计算机操作系统的安全与配置

第6章计算机操作系统的安全与配置本章要点：WindowsXP的安全性

Unix系统的安全性

Linux系统的安全性16.1WindowsXP操作系统的安全性6.1.1WindowsXP的登录机制1．交互式登录（1）本地用户账号（2）域用户账号2．网络登录3．服务登录4．批处理登录

26.1.2WindowsXP的屏幕保护机制

36.1.3WindowsXP的文件保护机制1．WFP的工作原理WFP把某些文件认为是非常重要的系统文件。在WindowsXP刚装好后，系统会自动备份这些文件到一个专门的叫做dllcache的文件夹，这个dllcache文件夹的位置默认保存在%SYSTEMROOT%\system32\dllcache目录下。46.1.3WindowsXP的文件保护机制2．WFP(WindowsFileProtection)功能的工作方式WFP功能使用两种机制为系统文件提供保护。第一种机制在后台运行。在WFP收到受保护目录中的文件的目录更改通知后，就会触发这种保护机制。WFP收到这一通知后，就会确定更改了哪个文件。如果此文件是受保护的文件，WFP将在编录文件中查找文件签名，以确定新文件的版本是否正确。WFP功能提供的第二种保护机制是系统文件检查器(Sfc.exe)工具。图形界面模式安装结束时，系统文件检查器工具对所有受保护的文件进行扫描，确保使用无人参与安装过程安装的程序没有对它们进行修改。56.1.4利用注册表提高WindowsXP系统的安全注册表实质上是一个庞大的数据库,用来存储计算机软硬件的各种配置信息.内容主要包含几个方面:软硬件的有关配置和状态信息,应用程序和资源管理器外壳的初始条件、首选项和卸载数据;计算机整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件的描述、状态和属性;计算机性能记录和底层的系统状态信息以及各类其他数据.66.1.4利用注册表提高WindowsXP系统的安全1．注册表受到损坏的主要原因（1）用户反复添加或更新驱动程序时，多次操作造成失误，或添加的程序本身存在问题，安装应用程序的过程中注册表中添加了不正确的项。（2）驱动程序不兼容。计算机外设的多样性使得一些不熟悉设备性能的用户将不配套的设备安装在一起，尤其是一些用户在更新驱动时一味追求最新、最高端，却忽略了设备的兼容性。当操作系统中安装了不能兼容的驱动程序时，就会出现问题。（3）通过“控制面板”的“添加/删除程序”添加程序时，由于应用程序自身的反安装特性，或采用第三方软件卸载自己无法卸载的系统自带程序时，都可能会对注册表造成损坏。另外，删除程序、辅助文件、数据文件和反安装程序也可能会误删注册表中的参数项。76.1.4利用注册表提高WindowsXP系统的安全1．注册表受到损坏的主要原因（4）当用户经常安装和删除字体时，可能会产生字体错误。可能造成文件内容根本无法显示。（5）硬件设备改变或者硬件失败。如计算机受到病毒侵害、自身有问题或用电故障等。（6）用户手动改变注册表导致注册表受损也是一个重要原因。由于注册表的复杂性，用户在改动过程中难免出错，如果简单地将其它计算机上的注册表复制过来，可能会造成非常严重的后果。82．WindowsXP系统注册表的结构6.1.4利用注册表提高WindowsXP系统的安全96.1.4利用注册表提高WindowsXP系统的安全2．WindowsXP系统注册表的结构WindowsXP注册表共有5个根键。HKEY_CLASSES_ROOT此处存储的信息可以确保当使用Windows资源管理器打开文件时，将使用正确的应用程序打开对应的文件类型。HKEY_CURRENT_USER包含当前登录用户的配置信息的根目录。用户文件夹、屏幕颜色和“控制面板”设置存储在此处。该信息被称为用户配置文件。在用户登录WindowsXP时，其信息从HKEY_USERS中相应的项拷贝到HKEY_CURRENT_USER中。106.1.4利用注册表提高WindowsXP系统的安全2．WindowsXP系统注册表的结构WindowsXP注册表共有5个根键。HKEY_LOCAL_MACHINE包含针对该计算机（对于任何用户）的配置信息。HKEY_USERS包含计算机上所有用户的配置文件的根目录。HKEY_CURRENT_CONFIG管理当前用户的系统配置。在这个根键中保存着定义当前用户桌面配置(如显示器等等)的数据,该用户使用过的文档列表（MRU），应用程序配置和其他有关当用户的WindowsXP中文版的安装的信息。116.1.4利用注册表提高WindowsXP系统的安全3．通过修改WindowsXP注册表提高系统的安全性（1）修改注册表的访问权限（2）让文件彻底隐藏（3）禁止使用控制面板

请参照教材P105介绍进行操作12启动策略管理的命令：Gpedit.msc6.1.5本地安全的账户策略13帐户策略密码策略Kerberos策略(针对Server系列)帐户锁定策略14密码复杂性要求如果启用此策略，密码必须符合下列最低要求:不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分至少有六个字符长包含以下四类字符中的三类字符:英文大写字母(A到Z)英文小写字母(a到z)10个基本数字(0到9)非字母字符(例如!、$、#、%)15本地策略审核策略：确定是否将安全事件记录到计算机上的安全日志中。同时也确定是否记录登录成功或登录失败，或二者都记录。（“安全”日志是事件查看器的一部分。）用户权利指派：确定哪些用户或组具有登录计算机的权利或特权。安全选项：启用或禁用计算机的安全设置，例如数据的数字信号、Administrator和Guest的帐户名、软盘驱动器和光盘的访问、驱动程序的安装以及登录提示。16审核策略设置17用户权利指派设置优先级高于“在本地登录”18安全选项设置196.1.6Windows服务

Win32服务程序由3部分组成：服务应用程序，服务控制程序和服务控制管理器服务应用程序是服务程序的主体程序，是一个或者多个服务的可执行代码服务的启动方式有三种：“自动”——是指当计算机启动或者需要的时候就开启；“手动”——是可以在命令提示符中通过“netstart”命令打开和“netstop”命令关闭的；“已禁止”——是指在改变启动方式前，不允许启动的服务启动管理工具的命令：Services.msc20Windows服务这些服务程序很多是互相依存的，所以不能随便停止某项服务，否则很可能造成系统的非正常情况出现，但是有的服务对我们来说的确没有什么作用，而且还占据着系统资源。正常工作中用不到的程序，完全可以关闭，从而达到节省资源的目的。可以改变服务的启动顺序，进一步优化系统，提高系统运行效率和安全性能。21禁用不必要的服务很多服务是用户根本不需要的选择“开始”→“运行”，键入“services.msc”并回车，即可打开“服务”管理程序。也可以选择“控制面板”→“管理工具”→“服务”，进入该界面，即可打开已经安装在系统中的服务列表。不同的硬件配置或者不同的Windows版本中的服务项目是有所区别的。选择“查看”→“详细信息”，即可在“描述”列表中看到每一项服务的具体内容和功能。22Windows服务解析配置1、Alert（警报器），建议：已禁止2、ApplicationLayerGatewayService，建议：已禁止3、ApplicationManagement（应用程序管理），建议：手动4、AutomaticUpdates，建议：已禁止5、BackgroundIntelligentTransferService，建议：已禁止6、ClipBook（剪贴簿），建议：已禁止7、COM+EventSystem（COM+事件系统），建议：手动8、COM+SystemApplication，建议：手动9、ComputerBrowser（计算机浏览器），建议：已禁止10、CryptographicServices，建议：手动11、DHCPClient（DHCP客户端），建议：手动12、DistributedLinkTrackingClient（分布式连结追踪客户端），建议：已禁止23Windows服务解析配置13、DistributedTransactionCoordinator（分布式交换协调器），建议：已禁止14、DNSClient（DNS客户端），建议：已禁止15、ErrorReportingService，建议：已禁止16、EventLog（事件记录文件），建议：自动17、FastUserSwitchingCompatibility，建议：手动18、HelpandSupport，建议：已禁止。19、HumanInterfaceDeviceAccess，建议：手动20、IMAPICD-BurningCOMService，建议：已禁止21、IndexingService（索引服务），建议：已禁止22、InternetConnectionFirewall（ICF）/InternetConnectionSharing（ICS），建议：已禁止23、IPSECServices（IP安全性服务），建议：手动24、LogicalDiskManager（逻辑磁盘管理员），建议：自动24Windows服务解析配置25、LogicalDiskManagerAdministrativeService（逻辑磁盘管理员系统管理服务），建议：手动26、Messenger（信使服务），建议：已禁止27、MSSoftwareShadowCopyProvider，建议：已禁止28、SmartCard，建议：已禁止29、SmartCardHelper（智能卡协助程序），建议：已禁止30、SSDPDiscoveryService，建议：已禁止31、SystemEventNotification（系统事件通知），建议：自动32、SystemRestoreService，建议：已禁止33、TaskScheduler，建议：手动34、TCP/IPNetBIOSHelper（TCP/IPNetBIOS协助程序），建议：已禁止25Windows服务解析配置35、Telephony（电话语音），建议：手动36、Telnet，建议：已禁止37、TerminalServices（终端服务），建议：已禁止38、Themes，建议：自动39、UninterruptiblePowerSupply（不断电供电系统），建议：已禁止40、UniversalPlugandPlayDeviceHost，建议：自动41、VolumeShadowCopy，。建议：已禁止。42、WebClient，建议：已禁止。43、WindowsAudio，建议：自动。44、WindowsImageAcquisition（WIA）（Windows影像取得程序），建议：已禁止45、WindowsInstaller（Windows安装程序），建议：自动46、WindowsManagementInstrumentation（WMI），建议：自动26Windows服务解析配置47、WindowsManagementInstrumentationDriverExtensions(WindowsManagementInstrumentation驱动程序延伸)，建议：手动48、WindowsTime（Windows时间设定），建议：已禁止49、WirelessZeroConfiguration，建议：已禁止50、WMIPerformanceAdapter，建议：已禁止51、Workstation（工作站），建议：自动276.1.7XP操作系统进程解析

28进程的概念进程是程序在计算机上的一次执行活动。运行一个程序时，就启动了一个进程。相对而言，程序是一组代码，是静态的，进程是代码的执行行为，是活的。在Windows下，进程又被细化为线程，也就是一个进程下有多个能独立运行的更小的单位。多线程的好处：

产生多响应效果

可以充分使用多处理器

29Windows基本进程解析1、WinlogonWinlogon是一个登录/退出进程。winlogon在用户按下CTRL+ALT+DEL时激活，并显示安全对话框。该进程提供了登录所需的类型控制和输入口令所需的对话框。当你输入用户名和口令时，Winlogon将其发送给一个叫做LSASS的子进程。如果你执行对服务器或工作站的本地登录，LSASS进程将在安全数据库（亦即SAM）中查对有关用户名和口令。Winlogon有两个子进程，即服务控制器和LSASS。

2、Explorer进程在Windows系列的操作系统中，运行时都会启动一个名为Explorer.exe的进程。这个进程主要负责显示系统桌面上的图标以及任务栏。30Windows基本进程解析3、csrss.exe进程这个进程是用户模式Win32子系统的一部分，CSRSS代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。CSRSS负责控制Windows图形相关子系统，创建或者删除线程和一些16位的虚拟MS-DOS环境。4、SystemIdle这个进程不可以从任务管理器中关掉，是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。所以，在任务管理器中，看到的“SystemIdleProcess”的CPU资源占用恰恰是CPU资源空闲时间。31Windows基本进程解析5、smss.exe这个进程是不可以从任务管理器中关掉的，是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化，并且对许多活动的，包括正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程是正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。6、lsass.exe这个进程是不可以从任务管理器中关掉的。管理

IP

安全策略以及启动

ISAKMP/Oakley

(IKE)

和

IP

安全驱动程序。

这是一个本地的安全授权服务，它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行。如果授权是成功的，lsass就会产生用户的进入令牌，令牌被用于启动初始的shell，其他由用户初始化的进程也会继承这个令牌（系统服务）。32Windows基本进程解析7、services.exe大多数的系统核心模式进程是作为系统进程在运行。8、spoolsv.exe缓冲（spooler）服务是管理缓冲池中的打印和传真作业，将文件加载到内存中以便迟后打印（系统服务）。33svchost.exe进程剖析svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称。svchost.exe是WindowsNT核心系统的最重要的进程之一，但它本身只作为服务宿主，提供条件让其他服务在这里被启动，而它自己却不能提供任何服务。Windows2000一般有2个svchost进程，一个是RPCSS（RemoteProcedureCall）服务进程，另外一个则是由很多服务共享的一个svchost.exe。而在WindowsXP中，则一般有4个以上的svchost.exe服务进程，Windows2003Server中则更多，可以看出把更多的系统内置服务以共享进程方式由svchost启动是微软的一个趋势。34svchost.exe进程剖析svchost.exe文件定位在系统的%systemroot%\system32文件夹下在启动的时候，svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个svchost.exe在同一时间运行。一般地，通过在任务管理器，我们可以看到Windows系统中存在多个“svchost”进程。这些svchost进程提供多种系统服务，如：rpcss服务（remoteprocedurecall）、dmserver服务（logicaldiskmanager）、dhcp服务（dhcpclient）等。35几点说明相对而言，程序是一组代码，是静态的，进程是代码的执行行为，是活的系统的大部分服务是以动态链接库（dll）形式实现的，比如通过SvcHost.EXE启动的大量系统服务驱动程序在某种形式上也是服务，但驱动程序在Windows中进行了验证，如WindowsHardwareQualityLab（WHQL）微软的一种认证366.4Unix系统的安全性Unix操作系统简介Unix操作系统是目前网络系统中主要的服务器操作系统Unix操作系统是于1969年由KenThompson、Dennis

Ritchie和其他一些人在AT&T贝尔实验室开发成功的Unix操作系统是一个分时多用户多任务的通用操作系统－分时系统，是指允许多个联机用户同时使用同一台计算机进行处理的操作系统－用户可以请求系统同时执行多个任务