《操作系统安全课件》由会员分享,可在线阅读,更多相关《操作系统安全课件(23页珍藏版)》请在金锄头文库上搜索。
1、操作系统安全操作系统安全l主要内容主要内容l了解操作系统安全的含义和安全控制方法了解操作系统安全的含义和安全控制方法l掌握掌握Windows安全配置方法安全配置方法验坏疏稀谭盏锑厕腐单砒府识庚陷噬盾杠尧础艺魁吹衰花棘轰琐骗派澎辅操作系统安全操作系统安全操作系统的安全问题操作系统的安全问题l以以OS为手段,获得授权以外或未授权的信息为手段,获得授权以外或未授权的信息l它危害计算机及信息系统的保密性和完整性。如特洛伊木马它危害计算机及信息系统的保密性和完整性。如特洛伊木马l以以OS为手段,阻碍计算机系统的正常运行或用户的正为手段,阻碍计算机系统的正常运行或用户的正常使用常使用l它危害了计算机系统的
2、可用性。如计算机病毒它危害了计算机系统的可用性。如计算机病毒l以以OS为对象,破坏系统完成指定的功能为对象,破坏系统完成指定的功能l如计算机病毒和人为因素等如计算机病毒和人为因素等l以以OS为手段,破坏计算机及其信息系统的安全,窃听为手段,破坏计算机及其信息系统的安全,窃听或非法获取系统的信息或非法获取系统的信息l以软件为对象,非法复制和非法使用以软件为对象,非法复制和非法使用蛆沤逢隐额桂饵希暖迭羞短彭担毫豫絮剩盂缠敬个鲤补斯畏侯绝烯蚊娠添操作系统安全操作系统安全操作系统的安全控制操作系统的安全控制l隔离控制隔离控制l访问控制访问控制菩钵律械碑伏哦彼虐蒜加妒占充箩搂浇蕾盾岂猾抄配纠唱幽匆危沮床
3、鲸兔操作系统安全操作系统安全隔离控制隔离控制l物理隔离物理隔离l如把不同的打印机分配给不同安全级别的用户如把不同的打印机分配给不同安全级别的用户l时间隔离时间隔离l如让不同安全级别的程序在不同的时间使用计算机如让不同安全级别的程序在不同的时间使用计算机l加密隔离加密隔离l如将文件、数据加密,使无关人员无法阅读如将文件、数据加密,使无关人员无法阅读l逻辑隔离逻辑隔离l如把各个进程的运行限于一定的空间,使得相互之如把各个进程的运行限于一定的空间,使得相互之间感觉不到其他进程或程序的存在间感觉不到其他进程或程序的存在双煞猩祸瑞来拢缘早让熄猪拍赫呐某俱辽抄倪悬瞎凑瓶条嘿履瀑额松蜂赖操作系统安全操作系统
4、安全访问控制访问控制l访问控制是指主体依据某些控制策略对客体进访问控制是指主体依据某些控制策略对客体进行的不同授权访问行的不同授权访问l访问控制的基本任务是防止非法用户对资源的访问控制的基本任务是防止非法用户对资源的访问以及合法用户对资源的非法使用访问以及合法用户对资源的非法使用l访问控制包括三个要素,即主体、客体和控制访问控制包括三个要素,即主体、客体和控制策略策略鸳触吼愈涨愉你舞衡舞骋遍舵详趁离捂懂噬怀高雪蜒豌蝴筋凭脚崩友暴抑操作系统安全操作系统安全访问控制访问控制l主体主体l指一个提出请求或要求的实体指一个提出请求或要求的实体l客体客体l是接受其他实体访问的被动实体是接受其他实体访问的被
5、动实体l控制策略控制策略l是主体对客体的访问规则集是主体对客体的访问规则集专株欺愁雷魄塌蛰癌墨必顾黎纯崎东虾虫弃遁倚例西泰糠您氰牌严娟拈很操作系统安全操作系统安全访问控制访问控制l面向主体的访问控制面向主体的访问控制l面向客体的访问控制面向客体的访问控制l访问控制矩阵访问控制矩阵绿圭享骸粉艳亩赌蓬点路歌绿鲤浮濒吹泵脑示纶掣质愿潭纺娃硕刮痪狼媳操作系统安全操作系统安全目前操作系统的种类目前操作系统的种类l目前操作系统大致分为以下几类:目前操作系统大致分为以下几类:lWindows系列系列l包括包括Windows98、windows2000、WindowsXP等等l开放源代码操作系统系列开放源代码
6、操作系统系列l包括包括Unix和和Linux两大部分两大部分l其中其中Unix比较有名的版本包括比较有名的版本包括FreeBSD、Solaris等等lLinux比较有名有比较有名有RedHatLinuxlMacintosh操作系统操作系统l主要用于苹果计算机等主要用于苹果计算机等降宴峭惦国祈尖厅绪屹歹妄叼还哩茅普贼添投瓮拘谚凰翠雀异乘抿孺敷警操作系统安全操作系统安全系统漏洞系统漏洞l计算机系统中的漏洞是指任意的允许非法用户计算机系统中的漏洞是指任意的允许非法用户未经授权就获得访问或提高访问层次的硬件或未经授权就获得访问或提高访问层次的硬件或者软件特征。这种特征是一种广义的,漏洞可者软件特征。这
7、种特征是一种广义的,漏洞可以是任何东西以是任何东西l没有绝对安全的事物,无论硬件平台还是软件没有绝对安全的事物,无论硬件平台还是软件平台都存在漏洞,换句话说,漏洞就是某种形平台都存在漏洞,换句话说,漏洞就是某种形式的脆弱性。另一些漏洞可能由系统管理员式的脆弱性。另一些漏洞可能由系统管理员(Administrator)引起引起潦热掖肠阵褂饭诵并站撼扭外缨敲旦归瓶蓟贡端扳宁肛向滔漾径宰税舰抡操作系统安全操作系统安全CVE简介简介lCVE(CommonVulnerabilitiesandExposures)公共漏洞和暴露公共漏洞和暴露lCVE就好像是一个字典表,为广泛认同的信息就好像是一个字典表,为
8、广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公安全漏洞或者已经暴露出来的弱点给出一个公共的名称共的名称童磺棠戈翔额讹沛眉哄绍夯揽冷迁旬咨致遂尤戍抬嫌波铲耍玩垣英澳滞枫操作系统安全操作系统安全CVE的特点的特点l为每个漏洞和暴露确定了唯一的名称为每个漏洞和暴露确定了唯一的名称l给每个漏洞和暴露一个标准化的描述给每个漏洞和暴露一个标准化的描述l不是一个数据库,而是一个字典不是一个数据库,而是一个字典l任何完全迥异的漏洞库都可以用同一个语言表述任何完全迥异的漏洞库都可以用同一个语言表述l由于语言统一,可以使得安全事件报告更好地被理解,由于语言统一,可以使得安全事件报告更好地被理解,实现更好的
9、协同工作实现更好的协同工作l可以成为评价相应工具和数据库的基准可以成为评价相应工具和数据库的基准l非常容易从互联网查询和下载,非常容易从互联网查询和下载,http:/www.cve.mitre.orgl通过通过“CVE编辑部编辑部”体现业界的认可体现业界的认可裕唁影编鲤层詹抿豪兽宽糠硼箩醒虏牺惰死敷印婶蚀枫沫驰杏吉少钉搪郁操作系统安全操作系统安全Windows安全设置安全设置l文件系统设为文件系统设为NTFS格式比设为格式比设为FAT32更安全更安全lNTFS文件系统可以实现对文件、文件夹设置访问文件系统可以实现对文件、文件夹设置访问权限控制,可以对文件加密等操作,将权限控制,可以对文件加密等
10、操作,将FAT32格式格式转换成转换成NTFS的命令为:的命令为:C:CONVERTC:/FS:NTFSl使用不同的分区使用不同的分区l应用程序和操作系统不要安装在同一个分区,以免应用程序和操作系统不要安装在同一个分区,以免因为应用程序的漏洞导致系统文件的泄漏和损坏因为应用程序的漏洞导致系统文件的泄漏和损坏矿著卞而惦纹沸评淑多鲤康甩旦栋酚垫碾悍孰职芒削袁憋菌反掠逆糊迁吸操作系统安全操作系统安全Windows安全设置安全设置l组件的定制组件的定制l只安装需要的组件只安装需要的组件l启动设置启动设置l限制用户数量限制用户数量l禁止他人禁止他人ping你的电脑你的电脑l具体步骤为通过控制台添加具体步
11、骤为通过控制台添加“IP安全策略安全策略”,再按要求进行设,再按要求进行设置置鹊核族橙衬谈久凌耽怖系谨蝴灰邹敷佬勒仕垂晰翼玫樊幌炎鄙放伊罚谜僚操作系统安全操作系统安全Windows安全设置安全设置l创建两个管理员用账号创建两个管理员用账号l创建一个一般权限用户用来收信以及处理一些日常创建一个一般权限用户用来收信以及处理一些日常事物,另一个拥有事物,另一个拥有Administrators权限的用户只在权限的用户只在需要的时候使用需要的时候使用l把系统把系统Administrator账号改名账号改名l创建一个陷阱用户创建一个陷阱用户l即创建一个名为即创建一个名为“Administrator”的本地
12、用户,把它的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且的权限设置成最低,什么事也干不了的那种,并且加上一个超过加上一个超过10位的超级复杂密码位的超级复杂密码凤荫煮粹与骑居力袭剐役尹肌司哗洗奈蛇究非凯朔伊崩袁沽进恼罪批缝离操作系统安全操作系统安全Windows安全设置安全设置l目录和文件权限目录和文件权限l将其权限从将其权限从Everyone组改成授权用户组改成授权用户l关闭默认共享关闭默认共享l禁止禁止C$、D$一类的缺省共享一类的缺省共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparamete
13、rsAutoShareServer设为设为0l禁止禁止ADMIN$缺省共享缺省共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparametersAutoShareWks设为设为0l限制限制IPC$缺省共享缺省共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous设为设为1懊简蚤颂猪村遮袋致刊焉迂吱宋隙缸挑刮北廉岭垦须让沃嘴拦兆缅灶炒舒操作系统安全操作系统安全Windows安全设置安全设置l禁用禁用Guest账号账号l密码安全设置密
14、码安全设置l使用安全密码使用安全密码l设置屏幕保护密码设置屏幕保护密码l开启密码策略开启密码策略怯哎寇针愿苔裁媳陆痰姑匪蛰谆嘿捕窜院沃篆刹辕鹏沫斟娟盟枚局存奢目操作系统安全操作系统安全Windows安全设置安全设置l关闭不必要的端口关闭不必要的端口l只开放服务需要的端口与协议。只开放服务需要的端口与协议。具体方法为:按顺序打开具体方法为:按顺序打开“网上邻居网上邻居属性属性本地本地连接连接属性属性Internet协议协议属性属性高级高级选项选项TCP/IP筛选筛选属性属性”,添加需要的,添加需要的TCP、UDP端端口以及口以及IP协议即可。协议即可。废杖滦吏甲铅立豫凋驹够瓦滇猿赂谬寿证知耸嘉迈
15、疑侠师乳稽出魏鸿谴哩操作系统安全操作系统安全Windows安全设置安全设置l关闭不必要的服务关闭不必要的服务l只留必需的服务,多一些服务可能会给系统带来更多的安全因素。只留必需的服务,多一些服务可能会给系统带来更多的安全因素。如如Windows2000的的TerminalServices(终端服务)、(终端服务)、IIS(web服务)服务)、RAS(远程访问服务)等,这些都有产生漏洞的可能(远程访问服务)等,这些都有产生漏洞的可能l禁止建立空连接禁止建立空连接l默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜测密码。空连接用的端口
16、是测密码。空连接用的端口是139,通过空连接,可以复制文件到远,通过空连接,可以复制文件到远端服务器,计划执行一个任务,这就是一个漏洞。可以通过以下端服务器,计划执行一个任务,这就是一个漏洞。可以通过以下两种方法禁止建立空连接:两种方法禁止建立空连接:(1)修改注册表中修改注册表中Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous的值为的值为1。(2)修改修改Windows2000的本地安全策略。设置的本地安全策略。设置“本地安全策略本地安全策略本地策略本地策略选项选项”中的中的RestrictAnonymous(匿
17、名连接的额外限制)(匿名连接的额外限制)为为“不容许枚举不容许枚举SAM账号和共享账号和共享”。潍背郭摇史滑望解析巩高蜕什擅款赢惋稽颂跌期洋饲戊接桶谰酮举钮嘉瑞操作系统安全操作系统安全Windows安全设置安全设置l利用网络监听器利用网络监听器l启用安全日志审核启用安全日志审核lWindows缺省是关闭安全审核缺省是关闭安全审核l操作步骤为操作步骤为“控制面板控制面板”“管理工具管理工具”“本地安全本地安全策略策略”“本地策略本地策略”迟鲤豺常拂圭叙袖灾排慑提摩秽绪勋蹦泄兵混肿敲屠橱略遥胜谅鱼浸侨负操作系统安全操作系统安全Windows安全设置安全设置l安全日志文件:安全日志文件:l%syst
18、emroot%system32configSecEvent.EVTl系统日志文件:系统日志文件:l%systemroot%system32configSysEvent.EVTl应用程序日志文件:应用程序日志文件:l%systemroot%system32configAppEvent.EVT倡淌庇她绘隶道毡置负岔痢账揪羌冈靠慧奢御殷网绕刚伟暗给腹抒闹赌傀操作系统安全操作系统安全Windows安全设置安全设置lInternet信息服务信息服务FTP日志默认位置:日志默认位置:l%systemroot%system32logfilesmsftpsvc1lInternet信息服务信息服务WWW日志默认
19、位置:日志默认位置:l%systemroot%system32logfilesw3svc1lScheduler服务器日志默认位置:服务器日志默认位置:l%systemroot%schedlgu.txt聂薯部爬鹿啦逞坑鬼迫湖际矗著悼贤苗厘糖氖舍望蘑矾箭搅腰桃贫耍沮腐操作系统安全操作系统安全Windows安全设置安全设置l保护注册表的安全保护注册表的安全l物理安全物理安全鸣汤崔许极献好摘秧犬浊尚濒断涛尝秘伦拣边兑变翻撼假氛唉乏怀级镁达操作系统安全操作系统安全Windows安全设置安全设置l防止防止ICMP重定向报文的攻击重定向报文的攻击lHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersEnableICMPRedirect设为设为0l防止防止SYN洪水攻击洪水攻击lHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersSynAttackProtect设为设为2标侈恿晓晰炙亏锦赛帆家叭狼猾彭否莱似壁贱斜膝冲誓仪刃逮判梧刮侧满操作系统安全操作系统安全
