|
发信人: soochowtang(八扇屏) 整理人: williamlong(2002-05-20 11:10:17), 站内信件 |
| 如何使WINDOWS NT满足C2级安全标准要求 (转)
作 者: soochowtang(八扇屏) 2002-03-14 17:43:11 :0 :0 [回复] [打包] [转贴] [修改] [删除] -------------------------------------------------------------------------------- 如何使WINDOWS NT满足C2级安全标准要求 在WINDOWS NT中实施C2级安全标准最简便的方法是使用WINDOWS NT资源工具箱软件,更为具体的是C2配置管理器。下面一节将介绍如何使用C2配置管理器来使你安装的WINDOWS NT达到CW级安全标准。 一、C2配置管理器。 WINDOWS NT SERVER 4.0资源工具箱软件配备的C2配置管理器使得实施C2级安全标准几乎不费什么力气。它能核查你的系统配置,并指出为符合C2级安全标准,你必须修改什么配置。 二、文件系统 C2级安全标准采用自由选择访问控制,尽管WINDOWS NT的确也支持其他文件系统(如FAT),但WINDOWS NT 目前支持的可提供自由选择访问控制的唯一文件系统为NTFS。若是你的系统含有非NTFS分区,单击C2钮选择这些分区。等下次系统启动时,就含有NTFS。 三、操作系统配置 为了让你的系统达到C2级安全标准,WINDOWS NT必须是唯一安装的操作系统。尽管C2配置管理器不禁止安装其他操作系统,但是当系统启动时,它可使其他操作系统不能使用。你只用在启动WINDOWS NT时告诉OS LOADER等待即可。如果你的操作系统选项不是C2级,双击 OPERATING SYSTEM 选项打开对话框。 在对话框中,单击C2钮,接着单击OK就出现一个信息框,告诉你启动时不能选择另外的操作系统。单击OK则更新BOOT.INI。 四、OS/2子系统 OS/2子系统使WINDOWS NT 运行OS/2字符方式应用程序。然而C2级要求规定,如果要求使用 WINDOWS NT 的话,禁止安装OS/2子系统。这主要是因为OS/2不符合C2安全标准的要求。 五、POSIX子系统 基于UNIX的可移植操作系统界面(POSIX)子系统使得WINDOWS NT 能执行32位POSIX应用程序。这些应用程序是以字符为基础,在一个控制台窗口中运行。由于POSIX以UNIX安全性为基础,它无法安装在符合C2级安全标准的WINDOWS NT平台上。双击POSIX子系统项,打开对话框。 选择OK钮可显示一个要求确认的信息框。再单击OK就取消POSIX子系统。要是你决定以后重新安装POSIX子系统,将PSXSS.EXE文件从你的WINDOWS NT CD-ROM光盘拷贝进你的%SYSTEM ROOT% 目录中即可。 六、安全日志 C2的可设置控制对象要求系统创建并保存一个对系统对象进行访问的审核线索,并保护该线索免遭修改、非授权访问或破坏。通过缺省操作,WINDOWS NT就覆盖事件查看器中七天前发生的事件。双击SEURITY LOG来显示对话框。 选择“DO NOT OVWRWRITE EVENTS(CLEAR LOG MANUALLY)”(不要改写事件(手动清除记录))旁边的选项钮,然后单击OK。 七、审核出现故障就停机 在正常的WINDOWS NT 设置过程中,即便事件查看器配置成不覆盖任何事件,要是记录长度超出管理员设置的最长限度,系统仍然保持运行。虽然这有时可能显得很方便,但是系统会停止审核。这意味着任何违反策略的操作或企图违反策略的操作都不被记录。为了使你的审核设置满足C2级安全标准的要求,请单击HALT-ON-AUDLT FAILURE(审核出现故障就停机)。选择“HALT SYSTEM WHEN SECRUITY LOG IS FULL,”(当安全记录已满时,就死机)。单击 OK,这时你的审核设置就符合C2级安全标准的要求。 八、显示登录信息 尽管让系统通知登录用户他们进入的系统存储了机密信息,同时你愿意检举他们违反你的安全策略,这些并不属于C2级安全标准的要求,但是这样做也许会阻挡/阻挡不住打算侵入的黑客。然而如果你设法起诉黑客违反你的安全策略时,这则信息就很关键。为了确定登录信息,请单击“C2 CONFIGURATION-LOGON MESSAGE”对话框中选项。确定你想显示的信息框标题和正文,然后单击OK。 九、显示最后一位用户的名字 你肯定已注意到,WINDOWS NT自动显示出在某台计算机登录到系统的最后一位用户的名字。不论何时只要方便,系统自动向其它人提供一半识别/验证信息。系统的这种功能被证明会泄露太多的信息。尽管C2级安全标准并没有做这方面的要求,但最好应停用LAST USERNAME DISPLAY 项。选择“HIDE THE LAST USERNAME TO LOGIN”(隐含最后一位登录用户的名字),然后单击OK。 十、关闭钮当用户输入用户名和口令时,WINDOWS NT为它提供一种在验证前关闭系统的方法。大多数计算机由于某种原因一直打开。我个人倒情愿让自己或另一位管理员决定何时我的计算机将关闭。选择 “DONT SHOW THE SHUTDOWN BUTTON IN THE LOGON DIALOG”(不要显示登录对话框中的关闭钮),然后单击OK。 十一、口令长度 WINDOWS NT的缺省配置允许口令是空白的。然而为了保证安全,识别/验证中的验证部分必须存在。 C2级安全标准规定口令不得是空白的。双击PASSWORD LENGTH,你可以改变缺省设置。而后单击C2钮,然后单击OK键。 注意: 改变最小口令长度并不影响目前系统中的口令。 十二、客人用户帐户 在设置WINDOWS NT 时我总做的第一件事是禁止使用客人用户帐户。如果你的系统需要安全保密,尤其要达到C2级安全等级,那么也需要停用你的客人用户帐户。单击GUEST ACCOUNT打开对话框。选择“DISABLE GUEST USER ACCOUNT”(停用客人用户帐户)复选框,然后单击OK。 十三、连网 我曾提到过,WINDOWS NT的C2级安全标准只涉及独立计算机。在你的系统达到C2级安全等级前,你要将所有网络硬软件从你的系统中卸载下来。 双击CONFIGURATION MANAGER中的NETWORKING项则显示一个对话框。单击对话框中的OK带你进入网络安装,这时候你可以将网络协议、适配器等等从系统中卸载下来。 十四、驱动器名和打印机 控制系统的资源是安全的重点,这不但要控制访问,而且也要控制安装,双击DRIVE LETTER AND PRINTER(驱动器名和打印机)来查看。在对话框“C2 CONFIGURATION MANAGER”中双击 NETWORK项,将网络硬软件卸载下来,选择“ONLY ADMINISTRATORS AMY ASSIGN PRINTERS AND DRIVE LETTER”复选框(只有管理员才能分配打印机和驱动器名),然后单击OK。 十五、可拆卸介质驱动器尽管让WINDOWS NT 4.0达到C2级安全标准的要求,并不需要这个功能,但它的确有助于确保系统的安全性。C2安全管理器让你能根据登录情况分配可拆卸驱动器如软盘和光盘),这样可以防止在你登录时,由别的用户启动的应用程序访问这些驱动器。更为重要的是,这样做可防止访问这些驱动器所包含的数据。在对话框“C2 CONFIGURATION-ALLOCATE REMOVABLE DRIVES”中显示出你选择在WINDOWS NT 4.0分配可拆卸驱动器。 十六、REGISTRY数据库安全性你知道,WINDOWS NT REGISTRY实际包含你系统的所有配置信息。要是你的REGISTRY遭到破坏,可以想象你将失去一切,包括你的工作、妻子、孩子、宠物等。双击REGISTRY SECURITY,打开对话框。选择OK钮就为你的REGISTRY建立一个ACL。当REGISTRY许可权设定后,将出现一段确认对话,表示创建操作结束。以下清单列出C2REGACL.INF文件所定义的具体关键字和许可权: HKEY_LOCAL_MACHINE\SOFTWARE\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes HKEY_LOCAL_MACHINE\SOFTWARE\Classes\* HKEY_LOCAL_MACHINE\SOFTWARE\Description HKEY_LOCAL_MACHINE\SOFTWARE\Description\* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\* HKEY_LOCAL_MACHINE\SOFTWARE\Program Groups HKEY_LOCAL_MACHINE\SOFTWARE\Secure HKEY_LOCAL_MACHINE\SOFTWARE\Windows3.1 Migration Status C2配置管理器为授予个人和组适当访问权的每个关键字设置安全性。C2REGACL.INF提供一种线索让你查看各关键字的许可权。尽管你很感兴趣,但是不要改变这个文件。任何修改不仅能影响你机器的运行,而且可能打开你系统的安全漏洞。 十七、文件系统安全性 文件系统安全性无疑是配置管理器中最重要的一项。即使是不包含机密信息的系统也需要文件。安全系统中的文件一般也是系统受到保护的原因。双击FILE SYSTEM SECURITY项,打开对话框。单击OK设置 C2安全等级所要求的许可权。当配置管理器结束操作时,就出现一个确认对话框,单击OK继续。 C2NTFACL.INF包含着配置管理器为你系统的某些目录和文件设置的许可权。它们如下: %SystemDrive%\ %SystemDrive%\*.* %SystemDrive%\IO.SYS %SystemDrive%\MSDOS.SYS %SystemDrive%\BOOT.INI %SystemDrive%\NTDETECT.COM %SystemDrive%\NTLDR %SystemDrive%\AUTOEXEC.BAT %SystemDrive%\CONFIG.SYS %SystemDrive%\TEMP\! %SystemDrive%\USERS\! %SystemDrive%\USERS\DEFAULT\! %SystemDrive%\WIN32APP\! %SystemRoot%\! %SystemRoot%\*.* %SystemRoot%\*.INI %SystemRoot%\LOCALMON.DLL %SystemRoot%\PRINTMAN.HLP %SystemRoot%\REPAIR\! %SystemRoot%\SYSTEM\*.* %SystemRoot%\SYSTEM32\*.* %SystemRoot%\SYSTEM32\AUTOEXEC.NT %SystemRoot%\SYSTEM32\CMOS.RAM %SystemRoot%\SYSTEM32\CONFIG.NT %SystemRoot%\SYSTEM32\MIDIMAP.CFG %SystemRoot%\SYSTEM32\PASSPORT.MID %SystemRoot%\SYSTEM32\CONFIG %SystemRoot%\SYSTEM32\CONFIG\*.* %SystemRoot%\SYSTEM32\CONFIG\DEFAULT.LOG %SystemRoot%\SYSTEM32\CONFIG\SAM %SystemRoot%\SYSTEM32\CONFIG\SAM.LOG %SystemRoot%\SYSTEM32\CONFIG\SECURITY %SystemRoot%\SYSTEM32\CONFIG\SECURITY.LOG %SystemRoot%\SYSTEM32\CONFIG\SYSTEM %SystemRoot%\SYSTEM32\CONFIG\SYSTEM.ALT %SystemRoot%\SYSTEM32\CONFIG\STSTEM.LOG %SystemRoot%\SYSTEM32\CONFIG\USERDEF %SystemRoot%\SYSTEM32\DHCP\! %SystemRoot%\SYSTEM32\DRIVERS\! %SystemRoot%\SYSTEM32\OS2\OSO001.009 %SystemRoot%\SYSTEM32\OS2\DLL\DOSCALLS.DLL %SystemRoot%\SYSTEM32\OS2\DLL\NETAPI.DLL %SystemRoot%\SYSTEM32\RAS %SystemRoot%\SYSTEM32\RAS\*.* %SystemRoot%\SYSTEM32\REPL\! %SystemRoot%\SYSTEM32\REPL\EXPORT %SystemRoot%\SYSTEM32\REPL\EXPORT\*.* %SystemRoot%\SYSTEM32\REPL\EXPORT\SCRIPTS %SystemRoot%\SYSTEM32\REPL\EXPORT\SCRIPTS\*.* %SystemRoot%\SYSTEM32\REPL\IMPORT %SystemRoot%\SYSTEM32\REPL\IMPORT\*.* %SystemRoot%\SYSTEM32\REPL\IMPORT\SCRIPTS %SystemRoot%\SYSTEM32\REPL\IMPORT\SCRIPTS\*.* %SystemRoot%\SYSTEM32\REPL\SPOOL\! %SystemRoot%\SYSTEM32\REPL\SPOOL\DRIVERS\W32X86\1 %SystemRoot%\SYSTEM32\REPL\SPOOLDRIVERS\W32X86\WINPRINT.DLL %SystemRoot%\SYSTEM32\WINS\! 惊叹号(!)要求配置管理器将具体目录下的所有文件和子目录以及具体目录本身包含进来。与REGISTRY一样,不要编辑这个文件。 十八、其他安全事项 但是,并非所有的配置修改都在C2配置管理器上进行。双击OTHER SECURITY ITEMS可显示带 4个选择的对话框。所显示的4项必须进行配置后才能完成C2级部署。系统的POWER-ON PASSWORD (加电口令)各不相同,因此请参考手册中的说明进行操作。域用户管理器必须被标准的用户管理器所替代,你系统的中的帐户应当根据WINDOWS NT C2安全系统管理员指南进行设置 摘自 网络卫士/ www.netguard.com.cn / ----  |
|
[关闭][返回] |