第9章节操作系统安全.ppt

第9章　操作系统安全 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 第9章 操作系统安全 目前服务器常用的操作系统有两类：Windows NT/2000/2003 Server、Unix/Linux。这些操作系统都是符合C2级安全级别的操作系统，但是都存在不少漏洞，如果对这些漏洞不了解，不采取相应的措施，就会使操作系统完全暴露给入侵者。本章将讨论这两类操作系统一些基本的安全问题。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 9.1 Windows系统的安全 9.1.1 账户的安全设置 1．Windows账户简介 在Windows操作系统中，用户被分成许多组，组和组之间有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。Windows中常见的用户组如下： （1）Administrators，管理员组。 （2）Power Users，高级用户组。 （3）Users，普通用户组。 （4）Guests，来宾组。 （5）Everyone，顾名思义，计算机上的所有用户都属于这个组。 Administrators组中有一个在系统安装时就创建的默认用户Administrator，Administrator账户具有对计算机的完全控制权限，并可以根据需要向用户指派用户权利和访问控制权限。Guests组下也有一个默认用户Guest，但是在默认情况下，它是被禁用的。如果没有特别必要，无须启用此账户。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2．Windows账户管理 Windows在控制面板中有【用户账号】图标，但功能太弱，建议不要使用，应该使用专门的用户管理程序。打开【控制面板】窗口，双击【管理工具】图标，出现【管理工具】窗口后，双击【计算机管理】图标，出现【计算机管理】窗口。在【计算机管理】窗口左侧依次选择【系统工具】|【本地用户和组】|【用户】，右侧会列出计算机中的所有用户。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 3．Windows账户安全设置 （1）停用不必要的账户：可用的账户越多，被黑客利用的可能性就越大，所以用不到的账户一律删除或停用。 （2）管理员账户改名：Administrator账户不能停用，黑客知道这个账户名，就可以一遍又一遍地尝试它的密码，把Administrator账户改名可以有效地防止这一点。不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通账户，如改成user-one。 （3）设置陷阱账户：Administrator账户改名之后，可以再创建一个Administrator账户，让它隶属于【Guests】组，权限最小，并且加上一个超长的复杂密码，这就是陷阱账户。陷阱账户可以让那些黑客忙上很长一段时间，侥幸成功后也做不了什么事情。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. （4）开启账户锁定策略：开启账户锁定策略后，黑客尝试密码错误达到一定次数后，该账户将被锁定而不能登录。打开【控制面板】窗口，双击【管理工具】图标，出现【管理工具】窗口后，双击【本地安全策略】图标，出现【本地安全设置】窗口。在【本地安全设置】窗口左侧依次选择【账户策略】|【账户锁定策略】，右侧会列出3条策略。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 9.1.2 网上邻居的安全设置 1．简单共享与高级共享 在Windows的网上邻居中，有两种文件共享方式，分别是简单共享与高