網(wǎng)絡安全技術5課件

第5章操作系統(tǒng)安全主要內(nèi)容5.1操作系統(tǒng)安全機制5.2Windows操作系統(tǒng)安全5.3Linux操作系統(tǒng)安全5.1操作系統(tǒng)安全機制身份認證機制訪問控制機制⑴自主訪問控制(discretionaryaccesscontrol，DAC)，根據(jù)用戶的身份及允許訪問權限決定其訪問操作。⑵強制訪問控制(mandatoryaccesscontrol，MAC)，指用戶與文件都有一個固定的安全屬性，系統(tǒng)用該安全屬性來決定一個用戶是否可以訪問某個文件。⑶基于角色的訪問控制(role-basedaccesscontrol，RBAC)。RBAC解決了具有大量用戶、數(shù)據(jù)客體和訪問權限的系統(tǒng)中授權管理問題。5.1操作系統(tǒng)安全機制最小特權管理機制最小特權(1eastprivilege)是指在完成某種操作時賦予每個主體(用戶或進程)必不可少的特權。最小特權原則一方面給予主體“必不可少”的特權，保證了所有的主體能在所賦予的特權之下完成所需要完成的任務或操作；另一方面，它只給予主體“必不可少”的特權，從而限制了每個主體所能進行的操作，確保由于可能的事故、錯誤、網(wǎng)絡部件的篡改等原因造成的損失最小?？尚磐窓C制可信通路(trustpath)是終端人員能借以直接同可信計算基(trustedcomputingbase，TCB)通信的一種機制。隱蔽通道的分析與處理隱蔽通道是指系統(tǒng)中利用那些本來不是用于通信的系統(tǒng)資源繞過強制訪問控制進行非法通信的一種機制。安全審計機制審計為系統(tǒng)進行事故原因的查詢、定位、事故發(fā)生前的預測、報警以及事故發(fā)生之后的實時處理提供詳細、可靠的依據(jù)和支持，以便有違反系統(tǒng)安全規(guī)則的事件發(fā)生后能夠有效地追查事件發(fā)生的地點和過程。5.2.1

WindowsServer2003賬號安全賬號種類1.域用戶賬號域用戶賬號是用戶訪問域的惟一憑證，因此在域中必須是惟一的。域用戶賬號是在域控制器上建立，作為活動目錄的一個對象保存在域的數(shù)據(jù)庫中。用戶在從域中的任何一臺計算機登錄到域中的時候必須提供一個合法的域用戶賬號，該賬號將被域控制器所驗證。2.本地用戶賬號本地用戶賬號只能建立在Windows2003獨立服務器上，以控制用戶對該計算機資源的訪問。3.內(nèi)置的用戶賬號(1)Administrator賬號Administrator(管理員)賬號被賦予在域中和在計算機中具有不受限制的權利，該賬號被設計用于對本地計算機或域進行管理，可以從事創(chuàng)建其他用戶賬號、創(chuàng)建組、實施安全策略、管理打印機以及分配用戶對資源的訪問權限等工作。(2)Guest賬號Guest(來賓)賬號一般被用于在域中或計算機中沒有固定賬號的用戶臨時訪問域或計算機時使用的。該賬號默認情況下不允許對域或計算機中的設置和資源做永久性的更改。出于安全考慮，Guest帳號在Windows2003安裝好之后是被屏蔽的。賬號命名約定由于賬號的在域中的重要性和惟一性，因此賬號的命名約定十分重要。一個好的帳號命名約定將有助于規(guī)劃一個高效的活動目錄。Windows2003的賬號命名約定包括如下內(nèi)容：域用戶賬號的用戶登錄名在AD中必須惟一。域用戶賬號完全名稱在創(chuàng)建該用戶賬號的域中必須惟一。本地用戶賬號在創(chuàng)建該賬號的計算機上必須惟一。如果用戶名稱有重復，則應該在賬號上區(qū)別出來。帳號和密碼安全設置為了控制用戶對域的訪問，加強域的安全性，可以設置用戶登錄域的時間以及從哪臺工作站登錄到域中等，這些選項都可以在用戶的屬性中加以確定。另外對于已經(jīng)不再在企業(yè)中工作的員工來說，及時刪除或屏蔽該員工的用戶帳號是很重要的，否則將是一個安全隱患。利用帳戶選項卡中的帳戶過期可以幫助管理員維護帳號的使用期限。5.2.2WindowsServer2003文件系統(tǒng)安全NTFS權限的使用原則（1）權限最大原則當一個用戶同時屬于多個組，而這些組又有可能被對某種資源賦予了不同的訪問權限，則用戶對該資源最終有效權限是在這些組中最寬松的權限，即加權限，將所有的權限加在一起即為該用戶的權限(“完全控制”權限為所有權限的總和)。（2）文件權限超越文件夾權限原則當用戶或組對某個文件夾以及該文件夾下的文件有不同的訪問權限時，用戶對文件的最終權限是用戶被賦予訪問該文件的權限，即文件權限超越文件的上級文件夾的權限，用戶訪問該文件夾下的文件不受文件夾權限的限制，而只受被賦予的文件權限的限制。（3）拒絕權限超越其他權限原則當用戶對某個資源有拒絕權限時，該權限覆蓋其他任何權限，即在訪問該資源的時候只有拒絕權限是有效的。當有拒絕權限時權限最大法則無效。因此對于拒絕權限的授予應該慎重考慮。NTFS權限的繼承在同一個NTFS分區(qū)內(nèi)或不同的NTFS分區(qū)之間移動或拷貝一個文件或文件夾時，該文件或文件夾的NTFS權限會發(fā)生不同的變化。1．在同一個NTFS分區(qū)內(nèi)移動文件或文件夾在同一分區(qū)內(nèi)移動的實質(zhì)就是在目的位置將原位置上的文件或文件夾“搬”過來，因此文件和文件夾仍然保留有在原位置的一切NTFS權限。2．在不同NTFS分區(qū)之間移動文件或文件夾在這種情況下文件和文件夾會繼承目的分區(qū)中文件夾的權限(ACL)，實質(zhì)就是在原位置刪除該文件或文件夾，并且在目的位置新建該文件或文件夾。3．在同一個NTFS分區(qū)內(nèi)拷貝文件或文件夾在這種情況下拷貝文件和文件夾將繼承目的位置中的文件夾的權限。4．在不同NTFS分區(qū)之間拷貝文件或文件夾在這種情況下拷貝文件和文件夾將繼承目的位置中文件夾的權限。共享文件夾權限管理1.共享文件夾共享文件夾(ShareFolder)是被用來向網(wǎng)絡用戶提供對文件資源的訪問，可以包括應用程序、公用數(shù)據(jù)或用戶個人數(shù)據(jù)。當一個文件夾被共享的時候,用戶可通過網(wǎng)絡連接到該文件夾并訪問其中包含的文件.但用戶需要擁有訪問共享文件夾的權限。2.共享文件夾權限讀權限：用戶可以顯示文件夾名稱、文件名、文件屬性；可以運行程序文件；可以對共享文件夾內(nèi)的文件夾作出改動。修改權限：用戶可以創(chuàng)建文件夾、向文件夾中添加文件、改變文件中的數(shù)據(jù)、向文件中添加數(shù)據(jù)、改變文件屬性、刪除文件夾和文件、并能執(zhí)行讀權限允許的操作。完全控制權限：用戶可以改變文件權限、獲取文件的所有權、并執(zhí)行修改權限允許的所有任務。3.共享文件夾權限特點共享文件夾權限用于文件夾而不是單獨的文件。共享文件夾權限只能用于整個共享文件夾，不能用于共享文件夾中的單個文件或子文件夾。共享文件夾權限只適用于通過網(wǎng)絡連接文件夾的用戶，對存儲共享文件夾的計算機上的用戶訪問則不受限制。5.2.3WindowsServer2003主機安全實施本地安全設置①賬戶策略包含密碼策略和帳戶策略。密碼策略用來規(guī)范使用這臺計算機的用戶的密碼設置，如密碼最小長度、密碼復雜性要求、強制密碼歷史等，通過這些設置可以強制用戶的密碼使用習慣；賬戶策略來防止惡意攻擊，當多次輸入不正確的密碼時系統(tǒng)會自動鎖定該賬戶。②本地策略本地策略包含【審核策略】、【用戶權力指派】和【安全選項】?！緦徍瞬呗浴恐邪藢ο到y(tǒng)行為的審核設置，確定哪些系統(tǒng)事件要求審核而哪些不用,審核發(fā)生的事件按照預先設定的方式記錄下來以供檢查和分析，至于審核的事件是哪些，由審核策略來確定。

③公鑰策略公鑰策略用來設置【加密恢復代理人】。NTFS5.0具有EFS加密功能，EFS加密是利用非對稱加密體系(即公鑰私鑰對)對文件加密，而私鑰的持有人為使用EFS加密文件的用戶，NTFS依靠該用戶的SID來判斷其私鑰。如果用戶賬戶被刪除，則即使是新建—個—模一樣的用戶賬戶，由于其SID不向因此也無法恢復經(jīng)過加密的數(shù)據(jù)。利用公鑰策略可以設置經(jīng)過加密的數(shù)據(jù)恢復代理，通過該代理恢復數(shù)據(jù)。④IP安全策略(IPSec)【IP安全策略】設置IPSec，可以為兩臺使用IP協(xié)議傳輸數(shù)據(jù)的計算機建立一個加密的安全通信通道，從而保證了數(shù)據(jù)在網(wǎng)絡上傳輸?shù)陌踩?。IPSec加密傳輸?shù)臄?shù)據(jù)，其配置和管理可以在IP安全策略中進行。配置并實施組策略(1)什么是組策略windowsserver2003活動目錄，沒有“系統(tǒng)策略編輯器”，而是使用“組策略”。該工具的主要作用是規(guī)定用戶和計算機的使用環(huán)境。組策略不僅應用于用戶和客戶端計算機，還應用于成員服務器、域控制器以及管理范圍內(nèi)的其他計算機。組策略設置定義了系統(tǒng)管理員需要管理的用戶桌面環(huán)境的各種組件。要為特定用戶組創(chuàng)建特殊的桌面配置，可使用組策略對象編輯器創(chuàng)建組策略對象，組策略對象又與選定的活動目錄對象相關聯(lián)。（2）組策略的使用條件通過一次設定可以在多臺計算機上應用，需要實施組策略。組策略的各種設定都保存在一個被稱為組策略對象中(GPO，GroupPolicyObject).在實施組策略前應該滿足以下的條件：組策略只能應用在基于Windows2000的域控制器的網(wǎng)絡中的計算機和用戶；組策略中的各種設定值均保存在活動目錄數(shù)據(jù)庫中，因此在域控制器上可以保存設置值。（3）組策略的使用規(guī)則多個策略同時存在，按如下策略應用：首先是本地策略；其次是站點和域級的策略；最后是應用組織單元的設定值。策略的有效值是多個策略的并集，但當對于一個項目有不同的設置值時，后面的將代替前面的設置值。在默認情況下活動目錄結構中的下層容器會繼承上層容器的策略。最上層容器為站點，其下為域和組織單位。5.3Linux操作系統(tǒng)安全5.3.1Linux自身的安全機制身份驗證機制用戶的身份驗證和權限是分開的，采用PAM(pluggableauthenticationmodules)身份驗證體系安全審計強制訪問控制安全增強Linux(securityenhancedLinux，SELinux)和基于規(guī)則集的訪問控制(rulesetbasedaccesscontrol，RSBAC)Linux安全模塊加密文件系統(tǒng)密碼文件系統(tǒng)(cryptographic，CFS)、透明密碼文件系統(tǒng)(tran