《网络操作系统安全》PPT课件

计算机网络管理与安全技术,主讲人匡芳君,2020年5月20日星期三,NETWORKSECURITY,2,课题内容：操作系统安全（一）教学目的：掌握WIN2003系统服务的配置方法掌握WIN2003常用进程的作用掌握WIN2003注册表的结构、值类型及应用教学方法：讲授法、任务驱动法、演示法重点：WIN2003系统服务的配置方法难点：WIN2003常用进程的作用课堂类型：讲授课教具：投影仪、多媒体设备,2020年5月20日星期三,NETWORKSECURITY,3,导入新课,1、防火墙的体系结构2、操作系统常用进程与服务,2020年5月20日星期三,NETWORKSECURITY,4,Windows2003,Windows2003原名是WindowsNT5.0，随着多种测试版本的发行，人们开始从各个侧面加深对它的认识。全新的界面、高度集成的功能、巩固的安全性、便捷的操作，都为计算机专业人员、普通用户带来莫大的惊喜Windows2003在界面、风格与功能上都具有统一性，是一种真正面向对象的操作系统，用户在操作本机的资源和远程资源时不会感到有什么不同,2020年5月20日星期三,NETWORKSECURITY,5,主要内容,操作系统安全基础Windows2003安全结构Windows2003文件系统安全Windows2003账号安全GPO的编辑活动目录安全性考察Windows2003缺省值的安全性评估Windows2003主机安全,2020年5月20日星期三,NETWORKSECURITY,6,8.1操作系统安全是系统安全的基础,各种应用软件均建立在操作系统提供的系统软件平台之上，上层的应用软件要想获得运行的高可靠性和信息的完整性、保密性，必须依赖于操作系统提供的系统软件基础。,2020年5月20日星期三,NETWORKSECURITY,7,操作系统安全级别,2020年5月20日星期三,NETWORKSECURITY,8,常见操作系统安全级别,2020年5月20日星期三,NETWORKSECURITY,9,常见威胁类型(一),2020年5月20日星期三,NETWORKSECURITY,10,常见威胁类型（二）,2020年5月20日星期三,NETWORKSECURITY,11,8.2Windows2003安全结构,安全六要素,2020年5月20日星期三,NETWORKSECURITY,12,8.2.2Windows2003安全组件（一）,灵活的访问控制Windows2003支持C2级标准要求的灵活访问控制对象重用Windows2003很明确地阻止所有的应用程序不可以访问被另应用程序使用所占用资源内的信息（比如内存或磁盘）,2020年5月20日星期三,NETWORKSECURITY,13,Windows2003安全组件（一）,强制登录Windows2003用户在能访问任何资源前必须通过登录来验证他们的身份,数据,访问,浏览,打印,服务,2020年5月20日星期三,NETWORKSECURITY,14,Windows2003安全组件（二）,审计因为Windows2003采用单独地机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动控制对象的访问Windows2003不允许直接访问系统里的资源，这种不许直接访问是允许访问控制的关键,2020年5月20日星期三,NETWORKSECURITY,15,8.2.4安全的组成部分（一）,安全标识符安全标识符（SID）是统计上地唯一的数组分配给所有的用户、组、和计算机。每次当一个新用户或组被建立的时候，它们都会接收到一个唯一的SID。每当Windows2003安装完毕并启动的时候，也会有一个新的SID分配给这台计算机。SID标识了用户、组和计算机的唯一性，不仅仅是在某台特定的电脑上还包括和其它计算机交互的时候。,2020年5月20日星期三,NETWORKSECURITY,16,安全的组成部分（二）,访问令牌访问令牌是由用户的SID、用户所属于组的SID、用户名、用户所在组的组名构成的。访问令牌就好比用户能够访问计算机资源的“入场券”。无论何时用户企图进行访问，都要向WindowsNT出示访问令牌。,2020年5月20日星期三,NETWORKSECURITY,17,安全的组成部分（三）,安全描述符WindowsNT内的每个对象都有一个安全描述符作为它们属性的一部分。安全描述符持有对象的安全设置。安全描述符是由对象属主的SID、组SID，灵活访问控制列表以及计算机访问控制列表。,2020年5月20日星期三,NETWORKSECURITY,18,安全的组成部分（四）,访问控制列表灵活访问控制列表里记录用户和组以及它们的相关权限，要么允许要么拒绝。访问控制条目每个访问控制条目（ACE）包含用户或组的SID及对对象所持有的权限。对象分配的每个权限都有一个ACE。访问控制条目有二种类型：允许访问或拒绝访问。在访问控制列表里拒绝访问ACE优先于允许访问。,2020年5月20日星期三,NETWORKSECURITY,19,8.2.5Windows2003安全机制（一）,帐号安全计算机帐户活动目录用户帐户,2020年5月20日星期三,NETWORKSECURITY,20,Windows2003安全机制（二）,文件系统安全NTFS文件系统使用关系型数据库、事务处理以及对象技术，以提供数据安全以及文件可靠性的特性。,2020年5月20日星期三,NETWORKSECURITY,21,Windows2003安全机制（三）,认证Kerberos5Kerberos是一种被证明为非常安全的双向身份认证技术。其身份认证强调了客户机对服务器的认证，而别的身份认证技术往往只解决了服务器对客户机的认证。Kerberos有效地防止了来自服务器端身份冒领的欺骗。,2020年5月20日星期三,NETWORKSECURITY,22,Windows2003安全机制（四）,NTLM认证Windows2003中仍然保留NTLM（NT-LanMan）认证，以便向后兼容。运行DOS、Windows3.x、Windows95、Windows98、WindowsNT3.5和WindowsNT4.0的客户仍然需要LM和NTLM支持。但LanManager中的哈希算法有漏洞。l0pht已经发布用于破解NT系统中SAM文件的工具l0phtcrack。Windows2003已支持新的更安全的认证协议NTLM2。,2020年5月20日星期三,NETWORKSECURITY,23,Windows2003安全机制（五）,ActiveDirectory管理员可以浏览活动目录，对域用户、用户组和网络资源进行管理可以通过活动目录指定局部管理员，每人以自己的安全性及许可权限进行管理分类,2020年5月20日星期三,NETWORKSECURITY,24,8.3Windows2003文件系统安全,2020年5月20日星期三,NETWORKSECURITY,25,NT有关权限的标准,2020年5月20日星期三,NETWORKSECURITY,26,NT共享权限列表,2020年5月20日星期三,NETWORKSECURITY,27,8.3.2文件系统类型,Fat16文件系统FAT文件系统最初用于小型磁盘和简单文件结构的简单文件系统。标准文件分配表（FAT），在计算机管理共享文件夹共享，在相应的共享文件夹上按右键，点停止共享即可，如图7-19所示。,2020年5月20日星期三,NETWORKSECURITY,79,3禁用Dump文件,在系统崩溃和蓝屏的时候，Dump文件是一份很有用资料，可以帮助查找问题。然而，也能够给黑客提供一些敏感信息，比如一些应用程序的密码等需要禁止它，打开控制面板系统属性高级启动和故障恢复，把写入调试信息改成无，如图7-20所示。,2020年5月20日星期三,NETWORKSECURITY,80,4文件加密系统,Windows2003强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。微软公司为了弥补WindowsNT4.0的不足，在Windows2003中，提供了一种基于新一代NTFS：NTFSV5（第5版本）的加密文件系统（EncryptedFileSystem，简称EFS）。EFS实现的是一种基于公共密钥的数据加密方式，利用了Windows2003中的CryptoAPI结构。,2020年5月20日星期三,NETWORKSECURITY,81,5加密Temp文件夹,一些应用程序在安装和升级的时候，会把一些东西拷贝到Temp文件夹，但是当程序升级完毕或关闭的时候，并不会自己清除Temp文件夹的内容。所以，给Temp文件夹加密可以给你的文件多一层保护。,2020年5月20日星期三,NETWORKSECURITY,82,6锁住注册表,在Windows2003中，只有Administrators和BackupOperators才有从网络上访问注册表的权限。当帐号的密码泄漏以后，黑客也可以在远程访问注册表，当服务器放到网络上的时候，一般需要锁定注册表。修改Hkey_current_user下的子键SoftwaremicrosoftwindowscurrentversionPoliciessystem把DisableRegistryTools的值该为0，类型为DWORD，如图7-21所示。,2020年5月20日星期三,NETWORKSECURITY,83,7关机时清除文件,页面文件也就是调度文件，是Windows2003用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中可能含有另外一些敏感的资料。要在关机的时候清楚页面文件，可以编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键：SYSTEMCurrentControlSetControlSessionManagerMemoryManagement把ClearPageFileAtShutdown的值设置成1，如图7-22所示。,2020年5月20日星期三,NETWORKSECURITY,84,8禁止软盘光盘启动,一些第三方的工具能通过引导系统来绕过原有的安全机制。比如一些管理员工具，从软盘上或者光盘上引导系统以后，就可以修改硬盘上操作系统的管理员密码。如果服务器对安全要求非常高，可以考虑使用可移动软盘和光驱，把机箱锁起来仍然不失为一个好方法。,2020年5月20日星期三,NETWORKSECURITY,85,9使用智能卡,对于密码，总是使安全管理员进退两难，容易受到一些工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。,2020年5月20日星期三,NETWORKSECURITY,86,10使用IPSec,正如其名字的含义，IPSec提供IP数据包的安全性。IPSec提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。,2020年5月20日星期三,NETWORKSECURITY,87,11禁止判断主机类型,黑客利用TTL（Time-To-Live，活动时间）值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。许多入侵者首先会Ping一下主机，因为攻击某一台计算机需要根据对方的操作系统，是Windows还是Unix。如过TTL值为128就可以认为你的系统为Windows2003，如图7-23所示。,2020年5月20日星期三,NETWORKSECURITY,88,从图中可以看出，TTL值为128，说明该主机的操作系统是Windows2003操作系统。表7-6给出了一些常见操作系统的对照值。,2020年5月20日星期三,NETWORKSECURITY,89,修改TTL的值，入侵者就无法入侵电脑了。比如将操作系统的TTL值改为111，修改主键HKEY_LOCAL_MACHINE的子键：SYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERS新建一个双字节项，如图7-24所示。,2020年5月20日星期三,NETWORKSECURITY,90,在键的名称中输入“defaultTTL”，然后双击改键名，选择单选框“十进制”，在文本框中输入111，如图7-25所示。,2020年5月20日星期三,NETWORKSECURITY,91,设置完毕重新启动计算机，再用Ping指令，发现TTL的值已经被改成111了，如图7-26所示。,2020年5月20日星期三,NETWORKSECURITY,92,12抵抗DDOS,添加注册表的一些键值，可以有效的抵抗DDOS的攻击。在键值HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters下增加响应的键及其说明如表7-7所示。,2020年5月20日星期三,NETWORKSECURITY,93,13禁止Guest访问日志,在默认安装的WindowsNT和Windows2003中，Guest帐号和匿名用户可以查看系统的事件日志，可能导致许多重要信息的泄漏，修改注册表来禁止Guest访问事件日志。禁止Guest访问应用日志HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplication下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为1。系统日志：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSystem下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为1。安全日志HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSecurity下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为1。,2020年5月20日星期三,NETWORKSECURITY,94,14数据恢复软件,当数据被病毒或者入侵者破坏后，可以利用数据恢复软件可以找回部分被删除的数据，在恢复软件中一个著名的软件是EasyRecovery。软件功能强大，可以恢复被误删除的文件、丢失的硬盘分区等等。软件的主界面如图7-26所示。,2020年5月20日星期三,NETWORKSECURITY,95,比如原来在E盘上有一些数据文件，被黑客删除了，选择左边栏目“DataRecovery”，然后选择左边的按钮“AdvancedRecovery”，如图7-28所示。,2020年5月20日星期三,NETWORKSECURITY,96,进入AdvancedRecovery对话框后，软件自动扫描出目前硬盘分区的情况，分区信息是直接从分区表中读取出来的，如图7-29所示。,2020年5月20日星期三,NETWORKSECURITY