《计算机操作系统的安全与配置.ppt》由会员分享,可在线阅读,更多相关《计算机操作系统的安全与配置.ppt(43页珍藏版)》请在金锄头文库上搜索。
1、 第6章 计算机操作系统的安全与配置 本章要点:&WindowsXP的安全性&Unix系统的安全性&Linux系统的安全性16.1WindowsXP操作系统的安全性6.1.1WindowsXP的登录机制1交互式登录(1)本地用户账号(2)域用户账号2网络登录3服务登录4批处理登录 26.1.2WindowsXP的屏幕保护机制36.1.3WindowsXP的文件保护机制1WFP的工作原理WFP把某些文件认为是非常重要的系统文件。在WindowsXP刚装好后,系统会自动备份这些文件到一个专门的叫做dllcache的文件夹,这个dllcache文件夹的位置默认保存在%SYSTEMROOT%syste
2、m32dllcache目录下。46.1.3WindowsXP的文件保护机制2WFP(WindowsFileProtection)功能的工作方式WFP功能使用两种机制为系统文件提供保护。第一种机制在后台运行。在WFP收到受保护目录中的文件的目录更改通知后,就会触发这种保护机制。WFP收到这一通知后,就会确定更改了哪个文件。如果此文件是受保护的文件,WFP将在编录文件中查找文件签名,以确定新文件的版本是否正确。WFP功能提供的第二种保护机制是系统文件检查器(Sfc.exe)工具。图形界面模式安装结束时,系统文件检查器工具对所有受保护的文件进行扫描,确保使用无人参与安装过程安装的程序没有对它们进行修
3、改。56.1.4利用注册表提高WindowsXP系统的安全注册表实质上是一个庞大的数据库,用来存储计算机软硬件的各种配置信息.内容主要包含几个方面:软硬件的有关配置和状态信息,应用程序和资源管理器外壳的初始条件、首选项和卸载数据;计算机整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件的描述、状态和属性;计算机性能记录和底层的系统状态信息以及各类其他数据.66.1.4利用注册表提高WindowsXP系统的安全1注册表受到损坏的主要原因(1)用户反复添加或更新驱动程序时,多次操作造成失误,或添加的程序本身存在问题,安装应用程序的过程中注册表中添加了不正确的项。(2)驱动程序不兼容。计算机
4、外设的多样性使得一些不熟悉设备性能的用户将不配套的设备安装在一起,尤其是一些用户在更新驱动时一味追求最新、最高端,却忽略了设备的兼容性。当操作系统中安装了不能兼容的驱动程序时,就会出现问题。(3)通过“控制面板”的“添加/删除程序”添加程序时,由于应用程序自身的反安装特性,或采用第三方软件卸载自己无法卸载的系统自带程序时,都可能会对注册表造成损坏。另外,删除程序、辅助文件、数据文件和反安装程序也可能会误删注册表中的参数项。76.1.4利用注册表提高WindowsXP系统的安全1注册表受到损坏的主要原因(4)当用户经常安装和删除字体时,可能会产生字体错误。可能造成文件内容根本无法显示。(5)硬件
5、设备改变或者硬件失败。如计算机受到病毒侵害、自身有问题或用电故障等。(6)用户手动改变注册表导致注册表受损也是一个重要原因。由于注册表的复杂性,用户在改动过程中难免出错,如果简单地将其它计算机上的注册表复制过来,可能会造成非常严重的后果。82WindowsXP系统注册表的结构6.1.4利用注册表提高WindowsXP系统的安全96.1.4利用注册表提高WindowsXP系统的安全2WindowsXP系统注册表的结构WindowsXP注册表共有5个根键。HKEY_CLASSES_ROOT此处存储的信息可以确保当使用Windows资源管理器打开文件时,将使用正确的应用程序打开对应的文件类型。HKE
6、Y_CURRENT_USER包含当前登录用户的配置信息的根目录。用户文件夹、屏幕颜色和“控制面板”设置存储在此处。该信息被称为用户配置文件。在用户登录WindowsXP时,其信息从HKEY_USERS中相应的项拷贝到HKEY_CURRENT_USER中。106.1.4利用注册表提高WindowsXP系统的安全2WindowsXP系统注册表的结构WindowsXP注册表共有5个根键。HKEY_LOCAL_MACHINE包含针对该计算机(对于任何用户)的配置信息。HKEY_USERS包含计算机上所有用户的配置文件的根目录。HKEY_CURRENT_CONFIG管理当前用户的系统配置。在这个根键中保
7、存着定义当前用户桌面配置(如显示器等等)的数据,该用户使用过的文档列表(MRU),应用程序配置和其他有关当用户的WindowsXP中文版的安装的信息。116.1.4利用注册表提高WindowsXP系统的安全3通过修改WindowsXP注册表提高系统的安全性(1)修改注册表的访问权限(2)让文件彻底隐藏(3)禁止使用控制面板请参照教材P105介绍进行操作12启动策略管理的命令:Gpedit.msc6.1.5 本地安全的账户策略13帐户策略帐户策略密码策略密码策略密码策略密码策略KerberosKerberos策略策略策略策略( (针对针对针对针对ServerServer系列系列系列系列) )帐户
8、锁定策略帐户锁定策略帐户锁定策略帐户锁定策略14密码复杂性要求密码复杂性要求如果启用此策略,密码必须符合下列最低要求如果启用此策略,密码必须符合下列最低要求:不能包含用户的帐户名,不能包含用户姓名中超过两个不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分连续字符的部分至少有六个字符长至少有六个字符长包含以下四类字符中的三类字符包含以下四类字符中的三类字符:英文大写字母英文大写字母(A 到到 Z)英文小写字母英文小写字母(a 到到 z)10 个基本数字个基本数字(0 到到 9)非字母字符非字母字符(例如例如 !、$、#、%)15本地策略本地策略审核策略审核策略:确定是否将安全事件记
9、录到计算机上的安全日志确定是否将安全事件记录到计算机上的安全日志中。同时也确定是否记录登录成功或登录失败,或二者都记中。同时也确定是否记录登录成功或登录失败,或二者都记录。(录。(“安全安全”日志是事件查看器的一部分。)日志是事件查看器的一部分。)用户权利指派:确定哪些用户或组具有登录计算机的权利或用户权利指派:确定哪些用户或组具有登录计算机的权利或特权。特权。安全选项:启用或禁用计算机的安全设置,例如数据的数字安全选项:启用或禁用计算机的安全设置,例如数据的数字信号、信号、Administrator和和Guest的帐户名、软盘驱动器和光盘的帐户名、软盘驱动器和光盘的访问、驱动程序的安装以及登
10、录提示。的访问、驱动程序的安装以及登录提示。16审核策略设置审核策略设置17用户权利指派设置用户权利指派设置优先级高于“在本地登录”18安全选项设置安全选项设置196.1.6 WindowsWindows服务服务Win32服服务务程程序序由由3部部分分组组成成:服服务务应应用用程程序序,服服务务控控制程序和服务控制管理器制程序和服务控制管理器服服务务应应用用程程序序是是服服务务程程序序的的主主体体程程序序,是是一一个个或或者者多多个服务的可执行代码个服务的可执行代码服服务务的的启启动动方方式式有有三三种种:“自自动动”是是指指当当计计算算机机启启动动或或者者需需要要的的时时候候就就开开启启;“
11、手手动动”是是可可以以在在命命令令提提示示符符中中通通过过“netstart”命命令令打打开开和和“netstop”命命令令关关闭闭的的;“已已禁禁止止”是是指指在在改改变变启启动动方方式式前前,不允许启动的服务不允许启动的服务启动管理工具的命令:启动管理工具的命令:Services.msc20Windows服务服务这这些些服服务务程程序序很很多多是是互互相相依依存存的的,所所以以不不能能随随便便停停止止某某项项服服务务,否否则则很很可可能能造造成成系系统统的的非非正正常常情情况况出出现现,但但是是有有的的服服务务对对我我们们来来说说的的确确没没有有什什么么作作用用,而而且且还还占据着系统资源
12、。占据着系统资源。正正常常工工作作中中用用不不到到的的程程序序,完完全全可可以以关关闭闭,从从而而达达到到节省资源的目的。节省资源的目的。可可以以改改变变服服务务的的启启动动顺顺序序,进进一一步步优优化化系系统统,提提高高系系统运行效率和安全性能。统运行效率和安全性能。21禁用不必要的服务禁用不必要的服务很多服务是用户根本不需要的很多服务是用户根本不需要的选选择择“开开始始”“运运行行”,键键入入“services.msc”并并回回车车,即即可可打打开开“服服务务”管管理理程程序序。也也可可以以选选择择“控控制制面面板板”“管管理理工工具具”“服服务务”,进进入入该该界界面面,即即可可打打开开
13、已已经经安安装装在在系系统统中中的的服服务务列列表表。不不同同的的硬硬件件配配置置或或者者不不同同的的Windows版版本本中中的的服服务务项项目目是是有有所所区区别的。别的。选选择择“查查看看”“详详细细信信息息”,即即可可在在“描描述述”列列表表中看到每一项服务的具体内容和功能。中看到每一项服务的具体内容和功能。22WindowsWindows服务解析配置服务解析配置1、Alert(警报器),(警报器),建议:已禁止建议:已禁止2、ApplicationLayerGatewayService,建议:已禁止建议:已禁止3、Application Management(应用程序管理),(应用程
14、序管理),建议:手动建议:手动4、Automatic Updates,建议:已禁止建议:已禁止5、Background Intelligent Transfer Service,建议:已禁止建议:已禁止6、ClipBook(剪贴簿),(剪贴簿),建议:已禁止建议:已禁止7、COM+EventSystem(COM+事件系统),事件系统),建议:手动建议:手动8、COM+System Application,建议:手动建议:手动9、Computer Browser(计算机浏览器),(计算机浏览器),建议:已禁止建议:已禁止10、Cryptographic Services,建议:手动建议:手动11
15、、DHCP Client(DHCP客户端),客户端),建议:手动建议:手动12、Distributed Link Tracking Client(分布式连结追踪客户端)(分布式连结追踪客户端),建议:已禁止建议:已禁止23WindowsWindows服务解析配置服务解析配置13、Distributed Transaction Coordinator(分布式交换协(分布式交换协调器),调器),建议:已禁止建议:已禁止14、DNS Client(DNS客户端),客户端),建议:已禁止建议:已禁止15、Error Reporting Service,建议:已禁止建议:已禁止16、Event Log(
16、事件记录文件),(事件记录文件),建议:自动建议:自动17、Fast User Switching Compatibility,建议:手动建议:手动18、Help and Support,建议:已禁止建议:已禁止。19、Human Interface Device Access,建议:手动建议:手动20、IMAPICD-Burning COM Service,建议:已禁止建议:已禁止21、Indexing Service(索引服务),(索引服务),建议:已禁止建议:已禁止22、Internet Connection Firewall(ICF)/Internet Connection Shari
17、ng(ICS),),建议:已禁止建议:已禁止23、IPSEC Services(IP安全性服务),安全性服务),建议:手动建议:手动24、LogicalDiskManager(逻辑磁盘管理员),(逻辑磁盘管理员),建议:自动建议:自动24WindowsWindows服务解析配置服务解析配置25、Logical Disk Manager Administrative Service(逻辑(逻辑磁盘管理员系统管理服务),磁盘管理员系统管理服务),建议:手动建议:手动26、Messenger(信使服务),(信使服务),建议:已禁止建议:已禁止27、MS Software Shadow Copy Pr
18、ovider,建议:已禁止建议:已禁止28、Smart Card,建议:已禁止建议:已禁止29、Smart Card Helper(智能卡协助程序),(智能卡协助程序),建议:已禁止建议:已禁止30、SSDP Discovery Service,建议:已禁止建议:已禁止31、System Event Notification(系统事件通知),(系统事件通知),建议:建议:自动自动32、System Restore Service,建议:已禁止建议:已禁止33、Task Scheduler,建议:手动建议:手动34、TCP/IP NetBIOS Helper(TCP/IP NetBIOS协助程序
19、),协助程序),建议:已禁止建议:已禁止25WindowsWindows服务解析配置服务解析配置35、Telephony(电话语音),(电话语音),建议:手动建议:手动36、Telnet,建议:已禁止建议:已禁止37、Terminal Services(终端服务),(终端服务),建议:已禁止建议:已禁止38、Themes,建议:自动建议:自动39、Uninterruptible Power Supply(不断电供电系统),(不断电供电系统),建建议:已禁止议:已禁止40、Universal Plug and Play Device Host,建议:自动建议:自动41、Volume Shadow
20、 Copy,。,。建议:已禁止建议:已禁止。42、Web Client,建议:已禁止建议:已禁止。43、Windows Audio,建议:自动建议:自动。44、Windows Image Acquisition(WIA)()(Windows影像影像取得程序),取得程序),建议:已禁止建议:已禁止45、Windows Installer(Windows安装程序),安装程序),建议:自动建议:自动46、Windows Management Instrumentation(WMI),),建建议:自动议:自动26WindowsWindows服务解析配置服务解析配置47、Windows Manageme
21、nt Instrumentation Driver Extensions ( Windows Management Instrumentation驱驱动程序延伸动程序延伸),建议:手动建议:手动48、Windows Time(Windows时间设定),时间设定),建议:已禁止建议:已禁止49、Wireless Zero Configuration,建议:已禁止建议:已禁止50、WMI Performance Adapter,建议:已禁止建议:已禁止51、Workstation(工作站),(工作站),建议:自动建议:自动276.1.7 XP操作系统进程解析 28进程的概念进程的概念进程是程序在计
22、算机上的一次执行活动。运行一进程是程序在计算机上的一次执行活动。运行一个程序时,就启动了一个进程。相对而言,程序个程序时,就启动了一个进程。相对而言,程序是一组代码,是静态的,进程是代码的执行行为,是一组代码,是静态的,进程是代码的执行行为,是活的。是活的。在在Windows下,进程又被细化为线程,也就是一下,进程又被细化为线程,也就是一个进程下有多个能独立运行的更小的单位。个进程下有多个能独立运行的更小的单位。多线程的好处:多线程的好处:1.产生多响应效果产生多响应效果2.可以充分使用多处理器可以充分使用多处理器29WindowsWindows基本进程解析基本进程解析 1、WinlogonW
23、inlogon是一个登录是一个登录/退出进程。退出进程。winlogon在用户按下在用户按下CTRL+ALT+DEL时激活,并显示安全对话框。该进程提供了时激活,并显示安全对话框。该进程提供了登录所需的类型控制和输入口令所需的对话框。当你输入用户登录所需的类型控制和输入口令所需的对话框。当你输入用户名和口令时,名和口令时,Winlogon将其发送给一个叫做将其发送给一个叫做LSASS的子进程。的子进程。如果你执行对服务器或工作站的本地登录,如果你执行对服务器或工作站的本地登录,LSASS进程将在安进程将在安全数据库(亦即全数据库(亦即SAM)中查对有关用户名和口令。)中查对有关用户名和口令。W
24、inlogon有两个子进程,即服务控制器和有两个子进程,即服务控制器和LSASS。2、Explorer进程进程在在Windows系列的操作系统中,运行时都会启动一个名为系列的操作系统中,运行时都会启动一个名为Explorer.exe的进程。这个进程主要负责显示系统桌面上的图的进程。这个进程主要负责显示系统桌面上的图标以及任务栏。标以及任务栏。30WindowsWindows基本进程解析基本进程解析 3、csrss.exe进程进程这个进程是用户模式这个进程是用户模式Win32子系统的一部分,子系统的一部分,CSRSS代表客代表客户户/服务器运行子系统而且是一个基本的子系统必须一直运行。服务器运行
25、子系统而且是一个基本的子系统必须一直运行。CSRSS负责控制负责控制Windows图形相关子系统,创建或者删除线程图形相关子系统,创建或者删除线程和一些和一些16位的虚拟位的虚拟MS-DOS环境。环境。4、SystemIdle这个进程不可以从任务管理器中关掉,是作为单线程运行在这个进程不可以从任务管理器中关掉,是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。所以,在任务管理器中,看到的时间。所以,在任务管理器中,看到的“SystemIdleProcess”的的CPU资源占用恰恰是资源占用恰恰是CPU资源空闲时间
26、。资源空闲时间。31WindowsWindows基本进程解析基本进程解析 5、smss.exe这这个个进进程程是是不不可可以以从从任任务务管管理理器器中中关关掉掉的的,是是一一个个会会话话管管理理子子系系统统,负负责责启启动动用用户户会会话话。这这个个进进程程是是通通过过系系统统进进程程初初始始化化,并并且且对对许许多多活活动动的的,包包括括正正在在运运行行的的Winlogon,Win32(Csrss.exe)线线程程和和设设定定的的系系统统变变量量作作出出反反映映。在在它它启启动动这这些些进进程程后后,它它等等待待Winlogon或或者者Csrss结结束束。如如果果这这些些过过程程是是正正常
27、常的的,系系统统就就关关掉掉了了。如如果果发发生生了了什什么么不不可可预料的事情,预料的事情,smss.exe就会让系统停止响应(就是挂起)。就会让系统停止响应(就是挂起)。6、lsass.exe这这个个进进程程是是不不可可以以从从任任务务管管理理器器中中关关掉掉的的。管管理理IP安安全全策策略略以以及及启启动动ISAKMP/Oakley(IKE)和和IP安安全全驱驱动动程程序序。这这是是一一个个本本地地的的安安全全授授权权服服务务,它它会会为为使使用用winlogon服服务务的的授授权权用用户户生生成成一一个个进进程程。这这个个进进程程是是通通过过使使用用授授权权的的包包,例例如如默默认认的
28、的msgina.dll来来执执行行。如如果果授授权权是是成成功功的的,lsass就就会会产产生生用用户户的的进进入入令令牌牌,令令牌牌被被用用于于启启动动初初始始的的shell,其他由用户初始化的进程也会继承这个令牌(系统服务)。,其他由用户初始化的进程也会继承这个令牌(系统服务)。32WindowsWindows基本进程解析基本进程解析 7、services.exe大多数的系统核心模式进程是作为系统进程在运行。大多数的系统核心模式进程是作为系统进程在运行。8、spoolsv.exe缓冲(缓冲(spooler)服务是管理缓冲池中的打印和传真作业,将)服务是管理缓冲池中的打印和传真作业,将文件加
29、载到内存中以便迟后打印(系统服务)。文件加载到内存中以便迟后打印(系统服务)。33svchost.exesvchost.exe进程剖析进程剖析svchost.exe是是从从动动态态链链接接库库(DLL)中中运运行行的的服服务务的的通通用用主主机机进进程程名名称称。svchost.exe是是WindowsNT核核心心系系统统的的最最重重要要的的进进程程之之一一,但但它它本本身身只只作作为为服服务务宿宿主主,提提供供条条件件让让其其他他服服务务在在这这里被启动,而它自己却不能提供任何服务。里被启动,而它自己却不能提供任何服务。Windows2000一一 般般 有有 2个个 svchost进进 程程
30、 , 一一 个个 是是RPCSS(RemoteProcedureCall)服服务务进进程程,另另外外一一个个则则是是由由很很多多服服务务共共享享的的一一个个svchost.exe。而而在在WindowsXP中中,则则一一般般有有4个个以以上上的的svchost.exe服服务务进进程程,Windows2003Server中中则则更更多多,可可以以看看出出把把更更多多的的系系统统内内置置服服务务以以共共享享进进程程方方式式由由svchost启动是微软的一个趋势。启动是微软的一个趋势。34svchost.exesvchost.exe进程剖析进程剖析svchost.exe文文件件定定位位在在系系统统的
31、的%systemroot%system32文文件件夹下夹下在在启启动动的的时时候候,svchost.exe检检查查注注册册表表中中的的位位置置来来构构建建需需要要加加载载的的服服务务列列表表。这这就就会会使使多多个个svchost.exe在在同同一一时时间间运运行行。一一般般地地,通通过过在在任任务务管管理理器器,我我们们可可以以看看到到Windows系系统统中中存存在多个在多个“svchost”进程。进程。这这 些些 svchost进进 程程 提提 供供 多多 种种 系系 统统 服服 务务 , 如如 : rpcss服服 务务( remote procedure call) 、 dmserve
32、r服服 务务 ( logical diskmanager)、)、dhcp服务(服务(dhcpclient)等。)等。35几点说明几点说明相相对对而而言言,程程序序是是一一组组代代码码,是是静静态态的的,进进程程是是代代码码的的执执行行行为,是活的行为,是活的系系统统的的大大部部分分服服务务是是以以动动态态链链接接库库(dll)形形式式实实现现的的,比比如如通过通过SvcHost.EXE启动的大量系统服务启动的大量系统服务驱驱动动程程序序在在某某种种形形式式上上也也是是服服务务,但但驱驱动动程程序序在在Windows中中进进行行了了验验证证,如如WindowsHardwareQualityLab
33、(WHQL)微软的一种认证微软的一种认证366.4Unix系统的安全性Unix操作系统简介Unix操作系统是目前网络系统中主要的服务器操作系统Unix操作系统是于1969年由KenThompson、DennisRitchie和其他一些人在AT&T贝尔实验室开发成功的Unix操作系统是一个分时多用户多任务的通用操作系统分时系统,是指允许多个联机用户同时使用同一台计算机进行处理的操作系统用户可以请求系统同时执行多个任务在运行一个作业的时候,可以同时运行其他作业37Unix系统的安全性口令安全root帐号文件许可和目录许可设置用户ID和同组用户ID许可文件加密其他安全问题6.4Unix系统的安全性3
34、86.5Linux系统的安全性Linux系统的常用命令ls命令功能:列出当前目录下的文件格式:ls参数目标路径常用参数:-l:使用详细格式显示文件-a:显示所有文件,包含以开始的隐含文件-d:仅显示目标名,不显示目录内容-F:在目录下,可执行文件-R:递归处理39Linux系统的常用命令rm命令功能:删除文件格式:rm参数目标文件常用参数:-i:删除前进行提示-f:删除前不进行提示,强行删除-r:递归删除cp命令功能:拷贝文件格式:cp参数源地址目标地址常用参数:-b:删除、覆盖先前的备份-i:覆盖前进行提示-f:覆盖前不进行提示,强行覆盖-v:使用详细模式-h:列出简洁帮助40Linux系统的常用命令cd命令功能:改变目录格式:cd目标路径su命令功能:用于临时切换身份格式:su参数用户名常用参数:-c:执行完指定的命令后,即恢复原来身份-m:变更身份时,不更改环境变量 clear命令功能:清除屏幕41Linux系统的网络安全取消不必要的服务允许/拒绝服务器口令安全保持最新的系统核心检查登录密码设定用户账号的安全级别监视程序和运行日志消除黑客犯罪的温床root账号的使用定期对服务器进行备份42 EndEnd43
