{安全生产管理}讲义16第66节实际操作系统的安全机制

《{安全生产管理}讲义16第66节实际操作系统的安全机制》由会员分享，可在线阅读，更多相关《{安全生产管理}讲义16第66节实际操作系统的安全机制（73页珍藏版）》请在金锄头文库上搜索。

1、课件16,6.6 节 实际操作系统中的安全机制 Windows and Unix,6.6 实际操作系统的安全机制,本节介绍流行的操作系统Windows NT和UNIX系统中使用的安全机制，它们综合利用前面介绍的各种访问控制技术，有的则和介绍的访问控制技术有所不同。,6.6.1 Windows NT操作系统,Windows NT是一个网络操作系统，它有两个版本：Windows NT的工作站版（Windows NT Workstation）和Windows NT的服务器版（Windows NT Server）。这两个版本的NT都有相同的核心支持、网络支持和安全系统。 主要讨论NT的服务器版Wind

2、ows NT Server。,Windows NT 运行于Client/Server模式，其设计客体是提供文件和打印服务；它支持远程访问服务RAS（Remote Access Service）和Internet服务。Windows NT 中带有一个完全的WEB服务器组件Internet Information Server (IIS)，所以它可以在Internet上提供WEB服务。另外，通过添加软件，Windows NT也可以作为防火墙使用。,一、 NT的安全子系统,Windows NT Server的操作系统由一组软件组件组成，它们运行在核心模式下。 核心模式由执行服务组成，它们构成一个自成

3、体系的操作系统。 用户模式由非特权的服务组成，这些服务也称为受保护子系统，它们的启动由用户决定。用户模式在核心模式之上，用户模式组件要利用核心模式提供的服务。,图6-9 Windows NT体系结构,图6-10 NT安全子系统,NT登录进程进行三类登录：, 本地登录。如果用户登录到一个账号，这个账号存储在本地计算机上的用户账号数据库中，这种情况就属于本地登录。 域登录。如果用户登录到一个账号，这个账号存储在域用户账号数据库中，这种情况就属于域登录。 可信域登录。如果用户登录到一个账号，这个账号存储在可信域的用户账号数据库中，这种情况就属于可信域登录。,（1）本地安全授权LSA（Local Se

4、curity Authority）,LSA是安全系统的中心组件，其功能是： 负责管理和协调登录。 对象访问和其他安全事件。 LSA还协调安全账号管理器（SAM）和安全访问监控器SRM。 它还链接到一个安全策略数据库和一个审计日志。,（2）安全账号管理器SAM(Security Account Manager)。 SAM组件管理用户账号数据库。当LSA需要验证用户是否有权限访问对象时，它就与SAM联系。 （3）安全访问监控器SRM（Security Reference Monitor）。SRM是一个核心模式下的软件组件，它检查一个用户是否有权限访问一个对象或者是否有权利完成某些动作。,二、 NT

5、系统的安全机制,NT具有很高的安全性，它的安全性体现在两方面，一是保障系统的健壮性，使系统不会因为应用程序的故障造成系统的崩溃；二是增强了防止非法用户入侵和限制用户的非法操作的能力。,要想访问NT系统，首先需要在NT系统中拥有一个账户，其次要为该账户设置在系统中的权利（Right）和许可（Permission）权限。 权利是指用户对整个系统能够做的事情，如关掉系统、往系统中添加设备、更改系统时间等权利； 许可权限是指用户对系统资源所能做的事情，如对文件的读、写、执行、对打印机的管理文档、删除文档等许可。,NT系统中有一个安全账户数据库，其中存放用户账户以及该账户具有的权利等，用户对资源的许可权

6、限与相应的资源存放在一起。,用户要想访问系统资源，首先向系统登录，NT有一个专用登录进程用于核对用户身份与口令。如果确认账户和口令有效，则把安全账户数据库中有关账户的信息收集在一起，形成一个访问令牌。访问令牌中包括： 用户名与SID 用户所属的组及组GID 用户对系统所具有的权利,然后NT就启动一个用户进程，将该访问令牌与之连接在一起，这个访问令牌就成为用户进程在NT系统中的通行证。用户无论做什么事情，NT中负责安全的进程都会检查其访问令牌，以确定其操作是否合法。,用户登录成功之后，只要用户没有注销自己，其在系统中的权利就以访问令牌为准，考虑到效率问题，NT安全系统在此期间不再检查硬盘上的安全

7、账户数据库。在用户登录之后，如果系统管理员修改了他的账户与权利，但这些修改只能在下次登录时才起作用。,令牌中仅包含用户的权利，不包含访问资源的许可权限。NT是如何根据访问令牌控制用户对资源的访问控制呢？原来用户对资源具有的许可权限作为该资源的一个属性与资源存放在一起，例如，有一个目录D:FILES，对其指定USER1只读，USER2完全控制，这两个许可权限作为该目录的属性和目录连接在一起,各用户对某个资源（如文件）的许可权限在NT内部以访问控制表（ACL）的形式存放，各用户的许可权限以ACL表项（ACE）的形式表示，ACE中包含了用户名与该用户的许可权限。每个资源对应一个ACL表，,上述D:F

8、ILES的ACL表中包含两个ACE，一个记录USER1只读，另一个记录USER2完全控制。当USER1访问该目录时，NT安全系统检查用户的访问令牌并与目录的ACL对照，检查该用户的许可权限是否合法，如果不合法就被拒绝。,三、 NT 的安全策略,安全策略是系统所实现的安全功能的各种选项，系统管理员可以利用安全策略对计算机和网络在另一层次上进行安全管理，管理员需要针对环境仔细考虑需要何种安全性以及可能造成何种困难。对于个人账户和组账户可以使用不同的安全策略来管理，这些策略包括口令配置、文件审计和赋予执行系统任务的账号权限。,NT的安全策略包括：, 账户策略：控制用户的设置和维护口令的方式，也提供N

9、T账户锁定的特性。 用户权限策略：控制可分配给工作站上的用户或用户组的显式权限。 审计策略：控制审计日志中将要出现的事件类型。,（1）账户策略,账户策略设置口令的最小和最大时间限制、最小长度、设置口令的唯一性并配置账户的锁定特性。账户策略选项参见表6-7。,表6.7 NT系统账户策略选项,（2）用户权限策略,用户权限策略管理向组与用户账户授予的权限。有两级用户权限可以分配：用户权限和高级用户权限，用户权限需要经常修改。管理员可以为用户指定从网络访问本计算机、装载与卸载设备驱动程序和可在本机登录。大部分高级用户是那些为Windows NT 写应用程序或设备驱动程序的开发人员，高级用户的权限包括创

10、建一个页文件、把工作站增加到域和作为一种服务登录。,（3）审计策略,审计功能可以让管理员有选择的跟踪用户与系统的活动。审计策略确定Windows NT 将执行的安全性记录的数量和类型，当被审计的事件发生后，便在计算机的审计日志中增加一项。需要审计的事件参见表6-8。,表6.8 需要审计的事件,四、 NT 的资源管理,NT系统中，如果你访问自己正在使用的计算机上的资源，这称为访问本地资源，如果访问其他计算机上的资源，则称为远程访问，而不管这台计算机地理上相距的远近。NT系统中资源是指硬盘上的文件、目录和打印机等。下面主要介绍文件与目录的管理。,（1）本地资源管理,在NT系统中支持对单独的文件、目

11、录设置许可权限的只有NTFS文件系统，要想在Windows NT中控制本地资源的安全，只能使用NTFS。 设置许可权限时，文件与目录的许可权限之间互相影响。例如，如果一个用户连某个目录的读权限都没有，则根本无法对该目录下的文件设置许可权限。,在权限设置时应该从根目录开始设置，一级一级逐层设置。 在设置许可权限时，最好以组为单位进行管理，组内所有用户对某个文件都设置为相同许可权限。在NT系统中允许一个用户同时属于几个组，以组为单位设置权限时，可能会产生某个用户对一个文件有多种许可权限的问题。,NT解决的方法是，将这个用户对这个文件的所有许可权限加到一起作为该用户对这个文件的许可权限。如果该用户在

12、某个组中有“拒绝访问”的许可权限，则“拒绝访问”有优先权，并使其他所有许可权限无效，这个用户的最终许可权限是“拒绝访问”。,（2）管理网络共享资源,创建共享目录的选项有： 共享名 远程用户使用共享名连接到本地资源 备注 浏览共享目录时显示的评注 用户个数 设置连接到这个共享目录上的最大用户数，缺省为10 权限 设置远程访问目录上的许可 新共享 只有当前目录已被共享时才有此选项，允许已共享目录重复共享。共享目录的许可权限包括拒绝访问、读取、更改和完全控制四种。,每次Windows NT计算机启动时，它都创建一些共享资源。Admin是一个特殊共享资源，当远程管理时它总是指向Windows NT系统

13、目录。每个硬盘的根目录是共享的，在相应的驱动器符号后面跟一个$符号。$符号可以使该共享名在浏览时不出现（隐藏）。,只有一个用户知道了另一台机器上的管理员的账户和口令后，才能连接到那台机器的隐藏共享，并可以访问整个分区。隐藏共享由内部ACL表保护，它不能被任何用户修改，包括系统管理员在内。可以通过“不共享”命令停止隐藏共享，但下次机器启动时，隐藏共享由重新自动创建，NT不支持永久停止这种共享。,6.6.2 UNIX操作系统,每一种UNIX系统对良好、基本、单一级别的安全性都给予了必要的支持。UNIX系统内核在一个物理上的安全域中运行，这个域受到硬件的保护。安全域保护着它的内核及安全机制。,安全机

14、制是无法旁路的，所以突破UNIX的安全机制依赖于使用合法的手段达到非法的目的。为了防御攻击，必须正确设置文件和目录的属性和访问权限，用户必须懂得如何选择一个可靠的口令，以及如何避免被别人骗取特权。,一、 普通用户的安全管理,1、正确使用口令 用户在使用UNIX系统之前必须注册，没有注册名和口令就无法进入UNIX系统。当然，也有一些破解注册名与口令密码的方法，但这些方法只有在UNIX系统中的用户或系统管理员忽视了对口令的正确使用时才有效。,UNIX系统对注册过程的处理是十分谨慎的。/ETC/PASSWD 文件包含有注册名以及与之对应的口令。当口令攻击者键入一个/ETC/PASSWD中没有的注册名

15、时，LOGIN进程给出一个PASSWORD提示，目的是使攻击者无法确定：是注册名不正确还是口令不正确。如果攻击者猜出一个注册名，则还需要猜出口令。,口令是一组相互无关的大小写字母、数字和特殊符号序列；可以任意长，但只有前8位有效。 UNIX SYSTEM V的系统强迫用户使用一个丰富字符集（至少一个数字或特殊符号），并要求最少字符个数，并使用时效机制。,如果忘记了口令，系统管理员可以使用超级用户权限为普通用户设置一个临时口令，其后用户可以根据自己的情况设置口令。UNIX系统在用户输入口令时关闭屏幕回显，即系统不把用户输入的口令字符显示在屏幕上，而且系统要求输入两次新口令，以确保新的口令没有错误

16、。口令时效机制强迫用户使用一定时段后更改口令。,当用户短时离开计算机（可能未退出系统），为防止其他用户使用，可以使用LOCK命令对计算机上锁。LOCK程序需要口令，达到锁定计算机与通信线路的作用。使用者输入正确口令后，可以重新正常使用该终端。,2、访问控制,访问控制决定用户可访问哪些文件，以及对这些文件的操作。UNIX系统的访问控制模块是基于Multics系统的，访问者可以分成三类：文件所有者、同组用户和其他用户；访问类型分成读、写和执行。这样可以组合成九个不同权限，使用ls命令显示文件属性可见到9个权限位。,所属者 同组用户 其他用户 读 R R R 写 W W W 执行 X X X $LS L README notes script - rrr- 1 rik usr 14977 May 25 01:39 READ