操作系統安全防範簡述

[psac]

操作系統安全防範簡述:Linux篇
Linux作為自由、開放的象徵，越來越受到廣大用戶的關注，但真正使用的個人用戶較少，主要是因為它的系統特性，及周邊的軟體開發商較少，讓它只在伺服器系統領域有所普及。它的安全防護，筆者稍做介紹：

　　1． 禁止訪問重要文件

　　Linux不像Windows，它不但公佈來源碼，其核心程序還可以根據用戶需要任意修改，而對於系統中的某些關鍵性文件如inetd.conf和lilo.conf等，同樣可以被（遠端登入用戶）修改，為了保護系統安全，可以事先修改其內容，以防止非法的入侵和修改。

　　首先進入Linux的指令界面，輸入指令：

　　# chmod 600 /etc/inetd.conf

　　改變檔案內容為600。

　　再輸入指令：

　　# chattr +i /etc/inetd.conf

　　保證文件的屬主為root 。

　　這樣，對該檔案的任何改變都將被禁止。只有再通過指令：

　　# chattr -i /etc/inetd.conf

　　root重新設定復位標誌後才能進行修改。

　　2． 禁止遠端訪問

　　在Linux中可通過/etc/hosts.allow 和/etc/hosts.deny 這2個文件允許和禁止遠端主機對本機服務的訪問。方法是：進入Linux的指令界面，調出hosts.deny文件，加入以下指令：

　　# Deny access to everyone.

　　ALL: ALL@ALL

　　所有服務對所有外部主機禁止，除非由hosts.allow文件指明允許。

　　在hosts.allow 文件內，加入允許訪問的主機方法如下：

　　調出hosts.allow文件，加入以下指令：

　　#Just an example:

　　http: 192.168.1.8 yanghao.com

　　意思是允許IP位址為192.168.18和主機名為yanghao.com的機器作為客戶端機訪問http服務。

　　系統的安全防護方式，筆者就介紹到這裡，不可能面面俱到。使用Windows XP及其他的「NT核心」系統的用戶應該更注意安全問題，在使用XP時，最好將自帶的防火牆開啟（Microsoft在新發售的Windows XP中也將防火牆設定為預設開啟）。任何系統的用戶都應具備一定的安全知識，如：不輕易洩漏自己的網路和系統資訊；不執行來歷不明的程序等。安全的系統環境要靠自己打造。

操作系統安全防範簡述:Win XP篇

Windows XP以其穩定性、強大的個人和網路功能為大家所推崇，而它的「NT內核」，讓我們不得不加強安全防護。
　　1． 一般的安全防護

　　所謂「一般的安全防護」即施行同Windows 98一樣的安裝防病毒軟體、昇級系統、禁止Ping三種安全方式。

要強調的是Windows XP和它的前輩Windows 2000一樣，漏洞層出不窮，對於系統的昇級不能像對Windows 98般馬虎，除了要安裝Microsoft針對「衝擊波」的漏洞修正檔外，建議將Windows XP昇級為最新的Service Pack 1（昇級後會提高資源佔有，不過安全性、穩定性有所提高）。

　　2． 禁止遠端協助，遮閉閒置的連接埠

　　在Windows XP上有一項名為「遠端協助」的功能，它允許用戶在使用電腦發生困難時，向MSN上的好友發出遠端協助邀請，來說明 自己解決問題。

　　而這個「遠端協助」功能正是「衝擊波」病毒所要攻擊的RPC（Remote Procedure Call）服務在Windows XP上的表現形式。

建議用戶不要使用該功能，使用前也應該安裝Microsoft提供的RPC漏洞工具和「衝擊波」免疫程序。

禁止「遠端協助」的方法是：開啟系統內容對話視窗（右鍵「我的電腦」、「內容」），在「遠端」項裡去掉「允許從這台電腦傳送遠端協助邀請」前面的「√」。

　　使用系統自帶的「TCP/IP篩選服務」就能夠限制連接埠。
方法如下：
在「網路連接」上按下右鍵，選項「內容」，開啟「網路連接內容」對話視窗，在「一般」項裡選裡面的「Internet傳輸協定（TCP/IP）」然後按下下面的[內容]按鈕，在「Internet傳輸協定（TCP/IP）內容」視窗裡，按下下面的[進階]按鈕，在彈出的「進階TCP/IP設定」視窗裡選項「選項」項，再按下下面的[內容]按鈕，最後彈出「TCP/IP篩選」視窗，通過視窗裡的「只允許」單選框，分別增加「TCP」、「UDP」、「IP」等網路傳輸協定允許的連接埠，未提供各種服務的情況，可以遮閉掉所有的連接埠。這是最佳的安全防範形式。




　　3． 禁止終端服務遠端控制

　　「終端服務」是Windows XP在Windows 2000系統（Windows 2000利用此服務實現遠端的伺服器托管）上遺留下來的一種服務形式。

用戶利用終端可以實現遠端控制。

「終端服務」和「遠端協助」是有一定區別的，雖然都實現的是遠端控制，終端服務更注重用戶的登入管理權限，它的每次連接都需要當前系統的一個具體登入ID，且相互隔離，「終端服務」獨立於當前電腦用戶的邀請，可以獨立、自由登入遠端電腦。

　　在Windows XP系統下，「終端服務」是被預設開啟的，（Windows 2000系統需要安裝相應的元件，才可以開啟和使用終端服務）也就是說，如果有人知道你電腦上的一個用戶登入ID，並且知道電腦的IP，它就可以完全控制你的電腦。

　　在Windows XP系統裡關閉「終端服務」的方法如下：
右鍵選項「我的電腦」、「內容」，選項「遠端」項，去掉「允許用戶遠端連線到這台電腦」前面的「√」即可。

　4．關閉Messenger服務

　　Messenger服務是Microsoft集成在Windows XP系統裡的一個通訊元件，它預設情況下也是被開啟的。利用它傳送信息時，只要知道對方的IP，然後輸入文字，對方的桌面上就會彈出相應的文字信息視窗，且在未關閉掉Messenger服務的情況下強行接受。

　　很多用戶不知道怎麼關閉它，而飽受信息的騷擾。其實方法很簡單，進入「控制台」，選項「系統管理工具」，啟動裡面的「服務」項，然後在Messenger項上按下右鍵，選項「停止」即可。


　　5． 防範IPC預設共享

　　Windows XP在預設安裝後允許任何用戶通過空用戶連接（IPC＄）得到系統所有帳號和共享列表，這本來是為了方便區域網路用戶共享資源和文件的，但是任何一個遠端用戶都可以利用這個空的連接得到你的用戶列表。

黑客就利用這項功能，搜尋系統的用戶列表，並使用一些字典工具，對系統進行攻擊。這就是網上較流行的IPC攻擊。

　　要防範IPC攻擊就應該從系統的預設配置下手，可以通過修改註冊表彌補漏洞：

　　第一步：將HKEY_LOCAL

_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous 項設定為「1」，就能禁止空用戶連接。

　　第二步：開啟註冊表的

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\ LanmanServer\Parameters 項。

　　對於伺服器，增加鍵值「AutoShareServer」，類型為「REG_DWORD」，值為「0」。

　　對於客戶端機，增加鍵值「AutoShareWks」，類型為「REG_DWORD」，值為「0」。

　　6． 合理管理Administrator

　　Windows 2000/XP系統，系統安裝後都會預設新增一個Administrator用戶，它擁有電腦的最高管理權限。而有的用戶在安裝時，根本沒有給Administrator用戶設定密碼。黑客就利用這一點，使用進階用戶登入對方電腦。

因此，個人用戶應該妥善保管「Administrator」用戶信息，Windows 2000登入時，要求輸入Administrator用戶的登入密碼，而Windows XP在正常啟動後，是看不到Administrator用戶的，建議使用Windows XP的用戶進入安全模式，再在「控制台」的「用戶帳戶」項裡為Administrator用戶增加密碼，或者將其刪除掉，以免留下隱患。

　　針對個人操作系統的安全防護，筆者就介紹Windows 98與Windows XP兩款，至於Windows 2000由於它有Professional和Server版本之分，兩種版本的Windows 2000防護形式類似Windows XP與Windows 2003，這裡就不分開來具體介紹了，下面來說說針對伺服器使用的Windows 2003和Linux系統。

操作系統安全防範簡述:Win 2003篇

　　Windows 2003是Microsoft最新的伺服器版操作系統，可以說是Windows XP的 Server版昇級，但對於安全問題，同樣不能疏忽。

　　1． 昇級和打修正檔

　　Windows 2003的是比較新的系統，還沒有像Windows 2000的SP 4修正檔程序，不過它的伺服器元件仍是以IIS為核心，像「衝擊波」等病毒同樣能夠傷害它，所以定期檢查昇級以及給伺服器系統打修正檔是非常必要的。

　　2． 利用「網路監視器」

　　「網路監視器」是從Windows 2000 Server就開始引入的一個監視網路通訊狀況的伺服器元件，它可以細緻到監視一個資料包的具體內容，以供用戶詳細瞭解伺服器的資料流動情況，使用「網路監視器」可以說明 網管檢視網路故障，檢測黑客攻擊。

　　點擊Windows Server 2003的桌面[開始]→[程序]→[系統管理工具]中的「網路監視器」（執行網路監視器之前必須確保網路監視器已經安裝，在預設情況下網路監視器作為2003的元件沒有被安裝，需要在「控制台」的「增加/刪除 Windows 元件」中增加「網路監視器」），來啟動「網路監視器」。

　　進入監視器的主表單後，點擊工作列中的三角形（類似[Play]）按鈕，就開始監視指定網路卡的通信了。網路監視器提供了「網路利用率」、「每秒畫格數」、「每秒字元數」、「每秒廣播數」等網路通信監控功能，這些參數對於網路故障的排除和網路監控具有非常重要的作用。


　　其中，「網路利用率」是網路當前負載與最大理論負載量的比率。以使用共享式乙太網為例，它的最大網路利用率不過在50%左右，如果超過這個數值，網路就飽和了，網路速度會非常慢；交換式乙太網（採用交換機）的最大利用率則可達80%左右。

「每秒廣播數」是被監視的網路卡發出和接收到的廣播畫格的數量，正常情況下，每秒廣播畫格數是比較少的，它視網路上的電腦數量而定；而在發生「廣播風暴」時，每秒廣播畫格數非常多，高達1000畫格/秒以上。

　3． DHCP給客戶端機分配IP位址

　　使用動態DHCP IP分配功能，可以讓你管理的區域網路內的客戶端機使用動態IP，這是阻止區域網路攻擊的有效手段。

　　在個人和家用為主的Windows XP系統中Microsoft沒有加入DHCP等網路元件，Windows Server 2003又重新加入了這一服務。

使用方式如下：
進入「控制台」，開啟「系統管理工具」裡的「DHCP」網路服務，在DHCP視窗左邊的樹型結構裡，選當前伺服器，在上面按下右鍵選項「新增作用域」（作用域是DHCP分配給客戶端機的IP位址範圍）。

　　首先是輸入「作用域名稱」，該項只是為了提示使用者，可填任意內容。但是設定可分配的IP位址範圍必須要按照網路規模規劃IP位址，譬如有20台客戶端機，可輸入起始IP三為「192.168.0.8」；結束為IP「192.168.0.28」。

下面的子網掩碼和長度都為預設的「255.255.255.0」和「24」。




　　接下來是輸入排除的IP，有時候，希望IP位址段中留出一個或者一部分專用，如分配給提供其他服務的伺服器使用，則需要在「排除IP位址」裡分別輸入欲保留的單個IP位址或IP位址段，輸入完成後點擊[增加]，它允許輸入多段排除的IP位址。

也可以直接[下一步]來跳過「排除IP」嚮導。

　　使用了DHCP功能後，設定被分配IP的電腦時，使用其預設設定即可，IP和DNS都選定為「自動獲得」，如果以前指定了IP和其他網路設定位址都應該重新設定為「自動獲得」以免引起網路位址衝突錯誤。

　　在Windows XP適用的安全辦法在Windows 2003上同樣適用，畢竟它們出自同一個內核。

-> 電腦技巧-> 電腦技巧->操作系統安全防範簡述：Win98篇


操作系統安全防範簡述：Win98篇


　　由於Windows 98「先天」的安全性，用戶可以稍微降低系統的防護程序。一般情況下做到以下三點即可。

　　1． 安裝殺毒軟體

　　防病毒產品是每一款系統都應該具備的安全保障，無論是國產的金山、江民，還是國外的熊貓、Norton都能夠很好保護系統免受病毒襲擊。但要注意及時昇級病毒庫，否則會對一些新病毒缺乏抵抗力。

　　2． 適當對系統昇級和打修正檔

　　Windows 98不像Windows 2000系統——Microsoft三天兩頭要求下載最新的漏洞修正檔。

Windows 98的用戶自身也很少「Updata」昇級的，雖然一些新修正檔程序能夠增強系統的穩定性，但不能改變「顯示藍色」的老毛病。建議在Microsoft公佈有重大隱患的安全漏洞時進行系統昇級即可。

　　3． 禁止Ping指令探測系統

　　Ping是網路中常用的一個指令，它可以說明 用戶瞭解網路的通訊狀況，不過它也會洩漏回復Ping請求電腦的系統資訊。




　　註：TTL值為255時，系統為Windows 98；TTL值為128時，系統為Windows XP；TTL值為248時，系統為Linux。

　　不僅是Windows 98用戶，Windows 2000/ XP用戶都應該遮閉掉Ping指令訪問。



網路防火牆都提供有禁止Ping指令的設定，以常用的「天網防火牆」為例，直接啟用軟體主界面裡「IP規則」中的「防止別人用Ping指令探測」即可。