操作系统安全 复习资料_操作系统复习资料全

操作系统安全 复习资料由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“操作系统复习资料全”。

第三章 windows server 2003 用户账号安全

一、密码安全设置原则

1．不可让账号与密码相同

2．不可使用自己的姓名

3．不可使用英文词组

4．不可使用特定意义的日期

5．不可使用简单的密码

二、要保证密码的安全，应当遵循以下规则：

1．用户密码应包含英文字母的大小写、数字、可打印字符，甚至是非打印字符。建议将这些符号排列组合使用，以期达到最好的保密效果。

2．用户密码不要太规则，不要使用用户姓名、生日、电话号码以及常用单词作为密码。

3．根据Windows系统密码的散列算法原理，密码长度设置应超过7位，最好为14位。

4．密码不得以明文方式存放在系统中，确保密码以加密的形式写在硬盘上并包含密码的文件是只读的。

5．密码应定期修改，应避免重复使用旧密码，应采用多套密码的命名规则。

6．建立账号锁定机制。一旦同一账号密码校验错误若干次，即断开连接并锁定该账号，经过一段时间才解锁。

三、在Windows Server 2003系统中，如果在“密码策略”中启用了“密码必须符合复杂性要求”设置的话，则对用户的密码设置有如下要求：

1．不包含全部或部分的用户账户名。

2．长度至少为7个字符。

3．包含以下4种类型字符中的3种字符。

(1)英文大写字母（从A到Z）

(2)英文小写字母（从a到z）

(3)10个基本数字（从0到9）

(4)非字母字符（如!、$、#、%）

四、强密码则具有以下特征：

1．长度至少有7个字符。

2．不包含用户的生日、电话、用户名、真实姓名或公司名等。

3．不包含完整的字典词汇。

4．包含全部4种类型的字符。

除此之外，管理员账户的密码应当定期修改，尤其是当发现有不良攻击时，更应及时修改复杂密码，以免被破解。为避免密码因过于复杂而忘记，可用笔记录下来，并保存在安全的地方，或随身携带避免丢失。

五、账户策略包含两个子集：密码策略和账户锁定策略

六、密码策略包含以下6个策略：

1．密码必须符合复杂性要求。

2．密码长度最小值。

3．密码最长使用期限。

4．密码最短使用期限。

5．强制密码历史。

6．用可还原的加密来储存密码。

七、“强制密码历史”策略

该策略通过确保旧密码不能继续使用，从而使管理员能够增强安全性。重新使用旧密码之前，该安全设置确定与某个用户账户相关的唯一新密码的数量。该值必须为0～24之间的一个数值，推荐值为8

八、双击“密码最长使用期限”，选中“定义这个策略设置”复选框

该安全设置要求用户更改密码之前可以使用该密码的时间（单位为天）。可将密码的过期天数设置在1～999天之间，或将天数设置为0，可指定密码永不过期。如果密码最长使用期限在1～999天之间，那么密码最短使用期限必须小于密码最长使用期限。如果密码最长使用期限设置为0，则密码最短使用期限可以是1～998天之间的任意值。

九、双击“密码最短使用期限”，选中“定义这个策略设置”复选框

该安全策略设置确定用户可以更改密码之前必须使用该密码的时间（单位为天）。可以设置1～998天之间的某个值，或者通过将天数设置为0，允许立即更改密码。

十、双击“最小密码长度”，选中“定义这个策略设置”复选框

将“密码必须至少是”的值设置为 8, 然后双击“确定”。通过将字符数设置为0，可设置不需要密码。

十一、账户锁定阈值

该安全设置确定造成用户账户被锁定的登录失败尝试的次数。在锁定时间内，无法使用锁定的账户，除非管理员进行了重新设置或该账户的锁定时间已过期。登录尝试失败的范围可设置为0～999之间，建议值为3～5，既允许用户输或记忆错误，又避免恶意用户反复尝试用不同密码登录系统。如果将锁定阈值设为0，将无法锁定账户。对于使用Ctrl+Alt+Delete组合键或带有密码保护的屏幕保护程序锁定的计算机上，失败的密码尝试计入失败的登录尝试次数中。

十二、账户锁定时间

该安全设置确定锁定的账户在自动解锁前保持锁定状态的分钟数。有效范围从0～99，999分钟。如果将账户锁定时间设置为0，那么在管理员明确将其解锁前，该账户将一直被锁定。如果定义了账户锁定阈值，则账户锁定时间必须大于或等于重置时间。

十三、复位账户锁定计数器

确定在登录尝试失败计数器被复位为0（即0次失败登录尝试）之前，尝试登录失败之后所需的分钟数。有效范围为1～99，999分钟之间。如果定义了账户锁定阈值，则该复位时间必须小于或等于账户锁定时间

十四、系统管理员设置原则

1．更改管理员账户名

2．禁用Administrator账户

3．强密码设置

十五、除非有特殊应用，否则Guest账户应当被禁用。事实上，许多网络攻击就是借助Guest用户来实现的。即使启用Guest账户，也应当为其指定最低的访问权限

十六、共享文件夹权限

当将文件夹设置为共享资源时，除了必须为文件和文件夹指定NTFS访问权限以外，还应当为共享文件夹指定相应的访问权限。共享文件夹权限比NTFS权限简单一些，而且NTFS权限的优先级要高于共享文件夹权限。因此，共享文件夹的权限可以粗略设置，而NTFS权限则必须详细划分

十七、为用户组指定权限时，有以下两点需要注意

1．权限是叠加的用户可以同时属于多个用户组，用户所拥有的权限，是其所属组权限的总和。对组指派的用户权限应用到该组的所有成员（在它们还是成员的时候）。如果用户是多个组的成员，则用户权限是累积的，这意味着用户有多组权限。

2．拒绝权限优先

无论用户在其他组拥有怎样大的权限，只要其所属组中有一个明确设置了“拒绝”权限，那么该权限及其包含的权限也都将被拒绝。

第四章 文件访问安全

一、多重NTFS权限

1)权限的积累

用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和。如果用户对文件具有“读取”权限，该用户所属的组又对该文件具有“写入”的权限，那么该用户就对该文件同时具有“读取”和“写入”的权限，举例如下：

假设情况如下所示：有一个文件叫FILE。USER1用户属于GROUP1组

2)文件权限高于文件夹权限

意思就是说NTFS文件权限对于NTFS文件夹权限具有优先权，假设用户能够访问一个文件，那么即使该文件位于用户不具有访问权限的文件夹中，也可以进行访问（前提是该文件没有继承它所属的文件夹的权限）。

举例说明如下：假设用户对文件夹FOLDER没有访问权限，但是该文件夹下的文件FILE.TXT没有继承FOLDER的权限，也就是说用户对FILE.TXT文件是有权限访问的，只不过无法用资源管理器之类的东西来打开FOLDER文件夹，无法看到文件FILE而已（因为对FOLDER没有访问权限），但是可以通过输入它的完整的路径来访问该文件。比如可以用 c:folderfile.txt来访问FILE文件（假设在C盘）。

3)拒绝高于其他权限

拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件，但是该组被拒绝访问，那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件。也就是说上面第一点的权限累积原则将失效。举例说明如下：

假设情况如下：有一个文件叫FILE。USER1用户属于GROUP1组

有一个文件叫FILE。

USER1用户属于GROUP1组，同时也属于GROUP2组，二、NTFS 权限继承

1．在同一NTFS分区间复制或移动

2．在不同NTFS分区间复制或移动

3．从NTFS分区复制或移动到FAT格式分区

三、创建配额

可以创建两种方式的配额：

普通配额：普通配额只是应用到某个卷或文件夹，并限制整个文件夹树（此文件夹本身和它的所有子文件夹）所使用的磁盘空间；比如可以使用普通配额来限制用户在某个文件夹中存储的数据大小；

自动配额：自动配额允许用户为某个卷或文件夹指派一个配额模板，FSRM将基于此配额模板自动为现有子文件夹或任何将来创建的新子文件夹生成普通配额，但是FSRM并不会针对此文件夹本身创建普通配额。自动配额通常使用在以下场景：用户数据分别按子目录存放在一个公用的文件夹中，那么可以针对公用文件夹启用自动配额。

第五章 网络通信安全

一、在网络技术中，端口（Port）大致有两种意思：一是物理意义上的端口，比如，ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口，如RJ-45端口、SC端口等等。二是逻辑意义上的端口，一般是指TCP/IP协议中的端口，端口号的范围从0到65535，比如用于浏览网页服务的80端口，用于FTP服务的21端口等等

二、端口分类

1.按端口号分布划分

（1）知名端口（Well-Known Ports）

知名端口即众所周知的端口号，范围从0到1023，这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务，25端口分配给SMTP（简单邮件传输协议）服务，80端口分配给HTTP服务，135端口分配给RPC（远程过程调用）服务等等。

（2）动态端口（Dynamic Ports）

动态端口的范围从1024到65535，这些端口号一般不固定分配给某个服务，也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请，那么系统就可以从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后，就会释放所占用的端口号。

2.按协议类型划分

按协议类型划分，可以分为TCP、UDP、IP和ICMP（Internet控制消息协议）等端口。下面主要介绍TCP和UDP端口：

（1）TCP端口

TCP端口，即传输控制协议端口，需要在客户端和服务器之间建立连接，这样可以提供可靠的数据传输。常见的包括FTP服务的21端口，Telnet服务的23端口，SMTP服务的25端口，以及HTTP服务的80端口等等。

（2）UDP端口

UDP端口，即用户数据包协议端口，无需在客户端和服务器之间建立连接，安全性得不到保障。常见的有DNS服务的53端口，SNMP（简单网络管理协议）服务的161端口，QQ使用的8000和4000端口等等。

第六章 应用程序和服务安全

一、IIS 6.0版本支持以下6种身份验证方法，使用这些方法可以确认任何请求访问网站的用

户的身份，以及授予访问站点公共区域的权限，同时又可防止未经授权的用户访问专用文件和目录。

匿名身份验证。允许网络中的任意用户进行访问，不需要使用用户名和密码登录。

基本身份验证。需要用户键入用户名和密码，然后通过网络“非加密”将这些信息传送到服务器，经过验证后方可允许用户访问。

摘要式身份验证。与“基本身份验证”非常类似，所不同的是将密码作为“哈希”值发送。摘要式身份验证仅用于Windows域控制器的域。

高级摘要式身份验证。与“摘要式身份验证”基本相同，所不同的是，“高级摘要式身份验证”将客户端凭据作为MD5哈希存储在Windows Server 2003域控制器的Active Directory（活动目录）服务中，从而提高了安全性。

集成Windows身份验证。使用哈希技术来标识用户，而不通过网络实际发送密码。证书。可以用来建立安全套接字层（SSL）连接的数字凭据，也可以用于验证。

当不允许用户匿名访问时，就应当为IIS用户账户设置强密码以实现IIS的访问安全。