网络安全技术5课件

第5章操作系统安全主要内容5.1操作系统安全机制5.2Windows操作系统安全5.3Linux操作系统安全5.1操作系统安全机制身份认证机制访问控制机制⑴自主访问控制(discretionaryaccesscontrol，DAC)，根据用户的身份及允许访问权限决定其访问操作。⑵强制访问控制(mandatoryaccesscontrol，MAC)，指用户与文件都有一个固定的安全属性，系统用该安全属性来决定一个用户是否可以访问某个文件。⑶基于角色的访问控制(role-basedaccesscontrol，RBAC)。RBAC解决了具有大量用户、数据客体和访问权限的系统中授权管理问题。5.1操作系统安全机制最小特权管理机制最小特权(1eastprivilege)是指在完成某种操作时赋予每个主体(用户或进程)必不可少的特权。最小特权原则一方面给予主体“必不可少”的特权，保证了所有的主体能在所赋予的特权之下完成所需要完成的任务或操作；另一方面，它只给予主体“必不可少”的特权，从而限制了每个主体所能进行的操作，确保由于可能的事故、错误、网络部件的篡改等原因造成的损失最小。可信通路机制可信通路(trustpath)是终端人员能借以直接同可信计算基(trustedcomputingbase，TCB)通信的一种机制。隐蔽通道的分析与处理隐蔽通道是指系统中利用那些本来不是用于通信的系统资源绕过强制访问控制进行非法通信的一种机制。安全审计机制审计为系统进行事故原因的查询、定位、事故发生前的预测、报警以及事故发生之后的实时处理提供详细、可靠的依据和支持，以便有违反系统安全规则的事件发生后能够有效地追查事件发生的地点和过程。5.2.1

WindowsServer2003账号安全账号种类1.域用户账号域用户账号是用户访问域的惟一凭证，因此在域中必须是惟一的。域用户账号是在域控制器上建立，作为活动目录的一个对象保存在域的数据库中。用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号，该账号将被域控制器所验证。2.本地用户账号本地用户账号只能建立在Windows2003独立服务器上，以控制用户对该计算机资源的访问。3.内置的用户账号(1)Administrator账号Administrator(管理员)账号被赋予在域中和在计算机中具有不受限制的权利，该账号被设计用于对本地计算机或域进行管理，可以从事创建其他用户账号、创建组、实施安全策略、管理打印机以及分配用户对资源的访问权限等工作。(2)Guest账号Guest(来宾)账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。该账号默认情况下不允许对域或计算机中的设置和资源做永久性的更改。出于安全考虑，Guest帐号在Windows2003安装好之后是被屏蔽的。账号命名约定由于账号的在域中的重要性和惟一性，因此账号的命名约定十分重要。一个好的帐号命名约定将有助于规划一个高效的活动目录。Windows2003的账号命名约定包括如下内容：域用户账号的用户登录名在AD中必须惟一。域用户账号完全名称在创建该用户账号的域中必须惟一。本地用户账号在创建该账号的计算机上必须惟一。如果用户名称有重复，则应该在账号上区别出来。帐号和密码安全设置为了控制用户对域的访问，加强域的安全性，可以设置用户登录域的时间以及从哪台工作站登录到域中等，这些选项都可以在用户的属性中加以确定。另外对于已经不再在企业中工作的员工来说，及时删除或屏蔽该员工的用户帐号是很重要的，否则将是一个安全隐患。利用帐户选项卡中的帐户过期可以帮助管理员维护帐号的使用期限。5.2.2WindowsServer2003文件系统安全NTFS权限的使用原则（1）权限最大原则当一个用户同时属于多个组，而这些组又有可能被对某种资源赋予了不同的访问权限，则用户对该资源最终有效权限是在这些组中最宽松的权限，即加权限，将所有的权限加在一起即为该用户的权限(“完全控制”权限为所有权限的总和)。（2）文件权限超越文件夹权限原则当用户或组对某个文件夹以及该文件夹下的文件有不同的访问权限时，用户对文件的最终权限是用户被赋予访问该文件的权限，即文件权限超越文件的上级文件夹的权限，用户访问该文件夹下的文件不受文件夹权限的限制，而只受被赋予的文件权限的限制。（3）拒绝权限超越其他权限原则当用户对某个资源有拒绝权限时，该权限覆盖其他任何权限，即在访问该资源的时候只有拒绝权限是有效的。当有拒绝权限时权限最大法则无效。因此对于拒绝权限的授予应该慎重考虑。NTFS权限的继承在同一个NTFS分区内或不同的NTFS分区之间移动或拷贝一个文件或文件夹时，该文件或文件夹的NTFS权限会发生不同的变化。1．在同一个NTFS分区内移动文件或文件夹在同一分区内移动的实质就是在目的位置将原位置上的文件或文件夹“搬”过来，因此文件和文件夹仍然保留有在原位置的一切NTFS权限。2．在不同NTFS分区之间移动文件或文件夹在这种情况下文件和文件夹会继承目的分区中文件夹的权限(ACL)，实质就是在原位置删除该文件或文件夹，并且在目的位置新建该文件或文件夹。3．在同一个NTFS分区内拷贝文件或文件夹在这种情况下拷贝文件和文件夹将继承目的位置中的文件夹的权限。4．在不同NTFS分区之间拷贝文件或文件夹在这种情况下拷贝文件和文件夹将继承目的位置中文件夹的权限。共享文件夹权限管理1.共享文件夹共享文件夹(ShareFolder)是被用来向网络用户提供对文件资源的访问，可以包括应用程序、公用数据或用户个人数据。当一个文件夹被共享的时候,用户可通过网络连接到该文件夹并访问其中包含的文件.但用户需要拥有访问共享文件夹的权限。2.共享文件夹权限读权限：用户可以显示文件夹名称、文件名、文件属性；可以运行程序文件；可以对共享文件夹内的文件夹作出改动。修改权限：用户可以创建文件夹、向文件夹中添加文件、改变文件中的数据、向文件中添加数据、改变文件属性、删除文件夹和文件、并能执行读权限允许的操作。完全控制权限：用户可以改变文件权限、获取文件的所有权、并执行修改权限允许的所有任务。3.共享文件夹权限特点共享文件夹权限用于文件夹而不是单独的文件。共享文件夹权限只能用于整个共享文件夹，不能用于共享文件夹中的单个文件或子文件夹。共享文件夹权限只适用于通过网络连接文件夹的用户，对存储共享文件夹的计算机上的用户访问则不受限制。5.2.3WindowsServer2003主机安全实施本地安全设置①账户策略包含密码策略和帐户策略。密码策略用来规范使用这台计算机的用户的密码设置，如密码最小长度、密码复杂性要求、强制密码历史等，通过这些设置可以强制用户的密码使用习惯；账户策略来防止恶意攻击，当多次输入不正确的密码时系统会自动锁定该账户。②本地策略本地策略包含【审核策略】、【用户权力指派】和【安全选项】。【审核策略】中包含了对系统行为的审核设置，确定哪些系统事件要求审核而哪些不用,审核发生的事件按照预先设定的方式记录下来以供检查和分析，至于审核的事件是哪些，由审核策略来确定。

③公钥策略公钥策略用来设置【加密恢复代理人】。NTFS5.0具有EFS加密功能，EFS加密是利用非对称加密体系(即公钥私钥对)对文件加密，而私钥的持有人为使用EFS加密文件的用户，NTFS依靠该用户的SID来判断其私钥。如果用户账户被删除，则即使是新建—个—模一样的用户账户，由于其SID不向因此也无法恢复经过加密的数据。利用公钥策略可以设置经过加密的数据恢复代理，通过该代理恢复数据。④IP安全策略(IPSec)【IP安全策略】设置IPSec，可以为两台使用IP协议传输数据的计算机建立一个加密的安全通信通道，从而保证了数据在网络上传输的安全性。IPSec加密传输的数据，其配置和管理可以在IP安全策略中进行。配置并实施组策略(1)什么是组策略windowsserver2003活动目录，没有“系统策略编辑器”，而是使用“组策略”。该工具的主要作用是规定用户和计算机的使用环境。组策略不仅应用于用户和客户端计算机，还应用于成员服务器、域控制器以及管理范围内的其他计算机。组策略设置定义了系统管理员需要管理的用户桌面环境的各种组件。要为特定用户组创建特殊的桌面配置，可使用组策略对象编辑器创建组策略对象，组策略对象又与选定的活动目录对象相关联。（2）组策略的使用条件通过一次设定可以在多台计算机上应用，需要实施组策略。组策略的各种设定都保存在一个被称为组策略对象中(GPO，GroupPolicyObject).在实施组策略前应该满足以下的条件：组策略只能应用在基于Windows2000的域控制器的网络中的计算机和用户；组策略中的各种设定值均保存在活动目录数据库中，因此在域控制器上可以保存设置值。（3）组策略的使用规则多个策略同时存在，按如下策略应用：首先是本地策略；其次是站点和域级的策略；最后是应用组织单元的设定值。策略的有效值是多个策略的并集，但当对于一个项目有不同的设置值时，后面的将代替前面的设置值。在默认情况下活动目录结构中的下层容器会继承上层容器的策略。最上层容器为站点，其下为域和组织单位。5.3Linux操作系统安全5.3.1Linux自身的安全机制身份验证机制用户的身份验证和权限是分开的，采用PAM(pluggableauthenticationmodules)身份验证体系安全审计强制访问控制安全增强Linux(securityenhancedLinux，SELinux)和基于规则集的访问控制(rulesetbasedaccesscontrol，RSBAC)Linux安全模块加密文件系统密码文件系统(cryptographic，CFS)、透明密码文件系统(tran