实验8操作系统的安全.pptVIP

操作系统原理实验 操作系统的各个主题粗线表示从设计和实现的角度考虑关系非常紧密 实验8操作系统的安全 通过对操作系统提供的安全功能的运用 进一步了解操作系统的网络安全特性和安全措施 学习和掌握操作系统安全特性的设置方法 以及初步了解Windows2000注册表的应用方法实验8 1Windows2000的安全机制实验8 2Linux文件权限实验8 3调整Windows2000注册表 实验估计时间 90分钟 难度系数 4 8 1Windows2000的安全机制 安全特性Windows为用户提供了一套广泛的安全性防卫措施 以确保系统能够阻止非法访问 故意破坏和错误操作等的侵害安全区域 网络操作系统的安全性定义为用来阻止未授权用户的使用 访问 修改或毁坏 也就是对客户的信息进行保密 以防止他人的窥视和破坏 通常所说的数据安全大部分是指数据在网络上的安全 背景知识 如果将网络按区域划分 可分为4大区域 本地企业网区域 包括不需要代理服务器的地址 其中包含的地址由系统管理员用InternetExplorer管理工具包定义 本地企业网区域的默认安全级为中级可信站点区域 包含可信的站点 即可以直接从该站点下载或运行文件而不用担心会危害到用户的计算机或数据的安全 因此用户可以将某些站点分配到该区域 可信站点区域的默认安全级为低级受限站点区域 包括不可信站点 即不能确认下载或运行程序是否会危害到用户的计算机或数据 用户也可以将某些站点分配到该区域 受限站点区域的默认安全级别为高级Internet区域 默认情况下包括用户的计算机或Internet上的全部站点 Internet区域的默认安全级别为中级本地计算机上所有文件都认为是安全的 不需进行安全设置 背景知识 安全模型 主要特性是用户验证和访问控制用户验证 检查尝试登录到域或访问网络资源的所有用户的身份基于对象的访问控制 允许管理员控制对网络中资源或对象的访问 管理员通过对存储在活动目录中的对象指定安全描述符的方式来执行访问控制 安全描述符将列出获得访问许可权限的用户和组以及指定给这些用户和组的特殊权限 安全描述符还指定了针对对象审核的各类访问事件 对象实例包括文件 打印机和服务等 通过管理对象属性 管理员可以设置权限 指定所有权和监视用户访问活动目录和安全性 活动目录通过使用对象的访问控制和用户凭据提供用户账户和组信息的保护存储 由于活动目录不仅存储用户凭据 还包括访问控制信息 所以登录到网络的用户可同时获得访问系统资源的验证和授权 背景知识 公用密钥 是保证认证和完整性的安全质量最高的加密方法 用来确定某一特定电子文档是否来自于某一特定客户机的最佳系统 公用密钥基本系统简称DKI 是一个进行数字认证 证书授权和其他注册授权的系统通过DKI 管理员验证访问信息人员的身份 并在验证身份的前提下控制其访问信息的范围 在组织中方便安全地分配和管理识别凭据等安全问题 背景知识 Windows公用密钥基本体系的组件包括证书 一个由权威部门颁布的电子声明 其作用在于担保证书持有者的身份 证书将公用密码与持有相应私有密钥的个人 机器或服务的身份绑定在一起 供各种公用密钥安全服务和应用程序使用 并在诸如Internet等非安全网上提供验证数据完整性和安全通信的程序智能卡支持 Windows支持智能卡上的证书登录 同时还支持使用智能卡存储用户上网证书 安全E Mail和其他与公用密钥密码活动相关的证书 智能卡是一种为一系列任务提供安全解决方案的方法 其中包括了客户机验证 登录到Windows域 代码签名和保护E Mail等安全机制公用密钥策略 公用密钥策略可使用Windows的组策略向计算机自动颁发证书 建立证书信任列表和公用委托证书颁发机构 此外还可以管理加密文件系统的恢复策略 背景知识 数据保护 数据的保密性和完整性从网络验证开始 用户可以使用正确的凭据登录到网络 并在该过程中获得访问存储数据的权限Windows支持两种数据保护类型存储数据保护 用户可以使用加密文件系统 EFS 和数字签名方法存储数据网络数据保护 站点内的网络数据由验证协议保护 用户可以用来保护传入和传出站点网络数据的实用工具包括 IPSecurity 路由和远程访问 代理服务器 背景知识 账户和组的安全性在Windows计算机上建立安全体系需要一个管理员 管理员为访问Windows计算机的用户建立账户 否则此用户将无法对网络进行访问 建立了账户的用户其使用权限和特权都由他所在的组决定在域内建立安全体系需要域管理员 域管理员首先需要为用户和计算机建立账户 然后把用户和计算机进行分组并放入账户数据库中 域管理员还可以选择哪一个组被包括进哪一个安全策略之中 并将这些操作的结果放进安全策略数据库 背景知识 在Windows2000中 组内可以包含任何用户 计算机和组账户 而不用顾及这些用户和账户在域目录中的什么位置 另外 动态目录服务把域详细地划分成组织单元 OU 分别管理域中的一些用户 计算机 组 文件和打印机等资源对象 背景知识 域的安全性域在活动目录中是用来定义安全边界的 活动目录由一个或多个域组成 每个域均拥有与其他域相关的安全策略和安全关系 域提供以下便利 两个不同域的安全策略和设置 诸如管理权限和访问控制列表 不能相互交叉分派管理权限消除了需要大量具有广泛管理权限的管理员的必要将对象分成不同的组放入域中有助于在网络中反映公司的组织结构每个域只存储有关该域中对象的信息 活动目录可通过拆分目录信息的存储组织扩展成数量庞大的对象 背景知识 域通常分为两种类型主域 存储用户和组账户 和资源域 存储文件 打印机 应用服务等等 在这种多域计算环境中 资源域需要具有所有主域的多委托关系 这些委托关系允许主域中的用户访问资源域中的资源 背景知识 文件系统的安全性Windows推荐使用的NTFS文件系统提供了FAT和FAT32文件系统所没有的全面的性能 可靠性和兼容性NTFS文件系统的设计目标就是能够在很大的硬盘上很快地执行诸如读 写和搜索这样的标准文件操作 甚至包括像文件系统恢复这样的高级操作 NTFS文件系统包括了公司环境中文件服务器和高端个人计算机所需的安全特性 它还支持对于关键数据完整性的数据访问控制和私有权限 除了可以赋予Windows计算机中的共享文件夹特定权限外 NTFS文件和文件夹无论共享与否都可以赋予权限 背景知识 在NTFS卷中设置权限就是指定一个组或用户对该目录的访问许可 设置目录权限时 对已有的子目录和文件除非特别指定 否则是不会更改其权限的 生成新的子目录和文件时 它们就从目录中继承了新设置的权限与目录权限类似 在NTFS卷中设置文件权限就是指定组或用户对该文件的访问许可 在目录中创建一个文件时 该文件也从目录中继承了这种权限 需要注意的是 赋予了对一个目录的 完全控制 权限的组或用户可以删除该目录中的文件 而无论该文件有何保护权限通过设置目录和文件权限 用户就可以保护自己的文件和目录 也可以通过设置NTFS卷中的文件和目录的特殊访问权限来加强对自己的文件和目录的保护 特殊访问权限可以对目录 所选目录的所有文件或选定文件有效 背景知识 IP安全性管理在Windows中使用了Internet安全协议 即通常所说的IP安全性 简称为IPSEC 它能够定义与网络通信相联系的安全策略IP安全性可以自动对进出该系统的IP网络包进行加密或解密 从而 可以防止通信内容被窃取 另外在IP网络中安装IP安全性时 与所送的TCP IP包的类型和TCP IP端口一样 既可以使其覆盖所有的机器 也可以只覆盖一部分机器 背景知识 通过本实验 了解和熟悉Windows的网络安全特性和Windows提供的安全措施学习和掌握Windows安全特性的设置方法 实验目的 在开始本实验之前 请回顾教科书的相关内容和认真阅读本实验的 背景知识 部分需要准备一台运行Windows2000Professional操作系统的计算机 工具 准备工作 设置安全区域设置 证书 高级 安全设置设定目录权限获得文件和目录的所有权 实验内容与步骤 注意确认硬盘分区的文件系统是否为NTFS 实验提示 实验估计时间 120分钟 难度系数 5 8 2Linux文件权限 作为全面安全策略的一个主要组成部分 文件系统安全决定了谁可以访问什么数据 以及他们可以如何处理数据 系统管理员基于用户 属组和权限建立其文件系统安全 目录和文件权限可以使用带 l 长列表 选项的ls 列表 命令来确定 可以使用ls l命令确定文件类型 权限 所有者和属组 系统将显示文件和目录的权限 解释结果 以评价不同用户类别上权限的作用接着 将使用命令行工具程序分析和修改Linux文件系统安全权限 背景知识 文件和目录权限可以使用chmod 修改模式 命令修改 在正常情况下 文件或目录的默认权限可以满足大多数安全的需要 可能有很多次想要修改文件或目录的权限 在默认情况下 所有创建的文件设定了允许其他类别的用户可以读取这个文件的权限 这意味着所有拥有登录id的人都可以查看和拷贝文件的内容 对于机密文件和私人信息 可以修改文件的权限 防止其他人访问它 背景知识 shell脚本是想要修改其权限的另一个例子 当创建一个shell脚本文件 或任何文件 的时候 即使是对文件的所有者 创建者 默认的权限不包括执行权限 为了运行shell脚本 必须通过给用户 所有者 类别添加执行权限来修改权限最后 使用GNOME 公共桌面环境 文件管理器来分析和修改文件系统权限 GNOME文件管理器工具程序提供了一个文件系统的图形化界面 可以用来查看和修改文件和文件夹的权限 背景知识 确定文件系统权限显示文件系统权限解释权限确定文件的用户权限 属组权限或其他 公共 权限确定对于一个可执行文件的文件权限使用默认权限创建一个文件或目录 实验目的 从命令行中修改权限使用文件系统来控制安全访问回顾chmod命令模式使用符号模式修改文件或目录的权限确定八进制模式权限使用八进制模式修改文件或目录的权限使用vi编辑器创建一个脚本文件 并且使它可执行 实验目的 使用文件管理器修改权限访问文件管理器 使用文件和目录权限工作使用文件管理器确定文件或文件夹的权限使用文件管理器修改文件或文件夹的权限 实验目的 在开始本实验之前 请回顾教科书的相关内容您需要做以下准备由指导老师分配的登录用户帐号 如user2 和口令一台运行Linux操作系统的计算机 工具 准备工作 确定文件系统权限及在命令行中修改权限使用文件管理器修改权限 实验内容与步骤 实验估计时间 120分钟 难度系数 4 8 3调整Windows2000注册表 Windows2000注册表是一个包含大量系统配置信息的存储库 也是惟一一个描述系统的硬件配置 安全策略 已安装系统和应用程序软件 用户专门设置 文件关联等信息的数据库 注册表又是一个不应该随意更改的Windows2000组件Windows2000严重地依赖于注册表来正确运行 因而理解它的系统配置方法非常关键 这样才能完全掌握和利用注册表的功能 背景知识 为保证Windows2000环境的正常运行和实现最佳性能 行家必须知道不同类型的系统配置信息在注册表中的位置以及如何更改设置Windows操作系统的早期版本依赖于 INI文件来存储配置参数 但 INI文件只提供很原始的结构 缺乏安全性 没有提供用户特有的设置 并且受到了其他的一些限制为保持兼容性 Windows2000也允许应用程序使用 INI文件 并且Windows2000也保留了许多 INI文件 这样 早期的程序就可以写入并引用这些文件 背景知识 注册表由键和子键组成 键和子键可能包含也可能不包含值项目 注册表键类似于 INI文件中带括号的标题 例如 mail 而注册表值项目对应于 INI文件中这些标题下面的信息 与 INI文件不同 注册表允许使用子键的多个配置级别 并且允许多种类型的值可以在注册表的以下键中找到与 INI文件有关的所有信息HKEY LOCAL MACHINE SOFTWARE Microsoft WindowsNT CurrentVersion IniFileMapping 背景知识 子键包含的一个字符串值实际上充当了一个注册表位置的指针 其中包含 INI文件节中的信息 每个字符串都以SYS或者USR开始 分别对应于HKEY LOCAL MACHINE SOFTWARE或者HKEY CURRENT USER 背景知识 Windows2000注册表结构注册表是硬件 软件以及用户信息的有机混合 它包括相关系统设备 操作系统和应用程序配置参数 用户配置文件等的信息注册表的基本结构看起来很像是一棵倒长的树 其结构是分层的 包含由键 子键 值项目以及值指定的多个配置级别 值项目是键或子键内部的参数 而值是参数的特定值 背景知识 键和子键键是注册表结构的顶层 每个键都可以有分支的子键 也可以包含值项目或值 反过来 可以认为每个子键是其分支信息的键注册表中有5个称为根键或配置单元的键 这些键是注册表中的固定键 代表了组织结构的最高级别注册表根键是在Windows2000操作系统中硬编码的 不能删除它们 也不能向注册表添加另一个根键 而其中的信息被划分为根键下面的类别 背景知识 Windows2000内置的注册表编辑器Windows2000提供了两个版本的注册表编辑器 REGEDIT EXE和REGEDT32 EXE 都允许直接修改本地计算机上以及远程计算机上的注册表REGEDIT是以前各个Windows版本中都已经包括的注册表编辑器 在Windows2000系统中 REGEDIT默认安装在 SYSTEMROOT 目录中REGEDIT的最大优点是它广泛的搜索能力 远远超过了REGEDT32 EXE的搜索能力 可以使用REGEDIT的 查找 对话框搜索注册表结构内的键 值和数据 但由于REGEDIT的功能很有限 所以一般只将其用于搜索注册表信息 这种方法有助于确保注册表不会丢失与安全有关的信息 背景知识 REGEDT32是Windows2000常用的注册表编辑器 它位于 SYSTEMROOT System32目录中 它不如REGEDIT用户界面那样简洁 直观 但因为它提供了比REGEDIT更多的功能 例如注册表安全性管理 修改任何注册表参数的能力 审核功能以及特殊的只读模式等 应该是首选的注册表编辑器因为REGEDT32可以执行比REGEDIT更多的操作 所以处理配置设置也更灵活 应该注意总是使用的一个重要选项是 只读模式 该选项不允许将任何更改保存到注册表中 这样就可以安全地仔细查看注册表 建议使用这个选项 直到准备好进行特定的配置更改为止 背景知识 调整注册表以获得最佳性能事实上 Windows2000注册表本身也可以看作是一个能优化的组件 因为它包含了硬件 软件以及用户配置设置 通过注册表提高Windows2000的性能 这不是通过添加或修改注册表配置参数实现的 而是通过修改数据库本身实现的注册表是一个巨大的组织结构 它包含了关于Windows2000系统的几乎所有的信息 例如 在添加 修改或者删除硬件和软件组件时 大多数更改都在注册表中反映出来 不过 有时在删除硬件或软件组件时 它们会留下其存在的痕迹 发现某个过去曾经是系统的一部分 但是很久以前就已经删除了的组件仍然存在于注册表项目中的情况并不少见 背景知识 这种情况 最常见的原因是因为硬件组件或者应用程序的卸载程序没有完全从注册表删除它的项 或者缺乏卸载程序 事实上 留在注册表中的项通常是应用程序项虽然注册表可能很容易由于软件组件的安装 卸载和删除而集聚大量残留数据 但是要想从Windows2