实训6.1
Windows访问控制功能
本节实训与 思考的目的是:
(1) 熟悉访问控制技术的基本概念,了解访问控制技术的工作原理和基本内容。
(2) 通过学习配置安全的Windows操作系统,来加深理解访问控制技术,掌握Windows的访问控制功能。
1 工具/准备工作
在开始本实训之前,请认真阅读本课程的相关内容。
需要准备一台运行Windows XP Professional操作系统,并带有浏览器,能够访问因特网的计算机。
2 实训内容与步骤
(1) 概念理解
1) 请通过查阅有关资料,尽量用自己的语言解释以下有关访问控制技术的概念:
② 强制访问控制:这是一种比较强硬的控制机制,系统为所有的主体和客体指定安全级别,不同级别标记了不同重要程度和能力的实体,不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。
③ 角和基于角的访问控制:就是通过定义角的权限,为系统中的主体分配角来实现访问控制,用户先经认证后获得一定角,该角被分派了一定的权限,用户以特定角访问系统资源,访问控制机制检查角的权限,并决定是否允许访问。
2) 请查阅有关资料,根据你的理解和看法,给出“访问控制技术”的定义:
访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制,也是信息安全理论基础的重要组成部分。
这个定义的来源是: 课本
(2) 配置安全的Windows操作系统
关注网络安全,首先就要关注操作系统及其安全设置。根据用户的不同要求,操作系统的选择也有所不同。从整体上来说,操作系统可以分为3种类型:第一类是选用Windows 98/ME;第二类是选用Windows 2000/XP甚至2003;第三类是使用Unix/Linux操作系统。从安全角度看,各种操作系统都存在着一定的漏洞,或多或少,有的漏洞可能还没有被发现。而正是这些还没被发现的漏洞严重的威胁着大家计算机的安全。但这些漏洞都是可以通过自己修改系统来减小危害的。
1) Windows 98/ME操作系统。这一类操作系统所受到的网络攻击相对比较少,原因是其主要面对家庭用户,网络功能较弱,一般的服务器不会选择这类操作系统。但是,漏洞还是存在的。
比如Windows 98有一个很著名的共享导致蓝屏的漏洞:当你共享一个分区,例如C盘时,只要在运行里输入\\ip\c\con\con或者\\机器名\c\con\con,就会导致蓝屏。其原因是由于硬件冲突,这是Windows 98的一个bug。黑客经常利用这些漏洞攻击电脑。其解决的办法就是不共享和安装补丁。目前来看,Windows 98/ME操作系统的安全防范主要就是针对那些菜鸟级别的黑客,只要注意安装网络防火墙,小心木马之类的软件就可以了。安装的时候应尽量选用正版软件。
下面的内容主要是针对Windows 2000/XP/2003操作系统安全设置的。
2) Windows版本选择。
① 版本选择。Windows 2000/XP/2003等都有各种语言的版本。国内用户见到的基本都是简体中文版和英文版,如果没有语言障碍,建议选择使用英文版的操作系统。这主要是因为Windows操作系统是基于英文开发的,一般来说,中文版的bug肯定要多于英文版,而且因为各种补丁通常都是先发表英文版的,中文版往往要延迟一段时间,那么延迟的这段时间就相当凶险了。
② 正确安装系统。建议尽量不要采用网络安装方式,并强烈建议不要采用升级安装,而是进行全新安装,这样可以避免升级方式带来的种种问题。
安装完成后,各种服务均自动运行,此时的机器是漏洞满身,非常危险,所以,建议一定要在安装完毕,并且安装好各种补丁后才接入网络。
③ 硬盘的分区问题。硬盘如果只有一个分区,直接安装系统,这样做的风险很大。建议划分3个以上分区。第一个用来安装系统和日志,第二个放IIS,第三个放FTP。这样,IIS或FTP即使出了安全问题也不会影响系统。IIS和FTP分开主要是为了防止黑客入侵时上传程序并且从IIS运行。另外,硬盘分区应该选用NTFS格式,因为NTFS格式的安全性能要远高于FAT/FAT32。
④ 修改默认的安装路径。Windows的默认安装路径为C: ,这也存在着一定的安全隐患,建议修改一下,比如安装在D: 上,这也能在一定的程度上保护系统。
请分析:以Windows XP为例,即使是同一种操作系统,也还有面向不同应用对象的版本,下列操作系统的应用对象是:
① Windows XP HomeEdition:____________________________________________
② Windows XP Professional:_____________________________________________
③ Windows XP Server:_________________________________________________
3) 目录文件权限。为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,我们必须设置目录和文件的访问权限。Windows NT的访问权限分为读取、写入、执行、修改列目录和完全控制等。设置的时候应注意以下原则:
① 权限是累计的。如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限。
② 拒绝的权限要比允许的权限高 (拒绝策略会先执行) 。如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。
③ 文件权限比文件夹权限高。
④ 利用用户组来进行权限控制是一个成熟的系统管理员所必须具有的良好习惯之一。
⑤ 仅给用户真正需要的权限,权限的最小化原则是安全的重要保障。
4) 用户管理 (账号策略) 。
① 删除所有不需要的账号,禁止使用所有暂时不用的账号。在账号管理界面中选择“此用户已禁用”。
② 系统开的账号要尽可能地少,因为每多一个账号,就增加了一分被暴力攻破的概率。要严格控制账号的权限。
③ 重命名Administrator,将其改为一个不容易猜到的用户名,以避免暴力破解。Windows系统默认的管理员Administrator可以从远程访问系统,经常被黑客用口令猜测的手段破解后使用,造成危害。建议安装后把这个用户改名,然后再创建一个名为Administrator的用户,并分配给这个新用户一个复杂无比的口令,最后不让它属于任何组。这样我们就有了一个假的管理员用户,就算口令被解出 (这几乎是不可能的了) ,也不能由此获得任何权限。
④ 禁用guest账号。因为不但黑客们经常利用它攻击系统,病毒也会借用guest来传播和开后门。
⑤ 建立健壮的口令,不要使用诸如:zhangsan,iloveyou等容易猜到的口令。
⑥ 经常改变口令,检查账号。
5) 打开安全审核。Windows XP的安全审计功能是默认关闭的。激活此功能有利于管理员很好地掌握机器的状态,有利于系统的入侵检测。你可以从日志中了解到机器是否在被人野蛮攻击、非法的文件访问等。配置的步骤是:在Windows“开始”>“所有程序”菜单中单击“控制面板”命令,双击“管理工具”图标,然后选择“本地安全策略”,再选择“本地策略”中的“审核策略”,进行策略设置和调整。
若想查看审核日志信息,可以在Windows“控制面板”中双击“管理工具”图标,打开“事件查看器”窗口。作为一名系统管理员,要学会定期查看日志,并且善于发现入侵者的痕迹。
6) IIS安全配置。默认的IIS发布目录为C:\Inetpub,请将这个目录删除。在D盘或E盘新建一个目录 (目录名随意) ,然后新建一个站点,在IIS管理器中将主目录指向你新建的目录。这
样做的目的是为了将站点和系统分开,使站点的安全设置出问题时不至于危及到系统安全。
其次,删掉IIS默认安装时的scripts等目录。根据自己的需要建立,最后备份IIS。
7) 禁用不必要的网络协议与网络共享。虽然Windows系统提供了基于主机Net-BIOS名进行网络通信的简单易用的方式,但Net-BIOS协议从一开始就受到黑客和病毒的青睐。建议在网络属性中关闭“Microsoft网络客户端”和“Microsoft网络文件与打印机共享”选项。
另外,Windows系统在刚刚安装完毕之后,为了远程管理需要,会把每个分区都自动共享出来,名为C$、D$、E$……另外还会把C:\windows目录作为ADMIN$共享出来。这些共享在正常情况下对用户没有什么用处,建议去掉。
删除这些默认共享通常有两种方法:
① 批处理。在记事本中输入如下面内容:
net share C$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share admin$ /delete
net share ipc$ /delete
以 .bat为后缀名保存,如noshare.bat,将其放到“开始”>“所有程序”>“启动”文件夹中,重起即可。
② 修改注册表键值。
对于服务器而言:
Key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name: AutoShareServer
Type: DWORD
Value: 0
网络打印机拒绝访问对于工作站而言:
Key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name: AutoShareWks
Type: DWORD
Value: 0
修改注册表后需要重启Server服务或重新启动机器。这些键值在默认情况下在主机上是不存在的,需要自己手动添加。
请记录:操作能够顺利完成吗?如果不能,请分析原因。
_____________________________________________________________________
(3) Windows Vista的系统安全设置
“Vista”一词源于拉丁文的“Vedere”,在包括英语在内的大多数语言中有“远景、展望”之意。微软公司将其下一代具有里程碑意义的操作系统命名为Vista,除了希望它能展望未来,继续执掌操作系统大旗之外,更是为未来个人电脑乃至其他个人电子设备的技术和创新铺路,引领下一代计算体验。
1) 安全可靠。通常,用户电脑的安全威胁有两种情况:一类是来自外界的入侵,另一类则是由于用户自身的失误操作造成的安全漏洞。为此,Vista开发出Windows Defender的程序,可以帮助用户抵御木马、间谍软件造成的弹出,低性能以及安全威胁。
发布评论