CISP0205操作系统安全课件

操作系统安全培训机构名称讲师名称版本：3.0发布日期：2014-12-1生效日期：2015-1-1操作系统安全培训机构名称版本：3.0课程内容2操作系统与数据库安全知识体知识域操作系统安全知识子域Windows系统安全机制操作系统安全概述Linux系统安全机制安全操作系统数据库安全课程内容2操作系统与数据库安全知识体知识域操作系统安全知识子知识域：操作系统安全知识子域：操作系统安全概念了解操作系统的作用与功能了解操作系统的主要安全设计机制理解操作系统的安全配置要点3知识域：操作系统安全知识子域：操作系统安全概念3操作系统的功能用户与计算机硬件之间的接口操作系统为用户提供了虚拟计算机，把硬件的复杂性与用户隔离计算机系统的资源管理者CPU管理存储管理设备管理文件管理网络与通信管理用户接口4硬件：CPU、内存、硬盘、网络硬件等内核系统调用接口用户进程操作系统的功能用户与计算机硬件之间的接口4硬件：CPU、内存操作系统安全目标操作系统安全目标标识系统中的用户和进行身份鉴别依据系统安全策略对用户的操作进行访问控制，防止用户和外来入侵者对计算机资源的非法访问监督系统运行的安全性保证系统自身的安全和完整性5操作系统安全目标操作系统安全目标5操作系统安全机制（一）标识与鉴别用户身份合法性鉴别操作系统登录访问控制防止对资源的非法使用限制访问主体对访问客体的访问权限DAC、MAC、RBAC最小特权管理限制、分割用户、进程对系统资源的访问权限“必不可少的”权限6操作系统安全机制（一）标识与鉴别6操作系统安全机制（二）信道保护正常信道的保护可信通路（TrustedPath）安全键（SAK）7操作系统安全机制（二）信道保护7操作系统安全机制（三）安全审计对系统中有关安全的活动进行记录、检查以及审核审计一般是一个独立的过程内存存取保护进程间/系统进程内存保护段式保护、页式保护和段页式保护文件系统保护分区文件共享文件备份8操作系统安全机制（三）安全审计8知识域：操作系统安全知识子域：Windows系统安全机制理解Windows系统标识与鉴别、访问控制、用户账户控制、安全审计、文件系统的安全机制和安全策略掌握Windows系统的安全配置方法9知识域：操作系统安全知识子域：Windows系统安全机制9Windows系统标识与鉴别-安全主体安全主体类型用户帐户本地用户域用户组帐户everyone组network组计算机服务10Windows系统标识与鉴别-安全主体安全主体类型10Windows系统标识与鉴别-安全标识安全标识符（SecurityIdentifier，SID）安全主体的代表（标识用户、组和计算机账户的唯一编码）范例：S-1-5-21-1736401710-1141508419-1540318053-100011Windows系统标识与鉴别-安全标识安全标识符（SecurWindows系统标识与鉴别-用户鉴别12账户信息管理机制登录验证本地登录验证远程登录验证Windows系统标识与鉴别-用户鉴别12账户信息管理机制Windows用户身份鉴别帐号信息存储（SAM:安全账号管理）运行期锁定、存储格式加密仅对system帐号有权限，通过服务进行访问控制Windows用户身份鉴别：本地登录GINA（GraphicalIdentificationandAuthentication:图形化识别和验证)LSA（LocalSecurityAuthority：本地安全授权）13SAM账户信息库GINALSAWindows用户身份鉴别帐号信息存储（SAM:安全账号管理Windows系统身份鉴别：远程登录远程登录鉴别协议SMB（ServerMessageBlock）:口令明文传输LM（LANManager）：口令哈希传输，强度低NTLM（NTLANManager）：提高口令散列加密强度、挑战/响应机制Kerberos：为分布网络提供单一身份验证14Windows系统身份鉴别：远程登录远程登录鉴别协议14Windows系统访问控制-ACL访问控制列表（AccessControlList，ACL）NTFS文件系统支持权限存储流文件系统中自主访问控制灵活性高，安全性不高15Windows系统访问控制-ACL访问控制列表（AccessWindows系统访问控制-用户账户控制用户帐户控制（UserAccountControl，UAC）完全访问令牌标准受限访问令牌16Windows系统访问控制-用户账户控制用户帐户控制（UseWindows文件系统安全NTFS文件系统权限控制（ACL）文件、文件夹、注册表键值、打印机等对象安全加密EFS(EFS(EncryptingFileSystem)Windows内置，与文件系统高度集成对windows用户透明对称与非对称算法结合Bitlocker对整个操作系统卷加密解决设备物理丢失安全问题17Windows文件系统安全NTFS文件系统权限控制（ACL）Windows系统审计机制Windows日志系统应用程序安全设置应用程序和服务日志应用访问日志FTP访问日志IIS访问日志18Windows系统审计机制Windows日志18Windows系统安全策略账户策略密码策略账户锁定策略本地策略审核策略用户权限分配安全选项……19Windows系统安全策略账户策略19Windows系统安全配置1、安全配置前置工作2、账号安全设置3、关闭自动播放4、远程访问控制5、本地安全策略6、服务运行安全设置7、使用第三方安全增强软件20Windows系统安全配置1、安全配置前置工作20Windows安全设置1-前置工作安全的安装分区设置：不要只使用一个分区系统补丁：SP+Hotfix补丁更新设置：检查更新自动下载安装或手动21Windows安全设置1-前置工作安全的安装21Windows安全配置2-账号安全设置账号安全设置系统账号策略设置账号安全选项设置22Windows安全配置2-账号安全设置账号安全设置22账号安全设置-保护账号安全默认管理账户administrator更名设置“好”的口令自己容易记、别人不好猜不安全口令实例：ZAQ!@WSXzaq12wsx安全口令实例:WdSrS1Y28r!23一句话“我的生日是1月28日!”Wdsrs1y28rWdSrS1Y28r!稍作变形：单数字母大写，最后加个感叹号账号安全设置-保护账号安全默认管理账户administrat账号安全设置-系统账号策略密码策略：避免系统出现弱口令密码必须符合复杂性要求密码长度最小值密码最短使用期限密码最长使用期限强制密码历史用可还原的加密来存储密码24账号安全设置-系统账号策略密码策略：避免系统出现弱口令24账号安全设置-账号锁定策略账号锁定策略：应对口令暴力破解账号锁定时间账号锁定阀值重置账号锁定计数器25账号安全设置-账号锁定策略账号锁定策略：应对口令暴力破解25账号权限控制-用户权限分配用户权限分配从网络访问这台计算机拒绝从网络访问这台计算机管理审核和安全日志从远程系统强制关机26账号权限控制-用户权限分配用户权限分配26账户权限控制-设置唤醒密码设置唤醒计算机时的登录密码设置屏幕保护恢复时的登录密码27账户权限控制-设置唤醒密码设置唤醒计算机时的登录密码27Windows安全配置3-自动播放功能的威胁为方便用户而设计恶意代码借助移动存储介质传播的方式28Windows安全配置3-自动播放功能的威胁为方便用户而设计Windows安全配置-关闭自动播放关闭自动播放功能可以有效阻断U盘病毒的传播路径29Windows安全配置-关闭自动播放关闭自动播放功能29Windows全配置4-远程访问控制网络访问控制共享安全防护30Windows全配置4-远程访问控制网络访问控制30网络访问控制-防火墙设置确保启用Windows自带防火墙31网络访问控制-防火墙设置确保启用Windows自带防火墙31网络访问控制-防火墙高级配置出站规则入站规则连接安全规则监视防火墙连接安全规则安全关联32网络访问控制-防火墙高级配置出站规则32共享安全防护-共享安全风险IPC$的安全问题（空会话连接导致信息泄露）管理共享风险(远程文件操作)普通共享的风险（远程文件操作）33系统用户列表用户信息共享列表……空会话连接共享安全防护-共享安全风险IPC$的安全问题（空会话连接导致共享安全防护-关闭管理共享空会话连接控制本地安全策略设置中对匿名访问的限制关闭管理共享：修改注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters34共享安全防护-关闭管理共享空会话连接控制34Windows安全设置5-本地安全策略审核策略用户权限分配安全选项……35Windows安全设置5-本地安全策略审核策略35本地安全策略-安全选项管理工具→本地安全策略→安全设置→本地策略→安全选项交互式登录：无须按Ctrl+Alt+Del，设置为已禁用交互式登录：不显示最后的用户名，设置为已启用设备：将CD-ROM的访问权限仅限于本地登录的用户，设置为已启用36本地安全策略-安全选项管理工具→本地安全策略→安全设置→本地本地安全策略-安全选项管理工具→本地安全策略→安全设置→本地策略→安全选项网络访问：不允许SAM账号的匿名枚举，设置为已启用网络访问：可匿名访问的共享，删除策略设置里的值网络访问：可匿名访问的命名管道，删除策略设置里的值网络访问：可远程访问的注册表路径，删除策略设置里的值37本地安全策略-安全选项管理工具→本地安全策略→安全设置→本地Windows安全配置6-服务运行安全Windows服务（windowsservice)Windows服务程序是一个长时间运行的可执行程序，不需要用户的交互，也不需要用户登录38Windows安全配置6-服务运行安全Windows服务（w服务运行安全设置-关闭不必要的服务关闭不需要的服务计划任务远程操作注册表……控制服务权限System(本地系统)LocalServiceNetworkService39服务运行安全设置-关闭不必要的服务关闭不需要的服务39Windows安全配置7-第三方安全软件防病毒软件安全防护软件40Windows安全配置7-第三方安全软件防病毒软件40安装防病毒软件安装病毒防护软件恶意代码是终端安全的最大威胁确保病毒防护软件病毒库更新病毒防护软件主要工作机制：特征码扫描开启云查杀41安装防病毒软件安装病毒防护软件41系统安全防护软件系统安全保护软件影子系统主机入侵检测42系统安全防护软件系统安全保护软件42知识域：操作系统安全43知识子域：Linux系统安全机制理解Linux系统标识与鉴别、访问控制、安全审计、文件系统、特权管理的安全机制掌握Linux系统的安全配置方法知识域：操作系统安全43知识子域：Linux系统安全机制Linux系统标识与鉴别-安全主体安全主体用户：身份标识（UserID）组：身份标识（GroupID）用户与组基本概念文件必须有所有者用户必须属于某个或多个组用户与组的关系灵活（一对多、多对多等都可以）根用户拥有所有权限44Linux系统标识与鉴别-安全主体安全主体44Linux系统标识与鉴别-帐号信息存储信息存储用户信息：/etc/passwd/etc/shadow组信息/etc/group/etc/gshadow45Linux系统标识与鉴别-帐号信息存储信息存储45用户信息文件-passwd用于存放用户信息（早期包括使用不可逆DES算法加密形成用户密码散列）特点文本格式全局可读存储条目格式name:coded-passwd:UID:GID:userinfo:homedirectory:shell条目例子demo:x:523:100:J.demo:/home/demo:/bin/sh46用户名早期：密码散列X:代替密码散列*:账号不可交互登录用户ID用户所属组ID用户信息用户目录用户登录后使用的shell用户信息文件-passwd用于存放用户信息（早期包括使用不可用户帐号影子文件-shadow用于存放用户密码散列、密码管理信息等特点文本格式仅对root可读可写存储条目格式name:passwd:lastchg:min:max:warn:inactive:expire:flag条目例子#root:$1$acQMceF9:13402:0:99999:7:::47用户登录名及加密的用户口令上次修改口令日期口令两次修改最小天数及最大天数口令失效前多少天向用户警告被禁止登录前还有效天数帐号被禁止登录时间保留域用户帐号影子文件-shadow用于存放用户密码散列、密码管理Linux系统身份鉴别口令鉴别本地登录远程登录（telnet、FTP等）主机信任（基于证书）PAM（Pluggable

Authentication

Modules,可插拔验证模块）48……PAMAPI……logintelnetSSHLinuxKerberosS/keyPAMSPILinux系统身份鉴别口令鉴别48PAMAPI……logiLinux系统访问控制-权限模式文件/目录权限基本概念权限类型：读、写、执行权限表示方式：模式位drwxr-xr-x3rootroot1024Sep1311:58test49文件类型：d为文件夹-是文件文件拥有者的权限（U）文件拥有者所在组其他用户的权限（G）系统中其他用户权限（O）链接数文件拥有者UID文件拥有者GID文件大小最后修改时间文件名Linux系统访问控制-权限模式文件/目录权限基本概念49文Linux系统访问控制-权限模式权限的数字表示法权限的特殊属性

SUID、SGID、Sticky（防删除）50-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd^SUID程序Linux系统访问控制-权限模式权限的数字表示法50-r-sLinux系统安全审计-日志系统系统日志类型连接时间日志/var/log/wtmp和/var/run/utmp由多个程序执行，记录用户登录时间进程统计由系统内核执行，为系统基本服务提供命令使用统计错误日志/var/og/messages由syslogd守护记录，制定注意的事项应用程序日志应用程序如（HTTP、FTP）等创建的日志51Linux系统安全审计-日志系统系统日志类型51Linux文件系统文件系统类型日志文件系统：Ext4、Ext3、Ext2、ReiserFS、XFS、JFS等文件系统安全访问权限文件系统加密eCryptfs（EnterpriseCryptographicFilesystem）基于内核，安全性高，用户操作便利加密元数据写在每个加密文件的头部，方便迁移，备份52Linux文件系统文件系统类型52文件系统目录结构53/homebinprocusrbootlibdevetcvarftpljwlinuxbinlibmantmpliblogrunspooltmp文件系统目录结构53/homebinprocLinux系统的特权管理特权划分分割管理权限，30多种管理特权根用户（root）拥有所有特权普通用户特权操作实现setuidsetgid特权保护：保护root账号不直接使用root登录，普通用户su成为root控制root权限使用54Linux系统的特权管理特权划分54Linux系统安全设置1、安全配置前置工作2、账号和口令安全3、系统服务配置4、远程登录安全5、文件和目录安全6、系统日志配置7、使用安全软件55Linux系统安全设置1、安全配置前置工作55Linux设置——安全配置前置工作系统安装使用官方/正版软件分区挂载重要目录根目录（/）、用户目录（/home）、临时目录（/tmp）等应分开到不同的磁盘分区自定义安装，选择需要的软件包不安装全部软件包，尤其是那些不需要的网络服务包系统补丁及时安装系统补丁更新补丁前，要求先在测试系统上对补丁进行可用性和兼容性验证56Linux设置——安全配置前置工作系统安装56Linux设置——账号和口令安全账号通用配置保护root账号口令安全策略57Linux设置——账号和口令安全账号通用配置57账号和口令安全——账号通用配置（1）检查、清除系统中多余账号检查#cat/etc/passwd#cat/etc/shadow清除多余账号锁定账号特殊保留的系统伪账户，可以设置锁定登录锁定命令：#passwd-l<用户名>解锁命令：#passwd-u<用户名>58账号和口令安全——账号通用配置（1）检查、清除系统中多余账号账号和口令安全——账号通用配置（2）禁用root之外的超级用户打开系统账号文件/etc/passwd若用户ID=0，则表示该用户拥有超级用户的权限检查是否有多个ID=0禁用或删除多余的账号59账号和口令安全——账号通用配置（2）禁用root之外的超级用账号和口令安全——账号通用配置（3）检查是否存在空口令账号执行命令#awk-F:'(==""){print$1}'/etc/shadow如果存在空口令账号，则对其进行锁定，或要求增加密码要确认空口令账户是否和已有应用关联，增加密码是否会引起应用无法连接的问题60账号和口令安全——账号通用配置（3）检查是否存在空口令账号6账号和口令安全——账号通用配置（3）设置账户锁定登录失败锁定次数、锁定时间修改账户超时值，设置自动注销时间61账号和口令安全——账号通用配置（3）设置账户锁定登录失败锁定账号和口令安全——保护root账号root账号权限很高保护措施禁止使用root登录系统只允许普通用户登陆，然后通过su命令切换到root不要随意把rootshell留在终端上；不要把当前目录(“./”)和普通用户的bin目录放在root账号的环境变量PATH中永远不以root运行其他用户的或不熟悉的程序62账号和口令安全——保护root账号root账号权限很高62账号和口令安全——口令安全策略口令安全策略要求使用安全口令口令长度、字符要求口令修改策略强制口令使用有效期设置口令修改提醒设置账户锁定登录失败锁定次数、锁定时间63vi

/etc/login.def

PASS_MAX_DAYS 90

PASS_MIN_DAYS 7

PASS_MIN_LEN

6

PASS_WARN_AGE 28账号和口令安全——口令安全策略口令安全策略63vi

/etcLinux设置——系统服务配置禁止危险的网络服务telnet、FTPecho、chargen、shell、finger、NFS、RPC等关闭非必需的网络服务talk、ntalk等确保最新版本使用当前最新和最安全的版本的服务软件64关闭邮件服务：chkconfig--level12345sendmailoff关闭图形登录服务：编辑/etc/inittab文件，修改为id:3:initdefault:关闭Xfont服务：chkconfigxfsoffLinux设置——系统服务配置禁止危险的网络服务64关闭邮件Linux设置——远程登录安全禁用telnet,使用SSH进行管理限制能够登录本机的IP地址禁止root用户远程登陆限定信任主机修改banner信息65Linux设置——远程登录安全禁用telnet,使用SSH进远程登录安全——使用SSH/限制登录IP禁用telnet,使用SSH进行管理开启ssh服务：#servicesshdstart限制能够登录本机的IP地址#vi/etc/ssh/sshd_config添加（或修改）：AllowUsersxyz@3允许用户xyz通过地址3来登录本机AllowUsers*@192.168.*.*仅允许/16网段所有用户通过ssh访问。66远程登录安全——使用SSH/限制登录IP禁用telnet,使远程登录安全——禁止root/限定信任主机禁止root用户远程登陆#cat/etc/ssh/sshd_config确保PermitRootLogin为no限定信任主机#cat/etc/hosts.equiv#cat/$HOME/.rhosts查看上述两个文件中的主机，删除其中不必要的主机，防止存在多余的信任主机或直接关闭所有R系列远程服务rloginrshrexec67远程登录安全——禁止root/限定信任主机禁止root用户远远程登录安全——修改banner信息系统banner信息一般会给出操作系统名称、版本号、主机名称等修改banner信息查看修改sshd_config#vi/etc/ssh/sshd_config如存在，则将banner字段设置为NONE查看修改motd：#vi/etc/motd该处内容将作为banner信息显示给登录用户。查看该文件内容，删除其中的内容，或更新成自己想要添加的内容68远程登录安全——修改banner信息系统banner信息68Linux设置——文件和目录安全设置文件目录权限设置默认umask值检查SUID/SGID文件69Linux设置——文件和目录安全设置文件目录权限69文件和目录安全——设置文件目录权限保护重要的文件目录，限制用户访问设置文件的属主和属性以进行保护极其重要的文件或目录可以设置为不可改变属性chattr

+i

/etc/passwd临时文件不应该有执行权限70常见文件权限及属性的操作命令：

chmod、chown、chattr文件和目录安全——设置文件目录权限保护重要的文件目录，限制用文件和目录安全——设置默认umask值设置新创建文件的默认权限掩码可以根据要求设置新文件的默认访问权限，如仅允许文件属主访问，不允许其他人访问umask设置的是权限“补码”设置方法使用umask命令如#umask066编辑/etc/profile文件，设置umask值71文件和目录安全——设置默认umask值设置新创建文件的默认权文件和目录安全——检查SUID/SGID文件SUID/SGID的程序在运行时，将有效用户ID改变为该程序的所有者(组)ID。因而可能存在一定的安全隐患找出系统中所有含s“位的程序,把不必要的”s“位去掉,或者把根本不用的直接删除,这样可以防止用户滥用及提升权限的可能性,其命令如下：查找SUID可执行程序#

find

/

-perm

-4000

-user

0

–ls

查找SGID程序#

find

/

-perm

-2000

-user

0

–ls

72文件和目录安全——检查SUID/SGID文件SUID/SGILinux设置——系统日志配置（1）73保护日志文件审查日志中不正常情况非常规时间登录日志残缺Su的使用服务的启动情况……Linux设置——系统日志配置（1）73保护日志文件Linux设置——系统日志配置（2）启用syslog服务配置日志存储策略打开/etc/logrotate.d/syslog文件，检查其对日志存储空间的大小和时间的设置使用syslog设备Syslog.conf设置使用syslog日志服务器74Linux设置——系统日志配置（2）启用syslog服务74Linux设置——使用安全软件启用主机防火墙使用最新版本安全软件75Linux设置——使用安全软件启用主机防火墙75使用安全软件——使用主机防火墙（1）76Linux下的防火墙框架iptables包过滤NAT数据包处理Iptables基本规则Iptables[-ttable]command[match][target]Iptables基本应用Iptables–AINPUT–s–jACCEPTIptables–DINPUT–dport80–jDROP使用安全软件——使用主机防火墙（1）76Linux下的防火墙使用安全软件——使用主机防火墙（2）Iptables已内嵌到Linux系统中功能较强大建议设置Linux开机后自动启动该防火墙77使用安全软件——使用主机防火墙（2）Iptables77使用安全软件——使用最新版本安全软件使用官方安全软件opensshopensslsnort…使用最新版软件及时消除安全隐患78使用安全软件——使用最新版本安全软件使用官方安全软件78知识域：操作系统安全知识子域：安全操作系统了解安全操作系统的发展了解安全操作系统的设计原则79知识域：操作系统安全知识子域：安全操作系统79安全操作系统概念操作系统安全安全设置安全增强安全操作系统可信计算机系统评价标准（TruestedComputerSecurityEvaluationCritria，TCSEC）可信操作系统80安全操作系统概念操作系统安全80安全操作系统研究概况1965年，Multics1973年，安全模型BLP模型：信息的保密性Biba模型：信息的完整性1969年，Adept-501986年，SeeureXeniX，B21987年，TMach(TrustedMach)，B3近年来TrustedBSDSELinuxAppArmor81安全操作系统研究概况1965年，Multics81SELinux简介SELinux安全增强Linux（SecurityEnhancedLinux）安全子系统强制访问控制（MAC）美国国家安全局开发以GNUGPL形式开源发布82SELinux简介SELinux82谢谢，请提问题！谢谢，请提问题！操作系统安全培训机构名称讲师名称版本：3.0发布日期：2014-12-1生效日期：2015-1-1操作系统安全培训机构名称版本：3.0课程内容85操作系统与数据库安全知识体知识域操作系统安全知识子域Windows系统安全机制操作系统安全概述Linux系统安全机制安全操作系统数据库安全课程内容2操作系统与数据库安全知识体知识域操作系统安全知识子知识域：操作系统安全知识子域：操作系统安全概念了解操作系统的作用与功能了解操作系统的主要安全设计机制理解操作系统的安全配置要点86知识域：操作系统安全知识子域：操作系统安全概念3操作系统的功能用户与计算机硬件之间的接口操作系统为用户提供了虚拟计算机，把硬件的复杂性与用户隔离计算机系统的资源管理者CPU管理存储管理设备管理文件管理网络与通信管理用户接口87硬件：CPU、内存、硬盘、网络硬件等内核系统调用接口用户进程操作系统的功能用户与计算机硬件之间的接口4硬件：CPU、内存操作系统安全目标操作系统安全目标标识系统中的用户和进行身份鉴别依据系统安全策略对用户的操作进行访问控制，防止用户和外来入侵者对计算机资源的非法访问监督系统运行的安全性保证系统自身的安全和完整性88操作系统安全目标操作系统安全目标5操作系统安全机制（一）标识与鉴别用户身份合法性鉴别操作系统登录访问控制防止对资源的非法使用限制访问主体对访问客体的访问权限DAC、MAC、RBAC最小特权管理限制、分割用户、进程对系统资源的访问权限“必不可少的”权限89操作系统安全机制（一）标识与鉴别6操作系统安全机制（二）信道保护正常信道的保护可信通路（TrustedPath）安全键（SAK）90操作系统安全机制（二）信道保护7操作系统安全机制（三）安全审计对系统中有关安全的活动进行记录、检查以及审核审计一般是一个独立的过程内存存取保护进程间/系统进程内存保护段式保护、页式保护和段页式保护文件系统保护分区文件共享文件备份91操作系统安全机制（三）安全审计8知识域：操作系统安全知识子域：Windows系统安全机制理解Windows系统标识与鉴别、访问控制、用户账户控制、安全审计、文件系统的安全机制和安全策略掌握Windows系统的安全配置方法92知识域：操作系统安全知识子域：Windows系统安全机制9Windows系统标识与鉴别-安全主体安全主体类型用户帐户本地用户域用户组帐户everyone组network组计算机服务93Windows系统标识与鉴别-安全主体安全主体类型10Windows系统标识与鉴别-安全标识安全标识符（SecurityIdentifier，SID）安全主体的代表（标识用户、组和计算机账户的唯一编码）范例：S-1-5-21-1736401710-1141508419-1540318053-100094Windows系统标识与鉴别-安全标识安全标识符（SecurWindows系统标识与鉴别-用户鉴别95账户信息管理机制登录验证本地登录验证远程登录验证Windows系统标识与鉴别-用户鉴别12账户信息管理机制Windows用户身份鉴别帐号信息存储（SAM:安全账号管理）运行期锁定、存储格式加密仅对system帐号有权限，通过服务进行访问控制Windows用户身份鉴别：本地登录GINA（GraphicalIdentificationandAuthentication:图形化识别和验证)LSA（LocalSecurityAuthority：本地安全授权）96SAM账户信息库GINALSAWindows用户身份鉴别帐号信息存储（SAM:安全账号管理Windows系统身份鉴别：远程登录远程登录鉴别协议SMB（ServerMessageBlock）:口令明文传输LM（LANManager）：口令哈希传输，强度低NTLM（NTLANManager）：提高口令散列加密强度、挑战/响应机制Kerberos：为分布网络提供单一身份验证97Windows系统身份鉴别：远程登录远程登录鉴别协议14Windows系统访问控制-ACL访问控制列表（AccessControlList，ACL）NTFS文件系统支持权限存储流文件系统中自主访问控制灵活性高，安全性不高98Windows系统访问控制-ACL访问控制列表（AccessWindows系统访问控制-用户账户控制用户帐户控制（UserAccountControl，UAC）完全访问令牌标准受限访问令牌99Windows系统访问控制-用户账户控制用户帐户控制（UseWindows文件系统安全NTFS文件系统权限控制（ACL）文件、文件夹、注册表键值、打印机等对象安全加密EFS(EFS(EncryptingFileSystem)Windows内置，与文件系统高度集成对windows用户透明对称与非对称算法结合Bitlocker对整个操作系统卷加密解决设备物理丢失安全问题100Windows文件系统安全NTFS文件系统权限控制（ACL）Windows系统审计机制Windows日志系统应用程序安全设置应用程序和服务日志应用访问日志FTP访问日志IIS访问日志101Windows系统审计机制Windows日志18Windows系统安全策略账户策略密码策略账户锁定策略本地策略审核策略用户权限分配安全选项……102Windows系统安全策略账户策略19Windows系统安全配置1、安全配置前置工作2、账号安全设置3、关闭自动播放4、远程访问控制5、本地安全策略6、服务运行安全设置7、使用第三方安全增强软件103Windows系统安全配置1、安全配置前置工作20Windows安全设置1-前置工作安全的安装分区设置：不要只使用一个分区系统补丁：SP+Hotfix补丁更新设置：检查更新自动下载安装或手动104Windows安全设置1-前置工作安全的安装21Windows安全配置2-账号安全设置账号安全设置系统账号策略设置账号安全选项设置105Windows安全配置2-账号安全设置账号安全设置22账号安全设置-保护账号安全默认管理账户administrator更名设置“好”的口令自己容易记、别人不好猜不安全口令实例：ZAQ!@WSXzaq12wsx安全口令实例:WdSrS1Y28r!106一句话“我的生日是1月28日!”Wdsrs1y28rWdSrS1Y28r!稍作变形：单数字母大写，最后加个感叹号账号安全设置-保护账号安全默认管理账户administrat账号安全设置-系统账号策略密码策略：避免系统出现弱口令密码必须符合复杂性要求密码长度最小值密码最短使用期限密码最长使用期限强制密码历史用可还原的加密来存储密码107账号安全设置-系统账号策略密码策略：避免系统出现弱口令24账号安全设置-账号锁定策略账号锁定策略：应对口令暴力破解账号锁定时间账号锁定阀值重置账号锁定计数器108账号安全设置-账号锁定策略账号锁定策略：应对口令暴力破解25账号权限控制-用户权限分配用户权限分配从网络访问这台计算机拒绝从网络访问这台计算机管理审核和安全日志从远程系统强制关机109账号权限控制-用户权限分配用户权限分配26账户权限控制-设置唤醒密码设置唤醒计算机时的登录密码设置屏幕保护恢复时的登录密码110账户权限控制-设置唤醒密码设置唤醒计算机时的登录密码27Windows安全配置3-自动播放功能的威胁为方便用户而设计恶意代码借助移动存储介质传播的方式111Windows安全配置3-自动播放功能的威胁为方便用户而设计Windows安全配置-关闭自动播放关闭自动播放功能可以有效阻断U盘病毒的传播路径112Windows安全配置-关闭自动播放关闭自动播放功能29Windows全配置4-远程访问控制网络访问控制共享安全防护113Windows全配置4-远程访问控制网络访问控制30网络访问控制-防火墙设置确保启用Windows自带防火墙114网络访问控制-防火墙设置确保启用Windows自带防火墙31网络访问控制-防火墙高级配置出站规则入站规则连接安全规则监视防火墙连接安全规则安全关联115网络访问控制-防火墙高级配置出站规则32共享安全防护-共享安全风险IPC$的安全问题（空会话连接导致信息泄露）管理共享风险(远程文件操作)普通共享的风险（远程文件操作）116系统用户列表用户信息共享列表……空会话连接共享安全防护-共享安全风险IPC$的安全问题（空会话连接导致共享安全防护-关闭管理共享空会话连接控制本地安全策略设置中对匿名访问的限制关闭管理共享：修改注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters117共享安全防护-关闭管理共享空会话连接控制34Windows安全设置5-本地安全策略审核策略用户权限分配安全选项……118Windows安全设置5-本地安全策略审核策略35本地安全策略-安全选项管理工具→本地安全策略→安全设置→本地策略→安全选项交互式登录：无须按Ctrl+Alt+Del，设置为已禁用交互式登录：不显示最后的用户名，设置为已启用设备：将CD-ROM的访问权限仅限于本地登录的用户，设置为已启用119本地安全策略-安全选项管理工具→本地安全策略→安全设置→本地本地安全策略-安全选项管理工具→本地安全策略→安全设置→本地策略→安全选项网络访问：不允许SAM账号的匿名枚举，设置为已启用网络访问：可匿名访问的共享，删除策略设置里的值网络访问：可匿名访问的命名管道，删除策略设置里的值网络访问：可远程访问的注册表路径，删除策略设置里的值120本地安全策略-安全选项管理工具→本地安全策略→安全设置→本地Windows安全配置6-服务运行安全Windows服务（windowsservice)Windows服务程序是一个长时间运行的可执行程序，不需要用户的交互，也不需要用户登录121Windows安全配置6-服务运行安全Windows服务（w服务运行安全设置-关闭不必要的服务关闭不需要的服务计划任务远程操作注册表……控制服务权限System(本地系统)LocalServiceNetworkService122服务运行安全设置-关闭不必要的服务关闭不需要的服务39Windows安全配置7-第三方安全软件防病毒软件安全防护软件123Windows安全配置7-第三方安全软件防病毒软件40安装防病毒软件安装病毒防护软件恶意代码是终端安全的最大威胁确保病毒防护软件病毒库更新病毒防护软件主要工作机制：特征码扫描开启云查杀124安装防病毒软件安装病毒防护软件41系统安全防护软件系统安全保护软件影子系统主机入侵检测125系统安全防护软件系统安全保护软件42知识域：操作系统安全126知识子域：Linux系统安全机制理解Linux系统标识与鉴别、访问控制、安全审计、文件系统、特权管理的安全机制掌握Linux系统的安全配置方法知识域：操作系统安全43知识子域：Linux系统安全机制Linux系统标识与鉴别-安全主体安全主体用户：身份标识（UserID）组：身份标识（GroupID）用户与组基本概念文件必须有所有者用户必须属于某个或多个组用户与组的关系灵活（一对多、多对多等都可以）根用户拥有所有权限127Linux系统标识与鉴别-安全主体安全主体44Linux系统标识与鉴别-帐号信息存储信息存储用户信息：/etc/passwd/etc/shadow组信息/etc/group/etc/gshadow128Linux系统标识与鉴别-帐号信息存储信息存储45用户信息文件-passwd用于存放用户信息（早期包括使用不可逆DES算法加密形成用户密码散列）特点文本格式全局可读存储条目格式name:coded-passwd:UID:GID:userinfo:homedirectory:shell条目例子demo:x:523:100:J.demo:/home/demo:/bin/sh129用户名早期：密码散列X:代替密码散列*:账号不可交互登录用户ID用户所属组ID用户信息用户目录用户登录后使用的shell用户信息文件-passwd用于存放用户信息（早期包括使用不可用户帐号影子文件-shadow用于存放用户密码散列、密码管理信息等特点文本格式仅对root可读可写存储条目格式name:passwd:lastchg:min:max:warn:inactive:expire:flag条目例子#root:$1$acQMceF9:13402:0:99999:7:::130用户登录名及加密的用户口令上次修改口令日期口令两次修改最小天数及最大天数口令失效前多少天向用户警告被禁止登录前还有效天数帐号被禁止登录时间保留域用户帐号影子文件-shadow用于存放用户密码散列、密码管理Linux系统身份鉴别口令鉴别本地登录远程登录（telnet、FTP等）主机信任（基于证书）PAM（Pluggable

Authentication

Modules,可插拔验证模块）131……PAMAPI……logintelnetSSHLinuxKerberosS/keyPAMSPILinux系统身份鉴别口令鉴别48PAMAPI……logiLinux系统访问控制-权限模式文件/目录权限基本概念权限类型：读、写、执行权限表示方式：模式位drwxr-xr-x3rootroot1024Sep1311:58test132文件类型：d为文件夹-是文件文件拥有者的权限（U）文件拥有者所在组其他用户的权限（G）系统中其他用户权限（O）链接数文件拥有者UID文件拥有者GID文件大小最后修改时间文件名Linux系统访问控制-权限模式文件/目录权限基本概念49文Linux系统访问控制-权限模式权限的数字表示法权限的特殊属性

SUID、SGID、Sticky（防删除）133-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd^SUID程序Linux系统访问控制-权限模式权限的数字表示法50-r-sLinux系统安全审计-日志系统系统日志类型连接时间日志/var/log/wtmp和/var/run/utmp由多个程序执行，记录用户登录时间进程统计由系统内核执行，为系统基本服务提供命令使用统计错误日志/var/og/messages由syslogd守护记录，制定注意的事项应用程序日志应用程序如（HTTP、FTP）等创建的日志134Linux系统安全审计-日志系统系统日志类型51Linux文件系统文件系统类型日志文件系统：Ext4、Ext3、Ext2、ReiserFS、XFS、JFS等文件系统安全访问权限文件系统加密eCryptfs（EnterpriseCryptographicFilesystem）基于内核，安全性高，用户操作便利加密元数据写在每个加密文件的头部，方便迁移，备份135Linux文件系统文件系统类型52文件系统目录结构136/homebinprocusrbootlibdevetcvarftpljwlinuxbinlibmantmpliblogrunspooltmp文件系统目录结构53/homebinprocLinux系统的特权管理特权划分分割管理权限，30多种管理特权根用户（root）拥有所有特权普通用户特权操作实现setuidsetgid特权保护：保护root账号不直接使用root登录，普通用户su成为root控制root权限使用137Linux系统的特权管理特权划分54Linux系统安全设置1、安全配置前置工作2、账号和口令安全3、系统服务配置4、远程登录安全5、文件和目录安全6、系统日志配置7、使用安全软件138Linux系统安全设置1、安全配置前置工作55Linux设置——安全配置前置工作系统安装使用官方/正版软件分区挂载重要目录根目录（/）、用户目录（/home）、临时目录（/tmp）等应分开到不同的磁盘分区自定义安装，选择需要的软件包不安装全部软件包，尤其是那些不需要的网络服务包系统补丁及时安装系统补丁更新补丁前，要求先在测试系统上对补丁进行可用性和兼容性验证139Linux设置——安全配置前置工作系统安装56Linux设置——账号和口令安全账号通用配置保护root账号口令安全策略140Linux设置——账号和口令安全账号通用配置57账号和口令安全——账号通用配置（1）检查、清除系统中多余账号检查#cat/etc/passwd#cat/etc/shadow清除多余账号锁定账号特殊保留的系统伪账户，可以设置锁定登录锁定命令：#passwd-l<用户名>解锁命令：#passwd-u<用户名>141账号和口令安全——账号通用配置（1）检查、清除系统中多余账号账号和口令安全——账号通用配置（2）禁用root之外的超级用户打开系统账号文件/etc/passwd若用户ID=0，则表示该用户拥有超级用户的权限检查是否有多个ID=0禁用或删除多余的账号142账号和口令安全——账号通用配置（2）禁用root之外的超级用账号和口令安全——账号通用配置（3）检查是否存在空口令账号执行命令#awk-F:'(==""){print$1}'/etc/shadow如果存在空口令账号，则对其进行锁定，或要求增加密码要确认空口令账户是否和已有应用关联，增加密码是否会引起应用无法连接的问题143账号和口令安全——账号通用配置（3）检查是否存在空口令账号6账号和口令安全——账号通用配置（3）设置账户锁定登录失败锁定次数、锁定时间修改账户超时值，设置自动注销时间144账号和口令安全——账号通用配置（3）设置账户锁定登录失败锁定账号和口令安全——保护root账号root账号权限很高保护措施禁止使用root登录系统只允许普通用户登陆，然后通过su命令切换到root不要随意把rootshell留在终端上；不要把当前目录(“./”)和普通用户的bin目录放在root账号的环境变量PATH中永远不以root运行其他用户的或不熟悉的程序145账号和口令安全——保护root账号root账号权限很高62账号和口令安全——口令安全策略口令安全策略要求使用安全口令口令长度、字符要求口令修改策略强制口令使用有效期设置口令修改提醒设置账户锁定登录失败锁定次数、锁定时间146vi

/etc/login.def

PASS_MAX_DAYS 90

PASS_MIN_DAYS 7

PASS_MIN_LEN

6

PASS_WARN_AGE 28账号和口令安全——口令安全策略口令安全策略63vi

/etcLinux设置——系统服务配置禁止危险的网络服务telnet、FTPecho、chargen、shell、finger、NFS、RPC等关闭非必需的网络服务talk、ntalk等确保最新版本使用当前最新和最安全的版本的服务软件147关闭邮件服务：chkconfig--level12345sendmailoff关闭图形登录服务：编辑/etc/inittab文件，修改为id:3:initdefault:关闭Xfont服务：chkconfigxfsoffLinux设置——系统服务配置禁止危险的网络服务64关闭邮件Linux设置——远程登录安全禁用telnet,使用SSH进行管理限制能够登录本机的IP地址禁止root用户远程登陆限定信任主机修改banner信息148Linux设置——远程登录安全禁用telnet,使用SSH进远程登录安全——使用SSH/限制登录IP禁用telnet,使用SSH进行管理开启ssh服务：#servicesshdstart限制能够登录本机的IP地址#vi/etc/ssh/sshd_config添加（或修改）：AllowUsersxyz@3允许用户xyz通过地址3来登录本机AllowUsers*@192.168.*.*仅允许/16网段所有用户通过ssh访问。149远程登录安全——使用SSH/限制登录IP禁用telnet,使远程登录安全——禁止root/限定信任主机禁止root用户远程登陆#cat/etc/ssh/sshd_config确保PermitRootLogin为no限定信任主机#cat/etc/hosts.equiv#cat/$HOME/.rhosts查看上述两个文件中的主机，删除其中不必要的主机，防止存在多余的信任主机或直接关闭所有R系列远程服务rlo