操作系统安全第5章_Windows_系统资源的安全保护.ppt

5.3.2利用注册表优化设计Windows系统安全 9. 禁用“任务栏属性”功能 任务栏属性功能，可以方便用户对开始菜单进行修改，可以修改Windows系统的很多属性和运行的程序，这是一件很危险的事情，所以有必要禁用“任务栏属性”功能。 设置时，依次访问键值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer，在右边窗口新建一个DWORD串值“NoSetTaskBar”， 设置该值为“1”，即可。 5.3.2利用注册表优化设计Windows系统安全 10.隐藏“网上邻居” 在局域网中，可以通过网上邻居来访问其他计算机上的共享资源，但有时网上邻居的使用会造成安全上的隐患，可以利用注册表来隐藏“网上邻居”。 设置时，依次访问键值HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer，在右边窗口中新建DWORD值“NoNetHood”，把该值设置为“1”，即可。 5.4 审核策略和安全记录分析 5.4.1审核策略简介 5.4.2审核策略的设置 5.4.3安全记录分析 5.4.1审核策略简介 Windows 2000中的审核是跟踪计算机上用户活动和Windows 2000活动的过程，这些活动被称之为事件。这些事件被分别记录到六种日志中去，分别是应用程序日志、系统日志、安全日志、目录服务日志、文件复制日志和DNS服务器日志。前三种在所有的Windows 2000 和Windows NT 系统中都存在，而后三种则仅当安装了相应的服务才会提供。 应用服务日志：记录应用程序和系统产生的事件。任何厂商开发的应用程序都可以用审核系统将自己注册，并向应用程序日志中写入事件。 系统日志：记录Windows系统自身产生的事件，以及驱动程序等组件产生的事件。 安全日志：记录关于安全的事件，其中包括与监视系统、用户和进程的活动相关的信息，以及关于启动失败等安全服务的信息。 目录服务日志：记录与目录服务相关的事件。 文件复制日志：记录与文件复制相关的事件，其中包括服务已启动或停止，或者服务已成功完成等信息。 DNS 服务日志：记录与域名系统相关的事件，包括DNS服务何时启动或停止，以及与DNS区域相关的任何错误信息。 5.4.2审核策略的设置 1. Windows 2000的审核事件 登录事件 账户登录事件 账户管理 对象访问 系统事件 策略更改 目录服务访问 特权使用 进程跟踪 5.4.2审核策略的设置 登录事件 如果对登录事件进行审核，那么每次用户在计算机上登录或注销时，都会在进行了登录尝试的计算机的安全日志中生成一个事件。此外，在用户连接到远程服务器之后，也会在远程服务器的安全日志中生成一个登录事件。在创建或者销毁登录会话和令牌时也会分别创建登录事件。作为成员服务器和域控制器基本策略的组成部分，对成功和失败登录事件的审核默认启用。 5.4.2审核策略的设置 （2）账户登录事件 在一个用户登录到域时，是在域控制器上对登录进行处理的。如果审核域控制器上的账户登录事件，那么就会看到在对账户进行验证的域控制器上记录的此登录尝试。由于账户登录事件可以记录在域中的任何有效的域控制器上，因此应当确保将各个域控制器上的安全日志合并，再来分析域中的所有账户登录事件。作为成员服务器和域控制器基本策略的组成部分，对成功和失败账户登录事件的审核默认启用。 5.4.2审核策略的设置 （3）账户管理 账户管理的审核用于确定用户或组是在何时创建、更改或删除的。该审核策略可用于确定何时创建了安全主体，以及什么人执行了该任务。作为成员服务器和域控制器基本策略的组成部分，账户管理中的对成功和失败的审核默认启用。 5.4.2审核策略的设置 （4）对象访问 可以用系统访问控制列表(SACL)对基于Windows 2000的网络中的所有对象启用审核。在Windows 2000中几乎任何一个可以操作的对象都有SACL，这些对象包括NTFS驱动器上的文件和文件夹，打印机和注册表项。这些对象的SACL包含着可以对本对象进行操作的用户和组的列表。 5.4.2审核策略的设置 （5）系统事件 在一个用户或进程改变计算机环境的某些方面时会生成系统事件。可以审核对系统进行更改的尝试，如关闭计算机或更改系统时间。如果审核系统事件，则也要审核清除安全日志的时间。这是很重要的，因为攻击者往往试图在对环境进行更改之后清除他们的踪迹。 5.4.2审核策略的设置 （6）策略更改 一个高级攻击者将会设法修改审核策略本身，以使他们进行的任何更改不会被审核到。如果审核策略被更改，将会发现修改审核策略的企图以及对其他策略和用户