操作系统安全防范.ppt

第9章操作系统安全防范 本章内容 引导案例 在现实生活中 经常会遇到这样的问题 当打开电脑进入操作系统桌面办公的过程中 由于中间临时有事需暂时离开 此时既不想关机又不想随身携带电脑 如何保障个人电脑信息不被别人偷窃或偷看呢 有经验的用户可能设置 屏保密码 和设置开机密码来实现 但如果不小心别人知道了你的密码 或者通过技术手段对你的操作系统密码进行暴力破解 又当如何进行防御呢 本章除了对windows2003操作系统常用安全功能进行阐述外 还将提供一种对操作系统用户身份验证 保护电脑不被非授权用户直接操作的新途径 网络操作系统是网络的核心 它除了具有普通操作系统的功能外 还能管理网络的整体运作 控制用户对网络资源的访问 它提供高效的通信服务和网络存储 打印服务 它能运行客户机 服务器应用程序来扩充网络应用 由于网络操作系统扮演着服务提供着的角色 所以我们也把它称为服务器操作系统 计算机网络飞速发展 新的网络协议和应用层出不穷 网络操作系统也在不断改进和更新 它不但要提供新的特性和服务来满足人们的需要 做好网络的控制管理工作 还要防止非善意者的非法行为 和抵御来自不法分子的恶意攻击 因此 选择合适的网络操作系统并对其进行合理的配置 是网络管理人员的重要任务 网络操作系统有以下几类 Windows系列中的WindowsNT Windows2000 2003Server操作系统 Unix系列中的Solaris和BSD等操作系统 Linux系列中的RedHat 红旗等操作系统 Windows2003操作系统 Windows2003是微软公司开发的新一代高性能 高可靠性和高安全性的网络操作系统 它是WindowsNT系列中的一员 在Windows2000操作系统上做了许多重大改进 特别的 为了适应Internet分布式网络环境的需要 Windows2003集成了 Net框架平台 简化了Web应用程序的开发 并提供良好的支持和可缩放的服务端运行环境 同时为了配合 net运行环境 Windows2003中集成了IIS6 0版Web服务器 相比IIS5 0 它在可靠性 安全性和可管理性方面有长足进步 支持ASP NET和XML技术 使得Windows2003成为一个优秀的Web平台 另外 它的安全性相比Windows2000大大增加 它除了堵完已发现的所有安全漏洞 还重新设计了安全子系统 改进了安全算法 WindowsServer2003针对不同的应用级别提供了四种版本 它们分别是Web Standard Enterprise和Datacenter 目前企业中使用较多的是Enterprise版 它可满足各种规模的企业的一般用途 是各种网络应用程序 Web服务和基础结构的理想平台 具有出色的商业价值 它最大支持8个处理器和32GB内存 最小配置为CPU速度不低133MHz 内存不少于128MB 具有优异的伸缩性 它功能强大 易于配置和管理 界面友好美观 操作方便容易 所以迅速成为主流的网络服务器操作系统之一 Windows2003的安全性相当复杂 它实现以下目标 实现企业中的单一登录 集成的安全服务 管理的委派和可扩展性 强大的身份验证 用于实现互操作能力的基于标准的协议 审核服务等等 这些目标由安全子系统来实现 安全子系统控制着整个操作系统的运转 负责完成用户的身份验证和访问控制及其他安全操作 占据着相当重要的地位 安全子系统主要由登录过程 本地安全认证 安全账号管理器和安全参考监视器等安全子组件组成 Windows安全子系统 登录过程 Winlogon 在交互式登录过程中负责登录相关的安全性工作 处理用户的登录与注销 启动用户Shell 更改密码 锁定与解锁工作站等 此外 WinLogon还必须保证其与安全相关的操作对其他进程不可见 防止其他进程获取登录密码 图形标识和身份验证动态链接库 GINA GINA在用户登录时被WinLogon进程加载 用来实现用户的身份验证过程 实现Windows登录界面 提供用于标识和验证用户的输出函数 它允许被替换 以使用户定制自己的身份验证操作 身份验证软件包 身份验证软件包位于一个动态链接库之中 它执行用户身份验证工作 它接收由GINA提供的用户证书凭证 经校验后 为用户创建一个LSA登录会话 并返回绑定到用户安全令牌中的安全标识符 SID 本地安全授权 LSA LSA是Windows2000 2003系统的核心安全组件 它负责在本地和远程用户登录过程中验证用户身份 产生安全令牌 并维护本地安全策略 它还控制审计方案 并将安全参考监视器产生的审计信息记入日志 Windows安全子系统 Windows安全子系统 网络登录 Netlogon Netlogon服务维护计算机到所在域内的域控制器的安全信道 然后传送用户的证书凭证穿过此安全信道 再为安全主体返回一个带有SID和用户权力的访问权标 安全账号管理器 SAM 安全账号管理器维护安全账号数据库 即SAM数据库 该数据库包含用户和组的账号信息 在工作组模式下 SAM数据库存放在本地系统中 在域模式下 存放在域控制器中 安全参考监视器 SRM 安全参考监视器运行在内核模式 它负责访问控制和审核 通过将安全主体的访问令牌与客体的访问控制板 ACL 相比较 确定是否具有访问权限 阻止非授权用户访问对象 同时它还负责实施审计操作 对落入审计范围内的操作产生审计信息 1 用户账户和用户组账户在Windows2003中 有三种账户类型 本地用户账户 域本地组账户和域全局组账户 当系统刚安装完的时候 系统会默认地创建一批内置的本地用户和本地组账户 存放在本地计算机的SAM数据库中 而当Windows2003系统升级为域控制器的时候 系统则会创建一批域组账号 用于域中的管理和活动 Windows2003系统默认创建两个账户 Administrator和Guest Administrator是超级管理员账户 具有最高权限 它可以创建 删除其他用户和组 管理安全策略 更改系统设备 格式化硬盘等 Guest是来宾用户 默认是禁止的 它用于临时登录的一次性用户 具有最小权限 这两个默认账户均可以改名 但都不能删除 9 2 2Windows2003的账户管理 Administrators 该组的成员为系统管理员 可以控制整个系统 Administrator账号即属于该组 Users 用户组 提供了用户访问系统所必须的权限 能访问本计算机上的资源 但不能改动计算机配置 新添加的用户默认属于该组 Guests 来宾组 具有系统最小权限 用于临时登录 Guest账户属于该组 另外还有BackupOperators PrintOperators AccountOperators等组账户 分别拥有备份 打印机管理 账户管理等特殊权限 此外 Windows系统中还有一些特殊的组 管理员不能对这些特殊组进行管理 系统会根据情况自动管理组中的成员 9 2 2Windows2003的账户管理 我们可以通过用户管理器或者命令行工具来管理用户和账户和组账户 用户管理器在计算机管理中 依次打开 控制面板 管理工具 计算机管理 本地用户和组 就能管理用户账户了 账户管理工具 创建组 创建组的方法与创建用户相同 而且没有那么多选项 我们可以在组中添加成员 如图9 3 我们可以禁用用户 但不能禁用用户组 在删除一个组的时候 组中的账户并不删除 同样的 用户账户可以改名 而组不能 netuser命令创建组 在 开始 运行 中输入 cmd 打开命令提示符窗口 然后输入 netuser addPeter Windows2003的权限大致分为两类 NTFS权限与共享权限 NTFS权限 是windows2003的操作系统在NTFS分区上权限 用于控制资源的安全性 可作用的范围包括本地用户访问与网络用户访问 共享权限 是windwos2003的操作系统控制网络资源访问的一种权限 用于控制网络访问行为的安全性 只针对网络用户生效 不能作用于本地用户的资源访问行为 该权限方式可以在NTFS分区中存在 也可以在FAT分区中存在 区别NTFS权限与共享权限的关键是 NTFS权限只能是NTFS分区的安全特性 而共享权限可以存在于NTFS分区 也可以存在于FAT分区 NTFS权限即针对本地用户也针对网络用户 而共享权限只针对网络用户 这是两种不同的权限类型 但它们可以接合使用 达到更好的保护资源的目的 9 3windows2003的权限 NTFS权限 选择处于NTFS分区的某项资源 文件或文件夹 单击鼠标右键 选择 属性 再选择 安全 选项卡 完全控制 对文件与文件夹拥有不受限制的完全访问 选中了 完全控制 下面的五项属性将被自动被选中 该权限是所有NTFS权限中权力最高的选项 在使用时要小心 修改 除了具有 写入 和 读取与继承 的权限外 还有删除 重命名子文件夹的权限 选中了 修改 下面的四项属性将被自动被选中 下面的任何一项没有被选中时 修改 条件将不再成立 读取和运行 允许读取和运行任何文件 列出文件夹目录 和 读取 是 读取和运行 的必要条件 列出文件夹目录 只能浏览该卷或目录下的子目录 不能读取 也不能运行 读取 能够读取分区或文件夹下的数据 写入 能够往该分区或文件夹下写入数据 特别的权限 对以上的六种权限进行了更详细分 这不在本书所描述的范围内 NTFS权限的 写入 通俗的讲只能向某个文件夹增加内容 但是不能删除内容 而 修改 除了可以增加内容外 还可以删除内容 修改 的权限大于 写入 的权限 使用NTFS权限的原则 用户将继承用户所属组的NTFS权限 NTFS权限是累加的结合 文件的权限超越文件夹的权限 NTFS权限中的DENY 拒绝 权限优先任何NTFS权限 9 3 4共享权限 选择处于任何分区的某项资源 文件夹 单击鼠标右键 选择 属性 再选择 共享 选项卡 使用共享权限的原则 共享权限不受系统分区格式的限制 可以是NTFS分区也可以是FAT分区 共享权限只针对网络访问生效 对本地用户访问不生效 共享权限是累加的这与NTFS权限类似 共享权限的拒绝优先于任何权限 这与NTFS权限类似 windows2003各种权限的结合的复合应用 9 4windows2003各种权限的结合的复合应用 windows2003NTFS权限与共享权限的复合应用实现 第一步 打开 开始 程序 管理工具 计算机管理 展开 本地用户和组 在用户列表中创建两个新组 名称test1和test2 不做其他设置 windows2003NTFS权限与共享权限的复合应用实现 第二步 创建用户 打开 开始 程序 管理工具 计算机管理 展开 本地用户和组 在用户列表中创建一个新用户user1 windows2003NTFS权限与共享权限的复合应用实现 第三步 把user1用户加入到tset1的用户组与test2的用户组 打开 开始 程序 管理工具 计算机管理 展开 本地用户和组 user1 属性 隶属于 添加 高级 立即查找 test1 确定 如下图9 11所示 用同样的步骤可以将user1加入到test2的用户组 windows2003NTFS权限与共享权限的复合应用实现 第四步 在文件服务器 192 168 1 100 的NTFS分区上建立一个叫做 test 文件夹 配置用户组test1对 test 文件夹的NTFS权限为 只读 用户组test1对 test 文件夹的共享权限为 完全控制 windows2003NTFS权限与共享权限的复合应用实现 配置用户组test2对 test 文件夹的NTFS权限为 只读 如图9 14所示 用户组test2对 test 文件夹的共享权限为 修改 windows2003NTFS权限与共享权限的复合应用实现 第五步 用户user1从网络访问文件服务器证实复合权限应用的结果 用户user1只能读取文件夹 不具备其它任何权限 9 5 1什么是加密文件系统 EFS 加密文件系统 EncryptingFileSystem 是Windows2000及以上Windows版本中 磁盘格式为NTFS的文件加密 加密文件系统 EFS 允许用户以加密格式存储磁盘上的数据 加密是将数据转换成不能被其他用户读取的格式的过程 一旦用户加密了文件 只要文件存储在磁盘上 它就会自动保持加密状态 解密是将数据从加密格式转换为原始格式的过程 9 5windows2003的加密文件系统 1 当用户启动EFS加密 EFS的驱动程序会调用 微软的加密服务提供程序 MicrosoftCryptoProvider 来产生一个 文件加密密钥 FEK 也就是所谓的 对称式密钥 而这个密钥的位数 由一个叫做 随机数生器 来提供 一般生成一个128位的密钥 2 EFS就利用FEK来加密文件 注意只有文件中的数据才会被加密 对于文件名 属性与其它摘要都不会被加密 文件的各种权限也会保持不变 3 现在EFS会将加密完成的文件存储在NTFS分区上 EFS不会独立出NTFS分区 它只是NTFS分区的一个增强特性 4 EFS再次调用 微软的加密服务提供程序 MicrosoftCryptoProvider 这一次 它的目的是获得用户的EFS公钥 然后使用一个EFS的公钥加密FEK的一个副本 并将它存储到一个数据的解密字段 DDF 中 注意DDF字段是和文件一起保存的 事实上能够解密这个DDF字段的只有用户EFS公钥所对应的私钥 私钥必须由EFS用户谨慎保管 EFS的加密工作过程 EFS的加密工作过程 注意 在加密过程执行到 4 的同时 windows的系统管理员的 文件恢复 filerecoveryFR 公钥来加密FEK的另一个副本 并将结果保存到一个 数据恢复字段中 DRF 它出和文件一起存储 用户于在用户的EFS私钥不完整或是丢失的情况下 由数据恢复代理 DRA 帮助用户恢复已被EFS加密的文件 事实上这个过程相当的复杂 第一步 利用系统管理员登陆操作系统 建立两个用户 一个叫做user1 另一个叫做user2 注销系统管理员 第二步 利用用户user1登陆操作系统 在NTFS分区上建立一个叫做 test 的文件夹 然后在文件夹里建立一个叫 test 的文本文件 任意的在文本文件中输入一些内容 第三步 开始利用EFS加密test文件选择 test 文件夹 单击鼠标右键 选择 属性 在 常规 选项卡中的 高级 中的 加密内容以便保护数据 如图9 16所示 9 5 3EFS加密文件的配置 9 5 3EFS加密文件的配置 第四步 查看并导出加密test文件的密钥 开始 运行 在 打开 中输入 MMC 在控制台中 选择 文件 添加 删除管理单元 添加 证书 显示如下图9 17所示 选择user1的用户证书单击鼠标右键 选择 属性 出现如图9 18所示 选择 所有任务 选择 导出 出现如图19 19所示 选择 下一步 选择 是 导出私钥 后 出现如图9 21所示的对话框 请选择 如果导出成功 删除密钥 此时会弹出如图9 22所示的对话框 要求输入保护用户EFS私钥的密码 这里需要注意的是 该密码并不保护文件的密码而是保护私钥的密码 完成对私钥的密码保护后 就需要指定用户EFS私钥的导出路径 如下图9 23所示 这里建议把EFS的私钥导出到移动存储设备F盘上 如图9 23所示 提示私钥导出向导的配置已完成 可单击 完成 结束EFS的私钥导出过程 第五步 在盘动存储设备F盘上 查看已导出的私钥如下图9 24所示 第六步 开始检测user1利用EFS加密文件后的效果 注销用户user1 以用户user2登陆操作系统 并试图打开已被用户user1利用EFS加密的 test 文件 结果会出现如图9 25所示的结果 无法访问 注意 事实上本地计算机的管理员 administrator 在没有被授权成为 恢复代理 前也不无法打开被EFS加密的文件 如果需要打开被user1利用EFS加密的文件 就必须获得图9 24所示的EFS的私钥 而往往私钥是需要用户保密的 一般不可公开 在上一小节9 5 3中完成了利用EFS来加密文件 解密文件只需要user1的EFS私钥导入到计算机机 选中需要解密的文件 单击鼠标右键 选择 属性 打开 高级 选项卡 然后在如下图9 26所示的对话框中 去掉 加密内容以便保护数据 就可以解密利用EFS加密的文件 9 5 4EFS解密文件与 恢复代理 问题 如果利用EFS加密文件后的私钥丢失 损坏 或者是原始的加密者辞职 拒绝解密文件 怎么办 此时能解决如上问题的办法 只能依赖于EFS的 恢复代理 DRA 来解决该问题 但是默认的情况下 在独立的计算机上 非域的计算机 没有恢复代理 需要手工创建 步骤如下 第一步 以本地系统管理员 administrator 登陆到本地计算机 第二步 启动 开始 运行 输入 cmd 在命令提示符下输入 cipher exe r dra具体操作如下图9 27所示 此时会在C盘的根目录下创建两个文件 一个是dra cer文件 另一个是dra pfx文件 第三步 在启动 开始 运行 输入 gpedit msc 找 本地组策略的编辑对话框如下图9 28所示 在 安全设置 中展开 公钥策略 下的 加密文件系统 击鼠标右键 选择 添加数据恢复代理程序 此时会弹出 添加故障恢复代理向导 对话框 可直接点 下一步 在下图对话框中选择 浏览文件夹 导航到C盘根目录下的 dra cer 文件 则添加了故障恢复代理 第四步 将恢复代理的证书C盘下的dra pfx如图9 30所示的位置 进行导入 完成 故障恢复代理 证书的安装 第五步 检查 故障恢复代理 证书安装的结果 如图9 31所示 如果操作过程没有出问题 可以在 证书 管理的控制台下看到administraor已经成为合法的 文件故障恢复代理 如果EFS用户的私钥故障就可以利用该证书进行恢复工作 9 6windows2003的安全模板的定制与分析 安全模板是windows2003上管理操作系统安全的一系列策略设置集合 它可以创建计算机或网络的安全策略 它是考虑整个系统范围内安全的单点入口点 安全模板不引入新的安全参数 它简单地将所有现有的安全属性组织到一个位置以简化安全性管理 这些策略包括 帐户策略 密码策略 账户锁定策略以及Kerberos策略 本地策略 审计策略 用户权限分配和安全选项 时间日志 应用程序 系统和安全 事件日志 设置 受限制的组 与安全性相关的组的成员关系 系统服务 系统服务的启动和权限 注册表 注册项权限 文件系统 文件和文件夹权限 安全模板能创建一个安全基线 securitybaseline 安全基线是文档和公认安全设置的清单 在大多数情况下 你的基线会随着服务器角色的不同而产生区别 因此你最好创建几个不同的基线 以便将它们应用到不同类型的服务器上 事实上windwos2003的服务器已经预定义的了部分用于不同环境的 安全模板 Compatws模板 放松用户组的默认文件和注册表权限 使之与多数没有验证的应用程序的要求一致 PowerUsers组通常用于运行没有验证的应用程序 hisecdc模板 较securedc模板有更严格的要求 对LanManager身份验证以及安全频道和SMB数据的加密和签字的进一步要求提供进一步的限制 为了将hisecdc用于DC 在所有信任和受信域中的DC必须运行Windows2000或更新版本 Hisecsw模板 较securews的超集 对LanManager身份验证以及安全频道和SMB数据的加密和签字的进一步要求提供进一步的限制 为了将hisecws用于一个成员 包含登录到此客户所有用户的账户的所有DC必须运行NT4SP4或更高 9 6 2windows2003安全模板与应用 自定义一个基于操作系统自身的安全模板 模板的名称名叫做 system sec 要求 1 交互式登录 试图登录的用户的消息标题为 警告 交互式登录 试图登录的用户的消息文本 校园网络禁止非授权访问 2 密码必须符合复杂性要求 最短密码长度 3 防止未签名驱动程序的安装行为 4 对安全模板进行分析并应用到操作系统上 步骤 第一步 启动 开始 运行 打开 输入 MMC 打开控制台 文件 添加 删除管理单元 添加 安全模板 与 安全配置与分析 得到如下图9 33所示的对话框 第二步 选择操作系统安全模板存放的位置 单击鼠标右键出现如图9 34所示的界面 选择 新加模板 会弹出如图9 35所示对新加安全模板的对话框 然后在 模板名 中输入 system sec 并输入相应的描述性语言 第三步 此时可以看到自定义的安全模板 system sec 如图9 36所示 事实上这个模板是从系统默认的 预定义模板 复制而得到 只是该模板暂时没有做任何的安全选项设置 第四步 现在开始在自定的安全模板中设置各项具体的安全要求 首先在 帐户策略 里面选择如下图9 37所示的 密码必须符合复杂性要求 选择 已启用 然后在 密码长度最小值 策略中输入 8 表示以后所有的密码的长度至少要满足8个字符串的需求如下图9 38所示 图9 37 图9 38 在自定义的安全模板 system sec 中选择 本地策略 下面的 安全选项 可得到如下图9 39所示的对话框 设置用户登陆系统前的一个公告消息的 标题 在如下图9 40的对话框中可设置 用户登陆系统前的一个公告消息的文字内容 图9 39图9 40 在 安全选项 中可以找到 防止用户用户安装打印机驱动程序 选项 选择 已启用 如图9 41所示 然后在 安全选项 中找到 未签名驱动程序的安装文件 选择 禁止安装 如下图9 42所示 图9 41图9 42 第五步 在完成需求中的安全选项设置后 将自定义的安全模板 system sec 进行保存 第六步 需要对已保存的安全模板进行分析 确保现有的安全设置与操作系统的各项应用服务与程序没有冲突 首先在如图9 43示的 安全配置和分析 上单击鼠标右件 选择 打开数据库 会弹出图9 44所示的对话框 要求输入打开数据库的名称 请在文件名中输入 system sec 注意 这里您只能直接输入你要打开的数据库名称 图9 44 输入打开数据库的名称 请在文件名中输入 system sec 注意 这里您只能直接输入你要打开的数据库名称 然后在如图所示的对话框中选择 立即分析计算机 开始分析即将应用于计算机的安全设置 以防止即将应的安全设置与服务器上的应用服务发生冲突 分析日志被保存在如图9 47所示的位置 如果分析结果没有异常 则可选择 立即配置计算机 将安全设置应用于计算机 9 7windwos2003的权限夺取 9 7 1文件或文件夹的最高权限拥有文件或文件夹的最高权限拥有者可以对该对象做任意的操作 包括各种权限的控制与管理 默认文件或文件夹的最高权限的拥有者是建立该文件或文件夹的创造者 而不是系统管理员 换而言之 如果一个用户建立了一个文件或文件夹 然后将其它所有用户包括系统管理员 administrator 都排除在对资源的访问以外 那么只有该用户可以访问这个文件或文件夹 系统管理员也无法访问该文件或文件夹 资源控制的意外事件发生 在财务部门有一个用户名叫 account 一直以来都由他处理和汇总单位重要的财务报表 为了保证财务报表的机密性 该用户只允许他自已可以访问 财务文件 其它的用户都不可以访问该文件夹 该文件夹是由用户自已建立 权限控制如下图9 48所示 突然有一天 系统管理员无意将 account 误删除 此时没有任何用户可以打开该文件夹 也无法再访问文件夹的重要内容 包括系统管理员也无法访问 然后查看 财务文件夹 的属性如下图 9 49所示 在权限控窗口中没有任何用户显示 此