《计算机安全技术4.2操作系统安全配置》由会员分享,可在线阅读,更多相关《计算机安全技术4.2操作系统安全配置(92页珍藏版)》请在金锄头文库上搜索。
1、操作系统安全配置,操作系统的安全威胁,一、来自系统设计上的缺陷(隐蔽通道) 调试程序块、隐含调用、隐含矢量等二、来自外部的恶意攻击(系统入侵)计算机恶意程序,非法使用、系统破坏等。开放性、标准化应用对系统集成提供了极好的条件,但同时也带来了新的安全性威胁,产生了一些新的安全隐患。系统被攻击的入口增多、破坏面增大、检测困难且开销很大。,操作系统的安全性,计算机系统的安全极大地取决于操作系统的安全 操作系统的安全是利用安全手段防止操作系统本身被破坏,防止非法用户对计算机资源 (如软件、硬件、时间、空间、数据、服务等资源) 的窃取。 操作系统安全的实施将保护计算机硬件、软件和数据,防止人为因素造成的
2、故障和破坏,操作系统安全定义, 信息安全的五类服务,作为安全的操作系统时必须提供的 有些操作系统所提供的服务是不健全的、默认关闭的,ITSEC和TCSEC TCSEC描述的操作系统安全级别 D-A CC(Common Critical)标准 BS 7799:2000标准体系 ISO 17799标准,TCSEC定义的内容,没有安全性可言,例如MS DOS,不区分用户,基本的访问控制,有自主的访问安全性,区分用户,标记安全保护,如System V等,结构化内容保护,支持硬件保护,安全域,数据隐藏与分层、屏蔽,校验级保护,提供低级别手段,C2级安全标准的要求,自主的访问控制 对象再利用必须由系统控制
3、 用户标识和认证 审计活动 能够审计所有安全相关事件和个人活动 只有管理员才有权限访问,操作系统概述,目前常用的操作系统有三类: Unix/Linux Windows 2000/2003 Mac 苹果操作系统。 这些操作系统都是符合C2级安全级别的操作系统。但是都存在不少漏洞,如果对这些漏洞不了解,不采取相应的措施,就会使操作系统完全暴露给入侵者。,UNIX系统,UNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统。UNIX诞生于20世纪60年代末期,贝尔实验室的研究人员于1969年开始在GE645计算机上实
4、现一种分时操作系统的雏形,后来该系统被移植到了DEC的PDP-7小型机上。1970年给系统正式取名为Unix操作系统。到1973年,Unix系统的绝大部分源代码都用C语言重新编写过,大大提高了Unix系统的可移植性,也为提高系统软件的开发效率创造了条件。,主要特色,UNIX操作系统经过20多年的发展后,已经成为一种成熟的主流操作系统,并在发展过程中逐步形成了一些新的特色,其中主要特色包括5个方面。(1)可靠性高 (2)极强的伸缩性 (3)网络功能强 (4)强大的数据库支持功能 (5)开放性好,Linux系统,Linux是一套可以免费使用和自由传播的类Unix操作系统,主要用于基于Intel x
5、86系列CPU的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。Linux最早开始于一位名叫Linus Torvalds的计算机业余爱好者,当时他是芬兰赫尔辛基大学的学生。目的是想设计一个代替Minix(是由一位名叫Andrew Tannebaum的计算机教授编写的一个操作系统示教程序)的操作系统。这个操作系统可用于386、486或奔腾处理器的个人计算机上,并且具有Unix操作系统的全部功能。,Linux是一个免费的操作系统,用户可以免费获得其源代码,并能够随意修改。 它是在共用许可证GPL(Ge
6、neral Public License)保护下的自由软件,也有好几种版本,如Red Hat Linux、Slackware,以及国内的Xteam Linux、红旗Linux等等。Linux的流行是因为它具有许多优点,典型的优点有7个。,Linux典型的优点有7个。,(1)完全免费 (2)完全兼容POSIX 1.0标准 (3)多用户、多任务 (4)良好的界面 (5)丰富的网络功能 (6)可靠的安全、稳定性能 (7)支持多种平台,Windows系统,Windows NT(New Technology)是微软公司第一个真正意义上的网络操作系统,发展经过NT3.0、NT40、NT5.0(Window
7、s 2000)和NT6.0(Windows 2003)等众多版本,并逐步占据了广大的中小网络操作系统的市场。Windows NT众多版本的操作系统使用了与Windows XP完全一致的用户界面和完全相同的操作方法,使用户使用起来比较方便。与Windows XP相比,Windows NT的网络功能更加强大并且安全。,Windows系统的安全架构,Windows NT系统内置支持用户认证、访问控制、管理、审核。,针对Windows 的入侵,扫描 使用的扫描软件 NAT、流光、Xscan、SSS 扫描远程主机 开放端口扫描 操作系统识别 主机漏洞分析,针对Windows的入侵(4),IIS攻击 尝试
8、利用IIS中知名的Unicode和“Translate:f”漏洞进行攻击,没有成功。目标主机可能已修复相应漏洞,或没有打开远程访问权限 Administrator口令强行破解 这里我们使用NAT(NetBIOS Auditing Tool)进行强行破解:构造一个可能的用户帐户表,以及简单的密码字典,然后用NAT进行破解,Administrator口令破解情况,针对Windows 的入侵(5),巩固权力 现在我们得到了Administrator的帐户,接下去我们需要巩固权力 装载后门 一般的主机为防范病毒,均会安装反病毒软件,如Norton Anti-Virus、金山毒霸等,并且大部分人也能及时
9、更新病毒库,而多数木马程序在这类软件的病毒库中均被视为Trojan木马病毒。所以,这为我们增加了难度。除非一些很新的程序或自己编写的程序才能够很好地隐藏起来,针对Windows 的入侵(6),清除痕迹 我们留下了痕迹了吗 del *.evt echo xxx *.evt 看看它的日志文件 无安全日志记录,本次入侵,我们都做了什么?踩点扫描渗透口令破解安装后门清除脚印,端口扫描 操作系统探测 漏洞扫描,通过入侵来看Windows的防范,安装防火墙软件,对安全规则库定期进行更新 及时更新操作系统厂商发布的SP补丁程序 停止主机上不必要的服务,各种服务打开的端口往往成为黑客攻击的入口 使用安全的密码
10、 如果没有文件和打印机共享要求,最好禁止135、139和445端口上的空会话 经常利用net session、netstat查看本机连接情况,Windows系统安装,使用正版可靠安装盘 将系统安装在NTFS分区上 系统和数据要分开存放在不同的磁盘 最小化安装组件 安全补丁合集和相关的Hotfix 装其它的服务和应用程序补丁,防止病毒、正常安装补丁等,进行文件系统安全设置,最少建立两个分区,一个系统分区,一个应用程序分区,因为微软的IIS经常会有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。,NT安装SP6a和相关的Hotfix WIN
11、2K安装SP4和相关的Hotfix WINXP安装SP2和相关的Hotfix WIN2003安装相关的Hotfix,windows文件系统安全,文件系统 & 文件分区表,文件系统是操作系统中用于组织、存储和命名文件的结构。 磁盘或分区和它所包括的文件系统的不同是很重要的,大部分应用程序都基于文件系统进行操作,在不同种文件系统上是不能工作的。,FAT文件系统,FAT16文件系统使用16位的文件分配表,主要用于MS-DOS、Windows 3.x、Windows 9x、Windows NT和OS/2等。FAT文件系统遵循8.3命名规则(即文件名最多为8个字符,扩展名为3个字符)。只能管理2G以下的
12、硬盘。,FAT32文件系统主要应用于Windows 9x系统,它可以增强磁盘性能并增加可用磁盘空间。因为与FAT16相比,它的一个簇的大小要比FAT16小很多,所以可以节省磁盘空间。而且它支持2G以上的分区大小。,NTFS文件系统优势,支持长文件名,256个字符的长文件名。,对文件和目录提供安全的访问控制。,先进的容错能力。,不易受到病毒和系统崩溃的侵袭。,提供文件、目录压缩功能。,NTFS权限说明,NTFS的权限类型非常丰富,因此,在访问控制方面能够提供更细致的粒度。NTFS5的标准文件访问权限有5个:完全控制、修改、读和执行、读、写。,最低权限原则(Principle of Least P
13、rivilege,POLP):用户权限分配的基本原则。,限制everyone组得到的访问权限。,NTFS权限设置(目录),文件的安全描述符的内容,NTFS标准权限允许的操作,注册表(Registry),注册表简介,Windows的注册表是一个的二进制数据库,它按照分级结构存储了系统和应用程序以及用户的全部设置信息。,Windows的注册表包含应用程序、硬件设备、驱动器驱动程序配置、网络协议等信息,注册表具有容错功能,一般不会崩溃,即使出现问题,windows系统也能够字段恢复及修改数据以保证系统正常运行。,win2K下regedt32.exe或是regedit.exe都可以打开注册表。,注册表
14、的结构,注册表的组织方式与文件系统的组织方式相似,注册表的根是根键(root keys)。,每个根键包含几个子项(目录),这些子项又包含自己的子项和值。,注册表中的每个值(值项)由三部分组成:名字、数据类型、实际取值。,注册表的根项,HKEY_LOCAL_MACHINE(HKLM):存储本机的所有设置。比如:系统和设备驱动记录等。,HKEY_USER(HKU):为每个登录到计算机上的用户建立一个子项。,HKEY_CURRENT_CONFIG(HKCC):系统的当前引导配置信息。,HKEY_CURRENT_USER(HKCU):指向HKU中当前登录用户的配置文件。,HKEY_CLASSES_RO
15、OT(HKCR):将文件扩展名和OLE类标识符联系起来。,几个重要的子项,HKLMHARDWARE:存储系统中所有硬件信息,HKLMSECURITY:存储大量安全信息,HKLMSOFTWARE:存储系统中应用程序和系统组件的信息。,注册表中与自动启动有关的项,HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run,安全配置方案初级篇,安全配置方案初级篇主要介绍常规的操作系统安全配置,包括十二条基本配置原则: 物理安全、停止Guest帐号、限制用户数量 创建多个管理员帐号、管理员帐号改名 陷阱帐号、更改默认权限、设置安全密
16、码 屏幕保护密码、使用NTFS分区 运行防毒软件和确保备份盘安全。,1、物理安全,服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。 另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方。,2、停止Guest帐号,在计算机管理的用户里面把Guest帐号停用,任何时候都不允许Guest帐号登陆系统。 为了保险起见,最好给Guest 加一个复杂的密码,可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串。 用它作为Guest帐号的密码。并且修改Guest帐号的属性,设置拒绝远程访问,如图所示。,3 限制用户数量,去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户。帐户很多是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。对于Windows NT/2000主机,如果系统帐户超过10个,一般能找出一两个弱口令帐户,所以帐户数量不要大于10个。,
