《操作系统的安全配置》由会员分享,可在线阅读,更多相关《操作系统的安全配置(89页珍藏版)》请在金锄头文库上搜索。
1、网络安全防御术第八章第八章 操作系统安全配置方案操作系统安全配置方案内容提要n安全操作系统基础n安全操作系统的基本概念n安全操作系统的机制nWindows 2000服务器的安全配置n操作系统的安全将决定网络的安全,从保护级别上分成 安全初级篇、中级篇和高级篇,共36条基本配置原则。n初级篇讲述常规的操作系统安全配置 中级篇介绍操作系统的安全策略配置 高级篇介绍操作系统安全信息通信配置操作系统安全概述n目前服务器常用的操作系统有三类:nUnixnLinuxnWindows Servern这些操作系统都是符合C2级安全级别的操作系统。UNIX系统nUNIX操作系统是由美国贝尔实验室开发的一种多用户
2、、多任务的通 用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响 深远的主流操作系统。nUNIX操作系统经过数十年的发展后,已经成为一种成熟的主流操作 系统,并在发展过程中逐步形成了一些新的特色,其中主要特色包 括5个方面。n(1)可靠性高n(2)极强的伸缩性n(3)网络功能强n(4)强大的数据库支持功能n(5)开放性好Linux系统 nLinux是一套可以免费使用和自由传播的类Unix操作系统,这 个系统是由全世界各地的成千上万的程序员设计和实现的。其 目的是建立不受任何商品化软件的版权制约的、全世界都能自 由使用的Unix兼容产品。nLinux是一个免费的操作系统,用户可以免费获得
3、其源代码, 并能够随意修改。Linux典型的优点有7个n(1)完全免费n(2)完全兼容POSIX 1.0标准n(3)多用户、多任务n(4)良好的界面n(5)丰富的网络功能n(6)可靠的安全、稳定性能 n(7)支持多种平台 Windows 操作系统nWindows NT系列操作系统具有以下优点:n(1)支持多种网络协议n由于在网络中可能存在多种客户机,而这些客户机可能使用 了不同的网络协议。Windows NT系列操作支持几乎所有常 见的网络协议。n(2)内置Internet功能n随着Internet的流行和TCP/IP协议组的标准化,Windows NT内置了IIS,可以使网络管理员轻松的配置
4、WWW和FTP等 服务。n(3)支持NTFS文件系统n在2000中内置同时支持FAT和NTFS的磁盘分区格式。使用 NTFS可以提高文件管理的安全性,用户可以对NTFS系统中 的任何文件、目录设置权限,可以增加文件的安全性。安全操作系统的基本概念 n安全操作系统涉及很多概念:n主体和客体n安全策略和安全模型n访问监控器n安全内核n可信计算基A.主体和客体 n操作系统中的每一个实体组件都必须是主体或者是客体,或者既 是主体又是客体。n主体是一个主动的实体,它包括用户、用户组、进程等。系统中 最基本的主体是用户,系统中的所有事件要求,几乎全是由用户 激发的。进程是系统中最活跃的实体,用户的所有事件
5、要求都要 通过进程的运行来处理。n客体是一个被动的实体。在操作系统中,客体可以是按照一定格 式存储在一定记录介质上的数据信息,也可以是操作系统中的进 程。操作系统中的进程(包括用户进程和系统进程)一般有着双 重身份。B.安全策略和安全模型 n安全策略与安全模型是计算机安全理论中容易相互混淆的两个 概念。安全策略是指有关管理、保护和发布敏感信息的规定和 实施细则。n安全模型则是对安全策略所表达的安全需求的简单、抽象和无 歧义的描述,它为安全策略和安全策略实现机制的关联提供了 一种框架。n安全模型描述了对某个安全策略需要用哪种机制来满足;而模 型的实现则描述了如何把特定的机制应用于系统中,从而实现
6、 某一特定安全策略所需的安全保护。C.访问监控器n访问控制机制的理论基础是访 问监控器。n访问监控器是一个抽象概念, 其具体实现是引用验证思想, 它是实现访问监控器思想的硬 件和软件的组合。n访问监控器需要同时满足以下 3 个原则:(1) 必须具有自我保护能力;(2) 必须总是处于活跃状态;(3) 必须设计得足够小,以利于分析和测试,从而能够证明其实现是正确的 。D.安全内核 n安全内核由硬件和介于硬件和 操作系统之间的一层软件组成 ,在一个大型操作系统中,只 有其中的一小部分软件用于安 全目的。n安全内核必须予以适当的保护 ,不能篡改。同时绝不能有任 何绕过安全内核存取控制检查 的存取行为存
7、在。n安全内核必须尽可能地小,便 于进行正确性验证。E.可信计算基 n操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬 件。这些软件、硬件和负责系统安全管理的人员一起组成了系统 的可信计算基(Trusted Computing Base,TCB)。n具体来说可信计算基由以下7个部分组成:n1. 操作系统的安全内核。n2. 具有特权的程序和命令。n3. 处理敏感信息的程序,如系统管理命令等。n4. 与TCB实施安全策略有关的文件。n5. 其它有关的固件、硬件和设备。 n6. 负责系统管理的人员。 n7. 保障固件和硬件正确的程序和诊断软件。安全操作系统的机制 n安全操作系统的机制包括:n
8、硬件安全机制n安全标识与鉴别n访问控制n最小特权管理n可信通路n安全审计A.硬件安全机制 n计算机硬件安全的目标是,保证其自身的可靠性和为系统提 供基本安全机制。n基本安全机制包括:n存储保护n存储保护是操作系统中最基本的安全要求,要求存储器中的 数据被合法地访问。n保护单元是最小的数据范围,保护单元越小,保护精度越高 。n系统存储区域分为用户空间和系统空间,用户模式下运行的 非特权程序应禁止访问系统空间,而内核模式下运行的程序 应可以访问任何空间。n应该防止用户程序访问操作系统内核的存储区域以及进程间 非法访问对方的存储区域。n运行保护n进程运行的区域称为运行域。n一般操作系统都会包含硬件层
9、、内核层、应用层、用户层等若 干层次,这种分层的目的是为了隔离运行域。n运行域可以看成一系列同心圆,内层权限最高外层权限最低, 形成等级域。n等级域规定每个进程都在规定的层上运行,层号越低,保护越 多。nI/O保护n为保证安全, I/O应是只有操作系统才能完成的特权操作。n对于一般I/O设备,操作系统都会提供该设备的系统调用;对网 络访问,也提供标准访问接口,而不需用户控制操作细节。nI/O设备应被看成一个客体,对其所有的访问都需经过相应的访 问控制机制。B.标识与鉴别 n标识与鉴别是涉及系统和用户的一个过程。n标识就是系统要标识用户的身份,每个用户有一个系统可以识 别的用户标识符。用户标识符
10、必须是惟一的且不能被伪造。n将用户标识符与用户联系的过程称为鉴别,鉴别过程主要用以 识别用户的真实身份。n鉴别操作总是要求用户具有能够证明他的身份的特殊信息,并 且这个信息是秘密的,任何其他用户都不能拥有它。C.访问控制 n访问控制用来决定用户是否有权访问一些特定客体的 一种访问约束机制。n在安全操作系统领域中,访问控制一般都涉及:n自主访问控制 (Discretionary Access Control,DAC)n强制访问控制 (Mandatory Access Control,MAC)C1.自主访问控制 n自主访问控制是最常用的一类访问控制机制,在自主访 问控制机制下,文件的拥有者可以按照
11、自己的意愿精确 指定系统中的其他用户对其文件的访问权。n使用自主访问控制机制,一个用户可以自主地说明他所 拥有的资源允许系统中哪些用户以何种权限进行共享。 从这种意义上讲,是“自主”的。另外自主也指对其他具 有授予某种访问权力的用户能够自主地(可能是间接的 )将访问权或访问权的某个子集授予另外的用户。C2.强制访问控制n在强制访问控制机制下,系统中的每个客体都被赋予 了相应的安全属性,这些安全属性是不能改变的,它 由管理部门(如安全管理员)或由操作系统自动地按 照严格的规则来设置,不像访问控制表那样由用户或 他们的程序直接或间接地修改。n在强制访问控制机制下,当一主体访问一个客体时, 需要比较
12、主体的安全属性和客体的安全属性,从而确 定是否允许进程对客体的访问。n主体不能改变自身的或任何客体的安全属性,包括不 能改变属于主体的客体的安全属性,而且也不能通过 授予其他用户客体存取权限简单地实现客体共享。n如果系统判定拥有某一安全属性的主体不能访问某个 客体,那么任何人(包括客体的拥有者)也不能使它 访问该客体。强制访问控制和自主访问控制n强制访问控制和自主访问控制是两种不同类型的访问 控制机制,它们常结合起来使用。仅当主体能够同时 通过自主访问控制和强制访问控制检查时,它才能访 问一个客体。n用户使用自主访问控制防止其他用户非法入侵自己的 文件,强制访问控制则作为更强有力的安全保护方式
13、 ,使用户不能通过意外事件和有意识的误操作逃避安 全控制。n强制访问控制用于将系统中的信息分密级和类进行管 理,适用于政府部门、军事和金融等领域。D.最小特权管理 n在现有多用户操作系统中,超级用户具有所有特权,普通用户不 具有任何特权。一个进程要么具有所有特权,要么不具有任何特 权。这种特权管理方式不利于系统的安全性。n一旦超级用户的口令丢失或被冒充或误操作,将会对系统造成极 大的损失。因此必须实行最小特权管理机制。n最小特权管理的思想是系统不应给用户超过执行任务所需特权以 外的特权。n如将超级用户的特权划分为一组细粒度的特权,分别授予不 同的系统操作员/管理员,使各种系统操作员/管理员只具
14、有完 成其任务所需的特权,从而减少由于特权用户口令丢失或误 操作所引起的损失。n把传统的超级用户划分为安全管理员、系统管理员、系统操作员 三种特权用户。n安全管理员行使诸如设定安全等级、管理审计信息等系统安 全维护职能;n系统管理员行使诸如创建和删除用户帐户、处理记帐信息等 系统管理职能。n系统操作员行使诸如磁盘数据备份、启动和关闭系统等系统 日常维护职能;n传统的超级用户不复存在,任何一个用户都不能获取足够的权力 破坏系统的安全策略。E.可信通路 n终端用户直接同可信计算基进行通信的一种机制。n只能由有关人员或可信计算基启动,且不能被不可 信软件模仿。n主要应用于用户登录或注册时,保证用户确
15、实和安 全内核通信,防止不可信进程如木马等模拟系统的 登录过程而窃取口令。F.安全审计 n一个系统的安全审计就是对系统中有关安全的活动进行记录、 检查及审核。目的是检测和阻止非法用户对计算机系统的入侵 ,并显示合法用户的误操作。n审计作为一种事后追查的手段来保证系统的安全,它对涉及系 统安全的操作做一个完整的记录。n审计为系统进行事故原因的查询、定位,事故发生前的预测、 报警以及事故发生之后的实时处理提供详细、可靠的依据和支 持,以备有违反系统安全规则的事件发生后能够有效地追查事 件发生的地点和过程以及责任人。安全配置方案初级篇 n安全配置方案初级篇主要介绍常规的操作系统 安全配置,包括十二条
16、基本配置原则:n物理安全、停止Guest帐号、限制用户数量n创建多个管理员帐号、管理员帐号改名n陷阱帐号、更改默认权限、设置安全密码n屏幕保护密码、使用NTFS分区n运行防毒软件和确保备份盘安全。1、物理安全n服务器应该安放在安装了监视器的隔离房间内 ,并且监视器要保留15天以上的摄像记录。n机箱,键盘,电脑桌抽屉要上锁,以确保旁人 即使进入房间也无法使用电脑,钥匙要放在安 全的地方。2、停止Guest帐号n在计算机管理的用户里 面把Guest帐号停用, 任何时候都不允许 Guest帐号登陆系统。n为了保险起见,最好给 Guest 加一个复杂的密 码,包含特殊字符, 数 字,字母的长字符串。n修改Guest帐号的属性 ,设置拒绝远程访问, 如图所示。3 限制用户数量n去掉所有的测试帐户、共享帐号和普通部门帐号等等 。用户组策略设置相应权限,并且经常检查系统的帐 户,删除已经不使用的帐户。n帐户很多是黑客们入侵系统的突破口,系统的帐户越 多,黑客们得到合法用户的权限可能性一般也就越大 。n如果系统帐户超过10个,一般能找出一两个弱口令帐 户,所以帐户数量不要大于10个。4 多
