操作系统安全配置手册.doc

操作系统安全配置手册 第一章 综述 本主机系统安全策略不是一个完整的系统安全解决方案，而是网络主机系统安全体系建设的安全技 术参考。 本主机系统安全策略对使用的 Windows 系统、Unix 系统安全特性进行了深入分析，仅从安全技术角 度分析了各类主机系统应用的安全现状和安全风险，并在此基础上阐述了针对特定系统、特定应用的安 全策略配置。最后针对网络主机安全需求给出了相应的安全审计建议。 全文共分为八章，第一章 综述、第二章 Windows 主机系统的安全机制、第三章 Windows 主机安全 配置、第四章 Unix 通用安全标准，第五章 Solaris 主机系统安全配置、第六章 AIX 主机系统安全配置， 第七章 HP-Unix 主机系统安全配置，第八章 实施效果和残留风险，并根据各种安全风险特性进行分类 描述。 1.1 适用范围 本文档的适用操作系统为 Microsoft Windows 2000 Server/Advanced Server Microsoft Windows 2003 Server/Advanced Server Sun Solaris 2.8 Sun Solaris 2.9 IBM AIX 5.1L IBM AIX 5.2L IBM AIX 5.3L HP HP-UX 11i 1.2 更新要求 本文档每年必须由负责人员重新审查内容，并按照需求修正。 各操作系统厂商推出新版本时，亦必须重新审查内容及修正。 第二章 Windows 系统通用安全标准 2.1 windows 系统安全模型 Windows 系统的安全模块是操作系统内核的不可分割的一部分。由于访问任何系统资源 必须经过内核安全模块的验证，从而保证没有得到正确的授权的用户不能访问相应资源。 用户使用 Windows 系统资源，首先必须在系统中拥有账号，其次，此账号必须具有一 定的“权力”和“权限” 。在 Windows 系统中， “权力”指用户对整个系统能够做的事情， 如关闭系统、增加设备、更改系统时间等等。 “权限”指用户对系统资源所能做的事情 ， 如对某文件的读、写控制，对打印机队列的管理。 、Windows 系统使用安全帐号数据库，存 放用户账号以及该账号所具有的权力等。用户对系统资源所具有的权限则与特定的资源一 起存放。 在 Windows 系统中，安全模型由本地安全认证、安全账号管理器和安全监督器构成。 除此之外还包括注册、访问控制和对象安全服务等。它们之间的相互作用和集成构成了安 全模型的主要部分。 Windows 安全模型的主要功能是用户身份验证和访问控制。身份验证过程通过某种技 术手段确认用户所提供的身份的真实性，并在确认用户身份的真实性后赋予用户相应的权 利和系统身份标识。访问控制机制利用用户获得的系统身份标识，以及事先分配给用户的 对系统资源的权限来确保系统资源被合理的使用。 用户身份验证：Windows 安全子系统提供了两种类型的身份验证：通过控制台交互式登 录系统(根据用户的计算机的本地账户来确认用户的身份)和通过网络登录系统（根据域控 制器中保留的域账户来确认用户的身份）从而使得用户可以访问网络上远程主机的资源。 为保证通过网络登录系统的安全性，Windows 安全子系统提供了三种不同的身份验证机制： Kerberos V5（仅 Windows 2000 系统提供） 、公钥证书和 NTLM。 基于对象的访问控制：Windows 采用对象模型描述系统资源，管理员可以通过对特定资 源配置相应的用户访问权限来控制用户对系统资源的访问。管理员可以通过域控制器实现 对整个域的资源的统一管理与控制。Windows 系统 通过允许管理员以对象安全描述符的方 式描述具体的访问控制策略。安全描述符列出了允许访问对象的用户和组，以及分配给这 些用户和组的特殊权限。安全描述符还指定了该对象需要安全审核特定事件，如特定用户 的读，写，执行文件。文件、打印机和服务都是对象的具体例子。通过管理对象的属性， 管理员可以设置权限，分配所有权以及监视用户访问。 2.2 用户名和密码 Windows 系统的安全机制通过分配用户帐号和用户密码来帮助保护计算机及其资源。 给值得信任的使用者，按其使用的要求和网络所能给与的服务分配合适的用户帐号，并且 使用足够安全的帐号密码。使用对帐号的用户权力的限制以及对文件的访问管理权限的策 略，可以达到对服务器的数据的保护。其中用户帐号有用户名、全名、描述三个部分。用 户名是用户帐号的标识，全名是对应用户名的全称，描述是对用户所拥有的权限的较具体 的说明。组有组名和描述两个部份，组名是标识，描述是说明。一定的用户帐号对应一定 的权限，NT 对权限的划分比较细，例如：备份、远程管理、更改系统时间等等，通过对用 户的授权（在规则菜单中）可以细化一个用户或组的权限。用户的帐号和密码有一定的规 则，包括帐号长度，密码的有效期，登录失败的锁定，登录的历史记录等等，通过对这些 的综合修改可以保证用户帐号的安全使用。 系统将用户分为管理者、用户和来宾三类，各有其不同的权限。双击“我的电脑/控制 面板/用户和密码”图标，打开“用户和密码”对话框。系统在安装完成后自动建立 Administrator(系统管理员)和 Guest（来宾）用户。你可在第一次启动按 CtrlAltDel 后选“更改密码”更改系统管理员的密码。你还可按“添加/删除”来添加/删除用户或用 户组。 用户名列表上方有一个复选框“要使用本机，必须输入用户名和密码” ，要使用用户管 理必须使之有效，即：选中它。 系统管理员对用户和密码的管理权限主要有：添加用户、删除用户及更改用户。系统 会在你添加新用户时询问其权限的设置。选择“高级”标签，再点击“高级”按钮，就会 出现“本地用户和组”管理对话框窗口，上面列出了全部用户和按组分类的用户名单。在 上述界面右边窗口中选中某个用户，点右键，在弹出的快捷菜单中选“属性” ，弹出“用户 属性”窗口，在其中可对此用户账号进行是否允许修改密码、是否停用账号等项设置。注 意：停用账户和删除账户是有区别的，停用账户是临时停止某个账户的使用，随时可以恢 复，而删除掉的账户必须重建后才能使用。 另外，Windows 系统支持工作组概念，可以方便的给一组用户授予特权和权限，同时一 个用户同时属于一个或多个工作组。方便了对用户权限的细化。在 Windows 系统中有两种 类型的工作组：全局工作组和本地工作组。本地工作组只能在本地的系统或域内使用。全 局工作组可以在系统中相互信任的域中使用。 Win2000 的默认安装允许所有用户通过空用户名和空密码得到系统所有账号和共享列表， 这本来是为了方便局域网用户共享资源和文件的，但是，同时任何一个远程用户也可以通 过同样的方法得到你的用户列表，并可能使用暴力法破解用户密码给整个网络带来破坏， 这是整个网络中的最大不安全因素之一 2.3 域和委托 以 Windows 系统组建的网络是一个局域网范围的网。所谓“域”是指网络服务器和其 它计算机的逻辑分组，凡是在共享域范围内的用户都使用公共的安全机制和用户帐号信息。 每个用户有一个帐号，每次登录的是整个域，而不是某一个服务器。即使在物理上相隔较 远，但在逻辑上可以在一个域上，域的集中化用户帐号数据库和安全策略使得系统管理员 可以用一个简单而有效的方法维护整个网络的安全。在网络环境下，使用域的管理就显得 更为有效。这里我们应该注意到在 NT 中，关于域的所用的安全机制信息或用户帐号信息都 存放在目录数据库中（称为安全帐号管理器（SAM）数据库） 。目录数据库存放在服务器中， 并且复制到备份服务器中。通过有规律的同步处理，可以保证数据库的安全性、有效性。 在用户每次登录时，通过目录数据库检查用户的帐号和密码。所以在对 NT 进行维护时应该 特别小心目录数据库的完整性，一般来讲只有管理员才具有对此的编辑权限。 域的最大的优点是域中的控制器服务器形成了共享的安全机制和用户帐号信息的单个 管理单元，大大地节省了管理员和用户的精力和时间，在管理上较方便，也显得集中。在 使用“域”的划分时，我们应该注意到“域”是建立在一个子网范围内，其基础是相互之 间的信任度。由 NT 组网区别于一般的 TCP/IP 的组网，TCP/IP 是一种较松散的组网型式， 靠路由器完成子网之间的寻径通讯；而 NT 组网是一种紧密的联合，服务器之间是靠安全信 任建立他们的联系的。主从关系，委托关系是建立在信任度上的。委托是一种管理办法， 它将多个域连接在一起，并且允许域中的用户互相访问。委托关系可使用户帐号和工作组 能够在建立它们的域之外的域中使用。委托关系只能是被定义为单向的，为了获得双向委 托关系，域和域之间必须相互委托。 2.4 活动目录 活动目录的概念 Active Directory 是用于 Windows 2000 Server 的目录服务。它存储着网络上各种 对象的有关信息，并使该信息易于管理员和用户查找及使用。Active Directory 目录服务 使用结构化的数据存储作为目录信息的逻辑层次结构的基础。Active Directory 的优点： 信息安全性 、基于策略的管理 、可扩展性 、可伸缩性 、信息的复制 、与 DNS 集成 、 与其它目录服务的互操作性、灵活的查询。 域 域提供了多项优点： 组织对象。 发布有关域对象的资源和信息。 将组策略对象应用到域可加强资源和安全性管理。 委派授权使用户不再需要大量的具有广泛管理权利的管理员。 要创建域，用户必须将一个或更多的运行 Windows 2000 Server 的计算机升级为域控 制器。域控制器为网络用户和计算机提供 Active Directory 目录服务、存储目录数据并 管理用户和域之间的交互作用，包括用户登录过程、验证和目录搜索。每个域至少必须包 含一个域控制器。 域树和域林 活动目录中的每个域利用 DNS 域名加以标识，并且需要一个或多个域控制器。如果用 户的网络需要一个以上的域，则用户可以创建多个域。共享相同的公用架构和全局目录的 一个或多个域称为域林。如果树林中的多个域有连续的 DNS 域名，则该结构称为域树。 如果相关域树共享相同的 Active Directory 架构以及目录配置和复制信息，但不共 享连续的 DNS 名称空间，则称之为域林。 域树和域林的组合为用户提供了灵活的域命名选项。连续和非连续的 DNS 名称空间都 可加入到用户的目录中。 域和帐户命名 Active Directory 域名通常是该域的完整 DNS 名称。但是，为确保向下兼容，每个 域还有一个 Windows 2000 以前版本的名称，以便在运行 Windows 2000 以前版本的操作 系统的计算机上使用。用户帐户 在 Active Directory 中，每个用户帐户都有一个用户登录名、一个 Windows 2000 以前版本的用户登录名（安全帐户管理器的帐户名）和一个用户主要名称后缀。在创建用 户帐户时，管理员输入其登录名并选择用户主要名称。Active Directory 建议 Windows 2000 以前版本的用户登录名使用此用户登录名的前 20 个字节。 所谓用户主要名称是指由用户账户名称和表示用户账户所在的域的域名组成。这是登 录到 Windows 2000 域的标准用法。表准格式为：user (类似个人的电子邮件 地址)。但不要在用户登录名或用户主要名称中加入 号。Active Directory 在创建用户 主要名称时自动添加此符号。包含多个 号的用户主要名称是无效的。 在 Active Directory 中，默认的用户主要名称后缀是域树中根域的 DNS 名。如果用 户的单位使用由部门和区域组成的多层域树，则对于底层用户的域名可能很长。对于该域 中的用户，默认的用户主要名称可能是 。该域中用户默认的 登录名可能是 user 。创建主要名称后缀 - “root“ 使同一 用户使用更简单的登录名 user 就可以登录。 域间信任关系 对于 Windows 2000 计算机，通过基于 Kerberos V5 安全协议的双向、可传递信任关 系启用域之间的帐户验证。 在域树中创建域时，相邻域（父域和子域）之间自动建立信任关系。在域林中，在树 林根域和添加到树林的每个域树的根域之间自动建立信任关系。因为这些信任关系是可传 递的，所以可以在域树或域林中的任何域之间进行用户和计算机的身份验证。 如果将 Windows 2000 以前版本的 Windows 域升级为 Windows 2000 域时，Windows 2000 域将保留域和任何其它域之间现有的单向信任关系。包括 Windows 2000 以前版本的 Windows 域的所有信任关系。如果用户要安装新的 Windows 2000 域并且希望与任何 Windows 2000 以前版本的域建立信任关系，则必须创建与那些域的外部信任关系。 所有域信任关系都只能有两个域：信任域和受信任域。域信任关系按以下特征进行描 述： 单向 单向信任是域 A 信任域 B 的单一信任关系。所有的单向关系都是不可传递的，并且 所有的不可传递信任都是单向的。身份验证请求只能从信任域传到受信任域。Windows 2000 的域可与以下域建立单向信任：不同树林中的 Windows 2000 域 、Windows NT 4.0 域 、MIT Kerberos V5 领域。 双向 Windows 2000 树林中的所有域信任都是双向可传递信任。建立新的子域时，双向可传 递信任在新的子域和父域之间自动建立。 可传递 Windows 2000 树林中的所有域信任都是可传递的。可传递信任始终为双向：此关系中 的两个域相互信任。 可传递信任不受信任关系中的两个域的约束。每次当用户建立新的子域时，在父域和 新子域之间就隐含地（自动）建立起双向可传递信任关系。这样，可传递信任关系在域树 中按其形成的方式向上流动，并在域树中的所有域之间建立起可传递信任。 不可传递 不可传递信任受信任关系中的两个域的约束，并不流向树林中的任何其它域。在大多 数情况下，用户必须明确建立不可传递信任。在 Windows 2000 域和 Windows NT 域之间 的所有信任关系都是不可传递的。从 Windows NT 升级至 Windows 2000 时，目前所有的 Windows NT 信任都保持不动。在混和模式环境中，所有的 Windows NT 信任都是不可传递 的。不可传递信任默认为单向信任关系。 外部信任 外部信任创建了与树林外部的域的信任关系。创建外部信任的优点在于使用户可以通 过树林的信任路径不包含的域进行身份验证。所有的外部验证都是单向非转移的信任 快捷信任 快捷信任是双向可传递的信任，使用户可以缩短复杂树林中的路径。Windows 2000 同 一树林中域之间的快捷信任是明确创建的。快捷信任具有优化的性能，能缩短与 Windows 2000 安全机制有关的信任路径以便进行身份验证。在树林中的两个域树之间使用快捷信任 是最有效的。 站点 站点是由一个或多个 IP 子网中的一组计算机，确保目录信息的有效交换，站点中的 计算机需要很好地连接，尤其是子网内的计算机。站点和域名称空间之间没有必要的连接。 站点反映网络的物理结构，而域通常反映用户单位的逻辑结构。逻辑结构和物理结构相互 独立，所以网络的物理结构及其域结构之间没有必要的相关性，Active Directory 允许单 个站点中有多个域，单个域中有多个站点。 如果配置方案未组织成站点，则域和客户之间的信息交换可能非常混乱。站点能提高网络使用的效 率。站点服务在以下两方面令网络操作更为有效：服务请求和复制。 当客户从域控制器请求服务时，只要相同域中的域控制器有一个可用，此请求就将会 发给这个域控制器。选择与发出请求的客户连接良好的域控制器将使该请求的处理效率更 高。 站点使目录信息以流水线的方式复制。目录架构和配置信息分布在整个树林中，而且 域数据分布在域中的所有域控制器之间。通过有策略地减少复制，用户的网络拥塞也会同 样减少。Active Directory 在一个站点内比在站点之间更频繁地复制目录信息。这样，连 接最好的域控制器中，最可能需要特定目录信息的域控制器首先接收复制的内容。其它站 点中的域控制器接收对目录所进行的更改，但不频繁，以降低网络带宽的消耗。 Active Directory 用户和计算机帐户 Active Directory 用户和计算机帐户代表物理实体，诸如计算机或人。用户账户和计 算机账户（以及组）称为安全主体。安全主体是自动分配安全标识符的目录对象。带安全 标识符的对象可登录到网络并访问域资源。用户或计算机账户用于： 验证用户或计算机的身份。 授权或拒绝访问域资源。 管理其它安全主体。 审计使用用户或计算机帐户执行的操作。 Windows 2000 提供了可用于登录到运行 Windows 2000 的计算机的预定义用户帐户。 这些预定义帐户为： 管理员账户 来宾账户 预定义账户就是允许用户登录到本地计算机并访问本地计算机上资源的默认用户账户。设计这些账 户的主要目的是本地计算机的初始登录和配置。每个预定义账户均有不同的权利和权限组合。管理员账 户有最广泛的权利和权限，同时来宾账户有受限制的权利和权限。 组策略 组策略设置影响计算机或用户账户并且可应用于站点、域或组织单位。它可用于配置 安全选项、管理应用程序、管理桌面外观、指派脚本并将文件夹从本地计算机重新定向到 网络位置。 集成 DNS 由于 Active Directory 与 DNS 集成而且共享相同的名称空间结构，因此注意两者之 间的差异非常重要： DNS 是一种名称解析服务。 DNS 客户机向配置的 DNS 服务器发送 DNS 名称查询。DNS 服务器接收名称查询，然 后通过本地存储的文件解析名称查询，或者查询其它 DNS 服务器进行名称解析。DNS 不需 要 Active Directory 就能运行。 Active Directory 是一种目录服务。 Active Directory 提供信息储存库以及让用户和应用程序访问信息的服务。Active Directory 客户使用“轻量级目录访问协议 (LDAP)“向 Active Directory 服务器发送查询。 要定位 Active Directory 服务器，Active Directory 客户机将查询 DNS。Active Directory 需要 DNS 才能工作。 Active Directory 用于组织资源，而 DNS 用于查找资源。只有它们共同工作才能为 用户或其它请求类似信息的过程返回信息。DNS 是 Active Directory 的关键组件，如果 没有 DNS，Active Directory 就无法将用户的请求解析成资源的 IP 地址，因此在安装和 配置 Active Directory 之前，用户必须对 DNS 有深入的理解。 组织单位 包含在域中的特别有用的目录对象类型就是组织单位。组织单位是可将用户、组、计 算机和其它单位放入其中的 Active Directory 容器。组织单位不能包括来自其它域的对 象。组织单位是可以指派组策略设置或委派管理权限的最小作用域或单位。使用组织单位， 用户可在组织单位中代表逻辑层次结构的域中创建容器。这样用户就可以根据用户的组织 模型管理帐户和资源的配置和使用。 2.5 登录 Windows 系统首先必须在系统中拥有一个账号，其次，规定该账号在系统中 的权力和权限。 在没有用户登录时，可以看到屏幕上显示一个对话框，提示用户登录在 NT 系统中。实 际上，NT 系统中有一个登录进程。当用户在开始登录时，按下 Ctrl+Alt +Del 键，NT 系统启动登录进程，弹出登录对话框，让用户输入帐号名及口令。按 下 Ctrl+Alt+Del 键时，NT 系统保证弹出的登录对话框是系统本身的，而不是一个貌似登录对 话框的应用程序，以防止被非法窃取用户名及口令。登录进程收到用户输入的账号和口令 后，就查找安全账户数据库中的信息。如果帐户及口令无效，则用户的登录企图被拒绝； 如果帐户及口令有效，则把安全帐户数据库中有关该账户的信息收集在一起，形成一个存 取标识。 存取标识中的主要内容有： 用户名以及 SID 用户所属的组及组 SID 用户对系统所具有的权力 然后 NT 就启动一个用户进程，将该存取标识与之连在一起，这个存取标识就成了用户 进程在 NT 系统中的通行证。用户进行任何操作，NT 中负责安全的进程都会检查其存取标识， 以确定其操作是否合法。 用户成功地登录之后，只要用户没有注销自己，其在系统中的权力就以存取 标识为准，NT 安全系统在此期间不再检查安全帐户数据库。这主要是考虑到效率。 存取标识的作用相当于缓存，只不过存取标识缓存的是用户安全信息，使得 系统不必再从硬盘上查找。安全帐户数据库是由域用户管理器来维护的，在某个 用户登录后，有可能管理员会修改其帐户以及权力等，但这些修改只有在用户下 次登录时才有效，因为 NT 安全系统在用户登录后只检查存取标识，而不是检查安全帐户数 据库。比如 User1 已登录到了 NT 系统中，管理员发现其缺少了某种权力，就用域用户管理 器做了相应的修改，那么，除非 User1 重新登录一次，否则 User1 仍无法享有该权力。 在 Windows 系统中登录过程还包括网络登录，在网络登录中，每次登录到 Windows 系 统中都会产生一个访问令牌，访问令牌是由用户帐号和工作组帐号的安全标示符（SID）以 及用户 LUID（用户特权和工作组特权）组合而成的，访问令牌有两个用途： 访问令牌保存全部安全信息，可以加速访问验证过程。当某个用户进程要访问某 个对象时，安全子系统检查该进程的访问令牌，判断该用户的访问特权。 每个进程均有一个与之相关联的访问令牌，因此，每个进程都可以在不影响其它 代表该用户运行的进程的条件下，在某种可允许的范围内修改进程的安全特性。 2.6 存储控制 Windows 系统启动一个用户进程，将存储标识与之连在一起。存取标识包含的内容并没 有访问许可权限，而存取标识又是用户在系统中的通行证，那么 NT 如何根据存取标识控制 用户对资源的访问呢？ 当某个进程要访问一个对象时，进程的 SID 与访问控制项列表比较，决定是否可以访 问该对象，访问控制列表由访问控制项（ACE）组成，每个访问控制项标识用户和工作组对 该对象的访问权限。一般情况下，访问控制列表有三个访问控制项，分别代表如下含义： 拒绝对该对象的访问；允许对该对象读取和写入；允许执行该对象。访问控制列表首先列 出拒绝访问的访问控制项，然后才是允许的访问控制项。 给资源分配的权限作为该资源的一个属性与资源一起存放。比如目录为 D：Files，对 其指定 User1 只读，User2 可完全控制，则这两个权限都作为 D：Files 目录的属性与该 目录连在一起，在 NT 内部以访问控制列表的形式存放。ACL 中包含了每个权限的分配，以 访问控制项来表示。ACL 中包含了用户名以及该用户的权限。比如上面提到的这个例子中， D：Files 的 ACL 中有两个 ACE，分别是 User1：只读，User2：完全控制。当 User1 访问该 目录时，NT 安全系统检查用户的存取标识，与目录的 ACL 对照，发现用户存取标识中的用 户名与 ACL 中有对应关系且所要求的权限合法，则访问获得允许，否则，访问被拒绝。 控制对象访问过程如下： 1设置、查看、更改或删除文件和文件夹权限 步骤 1 打开 “Windows 资源管理器“，然后定位到用户要设置权限的文件和文件夹。 步骤 2 右键单击该文件或文件夹，单击“属性“，然后单击“安全“选项卡， 如图： 步骤 3 执行以下任一项操作： 要设置新组或用户的权限，请单击“添加“。按照域名 名称的格式键入要设置权限的组或用户的名称，然后单击“确定“关闭对话框。要更改或删 除现有的组或用户的权限，请单击该组或用户的名称。 步骤 4 如果必要，请在“权限“中单击每个要允许或拒绝的权限的“允许“或“拒绝“。 或 者若要从权限列表中删除组或用户，请单击“删除“。 注意： 只能在格式化为使用 NTFS 的驱动器上设置文件和文件夹权限。 要更改访问权限，用户必须是所有者或已经由所有者授权执行该操作。 无论保护文件和子文件夹的权限如何，被准许对文件夹进行完全控制的组或用户都可以 删除该文件夹内的任何文件和子文件夹。 如果“权限“下的复选框为灰色，或者没有“删除“按钮，则文件或文件夹已经继承了父文 件夹的权限。 2设置、查看或删除共享文件夹或驱动器的权限 步骤 1 打开 “Windows 资源管理器“，然后定位到要设置权限的共享文件夹或驱动器。 步骤 2 右键单击共享文件夹或驱动器，然后单击“共享“。 步骤 3 在“共享“选项卡上，单击“权限“。 步骤 4 要设置共享文件夹权限，请单击“添加“。键入要设置权限的组或用户的名称， 然后单击“确定“关闭对话框。要删除权限，请在“名称“中选择组或用户，然后单击“删除 “。 步骤 5 在“权限“中，如果需要，请对每个权限单击“允许“或“拒绝“。如图 3.取得文件或文件夹的所有权 步骤 1 打开 “Windows 资源管理器“，然后定位到要取得其所有权的文件或文件夹。 步骤 2 右键单击该文件或文件夹，单击“属性“，然后单击“安全“选项卡。 步骤 3 单击“高级“，然后单击“所有者“选项卡 ，如图 步骤 4 单击新的所有者，然后单击“确定“ 2.7 管理安全模板 启动安全模板流程如下： 步骤 1 决定是否将安全模板添加到现有的控制台，或创建新控制台。要创建控制台， 请单击“开始“，单击“运行“，然后键入“mmc“，然后单击“确定“。要将安全模板添加到现有 的控制台中，打开控制台，然后进行下一步。 步骤 2 在“控制台“菜单上，请单击“添加/删除管理单元“，然后单击“添加“。 步骤 3 选择“安全模板“，单击“添加“，单击“关闭“，然后单击“确定“。 如图： 步骤 4 在“控制台“菜单上，单击“保存“。 步骤 5 输入指派给此控制台的名称，然后单击“保存“。 在安全模板启动后，用户可以执行以下操作： 要自定义预定义安全模板 定义安全模板 删除安全模板 刷新安全模板列表 设置安全模板说明 将安全模板应用到本地计算机 将安全模板导入到“组策略“对象 查看有效的安全设置 安全配置和分析流程如下： 1.开始安全配置和分析 步骤 1 进行以下某项操作： 要将安全配置和分析添加到新的控制台，请单击“开始“，单击“运行“，然后键入“mmc“ 并单击“确定“。要将安全配置和分析添加到现有的控制台中，请直接进行下一步。 步骤 2 在“控制台“菜单上，请单击“添加/删除管理单元“，然后单击“添加“。 步骤 3 选中“安全配置和分析“，然后单击“添加“。 步骤 4 单击“关闭“，然后单击“确定“。 步骤 5 在“控制台“菜单上，单击“保存“。 步骤 6 输入指派给此控制台的名称，然后单击“保存“。控制台将出现在“我的文档“中， 可以在桌面上或从“开始“菜单访问。 2.设置工作的安全数据库 步骤 1 在安全配置和分析管理单元中，请右键单击“安全配置和分析“。详细信息，请 参阅相关主题。 步骤 2 请单击“打开数据库“。 步骤 3 选择现有的个人数据库，或键入文件名创建新的个人数据库，如图： 步骤 4 单击“打开“。 步骤 5 如果这不是当前配置使用的数据库，系统将提示用户选择要加载到数据库的安 全模板。 步骤 6 如果选择可能已包含模板的现有个人数据库，并且 要替换此模板，而不是将它合并到已存储的模板，请选中“覆盖数据库中现有的配置 “。 步骤 7 单击“打开“。 此数据库现在可以用于配置系统。 3.分析系统的安全性 步骤 1 在安全配置和分析中，设置工作数据库（如果当前没有设置的话） 。 步骤 2 右键单击“安全配置和分析“，然后单击“立即分析系统“。 步骤 3 单击“确定“使用默认的分析日志，或输入日志的文件名和有效路径。 当分析它们时，将显示不同的安全区域，一旦完成操作，就可以检查日志文件或复查 结果，如图： 分析结果如图： 利用“安全配置和分析“用户还可以执行以下任务： 设置工作的安全数据库 导入安全模板 检查安全性分析结果 配置系统安全性 编辑基本安全配置 查看有效的安全设置 导出安全模板 2.8 windows 审计子系统 Windows2000 的系统日志文件有应用程序日志，安全日志、系统日志、DNS 服务器日志 等等，这些日志默认位置：%systemroot%system32config，默认文件大小 512KB。 安全日志文件：%systemroot%system32configSecEvent.EVT 系统日志文件：%systemroot%system32configSysEvent.EVT 应用程序日志文件：%systemroot%system32configAppEvent.EVT 这些 LOG 文件在注册表中的： HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog 在 Windows 中通过策略可以实现对系统的各部分审核。 审核策略的设置 为运行 Windows 2000 Professional 的计算机设置审核策略，需要运行管理工具中的 本地安全策略工具进行设置。具体设置步骤如下： 1. 在“开始”菜单上选择“程序”“管理工具”“本地安全策略” 。如果在“开 始”菜单中找不到“管理工具”程序组，则进入“控制面板” ，打开“管理工具” 程序组，选择“本地安全策略” 。 （如果在“开始”菜单的设置中没有选择“显示管 理工具” 。则“管理工具”不会出现在“开始”菜单中） ； 2. 在“本地安全策略”窗口的控制台目录树中，单击“本地策略” ，然后选择“审核 策略” ； 3. 选中要审核的事件，在操作菜单中选择“安全性” ，或是双击所选择的审核事件。 对文件和文件夹访问的审核 对文件和文件夹访问的审核，首先要求审核的对象必须位于 NTFS 分区之上，其次必须 为对象访问事件设置审核策略。符合以上条件，就可以对特定的文件或文件夹进行审核， 并且对哪些用户或组指定哪些类型的访问进行审核。 设置的步骤如下： 1. 在所选择的文件或文件夹的属性窗口的“安全”页面上，点击“高级”按钮； 2. 在“审核”页面上，点击“添加”按钮，选择想对文件或文件夹访问进行审核的用 户，单击“确定” ；在“审核项目”对话框中，为想要审核的事件选择“成功”或 是“失败”复选框，选择完成后确定； 3. 返回到“访问控制设置”对话框。默认情况下，对父文件夹所做的审核更改将应用 于其所包含子文件夹和文件。如果不想将父文件夹所进行的审核更改应用到当前所 选择的文件或文件夹，清空检查框“允许将来自父系的可继承审核项目传播给该对 象”即可。 对打印机访问的审核 对打印机访问进行审核，要求必须为对象访问事件设置审核策略。满足这个条件就能 够对特定的打印机进行审核，并能够审核指定的访问类型以及审核拥有访问权限的用户。 审核步骤如下： 1. 在选择的打印机的属性窗口，选择“安全”页面，点击“高级”按钮； 2. 在“审核”页面，点击“添加”按钮，选择想对打印机访问进行审核的用户或组， 点击“确定” 。 审核结果的查看和维护 设置了审核策略和审核事件后，审核所产生的结果都被记录到安全日志中，安全日志 记录了审核策略监控的事件成功或失败执行的信息。使用事件查看器可以查看安全日志的 内容或是在日志中查找指定事件的详细信息。 1打开“开始”菜单，指向“程序”“管理工具”“事件查看器” 。如果“开始” 菜单中没有“管理工具” ，则进入控制面板，打开“管理工具” ，运行“事件查看器” 。 2在事件查看器窗口的控制台树选择“安全日志” 。在右边的窗格显示日志条目的列 表，以及每一条目的摘要信息，包括日期、事件、来源、分类、事件、用户和计算机名。 成功的事件前显示一钥匙图标，而失败的事件则显示锁的图标。 3如果想查看某一条目的详细信息，双击选择的条目；或是选择一条目后，点击“操 作”菜单的“属性”项。 4如果要查看某一指定类型的事件，或某一时间段发生的事件，或某一用户的事件， 就需要运用事件查看器的查找功能。具体操作如下： 确认控制树中当前选定的项目是“安全日志” ，点击查看菜单的“查找”项。 在查找窗口中，选择或输入相应的条件，点击“查找下一个”按钮，符合条件的事件 就会在事件查看器的事件列表窗格中反显出来。 5如果想在事件查看器的事件列表窗格中只列出符合相应条件的事件，这时要用到筛 选功能。具体操作如下： 确认控制树中当前选定的项目是“安全日志” ，点击“查看”“筛选” 。 在“筛选器”页面中，选择或输入相应的条件后，点击“确定”按钮，符合条件的事 件就会在事件查看器的事件列表窗格中显示出来。 6随着审核事件的不断增加，安全日志文件的大小也不断增加。日志文件的大小可以 从 64KB 到 4GB，默认情况下是 512KB。如何更改日志文件的大小，或当日志文件达到了所 设定的大小时，自动进行那些操作呢？所有这些都可以通过更改日志文件的属性来实现。 在事件查看器的控制树选中“安全日志”项，点击“操作”菜单的“属性”项，进入安全 日志的属性窗口，在“常规”标签页面上，可以对日志文件的大小进行设置；对于日志文 件达到最大尺寸时，用户根据需要可以有以下三种选择：改写事件；改写久于设定天数的 事件和不改写事件。 2.9 注册表 在 Windows 文件夹中有 system.dat 和 user.dat 这样两个隐藏文件，其中保存了至关 重要的注册表信息。我们可以通过运行 regedit.exe 来修改 windows 的设置，达到其它方 法不能达到的效果，使 Windows 更如你意。本说明书的内容以 Win98 第一版为准，但多数 也是适用于 Win95、Win95osr2、Win98se 甚至 Win2000 的。 注册表根键说明 hkey_classes_root： 包含注册的所有 OLE 信息和文档类型，是从 hkey_local_machinesoftwareclasses 复制的。 hkey_current_user ：包含登录的用户配置信息，是从 hkey_users当前用户子树复制 的。 hkey_local_machine ：包含本机的配置信息。其中 config 子树是显示器打印机信息； enum 子树是即插即用设备信息；system 子树是设备驱动程序和服务参数的控制集合； software 子树是应用程序专用设置。 hkey_users： 所有登录用户信息。 hkey_current_config： 包含常被用户改变的部分硬件软件配置，如字体设置、显示 器类型、打印机设置等。是从 hkey_local_machineconfig 复制的。 hkey_dyn_data： 包含现在计算机内存中保存的系统信息。 注册表详细内容 Hkey_local_machinesoftwaremicrosoftwindowscurrentVersionexploreruser shell folders 保存个人文件夹、收藏夹的路径。 Hkey_local_machinesystemcurrentControlSetcontrolkeyboard Layouts 保存键 盘使用的语言以及各种中文输入法。 Hkey_users.Defaultsoftwaremicrosoftinternet explorertypeURLs 保存 IE 浏 览器地址栏中输入的 URL 地址列表信息。清除文档菜单时将被清空。 Hkey_users.DefaultsoMiwicurrentVersionexmenuOrderstartMenu 保留程序菜单排序信息。 Hkey_users.DefaultsomicrosoftwindowscurrentVersionexplorerRunMRU 保存“开始 * 运行.“中运行的程序列表信息。清除文档菜单时将被清空。 Hkey_users.DefaultsomicrosoftwindowscurrentVersionexplorerecentDoc s 保存最近使用的十五个文档的快捷方式(删除掉可解决文档名称重复的毛病)，清除文档 菜单时将被清空。 Hkey_local_machinesoftwaremicrosoftwindowscurrentVersionuninstall 保存 已安装的 Windows 应用程序卸载信息。 hkey_users.defaultsoftwaremicrosoftwindowscurrentVersionapplets 保存 Windows 应用程序的纪录数据。 Hkey_local_machinesystemCurrentControlSetservicesclass 保存控制面板-增 添硬件设备-设备类型目录。 Hkey_local_machinesystemCurrentControlSetcontrolupdate 立即刷新设置。值 为 00 设置为自动刷新，01 设置为手工刷新在资源管理器中按 F5 刷新。 HKEY_CURRENT_USERControl PanelDesktop 新建串值名 MenuShowDelay=0 可使“开 始”菜单中子菜单的弹出速度提高。新建串值名 MinAnimate，值为 1 启动动画效果开关窗 口，值为 0 取消动画效果。 Hkey_local_machinesoftwaremicrosoftwindowscurrentVersionrun 保存由控制 面板设定的计算机启动时运行程序的名称，其图标显示在任务条右边。启动文件夹程序运 行时图标也在任务条右边。 hkey_users.defaultsoftwaremicrosoftwindowscurrentVersionrun 保存由用户 设定的计算机启动时运行程序的名称，其图标显示在任务条右侧。 HKEY_CLASS_ROOT/Paint.Pricture/DefaultIcon 默认图片的图标。双击窗口右侧的字 符串，在打开的对话框中删除原来的键值，输入%1。重新启动后，在“我的电脑”中打开 Windows 目录，选择“大图标“，然后你看到的 Bmp 文件的图标再也不是千篇一律的画板图 标了，而是每个 Bmp 文件的略图。 Hkey-local-machine software microsoft windows currentVersion Policies Ratings 保存 IE4.0 中文版“安全”*“分级审查”中设置的口令(数据加密)。 Hkey-local-machine software microsoft windows currentVersion explorer desktopnameSpace 保存桌面中特殊的图标,如回收站、收件箱、MS Network 等。 注册表中设有若干保护层，保护这些文件中的数据。所有注册表文件均以加密的二进 制格式存储，如果没有相应的工具和用户授权，就无法读取这些文件，使用纯文本编辑器 是无法进入注册表的，也就是说，通过类似于 Editor 的编辑器是不能直接编辑 User.dat 和 System.dat 文件的。 注册表文件标有只读或隐藏的系统文件之类的标记，防止被无意删除或发现。此外， 即使拥有管理员权限也无法删除注册表文件，用户可以通过注册表编辑器（Registry Editor）查看和编辑注册表，通过它可以修改系统低层的配置。 2.10 文件系统 文件系统介绍 文件系统就是在硬盘上存储信息的格式。Windows 2000 Professional 支持使用 NTFS 文件系统和文件分配表文件系统（FAT 或 FAT32） 。NTFS 具有 FAT 文件系统的所有基本功能， 并且提供 FAT 或 FAT32 文件系统所没有的优点。 NTFS 支持 WindowsNT 的所有优点。这些优点中最重要的是 WindowsNT 的安全性。与 NTFS 文件系统相结合，能够指定谁能访问某一文件或目录和对它作什么操作。在创建一个 文件时，可以通知 WindowsNT，哪些用户可以读该文件，哪些用户可以修改该文件；另外， 还可以指定谁可以列出一个目录的内容和谁可以在该目录下增加文件。即使用户知道文件 的路径，仍可以禁止访问目录中的文件，只有 NTFS 分区中的文件才有这种称为任意访问控 制的能力。 NTFS 的第二个优点是它具有先进的容错能力。NTFS 使用一种称为事务(transaction) 登录的技术跟踪对磁盘的修改，因此，NTFS 可以在几秒钟内恢复错误而不是 HPFS 的几分钟 或几小时（取决于 HPFS 分区的大小） 。 NTFS 的第三个优点是其文件不易受到病毒和系统崩溃的侵袭，这种抗干扰直接源于 WindowsNT 操作系统的高度安全性能。即使在 FAT 和 NTFS 两种文件系统在一个磁盘中并存 时，由于 NTFS 文件系统只能被 WindowsNT 识别，一般的病毒还是很难在 NTFS 文件系统中 找到生存空间。 对于大分区，NTFS 比 FAT 和 HPFS 效率都高，FAT 和 HPFS 比 NTFS 需要更多的空间来存 储文件系统用于管理硬盘上文件和目录的信息。 此外，由于 NTFS 文件系统支持长文件名，人们给文件命名时现也不需受 8.3 命名规则 限制，从而可以给文件起一个反映其意义的文件名。NTFS 支持向下兼容，甚至可以从新的 长文件名中产生老式的短文件名。当文件写入可移动媒体（如软盘）时，它自动采用 FAT 文件名 FAT 文件系统。 实际上 NTFS 的主要弱点是它只能被 WindowsNT 所识别。NTFS 文件系统可以存取 FAT 文 件系统和 HPFS 文件系统的文件，但其文件却不能被 FAT 文件系统和 HPFS 文件系统所存取， 兼容性不是特别好。但从网络安全性的角度来说，这种限制也是一种优点，它可以保证如 果其它操作系统没有 Windows 的安全控制，其用户就不能对 NTFS 分区中的文件进行访问。 另外，如果引导驱动器（也就是 C 驱动器）使用 NTFS 文件系统，就不能使用 Flexboot 选 项，因为 DOS 系统只能从 C 驱动器引导，但不能从 NTFS 驱动器引导。相对 WindowsNT 来说， 它的引导分区可以是 FAT、NTFS 和 HPFS。最后它还存在一个问题，那就是即使使用 WindowsNT 驱动程序，许多备份实用程序在操作 NTFS 分区时仍有问题。 第三章 Windows 主机安全配置 3.1 用户、用户组及其权限管理 描述：创建用户组和用户，并对其分配合适的权限是 WINDOWS 安全机制的核心内容之一。 3.1.1 对系统管理员账号进行限制 编号： 3001 名称： 对系统管理员账号进行限制 重要等级： 高 基本信息： 系统管理员对系统具有最高的权限，Windows 系统管理员的默认账号名为 Administrator，很容易成为攻击者猜测和攻击的重要目标，因此需要对系统 管理员账号作出必要的设置。 检测内容： 查看是否有名为 administrator 的用户帐号； 查看 administrator 用户是否属于 administrators 组 建议操作： 将系统管理员账号重命名为一个普通的、不易引起注意的账号名 打开控制面板管理工具本地安全策略； 选择本地策略安全选项； 改写：重命名管理员帐户； 建立一个以 administrator 命名的账号，将所属用户组清除，即所属组为 空，不赋予该帐号权限； 管理员账号的口令应该遵循比“密码策略”更严格的策略 操作结果： 对系统管理员账号进行限制，一般不会对系统造成任何不良的影响。 有少数应用软件需要 administrator 名的系统用户，请视应用情况对该项 进行修改。 3.1.2 密码策略 编号： 3002 名称： 密码策略 重要等级： 高 基本信息： 通过启用“密码必须符合复杂性要求” ，设置“密码长度最小值” 、 “密码最长 存留期” 、 “密码最短存留期” 、 “密码强制历史” ，停用“为域中用户使用可还 原的加密来存储”可以明显的提高用户账户的安全性。 检测内容： 查看本地安全策略|账户策略|密码策略来核实是否设置了合适的密码策略 打开控制面板管理工具本地安全策略； 选择帐户策略密码策略； 检查各项设置； 建议操作： 启用“密码必须必须符合复杂性要求” ； “密码最小长度”大于 7； “密码最长存留期”小于 90 天； “密码最短存留期”大于 5 天； “密码强制历史”不小于 5； 停用“为域中用户使用可还原的加密来存储” ； 操作结果： 密码策略对已经存在的密码无效，需要对已存在的密码进行检查 进行密码策略设置，不会对系统造成任何不良的影响。 特例：在安全策略中定义的策略和添加用户时选择的密码永不过期和用户 无法自己修改密码，以后者为准。 3.1.3 账户锁定策略 编号： 3003 名称： 账户锁定策略 重要等级： 高 基本信息： 通过设置“账户锁定时间” ， “账户锁定阈值” ， “复位账户锁定计数器”来防止 远程的密码猜测攻击。 检测内容： 查看本地安全策略|账户策略|账户锁定策略来核实是否设置了合适的密码 策略 打开控制面板管理工具本地安全策略； 选择帐户策略帐户锁定策略； 检查各项设置； 建议操作： “复位账户锁定计数器”时间不短于 5 分钟； “账户锁定时间”不短于 5 分钟； “账户锁定阈值”不多于 10 次； 操作结果： 进行账户锁定策略设置时，不会对系统造成任何不良的影响。 3.2 远程访问主机系统 描述：被配置为接受远程访问连接的任何基于 Windows 的计算机用户。 3.2.1 对可以远程使用 telnet 服务的用户进行限定 编号： 3004 名称： 对可以远程使用 telnet 服务的用户进 行限定 重要等级： 中 基本信息： Windows 系统从 2000 开始提供远程 telnet 访问服务，建议不要开启 telnet 服务，如特殊情况必须开启 telnet 服务，必须遵守本规定对可以远程访问 telnet 服务的用户进行限制。 检测内容： 检测是否为 Telnet 终端创建了 TelnetClients 组，并赋予恰当的访问权限。 建议操作： 创建 TelnetClients 组，并将需要远程使用 telnet 服务的用户加入该组 对 TelnetClients 组进行授权 打开控制面板管理工具本地安全策略； 本地策略用户权力指派； 按需要进行授权； 操作结果： 进行 TelnetClients 账户授权策略设置时，不会对系统造成任何不良的 影响。 需要注意尽量避免对 Administrator 组用户进行授权修改，以免造成系 统应用、管理失败。 3.2.2 Pcanywhere 远程接入 编号： 3005 名称： Pcanywhere 远程接入 安全设置 重要等级：