《计算机安全技术第四章》由会员分享,可在线阅读,更多相关《计算机安全技术第四章(41页珍藏版)》请在金锄头文库上搜索。
1、LOGOASP.NET程序设计王洪涛 LOGO第四章操作系统安全基础ContentsWindows系统1UNIX系统2Linux系统3计算机操作系统是计算机系统配置的最重要的软件,在整 个计算机系统软件中处于中心地位。操作系统设计的好坏 直接决定计算机系统的性能和计算机用户使用计算机的方 便程度。 本章主要讨论Windows95/98/ME、WindowsNT/2000/ WindowsXP、Unix/Linux等操作系统的安全基础、系统 安全模型安全管理、安全漏洞等,同时讨论WindowsNT/ 2000/WindowsXP、Unix/Linux操作系统的网络安全问题。 4-1 Window
2、s系统Windows9X目前是在普通用户的PC机上使用的最广 泛的操作系统。尤其是Windows98,占据了中国 绝大多数PC用户的操作系统市场。 Windows9X在具有众多优点的同时,它也有十分明 显的缺点。如稳定性和安全性都欠佳。 Windows95/98极易受到黑客的攻击和病毒的侵 犯,一般的网络用户都可以使用一些特种软件 工具轻而易举地让Windows9X蓝屏和死机。 4-1-1 Windows95/98/ME的安全1. Windows98的登录机制 (1) Windows登录 4-1-1 Windows95/98/ME的安全(续 )(2) Microsoft网络用户 如何利用注册表
3、提高Windows的安全性vWindows操作系统并不是绝对安全的。我 们可以为它创建一个相对安全的操作环境 ,这个相对“安全”的运行环境可以在一定程 度上防止非法用户随意操纵用户的计算机 。 v维护操作系统的安全可以通过修改注册表 来完成。WindowsNT/2000WindowsXP的安全基础1.WindowsNT/2000/WindowsXP系统安全模型 (1)用户登录管理 (2)资源访问管理 2.Windows NT/2000/WindowsXP的安全机制 (1)口令安全 (2) 文件系统安全 (3) NTFS分区安全 (4) Web服务器安全 vWindows2000安全基础概念 v
4、在Windows2000中用户可以在活动用户和计算 机管理工具中实现建立用户账号、计算机账号 、组、安全策略等项。它可以用于建立或编辑 网络中的用户、计算机、组、组织单位、域、 域控制器以及发布网络共享资源。用户账号v用户账号能够让用户以授权的身份登录到计算 机和域中并访问其资源。Windows2000 在安装 时提供了两个预定义用户账号。 Administrator 系统管理员账号 Guest account 临时账号计算机帐户v每一个运行Windows2000和WindowsNT的计算 机都需要一个计算机账号,就像用户账号一样 ,被用来验证和审核计算机登录过程和访问域 资源。组v组可以包含
5、用户、联系人、计算机和其他组的 Active Directory或本机对象。使用组可以做如 下的工作: 管理用户和计算机对共享资源的访问 筛选组策略设置 创建电子邮件通信组域v域是网络对象的分组。如用户、组和计算机。身份验证v 身份验证是系统安全性的一个基本方面。 v 它负责确认试图登录域或网络资源的任何用户的身份。 验证的过程是: 在Windows2000计算环境中成功的用户身份验证包括两 个独立的过程。 交互式登录向域帐户或本地计算机确定用户的身份。 网络身份证对改用户试图访问的任何网络服务确定用户 身份 在用户试图访问安全的Web服务器时使用。授权v管理员可以指派特定权利组帐户或单个用户
6、帐 户审核v安全审核负责见识各种域安全性有关的事件。 这些事件包括: 访问对象,例如文件和文件夹 用户和组帐户的管理 用户登录以及从系统注销时安全设置v安全设置定义了系统的安全相关操作。其中包 括: 管理员可使用安全模板管理单元定义和使用安 全模板 管理员可以使用安全设置和分析管理单元来设 置和分析本地的安全性 管理员可以使用组策略来设置Active Directory 中的安全性Windows XP 的安全性vWindows XP的优越性: 完善的用户管理功能 透明的软件限制策略 支持NTFS文件系统 安全的网络访问特性WindowsNT/2000/WindowsXP的安全 防范措施(1)
7、加强物理安全管理 (2) 将系统管理员账号改名 (3) 控制授权用户的访问权限 (4) 文件系统用NTFS,不用FAT (5) 确保注册表安全 (6) 打开审计系统 LOGO保护通用操作系统安全的方法v不管你使用的是哪一种操作系统平台,系统安 全方面的一些重要考虑因素都是适用的。如果 你想保护系统,从而远离未经授权的访问以及 不幸的灾难,应当始终要考虑下列防范措施: 一、使用强密码 v 要提高安全性,最简单的方法之一就是使用不 会被蛮力攻击轻易猜到的密码。蛮力攻击是指 这样一种攻击:攻击者使用自动系统来尽快猜 中密码,希望不用多久就能找出正确的密码。 v密码应当包含特殊字符和空格、使用大小写字
8、 母,避免单纯的数字以及能在字典中找到的单 词。密码长度每增加一个字符,可能出现的密 码字符组合就会成倍增加。一般来说,不到8个 字符的任何密码都被认为容易被破解。10个、 12个甚至16个字符作为密码比较安全。二、做好边界防御 v 不是所有的安全问题都发生在桌面系统上。使用外部防 火墙/路由器来帮助保护你的计算机是个好想法,哪怕你 只有一台计算机。如果考虑低端产品,可以购买一个零 售路由器设备,比如Linksys、D-Link和Netgear等厂商 的路由器。如果考虑比较高端的产品,可以向思科、 Networks等企业级厂商购买管理型交换机、路由器和防 火墙。 v 代理服务器、防病毒网关和垃
9、圾邮件过滤网关也都有助 于提高边界的安全性。请记住:一般来说,交换机的安 全功能胜过集线器;使用网络地址转换(NAT)协议的 路由器胜过交换机;防火墙绝对是必不可少的设备。 三、更新软件 v如果长时间没有更新安全补丁,可能会导致你 使用的计算机很容易成为肆无忌惮的攻击者的 下手目标。 v别让安装在计算机上的软件迟迟没有打上最新 的安全补丁。同样的情况适用于任何基于特征 码的恶意软件保护软件,比如反病毒软件(如 果你的系统需要它们):只有它们处于最新版 本状态,添加了最新的恶意软件特征码,才能 发挥最佳的保护效果。四、关闭没有使用的服务 v计算机用户常常不知道自己的系统上运行着哪 些可以通过网络
10、访问的服务。Telnet和FTP是两 种经常会带来问题的服务:如果你的计算机不 需要这两种服务,就应当关闭。要了解在计算 机上运行的每一种服务,以便关闭实际上没有 使用的服务。 五、使用数据加密 v对关注安全的计算机用户或者系统管理员来说 ,有不同级别的数据加密方法可供使用;选择 合理的加密级别以满足自己的需要,这必须根 本实际情况来决定。数据加密方法有很多,从 使用密码工具对文件逐个加密,到文件系统加 密,直到整个磁盘的加密。v上述加密方法通常不包括引导分区,因为那样 需要专门硬件帮助解密;但是如果非常需要加 密引导分区以确保隐私、有必要投入这笔开支 ,也可以获得这种整个系统的加密。针对除了
11、 引导分区加密外的任何应用,每一种所需的加 密级别都有许多种解决方案,包括可在各大桌 面操作系统上实现整个磁盘加密的商业化专有 系统和开源系统。六、通过备份保护数据 v对数据进行备份是你用来保护自己、避免灾难 的最重要的方法之一。确保数据冗余的策略有 很多,既有像定期把数据拷贝到光盘上这样简 单、基本的策略,也有像定期自动备份到服务 器上这样复杂的策略。七、不要信任外来网络 v必须通过自己的系统来确保安全;不要相信外 来网络很安全、远离不怀好意的攻击者。比如 说在开放的无线网络上,使用加密措施来保护 敏感通信极其重要,包括连接到这样的网站: 使用登录会话cookie来自动验证身份,或者输入 用
12、户名和密码。 八、使用不间断电源(UPS) vUPS的作用不仅仅是停电时可以避免丢失文件 。使用UPS还有更重要的原因,比如功率调节 、避免文件系统受到损坏。由于这个原因,就 要确保购买的UPS能够与操作系统协同运行, 以便通知操作系统什么时候UPS需要关闭,免 得电源用尽时你不在家;还要确保购买的UPS 可提供电池供电和功率调节功能。LOGOWindows常见问题及解决方案案例一:无法显示桌面图标v问题分析:大多数情况下,无法显示桌面图标 是因为系统启动的时候无法加载explorer.exe或 者Explorer.exe文件被破坏了。 v解决方法: v1、在“开始”“运行”处输入regedi
13、t,启动注册表, 找到下面路径,如果shell下没有explorer.exe那就 自己鼠标右键新建一个explorer.exe即可路径 :HKEY_LOCAL_MACHINESOFTWAREMicros osftWindows NTCurrentVersionWinlogonShell v2、如果手动加载也不行的话,可能是 Explorer.exe文件坏了,到别人的电脑上复制一个 回来就行了。 v3、可能是病毒损坏了explorer.exe文件 。案例二:桌面图标显示速度很慢 v都说Windows系统越用越慢,就拿桌面图标来 说,越来越多的快捷方式使桌面的显示速度非 常的慢,每次刷新桌面都会出
14、现迟滞。 v问题分析:系统用一块称为图标缓存的区域来 保存已经建立的快捷方式图标,刷新桌面显示 时就无需重新建立,只需从缓存中读取即可, 而Windows默认的缓存较小,建立的快捷方式 过多后就超出了缓存的存储范围,并影响了显 示速度。可以通过修改注册表来解决 v解决方法:在注册表中加大图标缓存的大小, 首先打开“注册表编辑器”,找到 HKEY_LOCAL_MACHINESOFTWAREMicro softWindowsCurrentVersionExplorer,在右侧 窗格创建一个名为“Max Cached Icons”的字符 串值,设置它的值为“8192”(注意:最大只能为 8192)重启系统后即可生效。案例三:任务管理器被禁用 v问题分析:这是由于任务管理器被管理员或恶意 代码禁用造成的。可通过组策略进行恢复 v解决方案:在“运行”中键入“gpedit.msc”,启动“ 组策略”编辑器。在“本地策略”中依次展开“用户 配置管理模板系统Ctrl+Alt+Del选项”分支 ,在右侧窗口中双击“删除任务管理器”策略,在 弹出的策略设置对话框中选择“未配置”选项,单 击“确定”以后,按“Ctrl+Alt+Del”组合键就可以调 出“任务栏管理器”了。 LOGOF
