安全测评之----系统及应用软件安全设置

来源:百度文库 编辑:神马文学网 时间:2024/04/28 13:17:04

系统及应用软件安全设置

l      用户账号的安全设置

l       在一个局域网中,正确有效地设置各不同组用户账号的权限,是确保网络安全的首要因素。我只是想说明的一点就是,Win2000的默认安装允许所有用户通过空用户名和空密码得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到你的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏,这是整个网络中的最大不安全因素之一。

 

l      文件和文件夹权限的设置

l        我们知道NT系统的安全性在本地网络中最主要还是可以自由设置各用户、文件和文件夹的访问权限来保证的。为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,必须安全有效地设置文件夹和文件的访问权限。NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹和文件对所有用户(Everyone这个组)是完全控制的(Full Control),这根本不能满足不同网络的权限设置需求,所以你还需要根据应用的需要进行重新设置。

 

l      权限具有继承性

l       权限的继承性就是下级文件夹的权限设置在未重设之前是继承其上一级文件的权限设置的,更明了地说就是如果一个用户对某一文件夹具有读取的权限,那这个用户对这个文件夹的下级文件夹同样具有读取的权限,除非你打断这种继承关系,重新设置。但要注意的是这仅是对静态的文件权限来讲,对于文件或文件夹的移动或复制,其权限的继承性又如何呢?请看下文:

l        a在同一NTFS分区间复制或移动

l        在同一NTFS分区间复制到不同文件夹时,它的访问权限是和原文件或文件夹的访问权限不一样。但在同一NTFS分区间移动一文件或文件夹其访问权限保持不变,继承原先未移动前的访问的权限。

l       

b、在不同NTFS分区间复制或移动

  在不同NTFS分区间复制文件或文件夹访问权限会随之改变,复制的文件不是继承原权限,而是继承目标(新)文件夹的访问权限。同样如果是在不同NTFS分区间移动文件或文件夹则问权限随着移动而改变,也是继承移动后所在文件夹的权限。

  c、从NTFS分区复制或移动到FAT格式分区

  因为FAT格式的文件或文件夹根本没有权限设置项,所以原来文件或文件夹也就再没有访问权限了,

 

l      权限具有累加性

l        权限的累加性具体双表现在以下几个方面:

l        a工作组权限由组中各用户权限累加决定

l        如一个组GROUP1中有两个用户USER1USER2,他们同时对某文件或文件夹的访问权限分别为只读型的和写入型的,那么组GROUP1对该文件或文件夹的访问权限就为USER1USER2的访问权限之和,实际上是取其最大的那个,即只读”+“写入”=“写入

l        b、用户权限由所属组权限的累决定

l        如一个用户USER1同属于组GROUP1GROUP2,而GROUP1对某一文件或文件夹的访问权限为只读型的,而GROUP2对这一文件或文件夹的访问权限为完全控制型的,则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得,即:只读”+“完全控制”=“完全控制

l      权限的优先性

  权限的这一特性又包含两种子特性,其一是文件的访问权限优先文件夹的权限,也就是说文件权限可以越过文件夹的权限,不顾上一级文件夹的设置。另一特性就是拒绝权限优先其它权限,也就是说拒绝权限可以越过其它所有其它权限,一旦选择了拒绝权限,则其它权限也就不能取任何作用,相当于没有设置,下面就具体讲一下这两种子特性。

  a、文件权限优先文件夹权限

  如果一用户USER1对文件夹Folder A的访问权限为只读类型的,在这个文件夹下面有一个Fiel1文件,我们可以对这个文件Fiel1设置权限为完全控制型,而不顾它的上一级文件Folder A的权限设置情况。

b拒绝权限优先其它权限

  这种情况我们可举这们一个例子,就是一个用户USER1同属于组GROUP1和组GROUP2,其中组GROUP1对一个文件File1(或文件夹)的访问权限为完全控制,而用户GROUP2对这个文件File1的访问权限设置为拒绝访问,那么根据这个特性USER1对文件File1的访问权限为拒绝访问类型,而不管工作组GROUP1对这个文件设置什么权限。

 

l      访问权限和共享权限的交叉性

l        当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限,且所设权限不一致时,它的取舍原则是取两个权限的交集,也即最严格、最小的那种权限。如文件夹Folder A为用户USER1设置的共享权限为只读,同时文件夹Folder A为用户USER1设置的访问权限为完全控制,那用户USER1的最终访问权限为只读。当然这个文件夹只能是在NTFS文件格式的分区中,如是FAT格式的分区中也就不存在访问权限了,因为FAT文件格式的文件夹没有本地访问权限的设置。

l      选择好的远程通讯软件

  选择一个好的远程通讯软件是非常重要的事,因为网络的不安全因素多数还是出在远程通讯软件上,Internet太复杂了,任何无意的疏忽都可能给别有用心之人以难得的良机。选择好一个好的远程通讯软件这不仅仅是应用方面的要求,也更是从安全方面的考虑。

  Win2000Terminal Service是基于RDP(远程桌面协议)的远程控制软件,它的速度快,操作方便,比较适合用来进行常规操作。但是,Terminal Service也有其不足之处,由于它使用的是虚拟桌面,再加上微软编程的不严谨,当你使用Terminal Service进行安装软件或重启服务器等与真实桌面交互的操作时,往往会出现直接关机的BUG。所以,一般需另外选择一个专业的远程通讯软件,如在WinDWOS下的PcAnyWhereDOS下的CarbonCopy就是不错的选择。

IIS是微软的组件中问题最多的一个,要注意很多软件的默认安装是黑客攻击的源头,是引起不安全因素的根源,微软的IIS也不例外,同时它又是一个网络应用软件,直接与千变万化的互联网相联系,所以IIS是我们安全配置的重点。

首先,为了系统的安全起见我们一般要删除系统盘下的Inetpub目录,在另一分区中新建一个Inetpub,并使IIS管理器中将主目录指向它。这样即使IIS安全出了问题,也不会直接影响到整个系统。

l      其次,我们要记住一个原则,那就是:最小的权限+最少的服务=最大的安全。所以必需把IIS安装时默认的scrīpts等虚拟目录也一概删除,如果你需要什么权限的目录可以以后再建(特别注意写权限和执行程序的权限)。

然后是应用程序的配置。在IIS管理器中把无用映射都统统删除(当然必须保留如ASPASA等)。在IIS管理器中主机→属性→WWW服务编辑→主目录配置→应用程序映射,然后开始一个个删掉。接着再在应用程序调试书签内,将脚本错误消息改为发送文本。点击确定退出时别忘了让虚拟站点继承刚才设定好的属性。

解决IIS4以及之前的版本受到D.O.S攻击会停止服务。运行Regedt32.exe在:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w3svc\parameters增加一个值:Value Name: MaxClientRequestBuffer Data Type: REG_DWORD设置为十进制具体数值设置为你想设定的IIS允许接受的URL最大长度。CNNS的设置为256

  2)删除HTR脚本映射。

  3)将IIS web server下的/_vti_bin目录设置成禁止远程访问。

  4)在IIS管理控制台中,点web站点,属性,选择主目录,配置(起始点),应用程序映射,将htwwebhits.dll的映射删除。

  5)如果安装的系统是2K的话,安装Q256888_W2K_SP1_x86_en.EXE

  6)删除:c:\Program Files\Common Files\System\Msadc\msadcs.dll

  7)如果不需要使用Index Server,禁止或卸载该服务。如果你使用了Index Server,请将包含敏感信息的目录的“Index this resource”的选项禁止。

  8)解决unicode漏洞:2K安装2kunicode.exeNT安装ntunicode86.exe
最后,为了保险起见,可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。

 

l      1.物理安全

l        服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。

l      2.停掉Guest帐号

  在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。

l      3.限制不必要的用户数量

l        去掉所有的duplicate user帐户,测试用帐户,共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。

l      4.创建2个管理员用帐号
  虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators权限的帐户只在需要的时候使用。可以让管理员使用“ RunAS”命令来执行一些需要特权才能作的一些工作,以方便管理。

 

5.把系统administrator帐号改名
  大家都知道,windows 2000administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone

6.创建一个陷阱帐号
  什么是陷阱帐号?创建一个名为” Administrator”的本地帐户,把它的权限设置成最低。

安全测评之----系统及应用软件安全设置 系统优化与安全设置 微软系统账户安全设置 安全测评之----操作系统安全配置 安全测评之----操作系统安全配置 让Windows7系统更加安全的系统安全设置 微软系统账户安全设置_★正道沧桑★ 个人电脑安全设置方法 个人电脑安全设置方法 无线局域网安全设置 电脑安全设置方法 个人电脑安全设置方法 个人电脑安全设置方法 Linux ssh安全设置 WIN2003服务器安全设置 windows7 安全设置 IE 6.0的安全使用及设置技巧 Ubuntu安全设置指南及相关工具介绍 Acegi安全系统 Acegi安全系统详解 电脑,系统,安全 WCF-安全之 传输安全 Flash Player8安全设置问题 个人电脑详细的安全设置