國家自然科學(xué)基金項(xiàng)目“十三五”國家重點(diǎn)出版規(guī)劃項(xiàng)目上海市精品課程特色教材上海高校優(yōu)秀教材獎(jiǎng)主編賈鐵軍何道敬

主編古樂聲羅宜元

王威劉巧紅

副主編

張書臺(tái)王堅(jiān)陳國秦

參編第9章操作系統(tǒng)及站點(diǎn)安全網(wǎng)絡(luò)安全技術(shù)及應(yīng)用實(shí)踐教程（第4版.微課版）上海高校優(yōu)質(zhì)在線課程“金牌作者”主編第9章操作系統(tǒng)及站點(diǎn)安全9.2案例分析Windows系統(tǒng)安全事件應(yīng)急響應(yīng)29.3要點(diǎn)小結(jié)39.4實(shí)驗(yàn)9WindowsServer2019安全配置與恢復(fù)4

9.1知識(shí)要點(diǎn)1

*9.5補(bǔ)充實(shí)驗(yàn)IIS10的安全配置

5*9.6補(bǔ)充實(shí)驗(yàn)

Linux安全配置6*9.7補(bǔ)充實(shí)驗(yàn)Apache服務(wù)器安全配置7國家十三五重點(diǎn)出版規(guī)劃項(xiàng)目上海高校精品課程/優(yōu)秀教材獎(jiǎng)第9章目錄●理解網(wǎng)絡(luò)操作系統(tǒng)安全的概念和內(nèi)容●掌握Windows、Unix系統(tǒng)和Linux安全策略●了解網(wǎng)絡(luò)站點(diǎn)安全技術(shù)相關(guān)概念和應(yīng)用●學(xué)會(huì)WindowsServer2019的安全配置實(shí)驗(yàn)國家十三五重點(diǎn)出版規(guī)劃項(xiàng)目上海高校精品課程/優(yōu)秀教材獎(jiǎng)第9章操作系統(tǒng)及站點(diǎn)安全

教學(xué)目標(biāo)重點(diǎn)

9.1知識(shí)要點(diǎn)9.1.1Windows系統(tǒng)的安全國家十三五重點(diǎn)出版規(guī)劃項(xiàng)目上海高校精品課程/優(yōu)秀教材獎(jiǎng)

勒索病毒致使Windows用戶受害嚴(yán)重.2017年5月,全球爆發(fā)“蠕蟲式”勒索病毒W(wǎng)annaCry，導(dǎo)致150多個(gè)國家和30多萬用戶中招，損失達(dá)80億美元。我國部分Windows用戶遭受感染，校園網(wǎng)用戶首當(dāng)其沖，大量實(shí)驗(yàn)室數(shù)據(jù)和畢業(yè)設(shè)計(jì)被鎖定加密。其攻擊傳播利用Windows網(wǎng)絡(luò)共享協(xié)議的漏洞，惡意代碼會(huì)掃描開放445文件共享端口的主機(jī)，無需用戶操作，只要開機(jī)上網(wǎng)就可在主機(jī)和服務(wù)器中植入勒索軟件，并獲取系統(tǒng)用戶名與密碼進(jìn)行內(nèi)網(wǎng)傳播。案例9-1

9.1知識(shí)要點(diǎn)9.1.1Windows系統(tǒng)的安全國家十三五重點(diǎn)出版規(guī)劃項(xiàng)目上海高校精品課程/優(yōu)秀教材獎(jiǎng)

盤點(diǎn)部分2019年全球勒索病毒事件。3月，在挪威，全球最大鋁制品生產(chǎn)商之一NorskHydro遭遇勒索軟件LockerGoga攻擊，全球整個(gè)網(wǎng)絡(luò)都宕機(jī)，影響所有的生產(chǎn)系統(tǒng)以及辦事處運(yùn)營，公司被迫關(guān)閉多條自動(dòng)化生產(chǎn)線，震蕩全球鋁制品交易市場。5月，中國某網(wǎng)約車平臺(tái)遭勒索軟件定向打擊，服務(wù)器核心數(shù)據(jù)慘遭加密，攻擊者索要巨額比特幣贖金，無奈之下向公安機(jī)關(guān)報(bào)警求助。5月，美國佛羅里達(dá)州里維埃拉，遭到勒索軟件攻擊，各項(xiàng)市政工作停擺幾周，市政緊急會(huì)議決定支付60萬美元的贖金。6月，全球最大飛機(jī)零件供應(yīng)商ASCO，在比利時(shí)的工廠遭遇勒索病毒攻擊，生產(chǎn)環(huán)境系統(tǒng)癱瘓，大約1000名工人停工，在德國、加拿大和美國的工廠也被迫停工。10月，全球最大的助聽器制造商Demant，遭勒索軟件入侵，直接經(jīng)濟(jì)損失高達(dá)9500萬美元。10月，全球知名航運(yùn)和電子商務(wù)巨頭PitneyBowes受軟件攻擊，攻擊者加密公司系統(tǒng)數(shù)據(jù)，破壞其在線服務(wù)系統(tǒng)，超九成財(cái)富全球500強(qiáng)合作企業(yè)受波及。10月，法國最大商業(yè)電視臺(tái)M6Group慘遭勒索軟件洗劫，公司電話、電子郵件、辦公及管理工具全部中斷，集體被迫“罷工”。9.1.1Windows系統(tǒng)的安全

操作系統(tǒng)是計(jì)算機(jī)系統(tǒng)最基礎(chǔ)的軟件，在信息系統(tǒng)的安全中，操作系統(tǒng)的安全性具有至關(guān)重要的基礎(chǔ)作用。一方面它直接為用戶數(shù)據(jù)提供各種保護(hù)機(jī)制，另一方面為應(yīng)用程序提供可靠的運(yùn)行環(huán)境，保證應(yīng)用程序的各種安全機(jī)制正常發(fā)揮作用。常用的操作系統(tǒng)有Windows類、NetWare類、UNIX系統(tǒng)和Linux等，其安全性對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)都很重要。

9.1.1Windows系統(tǒng)的安全9.1.1Windows系統(tǒng)的安全1.Windows系統(tǒng)的安全Windows系統(tǒng)安全主要包括六個(gè)方面：（1）文件系統(tǒng)NTFS安全存取控制、容錯(cuò)能力節(jié)省存儲(chǔ)資源（2）域活動(dòng)目錄數(shù)據(jù)庫域控制器（3）用戶和用戶組安全賬號(hào)管理器SAM、安全標(biāo)識(shí)符SID

9.1.1Windows系統(tǒng)的安全1.Windows系統(tǒng)的安全Windows系統(tǒng)安全主要包括六個(gè)方面：（4）身份驗(yàn)證交互式登錄、網(wǎng)絡(luò)身份驗(yàn)證驗(yàn)證方法：Kerberosv5、雙向驗(yàn)證、摘要式驗(yàn)證、Passport驗(yàn)證（5）訪問控制主體、客體、控制策略自主訪問控制，強(qiáng)制訪問控制（6）組策略組策略對(duì)象GPO注冊(cè)表組策略

9.1.1Windows系統(tǒng)的安全2Windows安全配置1.賬戶管理和安全策略—2.刪除所有網(wǎng)絡(luò)資源共享(管理工具)3.關(guān)閉不需要的服務(wù)(我電腦-管理)4.打開相應(yīng)的審核策略5.安全管理網(wǎng)絡(luò)服務(wù)6.清除頁面交換文件7.文件和文件夾加密運(yùn)行g(shù)pedit.msc運(yùn)行g(shù)pedit.msc運(yùn)行g(shù)pedit.msc運(yùn)行Regedit資源管理器-屬性-常規(guī)-高級(jí)-加密內(nèi)容以保護(hù)數(shù)據(jù)

9.1.1Windows系統(tǒng)的安全2.Windows安全配置（1）賬戶管理和安全策略帳戶管理管理員、Guest、運(yùn)行帳戶、陷阱帳戶帳戶名及密碼帳戶策略帳戶鎖定策略本地策略（2）禁用所有網(wǎng)絡(luò)資源共享禁用默認(rèn)共享限制IPC$缺省共享

9.1.1Windows系統(tǒng)的安全2.Windows安全配置（3）關(guān)閉不需要的服務(wù)（4）打開相應(yīng)的審核策略（5）安全管理網(wǎng)絡(luò)服務(wù)禁用遠(yuǎn)程自動(dòng)播放禁用部分資源共享（6）清除頁面交換文件（7）文件和文件夾加密

9.1.2UNIX操作系統(tǒng)的安全1.UNIX系統(tǒng)的安全性（1）UNIX安全基礎(chǔ)Unix是一個(gè)強(qiáng)大的多用戶、多任務(wù)操作系統(tǒng)，支持多種處理器架構(gòu)。最早由AT&T貝爾實(shí)驗(yàn)室開發(fā)。經(jīng)過長期發(fā)展和完善，已成為一種主流操作系統(tǒng)并衍生出基于該操作系統(tǒng)技術(shù)的產(chǎn)品大家族。由于其具有技術(shù)成熟、可靠性高、網(wǎng)絡(luò)和數(shù)據(jù)庫功能強(qiáng)、伸縮性突出和開放性好等特色，可滿足各行業(yè)實(shí)際需要。UNIX系統(tǒng)設(shè)置了3道安全屏障用于防止非授權(quán)訪問。首先，必須通過口令認(rèn)證，確認(rèn)用戶身份合法后才能允許訪問系統(tǒng)；對(duì)系統(tǒng)內(nèi)任何資源的訪問還必須越過第2道屏障，即必須獲得相應(yīng)訪問權(quán)限；對(duì)系統(tǒng)中的重要信息，UNIX系統(tǒng)提供第3道屏障——文件加密。

9.1.2UNIX操作系統(tǒng)的安全1.UNIX系統(tǒng)的安全性（1）UNIX安全基礎(chǔ)1）標(biāo)識(shí)和口令/etc/passwd文件存儲(chǔ)與標(biāo)識(shí)和口令有關(guān)的信息，每個(gè)用戶的信息占一行，格式為： LOGNAME:PASSWORD:UID:GID:USERINFO:HOME:SHELL

第1項(xiàng)是用戶名，第2項(xiàng)是加密后的口令，第3項(xiàng)是用戶標(biāo)識(shí)，第4項(xiàng)是用戶組標(biāo)識(shí)，第5項(xiàng)是系統(tǒng)管理員設(shè)置的用戶擴(kuò)展信息，第6項(xiàng)是用戶工作主目錄，最后一項(xiàng)是用戶登錄后將執(zhí)行的shell全路徑（若為空格則缺省為/bin/sh）。

9.1.2UNIX操作系統(tǒng)的安全2）文件權(quán)限UNIX以文件形式管理計(jì)算機(jī)上的存儲(chǔ)資源，并以文件形式組織各種硬件存儲(chǔ)設(shè)備如硬盤、CD-ROM等。這些硬件設(shè)備存放在/dev以及/dev/disk目錄下，是設(shè)備的特殊文件。UNIX系統(tǒng)對(duì)每個(gè)文件屬性設(shè)置一系列控制信息，以此決定用戶對(duì)文件的訪問權(quán)限。3）文件加密UNIX系統(tǒng)提供文件加密的方式來增強(qiáng)文件保護(hù)，常用的加密算法有crypt、DES、IDEA、RSA。

使用一個(gè)關(guān)鍵詞將標(biāo)準(zhǔn)輸入的信息編碼為不可讀的雜亂字符串，送到標(biāo)準(zhǔn)輸出設(shè)備。再次使用此命令，用同一關(guān)鍵詞作用于加密后的文件，可恢復(fù)文件內(nèi)容。此外，UNIX系統(tǒng)中的一些應(yīng)用程序也提供文件加/解密功能，如ed、vi和emacs。

9.1.2UNIX操作系統(tǒng)的安全1.UNIX系統(tǒng)的安全性（2）主要的風(fēng)險(xiǎn)要素1）口令失密非法用戶可以通過查看/etc/passwd文件獲得未設(shè)置口令的用戶（或雖然設(shè)置口令但是泄露），并借合法用戶名進(jìn)入系統(tǒng)，讀取或破壞文件。攻擊者使用口令猜測(cè)程序獲取口令。攻擊者通過暴力破解的方式不斷試驗(yàn)可能的口令，并將加密后口令與/etc/passwd文件中口令密文進(jìn)行比較。由于用戶在選擇口令方面的局限性，通常暴力破解成為獲取口令的最有效方式。2）文件權(quán)限某些文件權(quán)限（尤其是寫權(quán)限）的設(shè)置不當(dāng)將增加文件的不安全因素。如：/dev/kmem是一個(gè)字符設(shè)備文件，存儲(chǔ)核心程序要訪問的數(shù)據(jù)，包括用戶口令。因此不能給普通用戶讀寫權(quán)限。但ps程序卻需要讀該文件，所以，普通用戶執(zhí)行ps時(shí)可以讀取設(shè)備文件kmem的內(nèi)容。

1.UNIX系統(tǒng)的安全性3）設(shè)備特殊文件UNIX系統(tǒng)的兩類設(shè)備（塊設(shè)備和字符設(shè)備）被看作文件，存放在/dev目錄下。對(duì)于這類特別文件的訪問，實(shí)際在訪問物理設(shè)備，所以，這些特別文件是系統(tǒng)安全的一個(gè)重要方面。①內(nèi)存②塊設(shè)備③字符設(shè)備4）網(wǎng)絡(luò)系統(tǒng)UUCP（UNIXtoUNIXCopy）是唯一都可用的標(biāo)準(zhǔn)網(wǎng)絡(luò)系統(tǒng)，同時(shí)也可能是UNIX系統(tǒng)中最不安全的部分。UUCP系統(tǒng)未設(shè)置限制，允許任何UUCP系統(tǒng)外的用戶執(zhí)行任何命令和拷貝進(jìn)/出UUCP用戶可讀/寫的任何文件。9.1.2UNIX操作系統(tǒng)的安全

9.1.2UNIX操作系統(tǒng)的安全2UNIX系統(tǒng)安全配置（1）設(shè)定較高的安全級(jí)4種安全級(jí)別：①High（高級(jí)）;②Improved（改進(jìn)）；③Traditional（一般）；④Low（低級(jí)）。High級(jí)別安全性大于美國國家C2級(jí)標(biāo)準(zhǔn)。在安裝UNIX系統(tǒng)過程中，通過選項(xiàng)可以設(shè)置系統(tǒng)級(jí)別。級(jí)別越高，對(duì)參數(shù)的要求越高，安全性越好，但對(duì)用戶的要求也越高，限制也越多。所以，用戶需要根據(jù)實(shí)際情況進(jìn)行設(shè)定。如果在安裝時(shí)用戶設(shè)定的級(jí)別過高或較低，可在系統(tǒng)中使用relax命令進(jìn)行安全級(jí)別設(shè)定。

9.1.2UNIX操作系統(tǒng)的安全（2）加強(qiáng)用戶口令管理超級(jí)用戶口令必須加密，而且要經(jīng)常更換口令，如發(fā)現(xiàn)口令泄密需要及時(shí)更換。其他用戶賬戶也要求口令加密，也要做到及時(shí)更換。用戶賬戶登錄及口令的管理信息默認(rèn)放在/etc/default/passwd和/etc/default/login文件中，系統(tǒng)通過兩個(gè)文件進(jìn)行賬戶及口令的管理。在兩個(gè)文件中，系統(tǒng)管理員可以設(shè)定口令的最大長度、最小長度、口令的最長生存周數(shù)、最小生存周數(shù)、允許用戶連續(xù)登錄失敗的次數(shù)、要求口令注冊(cè)情況（是否要口令注冊(cè)）等。系統(tǒng)管理員可以對(duì)這些參數(shù)進(jìn)行合理化配置，以此完善或增強(qiáng)系統(tǒng)管理。

9.1.2UNIX操作系統(tǒng)的安全（3）設(shè)立自啟動(dòng)終端用戶進(jìn)入系統(tǒng)后便擁有刪除、修改操作系統(tǒng)和應(yīng)用系統(tǒng)的程序或數(shù)據(jù)的可能性，不利于操作系統(tǒng)或應(yīng)用于系統(tǒng)程序或數(shù)據(jù)的安全。通過建立自啟動(dòng)終端的方式,可以避免操作系統(tǒng)或應(yīng)用系統(tǒng)的程序或數(shù)據(jù)被破壞。修改/etc/inittab文件，將相應(yīng)終端號(hào)狀態(tài)由off改為respawn。（4）建立封閉的用戶系統(tǒng)在自啟動(dòng)終端方式下，用戶無法在終端上運(yùn)行其他應(yīng)用程序?？赏ㄟ^建立不同的封閉用戶系統(tǒng)，自動(dòng)運(yùn)行不同的應(yīng)用系統(tǒng)。方法是：修改相應(yīng)帳戶的.profile文件。

9.1.2UNIX操作系統(tǒng)的安全（5）撤消不用的帳戶有些帳戶隨著情況的變化不再使用，這時(shí)，最好將帳戶撤消。

（6）限制注冊(cè)終端功能為防止其他部門非法使用應(yīng)用程序，可限定某些應(yīng)用程序在限定的終端使用。方法為：在相應(yīng)帳戶的.profile文件中增加識(shí)別終端的語句。（7）鎖定暫不用終端有些終端暫不使用，可用命令進(jìn)行鎖定，避免其他人在此終端上使用。

9.1.3Linux操作系統(tǒng)的安全Linux是一種類Unix的操作系統(tǒng)，提供有基本的身份標(biāo)識(shí)與鑒別、文件訪問控制、特權(quán)管理、安全審計(jì)等安全機(jī)制。Linux不屬于某一家廠商，沒有廠商宣稱對(duì)它提供安全保證，作為開放式操作系統(tǒng)，不可避免地存在一些安全隱患。Linux操作系統(tǒng)誕生于1991年，是一套免費(fèi)使用和自由傳播的類Unix操作系統(tǒng)，支持多線程和多CPU。它能運(yùn)行主要的Unix工具軟件、應(yīng)用程序和網(wǎng)絡(luò)協(xié)議，繼承了Unix以網(wǎng)絡(luò)為核心的設(shè)計(jì)思想，是一個(gè)性能穩(wěn)定的多用戶、多任務(wù)網(wǎng)絡(luò)操作系統(tǒng)。9.1.3Linux操作系統(tǒng)的安全

2017年5月Samba發(fā)布了4.6.4版本，修復(fù)了嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞。黑客利用該漏洞可通過445端口使用管道符對(duì)本地的.so文件進(jìn)行提權(quán)。比Windows版的“永恒之藍(lán)”，其漏洞更容易被攻擊。Samba是在Linux和Unix系統(tǒng)上實(shí)現(xiàn)SMB協(xié)議的開源共享服務(wù)軟件，廣泛應(yīng)用在Linux服務(wù)器、NAS網(wǎng)絡(luò)存儲(chǔ)產(chǎn)品和路由器等IoT智能硬件。如，全球流行的路由器開源固件OpenWrt就受到此漏洞影響，可導(dǎo)致路由器被控制、劫持或監(jiān)聽網(wǎng)絡(luò)流量，甚至給上網(wǎng)設(shè)備植入木馬。此外，包括智能電視等設(shè)備中，Samba文件共享也是常用的服務(wù)。案例9-29.1.3Linux操作系統(tǒng)的安全1.Linux系統(tǒng)的安全隱患

（1）權(quán)限提升類漏洞利用系統(tǒng)上一些程序的邏輯缺陷或緩沖區(qū)溢出的手段，攻擊者很容易在本地獲得Linux服務(wù)器上管理員root權(quán)限。

（2）拒絕服務(wù)類漏洞對(duì)Linux的拒絕服務(wù)大多數(shù)都無須登錄即可發(fā)起拒絕服務(wù)攻擊，使系統(tǒng)或相關(guān)的應(yīng)用程序崩潰或失去響應(yīng)能力。

9.1.3Linux操作系統(tǒng)的安全1.Linux系統(tǒng)的安全隱患（3）Linux內(nèi)核中的整數(shù)溢出漏洞攻擊者可以構(gòu)造一個(gè)特殊的XDR頭（通過設(shè)置變量intsize為負(fù)數(shù)）發(fā)送給Linux系統(tǒng)即可觸發(fā)此漏洞。當(dāng)Linux系統(tǒng)的NFSv3XDR處理程序收到這個(gè)被特殊構(gòu)造的包時(shí)，程序中的檢測(cè)語句會(huì)錯(cuò)誤地判斷包的大小，從而在內(nèi)核中拷貝巨大的內(nèi)存，導(dǎo)致內(nèi)核數(shù)據(jù)被破壞，致使Linux系統(tǒng)崩潰。（4）IP地址欺騙類漏洞IP路由IP包時(shí)對(duì)IP頭中提供的IP源地址不做任何檢查，認(rèn)為IP頭中的IP源地址即為發(fā)送該包的機(jī)器的IP地址。IP地址欺騙漏洞對(duì)很多利用Linux為操作系統(tǒng)的防火墻和IDS產(chǎn)品來說是致命的。

9.1.3Linux操作系統(tǒng)的安全2.Linux系統(tǒng)安全配置（1）取消不必要的服務(wù)檢查/etc/inetd.conf文件，在不要的服務(wù)前加上“?！碧?hào)進(jìn)行注釋。仔細(xì)檢查/etc/services文件中各端口的設(shè)定，以免有安全上的漏洞。（2）限制系統(tǒng)的出入Linux一般將口令加密之后存放在/etc/passwd文件中。普通用戶可以利用現(xiàn)成的密碼破譯工具，以窮舉法猜測(cè)出口令。設(shè)定影子文件/etc/shadow，只允許有特殊權(quán)限的用戶閱讀該文件。

9.1.3Linux操作系統(tǒng)的安全（3）保持最新的系統(tǒng)核心及時(shí)更新程序和系統(tǒng)補(bǔ)丁。設(shè)定Kernel的功能時(shí)，只選擇必要的功能，不要所有功能全部安裝，否則會(huì)使Kernel變得很大，既占用系統(tǒng)資源，也給攻擊者留下可乘之機(jī)。（4）檢查登錄密碼沒有良好的密碼，將給系統(tǒng)造成很大的安全漏洞。利用密碼破解程序找出容易被黑客破解的密碼，先行修改。

9.1.4Web站點(diǎn)的安全

2017年2月，著名的網(wǎng)絡(luò)服務(wù)商CloudFlare曝出“云出血”漏洞，導(dǎo)致用戶信息在互聯(lián)網(wǎng)上泄露長達(dá)數(shù)月時(shí)間。據(jù)谷歌安全工程師TavisOrmandy披露，CloudFlare將大量用戶數(shù)據(jù)泄露在谷歌搜索引擎的緩存頁面中，包括完整的https請(qǐng)求、客戶端IP地址、完整的響應(yīng)、cookie、密碼、密鑰和各種數(shù)據(jù)。經(jīng)過分析，CloudFlare漏洞是一個(gè)HTML解析器問題。由于程序員把>=錯(cuò)誤地寫成了==，導(dǎo)致出現(xiàn)內(nèi)存泄露。包括優(yōu)步(Uber)、密碼管理軟件1password、運(yùn)動(dòng)手環(huán)公司FitBit等多家用戶信息泄露。案例9-39.1.4Web站點(diǎn)的安全

Web站點(diǎn)采用瀏覽器/服務(wù)器（B/S）架構(gòu)，通過超文本傳送協(xié)議（HypertextTransferProtocol，HTTP）提供Web服務(wù)器和客戶端之間的通信，這種結(jié)構(gòu)也稱為Web架構(gòu)。

隨著Web2.0的發(fā)展，出現(xiàn)了數(shù)據(jù)與服務(wù)處理分離、服務(wù)與數(shù)據(jù)分布式等變化，其交互性能增強(qiáng)，稱為瀏覽器/服務(wù)器/數(shù)據(jù)庫（B/S/D）三層結(jié)構(gòu)。

9.1.4Web站點(diǎn)的安全1.Web站點(diǎn)安全措施（1）瀏覽器和Web站點(diǎn)通信步驟

1）連接：Web瀏覽器與Web服務(wù)器建立連接，打開一個(gè)稱為socket（套接字）的虛擬文件，此文件的建立標(biāo)志著連接建立成功。

2）請(qǐng)求：Web瀏覽器通過socket向Web服務(wù)器提交請(qǐng)求。3）應(yīng)答：Web瀏覽器提交請(qǐng)求后，通過HTTP協(xié)議傳送給Web服務(wù)器，Web服務(wù)器接到后進(jìn)行事務(wù)處理，處理結(jié)果又通過HTTP協(xié)議回傳給Web瀏覽器，從而在Web瀏覽器上顯示出所請(qǐng)求的頁面。

4）關(guān)閉連接：當(dāng)應(yīng)答結(jié)束后，Web瀏覽器與Web服務(wù)器必須斷開，以保證其它Web瀏覽器能夠與Web服務(wù)器建立連接。

9.1.4Web站點(diǎn)的安全（2）Web網(wǎng)站全方位安全措施1）硬件安全是不容忽視的問題，所存在的環(huán)境不應(yīng)該存在對(duì)硬件有損傷和威脅的因素，如溫濕度的不適宜、過多的灰塵和電磁干擾、水火隱患的威脅等。2）增強(qiáng)服務(wù)器操作系統(tǒng)的安全，密切關(guān)注并及時(shí)安裝系統(tǒng)及軟件的最新補(bǔ)?。唤⒘己玫馁~號(hào)管理制度，使用足夠安全的口令，并正確設(shè)置用戶訪問權(quán)限。

3）恰當(dāng)?shù)嘏渲肳eb服務(wù)器，只保留必要的服務(wù)，刪除和關(guān)閉無用的或不必要的服務(wù)。4）對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，使用如SSL等安全協(xié)議，避免使用Telnet、FTP等程序，明文傳輸。5）及時(shí)的升級(jí)病毒庫和防火墻安全策略表。6）做好系統(tǒng)審計(jì)功能的設(shè)置，定期對(duì)各種日志進(jìn)行整理和分析。7）制定相應(yīng)的符合本部門情況的系統(tǒng)軟硬件訪問制度。

9.1.4Web站點(diǎn)的安全2.Web站點(diǎn)的安全策略（1）系統(tǒng)安全策略的配置1）限制匿名訪問本機(jī)用戶

選擇“開始”→“控制面板”→“管理工具”→“本地安全策略”→“本地策略”→“安全選項(xiàng)”→雙擊“對(duì)匿名連接的額外限制”，在下拉菜單中選擇“不允許枚舉SAM帳號(hào)和共享”，單擊“確定”完成設(shè)置。2）限制遠(yuǎn)程用戶對(duì)光驅(qū)或軟驅(qū)的訪問

選擇“開始”→“控制面板”→“管理工具”→“本地安全策略”→“本地策略”→“安全選項(xiàng)”→雙擊“只有本地登錄用戶才能訪問軟盤”，在單選按鈕中選擇“已啟用（E）”，單擊“確定”完成設(shè)置。3）限制遠(yuǎn)程用戶對(duì)NetMeeting的共享“開始”→“運(yùn)行”→輸入“gpedit.msc”→“計(jì)算機(jī)配置”→“管理模板”→“Windows組件”→“NetMeeting”→“禁用遠(yuǎn)程桌面共享”→右鍵后在單選按鈕中選擇“啟用(E)”,單擊“確定”完成。4）限制用戶執(zhí)行Windows安裝任務(wù)此策略可防止在系統(tǒng)上安裝軟件。

9.1.4Web站點(diǎn)的安全（2）IIS安全策略的應(yīng)用不使用默認(rèn)的Web站點(diǎn)，避免外界對(duì)網(wǎng)站的攻擊。1）停止默認(rèn)的Web站點(diǎn)

選擇“開始”→“控制面板”→“管理工具”→“Internet服務(wù)管理器”→“計(jì)算機(jī)名稱”，選擇“默認(rèn)Web站點(diǎn)”并通過右鍵，在出現(xiàn)的窗口中選擇“停止”完成設(shè)置。2）刪除不必要的虛擬目錄

選擇“開始”→“控制面板”→“管理工具”→“Internet服務(wù)管理器”→“計(jì)算機(jī)名稱”→選擇“默認(rèn)Web站點(diǎn)”→選擇scripts→在右鍵窗口中選擇“刪除”完成更改。3）分類設(shè)置站點(diǎn)資源訪問權(quán)限

對(duì)于Web中的虛擬目錄和文件，右鍵單擊“屬性”選擇適當(dāng)?shù)臋?quán)限。4）修改端口值

選擇相應(yīng)站點(diǎn)的屬性，在“Web站點(diǎn)”選項(xiàng)卡中修改Web服務(wù)器默認(rèn)端口值。Web服務(wù)默認(rèn)端口值為80，給攻擊者掃描端口和攻擊網(wǎng)站帶來便利，根據(jù)需要可以改變默認(rèn)端口值，增強(qiáng)其站點(diǎn)的安全性。

9.1.4Web站點(diǎn)的安全（3）審核日志策略的配置1）設(shè)置登錄審核日志“開始”→“控制面板”→“管理工具”→“本地安全策略”→“本地策略”→“審核策略”→雙擊“審核賬戶登錄事件”，在復(fù)選框中選擇“成功(S)，失敗(F)”。2）設(shè)置HTTP審核日志設(shè)置日志的屬性，具體方法如下：“開始”→“控制面板”→“管理工具”→“Internet服務(wù)管理器”→“計(jì)算機(jī)名稱”選擇站點(diǎn)名稱→右鍵→“屬性”在Web選項(xiàng)卡中，選擇“W3C擴(kuò)充日志文件格式”的“屬性”→對(duì)“常規(guī)屬性”和“擴(kuò)充的屬性”進(jìn)行設(shè)置。修改日志的存放位置HTTP審核日志的默認(rèn)位置在安裝目錄的\system32\LogFile下，建議與Web主目錄文件放在不同的分區(qū)，防止攻擊者惡意篡改日志，操作與（1）類似，但是，在“常規(guī)屬性”選項(xiàng)卡中，選擇“日志文件目錄（L）：”的“瀏覽”，并指定一個(gè)新目錄，單擊“確定”完成設(shè)置。

9.2案例分析Windows系統(tǒng)安全事件應(yīng)急響應(yīng)9.2.1.Windows系統(tǒng)的應(yīng)急事件分類Windows系統(tǒng)的應(yīng)急事件，按照處理的方式，可分為下面幾種類別。1）病毒、木馬、蠕蟲等事件。2）Web服務(wù)器入侵事件或第三方服務(wù)入侵事件。3）系統(tǒng)入侵事件，如利用Windows的漏洞攻擊入侵系統(tǒng)、利用弱口令入侵、利用其他服務(wù)的漏洞入侵，跟Web入侵有所區(qū)別，Web入侵需要對(duì)Web日志進(jìn)行分析，系統(tǒng)入侵只能查看Windows的事件日志。4）網(wǎng)絡(luò)攻擊事件（DDoS、ARP、DNS劫持等）。

9.2案例分析Windows系統(tǒng)安全事件應(yīng)急響應(yīng)9.2.2系統(tǒng)安全事件排查思路入侵痕跡需要調(diào)查清楚時(shí)間、位置和異常情況和受害用戶的緊急處理，其次，清楚產(chǎn)生這種異常的原因、特征和痕跡，最后才是排除各種可能，確定入侵過程。

如機(jī)器名稱、操作系統(tǒng)版本、系統(tǒng)安裝時(shí)間、啟動(dòng)時(shí)間、域名、補(bǔ)丁安裝情況?？梢允褂胹ysteminfo命令獲取，也可以運(yùn)行msinfo32查看計(jì)算機(jī)的詳細(xì)信息。

9.2案例分析Windows系統(tǒng)安全事件應(yīng)急響應(yīng)9.2.2系統(tǒng)安全事件排查思路直接檢查相關(guān)日志

任何人員、程序、進(jìn)程操作都會(huì)導(dǎo)致產(chǎn)生相關(guān)日志，日志記錄了系統(tǒng)中硬件、軟件和系統(tǒng)問題的信息，同時(shí)還監(jiān)視著系統(tǒng)中發(fā)生的事件。當(dāng)服務(wù)器被入侵或者系統(tǒng)（應(yīng)用）出現(xiàn)問題時(shí)，管理員可以根據(jù)日志迅速定位問題的關(guān)鍵，再快速處理問題，從而極大地提高工作效率和服務(wù)器的安全性。Widows系統(tǒng)通過自帶事件查看器管理日志，可以使用命令Eventvwr.msc打開，或者使用搜索框直接搜索事件查看器，也可以使用“開始菜單-Windows管理工具-事件查看器”打開，如下圖。

9.2案例分析Windows系統(tǒng)安全事件應(yīng)急響應(yīng)9.2.2系統(tǒng)安全事件排查思路1.直接檢查相關(guān)日志（1）系統(tǒng)日志系統(tǒng)日志包含Windows系統(tǒng)組件記錄的事件。（2）應(yīng)用程序日志應(yīng)用程序日志包含由應(yīng)用程序或程序記錄的事件。（3）安全日志安全日志包含諸如有效和無效的登錄嘗試等事件，以及與資源使用相關(guān)的事件，如創(chuàng)建、打開或刪除文件或其他對(duì)象。管理員可以指定在安全日志中記錄什么事件。（4）應(yīng)用程序和服務(wù)日志應(yīng)用程序和服務(wù)日志是一種新類別的事件日志。這些日志存儲(chǔ)來自單個(gè)應(yīng)用程序或組件的事件，而非可能影響整個(gè)系統(tǒng)的事件。

9.2案例分析Windows系統(tǒng)安全事件應(yīng)急響應(yīng)9.2.2系統(tǒng)安全事件排查思路2.檢查賬戶的方式檢查賬戶的幾種方式:（1）在本地用戶和組里查看，運(yùn)行l(wèi)usrmgr.msc。（2）用netuser列出當(dāng)前登錄賬號(hào)，用wmicUserAccountget列出當(dāng)前系統(tǒng)所有賬戶。（3）檢查注冊(cè)表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList,HKLM\SAM\Domains\Account\（默認(rèn)是SYSTEM）權(quán)限，需要配置成管理員權(quán)限查看。SID位于HKU\和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList兩個(gè)密鑰中。

用戶SID可以在值“Profilelist”下找到Subkeys（在用戶登錄系統(tǒng)時(shí)創(chuàng)建）。值“ProfileImagePath”將列出該特定用戶的配置文件的路徑。在操作系統(tǒng)級(jí)別，SID可識(shí)別無疑問題的賬戶。

9.2案例分析Windows系統(tǒng)安全事件應(yīng)急響應(yīng)9.2.2系統(tǒng)安全事件排查思路3.檢查網(wǎng)絡(luò)連接檢查網(wǎng)絡(luò)監(jiān)聽、連接的端口和應(yīng)用程序。使用命令：netstat-anob輸出主機(jī)上的所有偵聽和活動(dòng)連接，包括PID和連接到每個(gè)連接的程序的名稱。這也告訴Netstat返回連接的IP地址，而不是試圖確定它們的主機(jī)名。-a：顯示所有連接和偵聽端口。-b：顯示在創(chuàng)建每個(gè)連接或偵聽端口時(shí)涉及的可執(zhí)行程序。-n：以數(shù)字形式顯示地址和端口號(hào)。-o：顯示擁有的與每個(gè)連接關(guān)聯(lián)的進(jìn)程ID。-r：顯示路由表。結(jié)合findstr命令查找特定的端口或程序，發(fā)現(xiàn)的感覺異常的IP地址可以在威脅情報(bào)平臺(tái)上查詢，如果是已知的惡意IP，可以比較快速地確認(rèn)攻擊方式。

9.2案例分析Windows系統(tǒng)安全事件應(yīng)急響應(yīng)9.2.2系統(tǒng)安全事件排查思路4.檢查進(jìn)程

進(jìn)程通常結(jié)合網(wǎng)絡(luò)查看異常，先檢查異常的網(wǎng)絡(luò)連接，再獲取由哪個(gè)進(jìn)程生成的網(wǎng)絡(luò)連接，具體命令如下：netstat-abno|find"portnumber"tasklist|findstrPID可以使用wmic命令獲取進(jìn)程信息，具體命令如下：wmicprocess|find"ProccessId">proc.csvGet-WmiObject-ClassWin32_ProcessGet-WmiObject-Query"select*fromwin32_servicewherename='WinRM'"-ComputerNameServer01,Server02|Format-List-PropertyPSComputerName,Name,ExitCode,Name,ProcessID,StartMode,State,StatusPowerShell的其他關(guān)于進(jìn)程和網(wǎng)絡(luò)的命令如下Get-ProcessGet-NetTCPConnectionGet-NetTCPConnection-StateEstablished

9.2案例分析Windows系統(tǒng)安全事件應(yīng)急響應(yīng)9.2.2系統(tǒng)安全事件排查思路4.檢查進(jìn)程如果需要查看進(jìn)程跟服務(wù)的對(duì)應(yīng)關(guān)系，可以使用如下命令：tasklist/svc另外，可以使用SysinternalsSuite的procexp獲取進(jìn)程比較詳細(xì)的信息，如真實(shí)路徑、加載的DLL文件等、CPU和內(nèi)存使用情況等。（1）內(nèi)存dump有2種比較方便的方法：第一種是使用系統(tǒng)自帶功能，在計(jì)算機(jī)屬性，系統(tǒng)屬性，高級(jí)選項(xiàng)卡中選擇“啟動(dòng)和故障恢復(fù)設(shè)置”，選擇完全轉(zhuǎn)儲(chǔ)內(nèi)存,重啟后在配置的文件位置可以找到上次轉(zhuǎn)儲(chǔ)的內(nèi)存文件。另外一種方法，使用SysinternalsSuite工具集的notmyfault64工具，在使用管理員權(quán)限的命令行模式下（cmd、PowerShell），運(yùn)行NotMyFault64.exe/crash。（2）內(nèi)存分析利用Volatility進(jìn)行內(nèi)存取證，分析入侵攻擊痕跡，包括網(wǎng)絡(luò)連接、進(jìn)程、服務(wù)、驅(qū)動(dòng)模塊、DLL、handles、檢測(cè)進(jìn)程注入、檢測(cè)Meterpreter、cmd歷史命令、IE瀏覽器歷史記錄、啟動(dòng)項(xiàng)、用戶、shimcache、userassist、部分rootkit隱藏文件、cmdliner等。

9.2案例分析Windows系統(tǒng)安全事件應(yīng)急響應(yīng)9.2.2系統(tǒng)安全事件排查思路5.檢查開機(jī)啟動(dòng)和運(yùn)行服務(wù)（1）開機(jī)啟動(dòng)需要分析的位置：1）注冊(cè)表中的關(guān)于開機(jī)啟動(dòng)的位置HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceHKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\RunHKLM\Software\Microsoft\Windows\CurrentVersion\RunHKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows\RunHKCU\Software\Microsoft\Windows\CurrentVersion\RunHKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce(ProfilePath)\StartMenu\Programs\Startup2）開始菜單，啟動(dòng)項(xiàng)里（C:\ProgramData\Microsoft\Windows\StartMenu\Programs\Startup）。3）任務(wù)管理器，啟動(dòng)選項(xiàng)卡，或者運(yùn)行msconfig，查看啟動(dòng)選項(xiàng)卡。4）運(yùn)行g(shù)pedit.msc在本地組策略編輯器里查看開機(jī)運(yùn)行腳本，包括計(jì)算機(jī)配置和用戶配置的。5）使用SysinternalsSuite工具集的Autoruns工具查看開機(jī)啟動(dòng)項(xiàng)目（2）查看服務(wù)狀態(tài)1）服務(wù)狀態(tài)，自動(dòng)啟動(dòng)配置，在PowerShell下可以運(yùn)行：Get-Service2）運(yùn)行services.msc可以打開Windows服務(wù)工具，常見的GUI界面。

9.2案例分析Windows系統(tǒng)安全事件應(yīng)急響應(yīng)9.2.2系統(tǒng)安全事件排查思路6.檢查計(jì)劃任務(wù)存放計(jì)劃任務(wù)的文件如下：C:\Windows\System32\Tasks\C:\Windows\SysWOW64\Tasks\C:\Windows\tasks\*.job（指文件）

使用命令查看計(jì)劃任務(wù)schtasks，運(yùn)行taskschd.msc打開計(jì)劃任務(wù)面板，或者從計(jì)算機(jī)管理進(jìn)入，直接查看計(jì)劃任務(wù)，如圖所示。

9.2案例分析Windows系統(tǒng)安全事件應(yīng)急響應(yīng)9.2.2系統(tǒng)安全事件排查思路7.檢查文件檢查可疑文件的思路，一種是通過可疑進(jìn)程（CPU利用率、進(jìn)程名）關(guān)聯(lián)的文件，一種是按照時(shí)間現(xiàn)象關(guān)聯(lián)的文件，文件大小也可以作為輔助的判斷方法，文件的操作可以使用Get-ChildItem命令查看。

8.檢查注冊(cè)表注冊(cè)表目錄含義：HKEY_CLASSES_ROOT（HKCR）：此處存儲(chǔ)的信息可確保在Windows資源管理器中執(zhí)行時(shí)打開正確的程序。它還包含有關(guān)拖放規(guī)則，快捷方式和用戶界面信息的更多詳細(xì)信息。HKEY_CURRENT_USER（HKCU）：包含當(dāng)前登錄系統(tǒng)的用戶的配置信息，包括用戶的文件夾，屏幕顏色和控制面板設(shè)置。HKEY_USERS中特定于用戶的分支的別名。通用信息通常適用于所有用戶，并且是HKU.DEFAULT。HKEY_LOCAL_MACHINE（H??KLM）：包含運(yùn)行操作系統(tǒng)的計(jì)算機(jī)硬件特定信息。它包括系統(tǒng)上安裝的驅(qū)動(dòng)器列表以及已安裝硬件和應(yīng)用程序的通用配置。HKEY_USERS（HKU）：包含系統(tǒng)上所有用戶配置文件的配置信息，包括應(yīng)用程序配置和可視設(shè)置。HKEY_CURRENT_CONFIG（HCU）：存儲(chǔ)有關(guān)系統(tǒng)當(dāng)前配置的信息。

9.2案例分析Windows系統(tǒng)安全事件應(yīng)急響應(yīng)9.2.3特定事件痕跡檢查1挖礦病毒應(yīng)急（1）傳播方式通?？赡艿膫鞑シ绞剑?）通過社工、釣魚方式下載和運(yùn)行了挖礦程序（郵件、IM等）。2）利用計(jì)算機(jī)系統(tǒng)遠(yuǎn)程代碼執(zhí)行漏洞下載、上傳和執(zhí)行挖礦程序。3）利用計(jì)算機(jī)Web或第三方軟件漏洞獲取計(jì)算機(jī)權(quán)限，然后下載和執(zhí)行挖礦程序。4）利用弱口令進(jìn)入系統(tǒng)，下載和執(zhí)行挖礦程序。5）執(zhí)行Web頁面的挖礦JS腳本。（2）挖礦程序特點(diǎn)1）CPU、GPU、內(nèi)存利用率高。2）網(wǎng)絡(luò)會(huì)連接一些礦工IP，可以通過威脅情報(bào)獲取。

9.2案例分析Windows系統(tǒng)安全事件應(yīng)急響應(yīng)9.2.3特定事件痕跡檢查1挖礦病毒應(yīng)急（1）傳播方式1）通過社工、釣魚方式下載和運(yùn)行了挖礦程序（郵件、IM等）。2）利用計(jì)算機(jī)系統(tǒng)遠(yuǎn)程代碼執(zhí)行漏洞下載、上傳和執(zhí)行挖礦程序。3）利用計(jì)算機(jī)Web或第三方軟件漏洞獲取計(jì)算機(jī)權(quán)限，然后下載和執(zhí)行挖礦程序。4）利用弱口令進(jìn)入系統(tǒng)，下載和執(zhí)行挖礦程序。5）執(zhí)行Web頁面的挖礦JS腳本。（2）挖礦程序特點(diǎn)1）CPU、GPU、內(nèi)存利用率高。2）網(wǎng)絡(luò)會(huì)連接一些礦工IP，可以通過威脅情報(bào)獲取。（3）挖礦程序應(yīng)急目的1）找出入侵原因。2）找到挖礦程序，并刪除。

9.2案例分析Windows系統(tǒng)安全事件應(yīng)急響應(yīng)9.2.3特定事件痕跡檢查2勒索病毒事件應(yīng)急（1）傳播方式1）通?？赡艿膫鞑シ绞?。2）通過社工、釣魚方式下載和運(yùn)行了勒索程序（郵件、IM等）。3）利用計(jì)算機(jī)系統(tǒng)遠(yuǎn)程代碼執(zhí)行漏洞下載、上傳和執(zhí)行勒索病毒。4）利用計(jì)算機(jī)Web或第三方軟件漏洞獲取計(jì)算機(jī)權(quán)限，然后下載和執(zhí)行勒索病毒。5）利用弱口令進(jìn)入計(jì)算機(jī)系統(tǒng)，下載和執(zhí)行勒索病毒。（2）勒索病毒特點(diǎn)1）各種數(shù)據(jù)文件和可執(zhí)行程序生成奇怪的后綴名。2）明顯的提示，要交贖金。（3）勒索病毒應(yīng)急目的1）如果是重要數(shù)據(jù)，交付贖金恢復(fù)數(shù)據(jù)。2）找到入侵的原因，排查同類漏洞，并進(jìn)行加固（一般是重裝）。確認(rèn)勒索病毒后要立即拔掉網(wǎng)線，限制傳播范圍。

9.3要點(diǎn)小結(jié)要點(diǎn)小結(jié)本章介紹主要常用操作系統(tǒng)安全及系統(tǒng)安全事件應(yīng)急響應(yīng)的相關(guān)知識(shí)。

Windows操作系統(tǒng)的系統(tǒng)安全性以及安全配置是重點(diǎn)之一。簡要介紹Unix操作系統(tǒng)的安全知識(shí)。Linux是源代碼公開的操作系統(tǒng)，本章介紹了Linux系統(tǒng)的安全和安全配置相關(guān)內(nèi)容。本章對(duì)Web站點(diǎn)的結(jié)構(gòu)及相關(guān)概念進(jìn)行介紹，并對(duì)其安全配置進(jìn)行闡述。系統(tǒng)出現(xiàn)安全事件后，應(yīng)急響應(yīng)處置是一種發(fā)現(xiàn)問題、減少損失的很好方式，本章重點(diǎn)對(duì)系統(tǒng)安全事件應(yīng)急響應(yīng)排查思路及痕跡檢查進(jìn)行介紹。

9.4WindowsServer2019安全配置實(shí)驗(yàn)

WindowsServer2019是微軟的一個(gè)服務(wù)器操作系統(tǒng)，繼承了WindowsServer2016的功能和特點(diǎn)，盡管WindowsServer2019系統(tǒng)的安全性能要比其他系統(tǒng)的安全性能高出許多，但為了增強(qiáng)系統(tǒng)的安全，必須要進(jìn)行安全的配置，并且在系統(tǒng)遭到破壞時(shí)能恢復(fù)原有系統(tǒng)和數(shù)據(jù)。9.4.1實(shí)驗(yàn)?zāi)康模?）熟悉WindowsSever2019的安全配置過程及方法；（2）掌握WindowsSever2019的恢復(fù)要點(diǎn)及方法。9.4.2實(shí)驗(yàn)要求本實(shí)驗(yàn)以WindowsSever2019操作系統(tǒng)作為實(shí)驗(yàn)對(duì)象，所以，需要一臺(tái)主機(jī)并且安裝有WindowsSever2019操作系統(tǒng)。

9.4WindowsServer2019安全配置實(shí)驗(yàn)2.注意事項(xiàng)1）預(yù)習(xí)準(zhǔn)備。由于本實(shí)驗(yàn)內(nèi)容是對(duì)WindowsSever2019操作系統(tǒng)進(jìn)行安全配置，需要提前熟悉WindowsSever2019操作系統(tǒng)的相關(guān)操作。2）注重內(nèi)容的理解。隨著操作系統(tǒng)的不斷翻新，本實(shí)驗(yàn)是以WindowsSever2019操作系統(tǒng)為實(shí)驗(yàn)對(duì)象，對(duì)于其它操作系統(tǒng)基本都有類似的安全配置，但為配置方法或安全強(qiáng)度會(huì)有區(qū)別，所以需要理解其原理，做到安全配置及系統(tǒng)恢復(fù)“心中有數(shù)”。3）實(shí)驗(yàn)學(xué)時(shí)。本實(shí)驗(yàn)大約需要2個(gè)學(xué)時(shí)（90-120分鐘）完成。

9.4WindowsServer2019安全配置實(shí)驗(yàn)?zāi)彻久貢跈?quán)可以登錄領(lǐng)導(dǎo)的主機(jī)，定期為領(lǐng)導(dǎo)備份文件，并執(zhí)行網(wǎng)絡(luò)配置方面等有關(guān)管理工作，因此，在領(lǐng)導(dǎo)的主機(jī)中要新建一個(gè)用戶組，滿足秘書的應(yīng)用需求。案例9-41．本地用戶管理和組操作步驟：新建賬戶“secretary”和用戶組“日常工作”，“日常工作”組具有“NetworkConfigurationOperators”的權(quán)限，并secretary添加到“日常工作”組中。

9.4.3實(shí)驗(yàn)內(nèi)容及步驟9.4.3實(shí)驗(yàn)內(nèi)容及步驟1．本地用戶管理和組1）新建賬戶：“開始”中選擇“Windows管理工具”下的“計(jì)算機(jī)管理”，彈出窗口，展開“本地用戶和組”，右鍵單擊“用戶”,新建“secretary”賬戶,在此窗口中也可以設(shè)置密碼等屬性。2）管理賬戶：右鍵單擊賬戶，可以設(shè)置密碼、刪除賬號(hào)或重命名；右鍵單擊賬戶，選擇“屬性”，在“隸屬于”選項(xiàng)卡中將secretary賬戶添加到BackupOperations組和NetConfigurationOperators組中，即為secretary賬戶授予BackupOperations組和NetConfigurationOperators組的權(quán)限。3）新建本地組：右鍵單擊“組”，窗口，填寫組名和描述信息，并選擇“添加”，將secretary添加到日常工作組中，這樣，日常工作組也具有BackupOperations組和NetConfigurationOperators組的權(quán)限。9.4WindowsServer2019安全配置實(shí)驗(yàn)

9.4WindowsServer2019安全配置實(shí)驗(yàn)公司管理層網(wǎng)絡(luò)安全策略要求：啟用密碼復(fù)雜性策略，將密碼最小長度設(shè)置為8個(gè)字符，設(shè)置密碼使用期限為30天，當(dāng)用戶多次輸入錯(cuò)誤數(shù)據(jù)超過3次賬戶將被鎖定，鎖定時(shí)間為5分鐘；啟用審核登錄成功和失敗策略，登錄失敗后，通過事件查看器查看Windows日志；啟用審核對(duì)象訪問策略，用戶對(duì)文件訪問后，通過事件查看器查看Windows日志。案例9-52．本地安全策略操作步驟：在本地安全策略中分別設(shè)置密碼策略、賬戶鎖定策略、審核登錄時(shí)間策略和審核對(duì)象訪問策略。

9.4.3實(shí)驗(yàn)內(nèi)容及步驟2．本地安全策略1）密碼策略設(shè)置：“開始”下的“Windows管理工具”中“本地安全策略”，選擇“賬戶策略”中的“密碼策略”，啟動(dòng)密碼復(fù)雜性策略；設(shè)置“密碼長度最小值”為“8”個(gè)字符；密碼最長使用期限默認(rèn)為“42”天，設(shè)置為“30”天。2）賬戶鎖定策略設(shè)置：“開始”下的“Windows管理工具”中“本地安全策略”，選擇“賬戶策略”中的“賬戶鎖定策略”，設(shè)置賬戶鎖定時(shí)間為“5”分鐘；賬戶鎖定閾值為“3”次。注意：初始賬戶鎖定時(shí)間和重置賬戶鎖定計(jì)數(shù)器為“不適用”，需設(shè)定賬戶鎖定閾值后才能進(jìn)行設(shè)定。3）審核策略設(shè)置：“開始”下的“Windows管理工具”中“本地安全策略”，選擇“本地策略”中的“審核策略”，審核登錄事件設(shè)置為“失敗”；審核對(duì)象訪問設(shè)置為“失敗”。9.4WindowsServer2019安全配置實(shí)驗(yàn)

9.4WindowsServer2019安全配置實(shí)驗(yàn)

經(jīng)理擬下發(fā)通知，保存在“通知”文件夾中，經(jīng)理對(duì)該文件夾及文件可以完全控制，秘書只有修改文稿的權(quán)限，其他人員只有瀏覽的權(quán)限。案例9-63.NTFS權(quán)限操作步驟：首先要取消“通知”文件夾的父項(xiàng)繼承的權(quán)限，之后分配Administrators組（經(jīng)理）完全控制的權(quán)限、日常工作組（秘書）除了刪除權(quán)限以外各權(quán)限和Users組（其他人員）只讀權(quán)限。

9.4.3實(shí)驗(yàn)內(nèi)容及步驟3．NTFS權(quán)限1）取消文件夾的父項(xiàng)繼承的權(quán)限：右鍵單擊“通知”文件夾，選擇“屬性”命令中“安全”標(biāo)簽下“高級(jí)”選項(xiàng)中的“禁用繼承”，跳出“阻止繼承”對(duì)話框，選擇“從此對(duì)象中刪除所有已繼承的權(quán)限”。刪除繼承權(quán)后，任何用戶對(duì)該文件夾都無訪問權(quán)限，只有該對(duì)象的所有者可分配權(quán)限。2）經(jīng)理權(quán)限：右鍵單擊“通知”文件夾，選擇“屬性”命令中的“安全”標(biāo)簽，選擇“高級(jí)”下“添加”中的“立即查找”，添加經(jīng)理的Administrator賬戶，點(diǎn)擊“確定”后打開“通知的權(quán)限項(xiàng)目”窗口，選擇“完全控制”。3）秘書權(quán)限：在“通知的高級(jí)安全設(shè)置”窗口中繼續(xù)添加日常工作組，點(diǎn)擊“確定”后打開“通知的權(quán)限項(xiàng)目”窗口，選擇“創(chuàng)建文件/寫入數(shù)據(jù)”。4）其他用戶權(quán)限：在“通知的高級(jí)安全設(shè)置”窗口中繼續(xù)添加Users組，點(diǎn)擊“確定”后打開“通知的權(quán)限項(xiàng)目”窗口，選擇“列出文件夾/讀取數(shù)據(jù)”。9.4WindowsServer2019安全配置實(shí)驗(yàn)

9.4WindowsServer2019安全配置實(shí)驗(yàn)

公司為了考核每個(gè)員工的工作執(zhí)行情況，秘書要對(duì)每個(gè)員工每天任務(wù)完成情況填寫“工作日志”，并定期匯總，為了防止大量數(shù)據(jù)丟失，公司要求每周五下班前進(jìn)行數(shù)據(jù)備份，即使系統(tǒng)出現(xiàn)安全問題，也可以進(jìn)行數(shù)據(jù)恢復(fù)。案例9-74．?dāng)?shù)據(jù)備份和還原操作步驟：首先要在系統(tǒng)中安裝Backup功能組件，所有員工的工作日志是按照每天一個(gè)文件夾存放，這樣可以每周五對(duì)該周日志進(jìn)行一次性備份。

9.4.3實(shí)驗(yàn)內(nèi)容及步驟4．?dāng)?shù)據(jù)備份和還原1）安裝備份功能組件：“開始”下的“服務(wù)器管理器”中“添加角色和功能”，選擇“WindowsServer備份”安裝系統(tǒng)備份功能。2）一次性備份：“開始”下的“Windows附件”中“WindowsServer備份”，該界面的右側(cè)可以選擇“一次性備份”，當(dāng)向?qū)нM(jìn)行到“選擇備份配置”時(shí)，選擇“自定義”，之后選擇“系統(tǒng)磁盤”進(jìn)行備份。3）備份計(jì)劃：“開始”下的“Windows附件”中“WindowsServer備份”，該界面的右側(cè)可以選擇“備份計(jì)劃”，根據(jù)“備份計(jì)劃向?qū)А蓖瓿蓚浞萦?jì)劃設(shè)置。9.4WindowsServer2019安全配置實(shí)驗(yàn)

9.5補(bǔ)充實(shí)驗(yàn)IIS10安全配置實(shí)驗(yàn)9.5.1實(shí)驗(yàn)?zāi)康?/p>

（1）掌握IIS10的基本環(huán)境配置過程及方法；

（2）掌握IIS10的安全配置要點(diǎn)及方法。9.5.2實(shí)驗(yàn)要求實(shí)驗(yàn)設(shè)備：安裝有WindowsSever2016或2019的計(jì)算機(jī)。實(shí)驗(yàn)用時(shí)：2學(xué)時(shí)。

9.5.3實(shí)驗(yàn)內(nèi)容及步驟1．Windows安全配置因?yàn)镮IS的用戶同時(shí)也是Windows系統(tǒng)的用戶，并且IIS目錄的權(quán)限依賴Windows的NTFS文件系統(tǒng)的權(quán)限控制，所以保護(hù)IIS安全的第一步就是確保Windows操作系統(tǒng)的安全。在完成9.4實(shí)驗(yàn)的基礎(chǔ)上，進(jìn)行如下操作。1）創(chuàng)建一個(gè)陷阱用戶。首先將系統(tǒng)Administrator賬號(hào)改名（如GBOY），偽裝成普通用戶。然后創(chuàng)建一個(gè)名為“Administrator”的本地用戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并加上一個(gè)超過10位的超級(jí)復(fù)雜密碼。這樣可以讓那些Hacker們忙上一段時(shí)間，借此發(fā)現(xiàn)它們的入侵企圖。2）開啟系統(tǒng)審計(jì)功能。系統(tǒng)權(quán)限的設(shè)置在本地策略里面-審核策略，將審核策略、審核登錄事件、審核對(duì)象、審核過程跟蹤、審核目錄服務(wù)訪問、審核特權(quán)使用、審核系統(tǒng)事件、審核賬戶登錄事件、審核賬戶管理設(shè)置為審計(jì)。9.5補(bǔ)充實(shí)驗(yàn)IIS10安全配置實(shí)驗(yàn)

2.IIS環(huán)境配置1）安裝類型。依次打開“開始菜單”-“服務(wù)器管理器”-“管理”-“添加角色和功能”，選擇“基于角色或基于功能的安裝”，單擊“下一步”；2）目標(biāo)服務(wù)器。選擇“從服務(wù)器池中選擇服務(wù)器”，單擊“下一步”；3