第二章操作系统安全配置.ppt

Windows操作系统 Windows的安全特性 数据安全性用户登录时的安全性网络数据的保护在站点之间穿越的数据 可以采用相应的安全机制企业间通信的安全性企业和Internet网的单点安全登录易用的管理型和高扩展性 一 操作系统安全概述 1 操作系统安全的含义计算机操作系统的主要功能是进行计算机资源管理和提供用户使用计算机的界面 用户资源可以归结为以文件形式表示的数据信息资源 系统资源包括系统程序和系统数据以及为管理计算机硬件资源而设置的各种表格 对操作系统中资源的保护 实际上是对操作系统中文件的保护 操作系统的安全保护的功能要求 需要从操作系统的安全运行和操作系统数据的安全保护两方面 操作系统的安全主要通过身份鉴别 自主访问控制 标记和强制访问控制 数据流控制 审计 数据完整性 数据保密性等几方面来实现系统的安全需要 GB17859和GB T20271 实现各种类型的操作系统安全需要的所有安全技术称为操作系统安全技术 操作系统安全子系统 SSOOS SecuritySubsystemOfOperatingSystem 是操作系统的可信计算基 TCB 指把操作系统中硬件 固件 软件和负责执行安全策略的所有相关的安全保护装置 一 操作系统安全概述 2 操作系统安全的组成操作系统的安全 应该从安全功能和安全保证两方面综合考虑 每一等级的信息系统 都有不同的安全功能要求和安全保证措施 下图表示了操作系统安全技术要求的组成及相互关系 一 操作系统安全概述 3 操作系统的主体与客体在操作系统中 每一个实体成分都必须是主体或客体 或者既是主体又是客体 主体是一个主动的实体 它包括用户 用户组 进程等 系统中最基本的主体是用户 系统中的所有事件 几乎都是由用户激发的 用户的所有事件都要通过运行进程来处理 进程是用户的客体 但又是访问对象的主体 客体是一个被动的实体 在操作系统中 客体可以是按一定格式存储在记录介质中的数据信息 文件 也可以是操作系统中的进程 访问控制等安全措施都是由主体对客体实施操作完成的 二 操作系统安全的技术要求 身份鉴别访问控制安全审计用户数据的完整性和保密性可信路径 1 身份鉴别身份鉴别包括对用户的身份进行标识和鉴别 用户标识 1 凡需进入操作系统的用户 应先进行标识 即建立账号 2 操作系统用户标识一般使用用户名和用户标识符 UID 用户鉴别 1 采用口令进行鉴别 并在每次用户登录系统时进行鉴别 2 通过对不成功的鉴别尝试的值进行预先定义 并明确规定达到该值时应该采取的措施公平实现鉴别失败的处理 用户主体行为绑定 1 用户进程与所有者相关联 进程行为可追溯到进程的所有者 2 进程与当前服务要求者相关联 系统进程行为可追溯到服务的要求者 二 操作系统安全的技术要求 2 访问控制访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制 访问控制也是信息安全理论基础的重要组成部分 本章讲述访问控制的原理 作用 分类和研究前沿 重点介绍较典型的自主访问控制 强制访问控制和基于角色的访问控制 1 访问控制原理访问控制机制将根据预先设定的规则对用户访问某项资源 目标 进行控制 只有规则允许时才能访问 违反预定的安全规则的访问行为将被拒绝 资源可以是信息资源 处理资源 通信资源或者物理资源 访问方式可以是获取信息 修改信息或者完成某种功能 一般情况可以理解为读 写或者执行 二 操作系统安全的技术要求 第9页 2 访问控制 2 自主访问控制 DiscretionaryAccessControl DAC 自主访问控制就是由拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资源 主体 客体以及相应的权限组成系统的访问控制矩阵 在访问控制矩阵中 每一行表示一个主体的所有权限 每一列则是关于一个客体的所有权限 矩阵中的元素是该元素所在行对应的主体对该元素所在列对应的客体的访问权限 访问控制表 AccessControlList ACL 是基于访问控制矩阵中列的自主访问控制 它在一个客体上附加一个主体明晰表 来表示各个主体对这个客体的访问权限 访问能力表 AccessCapabilitiesList 是最常用的基于行的自主访问控制 能力 capability 是为主体提供的 对客体具有特定访问权限的不可伪造的标志 它决定主体是否可以访问客体以及以什么方式访问客体 二 操作系统安全的技术要求 2 访问控制 3 强制访问控制 MandatoryAccessControl MAC 强制访问控制系统为所有的主体和客体指定安全级别 比如绝密级 机密级 秘密级和无密级 不同级别标记了不同重要程度和能力的实体 不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的 实体的安全级别是由敏感标记 SensitivityLabel 来表示 是表示实体安全级别的一组信息 在安全机制中把敏感标记作为强制访问控制决策的依据 4 基于角色的访问控制 RoleBasedAccessControl RBAC 在基于角色的访问控制模式中 用户不是自始至终以同样的注册身份和权限访问系统 而是以一定的角色访问 不同的角色被赋予不同的访问权限 系统按照自主访问控制或强制访问控制机制控制角色的访问能力 一个主体可以同时担任多个角色 基于角色的访问控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限 最小授权指主体在能够完成所有必需的访问工作基础上的最小权限 授权管理的控制途径 改变客体的访问权限 改变角色的访问权限 改变主体所担任的角色 二 操作系统安全的技术要求 3 安全审计安全审计是指在一个信息系统中以维护系统安全为目的的审计 即为了保障系统 网络和数据不受来自外部和内部用户的入侵和破坏 而运用各种技术手段实时收集和监控系统中每一个组成部分的状态 安全事件 以便集中报警 分析 处理的一种技术手段 安全审计功能应与身份鉴别 自主访问控制 标记和强制访问控制及完整性控制等安全功能紧密结合 提供对受保护客体访问的审计跟踪功能 保护审计记录不被未授权访问 修改和破坏 提供可选择的审计事件 生成的审计日志可管理 二 操作系统安全的技术要求 第12页 4 用户数据的完整性和保密性在安全功能控制范围内 为主体和客体设置完整性标签 并建立完整性保护策略模型 保护用户数据在存储 传输和处理过程中的完整性 提供硬盘数据的备份和修复功能 可将硬盘中的数据压缩和备份 并在必要时恢复 确保硬盘数据的授权使用 保证系统内各个用户之间互不干扰 5 可信路径在第四级和第五级安全系统中 要求提供用户初始登录 鉴别时的可信路径 在SSOOS与用户间建立一条安全的信息传输通路 二 操作系统安全的技术要求 第13页 1 Windows的安全模型与基本概念 1 安全模型Windows的安全模型由以下几个关键部分构成 1 登录过程 LogonProcess LP 接受本地用户或者远程用户的登录请求 处理用户信息 为用户做一些初始化工作 2 本地安全授权机构 LocalSecurityAuthority LSA 根据安全账号管理器中的数据处理本地或者远程用户的登录信息 并控制审计和日志 这是整个安全子系统的核心 3 安全账号管理器 SecurityAccountManager SAM 维护账号的安全性管理数据库 SAM数据库 又称目录数据库 4 安全引用监视器 SecurityReferenceMonitor SRM 检查存取合法性 防止非法存取和修改 三 Windows2003的访问控制 1 Windows的安全模型与基本概念 2 安全概念1 安全标识 SecurityIdentifier SID 是标识用户 组和计算机帐户的唯一的号码 在第一次创建该帐户时 将给网络上的每一个帐户发布一个唯一的SID 安全标识和账号唯一对应 在账号创建时创建 账号删除时删除 而且永不再用 安全标识与对应的用户和组的账号信息一起存储在SAM数据库里 2 访问令牌 AccessToken 当用户登录时 本地安全授权机构为用户创建一个访问令牌 包括用户名 所在组 安全标识等信息 以后 用户的所有程序都将拥有访问令牌的拷贝 3 主体 用户登录到系统之后 本地安全授权机构为用户构造一个访问令牌 这个令牌与该用户所有的操作相联系 用户进行的操作和访问令牌一起构成一个主体 4 对象 资源 共享资源 对象的实质是封装了数据和处理过程的一系列信息集合体 资源是用于网络环境的对象 共享资源是在网络上共享的对象 5 安全描述符 SecurityDescript Windows系统中共享资源的安全特性描述 包含了该对象的一组安全属性 分为所有者安全标识 组安全标识 GroupSecurity 自主访问控制表 DiscretionaryAccessControlList DAC 系统访问控制表 ACL 四个部分 三 Windows2003的访问控制 第15页 2 Windows的访问控制过程当一个账号被创建时 Windows系统为它分配一个SID 并与其他账号信息一起存入SAM数据库 用户登录管理 登录主机 通常为工作站 的系统首先把用户输入的用户名 口令和用户希望登录的服务器 域信息送给安全账号管理器 安全账号管理器将这些信息与SAM数据库中的信息进行比较 如果匹配 服务器发给工作站允许访问的信息 并返回用户的安全标识和用户所在组的安全标识 工作站系统为用户生成一个进程 服务器还要记录用户账号的特权 主目录位置 工作站参数等信息 本地安全授权机构为用户创建访问令牌 包括用户名 所在组 安全标识等信息 此后用户每新建一个进程 都将访问令牌复制作为该进程的访问令牌 用户访问进程管理 安全引用监视器将用户 进程的访问令牌中的SID与对象安全描述符中的自主访问控制表进行比较 从而决定用户是否有权访问对象 三 Windows2003的访问控制 2 Windows的访问控制过程权限 Permission 精确定制用户对资源的访问控制能力 权限管理原则 1 拒绝优于允许原则 2 权限最小化原则 3 权限继承性原则 4 累加原则 拒绝优于允许 原则是用于解决权限设置上的冲突问题 权限最小化 原则是用于保障资源安全 权限继承性 原则是用于 自动化 执行权限设置的 而 累加原则 则是让权限的设置更加灵活多变 资源权限的应用 依据是否被共享到网络 其权限可以分为NTFS权限 本地权限 与共享权限两种 NTFS的标准访问权限 套餐型 的权限 即 完全控制 修改 读取和运行 列出文件夹目录 读取 写入 图6 5NTFS的 特别权限 高级 选项 允许用户进行细化权限选择 图6 6三种共享权限 完全控制 更改 读取 三 Windows2003的访问控制 资源复制或移动时权限的变化在权限的应用中 设置了权限后的资源需要复制或者是移动 资源的权限会发生变化 1 复制资源在复制资源时 原资源的权限不会发生变化 而新生成的资源 将继承其目标位置父级资源的权限 2 移动资源在移动资源时 如果资源的移动发生在同一驱动器内 那么对象将保留本身原有的权限不变 包括资源本身权限及从父级资源中继承的权限 若资源的移动发生在不相同的驱动器之间 那么不仅对象本身的权限会丢失 而且原先从父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代 实际上 移动操作就是进行资源的复制 然后从原有位置彻底删除资源的操作 3 非NTFS分区复制或移动资源时 如果将资源复制或移动到非NTFS分区上 那么所有的权限均会自动全部丢失 3 Windows的加密文件系统概念及功能 Windows的加密文件系统 EncryptingFileSystem EFS 提供一种核心文件加密技术 该技术用于在NTFS文件系统卷上存储基于指定用户SID等信息加密的文件 对加密该文件的用户 加密是透明的 使用要求 1 只有NTFS卷上的文件或文件夹才能被加密 2 被压缩的文件或文件夹不可以加密 3 如果将加密的文件复制或移动到非NTFS格式的卷上 该文件将会自动解密 4 如果将非加密文件移动到加密文件夹中 则这些文件将在新文件夹中自动加密 5 无法加密标记为 系统 属性的文件 并且位于 systemroot 目录结构中的文件也无法加密 6 加密文件夹或文件不能防止删除或列出文件或文件夹表 7 WebDAV基于HTTP1 1 可在本地加密文件并采用加密格式发送 三 Windows2003的访问控制 1 安全审计概述审计是对访问控制的必要补充 是访问控制的一个重要内容 审计会对用户使用何种信息资源 使用的时间 以及如何使用 执行何种操作 进行记录与监控 审计和监控是实现系统安全的最后一道防线 处于系统的最高层 审计与监控能够再现原有的进程和问题 这对于责任追查和数据恢复非常有必要 审计跟踪是系统活动的流水记录 该记录按事件从始至终的途径 顺序检查 审查和检验每个事件的环境及活动 审计跟踪记录系统活动和用户活动 审计跟踪可以发现违反安全策略的活动 影响运行效率的问题以及程序中的错误 审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害 同时还能帮助恢复数据 四 安全审计技术 2 安全审计的内容审计跟踪可以实现多种安全相关目标 包括个人职能 事件重建 入侵检测和故障分析 1 个人职能 individualaccountability 审计跟踪是管理人员用来维护个人职能的技术手段 如果用户被知道他们的行为活动被记录在审计日志中 相应的人员需要为自己的行为负责 他们就不太会违反安全策略和绕过安全控制措施 2 事件重建 reconstructionofevents 在发生故障后 审计跟踪可以用于重建事件和数据恢复 3 入侵检测 intrusiondetection 审计跟踪记录可以用来协助入侵检测工作 如果将审计的每一笔记录都进行上下文分析 就可以实时发现或是过后预防入侵检测活动 4 故障分析 problemanalysis 审计跟踪可以用于实时审计或监控 四 安全审计技术 3 安全审计的目标计算机安全审计机制的目标如下 1 应为安全人员提供足够多的信息 使他们能够定位问题所在 但另一方面 提供的信息应不足以使他们自己也能够进行攻击 2 应优化审计追踪的内容 以检测发现的问题 而且必须能从不同的系统资源收集信息 3 应能够对一个给定的资源 其他用户也被视为资源 进行审计分析 分辨看似正常的活动 以发现内部计算机系统的不正当使用 4 设计审计机制时 应将系统攻击者的策略也考虑在内 概括而言 审计系统的目标至少包括 确定和保持系统活动中每个人的责任 确认重建事件的发生 评估损失 临测系统问题区 提供有效的灾难恢复依据 提供阻止不正当使用系统行为的依据 提供案件侦破证据 四 安全审计技术 4 安全审计的系统审计通过对所关心的事件进行记录和分析来实现 含以下几部分 1 日志的内容日志应包括事件发生的日期和时间 引发事件的用户 地址 事件和源和目的的位置 事件类型 事件成败等 2 安全审计的记录机制不同的系统可采用不同的机制记录日志 日志的记录可能由操作系统完成 也可以由应用系统或其他专用记录系统完成 3 安全审计分析通过对日志进行分析 发现所需事件信息和规律是安全审计的根本目的 主要内容有 潜在侵害分析 基于异常检测的轮廓 攻击探测 4 审计事件查阅由于审计系统是追踪 恢复的直接依据 甚至是司法依据 因此其自身的安全性十分重要 审计系统的安全主要是查阅和存储的安全 审计事件的查阅应该受到严格的限制 不能篡改日志 5 审计事件存储审计事件的存储也有安全要求 主要有审计数据的可用性保证和防止丢失 四 安全审计技术 5 Windows2003安全审计实例 1 打开安全审核Windows2003的安全审计功能在默认安装时是关闭的 激活此功能有利于管理员很好的掌握机器的状态 有利于系统的入侵检测 你可以从日志中了解到机器是否在被人蛮力攻击 非法的文件访问等 配置步骤如下 开始 设置 控制面板 管理工具 本地安全策略 选择 本地策略 中的 审核策略 四 安全审计技术 5 Windows2003安全审计实例 2 审计子系统结构Windows系统中的每一项事务都可以在一定程度上被审计 可以在 资源管理器 和 管理工具 本地安全策略 打开审计功能 在 资源管理器 中 选择右键菜单中的属性 安全 高级 再选择 审核 以激活目录审核对话框 系统管理员可以在这个窗口选择跟踪有效和无效的文件访问 左图 在 本地安全策略 中 系统管理员可以根据各种用户事件的成功和失败选择审计策略 左图 四 安全审计技术 第24页 5 Windows2003安全审计实例 3 查看日志Windows的日志文件很多 但主要是系统日志 应用程序日志和安全日志三个 这三个审计日志是审计一个Windows系统的核心 所有可被审计的事件都存入了其中的一个日志 使用事件查看器的查看日志 1 系统日志 跟踪各种各样的系统事件 比如跟踪系统启动过程中的事件或者硬件和控制器的故障 2 应用程序日志 跟踪应用程序关联的事件 比如应用程序产生的象装载dll 动态链接库 失败的信息将出现在日志中 3 安全日志 跟踪事件如登录上网 下网 改变访问权限以及系统启动和关闭 注意 安全日志的默认状态是关闭的 四 安全审计技术 5 Windows2003安全审计实例 4 审计日志和记录格式Windows的审计日志由一系列的事件记录组成 每一个事件记录分为三个功能部分 头 事件描述和可选的附加数据项 事件记录头的 源 指用来响应产生事件记录的软件 源可以是一个应用程序 一个系统服务或一个设备驱动程序 类型 是事件严重性指示器 在系统和应用日志中 类型可以是错误 警告或信息 在安全日志中 类型可能是成功审计或失败审计 种类 指触发事件类型 主要用在安全日志中指示该类事件的成功或失败审计已经被许可 四 安全审计技术 5 Windows2003安全审计实例 5 事件日志管理特征Windows提供了大量特征给系统管理员去管理系统事件日志机制 当系统开始运行时 系统和应用事件日志也自动开始 当日志文件满并且系统配置规定它们必须被手工清除时 日志停止 6 安全日志的审计策略审计规则既可以审计成功操作 又可以审计失败操作 包括 1 登录及注销 2 用户及组管理 3 文件及对象访问 4 安全性规则更改 5 重新启动 关机及系统级事件 6 进程追踪 7 文件和目录审计 7 管理和维护审计通常情况下 Windows不是将所有的事件都记录日志 而需要手动启动审计的功能 选择 本地安全策略 选择设置相应的项目即可 当需要审查审计日志以跟踪网络或机器上的异常事件时 采用一些第三方提供的工具是一个较有效率的选择 四 安全审计技术 2 2Windows2003Server安全配置 1 基本安装配置事项分区划分和选择 NTFS格式安装目录选择去除多余组件停止多余的服务安装系统补丁 1 将服务器接入网络内安装 Windows2000Server操作系统在安装时存在一个安全漏洞 当输入Administrator密码后 系统就自动建立了ADMIN 的共享 但是并没有用刚刚输入的密码来保护它 这种情况一直持续到再次启动后 在此期间 任何人都可以通过ADMIN 进入这台机器 同时 只要安装一结束 各种服务就会自动运行 而这时的服务器是满身漏洞 计算机病毒非常容易侵入 因此 将服务器接入网络内安装是非常错误的 2 操作系统与应用系统共用一个磁盘分区 在安装操作系统时 将操作系统与应用系统安装在同一个磁盘分区 会导致一旦操作系统文件泄露时 攻击者可以通过操作系统漏洞获取应用系统的访问权限 从而影响应用系统的安全运行 采用FAT32文件格式安装 FAT32文件格式不能限制用户对文件的访问 这样可以导致系统的不安全 4 采用缺省安装 缺省安装操作系统时 会自动安装一些有安全隐患的组件 如 IIS DHCP DNS等 导致系统在安装后存在安全漏洞 5 系统补丁安装不及时不全面 在系统安装完成后 不及时安装系统补丁程序 导致病毒侵入 运行中的安全问题 1 默认共享 系统在运行后 会自动创建一些隐藏的共享 一是C D E 每个分区的根共享目录 二是ADMIN 远程管理用的共享目录 三是IPC 空连接 四是NetLogon共享 五是其它系统默认共享 如 FAX PRINT 共享等 这些默认共享给系统的安全运行带来了很大的隐患 2 默认服务 系统在运行后 自动启动了许多有安全隐患的服务 如 Telnetservices DHCPClient DNSClient Printspooler RemoteRegistryservices 选程修改注册表服务 SNMPServices TerminalServices等 这些服务在实际工作中如不需要 可以禁用 方法一 采用批处理文件在系统启动后自动删除共享 首选在Cmd提示符下输入 NetShare 命令 查看系统自动运行的所有共享目录 然后建立一个批处理文件SHAREDEL BAT 将该批处理文件放入计划任务中 设为每次开机时运行 文件内容如下 NETSHAREC DELETE NETSHARED DELETENETSHAREE DELETE NETSHAREIPC DELETENETSHAREADMIN DELETE方法二 修改系统注册表 禁止默认共享功能 在Local Machine System CurrentControlSet Services Lanmanserver parameters下新建一个双字节项 autoshareserver 其值为 0 2 删除多余的不需要的网络协议删除网络协议中的NWLinkNetBIOS协议 NWLinkIPX SPX NetBIOS协议 NeBEUIPROtocol协议和服务等 只保留TCP IP网络通讯协议 用户账户的类型 用户账户有域用户帐户和本地用户账户两种类型 建立在域控制器上的是 域用户账户 这个账户的信息会存储在AD数据库中 域用户账户 可用来登录域 访问域内的资源 包括域内任何计算机上的共享文件夹及共享打印机等 非域控制器的WindowsServer2003独立服务器 成员服务器以及WindowsXP客户端 则会有另一组 本地用户帐户 本地用户帐户的信息不会存储在AD数据库中 而是存在本机中 所以 本地用户帐户 只能够登录账户所在的计算机 访问该机资源 而无法登录域 本地用户帐户 适用于工作组 Workgroup 的网络环境 一般不会在加入域的计算机上建立本地用户账户 原因如下 系统管理员无法在ActiveDirectory用户和计算机集中管理本地用户账户 而必须到各台计算机上 进行本地用户账户的权限设置 这样无疑增加了管理负担 本地用户账户只能在本地计算机上使用 不能访问域中其他计算机的资源 实用性不高 内置的用户账户 WindowsServer2003的域的内置账户有 Administrator与Guest 1 Administrator 系统管理员账户这个账户对域有最大的控制权 可以管理账户和组 文件与打印机以及设置组策略等 使用者无法删除它 建议将Administrator账户重新命名 这样想破坏系统管理员账户密码的人 就无法猜到账户的名称 Administrator账户有如下特点 密码永久有效Administrator账户无法被禁用Administrator账户永远不会到期Administrator账户不受登录时间的限制 也不受只能用指定计算机登录的限制 2 Guest 来宾用户 Guest是供无账户的用户临时使用的账户 利用Guest账户登录 可访问一些公开的资源 设置此账户 是为方便提供公开资源的系统 不必为所有用户都设置个人账户 该账户只有有限的权限 用户可更改该账户的名称 但无法将其删除 基于安全因素 系统默认此账户禁用 因为如启用Guest账户 任何人都可以使用域中的资源 本地用户账户的管理 用户可使用 本地用户账户 登录该账户所在的计算机 使用该机资源 但无法登录域 无法使用网络上其他计算机的资源 建议只在未加入域的计算机上创建本地用户账户 如果某计算机属于域 则应该为该计算机用户创建域用户账户 尽量不要让域用户使用本地用户账户登录 因为这样将不能访问域上其他计算机的资源 2 密码备份 如果用户忘记了密码无法登录 怎末办呢 这就需要用户预先制作 密码重设盘 步骤如下 1 在登录完成后 直接按Ctrl Alt Delete 然后单击 更改密码 在打开 更改密码 的画面中 单击 备份 打开 忘记密码向导 画面 2 在 忘记密码向导 画面中单击 下一步 即可 由画面说明可知 用户无论更改过多少次密码 密码重设盘 都只需制作一次 3 按照新画面的指示在 驱中插入一张软盘 单击 下一步 4 输入当前登录者的密码后 单击 下一步 如果用户以前曾经制作过 密码重设盘 则会出现一个 替代以前的盘 对话框 单击 是 继续 则以前的 密码重设盘 无法再使用 5 出现一个新的对话框 开始制作 密码重设盘 密码还原 如果用户登录时忘记了密码 则可用 密码重设盘 重新设置一个新的密码 步骤如下 1 用户登录时 如果输入错误的密码 则系统会显示对话框 可单击 重设 设置新的用户密码 2 出现 欢迎使用密码重设向导 对话框时 单击 下一步 3 按 重设密码向导 所示 将 密码重设盘 插入A驱 单击 下一步 4 在打开的画面中 设置一个新的密码 确认密码 输入密码提示 5 出现 完成密码设置向导 对话框时 直接单击 完成 即可 账户信息的设置 登录时间的设置 限制用户只能从某些工作站登录 默认可以从域中任何一台计算机登录域 但可以限制用户只能从某些计算机登录域 单击如图5