计算机网络安全管理课件第4章_Windows_2000操作系统的安全管理

1. 密码策略 默认情况下，将对域中的所有服务器强制执行一个标准密码策略。下面 列出默认设置和最低设置。
2. 帐户锁定策略 有效的帐户锁定策略有助于防止攻击者猜出你帐户的密码。下表列出了 一个默认帐户锁定策略的设置以及针对您的环境推荐的最低设置。
3. 成员服务器基准策略 一旦配置了域级别的设置，就该为所有成员服务器定义公用的 设置了。这是通过“成员服务器 OU”中的一个 GPO 完成的， 我们称之为基准策略。一个公用的 GPO 可将对各服务器配置 特定安全设置的过程自动化。你还需要手动应用一些无法通过 组策略完成的附加安全设置。 成员服务器的基准组策略如下： · 审计策略 确定如何在你的服务器上执行审计。 · 安全选项 使用注册表值确定特定的安全设置。 · 注册表访问控制列表 确定谁可以访问注册表。 · 文件访问控制列表 确定谁可以访问文件系统。 · 服务配置 确定哪些服务需要启动、停止、禁用等等。
§4.2 Windows 2000中的验证服务架构
在Windows 2000中的验证服务是以整个体系框架的结构来完成的， 它的具体的验证服务架构如图4-1所示。
Kerberos的验证机制 Kerberos是在Internet上广泛采用的一种安全验证机制， 它基于公钥技术。Kerberos协议规定了客户机/密钥发布 Kerberos / 中心(Key Distribution Center，KDC)/服务器三者之间获 得和使用Kerberos票证进行通信规则和过程。 Kerberos验证机制加强了Windows 2000的安全性，它使 网络应用服务验证速度更快捷，同时可以建立域信任以 及在建立域信任的域中传递信任关系，另外Kerberos验 证有互操作性的优势。在一个多种操作系统并存的异构 网络环境中，Kerberos协议使用一个统一的用户数据库 对各种用户进行验证，这样就解决了现在异构环境中的 统一验证问题。
§4.5 审计与入侵检测
4.5.1 审计 审计的一个主要目标是识别攻击者对你的网络所采取的操作。一个攻击 者可能企图危害网络上的多台计算机和设备，因此为了了解任何攻击的 程度，必须能够协调和合并许多计算机中的信息。如果你的日志实用工 具将导入到数据库中，那么协调多个日志中的信息就更加容易了。只要 所有计算机中的时间是同步的，就可以按时间字段进行排序，并基于时 间间隔简化事件跟踪。 审计事件分为两类：成功事件和失败事件。成功பைடு நூலகம்事件说明用户成功地获得了访问某种资源的权限，而失败事件则说明用 户尝试访问网络的某项资源，但失败了。在Windows 2000 中的安全事件 审计类别一般有如下几种： · 登录事件 · 帐户登录事件 · 对象访问 · 目录服务访问 · 特权使用 · 进程跟踪 · 系统事件 · 策略更改
§4.1 Windows 2000的安全性设计
作为继Windows NT之后的新一代的企业级网络操作系统，Windows 2000在 安全特性主要体现在三个方面： · 对Internet上的新型服务的支持 Windows 2000可以实现移动办公、远程服务、以及安全通信和基于 SSL/TLS的电子商务等服务。 · 使用安全性框架 Windows 2000中有“安全服务提供者接口”即SSPI，(Security Service Provider Interface)，方便了其它验证方式在Windows 2000中对于其上层应 用层来说，是没有任何不同的。 · 实现对Windows NT 4.0的网络的支持 Windows 2000提供了对Windows NT 4.0中采用的NTLM(NT LAN Manager) 安全验证机制的支持。用户可以迁移到Windows 2000中，替代NTLM的 Kerberos安全验证机制。
4. 策略的验证 策略的验证有以下两种方法。 · 使用“本地安全策略”MMC 验证策略 步骤1，启动本地安全策略 MMC。 步骤2，在安全设置下，单击本地策略，然后单击安全选项。 步骤3，在右窗格中，查看有效设置列。“有效设置”列应当显示在模板 中为选定服务器角色配置的设置。 · 使用命令行工具验证策略 Secedit 此工具包括在 Windows 2000 中，它可用于显示模板文件和计算机的策略 之间的区别。若要将某个模板与计算机上的当前策略进行比较，请使用 下列命令行： secedit /analyze /db secedit.sdb /cfg <模板名>
4. 禁用自动运行功能 一个媒体插入一个驱动器，自动运行功能就开始从该驱动器读取数据。 这样，程序的安装文件和音频媒体上的声音就可以立即启动。为防止可 能有恶意的程序在媒体插入时就启动，组策略禁用了所有驱动器的自动 运行功能。 在注册表中 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explor er\ 下的用以禁用所有驱动器上的自动运行功能的设置 NoDriveTypeAutoRun DWORD 0xFF。 5. 成员服务器基准文件访问控制列表策略 为加强文件系统安全，应确保对域中的所有成员服务器公用的目录和文 件应用限制性更强的权限。“成员服务器基准安全模板”包含了由 hisecws.inf 模板提供的所有文件访问控制列表并添加了许多文件夹和文 件的设置。
§4.4 Windows 2000组策略的管理安全
4.4.1 Windows 2000中的组策略 在Windows 2000中的组策略有如下几种： · 帐户策略\密码策略 配置密码存留期、长度和复杂性 · 帐户策略\帐户锁定策略 配置锁定时间、阈值和复位计数器 · 帐户策略\Kerberos 策略 配置票证寿命 · 本地策略\审计策略 启用/禁用特定事件的记录 · 本地策略\用户权限 定义权限，如本地登录、从网络访问等 · 本地策略\安全选项 修改与注册表值有关的特定安全选项 · 事件日志 启用成功或失败监视 · 受限制的组 管理员可控制谁属于特定组 · 系统服务 控制每个服务的启动模式 · 注册表 对注册表项配置权限 · 文件系统 对文件夹、子文件夹和文件配置权限
第4章 Windows 2000网络 操作系统的安全
4.1 Windows 2000的安全性设计 4.2 Windows 2000中的验证服务架构 4.3 Windows 2000的安全特性 4.4 Windows 2000的组策略的管理安全 2000 4.5 审计与入侵检测 4.6 修补程序
信息安全对今天的网络系统来说，是一个非常重 要又非常严重的问题，它涉及到从硬件到软件、 从单机到网络的各个方面的安全性机制。而网络 操作系统的安全性是整个网络系统安全体系中的 基础环节。Windows 2000的分布式安全机制，实 现高度的安全性集成，以保护和促进业务的发展
§4.4.4 组策略的实现
为了有效使用组策略，最好在两个级别应用安全设置。 · 域级 一般的安全要求，如对所有服务器使用的帐户策略和审计策略等 · OU 级 对特定服务器的安全要求，如IIS 的服务器等。
1. 创建 OU 结构 创建OU结构的具体步骤如下： 步骤1，单击开始→程序→管理工具→Active Directory 用户和计算机，打 开活动目录。 步骤2，右键单击域名，选择新建 新建，然后选择组织单位 组织单位。 新建 组织单位 步骤3，键入成员服务器 成员服务器，然后单击确定 确定。 成员服务器 确定 步骤4，右键单击成员服务器 成员服务器，选择新建 新建，然后选择组织单位 组织单位。 成员服务器 新建 组织单位 步骤5，键入应用程序服务器 应用程序服务器，然后单击确定 确定。 应用程序服务器 确定 对文件和打印服务器 文件和打印服务器、IIS 服务器和基础结构服务器 服务器和基础结构服务器重复第 5 步和第 6 文件和打印服务器 步。 2. 域级策略 在构建 Windows 2000 域时，创建了一个默认的域策略。对于要应用到整 个域中的安全设置来说，可执行以下任一操作： · 创建另一个策略并将其链接到高于默认策略级别的位置 · 修改现有的默认策略
3. “事件日志”中的事件 如果策略已成功下载，将出现包含以下信息的“事件日志”事件： · 类型：信息 · 来源 ID：SceCli · 事件 ID：1704 · 消息字符串：组策略对象中的安全策略被成功应用 在应用该策略之后，可能要过几分钟后才显示此消息。如果没有收到成 功的事件日志消息，则需要运行 secedit /refreshpolicy machine_policy /enforce，然后重新启动服务器以强制下载策略。在重新启动之后再次检 ， 查“事件日志”以验证策略是否已成功下载。
§4.4.3 组策略的安全模板
1. 组策略的配置设置存储位置 组策略的存储位置是GPO位于 Active Directory 中；安全模板文件位于本 地文件系统中。对 GPO 所做的更改直接保存在 Active Directory 中，而 对安全模板文件所作的更改必须先导回到 Active Directory 内的 GPO 中 ，才能应用所作的更改。 2. Windows 2000的安全模板 Windows 2000的安全模板有如下几种： · Basicwk.inf 适用于 Windows 2000 Professional。 · Basicsv.inf 适用于 Windows 2000 Server。 · Basicdc.inf 适用于基于 Windows 2000 的域控制器。 · Securedc.inf 和 Hisecdc.inf — 适用于域控制器 。 · Securews.inf 和 Hisecws.inf — 适用于成员服务器和工作站。
§4.3 Windows 2000的安全特性
Windows 2000有数据安全性、企业间通信的安全性、企业和Internet网的单 点安全登录、以及易用和良好扩展性的安全管理等安全特性。 1. 数据安全性 数据安全是指数据的保密性和完整性，Windows 2000的数据安全性表现在 ： （1）用户登录时的安全性 在用户登录网络时，数据的安全保护开始，Windows 2000使用Kerberos和 PKI验证协议提供了强有力的口令保护和单点登录。 （2）网络数据的保护 网络数据指的是本地网络中数据以及不同网络间传送的数据。 · 本地网络的数据是由验证协议以及IP Security加密来实现。 · 网络间传送的数据可以通过IP Security 加密TCP/IP通信、Windows 2000 路由和远程访问服务、代理服务等实现。 （3） 存储数据的保护 存储数据的保密在Windows 2000中有文件加密系统以及数字签名等来实现 存储数据的保密。
2. 通信的安全性 Windows 2000提供了多种安全协议和用户模式的内置的集成。它支持虚 拟专用网技术以及使用公钥体制并可以使用电子证书来把外部用户映射 成为目录服务中的一个用户账户。 3. 单点安全登录 Windows 2000的用户单点登录网络后，通过网络验证之后，它就可以根 据自己拥有的权限访问其相应的服务，Windows 2000透明地管理一个用 户的安全属性(Security Credentials)。 4. 安全的管理性 Windows 2000使用安全性模板对计算机进行安全性配置和分析。安全性 模板MMC提多种管理模板从而实现了对工作站、服务器、域控制器的安 全管理，在这些安全性模板中，可以配置相应的安全策略。
§4.4.2 加强内置账户的安全
Windows 2000 有几个内置的用户帐户，它们不可删除，但可以重命名。 我们最熟悉的 Windows 2000 中的两个内置帐户是 Guest（来宾）和 Administrator（管理员）。默认情况下，来宾帐户在成员服务器和域控 制器上是禁用的。建议不更改此设置。1. 加强本地管理员帐户安全 每一个成员服务器都有一个本地帐户数据库和一个本地管理员帐户，此 帐户对该服务器有完全控制权。所以此帐户非常重要。建议重命名此帐 户，并确保它使用一个复杂的密码。另外还应确保本地管理员密码未在 成员服务器间复制。 2. 加强服务帐户安全 Windows 2000 服务一般都在本地系统帐户下运行，但它们也可以在一个 域用户或本地帐户下运行。只要可能，就应使用本地帐户而非域用户帐 户。每个服务都在其服务帐户的安全上下文中运行，所以如果一个攻击 者挟制了某一成员服务器上的一个服务，则该服务帐户可能就会被用来 攻击域控制器。在确定使用哪一个帐户作为服务帐户时，应确保为此帐 户指定的特权限制在保证此服务成功运行所需的特权范围内。