操作系统的安全

《操作系统的安全》由会员分享，可在线阅读word用户没有访问权限，更多相关《操作系统的安全（27页珍藏版）》请在人人文库网上搜索。

1、安全操作系统,操作系统安全等级 安全操作系统的基本特征 访问控制模型 安全操作系统的设计,10:28:32,1,国际安全评价标准的发展及其联系,10:28:32,2,操作系统安全等级,D类 C类（C1, C2） B类（B1, B2, B3） A类（A1）,10:28:32,3,D类,最普通的形式是本地操作系统 完全没有保护的网络 例如早期的DOS,10:28:32,4,C类,C1 可信任运算基础体制，例如早期的Unix C2 比C1系统加强了可调的审慎控制，例如Windows NT和Unix,10:28:32,5,B类,B1 系统使用灵敏度标记作为所有强迫访问控制的基础 B2 管理员必须使用一

2、个明确的、文档化的安全策略模式作为系统的可信任运算基础体制 B3 具有很强的监视委托管理访问能力和抗干扰能力,10:28:32,6,A类,A1 系统的设计者必须按照一个正式的设计规范来分析系统。 对系统分析后，设计者必须运用核对技术来确保系统符合设计规范概念模型 概念模型,10:28:32,7,安全操作系统的基本特征,最小特权原则 自主访问控制和强制访问控制 安全审计功能 安全域隔离功能,10:28:32,8,操作系统安全保护,内存保护 软硬件共同作用使多道程序间互不干扰 文件保护 通过存取控制机制来防止人为因素所造成的文件不安全性 通过系统容错技术来防止系统部分故障所造成的文件不安全性； 通

3、过“后备系统”来防止由自然因素所造成的不安全性,10:28:32,9,安全操作系统的确认,安全操作系统的评价方法 形式化验证 要求检查 设计与代码检查 模块化与系统测试 攻击试验 安全操作系统还有以下要求 安全政策 识别 标记 可检查性 保障措施 连续保护,10:28:32,10,Windows Server 2003安全特性,Internet连接防火墙（ICF） 软件限制策略 网页服务器的安全性 新的摘要安全包 改善了以太局域网和无线局域网的安全性 凭证管理器 FIPS-广为认可的内核模式加密算法 改进的SSL客户端认证 增强的加密文件系统（EFS）,10:28:32,11,Windows

4、2003 身份认证的重要功能就是它对单一注册的支持。单一注册允许用户使用一个密码一次登录到域，然后向域中的任何计算机认证身份。 单一注册在安全性方面提供了两个主要优点：对用户而言，单个密码或智能卡的使用减少了混乱，提高了工作效率；对管理员而言，由于管理员只需要为每个用户管理一个帐户，域用户所要求的管理支持减少了。,windows2003的认证机制,10:28:32,12,Windows 2003账号安全,1域用户账号 域用户账号是用户访问域的惟一凭证，因此在域中必须是惟一的。域用户账号是在域控制器上建立，作为活动目录的一个对象保存在域的数据库中。用户在从域中的任何一台计算机登录到域中的时候必须

5、提供一个合法的域用户账号，该账号将被域控制器所验证。 2本地用户账号 本地用户账号只能建立在Windows2003独立服务器上，以控制用户对该计算机资源的访问,10:28:32,13,3内置的用户账号 Administrator(管理员)账号被赋予在域中和在计算机中具有不受限制的权利，该账号被设计用于对本地计算机或域进行管理，可以从事创建其他用户账号、创建组、实施安全策略、管理打印机以及分配用户对资源的访问权限等工作。 Guest(来宾)账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。该账号默认情况下不允许对域或计算机中的设置和资源做永久性的更改。出于安全考虑，Gu

6、est帐号在Windows2003安装好之后是被屏蔽的。如果需要，可以手动启动，应该注意分配给该帐号的权限，该帐号也是黑客攻击的主要对像。,10:28:32,14,账号与密码约定,1账号命名约定 由于账号的在域中的重要性和惟一性，因此账号的命名约定十分重要。一个好的帐号命名约定将有助于规划一个高效的活动目录。 Windows2003的账号命名约定包括如下内容： 域用户账号的用户登录名在AD中必须惟一。 域用户账号的完全名称在创建该用户账号的域中必须惟一。 本地用户账号在创建该账号的计算机上必须惟一。 如果用户名称有重复，则应该在账号上区别出来。,10:28:32,15,账号与密码约定,2密码约

7、定 通常使用密码有如下原则： 尽量避免带有明显意义的字符或数字的组合，最好采用大小写和数字的无意义混合。在不同安全要求下，规定最小的密码长度。通常密码越长越不易被猜到(最长可以达到128位)。 对于不同级别的安全要求，确定用户的账号密码是由管理员控制还是由账号的拥有者控制。 定期更改密码，尽量使用不同的密码.有关密码的策略可以由系统管理员在密码策略管理工具中加以规定，以保护系统的安全性。,10:28:32,16,windows 2003文件系统安全,NTFS权限及使用原则 NTFS权限的继承性 共享文件夹权限管理,10:28:32,17,NTFS权限及使用原则,（1）权限最大原则 当一个用户同

8、时属于多个组，而这些组又有可能被对某种资源赋予了不同的访问权限，则用户对该资源最终有效权限是在这些组中最宽松的权限，即加权限，将所有的权限加在一起即为该用户的权限(“完全控制”权限为所有权限的总和)。 （2）文件权限超越文件夹权限原则 当用户或组对某个文件夹以及该文件夹下的文件有不同的访问权限时，用户对文件的最终权限是用户被赋予访问该文件的权限，即文件权限超越文件的上级文件夹的权限，用户访问该文件夹下的文件不受文件夹权限的限制，而只受被赋予的文件权限的限制。 （3）拒绝权限超越其他权限原则 当用户对某个资源有拒绝权限时，该权限覆盖其他任何权限，即在访问该资源的时候只有拒绝权限是有效的。当有拒绝

9、权限时权限最大法则无效。因此对于拒绝权限的授予应该慎重考虑。,10:28:32,18,NTFS权限的继承性,在同一个NTFS分区内或不同的NTFS分区之间移动或拷贝一个文件或文件夹时，该文件或文件夹的NTFS权限会发生不同的变化。 1在同一个NTFS分区内移动文件或文件夹 在同一分区内移动的实质就是在目的位置将原位置上的文件或文件夹“搬”过来，因此文件和文件夹仍然保留有在原位置的一切NTFS权限(准确地讲就是该文件或文件夹的权限不变)。 2在不同NTFS分区之间移动文件或文件夹 在这种情况下文件和文件夹会继承目的分区中文件夹的权限(ACL)，实质就是在原位置删除该文件或文件夹，并且在目的位置新

10、建该文件或文件夹。（要从NTFS分区中移动文件或文件夹，操作者必须具有相应的权限。在原位置上必须有“修改”的权限，在目的位置上必须有“写”权限）,10:28:32,19,NTFS权限的继承性,3在同一个NTFS分区内拷贝文件或文件夹 在这种情况下拷贝文件和文件夹将继承目的位置中的文件夹的权限。 4在不同NTFS分区之间拷贝文件或文件夹 在这种情况下拷贝文件和文件夹将继承目的位置中文件夹的权限。（当从NTFS分区向FAT分区中拷贝或移动文件和文件夹都将导致文件和文件夹的权限丢失，因为FAT分区不支持NTFS权限。）,10:28:32,20,Windows2003的加密机制,文件加密系统 文件加密

11、系统 (EFS) 提供一种核心文件加密技术，该技术用于在 NTFS 文件系统卷上存储已加密的文件。使用文件加密系统 (EFS)，用户可以对文件进行加密和解密。以保证文件的安全，防止那些未经许可的入侵者访问存储的敏感资料（例如，通过盗窃笔记本计算机或外挂式硬盘驱动器来偷取资料）。用户可以象使用普通文件和文件夹那样使用已加密的文件和文件夹。EFS 用户如果是加密者本人，系统会在用户访问这些文件和文件夹时将其自动解密。但是，不允许入侵者访问任何已加密的文件或文件夹。,10:28:32,21,Windows2003的安全配置,安全策略配置 利用windows2003的管理工具“本地安全策略”，可以配置

12、服务器的安全策略。依次选择“开始”“程序” “管理工具” “本地安全策略”，打开“本地安全配置”窗口，如图所示。 1帐户策略 2本地策略 3IP安全策略配置,10:28:32,22,10:28:32,23,文件保护,1Windows文件保护 打开“组策略”窗口，在左侧列表里展开“计算机设置”|“管理模板”|“系统”|“Windows文件”，在右侧列表中显示已有的文件保护策略，如图所示word用户没有访问权限，双击列表中的某项，打开设置窗口，如图所示，在该窗口中可设置是否启用这一项开全策略。,10:28:32,24,2分区、文件夹、文件的安全设置 NTFS比FAT16和FAT32提供了更多的安全选项。下面来看一下NTF

13、S分区上的文件夹及文件的一些安全设置。,10:28:32,25,其它有利于提高系统安全性的设置,.关闭不必要的端口和服务 2. 安全的帐号设置 （）停止Guest帐号 （）限制账户数据 （3）尽量少用管理员权限登录 （4）管理员账号更名和设置陷阱账号 （5）修改默认权限 （6）不显示上次登录名 （7）禁止Guest访问日志 3. 其他的一些有利于安全的设置 （1）注册表锁定 （2）禁止判断主机类型 （3）禁止默认共享,10:28:32,26,系统安全扫描软件,系统安全漏洞检测软件是由本地主机上的具有系统管理员权限的用户所运行的，对本主机中的各项信息都具有读写的权限，因此只要研究出相关的安全漏洞的检测方法，都可以查获该主机上是否存在着相应的安全漏洞 远程检测软件一般情况下只具备远程匿名用户的权限，如果对应的主机不开启远程访问服务，那么就只能通过各种试探的方法，甚至直接进行攻击的方法才能对该漏洞进行检测。即使这样，也只能检测一部分的漏洞,10:28:32,27,