1、第四章第四章 操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全技術(shù)2022-5-1812 2本章學(xué)習(xí)目標(biāo)本章學(xué)習(xí)目標(biāo)掌握掌握WindowsWindows系統(tǒng)中帳號(hào)的安全管理系統(tǒng)中帳號(hào)的安全管理掌握掌握WindowsWindows系統(tǒng)中網(wǎng)絡(luò)的安全管理系統(tǒng)中網(wǎng)絡(luò)的安全管理掌握掌握WindowsWindows系統(tǒng)中系統(tǒng)中IEIE瀏覽器的安全設(shè)置瀏覽器的安全設(shè)置掌握掌握WindowsWindows組策略的使用組策略的使用了解了解WindowsWindows權(quán)限的概念，并會(huì)進(jìn)行權(quán)限的設(shè)置權(quán)限的概念，并會(huì)進(jìn)行權(quán)限的設(shè)置掌握掌握WindowsWindows安全審計(jì)安全審計(jì)初步了解初步了解LinuxLinux系統(tǒng)的安全設(shè)置系統(tǒng)的

2、安全設(shè)置了解了解LinuxLinux自主訪問(wèn)控制與強(qiáng)制訪問(wèn)控制的概念自主訪問(wèn)控制與強(qiáng)制訪問(wèn)控制的概念了解計(jì)算機(jī)系統(tǒng)安全等級(jí)標(biāo)準(zhǔn)了解計(jì)算機(jī)系統(tǒng)安全等級(jí)標(biāo)準(zhǔn)3操作系統(tǒng)安全基礎(chǔ)4.1 操作系統(tǒng)安全概述4.2 Windows系統(tǒng)安全配置4.3 Linux系統(tǒng)安全配置4.4 安全等級(jí)標(biāo)準(zhǔn) 4操作系統(tǒng)安全概述操作系統(tǒng)安全的重要性操作系統(tǒng)安全的重要性操作系統(tǒng)是計(jì)算機(jī)系統(tǒng)的系統(tǒng)軟件，是計(jì)算機(jī)資源的操作系統(tǒng)是計(jì)算機(jī)系統(tǒng)的系統(tǒng)軟件，是計(jì)算機(jī)資源的直接管理者，它可以直接與硬件打交道，并為用戶提直接管理者，它可以直接與硬件打交道，并為用戶提供接口，是計(jì)算機(jī)軟件的基礎(chǔ)和核心，因此，操作系供接口，是計(jì)算機(jī)軟件的基礎(chǔ)和核心

3、，因此，操作系統(tǒng)的安全是整個(gè)計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)。統(tǒng)的安全是整個(gè)計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)。5操作系統(tǒng)安全概述操作系統(tǒng)安全的重要性操作系統(tǒng)安全的重要性網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)系統(tǒng)的安全性依賴于網(wǎng)絡(luò)中個(gè)主機(jī)系網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)系統(tǒng)的安全性依賴于網(wǎng)絡(luò)中個(gè)主機(jī)系統(tǒng)的安全性，而主機(jī)系統(tǒng)的安全性正是由操作系統(tǒng)的安統(tǒng)的安全性，而主機(jī)系統(tǒng)的安全性正是由操作系統(tǒng)的安全性所決定的，沒有安全的操作系統(tǒng)的支持，網(wǎng)絡(luò)安全全性所決定的，沒有安全的操作系統(tǒng)的支持，網(wǎng)絡(luò)安全也毫無(wú)根基可言。也毫無(wú)根基可言。因此，操作系統(tǒng)的安全是整個(gè)計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)，因此，操作系統(tǒng)的安全是整個(gè)計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)，沒有操作系統(tǒng)安全，就不可能真正解決數(shù)據(jù)庫(kù)

4、安全、網(wǎng)沒有操作系統(tǒng)安全，就不可能真正解決數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)安全和其他應(yīng)用軟件的安全性問(wèn)題。絡(luò)安全和其他應(yīng)用軟件的安全性問(wèn)題。6操作系統(tǒng)安全概述操作系統(tǒng)安全的主要目標(biāo)為：操作系統(tǒng)安全的主要目標(biāo)為： 按系統(tǒng)安全策略對(duì)用戶的操作進(jìn)行訪問(wèn)控制，防止用戶對(duì)計(jì)算機(jī)資源的非法使用(竊取、篡改和破壞)； 標(biāo)識(shí)系統(tǒng)中的用戶，并對(duì)身份進(jìn)行鑒別； 監(jiān)督系統(tǒng)運(yùn)行的安全性； 保證系統(tǒng)自身的安全性和完整性。7操作系統(tǒng)安全概述普遍的安全機(jī)制包括：普遍的安全機(jī)制包括： 信任的功能性：指任何加強(qiáng)現(xiàn)有機(jī)制的執(zhí)行過(guò)程。 事件監(jiān)測(cè)：檢查和報(bào)告本地或遠(yuǎn)程發(fā)生的事件。 審計(jì)跟蹤：任何機(jī)制都允許監(jiān)視和記錄與安全有關(guān)的活動(dòng)。 安全恢復(fù)：對(duì)一

5、些事件作出反應(yīng)，包括對(duì)于已知漏洞創(chuàng)建短期和長(zhǎng)期的解決方案和對(duì)受害系統(tǒng)的修復(fù)。8操作系統(tǒng)安全級(jí)別Trusted Computer System Evaluation Criteria-TCSECAB3B2B1C2C1D2022-5-1889Windows系統(tǒng)安全配置1、Windows 帳號(hào)安全管理2、網(wǎng)絡(luò)安全管理3、IE瀏覽器安全配置4、注冊(cè)表安全5、Windows組策略6、Windows權(quán)限管理7、Windows安全策略與審計(jì)8、遠(yuǎn)程桌面安全配置10Windows系統(tǒng)安全配置1、Windows 帳號(hào)安全管理添加用戶 禁用 Guest 賬號(hào) 對(duì) Administrator 賬號(hào)進(jìn)行重命名 進(jìn)行本

6、地安全策略中賬戶安全相關(guān)的設(shè)置最小特權(quán)原則11Windows 帳號(hào)安全管理添加用戶 12Windows 帳號(hào)安全管理禁用 Guest 賬號(hào) 13Windows 帳號(hào)安全管理對(duì) Administrator 賬號(hào)進(jìn)行重命名 14Windows 帳號(hào)安全管理進(jìn)行本地安全策略中賬戶安全相關(guān)的設(shè)置設(shè)置賬號(hào)密碼必須滿足復(fù)雜性要求 本地策略設(shè)置用戶連續(xù)登錄失敗 3 次，則鎖定 30 分鐘設(shè)置密碼的長(zhǎng)度必須大于 815Windows 帳號(hào)安全管理操作系統(tǒng)的登錄密碼（P96）給賬戶雙重加密（P96） 16Windows 帳號(hào)安全管理最小特權(quán)原則指應(yīng)限定網(wǎng)絡(luò)中的每個(gè)主體所必須的最小特權(quán)，確保因可能的事故、錯(cuò)誤、網(wǎng)

7、絡(luò)部件的篡改等原因造成的損失最小。最小特權(quán)原則有效的限制、分割了用戶對(duì)數(shù)據(jù)資料進(jìn)行訪問(wèn)時(shí)的權(quán)限，降低非法用戶或非法操作可能給系統(tǒng)帶來(lái)的損失，對(duì)系統(tǒng)安全具有至關(guān)重要的作用。17網(wǎng)絡(luò)安全管理Windows 系統(tǒng)中有許多用不著的服務(wù)自動(dòng)處于激活狀態(tài)，它們中可能存在安全漏洞，使得攻擊者能夠控制機(jī)器。為了系統(tǒng)的安全，應(yīng)該把用不著的服務(wù)及時(shí)關(guān)閉，從而可以減少安全風(fēng)險(xiǎn)。另外，需要把系統(tǒng)用不著的網(wǎng)絡(luò)端口也關(guān)閉，防止黑客的攻擊。18網(wǎng)絡(luò)安全管理禁用 80、21、25 端口之外的其它端口的通訊19網(wǎng)絡(luò)安全管理關(guān)閉不需要的服務(wù) 禁用 Termimal Server20網(wǎng)絡(luò)安全管理使用 Ipconfig 和 Nets

8、tat 命令單擊“開始|運(yùn)行” ，輸入“cmd”打開命令窗體；輸入“ipconfig/all”查看網(wǎng)絡(luò)設(shè)置。在 cmd 窗口輸入 “netstat -na” 可以查看當(dāng)前端口開放情況21網(wǎng)絡(luò)安全管理禁止NetBIOS根據(jù)“最小的服務(wù)+最小的權(quán)限=最大的安全”等式，關(guān)閉不需要的服務(wù)，卸載不需要的協(xié)議，可增強(qiáng)系統(tǒng)的安全。操作步驟參考P9922網(wǎng)絡(luò)安全管理禁止遠(yuǎn)程協(xié)助“遠(yuǎn)程協(xié)助”功能允許用戶在使用計(jì)算機(jī)發(fā)生困難時(shí)，向MSN上的好友發(fā)出遠(yuǎn)程協(xié)助邀請(qǐng)，來(lái)幫助自己解決問(wèn)題?！斑h(yuǎn)程協(xié)助”功能正是“沖擊波”病毒所要攻擊的RPC服務(wù)在WinXP上的表現(xiàn)形式，建議禁止。 操作步驟參見P99。23網(wǎng)絡(luò)安全管理終端服

9、務(wù)用戶利用“終端服務(wù)” 可以對(duì)遠(yuǎn)程計(jì)算機(jī)系統(tǒng)實(shí)現(xiàn)遠(yuǎn)程控制。步驟參見P100。24網(wǎng)絡(luò)安全管理防范IPC默認(rèn)共享 WinXP在默認(rèn)安裝后允許任何用戶連接（IPC$）得到系統(tǒng)所有賬號(hào)和共享列表，可通過(guò)修改注冊(cè)表禁止空用戶連接。步驟參見P100。25網(wǎng)絡(luò)安全管理IP安全策略通過(guò)新建IP安全策略來(lái)關(guān)閉計(jì)算機(jī)中的危險(xiǎn)端口，可以防范病毒和木馬的入侵與蔓延。步驟參見P101 26IE瀏覽器安全配置ieInternet選項(xiàng)注冊(cè)表設(shè)置27注冊(cè)表安全注冊(cè)表是Windows的重要組成部分，他存放了Windows中所有應(yīng)用程序和系統(tǒng)配置信息。Windows將它的配置信息存儲(chǔ)在以樹狀格式組織的數(shù)據(jù)庫(kù)（注冊(cè)表）中，在Wi

10、ndows功能和應(yīng)用軟件被執(zhí)行之前，首先從注冊(cè)表中讀取參數(shù)，根據(jù)這些參數(shù)決定軟件的具體運(yùn)行過(guò)程。除非絕對(duì)必要，否則不要編輯注冊(cè)表。注冊(cè)表也是黑客攻擊的主要對(duì)象之一。regedit28注冊(cè)表安全注冊(cè)表編輯器項(xiàng)與數(shù)據(jù)類型注冊(cè)表目錄數(shù)據(jù)類型維護(hù)注冊(cè)表安全性權(quán)限導(dǎo)入和導(dǎo)出注冊(cè)表項(xiàng)解開被鎖注冊(cè)表Gpedit.msc29Windows組策略組策略設(shè)置定義了系統(tǒng)管理員需要管理的用戶桌面環(huán)境的多種組件，如用戶可用的程序、用戶桌面上出現(xiàn)的程序及“開始”菜單等選項(xiàng)。Gpedit.msc打開組策略對(duì)話框隱藏計(jì)算機(jī)的驅(qū)動(dòng)器防止訪問(wèn)驅(qū)動(dòng)器隱藏文件夾選項(xiàng)關(guān)閉縮略圖緩存關(guān)閉自動(dòng)播放30Windows權(quán)限管理Windows提

11、供了非常細(xì)致的權(quán)限控制項(xiàng)，能夠精確定制用戶對(duì)資源的訪問(wèn)控制能力。權(quán)限是針對(duì)資源而言的，設(shè)置權(quán)限只能以資源為對(duì)象，而不能以用戶為主。31Windows權(quán)限管理安全標(biāo)識(shí)符SID一種不同長(zhǎng)度的數(shù)據(jù)結(jié)構(gòu)，用來(lái)識(shí)別用戶、組和計(jì)算機(jī)帳戶。網(wǎng)絡(luò)上每一個(gè)初次創(chuàng)建的帳戶都會(huì)收到一個(gè)唯一的 SID。Windows 中的內(nèi)部進(jìn)程將引用帳戶的 SID 而不是帳戶的用戶名或組名。 訪問(wèn)控制列表ACL訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。安全主體Security principal為訪問(wèn)資源而自動(dòng)分配安全標(biāo)識(shí)符的帳戶持有者。安全主體可以

12、是用戶、組或計(jì)算機(jī)。32Windows權(quán)限管理權(quán)限管理的4項(xiàng)基本原則拒絕優(yōu)于允許原則權(quán)限最小化原則權(quán)限繼承性原則累加原則拒絕優(yōu)于允許原則是用于解決權(quán)限設(shè)置上的沖突問(wèn)題的；權(quán)限最小化原則適用于保障資源安全的；權(quán)限繼承性原則適用于權(quán)限設(shè)置的自動(dòng)化的；累加原則讓權(quán)限設(shè)置更加靈活多變。33Windows安全策略與審計(jì)Windows 操作系統(tǒng)中文件操作的審計(jì)策略對(duì) Windows 用戶賬號(hào)管理進(jìn)行審計(jì) 對(duì) Windows 用戶登錄事件進(jìn)行審計(jì)對(duì)系統(tǒng)補(bǔ)丁自動(dòng)升級(jí)進(jìn)行配置34遠(yuǎn)程桌面安全配置某臺(tái)計(jì)算機(jī)開啟了遠(yuǎn)程桌面連接功能后我們就可以在網(wǎng)絡(luò)的另一端控制這臺(tái)計(jì)算機(jī)了，通過(guò)遠(yuǎn)程桌面功能我們可以實(shí)時(shí)的操作這臺(tái)計(jì)算

13、機(jī)，在上面安裝軟件，運(yùn)行程序，所有的一切都好像是直接在該計(jì)算機(jī)上操作一樣。這就是遠(yuǎn)程桌面的最大功能，通過(guò)該功能網(wǎng)絡(luò)管理員可以在家中安全的控制單位的服務(wù)器。 35Linux系統(tǒng)安全配置賬號(hào)安全管理存取訪問(wèn)控制資源安全管理網(wǎng)絡(luò)安全管理2022-5-183536Su、sudo刪除特殊用戶和組修改默認(rèn)密碼長(zhǎng)度修改口令文件屬性系統(tǒng)將用戶名存放在/etc/passwd中，而將口令以加密的形式存放在/etc/shadow中，能夠?qū)ζ湓L問(wèn)的只能是超級(jí)用戶(root)和操作系統(tǒng)的一些應(yīng)用程序?？诹畹倪x擇非常重要，一些常用的、容易被猜到的口令都會(huì)給系統(tǒng)帶來(lái)不安全的因素，而且如果配置不當(dāng)或在一些系統(tǒng)運(yùn)行出錯(cuò)的情況下

14、，這些信息可以被普通用戶得到。進(jìn)而，黑客就可以使用一類被稱為“口令破解”的工具去得到加密前的口令。賬號(hào)安全管理37存取訪問(wèn)控制Linux文件系統(tǒng)的安全主要是通過(guò)設(shè)置文件的權(quán)限來(lái)實(shí)現(xiàn)的。訪問(wèn)者：文件擁有者u，同組用戶g，其他用戶o訪問(wèn)類型：讀r，寫w，執(zhí)行xLs查看文件，chomd修改權(quán)限38資源安全管理保護(hù)關(guān)鍵分區(qū)可以將不同的應(yīng)用安裝在不同的分區(qū)上,每個(gè)分區(qū)分別進(jìn)行不同的配置。保護(hù)文件提高文件的安全級(jí)別。Lsattr命令查看屬性，chattr命令修改文件屬性。2022-5-183839網(wǎng)絡(luò)安全管理取消不必要的服務(wù)隱藏系統(tǒng)信息登錄終端設(shè)置Tcp_wrappers定期檢查日志防止ping防ip欺騙

15、使用ssh遠(yuǎn)程登錄linux系統(tǒng)刪除或禁用r字頭命令使用防火墻，防止網(wǎng)絡(luò)攻擊使用系統(tǒng)安全檢查命令對(duì)系統(tǒng)進(jìn)行安全檢查2022-5-183940修改文件所有權(quán)查看當(dāng)前文件屬性：ls l（字母l）修改主目錄下文件權(quán)限：chown daemon *查看修改后的文件屬性：ls l修改回主目錄下文件權(quán)限：chown root *41修改主目錄文件權(quán)限查看當(dāng)前文件屬性：ls l修改主目錄下文件權(quán)限：chmod 700 *查看修改后的文件屬性： ls -l42用戶管理:添加用戶：useradd tom輸入密碼：passwd tom添加組：groupadd testgroup把用戶加入到組：useradd -g

16、 testgroup tom刪除用戶：userdel tom刪除組：groupdel testgroup43查看各種系統(tǒng)日志查看最后一次系統(tǒng)引導(dǎo)的日志：dmesgLinux日志存儲(chǔ)在/var/log目錄中，以下為常用系統(tǒng)日志列表，可使用more命令查看：lastlog:記錄用戶最后一次成功登錄時(shí)間。loginlog:不良的登錄嘗試記錄。messages:記錄輸出到系統(tǒng)主控制臺(tái)以及由syslog系統(tǒng)服務(wù)程序產(chǎn)生的消息。utmp:記錄當(dāng)前登錄的每個(gè)用戶。wtmp:記錄每一次用戶登錄和注銷的歷史信息。44系統(tǒng)各用戶操作日志last命令，讀取wtmp日志文件：lasthistory命令，能夠保存最近所執(zhí)行的命令：history45系統(tǒng)服務(wù)的管理重新啟動(dòng)系統(tǒng)服務(wù)：/etc/init.d/acpid restart關(guān)閉系統(tǒng)服務(wù)：/etc/init.d/acpid stop開啟系統(tǒng)服務(wù)：/etc/init.d/acpid start46使用chkconfig命令管理系統(tǒng)服務(wù)列出當(dāng)前所有系統(tǒng)服務(wù)狀態(tài)：chkconfig -list|more顯示某個(gè)系統(tǒng)服務(wù)狀態(tài)：chkconfig -list acpid關(guān)閉系統(tǒng)服務(wù)：chkconfig