《理论网络操作系统安全三.doc》由会员分享,可在线阅读,更多相关《理论网络操作系统安全三.doc(3页珍藏版)》请在金锄头文库上搜索。
1、河南农业职业学院单元授课方案(两个学时为一个授课单元)1.日期5.235.235.232.班次网络09-1五微07-2五微07-13.教学课题(章节)第三章 4.教学目的要求:掌握什么是操作系统的安全,了解访问控制的概念、类型及措施,熟悉Windows NT/2003/XP系统的完全性,学会Windows2003的安全控制。5.教学方案(包括复习、提问、讲授新课、总结、留作业等教学环节)一、复习提问3.4 Windows NT的安全管理措施1物理安全管理 Windows NT采取了摘掉或锁死软盘驱动器,禁止DOS或其他操作系统访问NTFS分区,在服务器上设置系统启动口令,设置BIOS禁用软盘引
2、导系统,不创建任何DOS分区、保证机房的物理安全等管理措施。2账号和密码策略 Windows NT域用户管理器通过为用户分配的账号和密码来验证用户身份,保证系统资源的安全。用户账号是系统根据用户的使用要求和网络所能给予的服务为用户分配的,账号名称通常是公开的。用户账号密码在密码的选取、密码的维护等方面都要符合安全性要求和使用方便的原则,用户账号密码是保密的。3控制授权用户的访问在Windows NT域中配置适当的NTFS访问控制可增强网络安全。在系统默认情况下,每建立一个新的共享,Everyone用户就享有“完全控制”的共享权限,因此在使用时要取消或更改默认情况下Everyone组的“完全控制
3、”权限,要始终设置用户所能允许的最小目录和文件的访问权限。为安装后默认的Guest用户设置密码,以防被黑客利用。为每个用户指定一个工作组,为工作组指定文件和目录访问权限,这样,当某个用户角色变更时,只要把该用户从工作组中删除或指定他属于另一组,即可收回或更改该用户的访问权限。所以说,将用户以“组”的方式进行管理,是用户管理的一个有效方法。4及时下载和更新补丁程序 经常光顾安全网站,下载最新补丁程序,或用最新的Service Pack升级Windows NT Server,因为Service Pack中有所有补丁程序和新发表的诸多安全补丁程序。5控制远程访问服务 远程访问是入侵者攻击Window
4、s NT系统的常用手段,因此可以采取控制远程服务的方法减少对系统的攻击。Windows NT防止外来入侵最好的功能是认证系统。Windows 95/98和Windows NT Workstation客户机不仅可以交换用户ID和口令数据,而且还使用Windows专用的响应协议,这可确保不会出现相同的认证数据,并可以有效地阻止内部黑客捕捉网络信息包。如条件允许,可使用回叫安全机制,并尽量采用数据加密技术,以保证数据安全。6启动审查功能 为防止未经授权的访问,可以利用域用户管理器启用安全审查功能,以便在安全日志中记录未经授权的访问企图,以便尽早发现安全漏洞并及时补救。但要结合工作实际,设置合理的审计
5、规则。切忌审查太多,以免无时间全部审查安全问题7应用系统的安全 在Windows NT上运行的应用系统,应及时通过各种途径获得补丁程序,以解决其安全问题。把IIS中的sample、scripts、iisadmin和msadc等Web目录设置为禁止匿名访问并限制IP地址。把FTP、Telnet的TCP端口改为非标准端口。Web目录、CGI目录、scripts目录和WinNT目录只允许管理员完全控制。凡是涉及到访问与系统有关的重要文件,除系统管理员账号Administrator外,其他账号均应设置为只读权限。8取消TCP/IP上的NetBIOS绑定 Windows NT系统管理员可以通过构造目标站
6、NetBIOS名与其IP地址之间的影像,对Internet或Intranet上的其他服务器进行管理,但非法用户也可从中找到可乘之机。如果这种远程管理不是必需的,可立即取消(通过网络属性的绑定选项,取消NetBIOS与TCP/IP之间的绑定),如禁用NetBIOS端口。3.5 Windows NT的数据保护 由于网络系统出现故障、数据丢失等原因致使系统不能可靠运行或系统不能正常启动时,Windows NT系统可为网络用户提供快速、准确的服务,如系统修复或数据恢复等,使系统能正常工作。1Windows NT数据保护方法NT系统可提供以下的数据保护方法。(1) 磁带备份磁带备份就是将主机上的数据备份
7、到其他存储介质上,以确保数据的安全,这是最简单也是最经济的数据保护方法。磁带备份又分为完全备份、一般拷贝、日常备份、增量备份和差异备份。(2) 不间断电源保护不间断电源(UPS)保护可使Windows NT系统在突然断电的情况下继续使用一段时间,在电源恢复之前安全关机,从而避免因断电造成的数据丢失。(3) 系统容错 系统容错技术可使计算机网络系统在发生故障时,保证系统仍能正常运行,继续完成预定的工作。Windows NT 网络系统的系统容错是建立在标准化的独立磁盘冗余阵列(RAID)基础上的,它采用软件解决方案提供了三种RAID容错手段(RAID0、RAID1、RAID5)和扇区备份。2Win
8、dows NT系统的恢复和修复 采用了容错技术的系统恢复的效果较好。但如果没有采用容错技术,由于各种原因使得Windows NT系统无法正常启动时,无论采取什么方法修复系统,效果都是有限的。以下是常用的Windows NT系统修复或恢复方法。(1) 利用“系统配置”环境恢复Windows NT系统 当用户由于新增了驱动程序和用户修改了注册表Registry数据库后而无法正常启动Windows NT系统时,可以尝试利用上一次正确的“系统配置”环境启动系统。但它不适合由于驱动程序或文件损坏、丢失所造成的不能启动的情况。(2) 利用“紧急修复磁盘”修复被损坏的Windows NT系统 在Window
9、s NT系统工作站或服务器安装时,都允许用户制作一张“紧急修复磁盘”。该磁盘中包含了修复系统所必需的数据。当Windows NT系统文件、启动变量或启动分区被损坏时,无法利用上一次正确“系统配置”环境启动,则利用该磁盘可以恢复系统正常工作。作为网络管理员,应该及时制作该磁盘,并且要定期进行更新。(3) 利用“Windows NT启动盘”修复被损坏的系统 当Windows NT系统损坏而又无法启动时,用户可以利用自己制作的“Windows NT启动盘”修复系统。当用户系统的部分启动文件损坏或映射磁盘区出现故障时,也可以使用“Windows NT启动盘”进行修复。利用“Windows NT系统启动
10、盘”修复系统的方法,要求用户事先制作一张“Windows NT启动盘”。要注意的是,在本计算机上制作的“Windows NT启动盘”只能用于本计算机,而不能用于其他计算机上,这一点与“紧急修复磁盘”的使用情况不同。3.6其他网络操作系统的安全6.1 NetWare系统安全1. NetWare的安全等级NetWare 3.11 符合C2级安全标准,被美国国家计算机安全中心(NCSC)认证为信得过网络系统C2 级安全特性:唯一地识别系统用户、跟踪用户登录和对象修改、维护审核日志并识别记录来源、权限访问控制和判断系统是否工作正常2. NetWare 的安全漏洞NetWare网络经常遭到黑客的攻击:
11、获取帐号:为刚装好系统的缺省帐号设置口令 查阅和列表合法帐号: 获取超级用户帐号:攻击者可利用普通磁盘编辑工具找到存放系统帐号和口令的文件,并将其修改或删除,这样就可得到超级用户的口令。3NetWare的安全性机制NetWare系统为用户提供了一整套网络安全性机制,允许网络管理员使用这些安全机制建立安全可靠的网络环境,以满足用户对网络安全保密性的要求。这些安全性机制可以控制哪些用户是合法用户,可以入网;合法用户可以在何时何站点入网;用户入网后可以对哪些资源进行访问;对这些资源能访问到何种程度等。(1) 入网安全性(2) 权限安全性NetWare系统对文件/目录的用户访问权限有8种,分别是读(R
12、ead)、写(Write)、建立(Create)、删除(Erase)、修改(Modify)、文件浏览(File Scan)、访问控制(Access Control)和管理(Supervisory)权限。这些权限可以单独使用,也可以组合起来使用。(3) NetWare目录服务(4) 属性安全性6.2 Unix系统安全1UNIX系统的安全基础文件系统安全是UNIX系统中的重要部分。在UNIX中,所有的对象都是文件。UNIX中的基本文件类型有正规文件、特殊文件、目录、链接、套接字、字符设备等,这些文件以一个分层的树型结构进行组织,以一个称为“root”的目录为起点,整个就是一个文件系统。 2. Un
13、ix系统漏洞RPC服务缓冲区溢出:远程过程调用(RPC)是用来在远程主机上执行特定任务的一种协议。RPC允许一台计算机上的程序执行远程另一台计算机上的程序。它被广泛用来提供网络远程服务。Sendmail漏洞:Sendmail是Unix上用得最多的发送、接收和转发电子邮件的程序。Sendmail在Internet上的广泛应用使其成为攻击者的主要目标。攻击者可利用Sendmail存在的缺陷进行攻击。最常见的攻击是攻击者发送一封特别的邮件消息给运行Sendmail的计算机,Sendmail会根据该消息要求被攻击的计算机将其口令文件发送给攻击者,这样口令就会被暴露。 BIND的脆弱性: BIND是域名
14、服务DNS中用得最多的软件包。它存在一定的缺陷,攻击者可利用BIND缺陷攻击DNS服务器:删除系统日志,安装软件工具以获得管理员权限,编辑安装IRC工具和网络扫描工具,扫描网络以寻找更多的易受攻击的BIND。 3 . Unix的安全措施 Unix系统主机的安全是信息网络安全的一个重要方面,黑客往往通过控制网络中系统主机来入侵信息系统和窃取数据信息,或通过已控制的系统主机来扩大已有的破坏行为。Unix操作系统规定了较详细的安全性原则,从技术层面指导用户对主机系统进行安全设置和管理,使信息系统的安全达到一个更高的层次。 1. 身份验证机制2. 用户权限体系3. 加密文件系统4. 安全审计和系统日志5. 强制访问控制6. Linux安全工具三、小结:本节课主要讲解了NetWare、UNIX和Linux系统的安全性。四、作业课后习题:一 ;二
