《网络信息对抗》课程教学资源（PPT课件讲稿）第三章 安全性分析与风险评估（3.2）Windows系列风险分析

课件4 Windows系列风险分析 322 Windows2000系列的安全 性分析

课件4 Windows系列风险分析 3.2.2 Windows 2000系列的安全 性分析

32.2 Windows2000系列的安全性分析 ●除了因微软系统本身漏洞产生的安全性 问题外,对微软系统的安全机制了解不 深,不会合理选用各种安全设置,产生 了本不应有的“人为”漏洞,也是微软 系统产生严重漏洞的重要原因。如果能 够合理配置N/2000的服务器的各项安全 设置,其安全性能够接近甚至达到C2安 全级的要求,反之将会使你的系统漏洞 百出

3.2.2 Windows 2000系列的安全性分析 ⚫ 除了因微软系统本身漏洞产生的安全性 问题外，对微软系统的安全机制了解不 深，不会合理选用各种安全设置，产生 了本不应有的“人为”漏洞，也是微软 系统产生严重漏洞的重要原因。如果能 够合理配置NT/2000的服务器的各项安全 设置，其安全性能够接近甚至达到C2安 全级的要求，反之将会使你的系统漏洞 百出

下面分别从系统的装配、账户安全、文 件系统安全、网络与服务安全和审计安 全等方面介绍安全相关的配置与选择要 求,违背了这些要求,就会为黑客造成 可乘之机

⚫ 下面分别从系统的装配、账户安全、文 件系统安全、网络与服务安全和审计安 全等方面介绍安全相关的配置与选择要 求，违背了这些要求，就会为黑客造成 可乘之机

系统定制方面的风险 ●标准配置方式有风险。在建立新系统时, 如果采用商家提供标准(自动)配置, 会使你的系统存在许多安全隐患。例如 可能为你多配置了一些你可能永远不会 使用的功能或一些多余的账户,这些都 可能成为你的系统受到攻击的进入点。 减少这种风险的方法是“量体裁衣”, 根据自己的需求去定制一个新系统

一、系统定制方面的风险 ⚫ 标准配置方式有风险。在建立新系统时， 如果采用商家提供标准（自动）配置， 会使你的系统存在许多安全隐患。例如， 可能为你多配置了一些你可能永远不会 使用的功能或一些多余的账户，这些都 可能成为你的系统受到攻击的进入点。 减少这种风险的方法是“量体裁衣” ， 根据自己的需求去定制一个新系统

1、版本选择风险 ●各种操作系统都有多个不同的版本,用 于不同的场合和应用环境。有4种版本: 专业版、服务器版、高级服务器版和数 据中心版。版本越高,服务越多,功能 越强,风险也相对地高。应该根据自己 的应用需要选择合适的版本,个人选择 专业版,小型单位选择服务器版就可以 了,减少了不必要的服务功能,也就减 了受攻击的可能

1、版本选择风险 ⚫ 各种操作系统都有多个不同的版本，用 于不同的场合和应用环境。有4种版本： 专业版、服务器版、高级服务器版和数 据中心版。版本越高，服务越多，功能 越强，风险也相对地高。应该根据自己 的应用需要选择合适的版本，个人选择 专业版，小型单位选择服务器版就可以 了，减少了不必要的服务功能，也就减 少了受攻击的可能

2、语言选择风险 ●操作系统一般有多个语言版本,如英文 版、中文版等。选择什么语言环境,应 根据自己的需要来确定。但从安全角度 来考虑的话,建议使用英文版本,因为 英文版本一般经过大量的多用户测试, 相比中文版本,在安全性能上有较好的 提高

2、语言选择风险 ⚫ 操作系统一般有多个语言版本，如英文 版、中文版等。选择什么语言环境，应 根据自己的需要来确定。但从安全角度 来考虑的话，建议使用英文版本，因为 英文版本一般经过大量的多用户测试， 相比中文版本，在安全性能上有较好的 提高

3、组件定制风险 ●原则上,系统中的组件越少越安全。 win2000在默认情况下会安装一些常用的 组件,但是正是这个默认安装是极度危 险的。你应该确切的知道你需要哪些服 务,而且仅仅安裝你确实需要的服务

3、组件定制风险 ⚫ 原则上，系统中的组件越少越安全。 win2000在默认情况下会安装一些常用的 组件，但是正是这个默认安装是极度危 险的。你应该确切的知道你需要哪些服 务，而且仅仅安装你确实需要的服务

4、远程管理应用程序的选择风险 ●服务器安装好后一般不放在本地,因此远程管 理是管理员必须使用的基本技术。 Terminal Service(终端服务)具有速度快、操作方便的 特点,但由于使用了虚拟终端技术,也存在 定的问题。有条件的话可以配备一个远程控制 软件作为辅助,如 PCANYWHERE(见322节)

4、远程管理应用程序的选择风险 ⚫ 服务器安装好后一般不放在本地，因此远程管 理是管理员必须使用的基本技术。Terminal Service（终端服务）具有速度快、操作方便的 特点，但由于使用了虚拟终端技术，也存在一 定的问题。有条件的话可以配备一个远程控制 软件作为辅助，如PCANYWHERE（见3.2.2节） 等

系统安装方面的风险 ●1、分区和逻辑盘的分配 ●FAT32分区是早期的分区方法,其格式早 为黑客所熟悉,安全控制机制很差,选 择这类分区是很不安全的。不论是N还 是200,硬盘分区最好选择NTFS分区, 其理由是NTFS比FAT分区多了安全控制功 能,可以对不同的文件夹设置不同的访 问杈限,安全性明显增强

二、系统安装方面的风险 ⚫ 1、分区和逻辑盘的分配 ⚫ FAT32分区是早期的分区方法，其格式早 为黑客所熟悉，安全控制机制很差，选 择这类分区是很不安全的。不论是NT还 是2000，硬盘分区最好选择NTFS分区， 其理由是NTFS比FAT分区多了安全控制功 能，可以对不同的文件夹设置不同的访 问权限，安全性明显增强

、安装多种操作系统的风险 安裝两种以上操作系统,会给黑客以可乘之机, 利用攻击使系统重启到另外一个没有安全设置 的操作系统(或者他熟悉的操作系统入,进而 进行破坏。 ●3、域控制器与网站服务器合用的风险。主域 控制器(PDC)是局域网中对多台联网机器管 理的一种方式,用于网站服务器包则会含着安 全隐患,使黑客有可能利用域方式的漏洞攻击 站点服务器

2、安装多种操作系统的风险 ⚫ 安装两种以上操作系统，会给黑客以可乘之机， 利用攻击使系统重启到另外一个没有安全设置 的操作系统（或者他熟悉的操作系统），进而 进行破坏。 ⚫ 3、域控制器与网站服务器合用的风险。主域 控制器（PDC）是局域网中对多台联网机器管 理的一种方式，用于网站服务器包则会含着安 全隐患，使黑客有可能利用域方式的漏洞攻击 站点服务器