《(操作系统的安全配置)》由会员分享,可在线阅读,更多相关《(操作系统的安全配置)(89页珍藏版)》请在金锄头文库上搜索。
1、网络安全防御术,第八章 操作系统安全配置方案,内容提要,安全操作系统基础安全操作系统的基本概念安全操作系统的机制Windows 2000服务器的安全配置操作系统的安全将决定网络的安全,从保护级别上分成安全初级篇、中级篇和高级篇,共36条基本配置原则。初级篇讲述常规的操作系统安全配置中级篇介绍操作系统的安全策略配置高级篇介绍操作系统安全信息通信配置,操作系统安全概述,目前服务器常用的操作系统有三类:UnixLinuxWindows Server这些操作系统都是符合C2级安全级别的操作系统。,UNIX系统,UNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产
2、品发展成为当前使用普遍、影响深远的主流操作系统。UNIX操作系统经过数十年的发展后,已经成为一种成熟的主流操作系统,并在发展过程中逐步形成了一些新的特色,其中主要特色包括5个方面。(1)可靠性高(2)极强的伸缩性(3)网络功能强(4)强大的数据库支持功能(5)开放性好,Linux系统,Linux是一套可以免费使用和自由传播的类Unix操作系统,这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。Linux是一个免费的操作系统,用户可以免费获得其源代码,并能够随意修改。,Linux典型的优点有7个,(1)完全免费
3、(2)完全兼容POSIX 1.0标准(3)多用户、多任务(4)良好的界面(5)丰富的网络功能(6)可靠的安全、稳定性能 (7)支持多种平台,Windows 操作系统,Windows NT系列操作系统具有以下优点:(1)支持多种网络协议由于在网络中可能存在多种客户机,而这些客户机可能使用了不同的网络协议。Windows NT系列操作支持几乎所有常见的网络协议。(2)内置Internet功能随着Internet的流行和TCP/IP协议组的标准化,Windows NT内置了IIS,可以使网络管理员轻松的配置WWW和FTP等服务。(3)支持NTFS文件系统在2000中内置同时支持FAT和NTFS的磁盘
4、分区格式。使用NTFS可以提高文件管理的安全性,用户可以对NTFS系统中的任何文件、目录设置权限,可以增加文件的安全性。,安全操作系统的基本概念,安全操作系统涉及很多概念:主体和客体安全策略和安全模型访问监控器安全内核可信计算基,A.主体和客体,操作系统中的每一个实体组件都必须是主体或者是客体,或者既是主体又是客体。主体是一个主动的实体,它包括用户、用户组、进程等。系统中最基本的主体是用户,系统中的所有事件要求,几乎全是由用户激发的。进程是系统中最活跃的实体,用户的所有事件要求都要通过进程的运行来处理。客体是一个被动的实体。在操作系统中,客体可以是按照一定格式存储在一定记录介质上的数据信息,也
5、可以是操作系统中的进程。操作系统中的进程(包括用户进程和系统进程)一般有着双重身份。,B.安全策略和安全模型,安全策略与安全模型是计算机安全理论中容易相互混淆的两个概念。安全策略是指有关管理、保护和发布敏感信息的规定和实施细则。安全模型则是对安全策略所表达的安全需求的简单、抽象和无歧义的描述,它为安全策略和安全策略实现机制的关联提供了一种框架。安全模型描述了对某个安全策略需要用哪种机制来满足;而模型的实现则描述了如何把特定的机制应用于系统中,从而实现某一特定安全策略所需的安全保护。,C.访问监控器,访问控制机制的理论基础是访问监控器。访问监控器是一个抽象概念, 其具体实现是引用验证思想,它是实
6、现访问监控器思想的硬件和软件的组合。访问监控器需要同时满足以下3 个原则:,(1) 必须具有自我保护能力;(2) 必须总是处于活跃状态;(3) 必须设计得足够小,以利于分析和测试,从而能够证明其实现是正确的。,D.安全内核,安全内核由硬件和介于硬件和操作系统之间的一层软件组成,在一个大型操作系统中,只有其中的一小部分软件用于安全目的。安全内核必须予以适当的保护,不能篡改。同时绝不能有任何绕过安全内核存取控制检查的存取行为存在。安全内核必须尽可能地小,便于进行正确性验证。,E.可信计算基,操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬件。这些软件、硬件和负责系统安全管理的人员一起组成了
7、系统的可信计算基(Trusted Computing Base,TCB)。具体来说可信计算基由以下7个部分组成:1. 操作系统的安全内核。2. 具有特权的程序和命令。3. 处理敏感信息的程序,如系统管理命令等。4. 与TCB实施安全策略有关的文件。5. 其它有关的固件、硬件和设备。 6. 负责系统管理的人员。 7. 保障固件和硬件正确的程序和诊断软件。,安全操作系统的机制,安全操作系统的机制包括:硬件安全机制安全标识与鉴别访问控制最小特权管理可信通路安全审计,A.硬件安全机制,计算机硬件安全的目标是,保证其自身的可靠性和为系统提供基本安全机制。基本安全机制包括:存储保护存储保护是操作系统中最基
8、本的安全要求,要求存储器中的数据被合法地访问。保护单元是最小的数据范围,保护单元越小,保护精度越高。系统存储区域分为用户空间和系统空间,用户模式下运行的非特权程序应禁止访问系统空间,而内核模式下运行的程序应可以访问任何空间。应该防止用户程序访问操作系统内核的存储区域以及进程间非法访问对方的存储区域。,运行保护进程运行的区域称为运行域。一般操作系统都会包含硬件层、内核层、应用层、用户层等若干层次,这种分层的目的是为了隔离运行域。运行域可以看成一系列同心圆,内层权限最高外层权限最低,形成等级域。等级域规定每个进程都在规定的层上运行,层号越低,保护越多。I/O保护为保证安全, I/O应是只有操作系统
9、才能完成的特权操作。对于一般I/O设备,操作系统都会提供该设备的系统调用;对网络访问,也提供标准访问接口,而不需用户控制操作细节。I/O设备应被看成一个客体,对其所有的访问都需经过相应的访问控制机制。,B.标识与鉴别,标识与鉴别是涉及系统和用户的一个过程。标识就是系统要标识用户的身份,每个用户有一个系统可以识别的用户标识符。用户标识符必须是惟一的且不能被伪造。将用户标识符与用户联系的过程称为鉴别,鉴别过程主要用以识别用户的真实身份。鉴别操作总是要求用户具有能够证明他的身份的特殊信息,并且这个信息是秘密的,任何其他用户都不能拥有它。,C.访问控制,访问控制用来决定用户是否有权访问一些特定客体的一
10、种访问约束机制。在安全操作系统领域中,访问控制一般都涉及:自主访问控制(Discretionary Access Control,DAC)强制访问控制(Mandatory Access Control,MAC),C1.自主访问控制,自主访问控制是最常用的一类访问控制机制,在自主访问控制机制下,文件的拥有者可以按照自己的意愿精确指定系统中的其他用户对其文件的访问权。使用自主访问控制机制,一个用户可以自主地说明他所拥有的资源允许系统中哪些用户以何种权限进行共享。从这种意义上讲,是“自主”的。另外自主也指对其他具有授予某种访问权力的用户能够自主地(可能是间接的)将访问权或访问权的某个子集授予另外的用
11、户。,C2.强制访问控制,在强制访问控制机制下,系统中的每个客体都被赋予了相应的安全属性,这些安全属性是不能改变的,它由管理部门(如安全管理员)或由操作系统自动地按照严格的规则来设置,不像访问控制表那样由用户或他们的程序直接或间接地修改。在强制访问控制机制下,当一主体访问一个客体时,需要比较主体的安全属性和客体的安全属性,从而确定是否允许进程对客体的访问。,主体不能改变自身的或任何客体的安全属性,包括不能改变属于主体的客体的安全属性,而且也不能通过授予其他用户客体存取权限简单地实现客体共享。如果系统判定拥有某一安全属性的主体不能访问某个客体,那么任何人(包括客体的拥有者)也不能使它访问该客体。
12、,强制访问控制和自主访问控制,强制访问控制和自主访问控制是两种不同类型的访问控制机制,它们常结合起来使用。仅当主体能够同时通过自主访问控制和强制访问控制检查时,它才能访问一个客体。用户使用自主访问控制防止其他用户非法入侵自己的文件,强制访问控制则作为更强有力的安全保护方式,使用户不能通过意外事件和有意识的误操作逃避安全控制。强制访问控制用于将系统中的信息分密级和类进行管理,适用于政府部门、军事和金融等领域。,D.最小特权管理,在现有多用户操作系统中,超级用户具有所有特权,普通用户不具有任何特权。一个进程要么具有所有特权,要么不具有任何特权。这种特权管理方式不利于系统的安全性。一旦超级用户的口令
13、丢失或被冒充或误操作,将会对系统造成极大的损失。因此必须实行最小特权管理机制。最小特权管理的思想是系统不应给用户超过执行任务所需特权以外的特权。如将超级用户的特权划分为一组细粒度的特权,分别授予不同的系统操作员/管理员,使各种系统操作员/管理员只具有完成其任务所需的特权,从而减少由于特权用户口令丢失或误操作所引起的损失。,把传统的超级用户划分为安全管理员、系统管理员、系统操作员三种特权用户。安全管理员行使诸如设定安全等级、管理审计信息等系统安全维护职能;系统管理员行使诸如创建和删除用户帐户、处理记帐信息等系统管理职能。系统操作员行使诸如磁盘数据备份、启动和关闭系统等系统日常维护职能;传统的超级
14、用户不复存在,任何一个用户都不能获取足够的权力破坏系统的安全策略。,E.可信通路,终端用户直接同可信计算基进行通信的一种机制。只能由有关人员或可信计算基启动,且不能被不可信软件模仿。主要应用于用户登录或注册时,保证用户确实和安全内核通信,防止不可信进程如木马等模拟系统的登录过程而窃取口令。,F.安全审计,一个系统的安全审计就是对系统中有关安全的活动进行记录、检查及审核。目的是检测和阻止非法用户对计算机系统的入侵,并显示合法用户的误操作。审计作为一种事后追查的手段来保证系统的安全,它对涉及系统安全的操作做一个完整的记录。审计为系统进行事故原因的查询、定位,事故发生前的预测、报警以及事故发生之后的
15、实时处理提供详细、可靠的依据和支持,以备有违反系统安全规则的事件发生后能够有效地追查事件发生的地点和过程以及责任人。,安全配置方案初级篇,安全配置方案初级篇主要介绍常规的操作系统安全配置,包括十二条基本配置原则:物理安全、停止Guest帐号、限制用户数量创建多个管理员帐号、管理员帐号改名陷阱帐号、更改默认权限、设置安全密码屏幕保护密码、使用NTFS分区运行防毒软件和确保备份盘安全。,1、物理安全,服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方。,2、停止Guest帐号,在计
16、算机管理的用户里面把Guest帐号停用,任何时候都不允许Guest帐号登陆系统。为了保险起见,最好给Guest 加一个复杂的密码,包含特殊字符, 数字,字母的长字符串。修改Guest帐号的属性,设置拒绝远程访问,如图所示。,3 限制用户数量,去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户。帐户很多是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。如果系统帐户超过10个,一般能找出一两个弱口令帐户,所以帐户数量不要大于10个。,4 多个管理员帐号,这点事实上是服从上面规则的(最小特权管理的思想)。如:创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物,另一个拥有Administrator权限的帐户只在需要的时候使用。尽量减少Administrator登录的次数和时间。,
