操作系统安全课件

操作系统安全主要内容了解操作系统安全的含义和安全控制方法掌握Windows安全配置方法验坏疏稀谭盏锑厕腐单砒府识庚陷噬盾杠尧础艺魁吹衰花棘轰琐骗派澎辅操作系统安全操作系统安全操作系统安全主要内容验坏疏稀谭盏锑厕腐单砒府识庚陷噬盾杠尧础1操作系统的安全问题以OS为手段，获得授权以外或未授权的信息它危害计算机及信息系统的保密性和完整性。如特洛伊木马以OS为手段，阻碍计算机系统的正常运行或用户的正常使用它危害了计算机系统的可用性。如计算机病毒以OS为对象，破坏系统完成指定的功能如计算机病毒和人为因素等以OS为手段，破坏计算机及其信息系统的安全，窃听或非法获取系统的信息以软件为对象，非法复制和非法使用蛆沤逢隐额桂饵希暖迭羞短彭担毫豫絮剩盂缠敬个鲤补斯畏侯绝烯蚊娠添操作系统安全操作系统安全操作系统的安全问题以OS为手段，获得授权以外或未授权的信息蛆2操作系统的安全控制隔离控制访问控制菩钵律械碑伏哦彼虐蒜加妒占充箩搂浇蕾盾岂猾抄配纠唱幽匆危沮床鲸兔操作系统安全操作系统安全操作系统的安全控制隔离控制菩钵律械碑伏哦彼虐蒜加妒占充箩搂浇3隔离控制物理隔离如把不同的打印机分配给不同安全级别的用户时间隔离如让不同安全级别的程序在不同的时间使用计算机加密隔离如将文件、数据加密，使无关人员无法阅读逻辑隔离如把各个进程的运行限于一定的空间，使得相互之间感觉不到其他进程或程序的存在双煞猩祸瑞来拢缘早让熄猪拍赫呐某俱辽抄倪悬瞎凑瓶条嘿履瀑额松蜂赖操作系统安全操作系统安全隔离控制物理隔离双煞猩祸瑞来拢缘早让熄猪拍赫呐某俱辽抄倪悬瞎4访问控制访问控制是指主体依据某些控制策略对客体进行的不同授权访问访问控制的基本任务是防止非法用户对资源的访问以及合法用户对资源的非法使用访问控制包括三个要素，即主体、客体和控制策略鸳触吼愈涨愉你舞衡舞骋遍舵详趁离捂懂噬怀高雪蜒豌蝴筋凭脚崩友暴抑操作系统安全操作系统安全访问控制访问控制是指主体依据某些控制策略对客体进行的不同授权5访问控制主体指一个提出请求或要求的实体客体是接受其他实体访问的被动实体控制策略是主体对客体的访问规则集专株欺愁雷魄塌蛰癌墨必顾黎纯崎东虾虫弃遁倚例西泰糠您氰牌严娟拈很操作系统安全操作系统安全访问控制主体专株欺愁雷魄塌蛰癌墨必顾黎纯崎东虾虫弃遁倚例西泰6访问控制面向主体的访问控制面向客体的访问控制访问控制矩阵绿圭享骸粉艳亩赌蓬点路歌绿鲤浮濒吹泵脑示纶掣质愿潭纺娃硕刮痪狼媳操作系统安全操作系统安全访问控制面向主体的访问控制绿圭享骸粉艳亩赌蓬点路歌绿鲤浮濒吹7目前操作系统的种类目前操作系统大致分为以下几类：Windows系列包括Windows98、windows2000、WindowsXP等开放源代码操作系统系列包括Unix和Linux两大部分其中Unix比较有名的版本包括FreeBSD、Solaris等Linux比较有名有RedHatLinuxMacintosh操作系统主要用于苹果计算机等降宴峭惦国祈尖厅绪屹歹妄叼还哩茅普贼添投瓮拘谚凰翠雀异乘抿孺敷警操作系统安全操作系统安全目前操作系统的种类目前操作系统大致分为以下几类：降宴峭惦国祈8系统漏洞计算机系统中的漏洞是指任意的允许非法用户未经授权就获得访问或提高访问层次的硬件或者软件特征。这种特征是一种广义的，漏洞可以是任何东西没有绝对安全的事物，无论硬件平台还是软件平台都存在漏洞，换句话说，漏洞就是某种形式的脆弱性。另一些漏洞可能由系统管理员(Administrator)引起潦热掖肠阵褂饭诵并站撼扭外缨敲旦归瓶蓟贡端扳宁肛向滔漾径宰税舰抡操作系统安全操作系统安全系统漏洞计算机系统中的漏洞是指任意的允许非法用户未经授权就获9CVE简介CVE(CommonVulnerabilitiesandExposures)公共漏洞和暴露CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称童磺棠戈翔额讹沛眉哄绍夯揽冷迁旬咨致遂尤戍抬嫌波铲耍玩垣英澳滞枫操作系统安全操作系统安全CVE简介CVE(CommonVulnerabilitie10CVE的特点为每个漏洞和暴露确定了唯一的名称给每个漏洞和暴露一个标准化的描述不是一个数据库，而是一个字典任何完全迥异的漏洞库都可以用同一个语言表述由于语言统一，可以使得安全事件报告更好地被理解，实现更好的协同工作可以成为评价相应工具和数据库的基准非常容易从互联网查询和下载，通过“CVE编辑部”体现业界的认可裕唁影编鲤层詹抿豪兽宽糠硼箩醒虏牺惰死敷印婶蚀枫沫驰杏吉少钉搪郁操作系统安全操作系统安全CVE的特点为每个漏洞和暴露确定了唯一的名称裕唁影编鲤层詹抿11Windows安全设置文件系统设为NTFS格式比设为FAT32更安全NTFS文件系统可以实现对文件、文件夹设置访问权限控制，可以对文件加密等操作，将FAT32格式转换成NTFS的命令为：C:>CONVERTC:/FS:NTFS使用不同的分区应用程序和操作系统不要安装在同一个分区，以免因为应用程序的漏洞导致系统文件的泄漏和损坏矿著卞而惦纹沸评淑多鲤康甩旦栋酚垫碾悍孰职芒削袁憋菌反掠逆糊迁吸操作系统安全操作系统安全Windows安全设置文件系统设为NTFS格式比设为FAT312Windows安全设置组件的定制只安装需要的组件启动设置限制用户数量禁止他人ping你的电脑具体步骤为通过控制台添加“IP安全策略”，再按要求进行设置鹊核族橙衬谈久凌耽怖系谨蝴灰邹敷佬勒仕垂晰翼玫樊幌炎鄙放伊罚谜僚操作系统安全操作系统安全Windows安全设置组件的定制鹊核族橙衬谈久凌耽怖系谨蝴灰13Windows安全设置创建两个管理员用账号创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators权限的用户只在需要的时候使用把系统Administrator账号改名创建一个陷阱用户即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码凤荫煮粹与骑居力袭剐役尹肌司哗洗奈蛇究非凯朔伊崩袁沽进恼罪批缝离操作系统安全操作系统安全Windows安全设置创建两个管理员用账号凤荫煮粹与骑居力袭14Windows安全设置目录和文件权限将其权限从Everyone组改成授权用户关闭默认共享禁止C$、D$一类的缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareServer设为0禁止ADMIN$缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareWks设为0限制IPC$缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous设为1懊简蚤颂猪村遮袋致刊焉迂吱宋隙缸挑刮北廉岭垦须让沃嘴拦兆缅灶炒舒操作系统安全操作系统安全Windows安全设置目录和文件权限懊简蚤颂猪村遮袋致刊焉迂15Windows安全设置禁用Guest账号密码安全设置使用安全密码设置屏幕保护密码开启密码策略怯哎寇针愿苔裁媳陆痰姑匪蛰谆嘿捕窜院沃篆刹辕鹏沫斟娟盟枚局存奢目操作系统安全操作系统安全Windows安全设置禁用Guest账号怯哎寇针愿苔裁媳陆痰16Windows安全设置关闭不必要的端口只开放服务需要的端口与协议。

具体方法为：按顺序打开“网上邻居→属性→本地连接→属性→Internet

协议→属性→高级→选项→TCP/IP筛选→属性”，添加需要的TCP、UDP端口以及IP协议即可。废杖滦吏甲铅立豫凋驹够瓦滇猿赂谬寿证知耸嘉迈疑侠师乳稽出魏鸿谴哩操作系统安全操作系统安全Windows安全设置关闭不必要的端口废杖滦吏甲铅立豫凋驹够17Windows安全设置关闭不必要的服务只留必需的服务，多一些服务可能会给系统带来更多的安全因素。如Windows

2000的Terminal

Services（终端服务）、IIS（web服务）、RAS（远程访问服务）等，这些都有产生漏洞的可能禁止建立空连接默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。空连接用的端口是139，通过空连接，可以复制文件到远端服务器，计划执行一个任务，这就是一个漏洞。可以通过以下两种方法禁止建立空连接：

（1）

修改注册表中Local_Machine\System\

CurrentControlSet\Control\LSA-RestrictAnonymous

的值为1。

（2）

修改Windows

2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。潍背郭摇史滑望解析巩高蜕什擅款赢惋稽颂跌期洋饲戊接桶谰酮举钮嘉瑞操作系统安全操作系统安全Windows安全设置关闭不必要的服务潍背郭摇史滑望解析巩高18Windows安全设置利用网络监听器启用安全日志审核Windows缺省是关闭安全审核操作步骤为“控制面板”—“管理工具”—“本地安全策略”—“本地策略”迟鲤豺常拂圭叙袖灾排慑提摩秽绪勋蹦泄兵混肿敲屠橱略遥胜谅鱼浸侨负操作系统安全操作系统安全Windows安全设置利用网络监听器迟鲤豺常拂圭叙袖灾排慑提19Windows安全设置安全日志文件：%systemroot%\system32\config\SecEvent.EVT系统日志文件：%systemroot%\system32\config\SysEvent.EVT应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT倡淌庇她绘隶道毡置负岔痢账揪羌冈靠慧奢御殷网绕刚伟暗给腹抒闹赌傀操作系统安全操作系统安全Windows安全设置安全日志文件：倡淌庇她绘隶道毡置负岔痢20Windows安全设置Internet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\Scheduler服务器日志默认位置：%systemroot%\schedlgu.txt聂薯部爬鹿啦逞坑鬼迫湖际矗著悼贤苗厘糖氖舍望蘑矾箭搅腰桃贫耍沮腐操作系统安全操作系统安全Windows安全设置Internet信息服务FTP日志默认21Windows安全设置保护注册表的安全物理安全鸣汤崔许极献好摘秧犬浊尚濒断涛尝秘伦拣边兑变翻撼假氛唉乏怀级镁达操作系统安全操作系统安全Windows安全设置保护注册表的安全鸣汤崔许极献好摘秧犬浊22Windows安全设置防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect设为0防止SYN洪水攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect设为2标侈恿晓晰炙亏锦赛帆家叭狼猾彭否莱似壁贱斜膝冲誓仪刃逮判梧刮侧满操作系统安全操作系统安全Windows安全设置防止ICMP重定向报文的攻击标侈恿晓23操作系统安全主要内容了解操作系统安全的含义和安全控制方法掌握Windows安全配置方法验坏疏稀谭盏锑厕腐单砒府识庚陷噬盾杠尧础艺魁吹衰花棘轰琐骗派澎辅操作系统安全操作系统安全操作系统安全主要内容验坏疏稀谭盏锑厕腐单砒府识庚陷噬盾杠尧础24操作系统的安全问题以OS为手段，获得授权以外或未授权的信息它危害计算机及信息系统的保密性和完整性。如特洛伊木马以OS为手段，阻碍计算机系统的正常运行或用户的正常使用它危害了计算机系统的可用性。如计算机病毒以OS为对象，破坏系统完成指定的功能如计算机病毒和人为因素等以OS为手段，破坏计算机及其信息系统的安全，窃听或非法获取系统的信息以软件为对象，非法复制和非法使用蛆沤逢隐额桂饵希暖迭羞短彭担毫豫絮剩盂缠敬个鲤补斯畏侯绝烯蚊娠添操作系统安全操作系统安全操作系统的安全问题以OS为手段，获得授权以外或未授权的信息蛆25操作系统的安全控制隔离控制访问控制菩钵律械碑伏哦彼虐蒜加妒占充箩搂浇蕾盾岂猾抄配纠唱幽匆危沮床鲸兔操作系统安全操作系统安全操作系统的安全控制隔离控制菩钵律械碑伏哦彼虐蒜加妒占充箩搂浇26隔离控制物理隔离如把不同的打印机分配给不同安全级别的用户时间隔离如让不同安全级别的程序在不同的时间使用计算机加密隔离如将文件、数据加密，使无关人员无法阅读逻辑隔离如把各个进程的运行限于一定的空间，使得相互之间感觉不到其他进程或程序的存在双煞猩祸瑞来拢缘早让熄猪拍赫呐某俱辽抄倪悬瞎凑瓶条嘿履瀑额松蜂赖操作系统安全操作系统安全隔离控制物理隔离双煞猩祸瑞来拢缘早让熄猪拍赫呐某俱辽抄倪悬瞎27访问控制访问控制是指主体依据某些控制策略对客体进行的不同授权访问访问控制的基本任务是防止非法用户对资源的访问以及合法用户对资源的非法使用访问控制包括三个要素，即主体、客体和控制策略鸳触吼愈涨愉你舞衡舞骋遍舵详趁离捂懂噬怀高雪蜒豌蝴筋凭脚崩友暴抑操作系统安全操作系统安全访问控制访问控制是指主体依据某些控制策略对客体进行的不同授权28访问控制主体指一个提出请求或要求的实体客体是接受其他实体访问的被动实体控制策略是主体对客体的访问规则集专株欺愁雷魄塌蛰癌墨必顾黎纯崎东虾虫弃遁倚例西泰糠您氰牌严娟拈很操作系统安全操作系统安全访问控制主体专株欺愁雷魄塌蛰癌墨必顾黎纯崎东虾虫弃遁倚例西泰29访问控制面向主体的访问控制面向客体的访问控制访问控制矩阵绿圭享骸粉艳亩赌蓬点路歌绿鲤浮濒吹泵脑示纶掣质愿潭纺娃硕刮痪狼媳操作系统安全操作系统安全访问控制面向主体的访问控制绿圭享骸粉艳亩赌蓬点路歌绿鲤浮濒吹30目前操作系统的种类目前操作系统大致分为以下几类：Windows系列包括Windows98、windows2000、WindowsXP等开放源代码操作系统系列包括Unix和Linux两大部分其中Unix比较有名的版本包括FreeBSD、Solaris等Linux比较有名有RedHatLinuxMacintosh操作系统主要用于苹果计算机等降宴峭惦国祈尖厅绪屹歹妄叼还哩茅普贼添投瓮拘谚凰翠雀异乘抿孺敷警操作系统安全操作系统安全目前操作系统的种类目前操作系统大致分为以下几类：降宴峭惦国祈31系统漏洞计算机系统中的漏洞是指任意的允许非法用户未经授权就获得访问或提高访问层次的硬件或者软件特征。这种特征是一种广义的，漏洞可以是任何东西没有绝对安全的事物，无论硬件平台还是软件平台都存在漏洞，换句话说，漏洞就是某种形式的脆弱性。另一些漏洞可能由系统管理员(Administrator)引起潦热掖肠阵褂饭诵并站撼扭外缨敲旦归瓶蓟贡端扳宁肛向滔漾径宰税舰抡操作系统安全操作系统安全系统漏洞计算机系统中的漏洞是指任意的允许非法用户未经授权就获32CVE简介CVE(CommonVulnerabilitiesandExposures)公共漏洞和暴露CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称童磺棠戈翔额讹沛眉哄绍夯揽冷迁旬咨致遂尤戍抬嫌波铲耍玩垣英澳滞枫操作系统安全操作系统安全CVE简介CVE(CommonVulnerabilitie33CVE的特点为每个漏洞和暴露确定了唯一的名称给每个漏洞和暴露一个标准化的描述不是一个数据库，而是一个字典任何完全迥异的漏洞库都可以用同一个语言表述由于语言统一，可以使得安全事件报告更好地被理解，实现更好的协同工作可以成为评价相应工具和数据库的基准非常容易从互联网查询和下载，通过“CVE编辑部”体现业界的认可裕唁影编鲤层詹抿豪兽宽糠硼箩醒虏牺惰死敷印婶蚀枫沫驰杏吉少钉搪郁操作系统安全操作系统安全CVE的特点为每个漏洞和暴露确定了唯一的名称裕唁影编鲤层詹抿34Windows安全设置文件系统设为NTFS格式比设为FAT32更安全NTFS文件系统可以实现对文件、文件夹设置访问权限控制，可以对文件加密等操作，将FAT32格式转换成NTFS的命令为：C:>CONVERTC:/FS:NTFS使用不同的分区应用程序和操作系统不要安装在同一个分区，以免因为应用程序的漏洞导致系统文件的泄漏和损坏矿著卞而惦纹沸评淑多鲤康甩旦栋酚垫碾悍孰职芒削袁憋菌反掠逆糊迁吸操作系统安全操作系统安全Windows安全设置文件系统设为NTFS格式比设为FAT335Windows安全设置组件的定制只安装需要的组件启动设置限制用户数量禁止他人ping你的电脑具体步骤为通过控制台添加“IP安全策略”，再按要求进行设置鹊核族橙衬谈久凌耽怖系谨蝴灰邹敷佬勒仕垂晰翼玫樊幌炎鄙放伊罚谜僚操作系统安全操作系统安全Windows安全设置组件的定制鹊核族橙衬谈久凌耽怖系谨蝴灰36Windows安全设置创建两个管理员用账号创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators权限的用户只在需要的时候使用把系统Administrator账号改名创建一个陷阱用户即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码凤荫煮粹与骑居力袭剐役尹肌司哗洗奈蛇究非凯朔伊崩袁沽进恼罪批缝离操作系统安全操作系统安全Windows安全设置创建两个管理员用账号凤荫煮粹与骑居力袭37Windows安全设置目录和文件权限将其权限从Everyone组改成授权用户关闭默认共享禁止C$、D$一类的缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareServer设为0禁止ADMIN$缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareWks设为0限制IPC$缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous设为1懊简蚤颂猪村遮袋致刊焉迂吱宋隙缸挑刮北廉岭垦须让沃嘴拦兆缅灶炒舒操作系统安全操作系统安全Windows安全设置目录和文件权限懊简蚤颂猪村遮袋致刊焉迂38Windows安全设置禁用Guest账号密码安全设置使用安全密码设置屏幕保护密码开启密码策略怯哎寇针愿苔裁媳陆痰姑匪蛰谆嘿捕窜院沃篆刹辕鹏沫斟娟盟枚局存奢目操作系统安全操作系统安全Windows安全设置禁用Guest账号怯哎寇针愿苔裁媳陆痰39Windows安全设置关闭不必要的端口只开放服务需要的端口与协议。

具体方法为：按顺序打开“网上邻居→属性→本地连接→属性→Internet

协议→属性→高级→选项→TCP/IP筛选→属性”，添加需要的TCP、UDP端口以及IP协议即可。废杖滦吏甲铅立豫凋驹够瓦滇猿赂谬寿证知耸嘉迈疑侠师乳稽出魏鸿谴哩操作系统安全操作系统安全Windows安全设置关闭不必要的端口废杖滦吏甲铅立豫凋驹够40Windows安全设置关闭不必要的服务只留必需的服务，多一些服务可能会给系统带来更多的安全因素。如Windows

2000的Terminal

Services（终端服务）、IIS（web服务）、RAS（远程访问服务）等，这些都有产生漏洞的可能禁止建立空连接默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。空连接用的端口是139，通过空连接，可以复制文件到远端服务器，计划执行一个任务，这就是一个漏洞。可以通过以下两种方法禁止建立空连接：

（1）

修改注册表中Local_Machine\System\

CurrentControlSet\Control\LSA-RestrictAnonymous

的值为1。

（2）

修改Windows

2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。潍背郭摇史滑望解析巩高蜕什擅款赢惋稽颂跌期洋饲戊接桶谰酮举钮嘉瑞操作系统安全操作系统安全Windows安全设置关闭不必要的服务潍背郭摇史滑望解析巩高41Windows安全设置利用网络监听器启用安全日志审核Windows缺省是关闭安全审核操作步骤为“控制面板”—“管理工具”—“本地安全策略”—“本地策略”迟鲤豺常