第章操作系统安全策略

1、第2章 操作系统安全与策略 本章学习目标了解操作系统的安全性。掌握Windows2000中的用户安全和管理策略。掌握Windows2000的文件访问权限及其策略。掌握Windows2000中的资源审计。 本章要点内容Windows2000中的用户安全和管理策略Windows2000的文件访问权限及其策略Windows2000中的资源审计 2.1 2.1 操作系统安全概述操作系统安全概述 2.2 Windows20002.2 Windows2000安全概述安全概述 2.3 Windows20002.3 Windows2000的用户安全和管理策略的用户安全和管理策略 2.4 NTFS2.4 NTF

2、S文件和文件夹的存取控制文件和文件夹的存取控制 2.5 2.5 使用审核资源使用审核资源 2.6 Windows20002.6 Windows2000的安全应用的安全应用2.1 操作系统安全概述 2.1.1 操作系统安全 2.1.2 操作系统的安全机制 2.1.3 操作系统的安全策略 2.1.4 操作系统的漏洞和威胁1系统安全不允许未经核准的用户进入系统，从而可以防止他人非法使用系统的资源是系统安全管理的任务。主要采取的手段有注册和登录。注册：指系统设置一张注册表，记录了注册用户名和口令等信息，使系统管理员能掌握进入系统的用户情况，并保证用户名在系统中的唯一性。登录：指用户每次使用时，首先要核

3、对用户和口令，核查用户的合法性。2用户安全操作系统中，用户安全管理,是为用户分配文件“访问权限” 而设计。用户对文件访问权限的大小，是根据用户分类、需求和文件属性来分配的。可以对文件定义建立、删除、打开、读、写、查询和修改的访问权限。2.1.1 操作系统安全3资源安全 资源安全是通过系统管理员或授权的资源用户对资源属性的设置，来控制用户对文件、打印机等的访问。 4通信网络安全 网络中信息有存储、处理和传输三个主要操作，其中传输中受到的安全威胁最大。用户身份验证和对等实体鉴别访问控制数据完整性防抵赖审计 操作系统的安全机制主要有身份鉴别机制、访问控制和授权机制和加密机制。 1身份鉴别机制 身份鉴

4、别机制是大多数保护机制的基础。分为内部和外部身份鉴别两种。 外部身份鉴别机制是为了验证用户登录系统的合法性，关键是口令的保密。 内部身份鉴别机制用于确保进程身份的合法性。2.1.2 操作系统的安全机制 2访问控制和授权机制 访问控制是确定谁能访问系统（鉴别用户和进程），能访问系统何种资源（访问控制）以及在何种程度上使用这些资源（授权）。授权：即规定系统可以给哪些主体（一种能访问对象的活动实体，如人、进程或设备）访问何种客体的特权。确定访问权限，并授权和实施：即规定以读或写，或执行，或增加，或删除的方式进行访问。 3加密机制 加密是将信息编码成像密文一样难解形式的技术. 安全策略是安全策略是指在

5、一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。根据组织现实要求所制定的一组经授权使用计算机及信息资源的规则，它的目标是防止信息安全事故的影响降为最小，保证业务的持续性，保护组织的资源，防范所有的威胁。2.1.3 操作系统的安全策略 制定安全策略是通常可从以下两个方面来考虑:1 物理安全策略物理安全策略包括以下几个方面： 一是为了保护计算机系统、网络服务器、打印机等硬件实体和通信链路，以免受自然灾害、人为破坏和搭线攻击； 二是验证用户的身份和使用权限，防止用户越权操作； 三是确保计算机系统有一个良好的电磁兼容工作环境； 四是建立完备的安全管理制度，防止非法进入计算机控制室和各种

6、偷窃、破坏活动的发生。 2 访问控制策略访问控制是对要访问系统的用户进行识别，并对访问权限进行必要的控制。访问控制策略是维护计算机系统安全、保护其资源的重要手段。访问控制的内容有入网访问控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制等。另外，还有加密策略、防火墙控制策略等。 1口令策略：口令的控制（口令不允许显示、限制措施、口令的更换、最短口令长度等）、口令的检查、口令的安全存储 2访问控制与授权策略 3系统监控和审计策略 （1）建立并保存事件记录 （2）对系统使用情况进行监控 1）以操作系统为手段，获得授权以外或未授权的信息。它危害计算机

7、及其信息系统的保密性和完整性。例如，“特洛伊木马”、“逻辑炸弹”等都是如此。 2）以操作系统为手段，阻碍计算机系统的正常运行或用户的正常使用。 3）以操作系统为对象，破坏系统完成指定的功能。除了计算机病毒破坏系统运行和用户正常使用外，还有一些人为因素，如干扰、设备故障和误操作也会影响软件的正常运行。 4）以软件为对象，非法复制和非法使用。 5）以操作系统为手段，破坏计算机及其信息系统的安全，窃听或非法获取系统的信息。2.1.4 操作系统的漏洞和威胁2.2 Windows 2000安全概述 2.2.1 安全登录 2.2.2 访问控制 2.2.3 安全审计 2.2.4 WINDOWS2000的安全

8、策略2.2.1 安全登陆1. Windows 系统登录 Windows 要求每一个用户提供唯一的用户名和口令来登录到计算机上，这种强制性登录过程不能关闭。 强制性登录和使用CTRL+ALT+DEL组合键启动登录,优势:用以确定用户身份的合法性, 确定用户的身份从而确定用户对系统资源的访问权限。在强制登录期间，挂起对用户模式程序的访问，防止创建或偷窃用户帐户和口令的应用程序。入侵者可能模仿一个Windows的登录界面，然后让用户进行登录从而获得用户登录名和相应的密码，使用CTRL+ALT+DEL会造成用户程序被终止，而真正的登录程序可由CTRL+ALT+DEL启动，来阻止这种欺骗行为。允许用户具

9、有单独的配置，包括桌面和网络连接，这些配置在用户退出时自动保存，在用户登录后自动调出。多个用户可以使用同一台机器，并且仍然具有他们自己的专用设置。成功的登录过程有4个步骤：（1）Win 32的WinLogon过程给出一个对话框，要求要有一个用户名和口令，这个信息被传递给安全性账户管理程序。（2）安全性账户管理程序查询安全性账户数据库，以确定指定的用户名和口令是否属于授权的系统用户。（3）如果访问是授权的，安全性系统构造一个存取令牌，并将它传回到Win 32的 WinLogin过程。（4）WinLogin调用Win 32子系统，为用户创建一个新的进程，传递存取令牌给子系统，Win 32对新创建的

10、过程连接此令牌。2. 账户锁定为了防止有人企图强行闯入系统中，用户可以设定最大登录次数，如果用户在规定次数内未成功登录，则系统会自动被锁定，不可能再用于登录。 3. Windows 全性标识符（SID）在安全系统上标识一个注册用户的唯一名字，它可以用来标识一个用户或一组用户。例如：s-1-5-21-76965814-1898335404-322544488-1001 SID是唯一的数值，即用于代表一个用户的SID在以后应该永远不会被另一个用户，用户用一个用户信息、时间、日期和域信息的结合体来创建。在同一台计算机上，可以创建相同的用户帐户名，而每个对应的SID是唯一。 要求在允许用户访问系统之前

11、，输入惟一的登录标识符和密码来标识自己。安全特性有： （1）用户帐号 （2）组 （3）Kerberos 身份验证协议2.2.2 访问控制 允许资源的所有者决定哪些用户可以访问资源和他们可以如何处理这些资源。所有者可以授权给某个用户或一组用户，允许他们进行各种访问。安全特性有： 1）活动目录： 2）NTFS的权限。 3）共享文件访问许可。 4）分布式文件系统。2.2.3 安全审计 提供检测和记录与安全性有关的任何创建、访问或删除系统资源的事件或尝试的能力。登录标识符记录所有用户的身份，这样便于跟踪任何执行非法操作的用户。 1）审计资源的使用。 2）监控网络资源的访问行为。2.2.4 WINDOW

12、S2000的安全策略 1Windows 2000安全策略的内容 安全策略主要包括如下3个方面：本地安全策略，域安全策略，域控制器安全策略。 （1）本地组策略 使用这些对象，组策略设置可以存储在个人计算机上，无论这些计算机是否为Active Directory环境或网络环境的一部分。 （2）域安全策略和域控制器安全策略 域安全策略和域控制器安全策略应用于域内，针对站点、域或组织单位设置组策略. 域安全策略与域控制器安全策略的配置内容相似。 2.3 WINDOWS2000 的用户安全和管理策略 2.3.1 用户账户和组 2.3.2 WINDOWS 2000系统的用户账户的管理 2.3.3 Wind

13、ows 2000组管理与策略2.3.1 用户账户和组 在网络环境中，用户帐户能用来保证系统安全，防止用户非法使用计算机资源。 用户帐号最重要的组成部分是用户名和密码。 1用户帐户 （1）用户帐号的类型 在Windows 2000中有两种用户帐户：本地用户帐户和域用户帐户。 （2）内置用户帐户 1）Administrator帐户 2）Guest帐户 2组 组是用户帐户的集合。通过组能够极大地简化用户帐户的管理任务。 2.3.2 WINDOWS 2000系统的用户账户的管理 1管理的基本内容 为使管理过程合理化和实现适当的安全措施，在管理用户账户时应考虑如下5个问题： 1）命名约定：确立了在网络上

14、如何识别用户。用户帐户名称既是用户在网络上的唯一身份，又是用户登录网络或计算机系统的标识。 2）密码要求：为了保护对域或计算机资源的访问 。 3）登录时间与站点限制； 4）主文件夹的位置：存储用户的文件和程序的文件夹。 5）配置文件的设置：包含用户自行设置的工作环境。 2设置账户策略 为了增强用户账户密码的安全性和有效性，Windows2000将账户密码的设置作为安全策略之一提供给管理员。 帐户策略设置的对象是系统上的所有帐户。 设置的方法是使用组策略编辑器中的账户策略设置功能，账户策略包括账户的密码策略：密码最长存留期（密码的有效期限）、密码最短存留期（不允许用户频繁更换密码）、最小密码长度

15、、强制密码历史（避免用户在短时间内重复使用相同的密码）、复杂性要求、用户必须登录以更改密码。账户的锁定策略：用来设置用户注册失败时的处理动作。Kerberos策略：服务器与客户及服务器到服务器的相互身份验证方法。 （1）密码策略 密码策略中的设置是有关密码的设置，如图所示，密码策略包括下列6项限制。 1）密码最长存留期:设置用户密码的有效期限 2）密码最短存留期：密码最短存留期限制不允许用户频繁更换密码，默认设置0表示用户可以任何时候更换密码。 3）最小密码长度：这是设置用户所使用的密码的最小长度。4）强制密码历史：该项设置的目的是为了避免用户在短时间内重复使用相同的密码，默认情况下系统不会记

16、录密码历史，允许用户不断使用相同的密码。 5）密码必须符合安装的密码筛选器的复杂性要求。 6）用户必须登录以更改密码。 （2）账户锁定策略 账户锁定是用来设置用户注册失败时的处理动作。在下图中的账户锁定区中，如果选择了账户不锁定策略的话，系统将对用户的失败注册不做任何处理。为了防止他人猜中用户的密码，建议使用账户锁定功能。2.3.3 Windows 2000组管理与策略 1 Windows 2000组的形式 从组的使用领域分为本地组、全局组和通用组三种形式。 （1）本地组：在Professional和成员服务器中使用本地组，本地组给用户访问本地计算机上的资源提供权限。 （2）全局组：全局组主要

17、是用来组织用户，也就是将多个网络访问权类似的用户账户加人到同一个全局组内。 （3）通用组：主要用于指定对多个域中相关资源的访问权限。 2Windows 2000组的规划 建立组应按照下面准则进行： 1）根据用户的公共需求，逻辑上将用户组织起来； 2）在用户账户驻留的每个域中，为每个用户的逻辑组建立一个全局组，然后将适当的用户账户添加到适当的全局组中； 3）资源访问需求为依据建立本地组； 4）为本地组分配适当的权限； 5） 将全局组添加到本地组中。 6）作出组账户的规划表。 将组的信息列表，建立组账户规划表，既便于清楚组及其关系，又有利于检查和审计组账户的内容。2.4 NTFS文件和文件夹的存取

18、控制 2.4.1 Windows 2000中的NTFS权限 4.4.2 在在NTFSNTFS下用户的有效权限下用户的有效权限 4.4.3 NTFS权限的规划 2.4.4 共享文件和文件夹的存取控制 2.4.1 Windows 2000中的NTFS权限 NTFS（New Technology File Systetm 新技术文件系统）是微软专为Windows NT操作环境所设计的文件系统，并且广泛应用在Windows NT操作环境环境所设计的文件系统，并且广泛应用在Windows NT的后续版本Windows 2000与Windows XP中。与Windows系统过去使用的FAT/FAT32格式

19、的文件系统相比，NTFS具有如下优势。 1）长文件名支持 2）对文件目录的安全控制。 3）先进的容错能力。 4）不易受到病毒和系统崩溃的侵袭。. （1）NTFS文件权限的类型 NTFS文件权限共有5种类型 :读取写入读取及运行修改完全控制 （2）NTFS文件夹权限的类型 Windows 2000中，NTFS文件夹的权限的类型有6种：读取、写入、列出文件夹目录 、读取及运行 、修 改 、完全控制 4.4.2 在NTFS下用户的有效权限 以下是用户有效权限的使用规则：1权限是累积的:一个用户的总体是所有准许用户使用或访问一个对象的权限的总和.2拒绝权限会覆盖所有其他的权限3文件权限会覆盖文件夹权限

20、2.4.3 NTFS权限的规划 规划NTFS权限要考虑以下问题： （1）对资源是建立本地组，还是使用内置本地组? （2）确定文件或文件夹需要什么权限，以及将它们分配给谁。 1）对于程序文件夹，将“完全控制”权限分配给Administrators组和升级或调试软件的组。将“读取”权限分配给Users组。 2）对于数据文件夹，只将“完全控制”权限分配给Administrators组和所属权(Owner)组，为Users组分配“写入和读取”权限。 3）应用% username % 自动将用户账户名分配给主文件夹，并自动将NTFS权限“完全控制”分配给各用户。2.4.4 共享文件和文件夹的存取控制 1

21、 共享文件夹的概念 所谓共享文件夹，就是给定适当权限后，用户可以通过网络来访问的文件和文件夹。 2 共享文件夹的权限 为了控制用户对共享文件夹的访问，可以利用共享文件夹的权限进行。共享文件夹的权限规定了用户可以对共享文件夹进行的操作。 3 共享文件夹的规划 在开始设置共享文件夹之前，需要对共享文件夹进行规划，以保证共享文件夹的安全与有效。 2.5 使用资源审核 2.5.1 审核事件 2.5.2 事件查看器 2.5.3 使用审核资源2.5.1 审核事件 审核功能用于跟踪用户访问资源的行为与Windows 2000的活动情况，这些行为或活动，称为事件，会被记录到日志文件内，利用“事件查看器”可以查

22、看这些被记录的审核数据。 在Windows 2000中，可以被审核并记录在安全日志中的事件类型有： 1）审核策略更改； 2）审核登录事件； 3）审核对象访问； 4）审核过程追踪； 5）审核目录服务访问； 6）审核特权使用； 7）审核系统事件； 8）审核账户登录事件； 9）审核账户管理；2.5.2 事件查看器 1 查看事件记录 可以通过以下两种方法来启动“事件查看器”： （1）用鼠标右键单击桌面上的“我的电脑” “管理”“系统工具” “事件查看器”； （2）“开始” “程序” “管理工具” “事件查看器”。 2 设置日志文件的大小 可以针对每个日志文件（系统、安全、应用程序等）来更改其设置，例如

23、，日志文件容量的大小等。 3筛选事件日志中的事件 如果日志文件内的事件太多，造成不易查找事件时，可以利用筛选事件的方式，让它只显示特定的事件. 4 存储日志文件的格式 存储日志文件的格式可以是以下3种形式： 1）事件日志，其扩展名为.evt 。 2）文本（以制表符分隔） ，其扩展名为txt。 3）CSV（逗号分隔） ，其扩展名为csv。2.5.3 使用审核资源 1 制定审核策略 制定审核策略时主要考虑以下问题； （1）确定要审核的事件类型，如：1）访问网络资源，如文件、文件夹或打印机等。2）用户登录和注销。3）关闭和重新启动运行Windows 2000 Server的计算机。4）修改用户账户和

24、组。 （2）确定审核成功的事件还是审核失败的事件，或者两者都审核。推荐的审核是：1）账户管理：成功、失败；2）登录事件：成功、失败；3）对象访问：失败；4）策略更改：成功、失败；5）特权使用：失败；6）系统事件：成功、失败；7）目录服务访问：失败；8）账户登录事件：成功、失败。2.6 WINDOWS2000的安全应用 在应用Windows 2000 Server操作系统的过程中，应对Windows 2000 Server操作系统进行安全地配置与应用，主要从下面几点出发。 1服务器的安全 服务器应该安放在安装有监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱、键盘、电脑桌抽屉

25、要上锁，以确保即使旁人进入房间也无法使用计算机，钥匙要放在安全的地方。 2用户安全设置 （1）禁用Guest账号 在计算机管理的用户里面将Guest账号禁用。 （2）限制不必要的用户去掉所有的Duplicate User用户、测试用户、共享用户等等。 （3）创建两个或多个管理员账号创建一个一般权限用户，用来收信并处理一些日常事务，另一个拥有Administrators权限的用户只在需要的时候使用。 （4）将系统Administrator账号改名 （5）创建一个陷阱用户陷阱用户就是创建一个名为“Administrator”的本地用户，把它的权限设置成最低，并且加上一个超过10位的超级复杂密码。

26、（6）将共享文件的权限从Everyone组改成授权用户任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印机，默认的属性就是“Everyone”组的，一定不要忘了改。 （7）开启用户策略使用用户策略，分别设置复位用户锁定计数器时间为20 min，用户锁定时间为20 min，锁定阈值为3次。 （8）不让系统显示上次登录的用户名 （9）密码安全设置 3应用程序安全策略创建一个只有系统管理员才有访问及运行权限的目录，将%system%system32目录下的网络应用程序及对文件、目录、注册表操作的文件移到新建的目录中。 4使用syskey.exe对系统口令数据库存进行加密SAM加密算

27、法强度不够，使得密码很容易就被入侵者猜出来。syskey.exe是WindowsNT4.0从sp3开始提供的小工具，它对账号数据库提供附加保护，防止Crack 工具直接提取用户信息。 5删除%system%repair目录是系统保存SAM备份文件的目录,通过破解此文件,入侵者就能获得主机上的用户名和口令信息。并且此备份文件不会被系统锁定，任何时候都能对它进行复制和编辑。 6审计日志 7扫描程序评估一个系统的安全与否最基本的方法就是使用扫描程序。 8口令攻击程序 口令攻击程序并不完全只是一种安全威胁，也可以是一个有用的工具。 9防火墙 10日志及审计工具 12安全恢复 11建立好的安全恢复机制（

28、1）创建系统紧急修复盘（2）定期将系统中的重要数据进行备份本章小结 操作系统是信息系统最基本、最关键的系统软件，它为用户及其应用程序和硬件之间提供了一个接口，对计算机的有效、合理使用，对资源的管理和保护是十分重要的。 操作系统的安全表现在系统安全、用户安全、资源安全和通信安全等方面，其保证机制就是用户身份验证、授权访问和审计。 本章主要讲述了操作系统的安全性及安全配置，Windows 2000 server中的用户管理及其策略，Windows 2000 server中的文件访问权限及其策略，Windows 2000 server中的资源审计。本章作业1.将P79的填空题和选择题做在书上.2.书

29、面作业P80 1、2、3KerberosKerberos认证服务认证服务 是美国麻省理工学院（MIT）开发的一种身份鉴别服务。 “Kerberos”的本意是希腊神话中守护地狱之门的守护者。 Kerberos提供了一个集中式的认证服务器结构，认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。 Kerberos建立的是一个实现身份认证的框架结构。 其实现采用的是对称密钥加密技术，而未采用公开密钥加密。 公开发布的Kerberos版本包括版本4和版本5。 Kerberos 的设计目标 安全性 能够有效防止攻击者假扮成另一个合法的授权用户。 可靠性 分布式服务器体系结构，提供相互备份。 对用户透

30、明性 可伸缩 能够支持大数量的客户和服务器。Kerberos的设计思路（1） 基本思路：使用一个（或一组）独立的认证服务器（AS Authentication Server），来为网络中的客户提供身份认证服务； 认证服务器 (AS)，用户口令由 AS 保存在数据库中；AS 与每个服务器共享一个惟一保密密钥（已被安全分发）。会话过程：(1) C AS: IDC （用户的标识符）| PC （用户口令）| IDV （服务器的标识符）(2) AS C: Ticket(3) C V : IDC | Ticket Ticket = EKVIDC | ADC | IDV客户网络地址：防止攻击者从另一台工作站

31、上冒充用户CKerberos的设计思路 （2）问题：用户希望输入口令的次数最少。口令以明文传送会被窃听。解决办法 票据重用（ticket reusable）。 引入票据许可服务器（TGS - ticket-granting server） 用于向用户分发服务器的访问票据； 认证服务器 AS 并不直接向客户发放访问应用服务器的票据，而是由 TGS 服务器来向客户发放。Kerberos中的票据 两种票据服务许可票据（Service granting ticket） 是客户访问服务器时需要提供的票据； 用 TicketV 表示访问应用服务器 V 的票据。 TicketV 定义为 EKv IDCADCIDVTS2