000 Server活动目录是一个完全 可扩展、可伸缩的目录服务,既能满足商业 ISP的需要,又能满足企业内部网和外联网的 需要,充分体现了微软产品集成性、深入性 和易用性等优点

活动目录的安全特性(一)
?集成性
结合了三个方面的管理内容 ? 用户和资源管理 ? 基于目录的网络服务 ? 基于网络的应用管理

活动目录的安全特性(二)
?集成性
? 目录管理的基本对象是用户和计算机,还 包括文件、打印机等资源 ? 活动目录完全采用了Internet标准协议 ? 活动目录集成了关键服务和关键安全性

活动目录的安全特性(三)
?深入性
? Windows 2000活动目录的深入性主要体现在其 企业级的可伸缩性、安全性、互操作性、编程 能力和升级能力上

活动目录的安全特性(四)
?深入性 ? Windows 2000活动目录允许用户组建单域来管
理少量的网络对象,也允许用户通过域目录管 理成万上亿个对象 ? 活动目录的域树和域森林的组建方法,可帮助 用户使用容器层次来模拟一个企业的组织结构 ? Windows 2000活动目录和其安全性服务紧密结 合,相辅相成,共同完成安全任务和协同管理

活动目录的安全特性(五)
?易用性
? Windows 2000活动目录主要体现在其简易的安 装和管理上 ? 主要有三个活动目录的管理界面( MMC )
? 活动目录用户和计算机管理 ? 活动目录的域和域信任关系的管理 ? 活动目录的站点管理

活动目录的安全特性(六)
?易用性
管理员还可以方便地进行管理授权 ? 活动目录充分地考虑到了备份和恢复目录 服务的需要
?

8.7Windows 2000缺省值的安全性评估

?Windows 2000包含许多默认的设置和选项, 允许更复杂的管理 ? 这些系统默认值可以被有经验的攻击者用 来渗透系统。有些默认值不能改变,但有些 可以改变 ? 这些改变可以提供足够的安全性

Windows 2000缺省值的安全性评估(二)
?默认目录
? 使用不同的目录对合法用户不会造成任何影响, 但对于那些企图通过类似WEB服务器这样的介质 远程访问文件的攻击者来说大大地增加了难度

Windows 2000缺省值的安全性评估(三)
?默认帐号
? 增加了攻击者猜测帐户的难度

Windows 2000缺省值的安全性评估(五)
?默认共享
? 仅仅是针对管理而配置的,形成一个没必要的 风险,成为攻击者一个常见的目标 ? 可以通过增加注册表相应的键值来禁止这些管 理用的共享

8.8 Windows 2000主机安全

?合理的配置Windows 2000,那么windows 2000将会是一个很安全的操作系统

初级安全(一)
?物理安全
? 重要的服务器应该安放在安装了监视器的隔离房间 内;机箱,键盘,电脑桌抽屉要上锁

?停掉Guest 帐号
? 在计算机管理的用户里面把guest帐号停用掉,任 何时候都不允许guest帐号登录系统;最好给guest 加一个复杂的密码

?限制不必要的用户数量
? 去掉不必要的帐户;去掉不用的帐户;给用户组策 略设置相应权限

初级安全(二)
?创建2个管理员用帐号
? 创建一个一般权限帐号用来收信以及处理一些 日常事物,另一个拥有Administrators 权限的 帐户只在需要的时候使用

?把系统administrator帐号改名
? 尽量把Administrator帐户伪装成普通用户

?创建一个陷阱帐号
? 用于迷惑非法入侵者,并借此发现他们的入侵 企图

初级安全(三)
?把共享文件的权限从”everyone”组改成“授权用 户”
? 任何时候都不要把共享文件的用户设置成“everyone” 组

?使用安全密码
? 一个好的密码对于一个网络是非常重要的,设置密码的 有效期,还要注意经常更改密码

?设置屏幕保护密码
? 设置屏幕保护密码也是防止内部人员破坏服务器的一个 屏障;不要使用OpenGL和一些复杂的屏幕保护程序,以 免浪费系统资源

初级安全(四)
?使用NTFS格式分区
? NTFS文件系统要比FAT,FAT32的文件系统安全 得多

?运行防毒软件
? 好的杀毒软件不仅能杀掉一些著名的病毒,还 能查杀大量木马和后门程序。经常升级病毒库

?保障备份盘的安全
? 把备份盘防在安全的地方。千万别把资料备份 在同一台服务器上

中级安全(一)
?利用安全配置工具来配置策略
? 充分利用基于MMC(管理控制台)安全配置和分 析工具,增强系统安全性

?关闭不必要的服务
? 不必要的服务带来安全隐患;确保正确的配置 了终端服务;留意服务器上面开启的所有服务

?关闭不必要的端口
? 关闭端口意味着减少功能,在安全和功能上 面需要作一点决策

中级安全(二)
? 高级 TCP/IP 设置

中级安全(三)
? TCP/IP 筛选

中级安全(四)
?打开审核策略
? 开启安全审核是Windows 2000最基本的入侵检测方 法

中级安全(五)
?Windows 2000 三种类型的日志记录事件
? 应用程序日志 ? 系统日志 ? 安全日志

中级安全(六)
? 事件查看器

中级安全(七)
? 安全日志

中级安全(八)
? 安全日志属性

中级安全(九)
?开启密码策略
? 开启密码复杂性要求、设置密码长度最小值、 开启强制密码历史、设置强制密码最长存留期 等

?开启帐户策略
? 设置复位帐户锁定计数器、帐户锁定时间、帐 户锁定阈值

中级安全(十)
? 更改账户策略

中级安全(十一)
?设定安全记录的访问权限
? 把安全记录设置成只有Administrator和系统帐 户才有权访问

?把敏感文件存放在另外的文件服务器中
? 有必要把一些重要的用户数据存放在另外一个 安全的服务器中,并且经常备份它们

?不让系统显示上次登陆的用户名
? 防止入侵者容易得到系统的用户名,进而作密 码猜测

中级安全(十二)
?禁止建立空连接
? 用户可以通过空连接连上服务器,进而枚举出 帐号,猜测密码

?下载最新的补丁程序
? 经常访问微软和一些安全站点,下载最新的 service pack和漏洞补丁,是保障服务器长久 安全的唯一方法

Windows XP 的安全特性
? Internet 连接防火墙 ? 软件限制政策

Windows XP 的安全特性

? 智能卡的支持 ? Kerberos V5鉴定协议

本章小结

?本章从操作系统入手,着重讨论了Windows 的安全结构。随后,我们从Windows 2000的文 件系统安全、账号安全等方面加强了对 Windows 2000 的安全认识。


赞助商链接

网络管理篇 学校网络信息安全责任制度

网络管理篇 学校网络信息安全责任制度 - 南京市长城小学 网络信息安全维护制度 一、指导思想: 为了确保校园网络及信息安全, 学校校园网用户必须严格遵守有 关法律...

安全管控网络体系8.5

诚南煤业矿井建设安全管控网络体系诚南煤业属于资源整合后的新建矿井,抓好基本建设...-8- (6)施工现场应实行封闭管理,要有针对性的安全标志、警示标牌,总 平面...

网络安全管理与维护-复习资料

网络安全管理与维护-复习资料 - 《网络安全管理与维护》复习资料 一、选择题 1、各种通信和 TCP/IP 之间的接口是 TCP/IP 分层结构中的(A) A、数据链路层 ...

网络安全与管理练习题1(已做)

网络安全与管理练习题1(已做)_工学_高等教育_教育专区。《网络安全与管理》...安全威胁 B.IDEA D.RSA A ) B.X.509 标准 D.PKI 应用接口系统 C ) 8...

计算机网络信息安全管理制度

计算机网络信息安全管理制度 - 计算机网络信息安全管理制度 1、凡使用计生专网的网络系统内都适用本安全管理制度。 2、本安全管理制度所称计算机信息系统,是指由...

网络管理的意义

网络管理的意义 - 网络管理的意义及方案 IT 安全运维管理解决方案 1. 行业概述 随着企业信息化的发展, 业务和应用完全依赖于计算机网络计算机终端, 对于网络设 ...

《网络安全与管理》第05章在线测试

网络安全与管理》第05章在线测试 - 《网络安全与管理》第 05 章在线测试 剩余时间:59:05 答题须知:1、本卷满分 20 分。 2、答完题后,请一定要单击下面...

信息与网络管理中心信息安全保密管理办法

信息与网络管理中心信息安全保密管理办法 - 信息与网络管理中心信息安全保密管理办法 为加强信息化建设安全保密工作,维护集团安全和利益,结合信息化建设工 作实际,特...

28-信息网络安全管理制度

28-信息网络安全管理制度 - 信息网络安全管理制度 1. 北京三得电子技术有限公司信息网络 (包括内网、 外网)由技术部统一管理。 2. 凡需联接网络的用户,必须填写...

网络安全使用管理制度

网络安全使用管理制度 - 网络安全使用管理制度 1、 目的 为维护正常工作次序,规范个人用户的上网行为,提升工作效率,更好的利用公司 网络资源,并保证网络安全,特制定...