《操作系统安全》课件.ppt

国际安全评价标准的发展及其联系,国际安全评价标准的发展及其联系,国际安全评价标准的发展及其联系,国际安全评价标准的发展及其联系,D级是最低的安全级别，拥有这个级别的操作系统是完全不可信任的。对于硬件来说，是没有任何保护措施的，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何账户都可以进入系统，不受任何限制可以访问他人的数据文件。,国际安全评价标准的发展及其联系,C1是C类的一个安全子级。这种级别的系统对硬件有某种程度的保护，如用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性，从而对不同的用户授予不通的访问权限。,国际安全评价标准的发展及其联系,使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组，授予他们访问某些程序的权限或访问特定的目录。,国际安全评价标准的发展及其联系,B级中有三个级别，B1级即标志安全保护（Labeled Security Protection），是支持多级安全（例如：秘密和绝密）的第一个级别，这个级别说明处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限,国际安全评价标准的发展及其联系,B2级，又叫结构保护级别（Structured Protection），它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别,国际安全评价标准的发展及其联系,B3级，又叫做安全域级别（Security Domain），使用安装硬件的方式来加强域的安全，例如，内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上,国际安全评价标准的发展及其联系,A级，又称验证设计级别（Verified Design），是当前橙皮书的最高级别，它包含了一个严格的设计、控制和验证过程。该级别包含了较低级别的所有的安全特性设计必须从数学角度上进行验证，而且必须进行秘密通道和可信任分布分析。可信任分布（Trusted Distribution）的含义是：硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统,我国安全标准简介,它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。,我国安全标准简介,除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。,我国安全标准简介,除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护,我国安全标准简介,在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力,我国安全标准简介,这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动,安全操作系统的基本特征,安全操作系统的基本特征,最小特权原则1）最小特权原则是系统安全中最基本的原则之一，它限制了使用者对系统及数据进行存取所需要的最小权限，既保证了用户能够完成所操作的任务，同时也确保非法用户或异常操作所造成的损失最小。2）所谓最小特权（Least Privilege），指的是在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权。最小特权原则，则是指应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。,安全操作系统的基本特征,强制访问控制（MAC）用来保护系统确定的对象，对此对象用户不能进行更改。即系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或对象的安全属性。这样的访问控制规则通常对数据和用户按照安全等级划分标签，访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。在强制访问控制系统中，所有主体（用户，进程）和客体（文件，数据）都被分配了安全标签，安全标签标识一个安全等级。,安全操作系统的基本特征,安全操作系统的基本特征,自主访问控制（DAC）自主访问控制是对某个客体具有拥有权（或控制权）的主体能够将对该客体的一种访问权或多种访问权自主地授予其它主体，并在随后的任何时刻将这些权限回收。通常DAC通过授权列表（或访问控制列表）来限定哪些主体针对哪些客体可以执行什么操作,安全操作系统的基本特征,自主访问控制（DAC）自主访问控制中，用户可以针对被保护对象制定自己的保护策略。每个主体拥有一个用户名并属于一个组或具有一个角色每个客体都拥有一个限定主体对其访问权限的访问控制列表（ACL）每次访问发生时都会基于访问控制列表检查用户标志以实现对其访问权限的控制强制访问控制和自主访问控制有时会结合使用。,安全操作系统的基本特征,访问控制模型Bell-LaPadula(BLP)安全模型对主体和客体按照强制访问控制系统的哲学进行分类，这种分类方法一般应用于军事用途。数据和用户被划分为以下安全等级,安全操作系统的基本特征,访问控制模型BLP 保密模型基于两种规则来保障数据的机秘度与敏感度：上读(NRU),主体不可读安全级别高于它的数据下写(NWD),主体不可写安全级别低于它的数据,安全操作系统的基本特征,安全审计对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计，记录所有发生的事件，提供给系统管理员作为系统维护以及安全防范的依据。,安全操作系统的基本特征,安全审计主要作用有以下几个方面：1.对潜在的攻击者起到震慑和警告的作用;2.对于已经发生的系统破坏行为提供有效的追究证据;3.为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞;4.为系统管理员提供系统的统计日志，使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。TCSEC规定了对于安全审计系统的一般要求，包括记录与再现、入侵检测、记录入侵行为、威慑作用、系统本身的安全性这5个方面。,安全操作系统的基本特征,安全域隔离功能1）安全域是指在其中实施认证、授权和访问控制的安全策略的计算环境。2）当用户安装和配置操作系统时，就创建成为管理域的初始安全域。,Windows 2003的安全设置,Windows 2003的安全设置,对端口137139的TCP和UDP连接Say NO,Windows 2003的安全设置,Windows 2003的认证机制1.“单点登录（SSO）是用户认证和授权的单一行为可以允许一位用户访问他的访问许可中包含的所有电脑和系统，而不要输入多个密码的机制。2.单点登录的优点：对用户而言减少混乱，提高工作效率；对管理员而言只需为每个用户分配一个账户,Windows 2003的安全设置,Windows 2003的认证机制1.交互式登录1)用户通过相应的用户账号)和密码在本机进行登录。2)在交互式登录时，系统会首先检验登录的用户账号类型，是本地用户账号(Local User Account)，还是域用户账号(Domain User Account)，再采用相应的验证机制。因为不同的用户账号类型，其处理方法也不同。2.网络身份认证1)网络身份认证确认用户对于试图访问的任意网络服务的身份。,Windows 2003的安全设置,1.域用户帐号用户访问域的唯一凭证，在域控制器中建立，作为活动目录的一个对象保存在域的数据库中。2.本地用户帐号该帐号只能建立在windows 2003独立服务器上，以控制用户对该计算机资源的访问。,Windows 2003的安全设置,3.内置的用户帐号Administrator帐号Guest帐号4.帐号命名约定1）域用户帐号的登录名在活动目录中必唯一2）域用户帐号的完全名称在创建该用户帐号的域中必须唯一3）本地用户帐号在创建该帐号的计算机上必须唯一4）如果用户名有重复，应该在帐号上区别出来。,Windows 2003的安全设置,Windows 2003文件系统安全1.安装windows 2003确认文件系统格式为NTFS；2.NTFS权限及使用原则1）权限最大原则当一个用户同时属于多个组，而这些组又有可能被赋予对某种资源的不同访问权限，则该用户对该资源最终有效权限是将所有的权限加在一起。例如：假设现在“zhong”用户既属于“A”用户组，也属于“B”用户组，它在A用户组的权限是“读取”，在“B”用户组中的权限是“写入”，那么根据累加原则，“zhong”用户的实际权限将会是“读取+写入”两种。,Windows 2003的安全设置,Windows 2003文件系统安全2.NTFS权限及使用原则2）文件权限超越文件夹权限原则当用户或组对某个文件夹以及该文件夹下面的文件有不同的访问权限时，用户访问该文件夹下的文件不受文件夹权限的限制，而只受被赋予的文件权限的限制。,Windows 2003的安全设置,Windows 2003文件系统安全2.NTFS权限及使用原则3）权限继承性原则假设现在有个“DOC”目录，在这个目录中有“DOC01”、“DOC02”、“DOC03”等子目录，现在需要对DOC目录及其下的子目录均设置“shyzhong”用户有“写入”权限。因为有继承性原则，所以只需对“DOC”目录设置“shyzhong”用户有“写入”权限，其下的所有子目录将自动继承这个权限的设置。,Windows 2003的安全设置,Windows 2003文件系统安全2.NTFS权限及使用原则4）拒绝权限超越其他权限原则当用户对某个资源有拒绝权限时，该权限覆盖其他任何权限，即在访问该资源的时候只有拒绝权限是有效的。,Windows 2003的安全设置,3.NTFS权限的应用NTFS权限有两大要素：一是标准访问权限；二是特别访问权限。前者将一些常用的系统权限选项比较笼统地组成6种“套餐型”的权限，即：完全控制、修改、读取和运行、列出文件夹目录、读取、写入。,Windows 2003的安全设置,3.NTFS权限的应用只想赋予某用户有建立文件夹的权限，却没有建立文件的权限；如只能删除当前目录中的文件，却不能删除当前目录中的子目录的权限怎么办？特别权限,Windows 2003的安全设置,假设现在需要对一个名为“网络管理与安全”的目录赋予“zhong”用户对其具有“读取”、“建立文件和目录”的权限，基于安全考虑，又决定取消该账户的“删除”权限。,Windows 2003的安全设置,假设现在需要对一个名为“网络管理与安全”的目录赋予“zhong”用户对其具有“读取”、“建立文件和目录”的权限，基于安全考虑，又决定取消该账户的“删除”权限。,Windows 2003的安全设置,Windows 2003的安全设置,Windows 2003的安全设置,Windows 2003的安全设置,Windows 2003的安全设置,4.共享权限(Shared Permission)共享的文件夹存在于NTFS分区中，它将同时具有NTFS权限与共享权限，系统中对权限的具体实施将以两种权限中的“较严格的权限”为准。,Windows 2003的安全设置,5.资源复制或移动时权限的变化与处理1）在同一个NTFS分区之间移动文件或文件夹：保留在原位置的一切NFTS的权限，即权限不变。2）在不同NTFS分区之间移动文件或文件夹：文件和文件夹会继承目的分区中文件夹的权限3）在同一个NTFS分区之间复制文件或文件夹：继承目的位置中文件夹的权限4）在不同NTFS分区之间复制文件或文件夹：继承目的位置中的文件夹的权限。,Windows 2003的安全设置,Windows文件保护1.WFP在系统文件遭到意外删除，或在安装/卸载应用程序时被无意识破坏后，利用备份文件恢复windows系统。2.初次安装windows时，部分以dll、exe、fon、ocx、sys和tff结尾的文件将被WFP标识为重要系统文件，并在dllcache文件夹下为这些文件备份。3.几种升级的常用方法：1）安装windows服务组件2）升级windows系统3）运行hotfix.exe4）使用winnt32运行系统的安装/升级程序,Windows 2003的安全设置,1.生成由伪随机数组成的文件密钥2.利用FEK和数据扩展标准X算法创建加密后文件3.将加密后的FEK存储在同一个加密文件,Windows 2003的安全设置,EFS加密的好处 EFS加密机制和操作系统紧密结合，因此我们不必为了加密数据安装额外的软件，这节约了我们的使用成本 其次，EFS加密系统对用户是透明的。,Windows 2003的安全设置,Windows 2003的安全设置,注意事项1.把未加密的文件复制到具有加密属性的文件夹中，这些文件将会被自动加密。2.将加密数据移出来，如果移动到NTFS分区上，数据依旧保持加密属性;如果移动到FAT分区上，这些数据将会被自动解密。3.被EFS加密过的数据不能在Windows 中直接共享。4.通过网络传输经EFS加密过的数据在网络上将会以明文的形式传输。5.NTFS分区上保存的数据还可以被压缩，不过一个文件不能同时被压缩和加密。6.Windows的系统文件和系统文件夹无法被加密。,Windows 2003的安全设置,Windows 2003的安全设置,Windows 2003的安全设置,Windows 2003的安全设置,Windows 2003的安全设置,Windows 2003的安全设置,重装操作系统之后找到之前导出的pfx文件，鼠标右键点击，并选择“安装PFX”，之后会出现一个导入向导，按照导入向导的提示完成操作，而之前加密的数据也就全部可以正确打开。,Windows 2003的安全设置,常用的安全配置组件-本地安全策略,Windows 2003的安全设置,常用的安全配置组件-组策略,实验三 Windows操作系统的安全设置,(1)被他人盗取密码；(2)系统被木马攻击；(3)浏览网页时被恶意的java scrpit程序攻击；(4)QQ被攻击或泄漏信息；(5)病毒感染；(6)系统存在漏洞使他人攻击自己;(7)黑客的恶意攻击。,(1)删除不必要的共享，防范IPC默认共享；(2)利用IP安全策略关闭危险端口；(3)管理工具的使用；(4)文件加密系统的应用；(5)对计算机中重要的文件要及时备份；(6)系统扫描工具的使用;,实验三 Windows操作系统的安全设置,默认共享$,实验三 Windows操作系统的安全设置,查看本地共享资源,实验三 Windows操作系统的安全设置,实验三 Windows操作系统的安全设置,实验三 Windows操作系统的安全设置,键值设为1,实验三 Windows操作系统的安全设置,开放的端口,实验三 Windows操作系统的安全设置,关闭139端口,实验三 Windows操作系统的安全设置,新建一个SMBDeviceEnabled DWORD值，类型为REG_DWORD，键值为0,实验三 Windows操作系统的安全设置,终端服务更注重用户的登录管理权限，每次连接都需要当前系统的一个具体登录ID，且相互隔离，并独立于当前计算机用户的邀请，可以独立、自由登录远程计算机。远程协助允许用户在使用计算机发生困难时，向MSN上的好友发出远程协助邀请，来帮助解决问题。,实验三 Windows操作系统的安全设置,屏蔽闲置的端口,实验三 Windows操作系统的安全设置,服务策略禁用服务,实验三 Windows操作系统的安全设置,审核策略帮助用户发现非法入侵者的一举一动，还可以作为用户将来追查黑客的依据,实验三 Windows操作系统的安全设置,安全选项作为增强windows安全的最佳做法，同时也为攻击者设置更多的障碍以减少对windows的攻击的重要系统安全工具,实验三 Windows操作系统的安全设置,启动安全模板运行-mmc-添加/删除管理单元-安全模板和安全设置和分析,实验三 Windows操作系统的安全设置,用户权利指派策略,实验三 Windows操作系统的安全设置,账户锁定策略,实验三 Windows操作系统的安全设置,关闭自动运行功能运行gpedit.msc,