3.windows操作系统安全.ppt

上传人：夺命阿水

文档编号：236037

上传时间：2023-03-10

格式：PPT

页数：97

大小：2.02MB

《3.windows操作系统安全.ppt》由会员分享，可在线阅读，更多相关《3.windows操作系统安全.ppt（97页珍藏版）》请在课桌文档上搜索。

1、第五部分：Windows操作系统安全,2023/3/10,1,操作系统安全定义,2023/3/10,2,信息安全的五类服务，作为安全的操作系统时必须提供的有些操作系统所提供的服务是不健全的、默认关闭的,2023/3/10,3,操作系统安全等级,TCSEC定义的内容,2023/3/10,4,没有安全性可言，例如MS DOS,不区分用户，基本的访问控制windows98,有自主的访问安全性，区分用户WindowsNT,Win2000,Linux,Unix,标记安全保护，如System V等,结构化内容保护，支持硬件保护,安全域，数据隐藏与分层、屏蔽,校验级保护，提供低级别手段,操作系统安全要素,任

2、何操作系统都会存在系统缺陷，主要问题集中于：,2023/3/10,5,文件系统,系统默认设置和使用,未修补的系统故障,不正确或不存在的审核过程,用户和组,第一节：Windows操作系统安全性概述,2023/3/10,6,Windows安全对象,Windows 2000中的对象类型有：文件、文件夹、打印机、I/O设备、窗口、线程、进程和内存。,2023/3/10,7,本地的Windows 2000安全子系统包括下列关键组件：安全标识符、访问令牌、安全描述符、访问控制列表和访问控制条目。,Windows 2000安全组件,安全标识符:分配给所有用户、组和计算机的统计上的唯一号码为了保证SID的惟一

3、性，在生成他们的时候使用一个公式，结合计算机名，当前时间和当前用户模式线程使用CPU时间的总量。SID像这样：S1521164928866415498249601244863647500,2023/3/10,8,Windows 2000的安全子系统,2023/3/10,9,Winlogon,加载GINA，监视认证顺序,加载认证包,支持额外的验证机制,为认证建立安全通道,提供登陆接口,提供真正的用户校验,管理用户和用户证书的数据库,2023/3/10,10,第二节：Windows安全设计,Windows安全设计,活动目录角色使用组策略管理安全性身份验证和访问控制管理委派Kerberos身份验证协

4、议Kerberos身份验证过程Kerberos与Active Directory身份验证委派Windows2000公钥基本结构,2023/3/10,11,2023/3/10,12,10.CryptoAPI11.Windows2000PKI12.智能卡13.加密文件系统14.安全配置模板15.使用IPSec确保网络安全性16.扩展的体系结构17.互操作性18.审核,Windows安全设计,1.活动目录的角色,2023/3/10,13,Windows用户帐号信息特权配置文件策略,Windows客户Mgmt配置文件网络信息策略,Windows服务器Mgmt配置文件网络信息服务打印机文件共享策略,目录

5、,为下列对象管理焦点：用户和资源安全授权策略,Active Directory概述,Active Directory 是一种灵活的企业级目录服务，它使用 Internet 标准技术构建，并完全集成在操作系统层次上。,2023/3/10,14,的特征和性能,Active Directory 提供了下列非常广泛的特征和性能：简化了用户和网络资源管理使用 Active Directory 可以构建分层的信息结构，从而可以更轻松地控制诸如管理权限这样的事务，同时用户也可以用它方便地查找网络资源，例如文件和打印机。,2023/3/10,15,组策略使用策略分别为用户和计算机定义允许的操作和设置。与

6、本地策略不同，使用组策略可以设置能应用在 Active Directory 内跨越指定站点、域或单位的策略。基于策略的管理简化了诸如系统更新、应用程序安装、用户配置文件和桌面系统锁定等任务。,2023/3/10,16,灵活、安全的授权和身份验证灵活安全的授权和身份验证服务，为减少 Internet 的上障碍，顺利地进行商务活动提供了数据保护措施。Active Directory 支持多种身份验证协议（例如 Kerberos V5 协议、安全套接字层协议 v3 和使用了 X.509 v3 证书的传输层安全保护），并支持有效跨越域的安全组。,2023/3/10,17,强大的开发环境 Active

7、 Directory 通过 Active Directory 服务接口提供了强大的开发环境。许多业界领先的开发商已承诺支持基于 Active Directory 的应用程序标准，如 SAP、Baan、J.D.Edwards、Cisco 等等。,2023/3/10,18,2.使用组策略管理安全性,组策略设置是配置设置，管理者可用此设置来控制 Actove Directory 中对象的各种行为。可以将“组策略”配置设置与三个 Active Directory 容器相关联：组织单元(OU)、域或站点可以使用“组策略”来定义广泛的安全性策略。在使用“组策略”功能来应用广泛的策略后，可以进一步细化个别

8、PC 上的安全性设置。特定计算机的设置是从域到 OU 所有策略设置的组合。,2023/3/10,19,3.身份验证与访问控制,身份验证用户在 Active Directory 中必须有一个 Windows 2000 用户帐户，以登录到计算机或域中；Windows 2000 支持多重身份验证机制以供用户在进入网络时证明自己的身份；用户帐户还可用作一些应用程序的服务帐户；当用户进入网络时，用户必须提供身份验证信息以便安全系统身份验证其身份，之后再决定要允许该用户以什么权限访问网络资源；,2023/3/10,20,3.1 身份验证,Windows 2000 支持，包括 X.509 证书、智能卡和、K

9、erberos 协议和NTLM 协议数种产业标准身份验证机制在 Active Directory 中使用“组策略”，根据用户的角色和安全需要为个别用户或用户组指派特定身份验证机制若身份验证成功，可以根据身份验证机制提供的身份找到用户帐户，Windows 2000 会为用户提供一组凭据，该凭据可用来访问整个网络上的资源,2023/3/10,21,3.2 访问控制,访问控制Windows 2000 通过让管理员给对象指派安全性描述符，如文件、打印机和服务等来执行访问控制管理者不仅可控制对特定对象的访问，也可控制对该对象的特定属性的访问使用对象的 ACL，Windows 2000 会比较关于客户端和

10、关于对象的信息来决定用户对该对象是否具有所需的访问权,2023/3/10,22,3.3 精密访问控制,精密的访问控制为了给管理者较大的弹性来指派安全性设置，Active Directory 提供对目录中对象的精密访问控制。目录中的项可以有丰富的架构：用户或组可以有数百种属性，如电话号码、办公室号码、管理器以及成员所属的组等,2023/3/10,23,3.4 身份验证与访问控制,2023/3/10,24,4.管理委派,Active Directory 让管理者在域的目录林中委派管理任务子集，这样组织就可以将域管理的责任分发给数个职员。可以通过创建包含您想委派控制的对象的组织单元来对域目录树的任何

11、级别委派管理控制，然后把这些组织单元的管理控制委派给特定用户或组。,2023/3/10,25,5.Kerberos身份认证协议,Windows 2000 使用 Internet 标准 Kerberos V5 协议作为验证用户身份的主要方法。Kerberos 协议提供在客户机和服务器两者之间的网络连接打开前交互身份验证的机制 Kerberos 协议依靠身份验证技术，用来向所访问网络资源验证客户端，以及向客户端验证网络资源使用 Kerberos 协议，客户机和服务器都会向 Kerberos 身份验证服务器注册,2023/3/10,26,Kerberos验证过程,2023/3/10,27,TGS,

12、AS,Server,用户信息,Client,用户输入口令以解密得到服务申请凭证和与TGS的会话密钥,鉴定用户身份，如有效生成服务许可凭证和client与server的会话密钥,Kerberos服务器,6.Kerberos身份验证过程,当用户登录到基于 Windows 2000 的域时，Windows 2000 会找到 Active Directory 服务器和 Kerberos 身份验证服务，并将客户端凭据发送给 Kerberos 服务。客户端是由用来取得密钥的密码来验证身份，这个密钥可由服务器验证，或使用私钥加密的信息来验证身份，此私钥的公开部分是在 Active Directory 中注册

13、的。在检查客户端身份验证信息后，Kerberos 服务，称为“密钥发行服务”(KDC)，为用户签发授予票据的票据(TGT)，当客户端要求后续 Kerberos 票据以登录到网络资源时，这个票据就会用来标识客户端。用户唯一要做的就是输入自己的密码来登录。,2023/3/10,28,7.Kerberos和活动目录,每个基于 Windows 2000 的域控制器将 Active Directory 实现为其目录并集成 KDC。这允许所有用户帐户信息存储在单个目录中。若您的组织是中型或大型的，您可能有多个域控制器来给组织提供可用性和容量。,2023/3/10,29,8.身份验证委派,2023/3/10

14、,30,9.Win2000公钥基本结构,2023/3/10,31,10.CryptoAPI,除“证书服务”外，Windows 2000 PKI 还依靠 Microsoft CryptoAPI 版本 2 来进行安全的密码操作及私钥管理。CryptoAPI 是 Windows 2000 应用程序编程接口(API)，为 Windows 和 Windows 应用程序提供密码服务。开发人员可以使用 CryptoAPI 将“证书服务”与现有数据库及第三方目录服务集成到一起。CryptoAPI 的常规用途包括支持自定义过程来保护电子文档。,2023/3/10,32,11.Windows2000 PKI,使用

15、安全/多重目的 Internet 邮件扩展(S/MIME)来保护电子邮件通讯的安全为进行安全交易而创建数字签名。使用 Secure Sockets Layer(SSL)或 Transport Layer Security(TLS)来保护 Web 上的通讯安全。签署可执行代码以便在公用网络上传递为不使用 Kerberos 协议的客户端，或为 IPSec 通讯的共享机密密码提供 Internet 协议安全性(IPSec)身份验证。,2023/3/10,33,11.Windows2000 PKI（续1）,使用 Windows 2000 EFS 对文件进行加密使用智能卡保护登录凭据的安全,2023/3

16、/10,34,12.智能卡,智能卡通常和信用卡大小一样，它所提供的抗篡改存储能够保护用户的证书和私钥。因此，智能卡提供了一种十分安全的用于用户身份验证、交互式登录、代码签名以及安全电子邮件的方法用户不是输入密码，而是将卡片插入附于 PC 上的读取器，然后输入卡的 PIN,2023/3/10,35,13.加密文件系统,Windows 2000 加密文件系统(EFS)为使本地存储的数据多一些保护措施，EFS 允许对本地计算机上指定的文件或文件夹进行加密，这样未经授权的人就无法读取这些文件EFS 在保存文件时自动对其进行加密，并且在用户再次打开文件时解密。除了加密文件的人和具有 EFS 文件恢复证书

17、的管理员以外，没有人可以读取这些文件EFS 使用对每个文件都各不相同的对称加密密钥对文件进行加密。然后它还要使用来自文件拥有者的 EFS 证书的公钥对加密密钥进行加密,2023/3/10,36,13.加密文件系统（续1）,EFS的保护措施非常完善，使数据得到严密的保护EFS 包含允许您恢复公司信息的恢复机制。使用 EFS 时，会创建单独的恢复密钥。系统会自动完成这项任务，即用管理员的 EFS 文件恢复证书的公钥对原始加密密钥进行加密。管理员可以使用该证书中的私钥来恢复文件,2023/3/10,37,14.安全配置模板,为使组织的网络的安全性设置的管理及设置更容易一些，Windows 2000

18、Server 中包含了“安全模板”工具安全模板是安全配置的实际体现，一个可以存储一组安全设置的文件“安全配置”和“分析”工具是“安全模板”管理单元所附带的。它用于将定义在安全模板中的限制应用到实际系统中。它还可用于分析系统的安全性并与计算机上已经部署好的设置进行比较以确保它们符合公司标准,2023/3/10,38,15.使用 IPSec 确保网络安全性,IPSec 是一套 Internet 标准协议，允许两台计算机在不安全的网络上进行安全的、加密的通讯。加密应用于 IP 网络层，亦即它对大部分使用特定网络协议的应用程序都是透明的可以配置 IPSec 使其执行下列安全功能中的一个或多个:根据 K

19、erberos 身份验证、数字证书或共享机密密钥（密码）来验证 IP 数据包发送者身份按照绝密等级对所有在网络上传送的数据进行加密隐藏起始的 IP 地址,2023/3/10,39,16.扩展的体系结构,Windows 2000 支持多种安全协议。提供此支持的操作系统的结构元素称为“安全性支持提供程序接口”(SSPI),2023/3/10,40,17.互操作性,Windows 2000 运用标准 Kerberos 网络身份验证协议来改善安全性和互操作性用来对 Kerberos 服务验证用户身份的 Kerberos 客户端为一个领域（在 Kerberos 协议中，领域就等价于基于 Windows

20、 2000 的域）提供身份验证服务的 Kerberos KDC要进行身份验证的访问方法和网络资源,2023/3/10,41,18.审核,Windows 2000 包含了安全性审核功能，允许监视与安全性相关的事件:访问对象（如文件和文件夹）用户帐户和组帐户的管理当用户登录到系统和注销系统时,2023/3/10,42,19.总结,Windows 2000 中的安全性基本结构合并了强大的网络资源安全性与高级管理基本结构的效能Windows 2000 安全措施将 Active Directory 所提供的集中式信息存储及基于策略的控制与用于客户机和服务器间的跨平台、安全连接的行业标准协议集成到一起Wi

21、ndows 2000 包含集成的公钥基本结构组件，以支持高级安全功能（如智能卡）来进行两项因素身份验证，以及支持 EFS 来保护磁盘上的数据存储,2023/3/10,43,19.总结（续）,若要扩展使用 Windows 2000 的组织的能力，应用程序开发人员可使用 SSPI 来利用 Windows 2000 安全性基本结构，这样开发人员便可在自定义应用程序中使用 Windows 2000 安全性基本结构。为管理 Windows 2000 中的安全性，操作系统包含了可以简化设置任务并应用安全性设置的模板。最后，审核功能还可帮助管理员确认安全性系统能否正常运作。,2023/3/10,44,第三节

22、：Windows账号和密码的安全性,2023/3/10,45,账号与密码安全,账号安全与密码之间的关系Windows NT和Windows 2000下实现账号安全的方法拒绝账号访问和账号监视,2023/3/10,46,重点内容：,账号的意义,典型的直接身份验证方式采用的是“你知道什么”的验证方法在现有的操作系统中，账号与密码的匹配是唯一的验证手段,2023/3/10,47,密码-安全核心,账号/密码的基础性地位决定账号/密码安全性的几个因素账号的复杂性账号的时效加密密码的算法强度密码的复杂性密码使用的时效,2023/3/10,48,密码复杂性要求,强壮密码的组成大写字母小写字母数字非字母、数

23、字的字符密码长度：不小于8字节长,2023/3/10,49,强壮密码应符合的规则,2023/3/10,50,个人名字或呢称,电话号码、生日等敏感信息,输入8字符以上密码,记录于纸上或放置于办公处,使用重复的字符,=强壮的密码,帐户(accounts)和组(groups),帐户(user accounts)定义了Windows中一个用户所必要的信息，包括口令、安全ID(SID)、组成员关系、登录限制，组：universal groups、global groups、local groupsAccount Identifier:Security identifier(SID)时间和空间唯一S-1-

24、N-Y1-Y2-Y3-Y4Some well-known SIDs字符串形式和二进制形式的SID,2023/3/10,51,Windows 2000密码安全,账号与密码策略账号重命名策略账号复杂性要求策略账号锁定策略,2023/3/10,52,Windows NT/2000的账号重命名,Administrator、guest等账号的重命名IIS等建立的默认账号域环境下的默认账号数量更多，但也更加严格管理员帐号当前的名字保存在注册表中,2023/3/10,53,账号策略,账号锁定策略密码策略,2023/3/10,54,密码策略的推荐设置,2023/3/10,55,针对远程破解的策略定制,密码复杂

25、性要求账户锁定策略的推荐设置,2023/3/10,56,Windows 2000密码操作要点,为“管理员”帐号指定密码用户帐号密码控制用户自己（大多数情况下）/管理员避免明显联想密码，如生日采用长密码最长可达128，推荐最小8个大小写、数字、其它字符混合,2023/3/10,57,SAM数据库与AD,SAM中口令的保存采用单向函数(OWF)或散列算法实现在%systemroot%system32configsam中实现DC上，账号与密码散列保存在%systemroot%ntdsntds.dit中,2023/3/10,58,SYSKEY功能,2023/3/10,59,从NT4 sp3开始提供

26、,第四节：Windows文件系统安全性,2023/3/10,60,文件系统安全,Windows NT/2000的本地权限和共享权限合理的磁盘分区域文件系统,2023/3/10,61,Windows 2000文件系统,NTFS VS FAT32NTFS提供文件级权限FAT32没有提供文件级权限NTFS权限NTFS文件夹权限NTFS文件权限,2023/3/10,62,NTFS文件权限,6种标准（组合）权限读Read写Write列文件夹内容List Folder Contents读和执行 Read&Excecute修改Modify完全控制Full Control默认Everyone对根及其下 Ful

27、l Control一般应删除Everyone组，必要设为Domain Users,2023/3/10,63,Windows 2000怎样应用NTFS权限,默认：子文件夹及文件继承权限复制、移动文件（夹）会对权限有影响多个NTFS权限权限是累积的（取大）:用户本身权限，用户所属多个组文件权限优于文件夹权限拒绝（deny)权限超越其他权限（一票否决）注意：明确拒绝（ACL中的拒绝元素）和没设权限的区别,2023/3/10,64,复制和移动文件夹,从一个NTFS分区到另一个NTFS分区无论复制/移动，都是继承：不同分区，移动=复制+删除同一个NTFS分区复制：继承移动：保留复制/移动到FAT(32)

28、分区NTFS权限丢失,2023/3/10,65,第五节：Windows注册表安全性,2023/3/10,66,Windows 2000注册表,所有的配置和控制选项都存储在注册表中分为五个子树，分别是Hkey_local_machineHkey_usersHkey_current_userHkey_classes_rootHkey_current_configHkey_local_machine 包含所有本机相关的配置信息,2023/3/10,67,禁止对注册表的远程访问,2023/3/10,68,第六节：Windows文件共享安全性,2023/3/10,69,Windows NT的“Out-o

29、f-box”属性,默认的安装目录用户权限的默认值，everyone的Full Control权限默认的隐含共享和IPC$用户账号和密码不加限制对系统安全不进行审计跟踪,2023/3/10,70,Windows 2000的默认目录,Windows 2000的%system%winnt目录几个需要注意的默认安装目录IIS的默认目录Log的默认目录(%WinDir%System32LogFiles和%WinDir%system32config)SAM和SAM备份的日志目录,2023/3/10,71,Windows 2000默认共享,C$、D$Ipc$：远程会话管理Admin$：指向%WinDir%目

30、录，用于远程管理,2023/3/10,72,2023/3/10,73,Windows 2000默认共享安全之一,1.禁止C$、D$一类的缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters AutoShareServer、REG_DWORD、0 x0,2.禁止ADMIN$缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters AutoShareWks、REG_DWORD、0 x0,2023/3/10

31、,74,Windows 2000默认共享安全之二,3.限制IPC$缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa restrictanonymous REG_DWORD 0 x0 缺省 0 x1 匿名用户无法列举本机用户列表 0 x2 匿名用户无法连接本机IPC$共享说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server,2023/3/10,75,第七节：Web服务器IIS的安全配置,Web服务,静态脚本服务动态脚本服务脚本很可能就成为获得信息的非正当的服务脚本Web Service Apache、II

32、S是建立WWW网站的常见软件,2023/3/10,76,IIS溢出问题(1),.htr缓冲区溢出漏洞IPP(Internet Printing Protocol)缓冲区溢出(IPP是处理.printer文件的-C:winntsystem32msw3prt.dll)当以下调用超过420字节时，问题就会发生对策：删除DLL和文件扩展之间的映射,2023/3/10,77,GET/NULL.printer HTTP/1.0Host:buffer,IIS溢出问题(2),索引服务ISAPI扩展溢出(通常被称为ida/idq溢出)由idq.dll引起，当buffer长度超过240字节时，问题就会发生Null

33、.ida为文件名，无需真的存在直至现在上没有漏洞利用代码Code Red的感染途径对策：删除idq.dll和文件扩展之间的映射,2023/3/10,78,GET/NULL.ida?HTTP/1.1 Host:buffer,IIS溢出问题(3),Frontpage 2000服务扩展溢出最早由NSFocus(中国安全研究小组)提出FPSE在Windows 2000中的位置：C:Program filesCommom FilesMicrosoft SharedWeb Server Extensions问题焦点是fp30reg.dll和fp4areg.dll(后者默认总是提供的)收到超过258字节的U

34、RL请求时，问题就会出现漏洞利用工具：fpse2000ex对策：删除fp30reg.dll和fp4areg.dll文件,2023/3/10,79,删除DLL和文件扩展之间的映射,2023/3/10,80,2023/3/10,81,配置安全的IIS运行环境,作为运行在 Windows NT操作系统环境下的IIS，其安全性也应建立在Windows NT安全性的基础之上。,1.应用NTFS文件系统,2.文件夹共享权限的修改,3.为系统管理员账号更名,4.取消TCP/IP上的NetBIOS绑定,2023/3/10,82,设置IIS的安全机制一,1.安装时应注意的安全问题,（1）避免安装在主域控制器上

35、,（2）避免安装在系统分区上,2.用户控制的安全性,（1）限制匿名用户的访问,（2）一般用户,通过使用数字与字母（包括大小写）结合的口令，提高修改密码的频率，封锁失败的登录尝试以及账户的生存期等对一般用户账户进行管理。,2023/3/10,83,设置IIS的安全机制二,3.登录认证的安全性,IIS服务器提供对用户三种形式的身份认证：,匿名访问：不需要与用户之间进行交互，允许任何人匿名访问站点，在这三种身份认证中的安全性是最低的。基本（Basic）验证：在此方式下用户输入的用户名和口令以明文方式在网络上传输，没有任何加密，非法用户可以通过网上监听来拦截数据包，并从中获取用户名及密码，安全性能一般

36、。Windows NT请求/响应方式：浏览器通过加密方式与IIS服务器进行交流，有效地防止了窃听者，是安全性比较高的认证形式。,2023/3/10,84,设置IIS的安全机制三,4.访问权限控制,（1）文件夹和文件的访问权限：安放在NTFS文件系统上的文件夹和文件，一方面要对其权限加以控制，对不同的用户组和用户进行不同的权限设置；另外，还可利用NTFS的审核功能对某些特定用户组成员读文件的企图等方面进行审核，有效地通过监视如文件访问、用户对象的使用等发现非法用户进行非法活动的前兆，及时加以预防制止。,（2）WWW目录的访问权限：已经设置成Web目录的文件夹，可以通过操作Web站点属性页实现对W

37、WW目录访问权限的控制，而该目录下的所有文件和子文件夹都将继承这些安全性。WWW服务除了提供NTFS文件系统提供的权限外，还提供读取权限，允许用户读取或下载WWW目录中的文件；执行权限，允许用户运行WWW目录下的程序和脚本。,2023/3/10,85,设置IIS的安全机制四,5.IP地址的控制,IIS可以设置允许或拒绝从特定IP发来的服务请求，有选择地允许特定节点的用户访问服务，你可以通过设置来阻止除指定IP地址外的整个网络用户来访问你的Web服务器。,6.端口安全性的实现,可以通过修改端口号来提高IIS服务器的安全性，如果你修改了端口设置，只有知道端口号的用户才可以访问。,7.禁止IP转发功

38、能提高服务的安全性,8.启用SSL安全机制加强Web服务的安全性,2023/3/10,86,提高ISS的安全性和稳定性一,限制在web服务器开帐户，定期删除一些中断进程的用户。对在web服务器上开的帐户，在口令长度及定期更改方面作出要求，防止被盗用。尽量使ftp，mail等服务器与之分开，去掉ftp，mail，tftp，NIS，NFS，finger，netstat等一些无关的应用。在web服务器上去掉一些绝对不用的shell等之类解释器，即当在你的 cgi的程序中没用到perl时，就尽量把perl在系统解释器中删除掉。,2023/3/10,87,提高ISS的安全性和稳定性二,有些WEB服务器

39、把WEB的文档目录与FTP目录指在同一目录时，应该注意不要把FTP的目录与CGI-BIN指定在一个目录之下。,设置好web服务器上系统文件的权限和属性，对可让人访问的文档分配一个公用的组如：www，并只分配它只读的权利。对于WEB的配置文件仅对WEB管理员有写的权利。,定期查看服务器中的日志logs文件，分析一切可疑事件。,通过限制许可访问用户IP或DNS,2023/3/10,88,第八节：FTP服务器的安全配置,FTP服务,文件传输协议(File Transfer Protocol，FTP)FTP服务通常被攻击者上传后门程序文件到主机，然后通过种种方式转移成为激活的后门。资源共享和权限控制

40、矛盾的存在,2023/3/10,89,2023/3/10,90,普通FTP服务器的安全配置一,一、取消匿名访问功能,二、启用日志记录,FTP服务器日志记录着所有用户的访问信息，如访问时间、客户机IP地址、使用的登录账号等，这些信息对于FTP服务器的稳定运行具有很重要的意义，一旦服务器出现问题，就可以查看FTP日志，找到故障所在，及时排除。因此一定要启用FTP日志记录。,2023/3/10,91,普通FTP服务器的安全配置二,三、正确设置用户访问权限,四、启用磁盘配额，限制FTP存储空间,五、TCP/IP访问限制，拒绝或只允许某些IP地址的访问。,六、合理设置组策略,1.审核账户登录事件,2.增

41、强账号密码的复杂性,3.账号登录限制,2023/3/10,92,的安全性设置,一、对“本地服务器”进行设置,1.选中“拦截攻击和”,当使用协议进行文件传输时，客户端首先向服务器发出一个“”命令，该命令中包含此用户的地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在命令中加入特定的地址信息，使服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果服务器有权访问该机器的话，那么恶意用户就可以通过服务器作为中介，仍然能够最终实现与目标服

42、务器的连接。这就是，也称跨服务器攻击。选中后就可以防止发生此种情况。,2023/3/10,93,在“高级”选项卡中，检查“加密密码”和“启用安全”是否被选中，如果没有，选择它们。“加密密码”使用单向函数（）加密用户口令，加密后的口令保存在或是注册表中。如果不选择此项，用户口令将以明文形式保存在文件中；“启用安全”将启动服务器的安全成功。,2.检查“加密密码”和“启用安全”是否被选中。,2023/3/10,94,的安全性设置二,二、对域中的服务器进行设置,对每个账户的密码都提供了以下三种安全类型：规则密码、和。不同的类型对传输的加密方式也不同，以规则密码安全性最低。进入拥有一定管理权限的账户的设

43、置中，在“常规”选项卡的下方找到“密码类型”下拉列表框，选中第二或第三种类型，保存即可。注意，当用户凭此账户登录服务器时，需要客户端软件支持此密码类型，如等，输入密码时选择相应的密码类型方可通过服务器验证。,1.选择合适的密码类型,2023/3/10,95,2.谨慎设置主目录及其权限,凡是没必要赋予写入等能修改服务器文件或目录权限的，尽量不要赋予。,3.开启日志，并经常检查,在“日志”选项卡中将“启用记录到文件”选中，并设置好日志文件名及保存路径、记录参数等，以方便随时查询服务器异常原因。,远程登录服务,远程登录服务是指通过某种端口协议为远程客户端提供执行系统命令的服务常见的远程登陆服务包括Telnet终端服务PcAnywhererloginSSH 协议漏洞、服务程序漏洞等问题,2023/3/10,96,谢谢大家！,2023/3/10,97,