1、項(xiàng)目2 Windows系統(tǒng)安全加固,項(xiàng)目1 雙機(jī)互連對(duì)等網(wǎng)絡(luò)的組建,2.1 項(xiàng)目提出,張先生的計(jì)算機(jī)新裝了Windows Server 2003操作系統(tǒng)，該系統(tǒng)具有高性能、高可靠性和高安全性等特點(diǎn)。 Windows Server 2003在默認(rèn)安裝的時(shí)候，基于安全的考慮已經(jīng)實(shí)施了很多安全策略，但由于服務(wù)器操作系統(tǒng)的特殊性，在默認(rèn)安裝完成后還需要張先生對(duì)其進(jìn)行安全加固，進(jìn)一步提升服務(wù)器操作系統(tǒng)的安全性，保證應(yīng)用系統(tǒng)以及數(shù)據(jù)庫(kù)系統(tǒng)的安全。,2.2 項(xiàng)目分析,在安裝Windows Server 2003操作系統(tǒng)時(shí)，為了提高系統(tǒng)的安全性，張先生按系統(tǒng)建議，采用最小化方式安裝，只安裝網(wǎng)絡(luò)服務(wù)所必需的組件

2、。如果以后有新的服務(wù)需求，再安裝相應(yīng)的服務(wù)組件，并及時(shí)進(jìn)行安全設(shè)置。 在完成操作系統(tǒng)安裝全過(guò)程后，張先生要對(duì)Windows系統(tǒng)安全性方面進(jìn)行加固，系統(tǒng)加固工作主要包括賬戶安全配置、密碼安全配置、系統(tǒng)安全配置、服務(wù)安全配置以及禁用注冊(cè)表編輯器等內(nèi)容，從而使得操作系統(tǒng)變得更加安全可靠，為以后的工作提供一個(gè)良好的環(huán)境平臺(tái)。,操作系統(tǒng)的安全是整個(gè)計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)，其安全問(wèn)題日益引起人們的高度重視。 作為用戶使用計(jì)算機(jī)和網(wǎng)絡(luò)資源的操作界面，操作系統(tǒng)發(fā)揮著十分重要的作用。因此，操作系統(tǒng)本身的安全就成了安全防護(hù)的頭等大事。,2.3 相關(guān)知識(shí)點(diǎn),2.3.1 操作系統(tǒng)安全的概念 操作系統(tǒng)的安全防護(hù)研究通常包

3、括以下幾個(gè)方面的內(nèi)容。 (1) 操作系統(tǒng)本身提供的安全功能和安全服務(wù)。目前的操作系統(tǒng)本身往往要提供一定的訪問(wèn)控制、認(rèn)證與授權(quán)等方面的安全服務(wù)，如何對(duì)操作系統(tǒng)本身的安全性能進(jìn)行研究和開發(fā)使之符合選定的環(huán)境和需求。 (2) 針對(duì)各種常用的操作系統(tǒng)，進(jìn)行相關(guān)配置，使之能正確對(duì)付和防御各種入侵。 (3) 保證操作系統(tǒng)本身所提供的網(wǎng)絡(luò)服務(wù)能得到安全配置。 一般來(lái)說(shuō)，如果說(shuō)一個(gè)計(jì)算機(jī)系統(tǒng)是安全的，那么是指該系統(tǒng)能夠控制外部對(duì)系統(tǒng)信息的訪問(wèn)。也就是說(shuō)，只有經(jīng)過(guò)授權(quán)的用戶或代表該用戶運(yùn)行的進(jìn)程才能讀、寫、創(chuàng)建或刪除信息。,操作系統(tǒng)內(nèi)的活動(dòng)都可以認(rèn)為是主體對(duì)計(jì)算機(jī)系統(tǒng)內(nèi)部所有客體的一系列操作。 主體是指發(fā)出訪問(wèn)

4、操作、存取請(qǐng)求的主動(dòng)方，它包括用戶、用戶組、主機(jī)、終端或應(yīng)用進(jìn)程等。主體可以訪問(wèn)客體。 客體是指被調(diào)用的程序或要存取的數(shù)據(jù)訪問(wèn)，它包括文件、程序、內(nèi)存、目錄、隊(duì)列、進(jìn)程間報(bào)文、I/O設(shè)備和物理介質(zhì)等。 主體對(duì)客體的安全訪問(wèn)策略是一套規(guī)則，可用于確定一個(gè)主體是否對(duì)客體擁有訪問(wèn)能力。,一般所說(shuō)的操作系統(tǒng)的安全通常包含兩方面的含義： 操作系統(tǒng)在設(shè)計(jì)時(shí)通過(guò)權(quán)限訪問(wèn)控制、信息加密性保護(hù)、完整性鑒定等機(jī)制實(shí)現(xiàn)的安全； 操作系統(tǒng)在使用中，通過(guò)一系列的配置，保證操作系統(tǒng)避免由于實(shí)現(xiàn)時(shí)的缺陷或是應(yīng)用環(huán)境因素產(chǎn)生的不安全因素。 只有在這兩方面同時(shí)努力，才能夠最大可能地建立安全的操作系統(tǒng)。,2.3.2 服務(wù)與端口

5、我們知道，一臺(tái)擁有IP地址的主機(jī)可以提供許多服務(wù)，比如Web服務(wù)、FTP服務(wù)、SMTP服務(wù)等，這些服務(wù)完全可以通過(guò)1個(gè)IP地址來(lái)實(shí)現(xiàn)。那么，主機(jī)是怎樣區(qū)分不同的網(wǎng)絡(luò)服務(wù)呢？顯然不能只靠IP地址，因?yàn)镮P 地址與網(wǎng)絡(luò)服務(wù)的關(guān)系是一對(duì)多的關(guān)系。實(shí)際上是通過(guò)“IP地址端口號(hào)”來(lái)區(qū)分不同的服務(wù)的。 我們來(lái)打個(gè)形象的比喻: 假設(shè)IP地址是一棟大樓的地址，那么端口號(hào)就代表著這棟大樓的不同房間。如果一封信(數(shù)據(jù)包)上的地址僅包含了這棟大樓的地址(IP)而沒(méi)有具體的房間號(hào)(端口號(hào))，那么沒(méi)有人知道誰(shuí)(網(wǎng)絡(luò)服務(wù))應(yīng)該去接收它。為了讓郵遞成功，發(fā)信人不僅需要寫明大樓的地址(IP地址)，還需要標(biāo)注具體的收信人房間號(hào)

6、(端口號(hào))，這樣這封信才能被順利地投遞到它應(yīng)該前往的房間。,端口是計(jì)算機(jī)與外界通訊的渠道，它們就像一道道門一樣控制著數(shù)據(jù)與指令的傳輸。各類數(shù)據(jù)包在最終封包時(shí)都會(huì)加入端口信息，以便在數(shù)據(jù)包接收后拆包識(shí)別。我們知道，許多蠕蟲病毒正是利用了端口信息才能實(shí)現(xiàn)惡意騷擾的。所以，對(duì)于原本脆弱的Windows系統(tǒng)來(lái)說(shuō)，有必要把一些危險(xiǎn)而又不常用到的端口關(guān)閉或是封鎖，以保證網(wǎng)絡(luò)安全。 同樣的，面對(duì)網(wǎng)絡(luò)攻擊時(shí)，端口對(duì)于黑客來(lái)說(shuō)至關(guān)重要。每一項(xiàng)服務(wù)都對(duì)應(yīng)相應(yīng)的端口號(hào)，比如我們?yōu)g覽網(wǎng)頁(yè)時(shí)，需要服務(wù)器提供WWW服務(wù)，端口號(hào)是80，SMTP服務(wù)的端口號(hào)是25，F(xiàn)TP服務(wù)的端口號(hào)是21，如果企業(yè)中的服務(wù)器僅僅是文件服務(wù)或

7、者做內(nèi)網(wǎng)交換，應(yīng)關(guān)閉不必要的端口，因?yàn)樵陉P(guān)閉這些端口后，可以進(jìn)一步保障系統(tǒng)的安全。,我們知道，在 TCP和 UDP協(xié)議中，源端口和目標(biāo)端口是用一個(gè)16位無(wú)符號(hào)整數(shù)來(lái)表示的，這就意味著端口號(hào)共有65536個(gè)(216，065535)。 按對(duì)應(yīng)的協(xié)議類型，端口有兩種：TCP端口和UDP端口。由于TCP和UDP 兩個(gè)協(xié)議是獨(dú)立的，因此各自的端口號(hào)也相互獨(dú)立，比如TCP有235端口，UDP也可以有235端口，兩者并不沖突。,IETF定義了以下三種端口組。 (1) 公認(rèn)端口(Well-Known Ports)：從0到1023，它們緊密綁定（binding）于一些服務(wù)。通常這些端口的通訊明確表明了某種服務(wù)的

8、協(xié)議。例如：80端口實(shí)際上總是HTTP通訊。 (2) 注冊(cè)端口（Registered Ports）：從1024到49151。它們松散地綁定于一些服務(wù)。也就是說(shuō)有許多服務(wù)綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統(tǒng)處理動(dòng)態(tài)端口從1024左右開始。 (3) 動(dòng)態(tài)和/或私有端口（Dynamic and/or Private Ports）：從49152到65535。理論上，不應(yīng)為服務(wù)分配這些端口。實(shí)際上，機(jī)器通常從1024起分配動(dòng)態(tài)端口。但也有例外：SUN的RPC端口從32768開始。,管理好端口號(hào)在網(wǎng)絡(luò)安全中有著非常重要的意義，黑客往往通過(guò)探測(cè)目標(biāo)主機(jī)開啟的端口號(hào)進(jìn)行攻擊。所以，對(duì)那

9、些沒(méi)有用到的端口號(hào)，最好將它們關(guān)閉。 一個(gè)通信連接中，源端口與目標(biāo)端口并不是相同的，如客戶機(jī)訪問(wèn)WWW服務(wù)器時(shí)，WWW服務(wù)器使用的是80端口，而客戶端的端口則是系統(tǒng)動(dòng)態(tài)分配的大于1023的隨機(jī)端口。,開啟的端口可能被攻擊者利用，如利用掃描軟件，可以掃描到目標(biāo)主機(jī)中開啟的端口及服務(wù)，因?yàn)樘峁┓?wù)就有可能存在漏洞。 入侵者通常會(huì)用掃描軟件對(duì)對(duì)目標(biāo)主機(jī)的端口進(jìn)行掃描，以確定哪些端口是開放的。從開放的端口，入侵者可以知道目標(biāo)主機(jī)大致提供了哪些服務(wù)，進(jìn)而尋找可能存在的漏洞。因此對(duì)端口的掃描有助于了解目標(biāo)主機(jī)，從管理角度來(lái)看，掃描本機(jī)的端口也是做好安全防范的前提。 查看端口的相關(guān)工具有：Windows系統(tǒng)

10、中的netstat命令、fport軟件、activeport軟件、superscan軟件、Visual Sniffer軟件等，此類命令或軟件可用來(lái)查看主機(jī)所開放的端口。,可以在網(wǎng)上查看各種服務(wù)對(duì)應(yīng)的端口號(hào)和木馬后門常用端口來(lái)判斷系統(tǒng)中的可疑端口中，并通過(guò)軟件查看開啟此端口的進(jìn)程。 確定可疑端口和進(jìn)程后，可以利用防火墻來(lái)屏蔽此端口，也可以通過(guò)選擇本地連接TCP/IP高級(jí)選項(xiàng)TCP/IP篩選，啟用篩選機(jī)制來(lái)過(guò)濾這些端口； 對(duì)于Windows系統(tǒng)主機(jī)，如不對(duì)外提供服務(wù)也可以進(jìn)行過(guò)濾設(shè)置。對(duì)于網(wǎng)絡(luò)中的普通客戶計(jì)算機(jī)，可以限制對(duì)外的所有的端口，不必對(duì)外提供任何服務(wù)；而對(duì)于服務(wù)器，則把需要提供服務(wù)的端口，

11、如WWW服務(wù)端口80等開放，不使用的其他端口則全部關(guān)閉?？梢岳枚丝诓榭垂ぞ邫z查開啟的非業(yè)務(wù)端口。,關(guān)閉端口的方法非常簡(jiǎn)單，在“控制面板”“管理工具”“服務(wù)”中即可配置。 一些端口常常會(huì)被攻擊者或病毒木馬所利用，如端口21、22、23、25、80、110、111、119、135、137、138、139、161、177、389、3389等。關(guān)于常見(jiàn)木馬程序所使用的端口可以在網(wǎng)上查找到。,這里重點(diǎn)說(shuō)說(shuō)139端口，139端口也就是NetBIOS Session端口，用作文件和打印的共享。 關(guān)閉139端口的方法是在“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性，進(jìn)入“高級(jí)TCP/IP設(shè)

12、置”，在“WINS”選項(xiàng)卡中，有一“禁用TCP/IP的NETBIOS”選項(xiàng)，選中后即可關(guān)閉139端口。 為什么要關(guān)閉139端口呢？這里涉及一個(gè)139端口入侵的問(wèn)題。如果黑客確定一臺(tái)存在139端口漏洞的主機(jī)，用掃描工具掃描，然后使用“nbtstat -a IP”命令得到用戶的情況，最后完成非法訪問(wèn)的操作。,2.3.3 組策略 組策略和注冊(cè)表，是Windows系統(tǒng)中重要的兩部控制臺(tái)。對(duì)于系統(tǒng)中安全方面的部署，組策略又以其直觀化的表現(xiàn)形式更受用戶青睞。我們可以通過(guò)組策略禁止第三方非法更改地址，也可以禁止別人隨意修改防火墻配置參數(shù)，更可以提高共享密碼強(qiáng)度免遭其被破解。 比如，在一個(gè)特定網(wǎng)絡(luò)環(huán)境中，如果

13、部分用戶共同使用相同的一臺(tái)工作站進(jìn)行網(wǎng)絡(luò)訪問(wèn)時(shí)，安全隱患就顯露出來(lái)、倘若我們沒(méi)有劃定安全的上網(wǎng)區(qū)域，那樣會(huì)造成工作站的權(quán)限紊亂，從而帶來(lái)系統(tǒng)危機(jī)。輕者造成系統(tǒng)癱瘓，重者則可遭受遠(yuǎn)程入侵，損失寶貴資料。 所以，為了保護(hù)本地網(wǎng)絡(luò)以及本地工作站的安全，我們可以嘗試在公共計(jì)算機(jī)系統(tǒng)中，通過(guò)設(shè)置組策略的方法為普通用戶界定安全上網(wǎng)區(qū)域，強(qiáng)制進(jìn)入系統(tǒng)的用戶只能在設(shè)定內(nèi)的安全區(qū)域中上網(wǎng)沖浪。,由于組策略有著直觀的名字和功能解釋，所以應(yīng)用上比較簡(jiǎn)單，對(duì)于管理員和終端用戶都非常方便，但它的功能遠(yuǎn)沒(méi)有限制起來(lái)那樣簡(jiǎn)單，我們可以將它作為一種安全保護(hù)跟蹤工具。比如，可以利用組策略尋找共享目錄訪問(wèn)痕跡。 這對(duì)于局域網(wǎng)內(nèi)的

14、用戶監(jiān)測(cè)來(lái)說(shuō)非常重要。因?yàn)樵诰W(wǎng)絡(luò)內(nèi)部，一旦出現(xiàn)非法用戶，大多與共享入侵和訪問(wèn)共享資源有關(guān)，此時(shí)查詢共享目錄的訪問(wèn)信息就可以追蹤求源，查到真兇。 打開組策略后在左側(cè)列表區(qū)域中的“本地計(jì)算機(jī)策略”“計(jì)算機(jī)配置”“Windows設(shè)置”“安全設(shè)置”“本地策略”“審核策略”選項(xiàng)，在“審核策略”中找到“審核對(duì)象訪問(wèn)”，選中屬性界面中的“失敗”、“成功”選項(xiàng)，以后出現(xiàn)問(wèn)題時(shí)就能有針對(duì)性地進(jìn)入系統(tǒng)安全日志文件，來(lái)查看相關(guān)事件記錄。,2.3.4 賬戶與密碼安全 賬戶與密碼的使用通常是許多系統(tǒng)預(yù)設(shè)的防護(hù)措施。事實(shí)上，有許多用戶的密碼是很容易被猜中的，或者使用系統(tǒng)預(yù)設(shè)的密碼、甚至不設(shè)密碼。 用戶應(yīng)該要避免使用不當(dāng)?shù)?/p>

15、密碼、系統(tǒng)預(yù)設(shè)密碼或是使用空白密碼，也可以配置本地安全策略要求密碼符合安全性要求。,2.3.5 漏洞與后門 1. 漏洞 漏洞即某個(gè)程序(包括操作系統(tǒng))在設(shè)計(jì)時(shí)未考慮周全，當(dāng)程序遇到一個(gè)看似合理，但實(shí)際無(wú)法處理的問(wèn)題時(shí)，引發(fā)的不可預(yù)見(jiàn)的錯(cuò)誤。系統(tǒng)漏洞又稱安全缺陷，對(duì)用戶造成的不良后果有： 如漏洞被惡意用戶利用，會(huì)造成信息泄漏。例如，黑客攻擊網(wǎng)站即利用網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)的漏洞。 對(duì)用戶操作造成不便。例如，不明原因的死機(jī)和丟失文件等。,可見(jiàn)，僅有堵住系統(tǒng)漏洞，用戶才會(huì)有一個(gè)安全和穩(wěn)定的工作環(huán)境。 漏洞的產(chǎn)生大致有以下3個(gè)原因。 編程人員的人為因素。在程序編寫過(guò)程中，為實(shí)現(xiàn)不可告人的目的，在程序代碼的

16、隱蔽處留有后門。 受編程人員的能力、經(jīng)驗(yàn)和當(dāng)時(shí)安全技術(shù)所限，在程序中難免會(huì)有不足之處，輕則影響程序效率，重則導(dǎo)致非授權(quán)用戶的權(quán)限提升。 由于硬件原因，使編程人員無(wú)法彌補(bǔ)硬件的漏洞，從而使硬件的問(wèn)題通過(guò)軟件表現(xiàn)出來(lái)。,可以說(shuō)，幾乎所有的操作系統(tǒng)都不是十全十美的，總是存在各種安全漏洞。 例如，在Windows NT中，安全賬戶管理(SAM)數(shù)據(jù)庫(kù)可以被以下用戶所復(fù)制：Administrator賬戶、Administrators組中的所有成員、備份操作員、服務(wù)器操作員以及所有具有備份特權(quán)的人員。SAM數(shù)據(jù)庫(kù)的一個(gè)備份拷貝能夠被某些工具所利用來(lái)破解口令。 又如，Windows NT對(duì)較大的ICMP數(shù)據(jù)

17、包是很脆弱的，如果發(fā)一條ping命令，指定數(shù)據(jù)包的大小為64KB，Windows NT的TCP/IP棧將不會(huì)正常工作，可使系統(tǒng)離線乃至重新啟動(dòng)，結(jié)果造成某些服務(wù)的拒絕訪問(wèn)。,任何軟件都難免存在漏洞，但作為系統(tǒng)最核心的軟件，操作系統(tǒng)存在的漏洞會(huì)使黑客有機(jī)可乘。 例如，64位Windows 7圖形顯示組件中的一個(gè)漏洞有可能導(dǎo)致系統(tǒng)崩潰，或者被黑客利用并執(zhí)行遠(yuǎn)程代碼，用戶可以通過(guò)關(guān)閉Windows Aero的方式或打上安全補(bǔ)丁來(lái)防止這一漏洞被他人利用。 實(shí)際上，根據(jù)目前的軟件設(shè)計(jì)水平和開發(fā)工具，要想絕對(duì)避免軟件漏洞幾乎是不可能的。 操作系統(tǒng)作為一種系統(tǒng)軟件，在設(shè)計(jì)和開發(fā)過(guò)程中造成這樣或那樣的缺陷，埋

18、下一些安全隱患，使黑客有機(jī)可乘，也可以理解?？梢哉f(shuō)，軟件質(zhì)量決定了軟件的安全性。,2. 后門 后門又稱為Back Door，是繞過(guò)安全性控制而獲取對(duì)程序或系統(tǒng)訪問(wèn)權(quán)的方法。 在軟件的開發(fā)階段，程序員常會(huì)在軟件內(nèi)創(chuàng)建后門以便可以修改程序中的缺陷。如果后門被其他人知道，或是在發(fā)布軟件之前沒(méi)有刪除后門，那么它就成了安全風(fēng)險(xiǎn)。,后門產(chǎn)生的必要條件有： 必須以某種方式與其他終端節(jié)點(diǎn)相連。因?yàn)槎际菑钠渌?jié)點(diǎn)訪問(wèn)后門，因此必須使用雙絞線、光纖、串/并口、藍(lán)牙、紅外等設(shè)備與目標(biāo)主機(jī)連接才可以對(duì)端口進(jìn)行訪問(wèn)。只有訪問(wèn)成功，雙方才可以進(jìn)行信息交流，攻擊方才有機(jī)會(huì)進(jìn)行入侵。 目標(biāo)主機(jī)默認(rèn)開放的可供外界訪問(wèn)的端口必須

19、在一個(gè)以上。因?yàn)橐慌_(tái)默認(rèn)無(wú)任何端口開放的機(jī)器是無(wú)法進(jìn)行通信的，而如果開放的端口無(wú)法被外界訪問(wèn)，則目標(biāo)主機(jī)同樣不可能遭到入侵。 目標(biāo)機(jī)存在程序設(shè)計(jì)或人為疏忽，導(dǎo)致攻擊者能以權(quán)限較高的身份執(zhí)行程序。并不是任何一個(gè)權(quán)限的帳號(hào)都能夠被利用的，只有權(quán)限達(dá)到操作系統(tǒng)一定要求后，才允許執(zhí)行修改注冊(cè)表、修改日志記錄等操作。,后門的分類方式有多種，為了便于大家理解，下面從技術(shù)方面來(lái)考慮后門的分類方法。 網(wǎng)頁(yè)后門。這類后門一般都是利用服務(wù)器上正常的Web服務(wù)來(lái)構(gòu)造自己的連接方式，比如現(xiàn)在非常流行的ASP、CGI腳本后門等。 線程插入后門。利用系統(tǒng)自身的某個(gè)服務(wù)或者線程，將后門程序插入到其中，這也是現(xiàn)在最流行的一個(gè)后門技術(shù)。 擴(kuò)展后門。所謂的“擴(kuò)展”，是指在功能上有大的提升，比普通的單一功能的后門有更強(qiáng)的使用性，這種后門本身就相當(dāng)于一個(gè)小的安全工具包，能實(shí)現(xiàn)非常多的常見(jiàn)安全功能。, C/S后門。采用“客戶端/服務(wù)器”的控制方式，