1、命名规范确定域中的用户如何被标识,命名规范可参考表2-1表2-1 命名规范规范说明用户登录名必须唯一本地用户帐号应该在本计算机上是唯一的。域用户帐号的登录名应该在域活动目录中是唯一的。最多使用20个字符Windows只识别用户名称的前20个字符避免使用无效字符无效字符包括:/|:;“=,+*!用户登录名不区分大小写用户登录名称对大小写不敏感表明用户类型在用户登录名前加上一个标识来说明用户类型口令要求为了保护对计算机的访问,每个用户必须有口令,对于口令有以下要求: , 一定为Administrator设定一个安全的口令; 使用难以猜测的口令,例如避免使用和用户名称明显相关的口令; 口令可以多达1
2、28个字符,推荐使用最少8个字符的口令; 使用大写和小写、数字和有效的非字母符号进行结合的口令。3.系统审核安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对系统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。4.网络服务和端口管理Windows中有许多用不着的服务自动处于激活状态,Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了
3、,要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。另外,需要把系统用不着的网络端口也关闭,防止黑客的攻击。用端口扫描器扫描系统所开放的端口,在Winntsystem32driversetcservices文件中有知名端口和服务的对照表可供参考。如果配置一台Web服务器,只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙,功能比较强大,可以替代防火墙的部分功能。5.IPSec策略IPsec在网络层提供安全服务,它能使系统按需选择安全协议,决定服务所使用的算法及放置密钥到相应位置。在W
4、indows操作系统中内嵌了对IPsec的支持,可以方便的建立主机到主机,网络到网络的安全通信。IPsec适用于基于IPsec策略的通信,可以使用IPsec策略来决定何时使用IPsec保护计算机之间的通信。创建 IPsec 策略时,需要配置 IPsec 规则(这些规则确定 IPsec 的行为)以及设置(设置的应用与配置的规则无关)。 配置 IPsec 策略后,必须将该策略指派给一台计算机才能实施该策略。 虽然在一台计算机上可以存在多个 IPsec 策略,但每次只能将一个 IPsec 策略指派给一台计算机。IPsec 规则确定 IPsec 必须对哪些类型的通信流进行检查;是允许通信流、阻止通信流
5、还是协商安全性;如何对 IPSec 对等方进行身份验证;以及其他设置。配置 IPsec 规则时,可以配置筛选器列表,该列表包含一个或多个筛选器、筛选器操作、身份验证方法、连接类型和 IPsec 封装模式(传输模式或隧道模式)。 IPsec 规则通常是针对特定用途(例如,“阻止所有从 Internet 到 TCP 端口 135 的入站通信流”)配置的。筛选器定义了要检查的通信流(这与防火墙规则类似)以及源和目标 IP 地址、协议和端口号(如果适用)。 筛选器操作定义了网络通信流的安全性要求。)【实验任务及内容】1安全策略配置 以系统管理员的身份登录到Windows XP操作系统,对密码策略进行修
6、改,选择【控制面板】|【管理工具】【本地安全策略】|【帐户策略】|【密码策略】,如图2-1所示。图2-1 密码策略 双击右侧【密码必须符合复杂性要求】,出现如图2-2所示的界面。如果启用该策略,则密码必须符合以下最低要求。1不能明显包含用户帐户名或用户全名的一部分;234长度至少为六个字符;必须包含以下四类字符中的三类字符: 英文大写字母( A Z ) 英文大写字母( a z ) 10个基本数字( 0 9 ) 非字母字符 ( 例如 !、$、#、% )双击右侧【密码长度最小值】,出现如图2-3所示的界面。对密码长度最小值进行修改。 图2-3 密码复杂性要求 图2-4 密码长度最小值策略设置双击右
7、侧【密码最长存留期】,出现如图2-4所示的界面。该安全设置确定系统要求用户更改密码之前可以使用该密码的时间,范围是1999天,默认为42天,设置为0表示密码永不过期。 双击右侧【密码最短存留期】,出现如图2-5所示的界面。该安全设置确定用户在可以更改密码之前必须使用该密码的时间。可以设置为1998天,密码最短使用期限必须小于密码最长使用期限。 图2-4密码最长存留期 图2-5 密码最短存留期双击右侧【强制密码历史】,出现如图2-6所示的界面。该安全设置确定与某个用户帐户相关的密码的数量,可以设置为024之间。该策略可以防止用户重新使用旧密码,确保旧密码不能继续使用,从而能够增强安全性。 双击右
8、侧【为域中所有用户使用可还原的加密来存储密码】,出现如图2-7所示的界面。该安全设置确定操作系统是否使用可还原的加密来存储密码,此策略为某些应用程序提供支持,这些应用程序使用的协议需要用户密码来进行身份验证。使用可还原的加密储存密码与储存纯文本密码在本质上是相同的。因此,除非应用程序需求比保护密码信息更重要,否则绝不要启用此策略。 图2-6 强制密码历史 图2-7 用可还原的加密来存储密码从上面这些设置项中我们不难得到一个最简单有效的密码安全方案,即首先启用“密码必须符合复杂性要求”策略,然后设置“密码最短存留期”,最后开启“强制密码历史”。设置好后,在“控制面板”中重新设置管理员的密码,这时
9、的密码不仅本身是安全的(不低于6位且包含不同类别的字符),而且以后修改密码时也不易出现与以前重复的情况了,这样的系统密码安全性非常高。2添加和管理本地用户以系统管理员的身份登录到Windows XP操作系统,通过【控制面板】|【管理工具】|【计算机管理】进入【计算机管理】界面。选择左侧【本地用户和组】|【用户】,出现如图2-8所示的界面。图2-8 用户管理界面右击【用户】条目,从菜单中选择【新用户】。添加用户名为test的用户。如图2-9所示。如果在密码策略中启用了复杂性密码要求,这时系统会提示密码不符合复杂性要求,需要按照密码复杂性要求选择密码。图2-9 添加新用户为当前用户选择合适的组,默
10、认的当前用户属于users组,下面提升test的权限,把它放入Administrators组中。方法是:在用户列表中双击test用户,出现用户属性界面,选择【隶属于】选项卡,单击【添加】按钮,出现如图2-10所示界面,在【输入对象名称来选择】编辑框中输入Administrators,单击右侧【检查名称】按钮,出现Administrators组的信息,再单击【确定】即可。图2-10 添加用户到系统管理员组中3添加域用户以Domain Admins组成员的身份登录Windows Server 2003操作系统 (虚拟机),然后打开【控制面板】|【管理工具】|【Active Directory用户和
11、计算机】,如图2-11所示。图2-11【Active Directory用户和计算机】管理界面右键单击User选项,选择【新建】|【用户】。输入【姓】|【名】以及“用户登录名”,如图2-12所示,然后单击【下一步】。图2-12 输入用户信息输入并确认密码,清除【用户下次登录时需更改密码】复选框,如图2-13所示,然后单击【下一步】。图2-13 输入新用户密码在右栏中找到刚加入的用户myuser,双击出现该用户的属性信息,单击【成员属于】选项卡,可以修改用户所属的组,修改用户的权限,如图2-14所示。图2-14 新用户的属性3系统审核设置审核策略的步骤如下:以系统管理员的身份登录到Windows
12、 XP操作系统,对审核策略进行修改,选择【控制面板】|【管理工具】|【本地安全策略】|【审核策略】,出现如图2-15所示的管理界面。图 2-15 审核策略管理界面双击右侧栏目的【审核对象访问】,出现如图2-16所示的管理界面,对对象访问的审核策略进行修改。修改完成后单击【确定】即可。图2-16 审核对象访问策略管理界面右键单击想要审核的文件或文件夹,选择弹出菜单的【属性】命令,接着在弹出的窗口中选择【安全】标签。单击【高级】按钮,然后选择【审核】标签,再单击【添加】按钮,出现如图2-17所示的界面,在此处可以对要审核的行为进行编辑。图2-17 Windows文件夹的审核项目4. 网络服务和端口
13、管理以Domain Admins组成员的身份登录Windows Server 2003操作系统 (虚拟机)。服务管理: 选择【控制面板】|【管理工具】|【服务】,如图2-18所示。图2-18 服务管理界面在右侧窗体中单击某一服务,在【操作】菜单上,单击【启动】、【停止】、【暂停】等命令对服务进行管理。要配置服务的启动方式,右键单击要配置的服务,选择【属性】,在【常规】选项卡上选择【启动类型】列表中的【自动】【手动】或【禁用】,如图2-19所示。【登录】选项卡中可以指定服务用来登录的用户帐户。图2-19 服务的启动方式关闭不用的端口。关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的
14、机会就会少一些,但是不可以认为高枕无忧了。在Winntsystem32driversetcWinntsystem32driversetcservices文件中有知名端口和服务的对照表可供参考。按顺序打开【本地连接】|【属性】|【Internet协议(TCP/IP)】|【属性】,然后单击【高级】|【选项】|【TCP/IP筛选】|【属性】,根据需要的服务开设端口,如图2-20所示。图2-20 根据需要开放端口禁止建立空连接。空连接使用的端口号是139,通过空连接可以复制文件到远端服务器,默认情况下,任何用户可通过空连接连上服务器,从而枚举帐号并猜测密码,这是一个漏洞。通过下面两种方法禁止建立空连接
15、:在注册表中找到相应的键值HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA,将DWORD值RestrictAnonymous的键值改为1 设置【本地安全策略】|【本地策略】|【安全选项】中的“网络访问:不允许 SAM 帐户和共享的匿名枚举”为启用。5. IPSec 策略配置 建立IP筛选器表登录Windows XP操作系统,选择【控制面板】|【管理工具】|【本地安全策略】,右键单击【IP安全策略,在本地计算机】,选择【管理IP筛选器表和筛选器操作】,出现如图2-21所示。图2-21 开始IPSec 策略配置在【管理IP筛选器表和筛选器操作】
16、对话框中选择【管理IP筛选器列表】选项卡,然后单击【添加】按钮,出现【IP筛选器列表】对话框,在【名称】文本框中输入“进站TCP 21”,然后在【描述】文本框中输入“允许到本机TCP端口21的进站通信”,如图2-22所示。图2-22 IP筛选器列表对话框、清除【使用“添加向导”】复选框,然后单击【添加】按钮,出现【筛选器属性】对话框。选择【寻址】选项卡,在【源地址】框中选择“任何IP地址”,在【目标地址】框中选择“我的IP地址”,如图2-23所示。然后选择【协议】选项卡,在【选择协议类型】框中选择“TCP”,在【到此端口】中输入“21”,如图2-24所示。图 2-23 筛选器寻址编辑 图2-2
17、4 筛选器协议编辑创建关于上述筛选器的IPSec 策略。单击【创建IP安全策略】,在向导中输入名称“进站TCP 21端口”,在描述中输入“允许进入本机的TCP 21端口”,如图2-25所示。单击【下一步】按钮,清除“激活默认响应规则”复选框,然后单击【下一步】按钮。图2-25 编辑安全策略名称在【正在完成IP安全策略向导】对话框中,单击以选中【编辑属性】复选框,然后单击【完成】按钮。选择【规则】选项卡,清除【使用“添加向导”】复选框,然后单击【添加】按钮,出现如图2-26所示的界面,选择【IP筛选器列表】,选中【进站TCP 21端口】选项。图 2-26 规则属性编辑选择【筛选器操作】选项卡,选
18、中【许可】,如图2-27所示。图2-27 筛选器操作选择【身份验证方法】选项卡,单击【添加】按钮,添加使用预共享密钥的方式进行身份验证,如图2-28所示。图 2-28 设置身份认证方式单击【确定】,完成规则编辑。到此,本机的IPSec 配置完成,IPSec 策略将检查进入本机的TCP端口数据包,将这些数据包与筛选器操作相匹配。以类似的方式配置Windows Server 2003(虚拟机)下的IPSec,使得虚拟机可以访问主机上的21端口,注意配置身份验证方式使用同样的预共享密钥进行身份认证。用抓包软件测试主机和虚拟机之间的通信结果。【实验报告】1.实验目的;2.实验设备及环境;3.实验内容及
19、任务;4.实验方法与步骤;i.详细描述加入本地用户的过程,并且使用该用户登录系统进行权限测试。ii.根据以下要求制定系统的审核策略:记录对计算机不成功的访问尝试;记录对C:WINNTsystem32driversetchosts文件(或者其它文件)的读写操作;记录一个管理员执行的操作以跟踪未授权的更改。iii.iv.v.根据实际需要找出本系统不需要的服务,把这些服务停掉。vi.根据实际需要制定出本系统所需要的端口,把其余的端口关掉。vii.详细描述配置IPSec的过程,叙述测试结果。5.实验结果与数据分析;6.分析讨论。【分析讨论与思考】-1. 描述各个密码安全策略的主要作用。2如何设置安全性
20、高且容易记忆的口令了3. 简述审核策略、密码策略和帐户策略的含义。4. 如何使用安全策略对域用户的权限进行设置。5分析系统审核在系统安全中的作用。6查找资料,分析Windows中空连接可能带来的危害。7分析IPSec可以防止哪些网络攻击。 Linux操作系统安全配置1.2.了解Ubuntu操作系统的特点;3.掌握Ubuntu操作系统的安全配置方法;1.操作系统 (虚拟机),目前已有大量各种各样基于 GNU/Linux 的操作系统,例如:Debian, SuSE, Gentoo, RedHat和Mandriva。Debian是一个广受称道、技术先进且有着良好支持的发行版,Ubuntu是一个自由、
21、开源的操作系统,它基于Debian,但有自己的发行版(每六个月发行一版),以用户为核心,简单易用(“能用”就行),承诺对每个发行版有18个月的安全升级支持。Ubuntu自带最新版的Gnome桌面,拥有大量的服务和桌面应用程序,Ubuntu十分注重系统的安全性,其采用Sudo工具,所有系统相关的任务均需使用此指令,并输入密码,比起传统以登入系统管理员帐号进行管理工作有更佳的安全性。Ubuntu亦注重系统的可用性,其设计为在标准安装完成后即可以让使用者投入使用的操作系统。举例来说,完成安装后,使用者不用另外安装网页浏览器、办公室软件、多媒体软件与绘图软件等日常应用的软件,因为这些软件已被安装,并可
22、随时使用。本实验在桌面版下实现,这是目前已发布的Ubuntu的最新版。1设置口令最小长度和最短使用时间口令是系统中认证用户的主要手段,系统安装时默认的口令最小长度通常为5,但为保证口令不易被猜测攻击,可增加口令的最小长度,至少等于8。为此,需修改文件/etc/中参数PASS_MIN_LEN。同时应限制口令使用时间,保证定期更换口令,建议修改参数 PASS_MIN_DAYS。具体步骤如下:打开终端,键入命令:gedit,如图3-1所示,这将以root身份打开文档编辑器。图3-1 运行命令打开文档编辑器在gedit视图下,打开文件 /etc/,增加参数PASS_MIN_LEN,设为8;修改参数 P
23、ASS_MIN_DAYS,设为30。如图3-2所示。图3-2 修改口令参数#PASS_MAX_DAYS 密码有效期天数设置为9999,实际上就是关闭了口令老化功能。#PASS_MIN_DAYS 表示自从上次密码修改以来多少天后用户才被允许修改口令。下面操作中对文件的编辑和修改,都是在gedit中完成。2用户超时注销!如果用户离开时忘记注销账户,则可能给系统安全带来隐患。可修改/etc/profile文件,保证账户在一段时间没有操作后,自动从系统注销。用gedit打开并编辑文件/etc/profile,在“HISTFILESIZE=”行的下一行增加如下一行:TMOUT=600。则所有用户将在10
24、分钟无操作后自动注销。3禁止访问重要文件对于系统中的某些关键性文件如、services等可修改其属性,防止意外修改和被普通用户查看。首先改变文件属性为600:# chmod 600 /etc/保证文件的属主为root,然后还可以将其设置为不能改变: # chattr +i /etc/这样,对该文件的任何改变都将被禁止。只有root重新设置复位标志后才能进行修改:# chattr -i /etc/4允许和禁止远程访问$在Ubuntu中可通过/etc/ 和/etc/ 这2个文件允许和禁止远程主机对本地服务的访问。通常的做法是:用gedit打开并编辑文件,加入下列行:# Deny access to
25、 everyone. ALL: ALLALL则所有服务对所有外部主机禁止,除非由文件指明允许。用gedit打开并编辑 文件,可加入下列行:#Just an example: ftp:则将允许IP地址为和主机名为的机器作为Client访问FTP服务。设置完成后,可用tcpdchk检查设置是否正确。5. 限制Shell命令记录大小默认情况下,bash shell会在文件$HOME/.bash_history中存放多达500条命令记录(根据具体的系统不同,默认记录条数不同)。系统中每个用户的主目录下都有一个这样的文件。用上述的方法打开并编辑/etc/profile文件,修改其中的选项如下:HISTF
26、ILESIZE=30或HISTSIZE=30。6注销时删除命令记录编辑/etc/skel/.bash_logout文件,增加如下行:rm -f $HOME/.bash_history这样,系统中的所有用户在注销时都会删除其命令记录。如果只需要针对某个特定用户,如root用户进行设置,则可只在该用户的主目录下修改/$HOME/.bash_history 文件,增加相同的一行即可。7限制超级用户的权力 root是所有Linux系统保护的重点,由于它权力无限,因此最好不要轻易将超级用户授权出去。但是,有些程序的安装和维护工作必须要求有超级用户的权限,在这种情况下,可以利用其他工具让这类用户有部分超级
27、用户的权限。Sudo就是这样的工具。Sudo程序允许一般用户经过组态设定后,以用户自己的密码再登录一次,取得超级用户的权限,但只能执行有限的几个指令。例如,应用sudo 后,可以让管理磁带备份的管理人员每天按时登录到系统中,取得超级用户权限去执行文档备份工作,但却没有特权去作其他只有超级用户才能作的工作。Sudo不但限制了用户的权限,而且还将每次使用sudo所执行的指令记录下来,不管该指令的执行是成功还是失败。从sudo的日志中,可以追踪到谁做了什么以及 改动了系统的哪些部分。8更改SSH端口,最好改为10000以上,别人扫描到端口的机率也会下降用上述方法打开并编辑文件/etc/ssh/sshd_config,将PORT改为1000以上端口。9防止其他主机PING本机,可以采用下列方法:在终端原形命令:echo 1 /proc/sys/net/ipv4/icmp_ignore_all用防火墙禁止(或丢弃)icmp包首先启用Iptables服务:services Iptables start配置规则:iptables A INPUT -p icmp j DROP10. 不要显示出操作系统和版本信息。如果希望某个人远程登录到你的服务器时不要显示操作系统和版本信息,打开并编辑/etc/ 文件,
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2
升级会员 