操作系统安全Word文档下载推荐.docx
- 文档编号:7698807
- 上传时间:2023-05-08
- 格式:DOCX
- 页数:21
- 大小:45.15KB
操作系统安全Word文档下载推荐.docx
《操作系统安全Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《操作系统安全Word文档下载推荐.docx(21页珍藏版)》请在冰点文库上搜索。
系统安全治理:
治理运算机环境的安全性,包括定义策略,选择安全性机制,负责审核和复原进程
安全服务治理:
安全机制治理:
实现具体的安全技术
二、NT的安全性:
当一个系统刚安装好的时候,处于一个最不安全的环境
1、NT的安全性组件:
随机访问操纵:
承诺对象的所有人制定别人的访问权限
对象的重复使用:
强制登陆:
通过对象来操纵对资源的访问
对象:
将资源和相应的访问操纵机制封装在一起,称之为对象,系统通过调用对象来提供应用对资源的访问,禁止对资源进行直截了当读取
包括:
文件(夹),打印机,I/O设备,视窗,线程,进程,内存
安全组件:
安全标识符:
SID,可变长度的号码,用于在系统中唯独标示对象,在对象创建时由系统分配,包括域的SID和RID。
创建时依照运算机明、系统时刻、进程所消耗CPU的时刻进行创建。
S-1-5-<
domain>
-500
Administrator
Auseraccountforthesystemadministrator.Thisaccountisthefirstaccountcreatedduringoperatingsysteminstallation.Theaccountcannotbedeletedorlockedout.ItisamemberoftheAdministratorsgroupandcannotberemovedfromthatgroup.
-501
Guest
Auseraccountforpeoplewhodonothaveindividualaccounts.Thisuseraccountdoesnotrequireapassword.Bydefault,theGuestaccountisdisabled.
S-1-5-32-544
Administrators
Abuilt-ingroup.Aftertheinitialinstallationoftheoperatingsystem,theonlymemberofthegroupistheAdministratoraccount.Whenacomputerjoinsadomain,theDomainAdminsgroupisaddedtotheAdministratorsgroup.Whenaserverbecomesadomaincontroller,theEnterpriseAdminsgroupalsoisaddedtotheAdministratorsgroup.
TheAdministratorsgrouphasbuilt-incapabiltiesthatgiveitsmembersfullcontroloverthesystem.Thegroupisthedefaultownerofanyobjectthatiscreatedbyamemberofthegroup.
S-1-5-32-545
Users
Abuilt-ingroup.Aftertheinitialinstallationoftheoperatingsystem,theonlymemberistheAuthenticatedUsersgroup.Whenacomputerjoinsadomain,theDomainUsersgroupisaddedtotheUsersgrouponthecomputer.
Userscanperformtaskssuchasrunningapplications,usinglocalandnetworkprinters,shuttingdownthecomputer,andlockingthecomputer.Userscaninstallapplicationsthatonlytheyareallowedtouseiftheinstallationprogramoftheapplicationsupportsper-userinstallation.
实验:
观看用户的SID
访问操纵令牌:
包含
创建:
仅在用户登录的时候,刷新
作用:
访问资源的凭证
安全描述符:
每一个对象都具有,包括对象的SID,组的SID,随机访问操纵列表和系统访问操纵列表
访问操纵列表:
进行访问操纵和审核的方式,由一系列ACE构成
DACL:
操纵资源的访问类型和深度
SACL:
操纵对资源的审核
ACL
ACE:
表示一个用户对此资源的访问权限,拒绝优先于承诺
访问过程:
安全子系统:
Figure6.1WindowsNTSecurityComponents
重要组件:
LSA
SAM:
储备用户密码
Netlogon:
在验证的双方之间建立安全通道
三、UNIX安全性:
1、病毒攻击:
2、缓存区溢出:
crond,wu-ftp,sendmail
3、/etc/passwd和/etc/shadow文件的安全
4、non-rootuseraccesstosensitivecommands:
poweroff,reboot,halt
Pluggableauthenticationmodules:
PAMs,createadditionalauthenticationparameterswithoutaffectingexistingauthenticationsystems
PAMdirectory:
/etc/pam.d/determinewhatmustoccurbeforeausercanloggedin
/etc/security/setlimitsconcerningusersanddaemonsoncetheyhaveloggedontothesystem
/lib/security/theactuallocationofthePAMmodules
PAMentryformat:
Moduletypeflagspathargs
Moduletype:
determineauthenticationtype
Flags:
determinemoduletypepriority
Path:
determinemodulelocationinthesystem
Args:
optional,customizePAMbehavior
/etc/securitydirectory:
access.conf:
determineswhocanaccessthemachineandfromwhere
group.conf:
determineswhichgroupcanlogin
time.conf:
setlogontimelimits
limits.conf:
setlimitsbaseduponpercentageofprocessorusageornumberofprocessesausercanrunsimultaneously
第二章账号安全性
账号安全性概述
NT账号的安全性
UNIX账号的安全性
一、账号安全性:
归根结底是爱护密码的安全性
1、强力密码:
包含大小写,数字和专门字符,不包含用户名和个人信息
2、给予最低的权限和及时清理无用的账号
二、NT账号的安全性
1、定期检查账号数据库,把握账号的变化;
同时定期观看系统的的调度任务
2、使用账号策略来强化密码的安全性:
在2000中账号策略必须在域的级别来进行设置
密码策略
账号锁定策略
Kerberos策略
区别:
2000最多支持127位密码,NT最多14位,在储备密码时以7位为单位,因此选择密码时应为7的整数倍
NT缺省不禁用治理员账户,2000能够远程禁用
在设置账号锁定时,要考虑会产生拒绝服务的攻击
3、激活密码复杂性需要
4、重命名治理员账户
5、限制治理员登录的工作站
6、限制账户的登录时刻
7、使用SYSKEY加强对SAM的安全防护
三、UNIX账号的安全性
1、密码文件:
/etc/passwd:
everyonecanread,butonlyrootcanownitandchangeit
/etc/shadow:
onlyrootcanreadandwriteit
2、账号策略:
3、限制登录:
Solaris:
/etc/default/loginconsole=/dev/console
Linux:
/etc/securitylistthedevicenamewhererootcanlogin
Log:
/etc/default/sucanincludesulog=/var/adm/sulog
4、限制shell:
使用rksh来限制用户所能够完成的工作
限制输入输出的重定向
检查路径
限制更换路径
限制更换环境变量
5、监视账户:
wtmp
6、检查路径参数:
Windows2000:
looksincurrentdirectoryforapplication
looksatpathstatement
Unix:
onlylooksatpathstatement
DonotsetthecurrentdirectoryinthefirstplaceofthePATH
DonotallowwritepermissionfornormalusersaboutdirectoryinPATHofroot
7、使用系统级别的日志
syslogd:
使用/etc/syslog.conf进行配置
inetd:
使用-t选项激活日志功能,能够记录相应服务的运行情形
第三章文件系统安全性
windows文件安全性
Linux文件安全性
一、windows文件系统安全:
1、所支持的文件系统:
FAT16,FAT32,NTFS4.0,NTFS5.0,CDFS
2、NTFS权限:
标准的权限
权限单元
权限的继承:
ACL列表的拷贝
权限的迁移:
移动和拷贝
磁盘的分区:
系统,程序和数据
注意:
erveryone和authenticatedusers的区别
缺省,新建的文件权限为everyonefullcontrol
新添加用户的权限位readonly
3、EFS:
作用:
利用公钥技术,对磁盘上储备的静态数据进行加密爱护的措施。
原理:
依照用户的身份为每个用户构建一对密钥
实现:
复原代理:
为了防止显现由于密钥损坏造成数据不能正常解密而构建的一种补救措施。
如何复原:
如何添加复原代理:
注意事项:
只有被授权的用户或复原代理才能访问加密的文件
加密和压缩是相斥的
对文件的重命名,移动可不能阻碍加密属性
至少需要一个复原代理
仅能对静态储备的数据进行加密,若需要网络中传输的数据提供安全性,可使用IPSec和PPTP
对一个文件夹加密,则此文件夹内所有新创建的文件均会被加密
若将一个加密后的文件移动一个非NTFS文件系统上,则加密属性丢失,除Backup外,因此应该分别分配备份和复原的权益并慎重分配复原的权益
4、磁盘限额:
基于文件和文件夹的所有权来统计用户所使用的磁盘空间
关于压缩状态的文件按非压缩状态统计磁盘空间的使用量
基于分区水平上的
剩余空间是指可供用户使用的磁盘限额内剩余空间的大小
能够设置当用户超出限额时是仅仅提出警告依旧拒绝提供空间
能够针对所有用户也可针对个别用户设置
设置限额后,对已有的用户储备不进行限额,但可对老用户添加限额
治理员组的成员不受限额的阻碍
仅治理员组的成员有权益设置限额
5、共享安全性:
谨对网络访问生效
仅能对文件夹设置共享,不能针对文件设置缺省
Administrators、ServerOperators、PowerUsersgroup有权益设置共享
新建共享后,Everyonegroup是FC
所能同意的最大用户数:
Win2kProfessional10Win2kServeCAL
Permission:
Read、Change、FC
Deny优先于Allow的权限若用户属于多个组,则sharesecurity取并集
能够在FAT、FAT32、NTFS上设置共享
6、联合NTFS安全性和共享安全性:
网络访问取交集
本地访问仅考虑NTFS安全性
隐藏文件:
attrib+Hdirectory
NTFS文件分流:
不需要重新共建文件系统就能够给一个文件添加属性和信息的机制,Macintosh的文件兼容特性。
需使用NTRK中POSIX的工具cp
cpnc.exeoso001.009:
nc.exe
反分流:
cposo001.009:
nc.exenc.exe
分流后oso001.009大小没有变化,但修改日期可能会有变化
分流后不能直截了当执行:
startoso001.009:
删除:
需把文件拷贝到FAT分区,在拷贝会NTFS分区
搜索:
唯独可靠的工具是ISS的Streamfinder.
二、linuxfilesystemsecurity:
ls–loutput:
drwxrwxrwx5jamesjames120Mar2117:
22account
d:
directory
-:
normalfile
5:
linkcounter
120:
fileordirectorysize
filepermission:
eachfilehasitsowner
everyfilebelongstoonegroup,primarygroup
onlyonepermissionissuitableforyouifyouhavethreekindsofpermissions
ownermayhavenoanypermissiontothefilethatheowns
directorypermission:
读权限仅在列举名目时有效
写权限能够治理操纵名目
执行权限承诺你访问子名目和相应的文件
umaskcommond:
filedefault:
rw-rw-rw-
directorydefault:
rwxrwxrwx
umask:
027----w-rwx
changeumask:
umasknumber
changepermissions:
chmod
absolutemode:
chmod666filename
symbolicmode:
chmodogw+/-/=rwxfilename
setbits:
changeshellduringexecutethecommand
setuid
setgid
sticky:
usercancontrolandmanagementthewholedirectoryifuserhaswritepermissionaboutthedirectory,itmeanstheusercandeleteotherusers’files.Youmaysetstickysothatyouassignwritepermissionbutnoadministrativepermissiontothedirectory.
Chmodu=rwx,og=wxtdirectoryname
查看危险的setuid和setgid许可权限:
find/-perm-4000–print>
suid.info
diffsuid.infosuid.info.old
Changefileowner:
chownnewownerfilename
Changefilegroup:
chgrpnewgroupfilename
第四章评估风险
一、安全性威逼:
1、随机的威逼
2、有意图的威逼:
消极的攻击
积极的攻击
二、windows的安全性威逼:
1、改变缺省的名目:
2、改变缺省的账号:
3、改变缺省的共享:
HKLM\System\CCS\services\lanmanagerserver\parameters\autoshareserver(autosharewks)=0
4、检验:
系统扫描
三、UNIX的安全性威逼:
1、R*系列程序:
不需要输入密码即可远程执行程序。
Rshtech.ciwps-auwx
安全机制:
1)、采纳/etc/hosts.equiv和用户主名目下的.rhosts两个文件来进行访问操纵
2)、关于in.rshd,为了读取某一用户的.rhosts文件,要保证文件柜该用户所有,且其他人对该文件进行写访问,同意600或644的权限
3)、对提出要求的主机进行ip的反向搜索
不安全性:
1)、伪造.rhosts
2)、进行DNS的毒化
3)、配置自己的系统成为可信系统
2、NIS:
承诺在网络上共享系统的治理数据。
NIS+
2、NFS:
承诺透亮的访问远程系统的文件和名目
安全漏洞:
许多与mountd和NFS服务器相关的缓冲区溢出条件已被发觉
依靠于RPC服务,能够轻易的安装远程系统上的文件
在共享文件是没有合理配置权限
防护:
禁用NFS和相关服务
实现客户机和用户的访问操纵,/etc/exports和/etc/dfs/dfstab能够操纵进行访问操纵
在承诺安装某个文件系统的客户机列表中决不要加上相应服务器的本地ip或localhost.早期的portmapper会打开代理中转,会代理供给者中转连接要求
同意厂家的补丁
第五章减少风险
一、增强Windows的安全性:
1、关于系统漏洞:
定期的添加servicespack和hotfixes,假如系统没有相关服务,不要随意的安装补丁
2、注册表安全性:
注册表的结构:
相当于win.ini,集中储备了系统的配置信息
5个配置单元(hivekey),4个存放于winnt\system32\config名目下:
SAM,SYSTEM,SECURITY,SOFTWARE,对此4个文件设置权限,仅承诺system账号访问。
HARDWARE又称易失关键字,每次系统启动时由ntdetect进行硬件检测,将检测的结果只与此关键字中,储存在内存中
HKEY_LOCAL_MACHINE(HKLM)是包含操作系统及硬件相关信息(例如运算机总线类型,系统可用内存,当前装载了哪些设备驱动程序以及启动操纵数据等)的配置单元。
实际上,HKLM储存着注册表中的大部分信息,因为另外四个配置单元差不多上其子项的别名。
不同的用户登录时,此配置单元保持不变。
HKEY_CURRENT_USER(HKCU)配置单元包含着当前登录到由那个注册表服务的运算机上的用户的配置文件。
其子项包含着环境变量、个人程序组、桌面设置、网络连接、打印机和应用程序首选项(环境变量在Windows2000中被用来承诺脚本、注册表条目,以及其它应用程序使用通配符来代替可能会发生改变的重要的系统信息),储备于用户配置文件的ntuser.dat中。
优先于HKLM中相同关键字。
这些信息是HKEY_USERS配置单元当前登录用户的SecurityID(SID)子项的映射。
HKEY_USERS(HKU)配置单元包含的子项含有当前运算机上所有的用户配置文件。
其中一个子项总是映射为HKEY_CURRENT_USER(通过用户的SID值)。
另一个子项HKEY_USERS\DEFAULT包含用户登录前使用的信息。
HKEY_CLASSES_ROOT(HKCR)配置单元包含的子项列出了当前已在运算机上注册的所有COM服务器和与应用程序相关联的所有文件扩展名。
这些信息是HKEY_LOCAL_MACHINE\SOFTWARE\Classes子项的映射。
HKEY_CURRENT_CONFIG(HKCC)配置单元包含的子项列出了运算机当前会话的所有硬件配置信息。
硬件配置文件显现于WindowsNT版本4,它承诺你选择在机器某个指定的会话中支持哪些设备驱动程序。
这些信息是HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet子项的映射。
HKEY_LOCAL_MACHINE(HKLM)的子树:
HARDWARE:
在系统启动时建立,包含了系统的硬件的信息
包含了用户帐号和密码信息
SECURITY:
包含了所有的安全配置信息
SOFTWARE:
包含应用程序的配置信息
SYSTEM:
包含了服务和设备的配置信息
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 操作 系统安全