计算机操作系统的安全与配置.ppt

2019/7/28,1,第6章 计算机操作系统的安全与配置,本章要点： WindowsXP的安全性 Unix系统的安全性 Linux系统的安全性,2019/7/28,2,6.1 WindowsXP操作系统的安全性,6.1.1 WindowsXP的登录机制 1交互式登录 （1）本地用户账号 （2）域用户账号 2网络登录 3服务登录 4批处理登录,2019/7/28,3,6.1.2 Windows XP的屏幕保护机制,2019/7/28,4,6.1.3 Windows XP的文件保护机制,1WFP 的工作原理 WFP 把某些文件认为是非常重要的系统文件。在Windows XP刚装好后，系统会自动备份这些文件到一个专门的叫做 dllcache 的文件夹，这个dllcache 文件夹的位置默认保存在%SYSTEMROOT%system32dllcache目录下。,2019/7/28,5,6.1.3 Windows XP的文件保护机制,2WFP (Windows File Protection)功能的工作方式 WFP 功能使用两种机制为系统文件提供保护。 第一种机制在后台运行。在 WFP 收到受保护目录中的文件的目录更改通知后，就会触发这种保护机制。WFP 收到这一通知后，就会确定更改了哪个文件。如果此文件是受保护的文件，WFP 将在编录文件中查找文件签名，以确定新文件的版本是否正确。 WFP 功能提供的第二种保护机制是系统文件检查器 (Sfc.exe) 工具。图形界面模式安装结束时，系统文件检查器工具对所有受保护的文件进行扫描，确保使用无人参与安装过程安装的程序没有对它们进行修改。,2019/7/28,6,6.1.4 利用注册表提高Windows XP系统的安全,注册表实质上是一个庞大的数据库,用来存储计算机软硬件的各种配置信息.内容主要包含几个方面:软硬件的有关配置和状态信息,应用程序和资源管理器外壳的初始条件、首选项和卸载数据;计算机整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件的描述、状态和属性;计算机性能记录和底层的系统状态信息以及各类其他数据.,2019/7/28,7,6.1.4 利用注册表提高Windows XP系统的安全,1注册表受到损坏的主要原因 （1）用户反复添加或更新驱动程序时，多次操作造成失误，或添加的程序本身存在问题，安装应用程序的过程中注册表中添加了不正确的项。 （2）驱动程序不兼容。计算机外设的多样性使得一些不熟悉设备性能的用户将不配套的设备安装在一起，尤其是一些用户在更新驱动时一味追求最新、最高端，却忽略了设备的兼容性。当操作系统中安装了不能兼容的驱动程序时，就会出现问题。 （3）通过“控制面板”的“添加/删除程序”添加程序时，由于应用程序自身的反安装特性，或采用第三方软件卸载自己无法卸载的系统自带程序时，都可能会对注册表造成损坏。另外，删除程序、辅助文件、数据文件和反安装程序也可能会误删注册表中的参数项。,2019/7/28,8,6.1.4 利用注册表提高Windows XP系统的安全,1注册表受到损坏的主要原因 （4）当用户经常安装和删除字体时，可能会产生字体错误。可能造成文件内容根本无法显示。 （5）硬件设备改变或者硬件失败。如计算机受到病毒侵害、自身有问题或用电故障等。 （6）用户手动改变注册表导致注册表受损也是一个重要原因。由于注册表的复杂性，用户在改动过程中难免出错，如果简单地将其它计算机上的注册表复制过来，可能会造成非常严重的后果。,2019/7/28,9,2WindowsXP系统注册表的结构,6.1.4 利用注册表提高Windows XP系统的安全,2019/7/28,10,6.1.4 利用注册表提高Windows XP系统的安全,2WindowsXP系统注册表的结构 Windows XP注册表共有5个根键。 HKEY_CLASSES_ROOT 此处存储的信息可以确保当使用Windows资源管理器打开文件时，将使用正确的应用程序打开对应的文件类型。 HKEY_CURRENT_USER 包含当前登录用户的配置信息的根目录。用户文件夹、屏幕颜色和“控制面板”设置存储在此处。该信息被称为用户配置文件。在用户登录Windows XP时，其信息从HKEY_USERS中相应的项拷贝到HKEY_CURRENT_USER中。,2019/7/28,11,6.1.4 利用注册表提高Windows XP系统的安全,2WindowsXP系统注册表的结构 Windows XP注册表共有5个根键。 HKEY_LOCAL_MACHINE 包含针对该计算机（对于任何用户）的配置信息。 HKEY_USERS 包含计算机上所有用户的配置文件的根目录。 HKEY_CURRENT_CONFIG 管理当前用户的系统配置。在这个根键中保存着定义当前用户桌面配置(如显示器等等)的数据,该用户使用过的文档列表（MRU），应用程序配置和其他有关当用户的Windows XP中文版的安装的信息。,2019/7/28,12,6.1.4 利用注册表提高Windows XP系统的安全,3通过修改WindowsXP注册表提高系统的安全性 （1）修改注册表的访问权限 （2）让文件彻底隐藏 （3）禁止使用控制面板 请参照教材P105介绍进行操作,2019/7/28,13,启动策略管理的命令：Gpedit.msc,6.1.5 本地安全的账户策略,2019/7/28,14,帐户策略,密码策略 Kerberos策略(针对Server系列) 帐户锁定策略,2019/7/28,15,密码复杂性要求,如果启用此策略，密码必须符合下列最低要求: 不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分 至少有六个字符长 包含以下四类字符中的三类字符: 英文大写字母(A 到 Z) 英文小写字母(a 到 z) 10 个基本数字(0 到 9) 非字母字符(例如 !、$、#、%),2019/7/28,16,本地策略,审核策略：确定是否将安全事件记录到计算机上的安全日志中。同时也确定是否记录登录成功或登录失败，或二者都记录。（“安全”日志是事件查看器的一部分。） 用户权利指派：确定哪些用户或组具有登录计算机的权利或特权。 安全选项：启用或禁用计算机的安全设置，例如数据的数字信号、Administrator和Guest的帐户名、软盘驱动器和光盘的访问、驱动程序的安装以及登录提示。,2019/7/28,17,审核策略设置,2019/7/28,18,用户权利指派设置,优先级高于“在本地登录”,2019/7/28,19,安全选项设置,2019/7/28,20,6.1.6 Windows服务,Win32服务程序由3部分组成：服务应用程序，服务控制程序和服务控制管理器 服务应用程序是服务程序的主体程序，是一个或者多个服务的可执行代码 服务的启动方式有三种：“自动”是指当计算机启动或者需要的时候就开启；“手动”是可以在命令提示符中通过“net start”命令打开和“net stop”命令关闭的；“已禁止”是指在改变启动方式前，不允许启动的服务 启动管理工具的命令：Services.msc,2019/7/28,21,Windows服务,这些服务程序很多是互相依存的，所以不能随便停止某项服务，否则很可能造成系统的非正常情况出现，但是有的服务对我们来说的确没有什么作用，而且还占据着系统资源。 正常工作中用不到的程序，完全可以关闭，从而达到节省资源的目的。 可以改变服务的启动顺序，进一步优化系统，提高系统运行效率和安全性能。,2019/7/28,22,禁用不必要的服务,很多服务是用户根本不需要的 选择“开始”“运行”，键入“services.msc”并回车，即可打开“服务”管理程序。也可以选择“控制面板”“管理工具”“服务”，进入该界面，即可打开已经安装在系统中的服务列表。不同的硬件配置或者不同的Windows版本中的服务项目是有所区别的。 选择“查看”“详细信息”，即可在“描述”列表中看到每一项服务的具体内容和功能。,2019/7/28,23,Windows服务解析配置,1、 Alert（警报器），建议：已禁止 2、Application Layer Gateway Service，建议：已禁止 3、Application Management（应用程序管理），建议：手动 4、Automatic Updates，建议：已禁止 5、Background Intelligent Transfer Service，建议：已禁止 6、ClipBook（剪贴簿），建议：已禁止 7、COM+EventSystem（COM+事件系统），建议：手动 8、COM+System Application，建议：手动 9、Computer Browser（计算机浏览器），建议：已禁止 10、Cryptographic Services，建议：手动 11、DHCP Client（DHCP客户端），建议：手动 12、Distributed Link Tracking Client（分布式连结追踪客户端），建议：已禁止,2019/7/28,24,Windows服务解析配置,13、Distributed Transaction Coordinator（分布式交换协调器），建议：已禁止 14、DNS Client（DNS客户端），建议：已禁止 15、Error Reporting Service，建议：已禁止 16、Event Log（事件记录文件），建议：自动 17、Fast User Switching Compatibility，建议：手动 18、Help and Support，建议：已禁止。 19、Human Interface Device Access，建议：手动 20、IMAPICD-Burning COM Service，建议：已禁止 21、Indexing Service（索引服务），建议：已禁止 22、Internet Connection Firewall（ICF）/Internet Connection Sharing（ICS），建议：已禁止 23、IPSEC Services（IP安全性服务），建议：手动 24、LogicalDiskManager（逻辑磁盘管理员），建议：自动,2019/7/28,25,Windows服务解析配置,25、Logical Disk Manager Administrative Service（逻辑磁盘管理员系统管理服务），建议：手动 26、Messenger（信使服务），建议：已禁止 27、MS Software Shadow Copy Provider，建议：已禁止 28、Smart Card，建议：已禁止 29、Smart Card Helper（智能卡协助程序），建议：已禁止 30、SSDP Discovery Service，建议：已禁止 31、System Event Notification（系统事件通知），建议：自动 32、System Restore Service，建议：已禁止 33、Task Scheduler，建议：手动 34、TCP/IP NetBIOS Helper（TCP/IP NetBIOS协助程序），建议：已禁止,2019/7/28,26,Windows服务解析配置,35、Telephony（电话语音），建议：手动 36、Telnet，建议：已禁止 37、Terminal Services（终端服务），建议：已禁止 38、Themes，建议：自动 39、Uninterruptible Power Supply（不断电供电系统），建议：已禁止 40、Universal Plug and Play Device Host，建议：自动 41、Volume Shadow Copy，。建议：已禁止。 42、Web Client，建议：已禁止。 43、Windows Audio，建议：自动。 44、Windows Image Acquisition（WIA）（Windows影像取得程序），建议：已禁止 45、Windows Installer（Windows安装程序），建议：自动 46、Windows Management Instrumentation（WMI），建议：自动,2019/7/28,27,Windows服务解析配置,47、Windows Management Instrumentation Driver Extensions ( Windows Management Instrumentation驱动程序延伸)，建议：手动 48、Windows Time（Windows时间设定），建议：已禁止 49、Wireless Zero Configuration，建议：已禁止 50、WMI Performance Adapter，建议：已禁止 51、Workstation（工作站），建议：自动,2019/7/28,28,6.1.7 XP操作系统进程解析,2019/7/28,29,进程的概念,进程是程序在计算机上的一次执行活动。运行一个程序时，就启动了一个进程。相对而言，程序是一组代码，是静态的，进程是代码的执行行为，是活的。 在Windows下，进程又被细化为线程，也就是一个进程下有多个能独立运行的更小的单位。 多线程的好处： 产生多响应效果 可以充分使用多处理器,2019/7/28,30,Windows基本进程解析,1、Winlogon Winlogon是一个登录/退出进程。winlogon在用户按下CTRL+ALT+DEL时激活，并显示安全对话框。该进程提供了登录所需的类型控制和输入口令所需的对话框。当你输入用户名和口令时，Winlogon将其发送给一个叫做LSASS的子进程。如果你执行对服务器或工作站的本地登录，LSASS进程将在安全数据库（亦即SAM）中查对有关用户名和口令。Winlogon有两个子进程，即服务控制器和LSASS。 2、Explorer进程 在Windows系列的操作系统中，运行时都会启动一个名为Explorer.exe的进程。这个进程主要负责显示系统桌面上的图标以及任务栏。,2019/7/28,31,Windows基本进程解析,3、csrss.exe进程 这个进程是用户模式Win32子系统的一部分，CSRSS代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。CSRSS负责控制Windows图形相关子系统，创建或者删除线程和一些16位的虚拟MS-DOS环境。 4、System Idle 这个进程不可以从任务管理器中关掉，是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。所以，在任务管理器中，看到的“System Idle Process”的CPU资源占用恰恰是CPU资源空闲时间。,2019/7/28,32,Windows基本进程解析,5、smss.exe 这个进程是不可以从任务管理器中关掉的，是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化，并且对许多活动的，包括正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程是正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。 6、lsass.exe 这个进程是不可以从任务管理器中关掉的。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。 这是一个本地的安全授权服务，它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行。如果授权是成功的，lsass就会产生用户的进入令牌，令牌被用于启动初始的shell，其他由用户初始化的进程也会继承这个令牌（系统服务）。,2019/7/28,33,Windows基本进程解析,7、services.exe 大多数的系统核心模式进程是作为系统进程在运行。 8、spoolsv.exe 缓冲（spooler）服务是管理缓冲池中的打印和传真作业，将文件加载到内存中以便迟后打印（系统服务）。,2019/7/28,34,svchost.exe进程剖析,svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称。svchost.exe是WindowsNT核心系统的最重要的进程之一，但它本身只作为服务宿主，提供条件让其他服务在这里被启动，而它自己却不能提供任何服务。 Windows2000一般有2个svchost进程，一个是RPCSS（Remote Procedure Call）服务进程，另外一个则是由很多服务共享的一个svchost.exe。而在WindowsXP中，则一般有4个以上的svchost.exe服务进程，Windows2003 Server中则更多，可以看出把更多的系统内置服务以共享进程方式由svchost启动是微软的一个趋势。,2019/7/28,35,svchost.exe进程剖析,svchost.exe文件定位在系统的%systemroot%system32文件夹下 在启动的时候，svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个svchost.exe在同一时间运行。一般地，通过在任务管理器，我们可以看到Windows系统中存在多个“svchost”进程。 这些svchost进程提供多种系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。,2019/7/28,36,几点说明,相对而言，程序是一组代码，是静态的，进程是代码的执行行为，是活的 系统的大部分服务是以动态链接库（dll）形式实现的，比如通过SvcHost.EXE启动的大量系统服务 驱动程序在某种形式上也是服务，但驱动程序在Windows中进行了验证，如Windows Hardware Quality Lab（WHQL）微软的一种认证,2019/7/28,37,6.4 Unix系统的安全性 Unix操作系统简介 Unix操作系统是目前网络系统中主要的服务器操作系统 Unix操作系统是于1969年由Ken